WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте

Алгоритм Гельфонда — Шенкса (англ. Baby-step giant-step; также называемый алгоритмом больших и малых шагов) — в теории групп детерминированный алгоритм дискретного логарифмирования в мульпликативной группе кольца вычетов по модулю простого числа. Был предложен советским математиком Александром Гельфондом в 1962 году и Дэниэлем Шенксом в 1972 году^[1]^[2]^[3].

Метод теоретически упрощает решение задачи дискретного логарифмирования, на вычислительной сложности которой построены многие криптосистемы с открытым ключом. Относится к методам встречи посередине.

Область применения

Задача дискретного логарифмирования представляет большой интерес для построения криптосистем с открытым ключом. На предположении о чрезвычайно высокой вычислительной сложности решения этой задачи основаны такие криптоалгоритмы как, например, RSA, DSA, Elgamal, Diffie-Hellman, ECDSA, ГОСТ Р 34.10-2001, Rabin и другие. В них криптоаналитик может получить закрытый ключ путём взятия дискретного логарифма от открытого ключа (известного всем), и с его помощью преобразовать шифротекст в текст сообщения. Однако чем сложнее его найти (чем большее количество операций нужно проделать для нахождения дискретного логарифма), тем более стойкой является криптосистема. Одним из способов повысить сложность задачи дискретного логарифмирования является создание криптосистемы, основанной на группе с большим порядком (где логарифмирование будет происходить по модулю большого простого числа). В общем случае такая задача решается полным перебором, данный же алгоритм позволяет в некоторых случаях упростить нахождения показателя степени (уменьшить количество шагов) при вычислении по модулю простого числа, в самом благоприятном случае в квадратный корень раз^[4], но этого сокращения всё равно недостаточно для решения задачи на электронно-вычислительной машине за разумное время (вопрос о решении задачи дискретного логарифма за полиномиальное время на персональном компьютере остаётся открытым до сих пор)^[5].

Задача дискретного логарифмирования

Дэниэль Шенкс — математик, предложивший алгоритм Гельфонда — Шенкса в 1972 году.

Александр Осипович Гельфонд — математик, предложивший алгоритм Гельфонда — Шенкса в 1962 году.

Пусть задана циклическая группа $G$ с образующим $g$ , содержащая $n$ элементов. Целое число $x$ (в диапазоне от $0$ до $n-1$ ) называется дискретным логарифмом элемента $h\in G$ по основанию $g$ , если выполняется соотношение:

g^{x}=h.

Задача дискретного логарифмирования — по заданным $h$ , $g$ определить $x$ .

Формально задача дискретного логарифмирования ставится следующим образом^[6]:

{\begin{cases}{\text{Input:}}\quad &g,h,n\in \mathbb {N} \\{\text{Output:}}\quad &x\in \mathbb {N} :\ g^{x}\equiv h{\pmod {n}}\\\end{cases}}

при условии, что $x$ может не существовать, а также $n$ может быть как простым числом, так и составным.

Теория

Идея алгоритма состоит в выборе оптимального соотношения времени и памяти, а именно в усовершенствованном поиске показателя степени.

Пусть задана циклическая группа $G$ порядка $n$ , генератор группы $\alpha$ и некоторый элемент группы $\beta$ . Задача сводится к нахождению целого числа $x$ , для которого выполняется

\alpha ^{x}=\beta \,.

Алгоритм Гельфонда — Шенкса основан на представлении $x$ в виде $x=i\cdot m-j$ , где $m=\left\lfloor {\sqrt {n}}\right\rfloor +1$ , и переборе $1\leq i\leq m$ и $0\leq j<m$ . Ограничение на $i$ и $j$ следует из того, что порядок группы не превосходит $m$ , а значит указанные диапазоны достаточны для получения всех возможных $x$ из полуинтервала $\left[0;m\right)$ . Такое представление равносильно равенству

$\alpha ^{im}=\beta \alpha ^{j}\,.$

(1)

Алгоритм предварительно вычисляет $\alpha ^{im}$ для разных значений $i$ и сохраняет их в структуре данных, позволяющей эффективный поиск, а затем перебирает всевозможные значения $j$ и проверяет, если $\beta \alpha ^{j}$ соответствует какому-то значению $i$ . Таким образом находятся индексы $i$ и $j$ , которые удовлетворяют соотношению (1) и позволяют вычислить значение $x=i\cdot m-j$ ^[7].

Алгоритм

Вход: Циклическая группа $G$ порядка $n$ , генератор $\alpha$ и некоторый элемент $\beta$ .

Выход: Число $x$ , удовлетворяющее $\alpha ^{x}=\beta$ .

