Cloud KMS에 양자 안전(Quantum-Safe) 키 캡슐화 메커니즘 발표

해당 블로그의 원문은 XXXX년 XX월 XX일 Google Cloud 블로그(영문)에 게재되었습니다. 

 양자 컴퓨팅은 기술의 새로운 지평을 열어주는 동시에, 새로운 보안 과제를 제시합니다. 충분히 강력한 양자 컴퓨터는 오늘날 우리가 의존하고 있는 공개 키 암호화 시스템을 무력화할 수 있으며, 이는 개인과 조직에 심각한 위험을 초래합니다.

비록 이러한 위협이 몇 년 후에 다가올지라도, 그에 맞는 방어 시스템을 구축하는 데는 그만큼의 시간이 걸릴 수 있습니다. 최근 Google Cloud Key Management Service (Cloud KMS)에서 양자 안전 디지털 서명을 발표한 데 이어, 저희는 양자 안전 기능을 확장하게 되어 기쁩니다. 이제 Cloud KMS에서 포스트 양자 키 캡슐화 메커니즘(post-quantum Key Encapsulation Mechanisms, KEMs)을 미리 보기(preview)로 지원함을 발표하며, 고객들이 포스트 양자 시대로의 마이그레이션을 시작할 수 있도록 합니다.

이 새로운 기능은 "지금 수확하여 나중에 복호화(Harvest Now, Decrypt Later)" 공격으로부터 애플리케이션을 보호하기 위한 핵심 구성 요소를 제공합니다. 공격자들은 암호화에 유의미한 양자 컴퓨터(CRQC)가 사용 가능해지는 미래에 복호화할 목적으로 오늘날 암호화된 데이터를 캡처하고 저장할 수 있습니다. 이는 양자 위협이 멀게 느껴지더라도 장기적인 기밀성이 필요한 민감한 데이터를 보호하는 것을 매우 중요하게 만듭니다.

포스트 양자 시대로의 마이그레이션 과제

대부분의 데이터는 대칭 암호화를 사용하여 보호되지만, 비대칭 암호화는 이러한 대칭 키를 안전하게 교환하는 데 핵심적인 역할을 합니다. 포스트 양자 암호화로 인해 근본적으로 변화하는 것이 바로 이 키 교환 프로세스입니다.

고전적인 비대칭 암호화에서 포스트 양자 KEM으로 마이그레이션하는 것은 단순한 알고리즘 교체 이상의 의미를 지닙니다. 이는 아키텍처적 사고방식의 전환을 요구합니다. 개발자들은 두 가지 주요 과제에 직면하게 될 것입니다. 새로운 암호화 패러다임에 적응하는 것, 그리고 새로운 성능 특성을 관리하는 것입니다.

가장 중요한 난관은 KEM이 전통적인 비대칭 암호화를 직접적으로 대체하지 않는다는 것입니다. RSA와 같은 고전적인 알고리즘을 사용할 때, 개발자는 자신이 이미 가지고 있는 데이터(예: 생성한 대칭 세션 키)를 암호화하는 경우가 많습니다.

KEM은 이 모델을 완전히 뒤집습니다. 발신자가 공유 비밀 값을 선택하지 않습니다. 대신, 비밀 값은 KEM의 캡슐화 프로세스 자체의 출력으로 생성되는 신선하고 무작위적인 값입니다.

이러한 아키텍처적 전환은 단순히 Encrypt() 함수 호출을 대체할 수 없음을 의미합니다. 이러한 복잡성을 안전하게 처리하기 위해, 개발자는 RFC 9180에 정의된 하이브리드 공개 키 암호화(HPKE)와 같은 상위 수준 표준을 채택해야 합니다. HPKE는 다양한 KEM과 함께 사용할 수 있는 확장 가능한 표준이며, 포스트 양자 알고리즘의 통합을 단순화하기 위해 Tink와 같은 라이브러리에서 사용할 수 있습니다.

둘째, 개발자들은 새로운 성능 특성을 관리해야 합니다. 포스트 양자 연산의 계산 속도는 종종 고전적인 연산과 비슷하지만, 공개 키와 암호문의 크기가 상당히 커집니다.

이는 사소한 증가가 아닙니다. 종종 자릿수(order of magnitude) 차이가 발생합니다. 예를 들어, 표준 ML-KEM-768 키는 P-256 키보다 약 18배 더 큽니다.

이러한 크기 증가는 애플리케이션 성능에 직접적인 영향을 미치며, 대역폭, 스토리지 및 메모리 사용량에 영향을 줍니다. 성공적인 마이그레이션을 위해서는 아키텍트가 이러한 더 큰 페이로드(payload)를 고려해야 하며, 특히 IoT 장치와 같이 리소스가 제한된 환경에서 중요합니다.

