오늘날 '암호화 관련 양자 컴퓨터(CRQC)'가 언제 탄생할지에 대한 예측은 지나치게 공격적이고 과장된 경우가 많아 양자 이후 암호화로의 즉각적이고 완전한 전환을 요구하는 목소리로 이어졌습니다. 이로 인해 포스트퀀텀 암호화로의 즉각적이고 포괄적인 마이그레이션을 요구하는 목소리가 커지고 있습니다.
>
그러나 이러한 요구는 조기 마이그레이션의 비용과 위험은 물론 다양한 암호화 기본 요소의 매우 다른 위험 속성을 무시하는 경향이 있습니다.
양자 이후 암호화(포스트퀀텀 암호화)는 비용이 많이 들지만 즉시 배포해야 합니다: "선 인터셉트, 후 해독"(HNDL). 공격이 이미 발생하고 있습니다. 현재 암호화된 민감한 데이터는 수십 년 후 양자 컴퓨터가 등장하더라도 여전히 가치가 있을 수 있습니다. 포스트-퀀텀 암호화를 구현하는 데는 성능 오버헤드와 구현 위험이 따르지만, 장기간 비밀로 유지해야 하는 데이터는 HNDL 공격에 직면하면 선택의 여지가 없습니다.
포스트퀀텀 서명은 완전히 다른 계산 로직이 적용되므로 HNDL 공격에 취약하지 않습니다. 또한 포스트 퀀텀 서명의 비용과 위험(더 큰 크기, 성능 저하, 미숙함, 잠재적 버그)으로 인해 성급한 마이그레이션 전략보다는 신중한 마이그레이션 전략이 필요합니다.
이러한 구분을 명확히 하는 것이 중요합니다. 오해는 비용 대비 편익 분석을 왜곡하고 코드 버그와 같은 더 치명적인 보안 위험을 간과하게 만들 수 있습니다.
포스트 양자 암호화로 마이그레이션할 때 진정한 과제는 긴박감을 실제 위협과 일치시키는 것입니다. 다음 글에서는 암호화, 서명, 영지식 증명(특히 블록체인에 미치는 영향)을 다룸으로써 양자 위협에 대한 일반적인 오해를 바로잡을 것입니다.
우리는 양자 위협으로부터 얼마나 멀리 떨어져 있나요?
모든 과대 광고에도 불구하고 2020년대에 "암호학적으로 관련성이 있는 양자 컴퓨터(CRQC)"가 등장할 가능성은 매우 희박합니다.
"CRQC"란 타원 곡선 암호화 또는 RSA를 공격할 수 있는 합리적인 시간 내에 쇼의 알고리즘을 실행할 수 있을 만큼 충분히 큰 내결함성, 오류 수정 양자 컴퓨터를 의미합니다(예: 한 달 이내에 secp256k를 깨는 데 한 달 이내). secp256k1 또는 RSA-2048을 해독하는 데 1개월).
공개된 마일스톤과 리소스 추정치를 합리적으로 읽어보면 그러한 기계를 구축하기에는 아직 멀었습니다. 일부 기업에서는 2030년 또는 2035년까지 CRQC가 출시될 수 있다고 주장했지만, 지금까지 공개된 진행 상황은 이러한 주장을 뒷받침하지 못합니다.
이온 트랩, 초전도 양자 비트, 중성 원자 시스템 등 현재의 모든 기술 아키텍처를 객관적으로 볼 때, 쇼의 알고리즘을 실행하는 데 필요한 수만 개의 플랫폼에 근접한 플랫폼은 현재 존재하지 않습니다. 쇼의 알고리즘을 실행하는 데 필요한 수십만에서 수백만 개의 물리적 양자 비트(오류율과 오류 수정 체계에 따라 다름)를 처리할 수 있는 플랫폼은 없습니다.
퀀텀 비트의 수뿐만 아니라 게이트 충실도, 양자 비트 연결성, 심층 양자 알고리즘을 실행하는 데 필요한 지속적인 오류 수정 회로의 깊이도 제한 요소입니다. 일부 시스템은 현재 1,000개 이상의 물리적 양자 비트를 보유하고 있지만, 이러한 시스템은 암호화 관련 연산을 수행하는 데 필요한 연결성과 충실도가 부족하기 때문에 숫자만 보는 것은 매우 기만적입니다.
