Known-plaintext attack of the Domingo-Feller's first privacy homomorphism scheme

Domingo-Ferrer의 첫번째 privacy homomorphism에 대한 알려진 평문 공격

Abstract

We analyze Domingo-Feller's first privacy homomorphism scheme with known-plaintext attack As a result, it is possible to get the secret key if we blow two known plaintext-ciphertext pairs when modulus n is public, and three or more pairs are sufficient when modulus n is secret.

우리는 Domingo-Ferrer의 첫 번째 privacy homomorphism 스킴에 대하여 알려진 평문 공격을 한다. 그 결과, 법 n이 공개일 경우에는 두개의 평문-암호문 쌍이, 비밀일 경우에는 세 개 또는 그 이상의 평문-암호문 쌍이 있으면 비밀키를 얻기에 충분하다는 것을 보인다.

Ⅰ.서론

Privacy homomorphism(이하 PH)의 개념은 Rivest 등에 의해서 1978년에 처음으로 소개되었다 ⑴. PH란 복호화 함수에 대해서 모르더라도 암호화된 자료만 가지고도 계산을 가능하게 하는, 즉 평문 X, 9를 모르더라도 암호문 £(/와 矶小를 안다면 이를 이용하여 E(x + y) 또는 E(旳)와 같은 것을 계산할 수 있는 암호화 방식이다. 우리가 잘 아는 RSA 암호도 E(zG=E(z)E(g)의 성질을 가지므로 PH의 일종이라 할 수 있다.〔1〕에서는 여러가지 방식의 PH 들이 소개되었는데 그 중 두 가지는 알려진 평문 공격 (Known Plaintext attack)에, 다른 두 가지는 암호문 단독 공격 (Ciphertext Only attack)에 취약하다는 것이 Brickell 등에 의해서 밝혀졌다⑵. Brickell 등은 그 외에도 R-additive PH라는 개념을 제시한 후 암호문 단독 공격에 안전하다고 생각되는 R-additive PH를 제시하였다. R-additive PH란 암호문들만을 이용해서 대응하는 메세지들의최대 R개까지의 합에 해당하는 암호문을 계산할 수 있는 암호화 방식이다. 일반적인 PH보다 조건을 강화시킴으로써 안전성을 얻으려 했던 방식인 것이다. 그 후 1996년에 Domingo -Feirer에 의해서 덧셈, 뺄셈, 곱셈이 모두 가능한 대수적 PH가 제시되었고 (이하 PHD⑶, 알려진 평문 공격에 안전하다고 주장되었다. 하지만 이 방식은 두 암호문의 곱셈을 하면 할수록 암호문의 분량이 급격히 커지는 단점이 있었다. 이런 단점을 보완한 새로운 방식이 2002년에 같은 저자에 의해서 제시되었고(이하 PH₂)t4). 저자들은 PH₂가 알려진 평문 공격에 안전하다고 주장하였다. 하지만 1년 후 PH₂가 알려진 평문 공격에 취약하다는 사실이 밝혀졌고E6J, 그 후 PH₁ 역시 알려진 평문 공격에 취약하다는 사실이 Cheon 등에 의해서 밝혀졌다⑺.

본 논문에서는 PHi에 대해서 Cheon 등의 알려진 평문 공격보다 더 , 적은 수의 알려진 평문-암호문 쌍으로 공격할 수 있음을 보인다. Cheon 등의 알려진 평문 공격은 암호화에 쓰이는 랜덤한 다항식의 차수가 라 할 때, d+1 개 이상의 알려진 평문-암호문쌍을 필요로 하는 반면 제안하는 방식은 2개 정도의 알려진 평문-암호문 쌍만으로 공격할 수 있다.

Ⅱ. Domingo-Ferrer의 스킴

여기서는 1996년에 발표된 Domingo-Ferrer의 스킴 PHi을 살펴본다.

® 공개된 값 : n과 d (n은 안전성을 높이기 위해 비밀이 될 수도 있다. 그럴 경우에는 효율성이 떨어진다.)

® 비밀키 : pq = n 을 만족하는 큰 소수 p 와 q, 為 -{아에서 큰 부분군을 생성하는 수 七 u 妾와 %에 대해서 비슷한 성질을 만족하는 七 e 4 .

® 암호화 : 메세지를 aw 盆 라 s 하자. 다음 조건을 만족하는 d차 이하의 랜덤한 다항식 /(X) e /(0)= 0, /(l)modn = a 를 선택한다. 암호 문은 다음과 같다.

