디지털 서명

3. 역사

1976년, 휫필드 디피와 마르틴 헬만은 논문 "암호화의 새로운 방향(New Directions in Cryptography)"에서 디지털 서명이라는 이론 체계가 존재할 것이라는 추측과 그 개념을 처음 사용하였다.^{[22][23][48][49]}

이후 로널드 리베스트, 아디 샤미어 및 레오나르도 에델만은 기본적인 디지털 서명에 이용할 수 있는 RSA 알고리즘을 개발하였다.^[24][50] 그러나 이것은 단지 실증으로서의 역할만 담당하므로, 기본적인 RSA 서명은 안전하지 않았다.^[25] 1989년 RSA 알고리듬을 사용하여 디지털 서명을 제공해 널리 사용된 소프트웨어 패키지는 Lotus Notes 1.0이다.^[26] 기본적인 RSA 서명은 다음과 같이 산출된다. RSA 서명 키 값을 생성하기 위해, 2개의 큰 소수의 곱인 계수 N과 φ가 오일러 φ함수일 때, ed=1modφ(N)을 충족하는 정수 e와 d를 사용해 RSA 키 쌍 값을 하나 간단하게 생성한다. 서명자의 공개 키 값은 N과 e로 이루어지고, 서명자의 개인 키 값은 d를 사용한다. 메시지 m에 서명하기 위해, 서명자는 σ ≡ m^d (mod N)을 계산한다. 검증을 위해, 수신자는 σ^e ≡ m (mod N)을 확인한다. 위에서 언급했다시피, 이러한 기본적인 구조는 안전하지 않다. 공격을 막기 위해서는, 우선 메시지 m에 암호 해시 함수를 적용하고 그 결과에 RSA 알고리듬을 적용하는 방법이 있다. 이 방식은 소위 랜덤 오라클 모델에서 안전을 증명할 수 있다.

RSA 이후, 람포트 서명^[27], 머클 서명(Merkle Signature, 혹은 Hash tree)^[28], 라빈 서명^[29] 등의 디지털 서명 체계가 개발되었다.

1988년, 샤피 골드워서, 실비오 미칼리, 로널드 리베스트는 최초로 디지털 서명 체계의 보안 요구 사항을 엄밀하게 정의했다.^[30][54] 그들은 서명 체계에 대한 공격 모델의 계층 구조를 설명했고, 선택된 메시지 공격에 대한 존재적 위조조차 방지할 수 있음이 증명된 GMR 서명 체계를 제시했는데, 이는 현재 서명 체계에 대한 허용되는 보안 정의이다.^[30][55] 함정 함수가 아니라 일방향 치환의 훨씬 더 약한 필요 속성을 가진 함수 집합을 기반으로 구축되지 않은 최초의 그러한 체계는 모니 나오르와 모티 영이 제시했다.^[31]

샤피 골드워스, 실비오 미칼리, 로널드 라이베스트가 제시한 공격 모델과 공격 결과의 단계는 다음과 같다.

대부분의 초기 서명 방식은 RSA 함수와 같은 트랩도어 순열(trapdoor permutation)의 사용, 또는 라빈 서명 방식의 경우 합성수 N을 법으로 하는 제곱 계산을 필요로 한다. 트랩도어 순열족은 매개변수로 지정되는 치환(置換)의 집합이며, 순방향 계산은 용이하지만 역방향 계산은 어렵다. 그러나 모든 매개변수에 대해 역방향 계산을 용이하게 하는 "트랩도어"가 존재한다. 매개변수를 공개 키, 트랩도어를 비밀 키로 하고, 암호화는 순방향으로, 복호화는 역방향으로 치환을 계산하는 것에 대응시키면, 트랩도어 순열은 공개 키 암호 시스템으로 간주할 수 있다. 또한 트랩도어 순열은 디지털 서명 방식으로도 간주할 수 있으며, 비밀 키를 사용한 역방향 계산을 서명으로 생각하고, 순방향 계산은 서명을 검증하기 위해 수행된다고 생각하면 된다. 서명은 복호화에, 검증은 암호화에 해당한다는 대응 관계에 의해 디지털 서명은 공개 키 암호 방식을 바탕으로 설명되는 경우가 많지만, 이것이 디지털 서명을 계산하는 유일한 방법은 아니다.

