ISSN 2383-630X(Print) / ISSN 2383-6296(Online) Journal of KIISE, Vol. 44, No. 4, pp. 344-351, 2017. 4 https://doi.org/10.5626/jok.2017.44.4.344 보안하드웨어연산최소화를통한효율적인속성기반전자서명구현 (Efficient Attribute Based Digital Signature that Minimizes Operations on Secure Hardware) 윤정준 이정혁 김지혜 오현옥 (Jungjoon Yoon) (Jeonghyuk Lee) (Jihye Kim) (Hyunok Oh) 요약속성기반서명은속성을가지는서명키를사용하여속성술어를기반으로하는서명을생성하는암호방식이다. 속성기반서명에서서명을생성하는동안서명키가유출된다면, 해당서명키에대한서명이위조될수있는문제가발생한다. 따라서서명생성은보안이보장되는하드웨어에서수행되어야한다. 이러한하드웨어를보안하드웨어라고명명한다. 그러나보안하드웨어는연산속도가느리기때문에속성기반서명과같은많은연산을빠른시간안에수행하기에는적합하지않다. 이논문은속성기반서명의연산을분리하여성능이좋은일반하드웨어와보안하드웨어로이루어지는시스템에서효율적으로사용가능한속성기반서명기법을제안한다. 제안하는기법은기존에존재하는임의의속성기반서명과일반전자서명으로설계가가능하며, 속성기반서명이안전하지않은환경에서수행되더라도일반전자서명을보안하드웨어에서수행함으로써안전성을보장한다. 제안된논문은기존의속성기반서명을보안하드웨어에서생성하는것에비해서 11 배의성능향상을보인다. 키워드 : 속성기반서명, 전자서명, 보안연산최소화, 보안하드웨어 Abstract An attribute based signature system is a cryptographic system where users produce signatures based on some predicate of attributes, using keys issued by one or more attribute authorities. If a private key is leaked during signature generation, the signature can be forged. Therefore, signing operation computations should be performed using secure hardware, which is called tamper resistant hardware in this paper. However, since tamper resistant hardware does not provide high performance, it cannot perform many operations requiring attribute based signatures in a short time frame. This paper proposes a new attribute based signature system using high performance general hardware and low performance tamper resistant hardware. The proposed signature scheme consists of two signature schemes within a existing attribute based signature scheme and a digital signature scheme. In the proposed scheme, although the attribute based signature is performed in 본연구는한국연구재단-차세대정보 컴퓨팅기술개발사업 (No. NRF-2016M3C 4A7937117), 한국연구재단-기본연구 (No. 2016R1D1A1B03934545), 지식경제부 / 한국산업기술평가관리원 (No. 10041608) 의지원을받아수행된연구입니다. 