검수요청.png검수요청.png

"양자키분배"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
잔글
 
(같은 사용자의 중간 판 20개는 보이지 않습니다)
1번째 줄: 1번째 줄:
'''양자키분배'''<!--양자키 분배, 양자 키 분배-->(Quantum Key Distribution)란 안전한 양자 통신을 위해 키를 분배하고 관리하는 기술이다. 양자 암호 키 분배라고도 부른다. [[양자암호통신]]지칭하는 말이기도 하다.  
+
'''양자키분배'''<!--양자키 분배, 양자 키 분배-->(Quantum Key Distribution)란 안전한 [[양자통신]]을 위해 키를 분배하고 관리하는 기술이다. 양자 암호 키 분배라고도 부른다. [[양자암호통신]] 기술을 지칭하는 말이기도 하다.  
  
 
== 개요 ==
 
== 개요 ==
양자암호통신의 핵심은 비밀키를 통신상에서 실시간으로 안전하게 분배하는 기술이다. 여기서 비밀키를 양자의 특성을 이용해서 안전하게 분배하는 기술을 양자키분배라고 한다. 1984년, BB84 프로토콜이 등장하고 안정성과 구현 가능성 면에서 가장 강력한 프로토콜로 인정받았으며, 실제 시스템에도 채용되고 있다.<ref name='양자암호통신과 양자 키 분배'>Tyeolrik, 〈[https://tyeolrik.github.io/cryptology/2017/02/22/Cryptology-3-Quantum-Key-Distribution.html 양자암호통신과 양자 키 분배]〉, 《깃허브》, 2017-02-22</ref> 양자키분배는 안전한 통신을 위해 만들어진 암호체계로서, 1984년에 C. H. Bennett와 G. Brassard가 제안했다. 기존의 대부분의 암호체계는 대부분 수학적 복잡성에 기반하지만, 양자암호는 자연현상에 기반하는 특징을 지녀, 암호에 사용되는 원타임 패드를 생성하는 이상적인 방법의 하나이다. 통신 도중 도청자가 난입할 경우에는 정보가 왜곡되기 때문에 송수신 자가 바로 감지할 수 있고, 도청자는 절대 원하는 정보를 얻을 수 없기 때문에 절대적으로 안전하게 보안을 지킬 수 있는 대표적인 암호체계이다.<ref name='양자 키 분배 위키백과'>양자 키 분배 위키백과 - https://ko.wikipedia.org/wiki/%EC%96%91%EC%9E%90_%ED%82%A4_%EB%B6%84%EB%B0%B0</ref>
+
양자암호통신의 핵심은 비밀키를 통신상에서 실시간으로 안전하게 분배하는 기술이다. 여기서 비밀키를 양자의 특성을 이용해서 안전하게 분배하는 기술을 양자키분배라고 한다. 1984년, [[BB84 프로토콜]]이 등장하고 안정성과 구현 가능성 면에서 가장 강력한 프로토콜로 인정받았으며, 실제 시스템에도 채용되고 있다.<ref name='양자암호통신과 양자 키 분배'>Tyeolrik, 〈[https://tyeolrik.github.io/cryptology/2017/02/22/Cryptology-3-Quantum-Key-Distribution.html 양자암호통신과 양자 키 분배]〉, 《깃허브》, 2017-02-22</ref> 양자키분배는 안전한 통신을 위해 만들어진 암호체계로서, 1984년에 [[찰스 베넷]]과 [[길레스 브래서드]]가 제안했다. 기존의 대부분의 암호체계는 대부분 수학적 복잡성에 기반하지만, 양자암호는 자연현상에 기반하는 특징을 지녀, 암호에 사용되는 [[일회용 비밀번호]]를 생성하는 이상적인 방법의 하나이다. 통신 도중 도청자가 난입할 경우에는 정보가 왜곡되기 때문에 송수신 자가 바로 감지할 수 있고, 도청자는 절대 원하는 정보를 얻을 수 없기 때문에 절대적으로 안전하게 보안을 지킬 수 있는 대표적인 암호체계이다.<ref name='양자 키 분배 위키백과'>양자 키 분배 위키백과 - https://ko.wikipedia.org/wiki/%EC%96%91%EC%9E%90_%ED%82%A4_%EB%B6%84%EB%B0%B0</ref>
  
양자암호 또는 양자키분배 기술은 멀리 떨어진 두 사용자 사이에서 양자역학적으로 완전한 보안성이 보장되는 비밀 키를 분배하는 기술로, 본질적으로 통신 네트워크의 물리계층 보안 기술에 해당한다. [[BB84 프로토콜]]처럼, 일반적으로 양자암호통신에서는 양자 상태를 전송하는 양자 채널과 도청자를 포함한 외부에 완전히 공개한 고전 채널인 두 가지 통신 채널을 이용한다. 즉, 양자채널은 양자암호통신의 핵심 통신 채널이며, 양자 복제 불가능 원리로 인하여 비밀을 완벽히 유지할 수 있다. 그러나 고전 채널은 두 사람이 무작위로 선택한 기저를 공개적으로 서로 비교하거나 생성된 암호 키의 일부분을 서로 공개하고 비교하여 도청자를 탐지하기 위해 사용하는 통신 채널이다. 보통 기존의 디지털 광 전송 채널이나 무선통신 채널을 가리킨다.<ref>노태곤, 김헌오, 홍종철, 윤천주, 성건용, 정태형, 〈[양자암호통신기술]〉, 《전자통신동향분석제20권》, 2005-10</ref>
+
양자암호 또는 양자키분배 기술은 멀리 떨어진 두 사용자 사이에서 양자역학적으로 완전한 보안성이 보장되는 비밀 키를 분배하는 기술로, 본질적으로 통신 네트워크의 물리계층 보안 기술에 해당한다. BB84 프로토콜처럼 양자암호통신에서는 일반적으로 양자 상태를 전송하는 양자 채널과 도청자를 포함한 외부에 완전히 공개한 고전 채널인 두 가지 통신 채널을 이용한다. 즉, 양자채널은 양자암호통신의 핵심 통신 채널이며, 양자 복제 불가능 원리로 인하여 비밀을 완벽히 유지할 수 있다. 그러나 고전 채널은 두 사람이 무작위로 선택한 기저를 공개적으로 서로 비교하거나 생성된 암호 키의 일부분을 서로 공개하고 비교하여 도청자를 탐지하기 위해 사용하는 통신 채널이다. 보통 기존의 디지털 광 전송 채널이나 무선통신 채널을 가리킨다.
 +
 
 +
현대암호기술 중 가장 널리 그리고 많이 사용되는 암호체계 중 하나가 [[RSA]]이다. RSA 암호체계 같은 비대칭 공개키 암호체계와 달리 대칭 암호체계는 송수신자가 서로 일회용 비밀번호를 나누어 지고 이것을 암호 키로 사용하기 때문에 절대적인 안전성을 보장한다. 양자암호통신 기술, 즉 양자키분배 기술은 이러한 일회용 비밀번호를 실시간으로 주고받을 수 있도록 양자물리학 법칙에 기초해서 안전하게 분배한다. 양자암호 프로토콜과 관련된 이론 연구는 크게 두가지 영역에서 이루어진다. 하나는 전혀 새로운 양자암호 프로토콜을 창안하는 것, 다른 하나는 창안된 프로토콜의 안전성 증명에 대한 연구이다. 이 둘이 전혀 별개의 것은 아니나, 새로운 프로토콜을 제안할 때는 그 프로토콜의 안전성을 증명하는 것이 병행되어야 하고, 기존의 프로토콜에 대한 공격 방법을 제시하거나, 그 공격에 대비하여 프로토콜을 변형해서 새로운 프로토콜을 제안하는 연구도 많다.<ref name='노태곤 양자암호통신 기술'>노태곤, 김헌오, 홍종철, 윤천주, 성건용, 정태형, 〈[양자암호통신기술]〉, 《전자통신동향분석제20권》, 2005-10</ref>
 +
 
 +
== 비교 ==
 
{{다단2|
 
{{다단2|
 
;기존의 광통신을 이용한 키 분배
 
;기존의 광통신을 이용한 키 분배
18번째 줄: 22번째 줄:
 
* 도청자가 양자 상태를 측정하고 재전송하려고 시도하면 불확정성 및 복제 불가능 원리로 오류가 증폭되어 외부에서 위협을 가했다는 사실을 감지한다.<ref> 곽승환, 〈[양자키 분배기술 동향과 SK텔레콤 개발 현황]〉, 《에스케이텔레콤㈜》, 2015-06-23</ref>
 
* 도청자가 양자 상태를 측정하고 재전송하려고 시도하면 불확정성 및 복제 불가능 원리로 오류가 증폭되어 외부에서 위협을 가했다는 사실을 감지한다.<ref> 곽승환, 〈[양자키 분배기술 동향과 SK텔레콤 개발 현황]〉, 《에스케이텔레콤㈜》, 2015-06-23</ref>
 
}}
 
}}
== 원리 ==
+
 
일반적인 다른 통신은 파장이나 진폭 등으로 통신하는 반면에, 양자암호는 광자를 하나 단위로 신호를 운반한다. 광자 단위로 편광이나 위상차를 사용하여 신호를 전송하면, 송신 측에서도 편광패드나 간섭계로 측정한다. 각종 외부환경에 취약한 광자의 특성상 가용전송 거리가 매우 짧고, 보통은 이를 실용적으로 이용하기 위해 25km 정도 단위마다 중계소를 설치한 양자암호 네트워크가 있다. 각각 키는 중계소 단위로 분배된다. 현재 중계소 없이 사용할 수 있는 통신 거리는 약 140km이다.  
+
== 개념 ==
 +
일반적인 다른 통신은 파장이나 진폭 등으로 통신하는 반면에, 양자암호는 광자를 하나 단위로 신호를 운반한다. 광자 단위로 편광이나 위상차를 사용하여 신호를 전송하면, 송신 측에서도 편광패드나 간섭계로 측정한다. 각종 외부환경에 취약한 광자의 특성상 가용전송 거리가 매우 짧고, 보통은 이를 실용적으로 이용하기 위해 25km 정도 단위마다 중계소를 설치한 양자암호 네트워크가 있다. 각각 키는 중계소 단위로 분배된다. 현재 중계소 없이 사용할 수 있는 통신 거리는 약 140km이다.
 +
 
 +
다음의 BB84 프로토콜, E91 프로토콜, B92 프로토콜은 힐버트 공간의 양자계, 즉 양자비트(Qubit)를 이용한 방법들의 예시이다.  
  
 
=== BB84 프로토콜 ===
 
=== BB84 프로토콜 ===
1984년, C. H. Bennet 과 G. Brassard이 양자암호에 대한 논문을 발표하면서 같이 제안한 양자 암호통신 프로토콜이다. 송신자는 앨리스(person A), 수신자는 밥(person B)이라고 이름 붙인다. BB84 프로토콜은 앨리스와 밥 사이에서 [[OTP]]를 생성하는 프로토콜이고, 다음 표와 같이 0bit의 상태를 나타내는 편광 2가지와 1bit의 상태를 나타내는 편광 2가지를 정의하고 십자 필터와 대각필터를 통해 측정한다. 앨리스와 밥은 이 프로토콜을 통해 난수를 생성하고, 중간에 도청자인 이브가 난입해서 정보를 가로채려 해도 정확한 정보를 얻을 수 없다. 전송한 데이터를 받은 사람은 데이터가 크게 왜곡되어 도착하기 때문에 도청이 있었다는 사실을 빨리 감지할 수 있다. 다음은 BB84 프로토콜의 전체적인 흐름이다.
+
1984년, [[IBM]]의 찰스 베넷과 [[몬트리올 대학교]]의 길레스 브래서드가 양자암호에 대한 논문을 발표하면서 같이 제안한 양자 암호통신 프로토콜이다. 고안자들의 이름을 따서 BB84 프로토콜이라는 명칭으로 명명되었다. 송신자는 앨리스(person A), 수신자는 밥(person B)이라고 할 때, BB84 프로토콜은 앨리스와 밥 사이에서 일회용 비밀번호를 생성한다.
 +
 
 +
;예시 1
 +
송신자인 앨리스는 +와 ×, 두 개의 기저 중에서 무작위로 선택한다. 선택된 기저의 두 가지 암호키 값 중 하나를 임의로 고르고 밥에게 넘긴다. 양자 상태를 수신하는 밥도 두 가지 기저 중 하나를 무작위로 선택하고, 선택한 기저를 사용해서 수신된 양자 상태를 측정한다. 밥이 측정을 마치면 앨리스와 밥은 다음과 같이 인의로 선택했던 기저를 서로 공개하는데, 여기서 앨리스와 밥이 각각 선택한 기저가 같다면 두 사용자는 같은 암호 키를 획득한다. 만약 도중에 누군가 도중에 도청을 시도했다면, 양자 역학 기본 원리에 의하여 두 사용자가 얻은 암호 키 값은 오류가 생긴다. 따라서 서로에게 공개한 오류의 비율을 계산해서 도청자를 감지 할 수 있다.<ref name='노태곤 양자암호통신 기술'></ref>
 +
 
 +
:{|class=wikitable width=800 style="background-color:#ffffee"
 +
|-
 +
!align=center style="background-color:#ffffee" colspan=2|1단계: 앨리스-basis 선택
 +
!align=center style="background-color:#ffffee"|+
 +
!align=center style="background-color:#ffffee"|×
 +
!align=center style="background-color:#ffffee"|×
 +
!align=center style="background-color:#ffffee"|+
 +
!align=center style="background-color:#ffffee"|×
 +
!align=center style="background-color:#ffffee"|+
 +
!align=center style="background-color:#ffffee"|×
 +
!align=center style="background-color:#ffffee"|+
 +
|-
 +
|align=center colspan=2|2단계: 앨리스-암호 키 값 선택
 +
|align=center|1
 +
|align=center|0
 +
|align=center|1
 +
|align=center|1
 +
|align=center|0
 +
|align=center|0
 +
|align=center|0
 +
|align=center|0
 +
|-
 +
|align=center rowspan=2|이브의 도청 시도
 +
|align=center|이브-basis 선택
 +
|align=center|
 +
|align=center|
 +
|align=center|
 +
|align=center|
 +
|align=center|×
 +
|align=center|×
 +
|align=center|
 +
|align=center|
 +
|-
 +
|align=center|이브-도청한 정보
 +
|align=center|
 +
|align=center|
 +
|align=center|
 +
|align=center|
 +
|align=center|0
 +
|align=center|1
 +
|align=center|
 +
|align=center|
 +
|-
 +
|align=center colspan=2|3단계: 밥-basis 선택
 +
|align=center|+
 +
|align=center|×
 +
|align=center|+
 +
|align=center|×
 +
|align=center|×
 +
|align=center|+
 +
|align=center|+
 +
|align=center|+
 +
|-
 +
|align=center colspan=2|4단계: 밥-암호 키 값 측정
 +
|align=center|1
 +
|align=center|0
 +
|align=center|1
 +
|align=center|0
 +
|align=center|0
 +
|align=center|1
 +
|align=center|0
 +
|align=center|0
 +
|-
 +
|align=center colspan=2|5단계: Basis 비교
 +
|align=center|○
 +
|align=center|○
 +
|align=center|
 +
|align=center|
 +
|align=center style="background-color:#6688FF"|○
 +
|align=center style="background-color:#FF8866"|○
 +
|align=center|
 +
|align=center|○
 +
|}
 +
 
 +
; 예시 2
 +
다음 표와 같이 0bit의 상태를 나타내는 편광 2가지와 1bit의 상태를 나타내는 편광 2가지를 정의하고 십자 필터와 대각필터를 통해 측정한다. 앨리스와 밥은 이 프로토콜을 통해 난수를 생성하고, 중간에 도청자인 이브가 난입해서 정보를 가로채려 해도 정확한 정보를 얻을 수 없다. 전송한 데이터를 받은 사람은 데이터가 크게 왜곡되어 도착하기 때문에 도청이 있었다는 사실을 빨리 감지할 수 있다.
 
