적응적 보안과 UC를 갖춘 2라운드 효율적 OT 프레임워크

초록

본 논문은 임의오라클 모델(ROM)에서 활성 적응형 공격자에 대해 보안되는, 2라운드(최소 라운드) UC(Universally Composable) 오블리비어스 트랜스퍼(OT) 프로토콜을 제시한다. 프로토콜은 OW‑CPA 보안 공개키 암호(PKE)와 두 가지 특수 속성만을 요구하며, 키 생성 1회, 암호화 2회, 복호화 1회와 몇 차례의 해시 호출만으로 구현된다. 통신량은 공개키 1개, 암호문 2개, 메시지와 동등한 크기의 3개의 비트 문자열 전송에 그친다. 저자는 LPN, McEliece, QC‑MDPC, LWE, CDH 등 다섯 가지 가정 아래 구체적인 구현을 제시하고, 특히 코딩 기반 가정(LPN·McEliece·QC‑MDPC)에서는 최초로 적응적 보안·최소 라운드·저비용을 동시에 달성한다. CDH 기반 구현은 기존의 “Simplest OT”와 거의 동일한 효율성을 유지하면서 적응적 보안을 제공한다.

상세 분석

이 논문의 핵심은 “공개키 공간이 군 구조를 이루고, 두 공개키의 군 연산 결과가 균등하게 선택된 원소 q와 일치하도록 구성할 수 있다면, 해당 두 키 중 하나만이 복호화에 성공한다”는 두 가지 속성(Property 1, 2)을 만족하는 공개키 암호(PKE)를 전제로 한다는 점이다. Property 1은 수신자가 선택한 비트 c에 대응하는 키(pk_c,sk_c)를 생성하고, 임의의 시드 v를 해시해 q를 얻은 뒤, pk_{1‑c}=q⋆pk_c^{-1} 형태로 보조 키를 만든다. 이때 pk_{1‑c}는 실제로는 무작위 원소와 구별되지 않으며, 암호문을 두 개 생성해도 수신자는 자신이 선택한 pk_c에만 복호화할 수 있다. Property 2는 공개키 자체가 랜덤 오라클에 의해 생성된 것처럼 보이게 함으로써 송신자가 pk_c를 통해 수신자의 선택 비트를 추론하는 것을 방지한다.

프로토콜 흐름은 다음과 같다. 1) 수신자 Bob이 (pk_c,sk_c)를 생성하고, 랜덤 시드 s를 해시해 q←H(s) 얻는다. 2) Bob은 pk_{1‑c}=q⋆pk_c^{-1}를 계산하고, (pk_c, s)를 Alice에게 전송한다. 3) Alice는 q와 pk_c를 이용해 pk_{1‑c}를 복원하고, 두 개의 시드 r_0, r_1←H(pk_{1‑c}‖i) (i=0,1) 를 만든 뒤 각각을 원-타임 패드 OTP로 사용해 m_0,m_1을 암호화한다. 4) Alice는 두 암호문 C_0,C_1과 추가적인 해시값들을 Bob에게 전송한다. 5) Bob은 자신의 sk_c와 C_c를 복호화해 m_c를 획득한다.

이 구조는 기존의 절단‑선택(cut‑and‑choose) 방식 없이, 단일 키 생성·암호화·복호화 연산만으로 적응적 보안을 달성한다는 점에서 혁신적이다. 특히, LPN·McEliece·QC‑MDPC와 같은 코딩 기반 가정은 양자 컴퓨터에 대한 저항성을 제공하면서도, 기존 UC‑OT가 요구하던 복잡한 영지식 증명이나 다중 라운드 절차를 필요로 하지 않는다. 저자는 각 가정별 구체적인 파라미터 설정과 효율성을 실험적으로 평가했으며, LPN 기반 구현이 동일 보안 수준에서 수백 배 이상의 속도 향상을 보인다고 보고한다.

CDH 기반 구현은 기존의 “Simplest OT”(Chou‑Orlandi)와 거의 동일한 연산량(2번의 ElGamal 암호화와 1번의 복호화)만을 사용한다. 차이점은 추가적인 두 개의 그룹 원소 전송(공개키와 q)뿐이며, 이는 ROM에서의 해시 기반 랜덤오라클을 통해 보안성을 강화한다. 결과적으로, CDH 기반 프로토콜은 gap‑DH가 필요했던 기존 설계보다 약한 가정(CDH)만으로 적응적 보안을 제공한다.

보안 증명은 ROM에서의 표준 게임-홉 이행을 사용한다. 첫 번째 게임에서는 Property 1에 의해 수신자가 두 메시지를 동시에 얻는 경우를 차단하고, 두 번째 게임에서는 Property 2에 의해 송신자가 선택 비트를 추론하는 확률을 무시할 수 있게 만든다. 최종적으로, 적응적 공격자가 어느 라운드에서도 키를 재사용하거나 복구하려 해도, 랜덤 오라클에 의해 매 라운드 새롭게 생성된 q와 시드가 독립성을 보장하므로 UC 보안이 성립한다.

이 논문은 “2라운드·적응적·UC·ROM”이라는 네 가지 목표를 동시에 만족시키는 최초의 OT 프레임워크를 제시함으로써, 실용적인 보안 프로토콜 설계에 새로운 패러다임을 제시한다.