KR101344402B1 - Ｒｓａ 서명 방법 및 장치 - Google Patents

Abstract

본 발명은 RSA 서명 방법 및 장치에 관한 것으로, 개시된 RSA 서명 방법은 비밀키 및 RSA 모듈러를 이용하여 초기 숨김값을 생성하는 단계와, 초기 숨김값 및 RSA 모듈러를 이용해 메시지를 블라인딩하여 숨김 메시지로 변경하는 단계와, 숨김 메시지와 초기 숨김값과 RSA 모듈러 및 비밀키를 이중 지수승 연산하여 결과값을 산출하는 단계와, 결과값을 이용하여 서명값을 복원하는 단계를 포함하며, 메시지를 블라인딩하여 차분 전력 분석 부채널 공격을 막을 수 있고, 이중 지수승 연산을 통해 단순 전력 분석에 의한 비밀키 추출을 방지하는 이점이 있다.

Description

ＲＳＡ 서명 방법 및 장치{METHOD AND APPARATUS FOR RSA SIGNATURE}

본 발명은 RSA 서명에 관한 것으로서, 더욱 상세하게는 단순 전력 분석(Simple Power Analysis, SPA) 및 차분 전력 분석(Differential Power Analysis, DPA)을 통한 공격에 안전하도록 구현한 RSA 서명 방법 및 장치에 관한 것이다.

본 발명은 지식경제부의 IT원천기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호 : KI002066, 과제명 : 부채널 공격 방지 원천기술 및 안전성 검증 기술개발].

정보화 사회의 도래와 함께 암호 알고리즘과 암호 프로토콜을 이용한 정보의 보호는 그 중요성을 더해가고 있다. 이러한 암호 알고리즘 중에서 RSA(Rivest Shamir Adleman) 알고리즘은 AES(Advanced Encryption Standard) 알고리즘의 단점인 키 분배 문제, 전자서명 문제 등을 해결하면서 인터넷이나 금융망 등과 같은 여러 가지의 응용분야에서 가장 널리 사용되고 있다. 이러한 RSA 알고리즘에는 전통적인 RSA 알고리즘과 RSA-CRT(Chinese Remainder Theorem) 알고리즘 등이 있으며, 본 발명에서는 이들을 “RSA 알고리즘”으로 통칭하기로 한다.

그런데, 이러한 RSA 알고리즘은 부채널 공격에 취약점을 가진다. 예컨대, 암호 알고리즘의 구동 시에 소비되는 소비전력이나 발생하는 전자기파를 수집하여 이를 통계적인 분석을 통해 암호 알고리즘의 비밀정보(주로, 키 정보)를 분석해 내는 전력/전자파 분석 부채널 공격에 취약하다.

특히, 종래 기술에 따른 RSA 알고리즘은 한 번의 지수승 연산 과정에서 누설되는 전력 또는 전자파 파형의 패턴을 통해 비밀키를 추측하는 단순 전력 분석이나, 반복적으로 연산을 수행하게 하고 이를 통해 수집된 전력 또는 전자파 파형을 통계 처리하여 비밀키를 추측하는 차분 전력 분석에 대한 취약점을 가지는 문제점이 있다.

본 발명은 이와 같은 종래 기술의 문제점을 해결하기 위해 제안한 것으로서, 단순 전력 분석 및 차분 전력 분석을 통한 공격에 안전하도록 구현한 RSA 서명 방법 및 장치를 제공한다.

본 발명의 제 1 관점으로서 RSA 서명 방법은, 비밀키 및 RSA 모듈러를 이용하여 초기 숨김값을 생성하는 단계와, 상기 초기 숨김값 및 상기 RSA 모듈러를 이용해 메시지를 블라인딩하여 숨김 메시지로 변경하는 단계와, 상기 숨김 메시지와 상기 초기 숨김값과 상기 RSA 모듈러 및 상기 비밀키를 이중 지수승 연산하여 결과값을 산출하는 단계와, 상기 결과값을 이용하여 서명값을 복원하는 단계를 포함할 수 있다.

