DOI QR코드

DOI QR Code

Public Key Encryption with Keyword Search in Multi-Receiver Setting

다중 수신자 환경에서 키워드 검색 가능한 공개키 암호시스템

  • Published : 2009.04.30

Abstract

To provide the privacy of a keyword, a public key encryption with keyword search(PEKS) firstly was propsed by Boneh et al. The PEKS scheme enables that an email sender sends an encrypted email with receiver's public key to an email server and a server can obtain the relation between the given encrypted email and an encrypted query generated by a receiver. In this email system, we easily consider the situation that a user sends the one identical encrypted email to multi-receiver like as group e-mail. Hwang and Lee proposed a searchable public key encryption considering multi-receivers. To reduce the size of transmission data and the server's computation is important issue in multi-receiver setting. In this paper, we propose an efficient searchable public key encryption for multi-receiver (mPEKS) which is more efficient and reduces the server's pairing computation.

키워드 검색 가능한 공개키 암호 (PEKS)은 검색어에 대한 프라이버시를 제공하기 위해서 Boneh et. al.에 의해서 처음으로 제안되었다. 검색 가능한 공개키 암호 (PEKS) 기술은 송신자가 수신자의 공개키로 암호화된 메일 메시지를 이메일 서버에 보내고 서버는 암호문과 송신자에 의해서 생성된 암호화된 쿼리를 이용하여 암호화된 메일 메시지와 암호화된 검색어와의 관련성을 얻는 것이 가능하도록 한다. 이러한 메일 시스템에서는 그룹메일과 같이 하나의 암호화된 메일을 다수의 수신자에게 전송하는 경우를 생각할 수 있다. Hwang과 Lee는 이러한 점을 고려하여 다중 수신자환경에서 FEKS 스킴을 제안하였다. 이러한 다수의 수신자의 환경에서는 전송되는 데이터의 사이즈와 서버의 계산량을 줄이는 것이 중요한 이슈이다. 본 논문에서는 서버측의 페어링(Pairing) 계산량을 줄인 좀더 효율적인 다수의 수신자를 고려한 mPEKS 스킴을 제안한다.

Keywords

Ⅰ. 서론

컴퓨터와 인터넷의 발전으로 인해 전송, 저장 그리고 이용되어지는 정보의 양이 급격히 증가하고 있다. 이러한 정보들은 개인이 어떠한 서비스를 이용할 경우 개인정보들이 개인의 PC에만 저장되는 것이 아닌 서비스 데이터베이스(예, 카드회사 웹, 인터넷 쇼핑몰 등) 나 웹 기반의 이메일 서비스(예, hanmail, hotmail 등)와 같이 우리가 자주 사용하고 있는 시스템 상에도저장되어지고 사용자의 요구에 따라 이러한 정보들은 빈번히 이동 . 전송된다. 이렇게 전송 이동 저장되는 정보들은 해킹 및 바이러스와 같은 침해로 사용자의 개인정보를 누출 및 악용되고 있으며 그로 인한 프라이버시 침해의 결과를 초래하고 있다.

이러한 프라이버시 노출로 인한 피해의 심각성은 최근 옥션이나 GS칼텍스의 개인정보 누출로 인한 피해 사례와 같이 시스템 관리자로부터 사용자의 개인정보가 노출되어 문제가 되는 사례를 간혹 볼 수 있는데도 불구하고 사용자의 대다수는 자신의 민감한 정보가 어떻게 관리되고 있는지 알 수 없다는데 있다〔8〕. 이러한 문제가 발생하였을 때 개인 사용자와 기업 모두에게 그 피해의 심각성이 큰 이유는 다음과 같다. 첫째, ' 사용자 측면에서는 개인정보의 주체인 자신에게도 제2 제3의 피해를 야기시킬수 있다는 점에서 그 문제가 심각하다. 둘째, 기업의 입장에서도 문제를 야기시킨 것에 대한 피해 보상 뿐 아니라 기업의 이미지의 실추로 인한 소비자 감소 및 기타 이익의 감소로 인한 커다란 경제적 손실의 결과를 초래하게 된다. 앞에서 언급한 옥션의 사례의 경우 개인정보가 노출사고 이후 방문자가 급감하였고 옥션이 쇼핑몰의 특성을 갖는 점에서 보았을 때 그 심각성이 크다. 이러한 내부와 외부 공격자 모두에게 안전하도록 데이터를 저장하기 위해서는 개인정보를 사용자만 아는 암호화키로 암호화하여 데이터베이스에 저장하는 것을 생각할 수 있다. 하지만 데이터를 암호화된 데이터의 형태로 저장하게 되면 데이터베이스 관리가 어렵고 데이터 검색의 효율성이 떨어진다.

