• 정보처리학회논문지C
• /
• 제17C권3호
• /
• pp.233-242
• /
• 2010

전력분석 공격이 소개되면서 다양한 대응법들이 제안되었고 그러한 대응법들 중 블록 암호의 경우, 암/복호화의 연산 도중 중간 값이 전력 측정에 의해 드러나지 않도록 하는 마스킹 기법이 잘 알려져 있다. SEED는 비선형 연산으로 32 비트 덧셈 연산과 S-box 연산을 동시에 사용하고 각 연산에 대한 마스킹 방법이 조화를 이룰 수 있도록 마스킹 형태 변환 과정이 필요하다. 본 논문에서는 SEED의 구조적 특성을 고려하여, 연산 시간이 많이 필요한 마스킹 형태 변환 횟수를 최소화 하도록 새로운 마스킹 S-box 설계법을 제안한다. 또한 마스킹 S-box 테이블을 하나만 생성하고 이것으로 나머지 마스킹 S-box 연산을 대체할 수 있는 연산식을 만들어 기존 마스킹 기법에 비해 마스킹 S-box로 인한 RAM 사용량을 절반으로 줄여 메모리 크기면에서도 효율적이도록 구성하였다.

• 정보보호학회논문지
• /
• 제25권2호
• /
• pp.253-260
• /
• 2015

부채널 공격(Side Channel Attack)은 전력신호, 전자파, 소리 등과 같은 부가적인 채널의 정보를 이용하여 암호 알고리즘을 분석하는 방법이다. 이러한 공격에 대한 블록 암호의 대응 기법으로 마스킹 덧붙이기가 널리 사용된다. 하지만 마스킹의 적용은 암호 알고리즘의 부하가 크기 때문에 처음 또는 마지막 몇 라운드에만 마스킹을 덧붙이는 축소마스킹을 사용한다. 본 논문에서는 처음 1~6라운드 축소 마스킹이 적용된 경량 블록 암호 LEA에 대한 부채널 공격을 처음으로 제안한다. 제안하는 공격은 암호화 수행 과정에서 획득할 수 있는 중간 값에 대한 해밍 웨이트와 차분 특성을 이용하여 공격을 수행한다. 실험 결과에 의하면, 128 비트 마스터 키를 사용하는 LEA의 첫 번째 라운드 키 192 비트 중에 25 비트를 복구할 수 있다.

• 대한전자공학회논문지SP
• /
• 제47권1호
• /
• pp.159-168
• /
• 2010

전력 분석 공격의 다양한 대응법들 중 대칭키 암호의 경우, 암/복호화, 키 스케쥴링의 연산 도중 중간 값이 전력 측정에 의해 드러나지 않도록 하는 마스킹 기법이 잘 알려져 있다. 대칭키 암호는 Boolean 연산과 Arithmetic연산이 섞여 있으므로 마스킹 형태 변환이 불가피하다. Messerges에 의해서 일반적인 전력 분석 공격에 안전한 마스킹 형태 변환 알고리즘이 제안되었고 이에 대한 취약성이 보고되었다. 본 논문에서는 Messerges가 제안한 마스킹 형태 변환 알고리즘에 대한 기존 전력 분석 공격이 불가능함을 보이고 새로운 전력 분석 공격 방법을 제안한다. 마스킹 형태 변환 알고리즘에 대하여 강화된 DPA와 CPA 공격 방법을 제시한 뒤 시뮬레이션 결과로써 제안하는 공격 방법으로 실제 분석이 가능함을 확인한다.

• Journal of Communications and Networks
• /
• 제18권3호
• /
• pp.273-287
• /
• 2016

