키 충돌을 이용한 범용 암호 공격

초록

본 논문은 암호키를 변수로 하는 암호함수의 출력(암호문)이 무작위 함수와 유사하게 동작한다는 가정 하에, 다수의 키에 대해 암호문을 미리 생성해 사전(D) 형태로 저장하고, 공격자가 얻은 암호문과 사전을 비교함으로써 비밀키를 추정하는 일반적인 충돌 기반 공격을 제안한다. 키 공간이 50비트 수준이면 현재 컴퓨팅 파워로도 사전 구축이 가능하므로, 보다 긴 키를 사용해야 안전하다는 결론을 제시한다.

상세 분석

논문은 “키‑충돌”이라는 개념을 도입해, 암호키를 입력으로 하는 암호함수 Fₖ(·)가 완전한 무작위 함수와 동일한 확률 분포를 가진다고 가정한다. 이 가정 하에, n‑비트 평문 X에 대해 Fₖ(X) 가 키 공간과 거의 동일한 크기의 출력 집합을 형성한다는 점을 이용한다. 저자는 임의의 N개의 서로 다른 키 k₁,…,k_N에 대해 동일한 평문 X를 암호화하여 얻은 암호문들을 (Fₖᵢ(X), kᵢ) 형태의 엔트리로 사전 D에 저장한다. 이후 공격자는 목표 암호문 C* = F_{k*}(X) 를 획득하면, 사전에서 C* 와 일치하는 엔트리를 찾음으로써 k* 를 복원할 수 있다고 주장한다.

이론적 근거는 “생일 역설”에 기반한다. Proposition 1에서는 N개의 키에 대해 서로 다른 암호문이 발생할 확률 p 를 구하고, p > 1 – 2^{–n} 를 보인다. Proposition 2에서는 사전 크기 N과 공격자가 확보한 암호문 개수 t 가 2·t·n·m ≥ N + m (여기서 m은 사전 탐색에 필요한 비교 횟수) 를 만족하면, 최소 98 % 이상의 성공 확률을 얻는다고 증명한다.

하지만 논문은 몇 가지 근본적인 문제점을 안고 있다. 첫째, 암호키를 변수로 하는 암호함수가 완전한 무작위 함수와 동일한 분포를 가진다는 가정은 대부분의 실용적인 블록·스트림 암호에 대해 성립하지 않는다. 현대 암호는 키와 평문 사이에 강한 확산·혼합 구조를 가져, 동일한 평문에 대해 서로 다른 키가 생성하는 암호문이 거의 독립적이지만, 완전한 충돌 확률을 2^{–n} 수준으로 제한한다는 전제는 과도하게 낙관적이다. 둘째, 사전 구축에 필요한 메모리와 연산량을 50비트 키 공간 정도라고 단순히 추정했지만, 실제로 2^{50}개의 엔트리를 저장하려면 최소 2^{50} × (키 + 암호문) ≈ 2^{50} × (2·n) 비트, 즉 수십 페타바이트 수준의 저장소가 필요하다. 현재 상용 하드웨어로는 현실적인 비용이 아니다. 셋째, 논문은 “몇 개의 암호문만 필요하다(예: 128비트 키에 대해 48바이트 평문)”라고 주장하지만, 실제 공격 성공을 위해서는 사전 내에 정확히 일치하는 암호문이 존재해야 하며, 이는 키와 평문의 선택에 크게 의존한다.

또한, 제시된 수식과 증명은 부정확하고, 변수 정의가 일관되지 않으며, “p > 1 – 2^{–n}” 와 같은 부등식이 실제 암호학적 보안 분석에서 의미하는 바가 명확하지 않다. 기존의 충돌 공격은 주로 해시 함수에 적용되며, 암호키 자체에 대한 충돌을 찾는 것은 키 재사용이나 키 스케줄링 결함이 존재할 때만 의미가 있다. 본 논문은 이러한 전제조건을 전혀 논의하지 않는다.

결론적으로, 제안된 “범용 충돌 공격”은 이론적으로는 가능하지만, 실용적인 적용 가능성은 매우 낮으며, 기존 암호 설계 원칙과 충돌 공격에 대한 선행 연구를 충분히 고려하지 않은 점이 큰 약점이다.