KR100259179B1 - 암호화 통신 처리 - Google Patents

Abstract

암호화, 서명 및 입증을 위해 사용될수 있는 신규한 비대칭 암호화 시스템. 이 시스템은 유한 링 K에 있어서 값을 갖는 저 차수 일반 다항식에 기초한다.

이 시스템은 반드시 전단사적이지는 않다. 보안 키는 링 K의 확장에 있어서 값을 갖는 다항식을 비밀로 할수 있도록 한다. 이들 방정식을 푸는 것은 보안 키를 갖고 있을 경우에 가능하며, 이는 공용 키만으로 실행할수 없는 연산을 행한다.

Description

암후화 통신 처리

제 1도는 메시지를 처리하기 위해 사용되는 연속적인 변환들을 나타낸 도면이다.

제 2도는 메시지의 부호화/해독을 실행하기 위해 사용되는 통신 장치를 보인 도면이다.

제 3도는 메시지의 서명 및 그의 검증을 실행하기 위해 사용되는 상기 장치를 보인 도면이다.

본 발명은 대화자들간의 메시지를 처리하고 통신들을 보호하기 위한 비대칭적 암호화 통신 처리에 관한 것이다. 이는 비대칭적으로 메시지들을 암호화하거나 또는 이들을 비대칭적으로 부호화하기 위해 사용될수 있다. 이는 비대칭적 입증에도 사용될 수 있다.

공지의 제 1 해법은 1977년에 개발되었다. 이 해법은 본 발명자들, 리베스트, 샤미르 및 애들맨에 의해 1977년 12월 15일 출원되어 특허된 미합중국 특허 4,405,829에 기술되어 있다. 이 해법은 본 발명자들의 이름으로 부터 RSA로 불리우며 두가지 형태의 키를 사용한다. 제 1 키(Kp)는 메시지를 암호화하도록 하며 제 2 키(Ks)는 메시지를 해독하도록 한다. 세계적으로 공지되어 있는 이 과정은, 암호화 및 해독용키가 상이하며, 비대칭 암호화의 기본이다. 동일한 네트워크에 있어서, 각 부재 (i)는 한쌍의 키를 구비한다. 제 1 키 (Kpi)는 공용키로 모든 사람에게 알려진 것이며, 제 2 키 (Ksi)는 비밀키로 결코 통신될수 없는 것이다.

동일한 네크워크에서 대화자 (1)과 (2)간의 암호화 통신은 다음과 같이 행해진다: (1)과 (2)는 시간전에 서로 그들의 공용 키(Kp1)과 (Kp2)를 통신한다; 다음, (1)이 (2)에게 메시지 (M)을 전송할때, 그는 키 (Kp2)로 메시지를 암호화하며, 일단 이 메시지가 (2)에 의해 수신되면 오직 다음과 같이 주어진 비밀키(Ks2)의 도움으로만 해독될 수 있다:

암호화 : M' = RSA(M, Kp2)

해독 : M = RSA(M', Ks2)

(2)가 (1)에게 메시지의 송출을 원할때, 그는 (1) : (Kp1)에 속하는 공용키를 사용하여 그를 암호화하고, 그 자신의 비밀키(Ks1)로 해독한다.

RSA 과정은 또한 서명을 위해 사용될수 있다: 다음, 메시지는 개별적인 비밀키로 암호화되어 메시지를 암호화하며, 서명은 비암호화 형태의 메시지로 전송된다; 메시지의 수신자는 각각의 공용키에 대한 허가를 요구하고 그를 사용하여 서명을 해독한다; 해독된 텍스트가 비해독 메시지에 해당하면, 서명은 검증된다.

이 암호화 통신 과정은 몇몇 결점을 갖고 있다. 조작 회수가 매우 많아(현재 512비트), 많은 계산을 필요로 하며 이는 서명에 매우 긴 시간을 요하게 한다. 또한, 인수분해에 새로운 돌파구가 마련될 경우 RSA의 비밀이 훼손될수 있다.

다른 비대칭적 암호화 통신 절차는, 예컨대 "냅색(knapsack)" 의 알고리즘이나 마쯔모토-이마이(MATSUNOTO-IMAI) 알고리즘을 사용하여, 메시지의 서명의 소명이나 비대칭 암호화의 함수를 행하는 것을 제시하고 있다. 그러나, 이들 예는 보안화의 정도가 전반적으로 불충분하다.

본 발명은 이들 두 예의 정점을 유지하면서 이들의 단점을 제거한 해법을 제시한다. 본 발명은 RSA와 같이, 검증, 암호화 및 서명의 함수를 위해 사용될수 있는, "히든 필드 알고리즘(Hidden Fields Algorithm)" 또는 HFE (Hidden Fields Equation)으로 불리우는 신규한 알고리즘을 사용한다. 또한, RSA는 주로 많은 수를 인수분해 하는 문제에 기초를 두고 있는 반면, HFE 알고리즘은 전혀 다른 문제, 즉 다변수 저차 방정식(일반적으로 차수가 2 또는 3인)의 해법에 기초를 두고 있다. 상기 마쯔모토-이마이 알고리즘도 이 문제에 근거하고 있으나 전술한 바와 같이 보안성이 불충분하여 암호화 통신 절차에 이용하기에는 부적절하다. 본 발명자는 또한 마쯔모토-이마이 알고리즘이 암호화적으로 충실하지 못하다는 것을 발견했다.

HFE 알고리즘의 충실도에 기여할수 있는 신규한 요소중에 이 일고리즘이 반드시 전단사적(bijective)일 필요가 없고, 또한 극히 일반적인 다항 방정식을 사용할수 있다는 점이다.

