고차 비선형 4‑균등 파워 매핑의 암호학적 특성

본 논문은 짝수 차수인 GF(2^{4k}) (단 k 홀수) 위에서 정의된 파워 함수 f(x)=x^{2^{2k}+2^{k}+1} 의 암호학적 특성을 심층적으로 분석한다. 서론에서는 차분 균등도와 비선형성이 현대 대칭키 암호에서 S‑box 설계에 필수적인 이유를 설명하고, 현재 알려진 APN 퍼뮤테이션이 짝수 차수 체에서는 존재하지 않음(오픈 문제)을 언급한다. 따라서 차분 균등도 4인 함수가 실용적인 최선이라는 점을 강조하며, AES가 역함수를 채택한 배경을 제시한다. 논문의 핵심은 두 가지 정리이다. 첫 번째 정리(Theorem 1)는 f(x) 가 차분 균등도 4를 갖는다는 것을 증명한다. 이를 위해 임의의 a∈F_{2^{4k}}^{*}, b∈F_{2^{4k}} 에 대해 방정식 f(x)+f(x+a)=b 의 해의 개수를 조사한다. 식을 전개하고 a 로 정규화한 뒤, 상대 트레이스 Tr_{4k}^{k} 를 적용해 x 에 대한 4차 다항식 형태로 변형한다. 두 경우 t=Tr_{4k}^{k}(c)=1 과 t≠1 을 각각 다루며, 각 경우에 대해 추가적인 변형과 제곱 연산을 통해 최종적으로 2차 혹은 4차 방정식으로 귀결시킨다. 이 방정식들은 각각 최대 두 개, 혹은 네 개의 해만을 가질 수 있음을 보이며, 따라서 전체 해의 수는 4를 초과하지 않는다. 또한 gcd(2^{4k}-1, 2^{2k}+2^{k}+1)=1 이 되는 조건이 k 홀수임을 이용해 f 가 전사이면서 전단사(퍼뮤테이션)임을 확인한다. 두 번째 정리(Theorem 2)는 f(x) 가 최대 비선형성 NL=2^{n-1}-2^{n/2-1} 을 달성함을 증명한다. 비선형성은 푸리에 스펙트럼 Λ_f 의 최대 절댓값을 통해 정의되며, 이를 위해 푸리에 계수 b_f(a,b) 를 계산한다. k가 홀수인 경우 f 가 전단사이므로 b=1 만 고려하면 충분하고, k가 짝수인 경우 gcd 값이 3이 되므로 비큐브 원소 두 종류만 검토한다. 저자들은 F_{2^{2k}} 기저를 사용해 x=y+ωa 형식으로 표현하고, 트레이스 연산을 통해 g_γ(x)=Tr(γ^{2}(x^{2^{2k}+2^{k}+1})) 을 선형 함수 형태로 변환한다. 이후 π(a)=γa^{2^{k}-1}+γ^{2}a^{2^{k}+1} 이라는 다항식을 도입하고, 방정식 π(a)=u 의 해 집합 M 의 크기를 분석한다. 기본적인 대수적 변형을 통해 |M|∈{0,1,2,4} 임을 보이며, 최악의 경우 |M|=4 일 때도 푸리에 계수의 절댓값이 2^{2k+1} 이하임을 확인한다. 따라서 비선형성은 이론적 상한 2^{n-1}-2^{n/2-1} 에 도달한다. 논문의 마지막 섹션에서는 결과의 암호학적 의미를 논한다. 차분 균등도 4와 최대 비선형성을 동시에 만족하는 f(x) 는 AES 역함수와 동일한 차분·선형 저항성을 제공하므로, 새로운 S‑box 설계에 직접 적용 가능하다. 특히 k 홀수일 때만 퍼뮤테이션이 되므로, GF(2^{4k}) 위에서 2^{4k}‑비트 블록 암호를 설계할 때 유용하다. 저자들은 현재 알려진 고비선형 δ=4 퍼뮤테이션들의 목록을 정리하고, 두 개의 개방 문제를 제시한다. 첫 번째는 더 많은 고비선형 δ=4 퍼뮤테이션을 찾는 것이며, 두 번째는 비선형성 2^{n-1}-2^{n/2-1} 보다 높은 함수를 존재 여부를 밝히는 것이다. 이러한 연구 방향은 차분·선형 보안이 동시에 요구되는 차세대 암호 설계에 중요한 이론적 기반을 제공한다.