Ⅰ. 서론
서명권한의 위임은 다양한 환경에서 유용하게 사용된다. 예를 들어, 회사의 관리자는 자신이 출장이나 여행 등의 이유로 자리를 비울 경우에 자신의 서명 능력을 비서등과 같이 믿을 수 있는 사람에게 위임할 수 있다. 서명 능력을 위임받은 사람에게 어떤 문서가 주어지면, 관리자를 대신해서 서명을 수행할 수 있다. 즉, 관리자의 공백을 서명의 위 임을 통해 채울 수 있게 된다. 또한, 관리자들은 자신의 일 중에서 중요성이 낮아 다른 사람이 처리해도 되는 사안에 대한 서명을 부하직원 등에게 서명 권리의 위임을 통해 해결할 수 있다. 이 경우에는 관리자의 작업 부담을 줄일 수 있다는 장점을 제공할 수 있다. 그 외에도 많은 기능들이 서명권한의 위임을 통해 제공된다〔8〕. 이와 같이 유용한 서명 권한의 위임을 제공하는 방법으로 Mambo 등에 의해 프록시서명기법이 제안되었다〔8〕. 프록시 서명기법은 원래 서명자의 서명권한을 프록시 서명자에게 위임함으로써 원래 서명자 대신 프록시 서명자가 서명 값을 생성할 수 있도록 흐* ) 도구이다. 처음 제안된 프록시 서명에서는 한 명의 서명자가 한 명의 프록시 서명자에게 서명 권한을 위임할 수 있도록 구성되어 있다. 그러나 그와 같은 간단한 형태의 권리 위임 형태는 어떤 환경에서는 충분하지 않을 수도 있다. 그 이유로 다음과 같은 환경을 고려해볼 수 있다.
- 한 명의 프록시 서명자에게 서명권한을 위임하는 경우에는 프록시 서명자가 위임받은 권한을 오용하거나 남용할 수 있다. 이런 문제를 해결하기 위해서는 서명권한을 한 명의 프록시에게 위임하는 것보다 여러 명에게 나누어 위임하는 형태로 구성되는 것이 바람직하다.
- 위임을 하고자 하는 서명자가 여러 명인 환경을 고려할 수 있다. 즉, 한 명의 프록시에게 다수의 사용자가 자신의 서명권한을 위임하는 형태이다. 예를 들어, 집단의 구성원들이 한 명의 대표를 뽑고, 집단의 의견을 대표를 통해 나타내고자 하는 경우가 그러하다.
- 조직사회에서는 계층적인 구조가 일반적이기 때문에 연속된 형태의 서명권한의 위임이 요구된다. 0 라는 사용자가 P라는 사용자에게 서명권한을 위임하고, P는 자신이 위임받은 권한을 P, 에게 위임하기를 원할 수 있다. 예를 들어, 어떤 기업에서 사장이 자신의 서명권한을 부사장에게 위임하고, 부사장은 자신이 위임 받은 서명권한을 어떤 부서의 부장에게 위임하고자 할 수 있다. 회사에서 서명이 생성되어야 하는 문서는 많이 있고, 각 문서에 대한 중요성은 다르기 때문에 연속된 형태의 서명권한의 위임을 구성함으로써 일을 계층적으로 분산시킬 수 있다. 이와 같은 환경을 일반적으로 해결하기 위해서는 여러 계층을 갖는 구조를 제공하는 연속된 형태의 서명권한의 위임이 요구된다.
위에 언급된 환경들을 해결하기 위한 것으로 mul ti-proxy signature (13, 9), threshold proxy signature (01, 5, 12, 11, 6〕, proxy multi-signatures (7], multi-proxy multisignatures[4] 와 같은 다양한 종류의 프록시 서명 기법이 제안되었다. 그러나〔2〕에서 지적되었듯이, 기존의 기법들은 충분히 일반적이고 유동적이지 못했다. 즉, 모든 가능한 서명권한의 위임 형태를 제공하지 못한다. 가장 일반적이고 유동적인 위임 모델은 Aura에 의해 제안된 위임 네트워크〔3〕이고, ID 기반의 위임 네트워크가 〔2〕에서 제안되었다.〔2〕에서 제안된 위임 네트워크는 앞에서 언급된 모든 위임의 형태를 제공할 수 있을 정도로 일반적이고 유동적인 구조를 갖고 있다. 위임 네트워크가 N개의 노드(node)와 E개의 에지(edge)로 구성되어있다고 하자. 노드의 개수는 위임에 참여하는 사용자의 수를 의미하고 에지의 개수는 사용자 사이에 발생하는 서명 권한 위임의 개수를 의미한다. 이와 같은 가정에서, 기존의 ID 기반 위임 네트워크는 E번의 페어링 연산과 N번의 스칼라 곱셈을 사용한다. 한 명의 사용자가 두 명 이상의 사용자에게 서명권한을 위임할 수 있으므로 일반적으로 E는 N보다 크다고 할 수 있다. 또한 서로 서명 권한을 위 임하는 경우가 많아질수록 日가 증가하는 것이므로 연산양이 증가하게 된다. 그러므로 위임 네트워크의 복잡도가 증가할수록〔2〕에서 제안된 위 임 네트워크는 많은 연산을 요구하게 된다.
