선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- HIGHT 알고리즘의 취약성을 검증하기 위한 실험을 시행하였다. 파형 수집 환경은 ATmega128 보드를 사용하여 8비트로 구현된 HIGHT 알고리즘을 구동하였다.
- 여기서 WK1와 WK3은 비밀키 k13과 k15를 복구하는 것과 같다. 따라서 우리는 비밀 키 k13과 k15바이트를 암호문의 비선형연산을 분석하는 것으로 분석 성능을 높이고자 한다.
- 본 논문에서는 HIGHT 부채널 취약점을 검증하였다. 그리고 이에 대한 대응기법으로 1차 부울린 마스킹이 적용된 HIGHT 알고리즘을 설계하였다.
- 본 논문에서는 HIGHT 블록 암호 알고리즘[3,9]의 구조를 활용한 효율적인 1차 전력 분석 방법을 제안한다. 제안한 방법에 실험적인 검증을 위해 8비트 기반 ATmega128 보드에서 동작하는 HIGHT 알고리즘을 대상으로 1차 전력 분석을 수행하였다.
제안 방법
- 2단계는 랜덤한 데이터 d1, …, dD 를 이용하여 암호 알고리즘을 구동시키고 이의 D개의 소비전력을 측정한다.
- 바이트 키를 분석하기 위해서 같은 추측이라면 확산(diffusion)이나 혼돈(confusion)이 더 일어났을 경우 부채널 분석 성능이 좋다. 그러므로 WK0를 분석하기 위해서는 F1(p0 + guessing key)부분을 추측하였고 WK1에 분석을 위해 F0(p2 + guessing key) 부분을 추측하였다.
- 그리고 1차 전력분석에 안전한 HIGHT 암호 알고리즘 대응기법을 제안한다. 제안한 1차 부채널 대응 기법의 효율성 비교를 위해 1차 부채널 대응기법이 적용된 AES를 활용하였다[4].
- 3장에서는 HIGHT 알고리즘에 대해 평문을 이용하였을 경우 평문과 암호문을 이용할 경우를 나눠서 분석 시나리오를 제시한다. 그리고 실제 알고리즘을 보드에 탑재하여 바이트 단위의 분석을 시행한다. 이를 근거로 부채널 분석에 취약점을 확인한다.
- 본 논문에서는 HIGHT 부채널 취약점을 검증하였다. 그리고 이에 대한 대응기법으로 1차 부울린 마스킹이 적용된 HIGHT 알고리즘을 설계하였다. 또한, 마스킹이 적용된 AES와 HIGHT 알고리즘의 성능을 측정하여 효율성을 측정하였다.
- HIGHT 마스킹 구조는 사전 연산 단계와 마스킹 적용 단계와 마스킹 라운드 과정 단계로 나누어 설명한다. 기본개념은 8비트 랜덤 값을 XOR 연산하여 마스킹을 적용하였다. 또한, 각 라운드가 시작할 때와 끝날 때 같은 마스킹 값을 가지도록 구성하여 라운드 함수를 반복적으로 사용 가능하게 하였다.
- 따라서 안전한 덧셈연산을 수행하기 위해 부울린 마스킹을 산술 마스킹으로 변환(Boolean to Arithmetic Conversion, BtoA)하여 덧셈연산을 한다. 덧셈연산 후에는 산술 마스킹을 부울린 마스킹으로 변환 (Arithmetic to Boolean Conversion, AtoB)하여 나머지 연산을 수행한다. 본 논문에서는 BtoA 알고리즘은 [5]를 참조하여 적용하였고 AtoB 알고리즘은 [6]을 참조하였다.
- 부울린 마스킹이 적용되었을 때 덧셈연산을 바로 수행하면 마스킹 값을 관리하기 어렵다. 따라서 안전한 덧셈연산을 수행하기 위해 부울린 마스킹을 산술 마스킹으로 변환(Boolean to Arithmetic Conversion, BtoA)하여 덧셈연산을 한다. 덧셈연산 후에는 산술 마스킹을 부울린 마스킹으로 변환 (Arithmetic to Boolean Conversion, AtoB)하여 나머지 연산을 수행한다.
- 이에 따라 장비에 탑재될 HIGHT 알고리즘은 부채널 대응기법이 고려돼야 한다. 따라서 이번 장에서는 알려진 부울린 마스킹 대응기법을 HIGHT 알고리즘에 적용하고 그 구조에 대하여 서술한다. 또한, 적용결과를 8비트로 구현된 AES 알고리즘과 비교한다.
