KR100889465B1 - 대칭-키 암호들을 위한 치환-박스 - Google Patents

Abstract

입력 데이터 블록은 순열들에 기초한 S-박스를 사용하여 입력 데이터 블록에 비선형 연산을 실행함으로써 출력 데이터 블록으로 암호화 변환된다. S-박스는 적어도 두 개의 순열들의 세트와 관련된다. S-박스가 사용되기 이전에 매번, 순열들 중 하나가 순열들의 세트로부터 (의사) 랜덤식으로 선택되고, 변환을 위해 사용된다.

비선형 연산, 순열, 입력 데이터

Description

대칭-키 암호들을 위한 치환-박스{Substitution-box for symmetric-key ciphers}

본 발명은 한 세트의 순열들(permutation)에 기초한 치환 박스(S-box; Substitution-box) 형태의 비선형 연산을 사용하여 입력 데이터 블록을 출력 데이터 블록으로 암호화 변환하는 것에 관한 것이다.

디지털 오디오 및/또는 비디오의 저작권 보호의 영역에서 암호화의 응용분야들은 점진적으로 중요해지고 있다. 이들 응용분야들은 콘텐츠 암호/해독 및 액세스 관리 기능들을 포함한다. 이와 같은 응용분야들을 위하여, 널리 공지된 블록 암호 DES가 사용될 수 있다. DES는 16개의 라운드(round)들로 구성된 파이스텔 암호(Feistel cipher)이다. 각 라운드에서, 먼저 데이터의 우반부(right half)의 32비트가 48비트로 확장된다. 다음에, 스케쥴링 알고리즘으로 56 비트 DES 키로부터 연산된 48 비트 라운드 키(round key)가 이들 48 비트에 모듈러 2(modulo 2) 비트단위 가산된다. 그후, S-박스들의 층이 상기 데이터 상에 비선형 연산을 실행한다. DES에서, S-박스 층은 병렬의, 여덟 개의 6대4 비트 S-박스들로 구성, 즉, 각 S-박스들은 S-박스당 하나의 고정 맵핑 테이블을 사용하여 6비트 입력 블록을 4비트 출력 블록으로 변환한다. S-박스 층의 출력은 그위에 비트 치환이 실행되는 32 비트 데이터 블록이다. S-박스 치환은 DES 내에서만의 비선형 연산이고, 그 보안성에 크게 기여한다. DES의 단점은 56비트의 그 작은 키 사이즈이며, 이는 최근에는 고수준의 보안성을 제공하기 위해서는 불충분한 것으로 간주되고 있다. 그러나, 16개의 48 비트 라운드 키들을 연산하기 위한 차분 키 스케쥴링 알고리즘과 조합된 보다 긴 키를 사용함으로써 전수 키(exhaustive key) 조사가 회피될 수 있다. 공개된 문헌에 공고된 DES에 대한 두 가지 가장 강력한 공격들은 차분 및 선형 암호분석이며, 이들은 일반적으로 광범위한 블록 암호에 적용될 수 있는 일반적인 공격이다. 키 길이 및/또는 키 스케쥴링 알고리즘을 변형시킴으로써 DES가 이들 공격에 대하여 보다 강화될 수 없다는 것이 알려져 있다. 그러나, 알고리즘의 라운드 함수의 변화(예로서, S-박스내에서)는 이들 공격들에 대한 그 세기에 현저한 영향을 미칠 수 있다.

본 발명의 목적은 양호한 암호화 특성을 가진 S-박스들을 설계하는 것이다. 본 발명의 다른 목적은 이와 같은 S-박스들이 소비자 전자 응용 분야들 내에서의 광범위한 사용을 허용하는 하드웨어 및 소프트웨어에서 효과적으로 구현될 수 있게 하는 것이다.

본 발명의 목적에 부합되도록 S-박스를 위한 순열은 소정의 순열들의 세트로부터 동적으로 선택된다. 상기 세트내의 각 순열이 공지된 공격, 특히, 차분 및 선형 암호 분석에 대한 최적의 저항성을 제공하도록 선택되는 것이 바람직하다. 순열들을 (의사-)랜덤하게 선택함으로써, 시스템은 각 S-박스가 단 하나의 고정된 순열으로 구성되어 있는 시스템보다 암호적으로 강해질 수 있다. 세트로부터 순열을 선택하는 것은 신속히, 그리고, 비용 효율적으로 실행될 수 있다.

종속항 2의 수단에 정의되고, 종속항 3 및 6에서 보다 정교하게 되어 있는 바와 같이, 순열들 중 하나의 암호의 약점은 상기 세트의 나머지 순열들 중 적어도 하나의 대응하는 세기에 의해 보상된다. 상기 약점은 예로서, 논-트리비얼 차분 및/또는 소정 최대 확률을 가지는 선형 특성에 반영될 수 있다. 이 방법의 장점은 공격자가 알지 못하는(라운드) 키(들)에 대한 가정을 하지 않고서 이들 특성들에 기초하여 차분 또는 선형 공격(linear attack)을 할 수 없다는 것이다.

종속항 4의 수단에 정의된 바에 따라서, 약점은 완전히 보상된다.