본 발명의 다른 장점은 HFE 알고리즘이 극히 짧은 서명(200비트 미만)도 가능하다는 점이며, 현재 알려진 가장 짧은 비대칭 서명은 220 또는 320비트 정도이다(SCHNORR 알고리즘 또는 DSS 알고리즘의 도움에 의해 얻어진 것이며, 이들 알고리즘은 암호화/해독이 아닌 서명 또는 검증만을 위해 사용될수 있다). RSA를 사용하면 적어도 512비트를 사용하는 것이 바람직하다.

정의

1. 링(ring) A의 차수 N을 갖는 "확장(extension)"은 A[X]/g[X]를 갖는 동형대수 구조로서 A[X]는 A에 대해 불확정적인 다항들의 링이며, g[X]는 n의 차수를 갖는 다항식이다.

특별한 특징적 경우는 A가 유한계 Fq이고 g는 Fq에 대해 n의 차수를 갖는 기약 다항식이다. 이 경우, A[X]/g[X]는 F_pn을 갖는 유한 동형체이다.

2. n의 차수를 갖는 확장선 L_n의 "베이스(base)"는 L_n, (e₁, e₂, …, e_n)의 n 요소의 패밀리이며, L_n의 모든 요소 e는 다음과 같이 독특한 형태로 표현된다;

이를 위해, 본 발명은 (n) 요소들의 유한 링(K)로 표시된 값 (X)를 (n') 요소들의 링 (K)로 표시된 가상 치(Y)로 변환하는 암호화 통신 처리에 관한 것으로,

a) 가상 치(Y)의 각 요소(n')가 값 (X)의 (n) 요소들로 구성된 2 이상의 낮은 차수 D(일반적으로 D = 2 또는 3)를 갖는 일반 다항 방정식의 형태이다:

b) 상기 가상 치 (Y)는 다음 스텝들(그들중 적어도 약간은 암호화 보안의 지식을 요함)을 포함하는 변환을 통해 값 (X)로 부터 얻어질수도 있다:

b1) (n) 개의 요소들을 갖는 제 1 가상치(I1)를 얻기 위해 값 (X)의 (n) 요소들로 구성된 차수 1의 제 1 보안 다항 변환 (s)를 값 (X)에 인가하는 스텝;

b2) 각 브랜치가 제 1 가상치(I1)의 요소들로 구성되는, 하나 이상의 브랜치를 형성하는 스텝(예컨대, Ii의 n₁제 1 요소들을 포함하고, 제 2 브랜치는 n₂후속요소들 등을 포함하며, 또는 상기 요소는 몇몇 브랜치에 존재할수도 있다),

·상기 브랜치들의 적어도 하나 (e) (또는 모두도 가능)에 있어서, 브랜치들의 (n_e) 요소들은 W*k = n_e의 링 (K)의 차수 W를 갖는 확장(L_w)에 속하고,

다음과 같이 정의된 변환을 적어도 상기 브랜지 (e)에 적용하는 변수 또는 소수(k)의 변수 (x, x', x", ..., x^k)를 나타내는 것으로 고려된다:

f_e: L_w ^k→L_w ^k

(x, x', x", ..., x^k)→(y, y', y", ..., y^k)

상기 식에서 (y, y', y", ..., y^k)는 변환 f_e로 부터의 (x, x', x", ..., x^k)의 이미지이며, 이 때 f_e는 다음과 같은 두 특성들을 입증한다.

-b2.1) 상기 링 확장(L_w)에 있어서, 이미지(y, y', y", ..., y^k)의 각 성분은 이 베이스에 있어서 (x, x', x", ..., x^k)의 성분들로 구성된 다항식의 형태로 표현되며 이 다항식은 상기 일반 다항식의 차수 (D) 미만 또는 이와 같은 전체 차수를 갖는다;

-b2.2) 링 확장(L_w)으로 표현되며, 상기 변환은, 전항들이 존재할때 이 전항들을 계산(그의 수가 전체 엔트리수에 대해 무시할수 있는 어떤 엔트리들을 제외하고)할 수 있다(이 계산은 n_e가 매우 작을때 철저한 서치에 의해 또는 유한 링에 있어서의 다항식의 형태를 풀기 위한 알고리즘을 사용하여 행해진다);

·다른 가능한 브랜치에, 상기 링(K)에 있어서의 값을 갖는 성분들로 형성된 차수 (D)와 같거나 그 미만의 차수를 갖는 다항 변환을 인가하는 스텝;

b3) (D)와 같거나 그 미만의 차수를 갖는 (비밀 또는 공용) 다항식이 상기와 같이 변환된 브랜치 또는 다른 브랜치의 출력에 부가되며, 이 다항식은 이 브랜치의 직전에 위치된 브랜치들의 변수에만 의존한다(이 스텝은 강제적인 스텝은 아니며; 영 다항식을 부가할수 있다).

b4) 상기와 같이 변환된 브랜치, 또는 상기와 같이 변환된 복수의 브랜치는 다음 연쇄화되어(즉, 그룹화되어), 제 2 이미지(I2)를 구성한다.

b5) 소정 수의 요소들을 갖는 제 3 이미지(I3)를 얻기 위해 상기 제 2 이미지(I2)의 요소들로 구성된 차수 1을 갖는, 제 2 비밀 다항 변환 (t)를 상기 제 2 이미지(I2)에 인가하는 스텝; 및

b6) 가상 치(Y)를 형성하기 위해 상기 제 3 이미지(I3)의 요소들중에서 (n') 요소들을 선택하는 스텝(예컨대 1s; 어떤 변형예에서는 Y=I3인 경우 I3의 모든 요소들을 선택)을 포함하는 것을 특징으로 한다.