#(1)

암호문은 다항식의 계수로서만 표현되고, 七와 r? 의 값은 암호문에서 드러나지 않는다.

® 복호화 : 암호문을 (缶(X), g, (X))라 하자: 七와 七를 이용하여 fJX) =%(腭次如0<切와 fq(X) = %(r;TX)inodq를 계산한 후, ap = fpM =a(modp) 와 % =九⑴ =a(modq)를 계산하고, 중국인의 나머지 정리를 이용, 메세지 a를 계산한다.

암호화된 메세지에 대한 덧셈, 뺄셈, 곱셈의 계산은 다항식의 덧셈, 뺄셈, 곱셈을 그대로 이용하면 된다. n이 공개되어 있을 경우에는 다항식의 계수들을 법 n으로 계산하고, n이 비밀일 경우에는 계수를 정수로서 계산하면 된다. 곱셈 횟수가 증가하면 다항식의 차수가 커지기 때문에 효율성이 감소하며, e이 비밀인 경우에는 계수의 크기가 급격히 증가해서 비효율적이다.

Ⅲ. 알려진 평문 공격

여기서 우리는 Domingo-Ferrer의 PHi에 대한 새로운 알려진 평문 공격을 제안한다. Cheon 등의 공격법은 행렬식을 이용하였는데, 우리는 다항식의 종 결식 (Resultant)을 이용하여 더 좋은 결과를 얻을 수 있음을 보인다. 종결식을 이용한 공격은 Wagner가 Domingo-Ferrer의 PH₂를 분석할 때 사용하였던 방법이다⑸. 우선 종결식의 정의와 성질을 알아보자. 자세한 내용은〔8〕을 참조하기 바란다. 종결식은 Sylvester행렬의 행렬식으로 정의된다. 즉, 주어진 두개의 다항식

#

에 대하여 종결식은 다음과 같이 정의된다⑻.

#(2)

따라서, 주어진 두개의 다항식 /(X)와 g(X)에 대하여 종결식 Res(/, g)를 /와 g의 계수를 이용하여 쉽게 구할 수 있음을 알 수 있다.

또한 종결식은 다음과 같은 식으로도 표현된다⑻.

#(3)

따라서, /와 g가 공통근이 있을 경우에 이 종 결식의 값이 0이 됨을 알 수 있다. 만약 /와 g가 법 p로 공통근이 있을 경우에는 종결식 Res(£g)은 법 p로 0 이 된다. 즉, P의 배수가 된다.

우리는 이와 같은 종결식의 성질을 이용하여 다음과 같은 방법으로 비밀키를 구한다. 우선 두개의 큰 소수의 곱인 "이 공개된 경우를 살펴보고, 그 후 비밀일 경우를 살펴본다.

1. n이 공개된 경우

두 개의 평문-암호문 쌍 (a, (务(x)q(x))), 侬', ("(乂), %'(疝)을 가지고 있다고 가정하자. 底, (X)= %(X)-a, h;(X)=g「X)-d 이라 하면, hp 와 外'은 주어진 평문-암호문 쌍으로부터 쉽게 계산될 수 있으며, 법 P로 공통근를 가짐을 알 수 있다. 따라서 如와 外'의 종결식 Res(/Wy)은 p의 배수가 되어, gcd(n, Rcs(/%J)) 은 n 또는 p 가 된다. Res (如, /匸) 는 <?와 독립적인 값이므로 이 값이 0이 되지 않는 한 g의 배수가 될 확률은 거의 없으므로 gcdS, ResSjp/iJ))는 매우 높은 확률로 p가 된다. p를 구하면, pq = n을 이용, q도 쉽게 구할 수 있다.

일단 P를 알게 되면, 다항식 如成)와 蚌(X)의 법 p에서의 gcdGp, %')를 쉽게 찾아서 법 p로 인수분해하면 공통근들을 찾으며 그 공통근 중 하나가 가 되고, 법 p로 역원을 구하면 七가 된다. 같은 방식으로 /%(X)=%(X)-a와 &J(X)=%'(X)- a'을 이용하여 七도 구할 수 있으므로 비밀키를 모두 구할 수 있다. 다항식을 소수인 법으로 인수분해하는 것이 쉬운 문제라는 것은 주지의 사실이다.

2. n이 비밀인 경우

이 경우에는 위의 경우보다 약간 더 많은 알려진 평문-암호문 쌍이 필요하다. 최소 세개 이상의 평문- 암호문 쌍

#(4)

이 주어져 있다고 가정흐}.자. 위에서와 같은 방식으로 다음과 같은 다항식들을 정의한다.

