SHA‑256 빌딩 블록의 역할과 보안 기여 분석

초록

본 논문은 SHA‑256 내부의 주요 함수인 Σ와 σ가 보안에 미치는 영향을 조사한다. 이 함수들을 제거한 변형에서는 2⁶⁴번의 해시 연산만으로 충돌을 찾을 수 있음을 보이며, 교란 보정 전략이 SHA‑256 구조에 적용 가능함을 증명한다. 또한 메시지 확장 단계의 해밍 가중치를 실험적으로 분석해 XOR‑선형화된 변형에서 저가중치 확장 메시지가 존재함을 확인한다.

상세 분석

SHA‑256은 64라운드와 8개의 워드(32비트)로 구성된 압축 함수를 기반으로 하며, Σ와 σ 함수는 비선형성 및 확산성을 제공하는 핵심 요소이다. 논문은 먼저 Σ와 σ를 단순히 XOR 연산으로 대체한 변형을 정의하고, 이 경우 라운드 함수가 선형화되어 교란(디스턴스) 전파가 제한됨을 수학적으로 증명한다. 교란 보정 전략은 원래 SHA‑1에서 제시된 방법을 차용했으며, 라운드별로 발생하는 비트 차이를 추적해 역방향으로 보정함으로써 목표 충돌을 만들 수 있음을 보여준다. 실험 결과, Σ와 σ가 제거된 변형에서는 2⁶⁴번 정도의 해시 연산만으로 충돌을 발견할 수 있었으며, 이는 원본 SHA‑256이 제공하는 2¹⁵⁸ 수준의 보안 대비 현저히 낮은 복잡도이다.

다음으로 메시지 확장 단계에 주목한다. 원본 SHA‑256은 16개의 초기 워드에서 시작해 σ₀, σ₁ 함수를 이용해 64개의 워드로 확장한다. 이 과정은 비선형성을 강화하고, 각 라운드에 고르게 비트를 퍼뜨리는 역할을 한다. 논문은 σ 함수를 XOR‑선형화한 경우와, 완전히 선형화한 경우 두 가지 시나리오를 설정하고, 각각에 대해 확장된 워드들의 해밍 가중치를 통계적으로 측정한다. 결과는 선형화된 변형에서 평균 가중치가 크게 감소하고, 특히 특정 입력에 대해 매우 낮은 가중치(예: 8~12 비트)의 확장 메시지가 존재함을 확인한다. 이는 차분 공격이나 선형 암호 해석 기법에 취약점을 제공할 수 있음을 시사한다.

또한 논문은 이러한 실험적 관찰을 바탕으로 SHA‑256의 설계 원칙을 재조명한다. Σ와 σ 함수는 단순히 비트 회전과 XOR을 조합한 것이 아니라, 비선형성(비선형 S‑박스)과 확산(비트 혼합) 역할을 동시에 수행한다는 점을 강조한다. 이 함수들이 제거되면 라운드 간 상관관계가 크게 증가하고, 교란이 빠르게 소멸해 공격자가 차분을 제어하기 쉬워진다. 따라서 SHA‑256의 보안은 이러한 빌딩 블록의 복합적 효과에 크게 의존한다는 결론을 도출한다.