Ⅰ. 서론
GOST⑶는 1989년도에 구 소련의 표준 블록 암호로 제안된 전체 32-라운드로 이루어진 알고리즘으로 러시아의 DES라고도 불리우며 'GOST'란 단어의 어원은 "Gosudarstvennyi Standard, " 또는 "Government Standard”에서 유래되었다. 알고리즘의 안전성을 결정짓는 S-box의 설계원리가 공개되지 않는 등 여러 가지 형태에서 DES 알고리즘과 종종 비교되기도 하지만, DES⑹ 알고리즘과는 달리아직까지 많은 분석이 이루어지지는 않았다. 그러던 중 Crypto'96에서 J. Kelsey 등이 GOST의 매우 단순한 키 스케줄을 이용한 연관키 차분 공격⑷에 대하여 제안하였다. J. Kelsey 등은 주로 이론적인 면에서 3 라운드 반복 차분 특성식을 꾸민 후 24-라운드 GOST에 대해서 공격이 가능함을 언급하였다. 그러나, GOST의 라운드 함수는 키 부분이 덧셈 연산으로 이루어지기 때문에 차분 확률이 알고리즘의 입력 및 출력 차분 값에만 의존하는 것이 아니라 사용되는 부분키 값에도 영향을 받는 성질이 있다. 이러한 성질은 GOST에 대한 차분 특성을 이용한 분석을 어렵게 하는 요인이 되었다.
H. Seki⑻등은 이러한 키에 의존하는 차분 확률의 특성을 줄이기 위해서 차분 특성 집합 (a set of differential characteristics)이라는 개념을 사용하였다. 이것은 일종의 부정 차분 특성⑸으로 S- box의 입 . 출력 차분 값을 특정한 형태의 집합 모양으로 분류한 후 이를 이용하여 S-box의 모든 키에 대한 확률 값을 계산하여 그 평균값을 차분 확률로 사용한 것이다. H. Seki등은 이러한 차분 특성 집합으로 2-라운드 반복 차분 특성식을 꾸민 후 13-라운드 GOST에 대한 차분 공격을 제시하였고, 여기에 J. Kelsey⑷등이 이론적으로 언급한 연관키 차분 공격을 실제 적용하여 21-라운드 GOST에 대한 연관키 차분 공격을 제안하였다.
이 논문에서는 보다 다양한 방법으로 GOST에 대한 연관키 차분 공격을 설명할 것이다. 첫째로, 연관키 차분 특성을 이용하여 블록 암호 알고리즘인 GOST를 랜덤 oracle로부터 1-2^4의 확률로 구별할 수 있는 방법 (distinguishing attack) 에 대하여 언급한다. 둘째로, 우리가 꾸민 24-라운드 연관키 차분 특성식과 H. Seki등이 사용한 차분 특성 집합과 그 때 사용한 차분 확률을 이용하여 새로이 꾸민 6-라운드 연관키 차분 특성식을 연접한 후 1-R 연관키 공격⑴을 적용한 31-라운드 GOST에 대한 연관키 차분 공격이 가능함을 보인다. 마지막으로 이 논문에서 처음으로 보이는 전체 32-라운드 GOST에 대한 연관키 차분 공격에 대하여 제시할 것이다. 91.7%의 성공 확률을 위하여 이 공격에는 235의 선택 평문과 ?36의 암호화 과정이 요구된다.
이 논문은 다음과 같은 순서로 이루어져 있다. 2, 3장에서는 GOST 알고리즘에 대한 소개와 현재까지 진행된 GOST에 대한 관련 작업들에 대해서 간략하게 설명하고 4장에서는 GOST에 대한 다양한 연관키 차분 공격에 대하여 설명하고 5장에서 본 논문을 마무리한다.
Ⅱ. GOST 알고리즘 소개
이 장에서는 블록 암호 알고리즘인 GOST에 대해서 간략하게 설명하도록 하겠다. GOST는 64-비트 블록과 256-비트 비밀키를 사용하는 전체 32-라운드 Feistel 구조로 이루어진 알고리즘이다. GOST는 그림 1.에서 보여지는 것처럼 매우 단순한 연산으로 이루어진 라운드 함수 F 를 사용한다. F 함수는 라운드 함수의 입력값 32비트.가 법 (modular) 232 위에서의 키 덧셈 연산 (田) 이후에 전체 8개로 이루어진 4x4 S-box들을 통과한 후 왼쪽으로 11-비트 순환 이동 (<<<)하는 과정의 순서로 구성되어 있다.
그림.1 i- 번째 라운드 함수
그림 1.에서, 1MM32인 Z에 대해서 乙와 R, 0=(乙, , 7?, ))는 /-번째 라운드 함수의 각각 왼쪽과 오른쪽 32-비트 입력 값을 각각 나타내고 K 느번째 라운드의 32-비트 부분키를 가리킨다. 서론에서 언급한 것처럼 매 라운드에서 사용한 8 개의 S-box에 대한 구체적인 내용에 대해서는 나타나 있지 않다. 여기서는 Central Bank of the Russian Federation⑺에서 사용한 S-box에 대하여 다룰 것이고, 다음은 각각의 S-box에 대한 값을 C-코드를 이용하여 표현한 것이다.
#
GOST의 키 스케줄은 매우 단순한 구조로 이루어져 있다. 256-비트 비밀키 K는 32-비트 8개의 블록
K=(Kl, K2, K3, Ki, K5, Ks, K1, Ks)
으로 쪼개진 후 다음과 같은 순서로 매 라운드에서 한 개의 블록씩 사용된다. 1-라운드부터 24-라운드까지는 氏1, “・, 长8의 순서로 세 번 반복해서 사용되고, 25-라운드부터 마지막 32-라운드 까지는 /爲, …, /-의 역순서로 사용된다. 다음은 GOST의 키 스케줄을 표로 나타낸 것이다.
표 1. GOST의 키 스케줄
Ⅲ. GOST에 대한 현재까지의 분석 결과
이 장에서는 현재까지 나타난 GOST 알고리즘에 대한 연관키 차분 공격에 대하여 살펴 보고, 특히 〔8〕에서 사용한 차분 특성 집합이 우리의 31-라운드 연관키 차분 공격에 어떻게 사용되는지에 대해서 다룰 것이다.
J. Kelsey⑷등은 2장에서 설명한 GOST의 단순한 키 스케줄을 이용한 연관키 차분 공격에 대하여 제시 하였다. J. Kelsey 등은 부분키 이 첫 번째 라운드에서 사용된 이후에 9-라운드에서 다시 사용되는 성질을 이용하였다. 비밀키 256-비트에서 첫 번째 블록에서만 0이 아닌 차분 IK】을 갖는 연관키를 고려하면, 이 차분 값은 선택 평문의 차분을 이용하여 1 라운드 함수의 출력 차분 값을 0으로 만들 수 있고, 이것은 공격자로 하여금 처음 8-라운드를 그냥 통과할 수 있게 한다. 즉, 키 차분이 발생하는 9 라운드까지 차분값 (0, 0)을 유지할 수 있게 된다. Kelsey 등은 이러한 생각으로 9 라운드부터 GOST의 S-box를 고려한 3-라운드 반복 차분 특성을 이용하여 20-라운드 특성식을 꾸민 후 GOST에 대한 4R 연관키 공격이 이론적으로 가능함을 보였다. 그러나, J. Kelsey 등은 이것은 단지 S-box의 차분 분포가 매우 나쁜 환경에서만 가능하고 실제로는 12-라운드 특성식을 사용한 24-라운드로 GOST 에 대한 연관키 공격을 이론적으로만 보였다.
GOST에 대한 차분 특성을 이용한 공격은 SAC 2000에서 H. Seki⑻등에 의하여 구체화 되었다. H. Seki 등은 GOST S-box의 차분 확률이 입 . 출력 차분 뿐만 아니라 키 값에 많이 의존한다는 성질을 파악하고. 차분 확률에 키가 관여하는 부분을 줄이기 위하여 부정 차분 특성 (truncated differential characteristics)의 일종인 차분 특성 집합(a set of differential characteristics) 의 개념을 이용하였다. H. Seki등은 두 개의 0이 아닌 차분 집합 , 와 ▽를 사용하였는데, /는 S-box의 입력 차분으로 4-비트 중에서 최상위 비트가 0인 차분 값을 나타내는 집합이고, V는 그에 대응하는 S-box의 출력 차분으로 4-비트 중에서 최하위 비트가 0인 차분 값을 갖는 집합을 나타낸다. 또한 그들은 각각의 S-box에 대하여 다음의 평균 확률을 계산하였다.
