Алгоритм «кенгуру» Полларда

Пусть ${\displaystyle G}$  — конечная циклическая группа порядка ${\displaystyle n}$ , генерируемая элементом ${\displaystyle \mathrm{\alpha <!--\; \alpha \; -->}}$ , и мы ищем дискретный логарифм ${\displaystyle x}$  элемента ${\displaystyle \mathrm{\beta <!--\; \beta \; -->}}$  по основанию ${\displaystyle \mathrm{\alpha <!--\; \alpha \; -->}}$ . Другими словами, мы ищем ${\displaystyle x\in <!--\; \in \; -->Z_n}$ , такое, что ${\displaystyle {\mathrm{\alpha <!--\; \alpha \; -->}}^x=\mathrm{\beta <!--\; \beta \; -->}}$ . Лямбда-алгоритм позволяет нам искать ${\displaystyle x}$  в некотором подмножестве ${\displaystyle \{a,\dots <!--\; \dots \; -->,b\}\subset <!--\; \subset \; -->Z_n}$ . Мы можем искать полный набор возможных логарифмов, приняв ${\displaystyle a=0}$  и ${\displaystyle b=n-<!--\; -\; -->1}$ , хотя в этом случае ρ-алгоритм будет эффективнее. Поступаем следующим образом:

1. Выбираем множество ${\displaystyle S}$  целых чисел и определяем псевдослучайное отображение^[en] ${\displaystyle f:G\to <!--\; \to \; -->S}$ .

2. Выберем целое число ${\displaystyle N}$  и вычислим последовательность элементов группы ${\displaystyle \{x_0,x_1,\dots <!--\; \dots \; -->,x_N\}}$  согласно формулам:

• ${\displaystyle x_0={\mathrm{\alpha <!--\; \alpha \; -->}}^b}$ 
• ${\displaystyle x_{i+1}=x_i{\mathrm{\alpha <!--\; \alpha \; -->}}^{f(x_i)}}$  для ${\displaystyle i=0,1,\dots <!--\; \dots \; -->,N-<!--\; -\; -->1}$ 

3. Вычислим

${\displaystyle d=\underset{i=0}{\overset{N-<!--\; -\; -->1}{\sum <!--\; \sum \; -->}}f(x_i)}$ .

Заметим, что

${\displaystyle x_N=x_0{\mathrm{\alpha <!--\; \alpha \; -->}}^d={\mathrm{\alpha <!--\; \alpha \; -->}}^{b+d}.}$ 

4. Начинаем вычислять вторую последовательность элементов группы ${\displaystyle \{y_0,y_1,\dots <!--\; \dots \; -->\}}$  по формулам

• ${\displaystyle y_0=\mathrm{\beta <!--\; \beta \; -->}}$ 
• ${\displaystyle y_{i+1}=y_i{\mathrm{\alpha <!--\; \alpha \; -->}}^{f(y_i)}}$  для ${\displaystyle i=0,1,\dots <!--\; \dots \; -->,N-<!--\; -\; -->1}$ 

и соответствующую последовательность целых чисел согласно формуле

${\displaystyle d_n=\underset{i=0}{\overset{n-<!--\; -\; -->1}{\sum <!--\; \sum \; -->}}f(y_i)}$ .

Заметим, что

${\displaystyle y_i=y_0{\mathrm{\alpha <!--\; \alpha \; -->}}^{d_i}=\mathrm{\beta <!--\; \beta \; -->}{\mathrm{\alpha <!--\; \alpha \; -->}}^{d_i}}$  для ${\displaystyle i=0,1,\dots <!--\; \dots \; -->,N-<!--\; -\; -->1}$ 

5. Прекращаем вычисления ${\displaystyle \{y_i\}}$  и ${\displaystyle \{d_i\}}$ , когда выполняется одно из условий

A) ${\displaystyle y_j=x_N}$  для некоторого ${\displaystyle j}$ . Если последовательности ${\displaystyle \{x_i\}}$  и ${\displaystyle \{y_j\}}$  «сталкиваются» таким способом, мы имеем:

${\displaystyle x_N=y_j\Rightarrow <!--\; \Rightarrow \; -->{\mathrm{\alpha <!--\; \alpha \; -->}}^{b+d}=\mathrm{\beta <!--\; \beta \; -->}{\mathrm{\alpha <!--\; \alpha \; -->}}^{d_j}\Rightarrow <!--\; \Rightarrow \; -->\mathrm{\beta <!--\; \beta \; -->}={\mathrm{\alpha <!--\; \alpha \; -->}}^{b+d-<!--\; -\; -->d_j}(\mathrm{mod}n)\Rightarrow <!--\; \Rightarrow \; -->x\equiv <!--\; \equiv \; -->b+d-<!--\; -\; -->d_j(\mathrm{mod}n-<!--\; -\; -->1)}$ 

так что мы нашли требуемое.

B) ${\displaystyle d_i>b-<!--\; -\; -->a+d}$ . Если это случилось, алгоритм потерпел неудачу в поиске ${\displaystyle x}$ . Может быть сделана другая попытка путём изменения множества ${\displaystyle S}$  или/и отображения ${\displaystyle f}$ .

Поллард указал для алгоритма временную сложность ${\displaystyle O(\sqrt{b-<!--\; -\; -->a})}$ , основываясь на вероятностной аргументации, что вытекает из предположения, что f действует псевдослучайно. Заметим, что в случае, когда размер множества {a, …, b} измеряется а битах, что обычно в теории сложности, множество имеет размер log(b − a), так что алгоритмическая сложность равна ${\displaystyle O(\sqrt{b-<!--\; -\; -->a})=O(2^{\frac{1}{2}\log <!--\; \; -->(b-<!--\; -\; -->a)})}$ , что является экспонентой от размера задачи. По этой причине лямбда-алгоритм Полларда считается алгоритмом экспоненциальной сложности. За примером подэкспоненциального по времени алгоритма см. Алгоритм исчисления порядка.

Алгоритм известен под двумя названиями.

Первое название — алгоритм «кенгуру» Полларда. Имя относится к аналогии, используемой в статье, где алгоритм был предложен. В статье алгоритм объясняется в терминах использования ручного кенгуру для поимки дикого. Как объяснял Поллард^[2], эта аналогия была навеяна «обворожительной» статьёй, опубликованной в том же выпуске журнала Scientific American, что и публикация RSA криптосистемы с открытым ключом. Статья^[3] описывает эксперимент, в котором «энергетическая цена движения кенгуру, измеренная в терминах потребления кислорода на различных скоростях, была определена путём помещения кенгуру на беговую дорожку».

Второе название — лямбда-алгоритм Полларда. Очень похоже на имя другого алгоритма Полларда для дискретного логарифмирования, ρ-алгоритма, и это имя связано с похожестью визуализации алгоритма с греческой буквой лямбда (${\displaystyle \mathrm{\lambda <!--\; \lambda \; -->}}$ ). Короткая линия буквы лямбда соответствует последовательности ${\displaystyle \{x_i\}}$ . Соответственно, длинная линия соответствует последовательности ${\displaystyle \{y_i\}}$ , которая «сталкивается с» первой последовательностью (подобно встрече короткой и длинной линии буквы).

Поллард предпочитает использование названия «алгоритм кенгуру»^[4], чтобы избежать путнаницы с некоторыми параллельными версиями ρ-алгоритма, которые тоже носят название «лямбда-алгоритмы».

• Радужная таблица

• J. Pollard. Monte Carlo methods for index computation mod p // Mathematics of Computation. — 1978. — Т. 32.
• J. Pollard. Kangaroos, Monopoly and Discrete Logarithms // Journal of Cryptology. — 2000. — Т. 13. — С. 437—447.
• T. J. Dawson. Kangaroos // Scientific American. — 1977. — С. 78—89.