Ⅰ .서론
블록 암호 알고리즘 분석 및 설계에 대한 연구는 1977년 미국연방표준으로 DES(Data Encryption Standard)가 제정되면서부터 본격적으로 진행되었다. 1980년대 까지만 해도 DES를 변형 혹은 모방한 암호 알고리즘들에 대한 안전성을 분석할 이론적 근거가 미약하였으나 DES에 대한 안전성이 수학적으로 키의 길이에 절대적으로 의존하지 않음은 1990년 E. Biham, A. Shamir의 차분분석(Differential *%C*r} yptanalysis 1993년 M. Matsui의 선형 근사분석 (Linear Cryptanalysis)⑹이 제안되면서 증명되었다.
블록 암호 알고리즘 설계시 알고리즘의 안전성과 효율성이 동시에 고려되여야 하며 안전성 고려사항으로 키 길이 이외에 알고리즘의 구조와 入1용되는 연산들에 대해서도 고려되어야 한다. 컴퓨터 계산능력의 급속한 발달로 블록 암호 알고리즘의 안전성 기준은 과거 DES의 키 길이 56비트에서 현재 128비트 이상으로 설정되는 추세이다. 최근 미국에서는 미연방표준 DES를 대체할 표준 암호 알고리즘 AES(Advanced Enci'yption Standard)으로 Rijndael이 2000년 10월에 선정되었다⑺. 국내에서도 한국 정보보호센터에서 개발한 128비트 SEED가 민간 표준 블록 암호 알고리즘으로 제안되고 있으며 SEED를 채택한 정보보호 시스템이 속속 개발되고 있고 차세대 블록 암호 알고리즘에 대한 요구도 증가하고 있다⑻.
본 논문에서는 DES(Data Encryption Standard)를 변형하여 설계된 HEA 안전성에 대하여 고찰하고자 한다. 암호 알고리즘의 안전성은 크게 입출력문과 키의 크기. 평문과 암호문 및 키와 암호문의 상관성, 평문과 키의 변화에 따르는 암호문의 변화 그리고 구조적 특이성 등이 고려된다. 이러한 요구 조건들을 만족시키기 위해서 비선형 함수를 포함한 세부 논리를 알고리즘의 효율성을 고려하여 설계되어야 하며 그 중 대표적으로 비선형 함수를 1c由kup table S-box로 사용하기도 한다. 그러나 일부 암호 알고리즘들은 기존 암호 알고리즘의 세부논리를 수정 없이 이용하기도 한다. 본 논문에서는 HEA의 구조와 S-box들이 DES와 동일하기 때문에 DES에 적용된 차분공격이 적용될 수 있음을 보이고 10라운드로 축소된 HEA를 차분공격법으로 분석하기로 한다’
1.1 HEA의 개요
HEA는 조합형 한글 음절들을 암호화하여 조합형 한글 음절들을 생성하는 알고리즘이다. 기존의 알고리즘으로 암호문이 출력 가능하게 되기 위해서 별도의 변환과정이 필요하지만, HEA는 평문과 암호문 모두 조합형 코드로 되어있으므로 별도로 과정을 수행할 필요가 없는 알고리즘이다.
전체적으로 DES와 동일한 구조이고 사용하는 순열도 DES와 동일하나. 입출력 블록의 크기는 64음절 (L024 비트)이다. 키 크기도 DES와 동일한 56비트이다.
1.1.1 DES와 HEA에서의 연산
HEA는 기본적으로 DES와 동일한 구조를 가지고 있으므로, DES와 비교하여서 설명한다. DES의 입력은 64비트 블록이고 HEA는 64음절 즉 1.024(64x 16)비트 블록이다. 이것 외에 비트 단위를 음절 단위로 확대시킨 것 뿐 다른 구조적인 면에서는 DES와 유사하다. 입력 1.024비트에 출력도 L024비트이고, 키는 56비트를 사용한다.
본 논문에 사용된 표기법은 다음과 같다.
(1) R3): n라운드 데이터의 오른쪽 32음절.
(2) Un) : ”라운드 데이터의 왼쪽 32음절.
(3) 代, . : R3)「번째 음절의 초성( 丿・=1). 중성(丿 = 2), 종성( /=3) 각 5비트 l'i, : Un), 번째 음절의 초성(顶=1),
(4) 중성3 = 2). 종성( 丿・=3) 각 5비트
(5) R{n)x0w : n라운드에서 XOR3D 연산을 한 결고k R( n) X(IKW = XOR辺[R(»)].
(6) K3) : n라운드에 사용되는 라운드 키.
⑺ F(n) : n라운드 F 함수의 출력 데이터 F(.n) = F[R{n) X0ISD, K(n)].
(8) f: ■■ 〃라운드 F 함수의 출력 데이터의 i 번째 음소 5비트
/*** *** *\** 舌 o /*** ***、
( .................. Jnbit 옥\ ... 丿nbit
: 각 *는 〃 비트 *** 는 한 음절(초성, 중성, 종성)을 표현.
1.1.1.1 XOR3D(eXclusive-OR of 3 dimensions)
32음절을 입력받아 32개의 음소(5비트)를 생성한다. 각 음절 초성. 중성, 종성 5비트 중 같은 위치에 있는 비트별로 XOR하여 1비트를 생성. 음절 당 5비트를 생성한다.
1.1.1.2 MODfModular Operation)
F함수에서 나온 결과 32음소와 전 라운드의 왼쪽 32음절로 32음절을 생성한다. F함수의 결과 음소가전 라운드 왼쪽 1음절과 대응되는데. 규칙은 초성. 중성. 종성별로 다른 MOD N을 적용한다. 초성은 7V=19. 중성은 JV=21, 종성은 N=28이다.
7?(n+l) = L(n) MOD F(n)= (..., (〃」+ Z') 19 (厅.2 +片)a(上 + 刀')劉, ...) 위의 두 연산을 제외한 나머지 연산은 비트가 음절 단위로 확장된 것을 제외하고는 DES의 연산과 동일하므로 생략한다.
Ⅱ. HEA 분석
2.1 HEA 차분특성
DES와 유사한 입력 차분을 만들기 위하여 6개의 5비트를 5개의 6비트로 변환시킨 두}, 같은 S-box에 적용시키고, 결과인 5개의 4비트를 4개의 5비트로 재 변환시킨다. <그림 1>과 같이 S-box에 대해서 만일, S-box의 입력 6 비트 차분에 대한 정보를 알고 있고. 이를 제외한 다른 입력 비트들의 차분이 모두 0이라면. 고정된 확률로 S-box의 출력 4비트 차분에 대한 정보를 알 수 있고. 이를 제외한 다른 출력 비트들의 차분은 모두 확률 1로서 0인 것을 알 수 있다. 즉. S-box에 5번 table look-up하는 것을 DES와 같이 한 번으로축소시킬 수 있다. 그리고. 출력차분을 알 때 역으로 비트 위치를 추적하면, 고정된 확률로 입력 차분을 구할 수 있다. 이렇게 구한 차분은 JX=7?
#
을 사용하여도 무방하다’
<그림 1> S1 Box에 대한 차분특성
DES와 동일한 방법으로 DC를 적용하여보자. R(力) = (, *」r"2
#
이면
여기서. (L(x-3)-以力-3*) )에 대한 정보를 알기 위해, 다음과 같은 !?=(£(«-3)® L*) (n-3) 을 이용하자, 金와 -을 비교하면. ㊉의 차분이 1이라면. -의 차분은 1 혹은 -1 인 경우, 즉 차분의 절대값이 1이다. 초, 중.종성의 법이 각각 다르기 때문에 그 값들을 비교하면 -의 차분이 1인지 T인지 확인할 수 있다. 예를 들어서. 乙(如-3)金乙(如-3* ) 중 4「她曹7 = 0, 4尸0":厂” = 0, Z(r3)e/.(»-3)=1 이고, 出f切疔7= 14. 必-她相-" = -7, r, (.r3) ①广\"F=15라면, 芹-/尸=14임을 확인할 수 있고 추가적으로, 以「"-相广" = 1이다. 尖-K는 초중 종성에 각각 적용되므로, 두 음소만 알고 있어도 나머지 한 음소의 차이를 알 수 있다.
2.2.2 2라운드 공격법(<그림 3> 참조)
〈그림 3) 2라운드 공격
#
라면.
#나머지는 3라운드 공격법과 동일하게 적용된다.
Ⅲ. 결론
본 논문에서는 DES를 변형하여 설계된 HEA에 대하여 고찰하였다. 반복구조를 갖는 블록 암호 알고리즘 설계시 자체분석을 통하여 어느정도의 안전성 여유분(safety margin)을 고려하여 라운드 수를 설정하지만 HEA에서는 그에 대한 설명이 없다"」" 비록 10라운드로 축소된 HEA를 차분특성을 이용하여 분석하였으나 설계당시 제시하지 못하였던 차분특성을 발견하였다. 한글로 입출력이 가능하도록 DES를 변형하여 설계된 HEA의 안전성은 키의 길이가 DES와 동일한 56비트이므로 키 전수조사공격 복잡도로는 그 안전성을 논할 수 없다. 또한. 차분특성을 찾기 어렵게 하기 위해 배타적 논리합 대신 모듈러 연산을 사용하였으나, 본 논문세서 소개된 바와 같이 차분특성을 찾았다.
HEA의 차분특성은 DES와 다르게 확률의 증가없이 1라운드를 추가할 수 없다. HEA 차분특성을 이용하면, 2라운드 반복 차분특성을 3번 반복함으로 6라운드의 차분특성을 만들고. 岛 X 普■ X 흥 = 2~8-41 04 04 04의 확률로 1라운드를 추가한 후 3라운드 공격을 하면, 10라운드 선택평문공격이 가능하고, (2~241)3x 2-8.41 = 2-4拓4의 확률로 HEA가 분석된다.
향후 연구과제로는 HEA의 안전성 및 효율성을 확보할 수 있는 S-Box구성방안, 라운드 수 결정 등을 이론적으로 증명하는 것이다.
References
- Applied Cryptography-Protocols, Algorithms, and Source Cdoe in C Bruce Schneier
- Advances in Cryptology-Proceedings of CRYPTO'90. Lecture Notes in Computer Science 537 Differential Cryptanalysis of DES-like cryptosystems Eli Biham;Adi Shamir
- Journal of Cryptology v.4 no.1 Differential Cryptanalysis of DES-like cryptosystems Eli Biham;Adi Shamir
- Advance in Cryptology-CRYPTO'92 Differential Cryptanalysis of the Full 16-round DES Eli Biham;Adi Shamir
- Avances in Cryptology-Proceedings of CRYPTO'92 v.740 Provable security against differential crypanalysis K. Nyberg;L.R. Knudsen
- Advance in Cryptology-EURCRYPT'93 Linear Cryptanalysis method for DES cipher M. Matsui;T. Helleseth(ed.)
- NIST public document Report on the Development of the Advanced Encryption Standard(AES) James Nechvatal;Elaine Barker;Lawrence Bassham;William Burr;Morris Dworkin;James Foti;Edward Roback
- 128비트 블록 암호 알고리즘(SEED)개발 및 분석보고서 한국정보보호센터
- 한국통신정보보호학회, 통신정보보호학회논문지 v.9 no.3 DES에 기반한 조합형 한글 암호 알고리즘 김윤정;박근수;조유근
- 한국통신정보보호학회, 통신정보보호학회 종합학술발표회 논문집 v.9 no.1 DES에 기반한 한글-영문 암호 알고리즘 김윤정;박근수;조유근
- 5th Annual International Workshop, SAC'98 v.1556 A Strategy for constructing fast round functions with practical cryptanalysis Masayuki Kanda;Youichi Takashima;Tsutomu Matsumoto;Kazumaro Aoki;Kazuo Ohta
- 제12회 정보보호와 암호에 관한 학술대회(WISC2000) 논문집 DES변형 블록암호알고리즘 HEA에 대한 분석 송정환;조용국;현진수;강형석
- 제12회 정보보호와 암호에 관한 학술대회(WISC2000)논문집 SPN구조에서 최적의 선형변환을 찾는 알고리즘 성수학;박상우;강주성;지성택