KR20050034184A

KR20050034184A - 가중된 비밀 공유 및 복원 방법

Info

Publication number: KR20050034184A
Application number: KR1020030070026A
Authority: KR
Inventors: 이경희; 정태철; 예브게니 크룩; 세르게이 베자티브; 예브게니 린스키
Original assignee: 삼성전자주식회사
Priority date: 2003-10-08
Filing date: 2003-10-08
Publication date: 2005-04-14
Also published as: JP2005117670A; US20050111657A1; US7551740B2; CN1630231A; KR100561846B1; CN100466514C

Abstract

가중된 비밀 공유 및 복원 방법이 개시된다. 본 발명에 따른 가중된 비밀 공유 방법은 비밀 정보를 소정 코드로 부호화하는 단계; 에러 벡터에서 에러 위치에 따라 에러를 가중하는 보이스를 생성하는 단계; 및 에러 벡터를 이용하여 코드를 암호화하여 복수의 참가자들에게 배포하는 단계를 포함함을 특징으로한다.

Description

가중된 비밀 공유 및 복원 방법{Weighted secret sharing and recovering method}

본 발명은 가중된 비밀 공유(weighted secret sharing) 및 복원 방법에 관한 것으로, 특히 가중된 에러 벡터를 이용하여 비밀을 공유 및 복원하는 방법에 관한 것이다.

N명의 참가자로 이루어진 세트(set) R과 참가자들의 서브 세트(subset)들로 이루어진 세트 L이 있을 때, 임계치 비밀 공유 방식(threshold secret sharing scheme)은 각 참가자에게 해당 비밀 조각(share)을 분배한 후, 데이터 복원시 참가자들의 서브 세트가 L에 포함되어있으면 비밀을 복원할 수 있고, 참가자들의 서브 세트가 L에 포함되어있지않으면 비밀을 복원할 수 없는 방식이다. 일반적으로 이러한 시스템은 신뢰받는 시스템과 신뢰받지못하는 시스템으로 나눌 수 있다.

이상적인 임계치 비밀 공유 암호화 시스템의 특성은 다음과 같다. 각 참가자는 세트 R의 키 동의(key agreement)에 참여한다. R세트의 마스터 개인 키(master private key)는 아무도 모른다. 적어도 고정된 숫자(임계치)의 참가자가 마스터 개인 키에 의해 암호화된 메시지의 복호화(decryption) 과정에 참여한다. 적어도 고정된 숫자(임계치)의 참여자가 마스터 개인 키에 의한 메시지의 서명 과정에 참여한다. 시스템을 설정한 후, L에 포함되는 서브 세트에 포함되는 참가자에 의한 복호화 또는 서명 과정은 비상호적(non-interactive)이다. 새로운 참여자가 R세트에 발생한 경우에도 마스터 개인 키 및 공개 키(public key)는 변경되서는 안된다. R세트에 포함된 참여자가 이탈할 경우에도 마스터 개인 키 및 공개 키는 변경되어서는 안된다.

임계치 비밀 공유 방식의 다른 예로서, (k,N) 임계치 비밀 공유 방식이 있다. 이 방식에 따르면 N개의 비밀 조각중에서 k개의 분산된 조각들을 수집하면 비밀을 복원할 수 있다. 도 1은 (k,N) 임계치 비밀 공유 방식에 대한 개념도를 도시한 것이다. 도시된 바에 따르면, 비밀(10)은 N명의 참가자(12)에게 동일한 중요도로 분배된다. 비밀의 복원시에는 N명의 참가자중 적어도 3명으로부터 분배된 비밀조각을 받아서 결합함으로써(12) 비밀(13)을 복원한다.

그러나 (k,N) 임계치 비밀 공유 방식은 N명의 참가자들에게 동일한 중요도를 갖는 비밀을 분배하기 때문에 비밀의 복원에는 반드시 k개의 비밀조각이 필요하며, (k-1)개의 조각이 결합된 경우라면 비밀을 완전하게 복원할 수 없는 문제점이 생긴다.