:{|class=wikitable width=200 style="background-color:#ffffee" align=right
 
:{|class=wikitable width=200 style="background-color:#ffffee" align=right
 
|-
 
|-
37번째 줄: 124번째 줄:
 
|align=center|↘
 
|align=center|↘
 
|}
 
|}
; 예시 1
 
 
# 앨리스가 임의의 비트를 생성한다
 
# 앨리스가 임의의 비트를 생성한다
 
# 비트를 전송할 편광신호로 변환하기 위해 필터를 하나 선택한다.
 
# 비트를 전송할 편광신호로 변환하기 위해 필터를 하나 선택한다.
 
# 필터에 대응되는 편광신호를 생성하고 양자채널로 보낸다
 
# 필터에 대응되는 편광신호를 생성하고 양자채널로 보낸다
 
# 밥은 측정하기 위한 편광필터를 임의로 선택한다.
 
# 밥은 측정하기 위한 편광필터를 임의로 선택한다.
#선택한 편광필터로 값을 측정하여 보관한다.
+
# 선택한 편광필터로 값을 측정하여 보관한다.
 
# 앨리스와 밥은 퍼블릭 채널을 통해 같은 필터를 사용했는지 여부를 검증한다.
 
# 앨리스와 밥은 퍼블릭 채널을 통해 같은 필터를 사용했는지 여부를 검증한다.
 
# 같은 필터를 사용한 비트에 대해서만 보관하고 서로 다른 필터를 사용한 비트는 제거한다.
 
# 같은 필터를 사용한 비트에 대해서만 보관하고 서로 다른 필터를 사용한 비트는 제거한다.
112번째 줄: 198번째 줄:
 
|align=center|1
 
|align=center|1
 
|}
 
|}
; 예시 2
+
; 예시 3
 
:{|class=wikitable width=200 style="background-color:#ffffee"
 
:{|class=wikitable width=200 style="background-color:#ffffee"
 
|-
 
|-
!align=center style="background-color:#ffffee"|비트값
+
!align=center style="background-color:#ffeecc"|비트값
!align=center style="background-color:#ffffee"|<math>\bigoplus</math>
+
!align=center style="background-color:#ffeecc"|<math>\bigoplus</math>
!align=center style="background-color:#ffffee"|<math>\bigotimes</math>
+
!align=center style="background-color:#ffeecc"|<math>\bigotimes</math>
 
|-
 
|-
 
|align=center|0
 
|align=center|0
135번째 줄: 221번째 줄:
 
# 데이터가 일치하면 일회성 패드로 사용하며, 만약 데이터가 일치하지 않는다면 도청이 있었던 것으로 간주하고 데이터를 모두 버려 다시 반복해서 일회성 패드를 생성한다.  
 
# 데이터가 일치하면 일회성 패드로 사용하며, 만약 데이터가 일치하지 않는다면 도청이 있었던 것으로 간주하고 데이터를 모두 버려 다시 반복해서 일회성 패드를 생성한다.  
 
:만약 도청자가 있다면, 양자의 특성 중 하나인 불확정성 원리 때문에 양자를 완벽히 복제하여 재전송할 수 없다. 따라서 광자의 극성이 변화하고 데이터가 변조되어 오류가 일어날 확률이 높아서 양자키분배는 도청의 여부를 확실하고 쉽게 파악할 수 있는 안전한 암호 방법이다.<ref name='양자암호통신과 양자 키 분배'></ref>
 
