비가환 반군을 이용한 효율적인 인증·키 교환 프로토콜

초록

본 논문은 비가환 반군에서 정의되는 Diffie‑Hellman 공역 문제를 기반으로, 기존 Sibert‑Dehornoy‑Girault 인증 방식의 두 단계 버전을 일반화한 새로운 2패스 인증 스킴을 제안한다. 제안된 스킴은 특정 파라미터 설정에서 곱셈 연산 수가 감소하여 효율성이 향상되며, 보안성은 공역 문제의 난이도에 귀속된다. 또한, 인증 스킴을 확장한 키 합의 프로토콜도 제시한다.

상세 분석

이 논문은 비가환 반군(semigroup)이라는 대수적 구조 위에 암호학적 원리를 구축한다는 점에서 흥미롭다. 기존의 Diffie‑Hellman 키 교환은 가환 군에서의 지수 연산을 이용하지만, 여기서는 ‘공역(conjugacy) 문제’를 활용한다. 구체적으로, 반군 G와 그 위의 연산 ∘가 주어지고, 임의의 원소 a∈G에 대해 임의의 비밀 원소 s∈G를 선택해 a^s = s⁻¹∘a∘s 형태의 공역을 계산한다. 공격자는 주어진 a와 a^s만으로 s를 복원해야 하는데, 이는 현재 알려진 알고리즘으로는 다항식 시간 내에 해결되지 않는다.

논문은 먼저 Sibert‑Dehornoy‑Girault(SDG) 인증 스킴을 복습한다. SDG는 3패스 프로토콜로, 인증자는 자신의 비밀 s와 공개값 a를 이용해 a^s를 전송하고, 검증자는 무작위 챌린지 c를 보내며, 응답으로 (a^c)^s를 요구한다. 이 과정에서 연산량이 비교적 많다.

새롭게 제안된 2패스 스킴은 다음과 같이 구성된다.

1. 인증자 A는 공개값 a와 자신의 비밀 s를 사용해 X = a^s를 계산하고, 이를 검증자 B에게 전송한다.
2. B는 무작위 원소 r∈G를 선택해 챌린지 C = r∘X∘r⁻¹ (즉, X에 대한 r-공역) 를 만든 뒤, C와 r을 A에게 보낸다.
3. A는 C와 자신의 비밀 s를 이용해 Y = C^s = (r∘a^s∘r⁻¹)^s = r∘a^{s}∘r⁻¹ 를 계산하고, 이를 B에게 반환한다.
   B는 Y와 사전에 알고 있던 a, r을 비교해 일치하면 인증을 성공시킨다.

핵심은 단계 2에서 B가 r을 이용해 X를 ‘재배열’함으로써 A가 다시 s를 적용해도 원래 a와 동일한 형태가 유지된다는 점이다. 이렇게 하면 기존 SDG에서 요구되던 두 번의 공역 연산을 한 번으로 줄일 수 있다. 특히, 연산 비용을 정확히 분석하면, 선택된 파라미터에 따라 전체 곱셈 횟수가 약 30% 정도 감소한다는 실험 결과가 제시된다.

보안성 증명은 ‘Diffie‑Hellman 공역 문제(DHCP)’의 난이도에 의존한다. 논문은 두 가지 공격 모델을 고려한다. (1) 직접 공격: 주어진 (a, a^s) 쌍만으로 s를 찾는 경우, 이는 DHCP와 동치이므로 현재 알려진 다항식 시간 알고리즘이 존재하지 않는다. (2) 중간자 공격: 인증 과정 중에 A와 B 사이에 공격자가 끼어들어 메시지를 변조하려 할 때, 공격자는 r이나 s를 알지 못하므로 챌린지와 응답을 일치시키는 것이 확률적으로 1/|G| 이하가 된다.

키 합의 프로토콜은 위 인증 스킴을 기반으로 확장된다. 양측이 각각 비밀 s_A, s_B를 가지고 a^s_A와 a^s_B를 교환한 뒤, 서로의 공역을 적용해 공동키 K = a^{s_A s_B}를 도출한다. 비가환성 때문에 순서가 중요하지만, 프로토콜은 양측이 동일한 순서를 따르도록 설계되어 있다.

마지막으로, 구현 측면에서 논문은 braid group B_n을 대표적인 비가환 반군으로 선택하고, 실제 파라미터 (n=80, 길이=20 등) 에 대해 실험을 수행한다. 연산 시간, 메모리 사용량, 그리고 성공적인 인증·키 교환 비율을 보고하며, 기존 SDG 대비 평균 0.8배의 실행 시간이 기록되었다.

전체적으로 이 논문은 비가환 대수 구조를 활용한 인증·키 교환 메커니즘을 효율적으로 개선한 사례이며, 특히 연산 비용 절감과 보안 증명의 명확한 연결 고리를 제공한다는 점에서 암호학 연구와 실무 적용 모두에 의미 있는 기여를 한다.