트위스트 공액 문제 기반 인증 스킴

초록

본 논문은 두 개의 엔도몰피즘 ϕ, ψ와 행렬 w, t을 이용해 t = ψ(s⁎) w ϕ(s) 형태의 식을 만족하는 비밀 원소 s를 찾는 “트위스트 공액 탐색 문제”의 난이도에 기반한 인증 프로토콜을 제안한다. 구현 플랫폼으로는 F₂ 위의 차수 N‑절단 다항식으로 구성된 2×2 행렬 반군집을 선택하고, 전치 연산을 반동형사상으로 사용한다. 제안된 스킴은 기존의 공액 문제 기반 방식보다 길이 기반 공격에 강하고, 제시된 파라미터(N≈300)에서는 무차별 탐색이나 다항식 방정식 해석 공격이 실용적으로 불가능함을 실험적으로 확인한다.

상세 분석

논문은 먼저 전통적인 비가환 암호학에서 사용되는 공액 탐색 문제(conjugacy search problem)의 한계점을 짚는다. 특히 브레이드 군에서의 길이 기반 공격이 성공률이 높아 플랫폼 선택이 중요함을 강조한다. 이러한 배경에서 저자들은 보다 일반적인 형태인 트위스트 공액 탐색 문제(twisted conjugacy search problem)를 도입한다. 이 문제는 두 개의 엔도몰피즘 ϕ, ψ와 원소 w, t가 주어졌을 때, t = ψ(s⁻¹) w ϕ(s) 를 만족하는 s를 찾는 것으로, ϕ와 ψ가 자유롭게 선택될 수 있기 때문에 s에 대한 구조적 취약점을 숨기기 쉽다. 특히 “double twisted” 형태에서는 ψ와 ϕ가 모두 독립적으로 작용하므로, 기존의 길이 기반 혹은 선형대수 기반 공격이 적용되기 어려워진다.

플랫폼으로 선택된 반군집 G는 F₂ 위의 N‑절단 다항식(0 ≤ i < N)로 구성된 2×2 행렬 전체이다. 이 구조는 두 가지 장점을 제공한다. 첫째, 다항식 연산이 O(N log N) 정도의 시간 복잡도로 수행될 수 있어 실용적인 속도를 보장한다. 둘째, 행렬 전치를 반동형사상(antihomomorphism)으로 사용할 수 있어, s⁎ = sᵀ 로 정의된 연산이 (ab)⁎ = b⁎a⁎ 를 만족한다. 따라서 프로토콜 단계에서 요구되는 ψ(s⁎)·w·ϕ(s) 형태의 연산이 정확히 구현된다.

인증 절차는 Fiat‑Shamir식 3‑라운드 챌린지‑응답을 변형한 형태이다. prover인 Alice는 비밀 s와 공개키 (ϕ, ψ, w, t) 를 설정하고, commitment u = ψ(r⁎)·t·ϕ(r) 를 전송한다. verifier인 Bob은 무작위 비트 c를 보내고, c = 0이면 Alice는 r을, c = 1이면 sr을 공개한다. 검증자는 각각 u = ψ(v⁎)·t·ϕ(v) 혹은 u = ψ(v⁎)·w·ϕ(v) 를 확인함으로써 인증을 완료한다. 이 과정은 s가 실제로 존재한다는 사실을 증명하면서도 s 자체를 노출하지 않는다.

보안 분석에서는 무차별 탐색이 비현실적임을 보이고, 다항식 계수 방정식으로 전환하는 공격을 실험적으로 시도했으나, N = 300 정도의 파라미터에서는 해 탐색 트리가 급격히 폭발해 실용적인 시간 안에 해결이 불가능함을 확인한다. 또한, 기존 공액 문제에 적용되는 선형대수식 변환(gx = xh)과 달리 트위스트 형태는 선형화가 불가능하므로, 기존의 가우스 소거법 기반 공격도 적용되지 않는다.

결론적으로, 트위스트 공액 문제는 엔도몰피즘의 자유로운 선택을 통해 구조적 혼란을 야기하고, 선택된 행렬 반군집은 연산 효율성과 비가환성을 동시에 제공한다. 따라서 제안된 인증 스킴은 현재 알려진 공격에 대해 강인한 보안을 제공하며, 향후 비가환 암호학에서 새로운 플랫폼 후보로서의 가능성을 제시한다.