KR102349855B1 - 공간 복잡도를 고려한 동형 암호화 또는 복호화 방법 - Google Patents

Abstract

연산 장치가 개시된다. 본 연산 장치는 적어도 하나의 인스트럭션(instruction)을 저장하는 메모리, 및 적어도 하나의 인스트럭션을 실행하는 프로세서를 포함하고, 프로세서는 적어도 하나의 인스트럭션을 실행함으로써, 비밀 키에 대한 정보를 이용하여 동형 암호문에 복호화를 수행하고, 비밀 키는 복수의 항(term)을 갖는 다항식(polynomial)으로 표현되고, 비밀 키에 대한 정보는 복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 포함한다.

Description

공간 복잡도를 고려한 동형 암호화 또는 복호화 방법{METHOD FOR ENCRYPTING OR DECRYPTING MESSAGE BY SPACE COMPLEXITY}

본 개시는 공간 복잡도를 고려한 동형 암호화 또는 복호화 방법에 관한 것으로, 보다 구체적으로 작은 메모리 용량으로 암호문 만들거나 복호화가 가능한 암·복호화 방법에 관한 것이다.

통신 기술이 발달하고, 전자 장치의 보급이 활발해짐에 따라, 전자 장치 간의 통신 보안을 유지하기 위한 노력이 지속적으로 이루어지고 있다. 이에 따라, 대부분의 통신 환경에서는 암호화/복호화 기술이 사용되고 있다.

암호화 기술에 의해 암호화된 메시지가 상대방에게 전달되면, 상대방은 메시지를 이용하기 위해서는 복호화를 수행하여야 한다. 이 경우, 상대방은 암호화된 데이터를 복호화하는 과정에서 자원 및 시간 낭비가 발생하게 된다. 또한, 상대방이 연산을 위해 일시적으로 메시지를 복호화한 상태에서 제3자의 해킹이 이루어지는 경우, 그 메시지가 제3자에게 손쉽게 유출될 수 있다는 문제점도 있었다.

이러한 문제를 해결하기 위하여 동형 암호화 방법이 연구되고 있다. 동형 암호화에 따르면, 암호화된 정보를 복호화하지 않고 암호문 자체에서 연산을 하더라도, 평문에 대해 연산한 후 암호화한 값과 동일한 결과를 얻을 수 있다. 따라서, 암호문을 복호화하지 않은 상태에서 각종 연산을 수행할 수 있다.

한편, 암호문은 복호 시에 비밀 키를 이용하여 복호화 과정을 수행하는데, 종래의 복호화 키는 이중 CRT 형태로 저장되기 때문에 N·log q₀ 비트의 저장 공간이 필요로 하다. 예를 들어, N=2¹⁷, 이고, log q₀ =62 이고, 소수의 개수가 29인 현재 사용되는 통상적인 파라미터를 사용하면 복호화 키의 크기는 대략 수십 MB의 용량을 갖는다.

또한, 복호화 과정에서는 iCRT, iNTT 계산을 위한 사전 계산 정보를 관리하고 있어야 한다는 점에서, 동형 암호문에 대한 복호화를 위해서는 매우 큰 메모리 공간이 요구되었다. 따라서, 낮은 메모리 용량을 갖는 장치에서도 복호화 동작을 수행할 수 있는 방법이 요구되었다.

또한, 암호문에 대한 재부팅 또는 인코딩 과정에서는 동형 암호문을 다항식 형태로 변환하는 동작이 필요한데, 이 과정에서 많은 메모리 용량이 필요하였다. 따라서, 이러한 변환 과정에서도 작은 메모리 용량으로도 재부팅 또는 인코딩을 수행할 수 있는 방법이 요구되었다.

본 개시는 이상과 같은 문제점을 해결하기 위하여 고안된 것으로, 작은 메모리 용량으로 암호문 만들거나 복호화가 가능한 암·복호화 방법을 제공하는 데 있다.

이상과 같은 목적을 달성하기 위하여, 본 개시의 일 실시 예에 따른 동형 암호문 처리 방법은 동형 암호문을 입력받는 단계, 및 비밀 키에 대한 정보를 이용하여 상기 입력된 동형 암호문에 대한 근사 메시지를 출력하는 단계를 포함하고, 상기 비밀 키는, 복수의 항(term)을 갖는 다항식(polynomial)으로 표현되고, 상기 비밀 키에 대한 정보는, 상기 복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 포함한다.

이 경우, 상기 비밀 키는 64개의 항을 포함하고, 상기 계수 정보는 1 또는 -1 값을 가질 수 있다.

한편, 상기 비밀 키는, 기설정된 링(ring)으로부터 마지막 소수(q₀)만을 이용하여 산출된 다항식일 수 있다.

한편, 상기 근사 메시지를 출력하는 단계는, 상기 동형 암호문을 iNTT(inverse Number Theoretic Transformation) 처리하는 단계, 상기 iNTT 처리된 동형 암호문과 상기 비밀 키에 대한 정보를 연산하여 다항식 형태의 근사 메시지를 산출하는 단계, 및 상기 산출된 다항식 형태의 근사 메시지를 디코딩하여 상기 근사 메시지를 산출하는 단계를 포함할 수 있다.

이 경우, 상기 다항식 형태의 근사 메시지를 산출하는 단계는, 상기 iNTT 처리된 동형 암호문의 배열 공간을 2배로 늘리고, 상기 차수 정보에 기초하여 나열된 계수 정보와 상기 배열 공간이 늘려진 동형 암호문을 반복적으로 연산하되 상기 계수 정보를 상기 배열 공간이 늘려진 동형 암호문의 낮은 차수(degree)부터 단계적으로 시프트하여 상기 다항식 형태의 근사 메시지를 산출할 수 있다.

또는, 상기 다항식 형태의 근사 메시지를 산출하는 단계는, 상기 iNTT 처리된 동형 암호문의 배열 공간을 복수의 구간으로 나누고, 상기 복수의 구간 별로 상기 iNTT 처리된 동형 암호문과 상기 차수 정보에 기초하여 나열된 계수 정보와의 연산을 수행하여 상기 다항식 형태의 근사 메시지를 산출할 수도 있다.

한편, 본 개시의 다른 실시 예에 따른 동형 암호문 처리 방법은 동형 암호문을 수신하는 단계, 상기 수신된 동형 암호문을 다항식으로 변환하는 단계, 상기 변환된 다항식을 모듈러스 연산하는 단계, 및 상기 모듈러스 연산된 결과를 동형 암호문으로 변환하는 단계를 포함하고, 상기 다항식으로 변환하는 단계는, 상기 수신된 동형 암호문 내의 복수의 슬롯 값을 상기 다항식의 복수의 계수 값으로 그대로 이용할 수 있다.

이 경우, 상기 동형 암호문으로 변환하는 단계는, 상기 모듈러스 연산된 결과인 다항식의 복수의 계수 값을 복수의 슬롯 값으로 갖는 동형 암호문을 출력할 수 있다.

한편, 상기 다항식으로 변환하는 단계는, 상기 동형 암호문 내의 근사 메시지 비중이 임계치를 초과하면 다항식으로 변환할 수 있다.

한편, 상기 모듈러스 연산하는 단계는, 상기 동형 암호문의 모듈러스 값을 변환하고, 상기 다항식으로 변환된 동형 암호문을 변환 전 모듈러스 값으로 모듈러스 연산을 수행할 수 있다.

한편, 본 개시의 다른 실시 예에 따른 동형 암호문 처리 방법은 메시지를 입력받는 단계, 상기 메시지를 다항식으로 변환하는 단계, 및 상기 다항식으로 변환된 메시지, 공개 키 및 공개키 암호화 승수 랜덤 다항식에 대한 정보를 이용하여 동형 암호문을 생성하는 단계를 포함하고, 상기 공개키 암호화 승수 랜덤 다항식은, 복수의 항(term)을 갖는 다항식(polynomial)으로 표현되고, 상기 공개키 암호화 승수 랜덤 다항식에 대한 정보는, 상기 복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 포함할 수 있다.

이 경우, 상기 다항식으로 변환하는 단계는, 상기 입력된 메시지의 원소 값을 상기 다항식의 복수의 계수 값으로 그대로 이용할 수 있다.

이 경우, 상기 메시지의 원소 값이 정수가 아니면 반올림하여 정수로 변환하고, 정수로 변환된 값을 상기 다항식의 계수 값으로 이용할 수 있다.

한편, 상기 공개 키는, 복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 포함하는 비밀 키에 대한 정보를 이용하여 산출될 수 있다.

이 경우, 상기 비밀 키는 64개의 항을 포함하고, 상기 계수 정보는 1 또는 -1 값을 가질 수 있다.

한편, 상기 동형 암호문을 생성하는 단계는, 기설정된 링(ring)으로부터 마지막 소수(q₀)만을 이용하여 산출된 다항식으로 표현되는 동형 암호문을 생성할 수 있다.

