$$
Белорусский\;государственный\; университет
$$
$$
Механико-математический\;факультет
$$
$$
Кафедра\;дифференциальных\;уравнений\; и\; системного\; анализа
$$
$ $

$$
 \Large\bf Математические\; основы\; защиты\; информации
$$

# Лекция 9. Дискретный логарифм

$ $

доцент Чергинец Дмитрий Николаевич

# 1. Дискретный логарифм


Рассмотрим 3 уравнения с неизвестным $\;x$

$1.$ $\quad a^d \equiv x \mod n;$


$2.$ $\quad x^d \equiv b \mod n;$


$3.$ $\quad a^x \equiv b \mod n.$
 


## Определение дискретного логарифма
Пусть $\;G\;$ &ndash; конечная мультипликативная группа порядка $\;n,\;$ $\;a,b\in G.$


Задача нахождения решения $\;x\in\mathbb{N}\;$ уравнения
$$
a^x=b\qquad (1)
$$
называется <font color=blue>задачей дискретного логарифмирования</font> в группе $\;G.$

Ее решение $\;x\;$ называется <font color=blue>дискретным логарифмом</font> элемента $\;b\;$ по основанию $\;a\;$ и обозначается $\;x:=\log_a b.$


## Циклическая подгруппа
Множество
$$
<a>:=\{a,a^2,\dots,a^{m}=1\},\qquad
\text{ где } \;a^i\ne 1\;\text{ при }
\;1<i<m.
$$
является подгруппой группы $\;G,\;$ а число $\;m\;$
называется <font color=blue>порядком элемента</font> $\;a.$

Группа $\;G\;$   называется <font color=blue>циклической</font> (Cyclic group), если
существует такой элемент $\;g\in G,\;$ что
$$
  <g> = G.
$$
Элемент $\;g\;$ называется <font color=blue>образующим, примитивным или порождающим</font> (generator).


## Существование дискретного логарифма

Если $\;b\in<a>,\;$ то дискретный логарифм $\;x\;$ существует, причем числа вида 
$$\;x+z*m,\;\qquad z\in\mathbb{Z},\;
$$
также будут решениями, поэтому в дальнейшем решения будем искать в кольце вычетов $\;x\in\mathbb{Z}_m.$

Если $\;b\not\in<a>,\;$ то дискретный логарифм не существует.

Порядок группы $-$ количество элементов в ней.

# 2. Нахождение образующего элемента
**Теорема.**  
Пусть $\;G\;$ &ndash; мультипликативная группа порядка $n,$
$${n=q_1^{\alpha_1}\dots q_s^{\alpha_s}}
$$
разложение числа $\;n\;$ на простые множители.
	
Элемент $\;g\in G\;$ является образующим тогда и только тогда, когда
$$
	\forall i=1,\dots,s\qquad g^{n/q_i}\ne 1.
$$
**Доказательство необходимости.**   
Пусть $\;g\;$ &ndash; образующий элемент, тогда его порядок равен $\;n\;$
и $\;g^{n/q_i}\ne 1.$ 

## Доказательство достаточности

Пусть теперь $\;g\in G\;$ и для каждого
$\;i=1,\dots,s\;$ справедливо неравенство $\;g^{n/q_i}\ne 1.\;$ 

Пусть
$\;m\;$ &ndash; порядок элемента $\;g.\;$ По теореме Лагранжа порядок
подгруппы делит порядок группы:
$$
\;m|n.\;
$$ 

Предположим, что $\;m<n,\;$
тогда существует такое $\;q_i,\;$ что $\;\;m\mid n/q_i.$
$$
m\mid n/q_i\qquad \Rightarrow \qquad n/q_i=m z,\;\;z\in\mathbb{N}.\;
$$
Следовательно
$$
g^{n/q_i}=g^{m z}=1^z=1,
$$
получили противоречие с тем, что 
$\;g^{n/q_i}\ne 1.\;
$

Поэтому $\;m=n\;$ и $\;g\;$ &ndash; примитивный элемент.

