KR20200115408A - 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법 - Google Patents

Abstract

암호화 방법이 개시된다. 본 암호화 방법은 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(ring)으로부터 비밀 키를 산출하는 단계, 산출된 비밀 키 및 랜덤 행렬을 이용하여 복수의 부분 비밀 키를 생성하는 단계, 및 생성된 복수의 분배 비밀 키를 분배하는 단계를 포함한다.

Description

비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법{APPARATUS FOR PERFORMING QUORUM DESIGN ON SECRET KEY AND METHOD THEREOF}

본 개시는 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법에 관한 것으로, 보다 구체적으로, 근사 암호문에 대한 비밀 키를 정족수 설계하여 분배하는 장치 및 방법에 관한 것이다.

통신 기술이 발달하고, 전자 장치의 보급이 활발해짐에 따라, 전자 장치 간의 통신 보안을 유지하기 위한 노력이 지속적으로 이루어지고 있다. 이에 따라, 대부분의 통신 환경에서는 암호화/복호화 기술이 사용되고 있다.

한편, 암호문은 비밀 키를 이용하여 복호화 가능한데, 최근에는 비밀 키에 대한 정족수 설계를 하고 있다. 여기서 정족수 설계는 비밀 키를 모든 사람에게 분배하고, 일정 인원 이상이 모였을 경우에만 암호문을 복호 가능하도록 설계한 것이다.

이러한 정족수 설계를 위하여 종래에는 Shamir 비밀 키 분배 방식 또는 {0, 1}-LSSS(Linear Secret Sharing Scheme)을 이용하였지만, 기존의 방식은 비밀 키를 복구하기 위한 선형결합 계수가 매우 커서 복호화하기 위한 소수 q가 일정 조건을 만족하여야 하고 그에 따라 q에 대한 제약이 있거나, 각 사람마다 분배해야 하는 비밀 키의 개수가 매우 크다는 문제점들이 있었다.

즉, 전체 인원수에 따라 소수의 크기 또는 비밀 키의 개수에 제약이 있다는 문제점이 있었다.

따라서 본 개시는 상술한 바와 같은 문제점을 해결하기 위한 고안된 것으로, 근사 암호문에 대한 비밀 키를 정족수 설계하여 분배하는 장치 및 방법을 제공하는 데 있다.

본 개시는 이상과 같은 목적을 달성하기 위한 것으로, 본 암호화 방법은 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(ring)으로부터 비밀 키를 산출하는 단계, 상기 산출된 비밀 키 및 랜덤 행렬을 이용하여 복수의 부분 비밀 키를 생성하는 단계, 및 상기 생성된 복수의 분배 비밀 키를 분배하는 단계를 포함한다.

이 경우, 상기 랜덤 행렬은 사용자 수에 대응되는 행 개수 및 정족수에 대응되는 열 개수를 가질 수 있다.

한편, 상기 랜덤 행렬은, 사용자 수 및 사용자별 배분될 비밀 키 개수에 대응되는 행 개수 및 정족수에 대응되는 열 개수를 가질 수 있다.

이 경우, 상기 배분하는 단계는 상기 복수의 분배 비밀 키를 사용자별로 복수개씩 분배할 수 있다.

한편, 상기 생성하는 단계는, 복수의 랜덤 값을 생성하고, 상기 비밀 키 및 상기 복수의 랜덤 값으로 구성되는 벡터 행렬을 상기 랜덤 행렬에 적용하여 상기 복수의 부분 비밀 키를 생성할 수 있다.

한편, 본 암호화 방법은 상기 비밀 키를 이용하여 공개 키를 생성하는 단계, 및 상기 생성된 공개 키를 이용하여 암호문을 생성하는 단계를 더 포함할 수 있다.

한편, 본 암호화 방법은 부분 비밀 키를 이용한 상기 암호문에 대한 부분 복호문을 정족수 이상 수집하는 단계, 및 정족수 이상의 부분 복호문을 이용하여 상기 암호문에 대한 평문을 복호하는 단계를 더 포함할 수 있다.

한편, 본 암호화 방법은 상기 복수의 부분 비밀 키 중 정족수 이상의 부분 비밀 키를 수집하는 단계, 및 상기 수집된 부분 비밀 키를 이용하여 비밀 키를 복구하는 단계를 더 포함할 수 있다.

한편, 본 개시의 연산 장치는 적어도 하나의 인스트럭션(instruction)을 저장하는 메모리, 및 상기 적어도 하나의 인스트럭션을 실행하는 프로세서를 포함하고, 상기 프로세서는, 상기 적어도 하나의 인스트럭션을 실행함으로써, 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(ring)으로부터 비밀 키를 산출하고, 상기 산출된 비밀 키 및 랜덤 행렬을 이용하여 복수의 부분 비밀 키를 생성하고, 상기 생성된 복수의 분배 비밀 키를 분배할 수 있다.

이 경우, 상기 프로세서는 복수의 랜덤 값을 생성하고, 상기 비밀 키 및 상기 복수의 랜덤 값으로 구성되는 벡터 행렬을 상기 랜덤 행렬에 적용하여 상기 복수의 부분 비밀 키를 생성할 수 있다.

한편, 상기 랜덤 행렬은 사용자 수 및 사용자별 배분될 비밀 키 개수에 대응되는 행 개수 및 정족수에 대응되는 열 개수를 가지며, 상기 프로세서는, 상기 복수의 분배 비밀 키를 사용자별로 복수개씩 분배할 수 있다.

한편, 상기 프로세서는 상기 비밀 키를 이용하여 공개 키를 생성하고, 상기 생성된 공개 키를 이용하여 암호문을 생성할 수 있다.

이 경우, 상기 프로세서는, 부분 비밀 키를 이용한 상기 암호문에 대한 부분 복호문을 정족수 이상 수집하고, 정족수 이상의 부분 복호문을 이용하여 상기 암호문에 대한 평문을 복호할 수 있다.

이상과 같은 본 개시의 다양한 실시 예들에 따르면, 랜덤행렬을 이용하여 정족수를 만족하는 경우 복호가 가능하도록 비밀 키를 분배하는바 선형결합계수의 크기를 더욱 작게 만들수 있다.

도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구조를 설명하기 위한 도면,
도 2는 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타낸 블럭도,
도 3은 본 개시의 암호문 생성 방법의 예를 설명하기 위한 흐름도,
도 4는 본 개시의 분배 비밀 키의 생성 방법의 예를 설명하기 위한 흐름도, 그리고,
도 5는 복수의 부분 비밀 키를 이용한 암호문의 복호 방법을 설명하기 위한 흐름도이다.

