양자 내성 암호의 핵심, 격자 기반 암호란 무엇인가
최근 디지털 세상에 큰 파동을 일으키고 있는 양자 컴퓨터의 등장은 우리의 모든 디지털 보안 체계를 송두리째 뒤흔들 잠재력을 가지고 있습니다. 이 때문에 전 세계는 마치 시한폭탄을 마주한 듯, 양자 컴퓨터의 위협에 대비할 새로운 암호 기술, 즉 양자 내성 암호(PQC: Post-Quantum Cryptography) 개발에 총력을 기울이고 있습니다. 그런데 이 PQC라는 거대한 흐름 속에서 유독 '격자 기반 암호'가 대세로 떠오르고 있다는 사실을 여러분은 알고 계셨나요? 이번 포스팅에서는 양자 컴퓨터가 왜 기존 암호 체계에 치명적인지, 그리고 수많은 PQC 알고리즘 중 왜 격자 기반 암호가 미래 디지털 보안의 핵심 기둥으로 주목받고 있는지 그 이유를 극도로 상세하고 깊이 있게 살펴보겠습니다.
양자 컴퓨터의 위협, 왜 지금 PQC인가?
우리는 지금 이 순간에도 수많은 디지털 데이터를 주고받으며 생활하고 있습니다. 이 모든 소통의 안전을 지켜주는 것이 바로 암호 기술이지요. 현재 우리가 사용하는 대부분의 암호 기술은 소인수분해의 어려움(RSA)이나 이산 로그 문제(ECC)와 같은 특정 수학적 난제에 기반하고 있습니다. 이러한 문제들은 현재의 고전 컴퓨터로는 해결하는 데 상상을 초월하는 시간이 걸리기 때문에 안전하다고 여겨져 왔습니다. 즉, 아무리 강력한 슈퍼컴퓨터라도 이 문제를 푸는 데는 수천 년에서 수만 년이 걸릴 것이라는 확신 위에 우리의 디지털 세상이 구축되어 있다는 뜻입니다.
아니, 그럼 지금까지 잘 써오던 암호 기술이 왜 갑자기 문제가 된다는 거야? 양자 컴퓨터라는 게 도대체 뭔데?
여러분도 이렇게 생각하실 수 있습니다. 하지만 양자 컴퓨터는 기존 컴퓨터와는 완전히 다른 방식으로 작동합니다. 고전 컴퓨터가 0과 1이라는 비트(bit)를 사용하여 정보를 처리한다면, 양자 컴퓨터는 0과 1을 동시에 가질 수 있는 큐비트(qubit)를 활용하고, 양자 중첩(superposition)과 얽힘(entanglement) 같은 양자 역학적 현상을 이용합니다. 이러한 특성 덕분에 양자 컴퓨터는 특정 문제를 기존 컴퓨터로는 불가능한 속도로 해결할 수 있는 잠재력을 가지고 있습니다. 특히, 쇼어(Shor) 알고리즘은 현재 널리 사용되는 공개키 암호 시스템인 RSA와 ECC를 사실상 무력화할 수 있는 치명적인 위협입니다. 이 알고리즘은 소인수분해와 이산 로그 문제를 양자 컴퓨터 상에서 놀라울 정도로 효율적으로 풀어낼 수 있기 때문입니다. 쉽게 말해, 지금의 암호가 금고라면 쇼어 알고리즘은 그 금고의 비밀번호를 단 몇 분, 혹은 몇 시간 만에 찾아낼 수 있는 마법의 열쇠와 같다는 것입니다.
