B
Ars Technica 7일 전
구글, 양자 컴퓨터 암호 해킹 'Q 데이' 도래 시점을 2029년으로 단축
중요도
핵심 요약
구글이 양자 컴퓨터가 기존 공개키 암호화 알고리즘을 해킹할 수 있는 시점인 'Q 데이' 대비 목표를 2029년으로 앞당겼습니다. 이에 맞춰 구글은 자사 운영체제인 안드로이드(Android)의 차기 버전부터 양자 내성 암호(PQC)를 지원하고 관련 생태계 전환을 촉구했습니다. 이는 전 세계 보안 및 IT 실무자들이 기존 RSA 등의 암호 체계를 새로운 표준으로 조속히 교체해야 한다는 강력한 경고로 작용합니다.
번역된 본문
텍스트 설정 스토리 텍스트 크기 작게 표준 크게 너비 * 표준 넓게 링크 표준 주황색 * 구독자 전용 더 알아보기 탐색 창 최소화
구글이 기존 양자 컴퓨터가 군대, 은행, 정부 및 지구상 거의 모든 개인의 수십 년간 비밀을 보호하는 공개키 암호화 알고리즘을 깰 수 있는 시점인 'Q 데이(Q Day)' 도래를 위한 준비 기한을 대폭 단축하고 있습니다. 수요일에 게시된 글에서 구글은 이 사건을 준비하기 위해 자체적으로 2029년까지 기한을 주었다고 밝혔습니다. 이 글은 타원 곡선(Elliptic curves)과 RSA를 대체하거나 보완하기 위해 양자 내성 암호(Post-Quantum Cryptography, PQC) 알고리즘을 채택함으로써 세계 다른 지역도 이에 따라야 한다고 경고했습니다. 참고로 RSA와 타원 곡선 암호는 모두 해킹될 것입니다.
"종말이 다가오고 있습니다" (The end is nigh)
구글의 보안 엔지니어링 부사장인 헤더 앳킨스(Heather Adkins)와 수석 암호화 엔지니어인 소피 슈미그(Sophie Schmieg)는 "양자 및 PQC 분야의 선구자로서 모범을 보이고 야심 찬 일정을 공유하는 것은 우리의 책임입니다. 이를 통해 구글뿐만 아니라 업계 전반에 걸쳐 디지털 전환을 가속화하는 데 필요한 명확성과 긴급성을 제공할 수 있기를 바랍니다"라고 적었습니다.
별도로 구글은 안드로이드를 양자 저항적으로 만들기 위한 로드맵을 자세히 설명했으며, 이는 회사가 운영 체제에서 PQC 지원에 대해 공개적으로 논의한 첫 번째 사례입니다. 베타 버전부터 시작하여 안드로이드 17은 미국 국립표준기술연구소(NIST)가 고도화한 디지털 서명 알고리즘 표준인 ML-DSA를 지원할 것입니다. ML-DSA는 안드로이드의 하드웨어 루트 오브 트러스트(Hardware Root of Trust)에 추가될 것입니다. 이 조치를 통해 개발자는 앱 서명 및 기타 소프트웨어 서명 확인을 위한 PQC 키를 가질 수 있습니다.
구글은 이제 부팅 시퀀스를 조작으로부터 보호하는 안드로이드 검증 부팅(Verified Boot) 라이브러리에 ML-DSA를 통합했다고 밝혔습니다. 구글 엔지니어들은 또한 원격 증명(Remote attestation)을 PQC로 전환하기 시작하고 있습니다. 원격 증명은 기기가 현재 상태를 원격 서버에 증명할 수 있게 해주는 기능으로, 예를 들어 기업 네트워크의 서버에 자신이 안전한 OS 버전을 실행하고 있음을 증명하는 데 사용됩니다.
구글은 개발자가 ML-DSA 키를 생성하고 기기의 보안 하드웨어 내에 직접 저장할 수 있도록 안드로이드 키스토어(Keystore)에 ML-DSA 지원을 추가하고 있다고 덧붙였습니다. 또한 플레이 스토어(Play Store) 및 등록된 모든 앱의 개발자 서명을 PQC로 마이그레이션할 계획입니다. 이러한 추가 조치로 인해 안드로이드 개발자들의 작업량이 크게 늘어날 가능성이 있습니다.
