KR102203238B1 - 모듈러 곱셈 연산을 수행하는 연산 장치 및 방법 - Google Patents

모듈러 곱셈 연산을 수행하는 연산 장치 및 방법 Download PDF

Info

Publication number
KR102203238B1
KR102203238B1 KR1020190160760A KR20190160760A KR102203238B1 KR 102203238 B1 KR102203238 B1 KR 102203238B1 KR 1020190160760 A KR1020190160760 A KR 1020190160760A KR 20190160760 A KR20190160760 A KR 20190160760A KR 102203238 B1 KR102203238 B1 KR 102203238B1
Authority
KR
South Korea
Prior art keywords
multiplication
ciphertext
information
module
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020190160760A
Other languages
English (en)
Other versions
KR20200135129A (ko
Inventor
천정희
Original Assignee
주식회사 크립토랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 크립토랩 filed Critical 주식회사 크립토랩
Priority to US16/811,555 priority Critical patent/US11509454B2/en
Priority to PCT/KR2020/004105 priority patent/WO2020235797A1/en
Publication of KR20200135129A publication Critical patent/KR20200135129A/ko
Application granted granted Critical
Publication of KR102203238B1 publication Critical patent/KR102203238B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/38Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation
    • G06F7/48Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation using non-contact-making devices, e.g. tube, solid state device; using unspecified devices
    • G06F7/52Multiplying; Dividing
    • G06F7/523Multiplying only
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/125Parallelization or pipelining, e.g. for accelerating processing of cryptographic operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

암호문 연산 방법이 개시된다. 본 암호문 연산 방법은 복수의 암호문에 대한 모듈 연산 명령을 입력받는 단계, 기결정된 복수의 소수 정보를 저장하는 룩업 테이블을 이용하여 복수의 암호문에 대한 모듈 연산을 수행하는 단계, 및 연산 결과를 출력하는 단계를 포함한다.

Description

모듈러 곱셈 연산을 수행하는 연산 장치 및 방법{APPARATUS FOR PROCESSING MODULAR MULTIPLY OPERATION AND METHODS THEREOF}
본 개시는 모듈러 곱셈 연산을 수행하는 연산 장치 및 방법에 관한 것으로, 보다 상세하게는 기결정된 복수의 소수 정보를 이용하여 모듈러 곱셈 연산을 수행하는 연산 장치 및 방법에 관한 것이다.
심층 신경망(Deep Neural network)은 음성 인식 및 이미지 분류 등과 같은 다양한 분야에서 탁월한 솔루션을 제공하고 있다. 그러나 심층 신경망은 학습 과정에서 방대한 양의 데이터가 요구된다.
따라서, 개인 데이터를 신뢰적으로 사용할 수 있는 개인 정보 보호("privacy-preserving") 기계학습이라 불리는 접근 방식이 중요해 지고 있다. 동형 암호(HE, Homomorphic encryption)는 암호화된 상태에서 연산을 허용하기 때문에, 상술한 개인 정보 보호에 이상적인 솔류션이다.
그러나 동형 암호에 대한 연산은 매우 큰 모듈러스를 갖는 다항식의 연산이라는 점에서, 연산 과정에서 많은 시간이 소요되는 문제점이 있었다. 따라서, 동형 암호 연산의 시간 및 속도를 향상할 수 있는 방법이 요구되었다.
따라서, 본 개시는 상술한 바와 같은 문제점을 해결하기 위하여 고안된 것으로, 기결정된 복수의 소수 정보를 이용하여 모듈러 곱셈 연산을 수행하는 연산 장치 및 방법을 제공하는 데 있다.
본 개시는 이상과 같은 목적을 달성하기 위한 것으로, 본 암호문 연산 방법은 복수의 암호문에 대한 모듈 연산 명령을 입력받는 단계, 기결정된 복수의 소수 정보를 저장하는 룩업 테이블을 이용하여 상기 복수의 암호문에 대한 모듈 연산을 수행하는 단계, 및 상기 연산 결과를 출력하는 단계를 포함한다.
이 경우, 상기 복수의 소수 정보 각각은 2의 지수승들의 조합으로 표현되고, 상기 모듈 연산을 수행하는 단계는 소수(prime number)를 구성하는 복수의 2의 지수승 각각의 지수(exponent)에 기초하여 개별적인 시프트 연산을 수행하고, 시프트 연산 결과들을 가산 연산 또는 감산 연산할 수 있다.
이 경우, 상기 소수는 서로 다른 지수로 구성된 3개 또는 4개의 2의 지수승들의 감가산값일 수 있다.
한편, 상기 룩업 테이블은, 261-226+1, 261-224-220+1, 261-224+1, 261-222+219+1, 261-221+1, 261-221+216+1, 261+222+220+1, 261+223-218+1, 261+223+221+1, 261+224-219+1, 261+225+223+1 또는 261+226+216+1 중 적어도 하나를 포함할 수 있다.
한편, 상기 모듈 연산을 수행하는 단계는, 제1 암호문 및 제2 암호문을 제1 곱셈 연산하는 단계, 상기 복수의 소수 정보 중 하나의 소수 정보에 대응되는 역수 정보와 상기 제1 곱셈 연산 결과를 제2 곱셈 연산하는 단계, 상기 제2 곱셈 연산 결과와 상기 하나의 소수 정보를 이용하여 제3 곱셈 연산하는 단계, 및 상기 제1 곱셈 연산 결과와 상기 제3 곱셈 연산 결과를 감산 연산하는 단계를 포함한다.
이 경우, 상기 하나의 소수 정보는, 2의 지수승들의 정보를 포함하고, 상기 제3 곱셈 연산하는 단계는, 상기 복수의 2의 지수승 각각의 지수에 기초하여 개별적인 시프트 연산을 수행하고, 시프트 연산 결과들을 가산 연산 또는 감산 연산하여 제3 곱셈 연산을 수행할 수 있다.
한편, 상기 역수 정보는, 2의 지수승들의 정보를 포함하고, 상기 제2 곱셈하는 단계는, 상기 복수의 2의 지수승 각각의 지수에 기초하여 개별적인 시프트 연산을 수행하고, 시프트 연산 결과들을 가산 연산 또는 감산 연산하여 제2 곱셈 연산을 수행할 수 있다.
한편, 상기 제2 곱셈 연산하는 단계 및 상기 제3 곱셈 연산하는 단계는, 연산 결과를 상기 제1 암호문 또는 상기 제2 암호문의 비트 수와 같은 크기의 비트 수로 출력할 수 있다.
한편, 상기 모듈 연산을 수행하는 단계는, '하나의 소수 정보에 대응되는 역수와 제2 암호문을 곱셈 연산한 사전 계산 값'과 제1 암호문을 제1 곱셈 연산하는 단계, 상기 제1 암호문과 상기 제2 암호문을 제2 곱셈 연산하는 단계, 상기 제1 곱셈 연산된 결과에 상기 소수 정보를 이용하여 제3 곱셈 연산하는 단계, 상기 제2 곱셈 연산 결과와 상기 제3 곱셈 연산 결과를 감산 연산하는 단계를 포함할 수 있다.
한편, 상기 소수 정보에 대응되는 소수 값은, 복수의 서로 다른 스케일링 팩터를 승산한 값이며, 상기 복수의 서로 다른 스케일링 팩터들은 서로 소 관계인 값들일 수 있다.
이 경우, 상기 모듈 연산을 수행하는 단계는, 상기 복수의 암호문 각각의 기저별로 모듈 연산을 수행할 수 있다.
한편, 본 개시의 일 실시 예에 따른 연산 장치는 적어도 하나의 인스트럭션(instruction) 및 기결정된 복수의 소수 정보를 저장하는 메모리, 및 상기 적어도 하나의 인스트럭션을 실행하는 프로세서를 포함하고, 상기 프로세서는, 상기 적어도 하나의 인스트럭션을 실행함으로써, 상기 기결정된 복수의 소수 정보 중 하나의 소수 정보를 이용하여 복수의 암호문에 대한 모듈 연산을 수행할 수 있다.
이 경우, 상기 복수의 소수 정보 각각은, 2의 지수승들의 조합으로 표현되고, 상기 프로세서는, 소수(prime number)를 구성하는 복수의 2의 지수승 각각의 지수(exponent)에 기초하여 개별적인 시프트 연산을 수행하고, 시프트 연산 결과들을 가산 연산 또는 감산 연산할 수 있다.
한편, 상기 소수 정보에 대응되는 소수 값은, 복수의 서로 다른 스케일링 팩터를 승산한 값이며, 상기 복수의 서로 다른 스케일링 팩터들은 서로 소 관계인 값들이며, 상기 프로세서는, 상기 복수의 암호문 각각의 기저별로 모듈 연산을 수행할 수 있다.
한편, 상기 프로세서는, FPGA(Field Programmable Gate Array)일 수 있다.
이상과 같은 본 개시의 다양한 실시 예들에 따르면, 본 개시의 암호문 연산 방법은 기결정된 소수 정보를 이용하여 모듈화 연산을 수행하는바 작은 룩업 테이블만을 이용하는 것이 가능하며, 기결정된 소수 정보는 2의 지수승들의 조합으로 표현되고 그에 따라 시프트 연산과 감가산 연산만으로 정수 연산을 수행할 수 있는바 더욱 빠른 연산이 가능하다.
도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구조를 설명하기 위한 도면,
도 2는 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타낸 블럭도,
도 3은 본 개시의 일 실시 예에 따른 암호문 연산 방법을 설명하기 위한 흐름도,
도 4는 본 개시의 제1 실시 예에 따른 모듈 연산 방법을 설명하기 위한 도면,
도 5는 도 4의 알고리즘으로 동작하는 아크텍처를 도시한 도면,
도 6은 본 개시의 제2 실시 예에 따른 모듈 연산 방법을 설명하기 위한 도면,
도 7은 도 6의 알고리즘으로 동작하는 아크텍처를 도시한 도면,
도 8은 본 개시의 일 실시 예에 따른 소수 세트의 예를 도시한 도면,
도 9는 병렬적으로 모듈 연산을 수행하는 방법을 설명하기 위한 도면, 그리고,
도 10은 병렬적으로 모듈 연산을 수행하는 경우의 효과를 설명하기 위한 도면이다.
이하에서는 첨부 도면을 참조하여 본 개시에 대해서 자세하게 설명한다. 본 개시에서 수행되는 정보(데이터) 전송 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 개시 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 개시에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, 반드시 A로부터 B까지 직접 전송(전달) 또는 수신되는 것만을 표현하는 것은 아니다.
본 개시의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉, 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행단계로 설명된 과정보다 앞서서 수행되더라도 개시의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 "A 또는 B"라고 기재한 것은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 개시에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.
본 개시에서는 본 개시의 설명에 필요한 필수적인 구성요소만을 설명하며, 본 개시의 본질과 관계가 없는 구성요소는 언급하지 아니한다. 그리고 언급되는 구성요소만을 포함하는 배타적인 의미로 해석되어서는 안 되며 다른 구성요소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.
그리고 본 개시에서 "값"이라 함은 스칼라값뿐만 아니라 벡터, 다항식 형태도 포함하는 개념으로 정의된다.
후술하는 본 개시의 각 단계의 수학적 연산 및 산출은 해당 연산 또는 산출을 하기 위해 공지되어 있는 코딩 방법 및/또는 본 개시에 적합하게 고안된 코딩에 의해서 컴퓨터 연산으로 구현될 수 있다.
이하에서 설명하는 구체적인 수학식은 가능한 여러 대안 중에서 예시적으로 설명되는 것이며, 본 개시의 권리 범위가 본 개시에 언급된 수학식에 제한되는 것으로 해석되어서는 아니된다.
설명의 편의를 위해서, 본 개시에서는 다음과 같이 표기를 정하기로 한다.
a ← D : 분포(D)에 따라서 원소(a)를 선택함
s1, s2 ∈ R : S1, S2 각각은 R 집합에 속하는 원소이다.
mod(q) : q 원소로 모듈(modular) 연산
「-」 : 내부 값을 반올림함
이하에서는 첨부된 도면을 이용하여 본 개시의 다양한 실시 예들에 대하여 구체적으로 설명한다.
도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구조를 설명하기 위한 도면이다.
도 1을 참조하면, 네트워크 시스템은 복수의 전자 장치(100-1 ~ 100-n), 제1 서버 장치(200), 제2 서버 장치(300)를 포함할 수 있으며, 각 구성들은 네트워크(10)를 통해 서로 연결될 수 있다.
네트워크(10)는 다양한 형태의 유무선 통신 네트워크, 방송 통신 네트워크, 광통신 네트워크, 클라우드 네트워크 등으로 구현될 수 있으며, 각 장치들은 별도의 매개체 없이 와이파이, 블루투스, NFC(Near Field Communication) 등과 같은 방식으로 연결될 수도 있다.
도 1에서는 전자 장치가 복수개(100-1 ~ 100-n)인 것으로 도시하였으나, 반드시 복수개의 전자 장치가 사용되어야 하는 것은 아니며 하나의 장치가 사용될 수도 있다. 일 예로, 전자 장치(100-1 ~ 100-n)는 스마트폰, 태블릿, 게임 플레이어, PC, 랩톱 PC, 홈서버, 키오스크 등과 같은 다양한 형태의 장치로 구현될 수 있으며, 이밖에 IoT 기능이 적용된 가전 제품 형태로도 구현될 수 있다.
사용자는 자신이 사용하는 전자 장치(100-1 ~ 100-n)를 통해서 다양한 정보를 입력할 수 있다. 입력된 정보는 전자 장치(100-1 ~ 100-n) 자체에 저장될 수도 있지만, 저장 용량 및 보안 등을 이유로 외부 장치로 전송되어 저장될 수도 있다. 도 1에서 제1 서버 장치(200)는 이러한 정보들을 저장하는 역할을 수행하고, 제2 서버 장치(300)는 제1 서버 장치(200)에 저장된 정보의 일부 또는 전부를 이용하는 역할을 수행할 수 있다.
각 전자 장치(100-1 ~ 100-n)는 입력된 정보를 동형 암호화하여, 동형 암호문을 제1 서버 장치(200)로 전송할 수 있다.
각 전자 장치(100-1 ~ 100-n)는 동형 암호화를 수행하는 과정에서 산출되는 암호화 노이즈, 즉, 에러를 암호문에 포함시킬 수 있다. 예를 들어, 각 전자 장치(100-1 ~ 100-n)에서 생성하는 동형 암호문은, 추후에 비밀 키를 이용하여 복호화하였을 때 메시지 및 에러 값을 포함하는 결과 값이 복원되는 형태로 생성될 수 있다.
일 예로, 전자 장치(100-1 ~ 100-n)에서 생성하는 동형 암호문은 비밀 키를 이용하여 복호화 하였을 때 다음과 같은 성질을 만족하는 형태로 생성될 수 있다.
[수학식 1]
Dec(ct, sk) = <ct, sk> = M+e(mod q)
여기서 < , >는 내적 연산(usual inner product), ct는 암호문, sk는 비밀 키, M은 평문 메시지, e는 암호화 에러 값, mod q는 암호문의 모듈러스(Modulus)를 의미한다. q는 스케일링 팩터(scaling factor)(Δ)가 메시지에 곱해진 결과 값 M보다 크게 선택되어야 한다. 에러 값 e의 절대값이 M에 비해서 충분히 작다면, 암호문의 복호화 값 M+e 는 유효숫자연산에서 원래의 메시지를 동일한 정밀도로 대체할 수 있는 값이다. 복호화된 데이터 중에서 에러는 최하위 비트(LSB) 측에 배치되고, M은 차하위 비트 측에 배치될 수 있다.
메시지의 크기가 너무 작거나 너무 큰 경우, 스케일링 팩터를 이용하여 그 크기를 조절할 수도 있다. 스케일링 팩터를 사용하게 되면, 정수 형태의 메시지뿐만 아니라 실수 형태의 메시지까지도 암호화할 수 있게 되므로, 활용성이 크게 증대할 수 있다. 또한, 스케일링 팩터를 이용하여 메시지의 크기를 조절함으로써, 연산이 이루어지고 난 이후의 암호문에서 메시지들이 존재하는 영역, 즉, 유효 영역의 크기도 조절될 수 있다.
실시 예에 따라, 암호문 모듈러스 q는 다양한 형태로 설정되어 사용될 수 있다. 일 예로, 암호문의 모듈러스는 스케일링 팩터 Δ의 지수승 q=ΔL 형태로 설정될 수 있다. Δ가 2라면, q=210 과 같은 값으로 설정될 수 있다. 또는, q는 도 8에 도시된 바와 같이 일정 조건을 만족하는 2의 지수승의 조합으로 표현될 수 있다.
또 다른 예로, 암호문 모듈러스는 복수의 서로 다른 스케일링 팩터들을 곱한 값으로 설정될 수도 있다. 각 팩터들은 유사 범위 이내의 값, 즉, 서로 비슷한 크기의 값으로 설정될 수 있다. 예를 들어, q=q1 q2 q3 ··· qx로 설정될 수 있으며, q1, q2, q3 ,…, qx 각각은 스케일링 인수 Δ와 비슷한 크기이며 서로 소 관계의 값으로 설정될 수 있다.
스케일링 팩터를 이와 같은 방식으로 설정하게 되면, CRT(Chinese Remainder Theorem)에 따라 전체 연산을 복수개의 모듈러스 연산으로 분리하여 진행할 수 있게 되므로, 연산 부담을 경감시킬 수 있다.
또한, 서로 비슷한 크기의 팩터를 사용함에 따라, 후술하는 단계에서 라운딩 처리를 수행하였을 때, 앞선 예에서의 결과값과 거의 같은 결과를 얻을 수 있다.
제1 서버 장치(200)는 수신된 동형 암호문을 복호화하지 않고, 암호문 상태로 저장할 수 있다.
제2 서버 장치(300)는 동형 암호문에 대한 특정 처리 결과를 제1 서버 장치(200)로 요청할 수 있다. 제1 서버 장치(200)는 제2 서버 장치(300)의 요청에 따라 특정 연산을 수행한 후, 그 결과를 제2 서버 장치(300)로 전송할 수 있다.
일 예로, 두 개의 전자 장치(100-1, 100-2)가 전송한 암호문 ct1, ct2가 제1 서버 장치(200)에 저장된 경우, 제2 서버 장치(300)는 두 전자 장치(100-1, 100-2)로부터 제공된 정보들을 합산한 값을 제1 서버 장치(200)로 요청할 수 있다. 제1 서버 장치(200)는 요청에 따라 두 암호문을 합산하는 연산을 수행한 후, 그 결과 값(ct1 + ct2)을 제2 서버 장치(300)로 전송할 수 있다.
동형 암호문의 성질상, 제1 서버 장치(200)는 복호화를 하지 않은 상태에서 연산을 수행할 수 있고, 그 결과 값도 암호문 형태가 될 수 있다.
제1 서버 장치(200)는 연산 결과 암호문을 제2 서버 장치(300)로 전송할 수 있다. 제2 서버 장치(300)는 수신된 연산 결과 암호문을 복호화하여, 각 동형 암호문들에 포함된 데이터들의 연산 결과값을 획득할 수 있다. 그리고 제1 서버 장치(200)는 사용자 요청에 따라 연산을 수차례 수행할 수 있다.
한편, 도 1에서는 제1 전자 장치 및 제2 전자 장치에서 암호화를 수행하고, 제2 서버 장치가 복호화를 수행하는 경우를 도시하였으나, 이에 한정되는 것은 아니다.
또한, 도 1을 도시하고 설명함에 있어서, 동형 암호 중 수학식 1을 만족하는 HEAAN 방식을 이용하는 것으로 설명하였지만, 후술하는 모듈 연산 방법은 HEAAN 이외에 다른 동형 암호 방식에도 적용될 수 있다.
도 2는 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타낸 블럭도이다.
예를 들어, 도 1의 시스템에서 제1 전자 장치, 제2 전자 장치 등과 같이 동형 암호화를 수행하는 장치, 제1 서버 장치 등과 같이 동형 암호문을 연산하는 장치, 제2 서버 장치 등과 같이 동형 암호문을 복호하는 장치 등을 연산 장치라고 지칭할 수 있다. 이러한 연산 장치는 PC(Personal computer), 노트북, 스마트폰, 태블릿, 서버 등 다양한 장치일 수 있다.
도 2를 참조하면, 연산 장치(400)는 통신 장치(410), 메모리(420), 디스플레이(430), 조작 입력 장치(440) 및 프로세서(450)를 포함할 수 있다.
통신 장치(410)는 연산 장치(400)를 외부 장치(미도시)와 연결하기 위해 형성되고, 근거리 통신망(LAN: Local Area Network) 및 인터넷망을 통해 외부 장치에 접속되는 형태뿐만 아니라, USB(Universal Serial Bus) 포트 또는 무선 통신(예를 들어, WiFi 802.11a/b/g/n, NFC, Bluetooth) 포트를 통하여 접속되는 형태도 가능하다. 이러한 통신 장치(410)는 송수신부(transceiver)로 지칭될 수도 있다.
통신 장치(410)는 공개 키를 외부 장치로부터 수신할 수 있으며, 연산 장치(400) 자체적으로 생성한 공개 키를 외부 장치로 전송할 수 있다.
그리고 통신 장치(410)는 외부 장치로부터 메시지를 수신할 수 있으며, 생성한 동형 암호문을 외부 장치로 송신할 수 있다.
또한, 통신 장치(410)는 암호문 생성에 필요한 각종 파라미터를 외부 장치로부터 수신할 수 있다. 한편, 구현시에 각종 파라미터는 후술하는 조작 입력 장치(440)를 통하여 사용자로부터 직접 입력받을 수 있다.
또한, 통신 장치(410)는 외부 장치로부터 동형 암호문에 대한 연산을 요청받을 수 있으며, 그에 따라 계산된 결과를 외부 장치에 전송할 수 있다. 여기서 요청받은 연산은 덧셈, 뺄셈, 곱셈(예를 들어, 모듈러 곱셈 연산)과 같은 연산일 수 있다. 여기서 모듈러 곱셈 연산이란 q 원소로 모듈(modular) 연산하는 것을 의미한다. 그리고 q 원소는 도 8에 도시된 바와 같은 2의 지수승들의 조합으로 표현되는 값이 이용될 수 있다.
메모리(420)에는 연산 장치(400)에 관한 적어도 하나의 인스트럭션(instruction)이 저장될 수 있다. 예를 들어, 메모리(420)에는 본 개시의 다양한 실시 예에 따라 연산 장치(400)가 동작하기 위한 각종 프로그램(또는 소프트웨어)이 저장될 수 있다.
이러한 메모리(420)는 RAM 이나 ROM, Buffer, 캐쉬(Cache), 플래시 메모리, HDD, 외장 메모리, 메모리 카드 등과 같은 다양한 형태로 구현될 수 있으며, 어느 하나로 한정되는 것은 아니다.
메모리(420)는 암호화할 메시지를 저장할 수 있다. 여기서 메시지는 사용자가 각종 인용한 각종 신용 정보, 개인 정보 등일 수 있으며, 연산 장치(400)에서 사용되는 위치 정보, 인터넷 사용 시간 정보 등 사용 이력 등과 관련된 정보일 수도 있다.
그리고 메모리(420)는 공개 키를 저장할 수 있으며, 연산 장치(400)가 직접 공개 키를 생성한 경우, 비밀 키뿐만 아니라, 공개 키 및 비밀 키 생성에 필요한 각종 파라미터를 저장할 수 있다.
그리고 메모리(420)는 복수의 소수 정보를 갖는 룩업 테이블을 저장할 수 있다. 여기서 복수의 소수 정보 각각은 2의 지수승들의 조합으로 표현될 수 있다. 또한, 룩업 테이블은 소수 정보와 함께 해당 소수 정보에 대응되는 역수 정보도 저장할 수 있다.
그리고 메모리(420)는 후술한 과정에서 생성된 동형 암호문을 저장할 수 있다. 그리고 메모리(420)는 외부 장치에서 전송한 동형 암호문을 저장할 수도 있다. 또한, 메모리(420)는 후술하는 연산 과정에서의 결과물인 연산 결과 암호문을 저장할 수도 있다.
디스플레이(430)는 연산 장치(400)가 지원하는 기능을 선택받기 위한 사용자 인터페이스 창을 표시한다. 예를 들어, 디스플레이(430)는 연산 장치(400)가 제공하는 각종 기능을 선택받기 위한 사용자 인터페이스 창을 표시할 수 있다. 이러한 디스플레이(430)는 LCD(liquid crystal display), OLED(Organic Light Emitting Diodes) 등과 같은 모니터일 수 있으며, 후술할 조작 입력 장치(440)의 기능을 동시에 수행할 수 있는 터치 스크린으로 구현될 수도 있다.
디스플레이(430)는 비밀 키 및 공개 키 생성에 필요한 파라미터의 입력을 요청하는 메시지를 표시할 수 있다. 그리고 디스플레이(430)는 암호화 대상이 메시지를 선택하는 메시지를 표시할 수 있다. 한편, 구현시에 암호화 대상은 사용자가 직접 선택할 수도 있고, 자동으로 선택될 수 있다. 즉, 암호화가 필요한 개인 정보 등은 사용자가 직접 메시지를 선택하지 않더라도 자동으로 설정될 수 있다.
조작 입력 장치(440)는 사용자로부터 연산 장치(400)의 기능 선택 및 해당 기능에 대한 제어 명령을 입력받을 수 있다. 예를 들어, 조작 입력 장치(440)는 사용자로부터 비밀 키 및 공개 키 생성에 필요한 파라미터를 입력받을 수 있다. 또한, 조작 입력 장치(440)는 사용자로부터 암호화될 메시지를 설정받을 수 있다.
프로세서(450)는 연산 장치(400)의 전반적인 동작을 제어한다. 예를 들어, 프로세서(450)는 메모리(420)에 저장된 적어도 하나의 인스트럭션을 실행함으로써 연산 장치(400)의 동작을 전반적으로 제어할 수 있다. 이러한 프로세서(450)는 CPU(central processing unit), ASIC(application-specific integrated circuit)과 같은 단일 장치로 구성될 수 있으며, CPU, GPU(Graphics Processing Unit) 등의 복수의 구성으로 구성될 수도 있다.
프로세서(450)는 전송하고자 하는 메시지가 입력되면 메모리(420)에 저장할 수 있다. 그리고 프로세서(450)는 메모리(420)에 저장된 각종 설정 값 및 프로그램을 이용하여, 메시지를 동형 암호화할 수 있다. 이 경우, 공개 키가 사용될 수 있다.
프로세서(450)는 암호화를 수행하는데 필요한 공개 키를 자체적으로 생성하여 사용할 수도 있고, 외부 장치로부터 수신하여 사용할 수도 있다. 일 예로, 복호화를 수행하는 제2 서버 장치(300)가 공개 키를 다른 장치들에게 배포할 수 있다.
자체적으로 키를 생성하는 경우, 프로세서(450)는 Ring-LWE 기법을 이용하여 공개 키를 생성할 수 있다. 예를 들면, 프로세서(450)는 먼저 각종 파라미터 및 링을 설정하여, 메모리(420)에 저장할 수 있다. 파라미터의 예로는 평문 메시지 비트의 길이, 공개 키 및 비밀 키의 크기 등이 있을 수 있다.
링은 다음과 같은 수학식으로 표현될 수 있다.
[수학식 2]
Figure 112019125924377-pat00001
여기서 R은 링, Zq는 계수, f(x)는 n차 다항식이다.
링(Ring)이란 기설정된 계수를 가지는 다항식의 집합으로, 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합을 의미한다. 이러한 링은 환으로 지칭될 수 있다.
일 예로, 링은 계수가 Zq인 n차 다항식의 집합을 의미한다. 예를 들어, n이 Φ(N)일 때, N차 사이클로토믹 다항식 (N-th cyclotomic polynomial)을 의미할 수 있다. (f(x))란 f(x)로 생성되는 Zq[x]의 이데알(ideal)을 나타낸다. Euler totient 함수 Φ(N)이란 N과 서로 소이고 N보다 작은 자연수의 개수를 의미한다. ΦN(x)를 N차 사이클로토믹 다항식으로 정의하면, 링은 다음과 같은 수학식 3으로도 표현될 수 있다.
[수학식 3]
Figure 112019125924377-pat00002
비밀 키(sk)는 다음과 같이 표현될 수 있다.
한편, 상술한 수학식 3의 링은 평문 공간에서 복소수를 갖는다. 한편, 동형 암호문에 대한 연산 속도를 향상하기 위하여, 상술한 링의 집합 중 평문 공간이 실수인 집합만을 이용할 수도 있다.
이와 같은 링이 설정되면, 프로세서(450)는 링으로부터 비밀 키(sk)를 산출할 수 있다.
[수학식 4]
Figure 112019125924377-pat00003
여기서, s(x)는 작은 계수로 랜덤하게 생성한 다항식을 의미한다.
그리고 프로세서(450)는 링으로부터 제1 랜덤 다항식(a(x))을 산출할 수 있다. 제1 랜덤 다항식은 다음과 같이 표현될 수 있다.
[수학식 5]
Figure 112019125924377-pat00004
또한, 프로세서(450)는 에러를 산출할 수 있다. 예를 들어, 프로세서(450)는 이산 가우시안 분포 또는 그와 통계적 거리가 가까운 분포로부터 에러를 추출할 수 있다. 이러한 에러는 다음과 같이 표현될 수 있다.
[수학식 6]
Figure 112019125924377-pat00005
에러까지 산출되면, 프로세서(450)는 제1 랜덤 다항식 및 비밀 키에 에러를 모듈러 연산하여 제2 랜덤 다항식을 산출할 수 있다. 제2 랜덤 다항식은 다음과 같이 표현될 수 있다.
[수학식 7]
Figure 112019125924377-pat00006
최종적으로 공개 키(pk)는 제1 랜덤 다항식 및 제2 랜덤 다항식을 포함하는 형태로 다음과 같이 설정된다. 한편, 연산 장치(400)가 RNS(Residue Number System) HEAAN(Homomorphic Encryption for Approximate Number)을 지원하는 경우, 프로세서(450)는 서로 소인 복수의 정수 각각에 대응되는 복수의 공개키를 생성할 수 있다.
여기서, RNS HEAAN은 기존의 HEAAN 방식이 중국인의 나머지 정리와 같은 방법이 적용 불가했던 문제를 해결하기 위해 기존의 암호문 공간인 Rqi(qii))을 Rqi(qi=Πpii), pi
Figure 112019125924377-pat00007
Δ) 으로 대체하여 사용하는 방식으로, 이에 따라 에러 비트사이즈가 5~10 정도 큰 근사 계산 결과를 갖게 되지만, 연산 속도에서 3~10배의 성능 개선이 있을 수 있다. RNS HEAAN을 이용한 구체적인 암호문 연산은 도 9와 관련하여 후술한다.
[수학식 8]
Figure 112019125924377-pat00008
상술한 키 생성 방법은 일 예에 불과하므로, 반드시 이에 한정되는 것은 아니며, 이 밖에 다른 방법으로 공개 키 및 비밀 키를 생성할 수도 있음은 물론이다.
한편, 프로세서(450)는 공개 키가 생성되면, 다른 장치들에 전송되도록 통신 장치(410)를 제어할 수 있다.
그리고 프로세서(450)는 메시지에 대한 동형 암호문을 생성할 수 있다. 예를 들어, 프로세서(450)는 메시지에 대해서 앞서 생성된 공개 키를 적용하여 동형 암호문을 생성할 수 있다. 이때, 프로세서(450)는 동형 암호문 생성 과정에서, 도 8에 도시된 바와 같은 소수 정보를 이용하여 암호화 동작을 수행할 수 있다.
복호화할 메시지는 외부 소스로부터 수신할 수도 있고, 연산 장치(400)에 직접 구비 또는 연결된 입력 장치로부터 입력될 수도 있다. 예를 들어, 연산 장치(400)가 터치 스크린이나 키 패드를 포함하는 경우, 프로세서(450)는 사용자가 터치 스크린이나 키 패드를 통해 입력하는 데이터를 메모리(420)에 저장한 후, 암호화할 수 있다. 생성된 동형 암호문은 복호화하였을 때 메시지에 스케일링 팩터를 반영한 값에 에러를 더한 결과값으로 복원되는 형태가 될 수 있다. 스케일링 팩터는 사전에 입력되어 설정된 값을 그대로 사용할 수도 있다.
한편, 연산 장치(400)가 RNS HEAAN을 지원하는 경우, 프로세서(450)는 메시지에 서로 소인 복수의 정수 각각에 대응되는 복수의 공개키를 이용하여 복수의 기저(basis)로 표현되는 동형 암호문을 생성할 수 있다.
또는, 프로세서(450)는 메시지 및 스케일링 팩터를 승산한 상태에서 바로 공개 키를 이용하여 암호화할 수도 있다. 이 경우, 암호화 과정에서 산출되는 에러가 메시지 및 스케일링 팩터를 승산한 결과값에 가산될 수 있다.
또한, 프로세서(450)는 암호문의 길이를 스케일링 팩터의 크기에 대응되도록 생성할 수 있다.
그리고 프로세서(450)는 동형 암호문이 생성되면 메모리(420)에 저장하거나, 사용자 요청 또는 기 설정된 디폴트 명령에 따라 동형 암호문을 다른 장치에 전송하도록 통신 장치(410)를 제어할 수 있다.
한편, 본 개시의 일 실시 예에 따르면, 패킹(packing)이 이루어질 수도 있다. 동형 암호화에서 패킹을 이용하게 되면, 다수의 메시지를 하나의 암호문으로 암호화하는 것이 가능해진다. 이 경우, 연산 장치(400)에서 각 암호문들 간의 연산을 수행하게 되면, 결과적으로 다수의 메시지에 대한 연산이 병렬적으로 처리되므로 연산 부담이 크게 줄어들게 된다.
예를 들어, 프로세서(450)는 메시지가 복수의 메시지 벡터로 이루어지는 경우, 복수의 메시지 벡터를 병렬적으로 암호화할 수 있는 형태의 다항식으로 변환한 후, 그 다항식에 스케일링 팩터를 승산하고 공개 키를 이용하여 동형 암호화할 수도 있다. 이에 따라, 프로세서(450)는 복수의 메시지 벡터를 패킹한 암호문을 생성할 수 있다.
그리고 프로세서(450)는 동형 암호문에 대한 복호가 필요한 경우, 동형 암호문에 비밀 키를 적용하여 다항식 형태의 복호문을 생성하고, 다항식 형태의 복호문을 디코딩하여 메시지를 생성할 수 있다. 이때 생성한 메시지는 앞서 설명한 수학식 1에서 언급한 바와 같이 에러를 포함할 수 있다.
그리고 프로세서(450)는 암호문에 대한 연산을 수행할 수 있다. 예를 들어, 프로세서(450)는 동형 암호문에 대해서 암호화된 상태를 유지한 상태에서 덧셈, 뺄셈, 또는 곱셈 등의 연산을 수행할 수 있다. 이때, 곱셈은 모듈러 연산일 수 있으며, 후술하는 방식으로 수행될 수 있다.
한편, 동형 암호문을 상술한 RNS 방식으로 생성한 경우, 프로세서(120)는 생성된 동형 암호문 내의 기저(basis)별도 덧셈 및 곱셈을 수행할 수 있다.
한편, 단말 장치(100)는 연산이 완료되면, 연산 결과 데이터로부터 유효 영역의 데이터를 검출할 수 있다. 예를 들어, 단말 장치(100)는 연산 결과 데이터를 라운딩 처리를 수행하여 유효 영역의 데이터를 검출할 수 있다.
여기서, 라운딩 처리란 암호화된 상태에서 메시지의 반올림(round-off)을 진행하는 것을 의미하며, 다르게는 리스케일링(rescaling)이라고 할 수도 있다. 예를 들어, 단말 장치(100)는 암호문 각각의 성분에 스케일링 인수의 역수인 Δ-1을 곱하고 반올림하여, 노이즈 영역을 제거할 수 있다. 노이즈 영역은 스케일링 팩터의 크기에 대응되도록 결정될 수 있다. 결과적으로 노이즈 영역이 제외된 유효 영역의 메시지를 검출할 수 있다. 암호화 상태에서 진행되므로 추가적인 에러가 발생하지만 크기는 충분히 작으므로 무시할 수 있다.
그리고 상술한 라운딩 처리는 상술한 바와 같은 모듈러 곱셈 연산이 이용될 수 있다.
만약, 단말 장치(100)가 RNS HEAAN을 지원하는 경우, 프로세서(120)는 복수의 기저 중 어느 하나의 비중이 임계치를 초과하면, 생성된 동형 암호문 내의 복수의 기저 각각에 대한 메시지의 반올림 처리를 수행하여 동형 암호문을 리스케일링할 수 있다.
또한, 단말 장치(100)는 연산 결과 암호문 내의 근사 메시지 비중이 임계치를 초과하면, 연산 결과 암호문의 평문 공간을 확장할 수 있다. 예를 들어, 상술한 수학식 1에서 q가 M보다 작다면 M+e(mod q)는 M+e와 다른 값을 가지므로 복호화가 불가능해진다. 따라서, q 값은 항상 M보다 크게 유지되어야 한다. 하지만, 연산이 진행됨에 따라 q 값은 점차 감소하게 된다. 평문 공간의 확장이란 암호문 ct를 더 큰 모듈러스(modulus)를 가지는 암호문으로 변화시키는 것을 의미한다. 평문 공간을 확장하는 동작은 다르게는 재부팅(rebooting)이라 할 수도 있다. 재부팅을 수행함에 따라, 암호문은 다시 연산이 가능한 상태가 될 수 있다.
한편, Ring LWE 문제에 기반한 동형암호의 암호화, 복호화, 덧셈, 곱셈, 리스케일, 재부팅 등은 다항식 환
Figure 112019125924377-pat00009
의 원소들의 연산으로 구성될 수 있다.
상술한 연산 중 다항식 곱셈 연산은 암호화, 복호화, 다항식 곱셈, 재부팅 등에서 가장 시간이 많이 소요되는 연산과정이다. 특히 가장 자주 사용되는 Mult 알고리즘을 수행하는 동안에 대략 5번의 다항식의 곱셈 연산이 수행되므로, 해당 연산의 고속화 기법은 매우 중요하다.
본 개시에서는 중국인 나머지 정리를 이용하여 고속화 기법과 기결정된 복수의 소수 정보를 이용한 고속화 방법을 이용하여 다항식 곱셈 연산을 고속화한다. 중국인 나머지 정리 방법에 대해서는 도 9를 참조하여 후술하고, 복수의 소수 정보를 이용하는 것에 대해서는 도 3을 참조하여 이하에서 설명한다.
도 3은 본 개시의 일 실시 예에 따른 암호문 연산 방법을 설명하기 위한 흐름도이다.
도 3을 참조하면, 복수의 암호문에 대한 모듈 연산 명령을 입력받을 수 있다(S310). 이러한 명령은 외부 장치로부터 입력될 수 있으며, 연산 장치에서 직접 입력될 수도 있다. 그리고 이러한 연산 명령은 메시지 암호화 또는 동형 암호문 연산을 위한 명령일 수 있다.
그리고 기결정된 복수의 소수 정보를 저장하는 룩업 테이블을 이용하여 복수의 암호문에 대한 모듈 연산을 수행할 수 있다(S320). 여기서 복수의 소수 정보 각각은 2의 지수승들의 조합으로 표현될 수 있다. 소수 정보의 예는 도 8에 도시하였다.
한편, 동형 암호문에 대한 모듈 연산은 다양한 방식으로 수행될 수 있는데 이하에서는 도 4 및 도 5를 참조하여 제1 모듈 연산 방식을 설명하고, 도 6 및 도 7을 참조하여 제1 모듈 연산 방식을 설명한다.
그리고 연산 결과를 출력할 수 있다(S330). 예를 들어, 연산을 요청한 장치에 연산 결과를 출력할 수 있다. 한편, 상술한 연산 명령이 메시지 암호화 등과 같은 전체 명령을 수행하는데 필요한 일부 명령인 경우, 연산 결과를 다른 연산자(또는 연산 프로그램)에 전달할 수 있다.
이상과 같이 본 개시에 따른 암호문 연산 방법은 기결정된 소수 정보를 이용하여 모듈화 연산을 수행하는바 작은 룩업 테이블만을 이용하는 것이 가능하다. 또한, 기결정된 소수 정보는 2의 지수승들의 조합으로 표현된다는 점에서, 시프트 연산과 감가산 연산만으로 곱셈 정수 연산을 수행할 수 있는바 더욱 빠른 연산이 가능하다.
이하에서는 동형 암호문에 대한 제1 모듈 연산 방식을 설명한다.
제1 모듈 연산 방법(ModMult)은 아래의 수학식 9와 같이 숫자 A에서 [A/q]과 q의 곱셈연산 값을 빼는 것으로 나타낼 수 있다.
[수학식 9]
Figure 112019125924377-pat00010
여기서, A는 암호문(또는 다항식), q는 모듈러스(Modulus)를 위한 원소이다.
이와 같은 동작을 구현한 알고리즘은 도 4와 같으며, 도 4의 알고리즘을 구현한 아크텍처는 도 5와 같다.
도 4 및 도 5를 참조하면, 제1 모듈 연산 장치(500)는 제1 승산기(510), 제2 승산기(520), 제3 승산기(530), 쉬프터(540), 감산기(550)를 포함할 수 있다. 이러한 제1 모듈 연산 장치(500)는 도 2의 연산 장치일 수 있으며, FPGA(Field Programmable Gate Array) 내의 하나의 연산 모듈일 수도 있다. 이하에서는 설명을 용이하게 하기 위하여, 두 개의 암호문에 대한 모듈러스 곱셈 연산 동작을 설명하나, 구현시에 암호문이 아닌 다항식에 대한 모듈러스 곱셈 연산이 이용될 수 있다.
제1 승산기(510)는 제1 암호문(A)(또는 제1 다항식) 및 제2 암호문(B)(또는 제2 다항식)을 제1 곱셈 연산할 수 있다. 여기서 제1 승산기(510)는 n 비트의 제1 암호문(A)과 n 비트의 제2 암호문(B)을 이용하여 2n 비트의 크기를 갖는 곱셈 결과(V)를 출력하는 Full 승산기(Full-IntMult)일 수 있다.
제2 승산기(520)는 복수의 소수 정보 중 하나의 소수 정보(q)에 대응되는 역수 정보(T)와 제1 곱셈 연산 결과(U)를 제2 곱셈 연산할 수 있다. 구체적으로, 제2 승산기(520, IntMult2)는 제1 승산기(510) 출력의 상위 비트에 1/q로 스케일된 T를 곱하는 동작을 수행할 수 있다.
예를 들어, 제2 승산기(520)의 출력 값의 상위 비트에만 후술하는 제3 승산기(530)의 계수(q)가 적용되기 때문에, 제2 승산기(520)는 n 비트의 두 암호문이 입력되어 n 비트의 크기를 갖는 곱셈 결과(W)를 출력하는 Upper Half(UH)-IntMult를 이용할 수 있다. 그리고 역수 정보는 소수 정보와 곱해서 1이 되는 수 즉, 소수의 반비례 값(1/q)이며, 해당 값은 룩업 테이블에 미리 저장되어 있을 수 있다.
제3 승산기(530)는 제2 곱셈 연산 결과(W)와 하나의 소수 정보(q)를 이용하여 제3 곱셈 연산할 수 있다. 예를 들어, 제3 승산기(530)의 출력 값 중 하위 비트만 쉬프터(540)의 출력 비트와 연산되는바, 제3 승산기(530)는 n 비트의 두 암호문이 입력되어 n 비트의 크기를 갖는 곱셈 결과(W)를 출력하는 Lower Half(LH)-IntMult로 구현될 수 있다.
그리고 쉬프터(540)는 제1 승산기(510)의 출력 값을 지연하여 감산기(550)에 제공할 수 있다. 예를 들어, 쉬프터(540)는 제1 승산기(510)의 출력의 하위 비트를 지연시킬 수 있으며, 플리플롭(FF)로 구현될 수 있다.
이에 따라 감산기(550)는 쉬프터(540)의 출력 값에 제3 승산기(530)의 출력 값을 감산하고, 그 결과를 출력할 수 있다.
상술한 바와 같이 제2 승산기(520) 및 제3 승산기(530) 각각은 역수 정보(T)와 소수 정보(q)를 이용한 곱셈 연산을 수행한다.
한편, RNS-HEAAN 방식에서는 기본 모듈러스, 리스케일 모듈러스 및 모드업 모듈러스와 같은 세 가지 유형이 이용되는데, 다항식의 차수가 N-1인 경우, 1 mod 2N에 적합해야 하며, 소수(q) 및 해당 소수에 대응되는 역수(T)가 낮은 해밍 가중치를 갖는 소수는 도 8에 도시된 바와 같이 서로 다른 지수로 구성된 3개 또는 4개의 2의 지수승들의 감가산 값으로 나타낼 수 있다.
이와 같이 본 개시에서 이용하는 소수는 2의 지수승들의 조합으로 표현되는바, 해당 소수 또는 해당 소수에 대한 역수 값에 대한 연산 과정에서는 시프트 연산 및 감가산 동작만으로 소수 곱셈을 수행할 수 있다.
즉, 상술한 제2 승산기(520) 및 제3 승산기(530) 각각은 복수의 2의 지수승 각각의 지수에 기초하여 개별적인 시프트 연산을 수행하고, 시프트 연산 결과들을 가산 연산 또는 감산 연산하여 상술한 제2 곱셈 연산 또는 제3 곱셈 연산을 수행할 수 있다.
이와 같이 복잡한 소수 곱셈 동작을 시프트 연산 및 가산/감산 연산만으로 수행할 수 있다는 점에서, 고속화 연산이 가능하다.
한편, 도 5 및 도 6을 도시하고 설명함에 있어서 모듈러 곱셈 연산이 암호문을 입력받아 처리하는 것으로 도시하고 설명하였지만, 구현시에 모듈러 곱셈 연산의 입력은 다양한 값이 이용될 수 있다. 즉, 모듈러 곱셈 연산은 암호문 연산뿐만 아니라, 암호 과정에 필요한 값들을 산출하거나, 스케일링 또는 복호화 과정에서도 이용 가능한데 이러한 과정 중에 이용되는 값이라면 암호문이 아니어도 무방하다.
이하에서는 동형 암호문에 대한 제2 모듈 연산 방식을 설명한다.
제2 모듈 연산 방법(ModMult)의 알고리즘은 도 6에 도시되어 있으며, 도 6의 알고리즘을 구현한 아크텍처는 도 7과 같다. 이러한 제2 모듈 연산 방법은 제1 모듈 연산 방법과 유사하나, 사전 계산 값을 이용한다는 점에서 차이가 있다.
도 6 및 도 7을 참조하면, 제2 모듈 연산 장치(700)는 메모리(710), 제4 승산기(720), 제5 승산기(730), 제6 승산기(740), 쉬프터(750), 감산기(760)를 포함할 수 있다.
메모리(710)는 '하나의 소수 정보에 대응되는 역수와 제2 암호문을 곱셈 연산한 사전 계산 값(B')'을 저장할 수 있다. 이러한 메모리(710)는 SRAM일 수 있으며, ASIC 내의 버퍼일 수 있다. 이와 같은 사전 계산 값(B')은 B/q에 대한 근사 값으로, B' 값을 사용함으로써 A x B /q는 W에 근사될 수 있다.
제4 승산기(720)는 메모리(710)에 저장된 사전 계산 값(B')과 제1 암호문(A)을 제1 곱셈 연산할 수 있다.
제5 승산기(730)는 제1 암호문(A)과 제2 암호문(B)을 제2 곱셈 연산할 수 있다.
제6 승산기(740)는 제1 곱셈 연산된 결과(W)에 소수 정보(q)를 이용하여 제3 곱셈 연산할 수 있다. 예를 들어, 도 8에 도시된 소수 정보를 이용하는 경우, 제6 승산기(740)는 복수의 2의 지수승 각각의 지수에 기초하여 개별적인 시프트 연산을 수행하고, 시프트 연산 결과들을 가산 연산 또는 감산 연산하여 상술한 곱셈 연산을 수행할 수 있다.
그리고 쉬프터(750)는 제5 승산기(510)의 출력 값(X)을 지연하여 감산기(760)에 제공할 수 있다.
감산기(760)는 쉬프터(750)에서 전달된 제2 곱셈 연산 결과(X)와 제3 곱셈 연산 결과(Y)를 감산 연산할 수 있다.
이와 같이 제2 모듈 연산 장치(700)는 2개의 LH-IntMult와 단일 UH-IntMult 만을 이용한다는 점에서, 제1 모듈 연산 장치보다 계산 복잡도가 낮다.
또한, 입력 숫자와 계수 중 하나가 상수인 경우, 계산의 일부를 사전 계산된 값을 이용할 수 있다. 또한, IntMult를 LHIntMult로 대체할 수 있는바, DSP(Digital Signal Porcessor) 슬라이스 수를 줄일 수 있는 장점이 있다.
또한, 제4 승산기(720), 제5 승산기(730)는 병렬로 작동하기 때문에 제1 모듈 연산 장치보다 지연이 짧으며, 그에 쉬프터(750)의 깊이도 제1 모듈 연산 장치(500)의 쉬프터(540)보다 짧게 구현할 수 있다.
도 8은 본 개시의 일 실시 예에 따른 소수 세트의 예를 도시한 도면이다.
도 8을 참조하면, 본 개시의 룩업 테이블은 62비트로 표현되는 12개의 소수 값(810) 및 12개 소수 각각에 대한 스케일드된 값(즉, 역수)(820)를 가질 수 있다.
그리고 각 소수 값은 261-226+1, 261-224-220+1, 261-224+1, 261-222+219+1, 261-221+1, 261-221+216+1, 261+222+220+1, 261+223-218+1, 261+223+221+1, 261+224-219+1, 261+225+223+1 또는 261+226+216+1일 수 있으며, 2의 지수승들의 조합 형태로 표시된다. 이와 같이 본 개시에서는 2의 지수승들의 조합으로 표현 가능한 소수를 이용하는바, 해당 소수의 곱셈을 시프트 연산 및 가산/감산 연산만으로 수행할 수 있다.
그리고 각 역수 값은 261+226-1, 261+224+220-1, 261+224-1, 261+222-219-1, 261+221-1, 261+221-216-1, 261-222-220-1, 261-223+218-1, 261-223-221-1, 261-224+219-1, 261-225-223-1 또는 261-226-216-1일 수 있으며, 2의 지수승들의 조합 형태로 표시된다.
한편, 도 8에 도시된 소수 정보는 모듈러 곱셈 연산시에 이용되는 소수를 표시한 것이나, 기본 모듈러스 또는 리스케일 과정에서는 다른 비트 크기를 갖는 소수 정보가 이용될 수 있다. 예를 들어, 리스케일 과정에서는 45비트 크기를 갖는 11개의 소수 정보가 이용될 수 있다.
이하에서는 중국인의 나머지 정리(CRT)를 이용한 고속화 방법을 설명한다.
Z q은 정수로 표현되는 환(ring)으로 정수 q 로 나눈 나머지로 이루어진 집합이다. 상술한 환을 표현하는 방식은 다양하며, 한가지 예시는 수학식 10와 같다.
[수학식 10]
Figure 112019125924377-pat00011
그리고 Zq은 계수가 Z q의 원소이고 차수가 n차 미만인 다항식으로 이루어진 다항식 환(ring)이다.
[수학식 11]
Figure 112019125924377-pat00012
한편, 두 다항식 f(x) = f0+f1X+...+fn-1Xn-1와 g(x) = g0+g1X+...+gn-1Xn-1의 곱셈 연산을 수행하면 총 nXn 개의 항이 생성되므로 총 n2번의 Z q 곱이 필요하다.
본 개시에서는 중국인의 나머지 정리(CRT) 알고리즘을 활용하여 다항식의 곱셈 연산에 대해 병렬화 및 고속화를 수행할 수 있다.
CRT 알고리즘은 다음의 수학식 12를 수행하는 알고리즘이다.
[수학식 12]
Figure 112019125924377-pat00013
여기서, Q = Πk i=1 Qi 이며 각 Qi 는 서로 소인 정수이다. 또한, a는 모든 i에 대해 a
Figure 112019125924377-pat00014
ai mod pi 가 성립하는 정수이다.
그리고 iCRT는 CRT의 역함수를 의미하며 정수에서의 modulus 계산으로 수행될 수 있다.
도 9는 병렬적으로 모듈 연산을 수행하는 방법을 설명하기 위한 도면이다.
도 9를 참조하면, 주어진 두 함수(f, g)는 각각 n 개의 계수가 입력 값으로 주어질 수 있다.
그리고 미리 설정된 Q = Πk i=1 Qi 와 2n개의 입력값에 대해 iCRT를 수행될 수 있다. 이때, iCRT는 각 계수에 대한 modulus 계산이므로 각 2nk 개에 대해 병렬화가 가능하며 적용된 Qi 을 기준으로 k 가지로 분류할 수 있다.
그리고 k 개로 분류된 각 결과값에 대해 또 다시 f 와 g 를 기준으로 두 가지로 분류하고 각 분류에 대해 NTT 를 수행할 수 있다. 이때, 결과 값 벡터의 각 성분(910-1, 910-2, ..., 910-k)은 병렬적으로 계산될 수 있다.
여기서 NTT 알고리즘(또는 후술할 FTT 알고리즘)이란 아래의 수학식 13과 같은 함수를 수행하는 알고리즘으로, 다항식 계산이라고 볼 수 있다.
[수학식 13]
Figure 112019125924377-pat00015
여기서, ζ는 Xn+1 의 원시해 중 하나로 ζn=-1이 성립한다.
NTT 알고리즘은 O(n2)번의 Z q곱을 필요로 하며 Butterfly operation을 서브루틴 알고리즘으로 갖는 FFT(Fast Fourier Transform) 알고리즘은 O(nlogn)번의 Z q 곱이 필요하다.
상술한 역함수를 수행하는 알고리즘 또한 같은 횟수의 곱셈을 요구한다. 이러한 점에서, NTT 를 활용한 다항식의 곱셈은 1) 주어진 두 다항식에 NTT 연산을 수행하고, 2) 위로부터 얻어진 n 차원 벡터에 대해서 각 구성성분별로 Zq곱 수행하고, 3) 위의 결과값에 대해 NTT의 역 연산으로 구성될 수 있다.
그리고 각 k 별로 얻어진 두 개의 NTT 결과 값들(920-1, 920-2, ..., 920-k)을 성분별로 곱할 수 있다. 앞선 과정과 같이 k개에 대한 병렬화가 가능하다.
위 과정을 거쳐 각 k 별로 얻어진 하나의 곱셈 결과값(930-1, 930-2, ..., 913-k)에 NTT의 역연산을 수행할 수 있다. 이는 k 개에 대한 병렬화가 가능하다.
그리고 k 별로 얻어진 결과값(940-1, 940-2, ..., 940-k)을 모두 취합하여 CRT 를 수행할 수 있다.
한편, 구현시에는
Figure 112019125924377-pat00016
상의 원소를 Qi들로 나눌 때와 각
Figure 112019125924377-pat00017
상의 곱셈을 수행할 때 알려진 고속연산 기법을 사용하여 추가적인 속도향상을 얻을 수 있다.
이와 같이 본 개시는 기존 대비 매우 작은 다항식 계수를 바탕으로 진행하므로 더욱 빠른 다항식 곱셈 연산을 가능하게 하며 더욱더 나아가 동형암호의 곱셈 연산을 훨씬 빠르게 만들어준다.
또한, 상술한 알고리즘은 병렬 계산에 매우 특화되어 있는 알고리즘이기 때문에 멀티코어, GPU, FPGA뿐 아니라 동형암호 연산을 수행하는 ASIC 제작에서도 병렬화 구현에 매우 탁월한 효과를 가지고 있다. 각 알고리즘에서 수행하는 병렬화는 다음과 같으며 따라서 기존 대비 n배의 빠른 속도가 가능해진다.
특히, 도 10을 참조하면, 상술한 바와 같이 이용하여 CRT와 iCRT를 이용하면 n개의 프로세서로 총 지연 시간을 O(log n)+O(log q loglog q)로 줄일 수 있고 프로세서의 수가 n 개와 다를 때에도 적절한 고속화를 얻을 수 있음을 확인할 수 있다.
한편, 상술한 다양한 실시 예에 따른 암호문 처리 방법은 각 단계들을 수행하기 위한 프로그램 코드 형태로 구현되어, 기록 매체에 저장되고 배포될 수도 있다. 이 경우, 기록 매체가 탑재된 장치는 상술한 암호화 또는 암호문 처리 등의 동작들을 수행할 수 있다.
이러한 기록 매체는, ROM, RAM, 메모리 칩, 메모리 카드, 외장형 하드, 하드, CD, DVD, 자기 디스크 또는 자기 테이프 등과 같은 다양한 유형의 컴퓨터 판독 가능 매체가 될 수 있다.
이상 첨부 도면을 참고하여 본 개시에 대해서 설명하였지만 본 개시의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시 예 및/또는 도면에 제한되는 것으로 해석되어서는 안 된다. 그리고 특허청구범위에 기재된 개시의, 당업자에게 자명한 개량, 변경 및 수정도 본 개시의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.
100: 전자 장치 200: 제1 서버 장치
300: 제2 서버 장치 400: 연산 장치
410: 통신 장치 420: 메모리
430: 디스플레이 440: 조작 입력 장치
450: 프로세서

Claims (15)

  1. 복수의 암호문에 대한 모듈 연산 명령을 입력받는 단계;
    기결정된 복수의 소수 정보를 저장하는 룩업 테이블을 이용하여 상기 복수의 암호문에 대한 모듈 연산을 수행하는 단계; 및
    상기 연산 결과를 출력하는 단계;를 포함하고,
    상기 복수의 소수 정보 각각은,
    2의 지수승들의 조합으로 표현되고,
    상기 모듈 연산을 수행하는 단계는,
    소수(prime number)를 구성하는 복수의 2의 지수승 각각의 지수(exponent)에 기초하여 개별적인 시프트 연산을 수행하고, 시프트 연산 결과들을 가산 연산 또는 감산 연산하고,
    상기 소수는,
    서로 다른 지수로 구성된 3개 또는 4개의 2의 지수승들의 감가산 값인 암호문 연산 방법.
  2. 삭제
  3. 삭제
  4. 복수의 암호문에 대한 모듈 연산 명령을 입력받는 단계;
    기결정된 복수의 소수 정보를 저장하는 룩업 테이블을 이용하여 상기 복수의 암호문에 대한 모듈 연산을 수행하는 단계; 및
    상기 연산 결과를 출력하는 단계;를 포함하고,
    상기 룩업 테이블은,
    261-226+1, 261-224-220+1, 261-224+1, 261-222+219+1, 261-221+1, 261-221+216+1, 261+222+220+1, 261+223-218+1, 261+223+221+1, 261+224-219+1, 261+225+223+1 또는 261+226+216+1 중 적어도 하나를 포함하는 암호문 연산 방법.
  5. 복수의 암호문에 대한 모듈 연산 명령을 입력받는 단계;
    기결정된 복수의 소수 정보를 저장하는 룩업 테이블을 이용하여 상기 복수의 암호문에 대한 모듈 연산을 수행하는 단계; 및
    상기 연산 결과를 출력하는 단계;를 포함하고,
    상기 모듈 연산을 수행하는 단계는,
    제1 암호문 및 제2 암호문을 제1 곱셈 연산하는 단계;
    상기 복수의 소수 정보 중 하나의 소수 정보에 대응되는 역수 정보와 상기 제1 곱셈 연산 결과를 제2 곱셈 연산하는 단계;
    상기 제2 곱셈 연산 결과와 상기 하나의 소수 정보를 이용하여 제3 곱셈 연산하는 단계; 및
    상기 제1 곱셈 연산 결과와 상기 제3 곱셈 연산 결과를 감산 연산하는 단계;를 포함하는 암호문 연산 방법.
  6. 제5항에 있어서,
    상기 하나의 소수 정보는,
    2의 지수승들의 정보를 포함하고,
    상기 제3 곱셈 연산하는 단계는,
    상기 복수의 2의 지수승 각각의 지수에 기초하여 개별적인 시프트 연산을 수행하고, 시프트 연산 결과들을 가산 연산 또는 감산 연산하여 제3 곱셈 연산을 수행하는 암호문 연산 방법.
  7. 제5항에 있어서,
    상기 역수 정보는,
    2의 지수승들의 정보를 포함하고,
    상기 제2 곱셈하는 단계는,
    상기 복수의 2의 지수승 각각의 지수에 기초하여 개별적인 시프트 연산을 수행하고, 시프트 연산 결과들을 가산 연산 또는 감산 연산하여 제2 곱셈 연산을 수행하는 암호문 연산 방법.
  8. 제5항에 있어서,
    상기 제2 곱셈 연산하는 단계 및 상기 제3 곱셈 연산하는 단계는,
    연산 결과를 상기 제1 암호문 또는 상기 제2 암호문의 비트 수와 같은 크기의 비트 수로 출력하는 암호문 연산 방법.
  9. 복수의 암호문에 대한 모듈 연산 명령을 입력받는 단계;
    기결정된 복수의 소수 정보를 저장하는 룩업 테이블을 이용하여 상기 복수의 암호문에 대한 모듈 연산을 수행하는 단계; 및
    상기 연산 결과를 출력하는 단계;를 포함하고,
    상기 모듈 연산을 수행하는 단계는,
    '하나의 소수 정보에 대응되는 역수와 제2 암호문을 곱셈 연산한 사전 계산 값'과 제1 암호문을 제1 곱셈 연산하는 단계;
    상기 제1 암호문과 상기 제2 암호문을 제2 곱셈 연산하는 단계;
    상기 제1 곱셈 연산된 결과에 상기 소수 정보를 이용하여 제3 곱셈 연산하는 단계; 및
    상기 제2 곱셈 연산 결과와 상기 제3 곱셈 연산 결과를 감산 연산하는 단계;를 포함하는 암호문 연산 방법.
  10. 복수의 암호문에 대한 모듈 연산 명령을 입력받는 단계;
    기결정된 복수의 소수 정보를 저장하는 룩업 테이블을 이용하여 상기 복수의 암호문에 대한 모듈 연산을 수행하는 단계; 및
    상기 연산 결과를 출력하는 단계;를 포함하고,
    상기 소수 정보에 대응되는 소수 값은,
    복수의 서로 다른 스케일링 팩터를 승산한 값이며,
    상기 복수의 서로 다른 스케일링 팩터들은 서로 소 관계인 값들인 암호문 연산 방법.
  11. 제10항에 있어서,
    상기 모듈 연산을 수행하는 단계는,
    상기 복수의 암호문 각각의 기저별로 모듈 연산을 수행하는 암호문 연산 방법.
  12. 연산 장치에 있어서,
    적어도 하나의 인스트럭션(instruction) 및 기결정된 복수의 소수 정보를 저장하는 메모리; 및
    상기 적어도 하나의 인스트럭션을 실행하는 프로세서;를 포함하고,
    상기 프로세서는,
    상기 적어도 하나의 인스트럭션을 실행함으로써,
    상기 기결정된 복수의 소수 정보 중 하나의 소수 정보를 이용하여 복수의 암호문에 대한 모듈 연산을 수행하고,
    상기 소수 정보에 대응되는 소수 값은,
    복수의 서로 다른 스케일링 팩터를 승산한 값이며,
    상기 복수의 서로 다른 스케일링 팩터들은 서로 소 관계인 값들이며,
    상기 프로세서는,
    상기 복수의 암호문 각각의 기저별로 모듈 연산을 수행하는 연산 장치.
  13. 제12항에 있어서,
    상기 복수의 소수 정보 각각은,
    2의 지수승들의 조합으로 표현되고,
    상기 프로세서는,
    소수(prime number)를 구성하는 복수의 2의 지수승 각각의 지수(exponent)에 기초하여 개별적인 시프트 연산을 수행하고, 시프트 연산 결과들을 가산 연산 또는 감산 연산하는 연산 장치.
  14. 삭제
  15. 제12항에 있어서,
    상기 프로세서는,
    FPGA(Field Programmable Gate Array)인 연산 장치.
KR1020190160760A 2019-05-22 2019-12-05 모듈러 곱셈 연산을 수행하는 연산 장치 및 방법 Active KR102203238B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US16/811,555 US11509454B2 (en) 2019-05-22 2020-03-06 Apparatus for processing modular multiply operation and methods thereof
PCT/KR2020/004105 WO2020235797A1 (en) 2019-05-22 2020-03-26 Apparatus for processing modular multiply operation and methods thereof

