• 정보보호학회논문지
• /
• 제32권5호
• /
• pp.807-816
• /
• 2022

SITM (See-In-The-Middle)은 부채널 정보를 차분 분석에 활용하는 분석 기법이다. 이 공격은 블록암호 구현시 마스킹 되지 않은 중간 라운드의 전력 파형을 수집하여 공격자의 차분 패턴을 만족하는 평문 쌍을 선별하고 이를 차분 분석에 활용하여 키를 복구한다. NIST 경량 암호 표준화 공모사업의 최종 후보 중 하나인 Romulus는 Tweakable 블록암호 Skinny-128-384+를 기반으로 한다. 본 논문에서는 SITM 공격을 14-라운드 부분 마스킹 구현된 Skinny-128-384에 적용하였다. 이 공격은 기 제안된 결과보다 depth를 한 라운드 증가한 것뿐만 아니라 시간/데이터 복잡도를 2^14.93/2^14.93으로 줄였다. Depth는 전력 파형을 수집하는 블록암호의 라운드 위치를 뜻하며, 이 공격에 대응하기 위해 부분 마스킹 기법 적용 시 필요한 적절한 마스킹 라운드 수를 측정할 수 있다. 더 나아가 공격을 Romulus의 Nonce 기반 AE 모드 Romulus-N으로 확장하였으며, Tweakey의 구조적 특징을 이용하면 Skinny-128-384보다 적은 복잡도로 공격할 수 있음을 보인다.

• 정보보호학회논문지
• /
• 제33권3호
• /
• pp.391-399
• /
• 2023

본 논문에서는 경량 블록 암호인 PIPO-64/128, 256에 대해 T-table을 사용한 구현을 최초로 제시한다. 제안 방법은 최초 16개의 T-table을 요구하지만, 필요한 두 종류의 T-table이 순환 구조임을 보이고 T-table 개수를 줄여 구현하는 변형 방법을 추가로 제시한다. 제안 방법들의 T-table 수(코드 크기)-속도간 상충관계 분석을 위해 각각 변형 구현물을 Intel Core i7-9700K 프로세서 환경에서 평가한다. 평가를 통해 획득한 속도 최적화 구현은 TLU(Table-Look-Up) 레퍼런스 구현에 비해 PIPO-64/128, 256에서 각각 11.33, 9.31배, 비트 슬라이스(Bit Slice) 레퍼런스 구현에 비해 각각 3.31, 2.76배 향상된 속도를 갖는다.

• 한국정보통신학회논문지
• /
• 제20권11호
• /
• pp.2093-2099
• /
• 2016

PRESENT, ARIA, AES의 3가지 블록 암호 알고리듬을 지원하는 다중 암호 프로세서 설계에 대해 기술한다. 설계된 암호 칩은 PRmo (PRESENT with mode of operation), AR_AS (ARIA_AES) 그리고 AES-16b 코어로 구성된다. 64-비트 블록암호 PRESENT를 구현하는 PRmo 코어는 80-비트, 128-비트 키 길이와 ECB, CBC, OFB, CTR의 4가지 운영모드를 지원한다. 128-비트, 256-비트 키 길이를 지원하는 AR_AS 코어는 128-비트 블록암호 ARIA와 AES를 자원공유 기법을 적용하여 단일 데이터 패스로 통합 구현되었다. 128-비트 키 길이를 지원하는 AES-16b 코어는 저면적 구현을 위해 16-비트의 데이터패스로 설계되었다. 각 암호 코어는 on-the-fly 키 스케줄러를 포함하고 있으며, 평문/암호문 블록의 연속적인 암호/복호화 처리가 가능하다. FPGA 검증을 통해 설계된 다중 블록 암호 프로세서의 정상 동작을 확인하였다. $0.18{\mu}m$ 공정의 CMOS 셀 라이브러리로 합성한 결과, 54,500 GEs (gate equivalents)로 구현이 되었으며, 55 MHz의 클록 주파수로 동작 가능하다.

• ETRI Journal
• /
• 제23권4호
• /
• pp.158-167
• /
• 2001

We examine the diffusion layers of some block ciphers referred to as substitution-permutation networks. We investigate the practical and provable security of these diffusion layers against differential and linear cryptanalysis. First, in terms of practical security, we show that the minimum number of differentially active S-boxes and that of linearly active S-boxes are generally not identical and propose some special conditions in which those are identical. We also study the optimal diffusion effect for some diffusion layers according to their constraints. Second, we obtain the results that the consecutive two rounds of SPN structure provide provable security against differential and linear cryptanalysis, i.e., we prove that the probability of each differential (resp. linear hull) of the consecutive two rounds of SPN structure with a maximal diffusion layer is bounded by $p^n(resp.q^n)$ and that of each differential (resp. linear hull) of the SDS function with a semi-maximal diffusion layer is bounded by $p^{n-1}(resp. q^{n-1})$, where p and q are maximum differential and linear probabilities of the substitution layer, respectively.

