비양자 암호를 위한 GL(8,F251) 기반 일반화 엘가말 암호

초록

본 논문은 비양자 저항성을 목표로 GL(8, F₍₂₅₁₎) 비가환 일반선형군 위에 일반화 엘가말 암호를 설계한다. 하드 서브그룹 멤버십 탐색 문제와 일반화 대칭 분해 문제(GSDP)를 기반으로 하며, 64비트 보안(또는 GL(16)에서는 127비트)을 제공한다. 연산이 모두 251의 소수체 내에서 이루어져 빅넘버 라이브러리 없이 스마트폰·스마트카드와 같은 제한된 환경에 적합하다.

상세 분석

이 논문은 기존의 양자 저항성 후보인 격자, 코드, 다항식 기반 체계와는 달리, 비가환 군 구조를 활용한 새로운 비대칭 암호 설계에 초점을 맞춘다. 핵심 아이디어는 GL(8, F₂₅₁)이라는 8×8 일반선형군을 선택함으로써, 행렬 곱셈이 비가환성을 보장하고, 동시에 연산 복잡도를 251이라는 작은 소수체 내에서 제한한다는 점이다. 논문은 먼저 일반화 디피-헬만 키 교환을 정의한다. 여기서 참여자 A와 B는 각각 비가환 군의 원소 a, b와 비밀 지수 α, β를 선택하고, 공개값 A = g^α·a, B = g^β·b를 교환한다. 이후 공유 비밀 K = (g^β·b)^α·a⁻¹와 같은 형태로 계산되며, 이는 전통적인 DH와 달리 행렬의 좌·우 곱이 서로 다른 순서로 적용돼 복구가 어려운 구조를 만든다.

보안 가정은 두 가지 문제에 기반한다. 첫 번째는 서브그룹 멤버십 탐색 문제(Subgroup Membership Search Problem, SMSSP)로, 주어진 행렬이 특정 하위군에 속하는지를 찾는 것이 비가환 군에서는 NP‑hard 수준으로 추정된다. 두 번째는 일반화 대칭 분해 문제(GSDP)로, 주어진 행렬 X와 두 개의 공개 행렬 Y, Z에 대해 X = Y·S·Z 형태의 숨은 행렬 S를 찾는 문제이다. 이 두 문제는 양자 알고리즘인 쇼어 알고리즘이나 변형된 쇼어‑베이커 알고리즘으로도 효율적으로 해결되지 않는다.

키와 파라미터의 재귀적 업데이트 메커니즘도 눈에 띈다. 각 세션이 시작될 때마다 기존 비밀 행렬과 공개 행렬을 새로운 지수와 결합해 갱신함으로써, 이전 세션의 암호문이 미래 세션에 재사용될 위험을 최소화한다. 이는 전통적인 엘가말에서 발생할 수 있는 키 재사용 공격을 방지한다.

성능 측면에서는 모든 연산이 Z₂₅₁ 내에서 수행되므로, 8×8 행렬 곱셈은 64개의 모듈러 곱셈과 56개의 덧셈으로 구현된다. 이는 일반적인 2048비트 RSA나 ECC 대비 메모리와 연산량이 현저히 낮아, 저전력 마이크로컨트롤러나 스마트카드에 직접 구현 가능함을 의미한다. 보안 수준은 군의 차원과 소수체 크기에 따라 조정 가능하며, GL(16, F₂₅₁)으로 확장하면 127비트 보안을 제공한다.

전체적으로 이 논문은 비가환 군을 활용한 새로운 비대칭 암호 설계의 가능성을 제시하고, 실용적인 구현 환경을 고려한 설계 선택을 통해 제한된 하드웨어에서도 양자 저항성을 확보할 수 있음을 입증한다. 다만, SMSSP와 GSDP의 정확한 복잡도 분석이 부족하고, 실제 양자 컴퓨터에 대한 보안 실험이 부재한 점은 향후 연구 과제로 남는다.