DOI QR코드

DOI QR Code

ID-based Proxy Signature Scheme from the Bilinear Map

Bilinear 함수를 이용한 ID 기반 대리서명 기법

  • 이정연 (한국정보통신대학원대학교 공학부 국제정보보보호연구소) ;
  • 천정희 (서울대학교 자연과학대학 수리과학부) ;
  • 김태성 (한국전자통신연구원 정보보호연구본부 인증기반연구팀) ;
  • 진승헌 (한국전자통신연구원 정보보호연구본부 인증기반연구팀)
  • Published : 2003.04.01

Abstract

Proxy signatures are signature schemes in which an original signer delegates her signing capability to a proxy entity, who signs a message on behalf of the original signer. In this paper we propose the ID-based proxy signature schemes using a bilinear map. In the previous R-based proxy signature scheme, the proxy signer can misuse the right of the signing capacity and the public key directory is required. However, by inserting the warrant information such as the identity of the proxy signer and the limit of the signing capacity to the proxy signature, our scheme can prevent the misuse of the proxy key pair by the proxy signer and does not require a public key certificate. Furthermore, our scheme dose not need a secure channel to deliver the warrant. Consequently, the proposed scheme is more efficient and useful than the previous proxy signature schemes.

대리서명은 원서명자가 대리인에게 서명 권한을 위임하여 대신 서명하게 하는 변형된 전자서명이다. 본 논문에서는 bilinear 함수를 이용한 ID 기반 인증 모델에서의 대리서명 기법을 제안한다. 기존에 제안된 ID 기반 인증 모델에서의 대리서명 기법은 대리인에 의한 오남용을 막을 수 없고, ID 기반 인증 모델에서의 대리서명임에도 불구하고 공개키 인증서가 필요하다. 하지만 우리가 제한하는 기법은 대리인의 서명권한을 규정한 위임장을 대리서명에 삽입함으로서 대리인에 의한 서명 권한의 오남용을 막을 수 있을 뿐만 아니라 공개키 인증서도 필요 없다. 효율성 측면에서, 제안하는 대리서명 기법은 서명 권한 위임 시 보안채널 설정의 필요성을 제거함으로써 기존의 대리서명보다 효율성을 훨씬 개선 할 수 있으며, ID 기반 인증모델에서의 공개키 습득과정의 단순화를 통한 효율성 향상이 가능하다

Keywords

Ⅰ.서론

기업의 대표는 각종 문서에 서명을 하는 일 뿐만아니라 많은 할 일이 있다. 너무 많은 일로 인해 필요한 서류에 제때 서명을 하지 못하거나 타 지역으로의 출장이나 온라인상의 문제로 인해 서명을 할수 없는 상황은 빈번하게 일어날 수 있다. 그럼에도불구하고 대표로서 반드시 서명을 해야 하는 계약서나 사내 문서가 있을 수 있다. 이런 상황에 대한 해결책으로 그는 하급 직원에게 일부 문서에 대해 서명 할 수 있는 권한을 위임하고 하급직원이 대표를대신하여 서명하는 것이다.

Mambo 등에 의해 처음 소개된 대리서명 기법은위임의 형태에 따라 전체 위임과 부분 위임 그리고위임장에 의한 위임으로 분류된다. (MUO 대리서명기법)피. 여기에서 부분 위임은 원서명자의 대리서명생성 능력에 따라 대리인만이 대리 서명을 생성할 수있는 대리인 보호 대리 서명과 원 서명자와 대리인 모두 대리서명을 생성할 수 있는 대리인 비보호 대리서명으로 나뉜다. 이후 김승주, 박상준, 원동호는 위임장의 내용을 직접 대리 서명에 삽입시킴으로서 대리인에 의한 서명 능력의 오남용을 방지하는 기법이소개하였다(KPW 대리서명 기법)地

기본적인 대리 서명 생성 방법은 다음과 같다. 먼저 원서명자가 대리인의 신상정보(ID 등)를 포함한 대리 서명 권한을 규정한 위임장에 공개키 시스템에서 사용하는 개인키를 이용하여 서명을 생성하고 위임장과 서명 값을 대리인에게 전달한다. 그러면 대리인은 서명 값과 자신의 개인 키를 이용하여 대리 서명에 사용될 대리서명 키 쌍을 생성하고 그 중 개인 키를 이용하여 대리서명을 생성한다. 검증자는 원 서명자와 대리인의 공개키를 이용하여 대리서명을 검증한다. 여기에서 검증자는 위임장의 내용과 대리서명된 문서의 내용을 검토하여 대리인의 위임된 권한의 행사에 대한 유효성을 확인한다. 만약 이 두 가지 검증 절차가 모두 유효하면 검증자는 검증과정에서 사용된 원서명자의 공개키를 통해 대리 서명에 대한 원 서명자의 동의를 확인할 수 있고, 또한 위임된 권한의 오남용도 막을 수 있을 것이다. 이와 같은 대리 서명이 갖추어야 할 보안 요구사항은 다음과 같다刖 1.

(1) 검증 가능성: 대리 서명으로부터 검증자는 권한위임에 대한 원서명자의 동의를 확인할 수 있어야 한다.

(2) 강한 위조 방지: 지명된 대리인만이 유효한 대리 서명을 생성할 수 있어야 한다. 즉, 원 서명 자와 제 3자는 유효한 지명된 대리인을 가장하여 유효한 대리서명을 생성할 수 없어야 한다.

(3) 강한 확인: 대리 서명으로부터 대리인의 신분을 확인할 수 있어야 한다.

(4) 부인 방지: 한번 유효한 대리 서명이 생성되면 대리인은 자신의 대리 서명 생성에 대한 사실을 부인할 수 없어야 한다.

(5) 오남용 방지: 대리인은 자신에게 위임된 권한 내에서 대리서명을 생성해야 한다.

본 논문에서는 ID 기반 인증 모델에서의 대리서명 기법을 제안한다. 1984년에 Shamir가 소개한 이모델은 각 사용자의 ID(전자우편 주소 등)를 공개키로 사용함으로서 서명의 검증이나 암호화 과정에서필요한 공개키의 습득과정을 단순화한 인증모델이다 闵. 이 모델의 단점으로는 사용자의 ID에 대응하는개인키를 생성하는 개인 키 생성자(PKG)가 모든 사용자의 개인키를 알고 있기 때문에 이 모델의 안전성을 개인키 생성자의 도덕성에 의존해야 한다는 것이지적되고 있다. 이런 단점에도 불구하고 대리서명은검증 과정에서 검증자가 원 서명자와 대리인의 공개키를 모두 필요로 하기 때문에 이 인증모델의 사용은 효율성을 향상시키는데 큰 역할을 할 것이다. 기존의 ID 기반 대리 서명 기법은 서명 기법을 직접 사용하여 대리 서명을 생성하는 기법이다(DQ 서명 기법)叫 그들의 서명 기법은 사용자가 서명할 수있는 횟수를 제한하는 zbounded-life span" 서명 기법인데, 그 제한된 횟수의 일부분을 대리인이 사용할수 있도록 함으로서 대리 서명을 생성하는 방법이다. 여기에서 원서명자가 대리인에게 전달하는 위임장은대리인의 신상정보나 서명 권한 사용의 한계에 대한정보를 담고 있지 않기 때문에 대리인에 의한 서명권한의 오남용이나 위임된 권한을 제3자에게 전달하는 것을 막을 수 없다. 그렇기 때문에 위임장의 전달은 원서명자와 대리인 사이의 보안채널을 이용하여전달되어야 한다. 무엇보다 이 기법이 가지는 가장큰 단점은 ID 기반 모델에서의 대리서명 기법임에도불구하고 검증자가 대리 서명의 검증 과정에서 원서명자가 지급한 위임장의 유효성을 확인하기 위해 원서명자가 제공하는 위임장에 대한 인증서를 온라인상태로 확인해야 한다는 것이다.

이에 반해 우리가 제안하는 ID 기반 대리서명 기법은 안전성이 증명된 ID 기반 서명기법回를 기존인증서 기반 인증모델에서의 대리서명기법에 적용한것으로, 위임장을 대리 서명에 삽입함으로서 기존 ID 기반 대리서명 기법이 가지는 단점들을 모두 극복할수 있었다. 또한 지금까지 제안되고 있는 대리서명기법들이 위임장 전송 시 보안 채널을 설정해야 하는어려움이 있었으나 우리의 대리 서명 기술은 이런 보안 채널 설정의 필요성을 제거했기 때문에 효율성에있어서 기존 대리 서명 기술들보다 훨씬 뛰어나다고할 수 있다.

이 논문의 나머지 부분은 다음과 같이 구성되어있다. 먼저 2장에서는 기존에 발표된 대리서명 기법을 소개하고 각 기법들이 가지는 단점을 정리하였다. 3장에서 ID 기반 대리 서명 기법을 제안하고 4장과 5 장에서 각각 제안하는 기법의 안전성과 기존 기법들과의 비교를 다룬다. 마지막으로 6장에서 결론을 정리 한다.

Ⅱ. 기존 대리 서명 기법

이 장에서는 지금까지 제안된 인증서 기반 대리인 보호 대리서명 기법인 MUO 기법과 KPW 기법을 정리하고, ID 기반 서명 기법 대리 서명의명의 기능을 제공할 수 있는 DQ 서명 기법을 소개한다. 그리고 각 기법이 제공하는 기능과 문제점을 정리한다. 이 논문을 통해 다음의 내용은 중복하여 정의하지 않고 사용한다.

(1) 0 와 a는 매우 큰 소수이며, g는 /의 약수이다. 는 적어도 512비트 이상이어야 하며, q는 160비트 이상이어야 한다.

(2) g는 곱셈 (2), *) 의 위수가 a인 부분 군의 생성원이다.

(3) 奴)는 충돌 회피 해쉬 함수이다.

(4) “id는 대리인에 대한 정보와 위임되는 권한에 대한 정보를 담은 문서이다.

(5)는 와 이에 대한 원 서명자의 서명을 권한위임에 필요한 내용 일체를 말한다.

(6) wit는 에서 제한하고 있는 대리인의 서명 권한에 의해 정당하게 서명될 수 있는 문서이다.

⑺ Alice는 공개키 암호 시스템에서 사용되는 키쌍 (XA.yA( = g""mod0))을 소유하고 있는 원서명자이며 Bobe 키 (xByB{ = gXBmoAi))') 을소유하고 있는 대리인이다.

2.1 MUO 대리 서명 기법 2)

〔1단계〕 위임장 생성 및 전송

원 서명자 Alice는 임의의 난수 有 u 4를 생성하고 K= g* mod/> 를 계산한다. 그 후 臨 = (, xA + k - K} modq를 구하고 (喝, K)를 위임장, 叭로 정의한다. Alice는 위임장 皿를 대리인 Bob에게 보안 채널을 이용하여 안전하게 전송한다.

〔2단계) 위임장 검증과 대리 서명 키 생성

Bobe 먼저 g"=j侦 . KKmod0 인지를 확인하여 위임장의 진위를 파악하고 유효하다면 다음과 같이 대리서명을 위한 개인 키를 생성한다.

#

〔3단계〕 대리서명 생성

Bobe 문서, 电에 대해 대리 서명을 생성하기 위해 개인키로 ;如를 사용하고 이산대수 문제의 어려움에 기반한 서명 기법 (S:g72。)을 활용하여 대리서명。를 생성한다.

#

〔4단계) 대리 서명 검증

대리 서명 a를 검증하기 위해 먼저 검증자는 대리 서명 생성에 사용된 개인 키 愆尸)에 대응하는 공개키를 생성한다.

#

그 후 대리 서명 생성과정에서 사용된 서명 기법의검증과정을 수행하여 대리 서명의 유효성을 확인한다.

〔문제점)

이 기법이 가지는 단점으로 다음과 같은 사항들이 지적되었다可

(1) 위임되는 권한의 사용에 대한 제약이 없다. 즉, 대리인에 의한 오남용이 가능하다.

(2) 대리인이 위임장을 원 서명자의 동의 없이 제 3자에게 전달하여 대리 서명을 생성할 수 있다.

(3) 위임장 전송 시 보안 채널을 확보 해야 한다. 만약 보안 채널이 확보되지 못하면 위 두 번째 문제점을 이용하여 仇”를 확보한 공격자에 의해 서명 권한이 사용될 수 있기 때문이다.

2.2 KPW 대리 서명 기법(3)

김승주 등은 위 대리 서명 기법의 문제점들을 극복하기 위해 대리인과 위임되는 권한에 대한 정보를담은 "〃를 대리 서명에 삽입함으로서 위임된 권한의오남용이나 제3자에게로의 서명 권한 전달을 막을수 있는 방법을 제시하였다.

〔1단계〕 위임장 생성 및 전송

원 서명자 Alice는 대리인에 대한 정보와 위임되는 권한에 대한 정보를 담은 »电에 Schnorr 서명 기법을 이용하여 서명을 생성한다. 자세히 살펴보면, Alice는 임의의 난수 蜘를 생성하고 rA = g&mod/> 를 계산한 후 서명 값 喝를 다음과 같이 생성한다.

#

위임장 m河을 (仇로 정의하고 보안 채널을 이용하여 대리인에게 전달한다.

〔2단계〕 위임장 검증과 대리 서명 키 생성

대리인은 mw7\ 유효한 위임장인지를 Schnorr 서명 기법의 검증 과정을 통해 확인하고, 유효하면 그것을 이용하여 다음과 같이 대리 서명을 위한 개인키 (Xp)를 생성한다.

#

〔3단계〕 대리서명 생성

대리인 Bobe 에 대리 서명을 생성하기 위해 안전성을 이산대수 문제의 어려움에 바탕을 둔 서명기법을 이용하여 g로 서명한다. 여기에서는 Bob이 Schnorr 서명 방법을 이용하여 서명 (防, 小을 생성한다고 하자. 서명 과정이 끝나면 Bobe 다음의수열을 문서 仇? 에 대한 대리 서명으로 정의한다.

#

〔4단계〕 대리서명 검증

대리 서명의 유효성을 검증하기 위해 먼저 대리서명을 위한 개인 키 (次>)에 대응하는 공개키를 다음과같이 생성하여 대리 서명을 검증한다.

#

(문제점〕

이 대리 서명 기법의 단점으로는 대리서명 내에 원 서명자와 대리인의 역할이 동일하기 때문에 md 에그들의 역할을 분명히 하지 않는다면 그들의 역할이 바뀔 수 있다는 것이다.

2.3 DQ 서명 기법을 이용한 ID 기반 대리 서명”

Oliver Delos와 Jean-Jacques Quisquater는 서명하는 횟수를 제한할 수 있는 ID 기반 서명 기법을 제안하였다E 그리고 제한된 서명 횟수의 일부를 대리인이 수행할 수 있는 방법을 소개하였다. 이 장에서는 그들의 서명 기법을 소개하고 제안하는 대리서명방법을 정리한다.

ID 기반 인증 모델에서는 각 사용자의 ID에 대응하는 개인키를 생성해 주는 신뢰 기관의 구축이 필요하다. 따라서 ID 기반 서명 기법은 시스템 파라미터와 각 사용자의 개인 키를 생성하는 초기화 과정과그것들을 이용하여 서명을 생성 및 검증하는 과정으로 구성되어 있다.

2.3.1. 초기화

사용자의 ID를 Z* 라고 하고 이에 대응하는 공개키를 /라고 흐卜자. 여기에서 /* 로부터 /를 얻는 과정은 해쉬 함수를 사용하여 누구나 할 수 있다.

(1) 시스템은 강한 소수 /)와 <?를 선택하고 공개되는 합성 수 n을 Q와 <?의 곱으로 구한다. 여0 와서 0와 q 는 외부에 노출하지 않고 안전하게 관리한다.

(2) 시스템은 ID의 불법적 전용을 막기 위해 Z* 로부터 7■를 추출한 후 아래의 성질을 만족하는 개인 키 (D)를 생성한다.

#

여기에서 u는 공개되는 소수이다.

(3) F0를 F(x) = x"mo<M인 일방향 해쉬 함수라할 때 각 사용자는 初)로부터 F0를 이용하여

#

를 구한다. 여기에서 幻=(知)'라는 사실은 명백하다.

(4) 각 사용자는 처음에 改를 공개키 디렉토리에 공개하고 서명이 끝날 때마다 그 색인을 1씩 감소시켜공개키 디렉토리를 갱신한다. 이 방법을 사용함으로서 사용자는 »번 서명할 수 있다.

2.3.2. 서명 생성 및 검증

여기에서 우리는 光前先I, ..., j+Mme 사용자에 의해 이미 사용되었다고 가정하자.

〔1단계〕 입력

#

〔2단계) 서명

(1) (J/m)을 공개한다.

(2) 난수 厂辑에 대하여 7»=x%mod”을 구한다.

(3) 서명할 문서 M에 대하여 dmeh(TmiMW 과 々그 rm-{D- %„_!)4 을 각각 구하고 (Tm, tm, M |) * Z 를 M에 대한 서명으로 정의하여 검증자에게 보낸다.

〔3단계) 검증

(1) 검증자는 과 財을 이용하여 다음두 사항을 검증한다.

#

(2) 마지막으로 다음 사항을 검증하여 서명자가 入现_1를 이미 알고 있음을 확인할 수 있다.

#

검증이 끝난 후 검증자는 서명을 사용하여 공개키디렉토리에 으로 갱신한다.

2.3.3. 서명 권한 위임 방법

위 ID 기반 서명 기법은 서명할 수 있는 권한이 为번으로 제한되는 기법이다. 특히 切컨의 권한 중일부를 위임하기 위해 대리인에게 羽 (0 £)를보안채널을 이용하여 전달한다. 그러면 대리인은 자신이 생성할 수 있는 몇 개의 % 와 자신의 ID에 대응하는 개인키를 이용하여 서명을 생성한다. 생성된대리서명의 검증을 위해 검증자는 사용된 幻.의 유효성을 검사하고 유효하면 대리인의 ID 와 勤를 이용하여 서명을 검증한다.

〔문제점)

이 기법의 가장 큰 단점은 ID 기반 인증 모델에서의 서명 기법임에도 불구하고 %, 의 유효성 확인을 위해 원서명자나 신뢰 기관이 제공하는 绐에 대한 인증서를 사용해야 한다. 그래서 ID 기반 인증 모델의 단점, 즉 시스템이 각 사용자의 개인 키를 알고 있다는 것과 인증서 기반 인증 모델의 단점, 서명자의 공개키에 대한 신뢰 기관의 인증서를 받아야 한다는 것을 모두 가지게 된다. 또한, 단순한 횟수의 제한을 제외하고 권한의 사용에 대한 아무런 제약이 없기 때문에 [2] 에서 소개한 대리 서명 기법이 가지는 문제점을 모두 갖는다.

Ⅲ. Bilinear 함수를 이용한 ID 기반 대리서 명기법

이 장에서 우리는 ID 기반 인증 모델에서의 대리서명 방법을 제안한다. 제안하는 방법의 기본 과정은 2.2 에서 정리한 대리 서명 기법과 같다. 즉, 먼저 원서명자는 에 ID 기반 서명 방법을 이용하여 서명을 생성하여 위임장을 발행하면 대리인은 위임장을 이용하여 대리 서명을 생성한다. 여기에서 우리는안전한 ID 기반 서명 기법으로 [6] 에서 소개되는 기법을 사용한다.

3.1 ID 기반 서명 기법

우리는 차재춘과 천정희의 ID 기반 전자서명을 소개하기 전에 그들의 기법이 사용하고 있는 bilinear 함수와 안전성 기반 문제의 정의를 간단히 정리한다. G과 를 위수가 소수 @인 순환 군이며 Ge 덧셈 군이며 는 곱셈 군이라 흐}자. G]과 G?에서 이산대수 문제는 어렵다.

〔정의1〕(bilinear 함수)

우리는 함수 e: GiX 伝7G2가 임의의 Pi, 5 G) 과 0, Q 金 G2에 대하여 다음 조건을 만족하면 bilinear 함수라 한다.

(1) [Bilinearity] a, b u 码에 대하여

e(P1 + P2, Q) = e(P1, Q) . e(P2, Q),

e(P, Qi + Q2) = e(P, QD . e(P, Q2) 또는 e(aP, bQ) = e(P, Q)ab 를 만족한다.

(2) [Non-degenerate]

e(P, a) 丰 1인 P와 Q가 존재한다.

(3) [Efficiency]

e(F, Q)의 계산이 효율적인 알고리즘이 존재한다. 우리는 여기에서 Weil과 Tate pairings 이 초특이타원곡선에 적용되면 위와 같은 bilinear 함수를 생성할 수 있다는 사실을 지적한다.

우리는 다음으로 암호 프로토콜의 안전성 기반 문제로 사용되고 있는 네 가지 문제를 묘사한다.

(1) 이산 대수 문제 (DLP) : 주어진 두 개의 원소 F와 Q에 대하여 Q = 履3인 n을 찾아라. (2) 결정적 디피-헬 만 문제 (DDHP) : 주어진 P, aP, bP, cP에 대하여 c= 沥 modq인지를 결정하라.

(3) 계산적 디피-헬 만 문제 (CDHP) : 주어진 P, aP, /沪에 대하여 abP를 계산하여라.

(4) 겹 선형 디피-헬 만 문제 (BDHP) : bilinear 함수 e를 사용하여 주어진 aP, bP, cP e G에 대하여 e(、P, P) 血를 구하라.

차재춘과 천정희가 제안한 ID 기반 서명 기법은 bilinear 함수의 연산이 다항식 시간 내에 쉽게 이루어지나 BDHP의 해결은 어려운 임의의 군 위에서 서명 생성과 검증이 이루어진다旳. 그러한 군을 gap Diffie-Hellman Group(GDH군)이라 부른다. 여기에서 BDHP의 어려움은 전자서명에 대한 existential forgery 공격을 막기 위해 사용되며 bilinear 함수 의사용은 서명의 검증에 사용된다.

3.1.1 서명 기법

위수가 /인 GDH 군 (G+)의 생성 원을 F라하고그 위에서의 bilinear 함수를 e라 흐]자. 그들의 서명기법은 다음의 네 단계로 구성되어 있다.

〔1단계〕 시스템 파라미터와 마스터키 생성

(1) 난수 smZ〃을 생성하고 S=s・ P를 계산한다. (2) 두 개의 충돌 회피 해쉬 함수를 사용한다.

#

(3) 시스템 파라미터 (*) P'PyH" 를 공개하고 s 를 마스터키로 사용한다.

〔2단계〕ID에 대응하는 개인 키 생성

시스템은 각 사용자가 생성한 ID에 대하여 £>刀 = s・ HAID)를 계산하고 그것을 그 ID에 대응하는 개인 키로 발급한다. 사용자들은 用를 이용하여 ID로부터 쉽게 공개키 역할을 하는 Qm= H")、)를 생성하여 사용할 수 있다.

〔3단계:! 서명 생성

자신의 개인 키 Dm를 이용하여 메시지 n에 서명한다. 먼저 난수 yu 기 I을 선택하고 다음을 계산한다.

#

그리고 6=(U, V)를 m에 대한 서명으로 정의한다.

〔4단계〕 서명 검증

서명 ff = ((/, V) 검증을 위해 e를 사용하여/? = U) 일 때, (P, Pgb, U+h・ 가 결정

적 Diffie-Hellman(DDH) 쌍인지 확인한다. 즉, U+h- Qid) = e(P, /)인지 확인하여 검

증한다.

그들은 이 서명 기법이 existential forgery 공격에대하여 안전함을 증명하였다.

3.2 ID 기반 대리 서명 기법

Alice와 Bobe 각각 공개키와 개인키쌍 (QU») 와 (Qb.Db)를 가지고 있다고 하자.

〔1단계〕 위임장 생성 및 전달

Alice는 난수 Z]l를 생성하고,

#

를 계산하고 >»«, = ("a, 以, »H)를 대리인 Bob에게 전달한다.

〔2단계) 대리 서명 키 생성

Bobe 叽에서 가 »如에 대한 올바른 서명인지 확인하고 유효한 서명이면 다음과 같이 대리서명을 위한 개인 키와 이에 대응하는 공개키를 생성한다.

#

여기에서 우리는 Dp=s・ a? 임을 확인할 수 있다.

〔3단계〕 대리서명 생성

Bobe 위임장에서 명시한 권한 내에서 서명 가능한 문서 mp에 대해서 대리 서명을 위한 개인 키를 이용하고 위 ID 기반 서명 기법으로 아래와 같이 대리 서명을 생성한다.

(1) Bobe 난수”를 선택하고 다음을 계산한다. Up= rp - Qp, Vp= ( rp + Hi(m, Up)) . Dp

(2) 순서쌍 (Up, Vp, Ua, "W福를 문서 化에 대한 대리 서명으로 정의한다. 여기에서 L膈는 원서명자의 서명 권한 위임에 대한 동의를 나타낸다.

(3단계〕 대리서명 검증

대리 서명 검증자는 수신된 대리 서명 (Up, 咋, UA, w“, mp)을 검증하기 위해 먼저 대리서명에 사용된 개인키에 대응하는 공개키를 생성한다.

#

그 후, Qp를 이용하여

(P, P皿, Up+Hem.Up)- QP, 咋)가 유효한 DDH 쌍인지를 확인하여 검증한다.

N. 안전성

위에서 언급한 바와 같이 우리가 제안하는 대리 서명 기법은 existential forgery 공격에 대하여 안전한 서명 기법을 반복하여 사용하고 있기 때문에 그 안전성에 대하여 우리는 다음의 두 가지 경우에 대하여 고려하면 된다.

(1) 대리인에 의한 서명 권한 오남용

(2) 대리 서명에서 원 서명자와 대리인의 역할 분리 가능성

먼저 대리인에 의한 서명 권한의 오남용에 대하여 고려해 보면 우리의 대리 서명 기법은 [3]에서의 기법과 같이 위임장의 내용을 대리서명에 포함시킴으로써 대리인의 오남용을 방지할 수 있다.

실질적으로 두 번째 고려사항이 대리서명의 안전성을 결정짓는 중요한 부분이다. 특히 우리의 기법은과거 인증서 기반 대리 서명 기법과 달리 위임장 전송시 보안채널의 확보가 필요 없는 대리서명이기 때문에 대리서명에서 원 서명자와 대리인의 역할 분리는 다음과 같은 중요한 문제점을 낳을 수 있다.

(1) 대리 서명 생성 시 서명 기법을 두 번 반복하여 사용하기 때문에, 만약 대리서명에서 원 서명자와 대리인의 역할이 분리된다면, 원서명자가 대리 서명으로부터 자신의 역할을 분리하여 대리인의 유효한 서명을 생성할 수 있다.

(2) 위임장 전송 시 보안 채널이 확보되어 있지 않기때문에 특정인에게 전송되는 위임장을 모두 확보할 수 있다. 만약 원 서명자와 대리인의 역할이분리된다면 공격자에 의해 특정인이 생성한 대리서명의 원서명자를 마음대로 바꿀 수 있다. 뿐만아니라, 대리서명에서 원 서명자의 역할을 제거함으로써 대리인의 일반 서명을 얻을 수 있고, 역으로 일반 서명으로부터 대리 서명을 얻어낼 수 있다.

이러한 문제점은 이전의 인증서 기반 대리서명에서 발견되어 위임장을 보안 채널을 이용해서 전송해야하는 문제점을 노출하였다. 하지만 우리는 [정리 1]을통해 원서명자와 대리인의 역할이 분리 될 수 없음을 확인할 수 있고, 따라서 보안 채널의 없이 안전한대리서명을 생성할 수 있음을 보인다.

〔정리 1〕

만약 공격자가 우리가 제안하는 기법에서 원 서명자와 대리인의 역할을 분리할 수 있다면 그는 타원곡선 군에서 이산 로그 문제를 해결할 수 있다.

(증명

공격자가 우리의 알고리즘에서 원서명자와 대리인의 역할을 분리하기 위해서는 (Up, Vp, Ua, S"Ip) 의 Up로 부 터 Ub(=, S Qb)를 추출할 수 있어야 한다. 하지만 이를 위해서 공격자는 ”를 구할 수 있어야 하고 만약 공격 자가를를 구할 수 있다면 이는 그가 타원곡선에서의 이산대수 문제를 해결할 수 있음을 의미한다.

Ⅴ.비교

이 장에서는 본 논문에서 제안한 대리 서명 기법과기존에 제안된 여러 기법을 효율성과 기능 측면에서비교한다[표 1].

(표 1) 제안 대리 서명 기법과 기존 기법의 비교

먼저 효율성 측면을 살펴보면 우리의 기법이 갖는 장점은 크게 두 가지로 요약된다. 한가지는 ID 기반 인증 모델을 기반구조로 사용함으로써 자연스럽게 만들어지는 것이며 다른 한가지는 서명 기법상에서 발생하는 장점이다. 첫 번째 경우는 ID 기반 인증 모델을 적용한 대리 서명 기법이기 때문에 사용자의 공개키 인증서의 필요성을 없앨 수 있다는 것인데, 특히 대리 서명 기법에서는 그 검증 과정에 서원 서명자와 대리인의 공개키를 모두 필요로 하기 때문에 공개키 인증서 습득과정의 생략은 인증서 기반기법보다 훨씬 효율적일 것이다. 둘째로 서명 기법상에서 얻어지는 효율성은 위임장 전송 시 보안 채널의 확보 필요성을 제거할 수 있다는 것이다. 이 부분은 특히 중요한 부분으로 기존 대리서명 기법들이 모두 보안채널의 필요성이 효율성을 현저히 떨어뜨리기 때문이다.

다음으로 우리가 제안하는 기법이 제공하는 기능을 살펴보자. 우리의 대리 서명 기법은 [3]에서와 마찬가지로 仇加를 ID 기반 대리서명에 삽입함으로서 [3]의 기법이 가지는 모든 기능을 수행할 수 있다. 특히, 所“의 삽입은 기존 ID 기반 대리서명 기법이제공하지 못하는 오남용 방지기능을 제공할 수 있다.

Ⅵ. 결론

대리 서명은 한 사용자가 자신의 서명 권한을 위임할 필요가 있을 때 사용될 수 있는 매우 유용한 기술이다. 하지만 인터넷과 같은 분산환경에서 원 서명자나 대리인을 신뢰하기는 매우 어려운 문제이기 때문에 안전한 대리 서명 기법에 대한 연구는 중요하다. 우리는 이 논문에서 기존 대리 서명 기법들이 기반하고 있는 환경과 전혀 다른 ID 기반 인증 모델에서의 대리서명 기법을 소개하고 있다. 우리가 제안하는 기법은 기존 대리 서명 기법이 제공하는 모든 기능을 제공할 뿐만 아니라 훨씬 효율적이다. 또한 우리의 대리 서명 기법은 최근 활발히 연구되고 있는 bilin -ear 함수를 이용한 것으로 그들과 함께 사용됨으로서 ID 기반 인증 모델에서의 공개키 암호 시스템의 구현에 이바지 할 수 있다.

References

  1. Advances in Cryptology, Proceedings of CRYPTO '94, LNCS 839 An Identity-Based Signature Scheme with Bounded Life-Span O.Delos;J.J.Quisquater
  2. IEICE Trans. Fundamentals v.E79-A no.9 Proxy Signature : Delegation of the Power to Sign Messages M.Mambo;K.Usuda;E.Okamoto
  3. Proceedings of ICICS '97, LNCS 1334 Proxy Singatures, Revisited S.Kim;S.Park;D.Won
  4. Proceedings of SCIS2001 v.2/2 Strong Proxy Signature and its Applications Byoungcheon Lee;Heesun Kim;Kwangjo Kim
  5. Advances in Cryptology, Proceedings of Crypto '84, LNCS 196 Identity-based Crypto systms and Signature Schemes A.Shamir
  6. Advances in Cryptology, Proceedings of PKC '03, LNCS 2567 An Identity-based Signature from Gap Diffie-Hellman Groups J.Cha;J.Cheon
  7. Advances in Cryptology, Proceedings of CRYPTO '01, LNCS 2139 Identity Based Encryption from the Weil Pairing D.Boneh;M.Franklin
  8. Proceedings of ACISP2001, LNCS 2119 Secure Mobile Agent using Strong Non-designated Proxy Signature Byoungcheon Lee;Heesun Kim;Kwangjo Kim
  9. Advances in Cryptology, Proceedings of Eurocrypt '96, LNCS 1070 Security Profs for Signatures D.Pointcheval;J.Stern