기능장 체

수학에서 함수 필드 체는 유한 분야에서 이산 로그 문제(DLP)를 해결하기 위한 가장 효율적인 알고리즘 중 하나이다. 그것은 경험적으로 부수적인 복잡성을 가지고 있다. 레오나드 애들먼은 1994년에 그것을 개발했고 그리고 나서 M. D.와 함께 그것을 상세히 기술했다. 1999년 황씨.^[2] 이전 작품에는 D의 작품이 포함되어 있다. 특성 2의 분야에서 DLP에 대한 코퍼스미스.

유한 필드의 이산 로그 문제는 $a,b\in \mathbb {F} _{p^{n}}$ , $a,b\in \mathbb {F} _{p^{n}}$ f $a,b\in \mathbb {F} _{p^{n}}$ p ${\$ $a^{x}=b}$ 에 대한 $a^{x}=b$ 방정식, $a^{x}=b$ $a,b\in \mathbb {F} _{p^{n}}$ $a,b\in \mathbb {F} _{p^{n}}$ p {\displaystyle $a,b\in \mathb$ { $F} _{p$ n $}}},$ p {\ $displaystystyle$ $p}$ 프라임 $p$ 숫자와 n $}$ $n$ 를 $n$ 푸는 것으로 구성된다. The function $f:\mathbb {F} _{p^{n}}\to \mathbb {F} _{p^{n}},x\mapsto a^{x}$ for a fixed $a\in \mathbb {F} _{p^{n}}$ is a one-way function used in cryptography. DLP에는 Diffie-Hellman 키 교환, El Gamal 암호체계, Digital Signature Algorithm과 같은 여러 암호화 방법이 기초하고 있다.

수 이론적 배경

함수 필드

Let $C(x,y)$ be a polynomial defining an algebraic curve over a finite field $\mathbb {F} _{p}$ . A function field may be viewed as the field of fractions of the affine coordiante ring $\mathbb {F} _{p}[x,y]/(C(x,y))$ , wher $C(x,y)$ $(C(x,y))$ ( $(C(x,y))$ ( x $(C(x,y))$ , $(C(x,y))$ ) ${\displaystyle (x,$ $C(x,y)$ $)}$ 은 C $C(x,y)$ ( $C(x,y)$ , y $C(x,y)$ ) ${\displaystyle$ C $(x,y)}$ 에 의해 생성된 이상을 나타낸다 $(C(x,y))$ $C(x,y)$ 이것은 대수 함수 필드의 특수한 경우다. 유한장 $\mathbb {F} _{p}$ $\mathbb {F} _{p}$ ${\$ 에 걸쳐 정의되며 $\mathbb {F} _{p}$ , 초월도 1이 있다. $초월$ 요소는 x $x$ 로 표시된다 $x$

기능 분야의 평가 링과 장소의 동등성 클래스, 그리고 평가 링과 가치의 동등성 클래스 사이에 편차가 존재한다.^[4] 이 대응은 Function Field Che 알고리즘에서 자주 사용된다.

디비저스

함수 필드 $K/\mathbb {F} _{p}$ / $K/\mathbb {F} _{p}$ $K/\mathbb {F} _{p}$ ${\$ K $/\mathb {F} _{p$ 즉 이산 평가 링 $\mathbb {F} _{p}\subset O\subset K$ $\mathbb {F} _{p}\subset O\subset K$ $\mathbb {F} _{p}\subset O\subset K$ $\mathbb {F} _{p}\subset O\subset K$ $\mathbb {F} _{p}\subset O\subset K$ $\mathbb {F} _{p}\subset O\subset K$ $\mathb {F$ 의 $P$ 이산 평가에는 함수의 최대 $이상$ P ${\$ displaystyp $}가 있다$ . The degree of $P$ is $deg(P)=[O/P:\mathbb {F} _{p}]$ and we also define $f_{O}=[O/P:\mathbb {F} _{p}]$ .

