Ⅰ. 서론
검증자 서명기법은 특정한 검증자만이 그 서명의 정당성을 검증 할 수 있도록 한 기법으로 1996년 Jakobsson등이 처음 제안하였다.[1] 지정된 검증자 서명기법은 기존의 서명이 가지고 있던 부인방지 성질을 가지지 않고도 메시지 인증을 제공한다. 수신자에게는 송신자가 서명된 메시지를 생성하였다는 메시지 인증이 가능하면서도 제 3자에게는 자신이 서명을 생성하지 않았다고 부인 할 수 있는 것이다. 예를 들어 지정된 검증자가 서명자로부터 서명된 메시지를 받았다고 할 때, 검증자는 서명자가 보내준 메시지에 대한 서명의 정당성을 확인할수 있으나 제3자는 서명이 서명자로부터 생성된 것임을확신할 수 없다. 이는 지정된 검증자가 제3자가 보기에서명자가 생성한 서명과 구별 불가능 한 트랜스크립트를 만들어낼 능력을 가지고 있기 때문이다.
이처럼 지정된 검증자 서명기법에서는 선택된 검증자만이 서명을 확신할 수 있기 때문에 일반 서명이 가지고 있는 메시지 인증 전가의 문제점을 해결하고, 서명자가 부인 가능하여 서명자에 대한 익명성을 보장해준다. 그러나 지정된 검증자 서명기법은 서명자와 지정된검증자사이에서의 익명성만을 제공하기 때문에 완벽한익명성을 제공한다고 하기는 어렵다.
인증서가 없는(CL, Certificateless) 암호기법은 기존의 공개키 시스템에서 가지고 있던 KGC(Key Generation Center)의 키 위탁 문제를 해결하기 위해 2003년AL-Riyami 등에 의해 제안되었다.[2] ID기반 공개시스템의 경우 KGC가 개인의 개인키를 생성해주어 서명을생성하는데, 이 KGC가 모든 이의 개인키를 알기 때문에악의적일 경우 모든 이의 서명을 위조해 낼 수 있다는키 위탁문제를 가지고 있었다. 인증서가 없는 암호기법은 이러한 KGC가 생성해 주는 개인키 뿐 아니라 서명자도 비밀값을 생성하여 서명을 생성하기 때문에 이러한 키 위탁 문제를 해결한다. 2006년 Huang 등은 ‘인증서 없는 지정된 검증자 서명기법(CL-DVS, DesignatedVerifier Signature)’을 최초로 제안하였다.[3] 본 논문에서는 Huang 등의 인증서 없는 지정된 검증자 서명기법에 ‘강한’ 개념을 추가한 인증서 없는 강한 지정된 검증자 서명기법을 제안하고자 한다. 강한 지정된 검증자의개념은 1996년 Jakobsson등에 의해 정의[1]되었으며,2003년 Saeednia등이 새로운 강한 지정된 검증자의 개념을 정의하였다[4]. 지정된 검증자 서명기법에서는 제3자가 입장에서 오직 서명자(A)와 검증자(B), 두 측만이잠재적인 서명자가 될 수 있는데, 만약 A로부터 날아가는 서명을 B가 받기 전에 누군가 가로채 확인하고, B가서명을 생성하지 않았다는 것을 확인할 수 있다면 A가실제 서명자라는 걸 알 수 있게 된다. 또한 제3자가 B를신뢰할 수 있는 경우 제3자는 A가 서명자임을 확신할 것이다. 이와 같이 지정된 검증자 서명은 오직 서명자와검증자 둘 사이에 대한 익명성만을 제공한다. 그러나 강한 지정된 검증자 서명기법에서는 제 3자가 서명을 보고어떤 서명자와 검증자 사이에 생성된 서명인지 구별할수 없다. 따라서 오직 두 사람만이 잠재적인 서명자가아닌, 모든 사람이 잠재적인 서명자가 될 수 있어 완벽한익명성을 제공한다고 할 수 있다.[5]
2005년 Lipmaa등[6]은 지정된 검증자 서명에서 고려되어야 할 새로운 안정성 성질인, 비양도성(NonDelegatability)을 정의하였다. 양도성이란 서명자 또는검증자가 자신의 비밀키를 노출하지 않고도 제 3자에게부가적인 정보를 제공으로써 제 3자가 정당한 서명을생성할 수 있도록 서명권리를 양도하는 것을 말한다.DVS기법이 양도성을 만족하지 않을 경우 심각한 문제를 야기할 수 있다. DVS는 전자투표나 e-옥션,공개입찰등에 적용될 수 있는데 전자투표에서 DVS가 양도성을가지는 경우, 서명자는 부가적인 정보만을 제 3자에게제공으로써 제 3자에게 자신의 투표 권리를 이행하도록할 수 있다. 이전의 제안된 DVS기법들은 대부분이 양도성을 가지고 있어 최근에는 비양도성을 가지는 DVS기법들이 제안되고 있다. 기존의 Huang의 CL-DVS기법은 양도성의 문제를 가지고 있으며 이는 결론에서간략히 보이겠다. 본 논문에서 제안하는 CL-SDVS기법은 양도성을 가지지 않는다.
