차분 오류 공격(DFA)은 블록 암호의 안전성 분석에 널리 사용되는 부채널 공격 기법으로서, 대표적인 블록 암호인 DES, AES, ARIA, SEED 등에 적용되었다. 2008년 Wei 등은 ARIA-128에 대한 첫번째 DFA를 제안하였다. 이 공격은 평균 45개의 바이트 오류를 이용하여 128-비트 비밀키를 복구하였다. 본 논문에서는 Wei 등의 공격을 개선한 ARIA-128에 대한 DFA를 제안했다. 본 논문에서 제안하는 공격은 4개의 오류만을 이용하여 O($2^{32}$)의 계산 복잡도로 ARIA-128의 비밀키를 복구할 수 있다.
차분 오류 공격(DFA)은 블록 암호의 안전성 분석에 널리 사용되는 부채널 공격 기법으로서, 대표적인 블록 암호인 DES, AES, ARIA, SEED 등에 적용되었다. 2008년 Wei 등은 ARIA-128에 대한 첫번째 DFA를 제안하였다. 이 공격은 평균 45개의 바이트 오류를 이용하여 128-비트 비밀키를 복구하였다. 본 논문에서는 Wei 등의 공격을 개선한 ARIA-128에 대한 DFA를 제안했다. 본 논문에서 제안하는 공격은 4개의 오류만을 이용하여 O($2^{32}$)의 계산 복잡도로 ARIA-128의 비밀키를 복구할 수 있다.
A differential fault analysis(DFA) is one of the most important side channel attacks on block ciphers. Most block ciphers, such as DES, AES, ARIA, SEED and so on., have been analysed by this attack. In 2008, Wei et al. proposed the first DFA on ARIA-128. Their attack can recover the 128-bit secrey k...
A differential fault analysis(DFA) is one of the most important side channel attacks on block ciphers. Most block ciphers, such as DES, AES, ARIA, SEED and so on., have been analysed by this attack. In 2008, Wei et al. proposed the first DFA on ARIA-128. Their attack can recover the 128-bit secrey key by about 45 faulty ciphertexts. In this paper, we propose an improved DFA on ARIA-128. We can recover the 12S-bit secret key by only 4 faulty ciphertexts with the computational complexity of O($2^{32}$).
A differential fault analysis(DFA) is one of the most important side channel attacks on block ciphers. Most block ciphers, such as DES, AES, ARIA, SEED and so on., have been analysed by this attack. In 2008, Wei et al. proposed the first DFA on ARIA-128. Their attack can recover the 128-bit secrey key by about 45 faulty ciphertexts. In this paper, we propose an improved DFA on ARIA-128. We can recover the 12S-bit secret key by only 4 faulty ciphertexts with the computational complexity of O($2^{32}$).
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
하지만, 이 공격은 마지막 4개를 라운드 키를 유일하게 찾을 때까지 오류를 주입하여야 하므로 현실적으로 많은 제약점이 있다. 따라서, 본 논문에서는 오류 주입 수를 줄여 좀 더 현실적인 DFA를 제안했다.〔표 4〕에 제시된 것처럼 본 논문에서는 단지 4개의 오류를 주입하여 128-비트 비밀키를 복구한다.
가설 설정
그러므로 본 소절에서는 암호화 과정의 에 오류가 발생하였을 때, 발생하는 차분의 특성만 설명한다. 爲°에 랜덤한 1-바이트 오류가 발생한다고 가정한다. 이 때, 공격자는 오류 값과 오류 발생 위치를 알 수 없다.
본 논문에서 제안하는 공격은〔7, 8〕에서 제안된 DFA와 달리, 암 . 복호화 과정에 오류를 주입한다는 가정을 이용한다. 즉, 암 .
에 오류가 발생한 암호문 (q, q)를 얻었다고 가정한다. 吼을 추측하여 c와 (q, q)를 각각 복호화한 후, (aq)과 (aq)에 대한 을 계산한다.
이 때, 공격자는 오류 값과 오류 발생 위치를 알 수 없다. 오류가 발생하는 경우의 수는 16이므로, 오류가 발생하는 바이트 위치를 가정하여 16개의 차분 특성을 각각 구성한디..
제안 방법
따라서, 본 논문에서는 오류 주입 수를 줄여 좀 더 현실적인 DFA를 제안했다.〔표 4〕에 제시된 것처럼 본 논문에서는 단지 4개의 오류를 주입하여 128-비트 비밀키를 복구한다.
먼저, 라운드 8 ~ 11의 각 라운드에 평균 11 개의 바이트 오류를 주입한 후, 발생하는 차분 특성을 이용하여 마지막 4개 라운드의 라운드 키를 복구한다. 그리고 복구한 라운드 키와 키스케줄 특성을 이용하여 128■비트 비밀키를 복구한다.
운드 9에서 발생하는 차분 특성을 이용하여 12개의 선형식을 구성한다. 그리고, 라운드 10의 라운드 키를 추측한 후 구성된 선형식을 만족하는 후보 라운드 키를 계산한다. 이후 복구된 후보 라운드 키와 키스케줄 특성을 이용하여 128-비트 비밀키를 복구한다.
라운드 키 (e셔3, efc0 복구 공격을 각각 100회 실시하였다. Case HI과 같이 암 .
본 소절에서는 두 개의. 랜덤한 1-바이트 오류를 이용하여 (ek既하可)을 복구하는 방법을 소개한다. 공격아이디어는 공격자가 오류가 발생한 차분의 바이트 위치를 추측한 후, 3.
복호화 마지막 라운드 키 (하可3, 响)을 복구하였다. 마지막으로 복구된 라운드 키와 키 스케줄의 특성을 이용하여 비밀키를 복원하였다. 즉, 4개의 오류를 주입하여 0(232)의 계산 복잡도로 ARIA-128에 대한 비밀키를 복구하였다.
이 공격은 ARIA-128에 평균 45개의 비이트 오류를 주입하여 ARIA-128의 128-비트 비밀키를 복구한다. 먼저, 라운드 8 ~ 11의 각 라운드에 평균 11 개의 바이트 오류를 주입한 후, 발생하는 차분 특성을 이용하여 마지막 4개 라운드의 라운드 키를 복구한다. 그리고 복구한 라운드 키와 키스케줄 특성을 이용하여 128■비트 비밀키를 복구한다.
암 . 복호화 과정의 라운드 10에 각각 2개의 오류를 주입한 후 라운드 11에서 발생하는 차분 특성을 이용하여 선형식을 구성하고, 이 선형식을 이용하여 암 . 복호화 마지막 라운드 키 (하可3, 响)을 복구하였다.
. 본 소절에서는 也购(라운드 10의 입력 레지스터의 0번째 바이트. Case I)과 瓦』(라운드 10의 입력 레지스터의 1번째 바이트. Case!!)에 오류가 발생하였다고 가정하였을 때, 발생하는 차분 특성을 통해 선형 식을 구성 하는 방법 만을 각각 소개한다. 兀g, 击0, 3, …, 乂“爵에 오류가 발생한 경우도 유사한 방법으로선 형식을 구성할 수 있다.
본 절에서는 3절에서 제안한 방법을 통하여 爾I과 하3을 복구하였을 때, 이를 이용하여 ARIA-128의 128-비트 비밀키를 복구하는 방법을 소개한다. ARIAT28의 키스케줄에서 하;[과 展矗은 다음과 같이 계산된다.
그리고, 라운드 10의 라운드 키를 추측한 후 구성된 선형식을 만족하는 후보 라운드 키를 계산한다. 이후 복구된 후보 라운드 키와 키스케줄 특성을 이용하여 128-비트 비밀키를 복구한다.
대상 데이터
본 논문에서 제안하는 공격을 Intel(R) Core (TM)2 CPU 6400 @2.13GHz, RAM 2GB, Visual Studio 2008 환경에서 시뮬레이션 하였다. 구현 결과는〔표 3〕과 같다.
이론/모형
본 논문에서는 ⑻에서 제안된 공격을 ARIA-128 에 적용한다. 본 논문에서 제안하는 공격은〔7, 8〕에서 제안된 DFA와 달리, 암 .
참고문헌 (8)
E. Biham and A. Shamir, "Differential Cryptanalysis of DES-like Cryptosystem," Journal of Cryptology, Vol. 4, no. 1, pp. 3-72, Springer-Verlag, Feb. 1991.
정기태, 성재철, 홍석희, "블록 암호 SEED에 대한 차분 오류 공격," 정보보보학회논문지, 20(4), pp. 17-24, 2010년 8월.
E. Biham and A. Shamir, "Differential Faut Analysis of Secret Key Cryptosystems," CRYPTO'97, LNCS 1294, pp. 513-525, 1997.
P. Dusart, G. Letourneux, and O. Vivolo, "Differntial Fault Attack on AES," ACNS'03, LNCS 2846, pp. 293-306, 2003.
L. Hemme, "A Differential Faut Aanalysis against Early Rounds of (Triple)-DES," CHES'04, LNCS 3156, pp. 254-267, 2004.
Daesung Kwon, Jaesung Kim, Sangwoo Park, Soo Hak Sung, Yaekwon Sohn, Jung Hwan Song, Yongjin Yeom, E-Joong Yoon, Sangjin Lee, Jaewon Lee, Seongtaek Chee, Daewan Han, and Jin Hong, "New block cipher ARIA," ICISC '03, LNCS 2971, pp. 432-445, 2003.
W. Li, D. Gu and J. Li, "Differential fault analysis on the ARIA algorithm," Information Sciences, Vol. 178, no. 19, pp. 3727-3737, Oct. 2008.
M. Tunstall1 and D. Mukhopadhyay, "Diff erential Fault Analysis of the Advanced Encryption Standard using a Single Fault," IACR ePrint 2009-575, Nov. 2009.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.