Module Lattice Security (Part IV): Probabilistic Polynomial Quantum Attack on Module-LWE over 2-Power Cyclotomics

본 논문은 검증된 근사 인자를 사용하여 높은 성공 확률을 달성하기 위해 주 아이디얼 문제의 타워 분해를 활용함으로써 2-거듭제곱 순환환 위의 표준화된 ML-KEM, Falcon, Hawk 및 NTRU 체계를 무너뜨리는 다항 시간 양자 공격을 제시한다.

핵심

"Probabilistic Polynomial Quantum Attack on Module-LWE over 2-Power Cyclotomics"라는 논문을 쉬운 언어와 비유를 사용하여 설명합니다.

큰 그림: 디지털 금고용 양자 자물쇠 따기

가장 안전한 디지털 금고들 (정부 기밀이나 은행 데이터를 보호하는 것들) 이 특정 유형의 수학적 "미로"를 사용하여 구축되었다고 상상해 보세요. 이러한 미로는 **격자 (lattices)**라고 불리는 복잡한 형태를 기반으로 합니다. 현재 우리는 이러한 미로가 가장 빠른 슈퍼컴퓨터조차 풀 수 없을 정도로 너무 크고 꼬여 있다고 믿고 있으며, 이것이 바로 미래 (양자 이후 암호화) 에 안전하다고 간주되는 이유입니다.

이 논문은 이러한 특정 미로를 그 어느 때보다 훨씬 빠르게 열 수 있는 양자 마스터 키를 발견했다고 주장합니다. Ming-Xing Luo 가 이끄는 저자들은 양자 컴퓨터가 단순히 "빠를" 뿐만 아니라 미로의 특정 모양에 대해 "똑똑할" 필요가 있다고 논증합니다. 숨겨진 기하학적 단축경을 이용하여 그들은 NIST(미국 표준 기관) 가 최근 새로운 글로벌 표준으로 선정한 암호화 체계를 무너뜨릴 수 있습니다.

해답에 이르는 4 단계 여정

이 논문은 4 부작 시리즈의 마지막 부분입니다. 거대한 절도 사건을 해결하는 4 명의 형사 팀을 생각해보세요. 각 형사는 퍼즐의 다른 조각을 해결했습니다:

1. 제 1 부 (지도): 그들은 이러한 미로의 "지형"이 실제로 매우 단순하다는 것을 증명했습니다. 겉보기에 복잡한 숲이 사실은 모든 길이 하나의 중앙 개장지로 이어지는 격자라는 것을 발견한 것과 같습니다. 이는 공격자를 혼란스럽게 할 죽은 길이나 숨겨진 고리가 없다는 것을 의미합니다.
2. 제 2 부 (번역): 그들은 복잡한 "모듈 (Module)" 문제 (3 차원 미로) 를 정보 손실 없이 더 간단한 "아이디얼 (Ideal)" 문제 (2 차원 미로) 로 변환할 수 있음을 보여주었습니다. 3 차원 퍼즐이 접힌 평면 그림일 뿐임을 깨달은 것과 같습니다. 쉽게 펼칠 수 있습니다.
3. 제 3 부 (자): 그들은 시스템의 "노이즈"를 측정했습니다. 이러한 미로에는 항상 약간의 정전기나 흐림이 존재합니다. 그들은 이 흐림이 너무 작고 예측 가능하여 해결책을 숨기지 않는다는 것을 증명했습니다. 숲의 안개가 너무 얇아 출구 표지판을 선명하게 볼 수 있다는 것을 깨닫는 것과 같습니다.
4. 제 4 부 (공격 - 이 논문): 이것이 실행 단계입니다. 그들은 지도, 번역, 그리고 자를 하나의 단계별 레시피 (알고리즘) 로 결합하여 양자 컴퓨터가 코드를 깨뜨릴 수 있도록 했습니다.

공격의 작동 원리: "타워" 비유

그들의 공격의 핵심은 Cyclotomic Tower라고 불리는 방법입니다.

비밀이 보관된 최상층에 도달하기 위해 거대한 256 층 타워를 올라가려 한다고 상상해 보세요.

