전력 분석에 안전한 AES에 대한 새로운 종류의 충돌쌍 공격

김희석,박학수,홍석희,Kim, HeeSeok,Park, Hark-Soo,Hong, Seokhie 한국정보처리학회 2013 정보처리학회논문지. 컴퓨터 및 통신시스템 Vol.2 No.9

본 논문에서는 일차 전력 분석에 안전한 AES의 마스킹 기법을 분석할 수 있는 새로운 충돌쌍 공격을 제안한다. 제안하는 충돌쌍 공격은 기존 충돌쌍 공격의 단점인 선택 평문 공격의 단점을 극복하고 기지 평문 공격이 가능하도록 구성되어진다. 또한 제안하는 분석기법은 이차 전력분석보다 효율적이며 최근 제안된 충돌쌍 공격에 요구되는 파형 개수에 비해 약 1/27.5배의 파형만을 요구한다. 논문에 포함된 실험 결과들은 이러한 사실을 뒷받침한다. 본 논문에서는 또한 새로운 분석 기법과 함께 이 방법을 방어할 수 있는 간단한 대응방법을 소개하도록 한다. This paper introduces a new collision attack on first-order masked AES. This attack is a known plaintext attack, while the existing collision attacks are a chosen plaintext attack. In addition, our method is more efficient than the second-order power analysis and requires about 1/27.5 power measurements by comparison with the last collision attack. Some experiment results of this paper support this fact. In this paper, we also introduce a simple countermeasure, which can protect against our attack.

슬립폼 시스템 상승속도 결정에 요구되는 콘크리트에서의 초기경화시간 결정을 위한 연구

김희석(Kim Heeseok),김영진(Kim Young-Jin),진원종(Chin Won-Jong) 대한토목학회 2011 대한토목학회논문집 A Vol.31 No.4A

초장대교 콘크리트 고주탑 시공시에 사용되고 있는 슬립폼 시스템의 상승속도를 결정하는 요소인 초기정화시간은 콘크리트가 거푸집에서 안전하게 빠져나올 수 있는 굳기를 갖게 되는 콘크리트 타설 후 경화사간으로서, 배합 시 단위시멘트량 및 타설시 여러 현장 환경에 크게 영향을 받으므로, 콘크리트 타설 전에 초기경화시간을 정확히 파악하는 것은 매우 어렵다. 따라서 슬립폼 시스템의 안전성 확보 및 콘크리트면의 유지관리 문제가 발생하지 않도록 초기경화시간 결정을 위한 콘크리트 경화정도를 파악하는 기술이 필요하다. 더구나 슬립폼 공법은 연속적인 시공이 이루어지므로 거푸집 탈형 전 콘크리트의 경화정도를 연속적으로 파악할 수 있어야 한다. 초음파를 이용한 기법은 콘크리트면에 초음파를 투과시켜 투과된 신호를 측정 및 분석하는 방법으로 정량적이며 연속적으로 콘크리트의 경화정도를 파악할 수 있다. 특히 표면파 속도를 이용하는 기법은 표면을 따라 전파하는 표면파의 특성을 이용한 것으로서 표면파 속도의 변화를 통해 콘크리트 경화정도를 알 수 있으며, 주탑과 같이 두께가 두꺼운 콘크리트 구조물에 적용이 적합하다. 따라서 본 논문에서는 표면파 속도를 이용하여 콘크리트의 경화정도를 추정함으로서 슬립폼 시스템의 상승속도를 결정하는 연구를 수행하였다. 먼저 슬립폼 시스템 상승속도와 초기경화시간과의 관계식을 유도하였으며, 표면파 진행문제의 수치해석 결과를 연속웨이블릿변환 하여 표면파 속도를 추정하였다. 이때 탄성파 발생위치와 두 개의 수신점 거리에 따른 추정된 표면파 속도의 정밀도를 조사하였으며, 추정된 표면파 속도와 탄성계수와의 관계를 조사하였다. The setting time which is the important element for the determination of slip-up speed of Slip-Form system is the hardening time of early-age concrete when the in place concrete has minimum compressive strength before the concrete appears out of Slip-Form system. But it is very difficult to predict the setting time because it depends on not only the composition ratio of concrete but also various conditions of construction fields. Thus, the technique to estimate accurately and continuously the hardening time of early-age in place concrete during operating Slip-Form system is necessary to guarantee the safely of Slip-Form system and the maintenance of the shape of concrete. Ultrasonic wave-based nondestructive testing methods have the advantages which are accurate and continuous in estimating concrete compressive strength. Of such methods, the method using surface wave which propagates along the surface of material is effective for thick member such as a pylon. Thus, in this paper a study on the determination of slip-up speed for Slip-Form system using surface wave velocity is performed. The relation between the slip-up speed of Slip-Form system and the setting time is formulated, and the surface wave velocity is estimated from continuous wavelet transform of the numerical results for surface wave propagation. Finally, the accuracy of this method according to the distance between the wave source and receivers and the relation between the estimated surface wave velocity and the elastic modulus are investigated.

