전력분석 공격에 안전한 개선된 스트림 암호 Rabbit

배기석,안만기,박영호,문상재,Bae, KiSeok,Ahn, MahnKi,Park, YoungHo,Moon, SangJae 대한전자공학회 2013 전자공학회논문지 Vol.50 No.9

최근 유럽연합의 eSTREAM 공모사업에서 소프트웨어 분야에 선정된 Rabbit 알고리듬은 ISO/IEC 18033-4 기술분야에 추가 선정된 스트림 암호이다. 그러나 Rabbit 알고리듬은 구현된 실제 환경에서 발생할 수 있는 전력분석 공격의 취약성이 발견되고, 실제 가능함이 발표되었다. 본 논문에서는 전력분석 공격에 안전한 Rabbit의 구현을 위해 적합한 랜덤 마스킹 및 연산순서 숨김 기법을 제안한다. 제안한 방어책들은 빠른 수행속도의 장점을 유지하며 24%의 연산시간과 12.3%의 메모리 요구량만이 증가하여 스트림 암호의 방어책으로 적합하다. 8비트 RISC 계열의 AVR 마이크로프로세서(ATmega128L)에 탑재하여 실험한 결과, 전력분석 공격에 안전함을 검증하였다. Recently, stream cipher Rabbit was selected for the final eSTREAM portfolio organized by EU ECRYPT and as one of algorithm in part of ISO/IEC 18033-4 Stream Ciphers on ISO Security Standardization. However, a feasibility of practical power analysis attack to algorithm in experiment was introduced. Therefore, we propose appropriate methods such as random masking and hiding schemes to secure against power analysis attack on stream cipher Rabbit. We implement the proposed method with increment of 24% operating time and 12.3% memory requirements due to maintaining a high-speed performance. We use a 8-bit RISC AVR microprocessor (ATmegal128L chip) to implement our method for practical experiments, and verify that stream cipher Rabbit with our method is secure against power analysis attack.

이동 Ad-Hoc 네트워크 환경에서 페어링 연산의 밀러 알고리듬에 대한 데이터 오류 공격

배기석(KiSeok Bae),손교용(GyoYong Sohn),박영호(YoungHo Park),문상재(SangJae Moon) 대한전자공학회 2013 전자공학회논문지 Vol.50 No.2

최근 이동 ad hoc 네트워크에 적합한 ID 기반의 암호시스템 구현을 위해서 다양한 페어링 연산들이 사용되고 있으며, 밀러 알고리듬은 Weil, Tate, Ate 페어링 연산에서 가장 많이 사용되는 알고리듬이다. 본 논문에서는 Whelan과 Scott에 의해 제안된 밀러 알고리듬의 중간 값에 대한 오류 공격을 구체화하여 라운드 위치와 상관없이 적용할 수 있는 데이터 오류 주입 공격의 가능성을 분석하였다. 시뮬레이션 결과, 제안하는 공격 방법이 라운드 위치나 사용하는 좌표계와 관계없이 적용 가능하여 효과적이며 강력한 오류 주입 공격 방법임을 확인하였다. Recently, there has been introduced various types of pairing computations to implement ID based cryptosystem for mobile ad hoc network. The Miller algorithm is the most popular algorithm for the typical pairing computation such as Weil, Tate and Ate. In this paper, we analyze the feasibility of concrete data fault injection attack, which was proposed by Whelan and Scott, in terms of regardless of round positions during the execution of the Miller algorithm. As the simulation results, the proposed attack that can be employed to regardless of round positions and coordinate systems is effective and powerful.

