경량 암호 NIST 파이널리스트의 시간 복잡도 통합 분석

초록

본 논문은 NIST 경량 암호 파이널리스트 10종을 초기화·데이터 처리·최종화의 3단계 모델로 분해하고, 각 단계의 연산 비용을 심볼릭하게 표현한다. 이를 통해 알고리즘별 시간 복잡도 식을 도출하고, 설계 파라미터가 제한된 임베디드 환경에서의 확장성에 미치는 영향을 정량적으로 비교한다.

상세 분석

논문은 먼저 경량 암호가 IoT·디지털 아이덴티티와 같은 전력·메모리 제약이 심한 환경에서 왜 필수적인지를 서술하고, NIST가 진행한 표준화 과정에서 선정된 10개의 파이널리스트(Ascon, Elephant, GIFT‑COFB, Grain‑128AEAD, ISAP, PHOTON‑Beetle, Romulus‑N, SPARKLE, TinyJambu, Xoodyak)를 소개한다. 핵심 기여는 모든 후보를 동일한 시간 복잡도 모델에 매핑한 점이다. 모델은 초기화 단계(T_init)에서 키와 논크 설정 비용을 고정 상수(c_k, c_n)로, 데이터 처리 단계(T_process)를 연관 데이터와 메시지 블록 수(a, m)와 퍼뮤테이션 비용(T_p)으로, 최종화 단계(T_finalize)를 상수(c_f)로 정의한다. 이렇게 하면 각 알고리즘은 퍼뮤테이션 기반, 블록 암호 기반, 스트림 암호 기반, 하이브리드 구조에 따라 서로 다른 계수와 비율(r, b, n 등)을 갖는 O(·) 형태의 식으로 표현된다.

예를 들어 Ascon은 12라운드 초기화와 퍼뮤테이션 비용 b에 비례하는 O(l_A·b + l_P·b) 식을 갖으며, 이는 연관 데이터와 평문 길이에 선형적으로 스케일한다. PHOTON‑Beetle와 Xoodyak은 블록 크기 r에 따라 천장 함수가 들어가지만 기본 형태는 O(⌈|A|/r⌉·b + ⌈|M|/r⌉·b) 로 동일하다. GIFT‑COFB는 퍼뮤테이션 대신 경량 블록 암호 GIFT을 사용해 O(l_A + l_M) 라는 가장 단순한 선형식으로, 블록당 추가 비용이 거의 없다는 장점을 강조한다. Grain‑128AEAD는 비트 단위 스트림 처리 특성 때문에 O(|M| + |AD|) 로 패딩 오버헤드가 없으며, 작은 메시지에서도 효율적이다. SPARKLE은 ARX 기반 퍼뮤테이션을 두 번 사용하면서 2·|A|/r·b + 3·|M|/r·b + d/r·b + 2b 라는 복합식으로, 인증·해시 기능을 동시에 제공한다는 설계 트레이드오프를 반영한다. TinyJambu는 초기화 비용 6·b_640와 두 종류의 퍼뮤테이션(P_640, P_1024)을 혼용해 O(6b_640 + 2·|A|/32·b_640 + 2·|M|/32·b_1024 + 4b_1024) 라는 복잡한 식을 갖는다.

이러한 식들을 통해 저자는 각 알고리즘이 설계 파라미터(블록 크기, 퍼뮤테이션 라운드 수, 라이트 레이트 등)에 따라 연산량이 어떻게 변하는지를 정량적으로 파악한다. 특히, 퍼뮤테이션 비용 b가 전체 복잡도의 지배적 요소임을 강조하고, 블록 크기가 작을수록 작은 메시지에서 패딩 오버헤드가 커지는 반면, 큰 블록은 초기화·최종화 비용을 상대적으로 낮추는 경향을 보인다. 또한, 하이브리드 구조인 ISAP은 키 파생 단계가 상수 시간이며, 전체 복잡도가 O(|A| + |M|) 로 단순해 사이드채널 저항성을 유지하면서도 효율성을 확보한다는 점을 부각한다.

결과적으로 논문은 10개 알고리즘을 동일한 프레임워크 안에서 비교함으로써, “가장 효율적인” 알고리즘이 상황에 따라 달라짐을 보여준다. 예를 들어 초소형 센서에서는 비트 수준 스트림 처리인 Grain‑128AEAD가, 대용량 데이터 전송에서는 블록 기반 GIFT‑COFB가, 복합 기능(암호·해시)이 필요한 경우 SPARKLE이 적합하다는 결론을 도출한다. 이러한 정량적 분석은 설계자에게 알고리즘 선택 시 메모리·전력·처리량 요구사항을 명확히 매핑할 수 있는 이론적 근거를 제공한다.