한편, 본 개시의 일 실시 예에 따른 연산 장치는 적어도 하나의 인스트럭션(instruction)을 저장하는 메모리, 및 상기 적어도 하나의 인스트럭션을 실행하는 프로세서를 포함하고, 상기 프로세서는, 상기 적어도 하나의 인스트럭션을 실행함으로써, 비밀 키에 대한 정보를 이용하여 동형 암호문에 복호화를 수행하고, 상기 비밀 키는, 복수의 항(term)을 갖는 다항식(polynomial)으로 표현되고, 상기 비밀 키에 대한 정보는, 상기 복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 포함한다.

이 경우, 상기 비밀 키는 64개의 항을 포함하고, 상기 계수 정보는 1 또는 -1 값을 가질 수 있다.

한편, 상기 프로세서는, 상기 동형 암호문 내의 복수의 슬롯 값 각각을 계수 값으로 갖는 다항식으로 변환하고, 상기 변환된 다항식을 모듈러스 연산하고, 상기 모듈러스 연산된 다항식의 복수의 계수 값 각각을 슬롯 값으로 갖는 동형 암호문으로 변환할 수 있다.

한편, 상기 프로세서는, 메시지를 다항식으로 변환하고, 상기 다항식으로 변환된 메시지, 공개 키 및 공개키 암호화 승수 랜덤 다항식에 대한 정보를 이용하여 동형 암호문을 생성하고, 상기 공개키 암호화 승수 랜덤 다항식은, 복수의 항(term)을 갖는 다항식(polynomial)으로 표현되고, 상기 공개키 암호화 승수 랜덤 다항식에 대한 정보는, 상기 복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 포함할 수 있다.

이상과 같은 본 개시의 다양한 실시 예들에 따르면, 스마트폰과 같은 서버에 비하여 상대적으로 낮은 리소스를 갖는 환경에서도 암호문을 생성하거나, 암호문을 복호화하는 것이 가능하다.

도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구조를 설명하기 위한 도면,
도 2는 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타낸 블럭도,
도 3은 근사 동형 암호문의 생성 및 복호 동작을 설명하기 위한 도면,
도 4는 본 개시의 일 실시 예에 따른 암호화 동작을 설명하기 위한 도면,
도 5는 본 개시의 일 실시 예에 따른 복호화 동작을 설명하기 위한 도면,
도 6은 본 개시의 일 실시 예에 따른 재부팅 동작을 설명하기 위한 도면,
도 7은 본 개시의 제1 실시 예에 따른 다항식 곱셈 동작을 설명하기 위한 도면, 그리고,
도 8은 도 7의 동작 알고리즘을 도시한 도면이다.
도 9는 본 개시의 제2 실시 예에 따른 다항식 곱셈 동작을 설명하기 위한 도면, 그리고,
도 10은 도 9의 동작 알고리즘을 도시한 도면이다.

이하에서는 첨부 도면을 참조하여 본 개시에 대해서 자세하게 설명한다. 본 개시에서 수행되는 정보(데이터) 전송 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 개시 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 개시에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, 반드시 A로부터 B까지 직접 전송(전달) 또는 수신되는 것만을 표현하는 것은 아니다.

본 개시의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉, 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행단계로 설명된 과정보다 앞서서 수행되더라도 개시의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 "A 또는 B"라고 기재한 것은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 개시에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.

본 개시에서는 본 개시의 설명에 필요한 필수적인 구성요소만을 설명하며, 본 개시의 본질과 관계가 없는 구성요소는 언급하지 아니한다. 그리고 언급되는 구성요소만을 포함하는 배타적인 의미로 해석되어서는 안 되며 다른 구성요소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.

그리고 본 개시에서 "값"이라 함은 스칼라값뿐만 아니라 벡터도 포함하는 개념으로 정의된다.

후술하는 본 개시의 각 단계의 수학적 연산 및 산출은 해당 연산 또는 산출을 하기 위해 공지되어 있는 코딩 방법 및/또는 본 개시에 적합하게 고안된 코딩에 의해서 컴퓨터 연산으로 구현될 수 있다.

이하에서 설명하는 구체적인 수학식은 가능한 여러 대안 중에서 예시적으로 설명되는 것이며, 본 개시의 권리 범위가 본 개시에 언급된 수학식에 제한되는 것으로 해석되어서는 아니된다.

설명의 편의를 위해서, 본 개시에서는 다음과 같이 표기를 정하기로 한다.

a ← D : 분포(D)에 따라서 원소(a)를 선택함

s1, s2 ∈ R : S1, S2 각각은 R 집합에 속하는 원소이다.

mod(q) : q를 법으로 하는 나머지 연산

: 내부 값을 반올림함

이하에서는 첨부된 도면을 이용하여 본 개시의 다양한 실시 예들에 대하여 구체적으로 설명한다.

도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구조를 설명하기 위한 도면이다.

도 1을 참조하면, 네트워크 시스템은 복수의 전자 장치(100-1 ~ 100-n), 제1 서버 장치(200), 제2 서버 장치(300)를 포함할 수 있으며, 각 구성들은 네트워크(10)를 통해 서로 연결될 수 있다.

네트워크(10)는 다양한 형태의 유무선 통신 네트워크, 방송 통신 네트워크, 광통신 네트워크, 클라우드 네트워크 등으로 구현될 수 있으며, 각 장치들은 별도의 매개체 없이 와이파이, 블루투스, NFC(Near Field Communication) 등과 같은 방식으로 연결될 수도 있다.

도 1에서는 전자 장치가 복수 개(100-1 ~ 100-n)인 것으로 도시하였으나, 반드시 복수 개의 전자 장치가 사용되어야 하는 것은 아니며 하나의 장치가 사용될 수도 있다. 일 예로, 전자 장치(100-1 ~ 100-n)는 스마트폰, 태블릿, 게임 플레이어, PC, 랩톱 PC, 홈서버, 키오스크 등과 같은 다양한 형태의 장치로 구현될 수 있으며, 이밖에 IoT 기능이 적용된 가전 제품 형태로도 구현될 수 있다.

사용자는 자신이 사용하는 전자 장치(100-1 ~ 100-n)를 통해서 다양한 정보를 입력할 수 있다. 입력된 정보는 전자 장치(100-1 ~ 100-n) 자체에 저장될 수도 있지만, 저장 용량 및 보안 등을 이유로 외부 장치로 전송되어 저장될 수도 있다. 도 1에서 제1 서버 장치(200)는 이러한 정보들을 저장하는 역할을 수행하고, 제2 서버 장치(300)는 제1 서버 장치(200)에 저장된 정보의 일부 또는 전부를 이용하는 역할을 수행할 수 있다.

각 전자 장치(100-1 ~ 100-n)는 입력된 정보를 동형 암호화하여, 동형 암호문을 제1 서버 장치(200)로 전송할 수 있다. 이때, 각 전자 장치(100-1 ~ 100-n)는 입력된 정보(즉, 메시지)를 다항식 형태로 변환하고(즉, 인코딩을 수행하고), 다항식 형태로 변환된 메시지를 기설정된 공개 키(또는 비밀 키)로 암호화하여 동형 암호문을 생성할 수 있다. 여기서 공개 키는 비밀 키를 이용하여 생성될 수 있다. 그리고 비밀 키는 복수의 항(term)을 갖는 다항식(polynomial)으로 표현되고, 복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 저장되어 있을 수 있다. 구체적인 인코딩 및 암호화 동작은 도 2 및 도 3을 참조하여 후술한다.

각 전자 장치(100-1 ~ 100-n)는 동형 암호화를 수행하는 과정에서 산출되는 암호화 노이즈, 즉, 에러를 암호문에 포함시킬 수 있다. 구체적으로는, 각 전자 장치(100-1 ~ 100-n)에서 생성하는 동형 암호문은, 추후에 비밀 키를 이용하여 복호화하였을 때 메시지 및 에러 값을 포함하는 결과 값이 복원되는 형태로 생성될 수 있다.

일 예로, 전자 장치(100-1 ~ 100-n)에서 생성하는 동형 암호문은 비밀 키를 이용하여 복호화 하였을 때 다음과 같은 성질을 만족하는 형태로 생성될 수 있다.

[수학식 1]

Dec(ct, sk) = <ct, sk> = M+e(mod q)

여기서 ct는 암호문, sk는 비밀 키, Dec(ct, sk)는 비밀 키(sk)를 이용한 암호문(ct)에 대한 복호화 동작, < , >는 내적 연산(usual inner product), M은 평문 메시지, e는 암호화 에러 값, mod q는 암호문의 모듈러스(Modulus)를 의미한다. q는 스케일링 팩터(scaling factor)(Δ)가 메시지에 곱해진 결과 값 M보다 크게 선택되어야 한다. 에러 값 e의 절대값이 M에 비해서 충분히 작다면, 암호문의 복호화 값 M+e 는 유효숫자연산에서 원래의 메시지를 동일한 정밀도로 대체할 수 있는 값이다. 복호화된 데이터 중에서 에러는 최하위 비트(LSB) 측에 배치되고, M은 에러와 인접하게 차하위 비트 측에 배치될 수 있다.

메시지의 크기가 너무 작거나 너무 큰 경우, 스케일링 팩터를 이용하여 그 크기를 조절할 수도 있다. 스케일링 팩터를 사용하게 되면, 정수 형태의 메시지뿐만 아니라 실수 형태의 메시지까지도 암호화할 수 있게 되므로, 활용성이 크게 증대할 수 있다. 또한, 스케일링 팩터를 이용하여 메시지의 크기를 조절함으로써, 연산이 이루어지고 난 이후의 암호문에서 메시지들이 존재하는 영역, 즉, 유효 영역의 크기도 조절될 수 있다.

