Участник:Kosean97/Метод встречи посередине в решении задачи дискретного логарифмирования в группе точек эллиптической кривой: различия между версиями

Материал из Алговики
Перейти к навигации Перейти к поиску
 
(не показано 49 промежуточных версий этого же участника)
Строка 1: Строка 1:
Эллиптическая криптография — раздел криптографии, который изучает асимметричные криптосистемы, основанные на эллиптических кривых над конечными полями. Основное преимущество эллиптической криптографии заключается в том, что на сегодняшний день не известно существование субэкспоненциальных алгоритмов решения задачи дискретного логарифмирования. Использование эллиптических кривых для создания криптосистем было независимо предложено Нилом Коблицем и Виктором Миллером в 1985 году.
+
<b>Алгоритм:</b> Применение метода встречи посередине в решении задачи дискретного логарифмирования в группе точек эллиптической кривой <br>
 +
<b>Автор описания:</b> Конюхов Сергей
 +
 
 +
Эллиптическая криптография — раздел криптографии, который изучает асимметричные криптосистемы, основанные на эллиптических кривых над конечными полями. Основное преимущество эллиптической криптографии заключается в том, что на сегодняшний день не известно существование субэкспоненциальных алгоритмов<ref name="VASYA">Василенко О.Н. Теоретико-числовые алгоритмы в криптографии. Изд. 2-е. доп. - М.: МЦНМО, 2006. - 336 с.</ref> решения задачи дискретного логарифмирования. Использование эллиптических кривых для создания криптосистем было независимо предложено Нилом Коблицем и Виктором Миллером в 1985 году.
  
 
= Свойства и структура алгоритма =
 
= Свойства и структура алгоритма =
Задача дискретного логарифмирования в общем виде заключается в поиске решения <math>g^x=a</math> в некоторой конечной абелевой группе <math>G</math>.
+
Задача дискретного логарифмирования<ref name="PRIM">Применко Э.А. Алгебраические основы криптографии: Учебное пособие. Изд. 2-е, испр. - М.: ЛЕНАНД, 2015. - 288 с.</ref> в общем виде заключается в поиске решения <math>g^x=a</math> в некоторой конечной абелевой группе <math>G</math>.
  
 
Мы же рассмотрим группу точек эллиптической кривой над полем <math>{\mathbb Z}_p</math> характеристики <math>p > 3</math>:
 
Мы же рассмотрим группу точек эллиптической кривой над полем <math>{\mathbb Z}_p</math> характеристики <math>p > 3</math>:
Строка 9: Строка 12:
 
где <math>A, B \in {\mathbb Z}_p</math> - константы, удовлетворяющие условию <math>4A^3+27B^2 \ne 0 \enspace (mod \thinspace p)</math>.
 
где <math>A, B \in {\mathbb Z}_p</math> - константы, удовлетворяющие условию <math>4A^3+27B^2 \ne 0 \enspace (mod \thinspace p)</math>.
  
В качестве группы <math>G</math> возьмём циклическую подгруппу группы <math>E( {\mathbb Z}_p )</math> порождённую элементом <math>P</math>, то есть <math>G=\langle P \rangle</math>.
+
В качестве группы <math>G</math> возьмём циклическую подгруппу группы <math>E( {\mathbb Z}_p )</math> порождённую элементом <math>Q</math>, то есть <math>G=\langle Q \rangle</math>.
  
Стоит отметить, что группа <math>G</math> является аддитивной, и задачу '''DLOG''' стоит переформулировать: в уравнении <math>nP=Q</math> требуется найти <math>n</math>.
+
Стоит отметить, что группа <math>G</math> является аддитивной, и задачу '''DLOG''' стоит переформулировать: в уравнении <math>nQ=P</math> требуется найти <math>n</math>.
  
 
== Общее описание алгоритма ==
 
== Общее описание алгоритма ==
Метод "встречи по середине" является вероятностным и основан на так называемом парадоксе дней рождений - для того, чтобы при выборке с возвратом из множества мощности <math>r</math> получить совпадение двух элементов с достаточно большой вероятностью, требуется произвести <math>\sqrt{r}</math> попыток.
+
Метод "встречи посередине"<ref name="BABE">Бабенко Л.К., Ищукова Е.А., Сидоров И.Д. Параллельные алгоритмы для решения задач защиты информации. - М.: Горячая линия - Телеком, 2014. - 304 с. </ref> является вероятностным и основан на так называемом парадоксе дней рождений - для того, чтобы при выборке с возвратом из множества мощности <math>r</math> получить совпадение двух элементов с достаточно большой вероятностью, требуется произвести <math>\sqrt{r}</math> попыток.
  
 
Eсли мы найдем совпадение точек вида: <math>lQ = kP</math>, то мы можем получить решение задачи как <math>n=lk^{-1}\enspace (mod \thinspace r)</math>.
 
Eсли мы найдем совпадение точек вида: <math>lQ = kP</math>, то мы можем получить решение задачи как <math>n=lk^{-1}\enspace (mod \thinspace r)</math>.
  
 
== Математическое описание алгоритма ==
 
== Математическое описание алгоритма ==
<math>G = \langle Q \rangle</math>, <math>|G| = r</math> - циклическая подгруппа группы точек эллиптической кривой характеристики <math>p>3</math>. Уравнение <math>nQ = P</math>.
+
<math>G = \langle Q \rangle</math>, <math>|G| = r</math> - циклическая подгруппа группы точек эллиптической кривой. Уравнение <math>nQ = P</math>.
  
Дано: <math>G, Q, P, r</math> - группа, её образующая, логарифмируемый элемент, порядок группы.
+
Дано: <math>E, Q, P, r</math> - эллиптическая кривая, образующая группы <math>G</math>, логарифмируемый элемент, порядок группы.
  
 
Найти: <math>n</math> - искомый логарифм.
 
Найти: <math>n</math> - искомый логарифм.
Строка 37: Строка 40:
 
</li>
 
</li>
 
<li>
 
<li>
В случае успеха вычислить <math>n</math>. В случае провала перейти к пункту 3.
+
В случае успеха вычислить <math>n=l_ik_j^{-1}\enspace (mod \thinspace r)</math>. В случае провала перейти к пункту 3.
 
</li>
 
</li>
 
</ol>
 
</ol>
  
 
== Вычислительное ядро алгоритма ==
 
== Вычислительное ядро алгоритма ==
В описываемом алгоритме выделяется и описывается [[глоссарий#Вычислительное ядро|''вычислительное ядро'']], т.е. та часть алгоритма, на которую приходится основное время работы алгоритма. Если в алгоритме несколько вычислительных ядер, то отдельно описывается каждое ядро. Описание может быть сделано в достаточно произвольной форме: словесной или с использованием языка математических формул. Вычислительное ядро может полностью совпадать с описываемым алгоритмом.
+
В описываемом алгоритме присутствует три вычислительных ядра: генерация базы данных, сортировка базы данных для дальнейшего поиска, генерация случайных точек - степеней изучаемой точки и поиск совпадений в созданной базе данных.
 +
<ol>
 +
<li>'''Генерация базы данных.''' <br>
 +
Выбирается некоторый "квант" - число точек - степеней образующей, которые будут генерироваться за одну итерацию.
 +
До тех пор пока не наберётся достаточное количество точек, генерируем "квант" случайных точек.
 +
Генерация точек осуществляется следующим образом: выбирается псевдослучайное число, после чего образующая умножается на него.
 +
</li>
 +
<li>'''Сортировка базы данных.'''<br>
 +
Полученная база точек - степеней образующей сортируется по икс-координате (точка А больше точки Б, если икс-координата точки А больше икс-координаты точки Б). Алгоритм сортировки, например, быстрая сортировка.
 +
</li>
 +
<li>'''Генерация и поиск.'''<br>
 +
Генерируется "квант" точек - степеней изучаемой точки. После чего производится поиск в базе данных точки, обладающую той же икс-координатой, что и выбранная. Поиск осуществляется, например, бинарным поиском.  
 +
</li>
 +
</ol>
  
