a16z 심층 장문: 양자 컴퓨팅이 블록체인에 미치는 위협을 올바르게 이해하는 방법

?원문：《양자 컴퓨팅과 블록체인: 긴급성을 실제 위협에 맞추기》

편집: Ken, Chaincatcher

암호학 관련 양자 컴퓨터의 일정은 종종 과장되며------이는 사람들이 긴급하고 포괄적으로 포스트 양자 암호학으로 전환할 것을 촉구하게 만듭니다.

하지만 이러한 촉구는 종종 조기 전환의 비용과 위험을 간과하며, 서로 다른 암호학 원형 간의 전혀 다른 위험 특성을 무시합니다:

• 포스트 양자 암호화는 비쌉니다만, 즉시 배포가 필요합니다: "먼저 수집하고 나중에 복호화하기"(HNDL) 공격이 이미 시작되었습니다. 양자 컴퓨터가 등장하는 데는 수십 년이 걸리더라도, 오늘날 암호화된 민감한 데이터는 미래에도 여전히 가치가 있습니다. 포스트 양자 암호화의 성능 오버헤드와 구현 위험은 분명 존재하지만, 장기적으로 비밀이 필요한 데이터에 대해 HNDL 공격에 직면했을 때 우리는 선택의 여지가 없습니다.

• 포스트 양자 서명은 다른 고려 사항에 직면해 있습니다. 이들은 HNDL 공격에 덜 취약하지만, 그 비용과 위험(더 큰 크기, 성능 오버헤드, 미성숙한 구현 및 취약점)은 우리가 즉각적인 전환이 아닌 심사숙고한 전략을 취해야 함을 요구합니다.

이러한 차이는 매우 중요합니다. 오해는 비용-효익 분석을 왜곡하여 팀이 더 두드러진 보안 위험을 간과하게 만듭니다.

포스트 양자 암호학의 진정한 도전은 긴급성을 실제 위협에 맞추는 것입니다. 아래에서는 양자 위협이 암호학(암호화, 서명 및 제로 지식 증명 포함)에 미치는 일반적인 오해를 명확히 하고, 이러한 위협이 블록체인에 미치는 영향에 특별히 주목할 것입니다.

시간의 경과

일부 저명한 인사들이 2020년대에 암호학적으로 의미 있는 양자 컴퓨터가 등장할 것이라고 주장하지만, 이러한 주장은 매우 비현실적입니다.

제가 말하는 "암호학적으로 의미 있는 양자 컴퓨터"는 오류 수정이 가능한 양자 컴퓨터로, 합리적인 시간 내에 쇼어 알고리즘을 실행하여 타원 곡선 암호학이나 RSA를 공격할 수 있는 규모를 갖춘 것입니다(예를 들어, 최대 한 달의 지속적인 계산으로 secp256k1 또는 RSA-2048을 해독할 수 있습니다).

공개 이정표와 자원 추정에 대한 합리적인 해석에 따르면, 우리는 암호학적으로 의미 있는 양자 컴퓨터를 만드는 데 여전히 멀었습니다. 일부 회사는 CRQC가 2030년 이전 또는 2035년 이전에 등장할 가능성이 높다고 주장하지만, 공개된 진전은 이러한 주장을 뒷받침하지 않습니다.

배경으로, 모든 기존 아키텍처(포획 이온, 초전도 큐비트 및 중성 원자 시스템) 중에서------현재 RSA-2048 또는 secp256k1에서 쇼어 알고리즘을 실행하는 데 필요한 수십만에서 수백만 개의 물리적 큐비트에 가까운 양자 컴퓨팅 플랫폼은 없습니다(오류율 및 오류 수정 계획에 따라 다름).

제한 요소는 큐비트의 수뿐만 아니라, 게이트 충실도, 큐비트 연결성 및 깊이 양자 알고리즘을 실행하는 데 필요한 지속적인 오류 수정 회로 깊이도 포함됩니다. 현재 일부 시스템의 물리적 큐비트 수는 1,000개를 초과하지만, 원시 큐비트 수만을 보는 것은 오해를 불러일으킵니다: 이러한 시스템은 암호학 관련 계산에 필요한 큐비트 연결성과 게이트 충실도가 부족합니다.

