[논문]전력분석 공격에서 랜덤클럭 전력신호에 대한 일정피치 기반의 시간적 정렬 방법

박영구; 이훈재; 문상재

doi:10.3745/kipstc.2011.18c.1.007

전력분석 공격에서 랜덤클럭 전력신호에 대한 일정피치 기반의 시간적 정렬 방법
A Constant Pitch Based Time Alignment for Power Analysis with Random Clock Power Trace 원문보기

정보처리학회논문지. The KIPS transactions. Part C Part C, v.18C no.1, 2011년, pp.7 - 14

박영구 (예스테크 연구개발) , 이훈재 (동서대학교 컴퓨터정보공학부) , 문상재 (경북대학교 전자전기컴퓨터공학부)

초록
AI-Helper

전력분석공격은 스마트카드와 같은 저전력 보안장치에 대한 매우 강력한 공격방법이나, 측정된 전력신호와 암호알고리듬 실행 시 추정되는 중간 값과의 상관도를 연산하는 시점이 시간적으로 일치되어야 가능하다. 보안장치에 랜덤클럭을 적용하면 측정된 전력신호 분석 시점이 서로 일치하지 않게 되므로 랜덤클럭이 전력분석 공격에 대한 방어대책으로 사용된다. 본 논문에서는 전력분석공격에서 랜덤클럭 전력신호에 대한 일정피치 기반의 시간적 정렬 방법을 제안한다. 제안방법은 랜덤클럭이 적용된 보안 장치로부터 측정된 전력신호를 일정한 크기를 갖는 기준피치에 맞추어 시간 축 상의 위치와 크기를 정렬하므로 랜덤 클럭 방어대책을 공격할 수 있는 새로운 방법이다. 마지막으로, 랜덤클럭이 적용된 스마트카드 환경에서 실행된 AES 블럭 암호화 알고리듬에 대하여 제안된 방법을 적용하여 그 공격 가능성을 검토한다.

Abstract ▼ AI-Helper

Power analysis attack on low-power consumed security devices such as smart cards is very powerful, but it is required that the correlation between the measured power signal and the mid-term estimated signal should be consistent in a time instant while running encryption algorithm. The power signals measured from the security device applying the random clock do not match the timing point of analysis, therefore random clock is used as counter measures against power analysis attacks. This paper propose a new constant pitch based time alignment for power analysis with random clock power trace. The proposed method neutralize the effects of random clock used to counter measure by aligning the irregular power signals with the time location and size using the constant pitch. Finally, we apply the proposed one to AES algorithm within randomly clocked environments to evaluate our method.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 제로통과율로 전력신호의 기준 피치를 결정하고, 전력신호를 기준피치에 맞추어 보간법으로 정렬하므로, 시간 축 상의 위치와 크기를 정렬 할 뿐 아니라, 피치도 일정하게 정렬하여 방어대책으로 사용된 랜덤클럭에 의한 영향을 무력화 시키는 개선된 정렬 방법을 제안하고자한다.
본 연구에서는 랜덤클럭 방어대책 적용회로에서 랜덤클럭의 효과를 근본적으로 원상 복귀시킨 정렬을 이룬 후 상관전력분석공격을 적용하는 개선된 방법을 제안하고 그 성능을 분석한다.
전력분석에 의한 공격은 측정된 전력신호와 추정된 중간 값의 계산시점이 시간적으로 일치 되어야 가능하므로, 시간적으로 불일치한 전력신호의 정렬 방법에 대해서 알아본다.

