이산 대수를 찾는 것이 얼마나 어려운가요?

20

이산 대수를 찾는 것과 동일 $b$ 에 주어진 , 및 . $a^b=c \bmod N$ $a$ $c$ $N$

나는 이것이 어떤 복잡성 그룹 (예 : 클래식 및 양자 컴퓨터)에 있는지, 그리고이 작업을 수행하기 위해 어떤 접근법 (즉, 알고리즘)이 가장 좋은지 궁금합니다.

위의 wikipedia 링크는 실제로 구체적인 런타임을 제공하지는 않습니다. 나는 가장 잘 알려진 방법이 그러한 것을 찾는 것과 같은 것을 더 바라고 있습니다.

— 매트 그 로프
소스

최고의 알고리즘이 무엇인지 모르겠지만 Johan Hastad 가이 강의 노트 5 장에서 일부 알고리즘을 찾을 수 있습니다 . 이 알고리즘을 요약했지만이 장을 읽지 않았으므로 링크 만 제공합니다.)

— Marc Bury

21

짧은 답변. 이산 대수 문제
의 적절한 결정 문제 버전을 공식화하면 복잡성 클래스 NP , coNP 및 BQP 의 교집합에 속함을 알 수 있습니다 .

불연속 로그의 결정 문제점 버전.
이산 대수 문제는 대부분 정수의 튜플을 다른 정수에 매핑 하는 함수 문제 로 공식화됩니다 . 문제의 공식화는 사람들이 고려하기를 선호하는 의사 결정 (예 / 아니오) 문제 와 관련된 복잡성 클래스 P , BPP , NP 등과 호환되지 않습니다 . 우리는 불연속 로그 문제의 결정 문제 버전을 고려할 수 있는데 이는 사실상 동등한 것입니다.

불연속 로그 (결정 문제). 소수 주어지면 곱셈 단위 modulo 의 생성자 , 정수 및 상한 이 이 있는지 확인 되도록 . $N$ $a \in \mathbb Z_N^\times$ $N$ $0 < c < N$ $b \in \mathbb N$ $1 \leqslant L \leqslant b$ $a^L \equiv c \pmod{N}$

이를 통해 효율적으로 해결할 수 있다면 이진 검색 을 통해 실제로 로그 _a ( c ) 모듈로 N 을 계산할 수 있습니다. 그런 다음이 문제가 속하는 복잡한 클래스를 물을 수 있습니다. 우리는 이것을 약속 문제로 표현했습니다 : 우리는 이 소수이고 제너레이터 라는 요구 사항을 중단 하지만 이러한 제한이 적용되는 조건을 추가함으로써 결정 문제로 확장 할 수 있습니다. 문제의 '예'인스턴스 $N$ $a \in \mathbb Z_N^\times$

불연속 로그는 BQP에 있습니다.
불연속 로그를 계산하기 위해 Shor 알고리즘을 사용하면 ( Quantum Factoration에 대한 다항식-시간 알고리즘 및 양자 컴퓨터의 불연속 로그 ) BQP에 불연속 로그 를 쉽게 포함 할 수 있습니다 . ( 실제로 발생기 인지 테스트 하기 위해, 우리는 이산 로그 알고리즘의 기초가되는 동일한 논문에서 Shor의 순서 찾기 알고리즘을 사용하여 와 그것을 과 비교하십시오 .) $a \in \mathbb Z_N^\times$ $a$ $N-1$

불연속 로그는 NP ∩ coNP에 있습니다.
실제로 이 소수이고 가 제너레이터 인 경우, 결정 문제점의 'YES'또는 'NO'인스턴스에 대한 충분한 인증서는 고유 정수 이므로 입니다. 따라서 및 의 조건이 보류 되는지 여부를 인증 할 수 있음을 보여주는 것으로 충분합니다 . 완장의 다음 암호화의 복잡성에 노트 가 있다면, 모두 있는 경우 소수 및 발전기입니다, 그것은 경우 즉 $N$ $a \in \mathbb Z_N^\times$ $0 \leqslant L < N-1$ $a^L \equiv c \pmod{N}$ $a$ $N$ $N$ $a \in \mathbb Z_N^\times$

{아르 자형}^{엔 - 1} \equiv 1 (모드 엔) 과 {아르 자형}^{(엔 - 1) / 큐} ≢ 1 (모드 엔) 소수를 위해 큐 나누기 엔 - 1

$r^{N-1} \equiv 1 \!\!\!\!\pmod{N} \qquad\text{and}\qquad r^{(N-1)/q} \not\equiv 1 \!\!\!\!\pmod{N} ~~\text{for primes $q$ dividing $N-1$}$ 순서는 이라는 사실을 사용합니다 .

Z_{N}^{\times}

$\mathbb Z_N^\times$

N - 1

$N-1$

에 대한 제약하는 인증서 과 보류 모두 소인수의 목록이 될 것이다는 나눔 우리가 위의 적합성 제약을 테스트 할 수 있습니다. (우리는 서로 여부를 테스트 할 수 있습니다 사용하는 소수 AKS 테스트를 이들의 주요 요인의 모든 것을 우리가하고자하는 경우, 테스트 의 주요 전력 분해 찾는 시도하여 만 소수로합니다.) $N$ $a$ $q_1, q_2, \ldots$ $N-1$ $q_j$ $N-1$ $N-1$
인증서에 대한 제약 중 하나 것을 또는 정수 것이 실패 분할 등 그 . 이 경우 를 테스트 할 필요는 없습니다 . 즉, 의 차수 가 보다 작다는 것을 의미 하므로 이 소수가 아닌 경우에만 곱셈 그룹의 생성기입니다 . $N$ $a$ $q$ $N-1$ $a^{(N-1)/q} \equiv 1 \pmod{N}$ $q$ $a$ $N-1$ $N$

— 닐 드 보드 랩
소스

3

일반적인 시나리오와 최악의 시나리오에서 Niel de Beaudrap의 대답은 내가 아는 한 정확합니다.

그러나 소수 요인 만 있는 경우 Pohlig-Hellman 알고리즘 은 시간 에서 로그를 찾습니다 . 따라서이 경우 불연속 로그 문제는 입니다. 이와 같이, 암호화 프로토콜이이 문제의 경도에 의존 할 때, 이 큰 주요 인자를 갖도록 모듈러스 을 선택하는 것이 중요하다 . $N-1$ $O(log^2(N))$ $P$ $N$ $N-1$

— 단신
소스

-1

사람 , 후 . (무차별 적 의미는 EXP에 있습니다.) $|a|=O(N)$ $b=O(N)$

비 결정적 기계의 경우 P에서 모듈 식 지수 를 수행 할 수 있기 때문에 다항식 감시가 있습니다 (즉, 문제는 있습니다). $NP$

이산 대수는 있지만 는 아니라는 이론 은 현대 암호화의 기초이지만 분명히 입증되지 않았습니다. $NP$ $P$

Shor의 방법 (위 위키 백과 페이지에 링크 됨)은 양자 컴퓨터에서 다항식 시간으로 실행됩니다.

— 소다 랩
소스