בעיית הלוגריתם הבדיד

באלגברה חישובית ובקריפטוגרפיה, בעיית הלוגריתם הבָּדִיד (דיסקרטי) המסומנת בקיצור DLP (באנגלית: Discrete Logarithm Problem), היא מציאת המעריך $x$ בהינתן הבסיס $g$ והתוצאה $h$ כך שמתקיים $h=g^{x}$ , בקיצור $x=\log _{g}h$ כאשר $h,g$ ו- $x$ הם מספרים שלמים.

בניגוד ללוגריתם רגיל מעל המספרים הממשיים שאותו קל לחשב בשיטות המסתמכות על קירוב, קשה לחשב לוגריתם בדיד בקבוצה סופית של מספרים שלמים מודולו שלם כלשהו הנקרא מודולוס. בעיית הלוגריתם הבדיד בחבורה ציקלית משוערת מזה כמה עשורים כבעיה מתמטית קשה והיא הבסיס למספר אלגוריתמים חשובים בהצפנת מפתח ציבורי כמו פרוטוקול דיפי-הלמן ואלגוריתם חתימה דיגיטלית DSA.

חבורה ציקלית[עריכת קוד מקור | עריכה]

ערך מורחב – חבורה ציקלית

תהי $\mathbb {G}$ חבורה סופית מסדר $m$ . עבור כל איבר $g\in \mathbb {G}$ קבוצת החזקות של $g$ :

\langle g\rangle =\{g^{0},g^{1},g^{2},...\}

היא תת-חבורה ציקלית של $\mathbb {G}$ שהסדר שלה הוא השלם הקטן ביותר $i$ המקיים $g^{i}=1$ . קל לראות שהרצף חוזר על עצמו כי $g^{i}=g^{0}$ וכן $g^{i+1}=g^{1}$ וכן הלאה. במקרה זה $g$ נקרא יוצר או איבר פרימיטיבי (שורש פרימיטיבי). אם $m$ ראשוני אז $\mathbb {G}$ היא צקלית וכל איבריה פרט ל-1 הם יוצרים שלה. לעומת זאת סדר החבורה הכפלית $\mathbb {Z} _{n}^{*}$ אינו ראשוני (למעט אם $n=1,2,3,4,6$ ). לדוגמה $\mathbb {Z} _{15}^{*}$ לפי אוילר היא מסדר $(5-1)(3-1)=8$ . לא כל האיברים של חבורה זו הם יוצרים שלה, רואים ש-2 למשל אינו יוצר של החבורה כי $\langle 2\rangle =\{1,2,4,8\}$ והסדר שלו הוא 4 (כלומר אם מעלים את 2 בחזקת $i$ עבור $i=1,2,3,...$ רואים שמתקבלת חבורה ציקלית עם ארבעה איברים שחוזרים על עצמם). כן רואים שלפי חוקי החבורות סדר תת-חבורה תמיד מחלק של סדר החבורה. אם $\mathbb {G}$ היא חבורה ציקלית מסדר ראשוני $q$ , קיים יוצר של החבורה $g\in \mathbb {G}$ כך שמתקיים $\{g^{0},g^{1}.g^{2},...,g^{q-1}\}=G$ (למעשה יכולים להיות יוצרים רבים). במילים אחרות, עבור כל שלם $h\in \mathbb {G}$ קיים שלם ייחודי $x\in \mathbb {G}$ המקיים $g^{x}=h$ . אם החבורה $\mathbb {G}$ מובנת מההקשר קוראים ל- $x$ "הלוגריתם הבדיד" של $h$ בבסיס $g$ ואפשר לכתוב זאת בקיצור $\log _{g}h$ . כמו כן אם $g^{x'}=h$ עבור שלם כלשהו $x'$ אז $\log _{g}h=x'{\text{ (mod }}q)$ . הסיבה שהלוגריתם נקרא כאן "בדיד" נובעת מהעובדה שהוא נלקח מעל חבורה סופית, זאת בניגוד ללוגריתם רגיל שטווח הערכים שלו הוא מעל קבוצה אין סופית.