 
== Макроструктура алгоритма ==
 
== Макроструктура алгоритма ==
Если алгоритм использует в качестве составных частей другие алгоритмы, то это указывается в данном разделе. Если в дальнейшем имеет смысл описывать алгоритм не в максимально детализированном виде (т.е. на уровне арифметических операций), а давать только его макроструктуру, то здесь описывается структура и состав макроопераций. Если в других разделах описания данного алгоритма в рамках AlgoWiki используются введенные здесь макрооперации, то здесь даются пояснения, необходимые для однозначной интерпретации материала. Типичные варианты макроопераций, часто встречающиеся на практике: нахождение суммы элементов вектора, скалярное произведение векторов, умножение  матрицы на вектор, решение системы линейных уравнений малого порядка, сортировка, вычисление значения функции в некоторой точке, поиск минимального значения в массиве, транспонирование матрицы, вычисление обратной матрицы и многие другие.
+
Введем следующие макроопераций:
 +
*генерация случайной точки,
 +
*сравнение двух точек,
 +
*сортировка точек,
 +
*поиск точки в отсортированном массиве.
  
Описание макроструктуры очень полезно на практике. Параллельная структура алгоритмов может быть хорошо видна именно на макроуровне, в то время как максимально детальное отображение всех операций может сильно усложнить картину. Аналогичные аргументы касаются и многих вопросов реализации, и если для алгоритма эффективнее и/или технологичнее оставаться на макроуровне, оформив макровершину, например, в виде отдельной процедуры, то это и нужно отразить в данном разделе.
+
''Генерация случайной точки'' осуществляется случайным выбором натурального числа из множества <math>\{1, \dots, r\}</math> с последующим умножением на это число образующего элемента группы.<br>
Выбор макроопераций не однозначен, причем, выделяя различные макрооперации, можно делать акценты на различных свойствах алгоритмов. С этой точки зрения, в описании одного алгоритма может быть представлено несколько вариантов его макроструктуры, дающих дополнительную информацию о его структуре. На практике, подобные альтернативные формы представления макроструктуры алгоритма могут оказаться исключительно полезными для его эффективной реализации на различных вычислительных платформах.
+
Для определения ''сортировки'' и ''поиска'' определим операцию ''сравнения двух точек'' следующим образом:
 +
<math>\forall P_1, P_2 \in G \quad (P_1, P_2) \in Less \iff (P_1)_x < (P_2)_x</math>.<br>
 +
Под операцией ''сортировки'' будем понимать быструю сортировку, под операцией ''поиска'' - бинарный поиск. Каждая из операций использует описанную операцию ''сравнения''.
 +
 
 +
Макроструктура алгоритма представляет из себя последовательное выполнения операций генерации, сравнения и поиска точек.
  
 
== Схема реализации последовательного алгоритма ==
 
== Схема реализации последовательного алгоритма ==
Здесь описываются все шаги, которые нужно выполнить при последовательной реализации данного алгоритма. В некотором смысле, данный раздел является избыточным, поскольку математическое описание уже содержит всю необходимую информацию. Однако он, несомненно, полезен: схема реализации алгоритма выписывается явно, помогая однозначной интерпретации приводимых далее оценок и свойств.
+
В качестве описания схемы реализации последовательного алгоритма можно привести данный фрагмент программы на языке С++.
 +
<source lang="c">
 +
int main( int argc, char** argv )
 +
{
 +
    // Определяем группу, исследуемый элемент,
 +
    // а так же объем базы данных точек и количество точек,
 +
    // генерируемых за один раз, цель исследования.
 +
    DLogConfig config( "config.txt" );
 +
    DLogSolver solver( &argc, &argv, config );
  
Описание может быть выполнено в виде блок-схемы, последовательности математических формул, обращений к описанию других алгоритмов, фрагмента кода на Фортране, Си или другом языке программирования, фрагмента кода на псевдокоде и т.п. Главное - это сделать схему реализации последовательного алгоритма полностью понятной. Совершенно не обязательно все шаги детализировать до элементарных операций, отдельные шаги могут соответствовать макрооперациям, отвечающим другим алгоритмам.  
+
    do
 +
    {
 +
          // Сгенерировать некоторое количество точек - степеней образующей.
 +
          solver.GenerateDatabase();
 +
    }
 +
    // До тех пор, пока нужное количество точек не будет создано.
 +
    while( !solver.DatabaseFull() );
 +
    // Сортировка полученной базы данных.
 +
    solver.PrepareDatabase();
 +
   
 +
    do
 +
    {
 +
          // Сгенерировать некоторое количество точек - степеней исследуемого элемента.
 +
          solver.GeneratePoints();
 +
          // Поиск совпадений в базе данных.
 +
          solver.LookThrowDatabase();
 +
    }
 +
    // Повторять до тех пор, пока совпадение не будет найдено.
 +
    while( !solver.SolutionFound() );
 +
    // Вывести ответ.
 +
    solver.PrintAnswer();
  
Описание схемы реализации вполне может содержать и словесные пояснения, отражающие какие-либо тонкие нюансы самого алгоритма или его реализации. Уже в данном разделе можно сказать про возможный компромисс между объемом требуемой оперативной памяти и временем работы алгоритма, между используемыми структурами данных и степенью доступного параллелизма. В частности, часто возникает ситуация, когда можно ввести дополнительные временные массивы или же отказаться от использования специальных компактных схем хранения данных, увеличивая степень доступного параллелизма.
+
    return EXIT_SUCCESS;
 +
}
 +
</source>
  
 
== Последовательная сложность алгоритма ==
 
== Последовательная сложность алгоритма ==
В данном разделе описания свойств алгоритма приводится оценка его [[глоссарий#Последовательная сложность|''последовательной сложности'']], т.е. числа операций, которые нужно выполнить при последовательном исполнении алгоритма (в соответствии с [[#Описание схемы реализации последовательного алгоритма|п.1.5]]). Для разных алгоритмов понятие операции, в терминах которой оценивается его сложность, может существенно различаться. Это могут быть операции для работы с вещественными числами, целыми числами, поразрядные операции, обращения в память, обновления элементов массива, элементарные функции, макрооперации и другие. В LU-разложении преобладают арифметические операции над вещественными числами, а для транспонирования матриц важны лишь обращения к памяти: это и должно найти отражение в описании.
+
Будем считать генерацию точки за элементарную операцию.  
 
