맥엘리시 암호, 양자 푸리에 샘플링 공격에도 견고함

초록

본 논문은 양자 컴퓨터가 RSA·El Gamal을 깰 수 있는 근거인 정수 인수분해와 이산 로그 문제와 달리, McEliece 암호가 코사인 상태(coset state)를 이용한 강한 푸리에 샘플링 공격에 취약하지 않음을 증명한다. 잘 섞이고 잘 순열된 선형 코드를 사용하면, 해당 암호가 숨겨진 부분군 문제(HSP)로 환원되지만, 그 부분군의 구조가 강한 푸리에 샘플링이나 어떠한 코사인 상태 측정으로도 구분될 수 없다는 부정적 결과를 확장한다. 따라서 McEliece는 현재 알려진 양자 알고리즘에 대한 첫 번째 엄격한 보안 증명을 제공한다.

상세 요약

이 논문은 양자 알고리즘이 RSA·El Gamal을 공격하는 핵심 메커니즘이 ‘코사인 상태’를 생성하고, 그 상태에 강한 푸리에 샘플링(strong Fourier sampling)을 적용해 숨겨진 부분군을 식별하는 것임을 재조명한다. McEliece 암호는 전통적으로 선형 코드의 생성 행렬을 공개키로, 오류가 섞인 코드워드를 비밀키로 사용하는 코드 기반 암호이다. 저자들은 ‘well‑permuted, well‑scrambled’ 라는 두 가지 구조적 가정을 통해 코드의 자동동형군(automorphism group)이 충분히 복잡하고 비가역적인 형태가 되도록 만든다. 이때 McEliece 암호를 숨겨진 부분군 문제로 모델링하면, 공격자는 코드의 자동동형군에 속하는 부분군 H를 찾으려는 HSP 인스턴스를 마주한다.

기존 양자 HSP 연구에서는 그래프 동형성 문제와 같은 경우, 부분군이 크기 2인 경우에 강한 푸리에 샘플링이 실패한다는 부정적 결과가 알려져 있었다. 논문은 이 결과를 일반적인 부분군 구조로 일반화한다. 구체적으로, 자동동형군이 비가역적인 대칭성을 갖는 경우, 그 표현론적 특성 때문에 코사인 상태의 밀도 행렬이 모든 비가역적 표현에 대해 거의 균등하게 섞인다. 따라서 어떤 푸리에 변환을 적용해도 얻어지는 확률분포는 부분군의 구체적 구조를 반영하지 못한다. 저자들은 이 현상을 ‘표현 차원 차단(bound on representation dimensions)’이라는 수학적 도구로 정량화하고, 특히 선형 코드의 자동동형군이 갖는 고차원 비가역 표현이 충분히 많아야만 강한 푸리에 샘플링이 의미 있는 정보를 제공하지 못함을 증명한다.

또한, 단순히 푸리에 샘플링에 국한되지 않고, 코사인 상태에 대한 임의의 측정(POVM) 역시 같은 제한을 받는다는 일반화된 부정적 결과를 제시한다. 이는 ‘양자 정보의 차단’이라는 개념으로, 코사인 상태가 갖는 엔트로피가 너무 커서 어느 측정 전략을 쓰더라도 부분군에 대한 유의미한 통계적 차이를 추출할 수 없다는 의미다. 결과적으로, McEliece 암호는 현재 알려진 양자 알고리즘이 활용하는 ‘코사인 상태 → 푸리에 샘플링’ 파이프라인에 대해 구조적으로 저항성을 가진다.

이 논문의 주요 기여는 세 가지이다. 첫째, 기존 그래프 동형성 부정적 결과를 선형 코드 자동동형군으로 확장함으로써, 코드 기반 암호에 대한 양자 보안 분석의 새로운 틀을 제공한다. 둘째, ‘well‑permuted, well‑scrambled’ 코드 설계가 자동동형군을 복잡하게 만들어 HSP 인스턴스가 강한 푸리에 샘플링에 취약하도록 만든다는 설계 원칙을 제시한다. 셋째, 코사인 상태에 대한 전반적인 측정 제한을 수학적으로 증명함으로써, 현재까지 제안된 모든 양자 Fourier‑based 공격이 McEliece에 적용될 수 없음을 엄밀히 입증한다. 이러한 결과는 McEliece가 포스트‑양자 암호 후보군으로서 가장 견고한 기반 중 하나임을 이론적으로 뒷받침한다.