- 1 -

기반기술연구 99-4

다중전자서명 알고리즘 연구 및 개발

- The Study and Development of a Multisignature

Algorithm -

1999.12.

- 2 -

序 文

과거 과학기술의 산물로 태동한 인터넷이라는 기술이 현재 우리 삶의 한 부분으로 전환

되면서, 인터넷은 하나의 세계 공통 문화로 자리잡아가고 있습니다. 인터넷의 사용이 일

상생활의 한 부분이 되면서 인터넷을 통한 전자상거래는 급속도로 증가하게 되었으며,

비단 전자상거래 뿐만이 아니라 현실세계의 관습, 문화 등도 인터넷이라는 가상세계 속

으로 들어오고 있는 것이 오늘날의 현실입니다. 이러한 패러다임의 성공적 변화를 위해

서는 사이버세계의 다양한 응용서비스를 안전하게 제공할 수 있는 기반 기술에 대한 연

구가 반드시 필요하다고 말 드릴 수 있습니다.

본 연구의 다중 전자서명 알고리즘은 전자선거, 전자결재와 같은 서비스에서 문서에 여

러 사용자가 전자서명을 생성하고 이를 효율적으로 검증할 수 있는 핵심 기반기술입니

다.

한국정보보호센터에서는 다중 전자서명 알고리즘 연구를 통해 향후, 이를 적용한 다양한

응용서비스에 관련된 산업체 및 관련 정보보호시장을 육성할 수 있는 환경을 제공하고자

본 보고서를 출간하 습니다.

끝으로 본 연구의 수행을 위하여 최선의 노력을 경주한 연구원들에게 깊은 감사의 말

을 드리며, 본 연구가 국내 암호기술 발전에 일조 할 수 있기를 기대합니다.

1999년 12월

한국정보보호센터 원장

원장 이 철 수

- 3 -

제 출 문

정보통신부 장관 귀하

본 보고서를 "다중전자서명 알고리즘 연구 및 개발"의 1999년도 연구개발 결과보고서로

제출합니다.

1999년 12월 31일

사업 책임자 : 기술개발부장 이 홍 섭

연구 책임자 : 기반기술팀장 박 성 준

참여 연구원 : 선임 연구원 김 병 천

선임 연구원 김 승 주

연 구 원 성 맹 희

연 구 원 이 인 수

연 구 원 김 지 연

연 구 원 이 성 재

- 4 -

요 약 문

1. 제목

다중전자서명 알고리즘 연구 및 개발

2. 연구개발의 목적 및 중요성

일반적인 전자서명 방식은 한 문서에 한 사람이 서명을 하는 환경에 기초하여 설계되어

있어서, 한 문서에 여러 사람이 서명을 해야하는 응용에 적용하는 데에는 적합하지 않다.

결재와 서명 운동, 계약의 경우와 같이 여러 사람이 한 문서에 서명하는 경우, 단순서명

을 반복해서 적용하여 문제를 해결할 수 있지만, 서명의 길이가 늘어나고, 서명을 검증하

려면 서명자의 수만큼 검증과정을 거쳐야 하기 때문에 서명자가 많은 경우 시간이 오래

걸린다는 단점이 있다. 이런 단순서명 방식의 문제를 해결하기 위해 나온 개념이 바로

다중서명(Multisignature) 방식이다

본 고에서는 기존에 개발된 다중서명 방식들을 모델링한 후, 각 다중서명 방식의 특성을

분석하여 각 방식의 응용 가능분야를 알아보고, 또한 Schnorr 전자서명을 이용하여 전자

결재시스템에 적용 가능한 순차다중전자서명 방식을 설계한다.

3. 연구개발 내용 및 범위

○ 다중전자서명 알고리즘 모델링

○ 기존 다중전자서명 알고리즘 분석

- 순차다중전자서명 방식

- 동시다중전자서명 방식

- 5 -

○ 전자결재시스템에 적용가능한 순차다중방식 제안

- 신규참여 제한 순차다중전자서명 방식 설계

- 신규참여 가능 순차다중전자서명 방식 설계

- Batch KCDSA 설계

4. 연구결과

○ 다중전자서명 알고리즘을 모델링 하고 이에 따라 기 개발된 다중전자서명 방식을 분

석 하 다.

○ 전자결재시스템에 적용할 수 있는 순차다중전자서명 방식과 Batch KCDSA를 설계하

다.

5. 활용에 대한 건의

○ 본 보고서에서 분석한 국외 개발 동향 자료는 향후 다양한 응용에서 다중 전자서명

알고리즘 개발 시 참고자료로 활용 가능하다.

○ 그리고 전자 선거 전자결재 등과 같은 시스템 개발 시 서명 기법 개발을 위한 참조

자료로 활용 가능하다.

6. 기대효과

○ 전자선거, 전자결재 관련 기반 기술 연구 자료 확보함으로써 향후, 국내 전자선거, 전

자결재 등 암호 프로토콜 연구 활성화

○ 변형 가능한 서명 모델 개발로 다양한 응용 서비스에의 적용이 기대

- 6 -

SUMMARY

1. Title

Report on the study and development of multisignature algorithm

2. Research Purpose and its significance

The ordinal digital signature scheme is not suitable for multi-signing applications. In

The case of plural signers generate signature of a message, like electronic sign

system, and electronic voting, ordinary digital signature scheme is applied repeatedly.

But the length of signatures is long, and verification of signatures is inefficient.

Multisignature scheme is signature scheme which plural signers jointly generate a

signature of a message under the condition that the length of the multisinature is

less than the total length of ordinary digital signatures by plural signers.

In this report we inquire into a model of multisignature schemes according to the

characteristic of them, We analyzed multisignature algorithm developed according to

that. And We propose sequential multisignature algorithm and batch KCDSA for

electronic sign system

- 7 -

3. The contents and the scope of the research

○ Multisignature modelling

○ Analyzing multisignature algorithm developed

- Sequential multisignature

- Simultaneous multisignautre

○ proposing sequential multisignature algorithm for electronic sign system

4. The results of the research

○ We inquire into a model of multisignature schemes according to the characteristic

of them, We analyzed multisignature algorithm developed according to that.

○ We propose sequential multisignature algorithm and batch KCDSA for electronic

sign system

5. Suggestions for the utilization of this report

We would like to offer an help for the people who want to develop multisignature

for various applications.

6. Expected effects

We expect that our research could be a motivation for the activation of interests and

researches related to multisignature

- 8 -

목 차

제 1 장 서 론

참 고 문 헌

제 2 장 다중전자서명 방식의 분류

제 1 절 다중서명 방식의 특성

1. 복수의 서명인

2. 통신

3. 다중서명생성

4. 다중서명검증

제 2 절 다중서명 방식의 분류기준

1. 기본조건

2. 바람직한 조건

제 3 장 다중서명 방식의 분류

제 1 절 다중서명의 생성환경

1. 순차 다중서명 방식

2. 동시 다중서명 방식

3. 사용되는 기호

제 2 절 소인수 분해 문제에 기반을 둔 다중서명 방식

1. Itakura-Nakamura 순차 다중서명 방식

2. Okamoto의 순차 다중서명 방식

3. Harn-Kiesler 순차 다중서명 방식

4. Kiesler-Harn 순차 다중서명 방식

- 9 -

제 3 절 잉여류 문제에 기반을 둔 다중서명 방식

1. Ohta-Okamoto 방식

2. 강창구-김대 의 순차 다중서명 방식

3. 강창구-김대 의 동시 다중서명 방식

4. 윤성현-김태윤의 순차 다중서명 방식

5. C. Boyd의 순차 다중서명 방식

6. Delos-Quisquater의 동시 다중서명 방식

제 4 절 이산대수문제에 기반을 둔 다중서명 방식

1. Hardjono-Zheng의 순차 다중서명 방식

2. Ham의 동시 다중서명 방식

제 5 절 다중서명 방식의 비교

1. 기존 동시 다중서명 방식의 비교.

2. 기존 순차 다중서명 방식의 비교

참 고 문 헌

제 4 장 전자결재시스템 적용 가능한 다중 전자서명 방식

제 1 절 다중서명 방식의 응용 분야

1. 서명 운동

2. 계약 시스템

3. 결재 시스템

제 2 절 전자결재 시스템에서의 다중전자서명

1. 기본 요구 조건

2. 바람직한 조건

제 3 절 순차 다중전자서 명 방식 제안

1. 순차다중전자서명 방식 I

2. 순차 다중전자서명 방식 II

3. KCDSA batch 서명 방식

참 고 문 헌

- 10 -

제 5 장 결론

- 11 -

CONTENTS

Chapter 1. Introduction

References

Chapter 2. Classification of multisignature schemes

section l. Characteristics of multisignature schemes

1. Plural signer

2. Communication

3. Multisignature generation

4. Multisignature verification

Section 2. Classification criteria of multisignature schemes

1. Basic conditions

2. Desirable conditions

Section 3. Classification of multisignature schemes

Chapter 3. Comparison between multisignature schemes

Section 1. Environment of Multisignaturc generation

1. Sequential multisignature schemes

2. Simultaneous multisignature schemes

3. Notations

Section 2. Multisignature schemes based on IF problem

1. Itakura-Nakamura sequential multisignature scheme

2. Okamoto sequential multisignature scheme

3. Harn-Kiesler sequential multisignature scheme

4. Kiesler-Harn sequential multisignature scheme

- 12 -

Section 3. Multisignature schemes based on residue

1. Ohta-Okamoto scheme

2. Kang-Kim sequential multisignature scheme

3. Kang-Kin simultaneous multisignature scheme

4. Yun-Kiim sequential multisignature scheme

5. C. Boyd sequential multisignature scheme

6. Delos-Quisquater simultaneous multisignature scheme

Section 4. Multisignature schemes based on DL problem

1. Hardjono-Zheng sequential multisignature scheme

2. Harn simultaneous multisignature scheme

Section 5. Comparison of multisignature scheme

1. Comparison of sequential multisignature scheme

2. Comparson of simultaneous multisignature scheme References

Chapter 4. Multisignature schemes applied for electronic

signing system

Section l. Application fields of multisignature schemes

1. Signature movement

2. Contract system

3. Electronic signing system

Section 2. Multisignatur schemes applied for electronic signing

system

1. Basic requirements

2. Desirable requirements

Section 3. Proposals of sequential multisignature scheme

1. Sequential multisignature scheme I

2. Sequential multisignature scheme II

3. Batch KCDSA

- 13 -

References

Chapter 5. Conclusion

- 14 -

그림 목차

(그림 2-1) 단순서명 방식 반복 적용의 문제점

(그림 2-기 순차 다중서명 방식 환경

(그림 2-3) 동시 다중서명 방식 환경

(그림 2-4) 다중서명 방식의 모델링.

