[논문]뺄셈연산의 이벤트 정보를 활용한 향상된 RSA-CRT 부채널분석공격 방법

박종연; 한동국; 이옥연; 김정녀

doi:10.3745/ktccs.2013.2.2.083

초록
AI-Helper

RSA-CRT는 RSA전자서명 알고리즘의 고속화 구현을 위해 가장 많이 사용되고 있는 알고리즘으로, 스마트디바이스에 사용되는 RSA-CRT 알고리즘의 물리적 취약성 검증을 위해 CRT의 각 단계 연산에서 다양한 부채널 분석 이론이 발표되어 왔다. 본 논문에서는 RSA-CRT 구현에 사용되는 뺄셈연산의 이벤트 정보를 활용하여 RSA-CRT의 reduction알고리즘을 분석하는 새로운 SAED(Subtraction algorithm Analysis on Equidistant Data)분석 방법을 제안한다. SAED분석 방법은 알고리즘에 의존한 전력 변화를 이용한 분석 방법이며, 뺄셈 연산을 차분전력분석 방법으로 분석하여 키를 찾아낸다. 본 논문은 SAED분석 방법의 이론적인 합리성을 증명하고, 실험적으로 기존의 분석 방법보다 향상된 결과를 가짐을 보인다. 실험 결과 256개의 파형만으로 하나의 바이트를 분석해 낼 수 있어, 기존 논문보다 효율적인 분석 방법임을 확인 할 수 있었다.

Abstract ▼ AI-Helper

RSA-CRT is a widely used algorithm that provides high performance implementation of the RSA-signature algorithm. Many previous studies on each operation step have been published to verify the physical leakages of RSA-CRT when used in smart devices. This paper proposes SAED (subtraction algorithm ana...

RSA-CRT is a widely used algorithm that provides high performance implementation of the RSA-signature algorithm. Many previous studies on each operation step have been published to verify the physical leakages of RSA-CRT when used in smart devices. This paper proposes SAED (subtraction algorithm analysis on equidistant data), which extracts sensitive information using the event information of the subtraction operation in a reduction algorithm. SAED is an attack method that uses algorithm-dependent power signal changes. An adversary can extract a key using differential power analysis (DPA) of the subtraction operation. This paper indicates the theoretical rationality of SAED, and shows that its results are better than those of other methods. According to our experiments, only 256 power traces are sufficient to acquire one block of data. We verify that this method is more efficient than those proposed in previously published studies.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

BR이 존재하는 파형과 그렇지 않은 파형의 경우 실제로 어떻게 다른지를 확인해보자. Fig.
본 논문은 RSA-CRT에 대한 새로운 분석 방법을 제시하였으며, 특히 헤밍웨이트에 의한 전력이 아닌 이벤트 발생에 따른 전력 변화를 확률적인 분석을 통해 예측하고 키를 찾아낼 수 있음을 이론적으로 검증하고 실제 실험으로 보였다. SAED는 기존의 전력 모델을 이용하지 않은 분석이라는 점에서 헤밍웨이트에 영향을 받지 않도록 하는 하드웨어 대응방법을 깰 수 있는 분석 방법이며, 아주 적은량의 파형 수로도 키 후보를 현저히 줄여준다는 점이 큰 장점이다.
하나의 분석 방법이 나오면 그러한 알고리즘이 갖는 취약점을 대응하기 위한 대응책이 나오게 된다. 이러한 연구는 실제 공공기관에서 암호 장비의 안전성을 테스트 하는데 기준으로 삼기도 하며, 대응법에 대한 이론적인 안전성이 충분히 보장 되었는지에 대한 논의도 포함된다. 공격에 대한 대응은 알고리즘 뿐만 아니라 하드웨어 단계에서 공격 가정이 되는 전력 또는 전자파 소비 모델을 무력화 시키는 이른바, 부채널 정보 원천 봉쇄를 목표로 삼기도 하며, 단순히 특정 분석 방법에 대한 하드웨어적인 해결책을 내놓기도 한다.
최하위 블록의 연산이라 두어도 일반성을 잃지 않으므로, a0–c0=b0mod256의 연산을 생각해보자.