:만약 도청자가 있다면, 양자의 특성 중 하나인 불확정성 원리 때문에 양자를 완벽히 복제하여 재전송할 수 없다. 따라서 광자의 극성이 변화하고 데이터가 변조되어 오류가 일어날 확률이 높아서 양자키분배는 도청의 여부를 확실하고 쉽게 파악할 수 있는 안전한 암호 방법이다.<ref name='양자암호통신과 양자 키 분배'></ref>
 +
 +
=== E91 프로토콜 ===
 +
사용자가 최대 양자 얽힘 상태에 있는 입자 두 개를 하나씩 나누어 가진 후 각각의 입자를 측정하는 방법이다. 두 사용자가 두 개의 기저가 아닌 각각 세 개의 기저 중 하나를 선택해서 그 기저를 측정한다. 앨리스의 기저 세 개와 밥의 기저 세 개 중 기저 두 개는 일치하지만 남은 기저 한 가지는 서로 다르다. 따라서 두 사용자가 측정 기저가 동일해서 암호 키를 얻을 수 있는 확률은 2/9로 감소하지만, 남은 기저가 일치하지 않는 값들로부터 도청자의 존재를 감지하는 등 안전성을 평가할 수 있다. 이 안전성 평가는 '벨 부등식'을 이용한 것인데, 벨 부등식과 양자 암호에서의 안전성 사이의 관계에 대해 약간의 논쟁이 있었다.<ref name='노태곤 양자암호통신 기술'></ref>
 +
 +
=== B92 프로토콜 ===
 +
1992년 찰스 베넷은 서로 직교하지 않는 양자 상태 두 가지만 있다면 양자암호통신을 구현할 수 있다고 증명한 방법이다. 네 가지 상태를 사용하는 BB84 프로토콜과 달리 실제로 실험하기 쉬운 프로토콜로, 초기 양자 암호 실험에서 사용됐다.<ref name='노태곤 양자암호통신 기술'></ref>
 +
 +
=== 양자키분배 후처리 ===
 +
후처리(post-processing) 과정은 정보보정(information reconciliation), 비밀성 증폭(privacy amplification), 인증(authentication) 과정으로 구성된다. 도청자의 공격이나 양자 채널과 양자 검출 장치의 불완전성으로 인해 송수신 자의 암호키 사이의 불일치가 일어나는 것을 제거하는 과정이다. 송수신 자 간의 동일한 키 정보를 보장하는 동시에, 도청자에게 노출된 정보에서 키에 대한 정보를 유추하지 못하도록 노출되는 정보와 키 정보 사이의 상관관계를 최대로 낮춘다.
 +
 +
* '''정보보정'''
 +
:정보보정은 수많은 요인에 의해 발생하는 송수신 간의 정보 불일치를 해소해서 송수신이 동일한 정보를 가질 수 있도록 만드는 과정이다. 다만 미리 정보를 오류 정정을 위해 보호하는 것은 아니며, 송수신 간의 암호키 정보 전송이 끝나고 추가 정보를 전송하여 오류를 정정한다. 이때 추가 정보는 일반적인 인터넷 환경과 같은 오류율이 0인 공개 채널을 통해 전송되기 때문에, 도청자에게 일정량의 정보가 유출될 수 있는 위험성이 있다.
 +
:정보보정 프로토콜의 대표적인 예시는 [[Cascade 프로토콜]]이다. 2000년대의 정보보정 프로토콜 중에서 표준으로 여겨지는 프로토콜로, 이진 검색 알고리즘과 역 추적 알고리즘으로 구성되며 여러 단계에 걸쳐서 반복된다. 각 단계는 전체 암호키를 여러 블록으로 나눈 다음 블록마다 이진 검색을 수행한다. 그리고 패리티 정보를 송수신 자가 비교해서 블록 내의 오류를 수정한다. 이진 검색은 한 블록당 오류를 하나만 수정할 수 있기 때문에 남아있는 오류를 정정하기 위해 다음 단계로 넘어간다. 다음 단계는 암호키를 완전히 섞은 다음 블록을 이전 단계보다 두 배 크기로 나누어서 이진 검색을 진행한다. 2단계 이상부터는 이진 검색이 끝난 후에 역 추적을 수행하는데, 이진 검색으로 오류 정정을 함으로써 그 이전 단계에서는 보이지 않았던 오류를 역으로 추적하여 정정하기 위해서이다. 이 두 과정은 연쇄적으로 일어나며 오류가 더 보이지 않을 때 다음 단계로 넘어갈 수 있다. 다음 단계에서 두 알고리즘을 다시 똑같이 수행하며 오류가 더 안 나올 때 Cascade 프로토콜이 종료된다. Cascade 프로토콜은 도청자에게 노출되는 정보의 양이 이론적인 한계치에 근접한 아주 우수한 프로토콜이다. 여러 단계를 걸쳐 수행되고 지속해서 정보를 주고받기 때문에 통신이 잦다는 단점이 있다. 장시간 동안 통신을 자주 진행하는 것은 실제 시스템에서 악영향을 끼치기 때문이다. 따라서 이러한 Cascade 프로토콜의 단점을 보완하기 위해 나온 것이 [[Winnow 프로토콜]]이다.
 +
 +
:Winnow 프로토콜은 Cascade 프로토콜과 흡사하지만 이진 검색 알고리즘이 아니라 해밍부호를 이용한다. Cascade 프로토콜처럼 정보를 전부 블록 단위로 나누지만, 패리티 정보가 아닌 해밍부호의 신드롬 정보를 주고받아서 오류를 정정한다. 이진 검색 알고리즘을 활용하지 않기 때문에 송수신 간의 통신 횟수가 크게 줄기 때문에, 오류를 신속하게 정정할 수 있고 통신 채널의 부담도 감소한다. 그러나 양자 채널의 오류율이 높아질수록 도청자에게 노출되는 정보량이 Cascade 프로토콜보다 더 많아진다는 단점이 존재한다. 여기서 송수신 간의 채널 사용 횟수는 줄이고 Cascade 프로토콜과 가까운 고성능을 내기 위해 개발된 것이 LDPC 부호를 이용한 프로토콜이다.
 +
:LDPC 부호를 이용하면 송신자가 수신자에게 추가로 전송을 한 번만 해도 오류를 정정할 수 있다(단방향 통신). 이때 추가로 전송되는 정보는 패리티 검사 행렬을 통해서 생성한 신드롬 정보이고, 이 정보량은 곧 도청자에게 노출된 정보량이다. 하지만 LDPC 부호를 이용하면 다른 프로토콜과 다르게 실패할 확률이 올라간다는 단점이 있다. Winnow 프로토콜이나 Cascade 프로토콜은 정보를 오류가 모두 제거될 때까지 계속해서 정보를 주고받지만, LDPC부호를 이용하면 추가 정보를 한 번만 전송하면 끝이기 때문에 수신자는 한번 전송된 정보만을 가지고 오류를 정정해야 한다. 따라서 추가로 어떤 정보를 전송하느냐에 따라 오류 정정의 성공과 실패가 결정된다. 만약 오류를 정정하는 데 실패한다면 피드백 과정을 통해 이전의 정보량보다 더 많은 정보량을 전송하여 오류를 수정한다.
 +
 +
* '''비밀성 증폭'''
 +
:비밀성 증폭은 도청자가 가지고 있는 정보와 암호키 정보 간의 상관관계를 낮추는 과정으로, 1988년에 처음 제안되었다. 도청자가 암호키에 대해 일정량의 정보를 가지고 있다면 노출된 정보만큼 암호키 정보에서 제거하게 된다.  송수신 간에 공유된 암호키가 완벽한 비밀성을 가질 수 있도록 정제한다. 비밀성 증폭의 대표적인 방법은 [[유니버설 해싱]](Universal Hashing)이다. [[해싱]]은 문자열 같은 입력값을 가지고 작은 값을 생성하는 데 사용되고, 두 입력값이 같은 값인지 확인하는 데도 활용되었다. 따라서 [[해시함수]]는 다대일 대응이라고 볼 수 있다. 다대일 대응이기 때문에 해시함수 값들이 충돌하는 입력값도 존재한다. 이러한 해시함수 중에서 특정한 해시함수 g를 선택하기 위한 확률 알고리즘이 유니버설 해싱이다. 서로 다른 두 입력값 a와 b에 대해서 <math>g(a)=g(b)</math>일 확률이 최대 1/m이다.  따라서 이를 통해 도청자가 암호키를 예측할 수 있는 확률을 크게 낮출 수 있다. 참고로 여기에서 m은 해시함수 치역의 크기이다. 만약 서로 다른 입력값을 암호 키의 압축 전 문자열과 도청자가 추정하는 문자열이라면 해시 충동이 일어날 확률이 최대 1/m이며, 해시함수를 통해 송수신 간의 암호키 길이가 줄어들어 도청자는 거의 추정이 불가능하다.
 +
 +
* '''인증'''
 +
:인증은 양자키분배에서만 있는 특별한 과정은 아니다. 일반적으로 주변에서 볼 수 있는 대부분의 인증 과정과 비슷하다. 대체로 도청자의 중간자 공격을 막기 위해 필요한 과정으로, 중간자 공격은 송신자가 보낸 정보를 도청자가 도중에 가로채서 수신자에게 잘못된 정보를 전송하는 것을 의미한다. 따라서 수신자는 자신이 받은 정보가 정말 제대로 된 송신자에게서 전달된 것인지 확인할 필요가 있고, 이를 위해서 송신자는 미리 약속된 해시함수를 통해 암호키에 대한 해시 태그를 생성하면 암호키와 함께 전달된다. 수신자는 전달받은 암호키를 자신이 가진 해시 함수에 입력하고, 해시 태그가 송신자가 보낸 해시 태그와 일치하는지 확인함으로써 제대로 된 송신자인지 검사한다. 이와 같은 인증은 정보보정 과정과 비밀성 증폭 과정에서도 병행된다.<ref> 손일권, 이성훈, 박주윤, 허준, 〈[http://www.ndsl.kr/ndsl/commons/util/ndslOriginalView.do?cn=JAKO201511059258741&dbt=JAKO&koi=KISTI1.1003%2FJNL.JAKO201511059258741 양자 통신 및 양자 암호의 개요]〉, 《국가과학기술정보센터》, 2015-07-31 </ref>
 +
 +
== 기술 ==
 +
=== 양자광원 ===
 +
* '''단일광자 상태'''
 +
:BB84 프로토콜을 포함한 많은 양자암호 프로토콜들은 단일광자 상태를 사용하는 방식이다. 이상적인 단일광자 상태는 정해진 하나의 모드에 광자 하나만이 존재하는 상태를 말하는데, 이러한 단일광자 상태는 두 가지 에너지 준위만을 가진 고립된 원자 한 개를 들뜨게 했을 때 원자에서 방출되는 형광에서 얻을 수 있다. 따라서 만약 광자 검출기의 측정분해 시간보다 짧은 시간 간격 동안 원자를 들뜨게 하지 않는다면 두 번째 광자가 원자에서 방출될 확률은 없어서 광자 검출기는 한 번에 광자 한 개만 측정한다. 실제 단일광자 상태는 가변도가 평균값보다 작다. 따라서 측정된 광자 수 분포가 상대적으로 좁아서 아포아송(sub-Poisson) 분포를 보인다. 빔 분할기와 두 개의 광자 검출기를 이용해서 광자 두 개를 동시에 측정하는 상관관계 측정에서는 광자 흩어짐 효과가 나타난다. 실험으로 구현된 단일광자 광원들은 1) 단일분자를 제한적으로 들뜨게 하는 방법, 2) 다이아몬드 결정구조에 질소 원자 한 개를 치환하여 들뜨게 하는 방법, 3) 반도체 양자 우물 구조를 이용하는 방법, 4) 반도체 양자점을 이용한 방법, 5) 광학적인 매개 하향변환 과정에서 동시에 발생하는 광자 쌍 중 광자 하나를 측정했을 때 다른 광자가 단일 광자 상태에 존재하는 현상을 이용하는 조건부 단일광자 광원 등이 있다.
 +
 +
:실제로 단일광자 상태를 만들기 위해서 발생하는 문제들을 피하고자 다른 대안으로 사용되는 것이 레이저 펄스를 아주 약하게 감쇄 시켜 단일광자 상태와 유사하게 만드는 것이다. 이러한 유사 단일광자 상태는 이상적인 단일광자 상태와 통계적인 특성은 다르고 포아송 분포를 따르게 되는데, 예를 들어 평균 광자 수가 0.1인 경우에는 한 번 측정했을 때 광자 하나를 측정할 확률이 9% 정도이다. 그러나 한 개의 펄스에서 광자 두 개가 존재할 확률은 0.5%로 낮은 축에 속한다. 단일광자 상태를 사용하는 경우와 유사한 광자 통계를 나타내기 때문에 실제 양자암호 실험에서 많이 이용된다.
 +
 +
* '''양자 얽힘 상태'''
 +
:양자 얽힘 상태를 광원으로 이용하기 위해 연구되었다. 얽힘 상태는 양자역학의 가장 근본적인 특성 중 하나로, 둘 이상의 입자들이 서로 특별한 중첩된 상태에 위치하여 그 전체 상태가 개별적인 입자들의 파동함수의 곱으로 기술할 수 없는 양자 상태를 의미한다. 두 입자 얽힘 상태의 대표적인 예시는 스핀이 1/2인 한 쌍의 전자 사이에 존재하는 스핀의 비대칭 상관관계와 두 전자의 스핀상태의 중첩이다. 공간적으로 서로 멀리 떨어져 있는 두 입자는 ↑상태와 ↓상태가 서로 중첩되어 있으며, 한 입자의 스핀을 측정하여 특정한 방향으로 결정됐다면 그와 동시에 다른 입자의 스핀은 자동으로 반대 방향으로 결정된다. 이러한 양자 얽힘 상태를 생성하기 위해 1980년대 중반까지는 주로 원자의 다단천이 현상이 이용되었다. 하지만 1980년대 후반부터는 자발적인 매개 하향변환 과정에서 발생하는 광자 쌍을 이용하여 얽힘 상태를 만드는 방법이 가장 보편적인 방법이 되었다.
 +
 +
:매개 하향변환과정은 높은 진동수 또는 짧은 파장의 레이저 광을 비선형 계수를 갖는 매질에 입사시킬 때 입사하는 광자의 일부가 상대적으로 낮은 진동수를 갖는 광자 한 상으로 변환되는 과정을 의미한다. 매질에 입사하는 빛은 보통 펌프광, 상호작용에 의해 발생하는 두 광자를 하나는 시그널(signal) 광자, 하나는 아이들러(idler)  광자라고 부른다. 매개 하향변환은 비선형 매질 안에서 펌프 광자와 하향 변환된 광자 간의 에너지 보존법칙과 운동량 보존법칙을 만족할 때 효과적이다. 매개 하향변환의 광자 두 개의 편광이 동일한 상태에 있는 제1 형과 광자 두 개의 편광이 서로 직교하는 제2 형이 있다. 광자 쌍 발생방식과 간섭계를 구성하는 방법에 따라 얼마든지 다양한 형태의 양자 얽힘 상태를 구현할 수 있다.
 +
 +
=== 광자 검출기 ===
 +
양자암호통신 기술 및 양자키분배 기술을 실제로 구현하기 위해서는 성능이 매우 높은 광자 검출기가 필수적이다. 특히, 광섬유나 대기 중을 통해 단일광자 수준의 광신호를 전송하는 경우에 발생하는 광 손실은 거리에 비례해서 증가한다. 따라서 광자 검출기의 양자효율은 양자암호의 통신 거리를 제한하는 주요 인자가 되며, 여기서 양자효율은 광자 한 개가 입사하는 경우의 검출 효율이다. 이뿐만이 아니라, 광자 검출기의 양자효율과 잡음수준은 양자암호통신의 에러 발생 가능성과 직접적인 관련이 있어서, 높은 양자효율과 낮은 잡음 수준이 측정되는 광자 검출기는 양자암호통신 시스템의 성능을 좌우한다. 기존의 광통신 기술에서 사용하는 PIN 타입의 광검출기는 동작 속도가 빠르다는 장점이 있으나, 양자효율이 단일광자 수준의 광을 검출하기에는 지나치게 낮다. 따라서 양자암호통신에서는 주로 APD 타입의 광검출기를 사용한다. APD는 응답속도가 느려서 수 MHz 이상의 빠른 동작이 불가능하다는 단점이 있으나, 이러한 단점에도 불구하고 APD 타입의 광 검출기가 많이 사용된다. 이 외에도 입사하는 빛의 광자 개수를 분해할 수 있는 광자 검출기나 비선형 광학적인 방법을 사용해서 입사하는 빛의 파장을 변환하여 광자검출을 함으로써 양자효율을 개선하는 방법 등이 있다.
 +
 +
=== 양자암호통신 채널 ===
 +
양자키분배 기술은 멀리 떨어진 두 사용자 간에 양자역학적으로 완벽한 보안성을 가진 비밀 키를 분해하는 기술이다. BB84 프로토콜처럼 일반적으로 양자암호통신에서는 양자 상태를 전송하는 양자채널과 도청자를 포함한 외부에 완전히 공개된 고전 채널 두 가지 통신 채널을 사용한다. 양자채널은 양자암호통신의 핵심인 통신 채널이자, 양자 복제 불가능 원리에 의해 비밀이 완전히 유지되는 채널을 의미한다. 이에 반면, 고전 채널은 앨리스와 밥이 무작위로 선택한 기저, 또는 생성된 암호키 일부분을 서로 공개하고 비교해서 도청자를 탐지하기 위해 사용되는 통신 채널로 기존의 디지털 광 전송 채널이나 무선통신 채널을 의미한다. 양자암호통신에서의 고전 채널은 도청자가 자유롭게 도청이나 감청을 할 수 있는 채널로 간주한다. 앨리스와 밥이 서로의 기저를 비교하는 등 양자암호 키를 분배하는 데 필요하지만, 상대방이 서로 공개적으로 인증하는 기능을 위해서도 필요하다. 즉, 고전 채널이 없다면 도청자가 송수신 도중에 앨리스나 밥의 흉내를 내는 '분장 공격(impersonation attack)'에 의해 암호 키를 몰래 빼돌릴 수 있다는 뜻이다. 이처럼 고전 채널(또는 공개 채널)은 실제로 양자암호통신 시스템을 구현할 때 중요하게 고려되어야 한다.
 +
 +
양자암호 통신 채널을 물리적으로 구현하는 방법은 광섬유를 사용하는 유선 방식과 대기 중에서 암호 키를 분배하는 무선 방식으로 나뉜다. 두 방식은 서로 원리상 큰 차이가 없지만, 대기와 광섬유의 물리적인 특성이 다른 만큼 사용하는 빛의 파장 대역과 응용 분야도 서로 다르다.
 +
 +
* '''무선'''
 +
:대기 중을 통한 양자암호통신에서는 770nm 대역의 빛에서 투과 손실이 적으며, 또한 이 파장 대역에서 Si APD 광자 검출기의 양자효율도 60~70%의 고성능 보여준다. 따라서 주로 이 파장 대역을 이용하여 통신 채널을 구성한다. 대기 중을 통한 양자암호통신은 위성과 지상 간의 암호통신에도 응용할 수 있다는 것이 큰 장점이다. 하지만, 대기 중을 통한 양자암호통신 채널은 거리가 늘어난 만큼 빔이 공간적으로 퍼지는 문제와 날씨 등의 영향이 심각하여 주로 단거리 암호통신에 사용된다. 대기 중을 통한 암호통신 실험으로, 통신 거리 23.4km에서 수백 bps 정도의 키를 생성한 결과가 있다.
 +
 +
* '''유선'''
 +
:광섬유를 이용하는 방식에서는 기존의 광통신에서 표준적으로 사용되던 단일모드 광섬유를 이용하면 공간적인 모드를 아주 잘 유지할 수 있다. 또한, 1,550nm 대역에서 투과손실이 0.2dB/km 정도로 아주 낮은 편에 속하여 장거리 양자암호 채널 구현에 적합하다. 하지만 광섬유를 통해 광자를 전송할 때 발생하는 분산, 편광의 변화, PMD 등등 다양한 비선형 효과들은 양자암호통신 시스템의 성능을 저하한다. 광섬유로 전송할 때 발생하는 이러한 문제들을 극복하기 위한 다양한 연구가 진행되었다.
 +
:양자암호통신의 암호키는 빛의 편광을 이용하여 코딩하거나 주파수 코딩, 연속변수, 위상 코딩을 이용한 코딩 등 다양한 방식으로 구현할 수 있다. 빛의 편광이나 위상을 이용한 코딩은 주위 환경이나 온도 등으로 편광으로 인해 편광이나 광학적 경로가 흔들릴 수 있어서 이를 보완할 별도의 기술이 요구된다. 스위스 제네바대학교의 니콜라스 교수는 광섬유를 통한 양자키분배 시에 발생하는 편광의 변화나 경로의 흔들림을 능동 소자 없이 패러데이 거울을 이용하여 보완하는 플러그 앤드 플레이(PnP) 양자암호 기술을 개발하기도 했다.
 +
:플러그 앤드 플레이 양자암호 시스템의 동작 원리는 다음과 같다. 송수신 자를 밥과 앨리스라고 예를 들 때, 먼저 밥에게서 방출되는 강한 레이저 펄스는 빔 분할기에 의해 50대 50으로 분할된다. 분할된 레이저 펄스들은 짧은 경로와 광 위상변조기, 광지연선을 갖는 긴 경로를 거쳐 편광분할기의 출력 포트로 나온다. 편광 분할기로 출력된 펄스들은 서로 수직인 편광 성분을 가지고, 광학적 지연에 의해 시간 축 상에서 분리된다. 이 펄스들은 앨리스에게 전송되어 단일 광자 수준의 세기로 감쇄되고, 패러데이 거울에 의해서 입사 편광의 수직인 편광 성분으로 바뀌어 다시 밥에게로 돌아온다. 돌아온 두 펄스는 밥 측의 간섭계에서 원래의 경로와는 다른 경로를 거치게 되는데, 빔 분할기에 동시에 도착하여 간섭이 일어난다. 즉, 두 펄스는 패러데이 거울에 의하여 자동으로 같은 경로의 길이를 지나게 되는데, 진행할 때와 반사되어 돌아올 때 편광이 서로 수직이므로 광섬유 상에서 광 펄스가 겪는 복굴절로 인한 비선형효과가 서로 상쇄되어 안정적인 간섭을 일으킨다. 또, 암호키는 밥에서 앨리스로 갔다가 돌아오는 광 펄스들의 위상에 코딩된다. 예를 들어 BB84 프로토콜을 구현할 때, 앨리스 측의 위상 변조기를 통과하는 두 번째 펄스에 0이나 π 그리고 π/2 또는 3 π/2를 임의로 인가한다. 이러한 플러그 앤드 플레이 타입의 양자암호기술은 광섬유를 사용하는 장거리 전송에 적합하고, 많은 연구 그룹들이 실제로 구현을 하는 연구를 진행한 대표적인 양자암호구현 기술이다. 하지만 기본적으로 양방향 통신 방식이기 때문에 광 펄스가 진행할 때 생기는 레일라이 산란(Rayleigh backscattering)에 의한 에러가 심각하고, 이는 양자암호통신의 성능을 저하하는 주요 원인이 된다. 양자암호통신 채널을 구현하는 기술은 플러그 앤드 플레이 기술 외에도 다양한 기술들이 존재하며, 각 방식의 단점을 개선하기 위해 많은 연구가 진행되었다.<ref name='노태곤 양자암호통신 기술'></ref> 
  
 
== 보안성 ==
 
== 보안성 ==
141번째 줄: 277번째 줄:
  
 
=== 광자 가로채기 후 재전송 ===
 
=== 광자 가로채기 후 재전송 ===
리플레이 공격(Replay attack)은 통신 프로토콜의 약점을 이용하여 공격하는 방법의 대표적인 방법의 하나이다. 양자암호의 경우도 이러한 공격을 생각할 수 있지만, 공격자가 신호를 측정할 때 실수를 한다면 신호가 왜곡되어 정확한 정보를 측정할 수 없고, 왜곡한 신호를 통해 도청자의 존재가 발각된다. 자세히 설명하자면 다음과 같다.  
+
리플레이 공격(Replay attack)은 통신 프로토콜의 약점을 이용하여 공격하는 방법의 대표적인 방법의 하나이다. 양자암호도 이러한 공격을 생각할 수 있지만, 공격자가 신호를 측정할 때 실수를 한다면 신호가 왜곡되어 정확한 정보를 측정할 수 없고, 왜곡한 신호를 통해 도청자의 존재가 발각된다. 자세히 설명하자면 다음과 같다.  
  
 
패킷 등의 다수입자를 이용한 일반적인 통신 방법과 달리 양자암호는 양자채널에서 광자 하나하나에 신호를 부여한다. 따라서 외부의 침입자가 도청하기 위해서는 모든 단일 광자를 측정해야만 한다. 양자역학에서는 복제 불가능성 원리와 측정 후 붕괴 현상 때문에 단일 광자를 정확하게 측정할 기회가 단 한 번뿐이다. 공격자는 단 한 번의 기회에 정확한 패드를 선택해야 하는데, 둘 중 하나이므로 실패 확률은 50%에 달한다. 만약 잘못 선택했다면, 이를 우연히 정확한 비트로 선택할 확률은 50%이다. 따라서 공격자가 단일 광자에 실린 비트를 잘못 측정할 확률은 절반의 절반으로 25%가 되며, 반대로 정확하게 전송할 확률은 75%가 된다. 반면 퍼블릭 채널에서는 일반적인 방법과 동일한 도청을 할 수 있어 용이하다. 송수신 자는 퍼블릭채널을 통해 교환된 무결성을 체크하여 도청자의 존재를 알아낼 수 있다. 만약 데이터가 손상되었다면, 중간에 누군가가 신호를 왜곡했다는 증거이며 다시 말해 도청자가 존재한다고 해석할 수 있다. 도청자가 광자 하나를 정확히 측정할 확률은 75%이기 때문에 n개의 광자를 사용하는 n bit 데이터의 경우 도청자가 중간에 발견될 확률은 다음과 같다.  
 