본 발명은 또한 비대칭 서면 검증 처리 및 상기 통신 처리를 사용하는 비대칭 암호화 처리에 관한 것이다.

이하, 본 발명의 바람직한 실시예를 첨부 도면을 참조하여 상세히 설명한다.

유한계의 설명 및 특성

1) 함수 f :

카디널(q) 및 지표(p)(필수적이지는 않지만, 일반적으로, p = q = 2)를 갖는 유한계를 K라 한다. N차를 가진 K의 확장을 L_N이라 하고, L_N의 요소들을 β_i,_j, α_i및 μ₀과 하고, θ_i,_j, ψ_i,_j, ξ_i를 정수라 하며, 상기 함수 f를 하기와 같이 적용하면:

상기 식에서 Q=q^θi,j, P=^ψi,j및 S=q^ξi이다.

f는 x로 구성된 다항식이고 (x)는 곱셈 함수이다. Q, P 및 S는 여러개의 θ_i,_j, ψ_i,_j, ξ_i로 될 수 있으므로, 암호작성시에 여러개의 값들을 나타낼 수 있다.

또한, 임의의 정수의 선형적 응용이다.

따라서 f는 2차 함수이다.

B가 L_N의 기준값이고, 기준(B)에서의 f의 표현이 :

f(x₁,........., x_N) = (P(x₁,........, x_N), ........., P_N(x₁,........, x_N)) 이고

P₁,..........P_N은 전체 2차로 구성된 N개의 변수들 x₁.......,x_N을 갖는 다항식이

다.

상기 다항식 P₁,........,P_N은 L_N의 표현을 이용하여 계산된다. L_N의 표현은 L_N을 K[X]/(_iN(X))와 동일시할 수 있게하며 N차를 갖는, K에서의 약분불가능한 다항식iN(X)의 데이텀이다. 이로써 다항식 P₁,..........P_N을 쉽게 계산할 수 있게된다.

2) f의 인버전

다항식 f의 x에서의 차수를 μ라고 한다. f는 L_N------→L_N의 전단사를 필요로 하지 않지만 :

1) "a"가 L_N의 요소이고, μ가 너무 크지 않을때(예컨대 μ1000) f(x)=a로 되도록 L_N의 값들(만일 있는 경우)을 모두 비교적 용이하게 알아낼 수 있는 알고리즘이 알려져 있다.

2) 또한, L_N의 "a"에 대해, f(x)=a로 되는 x의 "μ"값들이 있다.

3) 일부 경우에, f는 전단사일 수 있다.

암호/비암호화 시스템의 기본 HFE 알고리즘

새로운 HFE 알고리즘의 제 1 버젼을 이하 설명한다. 이 버젼으로 제한되지 않으며, 더 일반적인 버젼이 다음 섹션에서 설명된다.

q = p^m요소를 포함하는 계(K)는 공용이다. 각 메시지는 K의 n개의 요소들로 구성된다. 예컨대, p = 2이면, 각 메시지는 n * m 비트들을 갖는다. n도 공용이다. n은 정수들 d로 분리된다 : n=n₁+..... + n_d.

그 정수들 n_e(1= e= d) 각각은 차수 n_e의 계(K)의 확장자(Ln_e)와 연관된다(기호= 는 같거나 또는 작음을 나타낸다").

K의 성분들에 의해 표현된 값을 "워드"라 한다. 예컨대, Ln_e의 요소, (1= e= d)는 길이 n_e의 워드로서 표현될 수 있다. 설명되어질 암호 메카니즘에서, 전술한 함수 f와 유사한 2차 함수들 f₁,......, f_d이 이용되는데, N= f₁에 대한 n₁, N= f₂에 대한 n₂등으로 된다. 이 함수들은 d 워드들을 발생시킨다. 이 d 워드들은 길이 n의 하나의 워드로 합성된다.

비밀 객체가:

1) Kⁿ------→ Kⁿ의 2개의 밀접한 전단사들(s,t)인 경우. 이 밀접한 전단사들은 1차의 동일한 차수 및 K의 계수를 갖는 다항식들에 의해 기준으로 표현될 수 있다.

2) n을 d개의 정수들로 분리함 : n = n₁+.... + n_d.

3) Ln₁,......, Ln_d계들로 표현함. 이 "표현들"은 약분불가능한 다항식 d의 선택의 결과이다. Ψn_e는 이 표현에 의해 K^ne에서 Ln_e까지 동일형으로서 나타나며, e는 1= e= d.

4) 2차 함수들 f₁,.....f_d은 "함수 f"라는 패러그라프에서 설명된 함수 f와 동일형태이다( N=n_e및 1= e= d).

제 1 주석 : 이러한 모든 대상들이 전항의 비밀들이지만, 실제로 2), 3), 및 4)의 대상들이 전항의 공용으로 될 수 있다. 사실상, 알고리즘의 비밀은 주로 비밀 변환(s,t)에 달려있다.

제 2 주석 : s 및 t는 전단사 적용의 경우지만, 또한 "유사 전단사"로 될수 있으며, 이는 겨우 몇개의 전항들을 가진 적용상태로 될 수 있음을 의미한다.

암호 메카니즘이 제 1도에 도시된다. 그 동작들의 시켄스는 상부에서 하부로 진행된다. 먼저, Kⁿ------→ Kⁿ의 밀접한 전단사 변환이 발생된다.

함수들 μ₁,......μ_d은 Kⁿ------→ K^ne의 프로젝션 함수들이며( 1= e=d), μ는 인버스 연쇄상 함수이다. 이 방법에서, 함수들 μ₁,.....μ_d은 n개의 요소들을 d "브랜치들"로 분리한다.

