KR20090031505A - 의사난수 스트링을 생성하기 위한 방법 및 장치 - Google Patents

Abstract

의사난수 스트링을 생성하기 위한 방법 및 장치

본 발명은 암호화 절차에서 사용되도록 의도되는 기수(cardinal) ｑ≥2의 유한체(K)에 속하는 항들의 의사난수 스트링을 생성하기 위한 방법에 관한 것으로, 상기 방법은 상기 유한체(K)에 속하는 n 변수들을 갖는 m 다항식들의 연립방정식(

)의 반복적 계산을 포함한다. 본 발명에 따르면, 상기 m 다항식들의 계수들이 매 반복마다 재생된다. 본 발명은 또한 상기 방법을 구현하도록 의도되는 의사난수 스트링 생성기에 관한 것이다.

Description

의사난수 스트링을 생성하기 위한 방법 및 장치 {METHOD AND DEVICE FOR GENERATING A PSEUDORANDOM STRING}

본 발명은 주어진 알파벳에 속하는 심볼들의 의사난수 스트링들을 생성하는 것에 관한 것이다. 이러한 스트링들은 특히 일부 암호화 절차들에서 사용된다.

의사난수 스트링은, 비록 결정론적으로 생성되더라도, 각각의 심볼이 알파벳으로부터 완전히 무작위로 선택되는 심볼들의 스트링으로부터 적어도 합리적인 시간 내에서 구분하기가 불가능한 것이다(합리적인 시간의 의미는 목표 애플리케이션 및 이용 가능한 컴퓨테이션 파워에 명백하게 관련된다). 실제로, 의사난수 스트링은 비밀 파라미터(콘텍스트에 따라, 시드(seed) 또는 키라고 불림), 그리고 적절한 경우 비밀적일 수도 있고 아닐 수도 있는, 초기화 벡터로 불리는 추가 파라미터를 이용하여 적절한 알고리즘을 초기화함으로써 일반적으로 생성된다.

상기에서 언급되는 알파벳은 이진 세트 {0,1}일 수 있으며, 0 내지 9의 디짓(digit)들의 세트 또는 알파뉴머릭(alphanumeric) 세트는 이러한 디짓들과 대문자 및 소문자(uppercase and lowercase letters)를 포함한다. 본 발명의 콘텍스트에서는, 알파벳의 심볼들이 기수(cardinal) ｑ≥2의 유한체(K) 또는 갈루아체(Galois body) GF(ｑ)에 속한다.

의사난수 스트링들의 중요 애플리케이션은 스트림 암호화이다. 이 기법은 알파벳 내 값들을 갖는 클리어 내 데이터의 스트링 {x_i}을 동일한 알파벳 내 값들의 다른 스트링 {z_i}을 통해 (암호론적 관점으로) 암호화하는데 이용되는데, 여기서 {z_i}은 역시 상기 알파벳 내 값들을 갖는 암호화된 스트링 {y_i}을 생성하기 위해 의사난수 생성기에 의해 생성되는 스트링이다. 다시 말해, 상기 알파벳 내에서 내부 합성 y_i = x_i*z_i의 법칙이 선택된다; 예컨대, 상기 내부 법칙은 알파벳이 이진 알파벳 {0,1}일 경우 배타적 OR 연산자일 수 있다. 스트림 암호화는 또한 플라이(fly) 암호화에 대해서도 공지되어 있는데, 그 이유는 데이터의 블록들에 대해 동작하는 암호화 방법들과 대조적으로 데이터 워드들이 하나씩 암호화되기 때문이다. 블록 암호화와 비교하여, 스트림 암호화는 전송 지연 및 데이터 저장 문제점들을 감소시키는 장점을 갖지만, 명백하게 적어도 클리어 내 데이터의 데이트율만큼 높은 의사난수 심볼 데이터율을 요구한다; 그러므로, 스트림 암호화에 대한 애플리케이션은 상대적으로 고속 의사난수 스트링 생성기들에 대하여 남겨진다.

스트림 암호화는 TLS(전송 계층 보안) 인터넷 연동 보호 프로토콜("The TLS Protocol", T.Dierks and C.Allen, version 1.0, RFC 2246, January 1999 참조)에서 사용되는데, 그 가운데 가장 널리 사용되는 스트림 암호화 알고리즘 중 하나는 RC4 알고리즘("Linear Statistical Weakness of Alleged RC4 Keystream Generator", J.O.Golic, proceedings of "Advances in Cryptology - EUROCRYPT '97", pages 226 to 238, editor W.Fumy, Lecture Notes in Computer Science vol.1233, Springer-Verlag 참조)이며, 상기 스트림 암호화는 무선 채널 트래픽에서 사용되고, GSM 시스템에서는 시그널링 암호화가 사용되는데, 가장 널리 사용되는 알고리즘 중 하나는 A5/1 알고리즘("Real Time Cryptanalysis of A5/1 on a PC", A.Biryukov, A.Shamir, and D.Wagner, Proceedings of FSE 2000, pages 1 to 18, editor B.Schneier, Springer-Verlag 2000)이다.

