• 한국정보통신설비학회:학술대회논문집
• /
• 한국정보통신설비학회 2006년도 하계학술대회
• /
• pp.219-222
• /
• 2006

In this paper we present a cryptanalysis of the generalized patchwork algorithm under the assumption that the attacker possesses only a single copy of the watermarked audio. In the scheme, watermark is inserted by modifying randomly chosen DCT values in each block of the original audio. Towards the attack we first fit low degree polynomials (which minimize the mean square error) on the data available from each block of the watermarked content. Then we replace the corresponding DCT data of the at-tacked audio by the available data from the polynomials to construct an attacked audio. The technique nullifies the modification achieved during watermark embedding. Experimental results show that recovery of the watermark becomes difficult after the attack.

• 한국항행학회논문지
• /
• 제16권5호
• /
• pp.787-793
• /
• 2012

64-비트 블록 암호 Piccolo-128은 무선 센서 네트워크 환경과 같이 제한된 환경에 적합하도록 설계된 경량 블록 암호이다. 본 논문에서는 Piccolo-128에 대한 biclique 공격을 제안한다. 본 논문에서 제안하는 공격은 $2^{24}$개의 선택 평문과 약 $2^{127.35}$의 계산 복잡도를 이용하여 Piccolo-128의 비밀키를 복구한다. 본 논문의 공격 결과는 Piccolo-128의 전체 라운드에 대한 첫 번째 이론적인 분석 결과이다.

• 정보보호학회논문지
• /
• 제18권6A호
• /
• pp.179-183
• /
• 2008

최근, Park 등은 RSA의 기반 인증된 키 교환 프로토콜을 제안하고, 제안한 프로토콜의 안전성을 증명했다. 본 논문에서는 Park 등에 의해 제안된 프로토콜을 분석하고, 사전공격에 취약함을 보인다. 또한 제안하는 공격의 성능을 분석함으로써 공격 방법이 Park 등이 제안한 프로토콜에 매우 효율적임을 보인다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제18권2호
• /
• pp.478-493
• /
• 2024

In this paper, the Mixed Integer Linear Programming (MILP) model is improved for searching differential characteristics of block cipher Midori-64, and 4 search strategies of differential path are given. By using strategy IV, set 1 S-box on the top of the distinguisher to be active, and set 3 S-boxes at the bottom to be active and the difference to be the same, then we obtain a 5-round differential characteristics. Based on the distinguisher, we attack 12-round Midori-64 with data and time complexities of 2⁶³ and 2^103.83, respectively. To our best knowledge, these results are superior to current ones.

• 정보보호학회논문지
• /
• 제27권3호
• /
• pp.467-476
• /
• 2017

본 논문에서는 라운드 함수의 업데이트 함수로 SP 구조를 사용하고 비밀 S-box가 적용된 GFN(Generalized Feistel Networks) Type I, Type II, Type III에 대한 안전성을 분석한다. 이 환경에서 공격자는 S-box에 대한 정보를 갖지 못한다. 인테그랄 공격 기법(Integral attack) 기반의 선택 평문 공격으로 9 라운드(Type I), 6 라운드(Type II), 6라운드(Type III)에 대한 비밀 S-box 정보를 복구할 수 있다. 선택 암호문 공격으로 전환할 경우 GFN Type I의 16 라운드까지 비밀 S-box의 정보가 복구된다. 결론적으로 m비트 비밀 S-box와 $k{\times}k$ MDS 행렬이 라운드 함수로 사용된 GFN Type I, Type II, Type III에 대하여 비밀 S-box를 복구하는데 ${\frac{2^{3m}}{32k}},{\frac{2^{3m}}{24k}},{\frac{2^{3m}}{36k}}$만큼의 시간복잡도가 필요하다.

• 정보보호학회논문지
• /
• 제30권3호
• /
• pp.337-347
• /
• 2020

RYPTO 2019에 발표된 Gohr의 연구결과는 딥러닝 기술이 암호분석에 활용될 수 있음을 보여주었다. 본 논문에서는 특정 구조를 가진 S-box를 딥러닝 기술이 식별할 수 있는지 실험한 결과를 제시한다. 이를 위해, 2가지 실험을 수행하였다. 첫 번째로는, 경량암호 설계에 주로 사용하는 Feistel 및 MISTY, SPN, multiplicative inverse 구조를 가진 S-box의 DDT 및 LAT로 학습 데이터를 구성하고 딥러닝 알고리즘으로 구조를 식별하는 실험을 수행하여 구조는 물론 라운드까지 식별할 수 있었다. 두 번째로는 Feistel 및 MISTY 구조가 특정 라운드까지 의사난수성을 보이는지에 대한 실험을 통해 이론적으로 제시된 라운드 수 보다 많은 라운드 수에서 random한 함수와 구분할 수 있음을 확인하였다. 일반적으로, 군사용 등 고도의 기밀성 유지를 위해 사용되는 암호들은 공격이나 해독을 근본적으로 차단하기 위해 설계정보를 공개하지 않는 것이 원칙이다. 본 논문에서 제시된 방법은 딥러닝 기술이 이처럼 공개되지 않은 설계정보를 분석하는 하나의 도구로 사용 가능하다는 것을 보여준다.

