양자 중첩 공격과 고전 암호 프로토콜의 보안

초록

본 논문은 고전 암호 프로토콜에 대해 공격자가 여러 클래식 질의를 양자 중첩 상태로 동시에 제출할 수 있는 새로운 공격 모델을 제시한다. 이 모델에서 비밀 공유는 임계값 t가 t/2로 감소해야만 보안을 유지하며, 이를 이용해 모든 NP 문제에 대한 제로 지식 증명을 구축한다. 또한 다자간 계산(MPC)에서는 가장 일반적인 형태의 중첩 공격에 대해 시뮬레이션 기반 보안이 불가능함을 보이지만, 제한된 공격자에 대해서는 시뮬레이션이 가능한 비트례를 제시한다.

상세 분석

이 논문은 기존의 고전 암호 모델이 “오라클에 클래식 질의만 허용”한다는 가정에서 출발해, 양자 컴퓨팅이 보편화되는 미래를 대비해 “질의를 양자 중첩 상태로 제출”하는 공격자를 정의한다. 핵심 아이디어는 공격자가 여러 개의 부정 행위 집합을 동시에 선택할 수 있게 함으로써, 전통적인 비밀 공유 스킴이 갖는 ‘임계값 t’ 보안이 실제로는 ‘t/2’ 임계값으로 약화된다는 점을 증명한다. 구체적으로, 비밀 공유 스킴 S가 고전적 adversary structure G에 대해 완전 보안이면, 양자 중첩 공격에 대해서는 F₂={A∪B | A,B∈F}가 G에 포함될 때만 보장이 된다. 이는 두 개의 서로 다른 부정 집합을 중첩해 질의하면, 그 합집합이 원래 허용된 부정 집합을 초과할 경우 비밀이 노출될 수 있음을 의미한다. 논문은 2당 비트 공유 예시를 통해, 중첩된 질의가 비밀 b를 완벽히 구분할 수 있음을 보여준다.

이러한 비밀 공유 결과를 활용해, 저자들은 공통 레퍼런스 문자열(CRS) 모델에서 모든 NP 언어에 대한 제로 지식 증명을 설계한다. 프로토콜 자체는 완전히 고전적이지만, 검증자가 양자 중첩 공격을 수행하더라도 완전성(soundness)과 계산적 제로 지식(computational zero‑knowledge)을 유지한다. 기존의 비대화식 제로 지식(NIZK) 방식은 중첩 공격을 방어할 수 없으며, 그 기반이 되는 일방향 퍼뮤테이션 가정도 양자 공격에 취약하다는 점을 지적한다.

다자간 계산(MPC) 부분에서는, 가장 강력한 형태의 중첩 공격(정적, 수동적)에서는 시뮬레이션 기반 보안이 근본적으로 불가능함을 증명한다. 공격자는 부정 집합을 중첩해 오라클에 질의함으로써, 시뮬레이터가 어떤 입력·출력 정보도 획득하지 못하도록 만든다. 그러나 “자연스러운 제약”—예를 들어 공격자가 중첩된 질의에 포함될 수 있는 부정 집합의 크기를 제한하거나, 특정 구조의 프로토콜에만 적용—을 두면, 실제로 시뮬레이션이 가능한 비트례를 제시한다. 이 경우 시뮬레이터는 고전적인 방법을 단순히 중첩 상태에서 실행하는 것이 아니라, 양자 수준의 기술(예: 양자 상태 복제와 측정 전략)을 활용해 시뮬레이션을 수행한다.

전체적으로 논문은 양자 중첩 공격이 고전 암호 설계에 미치는 영향을 체계적으로 분석하고, 기존 보안 정의를 재검토하도록 촉구한다. 특히 비밀 공유와 제로 지식 증명의 보안 파라미터가 절반으로 감소한다는 결과는 실용적인 프로토콜 설계 시 중요한 경고가 된다. 또한, MPC 분야에서 시뮬레이션 기반 보안이 완전히 사라지는 경우와 제한된 상황에서 회복 가능한 경우를 명확히 구분함으로써, 향후 연구가 어느 방향으로 진행되어야 할지 가이드라인을 제공한다.