小步大步算法(BSGS)求解离散对数问题

最新推荐文章于 2022-04-04 17:57:36 发布
最新推荐文章于 2022-04-04 17:57:36 发布
阅读量3.1k 收藏 24
点赞数 6
分类专栏: 算法 密码学 密码数学证明 文章标签: 密码学 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46395886/article/details/113689460
版权
密码学 同时被 3 个专栏收录
26 篇文章 46 订阅
订阅专栏
算法
19 篇文章 21 订阅
订阅专栏
密码数学证明
10 篇文章 4 订阅
订阅专栏

小步大步算法(BSGS)求解离散对数问题

众所周知,离散对数问题(Discrete Logarithm Problem,DLP)一直被认为是困难问题。离散对数问题可以是基于循环群的,也可以是基于椭圆曲线的,本篇以循环群上的离散对数问题为例。主要描述的是这样一个问题:

DLP问题

求解同余方程
A x ≡ B ( m o d P ) A^{x}\equiv B \pmod{P} AxB(modP)
其中, P P P是大素数。

如果是在整数上,求对数就可以解决。但是在循环群上,离散对数求解却是难之又难。小步大步(Baby Step Giant Step,BSGS)算法是求离散对数问题的一种方法(有的也称为Shanks算法)

问题分析和算法主要思想

根据费马小定理,我们知道
A P − 1 ≡ 1 ( m o d P ) A^{P-1}\equiv 1\pmod{P} AP11(modP)
所以,如果穷举搜索 x x x的值,算法的复杂度是 O ( P ) O(P) O(P)BSGS算法能够将任意离散对数问题的求解复杂度降至 O ( P ) O(\sqrt{P}) O(P )

假设我们事先知道一个数 m m m,然后将 x x x表示成
x = m i − j 并 且 有 j ∈ [ 0 , m − 1 ] x=mi-j\\ 并且有j\in\left[ 0,m-1 \right] x=mijj[0,m1]
这样,原来的同余方程可以变化为:
A x ≡ B ( m o d P ) A m i − j ≡ B ( m o d P ) A m i ≡ A j B ( m o d P ) A^{x}\equiv B \pmod{P}\\ A^{mi-j} \equiv B \pmod{P}\\ A^{mi}\equiv A^{j}B\pmod{P} AxB(modP)AmijB(modP)AmiAjB(modP)
根据这个式子,可以做文章了。

  1. 由于 j ∈ [ 0 , m − 1 ] j\in\left[ 0,m-1 \right] j[0,m1],穷举 A j A^{j} Aj的所有可能取值,存在哈希表中。复杂度为 O ( m ) O(m) O(m)
  2. i i i的界是 [ 0 , P m ] [0,\frac{P}{m}] [0,mP],穷举每个可能的 i i i,计算 A m i A^{mi} Ami的值,我们就可以得到 A j A^{j} Aj的值,再查表,看那个匹配。复杂度是 O ( P m ) O(\frac{P}{m}) O(mP)
  3. 查到满足条件的 i i i j j j,计算 x = m i − j x=mi-j x=mij即可得到解。
    这个算法的时间复杂度是 O ( m + P m ) O(m+\frac{P}{m}) O(m+mP),通常我们选取 m = ⌈ P ⌉ m=\lceil \sqrt{P} \rceil m=P ,则算法的时间复杂度为 O ( P ) O(\sqrt{P}) O(P )

