다중 사용 단방향 프록시 재서명: 효율적 보안 설계와 새로운 DH 가정

논문은 먼저 프록시 재서명(PRS)의 기본 개념과 기존 연구의 한계를 정리한다. Blaze·Bleumer·Strauss의 초기 스킴은 양방향이며 다중 사용이 가능했지만, 프록시가 서명키를 알게 되면 위협이 발생한다는 결함이 있었다. Ateniese와 Hohenberger는 2005년에 보안 정의와 효율적인 랜덤 오라클 기반 스킴을 제시했지만, 단방향이면서 다중 사용이 가능한 설계는 남겨두었다. 이를 해결하기 위해 저자들은 두 가지 주요 목표를 설정한다: (1) 단방향성 – 프록시가 서명을 오직 한 방향으로만 변환하도록 제한, (2) 다중 사용 – 동일 메시지를 다중 단계(ℓ‑hop)까지 재서명 가능하게 함. 설계는 짧은 BLS 서명을 기반으로 하며, 각 레벨 ℓ마다 서명 σ^{(ℓ)}는 2ℓ개의 그룹 원소를 포함한다. 레벨 1 서명은 (σ₁,σ₂) 형태이며, 레벨 ℓ+1 서명은 이전 서명의 모든 원소에 추가적인 변환값을 곱해 생성한다. 변환키 R_{i→j}^{(ℓ)}는 공개키 pk_i와 비밀키 sk_j를 이용해 비대화식으로 생성되며, 프록시가 이를 보관해도 서명키를 유추할 수 없도록 설계되었다. 재서명 알고리즘은 입력 서명의 유효성을 검증한 뒤, 변환키와 페어링 연산을 이용해 새로운 레벨의 서명을 산출한다. 검증 알고리즘은 레벨 ℓ에 해당하는 페어링 식을 확인함으로써 서명의 진위와 레벨을 동시에 판단한다. 보안 분석에서는 외부 공격자와 내부(프록시·위임자·위임받는 자) 공격자를 각각 모델링한다. 외부 보안은 임의의 메시지에 대한 서명을 만들 수 없음을, 내부 보안은 프록시가 위임자 없이 서명을 생성하거나, 위임받는 자와 프록시가 결탁해 위임자의 비밀키를 복구할 수 없음을 보인다. 이러한 증명은 ℓ‑FlexDH와 mCDH 가정에 기반한다. ℓ‑FlexDH는 레벨 ℓ까지의 연쇄적인 Diffie‑Hellman 관계를 만족하는 튜플을 찾는 문제이며, mCDH는 g^{a²}가 주어졌을 때 g^{ab}를 구하는 문제다. 두 가정 모두 Naor가 제시한 falsifiable 범주에 속하며, 일반적인 쌍곡선 그룹에서의 제네릭 하드니스 결과를 인용해 설득력을 높였다. 또한, Waters의 표준 모델 변환 기법을 적용해 랜덤 오라클 없이도 동일 보안 수준을 달성한다. 이 경우 서명 구조는 약간 복잡해지지만, 실용적인 구현에서는 페어링 기반 라이브러리를 그대로 활용할 수 있다. 마지막으로 응용 시나리오를 제시한다. 예를 들어, 국제 공항에서 여권 검증 절차를 체인 형태로 기록하거나, 신뢰되지 않은 네트워크 간 인증서 전환에 활용할 수 있다. 이러한 경우 프록시가 중간에 서명을 재작성하면서도 원본 서명자의 신원을 은폐하고, 검증자는 최종 수신자의 공개키만으로 유효성을 확인한다. 결론적으로, 본 논문은 단방향·다중 사용 프록시 재서명이라는 오랜 미해결 문제를 해결하고, 효율적인 구현과 강력한 보안 가정을 동시에 제공한다. 이는 프록시 기반 신뢰 전이와 데이터 흐름 추적 분야에 새로운 설계 패러다임을 제시한다.