# Problem logarytmu dyskretnego

Niech $(G,\circ)$ będzie grupą z działaniem $\circ$ i elementem neutralnym $1_G$. Wtedy dla dowolnego elementu $a\in G$ i $k\in\mathbb{Z}$ definiujemy *potęgę* $$a^k =\left\{\begin{array}{cc}
\underbrace{a\circ a\circ \ldots \circ a}_{k}&\text{ dla }k>0\\
1_G&\text{ dla }k=0\\
\underbrace{a^{-1}\circ a^{-1}\circ \ldots \circ a^{-1}}_{k}&\text{ dla }k<0
\end{array}\right.$$
gdzie $a^{-1}$ jest elementem odwrotnym do $a$.

Dla $a,b\in G$, $b\neq 1_G$, *logarytmem dyskretnym* $\log_b a$ jest każda liczba $k\in\mathbb{Z}$ taka, że $b^k=a$.

## Logarytm dyskretny w $\mathbb{Z}_n$

W przypadku pierścienia $\mathbb{Z}_n$ logarytmem dyskretnym $\log_b a$ jest każda liczba $k\in\mathbb{Z}$ taka, że $b^k=a\mod n$, o ile w ogóle istnieje.

Specyficzną sytuacją w teorii liczb jest gdy $n=p$ jest liczbą pierwszą a $q$ jest pierwiastkiem pierwotnym $\mod p$. Wtedy:
- potęgi $q^k\mod p$ generują cały zbiór $[1,p-1]$, tzn. $q$ jest generatorem grupy multiplikatywneh rzędu $p-1$
- logarytm dyskretny $\log_q a$ istnieje dla każdego niezerowego elementu $a\in \mathbb{Z}_p$

## Algorytm baby-step giant-step

Jeden z najprostszych (poza metodą naiwną) algorytmów poszukiwania logarytmu dyskretnego w grupach cyklicznych.

Niech $p$ będzie liczbą pierwszą oraz niech $q$ będzie pierwiastkiem pierwotnym modulo $p$. Dla niezerowego $a\in\mathbb{Z}_p$ szukamy liczby $k\in\mathbb{Z}$ takiej, że $q^k=a\mod p$

### Krok 1.
- $m=\lceil\sqrt{p-1}\rceil$
- tworzymy pomocniczą tablicę potęg: dla wszystkich $i\in [0,m)$ obliczamy parę $(i,q^i)$
- obliczamy $r=(q^{-1})^m$
### Krok 2.
- $b=a$
- dla wszystkich $j\in [0,m)$:
    - sprawdzamy, czy para $(i,b)$ jest elementem tablicy potęg dla pewnego $i$
    - jeżeli tak, to $k=jm+i$ i kończymy algorytm
    - jeżeli nie, to $b=br$ i kontynuujemy pętlę


## Zadanie 1.

Zaimplementować algorytm baby-step giant-step. Przetestować dla podanych danych testujących.

```Dane testujące:
p = 7
q = 3
a = 4

m = 3
tablica_testowa = [1,3,2]
r = 6
k = 4 (j = 1, i = 1)
```

```
p = 29
q = 8
a = 10

m = 6
tablica_testowa = [1,8,6,19,7,27]
r = 9
k = 17 (j = 2, i = 5)
```

```
p = 113
q = 76
a = 84

m = 11
tablica_testowa = [1,76,13,84,56,75,50,71,85,19,88]
r = 70
k = 3 (j = 0, i = 3)
```

In [40]:
from math import sqrt, ceil

def baby_step(p,q, debug=True):
    m = ceil(sqrt(p-1))
    if debug:
        print(f"m = {m}")
    test_table = []
    for i in range(m):
        test_table.append((i,pow(q,i,p)))
    if debug:
        print(f"tablica testowa = {test_table}")
    r = pow(q,-m,p)
    
    if debug:
        print(f"r = {r}")

    return m, test_table, r

def giant_step(p,q,a, debug=True):
    m, test_table, r = baby_step(p,q,debug)
    b = a % p
    for j in range(m):
        for i in range(m):
            if (i,b) == test_table[i]:
                k = (j*m + i) % p
                if debug:
                    print(f"k = {k} (j = {j}, i = {i})")
                return k 
        b = (b*r) % p


