[논문]양자내성암호를 활용한 경량 보안 프로토콜 설계

장경배; 심민주; 서화정

doi:10.3745/ktccs.2020.9.8.165

양자내성암호를 활용한 경량 보안 프로토콜 설계
Design of a Lightweight Security Protocol Using Post Quantum Cryptography 원문보기

정보처리학회논문지. KIPS transactions on computer and communication systems 컴퓨터 및 통신 시스템, v.9 no.8, 2020년, pp.165 - 170

장경배 (한성대학교 IT융합공학부) , 심민주 (한성대학교 IT융합공학부) , 서화정 (한성대학교 IT융합공학부)

초록
AI-Helper

IoT (Internet of Things) 시대가 활성화되면서 개인정보를 포함한 많은 정보들이 IoT 디바이스들을 통해 전달되고 있다. 정보보호를 위해 디바이스끼리 상호 암호화하여 통신하는 것이 중요하며 IoT 디바이스 특성상, 성능의 제한으로 인해 경량 보안 프로토콜 사용이 요구된다. 현재 보안 프로토콜에서 사용하는 암호 기법들은 대부분 RSA, ECC (Elliptic Curve Cryptography)를 사용하고 있다. 하지만 고사양의 양자 컴퓨터가 개발되고 쇼어 알고리즘을 활용한다면 앞선 RSA와 ECC가 근거하는 안정성의 문제를 쉽게 해결할 수 있기 때문에 더 이상 사용할 수 없다. 이에 본 논문에서는 양자 컴퓨터의 계산능력에 내성을 가지는 보안 프로토콜을 설계하였다. 미국 NIST (National Institute of Standards and Technology) 양자내성암호 표준화 공모전을 진행중인 코드기반암호 ROLLO를 사용하였으며, IoT 디바이스끼리의 상호 통신을 위해 연산 소모가 적은 해시, XOR연산을 활용하였다. 마지막으로 제안하는 프로토콜과 기존 프로토콜의 비교 분석 및 안전성 분석을 실시하였다.

Abstract ▼ AI-Helper

As the IoT (Internet of Things) era is activated, a lot of information including personal information is being transmitted through IoT devices. For information protection, it is important to perform cryptography communication, and it is required to use a lightweight security protocol due to performance limitations. Currently, most of the encryption methods used in the security protocol use RSA and ECC (Elliptic Curve Cryptography). However, if a high performance quantum computer is developed and the Shor algorithm is used, it can no longer be used because it can easily solve the stability problems based on the previous RSA and ECC. Therefore, in this paper, we designed a security protocol that is resistant to the computational power of quantum computers. The code-based crypto ROLLO, which is undergoing the NIST (National Institute of Standards and Technology) post quantum cryptography standardization, was used, and a hash and XOR computation with low computational consumption were used for mutual communication between IoT devices. Finally, a comparative analysis and safety analysis of the proposed protocol and the existing protocol were performed.

주제어

표/그림 (12)

표 Table 1. Experiment Environment
표 Table 2. Comparison of Timings (in ms)
그림 Fig. 1. Kumar S. Roy’s Registration Phase
그림 Fig. 2. Kumar S. Roy’s Authentication Phase
표 Table 3. Notation
그림 Fig. 3. Proposed Protocol’s Registration Phase
그림 Fig. 4. Proposed Method’s Authentication Phase
표 Table 4. Parameters for ROLLO-II and Niederreiter
표 Table 5. Experiment Environment
표 Table 6. Performance in ARM Processor (in ms)
표 Table 7. Performance in Intel Processor (in ms)
표 Table 8. Comparison of Encryption Count

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 다가오는 양자컴퓨터 시대를 대비하여 NIST 양자내성암호 공모전 Round2를 진행 중인 코드기반 암호들에 대해 비교해보고, 후보군 중 하나인 ROLLO를 활용하여 경량 보안 프로토콜을 설계하였다. 경량형 설계를 위하여 키 사이즈가 작고 연산 속도가 빠른 ROLLO를 사용하였으며 암호화 수행 횟수를 줄이고 해시 함수와 XOR연산을 사용하였다.
현재 26개 후보들이 살아남아 Round2에 대한 평가를 진행 중이며 코드, 격자, 다변수다항식, 아이소제니 기반암호들로 구성되어 있다. 이에 본 논문에서는 NIST 양자내성암호 공모전을 진행 중인 코드기반암호 7가지에 대해 비교해보고 그 중 하나인 ROLLO를 활용하여 경량 보안 프로토콜을 설계하였다. IoT 환경을 대상으로 하기 때문에 암호화 횟수를 최소로 수행하고, 상대적으로 연산이 적은 해시 연산과 XOR 연산을 사용하여 설계하였다.

