베르그만 비표현 링에서 이산 로그 문제의 효율적 해법

초록

베르그만이 정의한 비표현 링 Eₚ는 p⁵개의 원소를 가지며 행렬 링에 삽입될 수 없는 특수한 구조를 갖는다. 2011년 Climent·Navarro·Tortosa는 Eₚ를 단순 모듈러 연산으로 구현할 수 있음을 보였고, 이를 기반으로 난해한 암호학적 문제의 후보로 제시하였다. 본 논문은 Eₚ 내 이산 로그 문제(DLP)를 고전적인 소수체 ℤₚ의 DLP로 결정론적 다항시간에 환원함으로써, 기존에 기대되던 “새로운” 난이도가 실제로는 기존 문제와 동등함을 증명한다.

상세 분석

베르그만 링 Eₚ는 두 개의 2×2 상삼각 행렬을 원소로 하는 비가환 링으로, 원소는 (a,b,c,d) 형태의 4‑튜플이며 연산은 모듈러 p와 p²에 걸쳐 정의된다. 이 구조는 일반적인 행렬 표현이 불가능하다는 점에서 대수학적으로 흥미롭지만, Climent·Navarro·Tortosa는 이를 “표준형” (a + p·b, c + p·d) 로 변환함으로써 단순한 정수 연산만으로 구현할 수 있음을 보여주었다. 논문은 먼저 Eₚ의 곱셈군을 분석하고, 모든 비영원소가 (1 + p·x) 형태의 단위와 (p·y) 형태의 영원소로 분해될 수 있음을 증명한다. 이때 단위군은 정확히 ℤₚ*와 동형이며, 영원소는 차수 p 의 순환군을 형성한다. 이러한 분해는 로그 연산을 두 단계로 나누는 아이디어의 핵심이다.

첫 번째 단계는 주어진 원소 g와 h에 대해 g의 단위 성분 u와 영원소 성분 v를 추출하고, ℤₚ* 위에서 u에 대한 로그를 구한다. 이는 기존의 소수체 DLP와 동일한 난이도를 갖는다. 두 번째 단계에서는 v가 차수 p 인 순환군에 속하므로, v⁽ᵖ⁾ = 1이 성립한다. 따라서 h의 영원소 성분을 v의 거듭제곱으로 표현하면, 지수 k 는 p 로 나눈 나머지를 직접 계산할 수 있다. 최종적으로 전체 로그 k 는 k ≡ k₁ (mod p‑1)와 k ≡ k₂ (mod p) 의 두 잔여조건을 만족하는 유일한 값으로 CRT(중국 나머지 정리)를 이용해 복원된다.

이 환원 과정은 모든 연산이 O(log p) 비트 복잡도로 수행되며, 특히 곱셈과 거듭제곱은 모듈러 p와 p²에 대한 빠른 제곱-곱 알고리즘을 사용한다. 따라서 전체 알고리즘은 결정론적 다항시간, 구체적으로 O((log p)³) 정도의 복잡도를 가진다. 이는 기존에 “새로운” 난이도가 기대되던 Eₚ 기반 DLP가 실제로는 ℤₚ 위 DLP와 동등하거나 그보다 약하다는 강력한 결론을 도출한다.

이 결과는 암호학적 설계에서 Eₚ를 직접 사용하려는 시도가 보안상 큰 이점을 제공하지 못함을 의미한다. 또한, 비표현 링이라는 대수적 특수성을 이용한 새로운 난이도 구축이 반드시 기존 문제와 완전히 독립적이어야 함을 강조한다.