클래식 통신으로 검증하는 양자 화폐

초록

본 논문은 은행과의 고전적(클래식) 통신만으로 양자 화폐를 검증할 수 있는 새로운 스킴 Q‑Coin을 제안한다. 양자 상태 자체는 은행이 발행하지만, 검증 과정에서는 양자 채널이 전혀 필요하지 않으며, 적응형 다중 라운드 공격에도 무조건적인 보안을 제공한다.

상세 분석

이 연구는 양자 화폐 분야에서 가장 오래된 난제 중 하나인 “검증을 위해 양자 통신이 반드시 필요한가?”라는 질문에 명확한 부정답을 제시한다. 기존의 워이너(Wiesner) 방식이나 그 후속 연구들은 검증 단계에서 코인을 은행에 반환하거나, 최소한 양자 채널을 통해 은행과 상호작용해야 했다. 이는 실제 금융 인프라에 적용하기 어렵고, 중간자 공격에 취약하다는 단점을 가지고 있었다. 저자들은 이러한 한계를 극복하기 위해 두 가지 핵심 아이디어를 결합한다. 첫째, 4‑비트 입력 x에 대해 정의된 Hidden Matching Problem(HMP₄)의 양자 상태 |α(x)⟩ᵢ를 활용한다. 이 상태는 두 개의 큐비트만으로 구성되며, 특정 질의 m∈{0,1}에 대해 측정하면 (a,b)라는 정답을 얻을 수 있다. 중요한 점은 동일한 상태를 이용해 m=0과 m=1 두 질의에 동시에 답하려 하면 성공 확률이 3/4 이하로 급격히 떨어진다는 ‘비재사용성’ 특성이다. 둘째, 은행은 코인 발행 시 k개의 독립적인 HMP₄‑state를 무작위로 선택해 종이와 결합된 양자 레지스터에 저장하고, 각 레지스터마다 사용 여부를 표시하는 k‑비트 클래식 레지스터 P를 부착한다. 검증 시 은행은 무작위로 t개의 인덱스 집합 L을 선택해 홀더에게 전송하고, 홀더는 해당 인덱스에 해당하는 레지스터를 측정해 얻은 (a,b)쌍을 은행에 보고한다. 은행은 사전에 정의된 관계식에 따라 정답 여부를 판단한다. 이 과정에서 은행과 홀더 사이의 통신은 순수히 클래식 메시지만으로 이루어지며, 양자 상태 자체는 은행에 반환되지 않는다. 보안 증명은 크게 두 부분으로 나뉜다. 첫 번째는 ‘카운터피팅’ 공격에 대한 저항성이다. HMP₄‑state의 비재사용성 덕분에 적어도 1/4 이상의 오류 확률이 존재하므로, 다수의 시도(다중 라운드) 후에도 성공 확률은 지수적으로 감소한다. 두 번째는 적응형 공격에 대한 저항성이다. 공격자는 이전 라운드의 은행 응답을 이용해 다음 라운드의 질의를 설계할 수 있지만, 각 라운드에서 선택되는 인덱스 집합 L이 은행에 의해 완전히 무작위로 결정되므로, 공격자는 사전에 어떤 레지스터가 사용될지 알 수 없다. 따라서 전체 코인의 복제 성공 확률은 2^{-Ω(k)} 수준으로 억제된다. 또한, 은행 데이터베이스가 정적이며, 여러 검증 지점이 독립적으로 운영될 수 있다는 점은 실제 배포 시 확장성을 크게 높인다. 논문은 이와 같은 구조를 바탕으로 정리된 정리 5.1, 5.2, 6.1 등을 통해 코인의 복제 난이도가 지수적이며, 검증 횟수와 저장 공간 사이의 트레이드오프가 최적임을 수학적으로 증명한다. 전체적으로 이 스킴은 양자 화폐의 실용성을 크게 향상시키는 동시에, 기존에 알려진 모든 보안 모델(비적응형, 적응형, 무제한 계산 능력)에서 강력한 보장을 제공한다는 점에서 혁신적이다.