또한 계층적인 임계치 방식, 즉, 멀티 레벨로 이루어진 구조에 대해 비밀을 각 레벨에 공유하는 방식의 경우, 멀티 레벨에 접근하고자하는 참가자에게 계층적인 권한을 부여하는 것을 고려할 수도 있다.

본 발명이 이루고자하는 기술적 과제는 비밀을 공유할 때 참가자들의 가중치를 서로 다르게 함으로써 (k-1)개의 공유된 비밀 조각들을 결합하여도 비밀을 완전하게 복원할 수 있는 가중된 비밀 공유 및 복원 방법을 제공하는데 있다.

상기 기술적 과제를 이루기위한, 본 발명의 비밀 공유 방법은 비밀을 소정 코드로 부호화하는 단계; 에러 벡터에서 에러 위치에 따라 에러를 가중하는 보이스를 생성하는 단계; 및 상기 에러 벡터를 이용하여 상기 코드를 암호화하여 복수의 참가자들에게 배포하는 단계를 포함함을 특징으로한다.

상기 기술적 과제를 이루기위한, 본 발명의 비밀 복원 방법은 비밀을 소정 코드로 부호화하고, 에러 벡터에서 에러 위치에 따라 에러를 가중하는 보이스를 생성하며, 상기 에러 벡터를 이용하여 상기 코드를 암호화하여 복수의 참가자들에게 배포된 비밀을 복원하는 것으로, 전체 보이스 수중에서 상기 코드를 복호화하는데 필요한 보이스 수를 설정하는 단계; 상기 설정된 보이스 수에 의한 참가자들을 결정하는 단계; 결정된 참가자들로부터 비밀을 회수하는 단계; 및 상기 비밀을 복호화하고 에러 정정 복호화하여 복원하는 단계를 포함함을 특징으로한다.

상기 기술적 과제를 이루기위한, 본 발명의 비밀 공유 및 복원 방법은 비밀을 소정 코드로 부호화하는 단계; 에러 벡터에서 에러 위치에 따라 에러를 가중하는 보이스를 생성하는 단계; 상기 에러 벡터를 이용하여 상기 코드를 암호화하여 복수의 참가자들에게 배포하는단계; 전체 보이스 수중에서 상기 코드를 복호화하는데 필요한 보이스 수를 설정하는 단계; 상기 설정된 보이스 수에 따른 참가자들을 결정하는 단계; 결정된 참가자들로부터 비밀을 회수하는 단계; 및 상기 비밀을 복호화하고 에러 정정 복호화하여 복원하는 단계를 포함함을 특징으로한다.

이하에서 첨부된 도면을 참조하여 본 발명을 보다 상세하게 설명하기로한다.

도 2는 본 발명에 따른 (K,N) 임계치 가중 비밀 공유 분산 방법에 대한 개념도를 도시한 것이다. 도시된 바에 따르면, 비밀(20)은 N명의 참가자(22)에게 각각 서로 다른 가중치를 두어 분배된다. 비밀의 복원시에는 N명의 참가자중 가중된 비밀 조각(weighted share)을 갖는 참가자 한 명을 포함한 2명으로부터 분배된 비밀을 받아서 결합하거나 가중이 안된 참가자 세 명으로부터 분배된 비밀을 결합함으로써(22) 비밀(23)을 복원한다.

이를 보다 상세히 설명하면 다음과 같다.

비밀 S에 대한 N개의 비밀 조각이 채널을 통해 내부적으로 연결되어있는(interlinked) N명의 참가자에게 각각 분배된다. 비밀 S는 MCEliece 방식에 따라 에러 벡터 e를 사용하여 암호화되어 분배된다.

모든 사용자는 비밀 S에 접근가능하다. 에러 벡터의 각 위치 i에 대해 각 비밀 조각 s_i(i=1,…, N)는 다음 식과 같은 웨이트(wt) 를 갖는다.

여기서 T는 에러 벡터 전체가 갖는 웨이트이다.

이 방식에 따르면, 비밀 조각 수신자(recipient)중 하나가 비밀을 복원(reconstruction)하고자 할 경우 자신의 비밀 조각과 (K-1)개의 비밀 조각들을 사용하여 복원하게되고, 그 때의 웨이트는 다음 식과 같이 표현될 수 있다.

