오류주입 공격에 강건하며 병렬연산이 가능한 RSA-CRT

Abstract

RSA-CRT는 RSA의 속도를 개선하기 위한 가장 대표적인 기법이다. RSA-CRT는 RSA에 사용되는 두 비밀소수의 법에서 각각 연산을 수행하기 때문에 RSA에 비해 약 4배가량 빠른 속도로 연산할 수 있다. 하지만 RSA에서 법 생성 후 바로 파기할 수 있었던 비밀 소수를 연산에 직접 사용함으로서 오류 주입공격 시 이를 노출하게 되는 문제가 있다. 이를 해결하기 위한 가장 대표적인 기법이 오류 확산에 기반을 둔 기법이다. 이 기법은 주입된 오류가 암호문 전체에 영향을 미치기 때문에 공격자가 비밀 소수를 얻기 힘들지만 독립적으로 진행되었던 연산을 순차적으로 해야 하며, 여전히 오류주입 공격에 취약하다는 문제점이 있다. 본 논문에서는 오류주입 공격에 강건하며 병렬처리가 가능하도록 공통법을 이용한 RSA-CRT 기법과 메시지를 각각의 법에서 연산한 RSA-CRT기법을 제안한다. 제안하는 기법은 최대 병렬연산을 통해 2회의 지수연산 시간밖에 소요되지 않기 때문에 빠른 연산속도를 제공하면서 오류주입 공격으로부터 비밀 소수의 노출을 보호할 수 있다.;RSA-CRT is one of the commonly used techniques to speedup RSA operation. Since RSA-CRT performs its operations based on the modulus of two private primes, it is about four times faster than RSA. In RSA, the two primes are normally thrown away after generating the public key pair. However, in RSA-CRT, the two primes are directly used in RSA operations. This led to hardware fault attacks which can be used to factor the public modulus. The most common way to counter these attacks is based on error propagation. In these schemes, all the outputs of RSA are affected by the infected error which makes it difficult for an adversary to use the output to factor the public modulus. However, the error propagation has sequentialized the RSA operation. Moreover, these schemes have been found to be still vulnerable to hardware fault attacks. In this paper, we propose two new RSA-CRT schemes which are both resistant to hardware fault attack and support parallel execution: one uses common modulus and the other one perform operations in each prime modulus. Both proposed schemes takes about a time equal to two exponentiations to complete the RSA operation if parallel execution is fully used and can protect the two private primes from hardware fault attacks.