אלגוריתם פוליג-הלמן

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש
שיטת פוליג הלמן

בתורת החבורות ובקריפטוגרפיה אלגוריתם פוליג-הלמן (באנגלית: Pohlig–Hellman algorithm) הוא אלגוריתם לפתרון בעיית הלוגריתם הבדיד במקרה הפרטי כאשר סדר החבורה הוא מספר חלק (שגורמיו הראשוניים קטנים). האלגוריתם הומצא ב-1978 על ידי סטיבן פוליג ומרטין הלמן[1].

בעיית הלוגריתם הבדיד

Postscript-viewer-blue.svg ערך מורחב – בעיית הלוגריתם הבדיד

בעיית הלוגריתם הבדיד נחשבת במקרה הכללי לבעיה קשה. האלגוריתם הטוב ביותר הידוע לפתרון הבעיה כאשר סדר החבורה הוא מספר ראשוני הוא אלגוריתם רו של פולרד המבוסס על אלגוריתם צעד-קטן צעד-גדול.

בעיית הלוגריתם הבדיד הכללית היא: בהינתן חבורה ציקלית מסדר ויוצר ויהי איבר כלשהו. מצא המקיים . הוא נקרא הלוגריתם הבדיד של בבסיס בקיצור . אם ראשוני, אלגוריתם צעד-קטן צעד-גדול פותר את הבעיה בסיבוכיות זמן של צעדים ובסיבוכיות מקום זהה. אלגוריתם רו של פולרד פותר את הבעיה בזמן דומה אך ללא צריכת זיכרון.

רקע מתמטי

אלגוריתם פוליג הלמן מנסה להאיץ את חישוב הלוגריתם הבדיד במקרה שסדר החבורה אינו ראשוני וידועים גורמים לא טריוויאליים שלו. ידוע שהסדר של האיבר הוא השלם הקטן ביותר המקיים . יהי הסדר של ונניח שקיים שלם שהוא מחלק שלו () אז הסדר של הוא . הכללה של משפט השאריות הסיני אומרת שאם ידוע הפירוק: כאשר כל זר יחסית לגורמים האחרים (כלומר עבור כל ) כאשר gcd היא מחלק משותף מקסימלי, אז קיימת התאמה או איזומורפיזם בין החבורות למכפלה הקרטזית שלהם וקיימת דרך יעילה לעבור בין הייצוגים השונים.

בהינתן היוצר ואיבר כלשהו נניח ואנחנו מעוניינים למצוא את כך שמתקיים , נניח שהסדר של הוא וידועים לנו הגורמים שלו: (הגורמים לא חייבים להיות ראשונים כל עוד הם זרים זה לזה), אז ידוע שמתקיים:

עבור כל .

אם עבור כל אז מתקבלות בעיות של לוגריתם בדידי ב- חבורות, כל אחת מסדר , שים לב שהסדר שלהן קטן משמעותית מ-. אם נפתור את המופעים הללו בעזרת כל אלגוריתם כוח גס לפתרון בעיית לוגריתם בדיד, נוכל לפתור את הבעיה בחבורה הגדולה (נובע ממשפט השאריות הסיני). כלומר הלוגריתמים הבדידיים מ-1 עד מקיימים: . היות ש- שקול ל- מודולו עבור כל לפי משפט השאריות הסיני למערכת המשוואות הבאה:

יש פתרון יחיד מודולו . כך שאפשר לחשב אותו מתוך עם אלגוריתם כמו אלגוריתם גאוס או אלגוריתם של גרנר (מתואר בהמשך).

תיאור האלגוריתם

תיאור אלגוריתם פוליג-הלמן מתוך הספר "מבוא למתמטיקה של ההצפנה"[2]. תהי חבורה ונניח שיש לנו אלגוריתם לפתרון בעיית הלוגריתם הבדיד ב- עבור כל איבר מסדר שהוא חזקה ראשונית (מתואר בהמשך). למשל אם הוא מסדר ונניח שיש לנו אלגוריתם שפותר את הבעיה בסיבוכיות של . אם הסדר של הוא שניתן לפירוק מהצורה אז אפשר לפתור את בעיית הלוגריתם הבדיד בסיבוכיות של

צעדים.

השיטה היא כדלהלן:

  1. עבור עד בצע:
    1. וכן
    2. שים לב, היות שכל הוא מסדר חזקה ראשונית, אפשר להשתמש באלגוריתם לפתרון בעיית הלוגריתם הבדיד עם סדר מחזקה ראשונית שמתואר להלן, כתת-שגרה שלו, כדי לפתור את הבעיה .
    3. יהי הפתרון למשוואה זו.
  2. משתמשים במשפט השאריות הסיני כדי לפתור את מערכת המשוואות המודולרית:
,
,
.

אלגוריתם פוליג-הלמן בעצם מצמצם את בעיית הלוגריתם הבדיד של איבר מסדר כלשהו לבעיית הלוגריתם הבדיד של איבר מסדר שהוא חזקה של ראשוני. לכן בעיית הלוגריתם הבדיד בחבורה קלה לפתרון אם הסדר של החבורה הוא כפולה של ראשוניים קטנים. למשל במקרה של השדה אם מתפרק לגורמים קטנים אז לא מומלץ להשתמש בשדה הזה אם רוצים חבורה שבה הבעיה נחשבת קשה. מה שאפשר לעשות זה למצוא שדה כזה כך שהראשוני שווה כאשר ראשוני וכן לבחור יוצר מסדר ואז עובדים בתת-חבורה מסדר של וסיבוכיות פתרון בעיית הלוגריתם הבדיד בתת-חבורה זו יהיה מסדר . בגלל שאלגוריתם תחשיב אינדקסים הוא תת-מעריכי צריך להיות גדול.

