표준경량블록암호알고리즘들의분석과 사물인터넷에적용에관한조사 A Survey of Standardized Lightweight Block Ciphers and their Applications in IoT 박채원중앙대학교컴퓨터공학부 Chae-won Park Department of Computer Science and Engineering, Chung-ang University
목차 Ⅰ. 서론 4 Ⅱ. 국제표준경량블록암호알고리즘과국내알고리즘 5 1. 국제표준알고리즘 5 1.1. PRESENT 5 1.2. CLEFIA 6 1.3. SIMON/SPECK 6 2. 국내알고리즘 7 2.1. LEA 7 2.2. HIGHT 8 Ⅲ. IoT에적용 9 Ⅳ. 결론 11 참고문헌 12 2
요 약 IoT 기술이갈수록발전하고이미시장에는다양한사양의사물인터넷기술이적용된상품이출시되고있다. IoT가빠른속도로시장과일상생활에변화를가져오며이들기기의보안성또한이슈가되고있다. 본논문은국내, 국외의다양한경량암호알고리즘들의특징을살펴본다. 또한, 현재진행중인경량블록암호화관련표준화현황에대해알아본다. 나아가 IoT 환경에적합한알고리즘의특징을살펴보고어떻게적용시키는지에관한내용을다룬다. 3
Ⅰ. 서론 Internet of Things라는용어가처음사용된지 15년도더흐른현재, IoT는이미주변에서다양한제품이나서비스의형태로찾아볼수있다. Amazon Echo, Fitbit One, Barcelona, AT&T의 Connected Car는 IoT의대표적인 4 분야라고할수있는스마트홈, 웨어러블디바이스, 스마트시티, 스마트카각각에해당되는예시들이다. 이외에도다양한영역에걸쳐 IoT 기기의숫자는매년증가하고있다. < 그림 1> 은 2015년부터 2025년까지예상되는전세계의 IoT 기기의숫자증가를나타낸것이다 [1]. < 그림 1> 2015 ~ 2025 년의 IoT 기기수의예상증가를나타낸그래프 하지만가정과사회를포함한전반적인생활영역에 IoT 기기가많아지는만큼보안또한중요한사안으로떠오르고있다. HP의 2015년보고서에의하면 10개의 IoT 기계중 7 개가인터넷혹은 LAN과통신할때암호화를하지않는것으로드러났다고한다 [2]. 이러한스마트기기의보안을따로중점적으로보는이유는 IoT 특성에따른하드웨어의제한된면적및전력소비량, 메모리크기등의제약을받기때문이다 [3]. 이런제한된환경때문에필요한게바로경량암호기술이다. 기존에쓰이던암호화방법에는 AES, DES 등이있다. 스마트기기역시높은보안을보장하는 AES를써도되지만경량알고리즘을쓸때에비해제한된환경으로인해속도가떨어지거나기기에과부하가걸리는등낮은성능을보인다. 따라서다양한경량암호알고리즘의종류와특징을살펴보고 IoT 환경에보다적합한알고리즘을선택할수있어야한다. 4
Ⅱ. 국제표준경량블록암호알고리즘과국내알고리즘 경량블록암호알고리즘을크게형태에따라분류한다면 SPN 형태와 Feistel 형태로나눌수있다. SPN 형태는 S-BOX와 P-BOX를사용해서 Confusion과 Diffusion을만족시키는것이다. SPN의특징은병렬연산이가능하다는것과암호화와복호화모듈이동일하지않다는점이다. SPN 형태의대표적인예는현재까지가장널리쓰이는 AES이다. Feistel 형태는 ARX-Based라고도하며 modular Addition, Rotation, and XOR 연산을쓴다. Feistel 형태의대표적인예는 DES이다 [4]. DES는보안에취약해서더이상많이쓰이지않는다. 이렇듯암호알고리즘들의특징을살펴볼때는구조 (SPN, Feistel 등 ), 블록 / 키사이즈, 라운드수등을보게된다. 특징과더불어살펴볼것이현재까지제기된공격방법들이다. 암호학에서공격은알고리즘자체의약점을찾는방법, 무차별대입공격 (Brute Force Attack), 부채널공격 (Side Channel Attack) 등이있다 [5]. 여기서무차별대입공격이란암호를해독하기위해가능한모든값들을대입해보는것을뜻한다 [6]. 부채널공격이란소요시간정보, 소비전력, 방출전자기파, 소리등의물리적인구현정보를이용한공격방법이다 [5]. 본장에서는다양한경량블록암호알고리즘중에서도현재국제표준으로등재된알고리즘과국내알고리즘들의특징과제기된공격기법들을살펴볼것이다. 1. 국제표준알고리즘현재경량암호화에관한국제표준은 ISO/IEC JTC1/SC 27 IT Security Techniques 에서맡고있다. 