• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권9호
• /
• pp.4727-4741
• /
• 2019

The lightweight block cipher Piccolo adopts Generalized Feistel Network structure with 64 bits of block size. Its key supports 80 bits or 128 bits, expressed by Piccolo-80 or Piccolo-128, respectively. In this paper, we exploit the security of reduced version of Piccolo from the first round with the pre-whitening layer, which shows the vulnerability of original Piccolo. As a matter of fact, we first study some linear relations among the round subkeys and the properties of linear layer. Based on them, we evaluate the security of Piccolo-80/128 against the meet-in-the-middle attack. Finally, we attack 13 rounds of Piccolo-80 by applying a 5-round distinguisher, which requires $2^{44}$ chosen plaintexts, $2^{67.39}$ encryptions and $2^{64.91}$ blocks, respectively. Moreover, we also attack 17 rounds of Piccolo-128 by using a 7-round distinguisher, which requires $2^{44}$ chosen plaintexts, $2^{126}$ encryptions and $2^{125.49}$ blocks, respectively. Compared with the previous cryptanalytic results, our results are the currently best ones if considering Piccolo from the first round with the pre-whitening layer.

• 정보보호학회논문지
• /
• 제33권2호
• /
• pp.165-173
• /
• 2023

본 논문에서는 32-bit RISC-V 프로세서 상에서 경량 블록 암호인 SIMECK과 SIMON의 카운터 운용 모드에 대한 최적 구현을 제안한다. CTR 운용 모드의 특징을 활용하여 일부 값을 사전 연산하는 라운드 함수 최적화, 단일평문 최적화와 2개의 평문 병렬 최적화를 제안한다. RISC-V 상에서의 SIMECK과 SIMON에 대한 선행 연구 결과가 존재하지 않기 때문에 단일 평문 최적화와 2개의 평문 병렬 최적화 구현물에 대해 사전 연산 기법이 적용된 구현물과 사전 연산이 적용되지 않은 구현물의 성능을 비교하였다. 결과적으로, 사전 연산 기법이 적용된 구현물은 사전 연산이 적용되지 않은 구현물 대비 모두 1%의 성능 향상을 확인하였다.

• 정보보호학회논문지
• /
• 제30권3호
• /
• pp.325-336
• /
• 2020

비선형 불변 공격은 비교적 간단한 구조의 키 스케줄을 갖는 경량 블록암호에서 필수적으로 고려되어야 할 공격이다. 간단한 구조의 키 스케줄을 갖는 경량 블록암호가 비선형 불변 공격에 저항성을 보이는 방법으로 가장 잘 알려진 것은 라운드 키 간의 차분 중 알려진 것들의 집합에서 선형계층에 대해 불변인 최소의 선형공간의 크기가 블록 크기와 같은지를 확인하는 것이다. 본 논문에서는 다음과 같은 연구 결과를 제시한다. 설계자 관점에서 비트 순열을 선형계층으로 사용하는 SPN 구조 경량 블록암호는 라운드 키 간의 차분의 종류가 한가지여도 비선형 불변 공격에 안전할 수 있음을 증명하고, 그러한 비트 순열의 형태와 개수를 제안한다. 또한, PRESENT 구조 블록암호는 비선형 불변 공격에 저항성을 갖기 위해 적어도 두 종류의 라운드 키 간의 차분이 필요함을 전수조사를 통해 보이며, 두 종류의 라운드 키 간의 차분을 필요로 하는 비트 순열을 사용해도 차분 공격에 대한 저항성이 오히려 증가할 수 있음을 보인다. 마지막으로 GIFT의 S-box를 사용하면서 BOGI 설계 논리를 유지하는 모든 비트 순열의 불변 성분 분포를 통해, 변형된 GIFT 구조 블록암호는 비선형 불변 공격에 저항성을 갖기 위해 적어도 8종류의 라운드 키 간의 차분이 필요함을 보인다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권11호
• /
• pp.4502-4521
• /
• 2020

