KR101932032B1 - 선형 길이의 암호문을 가지는 다항식 함수 암호화 방법 - Google Patents

Abstract

본 발명에 의한, 컴퓨터가 수행하는 함수 암복호화 방법은, 메시지 벡터(m)의 각 성분(m_i)을 비밀키(sk_LDE)에 의해서 선형 복호 서킷 암호 스킴(LDE Scheme)으로 암호화한 값을 수신하는 제1 단계와; 제1 단계에서 수신한 암호문으로부터 LDE.Enc(sk_LDE ^d, m_I)을 산출하는 제2 단계와; 함수 계수(F_I)와 비밀키(sk_LDE ^d)의 곱을, 비밀키(s_I)에 의해서 R 모듈 암호화 스킴으로 암호화한 벡터 RMod.E(s_I, F_I·sk_LDE ^d, r)을 산출하는 제3 단계와; 제2 단계의 산출값과 제3 단계의 산출값을 곱하여 중간값을 산출하는 제4 단계와; 제4 단계에에서 산출된 중간값들의 전체 합을 산출하는 제5 단계와; 제5 단계에서 산출된 값을 복호화하는 제6 단계를 포함한다.

Description

선형 길이의 암호문을 가지는 다항식 함수 암호화 방법{Polynomial Functional Encryption Method with Linear ciphertext size}

본 발명은 선형 길이의 암호문을 가지는 다항식 함수 암호화 방법에 대한 것으로서 좀 더 자세하게는 암호문의 사이즈가 다항식의 차수(degree)에 비례하지 않고 차수와 관계없이 일정하게 함으로써 암호문의 크기를 현저하게 저감시킬 수 있는 함수 암호화 방법에 대한 것이다.

일반적인 암복호화 방법은, 암호문과 비밀키를 받아서 비밀키로 암호문을 복호화하여 평문을 획득한다.

반면에 함수 암호화 방법은, 암호문과 비밀키를 받아서 복호화를 하면 평문 메시지에 대해서 소정의 함수 연산을 수행한 결과값을 획득한다. 그와 같은 특성 때문에 평문 자체의 비밀성은 유지하면서 평문에 대한 특정 함수 결과값만을 필요로 하는 많은 분야에서 유용성이 있다. 현재까지 효율적인 함수 암호 스킴은 내적 연산 또는 이차 이하의 차수의 다항식에 대한 것만이 알려져 있다.

그러나 기존의 함수 암호화 방법을 이용하여 d차 다항식의 연산을 수행하는 경우 암호문 사이즈가 d에 지수적으로 비례하여 증가하기 때문에 암호문의 사이즈가 과도하게 커져서 실제로 적용하고 구현하는 데에 많은 문제점이 있었다.

본 발명은 그러한 종래 기술의 문제점을 해결함으로써 암호문의 사이즈가 다항식의 차수에 상관없이 일정하게 하여 암호문의 사이즈를 현저하게 감소시킬 수 있는 다항식 함수 암호화 방법을 제공하는 것을 목적으로 한다.

본 발명에 의한, 컴퓨터가 수행하는 함수 암복호화 방법은, 메시지 벡터(m)의 각 성분(m_i)을 비밀키(sk_LDE)에 의해서 선형 복호 서킷 암호 스킴(LDE Scheme)으로 암호화한 값을 수신하는 제1 단계와; 제1 단계에서 수신한 암호문으로부터 LDE.Enc(sk_LDE ^d, m_I)을 산출하는 제2 단계와; 함수 계수(F_I)와 비밀키(sk_LDE ^d)의 곱을, 비밀키(s_I)에 의해서 R 모듈 암호화 스킴으로 암호화한 벡터 RMod.E(s_I, F_I·sk_LDE ^d, r)을 산출하는 제3 단계와; 제2 단계의 산출값과 제3 단계의 산출값을 곱하여 중간값을 산출하는 제4 단계와; 제4 단계에에서 산출된 중간값들의 전체 합을 산출하는 제5 단계와; 제5 단계에서 산출된 값을 복호화하는 제6 단계를 포함한다.

d는, 다항식 함수 F의 차수이고, I는 크기 d를 가지는 {1, 2,...

}의 모든 다중 부분집합

의 원소이고,

은 메시지 벡터의 길이이다.

제4 단계의 중간값은 RMod.E(F_I·m_I)이 될 수 있다.

