효율적인 야오 부자 문제 해결을 위한 세 가지 새로운 프로토콜

초록

본 논문은 비협력적이며 반정직(semi‑honest)인 두 당사자를 가정하고, 부분 동형암호, 무신뢰 제3자, 그리고 순서 보존 함수(order‑preserving function)를 활용한 세 가지 비교적 간단하고 효율적인 부자 문제(Yaos Millionaire Problem) 프로토콜을 제안한다. 첫 번째는 4라운드, 두 번의 암호화와 하나의 복호화만으로 동작하며, 두 번째는 입력 비트 길이에 선형적인 통신량을 보이며 사전 입력 크기 제한이 없고, 세 번째는 제3자를 사용하지 않지만 통신량이 이차적으로 증가한다. 각 프로토콜의 복잡도와 보안 논의가 간략히 제시된다.

상세 분석

본 논문이 제시한 세 가지 프로토콜은 기존 연구와 비교했을 때 구현의 단순성에 초점을 맞추고 있다. 첫 번째 프로토콜(A)은 부분 동형암호(PHE)를 이용해 “a−b”와 무작위 마스크 R을 동형 연산으로 결합한 뒤, Bob이 복호화하여 MSB(최상위 비트)를 Alice에게 전달하고, Alice가 R의 MSB와 XOR 연산을 수행해 최종 비교 결과를 얻는다. 이 과정은 4라운드, 2번의 암호화, 1번의 복호화, 그리고 두 번의 동형 연산(뺄셈, XOR)만으로 구성되어 통신·연산 비용이 매우 낮다. 그러나 보안 분석은 “동형암호의 보안에 의존한다”는 수준에 머물며, 마스크 R이 한 번만 사용되는 일회용 패드와 동일하게 안전하다는 주장만 제시한다. 실제로 R이 충분히 큰 난수인지, 그리고 암호문 E(a)와 E(b) 사이의 연산이 부작용 없이 수행되는지에 대한 구체적인 파라미터 설정이 누락돼 실용적인 보안 수준을 판단하기 어렵다.

두 번째 프로토콜(B)는 순서 보존 함수 F를 이용해 입력값을 정수값으로 매핑하고, 이를 무신뢰 제3자(Ursula)에게 전달해 단순 비교를 수행한다. F는 각 비트를 독립적인 함수 f_i(·)로 매핑하고, 가중치가 점점 커지는 형태( f_i(1)−f_i(0) > i−1·∑_{j=1}^{i−1}(f_j(1)−f_j(0)) )를 만족하도록 설계한다. 이 설계는 입력 비트 길이가 서로 다르거나 사전 상한이 없을 때도 동작한다는 장점이 있다. 그러나 F의 구성에 필요한 파라미터 s, k, l을 어떻게 안전하게 공유하고, 제3자가 이 매핑값만으로 입력에 대한 정보를 추론하지 못하도록 보장하는지에 대한 정량적 증명이 부족하다. 특히 “F(a)−F(b) = constant·l” 형태가 공개되면 l을 추정하거나, f_i(·) 값 자체를 역추적하려는 시도가 가능할 수 있다. 논문은 이를 “인수분해의 어려움”에 의존한다는 식으로만 언급하지만, 실제로 l·k가 충분히 큰 소수인지, 그리고 공격자가 F(a)와 F(b) 사이의 차이를 이용해 입력 비트를 복원할 확률을 정량화하지 않는다.

세 번째 프로토콜(C)은 제3자를 배제하고 순수히 양자당사자만으로 비교를 수행한다. 구체적인 절차는 논문에 상세히 기술되지 않았으며, 통신량이 O(n²)라는 언급만 있다. 이는 기존의 O(n) 혹은 O(log n) 통신 복잡도를 갖는 프로토콜에 비해 비효율적이며, 실제 적용 가능성이 낮다. 또한, 이 프로토콜이 어떤 암호학적 기본 가정(예: 완전 동형암호, OT 등)을 필요로 하는지 명시되지 않아, 보안 모델이 모호하다.

전체적으로 논문은 “간단하고 효율적”이라는 목표를 달성하기 위해 구현 단계에서의 세부 파라미터와 보안 증명을 충분히 다루지 않은 점이 가장 큰 약점이다. 특히, 프로토콜 A와 B는 기존 문헌에 이미 존재하는 유사한 구조(예: Paillier 기반 차이 연산, 순서 보존 암호)와 차별화되는 새로운 기법이 명확히 드러나지 않는다. 또한, 반정직 모델을 가정했음에도 불구하고, 악의적인 당사자가 입력을 조작하거나 중간값을 재전송(replay)하는 공격에 대한 방어 메커니즘이 제시되지 않았다. 따라서 이 논문은 아이디어 수준에서는 흥미롭지만, 실용적인 보안 프로토콜로 채택하기 위해서는 보다 엄밀한 보안 증명과 파라미터 설정 가이드가 필요하다.