혼합 치환 확산 이미지 암호 보안 취약점 재분석

본 논문은 2015년 Patidar 등이 제안한 표준·로지스틱 맵 기반 이미지 암호(PPS09)와 2016년 동일 연구진이 보완을 위해 제시한 변형 스킴(mPPS09)의 보안성을 재평가한다. 먼저 PPS09의 전체 구조를 상세히 기술한다. 비밀키 (x₀, y₀, K, N) 로부터 표준 맵을 N번 반복해 (x′₀, y′₀) 를 얻고, 이어서 H·W 번 추가 반복해 xₖ, yₖ 를 생성한다. 이어 로지스틱 맵을 동일 횟수만큼 반복해 zₖ 를 만든다. 이 세 스트림을 0~255 범위 정수로 양자화해 CKS 이미지와, 네 개의 정수 Xkey(1)…Xkey(4)를 H·W 행렬에 반복 배치해 Xkey 이미지를 만든다. 암호화는 (1) Xkey와 XOR(Confusion I), (2) 가로 확산(HD) – 현재 픽셀을 이전 픽셀과 XOR, (3) 세로 확산(VD) – 현재 픽셀을 다음 픽셀과 XOR, (4) CKS와 XOR(Confusion II) 순으로 진행된다. 복호는 역순으로 수행된다. Rhouma 등(2017)은 HD와 VD가 XOR에 대해 교환법칙을 만족한다는 사실을 이용해 전체 암호식을 I′ = VD(HD(I)) ⊕ I_key 로 변형하였다. 여기서 I_key = VD(HD(I_Xkey)) ⊕ I_CKS 는 평문·암호문에 독립적인 상수이며, 단일 알려진(또는 선택) 평문–암호문 쌍을 통해 I_key 를 쉽게 계산할 수 있다. 따라서 공격자는 I_key 를 등가 키로 사용해 어떠한 이미지도 복호할 수 있다. Patidar 등은 이 공격을 방어하기 위해 mPPS09을 설계하였다. mPPS09은 HD와 VD 단계에 16개의 키 바이트 Dkey(i) 를 순환적으로 XOR 삽입해 키 의존성을 부여한다. 구체적으로 mHD는 기존 HD 식에 Dkey∗(k‑1) 를, mVD는 Dkey∗∗(k′) 를 추가한다. 논문은 수학적 귀납법을 통해 mHD와 mVD가 각각 기존 HD, VD와 동일한 선형 연산에 상수 행렬 mHD(Θ), mVD(Θ) 를 XOR한 형태로 표현될 수 있음을 증명한다. 결과적으로 mPPS09의 암호식은 I′ = VD(HD(I)) ⊕ Ĩ_key 로 정리되며, Ĩ_key 는 Dkey와 초기 키에 의해 고정된 값이다. 따라서 원본과 동일하게 Ĩ_key = VD(HD(I)) ⊕ I′ 로부터 추출 가능하고, 알려진/선택 평문 공격이 그대로 적용된다. 실험에서는 Lenna 이미지를 이용해 Ĩ_key 를 복원하고, 다른 이미지(Peppers)를 성공적으로 복호함으로써 이론을 검증하였다. 추가 보안 약점으로는 두 가지가 제시된다. 첫째, 로지스틱 맵 파라미터 4.0 에 기반한 B_CKS 난수 스트림은 NIST SP 800‑22 테스트에서 대부분의 통계 항목을 통과하지 못한다. 100개의 512×512 길이 시퀀스 중 Frequency, Block Frequency, Runs, Rank 등 9개 항목에서 0~10%만이 합격했으며, 이는 난수의 예측 가능성을 의미한다. 둘째, 암호문은 평문 변화에 대한 민감도가 현저히 낮다. 평문에 한 비트만 바꾸어도 암호문 전체가 무작위로 변하지 않고, VD(HD(ΔI)) 로 결정되는 고정 패턴만이 나타난다. 실험에서는 빨간 채널의 한 픽셀 최상위 비트를 바꾸었을 때, 변화가 동일 비트 평면에만 국한되는 것을 확인하였다. 이러한 낮은 avalanche effect는 차분 공격에 취약하게 만든다. 결론적으로, mPPS09은 설계상의 키 의존성 추가에도 불구하고 Rhouma 등의 알려진/선택 평문 공격에 완전히 무방비이며, 난수 품질과 평문 민감도 측면에서도 심각한 결함을 가지고 있다. 논문은 이러한 스킴을 실무에 적용하지 말고, 보다 복잡하고 검증된 암호 구조를 채택할 것을 권고한다.