의사난수 스트링들의 다른 중요한 애플리케이션들도 존재하는데, 예컨대 확률 계산들과 공용 키 인증 암호 프로토콜들이다.

현재의 많은 스트림 알고리즘, 예컨대 상기에서 언급된 A5/1 알고리즘은 어쩌면 비-선형 함수들을 이용하여 결합된, 선형 피드백 레지스터들에 의해 생성되는 순환적 선형 스트링들을 이용한다("Le chiffrement a la volee" ["Onthe fly encryption"], A.Canteaut, special issue of the review "Pour la Science", pages 86 and 87, Paris, July-October 2002 참조). 이러한 알고리즘은 고속 의사난수 스트링 생성기들에서 구현될 수 있지만, 보안성에 있어서 경고되는데, 왜냐하면 완전히 무작위적인 스트링들로부터 생성되는 의사난수 스트링들을 구분하는 실제 문제에서 불가능성에 관련하여, 커다란 신뢰성이 제공될 수 있는 것에 관한 강력한 보안성 논거들이 부족하기 때문이다.

프랑스 특허 출원 05 06041은 암호 절차에서 사용되도록 의도되는 ｑ≥2의 유한체(K)에 속하는 용어들의 의사난수 스트링들에 대한 생성기를 개시한다. 상기 생성기는 초기화로부터 K의 엘리먼트들의 n-튜플

, K의 엘리먼 트들의 n-튜플

(i=1,2,...)을 반복적으로 계산하기 위한 수단을 포함하는데, 각각의 n-튜플

은 미리 결정된 방식으로 K의 엘리먼트들의 m-튜플

로부터 유도되고, 상기 의사난수 스트링의 용어는 미리 결정된 방식으로 n-튜플들

및/또는 m-튜플들

로부터 추출된다. 상기 생성기는, i의 하나 이상의 값들에 대하여, n-튜플

의 성분들에 K 내 계수들을 갖는 미리 결정된 이차식(quadratic form)을 적용시킴으로써, m-튜플

의 하나 이상의 성분들

(k=1,2,...,m)을 획득하기 위한 수단을 더 포함하는 것이 주목할만하다.

상기 의사난수 생성기는, 유한체 상에서 이차방정식들의 연립방정식을 해결하는 문제점에 관하여 주어진 난점에서, 높은 수준의 보안성을 제공하는 알고리즘을 이용한다. 복잡성 이론의 공통적으로 받아들여지는 추측 P≠NP에 대한 검증에 따라, 유한체(K)가 고려한 것은 무엇이든지, 주어진 후보가 다항식 시간으로 수행될 수 있는 연립방정식에 관한 솔루션인지 아닌지의 여부를 검증하더라도, 상기 문제점을 해결하는 것은 다항식 시간 그 이상을 요구하는 것을 알 수 있다(이러한 종류의 문제점은 NP-하드 문제점으로 불린다). 또한, 상대적으로 적당한 m 및 n의 사이즈에 대해서도(예컨대, K=GF(2)이고 m 및 n은 100 이상), m 및 n의 값들이 충분히 가까울 경우, 상기 문제점의 난수 인스턴스들을 해결하는 효과있는 방법은 현재 공지되어 있지 않다.

이처럼, 프랑스 특허 출원 05 06041에 따른 의사난수 생성기가 충분히 효과적일 수 있는지의 여부, 즉 구상될 산업 규모에 있어서 생성된 스트링의 각각의 심 볼에 대하여 이러한 종류의 생성기를 사용하기에 충분히 작은(적어도 적절한 파라미터 값들에 대하여, 그러나 그럼에도 불구하고 여전히 어려운 것으로 간주되는 직전에 언급된 문제점에 대해서는 충분히 높은) 컴퓨테이션 자원들(시간, 메모리 등)을 요구할 수 있는지의 여부를 결정하는데 있어서 의문점이 일어난다.

요구되는 계산 자원들에 관한 상기 의문점은 특히 이러한 타입의 의사난수 생성기를 배선 논리칩들(hardwired logic chips)과 같은 저렴한 전자 시스템들에 통합시키는 가능성에 관한 것이다. 배선 전자 논리 회로들은 트랜지스터들로부터 생성되는 논리 게이트들로 이루어진다(모든 논리 함수들 중에서 두 개의 타입들의 논리 게이트들, 즉 NAND 게이트들 및 NOR 게이트들을 이용하는 프로그램을 생각하는 것도 가능하다). 그러므로, 논리 회로를 구현하는데 요구되는 논리 게이트들의 개수는 특히 회로의 사이즈, 회로의 전류 소모량, 회로의 비용을 반영한다.

