# SipHash24

SipHash24는 빠르고전한 메시지 인증(Message Authentication Code, MAC) 및 해시 함수로 설계된 암호화 알고리즘입니다. 주로은 입력 데이터의 무결성 검증과 해시 테이블 보안에 사용되며, 특히 해시 충돌 기반 공격(Hash-Flooding Attack)을 방지하기 위해 개발되었습니다. 이 문서에서는 SipHash24의 원리, 구조, 활용 사례 및 보안 특성에 대해 상세히 설명합니다.

## 개요

SipHash는 Jean-Philippe Aumasson와 Daniel J. Bernstein에 의해 2012년에 제안된 암호학적 해시 함수로, **짧은 메시지**(예: 문자열 키, 네트워크 패킷 헤더)에 대해 고성능과 강력한 보안성을 동시에 제공하도록 설계되었습니다. SipHash24는 이 알고리즘의 한 변종으로, **2라운드 압축, 4라운드 최종화**(2 rounds of compression, 4 rounds of finalization)를 수행합니다.

SipHash는 다음과 같은 특징을 가집니다:

- **고속 처리**: 짧은 입력에 대해 매우 빠른 성능을 제공
- **128비트 비밀 키 사용**: 키 기반 해시 함수로, 키 없이 사용 불가
- **64비트 출력**: 일반적으로 해시 테이블 인덱스에 적합한 크기
- **충돌 저항성**: 무작위 입력에 대해 우수한 분포 특성

---

## 구조와 동작 원리

### SipHash의 기본 구조

SipHash는 ARX(Addition, Rotation, XOR) 기반의 구조를 사용하며, 64비트 정수 연산을 기반으로 설계되어 대부분의 현대 CPU에서 효율적으로 실행됩니다. SipHash24는 다음과 같은 단계로 구성됩니다:

1. **초기화**(Initialization)
2. **메시지 압축**(Compression)
3. **최종화**(Finalization)

#### 상태(State) 구성

SipHash는 4개의 64비트 정수 상태 변수를 사용합니다:

- `v₀`, `v₁`, `v₂`, `v₃`

초기 상태는 비밀 키 `k`를 기반으로 설정되며, 이후 메시지 블록을 처리하면서 반복적으로 업데이트됩니다.

### SipHash24의 라운드

SipHash24는 **2-4 라운드 구조**를 의미합니다:

- **2라운드 압축**: 각 메시지 블록을 처리할 때 2번의 `SipRound`를 수행
- **4라운드 최종화**: 모든 입력 처리 후, 최종 해시 값을 도출하기 위해 4번의 `SipRound`를 수행

> 참고: SipHash13은 1라운드 압축, 3라운드 최종화를 사용하며, 성능을 우선시할 때 적합합니다. 반면 SipHash24는 보안성을 강화한 버전입니다.

### SipRound 함수

`SipRound`는 SipHash의 핵심 연산으로, 다음의 ARX 연산을 순차적으로 수행합니다:

```plaintext
v₀ += v₁;     v₂ += v₃;
v₁ = ROTL(v₁, 13);   v₃ = ROTL(v₃, 16);
v₁ ⊕= v₀;     v₃ ⊕= v₂;
v₀ = ROTL(v₀, 32);
v₂ += v₁;     v₀ += v₃;
v₁ = ROTL(v₁, 17);   v₃ = ROTL(v₃, 21);
v₁ ⊕= v₂;     v₃ ⊕= v₀;
v₂ = ROTL(v₂, 32);
```

이 연산은 입력 블록이 없을 때에도 반복적으로 적용되어 내부 상태를 혼합합니다.

---

## 활용 사례

### 1. 해시 테이블 보안

SipHash24는 해시 테이블의 키 해싱에 널리 사용됩니다. 일반적인 해시 함수(MD5, SHA-1 등)는 예측 가능할 경우 공격자가 인위적으로 충돌을 유도해 **DoS 공격**(Hash-Flooding)을 시도할 수 있습니다. SipHash는 비밀 키를 기반으로 하므로 외부 공격자가 해시 값을 예측할 수 없어, 이러한 공격을 효과적으로 방어합니다.

> 예: Python, Ruby, Perl 등은 SipHash를 사용하여 문자열 해시 테이블을 보호

### 2. 메시지 인증 코드(MAC)

SipHash는 키 기반 해시 함수이므로, 짧은 메시지의 무결성과 진위성을 검증하는 MAC으로도 활용됩니다. 예를 들어, 네트워크 프로토콜에서 패킷 헤더의 무결성을 확인할 때 사용할 수 있습니다.

### 3. 랜덤화된 해시 함수

시스템에서 예측 가능한 해시 값은 보안 취약점을 유발할 수 있습니다. SipHash24는 프로세스 시작 시 무작위 키를 생성하여, 해시 값의 재현성을 방지하고 보안성을 높입니다.

---

## 보안 특성

| 특성 | 설명 |
|------|------|
| **충돌 저항성** | 키를 모르는 공격자는 임의 충돌을 찾기 어렵음 |
| **전방 탐색 저항성** | 해시 값으로부터 입력 또는 키를 추론 불가 |
| **키 의존성** | 동일 입력이라도 키가 다르면 출력이 완전히 다름 |
| **짧은 입력 최적화** | 1~256바이트 입력에 대해 우수한 성능과 보안성 제공 |

SipHash24는 **무작위 예측 공격**(forgery attack)에 대해 64비트 보안 수준을 제공하며, 현재까지 알려진 실용적인 암호 해독 공격은 존재하지 않습니다.

---

## 성능 비교

| 해시 함수 | 속도 (GB/s) | 출력 크기 | 키 필요 | 주 용도 |
|----------|-------------|-----------|---------|--------|
| SipHash24 | ~3–5 | 64비트 | 예 | 짧은 메시지, 해시 테이블 |
| SHA-256 | ~0.5–1 | 256비트 | 아니요 | 일반 암호화 |
| MurmurHash | ~5–10 | 64/128비트 | 아니요 | 고성능 해싱 (비보안) |

SipHash24는 보안 해시 함수 중에서도 특히 **짧은 입력에 대한 성능과 보안의 균형**이 뛰어납니다.

---

## 관련 문서 및 참고 자료

- [SipHash: A Fast Short-Input PRF](https://131002.net/siphash/) – 공식 사이트 및 논문
- Aumasson, J.-P., & Bernstein, D. J. (2012). *SipHash: A Fast Short-Input PRF*. In INDOCRYPT.
- Python 공식 문서: [dict 해시 보안](https://docs.python.org/3/reference/datamodel.html#object.__hash__)
- RFC 7693: *The SipHash MAC Algorithm* – IETF에서 표준화된 SipHash 설명

---

## 결론

SipHash24는 짧은 입력 데이터에 대해 뛰어난 보안성과 성능을 제공하는 암호화 알고리즘입니다. 특히 해시 테이블 기반의 시스템에서 예측 가능한 해시 충돌 공격을 방어하는 데 핵심적인 역할을 하며, 현대 프로그래밍 언어와 네트워크 프로토콜에서 널리 채택되고 있습니다. 비밀 키 기반 구조와 간결한 구현 덕분에, 보안과 효율성 모두를 고려해야 하는 시스템 설계에 이상적인 선택지입니다.