I. 서론
이론적으로는 안전하다고 알려진 암호시스템을 물리적인 장치에 구현하고 운용할 때 전력소모, 전자파, 발열, 연산소요시간 등과 같이 발생하는 부채널 정보를 이용하여 비밀정보를 복원하는 분석방법을 부채널 분석 공격(Side-Channel Analysis)이라 한다[15].
부채널 분석기법인 차분전력분석(Differential Power Analysis, DPA)[1], 상관전력분석(Correlation Power Analysis, CPA)[2] 등은 많은 수의 전력 파형을 요구하며, 통계적인 방법을 이용하여 추측된 비밀정보 중 옳은 것을 추출한다. 이와 달리 단 하나의 파형만을 이용하여 비밀정보를 복원하는 공격을 단순전력분석(Simple Power Analysis, SPA)이라 한다[1]. SPA 공격은 주로 공개키 암호 알고리즘에 많이 적용되며, 이는 비밀정보에 의존한 연산이 전력 소모량을 통해 시각적으로 구별될 수 있다는 사실을 이용한다.
템플릿 공격(Template Attack)은 공격 대상 장비와 동일한 장비가 있을 때, 수행되는 분석기법이다[3]. 템플릿 공격은 테스트 장비로부터 비밀정보를 특징화시켜 템플릿을 추정하는 프로파일링 단계와 공격 대상 장비로부터 얻은 파형의 비밀정보를 추출하는 매칭단계로 구성된다. 각 단계마다 템플릿 공격의 성능을 결정짓는 이슈가 존재하며, 가장 활발하게 연구된 것은 프로파일링 단계에서의 성능향상이다[4,5,6,7,8,9,14].
프로파일링 단계에서 공격자의 목표는 각 비밀정보마다 고유한 특징을 갖도록 프로파일링을 하는 것이다. 이를 위하여 유의미한 부채널 정보만을 사용하기 위해 적절한 전력 파형의 시점(Points Of Interest, POIs)을 선택하는 방법이 연구되었다[3,4,5,6,7]. 또한 많은 응용분야에서 이미 효율성이 증명된 차원축소기법인 주성분분석(Principal Component Analysis, PCA)과 선형판별분석(Linear Discriminant Analysis, LDA)을 템플릿 공격에 적용한 연구도 진행되었다[8,9]. 템플릿구성 단계에서 두 기법들은 공통적으로 노이즈로 간주되는 데이터가 제외되도록 정보를 집약시키므로써 질 좋은 템플릿을 얻게 하며, 축소된 차원만큼 템플릿 구성시 소요되는 연산량을 감소시킨다는 이점이 있다. 하지만 유의미한 시점보다 적은 파형만 이용하여 템플릿을 구성해야 되는 경우, 선형판별분석을 적용할 수 없다는 단점이 있다. 이를 해결하기 위한 방법으로 [14]에서 공통공분산행렬(Pooled Covariance Matrix)이 소개되었다.
매칭 단계에서 사용할 수 있는 파형이 여러 개일 경우에 각 파형에 대한 템플릿 공격의 결과를 조합하여 매칭 성공률을 높이는 연구가 진행되었다[5,14]. 여러 파형의 평균에 템플릿 공격을 적용하는 방법은 노이즈를 감소시켜 매칭 성공률을 높인다. 또 다른 방법인 각 파형에 대한 템플릿 공격의 결과인 최대우도추정의 확률을 더하거나 곱함으로써 공격의 실패율을 감소시켜 매칭성공률을 향상시킨다.
프로파일링 단계와 매칭 단계에서 파형을 수집하는 시간과 환경의 차이에 의한 템플릿 공격의 성능하락을 해결하기 위한 연구도 진행되었다[10,11,12]. 각 단계에서 사용되는 파형들을 파형들의 평균과 분산으로 정규화하여 템플릿 공격의 성능 하락을 방지한다.