+
Сложность этапа генерации базы точек есть <math>\sqrt{r}</math>, так как точки хранятся в связном списке, добавление составляет константную сложность.
Если выбор конкретного типа операций для оценки сложности алгоритма не очевиден, то нужно привести обоснование возможных вариантов. В некоторых случаях можно приводить оценку не всего алгоритма, а лишь его вычислительного ядра: в таком случае это нужно отметить, сославшись [[#Общее описание алгоритма|на п.1.1]].
+
Сортировка производится алгоритмом Q-Sort, тем самым будет выполнено порядка <math>\sqrt{r}\log r</math> операций. Поиск по созданной базе точек осуществляется алгоритмом бинарного поиска, таким образом, проверка на вхождение нужного элемента производится за <math>\log r</math> операций. Вычисление логарифма по найденной паре выполняется за
 
+
константу.
Например, сложность алгоритма суммирования элементов вектора сдваиванием равна <math>n-1</math>. Сложность быстрого преобразования Фурье (базовый алгоритм Кули-Тьюки) для векторов с длиной, равной степени двойки – <math>n\log_2n</math> операций комплексного сложения и <math>(n\log_2n)/2</math> операций комплексного умножения. Сложность базового алгоритма разложения Холецкого (точечный вариант для плотной симметричной и положительно-определенной матрицы) это <math>n</math> вычислений квадратного корня, <math>n(n-1)/2</math> операций деления, по <math>(n^3-n)/6</math> операций умножения и сложения (вычитания).
+
<br><br>
 +
Таким образом:
 +
* временная сложность алгоритма есть <math>O(\sqrt{r}\log r)</math>,
 +
* оценка используемой памяти есть <math>O(\sqrt{r})</math>,
 +
где <math>r</math> - это порядок группы <math>G</math> точек эллиптической кривой.
  
 
== Информационный граф ==
 
== Информационный граф ==
Это очень важный раздел описания. Именно здесь можно показать (увидеть) как устроена параллельная структура алгоритма, для чего приводится описание и изображение его информационного графа ([[глоссарий#Граф алгоритма|''графа алгоритма'']] <ref name="VVVVVV">Воеводин В.В., Воеводин Вл.В. Параллельные вычисления. - СПб.: БХВ-Петербург, 2002. - 608 с. </ref>). Для рисунков с изображением графа будут составлены рекомендации по их формированию, чтобы все информационные графы, внесенные в энциклопедию, можно было бы воспринимать и интерпретировать одинаково. Дополнительно можно привести полное параметрическое  описание графа в терминах покрывающих функций <ref name="VVVVVV" />.
 
  
Интересных вариантов для отражения информационной структуры алгоритмов много. Для каких-то алгоритмов нужно показать максимально подробную структуру, а иногда важнее макроструктура. Много информации несут разного рода проекции информационного графа, выделяя его регулярные составляющие и одновременно скрывая несущественные детали. Иногда оказывается полезным показать последовательность в изменении графа при изменении значений внешних переменных  (например, размеров матриц): мы часто ожидаем "подобное" изменение информационного графа, но это изменение не всегда очевидно на практике.
+
[[file:dlog_graph.jpg|thumb|right|300px|Рис.1. Информационная структура алгоритма дискретного логарифмирования методом встречи посередине.]]
  
В целом, задача изображения графа алгоритма весьма нетривиальна. Начнем с того, что это потенциально бесконечный граф, число вершин и дуг которого определяется значениями внешних переменных, а они могут быть весьма и весьма велики. В такой ситуации, как правило, спасают упомянутые выше соображения подобия, делающие графы для разных значений внешних переменных "похожими": почти всегда достаточно привести лишь один граф небольшого размера, добавив, что графы для остальных значений будут устроены "точно также". На практике, увы, не всегда все так просто, и здесь нужно быть аккуратным.
+
На рисунке 1 можно видеть информационный граф алгоритма дискретного логарифмирования методом встречи посередине.  
 
+
Так, зеленым вершинам соответствует операция случайного выбора точки из группы. Каждая точка сохраняется в один из связных списков, группировка происходит на основании икс-координаты точки. Вершине, отмеченной розовым цветом, соответствует подсчёт общего количества точек. После этого, каждая группа точек по отдельности сортируется. Данному процессу соответствуют вершины, обозначенные красным цветом.
Далее, граф алгоритма - это потенциально многомерный объект. Наиболее естественная система координат для размещения вершин и дуг информационного графа опирается на структуру вложенности циклов в реализации алгоритма. Если глубина вложенности циклов не превышает трех, то и граф размещается в привычном трехмерном пространстве, однако для более сложных циклических конструкций с глубиной вложенности 4 и больше необходимы специальные методы представления и изображения графов.  
+
Следующим этапом мы генерируем еще одно множество точек, и раздельно, в соответствии с икс-координатой, их сохраняем. Аналогично, этим операциям соответствуют зеленые и синие вершины (справа). В каждой группе из выбранных точек ищется вхождение соответствующего элемента в отсортированном массиве. Желтой вершине соответствует операция, результатом которой есть ответ на вопрос, была ли найдена коллизия.
 
 
В данном разделе AlgoWiki могут использоваться многие интересные возможности, которые еще подлежат обсуждению: возможность повернуть граф при его отображении на экране компьютера для выбора наиболее удобного угла обзора, разметка вершин по типу соответствующим им операций, отражение [[глоссарий#Ярусно-параллельная форма графа алгоритма|''ярусно-параллельной формы графа'']] и другие. Но в любом случае нужно не забывать главную задачу данного раздела - показать информационную структуру алгоритма так, чтобы стали понятны все его ключевые особенности, особенности параллельной структуры, особенности множеств дуг, участки регулярности и, напротив, участки с недерминированной структурой, зависящей от входных данных.  
 
 
 
На рис.1 показана информационная структура алгоритма умножения матриц, на рис.2 - информационная структура одного из вариантов алгоритма решения систем линейных алгебраических уравнений с блочно-двухдиагональной матрицей.
 
 
 
[[file:Fig1.svg|thumb|center|300px|Рис.1. Информационная структура алгоритма умножения матриц]]
 
[[file:Fig2.svg|thumb|center|300px|Рис.2. Информационная структура одного из вариантов алгоритма решения систем линейных алгебраических уравнений с блочно-двухдиагональной матрицей]]
 
  
 
== Ресурс параллелизма алгоритма ==
 
== Ресурс параллелизма алгоритма ==
Здесь приводится оценка [[глоссарий#Параллельная сложность|''параллельной сложности'']] алгоритма: числа шагов, за которое можно выполнить данный алгоритм в предположении доступности неограниченного числа необходимых процессоров (функциональных устройств, вычислительных узлов, ядер и т.п.). Параллельная сложность алгоритма понимается как высота канонической ярусно-параллельной формы <ref name="VVVVVV" />. Необходимо указать, в терминах каких операций дается оценка. Необходимо описать сбалансированность параллельных шагов по числу и типу операций, что определяется шириной ярусов канонической ярусно-параллельной формы и составом операций на ярусах.  
+
В случае, когда квант точек, генерируемых за одну итерацию, достаточно велик, и за один подход генерируется вся база данных, мы имеем минимальную высоту ЯПФ. Число ярусов в таком случае равно семи (как следствие из Рис. 1). Не нарушая общности <math>q \in {\mathbb N}: q \cdot size = \sqrt{r}</math>, где <math>size</math> - число процессов.
  
