Pohlig-Hellman算法求解离散对数问题

Pohlig-Hellman算法求解离散对数问题

离散对数(DLP)问题：
$$a^x\equiv b(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
$p$是大素数。

前面已经介绍了求解离散对数问题的小步大步算法(BSGS)(时间复杂度是$O(\sqrt{p})$)，这里介绍另外一种求解光滑阶循环群上的离散对数的方法——Pohlig-Hellman方法。事实上，Pohlig-Hellman算法的复杂度在一般情况下比BSGS算法高！但是在特殊情况下(循环群的阶是光滑数，即可以因子分解成较小的数的乘积)，使用Pohlig-Hellman能取得好的效果。而且有些时候，尽管BSGS能够将复杂度降至$\sqrt{p}$，但是这个数依然很大，所以不能用。这时我们可以考虑Pohlig-hellman方法能不能起作用。

算法思想

考虑上述DLP问题。因为$p$是大素数，模$p$的循环群的阶是$p-1$。假设模$p$的最小的本原元是$g$（本原元是可以求的），那么有
$$\begin{gathered} a\equiv g^{a^{\prime }}(\mathrm{m}\mathrm{o}\mathrm{d}p) \\ b\equiv g^{b^{\prime }}(\mathrm{m}\mathrm{o}\mathrm{d}p) \end{gathered}$$
进一步有
$$a^x\equiv b(\mathrm{m}\mathrm{o}\mathrm{d}p)⟺g^{a^{\prime }x}\equiv g^{b^{\prime }}(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
有
$$a^{\prime }x\equiv b^{\prime }(\mathrm{m}\mathrm{o}\mathrm{d}p-1)$$
如果我们求出了满足上式的$a^{\prime }$和$b^{\prime }$，通过扩展的gcd方法可以求一次同余方程的解得到$x$。

问题归结成如何求$a^{\prime }$和$b^{\prime }$。即原本的一个离散对数问题，现在变成两个离散对数问题：
$$\begin{gathered} a\equiv g^{a^{\prime }}(\mathrm{m}\mathrm{o}\mathrm{d}p) \\ b\equiv g^{b^{\prime }}(\mathrm{m}\mathrm{o}\mathrm{d}p) \end{gathered}$$

如何求解$a^{\prime }$和$b^{\prime }$

以求$a^{\prime }$为例，解DLP问题：$g^x\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}p)$

1. 将$p-1$进行标准的素因子分解，即$p-1=\prod _{i=1}^m{p}_i^{k_i}=p_1^{k_1}{p}_2^{k_2}{p}_3^{k_3}\cdots p_m^{k_m}$

2. 对每个素因子$p_i$，将$x$表示成$p_i$进制，有$x=a_0+a_1{p}_i+a_2{p}_i^2+a_3{p}_i^3+\cdots +a_{k_i-1}{p}_i^{k_i-1}(\mathrm{m}\mathrm{o}\mathrm{d}{p}_i^{k_i})$，这样的$p_i$进制表示，系数$a_i$自然是小于$p_i$

3. 令$r=1$，有
   $${\left(g^x\right)}^{\frac{p-1}{p_i^r}}\equiv a^{\frac{p-1}{p_i^r}}(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
   展开$x$有
   $$\begin{gathered} {\left(g^{a_0+a_1{p}_i+a_2{p}_i^2+a_3{p}_i^3+\cdots +a_{k_i-1}{p}_i^{k_i-1}}\right)}^{\frac{p-1}{p_i^r}}\equiv a^{\frac{p-1}{p_i^r}}(\mathrm{m}\mathrm{o}\mathrm{d}p) \\ {g}^{a_0\ast \frac{p-1}{p_i}}\times g^{a_1(p-1)}\times g^{a_2(p-1)p_i}\times \cdots \times g^{a_{k_i-1}(p-1)p_i^{k_i-2}}\equiv a^{\frac{p-1}{p_i}}(\mathrm{m}\mathrm{o}\mathrm{d}p) \end{gathered}$$
   注意从第二项开始，每一项指数都包含$p-1$（由费马小定理知$g^{p-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$），所以式子变成
   $$g^{a_0\ast \frac{p-1}{p_i}}\equiv a^{\frac{p-1}{p_i}}(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
   这个式子中只有$a_0$是未知的，因为$a_0\in \left[0,p_i-1\right]$，所以可以穷举得到$a_0$的值。

4. 再令$r=2、3、4、\cdots 、k_i$ ，重复步骤3，依次穷举求出$a_1，a_2，\cdots ,a_{k_i-1}$，整个的时间复杂度是$O(p_i{k}_i)$。那么可以的到
   $$x=a_0+a_1{p}_i+a_2{p}_i^2+a_3{p}_i^3+\cdots +a_{k_i-1}{p}_i^{k_i-1}(\mathrm{m}\mathrm{o}\mathrm{d}{p}_i^{k_i})$$

5. 重复上述过程，得到$m$个关于$x$的式子，利用中国剩余定理(CRT)，可以计算出$x$的值。

利用这个方法求出$a^{\prime }$和$b^{\prime }$后，就可以得到原DLP问题的解。

举例

关于举例和代码可以看这个博客离散对数问题——pohlig-hellman算法讲解(有例子)。

Q&A

1. 但是看完这个算法的流程之后，我就产生一个问题：为什么要先把$a^x\equiv b(\mathrm{m}\mathrm{o}\mathrm{d}p)$转化成

$$\begin{gathered} a\equiv g^{a^{\prime }}(\mathrm{m}\mathrm{o}\mathrm{d}p) \\ b\equiv g^{b^{\prime }}(\mathrm{m}\mathrm{o}\mathrm{d}p) \end{gathered}$$
计算出$a^{\prime }$和$b^{\prime }$之后再得到$x$？直接利用后面的方法求出$x$不行吗？

答：Pohlig-Hellman算法最重要的点是利用了原根的性质，它只能解决$a\equiv g^x(\mathrm{m}\mathrm{o}\mathrm{d}p)$（$g$是原根）的问题，对于$g$不是原根的情况，需要利用原根将原方程转化成两个关于原根的离散对数问题。为什么呢？

可以看算法中，在利用$p_i$进制表示之后，得到了
$$g^{a_0\ast \frac{p-1}{p_i}}\equiv a^{\frac{p-1}{p_i}}(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
这个式子，然后穷举得到$a_0$的值。如果$g$不是原根，则有$g$的阶不会是$p-1$，可能有$g^{\frac{p-1}{p_i}}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$，这样无论$a_0$取何值，式子始终成立，无法求出$a_0$，算法就失效了。

2. 注意Pohlig-hellman只能用于求解光滑阶群，也就是$p-1$可以分解成小的素因子乘积。否则，穷举$a_i$的时间复杂度依旧很高。另外可以考虑在穷举$a_i$时利用小步大步算法，进一步优化算法复杂度。