정직 다수 없이 안전한 산술 연산

초록

이 논문은 두 명의 악의적인 파티가 존재할 때도, 제한된 연산만을 블랙박스로 이용해 유한 링 위의 산술 회로를 안전하게 평가할 수 있는 여러 프로토콜을 제시한다. OT‑하이브리드 모델에서 무조건적 보안, 계산적 보안, 그리고 동형암호 기반 프로토콜을 각각 설계하고, 모두 UC‑보안을 만족한다.

상세 분석

논문은 크게 세 가지 접근법으로 나뉜다. 첫 번째는 OT‑하이브리드 모델에서 무조건적 보안을 제공하는 프로토콜이다. 여기서는 임의의 유한 링 R에 대해 블랙박스 방식으로 링 연산을 호출하지만, 각 게이트당 필요되는 연산 수가 log|R|에 선형적으로 의존한다는 점이 특징이다. 이는 기존의 CFIK03 프로토콜을 두 파티 환경에 맞게 변형한 것으로, 보안 파라미터 k에 대해 poly(k)·log|R| 개의 링 연산을 수행한다.

두 번째 그룹은 선형 코드 기반의 계산적 보안 프로토콜이다. 저자들은 임의의 필드 F 혹은 링 R에 대해 ‘노이즈가 섞인’ 선형 코드를 이용해 곱셈 게이트를 구현한다. 핵심 가정은 무작위 선형 코드의 디코딩이 충분히 큰 노이즈가 존재할 경우 어려워진다는 점이며, 이는 Reed‑Solomon 코드 혹은 일반적인 무작위 코드에 대한 난해성 가정으로 귀결된다. 특히, 필드 F에 대해서는 필드 크기에 의존하지 않는 고정 차수의 연산량을 달성한다. 즉, 각 곱셈 게이트당 O(poly(k)) 개의 필드 연산만 필요하고, 통신량도 상수 개수의 필드 원소에 불과하다. 링 R에 대해서는 역원을 필요로 하지 않는 변형을 제시했으며, 이는 역원 연산이 어려운 비가역 링에서도 적용 가능하게 만든다. 가장 효율적인 구현에서는 Reed‑Solomon 코드의 디코딩 난이성을 이용해, 필드 원소당 상수 개수의 통신과 O(log k) 개의 필드 연산만을 요구한다. 이는 기존 동형암호 기반 프로토콜이 요구하는 Ω(k + log|F|) 연산에 비해 현저히 적다.

세 번째는 ℤₘ (특히 m이 소수인 경우) 에 특화된 동형암호 기반 프로토콜이다. 여기서는 평문군이 ℤₘ 인 어떠한 동형암호 스킴이라도 블랙박스로 사용할 수 있다. 각 게이트당 암호화·복호화 호출 횟수가 상수이며, m이 소수이면 암호문 크기도 상수 수준으로 유지된다. 이 접근법은 기존 CDN01, DN03 프로토콜이 필요로 하는 복잡한 키 설정과 특수 영지식 증명을 회피하고, 단순히 동형암호의 기본 연산만을 활용한다. 또한, 행렬 링 ℤₙ×ₙₘ 에 대해서도 동일한 아이디어를 확장할 수 있어, 행렬 연산을 위한 통신 오버헤드가 n² 배만 증가한다는 점을 제외하면 동일한 효율성을 제공한다.

전체적으로 모든 제안된 프로토콜은 UC‑보안을 만족하며, OT‑하이브리드 모델을 전제로 한다. 이는 악의적인 파티가 임의의 시점에 프로토콜을 중단할 수는 있지만, 중단 이전에 얻은 정보는 시뮬레이션 기반 보안 정의에 의해 완전히 보호된다는 의미다. 또한, 다자 환경으로의 일반화도 가능하도록 설계되었으며, 파티 수에 대한 복잡도 의존성을 최소화하는 데 초점을 맞추었다.