DOI QR코드

DOI QR Code

Quantum signature scheme with message recovery

메시지 복구형 양자 서명 기법

  • 이화연 (고려대학교 정보보호기술연구센터(CIST)) ;
  • 양형진 (고려대학교 정보보호대학원) ;
  • 이동훈 (고려대학교 정보보호기술연구센터(CIST)) ;
  • 이상진 (고려대학교 정보보호기술연구센터(CIST)) ;
  • 임종인 (고려대학교 정보보호기술연구센터(CIST))
  • Published : 2003.02.01

Abstract

We propose a quantum signature scheme with message recovery implemented by a symmetrical quantum key cryptosystem and Creenberger-Horne-Zeilinger(CHZ) triplet states. The suggested scheme relies on the availability of an arbitrator and can be divided into two schemes . one is using a public board and the other is not. The two schemes give us the confidentiality of a message and the higher efficiency in transmission. We propose a quantum signature scheme with message recovery using Greenberger-Home-Zeilinger(GHZ) triplet states.

본 논문에서는 Greenberger-Home-Zeilinger(GHZ) 상태를 사용하는 메시지 복구형 양자 서명 기법을 제시한다. 이 기법은 기존의 양자 서명과 마찬가지로 중재자가 서명을 확인해주는 형식을 띄고 있으나, 기존에 제시된 양자 서명 기법에 비하여 메시지를 암호화시켜 외부에서 메시지에 대한 기밀성을 동시에 제공한다. 이와 더불어 전송상 효율을 높였으며, Bell측정을 사용하지 않고 단순 측정만을 사용함으로써 사용자의 편의를 증가시켰다.

Keywords

Ⅰ.서론

양자 암호는 기존의 암호 시스템과 달리 양자 역학의 고유한 성질을 이용하도록 고안된 암호 시스템이다. 양자 계산에서는 양자 역학의 고유한 성질인 중첩(superpgition)상태를 이용하여 정보를 표현하기 때문에 기존 시스템에 비하여 적은 자원을 가지고도 복잡한 연산을 빠르게 할 수 있다. 또한 측정에 의해 상태가 붕괴되기 때문에 도청을 확인할 수 있게 되어 암호 시스템의 안전성을 높일 수 있다.

현재까지 양자 키 분배 프로토콜(Quantum key d*"' istribution) 과 이 프로토콜 등의 안전성 분석”’, 양자 식별 기법 (Quantum identification scheme)'物, 양자 서명 기법 (Quantum signature scheme)1'0, 11' 등을 비롯하여 여러 분야에서 연구가 진행 중이다.

전통적인 서명기법은 평문과 서명을 함께 보내는 메시지 첨부형(signature with appendix)과 서명만을 보내어 서명된 평문을 서명에서 복구할 수 있는 메시지 복구형 (signature with message recovery)으로 분류된다. 또한 전통적인 서명기법에서의 서명은 임의의 검증자에 의해서 검증 가능한 특성을 지니고 있다. 임의의 검증자에 의해 검증 가능한 양자 서명 기법은 아직 문헌에서 제안되지 않았으며 [10, 11]에서 제안된 양자 서명 기법은 오직 서명자가 지정한 검증자(designated confirmer)에 의해서만 검증 가능한 메시지 첨부형 기법이다.

본 논문에서는 지정한 검증자가 있는 메시지 복구형 양자 서명기법을 제안한다. 이 기법에서 서명의 검증은 [1이에서와 동일하게 중재자를 통하여 이루어지도록 고안되었고, 메시지의 암호화는 중재자와 서명 수신자 이외에는 메시지를 확인할 수 없도록 키로 한번 더 암호화하도록 하였다. 이 서명 기법에는 기존의 공개 보드를 이용하는 방법과 공개 보드를 이용하지 않고 서명을 전달하는 두 가지 방법이 존재한다.

