אלגוריתם רו של פולרד ללוגריתם הבדיד
בתורת המספרים ובקריפטוגרפיה, אלגוריתם רו של פולרד ללוגריתם הדיסקרטי (באנגלית: Pollard’s rho algorithm for discrete logarithms) הוא אלגוריתם הסתברותי לחישוב לוגריתם בדיד בחבורה ציקלית סופית מסדר ראשוני עם זמן ריצה דומה לשיטת כוח גס גנרית הנקראת אלגוריתם צעד-קטן צעד-גדול אך עם צריכת זיכרון שולית ביחס אליה. האלגוריתם פותר את בעיית הלוגריתם הבדיד בהסתברות גבוהה, בסיבוכיות בסדר גודל של כאשר הוא סדר החבורה. לצורך אלגוריתם פולרד ההנחה היא שסדר החבורה הוא מספר ראשוני, שאם לא כן, אפשר בשילוב עם אלגוריתם פוליג-הלמן לפתור את בעיית הלוגריתם הבדיד בזמן ריצה שהוא בסדר גודל כאשר הוא הגורם הראשוני הגדול ביותר של .
היסטוריה
אלגוריתם רו הומצא על ידי המתמטיקאי הבריטי ג'ון פולרד והתפרסם במאמר "שיטת מונטה קרלו לחישוב אינדקסים" בכתב העת המדעי "Mathematics of Computation" ביולי 1978[1]. בדומה לאלגוריתם רו של פולרד לפירוק לגורמים הוא נקרא בשם זה בשל העובדה שבמיפוי אקראי (או הילוך מקרי) בקבוצה סופית, נוצר מעין "מעגל" אליו מחובר "שובל" קצר וצורתו דומה במקצת לאות היוונית (כמתואר בתרשים משמאל), כלומר בהינתן פונקציה אקראית לאחר מספר מוגבל של ערכים מגיעים לנקודה בה הערכים מתחילים לחזור על עצמם במעגל אין סופי. הרעיון של פולרד ניתן להרחבה לכל סוג של חבורה ציקלית, כמו חבורה אבלית מעל עקום אליפטי הידועה בפופולריות שלה בהצפנה המודרנית ולמעשה לא ידוע על אלגוריתם שמציג סיבוכיות טובה יותר לפתרון בעיית הלוגריתם הבדיד בעקום אליפטי. בחבורה ציקלית מעל מספר ראשוני קיים אלגוריתם תחשיב אינדקסים עם זמן ריצה תת-מעריכי והוא נחשב ליעיל ביותר הידוע כיום למספרים גדולים אך אינו בר ביצוע בעקום אליפטי.
ב-1980 פיתח ריצ'רד ברנט גרסה משופרת יותר של אלגוריתם רו של פולרד לפירוק לגורמים שניתן ליישום גם לפתרון בעיית הלוגריתם הבדיד ומציע שיפור בפקטור של רבע ביעילותו לעומת הגרסה של פולרד[2]. מאוחר יותר פולרד וברנט פיתחו ושיפרו את האלגוריתם אף יותר[3].
בעיית הלוגריתם הבדיד
- ערך מורחב – בעיית הלוגריתם הבדיד
ביטחון מערכות הצפנה מודרניות רבות מסתמך על ההשערה שקשה לפתור את בעיית הלוגריתם הבדיד (דיסקרטי) בחבורות מסוימות. בהסתמך על בעיה זו ניתן להכין פונקציה חד-כיוונית שהיא הבסיס להצפנה אסימטרית. הדוגמאות אולי החשובות ביותר הן פרוטוקול דיפי-הלמן וחתימה דיגיטלית DSA הפופולריים שמסתמכים על השערה זו, למרות שלא קיימת הוכחה מתמטית.
בעיית הלוגריתם הבדיד המסומנת בקיצור DLP היא כדלקמן:
- נתונה חבורה ציקלית סופית מסדר המסומנת ונתון יוצר של החבורה ויהי אלמנט כלשהו. מצא את הלוגריתם הבדיד של בבסיס בקיצור שהוא אלמנט יחיד בטווח המקיים: .
