# Android 17, Verified Boot과 Keystore에 후양자 암호화 ML-DSA 통합
구글은 양자 공격으로부터 보호하기 위해 Android에 후양자 암호화(PQC)를 통합하고 있습니다. 2029년까지 전체 생태계가 양자 내성 알고리즘으로 전환될 예정입니다. 첫 번째 변경 사항은 Android 17 베타에서 등장합니다: Verified Boot에 ML-DSA 통합, PQC attestation으로의 전환, 그리고 인증서 체인에 대한 KeyMint 업데이트입니다.
이는 후양자 환경에서 부팅 무결성과 원격 장치 검증을 보장합니다. 개발자들은 Android Keystore에서 도구를 사용할 수 있으며, ML-DSA-65와 ML-DSA-87 키 생성을 위한 새로운 SDK를 제공받습니다.
Verified Boot에 ML-DSA 통합
ML-DSA 알고리즘(구 Dilithium)은 부팅 중 디지털 서명을 생성하기 위해 Android Verified Boot에 추가됩니다. 이는 RSA와 ECC에 대한 양자 공격 같은 방법으로 소프트웨어 변조를 방지합니다.
주요 변경 사항:
- 디지털 서명: ML-DSA가 부팅 이미지에 양자 내성 서명을 생성합니다.
- 하드웨어 지원: KeyMint를 통해 Trusted Execution Environment(TEE)로 통합.
- 호환성: 고전 암호와 PQC 알고리즘을 결합한 하이브리드 인증서 체인.
장치들은 원격으로 상태를 증명할 수 있으며, harvest-now-decrypt-later 위협에도 손상되지 않았음을 확인합니다.
PQC 아키텍처에서의 원격 Attestation
Android 17은 PQC 호환 원격 attestation으로 전환합니다. KeyMint는 ML-DSA를 지원하도록 인증서 체인을 업데이트하여 신뢰 당사자(서비스, OEM)가 무결성을 검증할 수 있게 합니다.
프로세스:
- 장치가 PQC 서명으로 attestation 챌린지를 생성합니다.
- 서버가 업데이트된 루트 인증서를 통해 체인을 검증합니다.
- TEE와 시스템 구성 요소 상태 확인.
이는 기업 앱과 Zero Trust 아키텍처에서 양자 위험이 증가하는 상황에서 매우 중요합니다.
Android Keystore와 SDK에서의 개발자 지원
Android Keystore는 하드웨어 보호 서명을 위한 ML-DSA를 지원하도록 확장됩니다. 새로운 PQC SDK는 ML-DSA-65(높은 보안)와 ML-DSA-87(성능 균형)을 위한 KeyPairGenerator API를 제공합니다.
예제 키 생성:
KeyPairGenerator kpg = KeyPairGenerator.getInstance("ML-DSA-65", "AndroidKeyStore");
kpg.initialize(new KeyGenParameterSpec.Builder("pqc_key", KeyProperties.PURPOSE_SIGN)
.setKeySize(2560)
.build());
KeyPair kp = kpg.generateKeyPair();
Google Play는 고전 키 + ML-DSA의 하이브리드 서명을 자동 생성합니다. 이는 코드를 다시 빌드하지 않고 APK 마이그레이션을 간소화합니다.
다른 플랫폼과의 비교
구글은 추세를 따르고 있습니다: Microsoft는 Windows Server 2025, Windows 11, .NET 10에 ML-KEM과 ML-DSA를 통합했습니다. NIST PQC 알고리즘은 이미 표준화되었으며, 양자 시스템이 실제 작업에 사용되고 있습니다.
성능 비교 표(NIST 데이터 기준 대략값):
| 알고리즘 | 키 크기 (비트) | 서명 (KB) | 검증 (ms) |
|----------|-----------------|---------------|-------------------|
| ML-DSA-65 | 2560 | 2.4 | 0.5 |
| ML-DSA-87 | 3648 | 3.2 | 0.8 |
| ECDSA P-384 | 384 | 0.07 | 0.1 |
PQC는 오버헤드를 추가하지만 탄력성을 보장합니다.
중요한 점
- 마이그레이션 일정: 2029년까지 Android 전체 생태계 PQC로 전환.
- Android 17 베타: Verified Boot과 attestation에서 ML-DSA 첫 구현.
- 개발자를 위한: ML-DSA-65/87을 위한 새로운 SDK와 Keystore API, Play에서의 하이브리드 서명.
- 아키텍처: PQC 인증서 체인을 위한 KeyMint 업데이트.
- 배경: RSA/ECC에 대한 Shor's algorithm 같은 양자 위협 보호.
— Editorial Team
아직 댓글이 없습니다.