기존에 제시되었던 양자 서명 기법四에 비하여본 논문에서 제시하는 양자 서명 기법은 메시지를 암호화하여 타인이 메시지에 대한 정보를 얻을 수 없도록 했을 뿐만 아니라, 전송상의 효율을 높였으며, 측정에 있어서 간단한 방법을 사용하여 부담을 줄였다. [10]에서 제시된 양자 서명 기법에 메시지 기밀성을 제공하기 위해서는 다음과 같은 과정이 추가되어야 한다. 서명 생성자가 중재자와 공유된 키를 이용하여 메시지를 암호화시켜 수신자에게 전송한다. 수신자는 암호화된 메시지와 서명을 중재자에게 전송한다. 이 경우 [10]에서 제시된 양자 서명 기법의 수정이 필요하지만, 그것을 고려하지 않는다고 가정한다. 중재자는 메시지를 서명 생성자와 공유된 키로 복호화 한 뒤, 이를 다시 수신자와 공유된 키로 암호화시켜 수신자에게 전송한다. 위와 같은 과정은 통신상에서도 효율을 낮출 뿐만 아니라, 서명 생성자와 수신자, 그리고 중재자에게 번거로운 일이 된다.

본격적으로 양자 서명 기법을 제시하기 전에 2절에서 기본적인 양자역학의 성질을 살펴보고, 3절에서 메시지 복구 양자 서명 기법을 제시하도록 한다. 4절에서는 제안된 기법의 안전성을 분석하고, 제시된 서명 기법들을 비교하도록 한다. 마지막 5절에서는 결론을 짓도록 하겠다.

Ⅱ. 양자역학의 기본 성질

양자 계산에서의 정보의 최소 단위를 양자 비트 (quantum bit) 또는 큐빗(qubit)이라고 한다. 보통 고전 비트 0, 1에 대응하여 |0> 또는 II>을 사용한다. 일반적인 큐빗은 l©>=a| 0>+g| 1>로 표현되며, 여기서 "는 복소수이다. 이때 lai%沒은 각각 |0>과 |1> 이 측정될 확률을 나타낸다. a, B는 임의의 값을 가질 수 있기 때문에, 큐빗의 상태는 일반적으로 10>도 II>도 아닌 중첩 상태이다. 이러한 중첩상태를 측정하게 되면 큐빗은 측정의 고유상태인 10>또는 II>상태로 변하게 되어 이전에 가지고 있던 중첩에 대한정보를 잃어버리게 된다.

편광의 예를 들어 살펴보자.

수평과 수직 방향으로 편광된 상태를 각각 10° > 와 190" > 또는 ( § 과 ( ?)로 표현하자. 그러면, 45° 나 135°로 편광된 광자는 |0">와 190->의 선형결합으로 다음과 같이 표현된다.

#

역으로, |0。>, 190° >의 상태는 145° >, 1135°>의선형결합으로 표시된다.

#

위 식에 따라 |0>상태를 대각형(X)편광판으로측정하면 45° 나 135° 로 편광된 빛이 각각 1/2의 확률로 측정된다. 측정 후의 상태는 각각 145° >와 1135°>인더], 이는 10°>와 190° > 상태의 선형결합이기 때문에 십자형 ( + )편광판을 사용하여 다시 측정하더라도 10°>와 190°>가 각각 1/2의 확률로 측정된다. 이는 십자형 편광판과 관련된 정보를 완전히 소실하였다는 것을 의미한다.

Ⅲ. 양자 서명 기법

양자 서명 기법을 소개하기 전에 앞으로 사용될 용어를 정의하도록 한다. Alice는 서명 생성자, Bob 은 서명 수신자를 표현한다.

본 논문에서 제시하는 양자 서명 기법은 기존의 양자 서명 기법μ이과 마찬가지로 초기 단계(initial Base), 서명 단계 (signature phase), 검증 단계 (verification phase) 로 나누어진다.

초기 단계(Initial phase)는 서명 기법을 실행하기 전에 사전에 준비하는 과정으로, 중재자와 Alice, 중재자와 Bob 사이에 기존에 정립된 양자 키 분배 프로토콜"F 등을 사용하여 키를 분배하는 과정이 포함된다. 이러한 양자 키 분배 프로토콜 등은 완전 안전성이 보장된다고 증명-"되어 있기 때문에 본 논문에서는 그냥 받아들이고 사용하도록 한다. 이와 더불어 초기 단계에는 서명 검증을 위하여 Greenberger -Home - Zeilinger(GHZ) 상태를 중재자가 생성하여 Alice와 Bob에게 하나씩 분배하는 과정이 포함된다. 서명단계(signature phase)는 Alice가 메시지 P를 생성하고 이에 대한 서명 값 S를 생성하는 과정이다. 마지막으로 검증 단계 (verification phase)는 Bob이 중재자의 도움을 받아 서명을 검증하는 과정으로 Bob과 중재자의 연산 두 부분으로 나눠질 수 있다. 먼저 공개보드를 이용하여 서명을 생성하는 경우를 살펴보도록 하겠다.

서명 기법의 초기 단계에서는 위에서 설명한 대로 Alice와 중재자, Bob과 중재자 사이에 양자 키 분배 프로토콜을 이용하여 키를 분배한다. 이후 메시지의 개수가 ”인 경우 중재자가 如개의 GHZ 상태 |夕>= 言妃。2.......如>를 생성하여 Alice와 Bob에게 큐빗을 분배한다.

초기 단계 (initial phase)

1. Alice와 중재자, Bob과 중재자가 키를 공유한다. 이를 각각 K«, Kb로 표기한다.

2. 중재자가 "개의 GHZ 상태

団>=丨们, 但, ..., 如>를 생성하고 Alice 와 Bob 에게 큐빗을 분배한다.

成>=击(1000>辺<+1111> aAb)

(여기에서 a는 Alice, b는 Bob, A는 중재자가 나눠 갖게 될 큐빗이다.)

서명 단계(Signature phase)는 Alice가 서명을 생성하는 단계인데 그 과정은 다음과 같다.

우선 Alice는 서명할 메시지 P={pi, p2......../*) >를준비한다{이때 队는 고전 비트를 의미한다).가。 이면 자신이 가진 GHZ 상태에 아무런 연산을 취하지 않고, 4가 1이면, 비트 플립연산 (X)을 취한다. 이후 GHZ 상태를 측정하여 측정치 a=(ai, a2, ....an) 를구한다. 한편, 메시지 ?를 중재자와 공유된 키 에 대응하는 편광판을 이용하여 양자 상태로 변화시킨다.

예를 들어, Ka=Q 이면 십자형 ( + )편광판을 사용하고, Ka=\ 이면 대각형(X)편광판을 사용한다고 하자. 십자형 편광판에서 0은 I->으로 표현하고, 1은 丨|>로 표현하며, 대각형 편광판의 경우 0은 I/>로, 1은 |'\>로 표현한다. 이러한 방법으로 고전 메시지를 양자 상태로 변환시키면, 키 K“를 알아야만 정확한 P에 대한 정보를 얻을 수 있다.

위와 같이 측정치 a와 尸를, 기존의 서명 기법的 과 같은 방법으로 암호화하여 서명을 생성한다. 이때 중재자와 공유된 키 가 비밀키의 역할을 하게 된다. 이를 수식으로 적으면 다음과 같이 나타낼 수 있다. |S>=EA;, (a, P)

Alice는 최종적으로 생성된 서명 |S>를 Bob에게 양자 채널을 이용하여 전송하고, 미리 구해놓은 측정치 a를 공개보드에 올려놓는다.

서명 생성 (signature phase) 단계

1. Alice는 메시지 P=(Pi, p2........0“)를 생성하고 다음의 연산을 취한다.

A = 0 인 경우 : 자신의 GHZ 상태에 연산을 취하지 않는다.

A=1 인 경우 : 자신의 GHZ 상태에 x=(? 9연산을 취한다.