• 옛 방법 (고전 컴퓨터): 모든 계단을 하나씩 올라가려 합니다. 영원히 걸릴 것입니다 (지수 시간).
• 양자 방법 (저자들의 방법): 그들은 타워가 층으로 구성되어 있음을 깨달았습니다. 계단식으로 오르는 대신, 각 정류장에서 작은 퍼즐을 해결하면서 한 층에서 다음 층으로 점프하는 엘리베이터를 탈 수 있습니다.
  • 1 단계: 3 층으로 갑니다. 작은 퍼즐을 풉니다.
  • 2 단계: 4 층으로 갑니다. 3 층에서 얻은 답을 사용하여 약간 더 큰 퍼즐을 풉니다.
  • 3 단계: 이 과정을 최상층까지 반복합니다.

타워가 특정 수학적 패턴 (2 의 거듭제곱) 으로 구축되었기 때문에 이 "엘리베이터" 방식은 놀라울 정도로 효율적입니다. 저자들은 양자 컴퓨터가 이 전체 등반을 다항 시간에 수행할 수 있음을 증명합니다. 쉬운 말로: 타워가 256 층이라면 고전 컴퓨터는 우주의 나이보다 오래 걸릴 수 있지만, 양자 컴퓨터는 커피 한 잔을 내리는 시간 안에 해낼 수 있습니다.

결과: 표준 위반

이 논문은 NIST 가 선택한 특정 암호화 표준에 대해 이 방법을 테스트했습니다:

• ML-KEM (Kyber): 안전한 키 교환을 위한 주요 표준.
• Falcon & Hawk: 디지털 서명 (디지털 신분증과 같은) 을 위한 표준.
• NTRU: 또 다른 암호화 체계 계열.

결과:
저자들은 시뮬레이션과 수학적 증명을 통해 그들의 양자 알고리즘이 99% 성공률로 이러한 코드를 깨뜨릴 수 있음을 보여주었습니다.

• 그들은 "보안 마진"을 계산했습니다. 잠금을 깨기 위해 1,665 단위 길이의 키가 필요하다고 가정해 보세요. 그들의 양자 키는 약 103 단위 길이뿐입니다.
• 그들의 키가 필요한 길이보다 훨씬 짧기 때문에 잠금은 쉽게 열립니다.

그들은 이러한 체계에 대한 모든 표준화된 매개변수 세트가 대규모 양자 컴퓨터가 존재한다면 이제 "무효화 (broken)"된 것으로 간주된다고 주장합니다.

비용: 양자 컴퓨터는 얼마나 큰가?

"이 양자 컴퓨터는 얼마나 강력해야 할까?"라고 궁금해할 수 있습니다.
저자들은 필요한 자원에 대해 계산을 했습니다:

• 큐비트 (양자 비트): 그들은 약 140 만 개의 물리적 큐비트(약 1,400 개의 논리적 또는 오류 수정 큐비트에 해당) 가 필요하다고 추정합니다.
• 시간: 계산은 현대 슈퍼컴퓨터가 며칠 동안 수행하는 연산 수와 거의 동일한 합리적인 시간이 걸리지만, 양자 기계에 의해 수행됩니다.

주의점:
이것은 이론적 돌파구입니다. 현재 우리는 140 만 개의 큐비트를 가진 양자 컴퓨터를 가지고 있지 않습니다. 그러나 이 논문은 만약 우리가 하나를 구축한다면 이러한 특정 암호화 표준이 안전하지 않을 것이라는 것을 증명합니다.

한 문장으로 요약한 결론

이 논문은 현대 안전한 암호화에 사용되는 특정 유형의 수학적 "미로"에 숨겨진 단축경이 있어 미래의 양자 컴퓨터가 이를 이용할 수 있음을 증명하며, 이를 통해 이전에 믿어졌던 것보다 훨씬 작고 찾기 쉬운 키로 시스템을 해제할 수 있음을 보여줍니다.