전력 분석에 안전한 스칼라 곱셈 알고리즘에 대한 단일 파형 공격

김희석(HeeSeok Kim),박영호(Young-Ho Park) 한국정보과학회 2013 정보과학회논문지 : 정보통신 Vol.40 No.1

본 논문에서는 M. Joye가 제안했던 스칼라 곱셈 알고리즘들에 대해 단일 파형을 이용한 새로운 공격 방법을 소개한다. 제안하는 공격 기법은 알고리즘 내부에서 발생할 수 있는 키 비트에 의존한 충돌 특성을 이용하며 기존의 모든 차분 전력 분석 대응법이 적용된 경우에도 키를 발견할 수 있다. M. Joye의 알고리즘들 뿐만 아니라 기존의 많은 스칼라 곱셈 알고리즘들이 이러한 충돌 특성을 갖고 있으며 이는 이 알고리즘들이 제안하는 공격 기법에 의해 유사하게 분석될 수 있음을 의미한다. In this paper, we present new attack method using a single power consumption trace, applicable to scalar multiplication algorithms proposed by M. Joye. The attack described in this paper uses the collision characteristic depending on the key bit, and can find the secret key even when all existing DPA countermeasures are applied to the scalar multiplication algorithm. In addition to the algorithms of M. joye, a lot of existing scalar multiplication algorithms have these collision characteristics. This means that these algorithms can be similarly analyzed by our attack.

sABS 형태의 스칼라 곱셈 연산에 대한 새로운 단순전력 공격

김희석(HeeSeok Kim),한동국(Dong-Guk Han),김성경(Sung-kyoung Kim),김태현(Tae Hyun Kim),박영호(Young-Ho Park),임종인(Jongin Lim) 한국정보보호학회 2007 정보보호학회논문지 Vol.17 No.2

스마트카드와 같이 계산 능력이나 메모리가 제한된 장치에 암호 시스템을 구현할 때, 장치 내에 내장되어 있는 부채널 공격을 고려한 암호학적인 알고리즘은 적은 메모리를 이용하여 효율적으로 수행되어야 한다. 스칼라 곱셈 연산은 타원곡선 암호시스템에서 중요하게 다뤄지는 연산이기 때문에 부채널 공격에 안전하게 구성되어야만 한다. 하지만 부채널 공격에 안전하다고 제시된 여러 대응방법조차도 때로는 고려되지 않은 분석법에 의해 그 취약점이 드러나곤 한다. SPA에 취약하지 않다고 알려진 더미 연산을 추가한 스칼라 곱셈 연산 알고리즘은 Doubling Attack에 의해 그 취약점이 드러났다. 그러나 스칼라 곱셈의 부채널 공격 대응 방법 중 하나인 Hedabou에 의해 제안된 sABS 방법은 Doubling attack이 적용되지 않는다. 본 논문에서는 기존의 Doubling attack을 활용하여 sABS 방법을 분석할 수 있는 새로운 강화된 Doubling attack을 제안하고, 실험적인 결과를 통해 자세한 공격 방법을 소개한다. In cryptographic devices like a smart-card whose computing ability and memory are limited, cryptographic algorithms should be performed efficiently. Scalar multiplication is very important operation in Elliptic Curve Cryptosystems, and so must be constructed in safety against side channel attack(SCA). But several countermeasures proposed against SCA are exposed weaknesses by new un-dreamed analysis. `Double-and-add always scalar multiplication' algorithm adding dummy operation being known to secure against SPA is exposed weakness by Doubling Attack. But Doubling Attack cannot apply to sABS recoding proposed by Hedabou, that is another countermeasure against SPA. Our paper proposes new strengthened Doubling Attacks that can break sABS recoding SPA-countermeasure and a detailed method of our attacks through experimental result.

랜덤 스칼라 대응기법에 대한 부분 공간 기반 전력 분석

김희석(HeeSeok Kim),한동국(Dong-Guk Han),홍석희(SeokHie Hong),이옥연(Okyeon Yi) 大韓電子工學會 2010 電子工學會論文誌-SP (Signal processing) Vol.47 No.1

