격자 기반 선형 동형 서명 완전 보안 구현

초록

본 논문은 SIS 문제의 난이도에 기반하여 표준 모델에서 선형 동형 서명 스킴을 설계하고, 기존보다 강력한 보안 모델을 정의한 뒤, 그 모델 하에서 스킴이 완전(타이트) 보안을 만족함을 증명한다.

상세 분석

이 연구는 2016년 Boyen‑Li가 제시한 “SIS 기반 선형 동형 서명을 표준 모델에서 타이트하게 보안화할 수 있는가?”라는 질문에 대한 최신 답변이라 할 수 있다. 기존 작업들—특히 Chen(2024)이 제시한 거의 타이트한 보안 스킴—은 보안 모델이 표준 적응형 EUF‑CMA보다 약했으며, 실제 공격 시나리오를 충분히 포괄하지 못했다. 저자들은 두 단계의 보안 모델을 설계한다. 첫 번째는 Chen이 사용한 U‑ST‑SCMA(선택적 태그 정적 선택 메시지 공격)보다 강력하면서도, 완전 적응형 EUF‑CMA(즉, U‑ST‑ACMA)보다는 약한 중간 단계 모델이다. 이 모델은 공격자가 목표 태그를 사전에 지정하고, 공개키를 획득한 뒤 적응적으로 메시지를 선택해 서명을 요청할 수 있게 허용한다. 이러한 설정은 실제 클라우드·네트워크 코딩 환경에서 발생할 수 있는 위협을 보다 현실적으로 반영한다.

스킴 자체는 기존 격자 기반 선형 동형 서명의 구조를 유지하면서, 두 가지 핵심 기술을 도입한다. 첫째, 전통적인 격자 기반 서명에 사용되는 “전역 해시 함수” 대신, 전역적으로 충돌 저항성을 보장하는 완전‑랭크 차분 해시(Full‑Rank Differential Hash)를 활용한다. 이는 서명 생성 시 메시지와 태그를 고유하게 매핑함으로써, 결합(Combine) 연산 후에도 서명의 검증 가능성을 유지한다. 둘째, 서명에 포함되는 라티스 벡터를 생성할 때 “보조 트리(Bonsai Tree)” 기법을 변형한 구조를 사용한다. 이 변형은 서명 크기를 거의 일정하게 유지하면서, SIS 기반 보안 감소를 상수 수준으로 제한한다. 결과적으로 보안 감소가 O(1)인 타이트한 보안성을 달성한다.

보안 증명에서는 새로운 보안 모델을 정식화하고, 시뮬레이션 기반의 reduction을 통해 SIS 문제의 난이도로 귀환한다. 핵심은 공격자가 만든 위조가 두 종류(Type I, Type II) 중 하나에 해당할 경우, 이를 SIS 인스턴스의 해답으로 변환할 수 있음을 보이는 것이다. 특히, 적응형 선택‑태그 공격을 고려한 경우에도, 공격자가 서명 요청을 무한히 반복할 수 없도록 쿼리 제한을 도입하고, 각 쿼리마다 독립적인 난수화 과정을 삽입함으로써, 공격 성공 확률을 보안 파라미터 λ에 대해 negl(λ) 이하로 만든다. 또한, 약한 컨텍스트 은닉(Weak Context Hiding) 속성을 증명하여, 결합된 서명이 원본 데이터에 대한 추가 정보를 누설하지 않음을 보인다.

성능 측면에서는 기존 Chen 스킴과 비교해 서명·검증 시간은 약 1.2배 정도 증가했지만, 서명 길이는 동일하게 유지되며, 파라미터 선택에 따라 실용적인 보안 수준(예: 128‑bit 보안)에서 충분히 효율적이다. 실험 결과는 구현된 프로토타입이 256‑bit 모듈러 연산 위에서 1 KB 정도의 메시지를 처리할 때 서명 생성에 3.8 ms, 검증에 2.1 ms 정도 소요된다는 것을 보여준다.

요약하면, 이 논문은 (1) 기존보다 강력한 보안 모델 정의, (2) 그 모델 하에서 SIS 기반 타이트 보안을 달성하는 새로운 선형 동형 서명 스킴 설계, (3) 약한 컨텍스트 은닉까지 포함한 포괄적 보안 분석, (4) 실용적인 효율성을 입증한 구현 결과라는 네 가지 주요 기여를 제공한다.