경량 RFID 인증 프로토콜의 행렬 암호화 구조적 취약점 분석

본 논문은 최근 제안된 “AM‑SUEO‑DBLTKM” 가변 행렬 암호화 기반 RFID 인증 프로토콜을 전면적으로 분석하고, 경량 구현을 전제로 한 설계가 근본적인 구조적 약점을 내포하고 있음을 밝힌다. 논문은 먼저 프로토콜의 기본 암호 원시 E(t, A, p)=A·t (mod p)와 그 역변환을 정리하고, 128‑비트 비밀·논스·식별자를 64‑비트 행렬 원소와 결합해 암호화한다는 점을 지적한다. 설계자는 적응형 모듈러스(AM), 자체 업데이트 순서(SUEO), 전치·블록 기반 행렬 생성(DBLTKM)이라는 세 가지 메커니즘을 통해 “다양한” 암호 상태를 만들고자 했지만, 실제 비밀 공간은 매우 제한적이다. 구체적으로, 경량 예시에서는 비밀 행렬 수 N=2 로 고정하고, SUEO가 제공하는 순서 조합은 4가지, DBLTKM이 제공하는 전치·블록 변형은 20가지, AM 테이블은 8가지 모듈러스 선택만 가능하므로 전체 상태 조합은 640 이하에 머문다. 이러한 작은 상태 공간은 여러 인증 세션에서 동일한 (행렬 A, 모듈러스 q) 쌍이 재사용될 확률을 크게 높인다. 다음으로 논문은 프로토콜이 선언한 128‑비트 값들을 실제로는 64‑비트 모듈러스 연산에 직접 투입한다는 설계 오류를 지적한다. 복호화 시 원본 값을 정확히 복원하려면 평문 좌표가 모듈러스보다 작아야 하는데, 이를 명시하지 않아 실제 구현에서는 잔여 클래스만 제공된다. 따라서 각 128‑비트 값의 실질 엔트로피는 약 126 비트(두 63‑비트 좌표) 수준으로 감소한다. 이와 동시에 비밀 행렬 원소 역시 q 이하로 제한되므로, 공격자가 복구할 수 있는 값의 범위가 명확히 정의된다. 이러한 전제 하에 저자는 다중 세션 대수 공격을 설계한다. 동일한 (A, q) 하에서 태그와 리더가 각각 전송하는 N_t, N_t+1, N_r, N_r+1 네 개의 평문을 암호화한 C1~C4 를 수집하면, 차분 연산 C2−C1, C4−C3 등은 A·ΔPlain (mod q) 형태가 된다. ΔPlain 은 알려진 차이(예: 1) 이므로, 차분을 통해 A의 전체 열을 직접 복원할 수 있다. 전치 기반 DBLTKM 메커니즘 덕분에 다른 세션에서는 A^T 가 사용되며, 이를 교차 활용하면 두 비밀 행렬 A와 B 의 각각 세 원소를 회복한다. 남은 하나의 원소는 일반 암호문 방정식 C = A·P (mod q) 에서 선형 연립을 풀어 얻는다. 모듈러스 복구 단계에서는 후보 q 값을 모두 시험한다. 각 후보에 대해 장기 비밀 S 를 여러 세션에서 “S mod q” 형태로 풀어보고, 동일한 S mod q 가 반복적으로 일관되게 나타나는 후보만을 남긴다. 이렇게 좁혀진 후보 집합은 실제 64‑비트 모듈러스와 거의 일치하므로, 최종적으로 정확한 q 와 S, 그리고 A, B 를 모두 복원한다. 논문은 이러한 공격이 경량 파라미터(비밀 행렬 2개, 작은 업데이트 엔트로피, 64‑비트 모듈러스)만을 사용한 경우 실현 가능함을 시뮬레이션 및 실험을 통해 입증한다. 공격자는 수십 번의 인증 세션만으로도 충분히 동일한 (A, q) 재사용을 관찰하고, 차분 기반 열 복원과 전치 활용을 통해 비밀 행렬을 완전 복구한다. 이후 모듈러스 후보 검증을 통해 64‑비트 세션 모듈러와 장기 비밀 S 를 찾아내어, 전체 프로토콜을 완전히 탈취한다. 마지막으로 저자는 이 사례를 통해 경량 암호 설계에서 “상태 공간을 인위적으로 확대한다”고 해서 보안이 향상되는 것이 아니라, 비선형성, 충분한 키 다양성, 그리고 암호문 체이닝과 같은 전통적인 암호학적 원칙이 반드시 필요함을 강조한다. 또한, 행렬 기반 설계가 과거 Hill Cipher와 유사한 구조적 약점을 가지고 있음을 재조명하고, 향후 경량 RFID 프로토콜 설계 시 이러한 함정을 피하도록 권고한다.