I. 서론
다변수 이차식(MQ, Multivariate Quadratic) 기반 전자서명 알고리즘은 다변수 이차식 문제와 다항식의 확장 동형(EIP, Extended Isomorphism of Polynomials) 문제의 어려움에 기반한 서명 기법이다. 이중 다변수 이차식 문제는 NP-난해(NP-hard)이며, 양자 컴퓨터를 이용한 공격에도 평균적으로 지수적 어려움을 갖는다고 알려져 있다. 대표적인 다변수 이차식 기반 전자서명으로는 NIST 양자내성암호 표준화 프로젝트 3라운드의 최종 후보(finalist)였던 Rainbow[1]가 있다. Rainbow는 또 다른 다변수 이차식 기반 전자서명인 UOV (Unbalanced Oil and Vinegar) 서명 기법을 2계층 구조로 변형하여 키와 서명 크기를 줄이고 빠른 서명 생성을 가능하도록 하였다.
MQ 기반 전자서명의 효율성을 높이기 위한 또다른 방안은 희소 행렬 구조의 중앙맵을 사용하는 것이다. 희소 행렬을 사용하게 되면 키의 길이를 줄일 수 있을 뿐 아니라 서명 생성 속도를 높일 수 있다. 이러한 시도 중 하나가 NIST 양자내성암호 표준화 프로젝트의 1라운드 후보였던 HiMQ-3다. HiMQ-3는 Rainbow와 유사한 키 구조 및 서명 과정을 거치지만 개인키인 중앙맵을 희소 행렬 구조로 설정하여 효율성을 개선하였다. 이러한 HiMQ-3를 개선한 HiMQ[2]는 2020년 6월 국내 정보통신단체표준(TTA 표준) 양자내성암호로 제정되었다. HiMQ는 Rainbow와 유사한 키 구조를 가지며 2계층으로 구성되어 있다. 그러나 HiMQ나 Rainbow와 같이 2계층 구조의 다변수 이차식 기반 전자서명 기법의 안전성은 추가적으로 MinRank 문제의 어려움에 의존한다. 이러한 MinRank 문제를 풂으로써 개인키를 복원하는 것이 MinRank 공격 기법이며, 최근 Rainbow에 대한 효과적인 MinRank 공격들이 제안되었다. Ward Beullens는 2021년과 2022년 Rainbow에 대한 개선된 MinRank 공격 기법을 제안하면서 Rainbow의 파라미터들이 해당 보안강도를 만족하지 못함을 보였다[3, 4]. 특히 2022년 제안된 공격의 경우, 2라운드 Rainbow의 파라미터 I에 대해 53시간 만에 키를 복원하는 데 성공하였다. 이처럼 Rainbow에 대한 실질적인 키 복원 공격이 제안되면서 Rainbow는 NIST 양자내성암호 표준에 선정되지 못하였다.
2계층 구조의 다변수 이차식 기반 전자서명이 MinRank 공격을 통한 키 복원 공격에 취약함을 보이면서, 다시금 UOV와 같은 1계층 구조의 다변수 이차식 기반 전자서명이 주목받고 있다. Ward Beullens는 2021년 seed를 통해 키를 확장하는 방식으로 전체 키 크기를 줄인 UOV의 변형 전자서명 기법인 MAYO를 제안하였다. 국내에서는 UOV 기반에 HiMQ와 같은 희소 행렬을 중앙맵에 적용하여 키 크기와 서명 생성 성능을 개선한 MQ-Sign이 KpqC 공모전에 제안되었다. 그러나 2023년, Thomas Aulbach 등이 MQ-Sign의 희소 행렬 구조를 이용한 키 복원 공격을 제안하고[5], Yasuhiko Ikematsu 등이 개선된 서명 위조 공격을 제안[6]하면서 MQ-Sign의 안전성에 대한 의문이 제기되었다.
