TPM 기반 다중 서명을 위한 비대화형 서명 프레임워크

초록

본 논문은 TPM 2.0 하드웨어 보안을 유지하면서 다중 서명 과정에서 발생하는 인터랙티브 단계와 통신 병목을 제거한다. 사전에 공유된 난수 시드를 활용해 Aggregator가 전역 커밋을 결정적으로 계산하고, 각 TPM은 독립적으로 서명 공유를 생성한다. 결과 서명은 서명자 수에 관계없이 일정한 크기를 유지하며, EU‑CMA 보안을 랜덤 오라클 모델과 이산 로그 가정 하에 증명한다.

상세 분석

PiTPM은 기존 TPM 기반 다중 서명에서 가장 큰 제약인 “커밋‑챌린지‑응답” 라운드의 동기화 요구를 근본적으로 재구성한다. 핵심 아이디어는 각 서명자가 TPM 내부에서 비출력 비밀키를 보관하고, 외부에 노출되지 않는 난수 시드(seed_i)를 사전에 할당받는 것이다. Aggregator는 이러한 시드와 메시지·카운터·서명자 정렬 정보를 입력으로 PRF를 호출해 w_i = PRF(seed_i, M‖ctr‖S) 를 계산하고, g^{w_i} 를 곱해 전역 커밋 R을 만든다. 이 과정은 서명자 간 직접적인 메시지 교환을 필요로 하지 않으며, 오직 Aggregator와의 일방향 요청/응답만으로 진행된다.

보안 측면에서 PiTPM은 두 단계로 위협을 차단한다. 첫째, 비밀키 x_i는 TPM 내부에 영구적으로 봉인돼 외부에 노출되지 않는다. 둘째, Aggregator는 시드와 PRF 결과만을 다루며, 실제 비밀키나 서명 공유 s_i에 접근할 수 없도록 설계되었다. 따라서 Aggregator가 악의적이더라도 서명 결과를 조작하거나 서명자를 속일 수 없으며, 신뢰는 오직 Aggregator의 가용성과 정직한 실행에만 국한된다.

키 집계 과정에서는 seed_agg와 각 pk_i를 결합해 a_i = PRF(seed_agg, pk_i‖L) 를 구하고, 이를 이용해 apk = Σ a_i·pk_i 로 집계 공개키를 만든다. 이 방식은 기존 Schnorr 기반 다중 서명의 rogue‑key 공격에 대한 저항성을 PRF 기반 가중치에 의해 자연스럽게 제공한다. 또한, (t,n) 임계 서명을 지원하도록 확장할 수 있어, 서명자 일부가 탈락해도 사전 정의된 임계값 t 이상이 참여하면 서명이 가능하도록 설계되었다.

성능 평가에서는 전통적인 O(n²) 메시지 교환을 요구하는 프로토콜과 비교해, PiTPM은 Aggregator와의 O(n) 요청만으로 동일한 보안 수준을 유지하면서 서명 생성 시간을 30% 이상 단축하고, 네트워크 대역폭 사용량을 크게 감소시킨다. 다만, Aggregator에 대한 단일 장애점(SPOF) 문제가 존재하며, 이를 완화하기 위해 TPM, TEE, MPC 등 다양한 구현 옵션을 제시한다. 또한, PRF와 해시 함수의 선택이 랜덤 오라클 모델 가정에 크게 의존하므로, 실제 구현 시 충분히 검증된 암호학적 PRF를 사용해야 한다.

종합적으로 PiTPM은 TPM 하드웨어 보안을 손상시키지 않으면서 다중 서명의 인터랙티브 비용을 제거하는 혁신적인 설계이며, 특히 크로스 디바이스 결제, 블록체인 멀티시그, 기업 내부 승인 워크플로우 등에서 실용적 가치를 제공한다.