종속항 10의 수단에 정의된 바에 따라서, 순열의 선택은 라운드 키의 제어하에 실행되는 것이 바람직하다. 라운드 키들을 발생시키는 알고리즘(즉, 키 스케쥴링 알고리즘)은 양호한 수준의 의사 임의성(pseudo-randomness)을 획득하도록 선택될 수 있다. 상기 선택을 위한 라운드 키들에 대한 장점은 라운드 키들의 연산 동안 상기 세트로부터 순열이 선택된다는 것이다. 효율성의 이유로, 각 키에 대해 한번 실행되고, 모든 데이터가 이 키로 처리(예로서, 암호화)되어야만 한다는 것은 통상적이며, 또한, 양호한 것이다. 이 방식에서, 암호화/복호화 알고리즘은 각 S-박스를 위해 단 하나의 고정 순열로 구성된 S-박스들에 기초한 시스템만큼 효율적이 될 수 있다.

본 발명의 이들 및 다른 특징들은 도면에 도시된 실시예를 참조함으로써 명확 및 명료해질 것이다.

도 1a 및 도 1b는 비선형 연산을 통합하고 있는 암호의 일 라운드를 도시하는 도면.

도 2는 라운드 함수의 단계들을 예시하는 도면.

도 3은 라운드 함수의 S-박스 층의 세부사항들을 도시하는 도면.

본 발명을 설명하기 위해서, 전자 코드북(ECB) 모드의 블록 암호로서 암호화 시스템이 설명된다. 본 기술 분야의 당업자들은 다른 모드의 시스템에도 마찬가지로 사용할 수 있을 것이다. 이들은 DES를 위한 연산의 표준 FIPS 모드들, 즉, 연산의 암호 블록 체이닝(CBC), 암호 피드백(CFB) 및 출력 피드백(OFB) 모드들을 포함한다. 부가적으로, 상기 시스템은 또한 의사 난수 발생기, 메시지 인증 코드(MAC)들 및 조작 검출 코드(MDC)들을 위한 널리 공지된 구조에 사용될 수도 있다.

상기 암호화 장치는 디지털 입력 블록을 획득하기 위한 입력을 포함한다. 디지털 입력 블록(M)은 소정의 적절한 사이즈일 수 있다. 상기 장치는 디지털 입력 블록을 디지털 출력 블록으로 변환하기 위한 암호화 프로세서를 추가로 포함한다. 디지털 출력 블록은 디지털 입력 블록과 실질적으로 동일한 길이를 가지는 것이 바람직하다. 상기 장치는 디지털 출력 블록을 출력하기 위한 출력을 포함한다. 양호한 실시예에서, 암호화 프로세서는 디지털 입력 블록을 키 비트들과 병합시킴으로써 디지털 입력 블록을 디지털 출력 블록으로 변환하여 비선형성이 입력 블록과 키에 의존하는 출력 블록을 생성한다. 키(또는, 키 스케쥴러에 공급하는 초기 키)를 얻기 위해서, 암호화 장치는 제 2 입력을 포함한다. 상기 암호화 장치는 PC 같은 종래의 컴퓨터를 사용하여 구현되거나, 전용 암호화/복호화 장치를 사용하여 구현될 수 있다. 상기 디지털 입력 블록은 통신망을 경유, 하드디스크 또는 플로피 디스크 같은 데이터 저장 매체로부터 또는 사용자에 의해 직접적으로 입력되는 것 같은 다양한 방식으로 얻어질 수 있다. 유사하게, 디지털 출력 블록은 통신망을 경유, 데이터 저장 매체상에 저장, 또는 사용자에게 디스플레이되는 것 같은 다양한 방식으로 출력될 수 있다. 이를 위해 보안 수단이 사용되는 것이 바람직하다. 암호화 프로세서는 예로서, 퍼스털 컴퓨터에 사용되는 것 같은 종래의 프로세서일 수 있지만, 또한, 전용 암호화 프로세서일 수도 있다. 상기 프로세서는 통상적으로 본 발명에 따른 알고리즘의 단계들을 실행하기 위해, 적절한 프로그램(펌 웨어)의 제어하에 동작된다. 이 컴퓨터 프로그램 제품은 통상적으로 하드 디스크나 ROM 같은 주변 기억장치로부터 로딩된다. 상기 컴퓨터 프로그램 제품은 CD-ROM 같은 저장 매체나 공중 인터넷 같은 네트워크를 경유하여 배포된 이후에, 주변 기억 장치상에 저장될 수 있다. 암호화 키 같은 민감성 정보는 보안식으로 배포 및 저장되는 것이 바람직하다. 이를 위한 기술들은 널리 공지되어 있으며, 부가적으로 설명하지 않는다. 상기 암호화 장치는 부분적으로, 또는 전체적으로, 스마트 카드상에 구현될 수 있다.

암호화 프로세서에 의해 실행되는 본 발명에 따른 S-박스의 비선형 연산이 예시적인 응용분야로서 블록 암호 내의 라운드 함수(f)의 형태로 설명된다. 본 기술 분야의 숙련자들은 자체적으로 다른 암호화 시스템들 및 후술된 것 이외의 다른 암호에도 마찬가지로 상기 비선형 함수를 사용할 수 있을 것이다.