그중 ISO/IEC 29192에서는블록암호에관한표준을정의한다. ISO/IEC 29192에이미등록된경량블록암호알고리즘은두가지로 PRESENT와 CLEFIA이다 [5]. 추후미국에서 SIMON과 SPECK을제시했고등재하기로결정은난상황이며아직 ISO/IEC 29192-2 의 2012년도버전에는등록이안된상황이다. 1.1 PRESENT PRESENT는 AES를기반으로하는 SPN 형태의경량블록암호화알고리즘이다. 블록사이즈는 64 bit이며키사이즈는 80/128 bit 의두종류가있고 31 라운드로구성되고 sbox, XOR, bitshift 연산을수행한다 [8]. AES와비교해암호화등급은낮지만하드웨어설계에서는훨씬좋은성능을가진다. AES에비해 2.5배작은하드웨어설계가가능하고면적과소비전력의효율을높여 RFID, smart card, USN과같은시스템에적합하다 [9]. 5
PRESENT는차분오류공격이제기된바가있다. 차분오류공격은부채널공격기법에해당한다. 이공격방법은암호의안정성분석에도자주사용된다. 공격방식은다음과같다. 공격자는총 31라운드중라운드 28의입력레지스터에 2-byte 오류를입력한다. 이를통해 80-bit 키의경우 2개의오류를이용해평균 1.7개의후보비밀키를얻을수있고 128-bit 키의경우 3개의오류를이용해평균 2 22.3 개의후보비밀키를얻을수있다. 이와같은과정을거쳐옳은비밀키를복구할수있다 [10] 1.2 CLEFIA CLEFIA는 SONY에의해만들어진 Feistel 형태의경량블록암호화알고리즘이다. 블록사이즈는 128-bit이며키사이즈는 128/192/256 bit의세가지이다. 키의크기에따라 18, 22, 26 라운드로구성된다 [4]. CLEFIA는 DRM(Digital Rights Management) System 에적용시키기위해만들어졌다. DRM System이란출판자혹은저작권소유자가배포한디지털자료나하드웨어가그들이의도한용도로만제한적으로사용될수있게끔하는모든기술을뜻한다 [11]. CLEFIA도다중불능차분공격이제기되었다. SONY사에서공개한자체평가에서는선형공격, 차분공격, 불능차분공격, 연관키공격등이있다 [12]. 차분오류공격을이용하면비밀키전체를복구하는데 128-bit 키의경우평균적으로 18개의오류암호문으로복구가가능하고 192-bit나 256-bit 키의경우평균 54개의오류암호문으로복구가가능하다고한다 [13]. 1.3 SIMON/SPECK SIMON은 Feistel 구조의경량블록암호화알고리즘으로미국 NSA에서제안한알고리즘이다. 32/48/64/96/128 bit의블록사이즈가있고블록사이즈각각에대해 64/72,96/96,128/96,144/128,192,256의키사이즈가있다. 라운드는블록사이즈각각에대해 32/36/42,44/52,54/68,69,72가있다 [4]. SIMON은 XOR, AND, rotation 연산을사용한다 [8]. 블록크기가다양해서길이가긴데이터암호화의경우상황에맞춰효율적으로선택할수있다. SPECK 역시 NSA에서제안한경량블록암호화알고리즘이고 ARX 형태의이다. 32/48/64/96/128 bit의블록사이즈가있고블록사이즈각각에대해 64/72,96/96,128/96,144/128,192,256의키사이즈가있다. SPECK은 XOR, addition, rotation 연산을사용한다 [8]. 라운드는블록사이즈각각에대해 22/22,23/26,27/28,29/32,33,34가있다 [4]. NSA의보고서에의하면 SIMON은하드웨어플랫폼에최적화되었고 SPECK은소프트웨어플랫폼에최적화되었지만둘다두영역에서좋은성능을낸다. 이점에대해서는보고서에서 TWINE, PRESENT, PICCOLO, KATAN, KLEIN 등다른알고리즘과의비교와다양한하드웨어상에서의성능비교분석을해서어느정도검증이가능하다. 하지만 NSA의보 6
