양자 상태 서명은 불가능 양자 사인암호는 가능

초록

이 논문은 양자 상태에 대한 디지털 서명의 근본적인 불가능성을 증명하고, 대신 공개키 기반 양자 사인암호(quantum signcryption)라는 새로운 개념을 제안한다. 기존의 서명 불가능 결과를 일반화하여 “정확성만 만족하면 보안은 거의 불가능”함을 보이고, 서명 대신 암호화와 서명을 결합한 양자 사인암호가 기존 클래식 보안 수준을 유지하면서 구현 가능함을 증명한다. 또한 고전‑양자 하이브리드 구조를 이용해 다양한 암호학적 목표(인증 암호, CCA 보안 등)를 달성하는 일반적인 변환 방법을 제시한다.

상세 분석

본 논문은 먼저 양자 디지털 서명(QS)의 정의를 가능한 가장 넓은 형태로 설정한다. 서명 알고리즘 Sign과 검증 알고리즘 Ver을 양자 다항시간(QPT) 알고리즘으로 두고, “정확성”을 임의의 양자 채널 N에 대해 Ver∘Sign≈N(즉, 검증 후 원본 상태를 거의 복원)으로 정의한다. 여기서 중요한 점은 양자 상태는 복제 불가능성(no‑cloning) 때문에 전통적인 “서명은 메시지와 별도”라는 개념을 포기하고, 검증 단계에서 일부 혹은 전체 메시지를 복원하도록 요구한다는 것이다.

첫 번째 주요 결과는 Theorem 1.2(비공식)으로, 완전한 정확성을 만족하는 모든 QS는 실질적으로 보안이 없음을 보인다. 구체적으로, 정확한 QS는 어떤 두‑결과 측정 M에 대해서도 “1‑시간 보안”을 거의 만족하지 못한다(성공 확률이 1‑negl). 더 나아가, 두 개의 측정 {M₀,M₁}에 대해 ε‑one‑time 보안을 만족하려면 두 측정이 거의 커뮤팅해야 함을 증명한다. 이는 양자 서명이 결국 고전적인 측정 결과, 즉 클래식 비트만을 서명할 수 있음을 의미한다. 증명은 Barnum 등(2002)의 불가능성 결과를 일반화한 것으로, Stinespring dilation과 채널 근사화 기법을 활용해 키‑의존적인 공격을 구성한다.

두 번째 주요 기여는 양자 사인암호(QSC)의 정의와 보안 모델이다. QSC는 (sdk, vek) 쌍을 이용해 SignEnc(sdk_S, vek_R)와 VerifyDec(vek_S, sdk_R)라는 두 단계 프로세스를 제공한다. 여기서 SignEnc은 송신자의 비밀키와 수신자의 공개키를 동시에 사용해 양자 상태를 암호화·서명하고, VerifyDec은 수신자의 비밀키와 송신자의 공개키로 복호화·검증한다. 중요한 점은 QSC가 “외부자 보안”(sender와 receiver 모두 비밀키를 보관)과 “내부자 보안”(한쪽 비밀키가 유출되어도 다른 쪽의 보안은 유지) 두 가지 시나리오를 모두 정의한다. 외부자 보안은 실제/이상 실험(real/ideal) 프레임워크를 차용해, 공격자가 인증된 복호화 과정을 통해 얻을 수 있는 정보가 최대한 제한됨을 보인다. 내부자 보안은 QIND‑CCA2 보안을 요구하며, 이는 공개키 암호화 스킴이 CCA2 안전성을 가져야 함을 의미한다.

구현 측면에서 저자들은 고전‑양자 하이브리드 변환 Π_Hyb