양자 컴퓨터는 언제 RSA를 깨뜨릴까요?

최적 추정치: 2048비트 RSA에 대한 공격에 10~25년. 하드웨어는 아직 가깝지 않지만 궤도는 실제입니다. 정직한 대답은 불확실성입니다. 지금 암호화된 데이터는 그때에도 여전히 가치가 있을 수 있으므로 10년 후를 계획하는 것은 신중한 것입니다.

내 브라우저가 이미 포스트퀀텀 암호화를 사용하고 있나요?

최신 업데이트가 포함된 Chrome, Edge, Firefox 또는 Safari라면 부분적으로 그렇습니다. PQ 지원 서버에 연결하면 하이브리드 키 교환이 사용됩니다. 서버 채택이 고르지 않습니다. Google, Cloudflare 및 주요 CDN은 PQ 하이브리드 TLS를 제공하지만 소규모 사이트는 대부분 아직 제공하지 않습니다.

오늘 Kyber와 Dilithium을 사용해야 할까요?

새로운 시스템을 구축하는 개발자라면 그렇습니다. 가능한 경우 하이브리드를 사용하십시오. 당신이 이미 확립된 제품을 사용하고 있다면, 전환은 당신 아래에서 일어나고 있습니다. 기존 암호화를 순수 PQ로 대체하지 마세요. 하이브리드 구성에서 둘 다 사용하십시오.

QKD와 PQC의 차이점은 무엇입니까?

QKD는 키 교환을 위해 양자 물리학을 사용하며 특수 하드웨어와 전용 링크가 필요합니다. PQC는 양자 공격에 저항하는 고전적인 알고리즘을 사용합니다. 기존 인프라에서 실행됩니다. PQC는 널리 배포되고 있습니다. QKD는 보안 수준이 높은 특정 물리적 링크를 위한 틈새 솔루션입니다.

포스트퀀텀 암호화폐는 확실히 안전한가요?

어려운 문제(격자 문제, 코드 문제, 해시 속성)를 기반으로 안전하다고 생각됩니다. RSA/ECC는 최신 버전이므로 전투 테스트를 덜 거쳤습니다. 격자 기반 체계에 대한 암호 분석의 발전이 이루어졌습니다(그리고 NIST 경쟁 중 알고리즘 철회로 이어졌습니다). 하이브리드 모드는 향후 중단에 대비한 보험을 제공합니다.

양자 암호화 설명: 양자 이후 알고리즘과 "지금 수확하고 나중에 해독"이 의미하는 것

양자 컴퓨터가 충분히 크면 RSA, ECC 및 Diffie-Hellman을 다항식 시간 내에 깨뜨릴 것입니다. 하드웨어는 아직 필요한 규모로 존재하지 않지만 계산은 정해져 있습니다. 현대 인터넷이 실행되는 모든 공개 키 시스템은 취약합니다. 그 대응은 포스트퀀텀 암호화이며, 그 전환은 이미 진행 중이다.

전체 기사 본문은 아래에 영어로 제공됩니다.

양자 암호화는 양자 컴퓨터의 위협과 이에 저항하도록 설계된 알고리즘과 관련된 암호화 분야입니다. 이 범주는 종종 서로 혼동되는 두 가지 별개의 사항을 다룹니다. 양자 키 분배(QKD)는 키 교환을 위해 양자 역학을 직접 사용합니다. 및 PQC(포스트 양자 암호화)는 양자 공격에 저항하는 것으로 알려진 기존 알고리즘을 사용합니다. PQC가 배포되고 있습니다. QKD는 틈새 시장으로 남아 있습니다.

위협: Shor의 알고리즘

Peter Shor의 1994년 알고리즘은 충분히 큰 양자 컴퓨터가 다항식 시간에서 큰 정수를 인수분해할 수 있음을 보여줍니다. 결과: 인수분해의 어려움에 의존하는 RSA가 깨졌습니다. 동일한 알고리즘은 타원 곡선 그룹의 이산 로그도 계산하므로 ECC(ECDSA, ECDH, Ed25519, X25519)도 깨집니다. 현재의 모든 공개 키 암호화는 이 두 가지 어려운 문제에 달려 있습니다.