동일형 Ψn_e은 여러 계들K^ne에서 여러개의 계 표현들 Ln₁,......, Ln_d로 인가되며,2차 함수들 f₁,.....f_d은 각각 Ln₁,......, Ln_d에서 Ln₁,......, Ln_d로 각각 인가된다. 다음, 인버스 동일형 (Ψn_e)^-1은 여러개의 계 표현 Ln₁,......, Ln_d에서 여러개의 계들 K^ne로 인가된다.

다음, 인버스 연쇄상 함수 μ는 K^ne에서 Kⁿ으로 인가된다. 마지막으로, 통상 상기 변환(s)과 유사한 형태의 Kⁿ------→ Kⁿ의 밀접한 전단사 변환이 발생된다.

F₂는 좌측에서 가장 먼 블럭의 변수에 의존하는 (D) 미만이나 이와 같은 차수를 갖는 함수이다. 일반적으로, F_i(2id)는 블럭 1, 2, ..., i-I의 변수들에 따른 (D)와 같거나 그 미만의 차수를 갖는 함수이다.

유의사항 : 이들 함수. F₂= ... = F_d는 블럭에 페이스텔(Feistel) 다이어그램을 생성한다. 이들은 종종 F₂= ... = F_d= 0인 경우에 HFE 알고리즘에 사용되지 않는다.

또한, 중요한 점은, 이 함수가 베이스에 그의 성분에 의해 표현되었을때 이들 모든 연산들의 조성이 2차 함수를 생성한다는 것이다. 따라서, 이 함수는 K의 계수를 갖는 n개의 다항식 P₁, ... P_n)으로 주어질수 있으며, 이 다항식은 암호화된 텍스트 (y)를 비암호화 텍스트 x로서 계산할수 있도록 한다.

·공용 객체들은:

1) 1 = p^m요소들의 계 K, 및 길이 n의 메시지.

2) K의 n개 변수로 구성된 n개의 다항식 (P₁, ... P_n). 이에 따라, 누구라도 메시지를 암호화할수 있다 (암호화 알고리즘은 특허청구범위의 특징적 사항과 같이, 완전 공용이다).

또한, 비밀 객체들이 알려진 경우 해독이 가능하다. 실제로, 제 1도에 도시한 모든 연산들을 역으로 할수 있다. 이에 따라, 함수 f_e의 역은 상기 "f의 인버전)으로 명명한 장에서 f에 대해 나타낸 바와 같이, 계 Ln_e로 미지의 다항식을 푸는 것으로 구성된다. 그러나, f_e는 반드시 전단사적은 아니다. 따라서, 수개의 전항들을 얻을수 있다. 이 경우, 비암호화 텍스트의 선택은 비암호화 텍스트내에 삽입된 용장부의 도움으로 결정되며, 해독된 텍스트는 이 용장부를 포함하는 것으로 된다. 만일 함수가 전단사적이 아닐 경우, 이 용장부를 비암호화 메시지내로 일정하게 삽입시키는 것을 고려할 필요가 있다.

부호에서의 알고리즘의 이용예

2가지 경우들이 고려된다 :

1. 함수들이 전단사적(bijective)이다.

H가 할당될 메시지에 부여되는 "해시" 함수의 결과이면(예컨대, H가 128비트의 포맷을 가진다면), 부호(S)는 S = HFE^-1(H) 로 된다.

따라서, HFE 암호 함수는 일반식이라는 사실에 의거하여, 누구나 H' = HFE(S)를 실증하고 H' = H임을 입증함에 의해 상기 부호를 증명할 수 있다. 부호 전송자는 S를 계산하도록 비밀을 미리 알고 있어야 한다.

2. 함수들이 전단사적이 아니다.

이 경우에, 출력의 비트수보다 더 많은 HFE의 입력에서의 비트수를 선택할수 있음으로써, 상기 HFE 알고리즘을 이용하여 전항을 거의 확실하게 계산할 수 있다.

예컨대, H는 128비트로 S는 128+20=148비트로 표현될 수 있다.

[특정 실시예]

HFE 알고리즘을 실행하기 위한 여러가지 방법들이 있는데, 이들 모두 ,실질적인 실행 및 실시예 관련하여 많은 장점들을 제공한다.

1. 하나의 브랜치만을 가긴 알고리즘의 경우(즉 : d = 1).

이 버젼은 하나의 (큰) 브랜치를 가지며 따라서, 각 식에서, 모든 변수들 즉, 메시지의 모든 비트들--이 포함된다. 이 브랜치의 큰 사이즈를 고려하면, 이 실행형태는 작은 사이즈의 브랜치들의 포텐셜 약화를 초래하지 않는다.

2. 동일 함수(f)를 갖는 작은 브랜치들의 경우.

이 경우는 예컨대 12비트의 값을 갖는 작은 브랜치들과 동일 함수(f)를 포함한다. 이 버젼은 예컨대 칩 카드들에 포함되는 소형 중앙 프로세서들에서 용이하게 실행될 수 있고 그의 실행이 프로그램 또는 수학적 코프로세서의 도움으로 가능하기 때문에 특히 바람직하다.

HFE 알고리즘의 제 1 변형

각 브랜치에 사용되는 함수(f)는 전술한 바와같이 유한계의 단일 변수(x)를 갖는 다항식이다. 기준값으로 표현된, 이 함수(f)는 2차로 등일한 전체 차수를 갖는 식츠로 표현된다.

실제, 이미 형성된 일반 모델과 약간 다른 타입의 함수(f)가 이용될 수 있다. 이 새로운 타입은 기준값에서 2차의 동일한 전체 차수를 갖는 좌표 함수로 표현되고 항상 주어진 f의 값의 전항이 존재하면 그 값을 다시 계산할 수 있도록 여러개의 유한계 변수들, 예컨대 2개의 변수들(x₁,x₂)에 따라 결정되는 함수 f를 선택하게끔 구성된다.

