Observability for Post-Quantum TLS Readiness: A Multi-Surface Evidence Framework

본 논문은 수동, 능동 및 레지스트리 기반 측정을 통합하여 세션 동작과 엔드포인트 기능을 정확하게 식별하는 포스트 양자 TLS 준비 상태를 위한 다중 표면 증거 프레임워크를 제시하며, 기존 기준 분석기보다 하이브리드 키 설정 및 양자 취약점을 훨씬 더 효과적으로 탐지함을 보여줍니다.

핵심

인터넷의 보안 시스템 (TLS) 을 첨단 은행 금고에 비유해 보십시오. 수십 년간 이러한 금고의 자물쇠는'고전적'금속으로 만들어졌습니다. 하지만 과학자들은 결국 이러한 자물쇠를 따낼 수 있는 새로운'양자'도구를 발견했습니다. 안전을 유지하기 위해 은행들은'하이브리드'자물쇠를 설치하기 시작했는데, 이는 오래된 금속과 새로운 초강력 양자 합금을 결합한 것입니다.

문제점은 무엇일까요? 우리는 실제로 어떤 은행이 이러한 새로운 하이브리드 자물쇠를 설치했는지 알아내야 합니다. 하지만 확인하는 것은 까다롭습니다. 일부 은행은 문 앞에 다가갈 때만 자물쇠를 보여줍니다 (수동적 관찰). 반면 다른 은행들은 일방향 거울 뒤에 자물쇠를 숨겨 둡니다 (암호화된 관찰). 어떤 은행들은 새로운 자물쇠를 설치해 두었더라도 특정 고객에게는 오래된 자물쇠만 사용할 수도 있습니다.

이 논문은 이러한 문제를 해결하기 위한 새로운다중 표면 검사 프레임워크를 제시합니다. 문만 바라보는 대신, 저자들은 전체 그림을 파악하기 위해 금고의 네 가지 다른 각도에서 검사하는 시스템을 구축했습니다.

네 가지 검사 각도 (표면들)

은행이 미래에 대비했는지 파악하려 할 때, 단순히 보도 위에 서 있는 것만으로는 부족합니다. 다른 위치에서 바라봐야 합니다.

1. 보도에서의 시선 (수동 세션): 거리에서 고객이 들어가는 모습을 지켜봅니다. 그들의 행동을 보지만, 내부의 모든 것을 볼 수는 없습니다. 디지털 세계에서는 이것이'수동'모니터링입니다. 문이 열려 있는 구식 시스템 (TLS 1.2) 에서는 잘 작동하지만, 문이 닫혀 있고 자물쇠 메커니즘을 볼 수 없는 최신 암호화 시스템 (TLS 1.3) 에서는 그렇지 않습니다.
2. 탐정의 탐사 (능동적 프로빙): 단순히 지켜보는 대신, 탐정이 문을 두드리고"이봐요, 하이브리드 자물쇠가 있나요?"라고 묻습니다. 은행은 방금 들어온 고객이 그것을 요청하지 않았더라도"네, 있습니다"라고 답할 수 있습니다. 이는 은행이 실제로 무엇을 했는지가 아니라, 무엇을 할 수 있는지를 드러냅니다.
3. 설계도 확인 (인증서 체인): 탐정은 은행 사무실로 가서 설계도와 경비원의 신분증을 확인합니다. 이는 은행이 누구이며 현재 보안 계획이 얼마나 지속되는지 확인합니다.
4. 규칙집 (레지스트리): 탐정은 새로운 실험적 자물쇠 유형을 포함한 모든 알려진 자물쇠 유형의 방대하고 최신의 백과사전을 지니고 있어, 이름 붙이기가 정확한지 확인합니다.

"측정 대상": 완전한 성적표

이 논문은 기존 도구들이 보도에서 본 것을 바탕으로'예/아니오'답변만 준다고 주장합니다. 새로운 자물쇠를 보지 못하면"아니오"라고 말합니다.

새로운 프레임워크는 서로 다른 사실을 구분하는**구조화된 성적표 (측정 대상)**를 생성합니다.

