가우시안 정규기저를 갖는 GF(2ⁿ)의 곱셈에 대한 오류 탐지

Fault Detection Architecture of the Field Multiplication Using Gaussian Normal Bases in GF(2ⁿ

Abstract

본 논문에서는 가우시안 정규기저를 갖는 유한체 $GF(2^n)$의 곱셈기 오류 탐지 방법을 제시한다. 제안하는 오류 탐지 방법은 하드웨어로 단순하게 구성된다. 즉 n-bit 출력 직렬 곱셈기에서는 1 개의 AND gate, n+1 개의 XOR gate, 그리고 1 개의 1-bit register로 구성되며, 병렬 곱셈기의 경우 n 개의 AND gate와 2n-1 개의 XOR gate로 구성된다. 제안하는 방법은 C=AB 연산에 홀수개의 오류가 발생하는 경우 탐지가 된다.

In this paper, we proposed an error detection in Gaussian normal basis multiplier over $GF(2^n)$. It is shown that by using parity prediction, error detection can be very simply constructed in hardware. The hardware overheads are only one AND gate, n+1 XOR gates, and one 1-bit register in serial multipliers, and so n AND gates, 2n-1 XOR gates in parallel multipliers. This method are detect in odd number of bit fault in C = AB.

I. 서론

유한체 GF(2ⁿ )은 암호분야[1,2,3,4]와 ReedSolomon Codes 분야[5]에 많이 응용된다. 최근 암호분야 오류주입 공격에 대한 연구가[6] 활발해 지면서 이를 방지하기 위한 방법으로 유한체 연산의 오류 탐지 방법에 관심이 고조되고 있다[7,8,9,10,11]. 유한체 GF(2ⁿ )의 연산은 덧셈, 곱셈으로 구성되나 경우에 따라 제곱 연산을 분리하기도 한다. 덧셈연산은 n번의 XOR 연산으로 쉽게 구성되지만 곱셈 연산은 복잡하게 구성된다. 또한, 유한체의 표현 방법에 따라 다양하게 구성되며, 대표적인 방법은 다항식기저와 정규기저를 이용하여 표현하는 것이다. 특히, 정규기저로 표현할 경우 제곱연산이 Cyclic Shift로 표현되어 하드웨어로 구현할 경우 연산이 없는 장점이 있다.

GF(2ⁿ )의 곱셈연산 오류 탐지를 위한 연구는 1998년 FEN 등[7]이 AOP(All One Polynomial) 곱셈기, Massey-Omura 곱셈기, Berlekamp 곱셈기에 대한 오류 탐지 방법을 제안하였다. AOP와 Berlekamp 곱셈기는 다항식기저를 Mas-sey-Omura 곱셈기는 정규기저를 이용한 곱셈기이다. 이 곱셈기는 1-bit 단위로 출력하는 직렬(Serial) 곱셈기이다. 2006년에는 A. Reyhani-Masoleh와 M.A. Hasan[8]이 다항식기저를 사용한 병렬(parallel) 곱셈기와 n-bit를 한 번에 출력하는 직렬곱셈기에 대한 오류 탐지 방법을 발표하였다. 또한 2009년에는 C.W. Chiou 등[11]이 가우시안 정규기저(Gassian Normal Basis)를 이용한 세미시스톨릭(Semi-Systolic) 구조의 곱셈기의 오류 탐지 방법을 제시하였다.

본 논문에서는 가우시안 정규기저로 표현되는 유한체 GF(2ⁿ )의 병렬곱셈기와 n-bit를 한 번에 출력하는 직렬곱셈기에 대한 오류 탐지 방법을 제안한다. Fen 등[7]이 제안한 Massey-Omura 곱셈기의 경우 Cyclic Function H가 존재하는 것을 보였으나 본 논문에서는 하나의 계수에 의해서 표현된다는 것을 보였다. 또한, GF(2ⁿ )이 타입 k(even)의 가우시안 정규기저를 갖는 경우 n 개의 AND 와 n-1개의 XOR로, 그리고 k = 1인 경우는 n+1 개의 AND 연산과 n 번의 XOR 연산으로 곱셈 오류 탐지를 위한 Parity Bit를 계산할 수 있음을 보였다.

