126. EdDSA / Ed25519 (결정론적 타원곡선 서명)

⚠️ 이 문서는 "서명을 할 때 난수를 잘못 쓰면 개인키가 털린다"는 ECDSA의 치명적인 시한폭탄(소니 PS3 해킹 사태 등)을 영구적으로 제거하기 위해, 개발자가 난수(Random) 생성기를 아예 건드리지 못하게 원천 차단하고 수학적으로 가장 빠르고 완벽하게 동작하는 뒤틀린 에드워즈 곡선을 채택한 현대 전자서명의 종결자, EdDSA를 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: EdDSA(Edwards-curve Digital Signature Algorithm)는 수학자 다니엘 번스타인(Dan Boneh/Bernstein)이 개발한 고속 전자서명 체계로, 그중 Ed25519는 Curve25519라는 매우 빠르고 안전한 맵(곡선) 위에서 구동되는 가장 널리 쓰이는 표준이다.
  2. 가치: 가장 큰 업적은 **'결정론적 서명(Deterministic Signature)'**의 기본 탑재다. 위험한 무작위 난수($k$)를 쓰지 않고, 원본 메시지와 비밀키를 해시(SHA-512)하여 나온 값을 난수처럼 쓰기 때문에 개발자가 멍청한 코딩을 해도 절대 개인키가 털리지 않는 완벽한 안전장치(Fool-proof)를 달았다.
  3. 융합: ECDSA(비트코인 등)의 찝찝한 난수 의혹과 성능 한계를 동시에 박살 냈으며, 현재 OpenSSH, TLS 1.3, 최신 블록체인(Solana 등), 그리고 아이폰의 보안 칩(Secure Enclave) 등 "빠르고 절대로 뚫려선 안 되는 차세대 통신망"에 폭풍처럼 융합되어 기존 표준을 전면 대체 중이다.

Ⅰ. 개요 및 탄생 배경 (Context & Necessity)

타원곡선 서명의 제왕이었던 ECDSA는 훌륭했지만 2가지 뼈아픈 불만(Pain Point)을 안고 있었다.

  1. 난수 생성기(RNG) 의존성: 서명할 때마다 무조건 안전한 주사위(난수 $k$)를 굴려야 하는데, 운영체제의 난수 함수 버그가 나거나, 개발자가 k=4 라고 고정해 버리면, 서명이 풀리는 게 아니라 아예 마스터 개인키가 증발해 버렸다. (개발자를 믿을 수 없게 됨)
  2. 연산 예외 처리의 끔찍함: 앞서 배운 타원곡선 덧셈($P+Q=R$)을 컴퓨터로 코딩할 때, 두 점이 수직으로 서 있거나 무한대(Infinity) 점으로 가면 컴퓨터가 분모가 0이 되는 에러(Division by Zero)를 뿜으며 다운된다. 그래서 수많은 if/else 예외 처리 코드를 짜넣다 보니 속도가 느려지고 사이드 채널 공격(해커가 연산 시간을 재어 키를 유추함)에 탈탈 털렸다.

이 개판을 수습하기 위해 천재 수학자 번스타인이 칼을 빼 들었다. "난수(주사위)는 아예 쓰지 마! 그리고 덧셈할 때 예외 처리가 필요 없는 완벽하게 부드러운 새로운 타원곡선 맵(에드워즈 곡선)을 던져줄 테니 이거 써!" $\rightarrow$ 이 철학이 모여 탄생한 완전 무결한 옥새가 바로 **EdDSA (Ed25519)**다.

📢 섹션 요약 비유: 옛날 총(ECDSA)은 화약(난수 K)을 군인이 직접 재서 넣어야 했습니다. 화약을 덜 넣거나 불량 화약을 쓰면 총이 폭발해 군인이 죽었죠(개인키 털림). Ed25519는 군인이 화약을 만질 필요 없이 탄창(해시 기반 결정론적 K)만 끼우면, 비가 오나 눈이 오나 폭발 위험 제로(0%)로 초당 수백 발이 완벽히 나가는 최신예 자동 소총입니다.

Ⅱ. Ed25519의 2대 절대 무기 (구조적 우위)

1. 결정론적 난수 생성 (No More Randomness)

  • ECDSA의 방식: Sign(메시지, 개인키, 🎲랜덤 주사위 K) = 서명
  • Ed25519의 방식: Sign(메시지, 개인키) = 서명
  • 어떻게 주사위 없이 안전한가?: Ed25519는 서명할 때마다 $K$값을 랜덤하게 뽑지 않고, **SHA-512(내 개인키의 앞부분 + 평문 메시지)**를 돌려 튀어나온 쓰레기 난수를 $K$값으로 강제 지정한다.
    • 효과 1: 똑같은 편지에 서명하면, 어제나 오늘이나 도장 모양이 100% 완벽하게 똑같이 나온다 (결정론적).
    • 효과 2: 편지 내용이 1글자만 달라지면, SHA-512 해시에 의해 완전히 새로운 안전한 난수 $K$가 자동 생성된다.
    • 결론: 개발자가 난수 함수(rand())를 잘못 짜서 시스템이 터지는 재앙(소니 PS3 해킹)이 원천적으로 소멸했다.

2. 뒤틀린 에드워즈 곡선 (Twisted Edwards Curve)

  • 일반 타원곡선($y^2 = x^3 + ax + b$)은 수학 계산 중 수직선 예외 처리(if x1 == x2)가 필수로 들어가 속도를 갉아먹는다.
  • 번스타인은 $-x^2 + y^2 = 1 + dx^2y^2$ 라는 기묘하게 꼬인 새로운 곡선 맵(에드워즈 곡선)을 도입했다.
  • 이 곡선의 미친 장점은, 그래프의 어떤 점 두 개를 더하더라도 예외 조건 없이 하나의 똑같은 덧셈 공식으로 완벽하게 돌아간다는 것이다! (Complete addition formula)
  • 예외 코드(if/else)가 없으니 코드가 짧아지고 속도가 광폭으로 빨라지며, 해커가 연산 지연 시간을 재어 공격하는 '타이밍 공격(Timing Attack)'을 완벽하게 방어한다.
┌──────────────────────────────────────────────────────────────────────────────┐
│           ECDSA와 Ed25519(EdDSA)의 결정적 안전성 철학 비교 시각화            │
├──────────────────────────────────────────────────────────────────────────────┤
│                                                                              │
│ 💣 [ 구형 ECDSA 서명 공장 ] - 인간(개발자)의 실수가 개입됨                   │
│   [평문] ──┐                                                                 │
│   [개인키] ─┼─▶ 🎲 난수 발생기(rand) 돌림 ──▶ 서명 알고리즘 ──▶ [서명 결과]  │
│            │   (만약 OS 버그로 똑같은 난수가 2번 나오면?)                    │
│            └──▶ 🚨 펑! 마스터 개인키 유출! 시스템 멸망!                      │
│                                                                              │
│ 🛡️ [ 최신 Ed25519 서명 공장 ] - 완벽한 자동화 (Fool-Proof)                   │
│   [평문] ──┐                                                                 │
│   [개인키] ─┼─▶ ⚙️ SHA-512(평문+키) 해시 자동 혼합 ──▶ [완벽한 서명]         │
│            │   (주사위 따위 안 굴림. 평문과 키가 믹서기에서 자동 난수 생성)  │
│            └──▶ 🟢 개발자가 술 취해서 코딩을 대충 해도 절대 안 털림!         │
└──────────────────────────────────────────────────────────────────────────────┘

[다이어그램 해설] EdDSA(Ed25519)의 철학은 "개발자를 믿지 마라"다. 암호학은 수학적으로 우아해야 할 뿐만 아니라, 깃허브에서 복붙해서 코딩하는 평범한 프론트/백엔드 개발자가 아무렇게나 함수를 호출해도 보안 구멍이 안 뚫리게 막아주는 **방어적 공학(Fool-proof)**의 정수여야 한다. 이 구조 덕분에 Ed25519는 성능, 보안, 구현 편의성이라는 불가능의 트라이앵글을 모두 박살 냈다.

  • 📢 섹션 요약 비유: ECDSA는 수동 변속기(스틱) 스포츠카입니다. 드라이버가 변속 타이밍(난수 K)을 실수하면 엔진이 통째로 날아갑니다. Ed25519는 최첨단 자동 변속기(결정론적 K)를 단 테슬라 전기차입니다. 엑셀만 밟으면 기계가 알아서 가장 완벽한 타이밍에 기어를 변속해 주어 사고가 0%입니다.

Ⅲ. 실무 적용과 세대 교체의 돌풍 (Migration to Ed25519)

기존 RSA-2048이나 ECDSA(P-256)를 쓰던 IT 거인들은 2010년대 중반부터 미친 속도로 Ed25519 진영으로 갈아타고 있다.

  1. SSH 원격 접속 (OpenSSH): 리눅스 서버에 접속할 때 과거엔 ssh-keygen -t rsa 로 뚱뚱한 키를 만들었지만, 이제는 모든 고수들이 ssh-keygen -t ed25519 로 가장 짧고 강력하며 보안성이 보장된 키를 생성하여 접속한다.
  2. 차세대 블록체인 표준 (Solana 등): 비트코인은 레거시 호환 때문에 ECDSA를 버리지 못하고 있지만, 솔라나(Solana), 스텔라(Stellar) 같은 1초에 수만 건을 결제하는 초고속 3세대 블록체인 네트워크들은 압도적인 서명 검증 속도를 내기 위해 무조건 코어 지갑 서명으로 Ed25519를 채택했다.
  3. TLS 1.3과 HTTPS 표준: 웹 브라우저와 서버 간 인증서 서명에서도 이 가장 안전하고 빠른 에드워즈 곡선 서명 방식이 표준 스위트로 강력하게 권장되고 있다.

Ⅳ. 결론

"보안 시스템의 최종 종착지는 '인간의 실수를 허용하지 않는 수학'이다." EdDSA (특히 Ed25519)는 난수 주입이라는 폭탄과 예외 처리라는 느림보 거북이를 동시에 걷어찬 타원곡선 암호학의 가장 눈부신 마스터피스다. 더 이상 암호화 라이브러리의 난수 버그에 벌벌 떨 필요가 없다. 256비트라는 손가락만 한 열쇠 길이로 우주 최강의 위조 방지 옥새를 찍어내는 이 마법의 맵(에드워즈 곡선)은, 앞으로 다가올 수십 년의 모바일과 클라우드 인터넷 세상에서 RSA를 박물관으로 보내버릴 완전한 무결점 제왕이다.

📌 관련 개념 맵

  • 전체 분류: ECC 기반 디지털 서명 (Digital Signature Algorithm)
  • 기반 맵 (파라미터): Curve25519 (뒤틀린 에드워즈 곡선 - Twisted Edwards Curve)
  • 대체 및 극복 대상: ECDSA의 '고정된 k(Nonce) 사용 시 개인키 유출' 취약점 (소니 PS3 해킹 등)
  • 핵심 구현 원칙: 결정론적 서명 (Deterministic Signature, RFC 8032 표준)

👶 어린이를 위한 3줄 비유 설명

  1. 옛날 서명 도장(ECDSA)은 찍을 때마다 '랜덤 잉크(난수)'를 섞어야 했는데, 바보 개발자가 어제 쓴 잉크를 오늘 또 썼더니 도둑이 그 잉크 자국을 역추적해서 도장 원본을 통째로 훔쳐 가 버렸어요.
  2. 빡친 학자들이 새로 만든 도장(Ed25519)은 아예 잉크통을 없애버리고, 도장을 꽉 누르면 편지 글씨와 내 비밀번호가 기계 안에서 자동으로 섞이면서 안전한 색깔 잉크가 툭 튀어나오게 만들었어요.
  3. 그래서 사람이 아무리 실수를 하려고 해도 기계가 100% 알아서 잉크 배율을 맞춰주니까 절대 도둑한테 털리지 않는 완벽한 자동화 도장이 되었답니다!