[논문]비트 슬라이스 대합 S-박스에 의한 대칭 SPN 블록 암호에 대한 차분 오류 공격

강형철; 이창훈

doi:10.3745/ktccs.2015.4.3.105

비트 슬라이스 대합 S-박스에 의한 대칭 SPN 블록 암호에 대한 차분 오류 공격
Differential Fault Analysis on Symmetric SPN Block Cipher with Bitslice Involution S-box 원문보기

정보처리학회논문지. KIPS transactions on computer and communication systems 컴퓨터 및 통신 시스템, v.4 no.3, 2015년, pp.105 - 108

강형철 (고려대학교 정보보호대학원) , 이창훈 (서울과학기술대학교 컴퓨터공학과)

초록
AI-Helper

본 논문에서는 2011년에 제안된 비트 슬라이스 대합 S-박스에 의한 대칭 SPN 블록 암호에 대한 차분 오류 공격을 제안한다. 이 블록 암호는 AES를 기반으로 설계되었으며, 암호화와 복호화를 동일하게 구성하여 제한적 하드웨어 및 소프트웨어 환경에서 장점을 가지도록 설계되었으므로, 이 블록 암호는 부채널 분석에 대한 안전성을 가져야 한다. 그러나 본 논문에서 제안하는 공격 방법은 1개의 랜덤 바이트 오류 주입과 $2^8$번의 전수 조사를 통해 본 블록 암호의 128-비트 비밀키를 복구한다. 이 분석 결과는 본 블록 암호에 대한 첫 번째 결과이다.

Abstract ▼ AI-Helper

In this paper, we propose a differential fault analysis on symmetric SPN block cipher with bitslice involution S-box in 2011. The target block cipher was designed using AES block cipher and has advantage about restricted hardware and software environment using the same structure in encryption and decryption. Therefore, the target block cipher must be secure for the side-channel attacks. However, to recover the 128-bit secret key of the targer block cipher, this attack requires only one random byte fault and an exhausted search of $2^8$. This is the first known cryptanalytic result on the target block cipher.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 비트 슬라이스 대합 S-박스에 의한 대칭 SPN 블록 암호에 대한 차분 오류 공격을 제안한다. 본 논문에서는 [8]에서 소개된 공격 아이디어를 이용하여 본 블록 암호를 분석하였다.
본 논문에서는 차분 오류 공격을 이용하여 비트 슬라이스 대합 S-박스에 의한 대칭 SPN 블록 암호에 대한 첫 번째 안전성 분석 결과를 제안하였다. 본 논문에서 제안하는 공격은 1개의 랜덤 바이트 오류 주입과 2⁸번의 전수조사를 통해 본 블록 암호의 128-비트 비밀키를 복구할 수 있다.
본 절에서는 대칭 SPN 블록 암호에 대한 차분 오류 공격을 제안한다. 본 공격은 3절에서 소개한 공격을 이용하며 [16] 의 결과에 따라 동일한 오류 주입 가정을 이용한다.

가설 설정

본 절에서는 대칭 SPN 블록 암호에 대한 차분 오류 공격을 제안한다. 본 공격은 3절에서 소개한 공격을 이용하며 [16] 의 결과에 따라 동일한 오류 주입 가정을 이용한다. 본 공격을 소개하기 위해 3절에서 소개한 표기법을 그대로 사용한다.
본 장에서는 [8]에서 제안된 AES에 대한 DFA를 간략히 소개한다. 이 공격의 오류 주입 가정은 랜덤 바이트 오류주입 모델에 기반을 둔다. 하지만 2009년 FDTC에서 Fukunaga 등은 AES의 특정 라운드에서 원하는 위치에 정확히 오류를 주입하는 것이 가능하다고 소개하였다[16].

