메모리 없는 근접 충돌 재조명

초록

본 논문은 해시 함수의 근접 충돌을 메모리를 거의 사용하지 않고 찾는 방법을 재검토한다. 출력 비트를 일부 잘라낸 뒤 충돌을 찾는 전통적 기법과, 사이클 탐색 및 커버링 코드 기반의 최신 기법을 비교·분석한다. 특히 잘라내는 비트 수와 성공 확률 사이의 최적 트레이드오프를 완전하게 제시하고, 메모리 없는 사이클 탐색이 메모리를 활용한 생일 공격과 동일한 쿼리 복잡도를 달성할 수 없음을 증명한다.

상세 분석

논문은 두 가지 주요 질문에 초점을 맞춘다. 첫 번째는 “출력 비트를 t비트만큼 잘라낼 때, 근접 충돌을 얻을 확률은 어떻게 변하는가?”이다. 저자는 해시 출력을 n비트라 가정하고, t비트를 무작위로 제거한 후 남은 n‑t비트에 대해 충돌을 찾는 과정을 분석한다. 이때 충돌이 발생하면 원본 해시값 사이의 해밍 거리는 최대 t가 되므로, t가 클수록 근접 충돌의 허용 오차가 커진다. 그러나 t가 커질수록 충돌을 찾기 위한 기대 시도 횟수는 2^{(n‑t)/2} 로 급격히 증가한다. 저자는 이 관계를 정확히 수식화하고, 성공 확률 P(t)=1−exp(−q^2/2^{n‑t}) (q는 쿼리 수) 형태로 표현한다. 이를 통해 주어진 목표 성공 확률에 대해 최적의 t값을 구할 수 있는 알고리즘을 제시한다.

두 번째 질문은 “사이클 탐색(플로이드, 브렌트 등)과 커버링 코드를 이용한 메모리 없는 방법이, 메모리를 활용한 ‘생일 공격’과 동일한 복잡도를 가질 수 있는가?”이다. 기존 연구에서는 사이클 탐색을 이용해 해시값을 연속적으로 생성하고, 동일한 축소된 출력이 나타나는 순간을 포착함으로써 근접 충돌을 찾는 방법을 제안했다. 그러나 저자는 이 접근법이 근본적으로 충돌 찾기와는 다른 확률 구조를 가진다는 점을 증명한다. 구체적으로, 근접 충돌을 찾기 위해서는 특정 Hamming 거리 이하인 두 해시값이 동시에 나타나야 하는데, 이는 독립적인 충돌 사건보다 훨씬 희박하다. 저자는 마코프 체인 모델을 사용해 기대 사이클 길이와 탐색 단계 수를 분석하고, 최적의 파라미터 설정에서도 기대 쿼리 수는 최소 2^{(n‑t)/2}·Ω(√t) 로, 메모리를 사용한 생일 공격의 2^{(n‑t)/2} 보다 항상 큰 하한을 가진다는 결론에 도달한다.

또한, 커버링 코드를 이용해 입력 공간을 적절히 분할하고 각 파티션마다 별도 사이클을 탐색하는 방법을 검토한다. 이 경우에도 코드의 최소 거리 d가 근접 충돌 허용 오차와 직접 연관되므로, d가 커질수록 탐색 비용이 기하급수적으로 증가한다. 결국, 메모리 없는 방법은 메모리와 시간 사이의 트레이드오프를 제공하지만, 근접 충돌 찾기의 이론적 최적 복잡도(즉, 메모리 풀 방법)와는 근본적으로 차이가 있음을 명확히 보여준다.

요약하면, 논문은 (1) 잘라내는 비트 수와 성공 확률 사이의 정확한 수학적 관계를 제시하고, (2) 사이클 탐색 기반 메모리 없는 기법이 메모리 풀 방법의 복잡도에 도달할 수 없다는 한계를 증명함으로써, 근접 충돌 연구에 있어 메모리 사용 여부에 따른 실용적·이론적 가이드라인을 제공한다.