이러한 문제점을 해결하기 위해서 Song et. al. 〔9〕은 암호화된 데이터에서의 키워드를 이용한 검색프로토콜을 제안하였고 그 이후로 크게 3가지 환경 (웹하드 모델, email모델, vendor모델)에서 각 환경에 적합하도록 제안되었다〔1-7, 9〕. 이중 Boneh et. al. 가 제안하였던 email환경에서의 키워드를 이용한 검색기술은 메일 송신자가 수신자의 공개키로 메일 내용을 암호화하고 암호화된 검색정보를 첨부한 형태로 전송하여 수신자가 검색 가능하도록 하는 기술이다〔1〕. 처음 Bonehet. al. 가 제안하였던 키워드 검색 가능한 공개키 암호 (PEKS) 스킴의 경우 메일 수신자를 한 명으로 제안하고 있다. 하지만 우리가 사용하는 일반적인 메일의 경우 하나의 메시지를 여러명이 동시에 수신하도록 설정흐}는 것이 가능하다. 따라서, 하나의 메시지를 전송하여 다수의 수신자들이 동시에 암호화된 메일 수신이 가능하면서도 키워드를 이용한 검색이 가능하도록 한다면 데이터 프라이버시를 제공하면서도 사용자의 편리성은 증가할 것이다.

Hwang 과 Lee는 최근에 이러한 점을 고려하여다 수의 사용자를 고려한 PEKS 스킴을 제안하였다 (6). 그들은 다수의 수신자가 검색 가능하도록 하기 위해서 서버에 저장되어야 하는 검색정보의 양과 메일 송신 자가 검색정보 생성 시 요구되어지는 계산량을 개선하는데 초점을 맞추었다. 하지만 수신자가 하나의 암호화된 검색어를 서버에게 제공하였을 때, 테스트단계에서 요구하는 계산량은 PEKS 스킴보다 많은 pairing 계산량을 요구한다. 이때, 송신자가 서버에 전송하는 암호화된 검색정보의 경우 미리 계산 (precomputation)하는 것이 가능하다. 하지만 테스트 단계의 계산은 실시간으로 이루어지며 그룹 메일과 같이 송신자가 한명이 아닌 n명인 환경을 고려한다면 메일 서버의 특성상 다수의 사용자의 접근이 빈번한 상황이 고려되어지기 때문에 검색을 원하는 메일 수신자가 서버에 접속하여 검색할 때마다 요구되는 테스트 단계에서의 계산량을 줄이는 것은 의미가 있다. 또, 메시지의 수신자에 대한 정보를 제공하고 있지 않은 PEKS 스킴에서는 특히 메일 서버가 테스트단계에서 데이터베이스에 저장된 암호화된 메시지 전부를 대상으로 전수조사를 해야 하기 때문에 테스트 (test)단계에서의 계산량을 줄이는 것은 더욱 의미가 크다. 반면 검색을 위한 검색정보(searchable information) 를 구성흐].는데 필요한 계산들은 오프라인 (off-line)과정에서 미리 계산하는 것이 가능하다. 본 논문에서 제안한 스킴과 Hwang 과 Lee가 제안한 스킴만이 다수의 수신자를 고려하고 있다. 이러한 측면에서 고려하였을 때, 본 논문에서 제안한 스킴은 다수의 수신자를 고려하면서도 테스트 단계의 계산량을 개선하여 같은 조건에서 제안된 Hwang 과 Lee 에 의해서 제안된 스킴보다 훨씬 적은 테스트 단계의 계산량만을 요구하는 “다수의 수신자를 고려한 키워드 검색가능한 공개키 암호 (mPEKS)” 스킴이다. 다음의 표는 n명의 수신자와 m개의 검색어를 고려한 환경에서 ”개의 암호문이 저장된 암호화된 메일 서버상에서 계산량을 비교한 표이다 (메일환경에서 제안된 검색가능한 공개키 암호화 스킴들은 모두 암호화된 메일에 대한 수신자를 표기하는지 또는 표기하지 않는지에 따라서 요구되어지는 계산량의 증가 정도가 유사하다.