이 변형은 아래의 수치식에서 더 잘 이해될 수 있다. 64비트의 값과 p = 2를 갖는 알고리즘의 브랜치를 고려한다. 상기 변형에서, f는 각각 32비트의 2개의 변수들(x,x')에 따라 결정되고, f(x,x') = (y,y')라 하면 :

(y = x⁴= x* x' = x' (1)

(y' = x¹⁷+ x⁴+ x' + x'³(2)

(이러한 정확한 함수의 이용은 필수적으로 추천되는 것은 아니고, 하나의 예로서 주어진 것이다.)

(y,y')에서 (x,x')쌍을 결정하기 위해서는, 다음 방식으로 진행하는 것이 바람직 하다:

식(1)에서 x' = (y-x⁴)/(x+1) (3)

이에따라, 식(2)에서 :

y'(x+1)³= x¹⁷(x+1)³+ x⁴(y-x⁴)(x+1)²+ (y-x⁴)³(4)

식(4)는 단일 변수 x를 갖는 다항식이다. 전술한 바와같이, 수학자들은 이러한 타입의 방정식을 풀수 있는 일반적인 방법을 이미 알고 있으며, 따라서 식(4)를 풀수 있게 되어, 상기 식을 풀어서 x의 값을 정의할 수 있게되며, 그후 그 값을 식(3)의 x에 대입함으로써, x'의 값을 알아낼 수 있다.

주석 : 유한계의 여러개의 변수들을 갖는 방정식을 풀기위한 현재의 알려져 있는 방법들이 이 실시예에서 기술된 것이 아닌 다른 타입의 방정식들을 바르게 해결할 수 있도록 한다. 특히, 변수를 다른 함수로 표현하여 그것을 소거할 필요가 없는 방정식들은 더욱 잘 해결된다.

HFE 알고리즘의 제 2 변형

물론, HFE 알고리즘 및 그의 변형에 대한 기술이 1차 : 2차만으로 된 다항식의 적용에 본 발명을 제한하려는 것은 아니다. 본 발명은 3차 다항식을 이용할 수 있으며, 이 경우에는 3차로 된 일반식으로 된다.

이와 유사하게, 4차 또는 5차도 가능하다. 그러나, 그 식들로부터의 일반식을 컴퓨터에 용이하게 저장하여 계산할 수 있도록 충분하게 낮은 차수로 될 필요가 있다.

또한, 변수들의 선택은 최대의 비밀보장을 확보하고 어떠한 해독 공작이라도 가능한한 확고하게 피하기 위해 중요하다. 따라서, 비밀 보장의 이유로 :

1) 각 브랜치에서, 적어도 하나의 32비트, 바람직하게는 적어도 62비트의 변수가 있어야 하며,

2) 계수들(γ_ig, α_i, β_j, δ₀)중 적어도 하나가 영이 아니고, 계수 y_j가 암호 텍스트의 성분이고 계수 xi가 비암호 텍스트의 성분으로 되어있는 ∑γ_ijx_iy_j+ ∑α_jx_i∑β_jy_j+ δ₀= 0 형태를 갖는 방정식이 없는 것이 바람직하다. 주석 : 이에 대한 이유는 이러한 조건이 전술한 Matsumoto-Imai 알고리즘에서 완전한 비밀보장을 할 수 없다는 것을 입증하지 않았기 때문이다.

3) 전체가 3차이고 x에서 1차인 : ∑γ_ijkx_iy_jy_k+ ∑α_iix_iy_j+ ∑β_ijy_jy_k∑μ_iy_i+ δ₀= 0 형태의 방정식이 없어야 하고,

4) 일반적으로, 비밀보장의 목적으로, 작은 차수의 다항식의 일반식의 값들의 선형적인 조합을 제외하고는, 비암호화 및 암호화 메시지의 좌표들 사이에서 항상 증명되는 "낮은" 차수를 갖는 방정식이 없어야 함이 바람직하다.

HFE 알고리즘의 제 3 변형

함수가 전단사가 아닌 경우 HFE 알고리즘을 이용하기 위해서는, 비암호 텍스트에 용장성을 도입할 수 있어야 한다.

다른 가능성으로는 : 실제로, K의 새로운 소자들이 암호값으로 삽입된 경우 암호값(Y)의 사이즈가 비암호값(X)의 사이즈보다 크게 될 수 있다. 또한, 이 새로운 소자들은 X의 성분들로 형성된 2차의 방정식으로부터 얻어진 것들이다. 더 구체적으로, 제 1도의 부호들을 이용하면, s(x)의 동일 소자가 여러개의 브랜치들로 전송될 수 있다. 또한, 기준값으로 2차를 갖는 임의의 것들로 구성된 하나 이상의 브랜치들을 추가할 수 있으며, 이 경우 상기 추가된 브랜치들이 다른 브랜치들의 올바른 전항의 값을 구별하도록 이용된다.

HFE 알고리즘의 제 4 변형

제 1도의 최종 함수로 되는 식들을 모두 일반식으로 하지 않고, 그들중 하나 이상을 비밀로 유지할 수 있다. 이는 (P₁, ……, P_n) 일반식으로 하는 대신에, 그 일반식들중 일부만으로 이루어짐을 의미하며, 이 경우 암호화가 일반(P₁, ……, P_n) 다항식만을 계산함에 의해 실행된다.

암호해독시에, 비일반 다항식(Pi)에 대한 전항의 여러가지 가능한 비암호화된 메시지를 제공하는 모든 가능한 값들이 시도되며, 비암호화된 메시지에 용장성을 도입하거나, 또는 제 3 변형에 나타낸 방법에 의해 종전대로 올바른 메시지가 표시된다.