בעיית דיפי-הלמן בקיצור DHP, היא בעיה דומה שהועלתה לראשונה על ידי ויטפילד דיפי ומרטין הלמן במאמר המפורסם שלהם שבו הציגו לראשונה את הצפנת מפתח ציבורי ופרוטוקול שיתוף מפתח המבוסס על הבעיה הבאה: נתון המספר הראשוני ויוצר של החבורה וכן נתונים ו- (מודולו ). מצא את מודולו . בעיה זו נחשבת גם היא לבעיה קשה אם כי לא הוכח האם היא קשה לפחות כבעיית הלוגריתם הבדיד. מאידך, כל דרך לפתרון בעיית הלוגריתם הדיקסרטי יכולה לשמש לפתרון בעיית דיפי-הלמן.
לדוגמה אם נתון המספר הראשוני החבורה היא חבורה ציקלית מסדר . יוצר אפשרי אחד של חבורה זו יכול להיות . (קל לראות שאם מעלים את 5 בחזקת כל המספרים מ-1 עד 96 (מודולו 97) מתקבלים כל האלמנטים של החבורה בלי יוצא מן הכלל לא בהכרח לפי סדר עולה). אם נבחר בחשבון פשוט מתקבל לכן בחבורה . וכן, אם אז . אם נתונים האלמנטים ו- (מודולו 97) בעיית דיפי-הלמן היא לגלות את (כשהאלמנטים ו- אינם ידועים).
הבעיה נקראת לוגריתם בדיד כיוון שהיא עוסקת בקבוצה סופית מודולו שלם כלשהו הנקרא מודולוס. ראוי לציין שאף-על-פי שקל לחשב לוגריתמים באופן כללי, אין הדבר נכון לגבי לוגריתם בדיד מכיוון שהתנהגות התוצאה נראית אקראית על פניה ולא ניתן לבצע קירוב. הסיבה שהבסיס הוא יוצר היא כדי שהחבורה תהיה ציקלית כך שכל אלמנט בחבורה ניתן לייצוג כחזקה של היוצר. הדרישה שהחבורה תהיה ציקלית אינה הכרחית, הגדרה כללית יותר של הבעיה, הנקראת בקיצור GDLP, היא מציאת אלמנט המקיים , בהנחה שקיים, עבור האלמנטים (כאשר אינו בהכרח יוצר). החבורה החיבורית הנוצרת על ידי עקום אליפטי כאשר הפעולה היא חיבור נקודות בעקום היא דוגמה לחבורה שבה בעיית הלוגריתם הבדיד קשה. אחת הדרכים לפתור את הבעיה היא בעצם חישוב איזומורפיזם בין חבורות. אפילו אם שתי חבורות איזומורפיות זו לזו, אלגוריתם יעיל לפתרון בעיית הלוגריתם הבדיד בחבורה אחת, אינו בהכרח יעיל בחבורה השנייה. למשל כל חבורה כפלית ציקלית מסדר איזומורפית לחבורה החיבורית הציקלית . על כל פנים, בעוד שקיים אלגוריתם יעיל לחישוב לוגריתמים בחבורה החיבורית מעל המספרים השלמים מודולו מספר ראשוני, כלומר מציאת שלם המקיים , לא ניתן ליישמו לפתרון הלוגריתם הבדיד בחבורה הכפלית.
הדרך הישירה והפשוטה ביותר לפתרון בעיית הלוגריתם הבדיד היא שיטת כוח גס, סריקת כל החזקות של בזה אחר זה מ-1 עד עד שמתקבל וסיבוכיותה היא מסדר גודל . היא אינה יעילה מהיבט קריפטוגרפי כיוון שאם גדול (נניח באורך סיביות) התקפה כזו אינה פרקטית. שיטה מעט יותר טובה נקראת "צעד-קטן צעד-גדול" והיא מבוססת על העובדה שאם אפשר לכתוב את בצורה: (לפי כלל החילוק המודולרי) כאשר ו-. לכן לאחר העברת אגפים מתקבל . מהאמור עולה שאם מכינים טבלה המכילה את הזוגות () עבור כל המספרים מ-1 עד , הממויינת לפי האלמנט השני, מובטח שיימצא אלמנט אחד (אם קיים פתרון) השווה ל-. היות שהטבלה היא בסדר גודל של השורש הריבועי של סדר החבורה וחיפוש בטבלה ממויינת אינו קשה, יוצא שסיבוכיות השיטה היא אך היא דורשת סיבוכיות מקום בסדר גודל של ועל כן אם גדול מאוד (נניח ) היא אינה פרקטית.
