강인한 키 합의 스킴

본 논문은 비밀성 요구가 없는 키 합의 문제를 새로운 관점에서 접근한다. 두 당사자(Alice와 Bob)가 서로 메시지를 교환하면서 적대적 변조 공격자(Eve)가 최대 t개의 링크를 임의로 변조할 수 있는 상황을 가정한다. 키는 비밀이어야 할 필요가 없으며, 오직 양측이 동일한 값을 산출하는 것만이 목표이므로, 문제는 “정확한 정보 전달”에 초점을 맞춘 오류 정정 코딩 문제로 전환된다. 1. **문제 정의와 모델링** - 두 라운드 통신 구조: 첫 라운드에서 Alice가 n₁개의 m‑비트 벡터를 전송하고, Bob은 이를 받아 ˆx₁,…,ˆx_{n₁}를 얻는다. 두 번째 라운드에서 Bob은 n₂개의 m‑비트 벡터를 전송해 Alice가 ˆy₁,…,ˆy_{n₂}를 받는다. - 변조 모델: Eve는 전체 링크에서 최대 t개의 변조를 수행한다. 변조는 Hamming 거리 1(두 벡터가 다르면 거리 1)로 정의된다. - 키 생성 및 오류 정의: Alice와 Bob은 각각 gₐ와 g_b 디코더를 사용해 키 K₁, K₂를 산출한다. K₁≠K₂이면 키 합의 오류가 발생한다. 2. **Zero‑Error 키 합의** - 정의: 모든 가능한 공격에 대해 키 불일치 확률이 0이어야 하며, 키 엔트로피 R이 양수이면 R을 zero‑error admissible라 정의한다. - 기본 결과(Theorem 1): t ≥ max(n₁,n₂)이면 용량이 0이다. 이는 변조 가능한 링크가 전송 전체를 압도하면 어떤 정보도 보존될 수 없음을 의미한다. - 예시 1: 직접 키 전송 방식(각 라운드에서 동일한 비트 반복)으로 n₁=n₂=3, t=1인 경우, 최소 거리 3인 코드 Cₐ와 C_b를 사용해 2m 비트 키를 얻는다. 하지만 이는 최적이 아니다. - 예시 2: 동일 파라미터에서 Cₐ를 최소 거리 2인 Aₘ(3,2) 코드로 사용하고, Bob이 오류 탐지 결과에 따라 두 개의 다른 코드북(C_{b,0}, C_{b,1})을 선택한다. 이때 Bob이 전송하는 첫 비트가 공격 횟수를 인코딩하므로, 전체 키 엔트로피가 최소 3m−1까지 증가한다. - 예시 3: n₁=n₂=2, t=1인 경우에도 직접 전송은 실패하지만, 위와 유사한 구조로 최소 m 비트 키를 확보한다. 3. **일반적인 두 라운드 스킴** - 파라미터 정의: d는 Alice가 사용하는 Aₘ(n₁,d) 코드의 최소 거리, ℓ = ⌈d·log₂(t+1)⌉는 오류 수를 표현하기 위한 비트 수. - Ωₘ(d,t₁) 함수: 두 경우(전방 오류가 적을 때와 많을 때) 각각에 대해 가능한 엔트로피를 계산한다. - Theorem 2(Inner bound): n₂ > 2t이면, zero‑error 용량은 \