KR102257779B1 - 다자간 계산을 위한 유사 보간 - Google Patents

Abstract

본 개시의 암호화 방법은 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합 중 평문 공간이 2의 지수승의 집합인 링(Ring)을 설정하는 단계, 복수의 메시지를 입력받는 단계, 기설정된 크기의 2의 거듭제곱(2^δ) 및 링을 이용하여 복수의 메시지를 하나의 다항식으로 인코딩하는 단계, 및 다항식을 암호화하여 암호문을 생성하는 단계를 포함한다.

Description

다자간 계산을 위한 유사 보간{TWEAKED INTERPOLATION FOR MULTIPARTY COMPUTATION}

본 개시는 다자간 계산을 위한 유사 보간 및 이를 이용한 다자간 계산 방법에 관한 것으로 보다 구체적으로 2의 지수승법에서 수행 가능한 다자간 계산을 위한 유사 보간 및 이를 이용한 다자간 계산 방법에 관한 것이다.

안전한 다자간 계산(Secure Multiparty Computation)은 분산된 여러 노드가 각 개인별 입력 및 출력 내용을 공개하지 않고도, 임의의 기능을 공동으로 계산할 수 있는 암호학 기술이다. 이와 같은 다자간 계산은 현재 경매, 보안 통계 분석, 개인정보보호, 기계 학습 등 다양한 분야에 적용되고 있다.

기존의 다자간 계산은 소수 p 법(modulo p)에서 동작하였으나, 현대 컴퓨터는 이진수 연산으로 동작한다는 점에서, 2의 지수승 법(modulo a power-of-two)에서의 다자간 계산 프로토콜들이 제안되고 있다.

하지만, 아직 곱쌍(Triple) 생성은 2의 지수승법의 경우가 소수 p 법에 비해 비효율적이라는 점에서, 2의 지수승법에서도 효율적으로 곱쌍을 생성할 수 있는 방법이 요구되었다.

본 개시는 이상과 같은 문제점을 해결하기 위하여 고안된 것으로, 본 개시의 목적은 2의 지수승법에서 수행 가능한 유사 보간 방법 및 이를 이용한 다자간 계산 방법을 제공하는 데 있다.

이상과 같은 목적을 달성하기 위하여, 본 개시의 일 실시 예에 따른 암호화 방법은 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합 중 평문 공간이 2의 지수승의 집합인 링(Ring)을 설정하는 단계, 복수의 메시지를 입력받는 단계, 기설정된 크기의 2의 거듭제곱(2^δ) 및 상기 링을 이용하여 상기 복수의 메시지를 하나의 다항식으로 인코딩하는 단계, 및 상기 다항식을 암호화하여 암호문을 생성하는 단계를 포함한다.

이 경우, 상기 인코딩하는 단계는 상기 다항식의 변수 변화에 따른 상기 다항식의 결과 값이 상기 복수의 메시지 중 상기 변수 값에 대응되는 메시지 값에 상기 기설정된 크기의 2의 거듭제곱이 곱한 값을 갖도록 상기 다항식의 계수를 할당하여 상기 복수의 메시지에 대응되는 다항식을 생성할 수 있다.

한편, 상기 다항식은 아래의 수학식을 만족할 수 있다.

여기서, X(i)는 i-1차 다항식, i는 양의 정수, x_i(t)=

, a_j는 상기 다항식의 계수,

는 2의 지수승으로 표현되는 계수.

한편, 상기 다항식의 최고차수는

이고, 상기 d는 상기 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 차수일 수 있다.

한편, 상기 기설정된 크기의 2의 거듭제곱(2^δ)의 지수(δ)는 (d-1)!의 소인수분해에서 2의 중복도이고, 상기 d는 상기 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 차수일 수 있다.

한편, 상기 복수의 메시지의 개수는 아래의 수학식을 만족할 수 있다.

여기서, N는 상기 다항식의 차수.

또는, 상기 복수의 메시지의 개수는 아래의 수학식을 만족할 수 있다.

여기서, 상기 r은 상기 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 수이고, 상기 d는 상기 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 차수.

한편, 상기 암호문을 생성하는 단계는 곱셈 깊이 1을 갖는 동형 암호문을 생성할 수 있다.

한편, 본 암호화 방법은 복수의 암호문에 대한 연산 명령이 입력되면, 상기 복수의 암호문에 대한 곱쌍(Triple)을 생성하는 단계를 더 포함할 수 있다.

이 경우, 본 암호화 방법은 상기 복수의 전자 장치로부터 연산 결과를 수신하고, 상기 수신된 연산 결과를 이용하여 상기 복수의 암호문에 대한 연산 결과를 산출하는 단계를 더 포함할 수 있다.

한편, 본 개시의 일 실시 예에 따른 연산 장치는 적어도 하나의 인스트럭션(instruction)을 저장하는 메모리, 및 상기 적어도 하나의 인스트럭션을 실행하는 프로세서를 포함하고, 상기 프로세서는 상기 적어도 하나의 인스트럭션을 실행함으로써, 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합 중 평문 공간이 2의 지수승의 집합인 링(Ring)을 설정하고, 기설정된 크기의 2의 거듭제곱(2^δ) 및 상기 링을 이용하여 상기 복수의 메시지를 하나의 다항식으로 인코딩할 수 있다.

이 경우, 상기 프로세서는 상기 다항식의 변수 변화에 따른 상기 다항식의 결과 값이 상기 복수의 메시지 중 상기 변수 값에 대응되는 메시지 값에 상기 기설정된 크기의 2의 거듭제곱이 곱한 값을 갖도록 상기 다항식의 계수를 할당하여 상기 복수의 메시지에 대응되는 다항식을 생성할 수 있다.

한편, 상기 프로세서는 상기 다항식을 암호화하여 암호문을 생성할 수 있다.

이 경우, 상기 프로세서는 복수의 암호문에 대한 연산 명령이 입력되면, 상기 복수의 암호문에 대한 곱쌍(Triple)을 생성할 수 있다.

이상과 같은 본 개시의 다양한 실시 예들에 따르면, 본 개시에서 제안한 MPC 프로토콜은 부정한 다수 설정에서도 종래보다 높은 효율성을 가지며, 특히 전처리 단계에서의 곱쌍 생성 비용을 높이 개선할 수 있다.

도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구조를 설명하기 위한 도면,
도 2는 소수 p 법 및 2의 지수승법 각각에 대한 곱쌍을 이용한 다자간 계산 동작을 설명하기 위한 도면,
도 3은 본 개시에 따른 패킹 방법을 설명하기 위한 도면,
도 4는 본 개시에 일 실시 예에 따른 인증된 곱쌍 생성동작을 설명하기 위한 도면,
도 5는 본 개시의 제1 실시 예에 따른 분산 복호 동작을 설명하기 위한 도면,
도 6은 본 개시의 제2 실시 예에 따른 분산 복호 동작을 설명하기 위한 도면,
도 7은 본 개시의 일 실시 예에 따른 전처리 동작을 설명하기 위한 도면,
도 8 및 도 9는 본 개시에 따른 패킹 방법의 효과를 설명하기 위한 도면,
도 10은 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타내는 블럭도, 그리고,
도 11은 본 개시의 일 실시 예에 따른 암호화 방법을 설명하기 위한 도면이다.

이하에서는 첨부 도면을 참조하여 본 개시에 대해서 자세하게 설명한다. 본 개시에서 수행되는 정보(데이터) 전송 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 개시 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 개시에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, 반드시 A로부터 B까지 직접 전송(전달) 또는 수신되는 것만을 표현하는 것은 아니다.

본 개시의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉, 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행단계로 설명된 과정보다 앞서서 수행되더라도 개시의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 "A 또는 B"라고 기재한 것은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 개시에서 "포함"이라는 용어는 포함하는 것으로 나열된 원소 이외에 추가로 다른 구성원소를 더 포함하는 것도 포괄하는 의미를 가진다.

본 개시에서는 본 개시의 설명에 필요한 필수적인 구성원소만을 설명하며, 본 개시의 본질과 관계가 없는 구성원소는 언급하지 아니한다. 그리고 언급되는 구성원소만을 포함하는 배타적인 의미로 해석되어서는 안 되며 다른 구성원소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.

그리고 본 개시에서 "값"이라 함은 스칼라값뿐만 아니라 벡터도 포함하는 개념으로 정의된다.

후술하는 본 개시의 각 단계의 수학적 연산 및 산출은 해당 연산 또는 산출을 하기 위해 공지되어 있는 코딩 방법 및/또는 본 개시에 적합하게 고안된 코딩에 의해서 컴퓨터 연산으로 구현될 수 있다.

이하에서 설명하는 구체적인 수학식은 가능한 여러 대안 중에서 예시적으로 설명되는 것이며, 본 개시의 권리 범위가 본 개시에 언급된 수학식에 제한되는 것으로 해석되어서는 아니된다.

설명의 편의를 위해서, 본 개시에서는 다음과 같이 표기를 정하기로 한다.

a ← D : 분포(D)에 따라서 원소(a)를 선택함

s1, s2 ∈ R : S1, S2 각각은 R 집합에 속하는 원소이다.

mod(q) : q 원소로 모듈(modular) 연산

: 내부 값을 반올림함

이하에서는 첨부된 도면을 이용하여 본 개시의 다양한 실시 예들에 대하여 구체적으로 설명한다.

도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구조를 설명하기 위한 도면이다.

도 1을 참조하면, 네트워크 시스템은 복수의 전자 장치(100-1 ~ 100-n), 제1 서버 장치(200), 제2 서버 장치(300)를 포함할 수 있으며, 각 구성들은 네트워크(10)를 통해 서로 연결될 수 있다.

네트워크(10)는 다양한 형태의 유무선 통신 네트워크, 방송 통신 네트워크, 광통신 네트워크, 클라우드 네트워크 등으로 구현될 수 있으며, 각 장치들은 별도의 매개체 없이 와이파이, 블루투스, NFC(Near Field Communication) 등과 같은 방식으로 연결될 수도 있다.

도 1에서는 전자 장치가 복수 개(100-1 ~ 100-n)인 것으로 도시하였으나, 반드시 복수 개의 전자 장치가 사용되어야 하는 것은 아니며 하나의 장치가 사용될 수도 있다. 일 예로, 전자 장치(100-1 ~ 100-n)는 스마트폰, 태블릿, 게임 플레이어, PC, 랩톱 PC, 홈서버, 키오스크 등과 같은 다양한 형태의 장치로 구현될 수 있으며, 이밖에 IoT 기능이 적용된 가전 제품 형태로도 구현될 수 있다.

사용자는 자신이 사용하는 전자 장치(100-1 ~ 100-n)를 통해서 다양한 정보를 입력할 수 있다. 입력된 정보는 전자 장치(100-1 ~ 100-n) 자체에 저장될 수도 있지만, 저장 용량 및 보안 등을 이유로 외부 장치로 전송되어 저장될 수도 있다. 도 1에서 제1 서버 장치(200)는 이러한 정보들을 저장하는 역할을 수행하고, 제2 서버 장치(300)는 제1 서버 장치(200)에 저장된 정보의 일부 또는 전부를 이용하는 역할을 수행할 수 있다.

각 전자 장치(100-1 ~ 100-n)는 제1 서버 장치(200)에서 제공하는 정보에 기초하여 연산을 수행하고, 연산 결과를 제1 서버 장치(200)에 제공할 수 있다. 즉, 각 전자 장치(100-1 ~ 100-n)는 다자간 계산 시스템에서의 분산 계산 시스템에서의 당사자(또는 사용자)일 수 있다.

제1 서버 장치(200)는 수신된 동형 암호문을 복호화하지 않고, 암호문 상태로 저장할 수 있다.

제2 서버 장치(300)는 동형 암호문에 대한 특정 처리 결과를 제1 서버 장치(200)로 요청할 수 있다. 제1 서버 장치(200)는 제2 서버 장치(300)의 요청에 따라 특정 연산을 수행한 후, 그 결과를 제2 서버 장치(300)로 전송할 수 있다. 이때, 제1 서버 장치(200)는 요청된 연산을 복수의 전자 장치(100-1 ~ 100-n)를 이용하여 수행할 수 있다.

구체적으로, 제1 서버 장치(200)는 암호문에 대한 연산에 필요한 곱쌍을 다른 전자 장치(100-1 ~ 100-n)와 함께 생성하고, 생성한 곱쌍을 나눠 가질 수 있다. 이때, 제1 서버 장치(200)는 2의 지수승 법에서 계산 가능한 곱쌍(Triple)을 다른 장치들과 함께 생성할 수 있다. 또한, 제1 서버 장치(200)는 곱쌍 생성 시에 유사 다항식 보간법을 이용할 수 있다. 구체적인 유사 다항식 보간법에 대해서는 아래에서 자세히 설명한다.

제1 서버 장치(200)는 각 전자 장치에서 수행한 연산 결과를 수신하면, 수신한 연산 결과에 대한 영 지식 증명을 통하여 검증을 수행하고, 영 지식 증명이 완료된 연산 결과를 이용하여 요청한 연산에 대응한 결과 값을 생성할 수 있다. 그리고 제1 서버 장치(200)는 연산 결과를 연산을 요청한 제2 서버 장치(300)에 제공할 수 있다.

이상과 같이 본 개시에 따른 네트워크 시스템은 유사 보간법을 이용하여 복수의 메시지에 대한 암호문을 생성하고, 이를 이용하여 다자간 계산을 수행하는바 낮은 통신 비용으로 연산 작업을 수행할 수 있으며, 생성된 곱쌍은 종래보다 낮은 영 지식 증명이 필요한바 보다 빠른 연산이 가능하다.

한편, 도 1을 도시하고 설명함에 있어서, 제1 서버 장치(200)가 곱쌍을 생성하는 것으로 도시하고 설명하였지만, 구현시에는 상술한 제2 서버 장치(300) 또는 복수의 전자 장치(100-1 ~ 100-n) 중 어느 하나가 곱쌍을 생성할 수도 있다.

이하에서는 본 개시에 따른 다자간 계산 방법에 대해서 자세히 설명한다.

이하에서는, n 개의 당사자(P₁, ..., P_n) 각각이 비밀(x₁, …, x_n)을 갖는 것을 가정한다. 여기서, 각 당사자는 도 1의 전자 장치(100-1 ~ 100-n) 각각일 수 있다.

안전한 다자간 계산(SMPC; Secure Multi-Party Computation)의 목적은 원하는 출력 이외의 정보를 서로에게 공개하지 않고, 입력(x₁,…, x_n)에 대한 함수 f를 함께 계산하는 것이다.

MPC의 다양한 세팅중에 가장 일반적인 세팅은 적극적이며 부패하며 부정직한 당사자가 다수인 사례이다. 부정직한 당사자가 다수인 경우는 두 가지 경우에서만 의미 있는 목표이며, 보안 위협을 정직하지만 호기심 많은 적으로 모델링하는 것은 실제 적용 환경에서는 비현실적이다.

그러나 동시에 효율적으로 악의적인 공격자 다수를 핸들링하는 것은 매우 어려운 일이다. 가벼운 정보의 이론적인 보안 프리미티브(primitives)는 이러한 세팅에서 충분하지 않으며, 무거운 공개 키 프리미티어가 필요하다는 것은 알려진 사실이다.

한편, 무거운 공개 키 시스템을 전처리 과정에서 수행할 수 있다면, 전처리 과정에서는 계산에 필요한 입력 또는 함수를 알 필요가 없다. 즉, MPC의 온라인 과정에서는 경량 프리미티브만 사용하여 안전하게 함수 계산을 수행할 수 있게 된다.

이와 같은 방식은 부정직한 참가자가 다수인 세팅에서도 효과적으로 다자간 계산을 설계할 수 있게 한다. 이에 따라, 최근에는 MPC 프로토콜의 효율을 향상시키기 위한 다양한 연구가 진행중이다.

한편, 기존의 연구는 유한체(finite field)에서 효율 향상을 고려하였다. 그 이유는 기존의 프로토콜의 주요 구성 요소 중 하나인 산술적인 메시지 인증 코드(MAC)가 유한체에서만 건전성을 제공하였기 때문이다.

그러나 현재의 CPU는 2의 지수승 2^k(예를 들어, k = 32, 64, 128)로 수행된다는 사실에서 MPC가

에서 동작하도록 할 필요가 있다. 이에 대해서는 도 2를 참조하여 이하에서 설명한다.

도 2는 소수 p 법 및 2의 지수승법 각각에 대한 곱쌍을 이용한 다자간 계산 동작을 설명하기 위한 도면이다.

도 2를 참조하면, 도 2의 상단에는 소수 p 법상으로 설계된 다자간 계산의 연산 동작을 도시하고, 도 2의 하단에는 2의 지수승법 상으로 설계된 다자간 계산의 연산 동작을 도시하고 있다.

도 2의 상단을 참조하면, 소수 p 법상으로 설계된 다자간 계산을 CPU에서 동작시키기 위해서 소수 p 법상으로 설계된 데이터를 2의 지수승법으로 변경하는 에뮬레이션이 필요함을 확인할 수 있다.

반대로, 도 2의 하단을 참조하면, 2의 지수승법으로 설계되는 경우에는 최종 연산 과정에서 에뮬레이션 과정 없이도 연산이 가능함을 확인할 수 있다.

이와 같이 CPU 구동을 위하여 모듈러 프라임(p)을 에뮬레이션할 필요가 없다는 점에서, 2의 지수승법은 상당한 장점을 갖는다.

그러나 통신 비용의 측면에서,

에 대한 새로운 MAC에 의한 손실을 간과하더라도 유한체 경우와

경우 사이에는 실질적인 갭이 존재한다. 특히, 현재 유한체에서 최고의 성능을 제공하는 접근 방식인 동형 암호화(HE)에서

상의 효율적인 MPC 프로토콜은 아직 제안된 적이 없다.

이러한 점에서, 본 개시는 2의 지수승법에서 효율적인 MPC 프로토콜을 제안한다. 이러한 효율적인 MPC 프로토콜에 있어서 주요한 과정은 복수의 메시지를 패킹하는 동작이며, 이하에서는 MPC 프로토콜에서의 패킹 동작에 대해서 자세히 설명한다.

본 개시에 따른 효율적인 MPC 방법은

의 원소와 전처리 단계에 맞게 새롭고 효율적인 패킹 방법을 이용한다.

에 대한 패킹 방법은

상의 보간 문제에서 시작된다. 예를 들어, 주어진 포인트 m_i∈

(i ∈{1, 2, ...,d})에 있어서, f(i)=m_i인 다항식(f(t) ∈

)을 찾는 데 있다. 유한체와 달리, 링

에서는 2의 배수인 많은 영인자가 존재하기 때문에, d > 2인 경우

에 대한 보간이 불가능하다.

