김종성 ([email protected])

국민대학교 정보보안암호수학과/금융정보보안학과 교수

 

초기 인터넷 기술은 정보 공유 및 커뮤니케이션 위주의 유선 환경에서 발전하기 시작했다. 스마트폰 발달 이후 인터넷 영역이 모바일로 확장되었으며, 이용자들은 자신이 원하는 시간, 장소에서 인터넷에 접속할 수 있게 되었다. 최근에는 스마트폰뿐만 아니라 태블릿 PC, 자동차, 조명, 가전 등 다양한 사물들이 인터넷에 연결되어 인간에게 새로운 편의 혹은 가치를 부여한다. 한국인터넷진흥원(2012)은 사물인터넷(Internet of Things, IoT) 기술을 초연결사회의 기반 기술로서 사물 간 인터넷 혹은 개체 간 인터넷으로 정의했고, 고유 식별이 가능한 사물이 만들어낸 정보를 인터넷을 통해 공유하는 환경이라고 정의했다[1].

세계 IoT 시장 규모는 빠르게 성장하고 있다. 주요 기관별로 시장 예측 규모 결과가 차이가 있지만, Mordor Intelligence 사는 세계 IoT 시장 규모가 연평균 10.53% 성장하여 2020년 7,614억 달러에서 2026년 1조 3,860억 6,000만 달러에 이를 것으로 추산하였고[2], Machina Research 사는 IoT에 연결된 기기의 총수가 연평균 16% 성장하여 2015년 60억 개에서 2025년 270억 개로 증가할 것이라고 전망한 바 있다[3].

경량암호 알고리즘의 필요성

IoT 기술의 발달로 인해 관련 분야인 센서 네트워크, 헬스케어, 분산 제어 시스템, 가상 물리 시스템 등의 산업이 함께 성장하고 있다. 해당 분야들의 IoT 기술을 사용하는 기기 중 대부분은 실생활과 밀접하게 연결되어 있는 소형 컴퓨팅 기기이다. 이러한 IoT 기기들은 사용자들의 편리성 및 유용성을 제공하기 위해 기기 내에서 사용자들의 민감한 정보나 음성/영상 DB, 각종 생활 정보 등의 빅데이터를 사용하므로 다양한 형태의 해킹 및 크래킹에 노출될 수 있다. 하지만 IoT 기기들의 가용한 리소스는 제한되므로, 기존 서버나 PC 환경에서 사용되는 암호 알고리즘을 그대로 사용하여 안전성을 확보하기 어렵다. 특히 세계적으로 가장 널리 사용되는 AES 블록 암호, 표준으로 등재된 인증 암호화 알고리즘 CCM과 GCM 등 현재 사용 가능한 암호 알고리즘은 대부분 고사양 환경에서의 운영을 고려하여 설계되었으므로 IoT 기기에 구현하기는 쉽지 않다. 안전성 관점에서 살펴보면, 현재 사용되고 있는 IoT 기기들의 약 70%는 보안상의 취약점이 있다고 HP 사가 2015년에 발표한 바 있다[4]. 이를 종합하여 판단했을 때, 기존 알고리즘보다 더 적은 비용으로 적정 수준의 안전성과 효율성을 보장할 수 있는 경량암호 알고리즘의 필요성이 높아지고 있으며, 이는 IoT 기술이 발달함에 따라 더욱 중요해짐을 알 수 있다.

NIST 경량암호 표준화 사업

미국 국립표준기술연구소(The National Institute of Standards and Technology, NIST)는 미 상무부 소속의 비규제 정부기관으로, 미국 내의 측정 가능한 모든 형태의 표준을 정함과 동시에 IT 분야의 표준화 작업도 진행한다. NIST는 경량암호 알고리즘의 필요성을 인식하여 2015년 7월부터 제한된 환경에 적합한 경량암호 알고리즘을 공모 및 표준화하는 사업을 진행하고 있다[5]. 특히 이 표준화 사업은 RFID Tag, 센서, IoT 기기들에 사용될 수 있으며, 미래의 홈 자동화, 헬스 케어, 스마트 시티와 같은 곳에도 사용될 수 있는 알고리즘을 표준화하는데 목표를 둔다. 2018년 8월 발간된 경량암호 제안 알고리즘 요구 사항 및 평가 기준에 따르면 제출되는 알고리즘들은 관련 데이터로 인증된 암호화(Authenticated Encryption with Associated Data, AEAD)를 기능적으로 지원해야 하며, 선택적으로 해싱 기능을 지원할 수 있다. 2019년 4월, 1라운드 후보 알고리즘 선정을 시작으로 같은 해 8월에는 32종의 2라운드 후보 알고리즘 선정을 완료했다. 최종적으로 올해 2021년 3월, 안전성(부채널 분석 포함)과 제한된 환경에서의 효율성을 종합적으로 판단하여 10종의 최종 후보들이 선정되었다. [6]에 따르면 2022년 봄에 5차 경량암호 워크숍을 개최하고, 그 해 여름에 공모사업의 최종 알고리즘들이 선정될 예정임을 알 수 있다. [표 1]에는 현재까지 진행된 NIST 경량암호 공모사업의 일정이 제시되어 있다.

