양자키분배

양자키분배(Quantum Key Distribution)란 안전한 양자 통신을 위해 키를 분배하고 관리하는 기술이다. 양자 암호 키 분배라고도 부른다. 양자암호통신을 지칭하는 말이기도 하다.

개요

양자암호통신의 핵심은 비밀키를 통신상에서 실시간으로 안전하게 분배하는 기술이다. 여기서 비밀키를 양자의 특성을 이용해서 안전하게 분배하는 기술을 양자키분배라고 한다. 1984년, BB84 프로토콜이 등장하고 안정성과 구현가능성 면에서 가장 강력한 프로토콜로 인정받았으며, 실제 시스템에도 채용되고 있다.^[1] 양자키분배는 안전한 통신을 위해 만들어진 암호체계로서, 1984년에 C. H. Bennett과 G. Brassard가 제안했다. 기존의 대부분의 암호체계는 대부분 수학적 복잡성에 기반하지만, 양자암호는 자연현상에 기반하는 특징을 지녀, 암호에 사용되는 원타임 패드를 생성하는 이상적인 방법 중 하나이다. 통신 도중 도청자가 난입할 경우에는 정보가 왜곡되기 때문에 송수신 자가 바로 감지할 수 있고, 도청자는 절대 원하는 정보를 얻을 수 없기 때문에 절대적으로 안전하게 보안을 지킬 수 있는 대표적인 암호체계이다.^[2]

양자암호 또는 양자키분배 기술은 멀리 떨어진 두 사용자 사이에서 양자역학적으로 완전한 보안성이 보장되는 비밀 키를 분배하는 기술로, 본질적으로 통신 네트워크의 물리계층 보안 기술에 해당한다. BB84 프로토콜처럼, 일반적으로 양자암호통신에서는 양자 상태를 전송하는 양자 채널과 도청자를 포함한 외부에 완전히 공개한 고전 채널인 두 가지 통신채널을 이용한다. 즉, 양자채널은 양자암호통신의 핵심 통신채널이며, 양자 복제불가능 원리로 인하여 비밀을 완벽히 유지할 수 있다. 그러나 고전 채널은 두 사람이 무작위로 선택한 기저를 공개적으로 서로 비교하거나 생성된 암호 키의 일부분을 서로 공개하고 비교하여 도청자를 탐지하기 위해 사용하는 통신채널이다. 보통 기존의 디지털 광전송 채널이나 무선통신채널을 가리킨다.^[3]

기존의 광통신을 이용한 키 분배

기존의 광통신에서는 신호 속에 무수히 많은 광자가 들어있다. 이중 일부를 갈라서 증폭하면 전송하는 모든 정보를 도청자가 읽거나 복제할 수 있다.

정상적인 통신을 방해하지 않을 만큼만 빛을 갈라내기 때문에, 외부에서 도청하고 있다는 사실을 인지하지 못할 수 있다.

양자암호키 분배

도청자가 단일 광자를 못가져가면, 정보가 정상적으로 전송되고 도청자의 정보는 없다.

도청자가 단일 광자를 가져가면, 정보가 정상적으로 전송되지 못하고 도청자가 가져간 정보는 의미가 없다.

도청자가 양자 상태를 측정하고 재전송하려고 시도하면 불확정성 및 복제불가능 원리로 오휴가 증폭되어 외부에서 위협을 가했다는 사실을 감지한다.^[4]

원리

일반적인 다른 통신은 파장이나 진폭 등으로 통신하는 반면에, 양자암호는 광자를 하나 단위로 신호를 운반한다. 광자 단위로 편광이나 위상차를 사용하여 신호를 전송하면, 송신측에서도 평관패드나 간섭계로 측정한다. 각종 외부환경에 취약한 광자의 특성상 가용전송거리가 매우 짧고, 보통은 이를 실용적으로 이용하기 위해 25km 정도 단위마다 중계소를 설치한 양자암호 네트워크가 있다. 각각의 키는 중계소 단위로 분배된다. 현재 중계소 없이 사용할 수 있는 통신거리는 약 140km이다.