그러나 주어진 포인트에 대해서 2^δ를 주어진 포인트(m_i)에 곱하고, 메시지를

의 원소로 간주한다면 보간이 가능하다. 즉, 링

상의 포인트(m_i·2^δ )를 보간하는 것이다. 이것은 영인자(2의 배수)의 효과가 2^δ 원소에 의해 취소되기 때문이다. 간단한 예로, 1·4^-1은

의 원소로 표현할 수 없는데 반해, 1·4^-1·2²는

의 원소 1로 표현될 수 있다.

의 n+1 개의 원소(m_i)가 주어지고, δ≥v ₂(n!)이고, n!의 인수분해 내에서 2의 배수를 취하면, n차 다항식 x(t) ∈

를 m_i·2^δ 로 보간할 수 있다.

그러나 n이 증가함에 따라 v ₂(n!)이 n에 접근하기 때문에 효율성 문제가 발생할 수 있다. 즉, δ

n을 취하고, 링의 크기를 제한(예를 들어, 일반적인 매개변수로 동형 암호화를 위한 패킹 방법을 실현하려면 n≥2¹⁴ 이상의 포인트를 보간 해야 한다)해야 한다는 것을 의미한다.

이와 같은 문제는 순환 다항식 링(

)이 몫 다항식 링(

)과 작은 차수의 다항식(F_i(t))의 곱으로 잘 나눠진다는 관찰에 의해 해결할 수 있다. F_i(t)의 차수(d)가 매우 작으면,

를 취하는 각 링

에서 d-1 차수의 다항식(여기서, 최대 N=degφ_M 포인트를 검색할 수 있는 다항식은 X(t)∈

N=degφ_M 포인트)을 보간할 수 있다.

이하에서는 별도 언급이 있는 경우를 제외하면 기저(base)(또는 밑)는 구체 함수 log(­)는 기저 2인 로그이다. 링(Z_q)은 대표 집합으로서 Z∩(-q/2, q/2)로 식별된다. 정수 세트는 {1,… , d}와 같은 정수 세트는 [0;d]로 나타낸다.

순환 다항식 (N 차의) Φ_M(t)은 Z₂[t] 내의 Π^r _i=1 f_i(t)(여기서, 각 f_i(t)은 동일한 차수 d = ord_M(2)을 가지며, 그에 따라 N = r·d )로 인수분해될 수 있다. 인수분해는 다음과 같은 고리 동형을 의미한다.

[수학식 1]

여기서, 각 다항식 F_i(t)∈

[t]은 d 차수를 갖고, 비환원 원소 f_i(t)∈Z₂[t]의 헨셀 리프팅(Hansel lifting)이다.

래티스 기반의 HE 스킴을 이용할 때, 소수인 평문 모듈러스 p를 선택하여 φ_M(t)가 Z_p에 의해 완전이 분할되도록 하는 것이 일반적이다.

각 Z_p[t]/F_i(t)(슬롯으로 불림)의 상수항으로 각 메시지를 식별하고, 링 순환에 적용하여 Zp에서 N개의 메시지를 Z_p[t]/φ_M(t) 내의 평문으로 인코딩할 수 있다. 이 접근 방식은 최적의 패킹 밀도 1 및 메시지와 평문 간의 완전 동형화를 이룬다.

그러나 평문 모듈러스가 2^k로 고정되면, 기존과 동일하게 사용할 수 없다. 문제는

내에서 φ_M(t)는 완전히 분할되지 않는다는 것이다. 이 문제를 우회하는 한가지 방법은 Z_p[t]/F_i(t) 내의 상수를 갖는

내의 r 메시지를 식별하는 것이다. 이 접근 방식은 메시지와 일반 텍스트 간의 완전한 동형 대응을 제공하지만 매우 낮은 패킹 밀도 1/d를 달성한다.

즉, 소수 p 법의 패킹 방법을 2의 지수승법에 적용하기 어려움 점은,

의 n+1 포인트가 주어지면,

상의 n차 다항식의 존재를 보간할 수 없다는 점이다.

그러나 이러한 문제점은

의 타켓 포인트를 더 큰 링

에 임베딩하면,

에 대한 보간이 가능하게 된다는 점을 통하여 해결할 수 있다.

주요한 점은

에 대한 보간이 유한체에 대한 보간과 유사하게 작동하도록 만들 수 있다는 것이다. 구체적으로, 2의 거듭제곱을 곱하고, 비가역 요소의 효과를 제거함으로써, 유한체에 대한 행위 것과 같이 유사하게 작동하도록 할 수 있다.

이하에서는 상술한 내용을 종합하여, 본 개시에 따른 유사 보간 방법을 적용한 패킹 방법을 자세히 설명한다.

도 3은 본 개시에 따른 패킹 방법을 설명하기 위한 도면이다.

이하에서는, m₀, m₁, .., m_n-1, m_n이

의 n+1개 원소라고 하고, n!의 인수분해에서 2의 배수인 v ₂(n!)가 δ보다 작거나 같다고 가정한다. 그러면 n차 다항식(x(t) ∈

)은 아래의 수학식 2와 같다

[수학식 2]

x₀(t) = 1 및 i > 0 큰 경우, x_i(t)=

라 하고, 상술한 n차 다항식은 다음과 같이 정의 될 수 있다.

[수학식 3]

v ₂(n!)를 i!의 인수분해 내의 2의 배수라고 하면, x_i(i) = c_i2^v2(i!)과 c_i는

내에서 가역적이다. 이를 통해 다음과 같이 각 값 a_i∈

을 반복적으로 할당하여 다항식

을 구성할 수 있다.

1. 먼저, X(0) = m₀2^δ가 되도록 a₀ = m₀2^δ 을 할당한다.

2. i > 0 에 대해서, 다음을 가정한다.

a) 모든 0 ≤ j < i에 대해, X(j) = m_j2^δ가 되도록 각 a_j를 적절한 값을 할당한다.

b) 각 a_j(0 ≤ j < i)는 2^δ가 a_jx_j(i)를 나누는 것을 만족한다.

3.

을 만족하도록,

를 할당한다. a_i의 할당은 δ ≥v ₂(n!) 및 가정(b)에 의하여 가능하다.

4. 상술한 가정이 a_i의 할당 이후에도 유지됨을 확인한다.

(a) x_i(t)는 X(j) 값에 영향을 주지 않으며, 그 후, 할당 이후 X(j) = m_j2^δ 이다.

(b)v ₂((i+1)!) ≥ v ₂(i!)인바, 2^δ가 a_ix_i(i+1) 를 나눈다. 유사하게 a_ix_i(i)임으로, a_jx_j(i+1)는 2^δ로 나눌수 있다.

상술한 단계 1부터 시작하여, 단계 3을 반복하여, 다항식의 각 계수(a_i)를 할당할 수 있다. 이와 같은 할당을 수행하면, 상술한 조건을 만족하는 다항식을 얻을 수 있다.

이하에서는 상술한 다항식의 차수(n)를 선택하는 방법에 대해서 설명한다.

양의 정수에 대해서 값은 다음의 식v ₂(n!)=

을 통하여 쉽게 계산될 수 있다.

n∈[2^r,2^r+1)일때,2^r - 1 ≤ v ₂(n!)≤ 2^r+1 - r - 2임을 참고하면, 링의 크기를 심각하게 키우지 않고, 많은 포인트를 보간하기 위하여 n = 2^r - 1을 취하는 것이 바람직하다. 이 사실은

비율이 본 개시에 따른 패킹 방법의 의미 있는 요소 중 하나이다.

본 개시의

상의 유사 보간 방법은

상의 많은 포인트에 대해서 몫 다항식 링 (

, 여기서, φ_M(t)는 사이클로토믹 다항식)의 원소로 효율적인 패킹을 제공한다.

정리 1

φ_M(t)∈Z[t]가 차수 N(N=rd, 여기서, d는 Z2[t] 상의 φ_M(t)의 각 기약 인자의 차수, r은 φ_M(t)의 기약 인자의 수)의 M-th 사이클로토믹 다항식이라고 가정한다. 양의 정수 z,

의 r(

) 지점 {

}에 대해서, 다음을 만족하는 양수 δ와 다항식

이 존재한다.

(i) δ ≥ v₂(

)

의 인수분해 내의 2의 중복도.

(ii) L_i(t)는 L(t)를 CRT 이형성 내의 i번째 링으로 L(t)의 투영(projection)이라고 하면, i ∈ [n] 및 j ∈

에 대해서,

(ii)-(i) L_i(t) ∈

는 m=

차수이다.

(ii)-(ii) L_i(j) = μ_(m+1)(i-1)+j·2^δ

이것을 다항식 L(t)을 포인트{

}에 대한 유사 보간(tweaked interpolation)이라고 지칭한다.

이제 상술한 다항식

은 CRT 동형(isomorphism)으로부터 (L₁(t), L₂(t), ..., L_r(t))∈

의 동형 이미지로 정의될 수 있다.

사실 정리 1(z=1)은 δ를 v₂((d-1)!)보다 크게 하고,

의 d 개의 포인트를 각 L_i(t)로 패킹하여,

의 N개 포인트를

의 한 원소로 패킹할 수 있음을 암시한다. 그러나, (동형) 깊이-1 특성은

의 r(

)개의 포인트를 패킹하는 경우(즉, 상술한 정리 1에서 z=2로 적용하는 경우)에만 유지된다.

또한, 본 개시에서는 곱셈 깊이 1을 갖는 동형 암호화를 위한 패킹 방법에 대한 보간 아이디어를 추가로 제안한다. 그것은 만약 다항식의 차수가 d-1 대신에

라면, 보간 다항식에 대한 계산이 각 패킹된 포인트들 사이에 덧셈 및 하나의 곱셈에 대해서 동형적인 보존한다는 사실에서 시작한다. 각 i번째 CRT 링 내에서 다항식의 곱셈은 F_i(t)에 의한 모듈러 축소 없이

상에 있기 때문이다. 이러한 패킹 방법으로 평문 공간

을 갖는 하나의 암호문 생성 암호문 내의

의 대략적인 N/2 원소를 패킹할 수 있다.