실시 예에 따라, 암호문 모듈러스 q는 다양한 형태로 설정되어 사용될 수 있다. 일 예로, 암호문의 모듈러스는 스케일링 팩터 Δ의 지수승 q=Δ^L 형태로 설정될 수 있다. Δ가 2라면, q=2¹⁰ 과 같은 값으로 설정될 수 있다.

제1 서버 장치(200)는 수신된 동형 암호문을 복호화하지 않고, 암호문 상태로 저장할 수 있다.

제2 서버 장치(300)는 동형 암호문에 대한 특정 처리 결과를 제1 서버 장치(200)로 요청할 수 있다. 제1 서버 장치(200)는 제2 서버 장치(300)의 요청에 따라 특정 연산을 수행한 후, 그 결과를 제2 서버 장치(300)로 전송할 수 있다.

일 예로, 두 개의 전자 장치(100-1, 100-2)가 전송한 암호문 ct1, ct2가 제1 서버 장치(200)에 저장된 경우, 제2 서버 장치(300)는 두 전자 장치(100-1, 100-2)로부터 제공된 정보들을 합산한 값을 제1 서버 장치(200)로 요청할 수 있다. 제1 서버 장치(200)는 요청에 따라 두 암호문을 합산하는 연산을 수행한 후, 그 결과 값(ct1 + ct2)을 제2 서버 장치(300)로 전송할 수 있다.

동형 암호문의 성질상, 제1 서버 장치(200)는 복호화를 하지 않은 상태에서 연산을 수행할 수 있고, 그 결과 값도 암호문 형태가 된다. 본 개시에서는 연산에 의해 획득된 결과값을 연산 결과 암호문이라 한다.

그리고 제1 서버 장치(200)는 연산 결과 암호문을 제2 서버 장치(300)로 전송할 수 있다.

제2 서버 장치(300)는 수신된 연산 결과 암호문을 복호화하여, 각 동형 암호문들에 포함된 데이터들의 연산 결과값을 획득할 수 있다. 예를 들어, 제2 서버 장치(300)는 수신된 연산 결과 암호문을 복호화하여 다항식 형태의 값을 갖는 근사 메시지를 생성하고(즉, 복호화를 수행하고), 생성된 다항식 형태의 근사 메시지를 디코딩하여 근사 메시지를 생성할 수 있다. 구체적인 복호화 및 디코딩 동작에 대해서는 도 2 및 도 3을 참조하여 후술한다.

제1 서버 장치(200)는 사용자 요청에 따라 연산을 수차례 수행할 수 있다. 이 경우, 매번 연산마다 획득되는 연산 결과 암호문 내의 근사 메시지 비중이 달라질 수 있다. 제1 서버 장치(200)는 근사 메시지 비중이 임계치를 초과하면, 재부팅(Bootstrapping) 동작을 수행할 수 있다. 이와 같이 제1 서버 장치(200)는 연산 동작을 수행할 수 있다는 점에서, 연산 장치라 지칭될 수도 있다.

구체적으로는, 상술한 수학식 1에서 q가 M보다 작다면 M+e(mod q)는 M+e와 다른 값을 가지므로 복호화가 불가능해진다. 따라서, q 값은 항상 M보다 크게 유지되어야 한다. 하지만, 연산이 진행됨에 따라 q 값은 점차 감소하게 된다. 따라서, q 값이 항상 M보다 크도록 변화시키는 동작이 필요하며, 이러한 동작을 재부팅 동작이라 한다. 이와 같은 재부팅 동작이 수행됨에 따라 암호문은 다시 연산할 수 있는 상태가 될 수 있다. 구체적인 재부팅 동작은 도 6을 참조하여 후술한다.

한편, 도 1에서는 제1 전자 장치 및 제2 전자 장치에서 암호화를 수행하고, 제2 서버 장치가 복호화를 수행하는 경우를 도시하였으나, 반드시 이에 한정되는 것은 아니다.

도 2는 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타낸 블럭도이다.

구체적으로, 도 1의 시스템에서 제1 전자 장치, 제2 전자 장치 등과 같이 동형 암호화를 수행하는 장치, 제1 서버 장치 등과 같이 동형 암호문을 연산하는 장치, 제2 서버 장치 등과 같이 동형 암호문을 복호하는 장치 등을 연산 장치라고 지칭할 수 있다. 이러한 연산 장치는 PC(Personal computer), 노트북, 스마트폰, 태블릿, 서버 등 다양한 장치일 수 있다.

도 2를 참조하면, 연산 장치(400)는 통신 장치(410), 메모리(420), 디스플레이(430), 조작 입력 장치(440) 및 프로세서(450)를 포함할 수 있다.

통신 장치(410)는 연산 장치(400)를 외부 장치(미도시)와 연결하기 위해 형성되고, 근거리 통신망(LAN: Local Area Network) 및 인터넷망을 통해 외부 장치에 접속되는 형태뿐만 아니라, USB(Universal Serial Bus) 포트 또는 무선 통신(예를 들어, WiFi 802.11a/b/g/n, NFC, Bluetooth) 포트를 통하여 접속되는 형태도 가능하다. 이러한 통신 장치(410)는 송수신부(transceiver)로 지칭될 수도 있다.

통신 장치(410)는 공개 키를 외부 장치로부터 수신할 수 있으며, 연산 장치(400) 자체적으로 생성한 공개 키를 외부 장치로 전송할 수 있다. 여기서 공개 키는, 복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 포함하는 비밀 키에 대한 정보를 이용하여 산출된 것일 수 있다.

그리고 통신 장치(410)는 외부 장치로부터 메시지를 수신할 수 있으며, 생성한 동형 암호문을 외부 장치로 송신할 수 있다.

또한, 통신 장치(410)는 암호문 생성에 필요한 각종 파라미터를 외부 장치로부터 수신할 수 있다. 한편, 구현시에 각종 파라미터는 후술하는 조작 입력 장치(440)를 통하여 사용자로부터 직접 입력받을 수 있다.

또한, 통신 장치(410)는 외부 장치로부터 동형 암호문에 대한 연산을 요청받을 수 있으며, 그에 따라 계산된 결과를 외부 장치에 전송할 수 있다.

또한, 통신 장치(410)는 동형 암호문을 수신할 수도 있다.

메모리(420)는 연산 장치(400)를 구동하기 위한 O/S나 각종 소프트웨어, 데이터 등을 저장하기 위한 구성요소이다. 메모리(420)는 RAM이나 ROM, 플래시 메모리, HDD, 외장 메모리, 메모리 카드 등과 같은 다양한 형태로 구현될 수 있으며, 어느 하나로 한정되는 것은 아니다.

메모리(420)는 암호화할 메시지를 저장할 수 있다. 여기서 메시지는 사용자가 각종 인용한 각종 신용 정보, 개인 정보 등일 수 있으며, 연산 장치(400)에서 사용되는 위치 정보, 인터넷 사용 시간 정보 등 사용 이력 등과 관련된 정보일 수도 있다.

그리고 메모리(420)는 공개 키를 저장할 수 있으며, 연산 장치(400)가 직접 공개 키를 생성한 장치인 경우, 비밀 키뿐만 아니라, 공개 키 및 비밀 키 생성에 필요한 각종 파라미터, 다항식 분포값 등을 저장할 수 있다.

이때, 메모리(420)는 비밀 키를 double CRT(Chinese Remainder Theorem) 형태로 저장하거나, 본 개시에 따른 비밀 키에 대한 정보 형태로 저장할 수 있다. 여기서 비밀 키에 대한 정보 형태는 다항식 내의 값을 갖는 항 각각의 차수와 계수를 순서쌍 정보(ex (d₁, t₁), …,(d_h, t_h))로 저장하는 것이다. 만약 비밀 키가 기설정된 개수의 항(예를 들어, 64=2⁶)만으로 구성되고, N=2¹⁷라면, 비밀 키의 정보는 144 byte 정도 크기만을 갖게 된다.

또한, 공개키 암호화 승수 랜덤 다항식(v(x))에 대해서도 double CRT 형태로 저장하거나, 다항식을 구성하는 항 각각의 차수와 계수 정보를 순서쌍 형태로 저장할 수도 있다. 여기서 공개키 암호화 승수 랜덤 다항식에 대해서는 암호문 생성 동작에서 후술한다.

그리고 메모리(420)는 후술한 과정에서 생성된 동형 암호문을 저장할 수 있다. 그리고 메모리(420)는 동형 암호문의 생성 과정의 중간 데이터(예를 들어, 메시지 벡터, 다항식 형태의 메시지 등)을 저장할 수 있다.

그리고 메모리(420)는 외부 장치에서 전송한 동형 암호문을 저장할 수도 있다. 또한, 메모리(420)는 후술하는 연산 과정에서의 결과물인 연산 결과 암호문을 저장할 수도 있다.