표 2. S-box에 대한 차분 확률 분포
#
각각의 확률값들은 0.30 에서부터 0.75 까지 S-box의 번호와 키 값들에 따라 다양하게 나타난다 (여기서 八느 모든 키 값에 대한 S「box의 평균값을 나타낸다). 여기서 사용한 확률 분王들은 4장에서 설명할 우리의 31-라운드 연관키 차분 공격에도 사용되므로 주목할 필요가 있겠다.
이러한 차분 특성 집합을 이용하여 H. Seki등은 13-라운드 GOST에 대한 차분 공격을 언급하였다. 또한, 이 차분 특성 집합을 J. Kelsey⑷등이 제시한 GOST에 대한 연관키 차분 공격에 적용하여 키 차분 应、을 로 구체화 시킨 후 21-라운드 GOST에 대한 연관키 공격을 제안하였다. 앞으로 e 는, -번째 비트에서만 값이 1이고 나머지는 0인 32-비트 이진 수열을 가리킨다. 여기서 /는 오른쪽부터 0. 1, 31의 인덱스를 갖는다.
Ⅳ. GOST에 대한 연관키 차분 공격
지금부터, 앞에서 언급한 GOST의 취약한 키 스케줄을 이용하여 다양한 방법의 연관키 차분 공격들에 대하여 소개할 것이다. 우선 연관키 특성을 이용하여 확률 IT®1 로써 1-라운드 반복 차분 특성을 사용한 32-라운드 특성식을 꾸민 후, 전체 32-라운드 GOST 블록 암호 알고리즘을 랜덤 oracle로부터 구별하는 방법에 대하여 설명한다. 그리고, 2라운드 반복 차분 특성을 사용한 24라운드 특성식과 3절에서 언급한 차분 특성 집합을 이용한 6-라운드 특성식을 연접하여 30-라운드 특성식을 꾸민 후, 31-라운드 GOST의 마지막 라운드의 부분키 32-bit를 복구하는 공격에 대해서 설명한다. 그리고 마지막으로 본 논문에서 처음으로 언급하고 있는 전체 32-라운드 GOST에 대한 연관키 공격에 대해서 소개한다.
4.1. 랜덤 oracle과의 구별 방법 distinguishing attack)
우리는 단지 2쌍의 선택평문P, F'를 연관키 K, K'으로 암호화하는 과정을 통해서 확률 1-2-64 로써 GOST 블록 암호를 랜덤 oracle과 구별할 수 있다. 공격을 위하여 우선, 다음과 같은 랜덤 oracle O 와 0'을 고려한다. 0는 평문에 대하여 키 K=g .- , 此)를 이용하여 암호문 C=(Q., Cr)를 출력하고, O'은 평문 尸' = (0 的。31, 死 $ 知)에 대하여, 키 K = (K] ©。31, ®。31, "<8 ©。31, )을 이용하여 암호문 C' = (C'z, C'r) 를 출력하는 랜덤한 oracle이다. 공격자는 키 K=g …, 瓦)를 알 수는 없지만, 두 개의 키에 대한 다음과 같은 연관성 K$K' = (e3i, e3i, …, 知)을 알고 있다고 가정한다.