최근의 시스템은 물리적 오류율 측면에서 양자 오류 수정이 시작되는 임계값에 근접하기 시작했지만, 쇼의 알고리즘을 실행하는 데 실제로 필요한 것은 말할 것도 없고 지속적인 오류 수정 회로 깊이 ...... 를 갖춘 논리적 양자 비트 몇 개 이상을 시연하는 데 성공한 사람은 아무도 없습니다. Shor 알고리즘을 실행하는 데 실제로 필요한 수천 개의 고충실도, 심층 회로, 오류 내성 논리 양자 비트는 말할 것도 없습니다. "양자 오류 수정이 원칙적으로 작동한다는 것을 증명하는 것"과 "암호 분석에 필요한 규모를 달성하는 것" 사이에는 여전히 큰 격차가 있습니다.
요약하자면, 양자 비트의 수와 충실도가 몇 배로 증가하지 않는 한, CRQC는 여전히 도달할 수 없는 수준에 머물러 있을 것입니다.
그러나 기업 홍보 자료와 언론 보도로 인해 혼동하기 쉽습니다. 다음은 몇 가지 일반적인 오해의 원인입니다.
"양자 우월성"을 주장하는 시연: 이러한 시연은 "양자 우월성"을 주장합니다. "데모": 이러한 데모는 현재 인간이 설계한 과제를 대상으로 합니다. 이러한 작업은 실용적이기 때문이 아니라 기존 하드웨어에서 실행할 수 있고 엄청난 양자 속도 향상을 보여주기 때문에 선택된 것으로, 발표에서 종종 간과되는 부분입니다.
수천 개의 물리적 양자 비트를 보유하고 있다고 주장하는 기업: 이는 일반적으로 공개 키 암호화를 공격하기 위해 Shor의 알고리즘을 실행하는 데 필요한 게이트 모델 머신이 아닌 양자 분석기를 의미합니다.
"논리적 양자 비트"라는 용어의 오용: Shor와 같은 양자 알고리즘은 수천 개의 안정적인 논리적 양자 비트를 필요로 합니다. 양자 오류 수정 기능을 사용하면 수백에서 수천 개의 물리적 양자 비트로 논리적 양자 비트를 구현할 수 있습니다. 하지만 일부 기업들은 이 용어를 터무니없이 남용하고 있습니다. 예를 들어, 최근 한 발표에서는 논리적 양자 비트당 단 2개의 물리적 양자 비트를 사용해 48개의 논리적 양자 비트를 구현한다고 주장했습니다. 이 낮은 중복성 코드는 오류를 감지할 수 있을 뿐 오류를 수정할 수는 없습니다. 암호 분석을 위한 진정한 내결함성 논리적 양자 비트는 각각 수백에서 수천 개의 물리적 양자 비트가 필요합니다.
정의: 많은 로드맵에서는 클리포드 연산만 지원하는 양자 비트를 지칭하기 위해 "논리적 양자 비트"라는 용어를 사용합니다. 이러한 연산은 기존 컴퓨터로 효율적으로 시뮬레이션할 수 있으므로 쇼의 알고리즘을 실행하기에 충분하지 않습니다.
로드맵의 목표가 "X년까지 수천 개의 로직 양자 비트"라고 해도 그 해에 고전 암호를 해독하기 위해 Shor의 알고리즘을 실행할 수 있을 것으로 기대한다는 의미는 아닙니다.
이러한 마케팅 전략은 다가오는 양자 위협의 규모에 대한 대중(심지어 일부 베테랑 관찰자)의 인식을 심각하게 왜곡했습니다.