[표 1] NIST 경량암호 공모사업 일정

일정	내용
2015.7	1차 경량암호 워크숍 개최
2016.10	2차 경량암호 워크숍 개최
2018.8	경량암호 제안 알고리즘 요구 사항 및 평가 기준 공표
2019.2	경량암호 제출 마감(총 57종)
2019.4	1라운드 후보 알고리즘 선정(총 56종)
2019.8	2라운드 후보 알고리즘 선정(총 32종)
2019.10	1라운드 후보들에 대한 현황 보고서 발간(NISTIR 8268)
2019.11	3차 경량암호 워크숍 개최
2020.10	4차 경량암호 워크숍 개최
2021.3	최종 후보 알고리즘 선정(총 10종)
2021.7	2라운드 후보들에 대한 현황 보고서 발간(NISTIR 8369)
2022.Spring(예정)	5차 경량암호 워크숍 개최
2022.Summer(예정)	NIST 경량암호 공모사업 알고리즘 채택

1, 2라운드 결과 요약

총 23개국의 연구원들이 서로 협업하여 57종의 알고리즘을 제출했고, 2019년 4월에 최종적으로 56종의 알고리즘이 1라운드 후보로 선정되었다. 1라운드에서는 주로 안전성 관점에서 취약성을 가진 알고리즘들이 탈락했으며, 그 사유는 주로 위조 공격, 길이 확장 공격, 구별 공격, 공격에 적용 가능한 성질 유무, 문서 요구사항 준비 미흡이 있었다. 이를 통해 총 32종의 알고리즘이 2라운드 후보로 선정되었다. [표 2]는 취약점 별 1라운드 탈락 알고리즘을 정리한 것이다.

[표 2] 1라운드 후보 알고리즘에 대한 취약점 및 탈락 알고리즘

취약점	후보 알고리즘
위조 공격	Bleep64, CLAE, FlexAEAD, GAGE and InGAGE, HERN and HERON, Liliput-AE, Limdolen, Qameleon, Quartet, Remus, Simple, SIV-Rijndael256, SIV-TEM-PHOTON, SNEIK, Sycon, TGIF, Triad
길이 확장 공격	CiliPadi, FlexAEAD
구별 공격	Limdolen
공격에 적용 가능한 성질 존재	LAEM, SNEIK, CLX, TRIFLE
문서 요구사항 준비 미흡	Fountain, Yarará and Coral

NIST 경량암호 공모사업 2라운드에 대한 현황 보고서(NISTIR 8369)[7]에 따르면, 최종 후보 선정에는 크게 세 가지 사항이 고려되었다. 첫 번째는 암호학적 안전성으로, NIST는 이를 평가에 있어서 가장 중요한 조건으로 뽑았다. NIST는 서드파티 암호 분석 또는 잘 설계된 설계 원칙 및 안전성 증명이 포함된 알고리즘 제출물을 선호했다고 밝혔다. 또한 NIST 자체 내부 분석 외에도 암호학 커뮤니티의 피드백도 고려 대상에 포함되었다. 두 번째 사항은 후보 알고리즘이 제한된 장치들에서 구현됐을 때 어느 정도 성능을 가질 수 있는지이다. NIST는 다양한 환경을 고려하여 후보들을 평가, 비교하였고, 특히 현재 NIST 표준 알고리즘보다 훨씬 우수한 성능을 가진 후보를 선호했다고 밝혔다. 자체 내부 소프트웨어 벤치마킹 비교뿐만 아니라 다양한 공개 소프트웨어 및 하드웨어 벤치마킹도 평가에 고려되었다. 세 번째로는 부채널 분석에 얼마나 저항성을 가졌는지가 평가 조건에 포함되었다. 이를 위해 NIST는 후보들의 제출물과 관련 문헌들을 종합적으로 고려하였다. 명시적인 요구 사항은 아니었지만 유사한 안전성과 구현 성능을 가진 후보들에 대해서는 nonce 오용 보안, RUP (releasing unverified plaintext) 보안, 양자 후 보안 강도들도 평가 사항에 추가로 고려되었다. [그림 1]은 2라운드 후보 알고리즘에 대한 평가 구분을 시각화한 것이다.

