수의 knapsack 암호 체계에 대한 비판과 개선 방안

초록

**
본 논문은 Su가 제안한 초고밀도 knapsack 기반 공개키 암호를 분석한다. 저자는 퍼뮤테이션 결합 기법이 실제 보안에 기여하지 않으며, 특수한 초증가(super‑increasing) 구조 때문에 Shamir의 다항시간 공격과 저밀도(Low‑Density) 공격에 취약함을 보인다. 마지막으로 알려진 z‑공격을 방어하기 위한 개선 스킴을 제시한다.

**

상세 분석

**
이 논문은 Su(2005)의 elliptic‑curve 기반 knapsack 암호를 비판하는데, 핵심은 두 가지 구조적 결함을 지적한다. 첫째, 비밀키가 초증가 수열 v 와 정수 w, p 로 구성된 전통적인 Merkle‑Hellman 형태이기 때문에 Shamir가 1984년에 제시한 다항시간 복구 알고리즘을 그대로 적용할 수 있다. 논문은 이를 “특수 초증가 구성”이라 부르며, 퍼뮤테이션 π 가 존재하더라도 Lenstra의 정수계획법을 n번 호출하면 비밀키를 복원할 수 있음을 주장한다. 둘째, 전체 knapsack의 밀도 d = n / log₂ max a_i 가 0.94 × 10⁻⁸ 이하로 낮아, Coster‑Joux‑Odlyzko‑Schnorr‑Stern이 제시한 저밀도 공격이 적용 가능함을 보인다. 저자는 차원 1025 인 격자를 예시로 들어 LLL 기반 근사 SVP가 실용적으로 실패한다는 점을 지적하지만, 실제 파라미터가 충분히 큰 경우에도 Shamir 공격이 여전히 유효함을 강조한다.

논문의 구조는 기존 knapsack 공격(Shamir, LLL, 저밀도)과 Su 스킴의 설계 요소를 나열하고, 각각을 조합해 “known z attack”을 구성한다. 여기서 z 는 암호문에서 추출 가능한 중간값이며, 이를 알면 비밀키 복구가 가능하다고 주장한다. 그러나 논문은 z 값을 실제로 어떻게 구하는지, 복구 과정에서 발생하는 복잡도와 성공 확률을 정량적으로 제시하지 않는다. 또한 제안된 개선안은 퍼뮤테이션 적용 순서를 바꾸는 정도에 불과해, 근본적인 초증가 구조를 제거하지 않으므로 동일한 Shamir 공격에 여전히 노출될 가능성이 크다.

문법·표기 오류와 부정확한 수식 전개가 눈에 띈다. 예를 들어, 밀도 d 에 대한 정의와 실제 값 표기가 일관되지 않으며, “9408 · 0” 같은 표현은 오타로 보인다. 참고문헌도 최신 연구(예: lattice‑based knapsack 설계, 양자 저항성 knapsack)와 비교하지 않아 연구의 위치를 명확히 제시하지 못한다. 전반적으로 기존 공격을 재조합한 수준에 머물며, 새로운 보안 분석 기법이나 실험적 검증이 부족한 것이 가장 큰 약점이다.

**