SAT와 격자 축소를 이용한 효율적인 정수 인수분해

초록

본 논문은 RSA와 같은 공개키 암호의 기반이 되는 정수 인수분해 문제에 대해, 일부 비트가 알려진 경우를 목표로 한다. 기존의 SAT 기반 접근법은 임의 위치의 알려진 비트를 활용할 수 있지만 대수적 구조를 충분히 이용하지 못하고, Coppersmith 방법은 비트 위치가 연속적이거나 특정 형태일 때만 적용 가능하다. 저자들은 SAT 솔버가 부분 비트 할당의 가능성을 판단하도록 Coppersmith의 격자 축소를 호출하는 하이브리드 방식을 제안한다. 실험 결과, 순수 SAT 혹은 순수 격자 기반 방법보다 훨씬 빠르게 무작위 누출 비트 인수분해 문제를 해결함을 보인다.

상세 분석

이 논문은 두 주요 공격 기법인 SAT 기반 부울식 변환과 Coppersmith의 격자 기반 근사 해법을 결합함으로써, 기존 방법들의 한계를 보완하는 새로운 하이브리드 프레임워크를 제시한다. 먼저, 인수분해 문제를 부울 변수와 논리식으로 모델링하는 과정에서, 알려진 비트 위치가 임의로 섞여 있어도 SAT 솔버가 효율적으로 탐색할 수 있도록 제약식을 설계한다. 이때, 각 비트는 0·1 변수로 표현되고, 곱셈 연산은 캐리 전파를 포함한 회로 수준의 제약으로 변환된다. 전통적인 SAT 접근법은 이러한 제약식이 복잡해질수록 탐색 공간이 급격히 확대돼 실용적인 규모(예: 1024비트 RSA)에서는 비현실적이다.

반면 Coppersmith 방법은 알려진 비트가 연속적인 경우, 다항식 (f(x)=p_0 + x) 형태로 표현해 작은 근을 찾는 격자 축소(Lattice Reduction) 기법을 적용한다. 그러나 비트가 무작위 위치에 흩어져 있으면 다항식 형태가 복잡해져 직접 적용이 불가능하다. 저자들은 이 문제를 “부분 할당 검증” 단계로 전환한다. SAT 솔버가 현재까지 할당한 비트 집합을 후보로 제시하면, 해당 부분 할당이 실제로 전체 인수분해 해에 확장 가능한지를 Coppersmith의 LLL(Lattice Basis Reduction) 알고리즘을 이용해 검증한다. 구체적으로, 알려진 비트를 고정하고 남은 자유 변수에 대해 작은 근을 찾는 격자 문제를 구성한다. 격자 차원이 현재 할당된 비트 수에 비례하므로, 부분 할당이 작을수록 격자 연산이 가볍다.

이러한 상호 보완적 구조는 탐색 트리의 가지치기를 크게 강화한다. SAT 솔버는 일반적인 논리적 충돌을 빠르게 탐지하고, Coppersmith 검증은 대수적 불가능성을 조기에 배제한다. 결과적으로 탐색 깊이가 얕아지고, 전체 검색 시간은 지수적 성장 대신 거의 다항식에 가까운 시간 복잡도로 감소한다. 논문은 또한 이 하이브리드 메커니즘이 알려진 비트 비율이 5%15% 사이에서 최적의 성능을 보이며, 비트 위치가 완전히 무작위일 때도 기존 SAT만 사용할 때보다 23배 이상의 속도 향상을 제공한다는 실험 데이터를 제시한다.

알고리즘 구현 측면에서는, SAT 솔버로는 최신 CDCL 기반 MiniSat을 사용하고, 격자 연산은 fplll 라이브러리의 LLL 및 BKZ 구현을 활용한다. 인터페이스는 부분 할당이 발생할 때마다 C++ 콜백을 통해 격자 검증 모듈을 호출하도록 설계되었으며, 멀티스레드 환경에서 SAT와 격자 연산을 병렬화함으로써 추가적인 성능 이득을 얻었다.

이 연구는 두 분야의 장점을 융합함으로써, 기존에 “무작위 비트 누출” 상황에서 실용적인 공격이 어려웠던 점을 크게 개선한다는 점에서 학술적·실용적 의의를 가진다. 또한, 하이브리드 설계가 다른 암호학적 문제(예: 디스크리트 로그, LWE)에도 확장 가능함을 시사한다.