랜덤 스칼라 대응기법에 대한 부분 공간 기반 전력 분석

김희석(HeeSeok Kim),한동국(Dong-Guk Han),홍석희(SeokHie Hong),이옥연(Okyeon Yi) 大韓電子工學會 2010 電子工學會論文誌-SP (Signal processing) Vol.47 No.1

ECIES와 ECDH의 강력한 DPA 대응방법으로 알려진 랜덤 스칼라 기법은 다양한 전력 분석에 안전한 것으로 알려져있다. 이 대응방법은 매번 생성되는 난수를 키로 사용해 스칼라 곱셈 연산을 수행하는 하나의 파형에서 이 난수 값을 알 수 있다면 분석이 가능하다. 하지만 이러한 분석 사례가 기존에 없어 아직 안전한 것으로 알려져 있다. 본 논문에서는 이러한 분석을 가능하게 할 수 있는 새로운 전력 분석을 제안한다. 제안하는 분석 기법은 타원곡선의 더블링 연산들을 비교함에 의해 이루어지며 이러한 비교를 용이하게 하기 위해 주성분 분석을 이용한다. 제안하는 주성분 분석을 이용한 부분 공간 기반 전력 분석을 실제로 수행했을 때 기존의 판별 함수의 에러를 완벽하게 제거할 수 있었으며 이를 통해 개인키를 찾아낼 수 있었다. Random scalar countermeasures, which carry out the scalar multiplication by the ephemeral secret key, against the differential power analysis of ECIES and ECDH have been known to be secure against various power analyses. However, if an attacker can find this ephemeral key from the one power signal, these countermeasures can be analyzed. In this paper, we propose a new power attack method which can do this analysis. Proposed attack method can be accomplished while an attacker compares the elliptic curve doubling operations and we use the principle component analysis in order to ease this comparison. When we have actually carried out the proposed power analysis, we can perfectly eliminate the error of existing function for the comparison and find a private key from this elimination of the error.

부채널 분석에 안전한 고속 ARIA 마스킹 기법

김희석(HeeSeok Kim),김태현(Tae Hyun Kim),류정춘(Jeong-Choon Ryoo),한동국(Dong-Guk Han),홍석희(SeokHie Hong) 한국정보보호학회 2008 정보보호학회논문지 Vol.18 No.3

전력분석 공격이 소개되면서 다양한 대응법들이 제안되었고 그러한 대응법들 중 블록 암호의 경우, 암/복호화, 키 스케쥴링의 연산 도중 중간 값이 전력 측정에 의해 드러나지 않도록 하는 마스킹 기법이 잘 알려져 있다. 마스킹 기법은 블록 암호의 구성에 따라 적용 방법이 달라질 수 있으며, 각각의 블록암호에 적합한 마스킹 기법에 대한 연구가 진행되고 있다. ARIA의 경우, 기존 마스킹 방법들은 마스킹 보정작업으로 인해 암호 연산시간이 상당히 길며 키스케쥴링 공격이 다른 블록 암호들보다 ARIA에 더 위협적임에도 불구하고 키스케쥴링 과정에 마스킹 방법을 고려하지 않는다. 본 논문에서는 키 스케쥴링 과정을 포함한 ARIA에 적합한 효율적인 마스킹 기법을 제안한다. 제안하는 방법은 기존 방법들보다 암호 연산 시간을 단축시키고 일반적인 마스킹 기법의 (256*8 byte)에 대한 테이블 크기 문제도 (256*6 byte)로 단축시킨다.. In the recent years, power attacks were widely investigated, and so various countermeasures have been proposed. In the case of block ciphers, masking methods that blind the intermediate results in the algorithm computations(encryption, decryption, and key-schedule) are well-known. Applications of masking methods are able to vary in different block ciphers, therefore suitable masking methods about each ciphers have been researched. Existed methods of ARIA have many revisions of mask value. And because existed masking methods pay no regard for key schedule, secret information can be exposed. In the case of ARIA, this problem is more serious than different block ciphers. Therefore we proposes an efficient masking scheme of ARIA including the key-schedule. Our method reduces time-complexity of ARIA encryption, and solve table-size problem of the general ARIA masking scheme from 256*8 byte to 256*6 byte.