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020190059940 2019-05-22
KR20190059940 2019-05-22

Publications (2)

Publication Number Publication Date
KR20200135129A KR20200135129A (ko) 2020-12-02
KR102203238B1 true KR102203238B1 (ko) 2021-01-14

Family

ID=73791919

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190160760A Active KR102203238B1 (ko) 2019-05-22 2019-12-05 모듈러 곱셈 연산을 수행하는 연산 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102203238B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240008787A (ko) * 2022-07-12 2024-01-19 한국전자통신연구원 가속기 장치 및 가속기 장치의 동작 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115525906A (zh) * 2021-06-24 2022-12-27 清华大学无锡应用技术研究院 密文整数的处理方法、装置、系统及存储介质
CN114139693B (zh) * 2021-12-03 2024-08-13 安谋科技(中国)有限公司 神经网络模型的数据处理方法、介质和电子设备
CN114584284B (zh) * 2022-04-15 2024-10-15 支付宝(杭州)信息技术有限公司 同态加密操作方法、装置和电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030065696A1 (en) * 2001-09-28 2003-04-03 Ruehle Michael D. Method and apparatus for performing modular exponentiation
US20140355758A1 (en) * 2011-12-15 2014-12-04 Inside Secure Method of generating prime numbers proven suitable for chip cards

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030065696A1 (en) * 2001-09-28 2003-04-03 Ruehle Michael D. Method and apparatus for performing modular exponentiation
US20140355758A1 (en) * 2011-12-15 2014-12-04 Inside Secure Method of generating prime numbers proven suitable for chip cards

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240008787A (ko) * 2022-07-12 2024-01-19 한국전자통신연구원 가속기 장치 및 가속기 장치의 동작 방법
KR102810367B1 (ko) 2022-07-12 2025-05-22 한국전자통신연구원 가속기 장치 및 가속기 장치의 동작 방법

Also Published As

Publication number Publication date
KR20200135129A (ko) 2020-12-02

Similar Documents

Publication Publication Date Title
US11509454B2 (en) Apparatus for processing modular multiply operation and methods thereof
KR102040106B1 (ko) 실수 평문에 대한 동형 암호화 방법
KR102203238B1 (ko) 모듈러 곱셈 연산을 수행하는 연산 장치 및 방법
KR102297536B1 (ko) 암호문에 대한 비다항식 연산을 수행하는 장치 및 방법
US11239995B2 (en) Apparatus for processing approximately encrypted messages and methods thereof
KR101965628B1 (ko) 동형 암호화를 수행하는 단말 장치와 그 암호문을 처리하는 서버 장치 및 그 방법들
KR102167565B1 (ko) 근사 암호화된 암호문에 대한 재부팅 연산을 수행하는 장치 및 방법
KR102304992B1 (ko) 동형 암호문에 대한 비다항식 연산을 수행하는 장치 및 방법
KR102498133B1 (ko) 모듈러 곱셈 연산을 수행하는 연산 장치 및 방법
US11201735B2 (en) Apparatus for performing threshold design on secret key and method thereof
JP7170878B2 (ja) 暗号文に対する非多項式演算を行う装置及び方法
KR20210128303A (ko) 공간 복잡도를 고려한 동형 암호화 또는 복호화 방법
KR102782557B1 (ko) 동형 암호문의 변환 장치 및 방법
KR102382952B1 (ko) 근사 계산에 대한 계산 검증
KR20230003954A (ko) 영지식 증명을 위한 암호문 처리 방법 및 장치
KR102160294B1 (ko) 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법
KR102393941B1 (ko) 근사 암호화된 암호문에 대한 인코딩 또는 디코딩
KR102257779B1 (ko) 다자간 계산을 위한 유사 보간
KR20240000079A (ko) 동형 암호문을 처리하는 장치 및 방법
US20240039695A1 (en) Electronic apparatus for generating homomorphic encrypted message and method therefor
KR20240140829A (ko) 동형 암호문에 대한 연산을 수행하는 전자 장치 및 이의 제어 방법
KR20240102803A (ko) 동형 암호문의 선형변환 장치 및 방법
KR20230049052A (ko) 격자전자서명의 비밀 키 생성 방법 및 이를 이용한 장치
JPWO2020116807A5 (ko)
KR20250013031A (ko) 범주형 데이터를 동형 암호화하는 장치 및 방법

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20191205

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20201127

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20201230

PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20210108

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20210111

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20241210

Start annual number: 5

End annual number: 5