Key Substitution Security For Lattice-Based Signatures

Abstract

Digital signatures are an important primitive for building secure systems and are used in many security protocols. The security notion of existential unforgeability against adaptive chosenmessage attacks for signature schemes is introduced by Goldwasser, Micali and Rivest. Menezes and Smart argue that unforgeability of signature is not adequate for the multi-user setting. So they proposed the notion of key substitution security on digital signature in the multi-user setting. The key substitution security is very important since it is a critical requirement for the non-repudiaton and the authentication of the signature. Lattice based signature is a promising candidate for post-quantum cryptography and the unforgeability of each scheme has been relatively well studied. There are two types of lattice-based signature: hash-and-sign type such as GPV signature scheme, Falcon and DRS and Fiat-Shamir type such as Lyubashevsky's signature scheme, BLISS, GLP, BG, qTESLA and Dilithium. In this thesis, we present key substitution attacks on these two types of lattice-based signature such as GPV signature scheme, Lyubashevsky's signature scheme, BLISS and BG and thus show that these signature schemes do not provide non-repudiation and authentication. We also extend the attacks to apply the other lattice-based signature schemes submitted to NIST postquantum standardization process and suggest how to prevent key substitution attacks on these schemes.;전자서명은 안전한 암호시스템을 설계하는데 중요한 구성요소이며 많은 보안 프로토콜에 사용되고 있다. 전자서명에 대한 안전성 개념은 개작 가능한 선택적 메시지 공격(adaptive chosen message attack)을 수행하는 공격자가 침입을 통하여 비밀키를 획득하는 능력까지 갖추는 존재적 위조 (existential forge)에 대응하는 안전성을 의미하며 Goldwasser, Micali 그리고 Rivest에 의해 제안되었다. Menezes와 Samrt는 전자서명의 개작 가능한 선택적 메시지 공격에 대한 존재적 위조불가능성(existential unforgeability)은 단일 사용자 모델에서 정의된 안전성 개념이며 다중 사용자 환경에서 충분하지 않다고 주장하였고 전자서명의 키 대체 공격에 대한 안전성 개념을 제안하였다. 키대체 공격에 대한 안전성은 전자서명이 부인방지 기능을 통해 인증의 역할을 수행하기 위해 갖추어야 할 중요한 조건이다. 격자기반 전자서명은 양자 컴퓨터 등장 이후 안전한 암호시스템으로써 가장 유력한 후보이다. 격자기반 서명은 hash-and-sign과 Fiat-Shamir, 두가지 유형이 존재한다. Hash-and-sign 서명으로는 GPV서명, Falcon 그리고 DRS가 있으며, Fiat-Shamir 서명은 Lyubashevsky 서명, BLISS, GLP, BG, qTESLA 그리고 Dilithium이 있다. 본 학위논문은 GPV 전자서명, Lyubashvesky 전자서명, BLISS와 BG와 같은 두가지 타입의 격자기반 전자서명에 대한 키대체 공격을 제안하였고 이 서명들이 부인방지 기능을 제공할수 없게 되어 인증의 역할을 할수 없음을 보였다. 또한 미국 국립표준기술연구소(NIST)가 공모한 양자내성 암호체계 표준화 프로젝트에 제안된 Falcon, DRS, qTESLA 그리고 Dilithium과 같은 다른 격자기반 서명들에 대한 키 대체공격의 안전성 분석을 하였다. 마지막으로 격자기반 서명들에 대한 키대체 공격을 막을 수 있는 방법을 제안하였다.