HDU6632 Pohlig-Hellman算法学习

前些日子在和队友训练杭电多校的时候，遇到了这样一道题HDU 6632，要求一个质数群上的离散对数问题。这个质数有一个特性， $p-1=2^x*3^y$ 。

一般来讲，离散对数问题的求解主要有 $BSGS$ 算法， $Pollard\_Rho$ 算法等，前者效率为 $O(\sqrt{n})$ ，空间复杂度也是 $O(\sqrt{n})$ ，后者节省了空间，时间复杂度期望略慢于前者。但是这道题 $p\le 1e18$ ，难于承受。那么关键就落在了 $p-1$ 的因子很小这一信息上。

其实在去年，做一个全国密码竞赛的时候，尝试求解过椭圆曲线离散对数问题，当时也接触过针对群阶因子不大的攻击，但是因为当时的赛题，群阶被人为取定成都是素数，那么就不存在所谓小因子，所以虽然当时资料查到过 $Pohlig-Hellman$ 方法，但是没有加以学习。

这次ACM中碰到这样的题，只能怪自己当时没有仔细了解了。

$Pohlig-Hellman$ 是针对群阶的分解中质数不大的情况的，它的目标是将一个大的离散对数问题，分解成多个离散对数问题，这些子问题中，指数的范围是被质数的大小所限制住的。

这里仅仅叙述针对质数群的 $Pohlig-Hellman$ 算法，参考文章：https://blog.csdn.net/oampamp1/article/details/104061969。

另外针对椭圆曲线群的，步骤和方法其实基本一致，参考：https://blog.csdn.net/oampamp1/article/details/104061969。

将 $\phi(p)=p-1$ 质因子分解， $p-1=p_{1}^{k_{1}} p_{2}^{k_{2}} \dots p_{m_{m}}^{k_{m}}$ （m为质因子个数）
对于每个质因子 $p_i$ ，将我们要求的答案 $x$ ，模上 $p_i$ 的结果，拆分成 $p_i$ 进制的形式：
$x=p_{i}^{0} a_{0}+p_{i}^{1} a_{1}+p_{i}^{2} a_{2 \cdots}+p_{i}^{k_{i-1}} a_{k_{i-1}}\left(\bmod p_{i}^{k_{i}}\right)$
令 $r=1$ ，展开 $\left(a^{x}\right)^{\frac{p-1}{p_{i}^{r}}} \equiv b^{\frac{p-1}{p_{i}^{r}}}(\bmod p)$ ，得到
$a^{a_{0} * \frac{p-1}{p_{i}}} * a^{(p-1) a_{1}} *\left(a^{p-1}\right)^{p a_{2}} *\left(a^{p-1}\right)^{p^{2} a_{3}} \ldots\left(a^{p-1}\right)^{p^{\left(k_{i}-2\right)} a_{k_{i-1}}} \equiv b^{\frac{p-1}{p_{i}^{2}}}(\bmod p)$
注意到左边后面的项都是1，所以得到
$a^{a_{0} * \frac{p-1}{p_{i}}} \equiv b^{\frac{p-1}{p_{i}^{r}}}(\bmod p)$
这也是一个离散对数问题，但是由于 $a_i$ 的所有系数 $\in[0,p_i-1]$ （ $p_i$ 进制的缘故），所以求解 $a_0$ 是比较方便的。可以用 $BSGS$ 或者 $Pollard\_Rho$ 解决。当然 $p_i$ 很小的情况下，暴力穷举就足够了，比如本题。
得到 $a_0$ 之后，我们在 $a^x\equiv b(\bmod p_i)$ 的等是两边除 $a^{a_0}$ ，那么得到了新的 $a^{x'}\equiv b'(\bmod p_i)$ ， $x'$ 在 $p_i$ 进制下不再有个位，我们取 $r=2$ ，展开 $\left(a^{x}\right)^{\frac{p-1}{p_{i}^{r}}} \equiv b^{\frac{p-1}{p_{i}^{r}}}(\bmod p)$ 来求十位。
进一步重复操作，一直到所有 $a_j$ 都被求出。于是得到
$x=p_{i}^{0} a_{0} * p_{i}^{1} a_{1} * p_{i}^{2} a_{2} \dots * p_{i}^{k_{i-1}} a_{k_{i-1}}\left(\bmod p_{i}^{k_{i}}\right)$
在算出 $m$ 个关于 $x$ 的模方程之后，来一次中国剩余定理即可（不需要扩展CRT,因为模数互质）。

