퍼뮤테이션 짧은 표현과 Algebraic Eraser 암호 해석

초록

본 논문은 Colored Burau Key Agreement Protocol(CBKAP)에서 공개된 정보만으로 공유 비밀키를 복구하는 효율적인 휴리스틱 알고리즘을 제시한다. 핵심은 무작위 퍼뮤테이션 집합으로부터 목표 퍼뮤테이션을 $O(n^2\log n)$ 길이의 짧은 곱으로 표현하는 방법이며, 이는 최소 사이클 가설(Minimal Cycle Conjecture) 하에 이론적으로 보장된다. 실험 결과, $n\ge256$에서도 상수가 작아 실용적임을 확인하였다.

상세 분석

논문은 먼저 Algebraic Eraser(AE)와 그 구체적 구현인 CBKAP의 구조를 재조명한다. AE는 무한군(예: braid group)과 유한 비가환군(예: 퍼뮤테이션 군)의 하이브리드를 이용해 키 교환을 수행하는데, 공개값은 두 종류의 행렬과 퍼뮤테이션의 조합으로 나타난다. 공격자는 이 공개값을 이용해 비밀키를 구성하는 두 부분, 즉 비밀 퍼뮤테이션 $k$와 비밀 행렬 $M$을 각각 복원해야 한다.

핵심 아이디어는 “퍼뮤테이션의 짧은 표현” 문제이다. 주어진 무작위 퍼뮤테이션 집합 $S={s_1,\dots,s_m}$에 대해 목표 퍼뮤테이션 $\sigma\in S_n$를 $S$의 원소들의 곱으로 나타내는 최소 길이 표현을 찾는 것이 목표다. 저자들은 확률론적 군 이론과 확장 그래프(expander graph) 이론을 결합해, 무작위 $S$가 충분히 큰 경우(특히 $m=O(\log n)$) 그래프의 직경이 $O(\log n)$임을 이용한다. 이때 BFS와 랜덤 워크를 혼합한 탐색 알고리즘을 적용하면 평균적으로 $O(n^2\log n)$ 길이의 표현을 얻을 수 있다.

알고리즘의 복잡도는 시간·공간 모두 $O(n^3)$이며, 이는 기존에 알려진 어떤 방법보다도 월등히 효율적이다. 특히 $n\ge256$인 경우에도 메모리 요구량이 수백 메가바이트 수준에 머물러 실제 구현이 가능함을 실험으로 입증한다.

이 짧은 표현 알고리즘을 CBKAP에 적용하면, 공개된 퍼뮤테이션 $p$와 행렬 $A$를 이용해 비밀 퍼뮤테이션 $k$를 $O(n^2\log n)$ 단계 내에 복원할 수 있다. 이어서 행렬 부분은 $k$와 공개 행렬들의 관계식 $A = M\cdot \phi(k)$(여기서 $\phi$는 퍼뮤테이션을 행렬로 매핑하는 동형사상) 를 이용해 선형 방정식 시스템으로 전환한다. 시스템은 $n\times n$ 차원의 선형 방정식이며, $k$가 이미 알려졌으므로 일반적인 가우스 소거법으로 $M$을 정확히 구한다.

이 과정 전체는 “표준 분포”(즉, 키가 균등하게 선택된 경우)를 전제로 한다. 저자들은 실험적으로 10,000번 이상의 무작위 인스턴스에 대해 성공률이 100%에 가깝다는 것을 보고한다. 다만 SecureRF가 실제 제품에 적용한 변형은 비표준(프라이버시) 분포를 사용하므로, 본 논문의 결과가 바로 실용적인 취약점을 의미하지는 않는다.

마지막으로 최소 사이클 가설(Minimal Cycle Conjecture)을 제시한다. 이 가설은 무작위 퍼뮤테이션 집합이 생성하는 Cayley 그래프에서 가장 짧은 사이클의 길이가 $O(\log n)$ 이하라는 내용이다. 가설이 참이면 위 알고리즘의 복잡도와 표현 길이에 대한 이론적 상한이 증명된다. 현재까지는 실험적 검증만 이루어졌으며, 이 가설 자체가 군 이론에서 흥미로운 오픈 문제로 남아 있다.

요약하면, 논문은 퍼뮤테이션 군에서의 짧은 표현 문제를 효율적으로 해결함으로써 CBKAP의 핵심 비밀키를 복원하는 새로운 암호 해석 방법을 제시하고, 그 이론적 기반을 최소 사이클 가설에 연결시킨다.