"E91 프로토콜"의 두 판 사이의 차이

E91 프로토콜(E91 protocol)란 두 입자 간의 비고전적 비 국소적 양자 상관관계를 직접 이용하는 프로토콜로, 1992년에 아르투어 에케르트(Artur Ekert)에 의해 고안되었다. 최대 양자 얽힘 상태(EPR)에 있는 입자 두 개를 각각 한 개씩 나눠 가져서 각각의 입에 대해 임의의 기저를 선택하여 양자 측정을 수행한 후, 각자 선택한 기저를 공개적으로 비교하여 양자 키를 분해한다.

개요

아르투어 에케르트에 의해 고안된 E91 프로토콜은 두 입자 간의 비고전적 비 국소적 양자 상관관계를 직접 이용한다. EPR 상태에 있는 두 개의 입자를 하나씩 나눠 각각의 입자에 임의 기저를 선택해서 양자를 측정하고, 각자 선택한 기저를 공개적으로 비교하여 양자 키를 분해하는 프로토콜이다.^[1] 송수신 자인 앨리스와 밥이 있다고 할 때, 앨리스와 밥 두 사용자가 EPR 상태에 있는 입자 두 개를 각각 한 개씩 나누어 가진 후 각각의 입자에 대해 측정을 가한다. 두 사용자는 두 개의 기저가 아닌 각각 세 개의 기저 중하나를 선택하여 그 기저에 의해 측정을 수행한다. 앨리스의 세 기저와 밥의 세 기저 중 기저 두 개는 일치하지만 나머지 기저 하나는 서로 다르다. 따라서 두 사용자의 측정 기저가 동일해서 암호 키를 얻을 수 있는 확률은 ${\displaystyle {\frac {2}{9}}}$로 감소한다. 그러나 나머지 기저가 일치하지 않는 값들로부터 도청자 이브의 존재 등 안전성에 대한 평가를 동시에 할 수 있다. 이러한 안전성 평가는 소위 말하는 '벨 부등식'을 이요한 것으로, 벨 부등식과 양자 암호 사이에서 안전성과 관련하여 다소 논쟁이 발생하기도 했다. E91 프로토콜 외에도 B92 프로토콜, BB84 프로토콜 등은 양자암호통신 기술의 원리적인 측면에서 기초적으로 활용되고 있다.^[2]

개념

E91 프로토콜을 비롯하여 BB84 프로토콜 같은 양자 암호 알고리즘들은 양자암호 이론을 이용한 비밀키 전송 방식에 중심이 맞춰져 있다. 또한 비밀연쇄 분배법인 BB84 프로토콜이나 B92 프로토콜은 서로 직교하지 않는 양자상태는 복제불능이라는 이론의 의해서 안정성이 보장된다. 두 프로토콜 모두 양자역학의 불확정성 관계가 본질적인 역할을 수행하며, 두 입자가 상관된 양자상태인 EPR 쌍을 이용하여 암호 열쇠를 안전하게 분배할 수 있다. E91 프로토콜의 경우에는 송수신자가 스핀 0으로 결합한 두 입자계, EPR 쌍을 관측한다.

예시 1

${\displaystyle |\psi _{cnt}>={\frac {1}{\sqrt {2}}}(|0>_{A}|1>_{B}-|1>_{A}|0>_{B})={\frac {1}{\sqrt {2}}}(|0>_{A}|1>_{B}-|1>_{A}|0>_{B})}$

양자얽힘 상태 ${\displaystyle |\psi _{cnt}}$〉를 사용한다. 예를 들어 광자 2개의 편광을 얽히게 해서 앨리스와 밥에게 각각 보낸다고 하자. 앨리스와 밥은 얽힘 상태 ${\displaystyle S}$를 준비한다. 앨리스와 밥에게 각각 입자 A와 B를 보내면, 앨리스와 밥은 각각 임의로 기저를 선택하여 관측한다. 앨리스가 기저 '1'로 관측해서 '0'을 얻었다고 할 때, 상태는 ${\displaystyle |0>|1>}$로 천이한다. 다음에 밥이 기저 '1'로 관측할 때는 반드시 '1'을 얻게 되지만, 기저를 '2'로 선택한 경우에는 앨리스의 관측 결과와는 상관없이 임의의 값을 얻게 된다. 이를 종합하면 다음과 같다