본 논문에서는 템플릿 공격 성능을 향상시키는 방법을 소개한다. 제안한 기법은 템플릿 특징화를 저해시키는 파형들을 선별할 수 있도록 방법과 기준을 제시하며, 이를 통해 질 좋은 템플릿을 구성할 수 있다. 제안한 방법론을 입증하기 위해 8비트 마이크로컨트롤러에서 동작하는 AES(Advanced Encryption Standard) 암호 알고리즘을 구현하여 실험을 진행하였다. 실험한 결과로 평균성공률이 약 3.8% 포인트 증가하였으며, 파형의 수가 적을수록 성능이 향상되는 것을 확인하였다. 이는 제한된 파형을 이용하여 템플릿 공격을 수행해야 되는 공격 환경에서 적용할 수 있는 기법임을 의미한다.
논문은 다음과 같이 구성된다. 2장에서 템플릿 공격과 공통공분산행렬에 대해 소개한다. 3장에서는 프로파일링 단계에서 사용되는 파형의 수가 제한될 때 파형 선별을 통해 전력 파형에 대한 분포 추정을 향상시켜 템플릿 공격의 성능을 향상시키는 방법론을 소개한다. 4장에서는 본 논문에서 제안한 방법론에 대한 실험 결과를 보이고, 5장에서 결론을 짓는다.
II. 관련 연구
이번 장에서는 템플릿 공격에 대해 간단하게 서술하며, 제안하는 방법의 이해를 위한 배경지식을 소개한다.
2.1 템플릿 공격
공격 대상 장비에서 수집 가능한 전력 파형의 수가 제한될 때 차분전력분석, 상관전력분석과 같은 부채널 분석기법은 적용이 힘들어진다. 2002년에 S. Chari 등이 제안한 템플릿 공격[3]은 공격 대상 장비에서 수집 가능한 전력 파형의 수가 제한됨을 가정한 공격이며, 프로파일링 단계와 매칭 단계로 이루어진 대표적인 다변량 프로파일링 부채널 분석기법이다.
본 절에서는 템플릿 공격의 원리와 공격 방법에 대해 소개한다. 사용할 표기법은 다음과 같다. 공격시점에 가능한 모든 중간값이 S개로 공격 대상인 중간값은 ν∈{V1, V2, …, VS}로 나타내며 유의미한 시점을 p개라 할 때, 수집한 n개의 전력 파형 벡터는 tv,1, tv,2, …, tv,n ∈ ℝp×1로 표기한다.
2.1.1 원리
암호시스템이 동작하는 동안 발생하는 부채널 정보인 전력 파형은 암호시스템 내부의 연산과 중간값에 의해 결정되는 신호 부분과 노이즈 부분으로 구성된다[15]. 암호시스템이 동작하는 동안에 발생하는 노이즈는 랜덤하기 때문에 같은 연산하에서 일정 개수 이상 수집된 각 중간값에 대한 전력 파형들의 노이즈들은 확률 분포를 형성한다. 템플릿 공격은 노이즈에 의해 형성된 확률 분포를 가우시안 분포로 가정하며 형성된 확률 분포에 기반한 최대우도추정을 이용하여 수행된다[3].
각 중간값마다 형성된 다변량 가우시안 분포는 고유의 평균 파형 벡터와 공분산행렬을 가지게 된다. 공격 대상 장비로부터 수집한 전력 파형도 해당하는 중간값과 노이즈에 의해 결정되기 때문에 해당 중간값에 대한 가우시안 분포의 파형으로 취급될 수 있다. 이러한 성질을 이용하여 프로파일링 단계에서는 테스트 장비를 이용하여 공격하고자 하는 연산에 대해 모든 가능한 중간값에 대한 가우시안 확률 분포의 표본평균과 표본공분산행렬인 템플릿을 계산한다. 그 후 매칭 단계에서는 공격 대상 장비로부터 수집한 전력 파형을 프로파일링 단계에서 계산한 템플릿과 비교한다. 전력 파형과 템플릿을 비교하기 위해 가우시안 확률밀도함수를 이용한다. 각 템플릿을 이용하여 전력 파형에 대한 가우시안 확률분포값을 계산하였을 때, 최대우도추정에 의하여 확률분포값을 가장 크게 하는 템플릿에 대한 중간값을 공격 대상 전력 파형의 중간값으로 추정한다. 만약 전력 파형의 실제 중간값을 찾을 경우에 중간값이 평문 혹은 암호문과 비밀정보인 키에 의해 연산된다는 사실을 이용하여 비밀정보인 키를 복구해낼 수 있다.
