바이오 IBE 스킴의 보안 결함: 선택평문 공격에 대한 취약성

초록

본 논문은 Yang 등(2011)이 제안한 상수 크기 바이오‑IBE 스킴이 IND‑sID‑CPA 보안조차 만족하지 못함을 보인다. 공격자는 자신이 가진 비밀키로, 거리 기준 d 이하인 임의의 아이덴티티 w′에 대해 암호문을 복호화할 수 있다. 이는 기존 보안 증명의 오류와 스킴 설계상의 구조적 결함을 드러낸다.

상세 분석

Yang et al.이 제시한 바이오‑IBE는 기존 퍼지 IBE 아이디어를 차용해, 사용자 바이오메트릭 속성을 집합 w 로 표현하고, 두 집합 사이의 교집합 크기가 사전 정의된 임계값 d 이상이면 복호화가 가능하도록 설계되었다. 핵심은 추출 단계에서 마스터 시크릿 s 로부터 다항식 q(x)를 생성하고, 각 속성 µ_i 에 대해 d_{i,1}= (g₁·g^{H₁(ID)})^{q(µ_i)} , d_{i,2}= g^{q(µ_i)} 형태의 비밀키 요소를 만든다. 암호화 단계에서는 임의의 r을 선택해 C₁=g^r, C₂=g^{H₁(ID′)·r}, C₃=m·e(g₁,g₂)^r 를 생성한다. 복호화는 교집합 S⊆w∩w′, |S|=d 를 선택하고, 라그랑주 계수 Δ_{µ_i,S}(0) 를 이용해
m = C₃·e(C₂,∏{i∈S}d{i,2}^{Δ_{µ_i,S}(0)}) / e(C₁,∏{i∈S}d{i,1}^{Δ_{µ_i,S}(0)})
와 같이 계산한다.

공격자는 |w∩w′|<d 인 경우에도 비밀키 sk_w 를 획득한다. 이때 공격자는 각 i∈w에 대해 g^{q(µ_i)} 를 d_{i,2} 로, (g₁·g^{H₁(ID)})^{q(µ_i)} 를 d_{i,1} 로부터 복원한다. 특히 d_{i,1}/d_{i,2}^{H₁(ID)} = g^{q(µ_i)} 가 되므로, 공격자는 q(µ_i) 를 간접적으로 얻을 수 있다. 이후 임의의 S⊆w, |S|=d 를 선택하고 라그랑주 계수를 이용해 e(C₁,g^{q(µ_i)})^{Δ}=e(g^r,g^{q(µ_i)})^{Δ}=e(g,g)^{r·q(µ_i)·Δ} 를 계산한다. 결과적으로 C₃를 위 식으로 나누면 m이 그대로 복원된다. 즉, 복호화 식에서 교집합이 존재하지 않아도, 비밀키 자체가 q(·) 값을 포함하고 있기 때문에 공격자는 암호문을 완전히 해독할 수 있다.

이 취약성은 두 가지 근본적인 설계 실수를 드러낸다. 첫째, 비밀키 구성 요소 d_{i,1}, d_{i,2} 가 서로 독립적인 난수라기보다 동일한 다항식 q(·) 에 의존하고 있어, q(·) 를 부분적으로라도 복원하면 전체 암호문을 해독할 수 있다. 둘째, 보안 증명에서 랜덤 오라클 H₁이 입력 (ID) 만을 사용하도록 수정했지만, 실제 복호화 과정에서는 H₁(ID) 와 H₁(ID′) 가 동일하다는 전제가 필요하다. 이는 |w∩w′|≥d 일 때만 보장되므로, 보안 모델과 실제 구현 사이에 불일치가 존재한다.

결과적으로, Yang et al.이 주장한 IND‑sID‑CCA2 보안은 랜덤 오라클 모델 내에서의 시뮬레이션 논증에만 머물렀으며, 비밀키가 암호문 복호화에 직접적인 정보를 제공한다는 구조적 결함을 간과했다. 이는 선택평문 공격(IND‑sID‑CPA)조차 실패함을 의미한다. 보완책으로는 비밀키 요소를 서로 독립적인 난수로 구성하거나, 복호화에 사용되는 라그랑주 계수와 다항식 q(·) 를 공개키와 연계해 복호화에 필요한 정보를 제한하는 방식을 고려해야 한다.