1. 앨리스와 밥이 서로 다른 기저로 관측하면 각각 랜덤한 비트를 관측한다.
2. 앨리스와 밥이 동일 기저로 관측하면 두 사람이 관측한 비트는 반드시 달라야 한다. 만약 앨리스와 밥이 관측한 비트를 각각 ${\displaystyle b,c}$라고 한다면 ${\displaystyle b\oplus c=1}$을 만족한다. 따라서 밥이 보존하고 있는 비트를 ${\displaystyle {\grave {b}}:=c\oplus 1}$로 하면 ${\displaystyle b={\grave {b}}}$를 만족하여 일치하는 비트를 공유할 수 있다.

다음은 위의 원리를 이용한 랜덤 비트 공유 프로토콜이다.

1. 앨리스와 밥은 각각 기저 ${\displaystyle p_{i},{\grave {p_{i}}}}$를 임의로 선정한다.
2. 얽힘 상태 소스 ${\displaystyle S}$는 상태 ${\displaystyle |\psi _{cnt}}$〉를 생성하여 각각 앨리스와 밥에게 발신한다.
3. 앨리스와 밥은 상태를 관측한다. 관측 결과를 ${\displaystyle b_{i},c_{i}}$라고 하고 앨리스는 ${\displaystyle b_{i}}$를 밥은 ${\displaystyle {\grave {b_{i}}}=c_{i}\oplus 1}$를 후보 비트로 보존한다.
4. 앨리스와 밥은 고전 통신로를 이용하여 기저 ${\displaystyle p_{i},{\grave {p_{i}}}}$를 교환하고 일치하는 부분 집합 ${\displaystyle I=\{i|p_{i}={\grave {p_{i}}}\}}$를 구한다.
5. 밥은 ${\displaystyle \forall j\in J}$의 부분집합 ${\displaystyle J}$를 임의로 선택해서 ${\displaystyle \forall j\in J}$에 대해 ${\displaystyle b_{j}={\grave {b_{j}}}}$를 조사한다. 맞으면 ${\displaystyle \{b_{k}|k\in I-J\}}$ 및 ${\displaystyle \{{\grave {b_{k}}}|k\in I-J\}}$를 임의 비트열로 공유한다.

관측해서 ${\displaystyle b_{j},{\grave {b_{j}}}}$를 얻은 이후의 과정은 BB84 프로토콜과 동일하다. E91 프로토콜의 얽힘 소스 를 연속적으로 이동 시켜 앨리스 측이 흡수하면 BB84 프로토콜과 비슷한 형태가 된다. 다시 말해, 앨리스가 스스로 얽힘 상태 ${\displaystyle |\psi _{cnt}}$〉를 생성하여 자신과 밥에게 송신하고 관측하는 상황이 된다. 얽힘 상태인 원 ${\displaystyle S}$를 제삼자가 담당할지 앨리스나 밥이 겸임할 것인지에 담긴 의미는 암호로써 어떤 안전성을 더 중시하는가에 달려있다. 안전성은 다음의 두 가지를 고려한다.

• 앨리스와 밥이 공유하고 있는 비트를 제삼자에게 도청당하지 않도록 하는 안전성. ${\displaystyle S}$를 앨리스나 밥에게 겸임시키면 제삼자가 존재하지 않게 되어 안전성이 명확하게 향상한다.
• 앨리스나 밥이 부정행위를 하는 것이다. 거짓 비트를 상대방에게 참이라고 속이는 일이 일어나지 않도록 하는 안전성이다. 이런 경우 ${\displaystyle S}$를 겸임하고 있는 측이 부정행위를 하기가 더 쉽다. 이를테면 단일 광자 대신에 얽힘 상태를 상대방에게 보내어 상대방의 관측 결과 정보를 인출할 가능성이 있다.

