역공간 공격 양자키분배 보안의 새로운 함정

초록

본 논문은 수신자 Bob이 실제로 측정하는 양자 공간이 이상적인 2차원 큐빗 공간보다 크게 확장되는 경우, 그 확장된 공간을 역시간으로 추적해 공격자가 조작할 수 있는 “역공간(Reverse‑Space)”을 정의한다. 이를 이용해 인터페로미터 기반 BB84 구현에 대해 오류를 전혀 발생시키지 않으면서도 Alice가 보낸 비트를 완벽히 복원하는 공격을 제시한다.

상세 분석

논문은 먼저 실험적 QKD 구현에서 Bob의 측정 장치가 다중광자, 다중모드, 시간 지연 등으로 인해 실제로는 고차원 힐베르트 공간을 측정한다는 점을 강조한다. 이러한 “공간 확대(enlargement)”는 장비의 불완전성뿐 아니라 설계 자체에 내재될 수 있다. 저자들은 Bob이 수행하는 유니터리 변환 U_B와 그 후의 계산기준 측정을 모두 고려한 뒤, Bob이 관측 가능한 결과 |j⟩_B를 시간 역전 연산 U_B†에 적용해 역공간 H_P를 정의한다. H_P는 Eve가 실제로 조작할 수 있는 전체 상태 공간이며, 이상적인 2차원 큐빗 공간 H_A는 H_P의 부분집합에 불과하다. 따라서 Eve는 H_P 안에서 임의의 연산 U_E와 보조 시스템을 이용해 Alice의 신호를 변형하고, Bob이 측정했을 때 오류(J_error)나 무효(J_invalid) 결과가 전혀 나타나지 않도록 설계한다. 논문은 두 가지 구체적 예시를 들어 설명한다. 예시 1에서는 다중광자 검출이 불가능한 경우, |2,0⟩와 같은 두광자 상태가 Bob에게는 |1,0⟩와 구분되지 않으므로 Eve는 두광자 상태를 이용해 정보를 얻을 수 있다. 예시 2에서는 시간 지연 모드(t와 t+δ)를 구분하지 못하는 경우, Alice의 단일광자 신호가 두 개의 시간 모드에 걸쳐 존재하게 되고, Eve는 t+δ 모드를 완전히 제어해 Bob에게는 정상적인 단일광자 결과만 보이게 만든다. 핵심은 Bob이 “손실(loss)”으로 간주하는 결과를 제외하고는 모든 오류를 0으로 만들 수 있다는 점이다. 이를 위해 저자들은 Claim 1을 제시해, Eve의 공격 연산이 특정 조건(β·X·ε=0)을 만족하면 Bob이 관측하는 오류 확률이 완전히 사라진다. 논문은 또한 역공간 공격이 기존의 “측정 장치 독립(MDI)”, “디바이스 독립” 보안 증명에 비해 더 큰 차원을 고려해야 함을 지적하고, Bob이 불필요한 모드를 의도적으로 Eve에게 반환하거나, 측정 결과를 사전에 필터링함으로써 역공간 차원을 최소화하는 방안을 제시한다. 마지막으로, 인터페로미터 기반 BB84 실험(Refs