여기서, k는 비밀 복원을 위해 필요한 최소의 비밀 조각이다.

비밀 복원과정은 다음과 같다. 먼저, 한 참가자가 다른 (K-1)명의 참가자로부터 공개 통신 채널(public communication channel)을 이용하여 (K-1)개의 부호화된 비밀 조각을 회수한다. 회수된 비밀 조각들과 자신의 비밀 조각을 결합하고 복호화하여 비밀을 복원한다.

비밀의 부호화 및 복호화를 위해 이를 위하여 본 발명에서는 일반화된 가파 코드(generalized Goppa code)를 사용한다.

길이 n의 q진(q-ary) 일반화된 가파 코드는 n타입(n-type) 벡터 a=(a₁a₂…a _n)로 정의되고, 그 관계는 다음 식과 같이 표현된다.

여기서, 이다. V_i(x), U_i(x)가 GF(q^m) 위의 다항식일 때 로케이터 세트(locator set) 은 로 표현된다. 이 때, GCD((U_i(x), V_i(x))=1, degV_i(x) < degU_i(x), GCD((U_i(x), U_j(x))=1 for all i≠j 이다. GCD는 최대 공약수이고, deg는 해당 다항식의 최고 차수이다. g(x)는 모든 i에 대해 GCD((U_i(x), g(x))=1을 만족하는 GF(q^m)상의 가파 다항식이다.

일반화된 (L,g) 가파 코드는 d가 다음 식

deg g(x) > (d-2)r + s

여기서, r=deg U_i(x), s=deg V_i(x)이다.

을 만족할 때 최소 거리 d₀≥d를 갖는다.

에러를 정정할 수 있는 일반화된 가파 코드는 다음과 같이 설명될 수 있다. 가파 다항식 G(x)에 대해 로케이터 세트 L은 다음 식과 같이 결정된다.

여기서, R_i ^(j)는 유리 함수(rational function)로 다음 식과 같이 표현된다.

여기서, 이고, 임의의 i,j,k,j에 대해서 이다.

벡터 가 길이 n=n₁+n₂+…+n_l 인 일반화된 (L,g)가파 코드의 코드워드이면, 이에 대한 가파 다항식 g(x) 및 로케이터 세트 L이 다음 식을 만족해야한다.

이러한 코드에 대해서 최소 거리에 대한 추정(estimation)이 가능하다. 가파 다항식 g(x), 로케이터 세트 L을 갖는 일반화된 가파 코드는 각 코드블록에 대해 다음 식과 같은 조건을 만족하는 임의의 에러 세트 T={t₁,t₂,…,t_l}를 정정할 수 있다.

여기서, t₁,t₂,…,t_l은 각각 코드 블록의 길이 n₁,n ₂,…,n_l의 코드에 포함된 에러 수이다.

이진(binary) 일반화된 가파 코드일 경우 수학식 8의 는 로 변환된다.

예를 들어, n₁=8, n₂=28이고, 가파 다항식이 (단, )인 (36,18,7)의 일반화된 가파 코드를 고려해보자.

길이 n₁에 대해서 다음 식과 같은 1차 함수를 사용하기로한다.

길이 n₂에 대해서 계수가 GF(2³)에 속하고 GF(2³)하에서는 기약적인(irreducible) 다음과 같은 2차 다항식을 모두 사용하기로한다.

여기서,

수학식 4에 의해 d≥7이고, 이 코드는 를 만족하는 T={t₁, t₂} 의 에러를 정정할 수 있다. t₁ 및 t₂의 범위는 다음 표와 같다.

3차 다항식의 로케이터 세트를 갖는 경우, 길이가 n=n₁+n₂+n₃인 일반화된 가파 코드는 마찬가지로 를 만족하는 에러 세트 T={t₁,t₂,t₃}을 정정할 수 있다.

