LDLC 기반 GGH 공개키 암호의 효율성 및 보안 강화

초록

본 논문은 기존 GGH 공개키 암호의 큰 키 길이와 낮은 보안성을 LDLC(저밀도 격자 코드)를 이용해 개선한다. 공개키는 LDLC의 생성 행렬을 정규형(Hermite Normal Form)으로 변환해 사용함으로써 키 크기를 크게 줄이고, LDLC의 선형 복호화 알고리즘을 적용해 복호화 복잡도를 낮춘다. 또한, Poltyrev 한계 이하의 분산을 갖는 특수 가우시안 교란 벡터를 도입해 알려진 GGH‑like 공격에 대한 저항성을 확보한다.

상세 요약

GGH 암호는 격자 기반 암호 중 최초의 실용적 구현으로, 비밀키는 짧은 기저, 공개키는 긴 기저 행렬을 사용한다. 그러나 공개키 행렬이 n × n 차원에서 비정규 형태이기 때문에 키 길이가 O(n²)로 급증하고, 복호화 단계에서 Babai 근사법을 적용해도 근사 오차가 커져 보안 파라미터를 크게 늘리기 어렵다. 논문은 이러한 구조적 한계를 LDLC의 특성을 활용해 근본적으로 바꾸고 있다. LDLC는 희소한 역행렬을 갖는 격자 코드로, 각 변수 노드가 제한된 수의 체크 노드와 연결되어 있어 메시지 전달 기반의 선형 복호화가 O(n) 복잡도로 수행된다. 저자들은 LDLC의 생성 행렬 G를 Hermite Normal Form(HNF)으로 변환한 뒤 이를 공개키로 채택한다. HNF는 정수 행렬을 상삼각 형태로 정규화하면서 행렬 자체의 랭크와 결정자를 보존하므로, 공개키를 저장할 때 불필요한 중복 정보를 제거해 키 길이를 O(n log ‖G‖) 수준으로 감소시킨다. 비밀키는 원래의 저밀도 기저와 HNF 변환에 사용된 unimodular 행렬 U를 보관하는 형태로 구성되며, U는 역행렬을 통해 빠르게 복원 가능하다.

복호화 과정에서는 전통적인 GGH가 사용하는 “가우시안 잡음” 대신, Poltyrev 한계 이하의 분산 σ²를 갖는 가우시안 교란 벡터 e를 선택한다. Poltyrev 한계는 무한 격자 채널에서 오류 없이 복호화가 가능한 최대 잡음 전력으로, 이를 초과하면 디코딩 오류가 급격히 증가한다. 논문은 σ² ≤ σ²_Pol = (Vol(Λ))^{2/n}/(2πe) 조건을 만족하도록 e를 설계함으로써, LDLC의 선형 복호화가 정확히 원래 메시지 벡터를 복원하도록 보장한다. 이때 복호화는 단순히 y = c + e(공개키와 교란을 합친 암호문)에서 HNF 행렬을 이용해 정수 근사값을 구하고, U⁻¹을 곱해 원래 메시지를 회복하는 절차이며, 전체 복잡도는 O(n)이다.

보안 분석에서는 기존 GGH에 대한 LLL 기반 기저 약화 공격, Coppersmith‑type 근사 해석 공격, 그리고 최근 제안된 “dual lattice” 공격을 재검토한다. HNF 공개키는 unimodular 변환에 의해 격자 구조가 보존되지만, 행렬 자체가 희소하고 결정자가 크게 증가함에 따라 LLL이 효율적으로 약화시키기 어려워진다. 또한, Poltyrev 한계 이하의 교란 벡터는 잡음 크기가 충분히 작아 “small‑norm” 공격이 적용되기 어렵게 만든다. 저자들은 실험적으로 n = 256, 512 차원에서 2⁻⁸⁰ 수준의 성공 확률을 보이며, 기존 GGH 대비 키 길이는 70 % 이상 감소하고 복호화 시간은 50 % 이하로 단축된 것을 보고한다. 이러한 결과는 LDLC 기반 GGH가 실용적인 키 관리와 높은 보안 마진을 동시에 제공함을 시사한다.