A divisor is a $\mathbb {Z}$ -linear combination over all primes, so ${\textstyle d=\sum \alpha _{P}P}$ where $\alpha _{P}\in \mathbb {Z}$ and only finitely many elements of the sum are non-zero. The divisor of an element $x\in K$ is defined as ${\textstyle {\text{div}}(x)=\sum v_{P}(x)P}$ , where $v_{P}$ is the valuation corresponding to the prime $P$ . divisor의 정도는 ${\textstyle \deg(d)=\sum \alpha _{P}\deg(P)}$ ${\textstyle \deg(d)=\sum \alpha _{P}\deg(P)}$ ( ${\textstyle \deg(d)=\sum \alpha _{P}\deg(P)}$ ) ${\textstyle \deg(d)=\sum \alpha _{P}\deg(P)}$ = ${\textstyle \deg(d)=\sum \alpha _{P}\deg(P)}$ P ${\textstyle \deg(d)=\sum \alpha _{P}\deg(P)}$ ${\textstyle \deg(d)=\sum \alpha _{P}\deg(P)}$ ( ${\textstyle \deg(d)=\sum \alpha _{P}\deg(P)}$ ) $textstyle \deg(d)=\sum \alpha _{P}\deg(P$ )} 입니다 ${\textstyle \deg(d)=\sum \alpha _{P}\deg(P)}$

방법

그 기능 현장 체로 한번 쳐라 알고리즘이 더 작은 정도의 기약 다항식의 이산 로그 발견된다 그들이 b{\displaystyle b}의 logaritm 만들어지고는 precomputation과 감소를 단계로 구성되어 있다.

는 학위의 약분할 수 없는 기능으로 분해되는 것이 있기능 일부 바인딩 된 B{B\displaystyle}B{B\displaystyle}-smooth라고 불린다보다 작아진다. 왜냐하면 그들의 분해 상대적으로 빨리 발견될 수 있는 부드러운 번호와 기능이 유용하다의 정의에 유사하다. 이러한 기능 S)의 집합{\displaystyle S=\{g())\in \mathbb{F}_ᆰ[)]\mid{\text{과irreductible}}\deg(g)<{g())∈ Fp[)]∣irreductible과deg⁡(g)<>B}.B\}}의 요소 기본이라고 불린다. A pair of functions $(r,s)$ is doubly-smooth if $rm+s$ and $N(ry+s)$ are both smooth, where $N(\cdot ,\cdot )$ is the norm of an element of $K$ over ${\displaystyle \mathbb {F} _$ {p}}, m∈ Fp[)]{\displaystylem\in \mathbb{F}_ᆬ[)]}은 일부 매개 변수와 ry+s{\displaystyle ry+s} 준다는 요소의 기능 분야의 C{C\displaystyle}.

알고리즘의 체이빙 단계는 기능의 이중 매끄러운 쌍을 찾는 것으로 구성된다. 다음 단계에서 우리는 분해에 있는 함수의 로그들을 포함한 선형 관계를 찾기 위해 그것들을 사용한다. 선형 시스템을 풀어서 로그 값을 계산한다. 감소 단계에서는 이전에 찾은 로그의 조합으로 $\log _{a}(b)$ $\log _{a}(b)$ ( $\log _{a}(b)$ ) $\log _{a}(b)$ $\log _{a}(b)$ 를 표현하여 DLP를 해결한다.

프리컴퓨팅

파라미터 선택

The algorithm requires the following parameters: an irreducible function $f$ of degree $n$ , a function $m\in \mathbb {F} _{p}[x]$ and a curve $C(x,y)$ of given degree $d$ such that $C(x,m)\equiv 0{\text{ mod }}f$ $C(x,m)\equiv 0{\text{ mod }}f$ $C(x,m)\equiv 0{\text{ mod }}f$ ${\displaystyle C(x,m)\equiv 0{\text{mod$ 서 $n$ $n$ 은(는) $\mathbb {F} _{p^{n}}$ 필드 F p ${\$ p^{n $\mathbb {F} _{p^{n}}$ 의 순서대로 전원을 $n$ 나타내며, $Let$ K{\ $displaystystystystystylease$ styleasestythattern $}$ 는 C $}$ 가 정의한 기능 필드를 나타낸다 $K$ $C$

이로 인해 이형성 F $\mathbb {F} _{p^{n}}\simeq \mathbb {F} _{p}[x]/f$ $\mathbb {F} _{p^{n}}\simeq \mathbb {F} _{p}[x]/f$ F $\mathbb {F} _{p^{n}}\simeq \mathbb {F} _{p}[x]/f$ [ $\mathbb {F} _{p^{n}}\simeq \mathbb {F} _{p}[x]/f$ / f $\mathb {F} _{p^{n}\simeq \mathb {F} _{p}[x]/f$ 및 동형성(동형성)으로 $\mathbb {F} _{p^{n}}\simeq \mathbb {F} _{p}[x]/f$ 이어진다.

