ECB 모드를 피해야 하는 이유는 무엇인가?

ECB(Electronic Codebook) 모드에서는 동일한 평문 블록이 동일한 암호문 블록으로 암호화되어 데이터의 구조가 유출됩니다(이미지를 암호화할 때 유명하게 나타남). CTR, CBC 또는 GCM과 같은 보안 모드는 초기화 벡터 또는 카운터를 사용하여 반복이 숨겨지도록 합니다.

AES-256이 AES-128보다 의미 있게 더 안전한가?

두 가지 모두 고전적인 공격에 대해 안전하다고 간주됩니다. AES-128은 이미 실현 가능한 무차별 대입 검색을 초과합니다. AES-256은 더 큰 보안 마진을 제공하며, 장기적인 기밀성과 양자 후 대비(Grover의 알고리즘이 유효 키 길이를 절반으로 줄일 뿐이므로)를 위해 선호됩니다.

블록 암호 및 AES

블록 암호는 비밀 키를 사용하여 고정 크기 데이터 블록을 암호화합니다. AES(Advanced Encryption Standard)는 현대의 지배적인 블록 암호이며 대부분의 배포된 대칭 암호화의 기반입니다.

PaperMind(으)로 주제 찾기곧 제공Find papers & topics

Tools & resources

슬라이드 다운로드

Learn & explore

동영상곧 제공

Definition

블록 암호는 고정 길이의 평문 비트 블록을 동일한 길이의 암호문 비트 블록으로 매핑하는 키가 있는 가역 함수입니다. AES는 128비트 블록에 대해 128비트, 192비트 또는 256비트 키로 작동하는 표준화된 블록 암호입니다.

Scope

이 주제는 치환-순열 네트워크 및 파이스텔 구조를 포함한 블록 암호의 구조와 보안, 특히 AES 알고리즘, 그리고 고정 블록 기본 요소를 임의 길이 메시지용 체계로 전환하는 운영 모드(예: CBC, CTR, GCM)를 다룹니다. 또한 암호 분석 공격(차분 및 선형 암호 분석)과 의사 난수 순열로서의 블록 암호 개념을 다룹니다. 스트림 암호와 키 없는 해시 함수는 별도로 다루므로 제외됩니다.

Core questions

단순하고 분석 가능한 라운드 연산으로 대규모 블록에 대한 안전한 순열을 어떻게 구축하는가?
AES는 왜 파이스텔 네트워크가 아닌 치환-순열 네트워크로 구성되는가?
운영 모드는 블록 암호를 임의 길이의 메시지에 안전하게 확장하는 방법은 무엇인가?
차분 및 선형 암호 분석은 암호의 공격 저항성에 대해 무엇을 밝혀내는가?
블록 암호를 의사 난수 순열로 모델링한다는 것은 무엇을 의미하는가?

Key concepts

블록 크기 및 키 크기
치환-순열 네트워크
파이스텔 네트워크
S-box
라운드 및 키 스케줄
운영 모드 (ECB, CBC, CTR, GCM)
차분 및 선형 암호 분석
의사 난수 순열

Key theories

치환-순열 네트워크: AES는 비선형 바이트 치환(SubBytes), 선형 혼합(ShiftRows, MixColumns) 및 키 추가를 결합하는 라운드를 반복합니다. 치환과 순열을 번갈아 적용함으로써 섀넌의 혼돈 및 확산 목표를 달성하며 차분 및 선형 공격에 대한 입증 가능한 저항력을 가집니다.
운영 모드: 블록 암호 단독으로는 하나의 블록만 암호화합니다. CBC, CTR, 그리고 인증된 GCM과 같은 모드는 긴 메시지가 안전하게 암호화되고, 인증 모드에서는 무결성을 갖도록 블록을 연결하거나 카운터하는 방법을 지정합니다.

Mechanisms

AES는 128비트 블록을 4x4 바이트 행렬로 배열하여 10, 12 또는 14 라운드(128비트, 192비트, 256비트 키에 해당)를 통해 처리합니다. 각 라운드는 SubBytes(고정 비선형 S-box), ShiftRows(바이트 순열), MixColumns(유한 필드에 대한 선형 변환) 및 AddRoundKey(키 스케줄에서 가져온 라운드 키와의 XOR)를 적용합니다. 이러한 조합은 몇 라운드 내에 강력한 확산을 제공하며 알려진 암호 분석에 대한 저항력을 가집니다.

Clinical relevance

AES는 배포된 시스템에서 널리 사용됩니다. TLS로 보호되는 웹 트래픽의 대량 데이터, 전체 디스크 암호화(BitLocker, FileVault, LUKS), Wi-Fi(WPA2/WPA3), VPN 및 암호화된 메시징을 보호합니다. 하드웨어 AES 명령어(AES-NI)는 고처리량 링크를 투명하게 암호화할 수 있을 만큼 충분히 빠릅니다.

Evidence & guidelines

AES는 NIST FIPS 197에 명시되어 있으며 NSA의 상업용 국가 보안 알고리즘 스위트(Commercial National Security Algorithm Suite)에 따라 TOP SECRET(192비트 또는 256비트 키 사용)까지의 기밀 정보를 보호하는 데 승인되었습니다. 블록 암호 모드는 NIST SP 800-38 시리즈에 표준화되어 있습니다. 이전 DES는 더 이상 사용되지 않으며, AES-GCM 및 AES-CCM이 권장되는 인증 모드입니다.

History

DES(1977)가 56비트 키로 인해 너무 취약해진 후, NIST는 후속 암호를 선택하기 위해 공개적이고 국제적인 경쟁(1997-2000)을 개최했습니다. 15개의 후보가 공개적으로 암호 분석되었으며, 벨기에 암호학자 Joan Daemen과 Vincent Rijmen의 Rijndael 설계가 선택되어 FIPS 197(2001)에서 AES로 표준화되었습니다. DES에 대해 개발된 차분 암호 분석(Biham 및 Shamir)과 선형 암호 분석(Matsui)은 AES의 설계 기준을 형성했습니다.

Key figures

Joan Daemen
Vincent Rijmen
Horst Feistel
Eli Biham
Adi Shamir
Mitsuru Matsui

Seminal works

daemen2002
nist2001aes
katz2020

Frequently asked questions

ECB 모드를 피해야 하는 이유는 무엇인가?: ECB(Electronic Codebook) 모드에서는 동일한 평문 블록이 동일한 암호문 블록으로 암호화되어 데이터의 구조가 유출됩니다(이미지를 암호화할 때 유명하게 나타남). CTR, CBC 또는 GCM과 같은 보안 모드는 초기화 벡터 또는 카운터를 사용하여 반복이 숨겨지도록 합니다.
AES-256이 AES-128보다 의미 있게 더 안전한가?: 두 가지 모두 고전적인 공격에 대해 안전하다고 간주됩니다. AES-128은 이미 실현 가능한 무차별 대입 검색을 초과합니다. AES-256은 더 큰 보안 마진을 제공하며, 장기적인 기밀성과 양자 후 대비(Grover의 알고리즘이 유효 키 길이를 절반으로 줄일 뿐이므로)를 위해 선호됩니다.