Public Key Encryption with Keyword Search for Restricted Testability

검증 능력이 제한된 검색 가능한 공개키 암호시스템

Abstract

To provide efficient keyword search on encrypted data, a public key encryption with keyword search (PEKS) was proposed by Boneh et al. A sender encrypts an e-mail and keywords with receiver's public key, respectively and uploads them on a server. Then a receiver generates a trapdoor of w with his secret key to search an e-mail related with some keyword w. However, Byun et al. showed that PEKS and some related schemes are not secure against keyword guessing attacks. In this paper, we propose a public key encryption with keyword search for restricted testability (PEKS-RT) scheme and show that our scheme is secure against keyword guessing attacks.

공개키 기반의 키워드검색 시스템 (PEKS)은 암호화되어 저장된 데이터에 대한 효율적인 키워드 검색을 위해 Boneh 등에 의해 처음으로 제안되었다. 송신자는 메일내용과 키워드를 각각 수신자의 공개키로 암호화하여 서버에 전송하고, 수신자는 자신의 개인키로 키워드에 대한 트랩도어를 생성하여 키워드를 포함하는 메일을 검색할 수 있는 기법이다. 그러나 Byun 등은 PEKS 기법과 PEKS를 기반으로 한 몇 가지 기법들이 오프라인에서 키워드 추측 공격(keyword guessing attack)이 가능하다는 것을 보였다. 본 논문에서는 키워드 추측공격에 대한 안전성을 제공하는 검증 능력이 제한된 검색 가능한 공개키 암호시스템(Public Key Encryption with Keyword Search for Restricted Testability, PEKS-RT)을 제안한다.

Ⅰ. 서론

스마트 폰을 비롯한 통신기기의 발달로 인해 인터넷에 대한 접근이 용이해지면서 저장, 전송되는 정보의 양이 급격히 증가하고 있다. 특히 개인의 민감한 정보를 포함한 디지털 정보들은 개인의 컴퓨터뿐 아니라 서비스를 제공하는 웹서버, 이메일(e-mail) 서버 등의 외부서버에 저장되기도 한다. 그러나 최근 신세계몰 등 23여개의 인터넷 사이트에서 개인정보가 대량으로 유출된 사건〔6〕과 같이 외부공간에 저장된 정보는 해킹과 바이러스를 통해 유출될 위험이 있다. 데이터 누출로 인한 개인정보 유출은 개인의 프라이버시 침해를 초래하고, 기업이나 정부의 정보유출은 국가적인 측면에서도 상당한 손실이다.

데이터 프라이버시를 제공하기 위한 기술로는 데이터를 암호화하여 저장하는 방법이 있다. 정당한 키를가진 사용자만이 암호화된 데이터를 복구해볼 수 있기 때문에 키를 모르는 공격자는 저장된 암호문으로부터 그 내용에 대한 정보를 얻을 수 없어 안전성이보장된다. 그러나 데이터를 암호화하여 저장하면 데이터베이스 관리가 어렵고, 검색성능이 떨어지는 문제가 발생한다. 이러한 문제점을 해결하기 위한 방법으로 2000년에 Song 등에 의해 웹하드나 블로그와같이 공개된 DB에 적용 가능한 암호화된 데이터 상에서의 키워드(keyword)를 검색할 수 있는 시스템이 제안되었다〔5〕. Boneh 등이 제안한 검색 가능한공개키 암호시스템은 (Public Key Encryption with Keyword Search, PEKS)은 이메일 시스템에서 메일내용과 키워드를 각각 수신자의 공개키로암호화하고 함께 전송하여, 수신자가 자신의 개인키를 사용하여 키워드를 검색할 수 있는 기법이다〔2〕. 수신자는 검색하고자 하는 키워드와 자신의 개인키로트랩도어(trapdoor)를 생성하여 서버에 전송하고, 서버는 트랩도어와 키워드 암호문을 검증(Test) 함수에 넣어 동일한 키워드인지 비교, 검색한다. 해당하는 키워드를 포함하고 있다면 메일을 암호화된 상태로 수신자에게 전송한다. 즉, 서버는 복호화 과정 없이 키워드를 검색할 수 있다. 이후 Byun 등은 검색가능한 공개키 암호시스템(PEKS)과 PEKS를 기반으로 한 몇 가지 기법들이 오프라인에서 키워드 추측공격(keyword guessing attack)0] 가능하다는것을 보였다〔3〕. 정당한 트랩도어를 얻은 임의의 공격자는 키워드를 추측하여 수신자의 공개키로 키워드암호문을 생성할 수 있기 때문에 검증 함수를 이용하여 트랩도어에 사용된 키워드와 추측한 키워드가 동일한지 확인할 수 있다. 또한 PEKS 기반의 시스템은 동일한 키워드에 대해서는 송신자와 관계없이 하나의 트랩도어에 대한 정보가 드러나면 그에 대응하는 모든 키워드 암호문의 정보가 노출된다는 문제점이 있다.

