Side-Channel Attacks on AES Based on Meet-in-the-Middle Technique

중간 일치 분석법에 기반한 AES에 대한 부채널 공격

Abstract

In this paper we introduce a new side-channel attack using block cipher cryptanalysis named meet-in-the middle attack. Using our new side-channel technique we introduce side-channel attacks on AES with reduced masked rounds. That is, we show that AES with reduced 10 masked rounds is vulnerable to side channel attacks based on an existing 4-round function. This shows that one has to mask the entire rounds of the 12-round 192-bit key AES to prevent our attacks. Our results are the first ones to analyze AES with reduced 10 masked rounds.

본 논문에서는 블록암호 분석기법인 중간 일치 분석법을 이용한 새로운 부채널 공격 방법을 소개한다. 이 공격 기법을 이용하여, 축소 마스킹을 사용하는 미연방 표준 블록암호 AES에 대한 부채널 공격을 소개한다. 즉, 10개 라운드에 축소 마스킹을 사용하는 AES는 기 제안된 4-라운드 중간 일치 함수에 기반한 부채널 공격에 취약함을 보인다. 이는 전체 12-라운드 192-비트 키 AES가 부채널 공격에 안전하기 위해서는 전체 12개의 라운드에 마스킹을 이용해야함을 나타낸다. 본 논문의 결과는 10개 라운드에 축소 마스킹을 사용하는 AES에 대한 첫 분석 결과이다.

Ⅰ. 서 론

부채널 공격〔1〕에 안전한 암호 알고리즘의 구현으로 각라운드별 마스킹을 덧붙이는 방법이 가장 널리 사용되고 있다. 하지만, 〔2〕는 매 라운드마다 마스킹을 덧붙이는 방법은 암호 알고리즘에 대한 구현 비용을 많이 증감시킬 수 있다는 문제점을 지적하고, 매 라운드가 아닌 처음과 마지막 몇라운드에만 마스킹을 사용하는 방법을 소개하였다. 그러한 예로서〔2, 3〕는 DES에 대한처음과 마지막 3개 또는 4개의 라운드에만 마스킹(총 6개 또는 8개의 라운드에 대한 마스킹 ) 을 덧붙이는 방법을 제시하였지만, 〔3, 4〕에 의하면, 6 개 또는 8개의 라운드에 대한 마스킹을 이용하는 DES는 부채널 공격에 여전히 취약하다. 또한, 〔5〕 는처음과 마지막 3개 또는 4개의 라운드에 마스킹(총 6 개 또는 8개의 라운드에 대한 마스킹)을 사용하는 AES 또한 부채널 공격에 취약함을 보이고, 부 채널 공격에 안전하기 위해서는 최소 10개의 라운드에 마스킹을 사용하여 AES를 구현할 것을 권장하였다. 본 논문에서는 블록암호 분석 기법인 중간 일치 분석법을 이용한 새로운 부채널 공격 방법을 소개한다. 이 공격 기법을 이용하여 최초로 10개의 라운드에 마스킹을 사용하는 AES에 대한 부채널 공격을 고안하는데 성공하였다.본 논문의 공격 결과는 다음과 같다: 처음과 마지막 각각 5개 라운드에 마스킹(총 10 개의 라운드에 대한 마스킹)을 덧붙인 AES는 232+m 선택 평문의 데이터 복잡도, 2203'" AES 128-bit 블록 메모리 복잡도와 2206 4-n + 244'4+n AES 암호화 과정의 시간 복잡도로 공격된다. (만약 이면, m = 0이고, 그렇지 않으면, m= [n —22] 임). 만약 n = 82이면, 2灵의 선택평문의 데이터 복잡도, 2121 AES 128-bit 블록 메모리 복잡도와 2126 4 AES 암호화 과정의 시간 복잡도를 요구한다. 이는 전체 12- 라운드 192-비트키 AES와 14라운드 256-비트 키 AES가 최소 12개의 라운드에 마스킹을 덧붙여 구현해야만 본 논문의 공격을 피할 수 있음을 나타낸다. 또한, 본 논문의 부채널 공격 기법이 8개 라운드에 마스킹을 사용하는 AES에 더 작은 공격 복잡도로 적용됨을 보인다.