패킷 등의 다수입자를 이용한 일반적인 통신 방법과 달리 양자암호는 양자채널에서 광자 하나하나에 신호를 부여한다. 따라서 외부의 침입자가 도청하기 위해서는 모든 단일 광자를 측정해야만 한다. 양자역학에서는 복제 불가능성 원리와 측정 후 붕괴 현상 때문에 단일 광자를 정확하게 측정할 기회가 단 한 번뿐이다. 공격자는 단 한 번의 기회에 정확한 패드를 선택해야 하는데, 둘 중 하나이므로 실패 확률은 50%에 달한다. 만약 잘못 선택했다면, 이를 우연히 정확한 비트로 선택할 확률은 50%이다. 따라서 공격자가 단일 광자에 실린 비트를 잘못 측정할 확률은 절반의 절반으로 25%가 되며, 반대로 정확하게 전송할 확률은 75%가 된다. 반면 퍼블릭 채널에서는 일반적인 방법과 동일한 도청을 할 수 있어 용이하다. 송수신 자는 퍼블릭채널을 통해 교환된 무결성을 체크하여 도청자의 존재를 알아낼 수 있다. 만약 데이터가 손상되었다면, 중간에 누군가가 신호를 왜곡했다는 증거이며 다시 말해 도청자가 존재한다고 해석할 수 있다. 도청자가 광자 하나를 정확히 측정할 확률은 75%이기 때문에 n개의 광자를 사용하는 n bit 데이터의 경우 도청자가 중간에 발견될 확률은 다음과 같다.  
147번째 줄: 283번째 줄:
 
  <math>P_{d}=1-(\frac{3}{4})^n</math>
 
  <math>P_{d}=1-(\frac{3}{4})^n</math>
  
즉, 만약 n=72bit 데이터라면 도청자가 발견될 확률은 <math> P_{d}=0.999999999에 육박한다. 그러나 모든 데이터를 교환하는 건 정보가 노출될 위험이 있기 때문에 보통은 데이터의 일부만 체크하고 도청자의 존재를 파악한다. 다음은 BB84 프로토콜에서 도청자가 중간에 난입했을 때 신호가 어떻게 전송되고 왜곡되는지를 표현한 표이다. 앞과 동일하게 앨리스는 송신자, 밥은 수신자, 이브는 도청자를 가리킨다.
+
즉, 만약 n=72bit 데이터라면 도청자가 발견될 확률은 <math> P_{d}</math>=0.999999999에 육박한다. 그러나 모든 데이터를 교환하는 건 정보가 노출될 위험이 있기 때문에 보통은 데이터의 일부만 체크하고 도청자의 존재를 파악한다. 다음은 BB84 프로토콜에서 도청자가 중간에 난입했을 때 신호가 어떻게 전송되고 왜곡되는지를 표현한 표이다. 앞과 동일하게 앨리스는 송신자, 밥은 수신자, 이브는 도청자를 가리킨다.
 
:{|class=wikitable width=800 style="background-color:#ffffee"
 
:{|class=wikitable width=800 style="background-color:#ffffee"
 
|-
 
|-
!align=center style="background-color:#ffeecc"|앨리스가 생성한 비트
+
!align=center style="background-color:#ffffee"|앨리스가 생성한 비트
!align=center style="background-color:#ffeecc"|0
+
!align=center style="background-color:#ffffee"|0
!align=center style="background-color:#ffeecc"|1
+
!align=center style="background-color:#ffffee"|1
!align=center style="background-color:#ffeecc"|1
+
!align=center style="background-color:#ffffee"|1
!align=center style="background-color:#ffeecc"|0
+
!align=center style="background-color:#ffffee"|0
!align=center style="background-color:#ffeecc"|1
+
!align=center style="background-color:#ffffee"|1
!align=center style="background-color:#ffeecc"|0
+
!align=center style="background-color:#ffffee"|0
!align=center style="background-color:#ffeecc"|0
+
!align=center style="background-color:#ffffee"|0
!align=center style="background-color:#ffeecc"|1
+
!align=center style="background-color:#ffffee"|1
 
|-
 
|-
 
|align=center|앨리스가 전송하는 편광필터
 
|align=center|앨리스가 전송하는 편광필터
246번째 줄: 382번째 줄:
 
=== 복제 불가능성 원리 ===
 
=== 복제 불가능성 원리 ===
 
양자암호의 제일 큰 보안성은 측정이 한 번만 허용된다는 점이다. 최초의 기회를 제대로 활용하지 못한다면 신호는 왜곡이 될 것이고, 두 번째 측정부터는 정확한 측정을 진행할 수 없다. 이 경우, 전송 중인 광자를 한 번 복사해서 둘 이상의 광자를 생성하고 따로 측정한다는 가설이 있을 수도 있지만, 이는 양자역학의 기초현상 중 하나인 복제 불가능성 원리에 의해 광자의 완벽한 복사가 이뤄질 수 없다.
 
양자암호의 제일 큰 보안성은 측정이 한 번만 허용된다는 점이다. 최초의 기회를 제대로 활용하지 못한다면 신호는 왜곡이 될 것이고, 두 번째 측정부터는 정확한 측정을 진행할 수 없다. 이 경우, 전송 중인 광자를 한 번 복사해서 둘 이상의 광자를 생성하고 따로 측정한다는 가설이 있을 수도 있지만, 이는 양자역학의 기초현상 중 하나인 복제 불가능성 원리에 의해 광자의 완벽한 복사가 이뤄질 수 없다.
 +
 +
== 표준 ==
 +
양자키분배를 현대의 암호 시스템에 적용하여 함께 사용하기 위해서는 이 둘의 연동 특성과 양자키분배 모듈의 안정성, 양자키분배 모듈에 대한 현대암호 시스템 안전성 분석 기술이 모두 함께 고려되어야 한다. 양자키분배는 양자기술이 처음으로 실용화되는 분야로, 기술 표준화에 대한 수요가 증가하고 있다.
 +
=== 표준화 대상 ===
 +
표준화 대상으로는 기술의 구현 측면의 프로토콜 기술, 이 프로토콜을 구현하기 위해 양자 광원을 사용하여 양자 정보를 전달하는 광학 기술, 기존 정보 통신망을 사용하여 유효한 양자 정보를 골라내고 암호키를 생성하는 통신 및 암호기술, 이 과정들을 시스템화하는 시스템 기술, 생성된 시스템 기술을 활용한 네트워크 기술, 키 관리 기술 등이 있다. 기술의 활용 측면에서 양자키분배는 지점 대 지점 암호통신이나 이를 지원하는 기술이다. 본래 일회용 비밀번호를 대체하기 위해 제시되어 정보 이론적인 안전성 증명이 이뤄졌기 때문에, 사실 이 자체로도 완전한 암호통신을 진행할 수 있다. 하지만 현재 개발된 양자키분배 시스템은 속도나 인증 면에서 문제가 발생하기 때문에, 일회용 비밀번호보다는 현대암호 시스템의 암호키로 사용된다. 실제 암호통신에서는 양자 컴퓨터와 무관한 안전성의 현대 비밀키 암호로 사용하는 게 더 적합하다.
 +
 +
=== 유럽 전기통신표준화협회 ===
 +
유럽전기통신표준화협회(ETSI)는 2008년부터 양자키분배의 표준화를 추진했다. 표준은 ISG(industry specification group)를 통해 추진되었는데, ISG가 만드는 그룹 규격은 산업화를 위해 필요한 규격을 만드는 것으로 산업체가 주도하고 있다. 그러나 유럽 시장에 대한 강제력은 가지고 있지는 않다. ETSI의 양자키분배 표준은 ISO/IEC 19790 표준의 절차를 활용한다. ETSI는 양자키분배 시스템을 구성하는 경우 필요한 표준들을 양자키분배 장치 입장에서 구성하는데, 즉, 양자키분배 시스템의 광학계 구현 및 양자 광원/측정기/변조기의 규격요소 정의, 그리고 이것들을 통해 만들어지는 프로토콜 구조, 양자키분배 안전성 증명체계 등의 안전성 증명 기술, 양자키분배 모듈이 암호장치와 연동되는 키 관리 인터페이스 표준 등이 있다. 양자키분배 모듈 보안규격 시스템 구현에 사용되는 광학 부품들의 특성과 측정시험 규격을 정의한다. 그리고 양자키분배 시스템이 사용되는 다양한 종류의 시나리오 예시가 문서로 정의되어 있다. 또, ETSI는 ETSI/IQC 양자 보안워크숍에서 양자키분배 기술의 표준화가 10년은 걸리리라 예측했으며, 그동안 양자키분배 기술과 공개키 암호기술인 양자 보안 기술 표준화를 통하여 양자 컴퓨팅 기술의 급격한 발전에도 암호기술의 혼란을 최소화하는 방향으로 표준을 진행하겠다고 말했다.
 +
 +
=== ISO/IEC 합동위원회/27 소위원회 ===
 +
ISO/IEC 합동위원회(ISO/IEC JTC 1)는 정보통신기술 세계표준을 담당하고 있다. 32개의 정회원국과 66개의 준회원국으로 운영되는 조직으로, 한국은 정회원에 속한다. 27 소위원회(SC27)는 IT 보안기술 표준을 다루고 있는 조직이다. 운영그룹을 포함하여 8개의 워킹그룹을 표준화하는 일을 맡았는데, 이 중 WG3에 2017년 11월 중국이 양자키분배 기술 표준화를 제안했다. 스페인이 간사국인 WG3는 보안 평가와 시험 및 규격을 담당하는 그룹이다. 중국이 WG3에 제안한 양자 키 프로젝트는 ISO/IEC 정례회의에서 암호 알고리즘의 표준화를 담당하는 WG2의 전문가들과 대화를 나누기도 했는데, 기존의 보안기술과 상이한 면이 있어 표준 전문가들과 대화하기에 다소 어려움이 있었다.
 +
 +
=== 전기통신표준화분야 13 연구반 ===
 +
1865년, 유럽연합 산하의 국제기구인 국제전기통신연합(ITU)이 설립되었다. 1947년부터 유럽연합의 전문기관이 되었고, 유선통신과 전파, 방송, 위성 주파수 등의 국제 표준과 조정 역할을 맡았다. 전기통신표준화분야(ITU-T)는 전기통신기술, 운용 등을 다루며 산하의 13 연구반(SG13)은 미래 네트워크를 담당하는 연구반이다. [[㈜케이티]]는 SG13에 양자키분배 지원 네트워크에 대한 표준을 제안했었고, 표준화 착수 요청이 승인돼서 표준화 절차에 돌입했었다. 양자키분배에 지원하기 위한 네트워크 토폴로지로 지점 대 지점, 지점 대 다 지점, 신뢰 중계기/양자 중계기를 사용하는 연결 구성을 제안했으며, 양자 레이어를 포함하는 네트워크 레이어를 제안했다.
 +
 +
=== TTA 정보보호기술위원회 ===
 +
TTA는 국내 정보통신기술 표준을 담당하고, 통신망 기술위원회(TC2)와 정보보호 기술위원회(TC5) 양자키분배 표준화를 진행했다. 그리고 TC2에서는 통신망 인프라에서 제공되는 전기통신 응용 및 서비스 기술 표준을 수행해서 통신관점의 양자키분배를 진행했다. 반면 TC5는 국내의 정보보호 표준, 국제표준화 추진 및 대응을 위한 정보 보호 기반, 개인정보, 사이버 보안, 평가인증 등의 프로젝트를 수행하고, 보안관점의 양자키분배 표준화를 진행했다. TC2의 양자키분배 표준화는 퀀텀 정보통신 연구조합에서 추진했고, TC5의 양자키분배 표준화는 국가보안기술연구소에서 추진했다. 양자키분배가 암호 시스템의 암호키 생성 모듈로 사용되고, 현대암호 시스템과 양자키분배 모듈이 하나의 암호 경계 안에서 구현되는 것과 CMVP 방식의 안전성 확인이 목표이다. 현대의 암호 시스템에서 암호 모듈 검증을 위해 적용된 CMVP 제도는 블록 암호, 해시함수, 공개키 암호 등의 중요한 암호 알고리즘을 보호 함수로 선정하고, 보호 함수를 구현하는 시스템이 문제없이 안전하게 구현되는지 확인하는 방식이다. 501 프로젝트 그룹(PG501)은 이 암호 알고리즘을 보호 함수로 선정하는 역할을 맡았고, 504 프로젝트 그룹(PG504)은 이 알고리즘을 구현한 시스템의 보안성을 평가한다. 양자키분배를 CMVP 방식으로 안전성을 검증하기 위해선 암호 알고리즘에 해당하는 양자키분배 프로토콜이 보호 함수로 선정되어야 하고, 이를 암호 시스템에서 안전하게 구현해야 한다. 501 프로젝트 그룹에서는 디코이가 적용된 BB84 프로토콜의 표준화를 진행했다.<ref> 권대성, 장진각, 〈[양자암호 기술 보안 표준화 동향]〉, 《한국정보통신기술협회》, 2018-11</ref>
 +
 +
== 양자키분배 시스템 ==
 +
최근의 컴퓨터 네트워크들에서 안전한 데이터 전송은 송수신 간에 공유되는 비밀키를 사용해서 보호한다. 비밀키 자체가 안전한 상태에 있다면 비밀키로 인코딩된 데이터를 해독하는 것은 인코딩된 데이터가 감청되더라도 실질적으로 계산적으로 불가능하다. 따라서 비밀키 암호화 시스템은 비밀키가 어떻게 분배되느냐에 따라 보안의 정도가 결정된다. 예를 들면, 앨리스와 밥이라는 송수신 자가 서로 통신을 하고 있을 때, 비밀키가 감청된다면 최종 암호문이 노출될 가능성이 있다. 밥이 앨리스에게 암호화된 암호문을 해독하기 위해 앨리스 또는 제삼자에게 키의 사본을 공유해야 한다. 이 경우,
 +
1) 앨리스는 키를 선택해서 키를 물리적으로 밥에게 전달할 수도 있다.
 +
2) 제삼자가 키를 선택해서 키를 물리적으로 밥에게 전달할 수 있다.
 +
3) 만약 앨리스와 밥이 둘다 제삼자의 접속을 알아챌 수 있다면 제삼자는 암호화된 링크를 사용하여 앨리스와 밥에게 키를 건넬 수 있다.
 +
4) 만약 앨리스와 밥이 이전 키를 한번 사용한 적이 있다면, 앨리스는 이전 키로 새로운 키를 암호화해서 밥에게 전송할 수 있다.
 +
5) 앨리스와 밥은 공유 키에 대해 디피-헬만 키 합의 같은 한 방향 수학적 알고리즘을 이용하여 공유키에 합의할 수 있다.
 +
 +
하지만, 이 분배 방법들은 송수신 과정에 도청자인 이브가 있다면 보안에 취약할 수 있다. 이브는 분배되는 키를 도청, 감청, 복사할 수 있고, 앨리스와 밥이 주고받는 암호문을 해독할 수도 있다. 기존의 암호화 시스템은 이러한 도청들을 감지하지 못할 수 있고, 결과적으로 앨리스와 밥 사이의 암호문은 손상된다. 이를 막고 보안을 강화하기 위해 개발된 기술이 양자 암호화 기술이며, 양자키분배 시스템은 양자 암호화 키를 분해하는 시스템을 구현한 것이다. 제1 네트워크에 스팬에 걸쳐 제1 양자 신호를 전송하기 위한 양자 키 생성 전송기를 포함한다. 중간 키 전송 장치는 제1 양자 키 생성 전송기에서 양자 bit들을 수신하고, 제1 양자 신호에 기초해서 제1 양자 키를 생성하기 위해 양자 키 생성 전송기와 교신하며, 제2 양자 신호를 제2 네트워크 스팬에 걸쳐 전송한다. 양자 키 생성 수신기는 중간 키 전송 장치에서 제2 양자 신호를 수신하고, 제2 양자 신호에 기초해서 제2 양자 키를 생성하기 위해 중간 키 전송 장치와 교신한다. 그럼 중간키 전송 장치는 제2 양자 키에 기초해서 제1 양자 키를 인코딩하며, 제1 양자 키를 양자 키 생성 수신기에 전송한다. 양자 키 생성 수신기는 인코딩된 제1 양자 키를 수신해서 디코딩된다. 이 밖의 시스템의 형태는 다음과 같다.
 +
 +
* '''양자 암호화 키 분배 방법'''
 +
:초기 양자 키 생성 전송기에서 제1 양자 신호를 수신하는 단계, 제1 양자 키를 생성하기 위해 초기 양자 키 생성 전송기와 교신하는 단계, 제2 양자 신호를 수신 측 양자 키 생성 전송기에 전송하는 단계, 제2 양자 키를 이용해서 제1 양자 키로 인코딩하는 단계, 수신 측 양자 키 생성 수신기에 인코딩된 제1 양자 키를 전송하는 단계로 이루어져 있다.
 +
 +
* '''장거리 네트워크를 통해 양자 키를 분배하는 장치'''
 +
: 초기 키 생성 전송기로부터 제1 양자 신호를 수신한 다음, 제1 양자 신호에 기초해서 제1 키를 생성하기 위해 초기 키 생성 전송기와 통신하도록 구성된 중간 키 생성 수신기를 포함한다. 중간 키 생성 전송기는 제2 양자 신호를 수신 측 키 생성 수신기에 전송한 다음, 제2 양자 신호에 기초해서 제2 키를 생성하기 위해 수신 측 키 생성 수신기와 통신한다. 제2 키를 이용해서 제1 키를 인코딩하고, 제2 키를 이용해서 인코딩된 제1 키를 수신 측 키 생성 수신기로 전송한다.
 +
 +
* '''단일 채널을 이용해서 양자 및 공개 데이터를 전송하는 방법'''
 +
:양자 신호 및 공개 데이터 신호를 교번하여 포함하는 시분할 된 신호를 전송하는 단계, 양자 신호 시간 동안 시분할 된 신호에 강한 감쇄를 적용하는 단계, 공개 채널 신호 시간 동안에 시분할 된 신호에 약한 감쇄를 적용하는 단계로 이루어져 있다.<ref>웰브록 글렌 에이, 시아 티에준 제이, 첸 데이비드 제트, 〈[https://patents.google.com/patent/KR101262688B1/ko 양자 키 분배 시스템(특허)]〉, 《구글패턴트》, 2013-05-16</ref>
  