(그림 3-1) RSA 단순서명 방식

(그림 3-2) Itakura-Nakamura 순차 다중서명 방식의 서명 생성 과정

(그림 3-3) Itakura-Nakamura 순차 다중서명 방식의 서명검증과정

(그림 3-4) Okamoto 순차 다중서명방식의 서명 생성과정

(그림 3-5) Okamoto 순차 다중서명방식의 서명 검증과정

(그림 3-6) Ham-Kiesler 순차 다중서명 방식의 서명 생성 과정

(그림 3-7) Ham-Kiesler 순차 다중서명 방식의 서명 검증과정

(그림 3-8) Kiesler-Ham 순차 다중서명 방식의 서명 생성 과정

(그림 3-9) Kiesler-Harn 순차 다중서명 방식의 서명 검증과정

(그림 3-10) Fiat-Shamir 단순서명 방식

(그림 3-11) Ohta-Okamoto 순차 다중서명 방식의 서명 생성 1단계

(그림 3-12) Ohta-Okamoto 순차 다중서명 방식의 서명 생성 2단계

(그림 3-13) Ohta-Okamoto 순차 다중서명 방식의 서명 검증과정

- 15 -

(그림 3-14) 강창구-김대 순차 다중서명방식의 서명 생성과정

(그림 3-15) 강창구-김대 순차 다중서명방식의 서명 검증과정

(그림 3-16) 강창구-김대 동시 다중서명방식의 서명 생성과정

(그림 3-17) 강창구-김대 동시 다중서명방식의 서명 검증과정

(그림 3-18) 윤성현-김태윤 순차 다중서명방식의 문서 확인과정

(그림 3-19) 윤성현-김태윤 순차 다중서명방식의 서명생성과정 1

(그림 3-20) 윤성현-김태윤 순차 다중서명방식의 서명생성과정 2

(그림 3-21) 윤성현-김태윤 순차 다중서명방식의 서명 검증과정

(그림 3-22) C. Boyd 순차 다중서명방식의 서명 생성과정

(그림 3-23) G-Q 단순서명 방식

(그림 3-24) Delos-Quisquater 동시 다중서명방식의 서명 생성과정

(그림 3-25) Delos-Quisquater 동시 다중서명 방식의 서명 검증과정

(그림 3-26) ElGamal 단순서명 방식

(그림 3-27) Hardjono-Zheng 순차 다중서명 방식의 문서확인과정

(그림 3-28) Hardjono-Zheng 순차 다중서명 방식의 서명 생성과정 1

(그림 3-29) Hardjono-Zheng 순차 다중서명방식의 서명 생성과정 2

(그림 3-30) Hardjono-Zheng 순차 다중서명 방식의 서명 검증과정

(그림 3-31) Harn 동시 다중서명 방식의 서명 생성 과정

- 16 -

(그림 3-32) Harn 동시 다중서명 방식의 서명 검증과정

(그림 4-1) Schnorr 단순 전자서명 방식

(그림 4-2) 순차 다중서명 방식 I의 서명 생성 1단계

(그림 4-3) 순차 다중서명 방식 I의 서명 생성 2단계

(그림 4-4) 순차 다중서명 방식 I의 서명 검증과정

(그림 4-5) 순차 다중서명 방식 II의 서명 생성단계

(그림 4-6) 순차 다중서명 방식 II의 서명 검증과정

(그림 4-7) KCDSA 단순전자서명 알고리즘

(그림 4-8) Batch KCDSA 서명 생성단계

(그림 4-9) Batch KCDSA 검증과정

- 17 -

표 목차

[표 2-1] 각 다중서명 방식의 조건 만족도

[표 3-1] Itakura-Nakamura 순차 다중서명 방식의 분류

[표 3-2] Okamoto 순차 다중서명 방식의 분류

[표 3-3] Harn-Kiesler 순차 다중서명 방식의 분류

[표 3-4] Kiesler-Harn 순차 다중서명 방식의 분류

[표 3-5] Ohta-Okamoto 순차 다중서명 방식의 분류

[표 3-6] 강창구-김대 순차 다중서명 방식의 분류

[표 3-7] 강창구-김대 동시 다중서명 방식의 분류

[표 3-8] 윤성현-김태윤 순차 다중서명 방식의 분류

[표 3-9] C, Boyd의 순차 다중서명 방식의 분류

[표 3-10] Delos-Quisquater 동시 다중서명 방식의 분류

[표 3-11] Hardjono-Zheng 순차 다중서명 방식의 분류

[표 3-12] Harn 동시 다중서명 방식의 분류

[표 3-13] 기존 동시 다중서명 방식의 비교

[표 3-14] 기존 순차 다중서명 방식의 비교

[표 4-1] 순차 다중전자서명 방식 I의 분류

[표 4-2] 순차 다중전자서명 방식 II의 분류

- 18 -

제 1 장 서 론

컴퓨터의 대량 보급과 통신 기술의 발전으로 현대 사회에서는 정보화사회로 발전해 가고

있으며, 종이 문서를 쓰는 대신 컴퓨터와 통신 매체를 이용하여 전자 문서를 작성, 교환

하게 되었다. 전자 문서를 이용하면 문서를 작성, 전송, 관리하기가 쉽고, 효율적이라는

장점이 있지만 전자화되어 있기 때문에 복사와 변조가 쉽다는 단점이 있다. 이런 단점을

보완하기 위해서 종이 문서에 쓰이는 도장이나 서명과 같이 문서의 내용과 서명자를 증

명해 줄 수 있는 수단이 요구되었다. 이런 요구를 충족시켜줄 수 있는 수단이 전자서명

(Digital Signature)이다.

1976년 Diffie-Hellman이 공개키 암호화 방식의 개념을 소개한 후 1978년

Rrivest-Shamir -Adleman이 개념을 바탕으로 최초의 전자서명을 개발하 으며, 그 후로

진보된 형태의 많은 전자서명들이 개발되어 왔다[1]-[8]. 이렇게 많은 전자서명 방식들이

개발되었지만 개발과 사용 역사측면에서 서명이나 도장에 비해 미비하기 때문에 도장이

나 서명의 기능을 완전하게 대신하기에는 여러 가지 문제를 가지고 있다. 또한 하나의

전자서명 방식이 모든 도장이나 서명의 기능을 대신하기에는 여러 가지 문제점이 있을

수 있다. 이런 전자서명의 취약성을 보완하기 위해 특수서명 방식이 개발되었는데 이는

기존의 전자서명 방식을 적용 환경에 따라 확장 및 보완한 전자서명 방식이다[9][10].

지금까지 개발되어 온 대부분의 전자서명은 문서에 한 사람이 서명하는 단순서명(Single

Signature) 방식에 중점을 두고 개발되어 왔다. 하지만 이런 단순서명 방식을 실세계에

그대로 적용하기에는 여러 가지 문제점이 있다. 이런 문제 중에 하나가 결재와 서명 운

동, 계약의 경우와 같이 여러 사람이 한 문서에 서명하는 경우이다. 단순서명을 반복해서

적용하여 문제를 해결할 수 있지만, 서명의 길이가 늘어나고, 서명을 검증하려면 서명자

의 수만큼 검증과정을 거쳐야 하기 때문에 서명자가 많은 경우 시간이 오래 걸린다는 단

점이 있다. 이런 단순서명 방식의 문제를 해결하기 위해 나온 개념이 바로 다중서명

(Multisignature) 방식이다[11]-[22].

- 19 -

다중서명 한 문서에 여러 사람이 서명하는 것을 뜻한다. 이런 다중서명을 만들어 내는

방식은 일반적으로 두 가지로 나눌 수 있다. 첫 번째는 같은 메시지를 서명자들이 순차

적으로 서명하는 순차 다중서명 방식(Sequential multisignature scheme)이다. 두 번째는

서명자들이 메시지에 동시에 서명하는 것과 같은 효과를 갖게 하는 동시 다중서명 방식

(Simultaneous multisignature scheme)이다[12].

2장에서는 지금까지 단순하게 순차 다중서명 방식과 동시 다중서명방식으로만 분류해 온

다중서명 방식을 세분화하기 위해 여러 가지 기준을 제시한 후, 이에 따라 다중서명 방

식을 분류한다.3 장에서는 기존의 다중서명 방식들을 소개한 후, 각 다중서명 방식들의

장단점을 비교해본다.

4 장에서는 Schnorr 전자서명을 이용하여 전자결재시스템에 적용 가능한 순차다중전자

서명 방식을 설계하고, 국내 전자서명 표준 KCDSA를 이용하여 전자결재에 적용 가능한

Batch KCDSA를 설계하 다.

- 20 -

참 고 문 헌

[1] W. Diffie and Hellman "New Directions in Cryptography". IEEE Trans. Inform.

Theory. Vol. IT-22, pp.644-654, 1976

[2] R. L. Rivest, A. Shamir and L. Adleman, "A method for obtaining digital

signature and public-key cryptosystems“'Communication of the ACM vol.21, mo.2,

pp. 120-126 1978

[3] ElGamal, T:"A public key cryptosystem and digital signature scheme based on

discrete logarithms",IEEE Trans, Inform, Vol. IT-31, No.4 pp. 469-472, July 1985.