算法代码

这个代码来自[BSGS]大步小步算法,仅作参考。

#include<iostream>
#include<cstdio>
#include<cmath>
#include<map>
using namespace std;
typedef long long ll;
int t,k;
ll y,z,p;
//模幂算法
ll pow(ll a,ll b,ll p){
	ll ans=1;
	while(b){
		if(b&1)ans=ans*a%p;
		a=a*a%p;
		b>>=1;
	}
	return ans;
}
//小步大步算法
ll BSGS(ll a,ll b,ll p){
    if(!a)return b?-1:1;
    if(b==1)return 0;
    map<ll,ll>mp;
    ll m=ceil(sqrt(p)),ax=1;
    for(int i=0;i<m;i++){
        mp[ax]=i;
        ax=ax*a%p;
    }
    ll am=pow(a,m,p),aj=am*pow(b,p-2,p)%p;
    for(int i=1;i<=m;i++){
        if(mp.count(aj))return m*i-mp[aj];
        aj=aj*am%p;
    }
    return -1;
}
int main(){
	scanf("%d%d",&t,&k);
	while(t--){
		scanf("%lld%lld%lld",&y,&z,&p);
		if(k==1)printf("%lld\n",pow(y,z,p));
		else if(k==2){
			if(y%p==0)printf("Orz, I cannot find x!\n");
			else printf("%lld\n",pow(y,p-2,p)*z%p);
		}else{
			ll ans=BSGS(y%p,z%p,p);
			if(~ans)printf("%lld\n",ans);
			else printf("Orz, I cannot find x!\n");
		}
	}
}
国科大网安二班
关注
  • 6
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bsgs:使用BSGS算法查找对应的Pubkey的PrivateKey
02-12
bsgs 使用BSGS算法查找对应的Pubkey的PrivateKey。 Python3实现使用1个线程。 程序第一次将在同一文件夹创建一个名为“ baby_steps_table.txt”的表文件,这将需要一些时间。 下次,此文件将直接使用。 使用bsgs_...
算法原理1
最新发布
08-08
1985年,Koblitz和Miller将其引入密码学领域,利用椭圆曲线上的点集构建了一个群结构,并定义了离散对数问题,即椭圆曲线离散对数问题(ECDLP),这是ECC的核心安全性基础。 **椭圆曲线的基本概念** 1. **椭圆曲线...
大步小步算法求解离散对数
qq_50812688的博客
07-16 1154
baby step giant step简称为大步小步算法,是一个用来求解离散对数的方法,设a的b次对m取模得b,a与m互质时我们令x=At-B,a的At次等于b*a的B次,之后先对右边的数进行存储,,哈希map速度快一点,之后再从左边找,有则返回值,这是一种类似于meet In the middle 的算法,不难验证我们取t为sqrt(fi(m))则可以搜索到所有数值,为了避免算欧拉函数我们令t=sqrt(m), 扩展大步小步算法,当a与m不互质时,我们把式子写成a*a的x-1次+mn=b,同除d若
大步小步算法离散对数
HUANGliang_的博客
12-31 600
已知给定素数和乘法循环群的生成元g,则对任意的,存在正整数,满足。而求解对应的x就是所谓的离散对数问题,当q较大时,该问题通常比较困难。一种较好的求解方法是大步小步算法。 根据已学过的大步小步算法,编程求解下述两个离散对数问题,并输出解。 快速幂算法 long long Quick_Multiply(long long a, long long b, long long c) //快速积 { long long ans = 0, res = a; while (b) { if (b &
离散对数求解BSGS算法
nameofcsdn的博客
04-23 2924
目录 一,广义离散对数问题 二,广义离散对数问题的规约 三,shanks算法 四,OJ实战 一,广义离散对数问题 包括狭义的离散对数问题,和椭圆曲线上的点的数乘的逆运算,都算广义离散对数问题,他们的求解方案都差不多。 为了能够用统一的语言来描述,我们首先考虑,如何把广义离散对数问题,规约成狭义离散对数问题。 二,广义离散对数问题的规约 1,逆元 有限域,元素的逆元可以用费马小定理+快速幂,a^(p-2)是a的逆元 椭圆曲线上,点A(x,y)的逆元是-A,即(x,-y) 2,基点的阶
Pohlig-Hellman算法求解离散对数问题
国科大网安二班的博客
02-12 5865
Pohig-Hellman算法求解离散对数问题 离散对数(DLP)问题: ax≡b(modp) a^{x} \equiv b \pmod{p} ax≡b(modp) ppp是大素数。 前面已经介绍了求解离散对数问题小步大步算法(BSGS)(时间复杂度是O(p)O(\sqrt{p})O(p​)),这里介绍另外一种求解光滑阶循环群上的离散对数的方法——Pohig-Hellman方法。事实上,Pohlig-Hellman算法的复杂度在一般情况下比BSGS算法高!但是在特殊情况下(循环群的阶是光滑数,即可以因子分
BSGS算法求解离散对数
Harris-H的博客
11-16 506
小步大步算法BSGS(Baby Step Giant Step)BSGS(Baby\ Step\ Giant\ Step)BSGS(Baby Step Giant Step) 拔山盖世算法,百度搜索谷歌搜索算法 用来求解离散对数(即模意义下的对数)的算法。 给出:ax≡b(modm)a^x\equiv b\pmod{m}ax≡b(modm)a,b,ma,b,ma,b,m值,(a,ma,ma,m互质),求解xxx。 由欧拉定理可知:aaa在模mm
【数论】BSGS算法大步小步算法
Wmiracle的博客
04-04 8595
本篇介绍数论bsgs 算法,包括算法引入、算法过程、算法模板、简单例题及详解
密码学笔记:离散对数求解相关算法实现
Slightwind's Blog
03-25 9226
离散对数求解相关算法计算方法介绍以及使用Python3实现...
大步小步算法 (BSGS算法)
Eiffel的博客
07-14 3243
大步小步算法是专门用来求解a^x = b(mod n)这种方程的,这种问题也称为离散对数问题。 已知a,b,n,且n为素数,求x。 模板如下 #include #include #include using namespace std; typedef long long LL; LL quick_mod(LL a, LL b, LL c)//费马小定理+快速幂求逆元 {
离散对数问题——指数演算法
国科大网安二班的博客
03-14 1652
离散对数问题——指数演算法 离散对数(DLP)问题:设有群(G,⋅)(G,\cdot)(G,⋅),α∈G\alpha \in Gα∈G是一个nnn阶元素。给定β∈<α>\beta \in \left< \alpha \right>β∈⟨α⟩,找到指数a,0≤a≤n−1a,0\le a\le n-1a,0≤a≤n−1,满足 αa=β \alpha ^{a} =\beta αa=β 这时aaa也表达成:a=log⁡αβa=\log_{\alpha}\betaa=logα​β. 前面介绍
算法-数论- 高次同余方程与 BSGS 算法.rar
09-16
算法-数论- 高次同余方程与 BSGS 算法.rar
BSGS和三分法BySemiWaker
03-05
BSGS和三分法BySemiWaker
bsgs.cpp
09-15
bsgs
蒙哥马利算法(Montgomery Algorithm)|蒙哥马利约简、模乘、模幂
热门推荐
国科大网安二班的博客
01-22 2万+
Montgomery Algorithm(蒙哥马利算法) 蒙哥马利算法分为3种,蒙哥马利模乘,蒙哥马利约简,蒙哥马利模幂 1、从蒙哥马利模乘说起 模乘是为了计算ab(modN)ab\pmod{N}ab(modN)。普通算法,在计算模N时,利用的是带余除法,除法运算需要太多次乘法,计算复杂度较高,蒙哥马利算法的思想就是利用进制表示简化除法运算,转化成位运算。 蒙哥马利形式:为了计算ab(modN)ab\pmod{N}ab(modN),找一个RRR,然后使得a′≡aR(modN),b′≡bR(modN)a'
AES算法代码实现(完整C++源代码)
国科大网安二班的博客
01-23 1万+
AES加解密算法全过程实现(C++) 利用C++编程实现了AES的加解密过程。 关于列混合计算不清楚的可以看上一篇博客。 主要针对128bit的明文和密钥给出实现,其他情况需要改一下Nk,Nb,Nr的值和某些地方的数组维度。 byte GFMultiplyByte(byte L, byte R)这个函数是计算多项式模乘的结果(列混淆的那一步)。 其他想自己动手编编的可以复制一下这里的S盒和逆S盒或者其他常量。 参考书籍是《密码编码与信息安全:C++实践》。 #include <iostream&gt
关于AES的列混合计算和解密流程问题
国科大网安二班的博客
01-18 9308
关于AES的列混合计算和解密流程问题 我们知道AES的加解密过程都可以用有限域的计算表示出来。关于AES的加解密过程,很多教材资料都有详细描述,这里我想强调①关于AES加密过程的MixColumn阶段是如何计算的;②AES的解密流程问题。 AES的列混合计算 我们经常会看到参考资料说AES的列混合过程是对状态矩阵的每一列左乘一个确定的矩阵(如下图),一般表示为 然后我们乘了之后会发现结果并不对。事实上,这里表示的并不是简单的矩阵乘法,而是GF(28)GF(2^{8})GF(28)上的多项式模乘。 从A
快速模幂算法—重复平方乘方法(附C++实现)
国科大网安二班的博客
01-25 7277
快速模幂算法—重复平方乘方法(附C++实现) 在密码学,经常碰见大整数的模幂运算,例如RSA的加解密或者Rabin密码的加密等等(Rabin解密需要利用循环群的开方算法)。前面讲过快速模幂的蒙哥马利算法,其实蒙哥马利模幂需要结合重复平方乘方法来计算。总的来说,重复平方乘方法使用更为广泛。 1、主要思想 考虑计算ab(modn)a^{b}\pmod{n}ab(modn),直接算无疑是复杂的,因为aba^{b}ab这个数太大了,会溢出。常见的乘方法是对指数bbb做因子分解,例如b=b1b2b3⋯b=b_{1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值