그래프 야코비안의 모노드로미 페어링과 이산 로그 공격

초록

본 논문은 그래프의 야코비안(또는 사포플 그룹) 위에 정의된 모노드로미 페어링을 효율적으로 계산하는 방법을 제시하고, 이를 이용해 해당 군에서의 이산 로그 문제를 다항시간 안에 해결한다. 페어링은 비퇴화성을 가지며, 엘리ptic 곡선의 MOV 공격과 유사하게 이산 로그를 보다 쉬운 군으로 전이시킨다. 따라서 그래프 야코비안을 기반으로 한 암호 체계는 실질적으로 안전하지 않음이 증명된다.

상세 분석

논문은 먼저 유한 그래프 G의 라플라시안 행렬 L을 이용해 야코비안 군 Jac(G)=ℤ^{V}/Im L을 정의한다. 이는 전통적인 샌드플 그룹, 크리티컬 그룹, 피카르 그룹 등과 동등한 구조이며, 차원은 그래프의 복잡도(스팬 트리 수)와 일치한다. 저자들은 이 군 위에 이중선형, 비퇴화적인 모노드로미 페어링 ⟨·,·⟩: Jac(G)×Jac(G)→ℚ/ℤ을 도입한다. 이 페어링은 그래프의 사이클 공간과 코사이클 공간 사이의 자연스러운 이중성을 이용해 정의되며, 구체적으로는 두 원소를 대표하는 칩-파이어링(divisor) d₁, d₂에 대해 d₁ᵀ L⁺ d₂(mod 1) 형태로 계산된다. 여기서 L⁺는 라플라시안의 무가역 의사역(inverse modulo the torsion)이다.

핵심은 L⁺를 직접 구하지 않고도 Smith 정규형을 통해 L의 최소공배수 행렬을 구함으로써 페어링 값을 효율적으로 계산할 수 있다는 점이다. 저자들은 O(n³) 이하의 시간 복잡도로 라플라시안의 Smith 정규형을 구하고, 이를 이용해 모든 생성원에 대한 페어링 행렬을 미리 계산한다. 이렇게 얻은 페어링 행렬은 비퇴화성을 보장하므로, 임의의 두 원소 a, b∈Jac(G)에 대해 ⟨a,b⟩=0이면 a와 b가 서로 독립임을 알 수 있다.

이제 DLP(Discrete Logarithm Problem)를 해결한다. 주어진 g∈Jac(G)와 h=g^x (군 연산은 덧셈)에서 x를 찾고자 할 때, 먼저 g와 h를 각각 생성원들의 선형 결합으로 표현한다. 페어링을 적용하면 ⟨g,·⟩와 ⟨h,·⟩가 각각 ℚ/ℤ의 원소가 되며, 비퇴화성 때문에 ⟨g,·⟩는 동형사상이다. 따라서 ⟨h,·⟩=x·⟨g,·⟩ (mod 1)이라는 식이 성립한다. 이 식은 ℚ/ℤ의 유한 부분군, 즉 차수 n=|Jac(G)|인 원시 n번째 단위근 μₙ에 대한 로그 문제로 전환된다. μₙ은 일반적인 유한체의 곱셈군과 동형이므로, 기존의 베이비‑스텝‑거시‑스텝, 폴라드‑ρ 등 효율적인 알고리즘으로 x를 구할 수 있다. 복잡도는 O(√n)보다 훨씬 낮은 다항시간(O(poly(log n)))에 수렴한다.

결과적으로, 모노드로미 페어링을 이용한 이산 로그 전이는 엘리ptic 곡선에서의 Weil 페어링을 이용한 MOV 공격과 구조적으로 동일하다. 페어링이 비퇴화적이면서 효율적으로 계산 가능하다는 점이 핵심이며, 이는 그래프 야코비안을 기반으로 한 모든 공개키 암호 설계가 실질적으로 취약함을 의미한다. 논문은 또한 페어링을 구현하는 구체적인 알고리즘과 실험 결과를 제시해, 10⁴~10⁶ 정점 규모의 그래프에서도 몇 초 내에 DLP를 해결함을 입증한다.