KR20230003954A - 영지식 증명을 위한 암호문 처리 방법 및 장치 - Google Patents

영지식 증명을 위한 암호문 처리 방법 및 장치 Download PDF

Info

Publication number
KR20230003954A
KR20230003954A KR1020210085642A KR20210085642A KR20230003954A KR 20230003954 A KR20230003954 A KR 20230003954A KR 1020210085642 A KR1020210085642 A KR 1020210085642A KR 20210085642 A KR20210085642 A KR 20210085642A KR 20230003954 A KR20230003954 A KR 20230003954A
Authority
KR
South Korea
Prior art keywords
ciphertext
challenge
space
ring
homomorphic
Prior art date
Application number
KR1020210085642A
Other languages
English (en)
Other versions
KR102599406B1 (ko
Inventor
천정희
이기우
김동우
Original Assignee
서울대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 서울대학교산학협력단 filed Critical 서울대학교산학협력단
Priority to KR1020210085642A priority Critical patent/KR102599406B1/ko
Publication of KR20230003954A publication Critical patent/KR20230003954A/ko
Application granted granted Critical
Publication of KR102599406B1 publication Critical patent/KR102599406B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3033Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters details relating to pseudo-prime or prime number generation, e.g. primality test
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem

Abstract

암호문 처리 방법이 개시된다. 본 암호문 처리 방법은 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(Ring)을 이용하여, 평문에 대한 동형 암호문을 생성하는 단계, 기설정된 챌린지 공간을 만족하는 챌린지 매트릭스를 수신하는 단계, 수신한 챌린지 매트릭스와 동형 암호문을 이용하여 응답 암호문을 생성하는 단계, 및 생성한 응답 암호문을 전송하는 단계를 포함한다.