White-box cryptography presented by Chow et al. is an obfuscation technique for protecting secret keys in software implementations even if an adversary has full access to the implementation of the encryption algorithm and full control over its execution platforms. Despite its practical importance, progress has not been substantial. In fact, it is repeated that as a proposal for a white-box implementation is reported, an attack of lower complexity is soon announced. This is mainly because most cryptanalytic methods target specific implementations, and there is no general attack tool for white-box cryptography. In this paper, we present an analytic toolbox on white-box implementations of the Chow et al.'s style using lookup tables. According to our toolbox, for a substitution-linear transformation cipher on n bits with S-boxes on m bits, the complexity for recovering the $$O\((3n/max(m_Q,m))2^{3max(m_Q,m)}+2min\{(n/m)L^{m+3}2^{2m},\;(n/m)L^32^{3m}+n{\log}L{\cdot}2^{L/2}\}\)$$, where $m_Q$ is the input size of nonlinear encodings,$m_A$ is the minimized block size of linear encodings, and $L=lcm(m_A,m_Q)$. As a result, a white-box implementation in the Chow et al.'s framework has complexity at most $O\(min\{(2^{2m}/m)n^{m+4},\;n{\log}n{\cdot}2^{n/2}\}\)$ which is much less than $2^n$. To overcome this, we introduce an idea that obfuscates two advanced encryption standard (AES)-128 ciphers at once with input/output encoding on 256 bits. To reduce storage, we use a sparse unsplit input encoding. As a result, our white-box AES implementation has up to 110-bit security against our toolbox, close to that of the original cipher. More generally, we may consider a white-box implementation of the t parallel encryption of AES to increase security.

• 전기전자학회논문지
• /
• 제23권3호
• /
• pp.971-977
• /
• 2019

본 논문에서는 국제 표준 블록 암호 AES와 국산 표준 경량 블록 암호인 LEA의 암복호화 속도를 비교 실험한 결과를 소개하고, LEA의 사물인터넷 기기 통신에의 활용 가능성을 확인한다. 두 암호 알고리즘의 속도 측정을 위하여, AES의 경우는 256비트의 무작위 생성 비밀키를, LEA의 경우는 128비트의 무작위 생성 비밀키를 이용하여 암복호화를 수행하였다. 아두이노를 이용한 실험을 진행한 결과, 256비트 비밀키 AES 알고리즘의 경우 암복호화에 약 45ms가 소모되었고, LEA의 경우 128비트 비밀키에 대하여 암복호화에 약 4ms가 소모되었다. 알고리즘 구현 방식과 실험 환경에 따라 속도 차이는 매우 다양할 수 있으나, 본 실험 결과를 통하여 LEA 알고리즘은 경량 에너지 환경을 요구하는 사물인터넷 기기의 보안 알고리즘으로서 충분히 고려해볼 만하다는 것을 확인하였다.

• 정보보호학회논문지
• /
• 제12권4호
• /
• pp.77-85
• /
• 2002

본 논문에서는 TEA[7]와 TEA[6]의 축소된 라운드에 대한 불능 차분 공격 (Impossible Differential Cryptanalysis)에 관하여 알아본다. 이 두 블록 암호의 주요 설계원리는 단순성과 효율성의 추구이다. 그러나 단순성 추구가 큰 확산 (diffusion) 효과를 주지 못하여, XTEA와 TEA의 축소된 라운드에 대한 불능 차분 공격을 가능하게 한다. 구체적으로 말하면 12라운드 불능 차분 특성을 이용하여 14라운드 XTEA에 대하여 $2^{62.5}$개의 선택평문들과 $2^{85}$번의 암호화 과정을 통하여 128비트 마스터키를 찾아낼 수 있다. 또한, TEA의 경우 10라운드 불능 차분 특성을 이용하여 11라운드 마스터키를 $2^{52.5}$개의 선택평문들과 약 $2^{84}$번의 암호화 과정을 통하여 찾아낸다.

• 정보보호학회논문지
• /
• 제21권2호
• /
• pp.149-156
• /
• 2011

전력 분석 공격이 소개되면서 다양한 대응법들이 제안되었고 그러한 대응법들 중 블록 암호의 경우, 암/복호화 연산도중 중간 값이 전력 측정에 의해 드러나지 않도록 하는 마스킹 기법이 잘 알려져 있다. 블록 암호의 마스킹 기법은 비선형 연산에 대한 비용이 가장 크며, 따라서 AES, ARIA, SEED의 경우 S-box에 대한 대응법을 효율적으로 설계해야만 한다. 하지만 기존의 AES, ARIA, SEED의 S-box에 대한 대응 방법은 마스킹 S-box 테이블을 사용하는 방법으로 하나의 S-box당 256 bytes의 RAM을 필수적으로 사용한다. 하지만 가용 RAM의 크기가 크지 않은 경량보안 디바이스에 이러한 기존의 대응법은 사용이 부적합하다. 본 논문에서는 이러한 단점을 보완하기 위해 마스킹 S-box 테이블을 사용하지 않는 새로운 대응법을 제안한다. 본 논문에서 제안하는 새로운 대응 기법은 비용이 적은 ROM을 활용, RAM의 사용량을 줄일 뿐 아니라 마스킹 S-box 테이블 생성 시간을 소요하지 않으므로 축소 라운드마스킹 기법 적용 시 고속화도 가능하다.

