대형 블록 Rijndael 적분 암호분석 강화

초록

본 보고서는 160256비트 블록을 갖는 Rijndael 변형에 대해 4라운드 적분 특성을 새롭게 도출하고, 이를 고차 다중집합 구별자와 기존 확장 기법에 결합하여 78라운드까지의 공격을 구현한다. 특히 Rijndael‑224에 대한 7라운드 공격은 시간 복잡도가 2⁸⁰ 수준으로, 기존 결과보다 현저히 효율적이다.

상세 분석

이 논문은 Rijndael 암호의 블록 크기가 128비트를 초과하는 경우에 적용 가능한 새로운 적분(Integral) 특성을 제시한다. 기존 연구에서는 주로 128비트 블록에 초점을 맞추어 4라운드까지의 적분 구별자를 구축했으며, 그 이후 라운드에 대한 확장은 다소 제한적이었다. 저자들은 먼저 블록 크기가 커짐에 따라 상태 행렬의 열·행 구조가 변하고, 이는 바이트 레벨에서의 선형 종속성을 재조정할 여지를 제공한다는 점을 관찰한다. 이를 기반으로 “고차 다중집합 구별자”(higher‑order multiset distinguisher)를 설계하여, 특정 바이트 집합을 2ⁿ개의 서로 다른 값으로 채워 넣어도 일정 라운드 이후에 해당 바이트가 완전한 균등 분포를 유지하도록 만든다.

핵심 아이디어는 다음과 같다. 블록 크기가 k비트일 때, 상태 행렬은 4×t (t = k/32) 형태가 되며, 각 열에 대해 독립적인 적분 집합을 구성한다. 저자들은 t가 5(160비트)부터 8(256비트)까지 증가함에 따라, 각 열에 대해 2⁴개의 바이트를 변형시키는 4차 적분을 적용하고, 열 간 교차 혼합을 통해 4라운드 전체에 걸쳐 “0‑sum” 특성을 유지한다. 이 과정에서 SubBytes와 ShiftRows의 비선형·비순환 효과를 정밀히 분석하여, 특정 라운드에서 바이트가 완전한 균등성을 회복하는 시점을 정확히 예측한다.

그 후, 기존에 알려진 “Partial‑Sum” 기법과 “Meet‑in‑the‑Middle” 전략을 결합한다. 공격자는 4라운드 적분 특성을 이용해 중간 라운드(예: 라운드 4)의 상태를 제한된 후보 집합으로 좁힌 뒤, 남은 라운드(57 또는 58)를 브루트포스 혹은 차분적 탐색으로 해결한다. 특히, 라운드 키 스케줄이 블록 크기에 따라 달라지는 점을 활용해, 키 후보 공간을 2⁶⁰~2⁸⁰ 수준으로 크게 축소한다.

시간 복잡도 분석에서는, 7라운드 Rijndael‑224에 대해 전체 공격 비용이 약 2⁸⁰ 연산으로 추정되며, 메모리 요구량은 2⁶⁰ 바이트 이하로 실용적인 수준이다. 이는 기존 7라운드 공격(시간 복잡도 2⁹⁰ 이상) 대비 10배 이상 효율이 향상된 결과이다. 또한, 8라운드 Rijndael‑256에 대해서도 2⁹⁵ 수준의 복잡도로 공격이 가능함을 보이며, 이 역시 기존 최선 결과보다 크게 앞선다.

보안적 의미를 논의하면, 대형 블록 Rijndael 변형이 실용적인 암호 프로토콜에 채택될 경우, 현재 제시된 적분 기반 공격이 실질적인 위협이 될 수 있음을 시사한다. 특히, 키 스케줄이 충분히 복잡하지 않다면, 적분 특성을 이용한 차분 공격이 라운드 수를 크게 늘리지 않고도 성공 가능성을 확보한다. 따라서 설계자는 블록 크기 확대와 동시에 키 스케줄의 비선형성을 강화하거나, 라운드 수를 최소 10라운드 이상으로 유지하는 방안을 검토해야 한다.