McEliece 암호 시스템의 CCA2 안전 변형

이 논문은 코드 기반 암호의 대표주자인 McEliece 공개키 암호 시스템을 적응형 선택 암호문 공격(IND-CCA2)에 안전하게 변형하는 방법을 제안한다. 서론에서는 CCA2 안전성이 현대 공개키 암호 시스템의 사실상 표준 요구사항임을 지적하며, McEliece 시스템이 양자 내성과 효율성에도 불구하고 표준 모델에서 CCA2 안전 구성이 부재했던 문제를 제기한다. 본론은 예비 지식과 제안 방안으로 구성된다. 먼저, 공개키 암호 시스템의 형식적 정의와 IND-CPA, IND-CCA2 안전성 정의를 재정의한다. 이어서 기본 McEliece 암호 시스템을 설명하는데, 여기서는 오류 벡터 생성 방식을 해밍 무게 t의 균일 분포에서 베르누이 분포 Bθ로 변경한 변형을 사용한다. 이 변경은 후속 증명을 위한 기술적 편의를 제공한다. 또한 McEliece 시스템의 안전성 기반이 되는 두 가지 핵심 가정을 상세히 논의한다: 생성 행렬 G의 의사 난수성 가정과 LPN(Learning Parity with Noise) 문제의 난이도 가정이다. 논문의 핵심은 Rosen과 Segev의 '상관된 곱' 개념에서 착안한 'k-반복 CPA 안전 암호 시스템'이라는 새로운 개념을 도입하고, 이를 McEliece 시스템에 적용하는 것이다. 제안된 구성은 다음과 같다: 1. 키 생성: 기존 McEliece 키 생성 알고리즘을 k번 독립적으로 실행하여 k개의 공개키-사설키 쌍 (pk1, sk1), ..., (pkk, skk)을 생성한다. 2. 암호화: 암호화할 메시지 m에 대해, k개의 공개키 각각으로 McEliece 암호화를 수행한다. 즉, ci = Enc_McE(pki, m; ri)를 계산하고, 최종 암호문은 C = (c1, c2, ..., ck)가 된다. 3. 복호화: 수신된 암호문 C의 각 구성 요소 ci를 대응하는 사설키 ski로 복호화한다. 모든 k개의 복호화 결과가 동일한 메시지 m'을 출력할 경우에만 m'을 유효한 평문으로 수락한다. 그렇지 않으면 오류(⊥)를 출력한다. 저자들은 이 변형된 시스템이 k-반복 CPA 안전성을 가짐을 증명한다. 증명은 McEliece 행렬의 의사 난수성과 LPN 문제의 난이도를 기반으로 한다. 특히, k개의 암호문 구성 요소가 모두 동일한 메시지를 암호화한 것이라는 '상관' 관계가 공격자에게 추가적인 정보를 제공하지 않음을 보인다. 이 k-반복 CPA 안전 시스템은 일반적인 변환 기법을 통해 최종적으로 IND-CCA2 안전성을 갖는 암호 시스템으로 변환될 수 있음이 알려져 있다. 결론적으로, 이 연구는 표준 모델 하에서 CCA2 안전성을 제공하는 최초의 McEliece 기반 암호 시스템을 제시함으로써, 양자 내성 암호 분야의 실용성을 한 단계 높였다. 다만, 키와 암호문 크기가 k배 증가하는 오버헤드가 발생하며, 이는 향후 연구를 통해 최적화되어야 할 과제로 남는다. 이 작업은 코드 기반 암호화의 이론적 기반을 강화하고, 양자 시대를 대비한 암호 기술 발전에 기여한다.