여기서, 상기 RSA 서명 방법은, 상기 복원하는 단계의 이후에 상기 초기 숨김값을 신규 숨김값으로 갱신하는 단계를 더 포함할 수 있다.

상기 생성하는 단계는, 상기 비밀키와 논리합을 하여 "1" 벡터를 이루는 값을 이용하여 상기 초기 숨김값을 생성할 수 있다.

상기 산출하는 단계는, 제곱연산 2회 및 곱셈연산 1회를 반복할 수 있다.

상기 복원하는 단계는, 쌍으로 나온 상기 결과값을 서로 승산하여 상기 서명값을 복원할 수 있다.

본 발명의 제 2 관점으로서 RSA 서명 장치는, 비밀키 및 RSA 모듈러를 이용하여 초기 숨김값을 생성하는 숨김값 생성부와, 상기 초기 숨김값 및 상기 RSA 모듈러를 이용해 메시지를 블라인딩하여 숨김 메시지로 변경하는 메시지 숨김부와, 상기 숨김 메시지와 상기 초기 숨김값과 상기 RSA 모듈러 및 상기 비밀키를 이중 지수승 연산하여 결과값을 산출하는 이중 지수승 연산부와, 상기 결과값을 이용하여 서명값을 복원하는 서명값 복원부를 포함할 수 있다.

여기서, 상기 RSA 서명 장치는, 상기 서명값 복원부가 상기 서명값을 복원한 이후에 상기 초기 숨김값을 신규 숨김값으로 갱신하는 숨김값 갱신부를 더 포함할 수 있다.

상기 숨김값 생성부는, 상기 비밀키와 논리합을 하여 "1" 벡터를 이루는 값을 이용하여 상기 초기 숨김값을 생성할 수 있다.

상기 이중 지수승 연산부는, 제곱연산 2회 및 곱셈연산 1회를 반복할 수 있다.

상기 숨김값 갱신부는, 쌍으로 나온 상기 결과값을 서로 승산하여 상기 서명값을 복원할 수 있다.

본 발명의 실시예에 의하면, 메시지를 블라인딩하여 차분 전력 분석 부채널 공격을 막을 수 있으며, 이중 지수승 연산을 통해 단순 전력 분석에 의한 비밀키 추출을 방지하는 효과가 있다.

도 1은 본 발명의 실시예에 따른 RSA 서명 장치의 블록 구성도.
도 2는 본 발명의 실시예에 따른 RSA 서명 방법을 설명하기 위한 흐름도.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.

본 발명의 RSA 서명 방법 및 장치는 전통적인 RSA 알고리즘과 RSA-CRT 알고리즘 등에 모두 적용할 수 있으며, 앞서 밝힌 바와 같이 본 발명에서는 이들을 “RSA 알고리즘”으로 통칭한다.

도 1은 본 발명의 실시예에 따른 RSA 서명 장치의 블록 구성도이다.

이에 나타낸 바와 같이 RSA 서명 장치는, 숨김값 생성부(110), 메시지 숨김부(120), 이중 지수승 연산부(130), 서명값 복원부(140), 숨김값 갱신부(150) 등을 포함하여 구성될 수 있다.

숨김값 생성부(110)는 비밀키 및 RSA 모듈러를 이용하여 초기 숨김값을 생성한다.

메시지 숨김부(130)는 숨김값 생성부(110)가 생성한 초기 숨김값 및 RSA 모듈러를 이용해 메시지를 블라인딩하여 숨김 메시지로 변경한다.

이중 지수승 연산부(130)는 메시지 숨김부(130)로부터 제공받은 숨김 메시지와 초기 숨김값과 RSA 모듈러 및 비밀키를 이중 지수승 연산하여 결과값을 산출한다.

서명값 복원부(140)는 이중 지수승 연산부(130)의 결과값을 이용하여 서명값을 복원한다.

숨김값 갱신부(150)는 서명값 복원부(140)가 서명값을 복원한 이후에 초기 숨김값을 다음번 사용을 위한 신규 숨김값으로 갱신한다.

