אלגוריתם פוליג-הלמן

  ערך מורחב – בעיית הלוגריתם הבדיד

בעיית הלוגריתם הבדיד הכללית היא: בהינתן חבורה ציקלית ${\displaystyle \mathbb{𝔾}}$ מסדר ${\displaystyle q}$ ויוצר ${\displaystyle g}$ ויהי ${\displaystyle h\in \mathbb{𝔾}}$ איבר כלשהו. מצא ${\displaystyle x}$ המקיים ${\displaystyle h=g^x}$. הוא נקרא הלוגריתם הבדיד של ${\displaystyle h}$ בבסיס ${\displaystyle g}$ בקיצור ${\displaystyle {\log }_{g}h}$. אם ${\displaystyle q}$ ראשוני, אלגוריתם צעד-קטן צעד-גדול פותר את הבעיה בסיבוכיות זמן של ${\displaystyle \sqrt{q}}$ צעדים ובסיבוכיות מקום זהה. אלגוריתם רו של פולרד פותר את הבעיה בזמן דומה אך ללא צריכת זיכרון משמעותית.

בעיית הלוגריתם הבדיד נחשבת במקרה הכללי לבעיה קשה. האלגוריתם הטוב ביותר הידוע לפתרון הבעיה כאשר סדר החבורה הוא מספר ראשוני הוא אלגוריתם רו של פולרד המבוסס על אלגוריתם צעד-קטן צעד-גדול.

אלגוריתם פוליג הלמן מנסה להאיץ את חישוב הלוגריתם הבדיד במקרה שסדר החבורה ${\displaystyle q}$ אינו ראשוני וידועים גורמים לא טריוויאליים שלו. ידוע שהסדר של האיבר ${\displaystyle g}$ הוא השלם ${\displaystyle i}$ הקטן ביותר המקיים ${\displaystyle g^i=1}$. יהי ${\displaystyle q}$ הסדר של ${\displaystyle g}$ ונניח שקיים שלם ${\displaystyle p}$ שהוא מחלק שלו (${\displaystyle p|q}$) אז הסדר של ${\displaystyle g^p}$ הוא ${\displaystyle q/p}$. הכללה של משפט השאריות הסיני אומרת שאם ידוע הפירוק: ${\displaystyle q={\mathrm{\Pi }}_{i=1}^k{q}_i}$ כאשר כל ${\displaystyle q_i}$ זר יחסית לגורמים האחרים (כלומר ${\displaystyle \text{gcd}(q_i,q_j)=1}$ עבור כל ${\displaystyle i\ne j}$) כאשר gcd היא מחלק משותף מקסימלי, אז קיימת התאמה או איזומורפיזם בין החבורות ${\displaystyle {\mathbb{\mathbb{Z}}}_{q_i}}$ למכפלה הקרטזית שלהם ${\displaystyle {\mathbb{\mathbb{Z}}}_{q_1}\times {\mathbb{\mathbb{Z}}}_{q_2}\times \cdots \times {\mathbb{\mathbb{Z}}}_{q_k}}$ וקיימת דרך יעילה לעבור בין הייצוגים השונים.

בהינתן היוצר ${\displaystyle g}$ ואיבר כלשהו נניח ${\displaystyle h}$ ואנחנו מעוניינים למצוא את ${\displaystyle x}$ כך שמתקיים ${\displaystyle g^x=h}$, נניח שהסדר של ${\displaystyle g}$ הוא ${\displaystyle q}$ וידועים לנו הגורמים שלו: ${\displaystyle q={\mathrm{\Pi }}_{i=1}^k{q}_i}$ (הגורמים לא חייבים להיות ראשונים כל עוד הם זרים זה לזה), אז ידוע שמתקיים:

${\displaystyle (g^{q/q_i}{)}^x=(g^x{)}^{q/q_i}=h^{q/q_i}}$ עבור כל ${\displaystyle i=1,...,k}$.

אם ${\displaystyle g_i=g^{q/q_i}}$ עבור כל ${\displaystyle i}$ אז מתקבלות ${\displaystyle k}$ בעיות של לוגריתם בדידי ב-${\displaystyle k}$ חבורות, כל אחת מסדר ${\displaystyle q_i}$ שהסדר שלהן קטן משמעותית מ-${\displaystyle q}$. אם נפתור את ${\displaystyle k}$ המופעים הללו בעזרת כל אלגוריתם כוח גס לפתרון בעיית לוגריתם בדיד, נוכל לפתור את הבעיה בחבורה הגדולה (נובע ממשפט השאריות הסיני). כלומר הלוגריתמים הבדידיים ${\displaystyle x_i}$ מ-1 עד ${\displaystyle k}$ מקיימים: ${\displaystyle g_i^{x_i}=h^{q/q_i}=g_i^x}$. היות ש-${\displaystyle x}$ שקול ל-${\displaystyle x_i}$ מודולו ${\displaystyle q_i}$ עבור כל ${\displaystyle i}$ לפי משפט השאריות הסיני למערכת המשוואות הבאה:

יש פתרון יחיד ${\displaystyle x}$ מודולו ${\displaystyle q}$. כך שאפשר לחשב אותו מתוך ${\displaystyle x_1,...,x_k}$ עם אלגוריתם כמו אלגוריתם גאוס או אלגוריתם של גרנר (מתואר בהמשך).

תיאור אלגוריתם פוליג-הלמן מתוך הספר "מבוא למתמטיקה של ההצפנה"^[2]. תהי ${\displaystyle \mathbb{𝔾}}$ חבורה ונניח שיש לנו אלגוריתם לפתרון בעיית הלוגריתם הבדיד ב-${\displaystyle \mathbb{𝔾}}$ עבור כל איבר מסדר שהוא חזקה ראשונית (מתואר בהמשך). למשל אם ${\displaystyle g\in \mathbb{𝔾}}$ הוא מסדר ${\displaystyle q^e}$ ונניח שיש לנו אלגוריתם שפותר את הבעיה ${\displaystyle g^x=h}$ בסיבוכיות של ${\displaystyle q^{e/2}}$. אם הסדר של ${\displaystyle g\in \mathbb{𝔾}}$ הוא ${\displaystyle N}$ שניתן לפירוק מהצורה ${\displaystyle N=q_1^{e_1}\cdot q_2^{e_2}\cdots q_k^{e_k}}$ אז אפשר לפתור את בעיית הלוגריתם הבדיד ${\displaystyle g^x=h}$ בסיבוכיות של

${\displaystyle O({\displaystyle \sum _{i=1}^k}{q}_i^{e_i/2}+\log N)}$ צעדים.

השיטה היא כדלהלן:

1. עבור ${\displaystyle i=1}$ עד ${\displaystyle k}$ בצעו:
   1. ${\displaystyle g_i=g^{N/q_i^{e_i}}}$ וכן ${\displaystyle h_i=h^{N/q_i^{e_i}}}$
   2. היות שכל ${\displaystyle g_i}$ הוא מסדר חזקה ראשונית, אפשר להשתמש באלגוריתם לפתרון בעיית הלוגריתם הבדיד עם סדר מחזקה ראשונית שמתואר להלן, כתת-שגרה שלו, כדי לפתור את הבעיה ${\displaystyle g_i^y=h_i}$.
   3. יהי ${\displaystyle y=y_i}$ הפתרון למשוואה זו.
2. פותרים את מערכת המשוואות המודולרית בעזרת משפט השאריות הסיני:

אלגוריתם פוליג-הלמן בעצם מצמצם את בעיית הלוגריתם הבדיד של איבר מסדר כלשהו לבעיית הלוגריתם הבדיד של איבר מסדר שהוא חזקה של ראשוני. לכן בעיית הלוגריתם הבדיד בחבורה ${\displaystyle \mathbb{𝔾}}$ קלה לפתרון אם הסדר של החבורה הוא כפולה של ראשוניים קטנים. למשל במקרה של השדה ${\displaystyle {\mathbb{𝔽}}_p}$ אם ${\displaystyle p-1}$ מתפרק לגורמים קטנים אז לא מומלץ להשתמש בשדה הזה אם רוצים חבורה שבה הבעיה נחשבת קשה. מה שאפשר לעשות זה למצוא שדה כזה כך שהראשוני ${\displaystyle p}$ שווה ${\displaystyle 2q+1}$ כאשר ${\displaystyle q}$ ראשוני וכן לבחור יוצר מסדר ${\displaystyle q}$ ואז עובדים בתת-חבורה מסדר ${\displaystyle q}$ של ${\displaystyle {\mathbb{𝔽}}_p}$ וסיבוכיות פתרון בעיית הלוגריתם הבדיד בתת-חבורה זו יהיה מסדר ${\displaystyle O(\sqrt{q})}$. בגלל שאלגוריתם תחשיב אינדקסים הוא תת-מעריכי ${\displaystyle q}$ צריך להיות גדול.

יתרה מזו אפשר לצמצם את בעיית הלוגריתם הבדיד של איבר מסדר חזקה ראשונית לסדר ראשוני בסיבוכיות ${\displaystyle O(e\sqrt{q})}$ (להיפטר מהחזקה). בגלל הטריק הבא: אם ${\displaystyle g}$ הוא מסדר ${\displaystyle q^e}$ אז ${\displaystyle g^{q^{e-1}}}$ הוא מסדר ${\displaystyle q}$. אם חוזרים על פעולה זו מספר פעמים אפשר להגיע לפתרון הלוגריתם הבדיד. הרעיון הוא לכתוב את המעריך ${\displaystyle x}$ בצורה:

${\displaystyle x=x_0+x_{1}q+x_2{q}^2+\cdots x_{e-1}{q}^{e-1}}$ כאשר ${\displaystyle 0\le x_i<q}$.

