알지브라 이레이저 보안성 재평가

초록

본 논문은 알지브라 이레이저(AE) 기반의 Colored Burau Key Agreement Protocol(CBKAP)에 대한 2009년 Myasnikov‑Ushnakov 공격의 실효성을 실험적으로 검증한다. 짧은 키에 대해서는 공격이 성공하지만, 실용적인 길이와 구조를 갖는 키를 사용하면 공격 성공률이 0%에 수렴한다. 또한 논문은 실제 구현에서 가정되는 일부 전제조건이 성립하지 않음을 지적하며, 따라서 CBKAP는 현재 알려진 공격에 대해 실질적인 위협이 없음을 결론짓는다.

상세 분석

본 연구는 AE가 기반으로 하는 동시 공통 켤레 탐색 문제(Generalized Simultaneous Conjugacy Search Problem, GSCSP)를 공략하는 Myasnikov‑Ushnakov(이하 MU) 공격을 정밀히 재현하고, 다양한 파라미터 설정 하에서 그 효율성을 평가하였다. 먼저 AE의 핵심 구조인 Braid 그룹과 그 위에 정의된 색칠된 Burau 표현을 복습하고, CBKAP에서 공개키와 비밀키가 어떻게 구성되는지를 명확히 했다. MU 공격은 두 단계로 이루어진다. 첫 번째 단계는 공개된 교환 행렬들로부터 가능한 ‘베이스 변환 행렬’들을 후보군으로 추출하는 것이며, 두 번째 단계는 각 후보에 대해 선형 방정식 시스템을 풀어 실제 비밀 결합자를 복원하려는 시도이다. 논문은 이 과정에서 공격자가 필요로 하는 ‘짧은 단어 길이’와 ‘특정 형태의 교환 행렬’이라는 가정을 명시한다. 실험에서는 키 길이를 80, 120, 160 비트 등 실용적인 수준으로 늘렸을 때, 후보군의 크기가 기하급수적으로 폭발하여 계산량이 비현실적인 수준에 도달함을 확인했다. 반면, 40비트 이하의 짧은 키에서는 후보군이 제한적이어서 성공률이 70% 이상으로 나타났다. 또한 실제 RFID·센서 환경에서 CBKAP 구현 시에는 교환 행렬을 무작위화하거나 추가적인 난수 패딩을 적용하는 것이 일반적이며, 이는 MU 공격이 전제하는 ‘동일한 교환 행렬 집합’ 가정을 깨뜨린다. 따라서 논문은 “키 길이와 구현상의 무작위성”이 MU 공격의 성공을 좌우하는 핵심 변수임을 강조한다. 마지막으로, 공격 비용을 정량화한 결과, 128비트 보안 수준을 목표로 할 경우 연산 복잡도는 2^80 수준을 넘어 실용적인 공격이 불가능함을 입증하였다. 이러한 분석은 AE 기반 프로토콜이 기존의 격자 기반 혹은 곱셈군 기반 암호에 비해 경량성을 유지하면서도 충분한 보안성을 제공한다는 점을 뒷받침한다.