The Telegram which is a very popular messenger uses a special mode called IGE(Infinite Garble Extension). IGE mode is not included in standard mode of operation recommended by National Institute of Standards and Technology(NIST) in 2001. Block cipher encrypts fixed length of plaintext into the corresponding fixed-length of ciphertext using a secret key shared by two parties and utilizes lots of mode of operation for various length of plaintext.
Even though Telegram uses non-standard IGE mode, Telegram is claimed to be secure and demonstrate their security is stronger than other IM's. Thus, we need to verify the security of IGE mode depending on underlying block ciphers. In this paper, we show that IGE mode block cipher used in Telegram assuming sPRF is not IND-qCPA, but assuming qPRF is IND-qCPA.
이 논문에서는 블록암호 IGE 모드의 양자 안전성에 대해 다루었다. 블록암호는 일정 블록 단위로 평문을 암호화하고 있으며, 다양한 길이의 평문을 암호화하기 위하여 운영 모드를 사용한다. 널리 알려진 보안 메신저인 텔레그램은 IGE(Infinite Garble Extension)이라는 특수한 운영 모드를 사용하고 있다. IGE 모드는 European Union Agency for Network and Information Security(ENISA)에서 2013년 발표한 표준 모드 5개에 속해있지 않은 운영모드이다. 텔레그램은 표준모드가 아닌 IGE 모드를 사용함에도, 내부 프로토콜을 공개하여 그 안전성을 공개적으로 인정받고 있다.
하지만 최근 양자 컴퓨터에 대한 연구가 활발히 진행됨에 따라 현재 사용되는 블록암호들에 대한 양자안전성 증명에 대한 필요성이 대두되고 있다. 특히, 블록암호의 양자 안전성은 사용하는 암호 알고리즘과 운영모드에 따라 안전성이 결정된다. 본 논문에서는 텔레그램에서 사용되는 IGE 모드가 암호알고리즘이 sPRF(Standard-secure PRF)일 때 양자 안전성(IND-qCPA)을 보장하지 않고, qPRF(quantum-secure PRF)일때 안전성이 보장됨을 증명하였다.