본 논문에서는 효율적인 ID 기반의 위임 네트워크를 제안한다.〔2〕에서 제안된 위임 네트워크는 E개의 에지를 검증하기 위해 E번의 페어링 연산이 수행되고, N개의 노드를 검증하기 위해 N번의 스칼라 곱셈이 수행되었다. 본 논문에서 제안하는 위임 네트워크는 E번의 페어링만 수행한다. 즉, N번의 스칼라 곱셈을 적게 사용한다. 또한 제안하는 위임 네트워크의 구성을 약간 변형함으로써 N번의 페어링만 사용하는 위 임 네트워크를 구성한다. N은 위임 네트워크에 참여하는 사용자수 이므로 네트워크의 복잡도가 증가하더라도 연산양이 증가하지 않는다. 그러므로 본 논문에서 제안하는 위임 네트워크와 제안하는 것은 변형된 것은 기존의 위임 네트워크보다 매우 효율적이다.
Ⅱ. 기본내용
2.1 Bilinear Maps
(q, +)와 (q, x)를 위수가 g인 두 순환군이라고 하자. bilinear 페어링은 e:G、x GtG? 로 정의되고 다음과 같은 특성을 만족한다.
1. Bilinearity. 모든 RQ/MG;에 대해
#
와
#
이 만족한다.
2. Non-degeneracy: e(、P, Q) 尹 1을 만족하는 두 포인트 EQeq가 존재한다.
3. Computability: 모든 £乍%에 대해서 e(、P, Q)를계산하는 효율적인 알고리즘이 존재한다.
위의 특성을 만족하는 bilinear map을 admissible bi linear tn叩 이라고 한다. 尸를 G, 의 생성원이라고 하고, a, 6, cW(GRq) 라고 하자. 암호학적으로 다음과 같은 문제들이 관심의 대상이 된다.
정의 1. (CDHP: Computational Diffie-Hellman Problem) 주어진 Q의 생성원 戶에 대해 (逐混P)가 주어지는 경우에, afcP를 계산하는 문제를 CDHP라고 한다.
정의 2. (DDHP: Decisional Diffie-Hellman Problem) 주어진 %의 생성원 户에 대해 SRbRcP)가 주어지는 경우에, ab = c mod q 인지 확인하는 문제를 DDHP라고 한다.
2.2 위임 네트워크에 대한 안전성 모델
결과적으로 얘기하자면, 제안하는 위임 네트워크의 안전성은 ROM(random oracle model) 가정 에서 CDHP를푸는 것과 동치이다. 본 논문에서는 위임 네트워크에서 생성하는 서명을 위조하는 공격 알고리즘 F에서 CDHP 를 푸는 알고리즘 A를 구성하는 형태로 제안하는 위임네트워크의 안전성을 보인다. F의 공격능력을 활용하기 위해서는 F의 공격환경을 구성해주어야 하므로 증명에서는 다음과 같은 F의 질의에 대한 응답을 구성해주어야 한다. 본 절에서는 제안하는 위임 네트워크에서 사용하는 설정으로 기반으로 설명하도록 한다.
2.2.1 ID 해쉬 오라클에 대한 질의 (Hash Queries on Oracle for Identity)
- F가 사용자 切의 鶴에 대한 공개키를 문의하면, H\g = Q 를 만족하는 공개키 Q.를 생성한다.
