완전 시뮬레이션 가능한 양자 안전 동전 뒤집기와 그 응용

초록

이 논문은 양자 컴퓨터를 가진 다항식 규모의 적대자에 대해 완전 시뮬레이션이 가능한 동전 뒤집기 프로토콜을 제시한다. 혼합 커밋먼트 스킴만을 가정함으로써 사전 설정 없이 구현 가능하며, 이를 기반으로 양자 안전 제로 지식 증명과 양자 안전 2인 함수 평가를 구현한다.

상세 분석

본 연구는 양자 환경에서 고전적인 메시지 교환만을 이용하는 동전 뒤집기 프로토콜의 보안성을 근본적으로 재검토한다. 기존의 비트 커밋 기반 단일 동전 뒤집기와 달리, 저자들은 문자열 커밋을 필요로 하는 다중 비트 동전 생성 문제에 직면한다. 양자 적대자는 중간 상태를 복제하거나 비가역적인 측정을 되돌릴 수 없기 때문에, 전통적인 리와인딩 기법이 적용되지 않는다. 이를 해결하기 위해 ‘혼합 커밋먼트(mixed commitment)’라는 새로운 암호학적 도구를 도입한다. 혼합 커밋은 두 종류의 커밋을 결합해, 한쪽은 양자 컴퓨팅에 대한 숨김성(hiding)을, 다른 쪽은 추출 가능성(extractability)을 보장한다. 이러한 구조는 시뮬레이터가 적대자의 커밋을 효율적으로 추출하거나, 필요 시 가짜 커밋을 생성해 시뮬레이션을 진행할 수 있게 한다.

논문은 먼저 ‘약한’ 동전 뒤집기(보안 수준이 낮은 프로토콜)를 정의하고, 이를 ‘강한’ 완전 시뮬레이션 가능한 형태로 증폭하는 일련의 변환을 제시한다. 증폭 단계는 (1) 약한 동전 뒤집기 → (2) 중간 단계의 문자열 커밋 기반 동전 → (3) 최종적으로 양자 다항식 시간 내에 양쪽 모두 시뮬레이션 가능한 완전 시뮬레이션 동전 뒤집기이다. 각 단계는 상수 라운드 수를 유지하면서도 보안 파라미터를 선형적으로 확장한다. 특히, 증폭 과정 전체가 혼합 커밋만을 필요로 하므로, 기존에 필요했던 공통 랜덤 문자열(CRS) 설정을 완전히 제거한다.

보안 증명은 양자 다항식 구분 불가능성(q‑≈)을 기반으로 하며, 시뮬레이터가 실제 실행과 동일한 출력 분포를 생성함을 보인다. 중요한 점은 시뮬레이터가 양자 적대자를 ‘리와인드’하지 않고도, 혼합 커밋의 추출 가능성을 이용해 적대자의 선택을 사전에 예측하거나, 가짜 커밋을 삽입함으로써 시뮬레이션을 완성한다. 이는 기존의 양자 리와인딩이 불가능한 상황에서 최초로 전면적인 시뮬레이션을 달성한 사례라 할 수 있다.

이러한 동전 뒤집기 프레임워크를 바탕으로 두 가지 응용을 제시한다. 첫 번째는 양자 안전 제로 지식 증명(Zero‑Knowledge Proof of Knowledge)이다. 여기서는 증명자가 증명하고자 하는 명제의 증거를 ‘증인 인코딩(witness encoding)’ 스킴으로 변환하고, 혼합 커밋을 이용해 증명자의 증인을 추출 가능하게 만든다. 이 과정에서 동전 뒤집기로 생성된 무작위 문자열이 공통 챌린지 역할을 수행하므로, CRS 없이도 완전한 UC‑보안을 확보한다. 두 번째 응용은 양자 안전 2인 함수 평가(FUNCTION EVALUATION)이다. 혼합 커밋을 이용해 은밀 전송(oblivious transfer) 프로토콜을 구현하고, 이를 기반으로 임의의 고전 다항식 시간 함수 f에 대한 양자 안전 평가를 달성한다. 특히, 이 결과는 ‘혼합 커밋이 양자 안전 2인 함수 평가를 위한 완전성(complete) 가정이다’라는 새로운 복합성을 제시한다.

전체적으로 본 논문은 (1) 사전 설정 없이 구현 가능한 강력한 동전 뒤집기 프로토콜, (2) 양자 환경에서 리와인딩 없이 완전 시뮬레이션을 가능하게 하는 혼합 커밋 기술, (3) 이를 활용한 제로 지식 증명과 함수 평가의 양자 안전 구현이라는 세 축을 통해, 양자 암호학에서의 기본 프리미티브 설계에 새로운 패러다임을 제시한다.