정규 타원체 기반 토러스 암호화

초록

본 논문은 정상 타원체 기반 정규 타원 기저를 이용해 알골리즘 토러스 (T_n(\mathbb{F}_q)) 의 원소를 효율적으로 인코딩하는 방법을 제시한다. 무한히 많은 제곱 자유 정수 (n) 과 무한히 많은 (q) 에 대해, (m)개의 토러스 원소를 고정된 작은 오버헤드와 (m)개의 (\varphi(n))‑튜플 형태로 (\mathbb{F}_q) 원소에 매핑할 수 있으며, 복잡도는 (\log q)에 대해 준선형(quasi‑linear)이다. 기존의 준이차(quasi‑quadratic) 알고리즘에 비해 인코딩 단계의 비용이 현저히 감소해 Diffie‑Hellman 등 실용적인 키 교환 프로토콜에 바로 적용 가능하다.

상세 분석

논문은 먼저 알골리즘 토러스 (T_n(\mathbb{F}q)) 가 (\mathbb{F}{q^n}^\times) 의 특정 부분군으로서, 그 구조를 이용하면 원소를 (\varphi(n))개의 작은 필드 원소들로 압축할 수 있음을 재확인한다. 기존 연구에서는 이 압축·복원 과정을 다항식 곱셈과 거듭제곱 연산을 이용해 구현했으며, 복잡도가 (\widetilde{O}((\log q)^2)) 정도였다. 저자들은 여기서 “정규 타원 기저”(normal elliptic basis)를 도입한다. 정상 타원 기저는 타원 곡선 (E/\mathbb{F}q) 위의 점들을 이용해 (\mathbb{F}{q^n}) 을 (\mathbb{F}_q) 선형 독립인 기저로 표현하는데, 특히 Frobenius 작용이 순환적으로 나타나 연산을 매우 간단히 만든다.

핵심 아이디어는 다음과 같다. 먼저 (n)이 제곱 자유이고 (\gcd(n,q)=1) 인 경우, (\mathbb{F}_{q^n}) 에 대한 정상 타원 기저를 선택하면, 토러스 원소 (t\in T_n(\mathbb{F}q)) 를 (\mathbb{F}{q^n}) 의 좌표벡터로 나타낼 수 있다. 이때 각 좌표는 Frobenius 자동연산을 통해 빠르게 회전되므로, (\varphi(n))개의 좌표만을 추출해 (\mathbb{F}_q) 원소로 저장하면 된다. 좌표 추출 과정은 FFT‑유사한 다항식 곱셈을 사용해 (\widetilde{O}(\log q)) 시간에 수행된다.

또한 저자들은 “무한히 많은” (n) 과 (q) 에 대한 존재성을 보이기 위해, 특정 형태의 곡선(예: Montgomery 형태)와 그 위의 순환 서브그룹을 이용한다. 이때 정상 타원 기저는 곡선의 𝑝‑비틀림(𝑝‑torsion) 점들을 통해 효율적으로 구성될 수 있으며, 이러한 구조는 기존의 일반적인 정규 기저와 달리 사전 계산 비용이 거의 들지 않는다.

복원 단계에서도 동일한 정상 타원 기저를 역으로 적용하면, 저장된 (\varphi(n))개의 (\mathbb{F}_q) 값만으로 원래 토러스 원소를 정확히 재구성할 수 있다. 복원 복잡도 역시 (\widetilde{O}(\log q)) 이며, 이는 Diffie‑Hellman 키 교환에서 양쪽 참여자가 동일한 토러스 기반 파라미터를 사용할 때 인코딩·복원 비용이 실질적으로 무시될 정도이다.

마지막으로, 저자들은 실험을 통해 다양한 ((n,q)) 쌍에 대해 이론적 복잡도와 실제 실행 시간을 비교한다. 결과는 기존 알고리즘 대비 5배 이상 빠른 인코딩 속도를 보이며, 메모리 사용량도 크게 감소한다. 이러한 성능 향상은 특히 모바일·IoT 환경에서 토러스 기반 암호를 적용할 때 큰 장점을 제공한다.