주석 : 일부 경우 HFE 알고리즘에 의해 숨겨진 계의 구조를 파악하는데 더욱 어려움을 가중시키게 되는 하나 이상의 일반들식들이 제거된다.

제 2도의 설명

제 2도는 전술한 암호 알고리즘을 이용한 암호화/비암호화 시스템의 예를 나타낸다.

동일한 통신 네트워크에 속하며, 각각 메시지 송신/수신 장치(1,2)를 가진 2개의 개체가 있다고 가정한다. 상기 장치는 메시지의 암호화/비암호화를 실행하도록 설계된 컴퓨터등의 계산 수단 및 저장 수단을 포함한다. 상기 계산 수단 또는 저장 수단중 적어도 일부는 접근이 통제되는 영역들에 형성되는 마이크로 프로쎄서 또는 마이크로-와이어 로직회로를 갖는 휴대가능한 물체내에 배치될 수 있고, 따라서 암호 키이와 같은 비밀 정보를 포함할 수 있다(상기 휴대가능한 물체는, 예컨대 프랑스 특허 제 2.401.459를 참조하기 바란다).

각 장치는 전술한 HFA 알고리즘, 특히 인버스 알고리즘 HFA^-1은 물론이고 프로그램 형태를 포함한다.

2개의 장치들이 소통 라인(3)을 통해 서로 접속된다.

개체들(A,B)은 모두 한쌍의 키이들을 가지며, 그 키이들은 각각 : 공용 키이(Cp^A, Cp^B) 및 대응하는 공용 키이 Cp^A, 또는 Cp^B에 연관된 비밀 키이(Cs^A, Cs^B)이다. A 및 B가 상기 한쌍의 키이들을 계산하기 위한 수단을 갖지 않는다면, 그 계산은 네트워크에 의해 실행될 수 있고, 네트워크의 각 멤버에 대한 확실한 근거를 제공하게 된다. 상기 2개의 개체들이 보호된 모드, 즉 누군가가 데이타 변경을 이해할 수 없는 상태에서 서로 대화하기를 원하는 경우, 다음 과정을 실행한다 :

개체(A)는 그의 공용 키이(Cp^A)를 B에게 전송하고 B는 그의 공용 키이(Cp^B)를 A에게 전송한다. 변형시에, 네트워크는 초기 저장시의 모든 멤버들의 공용 키이들을 보유하여 그것들을 요청하는 멤버들에게 연락해준다. A가 공용키이(Cp^B)를 수신한 경우, A는 암호 알고리즘 HFE의 도움으로 그가 B에게 전송하고자 하는 메시지(M), 및 메시지(M')를 암호화하도록 상기 공용 키이를 이용하게 된다. 일단 B에게 수신된 상기 메시지는 암호 알고리즘 HFE^-1및 비밀키이(Cs^B)의 도움으로 암호화된다. B는 상기 키이를 소유할 수 있는 네트워크의 유일한 멤버이기 때문에, B만이 상기 메시지를 암호화할 수 있다. B에서 A에게 메시지들을 전송하기 위한 과정은 상기 과정과 완전 유사하다.

제 3도의 설명

제 3도는 전술한 암호 알고리즘을 이용하여 계산 및 사인 검증 과정을 실행하도록 제 2도의 시스템을 이용한 예를 개략적으로 나타낸다.

이 경우, 메시지의 전송은 입증 상태, 즉 메시지(M)의 수신자가 그 메시지는 어떤 사람에게서 온 것인가를 확인할 수 있는 상태에서 실행될 필요가 있다. 예컨대, A가 B에게 입증된 메시지를 전송하고자 하는 경우 2명의 대화자는 다음 과정을 실행해야 한다 :

첫째, 개체(A)는 그의 공용 키이(Cp^A)를 B에게 전송하거나, 또는 변형예에서, B가 네트워크에서 그 키이를 요청할 수 있다. 다음, A가 그 메시지를 그 자신의 비밀 키이(Cs^A) 및 암호 알고리즘 HFE^-1을 이용하여 암호화한다. 얻어진 결과는 메시지의 서명(S)이라 한다. 다음, (이 경우에 비암호화된) 메시지 및 그의 서명이 B에게 전송된다. B는 그가 이미 수신한 서명을 암호 알고리즘 HFE 및 공용 키이(Cp^A)의 도움으로 암호화한다. 이때 얻어진 M"는 수신된 메시지(M)와 동일해야 한다. 실제로 그러한 경우, 서명이 비밀 키이(Cs^A)의 도움으로 계산되었으며 따라서 상기 메시지가 실제로 A에게서 왔으며, 상기 네트워크의 멤버만이 그 키이릍 소유할 수 있음이 입증된 것이다.

이 시스템의 공지된 개선책은 메시지의 서명뿐만 아니고, 메시지의 집중된 서명을 계산함으로써 이루어진다. 따라서, "해쉬" 기능을 이용하여, 비교적 많은 메시지가 메시지의 특성인 데이텀(H)으로 압축될 수 있다. 이 "해쉬" 기능은 표준 해쉬 함수들(예컨대, MD5 또는 SHA)을 이용하여 실행될 수 있다.

본 발명을 요약하면 :

1. 본 발명자는 Matsumoto 및 Imai에 의한 초기의 알고리즘은 훌륭한 암호작성 방식이 아님을 알았다(문헌 Crypto '95 pp248-261). 그 알고리즘은 2개의 밀접한 변환(s,t)에 의해 Q = q^θ인 경우 f(b) = a^1+Q의 형태를 갖는 "숨겨진" 전단사로 구성되어 있다.