최근 시스템은 양자 오류 수정이 작동하기 시작하는 물리적 오류율에 근접했지만, 누군가가 오류 수정 회로 깊이를 유지할 수 있는 논리적 큐비트를 초과하여 보여준 적은 없습니다… 실제로 쇼어 알고리즘을 실행하는 데 필요한 수천 개의 고충실도, 깊은 회로, 오류 수정 논리적 큐비트는 말할 것도 없습니다. 양자 오류 수정 원리가 실행 가능하다는 것을 증명하는 것과 암호 분석에 필요한 규모 사이에는 여전히 큰 간극이 존재합니다.

간단히 말해: 큐비트 수와 충실도가 몇 배 증가하지 않는 한, 암호학적으로 의미 있는 양자 컴퓨터는 여전히 손이 닿지 않습니다.

그러나 기업 보도 자료와 언론 보도는 쉽게 혼란을 초래할 수 있습니다. 몇 가지 일반적인 오해와 혼란의 출처는 다음과 같습니다:

• 일부 시연은 "양자 우위"를 주장하지만, 이는 인위적으로 설계된 작업을 대상으로 합니다. 이러한 작업을 선택한 이유는 실제 용도가 아니라, 기존 하드웨어에서 실행할 수 있으면서 겉으로는 엄청난 양자 가속 효과를 보여줄 수 있기 때문입니다------이 사실은 종종 발표에서 가려집니다.

• 일부 회사는 수천 개의 물리적 큐비트를 보유하고 있다고 주장합니다. 그러나 이는 일반적으로 쇼어 알고리즘 공격을 실행하는 데 필요한 게이트 모델 머신이 아닌 양자 어닐링 머신을 의미합니다.

• 일부 회사는 "논리적 큐비트"라는 용어를 남용합니다. 물리적 큐비트는 노이즈가 있습니다. 앞서 언급했듯이, 양자 알고리즘(예: 쇼어 알고리즘)은 수천 개의 논리적 큐비트를 필요로 합니다. 양자 오류 수정 기술을 활용하면 많은 물리적 큐비트(일반적으로 수백에서 수천 개, 오류율에 따라 다름)를 사용하여 하나의 논리적 큐비트를 구현할 수 있습니다. 그러나 일부 회사는 이 용어를 식별할 수 없을 정도로 확대 해석합니다. 예를 들어, 최근 발표된 내용은 거리 2의 코드를 사용하여 48개의 논리적 큐비트를 구현했다고 주장하며, 각 논리적 큐비트는 단 두 개의 물리적 큐비트를 사용합니다. 이는 터무니없습니다: 거리 2의 코드는 오류를 감지할 수 있을 뿐, 오류를 수정할 수는 없습니다. 암호 분석에 실제로 사용되는 오류 수정 논리적 큐비트는 수백에서 수천 개의 물리적 큐비트를 필요로 하며, 두 개가 아닙니다.

보다 넓게 보면, 많은 양자 컴퓨팅 로드맵은 "논리적 큐비트"라는 용어를 사용하여 클리포드 연산만 지원하는 큐비트를 지칭합니다. 이러한 연산은 고전 컴퓨터에서 효율적으로 시뮬레이션할 수 있으므로, 쇼어 알고리즘을 실행하기에는 충분하지 않습니다. 쇼어 알고리즘은 수천 개의 오류 수정 T 게이트(또는 더 일반적인 비클리포드 게이트)를 필요로 합니다.

어떤 로드맵이 "어떤 해에 수천 개의 논리적 큐비트를 달성할 것"이라는 목표를 가지고 있더라도, 이는 해당 회사가 같은 해에 쇼어 알고리즘을 실행하여 고전 암호를 해독할 것이라고 기대한다는 의미는 아닙니다.

이러한 관행은 "우리가 암호학적으로 의미 있는 양자 컴퓨터에 얼마나 멀리 있는가"에 대한 대중의 인식을 심각하게 왜곡하며, 심지어 숙련된 관찰자들도 영향을 받습니다.

그렇긴 해도, 일부 전문가들은 실제로 진전을 보고 흥분하고 있습니다. 예를 들어, Scott Aaronson은 최근 "현재의 놀라운 하드웨어 발전 속도를 고려할 때, 나는 이제 다음 미국 대통령 선거 이전에 우리가 쇼어 알고리즘을 실행할 수 있는 오류 수정 양자 컴퓨터를 가질 가능성이 있다고 생각한다"고 썼습니다.