Description

영지식 증명을 위한 암호문 처리 방법 및 장치{CIPHERTEXT PROCESSING METHOD FOR ZERO-KNOWLEDGE PROOF AND APPARATUS THEREOF}
본 개시는 영지식 증명을 위한 암호문 처리 방법 및 장치에 관한 것으로 보다 구체적으로 2의 거듭제곱꼴이 아닌 원분다항식들도 2의 거듭제곱 원분다항식의 좋은 성질을 가짐을 활용하여 효율적인 영지식 증명을 위한 암호문 처리 방법 및 장치에 관한 것이다.
안전한 다자간 계산(Secure Multiparty Computation)은 분산된 여러 노드가 개인별 입력 및 출력 내용을 공개하지 않고도, 임의의 기능을 공동으로 계산할 수 있는 암호학 기술이다. 이와 같은 다자간 계산은 현재 경매, 보안 통계 분석, 개인정보보호, 기계 학습 등 다양한 분야에 적용되고 있다.
기존의 다자간 계산은 소수 p 법(modulo p)에서 동작하였으나, 현대 컴퓨터는 이진수 연산으로 동작한다는 점에서, 2의 지수승 법(modulo a power-of-two)에서의 다자간 계산 프로토콜들이 제안되고 있다.
2의 거듭제곱 원분다항식(Power-of-two Cyclotomic Polynomial) 상의 동형암호에서의 평문 지식에 대한 영지식 증명은 2의 거듭제곱 원분다항식의 좋은 성질들을 활용하여 문제공간(Challenge Space)을 넓힌 효율적인 방법을 이용할 수 있다.
하지만, 2의 거듭제곱 원분다항식을 사용할 수 없는 경우, 예를 들어, 메시지를
Figure pat00001
로 설정할 경우에는 위의 방법을 적용할 수 없었다.
이에 따라, 기존에는 극단적으로 작은 문제공간을 사용하여 비효율적인 방법으로 2의 거듭제곱꼴이 아닌 원분다항식 상의 격자기반 동형암호 평문 지식에 대한 영지식증명을 수행해야 했었다.
본 발명은 일부 2의 거듭제곱꼴이 아닌 원분다항식들도 2의 거듭제곱 원분다항식의 좋은 성질을 가짐을 활용하여 효율적인 동형암호 평문 지식에 대한 영지식 증명을 제안한다.
본 개시는 이상과 같은 문제점을 해결하기 위하여 고안된 것으로, 본 개시의 목적은 2의 거듭제곱꼴이 아닌 원분다항식들도 2의 거듭제곱 원분다항식의 좋은 성질을 가짐을 활용하여 효율적인 영지식 증명을 위한 암호문 처리 방법 및 장치를 제공하는 데 있다.
이상과 같은 목적을 달성하기 위하여, 본 개시의 일 실시 예에 따른 암호문 처리 방법은 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(Ring)을 이용하여, 평문에 대한 동형 암호문을 생성하는 단계, 기설정된 챌린지 공간을 만족하는 챌린지 매트릭스를 수신하는 단계, 상기 수신한 챌린지 매트릭스와 상기 동형 암호문을 이용하여 응답 암호문을 생성하는 단계, 및 상기 생성한 응답 암호문을 전송하는 단계를 포함하고, 상기 링은 상기 집합 중 평문 공간이 소수(prime)의 집합이고, 상기 기설정된 챌린지 공간은 0 또는 2 이상의 정수 값을 갖는 공간이다.
이 경우, 상기 2이상의 정수 값은, 상기 링에 대한 계수 쉬프팅의 이동으로 작용하는 인자 값일 수 있다.
한편, 상기 동형 암호문을 생성하는 단계는, 상기 생성된 동형 암호문에 대해서 기설정된 연산 처리를 수행하여, 마스킹된 동형 암호문을 생성할 수 있다.
한편, 상기 동형 암호문을 생성하는 단계는 기설정된 크기의 2의 거듭제곱(2δ) 및 상기 링을 이용하여 메시지에 대한 동형 동형 암호문을 생성할 수 있다.
한편, 본 개시의 다른 실시 예에 따른 암호문 처리 방법은 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(Ring)을 이용하여, 평문에 대한 동형 암호문을 수신하는 단계, 기설정된 챌린지 공간을 만족하는 챌린지 매트릭스를 생성하여 전송하는 단계, 상기 동형 암호문 및 상기 챌린지 매트릭스에 대응하는 응답 암호문을 수신하는 단계, 상기 동형 암호문과 상기 챌린지 매트릭스의 연산 결과가 상기 수신한 응답 암호문에 대응하는지를 판단하는 단계를 포함하고, 상기 링은 상기 집합 중 평문 공간이 소수(prime)의 집합이고, 상기 기설정된 챌린지 공간은 0 또는 2 이상의 정수 값을 갖는 공간이다.
이 경우, 상기 2이상의 정수 값은 상기 링에 대한 계수 쉬프팅의 이동으로 작용하는 인자 값일 수 있다.
한편, 본 암호문 처리 방법은 상기 전송한 챌린지 매트릭스와 다른 챌린지 매트릭스를 이용하여, 상기 전송하는 단계, 상기 수신하는 단계 및 상기 판단하는 단계를 반복하여, 상기 동형 암호문을 검증하는 단계를 더 포함할 수 있다.
이 경우, 상기 검증하는 단계는 챌린지 공간이 {0, 1}인 경우를 이용한 경우보다 적은 횟수로 상술한 단계를 반복할 수 있다.
한편, 본 개시의 일 실시 예에 따른 연산 장치는 외부 장치와 통신하는 통신 장치, 적어도 하나의 인스트럭션(instruction)을 저장하는 메모리, 및 상기 적어도 하나의 인스트럭션을 실행하는 프로세서를 포함하고, 상기 프로세서는 상기 적어도 하나의 인스트럭션을 실행함으로써, 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(Ring)을 이용하여, 평문에 대한 동형 암호문을 생성하고, 상기 외부 장치로부터 기설정된 챌린지 공간을 만족하는 챌린지 매트릭스를 수신하면, 상기 수신한 챌린지 매트릭스와 상기 동형 암호문을 이용하여 응답 암호문을 생성하고, 상기 생성한 응답 암호문이 상기 외부 장치에 전송하도록 상기 통신 장치를 제어하고, 상기 링은 상기 집합 중 평문 공간이 소수(prime)의 집합이고, 상기 기설정된 챌린지 공간은, 0 또는 2 이상의 정수 값을 갖는 공간이다.
이 경우, 상기 2이상의 정수 값은 상기 링에 대한 계수 쉬프팅의 이동으로 작용하는 인자 값일 수 있다.
한편, 상기 프로세서는 상기 생성된 동형 암호문에 대해서 기설정된 연산 처리를 수행하여, 마스킹된 동형 암호문을 생성할 수 있다.
한편, 상기 프로세서는 기설정된 크기의 2의 거듭제곱(2δ) 및 상기 링을 이용하여 메시지에 대한 동형 동형 암호문을 생성할 수 있다.
한편, 본 개시의 다른 실시 예에 따른 연산 장치는 외부 장치와 통신하는 통신 장치, 적어도 하나의 인스트럭션(instruction)을 저장하는 메모리, 및 상기 적어도 하나의 인스트럭션을 실행하는 프로세서를 포함하고, 상기 프로세서는 상기 적어도 하나의 인스트럭션을 실행함으로써, 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(Ring)을 이용하여 생성된 동형 암호문을 수신하면, 기설정된 챌린지 공간을 만족하는 챌린지 매트릭스를 생성하고, 상기 생성한 챌린지 매트릭스가 상기 외부 장치에 전송하도록 상기 통신 장치를 제어하고, 상기 동형 암호문 및 상기 챌린지 매트릭스에 대응하는 응답 암호문을 수신하면, 상기 동형 암호문과 상기 챌린지 매트릭스의 연산 결과가 상기 수신한 응답 암호문에 대응하는지를 판단하고, 상기 링은 상기 집합 중 평문 공간이 소수(prime)의 집합이고, 상기 기설정된 챌린지 공간은 0 또는 2 이상의 정수 값을 갖는 공간이다.
이 경우, 상기 2이상의 정수 값은, 상기 링에 대한 계수 쉬프팅의 이동으로 작용하는 인자 값일 수 있다.
한편, 상기 프로세서는 상기 전송한 챌린지 매트릭스와 다른 챌린지 매트릭스를 전송 및 수신한 응답 암호문에 대한 판단을 반복적으로 수행하여 상기 동형 암호문을 검증할 수 있다.
이 경우, 상기 프로세서는 챌린지 공간이 {0, 1}인 경우를 이용한 경우보다 적은 횟수로 상술한 동작을 반복할 수 있다.
이상과 같은 본 개시의 다양한 실시 예들에 따르면, 본 개시에 따른 영지식 증명 방법은 2의 거듭제곱꼴이 아닌 원분다항식 상에서도 큰 문제 공간을 사용하여 영지식 증명 동작을 수행할 수 있다.
도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구조를 설명하기 위한 도면,
도 2는 소수 p 법 및 2의 지수승법 각각에 대한 곱쌍을 이용한 다자간 계산 동작을 설명하기 위한 도면,
도 3은 본 개시에 따른 패킹 방법을 설명하기 위한 도면,
도 4는 본 개시에 일 실시 예에 따른 인증된 곱쌍 생성동작을 설명하기 위한 도면,
도 5는 본 개시의 일 실시 예에 따른 영지식 증명 동작을 설명하기 위한 도면,
도 6은 본 개시의 일 실시 예에 따른 영지식 증명 동작을 설명하기 위한 도면,
도 7은 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타내는 블럭도, 그리고,
도 8은 증명자 입장에서의 암호문 처리 방법을 설명하기 위한 도면, 그리고,
도 9는 검증자 입장에서의 암호문 처리 방법을 설명하기 위한 도면이다.
이하에서는 첨부 도면을 참조하여 본 개시에 대해서 자세하게 설명한다. 본 개시에서 수행되는 정보(데이터) 전송 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 개시 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 개시에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, 반드시 A로부터 B까지 직접 전송(전달) 또는 수신되는 것만을 표현하는 것은 아니다.
본 개시의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉, 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행단계로 설명된 과정보다 앞서서 수행되더라도 개시의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 "A 또는 B"라고 기재한 것은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 개시에서 "포함"이라는 용어는 포함하는 것으로 나열된 원소 이외에 추가로 다른 구성원소를 더 포함하는 것도 포괄하는 의미를 가진다.
본 개시에서는 본 개시의 설명에 필요한 필수적인 구성원소만을 설명하며, 본 개시의 본질과 관계가 없는 구성원소는 언급하지 아니한다. 그리고 언급되는 구성원소만을 포함하는 배타적인 의미로 해석되어서는 안 되며 다른 구성원소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.
그리고 본 개시에서 "값"이라 함은 스칼라값뿐만 아니라 벡터도 포함하는 개념으로 정의된다.
후술하는 본 개시의 각 단계의 수학적 연산 및 산출은 해당 연산 또는 산출을 하기 위해 공지되어 있는 코딩 방법 및/또는 본 개시에 적합하게 고안된 코딩에 의해서 컴퓨터 연산으로 구현될 수 있다.
이하에서 설명하는 구체적인 수학식은 가능한 여러 대안 중에서 예시적으로 설명되는 것이며, 본 개시의 권리 범위가 본 개시에 언급된 수학식에 제한되는 것으로 해석되어서는 아니된다.
설명의 편의를 위해서, 본 개시에서는 다음과 같이 표기를 정하기로 한다.
a ← D : 분포(D)에 따라서 원소(a)를 선택함
s1, s2 ∈ R : S1, S2 각각은 R 집합에 속하는 원소이다.
mod(q) : q 원소로 모듈(modular) 연산
Figure pat00002
: 내부 값을 반올림함
이하에서는 첨부된 도면을 이용하여 본 개시의 다양한 실시 예들에 대하여 구체적으로 설명한다.
도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구조를 설명하기 위한 도면이다.
도 1을 참조하면, 네트워크 시스템은 복수의 전자 장치(100-1 ~ 100-n), 제1 서버 장치(200), 제2 서버 장치(300)를 포함할 수 있으며, 각 구성들은 네트워크(10)를 통해 서로 연결될 수 있다.
네트워크(10)는 다양한 형태의 유무선 통신 네트워크, 방송 통신 네트워크, 광통신 네트워크, 클라우드 네트워크 등으로 구현될 수 있으며, 각 장치들은 별도의 매개체 없이 와이파이, 블루투스, NFC(Near Field Communication) 등과 같은 방식으로 연결될 수도 있다.
도 1에서는 전자 장치가 복수 개(100-1 ~ 100-n)인 것으로 도시하였으나, 반드시 복수 개의 전자 장치가 사용되어야 하는 것은 아니며 하나의 장치가 사용될 수도 있다. 일 예로, 전자 장치(100-1 ~ 100-n)는 스마트폰, 태블릿, 게임 플레이어, PC, 랩톱 PC, 홈서버, 키오스크 등과 같은 다양한 형태의 장치로 구현될 수 있으며, 이밖에 IoT 기능이 적용된 가전 제품 형태로도 구현될 수 있다.
사용자는 자신이 사용하는 전자 장치(100-1 ~ 100-n)를 통해서 다양한 정보를 입력할 수 있다. 입력된 정보는 전자 장치(100-1 ~ 100-n) 자체에 저장될 수도 있지만, 저장 용량 및 보안 등을 이유로 외부 장치로 전송되어 저장될 수도 있다. 도 1에서 제1 서버 장치(200)는 이러한 정보들을 저장하는 역할을 수행하고, 제2 서버 장치(300)는 제1 서버 장치(200)에 저장된 정보의 일부 또는 전부를 이용하는 역할을 수행할 수 있다.
각 전자 장치(100-1 ~ 100-n)는 제1 서버 장치(200)에서 제공하는 정보에 기초하여 연산을 수행하고, 연산 결과를 제1 서버 장치(200)에 제공할 수 있다. 즉, 각 전자 장치(100-1 ~ 100-n)는 다자간 계산 시스템에서의 분산 계산 시스템에서의 당사자(또는 사용자)일 수 있다. 이때, 연산은 영지식 증명을 위한 암호문 생성 또는 챌린지 매트릭스 생성 동작 등일 수 있다.
제1 서버 장치(200)는 수신된 동형 암호문을 복호화하지 않고, 암호문 상태로 저장할 수 있다.
제2 서버 장치(300)는 동형 암호문에 대한 특정 처리 결과를 제1 서버 장치(200)로 요청할 수 있다. 제1 서버 장치(200)는 제2 서버 장치(300)의 요청에 따라 특정 연산을 수행한 후, 그 결과를 제2 서버 장치(300)로 전송할 수 있다. 이때, 제1 서버 장치(200)는 요청된 연산을 복수의 전자 장치(100-1 ~ 100-n)를 이용하여 수행할 수 있다.
구체적으로, 제1 서버 장치(200)는 암호문에 대한 연산에 필요한 곱쌍을 다른 전자 장치(100-1 ~ 100-n)와 함께 생성하고, 생성한 곱쌍을 나눠 가질 수 있다. 이때, 제1 서버 장치(200)는 2의 지수승법에서 계산 가능한 곱쌍(Triple)을 다른 장치들과 함께 생성할 수 있다. 또한, 제1 서버 장치(200)는 곱쌍 생성 시에 유사 다항식 보간법을 이용할 수 있다. 구체적인 유사 다항식 보간법에 대해서는 아래에서 자세히 설명한다.
