Функциональное поле сита

В математике « Решето функционального поля» — один из наиболее эффективных алгоритмов решения задачи дискретного логарифмирования (DLP) в конечном поле . Он имеет эвристическую субэкспоненциальную сложность. Леонард Адлеман разработал его в 1994 году. ^[1] а затем разработал его вместе с доктором медицинских наук Хуангом в 1999 году. ^[2] Предыдущая работа включает работы Д. Копперсмита. ^[3] о DLP в полях характеристики два.

Задача дискретного логарифмирования в конечном поле состоит из решения уравнения ${\displaystyle a^{x}=b}$ для ${\displaystyle a,b\in \mathbb {F} _{p^{n}}}$, ${\displaystyle p}$ простое число и ${\displaystyle n}$ целое число. Функция ${\displaystyle f:\mathbb {F} _{p^{n}}\to \mathbb {F} _{p^{n}},a\mapsto a^{x}}$ за фиксированную ${\displaystyle x\in \mathbb {N} }$ — это односторонняя функция, используемая в криптографии . На DLP основано несколько криптографических методов, таких как обмен ключами Диффи-Хеллмана , криптосистема Эль-Гамаля и алгоритм цифровой подписи .

Позволять ${\displaystyle C(x,y)}$ многочлен, определяющий алгебраическую кривую над конечным полем ${\displaystyle \mathbb {F} _{p}}$. Функциональное поле можно рассматривать как поле дробей аффинного координатного кольца. ${\displaystyle \mathbb {F} _{p}[x,y]/(C(x,y))}$, где ${\displaystyle (C(x,y))}$ обозначает идеал, порожденный ${\displaystyle C(x,y)}$. Это частный случай поля алгебраических функций. Он определен над конечным полем ${\displaystyle \mathbb {F} _{p}}$ и имеет степень трансцендентности один. Трансцендентный элемент будем обозначать через ${\displaystyle x}$.

Существуют биекции между кольцами нормирования в функциональных полях и классами эквивалентности мест , а также между кольцами нормирования и классами эквивалентности нормирований . ^[4] Это соответствие часто используется в алгоритме Function Field Sieve.

Дискретная оценка функционального поля ${\displaystyle K/\mathbb {F} _{p}}$, а именно кольцо дискретного нормирования ${\displaystyle \mathbb {F} _{p}\subset O\subset K}$, имеет единственный максимальный идеал ${\displaystyle P}$ называется простым числом функционального поля. Степень ${\displaystyle P}$ является ${\displaystyle deg(P)=[O/P:\mathbb {F} _{p}]}$ и мы также определяем ${\displaystyle f_{O}=[O/P:\mathbb {F} _{p}]}$.

Делитель – это ${\displaystyle \mathbb {Z} }$-линейная комбинация по всем простым числам, поэтому ${\textstyle d=\sum \alpha _{P}P}$ где ${\displaystyle \alpha _{P}\in \mathbb {Z} }$ и только конечное число элементов суммы отличны от нуля. Делитель элемента ${\displaystyle x\in K}$ определяется как ${\textstyle {\text{div}}(x)=\sum v_{P}(x)P}$, где ${\displaystyle v_{P}}$ - оценка, соответствующая простому числу ${\displaystyle P}$. Степень делителя равна ${\textstyle \deg(d)=\sum \alpha _{P}\deg(P)}$.

Алгоритм Function Field Sieve состоит из предварительного вычисления, на котором находятся дискретные логарифмы неприводимых многочленов малой степени, и этапа приведения, на котором они объединяются с логарифмами ${\displaystyle b}$.

Функции, которые разлагаются в неприводимую функцию степени, меньшей некоторой границы ${\displaystyle B}$ называются ${\displaystyle B}$-гладкий. Это аналогично определению гладкого числа , и такие функции полезны, поскольку их разложение можно найти относительно быстро. Набор этих функций ${\displaystyle S=\{g(x)\in \mathbb {F} _{p}[x]\mid {\text{ irreductible with }}\deg(g)<B\}}$ называется факторной базой.Пара функций ${\displaystyle (r,s)}$ является вдвойне гладким, если ${\displaystyle rm+s}$ и ${\displaystyle N(ry+s)}$ оба гладкие, где ${\displaystyle N(\cdot ,\cdot )}$ является нормой элемента ${\displaystyle K}$ над ${\displaystyle \mathbb {F} _{p}}$, ${\displaystyle m\in \mathbb {F} _{p}[x]}$ это некоторый параметр и ${\displaystyle ry+s}$ рассматривается как элемент функционального поля ${\displaystyle C}$.

Шаг просеивания алгоритма состоит в нахождении вдвойне гладких пар функций. На следующем этапе мы используем их для нахождения линейных отношений, включая логарифмы функций в разложениях. Решая линейную систему, мы затем вычисляем логарифмы.На этапе приведения выражаем ${\displaystyle \log _{a}(b)}$ как комбинацию логарифма, который мы нашли ранее, и таким образом решить DLP.