2.2.2 메시지 해쉬 오라클에 대한 질의 (Hash Queries on Oracle for Message)
- F가 메시지 m 에 대한 해쉬 값을 요구하면, 耳(m) = M 을 만족하는 해쉬값 M를 생성해준다.-
2.2.3 비밀키 생성 질의 (Private Key Extraction Queries)
- F가 사용자 q의 비밀키를 요구하면, 鶴에 대응되는 비밀키 d, 를 생성해준다. 4 =s&를 만족하는 값이고, s는 PKG(Private Key Generator)의 비밀키이다. 이경우에는 비밀키 생성 질의 이전에 绍에 대한 해쉬질의가 수행되었다고 가정한다.
2.2.4 프록시 서명키 생성 질의 (Proxy Signing Key Generation Queries)
- F가 사용자 q의 冯에 대한 프록시 서명키를 요구하면 해당되는 프록시 서명키 密를 생성한다.
2.2.5 최종 서명 질의 (Final Signing Qeries)
- F가 어떤 위임 네트워크에서 생성된 최종 서명을 요구하면 위임 네트워크에 대응되는 서명을 생성해준다.
제안하는 위임 네트워크에서는 프록시 서명키 생성 질의와 최종 서명 질의가 아래에서 진술될 각 사용자의 서명 생성 질의의 연속으로 구성된다. 그러므로 증명에서는 각 사용자의 서명 생성 질의에 대한 응답을 구성해줌으로써 프록시 서명키 생성 질의와 최종 서명 질의에 대한 응답으로 대체한다.
2.2.6 서명 질의 (Signing Queries)
- F가 사용자 耳의 m에 대한 서명을 요구하면 검증과정을 통과하는 서명을 생성해준다. 이 경우에는 서명생성 질의 이전에 zq에 대한 해쉬 질의와 메시지 m 에 대한 해쉬 질의가 수행된 것으로 가정한다.
제안하는 위임 네트워크의 안전성은〔14, 2〕 에서와마찬가지로 가장 강한 공격자를 고려한다.〔14, 2〕에서는 공격자가 공격하고자 하는 대상의 것을 제외한 모든 비밀키(프록시 서명키)를 알고 있는 것으로 가정한다. 위임 네트워크에 대한 공격자 F는 다음과 같이 정의된다. 위임 네트워크에 대한 안전성 모델은〔2〕에서 언급된 것을 인용하였으며, 본 논문에서는 해당 내용을 정의로 구성한 것이다.
정의 3. 위임 네트워크에 대한 위조 공격자 F는 아래의 조건을 만족흐卜는 서명 ("〃1, ..., 丑由7如..., 0她)을 생성하는 위조 공격자로 정의된다. 이 경우, 위임 네트워크의 구조는 7V개의 노드와 E개의 에지로 구성되어 있다고 가정하는데 7V은 위임에 참여하는 사용자의 수를 의미하고 E는 각 사용자간의 위임이 수행된 회수를 의미한다.
1. 서명은 검증과정은 통과한다.
2. F가 위조한 서명에는 비밀키 생성 질의가 수행되지 않은 사용자 耳에 대한 서명이 포함되어 있다.
3. F가 생성한 서명은 최종 서명 질의에 문의되지 않은 값이어야 하고, 특히 비밀키 생성 질의가 수행되지 않은 7R.에 대해서, 서명에 포함된 (冯, 凹) 는 서명 질의에 문의되지 않은 것이어야 한다.
직관적으로 위임 네트워크는 F가 의미 있는 서명을 생성할 확률이 매우 낮은 경우에 안전하다고 할 수 있다. 본 논문에서는 앞에서 언급된 것처럼 공격하고자 하는 사용자의 것을 제외한 모든 비밀키를 알고 있는 공격자 F를 가정한다. 정의 3에 정의된 공격자에 대한 위임네트워크의 안전성은 다음과 같이 정의된다.
정의 4. F를 위임 네트워크에 대한 (細 % % 臨-위조자 라고 흐}.자. 여기서 qHl, qH2, qS, qE 는 각각 ID에 대한 해쉬 질의의 개수, 메시지에 대한 해쉬 질의의 개수, 서명 질의의 개수 그리고 비밀키 생성 질의의 개수이다. 이때, F의 AdvF는 공격자 F가 정의 3에서 열거된 조건을 만족하는 의미 있는 서명을 생성하는 확률을 의미한다. 위 임 네트워크는 것은 공격자 F에 대해 충분히 큰 k에 대해서 다음과 같은 조건을 만족하는 함수 negZQ)。] 있는 경우에 안전하다고 한다:
Ach^}(电, qH, 奴)<旋9, (灼.