[표 3]은 2라운드 후보와, 상기 평가 기준에 따라 NIST가 선정한 최종 후보들을 나열한 것이다.

[표 3] 2라운드/최종 후보 알고리즘

2라운드 후보	ACE, ASCON, DryGASCON, Gimli, KNOT, ORANGE, PHOTON-Beetle, SPARKLE(SCHWAEMM and ESCH), Subterranean 2.0, Xoodyak, Elephant, ISAP, Oribatida, SPIX, SpoC, WAGE, Saturnin, COMET, GIFT-COFB, HyENA, mixFeed, Pyjamask, SAEAES, SUNDAE-GIFT, TinyJAMBU, SKINNY-AEAD and SKINNY-HASH, ForkAE, ESTATE, LOTUS-AEAD and LOCUS-AEAD, Romulus, Spook, Grain-128AEAD
최종 후보	ASCON, Elephant, GIFT-COFB, Grain-128AEAD, ISAP, PHOTON-Beetle, Romulus, SPARKLE, TinyJAMBU, Xoodyak

최종 10종 알고리즘들에 대한 안전성 분석 요약

[표 3]의 최종 후보 10종을 포함한 전체 2라운드 후보들의 안전성 분석 및 현황이 [7]에 제시되어있다. 해당 보고서에서 제시하는 분석들은 암호학 커뮤니티의 분석 논문들과 NIST 내부 검토 자료를 기반으로 한다. 본 장에서는 이 중 10종의 최종 후보들에 대한 간단한 설명 및 현황을 요약하여 소개한다.

ASCON은 2014년부터 2019년까지 진행됐던 CAESAR 경진대회에서 우승을 차지한 알고리즘이다. 기존에는 2개의 버전(ASCON-128, ASCON-128a)을 가진 AEAD였으나, NIST 표준화 사업에 참여할 때는 1개의 AEAD ASCON-80q와 2개의 해시 함수(ASCON-Hash, ASCON-Xof)가 추가되었다. 이들은 모두 ASCON 퍼뮤테이션을 기반으로 한다. 3개의 AEAD는 12라운드의 초기화 단계를 가지고 있는데, 이 중 7라운드만 사용할 경우 Cube 공격이 가능하다는 것이 밝혀졌다(Li Y. 외 3인, Science China Information Sciences 2017). 해시 함수도 마찬가지로 초기화 단계인 12라운드 중 2라운드만 사용하면 Cube 역상 공격이 가능하나, 대수적 역상 공격을 사용하면 6라운드로 더 긴 라운드 공격이 가능하다(Dobraunig C. 외 3인, Technical Report 2019). ASCON 퍼뮤테이션은 12라운드에 Zero-sum 구별자가 존재한다(Dobraunig C. 외 3인, CT-RSA 2015). 그 외에도 딥러닝을 사용한 전력 파형 분석과 통계적 오류 주입 공격에 취약하다는 부채널 분석도 밝혀진 바가 있다(Ramezanpour K. 외 4인, NIST Lightweight Cryptography Workshop 2020).

Elephant는 퍼뮤테이션 기반 AEAD 패밀리로, Spongent 기반 Dumbo, Jumbo와 KECCAK 기반 Delirium으로 구성된다. Elephant 설계팀은 Elephant 패밀리가 퍼뮤테이션이 이상적이라는 가정하에서 nonce가 재사용이 불가능할 때(nonce-respecting scenario) privacy와 인증(authenticity)을 제공한다는 것을 증명했다. 또한, 설계팀은 nonce가 재사용이 가능한 환경(nonce-misuse scenario)에서는 인증을 제공하지 못한다고 밝혔다. nonce 재사용이 불가능한 시나리오에서 Delirium은 interpolation attack으로 인하여 전체 18라운드 중 8라운드가 공격이 이루어진 바 있다(Zhou H. 외 4인, Cryptology ePrint Archive 2020). Spongent 기반 AEAD Dumbo와 Jumbo는 전체 라운드를 대상으로 한 선형 구별자가 존재한다(Bogdanov A. 외 5인, IEEE Transactions on Computers 2013). 세 알고리즘 모두 양자 컴퓨팅 관점에서의 키 복구 공격에 대한 안전성 평가도 다뤄졌다(Shi T. 외 4인, Designs, Codes and Cryptography 2021). Elephant 설계팀은 각 블록의 마스킹 키를 생성하는 데 사용되는 모든 블록의 인덱스 쌍을 변경하는 것과 Wegman-Carter-Shoup 스타일 인증자를 사용하여 nonce 재사용 환경에서도 인증을 제공할 수 있게 변경하는 것을 고려하고 있다.

