거의 완벽한 보안: ε‑강보안과 기하학적 전략

초록

러시아 카드 문제에서 Alice와 Bob이 공개적인 두 단계 발표만으로 서로의 손을 알게 하면서, 도청자 Cath가 어떤 카드가 누구에게 속하는지에 대한 확률 정보를 거의 변하지 않게 하는 ε‑강보안 개념을 제시하고, 기하학적 전략의 변형을 이용해 ε를 임의로 작게 만들 수 있음을 보인다.

상세 분석

본 논문은 기존의 러시아 카드 문제에서 사용되던 ‘약한 보안(weak security)’과 ‘완전 보안(perfect security)’ 사이에 새로운 보안 수준인 ε‑강보안(ε‑strong security)을 정의한다. 약한 보안은 도청자 Cath가 각 카드가 Alice 혹은 Bob에게 속할 확률이 0 혹은 1이 되지 않도록 하는 최소 조건이며, 완전 보안은 발표 전후에 카드에 대한 사후 확률이 전혀 변하지 않도록 요구한다. ε‑강보안은 이 두 조건을 완화하여, 발표 후 사후 확률 P(x∈A | C, Ann)와 사전 확률 P(x∈A | C) 사이의 비율이 1±ε 이내에 머물도록 한다. 즉, Cath가 얻는 정보량을 ε에 비례하는 아주 작은 정도로 제한한다.

이를 달성하기 위해 저자들은 ‘기하학적 전략(geometric strategy)’을 변형한다. 기본 아이디어는 카드 집합 Ω를 유한체 𝔽_q 위의 d 차원 벡터 공간 𝔽_q^d와 일대일 대응시키고, Alice의 a 장 카드가 한 평면(또는 하이퍼플레인) 위에 놓이도록 하는 것이다. Alice는 자신의 손이 어떤 평면에 속하는지에 대한 정보를 공개하고, Bob은 자신의 손에 포함되지 않는 평면을 찾아 Alice의 정확한 손을 복원한다. 중요한 점은 Cath가 자신의 c 장 카드를 포함하는 평면은 제외하고 나머지 평면 중에서 무작위로 선택된다는 점이다.

논문은 이 전략이 ‘공평(equitable)’함을 증명한다. 즉, 각 가능한 손에 대해 가능한 발표의 수가 동일하고, 각 발표가 선택될 확률이 1/m (m은 발표 수)이다. 이 성질을 이용해 사후 확률을 단순히 “가능한 발표 중에서 해당 카드를 포함하는 발표의 비율”로 계산할 수 있다. Lemma 1과 Lemma 2는 이러한 확률 계산을 공식화한다.

다음으로, 유한체와 유한 기하학의 기본 정리를 활용해 평면(또는 k‑차원 부분공간)의 개수와 한 점을 포함하는 평면의 개수를 정확히 셈한다. 이를 통해 발표 집합 A에서 Cath가 보유하지 않은 카드 x가 포함된 발표의 수 |A_x \ C|와 전체 발표 수 |A \ C| 사이의 비율을 구한다. 주요 결과는 적절히 큰 q와 차원 d, 그리고 a, b, c의 비율을 선택하면 |A_x \ C|/|A \ C|가 a/(a+b)에 매우 가깝게 만들 수 있다는 것이다. 즉, ε을 원하는 만큼 작게 만들 수 있다.

마지막으로 저자들은 파라미터 선택 가이드라인을 제시한다. 예를 들어, a = q, b = q·(q − 1), c = q − 1 로 두면 ε ≈ 1/q 가 되며, q를 크게 하면 ε은 임의로 작아진다. 이는 기존의 완전 보안 전략이 요구하는 복잡한 설계(예: 라틴 사각형, 스테인베르크 설계 등)보다 훨씬 간단히 구현 가능함을 의미한다. 또한, Cath가 보유한 카드 수 c가 a·b 비율에 비해 상대적으로 작을 때도 ε‑강보안을 유지할 수 있음을 보인다.

요약하면, 논문은 ε‑강보안이라는 새로운 보안 정의를 도입하고, 기하학적 전략의 변형을 통해 ε을 임의로 작게 만들 수 있음을 수학적으로 증명함으로써, 실용적인 무조건적 보안 통신 프로토콜 설계에 새로운 가능성을 제시한다.