\phi :\mathb {F} _{p}[x,y]/C\to \mathb {F} _{p}[x]/f,y\mapsto m.

이소모르피즘을 사용하면

\mathbb {F} _{p^{n}}

\mathbb {F} _{p^{n}}

[

\mathbb {F} _{p^{n}}

x ]

\mathbb {F} _{p}[x]/f

/

\mathbb {F} _{p}[x]/f

{\

displaystyle \mathb

{F}

_{p^{n}}

의 각 요소를 F

\mathbb {F} _{p}[x]/f

[

\mathbb {F} _{p}[x]/f

\mathbb {F} _{p}[x]/f

/ f

\mathb {F} _{p}[x]/f

에서 다항식으로 간주할 수 있다

\mathbb {F} _{p^{n}}

\mathbb {F} _{p}[x]/f

또한 인자 $베이스$ S ${\displaystyle S$ 에 $B$ 대해 평활도 경계 $B$ $B$ 를 설정할 필요가 있다.

체빙

이 단계에서는 기능 쌍 $(r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]$ , s $(r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]$ )이 이중으로 부드러운 쌍(r , $(r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]$ ) $(r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]$ p $(r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]$ [ $(r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]$ $(r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]$ $(r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]$ $(r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]$ [ $(r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]$ $(r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]$ ${\displaystyle (r,s)\in \mathb {F} _{p}[x]\times \mathb {$ F $}$ $_{p$ }\p}[ $x]$ 이 $(r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]$ 발견된다.

$f=(rm+s)N(ry+s)$ = $f=(rm+s)N(ry+s)$ ( $f=(rm+s)N(ry+s)$ m $f=(rm+s)N(ry+s)$ + $f=(rm+s)N(ry+s)$ ) $f=(rm+s)N(ry+s)$ ( $f=(rm+s)N(ry+s)$ $f=(rm+s)N(ry+s)$ + s $){\displaystyle f=(rm+s)N(ry+s$ 형식의 기능을 고려하여 가능한 한 많이 $g\in S$ $g\in S$ $g\in S$ $g\in S$ $g\in S$ 로 $f$ $f$ ${\displaystyf}$ 를 나눈다. 이 프로세스에서 하나로 축소되는 $f$ $모든$ f $f$ 은(는) $B$ $B$ -smooth이다 $B$ . 이를 구현하기 위해, 회색 코드를 사용하여 주어진 다항식의 배수를 효율적으로 밟을 수 있다.

이것은 Number Field Che 또는 Index 미적분 알고리즘과 같은 다른 체이빙 알고리즘의 체이빙 단계와 완전히 유사하다. F $\mathbb {F} _{p}[x]$ [ $\mathbb {F} _{p}[x]$ $\mathbb {F} _{p}[x]$ $\mathb {F} _{p}[x]$ 의 함수를 통해 숫자 1을 나타내는 대신, 그러한 $\mathbb {F} _{p}[x]$ 함수는 소수 단위로 인수할 수 있는 것처럼 해석 불가능한 다항식으로 인수할 수 있다.

선형 관계 찾기

이것은 알고리즘에서 가장 어려운 부분으로, 위에서 정의한 기능 필드, 장소 및 구분선을 포함한다. 목표는 두 배로 부드러운 함수 쌍을 사용하여 인자 베이스에 있는 요소의 이산 로그와 관련된 선형 관계를 찾는 것이다.

인자 베이스의 각 수정 불가능한 함수에 대해 우리는 $v_{1},v_{2},...$ v $v_{1},v_{2},...$ , $v_{1},v_{2},...$ 2, . $v_{1},v_{2},...$ . . . $v_{1},v_{2},...$ {\ $displaystyle v_{1},v_{$ 2}, $...$ 을 찾을 수 있다.그들 위에 놓여 있는 $K$ $K$ $K$ 의 $v_{1},v_{2},...$ ${}$ 과(와) 대리 함수 $\alpha _{1},\alpha _{2},...$ , $\alpha _{1},\alpha _{2},...$ , $\alpha _{1},\alpha _{2},...$ . $\alpha _{1},\alpha _{2},...$ . ${\displaystyle \alpha _{1},\alpha _{2},...$ 그 $\alpha _{1},\alpha _{2},...$ 장소들에 해당하는 $}.$ A surrogate function $\alpha _{i}\in K$ corresponding to a place $v_{i}$ satisfies ${\text{div}}(\alpha _{i})=h(v_{i}-f_{v_{i}}u)$ where $h$ is the class number of ${\displaystyle$ $K}$ 및 $K$ $u$ $u$ 은(는) $f_{u}=1$ $f_{u}=1$ = 1 ${\displaystyle f_{u}=1$ }을 $($ 를) 갖는 고정 이산 평가다 $u$ $f_{u}=1$ 이렇게 정의된 함수는 F $\mathbb {F} _{p}$ ${\$ 에 있는 상수까지 고유하다 $\mathbb {F} _{p}$

divisor ${\textstyle {\text{div}}(ry+s)=\sum a_{i}v_{i}}$ ${\textstyle {\text{div}}(ry+s)=\sum a_{i}v_{i}}$ + s ${\textstyle {\text{div}}(ry+s)=\sum a_{i}v_{i}}$ )의 정의에 의해 = ${\textstyle {\text{div}}(ry+s)=\sum a_{i}v_{i}}$ ${\textstyle {\text{div}}(ry+s)=\sum a_{i}v_{i}}$ ${\textstyle {\text{div}}(ry+s)=\sum a_{i}v_{i}}$ ${\textstyle {\text{div}}(ry+s)=\sum a_{i}v_{i}}$ ${\$ {\textstyle ${\div}(ry+s)=\sum a_{i$ $a_{i}=v_{i}(ry+s)$ ${i$ $a_{i}=v_{i}(ry+s)$ i $}}}}$ 의 $a_{i}=v_{i}(ry+s)$ = $a_{i}=v_{i}(ry+s)$ = {\ $displaystystyle a_{i}=v_{i}(ry+s$ 이것과 ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ = ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ ( ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ ( ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ + s ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ ) ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ = ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ ${\textstyle \sum a_{i}f_{v_}}}}=\deg({\text{div})(ry+s)$ 라는 사실 사용 $=0}$ 다음 ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ 식을 얻는다.

{\text{div}}((ry+s)^{h})=\sum ha_{i}v_{i}=\sum ha_{i}v_{i}-\sum ha_{i}f_{v_{i}}v+hv\sum a_{i}f_{v_{i}}=\sum a_{i}h(v_{i}-f_{v_{i}}v))={\text{div}(\prod \from_{i}^{a_{i}}})

여기서 $v$ $v$ 은 $v$ (는) $f_{v}=1$ v $f_{v}=1$ = $f_{v}=1$ ${\displaystyle f_{v}=1$ }을 $($ 를) 사용한 평가다 $f_{v}=1$ 그러면 대리함수의 점괘가 상수까지 고유하다는 사실을 이용하여, 사람은 얻는다.

(\displaystyle(ry+s)^{h}=c\prod \alpha _{i}^{a_{i}}}{\text{{}}}일부 }c\in{p}^{*}}}}}}}

\phi((ry+s)^{h}=\phi(c)\prod \prod \phi(\prod_{i}^{a_{i}}}}}}}}}

$\phi (ry+s)=rm+s$ $\phi (ry+s)=rm+s$ + $\phi (ry+s)=rm+s$ ) $\phi (ry+s)=rm+s$ = $\phi (ry+s)=rm+s$ $\phi (ry+s)=rm+s$ + $\phi (ry+s)=rm+s$ ${\displaystyle \pi(ry+s)=rm+s},$ 그리고 $\phi (ry+s)=rm+s$ 이 식을 알려진 분해하여 unreduccessible 다항식으로 바꾼 사실을 이제 사용한다. $e_{g}$ $e_{g}$ ${\$ 을(를) 이 분해에서 $g\in S$ $g\in S$ $g\in S$ $g\in S$ $g\in S$ 의 검정력이 되도록 $e_{g}$ 한다. 그러면

\prod _{g\in S}g^{he_{g}}\equiv \phi(c)\prod \phi(\alpha _{i}}^{a_}}{\text{}mod}

여기서 방정식의 이산 로그는 하나의 단위로 가져갈 수 있다. This is called the restricted discrete logarithm $\log _{*}(x)$ . It is defined by the equation $a^{\log _{*}(x)}=ux$ for some unit $u\in \mathbb {F} _{p}$ .

