암호화 알고리즘을 얼마나 신뢰할 수 있나?

IEEE Spectrum에서 기묘한 기사[1]를 읽었다.

미국 국립표준기술 연구소(NIST)라는 데가 있다는 걸 오늘 알았는데, 이 친구들이 미국에서 쓰는 표준을 만드는 모양이다. 여기서 표준화된 암호화 알고리즘도 만드는 모양인데, 문제는 근래 유출된 스노든의 문서에 따르면 여기 연구소가 NSA와도 관련이 있는 모양이다. 일전에도 이야기했지만 NSA 이놈들은 모든 컴퓨터와 전화기를 들여다보려 하는 강박증[2] 비슷한게 있어서, 이런 풀기 어려운 암호를 안 좋아한다.

이중 타원곡선 결정 랜덤비트 생성기(Dual_EC_DRBG)라는 요상한 이름의 암호화 알고리즘이 근래 미세한 수정이 되었다는데, 이 수정으로 암호학자들에 따르면 SHA-3 해쉬함수의 보안성이 약화될 수 있는 모양이다.

뭐 본인은 학술적으로 전혀 아는 바 없지만, IEEE 기사에 의하면, 마이크로소프트의 Dan Shumow과 Niels Ferguson의 발표에 따르면 타원곡선 방정식의 한 변수인 e의 값을 알아낸다면 보안성이 매우 취약해지는 모양이다.

가장 큰 문제는 암호 커뮤니티에서 NIST의 영향력이 펀딩을 비롯하여 너무 거대한 나머지, 이놈들이 채택하면 별달리 손쓸 방법이 없다는데 문제가 있다고 한다. 위 내용들이 모두 사실이라면, 여기에서 일하는 학자들은 어쩌면 학문적 양심을 팔아먹는 놈들일 수도 있을 것 같다.

아 젠장. 하여튼 NSA 이 놈들은 미친 집단임에 틀림없다. 다른 사람(이를테면 테러리스트)이 이런 구멍을 활용할 가능성에 대해서는 생각 못하나?

 


[1] IEEE Spectrum Can You Trust NIST? 9 Oct 2013 | 18:31 GMT
[2] 내 백과사전 인터넷의 거의 모든 암호화를 뚫는 NSA의 해독 능력 2013년 9월 6일

Advertisements

2 thoughts on “암호화 알고리즘을 얼마나 신뢰할 수 있나?

  1. Dual_EC_DRBG는 이전에 정의된 표준인데, 표준안에 NSA 측 사람이 참여하였습니다. 이전부터 해당 알고리즘에 대해서는 의심스러운 정황들이 있었는데(Bruce Schneier의 글: http://www.wired.com/politics/security/commentary/securitymatters/2007/11/securitymatters_1115) 스노든 발표로 인해 NSA가 의도적으로 취약하게 만들었다는 정황이 밝혀진 것입니다.
    NIST에서는 얼마 전에 해당 알고리즘에 대해 다시 검토해보겠으니 사용하지 말라는 공지를 낸 바 있습니다. http://webcache.googleusercontent.com/search?q=cache:nJVN1zZYpzsJ:csrc.nist.gov/publications/nistbul/itlbul2013_09_supplemental.pdf+&cd=2&hl=en&ct=clnk (셧다운 때문에 pdf 링크가 죽었네요…)

    기사에서 말하는 SHA-3 이야기는 조금 다른 내용인데요, NIST에서는 과거에 AES 공모전을 열고 표준화를 하기도 했고, 최근에는 SHA-3 공모전을 열어 Keccak을 선정하였고 표준화 작업이 진행 중입니다. 중요한 점은 보통 표준화 과정에서 몇 가지 조정이 가해지는데, 가령 AES는 Rijndael 알고리즘을 기반으로 하지만, Rijndael이 키 크기/암호화 블럭 크기를 마음대로 정할 수 있는 것과 달리 AES에서는 이들을 미리 정해진 크기로만 사용할 수 있도록 하였습니다.
    SHA-3도 현재 조정이 진행중인데, 스노든 사태와 맞물려 이 조정이 정말 믿을만한 것인지에 대해 논란이 있었습니다. 여기에 또 NSA가 끼어들었으면 큰 문제가 있으니까요. 역시 Bruce Schneier가 간단히 정리한 글이 있습니다. https://www.schneier.com/blog/archives/2013/10/will_keccak_sha-3.html 글 후반부에 Keccak 제작자들의 의견이 있는데, 해당 정황으로 보아서는 NIST가 이상한 짓을 하는 것은 아닙니다.

    • 헉 그렇군요. 정말 감사합니다. 링크해 주신 글들은 읽어보겠습니다. Bruce씨의 글들은 컴퓨터 보안과 관련될 때는 반드시 만나게 되는군요. 해커뉴스 스레드에서도 이 사람 블로그를 여러번 본 적이 있습니다. 여하간 감사합니다.

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

%s에 연결하는 중