제1 서버 장치(200)는 각 전자 장치에서 수행한 연산 결과를 수신하면, 수신한 연산 결과에 대한 영 지식 증명을 통하여 검증을 수행하고, 영 지식 증명이 완료된 연산 결과를 이용하여 요청한 연산에 대응한 결과 값을 생성할 수 있다. 그리고 제1 서버 장치(200)는 연산 결과를 연산을 요청한 제2 서버 장치(300)에 제공할 수 있다.
이상과 같이 본 개시에 따른 네트워크 시스템은 유사 보간법을 이용하여 복수의 메시지에 대한 암호문을 생성하고, 이를 이용하여 다자간 계산을 수행하는바 낮은 통신 비용으로 연산 작업을 수행할 수 있으며, 생성된 곱쌍은 종래보다 낮은 영 지식 증명이 필요한바 보다 빠른 연산이 가능하다.
또한, 본 개시에 따른 네트워크 시스템은 2의 거듭제곱꼴이 아닌 원분다항식 상에서도 큰 문제 공간을 사용하여 영지식 증명 동작을 수행할 수 있다.
한편, 도 1을 도시하고 설명함에 있어서, 제1 서버 장치(200)가 곱쌍을 생성하는 것으로 도시하고 설명하였지만, 구현시에는 상술한 제2 서버 장치(300) 또는 복수의 전자 장치(100-1 ~ 100-n) 중 어느 하나가 곱쌍을 생성할 수도 있다.
이하에서는 먼저 다자간 계산 방법에 대해서 자세히 설명한다.
이하에서는, n 개의 당사자(P1, ..., Pn) 각각이 비밀(x1, …, xn)을 갖는 것을 가정한다. 여기서, 각 당사자는 도 1의 전자 장치(100-1 ~ 100-n) 각각일 수 있다.
안전한 다자간 계산(SMPC; Secure Multi-Party Computation)의 목적은 원하는 출력 이외의 정보를 서로에게 공개하지 않고, 입력(x1,…, xn)에 대한 함수 f를 함께 계산하는 것이다.
MPC의 다양한 세팅중에 가장 일반적인 세팅은 적극적이며 부패하며 부정직한 당사자가 다수인 사례이다. 부정직한 당사자가 다수인 경우는 두 가지 경우에서만 의미 있는 목표이며, 보안 위협을 정직하지만 호기심 많은 적으로 모델링하는 것은 실제 적용 링경에서는 비현실적이다.
그러나 동시에 효율적으로 악의적인 공격자 다수를 핸들링하는 것은 매우 어려운 일이다. 가벼운 정보의 이론적인 보안 프리미티브(primitives)는 이러한 세팅에서 충분하지 않으며, 무거운 공개 키 프리미티어가 필요하다는 것은 알려진 사실이다.
한편, 무거운 공개 키 시스템을 전처리 과정에서 수행할 수 있다면, 전처리 과정에서는 계산에 필요한 입력 또는 함수를 알 필요가 없다. 즉, MPC의 온라인 과정에서는 경량 프리미티브만 사용하여 안전하게 함수 계산을 수행할 수 있게 된다.
이와 같은 방식은 부정직한 참가자가 다수인 세팅에서도 효과적으로 다자간 계산을 설계할 수 있게 한다. 이에 따라, 최근에는 MPC 프로토콜의 효율을 향상시키기 위한 다양한 연구가 진행중이다.
한편, 기존의 연구는 유한체(finite field)에서 효율 향상을 고려하였다. 그 이유는 기존의 프로토콜의 주요 구성 요소 중 하나인 산술적인 메시지 인증 코드(MAC)가 유한체에서만 건전성을 제공하였기 때문이다.
그러나 CPU는 2의 지수승 2k(예를 들어, k = 32, 64, 128)로 수행된다는 사실에서 MPC가
Figure pat00003
에서 동작하도록 할 필요가 있다. 2의 거듭제곱을 이용한 연산 동작에 대해서는 이하에서 도 2를 참조하여 자세히 설명한다.
도 2는 소수 p 법 및 2의 지수승법 각각에 대한 곱쌍을 이용한 다자간 계산 동작을 설명하기 위한 도면이다.
도 2를 참조하면, 도 2의 상단에는 소수 p 법상으로 설계된 다자간 계산의 연산 동작을 도시하고, 도 2의 하단에는 2의 지수승법 상으로 설계된 다자간 계산의 연산 동작을 도시하고 있다.
도 2의 상단을 참조하면, 소수 p 법상으로 설계된 다자간 계산을 CPU에서 동작시키기 위해서 소수 p 법상으로 설계된 데이터를 2의 지수승법으로 변경하는 에뮬레이션이 필요함을 확인할 수 있다.
반대로, 도 2의 하단을 참조하면, 2의 지수승법으로 설계되는 경우에는 최종 연산 과정에서 에뮬레이션 과정 없이도 연산이 가능함을 확인할 수 있다.
이와 같이 CPU 구동을 위하여 모듈러 프라임(p)을 에뮬레이션할 필요가 없다는 점에서, 2의 지수승법은 상당한 장점을 갖는다.
그러나 통신 비용의 측면에서,
Figure pat00004
에 대한 새로운 MAC에 의한 손실을 간과하더라도 유한체 경우와
Figure pat00005
경우 사이에는 실질적인 갭이 존재한다. 특히, 현재 유한체에서 최고의 성능을 제공하는 접근 방식인 동형 암호화(HE)에서
Figure pat00006
상의 효율적인 MPC 프로토콜은 아직 제안된 적이 없다.
이러한 점에서, 본 개시는 2의 지수승법에서 효율적인 MPC 프로토콜을 제안한다. 이러한 효율적인 MPC 프로토콜에 있어서 주요한 과정은 복수의 메시지를 패킹하는 동작이며, 이하에서는 MPC 프로토콜에서의 패킹 동작에 대해서 자세히 설명한다.
본 개시에 따른 효율적인 MPC 방법은
Figure pat00007
의 원소와 전처리 단계에 맞게 새롭고 효율적인 패킹 방법을 이용한다.
Figure pat00008
에 대한 패킹 방법은
Figure pat00009
상의 보간 문제에서 시작된다. 예를 들어, 주어진 포인트 mi
Figure pat00010
(i ∈{1, 2, ...,d})에 있어서, f(i)=mi인 다항식(f(t) ∈
Figure pat00011
)을 찾는 데 있다. 유한체와 달리, 링
Figure pat00012
에서는 2의 배수인 많은 영인자가 존재하기 때문에, d > 2인 경우
Figure pat00013
에 대한 보간이 불가능하다.
그러나 주어진 포인트에 대해서 2δ를 주어진 포인트(mi)에 곱하고, 메시지를
Figure pat00014
의 원소로 간주한다면 보간이 가능하다. 즉, 링
Figure pat00015
상의 포인트(mi·2δ )를 보간하는 것이다. 이것은 영인자(2의 배수)의 효과가 2δ 원소에 의해 취소되기 때문이다. 간단한 예로, 1·4-1
Figure pat00016
의 원소로 표현할 수 없는데 반해, 1·4-1·22
Figure pat00017
의 원소 1로 표현될 수 있다.
Figure pat00018
의 n+1 개의 원소(mi)가 주어지고, δ ≥v 2(n!)이고, n!의 인수분해 내에서 2의 배수를 취하면, n차 다항식 x(t) ∈
Figure pat00019
를 mi·2δ 로 보간할 수 있다.
그러나 n이 증가함에 따라 v 2(n!)이 n에 접근하기 때문에 효율성 문제가 발생할 수 있다. 즉, δ
Figure pat00020
n을 취하고, 링의 크기를 제한(예를 들어, 일반적인 매개변수로 동형 암호화를 위한 패킹 방법을 실현하려면 n≥214 이상의 포인트를 보간 해야 한다)해야 한다는 것을 의미한다.
이와 같은 문제는 순환 다항식 링(
Figure pat00021
)이 몫 다항식 링(
Figure pat00022
)과 작은 차수의 다항식(Fi(t))의 곱으로 잘 나눠진다는 관찰에 의해 해결할 수 있다. Fi(t)의 차수(d)가 매우 작으면,
Figure pat00023
를 취하는 각 링
Figure pat00024
에서 d-1 차수의 다항식(여기서, 최대 N=degφM 포인트를 검색할 수 있는 다항식은 X(t)∈
Figure pat00025
N=degφM 포인트)을 보간할 수 있다.
이하에서는 별도 언급이 있는 경우를 제외하면 기저(base)(또는 밑)는 구체 함수 log(­)는 기저 2인 로그이다. 링(Zq)은 대표 집합으로서 Z∩(-q/2, q/2)로 식별된다. 정수 세트는 {1,… , d}와 같은 정수 세트는 [0;d]로 나타낸다.
순환 다항식 (N 차의) φM(t)은 Z2[t] 내의 Πr i=1 fi(t)(여기서, 각 fi(t)은 동일한 차수 d = ordM(2)을 가지며, 그에 따라 N = r·d )로 인수분해될 수 있다. 인수분해는 다음과 같은 고리 동형을 의미한다.
[수학식 1]
Figure pat00026
여기서, 각 다항식 Fi(t)∈
Figure pat00027
[t]은 d 차수를 갖고, 비환원 원소 fi(t)∈Z2[t]의 헨셀 리프팅(Hansel lifting)이다.
래티스 기반의 HE 스킴을 이용할 때, 소수인 평문 모듈러스 p를 선택하여 φM(t)가 Zp에 의해 완전이 분할되도록 하는 것이 일반적이다.
각 Zp[t]/Fi(t)(슬롯으로 불림)의 상수항으로 각 메시지를 식별하고, 링 순환에 적용하여 Zp에서 N개의 메시지를 Zp[t]/φM(t) 내의 평문으로 인코딩할 수 있다. 이 접근 방식은 최적의 패킹 밀도 1 및 메시지와 평문 간의 완전 동형화를 이룬다.
그러나 평문 모듈러스가 2k로 고정되면, 기존과 동일하게 사용할 수 없다. 문제는
Figure pat00028
내에서 φM(t)는 완전히 분할되지 않는다는 것이다. 이 문제를 우회하는 한가지 방법은 Zp[t]/Fi(t) 내의 상수를 갖는
Figure pat00029
내의 r 메시지를 식별하는 것이다. 이 접근 방식은 메시지와 일반 텍스트 간의 완전한 동형 대응을 제공하지만 매우 낮은 패킹 밀도 1/d를 달성한다.
즉, 소수 p 법의 패킹 방법을 2의 지수승법에 적용하기 어려움 점은,
Figure pat00030
의 n+1 포인트가 주어지면,
Figure pat00031
상의 n차 다항식의 존재를 보간할 수 없다는 점이다.
그러나 이러한 문제점은
Figure pat00032
의 타켓 포인트를 더 큰 링
Figure pat00033
에 임베딩하면,
Figure pat00034
에 대한 보간이 가능하게 된다는 점을 통하여 해결할 수 있다.
주요한 점은
Figure pat00035
에 대한 보간이 유한체에 대한 보간과 유사하게 작동하도록 만들 수 있다는 것이다. 구체적으로, 2의 거듭제곱을 곱하고, 비가역 요소의 효과를 제거함으로써, 유한체에 대한 행위 것과 같이 유사하게 작동하도록 할 수 있다.
이하에서는 상술한 내용을 종합하여, 본 개시에 따른 유사 보간 방법을 적용한 패킹 방법을 자세히 설명한다.
도 3은 본 개시에 따른 패킹 방법을 설명하기 위한 도면이다.
이하에서는, m0, m1, .., mn-1, mn
Figure pat00036
의 n+1개 원소라고 하고, n!의 인수분해에서 2의 배수인 v 2(n!)가 δ보다 작거나 같다고 가정한다. 그러면 n차 다항식(x(t) ∈
Figure pat00037
)은 아래의 수학식 2와 같다
[수학식 2]
Figure pat00038
x0(t) = 1 및 i > 0 큰 경우, xi(t)=
Figure pat00039
라 하고, 상술한 n차 다항식은 다음과 같이 정의 될 수 있다.
[수학식 3]
Figure pat00040
v 2(n!)를 i!의 인수분해 내의 2의 배수라고 하면, xi(i) = ci2v2(i!)과 ci
Figure pat00041
내에서 가역적이다. 이를 통해 다음과 같이 각 값 ai
Figure pat00042
을 반복적으로 할당하여 다항식
Figure pat00043
을 구성할 수 있다.
1. 먼저, X(0) = m02δ가 되도록 a0 = m02δ 을 할당한다.
2. i > 0 에 대해서, 다음을 가정한다.
a) 모든 0 ≤ j < i에 대해, X(j) = mj2δ가 되도록 각 aj를 적절한 값을 할당한다.
b) 각 aj(0 ≤ j < i)는 2δ가 ajxj(i)를 나누는 것을 만족한다.
3.
Figure pat00044
을 만족하도록,
Figure pat00045
Figure pat00046
를 할당한다. ai의 할당은 δ ≥v 2(n!) 및 가정(b)에 의하여 가능하다.
4. 상술한 가정이 ai의 할당 이후에도 유지됨을 확인한다.
(a) xi(t)는 X(j) 값에 영향을 주지 않으며, 그 후, 할당 이후 X(j) = mj2δ 이다.
(b)v 2((i+1)!) ≥ v 2(i!)인바, 2δ가 aixi(i+1) 를 나눈다. 유사하게 aixi(i)임으로, ajxj(i+1)는 2δ로 나눌수 있다.
상술한 단계 1부터 시작하여, 단계 3을 반복하여, 다항식의 각 계수(ai)를 할당할 수 있다. 이와 같은 할당을 수행하면, 상술한 조건을 만족하는 다항식을 얻을 수 있다.
이하에서는 상술한 다항식의 차수(n)를 선택하는 방법에 대해서 설명한다.
양의 정수에 대해서 값은 다음의 식v 2(n!)=
Figure pat00047
을 통하여 쉽게 계산될 수 있다.
n∈[2r,2r+1)일때,2r - 1 ≤ v 2(n!)≤ 2r+1 - r - 2임을 참고하면, 링의 크기를 심각하게 키우지 않고, 많은 포인트를 보간하기 위하여 n = 2r - 1을 취하는 것이 바람직하다. 이 사실은
Figure pat00048
비율이 본 개시에 따른 패킹 방법의 의미 있는 요소 중 하나이다.
본 개시의
Figure pat00049
상의 유사 보간 방법은
Figure pat00050
상의 많은 포인트에 대해서 몫 다항식 링 (
Figure pat00051
, 여기서, φM(t)는 사이클로토믹 다항식)의 원소로 효율적인 패킹을 제공한다.
정리 1
φM(t)∈Z[t]가 차수 N(N=rd, 여기서, d는 Z2[t] 상의 φM(t)의 각 기약 인자의 차수, r은 φM(t)의 기약 인자의 수)의 M-th 사이클로토믹 다항식이라고 가정한다. 양의 정수 z,
Figure pat00052
의 r(
Figure pat00053
) 지점 {
Figure pat00054
}에 대해서, 다음을 만족하는 양수 δ와 다항식
Figure pat00055
이 존재한다.
(i) δ ≥ v2(
Figure pat00056
)
Figure pat00057
의 인수분해 내의 2의 중복도.
(ii) Li(t)는 L(t)를 CRT 이형성 내의 i번째 링으로 L(t)의 투영(projection)이라고 하면, i ∈ [n] 및 j ∈
Figure pat00058
에 대해서,
(ii)-(i) Li(t) ∈
Figure pat00059
는 m=
Figure pat00060
차수이다.
(ii)-(ii) Li(j) = μ(m+1)(i-1)+j·2δ
이것을 다항식 L(t)을 포인트{
Figure pat00061
}에 대한 유사 보간(tweaked interpolation)이라고 지칭한다.
이제 상술한 다항식
Figure pat00062
