이중 완전 비선형 부울 순열

본 논문은 블록 암호 설계에서 널리 사용되는 XOR 연산이 차분 공격에 취약점을 제공한다는 점에 착안하여, XOR 대신 유한체 곱 연산을 차분으로 사용하는 새로운 차분 공격 모델을 제시한다. 이를 위해 먼저 군 작용의 일반적 개념을 도입하고, G가 집합 X에 충실하게 작용할 때 정의되는 G‑완전 비선형(G‑PN) 함수를 소개한다. 기존의 완전 비선형 함수는 덧셈(또는 XOR) 기반 차분에 대해 균등 분포를 보이는 것이 요구되었지만, 여기서는 곱 연산에 대한 차분 dαf(x)=f(α·x)−f(x) 가 모든 비단위 원소 α∈G∗에 대해 균등하게 나타나는지를 검증한다. 다음으로, 유한체 GF(p^m) 위의 벡터 공간 V(p,m,d)와 V(p,n,e) 사이에 군 동형사상 λ를 정의한다. Lemma 1은 군 동형사상의 원상 이미지 크기가 핵의 크기와 동일함을 보이며, Lemma 2는 λ가 G‑PN 성질을 만족하기 위한 조건을 제시한다. Theorem 1에서는 λ가 전사(epimorphism)이고 차원 조건 d·m≥e·n을 만족하면, λ는 GF(p^m)∗‑PN, 즉 곱 연산에 대해 완전 비선형임을 증명한다. 이 결과는 기존의 덧셈 기반 bent 함수가 차원 d·m이 짝수여야 하는 제약을 완화하고, 짝수·홀수 구분 없이 다양한 차원 조합에서 완전 비선형성을 확보할 수 있음을 의미한다. 그 후, 곱 연산 자체에 또 다른 곱 연산을 도입하는 아이디어를 전개한다. 원시 원소 γ∈GF(p^m) 를 선택하고, 지수 동형 eγ:ℤ_{p^m−1}→GF(p^m)∗ (i↦γ^i)를 이용해 새로운 곱 “×” 를 정의한다. 이때 γ^i×γ^j=γ^{ij} 로 정의되며, (GF(p^m)∗,·,1,×,γ) 가 또 다른 유한체가 되려면 p^m−1이 소수여야 한다. 이는 p가 2인 경우에만 메르센 소수 p^m−1이 소수가 될 수 있음을 보여준다(예: p^m=2^2,2^3,2^5,2^7 등). 이러한 구조를 “특성(p, p^m−1) 필드‑링” 혹은 “이중 필드”라 부른다. 논문은 이어서 여러 보조 정리를 제시한다. Lemma 3은 m이 소수가 아니면 k^m−1 역시 소수가 됨을 보이며, 메르센 소수와의 관계를 강조한다. Lemma 4·5는 비자명한 단위환에서 −1 의 가역성을 보이고, Z_n 의 단위군이 특정 부분군을 포함하는 조건을 제시한다. Lemma 6·7은 새로운 곱 연산에 대한 자동사상과 그에 대한 군 작용이 충실하고 정규임을 증명한다. 이러한 준비를 바탕으로, 두 개의 곱 연산(전통적인 곱·새로운 지수 곱) 모두에 대해 G‑PN 성질을 만족하는 부울 순열, 즉 “이중 완전 비선형 부울 순열”의 존재를 보인다. 구체적으로, GF(2^q)∗ 에서 q가 메르센 소수인 경우, λ가 선형 동형사상이면 λ는 GF(2^q)∗‑PN 뿐 아니라 새로운 곱 연산에 대해서도 PN 특성을 가진다. 이는 기존의 거의 완전 비선형(APN) 순열보다 강력한 보안을 제공한다는 점에서 암호학적 의미가 크다. 마지막으로, 이러한 함수들의 암호학적 적용 가능성을 논의한다. 곱 기반 차분 공격에 대한 저항성을 갖는 S‑box를 설계함으로써, 키와 평문을 곱으로 결합하는 구조를 가진 블록 암호에서도 차분 공격을 효과적으로 방어할 수 있다. 또한, 이중 완전 비선형 순열은 두 종류의 차분(곱·지수) 모두에 대해 최적의 비선형성을 제공하므로, 복합 차분 공격에 대한 복합 방어 메커니즘을 구현할 수 있다. 다만, 메르센 소수 제한으로 인해 적용 가능한 필드 크기가 제한적이며, 실제 암호 설계 시 라운드 함수와 키 스케줄과의 호환성을 추가 검증해야 한다는 점을 언급한다.