חוקי הלוגריתמים[עריכת קוד מקור | עריכה]

לוגריתם בדיד מציית לחוקי הלוגריתמים הרגילים. למשל, $\log _{g}1=0$ (כאשר '1' הוא איבר יחידה של $\mathbb {G}$ ) וכן:

$\log _{g}(h_{1}\cdot h_{2})=(\log _{g}h_{1}+\log _{g}h_{2}){\text{ mod }}p$ .
$\log _{g}(h^{y})=(y\log _{g}h){\mbox{ mod }}p$ עבור שלם $y$ כלשהו.

הגדרה פורמלית[עריכת קוד מקור | עריכה]

הגדרה פורמלית^[1] של בעיית הלוגריתם הבדיד היא:

נתונה חבורה ציקלית סופית מסדר $q$ המסומנת ב- $\mathbb {G}$ ונתון יוצר $g$ של החבורה ויהי $h\in \mathbb {G}$ איבר כלשהו. מצא את הלוגריתם הבדיד של $h$ בבסיס $g$ בקיצור $\log _{g}h$ שהוא איבר יחידי $x$ בטווח $0\leq x\leq q-1$ המקיים: $h=g^{x}$ .

ביתר פירוט, נתון אלגוריתם פולינומי יעיל ${\mathcal {G}}$ שמקבל את $1^{n}$ ומחזיר את החבורה $\mathbb {G}$ , הסדר שלה $q$ ויוצר $g\in \mathbb {G}$ . ונתון הניסוי הבא:

ניסוי לוגריתם בדיד ${\boldsymbol {\mathbf {DLog} _{{\mathcal {A}},{\mathcal {G}}}(n)}}$ :

מריצים את ${\mathcal {G}}(1^{n})$ כדי לקבל את $(\mathbb {G} ,q,g)$ כאשר $\mathbb {G}$ היא חבורה ציקלית מסדר $q$ ו- $g$ הוא יוצר של $\mathbb {G}$ .
בוחרים איבר $h\leftarrow \mathbb {G}$ (אפשר לעשות זאת על ידי בחירת איבר אקראי $x'$ וחישוב $h=g^{x'}$ ).
האלגוריתם ${\mathcal {A}}$ מקבל את $(\mathbb {G} ,q,g,h)$ ומחשב את $x\in \mathbb {Z} _{q}$ .
הניסוי יוכתר בהצלחה אם $g^{x}=h$ אחרת הוא מסתיים בכישלון.

בהגדרה פורמלית, אומרים שבעיית הלוגריתם הבדיד (המסומנת בקיצור DLP) קשה לפתרון ביחס ל- ${\mathcal {G}}$ אם עבור כל אלגוריתם פולינומי הסתברותי ${\mathcal {A}}$ קיימת פונקציית זניחות ${\text{negl}}$ כך שמתקיים:

\Pr[{\text{DLog}}_{{\mathcal {A}},{\mathcal {G}}}(n)=1]\leq {\text{ negl}}(n)

במילים, ההשערה היא שקיימת חבורה $\mathbb {G}$ שבה בעיית DLP קשה לפתרון מבחינה חישובית למעט בהסתברות זניחה.

דוגמה במספרים קטנים[עריכת קוד מקור | עריכה]

אם $p=97$ אז $\ \mathbb {Z} _{97}^{*}$ היא חבורה ציקלית מסדר $\ n=96$ . אם ניקח יוצר של $\ \mathbb {Z} _{97}^{*}$ למשל $\ \alpha =5$ . בהינתן השלם $\ 35$ , הבעיה היא למצוא $\ x$ המקיים $5^{x}\equiv 35({\mbox{ mod }}97)$ , היות ש- $\ 5^{32}\equiv 35({\mbox{mod }}97)$ , אז $\ {\mbox{log}}_{5}35=32$ ב- $\ \mathbb {Z} _{97}^{*}$ .

הכללה של בעיית הלוגריתם הבדיד[עריכת קוד מקור | עריכה]

נתונה חבורה ציקלית מסדר ראשוני $q$ , המסומנת ב- $\mathbb {G}$ , ונתונים $n$ יוצרים $g_{1},\dots ,g_{n}\in \mathbb {G}$ . בהינתן $h\in \mathbb {G}$ איבר כלשהו, בעיית ייצוג הלוגריתם הבדיד (discrete logarithm representation problem) בקיצור DLREP, היא למצוא n-יה $(x_{1},\dots ,x_{n})$ כך ש- $h=g_{1}^{x_{1}}\cdots g_{n}^{x_{n}}$ . n-יה כזו נקראת הייצוג של $\textstyle h=\Pi _{i=1}^{n}g_{i}^{x_{i}}$ ביחס ל- $(g_{1},...,g_{n})$ .

לדוגמה, ה-n-יה $(0,...,0)$ היא הייצוג של 1 ביחס לכל בסיס $(g_{1},...,g_{n})$ , והיא נקראת ייצוג טריוויאלי. בעיית ייצוג הלוגריתם הבדיד נחשבת לבעיה קשה, ובפרט היא קשה יותר מבעיית הלוגריתם הבדיד (אם ניתן לפתור את בעיית ייצוג הלוגריתם הבדיד, אזי ניתן לפתור את בעיית הלוגריתם הבדיד). בעיית DLREP אטרקטיבית כי אפשר להשתמש בה לצורך חתימה עיוורת.

בעיית דיפי-הלמן[עריכת קוד מקור | עריכה]

ויטפילד דיפי ומרטין הלמן פרסמו ב-1976 מאמר פורץ דרך שהעלה לראשונה את רעיון ההצפנה האסימטרית והציעו לבססה על בעיה מתמטית קשה בתורת המספרים הקשורה לבעיית הלוגריתם הבדיד שנקראת כיום בעיית דיפי-הלמן והיא מתחלקת לשתים, בעיית דיפי הלמן חישובית, המסומנת בקיצור CDH ובעיית הכרעת דיפי-הלמן המסומנת בקיצור DDH. שתיהן בעיות בעלות חשיבות רבה בתחום הקריפטוגרפיה. נתונה חבורה ציקלית $\mathbb {G}$ ויוצר $g\in \mathbb {G}$ ונתונים שני איברים מהחבורה $h_{1}$ ו- $h_{2}$ כאשר $h_{1}=g^{x}$ ו- $h_{2}=g^{y}$ עבור שני שלמים $x$ ו- $y$ לא ידועים. פונקציית דיפי-הלמן מוגדרת כדלהלן:

{\text{DH}}_{g}(h_{1},h_{2})=g^{x\cdot y}=h_{1}^{y}=h_{2}^{x}

.

הבעיה הראשונה, בעיית CDH, היא לחשב את פונקציית דיפי-הלמן ${\text{DH}}_{g}(h_{1},h_{2})$ עבור שני איברים אקראיים $h_{1},h_{2}$ (כאשר $x$ ו- $y$ אינם ידועים אחרת הבעיה טריוויאלית). הבעיה השנייה DDH היא בעיית הכרעה, להבחין בין פלט הפונקציה ${\text{DH}}_{g}(h_{1},h_{2})$ לבין איבר אקראי כלשהו מהחבורה. במילים אחרות עבור איברים $h_{1},h_{2}$ שנבחרו באקראי ופתרון אפשרי $h'$ הבעיה היא להכריע האם $h'={\text{DH}}_{g}(h_{1},h_{2})$ או $h'$ הוא איבר אקראי חסר משמעות.

אם בעיית הלוגריתם הבדיד קלה לפתרון אז אפשר לפתור גם את בעיית דיפי-הלמן, תחילה מחשבים את $x=\log _{g}h_{1}$ ואז מחזירים את $h_{2}^{x}$ . מאידך לא ברור האם קושיה המשוער של בעיית דיפי-הלמן שקול לבעיית הלוגריתם הבדיד.

בעיית DDH נחשבת לבעיה קשה ביחס ל- $\mathbb {G}$ אם עבור כל אלגוריתם הסתברותי פולינומי ${\mathcal {A}}$ קיימת פונקציית זניחות ${\text{negl}}$ כך שהמתקיים:

|\Pr[{\mathcal {A}}(\mathbb {G} ,q,g,g^{x},g^{y},g^{z})=1-\Pr[{\mathcal {A}}(\mathbb {G} ,q,g,g^{x},g^{y},g^{xy})=1]|\leq {\text{ negl}}(n)

כאשר $x,y,z$ הם איברים אקראיים. במילים פירושו שהבעיה האמורה קשה אם לא קיים אלגוריתם ${\mathcal {A}}$ שמצליח להכריע האם $z=xy$ בהסתברות משמעותית ביחס לסדר החבורה. אם $z$ נבחר באקראי מתוך $\mathbb {Z} _{q}$ באופן בלתי תלוי בערכים אחרים אז האיבר $g^{z}$ הוא בעל התפלגות אחידה בדידה ב- $\mathbb {G}$ .

ישנן מספר חבורות בהן בעיית הלוגריתם הבדיד ותאומה בעיית דיפי-הלמן קשות לפתרון. העדיפות היא לחבורה ציקלית מסדר ראשוני והסיבות הן ראשית משום שידוע שאם סדר החבורה אינו ראשוני אפשר לצמצם את בעיית הלוגריתם הבדיד לבעיה בתת-חבורות שלה שהן יותר קטנות ולכן הפתרון קל יותר. שנית, קל למצוא יוצר בחבורה מסדר ראשוני כי כל איברי החבורה הם יוצרים. בנוסף, קל יותר למצוא הופכי כפלי של מעריך כלשהו דבר שרצוי במבנים קריפטוגרפיים מסוימים ובעיקר הסיבה היא שזה הגיוני להשתמש בחבורה מסדר ראשוני כי אם הסדר ראשוני אפשר להוכיח שפלט הפונקציה ${\text{DH}}_{g}(h_{1},h_{2})$ הוא כמעט אקראי בהשוואה להתפלגות אחידה מעל $\mathbb {G}$ .

למרות זאת, החבורה הכפלית $\mathbb {Z} _{p}^{*}$ עם ראשוני $p$ נפוצה בישומים מעשיים למרות שסדר החבורה הזו אינו ראשוני. ההשערה היא שבעיית הלוגריתם הבדיד בחבורה זו קשה גם היא בתנאי שמשתמשים בתת-חבורה מתאימה של $\mathbb {Z} _{p}^{*}$ . האיבר $y\in \mathbb {Z} _{p}^{*}$ הוא שארית ריבועית מודולו $p$ אם קיים איבר $x\in \mathbb {Z} _{p}^{*}$ המקיים $x^{2}\equiv y{\text{ (mod }}p)$ . כך שקבוצת כל השאריות הריבועיות היא תת-חבורה של $\mathbb {Z} _{p}^{*}$ . מחצית מהאיברים של החבורה $\mathbb {Z} _{p}^{*}$ הם שאריות ריבועיות מודולו $p$ . אם $p$ הוא מספר ראשוני "חזק", כלומר $p=2q+1$ כאשר $q$ ראשוני אז מספר האיברים בתת-החבורה המכילה את כל השאריות הריבועיות מודולו $p$ הוא $(p-1)/2=q$ והיות ש- $q$ ראשוני תת-חבורה זו ציקלית. יתרה מזו כל האיברים בתת-חבורה זו הם יוצרים שלה. כדי למצוא יוצר, פשוט בוחרים איבר אקראי כלשהו $x$ שהתנאי הוא שלא יהיה שקול ל- $\pm 1$ (מודולו $p$ ) ואז מציבים $g=x^{2}$ מודולו $p$ .