At EUROCRYPT 2015, Todo proposed a new technique named division property, and it is a powerful technique to find integral distinguishers. The original division property is also named word-based division property. Later, Todo and Morii once again proposed a new technique named the bit-based division property at FSE 2016 and find more rounds integral distinguisher for SIMON-32. There are two basic approaches currently being adopted in researches under the bit-based division property. One is conventional bit-based division property (CBDP), the other is bit-based division property using three-subset (BDPT). Particularly, BDPT is more powerful than CBDP. In this paper, we use Boolean Satisfiability Problem (SAT)-aided cryptanalysis to search integral distinguishers. We conduct experiments on SIMON-32/-48/-64/-96, SIMON (102)-32/-48/-64, SIMECK-32/-48/-64, LBlock, GIFT and Khudra to prove the efficiency of our method. For SIMON (102)-32/-48/-64, we can determine some bits are odd, while these bits can only be determined as constant in the previous result. For GIFT, more balanced (zero-sum) bits can be found. For LBlock, we can find some other new integral distinguishers. For Khudra, we obtain two 9-round integral distinguishers. For other ciphers, we can find the same integral distinguishers as before.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2022년도 춘계학술발표대회
• /
• pp.183-186
• /
• 2022

고성능 양자 컴퓨터가 개발될 것으로 기대됨에 따라 잠재적인 양자 컴퓨터의 공격으로부터 안전한 양자 후 보안 시스템을 구축하기 위한 연구들이 진행되고 있다. 대표적인 양자 알고리즘인 Grover 알고리즘이 대칭키 암호에 적용될 경우 보안 강도가 제곱근으로 감소되는 보안 훼손이 발생한다. NIST는 대칭키 암호에 대한 양자 후 보안 요구사항으로, 암호 알고리즘 공격에 요구되는 Grover 알고리즘 비용을 기준을 기준으로 양자 후 보안 강도를 추정하고 있다. 대칭키 암호를 공격하기 위한 Grover 알고리즘의 비용은 대상 암호화 알고리즘의 양자 회로 복잡도에 따라 결정된다. 본 논문에서는 NIST 경량암호 공모전 최종 후보에 오른 Sparkle 알고리즘의 양자 회로를 효율적으로 구현하고 Grover 알고리즘을 적용하기 위한 양자 비용에 대해 분석한다. 마지막으로, NIST 양자 후 보안 요구사항과 분석한 비용을 기반으로 경량암호 Sparkle에 대한 양자 후 보안 강도를 평가한다. 양자 회로 구현 및 비용 분석에는 양자 프로그래밍 툴인 ProjectQ가 사용되었다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2021년도 춘계학술발표대회
• /
• pp.171-174
• /
• 2021

최근 사물인터넷(IoT) 환경에서 다양한 장비의 인터넷 통신이 가능하여 이에 적절한 경량 블록 암호 알고리즘에 대한 연구가 활발히 진행되고 있다. ICISC 2020에서 새로 발표된 국산 경량 블록 암호 알고리즘인 PIPO는 새로운 경량 S-Box를 조합한 unbalanced-Bridge 구조로 효율적인 비트슬라이싱 구현을 제공한다. IoT 환경에 PIPO가 적용되기 위해서는 부채널 분석에 대한 안전성이 보장되어야 한다. 따라서 본 논문에서는 PIPO가 1차 CPA 공격에 취약함을 확인한다. 그리고 부채널 공격에 대응하기 위해 1차 마스킹 기법을 제안한다. 제안한 마스킹 기법은 1차 CPA 공격에 안전하였으며, 마스킹 적용 전보다 -375%의 성능을 보였다. 그리고 기존 기법보다 1287% 속도가 빨라진 것을 확인하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2021년도 추계학술발표대회
• /
• pp.217-220
• /
• 2021

ICISC'19에서 기존 CHAM과 동일한 구조와 규격을 갖지만, 라운드 수만 증가시킨 revised CHAM이 발표되었다. CHAM은 사물인터넷에서 사용되는 저사양 프로세서에서 효율적인 구현이 가능한 특징을 갖고 있다. AVR, ARM 프로세서 상에서의 CHAM 암호 알고리즘에 대한 최적 구현은 존재하지만, 아직 RISC-V 프로세서 상에서의 CHAM 구현은 존재하지 않는다. 따라서, 본 논문에서는 RISC-V 프로세서 상에서의 Revised CHAM 알고리즘을 최초로 구현을 제안한다. CHAM 라운드 함수의 내부 구조의 일부를 생략하여 최적 구현하였다. 그리고 홀수 라운드와 짝수 라운드를 모듈별로 구현하여 필요에 따라 모듈을 호출하여 손쉽게 사용할 수 있게 하였다. 결과적으로, RISC-V 상에서 제안 기법 적용하기 전보다 제안 기법 적용 후에 12%의 속도 향상을 달성하였다.