〔표 1〕효율성 분석

따라서 본 논문에서는 일반성을 잃지 않고 암호화된 메일에 대한 수신자를 표기하지 않는 경우를 가정한다).

또, 본논문에서는 mPEKS 스킴의 안전성을 BDHI 가정 (Bilinear Diffie-Hellman Inversion Assump­ tion) 에 기반을 두고 랜덤 오라클 (random oracle) 모델에서 증명한다.

본 논문의 구성은 다음과 같다. 제 2장에서는 본 논문에서 안전성의 기반을 두고 있는 가정에 대한 정의를 살펴보고, 본 논문에서 제안하는 모델을 정의한다. 제 3장에서는 프로토콜을 제안하고 안전성을 증명한다. 마지막으로 제 4장에서는 결론을 맺는다 ,

Ⅱ. 안전성 정의 및 hardness 가정

본 논문에서 제안하는 스킴의 안전성의 기반인 BDHKBilinear Diffie-Hellman Inversion Assumption) 와 다중 수신자 환경에서 검색 가능한 공개키 암호화시스템(mPEKS)을 정의한다.

2.1 페어링 연산과 Hardness 가정

페어링 연산 (Bilinear Pairing), q 과 q 는 소수 卩를 위수로 갖는 환군(cyclic group)이라 하고 g 를 G의 생성원 (geneTator) 라 하자. 함수 e: qxGi—q가 다음의 성질을 만족하면 우리는 이 함수를 bilinear 함수 이라고 부르고, bilinear 함수 e: 易과 그룹 q가 존재하면 q을 bilinear group이라고 부른다.

Bilinear : 임의의 tzjuq과 企buz에 대해서 ”汶"?) = "払°严를 만족한다.

. Non-degenerate : e(g, g)Q

. Computable : 함수 e: 를 계산하는

효율적인 알고리즘이 존재한다.

効)는 e0, ") = e(g, g严 二£0昌。) 를 만족하고 이를 페어링 연산의 대칭성(symmetric)이라 부른다. Hardness 가정 (Hardness Assumption): 본 논문에서 제안한 mPEKS 스킴은 BDHI 가정 (Bilinear Diffie-Hellman Inversion Assump­ tion) 에 안전성의 기반을 둔다.

BDHI 가정 (Bilinear Diffie-Hellman Inversion Assumption) : 주어진 입력값 (g, g")U(G;)2 에 대하여 e(g, g)山 wq 을 계산하는 문제를 그룹 G에서의 1-BDHI문제라고 정의한다. 이때, 알고리즘 B 가 Pr[B(g, 矿) = "如广] We 을 만족하면 그룹 伝에서 1-BDHI 문제를 푸는 이익 (advantage) e을 갖는다고 정의한다. 이때, 모든다항식 시간 알고리즘 3 가 1-BDHI문제를 푸는데 있어서 negligible 한 이익 (advantage)를 갖는다면 1~BDHI문제가 intractable 하다고 정의한다. 정의 1. 그룹 G에서 적어도 1-BDHI 문제를 푸는 이익 (advantage) 是 갖는 t-time 알고리즘이 존재하지 않는다면 그룹 G에서 (t, l, e)-BDHI 가정이 성립한다고 정의한다.

2.2 정의 및 안전성 모델

검색가능한 공개키 암호 시스템은 Boneh et al. 에 의해서 제안되어진 암호화된 메시지 전송시스템이다. 이 시스템은 송신자, 수신자, 그■리고 서버로 구성되며 특정 수신자에게 전송하기 위해서 공개키를 이용해서 암호화된 메일을 서버가 수신자로부터 암호화된 검색어를 받아서 테스트를 대행하여 검색하는 것이 가능한 시스템이다. 이 시스템에서 전송되는 메시지는 암호화된 메시지와 암호화된 검색어 정보를 포함한 구성을 갖는다. 하지만 수신자의 수가 증가하게 된다면 이에 따라서 암호화된 메시지의 크기가 증가하게 될 것이고 또 이는 테스트 단계에서의 높은 계산량을 요구할 것이다.

[SEkey(message), Epk (key), E^key), ...., 이/), 彦%布 (財), P하%", …, 0히%"(u, )]

본 논문에서 정의한 다중 수신자 환경에서 검색 가능한 공개키 암호화 시스템의 정의는 다음과 같다. 정의 2. 다중 수신자 환경에서 검색 가능한 공개키 암호화 시스템 (mPEKS) 은 다음의 다항식시간 알고리즘들로 구성된다.

