BEAR와 LION 암호의 보안성 강화와 다중 평문 공격 저항성

초록

본 논문은 Biham‑Anderson이 제안한 BEAR, LION, LIONESS 블록 암호가 하나의 평문‑암호문 쌍만을 이용한 알려진 평문 공격에 대해 이미 증명된 보안성을, 임의 개수의 평문‑암호문 쌍을 이용한 공격에도 확장함을 보인다. 이를 위해 기존보다 약한 가정(스트림 암호와 해시 함수의 일방향성 및 충돌 저항성)만을 사용하고, Morin의 1996년 공격을 재검토한다.

상세 분석

Biham‑Anderson(1996)이 제시한 BEAR와 LION은 Luby‑Rackoff 구조를 변형한 4‑라운드 Feistel 네트워크이며, 각각 하나의 스트림 암호와 하나의 압축 해시 함수를 결합한다. 원 논문에서는 “단일 평문‑암호문 쌍만을 이용한 알려진 평문 공격에 대해 키 복구가 불가능하다”는 보안을 증명했는데, 이는 해시 함수가 완전한 충돌 저항성을, 스트림 암호가 완전한 키 스트림 예측 불가능성을 만족한다는 가정에 기반한다.

본 연구는 그 가정을 완화한다. 구체적으로, 해시 함수는 충돌 저항성 대신 “2‑전역 충돌 저항성”(두 입력이 서로 다른 경우에도 동일한 출력이 나올 확률이 negligible)만을 요구하고, 스트림 암호는 “키 스트림의 선형 독립성” 정도만 보장하면 된다. 이러한 약한 가정 하에서도, 다중 평문‑암호문 쌍을 제공받은 공격자가 키를 복구하려면, 각 라운드에서 사용된 해시 출력과 스트림 키 스트림을 동시에 만족시키는 연립 방정식을 풀어야 하는데, 이는 가정된 난이도 하에서 확률적으로 불가능함을 보인다.

핵심 증명은 다음과 같다. 먼저, BEAR와 LION의 라운드 구조를 역추적하면, 각 라운드에서 입력과 출력 사이에 해시와 스트림 암호가 교차하는 형태의 식이 형성된다. 다중 평문을 이용하면 동일한 비밀키에 대해 서로 다른 입력‑출력 쌍이 생성되지만, 이 식들은 모두 동일한 내부 키 스트림과 동일한 해시 함수 인스턴스를 공유한다. 따라서 공격자는 모든 식을 동시에 만족시키는 키 후보를 찾아야 하는데, 이는 해시 함수의 2‑전역 충돌 저항성과 스트림 암호의 선형 독립성에 의해 조합 가능한 경우의 수가 지수적으로 감소함을 의미한다.

또한, Morin(1996)이 제안한 “중간 라운드 키 추출” 공격을 재검토한다. Morin은 특정 구조적 약점을 이용해 라운드 키를 부분적으로 복원하려 했으나, 본 논문에서는 해당 공격이 해시 함수의 충돌 저항성만을 가정하고 있음을 지적하고, 실제로는 2‑전역 충돌 저항성만으로도 공격을 무력화할 수 있음을 증명한다. 즉, Morin의 공격은 실질적인 위협이 아니라, 가정이 지나치게 강한 경우에만 성립한다는 결론에 도달한다.

결과적으로, BEAR와 LION은 단일 평문‑암호문 쌍뿐 아니라, 임의 개수의 평문‑암호문 쌍이 제공되더라도 키 복구가 이론적으로 불가능함을 보였으며, 이는 기존 설계가 실제 구현 환경에서 보다 견고함을 의미한다. 이러한 확장은 블록 암호 설계 시 “하나의 평문‑암호문 쌍만을 고려하는 보안 모델”을 넘어, 다중 평문 공격 모델까지 포괄하는 새로운 보안 기준을 제시한다.