S‑Box 다항식 MQ 자동 생성과 SageMath 활용

초록

본 논문은 AES Rijndael S‑Box와 그 변형인 AIA 구조에 대해 SageMath를 이용해 다변량 2차(MQ) 방정식 시스템을 자동으로 도출하고, 기존에 제안된 알지브라 공격 저항성 지표가 실제 난이도를 과대평가함을 실험적으로 입증한다.

상세 분석

이 연구는 먼저 Rijndael S‑Box의 수학적 정의를 복습하고, 기존 문헌(Cui et al., Courtois‑Pieprzyk)에서 제시한 MQ 도출 과정을 SageMath 코드로 재현한다. 저자들은 Boolean 다항식 링과 몫 링을 활용해 입력 바이트 x, 중간 변수 y, 출력 바이트 z를 각각 다항식 형태로 모델링하고, 역함수 I(x)=x^{254} mod m(t)와 affine 변환 A(x)=a·x+b를 정확히 구현한다. 특히, x·y=1(모듈러 m(t) 기준)이라는 관계를 이용해 8개의 2차 방정식을 얻고, affine 변환을 대입해 추가 16개의 방정식을 생성한다. SageMath의 list()와 dict 기능을 활용해 계수를 자동 추출하고, 방정식 집합을 mq1(23식)과 mq2(16식)로 구분한다.

실험적으로는 SAT 솔버와 Gröbner basis 계산을 수행해 두 MQ의 해결 시간과 복잡도를 측정한다. 23식 MQ는 약 0.6 초, 16식 MQ는 0.7 초가 소요되며, Gröbner basis 계산은 14 초 정도 걸린다. 이는 기존 논문에서 제시한 “방정식 수·단항 수 증가 → 알지브라 공격 난이도 급격히 상승”이라는 가정과는 크게 상반된다.

논문은 또한 새로운 AIA 구조 S‑Box에 대해 동일한 절차를 적용한다. AIA는 affine‑inverse‑affine 순서를 사용해 설계되었으며, 저자들은 이를 253개의 중간 변수 y_i와 최종 출력 z로 표현한다. SageMath를 이용해 다항식 계수를 16진수 문자열로 입력하고, 전체 MQ를 자동 생성한다. 결과적으로 AIA MQ는 방정식 수가 급증하지만, 실제 SAT 해결 시간은 기존 Rijndael MQ와 비슷하거나 오히려 빠른 수준을 보인다.

핵심적인 비판은 두 가지 지표, 즉 Cheon‑Lee식 Γ와 Courtois‑Pieprzyk식 Γ_CP가 방정식 수와 단항 수만을 기반으로 복잡도를 추정한다는 점이다. 저자들은 실험 데이터를 통해 이러한 지표가 실제 SAT/GB 해결 시간과 상관관계가 약함을 입증한다. 따라서 S‑Box 설계 시 단순히 MQ의 크기를 키우는 전략은 실질적인 보안 향상으로 이어지지 않는다.

마지막으로 SageMath의 장점—코드 재현성, 자동화, 빠른 검증—을 강조하며, 연구자가 새로운 S‑Box를 설계하거나 기존 S‑Box의 알지브라적 강도를 평가할 때 필수적인 도구로 자리매김할 것을 제안한다.