. 키 생성 알고리즘 (Key Generation Algo­ rithm) : security parameter 入를 입력받은 후, 사용자 祝] 공개키/ 개인키 쌍 (瞄, ) 을 생성한다’ . 다중 수신자를 위한 암호화된검 색정보 알고리즘 (mPEKS Algorithm): 수신자들의 공개키의 집합 丑티如阳…必}과 검색어 «를 입력받은 후, 암호화된 검색정보 c = mPEKS(*RM를 생성한다.

. 트랩도어 알고리즘(Trapdoor Algorithm) : 주어진 적당한 수신자 丿의 비밀키 灼와 검색어 "를 입력받은 후, 암호화된 검색어인 트랩도어 7;를 생성한다. . 테스트 알고리즘 (Test Algorithm): 주어진 암호화된 검색정보 c=mPEKS(、X, R, 心')와 트랩도어 Tw. 을 입력받으면, w = 이면 “yes"를 sk "'이면 “no”를 출력한다.

안전성 모델. 지금부터 다중 수신자를 위한 검색 가능한 공개키 암호 시스템에 대한 안전성을 이전의 관련된 연구들〔1, 6〕에서와 마찬가지로 semantic- security 관점에서 정의한다. Hwang 과 Lee가 제안하였던 다수의 수신자와 여러개의 검색어를 고려한 검색 스킴에서의 안전성의 정의에서는 다수의 수신자와 여러개의 검색어를 고려한 검색 스킴에서의 안전성을 고려하고 있다. 이는 기존의 Golle et al. 에 의해서 제안된 안전성의 정의를 그대로 따른다〔5〕. 즉, 다수의 수신자를 고려한 환경에서 안전성의 정의는 단일수신자를 고려한 환경에서의 안전성의 정의를 그대로 따른다.

본 논문에서는 mPEKS에 대한 안전성의 정의는 단일 검색어를 고려한 Boneh et al.에 의해서 제안된 PEKS 에서의 안전성에 기반을 둔다. PEKS 스킴에서와 마찬가지고 mPEKS 스킴에서의 안전성은 암호문이 트랩도어 (trapdoor)없이는 정보를 노출하지 않는다는 것을 보장한다. 이때. 공격자는 자신이 선택한 검색어 3에 대한 트랩도어 4를 얻는 것이 가능한 능동적인 (active) 공격자를 가정한다. 공격자의 목적은 트랩도어를 얻을 수 없는 두 개의 검색어 WO, W1 중 하나에 대한 암호문이 주어졌을 때 어떠한 검색어에 대한 암호문인지를 결정하는 것이다. mPEKS에서 정의된 안전성는 다음의 Game 을 이용한다.

Setup: Challenger는 각 수신자 *의 공개키/개인 키 (如約)쌍을 생성하여 수신자에게 주고 공개키?4 는 공개한다.

Phase 1 (Trapdoor queries): 공격자^ 자신이 선택한 검색어 (o, i}, 와 수신자 j에 대한 트랩도어 값을 질의하면 Challenger는 T . = Trapdoor(xr w) 를 답한다.

Challenge: 공격자가 수신자의 집합 R과 두 개의 target 검색어 %叫를 선택한다. 이 때, 공격자는 이전단계에서 트랩도어 쿼리를 질의하지 않았던 검색어를 target 검색어로 선택하고 공격자는 R에 포함되지 않는 것을 가정한다. Challenger는 램덤하게 3W{O, 1}를 선택하여 d, = mPEKS(R, wb) 값을 계산하여 공격자에게 전송한다.

Phase 2 (Trapdoor queries): 공격자는 ww%, 代인 검색어 we(* 0, 1} 를 선택하여 수신자 j 에 대한 트랩도어 값을 질의하면 Challenger는 Tv- = Trapdoor{xr 钏)를 답한다.

Guess: 공격자는 b'e{o, i} 을 추측(guess)하여 결과를 낸다. 이때, b=b'이면 공격자는 Gbme에서이긴다. (win)

우리는 mPEKS 』의 스킴에서 공격자 advantage를 다음과 같이 정의한다. 』血』。、) 니Pr[b = b']-l〃|

정의 3. 임의의 다항식 시간 공격자』에 대해서 4血丄\)가 negligible 하면 mPEKS 스킴은 선택한 검색어 공격 (adaptive chosen keyowrd attack) 에 대해서 안전 (semantically secure)

하다고 정의한다.

Ⅲ. 제안된 스킴

본 장에서는 다중 수신자 환경에서 검색 가능한 공개키 암호 시스템 (mPEKS)을 제안하고 제안된 스킴의 안전성을 랜덤 오라클 모델에서 분석한다. 제안된 스킴의 안전성은 1-BDHI(Bilinear Diffie-Hellman Inversion) 문제의 어려움에 기반을 둔다.

3.1 mPEKS 스킴

q을 g를 q의 생성원 (generator)으로 갖는 그룹이라고 하고 q에서 1-BDHI 문제가 어렵다고 가정하자. 함수 e: GiXGj—q를 bilinear 함수라고 가정하자. 이때, e(g, g)는 Q의 생성원이다., 는 안전성파라메터 (security parameter) 라고 하고 H「.{ 과 乌 : 0-{0, 1尸 는 랜덤 오라클로 model 될 해쉬함수이다. mPEKS 스킴은 다음 4개의 다항식 시간 알고리즘으로 구성된다.

. KeyGenW : 수신자 国 대하여 임의의 랜덤 값 约wg를 선택하여 仇 =g°를 계산한 후. 공개키와 개인 키 쌍 (爵⑶)를 생성하여 사용자 Z에게 안전하게 전송하고 场를 공개한다.

.mPEKS{R, w)-. 수신자의 공개키의 집합 7?={幻%, …, 肩과 검색어 "를 입력받은 후. 다음을 계산한다.

1. 임의의 手 를 선택하여 q={辭, 必...现}를계산한다.

2. @=%(沁, 乌(分))를 계산한다. 3. 암호문 c=[q, q]를 생성한다.

. Trapdoor(x, , w): 수신자 Z의 개인키 와 검색어 w 를 입력받은 후, 트랩도어 Tw = 耻对" 를 출력한다. . TestkGTj- 암호문 c=[q, q]와 트랩도어 Tu 를 입력받은 후 다음을 테스트 한다 .

1. q=%(e(纺, 九)) (顶 =l, ..., n)인지를 체크한다. 2. 만약 1의 등호가 성립하는 丿값이 존재하면 "예”를 출력하고 그렇지 않으면 "아니오"를 출력한다.

3.2 안전성 분석

본 절에서는 mPEKS 스킴의 안전성을 1-BDHI 문제에 기반하여 증명한다.

정리 4. 다중 수신자 환경에서 검색가능한 공개키 암호 (mPEKS) 스킴은 l-BDHI(Bilinear Diffie- Hellman Inversion assumption) 이 intractable 하다는 가정아래 랜덤 오라클 모델에서 Chosen keyword attack 에 대하여 semantically secure하다.

증명. 공격자』를 mPEKS 스킴에 대한 공격의 advantage e을 갖는 공격자라고 가정하자. 이때, A 는 기껏해야 戏개의 트랩도어 쿼리를 만들 수 있다고 가정하자. 우리는 1_BDHI 문제를 节는데 있어서 W = de <如 侦읙 advantage-f- 갖는 공격자 R를 construt 할 수 있다는 것을 보임으로써 스킴에 대한 안전성을 증명한다. 여기서, e는 자연지수(natural logarithm) 이다.

9를 q의 생성원(generator)이고 g, “i =g«eGi이 1-BDHI 문제의 입력값으로 주어졌다고 가정하자. 알고리즘 B의 목적은 e(g, g)Weq 를 계산하는 것이다. 알고리즘 B는 다음과 같이 공격자』와 interact 한다

Setup- 알고리즘 3는 랜덤값 twz; 를 선택하여 〃의 공개키를 y, = = 9 ' *' 로 놓고 伤(« = 1, ..., 儿)을 공개한다.

- queries'- 공격자』는 랜덤오라클 乌에 언제든지 쿼리할 수 있다. 공격자 4가 쿼리했을 때 대답하기 위해서 알고리즘 B는 丑「리스트 라 불리는 <w„hl, el, c, >의 tuple의 리스트를 저장 그리고 관리한다. 4가 叫 w {* 0, 1} 를 쿼 리 했을 때 알고리 즘 B는 다음과 같이 대답한다.

1. 叫 가 이미<叫, 如, e"c, >의 형 태로 丑「리스트에 존재하면 알고리즘 B는 H&") = h, e 伝로 답한다. 2. 凹 가 H「리스트에 존재하지 않는다면 알고리즘 R는 Pr[c; =이 = 1/(五 + 1)를 만족하는 확률로 랜덤코인(random coin) c戶 {0, 1}을 생성한다.

3. 알고리즘 B는 랜덤 e, eg를 선택하여 弓 =0이면 ht =/'G(* 이라 하고 c. = 1이면 底 q 라고 한다.

4. 알고리즘 E는 <wvht, evc, >를 丑「리스트에 추가하고 H) * &u = hKG[로 셋팅하여 공격자 4에게 답한다. 여기서 , h느 G에서 uniform 하고 4의 view 에 독립이어야 한다.

H2 - queries'- H、오라클 구성과 비슷한 방법으로, 공격자 H는 랜덤오라클 %에 언제든지 쿼리할 수 있다. 공격자 4가 t를 驾에 쿼리하면 t가 이미 耳- 리스트에 의 형태로 존재하면 알고리즘 B는 相、) = V로 답한다. 만약 존재하지 않는다면 알고리즘 3는 랜덤값 作 {0, 1 尸를 선택하여 Hj、t)= I로 놓고 답하고 (t, V)를 %-리스트에 추가한다. 초기단계의 乌-리스트는 공집합(empty set) 이다.

Phase 1 (트랩도어 쿼리): 공격자』는 검색어 並 에 대한 수신자 ? 의 트랩도어를 위한 쿼리를 생성을 요구할 때, 알고리즘 3는 다음과 같이 대답한다. 1. 알고리즘 B는 乌 (挤) = 乌 (妇 = "戶q인 h戶(% 을 얻기 위해서 H、함수와 丑「리스트를 검색하다. <%九甫片 > tuple 이 丑「리스트에 있는 凹 = 挤인 tuple이라고 가정하자. 만약 勺 =0이면 알고리즘 4는 실패하고 종료한다.

2. c. = l 라면 hj=u^eG1 이기 때문에, 알고리즘 B는 수신자의 공개키 %에 대응하는 정당한 트랩도어 歸 = 荷 ' 弓)心 .f:, = 萨 를 생성할 수 있다. 알고리즘 B는 트랩도어 7;를 공격자 4에게 준다.

Challenge- 공격자 4는 수신자의 공개키의 집합 R={yv-, yn} 과 검색어 阳叫를 알고리즘 2쎄게 제공한다. 알고리즘 B는 다음의 challenge 값 C=[q, q]를 생성한다.

1. 알고리즘 3는 4(%) = 扁와 §(期J = s을 만족하는 /知加 w G을 얻기 위해서 乌에 쿼리한다. 여기서 , <wb, hb, eb, cl)> (b = o, i)를 §-리스트에 있는 대응하는 tuple이라고 흐卜자. 만약, $ = 1이고 q = 1이라면 challenge 값 생성에 실패한다.

2. %=0 이거나 q =0 이라면 알고리즘 E는 3e {o, i}을 랜덤하게 선택하여 다음의 과정을 통해서 challenge 값을 생성한다. (일반성을 잃지않고, c, =0인 /값을 b로 선택해도 된다.)

(1) 알고리즘 3는 랜덤값 虹三 g를 선택하여 <}> - k 를 계산하여 q=g'气을 생성한다. 여기서, 임의의 랜덤값 彳에 대해서 r = f* c/a 만족하는 적당한 作号이 존재한다. 따라서, 寸5=(、旳 = (gg)"=(g 呼을 만족한다.

(2) 알고리즘 B는 랜덤값 ZW {0, 1 尸를 선택하고 검색어 叫에 대한 암호문 d = [q, 이 = [q, N 를 생성한다. 이때, Z=%(e(g, H[(Wb)r)) 이 되고 e(g, %( 电), )

= e(g, 4* (%))Wa=e(g, g"g=(e(g, g"»)" 이다.

Phase 2 (트랩도어 쿼리): 공격자 4는 凹 砰 w0, wx 인 검색어 沔에 대한 트랩도어 쿼리를 질의한다. 알고리즘 虎 Phase 1에서와 동일한 방법으로 답한다. 출력단계: 공격자 4는 암호문 d 가 %에 대한 암호문인지 "1 에 대한 암호문인지를 결정하여 b'을 결과로 출력한다. 알고리즘 3는 %-리스트로부터 (t, V) 를 임의로 선택하여 ?偈 ' 를 결과인 e(g, g)恥로 얻는다. 여기서, %와 fc는 Challenge 단계에서 선택된 값이다.