전력 분석에 안전한 AES에 대한 새로운 종류의 충돌쌍 공격

김희석,박학수,홍석희,Kim, HeeSeok,Park, Hark-Soo,Hong, Seokhie 한국정보처리학회 2013 정보처리학회논문지. 컴퓨터 및 통신시스템 Vol.2 No.9

본 논문에서는 일차 전력 분석에 안전한 AES의 마스킹 기법을 분석할 수 있는 새로운 충돌쌍 공격을 제안한다. 제안하는 충돌쌍 공격은 기존 충돌쌍 공격의 단점인 선택 평문 공격의 단점을 극복하고 기지 평문 공격이 가능하도록 구성되어진다. 또한 제안하는 분석기법은 이차 전력분석보다 효율적이며 최근 제안된 충돌쌍 공격에 요구되는 파형 개수에 비해 약 1/27.5배의 파형만을 요구한다. 논문에 포함된 실험 결과들은 이러한 사실을 뒷받침한다. 본 논문에서는 또한 새로운 분석 기법과 함께 이 방법을 방어할 수 있는 간단한 대응방법을 소개하도록 한다. This paper introduces a new collision attack on first-order masked AES. This attack is a known plaintext attack, while the existing collision attacks are a chosen plaintext attack. In addition, our method is more efficient than the second-order power analysis and requires about 1/27.5 power measurements by comparison with the last collision attack. Some experiment results of this paper support this fact. In this paper, we also introduce a simple countermeasure, which can protect against our attack.

전력 분석 공격에 안전한 3상 동적 전류 모드 로직

김현민(Hyunmin Kim),김희석(HeeSeok Kim),홍석희(Seokhie Hong) 한국정보보호학회 2011 정보보호학회논문지 Vol.21 No.5

암호화 장비에 의해 소비되는 전력이 연산 데이터에 의존하는 특성을 이용한 전력 분석 공격이 제안된 이후, 이러한 연관성을 하드웨어에서 원천적으로 차단할 수 있는 많은 로직들이 개발되었다. 그 중 대부분의 로직들이 채택하고 있는 DRP로직은 전력 소비량을 균형 있게 유지하여, 연산 데이터와 소비 전력 간의 연관성을 제거한다. 하지만, 최근 설계 회로 규모 확장에 따른 semi-custom 디자인 방식의 적용이 불가피하게 되었고, 이러한 디자인 방식은 불균형적인 설계 패턴을 야기하여 DRP로직이 균형적인 전력을 소비하지 않는 문제점을 발생하도록 하였다. 이러한 불균형적인 전력 소비는 전력 분석 공격에 취약점이 된다. 본 논문에서는 이러한 불균형적인 전력 소비 패턴을 제거하기 위하여 양쪽 출력 노드를 동시에 discharge 시켜주는 동작을 추가한 DyCML로직 기반의 새로운 로직을 개발하였다. 본 논문에서는 또한 제안 기법의 성능을 증명하기 위해 1bit fulladder를 구성하여 기존 로직과의 성능을 비교하였다. 제안 로직은 전력 소비량의 균형성을 판단하는 지표인 NED와 NSD값에 대해 최대 60%이상 성능 향상이 있음이 확인되었으며 전력 소비량 또한 다른 로직에 비하여 최대 55%정도 감소하는 것으로 확인되었다. Since power analysis attack which uses a characteristic that power consumed by crypto device depends on processed data has been proposed, many logics that can block these correlation originally have been developed. DRP logic has been adopted by most of logics maintains power consumption balanced and reduces correlation between processed data and power consumption. However, semi-custom design is necessary because recently design circuits become more complex than before. This design method causes unbalanced design pattern that makes DRP logic consumes unbalanced power consumption which is vulnerable to power analysis attack. In this paper, we have developed new logic style which adds another discharge phase to discharge two output nodes at the same time based on DyCML to remove this unbalanced power consumption. Also, we simulated 1bit fulladder to compare proposed logic with other logics to prove improved performance. As a result, proposed logic is improved NED and NSD to 60% and power consumption reduces about 55% than any other logics.

