Дискретные логарифмические записи

В этой статье есть несколько проблем. Помогите улучшить ее или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалять эти сообщения ) Эту статью необходимо обновить . Причина такова: похоже, что некоторые из этих рекордов были превзойдены.Пожалуйста, помогите обновить эту статью, отразив в ней недавние события или новую доступную информацию. ( Январь 2022 ) Вводный раздел этой статьи может оказаться слишком коротким, чтобы адекватно изложить основные положения .Пожалуйста, рассмотрите возможность расширения лида, чтобы предоставить доступный обзор всех важных аспектов статьи. Причина указана такова: он не описывает текущие записи для дискретных логарифмов. ( Январь 2022 ) Эта статья может оказаться слишком сложной для понимания большинством читателей .Пожалуйста, помогите улучшить его, чтобы сделать его понятным для неспециалистов , не удаляя технические детали. ( Январь 2022 )( Узнайте, как и когда удалить это сообщение ) ( Узнайте, как и когда удалить это сообщение )

Этот список (который может содержать даты, числа и т. д.) может быть лучше в формате сортируемой таблицы . Пожалуйста, помогите улучшить этот список или обсудите его на странице обсуждения . ( Январь 2022 г. )

Дискретные записи логарифмов являются наилучшими результатами, достигнутыми на сегодняшний день в решении задачи дискретного логарифмирования , которая является задачей нахождения решений x уравнения, заданных элементами g и h конечной циклической группы G. Сложность этой задачи является основой безопасности нескольких криптографических систем, включая соглашение о ключах Диффи–Хеллмана , шифрование Эль-Гамаля , схему подписи Эль-Гамаля , алгоритм цифровой подписи и аналоги этих криптографий на эллиптических кривых . Обычные варианты выбора для G , используемые в этих алгоритмах, включают мультипликативную группу целых чисел по модулю p , мультипликативную группу конечного поля и группу точек на эллиптической кривой над конечным полем.${\displaystyle g^{x}=h}$

Текущая ^{[ требуется обновление ]} запись для целых чисел по модулю простых чисел , установленная в декабре 2019 года, представляет собой вычисление дискретного логарифма по модулю простого числа с 240 цифрами. Для характеристики 2 текущая запись для конечных полей, установленная в июле 2019 года, представляет собой дискретный логарифм по . При ограничении простыми показателями ^{[ требуется разъяснение ]} текущая запись, установленная в октябре 2014 года, составляет более . Для характеристики 3 текущая запись, установленная в июле 2016 года, составляет более . Для полей расширения Куммера «умеренной» ^{[ требуется разъяснение ]} характеристики текущая запись, установленная в январе 2013 года, составляет более . Для полей «умеренной» характеристики (которые не обязательно являются расширениями Куммера) текущая запись, опубликованная в 2022 году, составляет более .${\displaystyle \mathrm {GF} (2^{30750})}$${\displaystyle \mathrm {GF} (2^{1279})}$${\displaystyle \mathrm {GF} (3^{6*509})}$${\displaystyle \mathrm {GF} (33341353^{57})}$${\displaystyle \mathrm {GF} (2111023^{50})}$

Целые числа по модулю p

• 2 декабря 2019 года Фабрис Будо, Пьеррик Годри, Аврора Гийевик, Надя Хенингер , Эммануэль Томе и Пол Циммерман объявили о вычислении дискретного логарифма по модулю 240-значного (795-битного) простого числа RSA-240 + 49204 (первого безопасного простого числа выше RSA-240). Это вычисление было выполнено одновременно с факторизацией RSA-240 с использованием алгоритма Number Field Sieve и программного обеспечения CADO-NFS с открытым исходным кодом. Часть вычисления дискретного логарифма заняла приблизительно 3100 ядерно-лет с использованием процессоров Intel Xeon Gold 6130 в качестве эталона (2,1 ГГц). Исследователи подсчитали, что улучшения в алгоритмах и программном обеспечении сделали это вычисление в три раза быстрее, чем можно было бы ожидать от предыдущих записей после учета улучшений в оборудовании. ^{[1] [2]}

Предыдущие записи для целых чисел по модулю p включают:

• 16 июня 2016 года Торстен Кляйнджунг, Клаус Дием, Арьен К. Ленстра , Кристин Приплата и Колин Штальке объявили о вычислении дискретного логарифма по модулю 232-разрядного (768-битного) безопасного простого числа с использованием решета числового поля. Вычисление было начато в феврале 2015 года и заняло около 6600 ядерных лет, масштабированных до Intel Xeon E5-2660 с частотой 2,2 ГГц. ^[3]
• 18 июня 2005 года Антуан Жу и Рейнальд Лерсье объявили о вычислении дискретного логарифма по модулю 130-значного (431-битного) сильного простого числа за три недели с использованием 1,15 ГГц 16-процессорного компьютера HP AlphaServer GS1280 и алгоритма решета числового поля . ^[4]
• 5 февраля 2007 года это было заменено объявлением Торстена Кляйнджунга о вычислении дискретного логарифма по модулю 160-значного (530-битного) безопасного простого числа, снова с использованием решета числового поля. Большая часть вычислений была сделана с использованием времени простоя на различных ПК и на параллельном вычислительном кластере. ^[5]
• 11 июня 2014 года Сирил Бувье, Пьеррик Годри, Лоран Имбер, Хамза Джелжели и Эммануэль Томе объявили о вычислении дискретного логарифма по модулю 180-значного (596-битного) безопасного простого числа с использованием алгоритма решета числового поля. ^[6]

Также следует отметить, что в июле 2016 года Джошуа Фрид, Пьеррик Годри, Надя Хенингер, Эммануэль Томе опубликовали свои вычисления дискретного логарифма на 1024-битном простом числе. ^[7] Они сгенерировали простое число, восприимчивое к специальному числовому полю решета, используя специализированный алгоритм на сравнительно небольшой подгруппе (160 бит). Хотя это небольшая подгруппа, это был стандартизированный размер подгруппы, используемый с 1024-битным алгоритмом цифровой подписи (DSA).

Текущий рекорд (по состоянию на июль 2019 года ^{[обновлять]}) в конечном поле характеристики 2 был объявлен Робертом Грейнджером, Торстеном Кляйнджунгом, Арьеном Ленстрой, Бенджамином Весоловски и Йенсом Цумбрегелем 10 июля 2019 года. ^[8] Эта команда смогла вычислить дискретные логарифмы в GF(2 ³⁰⁷⁵⁰ ), используя 25 481 219 часов работы ядра на кластерах на основе архитектуры Intel Xeon. Это вычисление стало первым крупномасштабным примером с использованием шага исключения квазиполиномиального алгоритма. ^[9]

Предыдущие рекорды в конечном поле характеристики 2 были объявлены:

• Роберт Грейнджер, Торстен Кляйнджунг и Йенс Цумбрегель 31 января 2014 года. Эта команда смогла вычислить дискретные логарифмы в GF(2 ⁹²³⁴ ), используя около 400 000 часов работы ядра. Новые возможности этого вычисления включают модифицированный метод получения логарифмов элементов второй степени и систематически оптимизированную стратегию спуска. ^[10]
• Антуан Жу 21 мая 2013 года. Его команда смогла вычислить дискретные логарифмы в поле с 2 ⁶¹⁶⁸ = (2 ²⁵⁷ ) ²⁴ элементами, используя менее 550 часов ЦП. Это вычисление было выполнено с использованием того же алгоритма исчисления индексов, что и в недавнем вычислении в поле с 2 ⁴⁰⁸⁰ элементами. ^[11]
• Роберт Грейнджер, Фарук Гёлоглу, Гэри Макгуайр и Йенс Цумбрегель 11 апреля 2013 г. Новое вычисление касалось поля с 26120 ^{элементами} и заняло 749,5 ядер-часов.
• Antoine Joux, 22 марта 2013 г. Это использовало тот же алгоритм ^[12] для небольших характеристических полей, что и предыдущее вычисление в поле с 2 ¹⁷⁷⁸ элементами. Новое вычисление касалось поля с 2 ^{4080 элементами, представленного как} расширение степени 255 поля с 2 ¹⁶ элементами. Вычисление заняло менее 14 100 основных часов. ^[13]
• Роберт Грейнджер, Фарук Гёлоглу, Гэри Макгуайр и Йенс Цумбрегель 19 февраля 2013 г. Они использовали новый вариант функции поля среднего размера base field sieve для двоичных полей, чтобы вычислить дискретный логарифм в поле из 2 ¹⁹⁷¹ элемента. Чтобы использовать базовое поле среднего размера, они представили поле как расширение степени 73 поля из 2 ²⁷ элементов. Вычисление заняло 3132 часа работы ядра на кластере SGI Altix ICE 8200EX с использованием шестиядерных процессоров Intel (Westmere) Xeon E5650. ^[14]
• Antoine Joux, 11 февраля 2013 г. Это использовало новый алгоритм для небольших характеристических полей. Вычисление касалось поля из 2 ¹⁷⁷⁸ элементов, представленного как расширение поля степени 127 с 2 ¹⁴ элементами. Вычисление заняло менее 220 основных часов. ^[15]