이논문은 2016 한국컴퓨터종합학술대회에서 최소보안연산을가지는전방향보안전자서명 의제목으로발표된논문을확장한것임 비회원 : 국민대학교보안-스마트전기자동차학과 20093173@kookmin.ac.kr 학생회원 : 한양대학교정보시스템학과 ahoo791@hanyang.ac.kr 정회원 : 국민대학교전자공학부교수 (Kookmin Univ.) jihyek@kookmin.ac.kr (Corresponding author 임 ) 비회원 : 한양대학교정보시스템학과교수 hoh@hanyang.ac.kr 논문접수 : 2016년 8월 22일 (Received 22 August 2016) 논문수정 : 2016년 12월 28일 (Revised 28 December 2016) 심사완료 : 2017년 1월 10일 (Accepted 10 January 2017) CopyrightC2017 한국정보과학회ː 개인목적이나교육목적인경우, 이저작물의전체또는일부에대한복사본혹은디지털사본의제작을허가합니다. 이때, 사본은상업적수단으로사용할수없으며첫페이지에본문구와출처를반드시명시해야합니다. 이외의목적으로복제, 배포, 출판, 전송등모든유형의사용행위를하는경우에대하여는사전에허가를얻고비용을지불해야합니다. 정보과학회논문지제44권제4호 (2017. 4)
보안하드웨어연산최소화를통한효율적인속성기반전자서명구현 345 insecure environments, the digital signature scheme using tamper resistant hardware guarantees the security of the signature scheme. The proposed scheme improves the performance by 11 times compared to the traditional attribute based signature scheme on a system using only tamper resistant hardware. Keywords: attribute based signature, digital signature, minimal secure operation, tamper resistant hardware 1. 서론본논문은그림 1과같이느린보안하드웨어와빠른일반하드웨어로구성된시스템상에서효율적으로보안성이보장되는새로운속성기반서명기법을제안한다. 제안하는기법은기존에존재하는속성기반서명과일반서명을하나의서명으로생성하는기법으로많은연산이필요한속성기반서명은빠른일반하드웨어에서, 적은연산이필요한일반서명은느린보안하드웨어서수행함으로써, 보안하드웨어에서행해지는연산을최소화한속성기반서명을제안한다. 속성기반서명이란속성을갖는사용자가 (( 속성1 속성2) 속성3) 과같은복잡한정책을더해서명을생성하는암호기법으로, 생성된서명의정책에해당하는속성을가지고있는사람만이서명을인증할수있는전자서명이다. 즉, 기존전자서명기법은어떠한정책에따라서명키를소유할수있던것이아니지만속성기반서명은서명키를가질수있는권한을속성에따라부여함으로써서명생성자의범용성을높인다. 서명생성자의범용성이란하나의서명키에동일한속성을가진불특정다수의사람이접근할수있음을의미한다. 구체적으로말해기존의전자서명은서명생성의주체가서명키를가진개인한사람이고인증또한서명을가진개개인각자에의해행해지는반면속성기반서명은서명생성의주체가속성을가진사람들이고또한그구성또한해당서명정책에맞게유기적으로바뀔수있다. 예를들면, 기업내에서위조의위험성이있는중요정보를공유하기위해해당정보에서명을붙이는데위와같이생성된서명을인증하기위해서는부장 1명, 대리 2명, 사원 3명의임계값을두는것과같이서명생성에속성과그속성의임계값을설정할수있다. 이는서명인증에있어서올바른서명인증자를속성으로제한하고속성의임계값을설정할수있기때문에상당히유기적이다. 그러나이러한속성기반서명은다른전자서명과마찬가지로서명시비밀정보가들어가기때문에안전성이보장되는보안하드웨어에서서명이이루어지는것이바람직하다. 예를들어서명이일반적인하드웨어환경에서수행된다면, 하드웨어가물리적으로탈취당한경우비밀정보가누출될수있다. 따라서비밀정보가필요한전자서명과정은보안하드웨어내에서행해져야 도난으로인한피해를최소화할수있다. 