저메모리 기반의 산술 마스킹에서 불 마스킹 변환 알고리즘

김한빛(HanBit Kim),김희석(HeeSeok Kim),김태원(TaeWon Kim),홍석희(SeokHie Hong) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.1

전력 분석 공격은 공격자가 암호 알고리즘이 수행되는 동안 발생하는 전력 신호를 분석하여 비밀정보를 알아내는 분석 기법이다. 이러한 부채널 공격의 대응기법으로 널리 알려진 방법 중 하나는 마스킹 기법이다. 마스킹 기법은 크게 불 마스킹 형태와 산술 마스킹 형태의 두 종류로 나뉜다. 불 연산자와 산술 연산자를 사용하는 암호 알고리즘의 경우, 연산자에 따라 마스킹의 형태를 변환하는 알고리즘으로 마스킹 기법을 적용 가능하다. 본 논문에서는 기존의 방식보다 더 적은 비용의 저장 공간을 이용하는 산술 마스킹에서 불 마스킹 변환 알고리즘을 제안한다. 제안하는 변환 알고리즘은 마스킹의 최하위 비트(LSB)의 경우 불 마스킹과 산술 마스킹이 같음을 이용하여 변환하려는 비트 크기와 같은 크기만큼 저장 공간을 사용하여 참조 테이블을 구성한다. 이로 인해 기존의 변환 알고리즘과 비교해 성능 저하 없이 더 적은 비용으로 변환 알고리즘을 설계할 수 있다. 추가로 제안하는 기법을 LEA에 적용하여 기존의 기법보다 최대 26.2% 성능향상을 보였다. Power analysis attacks are techniques to analyze power signals to find out the secrets when cryptographic algorithm is performed. One of the most famous countermeasure against power analysis attacks is masking methods. Masking types are largely classified into two types which are boolean masking and arithmetic masking. For the cryptographic algorithm to be used with boolean and arithmetic masking at the same time, the converting algorithm can switch between boolean and arithmetic masking. In this paper we propose an algorithm for switching from boolean to arithmetic masking using storage size at less cost than ones. The proposed algorithm is configured to convert using the look-up table without the least significant bit(LSB), because of equal the bit of boolean and arithmetic masking. This makes it possible to design a converting algorithm compared to the previous algorithm at a lower cost without sacrificing performance. In addition, by applying the technique at the LEA it showed up to 26 percent performance improvement over existing techniques.

고차 전력 분석에 대한 통계적 수식의 일반화

김민수(MinSu Kim),김희석(HeeSeok Kim),홍석희(Seokhie Hong) 한국정보보호학회 2011 정보보호학회논문지 Vol.21 No.4

d차의 고차 전력 분석은 d차 마스킹 기법에 의해 안전하게 방어할 수 있다. 하지만 이러한 고차의 마스킹 기법의 적용은 차수가 높아질수록 암호 시스템의 성능을 현저히 떨어뜨린다. 기존의 고차 전력 분석에 대한 통계적 접근은 이차 전력 분석에 대해서만 이루어져 있다. 하지만 이는 암호 설계자가 삼차 이상의 마스킹 적용 시 특별한 안전성의 기준이 없음을 의미하며 이러한 기준의 부재는 무의미하게 높은 차수의 마스킹 기법 적용으로 인해 암호 시스템의 성능을 상당히 저하시킬 수 있다. 본 논문에서는 이러한 기준을 마련하고자 고차 전력 분석에 대한 통계적 수치를 일반화하였다. 즉, 고차 전력 분석을 수행했을 때 연산되는 상관계수의 값을 일반화 시켰으며 이는 향후 마스킹 기법 사용 시 적용해야할 차수를 선택하기 위한 좋은 지표가 될 것이다. dth-order power analysis can safely be defended by dth-order masking method. However, as the degree of applied masking method increases, it can significantly decrease effectiveness of cryptosystem. The existing statistical analysis on high-order power analysis contains only analysis on second power analysis. However, this means absent of safety standards when crypto engineers apply 3rd or more order masking. this absent of standards can lead to insignificant usage of masking method which can significantly decrease effectiveness of cryptosystem. In this dissertation, we have generalize statistical values on high-order power analysis to establish these standards. In other words, we have generalized the value of a correlation coefficient when calculation of high-order power analysis methods are performed. That is to say, it can greatly be used to indicate a degrees that can be applied on further usage of masking method.

