Записи дискретного логарифма

скрывать В этой статье есть несколько проблем. Пожалуйста, помогите улучшить его или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалять эти шаблонные сообщения ) Эту статью необходимо обновить . Причина такова: кажется, что некоторые из этих рекордов были побиты. Пожалуйста, помогите обновить эту статью, чтобы отразить недавние события или новую доступную информацию. ( январь 2022 г. ) этой статьи Начальный раздел может быть слишком коротким, чтобы адекватно суммировать ключевые моменты . Пожалуйста, рассмотрите возможность расширения заголовка, чтобы обеспечить доступный обзор всех важных аспектов статьи. Причина такова: она не описывает текущие записи для дискретных логарифмов. ( январь 2022 г. ) Эта статья может быть слишком технической для понимания большинства читателей . Пожалуйста, помогите улучшить его , чтобы он был понятен неспециалистам , не удаляя при этом технические детали. ( январь 2022 г. ) ( Узнайте, как и когда удалить это сообщение ) ( Узнайте, как и когда удалить это сообщение )

Этот список (который может содержать даты, числа и т. д.) может быть лучше в формате сортируемой таблицы . Пожалуйста, помогите улучшить этот список или обсудите его на странице обсуждения . ( январь 2022 г. )

Записи дискретного логарифма — это лучшие результаты, достигнутые на сегодняшний день при решении задачи дискретного логарифмирования , которая представляет собой задачу поиска решения x уравнения ${\displaystyle g^{x}=h}$ заданы элементы и h конечной циклической G группы . g Сложность этой проблемы лежит в основе безопасности нескольких криптографических систем, включая Диффи-Хеллмана соглашение о ключах , шифрование Эль-Гамаля , схему подписи Эль-Гамаля , алгоритм цифровой подписи и их аналоги в криптографии на основе эллиптических кривых . Обычный выбор G , используемый в этих алгоритмах, включает мультипликативную группу целых чисел по модулю p , мультипликативную группу конечного поля и группу точек на эллиптической кривой над конечным полем.

Электрический ток ^{[ нужно обновить ]} Рекорд целых чисел по модулю простых чисел , установленный в декабре 2019 года, представляет собой вычисление дискретного логарифма по модулю простого числа с 240 цифрами. Для характеристики 2 текущий рекорд для конечных полей, установленный в июле 2019 года, представляет собой дискретный логарифм по ${\displaystyle \mathrm {GF} (2^{30750})}$. При ограничении простыми показателями ^{[ нужны разъяснения ]} , текущий рекорд, установленный в октябре 2014 года, уже позади. ${\displaystyle \mathrm {GF} (2^{1279})}$. По признаку 3 текущий рекорд, установленный в июле 2016 года, преодолен. ${\displaystyle \mathrm {GF} (3^{6*509})}$. Для полей расширения Куммера установлено значение «умеренный». ^{[ нужны разъяснения ]} характеристика, текущий рекорд, установленный в январе 2013 года, уже позади ${\displaystyle \mathrm {GF} (33341353^{57})}$. Для полей «умеренной» характеристики (которые не обязательно являются расширениями Куммера) текущий рекорд, опубликованный в 2022 году, закончился. ${\displaystyle \mathrm {GF} (2111023^{50})}$.

Целые числа по модулю p

• 2 декабря 2019 года Фабрис Будо, Пьеррик Годри, Аврора Гийевич, Надя Хенингер , Эммануэль Томе и Поль Циммерманн объявили о вычислении дискретного логарифма по модулю 240-значного (795 бит) простого числа RSA-240 + 49204 (первое безопасное простое число). выше RSA-240). Это вычисление выполнялось одновременно с факторизацией RSA-240 с использованием алгоритма сита числового поля и программного обеспечения CADO-NFS с открытым исходным кодом. Часть вычислений с дискретным логарифмом заняла около 3100 ядер-лет с использованием в качестве эталона процессоров Intel Xeon Gold 6130 (2,1 ГГц). По оценкам исследователей, улучшения в алгоритмах и программном обеспечении сделали эти вычисления в три раза быстрее, чем можно было бы ожидать от предыдущих записей с учетом усовершенствований в аппаратном обеспечении. ^{[1] [2]}

Предыдущие записи для целых чисел по модулю p включают:

• 16 июня 2016 года Торстен Кляйнъюнг, Клаус Дьем, Арьен К. Ленстра , Кристина Приплата и Колин Штальке объявили о вычислении дискретного логарифма по модулю 232-значного (768-битного) безопасного простого числа с использованием сита числового поля. Вычисления были начаты в феврале 2015 года и заняли около 6600 ядерных лет при масштабировании до Intel Xeon E5-2660 с частотой 2,2 ГГц. ^[3]
• 18 июня 2005 года Антуан Жу и Рейнальд Лерсье объявили о вычислении дискретного логарифма по модулю 130-значного (431-битного) сильного простого числа за три недели с использованием 16-процессорного компьютера HP AlphaServer GS1280 с тактовой частотой 1,15 ГГц и сита числового поля. алгоритма . ^[4]
• 5 февраля 2007 года это было заменено объявлением Торстена Кляйнъунга о вычислении дискретного логарифма по модулю 160-значного (530-битного) безопасного простого числа, снова с использованием сита числового поля. Большая часть вычислений выполнялась во время простоя на различных ПК и в параллельном вычислительном кластере. ^[5]
• 11 июня 2014 года Сирил Бувье, Пьеррик Годри, Лоран Имбер, Хамза Джельжели и Эммануэль Томе объявили о вычислении дискретного логарифма по модулю 180-значного (596-битного) безопасного простого числа с использованием алгоритма сита числового поля. ^[6]

Также следует отметить, что в июле 2016 года Джошуа Фрид, Пьеррик Годри, Надя Хенингер и Эммануэль Том опубликовали свои вычисления дискретного логарифма для 1024-битного простого числа. ^[7] Они сгенерировали простое число, восприимчивое к сетке специального числового поля, используя специализированный алгоритм на сравнительно небольшой подгруппе (160 бит). Хотя это небольшая подгруппа, это был стандартизированный размер подгруппы, используемый с 1024-битным алгоритмом цифровой подписи (DSA).

Текущий рекорд (по состоянию на июль 2019 г.) ^[update]) в конечном поле характеристики 2 было объявлено Робертом Грейнджером, Торстеном Кляйнъюнгом, Арьеном Ленстра, Бенджамином Весоловски и Йенсом Зумбрегелем 10 июля 2019 года. ^[8] Эта команда смогла вычислить дискретные логарифмы в GF(2 ³⁰⁷⁵⁰ ), используя 25 481 219 часов ядра в кластерах на базе архитектуры Intel Xeon. Это вычисление было первым крупномасштабным примером использования шага исключения квазиполиномиального алгоритма. ^[9]

Предыдущие рекорды в конечном поле характеристики 2 были анонсированы:

• Роберт Грейнджер, Торстен Кляйнъунг и Йенс Зумбрегель, 31 января 2014 г. Эта команда смогла вычислить дискретные логарифмы в GF(2 ⁹²³⁴ ), используя около 400 000 основных часов. Новые особенности этого вычисления включают модифицированный метод получения логарифмов элементов второй степени и систематически оптимизированную стратегию спуска. ^[10]
• Антуан Жу, 21 мая 2013 года. Его команда смогла вычислить дискретные логарифмы в полевых условиях с помощью 2 ⁶¹⁶⁸ = (2 ²⁵⁷ ) ²⁴ элементы, использующие менее 550 часов процессора. Это вычисление было выполнено с использованием того же алгоритма расчета индекса, что и в недавнем вычислении в поле с 2 ⁴⁰⁸⁰ элементы. ^[11]
• Роберт Грейнджер, Фарук Гёлоглу, Гэри Макгуайр и Йенс Зумбрегель, 11 апреля 2013 г. Новые вычисления касались поля с 2 ⁶¹²⁰ элементов и заняло 749,5 основных часов.
• Антуан Жу, 22 марта 2013 г. При этом использовался тот же алгоритм. ^[12] для малых характеристических полей, как и предыдущий расчет в поле с 2 ¹⁷⁷⁸ элементы. Новый расчет касался поля с 2 ⁴⁰⁸⁰ 255 степени с 2 элементы, представленные в виде расширения поля ¹⁶ элементы. Вычисления заняли менее 14100 основных часов. ^[13]
• Роберт Грейнджер, Фарук Гёлоглу, Гэри Макгуайр и Йенс Зумбрегель, 19 февраля 2013 г. Они использовали новый вариант сита поля функции базового поля среднего размера для двоичных полей для вычисления дискретного логарифма в поле 2. ¹⁹⁷¹ элементы. Чтобы использовать базовое поле среднего размера, они представляли поле как расширение поля 2 степени 73. ²⁷ элементы. Вычисления заняли 3132 часа на кластере SGI Altix ICE 8200EX с использованием шестиядерных процессоров Intel (Westmere) Xeon E5650. ^[14]
• Антуан Жу, 11 февраля 2013 г. При этом использовался новый алгоритм для малых характеристических полей. Расчеты касались поля размером 2 ¹⁷⁷⁸ элементы, представленные как расширение поля 127 степени с 2 ¹⁴ элементы. Вычисления заняли менее 220 основных часов. ^[15]

Текущий рекорд (по состоянию на 2014 г.) ^[update]) в конечном поле характеристики 2 простой степени было объявлено Торстеном Кляйнъюнгом 17 октября 2014 года. Расчет проводился в поле 2 ¹²⁷⁹ элементов и следовал по существу пути, намеченному для ${\displaystyle \mathrm {GF} (2^{4\cdot 1223})}$ в ^[16] с двумя основными исключениями: вычислениями линейной алгебры и фазой спуска. Общее время работы составило менее четырех основных лет. ^[17] Предыдущий рекорд в конечном поле характеристики 2 простой степени был анонсирован группой CARAMEL 6 апреля 2013 года. Они использовали сито функционального поля для вычисления дискретного логарифма в поле 2. ⁸⁰⁹ элементы. ^[18]

Текущий рекорд (по состоянию на июль 2016 г.) ^[update]) для поля характеристики 3 было анонсировано Гора Адж, Исаак Каналес-Мартинес, Нарели Крус-Кортес, Альфред Менезес, Томаз Оливейра, Франсиско Родригес-Энрикес и Луис Ривера-Самаррипа, 18 июля 2016 г. Расчет проводился в 4841-битном конечном поле с 3 ^6 · 509 элементов и выполнялся на нескольких компьютерах в CINVESTAV иУниверситет Ватерлоо . В общей сложности на вычисления было затрачено около 200 лет вычислительного времени. ^[19]

Анонсированы предыдущие рекорды в конечном поле характеристики 3:

• в полной версии статьи Жу и Пьеро Asiacrypt 2014 (декабрь 2014 г.). ^[20] ДЛП решается в поле GF(3 ^5 · 479 ), которое представляет собой 3796-битное поле. В этой работе не использовались какие-либо «особые» аспекты этой области, такие как свойства Куммера или свойства искривленного Куммера. Общее вычисление заняло менее 8600 процессоро-часов.
• Гора Адж, Альфред Менезес, Томаз Оливейра и Франсиско Родригес-Энрикес, 26 февраля 2014 г., обновляя предыдущее объявление от 27 января 2014 г. Вычисления решают DLP в 1551-битном поле GF(3 ^6 · 163 ), что занимает 1201 час процессора. ^{[21] [22]}
• в 2012 году совместной командой Fujitsu, NICT и Университета Кюсю, которая вычислила дискретный логарифм в поле 3 ^6 · 97 элементов и размером 923 бита, ^[23] используя вариант сита функционального поля и побив предыдущий рекорд в поле из 3 ^6 · 71 элементов и размером 676 бит с большим отрывом. ^[24]

По полям с характеристиками «умеренного» размера примечательные вычисления по состоянию на 2005 год включали поля размером 65 537. ²⁵ элементы (401 бит), объявленные 24 октября 2005 г., и в поле 370801. ³⁰ элементы (556 бит), анонсированные 9 ноября 2005 г. ^[25] Текущий рекорд (по состоянию на 2013 год) для конечного поля расширения Куммера с «умеренной» характеристикой был объявлен 6 января 2013 года. Команда использовала новый вариант сита функционального поля для среднего простого случая для вычисления дискретного логарифма в поле Куммера. поле расширения 33341353 ⁵⁷ элементы (1425-битное конечное поле). ^{[26] [27]} Тот же метод использовался несколькими неделями ранее для вычисления дискретного логарифма в поле расширения Куммера 33553771. ⁴⁷ элементы (1175-битное конечное поле). ^{[27] [28]} Текущий рекорд (по состоянию на 2022 год) для конечного поля «умеренной» характеристики (которое не обязательно является расширением Куммера) - это вычисление дискретного логарифма в поле 2111023. ⁵⁰ элементы (1051-битное конечное поле); ^[29] предыдущая запись ^[30] вычислений дискретного логарифма над такими полями пришлось на поля, имеющие 297079 ⁴⁰ элементы (728-битныйконечное поле) и 64373 ³⁷ элементы (592-битное конечное поле). Эти вычисления были выполнены с использованием новых идей для ускорения анализа функционального поля.

