Polig-Hellmanův algoritmus

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 23. dubna 2020; kontroly vyžadují 2 úpravy .

Polyg-Hellmanův algoritmus (také nazývaný Silver-Polig-Hellmanův algoritmus ) je deterministický diskrétní logaritmický algoritmus v kruhu zbytků modulo prvočíslo . Jednou z vlastností algoritmu je, že pro prvočísla speciálního tvaru můžete najít diskrétní logaritmus v polynomiálním čase. [jeden]

Historie

Tento algoritmus vynalezl americký matematik Roland Silver , ale poprvé jej publikovali další dva američtí matematici Stephen Pohlig a Martin Hellman v roce 1978 v článku „ Vylepšený algoritmus pro výpočet logaritmů přes GF(p) a jeho kryptografický význam“ [2] , který vyvinul tento algoritmus nezávisle na Roland Silver. [3]

Počáteční údaje

Nechť je uvedeno srovnání

$a^{x}\equiv b{\pmod {p)),$

(jeden)

a rozklad čísla na prvočinitele je známý: $p-1$

p-1=\prod\limits_{i=1}^{k}q_i^{\alpha_i}.

(2)

Je nutné najít číslo , které vyhovuje srovnání (1). [čtyři] $x,\;0\leq x < p-1$

Myšlenka algoritmu

Podstatou algoritmu je, že stačí najít moduly pro všechny a pak lze najít řešení původního srovnání pomocí čínské věty o zbytku . Chcete-li najít pro každý z těchto modulů, musíte vyřešit srovnání: $X$ $q_i^{\alpha_i}$ $i$
$X$

(a^x)^{(p-1)/{q_i^{\alpha_i}}} \equiv b^{(p-1)/{q_i^{\alpha_i}}} \pmod{p}

. [5]

Popis algoritmu

Zjednodušená verze

Nejlepší způsob, jak se s tímto algoritmem vypořádat, je zvážit speciální případ, kdy . $p = 2^n + 1$

Je nám dáno , a zatímco existuje primitivní prvek a my potřebujeme najít ten , který vyhovuje . $A$ $p$ $b$ $A$ $GF(p)$ $X$ $a^x\equiv b\pmod{p}$

Předpokládá se, že , protože je k nerozeznání od , protože v našem případě má primitivní prvek podle definice stupeň , proto: $0\leq x \leq p-2$ $x=p-1$ $x=0$ $A$ $p-1$

a^{p-1}\ekviv 1\ekviv a^{0}\pmod{p}

Kdy je snadné určit pomocí binárního rozšíření s koeficienty , například: $p = 2^n + 1$ $X$ $\{q_0, q_1,\tečky, q_{n-1}\}$

x = \sum\limits_{i = 0}^{n-1}q_i2^i=q_{0} + q_{1}2^1 + \cdots + q_{n-1}2^{n-1}

Nejméně významný bit je určen zvýšením na mocninu a aplikací pravidla $q_{0}$ $b$ $(p-1)/2 = 2^{n-1}$

b^{(p-1)/2}\pmod{p}\equiv \begin{cases}+1, & q_0 = 0\\ -1, & q_0 = 1. \end{cases}

Odvození horního pravidla

Zvažte dříve získané srovnání :

a^{p-1}\equiv 1\pmod{p}\Rightarrow a^{(p-1)/2}\equiv\pm 1\pmod{p}

ale podle definice nabývá hodnoty jiné než , takže zbývá pouze jedno srovnání : $A$ $(p-1)/2 < p-1$ $jeden$

a^{(p-1)/2}\equiv -1\pmod{p}

Zvedněte srovnání (1) na mocninu a dosaďte srovnání získané výše: $(p-1)/2$

b^{(p-1)/2}\equiv (a^x)^{(p-1)/2}\equiv(a^{(p-1)/2})^x\equiv(-1 )^x\pmod{p}

Rovnost je pravdivá, pokud je sudá, to znamená, že v expanzi ve tvaru polynomu je volný člen roven , tedy platí, když . $(-1)^x=1$ $X$ $q_{0}$ $0$ $(-1)^x = -1$ $q_0 = 1$

Nyní transformujeme známý rozklad a zavedeme novou proměnnou : $z_{1}$

b\equiv a^x\equiv a^{x_1 + q_0}\pmod{p}\Rightarrow z_1\equiv ba^{-q_0}\equiv a^{x_1}\pmod{p}

kde

x_1 = \sum\limits_{i = 1}^{n-1}q_i2^i=q_{1}2^1 + q_{2}2^2 + \cdots + q_{n-1}2^{n -jeden}

Je jasné, že je dělitelné kdy , a kdy je dělitelné , ale už ne. $x_{1}$ $čtyři$ $q_1=0$ $q_1=1$ $2$ $čtyři$

Když budeme argumentovat jako předtím, dostaneme srovnání :

z_1^{(p-1)/4}\pmod{p}\equiv \begin{cases}+1, & q_1 = 0\\ -1, & q_1 = 1, \end{cases}

ze kterého najdeme . $q_{1}$

Zbývající bity se získají podobným způsobem. Napišme obecné řešení hledání s novým zápisem: $Qi}$

m_i=(p-1)/2^{i+1}

z_i\equiv b\cdot a^{-q_0 - q_{1}2^1 - \dots - q_{i-1}2^{i-1}}\equiv a^{x_i}\pmod{p}

kde

x_i = \sum\limits_{k = i}^{n-1}q_k2^k

Takže zvýšení na moc dává: $z_{i}$ $m_i$

z_i^{m_i} \equiv a^{(x_{i}\cdot m_i)}\equiv\left(a^{(p-1)/2}\right)^{(x_i/2^i)}\ equiv (-1)^{x_i/2^i}\equiv(-1)^{q_i}\pmod{p}

Tudíž:

z_i^{m_i}\pmod{p}\equiv \begin{cases}+1, & q_i = 0\\ -1, & q_i = 1, \end{cases}

ze kterého najdeme . $Qi}$

Po nalezení všech bitů získáme požadované řešení . [6] $X$

Příklad

Vzhledem k tomu:

a = 3,\;b = 11,\;p = 17 = 2^4 + 1

Nalézt:

X

Řešení:
Dostáváme . Vypadá to tedy takto: $p-1=2^4$ $X$

x = q_0 + q_{1}2^1 + q_{2}2^2 + q_{3}2^3

najdeme : $q_{0}$

b^{(p-1)/2} \equiv 11 ^ {(17 - 1)/2} \equiv 11 ^ {8} \equiv (-6) ^ 8 \equiv (36) ^ 4 \equiv 2 ^ 4 \equiv 16 \equiv -1 \pmod{17} \Šipka doprava q_0 = 1

Počítáme také : $z_{1}$ $m_1$

z_1 \equiv b\cdot a^{-q_0} \equiv 11\cdot 3 ^{-1} \equiv 11 \cdot 6 \equiv 66 \equiv -2 \pmod{17}

m_1 = (p-1)/2^{1+1}= (17 - 1)/2^2 = 4

najdeme : $q_{1}$

z_1^{m_1} \equiv (-2)^4 \equiv 16 \equiv -1 \pmod{17} \Šipka doprava q_1 = 1

Počítáme také : $z_{2}$ $m_2$

z_2 \equiv z_1 \cdot a^{-q_{1}2^1} \equiv (-2) \cdot 3^{-2} \equiv (-2) \cdot 6^2 \equiv (-2) \ cdot 36 \equiv (-2) \cdot 2 \equiv -4 \equiv 13 \pmod{17}

m_2 = (p-1)/2^{2+1}= (17 - 1)/2^3 = 2

najdeme : $q_{2}$

z_2^{m_2} \equiv 13 ^2 \equiv (-4) ^2 \equiv 16 \equiv -1 \pmod{17} \Rightarrow q_2 = 1

Počítáme také : $z_{3}$ $m_3$

z_3 \equiv z_2 \cdot a^{-q_{2}\cdot2^2} \equiv 13 \cdot 3^{-4} \equiv 13 \cdot 9^{-2} \equiv 13 \cdot 2^2 \ equiv (-4) \cdot 4 \equiv -16 \equiv 1 \pmod{17}

m_3 = (p-1)/2^{3+1}= (17 - 1)/2^4 = 1

najdeme : $q_{3}$

z_3^{m_3} \equiv 1 ^ 1 \equiv 1 \pmod{17} \Rightarrow q_3 = 0

Najděte, co hledáte : $X$

x = 1 + 1\cdot 2^1 + 1 \cdot 2^2 + 0 \cdot 2^3 \equiv 7

Odpovědět: $x=7$

Základní popis

Krok 1 (sestavení tabulky). Vytvořte tabulku hodnot , kde

\{r_{i,j}\}

r_{i,j}=a^{j\cdot\frac{p-1}{q_i}}, i\in\{1,\tečky,k\}, j\in\{0,\tečky,q_i -jeden\}.

Krok 2 (výpočet ).

\log_a{b}\;\bmod{q_i^{\alpha_i}}

Pro i od 1 do k : Nechat

x\equiv\log_a{b}\equiv x_0+x_1q_i+...+x_{\alpha_{i}-1}q_i^{\alpha_{i}-1}\pmod{q_i^{\alpha_i)),

kde

0\leq x_i\leq q_i-1

. Pak je srovnání správné:

a^{x_0\cdot\frac{p-1}{q_i}} \equiv b^{\frac{p-1}{q_i}} \pmod{p}

Špičkový srovnávací výstup

Zvedneme levou a pravou část srovnání (1) na mocninu : $(p-1)/q_i$

a^{x\cdot \frac{p-1}{q_i}} \equiv b ^ {\frac{p-1}{q_i}} \pmod{p}

Dosaďte a transformujte srovnání: $X$

a^{x_0 \cdot \frac{p-1}{q_i} + x_1\cdot(p-1) + x_2\cdot q_i \cdot(p-1) + \dots + x_{\alpha_i - 1} \cdot q_i^{\alpha_i - 2} \cdot (p-1)} \equiv b ^ {\frac{p-1}{q_i)) \pmod{p}

a^{x_0 \cdot \frac{p-1}{q_i}}\cdot a^{x_1\cdot(p-1)} \cdot a^{x_2\cdot q_i \cdot(p-1)} \cdot \dots \cdot a^{x_{\alpha_i - 1} \cdot q_i^{\alpha_i - 2} \cdot (p-1)} \equiv b ^ {\frac{p-1}{q_i)) \pmod {p}

Protože je primitivní prvek, proto srovnání tvaru: $A$

a^{m \cdot (p-1)} \equiv 1 \pmod{p},\;\forall m \in \{0,1, \dots, p-1\}

Dostaneme

a^{x_0 \cdot \frac{p-1}{q_i}}\cdot 1 \cdot 1 \cdot \dots \cdot 1 \equiv b ^ {\frac{p-1}{q_i}} \pmod{p }

a^{x_0\cdot\frac{p-1}{q_i}} \equiv b^{\frac{p-1}{q_i}} \pmod{p}

[čtyři] Pomocí tabulky sestavené v kroku 1 najdeme For j od 0 do

x_{0}.

\alpha_{i}-1

S ohledem na srovnání

a^{x_{j}\cdot\frac{p-1}{q_i}} \equiv (ba^{-x_0-x_1q_i...-x_{j-1}q_i^{j-1}})^ {\frac{p-1}{q_i^{j+1}}} \pmod{p}

Řešení najdete opět v tabulce Konec smyčky na j Konec smyčky na i Krok 3 (nalezení odpovědi). Hledání pro všechna i , najdeme podle čínské věty o zbytku . [7]

\log_a{b}\;\bmod{q_i^{\alpha_i}}

\log_a{b}\;\bmod\;(p-1)

Příklad

Je nutné najít diskrétní logaritmus k základu v , jinými slovy, najít pro: $28$ $2$ $GF(37)$ $X$

2^x \equiv 28 \pmod{37}

Najdeme rozklad . $\varphi(37) = 37 – 1 = 36 = 2^{2}\cdot3^{2}$

dostáváme . $q_{1} = 2, \alpha_{1} = 2, q_{2} = 3, \alpha_{2} = 2$

Vyrábíme stůl : $r_{{ij}}$

r_{20}\equiv 2^{0\cdot {\frac {37-1}{2}}}\equiv 1{\pmod {37}}

r_{21}\equiv 2^{1\cdot {\frac {37-1}{2}}}\equiv 2^{18}\equiv -1{\pmod {37}}

r_{30}\equiv 2^{0\cdot {\frac {37-1}{3}}}\equiv 1{\pmod {37}}

r_{31}\equiv 2^{1\cdot {\frac {37-1}{3))}\equiv 2^{12}\equiv 26{\pmod {37))

r_{32}\equiv 2^{2\cdot {\frac {37-1}{3))}\equiv 2^{24}\equiv 10{\pmod {37))

zvažujeme . Za pravdu: $q_{1} = 2$ $X$

x\equiv x_{0} + x_{1}q_{1} \pmod{q_{1}^{\alpha_i}} \equiv x_{0} + x_{1}\cdot 2 \pmod{2^2}

Ze srovnání zjistíme : $x_{{0}}$

a^{x_{0}\cdot\frac{p-1}{q_{1}}} \equiv b^{\frac{p-1}{q_{1}}} \pmod{p}\Rightarrow 2 ^{x_{0}\cdot\frac{37 - 1}{2}} \equiv 28^{\frac{37-1}{2}} \equiv 28^{18} \equiv 1 \pmod{37}

Z tabulky zjistíme, že pro výše uvedené srovnání platí. $x_{0}=0$

Ze srovnání zjistíme : $x_{1}$

a^{x_{1}\cdot\frac{p-1}{q_{i))} \equiv (b\cdot a^{-x_{0)))^{\frac{p-1}{q_ {i}^{2}}} \Rightarrow 2^{x_{1}\cdot\frac{37 - 1}{2}} \equiv (28 \cdot 2 ^ {-0}) ^ {\frac{37 -1}{4}} \equiv 28 ^{9} \equiv -1 \pmod{37}

Z tabulky dostáváme, že pro výše uvedené srovnání platí. najdeme : $x_{1} = 1$ $X$

x \equiv 0 + 1 \cdot 2 \equiv 2 \pmod{4}

Nyní zvažujeme . Za pravdu: $q_{2} = 3$ $X$

x \equiv x_{0} + x_{1}\cdot3 \pmod{3^2}

Analogicky najdeme : $x_{{0}}$ $x_{1}$

2^{x_0\cdot\frac{37 - 1}{3}} \equiv 28 ^ {\frac{37-1}{3}} \equiv 28^{12} \equiv 26 \pmod{37} \Rightarrow x_0 = 1

2^{x_1\cdot\frac{37 - 1}{3}} \equiv (28\cdot 2^{-1}) ^ {\frac{37 - 1}{3^2}} \equiv 14 ^ { 4} \equiv 10 \pmod{37} \Šipka doprava x_{1} = 2

Dostáváme : $X$

x \equiv 1 + 2 \cdot 3 \equiv 7\pmod{9}

Získáme systém:

\begin{cases} x \equiv 2 \pmod{4} \\ x \equiv 7 \pmod{9} \\ \end{cases}

Pojďme vyřešit systém. První srovnání transformujeme na rovnost, kterou dosadíme do druhého srovnání:

x = 2 + 4 \cdot t \Rightarrow 2 + 4\cdot t \equiv 7 \pmod{9} \Rightarrow 4\cdot t \equiv 5 \pmod{9} \Rightarrow

t \equiv 5\cdot (4)^{-1} \equiv 5 \cdot (-2) \equiv -10 \equiv 8 \pmod{9}

Nahradíme tím, co jsme našli, a získáme to, co hledáme : $t$ $X$

x \equiv 2 + 4 \cdot 8 \equiv 34 \pmod{36} \equiv 34 \pmod{37}

Odpověď: . [osm] $x=34$

Složitost algoritmu

Pokud je známa expanze (2), pak je složitost algoritmu

O\left(\sum\limits_{i=1}^{k}\alpha_{i}\left(\log_2{p} + q_{i}^{1 - r_i}(1 + \log_{2}{ q_{i}^{r_{i}}}})\vpravo)\vpravo)

, kde .