하지만일반적으로보안하드웨어의계산능력은매우낮다. 예를들어신뢰플랫폼모듈 (TPM : Trusted Platform Module) 의경우, RSA나해쉬와같은일부의특정계산에대해서는하드웨어가속기를사용해서계산을빠르게할수있으나, 다양한일반적인연산에대해서는 TPM 내부의일반목적프로세서를사용해서계산해야한다 [1]. 많은경우 TPM에서는수십 MHz 정도의클럭속도를가지는느린제어용프로세서를사용하기때문에보안하드웨어에서행해지는연산량은최소화되어야한다. 본논문에서는보안하드웨어에서행해지는연산량을최소화하기위해속성기반서명에일반전자서명을붙여서보안연산이최소화되는속성기반서명을구현한다. 기존의속성기반서명은서명에필요한연산전체가보안하드웨어에서행해져야했던반면본논문에서제안하는속성기반서명은기존에제안된속성기반서명을보안하드웨어보다연산속도가빠른일반하드웨어에서만들고그서명에보안하드웨어에서수행된일반서명결과를덧붙임으로써최종서명을만든다. 얼핏보면서명을두번하는것이기때문에서명의연산속도가더욱느려지는것으로보일수도있지만실제로보안하드웨어에서행해지는일반서명연산은연산량이적은서명을사용할뿐만아니라병렬처리가가능하기때문에모든연산을보안하드웨어에서수행하던기존의속성기반서명보다는빠른연산속도를보일수있다. 본논문에서제안하는속성기반서명은기존에제안된모든속성기반서명을사용할수있기때문에적용대상이광범위하고또한유기적으로서명을생성할수있다. 즉, 그때그때상황에맞게각시스템에적합한기그림 1 프로세서구조 Fig. 1 Processor architecture
346 정보과학회논문지제 44 권제 4 호 (2017. 4) 존에제안된속성기반서명을사용하여최종전자서명을만들수있는것이다. 또한본논문에서제안하는속성기반서명은저성능보안프로세서에적용하는것이용이하다. 서명의대다수의연산을빠른연산이가능한고성능프로세서환경에서수행하고보안연산이필요한부분은연산량이최소화되었기때문에연산속도가느린저성능보안프로세서에서도충분히수행할수있다. 이에대한예로원격온도조절시스템등의예를들수있을것이다. 만약집안에온도센서가 5개가달려있고온도센서 5개중 3개이상 24도이하로측정되면에어컨의전원이꺼지도록설정하는시스템이존재한다고가정할때, 에어컨의전원을끄는명령을메시지로볼수있을것이다. 이때, 각온도센서들은메시지가올바른메시지인지아닌지서명인증을통해확인할수있는데메시지서명시대다수의서명연산은중앙시스템에서수행되고적은연산량만이사용자가가진원격디바이스를통해수행될수있을것이다. 본논문의구성은다음과같다. 2장에서속성기반서명과관련된관련연구를살펴보고, 3장에서는제안기법구성에필요한용어와제안기법의보안모델을정의한다. 4장에서는제안기법의구성을구체적으로제시한다. 5장에서는본제안기법의안전성을증명하며 6장에서는제안기법의효율성을보여주는실험결과를보인다. 마지막으로 7장에서는본논문의결론을기술한다. 2. 관련연구전자서명기법이제안된이후다수의사람들이메시지서명에참여할수있도록하는다양한연구가진행되어왔다. 그연구중하나로그룹서명 (Group Signature) 기법이제안되었다 [2,3]. 그룹서명기법은처음제안된이후다양한측면으로연구되어왔는데, 대표적으로링서명 (Ring Signature) 와메시서명 (Mesh Signature) 기법이있다 [4,5]. 링서명은각그룹의구성원이각각공개키와서명키를가지고있는상태에서, 그룹의일부구성원이메시지에대해서명을생성할수있다. 링서명에좀더발전된형태로메시서명이제안되었다 [5]. 메시서명은기본적으로링서명의형태를지니며서명자를익명화시킨다는점에서링서명에서한단계더진보하였다. 일반적그룹서명뿐만아니라서명에임계값을설정할수있는서명또한다양한측면으로제시되어왔다 [6,7]. 임계값서명 (Threshold Signature) 는그룹의프로토콜내에서일정임계값에도달하지못하면서명을생성할수없는서명기법이다. 이후속성을서명생성에적용할수있고임계값을제한할수있는속성기반서명이제안되었다 [8,9]. 속성기반서명은기존에제안된 속성기반암호기술 [10] 을적용하는방법으로서명을생성한다. 속성기반암호기술은 [11] 에서사용되었던다항식과좌표개념을이용하여속성을암호화에적용할수있었다. 