본 논문은 2장에서는 유한체와 가우시안 정규기저에 관한 기본적인 이론 설명과 Parity Prediction에 관해 정의하고, 3장에서는 곱셈의 Parity 확인을 위한 관련 이론을 제안한다. 4장에서는 직렬 및 병렬 곱셈기에 오류 탐지를 적용하였을 경우의 곱셈기와 복잡도를 제시하며 5장에서는 결론을 제시한다.

II. 유한체와 Parity Prediction

2.1 유한체 GF(2ⁿ )

유한체 GF(2ⁿ )의 연산은 덧셈과 곱셈, 제곱으로 구성되어 있다. 덧셈과 제곱은 간단하게 구성되는 반면 곱셈은 유한체의 표현 방법에 따라 다양하게 구성된다. 유한체의 표현은 어떤 기저를 사용하여 표현하느냐에 따라 구분하는데, 대표적으로 다항식기저와 정규기저를 사용하고 있다. 즉, GF(2ⁿ )을 구성하는 GF(2) 위의 기약다항식을

f(x)= xⁿ +a_{n - 1}x^{n - 1} +⋯+a₁x+1

이라 할 때 f(x)의 근을 α라 하면 GF(2ⁿ )의 원소

A= a₀ +a₁α+⋯+a_{n - 1}α^{n - 1}, a_i ∈ GF(2)

와 같이 표현하는 것이 다항식기저를 이용한 표현이다. 이때 A를 벡터로 표시하면

A = (a₀,a₁,⋯,a_{n - 1} ).

이다. 반면에 정규기저를 이용한 표현은 β∈GF(2ⁿ )의 conjugate들이 GF(2) 위에서 GF(2ⁿ ) 의 기저가 될 때, 이 기저를 사용하는 것이다. 즉, {β, β² , ⋯, β}이 기저가 되어 GF(2ⁿ )의 원소

A = a₀β+a₁β² +⋯+a_{n - 1}β^2n-1, a_i ∈GF(2)

와 같이 표현하는 것이다. 이때 β를 정규기저 생성자라 한다. 또한 A를 벡터로 표시하면

A = (a₀,a₁,⋯,a_{n - 1} )

이다.

정규기저를 이용할 경우 제곱 연산은 계수들의 위치이동으로 표시되므로 하드웨어적으로는 연산이 없는 장점이 있다. 정규기저를 구성하는 방법은 여러 방법이 있으나 다음 정리에 제시된 Gaussian 정규기저 방법이 가장 널리 쓰인다.

정리 1. n, k는 nk+1이 2 보다 큰 소수인 조건을 만족하는 양의 정수이고, α는 GF(2^nk )에서 nk+1의 원시근이라 하자. Z^*_nk+1에서 2의 위수(order)를 e라 할 때 gcd(nk/e,n) = 1라 하자. 그러면 Z_{nk + 1} 에서 k의 원시근 \(\tau\)에 대하여

\(\beta= \sum_{i=0}^{k-1}\alpha^{\tau^{i}}\)

는 GF(2) 위에서 GF(2ⁿ )의 정규기저 생성자이다[4].

참고. 양의 정수 n에 대하여 정리 1을 만족하는 k가 존재할 때 GF(2ⁿ )은 GF(2) 위에서 타입 k인 가우시안 정규기저를 갖는다고 한다.

정규기저를 이용한 곱셈의 경우

#

라 하면

c₀ = (a₀,a₁,⋯,a_{n - 1} ) ⋅ M ⋅ (b₀,b₁,⋯,b_{n - 1} )^T,

M= (m_ij) : n×n matrix, m_ij∈GF(2),

로 표시되고, 이때 행렬 M의 1의 개수(Weight)를 기저 N = {β, β² , ⋯, \(\beta ^{2^{n-1}}\)}의 곱셈에 대한 복잡도 (Complexity) C_N이라 한다.