## <font color='red'>Задание 1.</font>

Написать функцию, которая определяет, является ли $\;a\;$  образующим группы $\;\mathbb{Z}_p^*,$ $\;p\;$ &ndash; простое. На основе данной функции написать функцию, вычисляющую случайный образующий элемент  группы $\;\mathbb{Z}_p^*.$ 

$p$ $-$ модуль, поскольку $р$ простое, то в группе присутствует $р-1$ элемент от 1 до $р-1$. 

In [1]:
from sympy.ntheory import isprime
from sympy.ntheory import primerange
from random import choice
import math

def pollard_rho_minus_one(n: int, M: int, K: int) -> str:
    B = list(primerange(K))
    a = 2
    for i in range(len(B)):
        beta = int(math.log(M,B[i]))
        a = pow(a,pow(B[i],beta), n)
    d = math.gcd(a - 1,n)
    if d == 1:
        return 'делитель не найден, возьмите  𝑀,𝐾  большими'
    if 1 < d < n:
        return d
    if d == n:
        return 'делитель не найден, возьмите  𝑀,𝐾  меньшими'

In [2]:
k = 1_000_000

def is_element_generator(a: int, p: int) -> bool:
    
    """ variable a < p, p is a prime number """
    
    n = p - 1
    while not isprime(n):
        s = pollard_rho_minus_one(n, k, k)
        if pow(a, (p - 1)//s, p) == 1:  # поскольку n меняется в цикле, используем р - 1
            return False
        n //= s
    else:
        if pow(a, (p - 1)//n, p) == 1:
            return False
        else:
            return True

In [3]:
is_element_generator(5, 7)

True

In [4]:
def random_generator(p: int) -> int:
    
    """ p is a prime number """
    
    group = list(range(1, p))
    
    while True:
        a = choice(group)
        
        if is_element_generator(a, p):
            return a
        else:
            continue

In [5]:
random_generator(7)

5

# 3. Алгоритм больших и малых шагов

**Интересная задача.**   
Найти такие подмножества 
$$L_1,L_2\subset G,
$$
что для каждого элемента $\;b\in G\;$ найдутся такие 
$$
l_1\in L_1,\quad l_2\in L_2,
$$
что 
$$b= l_1 l_2.$$
      
Причем мощность подмножеств минимальна $$|L_1|+|L_2|\rightarrow \min.$$


### Алгоритм больших и малых шагов (baby-step giant-step)
**Input:**  $\quad a,b\in G,$ $\quad G$ &ndash; мультипликативная группа порядка $\;n.$

**Output:** $\quad x=\log_a b.$

$1.$ Вычисляем
$\qquad
h:=[\sqrt{n+1}]+1,\quad c:= a^h.
$
	
$2.$ Вычисляем списки
$$
	L_1:=\{c^u \mid u=1,\dots,h\},\qquad 	L_2:=\{b a^v \mid v=1,\dots,h\}.
$$

$3.$ Если $\;L_1\cap L_2 = \emptyset,\;$ то выдаем результат: нет решений.

Иначе выдаем результат:
$$
x = h u -v. 
$$
Где $\;u,$ $v\;$ такие, что
$$
	 L_1\ni l_1 = c^u = b a^v = l_2\in L_2.
$$


## Нахождение пересечения множеств $\;L_1\cap L_2$
$1.$ Объединяем списки 
$$
L:=L_1\cup L_2,
$$ 
$2.$ Сортируем $L.$

$3.$ Находим в $\;L\;$ два одинаковых элемента
$$
  l=L[i]=L[i+1].
$$  
Если  $\;l\in L_1\;$ и $\;l\in L_2,\;$ то 	$\;l\in \;L_1\cap L_2.$

##  Теорема
Алгоритм больших и малых шагов находит дискретный логарифм за 
$$
  f(n)=O(n^{1/2}\ln n)
$$
арифметических операций.


##  Доказательство. Случай $\;b\in<a>$
Докажем, что каково бы ни было число 
$$
x\in\mathbb{N},\qquad 1\le x\le n,
$$
существуют такие числа 
$$u,v,\qquad 1\le u\le h,\quad 1\le v\le h,
$$
что $x=u h-v.$ 

Рассмотрим множество
$$
 M:=\{h u - v\mid 1\le u\le h,\;1\le
v\le
h\}\;=\;\{h-h=0,\; 
$$
$$
  h-(h-1)=1,\; \dots,\; h-1,\; 2h-h=h,\; 2h-(h-1)=h+1,\; \dots,\; h^2-1\}.
$$
Учитывая, что 
$$
  h^2-1>(n+1)-1=n,
$$
получаем, что $\;x\in M.\;$ Поэтому найдутся такие $\;l_1\in L_1, \;l_2\in L_2,\; $ что $l_1=l_2.$

##  Доказательство. Случай $b\not\in<a>$
Так как $\;b\not\in<a>,\;$ то уравнение $\;a^x = b\;$ не будет иметь решений.

Предположим, что найдутся такие $\;l_1\in L_1, \;l_2\in L_2,\; $ что $l_1=l_2.$ Тогда
$$
  a^{h u}=b a^{v}\quad\Rightarrow\quad a^{h u - v}=b \quad\Rightarrow\quad b\in<a>
$$
Противоречие. Поэтому 
$$
  L_1\cap L_2 = \emptyset\qquad\Leftrightarrow\qquad \text{ уравнение } \;\; a^x=b\;\; \text{ не имеет решений}
$$  

## Количество арифметических операций 
Посчитаем количество арифметических операций, которые выполняет алгоритм больших и малых шагов.

$ $

На первом шаге проводится  $\;O(N)=O(\ln n)\;$ арифметических
операций, $\;N=[\log_2 n]+1,$ 

$ $

На втором &mdash; $\;4h=O(n^{1/2}).$

$ $

 Так как список из $\;m\;$ элементов
можно упорядочить за $\;O(m\ln m)\;$ арифметических операций, то на
третьем шаге  выполняется $\;O(n^{1/2}\ln n)\;$
арифметических операций.

## <font color='red'>Задание 2.</font>

Реализовать алгоритм больших и малых шагов для мультипликативной группы кольца $\;\mathbb{Z}_p^*,$  $\;p\;$ &ndash; простое.

In [6]:
def giant_baby_step(a: int, b: int, p: int) -> int:
    
    """ variables a, b belong to a group, p is a prime number """
    
    h = int(math.sqrt(p + 1)) + 1
    c = pow(a, h, p)
    
    L_1 = [pow(c, u, p) for u in range(1, h + 1)]
    L_2 = [b*pow(a, v, p) % p for v in range(1, h + 1)]
    
    L = L_1 + L_2
    L.sort()
    
    for i in range(len(L) - 1):
        l = L[i]
        
        if L[i + 1] == l:
            if (l in L_1) and (l in L_2):
                # возможно, реализация через нахождение логарифма числа эффективнее
                u = [i + 1 for i, x in enumerate(L_1) if x == l][0]
                v = [i + 1 for i, x in enumerate(L_2) if x == l][0]
                return h*u - v
        else:
            flag = 1
            
    if flag:
        return "no solutions"

In [7]:
giant_baby_step(5, 3, 23)

16

## <font color='red'>Задание 3.</font>

Верно ли, что 
$$h^2-1\geq n,$$
где $h = [\sqrt{n}]+1.$ 

## <font color='red'>Задание 4.</font>

Вычислить дискретные логарифмы
$$
  \log_{a_1}b_1 \;\;в\;\;\mathbb{Z}_{p_1}^*,\qquad\log_{a_2}b_2 \;\;в\;\;\mathbb{Z}_{p_2}^*,\qquad\log_{a_3}b_3 \;\;в\;\;\mathbb{Z}_{p_3}^*.
$$  

In [8]:
a1 = 337263364997
b1 = 3
p1 = 897231635203
a2 = 360353870069
b2 = 9
p2 = 591981566899
a3 = 444416090410
b3 = 2
p3 = 616389045773

In [9]:
x1 = giant_baby_step(a1, b1, p1)
b1 == pow(a1, x1, p1)

True

In [10]:
x2 = giant_baby_step(a2, b2, p2)
b2 == pow(a2, x2, p2)

True

In [11]:
print(giant_baby_step(a3, b3, p3))

no solutions


# 4. Алгоритм Полига-Хеллмана 
Предположим, что нам удалось найти разложение
$$
n=q_1^{\alpha_1}\dots q_s^{\alpha_s},
$$
$\;g\;$ &ndash; образующий элемент.  
Необходимо найти $\; x=\log_g b.\;$ 

Предположим, что нам известны остатки $\;x_1,\;x_2,\;\dots,\; x_s\;$ от деления $\;x\;$ на $\;q_1^{\alpha_1},\;\dots,\; q_s^{\alpha_s},\;$ тогда $\;x\;$ можно найти при помощи Китайской теоремы об остатках
	\begin{align*}
x & \equiv x_1\mod q_1^{\alpha_1},\\
\vdots\\
x & \equiv x_s\mod q_s^{\alpha_s}.
\end{align*}

## Нахождение $\;x_i\;$
$x_i\in\mathbb{Z}_{q_i^{\alpha_i}}\;$ будем искать в виде
 $$x_i= u_0+u_1q_i+\dots+u_{\alpha_i-1}q_i^{\alpha_i-1}\mod q_i^{\alpha_i},\qquad где \;0\leq u_k < q_i.$$	
 
 
 Тогда
  $$x= u_0+u_1q_i+\dots+u_{\alpha_i-1}q_i^{\alpha_i-1}+u_{\alpha_i}q_i^{\alpha_i},\quad u_{\alpha_i}\in\mathbb{Z}.  $$	
 	
Имеем тождество
$$
  g^{ u_0+u_1q_i+\dots+u_{\alpha_i-1}q_i^{\alpha_i-1}+u_{\alpha_i}q_i^{\alpha_i}}= b.
$$
Возведем обе части тождества в степень 
$$\frac{n}{q_i^{k+1}},\quad 0\leq k\leq\alpha_i-1.$$


## Нахождение $\;u_k\;$
$$
g^{( u_0+u_1q_i+\dots+u_{\alpha_i-1}q_i^{\alpha_i-1}+u_{\alpha_i}q_i^{\alpha_i})\frac{n}{q_i^{k+1}}}= b^\frac{n}{q_i^{k+1}}.
$$
Так как $\;g^n = 1,\;$ то
$$
g^{( u_0+u_1q_i+\dots+u_{k}q_i^{k})\frac{n}{q_i^{k+1}}}= b^\frac{n}{q_i^{k+1}};
$$
$$
(g^{\frac{n}{q_i}})^{u_k}= (b g^{-(u_0+u_1q_i+\dots+u_{k-1}q_i^{k-1})})^\frac{n}{q_i^{k+1}}.
$$

Элемент $\;c:=g^{\frac{n}{q_i}}\;$  имеет порядок $\;q_i\;$  и порождает циклическую подгруппу
$$
  L:=\{1, c^1, c^2, \dots, c^{q_i-1}\}.
$$  
Поэтому $\;u_k\;$ равен позиции элемента 
$\;
(b g^{-(u_0+u_1q_i+\dots+u_{k-1}q_i^{k-1})})^\frac{n}{q_i^{k+1}}
\;$
в списке $\;L.$


## Вычисление $\;\;\rm\log_g b\mod q^\alpha$
**Input:**  $\; q$ &ndash; простое, $\;\alpha\in\mathbb{N},\;$ что $\;q^\alpha\mid n,\;$	 $\quad n$ &ndash; порядок группы $\;G;$


	 
$\qquad b\in G,$ $\quad g$ &ndash; образующий элемент группы $\;G.$

**Output:**  $\;x=\log_g b\mod q^\alpha.$
	

$1.$ Вычисляем список
$$
  L:=\{1, c ,c^2,\dots,c^{q-1}\}, \qquad где \;\;\;c:=g^{n/q}.
$$
	