2. Alice는 자신의 GHZ 상태를 측정하여 측정치 a= (a〕, 旳, ... , a”)를 생성한다.

3. Alice는 중재자와 공유된 키 7頌에 대응하는 편광판을 통해 메시지。를 양자상태로 만든다.

齿《>=歸, (尸)={兀, >」財>.....................,

4. Alice는 위에서 생성한 a, |R>을 키 K。로 암호화하여 서명 IS>를 생성한다.

|S>=EK(a, P)

5. Alice는 서명 |S>를 Bob에게 전송하고, a를 공개 보드에 기재한다.

서명 검증 단계(Verification phase)는 서명을 검증하는 단계로서 중재자가 필수적인 단계이다. Alice가 생성한 서명 IS>가 중재자와 공유된 키 K«로 암호화되어 있기 때문에, Bob 혼자서는 이를 검증할 수 없다.

서명 검증 단계는 우선 Bob이 메시지를 복구하는 것으로 시작된다. 자신의 GHZ 상태를 측정하여 측정치 3 = (缶, 缶, 를 구하고 공개보드에서 a를 가져와 메시지 ㊉6를 복구한다.

메시지 尸가 복구될 수 있는 원리를 살펴보면 다음과 같다. 처음 공유된 GHZ 상태는 Alice, Bob, 중재자가 모두 같은 비트만을 측정하도록 얽혀져 있었다. 그런데 시ice가 小=1인 경우에만 비트 플립 연산 (X)을 취했기 때문에 勿=1인 경우에만 Alice의 측정치가 중재자와 Bob의 측정치와 반대로 나오게 된다. 따라서 에 Bob만의 측정치 方를 XOR 하면 원래의 메시지 F가 복구된다.

Bobe 위와 같은 방법으로 복구한 P를, Alice가 사용한 방법과 같이, 중재자와 공유된 키 7爲에 대응하는 편광판을 이용하여 양자 상태로 변형시킨다. 이결과값을 氐疗라고 흐}.자.

Bobe Alice에게 받은 서명 |S>와 IRQ를 로 암호화시킨 결과값 |T>=K»(|RQ, IS>)를 중재자에게 전송한다.

중재자는 Bob으로부터 받은 IT>를 로 복호화 하여 서명 IS>와 IRQ를 알아낸다. 또한, K.를 사용하여 a와 氐罗를 복호화 한다. 한편, 중재자가 가지고 있는 GHZ상태를 측정하여 측정치 4=(Ai, A24”)를구하고 메시지 尸를 Bob과 같은 방식으로 계산해 낸다. 이때 중재자는 공개 보드에 올려진 AHce의 측정치 a를 사용하지 않고, 서명에 포함되어 있는 a를 이용하는데, 이는 공개보드 무결성을 한 번 더 검증할 수 있게 한다.

중재자는 복호화 한 메시지 F를 이용하여 IR'e> 를 계산하고 IR罗와 같은 지 여부를 확인한다. 같으면 7/= 0으로 다르면 7<, = 1로 놓는다. 즉 儿가 AHce 에 대한 서명의 진위 여부를 나타내는 값이 된다. 한편 중재자는 메시지 P를 이용하여 IR'Q를 계산하고 IR, >와 같은 지 여부를 확인한다. 같으면 九=0으로, 다르면 九=1로 놓는다. 여기서 为의 값은 Bob 이 복구한 메시지에 대한 검증이라고 할 수 있다. 마지막으로 중재자는 IS>로부터 계산한 Alice의 측정치 a와 儿, 九를 Bob과 공유된 키 电로 암호화하여 Bob에게 전달한다.

Bobe 이 내용을 복호화 하여, 儿, 九를 통하여 Alice의 서명을 인증하고, 자신의 메시지가 정확한지 여부를 확인한다. 九가 모두 0인 경우는 서명생성과 메시지 전달이 잘 수행된 것이지만, 九=1이면 九값에 상관없이 서명을 거부한다. 한편 九 = 0이고 九=1인 경우는 서명은 인정하되, 중재자로부터 받은 a로 메시지를 다시 복원해야한다.

