密碼學硬核筆記——特殊離散對數問題

前言

前幾天參加了網鼎杯的比賽，第一道題就是簡單粗暴的離散對數問題（DLP）。當時自己是用sagemath的discrete_log()函數的直接秒解的（另外第三題必須要用cmd打開flag纔出來就很坑）。賽後發現這道離散對數題應該是用Pohlig–Hellman algorithm 做的，所以針對這次的題目學習了一遍該算法。

---

羣

• 定義6.7：設$H$是羣$G$的一個子集合，如果對於羣$G$的二元運算，$H$也構成一個羣，就稱$H$爲羣$G$的子羣，記作$H ≤ G$。
• 定義6.8： 若羣$G$包含的元素個數有限，則稱$G$爲有限羣，否則稱爲無限羣。有限羣$G$所包含的元素個數稱爲$G$的階，記爲$| G |$。
• 定義6.9 ：設$a$是羣$G$中的一個元素，若存在正整數$n$使得$a^n = e$，則稱$a$爲有限階元素，滿足$a^n = e$的最小正整數$n$叫做$a$的階，記爲$| a |$。若不存在正整數$n$使得$a^n = e$，則稱$a$爲無限階元素。
• 定義6.10 設$G$爲羣，若存在$G$的一個元素$a$，使得$G$中的任意元素均由$a$的冪組成，即
  $G = \{ a^n | n ∈ Z\}$
  則稱羣$G$爲循環羣，元素$a$爲循環羣$G$的生成元，記爲$G = < a >$。

後面的內容都是圍繞循環羣的子羣以及羣和元素的階展開的。

---

Pohlig–Hellman algorithm

維基百科解釋如下：
是一種特殊算法，在階爲光滑數的有限阿貝爾羣上解決離散對數問題。

同時

先看普遍情況下的算法：

大致流程如下：
(假設階爲$\phi(m)$)

首先，要解決的問題是
$g^x\equiv h \ mod\ m\ and\ n=\phi(m)=\prod_{i=1}^r p_i ^ {e_i}$

等式兩邊同乘上一個指數$\frac{n}{p_i ^ {e_i}}$，可以得到：
$\begin{cases} （g^{x_1})^\frac{n}{p_1 ^ {e_1}}\equiv h^\frac{n}{p_1 ^ {e_1}} \ mod\ m\\ （g^{x_2})^\frac{n}{p_2 ^ {e_2}}\equiv h^\frac{n}{p_2 ^ {e_2}} \ mod\ m\\ （g^{x_3})^\frac{n}{p_3 ^ {e_3}}\equiv h^\frac{n}{p_3 ^ {e_3}} \ mod\ m\\ ...\\ （g^{x_r})^\frac{n}{p_r ^ {e_r}}\equiv h^\frac{n}{p_r ^ {e_r}} \ mod\ m\\ \end{cases}$

對於每一條式子來說，通過遍歷$x_i\in\{0,1,...,p_i ^ {e_i}\}$一定可以計算出一個$x_i$滿足：$（g^{x_i})^\frac{n}{p_i ^ {e_i}}\equiv h^\frac{n}{p_i ^ {e_i}} \ mod\ m$

所以我們可以得到：

$\begin{cases} x\equiv x_1 \ \mod p_1 ^ {e_1}\\ x\equiv x_2 \ \mod p_2 ^ {e_2}\\ x\equiv x_3 \ \mod p_3 ^ {e_3}\\ ...\\ x\equiv x_r \ \mod p_r ^ {e_r}\\ \end{cases}$

最後用中國剩餘定理可以算出最後的$x$：
$x \equiv x' \mod \prod_{i=1}^r p_i ^ {e_i}$

---

理論依據

（爲什麼能算出這個$x_i$?）

我們用羣理論重新梳理一遍整個算法。

根據題目內容，我們可以構建生成元爲$g$ ,階爲$\phi(m)$（用n表示），模$m$的有限循環羣
羣內元素爲：
$G=\{1,g^1,g^2,...,g^n\}$
（這裏先講一下，循環羣的階與生成元的階是一樣的，暫且認爲階爲$n$，因爲根據歐拉定理 $g^{\phi(m)}\equiv1 \mod m$,即使存在元素的階t小於$n$（即$g^{t}\equiv1 \mod m$)，那也是$n$的因子，可以通過遍歷因子的方式得到$t$）