물론, 대칭키 암호 방식인 AES와 같은 경우에도 그로버(Grover) 알고리즘이라는 양자 알고리즘이 존재하여 암호 해독에 필요한 시간을 단축시킬 수 있습니다. 비록 쇼어 알고리즘처럼 완전히 무력화하는 수준은 아니지만, 키 길이를 두 배로 늘려야 하는 등 보안 수준을 유지하기 위한 상당한 부담을 안겨주게 됩니다. 이러한 양자 컴퓨터의 발전은 단순히 이론적인 위협에 그치지 않습니다. 전 세계의 주요 연구 기관과 기업들은 이미 양자 컴퓨터 개발에 막대한 투자를 하고 있으며, 그 성능은 빠르게 향상되고 있습니다. 따라서 지금 당장 양자 컴퓨터가 상용화되지 않았다고 해서 안심할 수는 없습니다. 오늘날 암호화된 민감한 정보들이 미래의 강력한 양자 컴퓨터에 의해 해독될 수 있기 때문입니다. 우리는 '수확 후 해독(Harvest Now, Decrypt Later)'이라는 전략에 대비해야만 합니다. 즉, 지금 암호화된 데이터를 미리 수집해두었다가 나중에 양자 컴퓨터가 상용화되면 해독하는 공격 방식에 맞서야 한다는 것입니다. 이러한 이유로 PQC는 선택이 아닌 필수가 되었습니다.
PQC, 새로운 암호학의 시대
PQC는 양자 컴퓨터의 공격에도 안전하게 작동하도록 설계된 새로운 암호 기술을 통칭하는 개념입니다. 기존 암호 체계가 양자 알고리즘에 취약하다는 인식이 확산되면서, 전 세계는 양자 내성 암호 연구에 박차를 가하기 시작했습니다. 그 선두에는 바로 미국 국립표준기술연구소(NIST: National Institute of Standards and Technology)가 있습니다. NIST는 2016년부터 PQC 알고리즘을 표준화하기 위한 경쟁을 시작했습니다. 이는 마치 올림픽처럼 전 세계의 수많은 암호학자들이 자신들이 개발한 PQC 알고리즘을 제출하고, NIST는 이를 엄격한 심사 과정을 거쳐 미래 표준으로 채택하는 방식입니다. 이러한 표준화 과정은 단순히 하나의 기술을 선택하는 것을 넘어, 전 세계 디지털 인프라의 미래 보안을 책임질 중대한 결정입니다.
NIST의 PQC 표준화 경쟁은 여러 차례의 라운드를 거치며 수많은 알고리즘들이 경쟁했습니다. 각 알고리즘은 양자 컴퓨터에 대한 저항성뿐만 아니라, 효율성, 구현 용이성, 그리고 다양한 공격에 대한 견고성 등 여러 측면에서 평가되었습니다. 이 과정을 통해 여러 종류의 PQC 알고리즘 패밀리가 주목받게 되었는데, 그중에서도 격자 기반 암호가 단연 두각을 나타냈습니다. NIST는 2022년 7월, 양자 내성 암호 표준으로 첫 번째 알고리즘들을 발표했는데, 여기서 공개키 암호화(KEM/Encapsulation) 부문에서는 CRYSTALS-Kyber를, 디지털 서명 부문에서는 CRYSTALS-Dilithium을 포함하여 모두 격자 기반 암호가 최종 표준으로 선정되었습니다. 이처럼 격자 기반 암호가 PQC의 핵심으로 자리 잡게 된 데에는 분명한 이유들이 존재합니다.
다양한 PQC 알고리즘 패밀리, 무엇이 있을까?
PQC 알고리즘은 양자 컴퓨터에 강한 저항성을 갖도록 설계되었지만, 그 기반이 되는 수학적 난제는 각기 다릅니다. 주요 PQC 알고리즘 패밀리는 다음과 같습니다.
격자 기반 암호 (Lattice-based Cryptography): 가장 유망한 분야로 꼽히며, 짧은 벡터 문제(SVP), 가장 가까운 벡터 문제(CVP) 등 격자 상의 어려운 문제에 기반합니다.
코드 기반 암호 (Code-based Cryptography): 오류 정정 부호 이론, 특히 선형 코드의 디코딩 어려움에 기반합니다. 맥엘리스(McEliece) 암호가 대표적입니다.
