비정보이론적 인증을 이용한 양자키분배 공격과 보완 방안

초록

본 논문은 낮은 키 소모량을 위해 제안된 비정보이론적 인증 코드가 해시 충돌을 이용해 무한 계산 능력을 가진 공격자에게 취약함을 증명한다. 충돌 메시지들이 임의의 목표 메시지와 작은 해밍 거리를 가질 확률이 높다는 사실을 이용해 BB84 기반 여러 QKD 프로토콜에 대한 확장된 중간자 공격을 설계하고, 공격자는 거의 확실히 비밀키를 회복한다. 마지막으로 비ITS 인증을 ITS 수준으로 강화하는 조건과 실용적인 방어책을 제시한다.

상세 분석

이 논문은 QKD 시스템에서 인증 단계가 정보이론적으로 안전(ITS)하지 않을 경우 발생할 수 있는 근본적인 보안 결함을 정량적으로 분석한다. 저자들은 기존에 제안된 “low‑key‑consumption” MAC이 실제로는 충돌 가능한 해시 함수를 기반으로 하며, 각 메시지에 대해 공격자가 충돌 메시지 집합을 계산할 수 있음을 지적한다. 핵심 정리는 “임의의 목표 메시지와 충돌 메시지 사이에 작은 해밍 거리를 갖는 메시지가 고확률로 존재한다”는 것으로, 이는 해시 함수의 출력 공간이 충분히 균등하고 입력 길이가 충분히 길 경우 통계적으로 보장된다.

이 정리를 바탕으로 저자들은 세 가지 BB84 변형 프로토콜에 대해 단계별 MITM 공격 시나리오를 제시한다. 첫 번째 단계에서는 공격자가 Alice와 Bob 사이에 위치해 양쪽으로 전송되는 인증된 클래식 메시지를 가로채고, 충돌 메시지를 이용해 인증 검증을 회피한다. 두 번째 단계에서는 양쪽의 양자 신호를 그대로 전달하면서, 인증 단계에서 변조된 메시지를 삽입해 양측이 서로 다른 원시 키를 생성하도록 만든다. 마지막 단계에서는 공격자가 자신이 만든 가짜 원시 키를 이용해 오류 정정 및 프라이버시 증폭 과정을 조작함으로써 최종 비밀키를 완전 복구한다.

특히, 충돌 메시지의 해밍 거리가 작다는 특성은 오류 정정 단계에서 발생하는 시그마(σ) 값과 비교했을 때 무시할 수 있을 정도로 작아, Bob이나 Alice가 충돌을 감지하지 못한다는 점을 강조한다. 따라서 기존에 “단순 MITM 방어는 충분하다”는 주장에 반증을 제시한다.

보안 강화 방안으로는 (1) 충돌 탐색이 불가능하도록 완전한 ITS MAC(예: Wegman‑Carter)으로 교체, (2) 인증 태그에 추가적인 랜덤화(시드)와 다중 해시 함수를 결합해 충돌 공간을 지수적으로 확대, (3) 인증 단계와 양자 단계 사이에 독립적인 키 재생성 절차를 삽입해 공격자가 한 번의 충돌로 전체 프로토콜을 장악하지 못하도록 하는 방법을 제안한다. 또한, 논문은 비ITS 인증을 ITS 수준으로 업그레이드하기 위한 “필수·충분 조건”을 수학적으로 증명한다. 이는 (i) 해시 함수가 충돌 저항성을 갖고, (ii) 인증 태그 길이가 통계적 보안 파라미터 ε보다 충분히 커야 함을 의미한다.

전반적으로 이 연구는 QKD 구현에서 인증 모듈이 가장 약한 고리임을 재확인하고, 실용적인 설계 시 반드시 ITS 인증을 채택해야 함을 강력히 주장한다.