타원곡선 위 메시지 매핑과 EC RSA ElGamal 암호 체계

초록

본 논문은 RSA 알고리즘의 난이도를 이용해 메시지를 소수체 위 타원곡선의 점으로 안전하게 매핑하는 새로운 확률적 방법을 제시하고, 이를 EC‑ElGamal과 결합한 ‘EC‑RSA‑ElGamal’ 암호 체계를 설계한다. 매핑 과정에서 RSA 비밀키가 필요하도록 함으로써 IFP와 ECDLP 두 문제에 동시에 의존하는 복합 보안성을 목표로 한다.

상세 분석

논문은 먼저 타원곡선(Elliptic Curve, EC)과 RSA, EC‑ElGamal의 기본 원리를 정리하고, 기존의 Koblitz‑style 매핑 방식이 “점 → 메시지” 복구가 쉬워 보안에 취약함을 지적한다. 이를 보완하기 위해 저자는 두 개의 소수 q, r을 선택해 n = q·r을 구성하고, RSA 공개키 (e, n)와 비밀키 d를 이용해 메시지 M을 먼저 RSA 암호화한 값 x = M^e mod n을 만든다. 이후 x가 타원곡선 방정식 y² = x³ + ax + b (mod p)의 오른쪽 항을 만족하는지 검사하고, 만족하면 (x, y) 를 메시지에 대응되는 점으로 채택한다. 복구 과정에서는 RSA 비밀키 d를 사용해 M = x^d mod n을 계산하도록 설계되었다.

이 설계는 다음과 같은 핵심 특징을 가진다.

1. 이중 난이도 기반 보안: 공격자는 점 (x, y)만으로는 x를 구할 수 없으며, x를 구하더라도 RSA 비밀키 d 없이는 M을 복원할 수 없다. 따라서 IFP(정수인수분해)와 ECDLP(타원곡선 이산대수문제) 두 문제에 동시에 의존한다.
2. 확률적 매핑: x가 곡선 위에 존재하지 않을 경우, RSA 공개키 e를 바꾸거나 새로운 q, r을 선택해 다시 시도한다. 이는 매핑 성공 확률을 ½ 정도로 제한하지만, 실제 구현에서는 반복 횟수가 크게 늘어날 수 있다.
3. 키 크기 충돌: RSA 모듈러스 n은 최소 1024비트 이상이어야 안전하다고 가정한다. 반면 EC‑ElGamal에서 효율적인 연산을 위해서는 소수 p가 비교적 작아야 한다(예: 256~384비트). 논문은 “M < n < p”라는 부등식을 제시하지만, 실제로는 n이 p보다 크게 되면서 연산 비용이 급증한다는 모순을 내포한다.
4. 실용성 부족: 매핑 단계에서 RSA 암호화·복호화와 타원곡선 연산을 동시에 수행해야 하므로 구현 복잡도가 높다. 또한, 점 (x, y)만을 전송하고 RSA 비밀키를 안전하게 공유해야 하는데, 비밀키 관리가 별도 RSA 시스템에 의존하게 된다.
5. 보안 분석 부재: 논문은 RSA와 ECDLP의 난이도에 의존한다고 주장하지만, 구체적인 보안 증명이나 복합 공격 시나리오(예: 사이드채널, 선택적 암호문 공격 등)에 대한 논의가 전혀 없다. 또한, 매핑 과정에서 발생할 수 있는 “점 충돌”(다중 메시지가 동일한 x 값을 가질 가능성)도 다루지 않는다.

결론적으로, 제안된 방법은 이론적으로는 두 난이도 문제를 결합한 복합 보안을 제공한다는 흥미로운 아이디어를 제시하지만, 키 크기 불일치, 매핑 성공 확률 저하, 구현 복잡성 및 보안 증명 부재 등 실용적인 한계가 크게 남아 있다. 향후 연구에서는 키 파라미터 선택을 최적화하고, 매핑 성공률을 높이는 deterministic 혹은 보다 효율적인 해시‑to‑curve 기법을 도입하며, 복합 보안 모델에 대한 형식적 증명을 제공하는 것이 필요하다.