서명 검중(verification phase) 단계

1. Bobe 자신이 가진 GHZ 상태를 측정하여 측정치 如=(缶, 毎, ...M”)를 생성한다.

2. Bobe 공개보드에서 a를 가져와 메시지 F를 다음과 같이 복구한다.

P= a®b

3. Bobe 중재자와 공유된 키 7或에 대응하는 편광판을 통해 메시지 F를 양자상태로 만든다.

\Rb>= MKi(P) = (|rM>, |rffi>.........If>}, r bi= M, epe

4. Bobe Alice로부터 받은 서명 |S>와 成〃를 비밀키 Kb로 암호화시킨 결과값 IT>를 중재자에게 전송한다.

#

5. 중재자는 成>를 키 Km K。로 복호화 하여 a, \Ra>, IRQ를 알아낸다.

6. 중재자는 자신의 GHZ 상태를 측정하여 측정치 4 = (Ai, /由........厶”)를 구하고 메시지 F를 계산한다.

7. 중재자는 成‘, ">, |R'Q를 생성하고, |兄>, |砥>와 같은지 여부를 ", 九에 기록한다.

#

8. 중재자는 서명 IS>로부터 이끌어낸 a와 7a. 7b 그리고 |S>를 키 珞로 암호화한 값 를 Bob에게 전달한다.

\V>= EKl(a, ra, Yb, \S»

9. Bobe |V> 를 복호화 하여 a, 膈 九를 구한다. 7a = 0 이면 서명을 인정하고 그렇지 않으면 서명을 거부한다. 力=1인 경우 복호화 한 Q를 통해 메시지 P 를 다시 복구한다.

이상으로 공개보드를 사용한 양자 서명 기법을 살펴보았다. 공개보드를 사용하지 않는 경우는 Bob이 메시지를 복구하는 작업이 중재자의 서명 검증 이후에 이루어진다는 단점이 있기는 하지만, 메시지에 대한 어떤 정보도 중재자 외에는 전달되지 않고, Bob의 신원을 한번 더 검증할 수 있을 뿐만 아니라, Bob 역시 중재자를 한번 더 검증할 수 있다.

공개 보드를 사용하지 않는 양자 서명 기법의 초기 단계는 위에서 제시한 기법과 동일하기 때문에 서명 단계와 서명 검증단계만을 간단히 정리하겠다.

서명 생성 (signature phase) 단계

1. Alice는 메시지 P=3i, /)2, ..., 》”)를 생성하고 다음의 연산을 취한다.

小=0인 경우 : 자신의 GHZ 상태에 연산을 취하지 않는다.

A=1 인 경우 : 자신의 GHZ 상태에 X=( ? § 연산을 취한다.

2. Alice는 자신의 GHZ 상태를 측정하여 측정치 a= (fl|, a2, .. ., «„)< 생성한다.

3. Alice는 중재자와 공유된 키 K, 에 대응하는 편광판을 통해 메시지 尸를 양자상태로 만든다.

宙见>=M k'P) = {兀..................................... V 3 =

4. Alice는 위에서 생성한 4, |兄>을 키 K。로 암호화하여 서명 IS>를 생성한다.

\S>= EKt(a, \Ra»

5. Alice는 서명 |S>를 Bob에게 전송한다. 서명 검증(verification phase) 단계

1. Bobe 자신이 가진 GHZ 상태를 측정하여 측정치 b =<bi, bz.........3”)를 생성한다.

2. Bobe Alice로부터 받은 서명 |S>와 b를 비밀키 珞로 암호화시켜 결과값 IT>를 중재자에게 전송한다.

|7、>=E&(IS>M)

3. 중재자는 成>를 키 Kb, K«로 복호화하여 a, \Ra>, 方를 알아낸다.

4. 중재자는 자신의 GHZ 상태를 측정하여 측정치 A=(A1, A2.........A”)를 구하고 메시지 P를 계산한다.