그리고 메모리(420)는 동형 암호문에 대한 복호 결과 값인 근사 메시지를 저장할 수 있다. 그리고 메모리(420)는 동형 암호문의 복호화 과정에서의 중간 데이터(예를 들어, 벡터 형태의 근사 메시지, 다항식 형태의 근사 메시지 등)을 저장할 수 있다.

디스플레이(430)는 연산 장치(400)가 지원하는 기능을 선택받기 위한 사용자 인터페이스 창을 표시할 수 있다. 예를 들어, 디스플레이(430)는 연산 장치(400)가 제공하는 각종 기능을 선택받기 위한 사용자 인터페이스 창을 표시할 수 있다. 이러한 디스플레이(430)는 LCD(liquid crystal display), OLED(Organic Light Emitting Diodes) 등과 같은 모니터일 수 있으며, 후술할 조작 입력 장치(440)의 기능을 동시에 수행할 수 있는 터치 스크린으로 구현될 수도 있다.

디스플레이(430)는 비밀 키 및 공개 키 생성에 필요한 파라미터의 입력을 요청하는 메시지를 표시할 수 있다. 그리고 디스플레이(430)는 암호화 대상이 메시지를 선택을 요청하는 UI(User Interface)를 표시할 수 있다. 한편, 구현시에 암호화 대상은 사용자가 직접 선택할 수도 있고, 자동으로 선택될 수 있다. 즉, 암호화가 필요한 개인 정보 등은 사용자가 직접 메시지를 선택하지 않더라도 자동으로 설정될 수 있다.

조작 입력 장치(440)는 사용자로부터 연산 장치(400)의 기능 선택 및 해당 기능에 대한 제어 명령을 입력받을 수 있다. 예를 들어, 조작 입력 장치(440)는 사용자로부터 비밀 키 및 공개 키 생성에 필요한 파라미터를 입력받을 수 있다. 또한, 조작 입력 장치(440)는 사용자로부터 암호화될 메시지를 설정받을 수 있다.

프로세서(450)는 연산 장치(400) 내의 각 구성을 제어한다. 이러한 프로세서(450)는 CPU(central processing unit), ASIC(application-specific integrated circuit)과 같은 단일 장치로 구성될 수 있으며, CPU, GPU(Graphics Processing Unit) 등의 복수의 장치로 구성될 수도 있다.

프로세서(450)는 전송하고자 하는 메시지가 입력되면 메모리(420)에 저장한다. 프로세서(450)는 메모리(420)에 저장된 각종 설정 값 및 프로그램을 이용하여, 메시지를 동형 암호화할 수 있다. 이 경우, 공개 키가 사용될 수 있다.

프로세서(450)는 암호화를 수행하는데 필요한 공개 키를 자체적으로 생성하여 사용할 수도 있고, 외부 장치로부터 수신하여 사용할 수도 있다. 일 예로, 복호화를 수행하는 제2 서버 장치(300)가 공개 키를 다른 장치들에게 배포할 수 있다.

자체적으로 키를 생성하는 경우, 프로세서(450)는 Ring-LWE 기법을 이용하여 공개 키를 생성할 수 있다. 구체적으로 설명하면, 프로세서(450)는 먼저 각종 파라미터 및 링을 설정하여, 메모리(420)에 저장할 수 있다. 파라미터의 예로는 평문 메시지 비트의 길이, 공개 키 및 비밀 키의 크기 등이 있을 수 있다.

수학에서, 링(ring)은 덧셈 연산과 곱셈 연산이 주어져 있는 집합으로, 덧셈과 곱셈 각각에 대해 닫혀 있고 이 두 연산들 사이의 적절한 대수적인 관계가 만족되는 집합을 일컫는다. 링은 또한 환(環)이라고도 불릴 수 있다.

본 개시에서는 아래의 [수학식 2]로 주어진 링을 사용한다. 이 링은 계수가 Zq인 N-1 차 다항식들로 구성된 것으로 생각할 수 있다. [수학식 2]에서 "분모" 부분에 위치한 (Φ_2N(x))는 2N차 사이클로토믹 다항식 Φ_2N(x)으로부터 만들어진 아이디얼(ideal)을 의미하며, 이 뜻은 링의 원소들의 곱셈 과정에서 x^N 이 도출되는 경우 이를 -1 로 치환하겠다는 것이다.

[수학식 2]

한편, 상술한 수학식 2의 링은 평문 공간에서 복소수를 가질 수 있다. 한편, 동형 암호문에 대한 연산 속도를 향상하기 위하여, 상술한 링의 집합 중 평문 공간이 실수인 집합만을 이용할 수도 있다.

링이 설정되면, 프로세서(450)는 링으로부터 비밀 키(sk)를 산출할 수 있다.

[수학식 3]

sk = (1, s(x))

여기서, s(x)는 작은 계수로 랜덤하게 생성한 다항식을 의미하며, s(x) ← s₀ + s₁X + … + s_N-1X^N-1이고, s_i ∈ {-1, 0, 1}이고, s_i ≠ 0인 s_i의 개수는 최대 h개 일 수 있다. s(x)의 구체적인 산출 방법은 도 3과 관련하여 후술한다.

그리고 프로세서(450)는 링으로부터 제1 랜덤 다항식(a(x))을 산출할 수 있다. 제1 랜덤 다항식은 다음과 같이 표현될 수 있다.

[수학식 4]

또한, 프로세서(450)는 에러를 산출할 수 있다. 구체적으로, 프로세서(450)는 이산 가우시안 분포 또는 그와 통계적 거리가 가까운 분포로부터 에러를 추출할 수 있다. 이러한 에러는 다음과 같이 표현될 수 있다.

[수학식 5]

에러까지 산출되면, 프로세서(450)는 제1 랜덤 다항식 및 비밀 키에 에러를 모듈러 연산하여 제2 랜덤 다항식을 산출할 수 있다. 제2 랜덤 다항식은 다음과 같이 표현될 수 있다.

[수학식 6]

최종적으로 공개 키(pk)는 제1 랜덤 다항식 및 제2 랜덤 다항식을 포함하는 형태로 다음과 같이 설정된다.

[수학식 7]

상술한 키 생성 방법은 일 예에 불과하므로, 반드시 이에 한정되는 것은 아니며, 이 밖에 다른 방법으로 공개 키 및 비밀 키를 생성할 수도 있음은 물론이다.

한편, 프로세서(450)는 공개 키가 생성되면, 다른 장치들에 전송되도록 통신 장치(410)를 제어할 수 있다.

그리고 프로세서(450)는 메시지에 대한 동형 암호문을 생성할 수 있다. 이때, 프로세서(450)는 선행적으로 메시지를 다항식으로 변환하는 인코딩 동작을 수행할 수 있다. 이때, 프로세서(450)는 매장 함수(canonical embedding function)을 이용하여 메시지를 다항식 형태로 변환하는 인코딩을 수행할 수 있다. 한편, 상술한 인코딩 동작을 계산 과정이 아닌 슬롯 값을 다항식의 계수 값으로 그대로 이용하는 방식을 이용할 수 있다. 이러한 방식에 대해서는 도 5를 참조하여 후술한다.

그리고 프로세서(450)는 다항식 형태로 변환된 메시지를 다음과 같은 수학식 8을 이용하여 암호문을 생성할 수 있다.

[수학식 8]

여기서 v(x)는 공개키 암호화 승수 랜덤 다항식, b(x)는 제2 랜덤 다항식, △ 스케일 팩터, M은 메시지, e0(x), e1(x)는 다항식 형태의 에러, a(x)는 제1 랜덤 다항식이다. 상술한 v(x)는 복수의 항을 갖는 다항식으로, 복수의 항 각각의 차수와 계수 정보를 순서쌍 형태로 표현할 수도 있다.

이때, 프로세서(450)는 암호문의 길이를 스케일링 팩터의 크기에 대응되도록 생성할 수 있다.

암호화할 메시지는 외부 소스로부터 수신할 수도 있고, 단말 장치(100)에 직접 구비 또는 연결된 입력 장치로부터 입력될 수도 있다. 또한, 스케일링 팩터도 사용자가 직접 입력하거나, 다른 장치를 통해 제공받을 수도 있다. 예를 들어, 단말 장치(100)가 터치 스크린이나 키 패드를 포함하는 경우, 프로세서(450)는 사용자가 터치 스크린이나 키 패드를 통해 입력하는 데이터를 메모리(420)에 저장한 후, 암호화할 수 있다.

생성된 동형 암호문은 복호화하였을 때 메시지에 스케일링 팩터를 반영한 값에 에러를 더한 결과값으로 복원되는 형태가 될 수 있다. 스케일링 팩터는 사전에 입력되어 설정된 값을 그대로 사용할 수도 있다.

한편, 본 개시의 일 실시 예에 따르면, 패킹(packing)이 이루어질 수도 있다. 동형 암호화에서 패킹을 이용하게 되면, 다수의 메시지를 하나의 암호문으로 암호화하는 것이 가능해진다. 이 경우, 연산 장치(400)에서 암호문 간의 연산을 수행하게 되면, 결과적으로 다수의 메시지에 대한 연산이 병렬적으로 처리되므로 연산 부담이 많이 줄어들게 된다.