יתרה מזו אפשר לצמצם את בעיית הלוגריתם הבדיד של איבר מסדר חזקה ראשונית לסדר ראשוני בסיבוכיות (להיפטר מהחזקה). בגלל הטריק הבא: אם הוא מסדר אז הוא מסדר . אם חוזרים על פעולה זו מספר פעמים אפשר להגיע לפתרון הלוגריתם הבדיד. הרעיון הוא לכתוב את המעריך בצורה:

כאשר .

ואז לחשב רקורסיבית את . היות ש- הוא מסדר מזה נובע ש:

הראשון נובע מהעלאת שני האגפים של בחזקת . השני נובע מההצגה המורחבת של השלישי נובע מהעובדה ש-. לכן המשוואה:

הוא לוגריתם בדיד שהבסיס שלו הוא איבר מסדר . ההנחה היא שאפשר לפתור בעיה זו ב- צעדים. אם פתרנו את המשווה הזו נוכל למצוא את עם המאפיין:

בחבורה .

בשלב הבא מבצעים חישוב דומה והפעם מעלים את שני האגפים של בחזקת ומקבלים את:

.

היות שאנחנו כבר יודעים את ערכו של , כדי למצוא את אנחנו צריכים לחשב את הלוגריתם הבדיד

.

עבור הנעלם . שוב אפשר עם האלגוריתם לפתרון לוגריתם בדיד מסדר ראשוני ב- צעדים למצוא את ואז קיבלנו את ו- המקיימים:

ב-.

באותה דרך אפשר למצוא את , באופן כללי אחרי שאנחנו יודעים מהם הערכים של אז אפשר לחשב את על ידי פתרון:

בחבורה . כל לוגריתם כזה ניתן לפתרון בזמן שורש צעדים. לכן אחרי צעדים אפשר לקבל את המעריך המקיים .

דוגמאות להמחשה

נתונים הערכים:

.

והבעיה היא לפתור את המשוואה בשדה שהוא מסדר 11250. במקרה זה פותרים את הלוגריתם הבדיד של תת-בעיות מסדר נמוך לפי הגורמים הראשוניים של . שני הגורמים הראשונים קטנים לכן הפתרון שלהם טריוויאלי. להלן דוגמה לפתרון בעיית הלוגריתם הבדיד בסדר של הגורם השלישי. אנחנו מנסים לפתור את המשוואה בשדה . היות שהראשוני נבחר בצורה כזו ש- מתחלק ב- ולכן הוא מסדר בשדה . פותרים אותו בהדרגה כדי לקבל את כדלהלן:

1. הצעד הראשון הוא לפתור את המשוואה , שמצטמצמת למשוואה זה קל כי הוא הפתרון היחיד ובשלב זה ערכו של הוא .

2. בצעד השני מנסים לפתור את:

,

שמצטמצמת למשוואה . כל מה שצריך לבדוק עבור זה ערכים בטווח 1 עד 4. כך שאפשר לפתור את זה בכוח גס די בקלות. במקרה זה הפתרון הוא , לכן בשלב זה ערכו של הוא .

3. ממשיכים לצעד הבא ומנסים לפתור את:

,

שמצטמצמת למשוואה לכן והמשמעות במקרה זה היא שערכו של נשאר 11 בשלב זה.

4. הצעד הבא והאחרון הוא לפתור את:

.

5. התוצאה האחרונה היא , שהפתרון שלה הוא לכן התשובה הסופית היא:

.
אפשר לראות שמתקיים בשדה .

להלן דוגמה לאלגוריתם פוליג הלמן המשתמש במשפט השאריות הסיני כדי לחבר ביחד את כל הפתרונות לפתרון השלם. בטבלה הבאה מוצגים פתרונות שלוש תת-הבעיות:

2 1 11250 11250 1
3 2 5029 10724 4
5 4 5448 6909 511


הבעיה המופיעה בשורה השלישית היא הבעיה מהדוגמה הקודמת.

בשלב זה מנצלים את משפט השאריות הסיני כדי לפתור את מערכת המשוואות המודולרית:

והפתרון הוא מודולו .

אלגוריתם גרנר לפתרון CRT

אלגוריתם גרנר לפתרון מערכת משוואות מודלרית לפי משפט השאריות הסיני[3].

קלט: שלם חיובי שהוא כפולה של שלמים חיוביים זרים זה לזה וייצוג מודולרי (השאריות) של מודולו כל .

פלט: שלם המקיים את משוואת CRT.

  1. עבור עד מצבעים:
    1. עבור עד מבצעים:
  2. עבור עד מחשבים את: .
  3. מחזירים את .

הערות שוליים

  1. ^ S. Pohlig and M. Hellman, "An improved algorithm for computing logarithms over GF(p) and its cryptographic significance (Corresp.)," Information Theory, IEEE Transactions on 24, no. 1 (1978): 106-110.
  2. ^ An Introduction to Mathematical Cryptography Hoffstein, Jeffrey, Pipher, Jill, Silverman, J.H. Springer 2014, Chapter 2: The Pohlig-Hellman algorithm, Page 86
  3. ^ Handbook of Applied Cryptography Number-Theoretic Reference Problems, Paul van Oorschot, Alfred J. Menezes, Scott A. Vanstone, CRC Press 1997
Logo hamichlol 3.png
הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0