求离散对数问题——指数演算法

求离散对数问题——指数演算法

离散对数(DLP)问题：设有群$(G,\cdot )$，$\alpha \in G$是一个$n$阶元素。给定$\beta \in ⟨\alpha ⟩$，找到指数$a，0\le a\le n-1$，满足
$${\alpha }^a=\beta$$
这时$a$也表达成：$a={\log }_{\alpha }\beta$.

前面介绍的求离散对数问题的算法（小步大步算法(BSGS)求解离散对数问题、Pohlig-Hellman算法求解离散对数问题、Pollard$\rho$ 算法求解离散对数问题、）都可以应用到任何循环群。这篇介绍的指数演算法只能用于计算${\mathbb{Z}}_p^{\ast }$中的离散对数问题(特别的，可以改进到适用${\mathbb{F}}_{2^n}^{\ast }$上的离散对数问题)。所以以下讨论是在群${\mathbb{Z}}_p^{\ast }$中展开的。

1、算法原理

指数演算分为两步：第一步预计算，第二步求解离散对数。

1.1预计算

假设我们事先取好一组由“小”素数组成的因子基 B = { p 1 , p 2 , ⋯   , p B } B=\lbrace p_{1},p_{2},\cdots,p_{B}\rbrace B={p1​,p2​,⋯,pB​}，其中$p_i$都是小素数。不仅如此，我们还找到了$C$个模$p$的同余方程：
$${\alpha }^{x_j}\equiv p_1^{a_{1j}}{p}_2^{a_{2j}}\cdots p_B^{a_{Bj}}(\mathrm{m}\mathrm{o}\mathrm{d}p),1\le j\le C$$
这些式子等价于
$$x_j\equiv a_{1j}{\log }_{\alpha }{p}_1+a_{2j}{\log }_{\alpha }{p}_2+\cdots +a_{Bj}{\log }_{\alpha }{p}_B(\mathrm{m}\mathrm{o}\mathrm{d}p-1),1\le j\le C$$
因为$p_i$都是小素数，我们可以将${\alpha }^{x_j}$在因子基上做分解，所以$a_{ij}（1\le i\le B,1\le j\le C）$我们都是可以得到的。这样根据线性同余方程组可以解出${\log }_{\alpha }{p}_i$（$1\le i\le B$）的值。

1.2 求解${\log }_{\alpha }\beta$

选择一个随机数$r$（$1\le s\le p-2$），计算
$$\gamma =\beta {\alpha }^s\mathrm{m}\mathrm{o}\mathrm{d}p$$
然后在因子基$B$中分解$\gamma$。如果分解成功，得到
$$\beta {\alpha }^s\equiv p_1^{c_1}{p}_2^{c_2}\cdots p_B^{c_B}(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
等价于
$${\log }_{\alpha }\beta +s\equiv c_1{\log }_{\alpha }{p}_1+c_2{\log }_{\alpha }{p}_2+\cdots +c_B{\log }_{\alpha }{p}_B(\mathrm{m}\mathrm{o}\mathrm{d}p-1)$$
这个式子中，除了${\log }_{\alpha }\beta$之外，其余数都已知，很容易求解出结果。

2、 例子

参考书籍：Stinson D , 斯廷森, 冯登国. 密码学原理与实践[M]. 电子工业出版社, 2009.