해시 기반 암호 (Hash-based Cryptography): 암호학적 해시 함수의 단방향성 및 충돌 저항성에 기반하며, 주로 디지털 서명에 사용됩니다. 양자 컴퓨터로도 해시 함수의 역함수를 찾는 것이 어렵다는 점을 이용합니다.
다변수 다항식 기반 암호 (Multivariate Polynomial Cryptography): 유한체 상의 다변수 다항식 연립 방정식 풀이의 어려움에 기반합니다.
아이소제니 기반 암호 (Isogeny-based Cryptography): 타원 곡선 간의 아이소제니(동형 사상) 계산의 어려움에 기반합니다.
이러한 다양한 패밀리들은 각기 다른 장단점을 가지고 있습니다. 예를 들어, 코드 기반 암호는 매우 오랜 연구 역사를 가지고 있어 보안 신뢰도가 높지만, 키 크기가 매우 크다는 단점이 있습니다. 해시 기반 암호는 구현이 비교적 간단하고 증명 가능한 보안성을 제공하지만, 한 번 사용하면 폐기해야 하는 상태 의존적 서명이라는 특성 때문에 활용도가 제한적입니다. 그렇다면 이 중에서 왜 격자 기반 암호가 특히 주목받고, 심지어 NIST 표준으로까지 채택되었을까요? 이를 이해하기 위해서는 먼저 격자가 무엇인지부터 알아볼 필요가 있습니다.
격자 기반 암호, 대체 무엇인가?
격자 기반 암호는 '격자(Lattice)'라는 수학적 구조에 기반을 둔 암호 방식입니다. 여기서 말하는 격자는 우리가 흔히 생각하는 바둑판 모양의 2차원 격자점만을 의미하는 것이 아닙니다. 수학적 격자는 N차원 공간에 규칙적으로 배열된 점들의 집합을 의미합니다. 마치 우리가 숲 속을 걷다가 나무들이 특정 패턴으로 심어져 있는 것을 보게 되는 것과 비슷합니다. 이 나무들은 무질서하게 놓여 있는 것 같지만, 사실은 매우 정교한 규칙에 따라 배열되어 있는 것이지요. 수학적 격자도 이와 유사하게, 기저 벡터(basis vectors)의 정수 계수 선형 결합으로 표현될 수 있는 모든 점들의 집합이라고 이해하시면 됩니다. 쉽게 말해, 기준이 되는 몇 개의 화살표(벡터)들을 정수배로 늘리거나 줄여서 더했을 때 도달할 수 있는 모든 점들의 모임이 바로 격자입니다.
이 격자 안에는 여러 가지 '어려운 문제(Hard Problems)'들이 존재합니다. 이 문제들은 고전 컴퓨터뿐만 아니라 양자 컴퓨터로도 효율적으로 풀 수 없다고 알려져 있습니다. 격자 기반 암호는 이러한 문제들의 난이도에 보안을 의존합니다. 대표적인 격자 문제들은 다음과 같습니다.
짧은 벡터 문제 (SVP: Shortest Vector Problem): 격자 내에서 0이 아닌 가장 짧은 벡터를 찾는 문제입니다. 마치 수많은 나무들 사이에서 키가 가장 작은 나무를 찾아내는 것과 같습니다.
가장 가까운 벡터 문제 (CVP: Closest Vector Problem): 격자 외부에 있는 임의의 점에 대해 격자 내에서 가장 가까운 격자점을 찾는 문제입니다. 숲 밖에 떨어진 공을 주워와 가장 가까운 나무 밑에 놓는 것과 비슷하지요.
학습 오류 문제 (LWE: Learning With Errors): 주어진 선형 방정식 시스템에 작은 '오류(error)'가 추가되어 있을 때, 원래의 비밀 벡터를 찾아내는 문제입니다. 이는 격자 기반 암호의 핵심적인 기반 중 하나이며, 수많은 격자 기반 암호 시스템이 LWE 문제의 난이도에 의존하고 있습니다.
