KR102382952B1 - 근사 계산에 대한 계산 검증 - Google Patents

근사 계산에 대한 계산 검증 Download PDF

Info

Publication number
KR102382952B1
KR102382952B1 KR1020200003240A KR20200003240A KR102382952B1 KR 102382952 B1 KR102382952 B1 KR 102382952B1 KR 1020200003240 A KR1020200003240 A KR 1020200003240A KR 20200003240 A KR20200003240 A KR 20200003240A KR 102382952 B1 KR102382952 B1 KR 102382952B1
Authority
KR
South Korea
Prior art keywords
value
polynomial function
arithmetic
external device
polynomial
Prior art date
Application number
KR1020200003240A
Other languages
English (en)
Other versions
KR20200087708A (ko
Inventor
천정희
김동우
박대준
Original Assignee
주식회사 크립토랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 크립토랩 filed Critical 주식회사 크립토랩
Priority to PCT/KR2020/000534 priority Critical patent/WO2020145759A1/ko
Priority to US17/422,278 priority patent/US20220092150A1/en
Publication of KR20200087708A publication Critical patent/KR20200087708A/ko
Application granted granted Critical
Publication of KR102382952B1 publication Critical patent/KR102382952B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/11Complex mathematical operations for solving equations, e.g. nonlinear equations, general mathematical optimization problems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Abstract

연산 방법이 개시된다. 본 연산 방법은 입력 값을 수신하는 단계, 유한환(finite commutative ring) 상에서 기설정된 산술 회로에 입력 값을 반영하여 출력 값 및 출력 값을 검증하기 위한 제1 다항 함수를 생성하는 단계, 및 생성된 출력 값 및 제1 다항 함수를 외부 장치에 전송하는 단계를 포함한다.

