왕과 폰들의 비밀 공유 정보율 완전 해석

초록

본 논문은 “왕‑n 폰” 접근 구조 Γₙ( n ≥ 2 )의 정확한 정보율을 구한다. 엔트로피 불평등을 이용한 상한 증명과, (n, 2n‑1) 임계 스킴과 분해 스킴을 가중 평균한 새로운 비밀 공유 스킴을 구성함으로써 하한을 달성한다. 결과적으로 ρ(Γₙ)= (n‑1)/(2n‑3) 임을 보이며, 이는 모든 최소 비매트로이드 접근 구조의 정보율을 완전히 규명한다.

상세 분석

이 논문은 비매트로이드(minor‑minimal non‑matroid) 접근 구조 중 가장 대표적인 왕‑n 폰 구조 Γₙ에 대해 정보율 ρ(Γₙ)을 정확히 구한다는 점에서 이론적 의의를 가진다. 먼저 저자는 비밀 공유 스킴을 확률 변수 집합 Σ={S, X₁,…,Xₙ} 로 모델링하고, 정보율을 ρ(x)=H(S)/H(X) 로 정의한다. 여기서 핵심 도구는 비밀과 공유 변수들의 정규화 엔트로피 h(X)=H(X)/H(S) 로, h는 단조성, 서브모듈러리티, 그리고 ‘+-서브모듈러리티’라는 추가 조건을 만족한다.

상한을 얻기 위해 두 개의 보조 레마를 증명한다. 레마 2는 h(k p₁…p_{n‑1}) ≥ h(p₁)+(n‑1) 를, 레마 3은 h(k p₁)+∑{i=2}^{n}h(p_i) ≥ h(k p₁…p{n‑1})+(n‑2) 를 각각 도출한다. 이 두 부등식에 서브모듈러리티 h(p₁)+h(k) ≥ h(k p₁) 를 더하면 h(k)+∑_{i=2}^{n}h(p_i) ≥ 2n‑3 이 된다. 여기서 최소값을 갖는 참여자를 p라 하면 h(p) ≥ (2n‑3)/(n‑1) 이고, 따라서 ρ(p*) ≤ (n‑1)/(2n‑3) 가 된다. 이는 모든 스킴에 대한 상한이다.

하한을 보이기 위해 저자는 두 개의 구체적 스킴 Σ₁, Σ₂ 를 설계한다. Σ₁은 (n, 2n‑1) 임계 스킴을 변형한 것으로, 왕에게는 f(1)…f(n‑1) 값을, 각 폰에게는 f(n‑1+i) 값을 부여한다. 이는 Shamir의 다항식 기반 비밀 공유와 동일한 보안 특성을 가진다. Σ₂는 (2,2)와 (n,n) 임계 스킴을 결합한 분해 방식으로, 왕은 임의 r 를 받고 폰은 r+S 를, 또 별도의 (n,n) 스킴을 통해 추가 공유를 받는다. 두 스킴 모두 각 참여자의 공유가 균등 분포함을 보이며, 비자격 집합은 어느 스킴에서도 비밀을 얻지 못한다.

최종 스킴 Σ는 Σ₁ 하나와 Σ₂를 n‑2 번 복제한 뒤, 각 스킴을 독립적으로 실행하고 그 결과를 가중 평균한다. 왕은 Σ₁에서 n‑1 개, Σ₂ 복제본에서 각각 n‑2 개의 공유를 받아 총 2n‑3 개의 심볼을 갖게 되고, 폰도 동일하게 2n‑3 개를 갖는다. 각 심볼이 Z_q 위에서 균등하게 선택되므로 H(왕)=log q^{2n‑3}, H(폰)=log q^{2n‑3} 이다. 비밀은 n‑1 개의 독립적인 Z_q 원소로 구성되므로 H(S)=log q^{n‑1}. 따라서 ρ= (n‑1)/(2n‑3) 가 정확히 달성된다.

상한과 하한이 일치함을 보였으므로, ρ(Γₙ)= (n‑1)/(2n‑3) 가 증명된다. 이 결과는 기존에 알려진 4개의 최소 비매트로이드 구조가 2/3 의 정보율을 갖는 것과 일관되며, n이 커짐에 따라 정보율이 점점 1/2 에 수렴한다는 흥미로운 경향을 드러낸다. 또한 엔트로피 기반 불평등과 구체적 스킴 설계가 결합된 방법론은 다른 복합 접근 구조의 정보율 분석에도 적용 가능함을 시사한다.