이산 지수함수의 고정점·두 사이클·충돌을 p 진법으로 세다

초록

본 논문은 이산 지수함수 (g^x \bmod p) 의 고정점, 두 사이클, 그리고 충돌(서로 다른 입력이 같은 출력으로 매핑되는 경우)을 소수 (p) 및 그 거듭 제곱 (p^k) 모듈러에서 p‑adic 방법으로 정확히 계산한다. Hensel 보조정리와 p‑adic 보간을 이용해 해의 존재와 유일성을 보이고, 원시근과 일반적인 기반 (g) 에 대해 해의 개수를 명시적인 식으로 제시한다. 결과는 Brizolis 문제의 전면적 확장으로, 모든 소수에 대해 고정점 쌍이 존재함을 재확인하고, 두 사이클과 충돌의 평균적 빈도와 분포를 정량화한다.

상세 분석

이 논문은 먼저 Brizolis 문제가 제기한 “소수 (p>3) 에 대해, 어떤 원시근 (g)와 정수 (h)가 존재하여 (g^h \equiv h \pmod p) 가 되는가?”라는 질문을 역사적 맥락 속에 배치한다. Zhang(1995)과 Cobeli‑Zaharescu(1999)는 충분히 큰 (p) 에 대해 ‘예’임을 보였으며, 원시근 (g)와 (h)가 모두 원시근일 경우 해의 개수를 (\frac{p-1}{\log p}) 정도로 추정했다. Campbell(2000)은 모든 소수에 대해 해가 존재함을 증명했지만, 해의 정확한 개수와 구조적 특성은 남아 있었다.

본 연구는 이러한 빈틈을 메우기 위해 p‑adic 해석을 도입한다. 핵심 도구는 Hensel 보조정리이다. 함수 (f_g(x)=g^x-x)를 p‑adic 연속함수로 보간하고, (f_g’(x)=g^x\ln g-1)의 p‑adic 절대값이 1보다 작지 않음을 이용해 단일 근이 존재하고 고유함을 보인다. 이를 통해 (f_g(x)\equiv0\pmod{p^k})의 해를 단계적으로 끌어올릴 수 있다.

고정점에 대해서는, (g)가 원시근이든 아니든 상관없이, 각 (a\in\mathbb Z_{p-1})에 대해 (x\equiv a\pmod{p-1})인 해가 정확히 하나 존재함을 증명한다. 따라서 고정점의 총 개수는 (\gcd(p-1,\operatorname{ord}_p(g)-1)) 로 표현된다. 두 사이클(길이 2) 경우는 방정식 (g^{g^x}\equiv x\pmod{p^k})와 (g^x\not\equiv x)를 동시에 만족하는 해를 찾는 문제로 전환된다. 여기서 (g^{g^x})를 다시 p‑adic 함수로 보간하고, 두 번째 조건을 p‑adic 거리로 제어함으로써, 두 사이클의 개수를 (\frac{1}{2}\bigl(p-1-\gcd(p-1,\operatorname{ord}_p(g)-1)\bigr)) 로 정확히 계산한다.

충돌(collision)은 서로 다른 입력 (x\neq y)가 같은 출력 (g^x\equiv g^y\pmod{p^k})를 만들 때 발생한다. 이는 (g^{x-y}\equiv1\pmod{p^k})와 동치이며, 따라서 (x-y)가 (p^k)‑모듈러에서 (g)의 차수 (\operatorname{ord}{p^k}(g))의 배수인지 여부로 귀결된다. 논문은 이 관계를 이용해 충돌 쌍의 총수를 (\frac{(p-1)(p^{k-1}-1)}{2\operatorname{ord}{p^k}(g)}) 로 제시하고, 특히 원시근인 경우 (\frac{p^{k-1}(p-1)}{2(p-1)}=\frac{p^{k-1}}{2}) 로 단순화한다.

또한, 저자는 이러한 결과를 확률적 관점에서 해석한다. 큰 소수 (p)에 대해 고정점 비율은 약 (\frac{1}{\log p})에 수렴하고, 두 사이클 비율은 (\frac{1}{2}-\frac{1}{2\log p})에 근접한다는 실험적 데이터를 제시한다. 충돌은 평균적으로 (\Theta(p^{k-2})) 개가 발생하며, 이는 암호학적 응용—특히 Diffie‑Hellman 키 교환에서의 충돌 저항성—에 직접적인 의미를 가진다.

마지막으로, 논문은 p‑adic 보간이 다른 디스크리트 로그 변형(예: (g^{x^2}) 혹은 다항식 지수)에도 적용 가능함을 시사하고, 향후 연구 방향으로 고차 사이클(길이 > 2)와 다중 충돌 구조를 p‑adic 미분 방정식 체계로 일반화하는 가능성을 제시한다.