• 정보보호학회논문지
• /
• 제32권5호
• /
• pp.807-816
• /
• 2022

SITM (See-In-The-Middle)은 부채널 정보를 차분 분석에 활용하는 분석 기법이다. 이 공격은 블록암호 구현시 마스킹 되지 않은 중간 라운드의 전력 파형을 수집하여 공격자의 차분 패턴을 만족하는 평문 쌍을 선별하고 이를 차분 분석에 활용하여 키를 복구한다. NIST 경량 암호 표준화 공모사업의 최종 후보 중 하나인 Romulus는 Tweakable 블록암호 Skinny-128-384+를 기반으로 한다. 본 논문에서는 SITM 공격을 14-라운드 부분 마스킹 구현된 Skinny-128-384에 적용하였다. 이 공격은 기 제안된 결과보다 depth를 한 라운드 증가한 것뿐만 아니라 시간/데이터 복잡도를 2^14.93/2^14.93으로 줄였다. Depth는 전력 파형을 수집하는 블록암호의 라운드 위치를 뜻하며, 이 공격에 대응하기 위해 부분 마스킹 기법 적용 시 필요한 적절한 마스킹 라운드 수를 측정할 수 있다. 더 나아가 공격을 Romulus의 Nonce 기반 AE 모드 Romulus-N으로 확장하였으며, Tweakey의 구조적 특징을 이용하면 Skinny-128-384보다 적은 복잡도로 공격할 수 있음을 보인다.

• 정보보호학회논문지
• /
• 제33권2호
• /
• pp.175-182
• /
• 2023

차분 분석은 블록 암호에 대한 분석 기법 중 하나이며, 입력 차분에 대한 출력 차분이 높은 확률로 존재한다는 성질을 이용한다. 무작위 데이터와 특정 출력 차분을 갖는 데이터를 구별할 수 있다면, 차분분석에 대한 데이터 복잡도를 감소시킬 수 있다. 이를 위해 딥러닝 기반의 신경망 구별자에 대한 연구들이 다수 진행되었으며, 본 논문에서는 PIPO 64/128에 대한 최초의 딥러닝 기반의 신경망 구별자를 제안하였다. 여러 입력 차분들을 사용하여 실험한 결과, 0, 1, 3, 5-라운드의 차분 특성에 대한 3 라운드 신경망 구별자가 각각 0.71, 0.64, 0.62, 0.64의정확도를달성하였다. 이 구별자는 고전 구별자와 함께 사용될 경우 최대 8 라운드에 대한 구별 공격이 가능하도록 한다. 따라서 여러 라운드의 입력 차분을 처리할 수 있는 구별자를 찾아냄으로써 확장성을 확보하였다. 향후에는 성능 향상을 위한 최적의 신경망을 구성하기 위해 다양한 신경망 구조를 적용하고, 연관 키 차분을 사용하거나 다중 입력차분을 위한 신경망 구별자를 구현할 예정이다.

• 정보보호학회논문지
• /
• 제19권1호
• /
• pp.43-51
• /
• 2009

1998년 Kocher 등이 블록암호에 대한 차분전력공격(Differential Power Attack, DPA)을 발표하였는데 이 공격으로 스마트 카드와 같이 위조방지가 되어있는 장비에서도 암호알고리즘 연산에 사용된 암호키를 추출할 수 있다. 2003년 Akkar와 Goubin은 DES와 같은 블록암호의 전 후반 $3{\sim}4$ 라운드의 중간값을 마스킹 값으로 랜덤화해서 전력분석을 불가능하게 하는 마스킹 방법을 소개하였다. 그 후, Handschuh 등이 차분분석을 이용해서 Akkar의 마스킹 방법을 공격할 수 있는 방법을 발표하였다. 본 논문에서는 부정차분 분석을 이용해서 공격에 필요한 평문수를 Handschuh 등이 제안한 공격방법 보다 효과적으로 감소시켰으며 키를 찾는 마지막 절차를 개선하여 공격에 사용되는 옳은 입력쌍을 선별하기 위한 해밍웨이트 측정시 발생할 수 있는 오류에 대해서도 효율적인 공격이 가능함을 증명하였다.

• ETRI Journal
• /
• 제35권1호
• /
• pp.131-141
• /
• 2013

Integral cryptanalysis, which is based on the existence of (higher-order) integral distinguishers, is a powerful cryptographic method that can be used to evaluate the security of modern block ciphers. In this paper, we focus on substitution-permutation network (SPN) ciphers and propose a criterion to characterize how an r-round integral distinguisher can be extended to an (r+1)-round higher-order integral distinguisher. This criterion, which builds a link between integrals and higher-order integrals of SPN ciphers, is in fact based on the theory of direct decomposition of a linear space defined by the linear mapping of the cipher. It can be directly utilized to unify the procedure for finding 4-round higher-order integral distinguishers of AES and ARIA and can be further extended to analyze higher-order integral distinguishers of various block cipher structures. We hope that the criterion presented in this paper will benefit the cryptanalysts and may thus lead to better cryptanalytic results.