BB84 프로토콜

1984년, C. H. Bennet과 G. Brassard이 양자암호에 대한 논문을 발표하면서 같이 제안한 양자 암호통신 프로토콜이다. 송신자는 앨리스(person A), 수신자는 밥(person B)이라고 이름 붙인다. BB84 프로토콜는 앨리스와 밥 사이에서 OTP를 생성하는 프로토콜이고, 다음 표와 같이 0비트의 상태를 나타내는 편광 2가지와 1비트의 상태를 나타내는 편광 2가지를 정의하고 십자필터와 대각필터를 통해 측정한다. 앨리스와 밥은 이 프로토콜을 통해 난수를 생성하고, 중간에 도청자인 이브가 난입해서 정보를 가로채려해도 정확한 정보를 얻을 수 없다. 전송한 데이터를 받은 사람은 데이터가 크게 왜곡되어 도착하기 때문에 도청이 있었다는 사실을 빨리 감지할 수 있다. 다음은 BB84 프로토콜의 전체적인 흐름이다.

Basis	0	1
+	↑	→
×	↗	↘

예시 1

앨리스가 임의의 비트를 생성한다
비트를 전송할 편광신호로 변환하기 위해 필터를 하나 선택한다.
필터에 대응되는 편광신호를 생성하고 양자채널로 보낸다
밥은 측정하기 위한 편광필터를 임의로 선택한다.
선택한 편광필터로 값을 측정하여 보관한다.
앨리스와 밥은 퍼블릭 채널을 통해 같은 필터를 사용했는지 여부를 검증한다.
같은 필터를 사용한 비트에 대해서만 보관하고 서로 다른 필터를 사용한 비트는 제거한다.

이와 같은 과정을 거치면 표처럼 앨리스와 밥은 0101이라는 값을 공유하고, 이 값을 비밀키로 활용한다.^[2]

앨리스가 생성한 비트	0	1	1	0	1	0	0	1
앨리스가 전송하는 편광필터	+	+	×	+	×	×	×	+
앨리스가 전송하는 광자 편광신호	↑	→	↘	↑	↘	↗	↗	→
밥이 선택한 측정필터	+	×	×	×	+	×	+	+
밥이 측정한 편광 상태	↑	↗	↘	↗	→	↗	→	→
전송 패드와 측정패드가 일치하는지 여부 검증	퍼블릭 채널을 통한 데이터 교환(도청 가능)
최종적으로 생성되는 비밀키	0		1			0		1

예시 2

비트값	$\bigoplus$	$\bigotimes$
0	│↕＞	│↖＞
1	│↔＞	│↗＞

위의 표를 송신자와 수신자가 결정한 네 가지 극성 표현법이라고 가정한다. 편광에는 수직편광과 수평편광 2종류를 사용하기로 한다.

송신자가 4n 비트의 데이터를 +와 ×의 편광필터를 무작위로 선택하여 송신한다. 보낸 데이터와 필터는 기록한다.
수신자는 수신받은 데이터를 +와 ×의 편광검출기를 본인 마음대로 아무거나 선택해서 관측한다.
수신자는 송신자에게 자신이 사용한 필터를 송신자의 기록과 비교 및 대조한다.
필터와 검출기가 일치하면 데이터를 가지고 있고, 다르면 데이터를 버린다. 일치할 확률이 50%이므로, 2n 비트의 동일한 데이터를 서로 공유하게 된다.
수신자는 데이터의 일부를 공개하고 송신자는 데이터를 자신이 보낸 데이터와 대조하여 일치여부를 확인한다.
데이터가 일치하면 일회성패드로 사용하며, 만약 데이터가 일치하지 않는다면 도청이 있었던 것으로 간주하고 데이터를 모두 버려 다시 반복해서 일회성패드를 생성한다.