국내 정보통신단체 표준인 HiMQ는 Rainbow와 유사한 키 구조를 가지며 2계층 구조로 구성되어 있기에 MinRank 공격에 취약할 것으로 예상된다. 또한 MQ-Sign과 같이 중앙맵이 희소 행렬로 구성되어 있기에, MQ-Sign에 대한 키 복원 공격 및 서명 위조 공격에 대한 보안 분석이 필요하다. 이에 본 논문에서는 [5]와 [6]의 희소 행렬 구조 활용 공격에 대한 HiMQ 적용 가능성을 검토하고, [4]에서 제안한 키 복원 공격을 HiMQ에 적용하였을 때의 공격 비용을 추정해본다. 또한 이를 기반으로 HiMQ가 TTA 표준으로 제정될 시 제안하였던 권고 파라미터들의 보안 강도를 검증한다. 본 논문의 분석 결과에 의하면 [4]의 공격에 의해 HiMQ의 TTA 표준 문서에서 제안된 세 개의 권고 파라미터 중 두 개의 보안강도가 128-bits 이하로 떨어졌으며, 가장 높은 보안강도를 제공하는 파라미터가 192-bits 보안강도를 만족하지 못함을 보였다.
II. HiMQ
HiMQ[2]는 다변수 이차식 기반 전자서명 알고리즘으로, 2020년 6월 17일 국내 정보통신단체표준(TTA표준)으로 제정되었다. 국가수리과학연구소에서 NIST 양자내성암호 표준화 프로젝트에 제출한 HiMQ-3를 계승하였으며, 3계층 구조를 갖는 HiMQ-3와 달리 HiMQ는 Rainbow와 같은 2계층 구조를 갖는다. HiMQ의 개인키인 중앙 맵이 희소 행렬 구조를 갖는다는 것을 제외하고는 전체적인 키생성, 서명 생성 및 검증 과정이 Rainbow와 유사하게 진행된다.
2.1 파라미터
HiMQ는 표수가 2인 유한체 𝔽q 상의 다변수 이차식 문제의 어려움에 기반하고 있으며, 다변수 이차식 문제는 총 n개의 변수(v개의 vinegar 변수 및 o1 + o2개의 oil 변수, n = v + o1 + o2)와 m개의 방정식 (m = o1 + o2)으로 구성된다. 보안강도별 HiMQ의 권고 파라미터는 Table 1.과 같다.
Table 1. The recommended parameter sets of HiMQ (λ: the security length)
2.2 키 생성
HiMQ는 역변환이 가능한 아핀 변환 S : 𝔽mq→𝔽mq와 T: 𝔽nq→𝔽nq의 역변환인 S-1와 T-1, 그리고 첫 번째와 두 번째 계층의 다변수 이차다항식으로 구성된 중앙 함수 F = (F(1), ..., F(m)) : 𝔽nq→𝔽mq를 서명키로 가진다. 서명키는 의사난수함수를 통해 랜덤하게 선택되며, 서명키들에 대한 합성 연산을 통해 검증키 P = S ∘ F ∘ T를 생성한다.
중앙 함수 F를 구성하는 m개의 다변수 이차다항식 F(1), ..., F(m)은 n개의 변수 x1, ..., xn을 가지며, 다음과 같이 생성된다.
F(1)(x1, .., xn) = Φ1(x1, .., xv) + δ1xv+1xv+2
F(2)(x1, .., xn) = Φ2(x1, .., xv) + δ2xv+2xv+3
⦙
F(o1)(x1, .., xn) = Φo1(x1, .., xv) + δo1xv+o1xv+1 (1)
\(\begin{align}\Phi_{i}=\sum_{1 \leq i<j}^{v} \alpha_{i, j} x_{i} x_{j}\end{align}\) (2)
F(o1+1)(x1, .., xn) = ψ1(x1, .., xv+o1) + Θ1(x1, .., xn) + ε1xo1+1 + c1
⦙
F(o1+o2)(x1, .., xn) = ψo2(x1, .., xv+o1) + Θo2(x1, .., xn) + εo2xo1+o2 + co2 (3)
\(\begin{align}\Psi_{i}=\sum_{j=1}^{v+o_{1}} \beta_{i, j} x_{j} x_{(i+j-1)\left(\bmod v+o_{1}\right)+1}\end{align}\) (4)
\(\begin{align}\Theta_{i}=\sum_{j=1}^{v+o_{1}} \gamma_{i, j} x_{j} x_{v+o_{1}+1+(j-i)\left(\bmod o_{2}\right)}\end{align}\) (5)
Fig. 1.은 v = 6, o1 = 5, o2 = 4일 때 HiMQ의 1계층에서의 중앙맵을, Fig. 2.는 2계층에서의 중앙맵을 보여준다. Fig. 1, 2.와 같이 HiMQ는 중앙맵이 희소 행렬로 구성된다.
