# Problem logarytmu dyskretnego

Niech $(G,\circ)$ będzie grupą z działaniem $\circ$ i elementem neutralnym $1_G$. Wtedy dla dowolnego elementu $a\in G$ i $k\in\mathbb{Z}$ definiujemy *potęgę* $$a^k =\left\{\begin{array}{cc}
\underbrace{a\circ a\circ \ldots \circ a}_{k}&\text{ dla }k>0\\
1_G&\text{ dla }k=0\\
\underbrace{a^{-1}\circ a^{-1}\circ \ldots \circ a^{-1}}_{k}&\text{ dla }k<0
\end{array}\right.$$
gdzie $a^{-1}$ jest elementem odwrotnym do $a$.

Dla $a,b\in G$, $b\neq 1_G$, *logarytmem dyskretnym* $\log_b a$ jest każda liczba $k\in\mathbb{Z}$ taka, że $b^k=a$.

## Logarytm dyskretny w $\mathbb{Z}_n$

W przypadku pierścienia $\mathbb{Z}_n$ logarytmem dyskretnym $\log_b a$ jest każda liczba $k\in\mathbb{Z}$ taka, że $b^k=a\mod n$, o ile w ogóle istnieje.

Specyficzną sytuacją w teorii liczb jest gdy $n=p$ jest liczbą pierwszą a $q$ jest pierwiastkiem pierwotnym $\mod p$. Wtedy:
- potęgi $q^k\mod p$ generują cały zbiór $[1,p-1]$, tzn. $q$ jest generatorem grupy multiplikatywneh rzędu $p-1$
- logarytm dyskretny $\log_q a$ istnieje dla każdego niezerowego elementu $a\in \mathbb{Z}_p$

## Algorytm baby-step giant-step

Jeden z najprostszych (poza metodą naiwną) algorytmów poszukiwania logarytmu dyskretnego w grupach cyklicznych.

Niech $p$ będzie liczbą pierwszą oraz niech $q$ będzie pierwiastkiem pierwotnym modulo $p$. Dla niezerowego $a\in\mathbb{Z}_p$ szukamy liczby $k\in\mathbb{Z}$ takiej, że $q^k=a\mod p$

### Krok 1.
- $m=\lceil\sqrt{p-1}\rceil$
- tworzymy pomocniczą tablicę potęg: dla wszystkich $i\in [0,m)$ obliczamy parę $(i,q^i)$
- obliczamy $r=(q^{-1})^m$
### Krok 2.
- $b=a$
- dla wszystkich $j\in [0,m)$:
    - sprawdzamy, czy para $(i,b)$ jest elementem tablicy potęg dla pewnego $i$
    - jeżeli tak, to $k=jm+i$ i kończymy algorytm
    - jeżeli nie, to $b=br$ i kontynuujemy pętlę


## Zadanie 1.

Zaimplementować algorytm baby-step giant-step. Przetestować dla podanych danych testujących.

```Dane testujące:
p = 7
q = 3
a = 4

m = 3
tablica_testowa = [1,3,2]
r = 6
k = 4 (j = 1, i = 1)
```

```
p = 29
q = 8
a = 10

m = 6
tablica_testowa = [1,8,6,19,7,27]
r = 9
k = 17 (j = 2, i = 5)
```

```
p = 113
q = 76
a = 84

m = 11
tablica_testowa = [1,76,13,84,56,75,50,71,85,19,88]
r = 70
k = 3 (j = 0, i = 3)
```

In [46]:
import numpy as np

In [47]:
def baby_step_giant_step(p, q, a, printing = True) :
    m = int(np.ceil(np.sqrt(p - 1)))
    powers = []
    for i in range(m) :
        powers.append(pow(q, i, p))
    r = pow(q, -m, p)
    b = a % p
    for j in range(m) :
        for i in range(m) :
            if b == powers[i] :
                k = (j*m + i)%p
                if printing : 
                    print(f"m = {m}")
                    print(f"powers = {powers}")
                    print(f"r = {r}")
                    print(f"k = {k} (j = {j}, i = {i})\n")
                return k
        b = (b*r) % p

In [48]:
baby_step_giant_step(7, 3, 4)
baby_step_giant_step(29, 8, 10)
baby_step_giant_step(113, 76, 84)

m = 3
powers = [1, 3, 2]
r = 6
k = 4 (j = 1, i = 1)

m = 6
powers = [1, 8, 6, 19, 7, 27]
r = 9
k = 17 (j = 2, i = 5)

m = 11
powers = [1, 76, 13, 84, 56, 75, 50, 71, 85, 19, 88]
r = 70
k = 3 (j = 0, i = 3)



3

# Wymiana klucza typu Diffie-Hellman

Alice i Bob uzgadniają klucz publiczny będący liczbą pierwszą $p$ oraz $q$ - pierwiastkiem pierwotnym mod $p$.
- sekret Alice: liczba całkowita $n\in \mathbb{Z}_p\setminus\{0\}$
- sekret Boba: liczba całkowita $m\in \mathbb{Z}_p\setminus\{0\}$
- Alice generuje $x=q^n\mod p$ i wysyła do Boba
- Bob generuje $y=q^m\mod p$ i wysyła Alice
- Alice oblicza klucz $k=y^n\mod p$
- Bob oblicza klucz $k=x^m\mod p$


## Zadanie 2.

Zaimplementuj powyższy algorytm wymiany klucza. Dobierz parametry $p$ i $q$ tak, żeby znając $x$, $y$, $p$ i $q$ nie dało się odtworzyć sekretów algorytmem z zadania 1.

In [49]:
def primitive_root(p) :
    for i in range(1, p) :
        possible = True
        for j in range(1, p - 1) :
            if (i**j)%p == 1 : 
                possible = False
                continue
        if possible :
            return i
    
    return None

In [50]:
from random import randint

def diffie_hellman(p, q, printing = True) :
    n = randint(1, p-2)
    if printing : print("A ->", n)
    m = randint(1, p-2)
    if printing : print("B ->", m)
    x = pow(q, n, p)
    if printing : print("a sent ->", x)
    y = pow(q, m, p)
    if printing : print("b sent ->", y)

    k = pow(y, n, p)
    if printing : print("a k ->", k)
    k = pow(x, m, p)
    if printing : print("b k ->", k)
    
    return x, y, n, m

In [51]:
def try_break(p, printing = True) :
    if p < 3 : return False
    q = primitive_root(p)
    if q is None : return False
    x, y, n, m = diffie_hellman(p, q, printing)
    
    if n == baby_step_giant_step(p, q, x, printing) : 
        if printing :
            print("n broken", n)
        if m == baby_step_giant_step(p, q, y, printing) : 
            if printing :
                print("m broken", m)
                print("broken for", p)
            return True
    return False  

print(try_break(7))

A -> 3
B -> 3
a sent -> 6
b sent -> 6
a k -> 6
b k -> 6
m = 3
powers = [1, 3, 2]
r = 6
k = 3 (j = 1, i = 0)

n broken 3
m = 3
powers = [1, 3, 2]
r = 6
k = 3 (j = 1, i = 0)

m broken 3
broken for 7
True


In [52]:
from sympy import nextprime

def find_unbreakable(printing = False) :
    
    p = 2
    ten = 1
    while True :
        p = nextprime(p)
        if p >= ten:
            print(ten)
            ten *= 10
        if printing :
            print("===", p, "===")
        
        check = try_break(p, printing)
        if not check :
            print("Unbroken for", p)
            return p
    
    
find_unbreakable()

1
10
100
1000


KeyboardInterrupt: 

Z obserwacji wynika, że dla wszystkich małych liczb pierwszych można złamać klucz Diffie-Hellmana