\sum _{g\in S}e_{g}\log _{*}g\equiv \sum a_{i}h_{1}\log _{*}(\phi(\alpha _{i})){\text{mod}}}}(p^{n1}-1)/(p-1),

여기서 $h_{1}$ $h_{1}$ ${\$ }는 $h$ $h$ modulo $h$ $(p^{n}-1)/(p-1)$ - 1 $(p^{n}-1)/(p-1)$ ) $(p^{n}-1)/(p-1)$ / $(p^{n}-1)/(p-1)$ ( $(p^{n}-1)/(p-1)$ - $(p^{n}-1)/(p-1)$ ) ${\displaystyle(p^{n}-1)/(p-1$ )의 역이다 $h_{1}$ $(p^{n}-1)/(p-1)$

$h_{1}\log _{*}(\phi (\alpha _{i}))$ $h_{1}\log _{*}(\phi (\alpha _{i}))$ $h_{1}\log _{*}(\phi (\alpha _{i}))$ $h_{1}\log _{*}(\phi (\alpha _{i}))$ ( $h_{1}\log _{*}(\phi (\alpha _{i}))$ i $h_{1}\log _{*}(\phi (\alpha _{i}))$ ) $h_{1}\log _{*}(\phi(\alpha _{i})$ 라는 표현과 로그 $h_{1}\log _{*}(\phi (\alpha _{i}))$ $\log _{*}(g)$ $\log _{*}(g)$ ) $\log _{*}(g)$ g ) $\log _{*(g)}$ 는 알 수 없다 $\log _{*}(g)$ . Once enough equations of this form are found, a linear system can be solved to find $\log _{*}(g)$ for all $g\in S$ . Taking the whole expression $h_{1}log_{*}(\phi (\alpha _{i}))$ as an unknown helps to gain time, since $h$ $h$ ${\displaystyle h$ $h_{1}$ 1 ${\$ ${1$ $},$ $\alpha _{i}$ i ${\$ (\property _{i}) 또는 $\alpha _{i}$ $\phi (\alpha _{i})$ i ( $\phi (\alpha _{i})$ i $){\displaystysty \pi(\f_{i}})}$ 는 계산할 필요가 없다 $\phi (\alpha _{i})$ . 결국 각 $g\in S$ $g\in S$ S $g\in S$ 에 대해 제한된 이산 로그에 $\log _{a}(g)=\log _{*}(g)-\log _{a}(u)$ 하는 단위를 $g\in S$ 계산할 수 있으며 $\log _{a}(g)=\log _{*}(g)-\log _{a}(u)$ 이 단위는 $\log _{a}(g)=\log _{*}(g)-\log _{a}(u)$ $\log _{a}(g)=\log _{*}(g)-\log _{a}(u)$ ( g $\log _{a}(g)=\log _{*}(g)-\log _{a}(u)$ ) $\log _{a}(g)=\log _{*}(g)-\log _{a}(u)$ = $\log _{a}(g)=\log _{*}(g)-\log _{a}(u)$ ⁡ ( $\log _{a}(g)=\log _{*}(g)-\log _{a}(u)$ ) = 로그 $\log _{a}(g)=\log _{*}(g)-\log _{a}(u)$ ( $\log _{a}(g)=\log _{*}(g)-\log _{a}(u)$ ) ${\displaystyle \log _{a}=\log$ _ ${*(g)-\log _{$ a}( $u$

환원단계

우선 나는 b{\displaystyle a^{나는}b}모드 f{\displaystyle f} 되는 대로 나는<>;n{\displaystyle l<, n}. 충분히 높은 가능성 이것은 nB{\displaystyle{\sqrt{nB}}}-smooth으로 산정되는, 그래서 하나의 기억력이 b로 계산 ∏ b나는}b_{나는}{\displaystyle a^{나는}b=\prod b에 나는 ∈이 고려할 수 있다. f $b_{i}\in \mathbb {F} _{p}[x]$ with $\deg(b_{i})<{\sqrt {nB}}$ . Each of these polynomials $b_{i}$ can be reduced to polynomials of smaller degree using a generalization of the Coppersmith method.^[2] $B$ $B$ -smooth $B$ 다항식 제품이 나올 때까지 학위를 줄일 수 있다. 그런 다음 로그 값을 $a$ $a$ 로 가져가서 최종적으로 계산할 수 있다 $a$

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

(

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

)

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

=

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

S

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

(

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

i

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

)

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

- l

{\displaystyle \log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i}-l

를

\log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l

하여 DLP를 해결한다.

