비밀 공유의 함정: 공간 효율성보다 안전성을 우선하라

초록

본 논문은 기존의 공간 효율적인 비밀 공유 방식이 특정 비밀 집합에서 실패함을 지적하고, 무작위값을 제거한 설계가 공격에 취약함을 보인다. 이를 대체할 수 있는 Hugo Krawczyk의 Shamir 확장 방식을 제안하며, 두 가지 새로운 공격 시나리오를 제시한다.

상세 요약

이 논문은 먼저 기존의 “공간 효율적인 비밀 공유” 알고리즘을 상세히 검토한다. 해당 알고리즘은 비밀들을 하나의 다항식에 직접 매핑하고, 그 다항식의 계수를 공유값으로 사용하는 방식이다. 이때 무작위값을 삽입하지 않음으로써 저장 공간을 절감하려는 의도가 있다. 그러나 저자는 특정 비밀 집합, 예컨대 모든 비밀이 동일하거나 비밀들 사이에 선형 종속성이 존재하는 경우, 다항식의 차수가 기대보다 낮아져 재구성 단계에서 복원 불가능하거나 잘못된 비밀이 복원되는 현상을 발견한다. 이는 다항식 차수가 비밀 수와 동일하다고 가정하는 설계상의 전제가 깨지는 경우이다.

또한, 무작위값이 없을 경우 공격자가 공유값 간의 관계를 수학적으로 분석하여 원본 비밀을 추론할 수 있는 두 가지 새로운 공격을 제시한다. 첫 번째는 “계수 추정 공격”으로, 공유값을 이용해 다항식의 계수를 선형 시스템 형태로 풀어 비밀을 직접 복원한다. 두 번째는 “차수 감소 공격”으로, 비밀이 특정 패턴을 가질 때 차수가 감소함을 이용해 적은 수의 공유값만으로도 전체 비밀을 복원한다. 두 공격 모두 무작위값이 삽입된 전통적인 Shamir 방식에서는 확률적으로 불가능하지만, 무작위값을 제거한 설계에서는 실현 가능하다.

대안으로 제시된 Hugo Krawczyk의 확장 방식은 각 비밀마다 독립적인 무작위 시드와 다항식을 사용한다. 이 방식은 비밀 수와 무관하게 공유값의 크기가 비밀 하나당 동일하게 유지되면서도, 무작위값이 포함되므로 위에서 언급한 두 공격을 원천적으로 차단한다. 또한, 정보 이론적 관점에서 볼 때 저장 효율성은 기존 방식과 동등하거나 오히려 개선될 수 있다.

결론적으로, 논문은 “공간 절약”을 위해 무작위값을 제거하는 설계가 보안성을 크게 저해한다는 교훈을 제시한다. 비밀 공유 시스템을 설계할 때는 저장 비용보다 무작위성 확보와 차수 보장을 우선시해야 함을 강조한다.