그러므로, 보다 상세하게, 프랑스 특허 출원 05 06041의 의사난수 생성기에서 수행되는 계산들을 고려해 보자.

생성기는 반복 i마다, 적어도 하나의 변수

(k=1,2,...,m)를 n 변수들

(j=1,2,...,n)과 연관시키는 하나 이상의 이차식(들)을 반복적으로 호출한다. 그러므로, 상기 연관은 입력 값들의 n-튜플

과 출력 값들의 m-튜플

을 연관시키는 특정 함수 "G"로 이루어진다. 그러므로, 상기 함수 G는 유한체(K) 상에서 m 다변수 이차 다항식들의 연립방정식(G)(즉, x1 내지 x_n의 n개의 변수들을 갖는, n>1)에 대응한다. 이러한 다항식들은 그러므로 하기의 형태 를 가지며, 여기서 계수들은 K에 속하고, 양들 y_k도 K에 속한다:

이러한 종류의 생성기를 구현하기 위한 종래 방식에서는, 이러한 계수들의 값들이 메모리에 저장될 것이고, 상기 m 다항식들의 값들은 매 반복마다 계산될 것이다. 그러므로, m.N에 동등한 모든 개수의 계수들을 저장할 필요가 있을 것이며, 이때 상기 N은 각각의 다항식의 항들의 개수이다. n개의 변수들을 갖는 이차다항식에 대하여, 상기 항 개수 N이

에 동등함을 검정하는 것은 간단한 문제이다.

또한, 어려운 것으로 간주될, K 상에서 n이 알려지지 않은 m 이차방정식들의 연립방정식을 해결하기 위해, m 및 n의 값들이 충분히 크고 그들의 차수(order of magnitude)가 충분히 가까운 것이 바람직하다. 따라서, n의 높은 값들에 대해, 그리고 n의 값들과 동일한 차수의 m의 값들에 대해, 저장될 계수들의 개수는 n³의 오더(order)를 갖는다. 예컨대, n이 거의 100에 동등한 경우, 거의 백만 개의 계수들이 저장되어야 한다.

결과적으로, 프랑스 특허 출원 05 06041에 따른 의사난수 생성기의 종래 구현은 상기 생성기를 배선 논리칩에 통합시키는 구상을 가능하게 하기 위하여 너무 많은 전자 게이트들을 요구한다. 높은 차수(degree)의 다항식들이 계산 자원들의 적절한 증가를 댓가로 생성기가 더욱 안전하게 되도록 하는 장점을 가지더라도, 배선 논리칩 안으로, 다변수 다항식들 중 일부가 2보다 높은 전역 차수(global degree)를 갖는 다변수 다항식들의 연립방정식을 이용하는 의사난수 생성기를 삽입하는 구상이 더욱 실행 가능성이 떨어짐은 말할 필요도 없다.

그러므로, 본 발명은 암호화 절차에서 사용되도록 의도되는 기수 ｑ≥2의 유한체(K)에 항들이 속하는 의사난수 스트링의 생성기에 관한 것으로, 상기 생성기는 유한체(K)에 속하는 n 변수들을 갖는 m 다항식들의 연립방정식(

)을 반복적으로 계산하기 위한 수단을 포함한다. 상기 의사난수 스트링 생성기는 상기 m 다항식들의 계수들이 매 반복마다 재생되는 점에서 주목할만하다.

따라서, 본 발명은 적은 개수의 파라미터들에 기초하여 매 반복마다 다항식들의 계수들을 생성(예컨대 재생)하며, 그리하여 본 발명의 생성기가 동작하는데 요구되는 메모리 사이즈가 매우 적당해진다.

발명자들은, 나이브하게(naively) 예상될 수 있는 것과 대조적으로, 본 발명이 수반하는 추가 계산 부하가 전체 계산 시간에 대해 거의 영향을 끼치지 않도록 구현했다. 상대적으로 높은 차수의 다항식들에 대한 계산 시간이 상대적으로 짧기 때문에, 잘 알려진 바와 같이, 많은 다항식들이 있고 다항식들이 많은 변수들의 함수임에도, 본 발명은 고속(및 그에 따라 예컨대 스트림 암호화를 위해 사용될 수 있음)이면서도, 저렴한 계산 장치들에 적합한 의사난수 생성기를 제공하며, 이러한 장점들은 앞서 언급된 증가된 보안성에 추가적인 것이다.