참고. 모든 정규기저 N의 복잡도는 C_N ≥ 2n-1이다. 특히 C_N = 2n-1인 경우 N을 최적정규기저라 한다. 위 정리에서 k = 1,2인 경우 최적정규기저가 되며 각각을 타입 I, II의 최적정규기저라 한다. 위 정리에서 k가 짝수인 경우 C_N ≤ kn-1이다[4].

2.2 Parity Prediction

정규기저로 표현된 A,B∈GF(2ⁿ )의 곱의 결과를 C= A⋅B라 하고, 각각의 parity bit를

\(A_P=\sum_{i=o}^{n-1}a_i,B_P=\sum_{i=o}^{n-1}b_i,C_P=\sum_{i=o}^{n-1}c_i \\A_P,B_P,C_P\in GF(2)\)

라 하자. A와 B의 곱셈 연산에서 얻은 C의 parity bit를 C_P(Act), 예상되는 parity bit를 C_P(pred)라 하자. 오류 없이 정상적인 곱셈이 이루어지면 C_P(Act) =C_P(pred)이다. 곱셈 과정을 CUT(circuit under test), C_P(pred)를 구하는 과정을 PP(parity prediction)라 하자. 비트 병렬 곱셈기와 n-bit 동시 출력 직렬 곱셈기의 경우 곱셈의 결과부터 C_P(Act)를 구하는 과정을 PG(parity generation) 이라 하자. 그러면 정상적으로 곱셈이 이루어졌는지 확인하기 위한 연산 과정은 Fig.1.과 같다. PG 연산 전체와 그 결과와 C_P(pred)의 연산 모두 XOR 로 구성된다.

Fig.1. Error Detection Multiplier

III. 소가우시안 정규기저 곱셈기의 오류 탐지

3.1 기본 개념

n+1을 소수라 하자. α를 xⁿ +x^{n - 1} +⋯+1의 완전 확창체(Splitting field) F의 n+1의 원시근(n+1-th primitive root)라 하자. 그러면 F는 GF(2ⁿ )의 부분체이다.

\(\overline A=\sum_{i=o}^{n}A_i\alpha^{i}, \overline B=\sum_{j=o}^{n}B_j\alpha^{j}, \ A_i,B_j\in GF(2)\)

라 하면 \(\overline A,\overline B\in GF(2^{n})\)이다.

#라 하면

 #

이다.

유한체 원소 A를 정규기저로 표현한 것과 같이 parity bit를 \(\overline A\)에 대하여 다음과 같이 정의하자.

정의 1. \(\overline A\in GF(2^{n})\)인 경우

\(\overline{A_{P}}=\sum_{i=o}^{n}A_i,\overline{A_{p}}\in GF(2)\)

라 하자.

정리 2. #.

보조정리 1. 정리 1의 가정을 만족하는 n,k,\(\tau\)의 경우, \(Z_{nk+1}^{*}\)의 원소는

r = τ ^j2ⁱ , 0≤j≤k-1, 0≤ i≤ n-1,

로 유일하게 표현된다[4].

3.2 타입 I

타입 I인 경우는 n+1이 소수이고 2가 \(Z_{n+1}^{*}\)의 생성자이므로

\(Z_{n+1}^{*}\) = {1,2,⋯,n}={2ⁱ |0≤i≤n-1}

이다. 따라서 GF(2) 위에서 GF(2ⁿ )의 정규기저 생성자 β = α이므로 정규기저 N은 다음과 같다.

\(N={\alpha,\alpha^{2},\alpha^{2^{2}},\dots\alpha^{2^{n-1}}}\)

α∈GF(2ⁿ ) : n+1th primitive root of unity.