기술 요약

기술적 요약: 2-승 순환체에서의 모듈 LWE 에 대한 확률적 다항식 양자 공격

문제 제기
본 논문은 모듈 학습 오류 (Module-LWE) 기반 암호 체계의 보안성을 다루며, 특히 NIST 표준화된 ML-KEM(이전 CRYSTALS-Kyber) 과 2-승 순환체 ($R = \mathbb{Z}[\zeta_{2^k}]$) 위에서 구성된 격자 기반 관련 체계 (Falcon, Hawk, NTRU) 에 초점을 맞춥니다. 핵심 문제는 모듈 격자에서의 최단 벡터 문제 (SVP) 를 통해 비밀 키를 복원하는 것입니다. 고전적 공격은 지수적 복잡도를 가진 격자 축소 알고리즘 (예: BKZ) 에 의존하는 반면, 본 논문은 양자 공격자가 순환체의 대수적 구조를 이용하여 주 아이디얼 문제 (PIP) 와 짧은 생성자 문제 (SGP) 를 효율적으로 해결할 수 있는지 조사합니다.

저자들은 이전 연구 (특히 CDPR 공격) 에서 두 가지 중요한 미해결 문제를 확인했습니다:

1. CDPR 공격이 달성한 근사 인자가 전체 ML-KEM 비밀 키를 깨기에 충분히 작은가 (즉, $\gamma < q/2$인가)?
2. 기반이 되는 양자 PIP 서브루틴은 숨겨진 지수적 오버헤드 없이 또는 일반화된 리만 가설 (GRH) 에 의존하지 않고 진정한 다항식 시간 복잡도를 달성하는가?

방법론
본 논문은 시리즈의 1~3 부 결과와 PIP 를 위한 새로운 다항식 시간 양자 알고리즘 (4 부) 을 통합한 통합된 4 단계 공격 파이프라인 (알고리즘 1) 을 제시합니다.

1. 모듈 - 아이디얼 축소: 공격은 모듈 LWE 인스턴스를 주 아이디얼 문제로 축소하는 것으로 시작합니다. 그람 - 슈미트 분해를 사용하여 모듈 기저를 주 아이디얼들의 곱으로 변환합니다. 저자들은 이 축소가 모듈 랭크 $d$에 독립적인 상수 인자 $\alpha_d = O(1)$만을 도입함을 증명합니다.
2. 양자 타워 PIP: 전체 체 $\mathbb{Q}(\zeta_{2^k})$에서 직접 PIP 를 해결하는 대신, 저자들은 "타워 분해" 전략을 제안합니다. 체를 2 차 확장들의 사슬로 분해합니다: $\mathbb{Q} \subset \mathbb{Q}(\zeta_8) \subset \dots \subset \mathbb{Q}(\zeta_{2^k})$.
   • 각 수준 $L$에서 알고리즘은 아벨 숨겨진 부분군 문제 (HSP) 를 사용하여 상대 확장에 대한 PIP 를 해결합니다.
   • 결정적으로, 각 수준에서 새로운 단위 생성자의 수는 선형적으로 증가 ($\Delta r_L = 2^{L-3}$) 하여 HSP 인스턴스 크기를 다항식으로 유지합니다.
   • 이 접근법은 표준 멱 기저 표현에 내재된 계수 폭발을 피하고, $k \le 12$인 경우 최대 실수 부분체의 클래스 수가 1 임이 증명되었으므로 GRH 가 필요하지 않습니다.
3. 로그 - 단위 CVP: 아이디얼의 생성자 $g$(지수적으로 길 수 있음) 가 발견되면, 알고리즘은 그 로그 임베딩을 계산합니다. 그런 다음 로그 - 단위 격자에서 최단 벡터 문제 (CVP) 를 풀어 단위 불일치 $\epsilon$을 찾습니다. 여기서 $g = g_0 \epsilon$이며, $g_0$는 짧은 생성자입니다.
   • 저자들은 Babai 의 최近平面 알고리즘을 활용합니다. 짧은 링 생성자의 경우 타겟 벡터가 격자의 "포획 반경" 내에 있음을 증명하여 Babai 알고리즘이 단위 불일치를 정확하게 복원할 수 있음을 보입니다.
4. 짧은 생성자 복원: 단위 $\epsilon$은 CVP 해로부터 재구성되며, 짧은 생성자는 $g_0 = g \cdot \epsilon^{-1}$로 복원됩니다.