복잡성

Function 필드 체는 다음 시간 동안 하위 시간대에 실행된다.

\exp \left(\left\sqrt[{3}]{\frac {3}{9}}+o(1)(\ln p)^{1}{3}(\ln \ln p)^{\frac {2}{3}}\rig)=\prig=L_{p}\왼쪽[{\frac {1}{1}{3},{\sqrt[{3}]{\frac {32}{9}}\오른쪽]}

L-notation을 사용해서. 이 복잡성에 대한 엄격한 증거는 없다. 왜냐하면 그것은 어떤 경험적 경험적 추정에 의존하기 때문이다. 예를 들어, 체인지 단계에서 우리는 형태 $(rm+s)N(ry+s)$ ( $(rm+s)N(ry+s)$ m + $(rm+s)N(ry+s)$ ) $(rm+s)N(ry+s)$ ( r $(rm+s)N(ry+s)$ + $(rm+s)N(ry+s)$ ) $(rm+s)N (ry+s)$ 의 숫자가 주어진 범위에서 무작위 숫자처럼 작용한다고 $(rm+s)N(ry+s)$ 가정한다.

다른 방법과의 비교

부존재 시간에 이산 로그 문제를 해결하는 잘 알려진 다른 두 가지 알고리즘이 있다: 지수 미적분 알고리즘과 숫자 필드 체의 버전이다.^[5] 가장 손쉬운 형태에서 둘 다 유한한 프라임 오더 분야에서 DLP를 해결하지만, 우물 안 $\mathbb {F} _{p^{n}}$ p n ${\$ 에서 $\mathbb {F} _{p^{n}}$ DLP를 해결하도록 확장할 수 있다.

The Number Field Sieve for the DLP in $\mathbb {F} _{p^{n}}$ has a complexity of $L_{p}[1/3,(64/9)^{1/3}+o(1)]$ ^[6] and is therefore slightly slower than the best performance of the Function Field Sieve. 그러나 $n<<(\log(p))^{1/2}$ $n<<(\log(p))^{1/2}$ ( $n<<(\log(p))^{1/2}$ $n<<(\log(p))^{1/2}$ ( $n<<(\log(p))^{1/2}$ $n<<(\log(p))^{1/2}$ ) $n<<(\log(p))^{1/2}$ / 2 ${\$ n $<<(\log(p))^{1/2}}.$ 한 알고리즘은 숫자 필드가 있고 다른 알고리즘은 함수 필드가 있는 것이 놀랍지 않다. 사실 이 두 종류의 글로벌 분야 사이에는 광범위한 유사성이 있다.

지수 미적분 알고리즘은 고도 대수 구조를 수반하지 않기 때문에 함수 필드 체와 수 필드 체에 비해 기술하기가 훨씬 쉽다. $L_{p}[1/2,{\sqrt {2}}]$ $L_{p}[1/2,{\sqrt {2}}]$ [ $L_{p}[1/2,{\sqrt {2}}]$ / $L_{p}[1/2,{\sqrt {2}}]$ , $L_{p}[1/2,{\sqrt {2}}]$ $L_{p}[1/2,{\sqrt {2}}]$ {\ $displaystyle L_{p}[1/2,{\sqrt{2}}]$ 의 복잡성으로 점증적으로 느리다 $L_{p}[1/2,{\sqrt {2}}]$ Number 필드 체와 Function 필드 체가 더 빠른 주된 이유는 이러한 알고리즘이 더 작은 매끄러움 $바인딩$ B $B$ 로 실행될 수 있기 때문에 대부분의 연산은 더 작은 숫자로 할 수 있기 때문이다 $B$