• 이 특정 거래에서 무슨 일이 일어났는가? (고객이 오래된 자물쇠를 사용했습니다.)
• 은행은 무엇을 할 수 있는가? (은행은 하이브리드 자물쇠를 보유하고 있으며 요청 시 사용할 수 있습니다.)
• 은행은 누구인가? (설계도로 확인됨.)
• 신뢰 수준은 얼마인가? (우리가 직접 보았는가, 아니면 추측하는가?)

중요하게도, 이 성적표는모를 때그것을 인정합니다. 문이 닫혀 있고 탐정이 문을 두드릴 수 없다면, 추측하여"아니오"라고 말하는 대신"알 수 없음"이라고 보고합니다. 또한 설계도에"하이브리드 자물쇠"라고 되어 있는데 문에는 항상"오래된 자물쇠"만 나타난다면, 이러한 모순을 플래그로 표시합니다.

실험: 그들이 발견한 것

저자들은 두 가지 방법으로 시스템을 테스트했습니다.

1. 실험실 테스트 (제어된 시나리오): 그들은 알려진 설정을 가진 29 개의 가짜 은행 금고를 실험실에 구축했습니다 (일부는 하이브리드 자물쇠가 있고, 일부는 없으며, 일부는 문이 고장 나 있고, 일부는 숨겨진 자물쇠가 있음).

   • 기존 도구: 표준 보안 스캐너 (기준선) 는 29 건 중 2 건에서만 새로운 자물쇠를 발견했습니다. 거의 모든 최신 암호화 금고를 놓쳤습니다.
   • 새로운 시스템: 네 가지 각도를 모두 결합함으로써, 데이터가 혼란스럽거나 불완전할 때조차 거의 모든 시나리오에 대해 정확한 상태를 파악했습니다.

2. 실제 세계 테스트 (공개 캠페인): 그들은 인터넷의 1,000 개 실제 웹사이트를 스캔했습니다.

   • 놀라운 사실: 표준 스캐너는 이 사이트들 중 0 개가 하이브리드 자물쇠를 가지고 있다고 말했습니다.
   • 새로운 시스템: "탐정의 탐사"(하이브리드 자물쇠를 명시적으로 요청) 를 사용하여, 평소에는 오래된 자물쇠를 사용했지만 310 개 사이트가 하이브리드 자물쇠를 사용할 수 있음을 발견했습니다.
   • "더 넓은 능력"에 대한 통찰: 해당 310 개 사이트에 대해 새로운 시스템은 방문한 특정 고객이 해당 기능을 활성화하지 않았더라도, 사이트가 새로운 자물쇠를 사용할수 있는 능력이 있음을 증명했습니다. 마치 운전자가 터보 버튼을 누르지 않았더라도 그 차에 터보 버튼이 있음을 발견한 것과 같습니다.

결론

이 논문은 인터넷이 양자 미래에 대비했는지 알기 위해서는 표면에서 일어나는 일만 바라볼 수 없다고 결론 내립니다. 우리는다층적 접근법이 필요합니다.

• 트래픽을 관찰합니다 (수동).
• 서버에 무엇을 할 수 있는지 묻습니다 (능동).
• 인증서를 확인합니다 (체인).
• 우리가 무엇을 알고, 무엇을 모르는지, 정보가 어디에서 왔는지에 대한 엄격한 기록을 유지합니다.

이 접근법은 문제를 보지 못했기 때문에 시스템이 안전하다고 잘못 생각하거나, 새로운 기능을 볼 수 없었기 때문에 안전하지 않다고 잘못 생각하는 것을 방지합니다. 이는"모른다"는 것을 실패가 아닌 유효하고 중요한 답변으로 취급합니다.