Fig. 1. The sparse central map of HiMQ’s first layer when v = 6, o1 = 5, and o2 = 4
Fig. 2. The sparse central map of HiMQ’s second layer when v = 6, o1 = 5, and o2 = 4
2.3 서명 생성
서명 대상 메시지 M과 2λ-bit의 랜덤 값 r에 대하여 서명 값 τ = (σ, r)는 다음과 같이 출력된다.
1. ξ = (ξ1, ..., ξm) = S-1(H(M,r)) 계산
2. 임의의 랜덤 벡터 sv = (s1, ..., sv)∈Fvq 선택 후, 각 다변수 이차다항식 F(i) (1 ≤ i ≤ o1)의 x1, ..., xv에 대입
3. 연립 이차방정식 \(\begin{align}\left\{\begin{array}{l} \delta_{1} x_{v+1} x_{v+2}= \zeta_{1}-\Phi_{1}\left(s_{v}\right) \\ \vdots \\ \delta_{o_{1}} x_{v+o_{1}} x_{v+1}=\zeta_{o_{1}}-\Phi_{o_{1}}\left(s_{v}\right)\end{array}\right.\end{align}\)의 해 (xv+1, ..., xv+o1) = (sv+1, ..., sv+o1) 찾기
4. (s1, ..., sv+o1)를 각 F(i) (o1 + 1≤ i ≤ o1 + o2에 대입하여 o2개의 방정식과 o2개의 변수를 갖는 연립 일차방정식 구하기
5. 가우스 소거법을 통해 연립 일차방정식의 해 (sv+o1+1, ..., sn) 찾기
6. F(s) = ξ를 만족하는 s = (s1, ..., sn)에 대해 σ = (σ1, ..., σn) = T-1(s)∈Fnq 계산
7. τ = (σ, r)를 메시지 M에 대한 서명 값으로 출력
2.4 서명 검증
검증키 P = (P1, ..., Pm)와 메시지 M, 서명 값 τ = (σ, r)에 대하여 서명에 대한 검증은 다음과 같이 수행된다.
1. 메시지 M에 대한 해시 값 H(M, r) 계산
2. P(σ) = (P1(σ), ..., Pm(σ)) 계산
3. P(σ) = H(M, r)이면 검증 통과, 아니면 실패
III. HiMQ 적용 가능 공격
HiMQ는 2계층 구조로 구성되며 공개키가 두 개의 아핀 변환과 중앙맵의 합성으로 구성된다는 점에서 Rainbow와 유사한 키 구조를 갖는다. 따라서 [4]에서 제안한 공격을 적용할 수 있으며, 이에 대한 안전성 분석이 필요하다. 또한 개인키인 중앙맵이 MQ-Sign과 같은 희소 행렬로 구성되기 때문에 [5]과 [6]의 희소 행렬 구조 특성 기반 공격에 대한 적용 가능성을 검토할 필요가 있다. 본 장에서는 [4], [5], [6]에서 제안된 공격에 대한 HiMQ 적용 가능성을 검토한다.
3.1 Simple Attack
O′1을 첫 n-m개의 원소가 0인 𝔽nq 상의 벡터 부분 공간이고, Q′2를 첫 n-o2개의 원소가 0인 𝔽nq 상의 벡터 부분 공간, W′를 첫 o1개의 원소가 0인 𝔽mq 상의 벡터 부분 공간이라 하자. 이들 부분 공간과 개인키 S와 T로 구성된 선형 부분 공간 O1 = T-1O'1, O2 = T-1O'2, W = S-1W'는 공개키 P에 대해 Fig. 3.과 같은 매핑 관계를 갖는다. 이때 simple attack은 O2를 W로 매핑하는 Dx를 추정한다.
Fig. 3. The structure of HiMQ private keys
Dx = 𝔽nq→𝔽mq : y↦P′(x, y) (6)
이때 x∈𝔽nq는 임의의 벡터이며, o2∈O2이다. dim(O2) = dim(W) = o2이므로, Dx가 O2에서 커널 벡터를 가지는 확률은 𝔽q 상의 임의의 o2 × o2 행렬이 특이(singular)일 확률과 동일하다. 행렬은 첫 번째 행이 비영(non-zero)인 경우 비특이(non-singular)이며, 각각의 i < o2에 대해 i + 1번째 행이 처음 i개의 행의 span에 존재하지 않는다. 이에 대한 확률은qi-1-o2이다. 따라서 충분히 큰 q의 경우에는 o2와 무관하게 1/q에 가까워진다.
