An employee in a company needs to go on a business trip to some-place which has no computer network access. During the trip he will receive e-mails, and may be expected to respond to some messages urgently. A solution for this situation is a $\emph{proxy signatures}$. Before the trip, he delegates his signing capability to his secretary (called a proxy signer), and instructs his secretary to respond to the e-mails in place of him according to a prearranged plan. Then the secretary responds to the e-mails using the proxy signature. The proxy signature allows a designated person, called a proxy signer, to sign on behalf of an original signer and a receiver to verify both the signature itself and original signer's agreement together. The basic methodology of proxy signature is that the original signer creates a signature on delegation information (identity of the designated proxy signer, validity period, instruction for signing, or any warrant information) and gives it to the proxy signer, and then the proxy signer uses it to generate a proxy private key. Because the proxy key pair is generated using original signer's signature on delegation information, any verifier can check original signer's agreement from a proxy signature. Compared to the consecutive execution of the ordinary digital signature schemes, it has a direct form and so it requires less computational work than the consecutive execution of the signature schemes. Due to this efficiency together with the delegation property, an organization, e.g. a company, can very efficiently create many signatures of its own by delegating its signing power to multiple employees. In this thesis, first we discuss the necessity of a secure channel in proxy signatures. Though establishing a secure channel has much influence on the efficiency of the scheme, to the best of our knowledge, this topic has not been discussed before. All known proxy signatures used a secure channel to deliver a signed warrant except one which used a 3-pass weak blind signature. However, the KPW scheme [13] appeared to be secure without the secure channel. We think that our result can contribute to designing more efficient proxy signature scheme. Next, we propose the ID-based proxy signature scheme from the bilinear map. Our ID-based proxy signature scheme is based on the the ID-based signature scheme by Cha and Cheon [22] and follows the procedure of basic proxy signature scheme. When we compare the ID-based system with certificate-based system, where the sender may need to visit a database of public keys before encrypting each message or verifying the signature, ID-based system seems like a very practical alternative. In particular, since the verifier of the proxy signature needs the public keys of both the original signer and the proxy signer, ID-based system may be much more efficient than the certificate based system for the proxy signature scheme. At the aspect of the function, any previous scheme cannot stop the misuse of the signing capacity but our ID-based proxy signature scheme can prevent the misuse of the signing capacity by the proxy signer as follows the procedure of ordinary proxy signature generation.

기업의 대표는 각종 문서에 서명을 하는 일 뿐만 아니라 많은 할 일이 있다. 너무 많은 일로 인해 필요한 서류에 제때 서명을 하지 못하거나 타 지역으로의 출장이나 온라인 상의 문제로 인해 서명을 할 수 없는 상황은 빈번하게 일어날 수 있다. 그럼에도 불구하고 대표로서 반드시 서명을 해야 하는 계약서나 사내 문서가 있을 수 있다. 이런 상황에 대한 해결책으로 그는 하급 직원에게 일부 문서에 대해 서명 할 수 있는 권한을 위임하고 하급직원이 대표를 대신하여 서명하는 것이다. Mambo, Usuda와 Okamoto등에 의해 처음 소개된 대리서명 기법은 위임의 형태에 따라 전체 위임과 부분 위임 그리고 위임장에 의한 위임으로 분류된다(MUO 대리서명 기법). 여기에서 부분 위임은 원서명자의 대리서명 생성 능력에 따라 대리인만이 대리서명을 생성할 수 있는 대리인 보호 대리서명과 원서명자와 대리인 모두 대 리서명을 생성할 수 있는 대리인 비보호 대리서명으로 나뉜다. 이 후 김승주, 박상준, 원동호는 위임장의 내용을 직접 대리서명에 삽입시킴으로서 대리인에 의한 서명 능력의 오남용을 방지하는 기법이 소개하였다(KPW 대리서명 기법). 기본적인 대리서명 생성 방법은 다음과 같다. 먼저 원서명자가 대리인의 신상정보(ID등)를 포함한 대리 서명 권한을 규정한 위임장에 공개키 시스템에서 사용하는 개인키를 이용하여 서명을 생성하고 위임장과 서명 값을 대리인에게 전달한다. 그러면 대리인은 서명 값과 자신의 개인키를 이용하여 대리서명에 사용될 대리서명 키 쌍을 생성하고 그 중 개인키를 이용하여 대리서명을 생성한다. 검증자는 원서명자와 대리인의 공개키를 이용하여 대리서명을 검증한다. 여기에서 검증자는 위임장의 내용과 대리서명된 문서의 내용을 검토하여 대리인의 위임된 권한의 행사에 대한 유효성을 확인한다. 만약 이 두 가지 검증 절차가 모두 유효하면 검증자는 검증 과정에서 사용된 원서명자의 공개키를 통해 대리서명에 대한 원서명자의 동의를 확인할 수 있고, 또한 위임된 권한의 오남용도 막을 수 있을 것이다. 이와 같은 대리서명이 갖추어야 할 보안 요구사항은 다음과 같다. 1. 검증 가능성: 대리서명으로부터 검증자는 권한위임에 대한 원서명자의 동의를 확인할 수 있어야 한다. 2. 강한 위조 방지: 지명된 대리인만이 유효한 대리서명을 생성할 수 있어야 한다. 즉, 원서명자와 제 3자는 유효한 지명된 대리인을 가장하여 유효한 대리서명을 생성할 수 없어야 한다. 3. 강한 확인: 대리서명으로부터 대리인의 신분을 확인할 수 있어야 한다. 4. 부인 방지: 한번 유효한 대리서명이 생성되면 대리인은 자신의 대리서명 생성에 대한 사실을 부인할 수 없어야 한다. 5. 오남용 방지: 대리인은 자신에게 위임된 권한 내에서 대리서명을 생성해야 한다. 우리는 원서명자에 의해 생성된 위임장의 전송 과정에 있어서 기존 대리서명 기법들이 보안 채널을 사용하고 있다는 사실에 주목하였다. 보안 채널의 설계는 대리서명 기법의 효율성에 큰 영향을 미치고 있으나 아직까지 어느 누구도 이 부분에 대하여 언급한 바가 없다. 본 논문에서 우리는 기존에 발표된 모든 대리서명 기법에서 보안채널의 필요성을 분석하였다. 우리의 분석에 의하면 KPW 기법은 위임장의 전송을 위해 설계된 보안 채널을 제거하더라도 여전히 안전한 반면에 LKK 기법은 보안 채널을 사용하고 있음에도 불구하고 그들의 논문에서의 주장과 달리 대리인 보호 대리서명이 아님을 확인할 수 있었다. 이에 우리는 MUO 기법과 LKK 기법을 수정하여 보안 채널을 제거하더라도 여전히 안전한 대리서명을 생성할 수 있는 기법을 제안한다. 다음으로 본 논문에서는 ID 기반 인증 모델에서의 대리서명 기법을 제안한다. 1984년에 Shamir가 소개한 이 모델은 각 사용자의 ID(전자우편 주소 등)를 공개키로 사용함으로서 서명의 검증이나 암호화과정에서 필요한 공개키의 습득과정을 단순화한 인증모델이다. 대리서명은 검증 과정에서 검증자가 원서명자와 대리인의 공개키를 필요로 하기 때문에 이 인증모델의 사용은 효율성을 향상시키는데 큰 역 할을 할 것이다. 기존의 ID기반 대리서명 기법은 서명 기법을 직접 사용하여 대리서명을 생성하는 기법이다(DQ 서명 기법). 그들의 서명 기법은 사용자가 서명할 수 있는 횟수를 제한하는 'bounded-life span' 서명 기법인데, 그 제한된 횟수의 일부분을 대리인이 사용할수 있도록 함으로서 대리서명을 생성하는 방법이다. 여기에서 원서명자가 대리인에게 전달하는 위임장은 대리인의 신상정보나 서명권한 사용의 한계에 대한 정보를 담고 있지 않기 때문에 대리인에 의한 서명 권한의 오남용이나 위임된 권한을 제3자에게 전달하는 것을 막을 수 없다. 그렇기 때문에 위임장의 전달은 원서명자와 대리인 사이의 보안채널을 이용하여 전달되어야 한다. 무엇보다 이 기법이 가지는 가장 큰 단점은 ID 기반 모델에서의 대리서명 기법임에도 불구하고 검증자가 대리서명의 검증 과정에서 원서명자가 지급한 위임장의 유효성을 확인하기 위해 원서명자가 제공하는 위임장에 대한 인증서를 온라인 상태 로 확인해야 한다는 것이다. 이에 반해 우리가 제안하는 ID 기반 대리서명 기법은 안전성이 증명된 ID 기반 서명기법를 기존 인증서 기반 인증모델에서의 대리서명기법에 적용한 것으로, 위임장을 대리서명에 삽입함으로서 기존 ID 기반 대리서명 기법이 가지는 단점들을 모두 극복할 수 있었다. 또한 지금까지 제안되고 있는 대리서명 기법들이 위임장 전송 시 보안채널을 설정해야 하는 어려움이 었었으나 우 리의 대리서명 기술은 이런 보안 채널 설정의 필요성을 제거했기 때문에 효율성에 있어서 기존 대리서명 기술들보다 훨씬 뛰어나다고 할 수 있다.