트랩도어에 대응하는 키워드 암호문을 생성할 수있는 능력을 제한한다면 키워드 추측 공격에 대한 안전성을 제공할 수 있게 된다. 더 나아가 이러한 구조는 앞에서 언급한 트랩도어에 대응하는 키워드 암호문에 대한 안전성의 문제도 해결하게 된다. 트랩도어에대응하는 암호문을 생성할 수 있는 능력을 제한하기위해서 키워드와 수신자의 개인키, 그리고 송신자의공개키를 이용해서 트랩도어를 생성하고, 키워드와 수신자의 공개키, 그리고 송신자의 개인키를 이용해서키워드 암호문을 생성하는 방법을 고려하였다.

키워드를 암호화하는 과정에서 송신자의 개인 키를 사용하기 때문에 개인키를 모르는 공격자는 정당한 트랩도 어를 얻는다 해도 대응하는 키워드 암호문을 생성할 수 없다. 따라서 이 시스템은 임의의 공격자에게 검증 능력이 제한되어 키워드 추측 공격에 안전하고, 동시에 암호문에 대한 안전성을 보장한다.

검색측면에서 보면, 트랩도어를 생성할 때 송신자의 공개키를 사용하기 때문에 수신자가 특정 송신자를지정하여 검색할 수 있다. 즉, 수신자가 서버로부터전송받는 암호문은 선택한 키워드를 포함하면서 수신자가 지정한 송신자로부터 생성된 메일 암호문이다. 만일 기본적인 이메일 시스템에서와 같이 송신자의 정보가 알려져 있거나 송신자별로 메시지가 분류되어 있다면, 수신자가 트랩도어를 생성할 때 검색하고자 하는 송신자의 범위를 제한하여 서버에 전송하게 되는경우 서버의 검색범위를 줄여서 Test단계에서의 계산량을 줄일 수 있다.

본 논문에서는 검증 능력이 제한된 검색 가능한 공개키 암호(Public Key Encryption with Keyword Search for Restricted Testability, PE- KS-RT) 기법을 제안하고. 그에 대한 안전성을 BDH 가정 (Bilinear Diffie-Hellman Assump- tion) 에 기반을 두고 랜덤 오라클(random oracle) 모델에서 증명한다.

1.1 관련연구

암호화된 데이터 상에서 효율적인 검색능력을 제공하기 위해 2000년에 Song 등에 의해 공개된 DB에 적용 가능한 암호화된 데이터 상에서의 키워드를 검색할 수 있는 시스템이 제안되었다. 이후 많은 키워드검색 시스템이 제안되었고, 20004년 Boneh 등은 겹 선형 함수를 사용한 효율적인 검색 가능한 공개키 암호 시스템 (Public Key Encryption with Keyword Search, PEKS)을 제안하였다. 메일 내용과 키워드를 각각 수신자의 공개키로 암호화하고 함께 전송하여. 수신자가 자신의 개인키를 사용하여 키워드를 검 색할 수 있는 시스템으로 암호화된 메일을 복호화 과정 없이 검색하는 기능을 제공한다. 송신자와 수신자, 그리고 서버로 구성되며 , 송신자가 특정 수신자의 공개키로 메일내용(AZ)과 키워드( 助를 암호화하여 다음과 같은 형태로 서버에 전송한다.