• 한국통신학회논문지
• /
• 제40권8호
• /
• pp.1588-1596
• /
• 2015

사물인터넷에서는 센서와 같은 자원이 제한된 장치들이 인터넷을 경유하여 통신하고 정보를 공유할 수 있다. 이러한 경량화 장치가 응용계층에서 데이터를 전송할 수 있도록 IETF에서는 전송계층 UDP를 이용하는 CoAP을 표준으로 제정하였으며, 보안을 위해 DTLS를 사용할 것을 권고하고 있다. 그러나 DTLS는 데이터 손실, 단편화, 리오더링 그리고 리플레이 공격 문제를 해결하기 위해 부가적인 보상 기술이 추가되었다. 이로 인해 DTLS는 TLS 보다 성능이 저하된다. 경량화 장치는 배터리로 구성된 경우, 배터리 효율의 극대화를 위해 저전력으로도 동작될 수 있는 보안 설계 및 구현 역시 반드시 고려되어야 한다. 따라서 본 논문에서는 에너지 소비량 관점에서 DTLS의 성능에 대해 논의하고자 한다. 성능 분석을 위해 Cooja 시뮬레이터를 이용하여 센서 장치와 IEEE 802.15.4 기반의 네트워크 실험 환경을 구축하였다. 실험 환경을 통해 DTLS 통신을 하고자 하는 서버와 클라이언트의 에너지 소비량을 각각 측정하였다. 또한 DTLS의 핸드쉐이크 Flight 별 에너지 소모량, 처리 시간 및 수신 시간, 전송 데이터 크기를 측정하여 코드 크기, 암호 프리미티브 그리고 단편화 관점에서 분석된 결과를 함께 기술하였다.

• 전기전자학회논문지
• /
• 제22권1호
• /
• pp.38-45
• /
• 2018

ARIA, AES 블록암호와 Whirlpool 해시함수를 단일 하드웨어 구조로 통합하여 효율적으로 구현한 크립토 프로세서에 대해 기술한다. ARIA, AES, Whirlpool의 알고리듬 특성을 기반으로 치환계층과 확산계층의 하드웨어 자원이 공유되도록 설계를 최적화하였다. Whirlpool 해시의 라운드 변환과 라운드 키 확장을 위해 라운드 블록이 시분할 방식으로 동작하도록 설계하였으며, 이를 통해 하드웨어 경량화를 이루었다. ARIA-AES-Whirlpool 통합 크립토 프로세서는 Virtex5 FPGA에 구현하여 하드웨어 동작을 검증하였으며, $0.18{\mu}m$ CMOS 셀 라이브러리로 합성한 결과 68,531 GE로 구현되었다. 80 MHz 클록 주파수로 동작하는 경우에, ARIA, AES 블록암호는 각각 602~787 Mbps, 682~930 Mbps, 그리고 Whirpool 해시는 512 Mbps의 성능을 갖는 것으로 예측되었다.

• 정보보호학회논문지
• /
• 제21권2호
• /
• pp.149-156
• /
• 2011

전력 분석 공격이 소개되면서 다양한 대응법들이 제안되었고 그러한 대응법들 중 블록 암호의 경우, 암/복호화 연산도중 중간 값이 전력 측정에 의해 드러나지 않도록 하는 마스킹 기법이 잘 알려져 있다. 블록 암호의 마스킹 기법은 비선형 연산에 대한 비용이 가장 크며, 따라서 AES, ARIA, SEED의 경우 S-box에 대한 대응법을 효율적으로 설계해야만 한다. 하지만 기존의 AES, ARIA, SEED의 S-box에 대한 대응 방법은 마스킹 S-box 테이블을 사용하는 방법으로 하나의 S-box당 256 bytes의 RAM을 필수적으로 사용한다. 하지만 가용 RAM의 크기가 크지 않은 경량보안 디바이스에 이러한 기존의 대응법은 사용이 부적합하다. 본 논문에서는 이러한 단점을 보완하기 위해 마스킹 S-box 테이블을 사용하지 않는 새로운 대응법을 제안한다. 본 논문에서 제안하는 새로운 대응 기법은 비용이 적은 ROM을 활용, RAM의 사용량을 줄일 뿐 아니라 마스킹 S-box 테이블 생성 시간을 소요하지 않으므로 축소 라운드마스킹 기법 적용 시 고속화도 가능하다.