제안 방법

(5) [RK₁₀ 후보 필터링] 키 스케줄을 이용하여 각각의 RK₁₀ 후보에 대응되는 RK₉를 계산한다. 계산된 각각의 (RK₉,RK₁₀) 후보를 이용하여 9 라운드 ISB 입력스테이트 S₉ [0,5,10,15]의 차분을 계산한다.
를 계산한다. 계산된 각각의 (RK₉,RK₁₀) 후보를 이용하여 9 라운드 ISB 입력스테이트 S₉ [0,5,10,15]의 차분을 계산한다. 차분 패턴(Ef*,9f*,Df*,Bf*)를 체크함으로써 (RK₉,RK₁₀) 후보를 2⁸ (= 2³²⋅2^-24)개로 줄일 수 있다.
다음으로 AES-128의키 스케줄 특성을 이용하여 RK₁₀의 후보에서 RK₉를 계산한다. 계산한 RK₉를 이용하여 (RK₉,RK₁₀) 후보에 대한 9 라운드 입력 스테이트 S9 [0,1,2,3]의 차분을 계산한다. 차분 패턴 (2f*,f*,f*,3f*)를 체크함으로써 (RK₉,RK₁₀) 후보를 2³²개에서 2⁸ (= 2³²⋅2^-24)개로 줄일 수 있다.
개로, 본 논문에서 제안하는 공격의 성공률은 매우 높다. 그러므로 본 논문에서 제안하는 방법으로 1개의 랜덤 바이트 오류 주입과 2⁸번의전수조사를 통해 대칭 SPN 블록 암호의 128-비트 비밀키를 찾을 수 있다.
)개의 후보를 얻는다. 다음으로 AES-128의키 스케줄 특성을 이용하여 RK₁₀의 후보에서 RK₉를 계산한다. 계산한 RK₉를 이용하여 (RK₉,RK₁₀) 후보에 대한 9 라운드 입력 스테이트 S9 [0,1,2,3]의 차분을 계산한다.
마지막으로 각각의 2⁸개 후보에 대해 키 스케줄을 이용하여 비밀키를 계산한 후, 올바른 비밀키인지 확인한다. 이와 같은 단계를 이용하면 1개의 랜덤 바이트 오류와 2⁸번의 전수조사를 이용하여 128-비트 비밀키를 복구할 수 있다.
먼저, 10 라운드의 32-비트 라운드 키 RK10[0,7,10,13]을 추측한 후, 다음의 Equation (3)을 이용하여 RK10 [0,7,10,13]의 수를 232개에서 28 (= 232•2-24)개로 줄인다.
본 논문에서는 차분 오류 공격을 이용하여 비트 슬라이스 대합 S-박스에 의한 대칭 SPN 블록 암호에 대한 첫 번째 안전성 분석 결과를 제안하였다. 본 논문에서 제안하는 공격은 1개의 랜덤 바이트 오류 주입과 2⁸번의 전수조사를 통해 본 블록 암호의 128-비트 비밀키를 복구할 수 있다. AES 구조와의 유사성 때문에 대칭 SPN 블록 암호에도 AES에 적용되었던 공격이 비슷하게 적용될 수 있을 것이라고 생각된다.
이 방정식을 풀어서 2³²개의 라운드 키 후보를 찾는다. 찾은 라운드 키 후보를 키스케줄과 9 라운드 차분 패턴을 이용하여 라운드 키 후보를 2⁸개로 줄인다. 마지막으로 라운드 키 후보 2⁸개를 전수조사하여 128-비트 비밀키를 복구한다.

대상 데이터

비트 슬라이스 대합 S-박스에 의한 대칭 SPN 블록 암호는 AES에 기반을 두고 설계된 128-비트 블록 암호이다. 대칭 SPN 블록 암호는 128/192/256-비트 비밀키를 사용하며 키 사이즈에 따라 각각 10/12/14 라운드로 구성된다(Fig. 1 참고).
먼저, 8 라운드에 1개의 랜덤 바이트 오류를 주입하여 방정식을 구성한다. 이 방정식을 풀어서 2³²개의 라운드 키 후보를 찾는다. 찾은 라운드 키 후보를 키스케줄과 9 라운드 차분 패턴을 이용하여 라운드 키 후보를 2⁸개로 줄인다.

이론/모형

본 논문에서는 비트 슬라이스 대합 S-박스에 의한 대칭 SPN 블록 암호에 대한 차분 오류 공격을 제안한다. 본 논문에서는 [8]에서 소개된 공격 아이디어를 이용하여 본 블록 암호를 분석하였다. 먼저, 8 라운드에 1개의 랜덤 바이트 오류를 주입하여 방정식을 구성한다.

성능/효과

틀린 비밀키 개수의 기댓값은 2^-120개로, 본 논문에서 제안하는 공격의 성공률은 매우 높다. 그러므로 본 논문에서 제안하는 방법으로 1개의 랜덤 바이트 오류 주입과 2⁸번의전수조사를 통해 대칭 SPN 블록 암호의 128-비트 비밀키를 찾을 수 있다.