2.1.2 프로파일링 단계
템플릿 공격의 첫 번째 단계인 프로파일링 단계에서는 테스트 장비를 이용하여 각 중간값 v∈{V1, V2, …, VS}에 대한 템플릿을 계산하기 위해 각 중간값마다 전력 파형을 nv개씩 수집한다. 수집된 전력 파형에 대해 공격 대상인 연산 부분에 해당하는 유의미한 시점을 선택하기 위해 상관전력분석(Correlation Power Analysis, CPA), SOST(Sum of Squared pairwise T-difference)등과 같은 방법을 사용하여 p개 시점을 선택한다[3,4,5,6,7]. 선택한 시점 p개로만 이루어진 중간값 v에 대한 nv개의 전력 파형 벡터 tv,1, tv,2,…, tv,nv∈ℝp×1을 얻은 후, 식 (1),(2)를 통해 중간값 v에 대한 템플릿 Tv = (mv, covv)을 계산한다. 식 (2)에서 사용되는 (tv,i - mv)′은 전력 파형 벡터(tv,i - mv)의 전치(transpose)를 의미한다.
\(m_{v}=\frac{1}{n_{v}} \sum_{i=1}^{n_{v}} t_{v, i}\) (1)
\(\operatorname{cov}_{v}=\frac{1}{n_{v}-1} \sum_{i=1}^{n_{v}}\left(t_{v, i}-m_{v}\right)\left(t_{v, i}-m_{v}\right)^{\prime}\) (2)
2.1.3 매칭 단계
프로파일링 단계에서 계산한 템플릿 TV1, TV2, …, TVS을 이용하여 매칭 단계를 진행한다. 프로파일링 단계에서 선택한 시점 p개로 구성된 파형 t∈Rp×1을 공격 대상 장비로부터 수집한다. 수집한 전력 파형 t에 대한 가우시안 확률밀도함수(3)의 값을 계산한다.
\(\begin{aligned} P\left(t \mid m_{v}, \operatorname{cov}_{v}\right) & \\ =& \frac{\exp \left(-\frac{1}{2}\left(t-m_{v}\right)^{\prime} \operatorname{cov}_{v}^{-1}\left(t-m_{v}\right)\right)}{\sqrt{(2 \pi)^{p} \operatorname{det}\left(\operatorname{cov}_{v}\right)}} \end{aligned} \\ where \ v \in\left\{V_{1}, V_{2}, \ldots, V_{S}\right\}\) (3)
\(\widehat{v}=\arg \max _{v \in\left\{V_{1}, V_{2}, \ldots, V_{S}\right\}} \quad p\left(t \mid m_{v}, \operatorname{cov}_{v}\right)\) (4)
전력 파형 t에 대한 확률밀도함수값과 최대우도추정(4)을 이용하여 전력 파형에 적합한 중간값 \(\hat v\)을 구한다. 최대우도추정을 통해 결정된 중간값 \(\hat v\)이 실제 전력 파형의 중간값이라면 평문 혹은 암호문을 이용하여 비밀정보인 키를 복구해낼 수 있다.
2.2 공통공분산행렬을 사용한 템플릿 공격
프로파일링 단계에서 구한 모든 템플릿의 공분산행렬들의 평균을 공통의 공분산행렬로 사용하는 템플릿 공격은 Oswald 등이 처음으로 제안하였다[13]. 이러한 공통의 공분산행렬로 사용되는 공분산행렬을 공통공분산행렬(pooled covariance matrix)이라 한다. 공통공분산행렬은 식 (5)를 통해 계산된다.