가설 설정

알고리즘 3은 가장 흔히 사용되는 다정도 나눗셈 알고리즘으로써, 덧셈 그리고 뺄셈 곱셈등의 연산으로 구성되어 있다[17]. 공격 타겟 알고리즘인 r=xmodp에 적용하는 알고리즘은 알고리즘 3과 같은 일반적인 나눗셈 연산이라고 가정한다. SAED분석에서 주목하는 단계는 step3.
본 논문에서 새로 제시한 분석 방법은 SAED(Subtraction algorithm analysis on equidistant data)라 불리며, 헤밍웨이트에 의존해서 나타나는 전력 값이 아닌 산술연산 과정에서 발생되는 이벤트를 확률적으로 분석하여 공격자가 원하는 정보를 얻어내는 방법이다. 또한 새로운 분석 방법에 대한 타당성을 밝히기 위해 우리는 이벤트 발생 기반의 전력모델 가정을 이용한다. 실험결과에 의하면 SAED분석 방법은 기존의 등간격 평문 전력분석보다 훨씬 적은 수의 파형만으로도 키 후보를 상당히 줄일 수 있음을 알 수 있었다.
SAED분석은 r값의 데이터에 의존하여 나타나는 전력을 분석하는 것이 아니기 때문이며, 중간 데이터에 의존한 전력 모델이 적용되지 않는다. 우리의 공격에서는 파형의 변화는 등간격의 중간 값에 의해 달라지는 알고리즘 변화에 의존한다고 가정한다. 우리는 헤밍웨이트를 계산하지 않고도 분석이 가능하게 된 원리를 설명 할 것이다.
전체 전력은 전력의 모양에 상당한 영향을 주는 이벤트 정보 기반의 전력신호(Event Occurrence based Power signal)와 데이터와 연산에 의존한 전력을 포함한 전체 노이즈 그리고 상수 값으로 결정된다고 가정한다. 파형마다 다른 연산이 발생할 때에는 데이터에 의존한 전력 등은 무시할 정도로 작게 나타나기 때문이다.

제안 방법

Equation (12)의 중간 값 집합에 의해 분석 가능한지 알아보기 위해서 실제 r 값을 등간격 평문을 이용하여 분석한다.
SAED로 분석했을 때, 분석 성능 면에서 기존의 분석법 보다 얼마만큼의 효율을 갖는지 기존 분석 방법인 MRED와 비교해보았다.
실험 결과 최소 천 개 수준에서 최대 수천 개에서 키가 나오는 헤밍웨이트 모델의 MRED분석에 비해, SAED에서는 오직 256개의 파형만으로도 최대 성능을 보여주며, 키 형태가 충분히 관찰된다. 하지만 하나의 가장 높은 키가 찾아지는 것이 아니므로, 분석 결과의 해석이 중요하며, 최대 상관계수 결과의 극대점을 2개의 키 후보로 최종적으로 결정하며, 상위 바이트까지 확장하여 분석한다. MRED와 비교하여 CPA분석에 의한 결과가 현저히 적은 파형으로도 구분이 되므로 소음이 많은 분석 환경에서 특히 강점을 가질 것으로 예측된다.

이론/모형

하지만 현실적으로 다른 연산이 발생하는 것을 SPA로 분석해 내기는 상당히 어렵다. 따라서 우리는 Equation (6)과 같은 전력 모델을 기반으로 SPA가 아닌 CPA분석을 적용한다.
본 논문은 이러한 공개키 알고리즘의 향상된 분석 방법의 연장선에 있으며, 기존에 제안되었던 대표적인 RSA-CRT알고리즘의 부채널 공격법인 MRED로부터 리덕션 알고리즘의 뺄셈 연산에서 발생하는 특성 이벤트가 전력정보로 노출된다는 것을 이용하였다[13,16]. 본 논문에서 새로 제시한 분석 방법은 SAED(Subtraction algorithm analysis on equidistant data)라 불리며, 헤밍웨이트에 의존해서 나타나는 전력 값이 아닌 산술연산 과정에서 발생되는 이벤트를 확률적으로 분석하여 공격자가 원하는 정보를 얻어내는 방법이다.
알고리즘 1은 MRED분석 방법을 알고리즘으로 나타낸 것이다. Step1.
8비트 리덕션 연산을 Sacrf의 MSP430 소프트웨어보드와 Arm 소프트웨어 보드에서 실험하였다. 입력 평문은 SAED분석 방법에 따라서 등간격 평문을 사용하였으며, 등간격 평문을 입력하여 나타나는 전력을 수집하여 분석하였다.