표시법 및 정의들:

하기의 표시법이 예시적인 알고리즘의 설명에 사용된다. Z₂ ⁿ은 좌표 단위 합산 모듈러 2(또한 익스클루시브-오어, 또는 XOR이라고도 지칭됨)로서 정의되는 합산

: Z₂ ⁿ×Z₂ ⁿ→Z₂ ⁿ을 가지는 길이 n(n≥1)의 모든 이진 벡터들의 세트라 한다. 예로서, (1,0,1,0)과 (0,1,1,0)은 Z₂ ⁴의 요소들이며, (1,0,1,0)

(0,1,1,0)=(1,1,0,0)이다. n이 짝수이고, x∈Z₂ ⁿ인 경우에, 이때, x^(L)∈Z₂ ^n/2 및 x^(R)∈Z₂ ^n/2이 각각 x의 좌반부 및 우반부로서 정의된다. 예로서, x=(1,0,1,1,0,0,1,0)∈Z₂ ⁸인 경우에, x^(L)=(1,0,1,1)∈Z₂ ⁴이고, x^(R)=(0,0,1,0)∈Z₂ ⁴이다. 부호 ∥는, 예를 들어, x=(x^(L)∥x^(R)) 같이, 벡터의 연속을 나타내기 위해 사용된다. 벡터 x∈Z₂ ⁿ의 요소들(역시, 비트라 지칭됨)은 좌측으로부터 우측으로 0에서 n-1까지 번호가 매겨져 있다. 즉, x=:(x₀, x₁, x₂, …,x_n-1). 인프로덕트 ·: Z₂ ⁿ×Z₂ ⁿ→Z₂는 모든 x,y∈Z₂ ⁿ인 경우에 x·y=∑_{i=0,1,…,n-1}x_iy_i∈Z₂로 정의된다.

블록 암호 구조:

예시적인 블록 암호는 파이스텔 암호이며, 열여섯 개의 라운드들(DES와 같은)로 구성되어 있다. 블록 길이는 64비트와 같고, 키 길이는 128 비트와 같다. 키 K∈Z₂ ¹²⁸에서 평문 X∈Z₂ ⁶⁴의 그 암호 텍스트 C=Z₂ ⁶⁴으로의 전자 코드북(ECB) 모드에서의 암호화는 C=E(K,X)로 표현된다.

라운드 함수는 f로 표시되며, Z₂ ⁴⁰×Z₂ ³²로부터 Z₂ ³²로의 맵핑이다. 이 라운드 함수는 본 발명의 비선형 S-박스 연산을 통합하며, 보다 상세히 후술될 것이다. 라운드 함수의 제 1 입력 아규먼트(argument)는 라운드 키 K_i∈Z₂ ⁴⁰이다(여기서, i는 라운드 넘버를 나타냄, i=1,2,…,16). 이들 라운드 키들은 소위 키 스케쥴링 알고리즘으로 128 비트 키 K로부터 연산된다. 어느 적절한 키 스케쥴링 알고리즘이 사용될 수 있으며, 이는 상세히 설명하지 않는다. 제 2 입력 아규먼트는 라운드 i 이후 중간 결과의 우반부이다. 이 중간 결과는 X_i∈Z₂ ⁶⁴(i=0,1,…,16)으로 표시되며, X=:(X₀ ^(R)∥X₀ ^(L))이다.

이 표시법을 사용한, 암호 텍스트 C∈Z₂ ⁶⁴의 연산은 도 1에 예시된 바와 같이 하기의 단계들로 구성된다.

1. X_i ^(R)=X_i-1 ^(L)

f(K_i, X_i-1 ^(R))을 연산하고, i=1,2,…,15에 대하여 X_i ^(L) =X_i-1 ^(R) 을 설정한다.

2. X₁₆ ^(L)=X₁₅ ^(L)

f(K₁₆, X₁₅ ^(R))을 연산하고, X₁₆ ^(R)=X₁₅ ^(R)을 설정한다. 암호 텍스트는 C:=(X₁₆ ^(R)∥X₁₆ ^(R))으로 정의된다.

도 1a는 제 1의 열다섯개의 라운드(i=1,2,…,15)들을 위해 사용되는 암호 구조를 도시하고 있다. 도 1b는 최종 16개의 라운드를 도시하고 있다. 도 1a의 이전 라운드들에 비교된 도 1b의 불규칙 교환을 주목하기 바란다. 이는 이 경우에 복호화 알고리즘(즉, X=E^-1(KC)의 연산)이 암호화 알고리즘(역순의 라운드 키들을 가진)과 동일하기 때문에, 파이스텔 구조에서 통상적으로 이루어진다. 이는 암호화의 관점에서는 어떠한 의미도 없다.

라운드 함수:

도 2는 라운드 함수(f)의 양호한 실시예의 전체 블록도이다. 먼저, 예를 들어, 32 비트의 라운드 키의 일부가 스텝 210에서 데이터 비트에 추가된다. 다음에, 스텝 220에서, S-박스들이 비선형 치환을 실행하여, 바람직하게는 차분 및 선형 암호분석에 대한 최적의(로컬) 저항성을 제공한다. 부가적으로, 하기에 보다 상세히 설명될 바와 같이 (라운드)키에 의존하여 소정의 최대 확률을 가진 논-트리비얼(로컬) 특성들이 만들어진다. 마지막으로, 스텝 230에서, 선형 변환이 사용되어 다수의 라운드들에 걸친 높은 확산을 제공한다. 소정의 적절한 선형 변환이 사용될 수 있다. 선형 변환은 본 발명의 주제가 아니며, 상세히 설명하지 않는다.

