Русская Википедия:Ро-метод Полларда для дискретного логарифмирования
Шаблон:Не путать Шаблон:Заголовок со строчной буквы Шаблон:Math-Метод Полларда для дискретного логарифмирования (<math>\rho</math>-метод) — алгоритм дискретного логарифмирования в кольце вычетов по простому модулю, имеющий экспоненциальную сложность. Предложен британским математиком Шаблон:Нп2 в 1978 году, основные идеи алгоритма очень похожи на идеи ро-алгоритма Полларда для факторизации чисел. Данный метод рассматривается для группы ненулевых вычетов по модулю <math>p</math>, где <math>p</math> — простое число, большее <math>3</math>.
Постановка задачи дискретного логарифмирования
Для заданного простого числа <math>p </math> и двух целых чисел <math>a </math> и <math>b </math> требуется найти целое число <math>x </math>, удовлетворяющее сравнению:
где <math>b </math> является элементом циклической группы <math>G </math>, порождённой элементом <math>a </math>.
Алгоритм ро-метода
Рассматриваются последовательность пар <math>\{u_i,\ v_i\} </math> целых чисел по модулю <math>p-1 </math> и последовательность <math>\{z_i\} </math> целых чисел по модулю <math>p </math>, определённые следующим образом:
Шаблон:EF Шаблон:EF Шаблон:EF Шаблон:EF Шаблон:EFa^{v_{i+1}} \pmod{p} = \begin{cases} bz_i\;\bmod\;p, & 0<z_i<\frac{p}{3};\\ z_i^2\;\bmod\;p, & \frac{p}{3}<z_i<\frac{2}{3}p;\\ az_i\;\bmod\;p, & \frac{2}{3}p<z_i<p.
\end{cases}</math>|ref=5}}Замечание 1: во всех выражениях рассматривается наименьшие неотрицательные вычеты.
Замечание 2: в более общем случае возможно разбиение на 3 подмножества несколько иным способом: разбиваем группу <math>G</math> на три примерно равных по мощности подмножества <math>S_1, S_2, S_3</math> так, чтобы <math>1</math> не принадлежала подмножеству <math>S_2</math>.
Поскольку каждая треть отрезка, которой принадлежит элемент, вероятно, никак не связана с элементами последовательностей <math>\{u_i, v_i\} </math>, полученная последовательность — псевдослучайная. Поэтому могут существовать такие числа <math>j </math> и <math>k </math>, что <math>z_k = z_j </math>. Если удастся найти такую пару чисел, то получится:
Если число <math>u_j - u_k </math> взаимно простое с числом <math>p - 1 </math>, то это сравнение можно решить и найти дискретный логарифм:
Если же наибольший общий делитель чисел <math>u_j - u_k </math> и <math>p - 1 </math> равен числу <math>d > 1 </math>, то существует решение этого сравнения для <math>x </math> по модулю <math>(p - 1) / d </math>. Пусть <math>x = x_0 </math> <math> (mod (p - 1)/d) </math>, тогда искомое число <math>x = x_0 + m (p - 1)/d </math>, где <math>m </math> может принимать значения <math>0, 1, ... , d - 1 </math>. Поэтому если <math>d </math> — достаточно небольшое число, то задача решается перебором всех возможных значений для <math>m </math>. В худшем случае — когда <math>d = p - 1 </math> — метод оказывается ничем не лучше полного перебора всех возможных значений для дискретного логарифма.
