정보 이론 20 JAN, 2012

새로운 이차 구조를 통한 벤트 함수와 고비선형 회복 함수 설계

새로운 이차 구조를 통한 벤트 함수와 고비선형 회복 함수 설계

초록

본 논문은 두 개의 기존 벤트 함수를 이용해 새로운 벤트 함수를 만드는 이차 보조구조를 제안하고, 이를 기반으로 다양한 구체적 벤트 함수들을 구축한다. 이어서 회복 함수의 비선형성을 크게 향상시키는 간접합 일반화와 그 변형을 제시하여 고비선형 회복 함수를 효율적으로 설계한다.

상세 분석

벤트 함수는 Boolean 함수 중에서 Walsh 변환 계수가 모두 동일한 절댓값을 갖는, 즉 비선형성이 최대로 높은 함수로 알려져 있다. 이러한 함수는 암호학, 통신, 코딩 이론 등에서 핵심적인 역할을 수행한다. 기존 연구에서는 직접적인 구성법(예: Maiorana‑McFarland, Partial‑Spread)과 보조구조(secondary construction)를 통해 새로운 벤트 함수를 얻어왔다. 보조구조는 이미 알려진 벤트 함수를 입력으로 받아, 특정 연산이나 변수 결합을 통해 또 다른 벤트 함수를 생성한다는 점에서 매우 유용하다. 그러나 기존 보조구조는 적용 가능한 초기 함수의 종류가 제한적이거나, 결과 함수의 구조가 복잡해지는 단점이 있었다.

본 논문은 두 개의 서로 다른 벤트 함수 f₁(x)와 f₂(y)를 입력으로 하는 새로운 이차 보조구조를 제안한다. 핵심 아이디어는 변수 집합을 적절히 분할하고, 각 부분에 f₁과 f₂를 적용한 뒤, 특정 선형 조합과 비선형 교차항을 추가함으로써 전체 함수가 다시 벤트 특성을 만족하도록 만드는 것이다. 구체적으로는 변수 벡터를 (x, y)로 나누고, 새로운 함수 F(x, y) = f₁(x) ⊕ f₂(y) ⊕ L(x, y) ⊕ Q(x, y) 형태로 정의한다. 여기서 L은 1차 선형 함수, Q는 두 변수 집합 사이의 2차 교차항이다. 논문은 이 구성에서 L과 Q가 만족해야 할 충분조건을 정리하고, 이를 통해 Walsh 스펙트럼이 일정한 절댓값을 유지함을 증명한다.

특히, L과 Q의 선택이 자유롭지만, Q는 반드시 양쪽 변수 집합에 대해 균등하게 분포된 2차 항이어야 하며, L은 두 초기 함수의 차이를 보정하는 역할을 한다. 이러한 제약을 만족하면, F는 원래의 두 벤트 함수가 갖는 비선형성, 평형성, 그리고 자기역전 특성을 그대로 보존한다. 논문은 이 정리를 바탕으로 Maiorana‑McFarland 형태와 Partial‑Spread 형태의 벤트 함수를 초기 함수로 선택했을 때, 구체적인 F의 식을 도출한다. 결과적으로 기존에 알려진 몇몇 특수한 벤트 함수들을 일반화하거나, 완전히 새로운 구조의 벤트 함수를 얻을 수 있음을 보인다.

두 번째 파트에서는 회복 함수(resilient function)의 설계에 초점을 맞춘다. 회복 함수는 특정 수의 입력 변수에 대해 균등한 출력 분포를 유지하면서도 높은 비선형성을 가져야 하는데, 이는 스트림 암호와 난수 생성기에 필수적인 특성이다. 기존의 간접합(indirect sum) 기법은 두 개의 회복 함수 g₁와 g₂를 결합해 새로운 회복 함수를 만드는 방법이었지만, 비선형성 향상에 한계가 있었다.

논문은 이를 일반화하여, k‑회복 함수 g₁와 ℓ‑회복 함수 g₂를 각각 다른 변수 집합에 적용하고, 그 결과를 XOR와 특정 비선형 교차항을 통해 결합하는 새로운 구조를 제안한다. 이때 교차항은 두 함수의 출력에 대한 비선형 조합으로, 전체 함수가 (k+ℓ+1)‑회복성을 유지하면서도 비선형성이 크게 증가하도록 설계된다. 또한, 비선형성을 더욱 강화하기 위해 교차항에 추가적인 3차 혹은 4차 항을 삽입하는 변형을 제시한다. 논문은 이러한 변형이 Walsh 스펙트럼 상에서 최대 절댓값을 기존 간접합 대비 현저히 낮추어, 비선형성 측면에서 우수함을 증명한다.

마지막으로, 제안된 두 구성법 모두 실용적인 파라미터 선택 예시와 함께 구현 복잡도, 메모리 요구량, 그리고 암호학적 보안 분석을 제공한다. 특히, 새로운 벤트 함수는 기존에 알려진 구조와 비교해 동일한 차수와 비선형성을 유지하면서도 더 높은 자유도를 제공하므로, 설계자가 특정 응용에 맞게 맞춤형 함수를 선택하기 용이하다. 회복 함수의 경우, 제안된 일반화와 변형을 통해 높은 차수와 비선형성을 동시에 달성함으로써, 스트림 암호의 키 스트림 생성기 설계에 직접 적용 가능한 실용적인 후보를 제공한다.