제안 방법

이에 본 논문에서는 NIST 양자내성암호 공모전을 진행 중인 코드기반암호 7가지에 대해 비교해보고 그 중 하나인 ROLLO를 활용하여 경량 보안 프로토콜을 설계하였다. IoT 환경을 대상으로 하기 때문에 암호화 횟수를 최소로 수행하고, 상대적으로 연산이 적은 해시 연산과 XOR 연산을 사용하여 설계하였다. 또한 통신과정에서 가능한 다양한 공격들을 가정하여 안전성 분석을 실시하였으며 기존 프로토콜과의 성능비교를 진행하였다.
하지만 ROLLO-II는 공개키로 전달하고 싶은 메시지를 바로 암호문으로 생성하고 개인키로 복호화 하는 PKE 방식을 제공한다. KEM 구조의 ROLLO-I, ROLLO-III를 사용하여도 무방하지만 본 논문에서는 디바이스 ID, 패스워드, nonce 값을 바로 암호화하여 전송하는 PKE 구조의 ROLLO-II를 선택하였다.
Goppa 코드가 아닌 효율성을 중시한 Rank Metric 코드(1991)를 기반으로 하여 키 사이즈와 계산 복잡도 측면에서 매우 효율적이다. NIST 양자내성암호 공모전 Round2를 진행중인 Goppa 코드를 사용하는 Classic McEliece, NTS-KEM 등 다른 코드기반암호와의 성능 비교를 위해 7개의 후보군 모두를 저전력 모바일 프로세서인 ARM에서 속도를 측정하였다. 실험 환경과 연산 속도 비교 결과는 Table 1, Table 2와 같다.
본 논문에서는 다가오는 양자컴퓨터 시대를 대비하여 NIST 양자내성암호 공모전 Round2를 진행 중인 코드기반 암호들에 대해 비교해보고, 후보군 중 하나인 ROLLO를 활용하여 경량 보안 프로토콜을 설계하였다. 경량형 설계를 위하여 키 사이즈가 작고 연산 속도가 빠른 ROLLO를 사용하였으며 암호화 수행 횟수를 줄이고 해시 함수와 XOR연산을 사용하였다. 제안 프로토콜의 구현 코드는 Github[6]에 공개되어 있으며 향후 연구 방향으로는 프로토콜 안전성 분석에 범용적으로 사용되는 AVISPA 툴[7]을 활용한 자동화 분석과 프로토콜의 경량 설계를 위한 개선을 진행할 예정이다.
두 번째, 서버는 수신한 메시지 Req를 자신의 개인키로 복호화 하여 디바이스 id와 nonce 값을 확인한 뒤 해당 디바이스를 위한 패스워드를 생성한다. 그리고 서버의 신원확인이 가능한 nonce 값과 생성한 패스워드를 해당 디바이스의 공개키로 암호화하여 전송한다.
Roy의 프로토콜은 등록 과정에서 3번, 인증 과정에서 3번의 암, 복호화가 수행되는 반면 제안 프로토콜에서는 해시 함수와 XOR연산으로 대체함으로써 등록 과정에서 2번, 인증 과정에서는 1번만 수행된다. 등록 과정은 초기에 각자의 신원을 확인해야 하기 때문에 디바이스에서 1번, 서버에서 1번, 총 2번의 암, 복호화를 수행하였다. 인증 과정에서는 패스워드와 익명성을 위한 디바이스 id 암호화 1번만을 수행하고 이후로는 인증된 패스워드와 해시 함수를 활용하여 서로의 신원을 밝혔다.
프로토콜에서 사용되는 연산 중에는 암, 복호화에 많은 비용이 소모된다. 따라서 제안하는 프로토콜에서는 경량 설계를 위해 암, 복호화 횟수를 최소로 수행하고 나머지 연산들은 해시 함수 SHA-512와 XOR 연산만을 사용하였다. 프로토콜 설명을 위한 표기법은 Table 3과 같다.
제안하는 프로토콜의 성능평가를 위해 많은 IoT 디바이스로 활용되고 있는 저전력 ARM 프로세서에서의 성능 측정을 진행 하였다. 또한 IoT 디바이스가 아닌 일반 컴퓨터에서의 통신 속도를 확인해보기 위해 고성능 Intel 프로세서에서도 성능을 측정하였다. ARM 프로세서 환경은 Table 1, Intel 프로세서 환경은 Table 5와 같으며, 이에 대한 결과는 각각 Table 6, 7과 같다.
IoT 환경을 대상으로 하기 때문에 암호화 횟수를 최소로 수행하고, 상대적으로 연산이 적은 해시 연산과 XOR 연산을 사용하여 설계하였다. 또한 통신과정에서 가능한 다양한 공격들을 가정하여 안전성 분석을 실시하였으며 기존 프로토콜과의 성능비교를 진행하였다.
본 논문에서 제안하는 프로토콜에서는 등록과정에서 맨 처음 신원을 확인하고 패스워드를 부여받는 과정에서는 기존 기법과 동일하게 총 2번의 암호화를 수행한다. 하지만 이후 통신과정에서는 신원 확인 시 사용한 nonce 값과 해시 및 XOR 연산만을 활용한다.
제안하는 프로토콜에서는 등록, 상호 인증 초기에 디바이스의 신원을 추측할 수 있는 디바이스 id를 암호화하고 nonce값으로 인해 암호문도 항상 변한다. 때문에 어떤 디바이스가 어느 정도 통신하고 있는지 추적이 불가능하다.
또한 적합한 사용자만이 송수신되는 정보를 알 수 있어야 한다. 제안하는 프로토콜에서는 중요 정보들이 암호 알고리즘, 해시 함수, XOR 연산을 통해 암호화되기 때문에 적합하지 않은 사용자는 디바이스 id, nonce 값, 패스워드와 같은 정보에 접근할 수 없다.
제안하는 프로토콜의 성능평가를 위해 많은 IoT 디바이스로 활용되고 있는 저전력 ARM 프로세서에서의 성능 측정을 진행 하였다. 또한 IoT 디바이스가 아닌 일반 컴퓨터에서의 통신 속도를 확인해보기 위해 고성능 Intel 프로세서에서도 성능을 측정하였다.

