무제한 평문공격에서도 Y00 양자 스트림 암호의 비밀키 추정 확률 분석

초록

본 논문은 Y00(αη) 양자 스트림 암호에 대해 무한히 긴 알려진 평문 공격(KPA) 상황에서 비밀키를 추정할 확률을 양자 다중 가설 검정 이론으로 평가한다. 결과는 128비트 길이의 두 비밀키에 대해 성공 확률이 1보다 작으며, 양자 잡음이 존재하는 한 완전한 키 복구는 불가능함을 보인다.

상세 분석

Y00 프로토콜은 전통적인 광통신 인프라와 호환되면서, 메시지를 양자 잡음 아래에 숨겨 전송한다. 기존 연구는 개별 신호 검출 오류율이나 마스킹 크기(양자·고전 잡음에 가려진 신호 레벨 수)만을 평가했으며, 비밀키 자체에 대한 정보이론적 보안은 충분히 다루어지지 않았다. 본 논문은 이러한 공백을 메우기 위해, 공유된 비밀키 k와 보조키 Δk를 이용해 생성된 두 개의 PRNG 스트림 s와 Δx를 (s,Δx) 쌍으로 모델링하고, Eve가 알 수 있는 평문 x와 측정 연산자 {E(s,Δx|x)}를 통해 양자 상태 ρ′(x,s,Δx)를 관측하는 과정을 양자 다중 가설 검정(framework of Bayes risk)으로 전환한다.

핵심은 (s,Δx) 조합이 2|K|+|ΔK|개의 가능한 패턴만을 가짐에도 불구하고, 양자 잡음으로 인해 각 가설에 대한 사후 확률이 완전히 구분되지 않으며, Bayes 기준에 따라 최적 판정 규칙을 적용해도 성공 확률은 1에 미치지 못한다는 점이다. 논문은 먼저 순수 상태(오류 없는 검출) 가정 하에서 성공 확률이 1이 되는 극단적 경우를 제시하고, 실제 양자 잡음이 존재하는 경우(오류 검출)에는 Eq.(31)~(34)에서 도출된 불평등을 통해 성공 확률이 1보다 작음이 수학적으로 증명된다.

특히, LCM(Least Common Multiple) 주기 T_LCM 동안 Eve가 수집한 N번의 측정 결과를 통계적으로 누적해 가장 가능성 높은 (s,Δx) 를 추정하는 과정에서, Bayes 기준에 따른 임계값 n_Th 를 Eq.(46)으로 정의하고, 이는 N이 증가해도 제한된 값 이하로 수렴한다. 따라서 무한히 긴 KPA라 할지라도 Eve가 정확한 비밀키를 확정할 확률은 2|K|+|ΔK| 중 하나에 불과하며, 이는 1보다 확실히 작다.

결과적으로 Y00는 전통적인 스트림 암호와 달리 양자 잡음이 “정보 이론적 보안”을 제공함을 보이며, 키 길이가 충분히 길고, 주기 T_LCM 내에서 키를 교체한다면 실용적인 보안 수준을 유지할 수 있다. 다만, 키 교체 주기가 지나면 누적된 통계 정보가 성공 확률을 상승시킬 수 있으므로, 실제 시스템 설계 시 키 교체 주기와 양자 잡음 수준을 적절히 조정해야 한다.