\(\operatorname{cov}_{\text {pooled }}=\frac{1}{S} \sum_{v \in V} \operatorname{cov}_{v} \\ \qquad \qquad =\frac{1}{S} \sum_{v \in V} \frac{1}{\left(n_{v}-1\right)} \sum_{i=1}^{n_{v}}\left(t_{v, i}-m_{v}\right)\left(t_{v, i}-m_{v}\right)^{\prime} \\ \qquad \qquad where \ V=\left\{V_{1}, V_{2}, \ldots, V_{S}\right\}\) (5)
템플릿 공격의 매칭 단계에서 다변량 가우시안 확률밀도함수값을 계산하기 위해 공분산행렬의 행렬식과 역행렬 등을 이용한다. 그런데 프로파일링 단계에서 유의미한 시점의 개수보다 적은 전력 파형을 이용하여 공분산행렬을 계산하였을 경우 특이행렬이 되기 때문에 행렬식과 역행렬을 계산할 수 없게 된다. 이러한 계산 문제를 회피하기 위해 공통공분산행렬을 사용한다[14]. 식 (5)에서 공통공분산행렬을 계산할 때 전력 파형을 \(\sum_{v \in\left\{V_{1}, V_{2}, \ldots, V_{S}\right\}} n_{v}\)개 사용하기 때문에 각 중간값마다 필요한 전력 파형의 개수가 기존 템플릿 계산보다 적어지게 된다.
본 논문에서 제안한 기법인 프로파일링 단계에서 노이즈로 간주되는 파형을 제외하여 템플릿을 계산함으로 인해 각 중간값마다 사용되는 전력 파형의 개수가 줄어든다. 이를 공통공분산행렬을 이용하여 특이행렬로 인해 발생할 수 있는 계산문제를 방지한다.
III. 제안기법
본 장에서는 프로파일링 단계에서 노이즈로 간주되는 파형을 제거하는 방법과 기준을 제시하고, 선별된 파형만을 이용하여 템플릿 공격을 수행하는 방법을 설명한다.
3.1 제안기법의 원리
템플릿을 계산할 때 사용되는 전력 파형의 수가 많다면 각 전력 파형이 가우시안 분포의 평균과 공분산행렬의 계산에 미치는 영향이 줄어든다. 즉, 노이즈로 간주되는 전력 파형이 템플릿 계산에 미치는 영향이 줄어든다고 할 수 있다. 그러나 한 템플릿을 계산할 때 사용되는 파형의 수가 제한된다면 템플릿에 대한 각 전력 파형의 영향이 커지게 된다. 이는 노이즈로 간주되는 전력 파형의 영향력이 커지게 됨을 의미하며, 템플릿 계산을 부정확하게 만든다. 결국 프로파일링 단계에서 템플릿 계산에 사용되는 전력 파형의 수가 제한되면 노이즈로 간주되는 전력 파형에 의해 템플릿 공격의 성능이 낮아진다. 이러한 상황을 극복하기 위해 프로파일링 단계에서 템플릿을 계산할 때 노이즈로 간주되는 파형을 제외하고 템플릿을 계산하여 더 정확한 템플릿을 얻는다.
템플릿을 계산할 때 사용되는 전력 파형이 노이즈를 얼마나 포함하는지 판별하기 위해 가우시안 확률밀도함수를 이용한다. 한 템플릿을 계산할 때 사용되는 각 전력 파형에 대해 각 파형을 제외한 나머지 파형으로 템플릿을 계산하고 구한 템플릿에 대한 전력파형의 가우시안 확률밀도함수값을 계산한다. 같은 중간값을 가지는 모든 전력 파형에 대해 가우시안 확률밀도함수값을 계산하였을 때 확률밀도함수값이 낮다면 해당 파형이 다른 파형들이 형성하는 분포의 평균 벡터와 거리가 먼 것을 의미하고 이는 다른 파형들보다 해당 전력 파형이 노이즈가 심하다는 것을 의미한다. 그러므로 가우시안 확률밀도함수값이 낮다면 노이즈 파형으로 판단하고, 그러한 파형들을 일부분 제외하고 프로파일링 단계를 진행한다.
