펑크처드 릿치멀러 코드를 활용한 새로운 서명 스킴

초록

본 논문은 기존 CFS 서명 체계의 한계를 극복하기 위해, 펑크처와 랜덤 삽입을 적용한 Reed‑Muller(RM) 코드를 기반으로 한 서명 알고리즘을 제안한다. 완전 디코딩(재귀적 코사트 디코딩)을 이용해 오류 가중치 w = t+δ 를 조정함으로써 서명 성공 확률을 높이고 서명 시간을 단축한다. 또한, 수정된 RM 코드가 Minder‑Shokrollahi, Chizhov‑Borodin, Square‑Code 등 알려진 공격에 저항하도록 설계되었으며, 공개키가 임의 행렬과 구별 불가능하다는 가정 하에 EUF‑CMA 보안을 증명한다.

상세 분석

이 연구는 코드 기반 디지털 서명 분야에서 가장 오래된 CFS(Courtois‑Finiasz‑Sendrier) 체계의 구조적 결함을 보완하려는 시도로 시작한다. CFS는 고율 Goppa 코드를 사용하지만, 오류 정정 한계 t 가 작아 서명 시도 횟수가 t! 에 비례해 급증하고, 공개키 행렬이 임의 행렬과 구별 가능하다는 점에서 EUF‑CMA 보안이 약화된다. 논문은 이러한 문제를 두 가지 축으로 해결한다. 첫째, Reed‑Muller(RM) 코드의 완전 디코딩 능력을 활용한다. RM 코드는 재귀적 코사트 디코딩을 통해 주어진 syndrome에 대해 최소 해밍 가중치를 갖는 코사트 리더를 효율적으로 찾을 수 있다. 이는 기존 Goppa 코드가 제공하는 t 이하 오류만 복구하는 제한을 넘어, w = t+δ (δ≥0) 범위의 오류까지 복구 가능하게 하여 서명 성공 확률을 1/t! 에서 실질적으로 크게 향상시킨다. 둘째, RM 코드 자체가 갖는 구조적 취약점(특히 Minder‑Shokrollahi와 Chizhov‑Borodin 공격)을 차단하기 위해 ‘펑크처(puncturing)’와 ‘랜덤 삽입(random insertion)’을 결합한다. 펑크처는 생성 행렬 G의 일부 열을 삭제함으로써 parity‑check 행렬 H의 행·열을 동시에 제거하고, 그 자리에 무작위 비트 벡터를 삽입해 구조적 패턴을 무효화한다. 이렇게 변형된 H는 기존 공격이 의존하는 코드의 고유 다항식이나 최소 거리 정보를 숨겨, 공격자가 S, H, Q와 같은 비밀키를 복원하는 것을 방지한다. 또한, Square‑Code 공격에 대비해 삽입된 열이 무작위이므로, 행렬의 제곱 구조를 이용한 구별이 불가능하도록 설계되었다. 보안 증명에서는 (i) 변형된 parity‑check 행렬이 임의 행렬과 통계적으로 구별될 수 없다는 가정, (ii) syndrome decoding 문제의 NP‑complete 난이도, (iii) 서명 과정에서 사용되는 해시와 카운터 i가 랜덤 오라클 모델 하에서 독립적이라는 점을 이용해 EUF‑CMA 보안을 전형적인 게임‑하이브리드 방식으로 귀결한다. 파라미터 선택 측면에서는 오류 가중치 w 과 최대 서명 시도 횟수 N 을 조절함으로써 서명 시간(평균 N·복호화 비용)과 보안 수준(전산 복호화 공격에 대한 복잡도) 사이의 트레이드오프를 명시적으로 제시한다. 실험 결과는 Goppa 기반 CFS 대비 서명 성공률이 10배 이상 향상되고, 키 사이즈는 비슷하거나 약간 증가하지만, 보안 강도는 기존 대비 크게 상승함을 보여준다. 전체적으로 이 논문은 코드 기반 서명 체계에서 ‘완전 디코딩 + 구조적 난독화’라는 두 축을 결합함으로써, 양자 저항성을 유지하면서 실용적인 서명 효율성을 확보한 새로운 설계 패러다임을 제시한다.