양자 개인 정보 검색 서브선형 통신 복잡도 달성

초록

본 논문은 단일 서버 환경에서 정보이론적 프라이버시를 보장하면서, 데이터베이스 크기 n에 대해 O(√n) 쿼벳의 통신량만으로 원하는 아이템을 회수할 수 있는 양자 프로토콜을 제시한다. 기존 고전적 방법이 Ω(n) 비트를 필요로 하는 것과 대조적이다.

상세 분석

이 연구는 양자 정보 이론과 통신 복잡도 이론을 결합해, 기존 두 메시지 양자 PIR 프로토콜이 반드시 선형 통신량을 요구한다는 결과(Kerenidis‑de Wolf, 2004)를 뛰어넘는다. 핵심은 세 번의 교환으로 구성된 프로토콜이다. 서버는 데이터베이스 A = (a₁,…,a_ℓ) 를 r‑비트 문자열 집합 Σ^ℓ 에 매핑하고, 사용자 인덱스 i 에 대해 특수한 초공간 상태 |Φ_{A,i}⟩ = (1/√2^r)∑{x∈Σ}|x⟩R|x⟩{R’}∏{k=1}^{ℓ}|x·a_k⟩_{Q_k} 를 준비한다. 여기서 · 는 비트 내적, ⊕ 는 XOR를 의미한다. 첫 번째 메시지에서 서버는 레지스터 R’ 와 모든 Q_k (1≤k≤ℓ)를 사용자에게 전송한다. 사용자는 목표 인덱스 i 에 해당하는 Q_i 에 파울리 Z 연산을 적용해 비트 a_i 의 부호를 뒤집고, 다시 모든 Q_k 를 서버에 반환한다. 두 번째 단계에서 서버는 각 Q_k 와 자신의 레지스터 R 에 대해 U(R,Q_k)^{a_k} 연산을 수행해 R 에 a_k 와 연관된 위상을 삽입한다. 마지막으로 서버는 R 를 사용자에게 보내고, 사용자는 CNOT(R,R’) 후 QFT 를 적용해 R 를 측정함으로써 정확히 a_i 를 복원한다.

정확성은 단계 2 후 상태가 (−1)^{x·a_i}|x⟩R|x⟩{R’}… 형태가 되고, 단계 4 에서 QFT와 CNOT이 위상을 소거해 |a_i⟩_R 를 얻는 것으로 증명된다. 프라이버시 측면에서는 서버가 관찰할 수 있는 것은 R, Q₁,…,Q_ℓ 의 부분밀도행렬이며, R’ 를 트레이스 아웃하면 인덱스 i 에 대한 어떠한 정보도 남지 않는다. 이는 서버가 프로토콜을 정확히 따를 경우에만 성립한다는 가정 하에, 즉 ‘honest‑but‑curious’ 모델을 전제로 한다.

통신량은 첫 번째 메시지에서 (ℓ+r) 쿼벳, 두 번째에서 ℓ 쿼벳, 세 번째에서 r 쿼벳을 전송하므로 총 2ℓ+2r 쿼벳이다. 데이터베이스 전체 비트 수는 ℓ·r 이므로, ℓ≈r인 경우 O(√(ℓ·r)) = O(√n) 에 해당한다. 일반적인 n 에 대해서는 데이터베이스를 √(ℓ·r) 크기의 블록으로 나누어 블록 인덱스를 먼저 회수하고, 그 블록 내부에서 위 프로토콜을 재귀적으로 적용함으로써 언제든 O(√n) 통신량을 달성한다.

이 프로토콜은 양자 얽힘과 푸리에 변환을 이용해 사용자의 선택을 ‘위상’에 은닉함으로써 프라이버시를 보장한다는 점에서 혁신적이다. 그러나 서버가 악의적으로 상태를 변조하거나, 중간에 메시지를 변조하면 프라이버시가 깨질 수 있다는 한계가 명시된다. 또한, 실제 구현을 위해서는 대규모 양자 레지스터와 정확한 QFT가 필요하므로 현재 기술 수준에서는 실용화가 어려울 수 있다.