전자와 후자 중 전자의 경우 랜덤 비트를 공유하는 것만이 목적인 경우에는 의미 없지만, 이의 프로토콜을 망각통신의 암호로 이용하는 경우에는 중요할 수 있다.^[3]

예시 2

${\displaystyle |\psi >_{12}={\frac {1}{\sqrt {2}}}(|0>_{A}|1>_{B}-|1>_{A}|0>_{B})={\frac {1}{\sqrt {2}}}(|0>_{A}|1>_{B}-|1>_{A}|0>_{B})}$

EPR 쌍은 스핀 ${\displaystyle {\frac {1}{2}}}$인 입자를 이용하면 위와 같다. EPR 쌍은 두 개의 광자로도 만들어질 수 있는데, EPR 쌍은 z축의 반대방향으로 발사되며 송신자와 수신자는 서로 떨어진 장소에서 각각의 편광 검출기로 한 개의 입자의 스핀 방향을 관측한다. 단위 벡터 ${\displaystyle a_{i}}$와 ${\displaystyle b_{j}(i=1,2,3)}$로 검출기의 방향을 표시하며 이 두 단위 벡터가 z축에 수직한 xy 평면에 위치한다. 송신자는 ${\displaystyle a_{i}}$ 검출기를 이용하고 수신자는 ${\displaystyle b_{i}}$ 검출기를 이용하여 스핀의 방향을 측정할 때, 상행인 + 방향과 하향인 - 방향의 상관식은 다음과 같이 된다.

${\displaystyle E(a_{i},b_{j})=E_{++}(a_{i},b_{j})+E_{--}(a_{i},b_{j})-E_{+-}(a_{i},b_{j})-E_{-+}(a_{i},b_{j})=-(a_{i},b_{j})}$

벨의 부등식 중 하나인 CHSH 부등식(Clauser, Horne, Shimony, Holt)을 유도하기 위해 다음과 같은 상관 함수를 생각한다.

${\displaystyle S=E(a_{1},b_{1})-E(a_{1},b_{3})+E(a_{3},b_{1})+E(a_{3},b_{3})}$

위 식을 구하려면 송수신 자가 서로 다른 방향에서 EPR 쌍을 지정된 방향으로 네번 측정해야 한다. 양자역학적 관측결과는 다음과 같이 주어진다.

${\displaystyle S_{QM}=-\cos(\phi _{1}-\theta _{1})+\cos(\phi _{1}-\theta _{3})-\cos(\phi _{3}-\theta _{1})-\cos(\phi _{3}-\theta _{3})}$

E91 프로토콜은 다음과 같다.

1. 송신자와 수신자는 EPR 쌍을 측정기를 사용하여 관측한다.
2. 송신자와 수신자는 검출기 방향을 공개하고 측정결과를 '다른 방향의 검출기로 이용한 결과'와 '같은 방향의 검출기를 이용한 결과'의 두 종류로 나누어 분류한다.
3. 송신자와 수신자는 '다른 방향의 검출기로 이용한 결과' 그룹에 속하는 결과만 공개하고 CHSH 부등식 ${\displaystyle S}$가 만족되는지를 확인한다.
4. CHSH 부등식 ${\displaystyle S=-2{\sqrt {2}}}$를 만족하는 경우에만 '같은 방향의 검출기를 이용한 결과' 그룹의 결과를 일회용 비밀번호 용도의 비밀열쇠로 사용한다.