תיאור כללי
אלגוריתם רו של פולרד מנסה לייצר "סדרה פסידו-אקראית" של אלמנטים מהחבורה בהתבסס על רעיון מונטה קרלו וחיפוש אחר התנגשויות, כלומר שני אלמנטים זהים בסדרה. אם נמצאה התנגשות הדבר מוביל לפתרון בעיית הלוגריתם הבדיד בהסתברות גבוהה. שני רעיונות מרכזיים של פולרד הם פונקציה איטרטיבית אקראית קלה לחישוב, איתה מכינים את הסדרה הפסאודו-אקראית ואלגוריתם מציאת מחזוריות שמנסה למצוא בה התנגשות בזמן הקצר ביותר ללא שימוש בטבלאות. לצורך הפשטות נניח שנתונה חבורה ציקלית מסדר ראשוני.
תחילה מחלקים את לשלוש קבוצות בגודל זהה בקירוב , בחלוקה לוגית בהתבסס על כלל מנחה קל לבדיקה. אפשר למשל לחלק לפי משקלו של כל אלמנט באופן הבא הקבוצה תכיל את כל האלמנטים: , הקבוצה את האלמנטים והשלישית . דרך אחרת יותר יעילה היא לחלק לפי הערך של הסיביות הכי פחות משמעותיות של כל כאשר תלוי במספר החלוקות (במקרה זה מספיק לבחון את שתי הסיביות האחרונות). מספר החלוקות שרירותי וניתן לשינוי, אך יש צורך לשים לב לכמה היבטים חשובים בנוגע לחלוקה למשל .
מחשבים סדרה פסידו-אקראית של אלמנטים מהחבורה לפי הכלל הבא. בוחרים אלמנט התחלתי ועבור כל מחשבים:
בנוסף מתוך הסדרה האמורה מכינים שתי רשימות של שלמים וכן כאשר ו- ועבור כל מחשבים את
וכן
הערכים של ו- מחושבים כך שעבור כל מתקיים . אם כאשר זה אומר שנמצאה "התנגשות". כדי למצוא התנגשות ביעילות האלגוריתם מנצל טכניקה המיוחסת לרוברט פלויד (לפי דונלד קנות') שנקראת מציאת מחזוריות או "שיטת הצב והארנב" שהיא שיטה יעילה לאיתור מחזוריות של פונקציה איטרטיבית אקראית על עצמה מהצורה . מנסים באופן רקורסיבי לאתר את הנקודה בה הסדרה מתחילה לחזור על עצמה. מבצעים בכל איטרציה שתי הליכות, הליכה איטית והליכה מהירה. בהליכה איטית מחשבים מתוך הערכים מהאיטרציה הקודמת את השלשה החדשה () ובהליכה מהירה את ומשווים בין ל-, אם הם שווים אותרה מחזוריות הפונקציה וזה אומר שמנקודה זו ואילך המסלול יחזור על עצמו במעגל אין סופי. סיבוכיות הטכניקה הזו זהה לשיטה הישירה המסתמכת על חיפוש בטבלאות ומבזבזת זיכרון רב. אם נמצאה התאמה המשמעות היא ש- ולכן . אם לוקחים לוגריתם בבסיס של שני האגפים במשוואה האחרונה מתקבל
- .
בהנחה ש-, שבכל מקרה עלול לקרות בהסתברות מאוד זניחה. מתוך המשוואה האחרונה אפשר לחלץ את על ידי הכפלה בהופכי הכפלי של .
פירוט מהלכי האלגוריתם
אלגוריתם רו של פולרד
קלט: החבורה מסדר , יוצר והאלמנט .
פלט: הלוגריתם הבדיד .
- מציבים .
- מבצעים לולאה עם
- מחשבים את הערכים של מתוך הערכים הקודמים וכן לפי הנוסחאות המתוארות לעיל.
- אם מבצעים:
- מציבים
- אם אלגוריתם מסתיים בכישלון אחרת מחזירים את .
במקרה הנדיר שהאלגוריתם מסתיים בכישלון מגרילים אחרים ומתחילים מההתחלה כאשר .
דוגמה במספרים קטנים
נתונה תת-חבורה של החבורה מסדר עם היוצר ונתון . חלוקת האלמנטים של לשלוש קבוצות מתבצעת לפי הכלל הבא: מחשבים את , אם השארית 1 הוא שייך ל-, אם השארית היא 0 הוא שייך ל- ואילו אם השארית היא 2 הוא שייך ל-. הטבלה הבאה מסכמת את מהלכי האלגוריתם והערכים של וכן לאחר כל איטרציה. באיטרציה ה-14 נמצאה התנגשות כי . לכן מחשבים את וההופכי שלו ולכן והפתרון הוא מודולו 191.
