GN⁺: 자동화된 정수 해시 함수 탐색 기술

Hash Function Prospector

이 도구는 자동화된 정수 해시 함수 탐색을 위한 작은 도구임. 9개의 가역 연산들 중에서 무작위로 선택하여 수십억 개의 정수 해시 함수들을 생성함. 생성된 함수들은 JIT 컴파일되고 Avalanche 동작이 평가됨. 현재 가장 좋은 함수가 C 문법으로 출력됨.

• Avalanche 점수: 단일 입력 비트를 뒤집었을 때 평균적으로 고정된 상태로 유지되는 출력 비트 수. 점수가 낮을수록 좋음. 이상적으로는 점수가 0임. 즉, 단일 입력 비트를 뒤집으면 모든 출력 비트가 50% 확률로 뒤집힘.
• Prospector는 32비트와 64비트 정수 해시 함수를 모두 생성할 수 있음. 전체 옵션은 사용법(-h)을 확인. JIT 컴파일러로 인해 x86-64만 지원되지만, 발견된 함수는 어디서나 사용 가능함.

발견된 해시 함수들

Prospector와 여기에 있는 다른 도우미 유틸리티들에 의해 발견된 두 가지 유용한 클래스의 해시 함수가 있음. 둘 다 xorshift-multiply-xorshift 구조를 사용하지만 라운드 수가 다름.

2라운드 함수

TheIronBorn이 이 구조에 대한 최고의 알려진 매개변수를 발견하기 위해 조합 최적화를 사용함.

• 이 32비트 2라운드 순열은 특히 낮은 편향을 가지며 심지어 유명한 MurmurHash3 32비트 finalizer를 작은 차이로 이김.
• 해시 함수 구조는 Prospector에 의해 발견되었고, 매개변수는 언덕 등반과 유전 알고리즘을 사용하여 튜닝됨.

더 많은 편향이 낮은 2라운드 상수들이 있으며, 그 중 일부는 lowbias32보다 더 좋음.

3라운드 함수

이 구조에서 multiply-xorshift를 한 라운드 더 추가하면 신중하게 선택한 매개변수로 이론적인 편향 한계에 도달할 수 있음. 예를 들어, 이 해시 함수는 완벽한 PRF와 구별할 수 없음.

• triple32는 hash(0) = 0 이슈를 해결할 뿐만 아니라 편향을 더 낮춤.
• 더 많은 편향이 낮은 3라운드 상수들이 있음.

정확한 편향 측정

-E 모드는 주어진 해시 함수(-p 또는 -l)의 편향을 평가함. 기본적으로 Prospector는 함수의 편향을 빠르게 평가하기 위해 추정치를 사용하지만, 비결정적이며 결과에 많은 노이즈가 있음. 정확한 편향을 소진적으로 측정하려면 -e 옵션을 사용함.

• -p와 패턴을 사용하거나 hash()라는 함수가 포함된 공유 라이브러리와 -l을 사용하여 검사할 함수를 정의할 수 있음.
• 64비트 해시 함수에 대한 정확하고 소진적인 테스트는 너무 오래 걸리기 때문에 없음.

가역 연산 선택

다음과 같은 가역 연산들을 사용:

• x = ~x;
• x ^= constant;
• x *= constant | 1; (홀수 상수만)
• x += constant;
• x ^= x >> constant;
• x ^= x << constant;
• x += x << constant;
• x -= x << constant;
• x <<<= constant; (왼쪽 회전)
• x = bswap(x) (높은 바이트와 낮은 바이트 교환)

기술적으로 x = ~x는 x ^= constant에 의해 커버됨. 그러나 ~x는 독특하게 특별하고 특히 유용함.

16비트 해시

16비트 해시에 대한 제약 조건이 다르기 때문에 이러한 해시를 생성하기 위한 별도의 도구인 hp16이 있음.

• 32비트/64비트 Prospector와 달리 이 구현은 완전히 이식 가능하며 거의 모든 시스템에서 실행됨.
• 128KiB S-box 생성 및 평가도 가능함.
• 16비트 해시는 빠른 곱셈 명령이 없는 기계에서 더 필요할 가능성이 있으므로 탐색 중에 특정 연산을 생략할 수 있음(-m, -r).

몇 가지 흥미로운 결과들:

• 2라운드 xorshift-multiply 해시
• 3라운드 xorshift-multiply 해시
• 곱셈이 없는 해시 (xorshift-add만 사용)

좋은 3라운드 xorshift 해시(hp16 -Xn3을 통한 짧은 검색)는 좋은 S-box(hp16 -S)에 근접함.

16비트 연산을 할 때는 C 정수 승격 규칙에 주의해야 함. 이 프로그램에서 출력하는 C 프로그램은 필요한 경우 16비트 연산을 "unsigned int"로 승격하는 데 주의를 기울임.

GN⁺의 의견

• 해시 함수의 안전성은 암호학과 컴퓨터 보안에서 매우 중요한 역할을 하므로, 이런 탐색 도구는 연구에 큰 도움이 될 것 같음. 특히 무작위 탐색을 통해 편향이 낮은 해시 함수를 찾아내는 것이 흥미로움.

• 그러나 단순히 통계적 특성만으로 해시 함수의 안전성이 보장되는 것은 아님. 암호학적 해시 함수는 PreImage Resistance, Second PreImage Resistance, Collision Resistance 등 다양한 공격에 대해 안전해야 하므로, 이에 대한 분석도 필요할 것 같음.

• 16비트 해시 함수는 IoT나 임베디드 시스템 같은 제한된 환경에서 유용할 것 같음. 곱셈 명령이 없는 CPU에서도 사용할 수 있도록 ADD/XOR/SHIFT만 사용한 해시 함수를 만들 수 있다는 점이 인상적임.

• 해시 함수 설계에 Hill Climbing이나 유전 알고리즘 같은 발견적 탐색 기법을 적용한 것도 신선한 아이디어임. 암호 알고리즘 설계에 AI 기술을 접목하려는 시도가 활발한데, 이런 최적화 기법들이 앞으로 더 중요한 역할을 할 것 같음.

• 다만 Hash Function이 가진 한계로 인해 아무리 Avalanche 특성이 좋더라도 암호학적으로 안전하다고 말하긴 어려울 것 같고, 이는 이 프로젝트의 한계로 보임. 그래도 이런 도구를 통해 기존 해시 함수의 문제점을 분석하고 개선하는 데 도움이 될 수 있을 것임.