Pollard rho 算法求解离散对数问题

Pollard $\rho$ 算法求解离散对数问题

离散对数(DLP)问题：设有群$(G,\cdot )$，$\alpha \in G$是一个$n$阶元素。给定$\beta \in ⟨\alpha ⟩$，找到指数$c，0\le c\le n-1$，满足
$${\alpha }^c=\beta$$前面分享过因子分解的Pollard $\rho$ 算法（为了更好地理解Pollard $\rho$ 离散对数算法，建议读者先看Pollard $\rho$ 因子分解算法），也分享过求解离散对数问题的小步大步算法和Pohlig-Hellman算法。
Pollard $\rho$ 算法是启发式的算法，不是确定性的数学证明算法，它可能得到较好的解，也可能会失败，这取决于攻击者选取的初始参数。

算法思想

类似Pollard $\rho$ 因子分解算法。为了求解出$c={\log }_{\alpha }\beta$，直接求是困难的，我们希望构造出一个关于$c$的一次同余方程，通过解方程间接得到$c$。Pollard $\rho$的因子分解算法是寻找一个碰撞$x=x^{\prime }$，所以这里也想找一个碰撞。

准备工作

1. 设$S_1\cup S_2\cup S_3$是群$G$的一个划分，它们元素个数大致相同。

2. 定义函数$f:⟨\alpha ⟩\times {\mathbb{Z}}_n\times {\mathbb{Z}}_n\to ⟨\alpha ⟩\times {\mathbb{Z}}_n\times {\mathbb{Z}}_n$如下
   
   并且要求构造的三元组$(x,a,b)$满足$x={\alpha }^a{\beta }^b$，比如$(1,0,0)$。可以看出如果$(x,a,b)$满足这个性质，则$f(x,a,b)$也满足这个性质。

3. 令
   

算法核心

计算三元组$(x_i,a_i,b_i)$和$(x_{2i},a_{2i},b_{2i})$，直到发现$x_{2i}=x_i，i\ge 1$。此时有
$${\alpha }^{a_i}{\beta }^{b_i}={\alpha }^{a_{2i}}{\beta }^{b_{2i}}$$因为$\beta ={\alpha }^c$，所以有
$${\alpha }^{a_i+c{b}_i}={\alpha }^{a_{2i}+c{b}_{2i}}$$因为$\alpha$的阶是$n$，所以有
$$a_i+c{b}_i\equiv a_{2i}+c{b}_{2i}(\mathrm{m}\mathrm{o}\mathrm{d}n)$$即$$c(b_{2i}-b_i)\equiv a_i-a_{2i}(\mathrm{m}\mathrm{o}\mathrm{d}n)$$如果$gcd(n,b_{2i}-b_i)=1$，则可以解出
$$c=(a_i-a_{2i})(b_{2i}-b_i{)}^{-1}\mathrm{m}\mathrm{o}\mathrm{d}n$$如果$gcd(n,b_{2i}-b_i)\ne 1$，可以利用扩展的$gcd$解一次线性同余方程。

例子

问题：群$G={\mathbb{Z}}_{809}^{\ast }$，$\alpha =89$，$\beta =618$，$\alpha$的阶$n=101$。下面计算${\log }_{\alpha }\beta$。

1. 对$G$做划分：
   S 1 = { x ∈ Z 809 ∗ : x ≡ 1 ( m o d 3 ) } S 2 = { x ∈ Z 809 ∗ : x ≡ 0 ( m o d 3 ) } S 3 = { x ∈ Z 809 ∗ : x ≡ 2 ( m o d 3 ) } S_{1} = \lbrace x\in \mathbb{Z}_{809}^{*}:x\equiv 1\pmod{3} \rbrace \\ S_{2} = \lbrace x\in \mathbb{Z}_{809}^{*}:x\equiv 0\pmod{3} \rbrace \\ S_{3} = \lbrace x\in \mathbb{Z}_{809}^{*}:x\equiv 2\pmod{3} \rbrace S1​={x∈Z809∗​:x≡1(mod3)}S2​={x∈Z809∗​:x≡0(mod3)}S3​={x∈Z809∗​:x≡2(mod3)}

2. 对$i=1,2,\cdots$，计算三元组$(x_i,a_i,b_i)$和$(x_{2i},a_{2i},b_{2i})$，有

$i$	$(x_i,a_i,b_i)$	$(x_{2i},a_{2i},b_{2i})$
1	$(618,0,1)$	$(76,0,2)$
2	$(76,0,2)$	$(113,0,4)$
3	$(46,0,3)$	$(488,1,5)$
4	$(113,0,4)$	$(605,4,10)$
5	$(349,1,4)$	$(422,5,11)$
6	$(488,1,5)$	$(683,7,11)$
7	$(555,2,5)$	$(451,8,12)$
8	$(605,4,10)$	$(344,9,13)$
9	$(451,5,10)$	$(112,11,13)$
10	$(422,5,11)$	$(422,11,15)$

可以发现，$x_{10}=x_{20}$。
3. 解方程$c=(5-11)(15-11{)}^{-1}\mathrm{m}\mathrm{o}\mathrm{d}101=49$。所以z在${\mathbb{Z}}_{809}^{\ast }$ 中${\log }_{89}618=49$。

注意事项

1. 在划分群$G$时，必须保证$1\notin S_2$，否则根据$f$的定义，对$\forall i\ge 0$，都有$(x_i,a_i,b_i)=(1,0,0)$。
2. 如果初始参数设置合理，在$n$阶循环群情况下算法复杂度为$O(\sqrt{n})$。

参考书籍：Stinson D , 斯廷森, 冯登国. 密码学原理与实践[M]. 电子工业出版社, 2009.