Description

근사 계산에 대한 계산 검증{VERIFIABLE COMPUTING FOR APPROXIMATE COMPUTATION}
본 개시는 근사 계산에 대한 계산 검증에 관한 것으로, 보다 상세하게는 다른 장치에서 수행된 근사 연산에 대한 계산 검증을 수행할 수 있는 방법 및 장치에 관한 것이다.
클라우드 컴퓨팅 기술의 발전으로 인해 데이터 및 데이터에 대한 계산을 제 3자에게 위탁하는 상황이 증가하고 있다. 그러나 제 3자에게 계산을 위탁했을 경우, 계산의 결과가 정확함을 확인하기 위해서는 직접 같은 계산을 수행해보아야 한다는 문제가 있었다.
이러한 문제를 해결하기 위해 최근 계산 이론 및 암호학 분야에서 계산검증기술(verifiable computing)이 개발되었다. 계산검증기술은 임의의 계산(혹은 계산 회로)을 고성능 장치에 요청하고, 이 고성능 장치가 연산을 수행하면, 수행한 연산 결과에 대한 정확성을 검증하는 기술이다.
계산검증기술을 이용하면, 계산을 위탁 받은자가 결과에 대한 증명을 생성하는 것이 가능하며, 계산의 정확성을 검증하고자 하는 사람은 이 증명을 통해 계산을 직접 수행할 때 보다 적은 계산량만을 소모하면서도 계산 결과의 정확성을 판단할 수 있다.
그러나 복잡한 계산, 특히 고정 소수점 연산(fixed point), 부동 소수점 연산(floating point)연산 등의 근사 연산에 대해서는 검증 효율성이 크게 떨어진다는 한계가 존재하였다.
따라서, 본 개시는 상술한 바와 같은 문제점을 해결하기 위하여 고안된 것으로, 다른 장치에서 수행된 근사 연산에 대한 계산 검증을 수행할 수 있는 근사 계산에 대한 계산 검증을 제공하는 데 있다.
본 개시는 이상과 같은 목적을 달성하기 위한 것으로, 본 개시 일 실시 예에 따른 연산 방법은 입력 값을 수신하는 단계, 유한환(finite commutative ring) 상에서 기설정된 산술 회로에 상기 입력 값을 반영하여 출력 값 및 상기 출력 값을 검증하기 위한 제1 다항 함수를 생성하는 단계, 및 상기 생성된 출력 값 및 상기 제1 다항 함수를 외부 장치에 전송하는 단계를 포함한다.
이 경우, 상기 입력 값 및 상기 출력 값 각각은, 동형 암호문일 수 있다.
한편, 본 연산 방법은 상기 유한환에서 랜덤하게 추출된 랜덤 값을 수신하는 단계, 상기 랜덤 값에 대한 연산 값 및 상기 연산 값을 검증하기 위한 제2 다항 함수를 생성하는 단계, 및 상기 생성된 연산 값 및 상기 제2 다항 함수를 상기 외부 장치에 전송하는 단계를 더 포함할 수 있다.
이 경우, 상기 유한환은 갈루아환일 수 있다.
한편, 상기 제1 다항 함수를 생성하는 단계 및 상기 제2 다항 함수를 생성하는 단계 각각은, n 변수 다항식을 이용하여 다항 함수를 생성할 수 있다.
한편, 상기 산술 회로는, 복수의 층으로 구성되며, 각 층은 덧셈 게이트 또는 곱셈 게이트 중 적어도 하나의 게이트를 포함하는 연산 회로일 수 있다.
또는 상기 산술 회로는 모듈러 연산과 하위 비트를 0으로 만드는 다항식 연산과 나누기 연산을 이용한 반올림 연산을 포함할 수 있다.
한편, 본 개시의 일 실시 예에 따른 연산 검증 방법은 입력 값을 외부 장치에 송신하는 단계, 유한환(finite commutative ring) 상에서 기설정된 산술 회로에 상기 입력 값을 반영하여 생성된 연산 결과 및 다항 함수를 수신하는 단계, 상기 수신된 다항 함수를 이용한 검증 연산을 수행하는 단계, 및 상기 수행된 검증 연산 결과와 상기 수신된 연산 결과를 이용하여 상기 외부 장치에서의 연산을 검증하는 단계를 포함할 수 있다.
이 경우, 본 연산 검증 방법은 상기 유한환에서 랜덤 값을 추출하는 단계, 상기 추출된 랜덤 값을 상기 외부 장치에 전송하는 단계를 더 포함할 수 있다.
이 경우, 상기 추출하는 단계는, 상기 유한환의 부분집합이며 서로 다른 두 수의 차이가 영인자(zero divisor)가 아닌 집합에서 랜덤 값을 추출할 수 있다.
이 경우, 상기 유한환은 갈루아환일 수 있다.
한편, 본 개시의 연산 검증 방법은 상기 전달된 랜덤 값에 대응되는 다항 함수를 수신하는 단계를 더 포함하고, 상기 검증하는 단계는, 상기 랜덤 값에 대응되는 다항 함수도 이용하여 상기 외부 장치에서의 연산을 검증할 수 있다.
한편, 본 개시의 일 실시 예에 따른 연산 장치는 입력 값을 수신하는 통신 장치, 적어도 하나의 인스트럭션(instruction)을 저장하는 메모리, 및 상기 적어도 하나의 인스트럭션을 실행하는 프로세서를 포함하고, 상기 프로세서는, 상기 적어도 하나의 인스트럭션을 수행함으로써, 유한환(finite commutative ring) 상에서 기설정된 산술 회로에 상기 입력 값을 반영하여 출력 값 및 상기 출력 값을 검증하기 위한 제1 다항 함수를 생성하고, 상기 생성된 출력 값 및 상기 제1 다항 함수를 외부 장치에 전송하도록 상기 통신 장치를 제어할 수 있다.
이 경우, 상기 프로세서는, 상기 외부 장치로부터 상기 유한환에서 추출된 랜덤 값을 수신하면, 상기 랜덤 값에 대한 연산 값 및 상기 연산 값을 검증하기 위한 제2 다항 함수를 생성하고, 상기 생성된 연산 값 및 상기 제2 다항 함수를 상기 외부 장치에 전송하도록 상기 통신 장치를 제어할 수 있다.
이 경우, 상기 프로세서는, n 변수 다항식을 이용하여 상기 제1 다항 함수 및 상기 제2 다항 함수를 생성하고, 상기 n 변수 다항식의 변수 개수에 대응되는 회수 만큼 계산 검증 동작을 수행할 수 있다.
한편, 상기 산술 회로는, 복수의 층으로 구성되며, 각 층은 덧셈 게이트 또는 곱셈 게이트 중 적어도 하나의 게이트를 포함하는 연산 회로일 수 있다.
또는 상기 산술 회로는, 모듈러 연산과 하위 비트를 0으로 만드는 다항식 연산과 나누기 연산을 이용한 반올림 연산을 포함할 수 있다.
한편, 상기 입력 값 및 상기 출력 값 각각은, 동형 암호문일 수 있다.
한편, 본 개시의 다른 실시 예에 따른 연산 장치는, 외부 장치와 통신을 수행하는 통신 장치, 적어도 하나의 인스트럭션(instruction)을 저장하는 메모리 및 상기 적어도 하나의 인스트럭션을 실행하는 프로세서를 포함하고, 상기 프로세서는, 상기 적어도 하나의 인스트럭션을 수행함으로써, 입력 값을 외부 장치에 송신하도록 상기 통신 장치를 제어하고, 유한환(finite commutative ring) 상에서 기설정된 산술 회로에 상기 입력 값을 반영하여 생성된 연산 결과 및 다항 함수를 수신하면, 상기 수신된 다항 함수를 이용한 검증 연산을 수행하고, 상기 수행된 검증 연산 결과와 상기 수신된 연산 결과를 이용하여 상기 외부 장치에서의 연산을 검증할 수 있다.
이 경우, 상기 프로세서는, 상기 유한환에서 랜덤 값을 추출하고 상기 추출된 랜덤 값을 상기 외부 장치에 전송하도록 상기 통신 장치를 제어할 수 있다.
이상과 같은 본 개시의 다양한 실시 예들에 따르면, 특히 고정 소수점 연산(fixed point), 부동 소수점 연산(floating point)연산 등의 근사 연산에 대해서도 효율적인 연산 및 검증이 가능하다.
도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구조를 설명하기 위한 도면,
도 2는 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타낸 블럭도,
도 3은 본 개시의 계산 검증 동작을 설명하기 위한 시퀀스도,
도 4는 본 개시의 논리 회로 설계 예를 도시한 도면,
도 5는 본 개시의 연산 방법 설명하기 위한 흐름도, 그리고,
도 6은 본 개시의 연산 검증 방법을 설명하기 위한 흐름도이다.
이하에서는 첨부 도면을 참조하여 본 개시에 대해서 자세하게 설명한다. 본 개시에서 수행되는 정보(데이터) 전송 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 개시 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 개시에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, 반드시 A로부터 B까지 직접 전송(전달) 또는 수신되는 것만을 표현하는 것은 아니다.
본 개시의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉, 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행단계로 설명된 과정보다 앞서서 수행되더라도 개시의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 "A 또는 B"라고 기재한 것은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 개시에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.
본 개시에서는 본 개시의 설명에 필요한 필수적인 구성요소만을 설명하며, 본 개시의 본질과 관계가 없는 구성요소는 언급하지 아니한다. 그리고 언급되는 구성요소만을 포함하는 배타적인 의미로 해석되어서는 안 되며 다른 구성요소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.
그리고 본 개시에서 "값"이라 함은 스칼라값뿐만 아니라 벡터, 다항식 형태도 포함하는 개념으로 정의된다.
후술하는 본 개시의 각 단계의 수학적 연산 및 산출은 해당 연산 또는 산출을 하기 위해 공지되어 있는 코딩 방법 및/또는 본 개시에 적합하게 고안된 코딩에 의해서 컴퓨터 연산으로 구현될 수 있다.
이하에서 설명하는 구체적인 수학식은 가능한 여러 대안 중에서 예시적으로 설명되는 것이며, 본 개시의 권리 범위가 본 개시에 언급된 수학식에 제한되는 것으로 해석되어서는 아니된다.
설명의 편의를 위해서, 본 개시에서는 다음과 같이 표기를 정하기로 한다.
a ← D : 분포(D)에 따라서 원소(a)를 선택함
s1, s2 ∈ R : S1, S2 각각은 R 집합에 속하는 원소이다.
mod(q) : q 원소로 모듈(modular) 연산
「-」 : 내부 값을 반올림함
이하에서는 첨부된 도면을 이용하여 본 개시의 다양한 실시 예들에 대하여 구체적으로 설명한다.
도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구조를 설명하기 위한 도면이다.
도 1을 참조하면, 네트워크 시스템은 복수의 전자 장치(100-1 ~ 100-n), 제1 서버 장치(200), 제2 서버 장치(300)를 포함할 수 있으며, 각 구성들은 네트워크(10)를 통해 서로 연결될 수 있다.
네트워크(10)는 다양한 형태의 유무선 통신 네트워크, 방송 통신 네트워크, 광통신 네트워크, 클라우드 네트워크 등으로 구현될 수 있으며, 각 장치들은 별도의 매개체 없이 와이파이, 블루투스, NFC(Near Field Communication) 등과 같은 방식으로 연결될 수도 있다.
