비이진 타르도스 코드의 최악의 위양성 공격 분석

초록

본 논문은 시뮬레이션 없이 비이진 타르도스 지문 코드의 위양성 확률을 정확히 계산하는 방법을 확장하고, 위양성 확률을 asymptotically 최대로 만드는 새로운 콜루전 공격을 이론적으로 도출한다. 해당 공격은 평균 누적 점수 µ̃ 값을 최소화하여 코드 길이 m ≈(2/µ̃²) c² ln(1/ε₁) 을 크게 만든다. 수치 실험을 통해 작은 집단에서 급격한 전이 현상이 나타나는 이유를 설명한다.

상세 분석

이 연구는 먼저 Simone와 Skoric이 제시한 “Gaussian approximation” 기반의 비이진 타르도스 코드 분석 프레임워크를 재정의한다. 기존 방법은 공격 전략이 제한적이었으며, 특히 다중 알파벳(q≥3) 상황에서 평균 누적 점수 µ̃ 을 구하는 데에만 초점을 맞추었다. 저자들은 “pre‑computation” 단계에서 사용되는 K_b 파라미터를 일반적인 콜루전 전략에 대해 효율적으로 계산할 수 있는 세 가지 클래스(1, 2, 3)를 정의하고, 각각에 대한 정리(Theorem 1‑3)를 증명하였다. 특히 클래스 3은 심볼 발생 횟수에 대한 순위 기반(다수결, 소수결 등) 전략을 포괄하며, K_b를 O(q c²) 복잡도로 구할 수 있게 한다.

핵심 기여는 µ̃를 최소화하는 “worst‑case” 공격을 식별한 점이다. µ̃는 코드 길이와 직접 연결되는 파라미터로, µ̃가 작을수록 동일한 오류 허용 수준(ε₁)에서 요구되는 코드 길이 m이 급격히 증가한다. 저자들은 µ̃를 q, κ(베타 분포 파라미터), 그리고 콜루전 전략에 따라 표현한 식(12‑13)을 이용해, µ̃를 최소화하는 전략이 결국 σ_α 값이 가장 큰 심볼을 선택하는 “다수결” 형태와, 특정 파라미터 구간에서는 “소수결” 형태로 전환되는 복합 전략임을 증명한다. 이 복합 전략은 b(=σ_α)와 다른 심볼 카운트 z 의 관계에 따라 가중치를 부여하는 함수 W(b, z) 에 의해 정의되며, 클래스 3의 조건 W(b, z)+W(z, b)=1 을 만족한다.

수치 실험에서는 다양한 q와 c에 대해 µ̃‑최소화 공격을 적용했으며, 특히 작은 집단(c ≤ 10)에서 µ̃가 급격히 변하는 “sharp transition” 현상이 관찰되었다. 이는 공격이 다수결에서 소수결로 전환되는 임계점에서 P₁(b) 와 T(b) (식 13)의 형태가 급변하기 때문이다. 이러한 전이는 실제 시스템 설계 시 코드 길이 선택에 큰 영향을 미치며, 공격자가 전략을 동적으로 바꿀 경우 방어 측면에서 대비가 필요함을 시사한다.

또한, 저자들은 Gaussian 근사와 정확한 PDF 계산(식 14‑16)을 결합한 반정밀도 방법을 제시한다. Fourier 변환을 이용해 한 세그먼트의 누적 점수 분포 ϕ 의 변환을 구하고, 이를 m번 합산한 뒤 Hermite 함수와 복소수 적분을 통해 위양성 확률 R_m(Z) 을 고정밀도로 계산한다. 이 과정에서 t_max(전개 차수)와 m의 관계를 분석해, 코드 길이가 충분히 클 경우 Gaussian 근사가 매우 정확함을 재확인한다.

결론적으로, 본 논문은 비이진 타르도스 코드의 보안성을 평가할 때 공격 전략을 보다 일반화하고, 최악의 경우를 정확히 파악할 수 있는 도구와 이론적 기반을 제공한다. 이는 실무에서 코드 파라미터를 선택하거나 새로운 방어 메커니즘을 설계할 때 중요한 참고 자료가 될 것이다.