이론/모형

본 논문에서 제안하는 프로토콜의 암호화 기법은 ROLLO-I, II, III 중 II를 선택하였다. ROLLO-I, ROLLO-III는 KEM방식으로 자체적으로 공개키와 개인키를 활용하여 임의의 대칭키를 양측에서 비밀스럽게 설립한 후, 대칭키를 활용하여 서로의 메시지를 암호화 및 복호화한다.
적합 디바이스를 서버에 등록하는 절차와 등록된 디바이스가 서버와 상호 통신하기 위한 인증 절차로 이루어진다. 암호화 기법으로는 양자컴퓨터의 공격에 내성을 가질 수 있도록 코드기반암호 ROLLO-I, II, III 중 II을 사용하였다.

성능/효과

세 번째, c₁을 수신한 디바이스는 자신의 개인키로 복구한 nonce값이 일치한다면 패스워드를 안전하게 저장한다.
제안하는 프로토콜에선 디바이스를 등록하고 세션 키를 설립하는 과정 모두에서 인증 메세지 P를 통해 서로의 통신 사실을 확인하고 있기 때문에 중간자 공격에 대한 보안성을 확보할 수 있다. 재전송 공격에 대해서는 많은 프로토콜에서 nonce 값이나 타임스탬프를 활용하고 있다.
Niederreiter의 키 사이즈는 메모리가 적은 8-bit AVR 프로세서에는 저장할 수 없을 만큼 키 사이즈가 크다. 하지만 제안하는 프로토콜에서 사용하는 ROLLO는 적합한 키 사이즈를 제공하며 연산 속도 또한 준수하다.

