분산 애플리케이션과 현대 웹 보안 환경에서, 두 당사자가 비밀 통신 채널을 확립하는 것은 매우 중요합니다. 타원곡선 디피-헬만 세션 키 교환(Elliptic Curve Diffie–Hellman Ephemeral, ECDHE)은 신뢰할 수 없는 네트워크 상에서도 shared secret을 생성할 수 있는 프로토콜로, TLS(HTTPS)나 VPN과 같은 산업 표준에 널리 활용됩니다. 여기에 commit-reveal scheme을 결합하면, 투표 시스템이나 예측 시장, Web3Auth와 같은 서비스에서 변경 방지성과 은닉성을 동시에 갖춘 값(commitment)을 구현할 수 있습니다.

이 글에서는 다음을 다룹니다:

1. ECDHE의 핵심 원리와 대칭 암호화 키 도출 과정
2. Commite-Reveal Scheme의 동작 메커니즘
3. Web3Auth가 ECDHE와 커밋-리빌을 이용해 민감한 자격 증명(oauth_token)을 안전하게 전송하는 방법
4. Commit-Reveal과 인증서 기반 서명을 통한 MITM(중간자) 공격 방어 기법

1. Elliptic Curve Diffie-Hellman Ephemeral Key Exchange(ECDHE)

1.1 Core Concept

ECDHE는 앨리스(Alice)와 밥(Bob)이 각각 ephemeral key pair를 생성한 뒤, 공개키를 교환하여 공유 비밀(shared secret)을 계산하는 방식입니다. 이 공유 비밀은 이후 세션 동안 대칭 암호화 키로 사용됩니다.

• Ephemeral: 매 세션마다 새로운 키 쌍을 생성하므로, 장기 키가 유출되더라도 과거 세션의 보안은 유지(forward secrecy)됩니다.

1.2 Public parameters

1. 타원곡선 E (예: Curve25519)
2. 기준점 G (base point)
3. Finite Field의 소수 p
4. 키 도출 함수(KDF, 예: HKDF)

1.3 Key-gen

• Alice
• 비밀키: 무작위 스칼라 a
• 공개키: A = a × G
• 밥(Bob)
• 비밀키: 무작위 스칼라 b
• 공개키: B = b × G

각각 자신의 비밀키는 비공개로 보관하고, 공개키만 교환합니다.

1.4 Shared Secret

1. Alice: S = a × B = a × (b × G) = ab × G
2. Bob: S = b × A = b × (a × G) = ab × G

두 당사자는 동일한 점 S를 얻게 됩니다. 이 값을 HKDF에 입력해 AES-GCM이나 ChaCha20-Poly1305에 필요한 256비트 대칭 키를 도출합니다.

2. Commit-Reveal Scheme

Commit-Reveal은 먼저 값을 숨긴 상태로 커밋(commit)하고, 이후 원본 값을 공개(reveal)하여 무결성을 검증하는 두 단계 방식입니다.

2.1 Commit

commitment = Hash(value || nonce)

• value: 숨기고 싶은 값 (예: 투표 선택, 난수 시드, oauth_token 등)
• nonce: 임의의 랜덤값 (동일 value에 대해 다른 commitment 생성)

커밋 단계에서는 commitment만 공개하므로, 실제 값은 보호되며 이후 변경이 불가능(binding)합니다.

2.2 Reveal

1. value와 nonce를 공개(reveal)
2. 검증자(verifier)는 다시 Hash(value || nonce)를 계산해, 최초 커밋한 commitment와 일치하는지 검사합니다.

응용 사례: 투표 시스템, 공정한 난수 생성, 민감 데이터(토큰) 안전 전송 등

3. Web3Auth 통합: ECDHE + Commit-Reveal

Web3Auth는 다수의 위원회(committee)에게 신뢰를 분산시키는 구조를 갖습니다. 사용자의 Google OAuth token을 안전하게 위원회에 전달하기 위해, 매 세션마다 ECDHE로 세션 키를 생성하고 Commit-Reveal을 적용합니다.

3.1 Initial Setup

• 사용자(Web3Auth SDK): 세션마다 ephemeral keypair(sk_a, pk_a) 생성
• 위원회 멤버: keypair (sk_b, pk_b) 및 public key에 대한 디지털 서명 보유

3.2 Commit(User → Committe)

1. 사용자는 h_id = Hash(id_token)과 pk_a를 위원회에 전송
2. 위원회는 S = sk_b × pk_a로 공유 비밀을 계산하고, HKDF를 통해 대칭 키 K를 도출
3. h_id에 대한 커밋을 레지스트리에 기록하여, 동일 토큰 반복 제출 방지

보안 장점: 커밋 단계에서는 토큰 해시만 공개되므로, id_token 실질 값은 보호됩니다.

3.3 Reveal (User → Committee)

1. 사용자는 S = sk_a × pk_b로 동일한 K를 도출
2. AES-GCM을 사용해 id_token을 enc(oauth_token)으로 암호화
3. {enc(oauth_token), pk_a}를 위원회에 전송

위원회는 K로 복호화 후 토큰을 검증하고, 검증이 완료되면 자체 액세스 토큰을 사용자에게 발급합니다.

4. Man In The Middle Attack(MITM)

중간자 공격자는 공개키를 가로채 변조해, 양측 통신을 감청하여 암호화된 메시지를 알아낼 수 있습니다.

4.1 Core Concept

• Mallory가 pk_a 대신 자신의 pk_m을 전달하면,
• Bob은 K_b = sk_b × pk_m을 계산
• Mallory는 K_m = sk_m × pk_b를 계산
• Mallory는 밥의 메시지를 복호화 후 다시 암호화해 앨리스로 전달

방어 기법:

1. 인증서와 디지털 서명: 위원회 공개키(pk_b)에 대한 CA 서명을 검증
2. 사전 공유된 공개키: 오프라인 경로로 신뢰된 공개키 배포

이렇게 ECDHE, Commit-Reveal, 인증서 또는 서명을 조합하면 기밀성과 무결성을 모두 확보할 수 있습니다.

Conclusion

• ECDHE: forward secrecy 제공
• Commit-Reveal Scheme: 값 은닉 및 변경 방지
• 인증서 or 서명: MITM 공격 방어

이 세 가지 기술을 적절히 결합하면, 다양한 분산 애플리케이션에서 안전하게 인증 데이터를 교환할 수 있습니다.

References

Web3Auth Docs: https://web3auth.io/docs

ECDHE 및 Commit-Reveal Scheme was originally published in POSTECH DAO on Medium, where people are continuing the conversation by highlighting and responding to this story.