모듈 격자 감소의 실제 성능 예측

초록

본 논문은 사이클로토믹 수체 위의 모듈 격자에 대해 모듈‑BKZ와 전통적 BKZ의 평균‑케이스 성능을 정량적으로 비교한다. 핵심 변수는 수체의 판별식이며, 이를 통해 블록 크기 차이를 구체적으로 예측한다. 전력‑2 수체에서는 모듈‑BKZ가 블록 크기에서 약 d‑1 만큼 손해를 보지만, 그 외의 사이클로토믹 수체에서는 서브선형적인 이득을 제공한다는 결론을 얻는다. 또한 구현 및 실험 결과를 통해 이론적 예측을 검증하였다.

상세 분석

이 연구는 모듈 격자 구조가 BKZ 알고리즘의 슬로프(기저 프로파일의 평탄도)에 미치는 영향을 정밀히 분석한다. 저자들은 먼저 모듈‑BKZ가 수행되는 수체 K의 차원 d와 판별식 ΔK 를 핵심 파라미터로 설정하고, 블록 크기 β 에 대한 기대 슬로프를 수식적으로 도출한다. 핵심 결과는 “β_eq ≈ β + ln|ΔK|/d·β/(d·lnβ) + d‑1” 형태의 근사식이며, 여기서 β_eq 는 동일한 슬로프를 얻기 위해 필요한 모듈‑BKZ의 효과적 블록 크기를 의미한다. 판별식이 d^d 와 정확히 일치하는 전력‑2 사이클로토믹 수체에서는 ln|ΔK|/d 항이 사라져 d‑1 만큼의 블록 크기 손실이 발생한다. 반면, ΔK 가 d^d 보다 작아지는 일반 사이클로토믹 수체에서는 ln|ΔK|/d 항이 양의 값을 가져, β_eq 가 β 보다 작아지는 서브선형 이득이 발생한다. 이 이득은 Θ(β/lnβ) 수준이며, 결국 전체 알고리즘 복잡도는 exp(Θ(β/lnβ)) 만큼 가속화된다.

실험 부분에서는 다양한 사이클로토믹 수체(예: ω₃, ω₅, ω₈, ω₁₅, ω₁₆ 등)에 대해 5개의 무작위 모듈 격자를 생성하고, 블록 크기를 d의 배수로 늘려가며 수렴된 슬로프를 측정하였다. 측정된 슬로프와 위에서 제시한 히스테리시스 기반 예측식 사이의 차이는 대부분 작은 오차 범위 내에 머물렀으며, 특히 큰 β 영역에서 예측 정확도가 향상되는 경향을 보였다. 다만, 헤드‑테일 현상(초기와 최종 단계에서의 비정상적 변동)으로 인해 슬로프 모델이 완벽히 설명하지 못하는 부분이 존재한다는 점을 언급한다.

또한 저자들은 fplll 과 G6K 를 기반으로 한 모듈‑BKZ 구현을 공개했으며, 이는 현재까지 알려진 최초의 오픈소스 모듈‑BKZ 코드이다. 구현은 아직 최적화 단계에 있지 않지만, 다양한 수체와 파라미터에 대한 실험을 가능하게 하여 향후 연구에 중요한 인프라를 제공한다.

마지막으로, 이론적·실험적 결과를 암호학적 관점에서 해석한다. 전력‑2 수체를 사용하는 현재 NIST 표준(ML‑KEM, ML‑DSA 등)에서는 모듈‑BKZ가 블록 크기 면에서 손해를 보지만, 이는 블록 크기 자체를 크게 늘려 보정 가능하다는 점을 강조한다. 반면, 홀수 소인수를 포함한 수체(예: 2ⁱ·3ʲ 형태)에서는 실질적인 속도 향상이 기대되며, 이는 해당 수체를 이용한 새로운 암호 설계에 활용될 수 있다. 또한, 코히런트 임베딩과 캐노니컬 임베딩 사이의 변환 비용을 고려했을 때, 모듈‑BKZ의 슬로프 이득이 모듈 차원 r 에 대해 지수적으로 확대될 수 있음을 제시한다.