성능/효과

7,8,9은 Fig 4,5,6에 대한 실험의 Arm보드 상에서의 결과를 보여준다. 결과에서 알 수 있듯, MSP의 유사키 패턴과, 대칭적인 상관계수 형태를 그대로 가져감을 알 수 있으며, 이러한 현상의 이론적 타당성을 입증한다.
의 형태라고 볼 수 있다. 따라서 이론적으로 S₂₅₅가 중간 값으로 사용되었다면, 분석 결과로 255를 찾을 수 있으며, n₁₃₅을 중간 값으로 취하면, 분석 결과로 135가 가장 높은 상관계수가 나오게 될 것이다. 알고리즘 2의 Step1.
SAED는 기존의 전력 모델을 이용하지 않은 분석이라는 점에서 헤밍웨이트에 영향을 받지 않도록 하는 하드웨어 대응방법을 깰 수 있는 분석 방법이며, 아주 적은량의 파형 수로도 키 후보를 현저히 줄여준다는 점이 큰 장점이다. 또한 8비트 연산에서뿐만 아니라 32비트, 64비트 등의 큰 레지스터 크기를 갖는 연산으로부터도 동일한 분석 논리가 적용 가능하다는 점에서, 레지스터 크기가 분석 성능에 영향을 주는 기존의 분석 방법보다 더 이점이 있다고 할 수 있다. SAED분석은 기존의 MRED분석의 선택 비트 유사키의 패턴의 연구로부터 출발하였으며, 유사키의 정확한 원인 규명으로부터, 새로운 분석 방법을 도출해 낼 수 있는 성공사례이다.
MRED와 SAED분석은 동일한 파형을 이용하여 중간 값을 다르게 계산하여 분석한 결과이므로, 분석 성능에 대한 직접적인 비교가 가능하다. 실험 결과 최소 천 개 수준에서 최대 수천 개에서 키가 나오는 헤밍웨이트 모델의 MRED분석에 비해, SAED에서는 오직 256개의 파형만으로도 최대 성능을 보여주며, 키 형태가 충분히 관찰된다. 하지만 하나의 가장 높은 키가 찾아지는 것이 아니므로, 분석 결과의 해석이 중요하며, 최대 상관계수 결과의 극대점을 2개의 키 후보로 최종적으로 결정하며, 상위 바이트까지 확장하여 분석한다.
또한 새로운 분석 방법에 대한 타당성을 밝히기 위해 우리는 이벤트 발생 기반의 전력모델 가정을 이용한다. 실험결과에 의하면 SAED분석 방법은 기존의 등간격 평문 전력분석보다 훨씬 적은 수의 파형만으로도 키 후보를 상당히 줄일 수 있음을 알 수 있었다.

후속연구

하지만 공격자는 c를 알 수 없기 때문에 언제 이러한 파형의 변화가 발생하는지 정확히 예측하는 것이 불가능하다. 따라서, 우리는 정확하게 BR의 발생을 예측할 수 없지 만, 높은 확률로 발생될 것이라고 예측되는 지점과, 그에 대한 발생 기대 값을 계산하여 확률적인 기준을 만들 것이다.
하지만 우리의 분석 방법은 키 주변의 유사키에 대하여 구분이 불가능할 수 있다는 점, 상수가 0이면 분석이 불가능 하다는 점, 그리고 결과적으로 키 후보를 좁히는 효과가 있을 뿐, 정확히 하나의 키 후보로 결정될 수 없다는 점에서 한계가 있으며, 더욱 향상된 분석 결과를 가지기 위해 이러한 한계점을 극복하는 연구가 진행되어야 할 것이다.

