양자키분배 비대화형 영구 보안과 계산적 얽힘 단일성

초록

본 논문은 포스트-양자 고전 비대화형 키 교환(NIKE)을 이용해, 한 번의 동시 메시지 교환만으로 영구적인 보안을 제공하는 비대화형 양자키분배(QKD) 프로토콜을 제안한다. 핵심은 기준 비트 문자열을 계산적으로 숨기는 “계산적 얽힘 단일성 게임”의 승률을 무시할 만큼 낮게 보이는 정리를 증명하는 것이다. 또한 얽힘 없이는 비대화형 QKD가 불가능함을 보여주는 불가능성 정리를 제시한다.

상세 분석

이 논문은 기존 QKD가 최소 2라운드(3메시지) 통신을 필요로 하는 점을 극복하고, 완전 비대화형(동시 메시지 한 라운드) 형태로 영구 보안을 달성하려는 시도이다. 이를 위해 저자들은 두 단계로 접근한다. 첫 번째는 “계산적 얽힘 단일성 게임”을 정의하고, 그 승률이 폴리노미얼 보안 파라미터에 대해 무시할 정도로 작다는 정리를 증명한다. 기존의 얽힘 단일성 게임은 기준 비트 문자열 θ가 정보이론적으로 완전히 숨겨져 있을 때만 적용되었지만, 여기서는 θ가 효율적인 알고리즘에 대해서만 숨겨져 있음을 가정한다. 즉, (p,θ)와 (p,θ*) (θ는 균등 무작위) 사이의 분포가 효율적으로 구별되지 않는다는 전제 하에, Alice·Bob·Charlie가 사전 준비 단계에서 효율적인 양자 연산을 수행하고, 이후 Alice와 Bob이 θ-기준으로 측정했을 때 Charlie가 동일한 결과를 얻을 확률이 2^{-Ω(√n)} 이하가 됨을 보인다. 핵심 아이디어는 상태를 √n 크기의 블록으로 나누어, 블록당 최소 하나의 EPR 쌍이 존재하면 Charlie의 성공 확률이 지수적으로 감소한다는 점이다. 또한, θ가 실제로는 p에 의해 결정되지만, 이를 균등 무작위 θ와 구별할 수 없으므로 Alice·Bob이 서로 다른 기준을 사용할 확률도 무시할 만큼 작다.

두 번째 단계에서는 위의 게임 분석을 QKD 프로토콜에 적용한다. 포스트-양자 NIKE를 이용해 공유 비밀 p와 기준 문자열 θ를 생성하고, Alice가 n개의 EPR 쌍을 준비해 Bob에게 반쪽을 전송한다. Bob도 자신의 공개키를 보내고, 양측은 NIKE의 공유 비밀을 이용해 동일한 θ를 복원한다. 이후 각자는 θ에 따라 표준 또는 Hadamard 기저로 측정해 키 K_A, K_B를 얻는다. NIKE가 계산적으로 안전하므로, 실행 중 공격자는 효율적인 양자 연산만 가능하고, 이후 무제한 계산을 할 수 있다. 공격자는 Charlie 역할을 수행하지만, 앞서 증명한 계산적 얽힘 단일성 정리 때문에 K_A=K_B=K_E (공격자)의 경우가 무시할 정도로 희박하다. 따라서 공격자는 키를 추정할 확률이 negligible이며, 이는 “약한 영구 보안”(Alice·Bob이 같은 키를 공유했을 때만 보장)으로 정의된다.

또한 저자들은 이 프로토콜을 두 라운드(두 번의 동시 메시지) 형태로 확장해, 키 일치 여부를 해시값으로 검증하고, 최종 키를 양자 난수 추출기로 정제함으로써 표준 영구 보안(키가 무작위와 구별 불가)까지 달성한다.

마지막으로 “억양이 없는 비대화형 QKD는 불가능”이라는 불가능성 정리를 증명한다. 얽힘이 전혀 없는 경우, Alice·Bob의 측정 결과는 순전히 그들의 고전 난수에 의존하므로, 공격자는 양측의 메시지를 가로채고 다중 시뮬레이션을 통해 가능한 키들을 모두 계산해낼 수 있다. 측정이 비파괴적이므로 공격자는 후에 무제한 계산을 통해 정확히 키를 복원한다. 따라서 얽힘은 비대화형 영구 보안을 위해 필수적이다.

이 논문의 주요 기여는 (1) 계산적 얽힘 단일성 게임의 정의와 승률 상한 증명, (2) 이를 이용한 비대화형 QKD 프로토콜 설계 및 약한 영구 보안 증명, (3) 두 라운드 확장을 통한 완전 영구 보안 구현, (4) 얽힘 필요성을 입증하는 불가능성 정리이다. 실험적으로는 EPR 쌍과 표준·Hadamard 측정만 필요하므로 근시일 내 양자 하드웨어에 적용 가능성이 높다.