높은 속도가 주요 요구사항일 경우, 연립방정식을 형성하는 상기 다항식들의 각각은 유용하게도 기껏해야 이차다항식이다.

특정한 특징들에 따르면, 의사난수 스트링 생성기는 선형 시프트 레지스터 형태의 계수 생성기 모듈을 포함한다.

대안적으로, 계수 생성기 모듈은 비선형 시프트 레지스터 또는 유한상태유한상태머신 형태를 취할 수 있다.

이러한 특징들을 통해, 많은 수의 계수들이 작은 전자 메모리를 이용하여 생성될 수 있다.

특정한 특징들에 따르면, 주어진 n-튜플의 변수들

에 대해서, 다항식들의 전역 차수 전부가 D 이하인 연립방정식(

)의 m 다항식들에 의해 취해지는 m-튜플의 변수들

을 계산하기 위하여, 생성기는:

ㆍ차수 D의 n 변수들을 갖는 일반 다항식의 주어진 세트의 항들에 대하여 프로세싱 오더를 선택하기 위한 수단;

ㆍ상기 프로세싱된 항들에 대하여, 동일한 오더로 상기 변수들에 대한 단항식을 계산하고, 그런 다음에 후속하여 m 다항식들에 대하여, 상기 항의 계수를 생성하고 상기 계수를 상기 단항식과 곱하여 상기 항의 값을 획득하기 위한 수단을 포함한다.

이러한 특징들을 통해, 변수들에 대한 각각의 인자가 m번이 아니라 단 한 번 계산된다.

상관적인 방식으로, 본 발명은 암호화 절차에서 사용되도록 의도되는 기수(cardinal) ｑ≥2의 유한체(K)에 속하는 항들의 의사난수 스트링을 생성하는 방법에 관한 것으로, 상기 방법은 유한체(K)에 속하는 n 변수들을 갖는 m 다항식들의 연립방정식(

)을 반복적으로 계산한다. 상기 의사난수 스트링을 생성하는 방법은 m 다항식들의 계수들이 매 반복마다 재생된다는 점에서 주목할만하다.

특정한 특징들에 따르면, 상기 다항식들의 각각은 기껏해야 이차다항식이다.

특정한 특징들에 따르면, 주어진 n-튜플의 변수들

에 대해서, 다항식들의 전역 차수 전부가 D 이하인 연립방정식(

)의 m 다항식들에 의해 취해지는 m-튜플의 변수들

을 계산하기 위하여, 상기 방법은:

ㆍ차수 D의 n 변수들을 갖는 일반 다항식의 주어진 세트의 항들에 대하여 프로세싱 오더를 선택하는 단계;

ㆍ상기 프로세싱된 항들에 대하여, 동일한 오더로 상기 변수들에 대한 단항식을 계산하고, 그런 다음에 후속하여 m 다항식들에 대하여, 상기 항의 계수를 생성하고 상기 계수를 상기 단항식과 곱하여 상기 항의 값을 획득하는 단계를 포함한다.

이러한 방법들의 장점들은 간략하게 전술된 상관된 의사난수 시퀀스 생성기들의 장점들과 본질적으로 동일하다.

본 발명은 또한:

ㆍ간략하게 전술된 의사난수 스트링 생성기들 중 어떤 것도 포함하는 전자 회로, 특히 배선 논리칩;

ㆍ간략하게 전술된 의사난수 스트링을 생성하는 방법들 중 어떠한 방법의 단계들도 실행하기 위한 컴퓨터 프로그램 코드 명령어들을 포함하는 제거 불가능 데이터 저장 수단;

ㆍ간략하게 전술된 의사난수 스트링을 생성하는 방법들 중 어떠한 방법의 단계들도 실행하기 위한 컴퓨터 프로그램 코드 명령어들을 포함하는 부분적으로 또는 완전히 제거 가능한 데이터 저장 수단; 및

ㆍ프로그램이 프로그램 가능 데이터 프로세싱 장치를 제어할 때, 명령어들이 상기 데이터 프로세싱 장치가 간략하게 전술된 의사난수 스트링을 생성하는 방법들 중 어떠한 것도 실행하도록 유발하기 위하여 상기 명령어들을 포함하는 상기 컴퓨터 프로그램에 관한 것이다.

상기 전자 회로, 상기 데이터 저장 수단 및 상기 컴퓨터 프로그램의 장점들은 상기 방법들의 장점들과 본질적으로 동일하다.

본 발명의 다른 측면들 및 장점들은 비제한적인 예시로서 제공되는 특정한 실시예들에 대한 하기의 상세한 설명을 읽음에 따라 명백하게 될 것이다. 상세한 설명은 동반되는 도면들을 참조한다.