본 논문의 구성은 다음과 같다. 2, 3장에서 AES 알고리즘 및 중간 일치 분석법을 이용한 새로운 부 채널 공격기법을 소개한다. 4장에서는 10개 라운드와 8개 라운드에 마스킹을 사용하는 AES 알고리즘에 대한 부채널 공격을 소개한다. 끝으로, 5장에서 결론을 맺는다.

Ⅱ. AES 알고리즘 소개

AES〔6〕는 가장 널리 사용되고 있는 표준암호 알고리즘 중 하나로 키길이에 따라 AES-128, AES-192, AES-256으로 나뉘어진다. AES-128, AES-192, AES-256은 각각 128, 192, 256 비트 키를 사용하며, 10, 12. 14 라운드로 구성된 128 비트 블록암호이다. AES의 암호화 과정상의 128 비트 상태 값은〔그림 1〕과 같이 16개 바이트Xij로 이루어진 4X4 행렬로 나타낼 수 있다. AES의한 라운드는 SubByte(SB), ShiftRow(SR), MixColumn (MC), AddRoundKey(ARK) 함수를 차례대로 사용하며, 첫 번째 라운드 전에 ARK 함수를 적용하고 (이 단계에서 사용되는 키는 화이트닝 키라부름 - K0), 마지막 라운드에서 MC 함수를 생략한다. 각 함수는 다음과 같이 동작한다.

〔그림 1) AES의 128비트 상태 값

. SB 함수는 각각의 바이트에 동일한 비선형 S- 박스를 적용한다.

. SR 함수는 행0, 1. 2, 3을 왼쪽으로 각각 0, 1, 2, 3바이트 순환 이동시킨다.

. MC 함수는 선형 변환으로 4바이트로 구성된 각 열을 변환시키는 4X4 행렬로 GF(28) 위에서 연산한다.

・ ARK 함수는 키와 상태값의 비트별합 연산을 수행한다.

본 논문에서 다루는 부채널 공격은 AES의 키 스케줄의 동작 과정과는 무관하게 적용되므로, AES에 대한 키스케줄의 묘사는 생략한다. 본 논문의 공격 대상은 AEST92와 AES-256이다.

Ⅲ. 중간일치 공격을 이용한 새로운 부채널 공격

본장에서는 블록암호 분석 기법 중 하나인 중간 일치 공격〔7〕이 헤밍웨이트 측정값을 이용하는 부 채널 공격으로 확장되는 방법을 최초로 소개한다. 먼저, 〔7〕에 소개된 중간 일치 공격에 대한 r 라운드1) (축소) 블록 암호에 대한 일반적인 공격 방법은 다음과 같다 (re 전체 라운드의 축소 라운드의 수일 수도 있음; 예를 들어 , 전체 12라운드 AES-192 중 r = 7 라운드 공격〔7〕, 즉, 7라운드 공격의 가정은 공격자가 임의의 평문에 대한 7라운드 후의 암호화된 값을 획득할 수 있음).

1.먼저 블록암호의 마지막(r-1) 라운드에 대한 처음 입력의 한 바이트 a와 마지막 출력의 한 바이트 b의 대응함수를 찾는다(의존하는 상수 비트 수에 따라 함수의 개수가 결정됨). 예를 들어, 바이트 a와b가 고정된 바이트 상수값 cl. C₂에 대해 b = S(a + ci)+S(a + c2)의 식으로 표현이 되면, a, b, ci, c2 모두 각각 8 비트이고, 각(ci. C₂)의 값에 a에서 b로 대응하는 하나의 함수가 결정되므로, 총 가능한 함수의 개수는 2如이다 (여기서 , S는 S 박스를 나타내며 , ci, C₂의 값은 키의 정보를 포함할 수 있으며, a 와는 독립적인 값이다).

2.그 후 모든 가능한 대응함 수 각각에 대한 출력값을 함수별로 저장한다. (함수별 입력값 0-255 에 대응하는 출력값을 순서대로 저장; 각 함수 . 는 한 바이트 위에서 정의된 함수이므로 0-255 까지의 입력값을 갖음).

3. 대응함수의 입력값 0-255가 순서대로 나오도록 첫번째 라운드의 해당되는 키를 추측하여 평문 집합을 구성한다. (평문집합을 구성하는 방법은 두번째 라운드의 입력 바이트 a는 0-255 의 값을 나머지 바이트들은 상수값을 선택하여, 두번째 라운드의 입력 바이트 a와 관계되는 첫 번째 라운드의 키를 추측하여 한 라운드 복호화하여 평문집합을 구성함).

