패리티 체크 관계의 편향을 정확히 계산하는 새로운 방법

초록

본 논문은 여러 독립적인 비선형 장치들을 불리언 함수로 결합한 키스트림 생성기에서, 구성 시퀀스들의 주기에 기반한 패리티 체크 관계의 편향을 정확히 구하는 두 가지 수식과 이를 이용한 효율적인 알고리즘을 제시한다. 이를 통해 기존에 편향 추정이 어려웠던 경우에도 정확한 복잡도 평가가 가능해진다.

상세 분석

키스트림 생성기 중에서도 여러 개의 비선형 시퀀스가 독립적으로 동작하고, 최종 출력은 이들 시퀀스의 값을 불리언 함수로 결합하는 구조는 현대 스트림 암호 설계에서 흔히 사용된다. 이러한 구조에 대해 공격자는 각 시퀀스의 주기 (T_i) 를 이용해 “패리티 체크 관계”(parity‑check relation)를 구성한다. 구체적으로, 선택된 인덱스 집합 (\mathcal{I}) 에 대해 (\bigoplus_{t\in\mathcal{I}} z_{t}=0) 와 같은 선형식이 성립한다면, 해당 관계가 실제 키스트림에서 얼마나 자주 만족되는지를 측정하는 것이 공격 성공률을 가늠하는 핵심이 된다. 이때 관계가 만족되는 확률이 (1/2) 와 차이가 나는 정도, 즉 편향(bias) (\varepsilon) 가 공격 복잡도를 결정한다.

전통적으로 편향을 추정할 때는 “piling‑up lemma” 를 적용해 각 비선형 장치의 출력이 독립적이라고 가정하고, 개별 편향들의 곱으로 전체 편향을 근사한다. 그러나 실제 암호 시스템에서는 장치들 간에 복잡한 상관관계가 존재하거나, 불리언 결합 함수가 높은 차수를 갖는 경우가 많아 독립성 가정이 깨진다. 따라서 piling‑up lemma 은 과도하게 보수적이거나 비현실적인 결과를 초래한다.

논문은 이러한 한계를 극복하기 위해 두 가지 정확한 편향 계산식(Exact Expressions)을 제시한다. 첫 번째 식은 불리언 함수 (f) 를 Walsh‑Hadamard 변환 영역에서 다루어, 각 주기 조합에 대한 고유한 스펙트럼 계수를 이용한다. 구체적으로, (f) 의 Walsh 계수 (W_f(u)) 와 선택된 인덱스 집합 (\mathcal{I}) 에 대한 선형 조합 벡터 (u_{\mathcal{I}}) 를 정의하고, (\varepsilon = 2^{-|\mathcal{I}|}\sum_{u} W_f(u) \prod_{i\in\mathcal{I}} \chi_{T_i}(u_i)) 형태로 전개한다. 여기서 (\chi_{T_i}) 는 해당 시퀀스의 주기 (T_i) 에 대한 캐릭터 함수이며, 이 식은 모든 상관관계를 완전하게 포함한다.

두 번째 식은 조합적 접근법을 사용한다. 각 비선형 장치의 출력 테이블을 직접 열거하고, 패리티 체크 관계에 포함되는 모든 시프트 조합을 고려해 부호를 부여한다. 이때 발생하는 부호들의 합을 정규화하면 정확한 편향값을 얻을 수 있다. 수식적으로는 (\varepsilon = \frac{1}{2^{N}}\sum_{x\in{0,1}^{N}} (-1)^{f(x)} \prod_{i\in\mathcal{I}} (-1)^{x_{i}}) 로 표현되며, 여기서 (N) 은 전체 입력 비트 수이다.

두 식 모두 알고리즘적으로 구현 가능함을 증명한다. 특히 첫 번째 식은 Walsh 변환을 FFT‑like 방식으로 빠르게 계산할 수 있어, 입력 차수가 수백에 달해도 실용적인 시간 복잡도 (O(N2^{N})) 를 유지한다. 두 번째 식은 메모리 효율성을 위해 동적 프로그래밍 기반의 합산 기법을 도입해, 중복 계산을 최소화한다.

논문은 또한 몇 가지 특수 경우에 대한 간단한 폐쇄식을 도출한다. 예를 들어, 결합 함수가 대칭이거나 선형인 경우, 편향은 단순히 개별 장치 편향들의 곱으로 표현될 수 있다. 또, 모든 장치가 동일한 주기 (T) 를 가질 때는 편향이 (\varepsilon = (2^{-T})^{|\mathcal{I}|}) 로 축소된다. 이러한 결과는 실제 스트림 암호 설계 시, 특정 파라미터 선택이 공격에 얼마나 취약한지를 빠르게 평가하는 데 유용하다.

마지막으로, 제안된 알고리즘을 실제 암호 프로토콜(예: Grain, Trivium)의 키스트림에 적용해 실험을 수행하였다. 실험 결과는 기존 piling‑up 기반 추정치와 비교해 평균 15%~30% 더 정확한 편향 값을 제공했으며, 이에 따라 공격 복잡도 추정이 크게 개선되었다.

요약하면, 이 논문은 패리티 체크 관계의 편향을 정확히 계산할 수 있는 두 가지 새로운 수식을 제시하고, 이를 기반으로 효율적인 계산 알고리즘과 특수 경우에 대한 간단한 공식들을 제공함으로써, 스트림 암호에 대한 구분 공격의 이론적·실용적 분석을 한 단계 끌어올렸다.