$2.$ Для $\;k:=0,\dots,\alpha-1\;$ находим
$$
	u_k:={\rm Position}(L,(b g^{-(u_0+u_1q+\dots
		+u_{k-1}q^{k-1})})^{n/q^{k+1}}).
$$
Здесь $\;u_0\;$ удовлетворяет условию $\;c^{u_0}= b^{n/q},\;$ т.е.
$\;
u_0:={\rm Position}(L,b ^{n/q}).
$
	
$3.$ Ответ $\;x:=u_0+u_1q+\dots+u_{\alpha-1}q^{\alpha-1}.$

In [12]:
def position(array: list, element) -> int:
    
    """ give a position for element in the array """
    
    return [i for i, x in enumerate(array) if x == element][0]

In [13]:
position([1, 2, 55, 12, 78, 7, -4, 0], 7)

5

In [14]:
def scalar_product(v1: list, v2: list) -> int:
        
    return sum(map(lambda x1, x2: x1 * x2, v1, v2))

In [15]:
scalar_product([1, 1, 1], [3, 7, -11])

-1

Функия для вычисления $\log_g b\mod q^\alpha$.

In [30]:
def logarithm(q: int, alpha: int, n: int, b: int, g: int) -> int:
    
    """ b belong to a group, g is a generator for a group """
    
    p = n + 1
    c = pow(g, n//q, p)
    
    L = [1, c]
    
    for _ in range(1, q - 2):
        L.append(L[-1]*c % p)  # по модулю
        
    u_0 = position(L, pow(b, n//q, p))
    u_k = [u_0]
    q_k = [1]
    
    for k in range(1, alpha):
        u_k.append(position(L, pow(
            b*pow(g, -scalar_product(u_k, q_k), p), n//pow(q, k + 1, p))))
        q_k.append(q_k[-1]*q % p)
        
    return scalar_product(u_k, q_k)

##  Алгоритм Полига-Хеллмана (Pohlig–Hellman)
**Input:**   $\;n$ &ndash; порядок группы $\;G;$
	 
$\qquad b\in G,$ $\quad g$ &ndash; образующий элемент группы $\;G.$
	
**Output:**  $\;x=\log_g b.$
	
$1.$ Для $\;i:=1,\dots,s\;$ находим $\;x_i=\log_g b\mod
	q_i^{\alpha_i}\;$ при помощи предыдущего алгоритма.
	
$2.$ При помощи китайской теоремы об остатках решаем
	систему
	\begin{align*}
	x & \equiv x_1\mod q_1^{\alpha_1},\\
	\vdots\\
	x & \equiv x_s\mod q_s^{\alpha_s}.
	\end{align*}
	Выдаем результат: $\;    x\in\mathbb{Z}_{n}.$

## Теорема 
Алгоритм Полига-Хеллмана вычисляет $\;\log_g b\;$ за 
$$
f(n)=\sum\limits_{i=1}^sO(q_i+\alpha_i\ln n)
$$
арифметических операций.

### Доказательство.  
 Посчитаем количество  операций. Сначала подсчитаем операции алгоритма, вычисляющего 
 $$\log_g b\mod q^\alpha.
 $$
 
 На  первом шаге он возводит в степень за $\;O(\ln n)\;$  и вычисляет список за $\;O(q_i)\;$ операций.
 
 На втором шаге: $\;O(\alpha_i \ln n),$ третий шаг можно последовательно выполнять на втором шаге. 
      
Алгоритм    Полига-Хеллмана на первом шаге выполняет
 $$
     \sum\limits_{i=1}^s O(q_i+\ln p+\alpha_i \ln p)=\sum\limits_{i=1}^s O(q_i+\alpha_i \ln
        n)
 $$
операций. 

На втором шаге китайская теорема об остатках
      выполняет
$\;
   O(s\ln n)
 \;$
операций. 

