양자 알고리즘의 무조건적 정확성: 최신 소인수분해·이산 로그 개선

초록

이 논문은 Regev가 제안한 다차원 양자 소인수분해·이산 로그 알고리즘에 필요한 수론적 가정을 무조건적으로 증명한다. 영(zero‑density) 추정과 LLL 격자 감소 등을 이용해 작은 소수들의 짧은 곱으로 생성되는 부분군이 충분히 짧은 지수를 갖는다는 것을 보이고, 그 결과 기존 알고리즘의 정확성을 로그 차수 정도의 오차만 남겨 두고 완전히 보장한다.

상세 분석

Regev(2023)의 다차원 Shor 알고리즘은 기존 Shor 알고리즘보다 양자 게이트 수를 $O(n^{3/2}\log n)$ 로 낮추는 동시에, 양자 회로를 $O(\sqrt n)$ 번 호출하도록 설계되었다. 핵심 아이디어는 차원을 $d\approx\sqrt{\log N}$ 로 잡고, $b_1,\dots,b_d$ 라는 매우 작은 정수를 선택해 $Q_i b_i^{e_i}\pmod N$ 형태의 곱을 계산함으로써 모듈러 지수승 연산의 비용을 크게 절감하는 것이다. 그러나 이 접근법은 두 가지 수론적 전제가 필요하다. 첫째, 선택된 $b_i$ 들이 “충분히 곱셈적으로 독립”하여 $b_1^{e_1}\cdots b_d^{e_d}\equiv1\pmod N$ 인 비자명한 해가 존재한다는 점; 둘째, 이러한 해가 존재하려면 $|e_i|\le N^{O(1/d)}$ 와 같은 짧은 지수를 가질 수 있어야 한다. Regev는 이를 “짧은 소수 곱 가설”이라고 제시했으며, 기존 연구에서는 이를 가정에 의존해 알고리즘의 성공 확률을 분석했다.

본 논문은 이 가설을 영(zero‑density) 추정과 대수적 정수론 도구를 이용해 무조건적으로 증명한다. 구체적으로, $b_i$ 를 $X:=d\cdot10^{3d}$ 이하의 무작위 소수(단, $N$ 을 나누지 않음)로 잡고, $d=\lceil\sqrt{\log N}\rceil$ 로 설정한다. 저자는 L‑함수의 영점 분포에 대한 최신 zero‑density 결과(특히 Bombieri–Vinogradov 형태의 추정)를 활용해, 거의 모든 캐릭터에 대해 $\sum_{n\le x}\chi(n)$ 가 $x^{1/2+\varepsilon}$ 이하가 되는 구간을 충분히 많이 확보한다. 이를 통해 $b_1,\dots,b_d$ 로 생성되는 부분군 $\langle b_1,\dots,b_d\rangle$ 안의 모든 원소가 $|e_i|\le e^{O(d)}$ 인 지수들의 곱으로 표현될 확률이 $1-o(1)$ 임을 보인다(Corollary 1.4).

또한, 이론적 관점에서 중요한 격자 $L:={(e_1,\dots,e_d)\in\mathbb Z^d:\prod_{i=1}^d b_i^{e_i}\equiv1\pmod N}$ 가 짧은 기저를 갖는다는 것을 Theorem 3.18 로 증명한다. 이 결과는 $L$ 의 최소 벡터 길이가 $e^{O(d)}$ 이하임을 의미하며, 이는 Regev 알고리즘이 요구하는 “짧은 지수” 조건과 정확히 일치한다.

한편, $b_i$ 가 모두 작은 경우 $\langle b_1,\dots,b_d\rangle$ 가 $N$ 의 비자명한 제곱근 $1$ 을 포함하지 않을 가능성(“subgroup obstruction”)이 존재한다. 저자는 이를 두 가지 방식으로 해결한다. 첫째, $b_1$ 을 균등하게 $(\mathbb Z/N\mathbb Z)^\times$ 에서 선택함으로써 해당 부분군이 반드시 비자명한 제곱근을 포함하도록 보장한다. 둘째, 기존의 결정적 선택(예: $i$번째 소수를 그대로 사용) 대신 무작위 소수를 채택함으로써 확률적으로 거의 모든 $N$ 에 대해 원하는 성질이 성립함을 증명한다. 이 과정에서 GRH 하에서의 Burgess‑type 경계와 비교해, 무조건적인 결과를 얻기 위해서는 보다 정교한 영점 밀도 추정이 필수적이었다.

결과적으로, 본 논문은 Regev와 그 후속 연구(예: Ragavan‑Vikuntanathan, Ekera‑Gärtner)에서 제시한 알고리즘을 “로그 차수 정도의 보정”만 남겨 두고 완전하게 무조건적 정확성을 확보한다. 구체적으로, Theorem 1.1 은 $O(n^{3/2}\log^3 n)$ 게이트와 $O(n\log^3 n)$ 큐비트로 구성된 양자 회로를 $O(\sqrt n)$ 번 호출하면, 고정 확률 $\Theta(1)$ 로 소인수분해를 성공시킨다. Theorem 1.2 는 동일한 복잡도 하에 이산 로그 문제를 해결한다. 이러한 개선은 양자 회로 설계와 오류 정정(예: Regev‑기반 오류 정정 코드) 모두에 호환 가능하므로, 실용적인 포스트‑양자 암호학 전환에 중요한 이정표가 된다.