通過這個循環羣我們可以知道$h$是在該羣中的，而且$x\in\{0,1,..,n-1\}$

那爲什麼要乘上指數呢？
其實對每個式子乘上指數是爲了構造多個不同的該循環羣的子羣。

令$g_i=g^\frac{n}{pi^{e_i}}$，可以構造一個以$g_i$爲生成元,階爲$p_i^{e_i}$的循環羣子羣
元素爲
$<g_i>=\{1,g^\frac{n}{pi^{e_i}},g^{\frac{n}{pi^{e_i}}*2},g^{\frac{n}{pi^{e_i}}*3},...,g^{\frac{n}{pi^{e_i}}*(p_i^{e_i}-1)}\}$

同時我們也構造$h_i=h^{\frac{n}{pi^{e_i}}}=(g^{x})^{\frac{n}{pi^{e_i}}} \mod m$（取模後$x$變成了$x_i$）
因此$h_i\in <g_i>$,$x_i$必定存在，我們可以通過遍歷$x_i\in [0,p_i^{e_i}-1]$找到它。

同時我們要關注$g^x\equiv h \ mod\ m\rightarrow (g^{\frac{n}{p_i^{e_i}}})^{x_i}\equiv h^\frac{n}{p_i ^ {e_i}} \ mod\ m$
實際上是
$x\in[0,n-1]\rightarrow x_i\in [0,p_i^{e_i}-1]$
也就是說，每個等式計算出來的$x_i$是原來的$x$在不同模下的結果。所以我們才能用CRT把原來的$x$算出來。

---

特殊算法（當階爲素數冪prime power）：

其實就是普遍算法，爲了美觀代碼簡化了一點，差異不大。但可以與$BSGS$算法並用（其實我並不太清楚怎麼並用）， 時間複雜度降爲$O(e\sqrt{p})$。

---

實戰演練

you_rise_me_up.py

#!/usr/bin/env python
# -*- coding: utf-8 -*-
from Crypto.Util.number import *
import random

n = 2 ** 512
m = random.randint(2, n-1) | 1
c = pow(m, bytes_to_long(flag), n)
print 'm = ' + str(m)
print 'c = ' + str(c)

# m = 391190709124527428959489662565274039318305952172936859403855079581402770986890308469084735451207885386318986881041563704825943945069343345307381099559075
# c = 6665851394203214245856789450723658632520816791621796775909766895233000234023642878786025644953797995373211308485605397024123180085924117610802485972584499

離散對數問題，$n$爲$2^{512}$,素數冪，可以使用Pohlig–Hellman algorithm。

首先找階，因爲生成元m的階整除$\phi(n)$，所以我們可以通過遍歷$2$的冪來找到這個階。
遍歷之後發現階爲$2^{510}$，直接使用上述特殊算法就可得到結果。

(自己寫的辣雞代碼)

def Prime_power_Pohlig_Hellman(g,h,n,p,e):
    '''
    phi(n)=p^e
    g^(p^e)=1 mod n
    g^x=h mod n
    '''
    for a in range(e):
        if(pow(g,2**a,n)==1):
            break
    x_k=0
    e=a
    gm=pow(g,pow(p,e-1,n),n)
    print gm
    if(pow(g,p**e,n)!=1):
        print 'error'
    for k in range(e):
        _x=pow(p,e,n)-x_k
        if(pow(g,x_k,n)*pow(g,_x,n)%n !=1 ):
            print 'error'
        h_k=pow(pow(g,_x,n)*h,pow(p,e-1-k,n),n)
        for d_k in range(p):
            if(pow(gm,d_k,n)==h_k):
                print k,d_k
                break

        x_k=x_k+d_k*pow(p,k,n)
        
    return x_k  

if __name__ =='__main__':
    n=2**512
    m = 391190709124527428959489662565274039318305952172936859403855079581402770986890308469084735451207885386318986881041563704825943945069343345307381099559075
    c = 6665851394203214245856789450723658632520816791621796775909766895233000234023642878786025644953797995373211308485605397024123180085924117610802485972584499
    print libnum.n2s(Prime_power_Pohlig_Hellman(m, c, 2**512, 2, 511) )   

最後得到

---

後記

這篇博客的內容是我第一次使用新學的羣理論來分析（盡力了），可能有講得不好的地方，請多多包涵。

個人體會有兩個，一是其實算法並沒有那麼難看懂，英語也沒有那麼難讀懂，莫名的恐懼只是因爲不瞭解。所以多看幾遍就好了。

二是我覺得了解算法就是一種說服自己的過程，這個算法爲什麼要這樣做？理論依據又是什麼？學習算法的過程中，我一直在尋找理由說服自己，這個算法這樣做肯定是有它的理由的。可能有點吹毛求疵的感覺，但我只是想純粹的去理解算法。

三是自己還有很大的進步空間。