전력분석 공격에 안전한 개선된 스트림 암호 Rabbit

배기석(KiSeok Bae),안만기(MahnKi Ahn),박영호(YoungHo Park),문상재(SangJae Moon) 대한전자공학회 2013 전자공학회논문지 Vol.50 No.1

최근 유럽연합의 eSTREAM 공모사업에서 소프트웨어 분야에 선정된 Rabbit 알고리듬은 ISO/IEC 18033-4 기술분야에 추가 선정된 스트림 암호이다. 그러나 Rabbit 알고리듬은 구현된 실제 환경에서 발생할 수 있는 전력분석 공격의 취약성이 발견되고, 실제 가능함이 발표되었다. 본 논문에서는 전력분석 공격에 안전한 Rabbit의 구현을 위해 적합한 랜덤 마스킹 및 연산 순서 숨김 기법을 제안한다. 제안한 방어책들은 빠른 수행속도의 장점을 유지하며 24%의 연산시간과 12.3%의 메모리 요구량만이 증가하여 스트림 암호의 방어책으로 적합하다. 8비트 RISC 계열의 AVR 마이크로프로세서(ATmega128L)에 탑재하여 실험한 결과, 전력분석 공격에 안전함을 검증하였다. Recently, stream cipher Rabbit was selected for the final eSTREAM portfolio organized by EU ECRYPT and as one of algorithm in part of ISO/IEC 18033-4 Stream Ciphers on ISO Security Standardization. However, a feasibility of practical power analysis attack to algorithm in experiment was introduced. Therefore, we propose appropriate methods such as random masking and hiding schemes to secure against power analysis attack on stream cipher Rabbit. We implement the proposed method with increment of 24% operating time and 12.3% memory requirements due to maintaining a high-speed performance. We use a 8-bit RISC AVR microprocessor (ATmegal128L chip) to implement our method for practical experiments, and verify that stream cipher Rabbit with our method is secure against power analysis attack.

카운터 오류 공격에 안전한 Miller 알고리듬

배기석(KiSeok Bae),박영호(YoungHo Park) 대한전자공학회 2013 전자공학회논문지 Vol.50 No.7

최근 이동 ad hoc 네트워크에 적합한 ID기반 암호시스템의 구현을 위한 Weil, Tate, Ate와 같은 페어링 연산 기법에서는 밀러 알고리듬이 사용된다. 페어링 연산의 활용 영역이 넓어짐에 따라 다양한 오류 공격이 제안되고 있으며, 그중 카운터 오류 공격이 가장 강력한 위협으로 여겨진다. 따라서 본 연구에서는 카운터 오류 공격에 대한 새로운 대응책을 제안한다. 제안 기법은 중간 값을 저장하는 위치를 랜덤하게 함으로써 오류에 의한 변형 가능성을 줄이고, if 구문에 의한 부채널 특성을 제거하여 오류 공격의 시도 자체를 어렵게 한다. Recently, there has been introduced various types of pairing computations to implement ID based cryptosystem for mobile ad hoc network. According to spreading the applications of pairing computations, various fault attacks have been proposed. Among them, a counter fault attack has been considered the strongest threat. Thus this paper proposes a new countermeasure to prevent the counter fault attack on Miller"s algorithm. The proposed method is able to reduce the possibility of fault propagation by a random index of intermediate values. Additionally, it is difficult to challenge fault attacks on the proposed method since a simple side channel leakage of "if" branch is eliminated.

이동 Ad-Hoc 네트워크 환경에 적합한 스트림 암호 HC-128의 부채널 안전성 분석

배기석(KiSeok Bae),박영호(YoungHo Park),문상재(SangJae Moon) 한국산업정보학회 2012 한국산업정보학회논문지 Vol.17 No.6

최근 eSTREAM 공모사업에서 소프트웨어 분야로 최종 선정된 HC-128 알고리듬은 제한된 메모리 환경에서 고속 암호화가 가능하여 이동 ad-hoc 네트워크에 적합한 스트림 암호이다. 본 논문은 실제 구현되었을 때 발생할 수 있는 부채널 분석 공격에 대한 스트림 암호 HC-128 알고리듬의 안전성을 분석한다. 먼저 부채널 분석 공격에 대한 안전도가 낮은 것으로 판정하였던 기존 분석 방법의 누락된 부분을 밝히고, 올바른 분석 과정에서 필요한 계산 복잡도를 계산하여 HC-128 알고리듬의 부채널 분석 공격에 대한 안전성을 재평가하였다. 그 결과, 비밀키를 알아내기 위해서는 타 스트림 암호에 비해 훨씬 큰 약 2<SUP>64</SUP>만큼의 복잡도가 필요하므로 스트림 암호 HC-128는 부채널 분석 공격에 안전한 것으로 평가된다. The HC-128 stram cipher which selected for the final eSTREAM portfolio is suitable for mobile Ad-Hoc network environments because of the ability of high-speed encryption in restricted memory space. In this paper, we analyzed the vulnerability of side channel analysis attack on HC-128 stream cipher. At the first, we explain a flaw of previous theoretical analysis result which defined the complexity of side-channel attack of HC-128 stream cipher as "low" and then re-evaluate the security against side-channel attack by estimating the concrete complexity for recovering the secret key. As a result, HC-128 stream cipher is relatively secure against side-channel attack since recovering the secret key have 2<SUP>64</SUP> computation complexity which is higher than other stream cipher"s one.

