WO2020022598A1 - 암호문에 대한 근사 연산을 수행하는 장치 및 방법 - Google Patents

Abstract

동형 암호문을 처리하는 연산 장치 및 방법을 개시한다. 본 방법은, 동형 암호문에 적용하고자 하는 연산 함수에 대응되는 근사 다항식을 산출하는 단계 및 근사 다항식을 이용하여 동형 암호문을 근사 연산하는 단계를 포함한다. 이에 따라, 본 발명은 보다 효율적인 암호문 처리를 수행할 수 있게 된다.

Description

암호문에 대한 근사 연산을 수행하는 장치 및 방법

본 발명은 암호문들에 대한 근사 연산을 효율적으로 수행하기 위한 장치 및 방법에 대한 것이다.

통신 기술이 발달하고, 전자 장치의 보급이 활발해짐에 따라, 전자 장치 간의 통신 보안을 유지하기 위한 노력이 지속적으로 이루어지고 있다. 이에 따라, 대부분의 통신 환경에서는 암호화/복호화 기술이 사용되고 있다.

암호화 기술에 의해 암호화된 메시지가 상대방에게 전달되면, 상대방은 메시지를 이용하기 위해서는 복호화를 수행하여야 한다. 이 경우, 상대방은 암호화된 데이터를 복호화하는 과정에서 자원 및 시간 낭비가 발생하게 된다. 또한, 상대방이 연산을 위해 일시적으로 메시지를 복호화한 상태에서 제3자의 해킹이 이루어지는 경우, 그 메시지가 제3자에게 손쉽게 유출될 수 있다는 문제점도 있었다.

이러한 문제를 해결하기 위하여 동형 암호화 방법이 연구되고 있다. 동형 암호화에 따르면, 암호화된 정보를 복호화하지 않고 암호문 자체에서 연산을 하더라도, 평문에 대해 연산한 후 암호화한 값과 동일한 결과를 얻을 수 있다. 따라서, 암호문을 복호화하지 않은 상태에서 각종 연산을 수행할 수 있다.

하지만, 동형 암호문을 연산에 여러번 반복 사용할 경우, 그 암호문 내의 평문 영역이 부족해져서 더 이상 연산을 수행할 수 없게 되는 문제점이 있었다. 이에 따라, 효율적인 데이터 처리 방법에 대한 필요성이 대두되었다.

본 발명은 상술한 필요성에 따른 것으로, 본 발명의 목적은 동형 암호문에 대한 효율적인 근사 연산 및 근사 복호화를 수행할 수 있는 방법 및 그 장치를 제공함에 있다.

본 발명은 이상과 같은 목적을 달성하기 위한 것으로, 본 발명의 일 실시 예에 따른 동형 암호문 처리 방법은, 동형 암호문에 적용하고자 하는 연산 함수에 대응되는 근사 다항식을 산출하는 단계 및 상기 근사 다항식을 이용하여 상기 동형 암호문을 근사 연산하는 단계;를 포함한다.

여기서 상기 근사 다항식을 산출하는 단계는, 상기 연산 함수가 복호화 함수이면, 상기 연산 함수와의 차이의 절대값이 임계치 이하가 되도록 상기 근사 다항식을 산출한다.

또한, 상기 근사 연산에 의해 획득된 연산 결과 암호문에 대한 후속 연산을 수행하는 경우, 상기 연산 결과 암호문 내의 근사 메시지 비중이 임계치를 초과하면, 상기 연산 결과 암호문의 평문 공간을 확장하는 단계를 더 포함할 수 있다.

여기서, 상기 평문 공간을 확장하는 단계는, 암호화된 입력값을 기 설정된 임계 암호문 모듈러스로 나눈 몫을 구하고 제거하도록 정의된 함수를 상기 연산 결과 암호문에 적용하여 상기 평문 공간을 확장할 수 있다.

또한, 상기 임계치는, 조기 재부팅(early rebooting)을 위하여 한계치 미만의 값으로 설정되며, 상기 한계치는 상기 연산 결과 암호문에 대한 후속 연산이 불가능해지는 상기 평문 공간의 크기가 될 수 있다.

이상과 같은 방법에서, 상기 연산 결과 암호문의 복호화에 사용될 부가 정보를 제공하는 단계를 더 포함할 수도 있다. 여기서, 부가 정보는, 스케일링 팩터 및 상기 연산 결과 암호문의 모듈러스 값을 포함할 수 있다.

한편, 본 발명의 일 실시 예에 따른 연산 장치는, 동형 암호문들을 입력받기 위한 인터페이스, 상기 동형 암호문들을 저장하는 메모리 및 상기 동형 암호문에 적용하고자 하는 연산 함수에 대응되는 근사 다항식을 산출하고, 상기 근사 다항식을 이용하여 상기 동형 암호문을 근사 연산하는 프로세서를 포함한다.

