Pollards lambda-algoritme

Pollards lambda-algoritme, ook bekend onder de naam Pollards kangoeroe-algoritme, is een algoritme om de discrete logaritme te vinden. De Britse wiskundige John Pollard beschreef deze methode in hetzelfde artikel als waarin hij Pollards rho-algoritme voor logaritmen beschreef.

Pollards lambda-algoritme is bruikbaar om de discrete logaritme te bepalen, als men weet dat deze tot een beperkt aantal waarden ${\displaystyle \{a,\dots ,b\}}$ behoort.

Door ${\displaystyle a=0}$ en ${\displaystyle b=p-1}$ te stellen is het mogelijk om het Pollard lambda-algoritme voor algemene ${\displaystyle n}$ te gebruiken, maar Pollards lambda-algoritme gaat veel sneller als ${\displaystyle \{a,\dots ,b\}}$ een relatief klein aantal waarden bevat.

Kies een verzameling S met gehele getallen en definier een functie f(x) die de groep G afbeeldt op deze verzameling S.
Kies vervolgens een geheel getal N en bereken een rij groepselementen ${\displaystyle (x_0,x_1,\dots ,x_N)}$ als: ${\displaystyle x_0=g^b}$ en ${\displaystyle x_{i+1}=x_i\cdot g^{f(x_i)}}$ voor ${\displaystyle i=0,1,\dots ,N-1}$.
Berekenen daarna de som van alle afzonderlijke ${\displaystyle f(x_i)}$: ${\displaystyle d={\displaystyle \sum _{i=0}^{N-1}}f(x_i)}$
Er geldt nu dus:

${\displaystyle x_N=x_0\cdot g^{f(x_0)}\cdot g^{f(x_1)}\cdot \dots \cdot g^{f(x_{N-1})}=x_0\cdot g^d=g^b\cdot g^d=g^{b+d}}$

Berekenen nu een tweede reeks groepselementen ${\displaystyle (y_0,y_1,\dots ,y_N)}$ als: ${\displaystyle y_0=h,y_{i+1}=y_i\cdot g^{f(y_i)}}$ voor ${\displaystyle i=0,1,\dots ,N-1}$
Bereken tegelijkertijd de rij ${\displaystyle (d_0,d_1,\dots }$ waarbij ${\displaystyle d_k={\displaystyle \sum _{i=0}^{k-1}}f(y_i)}$
Dan geldt: ${\displaystyle y_i=y_0\cdot g^{f(y_0)}\cdot g^{f(y_1)}\cdot \dots \cdot g^{f(y_i)}=h\cdot g^{d_i}}$ voor ${\displaystyle i=0,1,\dots ,N-1}$
Ga door met het berekenen van nieuwe termen ${\displaystyle y_i}$ en ${\displaystyle d_i}$ totdat een van de volgende twee situaties optreedt:

i) ${\displaystyle y_j=x_N}$ voor bepaalde ${\displaystyle j}$.

Dan geldt: ${\displaystyle x_N=y_j\iff g^{b+d}=h\cdot g^{d_j}\iff h=g^{b+d-d_j}}$ waaruit de gezochte ${\displaystyle n\equiv b+d-d_j(\mathrm{mod}p)}$ gevonden kan worden.

ii) ${\displaystyle d_i=b-a+d}$

Wanneer dit gebeurt, kan ${\displaystyle n}$ zo niet worden bepaald.

We kunnen de verzameling S en/of de functie f(x) veranderen en opnieuw de verschillende stappen van het algoritme doorlopen.

• Baby-steps giant-steps algoritme
• Indexcalculusalgoritme
• Pohlig-Hellman algoritme
• Pollards rho-algoritme

• J. M. Pollard, Monte Carlo methods for index computation mod p. Mathematics of Computation, Volume 32, Issue 143 (jul.1978), 918-924.
• M. Pollard, Kangaroos, Monopoly and Discrete Logarithms. Journal of Cryptology, Volume 13, pp 437–447, 2000