도 1은 의사난수 스트링을 생성하기 위한 본 발명의 일실시예의 방법을 나타내는 블록도, 및

도 2는 본 발명의 일실시예의 의사난수 생성기를 나타내는 블록도.

상기 설명한 바와 같이, 본 발명의 의사난수 스트링 생성기의 보안성(즉, " 해커"가 제1 i 항들로부터의 출력에서 스트링의 (i+1)^번째 항을 계산하는 것에 관한 불가능성)은 유한체(K) 상에서 n이 알려지지 않은 m 방정식들을 해결하는 문제점의 난점에 기초한다.

일실시예에서, 이러한 방정식들은 프랑스 특허 출원 05 06041에서와 같이 전부 이차방정식들일 수 있다(설명의 단순성을 위해, "이차방정식" 및 "이차다항식"의 표현들은 일부 방정식들, 각각 일부 다항식들이 선형일 때에도 사용된다 - 이는 연립방정식의 적어도 한 방정식, 각각 적어도 한 다항식이 실제로 이차다항식인 것으로 이해된다). 상기 문제점은 하기와 같이 정확하게 공식화될 수 있다:

ㆍ유한체(K)에 속하는, n이 알려지지 않은 x₁ 내지 x_n의 m 이차방정식의 연립방정식(

)이 제공될 때, 공식은

이때, 계수들

,

및

은 K에 속하고, 양들 y_k도 K에 속한다;

ㆍ솔루션

을 발견한다.

연립방정식(

)에 의해 기술된 "

"은 함수이며, 상기 함수는 입력 값들의 n-튜플

및 출력 값들의 m-튜플

을 연관시킨다.

의사난수 생성기는 적어도 하나의 변수

(k=1,2,...,m) 및 n 변수들

(j=1,2,...,n)을 연관시키는 하나 이상의 이차식(들)을 반복적으로 호출한다. 전술된 바와 같이, 파라미터들 q, m 및 n은 바람직하게:

ㆍm 및 n의 값들이 충분히 높고 그들의 차수가 충분히 근접(예컨대 qⁿ 및 q^m 모두가 2⁸⁰ 및 2⁴⁰⁰ 사이)한 것을 요구하는, K 상에서 n이 알려지지 않은 m 이차방정식들의 연립방정식을 해결하는 것이 어려운 것으로 고려될 수 있도록; 및

ㆍq,m 및 n의 값들이 충분이 작을 것(예컨대, q가 100 미만이고, m 및 n이 수백 미만)을 요구하는 계산들이 효율적으로 수행될 수 있도록, 선택된다.

또한, 본 발명에 따르면, 상기 이차식들의 계수들은 매 반복마다 재생(예컨대 재계산)된다.

0 계수들의 개수가 클수록 계산들이 더 빨라지는 것은 명백하다; 그러나, (하기에서

으로 지시되는) 이차항들의 계수의 충분한 개수가 실제로 불가능한 방정식들의 연립방정식을 해결하기 위해 0이 되는 것에 대한 주의가 이루어져야 한다; 실행 속도를 높이기 위해 일부 방정식들(그러나, 명백하게 방정식들 모두는 아님)이 변수들 전부에 대해 선형일 경우, (이론적으로) 상기 연립방정식을 더 용이하게 해결하는 사실을 보상하기 위하여, 계수들을 생성하는 방법이 비밀로 유지되는 것이 권고된다.

의사난수 스트링을 생성하기 위한 본 발명의 방법의 상관적인 실시예가 도 1에서 도시된다. 이 실시예에서, i의 각각의 값에 대하여, m-튜플

의 모든 성분들이 K 내의 계수들을 갖는 이차식들을 n-튜플

의 성분들에 적용시킴으로써 계산된다.

무엇보다도, 초기화 단계 동안에, n-튜플 X⁽⁰⁾이 구성된다. 생성기의 의도된 사용에 따라, X⁽⁰⁾은 공용 시드, 비밀 키, 초기화 벡터 또는 이러한 요소들의 조합에 따라 좌우될 수 있다; 초기화 벡터는 추가 파라미터이고, 일반적으로는 비밀이 아니며, 다수의 상이한 의사난수 스트링들을 생성하기 위해 동일한 비밀 키가 한번 이상 사용되는 것을 가능하게 한다.

