Pollards rho-algoritme

Pollards rho-algoritme is een algoritme dat door John Pollard in 1978 beschreven werd om de discrete logaritme zoals dat is gedefinieerd in een cyclische groep te berekenen. Het grote voordeel ten opzichte van het Baby-steps giant-steps-algoritme is dat voor deze methode geen opslagruimte nodig is.

Laat G een groep zijn, met orde p, en G cyclisch. Laat g ${\displaystyle \in }$ G voortbrenger zijn van G en h ${\displaystyle \in }$ G. De discrete logaritme luidt nu als volgt: Bepaal de oplossing van ${\displaystyle g^n=h}$.

Pollards rho-algoritme definieert eerst een pseudowillekeurige reeks (opeenvolging) van elementen van een groep en kijkt dan naar een cyclus (kringloop) die in deze reeks voorkomt.

Deze groep wordt verdeeld in drie deelverzamelingen S₁, S₂, S₃ van ongeveer gelijke grootte, door middel van een eenvoudig te testen eigenschap.

Vervolgens wordt er een functie gedefinieerd die de groep afbeeldt op zichzelf waardoor de elementen op een andere manier worden gerangschikt. Verder wordt f(x) zo gekozen dat elk opeenvolgend element een functie is van alleen het voorgaande element. Eigenlijk worden twee reeksen elementen gemaakt waarbij de tweede reeks twee keer zo snel de groepselementen doorloopt als de eerste reeks. We zoeken nu totdat we twee dezelfde elementen hebben gevonden. Als we een element vinden dat voor de tweede keer voorkomt, is elk daaropvolgend element een herhaling van elementen eerder in de reeks.

De verjaardagenparadox zegt nu dat we zo’n cyclus zullen vinden nadat we slechts O(√p) elementen van de reeks hebben berekend. (In het algemeen geldt dat als er volkomen willekeurig elementen worden geselecteerd uit een verzameling, met grootte n dan hoeft men maar O(√p) elementen van deze verzameling te selecteren om een kans van ½ te hebben om hetzelfde element twee keer te trekken.)

Zij ${\displaystyle G}$ een groep van orde ${\displaystyle p}$, ${\displaystyle g}$ een voortbrenger en ${\displaystyle h\in G}$. Bepaal de discrete logaritme ${\displaystyle n}$, waarvoor ${\displaystyle g^n=h}$.

${\displaystyle G}$ wordt verdeeld in drie deelverzamelingen ${\displaystyle S_1,S_2}$ en ${\displaystyle S_3}$ (geen subgroepen) van ongeveer gelijke omvang.

Vervolgens worden de elementen als volgt gerangschikt:

${\displaystyle x_0=1}$

en

${\displaystyle x_{i+1}=\{\begin{array}{ccc}h\cdot x_i& & x_i\in S_1\\ x_i^2& \text{als }& x_i\in S_2\\ g\cdot x_i& & x_i\in S_3\end{array}}$

Bovendien worden de gehele getallen ${\displaystyle (a_i)}$ en ${\displaystyle (b_i)}$ zo gedefinieerd, dat

${\displaystyle a_0=b_0=0}$

en

${\displaystyle a_{i+1}=\{\begin{array}{ccc}{a}_i& & x_i\in S_1\\ 2a_{i}modp& \text{als }& x_i\in S_2\\ a_i+1modp& & x_i\in S_3\end{array}}$

${\displaystyle b_{i+1}=\{\begin{array}{ccc}{b}_i+1modp& & x_i\in S_1\\ 2b_{i}modp& \text{als }& x_i\in S_2\\ b_i& & x_i\in S_3\end{array}}$

Dan geldt: ${\displaystyle x_i=g^{a_i+b_{i}n},}$ want ${\displaystyle a_i}$ is het aantal factoren ${\displaystyle g}$, en ${\displaystyle b_i}$ het aantal factoren ${\displaystyle h=g^n}$.

Voor zekere indices ${\displaystyle i}$ en ${\displaystyle j}$ zal blijken dat:

${\displaystyle x_i=g^{a_i+b_{i}n}=x_j=g^{a_j+b_{j}n}}$.

Volgens het algoritme van Floyd voor het opsporen van cyclussen is het voldoende te zoeken naar indices ${\displaystyle i}$ en ${\displaystyle j=2i}$.

Dan volgt:

${\displaystyle a_i+b_{i}n\equiv a_j+b_{j}n(\mathrm{mod}p)}$,

waaruit het gevraagde getal ${\displaystyle n}$ berekend kan worden

Het element 5 is een voortbrenger van de subgroep ${\displaystyle G}$ van ${\displaystyle {\mathbb{Z}}_{1000003}^{*}}$ met orde 1.000.002. Met het algoritme wordt de discrete logaritme ${\displaystyle n}$ bepaald, waarvoor ${\displaystyle 5^n=262682(\mathrm{mod}1000003)}$.

