LWE 기반 영지식 식별 프로토콜의 설계와 분석

초록

본 논문은 학습 오류 문제(LWE)의 난이도를 기반으로 두 가지 영지식 식별 스키마를 제안한다. 첫 번째는 2/3의 사운드니스 오류를 갖는 3-라운드 프로토콜이며, 두 번째는 1/2 오류를 갖는 2-라운드 프로토콜이다. 두 스키마 모두 커밋먼트와 무게 보존 변환(Πγ,Σ)을 활용해 완전성, 사운드니스, 통계적 영지식성을 증명한다. 또한 링‑LWE를 이용해 연산 효율과 키 크기를 크게 개선한다.

상세 분석

논문은 LWE 문제의 최악‑사례 대 평균‑사례 감소가 제공하는 강력한 보안 근거를 식별 프로토콜에 적용한다는 점에서 의미가 크다. 첫 번째 스키마는 전통적인 Stern‑계열 프로토콜을 LWE 환경에 맞게 변형했으며, 공개키 (A, b, p)와 비밀키 (s, e)를 이용해 세 개의 커밋먼트를 생성한다. 커밋먼트는 Πγ,Σ 변환을 통해 해시‑같은 충돌 저항성을 유지하면서도 해밍 무게를 보존한다. 검증자는 {1,2,3} 중 하나를 무작위로 선택하고, 프로버는 해당 챌린지에 맞는 개방 정보를 제공한다. 사운드니스 증명은 챌린지를 2/3 이상 맞출 수 없다는 퍼즐‑볼레트 원리를 활용하고, 만약 2/3 + ε 이상의 성공 확률을 보이면 LWE 비밀 (s, e)를 복구하거나 커밋먼트 충돌을 찾을 수 있음을 보인다. 이는 LWE의 난이도와 직접 연결된다. 영지식성은 시뮬레이터가 검증자의 챌린지를 미리 예측하고, 필요한 경우 재시작(rewind)하여 실제 프로토콜과 동일한 분포의 트랜스크립트를 생성함으로써 통계적으로 구분 불가능함을 증명한다.

두 번째 스키마는 기존 1/2 사운드니스 식별 프로토콜을 LWE 기반으로 재구성한다. 여기서는 추가적인 행렬 A⊥를 도입해 A·A⊥ = 0을 만족시키고, y = A⊥e 라는 관계를 이용해 커밋먼트를 만든다. 프로버는 무작위 벡터 u와 스칼라 α를 사용해 두 개의 커밋먼트를 전송하고, 검증자는 α에 대한 응답 β = Πγ,Σ(u + αe)를 받아 챌린지를 선택한다. 챌린지 1에서는 커밋먼트 c₁을, 챌린지 2에서는 c₂를 개방한다. 사운드니스 증명은 동일하게 챌린지를 두 번 이상 맞출 경우 e를 복구하거나 커밋먼트 충돌을 찾을 수 있음을 보이며, 이는 LWE 비밀을 풀어내는 것과 동치이다.

효율성 측면에서 논문은 링‑LWE(또는 폴리노미얼 링) 구조를 활용해 행렬‑벡터 곱을 FFT 기반으로 가속하고, 키와 커밋먼트 크기를 O(n) 수준으로 축소한다. 이는 기존 격자 기반 식별 스키마에 비해 메모리와 연산량을 크게 절감한다. 또한, 커밋먼트 스킴은 통계적 히든성을 제공하는 동시에 선형 변환에 대해 충돌 저항성을 유지하도록 설계되었으며, 이는 LWE 기반 보안 모델과 자연스럽게 호환된다.

전체적으로 논문은 LWE의 양자 저항성을 식별 프로토콜에 직접 연결함으로써, 기존 SIS·Stern 기반 스키마보다 더 강력하고 실용적인 대안을 제시한다. 보안 증명은 전통적인 퍼즐‑볼레트와 시뮬레이터 재시작 기법을 적절히 결합했으며, 구현상의 최적화를 위해 링 구조와 가중치 보존 변환을 도입한 점이 특히 주목할 만하다.