Ⅱ. 모델 및 보안 요구사항
본 절에서는 CL-SDVS모델과 공격 모델에 대해 정의하고 보안 요구사항에 대하여 서술하겠다. CL-SDVS기법은 Huang 등의 기법[3]에 “강한” 성질을 추가한 것으로 기존의 CL-DVS기법의 모델과 동일하다.
2.1 CL-SDVS 모델
서명자를 A, 지정된 검증자를 B라고 가정한다. 모델은8개의 알고리즘으로 구성되어 있으며 각각은 Setup,Partial-Private-Key-Extract, Set-Secret-Value, Set-PublicKey, Set-Private-Key, Sign, Verify, Transcript- Simulation과 같다. Setup, Partial-Private-Key-Extract 알고리즘은KGC에 의해 실행되어 부분 개인키를 생성한 후, 사용자는 그 부분 개인키를 받고 자신의 Set- Secret-Value 알고리즘을 통해 얻은 비밀 값을 이용하여 개인키를 생성한다. 각 알고리즘에 대한 자세한 내용은 다음과 같다.
Setup : 시스템 파라미터 params를 받아 시스템 파라미터 params와 마스터 키(master key) s를 출력한다.
Partial-Private-Key-Extract : 시스템 파라미터 params params, 마스터 키 s와 사용자의 아이디 ID 를 입력받 아 부분 개인키 DID를 출력한다.
Set-Secret-Value : 시스템 파라미터 params 와 사용자의 아이디 ID 를 입력받아 사용자의 비밀 값 xID를 랜덤하게 출력한다.
Set-Public-Key : 사용자의 비밀값 xID 를 입력받아 사용자의 공개키 PKID 를 출력한다.
Set-Private-Key : 사용자의 부분 개인키 DID, 비밀 값 xID를 입력받아 사용자의 개인키 SID를 출력한다.
Sign : 시스템 파라미터 params, 메시지 m, 서명자 A의 (IDA,SIDA,xIDB,DIDB), 지정된 검증자 B의 (PKIDB,IDB)를 받아 서명a을 출력한다.
Verify : 메시지m, 서명a, params, 지정된 검증자 B의 (IDB,SIDB,xIDB,DIDB), 서명자 A의 (PKIDB,IDB) 를 받아 서명의 정당성을 확인하여 정당하면 accept를 출력하고, 그렇지 않으면 reject를 출력한다.
Transcript-Simulation : 서명자 A가 생성한 것과 구별 불가능한 트랜스크립트를 생성하기 위해 지정된 검증자 B에 의해서 실행되는 알고리즘이다.
2.2 보안 요구 사항
CL-SDVS 기법은 지정된 검증자 서명기법의 보안요구사항을 모두 포함하며 강한 성질을 가지고 있기 때문에서명자의 프라이버시 성질을 추가한 다음과 같은성질들을 만족해야 한다.
- 정확성(Correctness) : 서명자가 서명 알고리즘을통하여 정당한 방법으로 서명을 생성하였다면, 그서명은 반드시 검증 알고리즘을 통과해야 한다.
- 서명의 위조 불가(Unforgeability) : 공격자가 서명자나 지정된 검증자의 개인키에 대한 지식 없이 정당한 서명을 위조하는 것이 계산적으로 불가능 해야 한다. CL-SDVS기법에서는 두 가지 유형의 공격자가 존재하므로 이 두 공격자 모두에 대하여 서명이 위조 불가능 하여야 한다.