 
== 취약점 ==
 
== 취약점 ==
273번째 줄: 445번째 줄:
 
* 웰브록 글렌 에이, 시아 티에준 제이, 첸 데이비드 제트, 〈[https://patents.google.com/patent/KR101262688B1/ko 양자 키 분배 시스템(특허)]〉, 《구글패턴트》, 2013-05-16
 
* 웰브록 글렌 에이, 시아 티에준 제이, 첸 데이비드 제트, 〈[https://patents.google.com/patent/KR101262688B1/ko 양자 키 분배 시스템(특허)]〉, 《구글패턴트》, 2013-05-16
 
* 곽승환, 〈[양자키 분배기술 동향과 SK텔레콤 개발 현황]〉, 《에스케이텔레콤㈜》, 2015-06-23
 
* 곽승환, 〈[양자키 분배기술 동향과 SK텔레콤 개발 현황]〉, 《에스케이텔레콤㈜》, 2015-06-23
 +
* 손일권, 이성훈, 박주윤, 허준, 〈[http://www.ndsl.kr/ndsl/commons/util/ndslOriginalView.do?cn=JAKO201511059258741&dbt=JAKO&koi=KISTI1.1003%2FJNL.JAKO201511059258741 양자 통신 및 양자 암호의 개요]〉, 《국가과학기술정보센터》, 2015-07-31
 
* Tyeolrik, 〈[https://tyeolrik.github.io/cryptology/2017/02/22/Cryptology-3-Quantum-Key-Distribution.html 양자암호통신과 양자 키 분배]〉, 《깃허브》, 2017-02-22
 
* Tyeolrik, 〈[https://tyeolrik.github.io/cryptology/2017/02/22/Cryptology-3-Quantum-Key-Distribution.html 양자암호통신과 양자 키 분배]〉, 《깃허브》, 2017-02-22
 +
* 권대성, 장진각, 〈[양자암호 기술 보안 표준화 동향]〉, 《한국정보통신기술협회》, 2018-11
 
* 이경탁 기자, 〈[https://biz.chosun.com/site/data/html_dir/2020/03/31/2020033100727.html SK텔레콤, ITU-T ‘양자키 분배’ 글로벌 표준 승인]〉, 《조선비즈》, 2020-03-31
 
* 이경탁 기자, 〈[https://biz.chosun.com/site/data/html_dir/2020/03/31/2020033100727.html SK텔레콤, ITU-T ‘양자키 분배’ 글로벌 표준 승인]〉, 《조선비즈》, 2020-03-31
 
* 조상록 기자, 〈[http://www.hellot.net/new_hellot/magazine/magazine_read.html?code=202&sub=004&idx=53159 KT, 중소기업에 양자암호통신 ‘양자 키 분배’ 기술 이전]〉, 《첨단헬로티》, 2020-07-01
 
* 조상록 기자, 〈[http://www.hellot.net/new_hellot/magazine/magazine_read.html?code=202&sub=004&idx=53159 KT, 중소기업에 양자암호통신 ‘양자 키 분배’ 기술 이전]〉, 《첨단헬로티》, 2020-07-01

2020년 8월 6일 (목) 16:29 기준 최신판

양자키분배(Quantum Key Distribution)란 안전한 양자통신을 위해 키를 분배하고 관리하는 기술이다. 양자 암호 키 분배라고도 부른다. 양자암호통신 기술을 지칭하는 말이기도 하다.

개요[편집]

양자암호통신의 핵심은 비밀키를 통신상에서 실시간으로 안전하게 분배하는 기술이다. 여기서 비밀키를 양자의 특성을 이용해서 안전하게 분배하는 기술을 양자키분배라고 한다. 1984년, BB84 프로토콜이 등장하고 안정성과 구현 가능성 면에서 가장 강력한 프로토콜로 인정받았으며, 실제 시스템에도 채용되고 있다.[1] 양자키분배는 안전한 통신을 위해 만들어진 암호체계로서, 1984년에 찰스 베넷길레스 브래서드가 제안했다. 기존의 대부분의 암호체계는 대부분 수학적 복잡성에 기반하지만, 양자암호는 자연현상에 기반하는 특징을 지녀, 암호에 사용되는 일회용 비밀번호를 생성하는 이상적인 방법의 하나이다. 통신 도중 도청자가 난입할 경우에는 정보가 왜곡되기 때문에 송수신 자가 바로 감지할 수 있고, 도청자는 절대 원하는 정보를 얻을 수 없기 때문에 절대적으로 안전하게 보안을 지킬 수 있는 대표적인 암호체계이다.[2]

양자암호 또는 양자키분배 기술은 멀리 떨어진 두 사용자 사이에서 양자역학적으로 완전한 보안성이 보장되는 비밀 키를 분배하는 기술로, 본질적으로 통신 네트워크의 물리계층 보안 기술에 해당한다. BB84 프로토콜처럼 양자암호통신에서는 일반적으로 양자 상태를 전송하는 양자 채널과 도청자를 포함한 외부에 완전히 공개한 고전 채널인 두 가지 통신 채널을 이용한다. 즉, 양자채널은 양자암호통신의 핵심 통신 채널이며, 양자 복제 불가능 원리로 인하여 비밀을 완벽히 유지할 수 있다. 그러나 고전 채널은 두 사람이 무작위로 선택한 기저를 공개적으로 서로 비교하거나 생성된 암호 키의 일부분을 서로 공개하고 비교하여 도청자를 탐지하기 위해 사용하는 통신 채널이다. 보통 기존의 디지털 광 전송 채널이나 무선통신 채널을 가리킨다.

현대암호기술 중 가장 널리 그리고 많이 사용되는 암호체계 중 하나가 RSA이다. RSA 암호체계 같은 비대칭 공개키 암호체계와 달리 대칭 암호체계는 송수신자가 서로 일회용 비밀번호를 나누어 지고 이것을 암호 키로 사용하기 때문에 절대적인 안전성을 보장한다. 양자암호통신 기술, 즉 양자키분배 기술은 이러한 일회용 비밀번호를 실시간으로 주고받을 수 있도록 양자물리학 법칙에 기초해서 안전하게 분배한다. 양자암호 프로토콜과 관련된 이론 연구는 크게 두가지 영역에서 이루어진다. 하나는 전혀 새로운 양자암호 프로토콜을 창안하는 것, 다른 하나는 창안된 프로토콜의 안전성 증명에 대한 연구이다. 이 둘이 전혀 별개의 것은 아니나, 새로운 프로토콜을 제안할 때는 그 프로토콜의 안전성을 증명하는 것이 병행되어야 하고, 기존의 프로토콜에 대한 공격 방법을 제시하거나, 그 공격에 대비하여 프로토콜을 변형해서 새로운 프로토콜을 제안하는 연구도 많다.[3]

비교[편집]

기존의 광통신을 이용한 키 분배
  • 기존의 광통신에서는 신호 속에 무수히 많은 광자가 들어있다. 이 중 일부를 갈라서 증폭하면 전송하는 모든 정보를 도청자가 읽거나 복제할 수 있다.
  • 정상적인 통신을 방해하지 않을 만큼만 빛을 갈라내기 때문에, 외부에서 도청하고 있다는 사실을 인지하지 못할 수 있다.
양자 암호키 분배
  • 도청자가 단일 광자를 못 가져가면, 정보가 정상적으로 전송되고 도청자의 정보는 없다.
  • 도청자가 단일 광자를 가져가면, 정보가 정상적으로 전송되지 못하고 도청자가 가져간 정보는 의미가 없다.
  • 도청자가 양자 상태를 측정하고 재전송하려고 시도하면 불확정성 및 복제 불가능 원리로 오류가 증폭되어 외부에서 위협을 가했다는 사실을 감지한다.[4]

개념[편집]

일반적인 다른 통신은 파장이나 진폭 등으로 통신하는 반면에, 양자암호는 광자를 하나 단위로 신호를 운반한다. 광자 단위로 편광이나 위상차를 사용하여 신호를 전송하면, 송신 측에서도 편광패드나 간섭계로 측정한다. 각종 외부환경에 취약한 광자의 특성상 가용전송 거리가 매우 짧고, 보통은 이를 실용적으로 이용하기 위해 25km 정도 단위마다 중계소를 설치한 양자암호 네트워크가 있다. 각각 키는 중계소 단위로 분배된다. 현재 중계소 없이 사용할 수 있는 통신 거리는 약 140km이다.

다음의 BB84 프로토콜, E91 프로토콜, B92 프로토콜은 힐버트 공간의 양자계, 즉 양자비트(Qubit)를 이용한 방법들의 예시이다.

BB84 프로토콜[편집]

1984년, IBM의 찰스 베넷과 몬트리올 대학교의 길레스 브래서드가 양자암호에 대한 논문을 발표하면서 같이 제안한 양자 암호통신 프로토콜이다. 고안자들의 이름을 따서 BB84 프로토콜이라는 명칭으로 명명되었다. 송신자는 앨리스(person A), 수신자는 밥(person B)이라고 할 때, BB84 프로토콜은 앨리스와 밥 사이에서 일회용 비밀번호를 생성한다.

예시 1

송신자인 앨리스는 +와 ×, 두 개의 기저 중에서 무작위로 선택한다. 선택된 기저의 두 가지 암호키 값 중 하나를 임의로 고르고 밥에게 넘긴다. 양자 상태를 수신하는 밥도 두 가지 기저 중 하나를 무작위로 선택하고, 선택한 기저를 사용해서 수신된 양자 상태를 측정한다. 밥이 측정을 마치면 앨리스와 밥은 다음과 같이 인의로 선택했던 기저를 서로 공개하는데, 여기서 앨리스와 밥이 각각 선택한 기저가 같다면 두 사용자는 같은 암호 키를 획득한다. 만약 도중에 누군가 도중에 도청을 시도했다면, 양자 역학 기본 원리에 의하여 두 사용자가 얻은 암호 키 값은 오류가 생긴다. 따라서 서로에게 공개한 오류의 비율을 계산해서 도청자를 감지 할 수 있다.[3]

1단계: 앨리스-basis 선택 × × × ×
2단계: 앨리스-암호 키 값 선택 1 0 1 1 0 0 0 0
이브의 도청 시도 이브-basis 선택 × ×
이브-도청한 정보 0 1
3단계: 밥-basis 선택 × × ×
4단계: 밥-암호 키 값 측정 1 0 1 0 0 1 0 0
5단계: Basis 비교
예시 2

다음 표와 같이 0bit의 상태를 나타내는 편광 2가지와 1bit의 상태를 나타내는 편광 2가지를 정의하고 십자 필터와 대각필터를 통해 측정한다. 앨리스와 밥은 이 프로토콜을 통해 난수를 생성하고, 중간에 도청자인 이브가 난입해서 정보를 가로채려 해도 정확한 정보를 얻을 수 없다. 전송한 데이터를 받은 사람은 데이터가 크게 왜곡되어 도착하기 때문에 도청이 있었다는 사실을 빨리 감지할 수 있다.