Параллелизм в алгоритме часто имеет естественную иерархическую структуру. Этот факт очень полезен на практике, и его необходимо отразить в описании. Как правило, подобная иерархическая структура параллелизма хорошо отражается в последовательной реализации алгоритма через циклический профиль результирующей программы (конечно же, с учетом графа вызовов), поэтому циклический профиль ([[#Описание схемы реализации последовательного алгоритма|п.1.5]]) вполне  может быть использован и для отражения ресурса параллелизма.
+
Анализируя ярусно-параллельную форма графа алгоритма, можно выделить:
 
+
* 2 яруса ширины <math>\sqrt{r}</math>,
Для описания ресурса параллелизма алгоритма (ресурса параллелизма информационного графа) необходимо указать ключевые параллельные ветви в терминах [[глоссарий#Конечный параллелизм|''конечного'']] и [[глоссарий#Массовый параллелизм|''массового'']] параллелизма. Далеко не всегда ресурс параллелизма выражается просто, например, через [[глоссарий#Кооодинатный параллелизм|''координатный параллелизм'']] или, что то же самое, через независимость итераций некоторых циклов (да-да-да, циклы - это понятие, возникающее лишь на этапе реализации, но здесь все так связано… В данном случае, координатный параллелизм означает, что информационно независимые вершины лежат на гиперплоскостях, перпендикулярных одной из координатных осей). С этой точки зрения, не менее важен и ресурс [[глоссарий#Скошенный параллелизм|''скошенного параллелизма'']]. В отличие от координатного параллелизма, скошенный параллелизм намного сложнее использовать на практике, но знать о нем необходимо, поскольку иногда других вариантов и не остается: нужно оценить потенциал алгоритма, и лишь после этого, взвесив все альтернативы, принимать решение о конкретной параллельной реализации. Хорошей иллюстрацией может служить алгоритм, структура которого показана на рис.2: координатного параллелизма нет, но есть параллелизм скошенный, использование которого снижает сложность алгоритма с <math>n\times m</math> в последовательном случае до <math>(n+m-1)</math> в параллельном варианте.
+
* 5 ярусов ширины 1.
 
+
Таким образом в терминах высоты ЯПФ сложность метода есть <math>O(1)</math>, в терминах ширины - <math>O(size)</math>
Рассмотрим алгоритмы, последовательная сложность которых уже оценивалась в [[#Последовательная сложность алгоритма|п.1.6]]. Параллельная сложность алгоритма суммирования элементов вектора сдваиванием равна <math>\log_2n</math>, причем число операций на каждом ярусе убывает с <math>n/2</math> до <math>1</math>. Параллельная сложность быстрого преобразования Фурье (базовый алгоритм Кули-Тьюки) для векторов с длиной, равной степени двойки - <math>\log_2n</math>. Параллельная сложность базового алгоритма разложения Холецкого (точечный вариант для плотной симметричной и положительно-определенной матрицы) это <math>n</math> шагов для вычислений квадратного корня, <math>(n-1)</math> шагов для операций деления и <math>(n-1)</math> шагов для операций умножения и сложения.
 
  
 
== Входные и выходные данные алгоритма ==
 
== Входные и выходные данные алгоритма ==
В данном разделе необходимо описать объем, структуру, особенности и свойства входных и выходных данных алгоритма: векторы, матрицы, скаляры, множества, плотные или разреженные структуры данных, их объем. Полезны предположения относительно диапазона значений или структуры, например, диагональное преобладание в структуре входных матриц, соотношение между размером матриц по отдельным размерностям, большое число матриц очень малой размерности, близость каких-то значений к машинному нулю, характер разреженности матриц и другие.
+
'''Входные данные:''' <br>
 +
*<math>G</math> - группа точек эллиптической кривой, представленная простым числом, коэффициентами уравнения кривой, порядком группы,
 +
*<math>Q</math> - образующий элемент указанной группы,
 +
*<math>P</math> - элемент, логарифм которого необходимо найти.
 +
'''Выходные данные:''' <br>
 +
*<math>n</math> - число такое, что <math>nP=Q</math>.
  
 
== Свойства алгоритма ==
 
== Свойства алгоритма ==
Описываются прочие свойства алгоритма, на которые имеет смысл обратить внимание на этапе реализации. Как и ранее, никакой привязки к конкретной программно-аппаратной платформе не предполагается, однако вопросы реализации в проекте AlgoWiki всегда превалируют, и необходимость обсуждения каких-либо свойств алгоритмов определяется именно этим.
 
 
Весьма полезным является ''соотношение последовательной и параллельной сложности'' алгоритма. Оба понятия мы рассматривали ранее, но здесь делается акцент на том выигрыше, который теоретически может дать параллельная реализация алгоритма. Не менее важно описать и те сложности, которые могут возникнуть в процессе получения параллельной версии алгоритма.
 
 
[[глоссарий#Вычислительная мощность|''Вычислительная мощность'']] алгоритма равна отношению числа операций к суммарному объему входных и выходных данных. Она показывает, сколько операций приходится на единицу переданных данных. Несмотря на простоту данного понятия, это значение исключительно полезно на практике: чем выше  вычислительная мощность, тем меньше накладных расходов вызывает перемещение данных для их обработки, например, на сопроцессоре, ускорителе или другом узле кластера. Например, вычислительная мощность скалярного произведения двух векторов равна всего лишь <math>1</math>, а вычислительная мощность алгоритма умножения двух квадратных матриц равна <math>2n/3</math>.
 
 
Вопрос первостепенной важности на последующем этапе реализации - это [[глоссарий#Устойчивость|''устойчивость'']] алгоритма. Все, что касается различных сторон этого понятия, в частности, оценки устойчивости, должно быть описано в данном разделе.
 
 
''Сбалансированность'' вычислительного процесса можно рассматривать с разных сторон. Здесь и сбалансированность типов операций, в частности, арифметических операций между собой (сложение, умножение, деление) или же арифметических операций по отношению к операциям обращения к памяти (чтение/запись). Здесь и сбалансированность операций между параллельными ветвями алгоритма. С одной стороны, балансировка нагрузки является необходимым условием эффективной реализации алгоритма. Вместе с этим, это очень непростая задача, и в описании должно быть отмечено явно, насколько алгоритм обладает этой особенностью. Если обеспечение сбалансированности не очевидно, желательно описать возможные пути решения этой задачи.
 
 
На практике важна [[глоссарий#Детерминированность|''детерминированность алгоритмов'']], под которой будем понимать постоянство структуры вычислительного процесса. С этой точки зрения, классическое умножение плотных матриц является детерминированным алгоритмом, поскольку его структура при фиксированном размере матриц никак не зависит от элементов входных матриц. Умножение разреженных матриц, когда матрица хранятся в одном из специальных форматов, свойством детерминированности уже не обладает: его свойства, например, степень локальности данных зависит от структуры разреженности входных матриц. Итерационный алгоритм с выходом по точности также не является детерминированным: число итераций, а значит и число операций, меняется в зависимости от входных данных. В этом же ряду стоит использование датчиков случайных чисел, меняющих вычислительный процесс для различных запусков программы. Причина выделения свойства детерминированности понятна: работать с детерминированным алгоритмом проще, поскольку один раз найденная структура и будет определять качество его реализации. Если детерминированность нарушается, то это должно быть здесь описано вместе с описанием того, как недетерминированность влияет на структуру вычислительного процесса.
 