## <font color='red'>Задание 5.</font>

Реализовать алгоритм Полига-Хеллмана для мультипликативной группы кольца $\;\mathbb{Z}_p^*,$  $\;p\;$ &ndash; простое.

s $-$количество простых множителей в разложении порядка группы. 

##  Алгоритм Полига-Хеллмана (Pohlig–Hellman)
**Input:**   $\;n$ &ndash; порядок группы $\;G;$
	 
$\qquad b\in G,$ $\quad g$ &ndash; образующий элемент группы $\;G.$
	
**Output:**  $\;x=\log_g b.$
	
$1.$ Для $\;i:=1,\dots,s\;$ находим $\;x_i=\log_g b\mod
	q_i^{\alpha_i}\;$ при помощи предыдущего алгоритма.
	
$2.$ При помощи китайской теоремы об остатках решаем
	систему
	\begin{align*}
	x & \equiv x_1\mod q_1^{\alpha_1},\\
	\vdots\\
	x & \equiv x_s\mod q_s^{\alpha_s}.
	\end{align*}
	Выдаем результат: $\;    x\in\mathbb{Z}_{n}.$

In [35]:
from sympy.ntheory import factorint

def garner_algorithm(ni: list, bi: list):
    N = 1
    x = bi[0] % ni[0]
    
    for index in range(1, len(ni)):
        N *= ni[index - 1]
        C = pow(N, -1, ni[index])
        y = C * (bi[index] - x) % ni[index]
        x += N * y
        
    return x

def pohlig_hellman(n: int, b: int, g: int) -> int:
    
    """ p is a prime number, g is a generator for the group, b belong to the group """
    
    factor = factorint(n)
    q, alpha = list(factor.keys()), list(factor.values())
    xi = list()
    
    for i in range(len(factor)):
        xi.append(logarithm(q[i], alpha[i], n, b, g))
        
    return garner_algorithm([pow(q, alpha, n + 1) for q, alpha in factor.items()], xi)

Интересная функция, которая выдаёт правильный ответ.

In [39]:
def prime_logarithm(p: int, b: int, g: int) -> int:
    
    """ b belong to a group, g is a generator for a group """
    
    c = g
        
    L = (pow(c, i, p) for i in range(p))
        
    for i in range(p):
        if b == next(L):
            return i 

## <font color='red'>Задание 6.</font>

Вычислить дискретные логарифмы одним из способов
$$
  \log_{g_1}b_1 \;\;в\;\;\mathbb{Z}_{p_1}^*,\qquad\log_{g_2}b_2 \;\;в\;\;\mathbb{Z}_{p_2}^*.
$$
От каких свойств числа $\;p\;$ зависит скорость работы алгоритма больших и малых шагов и алгоритма Полига-Хеллмана?

In [36]:
p1 = 238484123
g1 = 11455278
b1 = 2
p2 = 958824966669719
g2 = 6851211612324
b2 = 3

In [37]:
pohlig_hellman(p1 - 1, b1, g1)

83325991

In [40]:
prime_logarithm(p1, b1, g1)

83325991

In [41]:
giant_baby_step(g1, b1, p1)

83325991

In [42]:
pow(g1, 83325991, p1)

2

In [None]:
pohlig_hellman(p2 - 1, b2, g2)

In [21]:
giant_baby_step(g2, b2, p2)

917023023123494

In [22]:
pow(g2, 917023023123494, p2)

3

## <font color='red'>Задание 7*.</font>
Разработать и реализовать алгоритм Полига-Хеллмана, в котором для нахождения
$$
   x_i=\log_g b\mod q_i^{\alpha_i}
$$
используется алгоритм больших и малых шагов. Первому решившему +1 балл к экзаменационной оценке.

## <font color='red'>Задание 8*.</font>
Будет ли корректно работать алгоритм Полига-Хеллмана, если $\;g\;$ не будет образующим? Разработать и реализовать алгоритм Полига-Хеллмана для необразующего $\;g.\;$  Первому решившему +1 балл к экзаменационной оценке.