그리고 프로세서(450)는 동형 암호문이 생성되면 메모리(420)에 저장하거나, 사용자 요청 또는 기 설정된 디폴트 명령에 따라 동형 암호문을 다른 장치에 전송하도록 통신 장치(410)를 제어할 수 있다.

그리고 프로세서(450)는 동형 암호문에 대한 복호가 필요한 경우, 동형 암호문에 비밀 키를 적용하여 다항식 형태의 복호문을 생성하고, 다항식 형태의 복호문을 디코딩하여 근사 메시지를 생성할 수 있다. 이때 생성한 근사 메시지는 앞서 설명한 수학식 1에서 언급한 바와 같이 최초 메시지에 에러가 추가된 형태일 수 있다. 구체적인 복호화 과정 및 디코딩 동작은 도 3을 참조하여 후술한다.

그리고 프로세서(450)는 암호문에 대한 연산을 수행할 수 있다. 구체적으로, 프로세서(450)는 동형 암호문에 대해서 암호화된 상태를 유지한 상태에서 덧셈 또는 곱셈 등의 연산을 수행할 수 있다. 구체적으로, 프로세서(450)는 연산에 사용될 동형 암호문 각각을 제1 함수 처리하고, 제1함수 처리된 동형 암호문 간에 덧셈 또는 곱셈 등의 연산을 수행하고, 연산 수행된 동형 암호문을 제1 함수에 역함수인 제2 함수 처리할 수 있다. 이러한 제1 함수 처리 및 제2 함수 처리는 후술한 재부팅 과정에서의 선형 변환 기술이 이용될 수 있다. 또는 상술한 함수 처리는 계산 과정이 아닌, 암호문의 슬롯 값을 다항식의 계수 값으로 그대로 이용하거나, 다항식의 계수 값을 슬롯 값으로 그대로 이용하는 방식이 이용될 수도 있다.

한편, 연산 장치(400)는 연산이 완료되면, 연산 결과 데이터로부터 유효 영역의 데이터를 검출할 수 있다. 구체적으로, 연산 장치(400)는 연산 결과 데이터를 라운딩 처리를 수행하여 유효 영역의 데이터를 검출할 수 있다. 라운딩 처리란 암호화된 상태에서 메시지의 반올림(round-off)을 진행하는 것을 의미하며, 다르게는 리스케일링(rescaling)이라고 할 수도 있다. 구체적으로는, 연산 장치(400)는 암호문 각각의 성분에 스케일링 인수의 역수인 Δ^-1을 곱하고 반올림하여, 노이즈 영역을 제거한다. 노이즈 영역은 스케일링 팩터의 크기에 대응되도록 결정될 수 있다. 결과적으로 노이즈 영역이 제외된 유효 영역의 메시지를 검출할 수 있다. 암호화 상태에서 진행되므로 추가적인 에러가 발생하지만 크기는 충분히 작으므로 무시할 수 있다.

또한, 연산 장치(400)는 연산 결과 암호문 내의 근사 메시지 비중이 임계치를 초과하면, 암호문에 대한 재부팅 동작을 수행할 수 있다.

이상과 같이 본 개시에 따른 연산 장치는 비밀 키를 매우 작은 크기로 표현 가능한 바, 비밀 키에 대한 저장 공간을 줄일 수 있다. 또한, 암호화 시에 공개키 암호화 승수 랜덤 다항식도 매우 작은 크기로 표현 가능한바, 작은 저장 공간으로 암호화 동작을 수행할 수 있다.

한편, 도 1 및 도 2를 도시하고 설명함에 있어서, 하나의 장치에서 암호화 동작 즉 인코딩 및 암호화 동작 모두를 수행하는 것으로 도시하고 설명하였지만, 구현시에 하나의 장치에서 인코딩 동작만을 수행하고, 다른 장치에서 인코딩 결과를 수신하여 암호화를 수행할 수도 있다. 또한, 복호화 과정에서도 하나의 장치에서 복호화 동작 및 디코딩 동작 모두를 수행할 수도 있으며, 두 개의 장치에서 개별적으로 복호화 동작, 디코딩 동작을 수행할 수도 있다.

또한, 도 1 및 도 2를 도시하고 설명함에 있어서, 비대칭형 암호 방식(즉, 비밀 키 및 공개 키)을 이용하는 것으로 설명하였지만, 구현시에는 대칭형 암호 방식으로 암호화, 복호화 동작을 수행할 수도 있다.

도 3은 근사 동형 암호문의 생성 및 복호 동작을 설명하기 위한 도면이다.

도 3을 참조하면, 프로세서(450)는 인코딩 모듈(451), 암호화 모듈(453), 복호화 모듈(455), 디코딩 모듈(457)을 포함할 수 있다.

본 개시에서 생성하는 동형 암호문은 암호화된 상태에서, 덧셈, 뺄셈, 곱셈 및 나눗셈의 사칙연산이 가능하다. 이러한 동형 암호문은 암호화된 상태에서 연산할 수 있는 장점이 있지만, 평문을 연산하는 것보다는 느리다.

느린 연산 속도를 극복하기 위하여, FRNS(Full Residue Number System) 형태로 데이터를 저장하는데, 이하에서는 FRNS 이용한 암호화 및 복호화 동작을 설명한다.

FRNS 방식은 중국인 나머지 정리(Chinese Remainder Theorem, CRT) 와 NTT(Number Theoretic Transformation)을 이용하여 곱셈을 비롯한 각종 연산을 빠르게 할 수 있는 방식이다. 이중 CRT는 큰 수를 여러 개의 작은 수로, 반대로 여러 개의 작은 수를 큰 수로 바꿔 저장하는 방식이며, CRT는 아래와 같은 수학식 9를 만족하며, 일대일 대응되어 상호 복구할 수 있다.

[수학식 9]

여기서,

이다.

위에 내용을 다항식 계수에 적용하면, 아래의 수학식 10과 같이 다항식 공간까지 확장이 가능하다.

[수학식 10]

여기서,

이고,

이다.

이러한 FRNS 방식에서의 암호화는 크게 메시지를 평문 공간으로 전환하는 작업(즉, 인코딩 동작)과 암호문을 생성하는 작업(암호화 동작)으로 나눌수 있다.

인코딩 모듈(451)은 메시지를 입력받으면, 수신된 메시지를 다항식 형태로 변환하여 출력할 수 있다. 예를 들어, 인코딩 모듈(451)은 복소수의 벡터 타입의 메시지 m이 있을 때, 특정 함수를 통해 평문 공간의 m(x)로 변환할 수 있다. 여기서 다항식 형태의 메시지를 출력한다는 것은 이중 CRT 형식(double CRT representation)으로 출력한다는 것을 의미할 수 있다.

그리고 특정 함수는 복소수 형태의 N/2차 메시지 벡터에서 다항식 공간의 평문 공간으로 대응시킬 수 있는 함수이다. 한편, 구현시에는 상술한 특정 함수를 이용하지 않고, 메시지의 값(원소 값)을 그대로 다항식의 계수로 이용할 수도 있다. 이에 대해서는 도 4를 참조하여 후술한다.

만약, 메시지에 대한 스케일링 팩터를 입력받으면, 인코딩 모듈(451)은 아래의 수학식 11과 같은 다항식을 출력할 수 있다.

[수학식 11]

여기서

로, 벡터 형태의 메시지일 수 있다. 그리고 m(x)는 다항식 형태의 메시지로, 예를 들어, m(X) = m₀ + m₁ X + … + m_N-1 X ^N-1 형태로, m_i ∈[0, q-1]인 정수이다. 이러한 값들은 계수의 벡터(m₀, m₁, …, m_N-1)로 표현될 수 있다.

한편, 이상에서는 하나의 메시지만을 하나의 다항식으로 변환하였지만, 구현시에는 복수의 메시지는 하나의 다항식으로 변환할 수 있다. 이러한 동작을 패킹(packing)이라고 지칭할 수 있다.

동형 암호화에서 패킹을 이용하게 되면, 다수의 메시지를 하나의 암호문으로 암호화하는 것이 가능해진다. 이 경우, 연산 장치(400)에서 각 암호문들 간의 연산을 수행하게 되면, 결과적으로 다수의 메시지에 대한 연산이 병렬적으로 처리되므로 연산 부담이 크게 줄어들게 된다.

예를 들어, 메시지가 복수의 메시지 벡터로 이루어지는 경우, 인코딩 모듈(451)은 복수의 메시지 벡터를 병렬적으로 암호화할 수 있는 형태의 다항식으로 변환한 후 동형 함호화를 수행할 수 있다.

그리고 암호화 모듈(453)은 다항식 형태의 메시지를 수신하고, 수신한 메시지에 공개 키를 반영하여 동형 암호문을 생성할 수 있다. 예를 들어, 암호화 모듈(453)은 공개 키 (a(x), b(x))가 주어져 있을 때, 다항식 m(x)을 사용하여 아래의 수학식 12와 같이 계산하여 암호문 ct(x)를 생성할 수 있다.