Basis 0 1
+
×
  1. 앨리스가 임의의 비트를 생성한다
  2. 비트를 전송할 편광신호로 변환하기 위해 필터를 하나 선택한다.
  3. 필터에 대응되는 편광신호를 생성하고 양자채널로 보낸다
  4. 밥은 측정하기 위한 편광필터를 임의로 선택한다.
  5. 선택한 편광필터로 값을 측정하여 보관한다.
  6. 앨리스와 밥은 퍼블릭 채널을 통해 같은 필터를 사용했는지 여부를 검증한다.
  7. 같은 필터를 사용한 비트에 대해서만 보관하고 서로 다른 필터를 사용한 비트는 제거한다.
이와 같은 과정을 거치면 표처럼 앨리스와 밥은 0101이라는 값을 공유하고, 이 값을 비밀키로 활용한다.[2]
앨리스가 생성한 비트 0 1 1 0 1 0 0 1
앨리스가 전송하는 편광필터 + + × + × × × +
앨리스가 전송하는 광자 편광신호
밥이 선택한 측정 필터 + × × × + × + +
밥이 측정한 편광 상태
전송 패드와 측정 패드가 일치하는지 여부 검증 퍼블릭 채널을 통한 데이터 교환(도청 가능)
최종적으로 생성되는 비밀키 0 1 0 1
예시 3
비트값
0 │↕> │↖>
1 │↔> │↗>
위의 표를 송신자와 수신자가 결정한 네 가지 극성 표현법이라고 가정한다. 편광에는 수직 편광과 수평 편광 2종류를 사용하기로 한다.
  1. 송신자가 4n 비트의 데이터를 +와 ×의 편광필터를 무작위로 선택하여 송신한다. 보낸 데이터와 필터는 기록한다.
  2. 수신자는 수신받은 데이터를 +와 ×의 편광검출기를 본인 마음대로 아무거나 선택해서 관측한다.
  3. 수신자는 송신자에게 자신이 사용한 필터를 송신자의 기록과 비교 및 대조한다.
  4. 필터와 검출기가 일치하면 데이터를 가지고 있고, 다르면 데이터를 버린다. 일치할 확률이 50%이므로, 2n 비트의 동일한 데이터를 공유하게 된다.
  5. 수신자는 데이터 일부를 공개하고 송신자는 데이터를 자신이 보낸 데이터와 대조하여 일치 여부를 확인한다.
  6. 데이터가 일치하면 일회성 패드로 사용하며, 만약 데이터가 일치하지 않는다면 도청이 있었던 것으로 간주하고 데이터를 모두 버려 다시 반복해서 일회성 패드를 생성한다.
만약 도청자가 있다면, 양자의 특성 중 하나인 불확정성 원리 때문에 양자를 완벽히 복제하여 재전송할 수 없다. 따라서 광자의 극성이 변화하고 데이터가 변조되어 오류가 일어날 확률이 높아서 양자키분배는 도청의 여부를 확실하고 쉽게 파악할 수 있는 안전한 암호 방법이다.[1]

E91 프로토콜[편집]

사용자가 최대 양자 얽힘 상태에 있는 입자 두 개를 하나씩 나누어 가진 후 각각의 입자를 측정하는 방법이다. 두 사용자가 두 개의 기저가 아닌 각각 세 개의 기저 중 하나를 선택해서 그 기저를 측정한다. 앨리스의 기저 세 개와 밥의 기저 세 개 중 기저 두 개는 일치하지만 남은 기저 한 가지는 서로 다르다. 따라서 두 사용자가 측정 기저가 동일해서 암호 키를 얻을 수 있는 확률은 2/9로 감소하지만, 남은 기저가 일치하지 않는 값들로부터 도청자의 존재를 감지하는 등 안전성을 평가할 수 있다. 이 안전성 평가는 '벨 부등식'을 이용한 것인데, 벨 부등식과 양자 암호에서의 안전성 사이의 관계에 대해 약간의 논쟁이 있었다.[3]

B92 프로토콜[편집]

1992년 찰스 베넷은 서로 직교하지 않는 양자 상태 두 가지만 있다면 양자암호통신을 구현할 수 있다고 증명한 방법이다. 네 가지 상태를 사용하는 BB84 프로토콜과 달리 실제로 실험하기 쉬운 프로토콜로, 초기 양자 암호 실험에서 사용됐다.[3]

양자키분배 후처리[편집]

후처리(post-processing) 과정은 정보보정(information reconciliation), 비밀성 증폭(privacy amplification), 인증(authentication) 과정으로 구성된다. 도청자의 공격이나 양자 채널과 양자 검출 장치의 불완전성으로 인해 송수신 자의 암호키 사이의 불일치가 일어나는 것을 제거하는 과정이다. 송수신 자 간의 동일한 키 정보를 보장하는 동시에, 도청자에게 노출된 정보에서 키에 대한 정보를 유추하지 못하도록 노출되는 정보와 키 정보 사이의 상관관계를 최대로 낮춘다.

  • 정보보정
정보보정은 수많은 요인에 의해 발생하는 송수신 간의 정보 불일치를 해소해서 송수신이 동일한 정보를 가질 수 있도록 만드는 과정이다. 다만 미리 정보를 오류 정정을 위해 보호하는 것은 아니며, 송수신 간의 암호키 정보 전송이 끝나고 추가 정보를 전송하여 오류를 정정한다. 이때 추가 정보는 일반적인 인터넷 환경과 같은 오류율이 0인 공개 채널을 통해 전송되기 때문에, 도청자에게 일정량의 정보가 유출될 수 있는 위험성이 있다.
정보보정 프로토콜의 대표적인 예시는 Cascade 프로토콜이다. 2000년대의 정보보정 프로토콜 중에서 표준으로 여겨지는 프로토콜로, 이진 검색 알고리즘과 역 추적 알고리즘으로 구성되며 여러 단계에 걸쳐서 반복된다. 각 단계는 전체 암호키를 여러 블록으로 나눈 다음 블록마다 이진 검색을 수행한다. 그리고 패리티 정보를 송수신 자가 비교해서 블록 내의 오류를 수정한다. 이진 검색은 한 블록당 오류를 하나만 수정할 수 있기 때문에 남아있는 오류를 정정하기 위해 다음 단계로 넘어간다. 다음 단계는 암호키를 완전히 섞은 다음 블록을 이전 단계보다 두 배 크기로 나누어서 이진 검색을 진행한다. 2단계 이상부터는 이진 검색이 끝난 후에 역 추적을 수행하는데, 이진 검색으로 오류 정정을 함으로써 그 이전 단계에서는 보이지 않았던 오류를 역으로 추적하여 정정하기 위해서이다. 이 두 과정은 연쇄적으로 일어나며 오류가 더 보이지 않을 때 다음 단계로 넘어갈 수 있다. 다음 단계에서 두 알고리즘을 다시 똑같이 수행하며 오류가 더 안 나올 때 Cascade 프로토콜이 종료된다. Cascade 프로토콜은 도청자에게 노출되는 정보의 양이 이론적인 한계치에 근접한 아주 우수한 프로토콜이다. 여러 단계를 걸쳐 수행되고 지속해서 정보를 주고받기 때문에 통신이 잦다는 단점이 있다. 장시간 동안 통신을 자주 진행하는 것은 실제 시스템에서 악영향을 끼치기 때문이다. 따라서 이러한 Cascade 프로토콜의 단점을 보완하기 위해 나온 것이 Winnow 프로토콜이다.
Winnow 프로토콜은 Cascade 프로토콜과 흡사하지만 이진 검색 알고리즘이 아니라 해밍부호를 이용한다. Cascade 프로토콜처럼 정보를 전부 블록 단위로 나누지만, 패리티 정보가 아닌 해밍부호의 신드롬 정보를 주고받아서 오류를 정정한다. 이진 검색 알고리즘을 활용하지 않기 때문에 송수신 간의 통신 횟수가 크게 줄기 때문에, 오류를 신속하게 정정할 수 있고 통신 채널의 부담도 감소한다. 그러나 양자 채널의 오류율이 높아질수록 도청자에게 노출되는 정보량이 Cascade 프로토콜보다 더 많아진다는 단점이 존재한다. 여기서 송수신 간의 채널 사용 횟수는 줄이고 Cascade 프로토콜과 가까운 고성능을 내기 위해 개발된 것이 LDPC 부호를 이용한 프로토콜이다.
LDPC 부호를 이용하면 송신자가 수신자에게 추가로 전송을 한 번만 해도 오류를 정정할 수 있다(단방향 통신). 이때 추가로 전송되는 정보는 패리티 검사 행렬을 통해서 생성한 신드롬 정보이고, 이 정보량은 곧 도청자에게 노출된 정보량이다. 하지만 LDPC 부호를 이용하면 다른 프로토콜과 다르게 실패할 확률이 올라간다는 단점이 있다. Winnow 프로토콜이나 Cascade 프로토콜은 정보를 오류가 모두 제거될 때까지 계속해서 정보를 주고받지만, LDPC부호를 이용하면 추가 정보를 한 번만 전송하면 끝이기 때문에 수신자는 한번 전송된 정보만을 가지고 오류를 정정해야 한다. 따라서 추가로 어떤 정보를 전송하느냐에 따라 오류 정정의 성공과 실패가 결정된다. 만약 오류를 정정하는 데 실패한다면 피드백 과정을 통해 이전의 정보량보다 더 많은 정보량을 전송하여 오류를 수정한다.
  • 비밀성 증폭
비밀성 증폭은 도청자가 가지고 있는 정보와 암호키 정보 간의 상관관계를 낮추는 과정으로, 1988년에 처음 제안되었다. 도청자가 암호키에 대해 일정량의 정보를 가지고 있다면 노출된 정보만큼 암호키 정보에서 제거하게 된다. 송수신 간에 공유된 암호키가 완벽한 비밀성을 가질 수 있도록 정제한다. 비밀성 증폭의 대표적인 방법은 유니버설 해싱(Universal Hashing)이다. 해싱은 문자열 같은 입력값을 가지고 작은 값을 생성하는 데 사용되고, 두 입력값이 같은 값인지 확인하는 데도 활용되었다. 따라서 해시함수는 다대일 대응이라고 볼 수 있다. 다대일 대응이기 때문에 해시함수 값들이 충돌하는 입력값도 존재한다. 이러한 해시함수 중에서 특정한 해시함수 g를 선택하기 위한 확률 알고리즘이 유니버설 해싱이다. 서로 다른 두 입력값 a와 b에 대해서 일 확률이 최대 1/m이다. 따라서 이를 통해 도청자가 암호키를 예측할 수 있는 확률을 크게 낮출 수 있다. 참고로 여기에서 m은 해시함수 치역의 크기이다. 만약 서로 다른 입력값을 암호 키의 압축 전 문자열과 도청자가 추정하는 문자열이라면 해시 충동이 일어날 확률이 최대 1/m이며, 해시함수를 통해 송수신 간의 암호키 길이가 줄어들어 도청자는 거의 추정이 불가능하다.
  • 인증
인증은 양자키분배에서만 있는 특별한 과정은 아니다. 일반적으로 주변에서 볼 수 있는 대부분의 인증 과정과 비슷하다. 대체로 도청자의 중간자 공격을 막기 위해 필요한 과정으로, 중간자 공격은 송신자가 보낸 정보를 도청자가 도중에 가로채서 수신자에게 잘못된 정보를 전송하는 것을 의미한다. 따라서 수신자는 자신이 받은 정보가 정말 제대로 된 송신자에게서 전달된 것인지 확인할 필요가 있고, 이를 위해서 송신자는 미리 약속된 해시함수를 통해 암호키에 대한 해시 태그를 생성하면 암호키와 함께 전달된다. 수신자는 전달받은 암호키를 자신이 가진 해시 함수에 입력하고, 해시 태그가 송신자가 보낸 해시 태그와 일치하는지 확인함으로써 제대로 된 송신자인지 검사한다. 이와 같은 인증은 정보보정 과정과 비밀성 증폭 과정에서도 병행된다.[5]

기술[편집]

양자광원[편집]

  • 단일광자 상태
BB84 프로토콜을 포함한 많은 양자암호 프로토콜들은 단일광자 상태를 사용하는 방식이다. 이상적인 단일광자 상태는 정해진 하나의 모드에 광자 하나만이 존재하는 상태를 말하는데, 이러한 단일광자 상태는 두 가지 에너지 준위만을 가진 고립된 원자 한 개를 들뜨게 했을 때 원자에서 방출되는 형광에서 얻을 수 있다. 따라서 만약 광자 검출기의 측정분해 시간보다 짧은 시간 간격 동안 원자를 들뜨게 하지 않는다면 두 번째 광자가 원자에서 방출될 확률은 없어서 광자 검출기는 한 번에 광자 한 개만 측정한다. 실제 단일광자 상태는 가변도가 평균값보다 작다. 따라서 측정된 광자 수 분포가 상대적으로 좁아서 아포아송(sub-Poisson) 분포를 보인다. 빔 분할기와 두 개의 광자 검출기를 이용해서 광자 두 개를 동시에 측정하는 상관관계 측정에서는 광자 흩어짐 효과가 나타난다. 실험으로 구현된 단일광자 광원들은 1) 단일분자를 제한적으로 들뜨게 하는 방법, 2) 다이아몬드 결정구조에 질소 원자 한 개를 치환하여 들뜨게 하는 방법, 3) 반도체 양자 우물 구조를 이용하는 방법, 4) 반도체 양자점을 이용한 방법, 5) 광학적인 매개 하향변환 과정에서 동시에 발생하는 광자 쌍 중 광자 하나를 측정했을 때 다른 광자가 단일 광자 상태에 존재하는 현상을 이용하는 조건부 단일광자 광원 등이 있다.
실제로 단일광자 상태를 만들기 위해서 발생하는 문제들을 피하고자 다른 대안으로 사용되는 것이 레이저 펄스를 아주 약하게 감쇄 시켜 단일광자 상태와 유사하게 만드는 것이다. 이러한 유사 단일광자 상태는 이상적인 단일광자 상태와 통계적인 특성은 다르고 포아송 분포를 따르게 되는데, 예를 들어 평균 광자 수가 0.1인 경우에는 한 번 측정했을 때 광자 하나를 측정할 확률이 9% 정도이다. 그러나 한 개의 펄스에서 광자 두 개가 존재할 확률은 0.5%로 낮은 축에 속한다. 단일광자 상태를 사용하는 경우와 유사한 광자 통계를 나타내기 때문에 실제 양자암호 실험에서 많이 이용된다.
  • 양자 얽힘 상태
양자 얽힘 상태를 광원으로 이용하기 위해 연구되었다. 얽힘 상태는 양자역학의 가장 근본적인 특성 중 하나로, 둘 이상의 입자들이 서로 특별한 중첩된 상태에 위치하여 그 전체 상태가 개별적인 입자들의 파동함수의 곱으로 기술할 수 없는 양자 상태를 의미한다. 두 입자 얽힘 상태의 대표적인 예시는 스핀이 1/2인 한 쌍의 전자 사이에 존재하는 스핀의 비대칭 상관관계와 두 전자의 스핀상태의 중첩이다. 공간적으로 서로 멀리 떨어져 있는 두 입자는 ↑상태와 ↓상태가 서로 중첩되어 있으며, 한 입자의 스핀을 측정하여 특정한 방향으로 결정됐다면 그와 동시에 다른 입자의 스핀은 자동으로 반대 방향으로 결정된다. 이러한 양자 얽힘 상태를 생성하기 위해 1980년대 중반까지는 주로 원자의 다단천이 현상이 이용되었다. 하지만 1980년대 후반부터는 자발적인 매개 하향변환 과정에서 발생하는 광자 쌍을 이용하여 얽힘 상태를 만드는 방법이 가장 보편적인 방법이 되었다.
매개 하향변환과정은 높은 진동수 또는 짧은 파장의 레이저 광을 비선형 계수를 갖는 매질에 입사시킬 때 입사하는 광자의 일부가 상대적으로 낮은 진동수를 갖는 광자 한 상으로 변환되는 과정을 의미한다. 매질에 입사하는 빛은 보통 펌프광, 상호작용에 의해 발생하는 두 광자를 하나는 시그널(signal) 광자, 하나는 아이들러(idler) 광자라고 부른다. 매개 하향변환은 비선형 매질 안에서 펌프 광자와 하향 변환된 광자 간의 에너지 보존법칙과 운동량 보존법칙을 만족할 때 효과적이다. 매개 하향변환의 광자 두 개의 편광이 동일한 상태에 있는 제1 형과 광자 두 개의 편광이 서로 직교하는 제2 형이 있다. 광자 쌍 발생방식과 간섭계를 구성하는 방법에 따라 얼마든지 다양한 형태의 양자 얽힘 상태를 구현할 수 있다.