Алгоритму необходимы следующие параметры: неприводимая функция ${\displaystyle f}$ степени ${\displaystyle n}$, функция ${\displaystyle m\in \mathbb {F} _{p}[x]}$ и кривая ${\displaystyle C(x,y)}$ данной степени ${\displaystyle d}$ такой, что ${\displaystyle C(x,m)\equiv 0{\text{ mod }}f}$. Здесь ${\displaystyle n}$ - степень в порядке основного поля ${\displaystyle \mathbb {F} _{p^{n}}}$. Позволять ${\displaystyle K}$ обозначают функциональное поле, определяемое формулой ${\displaystyle C}$.

Это приводит к изоморфизму ${\displaystyle \mathbb {F} _{p^{n}}\simeq \mathbb {F} _{p}[x]/f}$ и гомоморфизм $${\displaystyle \phi :\mathbb {F} _{p}[x,y]/C\to \mathbb {F} _{p}[x]/f,y\mapsto m.}$$Используя изоморфизм, каждый элемент ${\displaystyle \mathbb {F} _{p^{n}}}$ можно рассматривать как многочлен ${\displaystyle \mathbb {F} _{p}[x]/f}$.

Также необходимо установить границу гладкости ${\displaystyle B}$ для факторной базы ${\displaystyle S}$.

На этом этапе двояко гладкие пары функций ${\displaystyle (r,s)\in \mathbb {F} _{p}[x]\times \mathbb {F} _{p}[x]}$ найдены.

Рассматриваются функции вида ${\displaystyle f=(rm+s)N(ry+s)}$, затем делит ${\displaystyle f}$ любым ${\displaystyle g\in S}$ как можно больше раз. Любой ${\displaystyle f}$ которое сводится к единице в этом процессе, есть ${\displaystyle B}$-гладкий. Чтобы реализовать это, можно использовать код Грея для эффективного пошагового прохождения кратных заданному полиному.

Это полностью аналогично шагу просеивания в других алгоритмах просеивания, таких как сито числового поля или алгоритм исчисления индексов . Вместо чисел просеивают функции в ${\displaystyle \mathbb {F} _{p}[x]}$ но эти функции можно разложить на неприводимые многочлены так же, как числа можно разложить на простые числа.

Это самая сложная часть алгоритма, включающая функциональные поля, места и делители, как определено выше. Цель состоит в том, чтобы использовать вдвойне гладкие пары функций для нахождения линейных отношений, включающих дискретные логарифмы элементов факторной базы.

Для каждой неприводимой функции в факторной базе находим места ${\displaystyle v_{1},v_{2},...}$ из ${\displaystyle K}$ которые лежат над ними и суррогатные функции ${\displaystyle \alpha _{1},\alpha _{2},...}$ которые соответствуют местам. Суррогатная функция ${\displaystyle \alpha _{i}\in K}$ соответствующий месту ${\displaystyle v_{i}}$ удовлетворяет ${\displaystyle {\text{div}}(\alpha _{i})=h(v_{i}-f_{v_{i}}u)}$ где ${\displaystyle h}$ это номер класса ${\displaystyle K}$ и ${\displaystyle u}$ – это любая фиксированная дискретная оценка с ${\displaystyle f_{u}=1}$. Функция, определенная таким образом, уникальна с точностью до константы в ${\displaystyle \mathbb {F} _{p}}$.

По определению делителя ${\textstyle {\text{div}}(ry+s)=\sum a_{i}v_{i}}$ для ${\displaystyle a_{i}=v_{i}(ry+s)}$. Используя это и тот факт, что ${\textstyle \sum a_{i}f_{v_{i}}=\deg({\text{div}}(ry+s))=0}$ мы получаем следующее выражение:

${\displaystyle {\text{div}}((ry+s)^{h})=\sum ha_{i}v_{i}=\sum ha_{i}v_{i}-\sum ha_{i}f_{v_{i}}v+hv\sum a_{i}f_{v_{i}}=\sum a_{i}h(v_{i}-f_{v_{i}}v))={\text{div}}(\prod \alpha _{i}^{a_{i}})}$

где ${\displaystyle v}$ какая-либо оценка с ${\displaystyle f_{v}=1}$. Затем, используя тот факт, что делитель суррогатной функции уникален с точностью до константы, получаем

${\displaystyle (ry+s)^{h}=c\prod \alpha _{i}^{a_{i}}{\text{ for some }}c\in F_{p}^{*}}$

${\displaystyle \implies \phi ((ry+s)^{h})=\phi (c)\prod \phi (\alpha _{i})^{a_{i}}}$

Теперь мы воспользуемся тем фактом, что ${\displaystyle \phi (ry+s)=rm+s}$ и известное разложение этого выражения на неприводимые многочлены. Позволять ${\displaystyle e_{g}}$ быть силой ${\displaystyle g\in S}$ в этом разложении. Затем

${\displaystyle \prod _{g\in S}g^{he_{g}}\equiv \phi (c)\prod \phi (\alpha _{i})^{a_{i}}{\text{ mod }}f}$

Здесь мы можем довести дискретный логарифм уравнения до единицы. Это называется ограниченным дискретным логарифмом. ${\displaystyle \log _{*}(x)}$. Он определяется уравнением ${\displaystyle a^{\log _{*}(x)}=ux}$ для какой-то единицы ${\displaystyle u\in \mathbb {F} _{p}}$.

