NLHB: 비선형 해밍 기반 초경량 인증 프로토콜

초록

NLHB 프로토콜은 기존 HB 프로토콜의 선형 코드를 비선형 코드로 대체하여, 수동 공격에 대한 보안을 비선형 디코딩 문제에 귀속시킨다. 이를 통해 키 길이를 크게 줄이면서도 동일한 보안 수준을 유지하고, RFID와 같은 초저전력 디바이스에서도 구현 가능한 낮은 연산 복잡도를 제공한다. 또한 NLHB⁺를 제안해 DET 모델의 활성 공격에도 안전함을 증명한다.

상세 분석

NLHB 논문은 경량 인증 분야에서 오랜 기간 사용되어 온 HB·HB⁺ 시리즈의 근본적인 한계를 비선형 변환을 도입함으로써 극복하고자 한다. 기존 HB 프로토콜은 비밀 키와 공개 챌린지를 선형 결합한 뒤 노이즈를 추가해 응답을 생성한다. 이 구조는 선형 코드 디코딩 문제와 동치이므로, LPN(Learning Parity with Noise) 문제의 난이도에 의존한다. 그러나 수십 년에 걸친 연구로 LPN에 대한 다양한 효율적인 수동 공격(예: BKW, LF‑2)들이 제시되어, 실용적인 키 길이가 크게 축소되는 부작용이 있었다.

NLHB는 이 점을 보완하기 위해 응답 생성 단계에 비선형 함수를 삽입한다. 구체적으로, 프로버는 비밀 키와 챌린지 벡터의 원소별 곱을 계산한 뒤, 사전 정의된 비선형 매핑 f (예: 다항식 형태의 AND·XOR 조합)으로 변환하고, 마지막에 가우시안 노이즈를 더한다. 이렇게 하면 전체 응답은 비선형 코드워드가 되며, 공격자는 이제 선형 LPN이 아닌 비선형 디코딩 문제에 직면한다. 논문은 이 비선형 코드 클래스가 현재 알려진 알고리즘으로는 다항식 시간 내에 해결하기 어려운 문제임을 증명한다(특히, NP‑hard 하위 문제와의 귀환을 이용).

보안 증명은 두 단계로 구성된다. 첫째, 임의의 수동 공격자가 NLHB의 인증 과정을 성공적으로 위조한다면, 이를 이용해 비선형 디코딩 어드버터를 구축할 수 있음을 보인다. 둘째, 비선형 디코딩 문제의 난이도를 기존 LPN 기반 보안과 비교해 정량화한다. 결과적으로, 동일한 보안 수준을 유지하면서 키 길이를 기존 HB 대비 약 30 % 정도 감소시킬 수 있다.

성능 측면에서는 비선형 변환이 추가되지만, 구현 비용은 매우 낮다. 논문은 비트 연산 중심의 간단한 논리 게이트(AND, XOR)만으로 f 를 구현할 수 있음을 강조한다. 실험 결과, RFID 태그 수준의 8‑bit 마이크로컨트롤러에서도 연산 사이클이 HB보다 15 % 정도 감소했으며, 전력 소모 역시 비슷하거나 약간 낮았다.

활성 공격에 대비해, NLHB⁺ 변형을 제안한다. 여기서는 프로버와 베리파이어가 각각 독립적인 비밀 키 쌍을 보유하고, 두 라운드의 챌린지를 결합해 응답을 생성한다. DET 모델(동시 다중 라운드, 적대적 채널) 하에서의 보안 증명은 기존 HB⁺와 유사한 게임‑하이브리드 기법을 사용하지만, 비선형 함수가 포함된 점이 새로운 복잡성을 제공한다. 결과적으로, NLHB⁺는 중간자 공격, 재전송 공격 등에 대해 강인한 저항성을 보인다.

전체적으로 이 논문은 경량 인증 프로토콜의 설계 패러다임을 “선형 → 비선형”으로 전환함으로써, 기존의 키 사이즈와 연산 비용 트레이드오프를 크게 개선한다는 점에서 학술적·실용적 의의가 크다. 특히, 사물인터넷·RFID와 같이 극한의 전력·연산 제한이 있는 환경에서 보안 수준을 포기하지 않고 적용할 수 있는 현실적인 솔루션을 제공한다는 점이 주목할 만하다.