Алгоритм исчисления порядка

Алгоритм исчисления порядка (index-calculus algorithm) — вероятностный алгоритм вычисления дискретного логарифма в кольце вычетов по модулю простого числа. На сложности нахождения дискретного логарифма основано множество алгоритмов связанных с криптографией. Так как для решения данной задачи с использованием больших чисел требуется большое количество ресурсов, предоставить которые не может ни один современный компьютер. Примером такого алгоритма является ГОСТ Р 34.10-2012.

История

Маурис Крайчик первым предложил основную идею данного алгоритма в своей книге «Théorie des Nombres» в 1922 году. После 1976 года задача дискретного логарифмирования становится важной для математики и криптоанализа. Это связано с созданием криптосистемы Диффи-Хелмана. В связи с этим в 1977 году Р.Меркле возобновил обсуждения данного алгоритма. Спустя два года он был впервые опубликован коллегами Меркеля. Наконец в 1979 году Адлерман оптимизировал его, исследовал трудоемкость и представил его в форме, которую мы знаем сейчас. В настоящее время алгоритм исчисления порядка и его улучшенные варианты дают наиболее быстрый способ вычисления дискретных логарифмов в некоторых конечных группах.

Постановка задачи дискретного логарифмирования

Для заданного простого числа ${\displaystyle p}$ и двух целых чисел ${\displaystyle g}$ и ${\displaystyle c}$ требуется найти целое число ${\displaystyle x}$, удовлетворяющее сравнению:

${\displaystyle g^{x}\equiv c\;{\pmod {p}},}$

где ${\displaystyle c}$ является элементом циклической группы ${\displaystyle G}$, порожденной элементом ${\displaystyle g}$.

Алгоритм

Вход: g — генератор циклической группы порядка n, a — из циклической подгруппы, p — простое число, c — параметр надёжности, обычно берут равным 10 или близкое к этому значению число (используется для реализации алгоритма на компьютере, если решает человек, то его не задают).

Задача: найти x такое, что ${\displaystyle g^{x}\equiv c}$.

1. Выбираем факторную базу S = {p₁, p₂, p₃, …, p_t} (Если G = Z^*_p, то база состоит из t первых простых чисел).
2. Возводим g в случайную степень k, где k такое, что ${\displaystyle 0\leqslant k<n}$. Получаем ${\displaystyle g^{k}}$.
3. Представляем g^k следующим образом:

   ${\displaystyle g^{k}=\prod _{i=1}^{t}p_{i}^{a_{i}},}$

   где ${\displaystyle a_{i}\geqslant 0}$ (то есть пытаемся разложить его по факторной базе). Если не получается, то возвращаемся ко 2-му пункту.

4. Из пункта 3 следует выражение

   ${\displaystyle k\equiv \sum _{i=1}^{t}a_{i}\log _{g}p_{i}\mod n,}$

   полученное путём логарифмирования (берётся сравнение по модулю порядка группы, так как мы работаем с показателем степени, а ${\displaystyle g^{n}\equiv 1}$ в группе G). В этом выражении неизвестны логарифмы. Их t штук. Необходимо получить таких уравнений t + c штук, если этого не возможно сделать, возвращаемся к пункту 2 (при реализации на компьютере) или получить необходимое количество уравнений, чтобы найти все неизвестные логарифмы (при решении человеком).

5. Решаем получившуюся систему уравнений, с t неизвестными и t + c сравнениями.
6. Выбираем случайное число k такое, что ${\displaystyle 0\leqslant k<n}$. Вычисляем ${\displaystyle cg^{k}}$.
7. Повторяем пункт 3, только для числа ${\displaystyle cg^{k}}$. Если не получается, то возвращаемся к 6-му пункту.
8. Аналогично пункту 4, получаем:

   ${\displaystyle x=\log _{g}c=\sum _{i=1}^{t}a_{i}\log _{g}p_{i}-k\mod n}$, где ${\displaystyle \log _{g}p_{i}}$ (${\displaystyle 1\leqslant i\leqslant t}$), где ${\displaystyle k=\log _{g}g^{k}\mod n}$. В этом пункте мы и решили задачу дискретного логарифма, отыскав ${\displaystyle x=\log _{g}c}$.

Выход: ${\displaystyle x=\log _{g}c}$.

Пример

Решить уравнение: ${\displaystyle 17\equiv 10^{x}\;(mod47)}$

Выбираем факторную базу ${\displaystyle S=\{2,3,5\}}$ Пусть k = 7 Вычисляем ${\displaystyle g^{k}}$

${\displaystyle k=1\;\;\;\;10^{1}mod47=10=2*5}$

${\displaystyle k=2\;\;\;\;10^{2}mod47\equiv 6=2*3}$

${\displaystyle k=3\;\;\;\;10^{3}mod47\equiv 13}$

${\displaystyle k=4\;\;\;\;10^{4}mod47\equiv 36=2*2*3*3}$

${\displaystyle k=5\;\;\;\;10^{5}mod47\equiv 31}$

${\displaystyle k=6\;\;\;\;10^{6}mod47\equiv 28=2*2*7}$

${\displaystyle k=7\;\;\;\;10^{7}mod47\equiv 45=3*3*5}$

Логарифмируем и обозначаем ${\displaystyle U_{i}=log_{g}p_{i}}$ И получаем систему уравнений ${\displaystyle \left\{{\begin{matrix}U_{1}+U_{3}=1\\U_{1}+U_{2}=2\\2U_{1}+2U_{2}=4\\2U_{2}+U_{3}=7\end{matrix}}\right.}$

Решаем её

${\displaystyle u_{2}={\frac {8}{3}}(mod46)=8*3^{-1}(mod46)=\{\varphi (46)=\varphi (2*23)\}=22=8*3^{21}(mod46)\equiv 18}$

Действительно, ${\displaystyle 10^{18}mod47\equiv 3}$, следовательно ${\displaystyle U_{1}=30}$, ${\displaystyle U_{2}=18}$, ${\displaystyle U_{3}=17}$

Находим k такое, чтобы ${\displaystyle cg^{k}={\displaystyle \prod _{i=1}^{t}p_{i}^{a_{i}}}}$

${\displaystyle 17*10^{1}(mod47)=29}$

${\displaystyle 17*10^{2}(mod47)=8=2*2*2}$

Следовательно ${\displaystyle k=2}$

Логарифмируем данное выражение и получаем

${\displaystyle log_{a}17=[(log_{a}2+log_{a}2+log_{a}2)-2]mod46=(3*30-2)mod46\equiv 42}$

Ответ: ${\displaystyle x=42}$

Сложность

В данном алгоритме, количество итераций зависит, как от размера p, так и от размера факторной базы. Но факторную базу мы выбираем заранее, и её размер является фиксированным. Поэтому итоговая сложность определяется только размером простого числа и равняется: ${\displaystyle O(c_{1}*2^{(c_{2}+o(1)){\sqrt {logp\;loglogp}}})}$ , где ${\displaystyle c_{1}}$,${\displaystyle c_{2}}$ — некоторые константы, зависящие от промежуточных вычислений, в частности, от выбора факторной базы.

Усовершенствования

Ускоренный алгоритм исчисления порядка, суть которого состоит в том, чтобы использовать таблицу индексов.

Сложность

Вычислительная сложность снижена до ${\displaystyle O(2log_{2}(p))}$, по сравнению с оригинальном алгоритмом.

См. также

• Дискретное логарифмирование
• Алгоритм Полига — Хеллмана
• Ρ-алгоритм Полларда
• Алгоритм COS

Ссылки

• http://refdb.ru/look/1629414-pall.html
• http://pratsi.opu.ua/app/webroot/articles/1414145386.pdf
• https://en.wikipedia.org/wiki/Index_calculus_algorithm

Эта страница в последний раз была отредактирована 22 ноября 2023 в 10:24.