Ⅲ. 제안하는 위임 네트워크
본 절에서는 새로운 ID 기반의 위임 네트워크를 제안한다. 편의상 다음과 같은 기호를 사용하도록 한다.
[그림 1] 위임 네트워크의 예제
- Ea』: 사용자 6와 馬를 연결하는 에지
- AEa- 사용자 久의 모든 상위 에지들의 집합
- PEA: 사용자 S에 직접 연결된 모든 상위 에지들의 집합
- ANa: 사용자 U의 모든 상위 노드들의 집합
- PNa: 사용자 U에 직접 연결된 모든 상위 노드들의 집합
-M1=(miij|(i, j)eAEA), A4={R1.|(i, j)eAEA}
기호에 대한 이해를 돕기 위해 예를 들어 살펴보도록 하자. 叫』는 R 에서 乌로의 위 임 조건을 나타내는 메시지라고 하고, 4:느 q에서 q.로의 위임을 수행하는 과정에서 耳이 사上용하는 난수로 생성한 값이라고 하자. 紘는 %에서 %로 연결된 어지이고 4% = Eg PEb = E! 5, E3 5, AN^ = U1, U2>U3, ANS = UpUj6]다. 그리고 Ms = m23, m l, 5>m3, 5> Rs = RgRw’R&s 이다
3.1 위임 네트워크의 구성
본 소절에서는 제안하는 위임 네트워크의 구성을 살펴보도록 하자.
3.1.1 시스템 구성 및 키 생성
이 단계에서 PKG는 다음과 같은 과정의 수행으로 시스템을 구축한다.
1. 위수가 <?인 두 그룹 q과 q를 생성한다.
2. q의 생성원 戶를 선택하고 임의의 난수 s를 선택한 뒤 Q=sF를 계산한다.
3. 두 개의 암호학적 해쉬함수 4:{* T03, i l} , 马:q* x{o, i} —G]를 생성하고 e:qxq—q는 bilinear map 이라고 하자.
공개 시스템 변수는 (、G\、G»P, Q, H"0e)이고, 대응되는 비밀 시스템 변수는 s이다. 사용자 q가 자신의 비밀키를 요청하면 PKG는 &= sQ를 계산해서 耳에게 안전하게 전송한다. 이때 이다. q는 자신이 받은 비밀키를 다음의 관계식을 확인해 봄으로써 검증할 수 있다: e(d“P)= e(Q, Q). 검증식이 만족하면 q는 4를 비밀키로 사용한다.
3.1.2 계층적인 프록시 서명키 생성(U4->U3 위임)
초기값으로 %는 null string으로 설정하고 SK0 = d0 로 설정한다. 이때 曲 = 이고, 는 PKG에 대한 공개키로 가정되므로 Qo = F이고 必 = 아』Q이다. 계층적인 프록시 서명키 생성은 다음과 같은 과정으로 수행된다.
1- Ua는 財B를 선택하고 Ra, b=Ta, bP를 계산한다.
2- 队는 % = %( E 称시1丑기MZ긺仇危)와以b 作PNa吧, B를 계산한다. 叫波는 叫에서 %로의 위 임 조건을 기술한 보증서(warrant)이다.
3- %는, 5罹 = 旳+如, /4饵에 대해서(&, b, M, 如璀, &左彼)를 込에게 전송한다.
4, 四는 아래의 조건을 확인하고 조건이 만족할 경우로 자신의 프록시 서명키를 생성한다
#
气의 프록시 서명키는 SKb = Sa, bWb로 계산되어진다. 여기서 气는 E萨PEa를 만족하는 项의 개수다.
3.1.3 최종 서명 생성 (UR에 의한 서명 생성)
4은 다음과 같은 과정으로 위임 네트워크에 대한 최종 서명을 다음과 같이 생성한다.
1. Ur은 난수「을 선택하고 7?=r7를 계산한다.
2. 4 은 주어진 메시지 皿에 대해서 M= 眼 S 用』丑긺保), ° = SKr + tM을 계산한다. 作 PNr '
3. Ur은 서명을 받는 대상에게 (°, MR, m, Rr, 꼬)을 전송한다.
3.1.4 최종 서명 검증
서명은 다음의 검증식을 통과하면 합당한 것으로 받아들여 진다.
