식별자 기반 강력 양지정 검증자 (t,n) 임계 프록시 서명 체계

본 논문은 식별자 기반(ID‑Based) 암호 체계와 임계 프록시 서명, 그리고 강력 양지정 검증자(Strong Bi‑Designated Verifier, SBDV) 개념을 결합한 새로운 서명 스킴을 제안한다. 먼저 시스템 설정 단계에서 KGC는 소수 차수 q 와 베리파이러블 그룹 G₁, G₂, 그리고 쌍대 페어링 e: G₁×G₁→G₂ 를 정의하고, 마스터 비밀 s와 공개 P_pub = sP 를 생성한다. 해시 함수 H₁, H₂, H₃ 은 각각 ID→G₁, (메시지, U)→ℤ_q, (메시지, U, Y)→ℤ_q 역할을 수행한다. 키 생성 단계에서 사용자는 자신의 식별자(ID)를 KGC에 제공하고, Q_ID = H₁(ID) 를 공개키, S_ID = s⁻¹·Q_ID·P 를 비밀키로 받는다. 원본 서명자 Alice는 자신의 비밀키 S_IDA 와 무작위 값 r_w 을 이용해 프록시 서명자에게 서명 인증 토큰 w = (U_w, V_w) 을 전달한다. 프록시 서명자는 이 토큰을 페어링 검증 e(P_pub, V_w) = e(P, U_w + h_w·Q_IDA·P) 으로 확인하고, 성공 시 자신의 프록시 비밀 S_i = S_IDi + V_w 을 얻는다. 다음으로 프록시 그룹은 (t, n) 베리파이러블 시크릿 쉐어링을 수행한다. 각 프록시 서명자는 (t‑1) 차 다항식 f_i(x) 을 선택하고, 그 계수에 대응하는 공개값 A_il 을 공개한다. 안전 채널을 통해 서로 f_i(j) 값을 교환하고, 검증 식 ∑A_il·j^l = f_i(j)·P 을 통해 정당성을 확인한다. 이렇게 얻은 개인 비밀 r_i 은 U_i = r_i·P 로 변환된다. 프록시 서명자는 다시 (t‑1) 차 다항식 g_i(x) 을 생성하고, B_il = e(P, b_il) 을 공개한다. 다른 프록시와 교환한 g_i(j) 값을 검증하고, 라그랑주 보간을 이용해 최종 프록시 서명 키 공유 SK_Pi 를 계산한다. t 명의 프록시 서명자가 협력하면, 라그랑주 보간을 통해 X = Q_IDB·Q_IDC 를 만든 뒤, 각 서명자는 V_i = U_i + H₃(m, U, Y)·SK_Pi 와 서명 조각 σ_i = (U_i, V_i) 를 생성한다. 모든 σ_i 가 검증( e(P, V_i) = e(P, U_i)·e(P, SK_Pi) )되면, 최종 서명 σ = (m, V_w, m_w, U, V) 이 완성된다. 검증 단계에서 두 지정 검증자 Bob과 Cindy는 각각 자신의 비밀키를 사용해 Q_IDC = Q_IDB⁻¹·X 를 복원하고, Y* = e(S_IDB·Q_IDC, U·∑Q_IDPi) 을 계산한다. 최종 검증 식 e(P_pub, V) = e(P_pub, U + n·H·V_w)·e(P, (∑Q_IDPi)·P) 이 만족되면 서명이 유효함을 확인한다. 보안 분석에서는 네 가지 주요 속성을 검증한다. 첫째, **정확성**은 페어링 연산을 통해 식이 성립함을 수식적으로 증명한다. 둘째, **강력성**은 지정 검증자만이 자신의 비밀키 없이는 검증을 수행할 수 없도록 설계되었음을 보인다. 셋째, **프록시 보호**는 원본 서명자가 프록시 서명자의 비밀키 S_IDPi 에 접근할 수 없으므로 프록시 서명을 위조할 수 없음을 의미한다. 넷째, **비밀성**은 프록시 서명 공유, 서명 자체, 혹은 t 명 이상의 프록시가 협력하더라도 원본 서명자 Alice의 마스터 비밀 s 를 복구할 수 없음을 증명한다. 이와 같이 본 논문은 기존의 임계 프록시 서명과 양지정 검증자 스킴을 통합하고, 서명 생성과 검증 양 단계에 임계 구조를 적용함으로써 “이중 임계” 특성을 갖는 새로운 프로토콜을 제시한다. 이는 서명 검증을 두 명의 지정 검증자에게만 제한함으로써 신뢰성을 강화하고, 제3자에게 서명의 진위를 증명할 수 없게 함으로써 프라이버시와 부인 방지를 동시에 달성한다.