DES의 탄생

최병문, 이영환 저, “암호의 세계“, 경문사, 2007

p77-78, 97-98

NSA와 다소 경쟁관계였던 미국 상무성의 국립 표준국(NBS, National Bureu of Standards, 후에 NIST로 조직 개편)는 1973년 5월 자국 내의 금융 및 상거래에 편리하게 사용할 수 있는 암호 알고리즘을 공모하였다. 공모조건은 대략 다음과 같았다.

  • 알고리즘의 안전도는 매우 높아야 한다.
  • 알고리즘은 아주 구체적이어야 하고 누구나 이해할 수 있어야 한다.
  • 알고리즘의 안전성은 키의 안전성에 의존해야 하고, 알고리즘 자체를 비밀로 하는 것에 의존해서는 안 된다.
  • 어떤 계층의 사람들도 모두 사용할 수 있어야 한다.
  • 다양한 응용프로그램에 적용할 수 있어야 한다.
  • 알고리즘은 전자장치(컴퓨터)에서 경제적으로 작동되어야 한다.
  • 효율성이 높아야 한다.

그러나 공모 후 1년이 지나도록 응모자가 없자 NBS는 1974년 8월, 2차 공모를 발표하였다. 마침내 사무용 기기 전문회사인 IBM이, 독자적으로 연구해오던 루시퍼(Lucifer)라고 하는 암호 알고리즘을 적절히 개선하여 응모하였다. 당시 이 알고리즘의 개발에 참여하였던 사람들은 터치만(W. Tuchman), 애들러(Roy Adler), 코퍼스미스(D. Coppersmith), 페이스털(H. Feistel), 그로스먼(E. Grossman), 코헨(A. Konheim), 노츠(Bill. Notz), 터치먼(Bryant Tuchamn), 마이어(C. Meyer) 등이었다. 이들이 제시한 암호알고리즘은 매우 훌륭한 것이었으나, NBS와 NSA사이의 정치적 갈등, IBM측이 소유하고 있는 특허권, 알고리즘의 안전성에 대한 평가 등의 문제로 많은 우여곡절을 겪은 끝에 1977년 미국 표준 암호알고리즘(Data Encryption Standard)으로 선정되었다. 1981년 우리나라의 표준연구소와 같은 역할을 담당한 ANSI(미국 국립 표준국)에서도 DES를 인정하였고, 그 후 1983년, 1994년에 공개적인 검증을 거쳐 재인증함으로서 안전하다는 신뢰를 얻게 되었다. DES는 비슷한 시기에 발표된 RSA와 함께 현대 암호를 혁신적으로 발전시키는 한편, 암호학을 수학적, 논리적으로 연구하고 토론하는 큰 계기를 제공하였다.

(중략)

DES에 대한 사람들의 의심은 상당히 오랜 역사를 가지고 있다. 발표 초기부터 비교적 짧은 키의 길이, 16이라는 라운드 횟수, S-box 설계의 의구심 등으로 많은 억측을 불러일으켰다. 특히 S-box 부분은, 어떤 이유로 그렇게 설계했는지 IBM측에서 전혀 설명해주지 않았기 때문에 상당한 미스터리로 남아있다. 사용자들의 비난 때문에 IBM측은 마지 못해 17명의 연구원들이 수년간 암호공격을 시도하면서 연구한 결과 그렇게 설계했고 안전성을 믿어도 좋다고 설명했지만, 사람들은 혹시 NSA에서 트랩도어를 설치하여 사용자 모르게 암호문을 열어볼 가능성이 있지 않을까 하는 의심이 사라지지 않았다. 급기야 1978년 미국 상원 특별 정보 위원회에서 이 문제를 조사하여, NSA가 DES의 개발에 부적절한 개입을 하지 않았다고 공식 발표하였다.

“IBM을 조사한 결과, 키의 길이는 짧아도 충분히 안전하며, S-box의 개발에 간접적으로도 영향을 주지 않았으며, 어떤 수학적 결함도 발견되지 않았다는 것을 확인하였다.”

DES 암호 개발을 주도하였던 IBM 연구원 터치먼과 마이어도 NSA가 알고리즘을 변형하지 않았다고 증언하였다. 후에 터치먼은 어떤 글에서 “우리는 DES알고리즘을 철저하게 IBM 안에서 IBM제품들만 가지고 연구하였다. NSA는 단 한치도 개입할 수가 없었다.”고 발혔다. 그러나 또 다른 연구원 코퍼스미스는 “NSA는 IBM측에 기술적 조언을 해주었다”고 글을 썼으며, 콘하임(Konheim)도 “우리는 S-box를 워싱턴으로 보냈다. 그런데 되돌아온 것은 완전히 다른 것이었다. 우리는 이것을 다시 테스트한 결과 문제가 없다고 판단했다”고 하였다. 사람들은 이 점이 바로 NSA가 트랩도어를 설치했다는 분명한 증거라고 지적하기도 하였다.

한번은 DES가 암호학적으로 약점이 있지 않은가라는 어떤 질문에 NSA는 다음과 같이 답변하였다.

“DES에 관하여 우리는, 지난 1978년 상원 정보특별 위원회의 ‘DES 개발과정에 NSA가 개입하였는가’에 대한 조사 결과가 당신의 질문에 대답을 대신한다고 믿는다. 그 보고서에 의하면 NSA는 알고리즘 설계에 어떤 방식으로든 간섭하지 않았고 DES의 안전성은 적어도 5~10년간 유효할 것이라는 것을 밝히고 있다. 단언하건데 NSA는 DES의 어떠한 약점도 파악하고 있지 못하고 파악할 의사도 없다.”

그렇다면 왜 S-box를 수정했는가? 아마도 오히려 IBM측에서 트랩도어를 설치하지 못하도록 하려는 의도였을 것으로 추측한다. 국가의 공식기관인 NSA 입장에서는 한 사기업의 제품을 국가의 중요한 공식 암호알고리즘으로 채택하기에 무척 조심스러웠을 것이다. 만약 DES에 어떤 형태로든 국가의 안전을 위협하거나 개인의 정보를 침해할 우려가 있는 제품을 묵인하거나 모르고 지나친다면 큰 문제가 아닐 수 없다.

이 글은 물론 스노든 사태 이전에 쓴 글이지만, 스노든 사태가 일어난 후에 보니 새로운 느낌으로 다가온다. 예전부터 NSA가 매우 미심쩍은 행동을 해 왔구만.

2 thoughts on “DES의 탄생

  1. https://en.wikipedia.org/wiki/Differential_cryptanalysis#History

    위키백과에도 쓰여 있습니다만 차분 분석이라고 하여, 많은 수의 암호들이 사용하는 S-box를 분석하는 (지금 와서는 별로 새롭지도 않은) 공격 방법을 IBM 및 NSA가 매우 오래 전부터 알고 있었는데 이 방법이 공개되면 존재하던 거의 모든 대칭 암호가 깨지기 때문에 숨겨 두고 DES를 차분 분석이 어렵도록 개조했다는 게 정설입니다. 다르게 말하면 DES를 뺀 나머지 모든 대칭 암호는 오랫동안 NSA가 깰 수 있었다는 이야기이기도 하지만요.

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

%s에 연결하는 중