Conditional Proxy Re-Signature in the Standard Model

Abstract

Proxy re-signature allows a semi-trusted proxy to transform a delegatee's signature on a message into a delegator's signature on the same message. To transform a signature, the proxy uses a re-signature key that is received from the delegator. Once the proxy has received the re-signature key, the proxy can transform $all$ the delegatee's signatures to the delegator's signatures; this process is undesirable in some applications that require a fine-grained delegation. All transformed signatures will be verified by the delegator's public key. Therefore, the delegator should be able to fully control which signatures can be transformed. To overcome this limitation of proxy re-signature schemes, the concept of conditional proxy re-signature was proposed. It provides fine-grained delegation, by which a re-signature key can be used to transform a signature on a message with a specific condition. To the best of our knowledge, two conditional proxy re-signature schemes have been proposed, but neither is proved in the standard model (i.e., without random oracles). The random oracle is a theoretical black box that returns a truly random output for every new input. Even though, random oracles allow us to design very efficient schemes, there are schemes that are secure in the random oracle model but insecure whenever the random oracle is instantiated with any hash function. Therefore, the security proven in the random oracle model does not guarantee its security in the real world. We propose a non-interactive conditional proxy re-signature scheme in the standard model. In the proposed scheme, a delegator can choose a condition and can non-interactively generate a re-signature key even if a delegatee is off-line. Therefore, the delegator can fully control a delegation process. Our scheme is existentially unforgeable against adaptive chosen message attack and adaptive chosen condition attack.

프록시 재서명 기법은 서명키의 직접적인 노출 없이 서명 권한을 위임할 수 있는 암호학적 기법이다. 프록시 재서명 기법에서 프록시는 완전하게 신뢰할 수 없는 서버이며, 재서명 키를 이용하여 피위임자의 서명을 위임자의 서명으로 변환해 주는 역할을 한다. 서명을 변환하기 위해 사용되는 재서명키는 위임자로부터 생성되어 프록시에게 전달되며 이 키로부터 위임자나 피위임자의 서명키를 프록시가 알 수 없다. 기존의 프록시 재서명 기법의 경우 일단 프록시가 재서명키를 갖게 되면 모든 피위임자의 서명을 위임자의 서명으로 변환할 수 있었다. 이것은 특정 문서에 대한 서명만을 위임자의 서명으로 바꾸는 등 접근제어 권한을 세세하게 나누는데 있어서 부족하였다. 피위임자의 서명이 위임자의 서명으로 변환이 될 경우, 모든 문서들은 위임자의 공개키를 통해 검증이 된다. 따라서 위임자의 입장에서는 자신이 원하지 않았던 문서까지 자신이 서명한 것으로 변환되는 것을 원치 않을 수 있다. 즉, 위임자의 입장에서는 자신이 원하는 조건에 맞는 문서만을 대리로 서명해주길 바랄 수 있다. 이러한 문제점을 해결하기 위한 방법으로 조건기반 프록시 재서명 기법이 제안되었다. 이 기법에서는 재서명키와 서명에 각각 특정한 조건을 삽입하고, 두 조건이 일치하는 경우에만 피위임자의 서명을 위임자의 서명으로 바꾸도록 하였다. 최근까지 2개의 조건기반 재서명 기법이 제안되었으나 표준 모델에서 안전한 기법은 존재하지 않았다. 이들은 안전성이 검증되지 않았거나 랜덤 오라클을 이용하여 안전성을 검증하였다. 랜덤 오라클은 이상적인 난수 발생기로써 공개적으로 모든 참여자가 접근이 가능한 이론적인 함수이다. 랜덤 오라클은 효율적인 암호 알고리즘을 만들수 있도록 해준다는 점에서 이점이 있지만, 실제 환경에서 구현이 불가능하고 랜덤 오라클을 이용할 경우 안전성이 검증된 알고리즘이 해쉬 함수로 대치할 경우 안전하지 않은 경우가 있다고 알려져 있다. 본 논문에서는 랜덤 오라클을 사용하지 않는 표준 모델에서 안전한 조건기반 재서명 기법에 대해 연구한다. 제안하는 기법에서는 위임자가 조건을 선택할 수 있으며 재서명키 생성과정에서 피위임자가 없어도 생성이 가능한 비대화성을 만족한다. 따라서 위임자가 완전하게 위임과정을 제어하는 것이 가능하다. 제안하는 기법은 적응적 선택 메시지 공격과 적응적 선택 조건 공격에 대해 위조 불가성을 만족한다.