물리적 구현 공격에 대한 이진 멱승 알고리듬의 저항성 분석

하재철(JaeCheol Ha) 호서대학교 공업기술연구소 2015 공업기술연구 논문집 Vol.34 No.1

최근 RSA와 같은 암호 시스템을 구현하는데 사용되는 이진 멱숭(exponentiation) 알고리듬에 대해 누설되는 소비 전력 정보나 오류 주입을 통해 쉽게 비밀 키를 찾아낼 수 있는 물리적 구현 공격들이 등장하게 되었다. 또한, 이러한 물리적 공격으로부터 암호용 디바이스를 보호하기 위한 새로운 멱숭 알고리듬과 대응 전략들이 지속적으로 개발되어 왔다. 본 논문에서는 이진 멱승 알고리듬들을 중심으로 물리적 구현 공격의 성공 요인을 도출하고 대응 알고리듬들의 저항성을 분석하였다. 또한, 오류 주입과 SPA 공격을 결합한 조합 공격을 방어할 수 있는 개선된 BNP 멱승 알고리듬을 제안하였다. Recently, many physical implementation attacks were presented in order to recover a secret key using leakage power consumption information or fault injection which can be occurred in case of naive implementation of binary exponentiation algorithm used in RSA cryptosystem. In addition, new exponentiation algorithms and countermeasures have been developed to prevent the cryptographic devices from these physical attacks. In this paper, we deduce critical success factors of these physical implementation attacks on binary exponentiation algorithm and analyze the resistance of countermeasures to these attacks. Furthermore, we present an improved BNP exponentiation algorithm to defeat combined attack which is combination of fault injection and SPA attack.

스마트 제조 산업용 네트워크에 적합한 Snort IDS에서의 전처리기 구현

하재철(Jaecheol Ha) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.5

최근 인터넷을 통한 공공 기관이나 금융권에 대한 바이러스 및 해킹 공격이 더욱 지능화, 고도화되고 있다. 특히, 지능형 지속 공격인 APT(Advanced Persistent Threat)가 중요한 사이버 위협으로 주목을 받았는데 이러한 APT 공격은 기본적으로 네트워크상에서 악성 코드의 유포를 통해 이루어진다. 본 논문에서는 스마트 제조 산업에서 사용할 수 있도록 네트워크상에서 전송되는 PE(Portable Executable) 파일을 효과적으로 탐지하고 추출하여 악성코드 분석을 효과적으로 할 수 있는 방법을 제안하였다. PE 파일만 고속으로 추출하여 저장하는 기능을 공개 침입 탐지 툴인 Snort의 전처리기단에서 구현한 후 이를 하드웨어 센서 장치에 탑재하여 실험한 결과, 네트워크상에서 전송되는 악성 의심 코드인 PE 파일을 정상적으로 탐지하고 추출할 수 있음을 확인하였다. Recently, many virus and hacking attacks on public organizations and financial institutions by internet are becoming increasingly intelligent and sophisticated. The Advanced Persistent Threat has been considered as an important cyber risk. This attack is basically accomplished by spreading malicious codes through complex networks. To detect and extract PE files in smart manufacturing industry networks, an efficient processing method which is performed before analysis procedure on malicious codes is proposed. We implement a preprocessor of open intrusion detection system Snort for fast extraction of PE files and install on a hardware sensor equipment. As a result of practical experiment, we verify that the network sensor can extract the PE files which are often suspected as a malware.

해쉬함수에 기반한 경량화된 RFID 인증 프로토콜

하재철(JaeCheol Ha),백이루(YiRoo Baek),김환구(HwanKoo Kim),박제훈(JeaHoon Park),문상재(SangJae Moon) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.3

본 논문에서는 RFID 시스템에서 태그와 백엔드 서버간의 안전성과 태그의 구현 효율성을 높인 두 가지 형태의 상호 인증 방식을 제안하고자 한다. 첫 번째 제안 방법에서는 고정된 ID를 사용하여 분산 환경에 이용할 수 있는 방법이며, 두 번째 방법은 변동 ID를 사용한 것으로서 전방향 안전성(forward security)을 추가적으로 만족할 수 있도록 설계하였다. 제안 방식에서 태그가 랜덤 수 발생기를 사용하지 않으면서 최소 한번 혹은 최대 3번 정도의 해쉬 연산만으로 상호 인증을 수행할 수 있다. 제안된 프로토콜들을 RFID 겸용 스마트 카드 칩에서 구현하고 그 동작이 타당함을 검증하였다. To guarantee security between the tag and back-end server and implementation efficiency in low power tag, we propose two typed mutual authentication protocols in RFID system. One is static-ID authentication scheme which is well suitable in distributed server environments. The other is dynamic-ID scheme which is additively satisfied forward security. In proposed scheme, it does not need any random number generator in tag and requires only one(maximally three) hash operation(s) in tag or server to authenticate each other. Furthermore, we implement the proposed schemes in RFID smart card system and verify its normal operations.

