KR20220121221A - 동형 암호문의 변환 장치 및 방법 - Google Patents
동형 암호문의 변환 장치 및 방법 Download PDFInfo
- Publication number
- KR20220121221A KR20220121221A KR1020220024666A KR20220024666A KR20220121221A KR 20220121221 A KR20220121221 A KR 20220121221A KR 1020220024666 A KR1020220024666 A KR 1020220024666A KR 20220024666 A KR20220024666 A KR 20220024666A KR 20220121221 A KR20220121221 A KR 20220121221A
- Authority
- KR
- South Korea
- Prior art keywords
- scheme
- ciphertext
- homomorphic
- modulus
- parameter
- Prior art date
Links
- 238000006243 chemical reaction Methods 0.000 title claims abstract description 60
- 238000000034 method Methods 0.000 title claims description 99
- 238000012545 processing Methods 0.000 claims abstract description 29
- 238000003672 processing method Methods 0.000 claims abstract description 12
- 230000008569 process Effects 0.000 claims description 48
- 238000004891 communication Methods 0.000 claims description 21
- 230000006870 function Effects 0.000 description 18
- 238000004364 calculation method Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 10
- 230000008859 change Effects 0.000 description 8
- 230000014509 gene expression Effects 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 4
- 230000009466 transformation Effects 0.000 description 4
- 239000013598 vector Substances 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000012856 packing Methods 0.000 description 2
- 230000008707 rearrangement Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000009365 direct transmission Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3093—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/34—Encoding or coding, e.g. Huffman coding or error correction
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
- Investigating Or Analysing Biological Materials (AREA)
Abstract
동형 암호문 처리 방법이 개시된다. 본 동형 암호문 처리 방법은 제1 스킴 방식으로 생성된 동형 암호문을 입력받는 단계, 동형 암호문 내의 복수의 슬롯 값을 복수의 계수 값으로 변환하는 단계, 제2 스킴 방식에 대응되는 파라미터에 기초하여 복수의 계수 값에 대한 모듈러스 전환 처리를 수행하는 단계, 및 모듈러스 전환 처리된 복수의 계수 값을 복수의 슬롯 값으로 변환하여, 제2 스킴 방식의 동형 암호문을 생성하는 단계를 포함한다.
Description
본 개시는 동형 암호문의 변환 장치 및 방법에 관한 것으로, 구체적으로 특정의 스킴으로 생성된 동형 암호문을 다른 스킴에 적용 가능하도록 변환하는 장치 및 방법에 관한 것이다.
통신 기술이 발달하고, 전자 장치의 보급이 활발해짐에 따라, 전자 장치 간의 통신 보안을 유지하기 위한 노력이 지속적으로 이루어지고 있다. 이에 따라, 대부분의 통신 환경에서는 암호화/복호화 기술이 사용되고 있다.
암호화 기술에 의해 암호화된 메시지가 상대방에게 전달되면, 상대방은 메시지를 이용하기 위해서는 복호화를 수행하여야 한다. 이 경우, 상대방은 암호화된 데이터를 복호화하는 과정에서 자원 및 시간 낭비가 발생하게 된다. 또한, 상대방이 연산을 위해 일시적으로 메시지를 복호화한 상태에서 제3자의 해킹이 이루어지는 경우, 그 메시지가 제3자에게 손쉽게 유출될 수 있다는 문제점도 있었다.
이러한 문제를 해결하기 위하여 동형 암호화 방법이 연구되고 있다. 동형 암호화 방식을 이용하면 암호화된 정보를 복호화하지 않고 암호문 자체에서 연산을 하더라도, 평문에 대해 연산한 후 암호화한 값과 동일한 결과를 얻을 수 있다. 따라서, 암호문을 복호화하지 않은 상태에서 각종 연산을 수행할 수 있다.
동형 암호문의 생성 방법에는 다양한 스킴이 이용될 수 있는데, 그 중 많이 사용하는 스킴이 BFV 스킴과 CKKS 스킴이다. BFV 스킴은 대칭키-동형암호 전환 틀 등을 사용하는 과정에서 사용되는 동형 복호화 등의 연산을 활용하는데 사용된다. 그러나 CKKS 스킴은 이러한 기능을 수행하기 어렵다. 하지만, CKKS 스킴은 BFV 스킴에서 처리하기 어려운 실수 근사계산을 이용한 데이터 처리를 할 수 있는 장점이 있다.
이와 같이 두 스킴은 서로 다른 기능에서 강점을 가지나, 서로 쉽게 호환할 수 없기 때문에 하나의 프로토콜 내에서 사용하기 어려운 점이 있었다. 따라서, BFV 스킴으로 생성된 암호문을 CKKS 스킴에서 이용 가능하도록 변환하는 방법 반대로, CKKS 스킴으로 생성된 암호문을 BFV 스킴에서 이용 가능하도록 변환할 수 있는 방법이 요구되었다.
따라서 본 개시는 상술한 바와 같은 문제점을 해결하기 위한 고안된 것으로, 특정의 스킴으로 생성된 동형 암호문을 다른 스킴에 적용 가능하도록 변환하는 장치 및 방법을 제공하는 데 있다.
본 개시는 이상과 같은 목적을 달성하기 위한 것으로, 본 개시의 일 실시 예에 따른 동형 암호문 변환 방법은, 제1 스킴 방식으로 생성된 동형 암호문을 입력받는 단계, 상기 동형 암호문 내의 복수의 슬롯 값을 복수의 계수 값으로 변환하는 단계, 상기 제2 스킴 방식에 대응되는 파라미터에 기초하여 상기 복수의 계수 값에 대한 모듈러스 전환 처리를 수행하는 단계, 및 상기 모듈러스 전환 처리된 복수의 계수 값을 복수의 슬롯 값으로 변환하여, 제2 스킴 방식의 동형 암호문을 생성하는 단계를 포함한다.
이 경우, 본 동형 암호문 처리 방법은 상기 제1 스킴 방식의 제1 파라미터에 기초하여 상기 제2 스킴 방식의 제2 파라미터를 설정하는 단계를 더 포함할 수 있다.
이 경우, 상기 제1 파라미터 및 상기 제2 파라미터는, 링을 구성하는 n차 다항식의 차수(n), 암호문의 모듈러스(q), 평문 모듈러스(t), 슬롯 크기(k) 중 적어도 하나를 포함할 수 있다.
한편, 상기 모듈러스 전환 처리를 수행하는 단계는, 상기 파라미터 중 모듈러스 파라미터에 기초하여 암호문의 모듈러스를 전환하는 단계, 및 상기 모듈러스 전환된 복수의 계수 값에 상기 파라미터 중 스케일링 팩터에 기초하여 스케일링 처리하는 단계를 포함할 수 있다.
한편, 상기 모듈러스 전환 처리를 수행하는 단계는, 상기 제1 스킴 방식이 CKKS 스킴이고, 상기 제2 스킴 방식이 BFV 스킴이면, 푸쉬업(PushUp) 방식으로 모듈러스 전환처리하고, 상기 제2 스킴 방식이 BFV 스킴이고, 상기 제1 스킴 방식이 CKKS 스킴이면 풀 다운(PullDown)방식으로 모듈러스 전환 처리를 수행할 수 있다.
한편, 본 동형 암호문 처리 방법은 상기 인코딩된 동형 암호문을 제2 스킴 방식에 대응되는 부트스트래핑 방식으로 부트 스트래핑하는 단계를 더 포함할 수 있다.
한편, 상기 제1 스킴 방식 및 제2 스킴 방식은 중 하나는 스케일링 팩터가 기설정된 값 이상이어서, 상기 동형 암호문에 대응되는 평문을 동형 암호문 내의 상위 비트에 숨기는 스킴이고, 다른 하나는 상기 스케일링 팩터가 상기 기설정된 값보다 작아서 상기 동형 암호문에 대응되는 평문을 동형 암호문 내의 하위 비트에 숨기는 스킴일 수 있다.
한편, 본 개시의 일 실시 예에 따른 연산 장치는 외부 장치로부터 제1 스킴 방식으로 생성된 동형 암호문을 수신하는 통신 장치, 적어도 하나의 인스트럭션(instruction)을 저장하는 메모리, 및 상기 적어도 하나의 인스트럭션을 실행하는 프로세서를 포함하고, 상기 프로세서는, 상기 적어도 하나의 인스트럭션을 실행함으로써, 상기 동형 암호문 내의 복수의 슬롯 값을 복수의 계수 값으로 변환하고, 상기 제2 스킴 방식에 대응되는 파라미터에 기초하여 상기 복수의 계수 값에 대한 모듈러스 전환 처리를 수행하고, 상기 모듈러스 전환 처리된 복수의 계수 값을 복수의 슬롯 값으로 변환하여, 제2 스킴 방식의 동형 암호문을 생성할 수 있다.
이 경우, 상기 프로세서는, 상기 제1 스킴 방식의 제1 파라미터에 기초하여 상기 제2 스킴 방식의 제2 파라미터를 설정할 수 있다.
이 경우, 상기 제1 파라미터 및 상기 제2 파라미터는, 링을 구성하는 n차 다항식의 차수(n), 암호문의 모듈러스(q), 평문 모듈러스(t), 슬롯 크기(k) 중 적어도 하나를 포함할 수 있다.
한편, 상기 프로세서는, 상기 파라미터 중 모듈러스 파라미터에 기초하여 암호문의 모듈러스를 전환하고, 상기 모듈러스 전환된 복수의 계수 값에 상기 파라미터 중 스케일링 팩터에 기초하여 스케일링 처리할 수 있다.
한편, 상기 프로세서는, 상기 제1 스킴 방식이 CKKS 스킴이고, 상기 제2 스킴 방식이 BFV 스킴이면, 푸쉬업(PushUp) 방식으로 모듈러스 전환처리하고, 상기 제2 스킴 방식이 BFV 스킴이고, 상기 제1 스킴 방식이 CKKS 스킴이면 풀 다운(PullDown) 방식으로 모듈러스 전환 처리를 수행할 수 있다.
한편, 상기 프로세서는, 상기 제2 스킴 방식의 동형 암호문을 제2 스킴 방식에 대응되는 부트스트래핑 방식으로 부트 스트래핑할 수 있다.
