pile·
보안·cloudflare-blogCloudflare Blog·

더 나은 양자 내성 서명 알고리즘을 기다릴 수 없는 이유

NIST가 9개의 새로운 양자 내성 서명 알고리즘 후보를 3차 평가 중이지만, Cloudflare 엔지니어들은 지금 당장 도입 가능한 서명 알고리즘은 ML-DSA뿐이라고 결론 내린다. 2029~2034년의 전환 목표 시점에 어떤 신규 후보도 광범위하게 배포될 준비를 마치지 못할 것이기 때문이다.

핵심 포인트
  • ML-DSA는 2024년 NIST 표준화를 완료한 유일한 범용 양자 내성 서명 방식이지만, 서명 크기 2,420바이트·공개키 1,312바이트로 TLS 오버헤드가 크다.
  • FN-DSA(Falcon)는 666바이트 서명으로 더 작지만, 부동소수점 연산 의존성으로 인해 사이드채널 안전 구현이 극히 복잡하고 2033년은 돼야 광범위 배포가 현실화될 전망이다.
  • SQIsign은 Ed25519에 근접한 148바이트 서명을 제공하지만 구현 복잡도와 느린 서명 속도, 풍부한 수학적 공격 표면 문제로 2035년 이전 배포가 어렵다.
  • 다변수 방식인 MAYO는 1,600바이트 공개키+550바이트 서명으로 ML-DSA보다 합산 크기가 작고 구조 공격 사례가 없지만, NIST는 추가 2년 평가 라운드가 필요하다고 본다.
  • 증명기반 방식(FAEST, MQOM, SDitH)은 블라인드 서명·익명 자격증명 같은 고급 기법으로 확장 가능하며, 가장 빠르게 성숙하는 분야다.
상세 정리
  • 표준화 현황: ML-KEM 암호화는 이미 Cloudflare 트래픽 대부분에 적용됐고, 서명 전환이 남은 과제다. Cloudflare의 목표는 2029년 완전한 양자 내성 보안 달성.
  • ML-DSA 한계: RSA/ECC의 블라인드 서명, 임계값 서명, 배치 검증 같은 고급 기법을 직접 대체하지 못한다. 서명 크기도 월등히 크다.
  • FN-DSA: 부동소수점 연산 순서와 FMA 명령어 사용에 따라 서로 다른 서명 값이 생성돼 결정론적 테스트가 어렵다. 고정소수점 구현으로 우회 가능하지만 복잡도가 높다. 2026년 드래프트 완성을 가정해도 2033년은 돼야 광범위 배포 가능.
  • HAWK: 부동소수점 없는 빠른 서명을 제공하지만 격자 동형 문제(LIP)라는 새로운 보안 가정에 의존한다. 2024~2026년 사이 지속적인 암호 분석 공격이 제기됐다.
  • SLH-DSA: 상태 관리가 불필요하지만 서명 크기 7,856~17,088바이트, 최소 파라미터셋은 서명에 700만 CPU 사이클이 필요해 실용성이 낮다.
  • LMS/HSS: 상태형 해시 기반 서명으로 상태 재사용 시 개인키가 노출되고 사용 횟수가 약 100만 회로 제한된다.
  • SQIsign: 검증 속도가 2024년 평가 대비 20배 개선됐지만 서명 생성이 여전히 느리다. SIKE 붕괴처럼 아이소제니 수학의 풍부한 구조가 예상치 못한 공격 경로가 될 위험이 있다.
  • UOV: 96바이트 서명으로 가장 작지만, 256비트 보안을 위해 공개키가 446KB로 늘어나 WebPKI의 크로스 서명에 실용적이지 않다.
  • MAYO: 174비트 보안에서 공개키 1,600바이트·서명 550바이트를 달성해 FN-DSA-1024보다 합산 크기가 작다. 설계 변경 없이 안정적으로 발전 중이다.
  • SNOVA: 248바이트 서명·1,024바이트 공개키로 공격적 최적화를 달성했지만, 구조 특이적 공격이 반복 발견돼 여러 차례 설계 수정이 이뤄졌다.
  • 타임라인: ML-DSA 표준화에 7년(2017→2024)이 소요됐다. FN-DSA는 2033년, 다변수 방식은 2034년, SQIsign은 2035년에야 광범위 배포가 현실화될 전망이다.
  • 미래 가치: 신규 알고리즘 연구는 ML-DSA의 크기 제약 해결, 블라인드 서명·익명 자격증명의 양자 내성화, 단일 가정 실패 대비 다양성 확보에 필수적이다.
왜 읽나양자 내성 암호 전환을 준비 중인 보안·인프라 엔지니어에게 9개 후보 알고리즘의 성능·보안·타임라인을 한 번에 비교하고 ML-DSA 즉시 도입의 근거를 이해하는 실전 레퍼런스.
cloudflare-blog
Cloudflare Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2