광자 검출기[편집]

양자암호통신 기술 및 양자키분배 기술을 실제로 구현하기 위해서는 성능이 매우 높은 광자 검출기가 필수적이다. 특히, 광섬유나 대기 중을 통해 단일광자 수준의 광신호를 전송하는 경우에 발생하는 광 손실은 거리에 비례해서 증가한다. 따라서 광자 검출기의 양자효율은 양자암호의 통신 거리를 제한하는 주요 인자가 되며, 여기서 양자효율은 광자 한 개가 입사하는 경우의 검출 효율이다. 이뿐만이 아니라, 광자 검출기의 양자효율과 잡음수준은 양자암호통신의 에러 발생 가능성과 직접적인 관련이 있어서, 높은 양자효율과 낮은 잡음 수준이 측정되는 광자 검출기는 양자암호통신 시스템의 성능을 좌우한다. 기존의 광통신 기술에서 사용하는 PIN 타입의 광검출기는 동작 속도가 빠르다는 장점이 있으나, 양자효율이 단일광자 수준의 광을 검출하기에는 지나치게 낮다. 따라서 양자암호통신에서는 주로 APD 타입의 광검출기를 사용한다. APD는 응답속도가 느려서 수 MHz 이상의 빠른 동작이 불가능하다는 단점이 있으나, 이러한 단점에도 불구하고 APD 타입의 광 검출기가 많이 사용된다. 이 외에도 입사하는 빛의 광자 개수를 분해할 수 있는 광자 검출기나 비선형 광학적인 방법을 사용해서 입사하는 빛의 파장을 변환하여 광자검출을 함으로써 양자효율을 개선하는 방법 등이 있다.

양자암호통신 채널[편집]

양자키분배 기술은 멀리 떨어진 두 사용자 간에 양자역학적으로 완벽한 보안성을 가진 비밀 키를 분해하는 기술이다. BB84 프로토콜처럼 일반적으로 양자암호통신에서는 양자 상태를 전송하는 양자채널과 도청자를 포함한 외부에 완전히 공개된 고전 채널 두 가지 통신 채널을 사용한다. 양자채널은 양자암호통신의 핵심인 통신 채널이자, 양자 복제 불가능 원리에 의해 비밀이 완전히 유지되는 채널을 의미한다. 이에 반면, 고전 채널은 앨리스와 밥이 무작위로 선택한 기저, 또는 생성된 암호키 일부분을 서로 공개하고 비교해서 도청자를 탐지하기 위해 사용되는 통신 채널로 기존의 디지털 광 전송 채널이나 무선통신 채널을 의미한다. 양자암호통신에서의 고전 채널은 도청자가 자유롭게 도청이나 감청을 할 수 있는 채널로 간주한다. 앨리스와 밥이 서로의 기저를 비교하는 등 양자암호 키를 분배하는 데 필요하지만, 상대방이 서로 공개적으로 인증하는 기능을 위해서도 필요하다. 즉, 고전 채널이 없다면 도청자가 송수신 도중에 앨리스나 밥의 흉내를 내는 '분장 공격(impersonation attack)'에 의해 암호 키를 몰래 빼돌릴 수 있다는 뜻이다. 이처럼 고전 채널(또는 공개 채널)은 실제로 양자암호통신 시스템을 구현할 때 중요하게 고려되어야 한다.

양자암호 통신 채널을 물리적으로 구현하는 방법은 광섬유를 사용하는 유선 방식과 대기 중에서 암호 키를 분배하는 무선 방식으로 나뉜다. 두 방식은 서로 원리상 큰 차이가 없지만, 대기와 광섬유의 물리적인 특성이 다른 만큼 사용하는 빛의 파장 대역과 응용 분야도 서로 다르다.

  • 무선
대기 중을 통한 양자암호통신에서는 770nm 대역의 빛에서 투과 손실이 적으며, 또한 이 파장 대역에서 Si APD 광자 검출기의 양자효율도 60~70%의 고성능 보여준다. 따라서 주로 이 파장 대역을 이용하여 통신 채널을 구성한다. 대기 중을 통한 양자암호통신은 위성과 지상 간의 암호통신에도 응용할 수 있다는 것이 큰 장점이다. 하지만, 대기 중을 통한 양자암호통신 채널은 거리가 늘어난 만큼 빔이 공간적으로 퍼지는 문제와 날씨 등의 영향이 심각하여 주로 단거리 암호통신에 사용된다. 대기 중을 통한 암호통신 실험으로, 통신 거리 23.4km에서 수백 bps 정도의 키를 생성한 결과가 있다.
  • 유선
광섬유를 이용하는 방식에서는 기존의 광통신에서 표준적으로 사용되던 단일모드 광섬유를 이용하면 공간적인 모드를 아주 잘 유지할 수 있다. 또한, 1,550nm 대역에서 투과손실이 0.2dB/km 정도로 아주 낮은 편에 속하여 장거리 양자암호 채널 구현에 적합하다. 하지만 광섬유를 통해 광자를 전송할 때 발생하는 분산, 편광의 변화, PMD 등등 다양한 비선형 효과들은 양자암호통신 시스템의 성능을 저하한다. 광섬유로 전송할 때 발생하는 이러한 문제들을 극복하기 위한 다양한 연구가 진행되었다.
양자암호통신의 암호키는 빛의 편광을 이용하여 코딩하거나 주파수 코딩, 연속변수, 위상 코딩을 이용한 코딩 등 다양한 방식으로 구현할 수 있다. 빛의 편광이나 위상을 이용한 코딩은 주위 환경이나 온도 등으로 편광으로 인해 편광이나 광학적 경로가 흔들릴 수 있어서 이를 보완할 별도의 기술이 요구된다. 스위스 제네바대학교의 니콜라스 교수는 광섬유를 통한 양자키분배 시에 발생하는 편광의 변화나 경로의 흔들림을 능동 소자 없이 패러데이 거울을 이용하여 보완하는 플러그 앤드 플레이(PnP) 양자암호 기술을 개발하기도 했다.
플러그 앤드 플레이 양자암호 시스템의 동작 원리는 다음과 같다. 송수신 자를 밥과 앨리스라고 예를 들 때, 먼저 밥에게서 방출되는 강한 레이저 펄스는 빔 분할기에 의해 50대 50으로 분할된다. 분할된 레이저 펄스들은 짧은 경로와 광 위상변조기, 광지연선을 갖는 긴 경로를 거쳐 편광분할기의 출력 포트로 나온다. 편광 분할기로 출력된 펄스들은 서로 수직인 편광 성분을 가지고, 광학적 지연에 의해 시간 축 상에서 분리된다. 이 펄스들은 앨리스에게 전송되어 단일 광자 수준의 세기로 감쇄되고, 패러데이 거울에 의해서 입사 편광의 수직인 편광 성분으로 바뀌어 다시 밥에게로 돌아온다. 돌아온 두 펄스는 밥 측의 간섭계에서 원래의 경로와는 다른 경로를 거치게 되는데, 빔 분할기에 동시에 도착하여 간섭이 일어난다. 즉, 두 펄스는 패러데이 거울에 의하여 자동으로 같은 경로의 길이를 지나게 되는데, 진행할 때와 반사되어 돌아올 때 편광이 서로 수직이므로 광섬유 상에서 광 펄스가 겪는 복굴절로 인한 비선형효과가 서로 상쇄되어 안정적인 간섭을 일으킨다. 또, 암호키는 밥에서 앨리스로 갔다가 돌아오는 광 펄스들의 위상에 코딩된다. 예를 들어 BB84 프로토콜을 구현할 때, 앨리스 측의 위상 변조기를 통과하는 두 번째 펄스에 0이나 π 그리고 π/2 또는 3 π/2를 임의로 인가한다. 이러한 플러그 앤드 플레이 타입의 양자암호기술은 광섬유를 사용하는 장거리 전송에 적합하고, 많은 연구 그룹들이 실제로 구현을 하는 연구를 진행한 대표적인 양자암호구현 기술이다. 하지만 기본적으로 양방향 통신 방식이기 때문에 광 펄스가 진행할 때 생기는 레일라이 산란(Rayleigh backscattering)에 의한 에러가 심각하고, 이는 양자암호통신의 성능을 저하하는 주요 원인이 된다. 양자암호통신 채널을 구현하는 기술은 플러그 앤드 플레이 기술 외에도 다양한 기술들이 존재하며, 각 방식의 단점을 개선하기 위해 많은 연구가 진행되었다.[3]

보안성[편집]

수학적 해독[편집]

사용되고 있는 대부분의 암호체계는 보통 수학적 복잡성에 기반하며 가역적이기 때문에, 문제를 푸는데 그만큼의 시간을 들인다면 해독할 수 있다. 일반적으로 가장 많이 사용되고 있는 RSA는 문제를 해독하는 데 걸리는 시간이 천문학적이기 때문에 가장 강력한 암호체계라고 불리고 있으나, 컴퓨터의 발전에 따른 처리 시간의 단축으로 해독을 하는 데 걸리는 시간이 점점 감소하면서 단시간 안에 해독될 가능성이 있다는 의견도 있다. 양자암호의 경우, 수학적 복잡성이 아닌 비가역적인 물리학적 자연현상에 기반을 두고 있어 앞선 다른 암호체계처럼 수학적인 접근을 할 수 없다.

광자 가로채기 후 재전송[편집]

리플레이 공격(Replay attack)은 통신 프로토콜의 약점을 이용하여 공격하는 방법의 대표적인 방법의 하나이다. 양자암호도 이러한 공격을 생각할 수 있지만, 공격자가 신호를 측정할 때 실수를 한다면 신호가 왜곡되어 정확한 정보를 측정할 수 없고, 왜곡한 신호를 통해 도청자의 존재가 발각된다. 자세히 설명하자면 다음과 같다.

패킷 등의 다수입자를 이용한 일반적인 통신 방법과 달리 양자암호는 양자채널에서 광자 하나하나에 신호를 부여한다. 따라서 외부의 침입자가 도청하기 위해서는 모든 단일 광자를 측정해야만 한다. 양자역학에서는 복제 불가능성 원리와 측정 후 붕괴 현상 때문에 단일 광자를 정확하게 측정할 기회가 단 한 번뿐이다. 공격자는 단 한 번의 기회에 정확한 패드를 선택해야 하는데, 둘 중 하나이므로 실패 확률은 50%에 달한다. 만약 잘못 선택했다면, 이를 우연히 정확한 비트로 선택할 확률은 50%이다. 따라서 공격자가 단일 광자에 실린 비트를 잘못 측정할 확률은 절반의 절반으로 25%가 되며, 반대로 정확하게 전송할 확률은 75%가 된다. 반면 퍼블릭 채널에서는 일반적인 방법과 동일한 도청을 할 수 있어 용이하다. 송수신 자는 퍼블릭채널을 통해 교환된 무결성을 체크하여 도청자의 존재를 알아낼 수 있다. 만약 데이터가 손상되었다면, 중간에 누군가가 신호를 왜곡했다는 증거이며 다시 말해 도청자가 존재한다고 해석할 수 있다. 도청자가 광자 하나를 정확히 측정할 확률은 75%이기 때문에 n개의 광자를 사용하는 n bit 데이터의 경우 도청자가 중간에 발견될 확률은 다음과 같다.


즉, 만약 n=72bit 데이터라면 도청자가 발견될 확률은 =0.999999999에 육박한다. 그러나 모든 데이터를 교환하는 건 정보가 노출될 위험이 있기 때문에 보통은 데이터의 일부만 체크하고 도청자의 존재를 파악한다. 다음은 BB84 프로토콜에서 도청자가 중간에 난입했을 때 신호가 어떻게 전송되고 왜곡되는지를 표현한 표이다. 앞과 동일하게 앨리스는 송신자, 밥은 수신자, 이브는 도청자를 가리킨다.

앨리스가 생성한 비트 0 1 1 0 1 0 0 1
앨리스가 전송하는 편광필터 + + × + × × × +
앨리스가 전송하는 광자 편광신호
이브가 임의로 선택한 측정 필터 + × + + × + × +
이브가 측정하고 재전송하는 편광신호
밥이 임의로 선택한 측정 필터 + × × × + × + +
밥이 측정한 편광 상태
전송 패드와 측정 패드가 일치하는지 여부 검증 퍼블릭 채널을 통한 데이터 교환(이 부분은 도청 가능)
최종적으로 생성되는 비밀키 0 0 0 1
생성된 비밀키에 대한 무결성 검증 Y N Y Y

복제 불가능성 원리[편집]

양자암호의 제일 큰 보안성은 측정이 한 번만 허용된다는 점이다. 최초의 기회를 제대로 활용하지 못한다면 신호는 왜곡이 될 것이고, 두 번째 측정부터는 정확한 측정을 진행할 수 없다. 이 경우, 전송 중인 광자를 한 번 복사해서 둘 이상의 광자를 생성하고 따로 측정한다는 가설이 있을 수도 있지만, 이는 양자역학의 기초현상 중 하나인 복제 불가능성 원리에 의해 광자의 완벽한 복사가 이뤄질 수 없다.

표준[편집]

양자키분배를 현대의 암호 시스템에 적용하여 함께 사용하기 위해서는 이 둘의 연동 특성과 양자키분배 모듈의 안정성, 양자키분배 모듈에 대한 현대암호 시스템 안전성 분석 기술이 모두 함께 고려되어야 한다. 양자키분배는 양자기술이 처음으로 실용화되는 분야로, 기술 표준화에 대한 수요가 증가하고 있다.

표준화 대상[편집]

표준화 대상으로는 기술의 구현 측면의 프로토콜 기술, 이 프로토콜을 구현하기 위해 양자 광원을 사용하여 양자 정보를 전달하는 광학 기술, 기존 정보 통신망을 사용하여 유효한 양자 정보를 골라내고 암호키를 생성하는 통신 및 암호기술, 이 과정들을 시스템화하는 시스템 기술, 생성된 시스템 기술을 활용한 네트워크 기술, 키 관리 기술 등이 있다. 기술의 활용 측면에서 양자키분배는 지점 대 지점 암호통신이나 이를 지원하는 기술이다. 본래 일회용 비밀번호를 대체하기 위해 제시되어 정보 이론적인 안전성 증명이 이뤄졌기 때문에, 사실 이 자체로도 완전한 암호통신을 진행할 수 있다. 하지만 현재 개발된 양자키분배 시스템은 속도나 인증 면에서 문제가 발생하기 때문에, 일회용 비밀번호보다는 현대암호 시스템의 암호키로 사용된다. 실제 암호통신에서는 양자 컴퓨터와 무관한 안전성의 현대 비밀키 암호로 사용하는 게 더 적합하다.

유럽 전기통신표준화협회[편집]

유럽전기통신표준화협회(ETSI)는 2008년부터 양자키분배의 표준화를 추진했다. 표준은 ISG(industry specification group)를 통해 추진되었는데, ISG가 만드는 그룹 규격은 산업화를 위해 필요한 규격을 만드는 것으로 산업체가 주도하고 있다. 그러나 유럽 시장에 대한 강제력은 가지고 있지는 않다. ETSI의 양자키분배 표준은 ISO/IEC 19790 표준의 절차를 활용한다. ETSI는 양자키분배 시스템을 구성하는 경우 필요한 표준들을 양자키분배 장치 입장에서 구성하는데, 즉, 양자키분배 시스템의 광학계 구현 및 양자 광원/측정기/변조기의 규격요소 정의, 그리고 이것들을 통해 만들어지는 프로토콜 구조, 양자키분배 안전성 증명체계 등의 안전성 증명 기술, 양자키분배 모듈이 암호장치와 연동되는 키 관리 인터페이스 표준 등이 있다. 양자키분배 모듈 보안규격 시스템 구현에 사용되는 광학 부품들의 특성과 측정시험 규격을 정의한다. 그리고 양자키분배 시스템이 사용되는 다양한 종류의 시나리오 예시가 문서로 정의되어 있다. 또, ETSI는 ETSI/IQC 양자 보안워크숍에서 양자키분배 기술의 표준화가 10년은 걸리리라 예측했으며, 그동안 양자키분배 기술과 공개키 암호기술인 양자 보안 기술 표준화를 통하여 양자 컴퓨팅 기술의 급격한 발전에도 암호기술의 혼란을 최소화하는 방향으로 표준을 진행하겠다고 말했다.

