하드웨어 효율적인 가역 매핑 설계와 검증 방법

초록

본 논문은 n비트 입력‑출력 매핑 {0,…,2ⁿ‑1}→{0,…,2ⁿ‑1}의 가역성을 판단하기 위한 충분조건을 제시한다. 각 출력 비트 fᵢ를 xⱼ⊕gᵢ 형태로 표현하고, 자유 변수 집합 Φ(fᵢ)와 gᵢ 의 종속 집합 관계를 만족하도록 순서를 재배열하면 매핑이 가역임을 보장한다. 이 조건은 O(n²·N) 시간에 검증 가능하며, 하드웨어 구현 비용이 낮은 암호 원시함수 설계에 직접 활용될 수 있다.

상세 분석

논문은 먼저 가역 매핑을 {0,1}ⁿ→{0,1}ⁿ 형태의 n‑비트 부울 함수 집합 {f₀,…,fₙ₋₁} 으로 모델링한다. 기존에 알려진 T‑함수와 NLFSR 기반 방법은 출력 비트가 입력 비트의 앞쪽(낮은 인덱스)만을 참조하거나, 피드백 함수가 x₀⊕g(x₁,…,xₙ₋₁) 형태일 때만 가역성을 보장한다. 그러나 실제 설계에서는 fᵢ 가 높은 인덱스 xⱼ (j>i)를 포함하는 경우가 빈번하며, 이러한 경우 기존 조건은 적용되지 않는다.

이를 해결하기 위해 저자는 “자유 변수(free variable)” 개념을 도입한다. 함수 f 가 xᵢ⊕g 형태로 분해될 때, xᵢ 는 g 에 종속되지 않는 자유 변수이며, Φ(f) 는 모든 자유 변수의 집합이다. 정리 1은 두 가지 조건을 제시한다. 첫째, 각 fᵢ 가 x_{j_i}⊕gᵢ 형태이며 x_{j_i}∈Φ(fᵢ) 이어야 한다. 둘째, fᵢ 들을 적절히 재배열하여 gᵢₖ 의 종속 집합이 이전 gᵢ₀,…,gᵢₖ₋₁ 또는 fᵢⱼ (해당 j) 에만 포함되도록 해야 한다. 이 구조는 일종의 삼각화(triangular) 형태를 만들며, 입력값을 차례대로 복원할 수 있음을 보인다.

복원 과정은 x_{j₀}=f₀⊕g₀, x_{j₁}=f₁⊕g₁(x_{j₀}), … 와 같이 진행되며, 각 단계에서 이미 복원된 자유 변수를 이용해 다음 자유 변수를 결정한다. 따라서 두 입력이 동일한 출력 벡터를 만들 수 없으므로 매핑은 가역이다.

복잡도 분석에서는 각 fᵢ 의 ANF(Algebraic Normal Form) 크기를 N이라 할 때, 자유 변수 검출과 종속 집합 포함 관계 확인이 O(n·N) 시간에 가능하고, 전체 재배열 검증이 O(n²·N) 으로 수행된다고 증명한다. 이는 전통적인 전수 탐색(2ⁿ) 대비 획기적인 절감이다.

하드웨어 관점에서, 자유 변수 xⱼᵢ 는 단순 XOR 연산만 필요하고, gᵢ 는 제한된 입력 집합에만 의존하므로 논리 게이트 수와 전파 지연이 최소화된다. 논문은 NLFSR과 비교해 동일한 출력 시퀀스를 생성하는 “바이너리 머신” 구조가 더 적은 논리 연산과 낮은 깊이를 갖는 예시를 제시한다. 이는 저전력·저면적 IoT 디바이스에 적합한 설계 전략이다.

마지막으로 저자는 제시된 조건을 스트림 암호 설계에 적용하는 방법을 간략히 설명한다. 자유 변수 기반 삼각화는 키 스트림 생성기의 상태 전이 함수를 가역적으로 만들면서도 복잡한 비선형성을 유지할 수 있게 해, 보안성(예: 높은 비선형도, 저상관)과 구현 효율성을 동시에 달성한다.