ABSG 암호 해석의 근본 한계 탐구: 쿼리 기반 키 복구 공격의 복잡도 하한

초록

본 논문은 ABSG 스트림 암호에 대한 쿼리 기반 키 복구(QuBaR) 공격을 대상으로, 정보 이론의 전형성(typicality) 개념을 이용해 공격 복잡도의 근본적인 하한을 정량화한다. 입력을 i.i.d. 베르누이(½) 과정으로 가정하고, 내부 상태 간격 변수 Q_i가 기하분포를 따른다는 사실을 활용해, 모든 성공적인 QuBaR 공격이 지수적 시간 복잡도를 필요로 함을 증명한다. 또한, 제한된 탐색형(Exhaustive‑Search) 공격에 대한 구체적인 하한과 그 하한이 첫 번째 차수에서 달성 가능함을 보인다.

상세 분석

이 논문은 기존 암호 분석 방법을 두 축(일반 공격 vs. 특화 공격)으로 나누어 평가하던 흐름에 새로운 패러다임을 제시한다. 저자들은 “특정 암호 시스템 + 특정 공격 클래스”라는 제한된 설정에서, 해당 클래스 내 모든 가능한 공격의 최적 성능 한계를 수학적으로 도출한다는 점에서 혁신적이다.

ABSG는 LFSR 출력에 비정형 디케이션을 적용한 스트림 암호로, 내부 상태 y_i가 ∅(빈)일 때만 출력 비트 z_j가 생성된다. 논문은 y_i 사이의 ∅ 위치 차이를 Q_i = H_i−H_{i−1}−2 로 정의하고, 입력 비트가 i.i.d. Bernoulli(½)라는 가정 하에 Q_i가 파라미터 ½인 기하분포를 따름을 Lemma 3.1을 통해 증명한다. 이는 ABSG의 동작을 “독립적인 기하 랜덤 변수 시퀀스 추정” 문제로 환원한다는 중요한 통찰을 제공한다.

Theorem 3.1은 L개의 독립적인 선형 방정식 회수, L개의 연속 비트 회수, 그리고 Q_i 시퀀스 전체를 정확히 맞추는 문제 사이의 등가성을 확립한다. 즉, 키 복구는 결국 Q_1…Q_N을 정확히 맞추는 것과 동치이며, 이는 전통적인 “키 검색”보다 더 정형화된 형태다.

쿼리 기반 키 복구(QuBaR) 공격은 “추측 → 검증 → 종료”의 반복 절차로 정의된다. 여기서 추측 G_k는 (i, θ, q_{θ+i−1}…q_θ) 형태의 트리플이며, 검증 알고리즘 T(G_k)는 추측이 실제 Q 시퀀스와 일치하는지를 0/1로 반환한다. 이 모델은 시간‑메모리 트레이드오프, 상관 공격, 대수적 공격 등 기존의 다양한 공격을 포괄한다는 점에서 일반성을 갖는다.

논문은 두 종류의 하한을 제시한다. 첫 번째는 Exhaustive‑Search‑Type QuBaR 공격에 대한 하한(Theorem 4.2)으로, 모든 가능한 Q 시퀀스 조합을 순차적으로 탐색하는 경우에도 성공 확률이 1/2^{αL} 수준으로 제한됨을 보인다(α는 상수, 논문에서는 첫 차수에서 2/3 정도로 추정). 두 번째는 전체 QuBaR 공격 집합에 대한 하한(Theorem 5.2)으로, 가장 “가능성 높은” 추측 전략을 사용하더라도 기대 복잡도는 여전히 지수적이며, 첫 차수에서의 상수는 1에 근접한다.

흥미로운 점은 이러한 하한이 “첫 차수에서 달성 가능”함을 보이는 증명(Theorem 4.1, 5.1)이다. 즉, 기존 문헌에서 제시된 “most probable choice” 공격이 제시된 하한과 동일한 지수적 복잡도를 가지므로, 하한이 실제로 의미 있는 최적값임을 확인한다.

가정 A1–A4는 현실적인 암호 분석 시나리오와 크게 괴리되지 않는다. 특히 A1(입력 비트 i.i.d.)은 LFSR의 초기 상태가 균등하게 선택된 경우에 자연스럽게 성립하고, A3(피드백 다항식 비공개)와 A4(다항식 차수 충분히 큼)는 실제 스트림 암호 설계에서 흔히 가정되는 전제이다. 따라서 결과는 ABSG뿐 아니라 유사한 비정형 디케이션 기반 스트림 암호에도 적용 가능할 것으로 기대된다.

결론적으로, 이 논문은 “특정 공격 클래스 내에서의 최적 복잡도 한계”라는 개념을 정량화함으로써, 암호 설계자는 해당 클래스에 대해 근본적인 안전성을 평가할 수 있고, 암호 분석가는 비효율적인 공격 경로를 미리 배제할 수 있는 전략적 가이드를 제공한다는 점에서 학술적·실용적 의의가 크다.