이하에서는 첨부 도면을 참조하여 본 개시에 대해서 자세하게 설명한다. 본 개시에서 수행되는 정보(데이터) 전송 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 개시 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 개시에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, 반드시 A로부터 B까지 직접 전송(전달) 또는 수신되는 것만을 표현하는 것은 아니다.

본 개시의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉, 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행단계로 설명된 과정보다 앞서서 수행되더라도 개시의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 "A 또는 B"라고 기재한 것은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 개시에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.

본 개시에서는 본 개시의 설명에 필요한 필수적인 구성요소만을 설명하며, 본 개시의 본질과 관계가 없는 구성요소는 언급하지 아니한다. 그리고 언급되는 구성요소만을 포함하는 배타적인 의미로 해석되어서는 안 되며 다른 구성요소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.

그리고 본 개시에서 "값"이라 함은 스칼라값뿐만 아니라 벡터도 포함하는 개념으로 정의된다.

후술하는 본 개시의 각 단계의 수학적 연산 및 산출은 해당 연산 또는 산출을 하기 위해 공지되어 있는 코딩 방법 및/또는 본 개시에 적합하게 고안된 코딩에 의해서 컴퓨터 연산으로 구현될 수 있다.

이하에서 설명하는 구체적인 수학식은 가능한 여러 대안 중에서 예시적으로 설명되는 것이며, 본 개시의 권리 범위가 본 개시에 언급된 수학식에 제한되는 것으로 해석되어서는 아니된다.

설명의 편의를 위해서, 본 개시에서는 다음과 같이 표기를 정하기로 한다.

a ← D : 분포(D)에 따라서 원소(a)를 선택함

s₁, s₂ ∈ R : S1, S2 각각은 R 집합에 속하는 원소이다.

mod(q) : q 원소로 모듈(modular) 연산

: 내부 값을 반올림함

이하에서는 첨부된 도면을 이용하여 본 개시의 다양한 실시 예들에 대하여 구체적으로 설명한다.

도 1은 본 개시의 일 실시 예에 따른 네트워크 시스템의 구성을 나타내는 도면이다.

도 1을 참조하면, 네트워크 시스템은 복수의 전자 장치(100-1 ~ 100-n), 제1 서버 장치(200), 제2 서버 장치(300)를 포함할 수 있으며, 각 구성들은 네트워크(10)를 통해 서로 연결될 수 있다.

네트워크(10)는 다양한 형태의 유무선 통신 네트워크, 방송 통신 네트워크, 광통신 네트워크, 클라우드 네트워크 등으로 구현될 수 있으며, 각 장치들은 별도의 매개체 없이 와이파이, 블루투스, NFC(Near Field Communication) 등과 같은 방식으로 연결될 수도 있다.

도 1에서는 전자 장치가 복수 개(100-1 ~ 100-n)인 것으로 도시하였으나, 반드시 복수 개의 전자 장치가 사용되어야 하는 것은 아니며 하나의 장치가 사용될 수도 있다. 일 예로, 전자 장치(100-1 ~ 100-n)는 스마트폰, 태블릿, 게임 플레이어, PC, 랩톱 PC, 홈서버, 비밀 키오스크 등과 같은 다양한 형태의 장치로 구현될 수 있으며, 이밖에 IoT 기능이 적용된 가전 제품 형태로도 구현될 수 있다.

사용자는 자신이 사용하는 전자 장치(100-1 ~ 100-n)를 통해서 다양한 정보를 입력할 수 있다. 입력된 정보는 전자 장치(100-1 ~ 100-n) 자체에 저장될 수도 있지만, 저장 용량 및 보안 등을 이유로 외부 장치로 전송되어 저장될 수도 있다. 도 1에서 제1 서버 장치(200)는 이러한 정보들을 저장하는 역할을 수행하고, 제2 서버 장치(300)는 제1 서버 장치(200)에 저장된 정보의 일부 또는 전부를 이용하는 역할을 수행할 수 있다.

각 전자 장치(100-1 ~ 100-n)는 입력된 정보를 동형 암호화하여, 동형 암호문을 제1 서버 장치(200)로 전송할 수 있다. 예를 들어, 각 전자 장치(100-1 ~ 100-n)는 입력된 정보를 공개 키를 이용하여 동형 암호화하고, 동형 암호문을 제1 서버 장치(200)로 전송할 수 있다.

이때, 각 전자 장치(100-1 ~ 100-n)는 동형 암호화를 수행하는 과정에서 산출되는 암호화 노이즈, 즉, 에러를 암호문에 포함시킬 수 있다. 이에 따라, 각 전자 장치(100-1 ~ 100-n)에서 생성하는 동형 암호문은, 추후에 비밀 키를 이용하여 복호화하였을 때 메시지 및 에러 값을 포함하는 결과 값이 복원되는 형태로 생성될 수 있다.

일 예로, 전자 장치(100-1 ~ 100-n)에서 생성하는 동형 암호문은 비밀 키를 이용하여 복호화 하였을 때 다음과 같은 성질을 만족하는 형태로 생성될 수 있다.

[수학식 1]

Dec(ct, sk) = <ct, sk> = M+e(mod q)

여기서 < , >는 내적 연산(usual inner product), ct는 암호문, sk는 비밀 키, M은 평문 메시지, e는 암호화 에러 값, mod q는 암호문의 모듈러스(Modulus)를 의미한다. q는 스케일링 팩터(scaling factor)(Δ)가 메시지에 곱해진 결과 값 M보다 크게 선택되어야 한다. 에러 값 e의 절대값이 M에 비해서 충분히 작다면, 암호문의 복호화 값 M+e 는 유효숫자연산에서 원래의 메시지를 동일한 정밀도로 대체할 수 있는 값이다. 복호화된 데이터 중에서 에러는 최하위 비트(LSB) 측에 배치되고, M은 차하위 비트 측에 배치될 수 있다.

메시지의 크기가 너무 작거나 너무 큰 경우, 스케일링 팩터를 이용하여 그 크기를 조절할 수도 있다. 스케일링 팩터를 사용하게 되면, 정수 형태의 메시지뿐만 아니라 실수 형태의 메시지까지도 암호화할 수 있게 되므로, 활용성이 크게 증대할 수 있다. 또한, 스케일링 팩터를 이용하여 메시지의 크기를 조절함으로써, 연산이 이루어지고 난 이후의 암호문에서 메시지들이 존재하는 영역, 즉, 유효 영역의 크기도 조절될 수 있다.

