CCZ 변환 보안 허점과 Pesto 다변량 스킴 분석

초록

Pesto 스킴은 비밀 2차 다변량 다항식에 CCZ 변환을 적용해 공개키를 4차 다항식으로 만든다. 본 논문은 공개 4차 시스템을 효율적으로 2차 시스템으로 변환할 수 있음을 보이며, CCZ 변환이 실제 보안 향상을 제공하지 않을 가능성을 제시한다.

상세 분석

본 논문은 다변량 암호 체계인 Pesto의 구조적 약점을 심층적으로 탐구한다. Pesto는 비밀 지도 F가 2차 다항식으로 구성되고, 이를 두 개의 무작위 선형 전단 A₁, A₂와 CCZ 변환 T(x,y)=x+q(y) (q는 2차 다항식)으로 결합해 공개 지도 G_pub=A₁∘G∘A₂를 만든다. 여기서 G=(x−q(y), U(x−q(y),y))이며, U는 Oil‑and‑Vinegar(OV) 구조를 갖는 2차 시스템이다. CCZ 변환을 적용하면 공개 다항식의 차수가 4차까지 상승하지만, 저자들은 두 가지 방법—선형대수 기반 Gröbner‑basis 알고리즘과 Higher Order Linearization Equations(HOLE)—을 통해 차수 4 다항식을 차수 2 다항식으로 효율적으로 축소할 수 있음을 증명한다.

첫 번째 방법에서는 Macaulay 행렬의 4차 블록을 이용해 구성 가능한 다항식 공간 V_{F,4}를 계산하고, Lemma 1을 통해 각 4차 방정식이 x−q(y)와 2차 이하의 보정항으로 동치임을 보인다. 이를 기반으로 Theorem 1은 임의의 선형 전단 A₁, A₂에 대해서도 동일한 동치 관계가 유지된다는 것을 보여준다. 두 번째 방법인 HOLE는 고차 선형화 방정식을 구성해 변수들의 2차 곱을 새로운 선형 변수로 치환함으로써 차수 감소를 달성한다. 복잡도 분석에 따르면, m≤n인 경우 HOLE 기반 알고리즘은 O(n⁷) 시간 안에 변환을 완료한다.

이러한 변환이 가능하다는 사실은 Pesto의 보안 가정에 직접적인 타격을 입힌다. 기존 보안 분석에서는 4차 다항식이 Gröbner‑basis 계산 시 높은 solving degree를 유발해 공격을 어렵게 만든다고 주장했지만, 차수 감소 기법을 적용하면 solving degree가 2차 수준으로 낮아져 기존의 2차 다변량 공격(예: Kipnis‑Shamir, OV 특화 공격)과 일반적인 Gröbner‑basis 기반 공격이 모두 적용 가능해진다. 따라서 CCZ 변환이 제공하는 “차수 상승” 효과는 구조적 관점에서 실질적인 보안 강화로 이어지지 않는다.

논문은 또한 파라미터 선택에 대한 실험 결과를 제시한다. t≈n/3, s>0와 같은 권장값이 여전히 필요하지만, 차수 감소 기법이 적용되면 이러한 선택조차도 보안에 큰 영향을 미치지 않는다. 결국, Pesto는 CCZ 변환을 사용하더라도 비밀 지도와 공개 지도 사이에 존재하는 대수적 연관성을 완전히 숨기지 못한다는 결론에 도달한다.