Yen Chen Wu 멀티미디어 암호 시스템 차분 공격 분석

초록

본 논문은 2005년 ISCAS에서 제안된 혼돈 기반 멀티미디어 암호 시스템(MCS)에 대한 차분 공격을 제시한다. 선택 평문 7개만으로 시스템의 핵심 구조와 키 스케줄을 복구할 수 있으며, 공격 복잡도는 평문 크기 N에 대해 O(N)이다. 실험을 통해 이론적 복구 과정을 검증하고, 기존 보안 주장에 대한 실질적인 취약점을 입증한다.

상세 분석

Yen‑Chen‑Wu가 제안한 MCS는 영상·음성 등 대용량 멀티미디어 데이터를 실시간으로 암호화하기 위해 혼돈 맵을 기반으로 한 퍼뮤테이션, 서브스티튜션, 디퓨전 과정을 결합한 구조이다. 구체적으로, 입력 평문을 8비트 블록 단위로 나눈 뒤, 두 단계의 혼돈 기반 퍼뮤테이션(P1, P2)과 비선형 서브스티튜션(S) 그리고 선형 디퓨전(D)을 순차적으로 적용한다. 각 단계는 비밀 키와 초기 조건(초기값)으로부터 생성된 혼돈 시퀀스를 이용해 동적으로 변한다는 점이 보안성의 핵심이라고 주장된다.

논문은 이러한 설계가 실제로는 차분 특성을 충분히 억제하지 못한다는 점을 지적한다. 차분 공격은 두 평문 X와 X′의 차이 ΔX를 이용해 암호문 차이 ΔY와의 관계를 분석함으로써 내부 연산을 선형화한다. 저자는 MCS의 퍼뮤테이션 단계가 순환 구조를 갖고 있어, ΔX가 특정 위치에만 존재할 경우 퍼뮤테이션 후에도 차이가 동일한 위치에 남는다는 사실을 이용한다. 이어서 서브스티튜션 단계는 비선형이지만, 선택 평문을 0과 255(전부 0 또는 전부 1)로 구성하면 입력 차이가 0 또는 255만 남게 되어 출력 차이 역시 예측 가능해진다.

이러한 특성을 활용해 저자는 다음과 같은 7개의 선택 평문을 설계한다. 첫 번째 평문은 전 구간을 0으로 채우고, 두 번째는 한 블록만 1을 삽입한다. 이후 5개의 평문은 동일한 1‑블록을 서로 다른 위치에 배치한다. 각각의 암호문 차이를 측정하면 퍼뮤테이션 매핑 P1, P2와 서브스티튜션 테이블 S를 직접 추출할 수 있다. 특히, P1과 P2는 차이 위치가 어떻게 이동했는지를 통해 순차적으로 복원되며, S는 차이값이 0↔255 사이에서 어떻게 변환되는지를 관찰함으로써 완전 복구가 가능하다.

키 스케줄 복구는 위에서 얻은 퍼뮤테이션과 서브스티튜션 정보를 이용해 혼돈 시퀀스의 초기값을 역추적함으로써 수행된다. 혼돈 맵은 일반적으로 로지스틱 맵이나 치우친 베르누이 맵을 사용하므로, 초기값을 알면 전체 시퀀스를 재생성할 수 있다. 따라서 전체 키는 선택 평문 7개만으로 완전 복구가 가능하며, 공격 복잡도는 각 블록을 한 번씩 읽고 차이를 계산하는 O(N) 수준에 머문다.

실험 결과는 512×512 회색조 영상과 44.1 kHz 오디오 파일을 대상으로 수행되었으며, 복구된 키를 이용해 원본 데이터를 완전 복원함을 보여준다. 이는 MCS가 주장하는 “실시간 고보안 멀티미디어 암호화”에 심각한 결함이 있음을 입증한다.