이진 타원곡선 연산을 위한 효율적인 양자 회로 T게이트 복잡도 감소

초록

본 논문은 이진 확장체 GF(2^n) 위의 타원곡선 연산을 기존의 짧은 Weierstrass 형태와 아핀·프로젝트 좌표 대신, 대수적 등가 형태인 라그랑주 형태와 라디칼 좌표 체계를 사용함으로써 양자 회로에서 요구되는 T‑게이트 수를 크게 줄이는 방법을 제시한다. 또한 다항식 기반 표현을 이용해 곱셈 역원을 O(n log n) 깊이로 구현하는 새로운 회로를 제안한다.

상세 분석

이 논문은 양자 컴퓨팅 환경에서 타원곡선 기반 암호 해독에 필수적인 기본 연산, 즉 점 덧셈과 스칼라 곱을 구현하는 회로의 비용을 재평가한다. 기존 연구들은 주로 짧은 Weierstrass 형태 y²+xy = x³ + ax² + b와 아핀 혹은 프로젝트 좌표를 채택했으며, 이 경우 곱셈, 제곱, 그리고 특히 곱셈 역원 연산이 많이 요구된다. 곱셈 역원은 T‑게이트가 집중적으로 사용되는 연산으로, 전체 회로의 T‑깊이와 T‑볼륨을 크게 증가시킨다. 저자들은 먼저 이진 타원곡선을 라그랑주 형태인 x³ + ax + b = 0 로 변환하고, 라디칼 좌표 (X:Z) 를 도입한다. 라디칼 좌표에서는 역원 연산이 사라지고, 대신 두 점의 차를 구하는 과정에서 발생하는 곱셈과 제곱만 남는다. 이러한 변환은 곱셈 역원 회로를 완전히 배제함으로써 T‑게이트 사용을 근본적으로 감소시킨다.

또한, 저자들은 다항식 기반 표현을 이용해 GF(2^n)에서의 곱셈 역원을 O(n log n) 깊이, O(n log n) 게이트 수로 구현하는 새로운 양자 회로를 설계한다. 이 회로는 확장 유클리드 알고리즘을 양자 병렬화하고, 중간 결과를 재사용하도록 설계돼 메모리 사용량을 최소화한다. 특히, 역원 회로는 기존의 O(n²) 깊이 회로에 비해 로그 스케일로 깊이가 감소하므로, 전체 점 연산의 T‑깊이와 T‑볼륨을 크게 절감한다.

성능 분석에서는 n=163 (표준 NIST 곡선) 기준으로 기존 방법이 요구하던 약 2·10⁶개의 T‑게이트에 비해, 제안된 라디칼 좌표와 최적화된 역원 회로를 결합했을 때 약 3·10⁵개의 T‑게이트만 필요함을 보여준다. 이는 약 85%의 T‑게이트 절감 효과이며, 양자 오류 정정 비용을 크게 낮출 수 있음을 의미한다. 또한, 회로 깊이도 기존 O(n²)에서 O(n log n) 수준으로 감소해, 실제 양자 하드웨어에서 실행 가능한 시간 창을 넓힌다.

결론적으로, 곡선 표현을 라그랑주 형태와 라디칼 좌표로 전환하고, 효율적인 다항식 기반 역원 회로를 도입함으로써 이진 타원곡선 연산의 양자 구현 비용을 실질적으로 낮출 수 있음을 입증한다. 이는 앞으로의 포스트-양자 암호 분석 및 양자 저항성 프로토콜 설계에 중요한 설계 지침을 제공한다.