#

서버는 저장된 키워드 암호문들과 수신자로부터 전송받은 검색요청 데이터인 트랩도어(trapdoor)를검증 함수에 넣어 동일성 검사를 한 뒤, 동일한 키워드가 검색되는 경우 해당하는 메일을 암호화된 상태로 수신자에게 전송한다. 이와 같이 서버는 복호화과정 없이 수신자가 원하는 메일을 검색하여 전송할수 있다. 그러나 Byun 등은 검색 가능한 공개키 암호시스템(PEKS)과 PEKS를 기반으로 한 몇 가지기법들이 오프라인 상에서 키워드 추측 공격 Qtey- word guessing attack)이 가능하다는 것을 보였다’ 정당한 트랩도어를 얻은 임의의 공격자는 키워드를 추측하여 수신자의 공개키로 키워드 암호문을 생성할 수 있기 때문에 검증 함수를 이용하여 트랩도어에 사용된 키워드와 추측한 키워드가 동일한지 확인할 수 있디' 이후 Baek 등은 수신자와 서버 사이에안전한 채널(secure channel)이 필요 없도록 수신자와 서버의 공개키로 키워드를 암호화하여 그 서버만이 검증할 수 있는 시스템을 제안하였다〔1〕. 트랩도어가 드러나도 키워드 암호문과의 비교는 서버만할 수 있기 때문에 암호문에 대한 안전성이 보장된다. 그러나 이 시스템에서 트랩도어는 기존 PEKS 와 같은 구성으로 되어있기 때문에 PEKS와 동일한구조로 키워드 암호문을 생성하고 검증한다면 여전히 키워드 추측 공격이 가능하다. 이에 대해 Rhee 등은 수신자와 서버의 공개키로 키워드를 암호화하여 지정된 서버만이 검증할 수 있고. 트랩도어가 드러나도 키워드 암호문과의 관련성을 추측할 수 없는키워드 추측 공격에 안전한 PEKS 기법을 제안하였다〔4〕. 그러나 이러한 PEKS 기반의 시스템은 동일한 키워드에 대해서는 송신자와 관계없이 언제나 하나의 트랩도어로 검색하는 것이 가능하기 때문에 하니'의 트랩도어에 대한 정보가 드러나면 그에 대응하는 모든 키워드 암호문의 정보가 노출된다. 이처럼암호화된 데이터에서의 검색기술에 대한 연구가 활발하게 이루어지고 있고. 이러한 연구는 암호화된 데이터에서 다양한 쿼리 (query)가 가능하도록 진화되고 있다.

본 논문의 구성은 다음과 같다. 제 2장에서는 기본적인 배경지식을 설명하고, 제 3장에서는 PEKS-RT 기법에 대한 안전성 모델을 정의한다. 제 4장에서는 PEKS-・RT 기법을 제안하고, 그에 대한 안전성을 증명한디.. 마지막으로 제 5장에서는 결론을 맺는다.

Ⅱ. 배경지식

본 장에서는 제안하는 기법의 구성 및 안전성 증명에 필요한 겹선형 함수(bilinear map) 및 BDH 가정 (Bilinear Diffie-Hellman Assumption)을 설명한다.

2.1 겹선형 함수

겹선형 함수 (Bilinear Maps) : q과 q를 위수가 소수 p인 순환군(cyclic group)이라 하고 g는 G、 의 생성원(generator)이라 히자. 이때 군 G과 G* 에서 이산대수문제(DLP)는 어렵다고 가정한다. 아래와 같은 조건을 만족하는 함수 e ; G X G f q를 유효한 겹선형 함수(admissible bilinear map) 라고한다. 겹선형 함수(bilinear map) e: G, x G2 와 그룹 q가 존재하면 q을 겹선형 그룹(bilinear group)이라고 부른다.