양자 컴퓨터는 얼마나 큽니까? 2048비트 RSA를 고려하는 데 필요한 리소스 추정치: 약 4,000개의 논리 큐비트와 10^9 양자 게이트, 약 8시간 동안 유지됩니다. 현재 장치에는 1,000개 이상의 physical 큐비트가 있지만 오류 수정 후 논리 큐비트는 거의 없습니다. 암호화 관련 규모에 도달하는 데는 10~25년이 걸릴 것으로 널리 추정됩니다.

대칭 암호화는 대부분 괜찮습니다.

Grover의 알고리즘은 비정형 검색에 대한 양자 속도 향상을 제공하여 대칭 암호화의 유효 키 강도를 절반으로 줄입니다. AES-128은 사실상 64비트 보안(불편함)이 되고, AES-256은 128비트 보안(여전히 강력함)이 됩니다. 해시 기능도 비슷하게 영향을 받습니다. SHA-256의 충돌 저항은 128에서 약 85비트로 떨어지고 사전 이미지 저항은 256에서 128로 떨어집니다.

실용적인 대응: 더 큰 대칭 키(AES-256, SHA-384/512)를 사용하면 기존 알고리즘이 안전하게 유지됩니다. 대칭 암호화는 깨지지 않습니다. 크기만 조정하면 됩니다.

지금 수확하고 나중에 해독

가장 많이 언급되는 단기적 우려 사항: 공격자는 양자 하드웨어가 성숙해지면 10~20년 후에 해독할 수 있다는 가정 하에 오늘날 암호화된 트래픽을 수집합니다. 외교 전문, 정보, 의료 기록, 법률 문서, 지적 재산 등 오랫동안 가치가 유지되는 모든 데이터에 대한 위협은 현실입니다.

이것이 포스트퀀텀 전환이 양자 하드웨어가 존재할 때까지 기다릴 수 없는 이유입니다. 2026년에 암호화되는 데이터는 2040년에 기밀로 유지되어야 한다면 양자 저항성을 갖춰야 합니다.

NIST의 PQC 표준화

NIST는 포스트퀀텀 알고리즘을 표준화하기 위해 다년간 공개 경쟁(2016~2024)을 진행했습니다. 2024년 우승자: 키 캡슐화용

ML-KEM (CRYSTALS-Kyber) — 서명용 ECDH/RSA-KEM
ML-DSA (CRYSTALS-Dilithium) 대체 — 대체 ECDSA/RSA
SLH-DSA (SPHINCS+) 해시 기반 서명 - 격자 암호화 분석이 발전하는 경우 ML-DSA를 위한 백업
FN-DSA(Falcon)제한된 압축 서명 환경

처음 3개는 2024년 8월 FIPS 203, 204, 205로 표준화되었습니다. Falcon은 보류 중입니다.

배포가 진행 중입니다

주요 실제 배포는 다음과 같습니다. 2025~2026:

TLS 하이브리드 핸드셰이크 — Chrome, Firefox, Cloudflare, Google 등은 X25519+Kyber 하이브리드를 배포합니다. 두 알고리즘이 모두 실행됩니다. 둘 중 하나라도 끊어지지 않으면 연결이 안전합니다.
Apple iMessage PQ3 — 2024년에 맞춤형 하이브리드를 통해 포스트 양자 키 교환이 추가된 메시징 프로토콜입니다.
Signal PQXDH — Signal의 키 교환에 Kyber 하이브리드가 추가되었습니다. 2023.
SSH — OpenSSH 9.x는 키 교환을 위해 Streamlined NTRU Prime 하이브리드를 지원합니다.
VPNs — Kyber 래퍼가 포함된 WireGuard가 존재합니다. 상업용 VPN은 PQ 옵션을 광고하기 시작했습니다.

절충점

포스트 양자 알고리즘은 무료가 아닙니다:

Key 크기가 더 큽니다. Kyber 공개 키는 X25519의 32바이트에 비해 ~1.5KB입니다. Dilithium 서명은 ~2.5KB이며 Ed25519의 경우 64바이트입니다. 대역폭과 저장 비용은 규모에 따라 중요합니다.
일부 알고리즘은 특정 하드웨어, 특히 제한된 장치에서 보다 느립니다. ML-KEM은 ECDH와 유사합니다. ML-DSA는 Ed25519보다 느립니다.
Lattice 암호화는 최신이고 전투 테스트를 덜 거쳤습니다. 암호 분석 기술의 발전에 대한 우려는 현실입니다. 해시 기반 서명(SPHINCS+)은 훨씬 더 큰 서명을 사용하는 보다 보수적인 대체 방법입니다.