후속연구

경량형 설계를 위하여 키 사이즈가 작고 연산 속도가 빠른 ROLLO를 사용하였으며 암호화 수행 횟수를 줄이고 해시 함수와 XOR연산을 사용하였다. 제안 프로토콜의 구현 코드는 Github[6]에 공개되어 있으며 향후 연구 방향으로는 프로토콜 안전성 분석에 범용적으로 사용되는 AVISPA 툴[7]을 활용한 자동화 분석과 프로토콜의 경량 설계를 위한 개선을 진행할 예정이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	최초의 코드기반암호는 무엇인가?	Robert J.McEliece는 1978년, 최초의 코드기반암호 McEliece[3]를 제안하였다. McEliece에서는 Goppa 코드라는 오류수정코드를 사용하는데 현재 NIST 양자내성암호 공모전 Round 2, 7개의 코드기반암호 중 Classic McEliece와 NTS-KEM이 Goppa 코드를 그대로 사용하고 있다.
	Goppa 코드의 단점은 무엇인가?	McEliece에서는 Goppa 코드라는 오류수정코드를 사용하는데 현재 NIST 양자내성암호 공모전 Round 2, 7개의 코드기반암호 중 Classic McEliece와 NTS-KEM이 Goppa 코드를 그대로 사용하고 있다. Goppa 코드는 역사가 길어 뛰어난 보안성을 자랑하지만 키 사이즈가 매우 크다는 단점이 있다. 하지만 한계점인 키 사이즈를 줄이기 위해 Goppa 코드가 아닌 새로운 코드를 사용하는 연구가 진행중이며 Quasi Cyclic, Rank metric 코드에 기반한 5개의 암호가 Round 2를 진행중이다.
	ROLLO는 어떠한 코드를 기반으로 하는가?	ROLLO[4]는 양자내성암호 표준화 공모전 Round2를 진행중인 코드기반암호 중 하나이다. Goppa 코드가 아닌 효율성을 중시한 Rank Metric 코드(1991)를 기반으로 하여 키 사이즈와 계산 복잡도 측면에서 매우 효율적이다. NIST 양자내성암호 공모전 Round2를 진행중인 Goppa 코드를 사용하는 Classic McEliece, NTS-KEM 등 다른 코드기반암호와의 성능 비교를 위해 7개의 후보군 모두를 저전력 모바일 프로세서인 ARM에서 속도를 측정하였다.

참고문헌 (7)

J. Gubbi, R. Buyya, S. Marusic and M. Palaniswami, “Internet of Things (IoT): A Vision, Architectural Elements, and Future Directions,” Future Gen. Comput. Syst, Vol. 29, No. 7, pp. 1645-1660, 2013.

상세보기
K. H. Wang, C. M. Chen, W. Fang and T. Y. Wu, "A Secure Authentication Scheme for Internet of Things," Pervasive and Mobile Computing, Vol. 42, pp. 15-26, 2017.

상세보기
R. J. McEliece, "A Public-Key Cryptosystem Based On Algebraic Coding Theory," Technical Report, NASA, 1978.
C. A. Melchor, N. Aragon, M. Bardet, S. Bettaieb, L. Bidoux, O. Blazy, J. C. Deneuville, P. Gaborit, A. Hauteville, A. Otmani, O. Ruatta, J. P. Tillich, and G. Zemor, "ROLLO-Rank-Ouroboros, LAKE& LOCKER," Submission to the NIST Post Quantum Standardization Process, Round 2, 2019.
K. S. Roy and H. K. Kalita, “A Code based Light-weight Authentication Scheme for IoT in Fog Computing Environment,” Jour of Adv Research in Dynamical & Control Systems, Vol. 11, No. 6, pp. 97-107, 2019.
Github: source code [internet], https://github.com/starj1023/Code-Based-Protocol-ROLLO-
A. Armando, D. Basin, Y. Boichut,Y. Chevalier, L. Compagna, J. Cuellar, P. Hankes Drielsma, P. C. Heam, O. Kouchnarenko, J. Mantovani, S. Modersheim, D. V. Oheimb, M. Rusinowitch, J. Santiago, M. Turuani, L. Vigano, and L. Vigneron, "The AVISPA Tool for the Automated Validation of Internet Security Protocols and Applications," in Proceedings of the 17th International Conference on Computer Aided Verification (CAV'05), Vol. 3576, pp. 281-285, 2005.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증