그렇다면 구글을 이토록 자극한 것은 무엇일까요? 수요일에 발표된 명확한 마감일은 PQC 전환을 위해 수년간 활동해 온 사람들을 포함해 많은 암호화 엔지니어들에게 놀라움을 주었습니다. 2015년부터 2022년까지 마이크로소프트의 양자 후 전환을 감독했으며 현재 파캐스터 컨설팅 그룹(Farcaster Consulting Group)에서 근무하는 암호화 엔지니어 브라이언 라마키아(Brian LaMacchia)는 인터뷰에서 "이것은 지금까지 본 공개 전환 일정을 상당히 앞당기고 압축한 것으로, 미국 정부가 요구한 것보다도 빠르다"고 말했습니다. "2029년이라는 일정은 매우 공격적인 속도이며, 이들의 동기가 무엇인지 의문을 제기하게 만듭니다."
구글은 두 게시물 중 어느 곳에서도 수정에 대한 근거를 제시하지 않았습니다. 대변인은 이메일로 보낸 질문에 즉시 답변하지 않았습니다. 수학자 피터 쇼어(Peter Shor)가 충분한 성능을 가진 양자 컴퓨터가 고전 컴퓨터보다 훨씬 빠른 다항식 시간에 정수를 소인수분해할 수 있음을 처음 보여준 1990년대 중반 이후, Q 데이가 언제 도래할지에 대한 추정치는 매우 다양했습니다. 이로 인해 RSA의 수명이 제한적이라는 사실이 세상에 알려졌습니다. 후속 연구는 양자 컴퓨터가 타원 곡선의 기반이 되는 이산 로그 문제를 해결하는 데 있어 유사한 속도 향상을 제공한다는 것을 보여주었습니다.
이 전환 시점에 대한 타임라인은 기존 양자 컴퓨터가 불가피한 오류를 정정할 수 있는 필요한 큐비트(Qubit) 수를 언제 포함하게 될 것인지에 따라 달라집니다. 2012년 대부분의 추정치는 2048비트 RSA 키가 10억 개의 물리적 큐비트를 가진 양자 컴퓨터에 의해 해독될 수 있다고 보았습니다. 2019년에 이 추정치는 2,000만 개의 물리적 큐비트로 낮아졌습니다.
원문 보기 (영어)
Text settings Story text Size Small Standard Large Width * Standard Wide Links Standard Orange * Subscribers only Learn more Minimize to nav Google is dramatically shortening its readiness deadline for the arrival of Q Day, the point at which existing quantum computers can break public-key cryptography algorithms that secure decades’ worth of secrets belonging to militaries, banks, governments, and nearly every individual on earth. In a post published on Wednesday, Google said it is giving itself until 2029 to prepare for this event. The post went on to warn that the rest of the world needs to follow suit by adopting PQC—short for post-quantum cryptography—algorithms to augment or replace elliptic curves and RSA, both of which will be broken. The end is nigh “As a pioneer in both quantum and PQC, it’s our responsibility to lead by example and share an ambitious timeline,” wrote Heather Adkins, Google’s VP of security engineering, and Sophie Schmieg, a senior cryptography engineer. “By doing this, we hope to provide the clarity and urgency needed to accelerate digital transitions not only for Google, but also across the industry.” Separately, Google detailed its timeline for making Android quantum resistant, the first time the company has publicly discussed PQC support on the operating system. Starting with the beta version, Android 17 will support ML-DSA , a digital signing algorithm standard advanced by the National Institute for Standards and Technology. ML-DSA will be added to Android’s hardware root of trust. The move will allow developers to have PQC keys for signing their apps and verifying other software signatures. Google said it now has ML-DSA integrated into the Android verified boot library, which secures the boot sequence against manipulation. Google engineers are also beginning to move remote attestation to PQC. Remote attestation is a feature that allows a device to prove its current state to a remote server to, for example, prove to a server on a corporate network that it’s running a secure OS version. Google further said it’s adding ML-DSA support to the Android Keystore so that developers can generate ML-DSA keys and store them within the secure hardware of the device directly. Google is also planning to migrate the Play Store, and the developer signatures on every app listed in it, to PQC. The additions are likely to put a significant workload on Android developers. So what’s spooking Google so much? Wednesday’s hard deadline came as a surprise to many cryptography engineers, including those who have been active in the PQC transition for years. “That is certainly a significant acceleration/tightening of the public transition timelines we’ve seen to date, and is accelerated over even what we’ve seen the US government ask for,” Brian LaMacchia, a cryptography engineer who oversaw Microsoft’s post-quantum transition from 2015 to 2022 and now works at Farcaster Consulting Group, said in an interview. “The 