WO2014035146A2

WO2014035146A2 - 환 동형 사상을 이용한 동형 암호화 방법과 복호화 방법 및 이를 이용한 장치

Info

Publication number: WO2014035146A2
Application number: PCT/KR2013/007743
Authority: WO
Inventors: 천정희; 김진수; 이문성
Original assignee: 서울대학교산학협력단
Priority date: 2012-08-28
Filing date: 2013-08-28
Publication date: 2014-03-06
Also published as: US20150312028A1; WO2014035146A3

Abstract

평문(m)에 에러(e)를 부가하여 랜덤화하는 단계 및 랜덤화된 데이터(r)를 수식 Ψ : R → R' 의해 r' 로 변환하는 단계를 포함하며, 여기서, r ∈ R 이고, r' ∈ R' 이고, 함수(Ψ)는 환 동형 사상(Ring Isomorphism)인 것을 특징으로 하는, 환 동형 사상을 이용한 동형 암호화 방법이 개시된다.

Description

환 동형 사상을 이용한 동형 암호화 방법과 복호화 방법 및 이를 이용한 장치

본 발명은 환 동형 사상을 이용한 동형 암호화 방법과 복호화 방법 및 이를 이용한 장치에 관한 것이다.

준동형 암호화 기술은 암호화된 상태에서 곱셈이나 덧셈이 가능하도록 하는 암호화 기술로서, 여러 분야에서 활용이 기대되고 있다. 예를 들면, 프라이버시를 보호할 필요가 있는 경우, 준동형 암호화 기술은 복호화를 할 필요 없이 암호화된 상태에서 처리가 가능하므로, 유용할 수 있다.

2009년 완전 준동형 암호화 기술을 제시된 뒤로 완전 준동형 암호에 대한 연구가 활발하게 이루어지고 있으며, 특히, 정수 기반 완전 준동형 암호화 기술은 횟수에 제한 없이 암호문간의 더하기와 곱하기 연산을 지원할 수 있는 기술이다. 하지만, 이러한 기술은 공개키의 크기가 지나치게 클 뿐만 아니라 암호화에 많은 시간이 걸린다고 하는 단점이 있다.

또한, 종래 다른 완전 준동형 암호화 기술들은, 안전하지 못하거나 충분한 횟수만큼 덧셈이나 곱셈을 지원하지 못하는 단점이 있다.

본 발명의 일 실시예에 따르면, 안전하고, 많은 양의 덧셈 및 곱셈의 횟수가 수용가능하고, 평문의 크기에 제한이 없고 속도와 저장 용량이 효율적인, 환 동형 사상(Ring Isomorphism)을 이용한 암호화 장치 및 방법, 복호화 장치 및 방법이 제공될 수 있다.

본 발명의 다른 실시예에 따르면, 안전하고, 많은 양의 덧셈 및 곱셈의 횟수가 수용가능하고, 평문의 크기에 제한이 없고 속도와 저장 용량이 효율적인, 환 동형 사상(Ring Isomorphism)을 이용한 암호화 장치 및 방법, 복호화 장치 및 방법을 실행하기 위한 프로그램을 기록한 컴퓨터로 판독 가능한 기록 매체가 제공될 수 있다.

본 발명의 다른 실시예에 따르면, 준동형 암호의 파라미터 증가 없고 스쿼싱 없이 부트트랩핑을 달성할 수 있는 리프레시 장치가 제공될 수 있다.

본 발명의 일 실시예에 따르면, 평문(m)에 에러(e)를 부가하여 랜덤화하는 단계 및 랜덤화된 데이터(r)를 다음 수식

Ψ : R → R'

의해 r' 로 변환하는 단계를 포함하며,

여기서, r ∈ R 이고, r' ∈ R' 이고, 함수(Ψ)는 환 동형 사상(Ring Isomorphism)인 것을 특징으로 하는, 환 동형 사상을 이용한 동형 암호화 방법이 제공된다.

본 발명의 다른 실시예에 따르면, 암호화문을 복호화 하는 방법에 있어서,

암호화문(c)에 키(s)를 적용하여 이벨류에이션하는 단계 및

이벨류에이션하는 단계에서 산출된 값을 q로 나누어 모듈러를 연산하는 단계를 포함하며,

상기 암호화문(c)은 환 동형 사상을 이용한 동형 암호화 방법에 의해 암호화된 것으로서, 상기 동형 암호화 방법은, 평문(m) 또는 랜덤화된 평문을, 다음 수식

Ψ : R → R'

의해 r' 로 변환하는 단계를 포함하며,

여기서, r은 평문(m) 또는 랜덤화된 평문이고, r ∈ R 이고, r' ∈ R' 이고, 함수(Ψ)는 환 동형 사상(Ring Isomorphism)이며,

여기서, q ∈ Q, Q = {q_i｜ 1≤i≤k, i와 k는 양의 정수}이고, q_i는 서로 소인 양의 정수이고, S = {α_i｜α_i - α_i ∈ {Z^* _n}, 1≤i, j≤k, i, j, 및 k는 양의 정수} = (α₁, α₂, ... , α_k)로 정의되는 것을 특징으로 하는 복호화 방법이 제공된다.

본 발명의 다른 실시예에 따르면, 평문 또는 평문이 랜덤화된 데이터(r)를 다음 수식

Ψ : R → R'

의해 r' 로 변환하는 변환부를 포함하며,

여기서, r ∈ R 이고, r' ∈ R' 이고, 함수(Ψ)는 환 동형 사상(Ring Isomorphism)인 것을 특징으로 하는, 환 동형 사상을 이용한 동형 암호화 장치가 제공된다.

본 발명의 다른 실시예에 따르면, 암호화문을 복호화 하는 장치에 있어서, 암호화문(c)에 키(s)를 적용하여 이벨류에이션하는 이벨류에이션부 및 이벨류에이션부에서 산출된 값을 q로 나누어 모듈러를 연산하는 모듈러 연산부를 포함하며,

상기 암호화문(c)은 환 동형 사상을 이용한 암호화 방법에 의해 암호화된 것으로서, 상기 암호화 방법은, 평문 또는 평문이 랜덤화된 데이터(r)를 다음 수식

Ψ : R → R'

의해 r' 로 암호화하는 단계를 포함하며,

여기서, r ∈ R 이고, r' ∈ R' 이고, 함수(Ψ)는 환 동형 사상(Ring Isomorphism)인 것을 특징으로 하는, 복호화 장치가 제공된다.

상술한 방법들 중 어느 하나의 방법은 프로그램을 기록한 것을 특징으로 하는 컴퓨터로 판독 가능한 기록 매체에 의해 제공될 수 있다.

본 발명의 하나 이상의 실시예에 따르면, 안전한 레벨까지 암호화가 가능하며, 암호화된 상태에서 덧셈 및 곱셈의 횟수가 현실적으로 수용 가능한 횟수까지 지원이 될 수 있다. 또한, 암호화를 할 평문의 크기에 제한이 없고 속도와 저장 용량이 효율적일 수 있다.

도 1은 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 장치를 설명하기 위한 도면이고,

도 2는 본 발명의 일 실시예에 따른 복호화 장치를 설명하기 위한 도면이고

도 3은 본 발명의 다른 실시예에 따른 복호화 장치를 설명하기 위한 도면이고,

도 4는 본 발명의 일 실시예에 따른 암호화 장치를 설명하기 위한 도면이고,

도 5는 본 발명의 일 실시예에 따른 복호화 장치를 설명하기 위한 도면이고,

도 6은 본 발명의 일 실시예에 따른 연산 장치를 설명하기 위한 도면이고,

도 7은 본 발명의 일 실시예에 따른 암호화 방법을 설명하기 위한 도면이고,

도 8은 본 발명의 일 실시예에 따른 암호화 방법을 설명하기 위한 도면이고,

도 9는 본 발명의 일 실시예에 따른 복호화 방법을 설명하기 위한 도면이고,

도 10은 본 발명의 일 실시예에 따른 복호화 방법을 설명하기 위한 도면이고,

도 11은 본 발명의 일 실시예에 따른 암호화 장치와 복호화 장치를 설명하기 위한 도면이고,

도 12는 본 발명의 일 실시예에 따른 암호화 방법을 설명하기 위한 도면이고,

도 13은 본 발명의 일 실시예에 따른 복호화 방법을 설명하기 위한 도면이고,

도 14는 본 발명의 일 실시예에 따른 암호화 장치와 복호화 장치를 설명하기 위한 도면이고,

도 15는 본 발명의 일 실시예에 따른 암호화 방법을 설명하기 위한 도면이고,

도 16은 본 발명의 일 실시예에 따른 복호화 방법을 설명하기 위한 도면이고,

도 17은 본 발명의 일 실시예에 따른 리프레시 장치를 설명하기 위한 도면이고, 그리고

도 18은 본 발명의 일 실시예에 따른 컴퓨터 시스템을 설명하기 위한 도면이다.

[부호의 설명]

10, 50, 60, 150, 230, 250: 모듈러 연산부

20, 120, 220: 랜덤화부

30, 140: 변환부

40, 130: 이벨류에이션부

70: 덧셈 연산부

80: 곱셈 연산부

240: CRT 연산부

310: 리프레시 장치

이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다. 본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.

이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 아래의 특정 실시예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다.

