Наскільки важко знайти дискретний логарифм?

20

Дискретний логарифм такого ж , як знаходження в , дан , і . $b$ $a^b=c \bmod N$ $a$ $c$ $N$

Мені цікаво, у яких групах складності (наприклад, для класичних та квантових комп’ютерів) це і які підходи (тобто алгоритми) найкращі для виконання цього завдання.

Наведене вище посилання на вікіпедію насправді не дає дуже конкретних умов виконання. Я сподіваюся на щось більше, як те, що найвідоміші методи для пошуку таких.

— Метт Грофф
джерело

Я не знаю, який найкращий алгоритм, але ви можете знайти деякі алгоритми в 5-й главі цієї лекції Йохана Хастада. Я б узагальнив ці алгоритми, але я не прочитав цю главу, тому надаю лише посилання;)

— Марк Бері

21

Коротка відповідь.
Якщо сформулювати відповідну версію проблеми рішення дискретного логарифму, ми можемо показати, що вона належить до перетину класів складності NP , coNP та BQP .

Версія проблеми рішення дискретного журналу.
Задача дискретного логарифму найчастіше формулюється як функціональна задача , відображаючи кортежі цілих чисел на інше ціле число. Таке формулювання проблеми є несумісним із класами складності P , BPP , NP та ін., Які люди вважають за краще враховувати, які стосуються лише рішень (так / ні). Ми можемо розглянути проблему рішення з дискретною проблемою журналу, яка фактично рівнозначна:

Дискретний журнал (проблема вирішення). З огляду на просте , генератор мультиплікативних одиниць модуля , ціле число та верхня межа , визначають, чи існує такий, що . $N$ $a \in \mathbb Z_N^\times$ $N$ $0 < c < N$ $b \in \mathbb N$ $1 \leqslant L \leqslant b$ $a^L \equiv c \pmod{N}$

Це дозволило б нам фактично обчислити log _a ( c ) модуль N за допомогою двійкового пошуку, якби ми могли його ефективно вирішити. Тоді ми можемо запитати, до яких класів складності належить ця проблема. Зауважте, що ми описали це як проблему з обіцянками: ми можемо поширити його на проблему рішення, призупинивши вимоги, що є простим, а генератор , але додаючи умову, для якої ці обмеження дотримуються будь-який "ТАК" екземпляр проблеми. $N$ $a \in \mathbb Z_N^\times$

Дискретний журнал знаходиться в BQP.
Використання алгоритму Шора для обчислення дискретного логарифма ( поліноміальні Алгоритми для факторизації і прем'єр дискретних логарифмів на квантовий комп'ютер ), можна легко містити дискретний Вхід в BQP . ( Для того, щоб перевірити , є чи ні на насправді генератор, ми можемо використовувати алгоритм замовлення ознайомчого Шора в тій же статті, яка є основою для алгоритму дискретного логарифма, щоб знайти порядок і порівняйте його проти .) $a \in \mathbb Z_N^\times$ $a$ $N-1$

Дискретний журнал знаходиться в NP ∩ coNP.
Якщо це насправді так, що є простим, а є генератором, достатньою сертифікатом для "ТАК" або "НІ" екземпляра проблеми рішення є унікальне ціле число такий, що . Отже, досить показати, що ми можемо підтвердити, чи є умови на і виконані. Слідом за про складність криптографії , якщо одночасно так, що є простим, а генератор є генератором, то це так, що $N$ $a \in \mathbb Z_N^\times$ $0 \leqslant L < N-1$ $a^L \equiv c \pmod{N}$ $a$ $N$ $N$ $a \in \mathbb Z_N^\times$

r^{N - 1} \equiv 1 (\mod N) and r^{(N - 1) / q} ≢ 1 (\mod N) for primes q dividing N - 1

$r^{N-1} \equiv 1 \!\!\!\!\pmod{N} \qquad\text{and}\qquad r^{(N-1)/q} \not\equiv 1 \!\!\!\!\pmod{N} ~~\text{for primes $q$ dividing $N-1$}$ за визначенням (використовуючи той факт, що має порядок ).

Z_{N}^{\times}

$\mathbb Z_N^\times$

N - 1

$N-1$

Свідоцтво про те , що обмеження на і і утримувати б список головних чинників розділового , що дозволить нам перевірити вищевказані обмеження конгруенції. (Ми можемо перевірити, чи кожен є простим, використовуючи тест AKS, якщо ми хочемо, і перевірити, що це всі основні фактори , намагаючись знайти факторизацію первинної потужності лише з тими простими праймерами.) $N$ $a$ $q_1, q_2, \ldots$ $N-1$ $q_j$ $N-1$ $N-1$
Сертифікат, одне з обмежень на або збій буде ціле число , яке ділить , таким чином, що . У цьому випадку не потрібно перевіряти на перевагу; це відразу ж означає, що порядок менший ніж , і тому він є генератором мультиплікативної групи, лише якщо не є простим. $N$ $a$ $q$ $N-1$ $a^{(N-1)/q} \equiv 1 \pmod{N}$ $q$ $a$ $N-1$ $N$

— Ніль де Бодорап
джерело

3

У загальних та найгірших сценаріях відповідь Ніль де Бодорап є правильною, наскільки мені відомо.

Однак у випадку, коли має лише невеликі прості коефіцієнти, алгоритм Поліга-Гелмана знаходить логарифм за часом . Таким чином, в цьому випадку, завдання дискретного входу в . Таким чином, коли криптографічний протокол залежить від жорсткості цієї проблеми, важливо вибрати модуль , такий, що має великі прості коефіцієнти. $N-1$ $O(log^2(N))$ $P$ $N$ $N-1$

— danxinnoble
джерело

-1

оскільки , то . (Значення грубої сили знаходиться в EXP.) $|a|=O(N)$ $b=O(N)$

Для недетермінованої машини існує поліноміальний свідок, оскільки ми можемо зробити модульну експоненцію в П. (тобто проблема полягає в .) $NP$

Теорія про те, що дискретні логарифми є в але не в є основою сучасної криптографії, але це очевидно недоведено. $NP$ $P$

Метод Шора (пов’язаний із цією сторінкою у Вікіпедії) працює в поліноміальний час на квантовому комп'ютері.

— Xodarap
джерело