t배수 이산 로그 문제와 해결 난이도

초록

본 논문은 고전 컴퓨팅 환경에서 어려운 문제를 양자 알고리즘으로 다항식 시간에 해결할 수 있다는 점에 착안해, t배수 이산 로그 문제(t‑multiple discrete logarithm problem)를 정의한다. 문제의 비퇴화성, 해의 유일성, 그리고 파라미터가 난이도에 미치는 영향을 분석하고, 전통적인 인덱스‑계산법이 적용되지 않음을 보인다. 또한 숨겨진 부분군 문제에 대한 양자 저항성을 보장하는 두 가지 충분조건을 제시한다.

상세 분석

t배수 이산 로그 문제는 기존 이산 로그 문제를 일반화한 형태로, 주어진 원시 원소 g와 정수 t에 대해 g^{t·x}=h (mod p) 를 만족하는 x를 찾는 것을 목표로 한다. 여기서 p는 큰 소수이며, g는 p에 대한 원시 근이다. 논문은 먼저 이 문제의 비퇴화성(non‑degeneracy)을 정의한다. 즉, t와 p‑1가 서로소일 때, 해가 유일하게 존재함을 보이며, t와 p‑1 사이에 공통 인수가 존재하면 해가 다중이 되거나 존재하지 않을 수 있음을 논증한다. 이러한 비퇴화성 조건은 문제의 난이도를 결정하는 핵심 파라미터이며, t가 p‑1의 큰 약수일수록 해의 탐색 공간이 급격히 축소되어 고전 알고리즘의 복잡도가 낮아진다. 반대로 t가 1에 가깝거나 p‑1과 거의 서로소일 경우, 탐색 공간은 기존 이산 로그와 동일한 수준으로 유지된다.

다음으로 논문은 기존 인덱스‑계산법(index‑calculus)의 적용 가능성을 검토한다. 인덱스‑계산법은 로그를 소인수 분해 기반의 관계식으로 전환해 선형 방정식 시스템을 푸는 방식이다. 그러나 t배수 형태의 방정식에서는 g^{t·x}를 직접적인 소인수 분해 형태로 변환하기 어려워, 관계식 생성 단계에서 필연적으로 비선형 항이 발생한다. 이는 기존의 선형 대수적 접근을 무력화시키며, 따라서 인덱스‑계산법이 t배수 문제에 비효율적임을 증명한다.

양자 알고리즘 측면에서는 숨겨진 부분군 문제(hidden subgroup problem, HSP)와의 연관성을 강조한다. Shor 알고리즘은 이산 로그를 HSP의 특수 경우로 모델링해 다항식 시간에 해결한다. 논문은 두 가지 충분조건을 제시한다. 첫째, t가 p‑1의 소인수 중 하나라도 포함하면, 해당 소인수에 대한 부분군이 양자 Fourier 변환을 통해 쉽게 식별될 수 있어 HSP에 취약해진다. 둘째, t가 p‑1의 모든 소인수와 충분히 큰 공통 인수를 갖지 않을 경우, 즉 t와 p‑1이 거의 서로소에 가까우면, 양자 알고리즘이 부분군을 구분하기 위한 샘플링 복잡도가 급격히 증가한다. 이 조건들은 t배수 문제를 양자 저항성 문제로 설계하는 데 실질적인 가이드라인을 제공한다.

마지막으로 논문은 파라미터 선택 전략을 제시한다. 보안성을 극대화하려면 t를 p‑1의 큰 소인수와 겹치지 않게 선택하고, 동시에 t와 p‑1이 서로소에 가깝도록 설계해야 한다. 이렇게 하면 고전적인 인덱스‑계산법은 적용 불가능하고, 양자 알고리즘도 효율적인 HSP 해결이 어려워 실질적인 난이도가 유지된다.