그럼에도 불구하고 일부 전문가들은 하드웨어 발전 속도를 고려할 때 "다음 미국 대선까지 쇼의 알고리즘을 실행하는 내결함성 양자 컴퓨터가 나올 수 있을 것"이라고 믿는다고 최근 밝힌 스콧 애런슨은 실제로 이러한 진전에 대해 흥분하고 있습니다. ". 그러나 그는 또한 이것이 암호화를 위협할 수 있는 CRQC와는 다르다는 점을 분명히 했습니다. 내결함성 시스템에서 15 = 3 × 5를 분해하는 것만으로도 "예상되는 성공"이라는 것이죠. 이는 RSA-2048을 크래킹하는 것과는 분명히 다른 규모입니다.
사실, 15를 "분해"하는 모든 양자 실험은 완전한 내결함성 쇼 알고리즘이 아닌 단순화된 회로를 사용하는 반면, 21을 분해하려면 추가적인 힌트와 지름길이 필요합니다.
요컨대, 향후 5년 내에 RSA-2048 또는 secp256k1을 해독하는 양자 컴퓨터를 만들 수 있다는 것을 증명하는 공개적인 진전은 아직 없습니다.
10년은 여전히 매우 공격적인 예측입니다.
2035년까지 정부 시스템의 포스트퀀텀 마이그레이션을 완료하겠다는 미국 정부의 제안은 마이그레이션 프로젝트 자체의 타임라인이지 그 때까지 CRQC를 사용할 수 있을 것이라는 예측은 아닙니다
HNDL 공격은 어떤 유형의 암호화 시스템에 적용될 수 있습니까? 시스템?
"HNDL(지금 수확하고 나중에 해독)"은 공격자가 지금 암호화된 통신을 저장하고 나중에 양자 컴퓨터를 사용할 수 있게 되면 이를 해독하는 것을 의미합니다.
국가 차원의 공격자들은 향후 암호 해독을 위해 이미 미국 정부의 암호화된 통신을 대규모로 보관하고 있을 가능성이 높습니다. 따라서 특히 기밀 유지 기간이 10~50년 이상 지속되는 시나리오에서는 암호화 시스템을 즉시 마이그레이션해야 합니다.
그러나 모든 블록체인이 사용하는 디지털 서명은 암호화와는 달리 소급 공격할 기밀 정보가 없다는 점에서 다릅니다.
따라서 포스트퀀텀 서명으로 마이그레이션해야 하는 시급성은 암호화 마이그레이션보다 훨씬 적습니다.
주류 플랫폼도 이에 대응하는 전략을 채택했습니다.
Chrome과 Cloudflare는 TLS용 혼합 모드 X25519+ML-KEM을 배포했습니다.
Apple iMessage(PQ3) 및 Signal(PQXDH, SPQR)도 다음을 지원합니다. 포스트-하이브리드 양자 암호화를 배포했습니다.
그러나 중요한 웹 인프라에 포스트퀀텀 서명을 배포하는 것은 의도적으로 지연되고 있으며, 현재 포스트퀀텀 서명이 여전히 상당한 성능 저하를 겪고 있기 때문에 CRQC가 정말 가까워질 때만 이루어질 것입니다.
서명에서도 zkSNARK(영지식 간결 비대화형 지식 논증 기법)의 상황은 비슷합니다. 타원 곡선(PQ 보안이 아닌)을 사용하는 경우에도 양자 환경에서는 영지식 특성이 여전히 유지됩니다.
영 지식은 증명에 비밀 증인이 드러나지 않도록 보장하므로 공격자가 "지금 증명을 수집하고 나중에 복호화"할 수 없습니다. 따라서 zkSNARK는 HNDL 공격에 취약하지 않습니다. 현재 생성된 서명이 안전한 것처럼, 양자 컴퓨터가 등장하기 전에 생성된 모든 zkSNARK 증명은 타원 곡선 암호화를 사용하더라도 신뢰할 수 있습니다. 양자 컴퓨터가 등장한 이후에야 공격자가 허위 증명을 위조할 수 있습니다. 24시간 내내 가치가 교환되며 인류 경제의 규모를 훨씬 뛰어넘는 새로운 디지털 세상이 구축될 것입니다.
Alex
Miyuki
Anais
Weatherly
Weiliang
Joy