Redukcja Pohliga-Hellmana

Z Wikipedii

Redukcja Pohliga-Hellmana jest metodą obliczania logarytmu dyskretnego w ciele skończonym GF(p) wymyśloną przez Stephena Pohliga i Martina Hellmana.

Jeżeli mamy ciało skończone o p elementach, rząd jego grupy multiplikatywnej wynosi p-1. Szukamy takiego x, że: g^x = h, gdzie g jest generatorem grupy multiplikatywnej tego ciała, a h elementem tego ciała.

KROK 1: Redukujemy DLP (ang. Discrete logarithm problem) do analogicznego zagadnienia w grupach rzędu p^a

$|G| = |F^*_p| = p-1 = p^{\alpha_1}_1 \cdot p^{\alpha_2}_2 \cdot \ldots \cdot p^{\alpha_n}_n$

Dla każdego p_i obliczamy:

$r_i = \frac{|G|}{p^{\alpha_i}_i}$

z kongruencji:

$(g^{r_i})^x \equiv h^{r_i} \pmod p$

możemy łatwo otrzymać układ kongruencji:

$x \equiv x_i \pmod{p^{\alpha_i}_i}$

Które następnie możemy rozwiązać przy pomocy chińskiego twierdzenia o resztach.

KROK 2: Jeżeli w rozkładzie p występuje jakaś duża liczba pierwsza, redukujemy DLP w grupie rzędu p^α do kilku problemów w grupach rzędu p:

Załóżmy, że p_i jest dużą liczbą pierwszą, dla której α > 1 oraz przyjmijmy q := p_i oraz

$(g^{r_i})^x \equiv h^{r_i}$

jako:

$a^x \equiv b$

wówczas:

$a^{m_0 + m_1 q + \ldots + m_{\alpha - 1} q^{\alpha - 1}} \equiv b \pmod p$

Podnosząc obie strony kongruencji do potęgi q^α-1 możemy obliczyć m₀ następnie znów zapisujemy kongruencję:

$a^{m_1 q + \ldots + m_{\alpha - 1} q^{\alpha - 1}} \equiv b a^{-m_0} \pmod p$

i podnosząc obie strony do potęgi q^α-2 otrzymamy m₁ , itd.

Mając wszystkie m_i otrzymamy:

$x \equiv m_0 + m_1 q + \ldots + m_{\alpha - 1} q^{\alpha - 1} \pmod{q^\alpha}$

Redukcja P-H pozwala na szybkie rozwiązanie DLP o ile p-1 ma w rozkładzie na czynniki pierwsze małe liczby pierwsze. Stąd jeżeli kryptosystem oparty o zagadnienie logarytmu dyskretnego ma być bezpieczny, jeżeli opiera się na grupach GF(a), to q-1 musi mieć w rozkładzie na czynniki pierwsze co najmniej jedną dużą liczbę pierwszą. Stąd często obiera się jako q liczbę postaci 2p+1, gdzie zarówno p jak i q są pierwsze. p które posiadają taką własność nazywa się liczbami pierwszymi Sophie Germain .

Kategorie: Kryptologia • Teoria liczb

We provide Linux to the World

Redukcja Pohliga-Hellmana

Z Wikipedii

Views

nawigacja

zmiany

dla edytorów

Szukaj

W innych językach