\(\begin{align}1-\prod_{i=0}^{a_{2}-1}\left(1-q^{i-o_{2}}\right)\end{align}\) (7)
[4]에서 제안한 공격은 단순히 임의의 비영인 x를 선택하고 이때 Dx의 커널과 O2가 자명하지 않게 (non-trivial) 교차(intersect)한다면, 이 교차점에서 벡터 o를 찾게 된다. 이때 모든 o∈O2에 대해 P(o) = 0이므로, 다음 시스템을 해결한다.
\(\begin{align}\left\{\begin{array}{l}D_{\mathrm{x}} \mathrm{O}=0 \\ P(\mathrm{o})=0\end{array}\right.\end{align}\) (8)
시스템 (8)은 o개의 변수에 대한 m개의 동차(homogeneous) 선형 방정식과 m개의 동차 이차방정식으로 구성된다. 이때 m개의 선형 방정식을 풀게 되면, m개의 변수에 대한 해를 구할 수 있으며, 이차 방정식은n-m개의 변수에 대한 m개의 동차방정식으로 이루어진 시스템이 된다. 열들이 Dx의 커널의 기저로부터 형성된 행렬 B∈𝔽n-mq에 대해, \(\begin{align}\tilde{P}(\mathrm{y}):=P(B \mathrm{y})\end{align}\)이며, \(\begin{align}\tilde{P}(\mathrm{y})\end{align}\)의 해 y∈𝔽n-mq를 찾음으로써 개인키를 복원할 수 있다.
3.2 Combined Attack
Simple attack은 vinegar 변수의 개수가 작은 파라미터에 대해서는 효율적이지만, Rainbow의 파라미터 세트 III(v1 = 68, o1 = 32, o2 = 48)과 V(v1 = 96, o1 = 36, o2 = 64)와 같이 vinegar 변수의 개수가 크다면 rectangular MinRank 공격보다 효율적이지 않다. 이에 rectangular MinRank 공격에 simple attack의 Dx 추정 기법을 결합하여 공격의 효율성을 높인 combined attack이 제안되었다. 좋은 Dx를 추정함으로써 MinRank 문제의 instance를 n-m개의 (n-1)×m 행렬로 축소시킬 수 있으며, 이러한 MinRank 문제를 풀게 되면, 개인키를 효율적으로 복원할 수 있다. 본 논문의 분석 결과에 따르면 각각 66, 68개의 vinegar 변수를 갖는 HiMQ-160과 HiMQ-192 역시 combined attack에 취약한 것으로 나타났다.
3.3 Aulbach 등의 MQ-Sign 키 복원 공격
Aulbach 등은 MQ-Sign에 대한 다항 시간 내의 키 복원 공격을 제안하였다[5]. 그들이 제안한 공격은 MQ-Sign의 중앙맵 중 vinegar-oil 부분(FOV)이 희소 행렬 구조일 때 개인키를 감추는 기반 문제인 다항식의 확장 동형성(EIP) 문제를 다항 시간 내에 풂으로써 개인키 T를 복원한다. 그러나 이 공격은 비밀 값인 중앙맵 F가 희소행렬로 구성되고, 아핀 맵 T가 [7]에서 제안된 것과 같이 효율성을 위한 동등한 키 변형 구조(수식 (9))일 때, 이 특성에 기반한 공격이다. 따라서 랜덤한 아핀맵을 사용하는 HiMQ에는 적용이 힘들다. MQ-Sign 역시 효율성을 위해 구현코드에서는 동등키를 사용하였지만, 공격이 제안된 이후로 구현 코드는 랜덤 아핀 맵을 사용하도록 업데이트되었다.
\(\begin{align}\left(\begin{array}{cc}P_{1}^{(k)} & P_{2}^{(k)} \\ 0 & P_{4}^{(k)}\end{array}\right)=\left(\begin{array}{cc}I & 0 \\ S_{1}^{T} & I\end{array}\right)\left(\begin{array}{cc}F_{1}^{(k)} & F_{2}^{(k)} \\ 0 & 0\end{array}\right)\left(\begin{array}{cc}I & S_{1} \\ 0 & I\end{array}\right)\end{align}\) (9)
3.4 Ikematsu 등의 MQ-Sign 서명 위조 공격
간단한 구조의 개인키 S를 갖는 MQ-Sign-RS와 MQ-Sign-SS에 대한 키 복원 공격을 제안한 [5]와 달리, Yasuhiko Ikematsu 등은 일반적인 개인키 S에도 적용 가능한 서명 위조 공격을 제안하였다.