 
Серьезной причиной недетерминированности работы параллельных программ является изменение порядка выполнения ассоциативных операций. Типичный пример - это использование глобальных MPI-операций на множестве параллельных процессов, например, суммирование элементов распределенного массива. Система времени исполнения MPI сама выбирает порядок выполнения операций, предполагая выполнение свойства ассоциативности, из-за чего ошибки округления меняются от запуска программы к запуску, внося изменения в конечный результат ее работы. Это очень серьезная проблема, которая сегодня встречается часто на системах с массовым параллелизмом и определяет отсутствие повторяемости результатов работы параллельных программ. Данная особенность характерна для [[#ЧАСТЬ. Программная реализация алгоритмов|второй части AlgoWiki]], посвященной реализации алгоритмов, но вопрос очень важный, и соответствующие соображения, по возможности, должны быть отмечены и здесь.
 
 
Заметим, что, в некоторых случаях, недетерминированность в структуре алгоритмов можно "убрать" введением соответствующих макроопераций, после чего структура становится не только детерминированной, но и более понятной для восприятия. Подобное действие также следует отразить в данном разделе.
 
 
[[глоссарий#Степень исхода|''Степень исхода вершины информационного графа'']] показывает, в скольких операциях ее результат будет использоваться в качестве аргумента. Если степень исхода вершины велика, то на этапе реализации алгоритма нужно позаботиться об эффективном доступе к результату ее работы. В этом смысле, особый интерес представляют рассылки данных, когда результат выполнения одной операции используется во многих других вершинах графа, причем число таких вершин растет с увеличением значения внешних переменных.
 
 
''"Длинные" дуги в информационном графе'' <ref name="VVVVVV" /> говорят о потенциальных сложностях с размещением данных в иерархии памяти компьютера на этапе выполнения программы. С одной стороны, длина дуги зависит от выбора конкретной системы координат, в которой расположены вершины графа, а потому в другой системе координат они попросту могут исчезнуть (но не появится ли одновременно других длинных дуг?). А с другой стороны, вне зависимости от системы координат их присутствие может быть сигналом о необходимости длительного хранения данных на определенном уровне иерархии, что накладывает дополнительные ограничения на эффективность реализации алгоритма. Одной из причин возникновения длинных дуг являются рассылки скалярных величин по всем итерациям какого-либо цикла: в таком виде длинные дуги не вызывают каких-либо серьезных проблем на практике.
 
 
Для проектирования специализированных процессоров или реализации алгоритма на ПЛИС представляют интерес ''компактные укладки информационного графа'' <ref name="VVVVVV" />, которые также имеет смысл привести в данном разделе.
 
  
 
= Программная реализация алгоритма =
 
= Программная реализация алгоритма =
Вторая часть описания алгоритмов в рамках AlgoWiki рассматривает все составные части процесса их реализации. Рассматривается как последовательная реализация алгоритма, так и параллельная. Описывается взаимосвязь свойств программ, реализующих алгоритм, и особенностей архитектуры компьютера, на которой они выполняются. Исследуется работа с памятью, локальность данных и вычислений, описывается масштабируемость и эффективность параллельных программ, производительность компьютеров, достигаемая на данной программе. Обсуждаются особенности реализации для разных классов архитектур компьютеров, приводятся ссылки на реализации в существующих библиотеках.
 
 
 
== Особенности реализации последовательного алгоритма ==
 
== Особенности реализации последовательного алгоритма ==
Здесь описываются особенности и варианты реализации алгоритма в виде последовательной программы, которые влияют на [[глоссарий#Эффективность реализации|''эффективность ее выполнения'']]. В частности, в данном разделе имеет смысл ''сказать о существовании блочных вариантов реализации алгоритма'', дополнительно описав потенциальные преимущества или недостатки, сопровождающие такую реализацию. Важный вопрос - это ''возможные варианты организации работы с данными'', варианты структур данных, наборов временных массивов и другие подобные вопросы. Для различных вариантов реализации следует оценить доступный ресурс параллелизма и объем требуемой памяти.
 
 
Важным нюансом является ''описание необходимой разрядности выполнения операций алгоритма'' (точности). На практике часто нет никакой необходимости выполнять все арифметические операции над вещественными числами с двойной точностью, т.к. это не влияет ни на устойчивость алгоритма, ни на точность получаемого результата. В таком случае, если значительную часть операций можно выполнять над типом float, и лишь в некоторых фрагментах необходим переход к типу double, это обязательно нужно отметить. Это прямое указание не только на правильную реализацию с точки зрения устойчивости по отношению к ошибкам округления, но и на более эффективную.
 
 
Опираясь на информацию из [[#Описание ресурса параллелизма алгоритма|п.1.8]] (описание ресурса параллелизма алгоритма), при описании последовательной версии стоит сказать про возможности [[глоссарий#Эквивалентное преобразование|''эквивалентного преобразования программ'']], реализующих данных алгоритм. В дальнейшем, это даст возможность простого использования доступного параллелизма или же просто покажет, как использовать присущий алгоритму параллелизм на практике. Например, параллелизм на уровне итераций самого внутреннего цикла обычно используется для векторизации. Однако, в некоторых случаях этот параллелизм можно поднять "вверх" по структуре вложенности объемлющих циклов, что делает возможной и эффективную реализацию данного алгоритма на многоядерных SMP-компьютерах.
 
 
С этой же точки зрения, в данном разделе весьма полезны соображения по реализации алгоритма на различных параллельных вычислительных платформах. Высокопроизводительные кластеры, многоядерные узлы, возможности для векторизации или использования ускорителей - особенности этих архитектур не только опираются на разные свойства алгоритмов, но и по-разному должны быть выражены в программах, что также желательно описать в данном разделе.
 
 
 
== Локальность данных и вычислений ==
 
== Локальность данных и вычислений ==
Вопросы локальности данных и вычислений не часто изучаются на практике, но именно локальность определяет эффективность выполнения программ на современных вычислительных платформах <ref>Воеводин В.В., Воеводин Вад.В. Спасительная локальность суперкомпьютеров //Открытые системы. - 2013. - № 9. - С. 12-15.</ref><ref>Воеводин Вад.В., Швец П. Метод покрытий для оценки локальности использования данных в программах // Вестник УГАТУ. — 2014. — Т. 18, № 1(62). — С. 224–229.</ref>. В данном разделе приводятся оценки степени [[глоссарий#Локальность использования данных|''локальности данных'']] и [[глоссарий#Локальность вычислений|вычислений]] в программе, причем рассматривается как [[глоссарий#Временная локальность|''временна́я'']], так и [[глоссарий#Пространственная локальность|''пространственная'']] локальность. Отмечаются позитивные и негативные факты, связанные с локальностью, какие ситуации и при каких условиях могут возникать. Исследуется, как меняется локальность при переходе от последовательной реализации к параллельной. Выделяются ключевые шаблоны взаимодействия программы, реализующей описываемый алгоритм, с памятью. Отмечается возможная взаимосвязь между используемыми конструкциями языков программирования и степенью локальности, которыми обладают результирующие программы.
 
 
Отдельно приводятся профили взаимодействия с памятью для вычислительных ядер и ключевых фрагментов. Если из-за большого числа обращений по общему профилю сложно понять реальную специфику взаимодействия программ с памятью, то проводится последовательная детализация и приводится серия профилей более мелкого масштаба.
 
 
На рис.3 и рис.4 показаны профили обращения в память для программ, реализующих разложение Холецкого и быстрое преобразование Фурье, по которым хорошо видна разница свойств локальности у данных алгоритмов.
 
