KR101768641B1 - 짧은 키 길이를 갖는 다변수 이차 서명 스킴을 수행하는 전자 장치와 그 방법 - Google Patents

Abstract

본 발명의 실시 예에 따른 다변수 이차 서명 스킴은 각각이 n개의 변수들을 갖는 m개의 다변수 이차 방정식들로 표현되는 센트럴 맵(F)을 선택하고, 공개키 안에서 상기 센트럴 맵(F)의 구조를 숨길 수 있는 2개의 아핀 맵들(S와 T)을 선택하고, 선택된 맵들(S, F, 및 T)에 의해 구성된 이차 맵, 즉 공개키(P)를 생성한다. 상기 공개키(P)는 랜덤 시스템과 거의 구별되지 않으므로 역변환하기 어렵다. 비밀키는 P 를 역변환시킬 수 있는 (S^-1, F, T^-1)로 구성된다.

Description

짧은 키 길이를 갖는 다변수 이차 서명 스킴을 수행하는 전자 장치와 그 방법{ELECTRONIC DEVICE PERFORMING MULTIVARIATE QUADRATIC SIGNATURE SCHEME WITH SHORT SECRET KEY AND METHOD THEREOF}

본 발명의 개념에 따른 실시 예는 디지털 서명 방법에 관한 것으로, 특히 짧은 키 길이를 갖는 다변수 이차 서명 스킴(multivariate quadratic signature scheme)을 수행하는 전자 장치와 그 방법에 관한 것이다.

다변수 이차 서명(multivariate quadratic signature)은 다변수 암호 (multivariate cryptography) 시스템에서 사용되는 디지털 서명을 의미한다. 여기서, 다변수 암호 시스템은 유한체(finite field) 위에서 정의된 다변수 다항식들을 기반으로 하는 비대칭(asymmetric) 암호 시스템을 의미한다.

특히, 다변수 암호 시스템에서 사용되는 다변수 다항식들의 차수(degree)가 2인 경우, 상기 다변수 암호 시스템을 다변수 이차 암호 시스템이라고 한다.

미국등록공보 US 8,811,608 B2 (2014. 08. 19.) 미국등록공보 US 7,158,636 B2 (2007. 01. 02.)

본 발명이 이루고자 하는 기술적인 과제는 비밀키의 크기(size or length)를 줄일 수 있고 디지털 서명 생성 속도가 빠른 디지털 서명 생성 스킴을 제공하는 것이다.

본 발명의 실시 예에 따른, 키 생성 장치를 포함하는 전자 장치는 제1아핀 맵(S:

), 제2아핀 맵(T:

), 및 제3맵(F:

)을 생성하고, 상기 제1아핀 맵(S), 상기 제2아핀 맵(T), 및 상기 제3맵(F)를 이용하여 공개키(P=

=(P⁽¹⁾, …, P^(m)))를 생성하고, 상기 제3맵(F=(F⁽¹⁾, …, F^(m)))은 각각이 o_t 개(t=1,...,L)의 이차 다항식들을 포함하는 L 개(L≥2 인 자연수)의 레이어들을 포함하고,

및 v+m=n이고, 상기 레이어들 중에서 첫 번째 레이어는 아래의 수식,

에 따라 정의되는 다항식들(

)을 포함하고, 상기 레이어들 중에서 k 번째(1<k≤L인 자연수) 레이어는 아래의 수식,

(

,

및

)

에 따라 정의되는 다항식들(

)을 포함하고,

는 원소들 q를 갖는 유한체(finite field)이다.

본 발명의 실시 예에 따른, 디지털 서명 생성 장치를 포함하는 전자 장치에 있어서, 상기 디지털 서명 생성 장치는 제1아핀 맵(S:

)과

=S^-1 중의 어느 하나, 제2아핀 맵(T:

)과

=T^-1중의 어느 하나, 및 제3맵(F:

)을 키 생성 장치로부터 수신하고, 주어진 메시지(M)에 대한 해시 함수(h(M))를 계산하고,

(h(M))=ξ을 계산하고, F^-1(ξ)=s를 계산하고,

(s)=τ를 계산하고, 여기서, ξ=(ξ₁, …, ξ_m)이고, 벡터 s=(s₁, …, s_n)이고, τ는 주어진 메시지(M)에 디지털 서명이고, 상기 제3맵(F=(F⁽¹⁾, …, F^(m)))은 각각이 o_t 개(t=1,...,L)의 이차 다항식들을 포함하는 L 개(L≥2 인 자연수)의 레이어들을 포함하고,

및 v+m=n이고, 상기 레이어들 중에서 첫 번째 레이어는 아래의 수식,

에 따라 정의되는 다항식들(

)을 포함하고, 상기 레이어들 중에서 k 번째(1<k≤L인 자연수) 레이어는 아래의 수식,

(

,

및

)

에 따라 정의되는 다항식들(

)을 포함하고,

는 원소들 q를 갖는 유한체(finite field)이다.