하지만 Aaronson은 나중에 그의 발언이 암호학적으로 의미 있는 양자 컴퓨터를 지칭한 것이 아니라고 명확히 했습니다: 완전 오류 수정된 쇼어 알고리즘이 15 = 3×5를 분해하는 것조차 연필과 종이를 사용하는 것보다 느리기 때문에, 그는 이를 달성한 것으로 간주하지 않을 것입니다. 현재의 기준은 쇼어 알고리즘의 소규모 실행이며, 암호학적으로 의미 있는 실행이 아닙니다. 왜냐하면 이전에 양자 컴퓨터에서 15를 분해할 때는 단순화된 회로를 사용했지, 완전하고 오류 수정된 쇼어 알고리즘을 사용하지 않았기 때문입니다. 이러한 실험이 항상 15를 분해 대상으로 선택한 이유가 있습니다: 모듈로 15의 연산은 계산적으로 매우 쉽지만, 조금 더 큰 숫자(예: 21)를 분해하는 것은 훨씬 더 어렵습니다. 따라서 21을 분해할 수 있다고 주장하는 양자 실험은 일반적으로 추가적인 힌트나 지름길에 의존합니다.

간단히 말해, 향후 5년 내에 RSA-2048 또는 secp256k1을 해독할 수 있는 암호학적으로 의미 있는 양자 컴퓨터가 등장할 것이라는 기대는 지지받지 않습니다.

10년이 지나도 여전히 불확실성이 가득합니다. 암호학적으로 의미 있는 양자 컴퓨터와의 거리를 고려할 때, 진전에 대한 흥분과 '10년 이상'의 시간선은 완전히 양립할 수 있습니다.

그렇다면 미국 정부가 2035년을 정부 시스템이 포스트 양자 시대에 전면적으로 전환하는 마감일로 정한 이유는 무엇일까요? 저는 이것이 그렇게 대규모 전환을 완료하는 데 합리적인 일정이라고 생각합니다. 그러나 이는 그때까지 암호학적으로 의미 있는 양자 컴퓨터가 등장할 것이라는 예측을 의미하지는 않습니다.

HNDL 공격의 적용 및 비적용 상황

"먼저 수집하고 나중에 복호화하기"(HNDL) 공격은 적이 먼저 암호화된 트래픽을 저장한 다음, 암호학적으로 관련된 양자 컴퓨터가 존재할 때 이를 복호화하는 것을 의미합니다. 국가 차원의 적대 세력은 이미 미국 정부의 암호화된 통신을 대규모로 아카이브하고 있으며, 수년 후 CRQC가 등장할 때 이러한 통신을 복호화할 수 있도록 하고 있습니다.

이것이 바로 오늘날 암호 기술이 전환이 필요하다고 말하는 이유입니다------적어도 10-50년 이상의 비밀 유지 요구가 있는 사람들에게는 말입니다.

그러나 모든 블록체인이 의존하는 디지털 서명은 암호화 기술과 다릅니다: 그것은 추적 가능한 공격의 비밀성 문제를 가지고 있지 않습니다.

다시 말해, 암호학적으로 관련된 양자 컴퓨터가 등장하면, 그때부터 서명을 위조하는 것이 가능해지지만, 과거의 서명은 암호화된 정보처럼 "비밀"을 "숨기지" 않습니다. 디지털 서명이 CRQC가 등장하기 전에 생성된 것임을 아는 한, 그것은 위조될 수 없습니다.

이로 인해 포스트 양자 디지털 서명으로의 전환은 암호화 분야의 포스트 양자 전환만큼 긴급하지 않습니다.

주요 플랫폼들은 이에 대한 조치를 취하고 있습니다: Chrome과 Cloudflare는 웹 전송 계층 보안 프로토콜 암호화를 위한 혼합 X25519 + ML-KEM 암호화 방안을 도입했습니다. (읽기 편의를 위해 본문에서는 "암호화 방안"이라는 용어를 사용하지만, 엄밀히 말하면 TLS와 같은 보안 통신 프로토콜은 공개 키 암호화가 아닌 키 교환 또는 키 포장 메커니즘을 사용합니다.)

여기서 "혼합"은 포스트 양자 안전 방안(즉, ML-KEM)과 기존 방안(X25519)을 함께 사용하여 종합적인 보안을 제공하는 것을 의미합니다. 이렇게 하면 ML-KEM이 HNDL 공격을 차단할 수 있을 것으로 기대되며, 만약 ML-KEM이 오늘날의 컴퓨터에 대해서도 보안 취약점이 있다면, 여전히 X25519가 제공하는 고전적인 보안을 유지할 수 있습니다.

