www.tinhgiac.com chuong 5 logarit roi rac 3388

Thuật toán Pohlig-Xellman Bản chất của thuật toán nằm ở chổ, tìm số lượng đủ lớn phương trình x theo modulo i i qα với tất cả i, sau đó tìm nghiệm của phương trình ban đầu bằng định lý p

Chương 5

NHỮNG THUẬT TOÁN LOGARITH RỜI RẠC

5.1 Mở đầu Phương pháp đơn định

Cho G là nhóm nhân Abel,a,b∈G Bài toán tìm kiếm nghiệm của phương trình

b

a x = gọi là bài toán logarith rời rạc trong nhóm G Nghiệm x của phương trình gọi là logarith rời rạc cơ số a của b, ký hiệu là loga b, nếu như cơ số a cố định và nếu như nghiệm của phương trình tồn tại; loga b∈Z G, nếu như | G|<∞

Bài toán logarithm rời rạc có vai trò rất lớn trong ứng dụng của mật mã Đặc biệt quan trọng trong trường hợp G=F (q)*, với q= p l, p là số nguyên tố, l∈N, tức là trong trường Galois, cũng như trong trường hợp G là một nhóm điểm của đường cong Elliptic trong trường hữu hạn

Chúng ta xem phương trình

)

(mod p b

trong nhóm Z p*, với p là số nguyên tố Chúng ta giả sử rằng bậc của a (mod p)bằng p-1 Khi đó phương trình giải được, và nghiệm x là một phần tử của Z p− 1 Trong phần này chúng ta miêu tả phương pháp đơn định để xác định nghiệm của (5.1)

Nếu với sự giúp đỡ của phương pháp chọn thì có thể giải phương trình (5.1) cần O ( p)

lệnh số học

Nghiệm loga b của phương trình (5.1) có thể tìm theo công thức sau

≡ (1 )− (mod 1)

thế nhưng độ phức tạp nếu tính theo công thức này thi sẽ tồi hơn cách lựa chọn

Thuật toán tiếp theo giải phương trình (5.1) có độ phức tạp là O(p1 / 2logp)lệnh số học

Thuật toán tương hợp.

Bước 1 Gán H:=[ ]p1 / 2 +1

Bước 2 Tìm c≡a H (mod p)

Bước 3 Lập bảng giá trị c u(modp),1≤u≤H , sắp xếp nó.

Bước 4 Lập bảng giá trị b.a v(modp),0≤v≤H , sắp xếp nó

Bước 5 Tìm sự trùng nhau phần tử từ bảng thứ nhất va bảng thứ hai Để làm điều này

) (mod

b

từ đây a Hu−v ≡b (mod p)

Bước 6 Đưa ra giá trị x≡Hu−v(modp−1)

Kết thúc thuật toán.

Chúng ta chứng minh sự đúng đắn của thuật toán Bất kỳ số nguyên x, 0≤x≤ p−2,

có thể biểu diễn dưới dạng x≡Hu−v(modp−1), ở đây 1≤u≤H,0≤v≤H , rõ ràng rằng tập số H,H-1,H-2,…,H-H, 2H, 2H-1,…, H2,H2 −1,…,H2 −Hchứa trong mình tập số 0,1,…,p-2, bởi vì H2 > p Từ đây dẫn đến sự đúng đắn của thuật toán Đánh giá độ phức tạp của thuật toán cũng rõ ràng đúng, bởi vì tập từ N phần tử có thể sắp xếp cần

)

log

O lệnh số học

5.2 Thuật toán Pohlig-Xellman

Bây giờ giả sử chúng ta biết được sự phân tích thành nhân tử của p-1 ra thừa số

∏

=

=

i

i i q p

1

Lúc này phương trình (5.1) có thể giải cần 









=

) (log

1

i s

i

O α lệnh số học với sự giúp

đỡ của thuật toán sau

Thuật toán Pohlig-Xellman

Bản chất của thuật toán nằm ở chổ, tìm số lượng đủ lớn phương trình x theo modulo

i

i

qα với tất cả i, sau đó tìm nghiệm của phương trình ban đầu bằng định lý phần dư trung hoa Để tìm x theo một trong các modulo như thế, chúng ta phải giải đồng dư thức

) )(mod (

) (

1 1

p a

p x q

p

α α

−

−

≡ Phương trình này giải được với độ phức tạp thời gian là đa thức trong trường hợp nếu như q ikhông quá lớn (có nghĩa là không vượt qúa (logp) c, c là một hằng số nào đó)