만약 도청자가 있다면, 양자의 특성 중 하나인 불확정성 원리때문에 양자를 완벽히 복제하여 재전송할 수 없다. 따라서 광자의 극성이 변화하고 데이터가 변조되어 오류가 일어날 확률이 높기 때문에, 양자키분배는 도청의 여부를 확실하고 쉽게 파악할 수 있는 안전한 암호법이다.^[1]

보안성

수학적 해독

사용되고 있는 대부분의 암호체계는 보통 수학적 복잡성에 기반하며 가역적이기 때문에, 문제를 푸는데 그만큼의 시간을 들인다면 해독할 수 있다. 일반적으로 가장 많이 사용되고 있는 RSA는 문제를 해독하는데 걸리는 시간이 천문학적이기 때문에 가장 강력한 암호체계라고 불리고 있으나, 컴퓨터의 발전에 따른 처리 시간의 단축으로 해독을 하는데 걸리는 시간이 점점 감소하면서 단시간 안에 해독될 가능성이 있다는 의견도 있다. 양자암호의 경우, 수학적 복잡성이 아닌 비가역적인 물리학적 자연현상에 기반을 두고 있어 앞선 다른 암호체계처럼 수학적인 접근을 할 수 없다.

광자 가로채기 후 재전송

리플레이 공격(Replay attack)은 통신 프로토콜의 약점을 이용하여 공격하는 방법의 대표적인 방법 중 하나이다. 양자암호의 경우도 이러한 공격을 생각할 수 있지만, 공격자가 신호를 측정할 때 실수를 한다면 신호가 왜곡되어 정확한 정보를 측정할 수 없고, 왜곡한 신호를 통해 도청자의 존재가 발각된다. 자세히 설명하자면 다음과 같다.

패킷 등의 다수입자를 이용한 일반적인 통신 방법과 달리 양자암호는 양자채널에서 광자 하나하나에 신호를 부여한다. 따라서 외부의 침입자가 도청을 하기위해서는 모든 단일 광자를 측정해야만 한다. 양자역학에서는 복제 불가능성 원리와 측정 후 붕괴현상 때문에 단일 광자를 정확하게 측정할 수 있는 기회가 단 한번뿐이다. 공격자는 단 한번의 기회에 정확한 패드를 선택해야 하는데, 둘 중 하나이므로 실패 확률은 50%에 달한다. 또한 잘못 선택한 경우에 한하여 이를 우연히 정확한 비트로 선택할 확률은 50%이다. 따라서 공격자가 단일 광자에 실린 비트를 잘못 측정할 확률은 절반의 절반으로 25%가 되며, 반대로 정확하게 전송할 확률은 75%가 된다. 반면 퍼블릭 채널에서는 일반적인 방법과 동일한 도청을 할 수 있어 용이하다. 송수신 자는 퍼블릭채널을 통해 교환된 무결성을 체크하여 도청자의 존재를 알아낼 수 있다. 만약 데이터가 손상되었다면, 중간에 누군가가 신호를 왜곡했다는 증거이며 다시말해 도청자가 존재한다고 해석할 수 있다. 도청자가 광자 하나를 정확히 측정할 확률은 75%이기 때문에 n개의 광자를 사용하는 n비트 데이터의 겨우 도청자가 중간에 발견될 확률은 다음과 같다.

$P_{d}=1-({\frac {3}{4}})^{n}$

즉, 만약 n=72비트 데이터라면 도청자가 발견 될 확률은 <math>P_{d}=0.999999999에 육박한다. 그러나 모든 데이터를 교환하는 건 정보가 노출될 위험이 있기 때문에 보통은 데이터의 일부만 체크하고 도청자의 존재를 파악한다. 다음은 BB84 프로토콜에서 도청자가 중간에 난입했을 때 신호가 어떻게 전송되고 왜곡되는지를 표현한 표이다. 앞과 동일하게 앨리스는 송신자, 밥은 수신자, 이브는 도청자를 가리킨다.