도 1에서는 전자 장치가 복수개(100-1 ~ 100-n)인 것으로 도시하였으나, 반드시 복수개의 전자 장치가 사용되어야 하는 것은 아니며 하나의 장치가 사용될 수도 있다. 일 예로, 전자 장치(100-1 ~ 100-n)는 스마트폰, 태블릿, 게임 플레이어, PC, 랩톱 PC, 홈서버, 키오스크 등과 같은 다양한 형태의 장치로 구현될 수 있으며, 이밖에 IoT 기능이 적용된 가전 제품 형태로도 구현될 수 있다.
사용자는 자신이 사용하는 전자 장치(100-1 ~ 100-n)를 통해서 다양한 정보를 입력할 수 있다. 입력된 정보는 전자 장치(100-1 ~ 100-n) 자체에 저장될 수도 있지만, 저장 용량 및 보안 등을 이유로 외부 장치로 전송되어 저장될 수도 있다. 도 1에서 제1 서버 장치(200)는 이러한 정보들을 저장하는 역할을 수행하고, 제2 서버 장치(300)는 제1 서버 장치(200)에 저장된 정보의 일부 또는 전부를 이용하는 역할을 수행할 수 있다.
각 전자 장치(100-1 ~ 100-n)는 입력된 정보를 동형 암호화하여, 동형 암호문을 제1 서버 장치(200)로 전송할 있다.
각 전자 장치(100-1 ~ 100-n)는 동형 암호화를 수행하는 과정에서 산출되는 암호화 노이즈, 즉, 에러를 암호문에 포함시킬 수 있다. 예를 들어, 각 전자 장치(100-1 ~ 100-n)에서 생성하는 동형 암호문은, 추후에 비밀 키를 이용하여 복호화하였을 때 메시지 및 에러 값을 포함하는 결과 값이 복원되는 형태로 생성될 수 있다.
일 예로, 전자 장치(100-1 ~ 100-n)에서 생성하는 동형 암호문은 비밀 키를 이용하여 복호화 하였을 때 다음과 같은 성질을 만족하는 형태로 생성될 수 있다.
[수학식 1]
Dec(ct, sk) = <ct, sk> = M+e(mod q)
여기서 < , >는 내적 연산(usual inner product), ct는 암호문, sk는 비밀 키, M은 평문 메시지, e는 암호화 에러 값, mod q는 암호문의 모듈러스(Modulus)를 의미한다. q는 스케일링 팩터(scaling factor)(Δ)가 메시지에 곱해진 결과 값 M보다 크게 선택되어야 한다. 에러 값 e의 절대값이 M에 비해서 충분히 작다면, 암호문의 복호화 값 M+e 는 유효숫자연산에서 원래의 메시지를 동일한 정밀도로 대체할 수 있는 값이다. 복호화된 데이터 중에서 에러는 최하위 비트(LSB) 측에 배치되고, M은 차하위 비트 측에 배치될 수 있다.
메시지의 크기가 너무 작거나 너무 큰 경우, 스케일링 팩터를 이용하여 그 크기를 조절할 수도 있다. 스케일링 팩터를 사용하게 되면, 정수 형태의 메시지뿐만 아니라 실수 형태의 메시지까지도 암호화할 수 있게 되므로, 활용성이 크게 증대할 수 있다. 또한, 스케일링 팩터를 이용하여 메시지의 크기를 조절함으로써, 연산이 이루어지고 난 이후의 암호문에서 메시지들이 존재하는 영역, 즉, 유효 영역의 크기도 조절될 수 있다.
실시 예에 따라, 암호문 모듈러스 q는 다양한 형태로 설정되어 사용될 수 있다. 일 예로, 암호문의 모듈러스는 스케일링 팩터 Δ의 지수승 q=ΔL 형태로 설정될 수 있다. Δ가 2라면, q=210 과 같은 값으로 설정될 수 있다. 또는, q는 도 4에 도시된 바와 같이 일정 조건을 만족하는 2의 지수승의 조합으로 표현될 수 있다.
또 다른 예로, 암호문 모듈러스는 복수의 서로 다른 스케일링 팩터들을 곱한 값으로 설정될 수도 있다. 각 팩터들은 유사 범위 이내의 값, 즉, 서로 비슷한 크기의 값으로 설정될 수 있다. 예를 들어, q=q1 q2 q3 ··· qx로 설정될 수 있으며, q1, q2, q3 ,…, qx 각각은 스케일링 인수 Δ와 비슷한 크기이며 서로 소 관계의 값으로 설정될 수 있다.
한편, 각 전자 장치(100-1 ~ 100-n)는 복수의 정보를 하나의 동형 암호문으로 생성할 수 있다. 예를 들어, 전자 장치(100)는 GPS 정보, 사용자 ID 정보, 성별 정보 등 여러 정보를 저장할 수 있으며, 전자 장치(100)는 상술한 바와 같은 여러 정보를 패킹하여 하나의 동형 암호문으로 생성할 수 있다. 패킹 동작에 대해서는 후술한다.
제1 서버 장치(200)는 수신된 동형 암호문을 복호화하지 않고, 암호문 상태로 저장할 수 있다.
제2 서버 장치(300)는 동형 암호문에 대한 특정 처리 결과를 제1 서버 장치(200)로 요청할 수 있다. 제1 서버 장치(200)는 제2 서버 장치(300)의 요청에 따라 특정 연산을 수행한 후, 그 결과를 제2 서버 장치(300)로 전송할 수 있다.
일 예로, 두 개의 전자 장치(100-1, 100-2)가 전송한 암호문 ct1, ct2가 제1 서버 장치(200)에 저장된 경우, 제2 서버 장치(300)는 두 전자 장치(100-1, 100-2)로부터 제공된 정보들에 대한 기설정된 산술 회로 상의 계산을 제1 서버 장치(200)로 요청할 수 있다.
여기서 산술 회로는 덧셈 및 곱셈으로 구성된 연산 회로뿐만 아니라, 근사 연산을 위한 연산 회로일 수도 있다. 또한, 상술한 산술 회로는 덧셈 및 곱셈 게이트 중 적어도 하나를 포함하는 연산 층이 복수개로 구성된 회로 일 수 있다. 본 개시에 따른 산술 회로에 대해서는 도 4를 참조하여 후술한다.
제1 서버 장치(200)는 요청에 따라 해당 산술회로를 이용한 연산을 수행하고, 그 결과를 제2 서버 장치(300)에 전송할 수 있다. 이때, 제1 서버 장치(200)는 상술한 연산에 대한 검증을 위한 다항 함수를 생성할 수 있으며, 생성한 다항 함수를 제2 서버 장치(300)에 상술한 연산 결과와 함께 전송할 수 있다. 이러한 동작을 계산 검증 동작이라고 하며, 상술한 제1 서버 장치(200)는 증명자로서 동작할 수 있으며, 제2 서버 장치(300)는 검증자로서 동작할 수 있다. 보다 구체적인 계산 검증 동작은 도 3을 참조하여 후술한다.
한편, 도 1에서는 제1 전자 장치 및 제2 전자 장치에서 암호화를 수행하고, 제2 서버 장치가 복호화를 수행하는 경우를 도시하였으나, 이에 한정되는 것은 아니다.
도 2는 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타낸 블럭도이다.
예를 들어, 도 1의 시스템에서 제1 전자 장치, 제2 전자 장치 등과 같이 동형 암호화를 수행하는 장치, 제1 서버 장치 등과 같이 동형 암호문을 연산하는 장치, 제2 서버 장치 등과 같이 동형 암호문을 복호하는 장치 등을 연산 장치라고 지칭할 수 있다. 이러한 연산 장치는 PC(Personal computer), 노트북, 스마트폰, 태블릿, 서버 등 다양한 장치일 수 있다. 그리고 이러한 연산 장치는 후술하는 도 3과 같은 증명자의 기능을 수행하는 장치일 수 있으며, 검증자의 기능을 수행하는 장치일 수도 있다.
도 2를 참조하면, 연산 장치(400)는 통신 장치(410), 메모리(420), 디스플레이(430), 조작 입력 장치(440) 및 프로세서(450)를 포함할 수 있다.
통신 장치(410)는 연산 장치(400)를 외부 장치(미도시)와 연결하기 위해 형성되고, 근거리 통신망(LAN: Local Area Network) 및 인터넷망을 통해 외부 장치에 접속되는 형태뿐만 아니라, USB(Universal Serial Bus) 포트 또는 무선 통신(예를 들어, WiFi 802.11a/b/g/n, NFC, Bluetooth) 포트를 통하여 접속되는 형태도 가능하다. 이러한 통신 장치(410)는 송수신부(transceiver)로 지칭될 수도 있다.
통신 장치(410)는 공개 키를 외부 장치로부터 수신할 수 있으며, 연산 장치(400) 자체적으로 생성한 공개 키를 외부 장치로 전송할 수 있다.
그리고 통신 장치(410)는 외부 장치로부터 메시지를 수신할 수 있으며, 생성한 동형 암호문을 외부 장치로 송신할 수 있다.
또한, 통신 장치(410)는 암호문 생성에 필요한 각종 파라미터를 외부 장치로부터 수신할 수 있다. 한편, 구현시에 각종 파라미터는 후술하는 조작 입력 장치(440)를 통하여 사용자로부터 직접 입력받을 수 있다.
또한, 통신 장치(410)는 외부 장치로부터 동형 암호문에 대한 연산을 요청받을 수 있으며, 그에 따라 계산된 결과를 외부 장치에 전송할 수 있다. 여기서 요청받은 연산은 덧셈, 뺄셈, 곱셈(예를 들어, 모듈러 곱셈 연산)과 같은 연산일 수 있으며, 기설정된 산술 회로를 이용한 연산일 수도 있다. 또한, 통신 장치(410)는 동형 암호문에 대한 연산뿐만 아니라, 고정 소숫점과 같은 실수 입력 값에 대한 연산을 요청받을 수도 있다.
또한, 통신 장치(410)는 외부 장치에 연산 결과를 송신할 수 있다. 한편, 연산 장치(400)가 증명자로서 동작하는 경우, 통신 장치(410)는 연산 결과와 함께 해당 연산 결과를 검증하기 위한 다항 함수를 함께 외부 장치에 전송할 수 있다. 다항 함수는 합 검증 프로토콜(Sum-check protocol)을 이용한 검증에 사용되는 함수로, n 변수 다항식일 수 있다. 합 검증 프로토콜의 구체적인 동작은 후술한다.
한편, 연산 장치(400)가 검증자로 동작하는 경우, 통신 장치(410)는 연산에 이용될 동형 암호문을 전송하거나, 랜덤 값을 전송할 수 있으며, 전송된 동형 암호문에 대한 연산 결과를 수신하거나 랜덤 값에 대한 연산 결과와 다항 함수를 수신할 수 있다.
한편, 통신 장치(410)는 산술 회로를 수신할 수 있다. 이러한 산술 회로는 해당 산술 회로를 이용한 연산을 요청하는 장치로부터 연산 요청과 함께 수신될 수 있으며, 미리 수신하여 후술하는 메모리(420)에 저장되어 있을 수 있다.
메모리(420)에는 연산 장치(400)에 관한 적어도 하나의 인스트럭션(instruction)이 저장될 수 있다. 예를 들어, 메모리(420)에는 본 개시의 다양한 실시 예에 따라 연산 장치(400)가 동작하기 위한 각종 프로그램(또는 소프트웨어)이 저장될 수 있다.
이러한 메모리(420)는 RAM이나 ROM, 플래시 메모리, HDD, 외장 메모리, 메모리 카드 등과 같은 다양한 형태로 구현될 수 있으며, 어느 하나로 한정되는 것은 아니다.
메모리(420)는 암호화할 메시지를 저장할 수 있다. 여기서 메시지는 사용자가 각종 인용한 각종 신용 정보, 개인 정보 등일 수 있으며, 연산 장치(400)에서 사용되는 위치 정보, 인터넷 사용 시간 정보 등 사용 이력 등과 관련된 정보일 수도 있다.
그리고 메모리(420)는 공개 키를 저장할 수 있으며, 연산 장치(400)가 직접 공개 키를 생성한 장치인 경우, 비밀 키뿐만 아니라, 공개 키 및 비밀 키 생성에 필요한 각종 파라미터를 저장할 수 있다.
그리고 메모리(420)는 후술한 과정에서 생성된 동형 암호문을 저장할 수 있다. 그리고 메모리(420)는 외부 장치에서 전송한 동형 암호문을 저장할 수도 있다. 또한, 메모리(420)는 후술하는 연산 과정에서의 결과물인 연산 결과 암호문을 저장할 수도 있다.
그리고 메모리(420)는 연산에 사용될 산술 회로를 저장할 수 있다.
