• 정보보호학회논문지
• /
• 제18권5호
• /
• pp.93-101
• /
• 2008

스마트카드, USB token과 같은 저 전력 정보보호장치의 가장 큰 위협요소인 부채널 공격은 장치 내부에 구현된 암호 알고리즘의 이론적인 안전도와는 무관하게 적용될 수 있다. 특히, 부채널 공격들 중에서 차분 전력분석 공격은 적용이 쉽고 근본적인 방어가 어려워서 매우 위협적인 공격이지만 공격을 적용하기 위해서는 측정된 모든 신호가 시간축 상에서 매우 잘 정렬된 신호라는 전제조건이 필요하기 때문에, 트리거 지터링, 잡음, 차분 전력 분석 공격 방어책 등 여러 요인들에 의해 시간축 상에 정렬되지 않은 측정된 신호를 정렬하기 위한 여러 가지 방법들이 제안되어 왔다. 기존의 신호 정렬 방법들은 측정된 신호의 시간축 상의 위치만을 정렬하는 방법들이어서, 랜덤 클럭을 이용하여 알고리즘의 수행 시간(시간축 상의 신호 크기)을 변화시키는 차분 전력 분석 대응 방법에는 적용이 되지 않는다. 본 논문에서는 측정된 소비 전력 신호를 보간(interpolation)과 추출(decimation) 과정을 통해서 시간축 상에서 위치뿐만 아니라 크기도 동시에 정렬시키는 향상된 신호 정렬 방법을 제안하였다. 또한 랜덤 클럭 방식의 차분 전력 분석 공격 방어대책이 구현된 스마트카드 칩에 개선된 신호 정렬 방법을 적용하여 차분 전력 분석 공격이 효과적으로 적용됨을 실험적으로 확인하였다.

• 정보보호학회논문지
• /
• 제27권5호
• /
• pp.1001-1011
• /
• 2017

격자 기반 암호는 양자 컴퓨터 공격에 대응 가능한 포스트 양자 암호 중 하나로 알려져 있다. 그 중 ring-LWE 문제는 LWE의 대수적 변종으로 벡터 대신 환(ring)의 원소를 이용한다. 포스트 양자 암호라 할지라도 실제 디바이스에 이를 적용 할 때 부채널 분석 취약점이 존재한다는 것은 이미 알려져 있다. 실제 2016년 Park 등은 Roy 등이 제안한 NTT를 이용한 ring-LWE 기반 공개키 암호시스템의 SPA 취약점을 보고했으며, Reparaz 등은 Roy 암호에 대한 DPA 공격 및 대응법을 2015년과 2016년에 제안하였다. 본 논문에서는 Roy 암호에 대하여 Park 등이 제안한 선택 암호문 SPA 공격이 NTT를 적용하지 않은 Lyubashevsky 암호의 경우에도 동일하게 적용 가능함을 보인다. 또한 선택 암호문 SPA 공격에 안전한 대응기법을 제안한고 실험적으로 안전성을 검증한다.

• 정보보호학회논문지
• /
• 제14권5호
• /
• pp.121-133
• /
• 2004

Okeya-Sakurai는 타원곡선 암호시스템에 대한 부채널 공격의 대응방법으로 소개된 Oswald-Aigner의 랜덤한 덧셈-뺄셈 체인(Randomized Automaton 1, 2) 대응방법 [18]이 SPA 공격에 취약함을 보였다$^{[15,16]}$. 그러나 본 논문에서는 Okeya-Sakurai의 공격 알고리즘 [15,16]에 두 가지 잠재된 문제가 있음을 보인다. 그리고 두 가지 문제점에 대한 해결책을 제시하고 [15,16,19]와는 다른 새로운 효율적인 공격 알고리즘을 제안한다. 표준에 제안되어 있는 163비트 비밀키를 사용하는 알고리즘에 본 논문의 분석방법을 적용해 구현한 결과, 단순한 형태의 랜덤한 덧셈-뺄셈 체인(Randomized Automaton 1)에서는 20개의 AD수열로 대략 94%의 확률로 공격이 성공하며 30개의 AD수열로는 대략 99%의 확률로 공격이 성공한다. 또한, 복잡한 형태(Randomized Automaton 2)에서는 40개의 AD수열로 94%의 확률로 70개의 AD수열로는 99%로의 확률로 공격이 성공한다.