[수학식 12]

여기서 v(x)는 공개키 암호화 승수 랜덤 다항식으로, 이중 CRT 형식으로 표현될 수 있으며, 항 개수에 대응되는 차수 및 계수의 순서쌍으로 표현될 수도 있다. SampleZO(ρ) 는 계수가 1-ρ의 확률로 0이 선택되고 각각 ρ/2 확률로 1 또는 -1이 선택되어 만들어지는 다항식 분포이다. 그리고 ct(x)는 다항식 형태의 암호문, a(x)는 제1 랜덤 다항식, b(x) 제2 랜덤 다항식, e₁(x), e₂(x)는 다항식 형태의 에러이다.

한편, 동형 암호문에 대한 복호화 동작 역시 두 부분으로 나눌 수 있는데, 하나는 메시지 다항식을 구하는 작업과 메시지로 전환하는 작업이다. 먼저, 메시지 다항식을 구하는 동작에 대해서 복호화 모듈(455)을 이용하여 먼저 설명한다.

복호화 모듈(455)은 암호문과 비밀 키를 입력받아, 암호문을 복호화하여 에러를 포함하는 다항식 형태의 메시지(이하, 근사 메시지)를 출력할 수 있다. 구체적으로, 복호화 모듈(455)은 입력된 암호문이 (c₁(x), c₂(x))이 주어졌을 때, c₂(x) + c₂(x)·s(x)을 통해 메시지 다항식 m(x)를 구할 수 있다.

여기서 s(x)는 비밀 키로, 해밍 무게(Hamming weight)를 사용하여 샘플링할 수 있다. 예를 들어, 아래의 수학식 13과 같은 방식으로 생성될 수 있으며, h개의 1 또는 -1을 샘플링하여 임의의 계수에 대입하고, 나머지 계수는 0으로 설정할 수 있다.

[수학식 13]

이와 같이 비밀 키를 double CRT로 표현하지 않고, 각각의 항에 대한 계수의 값과 위치만을 이용하여 저장한다면, h·(1 + log N) bit만이 필요로 한다. 정확하게 표현하면, s(x)를 h개의 순서쌍 (d₁, t₁), …, (d_h, t_h)로 표현할 수 있으며, 차수 d_i는 d₁<d₂<…<d_h를 만족하도록 한다. 그리고 s(x)는

로 복원될 수 있다. d_i를 표현하기 위해 log N 비트, t_i 표현은 1비트가 필요하다. 통상적으로 h는 2⁶, N은 2¹⁷ 정도 사용하므로, 종래에는 수 MB 공간이 필요하나, 개선된 방식으로 비밀 키를 표현하는 경우에는 144 byte 정도의 공간만이 필요하다.

한편, 복호화 모듈(455)에서 출력되는 메시지는 다항식 형태의 메시지인 바, 디코딩 모듈(457)에서 복호화 모듈(455)에서 출력된 메시지와 스케일링 팩터에 기초하여 메시지를 최종 출력할 수 있다. 예를 들어, 인코딩 과정에서 사용한 특정 함수에 대응되는 역함수를 이용하여 m(x)에서 m를 복구할 수 있다.

상술한 바와 같이 FRNS 방식을 이용하여 동형 암호문을 암호화 또는 복호화를 수행하는 경우, 작은 모듈러스 공간에서 연산하고 병렬처리할 수 있어 종래보다 빠른 연산이 가능하다.

하지만, 암호문의 크기와 복호화 시 사용되는 비밀 키의 크기는 사용하는 소수의 개수(nbr_of_prime)에 의존하기 때문에 최소 N×nbr_of_prime×64 bit 저장 공간이 요구된다. 여기서 64는 소프트웨어 구현시 사용하는 double-word 변수 크기이다.

다시 말해, 암호화 또는 복호화를 수행할 때, 해당 크기의 저장 공간과 메모리 공간이 필요함을 의미하며, PC와 같은 환경에서는 암호화 또는 복호화가 가능하나 핸드폰과 같은 제한된 저장 공간 및 메모리를 갖는 기기에서는 FRNS 방식으로 암호화 또는 복호화가 어렵다는 것을 의미한다.

따라서, 이하에서는 작은 메모리를 이용하여 암호화할 수 있는 방법을 도 4와 관련하여 설명하고, 복호화 할 수 있는 방법을 도 5를 참조하여 설명한다.

한편, 도시된 예에서, 프로세서(450)가 4개의 모듈 모두를 포함하는 것으로 도시하고 설명하였지만, 구현시에는 인코딩 모듈과 암호화 모듈만을 포함하거나, 복호화 모듈과 디코딩 모듈만을 포함할 수 있다. 또한, 구현시에는 4개의 모듈 중 어느 하나의 모듈만을 포함할 수도 있다.

도 4는 본 개시의 일 실시 예에 따른 암호화 동작을 설명하기 위한 도면이다.

도 4를 참조하면, 먼저 메시지를 입력받는다(S410). 여기서 메시지는 복소수의 벡터 타입의 메시지일 수 있다.

그리고 메시지를 다항식으로 변환할 수 있다. 구체적으로, 먼저, 입력된 메시지(u₀, u₁, …, u_N/2-1)를 비트-반전한 순서로 배치할 수 있다(S420). 이 과정은 마치 Cooley--Tukey FFT 과정에서 수행하는 과정과 유사하다. 즉 결과를

라 한다면

과 같이 대응될 수 있다.

그리고 정렬된 메시지의 원소로 다항식을 생성할 수 있다(S430). 예를 들어, 복소수의 벡터 타입의 메시지의 값들을 m(x)의 다항식 계수로 그대로 활용하여 다항식으로 변환할 수 있다. 이때, 메시지는 복소수이고, 다항식의 계수는 정수이기 때문에, 메시지의 값 m_j = α_j+β_j ·i에서 α_j, β_j를 반올림하여 다항식 계수에 대입할 수 있다.

한편, 기존의 FRNS 방식에서는 L개의 소수를 사용하여 큰 모듈러스 값의 평문 공간에 있던 평문 다항식을 쪼개서 저장하였으나, 본 방식에서는 단 하나의 소수만 사용하여 평문 다항식을 변환할 수 있다.

이와 같은 방식은 기존의 암호화 방법이 가장 높은 레벨에 있는 암호문을 만드는 것임에 비하여 제안하는 방법은 가장 낮은 레벨에 있는 암호문을 만드는 것이라고 표현할 수 있다. 여기서 레벨은 만들어진 암호문을 이용하여 재부팅 연산 없이 추가적으로 수행할 수 있는 multiplicative circuit depth를 의미하며, 반복적으로 수행할 수 있는 남은 곱셈 횟수라고 생각할 수 있다.

이에 부가하여 가장 낮은 레벨에서 암호문을 만들면 추후 연산을 위해 재부팅 연산을 수행해야 하는데, 이 재부팅 연산에서 수행해야 할 과정을 암호화 과정에서 평문을 이용하여 미리 수행하여, 재부팅 비용을 획기적으로 줄일 수 있다.

그리고 다항식으로 변환된 메시지에 공개 키 및 공개키 암호화 승수 랜덤 다항식에 대한 정보를 이용하여 동형 암호문을 생성할 수 있다(S440). 예를 들어, 상술한 수학식 12를 이용하여 암호문을 생성할 수 있다.

이상과 같은 본 실시 예에 따른 암호화 방식은 평문 다항식을 하나의 소수만을 이용하여 다항식으로 변환하고, 낮은 저장 공간을 갖는 공개키 암호화 승수 랜덤 다항식(v(x))에 대한 정보를 이용하는바 메모리의 양이 줄어든다. 또한, 메시지에서 평문 공간으로 변환할 때 함수를 이용하지 않고 메시지의 값을 그대로 다항식의 계수로 이용하는바, 인코딩 시간을 상당히 줄일 수 있다.

또한, 하나의 소수만 사용하여 FRNS 형태로 저장하기 때문에 암호문의 크기가 │q₀│/│Q│ 비율로 줄일 수 있다. 구체적으로, 암호문의 크기가 2·N·log Q 비트에서 2·N·log q₀ 비트로 줄어들 수 있으며, 예를 들어, 일반적인 방식(N=2¹⁷, log Q = 1506, log q₀ =62인 경우)에서 암호문의 크기가 약 58MB 정도인 경우, 본 개시에 따른 암호문은 약 2MB 크기로 감소하게 된다.

도 5는 본 개시의 일 실시 예에 따른 복호화 동작을 설명하기 위한 도면이다.

도 5를 참조하면, 동형 암호문을 입력받을 수 있다(S610). 여기서 입력된 동형 암호문은 (c₁(x), c₂(x))와 같은 이중 CRT 표현되어 있을 수 있다.

그리고 비밀 키에 대한 정보를 이용하여 입력된 동형 암호문에 대한 근사 메시지를 출력할 수 있다. 구체적으로, 비밀 키가 복수의 항 각각의 차수 및 계수 정보로 구성되는 순서쌍으로 표현되는 경우, 동형 암호문을 iNTT(inverse Number Theoretic Transformation) 처리할 수 있다. 구체적으로, 본 개시에 따른 비밀 키에 대한 정보는 이중 CRT 형태가 아니나, 동형 암호문은 이중 CRT 형태라는 점에서, 비밀 키와 동형 암호문 간의 연산을 위하여 동형 암호문을 iNTT 처리를 수행할 수 있다.

여기서, iNTT는 NTT(Number Theroetic Transformation)의 역함수이고, NTT는 a.