GOST에 대한 연관키 차분 공격을 고려하면, 키스케줄에 의하여 모든 라운드에서 사용되는 부분키의 차분값은 Cm과 같고 선택한 평문의 입력 차분 또한 (e3i. %i)이므로, 이러한 1-라운드 반복 차분 특성식을 꾸밀수 있고 (키 덧셈 과정 이후 S8를 포함한 모든 S-box의 입력 차분이 0이 된다. 즉, 라운드함수의 입력 차분이 0이므로 출력 차분 또한 0이 되기 때문이다). 그림 2. 와 같은 32 라운드 차분 특 식을 확률 1로써 꾸밀 수 있다. 그러면 암호문의 차분 값이 (e3i. Cm)를 만족하는 지의 여부에 따라서 확률 I-?"로써 블록 암호 GOST를 랜덤 oracle과 구별할 수 있다. 앞에서 언급했듯이, 우리가 설명한 연관키 차분 특성을 이용한 구별 공격에는 단지 2쌍의 선택평문과 연관키들에 대한 암호화 과정만이 필요할 뿐이다.
그림 2. 32-라운드 차분 특성식
4.2. 31-라운드 GOST에 대한 연관키 차분 공격
이 절에서 설명하는 공격은 2-라운드 반복 차분 특성을 이용한 24-라운드 차분 특성식과 3장에서 언급한 H. Seki 등의 차분 특성 집합을 이용한 6-라운드 차분 특성식을 연접하여 만든 전체 30-라운드 연관키 차분 특성식을 사용할 것이다. 우선 공격을 위하여 다음과 같은 연관키를 고려한다.
K=(K1, K2, K3, Ki, K5, K6, K7, Ks)
K' — (X? ®, K-j © eil, Ki, K$ ® e31, K6, K7 e 31, Ks)
선택평문 쌍 와 尸' = (%, %㊉ 翎) 를 각각 K와 에 대응하여 사용하면 확률 1로써 그림 3.과 같은 24-라운드 차분 특성식을 꾸밀 수 있다.
그림 3. 24-라운드 차분 특성식 (1 〜24 라운드)
그러면 24-라운드 이후의 출력 차분 (0, 财)을 확률 1로써 얻을 수 있다. 그리고 24-라운드 이후의 출력 차분, 다시 말하면 25-라운드의 입력 차분 값인 (0, 知)과 H. Seki의 차분 특성 집합을 이용하여 그림 4와 같은 또 다른 6-라운드 차분 특성식을 꾸밀 수 있다. 그림 4에서 키 차분이 사용되는 라운드 함수는 키 스케줄에 의하여 26, 28, 30번째 라운드의 함수가 되고 #은 차분 집합 j=!0abc} (a. b. ce(0, 1})의 원소를 나타낸다. 25라운드의 F 함수 입력값이 80000000x 이면 출력값이 00000#00x가 될 확률은 *이다. 이 확률은 F 함수의 특성상 ProZ>{ 1000 —을+ ▽ = {沥cO}}만을 계산하면 되는데 이는 시뮬레이션과〔8〕에 의해 쉽게 알 수 있다.
그림 4. 6-라운드 차분 특성식 (25~30 라운드)
표 2.를 이용하여 6-라운드 차분 특성식의 확률을 계산하면 2%・33이고, 따라서 위의 두 개의 차분 특성 식을 연접한 전체 30-라운드 차분 특성식의 확률 또한 2盜33이 된다. 그러므로 31 라운드의 부분키 32-비트를 찾기 위하여 전형적인 1-R공격⑴을 고려하면 올바르지 않은 평문 쌍들 (wrong pairs)은 ?“의 확률로 걸러진다. 따라서, 이 차분 특성식의 S/N⑴는 대략 239-67 (= 厂:『.2 _ 勺2 32)의 높은 값을 갖는다. 그래서 약 226의 선택 평문들을 고려하면, 이 중에는 약 5개의 올바른 쌍이 존재한다고 할 수 있고, 2”의 선택 평문이 여과 과정을 거친 후에는 226의 올바른 쌍 후보들이 남게 되고, 이 후보들 중 올바르지 않은 쌍 (wrong pairs)들이 올바른 키 (right key)의 카운트 값을 증가시킬 확률 은 차분 특성식에 의하여 이므로 대략 5번 이상 카운트 되는 키 값을 올바른 키 (right key)로 판단할 수 있다.
표 2. S-box에 대한 차분 확률 분포
따라서, 〔9〕에 의하여 우리는 성공확률 97.9%로 萨甘以-噂 ■志) "9의 암호화 시간과 2 幽의 선택 평문을 이용하여 31-라운드 GOST의 마지막 라운드 키 32비트를 복구할 수 있다.
