NSABC 블록 암호 간결하고 효율적인 설계

초록

NSABC는 Skipjack 구조를 확장해 w‑비트 워드 연산만으로 구현된 4w‑비트 블록 암호이다. 5w‑비트 키와 선택적 4w‑비트 트윅을 사용하며, ⊙·⊡ quasi‑group 연산을 기반으로 32 라운드(두 라운드씩 16번) 암호화를 수행한다. w=64일 때 소프트웨어 구현이 바이트당 약 9 사이클의 속도를 보인다.

상세 분석

NSABC는 기존 Skipjack의 4라운드 Feistel 구조를 버리고, w‑비트 워드 하나에 대해 두 번의 ⊡ 연산과 회전(⟨w/2⟩)을 적용하는 G‑box를 삽입한다. ⊡ 연산은 x⊡y = 2·x·y ⊞ x ⊟ y 로 정의되며, 이는 ⊙ 연산(x⊙y = 2·x·y ⊞ x ⊞ y)과 상호 변환 가능한 quasi‑group을 형성한다. ⊙는 2^w+1 모듈러 곱셈에 동형인 군이며, 단위 원소는 0, 역원은 ¯x = ⊟x·(2x⊞1)−1 로 구한다. 이러한 구조 덕분에 암호와 복호화가 동일한 연산 흐름을 공유하면서도 키 워드 z의 역원을 이용해 역연산이 가능하다.

키 스케줄은 Skipjack과 동일하게 5w‑비트 키 Z를 32개의 라운드 키 z_k 로 순환시킨다. 추가적인 w‑비트 단위 키 U는 ⊡_e 연산에서 사용되는 단위 원소 e 를 생성하고, 트윅 T(선택적)는 4w‑비트 값으로 각 라운드마다 XOR 혼합에 삽입되어 동일 키 하에서도 블록마다 독립적인 변형을 제공한다. 라운드 구조는 A형과 B형이 교차하면서 8라운드씩 4패스로 구성되며, 각 라운드에서 x0 워드가 G‑box를 통과한 뒤 x1 또는 x3 와 XOR 결합한다. 이 설계는 확산과 혼돈을 서로 다른 단계에서 담당하도록 하여, 단일 라운드에서 발생할 수 있는 구조적 취약성을 분산시킨다.

성능 측면에서 w=64일 때 구현은 x86‑64 환경에서 바이트당 약 9 사이클을 기록한다. 이는 순수 워드 연산(덧셈, 뺄셈, 회전, XOR)만을 사용하고, 복잡한 S‑box를 배제했기 때문이다. 또한 ⊙·⊡ 연산이 모듈러 곱셈과 유사한 비선형성을 제공하면서도 하드웨어 구현이 간단해, 임베디드 시스템에서도 효율적으로 동작할 수 있다.

보안 분석에서는 두 가지 주요 관점을 제시한다. 첫째, ⊙·⊡ 군 구조가 IDEA와 유사한 비선형성을 제공하므로 선형 및 차분 공격에 대한 저항성이 기대된다. 그러나 군 연산이 완전한 비가역성을 보장하지 않으며, ⊡ 연산이 비교적 단순한 다항식 형태이기 때문에 고차 다항식 공격(예: XL‑attack)이나 Gröbner‑basis 기반 해석에 취약할 가능성이 있다. 둘째, 라운드 키가 단순 순환 방식이므로 키 스케줄 자체가 암호 강도에 큰 영향을 미치지 않지만, 키 스케줄에 대한 자체적인 암호학적 검증이 부족하다. 트윅을 사용하면 동일 키 하에서의 반복 암호문에 대한 차분 분석을 방지할 수 있지만, 트윅 자체가 공개된 경우에는 추가적인 보안 이득이 사라진다.

전반적으로 NSABC는 설계가 간결하고 구현이 효율적이며, 기존 Skipjack과 IDEA의 장점을 결합하려는 시도로 평가된다. 그러나 공식적인 보안 증명이나 광범위한 암호학적 검증이 부족하므로, 실무 적용 전에는 추가적인 분석이 필요하다.