2. 본 발명자는 f에 대해 더 많은 일반 함수를 이용할 수 있음을 알았다. 실제로, 비전단사 함수(f)를 이용할 수 있는 한편으로, 다항식의 매우 다양한 족들에 대해 전항값을 계산할 수 있는 방법, 예컨대 다항식의 PGCD 계산 또는 다항식의 종결식의 이용, 또는 GROBNER 기준값들의 이용하는 방법이 알려져 있다는 사실을 이용할 수 있게되었다.

3. 너무 작지 않은 적어도 하나의 브랜치들을 필요로 한다. 실제, 본 발명자는 작은 브랜치들이 HFE 알고리즘을 약화시키게 됨을 알게 되었다.

4. 또한, 본 발명자는 제 2의 비밀스런 다항식 변환에 의해 제 2 화상(I2)을 변한함으로써 제 3 화상을 구성하는 소자들중 때로 일부만을 선댁할 수 있음에 주목하였다.

Claims (12)

1. 유한 링(K)의 (n)개 요소들로 표현된 값 (X)를 링 (K)의 (n') 요소들로 표현된 가상 치(Y)로 변환하는 암호화 통신 처리에 있어서,

   a) 상기 가상 치(Y)의 각 요소(n')는 값 (X)의 요소(n)들로 구성된 2 이상의 낮은 차수 D를 갖는 일반 다항식의 형태이고:

   b) 상기 가상 치 (Y)는 다음 스텝들(그들중 적어도 몇몇은 암호화 비밀의 지식을 요함)을 포함하는 변환에 의해 값 (X)로 부터 얻어질수 있으며:

   b1) (n) 개의 요소들을 갖는 제 1 이미지(I1)를 얻기 위해 값 (X)의 (n)개 요소들로 구성된 차수 1의 제 1 비밀 다항 변환 (s)를 값 (X)에 가하는 스텝;

   b2) 상기 제 1 이미지(I1)의 (n)개 요소들은 W*k = n_e의 링 (K)의 차수 W를 갖는 확장(L_W)에 속하고 다음과 같이 정의된 변환을 상기 제 1 이미지(I1)에 가하는 변수 또는 소수(k)의 변수 (x, x', x", ..., x^k)를 나타내는 것으로 간주되고:

   f : L_W ^k→L_W ^k

   (x, x', x", ..., x^k)→(y, y', y" ..,, y^k)

   상기 식에서 (y, y', y",..., y^k)는 변환 f로 부터의 (x, x', x",..., x^k)의 이미지이고, 이 때 f는 다음과 같은 두 특성들을 입증한다:

   -b2.1) 상기 링 확장(L_W)의 베이스(B)에 있어서, 이미지(y, y', y", ..., y^k)의 각 성분은 이 베이스에 있어서 (x, x', x", ..., x^k)의 성분들로 구성된 다항의 형태로 표현되며 이 다항은 상기 일반 다항식의 차수 (D) 미만 또는 이와 동일한 전체 차수를 갖고;

   -b2.2) 링 확장(L_W)으로 표현되며, 상기 변환은,(그의 수가 전체 엔트리수에 대해 무시할수 있는 어떤 엔트리들을 제외하고) 전항들이 존재할때 이 전항들을 계산할수 있도록 되며;

   b3) 상기 변환된 제 1 이미지(I1)는 제 2 이미지(I2)를 구성하고;

   b4) 소정 수의 요소들을 갖는 제 3 이미지(I3)를 얻기 위해 상기 제 2 이미지(I2)의 요소들로 구성된, 차수 1을 갖는 제 2 비밀 다항 변환 (t)를 상기 제 2 이미지 (I2)에 가하는 스텝; 및

   b5) 상기 가상 치(Y)를 형성하기 위해 상기 제 3 이미지(I3)의 요소들중에서 (n') 요소들을 선택하는 스텝을 포함하는 것을 특징으로 하는 암호화 통신 처리.
2. 제 1항에 있어서, 상기 일반 다항식의 낮은 차수(D)는 2인 것을 특징으로 하는 암호화 통신 처리.
3. 제 1항에 있어서, 상기 변수의 수는 1인 것을 특징으로 하는 암호화 통신 처리.
4. 제 3항에 있어서, 상기 일반 다항식의 저 차수(D)는 2이고, (K)는 유한계이며, 상기 변환 (F)는 다음 형태를 갖는 것을 특징으로 하는 암호화 통신 처리.

   f : L_W---→L_W

   x-→Σ_i,jβ_i,j* x^Q+P+ Σ_iα_i* x^S+ μ₀

   이 때, q는 계 (K)의 기수; Q = q^θij, P = q^φi,j, S = q^ξ,i, β_i,j, α_i, 및 μ₀는 L_W의 요소들, θ^i,j, φ^i,j, 및 ξ^ij는 정수이며, 다항 f의 x의 차수는 1000 이하이다.
5. 제 1 항에 있어서, 항수가 적은 일반식의 적의 선형 조합이외의 (x, x', x", ..., x^k) 및 (y, y', y", ..., y^k)의 성분으로 구성된 낮은 전 차수를 갖는 다항식이 존재하지 않도록 한 것을 특징으로 하는 암호화 통신 처리.
6. 제 1항에 있어서, 계수 γ_ij, α_i, β_j또는 δ₀중 적어도 하나가 영이 아닌 상태에서, ∑γ_ijx_iy_j+ ∑α_ix_i∑β_jy_j+ δ₀= 0인 형태를 갖는 다항식이 존재하지 않도록 하고, 이는 계수 y_j가 암호화된 메시지의 성분인 경우 항상 입증되며, 상기 계수 x_i는 비암호화 메시지의 성분인 것을 특징으로 하는 암호화 통신 처리.
7. 제 1항에 있어서, 상기 링 (K)는 유한계이고 링의 확장(L_W)은 링 (K)의 차수 W를 갖는 확장이며, 이는 (L_W)가 K[X]/g(X)를 갖는 동형이고, 이때 g는 K에 대한 W의 차수를 갖는 부정 다항식인 것을 특징으로 하는 암호화 통신 처리.
8. 입증자(verifier)로 불리우는 첫번째 사람에 의해, 증명자(prover)로 불리우는 다른 사람의 비대칭 암호화를 위한 처리에 있어서,