애플의 iMessage도 PQ3 프로토콜을 통해 이러한 혼합 포스트 양자 암호화 기술을 배포했습니다. Signal의 PQXDH 및 SPQR 프로토콜도 마찬가지입니다.

반면, 포스트 양자 디지털 서명의 주요 네트워크 인프라에서의 도입은 진정한 암호학적으로 의미 있는 양자 컴퓨터가 등장할 때까지 연기되고 있습니다. 현재의 포스트 양자 서명 방안은 성능 저하를 초래하기 때문입니다(이 점은 본문 후반부에서 자세히 설명합니다).

zkSNARKs(제로 지식 간결 비대화형 증명)는 블록체인의 장기적인 확장성과 프라이버시의 핵심이며, 그 상황은 서명과 유사합니다. 이는 비포스트 양자 안전 zkSNARKs(이들은 오늘날의 비포스트 양자 암호화 및 서명 방안과 마찬가지로 타원 곡선 암호학을 사용함)조차도 그들의 제로 지식 속성이 포스트 양자 안전하다는 것을 의미합니다.

제로 지식 속성은 증명 과정에서 비밀 증거에 대한 어떤 정보도 누설되지 않도록 보장합니다------양자 적도 알 수 없습니다------따라서 "수집"하여 나중에 복호화할 수 있는 기밀 정보가 없습니다.

따라서 zkSNARKs는 "먼저 수집하고 나중에 복호화하기" 공격의 영향을 받지 않습니다. 오늘날 생성된 비포스트 양자 서명이 안전한 것처럼, 암호학적으로 의미 있는 양자 컴퓨터가 등장하기 전에 생성된 zkSNARK 증명도 신뢰할 수 있습니다(즉, 증명된 명제가 절대적으로 참임)------비록 zkSNARK가 타원 곡선 암호학을 사용했더라도 말입니다. 암호학적으로 의미 있는 양자 컴퓨터가 등장한 이후에야 공격자가 그럴듯한 거짓 주장의 증명을 찾을 수 있습니다.

이것이 블록체인에 의미하는 것

대부분의 블록체인은 HNDL 공격의 영향을 받지 않습니다:

현재 대부분의 비프라이버시 체인, 예를 들어 비트코인과 이더리움은 거래 승인을 위해 비포스트 양자 암호를 주로 사용합니다------즉, 이들은 암호화가 아닌 디지털 서명을 사용합니다.

다시 강조하지만, 이러한 서명은 HNDL 위험이 아닙니다: "먼저 수집하고 나중에 복호화하기" 공격은 암호화된 데이터에 적용됩니다. 예를 들어, 비트코인 블록체인은 공개적입니다; 그 양자 위협은 서명 위조(개인 키를 유도하여 자금을 훔치는 것)이며, 공개된 거래 데이터를 복호화하는 것이 아닙니다. 이는 HNDL 공격이 가져오는 직접적인 암호학적 긴급성을 제거합니다.

불행히도, 연준과 같은 신뢰할 수 있는 출처의 분석조차도 문제가 있으며, 비트코인이 HNDL 공격에 취약하다고 잘못 주장하여 포스트 양자 암호학으로의 전환의 긴급성을 과장하고 있습니다.

즉, 긴급성이 낮아진다고 해서 비트코인이 기다릴 수 있다는 의미는 아닙니다: 그것은 프로토콜 변경에 필요한 거대한 사회적 조정에서 오는 다른 시간 압박에 직면해 있습니다.(아래에서는 비트코인의 독특한 도전에 대해 자세히 설명합니다.)

현재의 예외는 프라이버시 체인으로, 이들 중 많은 수는 수신자와 금액을 암호화하거나 다른 방식으로 숨깁니다. 이러한 비밀성은 현재 수집될 수 있으며, 양자 컴퓨터가 타원 곡선 암호학을 해독할 수 있게 되면 추적적으로 비공식화될 수 있습니다.

이러한 프라이버시 체인에 대해 공격의 심각성은 블록체인의 설계에 따라 달라집니다. 예를 들어, 모네로가 채택한 곡선 기반 링 서명 및 키 미러(이중 지불을 방지하기 위해 각 출력에 대한 링크 태그)는 공개 장부만으로도 지출 패턴을 재구성하는 데 충분합니다. 그러나 다른 블록체인에서는 손실이 더 제한적입니다------자세한 내용은 Zcash의 암호 엔지니어이자 연구원인 Sean Bowe의 논의를 참조하십시오.