ECIES와 ECDH의 강력한 DPA 대응방법으로 알려진 랜덤 스칼라 기법은 다양한 전력 분석에 안전한 것으로 알려져있다. 이 대응방법은 매번 생성되는 난수를 키로 사용해 스칼라 곱셈 연산을 수행하는 하나의 파형에서 이 난수 값을 알 수 있다면 분석이 가능하다. 하지만 이러한 분석 사례가 기존에 없어 아직 안전한 것으로 알려져 있다. 본 논문에서는 이러한 분석을 가능하게 할 수 있는 새로운 전력 분석을 제안한다. 제안하는 분석 기법은 타원곡선의 더블링 연산들을 비교함에 의해 이루어지며 이러한 비교를 용이하게 하기 위해 주성분 분석을 이용한다. 제안하는 주성분 분석을 이용한 부분 공간 기반 전력 분석을 실제로 수행했을 때 기존의 판별 함수의 에러를 완벽하게 제거할 수 있었으며 이를 통해 개인키를 찾아낼 수 있었다. Random scalar countermeasures, which carry out the scalar multiplication by the ephemeral secret key, against the differential power analysis of ECIES and ECDH have been known to be secure against various power analyses. However, if an attacker can find this ephemeral key from the one power signal, these countermeasures can be analyzed. In this paper, we propose a new power attack method which can do this analysis. Proposed attack method can be accomplished while an attacker compares the elliptic curve doubling operations and we use the principle component analysis in order to ease this comparison. When we have actually carried out the proposed power analysis, we can perfectly eliminate the error of existing function for the comparison and find a private key from this elimination of the error.

부채널 분석에 안전한 고속 ARIA 마스킹 기법

김희석(HeeSeok Kim),김태현(Tae Hyun Kim),류정춘(Jeong-Choon Ryoo),한동국(Dong-Guk Han),홍석희(SeokHie Hong) 한국정보보호학회 2008 정보보호학회논문지 Vol.18 No.3

전력분석 공격이 소개되면서 다양한 대응법들이 제안되었고 그러한 대응법들 중 블록 암호의 경우, 암/복호화, 키 스케쥴링의 연산 도중 중간 값이 전력 측정에 의해 드러나지 않도록 하는 마스킹 기법이 잘 알려져 있다. 마스킹 기법은 블록 암호의 구성에 따라 적용 방법이 달라질 수 있으며, 각각의 블록암호에 적합한 마스킹 기법에 대한 연구가 진행되고 있다. ARIA의 경우, 기존 마스킹 방법들은 마스킹 보정작업으로 인해 암호 연산시간이 상당히 길며 키스케쥴링 공격이 다른 블록 암호들보다 ARIA에 더 위협적임에도 불구하고 키스케쥴링 과정에 마스킹 방법을 고려하지 않는다. 본 논문에서는 키 스케쥴링 과정을 포함한 ARIA에 적합한 효율적인 마스킹 기법을 제안한다. 제안하는 방법은 기존 방법들보다 암호 연산 시간을 단축시키고 일반적인 마스킹 기법의 (256*8 byte)에 대한 테이블 크기 문제도 (256*6 byte)로 단축시킨다.. In the recent years, power attacks were widely investigated, and so various countermeasures have been proposed. In the case of block ciphers, masking methods that blind the intermediate results in the algorithm computations(encryption, decryption, and key-schedule) are well-known. Applications of masking methods are able to vary in different block ciphers, therefore suitable masking methods about each ciphers have been researched. Existed methods of ARIA have many revisions of mask value. And because existed masking methods pay no regard for key schedule, secret information can be exposed. In the case of ARIA, this problem is more serious than different block ciphers. Therefore we proposes an efficient masking scheme of ARIA including the key-schedule. Our method reduces time-complexity of ARIA encryption, and solve table-size problem of the general ARIA masking scheme from 256*8 byte to 256*6 byte.

MTS를 이용한 정면 충돌 차량감속도의 분석기법 연구

김희석(Heeseok Kim),백윤호(Yunho Baek),백창인(Changin Paek),김원철(Wonchul Kim) 한국자동차공학회 2009 한국자동차공학회 학술대회 및 전시회 Vol.2009 No.11

We need concretize of severity and characterize deceleration target according to vehicle grade because characteristic for deceleration pulse of vehicle crash have a potent effect on occupant injury. This study, first, integrate and improve on various analysis method for vehicle crash performance, such as analysis of vehicle energy and analysis of effective acceleration, using MTS(Mahalanobis Taguchi System) method. Second, find out influence of deceleration pulse of vehicle crash for passenger’s injury and show the new numerical severity index for crash performance based on statistic analysis.

