트위스트 공액 문제 기반 인증 스킴

본 논문은 비가환 암호학에서 오래된 문제인 공액 탐색 문제(conjugacy search problem)를 확장한 “트위스트 공액 탐색 문제(twisted conjugacy search problem)”를 기반으로 새로운 인증 스킴을 설계한다. 먼저 서론에서는 기존에 제안된 여러 키 교환·인증 프로토콜이 공액 문제의 난이도에 의존하고 있음을 언급하고, 특히 브레이드 군에서 길이 기반 공격이 높은 성공률을 보이며 플랫폼 선택의 중요성을 강조한다. 이러한 배경에서 저자들은 ϕ, ψ라는 두 엔도몰피즘과 원소 w, t가 주어졌을 때 t = ψ(s⁻¹) w ϕ(s) 를 만족하는 s를 찾는 문제를 정의한다. 이는 기존 공액 문제(ϕ = identity, ψ = identity)의 일반화이며, ϕ와 ψ를 자유롭게 선택함으로써 s에 대한 구조적 정보를 숨길 수 있다. 다음으로 제안된 프로토콜은 Fiat‑Shamir식 3‑라운드 인증을 변형한 형태이다. Alice는 비밀 s와 공개키 (ϕ, ψ, w, t)를 설정한다. 여기서 t는 ψ(s⁎)·w·ϕ(s) 로 정의되며, ⁎는 반동형사상이다. 인증 과정은 (1) Alice가 임의 r을 선택해 u = ψ(r⁎)·t·ϕ(r) 를 Bob에게 전송하고, (2) Bob이 무작위 비트 c를 보내며, (3) c = 0이면 Alice는 r을, c = 1이면 sr을 공개한다. Bob은 각각 u = ψ(v⁎)·t·ϕ(v) 혹은 u = ψ(v⁎)·w·ϕ(v) 를 검증함으로써 Alice가 실제로 s를 알고 있음을 확인한다. 이 과정은 k번 반복하면 위조 성공 확률을 2⁻ᵏ 로 낮출 수 있다. 플랫폼으로 선택된 반군집 G는 F₂ 위의 N‑절단 다항식(0 ≤ i < N)로 구성된 2×2 행렬 전체이다. N을 300 정도로 잡으면 각 다항식은 2³⁰⁰개의 가능한 형태를 가지며, 행렬 하나는 2⁴⁰⁰⁰개의 경우의 수를 만든다. 연산 측면에서는 다항식 덧셈이 O(N), 곱셈이 O(N log N), 합성(ϕ(p) = p(x)→p(p(x)))이 O((N log N)³⁄²) 로 구현 가능해 한 라운드 인증에 소요되는 시간은 O((N log N)³⁄²) 수준이다. 전치 연산을 반동형사상으로 사용함으로써 (ab)⁎ = b⁎a⁎ 가 성립하고, 이는 프로토콜 수식에 정확히 들어간다. 보안 분석에서는 먼저 키 공간이 충분히 커서 무차별 탐색이 현실적으로 불가능함을 언급한다. 이어서 트위스트 공액 방정식 t = ψ(s⁎)·w·ϕ(s) 를 계수별로 전개해 4N 개의 다항식 방정식 시스템으로 변환하는 공격을 실험한다. 실험에서는 N = 100, ϕ, ψ의 차수를 150으로 설정하고, 각 방정식에 대해 가능한 해를 트리 형태로 탐색했지만, 트리 폭이 급격히 증가해 실용적인 시간 안에 해를 찾지 못했다(성공률 0%). 또한, 기존 공액 문제에 적용되는 선형대수식 변환(gx = xh)과 달리 트위스트 형태는 선형화가 불가능해 가우스 소거법 기반 공격도 적용되지 않는다. 결론에서는 (1) 트위스트 공액 문제 자체가 아직 알려진 효율적 알고리즘이 없으며, (2) 제안된 행렬 반군집은 연산 효율성과 비가환성을 동시에 제공해 보안성을 높인다, (3) 기존 공액 기반 스킴보다 길이 기반 공격에 강하고, (4) 향후 비가환 암호학에서 새로운 플랫폼 후보로 활용 가능함을 제시한다.