랭크 메트릭 기반 PRNG RankSynd

초록

본 논문은 랭크 메트릭을 이용한 syndrome decoding 문제의 난이도를 기반으로 한 의사난수 생성기(RNG)인 RankSynd를 제안한다. 기존의 Hamming 기반 PRNG가 대용량 행렬 저장을 필요로 하는 반면, RankSynd는 작은 공개 데이터와 빠른 연산을 제공한다. 또한 양자 컴퓨터에 대한 저항성을 분석하고, 보안성을 Fisher‑Stern PRNG와의 귀류법을 통해 증명한다.

상세 분석

RankSynd는 랭크 메트릭에서 정의되는 syndrome decoding(RSD) 문제의 난이도를 활용한다. 랭크 메트릭은 행렬의 랭크를 거리로 사용하며, 이는 Hamming 거리와 달리 지원 공간이 Gaussian 이항계수를 따르기 때문에 지수적 복잡도가 n² 수준으로 억제된다. 논문은 먼저 행렬 코드와 F_{q^m}‑선형 코드 사이의 동형성을 정의하고, 이를 통해 랭크 가중치와 Gilbert‑Varshamov 경계 d_{GV}를 도출한다. RSD 문제는 최근 결과에 의해 Hamming 기반 SD 문제에 확률적 다항식 환원(reduction)될 수 있음을 보이며, NP‑hard임을 간접적으로 확보한다.

공격 측면에서는 combinatorial 접근과 algebraic 접근을 모두 검토한다. combinatorial 알고리즘은 q가 작을 때 효율적이지만, q가 커지면 복잡도가 급격히 상승한다. algebraic 방법은 Groebner 기반 해법을 이용해 기본 필드 F_q 위에서 다항식 시스템을 구성하지만, 변수 수가 n² 수준으로 늘어나 O(2^{n²})의 복잡도를 갖는다. 최근 제안된 annihilator 기반 모델은 확장 필드 F_{q^m} 위에서 희소 다항식을 구성해 변수 수를 감소시키지만, 여전히 최악의 경우 2^{O(n²)} 시간 복잡도를 보인다.

RankSynd는 이러한 공격 모델을 고려해 파라미터를 설정한다. 입력은 (H, y) 쌍이며, H는 systematic 형태의 (n‑k)×n 행렬, y는 랭크 무게 w=n·ω인 벡터이다. 함수 f(H, y) = (H, Hyᵀ) 는 입력 크기 대비 출력 크기가 O(n²) 비트만큼 확장되며, 계산 복잡도는 O(n³) 필드 연산이다. y를 생성하기 위해 regular rank word 개념을 도입해 행렬 M = A·