4.3. 전체 32-라운드 GOST에 대한 연관키 차분 공격
지금부터 본 논문의 핵심인 전체 32-라운드 GOST의 마지막 라운드의 부분키 12-비트를 높은 성공확률을 가지고 복구하는 알고리즘을 제안한다. 앞으로 설명할, 이 알고리즘에서 사용한 연관키 차분 특성식은 단지 한 가지 예일 뿐이다. 미리 살펴보면, 평문과 연관키에 관련된 차분을 여기서 사용한 e30이 아닌 e, 로 (1JM29)로 변화시킴으로써, 우리가 사용한 방법과 유사하게 다양한 특성식들을 꾸며 공격에 이용할 수 있다.
厶를 32-비트 이진수열이라고 할 때, 일단 A[i\ 를 厶의 户번째 비트라 하고 A[宀刀를 A의 i-번째 비트에서부터 户번째 비트라 하자. 즉. A[i~j] = A[皿 (II는 비트간 연접 (concatenation) 을 의미한다)이다. 선택 평문 戶=(孔, Pr)와 F' = (尸L ㊉ e, 30, FR的。30)을 키 K=(Ki, …, KQ와 矿 = (研艇3。, 代2珈3。, …, 反8由。30)에 대해서 각각의 암호화 과정을 고려하면 키 덧셈 과정 이후 라운드 함수의 입력 차분은 확률 2一1로써 0이 된다. 이 특성을 이용하면 3(卜 라운드 연관키 차분 특성식을 확률 2'3°으로 꾸밀 수 있다 게다가, C=(邕, CQ와 C'=(C『, GQ 을 각각 P와 P'에 대응하는 암호문이라 하고, P와 P'을 올바른 평문 쌍(right pair)이라고 가정하면 암호문의 차분값에 대하여 다음과 같은 4개의 특정한 형태의 모양을 고려하여 해당되는 부분키 비트들을 복구할 수 있다.
Case. 1.
#
이 경우는 31 라운드와 32 라운드의 모든 S-box의 입력 차분이 0임을 뜻한다. 따라서, 우리는 幻⑶]의 값을 확률 1-2仙로 얻을 수 있다.
Case. 2.
#
=(CL©C/)[11~29] = (0£«€/)[31] = 0이경우는 31-라운드의 모든 S-box의 입력 차분은 0이고 32-라운드 S-box의 입력 차분은 특히, $8-box에서만 0이 아님을 뜻한다. 따라서, 우리는 K j[30]의 값을 확률 I-)"로 얻을 수 있다 또한, 주어진 올바른 평문 쌍과 S^box의 특성을 이용하면 대략 확률 0.62로 K][狗, A-J291, KJ311 을 복구할 수 있다.
Case. 3.
#
이 경우는 당연히 31-라운드의 S-box의 입력 차분이 특히, 母七监에서만 0이 아니고 31로 인해 발그림 5. Case. 2.를 위한 32-라운드 연관키 차분 특성 식생하는 암호문의 오른쪽 출력 차분 중 7번째 비트가 0임을 뜻한다. 그러면,
#
를 검사하여 /乌[8〜11]를 복구할 수 있다. 여기서 FK1[i~, T( . )는 부분키 비트 孩卩〜刃를 이용한 라운드 함수를 뜻한다.
Case. 4.
#
이 경우는 Case. 3.와 거의 비슷하며 다만 암호문의 오른쪽 출력 차분 중 7번째 비트가 0이 아님을 뜻한다. 마찬가지 방법으로 KJ4〜 을 복구할 수 있다.
그림 6은 특히 4번째 경우 (Case. 4.)를 묘사하고 있으며, 회색 부분은 고정되지 않은 차분 비트를 가리키고 검은색 부분과 횐색 부분은 차분이 각각 1 과 0인 비트를 나타낸다. 주목할 점은 Case. 1과 Case 3.에서 복구할 수 있는 키 비트들은 Case. 2와 Cass 4에서도 복구할 수 있으므로 우리는 부록에 나타나 있는 것과 같이 Case. 2와 Cas으. 4에서 마지막 라운드의 부분키 12비트를 복구하는 알고리즘 1.을 제시한다. 여기서 올바르지 않은 쌍들이 여과 단계 (filtering step)를 통과할 확률은 二^림 6. 에서 보는 바와 같이 2*2이고, 3단계에서 키 비트 K】[3()I은 알고리즘 1.에서 언급한 집합。의 쌍들을 이용하여 확률 로 찾을 수 있다.
