<사진 출처 : www.freepik.com>


 

1, 2라운드 결과 요약

​

총 23개국의 연구원들이 서로 협업하여 57종의 알고리즘을 제출했고, 2019년 4월에 최종적으로 56 종의 알고리즘이 1라운드 후보로 선정되었다. 1라운드에서는 주로 안전성 관점에서 취약성을 가진 알고 리즘들이 탈락했으며, 그 사유는 주로 위조 공격, 길이 확장 공격, 구별 공격, 공격에 적용 가능한 성질 유무, 문서 요구사항 준비 미흡이 있었다. 이를 통해 총 32종의 알고리즘이 2라운드 후보로 선정되었다. 취약점 별 1라운드 탈락 알고리즘을 정리한 것이다. NIST 경량암호 공모사업 2라운드에 대한 현황 보고서(NISTIR 8369) 최종 후보 선정에 는 크게 세 가지 사항이 고려되었다. 첫 번째는 암호학적 안전성으로, NIST는 이를 평가에 있어서 가장 중요한 조건으로 뽑았다. NIST는 서드파티 암호 분석 또는 잘 설계된 설계 원칙 및 안전성 증명이 포함 된 알고리즘 제출물을 선호했다고 밝혔다. 또한 NIST 자체 내부 분석 외에도 암호학 커뮤니티의 피드백 도 고려 대상에 포함되었다. 두 번째 사항은 후보 알고리즘이 제한된 장치들에서 구현됐을 때 어느 정도 성능을 가질 수 있는지이다. NIST는 다양한 환경을 고려하여 후보들을 평가, 비교하였고, 특히 현재 NIST 표준 알고리즘보다 훨씬 우수한 성능을 가진 후보를 선호했다고 밝혔다. 자체 내부 소프트웨어 벤 치마킹 비교뿐만 아니라 다양한 공개 소프트웨어 및 하드웨어 벤치마킹도 평가에 고려되었다. 세 번째로 는 부채널 분석에 얼마나 저항성을 가졌는지가 평가 조건에 포함되었다. 이를 위해 NIST는 후보들의 제 출물과 관련 문헌들을 종합적으로 고려하였다. 명시적인 요구 사항은 아니었지만 유사한 안전성과 구현 성능을 가진 후보들에 대해서는 nonce 오용 보안, RUP (releasing unverified plaintext) 보안, 양자 후 보안 강도들도 평가 사항에 추가로 고려되었다. 2라운드 후보 알고리즘에 대한 평가 구분 을 시각화한 것이다.

​

최종 10종 알고리즘들에 대한 안전성 분석 요약

​

최종 후보 10종을 포함한 전체 2라운드 후보들의 안전성 분석 및 현황이 제시되어있다. 해당 보고서에서 제시하는 분석들은 암호학 커뮤니티의 분석 논문들과 NIST 내부 검토 자료를 기반 으로 한다. 본 장에서는 이 중 10종의 최종 후보들에 대한 간단한 설명 및 현황을 요약하여 소개한다. ASCON은 2014년부터 2019년까지 진행됐던 CAESAR 경진대회에서 우승을 차지한 알고리즘이다. 기존에는 2개의 버전(ASCON-128, ASCON-128a)을 가진 AEAD였으나, NIST 표준화 사업에 참여할 때는 1개의 AEAD ASCON-80q와 2개의 해시 함수(ASCON-Hash, ASCON-Xof)가 추가되었다. 이들은 모두 ASCON 퍼뮤테이션을 기반으로 한다. 3개의 AEAD는 12라운드의 초기화 단계를 가지고 있는데, 이 중 7라운드만 사용할 경우 Cube 공격이 가능하다는 것이 밝혀졌다(Li Y. 외 3인, Science China Information Sciences 2017). 해시 함수도 마찬가지로 초기화 단계인 12라운드 중 2라운드만 사용하 면 Cube 역상 공격이 가능하나, 대수적 역상 공격을 사용하면 6라운드로 더 긴 라운드 공격이 가능하 다(Dobraunig C. 외 3인, Technical Report 2019). ASCON 퍼뮤테이션은 12라운드에 Zero-sum 구 별자가 존재한다(Dobraunig C. 외 3인, CT-RSA 2015). 그 외에도 딥러닝을 사용한 전력 파형 분석과 통계적 오류 주입 공격에 취약하다는 부채널 분석도 밝혀진 바가 있다(Ramezanpour K. 외 4인, NIST Lightweight Cryptography Workshop 2020).

​

Elephant는 퍼뮤테이션 기반 AEAD 패밀리로, Spongent 기반 Dumbo, Jumbo와 KECCAK 기반 Delirium으로 구성된다. Elephant 설계팀은 Elephant 패밀리가 퍼뮤테이션이 이상적이라는 가정하에서 nonce가 재사용이 불가능할 때(nonce-respecting scenario) privacy와 인증(authenticity)을 제공한다 는 것을 증명했다. 또한, 설계팀은 nonce가 재사용이 가능한 환경(nonce-misuse scenario)에서는 인증 을 제공하지 못한다고 밝혔다. nonce 재사용이 불가능한 시나리오에서 Delirium은 interpolation attack으로 인하여 전체 18라운드 중 8라운드가 공격이 이루어진 바 있다(Zhou H. 외 4인, Cryptology ePrint Archive 2020). Spongent 기반 AEAD Dumbo와 Jumbo는 전체 라운드를 대상으 로 한 선형 구별자가 존재한다(Bogdanov A. 외 5인, IEEE Transactions on Computers 2013). 세 알고리즘 모두 양자 컴퓨팅 관점에서의 키 복구 공격에 대한 안전성 평가도 다뤄졌다(Shi T. 외 4인, Designs, Codes and Cryptography 2021). Elephant 설계팀은 각 블록의 마스킹 키를 생성하는 데 사용되는 모든 블록의 인덱스 쌍을 변경하는 것과 Wegman-Carter-Shoup 스타일 인증자를 사용하여 nonce 재사용 환경에서도 인증을 제공할 수 있게 변경하는 것을 고려하고 있다.