1 | 228 | 0 | 1 | 279 | 0 | 2 |
2 | 279 | 0 | 2 | 184 | 1 | 4 |
3 | 92 | 0 | 4 | 14 | 1 | 6 |
4 | 184 | 1 | 4 | 256 | 2 | 7 |
5 | 205 | 1 | 5 | 304 | 3 | 8 |
6 | 14 | 1 | 6 | 121 | 6 | 18 |
7 | 28 | 2 | 6 | 144 | 12 | 38 |
8 | 256 | 2 | 7 | 235 | 48 | 152 |
9 | 152 | 2 | 8 | 72 | 48 | 154 |
10 | 304 | 3 | 8 | 14 | 96 | 118 |
11 | 372 | 3 | 9 | 256 | 97 | 119 |
12 | 121 | 6 | 18 | 304 | 98 | 120 |
13 | 12 | 6 | 19 | 121 | 5 | 51 |
14 | 144 | 12 | 38 | 144 | 10 | 104 |
אלגוריתם רו של פולרד בעקום אליפטי
עקום אליפטי הוא כלי מתמטי פופולרי המצוי בשימוש נרחב בהצפנה מודרנית בשל העובדה שהוא מאפשר פרמטרים קטנים יותר בפקטור של עשר בקירוב לעומת אלגוריתם כמו RSA. עם עקום אליפטי אפשר ליישם פונקציה חד-כיוונית ואיתה לממש הצפנה אסימטרית המבוססת על בעיה מתמטית כמו בעיית הלוגריתם הבדיד בעקום אליפטי. בעיית הלוגריתם הבדיד בעקום אליפטי מקבילה לבעיה הכללית והיא כדלהלן:
- נתון עקום אליפטי המוגדר מעל השדה , נתונה נקודה מסדר ונקודה , מצא שלם בטווח המקיים .
השלם נקרא הלוגריתם הבדיד של הנקודה בבסיס הנקודה או בקיצור . אם הפרמטרים של העקום נבחרו בזהירות כדי להבטיח שלא יהיו קיצורי דרך לפתרון הבעיה בעקום זה, הדרך הטובה ביותר לפתרונה היא באמצעות אלגוריתם רו של פולרד בסיבוכיות של . הסימון מייצג את כל הנקודות שהן כפולות של . (כגון וכן הלאה עד ). במילים אחרות, הנקודה היא תוצאה של חיבור הנקודה בעצמה (הנקראת בקיצור POINT_DBL) בדיוק פעמים והבעיה היא לגלות כמה פעמים בוצע החיבור, קרי לגלות את ערכו של . לא קיימת דרך פשוטה לבצע זאת כי המסלול של הנקודות נראה אקראי. שיטת כוח גס אינה מעשית משום שבמקרה הממוצע יש צורך לבדוק לפחות מחצית מהנקודות עד שנמצא . אם כוח גס אינו מעשי. כמובן שיש לשים לב של- יש לפחות גורם ראשוני אחד גדול דיו. שאם לא כן אפשר לנצל את אלגוריתם פוליג-הלמן בזמן שהוא ביחס ישיר לגודל הגורמים הראשוניים שלו. למעשה ככל שהגורם הראשוני שלו (לפחות אחד מהם) גדול יותר סיבוכיות ההתקפה תהיה גבוהה יותר.
תיאור כללי
כמו בחבורה ציקלית, הרעיון של אלגוריתם רו בעקום אליפטי הוא למצוא שני זוגות שלמים () וכן () מודולו המקיימים:
ואז
ולכן
מזה נובע שאפשר לחשב את על ידי .
