• 정보보호학회논문지
• /
• 제15권1호
• /
• pp.29-40
• /
• 2005

본 논문에서는 최근 제안된 소프트웨어 구현에 적합한 (블록 단위) 스트림 암호는 HELIX, SCREAM, MUGI, PANAMA 알고리즘들의 대수적 공격에 대한 안전성을 분석한다. 대수적 공격은 알려진 입출력 쌍을 가지고 내부 알고리즘의 기본 대수 방정식을 이용하는 방법으로, 과포화된 다변수 연립 방정식을 통하여 변수의 값을 얻고 이를 이용하여 키를 복구해내는 방업이다. 이 분석법은 초기 대수적 특성을 지닌 블록 암호의 분석에 적용되었으나. 이후 블록 암호보다는 스트림 암호의 분석에 보다 용이하게 적용되었다. 그러나 일반적인 알고리즘을 이 분석법을 그대로 적용하기에는 많은 어려움이 존재한다. 따라서 본 논문에서는 최근 제안된 워드 단위의 소프트웨어 구현에 적합한 스트림 암호의 각 알고리즘에 대해 대수적 방정식과 변수의 수를 비교 및 분석함으로써 각 알고리즘의 대수적 공격에 대한 내성을 살펴본다. 또한 이러한 분석을 통해 대수적 공격에 안전한 소프트웨어 구현에 적합한 스트림 암호의 설계 시 고려해야 할 세 가지 설계 고려사항을 제시한다.

• 정보보호학회논문지
• /
• 제12권1호
• /
• pp.43-54
• /
• 2002

McEliece introduced a public-key cryptosystem based on Algebraic codes, specially binary classical Goppa which have a good decoding algorithm and vast number of inequivalent codes with given parameters. And the advantage of this system low cost of their encryption and decryption procedures compared with other public-key systems specially RSA, ECC based on DLP(discrete logarithm problem). But in [1], they resent new attack based on probabilistic algorithm to find minimum weight codeword, so for a sufficient security level, much larger parameter size [2048, 1608,81]is required. Then the big size of public key make McEliece PKC more inefficient. So in this paper, we will propose New Type PKC using q-ary Hyperelliptic code so that with smaller parameter(1 over 3) but still work factor as hi인 as McEliece PKC and faster encryption, decryption can be maintained.

• 정보보호학회논문지
• /
• 제14권1호
• /
• pp.71-77
• /
• 2004

n개의 LFSR과 l 비트의 메모리를 이용하는 combiner에 대하여 [n(l+1)/2] 차 이하의 대수적 관계식이 존재하는 것이 이론적으로 밝혀졌다. 본 논문에서는 k 비트의 메모리를 사용하는 2$^{k}$ 개의 LFSR로 이루어진 summation Generator는 연속된 k+1개의 출력 값을 이용하여 초기 치에 관한 2$^{k}$ 차 이하의 대수적 관계식을 만들 수 있음을 보인다. 일반적으로 n개의 LFSR로 이루어진 summation Generator는 연속된 [lo $g_2$n]＋1개의 출력 값을 이용하여 초기 치에 관한 2$^{[lo[g_2]n}$ 차 이하의 대수적 관계식을 만들 수 있다.

• 정보보호학회논문지
• /
• 제15권6호
• /
• pp.119-125
• /
• 2005

본 논문에서는 새로운 부호 기반 공개키 암호 스킴을 제안한다. 제안된 스킴은 Eurcrypt 2003에서 제안된 Augot-Finiasz 스킴을 수정한 것이다. Reed-Solomon 부호를 일반적인 대수기하 부호로 교체하고 복호화에서는 Guruswami-Sudan 복호 알고리즘을 사용한다. 본 암호 스킴은 Augot-Finiasz 스킴의 약점인 Coron의 공격이나 Kiayias-Yung의 공격에 대한 취약성을 가지지 않는다. Augot-Finiasz 스킴에서와 같은 기본적인 분석을 통해 Augot-Finiasz 스킴의 제안 논문에서 제시하였던 수준의 키 크기 대비 안전성을 가짐을 주장한다.

