hwp

Similar documents
본 강의에 들어가기 전

0. 들어가기 전

05 암호개론 (2)

Ⅰ. 들어가는 말 2005년 6월에 발생한 인터넷뱅킹 해킹 사건이 2005년 가장 기억에 남는 정보보호 뉴 스로 선정되었다고 한다. 해킹 등으로 인해 개인의 PC가 악의적인 해커에 의해 장악이 된 경우에는 어떤 보안시스템도 제 기능을 다하지 못함에도 불구하고, 해킹 사

Microsoft PowerPoint - chap06.ppt

슬라이드 1

기초 암호화 기법

PowerPoint Template

공개키 암호 방식

PowerPoint Template

Microsoft PowerPoint - note01 [호환 모드]

관용 암호 방식

PowerPoint Template

1장 암호의 세계

Microsoft PowerPoint - note03 [호환 모드]

hwp

1장 암호의 세계

Cryptography v3

본 강의에 들어가기 전

동양미래대학교규정집제 8 편정보보안 ~2 제4조 ( 책임사항 ) 1. 정보보안담당관 : 대학의전반적인보안계획을수립관리하는자로대학에서 1명을선정하여, 암호화기술및프로그램등암호와관련된모든사항들에대해서최종승인과총괄적인관리를담당한다. 그리고기술의발달에따라암호화기술및

KISA-0149.hwp

<4D F736F F F696E74202D20C1A639C0E55FB9ABB0E1BCBA5FC0AFC1F65FB1E2BCFA2E >

PowerPoint Presentation

<333620BCDBC1A6C8A32DBDBAB8B6C6AE20C4ABB5E5BFEB20B3BBC0E5C7FC20C5B020BDBAC4C9C1ECB7AF20BAEDB7CF20BCB3B0E82E687770>

chap06.hwp

Sequences with Low Correlation

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널

PowerPoint 프레젠테이션

보안과 암호화의 모든 것

<353220B0ADBFB5C1F82D DC0BB20C0A7C7D12E687770>

A Study on the efficient mutual authentication mechanism using the agent server

발신자 목적지 발신자 목적지 발신자 목적지 공격자 발신자 목적지 발신자 목적지 공격자 공격자

05 암호개론 (2)

04 Çмú_±â¼ú±â»ç

Microsoft PowerPoint - chap05.ppt

3.2 함수의정의 Theorem 6 함수 f : X Y 와 Y W 인집합 W 에대하여 f : X W 는함수이다. Proof. f : X Y 가함수이므로 f X Y 이고, Y W 이므로 f X W 이므로 F0이만족된다. 함수의정의 F1, F2은 f : X Y 가함수이므로

Microsoft PowerPoint - chap09.ppt

암호이론과 보안 고전적 암호시스템

V. 통신망 기술

Microsoft PowerPoint - crypto [호환 모드]

HB/HB+

untitled

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

프리미엄 디자인

PowerPoint Template

OCW_C언어 기초

hwp

인증기관간상호연동을위한 CTL 기술규격 CTL Technical Specification for the Interoperability of Certification Authorities 년 월

PowerPoint Template

<343120C0CCBCB1B1D92D E20C8AFB0E6BFA120C0FBC7D5C7D12E687770>

2 미러사이트 (Mirror Site) 3 웜사이트 (Warm Site) 4 콜드사이트 (Cold Site) - 미러사이트 (Mirror Site) : 메인센터와동일한수준의정보기술자원을원격지에구축하고, 메인센터와재해복구센터모두액티브상태로실시간동시서비스를하는방식이다. R

4-김명선KICS _Modified.hwp

164 Daehak Kim 전자서명이필요하며동시에공인인증서로해당전자서명을생성한자의신원을확인하게된다. 전자금융거래의공인인증서적용흐름을살펴보면, 1998년은행들이인터넷뱅킹을시작하면서공개키방식의사설인증서를발행하여사용하기시작하였다. 인증서의서명을디지털서명이라한다. 이때는물론국

Microsoft PowerPoint - chap02.ppt

(JBE Vol. 20, No. 1, January 2015) (Regular Paper) 20 1, (JBE Vol. 20, No. 1, January 2015) ISSN 228

