Provable Security for New Block Cipher Structures against Differential Cryptanalysis and Linear Cryptanalysis

새로운 블록 암호 구조에 대한 차분/선형 공격의 안전성 증명

Abstract

Differential cryptanalysis and linear cryptanalysis are the most powerful approaches known for attacking many block ciphers and used to evaluating the security of many block ciphers. So designers have designed secure block ciphers against these cryptanalyses. In this paper, we present new three block cipher structures. And for given r, we prove that differential(linear) probabilities for r-round blockcipher structures are upper bounded by $p^2(q^2),\;2p^2(2q^2)$ if the maximum differential(linear) probability is p(q) and the round function is a bijective function.

차분 공격 및 선형 공격은 강력한 블록 암호 분석 기법으로 블록 암호 알고리즘의 안전성을 평가하는 중요한 도구로 여겨지고 있다. 따라서 블록 암호 설계자들은 차분 공격과 선형 공격에 안전한 블록 암호를 설계하고자 노력해 왔다. 본 논문에서는 세 가지의 새로운 블록 암호 구조를 소개하며, 한 라운드 함수의 최대 차분 구확률(최대 선형 확률)이 p(q)이고 라운드 함수가 전단사 함수일 때, 세 가지의 블록 암호 구조의 차분 확률(선형 확률)의 상한 값이 $p^2(q^2),\;2p^2(2q^2)$으로 유계할 최소 라운드를 증명한다.

Ⅰ. 서론

1.1 개요

차분 공격 (DC: Differential Cryptanalysis)과 선형 공격 (LC: Linear Cryptanalysis)은 1990년 초에 소개된 블록 암호 분석 기법으로 현재까지 블록 암호의 안전성을 평가하는 대표적인 분석 도구로 여겨지고 있다. 따라서 차분 공격 및 선형 공격에 대한 안전성을 부여하는 방법들이 다양하게 연구 되어 왔다. 차분 공격은 연속된 라운드의 최대 차분 특성 확률(DCP: Differential Characteristic Probability)을 고려 하고 마지 막 라운드의 키를 추측하여 키의 전수 조사량 보다 적은 계산량으로 키를 복구하는 분석 방법이다. 하지만 차분 공격법은 차분 특성 보다 큰 차분 확률 즉, 특정 입력 차분과 특정 줄력차분을 만족할 차분 특성 확률들의 합계를 따르는 공격법이므로 차분 특성 확률의 상한 값은 블록 암호의 안전성을 보장해 주지 못한다. 그러므로 차분 특성 확률이 아닌 차분 획률(Differential Probability)의 최적의 상한값과 그 상한 값을 만족해 주는 최소 라운드 수를 구하여 차분 분석에 대한 안전성을 평가할 수 있다. 또한 선형공격은 연속된 라운드의 최대 선형 특성 확률(LCP: Linear Characteristic Probability)을 고려하여 키의 정보를 복구하는 분석 방법이다. 차분 공격과 유사하게 선형 공격 또한 선형 특성 확률이 아닌 선형 확률(Linear hull Probability)의 최적의 상한 값과 그 상한 값을 만족해 주는 최소 라운드 수를 구하여 선형 공격에 대한 안전성을 평가할 수 있다. 차분 확률과 선형 확률에 대한 상한 값의 증명은 유사하므로 본 논문에서는 차분 공격 측면에서의 안전성만을 증명한다'", 力

Nyberg와 Knudsene Feistel 구조에 사용된 라운드 함수의 최대 차분 확률이 P이면, 4라운드 후의 차분 확률의 상한 값이 2p2 임을 증명하였다⑹. 또한 Aoki와 Ohta는 Feistel 구조에 사용된 라운드 함수가 전단사 함수이고 최대 차분 확률이 p이면, 3라운드 Feistel 구조의 차분 확률 상한 값이 尹임을 증명하였다(1). 이러한 연구를 통해 차분 확률 상한 값을 작게 하는 전체 블록 암호 설계의 초점을 라운드 함수의 설계로 축소하여 차분 공격 및 선형 공격에 강한 블록 암호를 설계할 수 있다. 실질적 인 예로 Matsui등은 차분 공격 및 선형 공격에 대해 안전성 증명 가능한 MISTY구조를 제안하였다 [4, 5)

본 논문에서는 차분 확률이 p인 전단사 라운드 함수를 사하는 3가지의 블록 암호 구조에 대해 차분 확률 상한 값이 P* 2 또는 2p2 임을 증명한다.

1.2 차분 공격과 선형 공격에 대한 기본적인 정의 및 정리

본 절에서는 n-비트 입 . 출력을 갖는 블록 암호 구조의 기본이 되는 라운드 함수 F를 歹: —成(2)” 와 같이 정의할 때, 차분 확률과 선형 확률에 대한 기본적인 정의와 정리를 요약한다.

정의 1. 임의의 평문 쌍 X, X'WGF(2)"에 대한 입력, 출력 차분을 각각 eX=X®X', △Y=F(X)国户(X')라정의 하고, 임의의 평문 XwaQ)” 에 대한 입력 비트 마스크를 Z* 로, X의 출력 값 瓦X)에 대한 출력 비트마스크를로 정의 한다.

정의2. 임의의 织厶匕以「丫冬夜2)"에 대해 라운드 함수 F의 차분 확KDifferential Probability)과 선형확률(Linear hull Probability)을 다음과 같이 정의한다.

#(2)

임의의 라운드 함수 户에 대해 입력 차분 “와 출력 비트 마스크 rY7\ 0이 아닌 모든 경우에 대한 확률 값들이 작아야 차분 공격과 선형 공격에 대한 이론적인 측면에서의 좋은 안전성을 제시할 수 있다. 따라서 다음과 같이 최대 차분 확률과 최대 선형 확률을 정의한다.

정의3. 라운드 함수 F의 최대 차분 확률과 최대 선형확률을 다음과 같이 정의 한다.

#

다음은 본 논문의 증명 과정에 사용되는 몇 가지 정리 내용을 살펴본다.

정리 1.

(1) 임의의 함수 尸에 대해, 、#

(2) 만약 함수 E가 전단사 함수이면, #

이 성립한다.

차분 확률 座기'(dO)= l이고, AV#0 또는 이면 时尸(厶4厶V Vp이다. 만약 라운드 함수 P가전단사 함수이고, 厶am 0이면, 刀尸μ(厶不必}0에서 厶 FK0이 된다.

다음은 연속적으로 적용된 두 라운드 함수 Fv 互의 차분 확률과 선형 확률에 관한 정리이다.

정리2. 임의의 厶X;厶匕 匸X;「FUG曰(2广에 대하여 다음식을 만족한다.

#

Ⅱ. 새로운 블록 암호 구조의 차분 공격에 대한 안전성

본 절에서는 3가지의 블록 암호 구조를 소개하며, 각 구조의 차분 확률 상한 값을 증명한다. 각 구조에 사용되는 라운드 함수는 전단사 함수이며, 최대 차분 확률을 p 라고 가정한다. 또한 입력 차분을 a=(%心)로 출력 차분을 <3=(0康J로 표시한다.

2.1 첫 번째 구조의 차분 공격에 대한 안전성

〔그림 1〕은 세 가지 중 첫 번째 형태인 2라운드 블록 암호 구조를 설명한다.

〔그림 1) 첫 번째 Feistel 변형 구조

첫 번째 구조의 2 라운드 차분 확률 np(2) = DP(5)는 다음과 같이 나타낼 수 있다.

#

정리3.(결과) 첫 번째 블록 암호 구조의 차분 확률 상한값이 p2으로 유계할 최소 라운드는 2라운드 (4라운드 함수)이다.

[증명] 증명 방법은 다음과 같다. 입력 차분 a의 조건에 따른 모든 경우(단, axO) 에 대하여 순차적 인 sum 방식으로 각각의 경우에 대한 확률이 p2으로 유계 하다는 것을 보인다.

(경우 1) #

(경우 2) #

(경우 3) #

2.2 두 번째 구조의 차분 공격에 대한 안전성

〔그림 2〕는 세 가지 중 두 번째 형태인 1라운드 블록 암호 구조를 설명한다.

(그림 2) 두 번째 Feistel 변형 구조

두 번째 구조의 1 라운드 차분 확률 DPm = DP0키3)는 다음과 같이 나타낼 수 있다.

#

정 리 4.(결과) 두 번째 블록 암호 구조의 차분 확률 상한값이 p2으로 유계할 최소 라운드는 1라운드°라운드 함수)이다.

[중명] 증명은 위의 방식을 따른다.

(경우 1) #

(경우 2) #

(경우 3)#

2.3 세 번째 구조의 차분 공격에 대한 안전성

〔그림 3〕은 세 가지 중 마지막 형태인 1라운드 블록 암호 구조를 설명한다.

〔그림 3) 세 번째 Feistel 변형 구조

세 번째 구조의 1 라운드 차분 확률 DPm = DP拓가는 다음과 같이 나타낼 수 있다.

#

정리 5. (결과) 세 번째 블록 암호 구조의 차분 확률 상한 값이 p2으로 유계할 최소 라운드는 1라운드。라운드 함수)이다.

[중명] 증명은 위의 방식을 따른다.

(경우 1) #

(경우 2)#

(경우 3) #

Ⅲ. 결론

본 논문에서는 3가지의 블록 암호 구조를 제시하고, 각각에 대해 차분 공격에 대한 안전성을 논의하였다. 名, %, 备함수가 최대 차분 확률 p를 갖는 전단사 라운드 함수를 사용한다면'3가지의 블록 암호 구조의 차분 확률 상한이 p2 또는 2疣임을 증명하였다. 본 논문을 통해 차분 공격 및 선형 공격에 대해 안전성 증명 가능한 새로운 블록 암호 설계 구조를 고려해 볼 수 있다.