AES와 유사 암호 라운드 함수가 만든 교대군

본 논문은 AES와 구조가 유사한 블록 암호의 라운드 함수가 생성하는 순열군 G의 정확한 구조를 규명한다. 서론에서는 암호학에서 군 이론의 중요성을 강조하고, DES와 AES에 대한 기존 연구(특히 Wernsdorf가 DES와 AES의 라운드 함수 군이 교대군임을 보인 결과)를 소개한다. 저자들은 이전 논문에서 G가 원시적임을 증명했으며, 이번 연구에서는 O’Nan‑Scott 정리를 활용해 G가 교대군(Alternating group)임을 보이고자 한다. 2절에서는 기본 정의와 가정을 제시한다. 상태 공간 V=V(d,2)는 차원 d의 GF(2) 벡터공간이며, 번역군 T={σ_v | v∈V}는 V 위의 정규 아벨 군이다. 라운드 함수는 고정 순열 ρ와 키 추가 σ_k 의 합성 ρσ_k 로 정의되고, 전체 군은 G=⟨ρσ_k | k∈V⟩ 로 표기한다. ρ는 γλ 로 분해되며, γ는 n_t개의 S‑박스 γ_i 로 구성된 비선형 변환, λ는 선형 혼합층이다. V는 V_1⊕…⊕V_{n_t} 로 직합되며, 각 V_i는 차원 m>1인 부분공간이다. 암호학적 가정은 세 가지로 나뉜다. (1) γ는 0을 고정하고 자체 역함수(γ^2=1)이다. (2) 어떤 1≤r4인 경우에도 ρ가 S_i 를 순환적으로 이동시키면서 γ의 비선형성을 보존해야 하는데, 이는 (2a)에서 요구하는 이미지 크기 조건과 모순된다. 따라서 곱작용형도 불가능하다. 거의 단순형(Case 3)에서는 G가 비가환 단순군 S의 자동군 사이에 끼어 있다. G의 차수는 |V|=2^d이며, 가능한 S는 Alt(2^d) 혹은 PSL(f,q)이다. PSL 경우는 (q^f−1)/(q−1)=2^d 를 만족해야 하는데, 이는 f가 짝수이면 모순, f가 홀수이면 q와 d가 모두 소수여야 하는데 d=n_t·m 은 n_t>1·m>2 로 소수가 아니다. 따라서 PSL는 배제된다. 남은 경우는 S=Alt(2^d)이며, 이미 G⊆Alt(V)임을 보였으므로 G=Alt(V) 가 된다. 또한 γ가 짝순열임을 보임으로써 G가 짝순열만을 포함한다는 사실을 확인한다. 각 γ_i 의 2‑사이클이 2^{d−m}‑사이클을 만들고, d−m는 짝수이므로 전체 γ는 짝순열이다. 마지막으로 독립적인 라운드 키를 사용하는 경우에도 동일한 논리를 적용해 G가 여전히 교대군임을 증명한다. 결론에서는 G가 교대군이라는 결과가 암호 설계와 보안 분석에 중요한 의미를 갖는다고 언급한다. 교대군은 매우 큰 군으로, 키 스케줄에 대한 구조적 약점이 없으며, 트랩도어 삽입을 방지한다는 점을 강조한다. 또한 O’Nan‑Scott 정리를 암호학에 적용한 사례로서, 군 이론과 암호 설계 사이의 깊은 연관성을 보여준다.