earticle

영어

Password-authenticated group key exchange (PAGKE) allows group members to share a session key using a human-memorable password. The fundamental security goal of PAGKE is security against dictionary attacks. Several solutions have been proposed to solve this problem while most ones require rounds linearly increasing in the number of group users, so they are neither scalable nor practical. Recently a provably secure constant-round PAGKE protocol overcoming this shortcoming is proposed at PKC '06. This protocol has been proved to be secure when both the block cipher is instantiated via an "ideal cipher" and the hash function is instantiated via an "ideal hash" (so-called the random oracle model). However a provably secure scheme using ideal functions may be insecure if the ideal functions are implemented by the real-world functions. Thus we have to avoid or reduce the use of ideal functions as long as possible in proving the security of a scheme to make the scheme more reliable. In this paper we propose a constant-round PAGKE protocol which is provably secure using less ideal functions. That is, the security of the suggested protocol is provable using an ideal cipher without using any ideal hash oracle. Thus our scheme is based on weaker and more reasonable assumptions than the previous schemes. The protocol also matches the most efficient PAGKE protocol among those found in the literature.

한국어

패스워드 기반 그룹 키 교환 (PAGKE : password-authenticated group key exchange)은 단지 사람이 기억하기에 쉬운 패스워드만을 이용해서 그룹 구성원들이 세션 키를 공유할 수 있도록 하는데 목적이 있다. 공유한 세션 키는 향후 그룹의 안전한 통신을 위하여 사용된다. PAGKE는 사전공격 (dictionary attack)에 안전함을 기본적인 안전성의 목표로 한다. 이 문제를 해결하기 위해 몇몇 프로토콜들이 제안되었지만, 기존 프로토콜들은 그룹의 구성원의 수에 비례하여 라운드 수가 증가하기 때문에 실용적이지 못하다. 최근 PKC' 06에서 이러한 단점을 해결하기 위한 증명 가능한 안전성을 가지는 3 라운드의 PAGKE 프로토콜이 제안되었다. 이 프로토콜은 블록암호가 “이상적인 암호” (ideal cipher)이고, 해쉬함수가 “이상적인 해쉬” (ideal hash) (또는 랜덤 오라클)로 동작할 경우에 안전하다. 그러나 실제적으로는 이러한 이상적인 함수를 실제 함수로 구현할 경우에 안전하지 않을 수 있다. 그러므로 스킴을 설계할 때, 이상적인 함수의 사용을 줄이거나 사용하지 않는 것이 더 이상적이라 하겠다. 본 논문에서는 이상적인 함수의 수를 줄인 증명 가능한 안전성을 가지는 2 라운드 PAGKE 프로토콜을 제안한다. 즉, 제안하는 프로토콜의 안전성 증명에서는 어떠한 랜덤오라클의 사용 없이 이상적인 암호의 가정만을 가정한다. 결국, 이전의 스킴들 보다 본 논문에서 제안하는 스킴은 더욱 가정이 약화되고 논리적인 가설에 기초하고 있다. 또한 제안 프로토콜은 지금까지 다른 논문들에서 제안된 프로토콜 중에서 가장 효율적이다.