이미지 암호화 총 셔플링 알고리즘의 취약점과 선택 평문 공격 분석

본 논문은 최근 제안된 두 가지 이미지 암호화 스킴 중, 특히 Gao와 Chen이 발표한 “새로운 총 셔플링 알고리즘”에 기반한 스킴을 대상으로 상세한 암호분석을 수행한다. 논문은 먼저 해당 암호화 체계의 구조를 재정리한다. 평문 이미지 I는 M×N 크기를 가지며, 첫 단계에서 로지스틱 맵(xₙ₊₁=4xₙ(1−xₙ))을 이용해 행·열 전체를 무작위 순서로 섞는 셔플링 행렬 P*를 생성한다. 이를 통해 중간 이미지 I*가 얻어지고, 두 번째 단계에서는 Lorenz와 Chen 연속형 혼돈 시스템으로부터 파생된 6개의 실수 시퀀스를 후처리해 키스트림 {B(i)}(i=1…MN)를 만든다. 최종 암호문 I′는 I*(i)⊕B(i)⊕I′(i−1) (I′(0)=128) 형태의 순차 XOR 연산으로 산출된다. 논문은 이 설계가 갖는 여러 결함을 지적한다. 첫째, 평문에 작은 변동이 있을 경우 셔플링 단계에서 해당 픽셀이 새로운 위치(i*,j*)로 이동하고, 그 이전 위치들의 암호문은 완전히 동일하게 유지된다. 이는 차분 공격에 매우 취약한 구조이며, 암호문이 평문 변화에 대해 충분히 확산되지 못한다는 점을 보여준다. 둘째, 키 공간이 실제보다 과대평가된다. 원 논문은 초기 조건 x₀와 함께 N₀, M₀(버린 초기 반복 횟수)를 키의 일부로 선언했지만, 공격자는 N₀·M₀ 이후의 혼돈 상태만 알면 충분하므로 실질적인 비밀 파라미터는 x₀뿐이다. 따라서 키 공간이 크게 축소된다. 셋째, 연속형 혼돈 시스템의 시간 스텝 τ가 명시되지 않아 키스트림의 난수성이 보장되지 않는다. τ가 너무 작으면 키스트림이 거의 상수값을 갖게 되며, 이는 암호문의 예측 가능성을 높인다. 넷째, 연속형 혼돈 시스템을 사용함으로써 연산 복잡도가 급격히 증가한다. 실험 결과, 256×256 이미지에 대해 원본 스킴은 평균 5.8초가 소요되는 반면, 로지스틱 맵만을 이용한 변형 버전은 1.2초에 암호화가 가능했다. 이는 실시간 영상 처리에 부적합함을 의미한다. 가장 핵심적인 부분은 선택 평문 공격이다. 저자는 모든 픽셀값이 동일한 평문 I₁(예: 모든 픽셀값을 a로 설정) 을 선택하면 셔플링이 실질적으로 무의미해진다(I*₁=I₁). 이때 암호문 I′₁와 평문 I₁을 이용해 B(i)=I₁(i)⊕I′₁(i)⊕I′₁(i−1) 로 키스트림을 직접 복원한다. 이후 기존 연구