검색 정보 사전 동기화를 이용한 저비용 RFID 인증 방식

하재철(JaeCheol Ha),박제훈(JeaHoon Park),하정훈(JungHoon Ha),김환구(HwanKoo Kim),문상재(SangJae Moon) 한국정보보호학회 2008 정보보호학회논문지 Vol.18 No.1

최근 유비쿼터스 분산 환경에 적합한 해쉬 기반의 효율적인 RFID 인증 프로토콜들이 제안되었다. 분산 환경에 적합하기 위해서는 고정된 ID를 사용하는 것을 일반적인 특징으로 하는데, 기존 방식들은 ID를 Back-end DB에서 검색하는데 시간이 많이 소요되거나 안전성 측면에서 몇 가지 취약점을 가지고 있다. 본 논문에서는 분산 환경에 적합하도록 고정 ID를 사용하면서 DB에서 ID 검색이 용이한 RFID 인증 프로토콜을 제안하고자 한다. 제안 프로토콜의 특징은 DB가 다음 세션의 ID 검색을 용이하게 하기 위해 이전 세션에서 미리 검색 정보를 저장하여 둔다는 점이다. 제안 프로토콜에서는 태그와 DB간의 비동기 현상이 일어나지 않을 경우, 태그와 DB가 각각 단 3번씩의 해쉬 연산만으로 상호 인증을 수행할 수 있다. Recently, many hash-based authentication protocols were presented to guarantee mutual authentication between tag and DB in RFID system. To be suitable for distributed DB environment, one generally uses fixed constant value as a tag ID. However, some existing protocols have security flaws or heavy computational loads in DB in order to search a tag ID. We propose a secure authentication protocol which is suitable for distributed DB environment by using unchangeable tag ID. The storage method of pre-synchronized information in DB at previous session is core idea of our proposal which gives low-cost ID search of DB at next session. In normal synchronization state, our protocol only requires 3 hash operations in tag and DB respectively.

오류 확산 기법을 이용한 CRT-RSA 오류 주입 공격 대응 방안

하재철(JaeCheol Ha),박제훈(JeaHoon Park),문상재(SangJae Moon) 한국정보보호학회 2008 정보보호학회논문지 Vol.18 No.2

최근 일반 CRT-RSA 알고리듬은 오류 주입 공격에 취약하다는 점이 실험적 결과에 의해 밝혀졌다. 본 논문에서는 CRT-RSA에 대한 오류 주입 공격 및 방어 대책을 분석하고 다양한 형태의 오류 주입 공격을 방어할 수 있는 새로운 알고 리듬을 제안하고자 한다. 제안하는 알고리듬은 CRT-RSA에서 두 소수에 대한 멱승연산 시 오류가 발생하면 그 오류를 재결합 과정에서 확산되도록 설계하였다. 이 알고리듬은 판정 기법에 기반한 오류를 검사하는 과정이 없으며 공개 파라미터 e를 사용하지 않는다. 또한 계산량 측면에서도 안전성을 갖춘 타 방식에 비해 효율적이다. Recently, the straightforward CRT-RSA was shown to be broken by fault attacks through many experimental results. In this paper, we analyze the fault attacks against CRT-RSA and their countermeasures, and then propose a new fault infective method resistant to the various fault attacks on CRT-RSA. In our CRT-RSA algorithm, if an error is injected in exponentiation with modulo p or q, then the error is spreaded by fault infective computation in CRT recombination operation. Our countermeasure doesn't have extra error detection procedure based on decision tests and doesn't use public parameter such as e. Also, the computational cost is effective compared to the previous secure countermeasures.

일방향 전송 네트워크에서의 오류 제어 프로토콜 및 데이터 암호화 메커니즘

하재철(Jaecheol Ha),김기현(Kihyun Kim) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.3

데이터가 일방향으로 전송되는 네트워크 환경에서 데이터에 대한 오류 제어는 매우 민감하고 중요한 문제이다. 이 문제를 해결하기 위해서 전방향 오류 정정 부호 기법이나 수신 결과를 회신하여 데이터를 재전송하는 기법이 사용되고 있다. 본 논문에서는 데이터를 일방향으로 전송하는 채널과 수신 결과만 회신할 수 있는 별도의 채널이 있는 네트워크 환경에서 오류 제어 기법 및 연속 데이터 전송을 할 수 있는 프로토콜을 제안한다. 또한, 일방향 네트워크에서 사전 공유키 분배 기법에 기반한 데이터 암호 및 키 업데이트 메커니즘을 제안하고 이를 구현하기 위한 응용 서비스 데이터 단위(ASDU) 구조를 제시한다. Since the error control problem is a critical and sensitive issue in the one-way network, we can adopt a forward error correction code method or data retransmission method based on the response of reception result. In this paper, we propose error control method and continuous data transmission protocol in the one-way network which has unidirectional data transmission channel and special channel to receive only the response of reception result. Furthermore we present data encryption and key update mechanism which is based on the pre-shared key distribution scheme and suggest some ASDU(Application Service Data Unit) formats to implement it in the one-way network.