几个需要注意的地方：

每一步的模数是啥，需要注意。
由于 $a$ 不是原根时， $x$ 在 $[0,p-2]$ 中可能有多个解，第三步求解 $a_j$ ，可能满足条件的有多个，这时候你只能任取一个。所以有多个解的时候，不能保证 $x$ 求出来是最小的那个。
普遍上的Pohlig-Hellman算法的效率，在知道因子分解之后，取决于和暴力求解 $a_j$ 的部分，两个部分上界都受限于最大的质数因子大小。因此在我们设计离散对数密码算法时，群阶的最大质因子大小至少应该是 $\sqrt{n}$ 才安全。如果是椭圆曲线离散对数，群阶甚至可以直接设置成质数。
在求解本题时，有两种方法：一种是直接求离散对数，如果所有 $a_j$ 求出来后，剩下的 $b$ 不等于1，那么就是无解。但是有解的话不一定求得最小，还需要求出 $a$ 的阶数。另一种是先求原根，再对 $a,b$ 各自求一次离散对数，再用扩展GCD来求出答案，扩展GCD可以比较快保证求出来最小正值。两种效率和码量应该差不多。这里用第二种。
普适的模板之后再补充，这里只给出本题的代码，只考虑了 $2,3$ 两种模数。

#include<cstdio>

using namespace std;
using LL=long long;

int T, c2, c3;
LL a, b, p, g, xx, yy, rr, tt, xa, xb, tmp, ans;

LL quick_power(LL a, LL b, LL mo) {
    LL ans = 1, base = a;
    while (b) {
        if (b & 1)
            ans = (__int128) ans * base % mo;
        base = (__int128) base * base % mo;
        b >>= 1;
    }
    return ans;
}

LL Root(LL p) {
    bool f = false;
    LL i;
    for (i = 1; !f; i++) {
        f = true;
        if (quick_power(i, (p - 1) >> 1, p) == 1)
            f = false;
        if (f && quick_power(i, (p - 1) / 3, p) == 1)
            f = false;
    }
    return i - 1;
}

void gcd(LL a, LL b, LL &d, LL &x, LL &y) {
    if (!b)
        d = a, x = 1, y = 0;
    else
        gcd(b, a % b, d, y, x), y -= x * (a / b);
}

LL Pohlig_Hellman(LL g, LL b, LL p) {
    LL fp = 1, sum = 1, mo2, mo3, val2 = 0, val3 = 0, coef, temp, tb = b, invg = quick_power(g, p - 2, p);
    for (int j = 1; j <= c2; j++) {
        fp <<= 1;
        LL _b = quick_power(tb, (p - 1) / fp, p);
        coef = _b == 1 ? 0 : 1;
        temp = coef * (fp >> 1);
        tb = (__int128) tb * quick_power(invg, temp, p) % p;
        val2 += temp;
    }
    mo2 = fp;
    LL _g = quick_power(g, (p - 1) / 3, p);
    tb = b;
    fp = 1;
    for (int j = 1; j <= c3; j++) {
        fp *= 3;
        LL _b = quick_power(tb, (p - 1) / fp, p);
        if (_b == 1)
            coef = 0;
        else if (_b == _g)
            coef = 1;
        else
            coef = 2;
        temp = coef * (fp / 3);
        tb = (__int128) tb * quick_power(invg, temp, p) % p;
        val3 += temp;
    }
    mo3 = fp;
    if (mo2 == 1)
        return val3;
    if (mo3 == 1)
        return val2;
    LL inv3 = quick_power(mo3, (mo2 >> 1) - 1, mo2), inv2 = quick_power(mo2, (mo3 / 3 * 2) - 1, mo3);
    return (LL) (((__int128) inv3 * val2 % mo2 * mo3 + (__int128) inv2 * val3 % mo3 * mo2) % (p - 1));
}

int main() {
    scanf("%d", &T);
    while (T--) {
        scanf("%lld%lld%lld", &p, &a, &b);
        tmp = p - 1;
        c2 = c3 = 0;
        while (!(tmp & 1))
            tmp >>= 1, c2++;
        while (!(tmp % 3))
            tmp /= 3, c3++;
        g = Root(p);
        xa = Pohlig_Hellman(g, a, p);
        xb = Pohlig_Hellman(g, b, p);
        gcd(xa, p - 1, rr, xx, yy);
        if (xb % rr) {
            puts("-1");
            continue;
        }
        tt = (p - 1) / rr;
        ans = (__int128) (xx < 0 ? xx + tt : xx) * (xb / rr) % tt;
        printf("%lld\n", ans ? ans : tt);
    }
    return 0;
}

最后编辑于：2020.03.23 16:40:27

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 214,875评论 6赞 496
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 91,569评论 3赞 389
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 160,475评论 0赞 350
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 57,459评论 1赞 288
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 66,537评论 6赞 386
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 50,563评论 1赞 293
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 39,580评论 3赞 414
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 38,326评论 0赞 270
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 44,773评论 1赞 307
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 37,086评论 2赞 330
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 39,252评论 1赞 343
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 34,921评论 5赞 338
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 40,566评论 3赞 322
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 31,190评论 0赞 21
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 32,435评论 1赞 268
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 47,129评论 2赞 366
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 44,125评论 2赞 352

HDU6632 Pohlig-Hellman算法学习

推荐阅读更多精彩内容