KR101530107B1 - 보네-프랜크린 방식을 이용한 개인키 생성 방법 - Google Patents

Abstract

본 발명의 목적은 기존 보네-프랜크린(Boneh-Franklin) 방식을 대체하는 비대칭 키의 생성과 이용을 간소화하기 위한 방식을 제안하기 위함이다. 본 발명에 따르면, 공개 요소와 비공개 요소에 의해 형성된 추적할 수 있는 개인키를 포함한 공개키 암호화 방식의 개인키에서, j번째 개인키 생성 방법을 제안한다. 최대 연합 요소 k를 따르며 곱셈 그룹 Z/qZ 내에서 수행되는 모든 연산 동작을 포함한다. 여기서 Q는 소수이다.
상기 공개 요소는

로 정의되고,
상기 비공개 요소는

로 정의된다.
여기서 r_j와 α_j Z/qZ 내에 난수값이다.

Description

보네-프랜크린 방식을 이용한 개인키 생성 방법{METHOD OF GENERATE A PRIVATE KEY IN A BONEH-FRANKLIN SCHEME}

본 발명의 목적은 기존 보네-프랜크린(Boneh-Franklin) 방식을 대체하는 비대칭 키의 생성과 이용을 간소화하기 위한 방식을 제안하기 위함이다.

다음 시나리오를 고려하자: 센터에서 수신기 ι에 일부 데이터를 방송하길 원한다. 허가받은 이용자(일반적으로 요금을 지불한 자)만 데이터에 접근할 수 있다. 가능한 해결책은 예를 들어, 광범위하게 배치된 광고 유료 TV 시스템 또는 보안 미디어 분배 시스템 대칭키를 이용해 데이터를 암호화하고, 허가받은 수신기 각각에 스마트 카드와 동일한 하드웨어의 변조 방지 부분에 저장될 대칭키를 안전하게 전송하는 것이다.

불행하게도, 변조 방지 하드웨어는 매우 어렵고 및/또는 디자인하기 비싸다. 그 이유는 광범위한 다양한 공격에 취약하기 때문이다. 따라서, 불법 이용자는 수신기로부터 복호화 키를 회수하려 시도할 수 있고 허가받지 않은 이용자(불법 복제자)에게 복호화 키를 퍼뜨릴 시도를 할 수 있다(판매하거나 누설하다). 이용하는 암호화 방식의 본질에 따라, 불법 이용자가 새로운 키를 만들고 불법 복제 수신기 장치에 키를 포함시키기 위해 일부 합법적인 키를 조합하려고 시도하는 상황을 상상할 수 있다.

어떤 수신기들이 절충되고 및/또는 어떤 비공개키가 누설되는지를 확인하는문제는 불법 이용자 추적으로 불린다. 일반적으로, 불법 이용자 추적에 두 가지 모드가 고려된다: 블랙박스 모드에서, 추적 알고리즘은 불법 수신기에 교활한 암호문을 보내고 불법 수신기의 작동을 관찰하는 동안 어떤 키를 불법수신기가 사용하는지를 알아내는 것을 목적으로 한다. 비 블랙박스 모델에서, 키(또는 키들의 조합)는 불법 수신기로부터 추출될 수 있고 추적알고리즘으로 알려진 것으로 추정한다.

Fiat and Naor [1]은 방송 암호화의 개념을 소개한다. 이들의 사례에서, ι허가받은 이용자들(ι)이 존재하고 방송 센터는 선택된 암호문을 복호할 수 있는 허가받은 이용자 중 특권을 가진 부분집합을 다이나믹하게 명시할 수 있다. 그 뒤에, Chor, Fiat and Naor [2]는 방송 암호화 방식에서 복호화 키 불법 복제 문제를 막기 위한 불법 이용자 추적 개념을 소개한다; 이 방식은 하나 이상의 불법 이용자 중 대부분이 k에 있다면 이들은 매우 높은 확률로 식별된다는 의미인 k-공모 방지(또는 k-회복)이다. 그 뒤에, Naor, Naor and Lotspiech [3,4]는 추적가능성을 포함한 더 효과적인 방송 암호화 방식을 제시한다; 그러나 이는 Kiayias and Pehilivanoglu [5]에서 추적 과정의 반복 성질이 불법 복제자에게 일부 키 절충의 상당한 영향력을 허용한다는 것을 제시한다.