GIFT-COFB는 128-bit 블록 암호 GIFT-128을 사용하는 AEAD이다. 기존에 알려진 COmbined FeedBack (COFB)는 64-bit nonce에 entropy 감소 없이 feedback을 진행하지만, GIFT-COFB는 128-bit nonce를 사용하며 1-bit entropy가 감소하는 feedback 및 패딩 방법의 변화로 하드웨어의 효율성을 증가시켰다(Chakraborti A. 외 3인, Journal of Cryptology 2020). GIFT-128은 40라운드를 가지며, 단일 키 가정에서 가장 긴 공격 라운드로는 26라운드 차분 공격이 존재한다(Li L. 외 3인, Cryptology ePrint Archive 2019). 연관 키 가정에서는 Rectangle attack이 23라운드로 가장 긴 공격 라운드를 가진다(Ji F. 외 3인, Cryptology ePrint Archive 2020).

Grain-128AEAD는 하드웨어 구현에 효율적인 bit-oriented feedback shift register based AEAD이며, 3라운드 후보의 유일한 스트림 암호이다. Grain은 과거 2004년에 열린 eSTREAM에서 Grain v1이라는 이름으로 최종 후보에 선정된 바 있다. 또 다른 버전인 Grain-128a는 ISO/IEC 29167-13:2015에 포함되어 있다. 이전 버전의 Grain에 대한 분석 논문 중 몇 개는 Grain-128AEAD에도 적용할 수 있다. 가장 긴 라운드의 Grain-128AEAD를 공격한 논문은 189라운드 구별자를 밝히고, 이를 사용하여 190라운드 키 복구 공격을 진행한다(Hao Y. 외 4인, EUROCRYPT 2020). 이전 버전 Grain에서 업데이트된 부분에 따른 안전성을 다양한 관점으로 분석한 결과도 존재한다(Chang D. 외 1인, Cryptology ePrint Archive 2021).

ISAP은 KECCAK 퍼뮤테이션을 사용하는 ISAP-K-128a, ISAP-K-128과 ASCON 퍼뮤테이션을 사용하는 ISAP-A-128a, ISAP-A-128로 총 4개의 AEAD로 구성된다. ISAP은 누출 방지 세팅(leakage-resilient setting)에 대한 안전성을 제공한다(Dobrauning C. 외 5인, IACR Transactions on Symmetric Cryptology 2020). ASCON 퍼뮤테이션과 마찬가지로 KECCAK 퍼뮤테이션도 12라운드의 Zero-sum 구별자가 존재한다(Guo J. 외 2인, ASIACRYPT 2016). KECCAK 퍼뮤테이션은 6라운드 이상의 충돌쌍 공격이 존재하지 않으므로 ISAP-K 시리즈는 tag 충돌쌍 공격에 충분한 안전성을 갖는다(Guo J. 외 5인, Journal of Cryptology 2020). ISAP의 각 라운드 횟수는 cube 공격이나 유사 cube 공격에 대한 충분한 안전성을 갖게끔 정해졌다. ISAP 설계팀은 32-bit 장치에서 ASCON 퍼뮤테이션의 성능과 하드웨어에서 ISAP-A 시리즈의 공간 효율성을 크게 향상시킨 업데이트를 소개한 바 있다.