실시 예에 따라, 암호문 모듈러스 q는 다양한 형태로 설정되어 사용될 수 있다. 일 예로, 암호문의 모듈러스는 스케일링 팩터 Δ의 지수승 q=Δ^L 형태로 설정될 수 있다. Δ가 2라면, q=2¹⁰ 과 같은 값으로 설정될 수 있다.

제1 서버 장치(200)는 수신된 동형 암호문을 복호화하지 않고, 암호문 상태로 저장할 수 있다.

그리고 제1 서버 장치(200)는 암호화를 위한 비밀 키 및 공개 키를 생성하고, 생성한 공개 키를 복수의 전자 장치(100-1 ~ 100-n)에 제공할 수 있다. 이때, 제1 서버 장치(200)는 안정성을 위하여 비밀 키에 대한 복수의 부분 비밀 키를 생성하고, 생성된 복수의 부분 비밀 키를 복수의 장치에 제공할 수 있다.

예를 들어, 제1 서버 장치(200)는 상술한 비밀 키를 정족수를 갖는 복수의 부분 비밀 키를 생성할 수 있다. 그리고 제1 서버 장치(200)는 생성한 부분 비밀 키를 복수의 전자 장치(100-1 ~ 100-n)에 분배할 수도 있다. 이와 같이 부분 비밀 키를 이용하는 경우, 복수의 전자 장치(100-1 ~ 100-n) 각각은 자신이 가지고 있는 부분 비밀 키만을 이용하여 암호문에 대한 복호를 수행할 수 없으며, 설계된 정족수 이상의 부분 비밀 키가 모인 경우(또는 정족수 이상의 부분 복호문이 모인 경우)에만 복호를 수행할 수 있다.

제2 서버 장치(300)는 동형 암호문에 대한 특정 처리 결과를 제1 서버 장치(200)로 요청할 수 있다. 제1 서버 장치(200)는 제2 서버 장치(300)의 요청에 따라 특정 연산을 수행한 후, 그 결과를 제2 서버 장치(300)로 전송할 수 있다. 이와 같이 제1 서버 장치(200)는 연산 동작을 수행할 수 있다는 점에서, 연산 장치라 지칭될 수도 있다.

일 예로, 두 개의 전자 장치(100-1, 100-2)가 전송한 암호문 ct1, ct2가 제1 서버 장치(200)에 저장된 경우, 제2 서버 장치(300)는 두 전자 장치(100-1, 100-2)로부터 제공된 정보들을 합산한 값을 제1 서버 장치(200)로 요청할 수 있다. 제1 서버 장치(200)는 요청에 따라 두 암호문을 합산하는 연산을 수행한 후, 그 결과 값(ct1 + ct2)을 제2 서버 장치(300)로 전송할 수 있다.

동형 암호문의 성질상, 제1 서버 장치(200)는 복호화를 하지 않은 상태에서 연산을 수행할 수 있고, 그 결과 값도 암호문 형태가 된다. 본 개시에서는 연산에 의해 획득된 결과값을 연산 결과 암호문이라 지칭한다.

제2 서버 장치(300)는 수신된 연산 결과 암호문을 복호화하여, 각 동형 암호문들에 포함된 데이터들의 연산 결과 값을 획득할 수 있다. 이때, 제2 서버 장치(300)가 비밀 키를 갖는 경우 수신된 연산 결과 암호문을 바로 복호화하지만, 분배 비밀 키를 갖는 경우, 다른 장치로부터 다른 분배 비밀 키를 정족수 이상 수집하여 비밀 키를 복원한 이후에 복호화를 수행할 수 있다. 또는 제2 서버 장치(300)는 연산 결과에 대한 부분 비밀 키를 이용한 복호화 결과인 부분 복호문을 수집하고, 수집한 부분 복호문이 정족수 이상인 경우 이를 이용하여 복호화를 수행할 수도 있다. 이와 같이 제2 서버 장치(300)도 암호문에 대한 복호 등의 연산 처리를 수행한다는 점에서 연산 장치라 지칭할 수 있다.

한편, 도 1에서는 제1 전자 장치 및 제2 전자 장치에서 암호화를 수행하고, 제2 서버 장치가 복호화를 수행하는 경우를 도시하였으나, 이에 한정되는 것은 아니다.

도 2는 본 개시의 일 실시 예에 따른 연산 장치의 구성을 나타낸 블럭도이다.

구체적으로, 도 1의 시스템에서 제1 전자 장치, 제2 전자 장치 등과 같이 동형 암호화를 수행하는 장치, 제1 서버 장치 등과 같이 동형 암호문을 연산하는 장치, 제2 서버 장치 등과 같이 동형 암호문을 복호하는 장치 등을 연산 장치라고 지칭할 수 있다. 이러한 연산 장치는 PC(Personal computer), 노트북, 스마트폰, 태블릿, 서버 등 다양한 장치일 수 있다.

도 2를 참조하면, 연산 장치(400)는 통신 장치(410), 메모리(420), 디스플레이(430), 조작 입력 장치(440) 및 프로세서(450)를 포함할 수 있다.

통신 장치(410)는 연산 장치(400)를 외부 장치(미도시)와 연결하기 위해 형성되고, 근거리 통신망(LAN: Local Area Network) 및 인터넷망을 통해 외부 장치에 접속되는 형태뿐만 아니라, USB(Universal Serial Bus) 포트 또는 무선 통신(예를 들어, WiFi 802.11a/b/g/n, NFC, Bluetooth) 포트를 통하여 접속되는 형태도 가능하다. 이러한 통신 장치(410)는 송수신부(transceiver)로 지칭될 수도 있다.

통신 장치(410)는 공개 키를 외부 장치로부터 수신할 수 있으며, 연산 장치(400) 자체적으로 생성한 공개 키를 외부 장치로 전송할 수 있다.

그리고 통신 장치(410)는 연산 장치(400) 자체적으로 생성한 비밀 키 또는 부분 비밀 키를 외부 장치로 전송할 수 있다. 또는 통신 장치(410)는 외부 장치에 부분 비밀 키를 수신할 수도 있다.

그리고 통신 장치(410)는 외부 장치로부터 메시지를 수신할 수 있으며, 생성한 동형 암호문을 외부 장치로 송신할 수 있다. 그리고 통신 장치(410)는 외부 장치로부터 부분 비밀 키로 복호화된 부분 복호문을 수신하거나, 연산 장치(400)가 저장하는 부분 비밀 키로 복호화한 부분 복호문을 외부 장치에 전송할 수도 있다.