사용자가 자신의 거래가 암호학적으로 의미 있는 양자 컴퓨터에 의해 노출되는 것을 매우 걱정한다면, 프라이버시 체인은 가능한 한 빨리 포스트 양자 원형(또는 혼합 방안)으로 전환해야 합니다. 또는, 그들은 암호화 가능한 비밀 정보를 체인에 두지 않도록 설계된 아키텍처를 채택해야 합니다.

비트코인의 고유한 문제: 거버넌스 + 버려진 토큰

특히 비트코인에 대해, 두 가지 현실적인 요소가 포스트 양자 디지털 서명으로의 전환을 시급하게 요구하고 있습니다. 이 두 가지 요소는 모두 양자 기술과 관련이 없습니다.

하나의 우려스러운 문제는 거버넌스 속도입니다: 비트코인의 변화 속도는 매우 느립니다. 어떤 논란이 있는 문제도 파괴적인 하드 포크를 초래할 수 있으며, 커뮤니티가 적절한 해결책에 대해 합의할 수 없습니다.

또 다른 우려스러운 문제는 비트코인이 포스트 양자 서명으로 전환하는 것이 수동적 전환이 될 수 없다는 것입니다: 보유자는 자신의 토큰을 적극적으로 전환해야 합니다. 이는 버려진, 양자 공격에 취약한 토큰이 보호받지 못한다는 것을 의미합니다. 일부 추정에 따르면, 양자 취약점이 있는 수백만 개의 BTC가 존재하며, 현재 가격으로 계산하면(2025년 12월 기준) 수천억 달러에 달합니다.

그러나 양자 기술이 비트코인에 미치는 위협은 갑작스러운 재앙이 아니라 선택적이고 점진적인 과정에 가깝습니다. 양자 컴퓨터는 모든 암호를 동시에 해독할 수 없으며------쇼어 알고리즘은 개별 공개 키를 하나씩 공격해야 합니다. 초기 양자 공격은 비용이 매우 높고 시간이 많이 걸립니다. 따라서 양자 컴퓨터가 단일 비트코인 서명 키를 해독할 수 있게 되면, 공격자는 고가치 지갑을 선택적으로 공격할 것입니다.

또한, 주소 재사용을 피하고 Taproot 주소(공개 키를 체인에 직접 노출하는 주소)를 사용하지 않는 사용자들은 프로토콜이 변경되지 않더라도 기본적으로 보호받습니다: 그들의 공개 키는 토큰이 사용될 때까지 해시 함수 뒤에 숨겨져 있습니다. 그들이 결국 지출 거래를 방송할 때, 공개 키가 드러나며, 이때 짧은 실시간 경쟁이 발생합니다: 한쪽은 거래를 확인해야 하는 정직한 지출자이고, 다른 쪽은 양자 컴퓨팅 능력을 가진 공격자로, 그들은 개인 키를 찾고 진정한 소유자의 거래가 완료되기 전에 이 토큰을 지출하려고 합니다. 따라서 진정으로 취약한 토큰은 공개 키가 이미 노출된 것입니다: 초기 P2PK 출력, 재사용된 주소 및 Taproot 보유입니다.

버려진 취약한 토큰에 대해서는 간단한 해결책이 없습니다. 몇 가지 실행 가능한 방안은 다음과 같습니다:

• 비트코인 커뮤니티가 "플래그 데이"를 설정하기로 합의하여, 이후 모든 미이전환된 토큰은 폐기된 것으로 간주됩니다.

• 버려진, 양자 공격에 취약한 토큰이 암호학적으로 관련된 양자 컴퓨터를 가진 누구에게나 탈취당하도록 방치합니다.

두 번째 선택은 심각한 법적 및 보안 문제를 초래할 수 있습니다. 합법적인 소유권을 주장하거나 선의로 양자 컴퓨터를 사용하여 개인 키 없이 토큰을 획득하는 것은 많은 관할권에서 도둑질 및 컴퓨터 사기 법 아래 심각한 문제를 일으킬 수 있습니다.

또한, "버려진" 자체가 비활성 상태에 기반한 추정입니다. 그러나 실제로는 이러한 토큰에 접근할 수 있는 생존 소유자가 있는지 아무도 알지 못합니다. 이러한 토큰을 한때 소유했음을 나타내는 증거가 있더라도, 암호 보호를 해제하고 이를 되찾기 위한 충분한 법적 근거를 제공하지 못할 수 있습니다. 이러한 법적 모호성은 버려진, 양자 공격에 취약한 토큰이 악의적인 행위자에게 넘어갈 가능성을 높이며, 이러한 악의적인 행위자들은 종종 법적 제약을 무시합니다.