양자 키 배포: 다른 것

QKD는 양자 속성(비복제, 측정 방해)을 사용하여 정보 이론적 보안을 통해 두 끝점 간에 공유 키를 설정합니다. 문제점: 특수 하드웨어(단일 광자 소스/검출기), 지점 간 광섬유 또는 가시선, 수백 킬로미터 이상의 거리에 대한 신뢰할 수 있는 중간 노드가 필요합니다. 틈새 배포는 은행 및 정부 네트워크에 존재하지만 QKD는 인터넷 스타일 사용 사례로 확장되지 않습니다.

NIST 및 대부분의 암호화 전문가는 일반적인 용도로 QKD보다 PQC를 명시적으로 권장했습니다. QKD에 대한 과대광고는 엔지니어링보다 앞서는 경우가 많습니다.

이것이 귀하에게 의미하는 것

개별 사용자의 경우 포스트퀀텀 전환은 대부분 눈에 띄지 않습니다. 브라우저, OS 및 메시징 앱은 하이브리드 알고리즘을 투명하게 출시합니다. 오늘날 하이브리드 알고리즘으로 암호화되는 데이터는 양자 컴퓨터가 등장하더라도 안전할 것입니다. 예외: 장기 기밀 데이터(정보, 의료 기록, 재무 기록)를 처리하고 소프트웨어가 여전히 클래식 전용 ECDH/RSA를 사용하는 경우 10년이 아니라 지금 주목할 가치가 있습니다.

자주 묻는 질문

양자 컴퓨터는 언제 RSA를 깨뜨릴까요?: 최적 추정치: 2048비트 RSA에 대한 공격에 10~25년. 하드웨어는 아직 가깝지 않지만 궤도는 실제입니다. 정직한 대답은 불확실성입니다. 지금 암호화된 데이터는 그때에도 여전히 가치가 있을 수 있으므로 10년 후를 계획하는 것은 신중한 것입니다.
내 브라우저가 이미 포스트퀀텀 암호화를 사용하고 있나요?: 최신 업데이트가 포함된 Chrome, Edge, Firefox 또는 Safari라면 부분적으로 그렇습니다. PQ 지원 서버에 연결하면 하이브리드 키 교환이 사용됩니다. 서버 채택이 고르지 않습니다. Google, Cloudflare 및 주요 CDN은 PQ 하이브리드 TLS를 제공하지만 소규모 사이트는 대부분 아직 제공하지 않습니다.
오늘 Kyber와 Dilithium을 사용해야 할까요?: 새로운 시스템을 구축하는 개발자라면 그렇습니다. 가능한 경우 하이브리드를 사용하십시오. 당신이 이미 확립된 제품을 사용하고 있다면, 전환은 당신 아래에서 일어나고 있습니다. 기존 암호화를 순수 PQ로 대체하지 마세요. 하이브리드 구성에서 둘 다 사용하십시오.
QKD와 PQC의 차이점은 무엇입니까?: QKD는 키 교환을 위해 양자 물리학을 사용하며 특수 하드웨어와 전용 링크가 필요합니다. PQC는 양자 공격에 저항하는 고전적인 알고리즘을 사용합니다. 기존 인프라에서 실행됩니다. PQC는 널리 배포되고 있습니다. QKD는 보안 수준이 높은 특정 물리적 링크를 위한 틈새 솔루션입니다.
포스트퀀텀 암호화폐는 확실히 안전한가요?: 어려운 문제(격자 문제, 코드 문제, 해시 속성)를 기반으로 안전하다고 생각됩니다. RSA/ECC는 최신 버전이므로 전투 테스트를 덜 거쳤습니다. 격자 기반 체계에 대한 암호 분석의 발전이 이루어졌습니다(그리고 NIST 경쟁 중 알고리즘 철회로 이어졌습니다). 하이브리드 모드는 향후 중단에 대비한 보험을 제공합니다.