Pohlig-Hellman-Algorithmus

Der Pohlig-Hellman-Algorithmus wurde nach den Mathematikern Stephen Pohlig und Martin Hellman benannt. Gelegentlich ist dieser Algorithmus in der Literatur auch unter dem Namen Silver-Pohlig-Hellman-Algorithmus zu finden. Mit dem Pohlig-Hellman-Algorithmus kann der diskrete Logarithmus in einer zyklischen Gruppe berechnet werden.

Die Relevanz dieses Verfahrens liegt darin, dass der Rechenaufwand nicht von der Gruppenordnung, sondern vom größten Faktor der Gruppenordnung abhängt. Nachteilig ist, dass für dieses Verfahren eine Primfaktorzerlegung der Gruppenordnung bekannt sein muss. Solch eine Primfaktorzerlegung ist im Allgemeinen jedoch nur sehr schwer zu bestimmen.

Mathematischer Hintergrund

Sei $G$ eine zyklische Gruppe der Ordnung $n$ , wobei die Faktorisierung von $n$ bekannt und $p$ der größte Faktor von $n$ sei. Der diskrete Logarithmus in der Gruppe $G$ lässt sich dann mittels Silver-Pohlig-Hellman in ${\mathcal {O}}({\sqrt {p}})$ statt ${\mathcal {O}}({\sqrt {n}})$ Operationen berechnen. Dies geschieht in drei Schritten:

Reduktion des Problems der Gruppe $G$ in zyklische Gruppen $G_{p^{k}}$ deren Ordnung $p^{k}$ ist, wobei $p^{k}$ ein Teiler von $n$ ist (die sich später hieraus ergebende Lösung ist eindeutig nach dem Chinesischen Restsatz).
Reduktion von Gruppen mit Primzahlpotenzordnung in Gruppen mit Primordnung
Zusammensetzen des Ergebnisses mittels des Chinesischen Restsatzes.

Der Algorithmus

Sei $G$ die zyklische Gruppe der Ordnung $n$ , $g$ ein Generator von $G$ und $h\in \left\langle g\right\rangle$ . Weiter sei $n=\Pi _{i=1}^{k}q_{i}^{e_{i}}$ die Primfaktorzerlegung von $n$ .

Der Algorithmus ist nun in zwei Schritten angegeben. Zuerst folgt eine Version für Gruppen, deren Ordnung einer Primzahlpotenz entspricht. Dieser kann im Folgenden als Unteralgorithmus im Allgemeinen Pohlig-Hellman verwendet werden.

Prime-Power-Pohlig-Hellman

Die Gruppenordnung sei $n=q^{e}$ , wobei $q$ eine Primzahl ist. Zur Bestimmung des diskreten Logarithmus in den Untergruppen wird der Babystep-Giantstep-Algorithmus von Shanks verwendet.

Eingabe:

g,q,e,h

Ausgabe Der diskrete Logarithmus

a:=\log _{g}(h)

$u\leftarrow h^{q^{e-1}},{\hat {g}}\leftarrow g^{q^{e-1}}$
$a_{0}\leftarrow$ Shanks( ${\hat {g}},q,u$ ), $a\leftarrow a_{0},{\hat {h}}\leftarrow h\cdot g^{-a_{0}}$
for $i\leftarrow 1$ $\text{[math]}$ to $e-1$ $\text{[math]}$ do
1. $u\leftarrow {\hat {h}}^{q^{e-i-1}}$
2. $a_{i}\leftarrow$ Shanks( ${\hat {g}},q,u$ )
3. $a\leftarrow a+a_{i}q^{i},{\hat {h}}\leftarrow {\hat {h}}\cdot g^{-a_{i}q^{i}}$
return $a$

In diesem Algorithmus wird verwendet, dass der diskrete Logarithmus $a=\log _{g}(h)$ in der folgenden Form geschrieben werden kann: $\log _{g}(h)=a=\sum _{i=0}^{e-1}a_{i}q^{i},0\leq a_{i}\leq q-1,i=0,\dots e-1$ . Aufgrund der vorgenommenen Beschränkungen ist diese Darstellung eindeutig.

Allgemeiner Pohlig-Hellman

Eingabe:

g,h,n,q_{1},\dots ,q_{k},e_{1}\dots e_{k}

Ausgabe Der diskrete Logarithmus

a:=\log _{g}(h)

for $i\leftarrow 1$ $\text{[math]}$ to $k$ $\text{[math]}$ do
1. $n_{i}\leftarrow n/q_{i}^{e_{i}},g_{i}\leftarrow g^{n_{i}},h_{i}\leftarrow h^{n_{i}}$
2. $c_{i}\leftarrow$ Prime-Power-Pohlig-Hellman( $g_{i},q_{i},e_{i},h_{i}$ )
Berechne für $i=1,\dots k$ mit dem Chinesischen Restsatz $c=c_{i}\mod q_{i}^{e_{i}}$ .
return $c$ .

Referenzen

S. Pohlig and M. Hellman. "An Improved Algorithm for Computing Logarithms over GF(p) and its Cryptographic Significance", IEEE Trans. Information Theory 24, 1978, Seiten. 106-110.
V. Shoup. "A Computational Introduction to Number Theory and Algebra", Cambridge University Press, 2007, http://shoup.net/ntb/, Seite 325ff.

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.