LWE 문제의 수식적 표현을 간략히 살펴보면 다음과 같습니다.
주어진 값: $\mathbf{A} \in \mathbb{Z}_q^{m \times n}$, $\mathbf{b} = \mathbf{A}\mathbf{s} + \mathbf{e} \pmod q$
여기서 $\mathbf{A}$는 공개 행렬이고, $\mathbf{s}$는 우리가 찾아야 할 비밀 벡터, $\mathbf{e}$는 작은 오류 벡터입니다. 모든 연산은 모듈러 $q$ 상에서 이루어집니다.
문제는 공개된 $mathbf{A}$와 $mathbf{b}$를 가지고 비밀 벡터 $mathbf{s}$를 찾아내는 것입니다. 여기에 작은 오류 $\mathbf{e}$가 추가되어 있기 때문에, 이 문제는 단순히 선형 방정식을 푸는 것보다 훨씬 어려워집니다. 오류가 없다면 쉽게 풀 수 있겠지만, 이 작은 오류가 마치 퍼즐 조각을 섞어 놓은 것처럼 문제를 복잡하게 만듭니다. 바로 이 '오류' 때문에 LWE 문제는 양자 컴퓨터로도 효율적으로 풀기 어렵다고 알려져 있으며, 이 난이도가 격자 기반 암호의 보안을 보장하는 핵심 원리가 됩니다.
작은 정수 해 문제 (SIS: Small Integer Solution): 주어진 행렬 $\mathbf{A}$에 대해, $\mathbf{A}\mathbf{x} = \mathbf{0} \pmod q$를 만족하는 0이 아닌 작은 정수 벡터 $\mathbf{x}$를 찾는 문제입니다. 이는 디지털 서명 체계에 주로 활용됩니다.
이러한 격자 문제들은 양자 컴퓨터가 등장하더라도 그 난이도가 크게 줄어들지 않는다는 것이 현재까지의 연구 결과입니다. 이는 격자 기반 암호가 양자 내성 암호로서 강력한 후보가 되는 가장 근본적인 이유 중 하나입니다.
격자 기반 암호가 PQC의 대세로 떠오른 이유
격자 기반 암호가 PQC의 가장 유력한 대안이자 실질적인 표준으로 자리 잡게 된 데에는 여러 가지 복합적인 이유가 있습니다. 단순히 양자 컴퓨터에 강하다는 것만으로는 부족합니다. 실제 시스템에 적용 가능할 만큼의 효율성, 유연성, 그리고 오랜 연구를 통해 검증된 보안성이 모두 뒷받침되어야만 합니다.
첫째, 격자 문제의 '오랜 연구 역사'와 '확고한 난이도 가정' 덕분에 보안 신뢰도가 매우 높습니다. 격자 문제는 1980년대부터 꾸준히 연구되어 왔으며, 수학자들과 암호학자들에 의해 오랫동안 분석되어 왔습니다. 이러한 긴 연구 역사는 해당 문제의 난이도에 대한 신뢰를 쌓는 데 결정적인 역할을 합니다. 만약 어떤 문제가 쉽게 풀릴 수 있었다면, 벌써 수십 년 전에 누군가가 그 방법을 찾아냈을 것이라는 합리적인 추론이 가능합니다. 현재까지 양자 컴퓨터를 포함한 어떠한 효율적인 알고리즘도 이 격자 문제를 해결할 수 없음이 밝혀졌습니다. 이는 마치 수십 년간 수많은 등산가들이 도전했지만 아무도 정복하지 못한 에베레스트산과 같다고 비유할 수 있습니다. 이처럼 격자 문제의 난이도에 대한 견고한 가정은 격자 기반 암호의 가장 강력한 기반이 됩니다.