속성기반서명은그룹서명, 링서명에임계값이정해져있고다수의사람이서명을생성할수있다는점에서유사점을지니고있으며그룹서명과는속성을사용한다는점에서차이점을지닌다. 속성기반서명을통해특정인이아닌해당하는속성을가진사람이라면누구나서명할수있게되었으며인증또한마찬가지로서명키로만들어진서명을직접전달받지않고해당속성을통해올바른인증이가능하게되었다. 그러나속성기반서명은많은연산을요구하기때문에보안하드웨어에적용하는것에는많은무리가따른다. 이에대한해결방안으로 [12] 에서는속성기반서명의연산을이원화하여연산량을줄이고자하였다. 그러나 [12] 는하나의속성기반서명을이원화하는것이기때문에특정한속성기반서명이필요하며다양한서명기법에일반화하는것은무리가있다. 본논문에서는하나의속성기반서명을이원화하여연산량을줄이는것이아니라기존에제안된속성기반서명과일반전자서명두개를더하여하나의서명으로만들어연산량을줄이고자하였다. 즉, 본논문에서는기존에제안된속성기반서명과일반전자서명두개의서명을더하여연산을이원화하였으며, 보안하드웨어에서는일반전자서명이사용될것인데실험에는연산량이지수승 1 회의연산으로구성되어있는 [13] 을이용하였다. 3. 정의와모델속성기반서명 (Attribute based signature: ABS) 의주요한특징으로, 술어정책 (Predicate policies) 를지원한다. 예를들어, 몇몇권한은어떠한사람에의해인가될수있는데, (( 박사학위 ) AND ( 대학 OR 연구소 )) 혹은 ((( 군인 ) AND ( 육군 OR 공군 )) OR ( 장교 )) 와같은정책을가질수있으며, 서명자가정확히누구인지에대해드러나지않는다. 속성기반서명에사용되는술어 는구성된속성집합중입력된속성집합과의교집합이일정임계값 (threshold) 이상을만족할경우 1, 그렇지않을경우 0 을출력하며이에대한정의는다음과같다. Ω Ω Ω Ω 3.1 정의본논문에서제안하는최소보안연산을갖는속성기반서명알고리즘은기존의속성기반서명과일반서명두개의서명알고리즘으로구성된다. 이때, 속성기반서명은 (,,, )
보안하드웨어연산최소화를통한효율적인속성기반전자서명구현 347 네가지로구성되며, 일반서명은 (,, ) 세가지로구성된다. 제안하는최소보안연산을갖는속성기반서명속성기반알고리즘은다음과같다. : Security 파라미터 와속성전체를가지는 를입력으로한다. 와속성키를만들수있는마스터키, 사용자서명서명키 를반환한다. Ω : 속성서명키를만들수있는마스터키 와속성집합인 Ω을입력으로받고. 이를이용하여서명자의속성에대한서명키 Ω 를반환한다. Ω : 메시지 과서명키 Ω,, 술어 를입력으로받고서명 를반환한다. : 서명검증에는메시지 M, 서명, 공개키, 술어 가입력된다. 서명이유효하면 1, 아니면 0을반환한다. 3.2 보안모델 (Unforgeability) 최소보안연산을갖는속성기반서명스킴은일반 PC에서연산이수행되는속성기반서명과보안하드웨어에서연산이수행되는일반전자서명으로구성되며, 두개의서명을하나의서명으로취급한다. 따라서, 최소보안연산을갖는속성기반서명스킴의공격자는속성기반서명스킴과일반전자서명스킴, 두가지모두에대해서명위조공격을시도하여두스킴에대한서명을모두위조해야공격에성공한다. 그림을살펴보면, 공격자는스킴을구성하는속성기반서명에대해서명키를얻을수있으며, 메시지에대해일반전자서명 ( ) 과속성기반서명과일반전자서명으로이루어진완전한서명 ( ) 을얻을수있다. 그러나이러한쿼리를통해공격자가스킴을구성하는속성기반서명을위조한다하더라도보안하드웨어에서연산이수행되는일반전자서명에대해서위조할수없음을아래게임을통해보인다. 제안하는최소보안연산을갖는속성기반서명스킴의속성기반서명의위조불가는 Challenger 와 Forger 의게임총 3단계 (Setup, Queries, Forgery) 로진행되며다음과같으며그림 2는안전성게임이진행되는과정을보여주고있다. - Setup 단계 Challenger 가충분히큰시큐리티파라미터 를선택한다음 알고리즘을실행한다. 이때생성되는공개키 와속성키를만들수있는마스터키 는 가소유한다. 그림 2 위조불가속성기반서명보안모델 Fig. 2 Unforgeability attribute-based signature security model - Queries 단계 Forger 는 Challenger 를통해다음과같은쿼리를통해원하는정보를얻을수있다. 