도 2는 본 발명의 실시예에 따른 RSA 서명 방법을 설명하기 위한 흐름도이다.

이에 나타낸 바와 같이 RSA 서명 방법은, 비밀키 및 RSA 모듈러를 이용하여 초기 숨김값을 생성하는 단계(S210)와, 초기 숨김값 및 RSA 모듈러를 이용해 메시지를 블라인딩하여 숨김 메시지로 변경하는 단계(S220)와, 숨김 메시지와 초기 숨김값과 RSA 모듈러 및 비밀키를 이중 지수승 연산하여 결과값을 산출하는 단계(S230)와, 결과값을 이용하여 서명값을 복원하는 단계(S240)와, 복원하는 단계(S240)의 이후에 초기 숨김값을 다음번 사용을 위한 신규 숨김값으로 갱신하는 단계(S250)를 포함할 수 있다.

이하, 도 1 및 도 2를 참조하여 본 발명의 실시예에 따른 RSA 서명 장치에 의한 RSA 서명 방법을 살펴보면 다음과 같다.

먼저, RSA 알고리즘의 암호화/복호화와 전자서명의 생성/검증은 아래의 과정을 통해 이루어진다.

암호화 통신을 원하는 제1사용자는 큰 두 소수(prime; p, q)를 생성하고 N=p*q를 계산한다. 또한 phi(N)=(p-1)*(q-1)과 서로 소(relatively prime)인 정수 e를 선택하고, ed=1 mod phi(N)을 만족시키는 d를 계산한 후, (N, e)를 공개키로 공개하고, (p, q, d)를 비밀키로 저장한다.

제1사용자에게 메시지(M)를 비밀리에 전송하고자 하는 제2사용자는 제1사용자의 공개키(N, e)를 이용하여 수학식1과 같은 모듈러 지수승(modular exponentiation) 연산을 수행한 후, 그 결과값(C)을 제1사용자에게 전송한다.

결과값(C)을 제2사용자로부터 전송 받은 제1사용자는 자신의 비밀키(d)를 이용하여 수학식 2와 같은 모듈러 지수승 연산을 통해 원래의 메시지(M)를 복구한다.

메시지(M)에 전자서명을 하기를 원하는 제1사용자는 자신의 비밀키(d)를 이용하여 수학식 3과 같은 연산을 통해 메시지(M)의 전자서명(S)을 생성하다.

메시지(M)와 전자서명(S)을 수신하고, 전자서명(S)이 제1사용자가 작성한 메시지(M)의 서명이라는 것을 검증하고 싶은 제2사용자는 제1사용자의 공개키(N, e)를 이용하여 수학식 4와 같은 연산을 수행한 후 나온 결과 값(M')이 메시지(M)와 같다는 것을 이용해서 전자서명(S)이 제1사용자가 작성한 메시지(M)의 서명이라는 것을 검증할 수 있다.

지금까지 설명한 바와 같은 RSA 알고리즘에 적용할 수 있는 본 발명의 RSA 서명 방법은 수학식 3을 이용한 전자서명(S)의 생성 과정에 해당하며, 더 세부적으로 표현하면 아래의 수학식 5와 같다.

먼저, 숨김값 생성부(110)는 비밀키 d 및 RSA 모듈러 N을 이용하여 초기 숨김값을 생성한다. 예컨대, 비밀키 d와 논리합을 하여 "1" 벡터를 이루는 값

를 이용하여 초기 숨김값

을 생성할 수 있다. 이를 수학식으로 표현하면 아래의 수학식 6과 같다(S210).

그리고, 메시지 숨김부(130)는 숨김값 생성부(110)가 생성한 초기 숨김값

및 RSA 모듈러 N을 이용해 메시지 M을 블라인딩하여 숨김 메시지 M'로 변경한다. 이는 차분 전력 분석 부채널 공격을 방지하기 위한 것이다(S220).