또한, 통신 장치(410)는 암호문 생성에 필요한 각종 파라미터를 외부 장치로부터 수신할 수 있다. 한편, 구현시에 각종 파라미터는 후술하는 조작 입력 장치(440)를 통하여 사용자로부터 직접 입력받을 수 있다.

또한, 통신 장치(410)는 외부 장치로부터 동형 암호문에 대한 연산을 요청받을 수 있으며, 그에 따라 계산된 결과를 외부 장치에 전송할 수 있다.

메모리(420)에는 연산 장치(400)에 관한 적어도 하나의 인스트럭션(instruction)이 저장될 수 있다. 구체적으로, 메모리(420)에는 본 개시의 다양한 실시 예에 따라 연산 장치(400)가 동작하기 위한 각종 프로그램(또는 소프트웨어)이 저장될 수 있다.

이러한 메모리(420)는 RAM이나 ROM, 플래시 메모리, HDD, 외장 메모리, 메모리 카드 등과 같은 다양한 형태로 구현될 수 있으며, 어느 하나로 한정되는 것은 아니다.

메모리(420)는 암호화할 메시지를 저장할 수 있다. 여기서 메시지는 사용자가 각종 인용한 각종 신용 정보, 개인 정보 등일 수 있으며, 연산 장치(400)에서 사용되는 위치 정보, 인터넷 사용 시간 정보 등 사용 이력 등과 관련된 정보일 수도 있다.

그리고 메모리(420)는 공개 키를 저장할 수 있으며, 연산 장치(400)가 직접 공개 키를 생성한 장치인 경우, 비밀 키뿐만 아니라, 공개 키 및 비밀 키 생성에 필요한 각종 파라미터를 저장할 수 있다.

또한, 메모리(420)는 연산 장치(400)가 직접 정족수 설계를 수행한 장치인 경우, 비밀 키에 대한 복수의 부분 비밀 키를 저장할 수 있으며, 외부 장치로부터 수신한 부분 비밀 키를 저장할 수 있다. 한편, 본 실시 예에 따라 하나의 연산 장치(400)에는 기설정된 개수의 부분 비밀 키를 저장할 수 있다.

그리고 메모리(420)는 후술한 과정에서 생성된 동형 암호문을 저장할 수 있다. 그리고 메모리(420)는 외부 장치에서 전송한 동형 암호문을 저장할 수도 있다. 또한, 메모리(420)는 후술하는 연산 과정에서의 결과물인 연산 결과 암호문을 저장할 수도 있다.

그리고 메모리(420)는 부분 비밀 키를 이용하여 복호화한 부분 복호문을 저장할 수 있으며, 외부 장치로부터 수신한 부분 복호문을 저장할 수도 있다.

디스플레이(430)는 연산 장치(400)가 지원하는 기능을 선택받기 위한 사용자 인터페이스 창을 표시한다. 구체적으로, 디스플레이(430)는 연산 장치(400)가 제공하는 각종 기능을 선택받기 위한 사용자 인터페이스 창을 표시할 수 있다. 이러한 디스플레이(430)는 LCD(liquid crystal display), OLED(Organic Light Emitting Diodes) 등과 같은 모니터일 수 있으며, 후술할 조작 입력 장치(440)의 기능을 동시에 수행할 수 있는 터치 스크린으로 구현될 수도 있다.

디스플레이(430)는 비밀 키 및 공개 키 생성에 필요한 파라미터의 입력을 요청하는 메시지를 표시할 수 있다. 그리고 디스플레이(430)는 정족수 설계에 필요한 파라미터의 입력을 요청하는 메시지를 표시할 수도 있다. 여기서 정족수 설계에 필요한 파라미터는, 부분 비밀 키를 제공받을 사용자의 수, 각 사용자에게 제공될 부분 비밀 키의 개수, 정족수(즉, 복호 가능한 기설정된 부분 비밀 키의 개수)) 등일 수 있다.

그리고 디스플레이(430)는 암호화 대상이 메시지를 선택하는 메시지를 표시할 수 있다. 한편, 구현시에 암호화 대상은 사용자가 직접 선택할 수도 있고, 자동으로 선택될 수 있다. 즉, 암호화가 필요한 개인 정보 등은 사용자가 직접 메시지를 선택하지 않더라도 자동으로 설정될 수 있다.

조작 입력 장치(440)는 사용자로부터 연산 장치(400)의 기능 선택 및 해당 기능에 대한 제어 명령을 입력받을 수 있다. 구체적으로, 조작 입력 장치(440)는 사용자로부터 비밀 키 및 공개 키 생성에 필요한 파라미터를 입력받을 수 있다. 그리고 조작 입력 장치(440)는 사용자로부터 정족수 설계에 필요한 파라미터를 입력받을 수 있다. 또한, 조작 입력 장치(440)는 사용자로부터 암호화될 메시지를 설정받을 수 있다.

프로세서(450)는 연산 장치(400)의 전반적인 동작을 제어한다. 구체적으로, 프로세서(450)는 메모리(420)에 저장된 적어도 하나의 인스트럭션을 실행함으로써 연산 장치(400)의 동작을 전반적으로 제어할 수 있다. 이러한 프로세서(450)는 CPU(central processing unit), ASIC(application-specific integrated circuit)과 같은 단일 장치로 구성될 수 있으며, CPU, GPU(Graphics Processing Unit) 등의 복수의 장치로 구성될 수도 있다.

프로세서(450)는 전송하고자 하는 메시지가 입력되면 메모리(420)에 저장할 수 있다. 그리고 프로세서(450)는 메모리(420)에 저장된 각종 설정 값 및 프로그램을 이용하여, 메시지를 동형 암호화할 수 있다. 이 경우, 공개 키가 사용될 수 있다.

프로세서(450)는 암호화를 수행하는데 필요한 공개 키를 자체적으로 생성하여 사용할 수도 있고, 외부 장치로부터 수신하여 사용할 수도 있다. 일 예로, 복호화를 수행하는 제2 서버 장치(300)가 공개 키를 다른 장치들에게 배포할 수 있다.

자체적으로 비밀 키를 생성하는 경우, 프로세서(450)는 Ring-LWE 기법을 이용하여 공개 키를 생성할 수 있다. 구체적으로 설명하면, 프로세서(450)는 먼저 각종 파라미터 및 링을 설정하여, 메모리(420)에 저장할 수 있다. 파라미터의 예로는 평문 메시지 비트의 길이, 공개 키 및 비밀 키의 크기 등이 있을 수 있다.