   - 상기 입증자는 제 1 값(Y)을 증명자에 보내고;

   - 상기 증명자는 제 1항에 명시된 인버스 변환에 대응하는 변환을 제 1 값(Y)에 가하여 얻어지는 제 2 값(X)를 상기 입증자에 반송하며;

   상기 입증자는 제 1항으로 부터의 변환을 제 2 값(X)에 가하고 그 결과를 상기 제 1 값(Y)에 링크된 소정 관계에 맞는 것을 입증하는 것을 특징으로 하는 처리.
9. 유한 링(K)의 (n) 요소들로 표시된 값 (X)를 링(K)의 요소(n)들로 표시된 가상치(Y)로 변환하는 암호화 통신 처리에 있어서,

   a) 가상 치(Y)의 각 요소(n')는 값 (X)의 요소(n)들로 구성된 2 이상의 낮은 차수 D를 갖는 일반 다항식의 형태이고:

   b) 상기 가상 치 (Y)는 다음 스텝들(그들중 적어도 약간은 암호화 보안의 지식을 요함)을 포함하는 변환에 의해 값 (X)로 부터 얻어질수 있으며:

   b1) (n) 개의 요소들을 갖는 제 1 이미지(I1)를 얻기 위해 값 (X)의 (n)개 요소들로 구성된 차수 1의 제 1 비밀 다항 변환 (s)를 값 (X)에 가하는 스텝;

   b2) 각 브랜치가 제 1 이미지(I1)의 요소들로 구성되는, 하나 이상의 브랜치를 형성하는 스텝; 및

   ·상기 브랜치들의 적어도 하나 (e)에 있어서, 브랜치들의 (n_e) 요소들은 W*k = n_e의 링 (K)의 차수 W를 갖는 확장(L_W)에 속하고 다음과 같이 정의된 변환을 적어도 상기 브랜치 (e)에 가하는 변수 또는 소수(k)의 변수 (x, x', x", ..., x^k)를 나타내는 것으로 간주되고:

   fe : L_e ^k→L_e ^k

   (x, x', x", ..., x^k)→(y, y', y", ..., y^k)

   상기 식에서 (y, y', y", ..., y^k)는 변환 f_e로 부터의 (x, x', x", ..., x^k)의 이미지이고, 이 때 f_e는 다음과 같은 두 특성들을 입증하며:

   -b2.1) 상기 링 확장(L_W)의 베이스(B)에 있어서, 이미지(y, y', y", ..., y^k)의 각 성분은 이 베이스에 있어서 (x, x', x", ..., x^k)의 성분들로 구성된 다항식의 형태로 표현되며 이 다항식은 상기 일반식의 차수 (D) 미만 또는 이와 동일한 전체 차수를 갖고;

   -b2.2) 링 확장(L_W)으로 표현되며, 상기 변환 (f_e)는, 전항들이 존재할때 (그의 수가 전체 엔트리수에 대해 무시할수 있는 어떤 엔트리들을 제외하고) (f_e)의 전항들을 계산할수 있도록 하며;

   ·다른 가능한 브랜치에 상기 링(K)에 있어서의 값을 갖는 성분들로 구성된 상기 차수 (D)와 같거나 그 미만의 차수를 갖는 다항 변환을 인가하는 스텝;

   b3) 상기와 같이 변환된 브랜치 또는 이와 같이 변환된 복수의 브랜치가 연쇄화된 다음, 제 2 이미지(I2)를 구성하고;

   b4) 소정 수의 요소들을 갖는 제 3 이미지( I3)를 얻기 위해 상기 제 2 이미지(I2)의 요소들로 구성된 차수 1을 갖는, 제 2 비밀 다항 변환 (t)를 상기 제 2 이미지(I2)에 가하는 스템; 및

   b5) 상기 가상 치(Y)를 형성하기 위해 상기 제 3 이미지(I3)의 요소들중에서(n')개의 요소들을 선택하는 스텝을 포함하는 것을 특징으로 하는 암호화 통신 처리.
10. 제 9항에 있어서, (D)와 같거나 그 미만의 차수를 갖는 다항식이 변환된 브랜치 또는 다른 브랜치의 출력에 부가되며, 다항식은 이 브랜치의 직전에 위치된 브랜치들의 변수에만 의존하는 것을 특징으로 하는 암호화 통신 처리.
11. 제 9항에 있어서, 상기 제 1 이미지(I1)는 몇개의 브랜치를 가지며, 이들 브랜치중 하나는 적어도 32비트의 값을 처리하는 것을 특징으로 하는 암호화 통신 처리.
12. 메시지 (X)의 비대칭 서명 및 이 서명의 입증을 위한 처리에 있어서,

    상기 서명은, 제 1항 또는 9항에 기재된 인버스 변환에 상응하는 변환을, 메시지 또는 메시지의 일반 변환에 가하여 얻어지며, 또한 그 입증은, 결과 (Y)가 사인될 메시지에 연관된 소정 관계에 따라 얻어지는 것을 체크하는 것으로 구성되는 처리.