ЗАРОЖДЕНИЕ КРИПТОГРАФИИ
         

Дискретное логарифмирование


Пусть  - нечетное простое число. Еще Эйлер знал, что мультипликативная группа кольца циклична, т.е. существуют такие целые числа , что сравнение

(22)

разрешимо относительно при любом , не делящемся на . Числа с этим свойством называются первообразными корнями, и количество их равно , где  - функция Эйлера. Целое , удовлетворяющее сравнению (), называется индексом или дискретным логарифмом числа .

В разделе  мы описали алгоритм, позволяющий по заданному числу достаточно быстро вычислять . Обратная же операция - вычисление по заданному его дискретного логарифма, вообще говоря, является очень сложной в вычислительном отношении задачей. Именно это свойство дискретного логарифма и используется в его многочисленных криптографических применениях (см. главу ). Наиболее быстрые (из известных) алгоритмы решения этой задачи, основанные на так называемом методе решета числового поля, требуют выполнения

арифметических операций (см. []), где  - некоторая положительная постоянная. Это сравнимо со сложностью наиболее быстрых алгоритмов разложения чисел на множители. Конечно, указанная оценка сложности получена при условии справедливости ряда достаточно правдоподобных гипотез.

Говоря о сложности задачи дискретного логарифмирования, мы имели в виду ``общий случай''. Ведь и большое целое число легко может быть разложено на простые сомножители, если все эти сомножители не очень велики. Известен алгоритм, позволяющий быстро решать задачу дискретного логарифмирования, если есть произведение малых простых чисел.

Пусть  - простое число, делящее . Обозначим

, тогда классы вычетов все различны и образуют полное множество решений уравнения в поле

. Если не велико и целое число удовлетворяет сравнению



, то показатель , , легко может быть найден, например, с помощью перебора. Именно на этом свойстве основан упомянутый выше алгоритм.

Допустим, что , . Алгоритм последовательно строит целые числа , , для которых выполняется сравнение


(23)
Так как выполняется сравнение

, то найдется целое число , для которого

. При таком выборе сравнение () с , очевидно, выполняется. Предположим, что найдено число , удовлетворяющее сравнению (). Тогда определим с помощью сравнения

(24)
и положим . Имеют место сравнения

(25)
означающие справедливость () при .

При сравнение () означает в силу (), что

. Целое число есть первообразный корень по модулю , поэтому имеем

и

Если

, где все простые числа малы, то указанная процедура позволяет найти вычеты

, , и, с помощью китайской теоремы об остатках, вычет , т.е. решить сравнение ().

В случае обычных логарифмов в поле действительных чисел имеется специальное основание , позволяющее достаточно быстро вычислять логарифмы с произвольной точностью. Например, это можно делать с помощью быстро сходящегося ряда

(26)
Логарифмы по произвольному основанию могут быть вычислены с помощью тождества

(27)
В случае дискретных логарифмов нет основания, по которому логарифмы вычислялись бы столь же быстро, как натуральные в поле действительных чисел. Вместе с тем, последняя формула, связывающая логарифмы с различными основаниями, остается справедливой и позволяет выбирать основание удобным способом. Единственное условие для этого состоит в том, чтобы логарифм нового основания был взаимно прост с . Тогда в формуле () возможно деление по модулю . Заметим, что это условие будет выполнено, если и только если  - первообразный корень. Из расширенной гипотезы Римана следует, что наименьший первообразный корень по модулю ограничен величиной . Поэтому в дальнейшем для простоты изложения мы будем предполагать, что основание в () невелико, именно .

Так как поле неполно, вычисление дискретных логарифмов не может использовать предельный переход и основано на иных принципах. Прежде всего, нужный дискретный логарифм вычисляется не сам по себе, а вместе с совокупностью логарифмов ряда других чисел. Заметим, что всякое сравнение вида




(28)
где , приводит к соотношению между логарифмами

(29)
А если выполняются сравнения

то

(30)
и

(31)
Имея достаточно много векторов , с условием (), можно найти решение соответствующей системы сравнений (), (). Если эта система имеет единственное решение, то им как раз и будет набор логарифмов

. Затем с помощью () можно найти .

Мы опишем ниже реализацию этой идеи, взятую из работы []. Эвристические соображения позволили авторам [] утверждать, что предложенный ими алгоритм требует , где

, арифметических операций для вычисления .

Положим

Тогда выполняется сравнение

(32)
Если числа не очень велики, скажем

при некотором 0$" width="41" height="28" >, то правая часть сравнения () не превосходит

. Можно доказать, что случайно выбранное натуральное число

, с вероятностью большей, чем .

Обозначим через совокупность всех простых чисел при

. Будем теперь перебирать случайным образом числа и для каждой такой пары пытаться разложить на множители соответствующее выражение из правой части (). Для разложения можно воспользоваться, например, делением на все простые числа, меньшие чем . Перебрав все

указанных пар , мы найдем, как это следует из указанных выше вероятностных соображений, не менее

(33)
пар, для которых правая часть сравнения () полностью раскладывается на простые сомножители, меньшие . Сравнение (), таким образом, принимает вид (). Так строится система уравнений типа ().

Напомним, что число , согласно нашему предположению, существенно меньше, чем . Поэтому оно раскладывается в произведение простых чисел, входящих в множество

, и это приводит к сравнению ().

Заметим, что количество () найденных сравнений типа () превосходит число . Следовательно, построенная система неоднородных линейных сравнений относительно содержит сравнений больше, чем неизвестных. Конечно, множество ее решений может при этом быть бесконечным. Одна из правдоподобных гипотез состоит в том, что система все-таки имеет единственное решение, и, решив ее, можно определить дискретные логарифмы всех чисел . На этом завершается первый этап работы алгоритма из [].




Как было отмечено, каждое из чисел, стоящих в правой части сравнения (), не превосходит . Поэтому оно раскладывается в произведение не более простых сомножителей и, следовательно, каждое из сравнений () построенной системы содержит лишь отличных от нуля коэффициентов. Матрица системы сравнений будет разреженной, что позволяет применять для ее решения специальные методы с меньшей оценкой сложности, чем обычный гауссов метод исключения переменных.

Вместо перебора всех допустимых значений в [] предлагается использовать так называемое решето, отбрасывающее все пары этих чисел, для которых правая часть () заведомо не раскладывается в произведение малых простых сомножителей. Для каждого и каждой малой простой степени

Организованная правильным образом, эта процедура одновременно отбирает все нужные пары чисел и дает разложение на простые сомножители правых частей сравнений (32).

Итак, после первого этапа работы алгоритма в нашем распоряжении оказываются дискретные логарифмы всех чисел из множества . Второй этап алгоритма сводит поиск дискретного логарифма числа  к поиску логарифмов некоторого множества чисел , не превосходящих по величине . Выбирая случайным образом число не более раз, можно, как показывают вероятностные соображения, найти такое , что вычет раскладывается в произведение простых чисел, меньших . Пусть

такое разложение, где  - некоторые простые числа с условием арифметических операций. В результате вычисление дискретного логарифма числа сводится к вычислению дискретных логарифмов для чисел , среднего размера.

Наконец, на последнем этапе производится вычисление логарифмов всех чисел . Пусть  - простое число из интервала

Для любых целых чисел

(34)
Отметим, что правая часть этого сравнения не превосходит . Просеивая все числа из указанного интервала, можно найти такие, что числа и правая часть сравнения () состоят из простых сомножителей, не превосходящих . Тогда сравнение () позволяет вычислить . Вычисление при известных уже значениях требует

арифметических операций.

Существуют и другие способы построения соотношений (). В [] для этого используются вычисления в полях алгебраических чисел. В качестве множителей в соотношениях типа () используются не только простые числа, но и простые идеалы с небольшой нормой.

Задача вычисления дискретных логарифмов может рассматриваться также и в полях , состоящих из элементов, в мультипликативных группах классов вычетов , в группах точек эллиптических кривых и вообще в произвольных группах. С литературой по этому вопросу можно ознакомиться по работе [].

Next: 4.9. Заключение

Up: 4. Алгоритмические проблемы теории

Previous: 4.7. Как раскладывают составные

Contents:



Содержание раздела