דוגמה לבעיית דיפי-הלמן במספרים קטנים[עריכת קוד מקור | עריכה]

נתון הראשוני $p=97$ החבורה הציקלית $\mathbb {Z} _{97}^{*}$ מסדר $n=96$ והיוצר $g=5$ . אם נבחר $x=32$ וכן $y=17$ . אם נתונים האיברים $5^{32}\equiv 35$ ו- $5^{17}\equiv 83$ (מודולו 97), בעיית דיפי-הלמן היא לגלות את $5^{17\cdot 32}\equiv 5^{64}\equiv 61{\text{(mod }}97)$ (כאשר $x$ ו- $y$ לא ידועים), יש לשים לב שאת החזקה מצמצמים מודולו ההסדר של החבורה 96.

עקום אליפטי[עריכת קוד מקור | עריכה]

ערך מורחב – הצפנה מבוססת עקום אליפטי

חבורה אחרת שבה ההשערה היא שבעיית הלוגריתם הבדיד קשה היא אוסף הנקודות על עקום אליפטי. היתרון שלו הוא שבניגוד לחבורה כפלית לא ידוע על אלגוריתם שמסוגל לפתור את בעיית הלוגריתם הבדיד בזמן ריצה תת-מעריכי בחבורת העקום האליפטי. בקצרה, יהי $p\geq 5$ מספר ראשוני ונתונה משוואה ממעלה שלישית $E$ בשני נעלמים $x$ ו- $y$ מהצורה:

y^{2}=x^{3}+Ax+B{\text{ mod }}p

.

כאשר $A,B\in \mathbb {Z} _{p}$ הם קבועים המקיימים את התנאי $4A^{3}+27B^{2}\not \equiv 0{\text{ (mod }}p)$ (תנאי זה הכרחי כדי להבטיח שלא יהיו בעקום קצוות חדים) נניח ש- ${\hat {E}}(\mathbb {Z} _{p})$ מייצג את כל הזוגות $(x,y)\in \mathbb {Z} _{p}\times \mathbb {Z} _{p}$ המקיימים את המשוואה האמורה, אז העקום האליפטי הוא $E(\mathbb {Z} _{p})={\hat {E}}(\mathbb {Z} _{p})\cup \{{\mathcal {O}}\}$ . במילים, אוסף כל הנקודות המקיימות את המשוואה האמורה עם נקודה מיוחדת הנקראת "הנקודה באין סוף" המסומנת ב- ${\mathcal {O}}$ . קיים כלל חיבור מסובך שמאפשר לחבר שתי נקודות בעקום כדי לקבל נקודה שלישית שגם היא בעקום; $R=P+Q$ או חיבור נקודה בעצמה $Q=P+P=2P$ . למרבה ההפתעה אפשר להוכיח שקבוצת הנקודות בעקום $E$ יחד עם כלל החיבור יוצרים חבורה אבלית. שהיא חבורה סגורה תחת כלל החיבור כשהנקודה באין סוף משמשת כאיבר יחידה. לכל נקודה יש נקודה הופכית וכן חוקי האסוציאטיביות והקומוטטיביות מתקיימים בה.

בעיית הלוגריתם הבדיד בעקום אליפטי היא כדלקמן. נתון עקום אליפטי $E(\mathbb {Z} _{p})$ ונתונה נקודה כלשהי $P\in E(\mathbb {Z} _{p})$ הנקראת נקודת הבסיס וכן הנקודה $Q\in \langle P\rangle$ מצא שלם $l$ המקיים $Q=lP$ . השלם $l$ נקרא הלוגריתם הבדיד של הנקודה $Q$ בבסיס הנקודה $P$ או בקיצור $l=\log _{P}Q$ . הקבוצה $\langle P\rangle$ היא תת-חבורה ציקלית המכילה את אוסף כל הנקודות שהן כפולות של $P$ כלומר $\{P,2P,3P,4P,...\}$ עד שמגיעים לנקודה באין סוף (נניח שנמצא שלם $t$ כך שמתקיים $tP={\mathcal {O}}$ ) הנקודה $Q$ נמצאת אי שם בחבורה זו כאשר השלם $l<t$ מייצג את מספר הפעמים שהיה צריך לחבר את הנקודה $P$ כדי להגיע ל- $Q$ :

Q=\underbrace {P+P+\cdots +P} _{l{\text{ times}}}

האלגוריתם הטוב ביותר הידוע כיום לפתרון בעיית הלוגריתם הבדיד בעקום אליפטי (אם לא מביאים בחשבון אלגוריתם קוונטי) היא גרסה מקבילית של אלגוריתם רו של פולרד ללוגריתמים.

אלגוריתמים[עריכת קוד מקור | עריכה]

באופן כללי נתונה חבורה הציקלית $\mathbb {G}$ עם היוצר $g$ והאיבר $y\in \langle g\rangle$ הבעיה היא מציאת השלם $x$ המקיים $g^{x}=y$ (בתת-החבורה הנוצרת על ידי $g$ או בחבורה $\mathbb {G}$ אם $g$ הוא יוצר שלה), המסומנת בקיצור $\log _{g}y$ מודולו הסדר של $g$ שנקרא לעיתים הבסיס. אותה אפשר לפתור בכמה דרכים. הפתרון הנאיבי ביותר הוא שיטת כוח גס, כלומר אפשר לחשב את כל החזקות של $g$ לפי סדר $g^{1},g^{2},g^{3},...$ עד שמתקבל $y$ . סיבוכיות הפתרון היא מסדר גודל $O(q)$ . קיימים מספר אלגוריתמים שלהם סיבוכיות טובה יותר והם מתחלקים לשתי קטגוריות. אלגוריתם גנרי שפועל על כל חבורה ואלגוריתם שפועל רק על חבורה ספציפית. לצורך הדיון אפשר להתעלם מהחבורה $\mathbb {G}$ ולהתייחס ישירות לתת-החבורה $\langle g\rangle$ שהיא מסדר $q$ שההנחה היא שהוא מספר ראשוני ידוע. להלן רשימת האלגוריתמים הידועים לפתרון בעיית הלוגריתם הבדיד וכן בעיית דיפי-הלמן.

אלגוריתם צעד-קטן צעד-גדול של דויד שנקס שמסוגל למצוא לוגריתם בדיד בזמן ריצה של $O({\sqrt {q}}\times {\text{polylog}}(q))$ ובסיבוכיות מקום בסדר גודל $O({\sqrt {q}})$ .
אלגוריתם פוליג-הלמן הוא אלגוריתם ספציפי המתאים במקרה שהגורמים הראשוניים של סדר החבורה $q$ ידועים. במיוחד, אם לסדר החבורה יש גורמים קטנים, אלגוריתם זה מאפשר לצמצם את הבעיה לשתי בעיות לוגריתם בדיד מסדר קטן יותר (לפי גודלם של הגורמים הראשוניים) והפתרונות שלהם ניתנים לשילוב כדי לקבל פתרון לבעיה המקורית בסיבוכיות זמן זהה לבעיות הקטנות.
אלגוריתם רו של פולרד ללוגריתמים שזמן ריצתו הוא $O({\sqrt {q}})$ בדומה לאלגוריתם צעד-קטן צעד-גדול אך ללא סיבוכיות מקום.
אלגוריתם תחשיב אינדקסים שרץ בזמן ריצה תת-מעריכי ונחשב לאלגוריתם החזק ביותר הידוע כיום לפתרון בעיית הלוגריתם הבדיד בחבורות מסדר גדול מאוד כמו $\mathbb {Z} _{n}^{*}$ עבור $n\geq 500$ פריק. גרסה אחת שלו הנקראת אלגוריתם Coppersmith מסוגלת להגיע לזמן ריצה של $\textstyle L_{2^{m}}\left[{\frac {1}{3}},c\right]$ עבור קבוע כלשהו $c<1.587$ .
כאשר מחשבים קוונטיים יהיו מעשיים אפשר יהיה לפתור את בעיית הלוגריתם הבדיד בזמן פולינומי עם אלגוריתם שור^[2].

אלגוריתם צעד-קטן צעד-גדול[עריכת קוד מקור | עריכה]

אלגוריתם צעד-קטן/צעד-גדול של דויד שנקס הוא אלגוריתם כוח גס רקורסיבי שעושה שימוש בזיכרון כדי לפתור את בעיית הלוגריתם הבדיד בחבורה ציקלית מסדר $q$ בזמן ריצה של $O({\sqrt {q}}\cdot {\text{polylog}}(q))$ . הרעיון הוא פשוט. בהינתן תת-חבורה ציקלית $\langle g\rangle$ ואיבר $y\in \langle g\rangle$ , אפשר לדמיין את החבורה כמעגל של האיברים $1=g^{0},g^{1},g^{2},...,g^{q-2},g^{q-1},g^{q}=1$ .

ידוע ש- $y=g^{x}$ חייב להיות היכן שהוא בתוך המעגל, במקום לחשב ולאחסן בזיכרון את כל האיברים של המעגל עד שנמצא $x$ שזה אינו מעשי, "מסמנים" נקודות במעגל במרווחים קבועים (או מדלגים במרחק קבוע) לפי $t=\lfloor {\sqrt {q}}\rfloor$ . במילים אחרות מחשבים ומאחסנים בטבלה ממוינת בזיכרון את האיברים:

g^{0},g^{t},g^{2t},...,g^{\lfloor q/t\rfloor \cdot t}

.

שלב זה נקרא "צעד-גדול". כעת היות ש- $y=g^{x}$ נמצא באחד מהמרווחים, מובטח שאחד מ- $t$ האיברים

y\cdot g^{0}=g^{x},y\cdot g^{1}=g^{x+1},...,y\cdot g^{t}=g^{x+t}

יהיה שווה לאחת מהנקודות שאוחסנו בטבלה בזיכרון, שלב זה נקרא "צעד-קטן". נניח ש- $y\cdot g^{i}=g^{k\cdot t}$ עבור $i$ ו- $k$ כלשהם, אפשר בקלות לפתור את הלוגריתם על ידי $y=g^{kt-i}$ או $\log _{g}y=(kt-i){\text{ mod }}q$ .

האלגוריתם דורש $O({\sqrt {q}})$ העלאות בחזקה בחבורה $\mathbb {G}$ , כל פעולה כזו מתבצעת בזמן של $O({\text{polylog}}(q))$ פעולות בסיסיות, אם משתמשים באלגוריתם יעיל לחישוב חזקות בחבורה. אך יש צורך לאחסן בזיכרון ${\sqrt {q}}$ איברים בערך. למעשה ברקורסיה, למעט האיבר הראשון לחישוב כל איבר נדרשת פעולת כפל אחת: $g_{i}=g_{i-1}\cdot g_{1}$ באופן דומה כל $y_{i}$ ניתן לחישוב כ- $y_{i}=y_{i-1}\cdot g$ . מיון ניתן לביצוע בזמן של $O({\sqrt {q}}\log q)$ וחיפוש בינארי מתבצע בזמן של $O(\log q)$ .

פירוט מהלכי האלגוריתם[עריכת קוד מקור | עריכה]

קלט: תת-חבורה $g\in \mathbb {G}$ , האיבר $y\in \langle g\rangle$ וסדר החבורה $q$ .

פלט: $\log _{g}y$ .

מחשבים את $t=\lfloor {\sqrt {q}}\rfloor$ .
עבור $i=0$ $i=0$ עד $\lfloor q/t\rfloor$ $\lfloor q/t\rfloor$ מבצעים כדלהלן:
1. מחשבים את $g_{i}=g^{i\cdot t}$ .
ממיינים את כל הזוגות ( $i,g_{i}$ ) לפי הערך השני.
עבור $i=0$ $i=0$ עד $t$ $t$ מבצעים:
1. מחשבים את $y_{i}=y\cdot g^{i}$ ובודקים
2. אם $y_{i}=g_{k}$ עבור $k$ כלשהו מחזירים את $(kt-i)$ מודולו $q$ .

