보안 다자 계산의 통신 복잡도 하한 연구

초록

본 논문은 3인 파티 모델에서 정보이론적 보안 다자 계산(MPC)의 통신 복잡도에 대한 새로운 하한 기법을 제시한다. 잔여 정보에 대한 데이터 처리 부등식, 3당사자 프로토콜을 위한 새로운 정보 부등식, 그리고 입력 분포 전환(distribution switching) 기법을 활용하여 다양한 함수에 대해 통신-이상적인(protocol‑ideal) 하한을 얻고, 일부 함수는 기존 모델보다 더 많은 통신이 필요함을 명시적으로 보여준다. 또한, 이러한 통신 하한이 무작위성 요구량에도 직접적인 하한을 제공함을 증명한다.

상세 분석

논문은 먼저 3개의 파티(Alice, Bob, Charlie) 중 두 명이 각각 입력 X와 Y를 가지고, 세 번째 파티가 출력 Z를 받아야 하는 전형적인 보안 계산 모델을 설정한다. 이때 모든 파티는 쌍방향 비밀 채널을 통해 자유롭게 상호작용할 수 있으며, 보안 요구는 (i) Charlie가 Z의 분포만을 알게 되고, (ii) Alice와 Bob은 서로의 입력에 대한 추가 정보를 얻지 못하며, (iii) Charlie는 Z 외에 X, Y에 대한 정보를 얻지 못하도록 하는 것이다.

핵심 기법은 세 가지로 나뉜다. 첫째, 잔여 정보(residual information) 를 이용한 데이터 처리 부등식이다. 이는 상호 정보와 Gács‑Körner 공통 정보의 차이를 측정하며, 공유 비밀(share)와 실제 통신 트랜스크립트 사이의 정보량 차이를 정량화한다. 이를 통해 각 링크의 트랜스크립트 엔트로피가 비밀들의 조건부 엔트로피보다 반드시 크다는 강력한 하한을 도출한다(정리 1).

둘째, 분포 전환(distribution switching) 기법이다. 보안 조건이 트랜스크립트 분포를 입력에 독립적으로 만들도록 강제함을 이용해, 최악의 입력 분포를 선택해 하한을 최적화한다. 즉, 모든 완전 지원(full‑support) 입력 분포에 대해 동일한 하한이 성립하도록 함으로써, 프로토콜이 입력 분포에 의존하더라도 하한이 유지됨을 보인다(정리 2).

셋째, 3‑당사자 상호작용 프로토콜에 대한 새로운 정보 부등식이다. 기존의 CMSS(다중 비밀 공유) 하한은 공유가 전역적인 딜러에 의해 생성될 때만 적용되지만, 실제 MPC에서는 메시지가 순차적으로 생성된다. 논문은 Lemma 4에서 이 상호작용 구조를 활용한 부등식을 제시하고, 이를 통해 CMSS 하한을 강화한 정리 3을 얻는다.

이러한 도구들을 조합해 저자는 여러 함수에 대해 통신‑이상적(protocol‑ideal) 하한을 증명한다. 예를 들어, 그룹 덧셈, 제어된 소거(controlled‑erasure), 원격 OT 등은 각 링크가 최소 필요 비트 수만큼만 전송하도록 설계된 프로토콜이 존재함을 보인다. 반면, AND 함수와 같이 공유 크기는 작지만 어떤 보안 프로토콜에서도 트랜스크립트 길이가 반드시 더 커야 함을 보이며, 이는 비밀 공유와 보안 계산 사이의 근본적인 차이를 강조한다.

마지막으로, 통신 하한이 무작위성 요구량에도 직접적인 하한을 제공한다는 점을 강조한다. 즉, 특정 함수에 대해 최소 통신량을 달성하려면 그에 상응하는 최소량의 공통 무작위성(randomness)이 필요함을 정리 4와 정리 5에서 증명한다. 이는 기존 연구에서 무작위성 비용을 별도로 분석하던 흐름과 달리, 통신 복잡도와 무작위성 비용을 통합적으로 다루는 새로운 관점을 제시한다.