[4] A. Fiat and A. Shamir, “How to prove yourself: practical solutions to

identification and signature problem,''Advances in Cryptology-Crypto '86, Lecture

Notes in Computer science 263, pp. 186-199, 1987

[5] schnorr C. P "Efficient identification and signatures for smart cards'' Advances in

Cryptology-Crypto'89 August 20-24 1989,Santa Babara pp. 239-252

[6] L.C.Guillou, J.J.Quisquater,''AL Paradoxical Identity-based signature scheme

resulting from zero-knowledge'' EUROCRYPT '88. pp. 216-231, 1988

[7] 박성준, 원동호 "고차잉여류 문제와 이산대수문제에 기반을 둔 역설적인 id-based 암

호시스템" 한국통신정보보호학회 논문지 Vol. 4, no. 2, DEC 1994

[8] A. Shamir. ''Identity-based cryptosystems and signature schemes "Proceedings of

Crypto'84 Lecture Notes in computer science 196. pp. 47-53, 1985

[9] Barua, G. Borah, M "Integrity and security issues in multisignature document

mailing systems'' IFIP Transactions C, Vol. C-13,pp.193-198,1993

- 21 -

[10] E. F. Brickell, P. J. Lee and Y. Yacobi "secure audio teleconference'' Advances

in Cryptology-crypto '87, pp 418 -426, 1988

[11] Itakura, K. Nakamura, K. "A public-key cryptosystem suitable for digital

multisignatures" NEC J. Res Dev.71, pp 1 - 8, Oct. 1983

[12] T.Okamoto "A digital multisignature scheme using bijective public-key

crptosystems" ACM Trans. on Comp. Systems, vol. 6, no. 8, pp.432-441, 1988

[13] L. Ham and T Kiesler "New scheme for digital multisignatures" Electronic

Letters, Vl1.25, No.15, pp 1002-1003, July,1989

[14] T Kiesler and L. Ham "RSA blocking and multisignature schemes with no bit

expansion'' Electronic Letters, Vol 26, No. 18, pp 1490-1491, August, 1990

[15] K.Ohta, T.Okamoto "A digital multisignature scheme based on the Fiat-Shamir

scheme" Proceeding of Asiacrypt '91, pp 75- 79, 1991

[16] 강창구, 김대 "전자결재시스템의 디지털 다중서명 방식" 한국정보처리응용학회 추

계 학술발표논문집 제1권 2호 pp. 490-493 1994.

[17] 강창구, 김대 "동시성을 갖는 새로운 디지털 다중서명 방식" 한국통신학회 논문지

93-9 Vol.18 No.9 pp.1295 - 1303, 1993

[18] 윤성헌, 김태윤 "EDI 메시지를 위한 디지털 다중서명 방식" 한국정보과학회 논문지

제21권 제6호 pp.1086-1096, 1994

[19] C. Boyd 'Multisignature based on zero-knowledge schemes''Electronic Letters,

Vol 27,22, pp 2002-2004, Oct, 1991

[20] Delos, O. Quisquater ''Efficient multi-signature schemes for cooperating

entities'' Algebraic Coding. First French-Israeli Workshop Proceedings pp. 63-74,

1993

[21] Hardjono, T, Zheng Y "A practical digital multisignature scheme based on

discrete logarithms" AUSCRYPTO '92, pp. 122-132, 1992

[22] Harn, L "New digihl signature schme based on discrete logarithm'' Electronic

Letters, Vol 30, 5, pp 396 - 398, March, 1994

- 22 -

제 2 장 다중전자서명 방식의 분류

일반적인 전자서명 방식은 한 문서에 한 사람이 서명을 하는 환경에 기초하여 설계되어

있어서, 한 문서에 여러 사람이 서명을 해야하는 응용에 적용하는 데에는 적합하지 않다.

결재와 서명 운동, 계약의 경우와 같이 여러 사람이 한 문서에 서명하는 경우, 단순서명

을 반복해서 적용하여 문제를 해결할 수 있지만, 서명의 길이가 늘어나고, 서명을 검증하

려면 서명자의 수만큼 검증과정을 거쳐야 하기 때문에 서명자가 많은 경우 시간이 오래

걸린다는 단점이 있다. 이런 단순서명 방식의 문제를 해결하기 위해 나온 개념이 바로

다중서명(Multisignature) 방식이다.[11]-[22]

다중전자서명 방식은 (그림 2-1)과 같은 단순서명 방식의 문제를 해결하기 위해 개발된

특수서명 방식이며, 서명행위의 동시성 제공여부에 따라 (그림 2-2)와 (그림 2-3)과 같이

순차/동시 다중서명 방식으로 나뉘어져 왔다.

(그림 2-1) 단순서명 방식 반복 적용의 문제점

- 23 -

ㆍ 순차 다중서명 방식(Sequential Multisignature Scheme):각 서명자가 차례대로 문서에

서명을 한다.

(그림 2-2) 순차 다중서명 방식 환경

ㆍ 동시 다중서명 방식(Simultaneous Multisignature Scheme) : 서명자들이 문서에 동시

에 서명을 한 것과 같은 효과를 준다.

(그림 2-3) 동시 다중서명 방식 환경

- 24 -

제 1 절 다중서명 방식의 특성

다중서명 방식 모델링의 기준을 살펴보기에 앞서, 단순서명 방식과 비교하여 다중서명

방식이 어떤 특성을 가지는가를 알아본다.

1. 복수의 서명인

단순 전자서명 방식에서는 단 한 명의 서명자가 문서에 서명을 하고 이를 필요한 사람에

게 전송하여 일정한 절차에 따라 서명을 검증하게 된다. 하지만, 다중서명 방식에서는 한

문서에 둘 이상의 서명자가 존재한다. 그러므로 다중서명 생성/검증에 단순서명 방식보

다 복잡하고 추가적인 과정이 요구된다.

2. 통신

단순서명 방식은 서명자가 서명을 한 후, 증명하고자 하는 사람이나 단체에 서명한 문서

와 서명을 전송하면 서명자로서의 모든 역할이 끝나게 된다. 하지만 다중서명 방식의 경

우, 서명 생성 참여자들이 한자리에 모여서 다중서명을 만들 수도 있지만, 각 서명자가

떨어져 있다고 보는 게 일반적이며 각 서명자 사이에 통신 매체를 이용하여 서명이 필요

한문서, 서명문, 서명 생성/검증에 필요한 정보들을 송/수신한다고 가정한다. 이런 환경에

서 단순서명 방식에는 없는 서명자간의 통신이 필요하기 때문에 서명생성 과정이 복잡해

진다.

3. 다중서명 생성

단순서명 방식에서는 서명문이 한사람의 것이지만, 다중서명 방식에서는 두 사람 이상의

서명문이 모아진 것이다.

- 25 -

또한, 다중서명 방식은 첫 번째 목표가 서명문의 길이가 늘어나는 것을 방지하는 것이므

로 각 서명자의 서명이 하나로 모아지지만 길이의 증가가 있어서는 안 된다. 그 의에 복

수의 서명이 모아진다고 해서 암호의 비도에 문제가 생겨서는 안 된다. 이런 생성 과정

에서의 필요조건을 어떻게 만족하느냐에 따라 다중서명 방식은 나름대로의 특성을 가진

다.

4. 다중서명 검증

단순서명 방식에서는 서명자와 검증자가 다르다고 할 수 있다. 하지만, 다중서명 방식에

서는 서명자가 검증자의 역할도 겸하게 된다. 두 번째 서명자부터는 앞 서명자(들)가 만

들어 낸 다중서명을 검증할 수 있어야하기 때문이다. 이로 인해 서명의 검증과정이 단순

서명 방식 보다 복잡해지는 것이 일반적이다.

- 26 -

제 2 절 다중서명 방식의 분류 기준

본 절에서는 다중서명 방식만이 갖는 특성을 기초로 해서 다중서명 방식을 분류하기 위

한 조건들을 제시한다. 제시한 조건은 크게 두 가지로 나눌 수 있다. 첫 번째는 다중서명

방식이 기본적으로 갖추어야 하는 기본 조건이고, 두 번째는 바람직한 조건으로 다중서

명 방식이 조건을 만족하게 되면 더 많은 분야에 적용할 수 있게 된다.

1. 기본 조건

다중서명 방식이라면 갖추어야 할 기본적인 조건들에 대해서 알아본다. 여기서 제시한

조건을 만족해야 진정한 의미의 다중서명 방식이라고 할 수 있다.

가. 서명문 길이의 고정

정의 : 다중서명 생성에 참여한 서명자들이 만들어 내는 서명문의 길이는 서명인의 수에

상관없이 고정되어야 한다.

다중서명을 처음 만들 때의 목적은 문서에 여러 사람이 서명을 하더라도 서명문의 길이

를 고정시키자는 것이었다. 그러므로 다중서명 방식이라면 가장 기본적인 조건이라고 할

수 있는 이 조건을 만족하여야 한다.

나. 검증 가능성

정의 : 다중서명 정보로부터 서명된 문서가 정당한 서명 참여자에 의해서 서명되었다는

것을 서명 참여자들은 물론 제3자도 검증할 수 있어야 한다.

- 27 -

다중서명이 만들어진 후, 서명자는 물론 제 3자도 다중서명이 제대로 만들어졌는지를 확

인할 수 있어야 한다는 조건이다.

다. 부정 조기 검출성

정의 : 다중서명을 중간 서명자가 어제든지 검증할 수 있어야 한다.

다중서명을 만드는 중간에, 서명자가 실수로 혹은 고의로 서명을 잘못 만들거나 공격자

가 공격을 하는 경우가 있을 수 있다. 이런 경우, 서명자가 수신한 다중서명문에 대한 다

중서명 검증과정을 수행해서 지금까지 만들어진 서명이 유효한지를 언제든지 검증할 수

있어야 한다는 조건이다. 제3자가 공격을 위한 정보를 수집하기 위해 공격자가 원하는

정보형태를 만들어 다중서명의 생성 중간에 전송할 수도 있으므로 검증과정을 거쳐 부정

을 조기에 검출할 수 있어야 한다.

라. 비 유지성

정의 : 다중서명 정보에서 개인의 비 정보를 유추해 낼 수 없어야 한다.

단순서명 방식과는 달리 다중서명 방식은 서명의 참여자가 둘 이상이고 서명문의 길이가

고정되어야 하는 조건을 갖는다. 서명문이 하나로 모아지므로 암호의 비도가 약해지거나,

특별한 경우가 생겨서 개인의 비 정보가 타인에게 유출될 가능성이 있다. 이런 경우를

막기 위한 조건이다.

마. 공통성

정의 : 서명자가 수행하는 서명 프로토콜은 모든 서명자의 서명 수행방법과 동일해야 한

다.

- 28 -

다중서명 생성에 참여하는 각 서명자들이 이용하는 서명 프로토콜이 모두 동일해야 한다

는 것이다. 각 서명자가 다른 서명 방식을 사용한다면 고정된 길이의 다중서명을 만들기

가 불가능할 뿐만 아니라 다중서명의 검증과정에서 문제가 발생하므로 기본 조건이라고

할 수 있다.

2. 바람직한 조건

상기에서 살펴 본 조건들이 다중서명 방식이 갖추어야 할 기본적인 조건이라면, 여기서

제시한 조건들은 다중서명 방식을 모델링하는 기준으로 쓰이는 조건들이라고 할 수 있

다. 여기서 제시하는 조건을 만족하게 되면 다중서명 방식은 독특한 특성을 가지게 되며

응용 분야가 넓어지게 된다.

가. 검증과정의 효율성

정의 : 다중서명을 검증하는 절차에서 기반으로 하는 서명 방식의 검증과정을 서명인의

수만큼 반복하는 것이 아니라 효율적인 검증과정을 갖추고 있어야 한다.

다중서명은 다중서명 문의 길이를 고정시키는데 중점을 두고 만들어졌다. 이렇게 만들어

진 초기의 다중서명들의 검증과정은 응용한 단순서명을 서명자 수만큼 반복해야 하는 비

효율성을 가지고 있었다. 이런 경우 서명인의 수가 많아지면 다중서명의 검증과정이 길

어지게 되므로 검증과정이 서명자 수에 적게 향을 받도록 하여 신속하게 검증이 이루

어지도록 해야 한다.

나. 서명 생성 순서의 자유성

- 29 -

정의 : 다중서명 생성 절차에서 서명자의 서명순서가 자유로워야 한다.

둘 이상의 서명자가 서명을 할 때, 서명자의 사회적 위치나 계급 또는 자신의 보안에 관

련된 정보에 관계없이 서명순서가 자유로워야 한다는 조건이다. 서명자의 위치, 계급 혹

은 보안 정보에 따라 서명의 순서가 정해지게 된다면 동일한 계층 사이에서는 다중서명

을 생성시키기 힘들게 되므로 응용 분야가 제한되게 된다.

다. 신규참여 가능성

정의 : 다중서명 생성과정 중간에 새로운 서명자가 참여할 수 있어야한다.

다중서명 방식이 필요한 응용 분야 중 하나인, 서명 운동의 경우 서명인이 정해지지 않

은 상태에서 불특정 다수를 대상으로 하기 때문에 서명운동 기간이 끝나야 다중서명 생

성 절차가 끝난다고 할 수 있다. 이런 응용 분야와 같이 전체 다중서명을 생성하는 중간

에 정해지지 않았던 서명자가 서명에 참여하려면 다중서명 방식이 이 조건은 만족해야만

한다. 이 조건을 만족하려면 순차 다중서명 방식은 추가적인 통신이 없어야만 가능하다.

라. 동시성

정의 : 다중서명을 생성하기 위한 서명 프로토콜이 끝나면 각 서명자가 동시에 서명을

한 것과 같은 효과를 가져야 한다.

다중서명의 응용 분야 중 계약 시스템의 경우, 서명자들이 모두 모여서 동시에 서명문에

서명을 하는 것과 동일한 효과를 주어야 한다.

- 30 -

이 조건은 이렇게 서명이 동시에 이루어져야 하는 경우에 필요한 조건으로 지금까지 크

게 나누어 온 방식인 순차/동시 다중서명 방식의 분류에서 동시 다중서명 방식이 만족할

수 있는 조건이다.

마. 센터 독립성

정의 : 다중서명을 생성 혹은 검증과정에서 센터가 필요 없어야 한다.

공개키와 비 키를 만드는 과정 외에 다중서명의 생성과 검증과정에서 센터를 필요로 한

다면 다중서명을 생성하고 검증하는데 제약이 생기고 응용 분야 제한될 수밖에 없다. 그

러므로 다중서명 방식은 가능한 한 다중서명의 생성과 검증과정에서 센터의 도움 없이

각 과정을 마칠 수 있어야 한다.

여기서 살펴본 바람직한 조건 중 서명순서의 자유성, 신규참여 가능성, 동시성, 센터 독

립성이 모델링의 기준이 되고 검증과정의 효율성이 이를 세분화하는 세부 조건이 된다.

- 31 -

제 3 절 다중서명 방식의 분류

2절에서 살펴본 분류를 위한 조건들을 기반으로 세운 기준을 이용하여 (그림 2-4)와 같

이 다중서명 방식을 분류할 수 있다. (그림 2-4)에서 볼 수 있는 바와 마찬가지로 같은

순차/동시 다중서명 방식이라고 해도 각 서명 방식의 특성으로 인해 여러 가지로 분류해

볼 수 있다.

그림에서 음 부분은 서명 방식을 나누는 기준이며 오른쪽은 제시한 조건을 만족하는

경우이고 왼쪽은 만족하지 못하는 경우이다.

다중서명 방식

동시성

순차 다중서명 방식 동시 다중서명 방식

서명 순서의 자유성 센터 독립성

제한순차 다중서명 방식

자유 순차 다중서명 방식

센터 의존형 다중서명 방식

센터 독립형 다중서명 방식

신규참여가능성

신규참여 제한순차

다중서명방식

신규참여 가능 순차 다중서명방식

(그림 2-4) 다중서명 방식의 모델링

[표 2-1]에는 분류한 다중서명 방식이 각 조건을 어떻게 만족하는가를 나타내었다. 서명

검증의 효율성으로 각 다중서명 방식을 더욱 세분화 할 수도 있지만 효율적이라는 기준

이 명확하지 않고 상대적이므로 세분화하지 않았다. 모델링 결과 순차 다중서명 방식과

동시 다중서명 방식은 응용 분야가 완전히 틀리므로 서로를 비교한다는 것이 무의미하

다.

- 32 -

[표 2-1] 각 다중서명 방식의 조건 만족도

제한순차다중서명방식

신규참여제한 순차다중서명방식

신규참여가능 순차다중서명방식

센터의존형 동시

다중서명방식

센터독립형동시다중서명방식

다중서명길이의 고정

O O O O O

검증가능성 O O O O O

부정조기검출가능성

O O O O O

비 유지성 O O O O O

공통성 O O O O O

서명순서의 자유성

X O O O O

신규참여가능성

O X O X X

동시성 X X X O O

센터독립성 O O O X O

검증과정의효율성

ㆍ ㆍ ㆍ ㆍ ㆍ

- 33 -

제 3 장 다중서명 방식의 비교

최초의 다중서명 방식은 소인수 분해 문제에 바탕을 둔 RSA 단순서명방식에 기반을 두

고 만들어진 순차 다중서명 방식이다. 하지만 RSA 방식이 연산수가 많기 때문에 이것을

해결하고자 잉여류 문제에 바탕을 둔 Fiat- Shamir 단순서명 방식을 기반으로 하는 다

중서명 방식이 개발되었다.

Fiat-Shamir방식은 연산수가 RSA에 비해 적고 ID-based방식 이어서 키 디렉토리가 필

요 없는 장점이 있지만, 통신횟수가 많다는 단점이 있다.

후에 이산대수문제를 바탕으로 하는 ElGamal 단순서명 방식을 기반으로 하는 다중서명

방식들이 개발되었다. 이산대수문제를 바탕으로 하는 경우 Fiat-Shamir 단순서명 방식을

이용하는 다중서명 방식보다 기본 연산수는 많지만 서명자의 수에 향을 적게 받는다는

장점이 있다.

- 34 -

제 1 절 다중서명의 생성 환경

다중서명을 생성할 때, 다중서명 방식은 다음과 같은 환경에서 다중서명을 생성/검증한

다고 가정한다.

1. 순차 다중서명 방식

ㆍ m명의 서명 참여자가 있다.

ㆍ 첫 번째 서명자는 문서 기안자로서 서명할 문서와 서명인을 정한다.

ㆍ 기안자는 문서에 서명을 하여 다음 서명자에게 전송한다.

ㆍ 중간 서명자는 문서에 서명을 한 후, 다음 서명자에게 전송하며 다중서명을 검증할

수도 있다. 최종 서명자라면 검증센터로 전송한다.

ㆍ 검증센터는 수신한 정보를 토대로 다중서명이 제대로 만들어졌는지를 검증한다.

2. 동시 다중서명 방식

ㆍ m명의 서명 참여자가 있다.

ㆍ 서명할 문서와 서명인은 미리 정해져 있다고 가정한다.

ㆍ 각 서명인은 서명을 한 후 프로토콜에 따라 서명을 전송한다.

ㆍ 최종적으로 만들어진 서명문은 공증인이나 센터로 보내진다.

ㆍ 검증센터는 수신한 정보를 토대로 다중서명이 제대로 만들어졌는지를 검증한다.

3. 사용되는 기호

- 35 -

기존의 다중서명 방식에서 쓰이는 기호는 다음과 같다.

M : 서명할 메시지

S : 서명자의 비 키

f, h : 공개된 일방향 해쉬함수

Ee.: 공개키 ei에 의한 공개키 암호화 함수

Dd.: 비 키 di에 의한 공개키 복호화 함수

[N] : N의 비트 길이

[C]L: S의 (|S|-L)개의 최상위 비트 (|[C|LI =|C|-L)

[C]L: S의 L개의 최하위 비트(|[C]L| = L)

L[C] : (L-|C|개의 '0'C(|

L[C]| = L) x | | y : x와 y의 연접(concatenation)

IDi : 서명 i의 ID

IDcm : 서명자들의 ID의 연접 IDcm = IDl | | ID2 | | .... | | IDm

k : 보안 변수(Security parameter)

- 36 -

제 2 절 소인수 분해 문제에 기반을 둔 다중서명 방식

소인수 분해 문제에 기반을 둔 다중서명 방식은 대부분 RSA를 기반으로 한다. RSA를

순차 다중서명 방식으로 확장시킬 경우, m번의 통신으로 다중서명을 만들 수 있다는 장

점이 있다. 하지만 서명자의 법(Modular)이 각기 틀리기 때문에, 다중서명을 검증하기

위해서는 서명자의 수만큼 RSA의 검증과정을 반복해야 한다는 점과 Reblocking문제가

발생할 수 있으므로 이 문제들을 해결하는 것이 관건이 된다[1][2][3][4].

참고 > Reblocking 문제

서명자 1의 법(Modular) : 1000

서명자 2의 법(Modular) : 2000

1500이라는 수는 서명자 2에게는 1500이지만 서명자 1에게는 500이라는 수로 인식이 된

다. 서명자 2가 문서의 서명을 한 후 서명자 1이 서명을 할 때, 서명자 2는 1500이라는

서명 결과를 서명자 1에게 보내지만 서명자 1은 자신의 법이 1000이기 때문에 1500이라

는 수를 다룰 수가 없다.

[그림 3.1] RSA 단순서명 방식

- 37 -

1. Itakura-Nakamura 순차 다중서명 방식

Itakura-Nakamura의 방식은 최초의 순차 다중서명 방식이다[1].

가. 시스템의 초기화

각 서명자는 두개의 큰 소수 p, q를 선택하여 N0를 계산한 후 서명자의 직위에 따른 작

은 소수 ri를 선택하여 상급자보다는 작은 Ni를 만든다.

N i= pqr I=N 0r i

서명자 i의 공개키인 e는 고정되고 ri에 따라 아래 식을 만족하는 비 키 di가 달라진다.

gcd (e,(p-1)(q-1)(r i-1))=1

ed i=1mod (p-1)(q-1)(r i-1)를 만족하는 d i를 계산한다.

비 : p,q,d i 공개 : e,N 0,r i

나. 서명의 생성

기안자 : User 1 서명자 i : User i

수신 M : 문서 (Si-1, M)

서명생성 S 1=Md 1modN S i= S

dii-1 modN i

송신 (S1, M):다음서명자에게(Si, M):다음 서명자에게 마지막 서명자이면 검증인에게

(그림 3-2) Itakura-Nakamura 순차다중서명 방식의 다중서명 생성과정

- 38 -

다. 서명의 검증

(그림 3-3) Itakura-Nakamura 순차다중서명 방식의 서명 검증과정

라. 서명 방식의 분류

Itakura-Nakamura방식은 제한 순차 다중서명 방식이다.

[표 3-1] Itakura-Nakamura 순차 다중서명 방식의 분류

Itakura-Nakamura 순차 다중서명 방식

다중서명 길이의 고정

O 서명순서의 자유성 X

검증가능성 O 신규참여가능성 △

부정조기검출가능성 O 동시성 X

비 유지성 O 센터독립성 O

공통성 O 검증과정의 효율성 X

- 39 -

2. Okamoto의 순차 다중서명 방식[2]

가. 시스템의 초기화

RSA 단순서명 방식과 같은 방법으로 시스템을 초기화한다.

나. 서명의 생성

(그림 3-4) Okamoto 순차 다중서명 방식의 다중서명 생성 과정

다. 서명의 검증

- 40 -

(그림 3-5) Okamoto 순차 다중서명 방식의 다중서명 검증과정

라. 서명 방식의 분류

Okamoto방식은 서명 생성 중간에 새로운 서명자가 참여할 수 있는 신규참여 가능 순차

다중서명 방식이다.

[표 3-2] Okamoto 순차 다중서명 방식의 분류

Okamoto 순차 다중서명 방식

다중서명 길이의 고정

O 서명순서의 자유성 O

검증가능성 O 신규참여가능성 O

부정조기검출가능성 O 동시성 X

비 유지성 O 센터독립성 O

공통성 O 검증과정의 효율성 X

- 41 -

3. Harn-Kiesler 순차 다중서명 방식

Harn-Kiesler의 순차 다중서명 방식은 Reblocking문제를 해결하기 위해서 서명자가 법

(Modular)의 크기 순서대로 서명을 한다[3].

가. 시스템의 초기화

각 서명자는 두 개의 법(Modular)과 두개의 키 쌍을 갖게 된다.

NA 1= pA 1

ㆍqA 1

NA 2= pA 2

ㆍqA 2

NA 1< h <NA 2

(h : Threshold Value, 시스템 공개정보)

EA 1ㆍDA 1

mod∅(NA 1)= 1(EA 1

,DA 1) : Signature 용

EA 2ㆍDA 2

mod∅(NA 2)= 1(EA 2

,DA 2) : Secrecy 용

공개정보 : NA 1,EA 1

,EA 2

비 정보 : p A 1,q A 1

,p A 2,q A 2

,DA 1,DA 2

- 42 -

나. 서명생성

(그림 3-6) Harn-Kiesler 순차 다중서명 방식의 다중서명 생성 과정

다. 서명의 검증

(그림 3-7) Harn-Kiesler 순차 다중서명 방식의 다중서명 검증과정

라. 서명 방식의 분류

Harn-Kiesler방식은 서명순서가 서명자의 법의 크기에 따라 제한되는 제한 순차 다중서

명 방식이다.

- 43 -

Harn-Kiesler 순차 다중서명 방식

다중서명 길이의 고정

O 서명순서의 자유성 X

검증가능성 O 신규참여가능성 X

부정조기검출가능성 O 동시성 X

비 유지성 O 센터독립성 O

공통성 O 검증과정의 효율성 X

[표 3-3] Harn-Kiesler 순차 다중서명 방식의 분류

4. Kiesler-Harn 순차 다중서명 방식

Kiesler-Harn이 만든 방식은 Reblocking문제를 피하기 위해 서명자들의 법 크기를 일정

한 범위로 제한한다[4].

가. 시스템의 초기화

서명자는 길이가 k비트인 법을 만들 수 있도록 두 개의 소수를 선택한다. 그 외의 사항

은 일반 RSA의 시스템 초기화 과정과 동일하다.

Ni= p iㆍq i

∣Ni∣= k

E iㆍDimod∅(Ni)= 1(Ei,Di)

공개정보 : N i,E i

비 정보 : p i,q i,D i

나. 서명의 생성

- 44 -

(그림 3-8) Kiesler-Harn 순차 다중서명 방식의 다중서명 생성 과정

다. 서명의 검증

(그림 3-9) Kiesler-Harn 순차 다중서명 방식의 다중서명 검증과정

라. 서명 방식의 분류

Kiesler-Harm 방식은 신규참여 순차 다중서명 방식이다.

- 45 -

Kiesler-Harn 순차 다중서명 방식

다중서명 길이의 고정

O 서명순서의 자유성 O

검증가능성 O 신규참여가능성 O

부정조기검출가능성 O 동시성 X

비 유지성 O 센터독립성 O

공통성 O 검증과정의 효율성 X

[표 3-4] Kiesler-Harn 순차 다중서명 방식의 분류

- 46 -

제 3 절 잉여류 문제에 기반을 둔 다중서명 방식

잉여류 문제에 기반을 둔 다중서명 방식은 대부분 Fiat-Shamir의 단순서명 방식을 이용

하고 있다. Fiat-Shamir의 단순서명 방식을 이용하는 경우, 서명의 생성과 검증 속도가

RSA를 기본으로 하는 방식보다 빠르고, 공개키가 서명자의 개인식별 정보인 ID-based

방식이기 때문에 RSA를 기본으로 하는 방식에서 문제가 되는 공개키 디렉토리를 따로

관리할 필요가 없다는 장점이 있다.

이렇게 통신 횟수가 늘어나는 것을 막을 수 있는 방법이 있기는 하지만, 서명자의 수에

따라 서명의 길이가 늘어나게 된다. 다중서명의 처음 목표가 서명의 길이를 고정시키는

것이라는 것에 모순된다[6][8].

(그림 3-10) Fiat-Shamir 단순서명 방식

- 47 -

1. Ohta-Okamoto 방식

Ohta-Okamoto방식은 동시 다중서명 방식을 변형하여 순차 다중서명방식을 만든 경우이

다[10]. RSA를 기반으로 하는 다중서명 방식과 달리 서명 방식에 의한 순서 제한이 없

고 서명의 생성과 검증이 효율적이다[5].

가. 시스템의 초기화

Fiat-Shamir 단순서명 방식과 같은 방법으로 시스템을 초기화한다.

나. 서명의 생성

Ohta-Okamoto의 방법은 서명 생성 1단계에서 난수를 생성한 순서와 상관없이 2단계를

진행시킬 수도 있지만 이렇게 하면 서명 생성 중간에 다중서명을 검증할 수 없다.

(그림 3-11) Ohta-Okamoto 순차 다중서명 방식의 다중서명 생성 1단계

- 48 -

(그림 3-12) Ohta-Okamoto 순차 다중서명 방식의 다중서명 생성 2단계

다. 서명의 검증

(그림 3-13) Ohta-Okamoto 순차 다중서명 방식의 다중서명 검증과정

라. 서명 방식의 분류

Ohta-Okamoto방식은 난수 생성 단계에서 서명자가 미리 정해지고, 서명 생성 중간에

새로운 서명자가 참여할 수 없는 신규참여 제한 순차다중서명 방식이다.

