양자와 비대화식 영지식 클래스 사이의 오라클 분리

초록

**
본 논문은 양자 다항시간 알고리즘이 해결할 수 없는 문제를 비대화식 완전 영지식(NIPZK) 증명으로 해결할 수 있음을 보이는 오라클 A를 구성한다. 이를 통해 NIPZK⁽ᴬ⁾ ⊈ BQP⁽ᴬ⁾ 임을 증명하고, 기존의 SZK와 BQP 사이의 오라클 분리 결과를 NIPZK까지 확장한다.

**

상세 분석

**
이 연구는 Aaronson이 제시한 “Collision Problem”에 대한 양자 쿼리 복잡도 하한을 핵심 도구로 삼는다. Aaronson은 충돌 문제(입력 함수가 1‑to‑1인지 2‑to‑1인지를 구분)에서 양자 알고리즘이 Ω(n^{1/5}) 이상의 쿼리를 필요로 한다는 결과를 증명했으며, Kutin과 Shi의 후속 연구는 이를 Ω((n/r)^{1/3}) 형태로 일반화한다. 이러한 하한은 “대각선 논법(diagonalization)”을 적용해 BQP와 특정 복잡도 클래스 사이에 오라클 분리를 만들 때 필수적인 장벽으로 작용한다.

논문은 이 하한을 NIPZK와 연결시키기 위해 충돌 문제에 대한 비대화식 완전 영지식 프로토콜을 설계한다. 프로버는 공유된 무작위 문자열을 두 부분 r₁, r₂ 로 나누고, 각각에 대해 X(xᵢ)=rᵢ 가 되도록 입력 xᵢ 를 무작위로 선택한다. 선택된 xᵢ 를 검증자에게 전송하면, 검증자는 X(xᵢ)=rᵢ 를 확인함으로써 수용 여부를 판단한다.

완전성은 X가 1‑to‑1일 때 항상 가능한데, 이는 X의 이미지가 전체 코도메인과 일치하므로 임의의 rᵢ 에 대해 적절한 xᵢ 가 존재한다는 사실에서 비롯된다. 반면, X가 2‑to‑1이면 코도메인의 절반은 이미지에 포함되지 않으므로, r₁ 혹은 r₂ 가 이미지 밖에 있을 확률이 3/4이며, 이 경우 프로버는 올바른 xᵢ 를 찾지 못해 검증자가 거부한다. 따라서 오류율은 1/4 이하가 된다.

완전 영지식성은 시뮬레이터가 단순히 두 개의 입력 x₁, x₂ 를 무작위로 선택하고 이를 X에 적용해 r₁, r₂ 를 만든 뒤, 검증자에게 전달된 전송을 그대로 재현함으로써 달성된다. 1‑to‑1 경우 rᵢ 가 균등하게 분포하고, 각 rᵢ 에 대해 가능한 xᵢ 가 유일하므로 시뮬레이터는 실제 프로토콜과 동일한 전송을 완벽히 복제한다. 따라서 시뮬레이터는 검증자를 완벽히 속일 수 있다.

이렇게 구성된 NIPZK 프로토콜은 충돌 문제를 NIPZK에 포함시킨다. 앞서 언급한 양자 쿼리 하한과 결합하면, 충돌 문제를 해결하려면 BQP 알고리즘이 Ω(n^{1/5}) 이상의 쿼리를 필요로 하므로, 해당 오라클 A 하에서 NIPZK⁽ᴬ⁾ ⊈ BQP⁽ᴬ⁾ 가 성립한다.

논문은 또한 이 결과가 암호학적 응용, 특히 양자 저항성을 요구하는 비대화식 영지식 기반 프로토콜에 미치는 영향을 논한다. 만약 NIPZK가 BQP에 포함된다면, 양자 컴퓨터가 이러한 영지식 증명을 깨뜨릴 수 있겠지만, 본 오라클 분리는 그 가능성을 차단한다는 증거를 제공한다.

마지막으로 저자들은 현재의 오라클 분리를 “알제브라화(algebrization)” 수준으로 끌어올리는 향후 연구 방향을 제시한다. 알제브라화는 복잡도 이론에서 보다 강력한 증명 장벽을 제시하는 기법으로, 이를 적용하면 더 넓은 범위의 증명 기법을 배제하고 NIPZK와 BQP 사이의 비포함 관계를 더욱 확고히 할 수 있다.

**