 
[[file:Cholesky_locality1.jpg|thumb|center|700px|Рис.3 Реализация метода Холецкого. Общий профиль обращений в память]]
 
[[file:fft 1.PNG|thumb|center|700px|Рис.4 Нерекурсивная реализация БПФ для степеней двойки. Общий профиль обращений в память]]
 
 
 
== Возможные способы и особенности параллельной реализации алгоритма ==
 
== Возможные способы и особенности параллельной реализации алгоритма ==
Раздел довольно обширный, в котором должны быть описаны основные факты и положения, формирующие параллельную программу. К их числу можно отнести:
+
== Масштабируемость алгоритма и его реализации ==
* представленный иерархически ресурс параллелизма, опирающийся на структуру циклических конструкций и на граф вызовов программы;
+
[[file:dlog_perfomance.png|thumb|right|500px|Рис. 2. Масштабируемость метода встречи посередине в решении задачи дискретного логарифмирования в группе точек эллиптической кривой.]]
* комбинацию (иерархию) массового параллелизма и параллелизма конечного;
 
* возможные способы распределения операций между процессами/нитями;
 
* возможные способы распределения данных;
 
* оценку количества операций, объёма и числа пересылок данных (как общего числа, так и в пересчёте на каждый параллельный процесс);
 
 
 
и другие.
 
 
 
В этом же разделе должны быть даны рекомендации или сделаны комментарии относительно реализации алгоритма с помощью различных технологий параллельного программирования: MPI, OpenMP, CUDA или использования директив векторизации.
 
  
== Масштабируемость алгоритма и его реализации ==
+
=== Масштабируемость алгоритма ===
Задача данного раздела - показать пределы [[глоссарий#Масштабируемость|''масштабируемости'']] алгоритма на различных платформах. Очень важный раздел. Нужно выделить, описать и оценить влияние точек барьерной синхронизации, глобальных операций, операций сборки/разборки данных, привести оценки или провести исследование [[глоссарий#Сильная масштабируемость|''сильной'']] и [[глоссарий#Слабая масштабируемость|''слабой'']] масштабируемости алгоритма и его реализаций.
+
В параллельном варианте описываемого метода, ось ординат разбивается между процессами на полусегменты равной длины, и каждому процессу, в зависимости от его номера, отводится свой полусегмент. Каждый процесс на этапе генерации базы данных, состоящей из точек на эллиптической кривой, определяет, какому процессу соответствует данная точка, и после того, как было создано некоторое количество точек, происходит пересылка каждого процесса с каждым. Взаимодействие осуществляется по принципу кругового турнира. <br>
 +
На этапе поиска коллизии происходит обмен точками по такому же принципу так, чтобы каждый процесс искал совпадение среди точек своего полусегмента.
  
Масштабируемость алгоритма определяет свойства самого алгоритма безотносительно конкретных особенностей используемого компьютера. Она показывает, насколько параллельные свойства алгоритма позволяют использовать возможности растущего числа процессорных элементов. Масштабируемость параллельных программ определяется как относительно конкретного компьютера, так и относительно используемой технологии программирования, и в этом случае она показывает, насколько может вырасти реальная производительность данного компьютера на данной программе, записанной с помощью данной технологии программирования, при использовании бóльших вычислительных ресурсов (ядер, процессоров, вычислительных узлов).
+
=== Масштабируемость реализации ===
 +
Проведем исследование масштабируемости параллельной реализации алгоритма на суперкомпьютере "Ломоносов" Суперкомпьютерного комплекса Московского университета.<br>
 +
Используемый компилятор: icc version 15.0.0 (gcc version 4.4.7 compatibility). При компиляции используется оптимизация 2 уровня (флаг -O2).<br>
 +
Предложенная реализация написана на языке C++ с использованием библиотек STL, OpenSSL 1.1.1-dev и OpenMPI 1.10.2.
  
Ключевой момент данного раздела заключается в том, чтобы показать ''реальные параметры масштабируемости программы'' для данного алгоритма на различных вычислительных платформах в зависимости от числа процессоров и размера задачи <ref>Антонов А.С., Теплов А.М. О практической сложности понятия масштабируемости параллельных программ// Высокопроизводительные параллельные вычисления на кластерных системах (HPC 2014): Материалы XIV Международной конференции -Пермь: Издательство ПНИПУ, 2014. С. 20-27.</ref>. При этом важно подобрать такое соотношение между числом процессоров и размером задачи, чтобы отразить все характерные точки в поведении параллельной программы, в частности, достижение максимальной производительности, а также тонкие эффекты, возникающие, например, из-за блочной структуры алгоритма или иерархии памяти.
+
Параметризация задачи заключалась в указании:
 +
*числа задействованных процессов (2, 4, 8, 16, 32, 64, 128),
 +
*количества бит, необходимых для представления простого числа - параметра исследуемой группы (16, 20, 24, 28, 32, 36, 40).
 +
Каждое простое число генерировалось случайно и один раз. Для каждого простого числа коэффициенты эллиптической кривой генерировались случайно и один раз. При каждом запуске использовался один и тот же образующий элемент, и каждый раз логарифм считался для фиксированной точки. Количество точек, которые генерировались за одну итерацию, было выбрано так, чтобы 128 процессов завершили этап генерации базы данных точек за один подход.  
  
На рис.5. показана масштабируемость классического алгоритма умножения плотных матриц в зависимости от числа процессоров и размера задачи. На графике хорошо видны области с большей производительностью, отвечающие уровням кэш-памяти.
+
На графике видно, что для групп меньшей мощности для достижения оптимального времени работы достаточно меньшего количества процессов. Для групп малого размера, накладные расходы, возникающие при синхронизации процессов, ведут к ухудшению производительности. По мере увеличения порядка группы, и увеличения тем самым количества точек для сортировки и поиска, увеличивается и количество процессов, необходимых для достижения оптимального времени работы алгоритма. Эта "диагональ" явно отображена в графической интерпретации проведенных экспериментов.
[[file:Масштабируемость перемножения матриц производительность.png|thumb|center|700px|Рис.5 Масштабируемость классического алгоритма умножения плотных матриц в зависимости от числа процессоров и размера задачи]]
 
  
 
== Динамические характеристики и эффективность реализации алгоритма ==
 
== Динамические характеристики и эффективность реализации алгоритма ==
Это объемный раздел AlgoWiki, поскольку оценка эффективности реализации алгоритма требует комплексного подхода <ref>Никитенко Д.А. Комплексный анализ производительности суперкомпьютерных систем, основанный на данных системного мониторинга // Вычислительные методы и программирование. 2014. 15. 85–97.</ref>, предполагающего аккуратный анализ всех этапов от архитектуры компьютера до самого алгоритма. Основная задача данного раздела заключается в том, чтобы оценить степень эффективности параллельных программ, реализующих данный алгоритм на различных платформах, в зависимости от числа процессоров и размера задачи. Эффективность в данном разделе понимается широко: это и [[глоссарий#Эффективность распараллеливания|''эффективность распараллеливания'']] программы, это и [[глоссарий#Эффективность реализации|''эффективность реализации'']] программ по отношению к пиковым показателям работы вычислительных систем.
 
