효율적인 ID 기반 공개 검증 서명암호화와 제3자 검증

초록

본 논문은 신원 기반(ID) 공개 검증 서명암호화(IBPSC) 체계를 제안한다. 제안된 스킴은 서명과 암호화를 하나의 연산으로 결합하고, 수신자가 별도의 비밀키 없이도 제3자에게 서명·암호문의 진위를 증명할 수 있다. 보안은 랜덤 오라클 모델에서 IND‑CCA2 기밀성 및 EUF‑CMA 위조 방지를 q‑BDH 가정에 기반해 증명한다. 기존 작업에 비해 연산량이 감소하고, 전방 비밀성 및 공개 검증 특성을 동시에 제공한다.

상세 분석

이 논문은 최근 관심을 받고 있는 공개 검증 서명암호화(public verifiable signcryption) 분야에 신원 기반(ID) 방식을 적용한 새로운 스킴을 제시한다. 핵심 아이디어는 기존의 “sign‑then‑encrypt” 혹은 “encrypt‑then‑sign” 방식이 갖는 두 번의 공개키 연산을 하나의 연산으로 압축하고, 수신자의 개인키를 노출하지 않은 채 제3자에게 서명·암호문의 유효성을 검증할 수 있게 하는 것이다.

먼저, 시스템 설정 단계에서 신뢰된 개인키 생성자(PKG)는 두 개의 타원곡선 그룹 G₁, G₂와 쌍선형 페어링 e: G₁×G₁→G₂를 선택한다. 마스터 비밀키 s∈ℤₚ*와 공개키 P=s·P₀를 생성하고, 해시 함수 H₁…H₄를 랜덤 오라클로 정의한다. 사용자 ID에 대해 개인키 D_ID = (s·H₁(ID)+H₂(ID))·P₀, 공개키 Q_ID = H₁(ID)·P₀+H₂(ID)·P 로 계산한다.

서명암호화(IBPSC) 과정은 송신자 A가 임의의 r∈ℤₚ*를 선택하고 R=r·P, S=r·Q_B를 계산한다. 이후 메시지 m과 ID들을 해시하여 γ₁, γ₂, γ₃ 등을 만든 뒤, 최종 암호문 σ = (c,R,S,T) 를 생성한다. 여기서 c는 H₃(·) 로부터 얻은 대칭키를 이용해 m을 XOR한 값이며, T는 γ₁·P와 같은 형태의 점이다.

수신자 B는 IBPUSC 알고리즘으로 σ를 입력받아 R,S,T를 이용해 γ₁′,γ₂′,γ₃′을 재계산하고, 페어링 검증 e(T,R)=e(P,R)·e(Q_A,R)·… 와 같은 식을 통해 서명의 진위를 판단한다. 검증이 성공하면 m을 복원한다.

제3자 검증(TP‑Verify) 단계는 수신자가 제공한 (σ,γ₁,γ₂)와 송신·수신자 ID만으로도 동일한 페어링 검증을 수행한다. 즉, 수신자의 개인키를 전혀 사용하지 않으며, 공개키와 해시값만으로 서명의 정당성을 확인할 수 있다. 이는 “공개 검증”과 “제3자 검증”을 동시에 만족하는 특수한 구조라 할 수 있다.

보안 모델은 두 가지 게임을 정의한다. 첫 번째는 IND‑IBPSC‑CCA2(기밀성)이며, 적은 송신자 키는 알 수 있지만 수신자 키는 제한적으로만 접근한다. 두 번째는 EUF‑IBPSC‑CMA(위조 방지)이며, 적은 서명암호문을 생성하지 못하도록 한다. 두 게임 모두 랜덤 오라클 모델에서 q‑BDH 문제와 q‑CAAP 가정을 이용해 어드버스의 성공 확률을 ε 이하로 제한한다. 논문은 시뮬레이터 B를 구성해 어드버스 A가 성공하면 B가 q‑BDH 인스턴스를 풀 수 있음을 보이며, 이를 통해 보안성을 증명한다.

효율성 측면에서, 서명암호화 단계는 하나의 랜덤값 r, 두 번의 점곱, 두 번의 해시, 그리고 한 번의 페어링 연산을 필요로 한다. 복호화/검증 단계는 두 번의 페어링과 몇 차례의 해시 연산으로 구성된다. 기존의 ID 기반 공개 검증 서명암호화(예: Selvi et al., 2014)와 비교했을 때 페어링 수가 동일하거나 약간 감소했으며, 추가적인 TP‑Verify 오라클을 도입하지 않아 구현이 단순해진다.

하지만 논문에는 몇 가지 한계도 존재한다. 첫째, 표기와 설명이 매우 혼란스러워 실제 구현 시 오류 가능성이 높다. 둘째, 보안 증명은 q‑BDH와 q‑CAAP에 전적으로 의존하는데, q‑CAAP는 실용적인 근거가 약하다. 셋째, 전방 비밀성(forward secrecy) 주장에 대한 형식적인 정의와 증명이 부족하다. 마지막으로, 제3자 검증이 실제 응용에서 얼마나 필요한지에 대한 구체적인 시나리오 제시가 부족하다. 그럼에도 불구하고, 공개 검증과 제3자 검증을 동시에 만족하면서 연산량을 최소화한 점은 학술적 가치가 있다.