3.2 제안기법
프로파일링 단계에서 각 중간값 v에 대한 템플릿을 계산하기 위해 n개의 전력 파형 tv,1, tv,2, …., tv,n이 있을 때, 다음과 같은 과정을 통해 파형을 선별한다.
Algorithm 1 Trace selection for a template profiling
1) 각 파형 tv,i∈{tv,1, tv,2, …., tv,n}을 제외한 전력 파형들 {tv,1, tv,2, …., tv,n}\{tv,i}로 템플릿 Tv,i = (mv,i,covv,i)을 계산한다.
2) 계산한 템플릿과 제외된 파형에 대한 가우시안 확률밀도함수값 pv,i = P(xv,i|mv,i, covv,i)를 계산한다.
3) 파형과 가우시안 확률밀도함수값의 순서쌍의 집합 {(tv,i, pv,i) | i = 1, 2, …, n}을 확률밀도함수값을 기준으로 정렬한다.
4) 확률밀도함수값이 가장 낮은 파형들을 노이즈 파형으로 간주하여 일정비율을 제외하고 남은 파형들로만 템플릿을 계산한다.
주어진 Algorithm 1은 프로파일링 단계에서 한 템플릿을 계산할 때 파형을 선별하는 방법을 나타낸다.
제시한 방법을 통해 노이즈로 간주되는 전력 파형을 제외하여 템플릿 추정을 향상시킬 수 있게 된다. 그러나 이러한 방법론을 사용할 경우에 프로파일링단계에서 사용되는 파형의 수를 제외하는 비율이 커진다면 공분산행렬이 특이행렬이 될 가능성이 존재한다. 공통공분산행렬을 사용함으로써 공분산행렬의 특이행렬과 같은 계산문제를 방지한다.
IV. 실험
본 장에서는 3장에서 제안한 방법론이 효과가 있음을 실험을 통하여 입증한다.
Table 1. Number of Points of Interest for each target byte in template attack
4.1 실험환경
부채널 분석 보드 KLA-SCARF MSP430[16]을 이용하여 실험을 진행하였다. 자세한 환경은 아래와 같다.
◎ 프로세서: MSP430F2618 (16비트)
◎ 동작 주파수: 8 MHz
◎ 오실로스코프: Lecroy WaveRunner 204Xi-A
◎ 샘플링 속도: 200 MSample/s
◎ 알고리즘: AES-128 Encryption 1 round
◎ 수집한 파형의 개수: 256,000개
◎ 클락당 샘플수: 25 point/clock
◎ 전처리기법: 적용안함
실험에 사용한 AES(Advanced Encryption Standard) 암호 알고리즘에 대한 자세한 사항은 [17]을 참고하면 된다. Fig. 1은 하나의 랜덤평문을 암호화할 때 수집한 전력 파형을 나타낸다.
Fig. 1. A power consumption trace of AES 1 round encryption.
4.2 실험방법
부채널 분석 보드를 통해 수집한 전력 파형에 대해 AES 1라운드의 모든 SubBytes 1 바이트 출력을 대상으로 템플릿 공격을 진행하였다. 먼저 템플릿 공격을 진행하기 위해 각 바이트마다 CPA와 SOST를 이용하여 유의미한 시점을 선택하였다[3,4,5,6,7]. Table 1은 각 바이트마다 선택한 유의미한 시점의 개수를 나타낸다. 공격 대상인 SubBytes 출력에 대해 가능한 중간값(0x00~0xFF)마다 300개를 사용하여 총 76,800개의 전력 파형을 프로파일링 단계에서 사용하였다. 프로파일링에 사용되지 않은 나머지 179,200개의 전력 파형을 매칭 단계에 이용하였다.