보네-프랜크린[6]은 에러수정 코드, 더욱 엄밀하게는 리드-솔로몬 코드(Reed -Solomon code)에 근거한 새로운 공개키 불법 이용자 추적 방식을 제안한다. 보네-프랜크린 비 블랙박스 불법 이용자 추적 방식은 k-공모 방지이고, 불법 이용자 대부분(k)은 새로운 불법 키를 얻드려고 공모하기 때문에 모든 불법 이용자는 확률 1로 식별된다는 의미로 결론지어진다.

공개키 암호 해독의 실행과 이론(2002.2.14)에 대한 PKC 2002, 4회 국제 워크숍에서의 "Linear code implies public-key traitor tracing Public Key Crytography(선형 코드는 공개키 불법 이용자를 추적하는 공개키 암호 해독을 의미한다)" 논문에서, 저자 쿠로사와와 요시다는 다음의 매우 일반적 결과를 제시한다: 이들은 보네와 프랜크린의 발표에 개시된, 아주 엄밀하게는 임의의 선형 코드에 의해 규정된, 선형 코드를 대체하는 것이 가능하다는 것을 보여준다. 그러나, 그들은 예를들어, 특별하거나 부가적 특성을 구비한 보네-프랜클린과 상이한 선형 코드를 실질적인 예를 들어 설명하지 않고 있다.

요약하면, 결과는 "실용적"보다는 더 "실존적"이다.

본 발명에서는, 보네-프랜크린 불법 이용자 추적 방식의 맥락에서, 예외적 수행 또는 매우 특별한 보안 특성(본 명세서 전에는 전혀 개시된 적 없는 공격에 관한) 중 하나를 구비한 선형 코드의 매우 정확한 예를 개시한다.

본 발명의 목적은 향상된 키 생성과 보네-프랜크린 및 관련 체계용 암호화 방법이다.

보네-프랜크린 방식

기존 보네-프랜크린

기존 보네-프랜크린 알고리즘을 광고되고 출판된 [6]처럼 상세하게 개시한다. 본 서술은 빠르고 안전하게 추적할 수 있는 키와 암호화/복호화 방법을 위한 본 발명의 설명을 위한 기초가 될 것이다.

-그룹 파라미터 생성-

어려운 결정 디피-헬먼(Diffie-Hellman) 문제의 기본적인 순서 q의 그룹 Gq(예를 들어, 수학적 작업이 설치된 구성요소 셋트)이 필요하다. 세 가지 주요 선택을 생각할 수 있지만 다른 것도 존재한다.

시나리오 1.

그룹 Z/pZ의 순서 q의 하위 그룹에 작동될 수 있으며, 여기서 p와 q는 가장 소수(prime nunber)이고 q｜p -1 . 일반적으로, q는 160비트의 소수이고 p는 1024비트의 소수이다. 그룹 구성요소는 저장/대역폭에 1024 비트를 요구하는

1024비트 수이다. Z/pZ의 하위 그룹 기본적인 순서에 보네-프랜크린 방식 수행은 160비트 수와 1024비트 수 둘 다 모듈식 덧셈, 모듈식 뺄셈, 모듈식 곱셈 및 모듈식 나눗셈을 수행할 수 있도록 요구한다.

시나리오 2.

대략 2¹⁶⁰ 구성요소를 구비한 특징 2를 포함한 유한한 필드에 걸친 타원 곡선[3]의 지점의 그룹에 걸쳐 작동할 수 있다. 그룹 구성요소는 일반적으로 320 비트를 요구하지만, 지점 압축 기술은 저장/대역폭의 160 비트로 감소시키는 것을 허용한다. 동일한 그룹의 보네-프랜크린 방식 수행은 수신기가 160 비트 필드 구성요소에서 덧셈, 뺄셈, 곱셈 및 나눗셈을 수행할 수 있는 것을 요구한다.

시나리오 3.