은 CRT 동형(isomorphism)으로부터 (L1(t), L2(t), ..., Lr(t))∈
Figure pat00063
의 동형 이미지로 정의될 수 있다.
사실 정리 1(z=1)은 δ를 v2((d-1)!)보다 크게 하고,
Figure pat00064
의 d 개의 포인트를 각 Li(t)로 패킹하여,
Figure pat00065
의 N개 포인트를
Figure pat00066
의 한 원소로 패킹할 수 있음을 암시한다. 그러나, (동형) 깊이-1 특성은
Figure pat00067
의 r(
Figure pat00068
)개의 포인트를 패킹하는 경우(즉, 상술한 정리 1에서 z=2로 적용하는 경우)에만 유지된다.
또한, 본 개시에서는 곱셈 깊이 1을 갖는 동형 암호화를 위한 패킹 방법에 대한 보간 아이디어를 추가로 제안한다. 그것은 만약 다항식의 차수가 d-1 대신에
Figure pat00069
라면, 보간 다항식에 대한 계산이 각 패킹된 포인트들 사이에 덧셈 및 하나의 곱셈에 대해서 동형적인 보존한다는 사실에서 시작한다. 각 i번째 CRT 링 내에서 다항식의 곱셈은 Fi(t)에 의한 모듈러 축소 없이
Figure pat00070
상에 있기 때문이다. 이러한 패킹 방법으로 평문 공간
Figure pat00071
을 갖는 하나의 암호문 생성 암호문 내의
Figure pat00072
의 대략적인 N/2 원소를 패킹할 수 있다.
기존의 방식은 하나의 암호문 생성 암호문에 대해서
Figure pat00073
내의 N/5 원소를 패킹하는 것이 가능하였지만, 레벨 0 및 레벨 1 암호문의 패킹이 매우 다른 기존의 방식에서 필요로 하는 추가적인 영 제로 증명이 본 개시에 따른 패킹 방법은 필요로 하지 않는바, MPC의 전처리 단계 적용할때 더 좋은 효과를 갖는다.
Corollary 1
N 차수(N-rd)의 사이클로토믹 다항식(φM(t)∈Z[t])이 주어지고, N2 = r(
Figure pat00074
)라고 한다. 그리고 {μI,ι
Figure pat00075
| I∈
Figure pat00076
, ι∈[N2]}는
Figure pat00077
의 포인트로 하고, 유한 서로소 세트 L 및 R로 인덱스 되고,
Figure pat00078
≡ μI,ιmod 2k되도록 {
Figure pat00079
Figure pat00080
| I∈
Figure pat00081
, ι∈[N2]}는
Figure pat00082
의 포인트라 한다.
여기서, δ는 상술한 정리 1(with z=2)에서 선택된 양수이다. 다른 유한 세트 A에 대해서 {αI
Figure pat00083
| I∈A}가
Figure pat00084
의 포인트이고, ,
Figure pat00085
≡ αI,ιmod 2k되도록 {
Figure pat00086
Figure pat00087
| I∈A}가
Figure pat00088
의 포인트가 된다.
I∈L에 대해서
Figure pat00089
는 포인트의
Figure pat00090
는 {
Figure pat00091
Figure pat00092
| I∈
Figure pat00093
, ι∈[N2]} 포인트의 유사 보간이 될 수 있다. I∈R에 대해서
Figure pat00094
가 대응되는 포인트에 대한 유사 보간으로서 정의된다.
그리고,
Figure pat00095
으로부터
Figure pat00096
의 포인트{
Figure pat00097
}를 복원할 수 있다. 추가로
Figure pat00098
으로부터
Figure pat00099
의 포인트{
Figure pat00100
}를 복원할 수 있다.
따라서, i번째 링 내에서는 다음을 표시할 수 있다.
[수학식 4]
Figure pat00101
LI,i(t) 및 RI,i(t)의 차수가 거의
Figure pat00102
을 취하므로 이들의 합계는 Fi(t)의 차수보다 작은 차수를 갖기 때문에, 상술한 수학식은
Figure pat00103
인 경우에 유효하다. 이에 따라, 상술한 수학식 4를 j∈[
Figure pat00104
]에서 이벨류에이션 하면, 각
Figure pat00105
에 대해서,
[수학식 5]
Figure pat00106
여기서, 수학식 5의 두번째 줄은
Figure pat00107
를 따르며, 여기서부터 원하는 값을 복구할 수 있다.
유사하게 LR(t)에
Figure pat00108
을 곱하면, 다음의 수학식을 얻을 수 있다.
[수학식 6]
Figure pat00109
위에 수학식은
Figure pat00110
을 따르며, 위에 내용을 증명한다.
간단히 말해, 상술한 Corollary 1은
Figure pat00111
의 deg(φM(t)) 지점의 절반 가까이를 하나의 곱셈과 스칼라 곱셈의 계산으로
Figure pat00112
의 하나의 원소로 패킹하며,
Figure pat00113
내의 패킹된 포인트들 사이의 그들의 계산에서 동형적인 보전을 위하여, 각 원소들
Figure pat00114
사이에 많은 추가 동작이 뒤따를 수 있다.
Figure pat00115
의 포인트에 대한 계산 결과는
Figure pat00116
상의 결과로부터 쉽게 도출된다. 이러한 특성은 유사 보간 2 단계 암호문 생성 스킴에 대한 패킹 방법이 될 수 있음을 의미한다.
위에 내용을 참조하여, 도 3을 참조하면,
Figure pat00117
개의 복수의 메시지를 유사 보간을 이용하여 d의 길이를 가지며, r개의
Figure pat00118
상의 메시지로 보간할 수 있다. 이후에 CRT를 이용하여 1개의 다항식으로 패킹을 수행할 수 있다.
Figure pat00119
내의 r, d는 패킹된 메시지의 N개에 기초하여 결정될 수 있으며, 반대로 복수의 메시지의 개수에 따라 N개가 결정될 수도 있다. 즉, 다항식의 크기에 기초하여 패킹될 메시지의 수가 결정될 수도 있으며, 메시지의 수에 기초하여 다항식의 크기가 결정될 수도 있다.
한편, 도 3에서는 복수의 다항식에 대한 유사 보간을 수행하고, 그 이후에 패킹 동작이 수행되는 것으로 설명하였지만, 상술한 유사 보간과 패킹은 하나의 동작을 통하여 수행될 수도 있다.
상술한 패킹 방법은 N/2 폴드 병렬성을 달성함과 동시에 링
Figure pat00120
에 대해서 곱셈 깊이 1까지 동형 대응을 제공할 수 있다. 이와 같은 점은 종래 N=5 폴드 병렬성인 것과 대비하였을 때, 2.5배 이상의 효율을 갖게 된다.
또한, 본 개시에 따른 패킹 방법은 구조적으로도 단순하며, 특히 암호문 생성 방식의 평문 패킹 방식으로 구현하면 레벨 1과 레벨 0 암호문의 패킹 구조가 거의 동일하다.
한편, 본원과 같은 속성은 암호문 생성 스킴의 일반적인 메시지 패킹에서도 적용이 가능하며, 효율적인 전처리를 허용한다. 그에 따라 기존 방식에서 필요한 영 지식 증명(zero-knowledge proof)의 수를 줄일 수 있으며(예를 들어, 4개에서 3개로 줄일 수 있음), 그에 따라 전처리 단계에서의 1.3배의 효율성 향상이 가능하다.
이러한 두 가지 측면에서 본 개시에 따른 방법은 기존의 방식에 비해 3.3배 이상의 비용 개선이 가능하다.
또한, 본 개시에서는 추가적인 상술한 방법에 대한 최적화 방식에 대해서도 설명하며, 최적화 방식을 통하여 패킹 밀도를 높이기 위하여 몫 다항식으로 합성 순환 다항식을 사용하고, 추가 영 지식 증명을 줄이기 위하여 곱셈 깊이를 증가시켜 재공유 절차를 회피할 수도 있다. 한편, 본 개시에 방법은 참여자가 많을수록 더 효율적이지만, 2명의 참가자가 있는 경우에도 높은 효율성을 갖는다.
이하에서는 도 4를 참조하면, 본 개시에 따른 패킹 방법을 이용한 곱쌍 생성 동작에 대해서 설명한다.
도 4는 본 개시에 일 실시 예에 따른 인증된 곱쌍 생성동작을 설명하기 위한 도면이다.
도 4를 참조하면, 곱쌍은 입력된 두 비밀(10, 20)에 대응하여, 3개의 곱셈 곱쌍(30, 40, 50)을 생성하는 과정이다. 곱셈 곱쌍을 이용하면 사용자 간의 통신량을 최소화하면서 곱셈 연산을 수핸할 수 있다.
이하에서, 프로토콜은 UC(universal composition) 프레임워크에서 안전하고, n 당사자(P1, ..., Pn)와 함께 동작하며, 최대 n-1개의 악의적인 공격자에 대응하는 보안을 고려하는 점을 가정한다.
셋업 가정 없이 부정직한 다수인 상황에서 UC 보안 MPC을 구성하는 것은 불가능하기 때문에, 본 개시에서는 기존의 공개키 모델을 이용한다. 특히, 암호화 스킴에서 올바른 키를 생성하는 FKeyGen 기능을 가정한다.
프로토콜 Π 이 보안 파라미터 λ를 사용하여 기능 F을 안전하게 구현한다고 말할 때, 이상적인 실행과 실제 실행 사이의 차이에서 어떠한 환경 Z의 이점이 O(2)이 보장된다.
부정직한 다수인 환경에 대응하여
Figure pat00121
상의 효율적인 MPC을 구현하기 위해서,
Figure pat00122
내에서 새로운 정보 이론 MAC 스킴을 이용할 수 있다.
이 스킴은 k, s가 매개 변수화되며, 여기서
Figure pat00123
는 MPC 프로토콜에서 실행되는 링이고, s는 통계적 안정성과 관련된 파라미터이다. 간략하게
Figure pat00124
을 나타낼 수 있다.
단일 글로벌 MAC 키
Figure pat00125
가 있으며, 여기서 각 당사자는 임의의 추가 공유 [α]i
Figure pat00126
(예를 들어, α=Σi[α]i )를 갖는다. 모든 인증된 비밀 값 x∈
Figure pat00127
에 대해서, 각 참가자는 이 값(예를 들어, x=Σi[x]i(mod 2k))에 추가 공유
Figure pat00128
를 갖게 된다. 여기서 키(α) 상의 x의 MAC(m)는 m=α·Σi[x]i(mod 2k)로 정의된다. 참가자들은 또한, m 모듈러 각 참가자는 또한 m 모듈로
Figure pat00129
의 추가적인 공유 [m]i를 갖는다.
이전 연구에서 자주 사용된 MAC와 달리 상술한 MAC 키(α), 비밀 키(x), MAC(m) 및 추가적인 공유는 다른 공간의 원소이다. 다른 종류의 덧셈 공유를 표시하기 위해 단일 표기법[·]i을 사용함을 유념해야 한다.
<x>i를 보유한 각 당사자 Pi가 <x> 에 의해 x의 인증된 공유는 다음과 같이 나타낼 수 있다.
[수학식 7]
Figure pat00130
[수학식 8]
Figure pat00131
Figure pat00132
상의 인증된 비밀 공유 스킴을 이용하면, 모든 선형 함수는 간단한 방법으로 당사자에 할당되는 공유된 비밀 키를 계산할 수 있다.
비선형 산술 함수는 Beaver의 트릭을 통해 전처리 단계에서 생성되고 인증된 곱쌍의 도움을 받아 안전하게 계산될 수 있다.
효율적인 전처리 단계를 위해 동형 암호화를 이용한다. 전처리 단계는 낮은 곱셈 깊이(2 또는 3)의 계산만 필요하므로 낮은 수준의 매개변수를 사용하여 HE에 의해 효과적으로 인스턴스화 할 수 있다. 이하에서는 암호문 생성 동형 암호 스킴을 이용하는 것을 설명하지만, 구현시에는 다른 방식의 암호 스킴을 이용하는 것도 가능하다.
R:=Z[t]/(φM(t))와 φM(t)∈Z[t] 각각을 사이클로토믹 링 및 N:=
Figure pat00133
(M)차의 M개의 사이클로토믹 다항식을 정의한다. 여기서
Figure pat00134
는 오일러 토렌트 함수이다. 양의 정수(η)에 대해서 (η = q 이면) Rη:=R/η=Zη[t]/(φM(t))로 지정하면 암호문 공간을 구성하거나, (η = 2k이면) 평문 공간을 나타낸다.
Zq 상에 N 차원 벡터들이 확인된 Rq 상의 다음의 분포(distribution)가 암호문 생성 스킴을 설명하는데 필요하다.
- U(q) : Zq 상의 N 차원 백터를 무작위하고 균일하게 샘플링
- HWT(h) : 비 제로 원소의 수가 h가 되도록 {-1, 0, 1}로부터 선택된 원소를 갖는 N 차원 벡터를 샘플링
- Zo(ρ): -1, 1 각각에 대해서 ρ 확률을 갖고 0에 대해서 1-ρ 확률을 갖도록 {-1, 0, 1}로부터 선택된 원소를 갖는 N 차원 벡터를 샘플링
- DG(σ2) : 분산σ2의 이산 가우시안 분포로부터 선택된 원소인 N 차원 벡터를 샘플링.
암호문 생성 스킴은 메시지 공간으로 링
Figure pat00135
Figure pat00136
을 가지며 6개의 알고리즘(KeyGen, Enc, ModSwitch, Dec, Add, Mult)로 구성된다. L∈Z>0이 최대 레벨이면, 산술 회로의 최대 계산 깊이(L-1)를 결정할 수 있다. 각 암호문은ℓ∈{0, 1,…., L} 레벨을 갖는다.
주어진 보안 매개 변수 λ, 공개 파라미터 ppλ는 사이클로토믹 다항식 ΦM(t)을 갖는다. 여기서 사이클로토믹 다항식은 차수가 충분히 크고, 암호 모듈러스는 q2=p0p1p2, q1=pop1, q0=p0이고, 각 p0, p1, p2는 소수이며, p1 p1 ≡1(mod 2k),p0-1 ≡ p1-1 ≡ p2-1 ≡ 0(mod M)이다.
여기서, 전자 조건은 효과적인 모듈러스 스위칭과 관련되고, 후자는 NTT(Number Theoretic Transform)을 통한 빠른 계산과 관련된다.
각 알고리즘은 다음과 같다.
- KeyGen(ppλ): 공개 파라미터 ppλ가 주어지면, 비밀 키(sk ← HWT(h))를 및 공개키(pk=(a,b) ∈ R2 q2)를 출력한다.
여기서 a←U(q2),b=a·sk + 2k·e(mod q2) , e←DG(σ2)이다.
또한, 재선형 데이터(
Figure pat00137
,
Figure pat00138
)를 출력할 수 있다.
여기서,
Figure pat00139
← U(q2) and
Figure pat00140
=
Figure pat00141
·sk +2k·
Figure pat00142
- p1·sk2(mod q2),
Figure pat00143
←DG(σ2)이다. 재선형 데이터는 대중에게 공개되고 곱셈 알고리즘에서 활용된다.
- Enc(m, r;pk) : 평문 m∈
Figure pat00144
이 주어지면, r=(v, e0, e1)을 샘플링하고, 여기서, v←ZO(0.5)이고, e0, e1←DG(σ2), 다음을 연산하고.
c0 = b·v + 2k·e0 + m (mod q2), c1 = a·v + 2k·e1 (mod q2)
그리고 암호문 ct =(L, c0, c1)을 출력한다. 여기서 첫번째 항목은 레벨을 정의한다.
-ModSwich(ct=(ℓ,co, c1)ℓ') : 레벨 ℓ의 암호문이 주어지면, 메시지를 변경하지 않고, 낮은 레벨 ℓ'의 암호문 ct'=(ℓ', c'0, c'1)으로 변환할 수 있다.