서론 공개키암호시스템 은대칭키암호시스템의키관리문제를 해결할수있는방안으로개인키와공개키쌍을이용하여주로데이터를암호화하거나디지털 서명을수행하는데사용된다 그러나공개키에대한인증이없으면중간자공격 과같은공격이가능하므로공개키에대한신뢰가전제되어야한다 현 재국내외에서는사용자들의공개키에대한

Microsoft PowerPoint - 6.pptx

PowerPoint 프레젠테이션

자바암호패키지 (JCA, JCE) 및실무활용방법 20soft 박대표 이글에서는자바암호패키지인 JCA(Java Cryptography Architecture) 와 JCE(Java Cryptography Extension) 에대해서알아보고, 실무활용방법에대해서알아보겠습니다

적용범위 o 대상제품 : 금융위원회에등록하고자하는신용카드단말기 - 관련유형 : 신용카드거래를위해가맹점에설치되어민감한신용카드정보를전달하는 장치로서, 단말기의형태와상관없이판매시점관리기능의존재여부에따라 CAT단말기와 POS단말기로구분. 단, 민감한신용카드정보를이용하지않는 장

참고 : 더블링크드리스트 노드는데이터와포인터를가지고포인터가다음노드의데이터부분을참조하면서 연결되는자료구조이며, 데이터검색시포인터로연결된노드를검색하여값을찾음 < 더블링크드리스트연결구조 > 구분인덱스 ( 데이터베이스 ) 더블링크드리스트 장점 단점 < 인덱스및더블링크드리스트방

1. 정보보호 개요

07.기업의 정보보호를 위한 암호 정책 수립 지침_KCS.KO hwp

목차 Ⅰ. 서론 4 Ⅱ. 국제표준경량블록암호알고리즘과국내알고리즘 5 1. 국제표준알고리즘 PRESENT CLEFIA SIMON/SPECK 6 2. 국내알고리즘 LEA HIGHT 8 Ⅲ. IoT에적용 9 Ⅳ.

쉽게배우는알고리즘 6장. 해시테이블 테이블 Hash Table

public key private key Encryption Algorithm Decryption Algorithm 1

Lecture22

실험 5

비트와바이트 비트와바이트 비트 (Bit) : 2진수값하나 (0 또는 1) 를저장할수있는최소메모리공간 1비트 2비트 3비트... n비트 2^1 = 2개 2^2 = 4개 2^3 = 8개... 2^n 개 1 바이트는 8 비트 2 2

1아이리포 기술사회 모의고사 참조답안

록들 Hl, 53l f크 c>c> 동성정보릉선(주) 빼빼빼빼빼 廳 빼빼 :줬했 :~:::::::::::: 텔레뱅킹 ; 음성 쩔훌F 싼섣섣섣1 온앵서버 홈뱅 킹 PC 모덤 i..",.q));;,"ss-=- PC 뱅킹 폈 도듣] 스크린폰 ; 흠칭 ;될01 -

말은 많은 Blockchain 2

,.. 2, , 3.. 본론 2-1 가상잡음신호원생성원리, [8].,. 1.,,. 4 km (13.3 μs).,. 2 (PN code: Pseudo Noise co- 그림 2. Fig. 2. Pseudo noise code. de). (LFSR: Line

<313620C0CCC0B1C1A42D494B457632B8A620C1F6BFF8C7CFB4C BFA1BCADC0C720C5B020BAB9B1B820BCB3B0E82E687770>

Observational Determinism for Concurrent Program Security

PowerPoint 프레젠테이션


PowerPoint Template

SHA-256 해시함수에대한 소스코드활용매뉴얼

PowerPoint Presentation

Artificial Intelligence: Assignment 6 Seung-Hoon Na December 15, Sarsa와 Q-learning Windy Gridworld Windy Gridworld의 원문은 다음 Sutton 교재의 연습문제

키 관리와 인증서

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

<30332E20BDC5BCF6BAB9B4D42E687770>

IITA-0436.hwp

PowerPoint Template

Microsoft PowerPoint - chap07.ppt

Microsoft Word - TTAK.KO doc

Microsoft PowerPoint - A2-2-이동훈 [호환 모드]