PHOTON-Beetle은 128-bit 키와 nonce, tag를 사용하는 PHOTON-Beetle-AEAD와 256-bit 해시값을 출력하는 해시 함수 PHOTON-Beetle-HASH를 포함한다. 이들은 모두 256-bit PHOTON 퍼뮤테이션을 기반으로 하는 알고리즘으로, 이 퍼뮤테이션은 12라운드로 구성되며 ISO/IEC 291925에도 정의되어있다. 빈 메시지와 연관 데이터(Associated Data, AD)을 이용한 2^124의 쿼리를 통해 키 복구 공격이 가능함이 밝혀져 퍼뮤테이션의 security bound가 업데이트된 바 있다(Dobraunig C. 외 1인, LWC-Forum 2020). 이외에 PHOTON-Beetle에 대한 공격은 대부분 PHOTON 퍼뮤테이션에 대한 구별 공격으로 수행되었다. 현재까지 발표된 구별 공격으로는 2^10.8의 현실적인 시간복잡도로 8라운드 PTHOTON에 대해 수행가능한 Multiple limited-birthday 공격이 존재하며(Jean J. 외 2인, SAC 2013), 풀 라운드 구별 공격으로는 2^184의 시간복잡도를 필요로 하는 Zero-sum partitions 공격이 있다(Wang Q. 외 2인, CT-RSA 2018).

Romulus는 tweakable 블록 암호인 SKINNY-128-256과 SKINNY-128-384를 기반으로 하며 만들어진 AEAD를 제공하며, Romulus-N 패밀리와 Romulus-M 패밀리로 구성된다. Romulus-N은 nonce를 기반으로 할 때 안전하게 설계되었으며(nonce-based AE, NAE), Romulus-M은 nonce를 재사용하는 공격자로부터도 안전하게 설계되었다(nonce Misuse-Resistant AE, MRAE)[8]. 현재까지 Tweakable 블록 암호 SKINNY에 대한 단일 키 가정에서의 키 복구 공격 중에서는, SKINNY-128-256의 48라운드 중 20라운드 SKINNY-128-256의 48라운드 중 20라운드, SKINNY-128-384의 56라운드 중 22라운드에 대한 불능 차분 공격이 가장 효과적이었다(Tolba M. 외 2인, AFRICACRYPT 2017). Romulus 설계팀은 현재 SKINNY-128-384의 라운드 수를 56라운드에서 40라운드로 줄이는 것과, 해시 함수 기능을 제공하는 Romulus-H를 제안 알고리즘에 추가하는 것을 고려하고 있다.

SPARKLE은 AEAD 패밀리인 SCHWAEMM와 해시 함수 패밀리인 ESCH로 구성되며, 이들은 모두 SPARKLE 퍼뮤테이션을 기반으로 설계되었다. SPARKLE 퍼뮤테이션은 64-bit ARX-box인 Alzette를 기반으로 한다는 특징이 있으며, 이는 소프트웨어에서의 구현이 효율적으로 가능하게 한다(Beierle C. 외 7인, CRYPTO 2020). Alzette는 그 자체로 4라운드 구조를 가진 컴포넌트로, SPARKLE의 암호학적 안전성은 대부분 Alzette의 암호학적 안전성을 기반으로 증명된다. SPARKLE의 제안서에서는 7라운드 Alzette의 차분 확률 바운드를 2^-24으로 제시하였으나, 현재는 7라운드 Alzette의 최적 차분경로가 2^-26확률을 가짐을 밝혀냈다.TinyJAMBU는 CAESAR 공모전의 세 번째 라운드 후보였던 JAMBU로부터 파생된 AEAD 패밀리이다. 128, 192, 256-bit 길이의 키를 사용하는 세 가지 버전의 AEAD를 제공하며, 이들은 모두 96-bit nonce, 64-bit tag, 128-bit 블록 크기를 가진다. 설계자들은 forgery와 차분 공격, 선형 공격, 대수 공격, 슬라이드 공격을 이용한 키 복구 공격에 안전성을 증명했으나, 현 버전의 TinyJAMBU의 안전성 margin이 12%임이 밝혀졌다(Saha D. 외 5인, IACR Transactions on Symmetric Cryptology 2020). 이를 보완하기 위해, 설계자들은 현재 사용하고 있는 퍼뮤테이션의 라운드 수를 384에서 640으로 늘려 nonce와 연관 데이터의 안전성을 높이는 것을 고려하고 있다.

Xoodyak는 128-bit 키, 128-bit nonce, 128-bit tag를 사용하는 AEAD와 256-bit 해시 함수를 제공한다. 이들은 Cyclist 운영 모드에서 작동하는 384-bit 퍼뮤테이션인 Xoodoo을 기반으로 설계되었다. 설계자들은 4라운드 Xoodoo의 최소 차분 확률과 correlation의 바운드가 모두 2^-74 임을 보이고, 8라운드 Xoodoo의 최소 차분 확률과 correlation의 바운드가 모두 2^-148 이하임을 근거로 컴포넌트로 사용된 12라운드 Xoodoo가 차분, 선형 공격에 안전함을 주장했다. 12라운드 Xoodoo의 zero-sum 구분자를 2^33의 시간복잡도로 찾는 방법이 발표된 바 있다(Liu F. 외 3인, Cryptology ePrint Archive 2020). 현재 설계자들은 짧은 메시지의 처리속도를 높이기 위한 업데이트를 계획하고 있다.

