차분 전력 분석 공격을 위한 향상되고 실제적인 신호 정렬 방법

박제훈(JeaHoon Park),문상재(SangJae Moon),하재철(JaeCheol Ha),이훈재(HoonJae Lee) 한국정보보호학회 2008 정보보호학회논문지 Vol.18 No.5

스마트카드, USB token과 같은 저 전력 정보보호장치의 가장 큰 위협요소인 부채널 공격은 장치 내부에 구현된 암호 알고리즘의 이론적인 안전도와는 무관하게 적용될 수 있다. 특히, 부채널 공격들 중에서 차분 전력분석 공격은 적용이 쉽고 근본적인 방어가 어려워서 매우 위협적인 공격이지만 공격을 적용하기 위해서는 측정된 모든 신호가 시간축 상에서 매우 잘 정렬된 신호라는 전제조건이 필요하기 때문에, 트리거 지터링, 잡음, 차분 전력 분석 공격 방어책 등 여러 요인들에 의해 시간축 상에 정렬되지 않은 측정된 신호를 정렬하기 위한 여러 가지 방법들이 제안되어 왔다. 기존의 신호 정렬방법들은 측정된 신호의 시간축 상의 위치만을 정렬하는 방법들이어서, 랜덤 클럭을 이용하여 알고리즘의 수행 시간(시간축 상의 신호 크기)을 변화시키는 차분 전력 분석 대응 방법에는 적용이 되지 않는다. 본 논문에서는 측정된 소비 전력 신호를 보간(interpolation)과 추출(decimation) 과정을 통해서 시간축 상에서 위치뿐만 아니라 크기도 동시에 정렬시키는 향상된 신호 정렬 방법을 제안하였다. 또한 랜덤 클럭 방식의 차분 전력 분석 공격 방어대책이 구현된 스마트카드 칩에 개선된 신호 정렬 방법을 적용하여 차분 전력 분석 공격이 효과적으로 적용됨을 실험적으로 확인하였다. Side channel attacks are well known as one of the most powerful physical attacks against low-power cryptographic devices and do not take into account of the target's theoretical security. As an important succeeding factor in side channel attacks (specifically in DPAs), exact time-axis alignment methods are used to overcome misalignments caused by trigger jittering, noise and even some countermeasures intentionally applied to defend against side channel attacks such as random clock generation. However, the currently existing alignment methods consider only on the position of signals on time-axis, which is ineffective for certain countermeasures based on time-axis misalignments. This paper proposes a new signal alignment method based on interpolation and decimation techniques. Our proposal can align the size as well as the signals’ position on time-axis. The validity of our proposed method is then evaluated experimentally with a smart card chip, and the results demonstrated that the proposed method is more efficient than the existing alignment methods.

병렬 스트림암호를 위한 m-병렬 비선형 결합함수에 관한 연구

이훈재(HoonJae Lee),문상재(SangJae Moon) 한국통신학회 2002 한국통신학회논문지 Vol.27 No.4A

본 논문에서는 병렬 이동형 PS-LFSR 을 활용한 여러 가지 형태의 m-병렬 비선형 결합함수에 대하여 제안하고, 이들의 효율적인 구현 방안을 검토하였다. 즉, m -병렬 비메모리-비선형 결합함수 m- 병렬 메모리 -비선형 결합함수 m -병렬 비선형 필터함수 및 m- 병렬 클럭 조절형 결합함수 등 4가지 형태의 m-병렬 비선형 결합함수와 이들의 효율적인 병렬 구현 방안을 제안하였고 마지막으로 클럭 조절형 LILI-128 의 병렬구현 기법을 예시하여 안전성과 성능을 분석하였다. In this paper, we propose the effective implementation of various nonlinear combiners using by PS-LFSR: m -parallel memoryless-nonlinear combiner, m -parallel memory-nonlinear combiner, m -parallel nonlinear filter function, and m -parallel clock-controlled function. Finally, we propose m -parallel L1LI-128 stream cipher as an example of the parallel implementation, and we determine its cryptographic security and performance.

스트림 암호 HC-128에 대한 부채널 안전성 분석

배기석(KiSeok Bae),문상재(SangJae Moon),박영호(YoungHo Park) 한국통신학회 2012 한국통신학회 학술대회논문집 Vol.2012 No.6

CRT-RSA 암호시스템에 대한 광학적 오류 주입 공격의 실험적 연구

박제훈(JeaHoon Park),문상재(SangJae Moon),하재철(JaeCheol Ha) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.3

중국인의 나머지 정리(Chinese Remainder Theorem, CRT)를 이용하는 RSA 암호시스템을 암호 칩에 구현할 경우, 암호 칩에서 동작하는 과정 중에 한 번의 오류 주입으로 모듈러스 N의 비밀 소인수 p,q 값이 노출될 수 있다. 본 논문에서는 상용 마이크로컨트롤러에 CRT-RSA 암호 시스템을 구현한 후, 레이저 빔과 플래시를 이용한 광학적 오류 주입 방법으로 공격을 시도하고 실험 결과를 분석하였다. 레이저 빔과 플래시를 이용한 오류 주입 공격 실험 결과, 일부 상용 마이크로 컨트롤러는 광학적 오류 주입 공격에 대해 취약한 특성으로 인해 CRT-RSA 암호 시스템에 소인수 분해 공격이 적용됨을 확인하였다. The CRT-RSA cryptosystem is very vulnerable to fault insertion attacks in which an attacker can extract the secret prime factors p, q of modulus N by inserting an error during the computational operation on the cryptographic chip. In this paper, after implementing the CRT-RSA cryptosystem, we try to extract the secret key embedded in commercial microcontroller using optical injection tools such as laser beam or camera flash. As a result, we make sure that the commercial microcontroller is very vulnerable to fault insertion attacks using laser beam and camera flash, and can apply the prime factorization attack on CRT-RSA Cryptosystem.