- 서명자의 프라이버시(Signer's privacy) : 지정된 검증자와 임의의 메시지에 대한 서명이 존재 할 때,제 3자는 지정된 검증자 또는 어느 서명자의 비밀키 없이 서명이 어느 서명자와 검증자의 키로 생성된 것 인지 알 수 없어야 한다.
- 서명능력의 비양도성(Non-delegatability) : 서명자또는 지정된 검증자는 자신의 비밀키를 노출하지않고도 제 3자에게 서명 권리를 양도하는 것이 불가능해야 한다.
2.3 보안 요구 사항
인증서가 없는 서명 기법에서는 기존의 서명기법과공격 모델이 다르다. 서명의 위조 불가능을 보이기 위하여 [2][7]에서 정의된 것과 같이 다음과 같은 두 가지서명 위조 공격자 타입을 고려한다.
유형 I 공격자(Ƒ1) : 이 유형의 위조자 Ƒ1은 masterkey에는 접근할 수 없으나, 사용자의 공개키를 위조하는 공격자로 자신이 선택한 값으로 사용자의 공개키를 바꿀 수 있다.
유형 II 공격자(Ƒ2) : 이 유형의 위조자 Ƒ2는 사용자의 공개키는 위조할 수 없지만 master-key를 아는 공격자이다.유형 I은 시스템 외부에서의 공격을 나타내며, 유형II는 악의적인 KGC를 가정하였을 때의 공격을 나타낸것이다. Ƒ1 과 Ƒ2 공격자에 대한 게임은 다음과 같이이루어진다.
GAME 1. 첫 번째 게임은 인증서가 없는 강한 지정된 검증자 서명 기법에 대한 챌린저 C1과 공격자 Ƒ1사이에서 다음과 같이 수행된다
초기화 : C1은 setup알고리즘을 시행하고 master key와 params를 생성한다. params는 Ƒ1에게준다. Ƒ1은 master-key는 알지 못한다.
쿼리들 : Ƒ1은 C1에게 다음과 같은 질문들을 던진다.
∙ErtrPartSK(ID): Ƒ1이 사용자 ID에 대한 부분개인키를 질의하면 C1은 Partial-Private-Key-Extract알고리즘을 수행하여 사용자의 부분 개인키 DID를생성해 준다.
References
- M.Jakobsson, K.Sako, R.Impagliazzo, Designated verifier proofs and their applications, in: Advances in Cryptology Eurocrypt96, LNCS, vol.1070, Springer Verlag,1996, pp. 143-154
- S.S. Al-Riyami, and K.G. Paterson, Certificateless Public Key Cryptography, Advances in Cryptology ASIACRYPT 2003, LNCS 2894, pp. 452-473, Springer-Verlag, 2003
- X. Huang, W. Susilo, Y. Mu, and F. Zhang, Certificateless Designated Verifier Signature Schemes, The 20th International Conference on Advanced Information Networking and Applications 2006 (AINA2006), 2006
- S. Saeednia, S. Kramer, and O. Markovitch, An Efficient Strong Designated Verifier Signature Scheme, The 6th International Conference on Information Security and Cryptology 2003, (ICISD 2003), LNCS 2971, pp. 40-54, Springer-Verlag, 2003
- W. Susilo, F. Zang, and Y.Mu, Identity-based Strong Designated Verifier Signature Schemes, The 9th Australasian Conference on Information Security and Privacy 2004 (ACISP 2004), LNCS 3108,pp. 313-324, Springer-Verlag, 2004
- H.Lipmaa, G.Wang and F.Bao, Designated verifier signature schemes: attacks, new security notions and a new construction, in: ICAP 2005, LNCS, vol. 3580, Springer-Verlag, 2004, pp. 459-471
- X. Huang, W. Susilo, Y. Mu, and F. Zhang, On the security of certificateless signature schemes from Asiacrypt 2003., CANS 2005, LNCS 3810, pp. 13-25, Springer-Verlag, 2005
- D. Boneh and M. Franklin, 'Identity-based encryption from the Weil pairing', Crypto'01, LNCS 2139, pp. 213-229, 2001
- D. Pointcheval and J. Stern, Security arguments for digital signature and blind signature., J. of Cryptology, Vol. 13, pp. 361-396, 2000 https://doi.org/10.1007/s001450010003