후속연구

본 논문에서 제안하는 공격은 1개의 랜덤 바이트 오류 주입과 2⁸번의 전수조사를 통해 본 블록 암호의 128-비트 비밀키를 복구할 수 있다. AES 구조와의 유사성 때문에 대칭 SPN 블록 암호에도 AES에 적용되었던 공격이 비슷하게 적용될 수 있을 것이라고 생각된다. 향후 차분 오류 공격 외에 다른 분석 방법을 본 블록 암호에 추가로 적용해볼 것이다.
AES 구조와의 유사성 때문에 대칭 SPN 블록 암호에도 AES에 적용되었던 공격이 비슷하게 적용될 수 있을 것이라고 생각된다. 향후 차분 오류 공격 외에 다른 분석 방법을 본 블록 암호에 추가로 적용해볼 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	대칭 SPN 블록 암호는 무엇인가?	2011년에 한국전자통신학회논문지에 소개된 비트 슬라이스 대합 S-박스에 의한 대칭 SPN 블록 암호(이하 대칭 SPN 블록 암호)는 AES[14]에 기반을 둔 128-비트 블록 암호로서, 128/192/256-비트 비밀키를 사용하며, 키 사이즈에따라 각각 10/12/14 라운드이다[15]. 대칭 SPN 블록 암호는 비트 슬라이스 대합 S-박스를 이용하여 암호화 과정과 복호화 과정이 동일하게 설계되어 AES에 비해 제한적 하드웨어 및 소프트웨어 환경인 스마트카드와 RFID 환경에서 효율적이라는 장점이 있다.
	대칭 SPN 블록 암호는 어떤 것에 안정성을 가져야하는가?	본 논문에서는 2011년에 제안된 비트 슬라이스 대합 S-박스에 의한 대칭 SPN 블록 암호에 대한 차분 오류 공격을 제안한다. 이 블록 암호는 AES를 기반으로 설계되었으며, 암호화와 복호화를 동일하게 구성하여 제한적 하드웨어 및 소프트웨어 환경에서 장점을 가지도록 설계되었으므로, 이 블록 암호는 부채널 분석에 대한 안전성을 가져야 한다. 그러나 본 논문에서 제안하는 공격 방법은 1개의 랜덤 바이트 오류 주입과 $2^8$번의 전수 조사를 통해 본 블록 암호의 128-비트 비밀키를 복구한다.
	대칭 SPN 블록 암호의 장점은 무엇인가?	2011년에 한국전자통신학회논문지에 소개된 비트 슬라이스 대합 S-박스에 의한 대칭 SPN 블록 암호(이하 대칭 SPN 블록 암호)는 AES[14]에 기반을 둔 128-비트 블록 암호로서, 128/192/256-비트 비밀키를 사용하며, 키 사이즈에따라 각각 10/12/14 라운드이다[15]. 대칭 SPN 블록 암호는 비트 슬라이스 대합 S-박스를 이용하여 암호화 과정과 복호화 과정이 동일하게 설계되어 AES에 비해 제한적 하드웨어 및 소프트웨어 환경인 스마트카드와 RFID 환경에서 효율적이라는 장점이 있다.

참고문헌 (16)

E. Biham, A. Shamir, "Differential Fault Analysis of Secret Key Cryptosystems," Crypto 1997, LNCS 1294, pp.513-525, Springer-Verlag, 1997.
E. Biham, A. Shamir, "Differential cryptanalysis of DES-like cryptosystem," Journal of Cryptology, Vol.4, No.1, pp.3-72, Springer-Verlag, 1991.

상세보기
D. Boneh, R. DeMillo, and R. Lipton, "On the importance of checking cryptographic protocols for faults," Eurocrypt 1997, LNCS 1233, pp.37-51, Springer-Verlag, 1997.
K. Jeong, Y. Lee, J. Sung, and S. Hong, "Differential fault analysis on block cipher SEED," Mathematical and Computer Modelling, Vol.55, pp.26-34, Elsevier, 2012.

상세보기
K. Jeong, "Security Analysis of Block Cipher LED-64 Suitable for Wireless Sensor Network Environments," JKONI, Vol.16, No.1, pp.70-75, Feb., 2012.
K. Jeong, "Differential Fault Analysis on Block Cipher Piccolo-80," JKONI, Vol.16, No.3, pp.510-517, Jun., 2012.
K. Jeong, C. Lee, "Differential Fault Analysis on Lightweight Block Cipher LBlock," JKONI, Vol.16, No.5, pp.871-878, Oct., 2012.
P. Dusart, G. Letourneux, and O. Vivolo, "Differential fault analysis on A.E.S," ACNS 2003, LNCS 2849, pp.293-306, Springer-Verlag, 2003.
A. Moradi, M. T. Manzuri Shalmani, and M. Salmasizadeh, "A generalized method of differential fault attack against AES cryptosystem," CHES 2006, LNCS 4249, pp.91-100, Springer-Verlag, 2006.
C. H. Kim, J.-J. Quisquater, "New differential fault analysis on aes key schedule: Two faults are enough," CARDIS 2008, LNCS 5189, pp.48-60, Springer-Verlag, 2008.
C. Giraud, A. Thillard, "Piret and Quisquater's DFA on AES revisited," Cryptology ePrint Archive, Report 2010/440, 2010. http://eprint.iacr.org/
M. Tunstall, D. Mukhopadhyay, and S. Ali, "Differential Fault Analysis of the Advanced Encryption Standard Using a Single Fault," WISTP 2011, LNCS 6633, pp.224-233, Springer-Verlag, 2011.
C. H. Kim, "Differential Fault Analysis against AES-192 and AES-256 with Minimal Faults," FDTC 2010, IEEE, pp.3-9, 2010.
FIPS PUB 197, "Announcing the ADVANCED ENCRYPTION STANDARD (AES)," U.S. Department of Commerce, 2001.
G. Cho, H. Song, "Symmetric SPN block cipher with Bit Slice involution S-box," Journal of KIICE, Vol.6, No.2, pp.171-179, Apr., 2011.
T. Fukunaga, J. Takahashi, "Practical fault attack on a cryptographic LSI with ISO/IEC 18033-3 block ciphers," FDTC 2009, pp.84-92, IEEE, 2009.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증