Diskreter Logarithmus

In der Gruppentheorie und Zahlentheorie ist der diskrete Logarithmus das Analogon zum gewöhnlichen Logarithmus aus der Analysis; diskret kann in diesem Zusammenhang etwa wie ganzzahlig verstanden werden. Die diskrete Exponentiation in einer zyklischen Gruppe ist die Umkehrfunktion des diskreten Logarithmus. Als Vergleich: Die natürliche Exponentialfunktion auf den positiven reellen Zahlen ist die Umkehrfunktion des natürlichen Logarithmus.

Ein wichtiger Anwendungsfall tritt beim Rechnen modulo p auf. Der diskrete Logarithmus von zur Basis ist hier der kleinste Exponent der Gleichung ${\textstyle a^{x}\equiv m\mod p}$ bei gegebenen natürlichen Zahlen , und der Primzahl . Zum Beispiel ist beim Rechnen modulo ${\textstyle 11}$ der diskrete Logarithmus von zur Basis gleich ${\textstyle 4}$ , da ${\textstyle 2^{4}=16\equiv 5\mod 11}$ ist.

Da für den diskreten Logarithmus meist nur ineffiziente (im Sinne der Komplexitätstheorie) Algorithmen bekannt sind, während sich die Umkehrfunktion, die diskrete Exponentialfunktion, leicht (im Sinne der Komplexitätstheorie) berechnen lässt, eignet sich die diskrete Exponentialfunktion als Einwegfunktion in der Kryptografie. Anwendungsbeispiele sind u.a.

Diffie-Hellman-Schlüsselaustausch
Elgamal-Signaturverfahren
DSA-Verfahren
Elliptische-Kurven-Kryptosystem

Theorie

Allgemeine Definition

Es sei ${\textstyle (G,\circ )}$ eine endliche zyklische Gruppe mit Erzeuger ${\textstyle g}$ der Ordnung ${\textstyle n}$ . Dann ist die diskrete Exponentiation

${\textstyle {\begin{aligned}\exp _{g}\colon \mathbb {Z} /n\mathbb {Z} &\to G\\x&\mapsto g^{x}\end{aligned}}}$

ein Gruppenisomorphismus. Die zugehörige Umkehrfunktion

${\textstyle {\begin{aligned}\log _{g}\colon G&\to \mathbb {Z} /n\mathbb {Z} \\x&\mapsto \log _{g}x\end{aligned}}}$

heißt diskreter Logarithmus zur Basis ${\textstyle g}$ .

Die bekannte Basiswechselformel bleibt gültig: Ist ein weiterer Erzeuger, dann ist

${\textstyle \log _{h}x=\log _{g}x\cdot \log _{h}g\mod n}$ .

Weiterhin gilt die folgende Beziehung für den diskreten Logarithmus, die der Funktionalgleichung des Logarithmus entspricht:

${\textstyle \log _{g}x+\log _{g}y=\log _{g}(x\circ y)\mod n}$ .

Prime Restklassengruppe

Von praktischem Nutzen in der Kryptografie ist der Spezialfall, wenn die zyklische Gruppe eine prime Restklassengruppe ist, insbesondere modulo Primzahlen.

Sei ${\textstyle p}$ eine Primzahl und eine Primitivwurzel modulo ${\textstyle p}$ , also ein Erzeuger der primen Restklassengruppe ${\textstyle (\mathbb {Z} /p\mathbb {Z} )^{\times }}$ . Der diskrete Logarithmus (auch Index genannt) einer zu ${\textstyle p}$ teilerfremden Zahl zur Basis ist definiert als die eindeutig bestimmte Zahl ${\textstyle a\in \{1,2,\dotsc ,p-1\}}$ mit:

${\textstyle g^{a}\equiv x\mod {p}}$

und wird mit ${\textstyle a=\log _{g}x}$ bzw. ${\textstyle a=\operatorname {ind} _{g}x}$ bezeichnet (zur Schreibweise siehe Kongruenz (Zahlentheorie) und modulo).

Algorithmen zur Berechnung des diskreten Logarithmus

Es sind bisher keine schnellen Algorithmen zur Berechnung des diskreten Logarithmus bekannt. Deren Laufzeit verhielte sich polynomial zur Länge der Eingabe. Es gibt aber Algorithmen, die die Lösung gezielter finden als bloßes Ausprobieren. Aufgrund des angesprochenen Laufzeitverhaltens und der in der Kryptografie üblichen Größenordnungen (mehrere hundert Dezimalstellen in Numerus und Basis) spielen sie praktisch aber keine Rolle. Zu den bekanntesten Algorithmen zählen:

Babystep-Giantstep-Algorithmus
Pohlig-Hellman-Algorithmus
Index-Calculus-Algorithmus
Pollard-Rho-Methode
Zahlkörpersieb

Beispiel

Als Beispiel diene die Primzahl ${\textstyle p=11}$ und die zugehörige prime Restklassengruppe ${\textstyle G=(\mathbb {Z} /11\mathbb {Z} )^{\times }=\{1,2,\dotsc ,10\}}$ . Zur Primitivwurzel ${\textstyle g=2}$ wird nun die Wertetabelle der diskreten Exponentiation bestimmt.

${\textstyle {\begin{array}{lcrlrl}2^{1}&=&2&\equiv &2&\mod {11}\\2^{2}&=&4&\equiv &4&\mod {11}\\2^{3}&=&8&\equiv &8&\mod {11}\\2^{4}&=&16&\equiv &5&\mod {11}\\2^{5}&=&32&\equiv &10&\mod {11}\\2^{6}&=&64&\equiv &9&\mod {11}\\2^{7}&=&128&\equiv &7&\mod {11}\\2^{8}&=&256&\equiv &3&\mod {11}\\2^{9}&=&512&\equiv &6&\mod {11}\\2^{10}&=&1024&\equiv &1&\mod {11}\end{array}}}$

${\textstyle a}$	1	2	3	4	5	6	7	8	9	10
${\textstyle 2^{a}\mod 11}$	2	4	8	5	10	9	7	3	6	1

Dass es sich bei tatsächlich um eine Primitivwurzel modulo 11 handelt, ist an den paarweise verschiedenen diskreten Potenzen erkennbar. Mit anderen Worten, die gesamte prime Restklassengruppe kann mithilfe der diskreten Potenzen von erzeugt werden. Durch Vertauschen der Zeilen und Sortieren erhält man die Wertetabelle des diskreten Logarithmus.

${\textstyle x}$	1	2	3	4	5	6	7	8	9	10
${\textstyle \log _{2}x}$	10	1	8	2	4	9	7	3	6	5

Basierend auf einem Artikel in:

Wikipedia.de