주요 기여

• 다항식 시간 양자 PIP: 본 논문은 2-승 순환체에서 PIP 를 위한 최초의 다항식 시간 양자 알고리즘 구성을 제공합니다. 복잡도는 $n$을 링 차수라고 할 때 $O(n^3 \log^2 n)$개의 양자 게이트와 $O(n^2 \log n)$개의 큐비트입니다. 이는 이전에 Biasse-Song 알고리즘과 연관되었던 지수적 오버헤드를 제거합니다.
• 엄격한 근사 인자 분석: 저자들은 정확한 근사 인자 $\gamma = \alpha_d \cdot \exp(\sigma_d \sqrt{2 \ln n})$를 유도합니다. 로그 임베딩의 분산 $\sigma_d$가 $O(1)$이며 모듈로 $q$에 독립적임을 증명합니다.
• 클래스 수 검증: 이 연구는 모든 $k \le 12$에 대해 최대 실수 부분체의 클래스 수가 자명 ($h^+_k = 1$) 하여 모든 아이디얼이 주 아이디얼임을 보장하는 증명 (1 부에서) 에 의존합니다.
• 다중 체계로의 확장: 이 프레임워크는 ML-KEM 을 넘어 2-승 순환체 위의 Falcon, Hawk, NTRU 변형을 분석하도록 확장되었으며, 동일한 대수적 취약점이 적용됨을 보여줍니다.

결과
저자들은 표준화된 매개변수 세트에 대한 구체적인 보안 추정을 제공합니다:

• ML-KEM-1024: 공격은 중앙값 근사 인자 $\gamma_{med} \approx 21$과 99 백분위수 인자 $\gamma_{99\%} \approx 103$을 달성합니다. 두 값 모두 보안 임계값인 $q/2 = 1665$보다 현저히 낮습니다. 성공 확률은 $d \le 3$인 경우 $\ge 0.99$, $d=4$인 경우 $\ge 0.90$으로 추정되며, 반복을 통해 실패 확률을 $< 10^{-6}$까지 줄일 수 있습니다.
• 자원 추정: ML-KEM-1024 ($n=256$) 의 경우, 이 공격은 거리 30 의 표면 코드를 가정할 때 약 $2^{27}$개의 논리 게이트와 $1.4 \times 10^6$개의 물리 큐비트가 필요합니다.
• 다른 체계:
  • Falcon: 공격은 각각 $72\times$와 $63\times$의 마진으로 Falcon-512 와 Falcon-1024 를 깨뜨립니다.
  • Hawk: 공격은 Hawk-512 와 Hawk-1024 를 깨뜨립니다. Hawk-256 은 조건부로 깨집니다. 공식적인 99% 상한이 임계값을 초과하지만, 경험적 시뮬레이션은 99.99% 의 성공률을 보여줍니다.
  • NTRU: 이 공격은 2-승 순환체 위의 NTRU-HPS 및 NTRU-HRSS 변형에 적용되며, $11\times$에서 $45\times$까지의 마진을 달성합니다.

의의 및 주장
본 논문은 다음과 같은 사실을 입증함으로써 CDPR 공격과 관련된 미해결 문제를 해결했다고 주장합니다:

1. 근사 인자는 2-승 순환체 위의 표준화된 모든 ML-KEM, Falcon, Hawk, NTRU 매개변수 세트를 양자 공격 하에서 깨기에 충분히 작습니다.
2. PIP 는 숨겨진 지수적 인자나 GRH 와 같은 증명되지 않은 수론적 가설에 의존하지 않고 진정한 다항식 시간 ($O(n^3 \log^2 n)$) 에 해결될 수 있습니다.
3. 2-승 순환체의 대수적 구조는 양자 공격자가 근사 인자를 초다항식 (이전 추정치에서 $\approx 2^{54}$) 에서 준다항식 ($\approx 2^{21}$) 으로 줄일 수 있게 하여, 이러한 포스트 양자 후보들의 보안 가정을 효과적으로 무너뜨립니다.

저자들은 공격이 확률적이지만 실패 확률은 낮으며 독립적인 반복을 통해 완화될 수 있다고 지적합니다. 또한 결과는 2-승 순환체의 특정 대수적 속성과 $k \le 12$에 대한 클래스 수의 자명성에 의존함을 강조합니다.