마스킹 테이블을 사용하지 않는 AES, ARIA, SEED S-box의 전력 분석 대응 기법

한동국(Dong-Guk Han),김희석(HeeSeok Kim),송호근(Ho-geun Song),이호상(Ho-sang Lee),홍석희(Seokhie Hong) 한국정보보호학회 2011 정보보호학회논문지 Vol.21 No.2

전력 분석 공격이 소개되면서 다양한 대응법들이 제안되었고 그러한 대응법들 중 블록 암호의 경우, 암/복호화 연산도중 중간 값이 전력 측정에 의해 드러나지 않도록 하는 마스킹 기법이 잘 알려져 있다. 블록 암호의 마스킹 기법은 비선형 연산에 대한 비용이 가장 크며, 따라서 AES, ARIA, SEED의 경우 S-box에 대한 대응법을 효율적으로 설계해야만 한다. 하지만 기존의 AES, ARIA, SEED의 S-box에 대한 대응 방법은 마스킹 S-box 테이블을 사용하는 방법으로 하나의 S-box당 256 bytes의 RAM을 필수적으로 사용한다. 하지만 가용 RAM의 크기가 크지 않은 경량보안 디바이스에 이러한 기존의 대응법은 사용이 부적합하다. 본 논문에서는 이러한 단점을 보완하기 위해 마스킹 S-box 테이블을 사용하지 않는 새로운 대응법을 제안한다. 본 논문에서 제안하는 새로운 대응 기법은 비용이 적은 ROM을 활용, RAM의 사용량을 줄일 뿐 아니라 마스킹 S-box 테이블 생성 시간을 소요하지 않으므로 축소 라운드 마스킹 기법 적용 시 고속화도 가능하다. In the recent years, power analysis attacks were widely investigated, and so various countermeasures have been proposed. In the case of block ciphers, masking methods that blind the intermediate values in the en/decryption computations are well-known among these countermeasures. But the cost of non-linear part is extremely high in the masking method of block cipher, and so the countermeasure for S-box must be efficiently constructed in the case of AES, ARIA and SEED. Existing countermeasures for S-box use the masked S-box table to require 256 bytes RAM corresponding to one S-box. But, the usage of the these countermeasures is not adequate in the lightweight security devices having the small size of RAM. In this paper, we propose the new countermeasure not using the masked S-box table to make up for this weak point. Also, the new countermeasure reduces time-complexity as well as the usage of RAM because this does not consume the time for generating masked S-box table.

부채널 분석 성능향상을 위한 특이값분해 신호처리 기법에 관한 연구

박건민(Geonmin Bak),김태원(Taewon Kim),김희석(HeeSeok Kim),홍석희(Seokhie Hong) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.6

부채널 분석에서 신호처리 기법은 차원 압축이나 잡음 제거를 통해 분석의 효율성과 성능을 높일 수 있는 전처리 기법이다. 특이값 분해를 이용한 신호처리 방법은 신호의 분산 정보나 경향성 등을 이용하여 주 신호 정보를 높이고 잡음신호를 낮출 수 있어, 분석 성능 향상에 큰 도움이 된다. 대표적인 기법은 주성분분석과 선형판별분석 그리고 Singular Spectrum Analysis(SSA)가 있다. 주성분분석과 선형판별분석은 주 신호의 정보를 집약하여 차원 압축을 할 수 있으며, SSA는 본 신호를 주 신호와 잡음 신호로 분해하여 잡음 제거가 가능하다. 세 가지 기법 각각을 사용하거나 조합하여 사용할 경우 성능적인 측면을 비교할 필요가 있으며, 그에 대한 방법론이 필요하다. 본 논문에서는 세 기법을 개별적으로 사용할 경우와 조합하여 사용할 경우의 성능을 비교 분석하였으며, 신호 대 잡음비를 이용한 비교분석 방법론을 제시하였다. 제시한 방법론과 다양한 비교분석 실험을 통해 각 기법의 성능과 효율성을 확인하였다. 이로 인해 부채널 분석 분야의 많은 연구자들에게 유용한 정보를 제공할 것이다. In side channel analysis, signal processing techniques can be used as preprocessing to enhance the efficiency and performance of analysis by reducing the noise or compressing the dimension. As signal processing techiniques using singular value decomposition can increase the information of main signal and reduce the noise by using the variance and tendency of signal, it is a great help to improve the performance of analysis. Typical techniques of that are PCA(Principal Component Analysis), LDA(Linear Discriminant Analysis) and SSA(Singular Spectrum Analysis). PCA and LDA can compress the dimension with increasing the information of main signal, and SSA reduces the noise by decomposing the signal into main siganl and noise. When applying each one or combination of these techniques, it is necessary to compare the performance. Therefore, it needs to suggest methodology of that. In this paper, we compare the performance of the three technique and propose using Sinal-to-Noise Ratio(SNR) as the methodology. Through the proposed methodology and various experiments, we confirm the performance and efficiency of each technique. This will provide useful information to many researchers in the field of side channel analysis.

