다중 TA 기반 일회성 신원 기반 집합 서명 보안 분석

초록

본 논문은 다중 신뢰기관(MTA) 구조를 이용한 일회성 신원 기반 집합 서명(MTA‑OTIBAS) 스킴을 제시하고, 해당 스킴이 임의 선택 메시지 공격(EUF‑CMA) 하에서 랜덤 오라클 모델과 공동 이산 로그 문제(co‑CDH) 가정 하에 존재론적 위조에 대해 안전함을 증명한다.

상세 분석

본 연구는 기존의 ID‑기반 서명과 집합 서명 기법을 결합해, 여러 하위 신뢰기관(TA)에서 발급된 일회성 개인키를 이용해 서명을 생성하고, 이 서명들을 하나의 짧은 집합 서명으로 압축할 수 있는 MTA‑OTIBAS 스킴을 설계한다. 핵심 설계는 쌍선형(pairing) 기반 군 G₁, G₂, G_T와 가역 동형사상 ψ:G₂→G₁을 활용한다. 루트 TA는 마스터 비밀키 κ와 공개키 y=g₂^κ를 생성하고, H₀, H₁ 두 해시 함수를 랜덤 오라클로 모델링한다. 하위 TA는 자체 비밀키 κ_i와 공개키 y_i=g₂^{κ_i}를 가지고 루트 TA로부터 인증서 cert_{T_i}를 받아야 한다. 사용자는 자신의 신원 ID_j와 하위 TA의 인증서를 입력으로 H₀(ID_j,0), H₀(ID_j,1) 두 개의 군 원소 id_{j,0}, id_{j,1}을 얻고, 이를 κ_i와 곱해 개인키 (s_{j,i,0}, s_{j,i,1})를 만든다. 서명 과정에서는 H₁(m,ID_j,cert_{T_i})=h_k를 구하고 σ_k = s_{j,i,0}·h_k^{s_{j,i,1}} 형태의 서명을 만든다. 집합 서명은 단순히 σ_i들을 곱한 Ω=∏σ_i 로 정의되며, 검증자는 e(Ω,g₂)와 ∏{i∈I’ℓ} e(id{i,0}·id{i,1}^{h_i}, y_ℓ) 를 비교한다.

보안 증명은 EUF‑CMA 게임을 정의하고, 공격자가 성공할 확률 ε를 가정하면, 시뮬레이터(챌린저)가 co‑CDH 인스턴스 (g₁^a, g₂^b) 로부터 g₁^{ab}를 계산할 수 있음을 보인다. 증명은 해시 함수에 대한 시뮬레이션, 하위 TA 설정, 개인키 추출, 서명 생성 과정을 적절히 “코인 플립”(확률 δ)으로 구분해, 공격자가 특정 코인 조합에 의해 실제 비밀키를 얻지 못하도록 설계한다. 특히, 코인 값이 1인 경우에만 가짜 해시값을 제공해 시뮬레이터가 목표 군 원소 g₁^{ab}를 포함하도록 만든다. 최종적으로, 포리지는 적어도 하나의 미사용 개인키와 연관된 서명을 포함해야 하며, 이 조건을 이용해 시뮬레이터는 검증 방정식에서 g₁^{ab}를 추출한다. 성공 확률은 ε′ ≥ (4·e²·(q_C+q_E+q_S+n+2)²)·ε 로 하한을 갖고, 시간 복잡도는 원본 공격 시간 τ에 O(q_H0+q_L+q_S)·τ_{G₁} 를 더한 형태이다.

이와 같이 논문은 설계 단계에서 일회성 개인키 사용 제한, 다중 TA 간 인증서 분리, 그리고 집합 서명의 효율적 검증을 통해 실용성을 확보하면서, 보안 측면에서는 기존 ID‑기반 서명보다 강력한 공동 위조 저항성을 제공한다는 점을 입증한다.