4.구성한 평문집합에 대한 r 라운드 후의 암호문집 합을 획득한다. 대응함수의 출력값에 해당하는 바이트에 대한 획득한 암호문집 합의 바이트의 값들을 축출한다.

5.축출한 바이트값의 리스트가 단계 2에서 저장한 출력값 리스트와 일치하는 대응함수가 존재한다면, 추측한 키를 올바른 키로 출력한다’ 그렇지 않으면, 단계 3으로 돌아가 또 다른 키를 추측하여 단계 3, 4, 5를 수행한다.

위의 단계 1과2는 선계산 작업 (pre-computation process)으로 이루어지며, 단계 3, 4, 5는 암호문 집합 획득(online-computation process)과 암호문집 합에 대한해당 바이트의 분류, 비교 작업으로 이루어진다. 대응함수의 종입력값의 개수가 256개이고, 각 출력값이 일치할 확률은 2”이므로 단계 3에서 추측한 키가 틀린 키임에도 불구하고 단계 5에서 올바른 키로 출력할 확률은 (2「8)256xt의 값이 된다. (t는 단계 2에서 저장한 함수의 총 개수임).하지만, 올바른 키를 추측한 경우 위 알고리즘은 반드시 추측한 키를 출력한다. 이 방법은〔7〕에 소개된 바 있다.

이제. 위의 중간 일치 공격이 부채널 공격으로 확장될 수 있음을 보인다. 처음 r 라운드에 축소 마스킹을 사용하는 블록 암호에 대한 중간일치 공격을 이용한 부 채널 공격은 다음과 같다 (블록암호의 전체 라운드 수는 r 보다 큼).

1.위의 단계 1과 동일함(대응 함수는 축소 마스킹이 없는 오리지널 블록암호의 (「1) 라운드 함수임).

2.그 후 모든 가능한 대응함 수 각각에 대한 출력값의 비트별 혜밍웨이트를 함수별로 저장한다. 〔8, 9〕(저장시. 함수별 입력값。-255에 대응하는 출력값의 헤밍웨이트를 순서대로 저장함; 헤밍 웨이트는 비트별 헤밍웨이트를 의미함, 즉, 1 바이트에 대한 헤밍웨이트는 0-8까지의 값을 가질 수 있음).

3.위의 단계 3고 } 동일함(평문 집합 구성시, 마스킹이 없는 오리지널 블록암호에서 수행함).

4.구성한 평문집합에 대한 r 라운드 후의 해당 바이트의 암호화된 평문 집합의 헤밍웨이트를 측정한다 여기서、해당 바이트는 단계 L 2의 대응 함수에 대한 출력 바이트를 의미한다. (부 채널 분석으로 해당 바이트의 헤밍웨이트를 측정할 수 있음).

5.측정한 헤밍웨이트 리스트가 단계 2에서 저장한 헤밍웨이트 리스트와 일치하는 대응 함수가 존재한다면, 추측한 키를 올바른 키로 줄력한다. 렇지 않으면, 단계 3으로 돌아가 또 다른 키를 추측하여 단계 3, 4, 5를 수행한다.

대응함수의 총 입력값의 개수가 256개이고, 각 출력값의 헤밍웨이트가 0부터 8사이이므로, 잘못 추측된 키임에도 불구하고 위 알고리즘이 추측한 키를 출력할 확률은 (2-3)256xt의 값보다 작다(t는 단계 2 에서 저장한 함수의 총 개수임).하지만, 올바른 키를 추측한 경우 위 알고리즘은 반드시 추측한 키를 올바른 키로 출력한다. 이유는 블록암호의 처음 r 라운드에 마스킹을 사용하였기 때문이다. 이는 r 라운드 이후의 암호화된 평문의 값은 오리지널 블록 암호의 처음 r 라운드 이후의암호화된 평문의 값과 동일하다는 것을 나타낸다. 자세한 확률 계산과 공격 복잡도는 다음 장의 AES에 대한 부채널 공격에서 다룬다.

