포스트양자 영지식 인증: 비가환 대수와 GSDP 기반 프로토콜

초록

본 논문은 비가환 행렬군에서 일반화된 대칭 분해 문제(GSDP)를 일방향 함수로 활용한 영지식 인증 프로토콜을 제안한다. GSDP의 난이도가 현재 알려진 양자·고전 알고리즘으로는 해결되지 않아 포스트양자 암호(PQC) 범주에 속한다는 가정 하에, Alice와 Bob 사이의 인증 절차를 5단계로 설계하고, 완전성·음성·영지식 세 가지 ZKP 조건을 만족한다고 주장한다.

상세 분석

이 논문은 비가환 대수 구조를 이용한 영지식 인증이라는 흥미로운 아이디어를 제시하지만, 기술적인 완성도는 현저히 부족하다. 첫째, 사용되는 “일반화된 대칭 분해 문제(GSDP)”가 정확히 무엇인지 정의가 모호하다. 논문 본문에 삽입된 기호들의 나열은 의미를 파악할 수 없으며, 기존 문헌에서 GSDP가 어떤 문제인지, 어떤 복잡도 클래스로 귀속되는지에 대한 근거가 전혀 제시되지 않는다. 따라서 “GSDP는 비가환 대수에서 계산적으로 어려운 문제”라는 전제는 검증되지 않은 가정에 불과하다.

둘째, 프로토콜의 수학적 구조가 불명확하다. 공개키와 비밀키는 대각 행렬과 임의의 비정규 행렬을 이용해 생성된다고 서술하지만, 구체적인 행렬 연산(예: 행렬 곱, 역행렬, 지수 연산)의 정의와 그 연산이 군의 폐쇄성을 유지하는지 여부가 설명되지 않는다. 특히 “두 행렬이 같은 직교 기저를 공유하면 교환한다”는 주장(§III) 은 선형대수학적으로 일반적으로 성립하지 않으며, 이를 보장하기 위한 추가 조건이 누락되었다.

셋째, 영지식 증명의 완전성·음성·영지식 조건을 만족한다는 증명은 형식적인 시뮬레이터 알고리즘만을 나열하고, 실제 확률적 분석이나 시뮬레이션 결과를 제공하지 않는다. 특히 음성(soundness) 분석에서 “챌린지 비트 b=1일 때만 비밀키가 필요하다”는 점은 공격자가 b=0을 유도하도록 프로토콜을 변조할 가능성을 배제하지 못한다. 또한, 시뮬레이터가 “임의의 증언 S와 질문 Q를 생성”한다는 설명은 전형적인 Σ-프로토콜의 시뮬레이션과 동일하지만, GSDP 기반의 일방향 함수가 시뮬레이션에 어떻게 영향을 주는지 전혀 다루지 않는다.

넷째, 보안 파라미터 선정이 부실하다. 논문은 d=8, p=251 (즉, GF(2^51) 위의 8차 행렬)으로 64비트 보안을 제공한다고 주장한다. 그러나 비가환 행렬군의 구조적 특성(예: 행렬 차수, 고유값 분포) 때문에 실제 공격 복잡도는 훨씬 낮을 수 있다. 또한, “d=16이면 127비트 보안”이라는 주장도 실험적 근거 없이 단순히 비트 길이를 두 배로 늘린 것에 불과하다.

다섯째, 구현 및 효율성에 대한 논의가 전혀 없다. 행렬 연산은 특히 큰 차원에서 비용이 많이 드는 연산이며, 인증 과정에서 여러 번의 행렬 곱과 역행 연산이 요구된다. 실제 시스템에 적용하려면 연산량, 통신량, 메모리 요구사항 등에 대한 정량적 평가가 필수적인데, 논문은 이를 전혀 제공하지 않는다.

마지막으로, 기존 연구와의 차별성이 모호하다. 비가환 그룹 기반의 Diffie‑Hellman, braid 그룹, polycyclic 그룹 등 다양한 포스트양자 후보가 이미 제시되어 왔으며, 논문이 인용한