양자 차분 암호분석 고속 서브키 탐색

초록

본 논문은 고전 차분 암호분석에 양자 알고리즘을 결합하여, 양자 최소·최대 찾기와 양자 카운팅을 이용해 서브키 후보들의 오른쪽 페어 수를 동시에 추정하고, √K·√N 시간 복잡도로 올바른 서브키를 찾아내는 방법을 제시한다.

상세 분석

본 연구는 차분 암호분석의 핵심 두 단계, 즉 “후보 서브키마다 오른쪽 페어 수를 카운트”와 “가장 큰 카운트 값을 가진 서브키를 선택”을 양자 컴퓨팅으로 가속화한다. 첫 번째 단계는 Grover‑기반 양자 카운팅(Brassard‑Høyer‑Mosca‑Tapp 알고리즘)을 활용하여, K개의 후보 서브키에 대해 각각 N개의 평문‑암호문 쌍을 검사하는 대신, 하나의 양자 회로에서 전체 후보에 대한 카운트를 동시에 수행한다. 회로는 네 개의 레지스터(R1~R4)를 사용하며, R1은 K‑차원의 균등 초위상(서브키 후보들의 슈퍼포지션), R2와 R3는 카운팅을 위한 ancilla, R4는 현재 임계값 서브키 y를 저장한다. 양자 카운팅 단계에서는 각 후보 x에 대해 “오른쪽 페어인지”를 판단하는 오라클 O2를 적용하고, 그 결과를 위상 회전으로 변환한 뒤 역 푸리에 변환을 통해 추정값 R(x)를 얻는다.

두 번째 단계는 Durr‑Høyer의 양자 최소·최대 찾기 알고리즘을 변형한 양자 최대 찾기 과정을 통해 수행된다. 오라클 O1은 현재 임계값 y와 비교해 R(x) > R(y)인 후보를 마킹하고, Grover 반복을 통해 마킹된 상태를 증폭한다. 이 과정을 반복하면서 y를 점진적으로 갱신하고, 최종적으로 가장 큰 카운트를 가진 서브키를 반환한다.

복잡도 분석에 따르면, 전체 알고리즘의 시간 복잡도는 O(√K + √N)이며, 이는 고전적인 O(K·N) 혹은 메모리‑시간 트레이드오프를 이용한 O(K + N)보다 지수적으로 우수하다. 저장 공간은 고전적인 N개의 평문‑암호문 쌍을 저장하는 O(N)와 양자 레지스터에 필요한 O(log K + log N) 정도로, 양자 레지스터 자체는 매우 적은 수의 큐비트를 요구한다. 성공 확률은 양자 카운팅의 정확도 ε와 Grover 반복 횟수에 의해 조절 가능하며, 적절한 상수 c를 선택하면 90 % 이상으로 보장된다.

하지만 논문은 몇 가지 한계도 내포한다. 첫째, 양자 회로가 실제 구현될 때 필요한 오라클 O2는 “한 라운드 부분 암호화”를 수행해야 하는데, 이는 대상 블록 암호의 구조에 따라 복잡도가 크게 달라질 수 있다. 둘째, N개의 평문‑암호문 쌍을 미리 확보해야 하는 전제조건이 있으며, 이는 실제 공격 시 채널 접근성에 따라 제한될 수 있다. 셋째, 양자 오류와 디코히런스가 회로 깊이에 비례해 누적되므로, 현재의 NISQ 디바이스에서는 실용적인 규모의 K와 N에 대해 충분히 동작하기 어려울 가능성이 있다. 그럼에도 불구하고, 차분 암호분석이라는 구체적인 암호학적 공격에 양자 알고리즘을 적용한 최초 사례로서, 양자 병렬성·양자 카운팅·양자 최대 찾기의 결합이 암호 분석에 어떤 시너지를 낼 수 있는지를 명확히 보여준다.