제안 방법

<표 1>은 기존의 전력신호 정렬방법과 제안된 방법을 비교하여 나타낸 것이다. <표 1>과 같이 기존의 정렬 방법에서는 측정된 전력신호의 정렬 시작시점이 시간적으로 일치하여야 공격이 가능하나, 제안된 방법은 측정된 전력신호의 정렬 시작시점이 시간적으로 일치하지 않아도, 제안된 방법으로 정렬 후 전력신호 상호간에 상관계수을 이용하여 시간적으로 동기를 일치 시켜 공격이 가능하다.
기준 전력신호를 선정하고, 선정된 기준 전력신호의 상승제로 통과율을 구한 후 전체 샘플 수를 상승 제로 통과율로 나눈 값을 기준피치로 정하고, 기준피치와 보간법을 적용하여 기준전력신호를 정렬한다. 일반 전력신호에 대하여도 같은 방법으로 정렬한다.
제안된 정렬방법은 방어대책으로 랜덤클럭이 적용되어 시간적으로 흔들린 전력파형을 적절히 추정된 일정크기의 기준피치와 보간법을 적용하여 일정한 크기의 피치를 갖는 전력신호로 정렬하는 것이다. 기준 피치의 크기가 너무 작으면 전력신호가 가지고 있는 정보의 일부분을 잃어버리고, 기준 피치가 너무 크면 정렬하는데 시간이 많이 걸리므로, 전력신호의 평균 피치를 기준 피치로 정하고, 매 신호의 각 피치마다 보간법을 적용하여 전력신호를 정렬하며, 제안된 정렬 방법은 다음과 같다.
랜덤클럭 전력신호에 제안된 방식을 적용하여 정렬한 전력신호 중 기준 전력신호를 정하고, 기준 전력신호와 일반전력신호간의 상관계수 추정치를 계산하였다. (그림 14)의 전력신호 상관계수가 거의 1에 가까우면서도 변화가 매우 적어 시간적으로 잘 정렬되었음을 보여준다.
랜덤클럭이 적용된 스마트카드에 AES 블럭 암호화 알고리듬을 실행하여 전력신호를 측정하고 제안된 방법으로 정렬한 후 정렬된 전력신호간의 상관계수 추정 값을 계산하여 정렬한 정도를 측정하였고, 정렬한 전력신호와 암호알고리듬의 추정 중간 값과의 상관계수 추정치를 구하여 실제로 공격하고자 한다.
랜덤클럭이 적용된 스마트카드에서 AES 블록 암호화 알고리듬을 실행하여 전력신호를 수집하고, 제안된 방법으로 정렬한 전력신호간의 상관도를 구하여 정렬된 정도를 검증하고, 증간 추정 값과 전력신호와의 상관계수 추정치를 구하여 AES 블록 암호화 알고리듬에 사용된 비밀 키를 찾는다.
랜덤클럭이 적용된 전력신호는 시간적으로 동기화가 되지 않아 전력분석이 불가능하므로 측정된 전력신호를 일정 피치와 보간법을 적용하여 전력신호 분석이 가능하게 하는 향상된 정렬 방법을 제안하였고, 기존의 정렬방법과 비교 분석하였다. 실험결과 기존의 방법들은 랜덤클럭이 적용된 전력신호 정렬시 시간축의 위치와 크기를 정렬하여, 한 전력신호 내에서는 시간적으로 여전히 랜덤클럭에 대한 영향이 남아있어, 전력신호 측정 시 시간적 동기가 맞지 않으면 전력신호 분석이 어렵게 된다.
랜덤클럭이 적용된 전력신호에서 기준 신호를 선정하고, 기준신호의 상승(또는 하강)제로통과율과 전체 샘플수를 계산한다. 전체 샘플수를 상승(또는 하강)제로통과율로 나누어 기준 피치로 정한다.
램덤 클럭이 적용된 AES 블록 암호화 알고리듬 실행 중 측정된 전력신호를 제안된 방법으로 정렬하고, 추정된 중간값과 정렬된 전력신호사이의 상관계수 추정 값을 구하여 사용된 비밀 키 값을 찾았다.
실험 장치를 (그림 11)과 같이 구성하고, 스마트카드 칩에 AES 블록 암호화 알고리듬을 탑재하고, 디지털 오실로스코프를 사용하여 알고리듬 실행 시 소모되는 전력을 측정하고, PC의 제어프로그램을 통하여 전력소모파형을 수집하고 저장한다. 외부 함수발생기에 sweep 기능이 동작하도록 설정하여 3.
전력신호 A를 기준 전력신호로 정하고, 기준 전력신호A의 상승 제로 통과율을 구한 후 기준 전력신호A의 전체 샘플 수(T)를 상승 제로통과율에 해당하는 단위 파형수(그림에서는 6이 됨)로 나누어 기준 피치(t)로 하고, 기준 전력신호 A에 기준 피치와 보간법을 적용하여 정렬한다. 전력신호 B를 기준전력신호 A에서 구한 기준 피치와 보간법을 적용하여 정렬한다.
제안된 정렬방법은 방어대책으로 랜덤클럭이 적용되어 시간적으로 흔들린 전력파형을 적절히 추정된 일정크기의 기준피치와 보간법을 적용하여 일정한 크기의 피치를 갖는 전력신호로 정렬하는 것이다. 기준 피치의 크기가 너무 작으면 전력신호가 가지고 있는 정보의 일부분을 잃어버리고, 기준 피치가 너무 크면 정렬하는데 시간이 많이 걸리므로, 전력신호의 평균 피치를 기준 피치로 정하고, 매 신호의 각 피치마다 보간법을 적용하여 전력신호를 정렬하며, 제안된 정렬 방법은 다음과 같다.
Park 등[4]은 랜덤클럭이 적용된 보호 장치를 공격하기 위하여 기준 전력신호를 선택하고, 기준 전력신호와 상관도가 최대가 되도록 기준 전력신호의 각 피치마다 보간법을 적용하여 전력신호를 정렬한다. 즉 한 피치 동안에 전력신호의 샘플수를 증가하면서 보간법을 적용하여 기준 전력신호와 최고의 상관계수 값을 갖도록 정렬하고, 다음 피치로 이동하여 동일한 방법으로 정렬하게 된다. 이러한 정렬 방법은 신호에 랜덤클럭의 성질을 그대로 둔 채 최대 상관도를 이용하여 공격하는 방법으로, 정렬된 전력신호들의 시작시점이 일치하지 않으면 공격이 매우 어렵다.
첫 번째 AddRoundKey()함수는 평문과 마스터키와 동일한 비밀 키를 이용하여 연산한다. 첫 번째 라운드의 SubBytes()함수의 출력 값을 비밀 키 값에 따라 추정하고, 추정된 중간 값과 측정된 전력신호간의 상관계수를 구하는 상관계수 추정 방법으로 공격하여 비밀 키를 바이트 단위로 찾는다. 식(3)은 추정된 중간 값(X)과 전력신호(Y)의 상관계수 추정 값(r)을 구하는 계산식이다.