쿼리 : Forger 는 Challenger 에게일정속성 Ω을보내고그에해당하는서명키 Ω 를받는다. 쿼리 : Forger 는 Challenger 에게메시지 을보내 를통해일반서명을받는다. 쿼리 : Forger 는 Challenger 에게메시지 과해당속성에대한술어 를보내 쿼리를통해온전한서명 를얻을수있다. 쿼리단계는단한번행해지는것이아니라수시로행해질수있다. - Forgery 단계최종적으로, Forger 는지금까지쿼리하지않았던술어 에대한메시지, 를출력한다. Forger 가술어 에대한메시지 에대해유효한서명 를생성하였고, 해당속성집합이 를만족하며, 쿼리하지않은입력이라면이게임에서이기게된다. 공격자가서명위조를성공할확률이충분히작을경우, 최소보안연산을갖는속성기반서명스킴에서의서명위조는다항시간안에는거의불가능하다고정의한다. 다시정의하자면, 공격자가서명위조를성공확률이 이라면, 최소보안연산을갖는속성기반서명스킴은 -위조불가라고정의한다. 4. 스킴최소보안연산을갖는속성기반서명을만들기위해일반적인속성기반서명과일반전자서명을한쌍으로만드는방식으로스킴을구성하였다. 일반전자서명은자원제약이있는내장형시스템이나연산이느린
348 정보과학회논문지제 44 권제 4 호 (2017. 4) 보안하드웨어같은곳에서연산이진행되므로연산량이적은일반서명알고리즘을사용하여오버헤드를줄일수있다. 이와같은이원화방식을통해서명을생성하면, 상대적으로연산량이많은속성기반서명과연산량이적은일반서명으로효율적인분리가가능하다. 속성기반서명스킴이 (,,, ) 로주어지고, 일반서명스킴이 (,, ) 로주어질때, 제안하는스킴은다음과같다. Ω Ω Ω Ω Ω Ω if if 그림 3 알고리즘 Fig. 3 Algorithm 4.1 Setup 안전성파라미터 와전체속성에대한파라미터 를입력으로가지며이를통해공개키, 와마스터키, 서명키 를생성한다. 위키는최소보안연산을갖는속성기반서명를구성하는속성기반서명과일반전자서명에대한키로구성되어있다. 속성기반서명을가지고있으므로, 제안된스킴은전체적으로보았을때, 속성기반서명이된다. 알고리즘을살펴보면, 먼저, 최소보안연산을갖는속성기반서명을구성하는속성기반알고리즘의 를 통해속성기반키를생성한다음, 보안연산에사용될일반전자서명의키를생성하게된다. 최종적으로공개키는최소보안연산을갖는속성기반서명를구성하는속성기반서명의공개키와일반서명의공개키로구성되며, 서명키로는최소보안연산을갖는속성기반서명을구성하는속성기반서명의마스터키 와일반서명의서명키 가된다. 이때, 일반서명의서명키는보안하드웨어에저장된다. 4.2 KeyGen 속성기반서명은해당속성혹은정책에따라키가달라진다. 따라서, 최초에 를통해서만들어진마스터키 와속성집합인 Ω를입력으로받아, 입력받은속성집합 Ω에대한서명키를생성하여 Ω 를반환한다. 이때, 주의해야할점은속성집합 Ω은최초 에서결정한전체속성집합 의부분집합이여야한다. 4.3 Sign 메시지 과 를통해만들어진 Ω, 일반서명의서명키, 술어 를입력으로가지며, 최소보안연산을갖는속성기반서명을구성하는속성기반서명과일반전자서명 2개를하나의서명으로만든다. 서명생성에는사용된속성기반서명생성알고리즘인 를통해속성기반서명 을생성하고, 일반서명의 알고리즘을통해 를생성한다. 는성능이좋은서버나일반 PC에서연산을진행하며, 는보안하드웨어에서진행하게하여보안성을강화시킨다. 보안하드웨어는일반적인하드웨어보다연산속도가느리기때문에서명을만드는데일반서명은연산이간단한서명을사용하는것이바람직하다. 4.4 Verify 서명이올바른지아닌지를확인하는함수로, 메시지 과서명, 술어, 공개키 를입력으로하여, 서명이올바를경우, 올바르지않을경우 을반환한다. 서명 는 와 로구성되어있으며, 는사용된속성기반서명의 함수를통해결과를얻을수있다. 은 를통해올바른서명인지를판단하며, 최종적으로 와 이모두유효한서명일경우에 를반환한다. 5. 안전성증명안전성증명은 4장에서살펴본모델에서 Challenger 와 Forger 간의게임을통해이러한공격자가존재하지하지않는다는것을보임으로써위조불가함을보인다.