. 겹선형성(bilinearity): 임의의 俨制第와a% e * ; 에 대하여 e* (g, 9")= e&9)"'를 만족한다.

. 비소실성 (non-degeneracy): e (务 을 만족하는 gwG이 존재한다.

. 계산가능성(computability): 임의의 如勿任伝 에 대하여 "如 免)를 계산하는 효율적인 알고리즘이 존재한다.

e(, )는 e(仁 #) = e(g, = e(矿, 广)를 민족하고 이를 페어링 연산의 대칭성(symmetric)이라 부른다.

2.2 BDH 가정

Hardness 가정 (Ifardness Assun車tion) : 본 논문에서 제안한 기법은 BDH 가정 (Bilinear Diffie- Hellman Assumption)의 안전성에 기반을 둔다.

BDH 가정 (Bilinear Diffie-Hellman Assumption) : g를 q의 생성원이라 하자. 주어진 입력 값 대하여 戒叫扩气顼&를 계산하는 문제를 BDH 문제라고 정의한다. 이때 , BDH 문제를푸는데 있어서 의미 있는 확률로 효율적으로 계산할수 있는 알고리즘』가 존재하지 않는다면 BDH문제는 풀기 어렵다(intractable)고 정의한다. 알고리즘 A의 이점(advantage)은 다음과 같은 확률 값으로 정의된다.

#

Ⅲ. 형식적 정의 및 안전성 모델

본 장에서는 PEKS-RT 시스템의 형식적 정의와 증명에 필요한 안전성 모델에 대하여 정의한다. PEKS-RT 시스템은 송신자의 정보가 사용되는 점을 제외하고 Boneh 등이 제안한 검색 가능한 공개키 암호 시스템과 유사하게 구성된다.

3.1 검증 능력이 제한된 검색 가능한 공개키 암호시스템의 형식적 정의

송신자(Sender, S)는 메시지 羽에 대하여 다음과 같은 형태의 암호문을 생성하여 전송한다.

#

수신자(Receiver. R)의 공개키로 암호화하는 일반적인 공개키 암호 시스템을 사용하여 메시지를 암호화하고, 검 색이 가능하도록 키워드 암호문을 생성하여함께 전송한다. 본 논문에서는 키워드 암호문을 생성하는 기법을 제안한다. 검증 능력이 제한된 검색 가능한 공개키 암호시스템 (PEKS-RT)은 다음의 다항식시간 알고리즘들로 구성된다.

. 송신자(S) 키 생성 알고리즘Ke?/Gfe«s(r): 보안 상수(security parameter) 入를 입력받은 후, 송신자의 공개키/ 개인키 쌍 [泌s, S組을 생성한다.

. 수신자(R) 키 생성 알고리즘依gGfezy(F): 보안상수 入를 입력받은 후. 수신자의 공개키/ 개인키 쌍 [pAjpMj을 생성한다.

. 암호화된 검색정보 알고리즘 PEKS-RT (pkR, skg, W0: 수신자의 공개키 泌标와 송신자의 개인 키 sks. 그리고 키워드 用를 입력받은 후, 암호화된 검 색정보 C= PEKS- RT[pkR, skg, 物를생성한다.

. 트랩도어 알고리즘 2?■짜泌Mp&q縮, 闹 : 송신자의 공개키 P%와와. 수신자의 개인키 sk„, 그■리고 키워드 Wt 입력받은 후, 암호화된 키워드인 트랩도어 를 생성한다.

. 검증 알고리즘 7kst(C, Tⅳ)- 암호화된 검색정보 C— PEKS— JH\pkR, skg, [0와 트랩도어 君"를입력받은 후, W= 이면 "yes”를 W * 印”이면 “no”를 출력한다.

