Làm thế nào khó là tìm thấy logarit rời rạc?

20

$b$ $a^b=c \bmod N$ $a$ $c$ $N$

Tôi tự hỏi những nhóm phức tạp nào (ví dụ như đối với máy tính cổ điển và lượng tử), đây là phương pháp nào, và phương pháp nào (tức là thuật toán) là tốt nhất để hoàn thành nhiệm vụ này.

Liên kết wikipedia ở trên không thực sự mang lại thời gian chạy rất cụ thể. Tôi hy vọng một cái gì đó giống như những phương pháp được biết đến nhiều nhất để tìm ra như vậy.

— Matt Groff
nguồn

Tôi không biết thuật toán tốt nhất là gì, nhưng bạn có thể tìm thấy một số thuật toán trong chương 5 của bài giảng này của Johan Hastad. Tôi sẽ tóm tắt các thuật toán này nhưng tôi đã không đọc chương này, vì vậy tôi chỉ cung cấp liên kết;)

— Marc Bury

21

Câu trả lời ngắn.
Nếu chúng ta xây dựng một phiên bản vấn đề quyết định thích hợp của vấn đề Logarit rời rạc, chúng ta có thể chỉ ra rằng nó thuộc về giao điểm của các lớp phức tạp NP , coNP và BQP .

Một phiên bản vấn đề quyết định của Nhật ký rời rạc.
Bài toán logarit rời rạc thường được coi là một bài toán hàm , ánh xạ các bộ số nguyên sang một số nguyên khác. Công thức của vấn đề này không tương thích với các lớp phức tạp P , BPP , NP , và do đó mọi người thích xem xét, chỉ quan tâm đến các vấn đề quyết định (có / không). Chúng tôi có thể xem xét một phiên bản vấn đề quyết định của vấn đề nhật ký rời rạc tương đương hiệu quả:

Nhật ký rời rạc (Vấn đề quyết định). Cho một số nguyên tố , một trình tạo của các đơn vị nhân modulo , một số nguyên và một giới hạn trên , xác định xem có tồn tại sao cho . $N$ $a \in \mathbb Z_N^\times$ $N$ $0 < c < N$ $b \in \mathbb N$ $1 \leqslant L \leqslant b$ $a^L \equiv c \pmod{N}$

Điều này sẽ cho phép chúng tôi thực sự tính toán đăng nhập _một ( c ) modulo N bằng cách tìm kiếm nhị phân, nếu chúng ta có hiệu quả có thể giải quyết nó. Sau đó chúng tôi có thể yêu cầu các lớp phức tạp mà vấn đề này thuộc về. Lưu ý rằng chúng tôi đã giải quyết vấn đề này như một vấn đề hứa hẹn: chúng tôi có thể mở rộng nó thành vấn đề quyết định bằng cách tạm dừng các yêu cầu mà là số nguyên tố và một trình tạo, nhưng thêm điều kiện các hạn chế này giữ cho bất kỳ trường hợp 'CÓ' của vấn đề. $N$ $a \in \mathbb Z_N^\times$

Nhật ký rời rạc là trong BQP.
Sử dụng thuật toán của Shor để tính toán logarit rời rạc ( Thuật toán thời gian đa thức cho hệ số nguyên tố và logarit rời rạc trên máy tính lượng tử ), chúng ta có thể dễ dàng chứa Nhật ký rời rạc trong BQP . (Để kiểm tra xem thực sự là một trình tạo hay không, chúng tôi có thể sử dụng thuật toán tìm đơn hàng của Shor trong cùng một bài báo, là cơ sở cho thuật toán logarit rời rạc, để tìm thứ tự của và so sánh nó với .) $a \in \mathbb Z_N^\times$ $a$ $N-1$

Nhật ký rời rạc nằm trong NP ∩ coNP.
Nếu thực tế trường hợp là số nguyên tố và là trình tạo, thì chứng chỉ đủ cho trường hợp 'CÓ' hoặc 'KHÔNG' của vấn đề quyết định là số nguyên duy nhất sao cho . Vì vậy, nó đủ cho thấy rằng chúng ta có thể chứng nhận liệu các điều kiện trên và có giữ hay không. Sau Brassard của Lưu ý về sự phức tạp của mật mã , nếu nó là cả những trường hợp đó là số nguyên tố và là một máy phát điện, sau đó nó là trường hợp đó $N$ $a \in \mathbb Z_N^\times$ $0 \leqslant L < N-1$ $a^L \equiv c \pmod{N}$ $a$ $N$ $N$ $a \in \mathbb Z_N^\times$

r^{N - 1} \equiv 1 (\mod N) and r^{(N - 1) / q} ≢ 1 (\mod N) for primes q dividing N - 1

$r^{N-1} \equiv 1 \!\!\!\!\pmod{N} \qquad\text{and}\qquad r^{(N-1)/q} \not\equiv 1 \!\!\!\!\pmod{N} ~~\text{for primes $q$ dividing $N-1$}$ theo định nghĩa (sử dụng thực tế là có thứ tự ).

Z_{N}^{\times}

$\mathbb Z_N^\times$

N - 1

$N-1$

Giấy chứng nhận rằng những hạn chế về và cả hai tổ chức sẽ là một danh sách các thừa số nguyên tố chia , mà sẽ cho phép chúng tôi để kiểm tra những hạn chế tương đẳng trên. (Chúng tôi có thể kiểm tra xem mỗi có phải là số nguyên tố hay không bằng cách sử dụng kiểm tra AKS nếu chúng tôi muốn và kiểm tra xem đây có phải là tất cả các yếu tố chính của bằng cách cố gắng tìm hệ số công suất chính của chỉ với các số nguyên tố đó.) $N$ $a$ $q_1, q_2, \ldots$ $N-1$ $q_j$ $N-1$ $N-1$
Giấy chứng nhận rằng một trong những khó khăn về hoặc thất bại sẽ là một số nguyên mà chia , sao cho . Không cần thiết phải kiểm tra về tính nguyên thủy trong trường hợp này; nó ngay lập tức ngụ ý rằng thứ tự của nhỏ hơn , và do đó, nó là một trình tạo của nhóm nhân chỉ khi không thành số nguyên tố. $N$ $a$ $q$ $N-1$ $a^{(N-1)/q} \equiv 1 \pmod{N}$ $q$ $a$ $N-1$ $N$

— Niel de Beaudrap
nguồn

3

Trong trường hợp chung và trường hợp xấu nhất, câu trả lời của Niel de Beaudrap là chính xác, theo sự hiểu biết tốt nhất của tôi.

Tuy nhiên, trong trường hợp chỉ có các thừa số nguyên tố nhỏ, thuật toán Pohlig-Hellman tìm thấy logarit trong thời gian . Do đó, đối với trường hợp này, toán logarithm rời rạc là trong . Như vậy, khi một giao thức mật mã phụ thuộc vào độ cứng của vấn đề này, điều quan trọng là chọn mô-đun, , sao cho có các thừa số nguyên tố lớn. $N-1$ $O(log^2(N))$ $P$ $N$ $N-1$

— danxinnoble
nguồn

-1

vì , sau đó . (Có nghĩa là lực lượng vũ phu là trong EXP.) $|a|=O(N)$ $b=O(N)$

Đối với một máy không xác định, có một nhân chứng đa thức vì chúng ta có thể thực hiện phép lũy thừa mô đun trong P. (Tức là vấn đề nằm ở .) $NP$

Giả thuyết rằng logarit rời rạc nằm trong nhưng không phải là cơ sở của mật mã hiện đại, nhưng điều đó rõ ràng chưa được chứng minh. $NP$ $P$

Phương pháp của Shor (được liên kết đến trên trang wikipedia đó) chạy trong thời gian đa thức trên máy tính lượng tử.

— Xodarap
nguồn