Ⅳ. 10라운드 마스킹을 사용하는 AES에 대한부채 널 공격

본장에서는 처음과 마지막 5라운드 각각에 마스킹을 사용하는 AES-192와 AES-256에 대한 부 채널 공격을 소개한다. (만약 AEST28에 처음과 마지막 5 라운드 각각에 마스킹을 사용한다면.이는 AES느28 전체 라운드에 마스킹을 사용하는 것을 의미함). 공격은 FSE 2008〔7〕에 소개된 4라운드 대응함수를 이용한다.

4.1 AES에 대한 4라운드 대응함수 및 선계산 작업

Property 17C₇1.첫번째 바이트Xn(0) 이 active 바이트이고 나머진 모두 passive 바이트인 256개의 입력값을 고려하자.2)이 입력값들에 대한 4 라운드 후의 출력값들을 얻는다(4 라운드 후의 첫 번째 바이트를 Xu(4)로 표기함). 그러면, Xu(0)에서 Xu(4)로 가는 대응함수는 25개의 고정된 바이트의 값에 의해 결정된다. (25개의 고정된 바이트 값은 Xu(0) 값과는 독립적임).

Property 1의 4라운드 함수는 앞장의 단계 1에서의 예제 함수와 비슷한 형태를 가진다 (자세한 함수의 형태는〔기를 참조). Property 1에 의하면, 25개의 고정된 바이트 각각의 값에 대해 Xu(0)에서 Xu(4)로의 대응함수를 선계산하여 테이블에 저장하면, 첫 번째 바이트Xu(0)이 active 바이트이고 나머진 모두 passive 바이트인 256개의 입력값을 갖는 입력 집합에 대한 4라운드 대응함수는 반드시 테이블에 저장된 함수 중 하나와 동일하다.

〔7〕에서는 앞장에서 묘사한 중간일치 공격과 같이 모든 가능한 대응함수에 대한 줄력값들을 함수별로 저장하였다. 하지만, 본 논문의 공격에서는 모든 가능한 대응함수의 출력값에 대한 헤밍웨이트를 함수별로 테이블에 저장한 후 (각 함수별로 active 입력 바이트의 값은 0부터 255순서대로 취하여 대응되는 출력 헤밍 웨이트 값을 저장함) , 잘 구성된 선택 평문 집합에 대한 저장 테이블 함 수 출력값에 대응하는 바이트의 헤밍 웨이트를 측정하여, 저장된 테이블의 함수별 헤밍 웨이트와 비교함으로써 공격이 이루어진다. 함수에 대한 헤밍웨이트 테이블을 형성하기 위해서는 25개의 고정된 바이트 각각의 값에 대해 2®개의 출력 값을 계산해야 함으로 28x(225)8 = 2208 4 라운드 암호화 선계산량이 필요 하며 (2206 2 * 4 AES 암호화 과정), 2-5x2208 = 2203 AES 128-bit 블록 메모리양이 필요하다 (하나의 출력값에 대응하는 헤밍 웨이트 값이 0부터 8이므로 각 출력값에 대한 4비트 메모리, 즉 AES 128-비트블록 메모리 가 요구됨).

4.2 처음과 마지막 5라운드 각각에 마스킹을 사용하는 AES에 대한 부채널 공격 알고리즘

위의 4라운드 함수의 성질을 처음과 마지막 5 라운드 각각에 마스킹을 사용하는 AES-192 또는 AES-256의 라운드2-5에 적용한다면 (라운드 수는 1부터 시작함), 처음 5라운드 마스킹을 사용할 때나 마스킹을 사용하지 않는 오리지널 AES는 동일한 평문에 대해 동일한 5라운드 출력값을 가지므로, 다음과 같은 과정으로 부채널 공격을 할 수 있다. (그림 2 참조; 아래의 공격은 마지막 5라운드의 마스킹에 영향을 받지 않음) .