기술 요약

기술 요약: 양자 내성 TLS 준비 상태를 위한 관측 가능성

문제 제기
전송 계층 보안 (TLS) 에서 양자 내성 암호화 (PQC) 로의 전환은 상당한 관측 가능성의 과제를 제시합니다. 생태계가 고전 알고리즘에서 NIST 표준화된 ML-KEM 및 ML-DSA 로 이동함에 따라, 종종 하이브리드 키 확립 메커니즘 (예: X25519MLKEM768) 을 통해 이루어지며, 운영자와 감사자는 엔드포인트 준비 상태를 평가할 수 있는 신뢰할 수 있는 방법을 결여하고 있습니다. 기존 접근 방식은 몇 가지 한계에 직면해 있습니다:

• 프로토콜 불투명성: TLS 1.3 은 인증서를 포함한 핸드셰이크 자료를 암호화하여 패시브 패킷 검사가 인증 및 수명 주기 분석에 불충분하게 만듭니다.
• 증거 단편화: 엔드포인트 기능 (서버가 지원하는 것) 은 종종 세션 협상 (특정 클라이언트가 협상하는 것) 과 달라집니다. 또한, 능동적 프로빙을 통해 수집된 인증서 체인은 이전에 캡처된 패시브 세션과 시간적 또는 논리적으로 연결되지 않을 수 있습니다.
• 측면 간극: 전통적인 패킷 검사 도구는 고전 협사와 잠재적 하이브리드 기능 간을 구분하지 못하며, 거짓 양성이나 음성 없이 불완전하거나 모순되거나 모호한 증거를 처리하는 데 어려움을 겪습니다.

방법론
저자들은 PQC 준비 상태를 특정 측정 평면에 매핑된 고유한 증거 소스를 필요로 하는 관측 가능성 문제로 취급하는 다중 표면 증거 프레임워크를 제안합니다.

1. 네 가지 증거 표면:

   • $\Sigma_P$ (패시브 세션): 패킷 캡처 (예: TLS 버전, 암호화 스위트, 가시적 그룹) 에서 추출됨. TLS 1.3 의 암호화로 인해 제한적입니다.
   • $\Sigma_A$ (능동적 프로브): 제어된 프로브 (예: 특정 그룹을 제공하는 클라이언트 프로필) 에 의해 생성됨. 엔드포인트 기능의 하한을 추론하는 데 사용됩니다.
   • $\Sigma_C$ (인증서 체인): 능동적 검색 또는 패시브 가시성을 통해 수집된 아티팩트로, 인증 및 수명 주기 데이터를 제공합니다.
   • $\Sigma_R$ (레지스트리 및 규칙): 식별자 (그룹, OID), 별칭 및 추론 규칙에 대한 표준 매핑.

2. 측정 평면:
   증거는 세션, 키 확립, 기능, 인증, 수명 주기, 관측 가능성, 정책 등 일곱 개의 평면에 투영됩니다. 측정 객체는 적절한 표면에서 충분한 증거가 있을 때만 해당 평면에서 '닫힌 (closed)' 것으로 간주됩니다.

3. 아티팩트 및 벤치마크 설계:

   • PQ-TLS 관측 가능성 벤치마크 v1: 29 가지 시나리오 (14 가지 표준, 15 가지 스트레스) 를 포함하는 재현 가능한 아티팩트입니다. 표준 시나리오는 깨끗한 조건 하에서의 추출을 테스트하고, 스트레스 시나리오는 잘라내기, 분편화, 시간적 드리프트, HelloRetryRequest(HRR), 그리고 모순된 증거 처리를 테스트합니다.
   • 평가 모드: 프레임워크는 네 가지 모드를 비교합니다:
     • B0: 상속된 기준 (참조 패킷 검사기).
     • B1: 패시브 전용.
     • B2: 패시브 + 능동적 프로빙.
     • B3: 전체 다중 표면 (패시브 + 능동적 + 체인 + 레지스트리).
   • 스트레스 계약: 정확한 일치 기반의 진실과 달리, 스트레스 시나리오는 unknown, not_applicable, ambiguity, contradiction 상태의 올바른 처리를 보상하는 행동 계약을 사용합니다.

