키박스 기반 비수출형 키 공유를 위한 UC‑보안 스타 DKG 설계

본 논문은 비수출형 키(NXK) 환경에서 분산키생성(DKG)을 구현하기 위한 새로운 프레임워크를 제시한다. 기존 UC‑보안 DKG는 비밀 공유의 무결성과 일관성을 보장하기 위해 검증가능 비밀 공유(VSS)와 커밋‑오픈, 혹은 NIZK 기반의 검증 레이어를 필수적으로 사용했다. 그러나 이러한 메커니즘은 비밀을 외부에 노출하거나, 리와인(rewind) 기반 추출을 필요로 하여, 키가 하드웨어 격리 모듈(키박스) 안에 고정된 NXK 모델과는 근본적으로 충돌한다. 논문은 이를 해결하기 위해 다음과 같은 핵심 아이디어를 도입한다. 1. **키박스 모델링**: 키박스를 이상적인 기능 𝔽_KeyBox 으로 정의한다. 이 기능은 (a) 비밀 스칼라와 그에 대한 모든 가역적인 affine 변환을 절대 외부에 내보내지 않으며, (b) 오직 인증된 키박스‑투‑키박스 봉인(sealing)만 허용한다. 또한 키박스는 상태 연속성(state continuity)과 키 불투명성(key‑opacity)을 보장한다. 이러한 제약은 전통적인 리와인 기반 추출이 불가능함을 의미한다. 2. **Unique Structure Verification(USV)**: USV는 키박스 내부에서 생성된 비밀 스칼라에 대해 공개 검증 가능한 인증서를 발행한다. 인증서는 공개적으로 검증 가능하지만, 실제 스칼라는 키박스 내부에 남아 있다. 검증자는 인증서만으로 해당 스칼라에 대응하는 공개 군 원소를 트랜스크립트에서 결정적으로 재구성할 수 있다. 이는 VSS에서 제공하던 “공개 커밋” 역할을 대체하면서도 비밀을 절대 노출하지 않는다. USV는 특히 hardened 키박스 프로파일(키 불투명성, 상태 연속성) 하에서 필수적이며, 논문은 USV의 안전성, 비가역성, 그리고 UC‑보안 증명을 정리한다. 3. **Fischlin 기반 UC‑extractable NIZK in gRO‑CRP**: 기존 NIZK는 Fiat‑Shamir 변환을 사용해 리와인 기반 시뮬레이션을 수행한다. 키박스 경계에서는 리와인이 불가능하므로, 저자는 Fischlin 변형을 적용해 증명 생성 시점에 전역 랜덤 오라클을 컨텍스트 제한적으로 프로그래밍한다(gRO‑CRP 모델). 이를 통해 증명자는 affine 관계(예: 공유들의 선형 결합이 특정 값과 일치함)를 증명하면서, 시뮬레이터는 리와인 없이 직선형으로 지식을 추출할 수 있다. 논문은 이 변형이 DL 및 DDH 가정 하에서 UC‑secure NIZK‑AoK를 제공함을 보인다. 4. **Star DKG(SDKG) 설계**: 위 두 도구를 결합해 SDKG 프로토콜을 구성한다. 시스템은 중앙 서비스(P₁)와 다수의 리프 디바이스(Pᵢ)로 이루어진 스타 토폴로지를 갖는다. 각 디바이스는 자체 키박스를 보유하고, 역할에 따라 Primary 혹은 Recovery 공유를 가진다. Recovery 역할은 여러 디바이스에 복제될 수 있지만, 복제 과정에서도 비밀은 절대 외부에 노출되지 않는다. 프로토콜 흐름은 (i) 초기 등록 단계에서 키박스‑투‑키박스 봉인과 USV 인증서 발행, (ii) 공유 생성 단계에서 affine 제약을 Fischlin NIZK로 증명, (iii) 서명 단계에서 중앙 서비스와 하나의 리프가 공동으로 서명 수행, (iv) 복구 단계에서 다른 Recovery 디바이스가 동일한 공유를 사용해 서명 가능하도록 설계된다. 5. **보안 정리**: 논문은 다음과 같은 정리를 제시한다. - **정리 1**: SDKG는 UC‑DKG를 구현함으로써 UC‑RVSS를 암시한다. - **정리 2**: USV 없이는 NXK 환경에서 affine 일관성을 검증할 수 없으며, 이는 정형화된 증명으로 보강된다. - **정리 3**: Fischlin 기반 NIZK는 gRO‑CRP 모델에서 직선형 추출을 가능하게 하여, 리와인 없이도 UC‑시뮬레이션을 달성한다. - **정리 4**: 전체 프로토콜은 𝔽_KeyBox‑하이브리드와 gRO‑CRP 모델 하에서 적응적 부패와 안전한 소거를 허용한다. 6. **복잡도 및 실용성**: 통신량은 O(n log p)이며, 비트 연산은 O(n log²·⁵⁸⁵ p)이다. 1+1‑out‑of‑3 경우 기본 트랜스크립트는 약 11‑13 KiB에 불과해 모바일 환경에서도 충분히 전송 가능하다. 추가 Recovery 디바이스 등록은 O(log p) 통신·연산 비용만 요구한다. 7. **응용 및 확장**: 논문은 SDKG를 멀티디바이스 암호화폐 지갑, 규제된 기업 서명 서비스, 그리고 커밋‑리베일 랜덤 비콘 등 다양한 시나리오에 적용 가능함을 논의한다. 또한, USV와 Fischlin NIZK를 다른 NXK‑기반 프로토콜에 재사용할 수 있는 가능성을 제시한다. 결론적으로, 이 연구는 하드웨어 기반 비수출형 키 격리와 UC‑보안 암호학을 결합해, 기존 VSS‑의 의존성을 완전히 제거하고, 실제 디바이스 환경에서 안전하고 효율적인 분산키생성을 구현할 수 있는 새로운 패러다임을 제시한다.