Текущий рекорд (по состоянию на 2014 год ^{[обновлять]}) в конечном поле характеристики 2 простой степени был объявлен Торстеном Кляйнджунгом 17 октября 2014 года. Расчет был выполнен в поле из 2 ¹²⁷⁹ элементов и по сути следовал пути, намеченному в ^[16] с двумя основными исключениями в вычислении линейной алгебры и фазе спуска. Общее время выполнения составило менее четырех основных лет. ^[17] Предыдущий рекорд в конечном поле характеристики 2 простой степени был объявлен группой CARAMEL 6 апреля 2013 года. Они использовали решето поля функций для вычисления дискретного логарифма в поле из 2 ⁸⁰⁹ элементов. ^[18]${\displaystyle \mathrm {GF} (2^{4\cdot 1223})}$

Текущий рекорд (по состоянию на июль 2016 года ^{[обновлять]}) для поля характеристики 3 был объявлен Горой Аджем, Исааком Каналесом-Мартинесом, Нарели Крус-Кортесом, Альфредом Менезесом, Томасом Оливейрой, Франсиско Родригесом-Энрикесом и Луисом Риверой-Замаррипой 18 июля 2016 года. Расчет был выполнен в 4841-битном конечном поле с 3 ^{6 · 509} элементами и был выполнен на нескольких компьютерах в CINVESTAV и Университете Ватерлоо . В общей сложности на вычисления было потрачено около 200 основных лет вычислительного времени. ^[19]

Были объявлены предыдущие рекорды в конечном поле характеристики 3:

• в полной версии статьи Asiacrypt 2014 Жу и Пьеро (декабрь 2014 г.). ^[20] DLP решается в поле GF(3 ^{5 · 479} ), которое является 3796-битным полем. Эта работа не использовала никаких «специальных» аспектов поля, таких как свойства Куммера или скрученного Куммера. Общее вычисление заняло менее 8600 процессорных часов.
• Гора Адж, Альфред Менезес, Томас Оливейра и Франсиско Родригес-Энрикес 26 февраля 2014 г., обновление предыдущего объявления от 27 января 2014 г. Вычисление решает DLP в 1551-битном поле GF(3 ^{6 · 163} ), что занимает 1201 час работы процессора. ^{[21] [22]}
• в 2012 году совместной командой Fujitsu, NICT и Университета Кюсю, которая вычислила дискретный логарифм в поле 3 ^{6 · 97} элементов и размером 923 бита, ^[23] используя вариацию функции решета поля и побив предыдущий рекорд в поле 3 ^{6 · 71} элемента и размером 676 бит с большим отрывом. ^[24]

Над полями «умеренных» характеристик заметные вычисления по состоянию на 2005 год включали вычисления в поле из 65537 · ²⁵ элементов (401 бит), объявленные 24 октября 2005 года, и в поле из 370801 · ³⁰ элементов (556 бит), объявленные 9 ноября 2005 года. ^[25] Текущий рекорд (по состоянию на 2013 год) для конечного поля расширения Куммера «умеренной» характеристики был объявлен 6 января 2013 года. Команда использовала новую вариацию решета поля функции для случая среднего простого числа, чтобы вычислить дискретный логарифм в поле расширения Куммера из 33341353 · ⁵⁷ элементов (конечное поле размером 1425 бит). ^{[26] [27]} Тот же метод использовался несколькими неделями ранее для вычисления дискретного логарифма в поле расширения Куммера из 33553771 ⁴⁷ элементов (конечное поле размером 1175 бит). ^{[27] [28]} Текущий рекорд (по состоянию на 2022 год) для конечного поля «умеренной» характеристики (которое не обязательно является расширением Куммера) — это вычисление дискретного логарифма в поле из 2111023 ⁵⁰ элементов (конечное поле размером 1051 бит); ^[29] предыдущий рекорд ^[30] вычислений дискретного логарифма над такими полями был над полями, имеющими 297079 ⁴⁰ элементов (конечное поле размером 728 бит) и 64373 ³⁷ элементов (конечное поле размером 592 бит). Эти вычисления были выполнены с использованием новых идей для ускорения решета поля функций.

25 июня 2014 года Разван Барбулеску, Пьеррик Годри, Аврора Гийевик и Франсуа Морен объявили о новом вычислении дискретного логарифма в конечном поле, порядок которого имеет 160 цифр и является расширением степени 2 простого поля. ^[31] Использованный алгоритм представлял собой решето числового поля (NFS) с различными модификациями. Общее время вычислений было эквивалентно 68 дням на одном ядре CPU (просеивание) и 30 часам на GPU (линейная алгебра).

Корпорация Certicom выпустила серию задач по криптографии на основе эллиптических кривых . Уровень I включает поля размером 109 и 131 бит. Уровень II включает размеры 163, 191, 239, 359 бит. Все задачи уровня II в настоящее время считаются вычислительно невыполнимыми. ^[32]

Проблемы Уровня I, которые были решены: ^[33]

• ECC2K-108, включающий дискретное логарифмирование кривой Коблица в поле из 2 ¹⁰⁸ элементов. Премия была вручена 4 апреля 2000 года группе из примерно 1300 человек, представленных Робертом Харли. Они использовали распараллеленный метод Полларда rho с ускорением.
• ECC2-109, включающий взятие дискретного логарифма на кривой в поле из 2 ¹⁰⁹ элементов. Премия была вручена 8 апреля 2004 года группе из примерно 2600 человек, представленных Крисом Монико. Они также использовали версию распараллеленного метода Полларда rho, что заняло 17 месяцев календарного времени.
• ECCp-109, включающий взятие дискретного логарифма на кривой по модулю 109-битного простого числа. Премия была вручена 15 апреля 2002 года группе из примерно 10308 человек, представленных Крисом Монико. Они снова использовали версию распараллеленного метода Полларда rho, что заняло 549 дней календарного времени.

По состоянию на 2019 год ни одна из задач размером 131 бит (или больше) не была решена ^{[обновлять]}.

В июле 2009 года Йоппе В. Бос, Марсело Э. Кайхара, Торстен Кляйнджунг, Арьен К. Ленстра и Питер Л. Монтгомери объявили, что они провели дискретное логарифмическое вычисление на эллиптической кривой (известной как secp112r1 ^[34] ) по модулю 112-битного простого числа. Вычисление было выполнено на кластере из более чем 200 игровых консолей PlayStation 3 в течение примерно 6 месяцев. Они использовали распространенную параллельную версию метода Полларда rho. ^[35]

В апреле 2014 года Эрих Венгер и Пол Вольфгер из Технического университета Граца решили дискретный логарифм 113-битной кривой Коблица за экстраполированные ^{[примечание 1]} 24 дня, используя 18-ядерный кластер FPGA Virtex-6 . ^[36] В январе 2015 года те же исследователи решили дискретный логарифм эллиптической кривой, определенной над 113-битным двоичным полем. Среднее время выполнения составляет около 82 дней, используя 10-ядерный кластер FPGA Kintex-7 . ^[37]

2 декабря 2016 года Дэниел Дж. Бернстайн , Сюзанна Энгельс, Таня Ланге , Рубен Нидерхаген, Кристоф Паар, Петер Швабе и Ральф Циммерманн объявили о решении общей 117,35-битной задачи дискретного логарифма эллиптической кривой на двоичной кривой с использованием оптимизированной реализации ПЛИС параллельной версии метода ро Полларда. Атака продолжалась около шести месяцев на 64–576 ПЛИС параллельно. ^[38]

23 августа 2017 года Такуя Кусака, Шо Дзёичи, Кен Икута, Мд. Аль-Амин Кхандакер, Ясуюки Ногами, Сатоши Уэхара, Нариёси Ямаи и Сильвен Дюкен объявили, что они решили задачу дискретного логарифма на 114-битной «дружественной к паре» кривой Баррето–Нахрига (BN) ^[39], используя специальное свойство секстик-твиста кривой BN для эффективного выполнения случайного блуждания метода ро Полларда. Реализация использовала 2000 ядер ЦП и потребовала около 6 месяцев для решения задачи. ^[40]

16 июня 2020 года Александр Зениевич (zielar) и Жан Люк Понс (JeanLucPons) объявили о решении задачи дискретного логарифма 114-битного интервала эллиптической кривой на кривой secp256k1 путем решения 114-битного закрытого ключа в Bitcoin Puzzle Transactions Challenge. Чтобы установить новый рекорд, они использовали собственное программное обеспечение ^[41] на основе Pollard Kangaroo на 256-кратном графическом процессоре NVIDIA Tesla V100, и им потребовалось 13 дней. Двумя неделями ранее - они использовали то же количество видеокарт для решения 109-битного интервала ECDLP всего за 3 дня.

• Вычисления дискретных логарифмов, отсортированные по дате