5. 중재자는 成'“>를 생성하여 7為>와 같은 지 여부를 검사하여 儿에 기록한다.

y =1 0 if |乩>=此>

7a 1 1 if 成'。>丰此>

또한 Bob으로부터 받은 측정치 方와 자신의 측정치 4가 같은 지 여부를 검사하여 儿에 기록한다. =(0 if b= A

70 I 1 if b+A

6. 중재자는 7(, = 1일 경우, 서명 수신자가 올바르지 않다고 판단하고 Alice에게 이 사실을 통보하고 멈춘다 한 편 九=0인 경우, 키 에 대응하는 편광판을 통해 메시지 F를 양자상태로 만든다.

\Ra>=0侦, (尸)={1, 如1>, 1, 712>, , rb, = M'K:\p, >

7. 중재자는 서명 IS>와 이로부터 이끌어낸 a와 " 그리고 I/%>를 키 Kb로 암호화한 값 }μ>를 Bob 에게 전달한다.

8. Bobe 凡> 를 복호화 하여 a, 氐4>를 구한다. 9. Bobe 복호화한 a를 통해 메시지 P를 구하고 |7?\> 을 계산하여 과 같은 지를 확인한다.

인 경우, 중재자를 신뢰할 수 없기 때문에 서명검증 과정을 다시 반복한다.

成如>= 园4>인 경우, 九=1이면 서명을 인정하고 그렇지 않으면 서명을 거부한다.

N. 안전성 분석 및 서명 기법 비교

제시된 양자 서명 기법에서는 중재자가 있어야만 서명을 검증할 수 있다. 이는 양자 시스템에서 공개키를 이용하는 기법이 아직까지 제안되지 못했기 때문이다. 기존의 공개키 시스템의 안전성은 인수분해문제나 이산대수 문제와 같은 계산의 어려움에 근거하고 있는데, 이러한 문제들은 94년에 제안된 Shor의알고리즘으로 다항식 시간 안에 해결될 수 있다고 증명되었다. Shor의 알고리즘은 이론적으로 증명되었을 뿐만 아니라, 2001년 겨울 IBM에 의하여 양자 컴퓨터를 이용하여 실험적으로도 증명되었다. 이에 따라 양자 암호체계에서는 기존의 공개키 시스템의 기반이었던 인수분해 문제나 이산대수 문제 등을 더이상 사용할 수 없기 때문에 새로운 양자 공개키 시스템에 대한 연구가 필요하다. 양자 암호가 본격적으로 연구되기 시작한지 얼마 되지 않았기 때문에 양자 공개키 시스템에 대한 연구는 아직 정립되지 않았다. 이와 같은 이유로 현재까지는 양자 서명 시스템에서는 지정된 검증자가 존재하는 서명 기법만이 존재한다고 할 수 있다.

중재자가 있는 양자 서명의 안전성 분석은 서명을 위조할 수 있는 지의 여부와, 서명을 받은 Bob이 그 서명을 거부할 수 있는 지의 여부를 살펴보는 것으로도 충분하다. 서명에 사용되는 키가 한번만 사용되기 때문에 키의 누출이 다음 번 서명에 영향을 미치지 않기 때문이다.

4.1 서명 위조 블가능

Eve(공격자)가 Alice의 서명을 위조하고자 한다면, 우선 초기화 단계어"十 공유된 키 K. 값을 알아야만 한다. 그러나 양자 키 분배 프로토콜의 완전 비밀성에 따라 키를 알아내는 것은 불가능하다. 따라서 올바른 |7乙>값을 생성해 낼 수 없고, 서명 위조가 불가능하다. 따라서 검증 시 九 값이 1이 되어 서명검증을 통과 할 수 없다.

공개 보드를 이용하는 경우부터 자세히 살펴보도록 하자. 이 경우, Eve가 얻을 수 있는 값은 오직 a, |S>, |T>, |V> 값뿐인데, 이로부터 키 를 알아내는 것은 불가능하다. 한편 么|μ>를 통하여 키 74 값에 대한 약간의 정보는 알아낼 수 있다. 丨μ>가 공개된 와 두 개의 비트 정보 膈 n 만을 포함하는 값이기 때문에 키의 노출이 우려될 수 있지만, |吃>가 전달된 뒤에나 키 24에 대한 정보가 누출됨으로 실제로 서명 기법에는 거의 영향을 끼치지 않는다. 이때, 2爲가 0일 때 1이라고 추정하고 a, 를 계산해도 공개 게시판과 동일한 q가 나올 확률이 1/2이기 때문에 완벽하게 키 값을 알아내기는 힘들다.

