A5/1 상태 전이 그래프 구조 분석

초록

본 논문은 GSM에 사용되는 A5/1 스트림 암호의 2⁶⁴ 상태 전이 그래프를 5단계 알고리즘으로 효율적으로 축소·분석한다. 후보 노드 선택, 얕은 세그먼트 제거, GPU 기반 비트슬라이스 전방 클록, 외부 메모리 파이프라인, 내부 메모리 사이클 카운팅을 순차적으로 적용해 전체 그래프를 수일 내에 완전 분석하고, 무작위 매핑 이론과 현저히 다른 사이클 구조를 발견한다.

상세 분석

논문은 먼저 A5/1 암호가 64비트 상태공간을 갖고, 각 상태가 하나의 후계 상태로 매핑되는 out‑degree‑1 그래프임을 명시한다. 이 그래프는 2⁶⁴개의 노드와 동일한 수의 엣지를 가지며, 약 2⁴⁰개의 후보 노드만을 남겨 두는 첫 번째 축소 단계가 핵심이다. 후보는 R3 레지스터의 값을 고정하고, 그 다음 상태에서 R3가 변하는 경우, 그리고 선행 노드가 존재하지 않는 경우로 정의한다. 이를 통해 약 2⁴⁰개의 후보가 남으며, 각 후보는 원 그래프의 사이클을 반드시 포함한다는 보장을 얻는다.

두 번째 단계에서는 후보 노드들을 시작점으로 역방향 DFS를 수행해 깊이 D 이하의 얕은 세그먼트를 탐색하고, 이들에 해당하는 후보를 제거한다. 평균 선행자 수가 1에 가까워 O(N·D) 시간 복잡도를 갖으며, 병렬화가 용이해 HPC 클러스터에서 수백 개의 프로세스로 동시에 수행한다.

세 번째 단계는 남은 후보(스켈레톤) 노드들을 전방 클록으로 연결해 가중 엣지를 만든다. 평균 클록 수 L≈1.1×10⁷이 필요하므로, 전통적인 CPU 구현으로는 비현실적이다. 저자들은 NVIDIA CUDA 기반 비트슬라이스 구현을 도입해 수십 개의 GPU에서 동시에 64비트 상태를 병렬 처리한다. 이 비트슬라이스 방식은 각 클록 연산을 비트 수준에서 동시에 수행해 연산량을 크게 감소시킨다.

네 번째 단계에서는 STXXL 라이브러리와 외부 메모리 파이프라인을 이용해 가중 그래프를 반복적으로 정리한다. 깊이‑제한 역방향 탐색으로 남은 얕은 노드를 차례로 제거해 결국 순수 사이클만 남는 그래프를 만든다. 이 과정은 디스크 기반 정렬·합병을 효율적으로 수행하도록 설계돼, 메모리 한계에도 불구하고 전체 그래프를 처리한다.

마지막 다섯 번째 단계에서는 내부 메모리에서 순수 사이클 그래프를 로드해 사이클 수와 길이를 정확히 계산한다. 결과적으로 전체 분석이 수개월이 아닌 수일 내에 완료되었으며, 관측된 사이클 수, 평균·최대 사이클 길이, 약 2⁴⁰개의 약한 연결 컴포넌트 등은 무작위 매핑 이론이 예측하는 Θ(√n) 수준과 크게 차이한다. 특히 짧은 사이클이 과다하게 존재하고, 컴포넌트 크기 분포가 비대칭적인 점은 A5/1 암호의 구조적 비무작위성을 드러낸다. 이러한 발견은 암호 설계와 보안 평가에 중요한 인사이트를 제공한다.