3.2 검증 능력이 제한된 검색 가능한 공개키 암호화시스템의 안전성 모델

본 논문에서 PEKS-RT 기법에 대한 안전성의 정의는 암호문이 트랩도어 (trapdoor) 없이는 정보를 노출하지 않는다는 것을 보장한다. 이때, 공격자는 자신이 선택한 키워드 W헤 대한 트랩도어 代를 얻는 것이 가능한 능동적인(active) 공격자 4를 가정한다. 공격자 /의 목적은 트랩도어를 얻을 수 없는 두 개의 키워드 區, % 중 하나에 대한 암호문이 주어졌을 때, 어떠한 키워드에 대한 암호문인지를 결정하는 것이다. PEKS-RT 기법에서 정의된 안전성은 다음의 게임을 이용한다.

. 셋업(Setup) : 챌린저 (challenger)는 키 생성 알고리즘을 이용하여 송신자와 수신자의 공개키/ 개인키 쌍 [泌s, 사니, [湖矿旳J을 생성하고, 공개키 球와 pkj을 공격자 4에게 전송한다.

. 질의 1단계(트랩도어 쿼리) : 공격자 4는 자신이 선택한 키워드 W에 대한 트랩도어 값을 질의하고 챌린저는 를 반환한다.

. 챌린지(Challenge) : 공격자 n는 두 개의 챌린지 키워드 HJ, 珞을 선택한다. 이때, 챌린지 키워드는 질의 1단계에서 트랩도어 질의를 하지 않았던것으로 선택해야한디.. 챌린저는 임의로 b트{0, 1} 를 선택하여 C= PEKS-R7{pkR, skg, I材 값을 계산하여 공격자에게 전송한다.

. 질의 2단계(트랩도어 쿼리) : 공격자』는 IF# Wa, 胃인 키워드 讦를 선택하여 그에 대한 트랩 도어 값을 질의하고, 챌린저는 7話를 반환한다.

. 추측(Guess) : 공격자 4는 作{0, 1}을 추측하여 결과를 낸다. 이때, b=b'이면 공격자 4는게임에서 이긴다.

PEKS-RT 기법에서 공격자 H의 이점(advantage) 은 다음과 같이 정의한다.

#

정의 1. 임의의 다항식 시간 공격자 4에 대해서 4糾(入)가 ne이igible하다면 PEKS-RT 기법은 선택한 키워드 공격 (adaptive chosen keyword attack)에 대해서 안전(semantically secure) 하다고 정의한다.

Ⅳ. 제안 기법

본 장에서는 검증 능력이 제한된 검색 가능한 공개키 암호 기법(PEKS-RT)을 제안하고 제안된 기법의안전성을 랜덤 오라클 모델에서 분석한다. 제안된 기법의 안전성은 BDH(Bilinear Diffie-Hellman) 문제의 어려움에 기반을 둔다.

4.1 PEKS-RT 기법

q[과 는 위수가 소수 p인 순환군(cyclic group) 이고 g는 q의 생성원(generator)이라 하자. 함수 e: G「<G\ —» 乌를 겹선형 함수라고 기-정하자. 이때, e(g, g)는 q의 생성원이다. 누 암호학적 해쉬 힘"수'를 G 과 乌 : q — {0, 1}燮와 같이 정의한다. PEKS-RT 기법은 다음 4개의 다항식 시간 알고리즘으로 구성된다.

. KeyGens(lx) : 임의의 랜덤 값 亦各를 선택하여, 诙s = 를 계산한다. 공개 키/ 개인키 쌍 (P서$ = 仁疏$ = €1]를 생성하여 송신자에게 안전하게 전송하고 休$를 공개한다.

. KeyGene : 임의의 랜덤 값 即%를 선택하여 "를 계산한다. 공개키/ 개인키 쌍 W粉 = 9七아希=\用를 생성하여 수신자에게 안전하게 전송하고 p&S을 공개한다.

. PEKS-RIXpkeskg, WO : 수신자의 공개키 P褊=蛆와 송신자의 개인키 sks = a, 그리고 키워드 W 입력받은 후, 다음을 계산한다.

1. 임의의 件Z;를 선택하여 C\T、N를 생성한다.

