생일 공격 기반 이산 로그 알고리즘

초록

본 논문은 생일 역설을 활용한 확률적 알고리즘을 제시한다. 무작위 지수 집합을 여러 개 생성하고, 이들 집합을 합친 Ω에서 충돌(동일한 그룹 원소)을 찾음으로써 선형 방정식 시스템을 구성한다. 충돌이 충분히 많이 발생하면 비밀키들을 선형 연립방정식으로 복원할 수 있다. 알고리즘의 기대 복잡도는 기존 베이비‑스텝‑거인‑스텝(BSGS)과 비슷하지만, m(공개키 수)이 클 경우 그룹 연산 수를 감소시킬 수 있다고 주장한다.

상세 분석

이 논문이 제안하는 “생일 공격” 방식은 기본 아이디어가 충돌 확률을 이용해 이산 로그 문제를 풀고자 하는 점에서 Pollard‑Rho와 유사하다. 저자는 먼저 생성자 g와 공개키 y₁,…,y_m에 대해 각각 n개의 무작위 지수 r_{i,j}를 선택하고, S_i={g^{r_{i,j}}·y_i^{r_{i,j}}}와 T_i={g^{r_{i,j}}}와 같은 집합을 만든다. 그 후 Ω=⋃_{i=1}^m (S_i∪T_i) 를 구성하고, Ω 안에서 두 원소가 동일한 경우를 충돌이라 정의한다. 충돌이 발생하면 g^{a}·y_i^{b}=g^{c}·y_j^{d} 와 같은 식이 성립하고, 이를 정리하면 (a−c) ≡ x_i·b−x_j·d (mod N) 형태의 선형 방정식이 얻어진다. 여기서 x_i는 찾고자 하는 비밀 지수이다.

논문은 Proposition 1을 통해 Ω 안에 최소 k개의 충돌이 존재할 확률을 하한으로 제시한다. 식 (2.1)은 2·m ≥ √N 일 때 충돌 확률이 0.99 이상이 된다고 주장한다. 이 근사는 “생일 역설”의 전형적인 결과를 다변량 상황에 그대로 적용한 것으로, 실제로는 각 집합 S_i, T_i 가 서로 독립적이라는 가정이 필요하다. 그러나 논문에서는 이러한 독립성 가정을 명시적으로 증명하지 않으며, 충돌이 선형 방정식으로 변환될 때 방정식들이 서로 독립적일 확률을 1−1/N 정도라고 단순히 추정한다. 이는 실제 상황에서 매우 낙관적인 가정이다.

복잡도 분석에서는 두 가지 비용을 강조한다. 첫째는 Ω 내에서 충돌을 찾기 위한 비교 연산이며, 이는 원소를 비트 단위로 정렬하는 방식으로 O(log |Ω|·|Ω|) ≈ O(√N·log N) 라고 주장한다. 둘째는 S_i와 T_i 를 만들 때 필요한 그룹 곱셈 연산이다. 저자는 n을 적절히 선택하면 전체 곱셈 수가 BSGS와 동등하거나 더 적어질 수 있다고 말한다. 실제로 n≈√N/m 로 잡으면 |Ω|≈2m·n≈2√N 가 되므로, 메모리 요구량이 BSGS와 비슷하거나 더 커질 위험이 있다. 또한, 충돌을 찾기 위한 정렬·검색 과정은 메모리와 I/O 비용을 무시할 수 없으며, 이는 알고리즘의 실용성을 크게 제한한다.

마지막으로 논문은 Pohlig‑Hellman 방식과 결합하여, 그룹의 소인수 분해가 가능할 경우 각 소군에 대해 동일한 절차를 적용한다는 아이디어를 제시한다. 이 부분은 이론적으로는 타당하지만, 실제 구현에서는 소군의 크기가 작을 때는 기존의 인덱스 계산법이 더 효율적이며, 제안된 방법이 추가적인 복잡성을 도입할 뿐이라는 비판이 가능하다. 전반적으로 논문은 아이디어 자체는 흥미하지만, 정의와 증명이 부실하고, 실험적 검증이 전무하며, 기존 알고리즘과의 정량적 비교가 부족하다.