공개키 보안을 강화한 McEliece 변형

이 논문은 McEliece 암호가 30년 넘게 안전성을 유지해 왔지만, 공개키가 비밀 코드와 단순히 퍼뮤테이션 행렬 P 에 의해 변환된다는 구조적 약점 때문에 Reed‑Solomon(GRS)과 같은 고전적인 코드군이 사용되지 못한 점을 지적한다. 이러한 코드들은 최대 거리 분리 가능성(MDS) 특성으로 인해 키 크기를 크게 줄이거나 동일 키 크기에서 보안 수준을 높일 수 있는 잠재력을 가지고 있다. 그러나 기존의 구조 복원 공격, 특히 Sidelnikov‑Shestakov 공격은 공개키에 퍼뮤테이션 형태가 남아 있으면 비밀 코드의 대수적 구조를 쉽게 추출할 수 있다. 이를 해결하기 위해 저자들은 퍼뮤테이션 행렬 P 를 일반적인 밀집 변환 행렬 Q 로 교체한다. Q 는 두 부분 R (밀집)과 T (희소)로 구성되며, R 은 비밀 행렬 집합 A, B 의 외적 합으로 정의된다. 구체적으로 R = Σ a_i·b_i^T 이며, w=2인 경우 a₁ = a, a₂ = 0 또는 b₂ = 1 + b₁ 로 제한해 R 의 랭크를 z 로 고정한다. 이렇게 하면 R 은 비밀이면서도 복호화 시 e·R 이 0이 되도록 설계될 수 있다. 희소 행렬 T 는 평균 행·열 가중치 m ( m ≪ n )을 갖는 비특이 행렬이다. m 이 정수이면 m 개의 일반 퍼뮤테이션 행렬을 겹치지 않게 합성하고, 유리수이면 ⌊m⌋ 또는 ⌈m⌉ 가중치를 갖는 거의 정규 행렬을 만든다. 이때 δ_t = t - ⌊t·m⌋ 개의 가중치‑2 행이 오류 전파를 초과하지 않도록 제한한다. 구체적인 실패 확률 P_f 은 조합론적 식(11)으로 추정되며, 설계 가이드라인으로는 (1) δ_t 개 이하의 열만 가중치 >1 으로 제한하는 것이 가장 효율적이라고 제시한다. 제안된 시스템은 두 형태로 구현된다. McEliece 버전에서는 비밀 생성 행렬 G, 스크램블 행렬 S, 변환 행렬 Q 를 사용해 공개키 G' = S^{-1}·G·Q^{-1} 을 만든다. 암호화는 x = u·G' + e 이며, 복호화 시 x·Q = u·S^{-1}·G + e·Q 를 얻고, e·Q 가 e·T 또는 보정된 형태로 감소함을 이용해 기존 선형 복호화 절차를 그대로 적용한다. Niederreiter 버전에서는 패리티 검증 행렬 H 에 동일 변환을 적용해 H' = S^{-1}·H·Q^{T} 을 공개키로 사용한다. 암호화는 오류 벡터 e 의 신드롬 x = H'·e^{T} 이며, 복호화는 x·S = H·(e·Q)^{T} 를 통해 e·T 를 복구하고, 최종적으로 원문을 얻는다. 보안 분석에서는 첫째, 정보 집합 디코딩(ISD) 공격에 대한 저항성을 평가한다. 오류 무게가 t_pub = ⌊t·m⌋ 이므로 공격 복잡도는 기존 대비 m 배 증가한다. 둘째, 변환 행렬 Q 와 희소 행렬 T 의 구조가 무작위 행렬과 구별 가능한지 여부를 검증한다. R의 비가역성 및 T의 희소성으로 인해 통계적 구별이 어려워, 기존의 디스팅거 기반 공격이 무력화된다. 또한, a·e^{T}=0 제약을 공개키에 포함시키는 경우 발생할 수 있는 약점을 논의하고, a를 비공개로 유지하거나 제약을 완화하는 방안을 제시한다. 키 크기 비교에서는 GRS 코드를 사용함으로써 동일 보안 수준에서 기존 Goppa 기반 McEliece 대비 5~10배 정도 키 길이를 감소시킬 수 있음을 실험 결과와 함께 제시한다. 복호화 연산은 여전히 O(nk) 수준의 행렬 곱과 선형 코딩 디코딩에 머물러, RSA 대비 훨씬 빠른 성능을 유지한다. 마지막으로, 제안된 변형은 CCA2 보안을 위한 변형(예: Fujisaki‑Okamoto)과도 자연스럽게 결합될 수 있음을 언급한다. 전체적으로, 퍼뮤테이션을 일반 밀집 변환으로 대체하고, 오류 전파를 정밀히 제어함으로써 공개키의 구조적 정보를 크게 숨기면서도, 기존 McEliece 시스템의 효율성과 양자 저항성을 보존한다. 이는 Reed‑Solomon 등 고성능 코드의 재도입을 가능하게 하여, 실용적인 포스트‑양자 암호 설계에 새로운 가능성을 제공한다.