- 그리고 이에 대한 대응기법으로 1차 부울린 마스킹이 적용된 HIGHT 알고리즘을 설계하였다. 또한, 마스킹이 적용된 AES와 HIGHT 알고리즘의 성능을 측정하여 효율성을 측정하였다. 그 결과, ARX 구조로 구성된 경량블록암호의 경우 SPN 구조의 블록 암호보다 부채널 대응기법을 적용하였을 때, 연산의 부하가 더 발생하는 것을 확인할 수 있었다.
- 에서 원으로 표시된 지점은 선형 연산 분석 지점이고 사각형으로 표시된 지점은 비선형 연산 분석 지점이다. 부채널 분석은 일반적으로 선형 연산 부분에서 보다 비선형 연산 부분에서 더 분석성능이 좋으므로 비선형 연산을 부채널 분석지점으로 선정하였다. 하지만 WK1와 WK3를 반드시 선형연산으로 분석하여야 한다.
- 활용방법은 모든 후보키에 대해 RK0의 분석을 하여 구분되는 높은 상관 계수 값을 가지는 값의 WK1의 후보키와 RK0,1의 추측키의 쌍으로 결정할 수 있다. 비슷하게 WK3를 비롯한 다른 키에 대해서 후보키를 줄이는 과정을 거치며 부채널 분석을 한다.
- 속도 측정을 위한 기준코드는 AES의 경우 성능개선의 구현을 하였고 HIGHT의 경우 한국인터넷진흥 원에서 공개한 8비트 기반으로 구현된 코드[8]를 사용하였다. 속도측정은 Atmega128 보드에 탑재하여 암호 알고리즘이 실제 구동하는 시간을 3.2에서 사용된 오실로스코프를 이용하여 측정하였다.
- 그리고 Teledyne LeCroy사 HDO6103 오실로스코프에서 500MS/s 샘플링으로 수집하였다. 수집한 파형을 연산 단위로 분석하여 공격 성공률 (Success Rate)[7]과 추측 엔트로피(Guessing Entropy)[7]를 계산하고 비교한다. 공격 성공률과 추측 엔트로피는 모두 1,000번 분석하였을 때, 결과 값으로 나타낸다.
- 비선형연산(덧셈)은 입력 마스킹 값을 같게 하여 구성한다. 이 논리를 바탕으로 마스킹 라운드의 구조를 설계한다.
대상 데이터
- 파형 수집 환경은 ATmega128 보드를 사용하여 8비트로 구현된 HIGHT 알고리즘을 구동하였다. 그리고 Teledyne LeCroy사 HDO6103 오실로스코프에서 500MS/s 샘플링으로 수집하였다. 수집한 파형을 연산 단위로 분석하여 공격 성공률 (Success Rate)[7]과 추측 엔트로피(Guessing Entropy)[7]를 계산하고 비교한다.
데이터처리
- 따라서 이번 장에서는 알려진 부울린 마스킹 대응기법을 HIGHT 알고리즘에 적용하고 그 구조에 대하여 서술한다. 또한, 적용결과를 8비트로 구현된 AES 알고리즘과 비교한다.
- 본 논문에서는 HIGHT 블록 암호 알고리즘[3,9]의 구조를 활용한 효율적인 1차 전력 분석 방법을 제안한다. 제안한 방법에 실험적인 검증을 위해 8비트 기반 ATmega128 보드에서 동작하는 HIGHT 알고리즘을 대상으로 1차 전력 분석을 수행하였다.
이론/모형
- AES 알고리즘은 [4]을 참조하여 1차 부울린 마스킹 대응기법을 적용하였다. 부울린 마스킹 대응기법 에서 선형 연산인 경우 마스킹 값의 관리가 간단하지 만, 비선형 연산의 경우 연산에 따라 마스킹 값의 관리가 다르게 고려되어야 한다.
- 과 같이 두 입력에 같은 8비트 마스킹 값 m0이 되도록 구성하였고 MA 연산 후 출력 마스킹 값은 8비트 m1이 되도록 구성 하였다. Fig. 7.에서 BtoA 알고리즘은 [5]를 참조하였고 AtoB 알고리즘은 [6]을 참조하여 구성하였다.
- 덧셈연산 후에는 산술 마스킹을 부울린 마스킹으로 변환 (Arithmetic to Boolean Conversion, AtoB)하여 나머지 연산을 수행한다. 본 논문에서는 BtoA 알고리즘은 [5]를 참조하여 적용하였고 AtoB 알고리즘은 [6]을 참조하였다.
- 제안한 1차 부채널 대응 기법의 효율성 비교를 위해 1차 부채널 대응기법이 적용된 AES를 활용하였다[4]. 속도 측정은 암호알고리즘을 ATmega128 보드에 탑재하여 실제 구동되는 시간을 측정하였다. 부채널 대응기법 적용하였을 때 속도의 경우 AES는 3.