본 발명에 의한, 컴퓨터에 의한 함수 암호화 방법은, 메시지 벡터

에 대해서 암호문(CT)를 다음과 같이 생성하는 방법이다.

CT = {

,

}

여기에서,

;

이고,

이고,

;

이고,

sk_LDE는 LDE 암호화 스킴의 비밀키이며,

은 메시지 벡터의 길이이고, n은 암호문 벡터의 길이이며, I는 크기 d를 가지는 {1, 2,...

}의 모든 다중 부분집합

의 원소이고, λ는 보안 인수이며, d는 함수 암호화에 사용되는 다항식 함수의 차수이며, pp_RMod는 RMod 암호화 스킴의 공개 파라미터이다.

함수 비밀키(sk_F)는 다음과 같이 생성될 수 있다.

;

;

;

여기에서 sk_LDE는 LDE 암호화 스킴의 비밀키이며,

은 메시지 벡터의 길이이고, n은 암호문 벡터의 길이이고, I: 크기 d를 가지는 {1,2,...,

}의 모든 다중 부분 집합

의 원소이고, λ는 보안 인수이며, d는 함수 암호화에 사용되는 다항식 함수의 차수이고, pp_RMod는 RMod 암호화 스킴의 공개 파라미터이고, F_I는 다항식의 계수이다.

상기 방법에 의해 암호화된 암호문과 함수 비밀키를 수신한 컴퓨터가 암호문을 복호화하는 방법은,

값을 산출하는 제1 단계와; RMod.Dec(c₀, (evk₀, C)) 알고리즘을 수행하여

값을 획득하는 제2 단계를 포함할 수 있다.

본 발명에 의하면, 다항식의 차수에 따라 암호문의 사이즈가 비례하지 않아서 암호문의 크기가 현저하게 줄어들 수 있는 함수 암복호화 방법을 제공하는 작용 효과가 있다.

도 1은 본 발명에 의한 함수 암복호화 방법의 흐름도.

이하에서는 본 발명에 대해서 자세하게 설명한다.

본 명세서에서 수행되는 정보(데이터) 전송/수신 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 명세서 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 명세서에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, A로부터 B까지 직접 전송(전달) 또는 수신되는 것 만을 표현하는 것은 아니다. 본 발명의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행 단계로 설명된 과정보다 앞서서 수행되더라도 발명의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 “A 또는 B”은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 명세서에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.

본 명세서에서 "모듈"이라 함은 어떤 링(ring) R에 대해, R-스칼라곱 연산과 곱셈 연산을 가지고 있는 대수적인(algebraic) 객체를 의미한다.

본 명세서에서는 본 발명의 설명에 필요한 필수적인 구성요소만을 설명하며, 본 발명의 본질과 관계가 없는 구성요소는 언급하지 아니한다. 그리고 언급되는 구성요소만을 포함하는 배타적인 의미로 해석되어서는 아니되며 필수적이지 않은 특정 구성요소를 배제하거나 다른 구성요소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.

본 발명은 전자적 연산이 가능한 컴퓨터 등의 전자적 연산 장치에 의해서 수행되며, 후술하는 본 발명의 각 단계의 수학적 연산 및 산출은 해당 연산 또는 산출을 하기 위해 공지되어 있는 코딩 방법 및/또는 본 발명에 적합하게 고안된 코딩에 의해서 컴퓨터 연산으로 구현될 수 있다.

그리고 본 명세서에서 "값"이라 함은 스칼라값 뿐만 아니라 벡터 및 행렬, 텐서, 다항식도 포함하는 광의의 개념으로 정의된다.

본 명세서에서 특정값에 대해 암호화 또는 해쉬 등과 같은 연산을 하여 소정의 값을 획득한다는 의미는 해당 특정값 뿐만 아니라 해당 특정값의 변형값(예를 들어, 특정값에 소정의 값을 추가로 연산하거나 소정의 규칙에 따라서 해당 특정값을 변화시키는 등의 과정을 통해서 산출된 다른 값)에 대한 암호화 또는 해쉬 등의 연산도 포함하는 것으로 정의된다.

본 명세서에서 벡터는 굵은 글씨체 또는 문자 상부에 화살표로서 표시된다.

본 발명의 자세한 설명에 앞서 본 발명에 적용되는 두 개의 암호 스킴에 대해서 설명한다.

1. 선형 복호 서킷 암호 스킴(Linear Decrpytion Circuit Scheme; LDE)

분해 불가능한 다항식 f(X)에 대해서

인 링(ring)을 R이라고 하고, p를 홀수인 소수(odd prime number)라고 하고,

로 둘 때, LDE는 다음과 같은 공간상에서 정의된다.

메시지 공간: R₂

비밀키 공간:

(또는

의 부분집합)

암호문 공간:

공개된 파라미터 pp = {p, f(X)}에 대해서,다음과 같은 성질을 만족하는 LDE.Param, LDE.SKGen, LDE.Enc, LDE.Dec 알고리즘 군을 가지는 스킴을 "LDE" 라고 한다.

LDE.Param(

): 보안인수

로부터 공개 파라미터 pp 출력

LDE.SKGen(p, N): 공개된 파라미터 pp에 대해서

가 되도록 비밀키를 출력

LDE.Enc(

, m): 비밀키

와 메시지

에 대해서 암호문

을 출력

LDE.Dec(

,

): 비밀키

와 암호문

에 대해서 메시지

출력

또한, LDE.Dec 알고리즘은 두 벡터 sk와 c간의 내적으로 표현되고, 이를 통해 두 암호문의 곱셉

을 정의할 수 있다. 즉 LDE.Enc(sk₁,m₁)

LDE.Enc(sk₂, m₂)는 LDE.Enc(sk₁sk₂, m₁m₂)가 된다.

2. R 모듈 암호화 스킴(R-module Encryption Scheme: RMod)

분해 불가능한 다항식 f(X)에 대해서

인 링(ring)을 R이라고 하고, p를 홀수인 소수(odd prime number)라고 하면, RMod는 다음과 같은 공간상에서 정의된다.

메시지 공간: R_p

비밀키 공간: R_p

무작위성 공간: R_p

암호문 공간: M² ; (M,

,

)는 R_p-모듈

공개된 파라미터 pp = {p, f(X)}에 대해서, 다음과 같은 성질을 만족하는 RMod.Param, RMod.SKGen, RMod.Enc, RMod.Dec, RMod.D 알고리즘 군을 가지는 스킴을 "RMod" 라고 한다. RMod.D는 특정 조건하에서 비밀키 없이도 복호화를 수행할 수 있는 알고리즘이다.

B는 비밀키의 크기가 B보다 작을 때, 비밀키 없이도 복호화가 가능한 상수를 의미한다.

RMod.Param(

): 보안인수

로부터 공개 파라미터 pp 출력

RMod.SKGen(pp): 공개 파라미터 pp로부터 비밀키

출력

RMod.Enc(sk, m): 비밀키

와 메시지

에 대해서 암호문

출력

RMod.Dec(sk,

): 비밀키

와 암호문

에 대해서 메시지

출력.

RMod는 암호문간의 덧셈

과 스칼라곱

을 지원한다. R의 원소 f에 대해 f

RMod.Enc(sk, m) = RMod.Enc(f·sk, f·m)이 되고, RMod.Enc(sk₁, m₁)

RMod(sk₂, m₂)는 RMod.Enc(sk₁+sk₂, m₁+m₂)가 된다.

비밀키

와 메시지

와, 랜덤값 r ∈ R_p에 대해서 모듈 M의 원소 c를 출력하는 부분알고리즘 RMod.E가 존재하여, RMod.Enc(sk, m) = (RMod.E(1,0,r), RMod.E(sk, m, r))으로 표현된다.

본 발명이 적용되기 위해 LDE와 RMod를 만족하는 구체적인 스킴은 예를 들어, RLWE 암호 스킴(RLWE Encryption Scheme)과 ElG 암호 스킴(ElGamal Encryption Scheme)이 있다.

본 발명에 대해서 설명한다. 설명의 편의를 위해서 2차 다항식을 예로 들어 개념적으로 설명한다. 그러나 차수가 더 높더라도 수식의 확장을 통해서 이하의 설명은 동일하게 적용될 수 있으며, 일반식을 이용한 설명은 개념적 설명 이후에 후술하기로 한다.

키 분배 장치(10)는 먼저, 전술한 스킴에 따라서 마스터 비밀키를 생성하고(100), 공개 파라미터를 암호화 장치(20)와 함수 키 생성 장치(30)로 전송한다(단계 105, 110).

길이가

인 메시지 벡터

에 대해서, 2차 다항식 함수값 F(

)은 다음과 같이 표현할 수 있다.

는 내적값의 계산 수식에 따라서 결정되는 소정의 계수이다.

본 발명에 의하면, 평문 메시지

은 각각의 구성요소

가 비밀키

로 LDE 스킴에 따라 암호화된다. LDE 스킴은 암호문간의 곱셈을 지원한다.

설명의 편의를 위해,

는 비밀키 s_i를 곱함으로써 복호화되는 것으로 가정한다. 즉

가 성립한다.

본 발명에 의해 암호화된 제1 암호문 요소

는 다음과 같은 형태를 가진다.

= LDE.Enc(s₁, m₁), LDE.Enc(s₂, m₂),..., LDE.Enc(

,

)

본 발명과 같이 이렇게 암호화를 하면, 암호화를 한 값들을 곱해서 암호문을 생성하기 때문에 모든 메시지 벡터의 곱 요소 mi, mj를 암호화하여 암호문을 생성하는 종래 기술에 비해서 암호문의 사이즈가 현저하게 저감되는 효과가 있다.

본 발명의 발명자는, 이와 같은 암호문을 가지고도 함수 암호를 구현하기 위해서 RMod 스킴을 다음과 같이 적용한다. 위 암호화값은, 각 메시지 요소들을 암호화한 값들의 곱으로 구성되어 있기 때문에 후술하는 바와 같이 LDE.Enc(s_ij, m_i·m_j)값을 산출할 때에 위 암호화값 중에서 해당하는 값들 즉 LDE.Enc(s_i, m_i)와 LDE.Enc(s_j, m_j)을 선택해서 곱하기만 된다.

전자적 연산을 통해서 다음과 같은 중간값(intermediate term)을 산출한다(단계 110).

중간값 =

R 모듈 암호화 스킴(RMod)은 스칼라곱을 지원하기 때문에 중간값은 다음과 같은 값으로 변환 가능하다.

=

=

R 모듈 암호화 스킴(RMod)은 덧셈을 지원하기 때문에 모든 중간값들을 합산하여 합산값을 산출한다(단계 120). 이렇게 합산된 값은

의 암호화값이 될 수 있다.

그 암호화 값을 복호화함으로써(단계 130),

값을 획득할 수 있다(단계 135).

암호문 생성 및

의 암호화값의 복호화 과정을 좀 더 자세히 설명한다.이하 설명에서는 다항식의 차수를 d로 하여 일반식으로 설명한다.

먼저 마스터 키 생성 과정에 대해서 설명한다.

소수 p와 분해 불가능한 다항식 f(X)를 정하고, pp_LDE와 pp_RMod를 {p, f(X)}로 한다.

pp_LDE를 pp_RMod와 동일하게 설정하고 이를 {p}로 한다.

LDE 비밀키 sk_LDE와 RMod 비밀키 {s _I,i}를 다음과 같이 설정한다.

여기에서 I는, 크기 d를 가지는 {1, 2,...

}의 모든 다중 부분집합

의 원소이다.

그리고 i는 d회의 곱셈을 수행한 이후의 LDE 암호문의 길이를 len(n, d)라고 했을 때, {1, 2,..., len(n, d)}의 원소이다.

마스터키 msk는 다음과 같이 생성한다.

이어서 함수 비밀키 생성 과정(단계 125)에 대해서 설명한다.

RMod 암호화 스킴의 랜덤 공간에서 랜덤 요소 r을 선택하고 다음과 같이 evk₀ 값을 산출한다.

그리고, 다음과 같이 LDE 곱셈 비밀키를 생성한다.

동일한 랜덤 요소 r에 대해서 RMod 암호화 알고리즘을 수행하여 다음과 같이 evk_I,i를 산출한다.

위 값을 이용하여,

를 아래와 같이 산출한다.

위 값을 이용하여 함수 비밀키(sk_F)를 다음과 같이 생성하고(단계 125), 복호화 장치(40)로 전송된다(단계 130).

길이

을 가지는 메시지 벡터

에 대해서 다음과 같이 암호문을 생성한다.

제1 암호문 요소

는 다음과 같이 생성된다.

;

제2 암호문 요소 c₀는 다음과 같이 생성된다.

;

제1 암호문 요소와 제2 암호문 요소가 단계(105)에서 생성되어 복호화 장치(40)로 전송되는 암호문(CT)이 된다. 즉 CT = {

,

}가 된다.

함수 비밀키와 암호문을 수신한 복호화 장치(40)는 다음과 같이 복호화를 수행하여

을 획득한다.(단계 135)

먼저 다음과 같이 C 값을 구한다.

이 C 값에 대해서 다음과 같이 복호화를 하면

값을 획득할 수 있다.

RMod.Dec(c₀, (evk₀, C)) =

본 발명에 의하면, 다항식의 차수에 따라 암호문의 사이즈가 일정하기 때문에 암호문의 크기를 현저하게 저감할 수 있는 함수 암복호화 방법을 제공하는 작용 효과가 있다.

이상 첨부 도면을 참고하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.

Claims (5)

1. 컴퓨터가 수행하는 함수 암복호화 방법에 있어서,
   메시지 벡터(m)의 각 성분(m_i)을 비밀키(sk_LDE)에 의해서 선형 복호 서킷 암호 스킴(LDE Scheme)으로 암호화한 값을 수신하는 제1 단계와,
   제1 단계에서 수신한 암호문으로부터 LDE.Enc(sk_LDE ^d, m_I)을 산출하는 제2 단계와,
   함수 계수(F_I)와 비밀키(sk_LDE ^d)의 곱을, 비밀키(s_I)에 의해서 R 모듈 암호화 스킴으로 암호화한 벡터 RMod.E(s_I, F_I·sk_LDE ^d, r)을 산출하는 제3 단계와,
   제2 단계의 산출값과 제3 단계의 산출값을 곱하여 중간값을 산출하는 제4 단계와,
   제4 단계에서 산출된 중간값들의 전체 합을 산출하는 제5 단계와,
   제5 단계에서 산출된 값을 복호화하는 제6 단계를 포함하는,
   컴퓨터를 이용한 함수 암복호화 방법
   d: 다항식 함수 F의 _p차수
   r: 랜덤값

   

   R_p
   I: 크기 d를 가지는 {1, 2,...

   

   }의 모든 다중 부분집합

   

   의 원소
   

   

   : 메시지 벡터의 길이.
   
2. 청구항 1에 있어서,
   제4 단계의 중간값은 RMod.E(F_I·m_I)인,
   컴퓨터를 이용한 함수 암복호화 방법.
   
3. 컴퓨터를 이용한 함수 암호화 방법에 있어서,
   메시지 벡터

   

   에 대해서 암호문(CT)를 다음과 같이 생성하는 방법
   CT = {

   

   ,

   

   };
   여기에서,

   

   ;

   

   ;

   

   이며,
   

   

   ;

   

   이며
   sk_LDE: LDE 암호화 스킴의 비밀키
   

   

   : 메시지 벡터의 길이
   n: 암호문 벡터의 길이
   I: 크기 d를 가지는 {1, 2,...

   

   }의 모든 다중 부분집합

   

   의 원소
   λ: 보안 인수
   d: 함수 암호화에 사용되는 다항식 함수의 차수
   pp_RMod: RMod 암호화 스킴의 공개 파라미터
   len(n, d): d회의 곱셈을 수행한 이후의 LDE 암호문의 길이
   
4. 청구항 3에 있어서,
   함수 비밀키(sk_F)는 다음과 같이 생성되는,
   컴퓨터를 이용한 함수 암호화 방법
   

   

   ;
   

   

   
   

   

   
   

   

   
   

   

   
   sk_LDE: LDE 암호화 스킴의 비밀키
   

   

   : 메시지 벡터의 길이
   n: 암호문 벡터의 길이
   I: 크기 d를 가지는 {1, 2,...,

   

   }의 모든 다중 부분 집합

   

   의 원소
   λ: 보안 인수
   d: 함수 암호화에 사용되는 다항식 함수의 차수
   pp_RMod: RMod 암호화 스킴의 공개 파라미터
   F_I: 다항식의 계수
   
5. 청구항 4에 의해 암호화된 암호문과 함수 비밀키를 수신한 컴퓨터가 암호문을 복호화하는 방법에 있어서,
   

   

   값을 산출하는 제1 단계와,
   RMod.Dec(c₀, (evk₀, C)) 알고리즘을 수행하여

   

   값을 획득하는 제2 단계를 포함하는,
   컴퓨터가 함수 암호문을 복호화하는 방법.

Images