용어의 정의

환(ring) R 에서 환(ring) R' 으로의 사상 f: R→R' 이 임의의 a, b∈R에 대해 다음의 두 연산을 만족하면, 환의 두 연산을 보존한다고 말하며, f를 R에서 R'으로의 환 준동형사상(ring-homomorphism)이라 한다.

f(a+b) = f(a)+f(b), f(ab) = f(a)f(b)

특히, f가 환 준동형사상인 동시에 일대일 대응이면 f를 R에서 R'으로의 환 동형사상(ring-isomorphism)이라고 한다.

집합과 원소의 표기

본원 명세서에서, 설명의 목적을 위해서, 집합은 대문자로 원소는 소문자로 표기하기로 하고, 벡터와 스칼라는 구분 없이 소문자로 표기하기로 한다. 본원 발명에서 자주 사용되는 집합, 원소, 벡터, 및 스칼라에 대하여 다음과 같다.

1) 집합 표기: M, R, R', Q, E, S

2) 원소 표기: m, r, r', q, e, s

여기서, m ∈ M, r ∈ R, r' ∈ R', q ∈ Q , e ∈ E, s ∈ S 를 만족한다.

3) 벡터 및 벡터의 성분 표기

m = (m₁, m₂, ... , m_k)

r = (r₁, r₂, ... , r_k)

r' = (r'₁, r'₂, ... , r'_k)

q = (q₁, q₂, ... , q_k)

e = (e₁, e₂, ... , e_k)

s = (α₁, α₂, ... , α_k)

여기서, m_i는 m의 성분들 m₁, m₂, ... , m_k 중 어느 하나를 의미하고 ri는 r의 성분들 r₁, r₂, ... , r_k 중 어느 하나를 의미하고, r'_i는 r'의 성분들 r'₁, r'₂, ... , r'_k 중 어느 하나를 의미하고, q_i는 q의 성분들 q₁, q₂, ... , q_k중 어느 하나를 의미하고, e_i는 e의 성분들 e₁, e₂, ... , e_k중 어느 하나를 의미하고, α_i는 s의 성분들 α₁, α₂, ... , α_k중 어느 하나를 의미한다.

한편, 여기에서 언급되지 않은 집합, 원소, 벡터 및 스카라들은, 위와 같은 방식으로 정의되어 사용하는 것으로 이해하기 바란다.

A. 제1 실시예

도 1은 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 장치를 설명하기 위한 도면이다.

도 1을 참조하면, 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 장치는, 랜덤화부(20)와 변환부(30)를 포함할 수 있다.

랜덤화부(20)는, 평문(m)에 에러(e)를 부가하여 랜덤화할 수 있다. 즉, 램덤화부(20)는, 평문 공간(M)에 속한 임의의 평문(m)에, 에러 공간(E)에 속한 임의의 에러(e)를 부가하여, 모듈러 n의 최소 잉여 집합인 R에 속한 임의의 r로 변화시킨다.

랜덤화부(20)의 동작을 수식으로 표현하면 수식 1로서 표현할 수 있다. 여기서, 평문(m)은 벡터 또는 스칼라 어떤 것이라고 무방하지만, 본 실시예에서는, 본원 발명의 설명의 목적을 위해서, 평문(m)이 스칼라인 것을 전제로 설명하기로 한다.

<수식 1>

Ω: M → R

여기서, R = Zn 이고, r ∈ Zn 이며, Zn은 모듈러 n의 최소 잉여 집합이다.

r = m + eq= (m + e₁q₁, m + e₂q₂, ... , m + e_kq_k) = (r₁, r₂, ... , r_k)

여기서, e = (e₁, e₂, ... , e_k)이고, q = (q₁, q₂, ... , q_k), m ∈ M, e ∈ E, q ∈ Q , r ∈ R 를 만족한다. 본원 명세서에서, eq는 또는 e·q는 벡터 e의 성분과 벡터 q 성분의 내적을 의미한다.

한편, 본 발명의 실시예에 따르면, k가 벡터의 차원을 나타낸다면, i는 1≤i≤k 과 같이 정의될 수 있다.

변환부(30)는, 램덤화부(20)에 의해 램덤화된 데이터(r)를, 함수(Ψ)를 사용하여 공간 R'에 속한 원소(r')로 변환시킨다.

변환부(30)의 동작을 수식으로 표현하면 수식 2로서 표현할 수 있다.

<수식 2>

Ψ: R → R'

변환부(30)에서 사용하는 함수(Ψ)는 환 동형 사상(Ring Isomorphism)이다.

환 동형 사상의 일 예로서 라그랑즈 보간법을 들 수 있으며, 라그랑즈 보간법을 본 실시예에 사용하는 경우 R과 R'는 다음과 같이 정의 될 수 있다.

R = Z^k _n,R' = Z_n[x]/(p(x)), p(x) = Π^k _i=1(x-α_i) = (x-α₁)(x-α₂) ···(x-α_k) = p₀ + p₁x₁+ p₂x₂ + ... + p_k-1x_k-1

라그랑즈 보간법을 사용하는 경우 함수(Ψ)는 다음과 같이 다시 기술될 수 있다.

Ψ: Z^k _n → Z_n[x]/(P(x))

: (r₁, r₂, ... , r_k) → f(x)

여기서, 다항식 f(x)는, f(α_i)=r_i를 만족하는 다항식으로서 라그랑즈 보간법에 의해서 구해질 수 있다.

예를 들면, r'는 다음을 만족하는 다항식(f(x))일 수 있다.

f(α₁) = r₁

f(α₂) = r₂

.

f(α_k)= r_k

이하에서는 본 실시예에서 사용할 용어 및 파라미터들을 설명하기로 한다.

a) q = (q₁, q₂, ... , q_k), q ∈ Q , q_i는 여기서 서로 소인 정수, 1≤i≤k, i와 k는 양의 정수.

b) R = Z^k _n

Z^k _n= {(r₁, r₂, ... , r_k)｜r_{i ∈}{0, 1, ... , n-1}, 1≤i≤k, i와 k와 n은 양의 정수}

d) R' = Z_n[x]/Π^k _i=1(x-α_i)

g) f(x)는 R'의 원소이며, f(x)는 다음과 같이 정의된다.

f(x) = b₀ + b₁x¹+ b₂x₂ + ... + b_k-1x^k-1 , b_i ∈ {0, 1, ... , n-1}

f) p(x)는 다음과 같이 정의된다.

p(x) = p₀ + p₁x₁+ p₂x₂ + ... + p_k-1x_k-1,p_i ∈ {0, 1, ... , n-1}

h) α = (α₁, α₂, ... , α_k), α ∈ S,α_i-α_j∈Z^* _n, 1≤i, j≤k

i) Z^* _n는 Z_n의 역원이 존재하는 원소의 집합이고, Z_n은 모듈러 n의 잉여 집합이다.

상기 n은 다음과 같은 조건을 만족하는 양의 정수이며, 곱하기의 지원 횟수에 따라서 n의 크기가 달라질 수 있다.

평문 공간(M)의 크기(space) < q의 크기(space) < n

여기서, 크기는 정수의 크기를 의미한다.

본 실시예에서, Ψ 는 비밀이며 q = (q₁, q₂, ... , q_k)가 공개될 수 있다.

본 실시예에서, 평문(m)이 스칼라 인 경우를 가정하고 설명하였으나, 평문(m)은 벡터인 경우에도 본원 발명에 적용 가능하다.

Ω: M → R

만약 평문(m)이 (m₁, m₂, ... , m_j)라면 Ω에 의해 변환된 r (r ∈ R)은 다음과 같이 기술될 수 있다.

r= m + eq= (m₁ + e₁q₁, m₂ + e₂q₂, ... , m_j +e_jq_j, ... , m + e_kq_k) = (r₁, r₂, ... , r_k), m_j ∈ M, e_j ∈ E, q_i ∈ Q이고, r_j+1, ... , r_k는 Z_n의 랜덤 값이다.

한편, 평문의 차수(j)는 j ≤ k를 만족해야 한다. 평문의 차수 j가 k보다 적은 경우, 램덤화부(20)는, 랜덤한 값 r_j+1, ... , r_k 를 추가하여 평문을 k개의 차수로 만든 후에, 램덤화 한다.

이상 상술한 실시예에서, 라그랑즈 보간법을 사용하는 경우를 설명하였지만, 다른 실시 예로서, 환 동형 사상(Ring Isomorphism)으로서, 중국인의 나머지 정리를 이용한 암호화 장치는, 모듈러 연산부(미도시), 랜덤화부(미도시), 및 변환부(미도시)를 포함하도록 구성될 수 있다.

여기서, 모듈러 연산부(미도시)는, 다음과 같이 표현된 수식을 수행할 수 있다.

m’ = m mod q

여기서, m은 평문이고, q=(q₁, q₂, ... , q_k)이고, q₁, q₂, ... , q_k 는 서로 소인 양의 정수이다.

랜덤화부(미도시)는, 위의 모듈러 연산부에 의해 산출된 m'에 대하여 <수식 1>을 적용하여 랜덤화할 수 있다.

r = m'+ eq= (m'+ e₁q₁, m' + e₂q₂, ... , m' + e_kq_k) = (r₁, r₂, ... , r_k)

변환부(미도시)는, 랜덤화부(미도시)에 의해 랜덤화된 데이터(r)를, 중국인의 나머지 정리를 이용하여 r'로 변환할 수 있다. 변환부(미도시)의 동작을 수식으로 표현하면 다음과 같다.

<수학식 3>

c = CRT_S(r)

CRT는 중국인의 나머지 정리를 적용하는 연산자이고, s = (α₁, α₂, ... , α_k) 로서 키(Key)이며, k는 키의 갯수를 나타낸다. 본 발명의 실시예에 따르면, 여기서 키(Key)는 비밀키일 수 있다.

CRT는, 예를 들면, α₁, α₂, ... , α_k가 서로 소인 정수라고 하고, b = α₁·α₂·α₃···α_k라고 하면, 이때 임의의 수열 r₁, r₂, ... , r_k 대하여 c=r_k (mod α_k) 가 되는 c가 mod s 로 유일하게 존재한다는 정리이다.

c에 대한 연립 합동식은 다음과 같이 기재될 수 있다.

c = r₁(mod α₁)

c = r₂ (mod α₂)

.

c = r_k(mod α_k)

수식 CRT_S(r)에서, r은 나머지에 해당하고 s는 제수(나누는 수)에 해당하며, 수식 CRT_S(r)의 해 c 는 상기 연립 합동식을 만족하는 값이 된다.

비밀키 s의 성분들 α₁, α₂, ... , α_k는, 모든 q_i가 b와 서로 소가 되도록 선택할 수 있다. 여기서, b는 아래와 같이 α₁내지 α_k의 곱으로 정의된다.

b = α₁·α₂·α₃···α_k

변환부(미도시) 는, 비밀키 s = (α₁, α₂, ... , α_k)를 적용하여 연산하기 때문에, 비밀키를 모르는 공격자로부터는 안전한 암호화 동작을 수행한다. 본 실시예는, EACDP(Error-free Approximate Greatest Common Divisor Problem)가 안전하기만 하면, 안전한 암호 시스템이라고 할 수 있다.

이상 설명한 중국인의 나머지 정리를 이용한 암호화 장치는, 모듈러 연산부를 포함하도록 설명하였지만, 랜덤화부, 및 변환부는 포함하되 모듈러 연산부를 포함하지 않도록 구성하는 것도 가능하다.

모듈러 연산부를 포함하지 않도록 구성되는 경우, 랜덤화부는, 평문 m에 대하여 <수식 1>을 적용하여 랜덤화한다.

변환부는, 랜덤화부에 의해 랜덤화된 데이터(r)를, 중국인의 나머지 정리를 이용하여 c로 변환한다.

c = CRT_S(r)

B. 제2 실시예

도 2는 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 동형 암호화 방법에 의해 암호화된 암호화문을 복호화 하는 장치를 설명하기 위한 도면이다.

도 2를 참조하면, 본 복호화 장치는, 이벨류에이션부(40)와 모듈러 연산부(50)를 포함할 수 있다.

이벨류에이션부(40)는, 환 동형 사상을 이용한 동형 암호화 방법에 의해 암호화된 암호화문(c)에, 키(s)를 적용하여 이벨류에이션할 수 있다.

이벨류에이션부(40)는 아래의 수식 4과 같은 연산을 수행할 수 있다.

<수식 4>

Ψ^-1: C → R

여기서, c ∈ C 이고, c는 도 1을 참조하여 설명한 제1 실시예에 의해 암호화된 암호화문일 수 있고, Ψ^-1 는 Ψ의 역함수이다.

암호화문이 다항식 f(x)이고, 암호화되기 전의 평문이 스칼라(m)였다면, 수식 4에 의거하여, 이벨류에이션부(40)는 f(x)로부터 f(α₁)를 산출한다.

암호화문이 다항식 f(x)이고, 암호화되기 전의 평문이 벡터(m₁, m₂, ... , m_j)였다면, 수식 4에 의거하여, 이벨류에이션부(40)는 f(x) 로부터 (f(α₁), f(α₂), ... , f(α_j))를 산출한다.

모듈러 연산부(50)는, 아래의 수식 5와 같은 연산을 수행할 수 있다.

<수식 5>

r mod q

여기서, r ∈ R 이고, 모듈러 연산부(50)는 이벨류에이션부(40)에 의해 이벨류에이션된 값(r)을 q 로 나누어 모듈러를 연산할 수 있으며, 이로써 평문(m)이 생성될 수 있다.

암호화문이 다항식 f(x)이고 평문이 스칼라(m) 인 경우, 본 실시예에 따른 복호화 장치의 복호화 과정은 다음과 같이 요약될 수 있다.

Dec(c) = f(α₁) mod q₁ = m

암호화문이 다항식 f(x)이고 평문이 벡터(m) 인 경우, 본 실시예에 따른 복호화 장치의 복호화 과정은 다음과 같이 요약될 수 있다.

Dec(c) = (f(α₁), f(α₂), ... , f(α_j)) mod q= (f(α₁) mod q₁, f(α₂)mod q₂, ... , f(α_j)mod q_j) = (m₁, m₂, ... , m_j)

이상 상술한 실시예에서, 복호화 장치가, 상술한 일 실시예에 따라서 라그랑즈 보간법에 의해 암호화된 암호화문을 복호화하는 경우를 설명하였다.

한편, 다른 실시 예에 따른 복호화 장치는, 도 1을 참조하여 설명하였던 중국인의 나머지 정리에 의해 암호화된 암호화문을 복호화 할 수 있다.

도 3은 본 발명의 다른 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 동형 암호화 방법에 의해 암호화된 암호화문을 복호화 하는 장치를 설명하기 위한 도면이다.

도 3을 참조하면, 복호화 장치는, 모듈러 연산부(45)와 CRT 연산부(55)를 포함할 수 있다. 여기서, 모듈러 연산부(45)는, 다음의 수식으로 표현된 동작을 수행한다.

c’ = (c mod s) mod q

여기서, c는 중국인의 나머지 정리가 적용되어 암호화된 암호화문을 의미하고, s 는 비밀키로서 s = (α₁, α₂, ... , α_k)이고, q= (q₁, q₂, ... , q_k) 이며, 비밀키 s와 q의 조건은 도 1을 참조하여 설명한 바가 있으므로, 여기서는 생략하기로 한다.

CRT 연산부(55)는, 다음의 수식으로 표현된 동작을 수행하여 평문(m)을 산출한다.

m = CRTq(c')

CRTq(c') 를 계산하는 방법은, 도 1을 참조하여 설명한 바가 있으므로, 여기서는 생략하기로 한다.

이상, 도 3을 참조하여 설명한 복호화 장치는, 평문(m)에 대하여 모듈러 연산을 하고, 모듈러 연산한 결과인 m'에 대하여 랜덤화하여 r을 산출하고, 랜덤화된 r을 중국인의 나머지 정리를 이용하여 r'로 변환한다.

한편, 본 발명의 일 실시예에 따른 암호화 장치는, 평문(m)에 대하여모듈러를 연산하는 과정을 생략하고 평문(m)을 바로 랜덤화한 후에 중국인의 나머지 정리를 적용하여 암호화문을 산출하는데, 이렇게 산출된 암호화문을 복호화 하는 장치는, 아래와 같은 모듈러 연산부(45)와 CRT 연산부(55)를 포함한다.

즉, 모듈러 연산부(45)는 다음 수식을 수행한다.

c' = (c mod s) mod q

그리고, CRT 연산부(55)는 아래 수식과 같이 c'에 대하여 중국인의 나머지 정리를 적용하여 평문(m)을 산출한다.

m = CRTq(c')

C. 제3실시예

도 4는 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 장치를 설명하기 위한 도면이다.

도 4를 참조하면, 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 장치는 모듈러 연산부(10), 랜덤화부(20), 및 변환부(30)를 포함할 수 있다.

모듈러 연산부(10)는, 평문(m)을 q로 나누어 모듈러 연산을 수행한다.

모듈러 연산부(10)에 의해 산출된 평문(m')을 m'=(m₁, m₂, ... , m_k)라고 하고, 평문(m')이 속한 공간을 M이라고 할 때, 랜덤화부(20)는 다음과 같은 연산을 한다.

Ω: M → R

즉, 랜덤화부(20)는, m'에 함수 Ω를 적용하여 공간 R에 속한 하나의 원소(r)로 변환한다.

여기서, m' ∈ M, r ∈ R이고, r = m'+ eq = (m'₁ + e₁q₁, m'₂ + e₂q₂, ... , m'_k + e_kq_k) = (r₁, r₂, ... , r_k) 이다.

변환부(30)는, 환 동형 사상(Ring Isomorphism)인 함수(Ψ)를 사용하여 다음과 같은 연산을 한다.

Ψ: R → R'

랜덤화부(20)와 변환부(30)의 기능은 상술한 제1실시예의 것과 그 기능이 동일 또는 유사하므로 그 설명은 생략하기로 한다. 또한, q, e, s, R, R', Ψ, Ω는 제1실시예에서 설명한 것과 동일 또는 유사하므로 그 설명을 생략하기로 한다.

본 실시예에서, 변환부(30)는 라그랑즈 보간법이나 중국인의 나머지 정리를 이용하여 변환 동작을 수행할 수 있다. 라그랑즈 보간법이나 중국인의 나머지 정리를 이용한 변환 동작은 도 1을 참조하여 설명한 바가 있으므로, 상세한 설명은 생략하기로 한다.

D. 제4실시예

도 5는 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 동형 암호화 방법에 의해 암호화된 암호화문을 복호화 하는 장치를 설명하기 위한 도면이다.

도 5를 참조하면, 본 복호화 장치는, 이벨류에이션부(40), 제1 모듈러 연산부(50), 및 제2 모듈러 연산부(60)를 포함할 수 있다.

이벨류에이션부(40)는, 도 4를 참조하여 설명한 실시예에 의해 암호화된 암호화문에 대하여, 다음과 같이 이벨류에이션한다.

Ψ^-1: C → R

제1 모듈러 연산부(50)는, 이벨류에이션부(40)에 의해 이벨류에이션된 값(r)을 q 로 나누어 모듈러를 연산한다.

제2 모듈러 연산부(60)는 제1 모듈러 연산부(50)에 의해 계산된 값에 대하여 다시 q로 나누어 모듈러를 연산하며, 이로써 평문(m)이 생성될 수 있다.

여기서, 이벨류에이션부(40)와 제1 모듈러 연산부(50)는 상술한 제3실시예의 것과 그 기능이 동일 또는 유사하므로 그 설명은 생략하기로 한다.

E. 제5실시예

도 6은 본 발명의 일 실시예에 따른 암호화 방법에 의해 암호화된 암호화문의 연산을 수행하는 연산장치를 설명하기 위한 도면이다. '연산 장치'는, 예를 들면, 본 발명의 실시예에 따른 암호화 장치 또는 복호화 장치 또는 암복호화 장치에 구현될 수 있다.

도 6의 (a)는 덧셈 연산을 설명하기 위한 것이고, 도 6의 (b)는 곱셈 연산을 설명하기 위한 것이다.

도 6의 (a)를 참조하면, 본 발명의 실시예에 따른 연산 장치는 덧셈 연산부(70) 및/또는 곱셈 연산부(80)를 포함할 수 있다.

덧셈 연산부(70)는, 다음 수식에 따른 덧셈 연산을 할 수 있다.

(c₁ + c₂) mod p(x)

곱셈 연산부(80)는, 다음 수식을 수행함으로써 곱셈 연산을 할 수 있다.

((c₁c₂) mod p(x)) mod n

여기서, c₁ , c₂ 는, 예를 들면, 상술한 A. 제1 실시예 및 C. 제3 실시예에서 설명된 방법들에 의해 암호화된 암호화문이고, p(x)와 n은 c₁ , c₂ 로 암호화될 때 사용된 것이다.

본 발명의 일 실시예에 따른 연산장치는 상술한 덧셈 연산부(70)와 곱셈 연산부(80) 중 적어도 어느 하나를 포함하도록 구성될 수 있고, 덧셈 연산부(70)와 곱셈 연산부(80)는 하드웨어 및/또는 소프트웨어에 의해 구현될 수 있다.

F. 제6실시예

도 7은 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 방법을 설명하기 위한 도면이다.

도 7을 참조하면, 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 방법은, 랜덤화 단계(S101)와 변환단계(S103)를 포함할 수 있다.

랜덤화 단계(S101)는, 평문(m)에 에러(e)를 부가하여 랜덤화하는 단계이다.

랜덤화 단계(S101)는, 예를 들면 수식 1에 의해서 평문을 랜덤화시킬 수 있다.

랜덤화 단계(S101)는, 예를 들면, 상술한 제1실시예에서의 랜덤화부(20)에 의해 수행될 수 있다.

랜덤화 단계(S101)는, r = m + eq 동작을 수행하며, 이들에 대한 상세한 설명은 제1 실시예의 것을 참조하기 바란다.

변환단계(S103)는, 랜덤화 단계(S101)에서 랜덤화된 데이터(r)를 함수(Ψ)를 이용하여 암호화문으로 변환할 수 있다. 변환단계(S103)에서 사용하는 함수(Ψ)는 환 동형 사상(Ring Isomorphism)이다.

변환단계(S103)에서 사용하는 함수(Ψ)는, 예를 들면, 라그랑즈 보간법 또는 중국인의 나머지 정리일 수 있다. 변환단계(S103)는 예를 들면, 상술한 제1실시예에서의 변환부(30)에 의해 수행될 수 있다.

S101과 S103의 상세한 설명은 제1 실시예의 것을 참조하기 바란다.

G. 제7실시예

도 8은 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 방법을 설명하기 위한 도면이다.

도 8을 참조하면, 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 방법은, 모듈러 연산하는 모듈러 연산 단계(S201), 랜덤화 단계(S201)와 변환단계(S203)를 포함할 수 있다.

도 7의 실시예와 비교하면, 도 8의 실시예는 모듈러 연산 단계(S201)만을 더 포함하고 있다. 도 8의 랜덤화 단계(S203)와 변환단계(S205)에 수행되는 동작은, 각각 도 7의 랜덤화 단계(S101)와 변환단계(S103)에서 수행되는 동작들과 각각 동일 또는 유사할 수 있다.

모듈러 연산 단계(S201)에서는, 평문(m)을 q로 나누어 모듈러 연산을 수행할 수 있다.

랜덤화 단계(S203)는, 예를 들면 수식 1에 의해서 평문을 랜덤화시킬 수 있다. 랜덤화 단계(S203)는, 예를 들면, 상술한 제1실시예에서의 랜덤화부(20)에 의해 수행될 수 있다.

랜덤화 단계(S203)는, 다음 동작을 수행한다

Ω: M → R

여기서, (m mod q) ∈ M, r ∈ R, r = m+ eq 이다. 이들에 대한 상세한 설명은 제1 실시예의 것을 참조하기 바란다.

변환단계(S205)는, 랜덤화 단계(S203)에서 랜덤화된 데이터(r)를 함수(Ψ)를 이용하여 암호화문으로 변환할 수 있다. 변환단계(S205)에서 사용하는 함수(Ψ)는 환 동형 사상(Ring Isomorphism)이다.

변환단계(S205)에서 사용되는 함수(Ψ)는, 예를 들면, 라그랑즈 보간법 또는 중국인의 나머지 정리일 수 있다.

변환단계(S205)는 예를 들면, 상술한 제1실시예에서의 변환부(30)에 의해 수행될 수 있다.

H. 제8실시예

도 9는 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 동형 암호화 방법에 의해 암호화된 암호화문을 복호화 하는 방법을 설명하기 위한 도면이다.

도 9를 참조하면, 본 복호화 장치는, 이벨류에이션 단계(S301)와 모듈러 연산 단계(S303)를 포함할 수 있다.

이벨류에이션 단계(S301)에서는, 환 동형 사상을 이용한 동형 암호화 방법에 의해 암호화된 암호화문(c)에 키(s)를 적용하여 이벨류에이션할 수 있다.

이벨류에이션 단계(S301)에서는, 예를 들면, 다음과 같은 연산을 수행할 수 있다.

Ψ^-1: C → R

여기서, c ∈ C 이고, c는 도 1을 참조하여 설명한 제1 실시예에 의해 암호화된 암호화문일 수 있고, R 과 Ψ는 제1 실시예에서 정의된 바에 따르며, Ψ^-1 는 Ψ의 역함수이다.

암호화문(c)이 다항식 f(x)이고, 암호화되기 전의 평문(m)이 스칼라였다면, 이벨류에이션 단계(S301)에서는, f(x) 로부터 f(α₁)를 산출한다.

암호화문이 다항식 f(x)이고, 암호화되기 전의 평문이 벡터((m₁, m₂, ... , m_j))였다면, 이벨류에이션 단계(S301)에서는 f(x)로부터 (f(α₁), f(α₂), ... , f(α_j))를 산출한다.

이벨류에이션 단계(S301)는, 예를 들면, 상술한 제2 실시예에서의 이벨류에이션부(40)에 의해 수행될 수 있다.

모듈러 연산 단계(S303)에서는, r mod q 연산을 수행할 수 있다.

즉, 모듈러 연산 단계(S303)에서는, 이벨류에이션 단계(S301)에서 이벨류에이션된 값(r)을 q 로 나누어 모듈러를 연산할 수 있으며, 이로써 평문(m)이 생성될 수 있다.

모듈러 연산 단계(S303)는, 예를 들면, 상술한 제2 실시예에서의 모듈러 연산부(50)에 의해 수행될 수 있다.

I. 제10실시예

도 10은 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 동형 암호화 방법에 의해 암호화된 암호화문을 복호화 하는 방법을 설명하기 위한 도면이다.

도 10을 참조하면, 본 복호화 방법은, 이벨류에이션 단계(S401)와 제1 모듈러 연산 단계(S403)와 제2 모듈러 연산 단계(S405)를 포함할 수 있다. 도 10과 도 9를 비교하면, 도 10의 실시예는 제2 모듈러 연산 단계(S405)를 더 포함하고 있다는 점에서 차이가 있다.

이벨류에이션 단계(S401)에서는, 환 동형 사상을 이용한 동형 암호화 방법에 의해 암호화된 암호화문(c)에 키(S)를 적용하여 이벨류에이션할 수 있다.

이벨류에이션 단계(S401)에서는, 예를 들면, 다음과 같은 연산을 수행할 수 있다.

Ψ^-1: C → R

여기서, c ∈ C 이고, c는 상술한 제3 실시예에 의해 암호화된 암호화문일 수 있고, R 과 Ψ는 제1 실시예에서 정의된 바에 따르며, Ψ^-1 는 Ψ의 역함수이다.

이벨류에이션 단계(S401)에서의 동작은 도 9의 이벨류에이션 단계(S301)에서의 동작과 동일 또는 유사하므로 상세한 설명은 생략하기로 한다.

제1 모듈러 연산 단계(S403)에서는, 이벨류에이션 단계(S401)에서 이벨류에이션된 값(r)을 q 로 나누어 모듈러를 연산할 수 있다. 제1 모듈러 연산 단계(S403)에서의 동작은 도 9의 모듈러 연산 단계(S303)에서의 동작과 동일 또는 유사하므로 상세한 설명은 생략하기로 한다.

제2 모듈러 연산 단계(S405)에서는, 제1 모듈러 연산 단계(S403)에서 계산된 값(r)을 q 로 나누어 모듈러를 연산할 수 있으며, 이로써 평문(m)이 산출된다.

J. 제11실시예

도 11은 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 장치와 복호화 장치를 설명하기 위한 도면이다.

도 11을 참조하면, 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 장치는, 랜덤화부(120)와 이벨류에이션부(130)를 포함할 수 있다.

랜덤화부(120)는 아래의 수식 6에 의해서 평문을 랜덤화시킬 수 있다.

<수식 6>

Ω: M → R

여기서, m(x) ∈ M 이고, m(x)는 다항식으로서 m(x) = m₀ + m₁x¹ + ... + m_k-1x^k-1로 주어질 수 있고, r은 다음과 같이 기술될 수 있다.

r = m(x) + qe(x)

이벨류에이션부(130)는 랜덤화부(120)에 의해 랜덤화된 데이터(r)를 함수(Ψ)를 이용하여 암호화문으로 변환할 수 있다.

Ψ: R → R'

여기서, 함수(Ψ)는 환 동형 사상(Ring Isomorphism)이고, r ∈ R, r' ∈ R' 이다.

R = Z_n[x]/(p(x)), R' = Z^k _n,p(x) = Π^k _i=1(x-α_i) = (x-α₁)(x-α₂) ··· (x-α_k) = p₀ + p₁x₁+ p₂x₂ + ... + p_k-1x_k-1

f(x)는 R의 일 원소이며, 이벨류에이션부(130)는 f(x)로부터 c를 산출한다. 여기서, c = (c₁, c₂, ... , c_k) = (m(α₁) + Qe(α₁), m(α₂) + Qe(α₂), ... , m(α_k) + Qe(α_k))

여기서, Qe(x)는 Q와 e(x)의 곱이며, 이하에서는 도 11를 참조하여 용어 및/또는 파라미터들을 설명하기로 한다.

m(x) = m₀ + m₁x¹ + ... + m_k-1x^k-1

여기서, m_i ∈{0, 1, ... , Q-1}, Q ∈{0, 1, ... , n-1}이고, n은 양의 정수이다

e(x) = e₀ + e₁x + e₂x² + ... + e_k-1x^k-1 , e_i ∈ {0, 1, ... , E-1}

이고 E ∈ {0, 1, ... , n-1}이고, n은 양의 정수이다.

R = Z[x]_n/Π^k _i=1(x-α_i)

R의 원소 f(x)는 다음과 같이 정의된다.

f(x) = b₀ + b₁x¹+ b₂x₂ + ... + b_k-1x^k-1 , b_i ∈ {0, 1, ... , n-1}

p(x)는, 다음과 같이 정의될 수 있다.

p(x) = p₀ + p₁x₁+ p₂x₂ + ... + p_k-1x_k-1, p_i ∈ {0, 1, ... , n-1}

한편, p(x)는 다음과 같은 형태로 기술이 가능하다.

p(x) = Π^k _i=1(x-α_i) = (x-α₁)(x-α₂) ··· (x-α_k)

S의 원소 α는 다음과 같이 정의될 수 있다.

α = (α₁, α₂, ... , α_k), α ∈ S , α_i - α_j ∈ Z^* _n

Z^* _n는 Z_n의 역원이 존재하는 원소의 집합이고, Z_n은 모듈러 n의 잉여 집합이다.

R' = Z^k _n= {(r₁, r₂, ... , r_k)｜r_i∈{0, 1, ... , n-1}, 1≤i≤k, i와 k와 n은 양의 정수}

평문(m(x))의 계수의 크기(space), Q 의 크기(space), E의 크기와, n은 다음과 같은 관계가 있다.

평문(m(x))의 계수의 크기(space) < Q의 크기(space) < n

평문(m(x))의 계수의 크기(space) < E의 크기(space) < n

도 11을 계속 참조하면, 본 실시예에 따른 복호화 하는 장치는, 변환부(140)와 모듈러 연산부(150)를 포함할 수 있다.

변환부(140)는 다음과 같은 동작을 수행할 수 있다.

Ψ^-1: C → R

여기서, f(x) ∈ R, c ∈ C이고, 여기서 c = (m(α₁) + qe(α₁), m(α₂) + qe(α₂), ... , m(α_k) + qe(α_k)) = (c₁, c₂, ... , c_k)이고, f(x)는 다항식이며, Ψ^-1 는 Ψ의 역함수이다.

예를 들면, 다항식 f(x)는, f(α_i)=c_i를 만족하는 다항식으로서 라그랑즈 보간법에 의해서 구해질 수 있다. 즉, 변환부(140)에 의해 변환된 다항식(f(x))은 다음을 만족한다.

f(α₁) = c₁

f(α₂) = c₂

.

f(α_k)= c_k

모듈러 연산부(150)는, 변환부(140)에 의해 산출된 다항식 f(x)를 Q 로 나누어 모듈러를 연산할 수 있으며, 이로써 평문(m)이 생성될 수 있다.

변환부(140)에 의해 산출된 다항식 f(x)를 f(x)= f₀ + f₁x¹ + ... + f_k-1x^k-1 라고 하면, 모듈러 연산부(150)에 의해 생성되는 평문은 다음과 같이 기술될 수 있다.

m = f₀ mod Q + f₁x¹mod Q + ... + f_k-1x^k-1mod Q

K. 제12실시예

도 12는 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 방법을 설명하기 위한 도면이다.

도 12를 참조하면, 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 방법은, 랜덤화 단계(S501)와 이벨류에이션부(S503)를 포함할 수 있다.

랜덤화 단계(S501)에서는 다음과 같은 동작을 수행할 수 있다.

Ω: M → R

여기서, m(x) ∈ M 이고, 다항식인 평문(m(x))은 r(x)로 변환된다. 여기서, 평문 m(x) = m₀ + m₁x¹ + ... + m_k-1x^k-1로 주어질 수 있다.

랜덤화 단계(S501)에서는, 예를 들면 상기 수식 5에 의해서 평문(m(x))을 랜덤화시킬 수 있다. 평문(m(x))은 다항식일 수 있다.

랜덤화 단계(S501)에서 수행되는 동작은, 예를 들면, 상술한 제11실시예의 랜덤화부(120)에 의해 이루어지는 동작과 동일 또는 유사할 수 있다.

이벨류에이션 단계(S503)에서는, 랜덤화 단계(S501)에서 의해 랜덤화된 데이터(R)를 함수(Ψ)를 이용하여 암호화문으로 변환할 수 있다.

이벨류에이션 단계(S503)에서 사용하는 함수(Ψ)는 환 동형 사상(Ring Isomorphism)이며, 다음과 같은 동작을 수행한다.

Ψ: R → R'

이벨류에이션 단계(S503)에서 수행되는 동작은, 예를 들면, 상술한 제11실시예의 이벨류에이션부(130)에 의해 이루어지는 동작과 동일 또는 유사할 수 있다.

L. 제13실시예

도 13은 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 복호화 방법을 설명하기 위한 도면이다.

도 13을 참조하면, 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 동형 암호화 방법에 의해 암호화된 암호화문을 복호화 방법은, 암호문을 다항식으로 변환하는 변환 단계(S601)와 모듈러 연산 단계(S603)를 포함할 수 있다.

변환 단계(S601)는 예를 들면, 도 11에서의 변환부(140)의 동작과 동일 또는 유사할 수 있고, 모듈러 연산 단계(S603)는 예를 들면, 도 11에서의 모듈러 연산부(150)의 동작과 동일 또는 유사할 수 있다.

변환 단계(S601)에서는 다음과 같은 동작을 수행할 수 있다.

Ψ^-1: C → R

여기서, c ∈ C, 여기서 c = (m(α₁) + Qe(α₁), m(α₂) + Qe(α₂), ... , m(α_k) + Qe(α_k)) = (c₁, c₂, ... , c_k)이고, f(x) ∈ R, f(x)는 다항식이고, Ψ^-1 는 Ψ의 역함수이다.

예를 들면, 다항식 f(x)는, f(α_i)=c_i를 만족하는 다항식으로서 라그랑즈 보간법에 의해서 구해질 수 있다. 즉, 변환 단계(S601)에서 산출된 다항식(f(x))은 다음을 만족한다.

f(α₁) = c₁

f(α₂) = c₂

.

f(α_k)= c_k

모듈러 연산 단계(S603)에서는, 변환 단계(S601)에서 산출된 다항식 f(x)를 Q 로 나누어 모듈러를 연산할 수 있으며, 이로써 평문(m)이 생성될 수 있다.

변환 단계(S601)에서 산출된 다항식 f(x)를 f(x)= f₀ + f₁x¹ + ... + f_k-1x^k-1 라고 하면, 모듈러 연산 단계(S603)의 수행결과 생성되는 평문은 다음과 같이 기술될 수 있다.

m = f₀ mod Q + f₁x¹mod Q + ... + f_k-1x_k-1 mod Q

M. 제14실시예

도 14는 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 장치와 복호화 장치를 설명하기 위한 도면이다.

도 14를 참조하면, 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 장치는, 랜덤화부(220)와 제1 모듈러 연산부(230)를 포함할 수 있다.

본 암호화 장치는 평문(m)을 암호화문(c)으로 변환하며, c는 (c₁, c₂, ... , c_k)의 형태로 산출될 수 있다.

랜덤화부(220)는 평문(m)에 대하여 m + eq 연산을 수행한다. 여기서, e=(e₁, e₂, ... , e_k) 이고, (q₁, q₂, ... , q_k)이며, e_i와 q_i는 정수이다. 그리고, e_i는 λ 비트의 정수이고, ρ = 2λ, λ는 시큐어리티 파라미터이다.

제1 모듈러 연산부(230)는 m + eq 에 대하여 (m + eq) mod s 연산을 수행한다.

여기서, 비밀키 s = (α₁, α₂, ... , α_k)이며, α_i는 α₁, α₂, ... , α_k 중 어느 하나로서, 이들은 서로 소인 정수들이다.

제1 모듈러 연산부(230)의 연산결과, c = (c₁, c₂, ... , c_k) 형태로 되는 암호화문이 산출된다.

도 14를 계속 참조하여, 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 복호화 장치를 설명하기로 한다.

본 복호화 장치는 CRT 연산부(240)와 제2 모듈러 연산부(250)를 포함할 수 있다.

CRT 연산부(240)는, 다음의 수식 7에 의해, 암호화문(c)에 대하여 CRT(Chinese Remainder Theorem: CRT)을 적용하여 출력하며, 출력은 m + eq 의 형태를 가질 수 있다.

<수식 7>

CRT_S(c)

CRT는 중국인의 나머지 정리를 적용하는 함수(환 동형 사상(Ring Isomorphism)의 일 예)이고, S= {α_i｜ 1≤i≤k, i와 k는 양의 정수} 로서 키(Key)이며, k는 키의 갯수를 나타낸다. 본 발명의 실시예에 따르면, 여기서 키(Key)는 비밀키일 수 있다.

CRT는, 예를 들면, α₁, α₂, ... , α_k가 서로 소인 정수라고 하고, b = α₁·α₂·α₃···α_k라고 하면, 이때 임의의 수열 a₁, a₂, ... , a_k대하여 c=a_k (mod α_k) 가 되는 c가 mod s 로 유일하게 존재한다는 정리이다.

c에 대한 연립 합동식은 다음과 같이 기재될 수 있다.

c = a₁ (mod α₁)

c = a₂ (mod α₂)

.

c = a_k (mod α_k)

상기 수식 CRT_S(c)에서, c는 나머지에 해당하고 s는 제수(나누는 수)에 해당하며, 수식 CRT_S(c)의 해는 상기 연립 합동식을 만족하는 값이 된다.

s = (α₁, α₂, ... , α_k)는 비밀키로서, α_i는 서로 소인 정수들이다.

제2 모듈러 연산부(250)는 CRT 연산부(240)의 출력 a = (a₁, a₂, ... , a_k )에 대하여 a mod q의 연산을 수행함으로써 평문을 산출한다.

N. 제15실시예

도 15는 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 방법을 설명하기 위한 도면이다.

도 15를 참조하면, 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 암호화 방법은, 랜덤화 단계(S701)와 모듈러 연산 단계(S703)를 포함할 수 있다.

본 암호화 방법에서는 평문(m)을 암호화문(c)으로 변환하며, c는 (c₁, c₂, ... , c_k)의 형태로 산출될 수 있다.

랜덤화 단계(S701)에서는 평문(m)에 대하여 m + eq 연산을 수행한다. 랜덤화 단계(S701)에서 수행되는 동작은, 예를 들면, 도 14에서의 랜덤화부(220)의 동작과 동일 또는 유사할 수 있다.

모듈러 연산 단계(S703)에서는, (m+eq) mod s 연산을 수행하며, 수행결과 (c₁, c₂, ... , c_k) 형태의 암호화문이 산출된다.

모듈러 연산 단계(S703)에서 수행되는 동작은, 예를 들면, 도 14에서의 제1 모듈러 연산부(230)의 동작과 동일 또는 유사할 수 있다.

O. 제16실시예

도 16은 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 복호화 방법을 설명하기 위한 도면이다.

도 16을 참조하면, 본 발명의 일 실시예에 따른 환 동형 사상(Ring Isomorphism)을 이용한 복호화 방법은, CRT 연산 단계(S801)와 모듈러 연산 단계(S803)를 포함할 수 있다.

CRT 연산 단계(S801)에서는, 수식 7에 의해, 암호화문(c)에 대하여 CRT(Chinese Remainder Theorem: CRT)을 적용하여 출력하며, 여기서 출력은 m + eq 의 형태를 가질 수 있다.

CRT 연산 단계(S801)에서 수행되는 동작은, 예를 들면 도 14의 CRT 연산부(240)의 동작과 동일 또는 유사할 수 있다.

모듈러 연산 단계(S803)에서는, (m + eq) mod q 의 연산을 수행함으로써 평문을 산출한다.

모듈러 연산 단계(S803)에서 수행되는 동작은, 예를 들면 도 14의 제2 모듈러 연산부(250)의 동작과 동일 또는 유사할 수 있다.

P. 제17실시예

도 17은 본 발명의 일 실시예에 따른 리프레시 장치를 설명하기 위한 도면이다.

도 17은 참조하면, 본 발명의 일 실시예에 따른 리프레시 장치(310)는, 암호화문(c)을 입력 받고 리프레시 동작을 수행하여 새로운 암호화문(c')을 산출할 수 있다.

리프레시 장치(310)로 입력되는 암호화문(c)는 암호화문들끼리의 곱셈이나 덧셈 연산이 반복된 결과로서의 암호화문이며, 이러한 암호문(c)에는 에러가 포함된 상태이다. 암호화문(c)은 설명의 편의를 위해서, c = (c₁, c₂, ... , c_n)이라고 가정한다.

리프레시 장치(310)로부터 출력되는 암호화문(c')은, 에러가 제거된 상태로서, 곱셈이나 덧셈 연산을 다시 할 수 있는 상태가 된다.

본 발명의 일 실시예에 따른 리프레시 장치(310)는 다음과 같은 가정이 필요하다.

1) 암호화문 c = (c₁, c₂, ... , c_n), c_i ∈ {0, 1}

2) 비밀키 s = (α₁, α₂, ... , α_k), α_i ∈ {0, 1}

3) 복호화 과정은 다음과 같은 과정을 가져야 함.

m = f(c) =

, λ_j, a_j는 알려진 상수

종래 Gentry와 Halevi는 복호화 회로(decryption circuit)의 모양이 특별한 경우 스쿼싱(squashing) 없이 부트트랩핑(bootstrapping)을 할 수 있는 완전동형암호를 제시하였는데, 그중 하나는 엘가말(Elgamal) 암호에서 사용되는 비밀키 e를 이진 전개하여, 복호화 회로(decryption circuit)를 homomorphic 하게 이벨류에이션 시키는 방법이 있다. 본 발명의 일 실시예에 따른 리프레시 장치(310)는 그러한 방법을 개선한 것이다.

즉, Gentry와 halevi는 비밀키 e를 다음과 같이 이진 전개하였다.

여기서, 공개키에 e_ℓ의 encryption을 추가하면, y^e를 homomorphic 하게 이벨류에이션할 수 있게 된다. 즉, 이것의 의미는 엘가말 암호의 복호화 회로(decryption circuit)을 homomorphic 하게 이벨류에이션할 수 있다는 것이다. 하지만, 이처럼 시행하는 경우, 주어진 준동형 암호의 homomorphic capacity (지원가능 한 곱하기 횟수)가 4ambda 까지 늘어나야 한다는 단점이 있다. Gentry와 Halevi는 이를 해결하기 위해서 준동형 암호의 파라미터의 크기를 키워서 해결한다고 했지만, 이렇게 될 경우 암호알고리즘 전체의 효율성이 덜어지게 된다.

본 발명의 일 실시예에 따른 리프레시 장치(310)에서는, 위 Gentry와 Halevi가 제시한 방법을 사용하되, 비밀키 e를 다음과 같이 전개하는 방법을 취하고 있다.

이렇게 함으로써, 비밀키 e를 이진전개가 아닌 일반적인 자연수 w 진법 전개를 통해 준동형 암호의 homomorphic capacity를 낮추었다. 기존의 4lambda에서 4lambda/logw (e_{ℓ k}'와 {y^{w^ℓ})^곱, 그리고 log_w e개(약 2lambda/logw) 만큼의 곱셈을 해야 하므로) 만큼으로 줄일 수 있고, 이로써 준동형 암호의 파라미터 증가 없이 스쿼싱 업이 부트트랩핑을 달성할 수 있다.

이상 설명한 본 발명의 일 실시예에 따른 리프레시 장치(310)는, 암호화 장치, 복호화 장치, 또는 연산 장치에 포함되도록 구현될 수 있다.

도 18은 본 발명의 일 실시예에 따른 암호화 장치, 복호화 장치, 및/또는 연산장치가 적용되는 컴퓨터 시스템을 설명하기 위한 도면이다.

도 1 내지 도 10, 및 도 11 내지 도 17을 참조하여 설명한 본 발명의 실시예들은, 예를 들면 도 18에 도시된 컴퓨터 시스템에 구현될 수 있다.

도 18의 컴퓨터 시스템은 스마트 폰이나 PDA와 같은 모바일 기기, 데스크 탑 PC, 타블렛 PC, 또는 서버와 같은 컴퓨터 시스템 중의 어느 하나일 수 있으나, 이들 컴퓨터 시스템에만 한정되는 것이 아니다.

도 18의 컴퓨터 시스템에는, 도 1 내지 도 10, 및 도 11 내지 도 17을 참조하여 설명한 암호화 장치 또는 방법, 복호화 장치 또는 방법, 연산 장치, 또는 리프레시 장치가 구현될 수 있다.

도 18을 참조하면, 컴퓨터 시스템(100)은, 프로그램 로직(101), 컴퓨터 프로세서(103), 저장부(105), 및 메모리(107)를 포함할 수 있다.

프로그램 로직(101)은, 컴퓨터에서 실행가능한 코드(Code)의 형태로 구현될 수 있으며, 저장부(105)에 저장되어 있다가 컴퓨터 프로세서(103)의 제어하에 메모리(107)에 로딩되어 동작할 수 있다.

예를 들면, 프로그램 로직(101)은, 도 1을 참조하여 설명한 랜덤화부(20), 및/또는 변환부(30)의 동작을 수행하는 코드(code)를 포함할 수 있다. 대안으로, 랜덤화부(20)와 변환부(30) 중 적어도 하나는 하드웨어로 구현될 수 있다.

다른 예를 들면, 프로그램 로직(101)은, 도 2를 참조하여 설명한 이벨류에이션부(40), 및 모듈러 연산부(50)의 동작을 수행하는 코드(code)를 포함할 수 있다. 대안으로, 이벨류에이션부(40)와 모듈러 연산부(50) 중 적어도 하나는 하드웨어로 구현될 수 있다.

예를 들면, 프로그램 로직(101)은, 도 4을 참조하여 설명한 모듈러 연산부(10), 랜덤화부(20), 및/또는 변환부(30)의 동작을 수행하는 코드(code)를 포함할 수 있다. 대안으로, 모듈러 연산부(10), 랜덤화부(20), 및 변환부(30)중 적어도 하나는 하드웨어로 구현될 수 있다.

예를 들면, 프로그램 로직(101)은, 도 5를 참조하여 설명한 이벨류에이션부(40), 제1 모듈러 연산부(50), 제2 모듈러 연산부(60)의 동작을 수행하는 코드(code)를 포함할 수 있다. 대안으로, 이벨류에이션부(40), 제1 모듈러 연산부(50), 제2 모듈러 연산부(60) 중 적어도 하나는 하드웨어로 구현될 수 있다.

예를 들면, 프로그램 로직(101)은, 도 6를 참조하여 설명한 연산장치들(70, 80)의 동작을 수행하는 코드(code)를 포함할 수 있다. 대안으로, 연산장치들(70, 80)은 하드웨어로 구현될 수 있다.

예를 들면, 프로그램 로직(101)은, 도 7을 참조하여 설명한 암호화 방법을 수행하는 코드(code)를 포함할 수 있다.

예를 들면, 프로그램 로직(101)은, 도 8을 참조하여 설명한 암호화 방법을 수행하는 코드(code)를 포함할 수 있다.

예를 들면, 프로그램 로직(101)은, 도 9를 참조하여 설명한 복호화 방법을 수행하는 코드(code)를 포함할 수 있다.

예를 들면, 프로그램 로직(101)은, 도 10을 참조하여 설명한 복호화 방법을 수행하는 코드(code)를 포함할 수 있다.

예를 들면, 프로그램 로직(101)은, 도 11을 참조하여 설명한 암호화 장치와 복호화 장치의 동작을 수행하는 코드(code)를 포함할 수 있다. 즉, 프로그램 로직(101)은, 도 11을 참조하여 설명한 랜덤화부(120), 이벨류에이션부(130)의 동작을 수행하는 코드를 포함할 수 있다. 또한, 프로그램 로직(101)은, 도 11을 참조하여 설명한 변환부(140)와 모듈러 연산부(150)의 동작을 수행하는 코드를 포함할 수 있다.

예를 들면, 프로그램 로직(101)은, 도 12를 참조하여 설명한 암호화 방법을 수행하는 코드(code) 및/또는 도 13을 참조하여 설명한 복호화 방법을 수행하는 코드(code)를 포함할 수 있다.

예를 들면, 프로그램 로직(101)은, 도 14를 참조하여 설명한 암호화 장치의 동작을 수행하는 코드(code) 또는 도 14를 참조하여 설명한 복호화 장치의 동작을 설명하는 코드(code)를 포함할 수 있다. 즉, 프로그램 로직(101)은 도 14를 참조하여 설명한 랜덤화부(220)와 모듈러 연산부(230)의 동작을 수행하는 코드를 포함할 수 있다. 또한, 프로그램 로직(101)은 도 14를 참조하여 설명한 CRT 연산부(240)와 모듈러 연산부(250)의 동작을 수행하는 코드를 포함할 수 있다.

예를 들면, 프로그램 로직(101)은, 도 15를 참조하여 설명한 암호화 방법을 수행하는 코드(code) 및/또는 도 16을 참조하여 설명한 복호화 방법을 수행하는 코드(code)를 포함할 수 있다.

예를 들면, 프로그램 로직(101)은, 도 17을 참조하여 설명한 리프레시 장치의 동작을 수행하는 코드(code)를 포함할 수 있다.

이상 설명한 실시예에서, 컴퓨터에서 실행가능한 프로그램의 코드로 구현되는 구성요소들은, 하드웨어 로직으로도 구현이 가능할 것이다. 하드웨어 로직으로 구현되는 경우에는 컴퓨터 프로세서(103)에 내장된 형태로 구현되거나, 또는 컴퓨터 프로세서(103)와는 별도의 하드웨어로 구현이 될 수 있다.

상기와 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.

Claims

평문(m)에 에러(e)를 부가하여 랜덤화하는 단계 및

랜덤화된 데이터(r)를 다음 수식

Ψ : R → R'

의해 r' 로 변환하는 단계를 포함하며,

여기서, r ∈ R 이고, r' ∈ R' 이고, 함수(Ψ)는 환 동형 사상(Ring Isomorphism)인 것을 특징으로 하는, 환 동형 사상을 이용한 동형 암호화 방법.
제1항에 있어서,

상기 랜덤화하는 단계는, 다음 수식

r = m + e·q

에 의해 연산하는 단계이고,

여기서, m은 평문, e·q는 e 와 q의 내적이고, e= {e_i｜ 1≤i≤k, i와 k는 양의 정수} = (e₁, e₂, ... , e_k) 이고, q = {q_i｜ 1≤i≤k, i와 k는 양의 정수} = (q₁, q₂, ... , q_k) 이고, q_i는 서로 소인 양의 정수인 것을 특징으로 하는 환 동형 사상을 이용한 동형 암호화 방법.
제1항에 있어서,

상기 R 은 Z^k _n(모듈러 n의 최소 잉여 집합, n은 양의 정수) = (r₁, r₂, ... , r_k)으로 정의되고, 상기 R'는 r' = Z_n[x]/(p(x)) = f(x)을 원소로서 포함하는 집합으로 정의 되고, f(x)는 f(α_i)=r_i를 만족하는 다항식이며,

상기 변환하는 단계는, 라그랑즈 보간법에 의해 상기 f(x)를 구하며,

여기서 α₁, α₂, ... , α_k 는 S={α_i｜α_i - α_i ∈ {Z^* _n} , 1≤i, j≤k, i, j, 및 k는 양의 정수} = (α₁, α₂, ... , α_k)로 정의되는 함수의 원소인 것을 특징으로 하는 환 동형 사상을 이용한 동형 암호화 방법.
제2항에 있어서,

상기 변환하는 단계는, 상기 랜덤화된 데이터(r)를, 다음 수식

c = CRT_S(r)

에 의해 변환하는 단계이고, 여기서 CRT는 중국인의 나머지 정리를 적용하는 연산자이고, s = (α₁, α₂, ... , α_k) 이고, r = (r₁, r₂, ... , r_k)이며,

그리고 α₁, α₂, ... , α_k는, 모든 q_i 가 b와 서로 소가 되도록 선택되고, 여기서 b는 α₁내지 α_k곱인

b = α₁·α₂·α₃···α_k

로 정의된 것을 특징으로 하는 환 동형 사상을 이용한 동형 암호화 방법.
제4항에 있어서,

다음 수식

m' = m mod q

에 의해 모듈러를 연산하는 단계를 더 포함하며,

상기 랜덤화하는 단계는, 다음 수식

r = m' + eq= (m' + e₁q₁, m' + e₂q₂, ... , m' + e_kq_k)

에 의해 램덤화 동작을 수행하는 것을 특징으로 하는 환 동형 사상을 이용한 동형 암호화 방법.
암호화문을 복호화 하는 방법에 있어서,

암호화문(c)에 키(s)를 적용하여 이벨류에이션하는 단계 및

이벨류에이션하는 단계에서 산출된 값을 q로 나누어 모듈러를 연산하는 단계를 포함하며,

상기 암호화문(c)은 환 동형 사상을 이용한 동형 암호화 방법에 의해 암호화된 것으로서, 상기 동형 암호화 방법은,

평문(m) 또는 랜덤화된 평문을, 다음 수식

Ψ : R → R'

의해 r' 로 변환하는 단계를 포함하며,

여기서, r은 평문(m) 또는 랜덤화된 평문이고, r ∈ R 이고, r' ∈ R' 이고, 함수(Ψ)는 환 동형 사상(Ring Isomorphism)이며,

여기서, q ∈ Q, Q = {q_i｜ 1≤i≤k, i와 k는 양의 정수}이고, q_i는 서로 소인 양의 정수이고, S = {α_i｜α_i - α_i ∈ {Z^* _n}, 1≤i, j≤k, i, j, 및 k는 양의 정수} = (α₁, α₂, ... , α_k)로 정의되는 것을 특징으로 하는 복호화 방법.
제6항에 있어서,

상기 랜덤화된 평문(m')은, 다음 수식

r = m + e·q

에 의해 랜덤화된 것이고,

여기서, e·q는 e 와 q의 내적이고, e= {e_i｜ 1≤i≤k, i와 k는 양의 정수} = (e₁, e₂, ... , e_k) 이고, q = {q_i｜ 1≤i≤k, i와 k는 양의 정수} = (q₁, q₂, ... , q_k) 이고, q_i는 서로 소인 양의 정수인 것을 특징으로 복호화 방법.
제6항에 있어서,

상기 R 은 Z^k _n(모듈러 n의 최소 잉여 집합, n은 양의 정수) = (r₁, r₂, ... , r_k)으로 정의되고, 상기 R'는 r' = Z_n[x]/(p(x)) = f(x)을 원소로서 포함하는 집합으로 정의 되고, f(x)는 f(α_i)=r_i를 만족하는 다항식이며,

상기 변환하는 단계는, 라그랑즈 보간법에 의해 상기 f(x)를 구하며,

여기서 α₁, α₂, ... , α_k 는 S={α_i｜α_i - α_i ∈ {Z^* _n} , 1≤i, j≤k, i, j, 및 k는 양의 정수} = (α₁, α₂, ... , α_k)로 정의되는 함수의 원소인 것을 특징으로 하는 복호화 방법.
제7항에 있어서,

상기 변환하는 단계는, 상기 랜덤화된 평문 r를, 다음 수식

c = CRT_S(r)

에 의해 변환하는 단계이고, 여기서 CRT는 중국인의 나머지 정리를 적용하는 연산자이고, s = (α₁, α₂, ... , α_k) 이고, r = (r₁, r₂, ... , r_k)이며,

그리고 α₁, α₂, ... , α_k 는, 모든 q_i 가 b와 서로 소가 되도록 선택되고, 여기서 b는 다음과 같이 α₁내지 α_k곱인

b = α₁·α₂·α₃···α_k

로 정의된 것을 특징으로 하는 복호화 방법.
제9항에 있어서,

다음 수식

m' = m mod q

에 의해 모듈러를 연산하는 단계를 더 포함하며,

상기 랜덤화하는 단계는, 다음 수식

r = m' + eq= (m' + e₁q₁, m' + e₂q₂, ... , m' + e_kq_k)

에 의해 램덤화 동작을 수행하는 것을 특징으로 하는 복호화 방법.
평문 또는 평문이 랜덤화된 데이터(r)를 다음 수식

Ψ : R → R'

의해 r' 로 변환하는 변환부를 포함하며,

여기서, r ∈ R 이고, r' ∈ R' 이고, 함수(Ψ)는 환 동형 사상(Ring Isomorphism)인 것을 특징으로 하는, 환 동형 사상을 이용한 동형 암호화 장치.
제11항에 있어서,

다음 수식

r = m + e·q

에 의해 연산하는 램덤화부를 더 포함하며,

여기서, m은 평문, e·q는 e 와 q의 내적이고, e= {e_i｜ 1≤i≤k, i와 k는 양의 정수} = (e₁, e₂, ... , e_k) 이고, q = {q_i｜ 1≤i≤k, i와 k는 양의 정수} = (q₁, q₂, ... , q_k) 이고, q_i는 서로 소인 양의 정수인 것을 특징으로 하는 환 동형 사상을 이용한 동형 암호화 장치.
제11항에 있어서,

상기 R 은 Z^k _n(모듈러 n의 최소 잉여 집합, n은 양의 정수) = (r₁, r₂, ... , r_k)으로 정의되고, 상기 R'는 r' = Z_n[x]/(p(x)) = f(x)을 원소로서 포함하는 집합으로 정의 되고, f(x)는 f(α_i)=r_i를 만족하는 다항식이며,

상기 변환부는, 라그랑즈 보간법에 의해 상기 f(x)를 구하며,

여기서 α₁, α₂, ... , α_k 는 S={α_i｜α_i - α_i ∈ {Z^* _n} , 1≤i, j≤k, i, j, 및 k는 양의 정수} = (α₁, α₂, ... , α_k)로 정의되는 함수의 원소인 것을 특징으로 하는 환 동형 사상을 이용한 동형 암호화 장치.
제12항에 있어서,

상기 변환부는, 상기 랜덤화된 데이터를, 다음 수식

c = CRT_S(r)

에 의해 변환하며, 여기서 CRT는 중국인의 나머지 정리를 적용하는 연산자이고, s = (α₁, α₂, ... , α_k) 이고, r = (r₁, r₂, ... , r_k)이며, 그리고 α₁, α₂, ... , α_k는, 모든 q_i 가 b와 서로 소가 되도록 선택되고, 여기서, b는 α₁내지 α_k곱인

b = α₁·α₂·α₃···α_k

로 정의된 것을 특징으로 하는 환 동형 사상을 이용한 동형 암호화 장치.
제14항에 있어서,

다음 수식

m' = m mod q

에 의해 모듈러를 연산하는 모듈러 연산부를 더 포함하며,

상기 랜덤화부는, 다음 수식

r = m' + eq= (m' + e₁q₁, m' + e₂q₂, ... , m' + e_kq_k)

에 의해 램덤화 동작을 수행하는 것을 특징으로 하는 환 동형 사상을 이용한 동형 암호화 장치.
암호화문을 복호화 하는 장치에 있어서,

암호화문(c)에 키(s)를 적용하여 이벨류에이션하는 이벨류에이션부 및

이벨류에이션부에서 산출된 값을 q로 나누어 모듈러를 연산하는 모듈러 연산부를 포함하며,

상기 암호화문(c)은 환 동형 사상을 이용한 암호화 방법에 의해 암호화된 것으로서, 상기 암호화 방법은,

평문 또는 평문이 랜덤화된 데이터(r)를 다음 수식

Ψ : R → R'

의해 r' 로 암호화하는 단계를 포함하며,

여기서, r ∈ R 이고, r' ∈ R' 이고, 함수(Ψ)는 환 동형 사상(Ring Isomorphism)인 것을 특징으로 하는, 복호화 장치.
제16항에 있어서,

상기 랜덤화된 평문은, 다음 수식

r = m + e·q

에 의해 랜덤화된 것이고,

여기서, e·q는 e 와 q의 내적이고, e= {e_i｜ 1≤i≤k, i와 k는 양의 정수} = (e₁, e₂, ... , e_k) 이고, q = {q_i｜ 1≤i≤k, i와 k는 양의 정수} = (q₁, q₂, ... , q_k) 이고, q_i는 서로 소인 양의 정수인 것을 특징으로 복호화 장치.
제16항에 있어서,

상기 R 은 Z^k _n(모듈러 n의 최소 잉여 집합, n은 양의 정수) = (r₁, r₂, ... , r_k)으로 정의되고, 상기 R'는 r' = Z_n[x]/(p(x)) = f(x)을 원소로서 포함하는 집합으로 정의 되고, f(x)는 f(α_i)=r_i를 만족하는 다항식이며,

상기 암호화하는 단계는, 라그랑즈 보간법에 의해 상기 f(x)를 구하며,

여기서 α₁, α₂, ... , α_k 는 S={α_i｜α_i - α_i ∈ {Z^* _n} , 1≤i, j≤k, i, j, 및 k는 양의 정수} = (α₁, α₂, ... , α_k)로 정의되는 함수의 원소인 것을 특징으로 하는 복호화 장치.
제17항에 있어서,

상기 암호화하는 단계는, 상기 랜덤화된 평문을, 다음 수식

c = CRT_S(r)

에 의해 암호화하는 단계이고, 여기서 CRT는 중국인의 나머지 정리를 적용하는 연산자이고, s = (α₁, α₂, ... , α_k) 이고, r = (r₁, r₂, ... , r_k)이며, 그리고 α₁, α₂, ... , α_k는, 모든 q_i 가 b와 서로 소가 되도록 선택되고, 여기서 b는 α₁내지 α_k곱인

b = α₁·α₂·α₃···α_k

로 정의된 것을 특징으로 하는 복호화 장치.