원격 투표를 위한 PET 기반 반환 코드 캐스트‑인증 메커니즘

초록

본 논문은 원격 전자투표에서 투표자가 실제 의도한 선택을 확인할 수 있도록, 암호문 동등성 테스트(PET)를 활용한 반환 코드 방식을 제안한다. 임계값 복호화와 분산 신뢰 모델을 결합해 클라이언트의 연산 부담을 최소화하면서 서버 측 비용도 선형적으로 확장된다.

상세 분석

이 논문은 원격 전자투표에서 가장 취약한 ‘cast‑as‑intended’(CAI) 보장을 위해 기존 반환 코드 방식의 한계를 보완한다. 핵심 아이디어는 사전에 암호화된 코드 테이블을 생성하고, 투표 시점에 투표 서버가 해당 테이블과 실제 암호화된 투표를 PET(Plaintext Equivalence Test)로 비교함으로써 투표자가 받은 반환 코드가 자신의 선택과 일치함을 검증하도록 하는 것이다. PET는 제로 지식 프로토콜로, 두 암호문이 동일한 평문을 암호화했는지 여부만을 공개하고 평문 자체는 노출하지 않는다. 이를 통해 투표 서버는 반환 코드를 직접 노출하지 않으면서도 투표자가 선택한 옵션에 대응하는 코드를 제공할 수 있다.

시스템은 ElGamal 암호체계 위에 임계값 키 생성·복호화 메커니즘을 도입한다. n명의 텔러 중 t명 이상이 손상되지 않을 경우, 복호화와 PET 수행이 안전하게 이루어진다. 텔러들은 공개키 pk_e와 코드키 pk_c, 그리고 모든 텔러가 공유하는 보조키 pk_a를 공동으로 생성한다. pk_c는 반환 코드 테이블을 암호화하는 데 사용되며, pk_a는 코드 생성 과정에서 비밀키가 필요 없는 CCA2‑안전한 암호화에 활용된다.

클라이언트 측 연산은 단일 PET 수행에 국한되므로 모바일 기기에서도 실시간으로 처리 가능하다. 기존의 PGD 기반 방식은 후보마다 PET을 수행해 선형적 비용이 증가했지만, 본 설계는 후보 수와 무관하게 한 번의 PET만으로 전체 코드 테이블을 검증한다. 이는 서버 측 부하를 크게 낮추면서도 확장성을 확보한다.

보안 가정은 두 가지 핵심 전제에 기반한다. 첫째, t‑1 이하의 텔러만이 악의적으로 조작될 수 있다는 임계값 신뢰 모델; 둘째, 인쇄 시설과 우편·배달 채널이 신뢰할 수 있다는 전제이다. 두 번째 가정은 대부분의 반환 코드 시스템이 공유하는 약점이며, 실제 배포 시 물리적·법적 보호 조치가 필요하다. 또한, 본 설계는 영수증 자유성(receipt‑freeness)을 제공하지 않으며, 이는 투표자에게 반환 코드를 제3자에게 전달했을 경우 표 매매 위험을 완전히 차단하지 못한다는 점에서 제한점으로 남는다.

논문은 또한 최근 제네바 프로젝트에서 제안된 반환 코드 스킴에 대한 공격을 제시한다. 공격자는 투표 플랫폼을 장악한 상태에서 올바른 반환 코드를 제공하면서도 실제로는 변조된 암호화 투표를 서버에 제출할 수 있다. 이 공격은 기존 스킴이 제로 지식 형태의 형식 검증을 생략했을 때 발생하며, 이를 방어하려면 복잡도 O(k²)인 추가 검증이 필요하지만, 이는 대규모 선거에서 실용성을 크게 저하시킨다.

결론적으로, 본 논문은 PET 기반 반환 코드 메커니즘이 기존 방식에 비해 클라이언트 부하를 최소화하고, 텔러 간 분산 신뢰를 강화하며, 서버 측 비용을 선형적으로 유지한다는 점을 입증한다. 다만, 인쇄 채널 신뢰와 영수증 자유성 부재는 실제 적용 시 보완이 요구되는 부분이다.