SHA-256 해시함수에 대한 양자 회로 depth 최적 구현

Abstract

SHA-256 해시함수는 데이터 무결성, 인증, 디지털 서명 등 다양한 분야에서 사용되고 있다. SHA-256은 128-bit의 보안강도를 가진다고 평가되지만, 양자컴퓨터가 빠르게 발전함에 따라 안전성을 위협받고 있다. 양자컴퓨터에서 동작하는 전수조사 가속화 알고리즘인 Grover 알고리즘을 사용하면 Brute-force 공격의 시간 복잡도가 O(N)에서 O(N^(1/2))으로 줄어들기 때문이다. Grover 알고리즘을 SHA-256에 적용하면 2^128번의 입력 시도가 아닌 2^64번의 입력 시도만으로 Brute-force 공격을 수행할 수 있게 되어, 보안강도가 128-bit에서 절반인 64-bit로 감소하게 된다. 이러한 보안 위협에 대비하기 위해 현재 사용되는 암호에 대한 양자 공격 자원을 추정하여 양자컴퓨터 상에서의 보안강도를 추정하는 연구가 활발히 수행되고 있다. 특정 암호에 대해 Grover 알고리즘이 적용된 공격 회로를 동작시킬 수 있는 고성능의 양자컴퓨터가 개발되는 시점이 해당 암호의 보안강도가 절반이 되는 시점이라고 볼 수 있다. Grover 알고리즘을 적용하기 위해서는 공격 대상 알고리즘을 양자 회로로 구현해야하며, 회로를 최적 구현하여 사용되는 양자 자원을 최소화할수록 해킹 비용도 감소하게 된다. NIST는 AES와 SHA2, SHA3에 대한 양자 공격 회로에 필요한 양자 비용을 기준으로, 특정 암호의 양자 공격 회로 비용과 비교하여 해당 암호가 양자컴퓨터에서 갖는 보안강도를 추정하고 있다. NIST는 양자 공격의 복잡도를 양자 회로의 크기(사용된 모든 양자 게이트 수 X 전체 회로 depth)로 측정한다. 따라서 SHA-256의 공격 회로에 대해 효율적이고 정확한 자원을 추정하는 것은 암호의 안전성 확인을 위한 매우 중요한 작업임을 알 수 있다. 또한, 양자 공격의 복잡도 감소를 위해서는 전체 회로 깊이(depth)를 최적화해야함을 알 수 있다. 또한 Toffoli 게이트 분해 시 사용되는 T 게이트는 높은 구현 비용을 차지하기 때문에 T 게이트와 관련된 자원인 T 게이트 수와 T-depth를 최적화하는 것도 매우 중요하다. Toffoli-depth의 최적화는 T-depth의 최적화로 이어지며, 최적화된 Toffoli 게이트 분해 기법을 사용할수록 T 게이트 관련 자원을 줄일 수 있다. 따라서 본 논문에서는 양자컴퓨터상에서 보안강도 기준이 되는 알고리즘 중 하나인 SHA-256에 대해 T-depth를 포함하여 최적화된 depth를 가지는 양자 회로를 제안하고, 이를 기반으로 Grover 공격 비용을 추정한다.|The SHA-256 hash function is used in various fields such as data integrity, authentication, and digital signatures. SHA-256 is considered to have a security strength of 128-bit, but its safety is threatened by the rapid advancement of quantum computers. This is because the time complexity of brute-force attacks reduces from O(N) to O(N^(1/2)) when using Grover’s algorithm, an exhaustive search acceleration algorithm that operates on quantum computers. By applying Grover’s algorithm to SHA-256, brute-force attacks can be performed with just 2^64 attempts instead of 2^128, thus reducing the security strength from 128-bit to 64-bit. To counter these security threats, research is actively being conducted to estimate the quantum attack resources for current cryptography and to assess the security strength on quantum computers. The point at which a high-performance quantum computer capable of operating an attack circuit applying Grover’s algorithm to a specific cipher is developed can be seen as the time when the security strength of that cipher is halved. To apply Grover’s algorithm, the target algorithm must be implemented in a quantum circuit, and the more optimized the circuit implementation is, the lower the hacking cost will be due to the minimized quantum resources used. NIST estimates the security strength of ciphers on quantum computers by comparing the quantum attack circuit cost of a specific cipher with the quantum cost required for quantum attack circuits of AES, SHA2, and SHA3. NIST measures the complexity of quantum attacks by the size of the quantum circuit (the total number of used quantum gates X Full circuit depth). Therefore, efficiently and accurately estimating the resources for the SHA-256 attack circuit is a very important task for verifying the safety of the cipher. Additionally, to reduce the complexity of quantum attacks, the overall circuit depth must be optimized. Also, the T gates used in the decomposition of Toffoli gates have a high implementation cost, so optimizing resources related to T gates, such as the number of T gates and T-depth, is very important. The optimization of Toffoli-depth leads to T-depth optimization, and using an optimized Toffoli gate decomposition technique can reduce T gate-related resources. Thus, this paper proposes a quantum circuit with optimized depth, including T-depth, for SHA-256, one of the standard algorithms in quantum computing, and estimates the Grover attack cost based on this.