cs.CR 2011-11-17 23

리스트 디코딩을 활용한 McEliece 키 크기 감소

본 논문은 최신 리스트 디코딩 알고리즘을 이진 고프 코드에 적용해 McEliece 암호의 공개키 크기를 4%에서 21%까지 감소시킬 수 있음을 보인다. 특히, 구조적 공격에 취약한 다이아딕 변형을 보완하여 알려진 모든 공격에 저항하도록 설계하고, 보안 수준을 유지하면서 키 크기를 크게 줄이는 방법을 제시한다.

저자: ** Morgan Barbier ∗, Paulo S. L. M. Barreto † **

본 논문은 코드 기반 암호인 McEliece 시스템의 핵심 문제인 공개키 크기 과다 문제를 해결하고자, 최신 리스트 디코딩 기술을 적용한 새로운 키 축소 방안을 제시한다. 서론에서는 McEliece 암호가 양자 컴퓨터에 대한 저항성을 가지고 있음에도 불구하고, 공개키가 수백 킬로바이트에 달해 실용성이 낮다는 점을 지적한다. 기존 연구들은 순환, 이중 순환, quasi‑dyadic, quasi‑cyclic 등 구조화된 코드를 도입해 키 크기를 줄이려 했지만, 이러한 구조는 Groebner 기반 대수적 공격이나 구조적 해석 공격에 새로운 취약점을 제공했다. 본 논문은 두 가지 주요 기여를 한다. 첫째, 이진 고프 코드에 대한 리스트 디코딩 알고리즘을 최신화한다. Patterson 알고리즘(1975)은 오류 정정 한계 t까지의 유일 디코딩을 제공했지만, Guruswami‑Satdan 알고리즘은 일반 Johnson bound까지, Bernstein‑Patterson 확장은 바이너리 Johnson bound까지 오류를 복구할 수 있다. 특히, Augot‑Barbier‑Couvreur(2010)의 기술은 ‘square‑free’ 이진 고프 코드에 대해 τ₂ = (1‑ε)·(n‑√(n‑4t+2))/2 오류까지 리스트 디코딩을 가능하게 하며, 복잡도는 O(n²·ε⁻⁵)이다. 이 알고리즘은 오류 허용량을 크게 늘려 암호화 단계에서 더 많은 오류를 삽입할 수 있게 함으로써, 공격자가 오류를 복구하려는 시도를 더욱 어렵게 만든다. 둘째, 다이아딕 형태의 고프 코드를 이용한 변형을 보안적으로 강화한다. 기존 다이아딕 변형은 교대 코드 구조를 이용해 키 크기를 크게 줄였지만, Faugère‑Otmani‑Perlich‑Tillich(2010)의 Groebner 기반 공격에 취약했다. 논문은 고프 코드가 교대 코드이면서도 설계 최소 거리 2r+1을 갖는 특성을 이용해, 공격자가 복원한 교대 코드가 실제 고프 코드와 구별되지 않게 만든다. 구체적으로, r+1 > n/r (즉 r·(r+1) > n) 조건을 만족하도록 파라미터를 선택하고, 확장 차수 m을 16 이상으로 크게 잡아 Groebner 연산 비용을 급격히 증가시킨다. 이렇게 하면 현재 알려진 구조적 공격으로는 사설키를 복원할 수 없으며, 기존 다이아딕 변형이 갖던 보안 약점을 효과적으로 차단한다. 실험에서는 일반 McEliece 변형과 다이아딕 변형 각각에 대해 다양한 워크팩터(2⁸⁰, 2¹¹², 2¹⁹², 2²⁵⁶)와 파라미터 조합을 테스트했다. 표 1은 일반 변형에서 리스트 디코딩을 적용했을 때 공개키 크기가 평균 4% 감소함을 보여준다. 예를 들어, 워크팩터 2⁸⁰에서 (m=11, n=187, k=93, r=42)인 경우, 기존 유일 디코딩 키 크기 661,122비트가 리스트 디코딩을 적용하면 11,264비트로 크게 줄어든다. 표 2와 표 3은 다이아딕 변형에 대한 결과를 제시한다. r·(r+1) > n 조건을 만족하도록 설계된 경우, 키 크기 감소율이 14%에서 21%까지 도달한다. 특히, m≥16인 경우에도 키 크기 감소 효과가 유지되며, 확장 차수가 커짐에 따라 파라미터 선택의 자유도가 감소해 키 크기와 보안 수준 사이의 균형을 보다 명확히 잡을 수 있다. 또한, 표 4에서는 디스크리트 로그 기반 시스템(예: RSA, ECC)과의 비교를 제공한다. 보안 수준이 80비트에서 256비트까지 상승함에 따라, McEliece 변형의 키 크기 비율이 점차 감소하여, 고보안 영역에서는 기존 대칭키 기반 시스템과 거의 비슷한 수준의 키 크기를 보인다. 이는 양자 저항성을 갖는 McEliece가 실용적인 대안이 될 수 있음을 시사한다. 결론에서는 리스트 디코딩을 통한 오류 허용량 확대와 다이아딕 변형의 파라미터 조정이 결합되어, 기존 구조적 공격에 대한 방어와 키 크기 감소라는 두 가지 목표를 동시에 달성함을 강조한다. 또한, 리스트 디코딩이 추가적인 구조를 도입하지 않으므로 새로운 공격 벡터를 만들지 않으며, 향후 연구에서는 리스트 디코딩 효율을 더욱 개선하고, 다른 코드 계열(예: quasi‑cyclic, LDPC)에도 적용 가능성을 탐색할 필요가 있음을 제안한다.

원본 논문

고화질 논문을 불러오는 중입니다...

댓글 및 학술 토론

Loading comments...

의견 남기기