-Dec(ct=(ℓ,co, c1);sk) : 암호문을 상술한 ModSwich를 이용하여 레벨 0의 암호문으로 변환하고, 다음과 같이 복호화를 수행할 수 있다.
(Co - sk·c1(cmod q0)(mod 2k)
그리고,
Figure pat00145
원소를 출력할 수 있다. 여기서 cmod는 중앙 모듈러 축소를 의미하며, 각 계수는 (-q2/2, q0/2] ∩ Z로 축소된다.
-Homomorphic Operation : 암호문에 대한 연산 처리로, 이하에서는 덧셈 연산 및 곱셈 연산에 대해서만 설명한다. 실제 구현시에는 덧셈 연산 및 곱셈 연산을 기초로 다양한 연산이 수행될 수 있다.
Add(ct1, ct2): 동일한 레벨 ℓ의 두 암호문이 주어지면 다음과 같은 동일 레벨의 암호문 ctadd를 출력할 수 있으며,
[수학식 9]
Figure pat00146
여기서,
Figure pat00147
는 동형 덧셈 연산을 나타낸다.
Mult(ct1, ct2): 0보다 큰 레벨의 두 암호문이 주어지면 ℓ-1의 다음과 같은 암호문 Ctmult를 출력할 수 있다.
[수학식 10]
Figure pat00148
여기서,
Figure pat00149
는 동형 곱셈 연산을 나타낸다.
σ=3.16이고, 일반적인 노이즈를 갖는다면, 본 개시에서 예를 들어, L=2, 3의 작은 레벨을 갖는 암호문 생성 스킴을 이용한다.
한편, 이하에서는, 본 개시에 따른 암호문 생성 체계가 레벨 2 또는 3이라고 가정한다.
Figure pat00150
가 원소가 인코딩되는 링이라고 하면, φM(t)∈Z[t]는 순환 다항식이며, δ는 앞선 정의 1을 만족하는 최소 양수이다.
암호문 생성 스킴의 평문 공간으로써 P:=
Figure pat00151
을 취하고, 다음과 같은 인코딩 및 디코딩 알고리즘을 적용할 수 있다.
-Encode(
Figure pat00152
),
Figure pat00153
의 N2 포인트가 주어지면, 주어진 포인트에 대응되는 U(t)의 원소를 출력.
-Decode(U(t)): 평문 공간의 U(t)의 원소 및 암호문에 대해서 수행할 수 있는 곱셈 수가 입력되면, 메시지를 복원.
전처리 단계(prepossessing phase)
전처리 단계의 목표는 많은 (인증된) 곱쌍(또는 제곱 또는 입력)을 생성하고, MPC 프로토콜의 온라인 단계를 위하여 당사자들끼리 곱쌍을 생성하고 나누는 본 개시에서는 다음과 같이 패킹 방법에 맞춰 2단계 또는 3단계 암호문 생성 방식을 활용하는 두가지 방식의 전처리 단계를 수행할 수 있다.
a) 2단계 암호문 생성 방식을 사용하는 전처리 방식
b) 3단계 암호문 생성 방식을 사용하는 전처리 방식
a)의 경우 기존의 전처리 방식과 전체적인 동작은 유사하다. 주요한 차이점은 분산 복호화 프로토콜에서 차이가 있으며, 본 개시에 따른 전처리 방식은 상술한 패킹 방법을 이용하기 때문에 더 간단하고 효율적인 동작이 가능하다.
b)의 경우 재공유 프로토콜을 제거하기 위하여 2단계 이상의 HE 스킴이 사용되는 경우와 유사하나, 필요한 암호문 곱셈 중 하나가 각 슬롯에 스칼라 메시지를 갖는 암호문으로 대체될 수 있다는 점이다.
이하에서는 상술한 차이점에 기초하여 a) 방식을 자세히 설명한다.
먼저,
Figure pat00154
Figure pat00155
(여기서, ΦM(t)에 따라 정리 1(z=1)에서 선택된 δ는 양수)로 한다. 이것은 다자간 계산의 온라인 단계와 상술한 패킹 동작의 연결하기 위한 것이다.
MPC의 메시지는
Figure pat00156
(k=32, 64, 128)에서 온 것이고, MAC는 보안을 위한 s가 32, 64로 설정될 수 있다.
Figure pat00157
Figure pat00158
. 마지막으로 암호문 생성 스킴의 평문 공간을
Figure pat00159
로 정의한다.
한편, 상술한 다자간 계산 중 하나의 방법 중 하나는 영 지식 증명이다. 영지식 증명은 두 장치 간에서 수행할 수도 있으며, 상술한 다자간 계산 방식을 이용하여 3대 이상의 장치 상에서도 수행될 수 있다.
먼저, 영지식 증명에 대한 내용을 먼저 간단하게 설명한다.
2단계 암호문 생성 암호화는, 다음의 릴레이션의 정직한 영 지식 증명이다. 여기서, 우리는 많은 u 개의 암호문 및 Cti=Enc(xi,ri;pk) (여기서, ri=(vi, eo,i e1,i)를 고려한다.
[수학식 11]
Figure pat00160
여기서, P : R →{true, false}는 암호문의 메시지에 대한 조건 자(predicate)이고, n은 당사자 수, S는 프로토콜에서 τ,ρ1, ρ2로 주어지는 건전성 여유(soundness slack)이다.
본 개시에 따른 분산 복호화 프로토콜에서 요구되는 상술한 릴레이션(
Figure pat00161
)은 특정한 조건자 Pecd, Pdiag가 부여된다. 여기서, Pecd는 각 암호문이 상술한 본 개시의 패킹 방법으로 올바르게 메시지가 인코딩되었는지를 나타내고, Pdiag는 각 슬롯에 동일한 스칼라 메시지가 있는지를 나타낸다.
[수학식 12]
Figure pat00162
[수학식 13]
Figure pat00163
상술한 두 조건자 모두는 CRT 투형 및 유사 보간으로부터 선형 동형으로 제한된다.
따라서, 프로토콜(
Figure pat00164
)은 본 개시에 따른 암호문 상의 릴레이션(
Figure pat00165
)에도 적용이 가능하다.
한편, 이상의 영지식 증명은 2의 거듭제곱 상에서 수행하는 것으로 설명하였다. 그러나 영지식 증명은 소수로 구성되는 공간에서도 수행할 필요가 있으며, 기존의 영지식 증명은 작은 챌린지 공간을 이용하여 통신 비용이 증가되는 문제가 있었다. 이하에서는 소수로 공간에서도 수행 가능한 영지식 증명 및 통신 비용을 절감할 수 있는 방법에 대해서 설명한다.
도 5는 본 개시의 일 실시 예에 따른 영지식 증명 동작을 설명하기 위한 도면이다.
영지식 증명(zero-knowledge proof)은 누군가에게 상대방에게 어떤 상항이 참이라는 것을 증명할 때, 그 문장의 참 거짓 여부를 제외한 어떠한 것도 노출되지 않는 인터렉티브한 절차를 뜻한다.
여기서 문장이 참이라고 증명하는 쪽을 증명자라 하고, 증명 과정에 참조하여 증명자(prover)와 정보를 주고받는 쪽을 검증자(verifier)라고 한다. 이하에서는 제1 전자 장치(100-1)를 상술한 증명자로 보고, 제2 전자 장치(100-2)를 검증자로 가정하여 설명한다.
소수의 사이클로토믹 다항식에 대한 기본 내용을 먼저 설명합니다.
Figure pat00166
상의 상술한 바와 같은 영지식 증명을 위한 프로토콜을 설명한다. 먼저, 링(
Figure pat00167
)(여기서 M은 2의 거듭제곱)을 이용하는 경우에서의 영지식 증명의 동작은 다음과 같이 표현할 수 있다.
[수학식 14]
Figure pat00168
여기서, (a)는 Xi를 곱하여도, 계수가 커지지 않는다는 것을 의미하며, 이는 Xi를 곱하면 링 상에서 계수 쉬프팅의 변환(skew)을 유발한다. 한편, (b)는 작은 계수를 갖는 링에서 (Xi-Xj)의 스케일된 인버스가 있음을 의미한다.
2의 거듭제곱인 아닌 소수(p)의 공간에 적용하는 경우, 다음과 같이 표현할 수 있다. 여기서, p가 소수이고, 링이
Figure pat00169
이다.
[수학식 15]
Figure pat00170
먼저, 증명자(100-1)는 마스킹된 암호문의 벡터(Enc(y,s))를 공개해야 한다(S510). 이를 위하여, 증명자(100-1)는 평문에 대한 동형 암호문을 생성하고, 생성한 동형 암호문에 대한 마스킹 처리를 수행하여 마스킹된 암호문(또는 벡터)을 생성할 수 있다.
이후, 검증자(100-2)는 챌린지 매트릭스(c)를 증명자(100-1)에게 쿼리 한다(S520). 구체적으로, 검증자는 기설정된 챌린지 공간을 이용하여 챌린지 매트릭스를 선택할 수 있다. 기존의 챌린지 매트릭스는 {0, 1}의 공간에서 추출되나, 본 개시에서는
Figure pat00171
를 만족하는 공간 상에서 챌린지 매트릭스를 생성할 수 있다.
챌린지 매트릭스가 수신되면, 증명자(100-1)는 챌린지 매트릭스와 벡터를 이용하여, 평문 벡터를 생성하여 검증자(100-2)에게 제공할 수 있다(S530). 이후, 검증자(100-2)는 수신한 평문 벡터를 이용하여, 검증을 수행할 수 있다.
그 다음 일반적인 리와인딩 인수는 a(
Figure pat00172
)의 요소 또는 P(예측)를 만족함을 보장한다.
증명자(100-2)는 두개의 암호문을 이용하여, 즉, 제공받은 두개의 정보를 비교하여 검증 동작을 수행할 수 있다.
한편, 이와 같은 동작은 다음의 두 가지 조건을 만족해야 한다. 첫째는 챌린지 매트릭스의 차이(W-W')는 가역성(invariability)을 만족해야 하며, 챌린지 매트릭스에 대한 곱셈은 동형적인 성질을 가져야 한다는 점이다.
여기서, 챌린지는 위의 모든 조건을 충족하는 챌린지 공간 상에서 샘플링되어야 한다. 이전의 챌린지 공간은 {0,1} 세트로 제한되었다. 이 경우, v(마스킹된 암호문 벡터의 크기)는 보안 파라미터만큼 커져야 하므로, 통신 비용 등의 비효율성을 갖는다.
따라서, 본 개시에서는 {0, 1}보다 큰 챌린지 공간을 이용한다. 여기서 챌린지 공간(
Figure pat00173
)은 0 또는 2이상의 정수 값을 가지며, 평문 공간이 소수의 집합인 링(
Figure pat00174
, 여기서 M는 소수)으로부터 얻을 수 있다.
구체적인 동작 알고리즘은 도 6에 도시하였으니, 이하에서는 도 6을 참조하여 설명한다.
도 6은 본 개시의 일 실시 예에 따른 영지식 증명 동작을 설명하기 위한 도면이다.
도 6을 참조하면, 본 개시에 따른 알고리즘의 목적은 적절한 크기의 평문과 임의성을 보장하는 암호문 증명이다.
모든 당사자가 정직하게 샘플링을 실행한다면, 샘플링 출력은 다음의 수학식 16을 만족한다.
[수학식 16]
Figure pat00175
여기서, p1, p2=20, p3는 1로, 2t(2의 거듭제곱)의 평문 모듈러스인 경우의 노이즈와 임의성의 바운드이다.
이상과 같은 본 개시에 따른 알고리즘은 주어진 암호문이 다음과 같은 관계를 만족한다.
[수학식 17]
Figure pat00176
여기서, S는 건전성 슬랙(soundness slack)이라 지칭하고, 건전성 슬랙은 리와인딩 프로세서에서 비롯되면, 일반적인 영지식 증명에서도 이용된다.
이와 같은 샘플링 이후에, 암호문에 대한 마스킹 동작이 수행될 수 있다. 이와 같은 마스킹 동작까지 완료되면, 해당 마스킹된 동형 암호문을 검증자(100-2)에 전송할 수 있다.
그리고 챌린지 공간을 이용하여 챌린지 매트릭스가 생성될 수 있다.
챌린지 매트릭스가 전송되면, 증명자(100-1)는 마스킹된 동형 암호문과 챌린지 매트릭스를 연산하여, 응답 암호문(또는 연산 처리된 암호문)을 생성할 수 있다.
응답 암호문을 수신한 검증자(100-2)는 기존에 수신한 동형 암호문과 이번에 수신한 응답 암호문의 연산을 수행하거나, 동형 암호문과 챌린지 매트릭스의 연산 결과와 응답 암호문의 비교를 통하여 그 값의 일치 여부로 영지식 증명을 수행할 수 있다.
한편, 챌린지 공간이 작은 경우에는 상술한 동작을 많이 수행하여야 지만, 기설정된 확률 이하의 안정성이 확보가 된다. 그러나 본 개시와 같이 큰 챌린지 공간을 이용하는 경우, 기존보다 작은 반복만으로 기설정된 확률의 안정성을 확보할 수 있다.
도 7은 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타내는 블럭도이다. 구체적으로, 도 1의 시스템에서 제1 전자 장치, 제2 전자 장치 등과 같이 동형 암호화를 수행하는 장치, 제1 서버 장치 등과 같이 동형 암호문을 연산하는 장치, 제2 서버 장치 등과 같이 동형 암호문을 복호하는 장치 등을 연산 장치라고 지칭할 수 있다. 이러한 연산 장치는 PC(Personal computer), 노트북, 스마트폰, 태블릿, 서버 등 다양한 장치일 수 있다.
도 10을 참조하면, 연산 장치(400)는 통신 장치(410), 메모리(420), 디스플레이(430), 조작 입력 장치(440) 및 프로세서(450)를 포함할 수 있다.
통신 장치(410)는 연산 장치(400)를 외부 장치(미도시)와 연결하기 위해 형성되고, 근거리 통신망(LAN: Local Area Network) 및 인터넷망을 통해 외부 장치에 접속되는 형태뿐만 아니라, USB(Universal Serial Bus) 포트 또는 무선 통신(예를 들어, WiFi 802.11a/b/g/n, NFC, Bluetooth) 포트를 통하여 접속되는 형태도 가능하다. 이러한 통신 장치(410)는 송수신부(transceiver)로 지칭될 수도 있다.
통신 장치(410)는 공개키를 외부 장치로부터 수신할 수 있으며, 연산 장치(400) 자체적으로 생성한 공개키를 외부 장치로 전송할 수 있다.
그리고 통신 장치(410)는 외부 장치로부터 메시지를 수신할 수 있으며, 생성한 암호문을 외부 장치로 송신할 수 있다.
또한, 통신 장치(410)는 암호문 생성에 필요한 각종 파라미터를 외부 장치로부터 수신할 수 있다. 한편, 구현시에 각종 파라미터는 후술하는 조작 입력 장치(440)를 통하여 사용자로부터 직접 입력받을 수 있다.
또한, 통신 장치(410)는 외부 장치로부터 동형 암호문에 대한 연산을 요청받을 수 있으며, 그에 따라 계산된 결과를 외부 장치에 전송할 수 있다.
또한, 통신 장치(410)는 동형 암호문을 수신할 수도 있다.
또한, 통신 장치(410)는 생성된 곱쌍을 다른 장치에 전송할 수 있으며, 각 장치로부터 곱쌍에 대한 연산 결과를 제공받을 수 잇다.
또한, 통신 장치(410)는 영지식 증명을 위한 마스크 처리된 동형 암호문을 외부 장치에 전송하거나, 외부 장치로부터 마스크 처리된 동형 암호문을 수신할 수 있다.
또한, 통신 장치(410)는 영지식 증명에 이용되는 챌린지 매트릭스를 송신하거나 수신할 수 있으며, 이에 대응되는 응답 암호문을 수신하거나 송신할 수 있다.
메모리(420)는 연산 장치(400)를 구동하기 위한 O/S나 각종 소프트웨어, 데이터 등을 저장하기 위한 구성원소이다. 메모리(420)는 RAM이나 ROM, 플래시 메모리, HDD, 외장 메모리, 메모리 카드 등과 같은 다양한 형태로 구현될 수 있으며, 어느 하나로 한정되는 것은 아니다.