0\leq r_{i}\leq1

To vyžaduje trochu paměti. [9] $O\left(\log_2{p}\sum\limits_{i=1}^{k}\left(1 + p_i^{r_i}\right)\right)$

Obecně lze složitost algoritmu odhadnout také jako

O\left(\sum\limits_{i=1}^{k}\alpha_i q_i + \log{p}\vpravo)

. [deset]

Pokud se při zpracování každého q i použijí zrychlené metody (například Shanksův algoritmus ), pak se celkové skóre sníží na

O\left(\sum\limits_{i=1}^{k}\alpha_i \sqrt{q_i} + \log{p}\right)

V těchto odhadech se předpokládá, že aritmetické operace modulo p se provádějí v jednom kroku. Ve skutečnosti tomu tak není – například sčítání modulo p vyžaduje O (log p ) elementárních operací. Ale protože k podobným vylepšením dochází u jakéhokoli algoritmu, je tento faktor často vyřazen.

Polynomiální složitost

Když jsou primární faktory malé, pak složitost algoritmu lze odhadnout jako . [jedenáct] $\left\{q_{i}\right\}_{i=1}^{k}$ $O\left((\log_2p)^2\vpravo)$

Algoritmus má polynomiální složitost obecně v případě, kdy všechny prvočinitele nepřekročí , kde jsou kladné konstanty. [jeden] $O\left((\log p)^{c_1}\right)$ $\left\{q_{i}\right\}_{i=1}^{k}$ $(\log p)^{c_2}$
$c_1, c_2$

Příklad

Platí pro jednoduché druhy . $p$ $p=2^{\alpha} + 1,\;p=2^{\alpha_1}3^{\alpha_2} + 1$

Exponenciální složitost

Pokud existuje prvočinitel takový, že , kde . [jeden] $Qi}$ $q_i\geq p^{c}$ $c\geq 0$

Aplikace

Polig-Hellmanův algoritmus je extrémně účinný, když je rozložen na malé prvočinitele. To je velmi důležité vzít v úvahu při výběru parametrů kryptografických schémat. V opačném případě bude schéma nespolehlivé. $p-1$

Poznámka

Abyste mohli použít Polig-Hellmanův algoritmus, musíte znát faktorizaci. V obecném případě je problém faktorizace poměrně časově náročný, ale pokud jsou dělitelé čísla malí (ve smyslu výše uvedeném), pak lze toto číslo rychle faktorizovat i metodou postupného dělení. Tedy v případě, kdy je Polig-Hellmanův algoritmus efektivní, potřeba faktorizace problém nekomplikuje. $p-1$

Poznámky

↑ 1 2 3 Vasilenko, 2003 , s. 131.
↑ Pohlig a kol., 1978 .
↑ Odlyzko, 1985 , str. 7.
↑ 1 2 Koblitz, 2001 , str. 113.
↑ Koblitz, 2001 , str. 113-114.
↑ Pohlig a kol., 1978 , str. 108.
↑ Vasilenko, 2003 , s. 130-131.
↑ Koblitz, 2001 , str. 114.
↑ Odlyzko, 1985 , str. osm.
↑ Hoffstein et al, 2008 , str. 87.
↑ Pohlig a kol., 1978 , str. 109.

Literatura

v Rusku

N. Koblitz. Kurz teorie čísel a kryptografie . - M . : Vědecké nakladatelství TVP, 2001. - 254 s. (Ruština)
O. N. Vasilenko. Číselné teoretické algoritmy v kryptografii . - M. : MTSNMO, 2003. - 328 s. - 1000 výtisků. — ISBN 5-94057-103-4 . (Ruština) Archivováno 27. ledna 2007 na Wayback Machine

v angličtině

SC Pohlig a ME Hellman. Vylepšený algoritmus pro výpočet logaritmů přes GF(p) a jeho kryptografický význam // Transakce IEEE na teorii informací. - 1978. - Sv. 1 , ne. 24 . - str. 106-110 .
A. M. Odlyzko. Diskrétní logaritmy v konečných polích a jejich kryptografický význam // T.Beth , N.Cot, I.Ingemarsson Proc. workshopu EUROCRYPT 84 na téma Pokroky v kryptologii: teorie a aplikace kryptografických technik. - NY, USA: Springer-Verlag New York, 1985. - S. 224-314 . - ISBN 0-387-16076-0 . (nedostupný odkaz)
J. Hoffstein, J. Pipher, J. H. Silverman. Úvod do matematické kryptografie . - Springer, 2008. - 524 s. — ISBN 978-0-387-77993-5 .