생일 공격

생일 공격(birthday attack)은 암호학적 해시 함수의 해시 충돌을 찾아내는 암호해독 공격으로, 생일 문제의 확률적 결과를 기반으로 한다. 생일 문제에 따르면 해시 함수의 입력값을 다양하게 할수록 해시 값이 같은 두 입력값을 발견할 확률은 빠르게 증가한다. 따라서 모든 값을 대입하지 않고도 해시 충돌을 찾아낼 확률을 충분히 크게 만들 수 있다.

이론[편집]

$H$ 가지의 값을 가지는 암호학적 해시 함수 $f(x)$ 에 대해, $f(x_{1})=f(x_{2})$ 이고 $x_{1}$ ≠ $x_{2}$ 인 두 입력값 $x_{1},x_{2}$ 를 찾는 것이 해시 충돌의 목표이다. 이를 찾기 위해서 $n$ 가지의 입력값을 임의로 선택한 후 해시 값을 비교한다고 할 때, 해시 충돌을 찾을 확률은 다음과 같다.

p(n;H)\approx 1-e^{-n(n-1)/(2H)}\approx 1-e^{-n^{2}/(2H)}

$n(p;H)$ 를 해시 충돌을 찾을 확률이 $p$ 이상이기 위한 입력값의 가짓수라고 하면 $p(n;H)$ 의 식에서부터 다음의 값이 유도된다.

n(p;H)\approx {\sqrt {2H\ln {\frac {1}{1-p}}}}

여기에서 $p=0.5$ 로 두면 $n(0.5;H)\approx 1.1774{\sqrt {H}}$ 를 얻는다.

해시 충돌을 찾을 때까지 여러 입력값을 대입하여 계산할 경우, 계산 횟수의 기댓값은 다음과 같다.

Q(H)\approx {\sqrt {{\frac {\pi }{2}}H}}

따라서, $k$ 비트 해시 함수의 충돌을 발견하기 위해서는 평균적으로 ${\sqrt {{\frac {\pi }{2}}2^{k}}}$ 가지의 입력값만 조사하면 되며, 이것은 모든 가능한 가짓수가 $2^{k}$ 인 것에 비교하여 차수를 크게 감소한 것이다.

외부 링크[편집]

(영어) "What is a digital signature and what is authentication?" from RSA Security's crypto FAQ.
(영어) "Birthday Attack" X5 Networks Crypto FAQs

v t e 암호화 해시 함수 및 메시지 인증 코드
목록 비교 알려진 공격
공통 함수	MD5 SHA-1 SHA-2 SHA-3 BLAKE2
SHA-3 결승전 출전자	BLAKE Grøstl JH Skein Keccak (우승)
기타 함수	큐브해시 ECOH FSB GOST HAS-160 HAVAL Kupyna LM 해시 LSH MD2 MD4 MD6 MDC-2 N-Hash RIPEMD RadioGatún SWIFFT Snefru Streebog 타이거 VSH 월풀
키 유도 함수	Argon2 bcrypt crypt Lyra2 PBKDF2 scrypt
MAC 함수	DAA CBC-MAC GMAC HMAC NMAC OMAC/CMAC PMAC VMAC UMAC Poly1305 SipHash
인증 암호화 방식	CCM CWC EAX GCM IAPM OCB
공격	충돌 공격 역상 공격 생일 공격 무차별 대입 공격 레인보 테이블 부채널 공격 길이 확장 공격
설계	쇄도 효과 해시 충돌 Merkle–Damgård 구조 스펀지 함수 HAIFA 구조 고유 블록 반복
표준화	CRYPTREC NESSIE NIST 해시 함수 대회
활용	해시 기반 암호 키 스트레칭 해시 트리 메시지 인증 작업 증명 솔트 페퍼