보안하드웨어연산최소화를통한효율적인속성기반전자서명구현 349 만약최소보안연산을갖는속성기반서명스킴에서높은확률로서명을위조하는 Forger 가존재한다면, 최소보안연산을갖는속성기반서명스킴을구성하는속성기반서명과보안하드웨어에서연산을수행하는일반전자서명을 Forger 가위조하게된다. 따라서최소보안연산을갖는속성기반서명스킴의위조불가능성은스킴을구성하고있는속성기반서명과일반전자서명스킴의위조불가능성에의해안전성이유도된다. 6. 실험본논문에서제안한최소보안연산을갖는속성기반서명을표 1과같은환경에서실험을진행하였으며, 제안한기법으로속성기반서명을구현하였다. 최소보안연산을갖는속성기반서명을구현하는데 [14] 의속성기반서명알고리즘과연산속도가상대적으로느린보안하드웨어에서진행될일반전자서명으로서명생성시 [13] 에서제안된알고리즘으로실험을진행하였다. [14] 의속성기반서명은 (,,, ) 로구성되어있으며, 시에사용될속성뿐만아니라더미속성도같이설정한다. 더미속성은서명생성시술어 에포함된속성을서명자의속성을제외한부분을더미로채움으로써, 완전한술어 가될수있게하는역할을한다. [13] 에서제안된일반전자서명은 (,, ) 로구성되어있으며, 서명생성시지수승한번만수행하는알고리즘을가진다. 6.1 실험환경일반 PC와내장형시스템보드를사용하여일반하드웨어와보안하드웨어하에실험하였다. 보안하드웨어는상대적으로많은비용이요구되는변조방지장치를기반으로설계되기때문에일반적으로최소한의성능모듈로설계가된다. 본논문에서는보안하드웨어에서수행되어야하는연산들은내장형시스템보드레벨의성능을가진시스템에서수행되고, 보안하드웨어에서수행될필요가없는범용연산은범용 PC 레벨의성능을가진시스템에서수행된다고가정하여실험하였다. 현재의보안하드웨어의성능은수십 MHz 정도의프로세서를사용하는상황으로일반내장형시스템의성능에비해수십에서수백배느리다. 이와비슷한비율을실험하기위해서일반 PC에비해연산속도가느린내장형시스템보드를보안하드웨어라고가정하고실험을진행하였다. 내장형시스템보드는표 1과같은성능을가지는인텔의에디슨보드를사용하였다. 6.2 실험결과실험에서는최소보안연산을갖는속성기반서명과기존에존재하는속성기반서명알고리즘을각기다른 표 1 실험환경 Table 1 Experimental Environment PC Embeded System Board CPU 2.7GHz intel core i5 500MHz Atom dual core Memory DDR3 16GB LPDDR3 1GB OS Mac/Windows/Linux Ublinux 환경에서측정하였다. 측정시간의단위는 ms이며, PC, 내장형시스템보드, PC/ 내장형시스템보드각각상황에대해시간을측정하였다. PC와내장형시스템보드는표 1에나온성능을가지는환경에서각알고리즘의시간을측정한결과를나타낸다. 반면 PC/ 내장형시스템보드는보안연산이필요한부분은내장형시스템에서진행하고그외연산은성능이좋은 PC에서진행한결과를나타낸다. 위표의각항목은다음과같다. - U: 전체속성개수. - d: 더미속성개수. - Setup: 공개 / 서명키생성에소요되는시간. - KeyDer: 속성서명키생성에소요되는시간. - Update: 전방향으로속성서명키를갱신하는데소요되는시간. - Sign(g): 서명생성시, 일반연산을하는시간. - Sign(s): 서명생성시, 보안연산을하는시간. - Verfiy: 서명을검증하는데소요되는시간. 기존의속성기반서명의경우, 서명을생성하는데보안연산과일반연산의구분이없다. 모든연산이보안하드웨어에서이루어지거나일반 PC에서진행되어야한다. 표 2의결과를보면알수있듯이기존에제안된속성기반서명에보안성을강화하기위해연산이느린보안하드웨어에진행하게될경우, 성능이좋은 PC에서진행할때에속성집합이 20개일경우서명생성에 211 ms, 30 개일경우 345 ms의시간이걸리는데반해, 보안하드웨어에서는속성집합이 20개일경우 3370 ms, 30개일경우 5830 ms로대략 16~23배정도상당히느린 표 2 하드웨어별알고리즘측정시간 Table 2 Excution time for each system PC Embeded System Board Unit: ms PC/Embeded System Board U 20 30 20 30 20 30 d 8 16 8 16 8 16 Setup 23 24 240 240 123 123 KeyDer 249 417 3510 5690 246 417 Sign(g) 207 345 211 345 3370 5830 Sign(s) 170 170 Verify 97 155 2660 4240 385 332
