YAPA 공격자 지식 계산을 위한 범용 도구

초록

본 논문은 적용 파이 계산식(applied π‑calculus)에서 공격자의 지식을 표현하는 두 핵심 관계인 추론 가능성(deducibility)과 정적 동등성(static equivalence)을 일반적인 수렴(rewrite) 시스템에 대해 결정할 수 있는 통합 알고리즘을 제시한다. 제안된 절차는 기존에 이론별로 설계된 여러 결정 절차를 하나의 프레임워크로 통합하고, 이를 효율적인 구현으로 제공함으로써 ProVerif·KiSs와 같은 도구와 비교했을 때 실용적인 성능을 보인다.

상세 분석

YAPA는 “Yet Another Protocol Analyzer”의 약자로, 적용 파이 계산식 위에서 공격자의 지식(knowledge)을 형식적으로 분석하기 위한 범용 프레임워크이다. 기존 연구에서는 특정 동형론(equational theory)에 맞춘 전용 알고리즘이 각각 제안되었지만, 이들 알고리즘은 서로 독립적이며 구현이 분산돼 있었다. 논문은 이러한 문제점을 해결하기 위해 “수렴(rewrite) 시스템”이라는 일반적인 형태를 입력으로 받아들일 수 있는 절차를 설계한다. 수렴 시스템은 종료성과 결정성을 보장하는 재작성 규칙 집합으로, 대부분의 암호 연산(예: 해시, 대칭 암호, 공개키 암호)의 수학적 특성을 모델링한다.

핵심 아이디어는 두 단계로 나뉜다. 첫 번째 단계는 주어진 메시지 집합에 대해 가능한 모든 파생(term)들을 정규 형태로 변환하고, 이를 통해 공격자가 만들 수 있는 모든 메시지를 효과적으로 열거한다. 여기서 사용되는 “정규화(normalisation) 알고리즘”은 재작성 규칙을 반복 적용해 무한히 확장되는 경우를 방지하기 위해 “공통 서브터미네이션(common subterm) 공유”와 “바운드드 깊이(bounded depth)” 기법을 결합한다. 두 번째 단계는 정적 동등성 검증을 위해 두 메시지 집합이 동일한 관찰(observable) 능력을 갖는지를 판단한다. 이를 위해 “관찰자(observer) 모델”을 정의하고, 정규화된 메시지들의 동형 사상(isomorphism) 여부를 검사한다.

알고리즘의 일반성은 수렴 시스템이 만족해야 하는 최소 조건—종료성, 결정성, 그리고 완전한 정규 형태 존재—만을 요구함으로써 확보된다. 따라서 기존에 알려진 AC(Associative‑Commutative) 이론, 멀티셋 이론, 그리고 다양한 암호 연산 이론을 모두 포괄한다. 논문은 특히 “바이너리 연산 + 해시 함수”와 같은 복합 이론에 대해 기존 전용 알고리즘과 동일한 결정 결과를 얻는 동시에, 구현 복잡도를 크게 낮춘다는 점을 강조한다.

성능 평가에서는 YAPA의 구현을 ProVerif와 KiSs와 비교하였다. 실험에 사용된 벤치마크는 전형적인 인증 프로토콜(Needham‑Schroeder, Kerberos 등)과 최신 경량 암호 프로토콜을 포함한다. 결과는 대부분의 경우 YAPA가 동일하거나 더 빠른 실행 시간을 보였으며, 특히 정적 동등성 검사에서 메모리 사용량이 현저히 감소했다는 점이 눈에 띈다. 이는 정규화 단계에서 중복 서브터미를 공유하는 최적화가 큰 역할을 함을 시사한다.

마지막으로 논문은 YAPA가 “플러그인식” 구조를 갖추고 있어 새로운 수렴 시스템을 손쉽게 추가할 수 있음을 언급한다. 이는 보안 프로토콜 연구자들이 새로운 암호 연산이나 복합 연산을 도입할 때마다 별도의 도구를 개발할 필요 없이 YAPA에 규칙만 추가하면 된다는 실용적 장점을 제공한다.