링은 다음과 같은 수학식으로 표현될 수 있다.

[수학식 2]

여기서 R은 링, Zq는 계수, f(x)는 n차 다항식이다.

링(Ring)이란 기설정된 계수를 가지는 다항식의 집합으로, 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합을 의미한다. 이러한 링은 환으로 지칭될 수 있다.

일 예로, 링은 계수가 Zq인 n차 다항식의 집합을 의미한다. 구체적으로는, n이 Φ(N)일 때, N차 사이클로토믹 다항식 (N-th cyclotomic polynomial)을 의미한다. (f(x))란 f(x)로 생성되는 Zq[x]의 이데알(ideal)을 나타낸다. Euler totient 함수 Φ(N)이란 N과 서로소이고 N보다 작은 자연수의 개수를 의미한다. Φ_N(x)를 N차 사이클로토믹 다항식으로 정의하면, 링은 다음과 같은 수학식 3으로도 표현될 수 있다.

[수학식 3]

한편, 상술한 수학식 3의 링은 평문 공간에서 복소수를 갖는다. 한편, 동형 암호문에 대한 연산 속도를 향상하기 위하여, 상술한 링의 집합 중 평문 공간이 실수인 집합만을 이용할 수도 있다.

이와 같은 링이 설정되면, 프로세서(450)는 링으로부터 비밀 키(sk)를 산출할 수 있다.

[수학식 4]

여기서, s(x)는 작은 계수로 랜덤하게 생성한 다항식을 의미한다.

그리고 프로세서(450)는 링으로부터 제1 랜덤 다항식(a(x))을 산출한다. 제1 랜덤 다항식은 다음과 같이 표현될 수 있다.

[수학식 5]

또한, 프로세서(450)는 에러를 산출할 수 있다. 구체적으로, 프로세서(450)는 이산 가우시안 분포 또는 그와 통계적 거리가 가까운 분포로부터 에러를 추출할 수 있다. 이러한 에러는 다음과 같이 표현될 수 있다.

[수학식 6]

에러까지 산출되면, 프로세서(450)는 제1 랜덤 다항식 및 비밀 키에 에러를 모듈러 연산하여 제2 랜덤 다항식을 산출할 수 있다. 제2 랜덤 다항식은 다음과 같이 표현될 수 있다.

[수학식 7]

최종적으로 공개 키(pk)는 제1 랜덤 다항식 및 제2 랜덤 다항식을 포함하는 형태로 다음과 같이 설정된다.

[수학식 8]

상술한 비밀 키 생성 방법은 일 예에 불과하므로, 반드시 이에 한정되는 것은 아니며, 이 밖에 다른 방법으로 공개 키 및 비밀 키를 생성할 수도 있음은 물론이다.

한편, 비밀 키가 하나인 경우, 비밀 키가 유출되는 경우 큰 보안 문제를 유발한다. 따라서, 비밀 키를 하나의 사용자(또는 하나의 장치)가 아니라 복수의 사용자 또는 복수의 장치가 나눠서 보관하도록 하여 보안성을 향상할 필요가 있다.

상술한 바와 같은 공개키(public key encryption(PKE)) 기반 LWE(Learning with Error)를 이용하는 경우, 암호문(c)은

내의 벡터이고, 비밀 키(sk)도 디코딩 구조(

)를 갖는

내에서의 벡터이다.

만약, <c, sk>가 충분히 작다면 복호화 출력 값은 0이고, 그렇지 않다면 1의 값을 가질 것이다.

한편, 참가자 세트를 P = {P₁,...,P_N)라고 하고, 비밀 키(sk)에 대한 선형 비밀 키 공유 스킴을 적용한다면, N 명에게 비밀 키가 sk₁, ..., sk_N과 같이 분배될 수 있다. 이하에서는 설명을 용이하게 하기 위하여, 선형 비밀 키 공유 스킴의 적용에 따라 생성된 비밀 키(sk₁, ..., sk_N과)를 부분 비밀 키라고 지칭한다.

이때, t보다 큰 부분 집합(I ⊂ ｜N｜)은 결합기가 복구 계수들(λ=(λ_i)_i∈I)을 계산하면, 다음과 같은 수학식 9와 같다. 여기서 t는 정족수이다.

[수학식 9]

따라서, 각 사용자는 오류를 갖는 부분 복호(p_i = <c, sk_i>+e_i))를 수행할 수 있다.

따라서, 부분 비밀 키를 이용한 복호 결과의 합산은 아래의 수학식 10과 같이 표현할 수 있다.

[수학식 10]

따라서, 수학식 10을 참조하면, 에러 ([e^*+Σ_i∈Iλ_ie_i]_q)를 충분히 작게 설계한다면, 정족수를 갖도록 비밀 키를 분배하여 이용하는 것이 가능하다.

한편, 종래에는 상술한 정족수 설계를 위하여 Shamir 비밀 키 분배 방식, {0,1}-LSSS 방식을 이용하였다. 하지만, Shamir 비밀 키 분배 방식은 비밀 키 s를 복구하기 위한 선형결합 계수(λ)가 LaGrange Interpolation으로 그 크기가 매우 크다는 문제점이 있어, 소수 q가 (N!)^3보다 커야만 하여 q에 대한 제약이 심한 문제점이 있다. 그리고, {0,1}-LSSS 방식은 분배해야 하는 비밀 키의 개수가 O(N^4.2)로 매우 크다는 단점이 있다.

따라서, 본 개시에서는 소수의 크기 및 비밀 키의 개수 모두를 줄일 수 있는 새로운 비밀 키 공유 방법을 이용한다. 구체적으로, LWE에 적합한 정족수 설계를 위해서는 두 가지 비용이 충분히 적어야 한다. 제안된 방법은 t 명의 참가자로부터 수집한 부분 비밀 키의 수가 비밀 키를 복구하는데 필요한 기설정된 값(즉, 정족수) 이상이되도록 회색(gray) 영역을 육성하는 것이다.

이에 따라, 본 개시는 ISIS (Inhomogeneous Small Integer Solution) 문제를 이용하여 작은 복구 계수를 갖는 LSSS(Linear Secret Sharing Scheme)의 기본 구성을 제공하고 기본 구성을 일반화하는 소위 '서브셋비밀 키 방법'을 제안한다.

만약, t out of N을 만족하도록 각 사용자 Pi에게 비밀 키 세트(Si)를 배분한다고 가정하면, n_i는 {S₁, ..., S_N)의 어떤 i 서브 셋으로부터 수집된 비밀 공유자의 수이고, i= 1,..., N에 대해서 △n_i 는 n_i-n_i-1 이다.