메모리(420)는 암호화할 메시지를 저장한다. 여기서 메시지는 사용자가 각종 인용한 각종 신용 정보, 개인 정보 등일 수 있으며, 연산 장치(400)에서 사용되는 위치 정보, 인터넷 사용 시간 정보 등 사용 이력 등과 관련된 정보일 수도 있다.
그리고 메모리(420)는 공개키를 저장할 수 있으며, 연산 장치(400)가 직접 공개키를 생성한 장치인 경우, 비밀키뿐만 아니라, 공개키 및 비밀키 생성에 필요한 각종 파라미터를 저장할 수 있다.
그리고 메모리(420)는 후술한 과정에서 생성된 동형 암호문을 저장할 수 있다. 그리고 메모리(420)는 동형 암호문의 생성 과정의 중간 데이터(예를 들어, 유사 보간 결과인 다항식, 곱쌍 등 )을 저장할 수 있다.
디스플레이(430)는 연산 장치(400)가 지원하는 기능을 선택받기 위한 사용자 인터페이스 창을 표시한다. 구체적으로, 디스플레이(430)는 연산 장치(400)가 제공하는 각종 기능을 선택받기 위한 사용자 인터페이스 창을 표시할 수 있다. 이러한 디스플레이(430)는 LCD(liquid crystal display), OLED(Organic Light Emitting Diodes) 등과 같은 모니터일 수 있으며, 후술할 조작 입력 장치(440)의 기능을 동시에 수행할 수 있는 터치 스크린으로 구현될 수도 있다.
디스플레이(430)는 비밀키 및 공개키 생성에 필요한 파라미터의 입력을 요청하는 메시지를 표시할 수 있다. 그리고 디스플레이(430)는 암호화 대상이 메시지를 선택하는 메시지를 표시할 수 있다. 한편, 구현시에 암호화 대상은 사용자가 직접 선택할 수도 있고, 자동으로 선택될 수 있다. 즉, 암호화가 필요한 개인 정보 등은 사용자가 직접 메시지를 선택하지 않더라도 자동으로 설정될 수 있다.
조작 입력 장치(440)는 사용자로부터 연산 장치(400)의 기능 선택 및 해당 기능에 대한 제어 명령을 입력받을 수 있다. 구체적으로, 조작 입력 장치(440)는 사용자로부터 비밀키 및 공개키 생성에 필요한 파라미터를 입력받을 수 있다. 또한, 조작 입력 장치(440)는 사용자로부터 암호화될 메시지를 설정받을 수 있다.
프로세서(450)는 연산 장치(400) 내의 각 구성을 제어한다. 이러한 프로세서(450)는 CPU(central processing unit), ASIC(application-specific integrated circuit)과 같은 단일 장치로 구성될 수 있으며, CPU, GPU(Graphics Processing Unit) 등의 복수의 장치로 구성될 수도 있다.
프로세서(450)는 전송하고자 하는 메시지가 입력되면 메모리(420)에 저장한다. 프로세서(450)는 메모리(420)에 저장된 각종 설정 값 및 프로그램을 이용하여, 메시지를 동형 암호화할 수 있다. 이 경우, 공개키가 사용될 수 있다.
프로세서(450)는 암호화를 수행하는데 필요한 공개키를 자체적으로 생성하여 사용할 수도 있고, 외부 장치로부터 수신하여 사용할 수도 있다. 일 예로, 복호화를 수행하는 제2 서버 장치(300)가 공개키를 다른 장치들에게 배포할 수 있다.
자체적으로 키를 생성하는 경우, 프로세서(450)는 Ring-LWE 기법을 이용하여 공개키를 생성할 수 있다. 구체적으로 설명하면, 프로세서(450)는 먼저 각종 파라미터 및 링을 설정하여, 메모리(420)에 저장할 수 있다. 파라미터의 예로는 평문 메시지 비트의 길이, 공개키 및 비밀키의 크기 등이 있을 수 있다.
링은 다음과 같은 수학식으로 표현될 수 있다.
[수학식 18]
Figure pat00177
여기서 R은 링,
Figure pat00178
는 2의 지수승으로 표현되는 계수, φM (t)는 N차 사이클로토믹 다항식 (N-th cyclotomic polynomial)이다.
링(Ring)이란 기 설정된 계수를 가지는 다항식의 집합으로, 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합으로, 본 개시에서는 링은 평문 공간이 2의 지수승의 집합을 의미한다. 그리고 Euler totient 함수 Φ(N)이란 N과 서로소이고 N보다 작은 자연수의 개수를 의미한다.
링이 설정되면, 프로세서(450)는 공개 파라미터 ppλ가 주어지면, 비밀 키(sk)를 산출할 수 있다.
[수학식 19]
sk ← HWT(h)
여기서, s(x)는 작은 계수로 랜덤하게 생성한 다항식을 의미한다.
그리고 프로세서(450)는 생성된 비밀 키를 이용하여 공개 키를 산출할 수 있다.
[수학식 20]
pk=(a, b) ∈ R2 q2
여기서, a←U(q2), b=a·sk + 2k·e(mod q2) , e←DG(σ2)이다.
또한, 프로세서(450)는 후술하는 곱쌍 생성에 이용할 재선형 데이터를 함께 산출할 수 있다.
상술한 키 생성 방법은 일 예에 불과하므로, 반드시 이에 한정되는 것은 아니며, 이 밖에 다른 방법으로 공개키 및 비밀키를 생성할 수도 있음은 물론이다.
한편, 프로세서(450)는 공개키가 생성되면, 다른 장치들에 전송되도록 통신 장치(410)를 제어할 수 있다.
그리고 프로세서(450)는 메시지에 대한 동형 암호문을 생성할 수 있다. 이때, 프로세서(450)는 선행적으로 복수의 메시지를 다항식으로 변환하는 인코딩 동작(또는 패킹 동작)을 수행할 수 있다.
구체적으로, 프로세서(450)는 기설정된 크기의 2의 거듭제곱(2δ) 및 링을 이용하여 복수의 메시지를 하나의 다항식으로 인코딩할 수 있다. 예를 들어, 프로세서(450)는 다항식의 변수 변화에 따른 다항식의 결과 값이 복수의 메시지 중 변수 값에 대응되는 메시지 값에 기설정된 크기의 2의 거듭제곱이 곱한 값을 갖도록 다항식의 계수를 할당하여 복수의 메시지에 대응되는 다항식을 생성할 수 있다.
이에 따라 생성된 다항식은 최고차수 2r-1 또는
Figure pat00179
일 수 있으며, 상술한 수학식 21을 만족할 수 있다. 여기서, r은 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 수이다.
[수학식 21]
Figure pat00180
여기서, X(i)는 i-1차 다항식, i는 양의 정수, xi(t)=
Figure pat00181
,, aj는 다항식의 계수,
Figure pat00182
는 2의 지수승으로 표현되는 계수이다.
그리고 패킹되는 메시지의 개수는 아래의 수학식 22 또는 수학식 23을 만족하는 개수일 수 있다.
[수학식 22]
Figure pat00183
여기서, N는 다항식의 차수이다.
[수학식 23]
Figure pat00184
여기서, r은 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 개수이고, d는 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 차수이다.
그리고 프로세서(450)는 생성된 다항식을 암호문으로 생성할 수 있다. 구체적으로, 프로세서(450)는 아래의 수학식 20과 같이 c0, c1을 연산하고, 암호문 ct = (ℓ, c0, c1)을 암호문으로 생성할 수 있다. 여기서 ℓ은 암호문에 레벨이다.
한편, 상술한 기설정된 크기의 2의 거듭제곱의 지수는 (d-1)!의 소인수분해에서 2의 중복도일 수 있으며, 이러한 값은 미리 계산될 수 있으며, 패킹 과정에서 주어진 메시지의 개수에 대응되게 패킹 과정마다 계산될 수 있다.
[수학식 24]
c0 = b·v + 2k·e0 + m (mod q2), c1 = a·v + 2k·e1 (mod q2)
여기서, v←ZO(0.5)이고, e0, e1←DG(σ2)이다.
그리고 프로세서(450)는 다항식 형태로 변환된 메시지에 공개키를 적용하여 암호문을 생성할 수 있다.
한편, 복수의 암호문에 대한 연산이 필요한 경우, 프로세서(450)는 복수의 암호문에 대한 곱쌍을 생성하고, 생성한 곱쌍이 복수의 전자 장치에 전송하도록 통신 장치(410)를 제어할 수 있다.
그리고 프로세서(450)는 복수의 전자 장치로부터 연산 결과를 수신하면, 수신한 연산 결과에 대한 검증(예를 들어, 영 지식 증명)을 수행하고, 검증된 값을 이용하여 최종 연산 결과를 생성할 수 있다. 구체적으로, 영지식 증명이 필요한 경우, 프로세서(450)는 저장한 메시지에 대한 샘플링 및 샘플링된 메시지에 대한 동형 암호문을 생성할 수 있다.
그리고 프로세서(450)는 생성한 동형 암호문을 검증을 수행하고자 하는 장치에 전송하도록 통신 장치(410)를 제어할 수 있다. 이때, 프로세서(450)는 동형 암호문에 대한 기설정된 연산 처리를 수행하여, 즉 마스킹 처리를 수행하고, 마스킹 처리된 결과를 외부 장치에 전송할 수 있다.
그리고 프로세서(450)는 외부 장치로부터 챌린지 매트릭스를 수신하면, 수신한 챌린지 매트릭스와 동형 암호문(또는 마스킹 처리된 동형 암호문)을 이용하여 응답 암호문을 생성하고, 그 결과를 해당 장치에 전송하도록 통신 장치(410)를 제어할 수 있다.
만약, 연산 장치(450)가 검증자로 동작하는 경우, 프로세서(450)는 기설정된 챌린지 공간을 이용하여 챌린지 매트릭스를 추출(또는 생성)하고, 챌린지 메트릭스가 전송되도록 통신 장치(410)를 제어할 수 있다. 이에 대응하여, 응답 암호문이 수신되면, 수신된 응답 암호문, 챌린지 매트릭스와 미리 수신한 동형 암호문을 이용하여 검증을 수행할 수 있다.
그리고 프로세서(450)는 상술한 동작을 기설정된 횟수만큼 반복하여 수행할 수 있다.
그리고 프로세서(450)는 동형 암호문에 대한 복호가 필요한 경우, 동형 암호문에 비밀키를 적용하여 다항식 형태의 복호문을 생성하고, 다항식 형태의 복호문을 디코딩하여 메시지를 생성할 수 있다.
이상과 같이 본 개시에 따른 연산 장치는, CPU에서 연산 가능한 2의 지수승법으로 동작하는 데이터를 생성하는바, 별도의 에뮬레이션이 필요 없다. 또한, 상술한 패킹 방식을 이용함에 따라 기존보다 영 지식 증명이 감소하고, 높은 폴드 병렬성을 갖는다는 점에서, 높은 계산 비용 절감이 가능하다. 또한, 큰 챌린지 매트릭스를 이용함으로써, 낮은 반복횟수를 이용하여 영지식 증명을 수행할 수 있다.
한편, 도 7을 도시하고 설명함에 있어서, 하나의 장치에서 암호화 동작 즉 인코딩 및 암호화 동작 모두를 수행하는 것으로 도시하고 설명하였지만, 구현시에 하나의 장치에서 키 생성, 다른 장치에서 인코딩 동작만을 수행하고, 또 다른 장치에서 인코딩 결과를 수신하여 암호화를 수행할 수도 있다. 또한, 복호화 과정에서도 하나의 장치에서 복호화 동작 및 디코딩 동작 모두를 수행할 수도 있으며, 두 개의 장치에서 개별적으로 복호화 동작, 디코딩 동작을 수행할 수도 있다.
또한, 도 7을 도시하고 설명함에 있어서, 비대칭형 암호 방식(즉, 비밀 키 및 공개 키)을 이용하는 것으로 설명하였지만, 구현시에는 대칭형 암호 방식으로 암호화, 복호화 동작을 수행할 수도 있다.
도 8은 증명자 입장에서의 암호문 처리 방법을 설명하기 위한 도면이다.
원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(Ring)을 이용하여, 평문에 대한 동형 암호문을 생성하여 외부 장치에 전송한다(S810). 여기서, 링은 집합 중 평문 공간이 소수(prime)의 집합일 수 있다. 이때, 동형 암호문에 대한 기설정된 연산 처리를 수행하여, 마스킹된 동형 암호문을 생성하여 전송할 수도 있다.
그리고 기설정된 챌린지 공간을 만족하는 챌린지 매트릭스를 수신하면(S820). 수신한 챌린지 매트릭스와 동형 암호문을 이용하여 응답 암호문을 생성하여, 해당 외부 장치에 생성한 응답 암호문을 전송한다(S830). 여기서, 기설정된 챌린지 공간은, 0 또는 2 이상의 정수 값을 가지며, 해당 정수 값은 링에 대한 계수 시프팅의 이동으로 작용하는 인자 값이다.
도 9는 검증자 입장에서의 암호문 처리 방법을 설명하기 위한 도면이다.
도 9를 참조하면, 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(Ring)을 이용하여 평문에 대한 동형 암호문을 수신한다(S910). 이때, 동형 암호문은 기설정된 연산이 수행된 마스킹 처리된 암호문일 수 있다.
그리고 기설정된 챌린지 공간을 만족하는 챌린지 매트릭스를 생성하여 전송한다(S920). 여기서, 기설정된 챌린지 공간은 0 또는 2 이상의 정수 값을 갖는 공간으로, 기존의 {0,1}보다 넓은 범위를 갖는바, 기존 대비 적은 횟수만으로 동일한 안정성을 확보할 수 있다.
그리고 동형 암호문 및 챌린지 매트릭스에 대응하는 응답 암호문을 수신하면(S930), 동형 암호문과 챌린지 매트릭스의 연산 결과가 수신한 응답 암호문에 대응하는지를 판단한다.
그리고 상술한 동작(챌린지 매트릭스를 전송하는 동작과 응답 암호문을 수신하고, 판단하는 동작)을 반복 수행하여, 동형 암호문을 검증할 수 있다(S940). 이와 같은 반복 동작은 기설정된 안정성(또는 비율)을 확보하기 위한 횟수만큼 수행될 수 있다.
이상과 같이 본 실시 예에 따른 암호문 처리 방법은 큰 챌린지 공간을 이용하여 영지식 증명을 수행하는바, 반복 회수를 적게 하더라도 기설정된 안정성을 확보하는 것이 가능하다. 또한, 2의 거듭제곱을 갖는 링뿐만 아니라, 소수를 갖는 링 상에서도 동작이 가능하다.
한편, 상술한 다양한 실시 예에 따른 암호문 처리 방법은 각 단계들을 수행하기 위한 프로그램 코드 형태로 구현되어, 기록 매체에 저장되고 배포될 수도 있다. 이 경우, 기록 매체가 탑재된 장치는 상술한 암호문 처리 방법 등의 동작들을 수행할 수 있다.
이러한 기록 매체는, ROM, RAM, 메모리 칩, 메모리 카드, 외장형 하드, 하드, CD, DVD, 자기 디스크 또는 자기 테이프 등과 같은 다양한 유형의 컴퓨터 판독 가능 매체가 될 수 있다.
이상 첨부 도면을 참고하여 본 개시에 대해서 설명하였지만 본 개시의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시 예 및/또는 도면에 제한되는 것으로 해석되어서는 안 된다. 그리고 특허청구범위에 기재된 개시의, 당업자에게 자명한 개량, 변경 및 수정도 본 개시의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.
100: 전자 장치 200: 제1 서버 장치
300: 제2 서버 장치 400: 연산 장치
410: 통신 장치 420: 메모리
430: 디스플레이 440: 조작 입력 장치
450: 프로세서