2. t = e(矿 (/)°广를 계산하여, q = %3) 를 생성한다.

3. 암호문 를 생성한다.

. Trapdooripke skR, W) : 송신자의 공개키 pks = ga 와 수신자의 개인키 skK = /3, 그리고 키워드 II를입력받은 후, 트랩도어 7"、g* . 4(前)。를 출력 한다.

. Test{C, T„, ) : 암호문 C= \CV q]4 트랩도어 %를 입력받은 후. G=%(e(wq))의 등호가 성립하면 “yes"를, 성립하지 않으면 "no”를 출력한다.

정확성(Correctness). 위에서 제안한 기법은 정확성을 가짐을 다음과 같이 쉽게 보일 수 있다.

- 트랩도어 검증 과정(Test). 저장된 암호문 C= [C;, q]와질의한 트랩도어 Tw = (ga - %(助尸 에 대한 검증은 다음과 같은 과정을 통하여 확인할 수 있다.

#

4.2 안전성 분석

본 절에서 PEKS-RT 기법의 안전성을 BDH 문제에 기반히.여 증명한다.

정리. 두 해쉬 함수 乌과 丑2를 랜덤 오라클 (random oracle)이라고 가정하자’ PEKS-RT 기법은 랜덤 오라클 모델에서 BDHCBilinear Diffie- Hellman) 가정아래 선택한 키워드 공격(Chosen Keyword Attack)에 대하여 안전하다.

증명. 공격자 4를 PEKS-RT 기법에 대한 공격의 이점 (advantage) e을 갖는 공격자라고 가정하자. 이때, 4는 최대 <7也개의 H₂ 해쉬 쿼리와 최대 如 개의 트랩 도어 쿼리를 만들 수 있다고 가정하자. BDH 문제를 푸는데 있어서 «' = 北%賑의, 이점을 갖는 알고리즘 3가 존재한다는 것을 보임으로써 기법에 대한 안전성을 증명한다. 여기서 e는 자연 상수(natural logarithm) 이다.

g는 G, 의 생성원이고, BDH 문제의 입력 값으로 "I” =g°, u2=9七*=<严시이 주어졌다고 가정하자. B의 목표는 u = e(g, g)"。'"를 계산하는 것이다. B는』를하위 루틴으로 실행하고 .4의 공격환경을 다음과 깉-이시뮬레이션 한다.

. 셋업 : 3는 임의의 彳를 선택하여 泌s = g, 를계산하고, 4세게 공개키 p縮와 泌#=%를 전송한다.

. 丑广해쉬쿼리 : .4는 랜덤 오라클 %에 언제든지질의할 수 있다. 질의에 응답하기 위해서 3는 < 吗 h*, q , , a >의 리스트를 处에 저장하고 관리한다. 초기단계의 虹드 공집합(empty set)이다. 4가 胃e* {o, i} 에 대한 질의를 요청할때, 3는 다음과 같이 시뮬레이션 한다.

1. 尾가 이미 < 胃, 底, a, , q >의 형태로 如에 존재하면 3는 4(1%) =를 반환한다.

2. 그렇지 않으면 3는 Pr[c, =이 = 1/(戏> + 1)의 확률을 만족하는 임의의 코인 (random coin) 弓任 {0, 1}을 생성한다.

3. 3는 임의의 a产彳를 선택하여 弓 =0이면 h, =% . g"'住G、을 계산하고 弓 =1이면 h.= 을 계산하여 乌(辑)=底를 반환한 후< 崙, 底, 印, 弓 >를 如에 추가한다.

. 马-해쉬쿼리 : 田 오라클 구성과 유사한 방법으로』는 랜덤오라클 %에 언제든지 질의할 수 있다. n가 垢q에 대한 h2 질의를 요청할 때, 만약 t가 이미 站, 에 (t, V)의 형태로 존재하면 B는 4(t)=r를 반환한다. 그렇지 않으면 임의의 作{0, 1}'。既를 선택하여 丑2(t)= V를 반환하고, (t, 0를 必에 추가한다. 초기단계의、토 공집합(empty set)이다.

