Abstract
Both composition and XOR are operations widely used to enhance security of cryptographic schemes. The more number of random permutations we compose (resp. XOR), the more secure random permutation (resp. random function) we get. Combining the two methods, we consider a generalized form of random function: $SUM^s - CMP^c = ({\pi}_{sc} ... {\pi}_{(s-1)c+1}){\oplus}...{\oplus}({\pi}_c...{\pi}_1)$ where ${\pi}_1...{\pi}_{sc}$ are random permutations. Given a fixed number of random permutations, there seems to be a trade-off between composition and XOR for security of $SUM^s - CMP^c$. We analyze this trade-off based on some upper bound of insecurity of $SUM^s - CMP^c$, and investigate what the optimal number of each operation is, in order to lower the upper bound.
직렬 합성(composition)과 병렬 합성(XOR)은 암호 스킴의 안전성을 높이기 위해 널리 사용되고 있는 방법이다. 랜덤 순열을 직렬 합성하는 회수가 많아질수록 보다 안전한 랜덤 순열이 되고, 병렬 합성하는 회수가 많아질수록 보다 안전한 랜덤 함수가 된다. 이 두가지 방법을 결합해서, 본고는 다음과 같은 일반화된 형태의 랜덤 함수를 정의한다. $SUM^s - CMP^c = ({\pi}_{sc} ... {\pi}_{(s-1)c+1}){\oplus}...{\oplus}({\pi}_c...{\pi}_1)$. 여기서, ${\pi}_1...{\pi}_{sc}$는 랜덤 순열이다. 랜덤 순열의 총 개수가 고정되어 있을 때, 직렬 합성과 병렬 합성을 각각 얼마만큼 하느냐에 따라 위 함수의 안전성은 달라질 것이다. 임의의 두 암호 스킴의 안전성을 엄밀히 비교하기 위해서는 각각의 정확한 안전성 값을 대상으로 해야 한다. 그러나, 일반적으로 정확한 값이 알려진 경우는 거의 없다. 특히, 매개변수(위 함수의 경우, s, c)의 값이 작을 경우는 밀계(tight bound)가 알려져 있는 경우가 종종 있으나, 일반적인 매개변수에 대해서는 정확한 값이나 밀계가 알려진 경우가 거의 없다. 그래서, 실제 상황에서는 두 암호 스킴의 안전성 비교는, 각각의 불안전성(insecurity)의 상계(upper bound)를 비교함으로써 이루어진다. 안전성을 중요시하는 상황에서는 더 낮은 상계를 갖는 암호 스킴을 선호하게 된다. $SUM^s - CMP^c$의 불안전성은 기존의 여러 결과들을 조합해서 계산할 수 있다. 따라서, 특정$(s_1,c_1),(s_2.c_2)$에 대한 두 함수의 안전성은 각각의 불안전성의 상계값을 계산함으로써 비교될 수 있다. 본고는 일반적인 (s, c)에 대한 $SUM^s - CMP^c$의 불안전성의 상계값의 변화를 알아보고자 한다. 그리고, 보다 낮은 상계값을 얻기 위한 직렬/병렬 합성의 최적의 개수가 무엇인지 조사한다.