Microsoft Word - Crackme 15 from Simples 문제 풀이_by JohnGang.docx

PowerPoint 프레젠테이션

DB 암호화상식백과는 DB 암호화상식백과는 DB 암호화구축을고려하는담당자들이궁금해하는점들을모아만든자료 집입니다. 법률적인부분부터시스템적인부분까지, DB 암호화에대한궁금증을해소해드리겠습니 다. DB 암호화상식백과목차 1. DB 암호화기본상식 1) DB암호화근거법조항 2)

PowerPoint Template

PowerPoint 프레젠테이션

<4D F736F F D205B D D20C0CFC8B8BFEBC6D0BDBABFF6B5E55F4F54505F20C5E4C5AB20BAB8BEC820BFE4B1B8BBE7C7D72E646F63>

[ 목차 ]

순서 I [ 동영상 ] 테이프암호화의필요성 II [Case Study] 암호화기술개발배경및도입효과 III 기존암호화솔루션의한계 IV IBM 테이프암호화의장점 V IBM 테이프암호화절차 VI IBM LT4 세대소개 1

<C3E6B3B2B1B3C0B C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

Transcription:

대칭키암호 성재철 서론현대의정보화시대에사용되고있는암호 (Cryptography) 기술은 Secret(crypto) 을 writing(graphy) 하는것으로정의된다. 인터넷통신이나무선통신에서수신자와송신자이외의비허가된개체가메시지를읽을수없도록감추는프라이버시보호서비스나수신자에게메시지나개체의정당성을확인시켜주는인증서비스등컴퓨터및통신상의보안문제를해결하기위해필요한기술적방법을제시하는기술이다. 암호기술은인류역사상가장오래된직업으로서고대 Egyptians은유적에암호화된상형문자를사용했으며, Phaistos의고대유적 (Cretan-Minoan, BC 17세기 ) 은여전히해독불가하다. 또한 Herodotus( 그리스, BC 5세기 ) 는암호문의전송에관한방법기술을제시하였으며, 고대 Hebrews인은성서의특정단어를암호화하였다. 또한 Julius Ceasar는 Ceasar Cipher라불리는단수대치암호를사용하여전쟁을치렀으며, Roger Bacon(13세기 ), Geoffrey Chaucer 등도암호방법을사용하였다. 또한 Leon Alberti(15세기 ) 는 Cipher Wheel을개발하였고, Blaise de Vigenere(1585년 ) 는 Poly Alphabetic Substitution Cipher에관한암호학책을저술하였다. 1790 년경에는 36개의디스크를이용하여 Jefferson Cylinder가개발되었고, 1817년 Wadsworth에의해고안되었으며, 1869 년경 Wheatstone에의해발전된 Wheatstone Disc도있다. 20세기에서는 2차세계대전에사용된 Enigma Rotor Machine 등암호기술은인류역사의발전에크게기여하였다. 현대적암호기술은 1976년 Diffie-Hellman이제안한키교환프로토콜에서시작된다. 기존의단순한암호프로토콜을바탕으로해쉬 (Hash) 알고리즘등다양한요구조건을수용하여안전성이증명가능하며다양한이용이가능하도록발전하고있다. 현대암호에서사용되는기본개념은다음과같다. 1) 암호학 (Cryptography): 읽을수있는메시지를읽을수없는메시지로변환및복원하는데필요한원리및방법을제공하는과학이다. 2) 평문 (Plaintext): 원래의의미있는혹은읽을수있는메시지이며, 인터넷이나이동통신을통해전달되고자하는모든데이터가해당된다. 3) 암호문 (Ciphertext): 평문이암호화과정을통해변환된무의미한혹은읽을수없는메시지이며, 실제통신매체를통해전달되는데이터이다. 4) 암호화 (Cipher): 읽을수있는메시지를읽을수없는메시지로변환하는알고리즘이며크게대칭키방식과공개키방식등으로분류한다. 아래그림에서왼쪽의평문을오른쪽의암호문으로변환하는과정을암호화라고하며, 고대의시저의암호화과정을적용하면암호문으로부터평문의정보를추측할수있다. 그러나현대의방법을사용하면, 암호문과평문의상관관계를전혀찾아낼수없다. 5) 키 (Key): 수신자또는송신자가이용하는암호화에필요한비밀정보이거나또는비밀정보와연관된공개된정보이다. 저자약력성재철교수는고려대학교수학과암호학이학박사 (2002) 로서, 한국정보보호진흥원선임연구원 (2002-2003) 을거쳐현재서울시립대학교수학과에재직중이다. (jcsung@uos.ac.kr) 그림 1. 평문 ( 좌 ) 과암호문 ( 우 ) 비교. 2