디스플레이(430)는 연산 장치(400)가 지원하는 기능을 선택받기 위한 사용자 인터페이스 창을 표시한다. 예를 들어, 디스플레이(430)는 연산 장치(400)가 제공하는 각종 기능을 선택받기 위한 사용자 인터페이스 창을 표시할 수 있다. 이러한 디스플레이(430)는 LCD(liquid crystal display), OLED(Organic Light Emitting Diodes) 등과 같은 모니터일 수 있으며, 후술할 조작 입력 장치(440)의 기능을 동시에 수행할 수 있는 터치 스크린으로 구현될 수도 있다.
디스플레이(430)는 비밀 키 및 공개 키 생성에 필요한 파라미터의 입력을 요청하는 메시지를 표시할 수 있다. 한편, 구현시에 암호화 대상은 사용자가 직접 선택할 수도 있고, 자동으로 선택될 수 있다. 즉, 암호화가 필요한 개인 정보 등은 사용자가 직접 메시지를 선택하지 않더라도 자동으로 설정될 수 있다.
조작 입력 장치(440)는 사용자로부터 연산 장치(400)의 기능 선택 및 해당 기능에 대한 제어 명령을 입력받을 수 있다. 예를 들어, 조작 입력 장치(440)는 사용자로부터 비밀 키 및 공개 키 생성에 필요한 파라미터를 입력받을 수 있다. 또한, 조작 입력 장치(440)는 사용자로부터 암호화될 메시지를 설정받을 수 있다.
프로세서(450)는 연산 장치(400)의 전반적인 동작을 제어한다. 예를 들어, 프로세서(450)는 메모리(420)에 저장된 적어도 하나의 인스트럭션을 실행함으로써 연산 장치(400)의 동작을 전반적으로 제어할 수 있다. 이러한 프로세서(450)는 CPU(central processing unit), ASIC(application-specific integrated circuit)과 같은 단일 장치로 구성될 수 있으며, CPU, GPU(Graphics Processing Unit) 등의 복수의 장치로 구성될 수도 있다.
프로세서(450)는 전송하고자 하는 메시지가 입력되면 메모리(420)에 저장할 수 있다. 그리고 프로세서(450)는 메모리(420)에 저장된 각종 설정 값 및 프로그램을 이용하여, 메시지를 동형 암호화할 수 있다. 이 경우, 공개 키가 사용될 수 있다.
프로세서(450)는 암호화를 수행하는데 필요한 공개 키를 자체적으로 생성하여 사용할 수도 있고, 외부 장치로부터 수신하여 사용할 수도 있다. 일 예로, 복호화를 수행하는 제2 서버 장치(300)가 공개 키를 다른 장치들에게 배포할 수 있다.
자체적으로 키를 생성하는 경우, 프로세서(450)는 Ring-LWE 기법을 이용하여 공개 키를 생성할 수 있다. 예를 들어 설명하면, 프로세서(450)는 먼저 각종 파라미터 및 링을 설정하여, 메모리(420)에 저장할 수 있다. 파라미터의 예로는 평문 메시지 비트의 길이, 공개 키 및 비밀 키의 크기 등이 있을 수 있다.
링은 다음과 같은 수학식으로 표현될 수 있다.
[수학식 2]
Figure 112020002587918-pat00001
여기서 R은 링, Zq는 계수, f(x)는 n차 다항식이다.
링(Ring)이란 기설정된 계수를 가지는 다항식의 집합으로, 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합을 의미한다. 이러한 링은 환으로 지칭될 수 있다.
일 예로, 링은 계수가 Zq인 n차 다항식의 집합을 의미한다. 예를 들어, n이 Φ(N)일 때, N차 사이클로토믹 다항식 (N-th cyclotomic polynomial)을 의미할 수 있다. (f(x))란 f(x)로 생성되는 Zq[x]의 이데알(ideal)을 나타낸다. Euler totient 함수 Φ(N)이란 N과 서로 소이고 N보다 작은 자연수의 개수를 의미한다. ΦN(x)를 N차 사이클로토믹 다항식으로 정의하면, 링은 다음과 같은 수학식 3으로도 표현될 수 있다.
[수학식 3]
Figure 112020002587918-pat00002
한편, 상술한 수학식 3의 링은 평문 공간에서 복소수를 가질 수 있다. 한편, 동형 암호문에 대한 연산 속도를 향상하기 위하여, 상술한 링의 집합 중 평문 공간이 실수인 집합만을 이용할 수도 있다.
한편, 상술한 링은 모든 원소가 곱셈에 대한 역원을 가지는 대수학적 객체인 유한체일 수 있으며, 유한환일 수도 있다. 유한환에 대해서는 후술한다.
이와 같은 링이 설정되면, 프로세서(450)는 링으로부터 비밀 키(sk)를 산출할 수 있다.
[수학식 4]
Figure 112020002587918-pat00003
여기서, s(x)는 작은 계수로 랜덤하게 생성한 다항식을 의미한다.
그리고 프로세서(450)는 링으로부터 제1 랜덤 다항식(a(x))을 산출할 수 있다. 제1 랜덤 다항식은 다음과 같이 표현될 수 있다.
[수학식 5]
Figure 112020002587918-pat00004
또한, 프로세서(450)는 에러를 산출할 수 있다. 예를 들어, 프로세서(450)는 이산 가우시안 분포 또는 그와 통계적 거리가 가까운 분포로부터 에러를 추출할 수 있다. 이러한 에러는 다음과 같이 표현될 수 있다.
[수학식 6]
Figure 112020002587918-pat00005
에러까지 산출되면, 프로세서(450)는 제1 랜덤 다항식 및 비밀 키에 에러를 모듈 연산하여 제2 랜덤 다항식을 산출할 수 있다. 제2 랜덤 다항식은 다음과 같이 표현될 수 있다.
[수학식 7]
Figure 112020002587918-pat00006
최종적으로 공개 키(pk)는 제1 랜덤 다항식 및 제2 랜덤 다항식을 포함하는 형태로 다음과 같이 설정될 수 있다.
[수학식 8]
Figure 112020002587918-pat00007
상술한 키 생성 방법은 일 예에 불과하므로, 반드시 이에 한정되는 것은 아니며, 이 밖에 다른 방법으로 공개 키 및 비밀 키를 생성할 수도 있음은 물론이다.
한편, 프로세서(450)는 공개 키가 생성되면, 다른 장치들에 전송되도록 통신 장치(410)를 제어할 수 있다.
그리고 프로세서(450)는 메시지에 대한 동형 암호문을 생성할 수 있다. 예를 들어, 프로세서(450)는 메시지에 대해서 앞서 생성된 공개 키를 적용하여 동형 암호문을 생성할 수 있다.
복호화할 메시지는 외부 소스로부터 수신할 수도 있고, 연산 장치(400)에 직접 구비 또는 연결된 입력 장치로부터 입력될 수도 있다. 예를 들어, 연산 장치(400)가 터치 스크린이나 키 패드를 포함하는 경우, 프로세서(450)는 사용자가 터치 스크린이나 키 패드를 통해 입력하는 데이터를 메모리(420)에 저장한 후, 암호화할 수 있다. 생성된 동형 암호문은 복호화하였을 때 메시지에 스케일링 팩터를 반영한 값에 에러를 더한 결과값으로 복원되는 형태가 될 수 있다.
그리고 프로세서(450)는 동형 암호문이 생성되면 메모리(420)에 저장하거나, 사용자 요청 또는 기 설정된 디폴트 명령에 따라 동형 암호문을 다른 장치에 전송하도록 통신 장치(410)를 제어할 수 있다.
한편, 암호화 시에 패킹(packing)이 수행될 수 있다. 여기서 패킹은 복수의 메시지를 하나의 암호문으로 생성하는 것이다.
이와 같이 동형 암호화에서 패킹을 이용하게 되면, 다수의 메시지를 하나의 암호문으로 암호화하는 것이 가능해진다. 이 경우, 연산 장치(400)에서 각 암호문들 간의 연산을 수행하게 되면, 결과적으로 다수의 메시지에 대한 연산이 병렬적으로 처리되므로 연산 부담이 크게 줄어들게 된다.
예를 들어, 프로세서(450)는 메시지가 복수의 메시지 벡터로 이루어지는 경우, 복수의 메시지 벡터를 병렬적으로 암호화할 수 있는 형태의 다항식으로 변환할 수 있다.
그리고 프로세서(450)는 생성된 다항식에 스케일링 팩터를 승산하고 공개 키를 이용하여 동형 암호화할 수도 있다.
그리고 프로세서(450)는 동형 암호문에 대한 복호가 필요한 경우, 동형 암호문에 비밀 키를 적용하여 다항식 형태의 복호문을 생성하고, 다항식 형태의 복호문을 디코딩하여 메시지를 생성할 수 있다. 이때 생성한 메시지는 앞서 설명한 수학식 1에서 언급한 바와 같이 에러를 포함할 수 있다.
그리고 프로세서(450)는 암호문에 대한 연산을 수행할 수 있다. 예를 들어, 프로세서(450)는 동형 암호문에 대해서 암호화된 상태를 유지한 상태에서 덧셈, 뺄셈, 또는 곱셈 등의 연산을 수행할 수 있다.
한편, 요청된 연산이 복잡한 경우, 프로세서(450)는 외부 장치에 동형 암호문을 전송하여 해당 외부 장치에서 연산을 대신하여 수행하여 줄 것을 요청할 수 있다.
이러한 경우, 프로세서(450)는 동형 암호문을 외부 장치에 전송하도록 통신 장치(410)를 제어할 수 있다. 그리고 상술한 전송에 대응하여, 연산 결과 및 다항 함수를 수신하면, 프로세서(450)는 수신한 다항 함수와 수신한 연산 결과를 이용한 계산 검증을 수행할 수 있다.
한편, 연산 장치(400)가 증명자로서 동작하는 경우, 프로세서(450)는 외부 장치로부터 동형 암호문이 수신되면, 산술 회로에 동형 암호문을 반영하여 출력 동형 암호문 및 출력 동형 암호문을 위한 다항 함수를 생성할 수 있다. 그리고 프로세서(450)는 생성한 출력 동형 암호문과 다항 함수가 연산을 요청한 외부 장치에 전송되도록 통신 장치(410)를 제어할 수 있다.
한편, 연산 장치(400)는 연산이 완료되면, 연산 결과 데이터로부터 유효 영역의 데이터를 검출할 수 있다. 예를 들어, 연산 장치(400)는 연산 결과 데이터를 라운딩 처리를 수행하여 유효 영역의 데이터를 검출할 수 있다.
여기서, 라운딩 처리란 암호화된 상태에서 메시지의 반올림(round-off)을 진행하는 것을 의미하며, 다르게는 리스케일링(rescaling)이라고 할 수도 있다. 예를 들어, 연산 장치(400)는 암호문 각각의 성분에 스케일링 인수의 역수인 Δ-1을 곱하고 반올림하여, 노이즈 영역을 제거할 수 있다. 노이즈 영역은 스케일링 팩터의 크기에 대응되도록 결정될 수 있다. 결과적으로 노이즈 영역이 제외된 유효 영역의 메시지를 검출할 수 있다. 암호화 상태에서 진행되므로 추가적인 에러가 발생하지만 크기는 충분히 작으므로 무시할 수 있다.
또한, 연산 장치(400)는 연산 결과 암호문 내의 근사 메시지 비중이 임계치를 초과하면, 연산 결과 암호문의 평문 공간을 확장할 수 있다. 예를 들어, 상술한 수학식 1에서 q가 M보다 작다면 M+e(mod q)는 M+e와 다른 값을 가지므로 복호화가 불가능해진다. 따라서, q 값은 항상 M보다 크게 유지되어야 한다. 하지만, 연산이 진행됨에 따라 q 값은 점차 감소하게 된다. 평문 공간의 확장이란 암호문 ct를 더 큰 모듈러스(modulus)를 가지는 암호문으로 변화시키는 것을 의미한다. 평문 공간을 확장하는 동작은 다르게는 재부팅(rebooting)이라 할 수도 있다. 재부팅을 수행함에 따라, 암호문은 다시 연산이 가능한 상태가 될 수 있다.
한편, 이하에서는 본 개시에 따른 계산 검증 동작을 구체적으로 설명한다. 계산 검증 동작은 증명자(prover)와 검증자(verifier)가 참여하며, 증명자는 주어진 산술 회로에 대해서 계산 및 증명 생성을 수행하고, 검증자는 계산 결과 값과 증명을 보고 그 결과가 정확한지에 대한 검증을 수행할 수 있다.
이러한 계산 검증 동작은 합 검증 프로토콜을 이용할 수 있는데, 이하에서는 합 검증 프로토콜(Sum-check protocol)에 대해서 설명한다.
[수학식 9]
Figure 112020002587918-pat00008
여기서,
Figure 112020002587918-pat00009
)는 n 변수 다항식이다.
합 검증 프로토콜은 증명자와 검증자 간의 n 번의 정보 교환(또는 라운드)으로 이루어질 수 있다.
첫번째 정보 교환시에 증명자는 합 계산 결과(S)와 다음과 같은 제1 다항 함수를 생성하여 검증자에게 전송할 수 있다.
[수학식 10]
Figure 112020002587918-pat00010
합 계산 결과(S)와 제1 다항 함수를 수신한 검증자는 수신한 제1 다항 함수를 이용하여 S = f1(0) + f1(1) 임을 확인할 수 있다.
만약, 수신한 합산 계산 결과와 상술한 연산 결과가 다르다면, 증명자에서의 연산이 틀렸다고 판단할 수 있다.
만약, 수신한 합산 계산 결과와 상술한 연산 결과가 같다면, 다음 라운드를 다음과 같이 진행할 수 있다. 예를 들어, i번째 라운드(2≤i≤n)는 다음과 같이 진행될 수 있다.
검증자는 유한체 위에서 랜덤하게 추출한 수 ri-1 을 증명자에게 전달할 수 있다. 여기서 유한체(
Figure 112020002587918-pat00011
)는 모든 원소가 곱셈에 대한 역원을 가지는 대수학적 객체로, 예를 들어 소수 p에 대한 모듈러 연산(modular arithmetic) 체
Figure 112020002587918-pat00012
등이 있을 수 있다.
랜덤 값을 수신한 증명자는 다음과 같은 다항 함수를 생성하여 검증자에 전송할 수 있다.
[수학식 11]
Figure 112020002587918-pat00013
여기서 i는 라운드 수, fi(t)는 i번째 다항 함수이다.
i번째 다항 함수(또는 제2 다항 함수)를 수신한 검증자는 수신한 i번째 다항 함수를 이용하여 fi-1(ri-1) = fi(0) + fi(1) 임을 확인할 수 있다.
만약, 수신한 합산 계산 결과와 상술한 연산 결과가 다르다면, 증명자에서의 연산이 틀렸다고 판단할 수 있다.
만약, 수신한 합산 계산 결과와 상술한 연산 결과가 같다면, n 변수 다항식의 변수 개수만큼 상술한 동작을 반복하고, 마지막 단계에는 f_n (r_n) = f(r_1, r_2, ..., r_n) 임을 체크할 수 있다. 상술한 단계에서의 검증 과정이 모두 맞다면, 증명자의 계산이 옳은 것으로 판단할 수 있다
이때, 증명자 비용, 검증자 비용, 판단이 틀릴 확률 (계산이 잘못되었으나 옳다고 판단할 확률)등은 다음과 같다.
[수학식 12]
Figure 112020002587918-pat00014
,
Figure 112020002587918-pat00015
,
Figure 112020002587918-pat00016
여기서, p는 증명자 비용, v는 검증자 비용, 확률은 상술한 검증 과정에서 옳다고 판단되었으나 실제 연산이 잘못 되었을 확률이다.
한편, 이상에서는 계산 검증 동작이 동형 암호문에 대한 계산 시에 적용되는 것으로 설명하였지만, 후술하는 계산 검증 동작은 동형 암호문뿐만 아니라, 다양한 데이터 예를 들어, 고정 소수점 등과 같은 입력 값에 대한 연산에도 적용될 수 있다.
예를 들어, 고정 소수점에 대한 근사 반올림 계산 검증을 수행할 수 있다. 예로서, 1.23 + 4.56 = 5.79 / 1.23 * 4.56 = 5.6088(반올림 값은 5.61) 연산을 Z/p^eZ (p= 101, e= 3 이상) 위에서 수행하면 다음과 같다.
123 + 456 = 579
123 * 456 = 56088 ->(본 개시의 다항식 연산) -> 56055->(나누기 p=101) -> 555
이를 검증자가 '1.23 + 4.56 = 5.79' / '1.23 * 4.56 = 5.6088 -> (근사 반올림) 5.55' 를 계산하여 연산 장치에서의 연산을 검증할 수 있습니다.
이와 같은 과정을 통하여, 근사 연산(특히, 고정 소숫점 연산)에 대한 검증이 가능하다.
한편, 상술한 계산 검증시에는 다중 선형 확장(Multilinear Extension)이 사용될 수 있으며, 이에 대해서 이하에서 설명한다.
다중선형확장의 정의는 다음과 같다.
주어진 함수
Figure 112020002587918-pat00017
에 대한 다중선형확장  
Figure 112020002587918-pat00018
는 다음을 만족하는 다변수 일차 다항식으로 정의될 수 있다.
[수학식 13]
Figure 112020002587918-pat00019
이때, 각 함수에 대한 다중선형확장은 유일하게 결정될 수 있다.
한편, 산술 회로는 덧셈 게이트와 곱셈 게이트로 구성될 수 있으며, 각 게이트는 두 입력을 받아 연산 결과를 출력할 수 있다. 그리고 산술회로는 d 개의 층으로 이루어 질 수 있다. 이하에서는 i+1번째 층의 출력이 i번째 층의 입력으로 이루어진다고 가정한다. 그리고, 출력 층은 0번째, 입력 층은 d번째 층으로 가정한다.
이러한 경우에 i번째 층의 게이트의 출력값들로부터 만들어지는 다중선형확장
Figure 112020002587918-pat00020
는 다음을 만족하도록 유일하게 정의 될 수 있다.
[수학식 14]
Figure 112020002587918-pat00021
(단 
Figure 112020002587918-pat00022
는 n 자리 2진수로 이해한다.)
이러한 경우, i번째 층에 대한 다중선형확장
Figure 112020002587918-pat00023
과 i+1번째 층에 대한 다중선형확장
Figure 112020002587918-pat00024
은 다음과 같은 관계식을 만족할 수 있다.
[수학식 15]
Figure 112020002587918-pat00025
여기서,
Figure 112020002587918-pat00026
등은 위 식이 만족하도록 하는 다중선형확장 함수로, 회로 C가 주어지면 계산 가능하다.
이를 이용하면 다음의 과정을 통해 주어진 유한체
Figure 112020002587918-pat00027
에 대한 산술회로 C의 계산결과를 검증할 수 있다.
먼저, 증명자는 검증자가 제시한 연산회로 C와 이에 대한 입력 X에 대하여 출력 Y를 계산한 후 검증자에게 전달할 수 있다.
그리고 검증자는 출력 Y로부터 만들어지는 다중선형확장
Figure 112020002587918-pat00028
을 유한체 위에서 랜덤하게 추출한 수들로 이루어진 벡터
Figure 112020002587918-pat00029
에서 연산하여 다음의 식을 얻을 수 있다.
[수학식 16]
Figure 112020002587918-pat00030
그리고 상술한 다중선형확장
Figure 112020002587918-pat00031
과 다중선형확장
Figure 112020002587918-pat00032
간의 관계식을 i=0 일 때에 적용한 식을 얻고, 앞서 서술한 합 검증 프로토콜 (sum-check protocol)을 이 식에 대해 수행할 수 있다.
그러면, 검증자는
Figure 112020002587918-pat00033
을 얻을 수 있다.
이러한 과정을 각 층에 대해 반복하면 검증자는 최종적으로 입력 X에 대한 다중선형확장
Figure 112020002587918-pat00034
에 대해 다음의 식을 얻을 수 있다.
[수학식 17]
Figure 112020002587918-pat00035
그리고 검증자는 이 식이 사실인가를 검증하게 되는데, 자신이 정했던 입력 X로부터 만들어지는 다중선형확장을 통해 이 식을 검증할 수 있다. 그리고 사실로 판명될 경우 검증자는 증명자가 전달한 결과 Y가 맞다고 판단할 수 있다.
증명자 비용, 검증자 비용, 판단이 틀릴 확률 등은 다음과 같다.
[수학식 18]
Figure 112020002587918-pat00036
,
Figure 112020002587918-pat00037
여기서, S는 산술연산회로 C를 구성하는 게이트 수이다.
한편, 이와 같은 계산 검증은 유한체 위의 산술연산 회로로 표현되어야 한다. 그러나 근사 연산을 회로로 표현하기 위해서는 수많은 게이트가 필요하게 된다. 이는 근사 연산에 필수적인 반올림 연산을 산술 연산 게이트로 표현하기 위해서는 유한체의 크기에 비례하는 많은 수의 게이트가 필요하기 때문이다.
따라서, 본 개시에서는 산술 연산 회로의 연산 검증이 유한환 위에서도 가능하도록 한다.
여기서, 유한환(finite commutative ring)은 유한체와는 달리 모든 원소가 곱셈에 대한 역원을 가져야 한다는 조건이 없는 객체로, 예를 들어 임의의 자연수 N에 대한 모듈러 연산 (modular arithmetic) 환
Figure 112020002587918-pat00038
,이 환의 원소를 계수로 지니는 다항식들로 이루어지고, 다항식 간의 덧셈이나 곱셈이 다항식 연산 결과를 주어진 다항식 f에 대해 나눈 나머지로 정의되는 다항식환
Figure 112020002587918-pat00039
등이 있다.
유한환에서 상술한 산술 연산 회로를 검증하기 위한 동작이 가능하도록 하기 위하여, 본 개시에서는 검증자의 랜덤 값 산술 동작시에 원소에 대한 제한을 줌으로써 상술한 동작이 가능하도록 할 수 있다.
구체적으로, 유한환 R에 대해서 다음을 만족하는 부분 집합 A를 이용하여 랜덤 값을 추출할 수 있다.
"
Figure 112020002587918-pat00040
의 모든 서로 다른 원소 x, y에 대해, x-y가
Figure 112020002587918-pat00041
에서 영인자(zero divisor)가 아니다."
여기서, 영인자란 0이 아니면서 0이 아닌 원소와 곱해서 0이 되는 수를 의미한다. 예를들어,
Figure 112020002587918-pat00042
의 원소 중 p 는 p와 곱할 시 0이 되므로 영인자이다.
이와 같은 제한을 통하여 유한환에 대해서 산술 연산 회로 검증이 가능하나, 프로토콜의 잘못될 확률이
Figure 112020002587918-pat00043
이므로 A의 크기가 작을 경우 프로토콜이 동작하지 않을 수 있다.
이러한 낮아질 수 있는 확률을 개선하기 위하여, 주어진 유한환
Figure 112020002587918-pat00044
에 대해
Figure 112020002587918-pat00045
의 기약 다항식 f(t)를 생각하고, 이를 이용해 다음과 같은 다항식환
Figure 112020002587918-pat00046
을 생각할 수 있다. 이러한 다항식 환을 갈루아 환으로 지칭할 수 있다.
이러한 갈루아 환은 주어진 유한환
Figure 112020002587918-pat00047
을 포함할 뿐만 아니라, 위에서 서술한 조건을 만족하는 A는 다음과 같다.
[수학식 19]
Figure 112020002587918-pat00048
여기서, d는 f(t)의 차수이다.
따라서 A의 크기는
Figure 112020002587918-pat00049
이며, 이 환에 대해 본 프로토콜을 적용할 경우 프로토콜이 잘못될 확률을 크게 낮출 수 있다.
도 3은 본 개시의 계산 검증 동작을 설명하기 위한 시퀀스도이다.
도 3을 참조하면, 제1 연산 장치(400-1)는 증명자로 동작할 수 있다. 그리고 제2 연산 장치(400-2)는 검증자로 동작할 수 있다. 이때, 제1 연산 장치(400-1)는 제2 연산 장치(400-2)보다 고성능의 연산 장치일 수 있다.
제2 연산 장치(400-2)는 제1 연산 장치(400-1)에 기설정된 논리 회로에 대한 연산을 요청할 수 있다(S305). 이때, 제2 연산 장치(400-2)는 필요한 입력값만을 전송할 수 있으며, 입력 값과 논리 회로도 같이 전송할 수도 있다. 여기서 입력 값은 고정 소숫점과 같은 실수 데이터일 수 있으며, 상술한 바와 같은 동형 암호문일 수 있다.
연산 요청을 수신한 제1 연산 장치(400-1)는 기설정된 논리 회로에 수신한 입력 값을 반영하는 연산을 수행하여 출력 동형 암호문을 생성할 수 있다. 또한, 제1 연산 장치(400-1)는 생성한 출력 값(또는 연산 결과)에 대한 검증을 위한 제1 다함 함수를 생성할 수 있다(S310).
출력 동형 암호문 및 제1 다항 함수 생성이 완료되면, 제1 연산 장치(400-1)는 제2 연산 장치(400-2)에 생성된 출력 값과 제1 다항 함수를 전송할 수 있다(S315).
제1 다항 함수를 수신한 제2 연산 장치(400-2)는 수신한 제1 다항 함수를 이용하여 S = f1(0) + f1(1) 인지를 확인할 수 있다(S320).
확인 결과 상술한 연산 결과와 수신한 출력 값의 결과가 같다면, 제1 연산 장치(400-1)에서의 연산이 맞다고 판단하고 이후의 동작을 진행할 수 있다. 반대로, 다르다고 판단되면, 제2 연산 장치(400-2)는 더이상의 연산 동작을 진행하지 않을 수 있다.
연산 결과가 검증된 경우, 제2 연산 장치(400-2)는 유한체 위에서 랜덤하게 추출한 수(즉, 랜덤 값)를 생성하여(S325), 제1 연산 장치(400-1)에 전송할 수 있다(S330).
랜덤 값을 수신한 제1 연산 장치(400-1)는 상술한 수학식 11과 같이 제2 다항 함수를 생성하고(S335), 그 결과를 제2 연산 장치(400-2)에 전송할 수 있다(S340).
제2 다항 함수를 수신한 제2 연산 장치(400-2)는 수신한 제2 다항 함수를 이용하여 fi-1(ri-1) = fi(0) + fi(1) 임을 확인할 수 있다(S345). 예를 들어, 확인 결과 수신한 합산 계산 결과와 상술한 연산 결과가 다르다면, 증명자에서의 연산이 틀렸다고 판단할 수 있다.
반대로, 수신한 합산 계산 결과와 상술한 연산 결과가 같다면, 상술한 325, 330, 350, 345 단계를 반복할 수 있다.
그리고 상술한 단계 모두에서의 검증이 맞다면, 증명자의 계산이 옳은 것으로 판단할 수 있다(S390).
도 4는 본 개시의 논리 회로 설계 예를 도시한 도면이다.
산술 회로는 덧셈 게이트와 곱셈 게이트로 구성될 수 있으며, 각 게이트는 두 입력을 받아 연산 결과를 출력할 수 있다. 구체적으로, N차 다항식 g(t)가
Figure 112020002587918-pat00050
인 경우, 산술 회로는
Figure 112020002587918-pat00051
서브 다항식을 먼저 계산하고,
Figure 112020002587918-pat00052
을 계산하도록 구성될 수 있다. 예를 들어, 16차 다항식이 g(t)= a0 + a1t +... + a16t16인 경우 산술 회로는 다음과 같은 계산을 수행할 수 있다.
[수학식 20]
Figure 112020002587918-pat00053
이러한 다항식은 t의 모든 거듭제곱이 필요한 것은 아니지만, t, t2, t4, t9 등과 같은 일부만이 필요할 수 있다. 단지 평가시에는 t에 대한
Figure 112020002587918-pat00054
제곱만이 g(t)를 계산하는데 필요할 수 있다. 그리고 모든 서브 다항식 gk는 t의 제곱의 작은 서브 셋을 동일하게 이용하여 계산될 수 있으며, 이러한 특성은 회로 크기를 줄이고 회로 규칙성을 높임으로서, 계산 검증 시 증명자의 비용을 크게 줄일 수 있다.
도 4를 참조하면, 16차 다항식에 대한 산술 회로의 예가 도시되어 있으며, 산술 회로는 d 개의 층으로 이루어 질 수 있다.
각 게이트의 값은 해당 게이트의 출력을 나타내며, 화살표는 출력 배선을 나타낸다. 한편, 0의 값을 갖는 게이트는 규칙적인 배선 패턴을 달성하기 위한 더미 케이트이며, 이러한 더미 게이트는 점금적 비용에 영향을 미치지 않는다.
한편, 상술한 논리 회로는 나눗셈 연산을 포함할 수 있다.
Figure 112020002587918-pat00055
위의 원소 a1p,a2p,a3p,...,anp 등이 주어졌을 때,
Figure 112020002587918-pat00056
의 원소 a1, a2, a3, ..., an을 출력하는 논리 회로를 가정한다.
이러한 경우,
Figure 112020002587918-pat00057
위의 원소들로부터 만들어지는 다중선형확장
Figure 112020002587918-pat00058
Figure 112020002587918-pat00059
위의 원소들로부터 만들어지는 다중선형확장
Figure 112020002587918-pat00060
이 다음과 같은 관계식을 만족할 수 있다.
[수학식 21]
Figure 112020002587918-pat00061
이를 통해 검증자는 자신이 가진 식
Figure 112020002587918-pat00062
Figure 112020002587918-pat00063
라는 식으로 변환할 수 있다.
또한, 본 개시는 상술한 나누기 p 연산과 '최하위수 삭제 다항식'(lowest digit removal) 을 이용하여, 효율적인 반올림연산도 수행할 수 있다.
예를 들어, 최하위수 삭제 다항식은 ldr(t)로 표기한다면, 주어진 유한환
Figure 112020002587918-pat00064
에 대해, ldr(t)는 다음 조건을 만족하는 다항식이며, 그 차수(degree)가 ep보다 작을 수 있다.
[수학식 22]
Figure 112020002587918-pat00065
즉, ldr(t)는 t의 p로 나눈 나머지, 혹은 p 진수로 표현 시 가장 하위 비트를 0으로 변환하는 역할을 할 수 있다.
따라서, ldr(t)를 이용하면 상술한 반올림 연산 (p진수 표현 시)을 다음과 같이 나타낼 수 있다.
[수학식 23]
Figure 112020002587918-pat00066
.
상술한 수학식 23은
Figure 112020002587918-pat00067
연산을 n번 수행함으로써 나타낼 수 있다. 예를 들어, e=2라면, ldr은 다음과 같이 표시될 수 있다.
[수학식 24]
Figure 112020002587918-pat00068
도 5는 본 개시의 연산 방법을 설명하기 위한 흐름도이다.
도 5를 참조하면, 입력값(예를 들어, 고정 소수점, 동형 암호문 등)을 수신할 수 있다(S510). 여기서, 동형 암호문은 상술한 수학식 1을 만족하는 암호문일 수 있다.
그리고 기설정된 산술 회로에 입력 값을 반영하여 출력 값 및 출력 값을 검증하기 위한 제1 다항 함수를 생성할 수 있다(S520). 구체적으로, 상술한 산술 회로가 근사 연산을 포함하는 경우, 유한환 상에서 상술한 연산 동작을 수행할 수 있다. 그리고 제1 다항 함수는 수학식 9과 같은 n 변수 다항식 또는 수학식 15와 같은 다중선형확장 함수가 이용될 수 있다. 그리고 입력값이 동형 암호문인 경우, 계산 결과인 출력 값은 동형 암호문일 수 있다.
그리고 생성된 출력 값 및 제1 다항 함수를 외부 장치에 전송할 수 있다(S530).
한편, 구현시에 전송한 다항 함수를 이용한 검증이 맞다고 판단되면, 추가적으로 랜덤 값을 수신할 수 있으며, 수신한 랜덤 값에 대한 연산 값 및 연산 값을 검증하기 위한 제2 다항 함수를 생성하고, 생성된 연산 값 및 제2 다항 함수를 외부 장치에 전송하는 동작을 추가적으로 수행할 수 있다. 그리고 이러한 랜덤 값 수신 등의 동작은 다항 함수를 생성하는데 이용하는 n 변수 다항식의 변수의 개수에 대응되는 횟수 만큼 수행될 수 있다.
도 6은 본 개시의 연산 검증 방법을 설명하기 위한 흐름도이다.
도 6을 참조하면, 입력값(예를 들어, 고정 소숫점, 실수, 동형 암호문 등)을 외부 장치에 송신할 수 있다(S610).
그리고 기설정된 산술 회로에서의 송신한 입력 값에 대한 연산 결과 및 다항 함수를 수신할 수 있다(S620). 여기서 산술 회로는 덧셈 게이트 또는 곱셈 게이트로 구성된 회로 일 수 있으며, 나눗셈 연산, 반올림 연산 등을 포함할 수 있다.
그리고 수신된 다항 함수를 이용한 검증 연산을 수행할 수 있다(S630). 구체적으로, 수신된 다항 함수에 t=0, t=1의 값을 넣고, 산출된 두 값(f1(0), f1(1))을 합산하는 연산을 수행할 수 있다.
그리고 수행된 검증 연산 결과와 수신된 연산 결과를 이용하여 외부 장치에서의 연산을 검증할 수 있다.
한편, 구현시에는 유한환에서 랜덤 값을 추출하고, 추출된 랜덤 값을 외부 장치에 전송하고, 전달된 랜덤 값에 대응되는 다항 함수가 수신하고, 수신된 다항 함수에 대한 검증 동작을 추가적으로 수행함으로써 상술한 검증을 수행할 수 있다.
이때, 랜덤 값은 임의의 두 수의 차이가 영인자(zero divisor)가 아니라는 조건을 만족하는 (유한환 혹은 갈루아 링의) 부분집합에서 추출될 수 있다.
한편, 상술한 다양한 실시 예에 따른 암호화 방법은 각 단계들을 수행하기 위한 프로그램 코드 형태로 구현되어, 기록 매체에 저장되고 배포될 수도 있다. 이 경우, 기록 매체가 탑재된 장치는 상술한 암호화 또는 암호문 처리 등의 동작들을 수행할 수 있다.
이러한 기록 매체는, ROM, RAM, 메모리 칩, 메모리 카드, 외장형 하드, 하드, CD, DVD, 자기 디스크 또는 자기 테이프 등과 같은 다양한 유형의 컴퓨터 판독 가능 매체가 될 수 있다.
이상 첨부 도면을 참고하여 본 개시에 대해서 설명하였지만 본 개시의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시 예 및/또는 도면에 제한되는 것으로 해석되어서는 안 된다. 그리고 특허청구범위에 기재된 개시의, 당업자에게 자명한 개량, 변경 및 수정도 본 개시의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.
100: 전자 장치 200: 제1 서버 장치
300: 제2 서버 장치 400: 연산 장치
410: 통신 장치 420: 메모리
430: 디스플레이 440: 조작 입력 장치
450: 프로세서

Claims (20)

  1. 연산 장치에서의 연산 방법에 있어서,
    입력 값을 수신하는 단계;
    유한환(finite commutative ring) 상에서 기설정된 산술 회로에 상기 입력 값을 반영하여 출력 값 및 외부 장치에서 상기 출력 값에 대한 계산 검증을 위한 제1 다항 함수를 생성하는 단계; 및
    상기 생성된 출력 값 및 상기 제1 다항 함수를 외부 장치에 전송하는 단계;를 포함하는 연산 방법.
  2. 제1항에 있어서,
    상기 입력 값 및 상기 출력 값 각각은,
    동형 암호문인 연산 방법.
  3. 제1항에 있어서,
    상기 유한환에서 랜덤하게 추출된 랜덤 값을 수신하는 단계;
    상기 랜덤 값에 대한 연산 값 및 상기 연산 값을 검증하기 위한 제2 다항 함수를 생성하는 단계; 및
    상기 생성된 연산 값 및 상기 제2 다항 함수를 상기 외부 장치에 전송하는 단계;를 더 포함하는 연산 방법.
  4. 제3항에 있어서,
    상기 유한환은 갈루아환인 연산 방법.
  5. 제3항에 있어서,
    상기 제1 다항 함수를 생성하는 단계 및 상기 제2 다항 함수를 생성하는 단계 각각은,
    n 변수 다항식을 이용하여 다항 함수를 생성하는 연산 방법.
  6. 제1항에 있어서,
    상기 산술 회로는,
    복수의 층으로 구성되며, 각 층은 덧셈 게이트 또는 곱셈 게이트 중 적어도 하나의 게이트를 포함하는 연산 회로인 연산 방법.
  7. 제1항에 있어서,
    상기 산술 회로는,
    모듈러 연산과 하위 비트를 0으로 만드는 다항식 연산과 나누기 연산을 이용한 반올림 연산을 포함하는 연산 방법.
  8. 연산 장치에서의 연산 검증 방법에 있어서,
    입력 값을 외부 장치에 송신하는 단계;
    유한환(finite commutative ring) 상에서 기설정된 산술 회로에 상기 입력 값을 반영하여 생성된 연산 결과 및 상기 연산 결과를 계산 검증하기 위하여 상기 외부 장치에서 생성된 다항 함수를 수신하는 단계;
    상기 수신된 다항 함수를 이용한 검증 연산을 수행하는 단계; 및
    상기 수행된 검증 연산 결과와 상기 수신된 연산 결과를 이용하여 상기 외부 장치에서의 연산을 검증하는 단계;를 포함하는 연산 검증 방법.
  9. 제8항에 있어서,
    상기 유한환에서 랜덤 값을 추출하는 단계; 및
    상기 추출된 랜덤 값을 상기 외부 장치에 전송하는 단계;를 더 포함하는 연산 검증 방법.
  10. 제9항에 있어서,
    상기 추출하는 단계는,
    상기 유한환의 부분집합이며 서로 다른 두 수의 차이가 영인자(zero divisor)가 아닌 집합에서 랜덤 값을 추출하는 연산 검증 방법.
  11. 제10항에 있어서,
    상기 유한환은 갈루아환인 연산 검증 방법.
  12. 제9항에 있어서,
    상기 다항 함수는,
    상기 추출된 랜덤 값에 대응되는 다항 함수이고,
    상기 검증하는 단계는,
    상기 랜덤 값에 대응되는 다항 함수도 이용하여 상기 외부 장치에서의 연산을 검증하는 연산 검증 방법.
  13. 연산 장치에 있어서,
    입력 값을 수신하는 통신 장치;
    적어도 하나의 인스트럭션(instruction)을 저장하는 메모리; 및
    상기 적어도 하나의 인스트럭션을 실행하는 프로세서;를 포함하고,
    상기 프로세서는,
    상기 적어도 하나의 인스트럭션을 수행함으로써,
    유한환(finite commutative ring) 상에서 기설정된 산술 회로에 상기 입력 값을 반영하여 출력 값 및 외부 장치에서 상기 출력 값을 계산 검증하기 위한 제1 다항 함수를 생성하고,
    상기 생성된 출력 값 및 상기 제1 다항 함수를 외부 장치에 전송하도록 상기 통신 장치를 제어하는 연산 장치.
  14. 제13항에 있어서,
    상기 프로세서는,
    상기 외부 장치로부터 상기 유한환에서 추출된 랜덤 값을 수신하면, 상기 랜덤 값에 대한 연산 값 및 상기 연산 값을 검증하기 위한 제2 다항 함수를 생성하고,
    상기 생성된 연산 값 및 상기 제2 다항 함수를 상기 외부 장치에 전송하도록 상기 통신 장치를 제어하는 연산 장치.
  15. 제14항에 있어서,
    상기 프로세서는,
    n 변수 다항식을 이용하여 상기 제1 다항 함수 및 상기 제2 다항 함수를 생성하고, 상기 n 변수 다항식의 변수 개수에 대응되는 회수 만큼 계산 검증 동작을 수행하는 연산 장치.
  16. 제13항에 있어서,
    상기 산술 회로는,
    복수의 층으로 구성되며, 각 층은 덧셈 게이트 또는 곱셈 게이트 중 적어도 하나의 게이트를 포함하는 연산 회로인 연산 장치.
  17. 제13항에 있어서,
    상기 산술 회로는,
    모듈러 연산과 하위 비트를 0으로 만드는 다항식 연산과 나누기 연산을 이용한 반올림 연산을 포함하는 연산 장치.
  18. 제13항에 있어서,
    상기 입력 값 및 상기 출력 값 각각은,
    동형 암호문인 연산 장치.
  19. 연산 장치에 있어서,
    외부 장치와 통신을 수행하는 통신 장치;
    적어도 하나의 인스트럭션(instruction)을 저장하는 메모리; 및
    상기 적어도 하나의 인스트럭션을 실행하는 프로세서;를 포함하고,
    상기 프로세서는,
    상기 적어도 하나의 인스트럭션을 수행함으로써,
    입력 값을 외부 장치에 송신하도록 상기 통신 장치를 제어하고,
    유한환(finite commutative ring) 상에서 기설정된 산술 회로에 상기 입력 값을 반영하여 생성된 연산 결과 및 '상기 연산 결과를 계산 검증하기 위하여 상기 외부 장치에서 생성된 다항 함수'를 수신하면, 상기 수신된 다항 함수를 이용한 검증 연산을 수행하고,
    상기 수행된 검증 연산 결과와 상기 수신된 연산 결과를 이용하여 상기 외부 장치에서의 연산을 검증하는 연산 장치.
  20. 제19항에 있어서,
    상기 프로세서는,
    상기 유한환에서 랜덤 값을 추출하고 상기 추출된 랜덤 값을 상기 외부 장치에 전송하도록 상기 통신 장치를 제어하는 연산 장치.
KR1020200003240A 2019-01-11 2020-01-09 근사 계산에 대한 계산 검증 KR102382952B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
PCT/KR2020/000534 WO2020145759A1 (ko) 2019-01-11 2020-01-10 근사 계산에 대한 계산 검증
US17/422,278 US20220092150A1 (en) 2019-01-11 2020-01-10 Calculation verification for approximate calculation

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201962791330P 2019-01-11 2019-01-11
US62/791,330 2019-01-11

Publications (2)

Publication Number Publication Date
KR20200087708A KR20200087708A (ko) 2020-07-21
KR102382952B1 true KR102382952B1 (ko) 2022-04-05

Family

ID=71832524

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200003240A KR102382952B1 (ko) 2019-01-11 2020-01-09 근사 계산에 대한 계산 검증

Country Status (1)

Country Link
KR (1) KR102382952B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11637700B2 (en) 2020-08-14 2023-04-25 Samsung Electronics Co., Ltd. Method and apparatus with encryption based on error variance in homomorphic encryption

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060080066A1 (en) * 2004-09-30 2006-04-13 Fujitsu Limited Accuracy verification program for model parameter computation and storage medium storing the program
KR101475747B1 (ko) * 2014-01-22 2014-12-23 고려대학교 산학협력단 동형 암호를 이용한 다자간 위탁 연산 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101273465B1 (ko) * 2007-03-16 2013-06-14 재단법인서울대학교산학협력재단 집합 검증 장치 및 그 방법
KR101906225B1 (ko) * 2011-11-30 2018-12-10 삼성전자 주식회사 복호장치와, 복호장치의 암호문 복호화 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060080066A1 (en) * 2004-09-30 2006-04-13 Fujitsu Limited Accuracy verification program for model parameter computation and storage medium storing the program
KR101475747B1 (ko) * 2014-01-22 2014-12-23 고려대학교 산학협력단 동형 암호를 이용한 다자간 위탁 연산 방법

Also Published As

Publication number Publication date
KR20200087708A (ko) 2020-07-21

Similar Documents

Publication Publication Date Title
EP3793127B1 (en) Terminal device performing homomorphic encryption, server device processing cipher text thereof, and methods thereof
KR102040106B1 (ko) 실수 평문에 대한 동형 암호화 방법
KR102297536B1 (ko) 암호문에 대한 비다항식 연산을 수행하는 장치 및 방법
KR102167565B1 (ko) 근사 암호화된 암호문에 대한 재부팅 연산을 수행하는 장치 및 방법
KR102393942B1 (ko) 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법
KR102349855B1 (ko) 공간 복잡도를 고려한 동형 암호화 또는 복호화 방법
US20220092150A1 (en) Calculation verification for approximate calculation
JP7170878B2 (ja) 暗号文に対する非多項式演算を行う装置及び方法
KR102443255B1 (ko) 래티스를 기반으로 하는 암호키 생성 방법 및 전자서명 방법
KR102382952B1 (ko) 근사 계산에 대한 계산 검증
KR102475273B1 (ko) 동형 암호 시스템에 대한 시뮬레이션 장치 및 방법
US11757618B2 (en) Apparatus for processing non-polynomial operation on homomorphic encrypted messages and methods thereof
KR20220121221A (ko) 동형 암호문의 변환 장치 및 방법
KR20230003954A (ko) 영지식 증명을 위한 암호문 처리 방법 및 장치
KR20200099957A (ko) 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법
KR102393941B1 (ko) 근사 암호화된 암호문에 대한 인코딩 또는 디코딩
US20230421352A1 (en) Apparatus for processing homomorphic encrypted messages and method thereof
KR102452181B1 (ko) 근사 암호화된 암호문에 대한 정렬 장치 및 방법
KR102257779B1 (ko) 다자간 계산을 위한 유사 보간
US20240039695A1 (en) Electronic apparatus for generating homomorphic encrypted message and method therefor
KR20230049052A (ko) 격자전자서명의 비밀 키 생성 방법 및 이를 이용한 장치
KR102203238B1 (ko) 모듈러 곱셈 연산을 수행하는 연산 장치 및 방법
KR20220134487A (ko) 동형 암호문을 처리하는 전자 장치 및 그 방법
KR20230162524A (ko) 동형 암호문에 대한 재부팅 연산을 수행하는 장치 및 방법
KR20230149708A (ko) 동형 암호문에 대한 재부팅 연산을 수행하는 장치 및 방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant