Polig-Hellman algoritme

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 23. april 2020; checks kræver 2 redigeringer .

Polyg-Hellman-algoritmen (også kaldet Silver-Polig-Hellman-algoritmen ) er en deterministisk diskret logaritmealgoritme i ringen af rester modulo et primtal . Et af funktionerne ved algoritmen er, at for primtal af en speciel form, kan du finde den diskrete logaritme i polynomisk tid. [en]

Historie

Denne algoritme blev opfundet af den amerikanske matematiker Roland Silver , men blev først udgivet af to andre amerikanske matematikere Stephen Pohlig og Martin Hellman i 1978 i artiklen " En forbedret algoritme til at beregne logaritmer over GF(p) og dens kryptografiske betydning" [2] , som udviklede denne algoritme uafhængigt af Roland Silver. [3]

Indledende data

Lad sammenligning gives

$a^{x}\equiv b{\pmod {p)),$

(en)

og nedbrydningen af et tal i primfaktorer er kendt: $p-1$

p-1=\prod\limits_{i=1}^{k}q_i^{\alpha_i}.

(2)

Det er nødvendigt at finde et tal , der opfylder sammenligningen (1). [fire] $x,\;0\leq x < p-1$

Ideen med algoritmen

Essensen af algoritmen er, at det er nok at finde moduli for alle , og så kan løsningen på den originale sammenligning findes ved hjælp af den kinesiske restsætning . For at finde for hvert af disse moduler skal du løse sammenligningen: $x$ $q_i^{\alpha_i}$ $jeg$
$x$

(a^x)^{(p-1)/{q_i^{\alpha_i}}} \equiv b^{(p-1)/{q_i^{\alpha_i}}} \pmod{p}

. [5]

Beskrivelse af algoritmen

Forenklet version

Den bedste måde at håndtere denne algoritme på er at overveje det særlige tilfælde, hvor . $p = 2^n + 1$

Vi er givet , og mens der er et primitivt element, og vi skal finde et , der tilfredsstiller . $-en$ $s$ $b$ $-en$ $GF(p)$ $x$ $a^x\equiv b\pmod{p}$

Det antages , at da det ikke kan skelnes fra , fordi det primitive element i vores tilfælde pr. definition har en grad , derfor: $0\leq x \leq p-2$ $x=p-1$ $x=0$ $-en$ $p-1$

a^{p-1}\equiv 1\equiv a^{0}\pmod{p}

Hvornår er det let at bestemme ved binær ekspansion med koefficienter , for eksempel: $p = 2^n + 1$ $x$ $\{q_0, q_1,\dots, q_{n-1}\}$

x = \sum\limits_{i = 0}^{n-1}q_i2^i=q_{0} + q_{1}2^1 + \cdots + q_{n-1}2^{n-1}

Den mindst signifikante bit bestemmes ved at hæve til en potens og anvende reglen $q_{0}$ $b$ $(p-1)/2 = 2^{n-1}$

b^{(p-1)/2}\pmod{p}\equiv \begin{cases}+1, & q_0 = 0\\ -1, & q_0 = 1. \end{cases}

Afledning af den øverste regel

Overvej den tidligere opnåede sammenligning :

a^{p-1}\equiv 1\pmod{p}\Rightarrow a^{(p-1)/2}\equiv\pm 1\pmod{p}

men per definition antager en anden værdi end , så der er kun én sammenligning tilbage : $-en$ $(p-1)/2 < p - 1$ $en$

a^{(p-1)/2}\equiv -1\pmod{p}

Hæv sammenligningen (1) til en potens og erstat sammenligningen opnået ovenfor: $(p-1)/2$

b^{(p-1)/2}\equiv (a^x)^{(p-1)/2}\equiv(a^{(p-1)/2})^x\equiv(-1 )^x\pmod{p}

Ligheden er sand, hvis den er lige, det vil sige i udvidelsen i form af et polynomium, er det frie sigt lig , Derfor er det sandt, når . $(-1)^x=1$ $x$ $q_{0}$ $0$ $(-1)^x = -1$ $q_0 = 1$

Nu transformerer vi den kendte dekomponering og introducerer en ny variabel : $z_{1}$

b\equiv a^x\equiv a^{x_1 + q_0}\pmod{p}\Rightarrow z_1\equiv ba^{-q_0}\equiv a^{x_1}\pmod{p}

hvor

x_1 = \sum\limits_{i = 1}^{n-1}q_i2^i=q_{1}2^1 + q_{2}2^2 + \cdots + q_{n-1}2^{n -en}

Det er klart, at det er deleligt med hvornår , og hvornår er deleligt med , men ikke længere. $x_{1}$ $fire$ $q_1=0$ $q_1=1$ $2$ $fire$

Argumenterer som før, får vi sammenligningen :

z_1^{(p-1)/4}\pmod{p}\equiv \begin{cases}+1, & q_1 = 0\\ -1, & q_1 = 1, \end{cases}

hvorfra vi finder . $q_{1}$

De resterende bits opnås på lignende måde. Lad os skrive den generelle løsning for at finde med ny notation: $q_{i}$

m_i=(p-1)/2^{i+1}

z_i\equiv b\cdot a^{-q_0 - q_{1}2^1 - \dots - q_{i-1}2^{i-1}}\equiv a^{x_i}\pmod{p}

hvor

x_i = \sum\grænser_{k = i}^{n-1}q_k2^k

Så at hæve til en magt giver: $z_{i}$ $m_i$

z_i^{m_i} \equiv a^{(x_{i}\cdot m_i)}\equiv\left(a^{(p-1)/2}\right)^{(x_i/2^i)}\ ækvivalent (-1)^{x_i/2^i}\equiv(-1)^{q_i}\pmod{p}

Følgelig:

z_i^{m_i}\pmod{p}\equiv \begin{cases}+1, & q_i = 0\\ -1, & q_i = 1, \end{cases}

hvorfra vi finder . $q_{i}$

Efter at have fundet alle bits, får vi den nødvendige løsning . [6] $x$

Eksempel

Givet:

a = 3,\;b = 11,\;p = 17 = 2^4 + 1

Finde:

x

Løsning:
Vi får . Derfor ser det sådan ud: $p-1=2^4$ $x$

x = q_0 + q_{1}2^1 + q_{2}2^2 + q_{3}2^3

Vi finder : $q_{0}$

b^{(p-1)/2} \equiv 11 ^ {(17 - 1)/2} \equiv 11 ^ {8} \equiv (-6) ^ 8 \equiv (36) ^ 4 \equiv 2 ^ 4 \equiv 16 \equiv -1 \pmod{17} \Rightarrow q_0 = 1

Vi tæller også : $z_{1}$ $m_1$

z_1 \equiv b\cdot a^{-q_0} \equiv 11\cdot 3 ^{-1} \equiv 11 \cdot 6 \equiv 66 \equiv -2 \pmod{17}

m_1 = (p-1)/2^{1+1}= (17 - 1)/2^2 = 4

Vi finder : $q_{1}$

z_1^{m_1} \equiv (-2)^4 \equiv 16 \equiv -1 \pmod{17} \Rightarrow q_1 = 1

Vi tæller også : $z_{2}$ $m_2$

z_2 \equiv z_1 \cdot a^{-q_{1}2^1} \equiv (-2) \cdot 3^{-2} \equiv (-2) \cdot 6^2 \equiv (-2) \ cdot 36 \equiv (-2) \cdot 2 \equiv -4 \equiv 13 \pmod{17}

m_2 = (p-1)/2^{2+1}= (17 - 1)/2^3 = 2

Vi finder : $q_{2}$

z_2^{m_2} \equiv 13 ^2 \equiv (-4) ^2 \equiv 16 \equiv -1 \pmod{17} \Rightarrow q_2 = 1

Vi tæller også : $z_{3}$ $m_3$

z_3 \equiv z_2 \cdot a^{-q_{2}\cdot2^2} \equiv 13 \cdot 3^{-4} \equiv 13 \cdot 9^{-2} \equiv 13 \cdot 2^2 \ equiv (-4) \cdot 4 \equiv -16 \equiv 1 \pmod{17}

m_3 = (p-1)/2^{3+1}= (17 - 1)/2^4 = 1

Vi finder : $q_{3}$

z_3^{m_3} \equiv 1 ^ 1 \equiv 1 \pmod{17} \Rightarrow q_3 = 0

Find det du leder efter : $x$

x = 1 + 1\cdot 2^1 + 1 \cdot 2^2 + 0 \cdot 2^3 \equiv 7

Svar: $x=7$

Grundlæggende beskrivelse

Trin 1 (sammenstilling af tabellen). Lav en værditabel , hvor

\{r_{i,j}\}

r_{i,j}=a^{j\cdot\frac{p-1}{q_i}}, i\in\{1,\dots,k\}, j\in\{0,\dots,q_i -en\}.

Trin 2 (beregning ).

\log_a{b}\;\bmod{q_i^{\alpha_i}}

For i fra 1 til k : Lade

x\equiv\log_a{b}\equiv x_0+x_1q_i+...+x_{\alpha_{i}-1}q_i^{\alpha_{i}-1}\pmod{q_i^{\alpha_i)),

hvor

0\leq x_i\leq q_i-1

. Så er sammenligningen korrekt:

a^{x_0\cdot\frac{p-1}{q_i}} \equiv b^{\frac{p-1}{q_i}} \pmod{p}

Top sammenligningsoutput

Lad os hæve venstre og højre del af sammenligningen (1) til potensen : $(p-1)/q_i$

a^{x\cdot \frac{p-1}{q_i}} \equiv b ^ {\frac{p-1}{q_i}} \pmod{p}

Erstat og transformer sammenligningen: $x$

a^{x_0 \cdot \frac{p-1}{q_i} + x_1\cdot(p-1) + x_2\cdot q_i \cdot(p-1) + \dots + x_{\alpha_i - 1} \cdot q_i^{\alpha_i - 2} \cdot (p-1)} \equiv b ^ {\frac{p-1}{q_i)) \pmod{p}

a^{x_0 \cdot \frac{p-1}{q_i}}\cdot a^{x_1\cdot(p-1)} \cdot a^{x_2\cdot q_i \cdot(p-1)} \cdot \dots \cdot a^{x_{\alpha_i - 1} \cdot q_i^{\alpha_i - 2} \cdot (p-1)} \equiv b ^ {\frac{p-1}{q_i)) \pmod {p}

Fordi er et primitivt element, derfor sammenligninger af formen: $-en$

a^{m \cdot (p-1)} \equiv 1 \pmod{p},\;\forall m \in \{0,1, \dots, p-1\}

Vi får

a^{x_0 \cdot \frac{p-1}{q_i}}\cdot 1 \cdot 1 \cdot \dots \cdot 1 \equiv b ^ {\frac{p-1}{q_i}} \pmod{p }

a^{x_0\cdot\frac{p-1}{q_i}} \equiv b^{\frac{p-1}{q_i}} \pmod{p}

[fire] Ved hjælp af tabellen kompileret i trin 1 finder vi For j fra 0 til

x_{0}.

\alpha_{i}-1

Overvejer en sammenligning

a^{x_{j}\cdot\frac{p-1}{q_i}} \equiv (ba^{-x_0-x_1q_i...-x_{j-1}q_i^{j-1}})^ {\frac{p-1}{q_i^{j+1}}} \pmod{p}

Løsningen findes igen i tabellen End of loop on j End of loop on i Trin 3 (finde svaret). Finder vi alt i , finder vi ved den kinesiske restsætning . [7]

\log_a{b}\;\bmod{q_i^{\alpha_i}}

\log_a{b}\;\bmod\;(p-1)

Eksempel

Det er nødvendigt at finde den diskrete logaritme til basen i , med andre ord, find for: $28$ $2$ $GF(37)$ $x$

2^x \equiv 28 \pmod{37}

Vi finder en nedbrydning . $\varphi(37) = 37 - 1 = 36 = 2^{2}\cdot3^{2}$

Vi får . $q_{1} = 2, \alpha_{1} = 2, q_{2} = 3, \alpha_{2} = 2$

Vi laver et bord : $r_{{ij}}$

r_{20}\equiv 2^{0\cdot {\frac {37-1}{2}}}\equiv 1{\pmod {37}}

r_{21}\equiv 2^{1\cdot {\frac {37-1}{2}}}\equiv 2^{18}\equiv -1{\pmod {37}}

r_{30}\equiv 2^{0\cdot {\frac {37-1}{3}}}\equiv 1{\pmod {37}}

r_{31}\equiv 2^{1\cdot {\frac {37-1}{3))}\equiv 2^{12}\equiv 26{\pmod {37))

r_{32}\equiv 2^{2\cdot {\frac {37-1}{3))}\equiv 2^{24}\equiv 10{\pmod {37))

Vi overvejer . For sandt: $q_{1} = 2$ $x$

x\equiv x_{0} + x_{1}q_{1} \pmod{q_{1}^{\alpha_i}} \equiv x_{0} + x_{1}\cdot 2 \pmod{2^2}

Vi finder ved sammenligning: $x_{{0}}$

a^{x_{0}\cdot\frac{p-1}{q_{1}}} \equiv b^{\frac{p-1}{q_{1}}} \pmod{p}\Højrepil 2 ^{x_{0}\cdot\frac{37 - 1}{2}} \equiv 28^{\frac{37-1}{2}} \equiv 28^{18} \equiv 1 \pmod{37}

Ud fra tabellen finder vi, at sammenligningen ovenfor er sand. $x_{0}=0$

Vi finder ved sammenligning: $x_{1}$

a^{x_{1}\cdot\frac{p-1}{q_{i))} \equiv (b\cdot a^{-x_{0)))^{\frac{p-1}{q_ {i}^{2}}} \Rightarrow 2^{x_{1}\cdot\frac{37 - 1}{2}} \equiv (28 \cdot 2 ^ {-0}) ^ {\frac{37 -1}{4}} \equiv 28 ^{9} \equiv -1 \pmod{37}

Fra tabellen får vi, at ovenstående sammenligning er sand. Vi finder : $x_{1} = 1$ $x$

x \equiv 0 + 1 \cdot 2 \equiv 2 \pmod{4}

Nu overvejer vi . For sandt: $q_{2} = 3$ $x$

x \equiv x_{0} + x_{1}\cdot3 \pmod{3^2}

I analogi finder vi : $x_{{0}}$ $x_{1}$

2^{x_0\cdot\frac{37 - 1}{3}} \equiv 28 ^ {\frac{37-1}{3}} \equiv 28^{12} \equiv 26 \pmod{37} \Rightarrow x_0 = 1

2^{x_1\cdot\frac{37 - 1}{3}} \equiv (28\cdot 2^{-1}) ^ {\frac{37 - 1}{3^2}} \equiv 14 ^ { 4} \equiv 10 \pmod{37} \Rightarrow x_{1} = 2

Vi får : $x$

x \equiv 1 + 2 \cdot 3 \equiv 7\pmod{9}

Vi får systemet:

\begin{cases} x \equiv 2 \pmod{4} \\ x \equiv 7 \pmod{9} \\ \end{cases}

Lad os løse systemet. Vi forvandler den første sammenligning til lighed, som vi erstatter med den anden sammenligning:

x = 2 + 4 \cdot t \Rightarrow 2 + 4\cdot t \equiv 7 \pmod{9} \Rightarrow 4\cdot t \equiv 5 \pmod{9} \Rightarrow

t \equiv 5\cdot (4)^{-1} \equiv 5 \cdot (-2) \equiv -10 \equiv 8 \pmod{9}

Vi erstatter det, vi har fundet, og får det, vi leder efter : $t$ $x$

x \equiv 2 + 4 \cdot 8 \equiv 34 \pmod{36} \equiv 34 \pmod{37}

Svar :. [otte] $x=34$

Algoritmens kompleksitet

Hvis ekspansion (2) er kendt, så er kompleksiteten af algoritmen det

O\left(\sum\limits_{i=1}^{k}\alpha_{i}\left(\log_2{p} + q_{i}^{1 - r_i}(1 + \log_{2}{ q_{i}^{r_{i}}}})\right)\right)

, hvor .

0\leq r_{i}\leq1

Dette kræver en smule hukommelse. [9] $O\left(\log_2{p}\sum\limits_{i=1}^{k}\left(1 + p_i^{r_i}\right)\right)$

Generelt kan kompleksiteten af algoritmen også estimeres som

O\venstre(\sum\limits_{i=1}^{k}\alpha_i q_i + \log{p}\right)

. [ti]

Hvis der ved behandling af hver qi anvendes accelererede metoder (f.eks. Shanks-algoritmen ), så vil den samlede score falde til

O\venstre(\sum\limits_{i=1}^{k}\alpha_i \sqrt{q_i} + \log{p}\right)

I disse estimater antages det, at aritmetiske operationer modulo p udføres i et trin. Faktisk er dette ikke tilfældet - for eksempel kræver addition modulo p O (log p ) elementære operationer. Men da lignende justeringer finder sted for enhver algoritme, kasseres denne faktor ofte.

Polynomisk kompleksitet

Når primfaktorerne er små, kan kompleksiteten af algoritmen estimeres til . [elleve] $\left\{q_{i}\right\}_{i=1}^{k}$ $O\venstre((\log_2p)^2\højre)$

Algoritmen har polynomisk kompleksitet generelt i det tilfælde, hvor alle primfaktorer ikke overstiger , hvor er positive konstanter. [en] $O\venstre((\log p)^{c_1}\højre)$ $\left\{q_{i}\right\}_{i=1}^{k}$ $(\log p)^{c_2}$
$c_1, c_2$

Eksempel

Sandt for simple arter . $s$ $p=2^{\alpha} + 1,\;p=2^{\alpha_1}3^{\alpha_2} + 1$

Eksponentiel kompleksitet

Hvis der er en primær faktor, sådan at , hvor . [en] $q_{i}$ $q_i\geq p^{c}$ $c\geq 0$

Ansøgning

Polig-Hellman-algoritmen er ekstremt effektiv, når den dekomponeres i små primfaktorer. Dette er meget vigtigt at overveje, når du vælger parametrene for kryptografiske skemaer. Ellers vil ordningen være upålidelig. $p-1$

Bemærk

For at anvende Polig-Hellman-algoritmen skal du kende faktoriseringen. I det generelle tilfælde er faktoriseringsproblemet ret tidskrævende, men hvis divisorerne for et tal er små (i den forstand nævnt ovenfor), kan dette tal hurtigt faktoriseres selv ved successiv division. I det tilfælde, hvor Polig-Hellman-algoritmen er effektiv, komplicerer behovet for faktorisering ikke problemet. $p-1$

Noter

↑ 1 2 3 Vasilenko, 2003 , s. 131.
↑ Pohlig et al., 1978 .
↑ Odlyzko, 1985 , s. 7.
↑ 1 2 Koblitz, 2001 , s. 113.
↑ Koblitz, 2001 , s. 113-114.
↑ Pohlig et al., 1978 , s. 108.
↑ Vasilenko, 2003 , s. 130-131.
↑ Koblitz, 2001 , s. 114.
↑ Odlyzko, 1985 , s. otte.
↑ Hoffstein et al., 2008 , s. 87.
↑ Pohlig et al., 1978 , s. 109.

Litteratur

på russisk

N. Koblitz. Et kursus i talteori og kryptografi . - M . : Videnskabeligt forlag TVP, 2001. - 254 s. (Russisk)
O. N. Vasilenko. Talteoretiske algoritmer i kryptografi . - M. : MTSNMO, 2003. - 328 s. - 1000 eksemplarer. — ISBN 5-94057-103-4 . (Russisk) Arkiveret 27. januar 2007 på Wayback Machine

på engelsk

SC Pohlig og ME Hellman. En forbedret algoritme til beregning af logaritmer over GF(p) og dens kryptografiske betydning // IEEE-transaktioner på informationsteori. - 1978. - Bd. 1 , nr. 24 . - S. 106-110 .
A. M. Odlyzko. Diskrete logaritmer i endelige felter og deres kryptografiske betydning // T.Beth , N.Cot, I.Ingemarsson Proc. af EUROCRYPT 84-workshoppen om fremskridt inden for kryptologi: teori og anvendelse af kryptografiske teknikker. - NY, USA: Springer-Verlag New York, 1985. - S. 224-314 . - ISBN 0-387-16076-0 . (utilgængeligt link)
J. Hoffstein, J. Pipher, J.H. Silverman. En introduktion til matematisk kryptografi . - Springer, 2008. - 524 s. — ISBN 978-0-387-77993-5 .