BKW 알고리즘 혁신으로 LWE와 격자 문제를 서브지수적으로 풀다

초록

본 논문은 BKW 알고리즘에 새로운 양자화 단계와 모듈러스 스위칭 일반화를 도입해 LWE(특히 바이너리 LWE)와 그 변형 문제들을 기존보다 훨씬 작은 상수 지수로 해결한다. 128 차원, q=n², α=1/(√(n/π)·log²n)인 인스턴스를 12시간 이내에 풀었으며, 이 기법을 BDD, GapSVP, UniqueSVP 및 저밀도 서브셋‑합 문제에도 확장한다. 또한 NTRU와 같은 실용 암호에 대한 서브지수적 공격 가능성을 보인다.

상세 분석

이 논문은 BKW(Blum‑Kalai‑Wasserman) 알고리즘의 핵심 병목인 “첫 번째 단계”에서 발생하는 차원 축소와 편향 감소 과정을 정밀히 재설계한다. 기존 BKW는 n 차원을 b‑블록으로 나누어 각 블록마다 동일한 좌표를 가진 샘플을 찾아 차원을 0으로 만들지만, 충돌을 만들기 위해서는 q^b개의 샘플이 필요해 전체 복잡도가 2^{O(n)} 수준에 머문다. 저자들은 여기서 “양자화(quantization)”라는 새로운 연산을 도입한다. 양자화는 모듈러스 스위칭을 일반화한 것으로, 각 블록에 대해 목표값을 정수 격자에 투사하고, 남은 오차를 새로운 오류 분포로 재정의한다. 이 과정에서 오류의 편향이 급격히 감소하지 않도록 파라미터 B와 t를 조절해 편향 손실을 최소화한다. 결과적으로 동일한 차원 축소를 수행하면서도 필요한 샘플 수를 q^{b·(1‑ε)} 수준으로 낮출 수 있다.

복잡도 분석에서는 전체 알고리즘을 세 단계로 나눈다.
1️⃣ 양자화 단계: 각 블록에 대해 모듈러스 q를 작은 정수 L로 매핑하고, 오류를 L‑범위 내에 강제한다. 이때 발생하는 편향 감소는 exp(−2π²α²·L²) 형태이며, L을 적절히 선택하면 편향 손실을 상수 수준으로 억제한다.
2️⃣ 충돌 생성 및 차원 축소: 양자화된 샘플을 이용해 블록‑와이즈 충돌을 찾는다. 기존 BKW와 달리 충돌 확률이 q^{−b·(1‑ε)}가 되므로, 전체 샘플 수는 O(2^{c·n/ log n}) 수준으로 감소한다. 여기서 c는 양자화 파라미터에 의해 조정되는 상수이다.
3️⃣ FFT 기반 최종 구분: 남은 차원에서 빠른 푸리에 변환을 적용해 편향을 측정한다. 편향이 b 이상이면 비균등성을 확신하고, 그렇지 않으면 균등성을 판정한다.

이 세 단계의 복합 효과는 전체 복잡도 상수 c를 기존 BKW(≈1.5)에서 0.7 이하로 낮춘다. 논문은 구체적인 파라미터 선택을 통해 n=128, q=n², α=1/(√(n/π)·log²n)인 인스턴스를 2^{28}개의 샘플만으로 12시간 이내에 해결했으며, 기존 최선인 2^{74}·2^{60} 샘플 대비 획기적인 개선을 보였다.

또한, 저자는 이 알고리즘을 BDD, GapSVP, UniqueSVP의 변형에 적용한다. 여기서 목표점이 기본 평행육면체 내부에 있거나, 좌표가 ∞‑노름 B 이하인 경우를 가정한다. 이러한 제약 하에 LWE 인스턴스로 환원함으로써, 기존 격자 감소 기반 방법이 필요로 하는 지수적 시간 대신 2^{(ln2/2+o(1))·n/ log log n}의 서브지수적 시간으로 해결한다.

특히 Binary LWE에 대해 n개의 샘플만으로도 동일한 서브지수적 복잡도를 달성한다는 점은 주목할 만하다. 저자는 Lyubashevsky의 아이디어를 변형해 적은 샘플로부터 다수의 “가짜” 샘플을 생성하는 기법을 도입했으며, 이는 샘플 재사용에 따른 독립성 손실을 KL‑다이버전스 분석으로 엄밀히 제어한다.

마지막으로 NTRU와 저밀도 서브셋‑합 문제에 대한 응용을 제시한다. NTRU의 비밀 다항식 f, g는 회전 대칭 구조를 가지므로, 양자화‑BKW 알고리즘을 적용하면 2^{(ln2/2+o(1))·n/ log log n} 시간에 비밀을 복구할 수 있다(단, 실제 파라미터에서는 큰 상수가 존재해 실용적 공격은 아직 어려움). 저밀도 서브셋‑합(밀도 o(1)) 역시 기존 격자 기반 방법이 지수적 시간에 머물던 것을, 본 알고리즘으로는 서브지수적 시간에 해결한다.

전반적으로 이 논문은 BKW 알고리즘에 양자화와 모듈러스 스위칭을 정교히 결합함으로써 LWE와 그 파생 문제들의 복잡도 상수를 크게 낮추었으며, 이론적 기여와 실용적 암호 분석 모두에 중요한 영향을 미친다.