기존의 방식은 하나의 암호문 생성 암호문에 대해서

내의 N/5 원소를 패킹하는 것이 가능하였지만, 레벨 0 및 레벨 1 암호문의 패킹이 매우 다른 기존의 방식에서 필요로 하는 추가적인 영 제로 증명이 본 개시에 따른 패킹 방법은 필요로 하지 않는바, MPC의 전처리 단계 적용할때 더 좋은 효과를 갖는다.

Corollary 1

N 차수(N-rd)의 사이클로토믹 다항식(φ_M(t)∈Z[t])이 주어지고, N₂ = r(

)라고 한다. 그리고 {

∈

| I∈

, ι∈[N₂]}는

의 포인트로 하고, 유한 서로소 세트 L 및 R로 인덱스 되고,

μ_I,ιmod 2^k되도록 {

∈

| I∈

, ι∈[N₂]}는

의 포인트라 한다.

여기서, δ는 상술한 정리 1(with z=2)에서 선택된 양수이다. 다른 유한 세트 A에 대해서 {α_I∈

| I∈A}가

의 포인트이고,

α_I,ιmod 2^k되도록 {

∈

| I∈A}가

의 포인트가 된다.

I∈L에 대해서

는 포인트의

는 {

∈

| I∈

, ι∈[N₂]} 포인트의 유사 보간이 될 수 있다. I∈R에 대해서

가 대응되는 포인트에 대한 유사 보간으로서 정의된다.

그리고, 포인트{

|

}를 복원할 수 있다. 추가로

으로부터

로부터 포인트{

|

}를 복원할 수 있다.

따라서, i번째 링 내에서는 다음을 표시할 수 있다.

[수학식 4]

L_I,i(t) 및 R_I,i(t)의 차수가 거의

을 취하므로 이들의 합계는 F_i(t)의 차수보다 작은 차수를 갖기 때문에, 상술한 수학식은

인 경우에 유효하다. 이에 따라, 상술한 수학식 4를 j∈[

]에서 이벨류에이션 하면, 각

에 대해서,

[수학식 5]

여기서, 수학식 5의 두번째 줄은

를 따르며, 여기서부터 원하는 값을 복구할 수 있다.

유사하게 LR(t)에

을 곱하면, 다음의 수학식을 얻을 수 있다.

[수학식 6]

위에 수학식은

을 따르며, 위에 내용을 증명한다.

간단히 말해, 상술한 Corollary 1은

의 deg(φ_M(t)) 지점의 절반 가까이를 하나의 곱셈과 스칼라 곱셈의 계산으로

의 하나의 원소로 패킹하며,

내의 패킹된 포인트들 사이의 그들의 계산에서 동형적인 보전을 위하여, 각 원소들

사이에 많은 추가 동작이 뒤따를 수 있다.

의 포인트에 대한 계산 결과는

상의 결과로부터 쉽게 도출된다. 이러한 특성은 유사 보간 2 단계 암호문 생성 스킴에 대한 패킹 방법이 될 수 있음을 의미한다.

위에 내용을 참조하여, 도 3을 참조하면,

개의 복수의 메시지를 유사 보간을 이용하여 d의 길이를 가지며, r개의

상의 메시지로 보간할 수 있다. 이후에 CRT를 이용하여 1개의 다항식으로 패킹을 수행할 수 있다.

내의 r, d는 패킹된 메시지의 N개에 기초하여 결정될 수 있으며, 반대로 복수의 메시지의 개수에 따라 N개가 결정될 수도 있다. 즉, 다항식의 크기에 기초하여 패킹될 메시지의 수가 결정될 수도 있으며, 메시지의 수에 기초하여 다항식의 크기가 결정될 수도 있다.

한편, 도 3에서는 복수의 다항식에 대한 유사 보간을 수행하고, 그 이후에 패킹 동작이 수행되는 것으로 설명하였지만, 상술한 유사 보간과 패킹은 하나의 동작을 통하여 수행될 수도 있다.

상술한 패킹 방법은 N/2 폴드 병렬성을 달성함과 동시에 링

에 대해서 곱셈 깊이 1까지 동형 대응을 제공할 수 있다. 이와 같은 점은 종래 N=5 폴드 병렬성인 것과 대비하였을 때, 2.5배 이상의 효율을 갖게 된다.

또한, 본 개시에 따른 패킹 방법은 구조적으로도 단순하며, 특히 암호문 생성 방식의 평문 패킹 방식으로 구현하면 레벨 1과 레벨 0 암호문의 패킹 구조가 거의 동일하다.

한편, 본원과 같은 속성은 암호문 생성 스킴의 일반적인 메시지 패킹에서도 적용이 가능하며, 효율적인 전처리를 허용한다. 그에 따라 기존 방식에서 필요한 영 지식 증명(zero-knowledge proof)의 수를 줄일 수 있으며(예를 들어, 4개에서 3개로 줄일 수 있음), 그에 따라 전처리 단계에서의 1.3배의 효율성 향상이 가능하다.

이러한 두 가지 측면에서 본 개시에 따른 방법은 기존의 방식에 비해 3.3배 이상의 비용 개선이 가능하다.

또한, 본 개시에서는 추가적인 상술한 방법에 대한 최적화 방식에 대해서도 설명하며, 최적화 방식을 통하여 패킹 밀도를 높이기 위하여 몫 다항식으로 합성 순환 다항식을 사용하고, 추가 영 지식 증명을 줄이기 위하여 곱셈 깊이를 증가시켜 재공유 절차를 회피할 수도 있다. 한편, 본 개시에 방법은 참여자가 많을수록 더 효율적이지만, 2명의 참가자가 있는 경우에도 높은 효율성을 갖는다.

이하에서는 도 4를 참조하면, 본 개시에 따른 패킹 방법을 이용한 곱쌍 생성 동작에 대해서 설명한다.

도 4는 본 개시에 일 실시 예에 따른 인증된 곱쌍 생성동작을 설명하기 위한 도면이다.

도 4를 참조하면, 곱쌍은 입력된 두 비밀(10, 20)에 대응하여, 3개의 곱셈 곱쌍(30, 40, 50)을 생성하는 과정이다. 곱셈 곱쌍을 이용하면 사용자 간의 통신량을 최소화하면서 곱셈 연산을 수핸할 수 있다.

이하에서, 프로토콜은 UC(universal composition) 프레임워크에서 안전하고, n 당사자(P1, ..., Pn)와 함께 동작하며, 최대 n-1개의 악의적인 공격자에 대응하는 보안을 고려하는 점을 가정한다.

셋업 가정 없이 부정직한 다수인 상황에서 UC 보안 MPC을 구성하는 것은 불가능하기 때문에, 본 개시에서는 기존의 공개키 모델을 이용한다. 특히, 암호화 스킴에서 올바른 키를 생성하는 F_KeyGen 기능을 가정한다.

프로토콜 Π 이 보안 파라미터 λ를 사용하여 기능 F을 안전하게 구현한다고 말할 때, 이상적인 실행과 실제 실행 사이의 차이에서 어떠한 환경 Z의 이점이 O(2^-λ)이 보장된다.

부정직한 다수인 환경에 대응하여

상의 효율적인 MPC을 구현하기 위해서,

내에서 새로운 정보 이론 MAC 스킴을 이용할 수 있다.

이 스킴은 k, s가 매개 변수화되며, 여기서

는 MPC 프로토콜에서 실행되는 링이고, s는 통계적 안정성과 관련된 파라미터이다. 간략하게

을 나타낼 수 있다.

단일 글로벌 MAC 키

가 있으며, 여기서 각 당사자는 임의의 추가 공유 [α]_i∈

(예를 들어, α=Σ_i[α]_i )를 갖는다. 모든 인증된 비밀 값 x∈

에 대해서, 각 참가자는 이 값(예를 들어, x=Σ_i[x]_i(mod 2^k))에 추가 공유

를 갖게 된다. 여기서 키(α) 상의 x의 MAC(m)는 m=α·Σ_i[x]_i(mod 2^k)로 정의된다. 참가자들은 또한, m 모듈러 각 참가자는 또한 m 모듈로

의 추가적인 공유 [m]_i를 갖는다.

이전 연구에서 자주 사용된 MAC와 달리 상술한 MAC 키(α), 비밀 키(x), MAC(m) 및 추가적인 공유는 다른 공간의 원소이다. 다른 종류의 덧셈 공유를 표시하기 위해 단일 표기법[·]_i을 사용함을 유념해야 한다.

<x>_i를 보유한 각 당사자 P_i가 <x> 에 의해 x의 인증된 공유는 다음과 같이 나타낼 수 있다.

[수학식 7]

[수학식 8]

상의 인증된 비밀 공유 스킴을 이용하면, 모든 선형 함수는 간단한 방법으로 당사자에 할당되는 공유된 비밀 키를 계산할 수 있다.

비선형 산술 함수는 Beaver의 트릭을 통해 전처리 단계에서 생성되고 인증된 곱쌍의 도움을 받아 안전하게 계산될 수 있다.

효율적인 전처리 단계를 위해 동형 암호화를 이용한다. 전처리 단계는 낮은 곱셈 깊이(2 또는 3)의 계산만 필요하므로 낮은 수준의 매개변수를 사용하여 HE에 의해 효과적으로 인스턴스화 할 수 있다. 이하에서는 암호문 생성 동형 암호 스킴을 이용하는 것을 설명하지만, 구현시에는 다른 방식의 암호 스킴을 이용하는 것도 가능하다.

R:=Z[t]/(φ_M(t))와 φ_M(t)∈Z[t] 각각을 사이클로토믹 링 및 N:=

(M)차의 M개의 사이클로토믹 다항식을 정의한다. 여기서

는 오일러 토렌트 함수이다. 양의 정수(η)에 대해서 (η = q 이면) R_η:=R/η=Z_η[t]/(φ_M(t))로 지정하면 암호문 공간을 구성하거나, (η = 2^k이면) 평문 공간을 나타낸다.

Z_q 상에 N 차원 벡터들이 확인된 Rq 상의 다음의 분포(distribution)가 암호문 생성 스킴을 설명하는데 필요하다.

- U(q) : Z_q 상의 N 차원 백터를 무작위하고 균일하게 샘플링

- HWT(h) : 비 제로 원소의 수가 h가 되도록 {-1, 0, 1}로부터 선택된 원소를 갖는 N 차원 벡터를 샘플링

- Zo(ρ): -1, 1 각각에 대해서 ρ 확률을 갖고 0에 대해서 1-ρ 확률을 갖도록 {-1, 0, 1}로부터 선택된 원소를 갖는 N 차원 벡터를 샘플링

- DG(σ²) : 분산σ²의 이산 가우시안 분포로부터 선택된 원소인 N 차원 벡터를 샘플링.

암호문 생성 스킴은 메시지 공간으로 링

을 가지며 6개의 알고리즘(KeyGen, Enc, ModSwitch, Dec, Add, Mult)로 구성된다. L∈Z>0이 최대 레벨이면, 산술 회로의 최대 계산 깊이(L-1)를 결정할 수 있다. 각 암호문은ℓ∈{0, 1,…., L} 레벨을 갖는다.

주어진 보안 매개 변수 λ, 공개 파라미터 pp_λ는 사이클로토믹 다항식 Φ_M(t)을 갖는다. 여기서 사이클로토믹 다항식은 차수가 충분히 크고, 암호 모듈러스는 q₂=p₀p₁p₂, q₁=p_op₁, q₀=p₀이고, 각 p₀, p₁, p₂는 소수이며, p₁ ≡ p₁ ≡1(mod 2^k),p₀-1 ≡ p₁-1 ≡ p₂-1 ≡ 0(mod M)이다.

여기서, 전자 조건은 효과적인 모듈러스 스위칭과 관련되고, 후자는 NTT(Number Theoretic Transform)을 통한 빠른 계산과 관련된다.

각 알고리즘은 다음과 같다.

- KeyGen(pp_λ): 공개 파라미터 pp_λ가 주어지면, 비밀 키(sk ← HWT(h))를 및 공개키(pk=(a,b) ∈ R² _q2)를 출력한다.

여기서 a←U(q₂),b=a·sk + 2^k·e(mod q₂) , e←DG(σ²)이다.

또한, 재선형 데이터(

,

)를 출력할 수 있다.

여기서,

← U(q2) and

=

·sk +2^k·

- p₁·sk²(mod q₂),

←DG(σ²)이다. 재선형 데이터는 대중에게 공개되고 곱셈 알고리즘에서 활용된다.

- Enc(m, r;pk) : 평문 m∈

이 주어지면, r=(v, e₀, e₁)을 샘플링하고, 여기서, v←ZO(0.5)이고, e₀, e₁←DG(σ²), 다음을 연산하고.

c₀ = b·v + 2^k·e₀ + m (mod q₂), c1 = a·v + 2^k·e₁ (mod q₂)

그리고 암호문 ct =(L, c₀, c₁)을 출력한다. 여기서 첫번째 항목은 레벨을 정의한다.

-ModSwich(ct=(ℓ,c_o, c₁)ℓ') : 레벨 ℓ의 암호문이 주어지면, 메시지를 변경하지 않고, 낮은 레벨 ℓ'의 암호문 ct'=(ℓ', c'₀, c'₁)으로 변환할 수 있다.

-Dec(ct=(ℓ,c_o, c₁);sk) : 암호문을 상술한 ModSwich를 이용하여 레벨 0의 암호문으로 변환하고, 다음과 같이 복호화를 수행할 수 있다.

(C_o - sk·c₁(cmod q₀)(mod 2^k)

그리고,

원소를 출력할 수 있다. 여기서 cmod는 중앙 모듈러 축소를 의미하며, 각 계수는 (-q₂/2, q₀/2] ∩ Z로 축소된다.

-Homomorphic Operation : 암호문에 대한 연산 처리로, 이하에서는 덧셈 연산 및 곱셈 연산에 대해서만 설명한다. 실제 구현시에는 덧셈 연산 및 곱셈 연산을 기초로 다양한 연산이 수행될 수 있다.

Add(ct1, ct2): 동일한 레벨 ℓ의 두 암호문이 주어지면 다음과 같은 동일 레벨의 암호문 ct_add를 출력할 수 있으며,

[수학식 9]

여기서,

는 동형 덧셈 연산을 나타낸다.

Mult(ct₁, ct₂): 0보다 큰 레벨의 두 암호문이 주어지면 ℓ-1의 다음과 같은 암호문 Ct_mult를 출력할 수 있다.

[수학식 10]

여기서,

는 동형 곱셈 연산을 나타낸다.

σ=3.16이고, 일반적인 노이즈를 갖는다면, 본 개시에서 예를 들어, L=2, 3의 작은 레벨을 갖는 암호문 생성 스킴을 이용한다.

한편, 이하에서는, 본 개시에 따른 암호문 생성 체계가 레벨 2 또는 3이라고 가정한다.

가 원소가 인코딩되는 링이라고 하면, φ_M(t)∈Z[t]는 순환 다항식이며, δ는 앞선 정의 1을 만족하는 최소 양수이다.

암호문 생성 스킴의 평문 공간으로써 P:=

을 취하고, 다음과 같은 인코딩 및 디코딩 알고리즘을 적용할 수 있다.

-Encode(

),

의 N₂ 포인트가 주어지면, 주어진 포인트에 대응되는 U(t)의 원소를 출력.

-Decode(U(t)): 평문 공간의 U(t)의 원소 및 암호문에 대해서 수행할 수 있는 곱셈 수가 입력되면, 메시지를 복원.

전처리 단계(prepossessing phase)

전처리 단계의 목표는 많은 (인증된) 곱쌍(또는 제곱 또는 입력)을 생성하고, MPC 프로토콜의 온라인 단계를 위하여 당사자들끼리 곱쌍을 생성하고 나누는 것이다. 전처리 단계에서 곱쌍 생성을 위한 통신 비용은 MPC 프로토콜의 주요 비용을 구성한다.

본 개시에서는 다음과 같이 패킹 방법에 맞춰 2단계 또는 3단계 암호문 생성 방식을 활용하는 두가지 방식의 전처리 단계를 수행할 수 있다.

a) 2단계 암호문 생성 방식을 사용하는 전처리 방식

b) 3단계 암호문 생성 방식을 사용하는 전처리 방식

a)의 경우 기존의 전처리 방식과 전체적인 동작은 유사하다. 주요한 차이점은 분산 복호화 프로토콜에서 차이가 있으며, 본 개시에 따른 전처리 방식은 상술한 패킹 방법을 이용하기 때문에 더 간단하고 효율적인 동작이 가능하다.

b)의 경우 재공유 프로토콜을 제거하기 위하여 2단계 이상의 HE 스킴이 사용되는 경우와 유사하나, 필요한 암호문 곱셈 중 하나가 각 슬롯에 스칼라 메시지를 갖는 암호문으로 대체될 수 있다는 점이다.

이하에서는 상술한 차이점에 기초하여 a) 방식을 자세히 설명한다.

먼저,

및

(여기서, Φ_M(t)에 따라 정리 1(z=1)에서 선택된 δ는 양수)로 한다. 이것은 다자간 계산의 온라인 단계와 상술한 패킹 동작의 연결하기 위한 것이다.

MPC의 메시지는

(k=32, 64, 128)에서 온 것이고, MAC는 보안을 위한 s가 32, 64로 설정될 수 있다.

. 마지막으로 암호문 생성 스킴의 평문 공간을

로 정의한다.

평문의 영 지식 증명을 설명한다. 이하에서의 목표는 적절한 크기의 노이즈와 무작위성을 사용하여 암호 알고리즘 내의 유효한 평문을 취함으로써, 암호문이 정확하게 생성되었는지를 증명하는 것이다.

공식적으로 2단계 암호문 생성 암호화의 경우, 다음의 릴레이션의 정직한 영 지식 증명이다. 여기서, 우리는 많은 u 개의 암호문 및 Ct_i=Enc(x_i,r_i;pk) (여기서, r_i=(v_i, e_o,i e_1,i)를 고려한다.

[수학식 11]

여기서, P : R →{true, false}는 암호문의 메시지에 대한 조건 자(predicate)이고, n은 당사자 수, S는 프로토콜에서 τ,ρ₁, ρ₂로 주어지는 건전성 여유(soundness slack)이다.

본 개시에 따른 분산 복호화 프로토콜에서 요구되는 상술한 릴레이션(

)은 특정한 조건자 P_ecd, P_diag가 부여된다. 여기서, P_ecd는 각 암호문이 상술한 본 개시의 패킹 방법으로 올바르게 메시지가 인코딩되었는지를 나타내고, P_diag는 각 슬롯에 동일한 스칼라 메시지가 있는지를 나타낸다.