Claims (16)

  1. 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(Ring)을 이용하여, 평문에 대한 동형 암호문을 생성하는 단계;
    기설정된 챌린지 공간을 만족하는 챌린지 매트릭스를 수신하는 단계;
    상기 수신한 챌린지 매트릭스와 상기 동형 암호문을 이용하여 응답 암호문을 생성하는 단계; 및
    상기 생성한 응답 암호문을 전송하는 단계;를 포함하고,
    상기 링은 상기 집합 중 평문 공간이 소수(prime)의 집합이고,
    상기 기설정된 챌린지 공간은,
    0 또는 2 이상의 정수 값을 갖는 공간인 암호문 처리 방법.
  2. 제1항에 있어서,
    상기 2이상의 정수 값은, 상기 링에 대한 계수 쉬프팅의 이동으로 작용하는 인자 값인 암호문 처리 방법.
  3. 제1항에 있어서,
    상기 동형 암호문을 생성하는 단계는,
    상기 생성된 동형 암호문에 대해서 기설정된 연산 처리를 수행하여, 마스킹된 동형 암호문을 생성하는 암호문 처리 방법.
  4. 제1항에 있어서,
    상기 동형 암호문을 생성하는 단계는,
    기설정된 크기의 2의 거듭제곱(2δ) 및 상기 링을 이용하여 메시지에 대한 동형 암호문을 생성하는 암호문 처리 방법.
  5. 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(Ring)을 이용하여, 평문에 대한 동형 암호문을 수신하는 단계;
    기설정된 챌린지 공간을 만족하는 챌린지 매트릭스를 생성하여 전송하는 단계;
    상기 동형 암호문 및 상기 챌린지 매트릭스에 대응하는 응답 암호문을 수신하는 단계;
    상기 동형 암호문과 상기 챌린지 매트릭스의 연산 결과가 상기 수신한 응답 암호문에 대응하는지를 판단하는 단계;를 포함하고,
    상기 링은 상기 집합 중 평문 공간이 소수(prime)의 집합이고,
    상기 기설정된 챌린지 공간은,
    0 또는 2 이상의 정수 값을 갖는 공간인 암호문 처리 방법.
  6. 제5항에 있어서,
    상기 2이상의 정수 값은, 상기 링에 대한 계수 쉬프팅의 이동으로 작용하는 인자 값인 암호문 처리 방법.
  7. 제5항에 있어서,
    상기 전송한 챌린지 매트릭스와 다른 챌린지 매트릭스를 이용하여, 상기 전송하는 단계, 상기 수신하는 단계 및 상기 판단하는 단계를 반복하여, 상기 동형 암호문을 검증하는 단계;를 더 포함하는 암호문 처리 방법.
  8. 제7항에 있어서,
    상기 검증하는 단계는,
    챌린지 공간이 {0, 1}인 경우를 이용한 경우보다 적은 횟수로 상술한 단계를 반복하는 암호문 처리 방법.
  9. 연산 장치에 있어서,
    외부 장치와 통신하는 통신 장치;
    적어도 하나의 인스트럭션(instruction)을 저장하는 메모리; 및
    상기 적어도 하나의 인스트럭션을 실행하는 프로세서;를 포함하고,
    상기 프로세서는,
    상기 적어도 하나의 인스트럭션을 실행함으로써,
    원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(Ring)을 이용하여, 평문에 대한 동형 암호문을 생성하고,
    상기 외부 장치로부터 기설정된 챌린지 공간을 만족하는 챌린지 매트릭스를 수신하면, 상기 수신한 챌린지 매트릭스와 상기 동형 암호문을 이용하여 응답 암호문을 생성하고,
    상기 생성한 응답 암호문이 상기 외부 장치에 전송하도록 상기 통신 장치를 제어하고,
    상기 링은 상기 집합 중 평문 공간이 소수(prime)의 집합이고,
    상기 기설정된 챌린지 공간은,
    0 또는 2 이상의 정수 값을 갖는 공간인 연산 장치.
  10. 제9항에 있어서,
    상기 2이상의 정수 값은, 상기 링에 대한 계수 쉬프팅의 이동으로 작용하는 인자 값인 연산 장치.
  11. 제9항에 있어서,
    상기 프로세서는,
    상기 생성된 동형 암호문에 대해서 기설정된 연산 처리를 수행하여, 마스킹된 동형 암호문을 생성하는 연산 장치.
  12. 제9항에 있어서,
    상기 프로세서는,
    기설정된 크기의 2의 거듭제곱(2δ) 및 상기 링을 이용하여 메시지에 대한 동형 암호문을 생성하는 연산 장치.
  13. 연산 장치에 있어서,
    외부 장치와 통신하는 통신 장치;
    적어도 하나의 인스트럭션(instruction)을 저장하는 메모리; 및
    상기 적어도 하나의 인스트럭션을 실행하는 프로세서;를 포함하고,
    상기 프로세서는,
    상기 적어도 하나의 인스트럭션을 실행함으로써,
    원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(Ring)을 이용하여 생성된 동형 암호문을 수신하면,
    기설정된 챌린지 공간을 만족하는 챌린지 매트릭스를 생성하고,
    상기 생성한 챌린지 매트릭스가 상기 외부 장치에 전송하도록 상기 통신 장치를 제어하고,
    상기 동형 암호문 및 상기 챌린지 매트릭스에 대응하는 응답 암호문을 수신하면, 상기 동형 암호문과 상기 챌린지 매트릭스의 연산 결과가 상기 수신한 응답 암호문에 대응하는지를 판단하고,
    상기 링은 상기 집합 중 평문 공간이 소수(prime)의 집합이고,
    상기 기설정된 챌린지 공간은,
    0 또는 2 이상의 정수 값을 갖는 공간인 연산 장치.
  14. 제13항에 있어서,
    상기 2이상의 정수 값은, 상기 링에 대한 계수 쉬프팅의 이동으로 작용하는 인자 값인 연산 장치.
  15. 제13항에 있어서,
    상기 프로세서는,
    상기 전송한 챌린지 매트릭스와 다른 챌린지 매트릭스를 전송 및 수신한 응답 암호문에 대한 판단을 반복적으로 수행하여 상기 동형 암호문을 검증하는 연산 장치.
  16. 제15항에 있어서,
    상기 프로세서는,
    챌린지 공간이 {0, 1}인 경우를 이용한 경우보다 적은 횟수로 상술한 동작을 반복하는 연산 장치.