. 질의 1단계(트랩도어 쿼리) : /가 키워드 庵에대응하는 트랩도어 값을 질의할 때. B는 다음과같이 시뮬레이션 한다.

1. B는 = h戶a를 만족하는 底wq을 얻기 위해 乌함수와 如를 검색한다. 如에 키워드 用 에 대응하는 < 理, 眼, &, q >이 저장되어 있다고 하자. 만약 c, =0이면 B는 시뮬레이션을 중단한다.

2. c, =1이면 ht =g%EG]이므로 B는 4에게 키워드 用에 대응하는 정당한 트랩도어 4=";" = 0 . g°T =(9r . § ( 用))“를 생성 하여 彳를 반환한다.

. 챌린지 : H는 두 개의 키워드 % 叫를 선택하여 ^8에게 전송한다. B는 다음과 같이 시뮬레이션 한다.

1. 3는 即阕) = 偽와 4(%) = 外을 만족하는 /切加 wq을 얻기 위해서 %에 질의한다. 虹 {0, 1} 에 대해 키워드 用에 대응하는 < 珥, 徧 %, 4 >이 必에 저장되어 있다고 하자. 만약 %=q =1이면 3는 시뮬레이션을 중단한다.

2. $ =0이거나 q =0이면 3는 q=0인 bw{0, l}를임의로 선택한다. (하나의 값만 0이라면, c6=0 인 曜 선택한다.)

3. 3는 임의의 丿跛를 선택하여 키워드 玳 에 대한 암호문 <7= [6[, 弓] = 曜, 』를 생성하여 반환한다. J= H或e(g . 丑1(屁), 呢尸)라 하면 C 는 凰에 대한 정당한 암호문이 되고 다음이 성립한다.

#

・ 질의 2단계(트랩도어 쿼리) : 4는 屁 X 1%, 飪 인 키워드 贸에 대응하는 트랩도어 값을 질의한다. B는 질의 1단계에서와 동일한 방법으로 시뮬레이션 한다.

. 추측 : 4는 암호문 (가 庇에 대한 암호문인지 用에 대한 암호문인지 결정하여 He{o, 1}을결과로 출력한다. 3는 4&로부터.(t, V)를 임의로 선택하여 z = t/e(%, “3)* +히를 계산하고, 결과 값으로 缶를 출력한다. 여기서 %는 챌린지 단계에서 선택된 값이다.』가 정확하게 추측하기 위해서는 %(e(矿 . 即峻), 说广)와 %(e(矿 . 乌(屁), 饼广) 중 적어도 하나는 질의를 했어야만 하므로 虬는 1/2의 확률로 t* = 心 . 乌 (垸), u\ 广 = e(g, 泸" + * + %)}를포함한다. 만약 a가 互电로부터 (t*, V)를 선택한다면 출력 값 疗은 疙= Vt7e(«p«3)r(r + <, t) = e(g, g)必 을 만족한다.

B가 e(g, g)", 를 정확하게 출력할 확률이 e'이라는것을 증명하기 위해 다음 사건을 정의하여 시뮬레이션이 실패하지 않을 확률을 계산한다.

号 3는』의 트랩도어 쿼리 단계에서 시뮬레이션을 중단하지 않을 사건.

E「B는 챌린지 단계에서 시뮬레이션을 중단하지않을 사건.

표, : 』는 乌 (e(g「.%(%), 呢尸)와 %(e(矿 . 丑1(坞), 而)。중 적어도 하나는 질의할 사건.