그들은 MQ-Sign의 중앙맵이 희소 행렬 구조의 특성을 활용한 서명 위조 공격을 시도하였다. 그들의 공격은 아핀 맵 T와 중앙맵 F의 합성으로 이루어진 공개키 P에 대해 Px = 0을 만족하는 해를 찾음으로써 서명을 위조한다. 이때 중앙맵 F가 희소행렬로 구성됨에 따라 x를 빠르게 찾을 수 있으며, 이로 인해 희소 행렬로 구성된 중앙맵의 사용이 안전성에 문제가 있을 수 있음을 제기하였다. 그러나 MQ-Sign의 중앙맵 P가 F와 T 두 행렬의 합성으로 이루어진 것과 달리 HiMQ는 F, S, T 세 개의 행렬의 합성으로 이루어지며, i번째 중앙맵 Fi가 공개키 전체에 영향을 미치기 때문에 [6]의 공격은 HiMQ에 직접 적용하는데에 한계가 있다.
IV. HiMQ 보안강도 분석
HiMQ는 중앙맵을 희소 행렬로 구성하는 부분을 제외하고 Rainbow와 키 구조가 거의 유사하다.
HiMQ는 중앙맵이 희소 행렬임을 제외하고 Rainbow와 키 구조 및 생성 방법이 거의 유사하다. 따라서 HiMQ 또한 Rainbow에 대한 combined attack이 적용될 수 있으며, 이에 취약할 것으로 예상된다. 또한 TTA에 제출된 HiMQ의 권고 파라미터는 2020년의 안전성 분석에 기반하여 설정되었기 때문에, 이러한 개선된 MinRank 공격에 대한 보안 강도 분석을 통해 파라미터 안전성 검증을 수행하고 보안강도를 검증하는 것이 시급하다. 본 장에서는 HiMQ에 combined attack을 적용할 때 소요되는 공격 비용을 분석하고, 이를 기반으로 HiMQ 권고 파라미터의 보안강도를 검증한다. HiMQ의 유한체 크기를 q, 전체 변수의 개수를 n, oil 변수의 개수를 m이라 할 때, simple attack과 combined attack 각각의 공격 비용은 Table 2.와 같다.
Table 2. The cost for the simple attack and combined attack against HiMQ
4.1 Simple Attack
HiMQ의 유한체 크기를 q, 전체 변수의 개수를 n, oil 변수 개수를 m, 두 번째 레이어의 oil 변수 개수를 o2라 할 때, HiMQ에 대한 simple attack의 전체적인 공격 비용 산출 방법은 Fig. 4.의 알고리즘과 같다.
Fig. 4. The algorithm for calculating simple attack cost for HiMQ
HiMQ에 대한 simple attack은 공개키에 대한 차분 선형 사상 Dx를 추정한 후, XL 알고리즘을 통해 이차 시스템을 해결하여 개인키를 복원한다. 이때 선형 사상 Dx의 추정 확률 PDx는 수식 10과 같다.
\(\begin{align}p_{D_{\mathrm{x}}}=1-\prod_{i=0}^{o_{2}-1}\left(1-q^{i-o_{2}}\right)\end{align}\) (10)
고정된 비영인 x에 대해, O2로 제한된 Dx|O2는 O2에서 W로의 균일한 무작위 선형 맵이다. 이때 dim(O2) = dim(W) = o2이며, Dx가 O2에서 커널 벡터를 가지는 확률은 𝔽q 상의 임의의 o2-by-o2 행렬이 특이(singular)일 확률과 동일하다. 행렬은 첫번째 행이 비영인 경우 비특이(non-singular)이며, 각각의 i < o2에 대해 i + 1번째 행이 처음 i개의 행이 span에 존재하지 않을 확률이 qi-1-o2이다. 따라서 특이일 확률은 수식 (10)과 같다. 충분히 큰 q의 경우에는 o2와 무관하게 1/q에 가까워진다.
이를 통해 n-m개의 변수에 대한 m개의 동차 선형 방정식으로 이루어진 시스템으로 줄게 되고, 이 시스템을 XL 알고리즘[8]으로 푸는 복잡도가 다음과 같다.
\(\begin{align}3\left(\begin{array}{c}(n-m-1)-1+D \\ D\end{array}\right)^{2}\left(\begin{array}{c}(n-m-1)+1 \\ 2\end{array}\right)\end{align}\) (11)
이때 D는 XL의 operating degree로, n-m개의 변수에 대한 m개의 선형 방정식에 대해 \(\begin{align}\frac{\left(1-t^{2}\right)^{m-1}}{(1-t)^{n-m-1}}\end{align}\)의 멱급수 전개(power series expansion)에서 계수가 양수가 아닌 가장 작은 정수인 항의 차수(tD)이다.
HiMQ에 대한 simple attack의 비용은 (XL 알고리즘을 통한 시스템을 푸는데 필요한 곱셈 횟수)×(𝔽q 상에서의 곱셈 비용 gatesM)/(Dx 추정 확률 PDx)이다. 이러한 분석에 기반한 HiMQ 파라미터별 키 복원 공격의 전체 비용은 Table 3.과 같다.
Table 3. The cost for the simple attacks against HiMQ parameters
4.2 Combined Attack
HiMQ의 유한체 크기를 q, 전체 변수의 개수를 n, oil 변수 개수를 m, 두 번째 레이어의 oil 변수 개수를 o2라 할 때, HiMQ에 대한 combined attack의 전체적인 공격 비용 산출 방법은 Fig. 5.의 알고리즘과 같다.
Fig. 5. The algorithm for calculating combined attack cost for HiMQ
HiMQ에 대한 combined attack의 공격 비용을 추정하기 위해서 먼저 개인키 부분 공간 O2 ⊂ 𝔽nq를 W ⊂ 𝔽mq로 매핑하는 선형 사상 Dx를 성공적으로 추정할 확률 PDx은 다음과 같다.
\(\begin{align}p_{D_{\mathrm{x}}}=1-\prod_{i=0}^{o_{2}-1}\left(1-q^{i-o_{2}}\right)\end{align}\) (12)
Dx를 추정한 후, HiMQ에 대한 MinRank 문제의 instance는 n-m개의 (n-1)×m 행렬로 축소되며, 이때 이 행렬들의 선형결합의 랭크 r이 최대 o2가 되도록 하는 벡터를 찾게 된다. 이는 [3]에서의 rectangular MinRank 공격 대비 적은 복잡도 만으로 공격이 가능하게 한다.
이러한 MinRank 문제는 Magali Bardet 등이 2020년 제안한 support-minors 알고리즘[9]을 활용하여 가장 효율적으로 풀 수 있다. support-minors 알고리즘은 동작 차수 b(본 논문의 경우, 1 ≤ b ≤ 4로 제한)에 대하여 다음 부등식을 만족하는 가장 작은 m값 m′을 찾는다.
\(\begin{align}\begin{array}{c}\left(\begin{array}{c}m \\ r\end{array}\right)\left(\begin{array}{c}n-m+b-2 \\ b\end{array}\right)-1 \leq \\ \sum_{i=1}^{b}(-1)^{i+1}\left(\begin{array}{c}m \\ r+i\end{array}\right)\left(\begin{array}{c}n+i-1 \\ i\end{array}\right)\left(\begin{array}{c}n-m+b-i-2 \\ b-i\end{array}\right)\end{array}\end{align}\)
이때 MinRank instance 행렬의 크기는 (n-1) × m′으로 다시 한번 축소될 수 있으며, 가능한 m′의 범위가 r+1에서 m까지로 제한되기 때문에 위 부등식을 만족하는 가장 작은 m′을 찾는 복잡도는 negligible하다. 결과적으로 MinRank 문제를 푸는 비용은 ecMR번의 𝔽q 상의 곱셈 비용과 같다.
\(\begin{align}e c_{M R}=3(n-m-1)(r+1)\left(\begin{array}{c}m^{\prime} \\ r\end{array}\right)^{2}\left(\begin{array}{c}n-m+b-2 \\ b\end{array}\right)^{2}\end{align}\)
본 논문에서는 1 ≤ b ≤ 4에 대해 각각의 경우에 해당하는 m′을 찾은 후, ecMR을 최소로 하는 (b,m′) 쌍을 선택하였다. Table 4.는 HiMQ 파라미터 별 선택한 (b,m′) 쌍과 이에 대한 MinRank 공격 비용을 보여준다.