다음으로, 이중 지수승 연산부(130)는 메시지 숨김부(130)로부터 제공받은 숨김 메시지 M'과 초기 숨김값

와 RSA 모듈러 N 및 비밀키 d를 이중 지수승 연산하여 결과값을 산출한다. 이는 수학식 5에서 DualExpo(-,-:-,-) 함수를 계산하는 것에 해당한다. 예컨대, 레프트 투 라이트(left-to-right)의 경우를 수학식으로 표현하면 아래의 수학식 7과 같다(S230).

이처럼 이중 지수승 절차에 따라 항상 제곱연산 2회와 곱셈연산 1회를 반복함으로써 단순 전력 분석을 통해서 비밀키 d를 추측하기 어렵다.

이어서, 서명값 복원부(140)는 이중 지수승 연산부(130)의 결과값

쌍을 서로 곱하여 서명값을 복원한다. 이를 수학식으로 표현하면 아래의 수학식 8과 같다(S240).

끝으로, 숨김값 갱신부(150)는 서명값 복원부(140)가 서명값을 복원한 이후에 초기 숨김값

을 다음번 사용을 위한 신규 숨김값 으로 갱신한다(S250).

110 : 숨김값 생성부 120 : 메시지 숨김부
130 : 이중 지수승 연산부 140 : 서명값 복원부
150 : 숨김값 갱신부

Claims (10)

1. 비밀키 및 RSA 모듈러를 이용하여 초기 숨김값을 생성하는 단계와,
   상기 초기 숨김값 및 상기 RSA 모듈러를 이용해 메시지를 블라인딩하여 숨김 메시지로 변경하는 단계와,
   상기 숨김 메시지와 상기 초기 숨김값과 상기 RSA 모듈러 및 상기 비밀키를 이중 지수승 연산하여 결과값을 산출하는 단계와,
   상기 결과값을 이용하여 서명값을 복원하는 단계를 포함하며,
   상기 생성하는 단계는, 상기 비밀키와 논리합을 하여 "1" 벡터를 이루는 값을 이용하여 상기 초기 숨김값을 생성하고,
   상기 산출하는 단계는, 제곱연산 2회 및 곱셈연산 1회를 반복하며,
   상기 복원하는 단계는, 쌍으로 나온 상기 결과값을 서로 승산하여 상기 서명값을 복원하는
   RSA 서명 방법.
2. 제 1 항에 있어서,
   상기 RSA 서명 방법은, 상기 복원하는 단계의 이후에 상기 초기 숨김값을 신규 숨김값으로 갱신하는 단계를 더 포함하는
   RSA 서명 방법.
3. 삭제
4. 삭제
5. 삭제
6. 비밀키 및 RSA 모듈러를 이용하여 초기 숨김값을 생성하는 숨김값 생성부와,
   상기 초기 숨김값 및 상기 RSA 모듈러를 이용해 메시지를 블라인딩하여 숨김 메시지로 변경하는 메시지 숨김부와,
   상기 숨김 메시지와 상기 초기 숨김값과 상기 RSA 모듈러 및 상기 비밀키를 이중 지수승 연산하여 결과값을 산출하는 이중 지수승 연산부와,
   상기 결과값을 이용하여 서명값을 복원하는 서명값 복원부를 포함하며,
   상기 숨김값 생성부는, 상기 비밀키와 논리합을 하여 "1" 벡터를 이루는 값을 이용하여 상기 초기 숨김값을 생성하고,
   상기 이중 지수승 연산부는, 제곱연산 2회 및 곱셈연산 1회를 반복하며,
   상기 숨김값 갱신부는, 쌍으로 나온 상기 결과값을 서로 승산하여 상기 서명값을 복원하는
   RSA 서명 장치.
7. 제 6 항에 있어서,
   상기 RSA 서명 장치는, 상기 서명값 복원부가 상기 서명값을 복원한 이후에 상기 초기 숨김값을 신규 숨김값으로 갱신하는 숨김값 갱신부를 더 포함하는
   RSA 서명 장치.
8. 삭제
9. 삭제
10. 삭제

Images