그런 다음에 반복적 단계들이, 초기 상태 X⁽⁰⁾으로부터 및 하기에서 기술되는 방법에 의해, 의사난수 스트링 Z⁽ⁱ⁾(i=1,2,...)을 생성하도록 실행되며, 상기 의사난수 스트링은 K의 t-튜플들의 요소들로 구성되는데, t는 1 내지 m 사이의 상수이다. 반복들의 총 횟수는 예컨대 1 내지 2⁵⁰ 사이에 있을 수 있다.

t^번째 반복마다, K의 n-튜플의 요소들로 구성된 현재 상태

이 하기의 하위단계들을 실행하기 위한 입력 값으로서 취해진다:

1) K의 m-튜플 Y⁽ⁱ⁾의 값들이 상기 정의된 함수

, 즉

를 이용하여 X(i-1)로부터 차감된다;

2) 출력 값 Z⁽ⁱ⁾가 쌍

에 선택된 출력 함수 S, 즉

을 적용시킴으로써 획득된다; 및

3) K의 n-튜플의 값들로 구성된 새로운 현재 상태 X⁽ⁱ⁾가 쌍

에 선택된 피드백 함수 F, 즉

를 적용시킴으로써 획득된다.

상기 방법은 (두 개의 연속적인 반복들을 커버링하는) 도 1에서 순차적 방식으로 도시되나, 루프 방식으로도 동등하게 표현될 수 있다. 여기에서 지적해야할 중요한 점ㆍ은, 방법의 연속적인 단계들이 하나의 전자 회로에 의해 구현될 수 있다는 점이다.

피드백 함수 F 및 출력 함수 S에 대한 가능한 선택들의 예시들로서 전술된 프랑스 특허 출원 05 06041을 참고할 수 있다. 또한, 적어도 스트링 Z⁽ⁱ⁾에 기초하여, 출력에서 심볼들(예컨대 이진 심볼들)의 다양한 의사난수 스트링들을 구성하기 위한 수단의 예시로서 상기 출원을 참고할 수 있다.

도 2는 본 발명의 의사난수 스트링 생성기의 일실시예를 나타낸 도면이다. 상기 생성기는 하기의 모듈들을 포함한다:

ㆍ계산될 다항식들의 연립방정식의 입력 변수들의 값들을 저장하기 위한 메모리(100);

ㆍ계산의 끝에서, 계산될 다항식들 중 하나 이상에 의해 취해지는 변수를 저장하고, 중간 값 저장 유닛으로서 동시에 제공되도록 의도되는 메모리(500);

ㆍ계산될 다항식들의 연립방정식에 동반되는 다양한 단항식들의 값들을 (미리 결정된 오더로) 생성하기 위한 모듈(200) - 상기 단항식 생성기 모듈(200)은 선택적으로 자신의 고유 메모리를 가짐;

ㆍ계산될 다항식들의 연립방정식을 정의하는 계수들의 시퀀스를 생성하기 위 한 모듈(300) - 상기 모듈(300)은 자신의 고유 메모리를 가짐; 및

ㆍ다항식들의 값들을 저장하고 있는 상기 메모리(500)를 갱신하기 위하여 단항식들의 값들과 상기 계수들을 곱하기 위한 합성 모듈(400).

상기 계수 생성기 모듈(300)의 특히 유용한 일실시예가 하기에서 기술된다.

본 발명의 의사난수 생성기의 정확한 동작을 위해, 매 반복에 동일한 함수

를 적용할 필요가 없다는 것을 알아둬야 한다; 즉, m 다항식들의 각각의 계수 값이 반복마다 가변하는 것을 방지하는 것이, 이러한 것이 편리한 것으로 증명되는 한, 아무것도 없다. 본 실시예는 이것을 능숙하게 사용한다.

계수 생성기 모듈(300)의 제1 실시예는 선형 피드백 시프트 레지스터(LFSR) 형태를 취한다.

LFSR은, 선행 클록 펄스를 통해 다양한 메모리들에 저장되는 값들의 주어진 선형 합성에 의해 교체되는 메모리 a_l에 저장되는 값을 제외하고서, 각각의 메모리 a_i 내에 저장된 값을 메모리 a_i+1에 저장된 값으로 교체함으로써, 각각이 클록 펄스마다 리프레쉬되는 l 메모리들 a₁,a₂,...a_l의 세트로 구성된다.

선형 시프트 레지스터들로부터의 출력 비트들은 전통적으로 의사난수 비트 스트링들로서 사용된다.

본 발명에 따르면, LFSR 출력 데이터는 출력 값들 Z⁽ⁱ⁾를 바로 생성하기 위해서가 아니라 m 다항식들의 계수들을 생성하기 위해서 유용하게 사용된다. LFSR은 메모리 내 r 비트들만으로부터 및 r 오더의 논리 게이트들만을 포함하는 전자 회로 를 사용하여 길이 (2^r-1)의 의사난수 스트링을 생성한다.