#
气 는 E萨PEr를 만족하는 项의 개수이다.
3.2 제안하는 위임 네트워크의 안전성
정리 1. F를 위임 네트워크에 대한 (e, 細*切 , 細, )-위조자 라고 하자. 여기서 細, 細, 9s, 奴 는 각각 ID에 대한해쉬 질의의 개수, 메시지에 대한 해쉬 질의의 개수, 서명 질의의 개수 그리고 비밀키 생성 질의의 개수이다. 그러면 F를 통해서 e'ne/eZgy의 확률로 CDHP를 푸는 A를 구성할 수 있다.
중명) 의미 있는 위임 네트워크의 서명을 위조하는 공격자 F가 있다고 가정하자. 그러면 F의 공격능력을 사용하여 CDHP를 푸는 알고리즘 A를 구성할 수 있다. F 를 통해서 A를 구성하는 방법으로 증명이 수행된다. (RaRbP)를 CDHP에 대한 문제로 주어진 순서쌍이라고 하자. A가 F의 공격능력을 활용하기 위해서는 공격환경을 구성해주어야 한다. 우선 A는 (户, 璀를 위임 네트워크의 시스템 변수에서 공개키로 설정한다. F의 질의를 일관성 있게 처리하고 중복을 피하기 위해 A는 두 개의 해쉬 리스트 乌-list와 马-list를 관리한다. 두 리스트는 초기에 공집합으로 설정된다. A는 F의 질의를 다음과 같이 처리한다.
3.2.1 ID 해쉬 오라클에 대한 질의 (Hash Queries on Oracle for Identity)
- 동일한 질의에 대해서는 동일한 값으로 응답한다. A 는 丑Z 에 대한 질의에 다음과 같이 응답한다.
1. I以가 이전에 질의된 것이면 A는 乌-list에서 (鶴也, Qq, , )를 찾아서 Q.를 반환한다.
2. 이전에 질의된 값이 아니면 난수 c侦w{0, l}를 선택한다. 이때 P* rlc = 이 =4이다. <m=0이면 A 는 난수 相를 생성하고 Q = ">를 계산한다. c侦 =1이면 난수 &를 생성하고 Q=k")를 계산한다.
3. A는 새로 생성된 순서쌍 (鶴, 를 乌-list 에 추가하고 F에게 q를 반환한다.
3.2.2 메시지 해쉬 오라클에 대한 질의 (Hash Queries on Oracle for Message)
- 丑!-list 와 마찬가지로 q-list 를 관리한다. A 는 (吗, mJ에 대한 F의 질의를 다음과 같이 처리한다. 叫는 위임을 하는 사용자와 위임 받는 사용자의 아이디 정보를 포함하고 있기 때문에 질의된 순서쌍에 대한 서명을 생성할 서명자의 아이디 冯를 예측할 수 있다.
1. 玛가 기존의 H、해쉬 오라클에 대한 질의가 아니면 ID 해쉬 오라클에 대한 질의로 처리한다.
2. ( 出, 叫)가 이전에 질의된 것이면 乌-list에서 순서쌍 (屁, 叫妇昭 * )을 복원한다.
3. 이전에 질의된 것이 아니면 난수 를 선택한다. 이때 Pr&=0]=q이다. 成广=0이면 난수 L를 생성하고 岷=1『를 계산한다.(赤 =1이면 난수 歸를 생성하고 必 =4")를 계산한다.
4. A는 새로 생성된 순서쌍 (屁, 双, a, :)를 ff2 -list에 추가하고 F에게 域를 반환한다.
3.2.3 비밀키 생성 질의 (Private Key Extraction Queries)
- F가 冯에 대한 비밀키를 요구하면 A는 乌-list에서 冯에 대응되는 순서쌍 (丑2也, 0<赤)를 복원한다. 气1 =0이면 % =aQi =a(知P) = 4(履>)를 비밀키로 반환하고 <如 =1이면 시뮬레이션을 중단한다.
3.2.4 서명 질의 (Signing Queries)
- F가 鶴의 (%, 明)에 대한 서명을 요구하면 A는 玲list와 仏-list에서 ID, 와 顷, 叫에 대응되는 순서쌍 四也, Q, c侦)와 ( 為, 門也, 絕, 处)를 복원한다. A는 F의 질의를 다음과 같이 처리한다.