직접 사용될 경우, 이러한 종류의 서명 방식은 존재적 위조에 대한 키 전용 공격에 취약하다. 위조 문서를 만들어내기 위해, 공격자는 임의의 서명 σ를 추출하고, 그 서명에 대응하는 문서 m을 찾기 위해 검증 과정을 사용한다.^[56] 그러나 실제로는 이러한 종류의 서명이 직접 사용되는 경우는 없다. 보다 정확하게 말하면, 서명되는 문서는 먼저 해시화되어 짧은 요약(메시지 다이제스트)이 되고, 그 요약에 대해 서명 처리가 이루어진다. 결과적으로, 이 위조 공격은 σ에 대응하는 해시 함수의 출력을 생성하는 것에 불과하다. 해시 함수의 출력은 원래 문서의 유용성과는 관련이 없으며, 공격을 초래하지 않는다. 랜덤 오라클 모델에서는, 서명의 이 hash-and-decrypt 형식은 선택 메시지 공격에서도 존재적 위조가 불가능하다.^[49]

문서 전체 대신 그러한 해시(또는 메시지 다이제스트)에 서명하는 몇 가지 이유가 있다.

• 효율성: 일반적으로 해시를 계산하는 것은 실제로 서명하는 것보다 훨씬 빠르므로, 서명은 매우 짧아지고 따라서 시간을 절약할 수 있다.
• 호환성: 문서는 일반적으로 비트열이지만, 어떤 서명 방식은 다른 정의역에서 작동한다(예: RSA의 경우 합성수 N을 법으로 하는 정수). 해시 함수는 임의의 입력을 적절한 형식으로 변환하는 데 사용할 수 있다.
• 무결성: 해시 함수가 없다면, "서명해야 할" 문서는 서명 방식이 직접 처리할 수 있도록 작은 단위로 분할되어야 할 것이다. 그러나 서명된 부분을 수신하는 사람은 모든 부분이 적절한 순서대로 존재하는지 인식할 수 없다.

4. 이점

디지털 서명은 문서 발신자의 신원을 확인하고, 내용의 무결성을 보장하며, 부인 방지를 가능하게 하는 등 여러 이점을 제공한다.

• 인증: 디지털 서명은 문서 발신자의 신원을 확인하는 데 사용될 수 있다. 개인 키와 공개 키 쌍을 이용해 서명된 문서는 해당 개인 키를 소유한 사람이 보낸 것임을 보장한다. 이는 특히 금융 거래와 같이 발신자의 신원이 중요한 경우에 유용하다. 예를 들어, 은행 지점에서 본점으로 계좌 잔액 변경 요청을 보낼 때, 디지털 서명을 통해 요청의 진위를 확인할 수 있다.^[35]
• 무결성: 디지털 서명은 문서가 전송 과정에서 위조되거나 변조되지 않았음을 보장한다. 문서에 디지털 서명이 추가되면, 내용이 조금이라도 변경될 경우 서명이 무효화된다. 이는 해시 함수의 특성 덕분으로, 원본 문서와 조금이라도 다른 문서는 완전히 다른 해시 값을 가지기 때문이다. 따라서 수신자는 문서를 받은 즉시 서명을 검증하여 내용의 무결성을 확인할 수 있다.
• 부인 방지: 디지털 서명은 서명자가 나중에 서명 사실을 부인할 수 없도록 한다. 이는 개인 키를 사용하여 서명하기 때문에 가능한 것으로, 서명자는 자신의 개인 키로 서명한 문서에 대해 책임을 져야 한다.

