Refactor: Update credential formats comparison (JSON-LD BBS+, SD-JWT, ISO mDoc)

Author: kukgini

src/dt/credential_formats.md

@@ -2,15 +2,15 @@
 
 ## 개요
 
-본 문서는 디지털 자격증명 시스템에서 사용되는 주요 프라이버시 보존 기술들을 비교 분석한다. BBS+ 서명, CL-Signature, Holder Binding, 그리고 SD-JWT의 특성과 차이점을 다룬다.
+본 문서는 디지털 자격증명 시스템에서 사용되는 주요 프라이버시 보존 기술들을 비교 분석한다. JSON-LD (BBS+), SD-JWT, 그리고 ISO mDoc의 특성과 차이점을 다룬다.
 
 ---
 
-## 1. BBS+ 서명
+## 1. JSON-LD (BBS+)
 
 ### 1.1 정의
 
-BBS+는 페어링 기반 암호학을 활용한 디지털 서명 방식으로, 프라이버시 보존 자격증명(Privacy-Preserving Credentials) 분야에서 널리 사용된다.
+JSON-LD(JSON for Linking Data)는 연결된 데이터를 표현하기 위한 표준 포맷이다. 여기에 **BBS+ 서명**을 결합하면 강력한 프라이버시 기능을 제공하는 자격증명을 구현할 수 있다. BBS+는 페어링 기반 암호학을 활용한 디지털 서명 방식이다.
 
 ### 1.2 핵심 프라이버시 특성
 
@@ -22,7 +22,7 @@ BBS+는 페어링 기반 암호학을 활용한 디지털 서명 방식으로, 
 
 ### 1.3 Blind Signature와의 관계
 
-BBS+ 자체는 전통적인 Blind Signature 방식이 아니다. 그러나 Link Secret과 결합하면 유사한 프라이버시 효과를 달성한다.
+BBS+ 자체는 전통적인 Blind Signature 방식이 아니다. 그러나 **Link Secret**과 결합하면 유사한 프라이버시 효과를 달성한다.
 
 | 구분 | 순수 BBS+ (Link Secret 없음) | BBS+ + Link Secret |
 |------|------------------------------|-------------------|
@@ -41,51 +41,17 @@ BBS+ 자체는 전통적인 Blind Signature 방식이 아니다. 그러나 Link
 
 ---
 
-## 2. CL-Signature
+## 2. Holder Binding
 
 ### 2.1 정의
 
-2001년 Jan Camenisch와 Anna Lysyanskaya가 제안한 서명 방식이다. RSA 기반의 특수 서명 알고리즘으로, 익명 자격증명 시스템을 위해 설계되었다.
-
-### 2.2 수학적 기반
-
-Strong RSA 가정에 기반하며, 서명 구조는 다음과 같다:
-
-```
-A = (a₀ · a₁^m₁ · a₂^m₂ · ... · aₙ^mₙ · v^vₑ)^(1/e) mod n
-```
-
-여기서 m₁, m₂, ..., mₙ은 서명될 속성들이고, e는 소수 지수이다.
-
-### 2.3 핵심 특성
-
-- **다중 메시지 서명**: 여러 속성을 하나의 서명으로 묶을 수 있음
-- **선택적 공개**: 서명된 속성 중 일부만 공개하면서 서명 유효성 증명 가능
-- **술어 증명 (Predicate Proof)**: 값 자체를 공개하지 않고 조건 증명 (예: "나이 ≥ 19")
-- **비연결성**: 동일 자격증명의 반복 사용 추적 불가
-
----
-
-## 3. Holder Binding
-
-### 3.1 정의
-
 자격증명이 정당한 소유자에게 귀속되어 있음을 증명하는 메커니즘이다. 특정 알고리즘이 아니라 보안 요구사항이자 기능적 개념이다.
 
-### 3.2 CL-Signature/BBS+와의 관계
-
-| 구분 | CL-Signature / BBS+ | Holder Binding |
-|------|---------------------|----------------|
-| 본질 | 암호학적 서명 스킴 | 보안 메커니즘 |
-| 목적 | 선택적 공개, 영지식 증명 | 자격증명 도용 방지 |
-| 계층 | 암호 프리미티브 | 프로토콜/응용 계층 |
-| 관계 | Holder Binding 구현 기반 제공 | 서명 스킴 위에 구현됨 |
-
-### 3.3 구현 방식
+### 2.2 구현 방식
 
 #### Link Secret (Master Secret) 방식
 
-CL-Signature와 BBS+에서 주로 사용하는 방식이다.
+JSON-LD (BBS+) 환경에서 주로 사용하는 방식이다.
 
 **발급 과정:**
 1. Holder가 비밀값 s(link secret)를 생성
@@ -101,7 +67,7 @@ CL-Signature와 BBS+에서 주로 사용하는 방식이다.
 
 #### Key Binding 방식
 
-Holder의 개인키와 자격증명을 연결하는 방식이다.
+SD-JWT 등에서 사용하는 방식으로, Holder의 개인키와 자격증명을 연결한다.
 
 **발급 과정:**
 1. Holder가 공개키 PK를 Issuer에게 제공
@@ -115,19 +81,18 @@ Holder의 개인키와 자격증명을 연결하는 방식이다.
 
 ---
 
-## 4. Link Secret과 관련 암호 기술
+## 3. Link Secret과 관련 암호 기술
 
-### 4.1 사용되는 알고리즘
+### 3.1 사용되는 알고리즘
 
 Link Secret 구현에는 여러 암호 기술이 조합된다.
 
 | 기술 | 역할 |
 |------|------|
 | Pedersen Commitment | Link Secret 값을 숨긴 채 바인딩 |
 | Schnorr Protocol | "비밀값을 알고 있음"을 영지식으로 증명 |
-| ECDSA / EdDSA | Key Binding 방식에서 소유권 증명 |
 
-### 4.2 Pedersen Commitment
+### 3.2 Pedersen Commitment
 
 ```
 C = g^s · h^r mod p
@@ -137,34 +102,21 @@ C = g^s · h^r mod p
 - g, h: 공개된 생성자
 ```
 
-### 4.3 Blinding vs Blinded Signature
-
-커밋먼트의 "블라인딩"과 Blinded Signature는 별개의 기술이다.
-
-| 구분 | 커밋먼트 블라인딩 | Blinded Signature |
-|------|------------------|-------------------|
-| 목적 | 값을 숨긴 채 바인딩 | 서명자가 메시지 모른 채 서명 |
-| 사용 기술 | Pedersen Commitment | RSA Blind Sig, BLS Blind Sig 등 |
-| 결과물 | 커밋먼트 값 | 유효한 서명 |
-
-Link Secret 발급 과정에서 사용되는 것은 Pedersen Commitment의 은닉 속성(hiding property)이며, Blinded Signature 프로토콜이 아니다.
-
-### 4.4 BBS+에서의 Pedersen Commitment
+### 3.3 BBS+에서의 Pedersen Commitment
 
 타원곡선 버전의 Pedersen Commitment를 사용한다.
 
 ```
-정수 그룹 (CL-Signature):  C = g^s · h^r mod n
 타원곡선 그룹 (BBS+):      C = s·G + r·H
 ```
 
 수학적 구조는 동일하고, 연산만 다르다(지수 연산 → 스칼라 곱 연산).
 
 ---
 
-## 5. 프라이버시 설계 시 주의사항
+## 4. 프라이버시 설계 시 주의사항
 
-### 5.1 DID와 Link Secret의 관계
+### 4.1 DID와 Link Secret의 관계
 
 credentialSubject에 DID가 포함되어 공개되면, Link Secret의 프라이버시 효과가 무력화된다.
 
@@ -174,7 +126,7 @@ credentialSubject에 DID가 포함되어 공개되면, Link Secret의 프라이
 | DID 숨김 + Link Secret | 비연결성 확보 |
 | DID 없음 + Link Secret | 완전한 익명성 |
 
-### 5.2 올바른 설계 방식
+### 4.2 올바른 설계 방식
 
 **방식 1: DID 없이 발급**
 ```json
@@ -192,24 +144,24 @@ credentialSubject에 DID가 포함되어 공개되면, Link Secret의 프라이
 
 ---
 
-## 6. SD-JWT와의 비교
+## 5. SD-JWT와의 비교
 
-### 6.1 구조적 차이
+### 5.1 구조적 차이
 
-| 구분 | CL-Signature / BBS+ | SD-JWT |
-|------|---------------------|--------|
+| 구분 | JSON-LD (BBS+) | SD-JWT |
+|------|----------------|--------|
 | 서명 방식 | 다중 메시지 서명 | 단일 해시 서명 |
 | 선택적 공개 | 암호학적 ZKP | 해시 프리이미지 공개 |
 | 영지식 증명 | 지원 | 미지원 |
 
-### 6.2 SD-JWT에서 Link Secret이 불가능한 이유
+### 5.2 SD-JWT에서 Link Secret이 불가능한 이유
 
 SD-JWT는 속성을 공개하려면 실제 값을 그대로 전달해야 한다.
 
 - **Link Secret 공개 시**: 더 이상 비밀이 아니므로 의미 없음
 - **Link Secret 숨김 시**: Holder Binding 증명 불가
 
-### 6.3 SD-JWT의 대안: Key Binding JWT
+### 5.3 SD-JWT의 대안: Key Binding JWT
 
 SD-JWT는 Link Secret 대신 Key Binding JWT를 사용한다.
 
@@ -220,7 +172,7 @@ SD-JWT 구조:
 
 Key Binding JWT는 Holder의 개인키로 서명되어 소유권을 증명한다.
 
-### 6.4 방식 비교
+### 5.4 방식 비교
 
 | 구분 | Link Secret (BBS+) | Key Binding (SD-JWT) |
 |------|-------------------|----------------------|
@@ -231,31 +183,62 @@ Key Binding JWT는 Holder의 개인키로 서명되어 소유권을 증명한다
 
 ---
 
-## 7. 기술 선택 가이드
+## 6. ISO mDoc (ISO/IEC 18013-5)
+
+### 6.1 정의
+
+모바일 운전면허증(mDL)을 위해 ISO/IEC에서 표준화한 규격이다. CBOR(Concise Binary Object Representation) 형식을 사용하며, 주로 하드웨어 기반의 보안을 강조한다.
+
+### 6.2 핵심 특성
+
+- **포맷**: CBOR 및 MSO (Mobile Security Object)
+- **서명**: COSE (ECDSA, EdDSA 등)
+- **선택적 공개**: Device Retrieval 메커니즘을 통해 요청된 데이터만 전송 가능
+- **Holder Binding**: Device Binding (Secure Element/TEE 활용)
+
+### 6.3 프라이버시 메커니즘
+
+- **선택적 공개**: Issuer가 데이터 요소별로 Digest를 생성하고 서명(MSO)에 포함한다. 검증 시에는 선택된 데이터와 MSO만 전달하며, 검증자는 해시 값을 대조하여 무결성을 확인한다.
+- **비연결성**: 기본적으로 MSO 서명이 정적이어서 추적 가능성이 존재한다. 이를 완화하기 위해 일회용 키나 단기 자격증명(Batch Issuance)을 사용해야 한다.
+
+---
+
+## 7. 기술 비교 요약
+
+| 구분 | JSON-LD (BBS+) | SD-JWT | ISO mDoc |
+|------|----------------|--------|----------|
+| **기반 기술** | ZKP (Pairing) | Hash + Salt | Hash + CBOR |
+| **선택적 공개** | 암호학적 ZKP | 해시 프리이미지 공개 | 해시 대조 (Digest) |
+| **Holder Binding** | Link Secret (ZKP) | Key Binding JWT | Device Binding (Challenge-Response) |
+| **비연결성** | 매우 높음 (수학적 보장) | 낮음 (공개키 재사용 시) | 보통 (구현 의존적) |
+| **주요 용도** | 고도의 프라이버시 VC | 웹 호환성 중시 VC | 신분증(운전면허), 오프라인 검증 |
+
+---
+
+## 8. 기술 선택 가이드
 
 | 요구사항 | 권장 기술 |
 |----------|----------|
-| 높은 프라이버시 (비연결성 필수) | BBS+ + Link Secret |
-| 술어 증명 필요 (예: 나이 ≥ 19) | CL-Signature 또는 BBS+ |
+| 높은 프라이버시 (비연결성 필수) | JSON-LD (BBS+) |
+| 술어 증명 필요 (예: 나이 ≥ 19) | JSON-LD (BBS+) |
 | JWT 생태계 호환성 중시 | SD-JWT + Key Binding |
-| 구현 단순성 우선 | SD-JWT |
+| 하드웨어 보안 및 오프라인 검증 | ISO mDoc |
 
 ---
 
-## 8. 프레임워크별 구현
+## 9. 프레임워크별 구현
 
 | 프레임워크 | 서명 방식 | Holder Binding |
 |------------|----------|----------------|
-| Hyperledger Indy/Aries | CL-Signature | Link Secret |
 | W3C VC Data Integrity | BBS+ | Link Secret |
 | ISO mDL (모바일 운전면허) | ECDSA/EdDSA | Device Binding |
 | SD-JWT VC | ECDSA/EdDSA | Key Binding JWT |
 
 ---
 
-## 9. 구현 절차 다이어그램
+## 10. 구현 절차 다이어그램
 
-### 9.1 Link Secret Binding (BBS+/CL-Sig) 흐름도
+### 10.1 Link Secret Binding (JSON-LD BBS+) 흐름도
 
 ```mermaid
 sequenceDiagram
@@ -274,7 +257,7 @@ sequenceDiagram
     Note over V: 8. Proof 검증
 ```
 
-### 9.2 Key Binding (SD-JWT) 흐름도
+### 10.2 Key Binding (SD-JWT) 흐름도
 
 ```mermaid
 sequenceDiagram
@@ -293,11 +276,30 @@ sequenceDiagram
     Note over V: 8. 서명 검증<br/>(Issuer 서명 & Holder 서명)
 ```
 
+### 10.3 Device Binding (ISO mDoc) 흐름도
+
+```mermaid
+sequenceDiagram
+    autonumber
+    participant H as Holder
+    participant I as Issuer
+    participant V as Verifier
+
+    Note over H: 1. Device Key Pair(PK, SK) 생성<br/>(Secure Element)
+    H->>I: 2. Public Key(PK) 전송
+    Note over I: 3. MSO 생성 (속성 Digest + PK)<br/>4. MSO 서명 (Issuer Key)
+    I->>H: 5. mDoc 발급 (MSO + 속성값)
+    V->>H: 6. Device Engagement & Challenge
+    Note over H: 7. 선택적 속성 추출<br/>8. Challenge 서명 (with SK)
+    H->>V: 9. MSO + 선택 속성 + Device Auth 제출
+    Note over V: 10. MSO 검증 & Device Auth 검증
+```
+
 ---
 
 ## 참고
 
 - W3C Verifiable Credentials Data Model
 - BBS+ Signatures (IETF Draft)
-- Hyperledger Indy Documentation
 - SD-JWT (IETF RFC 9449)
+- ISO/IEC 18013-5 (mDoc)