둘째, '탁월한 효율성'을 자랑합니다. 격자 기반 암호는 다른 PQC 알고리즘 패밀리들과 비교했을 때, 키 크기, 암호화/복호화 속도, 서명 생성/검증 속도 등 여러 측면에서 매우 뛰어난 성능을 보여줍니다. 예를 들어, 코드 기반 암호는 보안성은 높지만 키 크기가 매우 커서 실제 시스템에 적용하기 어렵다는 단점이 있습니다. 반면 격자 기반 암호는 상대적으로 작은 키 크기와 빠른 연산 속도를 제공하여, 현존하는 통신 환경 및 하드웨어 제약 조건에서도 충분히 실용적인 사용이 가능합니다. 이는 마치 빠른 속도로 달리면서도 연료 효율이 뛰어난 자동차와 같다고 할 수 있습니다. 실제 시스템에 적용될 수 있는 '실용성'은 PQC 알고리즘이 표준으로 채택되기 위한 필수적인 조건이며, 격자 기반 암호는 이 조건을 훌륭하게 만족시켰습니다.
셋째, '다양한 암호 프리미티브로의 확장성'이 뛰어납니다. 격자 기반 암호는 단순히 공개키 암호화나 디지털 서명뿐만 아니라, 동형 암호(Homomorphic Encryption), 멀티파티 컴퓨테이션(Multi-Party Computation), 속성 기반 암호(Attribute-Based Encryption) 등과 같은 첨단 암호 기술 구현에도 매우 적합합니다. 동형 암호는 데이터를 암호화된 상태로 연산할 수 있게 해주는 기술로, 클라우드 환경에서 민감한 데이터를 안전하게 처리하는 데 필수적입니다. 멀티파티 컴퓨테이션은 여러 당사자가 자신의 데이터를 공개하지 않고 공동으로 연산 결과를 얻을 수 있게 해주는 기술입니다. 이처럼 격자 기반 암호는 미래 디지털 사회에서 요구되는 다양한 복합 암호 기술의 기반이 될 수 있는 유연성을 가지고 있습니다. 이는 격자 기반 암호가 단순한 특정 기능의 암호를 넘어, 미래 암호 생태계 전체를 아우를 수 있는 '범용성'을 지녔다는 것을 의미합니다.
넷째, '높은 보안 증명 가능성'을 가지고 있습니다. 격자 기반 암호는 최악의 경우(Worst-case)의 문제 난이도가 평균적인 경우(Average-case)의 문제 난이도와 거의 동일하다는 강력한 환원 증명(Reduction Proof)이 가능합니다. 쉽게 말해, 아무리 특정 입력값이 쉬워 보이더라도 결국 근본적으로 어려운 문제를 풀어야만 한다는 것을 수학적으로 증명할 수 있다는 것입니다. 이러한 증명 가능성은 암호학에서 매우 중요한 요소입니다. 이는 마치 어떤 건물이 특정 설계에 따라 지어졌을 때, 아무리 작은 부분이 약해 보여도 전체 구조가 튼튼하다는 것을 수학적으로 증명할 수 있는 것과 같습니다. 이러한 견고한 수학적 기반은 격자 기반 암호가 제공하는 보안성에 대한 신뢰를 더욱 높여줍니다.
다섯째, 'NIST PQC 표준화 경쟁에서의 우위'입니다. 위에서 언급했듯이, NIST는 가장 유망한 PQC 알고리즘을 표준으로 채택하기 위한 경쟁을 진행했으며, 결과적으로 주요 공개키 암호화 및 디지털 서명 분야에서 격자 기반 암호인 CRYSTALS-Kyber와 CRYSTALS-Dilithium을 최종 표준으로 선정했습니다. 이는 격자 기반 암호가 전 세계 암호학 커뮤니티의 엄격한 검토와 검증을 거쳐 보안성과 효율성 모두에서 가장 균형 잡힌 선택임을 공식적으로 인정받았다는 것을 의미합니다. NIST의 표준 채택은 전 세계적으로 격자 기반 암호의 도입을 가속화하는 결정적인 계기가 될 것입니다.