350 정보과학회논문지제 44 권제 4 호 (2017. 4) 것을볼수있다. 이러한문제를해결하기위해본논문에서제안한기법을활용하였으며, 기존에제안된알고리즘을그대로적용하면서보안연산을나누었다. 연산이분리되었기때문에서명생성시일반연산은성능이좋은 PC로연산을진행하여속성집합이 20, 30개일때각각 207 ms, 345 ms, 보안연산은보안하드웨어에서진행할때각각 170 ms의성능을보여, 서명생성에총 377 ms, 515 ms가소요되는것을확인할수있다. 이는앞서살펴보았던기존의알고리즘의비해 9~11 배의성능향상을보여준다. 이수치는성능이좋은 PC 에서서명을만드는것과같은성능을보이는것을볼수있으며, 두서명을만드는알고리즘이서로독립적이기때문에병렬처리를함으로써성능을올릴수있다. 7. 결론 본논문에서는제안한최소보안연산을갖는속성기반서명을구성하는속성기반서명과일반전자서명을합쳐일반연산은성능이좋은일반하드웨어에서빠르게수행하고보안연산은최소화시켜보안하드웨어에서수행하는새로운속성기반서명 (Attribute-Based Signature) 을제안하였다. 제안하는기법은하나의속성기반서명을나누는것이아닌기존의속성기반서명과일반전자서명을합쳐하나의서명으로생성함으로써기존의다양한속성기반서명과일반전자서명을사용할수있다. 제안한기법의보안안전성은 6장을통해보였으며, 이는사용하는속성기반서명과일반전자서명안정성에기인한다. 또한실험을통해제안한최소보안연산을갖는속성기반서명은기존속성기반서명에비해 11배성능향상을보이는것을확인하였다. References [ 1 ] http://www.atmel.com/products/security-ics/embedded [2] Jan Camenisch, Efficient and Generalized Group Signatures, Advances in Cryptology - EUROCRYPT 97, Lecture Notes in Computer Science, Vol. 1233, pp. 465-479, 1997. [3] Dan Boneh, Xavier Boyen and Hovav Shacham, Short Group Signatures, Advances in Cryptology - CRYPTO 2004, Lecture Notes in Computer Science, Vol. 3152, pp. 41-55, 2004. [4] Ronald L. Rivest, Adi Shamir and Yael Tauman, How to Leak a Secret. Advances in Cryptology - ASIA- CRYPT 2001, Lecture Notes in Computer Science, Vol. 2248, pp. 552-565, 2001. [5] Xavier Boyen, Mesh Signatures, Advances in Cryptology - EUROCRYPT 2007, Lecture Notes in Computer Science, Vol. 4515, pp. 210-227, 2007. [6] Alexandra Boldyreva, Threshold Signatures, Multisignatures and Blind Signatures Based on the Gap- Diffie-Hellman-Group Signature Scheme, Public Key Cryptography - PKC 2003, Lecture Notes in Computer Science, Vol. 2567, pp. 31-46, 2003. [7] Victor Shoup, Practical Threshold Signatures, Advances in Cryptology - EUROCRYPT 2000, Lecture Notes in Computer Science, Vol. 1807, pp. 207-220, 2000. [8] Hemanta