본 발명의 실시 예들에 따른 키 생성 장치, 디지털 서명 생성 장치, 및 검증 장치를 이용한 디지털 서명 방법은, 상기 키 생성 장치가 제1아핀 맵(S:

), 제2아핀 맵(T:

), 및 제3맵(F:

)을 생성하는 단계와, 상기 키 생성 장치가 상기 제1아핀 맵(S), 상기 제2아핀 맵(T), 및 상기 제3맵(F)를 이용하여 공개키(P=

=(P⁽¹⁾, …, P^(m)))를 생성하는 단계; 및 상기 키 생성 장치가 상기 공개키를 검증 장치로 전송하는 단계를 포함하고, 상기 제3맵(F=(F⁽¹⁾, …, F^(m)))은 각각이 o_t 개(t=1,...,L)의 이차 다항식들을 포함하는 L 개(L≥2 인 자연수)의 레이어들을 포함하고,

및 v+m=n이고, 상기 레이어들 중에서 첫 번째 레이어는 아래의 수식,

에 따라 정의되는 다항식들(

)을 포함하고, 상기 레이어들 중에서 k 번째(1<k≤L인 자연수) 레이어는 아래의 수식,

(

,

및

)

에 따라 정의되는 다항식들(

)을 포함하고,

는 원소들 q를 갖는 유한체(finite field)이다.

본 발명의 실시 예에 따른 다변수 이차 서명 스킴을 이용하는 전자 장치와 이의 작동 방법은 비밀키의 크기(size or length)를 줄일 수 있고 빠른 디지털 서명 생성 속도를 갖는 효과가 있다.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 상세한 설명이 제공된다.
도 1은 본 발명의 실시 예에 따른 센트럴 맵의 이차항 부분에 관련된 대칭 행렬의 실시 예이다.
도 2는 본 발명의 실시 예들에 따른 전자 장치의 블록도이다.
도 3은 본 발명의 실시 예들에 따른 전자 장치의 블록도이다.
도 4는 본 발명의 실시 예들에 따른 전자 장치의 블록도이다.
도 5는 도 2, 도 3, 또는 도 4에 도시된 전자 장치의 작동을 설명하는 플로우 차트이다.

이하, 첨부된 도면들을 참조하여 본 발명을 실시하기 위한 구체적인 내용을 설명한다.

본 명세서에서 설명되는 이차 다항식(quadratic polynomial)은 변수들(variables)과 상기 변수들의 일차항(linear term), 상기 변수들의 이차항(quadratic term) 및 상수(constant)의 선형 결합(또는 일차 결합)으로 이루어진 식을 의미한다.

본 명세서에서 필드(field)란 대수(algebra) 구조의 하나로, 사칙연산(four fundamental arithmetic operations)에 대하여 닫혀있고(closed), 각 사칙 연산에 대한 항등원(identity)이 존재하는 집합(set)을 의미한다.

본 명세서에서, 어떤 다항식이 유한체 위에서 정의되었다 함은 상기 다항식의 계수(coefficient)가 상기 유한체에 포함됨을 의미한다. 즉, 본 명세서에서 별도의 언급이 없더라도 유한체

위에서 정의된 아래의 다항식(F)

의 각 계수

는 모든 인덱스들에 대하여 상기 유한체

의 원소임을 가정한다.

본 명세서에서, 필드(F)에 대하여 F^*는 필드(F)에 포함된 원소들(elements) 중에서 곱 (multiplication)에 대한 역원(inverse)을 가지는 원소들만을 포함하는 필드를 의미한다. 본 명세서에서, 어떤 다항식이 유한체 위(on)에서 정의되었다 함은 상기 다항식의 계수가 상기 유한체에 포함됨을 의미한다.

본 명세서에서 f: X→ Y는 f가 정의역(domain, X)의 원소들을 공역(codomain, Y)의 원소들로 대응시키는 사상(map) 또는 함수(function)를 의미한다.

본 명세서에서 x (mod y)는 x를 y로 나눈 나머지(residue)를 의미한다.

는 원소들(elements) q를 갖는 유한체(finite field)라 한다. 각각이 n(n은 2 이상의 자연수) 개의 변수들(n variables)을 갖는 m(m은 2 이상의 자연수) 개의 다변수 이차 방정식들(m multivariate quadratic equations)의 시스템 P=(P⁽¹⁾, …P^(m)))은 수학식 1에 의해 정의된다.

[수학식 1]

여기서, k=1, …, m이고,

.

다변수 이차 암호 시스템의 일반적인 구조는 각각이 n 개의 변수들을 갖는 m 개의 다변수 이차 방정식들의 시스템 F:

을 선택하는 것이고, 시스템 F는 센트럴 맵(central map)으로 불리고, 쉽게 역변환될 수 있다. 그 후에 공개키 안에서 센트럴 맵(F)의 구조를 숨기기 위해, 2개의 아핀 또는 선형 가역변환 맵들 (affine or linear invertible maps) S:

과 T:

이 선택된다.

공개키는 이차 맵(quadratic map) P=

으로 구성된다. 공개키, 즉 이차 맵 (P=

)은 랜덤 시스템과 거의 구별되지 않으므로 역변환하기 어렵다. 여기서, 원(circle)은 합성(composition)을 의미한다. 비밀키는 공개키 P를 역변환시킬 수 있는 (S, F, T)로 구성된다.

새로운 센트럴 맵을 만들기 위해, 다음과 같은 4개의 인덱스 세트들(V₁, V₂, O₁, 및 O₂)이 필요하다.

V₁={1, …, v},

V₂={1, …, v + o₁}

O₁={v + 1, …, v + o₁}

O₂={v + o₁ + 1, …, v + o₁ + o₂}

여기서,

. V₁과 V₂는 오일 및 비니거(Oil and Vinegar) 방식에서 사용되는 비니거 변수들을 정의하기 위한 인덱스 세트들이고, O₁과 O₂는 오일 변수들을 정의 하기 위한 인덱스 세트들이다.