오류 분석 공격에 대응하는 효율적인 DSA 서명 기법

배기석(KiSeok Bae),백이루(YiRoo Baek),문상재(SangJae Moon),하재철(JaeCheol Ha) 한국정보보호학회 2010 정보보호학회논문지 Vol.20 No.5

오류 분석 공격은 암호용 디바이스가 동작하는 동안 오류를 주입한 후 그 결과를 분석함으로써 사용된 비밀키를 추출하는 물리적 공격 방법이다. 이러한 오류 분석 공격에 의해 표준 서명 알고리듬인 DSA(Digital Signature Algorithm)도 취약한 특성이 있음이 밝혀졌고 이를 방어하기 위한 대응책들도 제시된 바 있다. 본 논문에서는 오류분석 공격을 방어할 수 있는 새로운 DSA 서명 기법을 제안한다. 제안 기법은 서명 연산시 한 번의 역수 연산만 추가되므로 타 대응 방식에 비해 효율적으로 구현할 수 있다. The fault cryptanalysis is a physical attack in which the key stored inside of the device can be extracted by occurring some faults when the device performs cryptographic algorithm. Since the international signature standard DSA(Digital Signature Algorithm) was known to be vulnerable to some fault analysis attacks, many researchers have been investigating the countermeasure to prevent these attacks. In this paper we propose a new countermeasure to compute DSA signature that has its immunity in the presence of faults. Since additional computational overhead of our proposal is only an inverse operation in signature process, the proposed DSA scheme can be implemented more efficiently compared to previous countermeasures.

스트림 암호 Rabbit에 대한 전력분석 공격

배기석(KiSeok Bae),안만기(ManKi Ahn),박제훈(JeaHoon Park),이훈재(HoonJae Lee),문상재(SangJae Moon) 한국정보보호학회 2011 정보보호학회논문지 Vol.21 No.3

무선 센서 네트워크(wireless sensor network)의 센서 노드는 특성상 전력 소모량, 전송 속도 및 도달 거리 등이 고려되어 설계되야 하며, 여러 형태의 공격(도청, 해킹, 가입자 비밀정보 유출, 서비스 도착상태 등)에 안전해야한다. 최근 유럽연합의 eSTREAM 공모사업에서 소프트웨어 분야에 선정된 Rabbit 알고리듬은 ISO/IEC 18033-4 기술분야에 추가 선정되었으며 무선 센서 네트워크에 적용 가능한 스트림 암호이다. 이러한 Rabbit 알고리듬은 이론적 분석에 의해 부채널분석 공격에 대한 복잡도가 중간수준(medium)으로 평가됨에 따라, 본 논문에서는 Rabbit에 대한 전력분석 공격방법을 제안하고 실험을 통하여 검증하였다. 실험을 위해서 프로그래밍이 가능한 고성능 8비트 RISC 계열의 AVR 마이크로프로세서 (ATmega128L)를 장착한 IEEE 802.15.4/ZigBee 보드에 전력분석 공격의 대응방법이 적용되지 않은 시스템을 구현하고, 해밍무게 모델을 적용한 전력분석 공격을 실시하였다. Design of Sensor nodes in Wireless Sensor Network(WSN) should be considered some properties as electricity consumption, transmission speed, range, etc., and also be needed the protection against various attacks (e.g., eavesdropping, hacking, leakage of customer’s secret data, and denial of services). The stream cipher Rabbit, selected for the final eSTREAM portfolio organized by EU ECRYPT and selected as algorithm in part of ISO/IEC 18033-4 Stream Ciphers on ISO Security Standardization recently, is a high speed stream cipher suitable for WSN. Since the stream cipher Rabbit was evaluated the complexity of side-channel analysis attack as ‘Medium’ in a theoretical approach, thus the method of power analysis attack to the stream cipher Rabbit and the verification of our method by practical experiments were described in this paper. We implemented the stream cipher Rabbit without countermeasures of power analysis attack on IEEE 802.15.4/ZigBee board with 8-bit RISC AVR microprocessor ATmega128L chip, and performed the experiments of power analysis based on difference of means and template using a Hamming weight model.