고서에서는보안능력분석에대한내용이없다. 따라서다른자료를찾아본결과 SIMON 은 21/22/28/35/46 라운드에대해다중불능차분공격이제기되었고 SPECK 14/15/17/19 라운드에대해다중불능차분공격이제기되었다 [4]. 미국은유연성 ( 다양한블록 / 키길이지원 ) 과성능 ( 여러구현환경지원 ) 을주요강점으로 SIMON과 SPECK이 PRESENT와 CLEFIA보다우수하다고주장한다. 하지만제 52회 ISO/IEC 국제회의에서독일과벨기에대표들은 48-bit 블록의보안취약성, ARX 구조에대한발전가능성, SIMON과 SPECK의발표기관인 NSA에대한불신을이유로표준화에반대했다 [3]. 하지만결국블록 / 키길이중 32/64와 48/72는제외하고 SIMON과 SPECK을 ISO/IEC 29192-2에등재하기로결정이내려진상황이다 [14]. 2. 국내알고리즘국내경량블록암호알고리즘은 LEA와 HIGHT를살펴볼것이다. 이외에도국내블록암호알고리즘에는 SEED와 ARIA가있다. SEED의경우는 2005년 ISO/IEC 국제표준으로제정된알고리즘이다. 하지만이알고리즘들을경량블록암호알고리즘으로볼수있는지에관해서는자료에따라의견이상이하다. 어떤논문은 ARIA를경량블록암호알고리즘으로분류하기도한다 [15]. 2.1 LEA LEA는 2013년국가보안기술연구소에서개발한 GFN 구조의경량블록암호알고리즘으로 32-bit 플랫폼에최적화되어있다. 블록사이즈는 128-bit이며 128/192/256 bit의키가있다 [4]. 현재국제표준으로등재된 PRESENT나 CLEFIA는소프트웨어보다는하드웨어구현시효율이높다. 하지만앞으로사물인터넷이발전함에따라소프트웨어구현이더필요해질수도있다. 그런점을고려했을때소프트웨어구현및활용을목적으로설계된 LEA는적절한선택이라고할수있다 [3]. LEA는 [3] 에의하면현재까지알려진모든블록알고리즘에대한공격에안전하다. LEA의안전성에대해부연설명을하자면룩셈부르크대학의암호연구그룹에서제작한 FELICS(Fair Evaluation of Lightweight Cryptographic System) 의 2가지측정시나리오에서 LEA는 128-bit 키블록암호들중각각 3위, 4위를차지함으로써 128-bit 블록암호중에서는 LEA가가장뛰어난성능을보였다. 이결과는현재국제표준인 PRESENT보다우수한성능이다 [3]. 따라서 [3] 에서는충분한자료를준비해서제시하면 LEA도국제표준으로등재될가능성이있다고보고있다. 그러나 [16] 에서는최초로 LEA에대한차분오류공격을제안했다. 여기에서는 300개의선택적오류주입암호문을통해 2 35 의시간복잡도로 128-bit 키전체를복구하는과정을보인다. 7
2.2 HIGHT HIGHT역시국내에서개발한 GFS 구조의경량블록암호알고리즘이다. 블록사이즈는 64-bit이며 128-bit의키가있다. HIGHT의모든연산은 8-bit 프로세서에최적화되어있다. 또한, 8-bit 소프트웨어구현시에는 AES-128보다 HIGHT가더뛰어난성능을보인다 [17]. HIGHT는차분오류주입공격 [18] 과부채널공격중가장강력한차분전력분석이제기되었다 [19]. 8
Ⅲ. IoT 에적용 IoT는다양한기술과프로토콜이유기적으로결합되었다. 다양한분야의관계자들이각기다른시각에서 IoT를바라보고정의를내리고있어서정해진하나의정의가있는것은아니다 [20]. 그래서필요한것이국제표준이다. IT에대한전반적인국제표준을담당하는 ISO/IEC JTC1의 2014 Preliminary Report에서내리는 IoT의정의는다음과같다 [21]. An infrastructure of interconnected objects, people, systems and information resources together with intelligent services to allow them to process information of the physical and the virtual world and react. 정의에서도알수있듯이기본적으로 IoT는유선및무선연결을전제로한다. 이런환경에서보안위협은언제나존재한다. 이장에서는다양한 IoT의보안위협의종류를살펴보고경량블록암호화가어떻게쓰이는지볼것이다. 나아가안전성을확보하기위한방법을알아볼것이다. IoT는위의정의를통해서도알수있듯이다양한기술들이유기적으로연결되었다. 이러한유기적인연결관계는같은보안문제여도더복잡하게만든다. IoT에서의보안위협은구성요소에따라애플리케이션보안위협, 네트워크보안위협, 단말보안위협으로나눌수있다. 