만약 송수신 자가 EPR 쌍의 관측결과에서 E91 프로토콜에 의해 비밀 열쇠를 분배했다고 가정한다면, 도청자가 E91 프로토콜을 부수고 비밀열쇠를 가져가려고 했을 때 CHSH 부등식이 어떻게 변화하는가가 문제이다. 도청자가 EPR 쌍에서 정보를 훔치려고 시도할 때, 여기서 EPR 부등식을 유도한다고 가정한다. E91 프로토콜의 제 1 특징은 도청자가 송수신 자를 관측하기 위해 모든 EPR 쌍을 관측했다고 하더라도 도청자는 어떠한 정보도 얻어갈 수 없다는 것이다. 즉 비밀열쇠인 EPR 쌍 자체가 아니라, 송수신 자가 관측을 진행한 후 두번째 단계의 '같은 방향의 검출기를 이용한 결과' 데이터만을 선택해서 만들어지기 때문이다. 도청자가 암호열쇠의 정보를 얻으려면 EPR 쌍을 관측한 뒤에 다시 EPR 쌍을 송신자와 수신자에게 각각 발신해서 두 사람의 검출기 종류를 알아내야 한다. 그래서 도청자는 A와 B, 두 대의 검출기를 이용하여 ${\displaystyle \phi _{A}}$와 ${\displaystyle \theta _{B}}$ 방향에서 EPR 쌍의 스핀을 관측하고, 관측한 스핀과 동일한 방향으로 다시 두 입자를 발신한다. 도청자가 ${\displaystyle \phi _{A}}$와 ${\displaystyle \theta _{B}}$ 방향을 임의의 확률인 ${\displaystyle P(\phi _{A},\theta _{B})=\left\vert a(\phi _{A},\theta _{B})\right\vert ^{2}}$로 택한다고 할 때, 발신된 두 입자의 상태는 진폭 ${\displaystyle a(\phi _{A},\theta _{B})}$를 활용하여 다음과 같이 표현된다.

${\displaystyle \mid \Psi (A,B)\geqq \int _{0}^{2\pi }d\phi _{A}\int _{0}^{2\pi }d\theta _{B}a(\phi _{A},\theta _{B})\mid \phi _{A}>_{1}\mid \theta _{B}>_{2}}$

여기서 직교규격화가 되어있기 때문에 ${\displaystyle \mid \Psi (A,B)>}$도 다음 수식으로 규격화된다.

${\displaystyle <\Psi (A,B)\mid \Psi (A,B)>=\int _{0}^{2\pi }\int _{0}^{2\pi }\left\vert a(\phi _{A},\theta _{B})\right\vert ^{2}d\phi _{A}d\theta _{B}=1}$

도청자가 발신한 ${\displaystyle \mid \phi _{A}>,\mid \theta _{B}>}$ 상태를 송신자와 수신자는 각각 검출기 a와 b를 이용하여 그 스핀의 방향을 관측한다고 하면, 도청자가 존재하는 경우 다음과 같이 표현한다.

${\displaystyle E^{\prime }(a,b)=\int \int p(\phi _{A},\theta _{B})\cos(\phi -\phi _{A})\cos(\theta -\theta _{B})d\theta _{A}d\theta _{B}}$

도청자가 도청한 결과의 상관함수는 다음과 같이 되며,

${\displaystyle -2{\sqrt {2}}\leq S^{\prime }\leq {\sqrt {2}}}$

양자역학의 원리로부터 유도된 결과인 ${\displaystyle S_{QM}=-2{\sqrt {2}}}$와 모순이다. 이렇게 일반화된 벨의 CHSH 부등식을 통하여 송수신자인 앨리스와 이브는 통신과정에서 도청자 이브의 존재 여부를 파악할 수 있다. 도청자가 EPR 쌍을 관측한다는 것은 스핀의 방향을 확인하기 위함이다. 즉 관측에 따라 양자역학적인 2체계 상태가 수축하여 어떤 특정한 스핀방향이 정해지기 때문이다. 만약 도청자가 존재한다면 EPR 쌍이 교란을 받아 고전적인 벨의 부등식이 성립하게 된다는 의미이다. 다른 방향에 존재하는 몇 가지 검출기의 측정 결과에서 도청자가 존재하는지에 대한 여부를 알 수 있는 이유는 바로 '서로 얽힌' 상태를 설명해주는 양자역학의 원리가 잘 이용되기 때문이다.^[4]

