Trusted HB 저비용 HB 플러스 프로토콜의 MiTM 방어 강화

초록

본 논문은 경량 RFID 인증 프로토콜인 HB+에 대한 중간자 공격(MiTM) 취약점을 해결하기 위해, 기존 HB+ 라운드에 가벼운 선형 해시와 일회용 패드 기반 메시지 인증을 추가하는 Trusted‑HB 방식을 제안한다. 추가 통신과 하드웨어 비용을 최소화하면서, 해시 함수가 ε‑균형성을 만족하면 공격 성공 확률을 ε 이하로 제한할 수 있음을 증명한다.

상세 분석

HB+ 프로토콜은 LPN(Learning Parity with Noise) 문제의 난이도에 기반한 경량 인증 메커니즘으로, 태그와 리더가 공유하는 비밀 키 x 와 y 를 이용해 r 라운드의 선형 방정식을 교환한다. 기존 보안 모델은 인증 성공·실패 결과만을 이용해 공격자를 제한했지만, Gilber·Robshaw·Sibert가 제시한 MiTM 공격에서는 중간에 도청자가 도전 벡터 a 에 임의의 δ를 XOR해 삽입함으로써, 각 라운드에서 δ·x 값을 점진적으로 추정할 수 있다. 이는 LPN 문제를 풀어내는 데 필요한 정보와 동일한 양을 제공하므로, HB+만으로는 MiTM에 대한 형식적 보장을 제공하지 못한다.

논문은 이 문제를 해결하기 위해 두 단계로 구성된 Trusted‑HB를 설계한다. 첫 번째 단계는 기존 HB+ 라운드를 그대로 수행하여 태그와 리더가 동일한 (x, y) 쌍을 찾도록 한다. 여기서 각 라운드에서 발생한 잡음 ν_i 는 이후 단계에서 일회용 패드 e 를 생성하는 입력으로 사용된다. 두 번째 단계에서는 LFSR 기반 Toeplitz 해시 h 를 이용해, 라운드 전체에서 수집된 (a_i, b_i, z_i) 시퀀스를 해시하고, 해시 결과에 e 를 XOR한 인증 토큰 t 를 전송한다. 해시 함수 집합 H 는 ε‑균형(ε‑almost universal) 특성을 갖는 선형 해시이며, Kra​wczyk가 제안한 Toeplitz 구조를 채택해 하드웨어 구현 비용을 최소화한다.

보안 분석에서는 해시가 ε‑secure이고, E (잡음 → 패드 변환 함수)가 무작위성을 제공한다면, 공격자가 변조된 메시지와 일치하는 인증 토큰을 만들 확률이 ε 이하임을 정리 1을 통해 증명한다. 여기서 핵심은 공격자가 ν′ (변조 후 잡음) 값을 알 수 없다는 점이다. ν′ 를 복원하려면 (x, y) 를 추정해야 하는데, 이는 LPN 문제와 동등한 난이도를 가지므로 실질적인 공격 비용이 크게 증가한다.

구현 측면에서는 Toeplitz 해시를 LFSR로 구현함으로써, 해시 연산을 비트 단위 누산 레지스터로 수행할 수 있어 라운드당 추가 연산량이 거의 없으며, 전체 회로 게이트 수는 수십 개 수준에 머문다. 또한, 잡음 벡터 ν 를 무작위 패드 e 로 변환하기 위해 von Neumann 추출기를 사용하면, 입력 잡음이 0.25 ~ 0.5 범위의 편향을 가질 때도 충분히 균등한 비트 스트림을 얻을 수 있다. 실험 파라미터로는 η=0.25, k₁=80, k₂=512, r=1164 라운드, u=0.34 임계값을 사용했으며, 이 설정에서 진정한 태그가 거부될 확률은 2⁻⁴⁰, 무작위 추측에 의한 인증 성공 확률은 2⁻⁸⁰ 수준이다. 최종 인증 메시지 길이는 평균 218비트이며, 101비트를 목표로 추출하면 ε ≤ 2⁻⁸⁰의 보안을 확보한다.

요약하면, Trusted‑HB는 기존 HB+의 경량성을 유지하면서, 선형 Toeplitz 해시와 잡음 기반 일회용 패드 결합을 통해 MiTM 공격에 대한 형식적 보장을 제공한다. 추가 통신은 한 라운드(즉, 기존 라운드 수와 동일)만 늘어나며, 하드웨어 비용은 LFSR와 XOR 게이트 몇 개로 충분히 구현 가능하다.