Verdeel ${\displaystyle G}$ in drie deelverzamelingen:

${\displaystyle S_i=\{x\in G|x\equiv i(\mathrm{mod}3)\},i=1,2,3}$

Dan is

${\displaystyle x_0=1}$

en

${\displaystyle x_{i+1}=\{\begin{array}{ccc}{5}^n\cdot x_i& & x_i\equiv 1(\mathrm{mod}3)\\ x_i^2& \text{als }& x_i\equiv 2(\mathrm{mod}3)\\ 5\cdot x_i& & x_i\equiv 0(\mathrm{mod}3)\end{array}}$

Zo ontstaat de rij (alles modulo 1000003):

${\displaystyle x_1=5^n{x}_0=5^n=262682\equiv 2(\mathrm{mod}3)}$

${\displaystyle x_2=x_1^2=5^{2n}=262682^2=626121\equiv 0(\mathrm{mod}3)}$

${\displaystyle x_3=5x_2=5^{2n+1}=5\times 626121=130596\equiv 0(\mathrm{mod}3)}$

${\displaystyle x_4=5x_3=5^{2n+2}=5\times 130596=652980\equiv 0(\mathrm{mod}3)}$

${\displaystyle x_5=5x_4=5^{2n+3}=5\times 652980=264891\equiv 0(\mathrm{mod}3)}$

${\displaystyle x_6=5x_5=5^{2n+4}=5\times 264891=324452\equiv 2(\mathrm{mod}3)}$

${\displaystyle x_7=x_6^2=5^{4n+8}=324452^2=784500\equiv 0(\mathrm{mod}3)}$

${\displaystyle \dots }$

${\displaystyle x_{1785}=5^{249847n+759123}=555013}$

${\displaystyle \dots }$

${\displaystyle x_{3570}=5^{388795n+632781}=555013}$

Het blijkt dat ${\displaystyle x_{1785}=x_{3570}}$, dus

${\displaystyle 249847n+759123\equiv 388795n+632781(\mathrm{mod}1000002)}$

of

${\displaystyle 138948n\equiv 126342(\mathrm{mod}1000002)}$

Omdat 138948 en 1000002 niet relatief priem zijn (ggd(138948,1000002) = 6), heeft 138948 geen inverse en kan de congruentievergelijking niet direct opgelost worden. Een vergelijkbare vergelijking is:

${\displaystyle 138948/6n\equiv 126342/6(\mathrm{mod}1000002/6)}$

dus:

${\displaystyle 23158n\equiv 21057(\mathrm{mod}166667)}$,

zodat:

${\displaystyle n=21057\times 23158^{-1}(\mathrm{mod}166667)}$

De inverse van 23158 (mod 166667) kan berekend worden met het uitgebreide algoritme van Euclides:

${\displaystyle \mathrm{ggd}(23158,166667)=1}$

${\displaystyle 1=4133\times 166667-29745\times 23158,}$

dus

${\displaystyle 1\equiv -29745\times 23158\equiv 136922\times 23158(\mathrm{mod}166667)}$

Modulo 166667 is de inverse van 23158 dus 136922, zodat

${\displaystyle n=21057\times 136922(\mathrm{mod}166667)}$

Er zijn nu 6 mogelijkheden voor n:

${\displaystyle n=21057\times (136922+k\times 166667)(\mathrm{mod}166667),k=0,1,2,3,4,5}$,

resulterend in:

${\displaystyle n=21057\times 136922\equiv 160788(\mathrm{mod}166667)}$ of

${\displaystyle n=21057\times 303589\equiv 660789(\mathrm{mod}166667)}$ of

${\displaystyle n=21057\times 470256\equiv 160788(\mathrm{mod}166667)}$ of

${\displaystyle n=21057\times 636923\equiv 660789(\mathrm{mod}166667)}$ of

${\displaystyle n=21057\times 803590\equiv 160788(\mathrm{mod}166667)}$ of

${\displaystyle n=21057\times 970257\equiv 660789(\mathrm{mod}166667)}$

Nu is

${\displaystyle 5^{160789}=686596(\mathrm{mod}1000003)}$

en

${\displaystyle 5^{660789}=262682(\mathrm{mod}1000003)}$

Dus ${\displaystyle n=660789}$ is het gezochte getal.

• Baby-steps giant-steps-algoritme
• Indexcalculusalgoritme
• Pohlig-Hellman-algoritme
• Pollards lambda-algoritme

• Sjabloon:En Alfred J. Menezes, Paul C. van Oorschot, and Scott A. Vanstone, Handbook of applied cryptography, 2001.
• Sjabloon:En D.J. Bernstein, Generic attacks and index calculus , University of Illinois, Chicago.
• Sjabloon:En Neal Koblitz, A Course in Elementary Number Theory and Cryptography, Springer.
• Sjabloon:En J. M. Pollard, Monte Carlo methods for index computation mod p, Mathematics of Computation, Volume 32, Issue 143 (jul.1978), 918-924.
• Sjabloon:En D. Hankerson and Alfred J. Menezes, The Discrete Logarithm Problem, Auburn University and University of waterloo, Jun. 17, 2004.