$m$ ← $\left\lfloor {\sqrt {n}}\right\rfloor +1$
Вычислить $\gamma$ ← $\alpha ^{m}$ .
Для любого $i$ $i$ где $0$ $0$ < $i$ $i$ < $m$ $m$ :
1. Записать в таблицу ( $i$ , $\gamma$ ). (см. раздел «Реализация»)
2. $\gamma$ ← $\gamma$ • $\alpha ^{m}$
Для любого $j$ $j$ где $0$ $0$ ≤ $j$ $j$ < $m$ $m$ :
1. Вычислить $\alpha$ .
2. Проверить, содержится ли $\beta \alpha ^{j}$ в таблице.
3. Если да, вернуть $im$ — $j$ .
4. Если нет, продолжить выполнение цикла^[1]^[2]^[7].

Обоснование алгоритма

Нужно доказать, что одинаковые элементы в таблицах обязательно существуют, то есть найдутся такие $i$ и $j$ , что $g^{mi}=\beta \cdot g^{j}=g^{x+j}$ . Это равенство имеет место в случае $mi=x+j{\pmod {n}}$ , или $x=mi-j{\pmod {n}}$ . При $1\leq i\leq m$ , $1\leq j\leq m$ выполнено неравенство $0\leq mi-j\leq m^{2}-1$ . Для различных пар $(i_{1},j_{1})$ и $(i_{2},j_{2})$ имеем $mi_{1}-j_{1}\neq mi_{2}-j_{2}$ , так как в противном случае получилось бы $m(i_{1}-i_{2})=(j_{1}-j_{2})$ , что при указанном выборе $i_{1},i_{2}$ возможно только в случае $i_{1}=i_{2}$ , и, следовательно, $j_{1}=j_{2}$ . Таким образом, выражения $mi-j$ принимают все значения в диапазоне от $0$ до $m^{2}-1$ , который, в силу того, что $m^{2}>n$ , содержит все возможные значения $x$ от $0$ до $n-1$ . Значит, для некоторых $i$ и $j$ имеет место равенство $x=mi-j{\pmod {n}}$ ^[2].

Оценка сложности алгоритма

Допустим, что необходимо решить $h=ng$ , где $h$ и $g$ — целые положительные числа меньше $100$ . Один из способов — перебрать последовательно $n$ от $1$ до $100$ , сравнивая величину $n\cdot g$ с $h$ . В худшем случае нам потребуется $100$ шагов (когда $n=99$ ). В среднем это займет $50$ шагов. В другом случае, мы можем представить $n$ как $n=10a-b$ . Таким образом, задача сводится к нахождению $a$ и $b$ . В этом случае можно переписать задачу как $h=(10a-b)g$ или $h+bg=10ag$ . Теперь мы можем перебрать все возможные значения $a$ в правой части выражения. В данном случае это все числа от $1$ до $10$ . Это, так называемые, большие шаги. Известно, что одно из полученных значение для $a$ — искомое. Мы можем записать все значения правой части выражения в таблице. Затем мы можем посчитать возможные значения для левой части для различных значений $b$ . Такими являются все числа от $0$ до $9$ из которых одно является искомым, и вместе с правильным значением правой части дает искомый результат для $n$ . Таким образом, задача сводится к перебору различных значений левой части и поиск их в таблице. Если нужное значение в таблице найдено, то мы нашли $b$ , и, следовательно, соответствующее $n=10a+b$ . Данная иллюстрация демонстрирует скорость работы алгоритма. В среднем выполняется $1.5{\sqrt {n}}$ операций. В худшем случае требуется $2{\sqrt {n}}$ операций ^[3].

Пример

Ниже приведен пример решения задачи дискретного логарифмирования с маленьким порядком группы. На практике в криптосистемах используются группы с большим порядком для повышения криптостойкости.

Пусть известно $5^{x}\equiv 3{\pmod {23}}$ . В начале создадим и заполним таблицу для «больших шагов». Выберем $m=5$ ← ( ${\sqrt {16}}+1$ ). Затем $i$ пройдёт от $1$ до $5$ .

$i$	1	2	3	4	5
$5^{im}=20^{i}$	20	9	19	12	10

Найдем подходящее значение $j$ для $3\cdot 5^{j}\ {\bmod {\ }}23$ , чтобы значения в обеих таблицах совпали

$j$	1	2	3	4
$\beta \alpha ^{j}=3$ · $5^{j}$	15	6	7	12

Видно, что во второй таблице для $j=4$ , такое значение уже находится в первой таблице. Находим $x=mi-j=5\cdot 4-4=16$ ^[2].

Реализация

Существует способ улучшить производительность алгоритма Гельфонда — Шенкса. Он заключается в использовании эффективной схемы доступа к таблице. Лучший способ — использование хеш-таблицы. Следует производить хеширование по второй компоненте, а затем выполнять поиск по хешу в таблице в основном цикле по $\gamma$ . Так как доступ и добавление элементов в хеш-таблицу работает за время $O(1)$ (константа), то асимптотически это не замедляет алгоритм.

Время работы алгоритма оценивается как $O({\sqrt {n}})$ , что намного лучше, чем время работы $O(n)$ полного перебора показателей степени^[4].

Особенности

Алгоритм Гельфонда — Шенкса работает для произвольной конечной циклической группы^[7]^[3].
Нет необходимости знать порядок группы $G$ заранее. Алгоритм также работает, если $n$ — верхняя граница порядка группы^[7].
Обычно алгоритм Гельфонда — Шенкса используется для групп, у которых порядок — простое число. Если порядком является составное число, то рекомендуется использование алгоритма Полига — Хеллмана^[7].
Алгоритму Гельфонда — Шенкса требуется $O(n)$ памяти. Возможно выбрать меньшее $m$ на первом шаге алгоритма. Это увеличивает время работы программы до $O(n/m)$ . Также возможно использование ρ-метода Полларда для дискретного логарифмирования, который работает за то же самое время, но требует малое количество памяти^[7].

Примечания

1 2 D. Shanks. The infrastructure of a real quadratic field and its applications. Proceedings of the Number Theory Conference. — University of Colorado, Boulder,, 1972. — С. pp. 217-224..
1 2 3 4 И. А. Панкратова. Теоретико-числовые методы в криптографии: Учебное пособие. — Томск: ТГУ, 2009. — С. 90-98. — 120 с..
1 2 3 В.И. Нечаев. Элементы криптографии. Основы теории защиты информации. — М.: Высшая школа, 1999. — С. 61-67. — 109 с. — ISBN 5-06-003644-8..
1 2 D. C. Terr. A modification of Shanks’ baby-step giant-step algorithm. — Mathematics of Computation. — 2000. — Т. 69. — С. 767–773..
↑ Василенко О. Н. Теоретико-числовые алгоритмы в криптографии. — Москва: МЦНМО, 2003. — С. 163-185. — 328 с. — ISBN 5-94057-103-4..
↑ Yan, Song Y. Primality testing and integer factorization in public-key cryptography. — 2. — Springer, 2009. — С. 257-260. — 374 с. — ISBN 978-0-387-77267-7..
1 2 3 4 5 6 Глухов М. М, Круглов И. А., Пичкур А. Б., Черемушкин А. В. Введение в теоретико- числовые методы криптографии. — 1 изд.. — СПб: Лань, 2010. — С. 279-298. — 400 с. с. — ISBN 978-5-8114-1116-0..

Литература

А.О. Гельфонд, Ю.В. Линник. Элементарные методы в аналитической теории чисел. — М.: Физматгиз, 1962. — 272 с.

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .

Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2025
WikiSort.ru - проект по пересортировке и дополнению контента Википедии

[Шэнкс-1] 1 2 D. Shanks. The infrastructure of a real quadratic field and its applications. Proceedings of the Number Theory Conference. — University of Colorado, Boulder,, 1972. — С. pp. 217-224..

[Панкратова-2] 1 2 3 4 И. А. Панкратова. Теоретико-числовые методы в криптографии: Учебное пособие. — Томск: ТГУ, 2009. — С. 90-98. — 120 с..

[Нечаев-3] 1 2 3 В.И. Нечаев. Элементы криптографии. Основы теории защиты информации. — М.: Высшая школа, 1999. — С. 61-67. — 109 с. — ISBN 5-06-003644-8..

[Terr-4] 1 2 D. C. Terr. A modification of Shanks’ baby-step giant-step algorithm. — Mathematics of Computation. — 2000. — Т. 69. — С. 767–773..

[5] Василенко О. Н. Теоретико-числовые алгоритмы в криптографии. — Москва: МЦНМО, 2003. — С. 163-185. — 328 с. — ISBN 5-94057-103-4..

[6] Yan, Song Y. Primality testing and integer factorization in public-key cryptography. — 2. — Springer, 2009. — С. 257-260. — 374 с. — ISBN 978-0-387-77267-7..

[Глухов-7] 1 2 3 4 5 6 Глухов М. М, Круглов И. А., Пичкур А. Б., Черемушкин А. В. Введение в теоретико- числовые методы криптографии. — 1 изд.. — СПб: Лань, 2010. — С. 279-298. — 400 с. с. — ISBN 978-5-8114-1116-0..

Теоретико-числовые алгоритмы
Тесты простоты	Миллера Миллера — Рабина Люка — Лемера Пепина Агравала — Каяла — Саксены Соловея — Штрассена
Поиск простых чисел	Перебор делителей Решето Эратосфена Решето Аткина Решето Сундарама
Факторизация	Перебор делителей Метод Ферма p−1-метод Полларда ρ-алгоритм Полларда Метод Лемана Метод эллиптических кривых (алгоритм Ленстры) Алгоритм Диксона Квадратичное решето
Дискретное логарифмирование	Алгоритм Гельфонда — Шенкса Алгоритм Полига — Хеллмана ρ-метод Полларда Алгоритм «кенгуру» Полларда Алгоритм Адлемана Алгоритм COS
Нахождение НОД	Алгоритм Евклида Расширенный алгоритм Бинарный алгоритм
Арифметика по модулю	Алгоритм Монтгомери Китайская теорема об остатках
Умножение чисел	Умножение Карацубы Умножение Шёнхаге — Штрассена Алгоритм Фюрера
Вычисление квадратного корня	Алгоритм Тонелли — Шенкса