ואז לחשב רקורסיבית את ${\displaystyle x_0,x_1,x_2,...}$. היות ש-${\displaystyle g^{q^{e-1}}}$ הוא מסדר ${\displaystyle q}$ מזה נובע ש:

הראשון נובע מהעלאת שני האגפים של ${\displaystyle g^x=h}$ בחזקת ${\displaystyle q^{e-1}}$. השני נובע מההצגה המורחבת של ${\displaystyle x}$ השלישי נובע מהעובדה ש-${\displaystyle g^{q^e}=1}$. לכן המשוואה:

${\displaystyle {\left(g^{q^{e-1}}\right)}^{x_0}=h^{q^{e-1}}}$

הוא לוגריתם בדיד שהבסיס שלו הוא איבר מסדר ${\displaystyle q}$. ההנחה היא שאפשר לפתור בעיה זו ב-${\displaystyle \sqrt{q}}$ צעדים. אם פתרנו את המשווה הזו נוכל למצוא את ${\displaystyle x_0}$ עם המאפיין:

${\displaystyle g^{x_0{q}^{e-1}}=h^{q^{e-1}}}$ בחבורה ${\displaystyle \mathbb{𝔾}}$.

בשלב הבא מבצעים חישוב דומה והפעם מעלים את שני האגפים של ${\displaystyle g^x=h}$ בחזקת ${\displaystyle q^{e-2}}$ ומקבלים את:

היות שאנחנו כבר יודעים את ערכו של ${\displaystyle x_0}$, כדי למצוא את ${\displaystyle x_1}$ אנחנו צריכים לחשב את הלוגריתם הבדיד

${\displaystyle {\left(g^{q^{e-1}}\right)}^{x_1}={(h\cdot g^{-x_0})}^{q^{e-2}}}$.

עבור הנעלם ${\displaystyle x_1}$. שוב אפשר עם האלגוריתם לפתרון לוגריתם בדיד מסדר ראשוני ב-${\displaystyle \sqrt{q}}$ צעדים למצוא את ${\displaystyle x_1}$ ואז קיבלנו את ${\displaystyle x_0}$ ו-${\displaystyle x_1}$ המקיימים:

${\displaystyle g^{(x_0+x_{1}q)q^{e-2}}=h^{q^{e-2}}}$ ב-${\displaystyle \mathbb{𝔾}}$.

באותה דרך אפשר למצוא את ${\displaystyle x_2}$, באופן כללי אחרי שאנחנו יודעים מהם הערכים של ${\displaystyle x_0,...,x_{i-1}}$ אז אפשר לחשב את ${\displaystyle x_i}$ על ידי פתרון:

${\displaystyle (g^{q^{e-1}}{)}^{x_i}=(h\cdot g^{-x_0-x_{1}q-\cdots -x_{i-1}{q}^{i-1}}{)}^{q^{e-i-1}}}$ בחבורה ${\displaystyle \mathbb{𝔾}}$. כל לוגריתם כזה ניתן לפתרון בזמן שורש ${\displaystyle q}$ צעדים. לכן אחרי ${\displaystyle e\sqrt{q}}$ צעדים אפשר לקבל את המעריך ${\displaystyle x=x_0+x_{1}q+\cdots +x_{e-1}{q}^{e-1}}$ המקיים ${\displaystyle g^x=h}$.

דוגמאות להמחשה

נתונים הערכים:

${\displaystyle p=11251,g=23,h=9689}$.

${\displaystyle N=(p-1)=q_1^{e_1}{q}_2^{e_2}{q}_3^{e_3}=2\cdot 3^2\cdot 5^4}$

והבעיה היא לפתור את המשוואה ${\displaystyle g^x=9689}$ בשדה ${\displaystyle {\mathbb{𝔽}}_{11251}^{*}}$ שהוא מסדר 11250. במקרה זה פותרים את הלוגריתם הבדיד של תת-בעיות מסדר נמוך לפי הגורמים הראשוניים של ${\displaystyle N}$. שני הגורמים הראשונים קטנים לכן הפתרון שלהם טריוויאלי. להלן דוגמה לפתרון בעיית הלוגריתם הבדיד בסדר של הגורם השלישי. אנחנו מנסים לפתור את המשוואה ${\displaystyle 5448^x=6909}$ בשדה ${\displaystyle {\mathbb{𝔽}}_{11251}^{*}}$. היות שהראשוני ${\displaystyle p=11251}$ נבחר בצורה כזו ש-${\displaystyle p-1}$ מתחלק ב-${\displaystyle 5^4}$ ולכן ${\displaystyle 5448}$ הוא מסדר ${\displaystyle 5^4}$ בשדה ${\displaystyle {\mathbb{𝔽}}_{11251}^{*}}$. פותרים אותו בהדרגה כדי לקבל את ${\displaystyle x}$ כדלהלן:

1. הצעד הראשון הוא לפתור את המשוואה ${\displaystyle (5448^{5^3}{)}^{x_0}=6909^{5^3}}$, שמצטמצמת למשוואה ${\displaystyle 11089^{x_0}=11089}$ זה קל כי ${\displaystyle x_0=1}$ הוא הפתרון היחיד ובשלב זה ערכו של ${\displaystyle x}$ הוא ${\displaystyle x=x_0=1}$.

2. בצעד השני מנסים לפתור את:

${\displaystyle {\left(5448^{5^3}\right)}^{x_1}={(6909\cdot 5448^{-x_0})}^{5^2}={(6909\cdot 5448^{-1})}^{5^2}}$,

שמצטמצמת למשוואה ${\displaystyle 11089^{x_1}=3742}$. כל מה שצריך לבדוק עבור ${\displaystyle x_1}$ זה ערכים בטווח 1 עד 4. כך שאפשר לפתור את זה בכוח גס די בקלות. במקרה זה הפתרון הוא ${\displaystyle x_1=2}$, לכן בשלב זה ערכו של ${\displaystyle x}$ הוא ${\displaystyle x=11=1+2\cdot 5}$.

3. ממשיכים לצעד הבא ומנסים לפתור את:

${\displaystyle {\left(5448^{5^3}\right)}^{x_2}={(6909\cdot 5448^{-x_0-x_1\cdot 5})}^5={(6909\cdot 5448^{-11})}^5}$,

שמצטמצמת למשוואה ${\displaystyle 11089^{x_2}=1}$ לכן ${\displaystyle x_2=0}$ והמשמעות במקרה זה היא שערכו של ${\displaystyle x}$ נשאר 11 בשלב זה.

4. הצעד הבא והאחרון הוא לפתור את:

${\displaystyle {\left(5448^{5^3}\right)}^{x_3}=6909\cdot 5448^{-x_0-x_1\cdot 5-x_2\cdot 5^2}=6909\cdot 5448^{-11}}$.

5. התוצאה האחרונה היא ${\displaystyle 11089^{x_3}=6320}$, שהפתרון שלה הוא ${\displaystyle x_3=4}$ לכן התשובה הסופית היא:

${\displaystyle x=511=1+2\cdot 5+4\cdot 5^3}$.

אפשר לראות שמתקיים ${\displaystyle 5448^{511}=6909}$ בשדה ${\displaystyle {\mathbb{𝔽}}_{11251}^{*}}$.

להלן דוגמה לאלגוריתם פוליג הלמן המשתמש במשפט השאריות הסיני כדי לחבר ביחד את כל הפתרונות לפתרון השלם. בטבלה הבאה מוצגים פתרונות שלוש תת-הבעיות:

הבעיה המופיעה בשורה השלישית היא הבעיה מהדוגמה הקודמת.

בשלב זה מנצלים את משפט השאריות הסיני כדי לפתור את מערכת המשוואות המודולרית:

והפתרון הוא ${\displaystyle 23^{4261}=9689}$ מודולו ${\displaystyle 11251}$.

אלגוריתם גרנר לפתרון CRT

אלגוריתם גרנר לפתרון מערכת משוואות מודלרית לפי משפט השאריות הסיני^[3].

קלט: שלם חיובי ${\displaystyle m}$ שהוא כפולה של ${\displaystyle t}$ שלמים חיוביים זרים זה לזה ${\displaystyle m_1\cdot m_2\cdots m_t}$ וייצוג מודולרי ${\displaystyle v(x)=(v_1,v_2,...,v_t)}$ (השאריות) של ${\displaystyle x}$ מודולו ${\displaystyle m_i}$ בהתאמה.

פלט: שלם ${\displaystyle x}$ המקיים את משוואת CRT.

1. עבור ${\displaystyle i=2}$ עד ${\displaystyle t}$ מצבעים:
   1. ${\displaystyle C_i=1}$
   2. עבור ${\displaystyle j=1}$ עד ${\displaystyle (i-1)}$ מבצעים:
      1. ${\displaystyle u=m_j^{-1}\text{ mod }{m}_i}$
      2. ${\displaystyle C_i=u\cdot C_i\text{ mod }{m}_i}$
2. ${\displaystyle u=v_1,x=u}$
3. עבור ${\displaystyle i=2}$ עד ${\displaystyle t}$ מחשבים את: ${\displaystyle u=(v_i-x)C_i\text{ mod }{m}_i,x=x+u{\mathrm{\Pi }}_{j=1}^{i-1}{m}_j}$.
4. מחזירים את ${\displaystyle x}$.