Bước 1.Đối với từng số nguyên tố q,q|p−1, ta lập bảng giá trị

) (mod

/ 1 (

j

Bước 2 Đối với từng số nguyên tố q, qα || p−1, chúng ta tìm loga b(modqα)

) (mod

) (mod

1 1

α

q b

x≡ a ≡ + + + − − , với 0≤x i ≤q−1 Lúc này từ (5.1) dẫn đến rằng

) (mod

/ 1 ( /

1

Với sự giúp đỡ của bảng trong bước 1 chúng ta tìm ra x0.Lúc này rõ ràng ta có

) (mod )

Theo bảng trong bước 1 ta tìm ra giá trị của x1 và tiếp tục như thế Giá trị của x iđược tìm thấy từ phương trình

) (mod )

1 1

ba−x − q− −x i−q i− p− q i+ ≡ x i p− q

Bước 3 Khi tìm b q i i s

i

log α = , chúng ta tìm loga b(modp−1)theo định lý phần dư trung hoa

Kết thúc thuật toán

Chúng ta chứng minh đánh giá độ phức tạp của thuật toán Tập phần tử

) (mod

/

1

=

s i

p O

1

) (log lệnh số học Sau đó tập r q i,j đối với tất cả q i, j được tính

toán cần ∑

=

s

i

i q O

1

) ( lệnh số học Để tìm giá trị x itrong bước 3 cần nâng bậc(có nghĩa tìm

1

1 −

− i

i q

x

a ), tìm phần tử nghịch đảo,nhân, nâng bậc và tiến hành theo bảng Tất cả kết hợp lại

là độ phức tạp của thuật toán được nêu ở trên

Chú ý Thuật toán Polug-Xellman có độ phức tạp là đa thức O((logp)c1)trong trường hợp khi tất cả các ước nguyên tố q icủa p không vượt quá (logp)c2, ở đây c1,c2hằng số dương

5.3 Phương pháp ρ- Pollaid đối với logarithm rời rạc

Chúng ta đã tìm hiểu phương pháp ρ- Pollaird đối với nhân tử hóa số nguyên Bây giờ chúng ta tìm hiểu về bài toán logarithm rời rạc theo modulo là số nguyên tố p Chúng

ta muốn giải phương trình a x ≡b (mod p) Để làm việc này chúng ta xem 3 dãy số

{ } { } { }u i , v i , z i , i=0,1,2, ,

Được xác định như sau:

0

0

0 =v =

) 1 (mod 1

u i i , nếu như 0<z i < p/3;

) 1 (mod

2

u i i , nếu như p/3<z i <2/3p;

) 1 (mod

u i i , nếu như 2/3p<z i < p;

) 1 (mod

v i i , nếu như 0<z i < p/3;

) 1 (mod

2

v i i , nếu như p/3<z i <2/3p;

) 1 (mod 1

v i i , nếu như 2/3p<z i < p;

) 1 (mod

1 1

Tiếp theo chúng ta xem tập hợp (z i,u i,v i,z2i,u2i,v2i), i=1,2,3, , chúng ta tìm vị trí i, sao cho z i = z2i Từ đẳng thức cuối cùng ta rút ra

) (mod

2

b u i−u i ≡ v i−v i

Nếu như gcd(u2i −u i,p−1)=1, thì khi l∈Z,l(u2i−u i)≡1(modp−1)chúng ta thu được

) (mod

)

a

từ đây giá trị x cần tìm bằng loga b≡l(v i−v2i)(modp−1)

5.4 Logarith rời rạc trong trường nguyên tố

Trong phần này chúng ta xem thuật toán giải phương trình

)

(mod p b

a x ≡ , (5.2)

ở đây p là số nguyên tố Thuật toán này có độ phức tạp là L p ;c

2

1

với một số giá trị của hằng số c Chúng ta cho rằng a (mod p)có bậc là p-1

Thuật toán Adleman

Tầng 1 Hình thành cơ sở nhân tử, bao gồm tất cả các số nguyên tố q,

p p const

e

B

Tầng 2 Bằng cách chọn lựa chúng ta tìm số tự nhiên r i sao cho

∏

≤

≡

B q

a i αiq(mod ), q là số nguyên tố

Từ đây dẫn đến

∑

≤

−

≡

B

r α log (mod 1) (5.3), q là số nguyên tố

Tầng 3 Chọn số lượng đủ lớn biểu thức (5.3), giải hệ phương trình tuyến tính thu

được ứng với các ẩn loga q-logarith rời rạc của phần tử của cơ sở nhân tử

Tầng 4 Bằng cách lựa chọn chúng ta tìm ra một giá trị của r, sao cho

) (mod

p q b

a

B q

k

≤

⋅

≡

ở đây p , ,1 p k- là các số nguyên tố với độ lớn “trung bình”, có nghĩa B< p i <B1, với

p p

const

e

1 =

Tầng 5 Bằng cách tính toán tương tự như tầng 2 và 3 của thuật toán, tìm ra logarithm

rời rạc loga p iđối với các số nguyên tố p , ,1 p k ở tầng 4

Tầng 6 Xác định giá trị cần tìm loga b:

∑

∑

=

≤

− +

+

−

i

i a B

q

a q

1

) 1 (mod log

log

Kết thúc thuật toán.

Thuật toán COS

Tầng 1 Đặt

[ ] 1, : 0, ,0 1 := P1 / 2 + J =H2− p> L=e logplog logp <ε <

H

Hình thành tập hợp

{q|q<L1 / 2} {∪ H +c|0<c<L1 / 2 + ε},

q là số nguyên tố

Tầng 2 Bằng cách sàng chúng ta tìm cặp c1,c2sao cho 0<c i <L1 / 2+ε, i=1,2

) (mod )

)(

(

2 / 1

2

1 , ) ( 2

c H

L q

c c

q

∏

≤

≡ +

Trong trường hợp này, bởi vì J =O(p1 / 2)nên

) (mod )

( )

)(

Logarith theo cơ số a chúng ta thu được biểu thức sau

∑

≤

−

≡ + +

+

2 / 1

) 1 (mod log

) , ( )

( log ) (

L q

a q

a

a có thể tính theo công thức

∏

≤

≡

2 / 1

) (mod

L q

p q

Từ đây

∑

≤

−

≡

2 / 1

) 1 (mod log

1

L q

a

β

Tầng 3 Trên tầng 2 chúng ta tìm được số lượng đủ lớn phương trình, chúng ta giải hệ

phương trình tuyến tính thu được và tìm ra loga(H +c),loga q.

Tầng 4 Để tìm x, chúng ta đưa ra giới hạn mới L2 Bằng cách chọn ngẫu nhiên,chúng

ta tìm một giá trị w, thỏa mãn biểu thức

≡

2 /

) (mod

L

h g

,q,u là số nguyên tố Trong biểu thức này với sự có mặt của số nguyên tố mới là u có độ lớn “trung binh”

Tầng 5 Bằng cách tương tự như tầng 2 và 3 chúng ta tìm logarithm của một số số

nguyên tố u, u xuất hiện trong tầng 4

Tầng 6 Chúng ta tìm đáp số

− +

+

−

≡

=

2 /

) 1 (mod log

log log

L

a u a

q

x

Thuật toán này có độ phức tạp làO(exp((logploglogp)1 / 2)) lệnh số học

Thuật toán LOGsmooth

trường Z gồm các phần tử p 1,c,c2, ,c q− 1, với c a q1(modp)

p−

rằng nó thỏa mãn điều kiện phương trình x'q=1, thì có thể lựa chọn số t sao cho

1 0

Giả sử p−1=q k l , với q và l nguyên tố cùng nhau Chúng ta sẽ tìm số u i,i=0,1, ,k, mà chúng thỏa mãn

) (mod 1 ) (ba−u i lq k−i ≡ p (5.4) Khi i=k thì chúng ta có đồng dư

) (mod 1 )

Từ (5.2) sẽ tương đương

) (mod 1 ) (a(x−u k l ≡ q k

Bởi vì ord(a)=p-1, nên đẳng thức cuối cùng cho ta (x−u k)lchia hết cho p-1, có nghĩa

)

u

Chúng ta tìm các đồng dư thức như vậy đối với các ước q của 1, có thể tìm được x (mod p-1) bằng định lý phần dư trung hoa

Vấn đề còn lại là tìm u thế nào để thỏa mãn phương trình (5.4) Chúng ta có thể đặt i u0 =1.

