짧은 암호와 키로 구현한 효율적 블랙박스 추적 IBE

초록

본 논문은 Goyal이 제시한 두 가지 A‑IBE 구성의 장단점을 결합하여, 짧은 암호와 상수 크기의 비밀키를 유지하면서도 약한 블랙박스 추적 기능을 제공하는 새로운 IBE 스킴을 제안한다. 선택‑ID 모델에서 증명된 보안성을 적응‑ID 모델로도 자연스럽게 확장할 수 있다.

상세 분석

이 연구는 계정 책임성(Accountable Authority)이라는 새로운 보안 목표를 IBE에 도입한 기존 작업들을 면밀히 검토한다. Goyal‑1은 효율적이지만 추적이 화이트박스(키 구조가 알려진 경우)로만 제한되고, Goyal‑2는 약한 블랙박스 추적을 제공하지만 암호와 복호화 비용이 보안 파라미터 λ에 선형이 아닌 𝑂(λ) 수준으로 커졌다. 저자들은 이러한 트레이드오프를 해소하기 위해 두 스킴의 장점을 결합한다. 핵심 아이디어는 커뮤터티브 블라인딩(commutative‑blinding)과 실험적 역전(exponent‑inversion) 기법을 적절히 조합하여, 키 생성 프로토콜에서 사용자의 키 패밀리를 완전히 은닉하면서도 키와 암호문이 상수 개수의 군 원소만을 포함하도록 설계한다.

보안 가정은 기존 Goyal‑2와 동일하게 결정적 이중선형 디피-헬만(Decision Bilinear Diffie‑Hellman, DBDH) 문제의 난이에 기반한다. 그러나 이 스킴은 마스터 공개키에 긴 워터마크를 추가하는 방식이 아니라, 키 패밀리 번호를 암호화된 형태로 포함시켜 추적 알고리즘이 키 자체만으로도 패밀리를 복원하도록 한다. 따라서 트레이스 단계는 단순히 키를 입력받아 패밀리 번호를 추출하거나 ⊥(불량키) 를 반환하는 O(1) 연산으로 끝난다.

효율성 측면에서, 암호문은 O(λ) 개의 군 원소가 아니라 O(1) 개(구체적으로 23개의 G_T 원소)만을 포함한다. 복호화 과정에서도 두 번의 쌍곱(pairing) 연산만 필요하므로, Goyal‑2에서 요구되는 160여 번의 쌍곱에 비해 23배 정도의 속도 향상을 기대할 수 있다. 키 생성 프로토콜은 제로-지식 증명 대신 간단한 난수 교환과 해시 기반 검증을 사용해, 동시성(concurrency) 환경에서도 재연(rewind) 없이 보안을 유지한다. 이는 실제 인터넷 서비스에서 다수 사용자가 동시에 키를 발급받는 상황에 적합하다.

보안 모델은 선택‑ID(Selective‑ID) 게임을 기반으로 IND‑ID‑CCA, FindKey‑CCA, ComputeNewKey 세 가지 게임을 정의하고, 각각에 대해 적절한 감소(reduction)를 제시한다. 특히 FindKey‑CCA 게임에서는 PKG가 사용자와 동일한 키 패밀리의 키를 생성하려 할 때, 트레이스 알고리즘이 이를 정확히 식별하도록 설계되었다. 또한 약한 블랙박스 모델에서는 복호화 박스 D가 일정 확률 ε 이상으로 정상 동작할 경우, 트레이스 알고리즘이 “User” 혹은 “PKG” 중 하나를 정확히 판정한다.

추가적으로 저자들은 제안 스킴을 Gentry IBE와 Boneh‑Hamburg IBBE에 적용하는 방법을 제시한다. Gentry IBE에 적용할 경우, 키 생성 단계에 작은 수정만 가하면 동일한 효율성을 유지하면서도 블랙박스 추적이 가능해진다. IBBE 확장은 방송 암호화 시나리오에서도 키 패밀리 추적을 가능하게 하여, 다중 수신자 환경에서도 책임성을 확보한다.

전체적으로 이 논문은 기존 A‑IBE 스킴들의 효율성‑보안‑추적성 삼각관계를 재구성하고, 실용적인 파라미터에서 높은 성능을 유지하면서도 약한 블랙박스 추적을 제공하는 새로운 설계를 제시한다. 이는 IBE 기반 서비스에서 키 탈취·재배포 위험을 실질적으로 감소시킬 수 있는 중요한 진전으로 평가된다.