대략 2¹⁶⁰ 구성요소를 구비한 가장 기본적인 특징을 포함한 유한한 필드에 걸친 타원 곡선[3]의 지점의 그룹에 걸쳐 작동할 수 있다. 그룹 구성요소는 일반적으로 320 비트를 요구하지만, 지점 압축 기술은 저장/대역폭의 160 비트로 감소시키는 것을 허용한다. 동일한 그룹의 보네-프랜크린 방식 수행은 수신기가 160 비트 필드 구성요소에서 덧셈, 뺄셈, 곱셈 및 나눗셈을 수행할 수 있는 것을 요구한다.

-키 생성-

추적할 수 있는 공개키 요소 γ⁽ⁱ⁾ 생성 과정을 개시한다. [6]에서 행해진 것처럼 이해의 용이함을 위해, 시나리오 1에 개시된 곱셈 그룹 작업을 가정한다. 기본적으로, 보네-프랜크린 처리방법은 리드-솔로몬 코드의 이용에 근거한다.

다음 행렬이 주어지고,

A의 영공간의 기준 b1, … b2k를 고려하자. 새로운 행렬은

로 설계된다.

B의 열로써 Г를 고려하자. 따라서 Г는 2k 길이 각각에 ι 부호어를 포함한다. 행렬 A의 열 범위에서 임의의 벡터는 1,…, ι중 어느 것으로 평가된 최대 ι-2k-1 정도의 다항식에 대응하는 것을 준수함으로써 라그랑지(Lagrange) 보간법을 이용한 행렬 B의 열을 구성할 수 있다.

k를 최대로 허용된 연합 크기로 나타내자(예를 들어, 추적 특성을 유지하는 동안 불법 사용자에 의해 잠재적으로 조합된 키의 최대 수). g를 보네-프랜크린 방식을 수행하는 기본 순서 q의 그룹 Gq 생성자로 나타내자. ι를 보네-프랜크린 시스템의 최대 수신기 수로 나타내자. 1≤i≤ι를 i번째 수신기 신분으로 나타내자. 다음 값은 산출된다.

1. i번째 보네-프랜크린 추적가능한 키 공개 요소는 다음 Z/qZ에 걸친 2k로 평가된 벡터로 산출된다.

여기서,

와

2. 공개키는 비공개값(r_j)을 2k범위까지 생성함으로써 산출된다.

또한

그러면 2k 범위에서 비공개 값(α_j)은 생성된다.

또한, 마지막으로 y값은 산출된다.

공개키는 2k+1로 평가된 벡터로 정의된다.

3. i번째 수신기에 포함된 i번째 개인키 비공개 요소(θ_i)는 i번째 추적할 수 있는 키 공개 요소로부터 유도된다.

-암호화-

Gq에 포함된 메시지(m∈Gq)를 암호화하기 위해, 제일 먼저 a∈R Z/qZ의 난수값을 생성하고 암호문은 2k+1로 평가된 벡터로 정의된다.

-복호화-

주어진 암호문 c=(s, p₁, …, p_2k)은 i번째 개인키 비공개 요소(θ_i)를 이용해 산출함으로써 m을 구하는 것을 쉽게 볼 수 있다.

여기서, γ_j ⁽ⁱ⁾는 θ_i를 유도하는데에 이용될 추적할 수 있는 개인키의 공개 요소이다.

본 발명의 자명한 이점은 더욱 빠른 복호화와 키 발생을 허용하기 위해 특별히 최적화되는 리드-솔로몬 코드 이용 가능성이다. 실제는, 대형 시스템과 중간 크기의 일체화를 위해, 리드-솔로몬 코드는 거의 크기의 순서에 의해 복호화 속도 향상을 얻는다.

또한, 본 발명은 보네-프랜크린 방식의 보안 한계점 이상을 다룬다. 상대방이 2k 또는 그 이상의 비공개 키를 찾아낼 수 있다면, 임의의 다른 비공개키를 산출할 수 있고(비록 비공개키들이 타협되지 않았더라도), 따라서 시스템의 보안은 완전히 붕괴된다. 여기서 k는 시스템 배치 이전에 정의된 최대 공모 크기이다. 이는 주로 선형 추적 코드가 공개된 것이기 때문이다. 본 발명에서 이 문제에 대한 보호 방법을 제안한다.

간소화된 생성과 비 대칭키 이용을 위해, 특히 공개 요소와 비공개 요소에 의해 형성된 추적할 수 있는 개인키를 포함한 공개키 암호화 방식의 개인키에서, 공개 요소(γ⁽ⁱ⁾)와 비공개 요소(θ_i)에 의해 형성된 추적할 수 있는 개인키를 포함한 공개키 암호화 방식에 i번째 개인키 생성 방법을 제안한다. 최대 연합 요소 k를 따르며 곱셈 그룹 Z/qZ 내에서 수행되는 모든 연산 동작을 포함한다. 여기서 q는 소수이다.

상기 공개 요소는 다음과 같이 정의되고

상기 비공개 요소는 다음과 같이 정의된다.

여기서, γ⁽ⁱ⁾와 θ_i는 1≤j≤2k 범위의 Z/qZ 그룹에서 난수값으로 균일하게 분배되고, 값(b)은 공개적이고 쉽게 산출할 수 있거나 비공개로 통계적으로 분리될 수 있다.

-빠른 복호화를 위한 추적할 수 있는 키-

추적할 수 있는 개인키 공개 요소 생성 과정은 공개 요소 유도를 허용하고, 이는 상당히 향상된 복호화 속도를 제공한다.

이전에, γ⁽ⁱ⁾ 요소는 순환 공식(3)을 이용하여 산출될 수 있다는 것을 언급했다. 이 작업은 일반적으로 방송 센터에서 구현 가능하지만, 수신기는 가능하지 않다. 또한, 보통 2⁸⁰ 작업의 보안 환경 설정을 작동하면서, 공개 요소 γ⁽ⁱ⁾의 구성요소는 160 비트의 모든 길이를 구비한다.

새로운 방법은 다음과 같이 작동된다. 이전에 언급된 키 생성 과정에서, 단계 1이 1'로 대체된다.

1' i번째 빠른 보네-프랜크린 추적할 수 있는 개인키 공개 요소를 산출한다.다음 Z/qZ에 걸친 2k로 평가된 벡터로

아래에 제시된 방법은 수신기에서 암호문 복호화 속도를 과감하게 높일 수 있는 약간 작은 지수 크기를 야기한다.

예를 들어 ι=2²⁰에 대해, 20 비트 지수를 갖는 2k 모듈식 멱법 및 하나의 16비트 멱법에 의해 160 비트 지수를 갖는 2k+1 모듈식 멱법을 변환할 수 있다. 이것은 7배 이상 속도를 높인다.

본 발명의 특정 실시예에 따르면, q는 분리 로그 문제에 대한 유전 공격을 방지하기 위해 2¹²⁷ 보다 더 높다.

또한, 본 발명의 장점은 순환 공식(3)을 계산할 필요없이 수신기가 복호화 키의 공개 요소를 산출할 수 있다는 것이다.

-추가적 보안을 위한 추적할 수 있는 키-

실질적 시나리오에서, 공격자는 2k 비공개 요소 θ_i를 구비하고 있는 상황이 있을 수도 있다. 본 발명의 이 부분은 시스템이 동일한 경우에 보호될 수 있는 방법을 특별히 개시한다. 실제 발생할 수 이는 공격을 감소하는 것을 시작하여 공격자에게 시스템 내의 모든 개인키 유도를 허용한다.

상대방은 1≤s≤2k 범위에서 2k 개인 요소 θ_is를 처리해 온 이상이라 가정하자. Г={γ⁽¹⁾, γ⁽²⁾, …, γ^(ℓ)}의 벡터는 공개될 것이라 추정된다. 그러면, Z/qZ에 걸쳐 식(9)을 고칠 수 있다. 다음과 같이

; w_j는 상대방에게 알려지지 않은 계수를 언급한다. 그러나, 2k 개인 요소와 함께, 간단한 가우시안 감소를 이용한 상대방에게 w_j의 값을 드러내는 하나의 해결책을 포함한 2k 변수를 이용한 2k 선형 방정식의 시스템을 구비한다. 이들 계수로부터, 상대방은 시스템에서 임의의 다른 개인키 θ_iv를 산출할 수 있다.

상대방은 많은 추적할 수 없는 키의 조합을 생성할 수 있을 뿐만 아니라, 무고한 사용자(이들의 키는 이전에 절충되지 않았다)가 위약의 혐의로 고소될 것이기 때문에 또한 새롭게 유도된 키를 분배할 수 있을 것이다.

구한 추적할 수 있는 키가 불법 이용자에 저항하는 것을 허용하는 추적할 수 있는 키 생성 과정은 2k 키 이상을 모을 수 있다는 것을 제시한다. 이 새로운 방법은 다음과 같이 작동된다.

1'' 추적할 수 있는 개인키의 i번째 빠른 보네-프랜크린 공개 요소를 산출할 수 있다. 다음 Z/qZ에 걸친 2k로 평가된 벡터로

여기서 ζ∈R Z/qZ는 각각 γ(i)을 위해 무작위로 독립적이고 균일하게 도출된다.

수신기는 전체 표현을 쉽게 조작할 수 없는 메모리에 저장해야만 하고

상기 언급된 공개 요소는 비공개로 되는 것을 언급한다.

가능한 변형은 i를 프로세싱함으로써 i에서 ζ를 유도와 및/또는 비공개키에 의해 파라미터된 암호법으로 안전한 의사 난수 함수(pseudo-random funcrion) 또는 순열을 구비한 부가 정보로 이루어진다.

-하이브리드 암호화-

m∈Gq 인 메시지를 암호화하기 위해, 표준 보네-프랜크린 암호화 과정은 난수값 생성을 요구한다.a∈R Z/qZ 와 암호문은 2k+1 평가된 벡터로 정의된다.

가장 실질적인 상황에서, 메시지 m은 제한적 길이이기 때문에(보통 20바이트 이상) m은 일부 콘텐츠를 암호화하는데 이용되는 대칭적 세션키 k로 구성된다.

또한, 메시지는 대칭키에 그룹 요소를 매핑(mapping)하는 해시함수(hash function )가 필요할 수도 있다.

이들 중간 단계 생략을 제안하고, 표준 보네-프랜크린 방식보다 더 빠른 임의의 메시지 종류를 암호화하기 위해 다음 두 가지의 가능한 변형 중 하나를 이용하는 것을 제안하지만, 동일한 추적과 보안 특성을 유지한다.

1. m ∈ {0,1}*한 메시지를 암호화하기 위해, 제일 먼저 난수값 a∈R Z/qZ을 생성하고 암호문은 (2k+1)로 평가된 벡터로 정의된다.

여기서, PRF(., .)는 암호적으로 안전한 의사난수 함수(pseudo-random function)를 의미한다. 예를 들어, 이는 HMAC-SHA1, HMAC-SHA256 또는 카운터로 계산된 블록 암호일 수 있고 여기서 y_a는 대칭키로 고려되고 n은 임시값이다(예를 들어, 충분히 많은 시간 증가된 카운터 충분히 중요한 흐름을 생성한다). 여기에, XOR 작동은 임의의 그룹 법칙으로 대체될 수 있다.

2. m ∈ {0,1}*한 메시지를 암호화하기 위해, 제일 먼저 난수값a∈R Z/qZ을 생성하고 암호문은 (2k+1)로 평가된 벡터로 정의된다.

여기서, E(., .)는 블록 암호이거나 블록 암호에 기반한 임의의 대칭 암호화 방식이며, 여기서 y_a는 키로 고려된다. 가능한 변형은 해시 함수를 이용한 키에 y_a 값을 매핑(mapping)된다. 또 다른 가능한 변형은 초기의 벡터처럼 추가적 정보가 요구되는 E(., .)암호화 방식이다.

-산업상의 이용가능성-

유료 TV 시스템에서, 추적가능한 비대칭 키의 이용은 불법 복제에 투쟁에 대한 장점이다. 유료 TV 수신기(또는 유료 TV 수신기의 보안 모듈)는 개인키로 채워진다. 예를 들어, 공개 요소와 비공개 요소. 각각의 유료 TV 수신기, 즉 셋탑 박스, 멀티미디어 장치 또는 무선휴대장치와 같은 것은 하나 이상의 개인 키로 구성된다. 비공개 요소는 SIM 카드, 변조할 수 있는 메모리의 임의의 종류인 스마트 카드와 같은 보안 콘테이너에 바람직하게 저장된다.

실질적인 예에서, 비디오/오디오 데이터 패킷(PSpacket)은 다음과 같은 방법으로 암호화될 것이다. 곱셈 그룹과 함수 PRF로써 HMAC-SHA256(공식(17))로 작동된다는 것을 가정한다.

-분배된 난수값 a를 균일하게 생성단계.

-공개키의 마지막 요소인 2k를 이용하여 h_1a, h_2a, … h_2ka 산출단계.

-공개키의 제1 요소를 이용하여 y_a 산출단계.

-잔류 패킷이 256 비트보다 가능한 적게 남도록 PS패킷을 256 비트의 패킷 묶음으로 나누는 단계.

-임의적 항수의 지수를 초기화 단계.(보통 0)

-각각의 묶음에서, 키로써 y_a를 포함한 지수의 HMAC-SHA256을 산출한다. 지수는 각각의 묶음을 위해 갱신된 것이고, 각각의 묶음에 XOR 함수(또는 임의의 그룹 작업)를 적용.

-잔류 묶음이 존재하는 경우, XOR 함수에 적용하기 전에 잔류 묶음의 비트 수에 대응하는 비트 수를 추출함으로써 MAC-SHA256 값을 조절.

-XOR 함수의 결과값과 h_1a, h_2a, …,h_2ka 값을 수신기에 전송하는 단계.

수신기 측에서, 수신된 h_1a, h_2a, …,h_2ka 값은 2k 값으로 고려된다. 예를 들어, p₁, p₂, …p_2k.

오디오/비디오 데이터 PS패킷을 추출하기 위해, 다음 단계가 실행된다.

-개인키의 공개요소와 개인키의 비공개요소를 이용해

를 산출단계.

-암호화 작업 동안 정의된 것과 동일한 방법으로 지수를 정의함으로써 동일한 HMAC-SHA256 작동을 보내는 측에 만들어진 것처럼 실행단계.

본 방법으로, 방송 센터는 모든 수신기에 오디오/비디오의 암호화된 형태를 세계로 보낼 수 있다. 수신기는 자신의 개인키를 이용해 패킷을 복호화한다. 비공식적인(불법의) 수신기를 기꺼이 실행하는 불법 사용자는 패킷을 복호화하기 위해, 고유의 개인키(또는 각각의 개인키의 조합)를 필수적으로 탑재해야만 할 것이다. 현재 다뤄지고 있는 불법 수신기처럼, 유료 TV 연산자는 다른 방식 및/또는 가능한 법적 수행 또는 구매된 기존(고장난) 동글을 구비한 상대에 대하여 임의의 다른 조치를 취하는 것을 이용하여 불법 개인키를 회수할 수 있고 개인키를 폐기가능하다.

HMAC 결과를 포함한 패킷 조합에 대해, 패킷은 표준 대칭 암호화 방식으로 키(K)를 이용해 암호화된다. 키는 HMAC 결과를 포함한 조합 단계에 이용된 것이다.

다른 실시예에 따르면, 암호화된 패킷은 키로써 y_a 값을 이용한 대칭 암호화 방식을 포함한 상기 패킷을 암호화함으로써 구해진다(예를 들어, CBC 모드인 TDES). 대체 실시예에 따르면, 해시함수는 키로써 이용되기 전에, y_a 값에 제일 먼저 적용된다. 이는 y_a 값의 크기가 대칭 암호화 방식 키의 크기와 상이할 때 바람직한 경우이다.