• 정보보호학회논문지
• /
• 제8권1호
• /
• pp.65-70
• /
• 1998

K. Nyberg and L.R. Knudsen showed a prototype of a DES-like cipher$^{[1]}$ which has a provable security against differential cryptanalysis. But in the last year, at FSE'97 T. Jakobsen ane L.R.Knudsen broked it by using higher order differential attack and interpolation attack$^{[2]}$ . Furthermore the cipher was just a theoretically proposed one to demonstrate how to construct a cipher which is procably secure against differential cryptanalysis$^{[3]}$ and it was suspected to have a large complexity for its implementation.Inthis paper the two improved results for the dfficidnt hardware and software implementation.

• 한국정보통신학회논문지
• /
• 제7권7호
• /
• pp.1462-1470
• /
• 2003

정보통신의 발달과 인터넷의 확산으로 인해 정보보안의 필요성이 증대되면서 다양한 암호알고리즘이 개발되어 활용되고 있다. 이와 더불어 암호 공격 기술도 발전하여서, 공격에 강한 알고리즘에 대한 연구가 활발하게 진행되고 있다. Substitution Permutation Networks(SPN)등의 블록 암호알고리즘에서 교환계층의 선형변환행렬이 Maximum Distance Separable(MDS) 코드를 생성하면 차분공격과 선형공격에 강한 특성을 보인다. 본 논문에서는 선형변환행렬이 MDS 코드를 생성하는가를 판단하는 새로운 알고리즘을 제안한다. 선행변환행렬의 입력코드는 GF(2$^n$)상의 원소들로 이들을 변수로 해석할 수 있다. 하나의 변수를 다른 변수들의 대수식으로 변환하고 대입하여 변수를 하나씩 소거한다. 변수가 하나이고 모든 계수가 ‘0’이 아니면 선형변환 행렬은 MDS 코드를 생성한다. 본 논문에서 제안한 알고리즘은 기존의 모든 정방부분행렬이 정칙인지를 판단하는 알고리즘과 비교하여 곱셈 및 역수 연산수를 많이 줄임으로서 수행 시간을 크게 감소 시켰다.

• 정보보호학회논문지
• /
• 제27권5호
• /
• pp.1001-1011
• /
• 2017

격자 기반 암호는 양자 컴퓨터 공격에 대응 가능한 포스트 양자 암호 중 하나로 알려져 있다. 그 중 ring-LWE 문제는 LWE의 대수적 변종으로 벡터 대신 환(ring)의 원소를 이용한다. 포스트 양자 암호라 할지라도 실제 디바이스에 이를 적용 할 때 부채널 분석 취약점이 존재한다는 것은 이미 알려져 있다. 실제 2016년 Park 등은 Roy 등이 제안한 NTT를 이용한 ring-LWE 기반 공개키 암호시스템의 SPA 취약점을 보고했으며, Reparaz 등은 Roy 암호에 대한 DPA 공격 및 대응법을 2015년과 2016년에 제안하였다. 본 논문에서는 Roy 암호에 대하여 Park 등이 제안한 선택 암호문 SPA 공격이 NTT를 적용하지 않은 Lyubashevsky 암호의 경우에도 동일하게 적용 가능함을 보인다. 또한 선택 암호문 SPA 공격에 안전한 대응기법을 제안한고 실험적으로 안전성을 검증한다.

• Journal of Information Processing Systems
• /
• 제7권4호
• /
• pp.691-706
• /
• 2011

Since security and privacy problems in RFID systems have attracted much attention, numerous RFID authentication protocols have been suggested. One of the various design approaches is to use light-weight logics such as bitwise Boolean operations and addition modulo $2^m$ between m-bits words. Because these operations can be implemented in a small chip area, that is the major requirement in RFID protocols, a series of protocols have been suggested conforming to this approach. In this paper, we present new attacks on these lightweight RFID authentication protocols by using the Gr$\ddot{o}$bner basis. Our attacks are superior to previous ones for the following reasons: since we do not use the specific characteristics of target protocols, they are generally applicable to various ones. Furthermore, they are so powerful that we can recover almost all secret information of the protocols. For concrete examples, we show that almost all secret variables of six RFID protocols, LMAP, $M^2AP$, EMAP, SASI, Lo et al.'s protocol, and Lee et al.'s protocol, can be recovered within a few seconds on a single PC.