예컨대, 이진체 GF(2) 상에서 n=80의 변수들을 갖는 m=80의 다변수 다항식들을 포함하는 연립방정식(

)에서, 상기 연립방정식의 mㆍN

259200 계수들은 나이브(naive) 구현의 259200 비트들이 아니라 r=18 비트들을 갖는 선형 시프트 레지스터로부터 생성될 수 있다.

제2 실시예에서, 계수 생성기 모듈(300)은 비선형 피드백 시프트 레지스터(NLFSR) 형태를 취한다. 선형 피드백 시프트 레지스터와 비교하여, 비선형 피드백 시프트 레지스터는 전자 게이트들의 개수에 있어서 아주 약간 더 비싸지만, 생성기의 출력에서 생성되는 항들의 스트링의 무작위 성향을 크게 향상시킨다.

제3 실시예에서, 계수 생성기 모듈(300)은 하기를 포함하는 유한상태유한상태머신 형태를 취한다:

ㆍ매 클록 펄스마다 갱신되는 메모리;

ㆍ상기 메모리를 갱신하기 위한 회로; 및

ㆍ상기 메모리에 저장된 데이터를 확장하기 위한 확장 회로.

"확장 회로"란 표현은 메모리 내 g 비트들로부터 f 비트들을 생성하도록 적응된 회로를 일컬으며, f>g이다. 예컨대, f가 h의 배수일 경우, f 비트들의 세트는 하위세트들로 분할될 수 있고, 그 이후에 h 비트들의 상기 하위세트들의 각각은 믹서들의 스트링으로 통과되며, 비트들의 결과적 스트링들이 최종적으로 연결된다.

유한상태유한상태머신에서, 모든 메모리 값들(확장 전)은 매 클록 펄스마다 리프레쉬되는 반면에, 시프트 레지스터에서는, 메모리 내 한 개의 값만이 매 클록 펄스마다 리프레쉬된다. 그러므로, 유한상태머신은 시프트 레지스터보다 더 빠른 계산들을 수행하지만, 전자 게이트들의 개수에 있어서 비용에서의 일정한 증가가 있다.

그러나, 상기 실시예들은 매 반복마다 신속하게 그리고 소수의 전자 게이트들을 사용하여 연립방정식(

)의 계수들을 생성한다.

단항식 값 생성기 모듈(200)의 상이한 실시예들이 또한 구상될 수 있다. 단순한 기술을 위해, (i 및 j가 1 내지 n에서 가변할 때, x_ix_j 타입의) 이차항들의 계산만이 여기에서는 고려된다.

"나이브" 구현은 교대로 변수들의 모든 쌍들을 고려한다; 그러므로 계산은 n² 클록 펄스들을 요구한다.

그러나, 단항식들은 대신에 하기와 같이 계산될 수 있다: 변수들

의 값들의 현재 스트링의 두 개의 복사본들이 메모리에 저장된다.

"페이싱(facing)" 항들을 계산하는 것은 먼저 n 제곱들 x_i ²를 생성한다. 한자리씩 원순열이 그런 다음에 상기 변수들

의 값들의 스트링들 중 하나에 적용된다; "페이싱" 항들을 계산하는 것은 다시 n 프로덕트들 x₁x₂, x₂x₃,..., x_nx_l을 생성한다. n 곱하기 n의 단항식들을 계산하는 상기 과정은 n² 프로덕트들이 획득되기 전까지 지속된다. 결국, 곱셈이 교환적이면서 단지 n/2 클록 펄스들인 것이 요구되지만, 이 장치는 "나이브" 구현의 두 배만큼 큰 메모리를 요구한다.

마지막으로, 다음 차례 항으로 넘어가기에 앞서, "병렬적인" 모든 다항식들에 대하여 동일한 타입의 각각의 항을 계산하기 위하여, 모듈(300) 내 계수들의 생성 및 모듈(200) 내 단항식들의 생성을 결합시킴으로써, 속도가 증가될 수 있고 메모리 용량이 절약될 수 있다. 예컨대, 이차다항식들의 연립방정식에서, (각각의 타입 x_ix_j, x_j, 또는 1의) 대응하는 변수들에 대한 대응하는 단항식이 계산되고, 그 이후에, 잇달아 m 다항식들에 대하여, (각각 타입

,

또는

의) 상기 항의 계수가 생성되고 그런 다음에 상기 항의 값을 얻기 위해 상기 단항식과 곱해진다.

