빠른 이진 다항식 곱셈을 위한 가산 FFT 기반 알고리즘

초록

본 논문은 2014년 Lin‑Chung‑Han이 제안한 가산 FFT(LCH FFT)를 활용해 이진(특성 2) 다항식의 곱셈 속도를 크게 향상시킨다. 기존의 곱셈은 곱셈적 FFT에 의존했으나, 가산 FFT는 이진 필드의 가산 부분군을 이용해 연산 오버헤드를 감소시킨다. 또한, 곱셈에 필요한 스칼라 곱들을 작은 부분필드에 매핑하는 타워 필드 구조와 SIMD 기반 테이블 조회를 결합해 40 % 정도의 실험적 가속을 달성하였다.

상세 분석

이 논문은 이진 다항식 곱셈을 위한 두 가지 FFT 패러다임을 비교한다. 전통적인 곱셈적 FFT는 원시 다항식의 계수를 복소수 혹은 실수 영역의 뿌리(단위 원소)로 평가한다. 특성 2 필드에서는 곱셈적 서브그룹의 크기가 제한적이어서 3진(ternary) FFT와 같은 복잡한 구조가 필요하고, 그에 따라 상수 팩터가 크게 증가한다. 반면 가산 FFT는 필드의 가산 부분군 V_k = {0,β₀,…,β_{k‑1}}을 이용해 평가점을 구성한다. Cantor 기반의 β_i는 β_{2i}+β_i=β_{i‑1}이라는 간단한 재귀 관계를 가지며, 이로 인해 소거 다항식 s_i(x)=x^{2^i}+x^{2^{i-1}}가 매우 단순한 형태를 갖는다. LCH FFT는 이러한 s_i(x)를 “novelpoly” 기저 X_k(x)=∏_{i∈bits(k)} s_i(x) 로 정의하고, 재귀적 버터플라이 단계에서 s_k(α)·p₁(x) 형태의 곱셈만 수행한다. Cantor 기저에서는 s_k(β_k)=1이므로 한 번의 곱셈을 생략할 수 있다.

핵심 최적화는 두 가지이다. 첫째, 버터플라이 단계가 순수히 2진 분할‑정복 구조이므로 곱셈 수가 (1/2)·n·log₂n 로, 기존 3진 FFT의 (4/3)·n·log₃n 보다 약 10‑20 % 적다. 둘째, LCH FFT에서 등장하는 스칼라 곱들은 모두 작은 차수 2^i의 부분필드에 속한다. 저자들은 이러한 스칼라를 타워 필드(F_{2^{2^i}})로 재구성하고, 현대 CPU의 PCLMULQDQ와 SIMD 테이블 조회를 이용해 하드웨어 수준에서 상수 시간에 곱셈을 수행한다. 특히, 2^28‑2^29 비트 규모의 다항식에 대해 기존 곱셈적 FFT 구현 대비 평균 40 %의 실행 시간 감소를 보고한다.

알고리즘 복잡도는 여전히 O(n log n)이며, XOR 연산은 O(n log log n) 수준이다. 하지만 실험 결과는 이론적 복잡도와 무관하게 “오버헤드 감소”가 실질적인 성능 향상을 만든다는 점을 강조한다. 또한, 변환 단계(표준 기저 ↔ novelpoly 기저)는 선형 시간에 수행될 수 있으며, 이 과정에서도 s_i(x)의 단순 구조가 큰 이점을 제공한다.

전체적으로 이 논문은 가산 FFT가 이진 다항식 곱셈에 적합함을 실험적으로 입증하고, 타워 필드와 SIMD 최적화를 결합한 구현 기법을 제시함으로써 암호학·수론 분야에서 대규모 다항식 연산이 요구되는 상황에 실용적인 솔루션을 제공한다.