바레토볼로크 알고리즘의 근원적 개선

초록

본 논문은 기존 바레토‑볼로크 알고리즘이 요구하던 $r\mid q-1$ 및 $(m,r)=1$ 조건을 완화하고, $r\mid q^{m}-1$인 일반적인 경우에도 적용 가능한 확장 방법을 제시한다. 새로운 알고리즘은 루트 추출을 위한 지수 분해와 다항식 연산을 효율적으로 결합하여, 복잡도 $\widetilde{O}\big(r(\log m+\log\log q)m\log q\big)$ 를 유지하면서 적용 범위를 크게 넓힌다. 또한, 알고리즘이 실제로 효율적일 수 있는 구체적인 파라미터 조건을 정리한다.

상세 분석

바레토와 볼로크가 2006년에 제안한 $r$제곱근 계산 알고리즘은, 유한체 $\mathbb{F}_{q^{m}}$에서 $r\mid q-1$ 그리고 $\gcd(m,r)=1$이라는 두 가지 제한 조건 하에 동작한다. 이때 알고리즘은 $q$의 거듭제곱을 이용해 $r$번째 루트를 구하는데, 핵심 아이디어는 $q$에 대한 거듭제곱 연산을 빠르게 수행할 수 있는 ‘플러그인’ 구조와, $r$에 대한 순환군의 구조를 활용한 지수 변환이다. 그러나 실제 암호 응용에서는 $q$가 고정된 경우가 많고, $m$과 $r$ 사이에 서로소 관계가 성립하지 않을 때가 빈번히 발생한다. 이러한 상황에서는 기존 방법을 그대로 적용할 수 없으며, 복잡도가 급격히 증가하거나 알고리즘 자체가 실패한다.

본 논문은 이러한 한계를 극복하기 위해 두 단계의 확장을 제안한다. 첫 번째는 $r\mid q^{m}-1$이라는 보다 일반적인 조건을 도입함으로써, $r$이 $q$의 직접적인 인수일 필요 없이 $q^{m}$의 곱셈군 안에서 순환성을 가질 경우에도 적용 가능하도록 만든다. 이를 위해 저자들은 $q^{m}$에 대한 거듭제곱 맵을 $r$-차 순환군의 자동동형사상으로 해석하고, 이 자동동형사상의 고정점(즉, $r$제곱근)을 찾는 문제를 선형대수적 형태로 변환한다.

두 번째 단계는 $\gcd(m,r)\neq1$인 경우를 다루는 것이다. 여기서는 $m$을 $r$의 소인수와 서로소인 부분과 $r$의 소인수 부분으로 분해하고, 각각에 대해 별도의 루트 추출 절차를 수행한다. 특히 $m$이 $r$의 거듭제곱인 경우, $q^{m}$의 순환군 구조가 $r$-차 원시근을 포함하게 되므로, 해당 부분에 대해는 ‘지수 재배열’ 기법을 적용해 복잡도를 기존와 동일한 수준으로 유지한다.

복잡도 분석에서는 기존 바레토‑볼로크 알고리즘과 동일하게 $\widetilde{O}\big(r(\log m+\log\log q)m\log q\big)$ 를 얻는다. 여기서 $\widetilde{O}$는 로그 항을 무시한 부호를 의미한다. 중요한 점은, $r$이 $q^{m}-1$을 나누는 경우라면 $m$과 $r$ 사이의 공약수가 존재하더라도, 위에서 제시한 분해와 재조합 과정을 통해 전체 연산량이 크게 증가하지 않는다는 것이다.

마지막으로, 논문은 알고리즘 적용에 적합한 파라미터 영역을 정리한다. 구체적으로는 (1) $r$이 $q^{m}-1$을 정확히 나누는 경우, (2) $r$의 소인수들이 $q$의 거듭제곱에 대해 서로 다른 차수로 나타나는 경우, (3) $m$이 $r$의 소인수와 서로소인 부분과 $r$-멱 부분으로 명확히 구분될 수 있는 경우가 효율적인 적용 조건으로 제시된다. 이러한 조건 하에서는 기존 방법보다 구현 복잡도가 낮고, 메모리 사용량도 절감되는 장점을 가진다.