• 정보처리학회논문지C
• /
• 제9C권3호
• /
• pp.307-312
• /
• 2002

동기식 스트림 암호에 적용하기 위한 여러 가지 Zero suppression(ZS) 알고리즘 중에서 ZS-2 알고리즘은 블록동기기능 제거, 구현 용이성 등 여러 가지 좋은 특성을 보여주고 있다. 하지만, 이 방법은 채널 오류 확산 측면에서 취약점을 보이고 있다. 따라서, 본 논문에서는 열악한 잡음 채널에서 오류 확률에 따른 성능을 개선하기 위하여 ZS-2에서 실행했던 대체 블록에서의 대체 비트 수를 최소화시키는 새로운 방법을 제안하였다. 결과적으로, 제안된 ZS-3 기법은 n=8에서 평균 오류 확산을 ZS-2의 값 보다 18.7% 떨어뜨리는 좋은 특성을 나타냄을 확인하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권2호
• /
• pp.600-616
• /
• 2021

SIMON and SPECK are two families of lightweight block ciphers that have excellent performance on hardware and software platforms. At CRYPTO 2019, Gohr first introduces the differential cryptanalysis based deep learning on round-reduced SPECK32/64, and finally reduces the remaining security of 11-round SPECK32/64 to roughly 38 bits. In this paper, we are committed to evaluating the safety of SIMON cipher under the neural differential cryptanalysis. We firstly prove theoretically that SIMON is a non-Markov cipher, which means that the results based on conventional differential cryptanalysis may be inaccurate. Then we train a residual neural network to get the 7-, 8-, 9-round neural distinguishers for SIMON32/64. To prove the effectiveness for our distinguishers, we perform the distinguishing attack and key-recovery attack against 15-round SIMON32/64. The results show that the real ciphertexts can be distinguished from random ciphertexts with a probability close to 1 only by 2^8.7 chosen-plaintext pairs. For the key-recovery attack, the correct key was recovered with a success rate of 23%, and the data complexity and computation complexity are as low as 2⁸ and 2^20.1 respectively. All the results are better than the existing literature. Furthermore, we briefly discussed the effect of different residual network structures on the training results of neural distinguishers. It is hoped that our findings will provide some reference for future research.

• 정보보호학회논문지
• /
• 제14권5호
• /
• pp.57-68
• /
• 2004

블록 암호 분석 기법 중 Rectangle 공격과 연관키 공격은 잘 알려진 강력한 블록 암호 분석 도구이다. 본 논문에서는 Rectangle 공격과 연관키 공격을 결합한 연관키 Rectangle 공격을 소개한다. 두 가지 분석 기법의 특징과 장점을 적절히 이용하는 연관키 Rectangle 공격은 512-비트 키를 사용하는 59-라운드 SHACAL-1에 효과적으로 적용된다. 59-라운드 SHACAL-1의 연관키 Rectangle 공격은 2$^{149.72}$개의 선택 평문과 대략 2$^{498.30}$번의 59-라운드 SHACAL-1 암호화 과정으로 연관키를 구할 수 있다.

• 정보보호학회논문지
• /
• 제15권3호
• /
• pp.103-107
• /
• 2005

미 연방 표준 블록 암호 AES에 대한 불능 차분 공격은 $2^{91.5}$개의 선택 평문과 $2^{122}$번의 암호화 과정을 요구하는 6 라운드 공격이 제시되었다$^[4]$. 본 논문에서는 AES에 대한 여러 가지 4 라운드 불능 차분 특성을 소개하고. 이를 이용하여 6 라운드 AES에 대한 향상된 불능 차분 공격을 제시한다. 향상된 6 라운드불능 차분 공격은 $2^{83.4}$개의 선택 평문과 $2^{105.4}$번의 암호화 과정으로 첫 번째와 마지막 라운드 키의 11 바이트를 찾는다.

• 정보처리학회논문지C
• /
• 제17C권3호
• /
• pp.233-242
• /
• 2010

전력분석 공격이 소개되면서 다양한 대응법들이 제안되었고 그러한 대응법들 중 블록 암호의 경우, 암/복호화의 연산 도중 중간 값이 전력 측정에 의해 드러나지 않도록 하는 마스킹 기법이 잘 알려져 있다. SEED는 비선형 연산으로 32 비트 덧셈 연산과 S-box 연산을 동시에 사용하고 각 연산에 대한 마스킹 방법이 조화를 이룰 수 있도록 마스킹 형태 변환 과정이 필요하다. 본 논문에서는 SEED의 구조적 특성을 고려하여, 연산 시간이 많이 필요한 마스킹 형태 변환 횟수를 최소화 하도록 새로운 마스킹 S-box 설계법을 제안한다. 또한 마스킹 S-box 테이블을 하나만 생성하고 이것으로 나머지 마스킹 S-box 연산을 대체할 수 있는 연산식을 만들어 기존 마스킹 기법에 비해 마스킹 S-box로 인한 RAM 사용량을 절반으로 줄여 메모리 크기면에서도 효율적이도록 구성하였다.

• 정보보호학회논문지
• /
• 제25권2호
• /
• pp.253-260
• /
• 2015

부채널 공격(Side Channel Attack)은 전력신호, 전자파, 소리 등과 같은 부가적인 채널의 정보를 이용하여 암호 알고리즘을 분석하는 방법이다. 이러한 공격에 대한 블록 암호의 대응 기법으로 마스킹 덧붙이기가 널리 사용된다. 하지만 마스킹의 적용은 암호 알고리즘의 부하가 크기 때문에 처음 또는 마지막 몇 라운드에만 마스킹을 덧붙이는 축소마스킹을 사용한다. 본 논문에서는 처음 1~6라운드 축소 마스킹이 적용된 경량 블록 암호 LEA에 대한 부채널 공격을 처음으로 제안한다. 제안하는 공격은 암호화 수행 과정에서 획득할 수 있는 중간 값에 대한 해밍 웨이트와 차분 특성을 이용하여 공격을 수행한다. 실험 결과에 의하면, 128 비트 마스터 키를 사용하는 LEA의 첫 번째 라운드 키 192 비트 중에 25 비트를 복구할 수 있다.