ISO/IEC 합동위원회/27 소위원회[편집]

ISO/IEC 합동위원회(ISO/IEC JTC 1)는 정보통신기술 세계표준을 담당하고 있다. 32개의 정회원국과 66개의 준회원국으로 운영되는 조직으로, 한국은 정회원에 속한다. 27 소위원회(SC27)는 IT 보안기술 표준을 다루고 있는 조직이다. 운영그룹을 포함하여 8개의 워킹그룹을 표준화하는 일을 맡았는데, 이 중 WG3에 2017년 11월 중국이 양자키분배 기술 표준화를 제안했다. 스페인이 간사국인 WG3는 보안 평가와 시험 및 규격을 담당하는 그룹이다. 중국이 WG3에 제안한 양자 키 프로젝트는 ISO/IEC 정례회의에서 암호 알고리즘의 표준화를 담당하는 WG2의 전문가들과 대화를 나누기도 했는데, 기존의 보안기술과 상이한 면이 있어 표준 전문가들과 대화하기에 다소 어려움이 있었다.

전기통신표준화분야 13 연구반[편집]

1865년, 유럽연합 산하의 국제기구인 국제전기통신연합(ITU)이 설립되었다. 1947년부터 유럽연합의 전문기관이 되었고, 유선통신과 전파, 방송, 위성 주파수 등의 국제 표준과 조정 역할을 맡았다. 전기통신표준화분야(ITU-T)는 전기통신기술, 운용 등을 다루며 산하의 13 연구반(SG13)은 미래 네트워크를 담당하는 연구반이다. ㈜케이티는 SG13에 양자키분배 지원 네트워크에 대한 표준을 제안했었고, 표준화 착수 요청이 승인돼서 표준화 절차에 돌입했었다. 양자키분배에 지원하기 위한 네트워크 토폴로지로 지점 대 지점, 지점 대 다 지점, 신뢰 중계기/양자 중계기를 사용하는 연결 구성을 제안했으며, 양자 레이어를 포함하는 네트워크 레이어를 제안했다.

TTA 정보보호기술위원회[편집]

TTA는 국내 정보통신기술 표준을 담당하고, 통신망 기술위원회(TC2)와 정보보호 기술위원회(TC5) 양자키분배 표준화를 진행했다. 그리고 TC2에서는 통신망 인프라에서 제공되는 전기통신 응용 및 서비스 기술 표준을 수행해서 통신관점의 양자키분배를 진행했다. 반면 TC5는 국내의 정보보호 표준, 국제표준화 추진 및 대응을 위한 정보 보호 기반, 개인정보, 사이버 보안, 평가인증 등의 프로젝트를 수행하고, 보안관점의 양자키분배 표준화를 진행했다. TC2의 양자키분배 표준화는 퀀텀 정보통신 연구조합에서 추진했고, TC5의 양자키분배 표준화는 국가보안기술연구소에서 추진했다. 양자키분배가 암호 시스템의 암호키 생성 모듈로 사용되고, 현대암호 시스템과 양자키분배 모듈이 하나의 암호 경계 안에서 구현되는 것과 CMVP 방식의 안전성 확인이 목표이다. 현대의 암호 시스템에서 암호 모듈 검증을 위해 적용된 CMVP 제도는 블록 암호, 해시함수, 공개키 암호 등의 중요한 암호 알고리즘을 보호 함수로 선정하고, 보호 함수를 구현하는 시스템이 문제없이 안전하게 구현되는지 확인하는 방식이다. 501 프로젝트 그룹(PG501)은 이 암호 알고리즘을 보호 함수로 선정하는 역할을 맡았고, 504 프로젝트 그룹(PG504)은 이 알고리즘을 구현한 시스템의 보안성을 평가한다. 양자키분배를 CMVP 방식으로 안전성을 검증하기 위해선 암호 알고리즘에 해당하는 양자키분배 프로토콜이 보호 함수로 선정되어야 하고, 이를 암호 시스템에서 안전하게 구현해야 한다. 501 프로젝트 그룹에서는 디코이가 적용된 BB84 프로토콜의 표준화를 진행했다.[6]

양자키분배 시스템[편집]

최근의 컴퓨터 네트워크들에서 안전한 데이터 전송은 송수신 간에 공유되는 비밀키를 사용해서 보호한다. 비밀키 자체가 안전한 상태에 있다면 비밀키로 인코딩된 데이터를 해독하는 것은 인코딩된 데이터가 감청되더라도 실질적으로 계산적으로 불가능하다. 따라서 비밀키 암호화 시스템은 비밀키가 어떻게 분배되느냐에 따라 보안의 정도가 결정된다. 예를 들면, 앨리스와 밥이라는 송수신 자가 서로 통신을 하고 있을 때, 비밀키가 감청된다면 최종 암호문이 노출될 가능성이 있다. 밥이 앨리스에게 암호화된 암호문을 해독하기 위해 앨리스 또는 제삼자에게 키의 사본을 공유해야 한다. 이 경우, 1) 앨리스는 키를 선택해서 키를 물리적으로 밥에게 전달할 수도 있다. 2) 제삼자가 키를 선택해서 키를 물리적으로 밥에게 전달할 수 있다. 3) 만약 앨리스와 밥이 둘다 제삼자의 접속을 알아챌 수 있다면 제삼자는 암호화된 링크를 사용하여 앨리스와 밥에게 키를 건넬 수 있다. 4) 만약 앨리스와 밥이 이전 키를 한번 사용한 적이 있다면, 앨리스는 이전 키로 새로운 키를 암호화해서 밥에게 전송할 수 있다. 5) 앨리스와 밥은 공유 키에 대해 디피-헬만 키 합의 같은 한 방향 수학적 알고리즘을 이용하여 공유키에 합의할 수 있다.

하지만, 이 분배 방법들은 송수신 과정에 도청자인 이브가 있다면 보안에 취약할 수 있다. 이브는 분배되는 키를 도청, 감청, 복사할 수 있고, 앨리스와 밥이 주고받는 암호문을 해독할 수도 있다. 기존의 암호화 시스템은 이러한 도청들을 감지하지 못할 수 있고, 결과적으로 앨리스와 밥 사이의 암호문은 손상된다. 이를 막고 보안을 강화하기 위해 개발된 기술이 양자 암호화 기술이며, 양자키분배 시스템은 양자 암호화 키를 분해하는 시스템을 구현한 것이다. 제1 네트워크에 스팬에 걸쳐 제1 양자 신호를 전송하기 위한 양자 키 생성 전송기를 포함한다. 중간 키 전송 장치는 제1 양자 키 생성 전송기에서 양자 bit들을 수신하고, 제1 양자 신호에 기초해서 제1 양자 키를 생성하기 위해 양자 키 생성 전송기와 교신하며, 제2 양자 신호를 제2 네트워크 스팬에 걸쳐 전송한다. 양자 키 생성 수신기는 중간 키 전송 장치에서 제2 양자 신호를 수신하고, 제2 양자 신호에 기초해서 제2 양자 키를 생성하기 위해 중간 키 전송 장치와 교신한다. 그럼 중간키 전송 장치는 제2 양자 키에 기초해서 제1 양자 키를 인코딩하며, 제1 양자 키를 양자 키 생성 수신기에 전송한다. 양자 키 생성 수신기는 인코딩된 제1 양자 키를 수신해서 디코딩된다. 이 밖의 시스템의 형태는 다음과 같다.

  • 양자 암호화 키 분배 방법
초기 양자 키 생성 전송기에서 제1 양자 신호를 수신하는 단계, 제1 양자 키를 생성하기 위해 초기 양자 키 생성 전송기와 교신하는 단계, 제2 양자 신호를 수신 측 양자 키 생성 전송기에 전송하는 단계, 제2 양자 키를 이용해서 제1 양자 키로 인코딩하는 단계, 수신 측 양자 키 생성 수신기에 인코딩된 제1 양자 키를 전송하는 단계로 이루어져 있다.
  • 장거리 네트워크를 통해 양자 키를 분배하는 장치
초기 키 생성 전송기로부터 제1 양자 신호를 수신한 다음, 제1 양자 신호에 기초해서 제1 키를 생성하기 위해 초기 키 생성 전송기와 통신하도록 구성된 중간 키 생성 수신기를 포함한다. 중간 키 생성 전송기는 제2 양자 신호를 수신 측 키 생성 수신기에 전송한 다음, 제2 양자 신호에 기초해서 제2 키를 생성하기 위해 수신 측 키 생성 수신기와 통신한다. 제2 키를 이용해서 제1 키를 인코딩하고, 제2 키를 이용해서 인코딩된 제1 키를 수신 측 키 생성 수신기로 전송한다.
  • 단일 채널을 이용해서 양자 및 공개 데이터를 전송하는 방법
양자 신호 및 공개 데이터 신호를 교번하여 포함하는 시분할 된 신호를 전송하는 단계, 양자 신호 시간 동안 시분할 된 신호에 강한 감쇄를 적용하는 단계, 공개 채널 신호 시간 동안에 시분할 된 신호에 약한 감쇄를 적용하는 단계로 이루어져 있다.[7]

취약점[편집]

  • 광자 분리 공격(PNS Attack, Photon Number Splitting Attack) : 단일광자생성기의 불완전성을 이용해서 파훼하는 방법이다. 일반적으로 신호를 생성하면 광자가 하나만 생성되지 않고 하나 이상의 광자를 동시에 생성하여 전송한다. 통신회선 중간에 반투명거울을 설치해서 광신호의 일부를 분리하고 측정하여, 전송되는 신호가 무엇인지 알아내는 공격 방법이다.
  • 맨 인 더-미들-어택(MITM Attack, Man-in-the-middle attack) : 중간에 공격자가 중계소처럼 행세해서 송수신 자를 교란하는 방법이다. 송신자와 공격자 사이에 다른 키를 공유하고, 공격자와 수신자 간의 다른 키를 공유하여 중간에서 오가는 신호를 도청한다.
  • 서비스 거부 공격(DoS, Denial of Service) : 통신 선상에 과부하를 줘서 정상적으로 통신하지 못하거나 하기 힘들게 만드는 방법이다. 제일 대표적인 예시로는 케이블을 물리적으로 절단하는 행위이다. 이 외에도 퍼블릭 채널을 대상으로 하는 고전적인 서비스 거부 공격 등을 할 수 있다.

기업[편집]

2019년 4월, 전국 데이터 트래픽의 핵심 전송 구간인 서울-대전 구간에 IDQ 양자키 분배 기술을 적용하여 송수신 보안을 강화했다. 2020년 3월 17일부터 26일까지는 온라인으로 진행된 ITU-T 회의에서 에스케이텔레콤㈜가 국제 표준을 받았다. 국제 표준을 받은 리포트의 주제는 '양자키분배 적용 네트워크의 필요 보안 사항'과 관련한 기술이다. 해당 표준은 국제기구인 ITU-T의 통신 보안 관련 전문 연구 조직 SG17에서 처음으로 완성한 양자키분배 관련 표준으로, 에스케이텔레콤㈜이 승인 받은 표준은 양자키분배 기술을 통신망에 적용할 때 고려해야 하는 보안 사항에 대한 내용이다. 에스케이텔레콤㈜은 국제 표준의 승인을 통해 서로 멀리 떨어진 통신 거점 사이에서 양자 키를 전송해야 할 때 갖춰야 하는 보안 요건과 양자키 분배를 관리하는 통신 거점에 필요한 보안 수준 등을 수립했다.[8]
2020년 6월, ㈜케이티는 3년간 자체 개발했던 양자키분배 기술을 ㈜우리넷과 같은 국내 중소기업에 이전하는 계약을 맺었다. ㈜우리넷은 광전송장비의 개발과 제작을 전문적으로 진행하는 기업이다. 국내 최초의 테라급 패킷 광 전송망 장비를 자체 개발하고 상용화까지 진행했고, 암호화된 패킷을 전송하는 기술을 가진 기업이다. ㈜케이티에서 ㈜우리넷으로 이전하는 기술은 정확히 '양자키분배 시스템'으로, 데이터를 도청과 해킹이 어려운 상태로 암호화하기 위해서 양자로 만든 암호 키를 통신망에 공급한다.
㈜케이티는 2018년부터 연구 개발을 진행하여 2019년에 처음으로 양자키분배 시스템의 프로토타입을 제작했다. 개발형 계층구조 표준에 따라 국내 중소기업의 암호화 장비와 양자키분배 시스템을 연동했으며, 2020년 4월에는 경기도 일부 지역에서 5G 네트워크에 적용하여 데이터 속도가 떨어지거나 지연이 발생하지 않는 성과를 냈다. 여기서 개방형 계층구조 표준은 ㈜케이티의 제안으로 ITU-T가 제정한 국제 표준을 말한다. 양자암호통신은 아직 다소 독점적이고 폐쇄적인 시장을 형성하고 있다는 일부 견해가 있지만, 원천 기술을 확보하기 힘든 국내 중소기업들에 양자키분배 기술이 제공되어 국내 산업 역량 향상을 위해 노력하고 있다.[9]

각주[편집]

  1. 1.0 1.1 Tyeolrik, 〈양자암호통신과 양자 키 분배〉, 《깃허브》, 2017-02-22
  2. 2.0 2.1 양자 키 분배 위키백과 - https://ko.wikipedia.org/wiki/%EC%96%91%EC%9E%90_%ED%82%A4_%EB%B6%84%EB%B0%B0
  3. 3.0 3.1 3.2 3.3 3.4 노태곤, 김헌오, 홍종철, 윤천주, 성건용, 정태형, 〈[양자암호통신기술]〉, 《전자통신동향분석제20권》, 2005-10
  4. 곽승환, 〈[양자키 분배기술 동향과 SK텔레콤 개발 현황]〉, 《에스케이텔레콤㈜》, 2015-06-23
  5. 손일권, 이성훈, 박주윤, 허준, 〈양자 통신 및 양자 암호의 개요〉, 《국가과학기술정보센터》, 2015-07-31
  6. 권대성, 장진각, 〈[양자암호 기술 보안 표준화 동향]〉, 《한국정보통신기술협회》, 2018-11
  7. 웰브록 글렌 에이, 시아 티에준 제이, 첸 데이비드 제트, 〈양자 키 분배 시스템(특허)〉, 《구글패턴트》, 2013-05-16
  8. 이경탁 기자, 〈SK텔레콤, ITU-T ‘양자키 분배’ 글로벌 표준 승인〉, 《조선비즈》, 2020-03-31
  9. 조상록 기자, 〈KT, 중소기업에 양자암호통신 ‘양자 키 분배’ 기술 이전〉, 《첨단헬로티》, 2020-07-01

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 양자키분배 문서는 암호 알고리즘에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.