이차 체

이차 체(Quadratic sieve, QS)는 어떤 큰 자연수 N을 소인수분해하기 위해 사용되는 소인수 분해 알고리즘으로, 양자컴퓨터가 상용화되었을 때 기준으로는 현재까지 발견된 알고리즘 중에서 3번째(쇼어 알고리즘, 수체 체 (General number field sieve))로 빠른 알고리즘이며 (양자컴퓨터를 제외하면 2번째), 수체 체의 기본이 되어 수체 체보다 더 간단한 알고리즘이다.

기본[편집]

이 알고리즘은 $x^{2}=y^{2}(mod\ n)$ 이고, $(x+y,n)$ 와 $(x-y,n)$ 이 $1$ 이나 $n$ 과 같지 않다면, $n=(x+y,n)*(x-y,n)$ 인 것을 개선한 것이다.

n

에 대한 소인수 분해 시간은 다음과 같다.

O\left(e^{\sqrt {\log n\log \log n}}\right)=L_{n}\left[{1 \over 2},1\right]

알고리즘[편집]

이 알고리즘은 다음과 같이 진행된다. $y(x)=\left(\left\lfloor {\sqrt {n}}\right\rfloor +x\right)^{2}-n$ 인 함수 $y(x)$ 를 정의한다. 이때, 이 함수는 달라질 수도 있다.

그 다음, $x^{2}\ \equiv \ p{\pmod {n}}$ 인 소수 $p$ (제곱잉여)를 $\lceil \ln(\lceil {\sqrt {x}}\rceil ^{2}-x)\rceil$ 개 모은다.

그 다음, $x^{2}\ \equiv \ n{\pmod {p}}$ 를 만족하는 자연수 $x$ 를 구한다.

그 다음, 행렬이나 방정식을 이용하여 완전제곱수가 되게 하는 곱을 구한다. 그리고 그것들을 곱해 완전제곱꼴이 되도록 한 후 gcd(x+y, n), gcd(x-y, n)을 구하면 된다.

예시[편집]

1. N=667을 소인수분해하고 싶다고 하자. 그러면, 우리는 p를 $\lceil \ln(\lceil {\sqrt {667}}\rceil ^{2}-667)\rceil =3$ 개 구해야 한다. 여기서 p는 $\left({\frac {N}{p}}\right)=1$ 라는 조건을 만족하는 소수이다. 여기서 식의 좌변의 기호는 야코비 기호이며, 이 경우에 p의 값은 2, 3, 7이 된다. 여기서 N이 홀수이면 p에는 2가 반드시 포함된다.

2. 이차 체의 범위를 정한다. 667처럼 작은 수를 소인수분해하는 경우에는 위-아래로 8개의 수 정도만 고려해도 충분하다. 즉, 여기서 n의 값의 범위는 밑의 표에 나오는 17부터 33까지이며, 이 범위는 $\lfloor {\sqrt {667}}\rfloor \pm 8=17,33$ 에 의해서 나온 것이다. 참고로 이 범위는 수의 크기가 커짐에 따라 많이 달라지게 된다.

3. 2번에서 구한 범위 내에 있는 정수에 대해 (정수의 값)²-N의 값이 p의 값들로만 완전히 소인수분해되는지, 즉 (정수의 값)²-N이 p-smooth인지 확인한다. 이 부분에서 p의 값들로만 완전히 소인수분해되는 정수들을 모은다. 실제로는 이 부분에서 (정수)²-N을 완전히 소인수분해할 필요는 없고 2, 3, 7로 계속 나누어 보아 더 이상 나누어떨어지지 않을 때까지 나누면 된다. 만약 계속 나눠 1이 된 경우 이 수는 p의 값들로 완전히 소인수분해되는 것이고, 더 이상 나눌 수 없는데 이 값이 1보다 클 경우 이 수는 p의 값으로 완전히 소인수분해되지 않는 것이다. 이 경우, 이차 체는 다음과 같이 진행된다.

이차 체
x_r	n	n²-N (n²-667)	2로 나누어지는 횟수	3으로 나누어지는 횟수	7로 나누어지는 횟수	2, 3, 7로 완전히 소인수분해가 되는가?
x₁	17	-378	1	3	1	네
x₂	18	-343	0	0	3	네
x₃	19	-306	1	2	0	아니오
x₄	20	-267	0	1	0	아니오
x₅	21	-226	1	0	0	아니오
x₆	22	-183	0	1	0	아니오
x₇	23	-138	1	1	0	아니오
x₈	24	-91	0	0	1	아니오
x₉	25	-42	1	1	1	네
x₁₀	26	9	0	2	0	네
x₁₁	27	62	1	0	0	아니오
x₁₂	28	117	0	2	0	아니오
x₁₃	29	174	1	1	0	아니오
x₁₄	30	233	0	0	0	아니오
x₁₅	31	294	1	1	2	네
x₁₆	32	357	0	1	1	아니오
x₁₇	33	422	1	0	0	아니오

4. 2, 3, 7로 완전히 소인수분해되는 수의 n값에 대해, p로 나누어지는 횟수들을 모은 행렬 (위에 나와 있는 부분 중 '네'라고 있는 부분만 뽑아 모은 행렬)을 만들고 그 행렬의 각 성분에 대하여 2로 나눈 나머지로 바꾼다. 여기서 2로 나눈 나머지를 구한 행렬을 전치한 행렬을 구한다. 이 예시의 경우에는, 행렬은 ${\begin{pmatrix}1&3&1\\0&0&3\\1&1&1\\0&2&0\\1&1&2\end{pmatrix}}$ 가 되며,

17은 (1, 3, 1)에, 18은 (0, 0, 3)에, ... 이런 식으로 대응한다. 이 행렬의 각 성분을 2로 나눈 나머지를 모은 행렬을 구하면 ${\begin{pmatrix}1&1&1\\0&0&1\\1&1&1\\0&0&0\\1&1&0\end{pmatrix}}$ 가 되고, 이 행렬을 전치하면 ${\begin{pmatrix}1&0&1&0&1\\1&0&1&0&1\\1&1&1&0&0\end{pmatrix}}$ 이 된다.

5. 전치한 행렬과 곱하고 각 성분을 2로 나눈 나머지로 바꿨을 때 열이 하나밖에 없는 제로벡터가 나오도록 하는 행렬 v^T를 구하고, 이 행렬 v^T를 전치하여 행이 하나인 행렬 v를 구한다. 이 예시의 경우, ${\begin{pmatrix}1&0&1&0&1\\1&0&1&0&1\\1&1&1&0&0\end{pmatrix}}\cdot v^{T}={\begin{pmatrix}0\\0\\0\end{pmatrix}}{\pmod {2}}$ 가 되고, 이때 행렬 $v^{T}$ 를 구하면 ${\begin{pmatrix}0\\0\\0\\1\\0\end{pmatrix}}$ 이 된다. (이 부분에서, 행렬 v^T로는 여러 행렬이 가능할 수도 있다) 이제 이 행렬을 전치하면 $v={\begin{pmatrix}0&0&0&1&0\\\end{pmatrix}}$ 이 된다.

6. v의 성분들 중에 1인 곳들을 찾고, 그 부분에 대응하는 n의 값을 순서대로 각각 a_r이라 한다. 이때, $x=a_{1}a_{2}a_{3}\cdots a_{r}{\pmod {N}}$ , $y={\sqrt {(a_{1}^{2}-N)\cdot (a_{2}^{2}-N)\cdots (a_{r}^{2}-N)}}$ 이라는 공식을 이용해서 x와 y의 값을 구한다. 이 예시의 경우, x=a₁=26이 되고, y=(a₁²-667)^1/2=(26²-667)^1/2=3이 된다.

7. 이때, x²≡y² (mod N)이라는 관계식이 성립하게 된다. 따라서 N의 약수는 gcd(x-y, N), gcd(x+y, N)이 되며, N=gcd(x-y, N) ⋅ gcd(x+y, N)이 된다. 예시의 경우, N=667=gcd(26-3, 667) ⋅ gcd(26+3, 667)=23 ⋅ 29가 된다.

실제로 이렇게 작은 수를 소인수분해할 때에는 이차 체 알고리즘은 효율적이지 않다. 667처럼 작은 수의 경우에는 폴라드 로 알고리즘이나 직접 나누기, 또는 폴라드의 p-1 알고리즘을 더 많이 사용하며, 보통 이차 체는 50자리가 넘고 약수가 2개 있는 수를 소인수분해할 때 쓰인다.

활용[편집]

이차 체 알고리즘은 발견 당시에는 다른 알고리즘들에 비해서 매우 빠른 알고리즘이었기 때문에 큰 수를 소인수분해할 때 많이 쓰였으며, 요즘에는 렌스트라의 타원곡선 알고리즘 (ECM, Elliptic Curve Method)을 특정 크기 미만의 약수들을 모두 구하게 하여 약수가 2개밖에 없는 것이 확인되거나 2개가 될 때까지 나눈 후 이 알고리즘을 적용한다. 보통 두 약수의 크기가 비슷할 때 잘 작동하며, 100자리 이상의 정수를 소인수분해할 때에는 수체 체 (GNFS, General Number Field Sieve) 알고리즘을 더 많이 사용한다. 또한 RSA-129를 소인수분해할 때 이 알고리즘을 조금 더 확장하여 여러 개의 함수를 이용하는 (f(x)=x²-N 이외에 여러 함수를 사용한다) 다중 함수 이차 체 (MPQS, Multiple Polynomial Quadratic Sieve)를 사용하기도 했다.

같이 보기[편집]

타원곡선 알고리즘

v t e 수론 알고리즘
소수판별법	AKS · APR · 베일리–PSW · ECPP · 페르마 · 뤼카 · 포클링턴 · 뤼카-레머 · 뤼카–레머–리젤 · 프로트의 정리 · 페팽 · 밀러-라빈 · 솔로바이-슈트라센
소인수분해 알고리즘	연분수 · 타원곡선 · 오일러 · 폴라드 로 · p-1 · p+1 · 이차 체 · 수체 체 · 특수 수체 체 · 페르마 · 섕크스 · 쇼어
곱셈 알고리즘	고대 이집트 곱셈법 · 카라추바 알고리즘 · 톰-쿡 알고리즘 · 쇤하게-슈트라센 알고리즘 · 퓌러 알고리즘
이산 로그 알고리즘	아기 걸음 거인 걸음 · 폴라드 로 · 폴라드 캥거루 · Pohlig–Hellman 알고리즘
최대공약수 알고리즘	이진 최대공약수 알고리즘 · 유클리드 호제법 · 확장된 유클리드 호제법
굵은것은 소수 판별법 중 결정론적 알고리즘을 가리킨다.