Folding 기법을 이용한 전력분석 공격에 대응하는 고속 스칼라 곱셈

하재철(JaeCheol Ha),곽동진(DongJin Kwak),문상재(SangJae Moon) 한국정보보호학회 2003 정보보호학회논문지 Vol.13 No.3

비밀정보 동기화에 기반한 Strong RFID 인증 프로토콜

하재철(JaeCheol Ha),김환구(HwanKoo Kim),하정훈(JungHoon Ha),박제훈(JeaHoon Park),문상재(SangJae Moon) 한국정보보호학회 2007 정보보호학회논문지 Vol.17 No.5

최근 Lee 등에 의해 비밀 정보 동기화에 기반한 RFID 인증 프로토콜이 제안되었다. 본 논문에서는 이 프로토콜이 공격자가 악의적인 랜덤 수를 전송함으로써 합법적인 태그로 리더를 속일 수 있는 스푸핑 공격(spoofing attack)에 취약함을 보이고자 한다. 또한 논문에서는 위장공격을 방어할 뿐만 아니라 RFID시스템에서 최근 이슈화 되고 있는 backward untraceability는 물론 forward untraceability를 만족하는 인증 프로토콜을 제안하고자 한다. 특히 제안하는 프로토콜 Ⅱ는 데이터베이스에서 동기화된 태그를 인증하는데 필요한 연산량을 3회의 해쉬 연산(비동기화된 태그의 경우 평균 [m/2]·2+3번, m은 태그 수)으로 줄일 수 있어 대형 RFID 시스템에 적합하다. Lee et al. recently proposed an RFID mutual authentication scheme based on synchronized secret information. However, we found that their protocol is vulnerable to a spoofing attack in which an adversary can impersonate a legal tag to the reader by sending a malicious random number. To remedy this vulnerability, we propose two RFID authentication protocols which are secure against all possible threats including backward and forward traceability. Furthermore, one of the two proposed protocols requires only three hash operations(but, [m/2]·2+3 operations in resynchronization state, m is the number of tags) in the database to authenticate a tag, hence it is well suitable for large scale RFID systems.

차분 전력 분석 공격에 대한 캐리 기반 랜덤 리코딩 방법의 취약성

하재철(Jaecheol Ha) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.5

정보보호용 임베디드 장치에 타원 곡선 암호 알고리듬을 구현할 경우 스칼라 곱셈 연산을 수행하게 되는데 이 연산 과정에서 발생하는 전력 소비 정보에 의해 비밀 키가 노출될 가능성이 있다. 최근에는 비밀 키 값을 리코딩하여 사용함으로써 단일 전력 분석과 차분 전력 분석 공격을 방어할 수 있도록 하는 캐리 랜덤 리코딩 방식이 제안되었다. 본 논문에서는 이 방식을 이용하면 차분 전력 분석을 방어할 수 있다는 원 논문의 주장과 달리 사용하는 리코딩과정에서 발생하는 캐리 크기의 제한성으로 인해 차분 전력 분석에 여전히 취약함을 밝히고자 한다. The user’s secret key can be retrieved by the leakage informations of power consumption occurred during the execution of scalar multiplication for elliptic curve cryptographic algorithm which can be embedded on a security device. Recently, a carry random recoding method is proposed to prevent simple power and differential power analysis attack by recoding the secret key. In this paper, we show that this recoding method is still vulnerable to the differential power analysis attack due to the limitation of the size of carry bits, which is a different from the original claim.

부채널 공격 대응을 위한 마스킹 기법에 관한 성능 분석

하재철(Jaecheol Ha) 호서대학교 공업기술연구소 2018 공업기술연구 논문집 Vol.37 No.1

정보보호용 디바이스에 암호 알고리듬을 직접 구현하여 사용할 경우 부채널 정보에 의해 비밀 키가 누설될 수 있음이 밝혀졌다. 블록 암호 알고리듬에 대한 부채널 공격, 특히 차분 전력 분석 공격을 방어하기 위해서 메시지 마스킹 기법을 주로 사용한다. 본 논문에서는 부울-산술 마스킹, 산술-부울 마스킹 변환 기법과 Secure Addition 마스킹 기법들을 8비트 ATmega128, 16비트 MSP430, 32비트 ARM7 프로세서 플랫폼에서 각각 구현하고 필요한 계산량을 비교하고 그 효율성을 분석한다. When an encryption algorithm is implemented on the cryptographic device, an attacker can extract the secret key using side channel analysis attack. In particular, we use the message masking method to resist against the side channel analysis attack on block cipher algorithm. In this paper, we implement the Boolean-to-Arithmetic masking, Arithmetic-to-Boolean masking, and Secure Addition masking methods on 8-bit ATmega128, 16-bit MSP430, and 32-bit ARM7 microprocessor platforms respectively and compare their computational costs and efficiency.