보안 합산 프로토콜을 이용한 카드 정보 교환

초록

세 명의 플레이어가 각각 a, b, c장의 카드를 가지고 있을 때, a와 b가 서로의 카드를 공개하지 않으면서 정보를 교환할 수 있는 조건을 연구한다. 특히 c = 1이고 a, b > 2인 경우, 가장 작은 소수 p ≥ a + b + c에 대해 각자가 카드 합을 p로 나눈 나머지를 발표하면 상대방은 전체 카드 배치를 알 수 있지만, 제3자(Cath)는 어떤 카드가 누구에게 있는지 알 수 없다.

상세 분석

본 논문은 “러시안 카드 문제”라 불리는 고전적인 비밀 교환 상황을 대수적·조합론적 관점에서 재조명한다. 카드 집합을 0 ~ d‑1( d = a + b + c) 의 정수 모듈러 그룹 Z/(d) 로 식별하고, 각 플레이어가 자신이 가진 카드들의 합을 특정 정수 n(≥d) 에 대해 모듈러 연산한 값을 공개한다는 ‘n‑ModSum’ 프로토콜을 정의한다. 핵심은 두 가지 성질을 만족시키는 n을 찾는 것이다. 첫째, 발표가 **정보적(informative)**이어야 하여 Alice와 Bob이 서로의 전체 손패를 복원할 수 있어야 한다. 이는 c = 1일 때 자동으로 만족한다; 왜냐하면 두 발표값과 전체 합을 알면 남은 한 장, 즉 Cath의 카드를 즉시 구할 수 있기 때문이다. 둘째, 발표가 **안전(secure)**해야 하여 Cath가 어떤 카드가 Alice 혹은 Bob에게 속하는지 추론할 수 없어야 한다. 이를 위해 저자는 “모든 a + b‑1개의 카드 집합 S에 대해, 크기 a와 b인 부분집합 A, B가 존재하여 Pₙ(A)=Pₙ(B)=x (임의의 x) 가 되도록” 하는 조건을 제시한다. 이 조건을 만족시키는 충분조건으로, d가 소수일 때 Erdős‑Heilbronn 추측(후에 Dias da Silva와 Hamidoune에 의해 증명)으로부터 얻은 |Sₙ(A)| ≥ min{d, n|A|‑n²+1} 를 이용한다. 결과적으로 a·b‑2a‑b‑c+1 ≥ 0 와 a·b‑2b‑a‑c+1 ≥ 0 라는 부등식이 보안성을 보장한다는 정리를 얻는다.

특히 c = 1인 경우, 위 부등식은 a > 2, b > 2와 동치가 된다. 따라서 a, b > 2이고 d = a + b + 1이 소수이면, d‑ModSum 프로토콜은 완전한 보안과 정보를 동시에 제공한다. d가 소수가 아닐 때는 “가장 작은 소수 p ≥ d”를 선택해 p‑ModSum을 수행하는 LPModSum 프로토콜을 제안한다. Bertrand’s postulate와 Nagura’s theorem을 이용해 p가 d와 충분히 가깝다는 점을 보이고, a, b ≥ 3 (단, (3,4,1)·(4,3,1) 제외) 에서는 언제든지 적절한 p를 찾아 위의 부등식을 만족시킬 수 있음을 증명한다.

논문은 또한 기존 연구와의 차별점을 강조한다. 기존의 ‘디자인’ 기반 해결책은 복잡한 조합 구조를 필요로 했지만, 본 접근법은 단순히 두 개의 합산 발표만으로 문제를 해결한다. 또한, 비밀 비트 교환(bit‑exchange) 문제와 연결해, 한 번의 합산 발표가 “Alice가 카드 i를 가지고 있다”는 비밀 비트를 양측이 공유하게 함을 보여준다.

결론적으로, 카드 수가 적당히 크고 Cath가 한 장만 가질 때, 가장 작은 소수 모듈러를 이용한 합산 발표는 정보 교환과 보안을 동시에 만족하는 최적의 프로토콜임을 수학적으로 확증한다.