Алгоритм исчисления порядка

Алгоритм исчисления порядка (index-calculus algorithm) — вероятностный алгоритм вычисления дискретного логарифма в кольце вычетов по модулю простого числа. На сложности нахождения дискретного логарифма основано множество алгоритмов связанных с криптографией. Так как для решения данной задачи с использованием больших чисел требуется большое количество ресурсов, предоставить которые не может ни один современный компьютер. Примером такого алгоритма является ГОСТ Р 34.10-2012.

Маурис Крайчик первым предложил основную идею данного алгоритма в своей книге «Théorie des Nombres» в 1922 году. После 1976 года задача дискретного логарифмирования становится важной для математики и криптоанализа. Это связано с созданием криптосистемы Диффи-Хелмана. В связи с этим в 1977 году Р.Меркле возобновил обсуждения данного алгоритма. Спустя два года он был впервые опубликован коллегами Меркеля. Наконец в 1979 году Адлерман оптимизировал его, исследовал трудоемкость и представил его в форме, которую мы знаем сейчас. В настоящее время алгоритм исчисления порядка и его улучшенные варианты дают наиболее быстрый способ вычисления дискретных логарифмов в некоторых конечных группах.

Для заданного простого числа ${\displaystyle p}$ и двух целых чисел ${\displaystyle g}$ и ${\displaystyle c}$ требуется найти целое число ${\displaystyle x}$, удовлетворяющее сравнению:Шаблон:Формула

где ${\displaystyle c}$ является элементом циклической группы ${\displaystyle G}$, порожденной элементом ${\displaystyle g}$.

Вход: g — генератор циклической группы порядка n, a — из циклической подгруппы, p — простое число, c — параметр надёжности, обычно берут равным 10 или близкое к этому значению число (используется для реализации алгоритма на компьютере, если решает человек, то его не задают).

Задача: найти x такое, что ${\displaystyle g^x\equiv c}$.

1. Выбираем факторную базу S = {p₁, p₂, p₃, …, p_t} (Если G = Z^*_p, то база состоит из t первых простых чисел).
2. Возводим g в случайную степень k, где k такое, что ${\displaystyle 0⩽k<n}$. Получаем ${\displaystyle g^k}$.
3. Представляем g^k следующим образом:

   ${\displaystyle g^k={\displaystyle \prod _{i=1}^t}{p}_i^{a_i},}$

   где ${\displaystyle a_i⩾0}$ (то есть пытаемся разложить его по факторной базе). Если не получается, то возвращаемся ко 2-му пункту.

4. Из пункта 3 следует выражение

   ${\displaystyle k\equiv {\displaystyle \sum _{i=1}^t}{a}_i{\log }_g{p}_{i}modn,}$

   полученное путём логарифмирования (берётся сравнение по модулю порядка группы, так как мы работаем с показателем степени, а ${\displaystyle g^n\equiv 1}$ в группе G). В этом выражении неизвестны логарифмы. Их t штук. Необходимо получить таких уравнений t + c штук, если этого не возможно сделать, возвращаемся к пункту 2 (при реализации на компьютере) или получить необходимое количество уравнений, чтобы найти все неизвестные логарифмы (при решении человеком).

5. Решаем получившуюся систему уравнений, с t неизвестными и t + c сравнениями.
6. Выбираем случайное число k такое, что ${\displaystyle 0⩽k<n}$. Вычисляем ${\displaystyle c{g}^k}$.
7. Повторяем пункт 3, только для числа ${\displaystyle c{g}^k}$. Если не получается, то возвращаемся к 6-му пункту.
8. Аналогично пункту 4, получаем:

   ${\displaystyle x={\log }_{g}c={\displaystyle \sum _{i=1}^t}{a}_i{\log }_g{p}_i-kmodn}$, где ${\displaystyle {\log }_g{p}_i}$ (${\displaystyle 1⩽i⩽t}$), где ${\displaystyle k={\log }_g{g}^{k}modn}$. В этом пункте мы и решили задачу дискретного логарифма, отыскав ${\displaystyle x={\log }_{g}c}$.

Выход: ${\displaystyle x={\log }_{g}c}$.

Решить уравнение: ${\displaystyle 17\equiv 10^x(mod47)}$

Выбираем факторную базу ${\displaystyle S=\{2,3,5\}}$ Пусть k = 7 Вычисляем ${\displaystyle g^k}$

${\displaystyle k=110^{1}mod47=10=2*5}$

${\displaystyle k=210^{2}mod47\equiv 6=2*3}$

${\displaystyle k=310^{3}mod47\equiv 13}$

${\displaystyle k=410^{4}mod47\equiv 36=2*2*3*3}$

${\displaystyle k=510^{5}mod47\equiv 31}$

${\displaystyle k=610^{6}mod47\equiv 28=2*2*7}$

${\displaystyle k=710^{7}mod47\equiv 45=3*3*5}$

Логарифмируем и обозначаем ${\displaystyle U_i=lo{g}_g{p}_i}$ И получаем систему уравнений ${\displaystyle \{\begin{array}{c}{U}_1+U_3=1\\ U_1+U_2=2\\ 2U_1+2U_2=4\\ 2U_2+U_3=7\end{array}}$

Решаем её

${\displaystyle u_2=\frac{8}{3}(mod46)=8*3^{-1}(mod46)=\{\phi (46)=\phi (2*23)\}=22=8*3^{21}(mod46)\equiv 18}$

Действительно, ${\displaystyle 10^{18}mod47\equiv 3}$, следовательно ${\displaystyle U_1=30}$, ${\displaystyle U_2=18}$, ${\displaystyle U_3=17}$

Находим k такое, чтобы ${\displaystyle c{g}^k={\displaystyle {\displaystyle \prod _{i=1}^t}{p}_i^{a_i}}}$

${\displaystyle 17*10^1(mod47)=29}$

${\displaystyle 17*10^2(mod47)=8=2*2*2}$

Следовательно ${\displaystyle k=2}$

Логарифмируем данное выражение и получаем

${\displaystyle lo{g}_{a}17=[(lo{g}_{a}2+lo{g}_{a}2+lo{g}_{a}2)-2]mod46=(3*30-2)mod46\equiv 42}$

Ответ: ${\displaystyle x=42}$

В данном алгоритме, количество итераций зависит, как от размера p, так и от размера факторной базы. Но факторную базу мы выбираем заранее, и её размер является фиксированным. Поэтому итоговая сложность определяется только размером простого числа и равняется: ${\displaystyle O(c_1*2^{(c_2+o(1))\sqrt{logploglogp}})}$ , где ${\displaystyle c_1}$,${\displaystyle c_2}$ — некоторые константы, зависящие от промежуточных вычислений, в частности, от выбора факторной базы.

Ускоренный алгоритм исчисления порядка, суть которого состоит в том, чтобы использовать таблицу индексов.

Вычислительная сложность снижена до ${\displaystyle O(2lo{g}_2(p))}$, по сравнению с оригинальном алгоритмом.

• Дискретное логарифмирование
• Алгоритм Полига — Хеллмана
• Ρ-алгоритм Полларда
• Алгоритм COS

• http://refdb.ru/look/1629414-pall.html
• http://pratsi.opu.ua/app/webroot/articles/1414145386.pdf

Шаблон:Rq