Table 4. The attack parameters and cost for the support-minors algorithms against HiMQ
MinRank 문제를 푸는 비용은 𝔽q 상의 곱셈 비용으로 표현되며, 이는 사용되는 게이트 수로 계산이 가능하다. 본 논문에서는 [3]에서와 같이 𝔽q 상의 곱셈의 비용을 gatesM = 2((log2q)2 + log2q)로 추정하는 모델을 기준으로 분석한다.
최종적으로 HiMQ의 키를 복원하는데 필요한 비용은 (MinRank 공격시 곰셈 횟수 ecMR)×(𝔽q 상에서의 곱셈 비용 gatesM)/(Dx 추정 확률 PDx)이다. 이러한 분석에 기반한 HiMQ 파라미터별 키 복원 공격의 전체 비용은 Table 5.와 같다.
Table 5. The total cost for the key recovery attacks against HiMQ parameters
4.3 HiMQ 보안강도
simple attack은 n-m이 작은 경우에 효율적인 공격이다. 따라서 [4]에서도 Rainbow 파라미터 I일 때는 combined attack보다 simple attack이 더 효율적이다. 그러나 본 논문의 분석 결과에 따르면 HiMQ의 경우 모든 파라미터 세트에서 combined attack이 효과적일 뿐 아니라, HiMQ-160의 공격 비용이 HiMQ-192의 공격 비용보다 많이 소요되는 것을 확인하였다. 이는 HiMQ-160의 경우 n-m이 66일 때 m이 68로 두 값의 차이가 크지 않기 때문이다. 실제로 동일한 n-m 값에 대해서 m 값이 작아질수록 복잡도가 증가한다. 또한 파라미터 I에서 simple attack이 효율적이었던 Rainbow와 달리 HiMQ는 파라미터 I에서도 combined attack이 효율적이었다. 이는 공격 파라미터인 D가 Rainbow에서는 6, 7인 반면 HiMQ는 12로 상당히 큰 값으로 인한 결과이다. 추가적으로 비슷한 n-m에 대해 HiMQ가 훨씬 작은 m을 갖는다.
V. 결론
본 논문에서는 sparse 행렬로 구성된 중앙맵을 사용하는 MQ 기반 전자서명인 HiMQ에 대해 적용 가능한 공격 기법들을 검토하고, 적용 가능성 및 공격 복잡도를 분석하였다. HiMQ의 경우, [4]의 combined attack이 가장 효율적인 공격이었으며, 모든 파라미터가 기준 보안강도를 만족하지 못함을 보였다.
References
- J. Ding and D. Schmidt, "Rainbow, a new multivariable polynomial signature scheme," International Conference on Applied Cryptography and Network Security (ACNS), pp.164-175, June 2005.
- Korea Telecommunications Technology Association, "Post Quantum Cryptography based on Multivariate Quadratic Equations - Part 2: HiMQ, Digital Signature Algorithm with Appendix," TTAK.KO-12.0348-Part2, June 2020.
- W. Beullens, "Improved cryptanalysis of UOV and Rainbow," Annual International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT), pp. 348-373, Oct. 2021.
- W. Beullens, "Breaking rainbow takes a weekend on a laptop," Annual International Cryptology Conference(CRYPTO), pp. 484-479, Aug. 2022.
- T. Aulbach, S. Samardjiska, and M. Trimoska, "Practical key-recovery attack on MQ-Sign," Cryptology ePrint 2023/432, 2023.
- Y. Ikematsu, H. Jo, and T. Yasuda, "A security analysis on MQ-Sign," Cryptology ePrint 2023/581, 2023.
- A. Petzoldt, "Selecting and Reducing Key Sizes for Multivariate Cryptography," Ph.D. Thesis, Darmstadt University of Technology, Germany, July 2013.
- C-M. Cheng, T. Chou, R. Niederhagen, and B-Y. Yang, "Solving Quadratic Equations with XL on Parallel Architectures," International Workshop on Cryptographic Hardware and Embedded Systems (CHES), pp.356-373, Sep. 2012.
- M. Bardet, M. Bros, D. Cabarcas, P. Gaborit, R. Perlner, D. Smith-Tone, J-P. Tillich, and J. Verbel, "Improvements of Algebraic Attacks for solving the Rank Decoding and MinRank problems," International Conference on the Theory and Application of Cryptology and Information Security (ASIACRYPT), pp. 507-536, Dec. 2020.