보안취약성및공격유형 IoT 상에서의대상분야 보안취약성및공격유형 IoT 상에서의대상분야 Worm과 virus IoT 통신 / 네트워크, 디바이 비인가된서비스접근 IoT 응용서비스 스, 게이트웨이, 플랫폼, 응용서비스 DoS 및분산 DoS IoT 통신 / 네트워크 프로토콜보안취약성 IoT 통신 / 네트워크 비인가된접근 IoT 디바이스, 게이트웨이, 비인가된사용자의접근 IoT 응용서비스 플랫폼, 응용서비스 패치되지않은시스템 OS IoT 디바이스, 게이트웨이, 복제공격 IoT 디바이스, 게이트웨이 /OS 보안취약성 플랫폼, 응용서비스 Antivirus 소프트웨어의부적절한사용 IoT 플랫폼, 응용서비스 비인가된 I/O 접근 IoT 디바이스, 게이트웨이, 플랫폼, 응용서비스 방화벽의부적절한사용 IoT 통신 / 네트워크 부적절한시스템 IoT 플랫폼, 응용서비스 로그기록 설정오류및실수 IoT 디바이스, 게이트웨이, 안전하지않은패스워드 IoT 응용서비스 플랫폼, 응용서비스 기밀성 / 무결성공격 IoT 통신 / 네트워크, 디바 보호되지않은펌웨어 IoT 디바이스, 게이트웨이 이스, 게이트웨이, 플랫폼, 응용서비스 프라이버시침해 IoT 플랫폼, 응용서비스 < 표 1> IoT 보안위협의종류 9
애플리케이션과관련된보안위협은정보유출, 데이터위변조, 서비스거부등이있다. 네트워크와관련된보안위협은무선신호교란, 정보유출, 데이터위변조, 서비스거부등이있다. 단말과관련된보안위협은분실 / 도난, 물리적파괴등이있다 [22]. < 표1> 은이외에도무수히많은 IoT의보안위협종류를나타낸표이다 [20]. 세가지보안위협분류중마지막인단말보안위협에대해더자세히보고자한다. 단말은 IoT의특징을가장잘보여주는부분이기도하고그렇기때문에가장취약한부분이된다. 사용자들에게편리성을주기위해저전력, 저용량, 경량은대부분 IoT 단말의특징이다. 하지만보안은전원을많이소모한다. 그렇기때문에성능유지와보안을저울질하게되는것이다. 바로이러한이유로경량블록알고리즘이필요한것이다. 단말의성능과특징을파악해최적의결과를줄수있는경량블록알고리즘을선택해야할것이다. 단말에적절한경량블록암호알고리즘을선택한후고려해야할사항은어떻게해야효과적으로구현할수있는지이다. 구현관점은소프트웨어관점과하드웨어관점으로나눌수있다. 우선, 소프트웨어관점에서는코드를최소화하는것과시간을최소화하는두목적이있다. 코드를최소화하는방법은코드를 for문으로묶음으로써 for문이도는만큼코드를줄일수있는방법이있다. 시간을최소화하기위해서는사용하는프로세서의 word 크기가사용하는암호화알고리즘의 word 크기와동일해야한다. 하드웨어관점에서는면적을최소화하는것과시간성능을향상시키는두가지목적이있다. 면적을최소화하기위해서는키사이즈와블록사이즈를작게정하고복잡하지않은연산을사용하면된다. 시간성능은면적과반비례관계이므로면적을줄이기위해했던작업의반대를해줘야한다 [23]. 10
Ⅳ. 결론 초연결사회로나아갈수록 IoT는우리주변을점점더둘러쌀것이다. 기기의보급률이높아질수록보안기술의수준도따라줘야만한다. IoT의저전력, 저용량, 경량의특징때문에기존의블록암호알고리즘을쓰는데는한계가있다. 따라서경량블록암호알고리즘에대한연구가필요하다. 다양한알고리즘의특징과공격법을살펴본결과현재는 LEA 가가장성능이좋은것으로평가된다. 나아가 IoT의보안위협을살펴보고경량블록암호알고리즘의역할과구현시고려사항을알아봤다. 앞으로도경량블록암호알고리즘에대한다양한연구는계속진행되고기존의알고리즘들에대한공격법도계속연구될것으로예상한다. 11
참고문헌 [1] Statista, Internet of Things (IoT) connected devices installed base worldwide from 2015 to 2025 (in billions), https://www.statista.com/statistics/471264/iotnumber-of-connected-devices-worldwide/, (2017.05.13) [2] Miranda Mowbray, HP Internet of Things Research Study, HP Labs, 2017.15.13, http://conference2015.chistera.eu/sites/conference2015.chistera.eu/files/chist- ERA%20Conference%202015%20-%20Mowbray.pdf [3] 한국정보통신기술협회, 경량암호기술표준화추진현황, 2016.06.20, http://www.tta.or.kr/data/weekly_view.jsp?news_id=4939, (2017.05.13) [4] CryptoLUX, Lightweight Block Ciphers, https://www.cryptolux.org/index.php/lightweight_block_ciphers#summary, (2017.05.13) [5] 