전력분석 공격에 안전한 개선된 스트림 암호 Rabbit

배기석,안만기,박영호,문상재,Bae, KiSeok,Ahn, MahnKi,Park, YoungHo,Moon, SangJae 대한전자공학회 2013 전자공학회논문지 Vol.50 No.9

최근 유럽연합의 eSTREAM 공모사업에서 소프트웨어 분야에 선정된 Rabbit 알고리듬은 ISO/IEC 18033-4 기술분야에 추가 선정된 스트림 암호이다. 그러나 Rabbit 알고리듬은 구현된 실제 환경에서 발생할 수 있는 전력분석 공격의 취약성이 발견되고, 실제 가능함이 발표되었다. 본 논문에서는 전력분석 공격에 안전한 Rabbit의 구현을 위해 적합한 랜덤 마스킹 및 연산순서 숨김 기법을 제안한다. 제안한 방어책들은 빠른 수행속도의 장점을 유지하며 24%의 연산시간과 12.3%의 메모리 요구량만이 증가하여 스트림 암호의 방어책으로 적합하다. 8비트 RISC 계열의 AVR 마이크로프로세서(ATmega128L)에 탑재하여 실험한 결과, 전력분석 공격에 안전함을 검증하였다. Recently, stream cipher Rabbit was selected for the final eSTREAM portfolio organized by EU ECRYPT and as one of algorithm in part of ISO/IEC 18033-4 Stream Ciphers on ISO Security Standardization. However, a feasibility of practical power analysis attack to algorithm in experiment was introduced. Therefore, we propose appropriate methods such as random masking and hiding schemes to secure against power analysis attack on stream cipher Rabbit. We implement the proposed method with increment of 24% operating time and 12.3% memory requirements due to maintaining a high-speed performance. We use a 8-bit RISC AVR microprocessor (ATmegal128L chip) to implement our method for practical experiments, and verify that stream cipher Rabbit with our method is secure against power analysis attack.

Ciphertext Policy-Attribute Based Encryption with Non Monotonic Access Structures

Rifki Sadikin(리프키 사디킨),SangJae Moon(문상재),YoungHo Park(박영호) 대한전자공학회 2013 전자공학회논문지 Vol.50 No.9

비정상 전원 전압을 이용한 RSA 암호 시스템의 실험적 오류 주입 공격

박제훈(JeaHoon Park),문상재(SangJae Moon),하재철(JaeCheol Ha) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.5

CRT-RSA 알고리즘이 스마트카드나 마이크로컨트롤러 등의 암호 장치에 구현된 경우, 레이저 주입, 전자파 방사, 이온 빔 주사, 전압 글리치 주입 등의 오류 주입 기술 등에 의해 CRT-RSA 알고리즘의 비밀 소인수 p, q가 쉽게 노출될 수 있다. 그 중 전압 글리치 오류는 대상 암호 장치에 어떠한 조작이나 변형 없이 적용 가능하여 보다 실제적이다. 본 논문에서는 비정상 전원 전압을 이용한 오류 주입 공격을 실험하였다. 실험 결과 기존에 알려진 고전압 글리치를 주입하는 방법 외에도 전원 전압을 일정 시간동안 단절함으로써 CRT-RSA의 비밀 소인수 p, q를 알아낼 수 있었다. CRT-based RSA algorithm, which was implemented on smartcard, microcontroller and so on, leakages secret primes p and q by fault attacks using laser injection, EM radiation, ion beam injection, voltage glitch injection and so on. Among the many fault injection methods, voltage glitch can be injected to target device without any modification, so more practical. In this paper, we made an experiment on the fault injection attack using abnormal source voltage. As a result, CRT-RSA’s secret prime p and q are disclosed by fault attack with voltage glitch injection which was introduced by several previous papers, and also succeed the fault attack with source voltage blocking for proper period.