הדרך הישירה למצוא זוגות המקיימים את המשוואה האמורה היא על ידי בחירה אקראית ואחסון בטבלה. אם מכינים טבלה המכילה את כל השלשות: () וממיינים לפי הערך השלישי, מובטח שבסופו של דבר הערך הזה יופיע פעם נוספת מה שיאפשר לגלות את הלוגריתם הבדיד כאמור. תופעה שבה הערך השלישי מופיע פעמיים כאשר הערכים האחרים שונים נקראת "התנגשות". לפי פרדוקס יום ההולדת מספר הניסיונות הצפוי לפני שתופיע התנגשות הוא בערך שזה בערך . אולם החסרון בשיטה זו הוא שיש צורך בזיכרון רב, ליתר דיוק שלשות. אלגוריתם רו מנסה להימנע משימוש בזיכרון על ידי שיטת הצב והארנב. מגדירים פונקציה איטרטיבית אקראית כך שבהינתן והערכים ו- כך שמתקיים יהיה קל לחשב את ואת כך שמתקיים .
לדוגמה, אם מחלקים את החבורה הציקלית ל- רשימות בגודל זהה בקירוב (למשל ), מציבים כל נקודה ברשימה המתאימה אם הערך של 5 הסיביות הכי פחות משעותיות של הקואורדינטה של הנקודה הוא . נניח ששיטת חלוקה זו תסומן ב- ונניח שהערכים ו- הם שלמים אקראיים כלשהם הנמוכים מ- כאשר מתפרס על פני כל הרשימות של , במקרה זה פונקציה אקראית איטרטיבית יכולה להיות:
כאשר
ולכן אם אז הפונקציה האקראית היא כאשר וכן . כל נקודה התחלתית מגדירה סדרה אחרת של נקודות כאשר כל נקודה מחושבת על ידי הנקודה הקודמת, . היות שהחבורה הזו סופית בהכרח שתיגרם התנגשות, כלומר ערך של כלשהו יופיע שוב ומנקודה זו ואילך הסדרה תחזור על עצמה במעגל אין סופי. כלומר יופיע האינדקס הקטן ביותר המקיים עבור כלשהו ומכאן ואילך עבור כל . כאן הוא אורך השובל ו- הוא היקף מעגל במונחים של מספר האיטרציות של הפונקציה האיטרטיבית האקראית. אם היא פונקציה אקראית אז ההתנגשות הראשונה צפויה לקרות לאחר צעדים בקירוב. אורך השובל הוא ואורך המעגל צריך להיות בקירוב.
התנגשות היא מצב שבו כאשר ואותה אפשר למצוא ללא צורך בזיכרון באמצעות שיטת פלויד או שיטת הצב והארנב. בשיטה זו מחשבים בכל צעד את הנקודות ו- ומנסים למצוא התאמה. מספר הזוגות הצפוי שיש לבדוק הוא לכל הפחות זוגות ולכל היותר זוגות, עד שתמצא התנגשות. ליתר דיוק בהנחה ש- אקראית מספר הזוגות הצפוי שצריך לבדוק עד שתמצא התנגשות הוא . מספר החישובים שיש לבצע בעקום האליפטי הוא בערך פעולות חיבור נקודות.
פירוט מהלכי האלגוריתם
אלגוריתם רו של פולרד לחישוב לוגריתם בדיד בעקום אליפטי.
קלט: הנקודה מסדר והנקודה
פלט: הלוגריתם הבדיד .
- תחילה בוחרים את מספר הענפים או רשימות ואת פונקציית החלוקה שמציבה כל נקודה ברשימה המתאימה לפי הכלל .
- עבור עד מבצעים:
- מגרילים שני שלמים ומחשבים את .
- מגרילים זוג שלמים נוספים ומחשבים את .
- מציבים .
- חוזרים על המהלכים הבאים:
- .
- עבור עד 2 מבצעים:
- .
- עד שמתקבל .
- אם האלגוריתם הסתיים בכישלון, אחרת מחזירים את .
דוגמה במספרים קטנים
נתון העקום עם המשוואה . נקודה היא מסדר ראשוני . תהי הנקודה . כדי למצוא את מגדירים תחילה ובוחרים פונקציית חלוקה לפי הכלל:
בוחרים ומחשבים ארבע שלשות:
הטבלה הבאה מציגה את השלשות () ו-() המתקבלות לאחר הצעד הרביעי באלגוריתם עבור המקרה .