에서 N개의 N차 근(root) 인 ω₀, ω₁, …,ω_N-1 을 s(x) 에 대입한 결과인 (s(ω₀ ),s(ω₁ ),…,s(ω_N-1 )∈

을 복호화 키로 갖고 있는 함수이다.

그리고 iNTT 처리된 동형 암호문과 비밀 키에 대한 정보를 연산하여 다항식 형태의 근사 메시지를 산출할 수 있다. 예를 들어, 도 4와 같은 방식으로 동형 암호문이 생성된 경우, 동형 암호문은(a(x), b(x)) ∈ R²q₀ 형태이며, 각 다항식은 계수의 벡터로 표현될 수 있다.

예를 들어, a(x) = a₀ +a₁·x +… +a_N-1·x^N-1 와 같이 표현될 수 있으며, (a₀, a₁,… , a_N-1) 형태로 저장할 수 있다. 이와 같이 계수로 암호문과 복호화 키(즉, 비밀 키)가 표현되는 경우, 복호화 수행시의 다항식 연산(b(x) + a(x)·s(x))은 다항식 곱셈 1회와 덧셈 1회가 필요하다. 한편, 비밀 키(s(x)의 계수는 -1, 0, 1 중 하나이므로, 다항식 곱셈은 매우 효율적으로 수행할 수 있다. 이에 대해서는 도 7 내지 도 10을 참조하여 후술한다.

그리고 산출된 다항식을 디코딩하여 근사 메시지를 산출할 수 있다(S530). 한편, 인코딩을 도 4에서 설명한 바와 같이 메시지의 원소 값을 다항식의 계수로 그대로 이용한 경우라면, 디코딩 동작도 계산 동작이 아니라 메시지 다항식 m(x)의 게수 값을 원소 값으로 갖는 근사 메시지를 생성할 수 있다.

그리고 산출된 근사 메시지(m)를 출력할 수 있다(S540).

이상과 같이 본 실시 예에 따른 복호화 방법은 이중 CRT 형태의 비밀 키를 이용하지 않고, 항의 차수와 계수에 대한 순서쌍에 대한 정보(즉, 비밀 키에 대한 정보)를 이용하는바 복호화에 필요한 정보의 저장 용량을 줄일 수 있다. 또한, 이러한 비밀 키의 계수가 -1, 0, 1의 값을 갖는다는 점을 이용하여 다항식 곱셈을 수행하는바 더욱 효율적인 연산이 가능하다.

도 6은 본 개시의 일 실시 예에 따른 재부팅 동작을 설명하기 위한 도면이다.

도 6을 참조하면, 먼저 동형 암호문을 수신한다(S610).

그리고 동형 암호문 내의 근사 메시지 비중이 임계치를 초과하는 지를 판단한다(S620). 구체적으로, 동형 암호문에 대한 연산 이전에 또는 연산 이후에 동형 암호문들 내의 근사 메시지 비중이 임계치를 초과하였는지 여부를 판단할 수 있다.

임계치를 초과하면, 재부팅 동작을 수행할 수 있다. 구체적으로, 수신된 동형 암호문을 다항식으로 변환할 수 있다. 예를 들어, 수신된 동형 암호문 내의 복수의 슬롯 값을 다항식의 복수의 계수 값으로 이용할 수 있다. 이때, 슬롯 값이 정수 값이 아니면, 반올림하여 정수 값으로 변환하여 계수 값으로 이용할 수 있다. 다만, 해당 암호문이 iFFT를 사용하지 않고 암호화된 암호문인 경우에는 다항식으로 변환하는 상술한 단계는 생략될 수 있다.

그리고 변환된 다항식을 모듈러스 연산할 수 있다(S630). 구체적으로, 동형 암호문의 모듈러스 값을 변환할 수 있다(q -> Q).

그리고 모듈러스 연산된 결과를 동형 암호문으로 변환할 수 있다(S640). 예를 들어, 모듈러스 연산된 결과 값인 다항식의 복수의 계수 값을 복수의 슬롯 값으로 갖는 동형 암호문을 출력할 수 있다. 즉, 다항식의 계수가 암호문의 내재 된 평문 메시지가 될 수 있다.

그리고 동형 암호문을 변환 전 모듈러스 값(q₀)으로 모듈러스 연산(mod q₀)을 수행할 수 있다(S650).

이상과 같이 본 개시에 따른 재부팅 방법은 암호문 내의 슬롯에 있는 평문 값을 계수로 보내는 작업을 암호화 과정 시에 수행하였기 때문에 일반적인 재부팅 방법에 비해 35% 이상 수행시간이 감소하는 효과가 있다.

도 7은 본 개시의 제1 실시 예에 따른 다항식 곱셈 동작을 설명하기 위한 도면이다. 그리고, 도 8은 도 7의 동작 알고리즘을 도시한 도면이다.

도 7 및 도 8은 벡터 크기를 늘려서 연산을 수행하는 다항식 곱셈 알고리즘으로, 이하에서는 long sum 방식이라고 지칭한다.

long sum 방식은 도시된 바와 같이, iNTT 처리된 동형 암호문의 배열 공간을 2배로 늘릴 수 있다. 예를 들어, 동형 암호문 b(x) = b₀ +b₁·x +… +b_N-1·x^N-1 는 N-1차 다항식으로 복호화 준비 단계를 거치면 계수들의 N 차원 벡터 (b₀, …, b_N-1)로 표현될 수 있다. 이러한 N 차원 벡터의 공간(또는 크기)을 2배로 늘리고, 늘어난 공간(구체적으로, 확장된 공간)에 0을 대입하여 새로운 벡터 B = (b₀, …, b_N-1, 0,…,,0)를 만들 수 있다.

그리고 차수 정보에 기초하여 나열된 계수 정보와 배열 공간이 늘려진 동형 암호문을 반복적으로 연산하되 계수 정보를 배열 공간이 늘려진 동형 암호문의 낮은 차수(degree)부터 단계적으로 시프트하여 다항식 형태의 근사 메시지를 산출하는 방식이다.

예를 들어, 순서쌍 (d₁, t₁), …, (dh, th) 의 형태로 저장되어 있는 비밀 키 다항식 s(x)를 다항식 a(x)에 곱하는 연산을 수행할 수 있다. 그리고 비밀 키의 정보 A = (a₀,…,a_N-1)를 도 7과 같이 d_i 만큼 자리 이동을 하여 벡터 B에 더하는 과정을 순서쌍의 개수(h) 만큼 반복할 수 있다. 더하는 연산 과정이 종료되면, 벡터 B의 늘어난 뒷부분은 -1을 곱한 뒤 앞 부분에 더해주어 a(x)·s(x) + b(x)의 계산을 완료할 수 있다.

해당 방식은 벡터 B의 크기를 늘려야 하므로 필요한 메모리의 공간이 N·log q₀ 비트 정도 증가된다. 하지만, 알고리즘 구현 과정에서 분기문의 사용을 최소화할 수 있어, 후술한 방식에 비하여 연산 속도에 이점이 있다.

도 9는 본 개시의 제2 실시 예에 따른 다항식 곱셈 동작을 설명하기 위한 도면이다. 그리고, 도 10은 도 9의 동작 알고리즘을 도시한 도면이다.

도 9 및 도 10은 구간을 나눠서 연산을 수행하는 다항식 곱셈 알고리즘으로, 이하에서는 Partwise sum 방식이라고 지칭한다.

먼저, Partwise sum 방식은 iNTT 처리된 동형 암호문의 배열 공간을 복수의 구간으로 n개로 나눈다. 여기서, n은 벡터를 몇 개의 구간으로 나누어 계산할지에 대한 파라미터로, n이 1이면 계수 벡터를 나누지 않고 통째로 계산하는 것이며, n이 2, 4인 경우 각각 전체를 두 구간, 네 구간으로 나누어 계산하는 것이다.

n은 N보다 작은 N의 약수로 정해질 수 있다. 이하에서는 간략한 설명을 위해 n=2로 가정한다. 이에 따라 나누어진 벡터는 각각 B₀ = (b₀, …, b_N/2-1)와 B₁ = (b_N/2, …, b_N-1)일 수 있다.

벡터가 복수개로 나눠지면, 복수의 구간 별로 iNTT 처리된 동형 암호문과 차수 정보에 기초하여 나열된 계수 정보와의 연산을 수행하여 다항식 형태의 근사 메시지를 산출할 수 있다. 이와 같이 나눠진 구간 별로 연산을 수행한다는 점에서, 연산 횟수는 증가하나, 한번 연산시에 작은 벡터만을 불러오면 되는바, 공간 사용량은 1/n로 감소하게 된다.

반복적으로, 다항식 a(x)를 표현하는 벡터 A = (a₀,…,a_N-1)를 매번 불러오고, 이 다항식에 s(x)를 곱하는 연산을 수행하여 b(x)의 부분 벡터 B_i에 해당하는 부분만 따로 떼어 더하여 최종 계산 a(x)·s(x)+b(x)의 i번째 부분 벡터를 얻을 수 있다. 실제 구현에는 벡터 A를 매번 불러올 필요없이 적절한 회전 연산을 통해 올바른 복호화를 수행할 수 있다.