Claims (14)

1. 암호화 절차에서 사용되도록 의도되는 기수(cardinal) ｑ≥2의 유한체(K)에 속하는 항들의 의사난수 스트링 생성기로서,

   상기 생성기는 유한체(K)에 속하는 n 변수들을 갖는 m 다항식들의 연립방정식(

   

   )을 반복적으로 계산하기 위한 수단을 갖고,

   상기 m 다항식들의 계수들이 매 반복마다 재생되는,

   의사난수 스트링 생성기.
2. 제 1 항에 있어서,

   상기 연립방정식(

   

   )을 형성하는 상기 다항식들의 각각은 기껏해야 이차다항식인,

   의사난수 스트링 생성기.
3. 제 1 항 또는 제 2 항에 있어서,

   상기 생성기는 선형 시프트 레지스터 형태의 계수 생성기 모듈(300)을 포함하는,

   의사난수 스트링 생성기.
4. 제 1 항 또는 제 2 항에 있어서,

   상기 생성기는 비선형 시프트 레지스터 형태의 계수 생성기 모듈(300)을 포함하는,

   의사난수 스트링 생성기.
5. 제 1 항 또는 제 2 항에 있어서,

   상기 생성기는 유한상태머신 형태의 계수 생성기 모듈(300)을 포함하는,

   의사난수 스트링 생성기.
6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,

   주어진 n-튜플의 변수들

   

   에 대해서, 다항식들의 전역 차수 전부가 D 이하인 연립방정식(

   

   )의 m 다항식들에 의해 취해지는 m-튜플의 변수들

   

   을 계산하기 위하여, 상기 생성기는:

   ㆍ차수 D의 n 변수들을 갖는 일반 다항식의 주어진 세트의 항들에 대하여 프로세싱 오더를 선택하기 위한 수단; 및

   ㆍ상기 프로세싱된 항들에 대하여, 동일한 오더로 상기 변수들에 대한 단항식을 계산하고, 그런 다음에 후속하여 m 다항식들에 대하여, 상기 항의 계수를 생성하고 상기 계수를 상기 단항식과 곱하여 상기 항의 값을 획득하기 위한 수단을 포함하는,

   의사난수 스트링 생성기.
7. 전자 회로로서,

   제 1 항 내지 제 6 항 중 어느 한 항에 따른 의사난수 스트링 생성기를 포함하는,

   전자 회로.
8. 제 7 항에 있어서,

   배선 논리칩으로 이루어지는,

   전자 회로.
9. 암호화 절차에서 사용되도록 의도되는 기수(cardinal) ｑ≥2의 유한체(K)에 속하는 항들의 의사난수 스트링 생성 방법으로서,

   상기 방법은 상기 유한체(K)에 속하는 n 변수들을 갖는 m 다항식들의 연립방정식(

   

   )을 반복적으로 계산하는 단계를 갖고,

   상기 m 다항식들의 계수들이 매 반복마다 재생되는,

   의사난수 스트링 생성 방법.
10. 제 9 항에 있어서,

    상기 연립방정식(

    

    )을 형성하는 상기 다항식들의 각각은 기껏해야 이차다항식인,

    의사난수 스트링 생성 방법.
11. 제 9 항 또는 제 10 항에 있어서,

    주어진 n-튜플의 변수들

    

    에 대해서, 다항식들의 전역 차수 전부가 D 이하인 연립방정식(

    

    )의 m 다항식들에 의해 취해지는 m-튜플의 변수들

    

    을 계산하기 위하여, 상기 생성기는:

    ㆍ차수 D의 n 변수들을 갖는 일반 다항식의 주어진 세트의 항들에 대하여 프로세싱 오더를 선택하기 위한 수단; 및

    ㆍ상기 프로세싱된 항들에 대하여, 동일한 오더로 상기 변수들에 대한 단항식을 계산하고, 그런 다음에 후속하여 m 다항식들에 대하여, 상기 항의 계수를 생성하고 상기 계수를 상기 단항식과 곱하여 상기 항의 값을 획득하기 위한 수단을 포함하는,

    의사난수 스트링 생성 방법.
12. 제 9 항 내지 제 11 항 중 어느 한 항에 따른 방법의 단계들을 실행하기 위한 컴퓨터 프로그램 코드 명령어들을 저장하는 제거 불가능 데이터 저장 수단.
13. 제 9 항 내지 제 11 항 중 어느 한 항에 따른 방법의 단계들을 실행하기 위한 컴퓨터 프로그램 코드 명령어들을 저장하는 부분적으로 또는 완전히 제거 가능한 데이터 저장 수단.
14. 명령어들을 포함하는 컴퓨터 프로그램으로서,

    상기 프로그램이 프로그램 가능 데이터 프로세싱 장치를 제어할 때, 상기 명령어는 상기 데이터 프로세싱 장치가 제 9 항 내지 제 11 항 중 어느 한 항에 따른 방법을 실행하도록 유발하는,

    컴퓨터 프로그램.

Images