순열군 이중코셋 멤버십 문제와 완전 영지식 증명

본 논문은 순열군에서 정의되는 이중코셋 멤버십(Double Coset Membership, DCM) 문제에 대해 완전 영지식(zero‑knowledge) 증명 시스템을 제시한다. 먼저 저자는 DCM 문제를 “σ ∈ G τ H” 혹은 동등하게 “s ∈ G H” 형태로 정의하고, 입력은 순열 σ, τ와 두 순열군 G, H이며, 이들 모두 같은 차원 m의 대칭군 Sₘ의 부분군이다. DCM은 Luks가 처음 제시한 문제이며, NP에 속하지만 현재 알려진 다항식 시간 알고리즘은 존재하지 않는다. 특히 그래프 동형성(Graph Isomorphism, GI) 문제가 DCM에 다항식 시간으로 환원될 수 있음을 보이며, GI가 아직 P와 NP‑complete 사이에 위치한다는 점에서 DCM 역시 동일한 복잡도 지위를 가진다. 반면 DCM은 coAM에 포함된다는 결과가 알려져 있어, NP‑완전성은 매우 낮은 가능성으로 평가된다. 논문은 영지식 증명의 형식적 정의를 상세히 서술한다. 언어 L을 {0,1}* 위의 집합으로 두고, DCM을 L = { (s,G,H) : s ∈ G H } 로 인코딩한다. 인터랙티브 증명 시스템(IPS)은 다항식 시간 베리파이어 V와 무제한 계산 능력을 가진 프로버 P로 구성되며, 공개‑코인(public‑coin) 모델을 채택한다. 오류 ε(n)은 무시 가능함을 가정하고, 완전 영지식은 모든 다항식 시간 베리파이어 V*에 대해 시뮬레이터 M_{V*}가 동일한 뷰(view)를 기대 다항식 시간 내에 생성할 수 있음을 의미한다. 주요 기여는 3라운드 공개‑코인 IPS의 설계이다. 프로버는 무작위 g∈G와 h∈H를 선택하고 t = g s h를 계산해 베리파이어에게 전송한다. 베리파이어는 t가 올바른 차원의 순열인지 검증하고, 무작위 비트 b∈{0,1}을 보내며 라운드를 진행한다. b=0이면 프로버는 원래의 g와 h를 공개하고, 베리파이어는 g∈G, h∈H 및 t = g s h를 확인한다. b=1이면 프로버는 s를 g₀ h₀ 형태로 분해(가능하면)하고, g₁ = g g₀, h₁ = h₀ h를 계산해 전송한다. 베리파이어는 g₁∈G, h₁∈H 및 t = g₁ h₁를 검증한다. 정직한 프로버가 존재할 경우 베리파이어는 항상 1을 출력하고, 사기 프로버가 존재하면 최소 한 라운드에서 검증에 실패하므로 전체 성공 확률은 ≤1/2, 즉 일방향 오류 1/2를 가진다. 완전 영지식성을 증명하기 위해 시뮬레이터는 동일한 확률 분포를 직접 생성한다. 시뮬레이터는 무작위 비트 b와 무작위 g′∈G, h′∈H를 선택하고, b에 따라 t를 t = g′ s h′ (b=0) 혹은 t = g′ h′ (b=1) 로 정의한다. 이렇게 생성된 (b, t, g′, h′)는 실제 프로버와 베리파이어 사이의 뷰와 완전히 동일한 분포를 갖는다. 시뮬레이터는 기대 다항식 시간 내에 동작하므로, 제시된 IPS는 honest‑verifier perfect zero‑knowledge(public‑coin, 3라운드, 오류 1/2)임이 증명된다. 논문은 또한 이 프로토콜이 그래프 동형성 문제에 대한 영지식 증명으로 전이될 수 있음을 언급한다. 그래프 동형성은 DCM에 다항식 시간으로 환원되므로, DCM에 대한 영지식 증명은 GI에 대한 영지식 증명도 제공한다는 의미다. 마지막으로, DCM이 PZK에 속함을 보임으로써, DCM이 coAM에 포함된 기존 결과와 일치하고, 복잡도 이론에서 DCM이 NP‑완전이 아님을 다시 한 번 확인한다. 이 연구는 그룹 이론 문제에 영지식 기법을 적용한 최초 사례 중 하나이며, 암호학적 프로토콜 설계와 복잡도 구분에 새로운 시각을 제공한다.