비트코인의 고유한 마지막 문제는 낮은 거래 처리량입니다. 결국, 모든 양자 공격에 취약한 자금을 포스트 양자 안전 주소로 이전하기 위한 계획이 확정되더라도, 비트코인의 현재 거래 속도로는 수개월이 걸릴 것입니다.

이러한 도전 과제는 비트코인이 현재 포스트 양자 시대의 전환을 계획해야 하는 이유입니다------이는 2030년 이전에 암호학적으로 의미 있는 양자 컴퓨터가 등장할 가능성 때문이 아니라, 수십억 달러의 토큰을 이전하는 데 필요한 거버넌스, 조정 및 기술적 물류 문제를 해결하는 데 수년이 걸릴 것이기 때문입니다.

비트코인이 직면한 양자 위협은 실제로 존재하지만, 시간 압박은 다가오는 양자 컴퓨터에서 오는 것이 아니라 비트코인 자체의 한계에서 비롯됩니다. 다른 블록체인도 양자 공격에 취약한 자금으로 인해 도전에 직면하고 있지만, 비트코인의 특별한 점은 초기 거래가 "공개 키로 지불(P2PK)" 출력을 사용하여 공개 키를 체인에 직접 노출시켜 상당한 비율의 BTC가 암호학적으로 관련된 양자 컴퓨터의 공격에 매우 취약하다는 것입니다. 이러한 기술적 차이------비트코인의 운영 연한, 가치 집중도, 낮은 처리량 및 경직된 거버넌스 메커니즘이 결합되어------이 문제를 더욱 심각하게 만듭니다.

제가 위에서 설명한 취약점은 비트코인 디지털 서명의 암호학적 안전성을 지칭하며, 비트코인 블록체인의 경제적 안전성과는 다릅니다. 이러한 경제적 안전성은 작업 증명 합의 메커니즘에서 비롯되며, 이는 양자 컴퓨터 공격에 쉽게 노출되지 않습니다. 그 이유는 세 가지입니다:

1. PoW는 해시 알고리즘에 의존하므로, 그로버 검색 알고리즘의 제곱 양자 가속의 영향을 받을 뿐, 쇼어 알고리즘의 지수적 가속의 영향을 받지 않습니다.

2. 그로버 검색을 구현하는 실제 비용은 어떤 양자 컴퓨터도 비트코인의 작업 증명 메커니즘에서 적어도 적절한 실제 가속을 달성하는 것을 매우 어렵게 만듭니다.

3. 상당한 속도 향상이 이루어지더라도, 이러한 속도 향상은 대형 양자 채굴자가 소형 채굴자보다 더 유리하게 만들 뿐, 비트코인의 경제적 안전 모델을 근본적으로 파괴하지는 않습니다.

포스트 양자 서명의 비용과 위험

블록체인이 포스트 양자 서명을 서두르지 말아야 하는 이유를 이해하기 위해서는 성능 비용과 포스트 양자 안전성에 대한 우리의 신뢰(이 신뢰는 여전히 발전 중임)를 이해해야 합니다.

대부분의 포스트 양자 암호학은 다음 다섯 가지 방법 중 하나를 기반으로 합니다:

• 해시 (hashing)

• 코드 (codes)

• 격자 (lattices)

• 다변수 이차 방정식 시스템 (MQ)

• 동형성 (isogenies)

왜 다섯 가지 방법이 있을까요? 모든 포스트 양자 암호 원형의 안전성은 양자 컴퓨터가 특정 수학 문제를 효율적으로 해결할 수 없다는 가정에 기반합니다. 문제의 "구조화" 정도가 높을수록, 이를 기반으로 구축된 암호 프로토콜은 더 효율적입니다.

하지만 이는 장단점이 있습니다: 추가적인 구조는 공격 알고리즘에 더 많은 공격 표면을 제공합니다. 이는 근본적인 긴장을 초래합니다------더 강력한 가정이 더 나은 성능을 가져올 수 있지만, 그 대가는 잠재적인 보안 취약점입니다(즉, 가정이 잘못된 것으로 입증될 가능성이 더 큽니다).