[수학식 12]

[수학식 13]

상술한 두 조건자 모두는 CRT 투형 및 유사 보간으로부터 선형 동형으로 제한된다.

따라서, 프로토콜(

)은 본 개시에 따른 암호문 상의 릴레이션(

)에도 적용이 가능하다.

이하에서는 도 5 및 도 6을 참조하여 본 개시에 따른 분산 복호화 프로토콜을 설명한다.

도 5는 본 개시의 제1 실시 예에 따른 분산 복호 동작을 설명하기 위한 도면이다.

전처리 단계의 최종 구성 요소는 분산 복호화 프로토콜이다. 주요한 목적은 암호문 생성 암호문의 메시지를 각 참가자(각 참가자 P_i가 비밀키 sk_i(비밀키는

조건을 만족한다.)간에 나눠갖는 것이다. 이와 같은 프로토콜의 구체적인 동작은 도 5의 F_DistrDec와 같다.

도 5를 참조하면, F_DistrDec는 두 명령으로 구성되며, 둘 다 레벨 0의 암호문을 입력으로 사용한다. 다만, 전자(D1)는 암호문의 메시지 공유만 출력하는데 반해, 후자(D2)는 동일한 레벨 0을 입력받는데 반해, 레벨 1의 암호문을 출력한다는 점에서 차이가 있다.

상술한 동작을 실제 구현함에 있어서, 도 5의 D2 동작은 보다 효율적으로 구현될 수 있다. 이에 대해서는 도 6을 참조하여 이하에서 설명한다.

도 6은 본 개시의 제2 실시 예에 따른 분산 복호 동작을 설명하기 위한 도면이다.

도 6을 참조하면, 도 5의 D2 명령은 본 개시의 패킹 방법이 간단하기 때문에, 기존의 재공유 프로토콜과 유사하다. 그러나 본 개시에 따른 패킹 방법이 적용되는 경우, 보안성 및 정확성에서 다음과 같은 차이가 있다.

보안성(예를 들어, 영 지식)은 각 당사자가 암호문을 마스크 한다는 점에 따른다. 본 개시에 따른 패킹 방법에 따르면 다항식

의 계수들은 각 CRT 투영에서 2^δ+δ로 나눠지기 때문에 암호문의 메시지는 완전이 마스크된다.

정확성은 출력

으로부터 메시지 m을 디코딩할 수 있음을 보여주는 것으로 충분하다. 여기서, 프로토콜에서 μ는

로부터 유도되고, ct_f는 우리의 패킹 방법에 따라 μ을 인코딩한다.

한편, Enc(Encode(m+μ), 0;pk)는 메시지(m)와 μ의 첫번째 r(

) 원소의 합을 메시지의 합을 인코딩한다. 암호문 Ct 내의 f는 전체 μ를 인코딩하고, 디코딩 처리 내의 첫번째 r(

) 원소를 확인할 수 있기 때문에, Enc() 함수로부터 메시지를 복원할 수 있다.

앞선 과정에서 분산 복호화 프로토콜을 이용한 전처리 방법에 대해서 설명한다. 전처리 단계는 약한 전처리 단계와 전처리 단계이다. 약한 전처리 단계는 마스크 및 곱쌍을 생성하고, 후자는 정확한 마스크 및 MAC 검사 또는 희생으로 곱쌍을 생성하는 것이다. 후자의 동작은 기존과 동일한바, 이하에서는 약한 전치리 단계의 동작에 대해서는 도 7을 참조하여 이하에서 설명한다.

도 7은 본 개시의 일 실시 예에 따른 전처리 동작을 설명하기 위한 도면이다.

도 7을 참조하면, 본 개시에 따른 약한 전처리 동작(Π_wPrep)은 모든 참가자의 입력을 입력받고, 각 참가자에 대한 랜덤 마스트(ρ)를 생성한다.

그리고 이를 기초로 도 7에 도시된 바와 같이 랜덤 추가 공유(random additive shared)를 생성하고, 하나의 연산에 필요한 곱쌍을 생성할 수 있다.

이상과 같이 본 개시에 따른 다자간 계산 프로토콜은 2의 지수승 법에서 동작하는바, 각 장치에서 연산을 수행할 때 2의 지수승으로 변환하기 위한 에뮬레이션 단계가 생략된다. 그에 따라, 본 개시의 다자간 계산 프로토콜은 기존의 가장 좋은 성능을 갖는 프로토콜보다 통신 비용 측면에서 5.8 배 ~ 8.2 배의 향상된 효과를 갖는다.

또한, 본 개시에 따른 패킹 방법은 우수한 패킹 밀도뿐만 아니라, 기존의 방식보다 영 지식 증명(zero-knowledge proof)의 수를 줄일 수 있는 효과가 있다. 더욱이 복합 사이클로토믹 다항식을 사용하여 더욱 패킹 밀도를 증가하고, 영 지식 증명의 수를 줄이기 위하여 곱셈 깊이를 증가시켜 재공유 절차를 회피하는 최적화 하는바 상술한 효과는 더욱 증가할 수 있다.

도 8 및 도 9는 본 개시에 따른 패킹 방법의 효과를 설명하기 위한 도면이다.

구체적으로, 도 8은 d에 따른 패킹 밀도를 대략적으로 도시한 도면이다.

도 8을 참조하면, 모든 방법은 d가 증가함에 따라 밀도가 감소하는 것을 확인할 수 있다. 그러나 패킹 밀도가 고정되어 있지 않고, 패킹 밀도가 다양하게 나타날 수 있음을 확인할 수 있다. 구체적으로, k가 d와 비교하였을 때 너무 작지 않다면, 본 개시에 따른 패킹 밀도는 종래 방식보다 우세하다.

도 9는 다양한 패킹 방법에 따른 패킹 밀도를 도시한 도면이다.

도 9를 참조하면, 도면의 상위 3개의 그래프는 본 개시의 다양한 조건에 따른 패킹 밀도를 도시한 도면이고, 도면의 하위 3개의 그래프는 종래 방식에 따른 패킹 밀도를 도시한 도면이다.

이와 같이 본 개시에 따른 방식과 종래의 방식은 패킹 밀도 측면에서 분명한 성능 간극이 있음을 확인할 수 있다.

도 10은 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타내는 블럭도이다.

구체적으로, 도 1의 시스템에서 제1 전자 장치, 제2 전자 장치 등과 같이 동형 암호화를 수행하는 장치, 제1 서버 장치 등과 같이 동형 암호문을 연산하는 장치, 제2 서버 장치 등과 같이 동형 암호문을 복호하는 장치 등을 연산 장치라고 지칭할 수 있다. 이러한 연산 장치는 PC(Personal computer), 노트북, 스마트폰, 태블릿, 서버 등 다양한 장치일 수 있다.

도 10을 참조하면, 연산 장치(400)는 통신 장치(410), 메모리(420), 디스플레이(430), 조작 입력 장치(440) 및 프로세서(450)를 포함할 수 있다.

통신 장치(410)는 연산 장치(400)를 외부 장치(미도시)와 연결하기 위해 형성되고, 근거리 통신망(LAN: Local Area Network) 및 인터넷망을 통해 외부 장치에 접속되는 형태뿐만 아니라, USB(Universal Serial Bus) 포트 또는 무선 통신(예를 들어, WiFi 802.11a/b/g/n, NFC, Bluetooth) 포트를 통하여 접속되는 형태도 가능하다. 이러한 통신 장치(410)는 송수신부(transceiver)로 지칭될 수도 있다.

통신 장치(410)는 공개키를 외부 장치로부터 수신할 수 있으며, 연산 장치(400) 자체적으로 생성한 공개키를 외부 장치로 전송할 수 있다.

그리고 통신 장치(410)는 외부 장치로부터 메시지를 수신할 수 있으며, 생성한 암호문을 외부 장치로 송신할 수 있다.

또한, 통신 장치(410)는 암호문 생성에 필요한 각종 파라미터를 외부 장치로부터 수신할 수 있다. 한편, 구현시에 각종 파라미터는 후술하는 조작 입력 장치(440)를 통하여 사용자로부터 직접 입력받을 수 있다.

또한, 통신 장치(410)는 외부 장치로부터 동형 암호문에 대한 연산을 요청받을 수 있으며, 그에 따라 계산된 결과를 외부 장치에 전송할 수 있다.

또한, 통신 장치(410)는 동형 암호문을 수신할 수도 있다.

또한, 통신 장치(410)는 생성된 곱쌍을 다른 장치에 전송할 수 있으며, 각 장치로부터 곱쌍에 대한 연산 결과를 제공받을 수 잇다.

메모리(420)는 연산 장치(400)를 구동하기 위한 O/S나 각종 소프트웨어, 데이터 등을 저장하기 위한 구성원소이다. 메모리(420)는 RAM이나 ROM, 플래시 메모리, HDD, 외장 메모리, 메모리 카드 등과 같은 다양한 형태로 구현될 수 있으며, 어느 하나로 한정되는 것은 아니다.

메모리(420)는 암호화할 메시지를 저장한다. 여기서 메시지는 사용자가 각종 인용한 각종 신용 정보, 개인 정보 등일 수 있으며, 연산 장치(400)에서 사용되는 위치 정보, 인터넷 사용 시간 정보 등 사용 이력 등과 관련된 정보일 수도 있다.

그리고 메모리(420)는 공개키를 저장할 수 있으며, 연산 장치(400)가 직접 공개키를 생성한 장치인 경우, 비밀키뿐만 아니라, 공개키 및 비밀키 생성에 필요한 각종 파라미터를 저장할 수 있다.

그리고 메모리(420)는 후술한 과정에서 생성된 동형 암호문을 저장할 수 있다. 그리고 메모리(420)는 동형 암호문의 생성 과정의 중간 데이터(예를 들어, 유사 보간 결과인 다항식, 곱쌍 등 )을 저장할 수 있다.

디스플레이(430)는 연산 장치(400)가 지원하는 기능을 선택받기 위한 사용자 인터페이스 창을 표시한다. 구체적으로, 디스플레이(430)는 연산 장치(400)가 제공하는 각종 기능을 선택받기 위한 사용자 인터페이스 창을 표시할 수 있다. 이러한 디스플레이(430)는 LCD(liquid crystal display), OLED(Organic Light Emitting Diodes) 등과 같은 모니터일 수 있으며, 후술할 조작 입력 장치(440)의 기능을 동시에 수행할 수 있는 터치 스크린으로 구현될 수도 있다.

디스플레이(430)는 비밀키 및 공개키 생성에 필요한 파라미터의 입력을 요청하는 메시지를 표시할 수 있다. 그리고 디스플레이(430)는 암호화 대상이 메시지를 선택하는 메시지를 표시할 수 있다. 한편, 구현시에 암호화 대상은 사용자가 직접 선택할 수도 있고, 자동으로 선택될 수 있다. 즉, 암호화가 필요한 개인 정보 등은 사용자가 직접 메시지를 선택하지 않더라도 자동으로 설정될 수 있다.

조작 입력 장치(440)는 사용자로부터 연산 장치(400)의 기능 선택 및 해당 기능에 대한 제어 명령을 입력받을 수 있다. 구체적으로, 조작 입력 장치(440)는 사용자로부터 비밀키 및 공개키 생성에 필요한 파라미터를 입력받을 수 있다. 또한, 조작 입력 장치(440)는 사용자로부터 암호화될 메시지를 설정받을 수 있다.

프로세서(450)는 연산 장치(400) 내의 각 구성을 제어한다. 이러한 프로세서(450)는 CPU(central processing unit), ASIC(application-specific integrated circuit)과 같은 단일 장치로 구성될 수 있으며, CPU, GPU(Graphics Processing Unit) 등의 복수의 장치로 구성될 수도 있다.

프로세서(450)는 전송하고자 하는 메시지가 입력되면 메모리(420)에 저장한다. 프로세서(450)는 메모리(420)에 저장된 각종 설정 값 및 프로그램을 이용하여, 메시지를 동형 암호화할 수 있다. 이 경우, 공개키가 사용될 수 있다.

프로세서(450)는 암호화를 수행하는데 필요한 공개키를 자체적으로 생성하여 사용할 수도 있고, 외부 장치로부터 수신하여 사용할 수도 있다. 일 예로, 복호화를 수행하는 제2 서버 장치(300)가 공개키를 다른 장치들에게 배포할 수 있다.

자체적으로 키를 생성하는 경우, 프로세서(450)는 Ring-LWE 기법을 이용하여 공개키를 생성할 수 있다. 구체적으로 설명하면, 프로세서(450)는 먼저 각종 파라미터 및 링을 설정하여, 메모리(420)에 저장할 수 있다. 파라미터의 예로는 평문 메시지 비트의 길이, 공개키 및 비밀키의 크기 등이 있을 수 있다.

링은 다음과 같은 수학식으로 표현될 수 있다.

[수학식 14]

여기서 R은 링,

는 2의 지수승으로 표현되는 계수, φ_M (t)는 N차 사이클로토믹 다항식 (N-th cyclotomic polynomial)이다.

링(Ring)이란 기 설정된 계수를 가지는 다항식의 집합으로, 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합으로, 본 개시에서는 링은 평문 공간이 2의 지수승의 집합을 의미한다. 그리고 Euler totient 함수 Φ(N)이란 N과 서로소이고 N보다 작은 자연수의 개수를 의미한다.

링이 설정되면, 프로세서(450)는 공개 파라미터 pp_λ가 주어지면, 비밀 키(sk)를 산출할 수 있다.

[수학식 15]

sk ← HWT(h)

여기서, s(x)는 작은 계수로 랜덤하게 생성한 다항식을 의미한다.

그리고 프로세서(450)는 생성된 비밀 키를 이용하여 공개 키를 산출할 수 있다.

[수학식 16]

pk=(a, b) ∈ R² _q2

여기서, a←U(q₂), b=a·sk + 2^k·e(mod q₂) , e←DG(σ²)이다.

또한, 프로세서(450)는 후술하는 곱쌍 생성에 이용할 재선형 데이터를 함께 산출할 수 있다.

상술한 키 생성 방법은 일 예에 불과하므로, 반드시 이에 한정되는 것은 아니며, 이 밖에 다른 방법으로 공개키 및 비밀키를 생성할 수도 있음은 물론이다.

한편, 프로세서(450)는 공개키가 생성되면, 다른 장치들에 전송되도록 통신 장치(410)를 제어할 수 있다.

그리고 프로세서(450)는 메시지에 대한 동형 암호문을 생성할 수 있다. 이때, 프로세서(450)는 선행적으로 복수의 메시지를 다항식으로 변환하는 인코딩 동작(또는 패킹 동작)을 수행할 수 있다.

구체적으로, 프로세서(450)는 기설정된 크기의 2의 거듭제곱(2^δ) 및 링을 이용하여 복수의 메시지를 하나의 다항식으로 인코딩할 수 있다. 예를 들어, 프로세서(450)는 다항식의 변수 변화에 따른 다항식의 결과 값이 복수의 메시지 중 변수 값에 대응되는 메시지 값에 기설정된 크기의 2의 거듭제곱이 곱한 값을 갖도록 다항식의 계수를 할당하여 복수의 메시지에 대응되는 다항식을 생성할 수 있다.

이에 따라 생성된 다항식은 최고차수 2^r-1 또는

일 수 있으며, 상술한 수학식 17을 만족할 수 있다. 여기서, r은 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 수이다.

[수학식 17]

여기서, X(i)는 i-1차 다항식, i는 양의 정수, x_i(t)=

, a_j는 다항식의 계수,

는 2의 지수승으로 표현되는 계수이다.

그리고 패킹되는 메시지의 개수는 아래의 수학식 18 또는 수학식 19를 만족하는 개수일 수 있다.

[수학식 18]

여기서, N는 다항식의 차수이다.

[수학식 19]

여기서, r은 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 개수이고, d는 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 차수이다.

그리고 프로세서(450)는 생성된 다항식을 암호문으로 생성할 수 있다. 구체적으로, 프로세서(450)는 아래의 수학식 20과 같이 c₀, c₁을 연산하고, 암호문 ct = (ℓ, c₀, c₁)을 암호문으로 생성할 수 있다. 여기서 ℓ은 암호문에 레벨이다.

한편, 상술한 기설정된 크기의 2의 거듭제곱의 지수는 (d-1)!의 소인수분해에서 2의 중복도일 수 있으며, 이러한 값은 미리 계산될 수 있으며, 패킹 과정에서 주어진 메시지의 개수에 대응되게 패킹 과정마다 계산될 수 있다.

[수학식 20]

c₀ = b·v + 2^k·e₀ + m (mod q₂), c1 = a·v + 2^k·e₁ (mod q₂)

여기서, v←ZO(0.5)이고, e₀, e₁←DG(σ²)이다.

그리고 프로세서(450)는 다항식 형태로 변환된 메시지에 공개키를 적용하여 암호문을 생성할 수 있다.

한편, 복수의 암호문에 대한 연산이 필요한 경우, 프로세서(450)는 복수의 암호문에 대한 곱쌍을 생성하고, 생성한 곱쌍이 복수의 전자 장치에 전송하도록 통신 장치(410)를 제어할 수 있다.

그리고 프로세서(450)는 복수의 전자 장치로부터 연산 결과를 수신하면, 수신한 연산 결과에 대한 검증(예를 들어, 영 지식 증명)을 수행하고, 검증된 값을 이용하여 최종 연산 결과를 생성할 수 있다.

그리고 프로세서(450)는 동형 암호문에 대한 복호가 필요한 경우, 동형 암호문에 비밀키를 적용하여 다항식 형태의 복호문을 생성하고, 다항식 형태의 복호문을 디코딩하여 메시지를 생성할 수 있다.

이상과 같이 본 개시에 따른 연산 장치는, CPU에서 연산 가능한 2의 지수승법으로 동작하는 데이터를 생성하는바, 별도의 에뮬레이션이 필요 없다. 또한, 상술한 패킹 방식을 이용함에 따라 기존보다 영 지식 증명이 감소하고, 높은 폴드 병렬성을 갖는다는 점에서, 높은 계산 비용 절감이 가능하다.

한편, 도 10을 도시하고 설명함에 있어서, 하나의 장치에서 암호화 동작 즉 인코딩 및 암호화 동작 모두를 수행하는 것으로 도시하고 설명하였지만, 구현시에 하나의 장치에서 키 생성, 다른 장치에서 인코딩 동작만을 수행하고, 또 다른 장치에서 인코딩 결과를 수신하여 암호화를 수행할 수도 있다. 또한, 복호화 과정에서도 하나의 장치에서 복호화 동작 및 디코딩 동작 모두를 수행할 수도 있으며, 두 개의 장치에서 개별적으로 복호화 동작, 디코딩 동작을 수행할 수도 있다.

또한, 도 10을 도시하고 설명함에 있어서, 비대칭형 암호 방식(즉, 비밀 키 및 공개 키)을 이용하는 것으로 설명하였지만, 구현시에는 대칭형 암호 방식으로 암호화, 복호화 동작을 수행할 수도 있다.

