머클 키 합의 프로토콜은 최적이다

본 논문은 “Merkle’s Key Agreement Protocol is Optimal: An O(n²) Attack on any Key Agreement from Random Oracles”라는 제목으로, 랜덤 오라클 모델에서 키 합의 프로토콜의 보안 한계를 새롭게 정의한다. 서론에서는 1970년대 초반 Diffie‑Hellman, Merkle가 제시한 초기 키 교환 아이디어와 Merkle가 1974년에 고안한 퍼즐 기반 프로토콜을 소개한다. Merkle 프로토콜은 각 당사자가 10n개의 무작위 입력을 해시하고, 서로 교차하는 해시값을 찾아 비밀키를 공유하는 구조이며, 정당 사용자는 O(n) 질의로 키를 얻지만 공격자는 전체 입력 공간을 탐색해야 하므로 O(n²) 질의가 필요하다는 직관적 보안성을 가진다. 이후 기존 연구인 Impagliazzo‑Rudich(1989)의 Õ(n⁶) 공격을 요약하고, 그 한계와 “키 합의 프로토콜에 대한 최적의 블랙‑박스 하한”이라는 오픈 질문을 제시한다. 저자들은 이 질문에 답하기 위해 두 가지 주요 기여를 제시한다. 첫 번째는 Theorem 1.2(주요 정리)로, 양당사자가 각각 최대 n 번의 오라클 질의를 수행하는 모든 키 합의 프로토콜에 대해, 공격자 Eve가 O(n²/δ²) 질의만으로 두 당사자의 출력이 일치할 확률을 ρ−δ 이상으로 만들 수 있음을 증명한다. 여기서 ρ는 정당 프로토콜이 성공할 확률, δ는 허용 오차이다. 두 번째는 Theorem 1.3(시야 거의 독립성)으로, 공격자가 진행 중에도 Alice와 Bob의 내부 시야가 거의 독립적인 상태를 유지함을 보인다. 이는 공격자가 추가 정보를 얻지 못하게 하여, 분석을 단순화하고 O(n²) 상한을 강력히 뒷받침한다. 증명은 크게 네 단계로 구성된다. 1) 기본 정의와 통계적 거리 개념을 정리하고, Alice와 Bob의 질의 집합을 각각 Q_A, Q_B라 정의한다. 2) Eve의 알고리즘을 설계한다. Eve는 먼저 Alice와 Bob이 보낸 메시를 수집하고, 각 메시에 대응하는 해시값을 기록한다. 이후 이중 루프를 통해 Q_A와 Q_B 사이의 교차점을 탐색한다. 교차점이 발견되면 해당 입력값을 역추적해 비밀키를 복원한다. 3) 교차점 존재성을 Lemma 3.6으로 보이며, 이는 랜덤 오라클의 충돌 확률과 질의 수에 기반한 조합론적 분석이다. 4) 그래프 특성화 Lemma 3.8을 통해 교차점 탐색을 이분 매칭 문제로 변환하고, 최대 매칭을 찾는 알고리즘이 O(n²) 시간 내에 수행됨을 보인다. 또한 논문은 “시야 거의 독립성”을 보이는 Lemma 3.4와 Lemma 3.5를 통해, Eve가 질의를 진행하면서 Alice와 Bob의 시야가 서로 거의 독립적인 확률분포를 유지함을 증명한다. 이는 공격자가 중간에 얻는 정보가 두 당사자 사이의 상관관계를 크게 바꾸지 않음을 의미한다. 섹션 4에서는 두 가지 확장을 논의한다. 첫째, “시야 거의 독립” 조건을 완화해, 당사자들의 질의가 약간 의존적이더라도 동일한 O(n²) 공격이 가능함을 보인다. 둘째, “합리성 조건”(즉, 당사자들이 질의를 무작위로 선택한다는 가정)을 제거하고, 보다 일반적인 질의 분포에서도 공격이 유효함을 증명한다. 관련 연구에서는 양자 공격에 대한 논의도 포함한다. Grover 검색을 이용하면 양자 공격자는 O(n) 질의로 동일한 목표를 달성할 수 있다. Brassard‑Salvail, BHK+ 등은 양자 버전의 Merkle 퍼즐을 제시했으며, 이는 n^{3/2} 수준의 초선형 보안을 제공한다. 그러나 본 논문의 결과는 고전적 공격에 대한 최적 하한을 확립함으로써, 양자 모델에서도 동일한 구조적 한계가 존재함을 시사한다. 마지막으로, 저자들은 본 결과가 블랙‑박스 분리 이론에 미치는 의미를 강조한다. Impagliazzo‑Rudich의 오라클 분리와 달리, 이번 연구는 O(n²)라는 정확한 다항식 차이를 제시함으로써, 랜덤 오라클 기반 키 합의 프로토콜이 더 이상 초다항식 보안을 제공할 수 없음을 명확히 한다. 또한, 향후 연구 과제로는 O(n) 라운드·O(n²) 질의 공격의 라운드 복잡성을 최소화하거나, 새로운 가정 하에서 초다항식 보안을 달성할 수 있는 프로토콜을 찾는 것이 제시된다.