4. 1. 인증

4. 2. 무결성

4. 3. 부인 방지

5. 보안 고려 사항

디지털 서명 방식은 안전한 정보 교환을 보장하기 위해 여러 보안 고려 사항을 필요로 한다. 일반적으로 키 생성, 서명, 서명 검증이라는 세 가지 알고리즘으로 구성된다.
필수적인 두 가지 주요 속성:

• 첫째, 고정된 메시지와 개인 키에서 생성된 서명은 해당 공개 키를 사용하여 진위를 검증할 수 있어야 한다.
• 둘째, 개인 키를 모르는 제3자가 유효한 서명을 생성하는 것은 계산상 불가능해야 한다.

공격 결과

가장 강력한 보안 개념은 적응적 선택 메시지 공격 하에서 존재적 위조에 대한 보안이다.

공개 키 기반 구조(PKI)에서 공개 키 인증서는 인증 기관의 신뢰성을 바탕으로 사용자 공개 키와 사용자 간의 연결을 보증한다. 인증서가 신뢰하는 인증 기관에 의해 발급되었음을 증명하기 위해 디지털 서명이 사용된다.

디지털 서명 방식 자체로는 유효하게 서명된 메시지가 기록되어 악의적인 재생 공격에 사용되는 것을 막을 수 없다.^[35]

5. 1. 개인키 보안

• 사용자는 해당 컴퓨터에서만 문서에 서명할 수 있다.
• 비밀키 보안은 전적으로 컴퓨터 보안에 달려있다.

5. 2. 공개키 인증

공격 결과의 계층 구조는 다음과 같다.^[30]

가장 강력한 보안 개념은 적응적 선택 메시지 공격 하에서 존재적 위조에 대한 보안이다.

공개 키 기반 구조(PKI)에서 공개 키 인증서는 인증 기관의 신뢰성을 바탕으로 사용자 공개 키와 사용자 간의 연결을 보증한다. 인증서가 신뢰하는 인증 기관에 의해 발급되었음을 증명하기 위해 디지털 서명이 사용된다.

5. 3. 재생 공격 방지

6. 활용 분야

전자 문서의 출처, 신원 및 상태에 대한 보증을 제공하고 서명자의 동의 및 승인을 인정하는 데 디지털 서명이 활용된다. 미국 정부 인쇄국(GPO)은 예산, 공공 및 사법 법률, 의회 법안의 전자 버전에 디지털 서명을 포함하여 발행한다. 시카고 대학교를 포함한 여러 대학에서도 디지털 서명이 포함된 전자 성적표를 발행하고 있다.

다음은 통신에 디지털 서명을 적용하는 몇 가지 일반적인 이유이다.

편지에는 보낸 사람을 식별하는 편지지 또는 손으로 쓴 서명이 있을 수 있지만, 이러한 요소들은 위조된 메시지에 쉽게 복사되어 붙여넣어질 수 있다. 심지어 합법적인 메시지조차도 전송 중에 수정될 위험이 있다.^[35]

예를 들어, 은행 중앙 사무소가 지점 사무소로부터 계좌 잔액 변경 지시를 받았다고 가정해 보자. 중앙 은행원들은 지시 사항을 실행하기 전에 해당 지시가 실제로 지점 은행원이 보낸 것이고 위조된 것이 아닌지 확인해야 한다. 위조범이 편지를 조작했거나, 전송 중에 숫자를 추가하여 기존 편지를 수정했을 가능성이 있기 때문이다.

디지털 서명 방식을 사용하면 이러한 문제를 해결할 수 있다. 중앙 사무소는 사전에 지점 사무소만 알고 있는 개인 키와 그에 대응하는 공개 키를 파일에 보관하도록 준비할 수 있다. 지점 사무소는 메시지에 서명하고, 중앙 사무소는 공개 키를 사용하여 서명된 메시지가 위조가 아닌지 확인할 수 있다. 보낸 사람의 개인 키를 모르는 위조범은 메시지를 위조하거나 수정할 수 없다. 그렇게 하면 수신자의 서명 검증이 실패하기 때문이다.^[35][1][2]

암호화는 도청자로부터 메시지 내용을 숨길 수 있지만, 암호화만으로는 메시지의 진위를 확인하거나 숫자 변경과 같은 선택적 수정을 감지할 수 없다. 은행 사무소가 주고받는 메시지를 암호화하기만 한다면 여전히 위조에 취약할 수 있다. 소프트웨어 업데이트와 같은 다른 응용 프로그램에서는 메시지가 비밀이 아닐 수 있다. 소프트웨어 작성자가 기존 소프트웨어 설치에 적용할 패치를 게시할 때 패치 자체는 비밀이 아니지만, 소프트웨어를 실행하는 컴퓨터는 악성 코드의 희생자가 되지 않도록 패치를 적용하기 전에 패치의 진위를 확인해야 한다.^[2]

7. 주요 디지털 서명 알고리즘

RSA, DSA, ECDSA, EdDSA 등 다양한 디지털 서명 알고리즘이 존재한다. 주요 알고리즘은 다음과 같다.

8. 한국의 전자서명

한국의 전자서명에 대한 내용은 주어진 원본 소스에 직접적으로 나타나 있지 않다. 그러나 원본 소스는 디지털 서명과 관련된 일반적인 법률 제정 및 기술 표준의 문제점을 다루고 있으며, 이는 한국의 전자서명 상황에도 적용될 수 있는 내용이다.

원본 소스에 따르면, 많은 국가와 지방 자치 단체에서 디지털 서명을 승인, 지원, 촉진 또는 허용하는 법률 및 조례를 제정했으며, 미국에서는 유타주, 매사추세츠주, 캘리포니아주 등에서 이러한 움직임이 있었다. 또한 국제연합 국제상거래법위원회(UNCITRAL)에서는 2001년 전자 서명에 관한 모델 법을 제시했다.

이러한 법률 제정은 근본적인 암호 기술의 상태와 상충되는 예상을 구체화하여 혼란을 야기할 수 있으며, 기술 표준의 선택이 지연되는 문제도 발생할 수 있다고 지적하고 있다. 이는 한국의 전자서명 관련 법률 및 제도 마련 과정에서도 유사하게 나타날 수 있는 문제점으로 보인다.

9. 비판 및 한계

디지털 서명은 자체로는 완벽하지 않으며, 몇 가지 문제점을 안고 있다.

'''재생 공격'''

디지털 서명 방식 자체는 유효한 서명된 메시지가 기록되고 악의적으로 재생 공격에 사용되는 것을 막을 수 없다.^[35] 예를 들어, 특정 거래에 대한 서명된 요청이 여러 번 반복되어 불필요한 자금 인출을 초래할 수 있다. 이를 방지하기 위해서는 거래 ID 시스템과 같이 추가적인 보안 조치가 필요하다.^[35]

'''서명의 고유성 및 위변조 가능성'''

서명 자체는 서명하는 메시지를 고유하게 식별하는 데 사용될 수 없다. 일부 서명 방식에서는 동일한 서명자의 여러 유효한 서명이 존재할 수 있으며, 개인 키 없이도 하나의 유효한 서명을 다른 서명으로 변환하는 것이 가능하다.^[36] 이는 비트코인 거래소와 같은 시스템에서 거래 ID로 서명을 오용할 경우, 거래 재생 공격에 악용될 수 있다.^[37]

'''공개 키 인증'''

''공개 키''에 대한 사전 지식은 ''서명된 메시지''의 진위를 확인하는 데 사용될 수 있지만, 반대로 ''서명된 메시지''에 대한 사전 지식이 ''공개 키''의 진위를 보장하지는 않는다. 일부 서명 방식에서는 서명된 메시지를 통해 해당 메시지를 검증할 수 있는 공개 키를 쉽게 생성할 수 있다. 이는 개인 키를 알지 못해도 가능하다.^[38]

골드바서, 미칼리, 리베스트는 디지털 서명에 대한 공격 모델을 다음과 같이 분류했다.^[30]

또한, 공격 결과의 계층 구조는 다음과 같다.^[30]

가장 강력한 보안 개념은 적응적 선택 메시지 공격 하에서 존재적 위조에 대한 보안이다.

디지털 서명과 자필 서명의 주요 차이점 중 하나는 사용자가 서명하는 내용을 "직접 보지" 않는다는 점이다. 사용자 애플리케이션은 개인 키를 사용하는 디지털 서명 알고리즘으로 서명할 해시 코드를 제시한다. 공격자가 사용자 PC를 제어하면, 사용자 애플리케이션을 악의적인 프로그램으로 대체하여 사용자가 의도하지 않은 문서에 서명하도록 유도할 수 있다.

이러한 시나리오를 방지하기 위해 사용자 애플리케이션과 서명 애플리케이션 간의 인증 시스템을 구축하여 서로의 무결성을 확인할 수 있도록 해야 한다.

기술적으로 디지털 서명은 비트열에 적용되지만, 사람과 응용 프로그램은 그 비트열의 의미적 해석에 서명한다고 "믿는다". 비트열을 의미적으로 해석하려면 사람과 응용 프로그램에 의미 있는 형태로 변환해야 하며, 이는 컴퓨터 시스템에서 하드웨어 및 소프트웨어 기반 프로세스의 조합을 통해 이루어진다. 문제는 비트열을 의미적 콘텐츠로 변환하는 과정에서 비트의 의미적 해석이 변경될 수 있다는 점이다. WYSIWYS(What You See Is What You Sign)는^[40] 서명된 메시지의 의미적 해석이 변경될 수 없다는 것을 의미한다. 즉, 메시지에 서명자가 인지하지 못하는 숨겨진 정보가 포함될 수 없으며, 서명 후에 공개될 수 없다.^[40] 하지만 현대 컴퓨터 시스템의 복잡성으로 인해 WYSIWYS를 보장하기는 어렵다.

참조

_[1] 서적 Lecture Notes on Cryptography https://cseweb.ucsd.[...] 2023-06-11
_[2] 서적 Introduction to Modern Cryptography 2007-01-01
_[3] 웹사이트 US ESIGN Act of 2000 http://frwebgate.acc[...] 2006-05-10
_[4] 웹사이트 State of WI http://enterprise.st[...]
_[5] 웹사이트 National Archives of Australia http://www.naa.gov.a[...]
_[6] 웹사이트 Secure Electronic Signature Regulations SOR/2005-30 https://laws-lois.ju[...] 2011-03-10
_[7] 간행물 Electronic Communications and Transactions Act [No. 25 of 2002] https://www.gov.za/s[...] Republic of South Africa 2002-08-02
_[8] 웹사이트 Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ (последняя редакция) \ КонсультантПлюс https://www.consulta[...] 2024-10-27
_[9] 웹사이트 Law 15-04 http://www.algerianb[...]
_[10] 웹사이트 ELEKTRONİK İMZA KANUNU https://www.mevzuat.[...] Resmî Gazete 2004-01-23
_[11] 웹사이트 THE INFORMATION TECHNOLOGY ACT, 2000 http://www.dot.gov.i[...] The Gazette of India Extraordinary
_[12] 웹사이트 Electronic Transaction Law http://www.citc.gov.[...]
_[13] 웹사이트 Cómo se usa https://www.agesic.g[...] 2018-02-01
_[14] 웹사이트 LEY-19799 SOBRE DOCUMENTOS ELECTRONICOS, FIRMA ELECTRONICA Y SERVICIOS DE CERTIFICACION DE DICHA FIRMA https://www.leychile[...] 2002-04-12
_[15] 웹사이트 Major Standards and Compliance of Digital Signatures – A World-Wide Consideration http://www.cryptomat[...] Cryptomathic
_[16] 웹사이트 Recommendations for Providing Digital Signature Services http://www.cryptomat[...] Cryptomathic
_[17] 논문 Digital signature schemes with strong existential unforgeability 2021-09-16
_[18] 논문 Digital signature scheme for information non-repudiation in blockchain: a state of the art review 2020-03-04
_[19] 논문 Securing digital signatures for non-repudiation 1999-05-01
_[20] 문서 Pass, def 135.1
_[21] 문서 Goldreich's FoC, vol. 2, def 6.1.2. Pass, def 135.2
_[22] 논문 New Directions in Cryptography 1976-11-01
_[23] 논문 Signature Schemes and Applications to Cryptographic Protocol Design 2002-01-01
_[24] 논문 A Method for Obtaining Digital Signatures and Public-Key Cryptosystems http://people.csail.[...]
_[25] 문서 For example any integer, r, "signs" m=re and the product, s1s2, of any two valid signatures, s1, s2 of m1, m2 is a valid signature of the product, m1m2.
_[26] 웹사이트 The History of Notes and Domino http://www.ibm.com/d[...] 2007-11-14
_[27] 논문 Constructing digital signatures from a one-way function. 1979-10-01
_[28] 논문 A certified digital signature 1990-01-01
_[29] 논문 Digitalized signatures as intractable as factorization. 1979-01-01
_[30] 논문 A digital signature scheme secure against adaptive chosen-message attacks. 1988-04-01
_[31] 논문 Universal One-Way Hash Functions and their Cryptographic Applications 1989-01-01
_[32] 서적 Modern Cryptography: Theory & Practice Prentice Hall Professional Technical Reference 2004-01-01
_[33] 서적 Handbook of Applied Cryptography 2001-08-01
_[34] 논문 The Exact Security of Digital Signatures—How to Sign with RSA and Rabin Springer 1996-01-01
_[35] 서적 Cryptography: Theory and Practice Chapman & Hall/CRC 2006-01-01
_[36] 기술보고서 The Provable Security of Ed25519: Theory and Practice https://eprint.iacr.[...] IACR Cryptology ePrint Archive 2020-10-14
_[37] 학회논문 Bitcoin Transaction Malleability and MtGox Springer
_[38] 메일링리스트 Signature misuse vulnerability in draft-barnes-acme-04 https://mailarchive.[...] 2023-06-12
_[39] 웹사이트 Chip and Skim: cloning EMV cards with the pre-play attack http://sec.cs.ucl.ac[...] 2018-04-06
_[40] 저널 WYSIWYS? – What you see is what you sign? 1998
_[41] RFC RFC 5758
_[42] 웹사이트 Technology roadmap – Schnorr signatures and signature aggregation https://bitcoincore.[...] Bitcoin Core 2017-03-23
_[43] 법률 US ESIGN Act of 2000 http://frwebgate.acc[...]
_[44] 법률 일본의 전자서명 및 인증업무에 관한 법률
_[45] 웹사이트 The University of Virginia http://www.itc.virgi[...]
_[46] 웹사이트 State of WI http://enterprise.st[...]
_[47] 웹사이트 National Archives of Australia http://www.naa.gov.a[...]
_[48] 저널 New Directions in Cryptography 1976-11
_[49] 논문 Signature Schemes and Applications to Cryptographic Protocol Design http://theory.lcs.mi[...] MIT 2002
_[50] 저널 A Method For Obtaining Digital Signatures and Public-Key Cryptosystems 1978-02
_[51] 기술보고서 Constructing digital signatures from a one-way function SRI International 1979-10
_[52] 학회논문 A certified digital signature Spring Verlag 1990
_[53] 기술보고서 Digitalized signatures as intractable as factorization MIT Laboratory for Computer Science 1979-01
_[54] 저널 A Digital Signature Scheme Secure Against Adaptive Chosen-Message Attacks 1988
_[55] 저널 A digital signature scheme secure against adaptive chosen-message attacks 1988-04
_[56] 서적 Modern Cryptography: Theory & Practice Prentice Hall Professional Technical Reference 2004
_[57] 주석
_[58] 주석
_[59] 주석
_[60] 주석
_[61] RFC RFC 5758
_[62] 주석
_[63] 백과사전 디지털 서명 글로벌세계대백과사전2