마스킹 형태 변환 알고리즘에 대한 새로운 전력 분석 공격

조영인(Young In Cho),김희석(HeeSeok Kim),한동국(Dong-Guk Han),홍석희(Seokhie Hong),강주성(JuSung Kang) 大韓電子工學會 2010 電子工學會論文誌-SP (Signal processing) Vol.47 No.1

전력 분석 공격의 다양한 대응법들 중 대칭키 암호의 경우, 암/복호화, 키 스케쥴링의 연산 도중 중간 값이 전력 측정에 의해 드러나지 않도록 하는 마스킹 기법이 잘 알려져 있다. 대칭키 암호는 Boolean 연산과 Arithmetic연산이 섞여 있으므로 마스킹 형태 변환이 불가피하다. Messerges에 의해서 일반적인 전력 분석 공격에 안전한 마스킹 형태 변환 알고리즘이 제안되었고 이에 대한 취약성이 보고되었다. 본 논문에서는 Messerges가 제안한 마스킹 형태 변환 알고리즘에 대한 기존 전력 분석공격이 불가능함을 보이고 새로운 전력 분석 공격 방법을 제안한다. 마스킹 형태 변환 알고리즘에 대하여 강화된 DPA와 CPA 공격 방법을 제시한 뒤 시뮬레이션 결과로써 제안하는 공격 방법으로 실제 분석이 가능함을 확인한다. In the recent years, power analysis attacks were widely investigated, and so various countermeasures have been proposed. In the case of block ciphers, masking methods that blind the intermediate results in the algorithm computations(encryption, decryption, and key-schedule) are well-known. The type conversion of masking is unavoidable since Boolean operation and Arithmetic operation are performed together in block cipher. Messerges proposed a masking type conversion algorithm resistant general power analysis attack and then it's vulnerability was reported. We present that some of exiting attacks have some practical problems and propose a new power analysis attack on Messerges's algorithm. After we propose the strengthen DPA and CPA attack on the masking type conversion algorithm, we show that our proposed attack is a practical threat as the simulation results.

수평적 상관관계 분석에 안전한 블라인딩 대응기법에 대한 전력 분석 공격

이상엽(Sangyub Lee),김태원(Taewon Kim),김희석(HeeSeok Kim),홍석희(Seokhie Hong) 한국정보보호학회 2015 정보보호학회논문지 Vol.25 No.4

현재 전력 분석은 여러 가지 부채널 분석 중 가장 활발하게 연구되고 있다. 1999년 Kocher 등에 의해 차분 전력 분석이 제안된 이후로 소프트웨어/하드웨어 기반 암호 디바이스를 대상으로 하는 다양하고 현실적인 전력 분석공격이 제안되었다. 본 논문은 공개키 암호 알고리즘에 대하여 단 하나의 파형을 이용하는 전력분석에 안전한 대응기법의 취약성을 분석한다. 2010년 ICICS에서 Clavier 등은 단 하나의 지수승 파형으로 비밀 정보를 찾아낼 수 있는 수평적 상관관계 분석과 그에 대한 대응기법을 제안하였다. 그 중 하나인 “Blind operands in LIM” 대응기법은 큰 정수 곱셈의 두 입력에 대한 덧셈 블라인딩을 이용하여 비밀정보와 관련된 중간 값 노출을 막는다. 그럼에도 불구하고 이 대응기법은 공격자가 알고 있는 평문에 대한 전력 누설을 일으킬 수 있는 취약점을 가지고 있다. 본 논문에서는 세 가지 공격시나리오를 통해 취약점을 분석했고 실제적인 실험을 통해 이를 증명하였다. Until recently, power analysis is one of the most popular research issues among various side channel analyses. Since Differential Power Analysis had been first proposed by Kocher et al., various practical power analyses correspond with software/hardware cryptographic devices have been proposed. In this paper, we analyze vulnerability of countermeasure against power analysis exploiting single power trace of public cryptographic algorithm. In ICICS 2010, Clavier et al. proposed Horizontal Correlation Analysis which can recover secret information from a single exponentiation trace and corresponding countermeasures. "Blind operands in LIM", one of their countermeasures, exploits additive blinding in order to prevent leakage of intermediate value related to secret information. However, this countermeasure has vulnerability of having power leakage that is dependant with the message known by an adversary. In this paper, we analyzed vulnerabilities by three attack scenarios and proved them by practical correlation power analysis experiments.