• 정보보호학회논문지
• /
• 제19권4호
• /
• pp.21-28
• /
• 2009

전력분석 공격이 소개되면서 다양한 대응법들이 제안되었고 그러한 대응법들 중 블록 암호의 경우, 암/복호화 연산, 키 스케줄 연산 도중 중간 값이 전력 측정에 의해 드러나지 않도록 하는 마스킹 기법이 잘 알려져 있다. 블록 암호의 마스킹 기법은 비선형 연산에 대한 비용이 가장 크며, 따라서 AES의 경우 가장 많은 비용이 드는 연산은 S-box의 역원 연산이다. 이로 인해 마스킹 역원 연산에 대한 비용을 단축시키기 위해 다양한 대응법들이 제안되었고, 그 중 Zakeri의 방법은 복합체 위에서 정규 기저를 사용한 가장 효율적인 방법으로 알려져 있다. 본 논문에서는 복합체 위에서의 마스킹 역원 연산 방식을 변형, 중복되는 곱셈을 발견함으로써 기존 Zakeri의 방법보다 총 게이트 수가 10.5% 절감될 수 있는 마스킹 역원 방법을 제안한다.

• 정보보호학회논문지
• /
• 제33권2호
• /
• pp.165-173
• /
• 2023

본 논문에서는 32-bit RISC-V 프로세서 상에서 경량 블록 암호인 SIMECK과 SIMON의 카운터 운용 모드에 대한 최적 구현을 제안한다. CTR 운용 모드의 특징을 활용하여 일부 값을 사전 연산하는 라운드 함수 최적화, 단일평문 최적화와 2개의 평문 병렬 최적화를 제안한다. RISC-V 상에서의 SIMECK과 SIMON에 대한 선행 연구 결과가 존재하지 않기 때문에 단일 평문 최적화와 2개의 평문 병렬 최적화 구현물에 대해 사전 연산 기법이 적용된 구현물과 사전 연산이 적용되지 않은 구현물의 성능을 비교하였다. 결과적으로, 사전 연산 기법이 적용된 구현물은 사전 연산이 적용되지 않은 구현물 대비 모두 1%의 성능 향상을 확인하였다.

• 한국통신학회논문지
• /
• 제28권11C호
• /
• pp.1077-1087
• /
• 2003

본 논문에서는 IPsec등의 네트워크 보안 프로토콜을 위해 다중모드를 가지는 블록암호시스템의 구조를 제안하고 ASIC 라이브러리를 이용해서 하드웨어로 구현하였다. 블록 암호시스템의 구성을 위해서 AES, SEED, 그리고 3DES 등의 국내외 표준 블록암호화 알고리즘을 사용하였고 네트워크를 비롯한 유/무선으로 입력되는 데이터를 최소의 대기시간(최소 64클럭, 최대 256클럭)만을 가지면서 실시간으로 데이터를 암호화 혹은 복호화시킬 수 있다. 본 설계는 ECB, CBC, OFB뿐 아니라 최근 많이 사용되는 CTR(Counter) 모드를 지원하고 다중 비트단위(64, 128, 192, 256 비트)의 암/복호화를 수행한다. IPsec등의 네트워크 보안 프로토콜로의 연계를 위해 알고리즘 확장성을 보유한 하드웨어로 구현되었고 여러 암호화 알고리즘의 동시적인 동작이 가능하다. 적절한 하드웨어 공유와 프로그래머블한 특성이 강한 내부데이터 패스를 통해 자체적인 블럭암호화 모드를 지원하기 때문에 다양한 방식의 암/복호화가 가능하다. 전체적인 동작은 직렬 통신에 의해서 프로그래밍되고 명령어의 디코딩을 통해 생성된 제어신호가 동작을 결정한다. VHDL을 이용해 설계된 하드웨어는 Hynix 0.25$\mu\textrm{m}$ CMOS 공정을 통해 합성되었고 약 10만 게이트의 자원을 사용하였으며, 100MHz 이상의 클럭 주파수에서 안정적으로 동작함을 NC-Verilog에서 확인하였다.