위키백과, 부채널공격, https://ko.wikipedia.org/wiki/%eb%b6%80%ec%b1%84%eb%84%90_%ea%b3%b5%ea%b2%a9, (2017.05.14) [6] 위키백과, 무차별대입공격, https://ko.wikipedia.org/wiki/%eb%ac%b4%ec%b0%a8%eb%b3%84_%eb%8c%80%ec%9e%85_%ea%b3%b 5%EA%B2%A9, (2017.05.14) [7] ISO, ISO/IEC 29192-2:2012(en) Information technology Security techniques Lightweight cryptography Part 2: Block ciphers, https://www.iso.org/obp/ui/#iso:std:iso-iec:29192:-2:ed-1:v1:en, (2017.05.14) [8] 문시훈, 김민우, 권태경 (2016). IoT 통신환경을위한경량암호기술동향. 한국통신학회지 ( 정보와통신 ), 33(3), 80-86 [9] 서화정, 김호원 (2015). 사물인터넷을위한경량암호알고리즘구현. 정보보호학회지. 25(2), 12-19 [10] 박세현, 정기태, 이유섭, 성재철, 홍석희 (2012). PRESENT-80/128에대한향상된차분오류공격. 정보보호학회논문지, 22(1), 33-41 [11] 위키백과, 디지털권리관리, https://ko.wikipedia.org/wiki/%eb%94%94%ec%a7%80%ed%84%b8_%ea%b6%8c%eb%a6%ac_%ea%b4%8 0%EB%A6%AC, (2017.05.14) [12] Sony Corporation, The 128-bit Blockcipher CLEFIA: Security and Performance Evaluation, Revision 1.0, June 2007 12
[13] H. Chen, W. Wu, and D. Feng, Differential Fault Analysis on CLEFIA, International Conference on Information and Communications Security, LNCS 4861, pp. 284-295, 2007 [14] 정영훈, 송정환 (2015). ISO/IEC JTC 1/SC 27 WG2 경량암호기술국제표준화동향. 정보보호학회지, 25(4), 11-17 [15] 문시훈, 김민우, 권태경 (2016). IoT 통신환경을위한경량암호기술동향. 한국통신학회지 ( 정보와통신 ), 33(3), 80-86. [16] 박명서, 김종성 (2014). 블록암호 LEA에대한차분오류공격. 정보보호학회논문지, 24(6), 1117-1127 [17] Swarnendu Jana, Jaydeb Bhaumik, Manas Kumar Maiti. Survey on Lightweight Block Cipher. International Journal of Soft Computing and Engineering, 3(5), 183-187 [18] 이유섭, 김종성, 홍석희 (2012). 블록암호 HIGHT에대한차분오류공격. 정보보호학회논문지, 22(3), 485-494 [19] 김태종, 원유승, 박진학, 안현진, 한동국 (2015). HIGHT에대한부채널분석및대응방법. 정보보호학회논문지, 25(2), 457-465 [20] 서화정, 이동건, 최종석, 김호원 (2013). IoT 보안기술동향. 전자파기술, 24(4), 27-35 [21] ISO, ISO/IEC JTC1 Information Technology Internet of Things(IoT) Preliminary Report 2014 https://www.iso.org/files/live/sites/isoorg/files/developing_standards/docs/en/intern et_of_things_report-jtc1.pdf, (2017.05.14) [22] 김동희, 윤석웅, 이용필 (2013). IoT 서비스를위한보안. 한국통신학회지 ( 정보와통신 ), 30(8), 53-59 [23] 서화정, 김호원 (2015). 사물인터넷을위한경량암호알고리즘구현. 정보보호학회지, 25(2), 12-19 13