앨리스가 생성한 비트	0	1	1	0	1	0	0	1
앨리스가 전송하는 편광필터	+	+	×	+	×	×	×	+
앨리스가 전송하는 광자 편광신호	↑	→	↘	↑	↘	↗	↗	→
이브가 임의로 선택한 측정필터	+	×	+	+	×	+	×	+
이브가 측정하고 재전송하는 편광신호	↑	↗	→	↑	↘	→	↗	→
밥이 임의로 선택한 측정필터	+	×	×	×	+	×	+	+
밥이 측정한 편광 상태	↑	↗	↗	↘	→	↗	↑	→
전송 패드와 측정 패드가 일치하는지 여부 검증	퍼블릭 채널을 통한 데이터 교환(이 부분은 도청 가능)
최종적으로 생성되는 비밀키	0		0			0		1
생성된 비밀키에 대한 무결성 검증	Y		N			Y		Y

복제 불가능성 원리

양자암호의 제일 큰 보안성은 측정이 한번만 허용된다는 점이다. 최초의 기회를 제대로 활용하지 못한다면 신호는 왜곡이 될 것이고, 두 번째 측정부터는 정확한 측정을 진행할 수 없다. 이 경우, 전송 중인 광자를 한 번 복사해서 둘 이상의 광자를 생성하고 따로 측정한다는 가설이 있을수도 있지만, 이는 양자역학의 기초현상 중 하나인 복제 불가능성 원리에 의해 광자의 완벽한 복사가 이뤄질 수 없다.

취약점

광자분리공격(PNS Attack, Photon Number Splitting Attack) : 단일광자생성기의 불완전성을 이용해서 파훼하는 방법이다. 일반적으로 신호를 생성하면 광자가 하나만 생성되지 않고 하나 이상의 광자를 동시에 생성하여 전송한다. 통신회선 중간에 반투명거울을 설치해서 광신호의 일부를 분리하고 측정하여, 전송되는 신호가 무엇인지 알아내는 공격 방법이다.

맨인더-미들-어택(MITM Attack, Man-in-the-middle attack) : 중간에 공격자가 중계소처럼 행세해서 송수신 자를 교란하는 방법이다. 송신자와 공격자 사이에 다른 키를 서로 공유하고, 공격자와 수신자 간의 다른 키를 공유하여 중간에서 오가는 신호를 도청한다.

서비스 거부 공격(DoS, Denial of Service) : 통신선상에 과부하를 줘서 정상적으로 통신하지 못하거나 하기 힘들게 만드는 방법이다. 제일 대표적인 예시로는 케이블을 물리적으로 절단하는 행위이다. 이 외에도 퍼블릭 채널을 대상으로하는 고전적인 서비스 거부 공격등을 할 수 있다.

기업

에스케이텔레콤㈜

2019년 4월, 전국 데이터 트래픽의 핵심 전송 구간인 서울-대전 구간에 IDQ 양자키 분배 기술을 적용하여 송수신 보안을 강화했다. 2020년 3월 17일부터 26일까지는 온라인으로 진행된 ITU-T 회의에서 에스케이텔레콤㈜가 국제 표준을 받았다. 국제 표준을 받은 리포트의 주제는 '양자키분배 적용 네트워크의 필요 보안 사항'과 관련한 기술이다. 해당 표준은 국제기구인 ITU-T의 통신 보안 관련 전문 연구 조직 SG17에서 처음으로 완성한 양자키분배 관련 표준으로, 에스케이텔레콤㈜이 승인 받은 표준은 양자키분배 기술을 통신망에 적용할 때 고려해야하는 보안 사항에 대한 내용이다. 에스케이텔레콤㈜은 국제 표준의 승인을 통해 서로 멀리 떨어져있는 통신 거점사이에서 양자키를 전송해야할 때 갖춰야 하는 보안 요건과, 양자키 분배를 관리하는 통신 거점에 필요한 보안 수준 등을 수립했다.

