**Objectif**: Pour $y \in \mathbb{G},$ on cherche $x \in \mathbb{Z}/n\mathbb{Z} $ tel que $g^x = y$.

# Algorithme de Shanks, "Pas de bébé - pas de géant"

L'algorithme de Shanks est l'un des premiers algorithmes étudiés pour résoudre le problème du logarithme discret (PLD). Il permet de faire un compromis entre temps et mémoire pour être meilleur que l'algorithme naïf par recherche exhaustive. La recherche exhaustive coûte $O(n)$ en temps. 
L'algorithme de Shanks lui, coûte $O(\sqrt{q})$ en temps et en mémoire.

*Formulation du problème:*  


On considère un groupe multiplicatif cyclique noté $\mathbb{G}$ engendré par $g$ d'ordre connu q. On souhaite trouver pour un y donné, x tel que $g^x=y$.



L'algorithme de Shanks repose sur cette formulation un peu différente du problème:

On pose $T = \lceil\sqrt{q} \rceil + 1$ et $ x = x_1T + x_0$ avec $ 0 \leq x_0,x_1 < T$. Alors, $h(g^{-T})^{x_1} = hg^{-x_1T}=g^{x_0}$

La dernière égalité nous intéresse car on peut maintenant calculer le terme de droite et stocker les valeurs obtenues puis calculer le membre de gauche afin de trouver une collision avec le premier ensemble. 

**De manière plus formelle :**
- On stocke dans une table de hachage indexée par les éléments du groupes, les $g^i$ avec $ i \in \{0,...,T-1\}$. On stockera donc plus précisément $(g^i,i)$. On appelle cette étape les "baby steps". La construction de cette table prend $T$ en temps.
- On calcule à l'aide de l'exponentiation binaire le terme de droite qui est $h(g^{-T})^{j}$ pour $j \in \{0,..., T-1\}$ et on regarde si une des ces valeurs est dans la table de hachage. Si c'est le cas alors $(i+Tj)$ est le logarithme discret de y en base g. Le calcul prend une complexité en temps de $2(\lfloor log(q-T) \rfloor)$ et la recherche linéaire prend $T$

Au final la complexité en temps est de $2(T + \lfloor log(q-T) \rfloor) = O(T) = O(\sqrt{q})$. De même, la complexité en mémoire est donnée par la table de hachage qui est de $O(\sqrt{q})$.

In [16]:
def test_bsgs(y,g,q):
    F_q = GF(q)
    T = ceil(sqrt(q))+1
    table_de_hachage = {y**i%q:i for i in range(0,T)}
    for j in range(T):
        tmp = y*g^(-T*j)%q
        if tmp in table_de_hachage:
            return table_de_hachage[tmp]+T*j%q
    return None

        
g = 2 
x = 5
q = 17
y = g^5%q
print(y)
print(test_bsgs(y,g,q))

15
1