제안기법을 적용할 때 파형을 제외하는 비율을 다르게 하여 실험을 진행하였다. 이 때 본 논문에서 제안한 방법의 효과를 입증하기 위해 각각의 16바이트에 대해 제안기법과 공통공분산행렬을 동시에 사용한 템플릿 공격의 각 중간값에 대한 공격 성공률과 공통공분산행렬만 적용한 템플릿 공격의 각 중간값에 대한 공격 성공률을 비교하였다.
4.3 실험결과
Fig. 2는 SubBytes 출력 중에 두 번째 바이트에 대해 공통공분산행렬을 사용하는 템플릿 공격에 제안기법을 적용하여 30%의 전력 파형을 제외하고 템플릿을 계산하였을 때 각 중간값별 공격 성공률의 변화를 나타낸다. 가로축은 두 번째 출력 바이트에 대한 각 중간값을 의미하고 세로축은 기존 템플릿 공격 대비 제안기법을 적용한 템플릿 공격의 공격성공률 변화량을 나타낸다. 전력 파형을 선별하여 템플릿을 구성할 경우 대부분의 중간값별 템플릿 공격의 매칭 성공률이 향상됨을 알 수 있다. 그러나 어떤 중간값에 대해서는 공격 성공률이 하락함을 알 수 있다. 이는 각 중간값별로 템플릿을 계산할 때 제외할 전력 파형의 비율이 과함을 의미한다. 이러한 결과를 통해 각 중간값에 대한 템플릿을 계산할 때 노이즈 파형을 제외할 비율이 다르게 적용되어야 함을 알 수 있다.
Fig. 2. Difference of success rates between template attack uinsg proposed method and pooled covariance matrix and template attack using pooled covariance matrix.
Table 2는 각 SubBytes 출력마다 본 논문에서 제안한 방법에 대해 노이즈 전력 파형을 제거하는 비율을 다르게 할 때 각 중간값에 대한 템플릿 공격의 성공률 변화의 평균을 나타낸 표이다. 각 템플릿을 계산할 때 본 논문에서 제안한 방법에 의해 프로파일링 단계에서 20~30%의 전력 파형을 제외하여 템플릿을 계산하면 중간값별 템플릿 공격의 성공률이 평균적으로 3.730~3.822%포인트 향상된다. 5번째 바이트에서 공격성공률이 약간 하락하였지만 그 외의 모든 바이트 블록에서는 공격성공률이 향상됨을 확인하였다. 이는 제안하는 기법인 템플릿 프로파일링 단계에서 파형을 선별하는 방법이 템플릿 공격의 성능향상을 가져올 수 있음을 의미한다.
Table 2. For each byte, average difference of success rate of our method and original template attack for each byte of intermediate value
V. 결론
본 논문에서는 템플릿 공격의 성능을 향상시키기 위해 프로파일링 단계에서 사용되는 전력 파형들을 선별하여 템플릿 추정의 정확도를 향상시키는 방법론을 제안하였다. 이러한 방법이 타당함을 확인하기 위해 실험을 통해 입증하였다. 제안한 방법에 의해 20~30%의 전력 파형을 제외하고 템플릿을 구성할 경우 중간값별 템플릿 공격의 평균성공률이 약 3.73~3.822%포인트 증가하였다. 이는 본 논문에서 제시한 방법이 템플릿 공격의 성능 향상을 가져올 수 있음을 의미한다. 그러나 제안한 기법의 이론적인 증명과 환경에 따른 파형을 선별하는 비율에 대한 연구는 추후 연구되어야 할 것이다.
제안한 기법이 타당함을 입증하기 위한 실험에서는 공통 공분산 행렬을 사용한 템플릿 공격에 제안한 기법만을 적용하였다. 그러나 전처리 기법인 PCA, LDA, SSA 등을 함께 사용하여 템플릿 공격을 진행하면 더욱 효율적인 템플릿 공격이 가능할 것으로 기대된다.
* 본 연구는 미래창조과학부 및 정보통신기술진흥센터의 대 학 ICT연구센터육성 지원사업의 연구결과로 수행되었음.