– | 54 | 175 | (39,159) | 54 | 175 | (39,159) |
1 | 34 | 4 | (160,9) | 113 | 167 | (130,182) |
2 | 113 | 167 | (130,182) | 180 | 105 | (36,97) |
3 | 200 | 37 | (27,17) | 0 | 97 | (108,89) |
4 | 180 | 105 | (36,97) | 46 | 40 | (223,153) |
5 | 20 | 29 | (119,180) | 232 | 127 | (167,57) |
6 | 0 | 97 | (108,89) | 192 | 24 | (57,105) |
7 | 79 | 21 | (81,168) | 139 | 111 | (185,227) |
8 | 46 | 40 | (223,153) | 193 | 0 | (197,92) |
9 | 26 | 108 | (9,18) | 140 | 87 | (194,145) |
10 | 232 | 127 | (167,57) | 67 | 120 | (223,153) |
11 | 212 | 195 | (75,136) | 14 | 207 | (167,57) |
12 | 192 | 24 | (57,105) | 213 | 104 | (57,105) |
אפשר לראות בשורה האחרונה בטבלה שהאלגוריתם מצא התנגשות כי:
לכן
- .
שיפורים
בגלל הפופולריות של עקומים אליפטיים בקריפטוגרפיה, נעשה מאמץ לשפר את אלגוריתם רו של פולרד בין היתר על ידי עיבוד מקבילי. נניח שזמינים מחשבים לצורך פתרון הבעיה. הדרך הנאיבית היא להריץ את האלגוריתם על כל מחשב בנפרד עם נקודות התחלה אקראיות שונות, עד שאחד מהם יגלה התנגשות. שיטה זו אינה מנצלת את פוטנציאל המקביליות כי השיפור בביצועים הוא בפקטור לכל היותר. פול ואן-אורשוט ומייקל ויינר הציעו גרסה מקבילית של אלגוריתם רו שמניבה שיפור בביצועים בפקטור של [4]. הרעיון הוא לאפשר לכל הסדרות של כל המעבדים להתנגש אחת עם השנייה. ביתר פירוט, כל מעבד בוחר לעצמו נקודת התחלה באופן אקראי בנפרד מהאחרים, אולם כל המעבדים משתמשים באותה פונקציה איטרטיבית כדי לחשב את האלמנט הבא בסדרה . לכן, אם נוצרת התנגשות בין שתי סדרות, כל הנקודות של שתי הסדרות החל בנקודה שבה הופיעה התנגשות תהיינה זהות. כדי להתאים את אלגוריתם פלויד למציאת מחזוריות בין סדרות נפרדות שנוצרות על ידי מעבדים שונים, נוקטים באסטרטגיה הבאה, בוחרים מאפיין ייחודי קל לזיהוי המשמש כ"נקודה מובחנת" (Distinguished Point). נקודה מובחנת יכולה להיות כזו המכילה למשל רצף של אפסים מובילים בקואורדינטה שלה. בכל פעם שמעבד נתקל בנקודה מובחנת כזו הוא משדר את הנקודה לשרת מרכזי שאוסף את כל הנקודות המובחנות מכל המעבדים וממיין אותם בזיכרון. אם השרת מקבל בשלב כלשהו נקודה מובחנת שכבר התקבלה קודם לכן, הוא מחשב את הלוגריתם הבדיד ומסיים בהצלחה.
אם הפרופורציה של הנקודות המובחנות ב- היא הסיכויים לקבל התנגשות הם בערך לכן מספר פעולות כפל נקודות בעקום הצפוי מכל מעבד עד שמתקבלת התנגשות אחת הוא
- .
בכך מושגת האצה ליניארית במהירות הביצוע של האלגוריתם ביחס למספר המעבדים הזמינים. ההתקשרות עם השרת המרכזי היא מינימלית וכן אין צורך בתקשורת כלשהי של המחשבים בינם לבין עצמם מלבד עם השרת. אפשר לשלוט בכמות הזיכרון הנדרשת בשרת המרכזי על ידי בחירה נכונה של תכונת ההבחנה באופן כזה שמצד אחד לא תהיה נדירה ויהיה קשה למצוא נקודה כזו אך מצד שני שלא תהיה תדירה מדי ואז כמות הזיכרון עלולה להיות מופרזת.
דרך נוספת לשפר ביצועים היא על ידי שימוש באוטומורפיזם. יהי אוטומורפיזם של חבורה, כאשר היא נקודה בעקום מסדר . בהנחה שקל לחשב את והיא מסדר . כלומר הוא השלם הקטן ביותר כך ש- עבור כל ב-. מגדירים יחס שקילות על המסומן על ידי
- אם ורק אם עבור בטווח . מחלקת השקילות [R] היא
כאשר הוא המחלק הקטן ביותר של המקיים . הרעיון בהאצת האלגוריתם הוא לשנות את פונקציית האיטרציה שתהיה מעל מחלקת השקילות . כדי לעשות זאת מגדירים הצגה קנונית של של כל מחלקת שקילות . למשל יכולה להיות הנקודה ב- שהקואורדינטה שלה היא השלם הקטן ביותר. או למשל העתקת השלילה . שאז אפשר להגדיר את פונקציית האיטרציה על ידי
- .