참고 항목

참조

^ 엘. 애들먼. "기능장 체". In: 알고리즘 번호 이론(Antographic Number Theory, ANS-I). 컴퓨터 과학 강의 노트 스프링거(1994), 페이지 108-121.
^ ^a ^b L. Adleman, M.D. Huang. "유한 필드 위의 이산 로그에 대한 필드 체의 기능 방법" in: inf. 계산. 151 (1999년 5월), 페이지 5-16. DOI: 10.1006/inco.198.2761.
^ D. Coppersmith. (1984), "특성 2의 분야에서 이산 로그의 빠른 평가". 입력: IEEE Trans. 알려 주다. 이론 IT-39 (1984), 페이지 587-594.
^ M. Fried와 M. Jarden. 인: "필드 산술" vol. 11. (2005년 1월) 2.1장 DOI: 10.1007/b138352.
^ D. 고든. "숫자 필드 체를 사용하여 GF(P)에 로그 분리" In: 이산수학에 관한 Siam Journal - SIAMDM 6 (1993년 2월), 페이지 124-138. DOI: 10.1137/0406010.
^ R. 바불레스쿠, P. 가우드리, T. 클라인정. "탑 넘버 필드 체" In: 암호학의 진보 - Asiacrypt 2015. 제9453권 스프링거, 2015년 5월. 페이지 31-58

[1] 엘. 애들먼. "기능장 체". In: 알고리즘 번호 이론(Antographic Number Theory, ANS-I). 컴퓨터 과학 강의 노트 스프링거(1994), 페이지 108-121.

[adleman-2] L. Adleman, M.D. Huang. "유한 필드 위의 이산 로그에 대한 필드 체의 기능 방법" in: inf. 계산. 151 (1999년 5월), 페이지 5-16. DOI: 10.1006/inco.198.2761.

[3] D. Coppersmith. (1984), "특성 2의 분야에서 이산 로그의 빠른 평가". 입력: IEEE Trans. 알려 주다. 이론 IT-39 (1984), 페이지 587-594.

[4] M. Fried와 M. Jarden. 인: "필드 산술" vol. 11. (2005년 1월) 2.1장 DOI: 10.1007/b138352.

[5] D. 고든. "숫자 필드 체를 사용하여 GF(P)에 로그 분리" In: 이산수학에 관한 Siam Journal - SIAMDM 6 (1993년 2월), 페이지 124-138. DOI: 10.1137/0406010.

[6] R. 바불레스쿠, P. 가우드리, T. 클라인정. "탑 넘버 필드 체" In: 암호학의 진보 - Asiacrypt 2015. 제9453권 스프링거, 2015년 5월. 페이지 31-58

[2]

[4]

[5]

[6]

v t 수이론적 알고리즘
원시성 검정	AKS APR 바일리-PSW 타원곡선 포클링턴 페르마 루카스 루카스-레머 루카스-레머-리젤 프로트의 정리 페핀스 이차적 프로베니우스 솔로베이-스트라센 밀러-라빈
프라임 생성	앳킨의 체 에라토스테네스의 체 순다람의 체 휠 인자화
정수 인자화	지속분수(CFRAC) 딕슨스 Lenstra 타원 곡선(ECM) 오일러즈 폴라드 호 p − 1 p + 1 2차 체(QS) 일반수 필드 체(GNFS) 특수수 필드 체(SNFS) 이성 체 페르마츠 샨크스의 사각형 재판분할 쇼르스
곱하기	고대 이집트인 긴 카라츠바 툼-쿡 sch나게-스트라센 총통의
유클리드 주 나누기	이진수 청킹 푸리에 골드슈미트 뉴턴-래프슨 긴 짧다 SRT
이산 로그	베이비 스텝 거인 스텝 폴라드 로 폴라드 캥거루 포흘리그-헬먼 지수 미적분학 기능장 체
최대공통점	이진수 유클리드 주 확장유클리드 르메르스
모듈형 제곱근	시폴라 포클링턴스 토넬리-상크스 베를레캄프 쿠네르스
기타 알고리즘	차크라발라 코르나키아 제곱에 의한 지수화 정수 제곱근 정수 관계(LL; KZ) 모듈형 지수 몽고메리 환원 슈프
이탤릭체는 알고리즘이 특수형태의 숫자에 대한 것임을 나타낸다.

Search