- 속도 측정을 위한 기준코드는 AES의 경우 성능개선의 구현을 하였고 HIGHT의 경우 한국인터넷진흥 원에서 공개한 8비트 기반으로 구현된 코드[8]를 사용하였다. 속도측정은 Atmega128 보드에 탑재하여 암호 알고리즘이 실제 구동하는 시간을 3.
- 그리고 1차 전력분석에 안전한 HIGHT 암호 알고리즘 대응기법을 제안한다. 제안한 1차 부채널 대응 기법의 효율성 비교를 위해 1차 부채널 대응기법이 적용된 AES를 활용하였다[4]. 속도 측정은 암호알고리즘을 ATmega128 보드에 탑재하여 실제 구동되는 시간을 측정하였다.
- HIGHT 알고리즘의 취약성을 검증하기 위한 실험을 시행하였다. 파형 수집 환경은 ATmega128 보드를 사용하여 8비트로 구현된 HIGHT 알고리즘을 구동하였다. 그리고 Teledyne LeCroy사 HDO6103 오실로스코프에서 500MS/s 샘플링으로 수집하였다.
성능/효과
- 에서 Normal은 대응기법이 적용되지 않은 일반적인 알고리즘이고 1st-Order는 1차 부채널 대응기법이 적용된 알고리즘이다. AES의 경우 대응 기법을 적용하였을 때 3.24배의 성능저하가 나타났고 HIGHT는 55.88배의 성능저하가 나타났다. 즉, 대응기법이 적용되지 않은 알고리즘의 속도를 비교했을 때 HIGHT가 다소 우수한 성능을 보였다.
- 는 선형함수의 조합인 F0부분의 분석과 비선형함수의 조합인 F1부분의 분석의 추측 엔트로피를 계산하였다. 그 결과 공격 성공률이 99% 이상이기 위해서 필요한 파형 수는 F0의 경우 730개 이상이고 F1의 경우 400개 이상인 것을 확인하였다.
- 은 마찬가지로 F0부분과 F1부분의 분석을 통하여 추측 복잡도를 계산하였다. 그 결과 추측 복잡도가 3 이하이기 위해서는 F0의 경우 270개 이상의 파형이 필요하고 F1의 경우 50개 이상의 파형이면 충분한 것을 확인할 수 있었다.
- 또한, 마스킹이 적용된 AES와 HIGHT 알고리즘의 성능을 측정하여 효율성을 측정하였다. 그 결과, ARX 구조로 구성된 경량블록암호의 경우 SPN 구조의 블록 암호보다 부채널 대응기법을 적용하였을 때, 연산의 부하가 더 발생하는 것을 확인할 수 있었다. 이는 덧셈연산에 대해 부채널 대응기법을 적용하였을 때 연산의 부하가 많이 발생하기 때문이다.
- 기본개념은 8비트 랜덤 값을 XOR 연산하여 마스킹을 적용하였다. 또한, 각 라운드가 시작할 때와 끝날 때 같은 마스킹 값을 가지도록 구성하여 라운드 함수를 반복적으로 사용 가능하게 하였다.
- 위의 실험결과를 통하여 선형연산들이 조합된 연산 부분의 분석보다 비선형연산과 조합된 연산 부분의 분석 성능이 뛰어난 것을 확인할 수 있다. 따라서 선형 연산을 분석해야 하는 평문만 이용한 분석보다 평문, 암호문을 이용한다면 앞에 설명과 같이 비선형연산 부분만 공격할 수 있으므로 더 좋은 분석성능을 가진다고 할 수 있다.
- 여기서 공격 성공률은 1,000번 분석하였을 때 옳은 키를 찾을 확률이고 추측 엔트로피는 1,000번 분석하였을 때 옳은 키의 평균 순위이다. 이에 대한 실험 결과 해석은 만약 분석성능이 우수하다면 공격 성공률이 100%에 가까워질 것이고 추측 엔트로피는 1에 가까워질 것이다. 다만 선형연산의 경우 후보키가 항상 존재할 수 있어서 추측 엔트로피는 2에 가까워진다.
- 88배의 성능저하가 나타났다. 즉, 대응기법이 적용되지 않은 알고리즘의 속도를 비교했을 때 HIGHT가 다소 우수한 성능을 보였다. 그러나 1차 부채널 대응기법을 적용하였을 때에는 성능이 역전됨을 확인할 수 있다.
후속연구
- 한편 사물인터넷 환경이 다가옴에 따라 각 환경에 맞는 다양한 암호 알고리즘이 제안되거나 기존 알고리즘이 사용될 것이다. 이에 따라 사용되는 알고리즘들의 부채널 대응기법을 고려하지 않을 수 없다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.