참고문헌 (17)

P. Kocher, "Timing attacks on implementations of Diffe-Hellman, RSA, DSS and other systems", Advances in Cryptology - CRYPTO 96, Santa Barbara, Califormia, LNCS 1109, pp.103-113, 1996.
P. Kocher, J. Jaffe, and B. Jun, "Differential power analysis", CRYPTO 1999, LNCS 1666, Springer-Verlag, pp.388-397, 1999.
E. Brier, C. Clavier, and F. Olivier, "Correlation power analysis with a leakage model", CHES 2004. LNCS 3156, Springer- Verlag, pp.16-29, 2004.
S. Chari, R. Rao, P. Rohatgi, "Template Attacks", CHES 2002, LNCS 2523, pp.13-28, 2003.
D. Agrawal, P. Rohatgi, and J.Rao. , "Multi-channel attacks", CHES 2003. LNCS 2779, Springer-Verlag, pp.2-16, 2003.
E. Oswald and P. Rohatgi, "Mutual Information Analysis", CHES 2008, LNCS 5154, Springer-Verlag, pp.426-442, 2008.
J. Zhou and M. Yung, "Principles on the Security of AES against First and Second-Order Differential Power Analysis" ACNS 2010, LNCS 6123, pp.168.185, 2010.
Rivest R, Shamir A, Adleman L. "A method for obtaining digital signatures and public-key cryptosystems". Commun ACM, pp.120-126, 1978.
N.Koblitz, "Elliptic Curve Cryptosystem", Mathematics of Computation, ISSN 1088-6842.
B.D. Boer. K. Lemke, and G.Wicke, "A DPA attack against the modular reduction within a crt implementation of RSA", CHES 2002, LNCS, Vol.2523, Springer-Verlag, pp.228-243, 2002.
R. Novak "SPA-Based Adaptive Chosen-Ciphertext Attack on RSA Implementation" PKC 2002, Springer-Verlag Berlin Heidelberg 2002, LNCS 2274, pp.252-262, 2002.
F. Amiel, B. Feix, and K. Villegas, "Power Analysis for Secret Recovering and Reverse Engineering of Public Key Algorithms", SAC 2007, Springer-Verlag, pp.110-125, 2007.
J.Y Park, D.H Han, O. Yi, D.H Choi, "Ghost key patterns with Equidistant Chosen Message attack on RSA-CRT", 2011 IEEE International Carnahan Conference, IEEE/IET Electronic Library (IEL), VDE VERLAG Conference Proceedings, pp.1-5, 2011.
R. Rao, P. Rohatgi, H. Scherzer, S. Tinguely , "Partitioning attacks: or how to rapidly clone some GSM cards", IEEE Symposium on Security and Privacy 2002. Proceedings. 2002.
S. Mangard, E. Oswarld, T. Popp, "Power Analysis Attacks, revealing the secret of smart cards", Springer, ISBN.0387308571, 2007. 12.
S. Mangard, "A Simple Power-Analysis (SPA) Attack on Implementations of the AES Key Expansion", ICISC 2002, LNCS 2587, Springer-Verlag, pp.343-358, 2003.
A,J Menezes, PaulC.van Oorschot and S.A Vanstone, "Handbood Applied Cryptography", CRC press ISBN : 0-8493-8523-7, 1996.

이 논문을 인용한 문헌

저자의 다른 논문 :

LOADING...

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

뺄셈연산의 이벤트 정보를 활용한 향상된 RSA-CRT 부채널분석공격 방법
An Improved Side Channel Attack Using Event Information of Subtraction 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

이론/모형

성능/효과

후속연구

참고문헌 (17)

이 논문을 인용한 문헌

저자의 다른 논문 :

연구과제 타임라인

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

뺄셈연산의 이벤트 정보를 활용한 향상된 RSA-CRT 부채널분석공격 방법 An Improved Side Channel Attack Using Event Information of Subtraction 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

이론/모형

성능/효과

후속연구

참고문헌 (17)

이 논문을 인용한 문헌

저자의 다른 논문 :

한동국 (46) 이옥연 (40) 김정녀 (34)

연구과제 타임라인

전체(0) 논문(0) 특허(0) 보고서(0)

전체(0) 논문(0) 특허(0) 보고서(0)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

뺄셈연산의 이벤트 정보를 활용한 향상된 RSA-CRT 부채널분석공격 방법
An Improved Side Channel Attack Using Event Information of Subtraction 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper