효율적인 ID 기반 부분은닉서명에 관한 연구

A Study on Efficient ID-based Partially Blind Signature

Abstract

부분은닉서명은 서명자가 은닉서명을 발행할 때 그가 삽입하기를 원하는 어떠한 정보를 서명에 삽입할 수 있도록 하는 암호방식으로 전자화폐나 전자투표 등 주로 행위자의 행동이 노출되어서는 안되는 보안서비스에 중요하게 활용되며 전자화폐시스템에서 은행의 데이터베이스의 무제한적인 증가문제도 해결할 수 있는 암호방식이다. 본 논문에서는 GDH군에서의 ID 기반의 효율적인 부분은닉서명 방식을 제안한다. 제안한 방식은 Weil-pairing과 같은 bilinear 함수를 사용하며 CDHP의 어려움에 기반을 두고 있으며 기존의 부분은닉서명에 비하여 통신량, 통신횟수, 연산량을 줄여 무선 환경에 적용할 수 있는 효율적인 서명방식이다.

Partially blind signature scheme allows the signer to insert non-removable common information into his blind signature. Blind signatures providing with both users privacy and data authenticity are one of key parts of information systems, such anonymous electronic cash and electronic voting as typical examples. Partially blind signature, with which all expired e-cash but for still-alive can be removed from the banks database, copes well with the problem of unlimited growth of the banks' database in an electronic cash system. In this paper we propose an efficient ID-based partially blind signature scheme using the Weil-pairing on Gap Diffie-Hellman group. The security of our scheme relies on the hardness of Computational Diffie-Hellman Problem. The proposed scheme provides higher efficiency than existing partially blind signature schemes by using three-pass protocol between two participants, the signer and requesters also by reducing the computation load. Thus it can be efficiently used in wireless environment.

Ⅰ. 서론

은닉서명은 서명 의 뢰자가 서명 자로부터 메시 지의 내용을 보여주지 않고 메시지에 대한 유효한 서명 값을 얻는 서명방식이다. 즉, 서명의뢰자가 서명받고자 하는 메시지를 은닉한 은닉 데이터를 서명자에게 전달하면 서명자는 전달받은 은닉 데이터에 서명을 해서 서명의뢰자에게 다시 전달하고 서명 의뢰자는 서명된 은닉 데이터로부터 메시지에 대한 서명을 얻는 방식이다. 이 때, 서명자는 은닉서명 발행 프로토콜을 통해 생성한 메시지와 대응되는 서명 쌍에 대해 그 유효성을 검증할 수는 있으나, 메시지와 대응되는 서명 쌍을 서로 연결시킬 수는 없어야한다. 이와 같이 은닉서명은 서명의뢰자의 익명성을 보호하는 서명방식으로 개인의 프라이버시가 중시되는 현대사회에 필수적으로 요구되는 암호방식 중의 하나이다. 전자화폐나 전자투표 등 주로 행위자의 행동이 노출되어서는 안되는 보안서비스에 중요하게 활용된다 E

은닉서명방식은 1982년 D. Chaum'기에 의해서 처음 소개되었다. 이 방식은 소인수분해 문제(IFP: Inte­ ger Factorization Problem)의 어려움에 기반한 RSA 서명 방식 이을 이용한 은닉서명방식이다. 그러나 1999년 J.S. Coron, D. Naccache와 J.P. S* ten 등은 2개의 서명으로부터 정당하지 않은 서명을 만들 수 있다는 RSA 서명방식의 문제점을 발견했다. 이 후, 2000년 C. I. Fan, W. K. Chen와 Y. S. Yeh°〕은 랜덤화 특성을 가지는 RSA 암호 방식에 기반한 은닉서명 방식을 제안하여 D. Chaum의 은닉서명 방식을 개선하였다. 유한체 상에서의 이산 로그를 찾는 문제에 기반한 서명 방식을 이용한 ElGamal161 유형의 은닉 서명 방식으로 대표적인 것은 1992년 T. OkamatoE가 제안한 SchnoiT® 기반의 은닉서명 방식이 있다. 이산대수 문제에 기반한 은닉서명의 또 다른 예로는, 1994년 J. Camenish, J-M Piveteau와 M. Stadler回이 미국 표준인 DSA㈣ 및 메시지 복원형 전자서명인 Nyberge- Ruppel 서명방식'新을 기반으로 한 은닉 서명 방식이 있으며, 같은 해인 1994년 P. Hotter, M. Michels과 H. Petersen"지도 이산대수 문제에 기반한 일반적인 형태의 은닉서명 방식을 제시하였다. 그 후, 1997년 D. Pointchevel과 J. Stem"'은 이차잉여 이론에 기반한 은닉 서 명 방식 을 제 시 하였다.

은닉성과 불추적성을 제공하는 은닉서명은 사용자의 익명성이 요구되는 전자 투표나 전자화폐 등에 사용된다. 그러나 전자화폐시스템은 전자적 특성상 쉽게 위조될 수 있다는 문제점이 있다. 전자화폐의 이중사용을 방지하기 위하여 은행은 전자화폐 자체가 특수한 구조를 가지도록 함으로써 매 지불시 마다 등록되는 데이터가 거의 동시에 모든 데이터베이스에 기록되도록 하여 이중 사용을 검출할 수 있다. 그러나 이미 사용된 모든 전자화폐들에 대한 데이터베이스를 구축해야 한다는 사실은 데이터베이스의 크기가 무제한적으로 증가하게 되며 또한 이에 대한 막대한 비용이 소요됨을 암시한다. 은행의 데이터베이스의 무제한적인 증가 문제를 해결하기 위하여 부분은닉서 명 방식 이 제 안되 었다.

부분은닉서명방식이란 서명자(은행)가 은닉 서명을 발행할 때 그가 삽입하기를 원하는 어떠한 공통정보를 서명에 삽입할 수 있도록 하는 암호방식이다. 서명에 삽입되는 공통정보를 이용하여 위의 문제를 해결할 수 있다. 예를 들어, 부분은닉서명을 사용하여 은행은 모든 전자화폐에 만료부(expiration data)와 같은 합의된 공통정보를 삽입하여 사용자(서명의뢰자) 에게 발행한다. 은행은 전자화폐에 삽입된 공통정보를 통하여 후에 사용자가 사용하여 기간 만료된 전자화폐는 테이터베이스에서 제거하고 만료일이 지나지 않은 유효한 전자화폐만을 데이터베이스에 보관함으로써 방대한 데이터베이스 구축에 대한 부담을 해소하고 전자화폐의 이중사용문제도 해결할 수 있다. 그러므로 효과적이고도 안전한 부분 은닉 서명 방식을 시급히 요구되고 있다.

본 논문에서는 계산적 Diffie-Hellman 문제의 어려움에 기반하는 서명자와 서명의뢰자간의 3-pass 프로토콜로 서명이 생성되는 효율적인 ID 기반 은닉 서명 방식과 ID 기반 부분은닉서명 방식을 제안한다. 제안하는 ID 기반 부분은닉서명 방식은 기존의 부분 은닉 서명 방식에 비하여 연산량과 통신량이 작아서 이동통신 환경이나 스마트카드 등에 적용할 수 있는 효율적인 서명방식이다. 제안하는 서명 방식은 Gap Diffie-Hellman 군에서 성립하고 bilinear성질을 가진 함수를 이용하여 서명을 검증한다. 제안하는 ID 기반 부분은닉서명 방식에서 공통정보와 그에 연관된해쉬값을 제거하면 ID 기반 은닉서명 방식이 된다.

본 논문의 구성은 다음과 같다. 1장의 서론에 이어 2장에서는 기존의 부분은닉서명 방식들을 설명하고, 3장에서는 본 논문에서 제안하는 서명 방식에 사용된 안전성 기반 문제와 서명 검증에 사용된 함수에 대하여 설명하고 본 논문에서 제안하는 새로운 ID 기반 부분은닉서명방식과 ID 기반 은닉 서명 방식을 설명한다. 4장에서는 본 논문에서 제안한 ID 기반 부분은닉서명방식을 분석하고 안전성과 효율성에 대해서 살펴보고 기존의 부분은닉서명 방식들과 본 논문에서 제안한 부분은닉서명 방식을 서로 비교한다. 마지막으로 5장에서 결론을 도출한다.

Ⅱ. 부분은닉서명 방식

부분은닉서명방식이란 서명자가 은닉서명을 발행할 때 그가 삽입하기를 원하는 어떠한 공통정보를 서명에 직접 삽입할 수 있도록 하는 암호방식이다. 부분은닉서명 방식은 서명자가 메시지와 그 서명 값을 제시받은 경우에 서명자는 서명 값의 정당성 여부를 검증 할 수 있어야 하지만 서명 방식 수행과정에서 얻은 정보로부터 은닉부분을 추측할 수 없고 메시지와 대응되는 서명을 서로 연관시키는 것이 계산적으로 불가능하다. 그러나 일반 은닉서명에서 서명자는 서명 내용을 전혀 알 수 없지만 부분 은닉 서명에서는 서명자가 자신이 삽입한 정보가 서명에 포함된다는 것을 확신할 수 있어야 한다. 또한 서명 의뢰자가 그 삽입된 공통정보를 제거하거나 변형할 수 없어야 한다. 공통정보는 전자화폐의 유효기간, 전자화폐의 금액, 티켓(anonymous ticket)5] 가치(액)와 유효기간 등을 나타내는 정보로 활용할 수 있다. 공통정보는 서명의뢰자와. 서명자가 사전에 서로 합의한 내용일 수도 있고 서명의뢰자가 서명자에게 전달하거나 또는 서명자가 은닉서명에 포함시키기 위해 서명 의뢰자에게 전달하는 내용일수도 있다. 본 논문에서 사용된 공통정보는 사전에 사용자와 서명자간에 서로 합의된 내용으로 가정한다.

부분은닉서명방식은 다음의 두 가지 성질을 만족한다.

- 부부은닉성(Partial Blindness): 서명의뢰자는 서명자로부터 메시지의 내용을 보여주지 않고 메시지에 대한 유효한 서명 값을 얻을 수 있고 서명자는 삽입하고자 하는 정보를 서명에 삽입할 수 있다.

- 익명성 (Anonymity, Untraceability): 서명자는 공개되는 정보로부터 은닉부분을 추측할 수 없고 서명 방식 수행과정에서 얻은 정보와 서명검증을 위해 수신한 메시지-서명 쌍을 서로 연결시킬 수 없다.

부분은닉서명방식은 암호 프로토콜 참가자의 익명성이 요구되어지는 암호 응용분야에 있어서는 필수적으로 요구되어지는 기본적인 암호 기법으로 전자 투표나 전자화폐 등에 이용되고 있다.

부분은닉서명방식은 다음의 세 단계로 구성된다.

1. 초기화단계: 서명자가 시스템 파라미터를 생성, 등록(공개)하는 단계이다.

2. 서명생성단계: 서명의뢰자가 은닉서명을 받고자 하는 메시지를 암호화해서 서명자에게 전달하고 서명자가 전달받은 은닉된 메시지에 그가 삽입하려는 정보를 삽입하여 서명을 해서 서명 의뢰자에게 다시 전달하면 서명의뢰자는 전달받은 결과로부터 서명을 획득하는 단계이다.

3. 서명검증단계: 서명의뢰자가 서명자로부터 전달받은 결과로부터 획득한 서명이 정당한지를 검증하는 단계이다.

부분은닉서명방식은 1996년 M. Abe와 E. Fujisaki1141 에 의해 소개되었다. 이 방식은 RSA를 이용한 서명 방식으로 소인수분해 문제(IFP: Integer Factorization Problem)의 어려움에 기반한 부분은닉서명방식이다. 이산대수 문제(DLP: Discrete Logarithm Problem)S] 어려움에 기반한 부분은닉서명 방식으로 대표적인 것은 1997년 M. Abe와 Jan Camenisch"可가 제안한 Schnorr 기반의 서명방식이 있다. 1998년 C. I. Fan과 C. L. Lei网는 이차잉여(QR: Quadratic Residues)에 기반한 부분은닉서명 방식을 발표하였다. 이들은 Rabin 암호방식 皿을 사용하였다. 이후, 2001년 H. Y. Chien, J. K. Jan와 Y. M. Tseng网은 RSA 암호방식에 기반한 부분 은닉 서명 방식을 발표하였다.

본 장에서는 기존에 발표되었던 부분은닉서명 방식들에 대하여 약술한다.

2.1 Abe-Fujisaki 부분은닉서명

[초기화단계]

서명자3는 RSA암호 방식과 같은 방법으로 p, q, t>q, /! = (/>一l)(q-l)와 공개 일방향 해쉬함수 H를 설정한다. c는 부분은닉서명에 삽입할 공통정보로 사전에 서명의뢰자와 서명자간에 서로 합의된 내용이다. 공통정보는 전자화폐의 유효기간, 전자화폐의 금액, 티켓의 가치(액)와 유효기간등을 나타내는 정보로 활용할 수 있다.

[서명생성단계]

서명의뢰자4는 메시지必에 대한 부분 은닉 서명을 의뢰하기 위해 난수 r 丘 湯;을 선택하고 소수생성함수 r를 이용하여 4= Rc)를 계산한다. Z=H{M)re, mod n 을 계산하여 서명자3에게 Z을 전송한다. 서명의뢰자 A로부터 Z를 전송 받은 서명자B는 소수생성함수 z를 이용하여 ec=z(c) 를 계산하고 °”"戶1 mod A 를 만족하는 비밀값 d를 구한다. 血를 이용하여 7性 NSnod;/를 계산하고 了를 서명의뢰자A에게 전송한다. 서명자3로부터 T를 전달받은 서명 의뢰자 4는 자신이 처음 선택한 난수, 로 T를 나누어 메시지心 에 대한 서명 S=~^~ mod 如를 획득한다.

[서명 검증단계]

메시지 M의 서명 S= FKMM mod %의 검증은 S』 H(M) mod %이 성립하는지 확인함으로써 이루어진다.

(그림 1) Abe-Fujisaki 부분은닉서명 생성단계

2.2 Abe-Camenisch 부분은닉서명

[초기화단계]

Schnorr 암호방식과 같은 시스템 파라미터 p, q, g와 공개 일방향 해쉬함수丑를 사용하며 서명자3 는 비밀키 %, %2丘4에 대응되는 공캐키 H=g”, % = g* 를 설정한다. C는 부분은닉서명에 삽입할 공통정보로 사전에 서명의뢰자와 서명자간에 서로 합의된 내용이다. 공통정보는 전자화폐의 유효기간, 전자화폐의 금액, 티켓의 가치(액)와 유효기간등을 나타내는 정보로 활용할 수 있다.

[서명생성단계]

서명의뢰자 4가 서명자 B에게 메시지 Af에 대한 부분 은닉 서명을 요청하면 서명자 B는 난수 k Mr乙 를 선택하고 Z=gk mod 0를 계산하여 Z를 서명 의뢰자4에게 전송한다. Z를 전달받은 서명의뢰자 A는 난수 a, bv rZq를 선택하고 t= Zga(.yiy2)b mod p, s = H(c II Af II t), r= w— a mod q을 계산하여 서명자 B에게 /을 전송한다. 서명의뢰자厶로부터 z.를 _{전송 받은 서명자 3는 s, =} 占了 _{mod q을 계산} CXi 十하여 서명의뢰자 4에게 s'을 전송한다. 서명자 3로부터 s'을 전달받은 서명의뢰자A는 s=s' + Z>modg 을 계산하여 메시지 Af에 대한 서명 Sig = (c, w, s) 를 획득한다.

〔그림 2〕Abe-Camenisch 부분은닉서명 생성단계

[서명 검증단계]

메시지 AT의 서명 Sig= (c, w, s)의 검증은 w = H(시UI씨|g"332)‘)이 성립하는지 확인함으로써 이루어지며 식 성립과정은 다음과 같다.

#

2.3 Fan-Lei 부분은닉서명

시스템 파라미터는 Rabin 암호방식과 같다. 서명자3는 p=q=3 mod 4를 만족하는 서로 다른 큰 소수 P, g를 선택하고 " = 如를 계산한다. H는 일방향 해쉬 함수이고, c는 부분은닉서명에 삽입할 공통정보로 사전에 서명의뢰자와 서명자간에 서로 합의된 내용이다. 공통정보는 전자화폐의 유효기간, 전자화폐의 금액, 티켓의 가치(액)와 유효기간등을 나타내는 정보로 활용할 수 있다.

(그림 3) Fan-Lei 부분은닉서명 생성단계

[서명 생성단계]

서명의뢰자 A는 메시지 A/에 대한 부분 은닉 서명을 의뢰하기 위해 난수 u, 燮 를 선택하여 H(M) (w2 + v2) mod 勿를 계산하고 서명자 3에게 a를 전송한다. a를 전송받은 서명자 B는 상에서 H(c) (a(x2 + 1) )3 mod 如가 QR이 되는 난수 x w 「을 선택하여 서명의뢰자 A에게 X를 전송한다. *를 전송받은 서명의뢰자 厶는 난수 b%;를 선택하고 <5 = Z>4 mod n, 8 = &、u— ux) mod "를 계산하여 서명자 3에게 隱 전송한다. B를 전송받은 서명자 B 는 人 = 尸 mod 如를 계산한다. 서명자 B는 ts = H(c)(a(/ +1))3炉 mod 勿를 계산하고 尹의 근 중의 하나인 t를 선택하여 人와 t를 서명의뢰자 厶에게 전송한다. 人와 t를 전송받은 서명의뢰자 A는 w = 8A(ux+ V) mod ”와 s= b31 mod 耸를 계산하여 메 시 지 Af 에 대 한 서 명 Sig = (c, 勿, s) 를 획득한다.

[서명 검증단계]

메시지 A/의 서명 Sig= (c, 犯, s) 의 검증은 s8 = H(c)(H(A/)(/+1))3 mod " 이 성립하는지 확인함으로써 이루어지며 식 성립과정은 다음과 같다.

#

2.4 Chien-Jan-Tseng 은닉서명

[초기화단계]

서명자B는 RSA암호 방식과 같은 방법으로 비밀키 d, 공개키 e를 설정한다. H는 일방향 해쉬 함수이고, c는 부분은닉서명에 삽입할 공통정보로 사전에 서명의뢰자와 서명자간에 서로 합의된 내용이다. 공통정보는 전자화폐의 유효기간, 전자화폐의 금액, 티켓의 가치(액)와 유효기간등을 나타내는 정보로 활용할 수 있다.

[서명 생성단계]

서명의뢰자 A는 메시지 心에 대한 부분은닉 서명을 의뢰하기 위해 난수 r, Me rZ* “를 선택하여 am reH(.M)(.u2 +1) mod 〃를 계산하고 서명자B에게 a를 전송하고 서명자 B는 난수 XV Z”을 선택하여 서명의뢰자 A에게 X를 전송한다. '를 전송받은 서명의뢰자 4는 난수 /e 広를 선택하고 b=r- r, B= be(u — x) mod ”를 계산하여 서명자 3에게 B를 전송한다. B를 전송받은 서명자 3는 人 = 广 mod "와 t=H(c)d(a(x2 + l)A2)2d mod ”를 계산하여 人와 t를 서명의뢰자 4에게 전송한다. 人와 t를 전송받은 서명의뢰자 /I는 w= (zzx+ l)^/>2 mod 儿와 s= t /产 mod s를 계산하여 메시지 M에 대한 서명 Sig = (c, w, s) 를 획득한다.

(그림 4] Chien-Jan-Tseng 부분은닉서명 생성단계

[서명 검증단계]

메시지 M의 서명 SZg = (c, w, s) 의 검증은 = H(c)H(%2("2+])2 mod 如이 성립하는지 확인함으로써 이루어지며 식 성립과정은 다음과 같다.

#

Ⅲ. 새로운 ID 기반의 부분은닉서명

제안한 ID 기반 부분은닉서명방식을 설명하기에 앞서 우선 제안한 방식에 사용된 안전성 기반 문제와 서명 검증에 사용된 함수에 대하여 먼저 3.1 절에서 설명하고 3.2절에서는 본 논문에서 제안한 방식의 기반이 되는 Cha-Cheon의 ID 기반 서명 방식을 설명한다. 그리고 3.3절에서는 본 논문에서 제안한 새로운 ID 기반 부분은닉서명방식을 소개한다.

3.1 GDHP와 Weil-pairing

관용 암호 방식에서의 키 관리 문제 등을 해결하기 위하여 1976년 W. Diffie와 M. Hellman㈣이 공개키 암호 방식의 개념을 제안한 이후 IFP나 DLP에 기반한 여러 공개키 암호 방식들이 제안되었다. DLP 를 이용한 암호 방식의 안전성은 Diffie-Hellman 시스템의 어려움에 기반하고 있다. Diffie-Hellman 문제는 계산적 Diffie-Hellman 문제, 결정적 Diffie-Hellman 문제, Gap Diffie-Hellman 문제로 분류되며 본 논문에서 사용하는 Diffie-Hellman 문제를 정리하면 다음과 같다.

- 계산적 Diffie-Hellman 문제 (CDHP: Computaticmal Diffie- Hellman Problem)

: P, 履, 와 Z沪로부터 abP를 계산하는 문제

- 결정저 Diffie-Hellman 문제(DDHP: Decisi。函 DifHe・ Hellman Problem)

:P, aP, 碩와 cF로부터 인지를 결정하는 문제

G 은 타원곡선 Ft 위의 점들로 이루어진 군으로생성원 F를 갖는 순환군(cyclic group)이고 a, b, cv Zi 2 이다. 위 문제들 사이의 관계를 살펴보면 CDH並가해결되면 DDHP가 해결됨을 알 수 있다. 그러나 이들의 동치관계에 대하여 수많은 노력이 있었지만 그 역의 성립에 대하여는 알려진 사실이 없다. 이에 대하여 2(X)1 년 T. Okamoto와 D. Pointcheval㈣은 CDHP 와 DDHP 해결의 어려움에 차이가 있을 경우, 이 차이에 기반한 서명 방식의 존재가능성을 제시하였다. 그들은 CDHP의 해결은 어려우면서, DDHP의 해결은 쉬운 군(Group)을 Gap Diffie-Hellman(GDH) 군 이라 고정의 하고 이러한 문제를 GDH 문제라고 하였다. 즉,

- Gap Diffie-Hellman 무제 (GDFP : Gap Diffie-Hellman Problem)

: P, oP와 3F로부터 DDH Oracle을 이용하여 abP 를 계산하는 문제

GDHP 특성을 만족하는 예로는 Weil-pairingo] 있다. GDH군을 찾기 위해 많은 학자들의 연구가 이루어지고 있지만, Weil-pairing과 같은 bilinear 함수를 적용한 초특이 타원곡선을 제외하고는 현재까지 알려진 GDH군은 존재하지 않는다. Weil-pairing은 초 특이 타원곡선상에서 정의되는 bilinear 함수로써 정의는 다음과 같다.刖

G 과 는 위수가 소수 / 인 순환군이다. G 은 타원곡선 F, 위의 점들로 이루어진 군이고 G2 는 P 彼 의 부분군으로 Gi 은 덧셈군이며 G2 는 곱셈 군이 된다. 함수 e: Gx Gi G2 가 다음 조건을 만족하면 e 를 Weil-pairing 이라고 한다.

-Bilinearity

: 임의의 F, Q R 丘 0와 <z, 3 后 Z7 / 에 대하여 e(aP, bQ) = e(P, Q'严 또는

e(P+ Q.R-) = e{P, R) . e(Q, R),

e(P, Q+7?)= e(P, Q) - e(P, R)를 만족한다.

-Identity

: 임의의 尸 wG]에 대하여。( 尸, 尸) = 1를 만족한다

-Alternation

: 임의의 p, a wg에 대하여

e(F, Q) = e(Q, F)T 를 만족한다.

-Non-degeneracy

: 임의의 QnGi 에 대하여 e(P, Q)=l 이면 P는 무한원점 (0) 이다.

-Efjjciency

: e(尸, Q) 의 계산이 효율적인 알고리즘이 존재한다.

타원곡선 위의 점 R aP, bP, cF가 주어졌다고 가정흐卜자. 이 때, CDHP 즉, P, aP, 碩가 주어졌을 때 abP 를 구하는 문제는 쉽게 해결되지 않는다. 그러나 DDHP 즉, P, aP, bP, cP 가 주어졌을 때 abP = cF가 성립하는지 결정하는 문제는 Weil -pairing 을 사용하여 e(、aP, bP、)= e(、P, cP)가 성립하는지를 확인함으로써 쉽게 해결할 수 있다. 식 e(aP, bP、) = e(P, cP) 이 성립하면 (P, aP, bP, cP) 은 DDH 쌍이 된다. 따라서 이들은 GDHP 특성을 만족하는 예로써 암호 방식 등에 사용할 수 있다.

2001년 D. Bonech, B. Lym와 H. Shacham四은 타원 곡선상에 서 의 이 산대 수문제(DLP: Discrete Logar­ ithm Problem)의 공격에 이용되었던 Weil-pai血g을 암호에 응용하여, GDH군에서 실제로 구현 가능한 새로운 서명 방식을 제안하였다. 그들은 서명을 수신한 사람은 누구든지 수신된 서명의 정당성을 쉽게 확인할 수 있어야 하지만, 서명의 생성자 이외에는 누구도 서명을 생성할수 없어야한다는 사실에 착안하여 GDHP 특성을 만족하는 예를 찾았다. 그리고 같은 년 도에 D. Boneh와 D. Franklin㈣은 Weil-pairing을 이용한 ID 기반의 암호 방식도 제안하였으며 2003년에는 J. Cha와 J. Cheon网이 GDH군에서의 ID 기반 서명 방식을 제안하였다. GDH군을 이용한 새로운 형태의 암호 방식은 최근 활발히 연구되고 있다.

3.2 Cha-Cheon ID 기반 서명

[초기화단계]

- G : 소수 / 을 위수로 가지는 GDH군

-P : G의 생성원

- e : bilinear 함수

-Hi:{* 0, 1} xG—>Z/£, H₂:*-{G 0, l}

: 충돌 회피 해쉬함수

-IDb : B 의 ID

-b (、任기2、) : 서명자B의 마스터키

(그림 5) 제안하는 ID 기반 부분은닉 서명생성단계

-Qb=H₂(IDb) : B의 R와 관련된 공개키

-DB= b ■ H₂(IDB) = bQB

: 3의 丑)와 관련된 비밀키

- Pb = bP : 공개

-M : 서명될 메시지 [서명 생성단계]

서명자3는 난수 rvZ" 를 선택하고 U= rQB, k = ")와 V= 35Db를 계산하여 sig = ([/, U)을 메시지 M에 대한 서명으로 정의한다. [서명 검증단계]

메시지 Af 의 서명 就g의 검증은 bilinear 함수 e를 사용하여 e(PB> U* +hQ e(P, F)인지 확인함으로써 이루어진다. 식 성립과정은 다음과 같다.

e(PB , U+ hQB) = e{bP, rQB + hQB )

=e(P, {r+K)QB)b

=e(P, (r+ H)bQB ) =e(P, (r+ H)Db ) =e(P, V)

3.3 제안하는 ID 기반 부분은닉서명

1984년 Shamir^는 가입자의 개인 신분정보를 일방향 함수(one-way function)로 하여 공개키를 형성하는 ID 기반 시스템 개념을 제안하여 기존의 인증서 (certification) 기반 공개키 기반구조(PKI: Public Key Infrastructure) 의 키 관리 절차를 간단히 하였다. 이후 ID 기반의 암호 방식 및 서명 방식은 대부분 IFP 를 기반으로 하여 제안되었다. Y. Desmedt와 J. Qui- squater岡는 일방향 함수의 계산 복잡성을 이용하는 대신에 장치의 tamperfreeness에 기반하는 방식을 제안하고 H. Tanaka^Tl 는 dlP와 IFP 둘 다를 기반으로 하는 혼합된 형태로써 threshold 방식을 이용하여 제안하였다. DLP를 기반으로 한 암호 방식은 S. Tsujii, T. Itho와 K. Kurosawa㈣에 의해 제안되었다. 최근 D. Boneh와 D. Franklin㈣은 Weil-pairing을 이용한 새로운 ID 기반의 암호 방식을 제안하고 이를 기초로 하여 J. Cha와 J. Cheon㈣는 ID 기반의 서명 방식을 제안하였다

본 논문은 [24]의 서명 방식을 토대로 한 ID 기반 은닉 서명 방식과 ID 기반 부분은닉서명 방식을 제안한다. 본 논문에서 제안하는 방식들은 기존 방식과 달리 GDHP를 기반으로 하고 있으며 서명검증과정은 Weil-pairing과 같은 bilinear함수를 사용하여 이루어진다. 다음은 제안하는 ID 기반 부분 은닉 서명 방식의 초기화단계, 서명 생성단계, 서명 검증단계 이다.

[초기화단계]

- G : 소수 /을 위수로 가지는 GDH군

- F: G의 생성원

- e : bilinear 함수

-孤:{0* , 1} xG-Z/Z,

丑2:{*-> 0, 1} (;, 丑3:{* 0, 1}

-zw : 충돌 회피 해쉬함수

- IDg : B 의 ID

- b (vZ/Z) : 서명자B의 마스터키

- Qb=H₂(IDb) : B의 刀와 관련된 공개키

-Db= b . HAIDQ = bQB

: 3의 丑)와 관련된 비밀키 - PB=bP '. 공개

- C : 부분은닉서명에 삽입할 공통정보로 사전에 서명 의뢰자와 서명자간에 서로 합의된 내용이다. 공통정보는 전자화폐의 유효기간, 전자화폐의 금액, 티켓의 가치(액)와 유효기간 등을 나타내는 정보로 활용할 수 있다.

- M : 서명될 메시지

[서명생성단계]

서명의뢰자 厶에게 서명요청을 받은 서명자 B는 난수 tU기 2 를 선택하여 T="Qb를 계산하고 서명의뢰자 4에게 T를 전달한다. T를 전달받은 서명의뢰자 4는 메시지 M을 은닉하기 위해 난수 作ZE 을 "=‘(T+Qb), hi = HAM, U), h2 = H₃(O 와 X= (广1知+ 妫)@를 계산하여 서명자 3에게 X를 전송한다. X를 전송 받은 서명자 3는 h2 = HAO와 Y= (bX+thmb를 계산하여 서명의뢰자 4에게 丫를 전송한다. 서명의뢰자 A는 전달받은 Y 를 자신이 처음 선택한 난수 /로 곱하여 y= z* ■를계산하고 서명 sig= (C, U, V)를 획득한다.

[서명 검증단계]

메시지 肱의 서명 sig= (C, U, V)의 검증은 (F, 姻 W)가 DDH쌍인지 확인함으로써 이루어진다. 즉, bilinear 함수 e를 사용하여 e(PB, hxQB 十彻。)= e(P, V)인지 확인한다. 식 성립과정은 다음과 같다.

e{PB, hlQB+h2U')

=e(bP, hlQB+h2r(T+ QB))

=e(P, hiQg+hirtQB+ h2rQB)b

=e(P, br(广%Qb+FQb+Z^Qb))

=e(、P, r{ b(r^lhi + h2)QB+ h2tbQB))

=e(P, r(bX+th2DB))

=e( P, rY)

=e(P, V)

제안하는 ID 기반 부분은닉서명 방식에서 공통정보 C와 그에 연관된 값/Z2=H₃(C)를 제외하면 본 논문에서 제안하는 방식은 ID 기반 은닉서명 방식이 된다. 제안하는 ID 기반 은닉서명 방식의 안전성은 ID 기반 부분은닉서명 방식과 같다.

Ⅳ. 제안하는 ID 기반 부분은닉서명 분석

본 장에서는 제안하는 ID 기반의 부분 은닉 서명 방식이 전자서명요구조건인 유일성, 위조 불가능성, 진위 확인의 용이성, 거부의 불가능성의 조건을 만족함을 보인다. 그리고 제안하는 서명방식이 랜덤 성을 제공하고 있음을 보이고 부분은닉서명이 갖추어야 할 부분은닉성과 익명성의 조건을 만족함을 보인다. 또한 제안하는 서명방식의 안전성과 효율성에 대하여 살펴보고 기존에 발표되었던 부분 은닉 서명 방식들과 본 논문에서 제안하는 ID 기반 부분 은닉 서명 방식을 서로 비교한다.

4.1 전자서명조건

제안하는 서명 방식은 전자 서명이 갖는 요구 조건인 유일성, 위조 불가능성, 진위 확인의 용이성, 거부의 불가능성의 조건을 모두 만족한다. 서명 sig = (C, U, V)에는 서명자B의 마스터키 3가 삽입되었기 때문에 서명자3이외의 어느 누구도 서명을 생성할 수 없고 또한 서명 sig= (C, U, 丫)에는 서명의뢰자 A의 난수 尸이 삽입되었기 때문에 서명을 위조할 수도 없다. 그리고 제안하는 서명방식은 bilinear 함수를 이용하여 누구든지 서명의 진위 여부를 쉽게 확인할 수 있으며, 서명생성단계에서 서명자B의 마스터키 3가 사용되기 때문에 사용자3만이 합법적인 서명을 생성할 수 있다. 만약 서명자B가 후에 자신이 서명한 사실을 부인할 경우 특수서명인 부인 방지 서명을 이용해서 서명의 부인을 방지할 수 있다.

4.2 랜덤성

제안하는 서명 방식은 랜덤화 특성을 갖는다. 서명자 B는 서명생성단계에서 서명을 생성하기 전에 서명의뢰자 A로부터 전달받은 은닉된 데이터 X에 비밀난수 /를 삽입한다. 서명의뢰자 4가 서명에 삽입된 난수 覆 제거하거나 수정하려고 하더라도 T= tQB 이나 丫= (3X+心2〃b)로부터 t를 구하는 것은 이산대수 문제이므로 난수 t를 구하는 것은 계산적으로 불가능하다. 이러한 랜덤화 특성으로 인하여 선택평문공격 (chosen plaintext attacks)으로부터 제안한 부분은닉 서명은 안전하다.

4.3 부분은닉성

서명자 3가 서명의뢰자 A로부터 전달받은 X는 서명의뢰자 4가 선택한 비밀 난수 广을 곱한 “와 메시지 M을 함께 해쉬함수 Hi으로 적용한 다음 그 값을 다시 난수 , 의 역원과 Qb로 곱한 결과값이기때문에 서명자3는 자신이 서명할 메시지 M에 대한내용을 전혀 알 수가 없다. 그러나 서명자3는 서명 s谚=(C, ", 7) 에 그가 삽입 하고자하는 정보 C를 삽입할 수는 있다. 그러므로 제안하는 서명 방식에서는 서명의뢰자가 서명자에게 메시지의 내용을 보여주지 않고 메시지에 대한 유효한 서명을 얻을 수 있고, 서명자는 비록 서명 내용을 전혀 알 수 없더라도 공통정보를 은닉서명에 포함시킬 수 있다. 그리고 서명자 B가 공통정보 C를 자신이 직접 서명에 삽입하므로 서명자 3는 삽입한 정보 C가 서명에 포함된다는 것을 확신할 수 있다 또한 서명 sig={C, U, V)의 V= rY^r(bX+th2DB)값은 공통정보 C에 대한해쉬함수 丑3의 값 炳 = 丑3((負와 서명자 B의 마스터키3와 비밀 난수 t로 이루어진 값이기 때문에 서명의뢰자 A 는 서명 s谚 =(C, 에 삽입된 공통정보 C를 제거하거나 변형할 수 없다.

4.4 익명성

서명 sig= (C, U, V) 에는 서명의뢰자 4의 신원을 연관시킬 정보가 아무것도 존재하지 않고 U = x(T+Qb)나 /= 了丫로부터 은닉정보 7을 구하는 것은 DLP이므로 계산상 불가능하다. 그러므로 서명자 3는 부분은닉서명방식을 통한 자신의 서명생성단계수행과정에서 얻은 정보와 서명검증을 위해 수신한 메시지-서명 쌍을 서로 연결시키는 것은 불가능하다. 따라서 제안하는 서명방식은 서명의뢰자의 익명성을 보호하며 서명의뢰자의 신원을 추정하거나 추적하는 것이 불가능하다.

4.5 안전성

제안하는 방식은 [24]의 서명방식을 토대로 한 ID 기반 부분은닉서명방식으로, G가 GDH군이라면, 즉, CDH頂가 어렵다면, 제안하는 ID 기반 부분 은닉 서명 방식은 단순 위장 공격 (existential forgery attack) 에 대하여 안전하다.网

4.6 효율성

Abe-Fujisak의 부분은닉서명방식은 2회의 통신만으로 서명을 생성할 수 있다는 장점이 있지만 랜덤화특성을 가지지 않는다는 단점이 있으며, C. I. Fan과 C. L. Lei가 제안한 부분은닉서명방식은 2002년 M. S. Hwang, C. C. Lee와 Y. C. Lai网에 의해서 부분은닉 서명이 가져야할 추적불가능 성질을 만족하지 않음이 밝혀졌다. 본 논문에서 제안하는 부분은닉서명방식은전자서명이 가져야할 조건, 랜덤성, 부분은닉성, 익명성을 모두 만족하며, 기존의 부분은닉 서명 방식과는 달리 ID 기반 인증 모델을 적용하였기 때문에 공개키인증서가 필요 없으며, 타원곡선 암호방식을 적용하여 연산 속도를 향상시켰다. [표 1]에 기존 부분 은닉 서명 방식들의 연산량과 본 논문에서 제안하는 서명 방식의 연산량을 비교하였다. 일반적으로 타원곡선 이산대수는 이산대수에 비해 약 10배 이상의 성능향상이 있는 것으로 알려져 있다.㈣ 타원곡선 암호방식은 기본적으로 키의 비트수가 유한체에서의 연산에 비해 작다. 예를 들면 타원곡선에서의 160비트는 RSA에서 1024비트와 같은 안전성을 가진다. 그렇기 때문에 같은 연산을 하더라도 RSA 1024비트에서의 모듈라 지수 승 연산과 ECC 160비트의 스칼라 곱셈 연산은 연산 자체보다는 키 비트수(약1/6) 때문에 타원곡선에서의 연산이 더 빠른 것이다. 짧은 키 길이를 갖는다는 것은 대역폭과 메모리가 작아짐을 의미한다. 그리고 타원곡선 알고리즘은 하드웨어 이식이 쉽다. 이로 인해 메모리와 처리능력이 제한된 스마트카드나 이동단말기나 호출기와 같이 휴대형 시스템에 적용하기 쉽다. 또한 타원곡선상에서의 DHP는 IFP나 유한체상의 DH邛에 비해 효과적인 공격 방법이 현재까지 발견되지 않고 있다. 그러므로 본 논문에서 제안하는 ID 기반 부분은닉서명방식은 타원곡선상에서 연산이 이루어지므로 기존의 부분은닉서명방식에 비해 키의 크기를 줄여주고, 연산속도를 증가시킴으로써 서명을 생성, 검증하는데 걸리는 시간을 줄여준다. 따라서 제안한 방식은 적은 메모리 용량을 갖는 스마트카드나 휴대형 시스템에 적용할 수 있고 무선환경에서도 적용할 수 있는 간단하면서도 효과적인 서명 방식이다.

(표 1) 제안하는 ID 기반 부분은닉서명 방식과 기존 부분은닉서명 방식 비교

[표 1]은 본 논문에서 제안하는 ID 기반 부분은닉 서명 방식과 기존의 부분은닉서명 방식을 비교한 것이다. 여기에서 M은 모듈라 곱에 대한 연산랴 E는모듈라 지수승에 대한 연산량, I는 모듈라 역원에 대한 연산량, H는 해쉬함수의 연산량, A는 타원 곡선 위에서 스칼라곱에 대한 연산량, P는 타원곡선위에서 pairing에 대한 연산량을 의미한다. 제안하는 ID 기반 부분 은닉 서명은 [표 1]에서 보듯이 기존의 부분은닉 서명 방식들에 비하여 안전성을 강화시켰고 ID 기반인증 모델을 적용하였기 때문에 기존의 부분 은닉 서명 방식과는 달리 공개키 인증서가 필요 없으며 랜덤화 특성을 가지므로 선택평문공격으로부터 안전하다. 그리고 타원곡선상에서 연산이 이루어지므로 기존의 부분 은닉 서명 방식에 비해 서명을 생성, 검증하는데 걸리는 시간을 줄여준다. 제안한 방식은 3번의 통신 횟수로 부분은닉서명이 생성되며 기존방식에 비해 통신량을 크게 감소시킨 효율적인 서명방식이다. [표 1]의 통신량 분석에서 보듯이 제안한 방식은 Abe- Fujisak방식에 비해 약 77%의 통신량이 감소되었고 Fan-Lei방식과 d如i-Jan-Tseng방식에 비해서도 약 91% 의 통신량이 감소되었다.

Ⅴ. 결론 및 향후 연구방향

부분은닉서명은 은닉된 메시지에 어떠한 공통정보를 삽입할 수 있는 은닉서명방식으로, 은닉 서명 방식을 전자화폐시스템 등에 적용하였을 때 발생하는 데이터베이스의 무제한적인 증가 문제를 해결하여 전자상거래에 주요하게 활용된다. 그러나 최근 전자상거래가 유선 통신환경에서 무선통신환경으로 이동되어감에 따라 낮은 성능의 CPU, 적은 메모리용량의 제약, 무선화로 인한 통신속도의 둔화, 통신 에러 발생률의 증가 등 많은 제약조건을 갖는 무선환경에서도 적용할 수 있는 암호방식이 시급히 요구되고 있다.

본 논문에서 제안하는 ID 기반 인증 모델 부분 은닉 서명 방식은 GDHP의 어려움에 기반하고 있으며 타원 곡선상에서 연산이 이루어지므로 유한체 상에서의 어느 연산보다 연산속도가 빠르고 짧은 길이의 키에 비해 동등한 안전성을 가진다. 그리고 기존의 부분은닉 서명 방식에 비하여 통신량, 통신횟수, 연산량을 감소 시켜 효율성을 높였다. 그러므로 제안하는 ID 기반 부분은닉서명은 낮은 연산처리 능력에 제약을 받는 무선 환경이나 스마트 카드 등과 같은 다양한 응용 분야에 효과적으로 적용할 수 있다. 또한 제안하는 방식은 사용자의 정당성 확인과 동시에 사용자의 익명성을 제공하므로 전자상거래, 전자화폐, 전자 투표 등의 응용분야에 적용할 수 있다. 그러나 제안한 방식은 사용자가 불법행위를 할 경우 익명성을 제어하는 기능을 수행하지는 못한다. 익명성의 제한 없이 서비스를 제공하는 경우 익명성의 오용으로 인한 문제점 즉, 인터넷 범죄, 돈 세탁, 이중 투표 등의 역기능들이 발생한다. 제안한 ID 기반 부분은닉 서명은 향후 연구를 통해 사용자가 익명성을 악용하는 경우 이를 추적할 수 있는 사용자 익명성 제어 기능을 추가하여 더욱 발전시킬 수 있을 것이다. 추가적으로 PSS(Provable signature scheme)을 적용한다면 위장 공격에 대한 안전성을 더욱 높일 수 있을 것이다.