무작위 부분군과 길이 기반·몫 공격에 대한 심층 분석

초록

본 논문은 임의로 선택된 부분군이 다양한 그룹에서 보이는 일반적인 구조적 특성을 규명하고, 이러한 특성이 AAG 키 교환 프로토콜에 적용될 때 길이 기반 공격과 새롭게 제안된 몫 공격이 왜 효과적인지를 수학적으로 설명한다. 또한 안전한 파라미터 선택 방안을 제시한다.

상세 분석

논문은 먼저 “무작위 부분군”이라는 개념을 정형화한다. 여기서 무작위란, 주어진 그룹 G의 원소들을 일정한 분포에 따라 독립적으로 선택해 생성된 부분군을 의미한다. 저자들은 여러 종류의 비가환 그룹—예를 들어 자유군, Artin‑braid 군, 그리고 일부 고전적인 비가환 군—에 대해 실험적 및 이론적 방법으로 무작위 부분군의 일반적인 구조를 조사한다. 그 결과, 대부분의 경우 무작위 부분군은 거의 자유적인 구조를 가지며, 특히 자유군의 경우 생성 집합의 수가 충분히 크면 부분군 자체가 자유군에 동형임을 보인다. 이와 같은 “자유성”은 부분군이 전체 그룹 안에서 “큰” 위치에 자리 잡는다는 의미와 연결된다. 즉, 무작위 부분군은 전체 군의 복잡한 관계망을 거의 무시하고, 자체적으로 단순한 관계만을 가진다.

이러한 일반적 특성은 AAG 암호 체계에 직접적인 영향을 미친다. AAG는 두 사용자가 각각 무작위 부분군 A와 B를 선택하고, 서로의 부분군에 대한 공통 비밀을 교환하는 방식이다. 공격자는 상대방이 선택한 부분군의 구조를 파악함으로써 비밀을 추출하려 한다. 길이 기반 공격(LBA)은 그룹 원소의 “길이”—예를 들어, 표준 생성자에 대한 최소 표현 길이—를 이용해 가능한 공약수를 탐색한다. 논문은 무작위 부분군이 자유적인 구조를 가질 경우, 길이 함수가 거의 선형적으로 감소하는 경향이 있음을 보인다. 따라서 공격자는 짧은 길이의 후보를 빠르게 탐색할 수 있고, 실제 실험에서도 LBA가 높은 성공률을 보이는 이유를 설명한다.

새롭게 제안된 “몫 공격”(quotient attack)은 무작위 부분군이 전체 그룹 G의 특정 정상 부분군 N에 대한 몫 G/N에서 간단한 형태를 띤다는 사실을 이용한다. 저자들은 G/N이 종종 더 작은, 계산적으로 다루기 쉬운 군(예: 자유군의 경우 자유 아벨 군)으로 사상될 수 있음을 증명한다. 공격자는 먼저 G/N에서 비밀을 복원하고, 이를 원래 그룹 G로 끌어올리는 과정을 수행한다. 이때 무작위 부분군이 N에 대해 거의 전사적(onto)인 경우, 복원 과정이 매우 효율적이다. 논문은 braid 군을 대상으로 한 구체적 실험에서, 몫 공격이 기존 LBA보다 적은 연산량으로 동일하거나 더 높은 성공률을 달성함을 보여준다.

마지막으로, 논문은 안전한 파라미터 선택 방안을 제시한다. 첫째, 부분군 생성 시 충분히 큰 생성 집합을 사용해 자유성을 억제하고, 둘째, 정상 부분군 N을 선택해 G/N이 복잡한 구조를 유지하도록 한다. 특히, braid 군에서는 충분히 큰 ‘핵심’(core) 부분군을 포함시키는 것이 효과적이다. 이러한 설계 원칙은 무작위 부분군이 갖는 일반적 자유성을 인위적으로 제한함으로써, 길이 기반 및 몫 공격 모두를 방어할 수 있는 “강한 키”를 만들 수 있음을 의미한다.