${\displaystyle \sum _{g\in S}e_{g}\log _{*}g\equiv \sum a_{i}h_{1}\log _{*}(\phi (\alpha _{i})){\text{ mod }}(p^{n}-1)/(p-1),}$

где ${\displaystyle h_{1}}$ является обратным ${\displaystyle h}$ модуль ${\displaystyle (p^{n}-1)/(p-1)}$.

Выражения ${\displaystyle h_{1}\log _{*}(\phi (\alpha _{i}))}$ и логарифмы ${\displaystyle \log _{*}(g)}$ неизвестны. Как только будет найдено достаточное количество уравнений этой формы, можно решить линейную систему и найти ${\displaystyle \log _{*}(g)}$ для всех ${\displaystyle g\in S}$. Взяв все выражение ${\displaystyle h_{1}log_{*}(\phi (\alpha _{i}))}$ как неизвестность помогает выиграть время, так как ${\displaystyle h}$, ${\displaystyle h_{1}}$, ${\displaystyle \alpha _{i}}$ или ${\displaystyle \phi (\alpha _{i})}$ не обязательно вычислять.В конце концов для каждого ${\displaystyle g\in S}$ можно вычислить единицу, соответствующую ограниченному дискретному логарифму, что затем дает ${\displaystyle \log _{a}(g)=\log _{*}(g)-\log _{a}(u)}$.

Первый ${\displaystyle a^{l}b}$ против ${\displaystyle f}$ рассчитываются случайным образом ${\displaystyle l<n}$. С достаточно большой вероятностью это ${\displaystyle {\sqrt {nB}}}$-гладкий, поэтому его можно рассматривать как ${\displaystyle a^{l}b=\prod b_{i}}$ для ${\displaystyle b_{i}\in \mathbb {F} _{p}[x]}$ с ${\displaystyle \deg(b_{i})<{\sqrt {nB}}}$. Каждый из этих полиномов ${\displaystyle b_{i}}$ могут быть сведены к полиномам меньшей степени с использованием обобщения метода Копперсмита . ^[2] Мы можем уменьшать степень до тех пор, пока не получим произведение ${\displaystyle B}$-гладкие полиномы. Затем, логарифмируя по основанию ${\displaystyle a}$, мы сможем в конечном итоге вычислить

${\displaystyle \log _{a}(b)=\sum _{g_{i}\in S}\log _{a}(g_{i})-l}$, который решает проблему DLP.

Считается, что сито функционального поля работает за субэкспоненциальное время .

${\displaystyle \exp \left(\left({\sqrt[{3}]{\frac {32}{9}}}+o(1)\right)(\ln p)^{\frac {1}{3}}(\ln \ln p)^{\frac {2}{3}}\right)=L_{p}\left[{\frac {1}{3}},{\sqrt[{3}]{\frac {32}{9}}}\right]}$

используя L-нотацию . Строгого доказательства этой сложности не существует, поскольку она опирается на некоторые эвристические предположения. Например, на этапе просеивания мы предполагаем, что числа вида ${\displaystyle (rm+s)N(ry+s)}$ ведут себя как случайные числа в заданном диапазоне.

Есть два других хорошо известных алгоритма, которые решают задачу дискретного логарифма за субэкспоненциальное время : алгоритм исчисления индексов и версия сита числового поля . ^[5] В своих самых простых формах оба решают задачу DLP в конечном поле простого порядка, но их можно расширить для решения задачи DLP в ${\displaystyle \mathbb {F} _{p^{n}}}$ также.

Решето числового поля для DLP в ${\displaystyle \mathbb {F} _{p^{n}}}$ имеет сложность ${\displaystyle L_{p}[1/3,(64/9)^{1/3}+o(1)]}$ ^[6] и, следовательно, немного медленнее, чем лучшая производительность сита функционального поля. Однако он работает быстрее, чем сито функционального поля, когда ${\displaystyle n<<(\log(p))^{1/2}}$. Неудивительно, что существуют два подобных алгоритма: один с числовыми полями, другой с функциональными полями. Фактически существует обширная аналогия между этими двумя видами глобальных полей .

Алгоритм вычисления индекса гораздо проще сформулировать, чем решето функционального поля и решето числового поля, поскольку он не требует каких-либо сложных алгебраических структур. Это асимптотически медленнее со сложностью ${\displaystyle L_{p}[1/2,{\sqrt {2}}]}$. Основная причина, по которой решето числового поля и решето функционального поля работают быстрее, заключается в том, что эти алгоритмы могут работать с меньшей границей гладкости. ${\displaystyle B}$, поэтому большую часть вычислений можно выполнить с меньшими числами.

• Поле алгебраической функции
• Числовое поле сита
• Алгоритм расчета индекса