*그리고,

을 설정하고, 공유 행렬

내에서 t out of N LSSS을 구성하고,

을 고려하면, 주된 목적은

,

와 같은

을 찾는 것이다.

여기서, U_I는 구성원

과 관련된 열을 갖는 공유행렬(Share Matrix)에서 얻어진 내의

내의 행렬이다.

와

의 부분해(λ₀)를 고정하면,

에 대해서도 상술한 수식을 만족한다.

따라서,

,

이면,

는 다음의 수학식 11과 같다.

[수학식 11]

이때, 가우시안 휴리스틱(Haussian Heuristics)을 사용하기 위하여, 균일 분포에서 공유 행렬(U)을 선택한다고 가정한다. 예를 들어, λ를 찾기 위하여, LLL 알고리즘을 사용할 수 있다. 충분히 작은 t에 대해서 Minkowshki's 경계를 이용하여 경계를 추정할 수 있다. 한편, t 큰 경우, LLL 경계를 사용해야 한다. 이제 일부 방법을 사용하여 (△n_t-1)/n_t 를 크게 만드는 방법을 설명한다.

기본적으로, n_t=wt, △n_t=w일 때

의 간단한 경우를 고려하면, n_t 및 △n_t는 각 O(t), O(1)이다.

한편, 수학식 10에서 [e^*+Σ_i∈Iλ_ie_i]_q이 작고, ∥[e^*+Σ_i∈Iλ_ie_i]_q∥≤∥e^*∥+∥λ∥ ∥e∥이므로, 본 개시의 내용을 {-B, B}-LSSS 스킴에 적용하면, 해독의 정확성을 위하여 다음과 같은 수학식 12의 조건을 만족해야 한다.

[수학식 12]

여기서, B_c 및 B_sm은 각각 유효한 암호문 및 부분 복호문에 대한 오류 상한이다.

만약, 두 상한이 고정되었다고 가정하면, 이 조건은 주어진 t에 대해서 모듈러스 크기(q)의 경계를 제공한다.

Bc는 q와 부등식(

)보다 훨씬 작기 때문에, t의 접근 경계(anymptotic bound)를 다음과 같이 분석할 수 있다.

[수학식 13]

본 개시에서,

는 스몰(δ)을 갖는 O(t^(1+δ)t)이다. 마찬가지로, LLL 경계는

이다.

상술한 점을 고려하여, 본 개시에서는 부분 비밀 키를 장치별로 복수개씩 배분할 수 있다.

프로세서(450)는 비밀 키가 생성되면, 생성된 비밀 키(s) 및 랜덤 행렬을 이용하여 복수의 부분 비밀 키를 생성할 수 있다. 예를 들어, 프로세서(450)는 복수의 랜덤 값(S₂, S₃, …,

)을 생성하고, 비밀 키(s) 및 랜덤 값(s₂, s₃, …,

)을 이용하여 벡터(

= (s,s₂, …,

)^T)를 정의하고, 정의된 벡터를 아래와 같은 랜덤 행렬에 반영하여, 복수의 부분 비밀 키(

)를 생성할 수 있다.

[수학식 14]

여기서 A는 랜덤 행렬, ni는 i 명이 모였을 때 모이는 비밀 키의 개수이다.

한편, 이러한 랜덤 행렬은 사용자 수에 대응되는 행의 개수 및 정족수에 대응되는 열을 개수를 가질 수 있으며, 특히 행은 사용자의 수 및 사용자별 배분될 비밀 키 개수의 곱의 값을 가질 수 있다.

한편, 본 개시는 정족수를 갖는 경우 비밀 키 복호가 가능한바, t-1명이 모였을 때는 비밀 키를 복구할 수 없고, t 명 이상이 모여야만 복구할 수 있다. 선형 결합 계수를 구하기 위해 t명이 모였을 때 행렬을 A_t라하면, A_t는 다음과 같다.

[수학식 15]

이와 같이 본 개시는 랜덤 행렬을 이용하기 때문에, 상술한 A_t에 대한 수직 행렬인

에는 격자의 successive minma의 크기가 모두 비슷한 가우시안 휴리스틱(Gaussian Heuristics (λ₁

λ₂

_…

λ_nt)성립할 수 있다.

따라서, Lattice reduction algorithm 또는 Minkowski's Bound를 통해 {λ_i}의 크기의 상위 경계(upper bound)를 줄 수 있고 이를 Babai's algorithm에 적용하면 선형결합계수 {v_i}의 크기의 상위 경계를 계산할 수 있다.

한편, 구현시 한사람 당 w개씩 비밀키를 분배하여 차이를 만들어 내는 경우 랜덤행렬은 Nw개 행을 가질 수 있으며, (t-1)w+1개 열을 가질 수 있다. 또는 N 명중 k명이 모이는 집합마다 비밀 키를 분배하여 차이를 만들어 내는 경우, 랜덤행렬은

개 행을 가질 수 있으며,

개 열을 가질 수 있다.

이와 같이 부분 비밀 키를 분배하는 경우, nt와 n_t-1+1의 값이 다르므로, 선형 결합 계수 {v_i}가 유일하게 결정되지 않는다. 따라서 선형결합계수 {v_i}의 크기의 상위 경계를 구하기 위해 Babai's nearest plane algorithm을 이용할 수 있다.

한편, 기존의 정족수설계는 t-1명 이하가 모이면 비밀 키를 복구할 수 없고

명 이상이 모이면 비밀 키를 복구할 수 있도록 정의하는데 본 개시에 따르면, 효율성을 위해 보다 약한 정의 또한 적용가능 하다. 즉, t명이 아닌 어떤 상수 c에 대해 t-c명 이하가 모이면 비밀 키를 복구할 수 없고 t 명 이상이 모이면 비밀 키를 복구할 수 있도록 비밀 키를 분배할 경우 행렬 A_t가 n_t×{n_t-c+1}} 행렬이 되고 행과 열의 차이가 더 크기 때문에 선형결합계수 {v_i}의 크기를 더욱 작게 만들 수 있다.

그리고 프로세서(450)는 생성된 부분 비밀 키가 다른 장치들에 전송되도록 통신 장치(410)를 제어할 수 있다. 이때, 프로세서(450)는 장치별로 복수의 부분 비밀 키가 전송되도록 통신 장치(410)를 제어할 수 있다.

