정수 기반 완전동형암호에 대한 격자 공격 분석

초록

본 논문은 정수 위에 정의된 완전동형암호(DGHV10)의 보안성을 검증하기 위해 LLL·BKZ와 같은 격자 감소 알고리즘을 활용한 휴리스틱 공격을 제시한다. 특정 파라미터 설정(특히 비밀키 비트 길이와 잡음 크기)에서 공격이 성공함을 실험적으로 입증하고, 이를 방어하기 위한 파라미터 조정 및 개선 스킴을 제안한다.

상세 분석

논문은 먼저 DGHV10 스킴의 수학적 구조를 정리한다. 비밀키 p는 큰 소수이며, 암호문 c는 c = m + 2·q + p·r 형태로 생성된다. 여기서 m은 평문 비트, q와 r은 각각 잡음과 무작위 정수이다. 복호화는 c mod p 후 mod 2 연산으로 수행된다. 보안성은 p 와 r 의 크기에 의해 잡음이 충분히 커서 격자 기반의 근사 해 찾기가 어려워야 함을 전제로 한다.

저자들은 이러한 구조를 “근사 공통 모듈러” 문제로 변환한다. 구체적으로, 공격자는 다수의 암호문 c_i 와 대응하는 평문 m_i (또는 추정값)를 이용해 선형 방정식 c_i – m_i = 2·q_i + p·r_i 을 만든다. 이 식들을 행렬 형태로 정리하면, 비밀키 p 와 잡음 r_i 가 포함된 격자 L 이 정의된다. 격자 기반의 LLL 혹은 BKZ 알고리즘을 적용하면, 짧은 벡터(특히 p 에 해당하는 벡터)를 찾을 확률이 잡음 크기와 차원에 따라 크게 달라진다.

실험에서는 파라미터 λ = 80, ρ = 2^30 (잡음 비트 길이)와 η = 2^120 (비밀키 비트 길이) 등 전형적인 설정을 사용했으며, BKZ‑β=40 정도의 베타값으로 30~40차원 격자에서 p를 성공적으로 복구했다. 이는 기존 DGHV 논문이 제시한 보안 경계보다 낮은 파라미터에서도 공격이 가능함을 의미한다. 특히, r 의 비트 길이가 η 보다 작을 경우(즉, r 이 충분히 작을 때) 격자에 포함된 짧은 벡터가 p와 거의 동일한 크기를 갖게 되어 LLL/​BKZ가 쉽게 찾아낸다.

방어 방안으로는 두 가지를 제시한다. 첫째, r 의 비트 길이를 비밀키 η 에 비해 충분히 크게 설정해 격자 차원을 증가시키고, 짧은 벡터와 p 사이의 구분을 모호하게 만든다. 둘째, 암호문 생성 시 2·q 항에 추가적인 난수 s 를 삽입해 c = m + 2·q + p·r + 2·s 와 같이 변형함으로써 격자 구조 자체를 복잡하게 만든다. 이러한 개선 스킴은 실험적으로 기존 공격의 성공률을 5 % 이하로 낮추었다.

결론적으로, 논문은 DGHV10 스킴이 파라미터 선택에 매우 민감함을 강조하고, 격자 기반 공격이 실용적인 위협이 될 수 있음을 증명한다. 제안된 파라미터 조정 및 구조적 변형은 현재의 보안 분석에 기반한 실용적인 방어 메커니즘으로 활용 가능하다.