강력한 곱셈과 3‑곱셈을 지원하는 선형 비밀 공유 스킴의 새로운 패러다임

본 논문은 선형 비밀 공유 스킴(LSSS)의 핵심적인 확장인 강력 곱셈(strongly multiplicative) LSSS와 새롭게 제안된 3‑곱셈(3‑multiplicative) LSSS 사이의 관계를 체계적으로 탐구한다. 1. **배경 및 동기** - 다자간 계산(MPC)에서 LSSS는 비밀 입력을 공유하고, 연산을 게이트 단위로 수행하는 기본 도구이다. 선형 연산(덧셈)은 공유의 선형성 때문에 바로 처리할 수 있지만, 곱셈은 일반적인 LSSS에서는 직접 지원되지 않는다. - Cramer et al.는 곱셈 가능(multiplicative) LSSS 개념을 도입해, 두 비밀의 곱을 각 플레이어가 자신의 공유 곱을 계산하고, 이를 공개된 선형 계수로 결합하면 복원할 수 있게 했다. 그러나 악의적인 적대자에 대비하려면, 손상된 플레이어 집합을 제외한 나머지만으로도 같은 복원이 가능해야 하는 강력 곱셈이 필요하다. - 기존 강력 곱셈 LSSS는 특정 구조(예: Shamir 임계값 스킴)에서는 효율적이지만, 일반적인 접근 구조에 대해 효율적인 변환 방법은 알려지지 않았다. 기존 일반 변환은 지수적인 크기의 공유를 생성한다. 2. **3‑곱셈 LSSS 정의** - λ‑곱셈 개념을 도입하고, λ=3인 경우를 중심으로 정의한다. 3‑곱셈 LSSS는 세 개의 비밀 x₁, x₂, x₃에 대해, 각 플레이어 i가 자신의 공유 x₁ᵢ, x₂ᵢ, x₃ᵢ를 곱한 값 x₁ᵢ·x₂ᵢ·x₃ᵢ를 로컬에서 계산하고, 전체 곱 x₁·x₂·x₃을 공개된 계수 벡터 z와의 선형 결합으로 복원할 수 있음을 의미한다. - 수학적으로는 기존 LSSS의 행렬 M을 이용해 M⊙M⊙M(텐서곱 형태) 행렬을 구성하고, 목표 벡터 e₁이 이 행렬의 스팬에 포함되는지를 확인한다. 3. **강력 곱셈과 3‑곱셈 사이의 포함 관계** - 정리 1: 모든 3‑곱셈 LSSS는 강력 곱셈 LSSS이다. 증명은 3‑곱셈이 존재하면, 두 비밀에 대한 곱 역시 같은 재조합 계수를 이용해 표현 가능함을 보이는 것으로 간단히 이루어진다. - 정리 2: 강력 곱셈 LSSS는 다항 시간 알고리즘을 통해 3‑곱셈 LSSS로 변환 가능하다. 변환 절차는 (i) 기존 행렬 M을 텐서곱 M⊗M 로 확장해 새로운 행렬 M′을 만든다, (ii) M′에 대해 목표 벡터 e₁이 스팬에 포함되는지 선형 시스템을 푼다, (iii) 얻어진 재조합 벡터를 사용해 3‑곱셈성을 확보한다. 이 과정은 O(n³) 정도의 다항 시간 안에 수행된다. - 반례: 논문은 강력 곱셈이면서 3‑곱셈이 아닌 구체적인 LSSS 예시를 제시한다. 이는 두 비밀에 대해서는 강력 곱셈이 가능하지만, 세 비밀을 동시에 다루는 선형 결합이 존재하지 않음을 보여, 두 개념이 완전 동치가 아님을 증명한다. 4. **λ‑곱셈 일반화** - λ≥3인 경우에 대해 λ‑곱셈 LSSS를 정의하고, 라운드 복잡도 감소 효과를 분석한다. λ‑곱셈을 사용하면 무제한 fan‑in 곱 연산을 ⌈log_λ ℓ⌉ 라운드로 수행할 수 있어, λ가 커질수록 라운드 수가 로그 스케일로 감소한다. 5. **구성 방법** - **Reed‑Muller 코드 기반**: RM(r,m) 코드를 선택하고, 차수 r와 변수 수 m을 조절해 행렬 M이 λ‑곱셈 조건을 만족하도록 설계한다. RM 코드는 평가점이 전체 공간을 균등하게 커버하므로, 목표 벡터 e₁이 확장된 행렬의 스팬에 포함되는지를 검증하는 것이 비교적 간단하다. - **대수기하학 코드 기반**: 곡선 C 위의 AG 코드를 이용한다. 평가점 집합과 디바이스(디비전 알고리즘)를 적절히 선택하면, 행렬 M의 구조가 Reed‑Muller와 유사하게 확장되어 3‑곱셈성을 확보한다. 두 경우 모두 검증은 “M⋄·z = e₁” 형태의 선형 방정식 풀이로 끝나며, 강력 곱셈 검증에 필요한 모든 적대자 집합을 열거하는 복잡한 절차를 필요로 하지 않는다. 6. **MPC 프로토콜에의 적용** - 기존 강력 곱셈 기반 프로토콜은 무제한 fan‑in 곱을 계산할 때 5라운드가 최적이었다(Cramer et al., 2014). 3‑곱셈 LSSS를 적용하면, 세 개씩 묶어 한 번에 곱을 계산하고, 두 번의 재공유(resharing)만으로 전체 곱을 완성한다. 결과적으로 라운드 수가 4로 감소한다. - 라운드 감소는 통신 지연이 큰 네트워크 환경에서 전체 실행 시간을 크게 단축시키며, 특히 대규모 데이터 분석이나 실시간 금융 거래와 같은 응용 분야에 유리하다. 7. **의의 및 향후 연구** - 3‑곱셈 LSSS는 강력 곱셈 LSSS를 효율적으로 구성·검증하는 “중간 단계”로서, 일반 LSSS에서 강력 곱셈을 얻는 열린 문제에 대한 새로운 접근법을 제공한다. - 향후 연구 과제로는 (i) 3‑곱셈 LSSS의 크기를 더욱 줄이는 최적화, (ii) λ‑곱셈을 이용한 다중 곱 연산의 최적 라운드 스케줄링, (iii) 실제 구현을 통한 성능 평가와 다양한 접근 구조에 대한 적용 가능성 검증이 있다. 결론적으로, 논문은 3‑곱셈 LSSS라는 새로운 개념을 도입하고, 이를 통해 강력 곱셈 LSSS와의 관계를 명확히 함으로써, 효율적인 MPC 프로토콜 설계에 중요한 진전을 제공한다.