DLP——Pohlig Hellman

Pohlig Hellman Algorithm

分析

• 在 DLP 问题中，如$\beta \equiv {\alpha }^a(\mathrm{m}\mathrm{o}\mathrm{d}p)$,其中$(\alpha \in {\mathbb{Z}}_p^{\ast }$是一个生成元$)$，求$a\equiv In{d}_{\alpha }\beta (\mathrm{m}\mathrm{o}\mathrm{d}\varphi (p))$是很困难的
• 但考虑CRT，若$\varphi (p)={\prod }_{i=1}^k{p}_i^{c_i},p_i^{c_i}$为$\varphi (p)$的素数幂,则如果可以求出$$\begin{array}{rl}a& \mathrm{m}\mathrm{o}\mathrm{d}{p}_1^{c_1}\\ a& \mathrm{m}\mathrm{o}\mathrm{d}{p}_2^{c_2}\\ & ⋮\\ a& \mathrm{m}\mathrm{o}\mathrm{d}{p}_k^{c_k}\end{array}$$则可依据 CRT 轻易求出$a\mathrm{m}\mathrm{o}\mathrm{d}p$
• 如何求出上述每一个$x=a\mathrm{m}\mathrm{o}\mathrm{d}{q}^c$ ($q^c$为上述素数幂)?
• 将 x 记为 q 进制，即$x={\sum }_{i=0}^{c-1}{a}_i{q}^i$,则只需求出{ai}\{a_i\}{ai​}
• 已知$\beta \equiv {\alpha }^a(\mathrm{m}\mathrm{o}\mathrm{d}p)$，如何构造出含有$a_i$的方程?
  • 首先求$a_0$
    • 由$\beta \equiv {\alpha }^a(\mathrm{m}\mathrm{o}\mathrm{d}p)$推导如下：
      $$\begin{array}{r}\beta ={\alpha }^a={\alpha }^{a_0+{\sum }_{i=1}^{c-1}{a}_i{q}^i}={\alpha }^{a_0+Kq}\end{array}$$
    • 如何消去$Kq$，保留$a_0$?$$\begin{array}{r}{\beta }^{\frac{?}{q}}=({\alpha }^{a_0+Kq}{)}^{\frac{?}{q}}={\alpha }^{\frac{a_0?}{q}+K?}\end{array}$$
    • 显然，当？为$n=\varphi (p)$时，有$${\beta }^{\frac{n}{q}}={\alpha }^{\frac{a_{0}n}{q}+K\varphi (p)}={\alpha }^{\frac{a_{0}n}{q}}$$
    • 而后确定$a_0$就很简单了，$0\le a_i\le q-1$范围不大
  • 类似地，令${\beta }_j={\alpha }^{{\sum }_{i=j}^{c-1}{a}_i{q}^i}=\beta {\alpha }^{-(a_0+a_{1}q+\cdots +a_{j-1}{q}^{j-1})}$,则有$${\beta }_j={\alpha }^{a_j{q}^j+K{q}^{j+1}}$$
  • 于是，$${\beta }_j^{\frac{n}{q^{j+1}}}={\alpha }^{\frac{a_{j}n}{q}+K\varphi (p)}={\alpha }^{\frac{a_{j}n}{q}}$$
  • 即$${\beta }_j^{\frac{n}{q^{j+1}}}={\alpha }^{\frac{a_{j}n}{q}}$$
  • 同理可以将$a_i，i=1,2,\cdots ,c-1$求出，对每个$i$可以用Shanks算法在$O(\sqrt{q})$时间内求出
• $x=a\mathrm{m}\mathrm{o}\mathrm{d}{q}^c={\sum }_{i-0}^{c-1}{a}_i{q}^i$
• 根据所求得的各个 x，利用CRT求出 a