KR1020210085642A 2021-06-30 2021-06-30 영지식 증명을 위한 암호문 처리 방법 및 장치 KR102599406B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210085642A KR102599406B1 (ko) 2021-06-30 2021-06-30 영지식 증명을 위한 암호문 처리 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210085642A KR102599406B1 (ko) 2021-06-30 2021-06-30 영지식 증명을 위한 암호문 처리 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20230003954A true KR20230003954A (ko) 2023-01-06
KR102599406B1 KR102599406B1 (ko) 2023-11-08

Family

ID=84924383

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210085642A KR102599406B1 (ko) 2021-06-30 2021-06-30 영지식 증명을 위한 암호문 처리 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102599406B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117272293A (zh) * 2023-11-20 2023-12-22 北京信安世纪科技股份有限公司 零知识证明中公共参数生成方法、系统、设备和存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8515058B1 (en) * 2009-11-10 2013-08-20 The Board Of Trustees Of The Leland Stanford Junior University Bootstrappable homomorphic encryption method, computer program and apparatus
US20150381350A1 (en) * 2014-06-27 2015-12-31 Thomson Licensing Threshold cryptosystem, corresponding electronic devices and computer program products

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8515058B1 (en) * 2009-11-10 2013-08-20 The Board Of Trustees Of The Leland Stanford Junior University Bootstrappable homomorphic encryption method, computer program and apparatus
US20150381350A1 (en) * 2014-06-27 2015-12-31 Thomson Licensing Threshold cryptosystem, corresponding electronic devices and computer program products

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117272293A (zh) * 2023-11-20 2023-12-22 北京信安世纪科技股份有限公司 零知识证明中公共参数生成方法、系统、设备和存储介质
CN117272293B (zh) * 2023-11-20 2024-02-13 北京信安世纪科技股份有限公司 零知识证明中公共参数生成方法、系统、设备和存储介质

Also Published As

Publication number Publication date
KR102599406B1 (ko) 2023-11-08

Similar Documents

Publication Publication Date Title
EP3793127B1 (en) Terminal device performing homomorphic encryption, server device processing cipher text thereof, and methods thereof
KR102040106B1 (ko) 실수 평문에 대한 동형 암호화 방법
JP7019730B2 (ja) キー交換デバイス及び方法
Chen et al. Privacy-preserving and verifiable protocols for scientific computation outsourcing to the cloud
KR102297536B1 (ko) 암호문에 대한 비다항식 연산을 수행하는 장치 및 방법
KR102167565B1 (ko) 근사 암호화된 암호문에 대한 재부팅 연산을 수행하는 장치 및 방법
KR102393942B1 (ko) 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법
Kumar et al. Novel pseudo random key & cosine transformed chaotic maps based satellite image encryption
CN110826089A (zh) 一种实现大尺度矩阵乘法安全高效的可验证外包计算方法、客户端及云计算系统
JP7170878B2 (ja) 暗号文に対する非多項式演算を行う装置及び方法
KR102599406B1 (ko) 영지식 증명을 위한 암호문 처리 방법 및 장치
Ajmal et al. Cloud computing platform: Performance analysis of prominent cryptographic algorithms
CN116170142B (zh) 分布式协同解密方法、设备和存储介质
KR20220079522A (ko) 기하 대수 및 헨젤 코드들을 이용한 암호화를 위한 방법들 및 시스템들과 동형 암호화 시스템들
KR20210066713A (ko) 래티스를 기반으로 하는 암호키 생성 방법 및 전자서명 방법
KR102304992B1 (ko) 동형 암호문에 대한 비다항식 연산을 수행하는 장치 및 방법
KR102382952B1 (ko) 근사 계산에 대한 계산 검증
KR102257779B1 (ko) 다자간 계산을 위한 유사 보간
KR102160294B1 (ko) 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법
KR20210155369A (ko) 동형 암호 시스템에 대한 시뮬레이션 장치 및 방법
KR20220163493A (ko) 동형 암호문에 대한 통계 연산 수행하는 장치 및 방법
US6839839B1 (en) Public key distribution using an approximate linear function
KR102393941B1 (ko) 근사 암호화된 암호문에 대한 인코딩 또는 디코딩
KR20200135129A (ko) 모듈러 곱셈 연산을 수행하는 연산 장치 및 방법
KR102418016B1 (ko) 래티스를 기반으로 하는 신원 기반 암호화 방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right