- 49 -

[표 3-5] Ohta-Okamoto 순차 다중서명 방식의 분류

Ohta-Okamoto 순차 다중서명 방식

다중서명 길이의 고정

O 서명순서의 자유성 O

검증가능성 O 신규참여가능성 X

부정조기검출가능성 △ 동시성 X

비 유지성 O 센터독립성 O

공통성 O 검증과정의 효율성 △

2. 강창구-김대 의 순차 다중서명 방식

이 방식은 Fiat-Shamir방법에 기반을 두면서 Ohta-Okamoto 방식에서 발생하는 추가적

인 통신횟수를 없애고 중간 서명자가 다중서명을 검증할 수 있도록 하 다. 또한 결재

시스템에 적합하도록 중간 서명자가 주석(comment)을 할 수 있도록 설계되어 있다는 점

이 특징이다[6].

가. 시스템의 초기화

Fiat-Shamir 단순서명 방식과 같은 방법으로 시스템을 초기화한다.

- 50 -

나. 서명의 생성

(그림 3-14) 강창구-김대 순차 다중서명 방식의 다중서명 생성과정

다. 서명의 검증

강창구-김대 방식은 난수 생성 단계가 없기 때문에 중간 서명자가 다중서명을 검증할

수 있다는 장점이 있다.

(그림 3-15) 강창구-김대 순차 다중서명 방식의 다중서명 검증과정

- 51 -

라. 서명 방식의 분류

강창구-김대 방식은 서명생성 중간에 새로운 서명자가 서명을 할 수 있는 신규참여

가능 순차 다중서명 방식이다.

[표 3-6] 강창구-김대 순차 다중서명 방식의 분류

강창구-김대 순차 다중서명 방식

다중서명 길이의 고정

X 서명순서의 자유성 O

검증가능성 O 신규참여가능성 O

부정조기검출가능성 O 동시성 X

비 유지성 O 센터독립성 O

공통성 O 검증과정의 효율성 △

3. 강창구-김대 의 동시 다중서명 방식

이 방식은 Fiat˙Shamir방법에 기반을 두면서 센터의 도움 없이 동시다중서명을 만들 수

있는 방법이다. 불확정전송(Oblivious Transfer)을 이용하여 센터의 도움 없이 높은 확률

로 동시성을 보장한다는 장점은 있지만 센터의존형보다 통신량과 통신횟수가 많다는 단

점이 있다[7].

가. 시스템의 초기화

Fiat-Shamir 단순서명 방식과 같은 방법으로 시스템을 초기화한다.

나. 서명의 생성

각 서명자는 다음의 과정을 거쳐서 각자의 서명을 생성한다.

- 52 -

(그림 3-16) 강창구-김대 동시 다중서명 방식의 서명 생성 과정

각 서명자는 E1...Em중 하나를 선택하여 이를 불확정 전송한다. 이것을 수신한 각 서명

자는 검증과정을 수행한다. 이때 문제가 발생하면 모든 서명자에게 이를 알리고 프로토

콜을 중지한다.

다. 서명의 검증

(Y 11 ,...,Y 1m ),...,(Ym1,...,Ymm ), (E 11,...,E 1m ),...,

(Em1 ,...,Emm )을 가진 서명자는 아래의 과정을 거쳐서 다중서명을 검증한다.

(그림 3-17] 강창구-김대 동시 다중서명방식의 서명 검증과정

- 53 -

라. 서명 방식의 분류

강창구-김대 방식은 센터가 개입하지 않고 동시 다중서명을 만들 수 있는 센터 독립

형 동시 다중서명 방식이다.

[표 3-7]] 강창구-김대 동시 다중서명 방식의 분류

강창구-김대 동시 다중서명 방식

다중서명 길이의 고정

X 서명순서의 자유성 O

검증가능성 O 신규참여가능성 X

부정조기검출가능성 O 동시성 O

비 유지성 O 센터독립성 O

공통성 O 검증과정의 효율성 X

4. 윤성현-김태윤의 순차 다중서명 방식

윤성현-김태윤 방식은 강창구-김대 방식과 같은 방법으로 Fiat-Shamir방식을 이용하

여 다중서명 방식을 개발하 다[8].

이 방식은 EDI(Electronic Data Interchange)에 적합하도록 메시지 인증의 기능을 강화하

고 능동적 공격에 대비한 기능을 강화하 다.

가. 시스템의 초기화

Fiat-Shamir 단순서명 방식과 같은 방법으로 시스템을 초기화한다.

나. 서명의 생성

이 방식은 다른 방식과 달리 서명 생성 초기 단계에서 검증센터에게 다중서명이 필요한

문서가 있음을 알려야 한다.

- 54 -

(그림 3-18) 윤성현-김태윤 순차 다중서명 방식의 문서 확인 과정

(그림 3-19) 윤성현-김태윤 순차 다중서명 방식의 다중서명 생성 과정 1

- 55 -

(그림 3-20) 윤성현-김태윤 순차 다중서명 방식의 다중서명 생성 과정 2

다. 서명의 검증

검증센터는 다음의 과정에 따라 문서를 확인하고 다중서명을 검증한다. 중간 서명자는

문서 확인 과정은 할 수 없고 다중서명을 검증할 수 있다.

- 56 -

(그림 3-21) 윤성현-김태윤 순차 다중서명 방식의 다중서명 검증과정

라. 서명방식의 분류

윤성현-김태윤 방식은 신규참여 가능 순차 다중서명 방식이다.

윤성현-김태윤 순차 다중서명 방식

다중서명 길이의 고정

X 서명순서의 자유성 O

검증가능성 O 신규참여가능성 O

부정조기검출가능성 O 동시성 X

비 유지성 O 센터독립성 X

공통성 O 검증과정의 효율성 △

[표 3-8] 윤성현-김태윤 순차 다중서명 방식의 분류

- 57 -

5. C. Boyd의 순차 다중서명 방식

Fiat-Shamir의 비 키의 수를 조정하여 서명 방식의 비도를 조정할 수 있다. C. Boyd는

Ohta-Okamoto의 다중서명 방식이 하나의 난수를 사용할 때, 서명자가 관리해야 할 비

키의 수가 많아지는 점을 보완하여 여러 개의 난수를 이용하여 비 키의 수를 줄인 방

식이다[9].

가. 시스템의 초기화

Fiat-Shamir 단순서명 방식과 같은 방법으로 시스템을 초기화한다.

나. 서명의 생성

(그림 3-22) C. Boyd 순차 다중서명 방식의 다중서명 생성 과정

- 58 -

다. 서명의 검증

h(M,Z 1,...,Z t) 의 kt 비트가 eii와 같은지 검사한다.

라. 서명 방식의 분류

C, Boyd방식은 제한 순차 다중서명 방식이라고 할 수 있다.

[표 3-9] C, Boyd의 순차 다중서명 방식의 분류

C, Boyd 순차 다중서명 방식

다중서명 길이의 고정

O 서명순서의 자유성 O

검증가능성 O 신규참여가능성 X

부정조기검출가능성 △ 동시성 X

비 유지성 O 센터독립성 O

공통성 O 검증과정의 효율성 △

6. Delos-Quisquater의 동시 다중서명 방식

Delos-Quisquater는 G-Q방식으로 동시 다중서명 방식을 개발하 다.[6]

Fiat-Shamir방식을 확장하여 키의 크기를 줄 지만 계산량이 증가하 다는 단점이 있다.

- 59 -

(그림 3-23) G-Q 단순서명 방식

가. 시스템 초기화

G-Q 단순 서명 방식과 같은 방법으로 시스템을 초기화한다.

나. 서명의 생성

(그림 3-24) Delos-Quisquater 동시 다중서명 방식의 서명 생성 과정

- 60 -

다. 검증과정

(그림 3-25) Delos-Quisquater 동시 다중서명방식의 서명 검증과정

라. 서명 방식의 분류

이 방식은 센터에 의지하기 때문에 센터 의존형 동시 다중서명 방식이다.

[표 3-10] Delos-Quisquater 동시 다중서명 방식의 분류

Delos-Quisquter동시 다중서명 방식

다중서명 길이의 고정

O 서명순서의 자유성 O

검증가능성 O 신규참여가능성 X

부정조기검출가능성 O 동시성 O

비 유지성 O 센터독립성 X

공통성 O 검증과정의 효율성 △

- 61 -

제 4 절 이산대수문제에 기반을 둔 다중서명 방식

이산대수문제에 기반을 둔 다중서명 방식은 대부분 ElGama1의 단순서명 방식에 기반을

두고 있다. ElGamal은 RSA와 마찬가지로 공개키 디렉토리를 유지해야 하는 단점이 있

기는 하지만 서명의 검증과정이 서명자의 수에 크게 향을 받지 않는다는 장점이 있다.

(그림 3-26) ElGamal 단순서명 방식

1. Hardjono-Zheng의 순차 다중서명 방식[11]

가. 시스템의 초기화

ElGamal 단순서명 방식과 같은 방법으로 시스템을 초기화한다.

나. 서명의 생성

- 62 -

(그림 3-27) Hardjono-Zheng 순차 다중서명 방식의 문서 확인과정

(그림 3-28) Hardjono-Zheng 순차 다중서명 방식의 서명 생성 과정 1

- 63 -

(그림 3-29) Hardjono-Zheng 순차 다중서명방식의 서명 생성과정 2

다. 서명의 검증

(그림 3-30) Hardjono-Zheng 순차 다중서명 방식의 다중서명 검증과정

- 64 -

라. 서명 방식의 분류

이 방식은 서명의 생성 과정에서 서명인이 미리 정해지는 신규 제한순차 다중서명 방식

이다.

[표 3-11] Hardjono-Zheng 순차 다중서명 방식의 분류

Hardjono-Zheng 순차 다중서명 방식

다중서명 길이의 고정

O 서명순서의 자유성 O

검증가능성 O 신규참여가능성 X

부정조기검출가능성 O 동시성 O

비 유지성 O 센터독립성 X

공통성 O 검증과정의 효율성 △

2. Harn 동시 다중서명 방식

Harn은 ElGamal의 단순서명 방식을 변형하여 사전 계산량을 늘린 후 이것을 이용하여

센터를 통신 수단으로 하는 동시 다중서명 방식을 만들었다. 여기서 센터는 검증과 동보

전송 기능을 담당한다[12].

가. 시스템의 초기화

ElGamal 단순서명 방식과 같은 방법으로 시스템을 초기화한다.

- 65 -

나. 서명의 생성

(그림 3-31) Harn 동시 다중서명 방식의 다중서명 생성 과정

다. 서명의 검증

(그림 3-32) Harn 동시 다중서명 방식의 다중서명 검증과정

라. 서명 방식의 분류

이 방식은 센터 의존형 동시 다중서명 방식이며 Delos-Quisquater와 같은 통신 횟수를

가지면서도 서명자 수가 많으면 더 유리하다고 할 수 있다.

- 66 -

[표 3-12] Harn 동시 다중서명 방식의 분류

Harn 동시 다중서명 방식

다중서명 길이의 고정

O 서명순서의 자유성 O

검증가능성 O 신규참여가능성 X

부정조기검출가능성 O 동시성 O

비 유지성 O 센터독립성 X

공통성 O 검증과정의 효율성 O

- 67 -

제 5 절 다중서명 방식의 비교

1. 기존 동시 다중서명 방식의 비교

[표 3-13]에서 볼 수 있듯이 아직까지 많은 동시 다중서명 방식이 개발되어 있지는 않

다. 개발된 다중서명 방식은 센터에 의존하는 방식과 센터가 필요 없는 방법으로 크게

구별할 수 있다. 센터에 의존하는 경우, 동보전송의 기능을 센터가 대신하기 때문에 서명

의 생성과 통신이 간단하다는 장점이 있지만 센터에 의존적이라는 단점이 있다. 이점을

극복하기 위해 0blivious Transfer를 이용한 방식이 개발되었다. 하지만 이 방법은 통신

횟수와 통신량이 센터에 의존적인 방법에 비해 너무 많다는 단점이 있다.

[표 3-13] 기존 동시 다중서명 방식의 비교

서명방식 통신횟수 서명길이 분류 비고

Delos Quisquater

G-Q 3번 고정 센터의존형 동시다중서명방식

센터가 필요하다.

HarnElGa mal

3번 고정센터의존형 동시다중서명방식

센터가 필요하다.

강창구김대

OT Fiat-Shamir

m번 고정센터독립형 동시다중서명방식

통신량,계산량,통신횟수가 많다.

- 68 -

2. 기존 순차 다중서명 방식의 비교

[표 3-14]에 지금까지 설명한 순차 다중서명 방식들의 특성을 비교해보았다. 표에서 알

수 있는 바와 같이 지금까지 개발된 순차 다중서명방식 중에서는 서명문의 길이가 고정

되어 있고 통신 횟수가 m번이며 다중서명의 검증과정이 효율적인 다중서명 방식은 아직

개발되어 있지 않다.

- 69 -

[표 3-14] 기존 순차 다중서명 방식의 비교

서명방식 통신횟수 서명길이 분류 비고

Itakura Nakamura

RSA m번 고정 제한순차다중서명 방식

서명순서에 제한이 있다. 연산수가 많다.

Okamoto RSA m번 고정

신규참여가능순차다중서명 방식

연산수가 많다.

Harn Kiesler

RSA m 고정 제한순차다중서명 방식

관리해야할 키가 두 배이다.

서명순서에 제한이 있다. 연산수가 많다.

Kiesler Harn

RSA m 고정

신규참여가능순차다중서명 방식

상황에 따라 서명 생성 /검증 과정이 추가로 요구될 수 있다. 연산수가 많다.

Ohta Okamoto

Fiat Shamir

2m번 고정

신규참여 제한순차 다중서명 방식

통신횟수가 많다.

강창구 김대

Fiat Shamir

m번 증가

신규참여가능순차다중서명 방식

서명문 길이가 증가한다.

윤성현 김태윤

Fiat Shamir

m+2번 증가

신규참여가능순차다중서명 방식

서명문 길이가 증가한다.

Boyd Fiat Shamir

2m번 고정

신규참여제한순차다중서명 방식

통신횟수가 많다. 통신량이 많다.

Hardjono Zheng

Zheng Seberry

m+2번 고정

신규참여제한순차다중서명 방식

계산량이 많다. 통신량이 많다.

신규서명자가 제한된다.

- 70 -

참 고 문 헌

[1] Itakura, K. Nakamura, K. "A public-key cryptosystem suitable for digital

multisignatures" NEC J. Res Dev.71, pp 1 - 8, Oct.1983

[2] T.Okamoto "A digital multisignatures scheme using bijective public-key

cryptosystems" ACM Trans. on Comp. Systems, vo1.6, no. 8, pp.432-441,1988

[3] L. Harn and T Kiesler "New scheme for digital multisignatures" Electronic

Letters, Vo1.25, No.15, pp 1002-1003, July,1989

[4] T Kiesler and L. Ham "RSA blocking and multisignature schemes with no bit

expansion'' Electronic Letters, Vo1 26, No.18, pp 1490-1491, August, 1990

[5] K.Ohta, T.Okamoto "A digital multisignature scheme based on the Fiat-Shamir

scheme" Proceeding of Asiacrypt '91, pp 75 - 79, 1991

[6] 강창구, 김대 "전자결재시스템의 디지털 다중서명 방식" 한국정보처리응용학회 추

계 학술발표논문집 제1권 2호 pp.490-493, 1994.

[7] 강창구, 김대 “동시성을 갖는 새로운 디지털 다중서명 방식" 한국통신학회논문지

93-9 Vo1.18 No.9 pp.1295-1303, 1993

[8] 윤성현, 김태윤 "EDI 메시지를 위한 디지털 다중서명 방식" 한국정보과학회논문지

제21권 제6호 pp.1086-1096, 1994

[9] C. Boyd "Multisignature based on zero-knowledge schemes"Electronic Letters,

Vo1 27, 22, pp 2002-2004, Oct,1991

[10] Delos, O. Quisquater "Efficient multi-signature schemes for cooperating entities"

Algebraic Coding. First French-Israeli Workshop Proceedings pp.63-74, 1993

[11] Hardjono, T, Zheng Y "A practical digital multisignature scheme based on

discrete logarithms" AUSCRYPTO '92, pp.122-132, 1992

[12] Harn, L "New digital signature schme based on discrete logarithm" Electronic

Letters, Vo1 30, 5, pp396-398, March, 1994

- 71 -

제 4 장 전자결재시스템 적용 가능한 다중전자서명 방식

제 1 절 다중서명 방식의 응용 분야

다중서명 방식은 하나의 문서에 여러 사람이 서명하는 환경에 적용된다. 이런 환경에서

응용 가능성을 결정하는 것은 서명순서, 서명자의 수, 서명의 동시성, 서명 생성에 필요

한 통신 횟수, 검증 절차의 효율성이 된다.

서명순서에 제한이 있는 경우에는 다중서명을 생성할 때, 미리 서명순서를 정해야 하므

로 서명인이 불특정 다수인 경우와 같이 서명인을 미리 정할 수 없다면 적용하기가 힘들

다. 서명자의 수가 많은 경우, 다중서명의 검증이 너무 오래 걸린다면, 서명인 수가 많

지 않은 소규모 적용분야에는 적용할 수 있겠지만 서명인 수가 많은 분야에는 적용하기

가 힘들다. 또한 추가적인 통신횟수가 필요한 경우 서명자를 미리 정해야 되므로 적용

범위가 좁아지게 된다.

1. 서명 운동

서명운동은 서명 대상이 정해져 있지 않고 통신로가 On-Line을 유지할 수 없다. 이런

경우 신규참여 가능 순차 다중서명 방식을 적용해야한다. 신규참여가 가능하려면 이론상

추가적인 통신 횟수가 없어야 한다. 그러므로 통신로가 Off-Line형일 경우라도 이 다중

서명 방식을 적용할 수 있다. 또한 서명 운동과 같이 서명인 수가 많을 수 있는 경우는

서명의 검증과정이 서명인의 수에 크게 향을 받지 않는 방식이어야 한다.

- 72 -

제 2 절 전자결재시스템에서의 다중전자서명

1. 기본 요구 조건

가. 서명문 길이

다중서명을 처음 만들 때의 목적은 문서에 여러 사람이 서명을 하더라도 서명문의 길이

를 고정시키자는 것이었다. 그러므로 다중서명 방식이라면 가장 기본적인 조건이라고 할

수 있지만, 적용하고자 하는 전자결재시스템에서 한 문서에 서명을 행하는 서명자 수가

많지 않다면, 통신횟수, 검증의 효율성 등을 위하여 서명문의 길이가 다소 증가하도록 구

성 할 수 있다.

나. 검증 가능성

다중서명이 만들어진 후, 서명자는 물론 제 3자도 다중서명이 제대로 만들어졌는지를 확

인할 수 있어야 한다

다. 부정 조기 검출성

다중서명을 만드는 중간에, 서명자가 실수로 혹은 고의로 서명을 잘못 만들거나 공격자

가 공격을 하는 경우가 있을 수 있다. 이런 경우, 서명자가 수신한 다중서명문에 대한 다

중서명 검증과정을 수행해서 지금까지 만들어진 서명이 유효한지를 언제든지 검증할 수

있어야 한다. 제3자가 공격을 위한 정보를 수집하기 위해 공격자가 원하는 정보 형태를

만들어 다중서명의 생성 중간에 전송할 수도 있으므로 검증과정을 거쳐 부정을 조기에

검출할 수 있어야 한다.

라. 비 유지성

단순서명 방식과는 달리 다중서명 방식은 서명의 참여자가 둘 이상이고 서명문의 길이가

고정되어야 하는 조건을 갖는다.

- 73 -

서명문이 하나로 모아지므로 암호의 비도가 약해지거나, 특별한 경우가 생겨서 개인의

비 정보가 타인에게 유출될 가능성이 있다. 이런 경우를 막기 위한 조건이다.

마. 공통성

서명자가 수행하는 서명 프로토콜은 모든 서명자의 서명 수행 방법과 동일해야 한다.

2. 바람직한 조건

상기에서 살펴 본 조건들이 다중서명 방식이 갖추어야 할 기본적인 조건이라면, 여기서

제시한 조건들을 만족하게 되면 다중서명 방식은 독특한 특성을 가지게 되며 응용 분야

가 넓어지게 된다.

가. 검증과정의 효율성

다중서명을 검증하는 절차에서 기반으로 하는 서명 방식의 검증과정을 서명인의 수만큼

반복하는 것이 아니라 효율적인 검증과정을 갖추고 있어야 한다.

나. 서명 생성 순서의 자유성

다중서명 생성 절차에서 서명자의 서명순서가 자유로워야 한다.

둘 이상의 서명자가 서명을 할 때, 서명자의 사회적 위치나 계급 또는 자신의 보안에 관

련된 정보에 관계없이 서명순서가 자유로워야 한다는 조건이다. 서명자의 위치, 계급 혹

은 보안 정보에 따라 서명의 순서가 정해지게 된다면 동일한 계층 사이에서는 다중서명

을 생성시키기 힘들게 되므로 응용 분야가 제한되게 된다.

- 74 -

다. 센터 독립성

다중서명을 생성 혹은 검증과정에서 센터가 필요 없어야 한다.

다중서명의 생성과 검증과정에서 센터를 필요로 한다면 다중서명을 생성하고 검증하는데

제약이 생기고 응용 분야 제한될 수밖에 없다. 그러므로 다중서명 방식은 가능한 한 다

중서명의 생성과 검증과정에서 센터의 도움 없이 각 과정을 마칠 수 있어야 한다.

- 75 -

제 3 절 순차 다중전자서명 방식 제안

1. 순차다중전자서명 방식 I

본 방식은 schnorr 단순 전자서명 방식을 이용하여 새로운 순차다중전자서명을 제안한

다.

Shnorr 단순전자서명 방식은 아래의 (그림 4-1)과 같다[1].

(그림 4-1) Schnorr 단순 전자서명 방식

가. 시스템의 초기화

Schnorr 단순서명 방식과 같은 방법으로 시스템을 초기화한다.

나. 서명의 생성

제안하는 방법은 서명 생성 1단계에서 난수를 생성한 순서와 상관없이 2단계를 진행시킬

수도 있지만 이렇게 하면 서명 생성 중간에 다중서명을 검증할 수 없다.

- 76 -

(그림 4-2) 순차 다중서명 방식 I의 서명 생성 1단계

(그림 4-3) 순차 다중서명 방식 I의 서명 생성 2단계

다. 서명의 검증

- 77 -

(그림 4-4) 순차 다중서명 방식 I의 서명 검증과정

라. 효율성 분석

ㅇ 통신 횟수

다중서명에 m명의 서명자가 참여하는 경우 2m번의 통신횟수가 요구된다. 그러나 기안자

가 속한 그룹에서 결재선(서명순서)은 대부분 일정함으로 기본 결재선의 경우 다중서명

생성과정 1단계를 사전에 처리하면, 실재 문서에 다중서명을 생성할 때는 m번의 통신으

로 서명 생성이 가능하다.

ㅇ 통신량

통신량은 각 서명자간에 전해지는 정보량을 기준으로 한다. 부가형 전자서명의 경우, 서

명이 필요한 문서, 서명인 목록, 서명정보가 다음 서명자나 검증센터로 전달된다.

- 78 -

여기서 문서와 서명인 목록은 어떤 순차 다중서명 방식에서도 기본적으로 전달되는 정보

이고, 서명정보의 경우 본 방식은 Si, Ri, Rm으로 고정되며, RSA를 기반으로 하는 순차

다중서명보다는 다소 통신량이 많으나 Fiat-Shamir 단순서명 방식을 기반으로 하는 순

차 다중서명 방식보다는 통신량이 작다.

o 검증과정의 효율성

RSA, Fiat-Shamir, G-Q 단순서명 방식에 근거한 순차 다중서명 방식은 서명자의 수에

따라 서명의 검증과정을 반복해야하기 때문에 서명자가 많은 경우에는 검증과정에서 많

은 시간이 소요되나, 본 방식은 서명자의 수에 상관없이 계산시간이 많이 소요되는 연산

인 멱승의 수가 고정되어 있다. 이로 인해 서명인의 수에 향을 적게 받는다는 장점을

갖게 된다.

[표 4-1] 순차 다중전자서명 방식 I의 분류

서명방식 통신횟수 서명길이 분류 비고

순차다중전자서명방식I

Schnorr 2m번 고정

신규참여제한순차다중서명방식

순서에 제한이 없다.검증과정이 서명자수에 향을 받지 않는다.

- 79 -

2. 순차 다중전자서명 방식 II

본 방식은 순차 다중전자서명 방식 I에서 2m 번의 통신횟수를 m번으로 향상시키기 위

해서 순차 다중전자서명 방식 I을 다음과 같이 수정하 다.

가. 시스템의 초기화

Schnorr 단순서명 방식과 같은 방법으로 시스템을 초기화한다.

나. 서명의 생성

(그림 4-5) 순차 다중서명 방식 II의 서명 생성단계

- 80 -

다. 서명의 검증

(그림 4-6) 순차 다중서명 방식 II의 서명 검증과정

라. 효율성 분석

본 방식은 순차 다중전자서명 방식 I의 통신횟수를 줄이고, 서명 생성중간에 새로운 서

명자가 참여할 수 있는 신규참여 가능한 순차 다중서명방식이다.

o 통신 횟수

- 81 -

다중서명에 m명의 서명자가 참여하는 경우 최소한의 통신횟수인 m번의 통신으로 서명

을 생성할 수 있다.

ㅇ 통신량

통신횟수를 2m번에서 m번으로 개선하기 위하여 서명정보는 서명자에 비례하여 다소 증

가한다. 따라서 문서에 서명해야하는 서명자가 많지 않은 경우에 사용한다면 서명정보의

크기는 순차 다중전자서명 방식I과 비슷할 것이다.

ㅇ 검증과정의 효율성

RSA, Fiat-Shamir, G-Q 단순서명 방식에 근거한 순차 다중서명 방식과 유사하게 서명

자의 수에 따라 서명의 검증과정을 반복해야 하므로 서명자 수가 많지 않은 경우에 적용

하는 것이 효과적이다.

[표 4-2] 순차 다중전자서명 방식 II의 분류

서명방식 통신횟수 서명길이 분류 비고

순차다중전자서명방식I

Schnorr m번 증가

신규참여가능순차다중서명방식

순서에 제한이 없다.검증과정이 서명자수에

향을 받는다.

- 82 -

3. KCDSA batch 서명 방식

본 연구에서 1998년 국내 전자서명 알고리즘 표준으로 제정된 KCDSA를 이용하여 다중

전자서명을 설계하고자 하 으나 KCDSA의 구조가 다중전자서명으로 설계하기 어려운

형태를 가지고 있다. 서명식 S = X(K-E) mod Q와 공개키와 비 키의 구성형태(Y =

_x-lmod P)가 다중서명을 생성/검증하기에 어려운 구조를 가지고 있다.

따라서 본 연구에서는 서명자의 수가 극히 많지 않은 응용에서 즉 사이트내의 전자문서

결재의 경우, KCDSA 전자서명을 쉽게 적용할 수 있고, 한 문서에 대한 서명이나 여러

문서의 전자서명 값을 동시에 검증할 수 있는 batch 전자서명을 설계하 다.

KCDSA 전자서명 알고리즘은 (그림 4-7)과 같다[2].

(그림4-7) KCDSA 단순전자서명 알고리즘

- 83 -

가. 시스템의 초기화

KCDSA 단순서명 방식과 같은 방법으로 시스템을 초기화한다.

나. 서명의 생성

(그림 4-8) Batch KCDSA 서명 생성단계

- 84 -

다. 서명의 검증

(그림 4-9) Batch KCDSA 검증과정

- 85 -

참 고 문 헌

[1] Schnorr C. P "Efficient identification and signatures for smart cards" Advances in

Cryptology-Crypto'89 August 20-24 1989, Santa Babara pp.239-252

[2] KCDSA, 부가형 전자서명 방식 표준-제2부 확인서 이용 전자서명 알고리즘,

TTA.KO -12.0001, 1998.

- 86 -

제 5 장 결 론

일반적인 전자서명 방식은 한 문서에 한 사람이 서명을 하는 환경에 기초하여 설계되어

있어서, 한 문서에 여러 사람이 서명을 해야하는 응용에 적용하는 데에는 적합하지 않다.

결재와 서명 운동, 계약의 경우와 같이 여러 사람이 한 문서에 서명하는 경우, 단순서명

을 반복해서 적용하여 문제를 해결할 수 있지만, 서명의 길이가 늘어나고, 서명을 검증하

려면 서명자의 수만큼 검증과정을 거쳐야 하기 때문에 서명자가 많은 경우 시간이 오래

걸린다는 단점이 있다. 이런 단순서명 방식의 문제를 해결하기 위해 나온 개념이 바로

다중서명(Multisignature) 방식이다.

본 고에서는 기존에 개발된 다중서명 방식들을 모델링한 후, 각 다중서명 방식의 특성을

분석하여 각 방식의 응용 가능분야를 알아보았다. 또한 Schnorr 전자서명을 이용하여 전

자결재시스템에 적용 가능한 순차다중전자서명 방식을 설계하고, 국내 전자서명 표준

KCDSA를 이용하여 전자결재에 적용 가능한 Batch KCDSA를 설계하 다.

- 87 -