Diffie Hellman 그룹 모델 확장 유한 변형 속성 넘어

초록

본 논문은 기존 심볼릭 검증 도구가 지원하지 못하던 Diffie‑Hellman 군의 지수 덧셈 연산을 포함한 전체 연산을 모델링하고, 이를 Tamarin 프로버에 통합한 반결정 절차를 제시한다. 제한 조건 C1·C2 하에 완전성·음성성을 보증하며, ElGamal의 비밀성 증명과 MQV 공격 재현을 통해 실효성을 입증한다.

상세 분석

이 연구는 심볼릭 암호 프로토콜 검증에서 가장 오래된 난제 중 하나인 Diffie‑Hellman 군 연산의 전반적인 지원을 목표로 한다. 기존 도구들은 지수 승산(exp)과 지수 곱셈(·) 정도만 다루고, 지수 덧셈(+)을 표현하려면 무한히 많은 가장 일반적인 통일자(MGU)가 발생해 통일 문제가 비결정적·무한히 확장되는 문제에 직면한다. 저자들은 Dougherty와 Guttman이 제시한 필드 근사 rewrite 시스템(DH)을 기반으로, 연산을 완전한 정규 형태로 변환하고, 그 위에 AC(결합·교환) 정규화를 적용해 결정성을 확보한다. 핵심 아이디어는 “그룹 원소에 대한 연산을 제외한 서브터미널은 기존 Tamarin의 통일 알고리즘으로 처리하고, 남은 부분은 선형 방정식 체계로 변환해 가우스 소거법으로 해결한다”는 것이다. 이를 위해 논문은 두 가지 가정(C1, C2)을 도입한다. C1은 모든 그룹 원소가 동일한 생성원 g의 거듭제곱 형태(g^e)로 표현된다는 전제이며, 이는 실제 프로토콜에서 흔히 만족한다. C2는 검증하려는 보안 속성의 목표식에 포함된 서브터미널이 서로 상쇄되지 않는다는 조건이다. C2가 위배될 경우에도 도구는 공격을 찾으면 실제 공격으로 인정하지만, 증명이 성공할 경우에는 상쇄되는 서브터미널을 수동으로 검증해야 한다는 점을 명시한다.

기술적으로는 Σ_DH라는 서명에 G(그룹 원소)와 E(지수) 두 정렬을 두고, ·, exp, +, *, inv, µ 등 기본 연산을 정의한다. rewrite 규칙은 비AC 규칙을 좌측→우측으로 정향하고, AC 정규화와 결합해 정규 형태를 보장한다. 정규 형태는 지수는 “단항들의 합”, 그룹 원소는 “단항들의 곱” 형태가 된다. 이러한 정규화는 Tamarin의 제약 해결 단계에서 기존의 통일 기반 규칙을 그대로 사용하면서, 새로 도입된 “DH‑algebraic” 규칙을 통해 선형 방정식 집합을 생성한다. 방정식은 변수와 상수(예: g, 1)만 포함하므로, 가우스 소거법으로 효율적으로 해결 가능하다.

논문은 이 절차가 소리와 완전성을 보장함을 정리 4와 정리 5를 통해 증명한다. 소리는 새로운 제약 규칙이 기존 Tamarin의 증명 논리와 호환됨을 의미하고, 완전성은 C2가 만족될 때 목표식이 도달 불가능하면 반드시 어떤 서브터미널이 도출 불가능함을 보인다.

실험에서는 ElGamal 암호화와 MQV 키 교환 프로토콜을 모델링하였다. ElGamal의 경우 비밀성(시크리티)과 무결성(인증) 목표를 수 분 내에 자동 증명했으며, MQV에서는 알려진 작은 키 교환 공격을 재현해 도구가 공격을 탐지함을 확인했다. 특히, MQV 공격은 지수 덧셈과 그룹 원소 곱셈이 복합적으로 사용되는 경우에만 나타나므로, 기존 도구로는 검증이 불가능했다.

이 연구는 심볼릭 검증 도구가 수학적으로 풍부한 Diffie‑Hellman 구조를 다룰 수 있게 만든 최초 사례이며, 향후 타 원시적 연산(예: 타원곡선 위의 복합 연산)에도 동일한 접근법을 확장할 가능성을 제시한다. 또한, C2 조건을 완화하거나 자동화하기 위한 추가 연구(예: 상쇄 검출 알고리즘)도 향후 과제로 남긴다.