세 당사자 중 한 명이 변조될 때 정보 이론적 보안 삼자 계산

초록

이 논문은 세 명의 참여자가 서로 쌍방향으로 통신하며 두 명의 입력으로부터 함수를 계산할 때, 한 명이 악의적으로 행동할 수 있는 상황(활동적 공격 모델)에서의 무조건적(정보‑이론적) 보안을 규정한다. 저자는 보안 조건을 정량적으로 정의하고, 해밍 거리 계산을 위한 구체적인 프로토콜을 제시한다. 또한, 기존 BGW 프로토콜이 수동적 모델에서는 안전하지만 활동적 모델에서는 취약함을 증명한다.

상세 분석

본 논문은 세 당사자 A, B, C가 각각 입력 x_A, x_B, x_C(여기서는 C가 입력을 갖지 않음) 를 가지고, A와 B의 입력에 대한 함수 f(x_A, x_B)를 C에게 전달해야 하는 상황을 전제로 한다. 기존 연구에서는 두 명 이상의 정직한 당사자와 하나의 반정직(또는 악의적) 당사자를 가정한 ‘비밀 공유’ 혹은 ‘다중당사자 계산(MPC)’ 모델이 주를 이뤘다. 그러나 대부분은 ‘수동적(반정직)’ 모델에 국한돼, 악의적 당사자가 프로토콜을 따르면서도 내부 정보를 빼내는 경우만을 고려했다.

활동적(Active) 모델에서는 악의적 당사자가 임의의 메시지를 삽입·변조·삭제할 수 있다. 이때 정보‑이론적 보안은 ‘시뮬레이터 존재성’ 조건을 통해 정의된다. 즉, 악의적 당사자가 실제 프로토콜을 수행했을 때 얻는 모든 정보는, 동일한 입력·출력 분포를 갖는 이상적인 ‘신뢰할 수 있는 기능(ideal functionality)’과 상호작용하는 시뮬레이터가 생성한 정보와 통계적으로 구별할 수 없어야 한다. 논문은 이를 정형화하기 위해 다음 세 가지 핵심 조건을 제시한다.

1. 정당성(Correctness): 정직한 두 당사자가 입력을 제공하면, 최종 출력은 정확히 f(x_A, x_B)와 일치한다.
2. 프라이버시(Privacy): 악의적 당사자는 자신의 입력과 출력 외에 어떠한 추가 정보도 얻지 못한다. 이는 ‘시뮬레이터가 악의적 당사자의 관점에서 볼 때 동일한 뷰(view)를 재현할 수 있음’으로 표현된다.
3. 무결성(Integrity): 악의적 당사자는 프로토콜 흐름을 교란하더라도, 정직한 당사자들이 합의된 출력값을 얻도록 강제할 수 없다. 즉, 악의적 당사자는 출력값을 임의로 바꿀 수 없으며, 정직한 당사자들은 언제든지 위반을 감지할 수 있다.

이러한 정의를 바탕으로 저자는 해밍 거리 H(x_A, x_B)=|{i : x_A