또한, 집합적으로는 \(Z_{n+1}^{*}\) = [2] 이므로

{α,α², \(\alpha^{2^{2}}\),⋯,\(\alpha^{2^{n-1}}\)},= {α, α² , ⋯, αⁿ}

이다. 그러므로 GF(2ⁿ )의 원소 A의 계수 위치를 정리하면 A =  \(\sum_{i=1}^{n}a_{i}\alpha^{i}\)이고 A의 parity bit는 동일하게 표시된다. 또한,  \(\overline A = \sum _{i=o}^{n} A_{i}\alpha^{i}\)로 표시하면 A₀ = 0이고 A_i = a_i , 1≤i≤n이다.

A, B를  \(\overline A\),  \(\overline B\)로 표시하고 A와 B의 곱을 표시한 결과를  \(\overline C=\sum_{i=o}^{n}C_{i}\alpha^{i}\)라 하면,

  #

이다. 그리고 1 = α+α² +⋯+αⁿ이므로 실제로

#

이다. 이 경우 \(\overline A_{p}=A_{P}, \overline{B}=B_{P}\),  n이 짝수,\(C_0=\sum_{i=1}^{n}A_{n+1-i}B_{i}=\sum_{i-1}^{n}a_{n+1-i}b_{i}\)

이므로

 #

정리 3. A,B∈GF(2ⁿ )에 대해 C= A⋅B라 하면

 #

이다.

3.3 타입 II

타입 II인 경우 Z_{2n + 1}에서 τ=-1이므로 β = α+α^-1이다. 그리고 보조정리 1에 의하여 #이므로 타입 I의 경우와 같이 GF(2ⁿ )의 정규기저는 집합적으로 다음과 같다.

# = {α+α^-1, α^{2 +}α^-2 , ⋯, αⁿ⁺α^-n}.

따라서 GF(2ⁿ )의 원소 A의 계수 위치를 다시 정리하면

 #

이다. 또한, A를 GF(2ⁿ)의 원소  #로 표시하면 다음과 같다.

 #

이 경우, 1≤i≤n에 대해 A_i = A_{2n + 1 - i} = a_i이다. 그러므로 정리 3의 타입 I 경우의 곱의 parity check bit를 적용하면 다음과 같다.

#       (1)

정리 4. n이 타입 II 최적 정규기저의 경우 C= A⋅B의 parity bit는 다음과 같다.

#

증명. GF(2ⁿ )의 원소 #를 GF(2ⁿ)의 원소로 표시하면

#

이므로 정수로 #이고, 식 (1)과 1≤i≤n에 대하여 A_i = A_{2n + 1 - i} = a_i , B_i = B_{2n + 1 - i} = a_i 이므로 정수로

#

이다. 그러므로 C_P(pred)=#이다.

예제 1. n = 3은 타입 II의 경우다. f(x) = x³ +x² +1의 근 β는 GF(2³ )의 타입 II의 최적 정규기저 생성자이다.

[I] # 라 하고, #, #를 이용하면

C=AB

#

이므로 C_P(pred) = a₁b₁ +a₂b₂ +a₃b₃이다.

[II] I에서 β = α+α^{- 1} , a : (2⋅3+1)th primitive root of unity라 하면

 #

이므로

 #

이다. α⁷ = 1과 1 = α+α² +⋯+α⁶을 이용하여 다음을 계산할 수 있다.

 #

이다. 그러므로 유한체의 원소 A,B의 곱은 다음과 같다.

 #

이다. 따라서

# 

이므로 C_P = a₁b₁+a₂b₂ +a₃b₃이다.

3.4 타입 k, k≥4, k 는 짝수 인 경우

타입 k인 경우 정리 1에 의하여 #가 정규 기저 생성자이다.

정리 5. #라 하자. A를 #의 원소로 표시하면 1 ≤ j ≤ nk인 j에 대하여 j = 2ⁱ τ ^l을 만족하는 i∈{0,⋯,n-1}, l∈{0,⋯,k-1}이 존재하면 A_j = a_{i + 1}이다.