앞선 Long Sum 방식과 마찬가지로, 계수 하나를 저장하거나 d_i와 t_i를 저장하는 데 k 비트가 사용되면, 위 방식의 메모리 소비량은 2×h×k (비밀 키) + N×k (벡터

) + (N/n)×k (부분 벡터 B_i)= ((1+1/n)×N + 2×h)×k 비트가 된다.

기존의 방식의 경우(2+L)×N×k 비트의 저장 공간이 필요한 것을 보았을 때 (L은 RNS 방식에 필요한 소수의 개수), 새로운 방식은 벡터 B를 나누는 개수 n이 늘어날수록 메모리 사용량이 감소하게 된다.

한편, 상술한 다양한 실시 예에 따른 암호문 처리 방법은 각 단계들을 수행하기 위한 프로그램 코드 형태로 구현되어, 기록 매체에 저장되고 배포될 수도 있다. 이 경우, 기록 매체가 탑재된 장치는 상술한 암호화 또는 암호문 처리 등의 동작들을 수행할 수 있다.

이러한 기록 매체는, ROM, RAM, 메모리 칩, 메모리 카드, 외장형 하드, 하드, CD, DVD, 자기 디스크 또는 자기 테이프 등과 같은 다양한 유형의 컴퓨터 판독 가능 매체가 될 수 있다.

이상 첨부 도면을 참고하여 본 개시에 대해서 설명하였지만 본 개시의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시 예 및/또는 도면에 제한되는 것으로 해석되어서는 안 된다. 그리고 특허청구범위에 기재된 개시의, 당업자에게 자명한 개량, 변경 및 수정도 본 개시의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.

100: 전자 장치 200: 제1 서버 장치
300: 제2 서버 장치 400: 연산 장치
410: 통신 장치 420: 메모리
430: 디스플레이 440: 조작 입력 장치
450: 프로세서

Claims (20)

1. 동형 암호문을 입력받는 단계; 및
   비밀 키에 대한 정보를 이용하여 상기 입력된 동형 암호문에 대한 근사 메시지를 출력하는 단계;를 포함하고,
   상기 비밀 키는,
   복수의 항(term)을 갖는 다항식(polynomial)으로 표현되고,
   상기 비밀 키에 대한 정보는,
   상기 복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 순서쌍 정보로 포함하며,
   상기 근사 메시지를 출력하는 단계는,
   상기 동형 암호문을 iNTT(inverse Number Theoretic Transformation) 처리하는 단계;
   상기 iNTT 처리된 동형 암호문과 상기 비밀 키에 대한 정보를 연산하여 다항식 형태의 근사 메시지를 산출하는 단계; 및
   상기 산출된 다항식 형태의 근사 메시지를 디코딩하여 상기 근사 메시지를 산출하는 단계;를 포함하는 동형 암호문 처리 방법.
2. 제1항에 있어서,
   상기 비밀 키는 64개의 항을 포함하고,
   상기 계수 정보는 1 또는 -1 값을 갖는 동형 암호문 처리 방법.
3. 제1항에 있어서,
   상기 비밀 키는,
   기설정된 링(ring)으로부터 마지막 소수(q₀)만을 이용하여 산출된 다항식인 동형 암호문 처리 방법.
4. 삭제
5. 제1항에 있어서,
   상기 다항식 형태의 근사 메시지를 산출하는 단계는,
   상기 iNTT 처리된 동형 암호문의 배열 공간을 2배로 늘리고, 상기 차수 정보에 기초하여 나열된 계수 정보와 상기 배열 공간이 늘려진 동형 암호문을 반복적으로 연산하되 상기 계수 정보를 상기 배열 공간이 늘려진 동형 암호문의 낮은 차수(degree)부터 단계적으로 시프트하여 상기 다항식 형태의 근사 메시지를 산출하는 동형 암호문 처리 방법.
6. 제1항에 있어서,
   상기 다항식 형태의 근사 메시지를 산출하는 단계는,
   상기 iNTT 처리된 동형 암호문의 배열 공간을 복수의 구간으로 나누고, 상기 복수의 구간 별로 상기 iNTT 처리된 동형 암호문과 상기 차수 정보에 기초하여 나열된 계수 정보와의 연산을 수행하여 상기 다항식 형태의 근사 메시지를 산출하는 동형 암호문 처리 방법.
7. 동형 암호문을 수신하는 단계;
   상기 수신된 동형 암호문을 다항식으로 변환하는 단계;
   상기 변환된 다항식을 모듈러스 연산하는 단계; 및
   상기 모듈러스 연산된 결과를 동형 암호문으로 변환하는 단계;를 포함하고,
   상기 다항식으로 변환하는 단계는,
   상기 수신된 동형 암호문 내의 복수의 슬롯 값을 상기 다항식의 복수의 계수 값으로 그대로 이용하는 동형 암호문 처리 방법.
8. 제7항에 있어서,
   상기 동형 암호문으로 변환하는 단계는,
   상기 모듈러스 연산된 결과인 다항식의 복수의 계수 값을 복수의 슬롯 값으로 갖는 동형 암호문을 출력하는 동형 암호문 처리 방법.
9. 제7항에 있어서,
   상기 다항식으로 변환하는 단계는,
   상기 동형 암호문 내의 근사 메시지 비중이 임계치를 초과하면 다항식으로 변환하는 동형 암호문 처리 방법.
10. 제7항에 있어서,
    상기 모듈러스 연산하는 단계는,
    상기 동형 암호문의 모듈러스 값을 변환하며,
    상기 변환된 동형 암호문을 변환 전 모듈러스 값으로 모듈러스 연산을 수행하는 단계;를 더 포함하는 동형 암호문 처리 방법.
11. 메시지를 입력받는 단계;
    상기 메시지를 다항식으로 변환하는 단계; 및
    상기 다항식으로 변환된 메시지, 공개 키 및 공개키 암호화 승수 랜덤 다항식에 대한 정보를 이용하여 동형 암호문을 생성하는 단계;를 포함하고,
    상기 공개키 암호화 승수 랜덤 다항식은,
    복수의 항(term)을 갖는 다항식(polynomial)으로 표현되고,
    상기 공개키 암호화 승수 랜덤 다항식에 대한 정보는,
    상기 복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 순서쌍 정보로 포함하며,
    상기 다항식으로 변환하는 단계는,
    상기 입력된 메시지의 원소 값을 상기 다항식의 복수의 계수 값으로 그대로 이용하는 동형 암호문 처리 방법.
12. 삭제
13. 제11항에 있어서,
    상기 다항식으로 변환하는 단계는,
    상기 메시지의 원소 값이 정수가 아니면 반올림하여 정수로 변환하고, 정수로 변환된 값을 상기 다항식의 계수 값으로 이용하는 동형 암호문 처리 방법.
14. 제11항에 있어서,
    상기 공개 키는,
    복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 순서쌍 정보로 포함하는 비밀 키에 대한 정보를 이용하여 산출된 동형 암호문 처리 방법.
15. 제14항에 있어서,
    상기 비밀 키는 64개의 항을 포함하고,
    상기 계수 정보는 1 또는 -1 값을 갖는 동형 암호문 처리 방법.
16. 제11항에 있어서,
    상기 동형 암호문을 생성하는 단계는,
    기설정된 링(ring)으로부터 마지막 소수(q₀)만을 이용하여 산출된 다항식으로 표현되는 동형 암호문을 생성하는 동형 암호문 처리 방법.
17. 연산 장치에 있어서,
    적어도 하나의 인스트럭션(instruction)을 저장하는 메모리; 및
    상기 적어도 하나의 인스트럭션을 실행하는 프로세서;를 포함하고,
    상기 프로세서는,
    상기 적어도 하나의 인스트럭션을 실행함으로써, 비밀 키에 대한 정보를 이용하여 동형 암호문에 복호화를 수행하고,
    상기 동형 암호문 내의 복수의 슬롯 값 각각을 계수 값으로 갖는 다항식으로 변환하고, 상기 변환된 다항식을 모듈러스 연산하고, 상기 모듈러스 연산된 다항식의 복수의 계수 값 각각을 슬롯 값으로 갖는 동형 암호문으로 변환하며,
    상기 비밀 키는,
    복수의 항(term)을 갖는 다항식(polynomial)으로 표현되고,
    상기 비밀 키에 대한 정보는,
    상기 복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 순서쌍 정보로 포함하는 연산 장치.
18. 제17항에 있어서,
    상기 비밀 키는 64개의 항을 포함하고,
    상기 계수 정보는 1 또는 -1 값을 갖는 연산 장치.
19. 삭제
20. 제17항에 있어서,
    상기 프로세서는,
    메시지를 다항식으로 변환하고, 상기 다항식으로 변환된 메시지, 공개 키 및 공개키 암호화 승수 랜덤 다항식에 대한 정보를 이용하여 동형 암호문을 생성하고,
    상기 공개키 암호화 승수 랜덤 다항식은,
    복수의 항(term)을 갖는 다항식(polynomial)으로 표현되고,
    상기 공개키 암호화 승수 랜덤 다항식에 대한 정보는,
    상기 복수의 항 각각의 차수(degree) 및 계수(coefficient) 정보를 순서쌍 정보로 포함하는 연산 장치.
    

Images