Babystep-Giantstep-Algorithmus

Der Babystep-Giantstep-Algorithmus (auch Shanks’ Algorithmus für diskrete Logarithmen genannt) berechnet den diskreten Logarithmus eines Elements einer zyklischen Gruppe. Der Algorithmus ist zwar in der Laufzeit dem naiven Ausprobieren aller Möglichkeiten überlegen, ist aber dennoch für sehr große Gruppen praktisch nicht durchführbar. Der Algorithmus stammt von Daniel Shanks.

Theorie

Gesucht sei der diskrete Logarithmus $x:=\log _{g}a$ mit $\langle g\rangle =\{g^{0},g^{1},\dotsc g^{n-1}\}$ eine endliche zyklische Gruppe der Ordnung $n$ und $a=g^{x}$ ein Gruppenelement.

Mittels Division mit Rest lässt sich zu einem fest gewählten $m$ eine eindeutige Darstellung $x=im+j$ mit $0\leq j<m$ finden. Hierbei wird häufig $m\in \Theta ({\sqrt {n}})$ gewählt (siehe Landau-Symbole), um den möglichen Zahlenbereich der $i$ und $j$ ähnlich groß zu halten. Durch Umformen ergibt sich mit dieser Darstellung wegen $a=g^{x}=g^{im+j}$ die dem Algorithmus zugrunde liegende Eigenschaft $g^{j}=ag^{-im}$ .

Der Algorithmus sucht nach einem Paar $(i,j)$ , das diese Eigenschaft erfüllt, und erstellt hierzu zunächst eine Tabelle der „baby steps“ $(j,g^{j})$ . Anschließend berechnet man für wachsende $i$ sukzessive die „giant steps“ $a(g^{-m})^{i}$ und prüft auf Gleichheit mit einem Wert in der Tabelle. Liegt eine solche Kollision vor, ist dies das gesuchte Paar und der Logarithmus $im+j$ wird ausgegeben.

Mit Zugriffszeiten auf einzelne Elemente der Tabelle von ${\mathcal {O}}(\alpha )$ – im Falle von geeignet schnellen Datenstrukturen wie Hashtabellen entspricht dies ${\mathcal {O}}(1)$ – hat der Algorithmus eine Laufzeit von ${\mathcal {O}}((n/m)\cdot \alpha ^{2})$ mit Speicherbedarf ${\mathcal {O}}(m)$ .

Algorithmus

Eingabe: Endliche zyklische Gruppe $G$ , Erzeuger $g$ , Gruppenelement $a$

Ausgabe: $x:=\log _{g}a$ mit $g^{x}=a$

Berechne $n:=|G|$ , $m:=\lceil {\sqrt {n}}\rceil$ mit der Aufrundungsfunktion $\lceil \cdot \rceil$ .
Für alle $j\in \{0,\dots ,m-1\}$ : Berechne $g^{j}$ und speichere $(j,g^{j})$ in einer Tabelle.
Für alle $i\in \{0,\dots ,m-1\}$ : Berechne $a(g^{-m})^{i}$ und suche danach in der zweiten Spalte der Tabelle. Wenn gefunden, gib $im+j$ aus.

Wegen $a(g^{-m})^{i}=a(g^{-m})^{i-1}g^{-m}$ lässt sich das Gruppenelement im letzten Schritt leicht aus dem der vorhergehenden Iteration berechnen.

Beispiel

Weil $11$ eine Primitivwurzel modulo $29$ ist, gilt $(\mathbb {Z} /29\mathbb {Z} )^{\times }=\langle 11\rangle$ . Sei also $G:=(\mathbb {Z} /29\mathbb {Z} )^{\times }$ die prime Restklassengruppe mit Erzeuger $g:=11$ . Wir wollen den diskreten Logarithmus von $a:=3$ zur Basis $g$ berechnen, also die Lösung von $3=11^{x}\mod 29$ .

Die Gruppenordnung ergibt sich zu $n:=\varphi (29)=28$ , da $29$ eine Primzahl ist (hierbei ist $\varphi$ die Eulersche φ-Funktion). Somit ist $m:=\lceil {\sqrt {28}}\rceil =6$ .
Für $j\in \{0,\dots ,5\}$ berechnet man die Paare $(j,11^{j})$ und speichert sie in einer Tabelle:

$j$	0	1	2	3	4	5
$11^{j}$	1	11	5	26	25	14

Es ist $11^{-6}=11^{28-6}=13$ . Man berechnet für $i\in \{0,\dots ,5\}$ die Zahl $3\cdot 13^{i}$ und terminiert, sobald sie in der zweiten Komponente der vorherigen Tabelle gefunden wurde:

$i$	0	1	2
$3\cdot 13^{i}$	3	10	14

Es ist also $i=2$ und $j=5$ , damit ist $\log _{11}3=2\cdot 6+5=17$ .