도 11은 본 개시의 일 실시 예에 따른 암호화 방법을 설명하기 위한 도면이다.

도 11을 참조하면, 먼저 링을 설정한다(S1110). 구체적으로, 본 개시의 링은 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합 중 평문 공간이 2의 지수승의 집합일 수 있다.

복수의 메시지를 입력받는다(S1120). 여기서 복수의 메시지는 텍스트 등일 수도 있지만, 메시지 벡터일 수 있다.

복수의 메시지를 하나의 다항식으로 인코딩한다(S1130). 구체적으로, 복수의 메시지, 기설정된 크기의 2의 거듭제곱(2^δ) 및 링을 이용하여 복수의 메시지를 하나의 다항식으로 인코딩할 수 있다. 예를 들어, 다항식의 변수 변화에 따른 다항식의 결과 값이 복수의 메시지 중 변수 값에 대응되는 메시지 값에 기설정된 크기의 2의 거듭제곱이 곱한 값을 갖도록 다항식의 계수를 할당하여 복수의 메시지에 대응되는 다항식을 생성할 수 있다. 이와 같이 생성된 다항식은 상술한 수학식 1을 만족할 수 있다.

그리고 다항식을 암호화하여 암호문을 생성한다(S1140). 구체적으로, 기생성된 공개키를 이용하여 앞서 생성된 다항식에 대한 동형 암호문을 생성할 수 있다. 여기서 생성된 동형 암호문은 곱셈 깊이 1을 가질 수 있다.

이후에 복수의 암호문에 대한 연산 명령이 입력되면, 각 당사자들은 복수의 암호문에 대한 곱쌍을 생성하고, 생성된 곱쌍을 상호 나눠가질 수 있다. 또한, 복수의 연산 장치로부터 연산 결과를 수신하면, 수신된 연산 결과를 이용하여 상술한 연산 명령에 따른 연산 결과를 산출할 수 있다.

이상과 같이 본 실시 예에 따른 암호화 방법은 CPU에서 연산 가능한 2의 지수승법으로 동작하는 데이터를 생성하는바, 별도의 에뮬레이션이 필요 없다. 또한, 상술한 패킹 방식을 이용함에 따라 기존보다 영 지식 증명이 감소하고, 높은 폴드 병렬성을 갖는다는 점에서, 높은 계산 비용 절감이 가능하다.

한편, 상술한 다양한 실시 예에 따른 암호화 방법은 각 단계들을 수행하기 위한 프로그램 코드 형태로 구현되어, 기록 매체에 저장되고 배포될 수도 있다. 이 경우, 기록 매체가 탑재된 장치는 상술한 암호화 방법 등의 동작들을 수행할 수 있다.

이러한 기록 매체는, ROM, RAM, 메모리 칩, 메모리 카드, 외장형 하드, 하드, CD, DVD, 자기 디스크 또는 자기 테이프 등과 같은 다양한 유형의 컴퓨터 판독 가능 매체가 될 수 있다.

이상 첨부 도면을 참고하여 본 개시에 대해서 설명하였지만 본 개시의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시 예 및/또는 도면에 제한되는 것으로 해석되어서는 안 된다. 그리고 특허청구범위에 기재된 개시의, 당업자에게 자명한 개량, 변경 및 수정도 본 개시의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.

100: 전자 장치 200: 제1 서버 장치
300: 제2 서버 장치 400: 연산 장치
410: 통신 장치 420: 메모리
430: 디스플레이 440: 조작 입력 장치
450: 프로세서

Claims (14)

1. 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합 중 평문 공간이 2의 지수승의 집합인 링(Ring)을 설정하는 단계;
   복수의 메시지를 입력받는 단계;
   기설정된 크기의 2의 거듭제곱(2^δ) 및 상기 링을 이용하여 상기 복수의 메시지를 하나의 다항식으로 인코딩하는 단계; 및
   상기 하나의 다항식으로 인코딩된 복수의 메시지를 암호화하여 암호문을 생성하는 단계;를 포함하고,
   상기 기설정된 크기의 2의 거듭제곱(2^δ)의 지수(δ)는 (d-1)!의 소인수분해에서 2의 중복도이고, 상기 d는 상기 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 차수인 암호화 방법.
2. 제1항에 있어서,
   상기 인코딩하는 단계는,
   상기 다항식의 변수 변화에 따른 상기 다항식의 결과 값이 상기 복수의 메시지 중 상기 변수 값에 대응되는 메시지 값에 상기 기설정된 크기의 2의 거듭제곱이 곱한 값을 갖도록 상기 다항식의 계수를 할당하여 상기 복수의 메시지에 대응되는 다항식을 생성하는 암호화 방법.
3. 제1항에 있어서,
   상기 다항식은, 아래의 수학식을 만족하는 암호화 방법,
   

   

   
   여기서, X(i)는 i-1차 다항식, i는 양의 정수, x_i(t)=

   

   , a_j는 상기 다항식의 계수,

   

   는 2의 지수승으로 표현되는 계수.
4. 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합 중 평문 공간이 2의 지수승의 집합인 링(Ring)을 설정하는 단계;
   복수의 메시지를 입력받는 단계;
   기설정된 크기의 2의 거듭제곱(2^δ) 및 상기 링을 이용하여 상기 복수의 메시지를 하나의 다항식으로 인코딩하는 단계; 및
   상기 하나의 다항식으로 인코딩된 복수의 메시지를 암호화하여 암호문을 생성하는 단계;를 포함하고,
   상기 인코딩하는 단계는,
   상기 다항식의 변수 변화에 따른 상기 다항식의 결과 값이 상기 복수의 메시지 중 상기 변수 값에 대응되는 메시지 값에 상기 기설정된 크기의 2의 거듭제곱이 곱한 값을 갖도록 상기 다항식의 계수를 할당하여 상기 복수의 메시지에 대응되는 다항식을 생성하고,
   상기 다항식의 최고차수는

   

   이고, 상기 d는 상기 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 차수인 암호화 방법.
5. 삭제
6. 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합 중 평문 공간이 2의 지수승의 집합인 링(Ring)을 설정하는 단계;
   복수의 메시지를 입력받는 단계;
   기설정된 크기의 2의 거듭제곱(2^δ) 및 상기 링을 이용하여 상기 복수의 메시지를 하나의 다항식으로 인코딩하는 단계; 및
   상기 하나의 다항식으로 인코딩된 복수의 메시지를 암호화하여 암호문을 생성하는 단계;를 포함하고,
   상기 복수의 메시지의 개수는, 아래의 수학식을 만족하는 암호화 방법,
   

   

   
   여기서, N는 상기 다항식의 차수.
7. 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합 중 평문 공간이 2의 지수승의 집합인 링(Ring)을 설정하는 단계;
   복수의 메시지를 입력받는 단계;
   기설정된 크기의 2의 거듭제곱(2^δ) 및 상기 링을 이용하여 상기 복수의 메시지를 하나의 다항식으로 인코딩하는 단계; 및
   상기 하나의 다항식으로 인코딩된 복수의 메시지를 암호화하여 암호문을 생성하는 단계;를 포함하고,
   상기 복수의 메시지의 개수는, 아래의 수학식을 만족하는 암호화 방법,
   

   

   
   여기서, 상기 r은 상기 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 개수이고, 상기 d는 상기 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 차수.
8. 제1항에 있어서,
   상기 암호문을 생성하는 단계는,
   곱셈 깊이 1을 갖는 동형 암호문을 생성하는 암호화 방법.
9. 제1항에 있어서,
   복수의 암호문에 대한 연산 명령이 입력되면, 상기 복수의 암호문에 대한 곱쌍(Triple)을 생성하는 단계;를 더 포함하는 암호화 방법.
10. 제9항에 있어서,
    상기 복수의 전자 장치로부터 연산 결과를 수신하고, 상기 수신된 연산 결과를 이용하여 상기 복수의 암호문에 대한 연산 결과를 산출하는 단계;를 더 포함하는 암호화 방법.
11. 연산 장치에 있어서,
    적어도 하나의 인스트럭션(instruction)을 저장하는 메모리; 및
    상기 적어도 하나의 인스트럭션을 실행하는 프로세서;를 포함하고,
    상기 프로세서는,
    상기 적어도 하나의 인스트럭션을 실행함으로써,
    원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합 중 평문 공간이 2의 지수승의 집합인 링(Ring)을 설정하고,
    기설정된 크기의 2의 거듭제곱(2^δ) 및 상기 링을 이용하여 복수의 메시지를 하나의 다항식으로 인코딩하고,
    상기 기설정된 크기의 2의 거듭제곱(2^δ)의 지수(δ)는 (d-1)!의 소인수분해에서 2의 중복도이고, 상기 d는 상기 링의 사이클로토믹 다항식의 기약 인자(irreducible factor)의 차수인 연산 장치.
12. 제11항에 있어서,
    상기 프로세서는,
    상기 다항식의 변수 변화에 따른 상기 다항식의 결과 값이 상기 복수의 메시지 중 상기 변수 값에 대응되는 메시지 값에 상기 기설정된 크기의 2의 거듭제곱이 곱한 값을 갖도록 상기 다항식의 계수를 할당하여 상기 복수의 메시지에 대응되는 다항식을 생성하는 연산 장치.
13. 제11항에 있어서,
    상기 프로세서는,
    상기 하나의 다항식으로 인코딩된 복수의 메시지를 암호화하여 암호문을 생성하는 연산 장치.
14. 제13항에 있어서,
    상기 프로세서는,
    복수의 암호문에 대한 연산 명령이 입력되면, 상기 복수의 암호문에 대한 곱쌍(Triple)을 생성하는 연산 장치.

Images