주요 기여

1. 다중 표면 증거 모델: 패시브 세션, 능동적 프로브, 인증서 체인, 레지스트리 증거를 공식적으로 분리하여 세션 행동과 엔드포인트 기능을 혼동하지 않도록 고유한 측정 평면에 매핑합니다.
2. 스키마 강제 재현 가능 아티팩트: 시나리오 및 결과에 대한 JSON 스키마, 진화하는 PQC 식별자를 위한 버전 관리 레지스트리, 감사 가능한 추론 규칙을 갖춘 공개 구현 (pq_tls_observability).
3. 스트레스 계약 평가: 불완전한 데이터에 대한 이진 결정을 강요하기보다 불확실성을 보존하고 모순을 감지하는 도구의 능력을 점수화하는 방법론.
4. 실증적 검증:
   • 제어된 벤치마크: TLS 1.2/1.3, 하이브리드/고전 키, mTLS, 다양한 네트워크 조건을 포괄하는 29 가지 시나리오에 대한 평가.
   • 공개 캠페인: 1,000 개의 공개 대상에 대한 2,000 개의 프로브를 수행한 계층화 연구로, 표준 스캐너 (SSLyze, testssl.sh) 및 상속된 기준과 프레임워크를 비교했습니다.

결과

• 벤치마크 성능:
  • 상속된 기준 (B0) 은 29 회 실행 중 2 회만, TLS 1.3 실행 중 0 회만 감지하여 암호화된 환경에서 패킷 전용 검사의 실패를 강조했습니다.
  • 다중 표면 모드 (B3) 는 표준 시나리오에서 모든 평면에서 완전한 닫힘을 달성했으며, 스트레스 시나리오에서 불확실성을 올바르게 처리했습니다.
• 공개 캠페인 발견:
  • 프레임워크는 1,971 개의 핸드셰이크를 완료하고 1,368 개의 체인 아티팩트를 수집했습니다.
  • 310 개의 대상에 대한 하이브리드 기능을 확인했습니다. 중요하게도, 이 310 개 대상은 '세션보다 넓은 기능' 사례로 식별되었습니다: 단일 고전 세션 뷰는 이를 고전 전용으로 보고했을 것이지만, 듀얼 프로브 측정은 그들의 하이브리드 지원을 드러냈습니다.
  • 표준 스캐너 (SSLyze, testssl.sh) 는 250 개 대상 기준-동물원 슬라이스에서 0 개의 하이브리드 확인 대상을 보고한 반면, 듀얼 프로브 모드는 70 개를 확인했습니다.
  • 안정성: 반복된 라운드 (R1) 는 기능 및 인증서 데이터에서 최소한의 드리프트와 함께 높은 안정성 (99.42% 명확-완전 안정성) 을 보여주었습니다.
• 가족 이질성: 하이브리드 확인률은 운영 가족에 따라 크게 달라졌습니다 (예: 지식 커뮤니티는 0.620, 정부 및 클라우드 벤더는 0.110).

의의 및 주장
이 논문은 신뢰할 수 있는 양자 내성 TLS 준비 상태 평가가 다음을 분리하는 구조화된 측정 규율을 필요로 한다고 주장합니다:

1. 세션 행동 (협상된 것) 과 엔드포인트 기능 (지원되는 것).
2. 증거 소스 (패시브 vs 능동 vs 체인) 를 명시적인 출처 및 연결을 유지하기 위해.
3. 측정과 정책 판단을 분리하여 운영자가 준비 상태 판정을 적용하기 전에 원시 증거를 볼 수 있도록 합니다.

저자들은 unknown, not_applicable, ambiguity, contradiction 을 1 급 측정 출력으로 취급하는 것이 정확한 감사를 위해 필수적이라고 주장합니다. 그들은 현재 스캐너 기준이 유용한 고전 신호를 제공하지만, 의도적인 프로필 변화 (듀얼 프로빙) 와 다중 표면 증거 수집 없이는 잠재적 하이브리드 기능을 드러내지 못한다고 결론지었습니다. 이 프레임워크는 가시적인 패킷 지표와 양자 내성 준비 상태에 대한 완전한 증거 기반 평가 사이의 간극을 해소하는 데 필요한 인프라를 제공합니다.