다음 표는 주요 PQC 알고리즘 패밀리들의 특징을 간략하게 요약한 것입니다. 이 표를 통해 격자 기반 암호가 왜 대세로 떠오르는지 직관적으로 이해하실 수 있습니다.
| 특징/패밀리 | 격자 기반 암호 | 코드 기반 암호 | 해시 기반 암호 | 다변수 다항식 기반 암호 | 아이소제니 기반 암호 |
|---|---|---|---|---|---|
| 기반 문제 | SVP, CVP, LWE, SIS | 오류 정정 부호 디코딩 | 해시 함수의 단방향성 | 다변수 다항식 연립 방정식 풀이 | 타원 곡선 아이소제니 |
| 양자 저항성 | 매우 높음 (견고) | 매우 높음 (역사 길다) | 매우 높음 (증명 가능) | 높음 (공격 연구 진행 중) | 높음 (비교적 최근 연구) |
| 키 크기 | 중간 (실용적) | 매우 큼 (가장 큰 편) | 작음 (서명당 다름) | 중간~큼 | 중간 |
| 연산 속도 | 빠름 (매우 효율적) | 느림 (디코딩 복잡) | 빠름 (단방향 연산) | 중간~느림 | 느림 (연산 복잡) |
| 확장성 | 매우 뛰어남 (동형 암호 등) | 낮음 (주로 암호화) | 낮음 (주로 서명, 상태 의존적) | 중간 | 중간 |
| NIST 표준 채택 | 주요 표준 채택 | 일부 채택 (대체 표준) | 채택 (특정 서명용) | 미채택 (향후 고려 가능) | 미채택 (향후 고려 가능) |
| 위 표를 보면, 격자 기반 암호가 키 크기와 연산 속도에서 탁월한 균형점을 찾았고, 무엇보다 NIST 표준으로 채택되었다는 점이 핵심적인 차이임을 알 수 있습니다. |
격자 기반 암호의 한계와 미래 과제
물론, 격자 기반 암호가 만능은 아닙니다. 모든 기술이 그렇듯, 격자 기반 암호 또한 아직 해결해야 할 과제와 한계점들을 가지고 있습니다.
첫째, '상대적으로 큰 키 크기'는 여전히 극복해야 할 과제 중 하나입니다. 현재의 RSA나 ECC와 비교했을 때, 격자 기반 암호는 여전히 더 큰 공개키와 개인키를 사용해야 합니다. 이는 네트워크 대역폭이나 저장 공간에 제약을 줄 수 있습니다. 하지만 이는 코드 기반 암호와 같은 다른 PQC 후보들에 비하면 훨씬 실용적인 수준이며, 지속적인 연구를 통해 최적화가 이루어지고 있습니다.
둘째, '구현 복잡성'입니다. 격자 기반 암호는 기본적으로 다차원 벡터와 행렬 연산을 포함하고 있어, 구현이 까다롭고 부채널 공격(Side-Channel Attacks)에 취약할 수 있습니다. 부채널 공격은 암호 연산 시 발생하는 전력 소비량, 연산 시간, 전자기파 방출 등 물리적인 정보를 분석하여 비밀 정보를 유추하는 공격 방식입니다. 따라서 안전한 구현을 위한 견고한 소프트웨어 및 하드웨어 설계 기술 개발이 반드시 수반되어야만 합니다.
셋째, '새로운 공격 방법의 지속적인 연구'가 필요합니다. 비록 현재까지 격자 문제에 대한 효율적인 양자 알고리즘이 발견되지 않았지만, 암호학 연구는 끊임없이 진화합니다. 새로운 수학적 발견이나 공격 기법이 언제든지 나타날 수 있으므로, 격자 기반 암호의 보안성에 대한 지속적인 검증과 분석이 필수적입니다. 이는 마치 백신 개발과 바이러스 변이의 끊임없는 싸움과도 같습니다. 우리는 결코 안주해서는 안 됩니다.
이러한 한계점들은 격자 기반 암호의 미래 연구 방향을 제시해 줍니다. 더욱 효율적인 알고리즘 설계, 안전한 구현 가이드라인 개발, 그리고 새로운 공격에 대한 선제적인 방어 전략 마련 등이 중요한 과제로 남아 있습니다.
결론적으로, 양자 컴퓨터의 위협은 더 이상 먼 미래의 이야기가 아닙니다. 현재 우리가 사용하는 암호 체계는 양자 컴퓨터의 등장으로 인해 언젠가 무력화될 운명에 처해 있습니다. 이러한 엄중한 상황 속에서 양자 내성 암호는 우리의 디지털 미래를 지켜낼 유일한 방패입니다. 그리고 그 방패의 가장 견고하고 실용적인 핵심은 바로 '격자 기반 암호'라고 할 수 있습니다. 오랜 연구를 통해 검증된 보안성, 뛰어난 효율성, 그리고 다양한 미래 암호 기술로의 확장 가능성 덕분에 격자 기반 암호는 PQC 시대의 대세로 확실하게 자리매김했습니다. 물론 아직 해결해야 할 과제들이 남아 있지만, 전 세계 암호학자들의 끊임없는 연구와 노력 덕분에 격자 기반 암호는 우리 모두의 안전한 디지털 삶을 위한 강력한 버팀목이 될 것임은 부정할 수 없는 사실입니다. 우리는 이 변화의 흐름을 이해하고, 다가올 양자 시대에 대비해야만 합니다. 이제 격자 기반 암호가 무엇인지, 그리고 왜 이 기술이 중요한지 확실히 이해가 되셨나요? 앞으로도 양자 내성 암호의 발전에 지속적인 관심을 가져주시기 바랍니다.
참고문헌
Alkim, E., Ducas, L., Pöppelmann, E., & Stehlé, D. (2017). NewHope: A Simple and Efficient KEM. In Topics in Cryptology – CT-RSA 2017. Springer, Cham.
Chen, L., et al. (2022). NIST Post-Quantum Cryptography Standardization Process: Overview and Status. National Institute of Standards and Technology.
Gentry, C. (2009). Fully Homomorphic Encryption from Lattices. PhD thesis, Stanford University.
Hoffstein, J., Pipher, J., & Silverman, J. H. (2008). An Introduction to Mathematical Cryptography (Undergraduate Texts in Mathematics). Springer.
Lyubashevsky, D. (2012). Lattice-based Public-key Cryptography. In Progress in Cryptology – AFRICACRYPT 2012. Springer, Berlin, Heidelberg.
Micciancio, D., & Goldwasser, S. (2002). Complexity of Lattice Problems: A Course on Lattice-Based Cryptography. Kluwer Academic Publishers.
National Institute of Standards and Technology (NIST). (2022). Post-Quantum Cryptography Standardization. Retrieved from https://csrc.nist.gov/projects/post-quantum-cryptography
Peikert, C. (2009). Public-Key Cryptosystems from the Worst-Case Hardness of Lattice Problems. In STOC '09: Proceedings of the forty-first annual ACM symposium on Theory of computing. ACM.
Regev, O. (2005). On Lattices, Learning with Errors, Random Lattices, and Cryptography. Journal of the ACM, 56(6), Article 34.
Shor, P. W. (1994). Algorithms for quantum computation: discrete logarithms and factoring. In Proceedings 35th Annual Symposium on Foundations of Computer Science. IEEE.
United States Department of Homeland Security (DHS). (2023). Post-Quantum Cryptography: Preparing for the Quantum Threat. Retrieved from https://www.cisa.gov/resources-tools/resources/post-quantum-cryptography-preparing-quantum-threat