대상 데이터

500개의 평문 입력에 대하여 500개의 전력신호를 수집하고, 수집된 전력신호의 샘플링 주파수는 50MHz, 측정 시간은 10msec로, 전력신호 당 획득된 샘플은 500,000개이다.

데이터처리

모든 비밀키에 대하여 추정된 중간값 구하고, 추정된 중간값과 랜덤 클럭이 적용된 전력신호간의 상관계수 추정값을 (그림 9)에, 추정된 중간값과 제안된 방법으로 정렬한 전력신호간의 상관계수 추정값을 (그림 10)에 비교하여 나타내었다. 제안된 알고리듬을 적용하여 정렬한 전력신호 상관계수 추정값에서만 알고리듬 실행 중 추정된 중간 값이 계산 시점에서 큰값을 나타냄을 볼 수 있다.

이론/모형

전체 샘플수를 상승(또는 하강)제로통과율로 나누어 기준 피치로 정한다. 기준피치와 보간법을 적용하여 전력신호를 정렬한다.
수집된 전력신호의 매 신호마다 피치단위로 보간법을 적용하여야 하며, 제안된 방법에서는 선형보간(linear interpolation and decimation)법을 이용하였으며, 식(2)을 이용하여 (x₀,y₀)와 (x₁, y₁) 사이에서 임의의 x 위치의 y값을 구한다.
전력신호 A를 기준 전력신호로 정하고, 기준 전력신호A의 상승 제로 통과율을 구한 후 기준 전력신호A의 전체 샘플 수(T)를 상승 제로통과율에 해당하는 단위 파형수(그림에서는 6이 됨)로 나누어 기준 피치(t)로 하고, 기준 전력신호 A에 기준 피치와 보간법을 적용하여 정렬한다. 전력신호 B를 기준전력신호 A에서 구한 기준 피치와 보간법을 적용하여 정렬한다.