나가며

본고에서는 NIST가 2015년부터 진행하고 있는 경량암호 표준화 사업의 진행 상황을 간략히 살펴보았다. 또한, NIST에서 추구하는 미래 경량암호의 필요조건들 즉, 안전성, 효율성 관점에서 어떠한 것들을 중점적으로 고려하는지 살펴보았다. 마지막으로 최종 후보로 선정된 10종의 알고리즘들에 대해 진행된 안전성 분석을 간략하게 정리해보았다.

[6]에 의하면 최종 후보로 선정된 10종의 알고리즘들의 제작자들은 몇 가지 수정사항을 적용한 새로운 알고리즘 패키지들을 NIST에 다시 제출할 기회가 주어진다. 여기서 수정 가능한 부분은 라운드 수를 늘리거나 줄이는 것, XOF 혹은 해시 등 새로운 기능을 추가하는 것, 기존 패밀리의 일부를 패키지에서 제거하는 것, 알고리즘 내부 세부 사항을 변경하는 것 등이다. 또한, [9]에 의하면 각 알고리즘의 장점을 취하기 위한 후보 간 알고리즘 결합은 해당 표준화 사업에서 진행하지 않으며, 표준화 사업 후에 경량 암호 포럼 등을 통해 논의될 수 있다고 밝혔다.

초연결, 초지능의 특성이 4차 산업혁명의 화두가 되고 있다. 이 중 초연결성을 핵심 개념으로 볼 수 있으며, 이는 IoT 기술에 기반을 둔다. IoT 기기의 보안 강도에 대해 많은 지적이 있어 왔으며, 제한된 자원만 이용 가능한 IoT 환경에서의 보안을 보장하기 위해서는 현재 일반 PC나 서버에서의 사용을 목표로 표준화되어 있는 암호 시스템 전반의 개정이 시급하다고 할 수 있다. 이번 NIST 경량암호 표준화 사업을 통해 충분히 검증된 알고리즘이 표준화된다면, 광범위한 시장에서 적용 가능할 것이며, IoT 환경 보안에도 큰 기여를 할 것으로 예상된다.

참고 문헌

[1] 배상태, 김진경, “사물인터넷(IoT) 발전과 보안의 패러다임 변화,” KISTEP InI 14호, 2016.

[2] https://www.mordorintelligence.com/industry-reports/internet-of-things-moving-towards-a-smarter-tomorrow-market-industry, Visited on October 14. 2021.

[3] https://machinaresearch.com/news/press-release-global-internet-of-things-market-to-grow-to-27-billion-devices-generating-usd3-trillion-revenue-in-2025/, Visited on October 14. 2021.

[4] HP, “Internet of things research study,” 2015.

[5] https://csrc.nist.gov/Projects/lightweight-cryptography, Visited on October 14. 2021.

[6] Meltem Sönmez Turan and Kerry McKay, “NIST Lightweight Cryptography Standardization Process”, International Cryptographic Module Conference, 2021.

[7] Meltem Sönmez Turan, Kerry McKay, Donghoon Chang, Çağdaş Çalık, Lawrence Bassham, Jinkeon Kang and John Kelsey, “Status Report on the Second Round of the NIST Lightweight Cryptography Standardization Process”, NISTIR 8369, 2021.

[8] Phillip Rogaway and Thomas Shrimpton, “A Provable-Security Treatment of the Key-Wrap Problem”, EUROCRYPT’06, LNCS 4004, pp. 373–390, 2016.

[9] Kerry McKay, “NIST Lightweight Cryptography Standardization: Next Steps”, NIST Lightweight Cryptography Workshop, 2019.

본 원고는 KISA Report에서 발췌된 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/IS_List.jsp)에서도 확인하실 수 있습니다.

KISA Report에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

KISA Report의 내용은 무단 전재를 금하며, 가공 또는 인용할 경우 반드시 [한국인터넷진흥원,KISA Report]라고 출처를 밝혀주시기 바랍니다.