한 라운드 키 합의 프로토콜의 무작위 오라클 공격 한계

** 이 논문은 무작위 순열 오라클(Random Permutation Oracle) 모델에서 한 라운드 키 합의 프로토콜을 연구한다. 전통적인 Merkle 퍼즐은 다량의 퍼즐을 생성하고 상대가 하나를 풀어 비밀키를 공유하도록 설계되었으며, 보안성은 퍼즐을 푸는 데 필요한 계산량에 기반한다. 저자는 이러한 아이디어를 오라클 쿼리 횟수로 추상화하여, Alice와 Bob이 각각 a·n, b·n 번의 오라클 쿼리를 수행하고 제한된 통신을 통해 동일한 비밀키를 합의하는 모델을 정의한다. **프로토콜 정의** - Alice는 최대 a개의 입력 A₁을 선택해 오라클을 조회하고, 그 이미지 집합 c_A를 Bob에게 전송한다. - Bob은 c_A를 받고, 최대 b개의 입력 B를 선택해 오라클을 조회한다. 그 후, A₁과 B 사이에 존재하는 이미지 충돌을 찾아 식별자 k를 선택하고, 그 이미지 c_B를 Alice에게 전송한다. - Alice는 c_B와 자신의 A₁, A₂(추가 조회) 정보를 이용해 동일한 k를 복구한다. 이때 (a, b, ε)‑키 합의 프로토콜이라 정의하며, Alice와 Bob이 동일한 키를 얻을 실패 확률이 ε(상수) 이하임을 가정한다. **Eve의 공격 모델** Eve는 오라클에 자유롭게 접근할 수 있지만 사전 비밀은 없으며, Alice와 Bob이 사용하는 전략을 관찰한다. 목표는 Bob의 키와 동일한 확률로 키를 복원하는 것이다. **주요 정리** 1. **Lemma 2.1**: Eve가 Alice와 Bob이 공유한 교차 쿼리 집합 A₁∩B를 모두 알아내면, 추가로 a 번의 쿼리만으로 Alice와 동일한 키를 생성할 수 있다. 이는 Eve가 A₁∩B를 완전히 수집하면 Bob과 같은 시드에서 키를 파생시킬 수 있음을 의미한다. 2. **Lemma 3.1**: Bob의 쿼리 전략을 γ·a 번(γ는 상수) 반복하면, A₁∩B를 상수 확률(≥1/8)로 모두 탐색할 수 있다. 증명은 A₁∩B의 기대 크기 s₀를 정의하고, 각 반복에서 s_i가 기하급수적으로 감소함을 보이며, 마코프 부등식과 마코프 체인을 이용해 전체 성공 확률을 하한한다. 3. **Theorem 3.2**: 위 두 레마를 결합하면 Eve는 O(ab + a) = O((a+b)²) 번의 오라클 쿼리만으로 프로토콜을 깨뜨릴 수 있다. 여기서 a·b는 Alice와 Bob이 각각 수행한 쿼리 수이며, 전체 복잡도는 두 사람의 쿼리 수 합의 제곱에 비례한다. **최적성 논증** 논문은 a = b = ⌈√n⌉ 인 구체적인 프로토콜(Protocol 2)을 제시한다. - Alice는 √n개의 무작위 입력을 조회하고 그 이미지를 전송한다. - Bob도 √n개의 무작위 입력을 조회해 Alice의 이미지와 충돌을 찾는다(생일 역설에 의해 상수 확률). - 충돌이 발견되면 해당 이미지가 비밀키가 된다. Eve가 이 키를 얻기 위해서는 전체 n개의 입력을 탐색해야 하며, 이는 Θ(n) = Θ((a+b)²) 번의 쿼리와 동등하다. 따라서 O((a+b)²) 상한은 최적임을 보인다. **관련 연구와 차별점** 이전 연구