파이스텔 구조는 라운드 함수의 전사성(surjectivity)에 제한을 부여하지 않는다. 그러나, 라운드 함수는 고정(라운드) 키에 대한 매 선택에 대하여 일대일 대응하는 것이 바람직하다. 이는 라운드 함수의 비균일성에 기초한 공격을 회피한다.

도 3은 본 발명에 따른 S-박스를 통합하는 양호한 배열을 보다 상세히 제공한다. 본 예시적인 시스템에서, 라운드 함수(f)는 Z₂ ⁴⁰×Z₂ ³²로부터 Z₂ ³²로 맵핑된다. 제 1 입력 아규먼트는 라운드 키 K_i∈Z₂ ⁴⁰이고, 두 번째 것은 중간 결과(X _i-1)의 우반부이다. 출력은 f(K_i, X_i-1 ^(R))∈Z₂ ³²로 표현된다. 이 도면에서, K_i ⁽¹⁾∈Z₂ ³²와, K_i ⁽²⁾∈Z ₂ ⁸은 K_i=:(K_i ⁽¹⁾∥K_i ⁽²⁾)이다. 스텝 210에서, 키 추가가 발생되며, 이어서, 스텝 220에서 키 의존 치환 박스(S-box) 층이 사용된다. 예로서, S-박스 층은 데이터 블록의 1/8상에서 각각 작동하는 8개의 보다 작은 S-박스들(S₀,S₁,S₂,…,S₇)로 구성된다. 상기 S-박스 변환은 Z₂ ⁸×Z₂ ³²로부터 Z₂ ³²로 맵핑되며, 라운드 i의 제 1 입력 아규먼트는 라운드 키 K_i ⁽²⁾이고, 두 번째 것은 키 추가의 결과, 즉, X_i-1 ^(R)

K_i ⁽¹⁾이다. 상기 S-박스 변환의 32 비트 출력은 S(K_i ⁽²⁾, X_i-1 ^(R)

K_i ⁽¹⁾)으로 표현된다. 이 맵핑의 상세한 설명은 후술될 것이다. 마지막으로, 스텝 230에서, Z₂ ³²로부터 Z₂ ³² 로의 적절한 선형 변환이 적용된다. 입력은 S(K_i ⁽²⁾, X_i-1 ^(R)

K_i ⁽¹⁾)이고, 그 출력은 L(S(K_i ⁽²⁾, X_i-1 ^(R)

K_i ⁽¹⁾))로 표현된다. 이 표시법으로, 함수 f는 하기와 같이 주어진다.

f(K_i, X_i-1 ^(R))=L(S(K_i ⁽²⁾, X_i-1 ^(R)

K_i ⁽¹⁾))

S-박스들:

본 발명에 따라서, S-박스는 데이터의 치환을 실행한다. 본 명세서에 설명된 양호한 실시예에서, S-박스는 4-비트 서브-블록상에 작용한다. 또한, 다른 크기의 서브-블록들도 사용될 수 있다. 본 발명에 따라, 각각의 S-박스에 대하여, 적어도 두 개의 미리 결정된 순열들의 세트가 사용되며, 여기서 S-박스를 사용하기 전에 매번 이들 순열들 중 하나는 (의사) 랜덤 방식으로 선택된다. 바람직하게, 이 선택을 위해 라운드 키가 사용된다. 바람직한 실시예에서, 각각의 S-박스는 두 개의 순열들과 연관되며, 여기서 상기 라운드 키의 하나의 미리 결정된 비트는 양 순열들 중 무엇이 사용되는지를 선택하기 위해 사용된다. 4-비트 서브 블록들 상에 작용하는 것 같은 상대적으로 작은 S-박스를 사용하는 것은 통상적으로, 각각이 적어도 두 개의 비선형 순열들의 각 세트와 관련되는 병렬 S-박스들의 열을 필요로한다. 32 비트 블록들상에 작용하며 4-비트 S-박스들을 사용하는 블록 암호의 양호한 실시예에서, 여덟 개의 S-박스들이 병렬로 사용되며, 이들 각각은 두 개의 순열들로 구성되어 있다. 본 실시예에 대하여, 하기의 표시법이 사용된다. S-박스 변환의 제 1 입력 아규먼트 K_i ⁽²⁾의 비트를 k_j ⁽¹⁾(j=0,1,…,7), 즉, K_i ⁽²⁾=:(k₀ ⁽ⁱ⁾,k₁ ⁽ⁱ⁾,…,k₇ ⁽ⁱ⁾)로 표시한다. 벡터 N_j ⁽ⁱ⁾∈Z₂ ⁴(j=0,1,…,7)는 X_i-1 ^(R)

K_i ⁽¹⁾=(N₀ ⁽ⁱ⁾∥N₁ ⁽ⁱ⁾∥…∥N₇ ⁽ⁱ⁾)로서 정의된다. S-박스 맵핑은 여덟 개의 맵핑들 S_j:Z₂×Z₂ ⁴→Z₂ ⁴(j=0,1,…,7)의 연속으로 구성된다. 제 1 입력 아규먼트는 키 비트 k_j ⁽ⁱ⁾이고, 이는 S_j를 위한 두 개의 순열들 중 어떤 것이 사용되었는지를 선택한다. 제 2 입력 아규먼트는 N_j ⁽ⁱ⁾이고, 이는 S_j를 위한 선택된 4-비트 순열을 위한 입력이다. 이 순열의 대응하는 4-비트 출력도 S-박스의 출력이며, S_j(k_j ⁽ⁱ⁾, N_j ⁽ⁱ⁾)로 표시된다. 이 표시법으로 함수 S는 하기와 같이 주어진다.