) (ba−u i lq k i− thỏa mãn phương trình )

(mod

1

) (mod )

i − ≡

Chúng ta đặt u i+1 =u i +tq i Lúc này

) (mod 1 )

(ba−u i+ 1 lq k i−1 ≡c t a−tlq k−1 ≡ p

Như vậy điều này có nghĩa thỏa mãn (5.4)

Nhờ vậy mà chúng ta tìm u bằng cách thực hiện theo sơ đồ: k u0 1,r (ba u i)lq k i1(modp)

i

−

−

i i i i

i

c

Chúng ta xem ví dụ sau

Tìm số n sao cho 2x ≡74(mod163)

Ở đây a=2,b=74,p=163, p−1=2.34

Đặt q=3 Khi đó k=4 và l=2 Ngoài ra c≡2p3−1 =254 ≡104(mod163),chúng ta có thể biểu

diễn thuật toán qua bảng sau

i

i

1

+

i

Từ đây x≡34(mod81)(5.5)

1

−

≡

≡ p−

i

i

1

+

i

Từ đây chúng ta có x≡2(mod2) (5.6)

Từ (5.5) và (5.6) suy ra x≡34(mod162)

5.5 Logarith rời rạc trong trường Galois

Cố định số nguyên tố p, số tự nhiên n>1, đặt q= p n Giả sử a là phần tử sinh của nhóm cyclic F (q)* Chúng ta muốn giải phương trình

b

a x = trong trường F(q) Để làm điều này chúng ta sử dụng các thuật toán với một cơ

sở nhân tử Chúng ta xem thuật toán index-calculus sau

Ý tưởng của thuật toán này là , từ đẳng thức

∏

∏

=

=

= n

j j m

i

x

1 1

Với các phần tử x , i y jnằm trong trường hữu hạn Z p, thì

∑

∑

=

=

−

≡ n

j

j a m

i

i

1 1

) 1 (mod log

Khi nhận được số lượng đủ lớn biểu thức (5.7)( điều kiện là ít nhất là phải có một phần tử g, mà loga g đã biết), thì chúng ta có thể giải hệ phương trình tuyến tính với ẩn là

i

a x

log và loga y jtrong vành Z p− 1 với điều kiện là số lượng ẩn trong hệ không quá lớn Phương pháp đơn giản để tạo ra biểu thức (5.7) – chọn phần tử bất kỳ g∈Z p, tính

)

(mod p

a

u= g và bằng cách lựa chọn chúng ta thử tìm số thỏa mãn điều kiện sau

∏

= p i u

Từ ý tưởng trên ta có thuật toán cụ thể sau:

Thuật toán index-calculus

Tầng 1 (Tính toán ban đầu) Trường F(q) đồng cấu với F(p)[ ]y / f(y), với

[ ]y

p

F

y

f( )∈ ( ) là đa thức bất khả quy bậc n Cho nên bất kỳ thành phần của trường F(q)

được biểu diễn dưới dạng đa thức bậc không vượt quá n-1 Và nhân các đa thức như vậy

sẽ rút gọn theo modulo f(y), điều này chúng ta đã tìm hiểu ở chương trường số Phần tử

)

1

/(

)

1

(

1 =a q− p−

a có bậc là p-1 và tạo thành F ( p)* Với sự hổ trợ của nó chúng ta lập bảng logarithm “hằng số”- có nghĩa là phần tử của trường nguyên tố F(p)⊆F(q) Chúng ta

1

2 1 1

0

1 =1,a,a , ,a p−

Tầng 2 (Lựa chọn cơ sở nhân tử) Cơ sở nhân tử B⊆F (q)thành lập từ tất cả các đa

thức bất khả quy g bật không lớn hơn t, ở đây t là một số tham số, t<n

Tầng 3 (Tìm biểu thức) Lựa chọn ngẫu nhiên m, 1≤m≤q−2, chúng ta tìm các giá trị sao cho thỏa mãn biểu thức

∏

∈

≡

B g

m

Với c0∈F(p), từ đây chúng ta tìm được biểu thức

∑

∈

− +

≡

B g

a a

ở đây log c a 0chúng ta đã biết, còn loga g chúng ta chưa biết độ lớn

Tầng 4 (tìm thuật toán cho các phần tử của cơ sở nhân tử) Khi tìm ở tầng 3 với số

lượng đủ lớn các biểu thức (lớn hơn |B|), chúng ta giải hệ phương trình tuyến tính trong vành Z q− 1 và tìm ra loga g với g∈B

Tầng 5 (Tìm logarith riêng) Chúng ta tìm một giá trị của m sao cho

) ( (mod

1∏

∈

≡

⋅

B g

a

,

ở đây c1∈F(p) Từ đây chúng ta tìm ra giá trị cần tìm

∑

∈

− +

+

−

≡

B

a

Kết thúc thuật toán.