㈜케이티

2020년 6월, ㈜케이티는 3년간 자체개발했던 양자키분배 기술을 우리넷과 같은 국내 중소기업들에 이전하는 계약을 맺었다. 이전하는 기술은 정확히 '양자키분배 시스템'으로, 데이터를 도청과 해킹이 어려운 상태로 암호화하기 위해서 양자로 만든 암호 키를 통신망에 공급한다. ㈜케이티는 2018년부터 연구 개발을 진행하여 2019년에 처음으로 양자키분배 시스템의 프로토타입을 제작했다. 개발형 계층구조 표준에 따라 국내 중소기업의 암호화 장비와 양자키분배 시스템을 연동했으며, 2020년 4월에는 경기도 일부 지역에서 5G 네트워크에 적용하여 데이터 속도가 떨어지거나 지연이 발생하지 않는 성과를 냈다. 여기서 개방형 계층구조 표준은 ㈜케이티의 제안으로 ITU-T가 제정한 국제 표준을 말한다. 양자암호통신은 아직 다소 독점적이고 폐쇄적인 시장을 형성하고 있다는 일부 견해가 있지만, 원천 기술을 확보하기 힘든 국내 중소기업들에게 양자키분해 기술이 제공되어 국내 산업 역량 향상을 위해 노력하고 있다.

각주

↑ ^1.0 ^1.1 Tyeolrik, 〈양자암호통신과 양자 키 분배〉, 《깃허브》, 2017-02-22
↑ ^2.0 ^2.1 양자 키 분배 위키백과 - https://ko.wikipedia.org/wiki/%EC%96%91%EC%9E%90_%ED%82%A4_%EB%B6%84%EB%B0%B0
↑ 노태곤, 김헌오, 홍종철, 윤천주, 성건용, 정태형, 〈[양자암호통신기술]〉, 《전자통신동향분석제20권》, 2005-10
↑ 곽승환, 〈[양자키 분배기술 동향과 SK텔레콤 개발 현황]〉, 《에스케이텔레콤㈜》, 2015-06-23

참고자료

양자 키 분배 위키백과 - https://ko.wikipedia.org/wiki/%EC%96%91%EC%9E%90_%ED%82%A4_%EB%B6%84%EB%B0%B0
양자 암호 키 분배 지식백과 IT용어사전 - https://terms.naver.com/entry.nhn?docId=3548879&cid=42346&categoryId=42346
양자 암호 키 분배 지식백과 물리학백과 - https://terms.naver.com/entry.nhn?docId=5741333&cid=60217&categoryId=60217

노태곤, 김헌오, 홍종철, 윤천주, 성건용, 정태형, 〈[양자암호통신기술]〉, 《전자통신동향분석제20권》, 2005-10
웰브록 글렌 에이, 시아 티에준 제이, 첸 데이비드 제트, 〈양자 키 분배 시스템(특허)〉, 《구글패턴트》, 2013-05-16
곽승환, 〈[양자키 분배기술 동향과 SK텔레콤 개발 현황]〉, 《에스케이텔레콤㈜》, 2015-06-23
Tyeolrik, 〈양자암호통신과 양자 키 분배〉, 《깃허브》, 2017-02-22
이경탁 기자, 〈SK텔레콤, ITU-T ‘양자키 분배’ 글로벌 표준 승인〉, 《조선비즈》, 2020-03-31
조상록 기자, 〈KT, 중소기업에 양자암호통신 ‘양자 키 분배’ 기술 이전〉, 《첨단헬로티》, 2020-07-01

같이 보기

이 양자키분배 문서는 암호 알고리즘에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.

블록체인 : 블록체인 기술, 합의 알고리즘, 암호 알고리즘^□^■^⊕, 알고리즘, 블록체인 플랫폼, 블록체인 솔루션, 블록체인 서비스

암호기술	개인키 • 경량암호 • 다자간 계산(MPC) • 다중서명(멀티시그) • 동형암호 • 디지털서명 • 링서명 • 배타적 논리합(XOR) • 복호화 • 블랙박스 암호 • 서명 • 소수 • 소인수분해 • 슈노르서명 • 스케인 • 스키테일 • 스테가노그래피 • 안전한 다자간 계산(SMPC) • 암호 • 암호경제학 • 암호문 • 암호키 • 암호학 • 암호화 • 이산로그 • 전자봉투 • 전자서명 • 전치암호 • 종단간 암호화 • 치환암호(대체암호) • 키 • 패딩 • 패스워드 • 평문 • 합성수 • 해독 • 해시 • 형태보존암호 • 혼돈 • 화이트박스 암호 • 확산