여기서, 상기 프로세서는, 상기 연산 다항식이 복호화 함수이면, 상기 근사 다항식과 상기 연산 다항식의 차이의 절대값이 임계치 이하가 되도록 상기 근사 다항식을 설정하고 상기 근사 연산을 수행하여, 상기 근사 연산에 의해 획득된 연산 결과 암호문 내의 평문 공간을 확장할 수 있다.

또는, 상기 프로세서는, 상기 근사 연산에 의해 획득된 연산 결과 암호문에 대한 후속 연산이 요청되는 경우, 상기 연산 결과 암호문 내의 근사 메시지 비중이 임계치를 초과하면, 상기 연산 결과 암호문의 평문 공간을 확장할 수도 있다.

상기 임계치는, 조기 재부팅(early rebooting)을 위하여 한계치 미만의 값으로 설정되어 상기 메모리에 저장되고, 상기 한계치는 상기 연산 결과 암호문에 대한 후속 연산이 불가능해지는 상기 평문 공간의 크기가 될 수 있다.

또한, 상기 프로세서는, 상기 연산 결과 암호문의 복호화에 사용될 부가 정보를 상기 메모리에 저장하고, 상기 부가 정보는, 스케일링 팩터 및 상기 연산 결과 암호문의 모듈러스 값을 포함할 수 있다.

이상과 같은 본 발명의 다양한 실시 예들에 따르면, 동형 암호문에 대한 효율적 근사 계산 및 근사 복호화를 수행할 수 있게 된다.

도 1은 본 발명의 일 실시 예에 따른 데이터 처리 시스템을 설명하기 위한 블럭도,

도 2는 본 발명의 일 실시 예에 따른 암호화 장치의 구성을 나타내는 블럭도,

도 3은 본 발명의 일 실시 예에 따른 연산 장치의 구성을 나타내는 블럭도,

도 4는 연산 장치의 동작을 설명하기 위한 도면,

도 5는 도 1의 데이터 처리 시스템의 동작을 설명하기 위한 도면, 그리고,

도 6은 본 발명의 일 실시 예에 따른 동형 암호문 처리 방법을 설명하기 위한 흐름도이다.

이하에서는 첨부 도면을 참조하여 본 발명에 대해서 자세하게 설명한다. 본 명세서에서 수행되는 정보(데이터) 전송 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 명세서 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 명세서에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, 반드시 A로부터 B까지 직접 전송(전달) 또는 수신되는 것만을 표현하는 것은 아니다.

본 발명의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉, 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행단계로 설명된 과정보다 앞서서 수행되더라도 발명의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 "A 또는 B"라고 기재한 것은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 명세서에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.

본 명세서에서는 본 발명의 설명에 필요한 필수적인 구성요소만을 설명하며, 본 발명의 본질과 관계가 없는 구성요소는 언급하지 아니한다. 그리고 언급되는 구성요소만을 포함하는 배타적인 의미로 해석되어서는 아니되며 다른 구성요소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.

그리고 본 명세서에서 "값"이라 함은 스칼라값 뿐만 아니라 벡터도 포함하는 개념으로 정의된다.

후술하는 본 발명의 각 단계의 수학적 연산 및 산출은 해당 연산 또는 산출을 하기 위해 공지되어 있는 코딩 방법 및/또는 본 발명에 적합하게 고안된 코딩에 의해서 컴퓨터 연산으로 구현될 수 있다.

이하에서 설명하는 구체적인 수학식은 가능한 여러 대안 중에서 예시적으로 설명되는 것이며, 본 발명의 권리 범위가 본 명세서에 언급된 수학식에 제한되는 것으로 해석되어서는 아니된다.

이하에서는 첨부된 도면을 이용하여 본 발명의 다양한 실시 예들에 대하여 구체적으로 설명한다.

도 1은 본 발명의 일 실시 예에 따른 데이터 처리 시스템의 구성을 나타내는 도면이다. 도 1에 따르면, 데이터 처리 시스템은 복수의 장치(100-1 ~ 100-3) 및 연산 장치(200)를 포함한다. 도 1에서는 3개의 장치를 포함하는 것으로 도시하였으나, 이는 사용 예에 따라 달라질 수 있다. 예를 들어, 하나의 장치만으로 구현될 수도 있고, 3개 이상의 장치로 구현될 수도 있다.

각 장치(100-1 ~ 100-3) 및 연산 장치(200)는 휴대폰, 태블릿, 게임 플레이어, PC, 랩탑 PC, 홈서버, 키오스크 등과 같은 다양한 형태의 장치로 구현될 수 있으며, 이밖에 IoT 기능이 적용된 가전 제품 형태로도 구현될 수 있다.

제1 장치(100-1) 및 제2 장치(100-2)는 각각 동형 암호화를 수행하여, 그 결과값인 동형 암호문을 연산 장치(200)로 제공한다. 여기서, 동형 암호문은 각각 에러를 포함하는 근사 메시지에 대한 동형암호문을 의미한다.

구체적으로는, 제1 및 제2 장치(100-1, 100-2)에서 생성하는 동형 암호문은, 추후에 비밀키를 이용하여 복호화하였을 때 메시지 및 에러 값을 포함하는 결과값이 복원되는 형태로 생성될 수 있다. 이하, 본 명세서에서는 메시지에 에러가 포함된 상태를 근사 메시지라 한다.

제1 및 제2 장치(100-1, 100-2)는 각각 전송하고자 하는 메시지가 입력되면, 에러를 포함하는 근사 메시지에 대한 동형 암호문을 생성한다.

일 예로, 제1 및 제2 장치(100-1, 100-2) 각각은 자체적으로 생성한 에러를 메시지에 포함시켜 근사 메시지를 만들 수 있다. 구체적으로는, 전송할 메시지 M이 입력되면, 제1 및 제2 장치(100-1, 100-2) 각각은 임의의 다항식 c1을 랜덤하게 생성하고 작은 에러 e를 생성한 후, c0= -c1*s+M+e(mod q)를 계산하여, 동형 암호문 E(m,s)=ct=(c0, c1)을 생성한다. 추후에 이를 복호화하게 되면, Dec(ct)=M+e(mod q)가 됨을 알 수 있다.

다른 예로, 제1 및 제2 장치(100-1, 100-2) 각각이 메시지를 동형 암호화 하는 과정에서 에러가 추가되어 근사 메시지 형태가 될 수도 있다. 구체적으로는, 제1 및 제2 장치(100-1, 100-2) 각각이 생성하는 동형 암호문은 비밀키를 이용하여 복호화 하였을 때 다음과 같은 성질을 만족하는 형태로 생성된다.

[수학식 1]

Dec(ct,sk) = <ct,sk> = M+e(mod q)

여기서 < , >는 내적 연산(usual inner product), ct는 암호문, sk는 비밀키, M은 평문 메시지, e는 암호화 에러 값, q는 암호문의 모듈러스(Modulus)를 의미한다.

연산 장치(200)는 수신된 동형 암호문들에 대한 연산을 수행한다. 연산의 종류는 다양하게 설정될 수 있다. 동형 암호문의 성질 상, 연산 장치(200)는 복호화를 하지 않은 상태에서 연산을 수행할 수 있고, 그 결과값도 암호문 형태가 된다. 본 명세서에서는 연산에 의해 획득된 결과값을 연산 결과 암호문이라 한다. 연산 장치(200)는 연산 결과 암호문을 제3 장치(100-3)로 전송한다. 제3 장치(100-3)는 수신된 연산 결과 암호문을 복호화하여, 각 동형 암호문들에 포함된 데이터들의 연산 결과값을 획득할 수 있다.

도 1에서는 제1 및 제2 장치에서 암호화를 수행하고, 제3 장치가 복호화를 수행하는 경우를 도시하였으나, 반드시 이에 한정되는 것은 아니다. 예를 들어, 연산 장치(100)는 연산 결과값을 제1 및 제2 장치 중 적어도 하나로 제공할 수도 있다. 또한, 하나의 장치, 예를 들어, 제1 장치(100-1)에서 두번의 암호화를 수행하여, 두 개의 동형 암호문을 제공하여 줄 수도 있다.

연산 장치(200)는 사용자 요청에 따라 연산을 수차례 수행할 수 있다. 이 경우, 매번 연산마다 획득되는 연산 결과 암호문 내의 근사 메시지 비중이 달라지게 된다. 연산 장치(200)는 근사 메시지 비중이 임계치를 초과하면, 연산 결과 암호문 내의 평문 공간을 확장하는 동작을 수행한다.

연산 장치(200)는, 암호화된 입력값을 기 설정된 임계 암호문 모듈러스로 나눈 몫을 구하고 제거하도록 정의된 함수를, 연산 결과 암호문에 적용하여, 평문 공간을 확장할 수 있다.

구체적으로는, 상술한 수학식 1에서 q가 M보다 작다면 M+e(mod q)는 M+e와 다른 값을 가지므로 복호화가 불가능해진다. 따라서, q 값은 항상 M보다 크게 유지되어야 한다. 하지만, 연산이 진행됨에 따라 q값은 점차 감소하게 된다. 평문 공간의 확장이란 암호문 ct를 더 큰 모듈러스(modulus)를 가지는 암호문으로 변화시키는 것을 의미한다. 평문 공간을 확장하는 동작은 다르게는 재부팅(rebooting)이라 할 수도 있다. 재부팅을 수행함에 따라, 암호문은 다시 연산이 가능한 상태가 될 수 있다.

한편, 도 1에서는 제1 및 제2 장치(100-1, 100-2)에서 각각 에러를 포함하는 근사 메시지에 대한 동형 암호문을 만들어서 연산 장치(200)로 제공하는 것으로 도시 및 설명하였으나 반드시 이에 한정하는 것은 아니다. 예를 들어, 연산 장치(200)는 근사 메시지가 아닌 메시지 그 자체에 대한 동형 암호문을 입력받을 수도 있다.

또한, 연산 장치(200)는 입력된 동형 암호문들에 대해서 근사 연산을 수행할 수도 있다. 근사 연산이란 정확한 연산식이 아니라 그와 유사한 결과를 얻을 수 있는 근사식을 이용하여 연산을 수행하는 것을 의미한다. 근사 연산은 근사 메시지에 대한 동형 암호문 뿐만 아니라, 일반 메시지에 대한 동형 암호문에 대해서도 적용될 수 있다.

근사 연산을 위해서, 연산 장치(200)는 적용하고자 하는 연산 함수에 대응되는 근사 다항식을 산출한다. 연산 함수가 복호화 함수인 경우, 연산 장치(200)는 연산 함수와의 차이의 절대값이 임계치 이하가 되도록 근사 다항식을 산출할 수 있다. 이 경우, 근사 연산에 의해서, 연산 결과 암호문의 평문 공간이 확장될 수 있다.

만약, 복호화 함수에 대응되는 근사 다항식이 아닌 경우, 근사 연산에 의해 획득된 연산 결과 암호문에 대한 후속 연산을 수행해야 한다면, 그 연산 결과 암호문 내의 근사 메시지 비중을 임계치와 비교하여, 임계치를 초과하였을 때 평문 공간 확장 동작을 수행할 수도 있다.

이하에서 각 장치들의 구성 및 동작에 대해서 설명한다.

도 2는 본 발명의 일 실시 예에 따른 암호화 장치의 구성을 나타낸다. 도 1의 시스템에서 제1, 2 장치(100-1, 100-2)와 같이 동형 암호화를 수행하는 장치들을 다르게는 암호화 장치라고 할 수도 있다.

도 2에 따르면, 암호화 장치(100)는 프로세서(110), 메모리(120)를 포함한다. 도 2에서는 암호화 동작에 필요한 최소한의 구성만을 도시하였으며, 암호화 장치(100)의 종류에 따라서 다양한 구성요소들이 더 추가될 수도 있다. 예를 들어, 통신 인터페이스, 디스플레이부, 입력 수단 등이 더 포함될 수 있으나, 이러한 구성들은 동형 암호화와 직접적인 관련성이 없으므로 도시 및 설명은 생략한다.

프로세서(110)는 전송하고자 하는 메시지가 입력되면 메모리(120)에 저장한다. 프로세서(110)는 메모리(120)에 저장된 각종 설정 값 및 프로그램을 이용하여, 메시지를 동형 암호화한다. 이 경우, 공개키가 사용될 수 있다.

프로세서(110)는 암호화를 수행하는데 필요한 공개키를 자체적으로 생성하여 사용할 수도 있고, 외부 장치로부터 수신하여 사용할 수도 있다. 일 예로, 복호화를 수행하는 제3 장치(100-3)가 공개키를 다른 장치들에게 배포할 수 있다.

자체적으로 키를 생성하는 경우, 프로세서(110)는 Ring-LWE 기법을 이용하여 공개키를 생성할 수 있다. 구체적으로 설명하면, 프로세서(110)는 먼저 각종 파라미터 및 링을 설정하여, 메모리(120)에 저장한다. 파라미터의 예로는 평문 메시지 비트의 길이, 공개키 및 비밀키의 크기 등이 있을 수 있다.

링은 다음과 같은 수학식으로 표현될 수 있다.

[수학식 2]

링(Ring)이란 기 설정된 계수를 가지는 다항식의 집합을 의미한다. 일 예로, 링은 계수가 Zq인 n차 다항식의 집합을 의미한다. 수학식 2에서 f(x)는 n차 다항식을 의미한다. 구체적으로는, n이 Φ(N)일 때, N차 사이클로토믹 다항식 (N-th cyclotomic polynomial)을 의미한다. (f(x))란 f(x)로 생성되는 Zq[x]의 이데알(ideal)을 나타낸다. Euler totient 함수 Φ(N)이란 N과 서로소이고 N보다 작은 자연수의 개수를 의미한다. ΦN(x)를 N차 사이클로토믹 다항식으로 정의하면, 링은 다음과 같은 수학식으로도 표현될 수 있다.

[수학식 3]

비밀키(sk)는 다음과 같이 표현될 수 있다.

[수학식 4]

s(x)는 작은 계수로 랜덤하게 생성한 다항식을 의미한다.

프로세서(110)는 링으로부터 제1 랜덤 다항식(a(x))을 산출한다. 제1 랜덤 다항식은 다음과 같이 표현될 수 있다.

[수학식 5]

또한, 프로세서(110)는 이산 가우시안 분포 또는 그와 통계적 거리가 가까운 분포로부터 에러를 추출한다. 에러는 다음과 같은 수학식으로 표현될 수 있다.

[수학식 6]

에러까지 산출되면, 암호화 장치(100)는 제1 랜덤 다항식 및 비밀키에 에러를 모듈러 연산하여 제2 랜덤 다항식을 산출할 수 있다. 제2 랜덤 다항식은 다음과 같이 표현될 수 있다.

[수학식 7]

최종적으로 공개키(pk)는 제1 랜덤 다항식 및 제2 랜덤 다항식을 포함하는 형태로 다음과 같이 설정된다.

[수학식 8]

상술한 키 생성 방법은 일 예에 불과하므로, 반드시 이에 한정되는 것은 아니며, 이 밖에 다른 방법으로 공개키 및 비밀키를 생성할 수도 있음은 물론이다.

프로세서(110)는 동형 암호문이 생성되면 메모리(120)에 저장하거나, 사용자 요청 또는 기 설정된 디폴트 명령에 따라 동형 암호문을 연산 장치(200)로 전송하여 줄 수 있다.

도 3은 본 발명의 일 실시 예에 따른 연산 장치(200)의 구성을 나타내는 블럭도이다. 도 3에 따르면, 연산 장치(200)는 인터페이스(210), 프로세서(220), 메모리(230)를 포함한다. 도 2와 마찬가지로, 도 3의 연산 장치도 다양한 부가 구성을 더 포함할 수도 있지만, 본 발명의 동작과 관련성이 없거나 약한 부분은 도시 및 설명을 생략한다.

인터페이스(210)는 각종 장치들로부터 데이터 및 신호를 수신하거나 송신하기 위한 구성이다. 구체적으로는, 인터페이스(210)는 LAN, 무선 LAN, 와이파이, 블루투스, NFC(Near Field Communication), 지그비 등과 같은 다양한 유무선 통신 인터페이스로 구현될 수 있다.

프로세서(220)는 에러를 포함하는 근사 메시지에 대한 동형 암호문이 인터페이스(210)를 통해 입력되면, 이를 메모리(230)에 저장한다. 에러를 포함하지 않는 일반 메시지에 대한 동형 암호문이 입력된 경우에도, 프로세서(220)는 이를 메모리(230)에 저장한다.

메모리(230)는 동형 암호문 뿐만 아니라 각종 프로그램 및 데이터들을 저장하기 위한 구성요소이다.

프로세서(220)는 사용자 요청 또는 기 설정된 설정 값에 따라 동형 암호문들에 대한 연산을 수행한다. 이 경우, 동형 암호문들에 대한 복호화는 수행하지 않는다. 연산의 종류는 다양하게 설정될 수 있다. 일 예로, 두 개의 동형 암호문들에 대한 곱셈값이나 평균값을 요청받았다면, 프로세서(220)는 지정된 두 개의 동형 암호문들을 곱하거나, 곱한 후 2로 나누는 등의 연산을 수행할 수 있다. 또는, 프로세서(220)는 근사 연산을 수행할 수도 있다.

프로세서(220)는 연산에 의해 획득된 연산 결과 암호문 내의 근사 메시지 비중을 확인한다. 프로세서(220)는 근사 메시지 비중이 임계치를 초과하면, 연산 결과 암호문의 평문 공간을 확장한다.

구체적으로는, 프로세서(220)는 기 설정된 함수를 연산 결과 암호문에 적용하여 평문 공간을 확장할 수 있다. 프로세서(220)는 암호화된 입력 값을 기 설정된 임계 암호문 모듈러스로 나눈 몫을 구하고 제거하도록 정의된 함수를 사용할 수 있다. 임계치는 암호화/복호화 성능에 적합하도록 임의의 값으로 설정되어 메모리(230)에 저장되어 있을 수 있다. 일 예로, 임계치는 연산 결과가 평문 공간을 다 차지할 때의 비중, 즉, 100%로 설정될 수도 있다. 다른 예로, 평문 공간을 다 차지하기 이전에 재부팅을 수행할 수 있도록, 즉, 조기 재부팅을 위해서 한계치 미만의 값으로 설정될 수도 있다. 예를 들어, 80~50% 정도의 한계치가 설정되어 있을 수도 있다. 한계치는 연산 결과 암호문에 대한 후속 연산이 불가능해지는 평문 공간의 크기를 의미한다.

또는, 프로세서(220)는 동형 암호문에 적용하고자 하는 연산 다항식에 대응되는 근사 다항식을 산출하고, 산출된 근사 다항식을 이용하여 연산 결과 암호문을 연산하여, 평문 공간을 확장할 수도 있다. 이 경우, 연산 다항식이 복호화 함수이면, 근사 다항식은, 연산 다항식과의 차이의 절대값이 임계치 이하가 되도록 설정될 수 있다. 일 예로, 복호화 함수는 다음과 같이 설정될 수 있다.

[수학식 9]

수학식 9의 복호화 함수에 포함된 모듈러스 연산은 다음과 같은 방법으로 근사적으로 바꿀 수 있다.

[수학식 10]

다른 예로, 모듈러스 연산을 recursive 방법으로 계산할 수도 있다. 이 경우, 모듈러스 연산은 다음과 같이 표현될 수 있다.

[수학식 11]

수학식 11에서 k는 임의의 정수이다. K는 계산의 정확도나 파라미터의 특성에 따라 변동이 있을 수 있다.

수학식 11에서 Sk는 다음과 같은 4개의 수학식을 이용하여 산출할 수 있다.

[수학식 12]

여기서, Sk는 수학식 11에서와 같이, 연산 함수가 Sin함수일 때의 근사 다항식을 의미한다.

또한, 프로세서(220)는 연산 결과 암호문이 추후에 복호화될 때에 사용되어야 하는 부가 정보를 메모리(230)에 저장해 둘 수도 있다. 부가 정보는, 연산 결과 암호문 내에서의 연산 결과 메시지의 위치, 평문 공간 확장에 사용된 모듈러스 값 등을 포함할 수 있다.

프로세서(220)는 연산 결과를 요청한 장치에 대해 연산 결과 암호문과 부가 정보를 인터페이스(210)를 통해 제공해줄 수 있다.

도 4는 연산 장치의 동작을 구체적으로 설명하기 위한 도면이다. 도 4에서는 두 개의 동형 암호문(10, 20)에 대한 연산 및 재부팅 과정을 나타낸다.

각 동형 암호문(10, 20)은 근사 메시지 영역(11, 21)을 각각 포함한다. 근사 메시지 영역(11, 21)에는 메시지 및 에러(m1+e1, m2+e2)가 함께 들어가 있다.

연산 장치는 두 동형 암호문(10, 20)을 입력값으로 하여, 특정 연산을 수행한다. 연산 결과 암호문(30)은 각 근사 메시지 간의 연산 결과(m3+e3)가 담긴 근사 메시지 영역(31)을 포함한다. 연산 결과가 입력 값보다 커짐에 따라 근사 메시지 영역도 커지고 따라서 남은 평문 공간(32)이 줄어들게 된다. 이러한 연산이 수차례 수행되면, 결국 남은 평문 공간(32)이 없어지거나 한계치보다 작아지게 되어, 연산이 불가능해진다. 이러한 상태로 판단되면, 연산 장치(200)는 재부팅을 수행한다.

재부팅이 이루어진 암호문(40)은 근사 메시지 영역(41)이 줄어든 대신, 평문 공간(42)이 확장됨을 알 수 있다. 재부팅 이전의 암호문 내의 근사 메시지(m3+e3)와 재부팅 이후의 암호문 내의 근사 메시지(m3'+e3')는 약간의 차이가 있지만, 에러의 크기 차이가 작기 때문에 원 메시지와 비교하였을 때 큰 차이가 없게 된다. 종래의 암호화/복호화 매커니즘의 경우, 복호화 이후의 데이터가 원래의 평문과 같아지도록 설계하지만, 본 실시 예에 따르면 정확하게 같은 평문 대신에 근사 메시지가 출력된다. 결과적으로, 안전성을 위해서 필요로 하는 에러와 유효숫자 연산을 통해서 발생하는 에러를 포함하여 하나의 노이즈로 취급하므로, 암호화된 상태에서 실수 연산이 가능해지고, 암/복호화의 효율성을 증대시킬 수 있다.

도 5는 본 발명의 일 실시 예에 따른 데이터 처리 방법을 설명하기 위한 도면이다. 도 5에 따르면, 제1 장치(100-1) 및 제2 장치(100-2)는 각각 메시지 m1, m2를 동형 암호화하여 동형 암호문 E_L(m1'), E_L(m2')를 출력한다. 연산 장치(200)는 동형 암호문 E_L(m1'), E_L(m2')에 대한 연산을 수행하여, 연산 결과 암호문 E_L-i(m3')을 출력한다. 여기서 L은 암호문의 모듈러스 레벨을 의미한다. 연산이 반복됨에 따라 모듈러스 레벨은 지속적으로 감소하게 된다. 예를 들어, 연산 장치(200)가 암호화된 상태로 수행하고 싶은 연산의 깊이가 i라면, 모듈러스 레벨은 i만큼 감소하게 된다. 이에 따라, 모듈러스 레벨이 임계치 미만으로 떨어지게 되면 동형 암호문들에 대한 더 이상의 연산은 불가능해진다.

도 5에서는 임계치를 1레벨로 설정하였다. 이에 따라, 1 레벨 동형 암호문 E₁(m4'), E₁(m5')는 연산 불가능한 상태임을 알 수 있다.

연산 장치(200)는 E₁(m4'), E₁(m5')를 각각 재부팅하여, E_L'(m4"), E_L'(m5")를 생성한다. 재부팅에 의해 모듈러스 레벨은 L과 거의 유사한 L' 레벨이 되었고, 근사 메지지 또한 m4', m5'에서 거의 유사한 m4", m5"와 같이 변하게 된다.

연산 장치(200)는 재부팅한 암호문들을 연산하여, 연산 결과 암호문 E_L'-i(m6")를 제3 장치(100-3)로 제공한다. 최종 연산된 연산 결과 암호문은 다음 수학식과 같이 표현될 수 있다.

[수학식13]

제3 장치(100-3)는 연산 결과 암호문을 복호화하여 근사 메시지 m6"를 획득한다.

복호화를 위해서 제3 장치(100-3)는 부가 정보를 이용할 수 있다. 상술한 바와 같이, 부가 정보는, 스케일링 팩터 및 연산 결과 암호문의 모듈러스 값 등을 포함할 수 있다.

모듈러스 값이 Δ'라면, 복호화된 근사 메시지는 m6"/Δ'가 될 수 있다. 이에 따라, 실수 평문이 암호화 과정에서 정수화되었더라도, 복호화에서 다시 실수로 복구될 수 있다. 또한, 부가 정보 내의 모듈러스 값은 수학식 9에서 링(R)의 모듈러스로써 사용될 수 있다.

제3 장치(100-3)는 복호화를 통해 최종적으로 m6"를 획득할 수 있게 된다.

도 6은 본 발명의 일 실시 예에 따른 동형 암호문 처리 방법을 설명하기 위한 흐름도이다. 도 6에 따르면, 근사 메시지의 동형 암호문들이 입력되고, 그 암호문들에 대한 연산 요청이 입력되면, 요청된 연산을 수행한다(S610). 일 예로, 연산은 승산, 제분, 가산, 감산 등과 같은 기본 연산으로 설정될 수도 있지만, 반드시 이에 한정되는 것은 아니다. 구체적으로는, 암호화된 메시지가 복소수 형태인 경우, 컨쥬게이트(conjugate) 연산이 수행될 수도 있고, 이밖에 통계나 소팅 등의 연산도 이루어질 수 있다.

연산 장치는, 연산 이전에 또는 연산 이후에 동형 암호문들 내의 근사 메시지 비중이 임계치를 초과하였는지 여부를 판단할 수 있다(S620). 도 6에서는 연산 이후에 하는 것으로 도시하였으나 반드시 이에 한정되는 것은 아니다. 판단 결과, 임계치를 초과한 것으로 판단되면, 연산 장치는 평문 공간을 확장하는 재부팅을 수행한다(S630). 이에 따라, 연산이 효율적으로 반복 수행될 수 있다.

연산 장치는 이 밖에, 연산 결과 암호문의 복호화에 사용될 부가 정보를 제공하는 단계를 더 수행할 수도 있다.

또한, 상술한 바와 같이, 연산 장치는 연산 자체를 근사 연산으로 대체할 수도 있다. 이 경우, 연산 장치는, 동형 암호문에 적용하고자 하는 연산 함수에 대응되는 근사 다항식을 산출하는 단계 및 산출된 근사 다항식을 이용하여 동형 암호문을 근사 연산하는 단계를 순차적으로 수행할 수 있다. 여기서, 근사 다항식은, 연산 함수가 복호화 함수일 경우, 연산 함수와의 차이의 절대값이 임계치 이하가 되도록 산출할 수 있다. 이러한 근사 다항식을 이용하여 근사 연산을 하게 되면, 연산 결과 암호문의 평문공간이 확장될 수 있다.

이외의 경우에는, 근사 연산에 의해 획득된 연산 결과 암호문에 대한 후속 연산을 수행하는 경우, 근사 메시지 비중이 임계치를 초과하면 평문 공간을 확장할 수도 있다. 평문 공간 확장 방법에 대해서는 상술한 부분에서 구체적으로 설명하였으므로, 중복 설명은 생략한다.

이상에서는 다양한 실시 예를 흐름도 및 블럭도를 이용하여 설명하였다. 각 흐름도에 도시한 단계들의 순서는 예시에 불과하며, 상황에 따라 순서가 변경될 수도 있다. 또한, 실시 예에 따라서는 일부 단계가 생략되거나, 추가될 수도 있다.

또한, 이상과 같은 다양한 실시 예에 따른 암호화 방법, 처리 방법, 복호화 방법, 재부팅 방법, 연산 방법 등은 그 방법을 수행하기 위한 프로그램 코드의 형태로 기록 매체에 저장되어 배포될 수도 있다. 이 경우, 기록 매체가 탑재된 장치는 상술한 다양한 실시 예에 따른 동작들을 수행할 수 있다.

기록 매체는, ROM, RAM, 메모리 칩, 메모리 카드, 외장형 하드, 하드, CD, DVD, 자기 디스크 또는 자기 테이프 등과 같은 다양한 유형의 컴퓨터 판독 가능 매체가 될 수 있다.

이상 첨부 도면을 참고하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니 된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.

Claims (12)

1. 동형 암호문에 적용하고자 하는 연산 함수에 대응되는 근사 다항식을 산출하는 단계; 및

   상기 근사 다항식을 이용하여 상기 동형 암호문을 근사 연산하는 단계;를 포함하는 동형 암호문 처리 방법.
2. 제1항에 있어서,

   상기 근사 다항식을 산출하는 단계는,

   상기 연산 함수가 복호화 함수이면, 상기 연산 함수와의 차이의 절대값이 임계치 이하가 되도록 상기 근사 다항식을 산출 하는 동형 암호문 처리 방법.
3. 제1항에 있어서,

   상기 근사 연산에 의해 획득된 연산 결과 암호문에 대한 후속 연산을 수행하는 경우, 상기 연산 결과 암호문 내의 근사 메시지 비중이 임계치를 초과하면, 상기 연산 결과 암호문의 평문 공간을 확장하는 단계;를 더 포함하는 동형 암호문 처리 방법.
4. 제3항에 있어서,

   상기 평문 공간을 확장하는 단계는,

   암호화된 입력값을 기 설정된 임계 암호문 모듈러스로 나눈 몫을 구하고 제거하도록 정의된 함수를 상기 연산 결과 암호문에 적용하여 상기 평문 공간을 확장하는, 동형 암호문 처리 방법.
5. 제1항에 있어서,

   상기 임계치는, 조기 재부팅(early rebooting)을 위하여 한계치 미만의 값으로 설정되며, 상기 한계치는 상기 연산 결과 암호문에 대한 후속 연산이 불가능해지는 상기 평문 공간의 크기인, 동형 암호문 처리 방법.
6. 제1항에 있어서,

   상기 연산 결과 암호문의 복호화에 사용될 부가 정보를 제공하는 단계;를 더 포함하며,

   상기 부가 정보는,

   스케일링 팩터 및 상기 연산 결과 암호문의 모듈러스 값을 포함하는, 동형 암호문 처리 방법.
7. 동형 암호문들을 입력받기 위한 인터페이스;

   상기 동형 암호문들을 저장하는 메모리; 및

   상기 동형 암호문에 적용하고자 하는 연산 함수에 대응되는 근사 다항식을 산출하고, 상기 근사 다항식을 이용하여 상기 동형 암호문을 근사 연산하는 프로세서;를 포함하는 연산 장치.
8. 제7항에 있어서,

   상기 프로세서는,

   상기 연산 함수가 복호화 함수이면,

   상기 근사 다항식과 상기 연산 함수의 차이의 절대값이 임계치 이하가 되도록 상기 근사 다항식을 설정하고 상기 근사 연산을 수행하여, 상기 근사 연산에 의해 획득된 연산 결과 암호문 내의 평문 공간을 확장하는, 연산 장치.
9. 제7항에 있어서,

   상기 프로세서는,

   상기 근사 연산에 의해 획득된 연산 결과 암호문에 대한 후속 연산을 수행하는 경우, 상기 연산 결과 암호문 내의 근사 메시지 비중이 임계치를 초과하면, 상기 연산 결과 암호문의 평문 공간을 확장하는, 연산 장치.
10. 제9항에 있어서,

    상기 프로세서는,

    암호화된 입력값을 기 설정된 임계 암호문 모듈러스로 나눈 몫을 구하고 제거하도록 정의된 함수를 상기 연산 결과 암호문에 적용하여 상기 평문 공간을 확장하는, 연산 장치.
11. 제9항에 있어서,

    상기 임계치는, 조기 재부팅(early rebooting)을 위하여 한계치 미만의 값으로 설정되어 상기 메모리에 저장되고,

    상기 한계치는 상기 연산 결과 암호문에 대한 후속 연산이 불가능해지는 상기 평문 공간의 크기인, 연산 장치.
12. 제9항에 있어서,

    상기 프로세서는,

    상기 연산 결과 암호문의 복호화에 사용될 부가 정보를 상기 메모리에 저장하고,

    상기 부가 정보는,

    스케일링 팩터 및 상기 연산 결과 암호문의 모듈러스 값을 포함하는, 연산 장치.

Images