그림 6. Case. 4.를 위한 32-라운드 연관키 차분특성식
우리의 알고리즘 L에 대한 성공확률을 계산하면 다음과 같다. 만약에 2肪의 선택 평문들을 고려하면 Case. 2와 Case. 4를 만족하는 쌍들은 각각 최소- 한 4개씩 대략 확률 0.96으로 존재한다. 그리고 최대 15개의 올바르지 않은 쌍들이 확률 0.99로 여과 단계 (filtering step)를 통과하므로 단계 3과 단계 4에서 올바르지 않은 키는 거의 확률 1로 최대 3회까지만 카운트 된다. 따라서 알고리즘 L의 성공확률은 대략 0.917이고 이때 필요한 암호화 시간은 2乂 2 花이다.
Ⅴ. 결론
지금까지 연관키 차분 특성을 이용한 GOST의 다양한 공격 방법에 대하여 설명하였다.〔1이에 의하면 일반적인 선형공격이나 차분공격에서는 전체 32- 라운드 GOST에 대해서 안전하다고 언급하였지만 연관키 개념을 적용하면 32-라운드의 부분키를 찾을 수 있다는 것을 보였다.
제안한 공격 방법에 의하면 블록 암호 알고리즘인 GOST를 단지 2쌍의 선택 평문과 연관키에 대한 암호화 과정으로 랜덤 oracle과 확률 1-2「"로써 구별할 수 있었다. 또한. H. Seki등이 사용했던 차분 특성 집합은 우리가 제시한 연관키 차분 특성식을 사용했을 경우 31-라운드 GOST에 대한 공격으로 확장됨을 보였다. 이 공격은 성공확률 97.9%로 2囲의 선택 평문과 2酔의 암호화 시간을 이용하여 31-라운드 GOST의 마지막 라운드 키 32비트를 복구할 수 있다. 마지막으로, 이 논문은 전체 32-라운드 GOST에 대한 연관키 차분 공격이 2*개의 선택 평문과 2%의 암호화 과정을 이용하면 91.7%로 성공할 수 있음을 보여준다.
References
- Differential Cryptanalysis of the Data Encryption Standard E.Biham;A.Shamir
- Advances in Cryptology-EUROCRYPT'93 New Types of Cryptanalytic Attacks Using Related Keys E.Biham
- Gosudarstvennyi Standard 2814789, Government Committee of the USSR for Standards Cryptographic Protection for Data Processing Systems GOST
- Advances in Cryptology CRYPTO'96 of Lecture Notes of Computer Science v.1109 Key Schedule Cryptanalysis of IDEA, G-DES, GOST. SAFER and Triple-DES J.Kelsey;B.Schneier;D.Wagner https://doi.org/10.1007/3-540-68697-5_19
- Fast Software Encryption Second International Workshop Proceedings(FSE'94) of Lecture Notes of Computer Science v.1008 Truncated and Higher Order Differenctial L.Knudsen
- Data Encryption Standard National Bureau of Standards
- Applied Cryptography B.Schneier
- Seventh Annual Workshop on Selected Areas in Cryptography(SAC'00) of Lecture Notes of Computer Science v.2012 Differential Cryptanalysis of Reduced Rounds of GOST H.Seki;T.Kaneko https://doi.org/10.1007/3-540-44983-3_23
- Third International Conference SCN 2002 of Lecture Notes of Computer Science v.2365 On Probability of Success in Linear and Differential Cryptanalysis A.Selcuk;A.Bicak
- Electronics Notes in Discrete Mathematics v.6 Linear and Differential Cryptanalysis of Russian GOST Vitaly,V.Shorin;Vadim,V.Jelezniakov;Ernst,M.Gabidulin