논리연산	논리곱(AND) • 논리연산 • 논리합(OR) • 배타적 논리합(XOR) • 부울곱 • 부울대수 • 부울합 • 부정논리곱(NAND) • 부정논리합(NOR) • 부정연산(NOT)

SHA	SHA • SHA0 • SHA1 • SHA2 • SHA224 • SHA256 • SHA384 • SHA512 • SHA512/224 • SHA512/256 • SHA3 • SHA3-224 • SHA3-256 • SHA3-384 • SHA3-512

MD	MD • MD2 • MD4 • MD5 • RIPEMD • RIPEMD-128 • RIPEMD-160 • RIPEMD-256 • RIPEMD-320

기타 해시	CRC-16 • CRC-32 • CRC-64 • Keccak-256 • Keccak-384 • Keccak-512 • Shake-128 • Shake-256 • 베이스32 • 베이스32 파일 • 베이스58 • 베이스64 • 베이스64 파일 • 순환중복검사

대칭키	AES • ARIA(아리아) • DES • HIGHT(하이트) • LEA • SEED(시드) • 대칭키 • 대칭키 암호 알고리즘 • 디피-헬만 • 디피-헬만 키교환 • 레인달 • 블로피시 • 블록암호 • 스트림 암호 • 에스박스(S-Box) • 트리플 DES

비대칭키	PKI • RSA • 공개키 • 공개키 암호 알고리즘 • 비대칭키 • 엘가말 • 타원곡선 • 타원곡선 디지털서명 알고리즘 • 타원곡선암호

영지식증명	영지식 상호 증명(ZKIP) • 영지식 스나크 • 영지식 스타크 • 영지식증명

양자암호	BB84 프로토콜 • E91 프로토콜 • B92 프로토콜 • 비밀키 오류율 • 안전성 증명 • 양자난수생성기 • 양자내성암호 • 양자암호 • 양자얽힘 • 양자역학 • 양자중첩 • 양자컴퓨터 • 양자키 • 양자키분배 • 양자통신 • 연속 변수 프로토콜

암호해독	기지평문공격(KPA) • 선택암호문공격(CCA) • 선택평문공격(CPA) • 암호공격 • 암호문 단독공격(COA) • 암호해독

암호학 인물	라이언 플레이페어 • 레너드 애들먼 • 로널드 리베스트 • 마틴 헬만 • 블레즈 드 비즈네르 • 아디 샤미르 • 앨런 튜링 • 웨슬리 피터슨 • 찰스 휘트스톤 • 휫필드 디피

위키 : 자동차, 교통, 지역, 지도, 산업, 기업, 단체, 업무, 생활, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[.EC.96.91.EC.9E.90.EC.95.94.ED.98.B8.ED.86.B5.EC.8B.A0.EA.B3.BC_.EC.96.91.EC.9E.90_.ED.82.A4_.EB.B6.84.EB.B0.B0-1] 1.0 ^1.1 Tyeolrik, 〈양자암호통신과 양자 키 분배〉, 《깃허브》, 2017-02-22

[.EC.96.91.EC.9E.90_.ED.82.A4_.EB.B6.84.EB.B0.B0_.EC.9C.84.ED.82.A4.EB.B0.B1.EA.B3.BC-2] 2.0 ^2.1 양자 키 분배 위키백과 - https://ko.wikipedia.org/wiki/%EC%96%91%EC%9E%90_%ED%82%A4_%EB%B6%84%EB%B0%B0

[3] 노태곤, 김헌오, 홍종철, 윤천주, 성건용, 정태형, 〈[양자암호통신기술]〉, 《전자통신동향분석제20권》, 2005-10

[4] 곽승환, 〈[양자키 분배기술 동향과 SK텔레콤 개발 현황]〉, 《에스케이텔레콤㈜》, 2015-06-23

[1]

[2]

[3]

[4]

위키원

이름공간

변수

보기

더 보기

검색