Redukcja Pohliga-Hellmana

Szablon:Dopracować Redukcja Pohliga-Hellmana jest metodą obliczania logarytmu dyskretnego w ciele skończonym GF(p) wymyśloną przez Stephena Pohliga i Martina Hellmana.

Jeżeli mamy ciało skończone o ${\displaystyle p}$ elementach, rząd jego grupy multiplikatywnej wynosi ${\displaystyle p-1.}$ Szukamy takiego ${\displaystyle x,}$ że: ${\displaystyle g^x=h,}$ gdzie ${\displaystyle g}$ jest generatorem grupy multiplikatywnej tego ciała, a ${\displaystyle h}$ elementem tego ciała.

KROK 1: Redukujemy DLP (ang. discrete logarithm problem) do analogicznego zagadnienia w grupach rzędu ${\displaystyle p^a}$

${\displaystyle |G|=|F_p^{*}|=p-1=p_1^{{\alpha }_1}\cdot p_2^{{\alpha }_2}\cdot \dots \cdot p_n^{{\alpha }_n}.}$

Dla każdego ${\displaystyle p_i}$ obliczamy:

${\displaystyle r_i=\frac{|G|}{p_i^{{\alpha }_i}}.}$

Z kongruencji:

${\displaystyle (g^x{)}^{r_i}\equiv h^{r_i}(\mathrm{mod}p)}$

możemy łatwo otrzymać układ kongruencji:

${\displaystyle x\equiv x_i(\mathrm{mod}{p}_i^{{\alpha }_i})}$

(poszczególne ${\displaystyle x_i}$ można otrzymać jako ${\displaystyle x_i=xmod{p}^{{\alpha }_i}}$),

które następnie możemy rozwiązać przy pomocy chińskiego twierdzenia o resztach.

KROK 2: Jeżeli w rozkładzie ${\displaystyle p-1}$ występuje jakaś duża potęga liczby pierwszej ${\displaystyle q^{\alpha },}$ redukujemy DLP w grupie rzędu ${\displaystyle q^{\alpha }}$ do kilku problemów w grupach rzędu ${\displaystyle q:}$

Przyjmijmy ${\displaystyle q:=p_i}$ i

${\displaystyle a:=g^{r_i}(\mathrm{mod}p)}$

oraz

${\displaystyle b:=h^{r_i}(\mathrm{mod}p).}$

Wówczas:

${\displaystyle a^{m_0+m_{1}q+\dots +m_{\alpha -1}{q}^{\alpha -1}}\equiv b(\mathrm{mod}p).}$

Podnosząc obie strony kongruencji do potęgi ${\displaystyle q^{\alpha -1},}$ możemy obliczyć ${\displaystyle m_0,}$ następnie znów zapisujemy kongruencję:

${\displaystyle a^{m_{1}q+\dots +m_{\alpha -1}{q}^{\alpha -1}}\equiv b{a}^{-m_0}(\mathrm{mod}p)}$

i podnosząc obie strony do potęgi ${\displaystyle q^{\alpha -2},}$ otrzymamy ${\displaystyle m_1}$ itd.

Mając wszystkie ${\displaystyle m_i,}$ otrzymamy:

${\displaystyle x\equiv m_0+m_{1}q+\dots +m_{\alpha -1}{q}^{\alpha -1}(\mathrm{mod}{q}^{\alpha }).}$

Redukcja P-H pozwala na szybkie rozwiązanie DLP, o ile ${\displaystyle p-1}$ ma w rozkładzie na czynniki pierwsze małe liczby pierwsze. Stąd jeżeli kryptosystem oparty na zagadnieniu logarytmu dyskretnego ma być bezpieczny, jeżeli opiera się na grupach ${\displaystyle GF(p),}$ to ${\displaystyle p-1}$ musi mieć w rozkładzie na czynniki pierwsze co najmniej jedną dużą liczbę pierwszą. Stąd często obiera się jako ${\displaystyle p}$ liczbę postaci ${\displaystyle 2q+1,}$ gdzie zarówno ${\displaystyle p,}$ jak i ${\displaystyle q}$ są pierwsze. ${\displaystyle p,}$ które posiadają taką własność, nazywa się liczbami pierwszymi Sophie Germain.