프로세서(450)는 공개 키가 생성되면, 다른 장치들에 전송되도록 통신 장치(410)를 제어할 수 있다.

그리고 프로세서(450)는 메시지에 대한 동형 암호문을 생성할 수 있다. 예를 들어, 프로세서(450)는 메시지에 대해서 앞서 생성된 공개 키를 적용하여 동형 암호문을 생성할 수 있다. 이때, 프로세서(450)는 암호문의 길이를 스케일링 팩터의 크기에 대응되도록 생성할 수 있다.

그리고 프로세서(450)는 동형 암호문이 생성되면 메모리(420)에 저장하거나, 사용자 요청 또는 기설정된 디폴트 명령에 따라 동형 암호문을 다른 장치에 전송하도록 통신 장치(410)를 제어할 수 있다.

한편, 본 개시의 일 실시 예에 따르면, 패킹(packing)이 이루어질 수도 있다. 동형 암호화에서 패킹을 이용하게 되면, 다수의 메시지를 하나의 암호문으로 암호화하는 것이 가능해진다. 이 경우, 연산 장치(400)에서 각 암호문들 간의 연산을 수행하게 되면, 결과적으로 다수의 메시지에 대한 연산이 병렬적으로 처리되므로 연산 부담이 크게 줄어들게 된다.

구체적으로는, 프로세서(450)는 메시지가 복수의 메시지 벡터로 이루어지는 경우, 복수의 메시지 벡터를 병렬적으로 암호화할 수 있는 형태의 다항식으로 변환한 후, 그 다항식에 스케일링 팩터를 승산하고 공개 키를 이용하여 동형 암호화할 수도 있다. 이에 따라, 복수의 메시지 벡터를 패킹한 암호문을 생성할 수 있다.

그리고 프로세서(450)는 동형 암호문에 대한 복호가 필요한 경우, 동형 암호문에 비밀 키를 적용하여 다항식 형태의 복호문을 생성하고, 다항식 형태의 복호문을 디코딩하여 메시지를 생성할 수 있다. 이때 생성한 메시지는 앞서 설명한 수학식 1에서 언급한 바와 같이 에러를 포함할 수 있다.

한편, 프로세서(450)는 부분 비밀 키를 갖는 경우, 동형 암호문에 대해서 부분 비밀 키를 이용한 부분 복호문을 생성하고, 생성한 부분 복호문을 다른 장치에 전송하도록 통신 장치(410)를 제어하거나, 다른 장치에서 제공한 부분 복호문을 기설정된 개수(즉, 정족수)이상 모아 암호문에 대한 메시지를 복호할 수도 있다.

또한, 프로세서(450)는 부분 비밀 키를 갖는 경우, 다른 장치로부터 정족수 이상의 부분 비밀 키를 수집하고, 수집한 부분 비밀 키를 이용하여 비밀 키를 생성할 수 있다. 그리고 프로세서(450)는 생성된 비밀 키를 이용하여 메시지를 복호할 수도 있다.

그리고 프로세서(450)는 암호문에 대한 연산을 수행할 수 있다. 구체적으로, 프로세서(450)는 동형 암호문에 대해서 암호화된 상태를 유지한 상태에서 덧셈, 뺄셈, 또는 곱셈 등의 연산을 수행할 수 있다.

그리고 연산 장치(400)는 연산이 완료되면, 연산 결과 데이터로부터 유효 영역의 데이터를 검출할 수 있다. 구체적으로, 연산 장치(400)는 연산 결과 데이터를 라운딩 처리를 수행하여 유효 영역의 데이터를 검출할 수 있다. 라운딩 처리란 암호화된 상태에서 메시지의 반올림(round-off)을 진행하는 것을 의미하며, 다르게는 리스케일링(rescaling)이라고 할 수도 있다.

또한, 연산 장치(400)는 연산 결과 암호문 내의 근사 메시지 비중이 임계치를 초과하면, 암호문에 대한 재부팅 동작을 수행할 수 있다.

이상과 같이 본 실시 예에 따른 연산 장치(400)는 랜덤 행렬을 이용하여 정족수를 만족하는 부분 비밀 키를 생성하는 바, 비밀 키 복원시에 필요한 선형 결합계수의 크기를 더욱 작게 만들 수 있다. 또한, 본 연산 장치(400)는 사용자별로 복수의 부분 비밀 키를 배분하기 때문에 N이 t에 비해 매우 큰 경우에 유리하다.

한편, 이하에서는 상술한 정족수 설계에 따른 trade-off 방법을 설명한다.

먼저, 분배하는 각 사람에게 부분 비밀 키를 c개 분배하는 (t, N)-정족수 설계가 존재한다고 가정하자. 이를 통해 (2t, 2N)-정족수 설계를 만들기 위해 2N명의 사람들을 두 그룹(P₀, Q_O)으로 나눌 수 있다.

그리고,

을 정의하면,

임을 쉽게 확인할 수 있다.

이제, 비밀 키(s)를

로 나누어 각

에 각각 비밀 키를

로 가지는

정족수 설계를 적용할 수 있다.

만일

명 이하가 모인다면 어떠한

쌍도 비밀 키

를 모두 복구할 수 없으므로 비밀 키

를 복구할 수 없다. 만일

명 이상이 모인다면

개의

중 적어도 하나는 비밀 키를

를 복구할 수 있으므로 비밀 키 비밀 키를

를 복구할 수 있게 된다.

따라서 각 사람에게 비밀 키를

개 분배하는

정족수 설계가 존재한다면 각 사람에게 비밀 키를

개 분배하는

정족수 설계도 만들어 낼 수 있다.

도 3은 본 개시의 암호문 생성 방법의 예를 설명하기 위한 흐름도이다.

도 3을 참조하면, 비밀 키 및 공개키를 생성할 수 있다(S310). 구체적으로, 링을 설정하고, 설정된 링을 통하여 비밀 키를 생성하고, 생성된 비밀 키를 이용하여 공개 키를 생성할 수 있다. 이때, 정족수 설계를 위하여, 비밀 키를 이용하여 복수의 부분 비밀 키를 생성할 수 있다. 부분 비밀 키를 생성하는 구체적인 동작은 도 4를 참조하여 후술한다.

이후에, 생성된 공개 키를 이용하여 암호문을 생성할 수 있다(S320). 예를 들어, 메시지에 공개키를 적용하여 동형 암호문을 생성할 수 있다.

그리고 생성된 암호문을 전송할 수 있다(S330). 생성된 동형 암호문을 저장하거나, 다른 장치에 전송할 수 있다.