스트림 암호 HC-128에 대한 부채널 안전성 분석

배기석(KiSeok Bae),문상재(SangJae Moon),박영호(YoungHo Park) 한국통신학회 2012 한국통신학회 학술대회논문집 Vol.2012 No.6

아핀좌표를 사용하는 페어링 연산의 Miller 알고리듬에 대한 효과적인 오류주입공격

배기석(KiSeok Bae),박제훈(JeaHoon Park),손교용(Gyoyong Sohn),하재철(JaeCheol Ha),문상재(SangJae Moon) 한국정보보호학회 2011 정보보호학회논문지 Vol.21 No.3

ID 기반 암호시스템의 구현을 위한 Weil, Tate, Ate와 같은 페어링 연산 기법에서는 밀러 알고리듬이 사용된다. 본 연구에서는 밀러 알고리듬에 대한 오류 공격의 하나인 Mrabet의 방법을 분석하여 타원곡선을 표현하는 가장 기본적인 좌표계인 아핀좌표계에서의 효과적인 오류주입공격 방법을 제안하였다. 제안하는 오류주입공격은 밀러 알고리듬의 루프 횟수를 판별하는 분기 구문에 오류를 주입하는 모델이며, 실제 레이저 주입 실험을 수행하여 검증하였다. 이 모델은 기존의 루프 횟수 오류 기법에서 요구하였던 확률적인 분석을 생략할 수 있어 효과적이다. The Miller algorithm is employed in the typical pairing computation such as Weil, Tate and Ate for implementing ID based cryptosystem. By analyzing the Mrabet's attack that is one of fault attacks against the Miller algorithm, this paper presents an efficient fault attack in Affine coordinate system, it is the most basic coordinates for construction of elliptic curve. The proposed attack is the effective model of a count check fault attack, it is verified to work well by practical fault injection experiments and can omit the probabilistic analysis that is required in the previous counter fault model.

AES에 대한 반복문 오류주입 공격

박제훈(JeaHoon Park),배기석(KiSeok Bae),오두환(DooHwan Oh),문상재(SangJae Moon),하재철(JaeCheol Ha) 한국정보보호학회 2010 정보보호학회논문지 Vol.20 No.6

오류 주입 공격은 비밀키가 내장된 암호 장치에서 연산을 수행 시 공격자가 오류를 주입하여 비밀키를 찾아내는 공격으로서 암호시스템의 안전성에 심각한 위협이 되고 있다. 논문에서는 AES 암호를 수행하는 동안 마지막 라운드의 키를 더하는 반복문(for statement)에 대한 오류 주입을 통해 비밀키 전체를 공격할 수 있음을 보이고자한다. 상용 마이크로프로세서에 AES를 구현한 후 한 번의 레이저 오류 주입 공격을 시도하여 128비트의 비밀키가 노출됨을 확인하였다. Since an attacker can occur an error in cryptographic device during encryption process and extract secret key, the fault injection attack has become a serious threat in chip security. In this paper, we show that an attacker can retrieve the 128-bits secret key using fault injection attack on the for statement of final round key addition in AES implementation. To verify possibility of our proposal, we implement the AES system on ATmega128 microcontroller and try to inject a fault using laser beam. As a result, we can extract 128-bits secret key through just one success of fault injection.