주성분 분석을 이용한 전력 분석 공격의 성능 향상

김희석(HeeSeok Kim),김현민(Hyunmin Kim),박일환(IlHwan Park),김창균(ChangKyun Kim),류희수(Heuisu Ryu),박영호(Young-Ho Park) 한국정보보호학회 2010 정보보호학회논문지 Vol.20 No.6

최근, 전력 분석 공격의 성능 향상을 위해 다양한 신호 처리 기술에 대한 연구가 진행되고 있다. 그 중 신호 압축기술은 전력 분석 공격 시 소요되는 연산시간을 상당히 단축할 수 있음에도 불구하고 신호 정렬, 잡음 제거 기술에 비해 연구가 미비한 실정이다. 기존의 신호 압축 기술은 신호의 특성을 제대로 고려하지 않아 오히려 전력 분석의 성능을 저하시킬 수 있다. 본 논문에서는 전력 신호의 특성을 고려하여 원신호의 의미있는 성분이 최대한 손실되지 않는 주성분 분석 기반의 신호 압축 기술을 제안한다. 또한 기존 방법과 제안하는 압축 기술의 실험적인 분석을 통해 각 압축 기술의 전력 분석 공격 성능을 비교한다. In the recent years, various researches about the signal processing have been presented to improve the performance of power analysis. Among these signal processing techniques, the research about the signal compression is not enough than a signal alignment and a noise reduction; even though that can reduce considerably the computation time for the power analysis. But, the existing compression method can sometimes reduce the performance of the power analysis because those are the unsophisticated method not considering the characteristic of the signal. In this paper, we propose the new PCA (principal component analysis)-based signal compression method, which can block the loss of the meaningful factor of the original signal as much as possible, considering the characteristic of the signal. Also, we prove the performance of our method by carrying out the experiment.

격자 기반 차세대 양자 내성 암호에 대한 부채널 분석 기술 동향

김수리(Suhri Kim),김한빛(HanBit Kim),김희석(HeeSeok Kim) 한국정보보호학회 2017 情報保護學會誌 Vol.27 No.6

양자 컴퓨터의 개발 가능성이 증가됨에 따라 인수분해나 이산대수 문제를 효율적으로 해결할 수 있는 Shor 알고리즘의 구현 가능성이 늘어나고 있다. 기존 RSA와 ECC 기반 암호시스템은 Shor 알고리즘이 구현될 경우 다항시간 안에 해독이 가능하기 때문에, 이를 대체할 후 양자 암호의 필요성이 대두되고 있으며, 이러한 후 양자 암호 중 격자 기반 암호는 빠른 속도와 비교적 작은 키 사이즈로 각광받고 있다. 후 양자 암호를 실생활에서 사용하려면 양자 컴퓨터 이외에 기존 공격에 대한 안전성도 고려해야 하며, 가장 강력한 암호 분석으로 알려진 부채널 분석에 대한 안전성 또한 필수적으로 구비되어야 한다. 본 논문에서는 격자 기반 암호에 대한 부채널 분석 및 대응기술 동향에 대해 알아본다.

저메모리 기반의 산술 마스킹에서 불 마스킹 변환 알고리즘

김한빛(HanBit Kim),김희석(HeeSeok Kim),김태원(TaeWon Kim),홍석희(SeokHie Hong) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.1

전력 분석 공격은 공격자가 암호 알고리즘이 수행되는 동안 발생하는 전력 신호를 분석하여 비밀정보를 알아내는 분석 기법이다. 이러한 부채널 공격의 대응기법으로 널리 알려진 방법 중 하나는 마스킹 기법이다. 마스킹 기법은 크게 불 마스킹 형태와 산술 마스킹 형태의 두 종류로 나뉜다. 불 연산자와 산술 연산자를 사용하는 암호 알고리즘의 경우, 연산자에 따라 마스킹의 형태를 변환하는 알고리즘으로 마스킹 기법을 적용 가능하다. 본 논문에서는 기존의 방식보다 더 적은 비용의 저장 공간을 이용하는 산술 마스킹에서 불 마스킹 변환 알고리즘을 제안한다. 제안하는 변환 알고리즘은 마스킹의 최하위 비트(LSB)의 경우 불 마스킹과 산술 마스킹이 같음을 이용하여 변환하려는 비트 크기와 같은 크기만큼 저장 공간을 사용하여 참조 테이블을 구성한다. 이로 인해 기존의 변환 알고리즘과 비교해 성능 저하 없이 더 적은 비용으로 변환 알고리즘을 설계할 수 있다. 추가로 제안하는 기법을 LEA에 적용하여 기존의 기법보다 최대 26.2% 성능향상을 보였다. Power analysis attacks are techniques to analyze power signals to find out the secrets when cryptographic algorithm is performed. One of the most famous countermeasure against power analysis attacks is masking methods. Masking types are largely classified into two types which are boolean masking and arithmetic masking. For the cryptographic algorithm to be used with boolean and arithmetic masking at the same time, the converting algorithm can switch between boolean and arithmetic masking. In this paper we propose an algorithm for switching from boolean to arithmetic masking using storage size at less cost than ones. The proposed algorithm is configured to convert using the look-up table without the least significant bit(LSB), because of equal the bit of boolean and arithmetic masking. This makes it possible to design a converting algorithm compared to the previous algorithm at a lower cost without sacrificing performance. In addition, by applying the technique at the LEA it showed up to 26 percent performance improvement over existing techniques.