양자 암호학 기초에 대한 최근 회의론에 대한 반박

초록

히로타와 유엔이 제시한 양자 암호 보안의 근본적 결함 주장은 필요조건과 충분조건을 혼동한 데서 비롯된다. 본 논문은 그들의 논증을 간략히 재현하고, 기존 보안 증명이 여전히 유효함을 논리적으로 입증한다.

상세 분석

히로타와 유엔은 양자 키 분배(QKD) 보안 증명에서 사용되는 “시크리시(Secrecy) 조건”이 실제 비밀성 보장을 충분히 설명하지 못한다며, 특정 공격 시나리오에서 트레이스 거리(trace distance) 기준이 허용 가능한 수준을 초과할 수 있다고 주장한다. 이들은 두 가지 핵심 개념을 혼동한다. 첫째, “시크리시가 ϵ-보안이다”라는 명제는 “시크리시가 ϵ 이하이면 보안이 보장된다”는 충분조건을 의미한다. 둘째, “시크리시가 ϵ보다 크면 보안이 깨진다”는 필요조건이 아니라는 점이다. 히로타와 유엔은 후자를 전제로 삼아, ϵ‑값이 작아도 이론적으로는 비밀이 완전히 무너지지 않을 수 있다는 점을 강조한다. 그러나 기존 보안 증명은 복합 보안(composable security) 프레임워크 안에서 ϵ‑보안이 충분조건임을 명시하고, 실제 프로토콜 설계 시 ϵ를 실용적으로 무시할 수 없는 수준으로 충분히 작게 설정한다. 또한, 트레이스 거리와 변별 가능도(distinguishability) 사이의 수학적 관계를 이용해, ϵ‑보안이 전체 시스템에 미치는 영향을 상한으로 제한한다는 점을 간과한다. 저자들은 히로타·유엔이 제시한 “특정 상태” 예시가 실제 QKD 실행에서 발생할 확률이 지수적으로 억제된다는 점을 강조하고, 보안 파라미터 선택이 잘못된 경우에만 문제가 발생한다는 점을 지적한다. 따라서 그들의 비판은 보안 정의 자체가 잘못되었다는 것이 아니라, 보안 파라미터의 해석과 적용에 대한 오해에서 비롯된 것이다.