דוגמה במספרים קטנים[עריכת קוד מקור | עריכה]

בחבורה $\mathbb {Z} _{29}^{*}$ מסדר $q=28$ , אם $g=2$ ו- $y=17$ כדי לחשב את הלוגריתם הבדיד של 17 בבסיס 2 תחילה מחשבים את $t=5$ ואז מכינים טבלה עם זוגות הערכים הבאים (מודולו 29) ממוינת לפי הערך השני:

1	2	3	4	5	6
$0,2^{0}=1$	$5,2^{5}=3$	$10,2^{10}=9$	$25,2^{25}=11$	$20,2^{20}=23$	$15,2^{15}=27$

ואז מחשבים את הערכים הבאים עם המונה $i=0,1,2,...$ :

17\cdot 2^{0}=17,17\cdot 2^{1}=5,17\cdot 2^{2}=10,17\cdot 2^{3}=20,17\cdot 2^{4}=11

בחיפוש מהיר מסתבר שהערך האחרון שהתקבל זהה למעשה לכניסה הרביעית בטבלה לכן $\log _{2}17=25-4=21$ מודולו 29.

לוגריתם בדיד בקריפטוגרפיה[עריכת קוד מקור | עריכה]

בלוגריתם בדיד, בדומה לפירוק לגורמים, ישנן שתי פעולות הופכיות שאינן סימטריות בכוח החישוב הדרוש לביצוען. לדוגמה, כפל ופירוק לגורמים הם פעולות הפוכות, בעוד שכפל היא פעולה קלה במונחי מחשוב, הרי שפירוק לגורמים קשה הרבה יותר ממנה. כן הדבר בלוגריתמים, העלאה בחזקה מודולרית (מודולו שלם $n$ ) קלה הרבה יותר ממציאת החזקה מודולו $n$ . חוסר הסימטריה הזה נקרא פונקציה חד-כיוונית, והיא מנוצלת היטב בעיקר בהצפנה אסימטרית. דוגמאות הן: פרוטוקול דיפי-הלמן להעברת מפתח, צופן אל-גמאל, חתימה דיגיטלית של אל-גמאל ואלגוריתם חתימה דיגיטלית DSA.

כדי להתמודד עם האיום של האלגוריתמים המנויים לעיל, ההנחה היא כיום שראשוני $p$ בגודל 2048 סיביות מספק מרווח ביטחון סביר. תקן DSA מגדיר למשל מספר רמות אבטחה לאלגוריתם חתימה דיגיטלית כשהמרבית היא, p ראשוני בסדר גודל של 3072 סיביות.

החבורות שיש בהן עניין מבחינה קריפטוגרפית הן; החבורה הכפלית $\ \mathbb {Z} _{p}^{*}$ מעל שדה ראשוני גדול, החבורה הכפלית $\ \mathbb {F} _{q}^{*}$ מעל שדה סופי מורחב $\ \mathbb {F} _{q}$ כאשר $\ q=p^{k}$ ו- $\ k\geq 1$ וכן החבורה הכפלית $\ \mathbb {F} _{2^{m}}^{*}$ מעל שדה בינארי $\ \mathbb {F} _{2^{m}}$ עם מציין 2. כן יש עניין מיוחד בחבורה $\ \mathbb {Z} _{n}^{*}$ כאשר $\ n$ שלם פריק, קבוצת הנקודות בעקום אליפטי המוגדר מעל שדה סופי ועקום היפר-אליפטי מעל שדה סופי.

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]

String Module Error: Target string is empty.html בעיית הלוגריתם הבדיד, באתר MathWorld (באנגלית) המזהה לא מולא ולא נמצא בוויקינתונים, נא למלא את הפרמטר.

הערות שוליים[עריכת קוד מקור | עריכה]

^ Introduction to Modern Cryptography (2nd edition), Jonathan Katz and Yehuda Lindell
^ Shor, Peter (1997). "Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer". SIAM Journal on Computing

[1] Introduction to Modern Cryptography (2nd edition), Jonathan Katz and Yehuda Lindell

[2] Shor, Peter (1997). "Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer". SIAM Journal on Computing

[1]

[2]