향상된 단축 서명 체계 보안 취약점 분석

초록

본 논문은 Su가 제안한 knapsack‑와 쌍선형 페어링 기반의 신원 기반 단축 서명 방식을 검토한다. 무작위 오라클 모델에서 안전하다고 주장했지만, 저자는 해당 스킴이 임의의 신원과 메시지에 대해 서명을 위조할 수 있음을 보인다. 구체적인 공격 절차와 증명을 제시함으로써 기존 설계의 근본적인 결함을 밝힌다.

상세 분석

Su의 단축 서명 스킴은 두 개의 난해한 가정, 즉 일반화된 배낭 문제와 쌍선형 페어링의 어려움을 결합해 보안을 확보한다는 점에서 혁신적으로 보였다. 설계는 신원(ID) 기반으로, 마스터 비밀키와 공개 파라미터를 이용해 각 사용자의 비밀키를 추출하고, 서명 생성 시에는 해시 함수를 무작위 오라클로 모델링한다. 그러나 논문은 이 구조가 실제로는 서로 독립적인 두 가정을 충분히 활용하지 못한다는 점을 지적한다. 핵심은 서명 검증 과정에서 공개 파라미터와 서명 요소 사이에 존재하는 선형 관계를 이용해, 공격자가 임의의 메시지와 임의의 신원에 대해 유효한 서명을 구성할 수 있다는 것이다. 구체적으로, 공격자는 목표 신원의 공개키와 공개 파라미터를 알고 있으므로, 배낭 문제의 해를 직접 계산하지 않아도 된다. 대신, 서명 검증 방정식을 역으로 풀어, 필요한 페어링 값과 해시 출력 값을 조작한다. 이때 무작위 오라클 모델을 가정하므로, 해시 값을 원하는 대로 설정할 수 있어, 서명 생성에 필요한 모든 수식을 만족시키는 값들을 선택할 수 있다. 결과적으로, 공격자는 (σ₁,σ₂,… ) 형태의 서명 벡터를 구성하고, 검증 알고리즘이 이를 정당한 서명으로 받아들인다. 이 공격은 단일 서명에 국한되지 않고, 모든 신원과 메시지에 대해 적용 가능하므로, 스킴 전체가 완전히 깨졌다고 볼 수 있다. 논문은 또한 이러한 취약점이 설계 단계에서 페어링 기반 구조와 배낭 기반 구조 사이의 인터페이스를 명확히 정의하지 않은 데서 비롯된다고 분석한다. 따라서 향후 설계에서는 각 가정이 독립적으로 보안을 제공하도록 구성하거나, 복합 가정 간의 상호작용을 엄격히 검증해야 함을 강조한다.