25 июня 2014 года Разван Барбулеску, Пьеррик Годри, Аврора Гильевич и Франсуа Морен объявили о новом вычислении дискретного логарифма в конечном поле, порядок которого имеет 160 цифр и является расширением простого поля степени 2. ^[31] В качестве алгоритма использовалось решето числового поля (NFS) с различными модификациями. Общее время вычислений было эквивалентно 68 дням на одном ядре ЦП (просеивание) и 30 часам на графическом процессоре (линейная алгебра).

Корпорация Certicom выпустила серию задач по криптографии на основе эллиптических кривых . Уровень I включает поля размером 109 и 131 бит. Уровень II включает размеры 163, 191, 239, 359 бит. В настоящее время все задачи уровня II считаются вычислительно неосуществимыми. ^[32]

Задачи уровня I, которые были решены: ^[33]

• ECC2K-108, включающий дискретный логарифм кривой Коблица в поле 2. ¹⁰⁸ элементы. Премия была вручена 4 апреля 2000 года группе из примерно 1300 человек, которую представлял Роберт Харли. Они использовали распараллеленный ро-метод Полларда с ускорением.
• ECC2-109, включающий дискретный логарифм кривой по полю 2. ¹⁰⁹ элементы. Премия была вручена 8 апреля 2004 года группе из примерно 2600 человек, которую представлял Крис Монико. Они также использовали версию распараллеленного ро-метода Полларда, занимающую 17 месяцев календарного времени.
• ECCp-109, включающий дискретный логарифм кривой по модулю 109-битного простого числа. Премия была вручена 15 апреля 2002 года группе из примерно 10308 человек, которую представлял Крис Монико. Они снова использовали версию распараллеленного ро-метода Полларда, на которую ушло 549 дней календарного времени.

По состоянию на 2019 год ни одна из 131-битных (или более крупных) задач не решена. ^[update].

В июле 2009 года Йоппе В. Бос, Марсело Э. Кайхара, Торстен Кляйнджунг, Арьен К. Ленстра и Питер Л. Монтгомери объявили, что они выполнили вычисление дискретного логарифма на эллиптической кривой (известной как secp112r1). ^[34] ) по модулю 112-битного простого числа. Расчеты проводились на кластере из более чем 200 игровых консолей PlayStation 3 в течение примерно 6 месяцев. Они использовали распространенную распараллеленную версию метода Ро Полларда. ^[35]

В апреле 2014 года Эрих Венгер и Пол Вольфгер из Технологического университета Граца решили дискретный логарифм 113-битной кривой Коблица в экстраполированном виде. ^{[примечание 1]} 24 дня при использовании 18-ядерного кластера Virtex-6 FPGA . ^[36] В январе 2015 года те же исследователи решили дискретный логарифм эллиптической кривой, заданной в 113-битном двоичном поле. Среднее время работы составляет около 82 дней при использовании 10-ядерного кластера Kintex-7 FPGA . ^[37]

2 декабря 2016 года Дэниел Дж. Бернштейн , Сюзанна Энгельс , Таня Ланге , Рубен Нидерхаген , Кристоф Паар , Петер Швабе и Ральф Циммерман объявили о решении общей задачи дискретного логарифмирования эллиптической кривой с длиной 117,35 бит на двоичной кривой с использованием оптимизированного алгоритма. Реализация FPGA параллельной версии ро-метода Полларда. Атака продолжалась около шести месяцев на 64–576 FPGA параллельно. ^[38]

23 августа 2017 года Такуя Кусака, Шо Джоичи, Кен Икута, доктор Аль-Амин Хандакер, Ясуюки Ногами, Сатоши Уэхара, Нариёси Ямаи и Сильвен Дюкен объявили, что они решили задачу дискретного логарифмирования на 114-битном «спаривании» дружественная» кривая Баррето – Нерига (BN), ^[39] использование специального свойства секстического скручивания кривой BN для эффективного выполнения случайного блуждания метода ро Полларда. При реализации использовалось 2000 ядер ЦП, и на решение проблемы ушло около 6 месяцев. ^[40]

16 июня 2020 года Александр Зеневич (Zielar) и Жан Люк Понс ( JeanLucPons ) объявили о решении задачи дискретного логарифмирования 114-битной интервальной эллиптической кривой на кривой secp256k1 путем решения 114-битного закрытого ключа в Bitcoin Puzzle Transactions Challenge. Чтобы установить новый рекорд, они использовали собственное программное обеспечение. ^[41] на основе Pollard Kangaroo на 256x графическом процессоре NVIDIA Tesla V100 , и это заняло 13 дней. Двумя неделями ранее — они использовали такое же количество видеокарт для решения 109-битного интервального ECDLP всего за 3 дня.

• Вычисления дискретных логарифмов, отсортированные по дате