한편, 공개 보드에 기재된 a를 Eve가 변형시킬 수 있다고 가정하자. 이 또한 서명 검증과정에서 Bob이 위조 여부를 확인할 수 있고, 정확한 메시지를 복구할 수 있기 때문에 문제가 되지 않는다.

공개보드를 사용하지 않는 경우를 살펴보면, 위와 마찬가지로 키 에 대한 정보가 누설되는 것은 거의 불가능하다. a가 공개되지 않기 때문에 키 Kt를 알아내는 것 또한 키, 或와 같은 이유로 불가능하다.

본 논문에서 제시한 양자 서명의 특징을 메시지 암호화 측면에서 간단히 살펴보자. Eve가 메시지를 알아내려면 기본적으로 또는 珞를 알아야만 한다. 그러나 이 값들은 채널 상에서 암호화된 형태로든, 암호화되지 않은 형태로든지 간에 전송되지 않기 때문에 알아낼 수 없다. 따라서 메시지 P를 알아낼 수 없다. 또한 공개보드를 사용하지 않는 경우는 이 키와 더불어 초기 단계에서 분배되는 GHZ상태를 가로채서 가지고 있어야만 메시지를 확인할 수 있게 된다. 이 두 가지 조건을 동시에 만족시키는 것 자체가 불가능하기 때문에, Eve는 메시지에 대한 어떤 정보도 알아낼 수 없을 뿐만 아니라, 서명이 통과되었는지 또한 알아낼 수 없다.

4.2 서명인의 부인방지

만약 시i%가 자신의 서명에 대해 부인을 한다면, 그것은 금방 확인할 수 있다. 서명 IS>에 Alice의 키 K”의 정보가 포함되어 있기 때문에, 중재자가 Alice 의 서명여부를 확인할 수 있다. 이러한 이유 때문에 중재자의 중립성은 매우 중요하다. 중재자가 마음만 먹으면 얼마든지 서명을 위조할 수 있기 때문이다. 이 논문에서는 중재자가 중립적이고 믿음직하다는 것을 전제로 하고 있기 때문에 이에 대한 논의는 하지 않도록 한다.

4.3 수신자의 부인방지

양자 서명에서는 수신자가 서명을 받지 못했다고 주장할 수 없다. 이는 서명을 검증하기 위해서는, 서명인의 키를 공유하고 있는 중재자의 도움이 필요하기 때문이다, 서명을 검증했다는 것 자체가 서명을 받았다는 것을 전제로 하기 때문에 서명을 받은 것을 부인할 수가 없다. 메시지에 대한 내용 또한 공개 보드의 내용이 틀렸다고 하더라도 중재자로부터 메시지에 대한 정보를 받아볼 수 있기 때문에 메시지 내용을 알지 못했다고 주장할 수는 없다. 한편 공개 보드를 사용하지 않는 경우 또한 수신자가 메시지를 복구할 수 있기 때문에 부인방지가 불가능하게 된다.

4.4 양자 서명 기법의 비교

기존의 양자 서명 기법μ이과 비교하여 본 논문에서 제안된 두 기법은 [표 1]에서 보여지듯 대략20~30% 정도의 전송부담을 줄였다. 또한 실질적인 측정에 있어서 Bell측정을 사용하지 않고 기본측정만을 사용하여 사용자의 편의를 증진시켰다. Bell측정의 경우, [그림 1]과 같이 측정시 한 개의 Hadamard 게이트(H) 와 XOR 연산을 이용하여 연관된 큐빗 두 개를 동시에 측정해야하는 반면, 기본측정은 각 큐빗을 기본 기저로 측정한다. 따라서 본 논문에 제시된 두 서명 기법에서는 전체 측정량의 절반정도를 차지하는 Bell 측정을 기본측정으로 대체하여 사용자의 편의를 증진 시 켰다.