트이상의데이터라도그값을대표하는 160비트또는 256 비트등의소량의특정값 (Hash value) 을계산함으로써원본데이터중단한개의비트의데이터삭제, 추가, 변조등을검출할수있는해쉬알고리즘 (Hash Algorithm) 이있다. 블록암호 그림 2. 암호기술로드맵. 6) 암호화 (Encryption): Cipher와 Key를사용하여평문을암호문으로변환하는과정이며, 모든상용알고리즘은공개된다. 7) 복호화 (Decryption): Cipher와 Key를사용하여암호문을원래의평문으로변환하는공개되는과정이다. 8) 암호분석 (Cryptanalysis): 암호해독이라고도하는과정이며, 복호화에사용될키에대한정보없이암호문을평문으로변환하거나키에관한정보를찾는기술이다. 9) 암호학 (Cryptology): Cryptography와 Cryptanalysis의총칭이며, 창과방패를모두연구하는학문이며, 주로수학, 전산, 전자공학등다양한학문이모두결합되어야하는종합학문분야이다. 암호기술의주요연구분야다양한분야에적용되고있는암호기술은사용목적에따라암호알고리즘과암호프로토콜등의분야로구분된다. 암호의핵심을담당하는암호알고리즘은크게대칭키암호 ( 관용암호 ) 와공개키암호로분류한다. [3,4] 대칭키암호는암호를주고받는송신자와수신자가비밀통신을하기전에비밀키를미리분배하여야한다. 반면에공개키암호는암호화하는키와복호화하는키를분리하여암호화하는키는공개하고, 복호화하는키는비밀리에보관하는방식이다. 공개키암호방식은대칭키암호의사전키공유의문제를해결하고자개발된방식으로대칭키방식에비해보다수학적이지만, 암호화및복호화하는시간이대칭키방식보다오래걸린다. 따라서일반적으로사전키공유는공개키암호를이용하여키를송신자와수신자가공유한후, 이후대칭키암호를이용하여비밀통신을수행하는하이브리드 (Hybrid) 형식을주로사용한다. 또한이미제시된충분한양의 0 또는 1 값으로부터다음에제시될값 (0 또는 1) 을 1/2보다더큰확률로예측할수없도록하는의사난수발생알고리즘 (Pseudo Random Number Generators) 이있다. 그리고수백테라비 암호화 (Encryption) 라는것은의미있는데이터 x를자신만이알고있는비밀정보인키 K를이용하여적당한함수에의해랜덤한형태의데이터 y로변환하는과정이다. 이를수학적으로표현하면다음과같다. 여기서, n은평문과암호문의비트길이이고 k는키의비트길이이다. 또한비밀키 K가고정되면 E K( ) 는전단사함수가된다. 대칭키암호는블록암호와스트림암호로구분한다. 메시지를블록단위 ( 보통 n이 64 이상 ) 로암호화하는것을블록암호라하고비트혹은바이트단위 ( 보통 n이 1 혹은 8) 로암호화하는것을스트림암호라한다. 일반적으로긴길이의메시지나파일의경우는 64-비트의블록암호라하면메시지를 64-비트단위로나눈후, 각단위별로암호화함을의미한다. 현대암호의관점에서최초의블록암호는 1977년미국에서개발하여표준으로사용한 DES(Data Encryption Standard) 알고리즘이다. 이블록암호는 n = 64이고 k = 56이다. 즉블록길이는 64비트이고키길이는 56비트이다. [5] DES 내부알고리즘은대치 (Substitution) 와치환 (Permutation) 을일정한횟수반복하면평문이해독이어렵게잘섞인다는샤논 (Shannon) 의정보이론에근거하여만들어졌다. 여기서대치라는것은어떠한문자를다른문자로바꾸는것을의미하는것으로고전암호의시저암호와같은형태의변환을의미한다. 치환이라는것은문자들을서로순서를바꾸어놓은것으로고전암호의스키테일암호와같은변환이다. 따라서 DES 는고전암호인시저암호와스키테일암호를적절히조합하여만든암호라할수있다. 암호분석 (Cryptanalysis) 은케르코프원리 (Kerckhoff s Principle) 를기반으로하여이루어진다. 케르코프원리라는것은암호 [1] 박영수, 암호이야기 - 역사속에숨겨진코드 (2006). [2] 김동현외, 코드브레이커 - 암호해독의역사 (2005). [3] 원동호, 현대암호학 (2004). [4] D. Stinson, Cryptography - Theory and Practice (3rd ed.) (2006). [5] National Institute of Standards and Technology, FIPS 46-3: Data Encryption Standard (1999). 3

