Ayrık logaritmayı bulmak ne kadar zor?

20

Ayrık logaritma bulmak aynıdır $b$ de $a^b=c \bmod N$ verilen , ve . $a$ $c$ $N$

Bunun hangi karmaşıklık gruplarının (örneğin klasik ve kuantum bilgisayarlar için) olduğunu ve bu görevi gerçekleştirmek için hangi yaklaşımların (yani algoritmalar) en iyisi olduğunu merak ediyorum.

Yukarıdaki wikipedia bağlantısı gerçekten çok somut çalışma süresi vermiyor. Böyle bulmak için en iyi bilinen yöntemler gibi bir şey umuyorum.

— Matt Groff
kaynak

En iyi algoritmanın ne olduğunu bilmiyorum, ancak Johan Hastad'ın bu ders notlarının 5. bölümünde bazı algoritmalar bulabilirsiniz . Bu algoritmaları özetleyeceğim ama bu bölümü okumadım, bu yüzden sadece bağlantıyı sağlarım;)

— Marc Bury

21

Kısa cevap. Ayrık Logaritma probleminin
uygun bir karar problemi versiyonunu formüle edersek, bunun NP , coNP ve NP karmaşıklık sınıflarının kesişimine ait olduğunu gösterebiliriz BQP .

Ayrık Günlüğün karar problemi versiyonu.
Ayrık logaritma problemi çoğunlukla bir tamsayı gruplarını başka bir tamsayıya eşleyerek bir fonksiyon problemi olarak formüle edilir . Sorunun formülasyonu, insanların dikkate almayı tercih ettikleri, sadece karar (evet / hayır) problemlerini ilgilendiren P , BPP , NP , vb . Karmaşıklık sınıflarıyla uyumsuzdur . Ayrık günlük sorununun etkili bir şekilde eşdeğer bir karar problemi versiyonunu düşünebiliriz:

Ayrık Günlük (Karar Sorunu). Birincil verildiğinde , bir jeneratör $N$ $a \in \mathbb Z_N^\times$ çarpan birimi modulo , bir tamsayıdır ve bir üst sınır , orada var olup olmadığını belirlemek , öyle ki $N$ $0 < c < N$ $b \in \mathbb N$ $1 \leqslant L \leqslant b$ . $a^L \equiv c \pmod{N}$

Bu , verimli bir şekilde çözebilirsek, _bir ( c ) modulo N günlüğünü ikili arama ile hesaplamamıza izin verecektir . Daha sonra bu sorunun hangi karmaşıklık sınıflarına ait olduğunu sorabiliriz. Not biz bir söz problem olarak iyi ifade ettik: biz bu gereksinimleri askıya alarak bir karar problemine uzatabilirsiniz asal ve $N$ $a \in \mathbb Z_N^\times$ bu kısıtlamaların herhangi bir 'EVET' için tuttukları bir jeneratör, ancak koşulu ekledikten sorunun örneği.

Ayrık Günlük BQP'de.
Ayrık logaritmasını (hesaplamak için Shor'un algoritmasını kullanarak bir Kuantum Bilgisayarda Başbakan çarpanlara ve Ayrık Logaritma için Polinom Zamanlı Algoritmalar ), kolayca içerebilir Ayrık Günlüğü içinde BQP . (Test için olsun veya olmasın aslında bir jeneratör, biz sırasını bulmak için, diskre logaritma algoritması için temeldir aynı kağıt içinde Shor'un sipariş bulma algoritması kullanabilir karşı karşılaştırmak $a \in \mathbb Z_N^\times$ $a$ $N-1$ )

Ayrık Günlük NP ∩ coNP'dir.
Aslında asal olduğu ve $N$ bir 'EVET' veya karar sorun 'hayır', örneğin, ya bir jeneratör, yeterli bir sertifika özel tamsayıdır öyle ki $a \in \mathbb Z_N^\times$ $0 \leqslant L < N-1$ . Bu nedenle, ve koşulların geçerli olup olmadığını belgeleyebileceğimizi göstermek yeterlidir. Brassard en takiben şifreleme karmaşıklığına bir not Eğer öyleyse,her iki $a^L \equiv c \pmod{N}$ $a$ $N$ bu durumda asal olan ve bir jeneratör, o zaman bu durumda olduğunu $N$ $a \in \mathbb Z_N^\times$ tanımla (gerçeğini kullanarak sırasını sahip).

r^{N- - 1} \equiv 1 (şık N-) ve r^{(N- - 1) / q} ≢ 1 (şık N-) asallar için q bölen N- - 1

$r^{N-1} \equiv 1 \!\!\!\!\pmod{N} \qquad\text{and}\qquad r^{(N-1)/q} \not\equiv 1 \!\!\!\!\pmod{N} ~~\text{for primes $q$ dividing $N-1$}$

Z_{N}^{\times}

$\mathbb Z_N^\times$

N - 1

$N-1$

İlgili kısıtlamalar bu sertifika ve tutma hem de ana faktörler bir liste olur bölünmesi , bize yukarıda uyum kısıtlamaları test sağlayacaktır. ( , her AKS testini kullanarak birincil olup olmadığını test edebilir ve sadece bu primerlerle ana güç çarpanlarına ayırmaya çalışarak bunların hepsinin birincil faktörleri olduğunu test edebiliriz .) $N$ $a$ $q_1, q_2, \ldots$ $N-1$ $q_j$ $N-1$ $N-1$
Sertifika, ilgili kısıtlamalar biri olduğu ya da tamsayı olur başarısız böler , bu şekilde $N$ $a$ $q$ $N-1$ . Bu durumda önceliklilikaçısından test edilmesi gerekli değildir; hemen sırası anlamına gelir daha az olan ve çarpımsal grubunun bir jeneratör olup, böylece sadece asal olduğu başarısız olur. $a^{(N-1)/q} \equiv 1 \pmod{N}$ $q$ $a$ $N-1$ $N$

— Niel de Beaudrap
kaynak

3

Genel ve en kötü senaryolarda Niel de Beaudrap'ın cevabı bilgim dahilinde doğrudur.

Ancak bu durumda , sadece küçük bir ana faktörler vardır, Pohlig-Hellman algoritması olarak logaritma bulur süresi. Bu nedenle, bu durumda, Ayrık Günlük sorunu $N-1$ $O(log^2(N))$ $P$ . Bu nedenle, bir kriptografik protokol bu sorunun sertliğine bağlı olduğunda, modülünü seçmek önemlidir , böylece büyük asal faktörlere sahiptir. $N$ $N-1$

— danxinnoble
kaynak

-1

beri , sonra $|a|=O(N)$ $b=O(N)$ . (Yani kaba kuvvet EXP'de.)

Deterministik olmayan bir makine için, polinom tanığı vardır, çünkü P'de modüler üs alma yapabiliriz (yani sorun $NP$ ).

Teori ayrık logaritma olduklarını , ancak $NP$ $P$ modern şifrelemenin temelidir, ama bu besbelli kanıtlanmamış bu.

Shor'un yöntemi (o wikipedia sayfasında bağlantılı) bir kuantum bilgisayarda polinom zamanında çalışır.

— Xodarap
kaynak