센트럴 맵 F=(F⁽¹⁾, …, F^(m)), 즉 m=o₁+o₂ 방정식들과 n=v+m 변수들을 갖는 다변수 이차 다항식들(multivariate quadratic polynomials)은 L 개(L≥2 인 자연수)의 레이어들(S(1)~S(L))을 포함할 수 있다. 레이어들(S(1)~S(L)) 각각은 복수 개의 이차 다항식들을 포함할 수 있다.

t번째(1≤t≤L) 레이어(S(t))는 o_t개의 이차 다항식들을 포함할 수 있다. 이 때, o₁, o₂, ..., o_t는

을 만족하도록 선택된다.

또한, 본 명세서에서 설명되는 수학식들에서, v는 n 이하의 자연수이고, n=v+m을 만족한다. 또한,

,

및

이다.

L 개의 레이어들(S(1)~S(L)) 중에서 첫 번째 레이어(S(1))는 수학식 2에 따라 정의되는 다항식들(

)을 포함할 수 있다.

[수학식 2]

L 개의 레이어들(S(1)~S(L)) 중에서 k 번째(1<k≤L인 자연수) 레이어(S(k))는 수학식 3에 따라 정의되는 다항식들(

)을 포함할 수 있다.

[수학식 3]

실시 예들에 따라, L 개의 레이어들(S(1)~S(L)) 중에서 k 번째(1<k≤L인 자연수) 레이어(S(k))는 수학식 4에 따라 정의되는 다항식들(

)을 포함할 수 있다.

[수학식 4]

실시 예들에 따라, L=2일 때 센트럴 맵 F는 두 개의 레이어들을 포함하고, 상기 두 개의 레이어들 중 첫 번째 레이어(S(1))와 두 번째 레이어(또는 마지막 레이어; S(2))에 포함된 다항식들은 수학식 5에 따라 정의될 수 있다.

[수학식 5]

여기서,

수학식 3(또는 수학식 4)에서, 제1레이어 내에서 각 F⁽ⁱ⁾의 이차항 부분의 대칭 행렬 (symmetric matrix of quadratic part)이 랭크(rank) v+o₁을 갖도록 랜덤 계수(α_i,j)가 선택된다.

수학식 3(또는 수학식 4)에서, 제2레이어 내에서 각 F^(k)의 이차항 부분(quadratic part)의 대칭 행렬이 k=o₁+1, …, o₂에 대해 풀 랭크 (full rank)를 갖도록 1≤i≤v+o₁, 1≤j≤o₂에 대해

이다.

키 생성 단계(key generation stage)

보안 파라미터(λ)에 대해, 공개키와 비밀키 쌍(<PK, SK> = <P,

>)이 다음과 따라 생성된다. 보안 파라미터(λ)는 비도 (security level)를 나타낼 수 있다.

1. 두 개의 아핀 맵들(

와

)이 랜덤하게 선택된다.

와

가 역변환 가능하지 않다면, 두 개의 아핀 맵들(

와

)이 랜덤하게 다시 선택된다. 여기서,

=S^-1이고,

=T^-1이다.

2. 위에서 설명된 센트럴 맵 F=(F⁽¹⁾, …, F^(m))이 랜덤하게 선택된다.

3. 공개키 P=

가 계산된다.

서명 생성 단계(signature generation stage)

1. 메시지(message; M)가 주어진다.

2. 해시 메시지(h(M))와

(h(M))=ξ이 계산된다. 여기서, h는 해시 함수(hash function)이고, ξ=(ξ₁,…, ξ_m)이다.

3. F^-1(ξ)=s가 계산된다. 즉, F(s)=ξ과 같은 벡터(s=

)가 찾아진다.

3-1. 랜덤 비니거 벡터(random Vinegar vector) s _v =(s₁, …, s_v)가 선택된다. 그 후에 랜덤 비니거 벡터 s _v 가 i=1, …, o₁에 대한 F⁽ⁱ⁾로 대입(plug)되고, o₁ 개의 변수들을 갖는 o₁ 방정식들의 선형 시스템이 얻어진다(get). 가우시안 소거 (Gaussian elimination)를 수행하여 상기 선형 시스템의 해(solution; s_{v +1}, …, s_v+o1)가 얻어진다(get).

3-2. 그 후에 s _v =(s₁, …, s_v)와 3-1에서 얻은 해(s_{v +1}, …, s_{v +o1})가 i=o₁+1, …, o₁+o₂에 대한 F⁽ⁱ⁾로 대입되고, o₂ 개의 변수들을 갖는 o₂ 방정식들의 선형 시스템을 풀어서(solving) 상기 선형 시스템의 해(s_{v +o1+1}, …, s_{v +o1+o2})가 얻어진다. 그러면 벡터 s=(s₁, …, s_n)는 F(x)=ξ의 해이다. x는 벡터이다.

- 만일 두 개의 선형 시스템들 중에서 어느 하나의 선형 시스템이 해를 갖고 있지 않다면, 다른 비니거 벡터 s _{v '} =(s'₁, …, s'_v)가 선택되고, 3-1과 3-2가 다시 수행된다.

4.

(s)=τ가 계산된다. 여기서, τ는 해시 메시지(h(M))의 서명(서명은 디지털 서명(digital signature) 또는 전자 서명(electronic signature)을 의미함)이다.

검증 단계(verify stage)

해시 메시지(h(M))에 대한 서명(τ)과 공개키(P)가 주어지면, P(τ)=h(M) 인지가 체크된다. P(τ)=h(M) 이면 디지털 서명(τ)이 수락되고, 그렇지 않으면 디지털 서명 (τ)은 거절된다.