증명.

#이고 보조정리 1에 의하여

#

이므로 고정된 0≤i≤n-1에 대하여 j = 2ⁱ τ ^l ,0≤l≤k-1인 경우 A_j = a_{i + 1}이다. 

k가 짝수이므로 τ ^k/2 =-1∈Z_{nk + 1}이다. 위의 정리에 의하여 \(\tau^{k/2}=-1 \in Z_{nk+1}\)의 계수는 A의 각 계수가 k번 반복되는 것을 알 수 있다. 즉, 정수로 \(\overline {A_{P}}=kA_P\)이다.

정리 6. n이 타입 k인 경우 C= AB∈GF(2ⁿ )인 경우 parity bit는  C_p(pred)=\(\sum_{i=1}^{n}a_i b_i\) 이다.

증명. A, B, C를

# 

로 표시하면 정리 3의 타입 I 경우의 Parity bit를 적용하면 다음과 같다.

 #

그리고 정수로 \(\overline {A_{P}}=kA_P\)이고 j = 2ⁱ τ ^l , 1 ≤ j ≤ nk, 0≤i≤n-1, 0≤l≤k-1인 경우

nk+1-j = τ ^k/22ⁱτ ^l = 2ⁱ τ ^{k/2 + l} modnk+1

이고 A_j = A_{nk + 1 - j}이므로

# 

이다. 따라서 정수로 보면

# 

이다. 그러므로 C_p(pred)=\(\sum_{i=1}^{n}a_i b_i\)이다.

IV. 복잡도 분석

4.1 직렬 곱셈기

정규기저에 관한 직렬 곱셈기는 2005년에 A. Reyhani-Masolleh와 M.H.Hasan[12]이 AND, XOR, Time Delay 부분에서 효율적인 것을 제안하였다. C.H. Kim 등[13]은 타입 IV의 경우 A. Reyhani-Masolleh의 곱셈기와 같은 복잡도를 가지나 타입 X 의 경우 더 효율적인 Time Delay를 갖는 곱셈기를 제안하였다. 이 곱셈기들은 n-bit Input, n-bit Ouput으로 구성된 곱셈기이다. 이 곱셈기에 3장의 내용을 추가한 오류 탐지 곱셈기에 관하여 살펴보자. 먼저 직렬곱셈기는 Fig.2.와 같이 두 입력 A, B에 대하여 n 클락(clock)후 곱셈 결과를 n 비트 출력하도록 구성되어 있다.

Fig.2. n-bit Output Serial-Multiplier

타입 k (even) 가우시안 정규기저를 갖는 유한체 GF(2ⁿ )의 곱셈 오류 탐지를 위하여 \(\sum_{i=1}^{n}a_i b_i\)를 계산하는 것이 필요하다. 그리고 곱셈기 결과 값과 비교하기 위한 C_P(Act) 계산이 필요하고 마지막으로 C_P(Act) 와 C_P(pred)의 XOR 연산이 필요하다. 구체적으로 보면 \(\sum_{i=1}^{n}a_i b_i\)계산은 곱셈기가 연산하는 동안 1 번의 AND와 XOR로 구성된다. C_P(Act)의 계산은 곱셈이 끝난 후에 이루어진다. GF(2⁵ )의 구체적인 예는 Fig.3.과 같다. Fig.3(a).는 곱셈기이고 Fig.3(b). 는 오류 탐지가 포함된 연산기이다[15]. GF(2⁵ )의 경우는 타입 II 최적 정규기저를 갖는 유한체로 전체 gate(AND+XOR)의 개수는 m+ (3m-1)/2개 이고 1T_A +2T_X의 지연이 있는 곱셈기이다[14,15]. 2006년에 Reyhani-Masoleh [12]는 전체 gate(AND+XOR)의 개수가 타입IV인 경우 (7n-3)/2이고 일반적으로는 (C_n +3m)/2인 것을 제안하였다. 이러한 모든 경우에 오류 탐지 C_P(pred)에 필요한 gate 수는 AND gate 1개, XOR gate 1개, 1-bit register 1개가 필요하다. 구체적인 것은 표 1에 제시하였다. 시간 복잡도는 타입 k의 경우 1 clock 당 T_A+ (1+lg⌈k⌉)T_X 이 필요하나 전체 계산 결과를 출력하는데 필요한 n clock을 고려하면 n (TA+ (1+lg⌈k⌉)TX ) 의 시간 복잡도가 필요하다. 오류 탐지 곱셈기는 A와 B의 곱 결과의 bit와 C_P(pred)의 XOR에 필요한 lg⌈n+1⌉T_X가 추가로 더 필요하다. 복잡도는 Table 1.에 제시하였다.

