격자 기반 근사 공통 약수 탐구

초록

이 논문은 Howgrave‑Graham 알고리즘을 다변량으로 확장하여, 모듈러스 N 아래에서 근사 공통 약수 p≈N^β 를 찾는 허용 오차 범위를 기존 N^{β²} 에서 N^{β^{(m+1)/m}} 로 크게 개선한다. 결과는 완전 동형 암호의 보안 가정 분석과 다변량 다항식 복원·리스트 디코딩 문제에 대한 새로운 격자 기반 알고리즘으로 연결된다.

상세 분석

본 연구는 근사 공통 약수(Approximate Common Divisor, ACD) 문제를 다변량으로 일반화한 뒤, 격자 기반 LLL(또는 BKZ) 환원 기법을 이용해 오류 허용 한계를 크게 넓힌다. 기존 Howgrave‑Graham의 단일 변수 결과는 오차 r이 |r|≤N^{β²} 일 때 p를 복구할 수 있었으나, 저자들은 m개의 근사 배수를 제공받을 경우 오류 허용 범위가 N^{β^{(m+1)/m}} 로 개선된다는 정리를 증명한다. 핵심 아이디어는 차원 ≤β·log N 인 격자를 구성하고, 그 안에서 m개의 서로 독립적인 짧은 벡터(다항식)를 찾아 r₁,…,r_m을 근본적인 해로 만든다. 여기서 “알제브라적 독립성 가정”이 필요하며, 이는 무작위 입력에 대해 경험적으로 만족한다는 점을 강조한다.

또한, β≥1/√log N 라는 제약은 LLL의 지수적 근사 비율(2^{dim L})에 의해 발생한다. 만약 격자 환원 알고리즘이 2^{(dim L)^ε} (ε<2/3) 수준으로 개선된다면, 현재 제안된 완전 동형 암호(FHE) 파라미터를 깨뜨릴 수 있음을 보여준다. 이는 암호학적 보안 가정과 격자 이론 사이의 미묘한 연결 고리를 제공한다.

정리 1은 “부분 근사 공통 약수” 문제에 대한 구체적 조건을 제시한다. 입력으로 N=p·q₀와 m개의 근사 배수 a_i=p·q_i+r_i, 그리고 각 오류 상한 X_i를 주면, ∏X_i < N^{β·(m+1)/m} (1+o(1)) 일 때 모든 r_i를 복구하고, 결국 p를 구할 수 있다. 정리 2는 N을 모르는 일반적인 경우에도 비슷한 경계를 제공한다.

정수 문제와 다항식 복원 문제 사이의 유사성도 상세히 탐구한다. 다변량 다항식 재구성 문제는 정수 ACD와 구조적으로 동일하며, 이를 이용해 Parvaresh‑Vardy 및 Guruswami‑Rudra 코드의 리스트 디코딩 반경을 격자 기반으로 재증명한다. 특히, 다항식 경우에는 격자 환원이 정수 경우보다 훨씬 효율적이어서 알제브라적 독립성 가정 없이도 정리 4를 완전하게 증명한다.

실험적으로 구현한 알고리즘은 이론적 한계보다 더 큰 오류를 허용하며, 특히 m이 커질수록 실제 수행 시간은 수천 배 가량 빨라진다. 이는 암호 구현 및 코딩 이론에서 실용적인 이점을 제공한다. 전체적으로 이 논문은 격자 기반 기법이 근사 공통 약수 문제와 다변량 다항식 복원·디코딩 문제에 어떻게 적용될 수 있는지를 체계적으로 보여주며, 암호학적 보안 가정의 정밀한 분석과 새로운 코딩 이론 결과를 동시에 제공한다.