성능/효과

실험결과 기존의 방법들은 랜덤클럭이 적용된 전력신호 정렬시 시간축의 위치와 크기를 정렬하여, 한 전력신호 내에서는 시간적으로 여전히 랜덤클럭에 대한 영향이 남아있어, 전력신호 측정 시 시간적 동기가 맞지 않으면 전력신호 분석이 어렵게 된다. 그러나 제안된 방법으로 정렬된 전력신호는 일정한 피치를 적용하여 전력신호를 정렬하므로, 한 전력신호 내에서 일정한 피치를 갖게 되어 랜덤클럭에 대한 영향이 없어져, 랜덤클럭을 사용하거나 원하지 않던 원인으로 측정신호가 변형되어 시간적인 위치가 랜덤한 성질을 갖는 전력신호에 효과적으로 적용되어 전력신호 분석공격이 용이하도록 하였다.
랜덤클럭이 적용된 전력신호는 시간적으로 동기화가 되지 않아 전력분석이 불가능하므로 측정된 전력신호를 일정 피치와 보간법을 적용하여 전력신호 분석이 가능하게 하는 향상된 정렬 방법을 제안하였고, 기존의 정렬방법과 비교 분석하였다. 실험결과 기존의 방법들은 랜덤클럭이 적용된 전력신호 정렬시 시간축의 위치와 크기를 정렬하여, 한 전력신호 내에서는 시간적으로 여전히 랜덤클럭에 대한 영향이 남아있어, 전력신호 측정 시 시간적 동기가 맞지 않으면 전력신호 분석이 어렵게 된다. 그러나 제안된 방법으로 정렬된 전력신호는 일정한 피치를 적용하여 전력신호를 정렬하므로, 한 전력신호 내에서 일정한 피치를 갖게 되어 랜덤클럭에 대한 영향이 없어져, 랜덤클럭을 사용하거나 원하지 않던 원인으로 측정신호가 변형되어 시간적인 위치가 랜덤한 성질을 갖는 전력신호에 효과적으로 적용되어 전력신호 분석공격이 용이하도록 하였다.
모든 비밀키에 대하여 추정된 중간값 구하고, 추정된 중간값과 랜덤 클럭이 적용된 전력신호간의 상관계수 추정값을 (그림 9)에, 추정된 중간값과 제안된 방법으로 정렬한 전력신호간의 상관계수 추정값을 (그림 10)에 비교하여 나타내었다. 제안된 알고리듬을 적용하여 정렬한 전력신호 상관계수 추정값에서만 알고리듬 실행 중 추정된 중간 값이 계산 시점에서 큰값을 나타냄을 볼 수 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	AES는 기본적으로 어떤 단위로 실행 되는가?	AES는 128비트의 비트열 입력과 128, 192 또는 256 비트의 비트열 암호화 키로 구성된 블록암호화 알고리듬이며, 각각을 AES-128, AES-192, AES-256이라 한다[7]. AES는 기본적으로 8비트 비트열인 바이트 단위로 실행된다. AES 블럭 암호화 알고리듬은 SubBytes(), ShfiRow(), Mix Column(), AddRoundKey()의 함수로 구성되어있으며, 암호화 키 비트열의 크기가 128, 192, 256이면 반복되는 라운드 수는 각각 10, 12, 14 이며, AES 블록암호화 알고리듬의 블록다이어그램은 (그림 8)과 같다.
	제로통과율은 무엇인가?	준 피치를 정하고, 기준피치와 보간법을 이용하여 전력신호를 정렬한다. 제로통과율은 신호가 제로를 통과한 비율이며, 신호가 양의 값에서 음의 값으로, 음의 값에서 양의 값으로 변화하는 비율을 말한다. 피치는 신호의 마루에서 마루까지 또는 골에서 골까지의 시간적 길이 이며, 기준 피치는 전력신호 정렬 시 보간법이 적용되는 피치이다.
	본 논문에서는 기준피치를 어떻게 계산하는가?	① 기준 전력신호를 정한다. ② 기준 전력신호에서 평균값(DC)을 뺀다. ③ 상승 (또는 하강) 제로통과율(zero-crossing rate)을 구한다. ④ 기준 전력신호의 전체 샘플 수를 상승(또는 하강) 제로통과율로 나눈 값을 기준 피치로 정한다.

참고문헌 (7)

P. Kocher, J. Jaffe, and B. Jun, "Differential Power Analysis," Proc. CRYPTO, LNCS 1666, pp. 388-397, 1999.
C. Herbst, E. Osward, and S. Mangard, N. "An AES Smart Card Implementation Resistant to Power Analysis", Splinger-Verlag, The 4th International Conference onApplied Cryptography and Network Security-ACNS'06, LNCS 3989, pp. 239-252, 2006.

상세보기
O. Kommerling and M. G Kuhn, "Design Principles for Tamper-Resistant Smart Card Processors", The Proceedings of USNIX Wrokshop on Smartcard Technology - Smartcard'99, pp.9-20, 1999.
박제훈, 문상재, 하재철, 이훈재, "차분 전력 분석 공격을 위한 향상되고 실제적인 신호 정렬 방법," 정보보호학회 논문지, pp.93-101, 제 18권 5호, 2008.
J. Jaffe, "Introduction to Differential Power Analysis", Presented at ECRYPT Summer school on Cryptographic Hardware, Side Channel and Fault Analysis. Jun. 2006.
E. Prouff, "DPA Attack and S-Boxes", In proceedings of FSE-2005, LNCS 3557, pp. 424-441, Springer-Verlag, 2005.

상세보기
NIST, "Announcing the ADVANCED ENCRYPTION STANDARDS(AES)", Federal Information Processing Standerds Publication 197, Nov. 26, 2001

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증