Рейтинг:6

Crypto

Почему проблема с дискретным логарифмом сложна?

LinusK

02.08.2023, 12:20

Почему задача дискретного логарифмирования считается сложной?

Кто-то еще задал тот же вопрос но ответы только объясняют, что возведение в степень находится в $ О (\ журнал (п)) $ в то время как самые быстрые известные алгоритмы для вычисления дискретных логарифмов находятся в $ О (п) $. (Я опускаю здесь такие детали, как время выполнения индексного исчисления.)

Где-то еще я прочитал: «Мы считаем дискретные логарифмы сложными, потому что более 40 лет очень умные люди не могли найти быстрый алгоритм».

Теперь мне интересно, есть ли аргументы получше. Можете ли вы объяснить, почему дискретные логарифмы сложны?

1417

0 + 0

дискретный логарифм

теория групп

предположения о твердости

kelalaka

02.08.2023, 19:33

[Дискретный логарифм: учитывая p, что значит найти дискретный логарифм x по основанию y?] (https://crypto.stackexchange.com/q/76230/18298)

Ответить

WizardOfMenlo

03.08.2023, 20:31

Небольшое замечание: на самом деле вы можете вычислить дискретный журнал (в общей группе) в $O(\sqrt{n})$ групповых операциях (используя, например, Pollard Rho). См., например, раздел 5.5 «Введение в математическую криптографию».

Ответить

Рейтинг:15

Crypto

poncho

02.08.2023, 12:53

Теперь мне интересно, есть ли аргументы получше.

В конце концов, нет, не совсем так.

У нас нет никаких доказательств того, что вычисление дискретных журналов сложно. Если на то пошло, у нас нет никаких доказательств того, что какая-либо проблема внутри $НП$ (то есть любая проблема, где, если ответ «да», есть быстро проверяемое доказательство этого), сложна.

У нас есть некоторые частичные доказательства, например, что в модели «черного ящика» дискретный журнал для группы простого порядка является трудным. С другой стороны, известно, что сделанные предположения неверны для конечных полей, и поэтому они менее полезны, чем можно было бы надеяться.

0 + 0

LinusK

02.08.2023, 13:38

Не могли бы вы, например, возразить, что при возведении в степень каждый из квадратов $\log(n)$ удаляет часть информации, потому что $x \cdot x == -x \cdot -x$?

Ответить

poncho

02.08.2023, 14:10

@LinusK: не совсем; если $g$ имеет порядок $q$, то $g^x$ для $x \in \{0,...,q-1\}$ является инъективным, то есть не теряет *никакой* информации . Таким образом, хотя общий подшаг реализации (возведение в квадрат) может привести к потере информации, в целом потери информации не происходит.

Ответить

LinusK

02.08.2023, 14:31

Но если $\mathbb{F}_p$ с $p=2q+1$ и $g$ имеет порядок $q$, то $g^x$ для $\{0,...,p-1\}$ не является инъективным. И если $g^{x_1} == g^{x_2}$ для некоторого $x_1 \neq x_2$, то оба младших бита $x_1$ и $x_2$ (хардкорные биты) должны быть разными. Вот почему я подумал, что должна быть некоторая потеря информации.

Ответить

poncho

02.08.2023, 14:33

@LinusK: однако в этом случае $x_1 \equiv x_2 \pmod q$; следовательно, по сути, есть только одно решение (знание которого сразу дает вам все остальные)

Ответить

Paŭlo Ebermann

03.08.2023, 19:35

Что такое «жесткая группа»?

Ответить

poncho

03.08.2023, 19:38

@PaÅloEbermann: извините, я изменил то, как я хотел выразить это, когда писал, и остался дополнительный «жесткий». Имеет ли редактирование больше смысла?

Ответить

K.G.

03.08.2023, 19:58

Кроме того, общая групповая модель не охватывает квантовые вычисления, что также делает ее менее полезной, чем хотелось бы.

Ответить

poncho

03.08.2023, 20:32

@KG: достаточно верно - хотя (я считаю) алгоритм Шора может работать в реализации запутанной группы черного ящика, это другая вычислительная модель ...

Ответить

Admin