한편, 상기 제1 스킴 방식 및 제2 스킴 방식은 중 하나는 스케일링 팩터가 기설정된 값 이상이어서, 상기 동형 암호문에 대응되는 평문을 동형 암호문 내의 상위 비트에 숨기는 스킴이고, 다른 하나는 상기 스케일링 팩터가 상기 기설정된 값보다 작아서 상기 동형 암호문에 대응되는 평문을 동형 암호문 내의 하위 비트에 숨기는 스킴일 수 있다.
한편, 본 개시의 일 실시 예에 따른 동형 암호문 처리 방법을 실행하기 위한 프로그램을 포함하는 컴퓨터 판독가능 기록 매체에 있어서, 상기 동형 암호문 처리 방법은, 제1 스킴 방식으로 생성된 동형 암호문을 입력받는 단계, 상기 동형 암호문 내의 복수의 슬롯 값을 복수의 계수 값으로 변환하는 단계, 상기 제2 스킴 방식에 대응되는 파라미터에 기초하여 상기 복수의 계수 값에 대한 모듈러스 전환 처리를 수행하는 단계, 및 상기 모듈러스 전환 처리된 복수의 계수 값을 복수의 슬롯 값으로 변환하여, 제2 스킴 방식의 동형 암호문을 생성하는 단계를 포함한다.
이상과 같은 본 개시의 다양한 실시 예들에 따르면, 특정 스킴으로 생성된 암호문을 다른 스킴에 적용 가능한 형태로 변환을 수행할 수 있는바, 하나의 프로토콜 내에서 서로 다른 스킴의 사용이 가능하다.
도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구조를 설명하기 위한 도면,
도 2는 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타낸 블럭도,
도 3은 CKKS 스킴과 BFV 스킴의 변환 동작을 간략하게 설명한 도면,
도 4는 본 개시의 일 실시 예에 따른 대칭키-동형암호 전환 툴의 동작을 설명하기 위한 도면,
도 5는 본 개시의 일 실시 예에 따른 CKKS 스킴을 BFV 스킴으로 변환하는 알고리즘을 도시한 도면,
도 6은 본 개시의 일 실시 예에 따른 BFV 스킴을 CKKS 스킴으로 변환하는 알고리즘을 도시한 도면,
도 7은 본 개시의 실시 예에 따른 동형 암호문의 처리 방법을 설명하기 위한 흐름도이다.
도 2는 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타낸 블럭도,
도 3은 CKKS 스킴과 BFV 스킴의 변환 동작을 간략하게 설명한 도면,
도 4는 본 개시의 일 실시 예에 따른 대칭키-동형암호 전환 툴의 동작을 설명하기 위한 도면,
도 5는 본 개시의 일 실시 예에 따른 CKKS 스킴을 BFV 스킴으로 변환하는 알고리즘을 도시한 도면,
도 6은 본 개시의 일 실시 예에 따른 BFV 스킴을 CKKS 스킴으로 변환하는 알고리즘을 도시한 도면,
도 7은 본 개시의 실시 예에 따른 동형 암호문의 처리 방법을 설명하기 위한 흐름도이다.
이하에서는 첨부 도면을 참조하여 본 개시에 대해서 자세하게 설명한다. 본 개시에서 수행되는 정보(데이터) 전송 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 개시 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 개시에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, 반드시 A로부터 B까지 직접 전송(전달) 또는 수신되는 것만을 표현하는 것은 아니다.
본 개시의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉, 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행단계로 설명된 과정보다 앞서서 수행되더라도 개시의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 "A 또는 B"라고 기재한 것은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 개시에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.
본 개시에서는 본 개시의 설명에 필요한 필수적인 구성요소만을 설명하며, 본 개시의 본질과 관계가 없는 구성요소는 언급하지 아니한다. 그리고 언급되는 구성요소만을 포함하는 배타적인 의미로 해석되어서는 안 되며 다른 구성요소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.
그리고 본 개시에서 "값"이라 함은 스칼라값뿐만 아니라 벡터도 포함하는 개념으로 정의된다.
후술하는 본 개시의 각 단계의 수학적 연산 및 산출은 해당 연산 또는 산출을 하기 위해 공지되어 있는 코딩 방법 및/또는 본 개시에 적합하게 고안된 코딩에 의해서 컴퓨터 연산으로 구현될 수 있다.
이하에서 설명하는 구체적인 수학식은 가능한 여러 대안 중에서 예시적으로 설명되는 것이며, 본 개시의 권리 범위가 본 개시에 언급된 수학식에 제한되는 것으로 해석되어서는 아니된다.
설명의 편의를 위해서, 본 개시에서는 다음과 같이 표기를 정하기로 한다.
a ← D : 분포(D)에 따라서 원소(a)를 선택함
s1, s2 ∈ R : S1, S2 각각은 R 집합에 속하는 원소이다.
mod(q) : q 원소로 모듈(modular) 연산
이하에서는 첨부된 도면을 이용하여 본 개시의 다양한 실시 예들에 대하여 구체적으로 설명한다.
도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구성을 나타내는 도면이다.
도 1을 참조하면, 네트워크 시스템은 복수의 전자 장치(100-1 ~ 100-n), 제1 서버 장치(200), 제2 서버 장치(300)를 포함할 수 있으며, 각 구성들은 네트워크(10)를 통해 서로 연결될 수 있다.
네트워크(10)는 다양한 형태의 유무선 통신 네트워크, 방송 통신 네트워크, 광통신 네트워크, 클라우드 네트워크 등으로 구현될 수 있으며, 각 장치들은 별도의 매개체 없이 와이파이, 블루투스, NFC(Near Field Communication) 등과 같은 방식으로 연결될 수도 있다.
도 1에서는 전자 장치가 복수 개(100-1 ~ 100-n)인 것으로 도시하였으나, 반드시 복수 개의 전자 장치가 사용되어야 하는 것은 아니며 하나의 장치가 사용될 수도 있다. 일 예로, 전자 장치(100-1 ~ 100-n)는 스마트폰, 태블릿, 게임 플레이어, PC, 랩톱 PC, 홈서버, 키오스크 등과 같은 다양한 형태의 장치로 구현될 수 있으며, 이밖에 IoT 기능이 적용된 가전 제품 형태로도 구현될 수 있다.
사용자는 자신이 사용하는 전자 장치(100-1 ~ 100-n)를 통해서 다양한 정보를 입력할 수 있다. 입력된 정보는 전자 장치(100-1 ~ 100-n) 자체에 저장될 수도 있지만, 저장 용량 및 보안 등을 이유로 외부 장치로 전송되어 저장될 수도 있다. 도 1에서 제1 서버 장치(200)는 이러한 정보들을 저장하는 역할을 수행하고, 제2 서버 장치(300)는 제1 서버 장치(200)에 저장된 정보의 일부 또는 전부를 이용하는 역할을 수행할 수 있다.
각 전자 장치(100-1 ~ 100-n)는 입력된 정보를 동형 암호화하여, 동형 암호문을 제1 서버 장치(200)로 전송할 수 있다. 이때, 각 전자 장치는 복수의 스킴 방식 중 어느 하나의 스킴 방식을 이용하여 동형 암호화할 수 있다. 예를 들어, 상술한 복수의 스킴 방식 중 하나는 스케일링 팩터가 기설정된 값 이상이어서, 동형 암호문에 대응되는 평문을 동형 암호문 내의 상위 비트에 숨기는 스킴(BFV 스킴)일 수 있다. 또는 스케일링 팩터가 기설정된 값보다 작아서 동형 암호문에 대응되는 평문을 동형 암호문 내의 하위 비트에 숨기는 스킴(CKKS 스킴)일 수도 있다.
각 전자 장치(100-1 ~ 100-n)는 동형 암호화를 수행하는 과정에서 산출되는 암호화 노이즈, 즉, 에러를 암호문에 포함시킬 수 있다. 구체적으로는, 각 전자 장치(100-1 ~ 100-n)에서 생성하는 동형 암호문은, 추후에 비밀키를 이용하여 복호화하였을 때 메시지 및 에러 값을 포함하는 결과 값이 복원되는 형태로 생성될 수 있다.
일 예로, 전자 장치(100-1 ~ 100-n)에서 생성하는 제1 스킴 방식을 이용한 동형 암호문은 비밀키를 이용하여 복호화하였을 때 다음과 같은 성질을 만족하는 형태로 생성될 수 있다.
[수학식 1]
Dec(ct, sk) = <ct, sk> = M+e(mod q)
여기서 < , >는 내적 연산(usual inner product), ct는 암호문, sk는 비밀키, M은 평문 메시지, e는 암호화 에러 값, mod q는 암호문의 모듈러스(Modulus)를 의미한다. q는 스케일링 팩터(scaling factor)(Δ)가 메시지에 곱해진 결과 값 M보다 크게 선택되어야 한다. 에러 값 e의 절대값이 M에 비해서 충분히 작다면, 암호문의 복호화 값 M+e는 유효숫자연산에서 원래의 메시지를 동일한 정밀도로 대체할 수 있는 값이다. 복호화된 데이터 중에서 에러는 최하위 비트(LSB) 측에 배치되고, M은 차하위 비트 측에 배치될 수 있다. 한편, 제2 스킴 방식에 따라 생성되는 암호문은 에러는 최하위 비트(LSB) 측에 배치되고, M은 상위 비트 측에 배치될 수 있다. 제1 스킴 방식 및 제2 스킴 방식에 따른 에러와 메시지 배치 형태에 대해서는 도 3에서 후술한다.
메시지의 크기가 너무 작거나 너무 큰 경우, 스케일링 팩터를 이용하여 그 크기를 조절할 수도 있다. 스케일링 팩터를 사용하게 되면, 정수 형태의 메시지뿐만 아니라 실수 형태의 메시지까지도 암호화할 수 있게 되므로, 활용성이 크게 증대할 수 있다. 또한, 스케일링 팩터를 이용하여 메시지의 크기를 조절함으로써, 연산이 이루어지고 난 이후의 암호문에서 메시지들이 존재하는 영역, 즉, 유효 영역의 크기도 조절될 수 있다.
실시 예에 따라, 암호문 모듈러스 q는 다양한 형태로 설정되어 사용될 수 있다. 일 예로, 암호문의 모듈러스는 스케일링 팩터 Δ의 지수승 q=ΔL 형태로 설정될 수 있다. Δ가 2라면, q=210 과 같은 값으로 설정될 수 있다.
제1 서버 장치(200)는 수신된 동형 암호문을 복호화하지 않고, 암호문 상태로 저장할 수 있다.
제2 서버 장치(300)는 동형 암호문에 대한 특정 처리 결과를 제1 서버 장치(200)로 요청할 수 있다. 제1 서버 장치(200)는 제2 서버 장치(300)의 요청에 따라 특정 연산을 수행한 후, 그 결과를 제2 서버 장치(300)로 전송할 수 있다.
일 예로, 두 개의 전자 장치(100-1, 100-2)가 전송한 암호문 ct1, ct2가 제1 서버 장치(200)에 저장된 경우, 제2 서버 장치(300)는 두 전자 장치(100-1, 100-2)로부터 제공된 정보들을 합산한 값을 제1 서버 장치(200)로 요청할 수 있다. 제1 서버 장치(200)는 요청에 따라 두 암호문을 합산하는 연산을 수행한 후, 그 결과 값(ct1 + ct2)을 제2 서버 장치(300)로 전송할 수 있다.
동형 암호문의 성질상, 제1 서버 장치(200)는 복호화를 하지 않은 상태에서 연산을 수행할 수 있고, 그 결과 값도 암호문 형태가 된다. 본 개시에서는 연산에 의해 획득된 결과값을 연산 결과 암호문이라 지칭한다.
제1 서버 장치(200)는 연산 결과 암호문을 제2 서버 장치(300)로 전송할 수 있다. 제2 서버 장치(300)는 수신된 연산 결과 암호문을 복호화하여, 각 동형 암호문들에 포함된 데이터들의 연산 결과값을 획득할 수 있다.
이와 같은 동형 암호문에 대한 연산은 덧셈, 뺄셈 및 곱셈으로 구성되는 연산식뿐만 아니라, 최대값 산출, 최소값 산출 및 크기 비교와 같은 비교 연산일 수 있다. 또한, 비교 연산을 이용한 복수의 동형 암호문에 대한 정렬일 수도 있다. 이와 같이 제1 서버 장치(200)는 연산 동작을 수행할 수 있다는 점에서, 연산 장치라 지칭될 수도 있다.
한편, 복수의 전자 장치(100-1, 100-2)가 서로 다른 스킴 방식으로 동형 암호문을 생성하는 경우, 제1 서버 장치(200)에는 서로 다른 스킴 방식으로 생성된 옹형 암호문이 저장될 수 있다. 이와 같이 서로 다른 스킴 방식으로 생성된 동형 암호문에 대한 연산을 위해서는 특정 스킴의 암호문을 다른 스킴 방식의 암호문으로 변환할 필요가 있다. 또한, 상술한 이유와 달리 생성되는 암호문의 크기 및 연산 방식에 따라 선호되는 스킴이 다를 수 있다. 예를 들어, 제1 스킴 방식의 경우, 암호문의 크기가 다소 크나 다양한 실수 연산이 가능하고, 제2 스킴 방식의 경우, 암호문의 크기가 다소 작으나 다양한 연산이 어려운 경우가 있을 수 있다. 이러한 경우, 암호문의 송수신 과정에서는 제1 스킴 방식으로 생성된 동형 암호문을 이용하고, 연산이 필요한 경우에는 제1 스킴 방식의 동형 암호문을 제2 스킴 방식의 동형 암호문으로 변경하여 연산을 수행하는 것도 가능하다. 이때의 제1 스킴 방식은 동형 암호문 스킴일 수 있지만, 동형 암호문 이외에 대칭키 암호화 방식일 수도 있다. 이와 같은 예에 대해서는 도 4에서 자세히 설명한다.
상술하는 바와 같은 다양한 이유에 따라 동형 암호문의 스킴을 변경할 필요가 있는 경우, 제1 서버 장치(200)는 제1 스킴 방식의 동형 암호문을 제2 스킴 방식의 동형 암호문으로 변경할 수 있다. 또한, 제1 서버 장치(200)는 반대로 제2 스킴 방식의 동형 암호문을 제1 스킴 방식의 동형 암호문으로도 변경할 수 있다. 한편, 이상에서는 현재 가장 많이 사용하고 있는 두 가지 스킴 간의 전환만을 가정하여 설명하나, 구현시에는 상술한 두 가지 스킴 이외에 다른 스킴으로의 변환도 가능하다. 또한, 상술한 변환 동작을 제1 서버 장치(200)에서 수행하는 것으로 설명하였지만, 제2 서버 장치(300) 또는 전자 장치(100)에서도 상술한 변환 동작을 수행할 수 있다.
한편, 도 1에서는 제1 전자 장치 및 제2 전자 장치에서 암호화를 수행하고, 제2 서버 장치가 복호화를 수행하는 경우를 도시하였으나, 이에 한정되는 것은 아니다.
도 2는 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타낸 블럭도이다.
구체적으로, 도 1의 시스템에서 제1 전자 장치, 제2 전자 장치 등과 같이 동형 암호화를 수행하는 장치, 제1 서버 장치 등과 같이 동형 암호문을 연산하는 장치, 제2 서버 장치 등과 같이 동형 암호문을 복호하는 장치 등을 연산 장치라고 지칭할 수 있다. 이러한 연산 장치는 PC(Personal computer), 노트북, 스마트폰, 태블릿, 서버 등 다양한 장치일 수 있다.
도 2를 참조하면, 연산 장치(400)는 통신 장치(410), 메모리(420), 디스플레이(430), 조작 입력 장치(440) 및 프로세서(450)를 포함할 수 있다.
통신 장치(410)는 연산 장치(400)를 외부 장치(미도시)와 연결하기 위해 형성되고, 근거리 통신망(LAN: Local Area Network) 및 인터넷망을 통해 외부 장치에 접속되는 형태뿐만 아니라, USB(Universal Serial Bus) 포트 또는 무선 통신(예를 들어, WiFi 802.11a/b/g/n, NFC, Bluetooth) 포트를 통하여 접속되는 형태도 가능하다. 이러한 통신 장치(410)는 송수신부(transceiver)로 지칭될 수도 있다.
통신 장치(410)는 공개키를 외부 장치로부터 수신할 수 있으며, 연산 장치(400) 자체적으로 생성한 공개키를 외부 장치로 전송할 수 있다.
그리고 통신 장치(410)는 외부 장치로부터 메시지를 수신할 수 있으며, 생성한 동형 암호문을 외부 장치로 송신할 수 있다. 또한, 통신 장치(410)는 외부 장치로부터 동형 암호문을 수신할 수도 있다.
또한, 통신 장치(410)는 암호문 생성에 필요한 각종 파라미터를 외부 장치로부터 수신할 수 있다. 한편, 구현시에 각종 파라미터는 후술하는 조작 입력 장치(440)를 통하여 사용자로부터 직접 입력받을 수 있다.
또한, 통신 장치(410)는 외부 장치로부터 동형 암호문에 대한 연산을 요청받을 수 있으며, 그에 따라 계산된 결과를 외부 장치에 전송할 수 있다. 여기서 요청받은 연산은 덧셈, 뺄셈, 곱셈과 같은 연산일 수 있으며, 비다항식 연산인 비교 연산이거나, 정렬 처리일 수도 있다.
메모리(420)에는 연산 장치(400)에 관한 적어도 하나의 인스트럭션(instruction)이 저장될 수 있다. 구체적으로, 메모리(420)에는 본 개시의 다양한 실시 예에 따라 연산 장치(400)가 동작하기 위한 각종 프로그램(또는 소프트웨어)이 저장될 수 있다. 여기서 프로그램은 일반 평문을 제1 스킴 방식을 이용한 동형 암호문으로 변화하는 프로그램, 일반 평문을 제2 스킴 방식을 이용한 동형 암호문으로 변환하는 프로그램, 제1 스킴 방식의 동형 암호문을 제2 스킴 방식의 동형 암호문으로 변환하는 프로그램, 제2 스킴 방식의 동형 암호문을 제1 스킴 방식의 동형 암호문으로 변환하는 프로그램 등이 있을 수 있다.
이러한 메모리(420)는 RAM이나 ROM, 플래시 메모리, HDD, 외장 메모리, 메모리 카드 등과 같은 다양한 형태로 구현될 수 있으며, 어느 하나로 한정되는 것은 아니다.
메모리(420)는 암호화할 메시지를 저장할 수 있다. 여기서 메시지는 사용자가 각종 인용한 각종 신용 정보, 개인 정보 등일 수 있으며, 연산 장치(400)에서 사용되는 위치 정보, 인터넷 사용 시간 정보 등 사용 이력 등과 관련된 정보일 수도 있다.
그리고 메모리(420)는 공개키를 저장할 수 있으며, 연산 장치(400)가 직접 공개키를 생성한 장치인 경우, 비밀키뿐만 아니라, 공개키 및 비밀키 생성에 필요한 각종 파라미터를 저장할 수 있다.
그리고 메모리(420)는 후술한 과정에서 생성된 동형 암호문을 저장할 수 있다. 그리고 메모리(420)는 외부 장치에서 전송한 동형 암호문을 저장할 수도 있다. 또한, 메모리(420)는 후술하는 연산 과정에서의 결과물인 연산 결과 암호문을 저장할 수도 있다. 예를 들어, 여기서 특정의 연산 과정이 수행된 암호문뿐만 아니라, 스킴 변환에 따른 암호문일 수도 있다.
디스플레이(430)는 연산 장치(400)가 지원하는 기능을 선택받기 위한 사용자 인터페이스 창을 표시한다. 구체적으로, 디스플레이(430)는 연산 장치(400)가 제공하는 각종 기능을 선택받기 위한 사용자 인터페이스 창을 표시할 수 있다. 이러한 디스플레이(430)는 LCD(liquid crystal display), OLED(Organic Light Emitting Diodes) 등과 같은 모니터일 수 있으며, 후술할 조작 입력 장치(440)의 기능을 동시에 수행할 수 있는 터치 스크린으로 구현될 수도 있다.
디스플레이(430)는 비밀키 및 공개키 생성에 필요한 파라미터의 입력을 요청하는 메시지를 표시할 수 있다. 그리고 디스플레이(430)는 암호화 대상이 메시지를 선택하는 메시지를 표시할 수 있다. 한편, 구현시에 암호화 대상은 사용자가 직접 선택할 수도 있고, 자동으로 선택될 수 있다. 즉, 암호화가 필요한 개인 정보 등은 사용자가 직접 메시지를 선택하지 않더라도 자동으로 설정될 수 있다.
조작 입력 장치(440)는 사용자로부터 연산 장치(400)의 기능 선택 및 해당 기능에 대한 제어 명령을 입력받을 수 있다. 구체적으로, 조작 입력 장치(440)는 사용자로부터 비밀키 및 공개키 생성에 필요한 파라미터를 입력받을 수 있다. 또한, 조작 입력 장치(440)는 사용자로부터 암호화될 메시지를 설정받을 수 있다.
그리고 조작 입력 장치(440)는 정렬 명령을 입력받거나, 정렬 대상인 동형 암호문을 선택받을 수 있다. 또한, 조작 입력 장치(440)는 스킴 전환 명령을 입력받거나, 연산에 수행될 스킴 방식 또는 암호문의 전송에 이용될 스킴 방식을 선택받을 수 있다. 예를 들어, 연산에 수행될 스킴 방식을 제1 스킴으로 선택받고, 암호문의 전송에 사용할 스킴 방식을 제2 스킴으로 선택받은 경우, 평문에 대한 암호화를 수행할 때 제1 스킴 방식을 이용하여 동형 암호문을 생성하고, 생성된 동형 암호문에 대한 전송이 필요한 경우에는 제1 스킴 방식의 암호문을 제2 스킴 방식으로 변환한 다음, 변환된 암호문을 다른 장치에 전송할 수 있다.
또한, 동일한 환경에서 외부로부터 제2 스킴 방식의 동형 암호문을 수신한 경우, 제2 스킴 방식의 동형 암호문을 제1 스킴 방식으로 전환하고, 제1 스킴 방식으로 전환된 암호문에 대한 연산을 수행할 수도 있다. 예를 들어, 연산 장치(400)에 제1 스킴 방식의 동형 암호문이 저장되어 있고, 외부로부터 제2 스킴 방식의 동형 암호문이 수신되고, 두 동형 암호문에 대한 연산 명령이 입력된 경우, 연산 장치(400)는 수신된 제2 스킴 방식의 동형 암호문을 제1 스킴 방식으로 변환하고, 변환된 제1 스킴 방식의 동형 암호문과 기저장된 동형 암호문과의 동형 연산을 수행할 수 있다. 한편, 구현시에는 상술한 방식과 반대되는 형태로도 수행될 수 있다. 즉, 외부로부터 수신된 동형 암호문의 스킴 형태로 기저장된 동형 암호문의 스킴을 변경하여 동형 연산을 수행하는 것도 가능하다.
프로세서(450)는 연산 장치(400)의 전반적인 동작을 제어한다. 구체적으로, 프로세서(450)는 메모리(420)에 저장된 적어도 하나의 인스트럭션을 실행함으로써 연산 장치(400)의 동작을 전반적으로 제어할 수 있다. 이러한 프로세서(450)는 CPU(central processing unit), ASIC(application-specific integrated circuit)과 같은 단일 장치로 구성될 수 있으며, CPU, GPU(Graphics Processing Unit) 등의 복수의 장치로 구성될 수도 있다.
프로세서(450)는 전송하고자 하는 메시지가 입력되면 메모리(420)에 저장할 수 있다. 그리고 프로세서(450)는 메모리(420)에 저장된 각종 설정 값 및 프로그램을 이용하여, 메시지를 동형 암호화할 수 있다. 이 경우, 공개키가 사용될 수 있다.
프로세서(450)는 암호화를 수행하는데 필요한 공개키를 자체적으로 생성하여 사용할 수도 있고, 외부 장치로부터 수신하여 사용할 수도 있다. 일 예로, 복호화를 수행하는 제2 서버 장치(300)가 공개키를 다른 장치들에게 배포할 수 있다.
이하에서는 우선적으로 제1 스킴 방식(즉, CKKS 스킴 방식)에 따른 키 생성 및 동형 암호문 생성 동작에 대해서 먼저 설명한다.
자체적으로 키를 생성하는 경우, 프로세서(450)는 Ring-LWE 기법을 이용하여 공개키를 생성할 수 있다. 구체적으로 설명하면, 프로세서(450)는 먼저 각종 파라미터 및 링을 설정하여, 메모리(420)에 저장할 수 있다. 파라미터의 예로는 평문 메시지 비트의 길이, 공개키 및 비밀키의 크기 등이 있을 수 있다.
링은 다음과 같은 수학식으로 표현될 수 있다.
[수학식 2]
여기서 R은 링, Zq는 계수, f(x)는 n차 다항식이다.
링(Ring)이란 기 설정된 계수를 가지는 다항식의 집합으로, 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합을 의미한다. 이러한 링은 환으로 지칭될 수 있다.
일 예로, 링은 계수가 Zq인 n차 다항식의 집합을 의미한다. 구체적으로는, n이 Φ(N)일 때, N차 사이클로토믹 다항식 (N-th cyclotomic polynomial)을 의미한다. (f(x))란 f(x)로 생성되는 Zq[x]의 이데알(ideal)을 나타낸다. Euler totient 함수 Φ(N)이란 N과 서로소이고 N보다 작은 자연수의 개수를 의미한다. ΦN(x)를 N차 사이클로토믹 다항식으로 정의하면, 링은 다음과 같은 수학식 3으로도 표현될 수 있다.
[수학식 3]
비밀키(sk)는 다음과 같이 표현될 수 있다.
한편, 상술한 수학식 3의 링은 평문 공간에서 복소수를 갖는다. 한편, 동형 암호문에 대한 연산 속도를 향상하기 위하여, 상술한 링의 집합 중 평문 공간이 실수인 집합만을 이용할 수도 있다.
이와 같은 링이 설정되면, 프로세서(450)는 링으로부터 비밀키(sk)를 산출할 수 있다.
[수학식 4]
여기서, sk는 비밀 키, s(x)는 작은 계수로 랜덤하게 생성한 다항식을 의미한다.
그리고 프로세서(450)는 링으로부터 제1 랜덤 다항식(a(x))을 산출한다. 제1 랜덤 다항식은 다음과 같이 표현될 수 있다.
[수학식 5]
여기서 a(x)는 제1 랜덤 다항식.
또한, 프로세서(450)는 에러를 산출할 수 있다. 구체적으로, 프로세서(450)는 이산 가우시안 분포 또는 그와 통계적 거리가 가까운 분포로부터 에러를 추출할 수 있다. 이러한 에러는 다음과 같이 표현될 수 있다.
[수학식 6]
여기서, e(x)는 에러.
에러까지 산출되면, 프로세서(450)는 제1 랜덤 다항식 및 비밀키에 에러를 모듈러 연산하여 제2 랜덤 다항식을 산출할 수 있다. 제2 랜덤 다항식은 다음과 같이 표현될 수 있다.
[수학식 7]
여기서 b(x)는 제2 랜덤 다항식, a(x)는 제1 랜덤 다항식, s(x)는 작은 계수로 랜덤하게 생성한 다항식, e(x)는 에러이다.
최종적으로 공개키(pk)는 제1 랜덤 다항식 및 제2 랜덤 다항식을 포함하는 형태로 다음과 같이 설정된다.
[수학식 8]
여기서, pk는 공개키, b(x)는 제2 랜덤 다항식, a(x)는 제1 랜덤 다항식이다.
상술한 키 생성 방법은 일 예에 불과하므로, 반드시 이에 한정되는 것은 아니며, 이 밖에 다른 방법으로 공개키 및 비밀키를 생성할 수도 있음은 물론이다.
한편, 프로세서(450)는 공개키가 생성되면, 생성된 공개키가 다른 장치들에 전송되도록 통신 장치(410)를 제어할 수 있다.
그리고 프로세서(450)는 메시지에 대한 동형 암호문을 생성할 수 있다. 이때, 프로세서(450)는 선행적으로 메시지를 다항식으로 변환하는 인코딩 동작을 수행할 수 있다.
그리고 프로세서(450)는 메시지 형태로 변환된 메시지에 공개키 
와, 다음과 같은 수학식 9를 이용하여 암호문을 생성할 수 있다.
[수학식 9]
여기서, Ctxt는 동형 암호문, b(x)는 제2 랜덤 다항식, a(x)는 제1 랜덤 다항식, M은 메시지, △는 스케일링 팩터, e0, e1는 에러이다.
이때, 프로세서(450)는 암호문의 길이를 스케일링 팩터의 크기에 대응되도록 생성할 수 있다.
암호화할 메시지는 외부 소스로부터 수신할 수도 있고, 연산 장치(400)에 직접 구비 또는 연결된 입력 장치로부터 입력될 수도 있다. 또한, 스케일링 팩터도 사용자가 직접 입력하거나, 다른 장치를 통해 제공받을 수도 있다. 예를 들어, 연산 장치(400)가 터치 스크린이나 키 패드를 포함하는 경우, 프로세서(450)는 사용자가 터치 스크린이나 키 패드를 통해 입력하는 데이터를 메모리(420)에 저장한 후, 암호화할 수 있다.
한편, 본 개시의 일 실시 예에 따르면, 패킹(packing)이 이루어질 수도 있다. 동형 암호화에서 패킹을 이용하게 되면, 다수의 메시지를 하나의 암호문으로 암호화하는 것이 가능해진다. 이 경우, 연산 장치(400)에서 각 암호문들 간의 연산을 수행하게 되면, 결과적으로 다수의 메시지에 대한 연산이 병렬적으로 처리되므로 연산 부담이 크게 줄어들게 된다.
구체적으로는, 프로세서(450)는 메시지가 복수의 메시지 벡터로 이루어지는 경우, 복수의 메시지 벡터를 병렬적으로 암호화할 수 있는 형태의 다항식으로 변환한 후, 그 다항식에 스케일링 팩터를 승산하고 공개키를 이용하여 동형 암호화할 수도 있다. 이에 따라, 프로세서(450)는 복수의 메시지 벡터를 패킹한 암호문을 생성할 수 있다.
그리고 프로세서(450)는 동형 암호문에 대한 복호가 필요한 경우, 동형 암호문에 비밀키를 적용하여 다항식 형태의 복호문을 생성하고, 다항식 형태의 복호문을 디코딩하여 근사 메시지를 생성할 수 있다. 이때 생성한 근사 메시지는 앞서 설명한 수학식 1에서 언급한 바와 같이 에러를 포함할 수 있다.
그리고 프로세서(450)는 암호문에 대한 연산을 수행할 수 있다. 구체적으로, 프로세서(450)는 동형 암호문에 대해서 암호화된 상태를 유지한 상태에서 덧셈, 뺄셈, 또는 곱셈 등의 연산을 수행할 수 있다.
또한, 프로세서(450)는 암호문에 대해서도 덧셈, 뺄셈 또는 곱셈 이외의 연산을 갖는 다항식에 대한 연산을 수행할 수 있다. 구체적으로, 동형 암호문은 덧셈, 뺄셈, 곱셈에 대해서는 닫혀있으나, 이외의 연산에 대해서는 닫혀있지 않다. 따라서, 덧셈, 뺄셈, 곱셈 이외의 연산에 대해서는 상술한 3개의 연산으로 표현되는 근사 연산식을 이용하여야 한다. 여기서 근사 연산식은 낮은 복잡도를 갖도록 잘 구조화된 잘 구조화된 다항식(well-structured polynomials), 즉 합성 함수를 이용할 수 있다.
그리고 프로세서(450)는 연산이 완료되면, 연산 결과 데이터로부터 유효 영역의 데이터를 검출할 수 있다. 구체적으로, 프로세서(450)는 연산 결과 암호문 내의 근사 메시지 비중이 임계치를 초과하면, 암호문에 대한 재부팅 동작을 수행할 수 있다.
한편, 생성된 동형 암호문 또는 수신된 동형 암호문에 대한 스킴 변경이 필요하면, 프로세서(450)는 동형암호문을 다른 스킴 방식의 동형 암호문으로 변경할 수 있다. 예를 들어, 프로세서(450)는 제1 스킴 방식의 동형 암호문을 제2 스킴 방식의 동형 암호문으로 변환하거나, 반대로 제2 스킴 방식의 동형 암호문을 제1 스킴 방식의 동형 암호문으로 변환할 수 있다. 보다 구체적인 변환 과정에 대해서는 도 3을 참조하여 후술한다.
이상과 같이 본 실시 예에 따른 연산 장치는 하나의 스킴 방식을 통하여 생성된 동형 암호문에 대한 연산 뿐만 아니라, 스킴 변경을 통하여 서로 다른 스킴으로 생성된 동형 암호문에 대한 연산 처리도 가능하다.
이하에서는 스킴 변경 동작에 대해서 자세히 설명한다.
BFV 스킴은 대칭키-동형 암호 전환 틀 들에 활용하는 과정에 사용되는 동형 복호화 등의 연산이 활용이 되며, CKKS 스킴은 상술한 동작을 수행하기 어렵다. 반대로 CKKS 스킨은 BFV 스킴이 처리하기 어려운 실수 근사 계산을 이용한 데이터 처리가 가능한 장점이 있다. 이러한 두 스킴은 서로 다른 기능에서 강점을 가지나 기존에는 서로 쉽게 호환되지 않아서 하나의 프로토콜에서 활용하지 못하였다.
그러나 두 스킴은 Ring_LWE 문제에 기반하여 안정성을 획득한 스킴이며, 둘은 동일한 파라미터의 Ring_LWE 문제하에서 모든 파라미터를 설정할 수 있다는 공통점이 있다.
구체적으로, 두 스킴은 임의의 Ring_LWE 샘플(-as + e, a)에 적당한 스케일링 팩터(△)를 평문에 곱하여 정보를 숨긴다. 여기서 스케일링 팩터 값이 커서 평문을 상위 비트에 숨기는 경우가 BFV 스킴이고, 스케일링 팩터 값이 작아서 평문을 하위 비트에 숨긴 경우가 CKKS 스킴이 된다.
이와 같이 두 스킴은 동형 암호문의 생성 방식에서 유사하며, 덧셈 및 곱셈 등의 연산 과정에서 복호화 결과가 (c0+c1s)(d0+d1+s)의 형태가 되도록 연산 키를 활용하는 방향성까지 유사성을 갖는다. 순열 연산 역시 동일한 논리를 사용하고, 암호문의 구조가 기본적으로 유사하여 암복호화 역시 유사한 형태로 처리 가능하다.
이하에서는 인코딩 방식, 메시지 위치, 재부팅 과정에서의 동일성 및 차이점에 대해서 설명한다.
<인코딩 방식>
두 스킴은 서로 다른 스케일링 팩터를 이용하기 때문에 메시지의 위치에 차이가 있다. 상위 비트에 메시지를 숨기는 BFV는 모듈러 연산이 자연스럽게 되는데, 이는 평문의 모듈러 연산과 암호문의 모듈러 연산이 동시에 이루어지기 때문이다. 모든 에러를 하위 비트에서 관리하는 BFV는 하위 비트 에러를 제거하는 방식으로 재부팅이 수행될 수 있다.
한편, CKKS 역시 하위 비트에 에러가 있으나, 재부팅을 통하여 제거하는 것이 아니라 곱셈 후 리스케이링 과정을 통하여 에러를 줄인다.
<재부팅>
두 스킴의 재부팅은 서로 완전히 다른 기능을 한다. BFV 스킴의 경우, 하위 비트의 에러를 낮추는 기능을 하나, CKKS 스킴은 암호문의 길이를 늘이는 기능을 한다.
다만, 유사한 점은 두 연산 모두 평문의 계수를 슬롯에 넣은 후 모듈러스 연산을 하거나, 상위 비트만을 추출하는 연산을 한 후 다시 슬롯에서 계수로 평문을 옮기게 된다. 이러한 과정을 BFV 스킴에서는 선행 연산과 역 선연 연산으로 지칭하고, CKKS 스킴에서는 SlotToCoeff와 CoeffToSlot으로 지칭한다. 또는 상술한 용어 대신에 인코딩 또는 디코딩과 같은 용어로 지칭될 수도 있다.
이 과정을 살펴보면, 슬롯을 계수로 옮기는 SlotToCoeff 연산은 사실 원시근으로 만들어진 Vandermonde 행렬 곱, 즉 디코딩 과정을 동형 연산으로 실행한 것이다. 반대로 계수를 슬롯으로 옮기는 CoeffToSlot 연산은 인코딩에 대응할 수 있다. 이러한 점에서, BFV 스킴에서의 선형 연산 및 역 선연 연산 각각을 CKKS 스킴에서의 SlotToCoeff와 CoeffToSlot 개념으로 간주하여 이하에서 설명한다.
SlotToCoeff와 CoeffToSlot 과정은 행렬 곱으로 이루어지는데, 이는 상수 곰을 통해 행렬의 각 원소를 암호문과 곱하고, 순열 연산을 통해 슬롯 위치를 바꾼 후 모두 더하는 방식으로 진행될 수 있다.
앞서 설명한 바와 같이 BFV 스킴과 CKKS 스킴은 메시지의 인코딩, 메시지의 위치라는 2가지 부분에서 크게 차이가 있다. 이에 따라 이하의 변환 동작은 두 가지 부분에 대한 변환을 주된 동작이된다.
스킴의 변환은 크게 3가지 단계로 구분될 수 있다. 첫번째는 파라미터 설정이고, 두번째는 인코딩 변환, 그리고 세번째는 재배치이다.
<파라미터 설정>
두 스킴의 변환을 위해서는 목표 스킴에 대한 파라미터가 상호 지원되어야 한다. 다만, 이와 같은 파라미터 설정은 암호문의 생성 전에 미리 수행되어 있을 수 있는바, 실질적인 변환 과정에서는 해당 동작은 생략될 수 있다.
두 스킴에서의 주요한 파라미터는, R, n, 모듈러스(q), 평문 모듈러스(t), 슬롯 크기(k)이다.
두 스킴 모두 Ring_LWE 문제에 기반을 두므로, 두 스킴에서의 파라미터 n은 동일하여야 한다. 여기서 파라미터 n는 링의 차수라고 지칭될 수 있으며, 링의 차수는 2의 거듭제곱으로 표현되거나, 2의 거듭제곱과 2 이상의 자연수(예를 들어, 3, 5, 7, 9 등)의 곱으로 표현될 수도 있다.
그리고 모듈러스(q)와 관련하여, 모듈러스(q)는 스킴 내에서 변형되는 경우가 있으나, 메시지 재배치 단계에서 모듈러스 전환(Modulus Switching)을 통해 변환이 용이하다. 이에 따라 모듈러스(q)는 n과 사용하였을 때, 목표하는 안정성이 보장되는 수준의 크기만 만족하면 된다.
그리고 평문 모듈러스(t)와 관련하여, CKKS에서는 평문 모듈러스를 사용하지 않는다. 다만, BFV 스킴에서는 t는 n과 상호작용하여 원시근의 수를 결정하고, 원시근 수는 BFV 암호문의 슬롯 수에 직결된다. k 개의 슬롯이 필요한 경우, 원시근의 수도 k가 되어야 하며, 이를 보정하기 위해서는 t = 1modsk를 만족해야 한다.
그리고 슬롯 크기(k) 관련하여, CKKS의 경우, n/2로 슬롯 크기가 고정되며, BFV 스킴은 상술한 바와 같이 t에 따라 결정된다. 따라서, 선택에 중용한 파라미터는 앞서 설명한 평문 모듈러스(t)이고, 그 값에 따라 슬롯의 크기를 결정하여야 한다.
<인코딩 변환>
슬롯에 들어있는 메시지를 SlotTOCoeff를 통해 평문의 계수로 올리면, 해당 평문은 BFV 입장에서도 CKKS 입장에서도 CoeffToSlot를 통해 알맞은 인코딩으로 변환할 수 있다. 다만, BFV 스킴에서는 모듈러 연산이 정확히 따라 가야하는데, 가령 CKKS 스킴에서는 인코딩 변환을 할 경우, 상위 비트가 정확하게 잘려나가지 않는다. 이에 따라 SlotTOCoeffBFV/CoeffToSlotBFV는 BFV 스킴에서, SlotTOCoeffCKKS/CoeffToSlotCKKS는 CKKS 스킴에서 실행해야 한다. 즉, SlotTOCoeff/CoeffToSlot는 두 스킴에 범용적으로 이용되는 것이 아니라, 현재 스킴에 대응되는 방식을 이용하여야 한다.
한편, CKKS 스킴은 복소수, BFV 스킴은 정수를 다루는 지점에서 문제가 생긴다. 정수는 복소수로 자연스럽게 변환이 되지만, 복소수는 정수로 변환되지 않기 때문이다. 단, 이 과정에서는 정수가 복소수로 변환되는 과정까지도 문제가 생긴다. 이러한 점에서, CKKS 스킴은 큼 평문을 다루기 어려운 점이 있다. 이는 곱셈에서 에러의 증가 크기뿐만 아니라, 재부팅 과정에서 사인 함수를 이용한 동형 모듈러스 연산이 큰 사이즈의 암호문을 감당하기 어렵기 때문이다. 따라서, 큰 정수를 가진 BFV 평문을 다룰 경우, 변환 과정을 통하여 적당히 일부 비트를 소수점 아래로 내려야 할 필요가 있다.
그리고 복소수를 정수로 변환하는 과정에서, CKKS 재부팅 과정에서는 CoeffToSlot을 통해 정수를 슬롯에 넣고 다시 SlotToCoeff로 정수를 계수에 넣는 방법을 사용하고 있다. 본 개시에서는 SlotToCoeff를 먼저 사용한다. 즉, 복소수를 계수로 만드는 방법을 사용한다.
다만, 
식을 계산할 경우, 자연스럽게 정수가 나오게 되므로, 다시 CoeffToSlot을 쓰면 원래의 복소수가 복구되지 않는 문제가 있다.
따라서, CKKS 스킴을 BFV 스킴으로 변환할 경우, 각 슬롯 내에는 실수만 있음이 보장되지 않으면 잘못된 결과가 나올 수 있다. 실수가 들어 있는 상황에서도 단순 변환 끝에 소수점 아랫부분이 일반적인 에러가 위치하는 곳에 들어가게 된다.
이러한 경우, 단순 복호화를 하게 되면, 반올림된 정수 평문이 나오나, 현 상태는 언제까지나 에러가 가득 찬 BFV 암호문으로 간주하므로, 추가적인 연산을 위해서는 재부팅이 필요하다.
그리고 재부팅을 위해서는 에러의 상한이 △/4 이하여야 한다는 제약이 있다.
이를 해결하기 위하여, 적당한 상수 곱을 통해 하위비트 부분을 메시지의 일부로 가져와야 정상적인 변환을 수행할 수 있다. 또는 본 과정이 BFV의 Slim Bootstrapping에서 역 선형 변환을 한 후 이후 상황과 같다는 사실에 주목하여, 역 선형 변환을 한 BFV 암호문으로 간주하고, 상위 비트만을 추출하는 것으로, 상술한 문제를 해결할 수도 있다.
<메시지 재배치>
메시지 재 배치는 BFV와 CKKS의 모듈러스를 전환하고 스케일링 팩터의 값을 변환하여 메시지의 위치를 조정하는 과정이다. 이 과정이 실질적인 스킴 전환 과정이 되며, 이 과정을 기점으로 목표 스킴의 곱셈, 복호화 연산을 사용할 수 있다.
먼저, CKKS에서 BFV 스킴으로의 전환 동작을 설명한다.
이러한 전환은 PushUp 동작이라 지칭될 수 있으며, 이 과정을 수학식으로 표현하면 다음과 같다.
여기서, 
를 계산하는 것이 모듈러스 전환 과정이다. 이를 통해 
에도 
가 곱해지며, 그렇게 변환 △값을 나누고 △BFV를 곱하면 메시지는 m△CKKS에서 m△BFV로 변화게 된다.
다음으로, BFV 스킴에서 CKKS 스킴으로의 전환 동작을 설명한다.
이러한 전환은 PullDown 동작이라 지칭될 수 있으며, 이 과정을 수학식으로 표현하면 다음과 같다.
여기서, 
를 계산하는 것이 모듈러스 전환 과정이다. 이를 통해 
에도 
가 곱해지며, 그렇게 변환 △값을 나누고 △CKKS를 곱하면 메시지는 m△BFV에서 m△CKKS로 변화게 된다.
이상과 같은 내용에 기초하여 도 3를 참조하여, CKKS 스킴에서 BFV 스킴으로의 전환 동작을 정리하여 설명한다.
도 3은 CKKS 스킴과 BFV 스킴의 변환 동작을 간략하게 설명한 도면이다.
먼저, 앞서 설명한 바와 같이 복소수 및 정수 전환에는 문제가 발생할 수 있는바, CKKS 스킴의 동형 암호문의 생성 과정에서는 동형 암호문에 포함되는 메시지는 정수로 한정한다.
정수로 한정된 CKKS 스킴 방식의 동형 암호문이 준비되면(311), 해당 동형 암호문에 대한 SlotToCoeff를 수행하여 메시지를 계수에 둘 수 있다(313).
그리고, PushUP을 통해 모듈러스를 전환하고, 메시지 위치를 변환한다(315). 이에 따라, 메시지의 위치가 기존에는 하위 비트의 에러에 인접하게 배치된 것이, 상위 비트에 위치하게 된다.
그리고 모듈러스 전환 및 메시지 위치가 변환된 것을 CoeffToSlot을 이용하여 계수에 있던 메시지를 다시 슬롯을 넣을 수 있다(317).
그리고 선택적으로 해당 제2 스킴 방식(즉, BFV 스킴)의 동형 암호문에 대한 부트스트래핑(또는 재부팅)을 수행할 수 있다(319).
다음으로, BFV 스킴에서 CKKS 스킴으로의 전환 동작을 설명한다.
BFV 스킴의 동형 암호문이 준비되면(321), 해당 동형 암호문에 대한 SlotToCoeff를 수행하여 메시지를 계수에 둘 수 있다(323).
그리고, PushDown을 통해 모듈러스를 전환하고, 메시지 위치를 변환한다(325). 이에 따라 메시지가 에러가 인접하게 배치되게 된다.
그리고 모듈러스 전환 및 메시지 위치가 변환된 것을 CoeffToSlot을 이용하여 계수에 있던 메시지를 다시 슬롯을 넣을 수 있다(327).
그리고 추가적으로 해당 제1 스킴 방식(즉, CKKS 스킴)의 동형 암호문에 대한 부트스트래핑(또는 재부팅)을 수행할 수 있다(328).
이상에서는 두 가지 스킴 간의 전환을 설명하였다. 이하에서는 상술한 스킴 전환을 이용하는 응용 상황에 대해서 설명한다.
먼저, 도 4를 참조하여, 대칭키-동형암호 전환 틀을 설명한다.
도 4는 본 개시의 일 실시 예에 따른 대칭키-동형암호 전환 툴의 동작을 설명하기 위한 도면이다.
동형 암호는 대칭키 암호에 비해 데이터의 전송에 부적법한 크기를 가지고 있기 때문에, 암호문의 전송에 필요한 전송량을 줄이는 요청이 있었다. 이러한 요청에 대응하기 위하여, 상술한 변환 동작을 대칭키-동형암호 전환 틀에 적용할 수 있다.
먼저, 초기화(401)는 클라이언트 측에서 대칭키 암호화 동형 암호화의 키 생성 알고리즘을 통해 키를 생성하고, 대칭키 암호의 키를 동형 암호 키로 암호화하여 새로운 키(k)를 생성한다. 그리고, 생성한 키를 서버에 전송할 수 있다.
그리고 클라이언트는 메시지를 대칭키 암호로 암호화하여, 해당 암호문을 서버에 전송할 수 있다(402).
대칭키로 암호화된 암호문을 수신한 서버는 미리 받은 키(k)와 (m')을 동형 연산하여 복호화하여 암호문(ct)을 얻고, 지정된 함수를 이용하여 다시 함수 값을 측정한 후 결과를 클라이언트에게 전송할 수 있다(404).
클라이언트는 수신한 암호문을 복호화하여 그 결과를 확인할 수 있다(403).
이와 같이 대칭키는 동형 연산으로 복호화가 가능한 임의의 대칭키 암호화를 선택하도록 하며, 대표적으로 AES를 사용할 수 있다. 한편, AES 이외에 다른 대칭키 암호화 방식을 이용할 수도 있다. 이때, 사용하는 동형 암호문의 스킴은 CKKS 스킴일 수 있다.
한편, 이상에서는 변환 동작을 대칭키-동형 암호문의 전환에 사용하였지만, 구현시에는 정수 근사나 비트 추출 등의 동작에도 활용할 수 있다. 예를 들어, BFV 재부팅의 상위 비트 추출 연산을 응용하여 정수 근사를 활용할 수 있다. 즉, 어느 정도 정수와 가까운 메시지를 가진 CKKS 암호문의 경우 BFV 스킴으로 전환하는 과정에서 자연스럽게 소수점 아랫자리가 떨어져 나가게 된다. 즉, 상술한 스킴 전환을 활용하여 CKKS 암호문의 하위 비트 정확도를 개선하는 것이 가능하다.
또한, 모듈러 연산과 상위 비트 추출 연산을 동시에 사용함으로써 CKKS 스킨을 BFV로 가져가 비트 추출을 수행할 수도 있다. 또한, CKKS 스킴에서 얻은 결과를 비트로 변환하여 추가적인 연산을 수행하는 것도 가능하다.
도 5는 본 개시의 일 실시 예에 따른 CKKS 스킴을 BFV 스킴으로 변환하는 알고리즘을 도시한 도면이다.
앞서 설명한 바와 같이, 재부팅을 위해서는 에러의 상한이 △/4 이하여야 한다는 제약이 있다. 따라서, 먼저 에러의 상한인지를 확인할 수 있다.
에러의 상환이 문제되지 않으면, 해당 동형 암호문에 대한 SlotToCoeff를 수행하여 메시지를 계수에 둘 수 있다(SlotToCoeff(ct1)).
그리고, PushUP을 통해 모듈러스를 전환하고, 메시지 위치를 변환한다. PushUP 동작에 대해서는 앞서 설명하였는바, 자세한설명은 생략한다.
그리고 모듈러스 전환 및 메시지 위치가 변환된 것을 CoeffToSlot을 이용하여 계수에 있던 메시지를 다시 슬롯을 넣을 수 있다(CoeffToSlot(ct).
그리고 선택적으로 BFV 방식에서 지원하는 부트스트래핑을 수행할 수 있다.
도 6은 본 개시의 일 실시 예에 따른 BFV 스킴을 CKKS 스킴으로 변환하는 알고리즘을 도시한 도면이다.
BFV 스킴의 동형 암호문이 준비되면), 해당 동형 암호문에 대한 SlotToCoeff를 수행하여 메시지를 계수에 둘 수 있다(ct <- SlotToCoeff(ct)).
그리고, PushDown을 통해 모듈러스를 전환하고, 메시지 위치를 변환한다(Ct<- PullDown(Ct)).
그리고 모듈러스 전환 및 메시지 위치가 변환된 것을 CoeffToSlot을 이용하여 계수에 있던 메시지를 다시 슬롯을 넣을 수 있다(ct < CoeffToSlot(ct)).
그리고 선택적으로 CKKS 스킴에 따른 부트스트래핑을 수행할 수 있다.
도 7은 본 개시의 실시 예에 따른 동형 암호문의 처리 방법을 설명하기 위한 흐름도이다.
먼저, 제1 스킴 방식으로 생성된 동형 암호문을 입력받는다(S1110). 한편, 스킴 전환 전에 두 스킴 간에 파라미터가 호환되어야 한다는 점에서, 제1 스킴 방식의 제1 파라미터에 기초하여 제2 스킴 방식의 제2 파라미터를 설정하거나, 이러한 설정이 미리 수행되어 있을 수 있다. 여기서, 파라미터는 링을 구성하는 n차 다항식의 차수(n), 암호문의 모듈러스(q), 평문 모듈러스(t), 슬롯 크기(k) 등일 수 있다.
그리고 동형 암호문 내의 복수의 슬롯 값을 복수의 계수 값으로 변환한다(S1120). 이러한 동작은 디코딩 동작 또는 슬롯-계수 전환 동작 등으로 지칭될 수 있다.
그리고 제2 스킴 방식에 대응되는 파라미터에 기초하여 복수의 계수 값에 대한 모듈러스 전환 처리를 수행한다. 구체적으로, 파라미터 중 모듈러스 파라미터에 기초하여 암호문의 모듈러스를 전환하고, 모듈러스 전환된 복수의 계수 값에 파라미터 중 스케일링 팩터에 기초하여 스케일링 처리할 수 있다. 예를 들어, 제1 스킴 방식이 CKKS 스킴이고, 제2 스킴 방식이 BFV 스킴이면, 푸쉬업(PushUp) 방식으로 모듈러스 전환처리하고, 제2 스킴 방식이 BFV 스킴이고, 제1 스킴 방식이 CKKS 스킴이면 풀 다운(PullDown)방식으로 모듈러스 전환 처리를 수행하는 동형 암호문 처리 방법.
그리고 모듈러스 전환 처리된 복수의 계수 값을 복수의 슬롯 값으로 변환하여, 제2 스킴 방식의 동형 암호문을 생성한다. 이러한 동작은 인코딩 동작 또는 계수-슬롯 전환 동작 등으로 지칭될 수 있다.
추가적으로 생성된 동형 암호문에 대한 부트 스트래핑이 수행될 수 있다.
이상과 같이 본 실시 예에 따른 동형 암호문 처리 방법은 서로 다른 스킴의 동형 암호문 간의 전환을 수행할 수 있다. 따라서, 서로 다른 스킴의 동형 암호문을 저장하여 이용하는 경우에도, 전환 처리를 통하여 동형 연산을 수행하는 것이 가능하며, 동형 암호문의 송수신 과정에서도 상술한 전환을 통하여 통신 리소스를 절감하는 것이 가능하다.
각 단계의 상세 동작에 대해서는 상술한 바 있으므로 자세한 설명은 생략하도록 한다.
한편, 상술한 본 개시의 다양한 실시 예들에 따른 방법들은, 기존 연산 장치(또는 전자 장치)에 설치 가능한 어플리케이션 형태로 구현될 수 있다.
또한, 상술한 본 개시의 다양한 실시 예들에 따른 방법들은, 기존 연산 장치(또는 전자 장치)에 대한 소프트웨어 업그레이드, 또는 하드웨어 업그레이드만으로도 구현될 수 있다.
또한, 상술한 본 개시의 다양한 실시 예들은 연산 장치에 구비된 임베디드 서버, 또는 연산 장치 중 적어도 하나의 외부 서버를 통해 수행되는 것도 가능하다.
한편, 본 개시의 일시 예에 따르면, 이상에서 설명된 다양한 실시 예들은 기기(machine)(예: 컴퓨터)로 읽을 수 있는 저장 매체(machine-readable storage media에 저장된 명령어를 포함하는 소프트웨어로 구현될 수 있다. 기기는, 저장 매체로부터 저장된 명령어를 호출하고, 호출된 명령어에 따라 동작할 수 있는 장치로서, 개시된 실시 예들에 따른 디스플레이 장치를 포함할 수 있다. 명령이 프로세서에 의해 실행될 경우, 프로세서가 직접, 또는 프로세서의 제어 하에 다른 구성요소들을 이용하여 명령에 해당하는 기능을 수행할 수 있다. 명령은 컴파일러 또는 인터프리터에 의해 생성 또는 실행되는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장 매체는, 비일시적(non-transitory) 저장매체의 형태로 제공될 수 있다. 여기서, '비일시적'은 저장매체가 신호(signal)를 포함하지 않으며 실재(tangible)한다는 것을 의미할 뿐 데이터가 저장매체에 반영구적 또는 임시적으로 저장됨을 구분하지 않는다.
또한, 본 개시의 일 실시 예에 따르면, 이상에서 설명된 다양한 실시 예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory (CD-ROM))의 형태로, 또는 어플리케이션 스토어(예: 플레이 스토어TM)를 통해 온라인으로 배포될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품의 적어도 일부는 제조사의 서버, 어플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.
또한, 본 개시의 일 실시 예에 따르면, 이상에서 설명된 다양한 실시 예들은 소프트웨어(software), 하드웨어(hardware) 또는 이들의 조합을 이용하여 컴퓨터(computer) 또는 이와 유사한 장치로 읽을 수 있는 기록 매체 내에서 구현될 수 있다. 일부 경우에 있어 본 명세서에서 설명되는 실시 예들이 프로세서 자체로 구현될 수 있다. 소프트웨어적인 구현에 의하면, 본 명세서에서 설명되는 절차 및 기능과 같은 실시 예들은 별도의 소프트웨어 모듈들로 구현될 수 있다. 소프트웨어 모듈들 각각은 본 명세서에서 설명되는 하나 이상의 기능 및 동작을 수행할 수 있다.
한편, 상술한 다양한 실시 예들에 따른 기기의 프로세싱 동작을 수행하기 위한 컴퓨터 명령어(computer instructions)는 비일시적 컴퓨터 판독 가능 매체(non-transitory computer-readable medium) 에 저장될 수 있다. 이러한 비일시적 컴퓨터 판독 가능 매체에 저장된 컴퓨터 명령어는 특정 기기의 프로세서에 의해 실행되었을 때 상술한 다양한 실시 예에 따른 기기에서의 처리 동작을 특정 기기가 수행하도록 한다.
비일시적 컴퓨터 판독 가능 매체란 레지스터, 캐쉬, 메모리 등과 같이 짧은 순간 동안 데이터를 저장하는 매체가 아니라 반영구적으로 데이터를 저장하며, 기기에 의해 판독(reading)이 가능한 매체를 의미한다. 비일시적 컴퓨터 판독 가능 매체의 구체적인 예로는, CD, DVD, 하드 디스크, 블루레이 디스크, USB, 메모리카드, ROM 등이 있을 수 있다.
또한, 상술한 다양한 실시 예들에 따른 구성 요소(예: 모듈 또는 프로그램) 각각은 단수 또는 복수의 개체로 구성될 수 있으며, 전술한 해당 서브 구성 요소들 중 일부 서브 구성 요소가 생략되거나, 또는 다른 서브 구성 요소가 다양한 실시 예에 더 포함될 수 있다. 대체적으로 또는 추가적으로, 일부 구성 요소들(예: 모듈 또는 프로그램)은 하나의 개체로 통합되어, 통합되기 이전의 각각의 해당 구성 요소에 의해 수행되는 기능을 동일 또는 유사하게 수행할 수 있다. 다양한 실시 예들에 따른, 모듈, 프로그램 또는 다른 구성 요소에 의해 수행되는 동작들은 순차적, 병렬적, 반복적 또는 휴리스틱하게 실행되거나, 적어도 일부 동작이 다른 순서로 실행되거나, 생략되거나, 또는 다른 동작이 추가될 수 있다.
이상에서는 본 개시의 바람직한 실시 예에 대하여 도시하고 설명하였지만, 본 개시는 상술한 특정의 실시 예에 한정되지 아니하며, 청구범위에서 청구하는 본 개시의 요지를 벗어남이 없이 당해 개시에 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 개시의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.
100: 전자 장치
200: 제1 서버 장치
300: 제2 서버 장치 400: 연산 장치
410: 통신 장치 420: 메모리
430: 디스플레이 440: 조작 입력 장치
450: 프로세서
300: 제2 서버 장치 400: 연산 장치
410: 통신 장치 420: 메모리
430: 디스플레이 440: 조작 입력 장치
450: 프로세서
Claims (15)
- 제1 스킴 방식으로 생성된 동형 암호문을 입력받는 단계;
상기 동형 암호문 내의 복수의 슬롯 값을 복수의 계수 값으로 변환하는 단계;
상기 제2 스킴 방식에 대응되는 파라미터에 기초하여 상기 복수의 계수 값에 대한 모듈러스 전환 처리를 수행하는 단계; 및
상기 모듈러스 전환 처리된 복수의 계수 값을 복수의 슬롯 값으로 변환하여, 제2 스킴 방식의 동형 암호문을 생성하는 단계;를 포함하는 동형 암호문 처리 방법. - 제1항에 있어서,
상기 제1 스킴 방식의 제1 파라미터에 기초하여 상기 제2 스킴 방식의 제2 파라미터를 설정하는 단계;를 더 포함하는 동형 암호문 처리 방법. - 제2항에 있어서,
상기 제1 파라미터 및 상기 제2 파라미터는,
링을 구성하는 n차 다항식의 차수(n), 암호문의 모듈러스(q), 평문 모듈러스(t), 슬롯 크기(k) 중 적어도 하나를 포함하는 동형 암호문 처리 방법. - 제1항에 있어서,
상기 모듈러스 전환 처리를 수행하는 단계는,
상기 파라미터 중 모듈러스 파라미터에 기초하여 암호문의 모듈러스를 전환하는 단계; 및
상기 모듈러스 전환된 복수의 계수 값에 상기 파라미터 중 스케일링 팩터에 기초하여 스케일링 처리하는 단계;를 포함하는 동형 암호문 처리 방법. - 제1항에 있어서,
상기 모듈러스 전환 처리를 수행하는 단계는,
상기 제1 스킴 방식이 CKKS 스킴이고, 상기 제2 스킴 방식이 BFV 스킴이면, 푸쉬업(PushUp) 방식으로 모듈러스 전환처리하고,
상기 제2 스킴 방식이 BFV 스킴이고, 상기 제1 스킴 방식이 CKKS 스킴이면 풀 다운(PullDown)방식으로 모듈러스 전환 처리를 수행하는 동형 암호문 처리 방법. - 제1항에 있어서,
상기 인코딩된 동형 암호문을 제2 스킴 방식에 대응되는 부트스트래핑 방식으로 부트 스트래핑하는 단계;를 더 포함하는 동형 암호문 처리 방법. - 제1항에 있어서,
상기 제1 스킴 방식 및 제2 스킴 방식은 중 하나는 스케일링 팩터가 기설정된 값 이상이어서, 상기 동형 암호문에 대응되는 평문을 동형 암호문 내의 상위 비트에 숨기는 스킴이고, 다른 하나는 상기 스케일링 팩터가 상기 기설정된 값보다 작아서 상기 동형 암호문에 대응되는 평문을 동형 암호문 내의 하위 비트에 숨기는 스킴인 동형 암호문 처리 방법. - 연산 장치에 있어서,
외부 장치로부터 제1 스킴 방식으로 생성된 동형 암호문을 수신하는 통신 장치;
적어도 하나의 인스트럭션(instruction)을 저장하는 메모리; 및
상기 적어도 하나의 인스트럭션을 실행하는 프로세서;를 포함하고,
상기 프로세서는,
상기 적어도 하나의 인스트럭션을 실행함으로써, 상기 동형 암호문 내의 복수의 슬롯 값을 복수의 계수 값으로 변환하고,
상기 제2 스킴 방식에 대응되는 파라미터에 기초하여 상기 복수의 계수 값에 대한 모듈러스 전환 처리를 수행하고,
상기 모듈러스 전환 처리된 복수의 계수 값을 복수의 슬롯 값으로 변환하여, 제2 스킴 방식의 동형 암호문을 생성하는 연산 장치. - 제8항에 있어서,
상기 프로세서는,
상기 제1 스킴 방식의 제1 파라미터에 기초하여 상기 제2 스킴 방식의 제2 파라미터를 설정하는 연산 장치. - 제9항에 있어서,
상기 제1 파라미터 및 상기 제2 파라미터는,
링을 구성하는 n차 다항식의 차수(n), 암호문의 모듈러스(q), 평문 모듈러스(t), 슬롯 크기(k) 중 적어도 하나를 포함하는 연산 장치. - 제8항에 있어서,
상기 프로세서는,
상기 파라미터 중 모듈러스 파라미터에 기초하여 암호문의 모듈러스를 전환하고, 상기 모듈러스 전환된 복수의 계수 값에 상기 파라미터 중 스케일링 팩터에 기초하여 스케일링 처리하는 연산 장치. - 제8항에 있어서,
상기 프로세서는,
상기 제1 스킴 방식이 CKKS 스킴이고, 상기 제2 스킴 방식이 BFV 스킴이면, 푸쉬업(PushUp) 방식으로 모듈러스 전환처리하고,
상기 제2 스킴 방식이 BFV 스킴이고, 상기 제1 스킴 방식이 CKKS 스킴이면 풀 다운(PullDown)방식으로 모듈러스 전환 처리를 수행하는 연산 장치. - 제7항에 있어서,
상기 프로세서는,
상기 제2 스킴 방식의 동형 암호문을 제2 스킴 방식에 대응되는 부트스트래핑 방식으로 부트 스트래핑하는 연산 장치. - 제8항에 있어서,
상기 제1 스킴 방식 및 제2 스킴 방식은 중 하나는 스케일링 팩터가 기설정된 값 이상이어서, 상기 동형 암호문에 대응되는 평문을 동형 암호문 내의 상위 비트에 숨기는 스킴이고, 다른 하나는 상기 스케일링 팩터가 상기 기설정된 값보다 작아서 상기 동형 암호문에 대응되는 평문을 동형 암호문 내의 하위 비트에 숨기는 스킴인 연산 장치. - 동형 암호문 처리 방법을 실행하기 위한 프로그램을 포함하는 컴퓨터 판독가능 기록 매체에 있어서,
상기 동형 암호문 처리 방법은,
제1 스킴 방식으로 생성된 동형 암호문을 입력받는 단계;
상기 동형 암호문 내의 복수의 슬롯 값을 복수의 계수 값으로 변환하는 단계;
상기 제2 스킴 방식에 대응되는 파라미터에 기초하여 상기 복수의 계수 값에 대한 모듈러스 전환 처리를 수행하는 단계; 및
상기 모듈러스 전환 처리된 복수의 계수 값을 복수의 슬롯 값으로 변환하여, 제2 스킴 방식의 동형 암호문을 생성하는 단계;를 포함하는 컴퓨터 판독가능 기록 매체.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210024756 | 2021-02-24 | ||
| KR20210024756 | 2021-02-24 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20220121221A true KR20220121221A (ko) | 2022-08-31 |
Family
ID=83061836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220024666A KR20220121221A (ko) | 2021-02-24 | 2022-02-24 | 동형 암호문의 변환 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20220121221A (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117235381A (zh) * | 2023-10-10 | 2023-12-15 | 南京邮电大学 | 一种基于同态加密时空同位计算的朋友推荐方法 |
| CN117235381B (zh) * | 2023-10-10 | 2024-05-10 | 南京邮电大学 | 一种基于同态加密时空同位计算的朋友推荐方法 |
-
2022
- 2022-02-24 KR KR1020220024666A patent/KR20220121221A/ko not_active Application Discontinuation
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117235381A (zh) * | 2023-10-10 | 2023-12-15 | 南京邮电大学 | 一种基于同态加密时空同位计算的朋友推荐方法 |
| CN117235381B (zh) * | 2023-10-10 | 2024-05-10 | 南京邮电大学 | 一种基于同态加密时空同位计算的朋友推荐方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7370402B2 (ja) | 端末装置における暗号化方法及び端末 | |
| KR101965628B1 (ko) | 동형 암호화를 수행하는 단말 장치와 그 암호문을 처리하는 서버 장치 및 그 방법들 | |
| KR102040106B1 (ko) | 실수 평문에 대한 동형 암호화 방법 | |
| KR102297536B1 (ko) | 암호문에 대한 비다항식 연산을 수행하는 장치 및 방법 | |
| JP2020530577A (ja) | 暗号文に対する近似演算を行う装置及び方法 | |
| KR102393942B1 (ko) | 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법 | |
| KR102349855B1 (ko) | 공간 복잡도를 고려한 동형 암호화 또는 복호화 방법 | |
| JP7170878B2 (ja) | 暗号文に対する非多項式演算を行う装置及び方法 | |
| KR102475273B1 (ko) | 동형 암호 시스템에 대한 시뮬레이션 장치 및 방법 | |
| KR102522708B1 (ko) | 동형 암호문에 대한 통계 연산 수행하는 장치 및 방법 | |
| KR102304992B1 (ko) | 동형 암호문에 대한 비다항식 연산을 수행하는 장치 및 방법 | |
| KR102160294B1 (ko) | 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법 | |
| KR102203238B1 (ko) | 모듈러 곱셈 연산을 수행하는 연산 장치 및 방법 | |
| KR20220121221A (ko) | 동형 암호문의 변환 장치 및 방법 | |
| KR20200087708A (ko) | 근사 계산에 대한 계산 검증 | |
| KR102393941B1 (ko) | 근사 암호화된 암호문에 대한 인코딩 또는 디코딩 | |
| KR102452181B1 (ko) | 근사 암호화된 암호문에 대한 정렬 장치 및 방법 | |
| US20230421352A1 (en) | Apparatus for processing homomorphic encrypted messages and method thereof | |
| US20240039695A1 (en) | Electronic apparatus for generating homomorphic encrypted message and method therefor | |
| KR20220134487A (ko) | 동형 암호문을 처리하는 전자 장치 및 그 방법 | |
| KR20230049052A (ko) | 격자전자서명의 비밀 키 생성 방법 및 이를 이용한 장치 | |
| KR20230149708A (ko) | 동형 암호문에 대한 재부팅 연산을 수행하는 장치 및 방법 | |
| KR20230162524A (ko) | 동형 암호문에 대한 재부팅 연산을 수행하는 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal |