양자 디지털 서명 프로토콜 고전 모사에 대한 중간자 공격 분석

초록

본 논문은 Dunjko·Wallden·Kent·Andersson이 제안한 양자 디지털 서명 프로토콜 P2의 고전적 아날로그에 대해 Lowe의 Needham‑Schroeder 공격을 차용한 중간자(MITM) 공격을 설계하고, 이를 ProVerif 기반 형식 모델링으로 검증하였다. 공격이 성공하면 수신자는 변조된 메시지를 정당한 서명으로 받아들여 인증·무결성이 손상된다.

상세 분석

논문은 먼저 Dunjko 등(2014)의 QDS 프로토콜 P2를 고전적인 비트 문자열 기반 형태로 재구성한다. 키 배포 단계에서 Alice는 두 개의 비밀 키(k₀, k₁)를 각각 Bob과 Charlie에게 전송하고, 각 수신자는 무작위 마스크 n을 적용해 부분 키를 교환한다. 메시지 전송 단계에서는 Alice가 (m, k_m^B, k_m^C)를 Bob에게 보내고, Bob은 자신의 마스크와 Charlie가 전달한 부분 키를 검증한 뒤 동일한 서명을 Charlie에게 전달한다.

이 구조는 인증을 위한 비밀 키와 마스크가 고정된 순서대로 사용된다는 가정에 의존한다. 저자는 여기서 악의적인 중간자 Eve가 Bob과 Charlie 사이의 모든 채널을 장악하고, Alice와 Bob·Charlie 사이의 신뢰 관계를 오용한다는 시나리오를 제시한다. 구체적으로 Eve는 Alice가 Bob에게 보낸 키를 교환(swap)하고, Bob이 마스크를 적용한 부분 키를 다시 재배열해 Charlie에게 전달한다. 메시지 전송 단계에서도 Eve는 m을 반전시켜 Bob에게 전달하고, Bob은 교환된 키와 부분 키를 사용해 검증을 통과한다. 최종적으로 Charlie는 원본 메시지를, Bob은 변조된 메시지를 각각 정당한 서명으로 받아들인다.

이 공격은 두 가지 핵심 약점을 이용한다. 첫째, 프로토콜이 키와 마스크의 연관성을 고정된 인덱스로 관리하므로, 키 교환만으로도 서명 검증 흐름을 뒤바꿀 수 있다. 둘째, 인증 과정에서 메시지와 서명의 결합을 별도로 검증하지 않아, 메시지 변조가 서명 검증에 영향을 주지 않는다. 저자는 이러한 구조적 결함이 양자 버전에도 그대로 전이될 가능성을 제기한다. 양자 채널 자체는 도청을 방지하지만, 키 교환 후의 고전적 처리 단계에서 동일한 MITM 공격이 적용될 수 있다.

형식 검증을 위해 논문은 Applied Pi Calculus로 P2를 모델링하고, ProVerif을 이용해 공격 시나리오가 도달 가능함을 확인하였다. 현재는 초기 실험 결과만 제시하고, 양자 버전에 대한 완전한 형식 분석은 향후 연구 과제로 남겨두었다.