 
Помимо собственно показателей эффективности, нужно описать и все основные причины, из-за которых эффективность работы параллельной программы на конкретной вычислительной платформе не удается сделать выше. Это не самая простая задача, поскольку на данный момент нет общепринятой методики и соответствующего инструментария, с помощью которых подобный анализ можно было бы провести. Требуется оценить и описать эффективность работы с памятью (особенности профиля взаимодействия программы с памятью), эффективность использования заложенного в алгоритм ресурса параллелизма, эффективность использования коммуникационной сети (особенности коммуникационного профиля), эффективность операций ввода/вывода и т.п. Иногда достаточно интегральных характеристик по работе программы, в некоторых случаях полезно показать данные мониторинга нижнего уровня, например, по загрузке процессора, кэш-промахам, интенсивности использования сети Infiniband и т.п. Хорошее представление о работе параллельной MPI-программы дают данные трассировки, полученные, например, с помощью системы Scalasca.
 
 
 
== Выводы для классов архитектур ==
 
== Выводы для классов архитектур ==
В данный раздел должны быть включены рекомендации по реализации алгоритма для разных классов архитектур. Если архитектура какого-либо компьютера или платформы обладает специфическими особенностями, влияющими на эффективность реализации, то это здесь нужно отметить.
 
 
На практике это сделать можно по-разному: либо все свести в один текущий раздел, либо же соответствующие факты сразу включать в предшествующие разделы, где они обсуждаются и необходимы по смыслу. В некоторых случаях, имеет смысл делать отдельные варианты всей [[#ЧАСТЬ. Программная реализация алгоритмов|части II]] AlgoWiki применительно к отдельным классам архитектур, оставляя общей машинно-независимую [[#ЧАСТЬ. Свойства и структура алгоритмов|часть I]]. В любом случае, важно указать и позитивные, и негативные факты по отношению к конкретным классам. Можно говорить о возможных вариантах оптимизации или даже о "трюках" в написании программ, ориентированных на целевые классы архитектур.
 
 
 
== Существующие реализации алгоритма ==
 
== Существующие реализации алгоритма ==
Для многих пар алгоритм+компьютер уже созданы хорошие реализации, которыми можно и нужно пользоваться на практике. Данный раздел предназначен для того, чтобы дать ссылки на основные существующие последовательные и параллельные реализации алгоритма, доступные для использования уже сейчас. Указывается, является ли реализация коммерческой или свободной, под какой лицензией распространяется, приводится местоположение дистрибутива и имеющихся описаний. Если есть информация об особенностях, достоинствах и/или недостатках различных реализаций, то это также нужно здесь указать. Хорошими примерами реализации многих алгоритмов являются MKL, ScaLAPACK, PETSc, FFTW, ATLAS, Magma и другие подобные библиотеки.
+
В связи с тем, что данный метод имеет сугубо академический характер, широкоизвестных реализаций не существует. Главная проблема данного алгоритма заключается в том, что затраты по памяти составляют <math>\sqrt{|G|}</math>. В частности, если взять эллиптическую кривую наименьшего порядка из тех, что могли бы использоваться в приложениях, потребуется хранить в оперативной памяти вычислительного комплекса более чем терабайт данных.
  
 
= Литература =
 
= Литература =

Текущая версия на 01:26, 4 декабря 2017

Алгоритм: Применение метода встречи посередине в решении задачи дискретного логарифмирования в группе точек эллиптической кривой
Автор описания: Конюхов Сергей

Эллиптическая криптография — раздел криптографии, который изучает асимметричные криптосистемы, основанные на эллиптических кривых над конечными полями. Основное преимущество эллиптической криптографии заключается в том, что на сегодняшний день не известно существование субэкспоненциальных алгоритмов[1] решения задачи дискретного логарифмирования. Использование эллиптических кривых для создания криптосистем было независимо предложено Нилом Коблицем и Виктором Миллером в 1985 году.

Содержание

1 Свойства и структура алгоритма

Задача дискретного логарифмирования[2] в общем виде заключается в поиске решения [math]g^x=a[/math] в некоторой конечной абелевой группе [math]G[/math].

Мы же рассмотрим группу точек эллиптической кривой над полем [math]{\mathbb Z}_p[/math] характеристики [math]p \gt 3[/math]:

[math]E( {\mathbb Z}_p ) = {\mathcal O} \cup \{ (x, y) \in {\mathbb Z}_p^2 \enspace|\enspace y^2 \equiv x^3 + Ax + B \enspace (mod \thinspace p) \}[/math], где [math]A, B \in {\mathbb Z}_p[/math] - константы, удовлетворяющие условию [math]4A^3+27B^2 \ne 0 \enspace (mod \thinspace p)[/math].

В качестве группы [math]G[/math] возьмём циклическую подгруппу группы [math]E( {\mathbb Z}_p )[/math] порождённую элементом [math]Q[/math], то есть [math]G=\langle Q \rangle[/math].

Стоит отметить, что группа [math]G[/math] является аддитивной, и задачу DLOG стоит переформулировать: в уравнении [math]nQ=P[/math] требуется найти [math]n[/math].

1.1 Общее описание алгоритма

Метод "встречи посередине"[3] является вероятностным и основан на так называемом парадоксе дней рождений - для того, чтобы при выборке с возвратом из множества мощности [math]r[/math] получить совпадение двух элементов с достаточно большой вероятностью, требуется произвести [math]\sqrt{r}[/math] попыток.

Eсли мы найдем совпадение точек вида: [math]lQ = kP[/math], то мы можем получить решение задачи как [math]n=lk^{-1}\enspace (mod \thinspace r)[/math].

1.2 Математическое описание алгоритма

[math]G = \langle Q \rangle[/math], [math]|G| = r[/math] - циклическая подгруппа группы точек эллиптической кривой. Уравнение [math]nQ = P[/math].

Дано: [math]E, Q, P, r[/math] - эллиптическая кривая, образующая группы [math]G[/math], логарифмируемый элемент, порядок группы.

Найти: [math]n[/math] - искомый логарифм.

Алгоритм:

  1. Случайно выбрать [math]\sqrt{r}[/math] чисел [math]l_i \in {\mathbb Z}_r[/math] и сохранить точки вида [math]l_iQ[/math].
  2. Отсортировать полученные на предыдущем этапе точки по координате [math]x[/math].
  3. Для случайных [math]k_j \in {\mathbb Z}_r[/math] вычислить точки [math]k_jP[/math] и осуществить поиск на совпадение в сохранённом массиве.
  4. В случае успеха вычислить [math]n=l_ik_j^{-1}\enspace (mod \thinspace r)[/math]. В случае провала перейти к пункту 3.

1.3 Вычислительное ядро алгоритма

В описываемом алгоритме присутствует три вычислительных ядра: генерация базы данных, сортировка базы данных для дальнейшего поиска, генерация случайных точек - степеней изучаемой точки и поиск совпадений в созданной базе данных.

  1. Генерация базы данных.
    Выбирается некоторый "квант" - число точек - степеней образующей, которые будут генерироваться за одну итерацию. До тех пор пока не наберётся достаточное количество точек, генерируем "квант" случайных точек. Генерация точек осуществляется следующим образом: выбирается псевдослучайное число, после чего образующая умножается на него.
  2. Сортировка базы данных.
    Полученная база точек - степеней образующей сортируется по икс-координате (точка А больше точки Б, если икс-координата точки А больше икс-координаты точки Б). Алгоритм сортировки, например, быстрая сортировка.
  3. Генерация и поиск.
    Генерируется "квант" точек - степеней изучаемой точки. После чего производится поиск в базе данных точки, обладающую той же икс-координатой, что и выбранная. Поиск осуществляется, например, бинарным поиском.

