합성 자유곱 기반 공개키 프로토콜

초록

본 논문은 브레이드 군 B와 톰슨 군 T의 합성 자유곱에 지수 2인 영군 H를 끼워 넣어, 디피‑헬만 방식과 유사한 공개키 교환 프로토콜을 설계한다. 군론적 구조와 영군의 특성을 이용해 계산적 난이도와 보안성을 분석하고, 구현상의 고려사항을 논의한다.

상세 요약

논문은 먼저 브레이드 군 B와 톰슨 군 T가 각각 비가환이며, 복잡한 단어 문제와 공액 문제를 갖는다는 점을 강조한다. B는 Artin 군으로서 매듭 이론과 암호학에서 널리 활용되며, T는 무한히 많은 비동형 자동동형을 가진 유명한 단순 군이다. 두 군을 합성 자유곱(Free Product with Amalgamation)으로 결합하면, 각 군의 구조적 복잡성이 그대로 보존되면서도 새로운 원소가 생성된다. 여기서 핵심은 H라는 영군을 두 군의 공통 부분군으로 지정하는데, H는 지수 2인 영군으로서 모든 원소가 자신의 역원과 동일하다. 이는 합성 자유곱 G = B *_{H} T 에서 H가 중앙화된 역할을 하게 하여, 특정 연산(예: a·h·a^{-1}=h)에서 계산을 단순화한다.

프로토콜 설계는 Diffie‑Hellman의 아이디어를 그대로 차용한다. 사용자는 B와 T의 공개 생성자 집합을 선택하고, 개인 비밀키를 해당 군의 임의 원소로 설정한다. 공개키는 비밀키와 선택된 공개 생성자를 이용해 G 내에서 거듭된 합성 자유곱 연산을 수행한 결과물이다. 두 사용자가 서로의 공개키를 교환하면, 각각은 자신의 비밀키와 상대방의 공개키를 결합해 동일한 공유 비밀 원소 K를 도출한다. K는 H의 비자명 원소를 포함하도록 설계되어, H의 영성(모든 원소가 자신의 역원) 때문에 K = K^{-1} 성질을 갖는다.

보안성 분석에서는 주로 세 가지 난이도 문제를 제시한다. 첫째, 합성 자유곱 G 내에서 주어진 원소를 H와의 곱으로 분해하는 문제(Amalgamated Word Problem)는 일반적인 자유곱보다 더 어려운 것으로 알려져 있다. 둘째, 공액 탐색 문제(Conjugacy Search Problem)는 B와 T 각각에서 이미 NP‑hard 수준으로 추정되며, 합성 자유곱에서는 이 문제가 더욱 복합화된다. 셋째, H가 지수 2인 영군이라는 특수성 때문에, K를 추출하려면 H의 비자명 원소를 식별해야 하는데, 이는 서브그룹 결정 문제(Subgroup Membership Problem)와 연관된다. 논문은 이러한 문제들이 현재 알려진 양자 알고리즘(예: Shor 알고리즘)에도 취약하지 않다고 주장한다.

실제 구현 측면에서는 원소의 표기와 연산 비용이 큰 장애물이다. 브레이드 군의 경우 표준적인 Garside 구조를 이용해 정규형을 구할 수 있지만, 톰슨 군은 트리 기반 자동동형을 사용해야 하며, 두 군을 동시에 다루는 자료구조는 아직 충분히 최적화되지 않았다. 또한 H가 영군이므로, 원소를 저장할 때 비트 플래그 하나만으로도 충분하지만, 합성 자유곱 전체에서의 축소 규칙(reduction rules)을 효율적으로 적용하려면 복잡한 문자열 재작성 시스템이 필요하다.

논문은 마지막으로 기존의 비가환 공개키 체계(예: Ko‑Lee‑Cheon‑Han‑Kang의 브레이드 기반 암호)와 비교해, 합성 자유곱 방식이 키 길이와 연산 복잡도 측면에서 비슷하거나 약간 높은 비용을 요구하지만, 구조적 다양성으로 인해 새로운 공격 벡터에 대한 저항성이 향상된다고 결론짓는다. 다만, 실제 보안 수준을 검증하려면 더 많은 실험적 분석과 표준화된 보안 모델링이 필요하다는 점을 강조한다.