양자 영구 인증 영지식 증명: CRS와 공유 EPR 모델에서의 새로운 CE‑NIZK 설계

초록

본 논문은 NP에 대한 비대화식 영지식 증명(NIZK)에서 통계적 사운드니스, 계산적 영지식, 그리고 인증‑영구 영지식(CE‑ZK) 세 가지 보안을 동시에 만족하는 프로토콜을 제시한다. CRS 모델에서는 LWE 기반의 양자‑안전 NIZK와 일방향 함수(OWF)를 블랙박스 방식으로 활용해 CE‑NIZK를 구축하고, 공유 EPR 모델에서는 통계적 바인딩 히든‑비트 생성기를 이용해 단일 큐비트 측정만으로 구현 가능한 효율적인 CE‑NIZK를 제안한다. 또한 기존 인터랙티브 CE‑ZK 프로토콜을 일반화하려는 시도가 불가능함을 보이는 ‘삭제‑저항성’ 장벽을 식별한다.

상세 분석

이 논문은 기존 NIZK 연구에서 흔히 마주치는 두 가지 트레이드오프—통계적 사운드니스와 통계적 영지식—를 동시에 만족시키는 동시에, 양자 환경에서 검증자가 증명을 ‘삭제’하고 그 삭제를 인증할 수 있는 새로운 보안 개념인 인증‑영구 영지식(CE‑ZK)을 도입한다. CE‑ZK는 검증자가 증명 상태를 완전히 소멸시켰음을 증명하는 ‘삭제 인증서’를 제공하도록 요구한다. 인증서가 유효하면 검증자의 남은 양자 상태는 오직 명제만을 가지고도 통계적으로 구분 불가능하게 시뮬레이션될 수 있다.

첫 번째 주요 기여는 CRS 모델에서 CE‑NIZK를 구현하려는 자연스러운 접근법이 ‘삭제‑저항성 CE‑NIZK’라는 클래스에 속한다는 것을 보이고, 이러한 클래스가 존재한다면 통계적 사운드니스와 통계적 영지식을 동시에 만족하는 NIZK가 존재하게 되어 알려진 불가능 결과와 충돌함을 증명한다. 즉, 기존 인터랙티브 CE‑ZK 프로토콜을 단순히 비대화식으로 변환하는 것은 근본적으로 막힌다.

이 장벽을 우회하기 위해 저자들은 두 단계의 양자‑안전 NIZK를 중첩(superposition)하는 새로운 설계를 제시한다. 첫 번째 단계는 기존의 양자‑안전 NIZK(정의 3.6)로, 이는 LWE 기반의 최신 NIZK와 동등한 보안을 제공한다. 두 번째 단계는 ‘OR‑proof’와 4‑슬롯 기술을 이용해 두 증명을 결합하고, BB84 상태에 대한 인증‑삭제 정리를 적용한다. 결과적으로, LWE의 다항식 난이도와 일방향 함수만을 가정으로 CRS 모델에서 CE‑NIZK를 구현한다.

두 번째 주요 기여는 공유 EPR 모델에서 장벽이 사라진다는 점을 발견한 것이다. 여기서는 프로버와 검증자가 사전 공유된 EPR 쌍의 절반씩을 보유한다. 저자들은 히든‑비트 생성기(paradigm)와 결합해, 통계적 바인딩 히든‑비트를 생성할 수 있는 어떠한 구성도 CE‑NIZK로 변환 가능함을 보인다. LWE 기반 히든‑비트 생성기를 사용하면, 프로토콜은 오직 공유된 EPR 쌍에 대한 단일 큐비트 측정(두 개의 베이스 중 하나)만을 필요로 하며, 나머지는 전통적인 고전 연산으로 처리된다. 이는 양자 연산 비용을 크게 낮추면서도 동일한 보안 수준을 유지한다는 점에서 실용적이다.

또한 논문은 CE‑NIZK와 기존의 ‘클론 방지’ NIZK, ‘인증 삭제’ NIZK, ‘인증 부인 가능’ NIZK 등 다양한 양자‑특화 영지식 개념들을 체계적으로 구분하고, 각각이 요구하는 가정과 모델 차이를 명확히 한다. 마지막으로, 공개키 양자 화폐와 연관된 강력한 가정(iO) 없이도 LWE만으로 CE‑NIZK를 구현할 수 있음을 강조하며, 향후 연구 방향으로 다중 검증자 시나리오, 효율적인 CRS 재생성, 그리고 실험적 구현 가능성을 제시한다.