대칭 원시소재로 만든 서명은 효율 한계에 봉착한다

본 논문은 대칭 원시소재를 이상적인 오라클(랜덤 오라클, 랜덤 순열, 이상 암호)로 모델링했을 때, 일회용 서명 스킴이 가질 수 있는 보안 수준에 대한 근본적인 하한을 제시한다. 저자들은 먼저 “블랙‑박스 보안”이라는 정의를 도입한다. 이는 서명 알고리즘이 오라클에 대해 수행하는 전체 질의 수 q에 대해, 어떤 (계산적으로 무제한인) 공격자라도 T ≤ S 인 모든 T 에 대해 T/S 이상의 성공 확률을 얻을 수 없다는 의미이다. 여기서 S 가 바로 보안 파라미터이며, 논문은 S ≤ 2^{(1+o(1))q} 임을 증명한다. 증명은 크게 두 단계로 구성된다. 첫 번째 단계에서는 임의의 서명 스킴이 키 생성, 서명, 검증 과정에서 오라클에 질의하는 모든 입력을 “쿼리 트리” 형태로 모델링한다. 이 트리는 각 단계에서 오라클이 반환한 값을 기반으로 새로운 질의를 생성하는 구조이며, 전체 질의 수는 q 로 제한된다. 두 번째 단계에서는 공격자가 이 트리를 역추적해 가능한 모든 서명·검증 쌍을 탐색한다. 공격자는 무작위로 오라클에 질의를 수행하면서, 트리의 모든 노드를 커버하려고 시도한다. 이때 필요한 평균 질의 수는 2^{(1+o(1))q} 이며, 이는 트리의 모든 리프(가능한 서명)와 내부 노드(검증 과정)를 포괄하기 위해 필요한 최소 질의 수와 일치한다. 이러한 일반적 상한과 대비해, 저자들은 Lamport의 고전적인 일회용 서명 스킴을 변형하여 상수 α≈0.812 를 얻는다. 구체적으로, 각 비트에 대해 두 개의 프리이미지를 선택하고, 그 프리이미지에 대한 해시값을 공개키에 저장한다. 서명 시 해당 비트에 대응하는 프리이미지만 공개하면 된다. 이 변형은 총 3n 개의 오라클 질의를 사용하지만, 보안은 2^{α·3n}=2^{0.812·q} 에 머문다. 여기서 α는 Shannon 엔트로피 함수 H(c)와 c=(3−√5)/2 의 조합으로 정의되며, 이는 정보 이론적 최적화 결과이다. 논문은 또한 랜덤 순열과 이상 암호 모델에 대해 동일한 분석을 수행한다. 랜덤 순열 오라클은 입력을 무작위 순열로 매핑하고, 이상 암호 오라클은 키와 메시지를 입력받아 무작위 퍼펙트 암호문을 반환한다. 두 경우 모두 오라클 질의가 독립적인 랜덤 함수와 동등하게 동작하므로, 앞서 제시한 2^{(1+o(1))q} 보안 한계가 그대로 적용된다. 이는 실제 블록 암호(AES)나 해시 함수(SHA‑1)와 같은 대칭 원시소재를 일정한 상수 횟수의 오라클 호출로 구현했을 때도 동일한 효율 한계가 존재함을 의미한다. 추가적인 확장으로, 저자들은 (1) 불완전한 완전성(검증자가 유효 서명을 일정 확률로 거부할 수 있음) 상황, (2) 서명·검증 알고리즘의 질의 수를 별도로 고려한 경우, (3) 비블랙‑박스 보안(공격자의 실행 시간 제한)까지 포함한 일반화된 모델을 제시한다. 특히, 불완전한 완전성에서는 공격 성공 확률을 유지하기 위해 추가적인 q² 정도의 질의가 필요함을 보인다. 복잡도 이론과의 연결도 흥미롭다. 저자들은 공격자를 NP‑complete 문제에 대한 오라클을 이용해 다항 시간 내에 구현할 수 있음을 보이며, 만약 q 에 비해 더 높은 보안을 제공하는 서명 스킴이 존재한다면 이는 P=NP 을 의미한다는 강력한 논리를 제시한다. 이는 서명 스킴의 효율성 한계가 단순히 암호학적 가정이 아니라 계산 복잡도 이론과도 깊이 연관되어 있음을 보여준다. 결론적으로, 논문은 대칭 원시소재만을 이용한 일회용 서명 스킴이 근본적으로 비효율적이며, 보안 수준을 높이기 위해서는 최소 Ω(n) 개의 원시소재 호출이 필요함을 증명한다. 이는 기존의 Lamport 서명이나 그 변형이 이미 최적에 가깝다는 것을 의미하며, 대칭 암호와 서명 사이에 존재하는 효율 격차를 이론적으로 뒷받침한다.