일반적으로 해시 기반 방법은 보안 측면에서 가장 보수적입니다. 왜냐하면 우리는 양자 컴퓨터가 이러한 프로토콜을 효과적으로 공격할 수 없다는 것에 가장 확신을 가지고 있기 때문입니다. 그러나 그들의 성능은 가장 나쁩니다. 예를 들어, 최소 매개변수 설정에서도 NIST 표준화된 해시 기반 서명의 크기는 7-8 KB입니다. 반면, 현재의 타원 곡선 기반 디지털 서명은 단 64바이트입니다. 이는 약 100배의 크기 차이를 의미합니다.

격자 기반 방안은 현재 배포의 초점입니다. 현재 유일한 암호화 방안과 NIST에서 선택한 세 가지 서명 알고리즘 중 두 가지가 격자를 기반으로 하고 있습니다. 그 중 하나인 ML-DSA(구명 Dilithium)가 생성하는 서명 크기는 2.4 KB(128비트 보안 수준)에서 4.6 KB(256비트 보안 수준)까지 다양하며, 현재의 타원 곡선 기반 서명보다 약 40배에서 70배 더 큽니다. 다른 격자 기반 방안인 Falcon은 더 작은 서명을 가지고 있지만(Falcon-512는 666바이트, Falcon-1024는 1.3 KB), 복잡한 부동 소수점 연산을 포함하며, NIST 자체도 이를 특별한 구현 도전으로 간주합니다. Falcon의 창시자 중 한 명인 Thomas Pornin은 이를 "내가 지금까지 구현한 가장 복잡한 암호 알고리즘"이라고 언급했습니다.

안전성 구현은 격자 기반 서명 방안에서 타원 곡선 기반 방안보다 더 도전적입니다: ML-DSA는 더 많은 민감한 중간 값을 가지고 있으며, 비평범한 거부 샘플링 논리는 사이드 채널 및 결함 보호가 필요합니다. Falcon은 일정한 시간의 부동 소수점 연산에 대한 우려를 증가시킵니다; 실제로, Falcon 구현에 대한 여러 사이드 채널 공격이 개인 키를 복구했습니다.

이러한 문제는 직접적인 위험을 구성하며, 암호학적으로 의미 있는 양자 컴퓨터라는 더 먼 위협과는 전혀 다릅니다.

성능이 더 우수한 포스트 양자 암호 방안을 배포할 때는 신중하게 행동하는 것이 완전히 합리적입니다. 역사적으로, Rainbow(다변수 이차 방정식 기반 서명 방안)와 SIKE/SIDH(동형 기반 암호 방안)와 같은 주요 후보들은 고전 컴퓨터에서 해킹되었습니다------즉, 오늘날의 컴퓨터가 아닌 양자 컴퓨터로 해킹된 것입니다.

이 사건은 NIST 표준화 과정의 후반부에서 발생했습니다. 이는 과학이 건강하게 작동하고 있음을 보여주지만, 조기 표준화 및 배포가 역효과를 초래할 수 있음을 나타냅니다.

앞서 언급했듯이, 인터넷 인프라는 서명 전환을 신중하게 진행하고 있습니다. 인터넷 암호화 전환이 시작되면 오랜 시간이 걸린다는 점에서 특히 주목할 만합니다. MD5 및 SHA-1 해시 함수(비록 네트워크 관리 기관이 수년 전에 기술적으로 폐기했지만)의 전환은 실제로 수년이 걸려 전체 인프라에 진정으로 구현되었으며, 일부 맥락에서는 여전히 진행 중입니다. 이러한 방안이 완전히 해킹되었을 때조차도, 단순히 미래 기술의 영향을 받을 가능성이 있는 것만으로도 이러한 상황이 발생했습니다.

블록체인과 인터넷 인프라 비교의 독특한 도전

다행히도, 오픈 소스 개발자 커뮤니티가 적극적으로 유지하는 블록체인(예: 이더리움 또는 솔라나)은 전통적인 네트워크 인프라보다 업그레이드 속도가 더 빠릅니다. 반면, 전통적인 네트워크 인프라는 빈번한 키 교체의 혜택을 누리며, 이는 공격 표면이 초기 양자 컴퓨터가 조준할 수 있는 속도보다 더 빠르게 이동할 수 있음을 의미합니다------이는 토큰과 관련된 키가 무기한 노출될 수 있는 블록체인에서는 누릴 수 없는 사치입니다.

하지만 전반적으로 블록체인은 서명 전환에 있어 인터넷이 취한 신중한 접근 방식을 따라야 합니다. 두 시나리오는 서명에 대한 HNDL 공격의 영향을 받지 않으며, 키의 보관 시간이 길든 짧든, 미성숙한 포스트 양자 방안으로 조기 전환하는 비용과 위험은 여전히 매우 큽니다.