이러한 가파 코드를 이용하여 공개 키 방식을 이용한 임계치 비밀 공유 방법을 구현할 수 있다. 사용자 모두는 공개된 에러 벡터 e를 알고 있다. 코드 파라미터를 적절하게 선택하여 N=wt(e)인 임계치 비밀 공유 방식(K,N)을 구현할 수 있다. 또한 에러 정정 코드는 (d-1)보다 작거나 같은 수의 에러를 정정할 수 있다. 따라서 사용자들은 wt(e)-K≤(d-1)/2, 즉 2K≥2wt(e)-d+1을 만족하는 적어도 K명이 비밀의 복호화에 참여해야한다. 여기서, 가파 코드를 이용하는 경우 최소 거리 d는 이고, 분리가능한(separable) 가파 다항식 g(x)를 갖는 이진 가파 코드에 대해서 d는 가 된다.

일반적으로, 비밀 복원 과정에 참여하는 사용자들중 자신들이 갖고 있는 비밀 조각에 대해 잘못된 값을 주는 경우가 있을 수 있다. 예를 들어, k₁의 사용자들은 올바른 값을 주고, k₂의 사용자들이 틀린 값을 주었을 경우, 다음 식이 성립한다.

wt(e)-k₁+k₂≤(d-1)/2

2k₁-2k₂≥2wt(e)-d+1

이러한 시스템은 사용자들이 서로 다른 수의 보이스(voice)를 갖고있는 경우로 일반화될 수 있다. 이 때, 보이스는 조각(share)와는 다른 개념으로 하나의 조각은 여러 보이스를 포함할 수 있다.

예를 들어, 에러 정정 가능한 일반화된 가파 코드를 사용한다면, 각 사용자에게 대응하는 보이스는 로케이터의 차수로 결정될 수 있다. 여기서 로케이터 차수는 에러 벡터의 에러 위치 j에 대응하여 사용되는 것으로 사용자에게 알려지는 값이다. 이 경우 다음과 같은 조건에 따라 (k,T) 또는 (K,N)과 같은 가중 비밀 공유 방식을 구현할 수 있다.

T는 시스템에서 전체 보이스의 수를 나타내는 것으로, 에러 벡터의 가중된 웨이트와 같다. 즉, 이다. 여기서 t_i는 의 차수를 갖는 로케이터 다항식의 위치에 대응하는 에러 벡터 e의 논제로 값의 개수이다. N은 참가자의 수로서, 이다. k는 비밀 복원 과정에 참여해야하는 보이스의 수로서, 이다. 여기서 k_i는 의 보이스를 갖는 참가자의 수이고, 를 만족하는 값이다. 분리가능한 가파 다항식을 갖는 이진 가파 코드인 경우에 k는 이다. K는 비밀 복원 과정에 참여해야하는 참가자 수이고, K=k₁+k₂+…+k_l이다.

따라서 본 발명에서는 비밀을 복원하기위해서 k개의 비밀 조각이 아닌 k개의 보이스가 필요하고, 참가자들은 각기 다른 개수의 보이스를 가질 수 있다. 비밀 조각들의 크기는 웨이트 또는 보이스의 개수와는 무관하다.

도 3은 본 발명에 따른 비밀 공유 및 복원 방법에 대한 흐름도를 도시한 것이다. 도시된 바에 따르면, 비밀은 에러 정정 코드, 바람직하기로는 일반화된 가파 코드로 부호화된다(30단계). 생성된 코드는 일반화된 가파 코드에서 로케이터 세트에 의해 결정되는 코드블록과 같이 서로 다른 길이의 복수의 코드블록이 연접되어있는(concatenated) 형태가 된다. 생성된 각 코드블록에 대응하여 에러 벡터의 에러 위치에 따른 보이스를 생성한다(31단계). 에러 벡터는 30단계에서 생성된 코드블록에 대응하는 에러 위치에 따라 서로 다른 보이스를 갖는다. 예를 들어 30단계에서 생성된 코드의 길이가 n=n₁+n₂라면 에러 벡터에서 n₁에 해당하는 에러들에게는 보이스가 1, 그 다음 n₂에 해당하는 에러 들에게는 보이스를 2로 줄 수 있다. 에러 벡터에 대한 보이스가 생성되면, 30단계에서 생성된 코드에 에러 벡터를 더하여 암호화하고 N=wt(e)명의 참가자들에게 배포한다(32단계).