Для поиска индексов <math>j </math> и <math>k </math> используется алгоритм поиска циклов Флойда. При использовании данного алгоритма на <math>i </math>-м шаге имеются значения <math>(z_i,\ u_i,\ v_i,\ z_{2i},\ u_{2i},\ v_{2i})</math> и ищется номер <math>i </math>, для которого <math>z_i = z_{2i}</math>. Наименьшее значение <math>i </math>, при котором выполняется данное условие, называется епактой. Если при этом <math>(u_{2i}-u_i,\ p-1)=1</math>, то
Pо-метод для группы точек эллиптической кривой
Пусть задана группа точек эллиптической кривой (ЭК) <math>E(F_p)</math>. Не ограничивая общности, можно предположить, что <math>p > 3</math> и <math>p</math> — простое число. Обозначим подгруппу <math>E(F_p)</math> порядка <math>n</math> через <math>G</math> и зафиксируем порождающий элемент <math>P</math>. Для произвольного элемента группы <math>Q = xP</math> задача дискретного логарифмирования заключается в нахождении элемента <math> 1 < x < n.</math>
Группа <math>G</math> представляется в виде объединения <math>G = S_1 \cup S_2 \cup S_3</math>, где <math>S_i </math> — произвольные множества приблизительно одинаковой мощности. Функция итерирования <math>f\colon G \to G</math> определяется как
Таким образом, <math>R_i = a_iP + b_iQ</math>, где коэффициенты определяются следующим образом
Выбирая произвольное начальное значение <math>R_0</math>, строим две последовательности <math>R_i</math> и <math>R_{2i}</math>, пока не будет обнаружена коллизия при некотором <math>m : R_m = R_{2m}</math>. Исходя из формул (10) и (11), решается задача дискретного логарифмирования:
Важно то, что полученное значение при коллизии <math>m</math> зависит от начального значения <math>R_0</math> и определяет вычислительную сложность метода Полларда.
Сложность алгоритма
Основная работа алгоритма состоит в вычислении последовательностей <math>\{x_i\}, \{x_{2i}\} </math>. Данные вычисления требуют трех умножений по модулю для перехода к следующей итерации. Размер необходимой памяти при этом минимален, поскольку нет необходимости хранения информации о всех предыдущих элементах последовательностей. Таким образом, сложность алгоритма сводится к сложности задачи нахождения епакты, которая, в свою очередь, имеет эвристическую оценку сложности <math>O(\sqrt p)</math>, причем для разных случаев значения константы <math>C\sqrt p</math> могут довольно сильно отличаться, но, как правило лежат в пределах <math>[1;3]</math>.
Сравнение с другими алгоритмами
По сравнению с другими алгоритмами дискретного логарифмирования алгоритм <math>\rho-</math>Полларда является менее затратным как по отношению к бинарным операциям, так и по отношению к необходимому количеству памяти. Например, при достаточно больших значениях числа <math>p</math> данный алгоритм является более эффективным по сложности, чем алгоритм COS и алгоритм Адлемана, имеющие сложность <math>O(exp{((\log{p}\log{\log{p}})^{1/2})})</math>. В сравнении с алгоритмом Шенкса, также имеющим сложность <math>O(\sqrt p)</math>, алгоритм Полларда является более выгодным по отношению к используемой памяти — для алгоритма Шенкса требуется <math>O(p)</math> памяти, в то время как для данного алгоритма размер требуемой памяти постоянен (при условии использования алгоритма поиска циклов Флойда).
Распараллеливание метода
Системы с распределённой памятью
Идея метода <math>\rho-</math>Полларда для систем с распределённой памятью состоит в разделении итерирования точек между клиентскими рабочими станциями и поиска коллизии сервером. Пусть задано множество клиентских рабочих станций <math>S = \left \{ S_i \mid i = 1 ... r\right \}.</math> Сервер определяет параметры, общие для системы, некоторое подмножество<math> D \subset G</math> и выполняет инициализацию рабочих станций. Клиентская рабочая станция <math>S_i </math> строит последовательность точек <math>R_{ij} \subset D</math> и отправляет поэлементно точки на сервер. Если точка не содержится в базе данных, сервер добавляет точку в базу данных, иначе вычисляет значение дискретного логарифма.
Системы с общей памятью
Идея такого метода состоит в распараллеливании отдельно функции итерирования и алгоритма обнаружения коллизии. Функция итерирования распараллеливается на этапе вычисления последовательностей <math>R_i</math> и <math>R_{2i}</math>. Следует отметить, что параллельное вычисление<math>R_{i_0}</math> и <math>R_{2i_0} </math> для фиксированного значения <math>i_0</math> и последующее сравнение является неэффективным. Это объясняется тем фактом, что накладные расходы, связанные с использованием потоков, являются вычислительно более затратными, чем вычисление <math>R_{2i_0} = f (R_{2i_{0} - 2})</math>.Таким образом, целесообразно вычислять последовательности так, чтобы накладные расходы нивелировались. Это может быть достигнуто организацией вычислений последовательностей вида <math>\left \{ R_{iw+j}\right \}^l_{i=0}</math> и <math>\left \{ R_{2(iw+j)}\right \}^l_{i=0}</math>, где <math>w</math> — размер блока вычислений, <math>0 \leqslant j < w, l = \left \lceil \frac{m}{w} \right \rceil</math>. Функция обнаружения коллизии в методе <math>\rho-</math>Полларда сравнивает значения <math>R_m</math> и <math>R_{2m}</math>. Такое сравнение можно распараллелить, если использовать алгоритм итерирования для систем с общей памятью. Результатом выполнения функции итерирования точек являются два множества точек <math>\left \{ R_{i}\right \}^w_{i=0}</math> и <math>\left \{ R_{2i}\right \}^w_{i=0}</math>,сравнение которых осуществляется по блокам, то есть <math>R_i = R_{2i}, i = 1 ...\frac{w}{2}</math> и <math>R_i = R_{2i}, i = \frac{w}{2} ... w</math> в случае с двумя ядрами.
Комбинированный метод
Метод <math>\rho-</math>Полларда для систем с распределённой памятью может быть расширен для использования на многоядерных рабочих станциях. Идея метода состоит в том, что итерирование точек клиентскими рабочими станциями происходит в соответствии с определенным алгоритмом, суть которого в том, что есть клиентская рабочая станция <math>S_i</math> строит последовательность точек <math>\left \{ R_{ij}\right \}^w_{j=0}</math>. Далее рабочая станция <math>S_i</math> выбирает подмножество точек <math>\left \{ R_{ij}\right \}^w_{j=0} \cap D</math> и отправляет его серверу. Проверка на принадлежность подмножеству осуществляется в параллельном режиме: <math>R_{ij} \in D, i = 1 ...\frac{w}{2}</math> и <math>R_{ij} \in D, i = \frac{w}{2} ... w</math> (в случае с двумя ядрами). Сервер добавляет точки и <math>\left \{ R_{ij}\right \}^w_{j=0} \cap D</math> в базу данных до тех пор, пока не найдет уже существующую точку.
Модификации и оптимизации
Существует несколько значительных улучшений алгоритма, основанных на различных приемах.
Одно из улучшений описано в работе [Teske 1998]. Отличие приведенного в работе метода заключается в усложненной итерационной функции — она содержит 20 различных веток вместо описанных выше трех. Численные эксперименты показывают, что такое улучшение приводит к ускорению работы алгоритма случайного блуждания в среднем на 20 %.
Λ-метод Полларда
В работе по вычислению дискретных логарифмов Поллардом также был предложен <math>\lambda-</math>метод, названный так потому, что форма греческой буквы напоминает изображение двух путей, соединяющихся в один. Идея метода состоит в том, чтобы идти сразу двумя путями: одним от числа <math>b</math>, чей дискретный логарифм надо найти, другим от числа <math>B</math>, чей дискретный логарифм уже известен. Если эти два пути сойдутся, появляется возможность найти дискретный логарифм числа <math>b</math>. Поллард предложил рассматривать шаги на каждом пути как прыжки кенгуру, поэтому этот алгоритм иногда называют «методом кенгуру». Если известно, что искомый дискретный логарифм лежит в некотором коротком интервале, то можно адаптировать метод кенгуру, а именно, использовать кенгуру с более короткими прыжками.
Одним важным свойством лямбда-метода является тот факт, что он легко распределяется на несколько компьютеров. Каждый участник распределённых вычислений выбирает случайное число <math>r</math> и начинает делать псевдослучайные шаги от числа <math>b^r</math>, где <math>b</math> — элемент группы, для которого ищется дискретный логарифм. Каждый участник использует одну и ту же легко вычислимую псевдослучайную функцию <math>f\colon G \to S</math>, где <math>S</math> — относительно небольшое множество чисел со средним значением, сравнимым с размером группы <math>G</math>, имеющей порядок <math>n</math>. Степени <math>a^s</math> для <math>s \in S</math> вычисляются заранее. Тогда «блуждание», начиная с элемента <math>b^r</math>, принимает вид: <math>w_0 = b^r, w_1 = w_0a^{f(w_0)}, w_2 = w_1a^{f(w_1)}, ...</math>
Пусть другой участник, выбрав начальное число <math>r^\prime</math> , получил последовательность <math>w^\prime_0, w^\prime_1, w^\prime_2, ...</math> Если она пересекается с последовательностью <math>w_0, w_1, w_2, ...</math>, то есть <math>w^\prime_i = w_j</math> при некоторых <math>i, j</math>, то, учитывая, что <math>b = a^x</math>, выполняется:
Обычно этот метод используется, когда порядок группы <math>n</math> является простым. Так как тогда, если все выбираемые в начале вычислений числа <math>r</math> различны по модулю <math>n</math>, то сравнение <math>(14) </math> может быть легко решено для нахождения дискретного логарифма <math>x</math>. Небольшая трудность заключается в том, что совпадение может произойти внутри одной последовательности, это означает, что <math>r = r^\prime</math>. Однако, если количество участников вычислений достаточно велико, то вероятность совпадения между последовательностями больше, чем вероятность совпадения внутри одной последовательности.
Возможно использование псевдослучайной функции (5). В таком случае будут полезны все совпадения: совпадение внутри одной последовательности также может быть использовано для вычисления дискретного логарифма. В случае такого совпадения <math>\Lambda-</math>метод просто превращается в <math>\rho-</math>метод. Однако, если известно, что искомый дискретный логарифм лежит в коротком интервале, то можно использовать первоначальный метод. Тогда время работы будет около квадратного корня из длины интервала. В этом случае среднее значение целых чисел из множества <math>S</math> должно быть меньше для того, чтобы «кенгуру» прыгали только по интервалу нужной длины.
Центральный компьютер должен отслеживать все последовательности от всех участников для выявления совпадений. Согласно парадоксу дней рождения, совпадение ожидается, когда количество элементов во всех последовательностях будет порядка <math>O(\sqrt{n})</math>. Очевидно, что в описанном виде этот метод требует больших затрат памяти центрального компьютера. Следующая идея, описанная в работе ван Оршотом, сильно уменьшает требования к памяти и, таким образом, делает этот метод применимым к решению сложных проблем. Идея состоит в рассмотрении так называемых выделенных точек. Предполагается, что элементы группы представляются целыми числами (или, возможно, наборами целых чисел). Выделенное двоичное поле длины <math> k</math> в таком числе будет состоять из одних нулей примерно <math>1/2k</math>-ю часть всего времени. Случайное блуждание будет проходить через такие выделенные точки в среднем через каждые <math>2^k</math> шагов. Если две случайные последовательности где-нибудь пересекутся, то они будут пересекаться и дальше и вместе попадут в следующую выделенную точку. Итак, идея состоит в отправке на центральный компьютер только этих выделенных точек, что уменьшит необходимый размер памяти в <math>2^k</math> раз. Шаблон:Викиучебник
Литература
- Шаблон:Книга Шаблон:Wayback
- Крэндалл Р., Померанс К. Простые числа. Криптографические и вычислительные аспекты. — М.: УРСС, 2011 — С.664. — ISBN 978-5-453-00016-6
- Pollard J. M. Monte Carlo methods for index computation (mod p). Mathematics of Computation — 32 (143), 1978—918—924 — JSTOR 2006496
- Teske, Speeding up Pollard’s rho method for computing discrete logarithms. Algorithmic Number Theory Symposium (ANTS IV), 1998—541—553
- Горбенко И. Д., Качко Е. Г. Методы распараллеливания алгоритма Полларда решения задачи дискретного логарифмирования для систем с общей памятью — 2012
- van Oorschot P.C., Wiener M.J. Parallel collision search with cryptanalytic applications — Journal of Cryptology 12 (1) — 1-28 — 1999