표 1) 메시지의 길이가 n인 경우 양자 서명 기법에서 전송되는 큐빗의 양

[그림 1) Bell 측정 gate

한편 양자 서명 기법은 메시지 서명에 그치지 않고, 메시지 암호화까지 수행함으로써 기존의 암호화 단계와 서명 생성하는 단계를 간단하게 줄였다.

기존 양자 서명 기법에서는 Bob이 서명을 검증하기 위하여 GHZ 상태를 복원하도록 고안되었는데, 이는 Bob의 연산이 상대적으로 클 뿐만 아니라 양자 상태를 다루는 위험이 크다. 이에 반하여 본 논문에서 제안한 양자 서명 기법 두 개 모두 Bob의 검증 과정을 간단히 하였으며, 공개보드를 이용하지 않는 서명 기법에서는 Bob과 중재자에 대한 신원 확인을 서로가 한 번씩 더 할 수 있도록 고안되어 더욱 안전해졌다.

V. 결 론

양자 암호에서는 공개키 개념이 아직까지 확립되지 않았기 때문에 지정된 검증자만이 서명을 검증할 수 있는 서명 기법만이 존재한다. 본 논문에서는 기존체계의 시스템인 공개 게시판을 이용하는 양자 서명 기법과 양자 시스템만을 이용하는 양자 서명 기법 두 가지를 제시하였다. 이 기법들은 GHZ상태를이용하여 메시지의 암호화와 서명 검증을 하도록 고안되었으며, [표 1]에 보이듯 기존에 제시된 중재자를 통한 양자 서명에 비하여, 전송상의 효율을 높였으며, 실제적인 구현에 있어서 Bell 측정을 사용하지 않음으로써 측정의 편리함을 가져왔다고 할 수 있다. 앞으로도 전통적인 서명 기법과 동일한, 임의의 검증자가 서명을 검증할 수 있는 양자 서명 기법뿐만 아니라, 안전성 분석을 비롯하여, 다른 양자 암호 분야에 대한 연구가 활발하게 이루어져야 할 것이다.

References

  1. Proceedings of the IEEE International Conference on Computers, Systems and Signal Processing C. H. Bennett;G. Brassard
  2. Phys. Rev. Lett. v.67 Quantum cryptography based on Bell's theorem Artur K. Ekert
  3. Phys. Rev. Lett. v.68 Quantum Cryptography Using Any Two Nonorthogonal States Charles H. Bennett
  4. Simple Proof of Security of the BB84 Quantum Key Distribution Protocol, arXiv:quant-ph/003004 Peter W. Shor;John Preskill
  5. Phys. Rev. A. v.48 Information-theoretic limits to quantum cryptography Stephen M. Barnett;Simon J. D. Phoenix
  6. Phys. Rev. A v.50 Eavesdropping on quantum - cryptographical systems Artur K. Ekert;Bruno Huttner;G. Massimo Palma;Asher Peres
  7. Unconditional security in Quantum Cryptography, arXiv:quant-ph/9802025 Dominic Mayers
  8. Phys. Rev.A v.65 Quantum identification schemes with entanglements Takashi Mihara
  9. Quantum secure identification using entanglement and catalysis, arXiv:quant-ph/9910072 Howard Banum
  10. Phys. Rev. A v.65 Arbitrated quantum-signature scheme Guihua Zeng;Christoph H. Keitel
  11. Quantum Digital Signatures, arXiv:quant-ph/0105032 Daniel Gottesman;Isaac L. Chuang
  12. Phys. v.58 Bell's theorem without inequalities D. Greenberger;M. A. Horne;A. Shimony;A. Zeilinger
  13. Phys. Rev. Lett v.82 no.7 Observation of There-Photon Greenberger-Horne-Zeilinger Entanglement Dik Bouwmeester;Jian-Wei Pan;Matthew Daniell;Harald Weinfurter;Anton Zeilinger
  14. Phys. Rev. A v.54 no.2 Good quantum error-correcting codes exit A. R. Calderbank;Peter W. Shor