소프트웨어 기반 스트림 암호 Salsa20/12에 대한 상관도 전력분석 공격

박영구(YoungGoo Park),배기석(KiSeok Bae),문상재(SangJae Moon),이훈재(HoonJae Lee),하재철(JaeCheul Ha),안만기(MahnKi Ahn) 한국정보보호학회 2011 정보보호학회논문지 Vol.21 No.5

최근 유럽연합의 eSTREAM 공모사업에서 소프트웨어 분야에 선정된 Salsa20/12 알고리즘은 제한된 메모리의 8비트 MCU 상에서 AES보다 우수한 성능을 보여주는 스트림 암호이다. 또한 이론적 분석에 따르면 시차분석공격에 대한 취약성은 없으며, 전력분석 공격의 어려움에 대해서는 하위수준(low)로 평가되었으나, 현재까지 실제 전력분석 공격의 연구 결과가 발표된 바 없다. 따라서 본 논문에서는 소프트웨어 기반 Salsa20/12에 대한 상관도 전력분석 공격 방법을 제안하고 실험을 통하여 검증하였다. 실험을 위해서 프로그래밍이 가능한 8비트 RISC 계열의 AVR 마이크로프로세서 (ATmega128L)를 장착한 실험보드에 전력분석 공격의 대응방법이 적용되지 않은 시스템을 구현하고, 해밍무게 모델을 적용한 전력분석 공격을 실시하였다. The Salsa20/12 stream cipher selected for the final eSTREAM portfolio has a better performance than software implementation of AES using an 8-bit microprocessor with restricted memory space. In the theoretical approach, the evaluation of exploitable timing vulnerability was ‘none’ and the complexity of side-channel analysis was ‘low’, but there is no literature of the practical result of power analysis attack. Thus we propose the correlation power analysis attack method and prove the feasibility of our proposed method by practical experiments. We used an 8-bit RISC AVR microprocessor (ATmegal128L chip) to implement Salsa20/12 stream cipher without any countermeasures, and performed the experiments of power analysis based on Hamming weight model.

이동 Ad-Hoc 네트워크 환경에 적합한 스트림 암호 HC-128의 부채널 안전성 분석

배기석(KiSeok Bae),박영호(YoungHo Park),문상재(SangJae Moon) 한국산업정보학회 2012 한국산업정보학회논문지 Vol.17 No.6

최근 eSTREAM 공모사업에서 소프트웨어 분야로 최종 선정된 HC-128 알고리듬은 제한된 메모리 환경에서 고속 암호화가 가능하여 이동 ad-hoc 네트워크에 적합한 스트림 암호이다. 본 논문은 실제 구현되었을 때 발생할 수 있는 부채널 분석 공격에 대한 스트림 암호 HC-128 알고리듬의 안전성을 분석한다. 먼저 부채널 분석 공격에 대한 안전도가 낮은 것으로 판정하였던 기존 분석 방법의 누락된 부분을 밝히고, 올바른 분석 과정에서 필요한 계산 복잡도를 계산하여 HC-128 알고리듬의 부채널 분석 공격에 대한 안전성을 재평가하였다. 그 결과, 비밀키를 알아내기 위해서는 타 스트림 암호에 비해 훨씬 큰 약 2<SUP>64</SUP>만큼의 복잡도가 필요하므로 스트림 암호 HC-128는 부채널 분석 공격에 안전한 것으로 평가된다. The HC-128 stram cipher which selected for the final eSTREAM portfolio is suitable for mobile Ad-Hoc network environments because of the ability of high-speed encryption in restricted memory space. In this paper, we analyzed the vulnerability of side channel analysis attack on HC-128 stream cipher. At the first, we explain a flaw of previous theoretical analysis result which defined the complexity of side-channel attack of HC-128 stream cipher as "low" and then re-evaluate the security against side-channel attack by estimating the concrete complexity for recovering the secret key. As a result, HC-128 stream cipher is relatively secure against side-channel attack since recovering the secret key have 2<SUP>64</SUP> computation complexity which is higher than other stream cipher"s one.

오류 확산 기법을 이용한 CRT-RSA 오류 주입 공격 대응 방안

하재철(JaeCheol Ha),박제훈(JeaHoon Park),문상재(SangJae Moon) 한국정보보호학회 2008 정보보호학회논문지 Vol.18 No.2

최근 일반 CRT-RSA 알고리듬은 오류 주입 공격에 취약하다는 점이 실험적 결과에 의해 밝혀졌다. 본 논문에서는 CRT-RSA에 대한 오류 주입 공격 및 방어 대책을 분석하고 다양한 형태의 오류 주입 공격을 방어할 수 있는 새로운 알고 리듬을 제안하고자 한다. 제안하는 알고리듬은 CRT-RSA에서 두 소수에 대한 멱승연산 시 오류가 발생하면 그 오류를 재결합 과정에서 확산되도록 설계하였다. 이 알고리듬은 판정 기법에 기반한 오류를 검사하는 과정이 없으며 공개 파라미터 e를 사용하지 않는다. 또한 계산량 측면에서도 안전성을 갖춘 타 방식에 비해 효율적이다. Recently, the straightforward CRT-RSA was shown to be broken by fault attacks through many experimental results. In this paper, we analyze the fault attacks against CRT-RSA and their countermeasures, and then propose a new fault infective method resistant to the various fault attacks on CRT-RSA. In our CRT-RSA algorithm, if an error is injected in exponentiation with modulo p or q, then the error is spreaded by fault infective computation in CRT recombination operation. Our countermeasure doesn't have extra error detection procedure based on decision tests and doesn't use public parameter such as e. Also, the computational cost is effective compared to the previous secure countermeasures.