평균집합 공격: 시버트 인증 프로토콜의 암호분석

초록

시버트 등(2010)의 그룹 기반 인증 프로토콜을 분석하여, 해당 프로토콜이 계산적으로 영지식이 아님을 보였다. 저자들은 복잡한 대수 문제(공액 탐색 문제)를 푸는 대신, 인증 과정에서 발생하는 확률적 분포를 이용한 평균집합 공격을 제안하고, 브레이드 군과 같은 길이 함수가 효율적으로 계산되지 않는 군에서도 실험적으로 성공함을 입증하였다.

상세 분석

본 논문은 시버트 등(2010)이 제안한 Feige‑Fiat‑Shamir 형태의 그룹 기반 인증 프로토콜을 대상으로, 영지식성(zero‑knowledge)이라는 핵심 보안 속성이 실제로 유지되지 않음을 증명한다. 기존의 암호학적 분석은 주로 기저 대수 문제, 즉 공액 탐색 문제(conjugacy search problem)의 난이도에 의존해 왔다. 그러나 저자들은 이와는 다른 접근법을 채택한다. 먼저, 프로토콜에서 prover가 전송하는 두 종류의 커밋(commit) – 하나는 비밀 원소 s와 무작위 r의 곱인 xr, 다른 하나는 r 자체인 yr – 를 관찰한다. 인증 라운드가 반복될수록, 공격자는 xr와 yr 사이의 통계적 관계를 추정할 수 있다. 특히, 그룹 원소를 임베딩한 거리(또는 길이) 함수가 존재한다면, xr와 yr의 길이 차이는 비밀 s의 길이에 비례한다는 사실을 이용한다. 저자들은 “평균집합”(mean‑set)이라는 개념을 도입해, 다수의 라운드에서 얻은 xr와 yr의 길이 차이를 평균화함으로써 s에 대한 근사값을 추정한다. 이 과정은 확률적 수렴을 보장하는 마르코프 체인 이론에 기반한다.

핵심 기술적 기여는 다음과 같다. 첫째, 영지식성 검증을 위해 “시뮬레이터”가 존재해야 함을 보이면서, 실제 프로토콜 실행 시 공격자가 관찰할 수 있는 통계량이 시뮬레이터가 생성할 수 없는 정보를 제공한다는 점을 증명한다. 둘째, 평균집합 공격 알고리즘을 구체적으로 제시하고, 복잡도 분석을 통해 라운드 수가 O(log |G|) 수준이면 성공 확률이 충분히 높아짐을 보인다. 셋째, 길이 함수가 효율적으로 계산되지 않는 비아벨 군, 특히 Artin‑Braid 군 Bₙ에 대해 실험을 수행하였다. 여기서는 Nielsen‑Thurston 표준형을 이용해 근사 길이 값을 추정하고, 평균집합 공격을 적용해 비밀 s를 복원하는 데 성공하였다. 실험 결과는 평균집합 공격이 100 % 성공률에 근접했으며, 라운드 수가 30~50 정도면 실시간 수준으로 복원이 가능함을 보여준다.

이러한 결과는 두 가지 중요한 시사점을 가진다. 첫째, 그룹 기반 인증 프로토콜 설계 시 영지식성을 보장하려면, 단순히 어려운 대수 문제에 의존하는 것이 아니라, 프로토콜이 노출하는 모든 통계적 정보를 최소화해야 함을 의미한다. 둘째, 브레이드 군과 같이 길이 함수가 명시적으로 정의되지 않은 군에서도 확률적 방법으로 비밀을 추정할 수 있음을 보여, 기존 보안 모델이 과도하게 낙관적일 수 있음을 경고한다. 향후 연구는 평균집합 공격을 일반화하여 다른 그룹 기반 프로토콜에 적용하거나, 길이 함수 없이도 통계적 차이를 이용할 수 있는 새로운 방어 메커니즘을 설계하는 방향으로 진행될 필요가 있다.