• 정보보호학회논문지
• /
• 제14권5호
• /
• pp.135-140
• /
• 2004

RSA 공개키 시스템은 비밀키의 크기를 작게 하여 효율성을 높이고 있는 데 이는 안전성 측면에서 취약하다. 이를 보완하기 위하여 중국인의 나머지 정리를 이용한 비밀키 생성 기법이 많이 이용되고 있다. 그러나 이러한 기법은 side channel attack 에 매우 취약하다. 따라서 일부 키 노출에 따른 전체 키 복원에 관한 연구가 활발히 진행되고 있다. May는 2003년 Crypto에서 두 소수의 크기는 같고 중국인의 나머지 정리를 이용하여 비밀키를 생성한 경우에 비밀키의 일부 $N^{4}$ 비트가 노출되면 전체가 복원되는 것을 보였다. 또한, May는 2002년 Crypto에서 변형된 RSA형태 중의 하나인 두 소수의 크기가 다르고 작은 CRT(중국인의 나머지 정리) 지수를 이용한 RSA를 분석하였는데 이때 작은 소수의 크기가 $N^{0.382}$보다 작으면 CRT 지수의 크기에 따라 N이 소인수분해 될 수 있다고 경고하였다. 본 논문에서는 May의 두 소수의 크기가 다른 변형된 RSA(작은 소수의 크기가 $N^{0.382}$보다 큰 경우)에서 작은 CRT 지수를 이용하여 비밀키를 생성한 경우에 어느 정도의 노출이 전체를 복원하게 하는지를 살펴본다. 공개키 e가 너무 크지 않을 때 작은 소수 p의 크기와 관계없이 비밀키 $d_{p}$ 의 약 $N^{0.25}$정도의 비트가 노출되면 N이 소인수분해가 된다. p,q의 크기가 비슷할 때 p의 약 $N^{1}$4/비트만 노출이 되면 N을 소인수분해 할 수 있다는 것을 Coppersmith가 보였는데 본 논문에서는 두 소수의 크기가 다를 때도 약 $N^{1}$4/비트가 노출되면 소인수분해가 가능한 것을 보이고 이를 이용하여 위의 내용을 증명한다.

• 정보보호학회논문지
• /
• 제30권6호
• /
• pp.1263-1270
• /
• 2020

차분 오류 공격은 암호화 장비에 인위적인 오작동을 유도하여 발생한 오류 암호문과 정상 암호문의 차분을 이용해 비밀키를 분석하는 기법이다. 일반적으로 차분 오류 공격은 암호 알고리즘의 중간값을 변조시켰을 때의 결과를 이용한다. 반면, 우리는 함수 전체를 생략시켰을 때의 결과를 이용하는 차분 오류 공격을 제안한다. 제안한 기법은 단일 오류 주입 암호문으로 수 초 이내에 전체 비밀키 복구가 가능한 매우 낮은 공격 복잡도를 갖는다. 또한, 우리는 오류가 함수 생략을 유도했는지 검증하는 방안을 제시함으로써 공격자 가정을 현실적으로 낮췄다. 제안한 기법을 실험적으로 검증하기 위해 Riscure 사의 Piñata 보드에 대한 오류 주입 공격을 수행한 결과 함수 생략으로 유도되지 않은 모든 오류 암호문을 거를 수 있었으며, 수 초 내에 비밀키 복구에 성공했다.

• 전자공학회논문지CI
• /
• 제49권3호
• /
• pp.74-80
• /
• 2012

최근 Nakatsu는 전력파형의 정보가 충분하지 못한 환경에서 분석 성능을 향상 시키는 하드웨어 AES(Advanced Encryption Standard)에 대한 다중 라운드 CPA (Correlation Power Analysis, CPA) 분석기법을 제안하였다. 본 논문에서는 하드웨어로 구현된 DES(Data Encryption Algorithm)에 1라운드와 2 라운드를 분석하여 마스터키를 찾아내는 다중 라운드 CPA 분석 방법을 제안한다. 제안된 다중 라운드 CPA 분석 기법은 DPA Contest에서 제공한 하드웨어 DES 암호 알고리즘의 전력파형을 사용하여 시뮬레이션을 하였다. 그 결과 300개의 전력파형의 정보만으로도 마스터키의 모든 정보를 찾을 수 있었다. 또한 단일라운드 CPA 분석 기법보다 다중라운드 CPA 기법이 더 효과적으로 마스터키를 분석하는 것을 검증하였다.