보조정리 1: Pre] > 1/e

증명. 일반성을 잃지 않고, 』가 동일한 키워드에대한 트랩도어를 질의하지 않는다고 가정한다. > ]./(%_, +1)임을 보이기 위해, 珞를 공격자가/번째로 질의한 키워드라 하고, 그에 대응하는 < 如 %, q >이 知에 있다고 가정하자. 트랩도■어값으로 반환된 값 중에 C, 에 종속인 값은 %( 用) 뿐이고, 乌 ( 庇)의 분포는 C, 의 분포와 같기 때문에 시뮬레이션이 중단될 확률은 최대 1/(奴+1)이다.』는 최대 戏번의 트랩토어 값을 질의하므로 트랩도어 쿼리에서시뮬레이션이 중단되지 않을 확률은 Pr[£:1]=(l-1/ (gr + l))5r> 1/e 이다’

보조정리 2: Pr[E, ] >l/9j,

증명. b = Ql 에 대해 1%에 대응하는 < W"知%% > 이 £功에 있다고 가정하자. B가 챌린지 단계에서 시뮬레이션을 중단하는 경우는 Z瓦에서 %, 邕에 대응하는 乌가 % = q =1을 만족하는 경우이다. 1%와 Wy 은 트랩도어 값을 질의하지 않았고, 두 확률 Pr& = 이 = 1/(红+1), b = O, le 서로 독립이기 때문에 시뮬레이션이 중단될 확률은 Pr [q, = c; = 1] = (1-1/(幻 -1))2 M 1-1/如 를 만족한다. 따라서 챌린지단계에서 시뮬레이션이 중단될 획률은 Pr [j밍 2—/五 이다.

4는 챌린지 단계에서 질의하는 키워드 吗와 頃에대해서는 트랩도어 값을 질의하지 않기 때문에 사건 色 과 尼는 서로 독립이다. 그러므로 PrteAfi, ] > l/(egr) 이 성립한다.

보조정 리 3: Pr [E:i] > 2e

증명 . , 4가 % (e (/ . H} ( 叫), u; )3) 와 ff2(e 微 . W 珥), 雄)')를 질의하지 않는다고 가정하자. <4에게 주어지는 암호문 (에 대해, 4가 추측한 결과 값 作{0, 1}은 b = g을 만족할 확률이 최대 1/2이다. A 는 공격의 이점 e을 갖는 공격자이므로-l/2i >e°] 성 립 한다.

#

두 식에 의해 e 늬Pr[b = 硏 - U24?PrL끼이 성립하고, 따라서 Pr[^] >2eo]i4.

보조정리 3에 의해 必에는 적어도 Q 확률로 f =e(/ - % ( 0爲 up7 = e(9, + 이}를 만족하는 广가 존재한다. 么에서 올바른 (匸 V)를 선택할 확률은 최소 1/細이므로 B는 적어도 e/处의 확률로 올바른 값을 얻을 수 있다. 그리고 보조정리 1과 보조정리 2에 의해 3는 적어도 1/0沈의 확률로 시뮬레이션을 중단하지 않는다. 따라서 3는 적어도 니ag의 확률로 BDH 문제를 해결할 수 있다. 위의 시뮬레이션을 통해 다음과 같은 결과를 얻을 수 있다. 의미 있는 (non-negligible) 확률로 제안 기법의 안전성을 깰 수 있는 알고리즘.이 존재한다면. BDH 문제를 해결할 수 있는 효율적인 알고리즘이 존재한다.

Ⅴ. 결론

본 논문에서는 검증 능력이 제한된 검색 가능한 공개키 암호시스템(PEKS-RT)을 제안하였다. PE- KS-RT 기법에 대한 안전성 모델을 정의하고, 그에따라 PEKS-RT에 대한 안전성을 랜덤오라클 모델에서 증명하였다. 기존에 검색 가능한 공개키 암호 시스템은 모두 키워드 추측 공격이 기능했다. 본 논문에서제안한 기법은 임의의 공격자에게 검증 능력이 제한되어 서버를 지정하지 않아도 키워드 추측 공격에 안전하고, 동시에 암호문에 대한 안전성을 보장한다는점에서 의미가 있다. PEKS-RT 기법에서는 송신자의 수가 증가함에 따라 트랩도어의 수도 함께 증가하는■데 이 수를 줄이도록 하는 연구가 필요하다.