이중맹목 비교와 불가역 군 기반 암호

초록

이 논문은 강한 결합적 일방향 함수(SAOWF)를 이용해 두 사용자가 서로 협력해야만 평문이 동일한지 판단할 수 있는 ‘이중맹목 비교(Double Blind Comparison)’ 기법을 제안한다. 구현 기반으로는 역연산이 계산적으로 불가능한 그룹(GII)을 가정하며, 보안성은 강한 결합성, 완전성, 비연결성 등을 증명한다.

상세 분석

본 연구는 기존의 안전한 다자 계산(SMPC)과는 근본적으로 다른 목표를 가진 새로운 원시 연산인 이중맹목 비교(DBC)를 정의한다. DBC는 두 사용자가 각각 암호문을 보유하고 있을 때, 그 암호문이 같은 평문을 암호화한 결과인지 여부만을 협력적으로 확인할 수 있게 한다. 핵심은 ‘강한 결합적 일방향 함수(Strong Associative One‑Way Function, SAOWF)’이며, 이는 결합성(Associativity), 강한 일방향성(strong one‑wayness), 전역 정의(totality)를 만족한다. 논문은 SAOWF를 구현하기 위해 ‘역연산이 불가능한 군(Group with Infeasible Inversion, GII)’ 위에 정의된 연산을 사용한다. GII는 일반적인 군 연산을 그대로 유지하면서, 원소의 역원을 찾는 것이 계산적으로 어려운 구조를 전제로 한다. 이러한 가정 하에, SAOWF는 자연스럽게 강한 결합적 일방향성을 갖게 되며, 이는 Lemma 1·2에서 형식적으로 증명된다.

프로토콜은 세 주체, 즉 제출자(Alice), 비교자(Bob), 그리고 반신뢰 중앙기관(Ted)으로 구성된다. 각 사용자는 자신의 비밀키(α, β)를 무작위 원소와 결합해 ‘좌‑암호’와 ‘우‑암호’를 생성하고, 중앙기관은 이들에 대한 메타데이터를 제공한다. 비교 과정에서는 제출자가 무작위 난수 r을 선택해 자신의 좌‑암호와 결합한 값을 Bob에게 전송하고, Bob은 자신의 우‑암호와 동일한 연산을 수행한다. 최종적으로 두 계산 결과가 동일하면 평문이 동일하다는 증거가 되며, 이때 양측 모두 평문에 대한 어떠한 정보도 얻지 못한다. 프로토콜은 군이 아벨리안이든 비아벨리안이든 동작하도록 설계되었으며, 비아벨리안 경우에도 좌·우 암호를 각각 발급받아 동일한 평문에 대해 두 종류의 암호를 보유할 수 있다.

보안 분석은 다섯 가지 주요 속성을 다룬다. 첫째, ‘거짓 양성’은 서로 다른 평문에 대해 동일한 암호가 우연히 생성될 확률이 군의 크기에 비해 무시 수준임을 보인다. 둘째, ‘거짓 음성’ 역시 프로토콜이 정상적으로 수행될 경우 발생 확률이 통계적으로 0에 가깝다. 셋째, ‘복구 불가능성’은 SAOWF의 강한 일방향성으로 인해 암호문만으로 평문을 추출하거나 비밀키를 역산하는 것이 불가능함을 증명한다. 넷째, ‘연결성(1)’은 중앙기관이 평문을 알더라도 사용자의 비밀키 없이 암호문이 특정 평문에 대응하는지 판단할 수 없음을 보인다. 마지막으로 ‘연결성(2)’는 양쪽 암호문만으로도 두 평문이 동일한지 판단하려면 양측의 비밀키가 모두 필요함을 의미한다. 전체 증명은 확률적 다항 시간(PPT) 공격자를 가정하고, 각 속성이 ‘negligible’ 수준의 성공 확률만을 갖는다는 점을 강조한다.

이 논문은 GII의 존재 자체가 아직 미해결 문제임을 인정하면서도, 기존 연구에서 제시된 후보 구조(예: 결절 이론 기반의 braid group)와 연결해 실용적 구현 가능성을 제시한다. 또한 SAOWF와 GII의 관계를 명확히 함으로써, 향후 암호학적 원시 연산 설계에 새로운 방향을 제시한다. 특히 익명 자격증명(Anonymous Credentials)이나 데이터베이스 집계 문제와 같이 평문 자체를 노출하지 않고 동일성 검증이 필요한 응용 분야에 직접적인 활용이 기대된다.