1.<赤=0이면 A 는 난수「을 선택하고 1以의 (吗, 叫에 대한 서명을 (<7, 7?繽)로 생성하고 F에게 掐를 서명으로 반환한다. 이때 <7 = & (讦)+曲4 이다.
2.c眼 =1이고 项 =1이면 A는 난수 r을 선택하고 <丁 = 鸟(泪와 R=rP-lfkgP를 계산한다. A는 旳)를 鶴의 (吗, 門)에 대한 서명으로 반환한다.
3. 그 외의 경우에는 A는 시뮬레이션을 중단한다.
위에 구성된 것과 A가 수행하였을 때 성공적으로 F 의 공격환경을 구성하는 확률을 계산해보자. 우선 A가 모든 비밀키 생성 질의와 서명 질의에 대해 성공적으로 응답할 확률은 각각 牛와 (1-(1-4)(1-4)严이다. 결과적으로 A가 공격 환경의 구성을 성공적으로 마칠 확률은 §'(1-(1-畠(1-鸟)严이다. CDHP문제를 풀기 위해서는 F가 생성한 유효한 위임 네트워크 서명에 비밀키 생성 질의가 수행되지 않은 아이디 绍의 서명 질의가 수행되지 않은 메시지 顷, 門)에 대한 서명이 포함되어 있어야 하고, 이 경우(沥知。이어야 한다. F가비밀키 생성 질의가 수행되지 않은 아이디 冯의 서명질의가 수행되지 않은 메시지 (吗, 門)에 대한 서명을 포함하고 있는 위임 네트워크 서명을 생성할 확률이 e 라고 가정되어 있으므로 F가 o加電 = 1인 조건까지 만족하는 서명을 포함하도록 위임 네트워크에 대한 서명을 생성할 확률은 Hl-©이다. A가 CDHP를 풀기 위해서는 F의 공격환경을 성공적으로 구성해야 하고 F가 공격에 유용한 서명을 생성해야 한다. 그러므로 A는 e 의 확률로 CDHP를 풀게 되고 #
이다. §=1-丄라고 하고 J2=l- — ?* £ Qs라고 하면 e'는 다음과 같이 표현된다:
#
충분히 큰 z에 대해서
#
이므로 4은 다음과 같이 추정할 수 있다:
#
F가 CDHP를 풀 수 있는 형태의 위임 네트워크의 서명을 생성할 확률에 대하여 살펴보았다. 4의 확률로 생성된 위임 네트워크의 서명이 CDHP를 풀 수 있는 형태로 생성되었을 때 CDHP를 푸는 과정을 살펴보자. F가 위임 네트워크의 서명으로 b를 생성했다고 하자. I* D 에 대한 비밀키 생성 질의가 수행되지 않았다고 가정하고 1%의 顷*, 7■勺)에 대한 서명이 서명 질의로 수행되지 않았으며 航* «電 =1이라고 흐卜자. (이런 경우에 대한 위임 네트워크의 서명을 생성할 확률은 위에서 계산되어 있다.) 아래 식에서 &冃 =』曲{1*}이라고 하자. <7는 검증식을 통과하는 서명이기 때문에 다음과 같은 식을 얻을 수 있다:
#
그러면 <T는 다음과 같이 표현할 수 있다.
#
모든 싸, , n은 A가 F의 공격 환경을 구성하면서 생성한 값이므로 알고 있는 값이고, 결과적으로 다음과 같은 식을 통해서 沥尸를 계산할 수 있다.
#
3.3 제안하는 위임 네트워크의 변형
〔2〕에서는〔1〕에서 제안된 효율적인 집합 서명(ag gregate signature) 기법 등을 사용해서 위임 네트워크의 구성에서 저장 공간을 줄이거나 통신량을 줄이는 방법을 구성하는 문제를 남겨놓았다. 본 논문에서 제안하는 위임 네트워크에서 사용자 1七는 에게 서명 권한을 위임하는 과정에서 난수 七波를 생성하고 RAiB = 七站를 계산하여 사용하였다.〔1〕에서 제안된 집합 서명의 기법을 도입하면 다음과 같이 효율적으로 저장 공간과 통신량을 줄일 수 있다. 七는 免에게 권한을 위임하는 과정에서 난수 七以선택하는 것이 아니라 고정된 자신의 비밀키 七를 사용한다. 七에 대응되는 공개키는 句 =*P r라고 하자. 본 논문에서 제안된 위 임 네트워크에서는 각 사용자가 선택해서 생성한 난수 也, 项의 집합을 서명으로 포함해야 했다. 그런데 각 사용자가 자신의 비밀키로 난수 사용하는 것을 대신하면 Aj의 집합이 서명에서 제외될 수 있으므로 의 집합의 크기에 해당하는 저장 공간과 통신량을 줄일 수 있다. 서명에 포함되어야 하는 정보 중에서 위임의 조건을 포함하고 있는 메시지는 제외할 수 없기 때문에 7们의 집합을 서명에서 제외하는 것은 저장 공간과 통신량의 측면에서 최적화된 상태이다. 그러나 이와 같은 구성은 각 사용자의 공개키를 인증하는 비용을 추가로 요구하기 때문에 효율적이지 않다.