도 4는 본 개시의 분배 비밀 키의 생성 방법의 예를 설명하기 위한 흐름도이다.

도 4를 참조하면, 비밀 키를 산출할 수 있다(S410). 구체적으로, 원소들 사이에 덧셈과 곱셈이 정의되어 있으며 덧셈과 곱셈에 대해서 닫혀 있는 집합인 링(ring)으로부터 비밀 키를 산출할 수 있다.

그리고 산출된 비밀 키 및 랜덤 행렬을 이용하여 복수의 부분 비밀 키를 생성할 수 있다(S420). 구체적으로, 복수의 랜덤 값을 생성하고, 비밀 키 및 복수의 랜덤 값으로 구성되는 벡터 행렬을 랜덤 행렬에 적용하여 복수의 부분 비밀 키를 생성할 수 있다. 여기서 랜덤 행렬은 사용자 수에 대응되는 행 개수 및 정족수에 대응되는 열 개수를 가질 수 있다. 사용자별로 복수의 비밀 키가 배분되도록 사용자 수 및 사용자별 배분될비밀 키 개수에 대응되는 행 개수를 가질 수 있다.

그리고 생성된 복수의 분배 비밀 키를 분배할 수 있다(S430). 구체적으로, 사용자별로 복수의 비밀 키를 배분하는 경우에는, 생성된 복수의 분배 비밀 키를 사용자별로 복수개씩 분배할 수 있다.

도 5는 복수의 부분 비밀 키를 이용한 암호문의 복호 방법을 설명하기 위한 흐름도이다.

도 5를 참조하면, 먼저, 부분 비밀 키를 이용한 상기 암호문에 대한 부분 복호문을 정족수 이상 수집한다. 구체적으로, 상술한 바와 같이 본 개시에 따른 비밀 키는 정족수 이상의 개수가 수집된 경우에 메시지 복호를 수행할 수 있는바, 연산 장치는 정족수 이상의 부분 비밀 키 또는 정족수 이상의 부분 복호문을 수집할 수 있다.

만약, 정족수 이상 수집되지 않으면(S520-N), 상술한 수집 동작을 반복하고, 기설정된 시간 내에 정족수 이상 수집되지 않으면 복호화 동작을 종료하거나 에러를 통지할 수 있다.

만약, 정족수 이상의 부분 복호문이 수집되면(S520-Y), 수집된 부분 복호문을 선형 결합하여 메시지를 복호할 수 있다.

한편, 이상에서는 정족수 이상의 부분 복호문을 이용하여 메시지를 복호하는 것을 설명하였지만, 구현시에는 부분 비밀 키를 정족수 이상 수집한 이후에, 수집된 부분 비밀 키를 이용하여 비밀 키를 생성하고, 생성된 비밀 키를 이용하여 동형 암호문을 복호할 수도 있다.

한편, 상술한 다양한 실시 예에 따른 암호문 처리 방법은 각 단계들을 수행하기 위한 프로그램 코드 형태로 구현되어, 기록 매체에 저장되고 배포될 수도 있다. 이 경우, 기록 매체가 탑재된 장치는 상술한 암호화 또는 암호문 처리 등의 동작들을 수행할 수 있다.

이러한 기록 매체는, ROM, RAM, 메모리 칩, 메모리 카드, 외장형 하드, 하드, CD, DVD, 자기 디스크 또는 자기 테이프 등과 같은 다양한 유형의 컴퓨터 판독 가능 매체가 될 수 있다.

이상 첨부 도면을 참고하여 본 개시에 대해서 설명하였지만 본 개시의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시 예 및/또는 도면에 제한되는 것으로 해석되어서는 안 된다. 그리고 특허청구범위에 기재된 개시의, 당업자에게 자명한 개량, 변경 및 수정도 본 개시의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.

100: 전자 장치 200: 제1 서버 장치
300: 제2 서버 장치 400: 연산 장치
410: 통신 장치 420: 메모리
430: 디스플레이 440: 조작 입력 장치
450: 프로세서

Claims (5)

1. 비밀 키 및 랜덤 행렬을 이용하여 생성된 복수의 부분 비밀 키 중 적어도 하나의 부분 비밀 키를 수신하는 단계;
   복호화 하지 않은 상태에서 연산 가능한 암호문을 수신하는 단계;
   상기 수신된 암호문을 상기 부분 비밀 키를 이용하여 복호화하는 단계; 및
   상기 부분 비밀 키로 복호화된 부분 복호문을 외부 장치에 전송하는 단계;를 포함하는 암호화 방법.
2. 제1항에 있어서,
   상기 랜덤 행렬은,
   사용자 수 및 사용자별로 배분될 키의 개수에 대응되는 행 개수와 정족수에 대응되는 열 개수를 갖는 암호화 방법.
3. 제2항에 있어서,
   상기 수신하는 단계는,
   상기 사용자별로 배분될 키의 개수에 대응되는 개수만큼의 복수개의 부분 비밀 키를 수신하고,
   상기 복호화하는 단계는,
   상기 복수개의 부분 비밀 키 각각을 이용하여 상기 수신된 암호문을 복호화하고, 복호화 결과를 합산하여 부분 복호문을 생성하는 암호화 방법.
4. 연산 장치에 있어서,
   적어도 하나의 인스트럭션(instruction)을 저장하는 메모리; 및
   상기 적어도 하나의 인스트럭션을 실행하는 프로세서;를 포함하고,
   상기 프로세서는, 상기 적어도 하나의 인스트럭션을 실행함으로써,
   비밀 키 및 랜덤 행렬을 이용하여 생성된 복수의 부분 비밀 키 중 적어도 하나의 부분 비밀 키를 수신하고, 복호화 하지 않은 상태에서 연산 가능한 암호문을 수신하고, 상기 수신된 암호문을 상기 부분 비밀 키를 이용하여 복호화하고, 상기 부분 비밀 키로 복호화된 부분 복호문을 외부 장치에 전송하는 연산 장치.
5. 제4항에 있어서,
   상기 랜덤 행렬은,
   사용자 수 및 사용자별로 배분될 키의 개수에 대응되는 행 개수와 정족수에 대응되는 열 개수를 가지며,
   상기 프로세서는,
   상기 사용자별로 배분될 키의 개수에 대응되는 개수만큼의 복수개의 부분 비밀 키를 수신하고, 상기 복수개의 부분 비밀 키 각각을 이용하여 상기 수신된 암호문을 복호화하고, 복호화 결과를 합산하여 부분 복호문을 생성하는 연산 장치.
   
   
   
   

Images