Side channel attack exploits the fact that the implementations of cryptographic algorithms leak information about the secret key. Power analysis attack makes use of power consumption of the target device for leakage information with respect to secret data. Power analysis attack falls into two types: simple power analysis (SPA) and dierential power analysis (DPA). In SPA, an attacker observes patterns of power consumption to find secret data or to locate a target operation. DPA attack hypothesizes the intermediate values of all key candidates and recovers the secret key with statistical process to the power consumption. One of the strong points of DPA is that it does not require any detailed information about the implementation to reveal the secret data. Masking is a widely used countermeasure to thwart the powerful DPA attacks. It makes the attacker fail to reveal secret data via randomizing intermediate values which are related to secret data in crypto implementation. A first-order masking which uses only one mask is vulnerable to a second-order DPA which exploits two intermediate values to cancel out the mask using arithmetic operations. To circumvent this second order DPA, a second-order masking is necessary, but it is sometimes hundreds of times slower than a straightforward implementation. This is the main reason this cannot be adopted in practical applications. In this thesis, we propose a new countermeasure scheme to resist power analysis attack. Our scheme randomizes all the intermediate values of a block cipher by encoding primitives of a cryptographic algorithm to lookup tables and makes the transformed implementation resistant to power analysis attack. We apply our scheme to well-known block cipher, HIGHT and AES. Our protected implementation of HIGHT takes only 1.79 times compared to the straightforward implementation, and it needs 25 Kbytes memory space to store lookup tables.

부채널 공격은 암호 알고리즘이 디바이스에서 실행될 때 누출되는 실행시간, 전력소비, 전자파 등의 부가적인 정보를 활용해 비밀키를 찾아내는 공격이다. 전력 분석 공격은 부채널 공격의 한 종류로서 비밀키와 연관된 데이터가 처리 될 때 발생하는 전력소비 정보를 활용한다. 전력 분석 공격은 단순 전력 분석과 차분 전력 분석으로 나뉜다. 단순 전력 분석은 공격자가 전력 소비 파형의 패턴을 눈으로 관찰해 키를 찾아내거나 암호 알고리즘의 실행 위치를 파악하는 것이다. 차분 전력 분석은 가능한 모든 키에 대한 암호 알고리즘의 중간값을 예측하고, 수집파형을 통계적으로 분석해 비밀키를 찾아내는 공격이다. 이 공격 방법은 디바이스 내의 암호 구현 방법에 대한 자세한 정보가 없어도 비밀키를 알아낼 수 있다는 강점이 있다. 부채널 공격을 막을 수 있는 소프트웨어적인 대응 방법 중 널리 사용되는 방법은 마스킹 기법이다. 마스킹 기법은 공격자가 키와 연관된 알고리즘의 중간값을 랜덤하게 변경함으로써 공격을 실패하도록 하는 것이다. 한 개의 마스크를 사용하는 일차 마스킹 기법은 두 개의 중간값을 예측해서 마스크를 산술적으로 제거해 공격하는 이차 차분 전력 분석에 취약하다. 이차 차분 전력 분석 공격을 막기 위해서는 두 개의 마스크를 사용하는 이차 마스킹 기법이 필요하다. 그러나, 이차 마스킹 기법의 구현은 대응방법이 적용되지 않은 알고리즘의 구현보다 수 백배 이상 성능이 저하되어 현실적으로 적용이 불가능하다. 본 논문은 대칭키 블록 암호 알고리즘에 적용 가능한 인코딩 테이블에 기반한 부채널 방어 기법을 제안하였다. 이 대응 방법은 블록 암호 알고리즘의 내부 함수를 룩업 테이블로 변환하고 랜덤하게 생성된 인코더로 룩업 테이블을 부호화한다. 부호화된 룩업 테이블로 구성된 알고리즘의 구현의 중간값은 공격자가 예측 할 수 없는 랜덤한 값이 되어 통계적 처리를 할 수 없게 된다. 우리는 HIGHT, AES 암호 알고리즘을 인코드된 테이블로 변환하고 이 구현에 부채널 공격을 수행하였다. HIGHT의 구현의 경우 대응 방법이 없는 기존 구현에 비해 1.79배 정도 시간이 소요되었으며, 룩업 테이블을 위한 메모리는 25KB 사용되었다.