시프트 결합 인증 프로토콜 실용적 암호분석

초록

본 논문은 Dehornoy가 제안한 시프트 결합 기반 인증 프로토콜에 대한 최초의 실용적 공격을 제시한다. 공격자는 시프트 결합 문제를 기존의 결합 문제로 환원하고, 길이 기반 휴리스틱과 격자 기반 연산을 활용해 비밀키를 효율적으로 복구한다. 실험 결과는 제안된 공격이 평균적으로 수 초 내에 성공함을 보여, 현재 프로토콜의 보안성이 크게 약함을 입증한다. 또한 프로토콜 개선 방안을 논의한다.

상세 분석

시프트 결합 인증 프로토콜은 브레이드 군(B_n) 위에 정의된 비가환 연산인 시프트 결합(shifted conjugacy)을 난이도 기반으로 사용한다. 프로토콜의 핵심은 공개키 (p, q)와 비밀키 s가 있을 때, s와 임의의 난수 r을 이용해 인증 단계에서 (r·s·p·r⁻¹, r·s·q·r⁻¹) 형태의 응답을 생성하도록 설계된 점이다. 이때 공격자는 s를 직접 구하지 못하더라도, 시프트 결합 연산이 실제로는 일반 결합 연산과 동형임을 이용해 문제를 단순화한다. 논문은 먼저 시프트 결합을 일반 결합으로 변환하는 동형 사상 φ를 정의하고, 이를 통해 인증 과정에서 발생하는 두 개의 방정식을 결합하여 s·p·s⁻¹와 s·q·s⁻¹ 형태의 표준 결합 문제로 환원한다. 이후 길이 기반 휴리스틱(LBH)을 적용해 후보 s를 탐색한다. LBH는 브레이드의 정규형 길이를 이용해 후보 키의 “거리”를 추정하고, 가장 짧은 길이를 갖는 후보를 우선적으로 선택한다. 이와 동시에 격자 기반 연산을 도입해 후보 집합을 선형 종속성 관점에서 압축한다. 실험에서는 다양한 n(브레이드 차원)과 키 길이에 대해 평균 2~5초 내에 정확한 s를 복원했으며, 성공률은 98%에 달한다. 이러한 결과는 시프트 결합이 실제로는 기존 결합 문제와 동등한 난이도를 갖는다는 점을 강력히 시사한다. 논문은 또한 기존 보안 가정이 과도하게 낙관적이었으며, 키 길이와 난수 선택 방식이 공격에 취약함을 지적한다. 마지막으로 프로토콜을 강화하기 위한 방안으로, 시프트 연산에 추가적인 난수 혼합, 키 길이 확대, 그리고 결합 연산 대신 난수 기반 해시 함수를 도입하는 방법을 제시한다.