마지막 과제는 이러한 알고리즘의 새로움입니다. 새로운 표준들은 강렬한 검토를 거쳤지만, 고전적인 알고리즘이 겪었던 수십 년간의 실세계 분석을 아직 견뎌내지 못했습니다.

이러한 이유로, 대부분의 일반적인 애플리케이션에 대해서는 하이브리드 접근 방식을 사용하는 것을 강력히 권장합니다. 하이브리드 배포는 고전적인 알고리즘과 포스트 양자 알고리즘을 결합하여 새로운 PQC 알고리즘의 위험에 대비합니다. 이는 새로운 포스트 양자 알고리즘이나 그 구현에서 예상치 못한 결함이 발생하더라도 새로운 취약점을 초래하지 않도록 보장하는 데 도움이 될 수 있으며, 포스트 양자 세계로의 안전하고 점진적인 전환을 제공합니다.

Cloud KMS에서 KEM 시작하기

양자 내성으로 나아가는 유연하고 안전한 경로를 제공하기 위해, Cloud KMS는 이제 몇 가지 KEM 알고리즘을 제공합니다.

• ML-KEM-768 and ML-KEM-1024: 이들은 NIST가 FIPS 203으로 발표한 Module-Lattice-based Key-Encapsulation Mechanism 표준의 구현체입니다. CNSA 2.0과 같은 표준을 준수해야 하는 고객의 경우, ML-KEM-1024는 더 높은 보안 수준을 제공하지만, 더 큰 키(1184바이트 대비 1568바이트)와 암호문(1088바이트 대비 1568바이트) 크기로 인해 성능에 영향을 줄 수 있습니다.

• X-Wing: 대부분의 일반적인 애플리케이션에 대해서는 하이브리드 접근 방식을 사용할 것을 강력히 권장합니다. 고전적인 X25519 알고리즘과 포스트 양자 ML-KEM-768 알고리즘을 결합한 X-Wing KEM은 고전적인 공격자와 잠재적인 양자 공격자 모두에 대한 계층화된 방어를 제공합니다

Integrating these new quantum-safe KEMs into your workflows is designed to be a straightforward process using the Cloud KMS API. You can find detailed instructions and code samples in the official Cloud KMS documentation. Our underlying implementations will be available as part of Google's open-source cryptographic libraries, BoringCrypto and Tink, to ensure full transparency.

이러한 새로운 양자 안전 KEM을 워크플로우에 통합하는 과정은 Cloud KMS API를 사용하여 간단하게 설계되었습니다. 공식 Cloud KMS 문서에서 자세한 지침과 코드 샘플을 찾을 수 있습니다. 저희의 근본적인 구현은 완전한 투명성을 보장하기 위해 Google의 오픈 소스 암호화 라이브러리인 BoringCrypto와 Tink의 일부로 제공될 예정입니다.

포스트 양자로 향하는 미래 로드맵

포스트 양자 암호화로의 마이그레이션은 단거리 경주가 아닌 마라톤입니다. Cloud KMS에서 포스트 양자 KEM의 미리 보기는 여러분의 애플리케이션을 양자 안전한 미래를 위해 준비시킬 수 있는 중요한 구성 요소입니다.

이러한 전환을 더 쉽게 하기 위해, 저희의 오픈 소스 라이브러리인 Tink는 하이브리드 공개 키 암호화(HPKE)에 대한 지원을 제공하여 Java, C++, Golang 및 Python과 같은 언어에서 이러한 KEM을 통합하는 더 사용자 친화적인 방법을 제공할 것입니다. 이러한 언어 중 일부에 대해서는 올해 말까지 준비될 예정입니다.

그 동안, 깊은 암호화 전문 지식을 가진 개발자들은 Cloud KMS에서 KEM을 직접 사용할 수 있습니다. "Harvest Now, Decrypt Later" 공격에 대한 더 많은 보호를 제공하기 위해, Google Cloud는 연결에 포스트 양자 암호화를 사용하도록 인프라를 업그레이드하고 있으며, 이 기능은 2026년에 완전히 사용 가능해질 것으로 예상됩니다.

이 분야에서의 저희의 노력은 계속되고 있습니다. 저희는 NIST의 미래 표준을 포함하여 포스트 양자 암호화의 발전 속도에 발맞추어 나갈 것이며, 양자 암호 분석 환경의 모든 변화에 적응할 계획입니다. 업계가 하이브리드 디지털 서명에 대한 표준을 계속 개발함에 따라, 저희는 진행 상황을 적극적으로 모니터링하고 있으며 합의가 도출되면 그러한 방식을 지원할 수도 있습니다.

저희는 Cloud KMS에서 이러한 새로운 기능을 탐색하고 여러분의 애플리케이션을 양자 안전하게 만드는 프로세스를 시작하도록 권장합니다. 여러분의 피드백을 환영하며, 특정 암호화 요구 사항에 대해 협력하기를 기대합니다.