离散对数的求解
1.暴力
2.Baby-step giant-step
3.Pollard’s ρ algorithm
……
下面搬运一下Baby-step giant-step 的做法
这是在 https://ctf-wiki.github.io/ctf-wiki/crypto/asymmetric/discrete-log/discrete-log/ 上看到的,比较容易理解。
而且,里面的代码写得简洁明了。
写一下自己理解和自己照着写了一遍
原文代码:
def bsgs(g, y, p): m = int(ceil(sqrt(p - 1))) S = {pow(g, j, p): j for j in range(m)} #在字典S中存放了g^j和对应的j gs = pow(g, p - 1 - m, p) #求解的是baby step中的值,也就是g^(-m),其实就是g^m mod p的逆元,也就可以使用egcd来求解 for i in range(m): if y in S: return i * m + S[y] #S[y]取出的是此时y对应的i y = y * gs % p #如果baby step的值和 giant step的值不相等,继续执行baby step return None
照着写一遍的代码
#求解离散对数问题 import math def egcd(a,b): r0,r1,s0,s1=1,0,0,1 n=b while(b): q,a,b=a//b,b,a%b r0,r1=r1,r0-q*r1 s0,s1=s1,s0-q*s1 return r0%n #拓展欧几里得返回的三个值是,a是a和b的最大公因数,r0和s0分别是ax+by=c中的一组解x和y,【此时只是选择返回一个r0,因为得到的是ax+by=gcd(a,b)中的x即可,有的时候x或者y可能为负数,在求解正数的逆元的时候负数要对n再次求模运算 #求解离散对数就是,X=G^a mod P,其中给出X,G,P的值,要求解的是 a的值,此处采用的是Baby step giant step的方法 def bsgs(x,g,p): #求解x=g^a mod p中的a,其中g是生成元 m=math.ceil(math.sqrt(p-1)) #m的值是 p-1开平方后向上取整 bstep={pow(g,j,p):j for j in range(m)} #每一次 j 的增加表示 “baby-step”,一次乘上g,字典S中存了所有的g^j(j<m)以及其对应的j gstep=egcd(pow(g,m),p) #算出了gstep的值,也就是g^-m的值 for i in range(m): if x in bstep: return i*m+bstep[x] x=x*gstep%p print(bsgs(37,3,101))
继续学习其他的做法
参考资料:http://zoo.cs.yale.edu/classes/cs257/ppt/all/Mac/19_DiscreteLog.ppt