비밀의 복원과정은 다음과 같다. 먼저, 전체 보이스중에 복호화에 필요한 보이스 수, 즉 (k, T)를 설정한다(33단계). 설정된 보이스 수에 따른 참가자 k_i를 결정한다(34단계). 예를 들어, (k=5, T=11)이라면, N=9에 대해, t₁=7, t₂=2이고, 그에 따라 (k₁, k₂)는 k₁+2k₂=k에 의해 (1,2), (3,1), (5,0)의 조합이 될 수 있다. 이 조합들은 각각 (K=3,N=9), (K=4,N=9), (K=5,N=9)의 방식이다. 즉, 참가자 수가 다르더라도 보이스를 이용하여 복원하므로 동일한 복원 결과를 얻을 수 있다.

참가자가 결정되면 해당 참가자들로부터 비밀을 회수하고(35단계), 회수된 비밀에 대해 복호화(decryption)하고 에러 정정 복호화(error correcting decoding)하여 비밀을 복원한다(36단계).

도 4 내지 도 7은 본 발명에 따른 가중 비밀 공유에 따른 비밀 복원 과정을 도시한 것이다.

도 4는 에러 정정가능한 총 웨이트가 3일 때 비밀의 부호화를 설명하는 도면이다. 도시된 좌측 코드블록은 보이스가 1이고, 우측 코드블록은 보이스가 2인 경우를 가정하기로 한다. a는 부호화된 비밀이고, e는 에러 벡터 b는 암호화된 결과이다.

도 5는 보이스가 1인 세 참가자들로부터 비밀을 회수하여 복원하는 과정을 도시한 것이다. 도시된 바에 따르면, 세 참가자에 의해 복호화된 결과인 c는 보이스가 1인 에러 하나와 보이스가 2인 에러 하나를 가지고있다. 이를 에러 정정 복호화 알고리듬을 이용하여 복호화하면 비밀을 복원할 수 있다.

도 6은 각각 보이스가 1과 2인 두 참가자들로부터 비밀을 회수하여 복원하는 과정을 도시한 것이다. 도시된 바에 따르면, 두 참가자에 의해 복호화된 결과인 c는 보이스가 1인 에러 셋을 포함하고 있다. 따라서 c를 에러 정정 복호화 알고리듬을 이용하여 복호화하면 비밀을 복원할 수 있다.

도 7은 보이스가 1인 두 참가자들로부터 비밀을 회수하여 복원하는 과정을 도시한 것이다. 도시된 바에 따르면, 두 참가자에 의해 복호화된 결과인 c는 보이스가 1인 에러 둘과 보이스가 2인 에러 하나를 포함하고 있다. 이는 정정가능한 웨이트인 3을 초과하는 것이므로 에러 정정 복호화 알고리듬에 의해 복원되지않음을 알 수 있다. 즉, 정정가능한 에러의 수는 보이스가 반영된 에러 수보다 크거나 같을 때 복원이 가능함을 알 수 있다.

본 발명에 따르면, 균등하지않은 에러 정정 능력을 갖는 에러 정정 코드를 사용함으로써 비밀 공유의 웨이트가 크기에 의지하지않는 방식을 실현할 수 있다. 또한 가중 비밀 공유 방식을 위한 구성이 종래 기술에 비해 비교적 간단하다.

도 1은 (k,N) 임계치 비밀 공유 방식에 대한 개념도를 도시한 것이다.

도 2는 본 발명에 따른 (K,N) 임계치 가중 비밀 공유 방법에 대한 개념도를 도시한 것이다.

도 3은 본 발명에 따른 비밀 공유 및 복원 방법에 대한 흐름도를 도시한 것이다.

도 4는 에러 정정가능한 총 웨이트가 3일 때 비밀의 부호화를 설명하는 도면이다.

도 5는 보이스가 1인 세 참가자들로부터 비밀을 회수하여 복원하는 과정을 도시한 것이다.

도 6은 각각 보이스가 1과 2인 두 참가자들로부터 비밀을 회수하여 복원하는 과정을 도시한 것이다.

도 7은 보이스가 1인 두 참가자들로부터 비밀을 회수하여 복원하는 과정을 도시한 것이다.