In [37]:
giant_step(7,3,4)
giant_step(29,8,10)
giant_step(113,76,84)

m = 3
tablica testowa = [(0, 1), (1, 3), (2, 2)]
r = 6
k = 4 (j = 1, i = 1)
m = 6
tablica testowa = [(0, 1), (1, 8), (2, 6), (3, 19), (4, 7), (5, 27)]
r = 9
k = 17 (j = 2, i = 5)
m = 11
tablica testowa = [(0, 1), (1, 76), (2, 13), (3, 84), (4, 56), (5, 75), (6, 50), (7, 71), (8, 85), (9, 19), (10, 88)]
r = 70
k = 3 (j = 0, i = 3)


3

# Wymiana klucza typu Diffie-Hellman

Alice i Bob uzgadniają klucz publiczny będący liczbą pierwszą $p$ oraz $q$ - pierwiastkiem pierwotnym mod $p$.
- sekret Alice: liczba całkowita $n\in \mathbb{Z}_p\setminus\{0\}$
- sekret Boba: liczba całkowita $m\in \mathbb{Z}_p\setminus\{0\}$
- Alice generuje $x=q^n\mod p$ i wysyła do Boba
- Bob generuje $y=q^m\mod p$ i wysyła Alice
- Alice oblicza klucz $k=y^n\mod p$
- Bob oblicza klucz $k=x^m\mod p$


## Zadanie 2.

Zaimplementuj powyższy algorytm wymiany klucza. Dobierz parametry $p$ i $q$ tak, żeby znając $x$, $y$, $p$ i $q$ nie dało się odtworzyć sekretów algorytmem z zadania 1.

In [41]:
from random import randint

def Diffie_Hellman(p,q):
    n = randint(1,p-1)
    print(f"Alice generated {n}")
    m = randint(1,p-1)
    print(f"BOB generated {m}")
    x = pow(q,n,p)
    print(f"Alice sent {x}")
    y = pow(q,m,p)
    print(f"BOB sent {y}")

    k = pow(y,n,p)
    print(f"Alice calculated k = {k}")
    k_BOB = pow(y,n,p)
    print(f"BOB calculated k = {k_BOB}")
    return k, x, y


def is_primitive_root(g, p):
    if p <= 2:
        return False

    phi = p - 1

    factors = []
    n = phi
    for i in range(2, int(n**0.5) + 1):
        if n % i == 0:
            factors.append(i)
            while n % i == 0:
                n //= i
    if n > 1:
        factors.append(n)

    for factor in factors:
        if pow(g, phi // factor, p) == 1:
            return False
    return True


def find_primitive_root(p):
    for g in range(2, p):
        if is_primitive_root(g, p):
            return g
    return None


p = 2137
primitive_root = find_primitive_root(p)
print(f"Pierwiastek pierwotny z {p}: {primitive_root}")

Pierwiastek pierwotny z 2137: 10


In [42]:
p = 2**41 - 1
primitive_root = find_primitive_root(p)
print(f"Pierwiastek pierwotny z {p}: {primitive_root}")

Pierwiastek pierwotny z 2199023255551: 3


In [45]:
print("============================2137======================")
p = 2137
q = find_primitive_root(p)

k,x,y = Diffie_Hellman(p,q)

print()
n = giant_step(p,q,x, debug=False)
m = giant_step(p,q,y, debug=False)


print(f"Found Alice secret {n}")
print(f"Found BOB secret {m}")


print("==========================2^41 - 1======================")
p = 2**41 - 1
q = find_primitive_root(p)


k,x,y = Diffie_Hellman(p,3)

print()
n = giant_step(p,q,x, debug=False)
m = giant_step(p,q,y, debug=False)

print(f"Found Alice secret {n}")
print(f"Found BOB secret {m}")

Alice generated 1276
BOB generated 187
Alice sent 686
BOB sent 844
Alice calculated k = 287
BOB calculated k = 287

Found Alice secret 1276
Found BOB secret 187
Alice generated 1453821120186
BOB generated 822736286304
Alice sent 488538622287
BOB sent 708881971940
Alice calculated k = 1760595672023
BOB calculated k = 1760595672023



KeyboardInterrupt: 