양자 컴퓨팅을 이용한 반군집에서의 이산 로그 계산

초록

본 논문은 유한 반군집(semigroup)에서 이산 로그 문제를 양자 알고리즘으로 효율적으로 해결하는 방법을 제시한다. Shor의 주기 찾기와 이산 로그 알고리즘을 서브루틴으로 활용해 반군집의 주기와 인덱스를 찾고, 이를 기반으로 로그 값을 계산한다. 또한, 변형된 이산 로그 문제와 다이헤드랄 은닉 부분군 문제와의 연관성을 밝히고, k≥2개의 생성자를 갖는 검은 상자(ab​elian) 반군집에서 구성원 문제의 양자 복잡도 하한을 \tilde Θ(N^{1/2-1/(2k)}) 로 제시한다.

상세 분석

논문은 먼저 반군집 S의 원소 g에 대해 “인덱스”(tail 부분의 길이)와 “주기”(cycle 부분의 길이)를 정의하고, 이를 양자 컴퓨터가 효율적으로 찾을 수 있음을 보인다. 구체적으로, 충분히 큰 M에 대해 상태 (\frac{1}{\sqrt{M}}\sum_{j=0}^{M-1}|j\rangle|g^{j}\rangle) 를 만든 뒤, 두 번째 레지스터를 측정하여 cycle에 속하는 경우에만 첫 번째 레지스터가 r‑주기성을 갖는 상태가 남는다. 이 상태에 푸리에 변환을 적용하면 Shor의 주기 찾기와 동일한 확률분포가 얻어지며, 고전적인 연속분수 후처리를 통해 r을 복원한다. 인덱스 t는 g^{j+r}=g^{j} 여부를 확인하는 간단한 검증으로 O(log N) 단계의 이진 탐색으로 결정된다.

다음 단계에서는 주기와 인덱스를 이용해 로그 문제를 해결한다. x가 tail에 있으면 t−p 형태로 로그를 구하고, x가 cycle에 있으면 g^{t+s}을 생성하는 군 C를 구성한다. C는 순환군이며, Shor의 이산 로그 알고리즘을 C에 적용해 로그 값을 얻는다. 여기서 중요한 점은 반군집에서는 역원 연산이 정의되지 않지만, C 내부에서는 g^{t+s+r−1}이 역원 역할을 함으로써 f(a,b)=x^{a}·(g^{t+s+r−1})^{b} 형태의 숨김 함수를 만들 수 있다는 것이다.

변형된 이산 로그 문제는 x = y·g^{a} 형태를 찾는 것으로, 군에서는 바로 일반 이산 로그로 환원되지만 반군집에서는 더 어려워진다. 저자는 이를 Z₂⋉Z_{r̃} 형태의 다이헤드랄 그룹에 대한 은닉 부분군 문제로 모델링한다. 함수 f(0,j)=y·g^{t̃+j}, f(1,j)=x·g^{j}는 ℓ이라는 이동량에 대해 f(1,j)=f(0,j+ℓ) 관계를 만족하므로, 다이헤드랄 은닉 부분군을 숨긴다. 현재 최선의 양자 알고리즘인 Kuperberg의 방법을 적용하면 (\exp(O(\sqrt{\log r̃}))) 시간에 해결 가능하지만, 쿼리 복잡도만 고려하면 다이헤드랄 HSP는 다항적으로 해결 가능하므로 변형 문제도 다항 쿼리로 풀 수 있다. 이는 다이헤드랄 HSP가 아직 효율적인 전역 알고리즘이 알려지지 않은 점과 연결되어, 변형 이산 로그가 군보다 더 어려운 사례를 제공한다.

마지막으로 k≥2개의 생성자를 갖는 검은 상자 반군집에서의 구성원 문제를 다룬다. 저자는 이 문제를 임의의 순열 π의 역을 구하는 문제에 귀환시켜, 순열 역을 구하는 데 필요한 Ω(√m) 양자 쿼리 하한을 이용한다. 여기서 m≈|Σ|=Θ(n^{k-1})이며, 전체 반군집 크기는 |S|=Θ(n^{k})이다. 따라서 구성원 문제에 필요한 쿼리 수는 Ω(|S|^{1/2−1/(2k)})가 된다. 또한, Lemma 2의 변형 이산 로그 알고리즘을 서브루틴으로 사용하면 (|S|^{1/2−1/(2k)}) 시간에 문제를 해결할 수 있음을 보이며, 하한과 상한이 로그 팩터 정도만 차이 나는 거의 최적임을 증명한다. 전체적으로 논문은 반군집 구조를 양자적으로 탐지하고, 기존 그룹 기반 알고리즘을 적절히 변형함으로써 반군집에서도 효율적인 이산 로그 계산이 가능함을 보여준다. 동시에 변형 문제와 구성원 문제를 통해 반군집이 그룹보다 더 복잡한 계산적 특성을 가질 수 있음을 입증한다.