〔1〕의 구성을 직접 사용하지는 않지만 설정을 제안하는 위임 네트워크에 도입함으로써 효율성의 증대를 기대할 수 있다. 或는 々에게 권한을 위임하는 과정에서 난수 叫心선택하지 않고 고정된 비밀 정보 七을 사용한다. 즉, 각 사용자는 자신의 비밀 값을 하나씩 가지고 서명권한을 위임하는 과정에서 사용한다. 고정된 비밀 값을 사용하더라도, 각 사용자가 서명권한의 위임과정에서 ID키 4=sQ를 사용하기 때문에 서명은 인증기능을 여전히 제공한다. 그러나 고정된 난수를 사용하는 경우에는 동일한 평문에 대한 서명이 동일하게 생성되는 단점이 있다. 이것은 Boneh 등이 제안한 집합 서명〔1〕에서도 가지고 있는 문제점이다. 그런데 위임 네트워크에서 서명되는 메시지는 권한의 위임 기간 등의 정보가 포함되어 있기 때문에 동일한 메시지에 대한 서명이 수행되는 경우를 배제할 수 있고, 이는 결정적인 서명을 사용하는 것이 문제를 야기하지 않는 다는 것을 의미한다. 이와 같이 변형한 위임 네트워크의 안전성은 정리 1과〔1〕에서 사용된 증명 기법의 도입을 통해 쉽게 보일 수 있다. 증명은 거의 동일한 형태로 수행되므로 생략하도록 한다. 이처럼 각 사용자가 고정된 비밀 값과 ID키를 사용하여 서명권한의 위임을 수행하도록 위임 네트워크를 구성하면 7七의 집합의 크기는 네트워크의 에지의 개수인 E에서 노드의 개수인 N로 줄어든다. 앞에 언급된 것처럼 일반적으로 E가 N보다 크기 때문에 해당되는 크기의 저장 공간 및 전송량의 효율성 증대를 기대할 수 있다. 또한 각 사용자가 생성한 서명이 동일한 난수로 계산되기 때문에 한 번에 검증 식에서 계산할 수 있게 되므로 제안하는 위임 네트워크에서 E번의 페어링 연산이 요구되었던 것과 달리 제안하는 것의 변형된 위임 네트워크는 7V用의 페어링 연산으로 동일한 위임 네트워크를 구성할 수 있다.
3.4 효율성
기존의 위임 네트워크〔2〕와 제안하는 위임 네트워크 및 그것의 변형들 간의 효율성 비교는[표 1]에서 확인할 수 있다. 타원곡선에서의 페어링 연산과 스칼라 곱셈 연산을 각각 P, M 이라고 흐]자.. 타원곡선 포인트의 비트 크기와 보증서 (warrant) 의 비트사이즈를 각각 Pt와 Wt라고 흐]자.. 사용자 S의 모든 상위 에지의 개수와 노드의 개수를 각각 场와 M라고 흐】자. 그러면〔표 1〕 과 같은 결과를 확인할 수 있다.
[표 1] 기존의 위임 네트워크와 제안하는 위임 네트워크 그리고 그것의 변형된 위임 네트워크의 효율성 비교
[표 1]에서 위임 네트워크 1(DN1) 은 본 논문에서 제안하는 위임 네트워크를 의미하고 위임 네트워크 2(DN2)는 위임 네트워크 1을 변형함으로써 효율성을 개선한 것을 의미한다. 표에서 확인할 수 있듯이, 본 논문에서 제안하는 두 위임 네트워크는 기존의 것보다 효율적이다. DN1 의 경우는 모든 연산 과정에서 기존 위임 네트워크보다 효율적이다. DN2는 연산 측면에서도 가장 효율적이고 서명의 길이가 짧기 때문에 전송량과 저장량의 측면에서도 효율적이다.