보안

소음

양자 통신의 비트 오류는 주로 제삼자의 도청이나 노이즈로 발생한다. 그러나 대부분의 양자 통신 프로토콜은 도청만 고려하고 잡음이 나오는 결과는 무시하기 때문에 도청자를 탐지할 때 정확하지 않은 상황이 발생하기도 한다. 따라서 E91 프로토콜의 보안을 분석하기 위한 소음 분석 특화 모델이 제시되었다. 양자비트의 오류 발생 확률의 증가는 도청을 검출하는 데 사용된다. 연구 결과, 도청자는 소음의 수준이 약 0.5에 가까울 때 통신으로부터 최대 50%의 키를 얻을 수 있다는 결과가 나왔다. 이 결과를 통해 집단 소음 환경에서 E91 프로토콜이 안전하고 초기 키를 사용할 수 있다는 것을 알 수 있다.

시끄러운 환경에서는 소음과 도청을 구별할 수 없다는 설명의 필요하다. 양자비트 오류율은 앨리스에서 밥으로, 앨리스에서, 도청자 이브로, 이브에서 밥으로 발생할 수 있는데, 이상적인 환경에서 이브에 의해서만 발생한다. 도청자가 없어도 비트 에러는 발생한다. 이는 원래의 E91 프로토콜을 소음 환경에서 사용될 수 없다는 뜻이다. 양자 잡음 채널의 도청 여부를 판단하는 메커니즘은 정보보호를 위해 개선할 필요가 있다. 양자 통신 과정에서 노이즈에 의해서만 발생하는 비트 에러율은 안정적이고 변하지 않는다. 도청이 있으면 비트 에러율은 증가하고, 노이즈에 의해서만 발생하는 비트 에러율보다 값이 클 것이다. 어떤 상황이든 간에 앨리스와 밥은 양자 채널이 안전하지 않다고 판단하고, 이브의 도청을 종료하여 도청에서 빠져나온다.^[5]

분석

비교

BB84 프로토콜

활용

• 온라인 뱅킹 시스템 : 온라인 뱅킹은 전 세계 어디에서든 사람들이 인터넷을 통해 은행 계좌를 이용할 수 있는 상호 작용 산업이다. 따라서 철저하고 강력한 보안 시스템을 추구한다. 하지만 가끔 제대로 안전성이 지켜지지 않는 피해가 발생하기도 한다. 온라인 뱅킹 시스템의 전체적인 보안은 인증에 사용되는 고전적인 접근방식으로 축소되었고, 이는 무조건 안전하다기보단 계산적으로 안전하다고 볼 수 있다. 따라서 보안시스템의 인증 과정에 양자 암호학 개념이 도입되었다. 양자 암호화는 널리 사용되는 공공 용도에서 공공 네트워크를 통해 전송되는 데이터를 보호한다. 또, 양자암호는 온라인 뱅킹 시스템에서 사용자 인증을 위한 인증 과정을 강화하기 위해 사용되고 있으며, E91 프로토콜을 적용함으로써 무조건적인 보안을 제공할 수 있다.^[6]

각주

참고자료

• 노태곤, 김헌오, 홍종철, 윤천주, 성건용, 정태형, 〈[양자암호통신기술]〉, 《전자통신동향분석제20권》, 2005-10
• 조재완 외 7인, 〈[양자 암호 통신 기술]〉, 《한국원자력연구원》, 2007
• 노태곤, 윤천주, 김헌오, 〈[양자암호]〉, 《한국전자통신연구원》, 2006-10
• 설정자, 임광철, 〈이중광자 전송을 통한 양자비밀통신〉, 《한국과학기술정보연구원》, 2013-08-31
• Anand Sharma, Saroj Kumar Lenka, 〈E91 QKD protocol for authentication in online banking systems〉, 《IDEAS》, 2016
• Leilei Li 외 6인,〈The security analysis of E91 protocol in collective-rotation noise channel〉, 《SAGEJournals》, 2018-05-22
• Rudy Raymond, 〈E91 Quantum Key Distribution Protocol〉, 《깃허브》, 2018-10-12

같이 보기

• 알고리즘
• 암호 알고리즘
• B92 프로토콜
• BB84 프로토콜

이 E91 프로토콜 문서는 암호 알고리즘에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.