S(K_i ⁽²⁾,X_i-1 ^(R)

K_i ⁽¹⁾)=(S₀(k₀ ⁽ⁱ⁾,N₀ ⁽ⁱ⁾)∥S ₁(k₁ ⁽ⁱ⁾,N₁ ⁽ⁱ⁾)∥…∥S₇(k₇ ⁽ⁱ⁾,N₇ ⁽ⁱ⁾))

순열의 차분 및 선형 특성들:

하기의 설계 조건들이 개별 순열들에 대하여 사용되는 것이 적합하다.

1. 차분 암호분석에 대한 저항성 : XOR 분포표의 최대 논-트리비얼 값은 소정 최대값과 같다. 4-비트 순열이라 가정하면, 이 최대값은 4, 즉, 각 논-트리비얼 차분 특성은 최대 1/4의 확률을 갖는다. 차분 특성과 XOR 분포표의 개념은 널리 공지되어 있다. 이는 바이함(Biham)과 샤미어(Shamir)에 의해 1990년에 최초로 공개적으로 설명되었으며, 예로서, 1991년의 암호작성법 저널(Journal of Cryptology) 제 4(1)권 3 내지 72 페이지의 "DES-형 암호작성 시스템의 차분 암호분석(Differential Cryptoanalysis of DES-LIKE Cryptosystem)"에 공개적으로 개시되어 있다.

2. 선형 암호분석에 대한 저항성 : 선형 근사값표의 최대 논-트리비얼 절대값은 소정 최대값과 같다. 4-비트 순열을 가정하면, 이 최대값은 4, 즉, 각 논-트리비얼 선형 특성은 1/4 와 3/4 사이의 확률을 갖는다. 선형 특성 및 선형 근사값표는 널리 공지되어 있다. 마스이(Matsui)에 의해 최초로 공개적으로 설명되었다. 이는 1995년 이. 바이함(E. Biham)의 "마스이의 선형 암호분석에 관하여(On Matsui's Linear Cryptonanlysis; EURCRYPT'94, LNCS 950, Springer, 1995, pp. 341-355)"에 설명되어 있다.

각 순열이 이들 요구조건 양자 모두를 충족시키는 것이 적합하다. 상술한 조건들을 4-비트 비선형 순열들에 대하여 상세히 설명한다. 이들 조건들은 4-비트 순열들에 최적한 것으로 검증될 수 있다. 즉, 4 보다 작은 최대 논-트리비얼 XOR 분포를 가지는 4-비트 순열이 하나도 존재하지 않으며, 4 보다 큰 그 선형 근사값의 최대 논-트리비얼 절대값을 갖는 4-비트 순열이 존재하지 않는다.

상술한 조건들을 충족하는 순열들은 순열을 랜덤하게 발생시키고, 생성된 순열이 상기 조건들을 만족하는지 아닌지를 테스트함으로써, 생성될 수 있다. 또한, 적절한 순열이 발견될 때까지 전수조사를 하거나, (수학적) 구성 방법을 사용하는 등의 적절한 다른 기술들이 사용될 수도 있다. 구성 방법의 한가지 특정 예는 0이 그 자체로 맵핑되는 상태의 2ⁿ 요소들을 가진 유한 필드내의 전치 맵핑에 기초한 것이며, 이는 케이. 나이버그(K. Nyberg)의 "암호 작성을 위한 차분적으로 균일한 맵핑들(Differentially uniform mappings for cryptography; EUROCRYPT'93, LNCS 765, Springer, 1994, pp.55-64)"에서 발견할 수 있다. 이 방법에 따라 구성된 n-비트 S-박스에 의해 충족되는 대응하는 조건은 n이 짝수일 때, 하기와 같다.

1. 차분 암호 분석 대한 저항성 : XOR 분포표의 최대 논-트리비얼 값이 4와 같다. 즉, 각 논-트리비얼 차분 특성은 최대 4/2ⁿ의 확률을 가진다.

2. 선형 암호 분석에 대한 저항성 : 선형 근사값표의 최대 논-트리비얼 절대값은 2^n/2와 같다. 즉, 각 논-트리비얼 선형 특성은 1/2 - 1/2^n/2와 1/2+1/2^n/2 사이의 확률을 갖는다.

이들 조건들이 4-비트 순열들에 대하여 상술한 것들을 일반화하는 것을 쉽게 알 수 있다. n-비트 S-박스의 모든 입력 요소들 및/또는 모든 출력 요소들상에 소정의 가역적인 아핀 맵핑(Z₂ ⁿ에 걸쳐)을 적용하는 것은 그 최대 논-트리비얼 XOR 값 또는 그 선형 근사값 표내의 그 최대 논-트리비얼 절대 값에 영향을 미치지 않는 것으로 널리 알려져 있다. 이 방식으로, 상술한 조건들을 만족하는 다수의 S-박스들이 단일 S-박스로부터 구성될 수 있다.

