양자 랜덤오라클 모델에서 존재적 위조 방지 서명을 강한 위조 방지 서명으로 변환

초록

본 논문은 기존의 존재적 위조 방지(eu‑acma) 서명 체계를 강한 위조 방지(su‑acma) 체계로 변환하는 일반적인 방법을 양자 랜덤오라클(QRO) 모델에서도 안전하게 동작하도록 증명한다. 핵심은 체계에 사용되는 체인블룸 해시와 서명 알고리즘이 양자 안전성을 갖는 경우, 변환 후에도 강한 위조 방지 보안이 유지된다는 것이다. 이를 위해 저자들은 양자 랜덤오라클을 적응적으로 프로그래밍하는 새로운 증명 기법을 제시하고, 격자 기반 서명과 체인블룸 해시를 이용한 구체적인 구현을 제공한다.

상세 분석

이 논문은 강한 위조 방지(su‑acma) 서명 체계가 실용성과 다양한 암호학적 구축에 필수적이라는 점을 강조하면서, 기존에 클래식 랜덤오라클(RO) 모델에서만 증명된 TOO 변환을 양자 랜덤오라클(QRO) 모델까지 확장한다는 점에서 혁신적이다. 핵심 아이디어는 TOO 변환이 실제로는 특정 이산 로그 기반이 아니라 일반적인 체인블룸 해시(chameleon hash)만을 필요로 한다는 관찰이다. 따라서 체인블룸 해시와 원래 서명 체계가 양자 안전성을 만족한다면, 변환 후 서명도 양자 공격에 대해 강한 위조 방지 보안을 유지한다.

양자 환경에서 가장 큰 난관은 해시 함수에 대한 중첩(superposition) 쿼리를 허용해야 하는데, 이는 전통적인 “쿼리 기록” 방식과 “동적 재프로그래밍” 기법을 무력화한다. 저자들은 두 가지 기술적 장벽을 극복한다. 첫째, 적어도 하나의 입력 x*가 아직 쿼리되지 않았음을 보장하기 위해, adversary의 전체 쿼리 파동을 무작위로 측정해 해당 입력을 추출한다. 이는 양자 측정에 따른 확률적 손실을 다항식 수준으로 제한한다. 둘째, 체인블룸 해시의 충돌 찾기가 계산적으로 어려운 상황을 이용해, 해시값을 동적으로 바꾸는 “프로그래밍”을 수행한다. 구체적으로, 두 함수(전부 0인 함수와 특정 문자열 집합에만 1을 출력하는 함수)가 양자 접근 하에 구별 불가능함을 보이며, 이는 Grover 검색 하한과 유사한 계산적 엔트로피 개념을 활용한다. 이렇게 하면 adversary는 프로그래밍된 부분을 감지하지 못하고, 보안 증명은 기존 RO 기반 증명과 동일한 구조를 유지한다.

또한, 논문은 실제 구현을 위해 Cash‑et‑al.의 격자 기반 eu‑acma 서명과 동일한 격자 기반 체인블룸 해시를 선택한다. 이 두 구성요소는 현재 알려진 양자 알고리즘으로는 풀기 어려운 LWE(학습 with 오류) 문제에 기반하므로, 전체 변환 체계가 QRO 모델에서도 양자 안전성을 갖는다. 최종적으로 제안된 su‑acma 서명은 서명·검증 비용이 기존 eu‑acma 대비 크게 증가하지 않으며, 랜덤오라클 호출 횟수도 최소화한다.

이러한 결과는 양자 컴퓨팅 시대에 기존 서명 체계의 보안을 강화하는 실용적인 방법을 제공함과 동시에, QRO 모델에서의 적응적 해시 프로그래밍 기법이라는 새로운 증명 도구를 제시한다는 점에서 학술적·실용적 가치가 크다.