• 한국항행학회논문지
• /
• 제19권1호
• /
• pp.48-52
• /
• 2015

본 논문에서는 2011년에 제안된 암호와 복호가 동일한 블록 암호 SSB에 대한 차분 오류 공격을 제안한다. 이 알고리즘은 국제표준 블록암호를 기반으로 설계된 블록 암호로써 하드웨어 구현에서 장점을 갖게 설계되었다. 차분 오류 공격은 부채널 공격 기법 중 하나로 오류 주입 공격과 차분 공격을 결합한 것이다. SSB는 하드웨어 환경에 적합한 알고리즘이므로 차분 오류 공격에 대해 안전성을 가져야 한다. 그러나 본 논문에서 제안하는 차분 오류 공격을 이용하면, 1 개의 랜덤 바이트 오류를 주입과 $2^8$의 전수조사를 통해 SSB의 128 비트 비밀키를 복구할 수 있다. 이 결과는 암호와 복호가 동일한 블록 암호 SSB의 안전성을 분석한 첫 번째 결과이다.

• ETRI Journal
• /
• 제32권1호
• /
• pp.102-111
• /
• 2010

Recently power attacks on RSA cryptosystems have been widely investigated, and various countermeasures have been proposed. One of the most efficient and secure countermeasures is the message blinding method, which includes the RSA derivative of the binary-with-random-initial-point algorithm on elliptical curve cryptosystems. It is known to be secure against first-order differential power analysis (DPA); however, it is susceptible to second-order DPA. Although second-order DPA gives some solutions for defeating message blinding methods, this kind of attack still has the practical difficulty of how to find the points of interest, that is, the exact moments when intermediate values are being manipulated. In this paper, we propose a practical second-order correlation power analysis (SOCPA). Our attack can easily find points of interest in a power trace and find the private key with a small number of power traces. We also propose an efficient countermeasure which is secure against the proposed SOCPA as well as existing power attacks.

• 정보보호학회논문지
• /
• 제28권4호
• /
• pp.803-807
• /
• 2018

Fantomas와 Robin은 FSE 2014에서 제안된 경량 블록암호 패밀리 LS-designs에 포함되는 블록암호로, 비트슬라이스 구현이 가능한 L-Box와 S-Box를 사용하여 부채널 분석 대응기법인 마스킹 기법을 효율적으로 적용할 수 있도록 설계되었다. 본 논문은 연관키 차분경로 분석을 통한 Fantomas와 Robin의 전체 128비트 키의 복구공격이 각각 $2^{56}$, $2^{72}$의 시간 복잡도와 $2^{52}$, $2^{69}$개의 선택 평문으로 가능함을 보인다.

• IEIE Transactions on Smart Processing and Computing
• /
• 제1권1호
• /
• pp.65-71
• /
• 2012

Mobile RFID is a new application that uses a mobile phone as an RFID reader with wireless technology and provides a new valuable service to users by integrating RFID and ubiquitous sensor network infrastructures with mobile communication and wireless Internet. Whereas the mobile RFID system has many advantages, privacy violation problems on the reader side are very concerning to individuals and researchers. Unlike in regular RFID environments, where the communication channel between the server and reader is assumed to be secure, the communication channel between the backend server and the RFID reader in the mobile RFID system is not assumed to be safe. Therefore it has become necessary to devise a new communication protocol that secures the privacy of mobile RFID-enabled devices. Recently, Lo et al. proposed a mutual key agreement protocol that secures the authenticity and privacy of engaged mobile RFID readers by constructing a secure session key between the reader and server. However, this paper shows that this protocol does not meet all of the necessary security requirements. Therefore we developed an enhanced mutual key agreement protocol for mobile RFID-enabled devices that alleviates these concerns. We further show that our protocol can enhance data security and provide privacy protection for the reader in an unsecured mobile RFID environment, even in the presence of an active adversary.