양자 고양이를 죽이지 않고 클래식하게 검증하기

초록

본 논문은 기존 CVQC 프로토콜이 증명자의 QMA 위증을 소모하는 문제를 해결한다. 포스트‑양자 LWE 가정 하에 단일 위증만으로도 완전에 가까운 완전도와 무시할 만큼 작은 사운드니스 오류를 달성하며, 프로토콜 종료 시 위증이 거의 원본과 동일하게 보존된다. 이를 위해 상태 보존 NP 인터랙티브 인수와 복구 모드가 가능한 이중모드 트랩도 함수를 새롭게 구성한다.

상세 분석

이 논문은 “클래식 검증 of Quantum Computation”(CVQC) 분야의 근본적인 한계를 극복한다. 기존의 Mahadev‑계열 CVQC는 증명자가 제공한 QMA 위증을 측정·소모함으로써, 반복 증명을 위해서는 위증의 다중 복제본이 필요했다. 그러나 QMA 위증은 일반적으로 복제 불가능하므로, 이 접근법은 실용적 응용에 큰 제약을 만든다. 저자들은 두 가지 핵심 기술을 도입한다. 첫 번째는 상태 보존형 NP 인터랙티브 인수이다. 전통적인 인수는 증명자가 위증을 측정하면서 사라지는 반면, 여기서는 증명자가 초기 위증의 양자 중첩 형태 ∑αw|w⟩ 를 유지하도록 설계된 프로토콜을 제공한다. 이는 LWE 기반의 커밋먼트와 영지식 증명을 결합해, 검증자가 증명자의 메시지를 받아도 위증의 확률분포가 변하지 않도록 보장한다. 두 번째는 복구 모드가 가능한 이중모드 트랩도 함수이다. 함수 f는 두 가지 모드 중 하나로 샘플링된다. 복구 모드에서는 f가 비충돌성을 갖고, 입력 상태 ∑αw|w⟩에 대해 출력 y를 측정하면 트랩도 키를 이용해 원래 양자 상태를 재구성할 수 있다. 반면 주입 모드에서는 f가 전사함수이므로 측정 결과가 단일 w로 붕괴되고, 트랩도 키로 해당 w를 복원한다. 이러한 두 모드의 전환은 증명자가 위증을 파괴하지 않으면서도 검증자가 필요한 정보를 얻을 수 있게 한다.

위 두 원시소를 조합해 저자들은 두 단계 컴파일러를 설계한다. 첫 번째 컴파일러는 임의의 비적응 CVQC(검증자의 메시지가 증명자에 의존하지 않음)을 받아, 완전도 1‑negl(λ)와 사운드니스 negl(λ)를 달성하도록 증폭한다. 핵심 아이디어는 프로토콜을 “부분적으로 위증을 보존”하도록 변형한 뒤, 남은 위증을 이용해 순차적 반복을 수행해 오류를 지수적으로 감소시키는 것이다. 두 번째 컴파일러는 완전도가 거의 1인 CVQC를 받아, 최종적으로 위증을 거의 변형 없이 반환한다. 이때 사용되는 상태 보존 NP 인수와 복구 가능한 트랩도 함수가 핵심 역할을 한다.

결과적으로, 논문은 단일 위증만으로도 (1) 거의 완벽한 완전도, (2) 무시할 만큼 작은 사운드니스, (3) 위증 보존이라는 세 가지 목표를 동시에 만족하는 CVQC 프로토콜을 제시한다. 보안 근거는 포스트‑양자 LWE 가정이며, 이는 현재 가장 신뢰받는 격자 기반 난이도 중 하나이다. 또한, 이 기술은 악의적인 검증자에 대한 위증 보존, 시간잠금 퍼즐을 이용한 증명자 보호, 그리고 최근 제안된 “증명 무침입”(Proofs of No‑Intrusion)과 같은 응용에도 직접 활용될 수 있다.