Fig.3(a). Serial-Multiplier of GF(2⁵ )

Fig.3(b). Error Detection Serial-Multiplier of GF(2⁵)

Table 1. Complexities and overhead of Error Detection Serial-Multiplier 25* GF(2 n ):NIST recommended field, II:233, IV:409,163, X:571

4.2 병렬 곱셈기

병렬 곱셈기는 Fig.1.의 CUT블록에서 A⋅B 를 병렬로 계산해서 결과를 출력한다. [16]의 유한체 GF(2³ )의 곱셈기는 Fig.4(a).와 같다. 또한 이 곱셈기에 오류 확인 연산을 추가하면 Fig.4(b).이다.

Fig.4(a). Parallel-Multiplier of GF(2³ )

Fig.4(b). Error Detection Parallel-Multiplier of GF(2³ )

일반적으로 타입 k 가우시안 정규기저 병렬곱셈기는 (nC_N+3n² -2n)/2 이하의 공간복잡도를 가지며 타입 IV인 경우는 (7n² -9n)/2이다[17,18]. 오류 탐지 곱셈기에는

\(\sum_{i=1}^{n}a_{i}b_{i}, \ C_{P}(Act),\ C_P(act)+C_P(pred)\)

계산에 2n-1개의 gate가 필요하다. 시간 복잡도는 T_A+⌈lgC_N⌉T_X 이하이고 오류 확인에는 \(\sum_{i=1}^{n}a_{i}b_i\)는 곱셈기와 같은 타임에 계산하므로 오류 확인에는 C_P(Act), C_P(act) +C_P(pred) 계산에 필요한⌈lg(n+1)⌉T_X가 더 필요하다. 유한체 GF(2³ )의 병렬 곱셈기와 병렬 오류 탐지 곱셈기의 예는 Fig.4(b).와 같다. 전제적인 복잡도는 Table 2.에 제시하였다.

Table 2. Complexities and overhead of Error Detection Parallel-Multiplier

^* GF(2ⁿ ):NIST recommended field, II:233, IV:409, 163, X:571

V. 결론

정보보호 관련 오류 주입 공격에 대비하기 위한 유한체 연산의 오류 탐지 방법에 대한 관심이 높아지고 있다. 이 논문에서는 가우시안 정규기저를 사용한 곱셈 연산의 오류 탐지 방법을 제안하였다. 타입 k(even)의 유한체에 대하여 병렬곱셈기의 경우 n 개의 AND gate 와 2n-1 개의 XOR gate, n-bit 출력의 직렬곱셈기의 경우 1 개의 AND gate, n+1개의 XOR gate, 1 개의 1-bit Register가 필요한 오류 탐지 방법을 제안하였다. 시간복잡도는 타입 IV 정규 기저를 갖는 n = 163인 경우 직렬곱셈기는 1.23%, 병렬곱셈기는 72.7% 증가한다. 모든 경우 C= A⋅B 연산에서 홀수 비트 개의 오류가 발생하면 탐지할 수 있다.

* 이 논문은 2013학년도 세명대학교 교내학술연구비 지원에 의해 수행된 연구임.