Ⅳ. 결론
본 논문에서는 ID 기반의 효율적인 위임 네트워크를 제안하였다. 제안한 위임 네트워크는 기존의 결과보다 연산량의 측면에서 효율적이고, 제안한 것의 변형된 형태의 경우에는 연산량 뿐만 아니라 저장량, 통신량의 측면에서도 효율적이다. 특히, 〔2〕에서〔1〕의 결과를 사용하여 효율성을 높이는 문제를 남겨놓았는데, 본 논문에서는〔1〕의 결과를 부분적으로 도입하여 기존의 결과보다 효율적인 구성을 제안하였다.
References
- Dan Boneh, Craig Gentry, Ben Lynn, and Hovav Shacham, Aggregate and Verifiably Encrypted Signatures from Bilinear Maps, EUROCRYPT 2003, International Conference on the Theory and Applications of Cryptographic Techniques, Warsaw, Poland, May 4-8, 2003, Proceedings, volume 2656 of Lecture Notes in Computer Science, pages 416-432. Springer
- Sherman S.M. Chow, Richard W.C. Lui, Lucas C.K. Hui, and S.M. Yiu, Identity Based Delegation Network, Mycrypt 2005, LNCS 3715, pp.99-115, 2005
- Tuomas Aura, On the Structure of Delegation Networks, In PCSFW: Proceedings of the Eleventh Computer Security Foundations Workshop. IEEE Computer Society Press, 1998
- Shin-Jia Hwang, and Chiu-Chin Chen, New Multi-Proxy Multi-Signature Schemes, Applied Mathematics and Computation, 147(1):57-67, 2004 https://doi.org/10.1016/S0096-3003(02)00650-1
- Min-Shiang Hwang, Eric Jui-Lin Lu, and Iuon-Chang Lin, A Practical (t,n)-Threshold Proxy Signature Scheme Based on the RSA Cryptosystem, IEEE Transactions on Knowledge and Data Engineering, VOL.15, NO.6, November/December 2003
- Wen-Chung Kuo, and Ming-Yang Chen, A Modified (t, n)-Threshold Proxy Signature Scheme Based on the RSA Cryptosystem, Proceedings of the Third International Conference on Information Technology and Applications (ICITA'05), 2005
- Xiangxue Li, Kefei Chen, Longjun Zhang, and Shiqun Li, Proxy Structured Multisignature Scheme from Bilinear Pairings, ISPA 2004, LNCS 3358, pp. 705-714, 2004
- M. Mambo, K. Usuda, and E. Okamoto, Proxy Signatures for Delegating Signing Operation, Proc. 3rd ACM Conference on Computer and Communications Security, 1996
- So-Young Park, and Sang-Ho Lee, Multi-proxy Signatures Based on Diffie-Hellman Problems Allowing Repeated Delegations, HSI 2005, LNCS 3597, pp. 340-344, 2005
- H.-M.Sun, N.-Y.Lee, and T.Hwang, Threshold proxy signatures, IEE Proc. Computers and Digital Techniques, Vol.146, No.5, September, 1999
- Guilin Wang, Feng Bao, Jianying Zhou, and Robert H. Deng, Comments on 'A Practical $(t,n)$ Threshold Proxy Signature Scheme Based on the RSA Cryptosystem', IEEE Transactions on Knowledge and Data Engineering, VOL. 16, NO. 10, OCTOBER 2004
- Qingshui Xue, and Zhenfu Cao, A Threshold Proxy Signature Scheme Using Self-Certified Public Keys, ISPA 2004, LNCS 3358, pp.715-724, 2004
- Q. Xue and Z. Cao, Improved of Multi-proxy Signature Scheme, Proceeding of International Symposium on Communications and Information Technologies, pp.450-455, 2004
- Jing Xu, Zhenfeng Zhang, and Dengguo Feng, ID-Based Proxy Signature Using Bilinear Pairings, Cryptology ePrint Archive, Report 2004/206, 2004. Available at http://eprint.iacr.org
- Lijang Yi, Guoqiaiig Bai, and Guozhen Xiao, Proxy multi-signature scheme: A new type of proxy signature scheme, Electronics Letters, 16th, March 2000, Vol.36, No.6, 2000