비트리비얼 영지식 증명은 일방향 함수 존재를 보장한다

초록

본 논문은 NP가 ioP/poly에 포함되지 않는다는 가정 하에, 완전성·음성·영지식 오류의 합이 1보다 충분히 작은 “비트리비얼” 영지식(NIZK 및 상호작용형) 증명만 존재해도 일방향 함수(OWF)의 존재를 유도함을 보인다. 특히, 상수 라운드 공개코인 영지식 인수와 비상호작용형 영지식 인수 모두에 대해 동일한 결과를 얻으며, 이를 통해 약한 NIZK를 표준(거듭 오류 감소 가능한) NIZK로 변환하는 무조건적 증폭 방법을 제시한다.

상세 분석

이 논문은 기존에 영지식 증명과 일방향 함수 사이의 연결고리를 “오류가 거의 없는” 상황에만 제한해 왔던 연구 흐름을 크게 확장한다. 핵심 가정은 NP ⊄ ioP/poly 이라는 전형적인 복잡도 가정이며, 이는 평균‑시간이 아닌 최악‑사례 난이도만으로도 충분함을 의미한다. 저자들은 영지식 인수의 세 가지 오류—완전성 ε_c, 음성 ε_s, 영지식 ε_zk—의 합이 1보다 충분히 작으면(즉, ε_c+ε_s+ε_zk ≤ 1−1/p(|x|) for some polynomial p) 해당 인수가 “비트리비얼”하다고 정의한다.

먼저 비상호작용형(NIZK) 경우를 다룬다. 기존 OW93와 CHK25의 증명은 “보편적 역추출”(Universal Extrapolation, UE)과 “보편적 근사”(Universal Approximation, UA)라는 두 도구가 일방향 함수가 없을 때만 가능함을 이용한다. 이 도구들을 사용해 시뮬레이터와 실제 CRS(공통 참조 문자열)를 교환하면서 증명자를 재구성하고, 완전성·음성·영지식 오류 사이의 관계를 분석한다. OW93는 ε_s+2ε_zk < 1 조건을, CHK25는 ε_zk+2√ε_s < 1 조건을 필요로 했는데, 이는 오류가 크게 허용될 경우 증명 기법이 무너지는 구체적인 반례를 통해 보였다.

논문은 이러한 한계를 극복하기 위해 “반복(repetition) 기법”을 새롭게 설계한다. 구체적으로, 동일한 NIZK 프로토콜을 독립적으로 여러 번 실행하고, 각 실행에서 얻은 CRS와 증명을 다중 집합으로 만든 뒤, 다수결 혹은 임계값 기반 필터링을 적용한다. 이 과정에서 오류가 선형적으로 누적되는 대신, 확률적 독립성을 이용해 전체 오류를 제곱근 수준으로 감소시킨다. 즉, ε_s와 ε_zk가 각각 α, β라면, k번 반복 후 새로운 오류는 ≈ α^k 및 ≈ β^k 형태가 되며, 충분히 큰 k 를 선택하면 α^k+β^k < 1 을 만족한다. 중요한 점은 이 반복 과정이 전적으로 알고리즘적이며, 추가적인 암호학적 가정(예: 공개키 암호) 없이도 구현 가능하다는 것이다.

다음으로 상호작용형(public‑coin) 영지식 인수에 대해 확장한다. 여기서는 프로버와 검증자가 여러 라운드에 걸쳐 메시지를 교환하므로, 각 라운드마다 오류가 누적될 위험이 있다. 저자들은 “공개코인 변환” 기법을 도입해 모든 사설 난수를 공개코인 형태로 바꾸고, 이를 다시 위의 반복 프레임워크에 삽입한다. 또한, “보조 입력 일방향 함수”(auxiliary‑input OWF) 개념을 활용해 사설코인 프로토콜을 공개코인으로 변환하는 과정에서 필요한 최소한의 복잡도 가정을 명시한다. 결과적으로, 비트리비얼 상수 라운드(public‑coin) 영지식 인수 역시 ε_c+ε_s+ε_zk < 1 조건만 만족하면 일방향 함수를 구축할 수 있음을 보인다.

마지막으로, 이러한 결과를 이용해 “약한 NIZK → 표준 NIZK” 증폭을 무조건적으로 수행한다. 기존에는 공개키 암호나 이미 존재하는 일방향 함수가 필요했지만, 본 논문의 결과와 기존 증폭 이론(BG24, AK25)을 결합하면, 비트리비얼 NIZK만으로도 충분히 작은 오류(거의 0에 가까운) NIZK를 얻을 수 있다. 이는 영지식 증명의 설계 자유도를 크게 확대하고, 복잡도‑기반 암호학 연구에 새로운 길을 연다.

전체적으로, 논문은 “오류가 크게 허용되는 영지식 증명도 일방향 함수를 만들 수 있다”는 강력한 선언을 증명하고, 이를 위해 새로운 반복·필터링 기법, 공개코인 변환, 그리고 복잡도‑이론적 도구들을 정교하게 결합하였다.