#(5)

앞에서와 같은 이유로 (5)의 다항식들 hp, h', h;'들은 법 p에서의 공통근으로 rj"를 가질 것이다. 따라서 이들 세 다항식 중 임의의 두 다항식의 종결 식은 p의 배수가 될 것이며, 그 종결식들의 최대공약수 역시 P의 배수가 될 것이다. 즉,

#(6)

라 하면, pl G 임을 알 수 있다.

우선, a를 평문-암호문 쌍으로부터 구한다. 만약 G가 소수라면 p=G 가 되는 것이고, 소수가 아니라면 소인수분해를 통해서 p를 알 수 있다. 일반적으로, 종결식 Res(/ip./ip'). Res(/写, "J), Res(/%', 外, ")들은 소수 p의 배수 중 임의의 하나들이 되므로, 이들의 최대공약수가 P외에 큰 소수를 포함할 확률은 상당히 작다. 따라서 G는 소수이거나 소수 p에 작은수들을 곱한 값이 될 것이고, 쉽게 소인수 분해가 될 것이다. 만약 소인수 분해가 잘 안된다면, 알려진 평문-암호문 쌍이 좀 더 필요하다. 새로운 평문-암호문쌍을 가져와서 "了을 계산한 후, 妇 h] /ij과의 종결 식을 구하고, 그 종결식들과 G의 최대공약수를 구해 보면 소수 p가 되거나, p에 작은 수들을 곱한 것이 될 것이므로 p를 구할 수 있다. hq(X)=gq(X)-a 와 /爲', 當들을 이용하여 마찬가지 방식으로 q 역시 구할 수 있다.

일단 P와 g를 알게 되면 "이 공개일 경우와 같은 방식으로 七와 爲를 구할 수 있고, 비밀키를 알게 되어 암호문을 해독할 수 있게 된다.

결과적으로 공격방법에 사용된 계산들, 즉 종결 식을 구하는 것과 다항식들의 gcd를 구하는 것, 그리고 주어진 소수를 법으로 다항식을 인수분해하는 것은 모두 쉽기 때문에 충분히 빠른 시간에 매우 높은 확률로 공격이 가능하는 것을 알 수 있다.

3. 예제

여기서는 예제를 통해서 우리의 방법으로 비밀키를 얻을 수 있음을 보여준다. 공개키와 비밀키가 다음과 같다고 하자.

p = 17952915162207054683,

q= 14270821805301197639,

rp = 5020707987769003944,

=6339887576334177325,

d=6,

n = pq= 256202853165546923555007829714663493437.

평문 두 개를 각각

a=11235813213455891442333776109871597,

a =2134711182940691091782874657441209

라 하고, 두 개의 랜덤한 다항식 /와 f 은 각각

#

#

라 하면 두 개의 메세지 Q와 疽은 다음과 같이 암호화된다.

#

우리는 위 두 개의 평문-암호문 쌍들을 이용해서 비밀키를 구한다. 다음 계산을 통해서 卩와 清 구할 수 있다.

#을 구한 후 종결 식을 구해 보면,

#

가 되며, p= god(n, g) = 17952915162207054683가 되어 P를 구할 수 있고, q 역시 다음처럼 쉽게 구할 수 있다.

q = n/p = 14270821805301197639 .

이제 다음과 같은 과정으로 尸卩를 구할 수 있고, 마찬가지로 七 역시 쉽게 구할 수 있다.

#

Ⅳ.결론

두기지 privacy homomorphism 스킴들이 Doming(广Ferrer에 의하여 1996년⑶과 2002년⑷ 에 제안되었다. 두번째 스킴은 Wagner⑸와 Bao⑹ 에 의해서 분석되었고, 첫번째 스킴은 Cheon 등⑺ 에 의해서 분석되었다. 우리는 종결식을 이용하는 것이 Cheon 등의 공격보다 더 효율적임을 보였다. 결론적으로, Domingo-Feirer의 첫번째 스킴 PHi은법 处이 공개인 경우에는 두개의 알려진 평문-암호문쌍이 있으면 해독이 가능하고, 법 n이 비밀인 경우에는 세개 또는 그 이상의 알려진 평문-암호문 쌍이 있으면 해독이 가능하다.

* 이 논문은 2004년도 한국학술진흥재단의 지원에 의하여 연구되었음(KRF-2004-041-C00060).