본 발명에 따라서, S-박스는 적어도 두 개의 비선형 순열들과 관련된다. 상기 세트내의 순열들은 그들이 각각 다른 것의 약점을 보상하도록 선택된다. 이는 각 차분 및 선형 특성들에 대하여 보다 상세히 설명될 것이다. 부가적인 조건들은 예로서, 하기의 두 개의 순열들을 가진 S₀ 같은 S-박스를 사용하여 예시된다.

열 0 및 1은 두 개의 순열들의 출력을 나타내며, 이는 행 숫자에 의해 정의된 입력에 대응한다. 이하, 이들 두 개의 순열들을 각각 P₀ 및 P₁으로 표시한다. 양 입력 및 출력들은 16진수로 표시되어 있다. 예로서, 제 1 순열이 선택되고(즉, k₀ ⁽ⁱ⁾=0), N₀ ⁽ⁱ⁾=3인 경우에, 이때 출력은 9, 즉, S₀(0,3)=9이다. 유사하게, S₀(1,3)=f이다. 여덟 개의 평행한 S-박스들을 가정하면, 각각 그 박스를 위한 특정한 두 개의 순열들과 관련되어 있고, 총 16개의 순열들이 발생될 필요가 있다. 이들 순열들 각각은 위에 주어진 모든 조건들을 충족한다. 본 발명에 따라서, 순열들이 세트로서 하나의 S-박스에 소속되고, 또한 하기의 조건들 중 적어도 하나, 바람직하게는 양자 모두를 충족시킨다.

순열들의 세트의 차분 특성들:

하나의 S-박스를 위한 순열들의 세트는 하기의 조건을 만족한다.

상기 순열들 중 하나의 논-트리비얼 차분 특성이 최대 확률을 가지는 경우, 이때, 이 차분 특성은 다른 순열들 중 적어도 하나에서 보다 낮은 확률을 가진다.

이 방식으로 순열 중 하나의 약점이 다른 순열들 중 하나의 세기에 의해 보 상된다. 보다 낮은 확률은 0인 것이 바람직하며, 최적으로 약점을 보상한다. 따라서, 하나의 S-박스를 위한 한쌍의 4-비트 순열을 위한 양호한 조건은 : 두 순열들 중 하나의 논-트리비얼 차분 특성이 1/4의 확률을 가지는 경우, 이때 이 차분 특성은 나머지 순열에서 0의 확률을 가진다. 즉, S-박스의 각 논-트리비얼(라운드) 키-독립적 차분 특성은 최대 1/8의 확률을 갖는다.

상기 두 개의 설명된 순열들(P₀ 및 P₁)이 이 조건을 충족시키는 것을 예시하기 위하여, 그 XOR 분포표가 하기에 주어져 있다. P_i(α,β∈Z₂ ⁴인)의 XOR 분포표에서 열(α)과 행(β)의 엔트리는 X_i ^α,β로 표시되며, 이는 하기와 같이 정의된다.

X_i ^α,β:=#{x∈Z₂ ⁴｜P_i(x)

P_i(x

α)=β}, i=0,1

즉, X_i ^α,β는순열 P_i을 위한 대응하는 출력쌍내에 편차(β)를 유발하는 편차(α)를 가진 입력쌍들의 수와 같다.

P₀의 XOR 분포표

주어진(로컬) 차분 특성을 위한 확률, 즉, 입력 편차(α)가 출력 편차(β)를 유발하는 확률(α->β로 표기)은 주어진 입력 편차를 가진 입력쌍들의 총 수로 대응하는 엔트리를 나눔으로써 구해진다. 이 입력 쌍들의 총 수는 4-비트 순열에 대하여 16과 같고, 그래서, α→β인 상기 확률은 X_i ^α,β/16으로 주어진다. 이들 표들의 첫 번째 열과 행의 엔트리들은 순열들에 대해 항상 유지되는 확률을 가진 트리비얼 특성, 즉, 0 →0을 나타낸다. 모든 다른 엔트리들에 걸친 최대값이 양자 모두의 순열들에 대하여 4와 같기 때문에, 모든 다른(논-트리비얼) 차분 특성들이 1/4 이하의 확률을 가진다는 것을 쉽게 알 수 있다.

P₁의 XOR 분포표

보상 효과는 예로서, 순열들 양자 모두에 대해 특성 7→5를 고려함으로써 보여질 수 있다. P₀에 대하여, 7→5인 확률은 X₀ ^7,5/16=1/4와 같고, P₁에 대하여, 이 확률은 X₁ ^7,5/16=0로 주어진다. 이 보상은 가능한 많은 요소들에 대하여 이루어지는 것이 바람직하다. 본 실시예에서, 이는 4를 위한 최대 XOR 편차값을 가지는 모든 요소들에 대하여 이를 유지한다. 순열들을 발생시키고 테스트하는 널리 공지된 기술들을 사용하여, 본 기술분야의 숙련자들은 4-비트 순열들에 대하여 수일내에 여덟 개의 이와 같은 순열들의 쌍들을 만들어낼 수 있다. 대안적으로, 예로서, 이들 순열들 양자 모두의 출력상에 아핀 변환을 적용함으로써 상기 조건을 충족시키는 서로 다른 순열들의 쌍 P₀* 및 P₁*가 P₀ 및 P₁으로부터 구성될 수 있다. 이는 Z₂에 걸친 비특이 4×4 매트릭스(non-singular 4×4 matrix) A와, 벡터 b∈Z₂ ⁴를 선택하고, 모든 x∈Z₂ ⁴에 대하여 P₀*(x):=P₀(x)A

b와 P₁*(x):=P₁(x)A

b를 정의함으로써 이루어질 수 있다. 이 방식으로 순열들의 322560 차분(순서) 쌍들이 구성될 수 있고, 이들 각각은 모든 상술한 조건들을 만족하는 것이 쉽게 확인될 수 있다. 이들 변환들 중 하나는 Z₂ ⁴→Z₂ ⁴로부터의 일치성 맵핑(identity mapping), 즉, P₀*=P₀이고, P₁*=P₁이다.

순열들의 세트의 선형 특성들:

하나의 S-박스를 위한 순열들의 세트는 하기의 조건을 만족한다.
순열들 중 하나의 논-트리비얼 선형 특성이 1/2로부터 최대 절대 편차를 가질 확률을 가지는 경우, 이때 이 선형 특성은 다른 순열들 중 적어도 하나에서 1/2에 보다 근접할 확률을 가진다.

이 방식으로 순열들 중 하나의 약점이 다른 순열들 중 하나의 세기에 의해 보상된다. 다른 순열들 중 하나의 대응하는 확률은 1/2과 같은 것이 바람직하며, 최적으로 약점을 보상한다. 따라서, 하나의 S-박스를 위한 한 쌍의 4-비트 순열들을 위한 선택된 조건은, 두 순열들 중 하나의 선형 특성이 1/4 또는 3/4의 확률을 가지는 경우, 이때, 이 선형 특성은 다른 순열에서 1/2의 확률을 가진다. 즉, S-박스의 각(라운드)키-독립 선형 특성은 3/8과 5/8 사이의 확률을 가진다.

두 개의 상술된 순열들 P₀와 P₁이 이 조건을 충족시키는 것을 예시하기 위해서, 그 선형 근사값표가 하기에 주어진다. P_i(α,β∈Z₂ ⁴에서)의 선형 근사값표의 열(α)과 행(β)의 엔트리는 L_i ^α,β로 표시되며, 이는 하기와 같이 정의된다.

L_i ^α,β:=#{x∈Z₂ ⁴｜x·α=P_i(x)·β}-8, i=0,1

즉, 순열 P_i, L_i ^α,β는 α에 의해 정의된 입력 비트상의 선형 관계가 β-8에 의해 정의된 대응하는 출력 비트상의 선형 관계와 동일한 입력들의 수를 나타내며, 이는 4-비트 순열들의 이상적인 수이다(보다 일반적으로는 n-비트 순열들에 대하여 상기 이상값은 2^n-1이다).

P₀의 선형 근사값표

주어진(로컬) 선형 특성을 위한 확률, 즉, α에 의해 정의된 입력 비트상의 선형 관계가 β에 의해 정의된 출력 비트상의 선형 관계와 동일한 확률(α→β로 표시됨)은 1/2+L_i ^α,β/16과 같다. 이들 표의 제 1 열과 행의 엔트리들은 임의의 맵핑에 대해 유지되는 확률을 가지는 트리비얼 특성, 즉, 0→0을 나타낸다. 모든 다른(논-트리비얼) 차분 특성들은 모든 다른 엔트리들 전체에 걸친 최소 및 최대값이 순열들 양자 모두에 대하여 각각 -4와 4와 같기 때문에, 1/4와 3/4 사이의 확률을 가지고 있다는 것을 쉽게 알 수 있다.

P₁의 선형 근사값표

보상 효과는 예로서, 순열들 양자 모두에 대한 선형 특성 2→3을 고려함으로써 알 수 있다. P₀에 대하여, 2→3인 확률은 1/2+L₀ ^2,3/16=3/4와 같고, P₁에 대해서, 이 확률은 1/2+L₁ ^2,3/16=1/2로 주어진다. 이 보상은 가능한 많은 요소들에 대하여 이루어지는 것이 바람직하다. 본 실시예에서, 이는 4의 최대 절대값을 가지는 모든 요소들에 대하여 유지된다. 순열들을 제거하고 테스트하기 위한 널리 공지된 기술들을 사용하여, 본 기술 분야의 숙련자들은 4-비트 순열에 대하여, 수일내에 8개의 이와 같은 순열들의 쌍들을 생성할 수 있다. 대안적으로, 예로서, 이들 순열들 양자 모두의 출력상에 아핀 변환을 적용함으로써 상기 조건을 충족시키는 서로 다른 순열들의 쌍 P₀* 및 P₁*가 P₀ 및 P₁으로부터 구성될 수 있다. 이는 Z₂에 걸친 비특이 4×4 매트릭스 A와, 벡터 b∈Z₂ ⁴를 선택하고, 모든 x∈Z₂ ⁴에 대하여 P₀*(x):=P₀(x)A

b와 P₁*(x):=P₁(x)A

b를 정의함으로써 이루어질 수 있다. 이 방식으로 순열들의 322560 차분(순서) 쌍들이 구성될 수 있고, 이들 각각은 모든 상술한 조건들을 만족하는 것이 쉽게 확인될 수 있다. 이들 변환들 중 하나는 Z₂ ⁴→Z₂ ⁴로부터의 일치성 맵핑, 즉, P₀*=P₀이고, P₁*=P₁이다.

Claims (13)

1. 다수의 라운드(round)들에서 입력 데이터 블록을 출력 데이터 블록으로 암호화 변환하는 방법으로서, 각각의 라운드는 암호화 키(encryption key)로부터 유도된 각각의 라운드 키를 사용하는, 상기 암호화 변환 방법에 있어서,

   상기 방법은 순열에 기초한 S-박스(S-box)를 사용하여 상기 입력 데이터 블록에 비선형 연산을 각각의 라운드에서 실행하는 단계를 포함하고, 상기 방법은 상기 S-박스를 사용하기 전에 상기 S-박스와 연관된 적어도 2개의 순열들의 미리 결정된 세트로부터 상기 순열을 랜덤식으로 또는 의사-랜덤식으로 선택하는 각각의 라운드를 포함하고, 상기 순열들의 세트는 상기 세트의 순열들 중 하나의 암호적 약점(cryptographic weakness)이 상기 세트의 나머지 순열들 중 적어도 하나의 대응하는 암호적 세기(cryptographic strength)에 의해 적어도 부분적으로 보상되도록 형성되는, 암호화 변환 방법.
2. 삭제
3. 제 1 항에 있어서,

   상기 데이터 블록은 n개의 데이터 비트들로 구성되고, 상기 순열들의 세트의 각각의 요소는 Z₂ ⁿ으로 표현되는, 2ⁿ개의 요소들의 세트에 대한 순열이며, 이 세트에서의 각각의 순열의 각각의 논-트리비얼 차분 특성(non-trivial differential characteristic)은 최대 P_diff의 확률을 가지며, 상기 순열들의 세트는, 상기 순열들 중 어느 것에서 P_diff의 확률을 가진 각각의 논-트리비얼 차분 특성에 대하여, 이 차분 특성이 상기 세트의 나머지 순열들 중 적어도 하나에서 P_diff보다 더 낮은 확률을 가지도록 선택된 순열들에 의해 형성되는, 암호화 변환 방법.
4. 제 3 항에 있어서,

   상기 차분 특성은 상기 순열들 중 적어도 하나에서 0인 확률을 갖는, 암호화 변환 방법.
5. 제 4 항에 있어서,

   n=4이고, P_diff=1/4인, 암호화 변환 방법.
6. 제 1 항에 있어서,

   상기 데이터 블록은 n개의 데이터 비트들로 구성되고, 상기 순열들의 세트의 각각의 요소는 Z₂ ⁿ으로 표현되는, 2ⁿ개의 요소들의 세트에 대한 순열이며, 이 세트에서의 각각의 순열의 각각의 논-트리비얼 선형 특성은 최소 1/2 - P_lin 및 최대 1/2 + P_lin의 확률을 가지며, 상기 순열들의 세트는, 상기 순열들 중 어느 것에서 1/2 - P_lin 또는 1/2 + P_lin의 확률을 가진 각각의 논-트리비얼 선형 특성에 대하여, 이 선형 특성이 상기 세트의 나머지 순열들 중 적어도 하나에서 1/2에 더 근접한 확률을 갖도록 선택된 순열들에 의해 형성되는, 암호화 변환 방법.
7. 제 5 항에 있어서,

   상기 선형 특성은 상기 순열들 중 적어도 하나에서 1/2인 확률을 갖는, 암호화 변환 방법.
8. 제 6 항에 있어서,

   n=4이고, P_lin=1/4인, 암호화 변환 방법.
9. 제 1 항에 있어서,

   상기 순열들의 세트는 2개의 순열들로 구성되는, 암호화 변환 방법.
10. 제 1 항에 있어서,

    각각의 라운드에서 사용된 상기 각각의 라운드 키의 제어하에 상기 순열의 선택을 실행하는 단계를 포함하는, 암호화 변환 방법.
11. 제 9 항 또는 제 10 항에 있어서,

    상기 순열의 선택은 상기 라운드 키의 1 비트의 제어하에 실행되는, 암호화 변환 방법.
12. 삭제
13. 다수의 라운드들에서 입력 데이터 블록을 출력 데이터 블록으로 암호화 변환하는 시스템으로서, 각각의 라운드는 암호화 키로부터 유도된 각각의 라운드 키를 사용하는, 상기 암호화 변환 시스템에 있어서,

    상기 입력 데이터 블록을 수신하는 입력;

    S-박스와 연관된 적어도 2개의 순열들의 미리 결정된 세트를 저장하는 저장소;

    순열에 기초한 S-박스를 사용하여 상기 입력 데이터 블록에 비선형 연산을 각각의 라운드에서 실행하는 암호화 프로세서로서, 상기 프로세서는 상기 S-박스를 사용하기 전에 매번, 상기 S-박스와 연관된 순열들의 상기 저장된 세트로부터 상기 순열을 랜덤식으로 또는 의사-랜덤식으로 선택하도록 동작하고, 상기 순열들의 세트는 상기 세트의 순열들 중 하나의 암호적 약점이 상기 세트의 나머지 순열들 중 적어도 하나의 대응하는 암호적 세기에 의해 적어도 부분적으로 보상되도록 형성되는, 상기 암호화 프로세서; 및

    처리된 입력 데이터 블록을 출력하는 출력을 포함하는, 암호화 변환 시스템.

Images