본문/내용
2) Lack-of-fairness 공격[5]
그림 10. Binding cryptography의 개념도Silvio Micali는 FPKC가 공정하다고 주장하고 있다. 즉, 범죄자들을 감시하면서도 사용자의 프라이버시를 보호할 수 있다는 것이다. 하지만 이 공격은 FPKC가 범죄자의 감시와 사용자의 프라이버시 보호라는 두 가지 요구를 동시에 만족하지 않는다는 것을 보여준다. 예를 들어 ElGamal 암호 시스템에 기반한 FPKC의 경우 다음과 같은 공격이 가능하다.[3]
사용자 A는 다음의 식을 만족하는 공개키와 비밀키의 쌍 ()을 소유한다.
범죄자 B는 사용자 A에게 다음과 같이 이루어진 암호문 (K, C)를 전송한다.
암호문을 수신한 사용자 A는 다음과 같이 메시지 M을 복호해 낸다.
이 과정에서 법 집행 기관이 공개된 정보 K와 C로부터 메시지 M을 얻기 위해서는 사용자 A의 비밀키 를 복구해야만 한다. 즉, FPKC에서는 메시지를 송신하는 범죄자의 키가 아니라 범죄자로부터 메시지를 수신하는 사용자의 비밀키가 노출되는 것이다.
6. Binding Cryptography
1997년에 E. R. Verheul 등은 부정한 사용자에 의한 메시지 조작과 정확한 키 복구 정보를 포함하지 않은 암호문을 수신자가 복호할 수 있도록 소프트웨어를 조작하는 것을 방지하고자 binding cryptography라는 것을 제안하였다.[13] 이 방법에서는 제 3자가 사용자의 비밀 정보를 모르더라도 binding data를 통해 부정 행위를 발견할 수 있다. 본 시스템은 TRP(trusted recovery party)라고 불리우는 키 복구 기관에 사용자의 키나 비밀 정보를 맡기지 않으므로 캡슐화 방식으로 분류된다. 그림 10은 binding cryptography의 동작 과정을 개괄적으로 보여주고 있으며, 그 내용은 아래에서 설명한다.
가) 동작 과정
[암호 통신 과정]
다음은 사용자 A가 사용자 B에게 암호문을 전달하는 과정이다.
① 사용자 A와 …
…