אם נניח שקיים שלם המקיים אז, היות ש- היא אוטומורפית מתקבל עבור כל . אם מוצאים שני שלמים המקיימים אז אפשר לחשב בקלות את השלמים המקיימים . אם אז וכן . הפונקציה כאן משמשת כפונקציה איטרטיבית באלגוריתם רו בגרסה המקבילית שלו עם מעבדים. הנקודה התחלתית של כל סדרה היא כאשר ו- הם שלמים אקראיים הנמוכים מ-. הנקודות הבאות בכל סדרה מחושבות על ידי . אם רוב מחלקות השקילות של הן באורך אז טווח החיפוש מצטמצם ל- ולכן זמן הרצוי המשוער של האלגוריתם בגרסה משופרת זו הוא
- .
זהו שיפור בפקטור של במהירות הביצוע. אם משתמשים בהעתקת השלילה כאוטומורפיזם, מושג שיפור בפקטור של .
במקרה של עקום קובליץ מעל שהוא עקום פופולרי בתקנים של NIST וסרטיקום, העתקת פרובניוס המוגדרת על ידי וכן גם היא אוטומורפיזם של חבורה מסדר והיא קלה לחישוב היות שהעלאה בריבוע היא פעולה קלה בשדה הבינארי (בהצגה פולינומית העלאה בריבוע מודולו 2 שקולה למעשה להכנסת אפסים בין כל הספרות לסירוגין). אם הוא מסדר ראשוני כך ש- אינו מחלק של סדר העקום המסומן ב- אז ולכן היא אוטומורפית. יהי אפשר להוכיח שאחד מהפתרונות של המשוואה המודולרית מקיים . לכן באופן דומה, הגרסה המקבילית של אלגוריתם רו עם מעבדים המשתמשת במחלקות השקילות תחת העתקת פרובניוסמגיעה לזמן ריצה של
- .
ואם מנצלים גם את העתקת השלילה מושג שיפור כולל בזמן הריצה בפקטור של .
למשל ההערכה המקורית שניתנה ב-1996 הייתה שכדי לפתור את בעיית הלוגריתם הבדיד בעקום אליפטי מסדר 113 בהנחה שזמינים 10,000 מעבדים לצורך המשימה כשכל אחד מהם מסוגל לבצע איטרציה אחת בעשר מילישניות, אם אז מספר החזרות הצפוי בכל מעבד לפני שמוצאים לוגריתם הוא
- .
שזה שקול בערך ל-1045 ימים או שלוש שנות עיבוד עם כמות של כארבע גיגה-בית זיכרון. הערכות יותר מעודכנות קצת יותר אופטימיות. לדוגמה ב-2002 הצליח צוות חוקרים בראשות קריס מוניקו לפצח את העקום האליפטי ECCp-109 עם 10,000 מחשבים שעבדו במקביל בסך הכול 549 ימים. הם השתמשו בגרסה משופרת של אלגוריתם רו של פולרד והצליחו לפתור את בעיית דיפי-הלמן בעקום זה.
לקריאה נוספת
- Hankerson, Darrel, Menezes, Alfred J., Vanstone, Scott (2004) Guide to Elliptic Curve Cryptography
הערות שוליים
- ^ Pollard, J. M. (1978). Monte Carlo methods for index computation (mod p). "Mathematics of Computation" . 32 (143): 918–924
- ^ Brent, Richard P. (1980), "An Improved Monte Carlo Factorization Algorithm", BIT, 20: 176–184
- ^ Menezes, Alfred J.; van Oorschot, Paul C.; Vanstone, Scott A. (2001). "Chapter 3 - Number-Theoretic Reference Problems" (PDF). "Handbook of Applied Cryptography".
- ^ Paul C. van Oorschot, Michael J. Wiener, "Parallel Collision Search with Cryptanalytic Applications" Journal of Cryptology January 1999, Volume 12, Issue 1, pp 1–28
אלגוריתם רו של פולרד ללוגריתם הבדיד26383684