2029 timeline is an aggressive speedup but raises the question of what’s motivating them.” Google didn’t lay out the rationale for the revision in either of its posts. A spokeswoman didn’t immediately provide answers to questions sent by email. Estimates for when Q Day will arrive have varied widely since the mid-1990s, when mathematician Peter Shor first showed that a quantum computer of sufficient strength could factor integers in polynomial time, much faster than classical computers. That put the world on notice that RSA’s days were limited. Follow-on research showed quantum computers provided a similar speed-up in solving the discrete log problem that underpins elliptic curves. The timeline for this arrival is based on when existing quantum computers will contain the required number of qubits that can correct inevitable errors. In 2012, most estimates were that a 2048-bit RSA key could be broken by a quantum computer with a billion physical qubits. By 2019, the estimate was lowered to 20 million physical qubits. A running joke among researchers has been that Q Day has been 10 to 20 years away for the past 30 years. Last June, Google published research that once again drastically lowered the expected threshold for breaking RSA. It showed that a 2048-bit RSA integer could be factored in less than a week with a quantum computer with 1 million “noisy qubits,” meaning qubits that are prone to errors resulting from environmental conditions that disrupt the quantum state. The research was led by Craig Gidney, the same scientist behind the 2019 estimate. In preparation for Q Day, cryptographers have devised new encryption algorithms that rely on problems that quantum computers don’t have an advantage over classical computers in solving. Rather than factoring or solving the discrete log, one approach involves mathematical structures known as lattices. A second approach involves a stateless hash-based digital signature scheme. The National Institute of Standards and Technology has advanced several algorithms that have yet to be broken and are presumed to be secure. In 2022 the NSA set a deadline for PQC readiness in national security systems by 2033 and for 2030 for a few specific applications. More recently, deadlines have been in flux as both the Biden and Trump administrations have issued executive orders prioritizing quantum readiness. Currently, the NSA is adhering to a 2031 deadline. PQC algorithms have made their way into a variety of products and protocols, although largely in piecemeal fashion. Last year, the Signal messenger added ML-KEM-768, an implementation of the CRYSTALS-Kyber algorithm, to its existing encryption engine. Software and services from Google, Apple, Cloudflare, and dozens of others have also done the same. “Quantum computers will pose a significant threat to current cryptographic standards, and specifically to encryption and digital signatures,” Google’s Wednesday morning post stated. “The threat to encryption is relevant today with store-now-decrypt-later attacks, while digital signatures are a future threat that require the transition to PQC prior to a Cryptographically Relevant Quantum Computer (CRQC). That’s why we’ve adjusted our threat model to prioritize PQC migration for authentication services—an important component of online security and digital signature migrations. We recommend that other engineering teams follow suit.” Dan Goodin Senior Security Editor Dan Goodin Senior Security Editor Dan Goodin is Senior Security Editor at Ars Technica, where he oversees coverage of malware, computer espionage, botnets, hardware hacking, encryption, and passwords. In his spare time, he enjoys gardening, cooking, and following the independent music scene. Dan is based in San Francisco. Follow him at here on Mastodon and here on Bluesky. Contact him on Signal at DanArs.82. 51 Comments