표 1) AEST92에 대한 기존의 중간 일치 공격과 본 논문의 부채널 공격 비교

1. Xll, X22, X33, X44 바이트는 모든 값을 취하고 나머지 바이트는 고정된 상수값을 취하는 232개의 평문으로 이루어진 평문 집합을 구성한다.

2. X11, X22, X33, X44 바이트에 해당하는 32-비트 화이트닝 키 K°ll, K°22, K°33, K°44와 Xu에 해당하는 8-비트 첫 번째 라운드키 K、를 추측하여 (그림 2의 어두운 부분의 K°와 K1 ), 라운드 1의 출력값의 형태가 첫 번째 바이트 Xu®이 active 바이트이고 (그림 2의 어두운 부분 Xii(0)) 나머 진 모두 passive 바이트가 되는 28 개의 평문을 평문 집합으로부터 축출한다. (28개의 평문 축출 시, 마스킹이 없는 오리지널 AES 에서 수행).3)

3.축출한 2 ** 개의 평문에 대해 5라운드 후의 Xu(4)에 해당하는 바이트의 출력값에 대한 헤밍 웨이트를 측정한다. (그림 2의 어두운 부분 Xn(4)).

4.만약 측정한 헤밍웨이트 리스트와 일치하는 함수가 저장 테이블에 존재한다면, 추측한 키를 올바른 키로 출력하고 종료한다. 그렇지 않다면, 단계 2로 돌아가 또 다른 키를 추측하여 단계 2, 3, 4를 수행한다.

4.3 공격 복잡도 계산

이 공격은 232의 선택평 문과 약 240x28x2'3 * 5'6 = 242'4 AES 암호화 과정을 요구한다. (위 공격 알고리즘의 시간 복잡도는 단계 2에서 가장 큰 비중을 차지함, 단 2-5.6 ~ 4(、Bgtes) 乂 1(压.)

만약

Ro. = Rounds).

IGeBytes) 12 (Tib.)

올바른 키가 단계 2에서 추측이 되었다면, Property 1에 의해서 이 공격은 올바른 키를 출력한다. 그렇지않은 경우, 추측한 키를 출력할 확률은 (2_「3)256x (28)25x(28)5 = 2-528^4 ((2「3)羽6은 저장한 하나의 대응함수의 출력값에 대한 헤밍웨이트 리스트가 측정한 헤밍웨이트 리스트와 일치할 확률이고, (28)25 은 저장한 대응함수의 개수이고, (2D5은 단계 2에서 추측하는 키의 개수를 나타냄 99% 이상의 확률로 이 공격은 올바른 키를 출력하고 종료함을 의미한다. 따라서, 테이블 형성과정의 선 계산량을 포함하면, 이 공격은 2, 2의 선택평문의 데이터 복잡도, 2203 AES 128-bit 블록 메모리 복잡도와 2206'4 AES 암호화 과정의 선계산량과 2犯4 AES 암호화 과정의 시간 복잡 도를 요구한다. (선계산량은 4.1 절 참조).

4.4시간-메모리 보완 분석 기법에 기반한 AES에 대한부채 널 공격

위 공격은 AES-256에 대한 전수조사 공격 보다 빠르지만, 높은 선계산량으로 인하여 AEST92의 전수조사 공격보다 빠르지 못하다. 하지만, 시간-메모리보완 공격을 이용하여 좀 더 많은 데이터량으로 AES-192의 전수조사 공격보다 빠른 공격법을 고안할 수 있다. 즉, 테이블에 저장하는 함수의 개수를 줄이는 대신에 위 공격의 평문집합을 여러 개 테스트 함으로써 선계산량을 줄일 수 있다.〔7〕에 의하면, 저장하는 함수의 개수를 m 비율로 줄이고 각 추측한 키에 대해 테스트하는 2®개의 평문을 갖는 테스트 평 문집 합의 개수를 n2 비율로 늘렸을 때, n2 = 4m이면 98%의 성공 확률로 위 공격을 수행할 수 있다. (주의 : 위의 공격은 232개의 평문을 갖는 평문집합을 이용하지만, 각 테스트하는 평문집합은 28개의 평문을 갖는 테스트 평문 집합을 이용함). 또한, 단계 1에서 구성한 232개의 평문을 갖는 평문집합은 28개의 평문을 갖는 테스트 평문 집합을 2羽개 구성할 수 있다. 이는 하나의 테스트 평문 집합이 24■비트 (Xio(o), X2o(o), Xm'S)의 하나의 값에 의해 만들어지기 때문이다 ((X10, 0), X20(0), X30®)는 라운드2의 입력 바이트들임). 따라서, 저장하는 함수의 개수를 2n 비율로 줄이고, 2®개의 평문을 갖는 테스트 평문 집합의 개수를 尸+2 비율로 늘리면, 시간-메모리 보완 공격에 의해본 공격은 98%의 성공 확률로 232+m의 선택 평문의 데이터 복잡도, 2&-n AES 128-bit 블록 메모리 복잡도와 2206.4-n aes 암호화 과정의 선 계산량과 244.4 + n AES 암호화 과정의 시간 복잡도를 요구한다. (만약 이면, m = 0이고, 그렇 지 않으면, m= 命-22] 임). 만약 n = 82이면, 2熨의 선택 평문의 데이터 복잡도, 아21 AES 128-bit 블록 메모리 복잡도와 아26.4 AES 암호화 과정의 시간 복잡도를 요구한다.〔표 1〕은 AEST92에 대한 기존의 중간일치 공격과 본 논문의 부채널 공격을 비교한 표이다. 〔표 1〕에 의하면. 공격 복잡도와 공격 라운드 수 관점에서 본 논문의 부채널 공격이 기존의 중간일치 공격에 비해 월등하다.