Claims

비밀을 소정 코드로 부호화하는 단계;

에러 벡터에서 에러 위치에 따라 에러를 가중하는 보이스를 생성하는 단계; 및

상기 에러 벡터를 이용하여 상기 코드를 암호화하여 복수의 참가자들에게 배포하는 단계를 포함함을 특징으로하는 비밀 공유 방법.
제1항에 있어서, 상기 코드는

상기 코드의 생성 다항식으로부터 결정되는 서로 다른 길이의 코드블록이 연접된 형태로 배열되는 코드워드를 갖는 것을 특징으로하는 비밀 공유 방법.
제2항에 있어서, 상기 보이스는

상기 에러 벡터에서 상기 코드블록별로 대응되는 에러에 대해 서로 다르게 가중되도록 설정되는 것을 특징으로하는 비밀 공유 방법.
비밀을 소정 코드로 부호화하고, 에러 벡터에서 에러 위치에 따라 에러를 가중하는 보이스를 생성하며, 상기 에러 벡터를 이용하여 상기 코드를 암호화하여 복수의 참가자들에게 배포된 비밀을 복원하는 방법에 있어서,

전체 보이스 수중에서 상기 코드를 복호화하는데 필요한 보이스 수를 설정하는 단계;

상기 설정된 보이스 수에 의한 참가자들을 결정하는 단계;

결정된 참가자들로부터 비밀을 회수하는 단계; 및

상기 비밀을 역암호화하고 에러 정정 복호화하여 복원하는 단계를 포함함을 특징으로하는 비밀 복원 방법.
제4항에 있어서, 상기 설정된 보이스 수는

상기 생성된 보이스를 갖는 참가자의 수와 해당 보이스의 곱을 모두 합한 것임을 특징으로하는 비밀 복원 방법.
제4항에 있어서,

상기 에러 정정 복호화의 에러 정정 능력은, 상기 복호화후 남아있는 에러들과 각 에러에 대응하는 보이스의 곱을 합한 것보다 크거나 같을 때 상기 비밀을 복원하는 것을 특징으로하는 비밀 복원 방법.
비밀을 소정 코드로 부호화하는 단계;

에러 벡터에서 에러 위치에 따라 에러를 가중하는 보이스를 생성하는 단계;

상기 에러 벡터를 이용하여 상기 코드를 암호화하여 복수의 참가자들에게 배포하는단계;

전체 보이스 수중에서 상기 코드를 복호화하는데 필요한 보이스 수를 설정하는 단계;

상기 설정된 보이스 수에 따른 참가자들을 결정하는 단계;

결정된 참가자들로부터 비밀을 회수하는 단계; 및

상기 비밀을 복호화하고 에러 정정 복호화하여 복원하는 단계를 포함함을 특징으로하는 비밀 공유 및 복원 방법.
제7항에 있어서, 상기 코드는

상기 코드의 생성 다항식으로부터 결정되는 서로 다른 길이의 코드블록이 연접된 형태로 배열되는 코드워드를 갖는 것을 특징으로하는 비밀 공유 및 복원 방법.
제8항에 있어서 상기 보이스는

상기 에러 벡터에서 상기 코드블록별로 대응되는 에러에 대해 서로 다르게 가중되도록 설정되는 것을 특징으로하는 비밀 공유 및 복원 방법.
제9항에 있어서, 상기 설정된 보이스 수는

상기 코드블록에 대응하여 생성된 보이스와 해당 보이스를 갖는 참가자의 수의 곱을 모두 합한 것임을 특징으로하는 비밀 공유 및 복원 방법.
제8항에 있어서, 상기 전체 보이스의 수는

상기 코드블록이 갖는 웨이트와 상기 코드블록에 대응하는 보이스를 곱을 모두 합한 것임을 특징으로하는 비밀 공유 및 복원 방법.
제7항에 있어서,

상기 에러 정정 복호화의 에러 정정 능력은, 상기 복호화후 남아있는 에러들과 각 에러에 대응하는 보이스의 곱을 합한 것보다 크거나 같을 때 상기 비밀을 복원하는 것을 특징으로하는 비밀 공유 및 복원 방법.