알고리즘의안전성은암호알고리즘자체의메커니즘을숨기는것이아니라, 비밀키를찾는것의어려움에기반한다는것이다. 즉암호알고리즘이어떻게구성되었는지를비밀로하는것이아니라알고리즘자체는공개된다는가정에서그알고리즘의비밀요소인키를찾거나평문의정보를얻는것이다. 현대암호는이러한가정에서안전성을다루고있다. 그렇다면 DES의안전성이란과연무엇을의미하는가? 일반적인관점에서 DES를분석한다는것은암호문 C가도청되었을경우평문 M을알아내든지비밀키 K를찾는것이다. 만약공격자가비밀키 K를찾는다면그공격자는암호화함수 E K 의역함수 E K 1 를이용하여 E K 1 (C ) 를계산하여평문을알아낼수있다. 따라서공격자의가장큰목표비밀키 K를찾는키복구공격 (Key Recovery Attack) 이다. 이키복구공격중가장쉽게생각할수있는것이모든가능한키를조사하여키를찾아내는전수조사공격 (Exhaustive Search Attack) 이다. 당연히현대에개발된일반적인블록암호의경우전수조사공격을하는것은쉬운작업이아니다. DES는 56비트의키 K를가지고평문 64비트 (8바이트 ) 의평문을변환하는함수이다. DES의내부를구성하는알고리즘은개발당시의하드웨어환경에최적으로구현이가능하고그당시의암호분석기법으로는분석이어렵게설계되었다. 키길이가 56비트이므로전수조사공격을수행하기위해서는 2 56 번의연산이필요하다. DES의개발당시컴퓨터의계산능력이지금에비해서는현저히떨어졌기때문에이것을계산하는것은몇억년이상걸리는작업이므로거의불가능할것으로판단되었다. 하지만, 1990년대말에들어오면서, 컴퓨팅능력의발달로인해이 2 56 번의연산은현실적으로가능해졌고, 1999년 DES 전용칩인 Deep Crack과 Network 로연결된 distributed.net이공동으로참여한 DES Challenge III 프로젝트에의해 22시간만에키가복구되었다. DES 알고리즘은블록암호분석의시발점이되었다. 1980 년대에는 DES에대한취약점이많이분석되었고세계각국에서는 DES를모방한암호가많이개발되었다. 하지만, DES 를포함한대부분의블록암호는 1990년대초이스라엘의암호학자 E. Biham과 A. Shamir에의해개발된차분분석법 (Differential Cryptanalysis) [6] 과일본의암호학자 M. Matsui 에의해개발된선형분석법 (Linear Cryptanalysis) [7] 에의해분석되었다. DES의경우, 차분분석에의해약 2 48 의복잡도로분석되었고선형분석에의해약 2 43 의복잡도로분석되었다. 이는전수조사보다공격계산량이적다. 일반적으로암호알고리즘에서는공격복잡도가전수조사공격보다적을경우알고리즘이해독되었다고말한다. 그러나두공격의경우필요한 ( 평문, 암호문 ) 쌍의수가각각 2 48 과 2 43 이되어실제적인 그림 3. DES Challenge III 에사용된전용칩과보드. 공격의적용가능성면에서는의문이될수있으나전수조사보다복잡도가낮기때문에해독되었다고볼수있다. 1990년대들어전수조사보다공격복잡도가낮은차분분석과선형분석의개발과전수조사공격의실제적구현가능성은 DES의치명적인약점으로작용되어새로운알고리즘의개발이요구되어졌다. 이러한요구에맞춰 1997년미국에서는차세대블록암호표준 AES(Advanced Encryption Standard) 프로젝트를시작하였다. 이프로젝트에서는과거 DES가정부주도로비밀리에개발된것에반해, 전세계의암호학자를대상으로새로운암호개발을독려하여공개적인평가를통해안전하고효율적인암호를만들고자하였다. 암호알고리즘의설계기준은전수조사관점에서 DES를세번암호화한것보다안전해야하고현재까지개발된블록암호의분석기법에도취약성이없어야한다는것이었다. 전세계에걸쳐약 20여개의알고리즘이제안되어, 3년여의공개검증절차를거쳐벨기에에서개발된 Rijndael 알고리즘이새로운블록암호표준으로개발되었다. 이알고리즘은 2000년미국 NIST의표준블록암호 AES가되었다. [7] AES의블록길이는 128비트이고키길이는 128비트이다. 블록길이와키길이가두배이상늘어났다. 전수조사의관점에서 DES보다 2 72 배향상되었다. 이는 DES가해독되는데하루걸린다면 AES는 2 72 일걸림을의미한다. 즉, 현재및향후최소한 10년간은컴퓨팅능력의획기적인발전이없는한전수조사공격으로는해독이불가능함을의미한다. AES 알고리즘의경우도전체적인설계의논리는 DES와같이치환과대치의반복으로구성되어있다. 하지만 DES보다는암호학적공격내성에강하도록수학적으로안전한암호논리를기반으로설계되어졌다. 2001년이전에개발된정보보 [6] E. Biham and A. Shamir, Differential Cryptanlaysis of the Full 16-round DES, Advances in Cryptology - CRYPTO'92 (Springer-Verlag, 1992). [7] M. Matsui, The First Experimental Cryptanalysis of DES, Advances in Cryptology - CRYPTO'94 (Springer-Verlag, 1994). 4

호제품이나소프트웨어에는 DES가탑재되어있고, 그이후개발된제품에는 AES 알고리즘이사용되고있다. DES와 AES 이외에도다양한형태의알고리즘이제안되고있으나 DES나 AES과비교하면실제널리사용되는블록암호는거의없다고볼수있다. 앞으로 AES의암호에대해새로운공격방법이개발되거나전수조사공격이용이해지기전에는 AES가계속세계적표준으로널리사용될것으로전망된다. 스트림암호스트림암호는블록암호에비해상대적으로는사용빈도가낮으나, 블록암호에비해경량및고속동작이용이하여무선환경이나스트리밍서비스등과같은환경에서많이사용되고있다. 스트림암호의경우과거에는주로하드웨어구현이용이한 LFSR(Linear Feedback Shift Register) 에기반을둔알고리즘을설계하여왔으나, 근래에는다양한응용환경개발과인터넷서비스에서스트리밍기법이많이이용되면서블록암호알고리즘보다고속동작이가능한소프트웨어기반의스트림암호개발이많아지고있다. LFSR 자체만으로는안전성을제공하지못하므로, LFSR 기반의스트림암호알고리즘은높은주기성과좋은통계적성질을갖는 LFSR들을결합하여알고리즘을설계된다. 이러한 LFSR 기반의스트림암호알고리즘은주로유럽을중심으로 1970년대부터 1990년대초까지연구되었다. GSM에사용되는스트림암호 A5나블루투스에사용되는 E0 암호등의대부분의알려진상용암호제품에사용되는스트림암호알고리즘이 LFSR 기반으로설계되어졌다. 암호기술이전세계적으로일반화된 1990년대부터소프트웨어구현에적합한스트림암호알고리즘이등장하기시작하였다. RSA사에서개발한 RC4가 1990년대초개발된대표적소프트웨어구현이용이하도록설계된대표적알고리즘이다. [9] RC4 알고리즘은앞서살펴본블록암호의구조보다는훨씬간단하다. 이알고리즘은카드게임에서카드를뒤섞는셔플링 (Shuffling) 기법을이용한다. 송신자는비밀키를이용하여모든가능한바이트의수인 256개를뒤섞는다. 그런후특정한위치의두지점을이용하여 256개의가능한바이트중하나를고른후그값을키스트림으로사용하여평문과 XOR 연산으로암호화한다. 이후, 다시두개의위치만바꾸어섞은후다시특정위치의바이트를키스트림으로반복하여사용한다. 이러한연산을필요한만큼하여키스트림을얻는방식이다. 이러한기법을테이블셔플링방식이라한다. RC4는최초개발당시알고리즘구조에대해서는비공개 그림 4. LFSR 의구조. 이었으나, 1990년대중반알고리즘에대한구조가알려진후, 알고리즘에대한많은취약점이제시되었다. RC4의등장은소프트웨어구현이용이한스트림암호알고리즘의개발및분석에대한연구의시발점이되었다. 1990년대후반에들어오면서다양한설계논리를바탕으로한스트림암호가등장하였다. 블록암호에비해소프트웨어구현을기반으로한스트림암호는설계및분석기법의부족으로인해, 대부분의소프트웨어기반의스트림암호는기존의블록암호설계논리, 해쉬함수의설계논리혹은 LFSR의설계논리를바탕으로설계되었다. 스트림암호의가장대표적인분석기법은상관공격 (Correlation Attack) 기법이다. 이분석기법은 1985년 T. Siegenthaler에의해그공격의개념이소개되었고, 1989년 W. Meier와 O. Staffelbach에의해공격알고리즘이제시되었다. 이후, 이공격의개념을이용하여다수의 LFSR 기반스트림암호뿐아니라, Summation generator 등에도적용되었다. 또한, 일반적인스트림암호의안전성분석에활용될수있도록상관공격알고리즘의효율성및공격복잡도를개선시킨다양한연구결과가개발되었다. 최근에는 LFSR 기반스트림암호뿐아니라, 일반적인스트림암호의안전성분석에기본적인분석방법으로활용되고있다. 상관공격과더불어스트림암호의분석에가장많이활용되고있는기법이대수적공격 (Algebraic Attack) 이다. 이분석법은처음에는공개키암호에적용된분석방법이었으나, 2000 년초이분석방법을블록암호의분석기법으로활용하는방법이 Courtois에의해소개되었다. 하지만대수적공격기법은블록암호의분석보다는스트림암호의공격에실질적으로적용되면서더욱효과적인분석방법으로활용되고있다. 이외에도스트림암호의대표적인분석방법으로 TMTO (Time Memory Trade Off) 공격, 구별공격등여러종류의분석방법이존재한다. 그러나일반적인스트림암호의분석 [8] National Institute of Standards and Technology, FIPS 197: Advanced Encryption Standard (2002). [9] R. Rivest, RC4, unpublished work (A description of RC4 appears in B. Schnier, Applied Cryptography) (1996). 5

방법은각알고리즘의설계논리에따라분석방법도상이하고체계적인분석알고리즘의부재로인해, 스트림암호의안전성을제대로평가할만한분석방법이정비되어있지않다. 따라서블록암호에비해스트림암호의경우개발자가안전성에대한확신을제대로얻지못하고있는실정이다. 해쉬함수 블록암호와스트림암호로구분되는대칭키암호알고리즘과더불어암호알고리즘에서가장널리사용되는프리미티브는바로해쉬함수이다. 해쉬함수는대칭키암호나공개키암호와는달리키가없는암호알고리즘이다. 즉, 비밀요소가없다는것이다. 그러면비밀요소가없는암호알고리즘이어떻게정보보호에서중요한요소로사용될수있을까? 암호학적해쉬함수는전자서명등에서의메시지압축, 키생성, 난수생성등에널리사용되는중요한암호학적함수이다. 데이터의위 변조및인증을제공하는암호학적무결성제공알고리즘으로는해쉬함수 (Hash Function) 와메시지인증코드 (Message Authentication Code) 가있다. 여기서, 해쉬함수는키가없는암호알고리즘이고, MAC은키가있는해쉬함수 (Keyed Hash Function) 로인증의도구로사용된다. 해쉬함수는임의의메시지 x를입력으로받아고정된길이 n비트를출력하는다대일 (Many-to-One) 함수이다. 출력길이로는현재 160비트를사용하고있으며, 안전성을증대하기위해 256비트를사용할것으로전망된다. 해쉬함수는주로전자서명알고리즘과결합하여사용되므로, 공인인증서에필수적인요소로사용되고있다. 이러한이유로해쉬함수의안전성은대부분의암호응용분야에중요한역할을하는요소이다. 암호학적해쉬함수가갖추어야할안전성은다음의세가지이다. - 역상저항성 (Preimage Resistance): 주어진출력 y에대해 h(x) = y를만족하는 x를구하는것이계산상어려워야한다. - 제 2 역상저항성 (Second Preimage Resistance): 주어진입력 x에대해같은출력을내는, 즉 h(x) = h(x ), x ( x) 를구하는것이계산상어려워야한다. - 충돌저항성 (Collision Resistance): 같은출력 (h(x) = h(x )) 을갖는임의의서로다른입력 x와 x 를찾는것이계산상어려워야한다. 해쉬길이가 n비트인해쉬함수가역상저항성과제 2 역상 [10] National Institute of Standards and Technology, FIPS 180-1: Secure Hash Standard (1995). 저항성을갖추기위해서는 2 n 보다효과적인공격기법이없어야한다. 즉, 역상저항성과제 2 역상저항성의안전성은 n비트이다. 이에반해, 충돌저항성에대한안전성은생일공격에의해 n/2비트이다. 따라서우리가일반적으로고려하는해쉬함수는충돌저항성공격에안전한해쉬함수 ( 충돌저항해쉬함수 ) 이다. 이에대한안전성은 n/2 비트이다. 전세계적으로가장널리사용되고있는 160-비트해쉬함수인 SHA-1 [10] 의해쉬길이는는 160비트로그안전성은 80 비트이다. 현재의컴퓨팅능력으로는 2 80 을계산하는것은상당히힘든수준이다. 하지만 SHA-1의경우 2005년중국의암호학자 Wang에의해취약성이발견되었다. 이공격은 2 80 보다낮은복잡도인약 2 63 복잡도로공격가능한것이다. 이복잡도는충돌저항성의안전성이 2 80 보다 2 17 배빠르게계산이가능하다는것을의미한다. 만약 1초에 2 21 번 SHA-1 연산능력 ( 현재의 PC 레벨에서실현가능한최대의컴퓨팅능력 ) 을가진컴퓨터가있다면 1년에는 2 46 번계산이가능하게된다. 따라서약 8백만 (=2 23 ) 대의컴퓨터가동원된다면 1년내에 2 63 의계산이가능하다는결론을얻을수있다. DES의알고리즘의취약성으로인해 AES 프로젝트를통해 AES 알고리즘이개발된블록암호의경우와같이해쉬함수의경우에도현재표준으로사용되고있는 SHA-1의취약성이발견되어미국을중심으로새로운차세대해쉬함수공모사업인가칭 AHS(Advanced Hash Standard) 사업에대한준비가 2005년말부터진행되고있다. 하지만해쉬함수의경우작은길이의메시지로부터큰길이의메시지를모두처리해야하기때문에비교적계산이쉽게설계되어야한다. 또한기존의공격등에대해서도높은안전성이요구된다. 따라서다른암호알고리즘에비해효율성과안전성을두루갖춘해쉬함수를설계하는것은어려운일이될것으로전망된다. 결론본원고에서는정보보안에서중추적역할을담당하는암호기술중기밀성기능의핵심적역할을하는대칭키암호의개념및최근동향을살펴보았다. 또한무결성기능을담당하는해쉬함수에대해서도살펴보았다. 현재아무리안전한알고리즘이라할지라도몇년후에는쉽게해독이될수있는것이암호이다. 컴퓨팅능력은나날이발전하고새로운분석기법도계속개발되고있다. 따라서암호알고리즘은그때그때의 state-of-the-art에의해재평가되어야한다. 이렇게급변하는암호기술의시대적추세에발맞추어나가기위해서는최신기술의개발및습득에최선의노력을다해야할것이다. 6

2024 © docsplayer.org 개인정보보호 | 약관 | 지원