블록체인 고유의 도전은 조기 전환을 더욱 위험하고 복잡하게 만듭니다: 예를 들어, 블록체인은 서명 방안에 대한 독특한 요구 사항을 가지고 있으며, 특히 대량의 서명을 신속하게 집계할 수 있는 능력이 필요합니다. 현재 BLS 서명이 널리 사용되는 이유는 매우 빠른 집계를 가능하게 하기 때문이지만, 이들은 포스트 양자 안전 특성을 가지고 있지 않습니다. 연구자들은 SNARK 기반의 포스트 양자 서명 집계를 탐색하고 있습니다. 이 작업은 매우 유망하지만 여전히 초기 단계에 있습니다.

SNARKs의 경우, 현재 커뮤니티는 해시 기반 구성 방법에 주로 집중하고 있으며, 이를 포스트 양자 시대의 주류 선택으로 보고 있습니다. 그러나 중대한 변화가 다가오고 있습니다: 저는 향후 몇 개월과 몇 년 내에 격자 기반 옵션이 매우 매력적인 대안이 될 것이라고 믿습니다. 이러한 대안은 여러 면에서 해시 기반 SNARK보다 우수할 것이며, 예를 들어 증명 길이를 크게 단축할 수 있습니다------격자 기반 서명이 해시 기반 서명보다 더 짧습니다.

현재 더 큰 도전: 구현 안전성

향후 몇 년 내에, 구현의 취약점은 암호학적으로 의미 있는 양자 컴퓨터보다 더 큰 보안 위험을 초래할 것입니다. SNARKs의 경우, 주요 문제는 취약점입니다.

취약점은 디지털 서명 및 암호 방안에 이미 도전 과제가 되었으며, SNARKs는 훨씬 더 복잡합니다. 실제로, 디지털 서명 방안은 "나는 내 공개 키에 해당하는 개인 키를 알고 있으며, 이 메시지를 승인했다"는 주장을 증명하는 매우 간단한 zkSNARK로 볼 수 있습니다.

포스트 양자 서명의 경우, 직접적인 위험에는 "사이드 채널 공격" 및 "결함 주입 공격"과 같은 구현 공격이 포함됩니다. 이러한 공격은 충분한 문헌이 기록되어 있으며, 이미 배포된 시스템에서 개인 키를 추출할 수 있습니다. 이들이 구성하는 위협은 먼 양자 컴퓨터보다 훨씬 더 긴급합니다.

커뮤니티는 수년 동안 SNARKs의 취약점을 식별하고 수정하며, 사이드 채널 및 결함 주입 공격에 대한 포스트 양자 서명 구현을 강화할 것입니다. 포스트 양자 SNARK 및 서명 집계 방안의 결론이 아직 내려지지 않았기 때문에, 조기 전환한 블록체인은 차선책에 고착될 수 있으며, 더 나은 방안이 등장하거나 구현 취약점이 발견되면 다시 전환해야 할 수 있습니다.

우리는 무엇을 해야 할까요? 7가지 제안

위의 상황을 바탕으로, 저는 마지막으로 구축자와 정책 입안자를 포함한 모든 이해관계자에게 제안을 드리겠습니다. 가장 중요한 원칙은: 양자 위협을 진지하게 받아들여야 하지만, "암호학적으로 의미 있는 양자 컴퓨터가 2030년 이전에 등장할 것"이라는 가정에 기반하여 서두르지 말아야 한다는 것입니다. 현재의 진전은 이러한 가정을 지지하지 않습니다. 그럼에도 불구하고, 우리는 지금 할 수 있고 해야 할 몇 가지 일이 있습니다:

1. 우리는 즉시 혼합 암호화를 배포해야 합니다.

또는 최소한, 장기적인 비밀성이 매우 중요하고 비용이 수용 가능한 곳에 배포해야 합니다. 많은 브라우저, CDN 및 즉시 메시징 애플리케이션(예: iMessage 및 Signal)은 이미 혼합 방안을 배포했습니다. 이 혼합 방안------포스트 양자 + 고전------은 HNDL 공격을 방어할 수 있을 뿐만 아니라, 포스트 양자 방안의 잠재적 약점을 피할 수 있습니다.

2. **서명 크기가 비교적 큰 것을 감수할 수 있다면,