4.5 처음과 마지막 4라운드 각각에 마스킹을 사용하는 AES에 대한 부채널 공격

처음과 마지막 4라운드 각각에 마스킹을 사용하는 AES도 비슷한 방법에 의해 공격이 된다.

Property 2〔10〕. 첫 번째 바이트Xn<0, °] active 바이트이고 나머진 모두 passive 바이트인 2^개의 입력값을 고려하자.이 입력값들에 대한 3라운드 후의 출력값을 얻는다(3 라운드 후의 첫 번째 바이트를 Xu(3)로 표기하자). 그러면, 에서 Xu(3)로 가는대응 함수는 9개의 고정된 바이트의 값에 의해 결정된다 (주의 : Property 2는〔10〕에서 처음 소개되었고, Property 1은〔기에서 처음 소개되었음).

Property 2를 라운드 2-4에 적용하고 위 공격 알고리즘과 같이 화이트닝키와 첫 번째 라운드키의 40 비트를 추측한 후 평문집합에 대한 4라운드 출력값에 대한 헤밍웨이트를 측정하여 키를 찾을 수 있다. 시간-메모리 보완 공격까지 적용을 하면, 8라운드 마스킹을 사용하는 AES에 대한 부채널 공격은 98%의 성공확률로 232+m의 선택평문의 데이터 복잡도 275-n AES 128-bit 블록 메모리 복잡도와 278-4-" AES 암호화 과정의 선계산량과 2払4扑 AES 암호화 과정의 시간 복잡도를 요구한다. (小은 4.4절의 m과 동일함) . 주의 : 4.2절 공격 알고리즘의 단계 3을 제외한 모든 단계는 (선 계산으로 만든 테이블 포함) 컴퓨터의 프로그래밍 작업으로 수행하며, 단계 3은 하드웨어적인 부채널 파형 분석에 의해 수행한다 (파형 분석을 통한 헤밍웨이트 측정).

Ⅴ. 결 론

본 논문에서는 블록암호의 분석 기법인 중간 일치 공격을 이용하여 새로운 부채널 공격을 제안하고, 제안된 부채널 공격법을 적용하여 최초로 10라운드 마스킹을 사용하는 AES-192와 AES-256이 부채널 공격에 취약함을 보였다. 본 논문의 결과는 AES가 부 채널 공격에 안전하기 위해서는 최소 12라운드 또는 전체 라운드에 마스킹을 사용해야 함을 나타낸다. 본 논문에서 소개한 중간 일치 분석법을 이용한 부 채널 공격법은 기존에 제안된 바 없으며, 블록암호 분석기법을 이용한 부채널 공격 범위〔4, 5, 8, 11〕를 확장시켰다. 또한, 이 방법을 이용하여 10라운드 마스킹을 덧붙인 AES에 대한 부채널 공격이 가능함을 최초로 보였다. 비록 본 논문의 결과는 축소 마스킹을 사용하는 AES에 대한 이론적인 분석 결과이지만, 본 논문에서 제안한 부채널 공격은 확산효과가 느린 다른 블록암호에(예 : CRYPTON, SQUARE) 축소 마스킹 기법을 사용할 때 유용하게 사용될 수 있으므로, 축소 마스킹 기법을 이용한 블록암호 구현 시 본 논문의 부채널 공격에 대한 안전성을 검토할 것을 권장한다.