다른 가능한 적용 분야는 불법 사용자에 대하여 소프트웨어의 보호를 고려한다. 소프트웨어는 모든 패키지를 위해 상이한 개인키를 포함한 하드웨어 동글(dongle)과 함께 판매된다고 가정할 수 있다. 동글(dongle)은 소프트웨어에 포함되고 소프트웨어의 이용에 필요한 정보의 일부를 얻는 세계적 암호문을 복호화할 수 있다. 불법 사용자가 동글(dongle)을 복제하고 복제된 동글(dongle)을 판매한다면, 불법 사용자는 최소한 개인키를 탑재해야한다. 현재 다뤄지고 있는 불법 동글(dongle) 을 구하는 것처럼, 소프트웨어 판매자는 관련된 개인키를 회수할 수 있고 법을 수행하거나 구매된 기존(고장난) 동글을 구비한 상대에 대하여 임의의 다른 조치를 취할 수 있다.

-참조-

[1] A. 피엣과 M. 네로, "방송 암호화", CRYPTO'93, 컴퓨터 과학 773에 공고된 강의, pp. 480-491, 춘기-버라그, 1994.

[2] B. 초, A. 피엣과 M. 네로, "불법 사용자 추적", CRYPTO'94, 컴퓨터 과학 839에 공고된 강의, pp. 257-270, 춘기-버라그, 1994.

[3] J. 롯스피취, D. 네로와 M. 네로, "방송 암호화와 국적 없는 수신기의 키 폐기를 위한 방법", US 특허 7'039'803.

[4] J. 롯스피취, D. 네로와 M. 네로, "방송 암호화 시스템에서 불법 수신기 추적을 위한 방법", US 특허 7'010'125.

[5] A. 키야이에스와 S. 페리바노그루, "불법 사용자 발전: 불법 사용자 키 대부분을 만드는 방법", CRTPTO'07, 컴퓨터 과학 4622에 공고된 강의, pp. 448-465, 춘기-버라그, 2007.

[6] D. 보네와 M 프랜크린, "효과적 공개키 불법 사용자 추적 방식" CRYPTO'99, 컴퓨터 과학 1666에 공고된 강의, pp. 338-353, 춘기-버라그, 1999.

Claims (14)

1. 모든 산술 연산(arithmetic operations)이 곱셈 그룹 Z/qZ 내에서 수행되고, 최대 연합 팩터(k)에 따른 공개 요소(γ⁽ⁱ⁾)와 비공개 요소(θ_i)에 의해 형성된 추적가능한 개인키를 가진, 공개키 암호화 체계에서 i번째 개인키를 생성하는 방법에 있어서 - 여기서 q는 소수(prime number)임 - ,
   상기 공개 요소는,
   

   

   로 정의되고,
   상기 비공개 요소는,
   

   

   로 정의되며,
   여기서, r_j와 α_j는 그룹 Z/qZ에서 난수값(random values)인 것을 특징으로 하는 개인키 생성 방법.
   
2. 제1항에 있어서,
   q는 2¹²⁷보다 큰 것을 특징으로 하는
   개인키 생성 방법.
   
3. 제1항에 있어서,
   대응하는 공개 키는 (y, h₁, . . . h_2k)로 정의되고,
   여기서 1≤j≤2k 에서 h_j=g^rj이고, g는 순서 q의 곱셈 그룹 G의 생성자(generator)이며,
   

   

   인 것을 특징으로 하는 개인키 생성 방법.
   
4. 제1항에 있어서,
   대응하는 공개 키는 (y, h₁, . . . h_2k)로 정의되고,
   여기서, 1≤j≤2k 에서 h_j=r_jg 이고, g는 순서 q의 덧셈 그룹 G의 생성자이며,
   

   

   인 것을 특징으로 하는 개인키 생성 방법.
   
5. 제1항에 있어서,
   i는 1부터 ℓ에서 선택되고, ℓ은 주어진 공개키에 대응하는, 생성된 상이한 개인키의 수인 것을 특징으로 하는 개인키 생성 방법.
   