알고리즘 B7} 적어도 e'의 확률로 결과인 e(gg)니« 를 얻는다는 것을 다음의 사건들을 이용하여 보일 수 있다. 여기서 이용하는 사건들의 정의와 접근은 PEKS 스킴에서의 증명에서의 방법을 그대로 따른다 [1], 따라서 자세한 증명은 생략한다.

E1 : 알고리즘 E가 공격자 4의 트랩도어 쿼리를 abort하지 않는다 .

氐 : Challenge 단계를 abort하지 않는다 .

E3 : Output 단계에서 올바른 e(g, g)恥의 값을 얻도록 乌-리스트로부터 (t, V)를 제대로 선택한다.

보조정리 1. Pr困] >l/e

보조정리 2. Pr屬愷1/<如 보조정리 3. Pr[爲] >2e

결과적으로 보조정리 3에 의해서 应 H、(w沪 = e(g, 4 W =e(g, f = 0g时吋 - *는 乌- 리스트에 나타날 것이기 때문에 알고리즘 3는 적어도 i/q耳의 확률로 올바는刀쌍을 선택할 것이고 적어도 Q饥의 확률로 올바른 값을 답을 얻을 것이다. 또, 적어도 l/(eg『)의 확률로 도중에 실패해서 멈추지 않을 것이기 때문에 알고리즘 B 는 적어도 deqT省 확률도 1- BDHI문제를 해결할 수 있다. 口

Ⅳ. 결론

본 논문에서는 다중수신자를 고려한 효율적인 검색 가능한 공개키 암호시스템(mPEKS)을 제안하였다. 우리는 mPEKS에서 고려되어져야 할 안전성을 정의하고 안전성 모델에서 제안된 스킴의 안전성을 랜덤 오라클 모델하에 증명하였다. 본 논문에서 제안한 스킴은 특히 다수의 사용자가 이용하는 서버측면의 계산량을 개선하였기 때문에 의미가 있다. 최근에 암호화된 데이터에서의 검색기술에 대한 연구가 활발해 지면서 특히 쿼리의 다양성에 대한 연구도 함께 진행되고 있다. 다중수신자를 고려한 효율적인 검색가능한 공개키 암호시스템에서도 쿼리의 다양성을 위한 연구가 필요하다.

References

  1. D. Boneh, G.D. Crescenzo, R. Ostrovsky, and G. Persiano, "Public Key Encryption with Keyword Search," In Advances in Cryptology-Eurocrypt 2004, LNCS 3027, pp. 506-522, 2004 https://doi.org/10.1007/978-3-540-24676-3_30
  2. D. Boneh and B. Waters, "Conjunctive, subset, and range queries on encrypted data," In proceedings of TCC'07, LNCS 4392, pp. 535-554, 2007 https://doi.org/10.1007/978-3-540-70936-7_29
  3. Y.C. Chang and M. Mitzenmacher, "Privacy preserving keyword searches on remote encrypted data," In Third International Conference on Applied Cryptography and Network Security(ACNS 2005), LNCS 3531, pp. 442-455, 2005 https://doi.org/10.1007/b137093
  4. E.J. Goh, "Secure Incexes," Technical report 2003-216, In IACR ePrint Cryptography Archive, 2003
  5. P. Golle, J. Staddon, and B. Waters, "Secure conjunctive keyword search over encrypted data," In proceedings of ACNS 2004, LNCS 3089, pp. 31-45, 2004 https://doi.org/10.1007/b98360
  6. Y.H. Hwang and P.J. Lee, "Public Key Encryption with Conjunctive Keyword Search and Its Extension to a Multi-user System," In proceedings of Pairing 2007, LNCS 4575, pp. 2-22, 2007 https://doi.org/10.1007/978-3-540-73489-5
  7. W. Ogata and K. Kurosawa, "Oblivious Keyword Search," Journal of Complexity,Vol. 20, No. 2-3, pp. 356-371, Apr.-June,2004 https://doi.org/10.1016/j.jco.2003.08.023
  8. R. Richardson, "2007 CSI Computer Crime and Security Survey," The 12thAnnual report of computer security society, CSt 2007
  9. D.X. Song, D. Wagner, and A. Perrig, "Practical techniques for searches on encrypted data," In Symposium on Security and Privacy IEEE, pp. 44-55, May 2000