References
- P. Kocher, J. Jaffe, and B. Jun, "Differential power analysis," Advances in Cryptology, CRYPTO '99, LNCS 1666, pp. 388-397, Aug. 1999.
- E. Brier, C. Clavier, and F. Olivier, "Correlation power analysis with a leakage model," Cryptographic Hardware and Embedded Systems-CHES 2004, LNCS vol. 3156, pp. 16-29, Aug. 2004.
- S. Chari, J.R. Rao, and P. Rohatgi. "Template Attacks," Cryptographic Hardware and Embedded Systems-CHES 2002, LNCS 2523, pp. 13-28, Aug. 2002.
- C. Rechberger, and E. Oswald. "Practical template attacks." Information Security Application-WISA 2004, LNCS 3325, pp. 440-456, Aug. 2004.
- B. Gierlichs. "Signal Theoretial Methods in Differential Side Channel Cryptanalysis." master's thesis, Ruhr-Universit at Bochum, 2006.
- M. Bar, D. Hermann, and P. Jürgen. "Improved template attacks." Constructive Side-Channel Analysis and Secure Design-COSADE 2010, 2010.
- G. Fan, Y. Zhou, H. Zhang, and D. Feng. "How to Choose Interesting Points for Template Attacks More Effectively?." International Conference on Trusted Systems-INTRUST 2014, LNCS 9473, pp. 168-183, Dec. 2014.
- C. Archambeau, E. Peeters, F.-X. Standaert, and J.-J. Quisquater. "Template attacks in principal subspaces." Cryptographic Hardware and Embedded Systems-CHES 2006, LNCS 4249, pp. 1-14, Oct. 2006.
- F.-X. Standaert, and C. Archambeau. "Using subspace-based template attacks to compare and combine power and electromagnetic information leakages." Cryptographic Hardware and Embedded Systems-CHES 2008, LNCS 5154, pp. 411-425, Aug. 2008.
- M. A. Elaabid, and S. Guilley. "Portability of templates." Journal of Cryptographic Engineering, Vol. 2, Issue 1, pp. 63-74, 2012. https://doi.org/10.1007/s13389-012-0030-6
- D. P. Montminy, R. O. Baldwin, M. A. Temple, E. D. Laspe. "Improving cross-device attacks using zero-mean unit-variance normalization." Journal of Cryptographic Engineering, Vol. 3, Issue 2, pp. 99-110, 2013. https://doi.org/10.1007/s13389-012-0038-y
- O. Choudary, and M.G. Kuhn. "Template attacks on different devices." International Workshop on Constructive Side-Channel Analysis and Secure Design-COSADE 2014, LNCS 8622, pp. 179-198, Apr. 2014.
- D. Oswald, and C. Paar. "Breaking mifare DESFire MF3ICD40: power analysis and templates in the real world." Cryptographic Hardware and Embedded Systems-CHES 2011, LNCS 6917, pp. 207-222, Oct. 2011.
- O. Choudary, and M.G. Kuhn. "Efficient template attacks." International Conference on Smart Card Research and Advanced Applications-CARDIS 2013, LNCS 8419, pp. 253-270, Nov. 2013.
- S. Mangard, E. Oswald, and T. Popp. Power analysis attacks: Revealing the secrets of smart cards. Vol. 31. Springer Science & Business Media, 2008.
- YongJe Choi, DooHo Cho, and JaeCheol Ryou, "Implementing Side Channel Analysis Evaluation Boards of KLA-SCARF system," Journal of The Korea Institude of Information Security & Cryptology, 24(1), pp. 229-240, Feb.2014. https://doi.org/10.13089/JKIISC.2014.24.1.229
- "Information Technology - Security Techniques - Encryption Algorithms - Part 3: Block Ciphers," ISO/IEC 18033-3:2005, 2005.
Cited by
- A Novel Multiple-Bits Collision Attack Based on Double Detection with Error-Tolerant Mechanism vol.2018, pp.1939-0122, 2018, https://doi.org/10.1155/2018/2483619