K. Maji, Manoj Prabhakaran and Mike Rosulek, Attribute-Based Signatures: Achieving Attribute-Privacy and Collusion-Resistance, IACR Cryptology eprint Archive, 2008/328, 2008. [9] Hemanta K. Maji, Manoj Prabhakaran and Mike Rosulek, Attribute-Based Signatures, Topics in Cryptology - CT-RSA 2001, Lecture Notes in Computer Science, Vol. 6558, pp. 376-392, 2001. [10] Vipul Goyal, Omkant Pandey, Amit Sahai, and Brent Waters, Attribute-based encryption for fine-grained access control of encrypted data, CCS 06 Proc. of the 13th ACM conference on Computer and Communications Security, pp. 89-98, 2006. [11] Amit Sahai and Brent Waters, Fuzzy Identity Based Encryption, Advances in Cryptology - EUROCRYPT 2005, Lecture Notes in Computer Science, Vol. 3494, pp. 457-473, 2005. [12] Xiaofeng Chen, Jin Li, Xinyi Huang, Jingwei Li, Yang Xiang, and Duncan S. Wong, Secure Outsourced Attribute-Based Signatures, IEEE Transactions on Parallel and Distributed System, Vol. 25, pp. 3285-3294, 2014. [13] Dan Boneh, Ben Lynn and Hovav Shacham, Short Signatures from the weil pairing, Journal of Cryptology, Vol. 17(4), pp. 297-319, 2004. [14] Jin Li, Man Ho Au, Willy Susilo, Dongqing Xie and Kui Ren, Attribute-based Signature and its Application, ASIACCS 10 Proceedings of the 5th ACM Symposium on Information, Computer and Communications Security, pp. 60-69, 2010. 윤정준 2016년국민대학교전자공학과졸업 ( 학 사 ). 2016년~현재국민대학교보안-스 마트전기자동차학과석사과정. 관심분야 는암호이론, 응용암호, 임베디드시스템 보안 이정혁 2016년한양대학교정보시스템학과졸업 ( 학사 ). 2016년~현재한양대학교정보시스템학과석. 박통합과정. 관심분야는암호이론, 임베디드보안
보안하드웨어연산최소화를통한효율적인속성기반전자서명구현 351 김지혜 1999년 2월서울대학교컴퓨터공학부졸업. 2003년 2월서울대학교전자컴퓨터공학부석사. 2008년 8월 UC Irvine Dept. of Information & Computer Science 박사. 2008년 9월~2008년 11월 UC Irvine Post Doc. 2008년 11월~2011년 8월서울대학교수학연구소 Post Doc. 2011년 9월~현재국민대학교전자공학부조교수. 관심분야는정보호호기술, 응용암호, 분산시스템 오현옥 1996년서울대학교컴퓨터공학과학사 1998년서울대학교컴퓨터공학과석사 2003년서울대학교컴퓨터공학과박사 ~2005년 UC Irvine 연구원. ~2008년 ARM Inc. Staff S/W Engineer. 2008 년~현재한양대학교공과대학정보시스템학과부교수. 연구분야는암호학, 비휘발성메모리, 설계자동화, 실시간분석