도 1은 본 발명의 실시 예에 따른 센트럴 맵의 이차항 부분에 관련된 대칭 행의 실시 예이다. 도 1에는 k에 따른 F^(k)의 대칭 행렬들이 도시된다.

도 2는 본 발명의 실시 예들에 따른 전자 장치의 블록도이다. 도 2를 참조하면, 전자 장치(100A)는 키 생성 장치(200A), 디지털 서명 생성 장치(300A), 및 검증 장치(400)를 포함할 수 있다. 전자 장치(100A)는 본 명세서에서 설명된 스킴에 따라 디지털 서명(τ)을 생성하고 검증하는 전자 시스템을 의미할 수 있다.

키 생성 장치(200A)는 위에서 설명된 키 생성 단계를 수행할 수 있다. 예컨대, 키 생성 장치(200A)는 제1아핀 맵(S), 제2아핀 맵(T), 및 제3맵(즉, 센트럴 맵; F)을 생성하여 공개키 (P=(P⁽¹⁾,…, P^(m))=

)를 생성할 수 있고, 제1아핀 맵(S)의 인버스 맵(S^-1)과 제2아핀 맵(T)의 인버스 맵(T^-1)을 계산할 수 있다.

키 생성 장치(200A)는 프로세서(210)와 메모리 장치(220)를 포함할 수 있다. 메모리 장치(220)는 제1아핀 맵(S), 제2아핀 맵(T), 및 제3맵(즉, 센트럴 맵; F)을 포함하는 맵들을 저장할 수 있다.

실시 예들에 따라, 메모리 장치(220)는 제1아핀 맵(S) 대신 제1아핀 맵(S)의 인버스 맵(S^-1)과 제2아핀 맵(T)의 인버스 맵(T^-1)을 저장할 수 있다.

메모리 장치(220)는 맵들(S, T, 및 F)을 이용하여 공개키 (P=(P⁽¹⁾,…, P^(m))=

)를 생성하고, 제1아핀 맵(S)의 인버스 맵(S^-1)과 제2아핀 맵(T)의 인버스 맵(T^-1)을 계산하는 소프트웨어 (또는 프로그램 코드들)을 저장할 수 있고, 프로세서(210)는 상기 소프트웨어를 실행시켜 공개키(P=(P⁽¹⁾,…, P^(m))=

)를 생성하고, 제1아핀 맵(S)의 인버스 맵(S^-1)과 제2아핀 맵(T)의 인버스 맵(T^-1)을 계산할 수 있다. 예컨대, 비도(λ)는 키 생성 장치(200A)의 외부로부터 입력될 수 있다.

키 생성 장치(200A)는 랜덤하게 선택된 맵들(S(또는 S^-1), T(또는 T^-1), 및 F)을 제1통신 네트워크를 통해 디지털 서명 생성 장치(300A)로 전송할 수 있다.

키 생성 장치(200A)는 랜덤하게 선택된 공개키 (P=(P⁽¹⁾,…, P^(m))=

)를 제2통신 네트워크를 통해 검증 장치(400)로 전송할 수 있다.

디지털 서명 생성 장치(300A)는 위에서 설명한 서명 생성 단계를 수행할 수 있다. 예컨대, 디지털 서명 생성 장치(300A)는 맵들(S^-1, T^-1, 및 F)을 수신하고, 주어진 메시지(M)에 대하여 해시 함수를 적용하여 해시 메시지(h(M))를 생성하고, 위에서 설명한 바와 같이 해시 메시지(h(M))에 대한 디지털 서명(τ)을 생성하고, 해시 메시지(h(M))와 디지털 서명(τ)을 제3통신 네트워크를 통해 검증 장치(400)로 전송할 수 있다. 상기 제1 통신 네트워크, 상기 제2통신 네트워크, 및 상기 제3통신 네트워크 각각은 동일한 통신 네트워크일 수도 있고 서로 다른 통신 네트워크일 수 있으나 이에 한정되는 것은 아니다. 예컨대, 메시지(M)는 디지털 서명 생성 장치(300A)의 외부로부터 입력될 수 있다.

검증 장치(400)는 위에서 설명한 검증 단계를 수행할 수 있다. 예컨대, 검증 장치(400)는 키 생성 장치(200A)(또는 디지털 서명 장치(300A))로부터 전송된 공개키(P)와 디지털 서명 장치 (300A)로부터 전송된 해시 메시지(h(M))와 디지털 서명(τ)을 이용하여 P(τ)=h(M) 인지를 체크하고, 디지털 서명(τ)을 수락(accept)할지 또는 거부(reject)할지를 결정할 수 있다.

도 3은 본 발명의 실시 예들에 따른 전자 장치의 블록도이다. 도 3을 참조하면, 전자 장치(100B)는 키 생성 장치(200B), 디지털 서명 생성 장치(300B), 및 검증 장치(400)를 포함할 수 있다. 전자 장치(100B)는 본 명세서에서 설명된 스킴에 따라 디지털 서명(τ)을 생성하고 검증하는 전자 시스템을 의미할 수 있다.

키 생성 장치(200B)는 위에서 설명된 키 생성 단계를 수행할 수 있다. 키 생성 장치(200B)의 메모리 장치(220)는 제1아핀 맵(S), 제2아핀 맵(T), 및 제3맵(즉, 센트럴 맵; F)을 포함하는 맵들과, 선택된 맵들(S, T, 및 F)을 이용하여 공개키 (P=(P⁽¹⁾,…, P^(m))=

)를 생성하는 소프트웨어 (또는 프로그램 코드들)을 저장할 수 있고, 프로세서(210)는 상기 소프트웨어를 실행시켜 공개키(P=(P⁽¹⁾,…, P^(m))=

)를 생성할 수 있다. 예컨대, 비도(λ)는 키 생성 장치(200A)의 외부로부터 입력될 수 있다.

키 생성 장치(200B)는

와

를 생성(또는 계산)하고,

,

, 및 제3맵 (F)을 디지털 서명 생성 장치(300B)로 전송하고, 공개키 (P=(P⁽¹⁾,…, P^(m))=

)를 검증 장치(400)로 전송할 수 있다.

디지털 서명 생성 장치(300B)는 위에서 설명한 서명 생성 단계를 수행할 수 있다. 예컨대, 디지털 서명 생성 장치(300B)는

,

, 및 F^-1을 이용하여 해시 메시지(h(M))에 대한 디지털 서명(τ)을 생성하고, 해시 메시지(h(M))와 디지털 서명(τ)을 검증 장치(400)로 전송할 수 있다. 실시 예들에 따라, 디지털 서명 생성 장치(300B)는 공개키(P)를 검증 장치(400)로 전송할 수 있다.

검증 장치(400)는 위에서 설명한 검증 단계를 수행할 수 있다. 예컨대, 검증 장치(400)는 키 생성 장치(200B)(또는 디지털 서명 생성 장치(300B))로부터 전송된 공개키(P)와 디지털 서명 장치 (300B)로부터 전송된 해시 메시지(h(M))와 디지털 서명(τ)을 이용하여 P(τ)=h(M) 인지를 체크하고, 디지털 서명(τ)을 수락할지 또는 거부할지를 결정할 수 있다.

실시 예들에 따라,

,

, 및 F^{- 1}를 생성하는 주체는 다양하게 변경될 수 있다. 예컨대, 도 2를 참조하여 설명한 바와 같이

와

는 디지털 서명 생성 장치(300A)에 의해 생성될 수 있고, 도 3을 참조하여 설명한 바와 같이

와

는 키 생성 장치(200B)에 의해 생성될 수 있다.

도 2와 도 3에서는 디지털 서명 생성 장치(300A 또는 300B)가 F^-1을 생성하는 것으로 설명되어 있으나, F^{- 1}는 키 생성 장치(200A 또는 200B)에 의해 생성된 후에 디지털 서명 생성 장치(300A 또는 300B)로 전송될 수 있다.

도 4는 본 발명의 실시 예들에 따른 전자 장치의 블록도이다. 도 2와 도 3을 참조하면, 키 생성 장치(200A 또는 200B)와 디지털 서명 생성 장치(300A 또는 300B)는 하나의 마더보드(motherboard)를 공유하지 않는 장치들로 구현될 수 있으나, 도 4의 전자 장치(100C)에서 키 생성 장치(200)와 디지털 서명 생성 장치(300)는 하나의 전자 장치(500) 내에서 하나의 마더보드(501)를 공유할 수 있다. 마더보드(501)는 전자 장치 또는 컴퓨터에서 메인 회로 보드(main circuit board), 메인 PCB(main printed circuit board), 또는 시스템 보드(system board)를 의미할 수 있다.

비록 도 2 내지 도 4에서는 키 생성 장치(200)가 검증 장치(400)로 공개키(P)를 전송하는 것으로 도시되어 있으나, 실시 예들에 따라 키 생성 장치(200)로부터 전송된 공개키(P)를 수신한 디지털 서명 생성 장치(300)가 검증 장치(400)로 공개키(P)를 전송할 수도 있다.

도 5는 도 2, 도 3, 또는 도 4에 도시된 전자 장치의 작동을 설명하는 플로우 차트이다. 도 2부터 도 5를 참조하면,

와

가 선택 또는 계산된다(S110).

와

는 도 2의 디지털 서명 생성 장치(300A)에서 생성 또는 계산될 수도 있고, 도 3의 키 생성 장치(200B)에서 생성 또는 계산될 수도 있다.

키 생성 장치(200A 또는 200B, 집합적으로(collectively) 200)는 제3맵(F)을 랜덤하게 선택한다(S120).

키 생성 장치(200)는 공개키(P=

)를 계산한다(S130).

메시지(M)가 주어지면, 디지털 서명 생성 장치(300A 또는 300B, 집합적으로 300)는 h(M)과

(h(M))=ξ을 계산한다(S140).

디지털 서명 생성 장치(300)는 F^-1(ξ)=s를 계산한다(S150).

디지털 서명 생성 장치(300)는

(s)=τ를 계산한다(S160).

검증 장치(400)는, 키 생성 장치(200)로부터 전송된 공개키(P=

)와, 디지털 서명 생성 장치(300)로부터 전송된 해시 메시지(h(M))와 디지털 서명(τ)을 이용하여, P(τ)=h(M))인지를 체크 한다(S170).

맵들(S, T, 및 F)을 랜덤하게 선택하고, 맵들(S, T, 및 F)을 이용하여 공개키(P=

)를 생성하는 본 발명의 실시 예에 따른 방법(또는 스킴)은 컴퓨터로 읽을 수 있는 프로그램 코드들로 작성되고 기록 매체에 저장될 수 있다.

해시 메시지(h(M))와 맵들(S, T, 및 F)을 이용하여 디지털 서명(τ)을 생성하는 본 발명의 실시 예에 따른 방법(또는 스킴)은 컴퓨터로 읽을 수 있는 프로그램 코드들로 작성되고 기록 매체에 저장될 수 있다.

해시 메시지(h(M)), 디지털 서명(τ), 및 공개키(P=

)를 이용하여 P(τ)=h(M))인지를 체크하는 본 발명의 실시 예에 따른 방법(또는 스킴)은 컴퓨터로 읽을 수 있는 프로그램 코드들로 작성되고 기록 매체에 저장될 수 있다.

본 발명은 도면에 도시된 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.

100A, 100B, 및 100C; 전자 장치 또는 디지털 서명 검증 시스템
200A, 200B, 및 200: 키 생성 장치
300A, 300B, 및 300: 디지털 서명 생성 장치
400: 검증 장치

Claims (19)

1. 키 생성 장치를 포함하는 전자 장치에 있어서,
   상기 키 생성 장치는 제1아핀 맵(S:

   

   ), 제2아핀 맵(T:

   

   ), 및 제3맵(F:

   

   )을 생성하고, 상기 제1아핀 맵(S), 상기 제2아핀 맵(T), 및 상기 제3맵(F)를 이용하여 공개키(P=

   

   =(P⁽¹⁾, …, P^(m)))를 생성하고,
   상기 제3맵(F=(F⁽¹⁾, …, F^(m)))은 각각이 o_t 개(t=1,...,L)의 이차 다항식들을 포함하는 L 개(L≥2 인 자연수)의 레이어들을 포함하고,
   

   

   및 v+m=n이고,
   상기 레이어들 중에서 첫 번째 레이어는 아래의 수식,
   

   

   
   에 따라 정의되는 다항식들(

   

   )을 포함하고,
   상기 레이어들 중에서 k 번째(1<k≤L인 자연수) 레이어는 아래의 수식,
   

   

   
   (

   

   ,

   

   및

   

   )
   에 따라 정의되는 다항식들(

   

   )을 포함하고,
   

   

   는 원소들 q를 갖는 유한체(finite field)인 전자 장치.
2. 제1항에 있어서,
   상기 제3맵(F=(F⁽¹⁾, …, F^(m)))은 두 개의 레이어들을 포함하고,
   상기 두 개의 레이어들 중 첫 번째 레이어는 아래 수식
   

   

   
   에 따라 정의되는 다항식들(

   

   )을 포함하고,
   상기 두 개의 레이어들 중 두 번째 레이어는 아래 수식
   

   

   
   에 따라 정의되는 다항식들(

   

   )를 포함하고,
   

   

   이고,
   다항식들(F⁽¹⁾(x)부터 F^(o1)(x)) 중에서 각 F⁽ⁱ⁾의 이차항 부분의 대칭 행렬이 랭크(rank) v+o₁을 갖도록 계수 α_i,j가 선택되고,
   

   

   
   Φ_j는 변수들(x₁, x₂, …, x_{v +o1})의 이차 다항식이고,
   

   

   이고,
   

   

   
   Θ_j는 변수들(x₁, x₂, …, x_n)의 이차 다항식이고, 다항식들(F^(o1+1)(x)부터 F^(m)(x)) 중에서 각 F^(k)의 이차항 부분의 대칭 행렬이 k=o₁+1, …, o₂에 대해 풀 랭크 (full rank)를 갖도록 1≤i≤v+o₁, 1≤j≤o₂에 대해

   

   인 전자 장치.
3. 제1항에 있어서,
   상기 키 생성 장치는

   

   =S^-1과

   

   =T^-1를 계산하고,
   상기 전자 장치는 상기 키 생성 장치로부터

   

   ,

   

   , 및 상기 제3맵(F)을 수신하는 디지털 서명 생성 장치를 더 포함하고,
   상기 디지털 서명 생성 장치는,
   주어진 메시지(M)에 대한 해시 메시지(h(M))를 계산하고,
   

   

   (h(M))=ξ을 계산하고,
   F^-1(ξ)=s를 계산하고,
   

   

   (s)=τ를 계산하고,
   여기서, ξ=(ξ₁, …, ξ_m)이고, 벡터 s=(s₁, …, s_n)이고, τ는 주어진 해시 메시지(h(M))에 대한 디지털 서명인 전자 장치.
4. 제3항에 있어서, 상기 F^-1(ξ)=s를 계산하는 상기 디지털 서명 생성 장치는,
   랜덤 비니거 벡터 s _v =(s₁, …, s_v)를 선택하고,
   랜덤 비니거 벡터 s _v 를 i=1, …, o₁에 대한 F⁽ⁱ⁾로 대입하고,
   o₁개의 변수들을 갖는 o₁ 방정식들의 제1 선형 시스템을 얻고,
   가우시안 소거를 수행하여 상기 제1 선형 시스템의 해(s_{v +1}, …, s_{v +o1})를 얻고,
   랜덤 비니거 벡터 s _v 와 상기 해(s_{v +1}, …, s_{v +o1})를 i=o₁+1, …, o₁+o₂에 대한 F⁽ⁱ⁾로 대입하고,
   F(s)=ξ의 해를 얻기 위해, o₂ 개의 변수들을 갖는 o₂ 방정식들의 제2 선형 시스템을 풀어서 상기 제2 선형 시스템의 해(s_{v +o1+1}, …, s_{v +o1+o2})를 얻는 전자 장치.
5. 제4항에 있어서,
   상기 키 생성 장치와 상기 디지털 서명 생성 장치는 하나의 마더보드를 공유하는 전자 장치.
6. 제3항에 있어서,
   상기 전자 장치는 상기 키 생성 장치로부터 상기 공개키(P)를 수신하고, 상기 디지털 서명 생성 장치로부터 메시지(M)와 상기 디지털 서명(τ)을 수신하고, P(τ)=h(M) 인지를 판단하는 검증 장치를 더 포함하는 전자 장치.
7. 디지털 서명 생성 장치를 포함하는 전자 장치에 있어서,
   상기 디지털 서명 생성 장치는,
   제1아핀 맵(S:

   

   )과

   

   =S^-1 중의 어느 하나, 제2아핀 맵(T:

   

   )과

   

   =T^-1중의 어느 하나, 및 제3맵(F:

   

   )을 키 생성 장치로부터 수신하고,
   주어진 메시지(M)에 대한 해시 메시지(h(M))를 계산하고,
   

   

   (h(M))=ξ을 계산하고,
   F^-1(ξ)=s를 계산하고,
   

   

   (s)=τ를 계산하고,
   여기서, ξ=(ξ₁, …, ξ_m)이고, 벡터 s=(s₁, …, s_n)이고, τ는 주어진 해시 메시지(h(M))에 대한 디지털 서명이고,
   상기 제3맵(F=(F⁽¹⁾, …, F^(m)))은 각각이 o_t 개(t=1,...,L)의 이차 다항식들을 포함하는 L 개(L≥2 인 자연수)의 레이어들을 포함하고,
   

   

   및 v+m=n이고,
   상기 레이어들 중에서 첫 번째 레이어는 아래의 수식,
   

   

   
   에 따라 정의되는 다항식들()을 포함하고,
   상기 레이어들 중에서 k 번째(1<k≤L인 자연수) 레이어는 아래의 수식,
   

   

   
   (

   

   ,

   

   및

   

   )
   에 따라 정의되는 다항식들(

   

   )을 포함하고,
   

   

   는 원소들 q를 갖는 유한체(finite field)인 전자 장치.
8. 제7항에 있어서,
   상기 제3맵(F=(F⁽¹⁾, …, F^(m)))은 두 개의 레이어들을 포함하고,
   상기 두 개의 레이어들 중 첫 번째 레이어는 아래 수식
   

   

   
   에 따라 정의되는 다항식들(

   

   )을 포함하고,
   상기 두 개의 레이어들 중 두 번째 레이어는 아래 수식
   

   

   
   에 따라 정의되는 다항식들(

   

   )를 포함하고,
   

   

   이고,
   다항식들(F⁽¹⁾(x)부터 F^(o1)(x)) 중에서 각 F⁽ⁱ⁾의 이차항 부분의 대칭 행렬이 랭크(rank) v+o₁을 갖도록 계수 α_i,j가 선택되고,
   

   

   
   Φ_j는 변수들(x₁, x₂, …, x_v+o1)의 이차 다항식이고,
   

   

   이고,
   

   

   
   Θ_j는 변수들(x₁, x₂, …, x_n)의 이차 다항식이고, 다항식들(F^(o1+1)(x)부터 F^(m)(x)) 중에서 각 F^(k)의 이차항 부분의 대칭 행렬이 k=o₁+1, …, o₂에 대해 풀 랭크 (full rank)를 갖도록 1≤i≤v+o₁, 1≤j≤o₂에 대해

   

   인 전자 장치.
9. 제7항에 있어서, 상기 디지털 서명 생성 장치는,
   상기 키 생성 장치로부터

   

   =S^{- 1}와

   

   =T^-1을 수신하는 전자 장치.
10. 제7항에 있어서,
    상기 키 생성 장치와 상기 디지털 서명 생성 장치는 하나의 마더보드를 공유하는 전자 장치.
11. 제7항에 있어서, 상기 F^-1(ξ)=s를 계산하는 상기 디지털 서명 생성 장치는,
    랜덤 비니거 벡터(Vinegar vector) s _v =(s₁, …, s_v)를 선택하고,
    랜덤 비니거 벡터 s _v 를 i=1, …, o₁에 대한 F⁽ⁱ⁾로 대입하고,
    o₁ 개의 변수들을 갖는 o₁ 방정식들의 제1 선형 시스템을 얻고,
    가우시안 소거를 수행하여 상기 제1 선형 시스템의 해(s_{v +1}, …, s_{v +o1})를 얻고,
    랜덤 비니거 벡터 s _v 와 상기 해(s_{v +1}, …, s_{v +o1})를 i=o₁+1, …, o₁+o₂에 대한 F⁽ⁱ⁾로 대입하고,
    F(s)=ξ의 해를 얻기 위해, o₂ 개의 변수들을 갖는 o₂ 방정식들의 제2 선형 시스템을 풀어서 상기 제2 선형 시스템의 해(s_v+o1+1, …, s_v+o1+o2)를 얻는 전자 장치.
12. 제7항에 있어서,
    상기 전자 장치는 상기 키 생성 장치로부터 공개키(P)를 수신하고, 상기 디지털 서명 생성 장치로부터 상기 메시지(M)와 상기 디지털 서명(τ)을 수신하고, P(τ)=h(M) 인지를 판단하는 검증 장치를 더 포함하는 전자 장치.
13. 키 생성 장치, 디지털 서명 생성 장치, 및 검증 장치를 이용한 디지털 서명 방법에 있어서,
    상기 키 생성 장치가 제1아핀 맵(S:

    

    ), 제2아핀 맵(T:

    

    ), 및 제3맵(F:

    

    )을 생성하는 단계;
    상기 키 생성 장치가 상기 제1아핀 맵(S), 상기 제2아핀 맵(T), 및 상기 제3맵(F)를 이용하여 공개키(P=

    

    =(P⁽¹⁾, …, P^(m)))를 생성하는 단계; 및
    상기 키 생성 장치가 상기 공개키를 검증 장치로 전송하는 단계를 포함하고,
    상기 제3맵(F=(F⁽¹⁾, …, F^(m)))은 각각이 o_t 개(t=1,...,L)의 이차 다항식들을 포함하는 L 개(L≥2 인 자연수)의 레이어들을 포함하고,
    

    

    및 v+m=n이고,
    상기 레이어들 중에서 첫 번째 레이어는 아래의 수식,
    

    

    
    에 따라 정의되는 다항식들(

    

    )을 포함하고,
    상기 레이어들 중에서 k 번째(1<k≤L인 자연수) 레이어는 아래의 수식,
    

    

    
    (

    

    ,

    

    및

    

    )
    에 따라 정의되는 다항식들(

    

    )을 포함하고,
    

    

    는 원소들 q를 갖는 유한체(finite field)인 디지털 서명 방법.
14. 제13항에 있어서,
    상기 제3맵(F=(F⁽¹⁾, …, F^(m)))은 두 개의 레이어들을 포함하고,
    상기 두 개의 레이어들 중 첫 번째 레이어는 아래 수식
    

    

    
    에 따라 정의되는 다항식들(

    

    )을 포함하고,
    상기 두 개의 레이어들 중 두 번째 레이어는 아래 수식
    

    

    
    에 따라 정의되는 다항식들(

    

    )를 포함하고,
    

    

    이고,
    다항식들(F⁽¹⁾(x)부터 F^(o1)(x)) 중에서 각 F⁽ⁱ⁾의 이차항 부분의 대칭 행렬이 랭크(rank) v+o₁을 갖도록 계수 α_i,j가 선택되고,
    

    

    
    Φ_j는 변수들(x₁, x₂, …, x_v+o1)의 이차 다항식이고,
    

    

    이고,
    

    

    
    Θ_j는 변수들(x₁, x₂, …, x_n)의 이차 다항식이고, 다항식들(F^(o1+1)(x)부터 F^(m)(x)) 중에서 각 F^(k)의 이차항 부분의 대칭 행렬이 k=o₁+1, …, o₂에 대해 풀 랭크 (full rank)를 갖도록 1≤i≤v+o₁, 1≤j≤o₂에 대해

    

    인 디지털 서명 방법.
15. 제13항에 있어서,
    상기 키 생성 장치가

    

    =S^-1과

    

    =T^-1를 계산하는 단계;
    상기 디지털 서명 생성 장치가 상기 키 생성 장치로부터

    

    ,

    

    , 및 상기 제3맵(F)를 수신하는 단계;
    상기 디지털 서명 생성 장치가 주어진 메시지(M)에 대한 해시 메시지(h(M))를 계산하는 단계;
    상기 디지털 서명 생성 장치가

    

    (h(M))=ξ을 계산하는 단계;
    상기 디지털 서명 생성 장치가 F^-1(ξ)=s를 계산하는 단계; 및
    상기 디지털 서명 생성 장치가

    

    (s)=τ를 계산하는 단계를 더 포함하고,
    여기서, ξ=(ξ₁, …, ξ_m)이고, 벡터 s=(s₁, …, s_n)이고, τ는 주어진 해시 메시지(h(M))에 대한 디지털 서명인 디지털 서명 방법.
16. 제15항에 있어서, 상기 디지털 서명 생성 장치가 F^-1(ξ)=s를 계산하는 단계는,
    랜덤 비니거 벡터 s _v =(s₁, …, s_v)를 선택하는 단계;
    랜덤 비니거 벡터 s _v 를 i=1, …, o₁에 대한 F⁽ⁱ⁾로 대입하는 단계;
    o₁ 개의 변수들을 갖는 o₁ 방정식들의 제1 선형 시스템을 얻는 단계;
    가우시안 소거를 수행하여 상기 제1 선형 시스템의 해(s_{v +1}, …, s_{v +o1})를 얻는 단계:
    랜덤 비니거 벡터 s _v 와 상기 해(s_{v +1}, …, s_{v +o1})를 i=o₁+1, …, o₁+o₂에 대한 F⁽ⁱ⁾로 대입하는 단계; 및
    F(s)=ξ의 해를 얻기 위해, o₂ 개의 변수들을 갖는 o₂ 방정식들의 제2 선형 시스템을 풀어서 상기 제2 선형 시스템의 해(s_{v +o1+1}, …, s_{v +o1+o2})를 얻는 단계를 포함하는 디지털 서명 방법.
17. 제15항에 있어서,
    상기 검증 장치가 상기 키 생성 장치로부터 상기 공개키(P)를 수신하고, 상기 디지털 서명 생성 장치로부터 상기 메시지(M)와 상기 디지털 서명(τ)을 수신하는 단계; 및
    상기 검증 장치가 P(τ)=h(M) 인지를 판단하는 단계를 더 포함하는 디지털 서명 방법.
18. 제16항에 있어서, 상기 디지털 서명 생성 장치가 F^-1(ξ)=s를 계산하는 단계는,
    상기 제1 선형 시스템의 해(s_v+1, …, s_v+o1) 또는 상기 제2 선형 시스템의 해(s_v+o1+1, …, s_v+o1+o2)가 존재하지 않을 때, 상기 디지털 서명 생성 장치가 상기 랜덤 비니거 벡터 s_v =(s₁, …, s_v)를 다시 선택하는 단계를 더 포함하는 디지털 서명 방법.
19. 제13항에 있어서,
    상기 키 생성 장치와 상기 디지털 서명 생성 장치는 하나의 마더보드를 공유하는 디지털 서명 방법.

Images