6. 제1항에 있어서,
   i는 1부터 ℓ에서 선택되고, ℓ은 주어진 공개키에 대응하는, 생성된 상이한 개인키의 수이고, 상기 방법은,
   - 의사 난수의 값(ζi)을 1 내지 q-1의 범위에 생성하는 단계로서, 여기서, q는 최소한 ℓ보다 더 크며, 공개 요소,
   

   

   로 정의되는 단계;
   - 상기 의사 난수의 값(ζi)을 생성된 비공개 키 데이터에 결부(associate)하는 단계를 더 포함하는 것을 특징으로 하는 개인키 생성 방법.
   
7. 제6항에 있어서,
   의사 난수의 값(ζ_i)은 i로부터 계산되고, 각각의 i에 대해서 고유한 ζ_i가 구해지는 것을 특징으로 하는 개인키 생성 방법.
   
8. 제6항에 있어서,
   의사 난수의 값(ζ_i)은 i값과 추가적 비트 열로부터 계산되고, 이 계산은 각각의 i에 대해 고유한 ζ_i가 구해지는 것을 특징으로 하는 개인키 생성 방법.
   
9. 메시지(m)를 구하기 위해, 제1항 내지 제8항 중 어느 한 항에 따라 생성된 개인키로 암호문(c)을 복호화하는 방법에 있어서,
   암호문은 c = (s,c₁, ..., c_2k)로 포맷되고, 여기서 s,c₁, ..., c_2k 는 순서 q의 곱셈 그룹 G의 멤버(member)이고,
   복호화는,
   

   

   로 정의되며, 여기서 모든 산술 연산은 순서 q의 상기 곱셈 그룹 G에서 수행되는 것을 특징으로 하는 암호문 복호화 방법.
   
10. 메시지(m)를 구하기 위해, 제1항 내지 제8항 중 어느 한 항에 따라 생성된 개인키로 암호문(c)을 복호화하는 방법에 있어서,
    암호문은 c = (s,c₁, ..., c_2k)로 포맷되고, 여기서 s,c₁, ..., c_2k 는 순서 q의 덧셈 그룹 G의 멤버이고,
    복호화는,
    

    

    로 정의되고, 여기서 모든 산술 연산은 순서 q의 상기 덧셈 그룹 G에서 수행되는 것을 특징으로 하는 암호문 복호화 방법.
    
11. 메시지(m)를 구하기 위해, 제1항 내지 제8항 중 어느 한 항에 따라 생성된 개인키로 암호문(c)을 복호화하는 방법에 있어서,
    암호문은 c = (s,c₁, ..., c_2k)로 포맷되고, 여기서, c₁, ..., c_2k 는 순서 q의 덧셈 그룹 G의 멤버, s는 임의의 비트열이며,
    복호화는 m=D_K(s)로 정의되고, 여기서 K는,
    

    

    로부터 산출되며, 여기서, 모든 산술 연산은 순서 q의 상기 덧셈 그룹 G에서 수행되고, D는 대칭적 암호화 방식의 복호화 연산이며, K는 키(key)인 것을 특징으로 하는 암호문 복호화 방법.
    
12. 페이로드(payload)(m)를 구하기 위해, 제1항 내지 제8항 중 어느 한 항에 따라 생성된 개인키로 암호문(c)을 복호화하는 방법에 있어서,
    암호문은 c = (s,c₁, ..., c_2k)로 포맷되고, 여기서 c₁, ..., c_2k 는 순서 q의 곱셈 그룹 G의 멤버이며, s는 적어도 암호화된 페이로드(m)를 포함하고,
    복호화는 m=D_K(s)로 정의되고, 여기서 K는,
    

    

    에 의해 산출되고, 여기서, 모든 산술 연산은 순서 q의 상기 곱셈 그룹 G에서 수행되고, D는 대칭적 암호화 방식의 복호화 연산이며, K는 키(key)인 것을 특징으로 하는 암호문 복호화 방법.
    
13. 제11항에 있어서,
    암호화된 페이로드(s)는 대칭적 복호화 스킴(D)에 의해 요구되는 추가적 정보를 더 포함하는 것을 특징으로 하는
    암호문 복호화 방법.
    
14. 제11항에 있어서,
    상기 대칭적 복호화 스킴(D)은 K'=H(K)를 이용하며, 여기서 H는 해시함수인 것을 특징으로 하는
    암호문 복호화 방법.