1.4 Макроструктура алгоритма

Введем следующие макроопераций:

  • генерация случайной точки,
  • сравнение двух точек,
  • сортировка точек,
  • поиск точки в отсортированном массиве.

Генерация случайной точки осуществляется случайным выбором натурального числа из множества [math]\{1, \dots, r\}[/math] с последующим умножением на это число образующего элемента группы.
Для определения сортировки и поиска определим операцию сравнения двух точек следующим образом: [math]\forall P_1, P_2 \in G \quad (P_1, P_2) \in Less \iff (P_1)_x \lt (P_2)_x[/math].
Под операцией сортировки будем понимать быструю сортировку, под операцией поиска - бинарный поиск. Каждая из операций использует описанную операцию сравнения.

Макроструктура алгоритма представляет из себя последовательное выполнения операций генерации, сравнения и поиска точек.

1.5 Схема реализации последовательного алгоритма

В качестве описания схемы реализации последовательного алгоритма можно привести данный фрагмент программы на языке С++.

int main( int argc, char** argv )
{
     // Определяем группу, исследуемый элемент,
     // а так же объем базы данных точек и количество точек,
     // генерируемых за один раз, цель исследования.
     DLogConfig config( "config.txt" );
     DLogSolver solver( &argc, &argv, config );

     do
     {
          // Сгенерировать некоторое количество точек - степеней образующей.
          solver.GenerateDatabase();
     }
     // До тех пор, пока нужное количество точек не будет создано.
     while( !solver.DatabaseFull() );
     // Сортировка полученной базы данных.
     solver.PrepareDatabase();
     
     do
     {
          // Сгенерировать некоторое количество точек - степеней исследуемого элемента.
          solver.GeneratePoints();
          // Поиск совпадений в базе данных.
          solver.LookThrowDatabase();
     }
     // Повторять до тех пор, пока совпадение не будет найдено.
     while( !solver.SolutionFound() );
     // Вывести ответ.
     solver.PrintAnswer();

     return EXIT_SUCCESS;
}

1.6 Последовательная сложность алгоритма

Будем считать генерацию точки за элементарную операцию. Сложность этапа генерации базы точек есть [math]\sqrt{r}[/math], так как точки хранятся в связном списке, добавление составляет константную сложность. Сортировка производится алгоритмом Q-Sort, тем самым будет выполнено порядка [math]\sqrt{r}\log r[/math] операций. Поиск по созданной базе точек осуществляется алгоритмом бинарного поиска, таким образом, проверка на вхождение нужного элемента производится за [math]\log r[/math] операций. Вычисление логарифма по найденной паре выполняется за константу.

Таким образом:

  • временная сложность алгоритма есть [math]O(\sqrt{r}\log r)[/math],
  • оценка используемой памяти есть [math]O(\sqrt{r})[/math],

где [math]r[/math] - это порядок группы [math]G[/math] точек эллиптической кривой.

1.7 Информационный граф

Рис.1. Информационная структура алгоритма дискретного логарифмирования методом встречи посередине.

На рисунке 1 можно видеть информационный граф алгоритма дискретного логарифмирования методом встречи посередине. Так, зеленым вершинам соответствует операция случайного выбора точки из группы. Каждая точка сохраняется в один из связных списков, группировка происходит на основании икс-координаты точки. Вершине, отмеченной розовым цветом, соответствует подсчёт общего количества точек. После этого, каждая группа точек по отдельности сортируется. Данному процессу соответствуют вершины, обозначенные красным цветом. Следующим этапом мы генерируем еще одно множество точек, и раздельно, в соответствии с икс-координатой, их сохраняем. Аналогично, этим операциям соответствуют зеленые и синие вершины (справа). В каждой группе из выбранных точек ищется вхождение соответствующего элемента в отсортированном массиве. Желтой вершине соответствует операция, результатом которой есть ответ на вопрос, была ли найдена коллизия.

1.8 Ресурс параллелизма алгоритма

В случае, когда квант точек, генерируемых за одну итерацию, достаточно велик, и за один подход генерируется вся база данных, мы имеем минимальную высоту ЯПФ. Число ярусов в таком случае равно семи (как следствие из Рис. 1). Не нарушая общности [math]q \in {\mathbb N}: q \cdot size = \sqrt{r}[/math], где [math]size[/math] - число процессов.

Анализируя ярусно-параллельную форма графа алгоритма, можно выделить:

  • 2 яруса ширины [math]\sqrt{r}[/math],
  • 5 ярусов ширины 1.

Таким образом в терминах высоты ЯПФ сложность метода есть [math]O(1)[/math], в терминах ширины - [math]O(size)[/math]

1.9 Входные и выходные данные алгоритма

Входные данные:

  • [math]G[/math] - группа точек эллиптической кривой, представленная простым числом, коэффициентами уравнения кривой, порядком группы,
  • [math]Q[/math] - образующий элемент указанной группы,
  • [math]P[/math] - элемент, логарифм которого необходимо найти.

Выходные данные:

  • [math]n[/math] - число такое, что [math]nP=Q[/math].

1.10 Свойства алгоритма

2 Программная реализация алгоритма

2.1 Особенности реализации последовательного алгоритма

2.2 Локальность данных и вычислений

2.3 Возможные способы и особенности параллельной реализации алгоритма

2.4 Масштабируемость алгоритма и его реализации

Рис. 2. Масштабируемость метода встречи посередине в решении задачи дискретного логарифмирования в группе точек эллиптической кривой.

2.4.1 Масштабируемость алгоритма

В параллельном варианте описываемого метода, ось ординат разбивается между процессами на полусегменты равной длины, и каждому процессу, в зависимости от его номера, отводится свой полусегмент. Каждый процесс на этапе генерации базы данных, состоящей из точек на эллиптической кривой, определяет, какому процессу соответствует данная точка, и после того, как было создано некоторое количество точек, происходит пересылка каждого процесса с каждым. Взаимодействие осуществляется по принципу кругового турнира.
На этапе поиска коллизии происходит обмен точками по такому же принципу так, чтобы каждый процесс искал совпадение среди точек своего полусегмента.

2.4.2 Масштабируемость реализации

Проведем исследование масштабируемости параллельной реализации алгоритма на суперкомпьютере "Ломоносов" Суперкомпьютерного комплекса Московского университета.
Используемый компилятор: icc version 15.0.0 (gcc version 4.4.7 compatibility). При компиляции используется оптимизация 2 уровня (флаг -O2).
Предложенная реализация написана на языке C++ с использованием библиотек STL, OpenSSL 1.1.1-dev и OpenMPI 1.10.2.

Параметризация задачи заключалась в указании:

  • числа задействованных процессов (2, 4, 8, 16, 32, 64, 128),
  • количества бит, необходимых для представления простого числа - параметра исследуемой группы (16, 20, 24, 28, 32, 36, 40).

Каждое простое число генерировалось случайно и один раз. Для каждого простого числа коэффициенты эллиптической кривой генерировались случайно и один раз. При каждом запуске использовался один и тот же образующий элемент, и каждый раз логарифм считался для фиксированной точки. Количество точек, которые генерировались за одну итерацию, было выбрано так, чтобы 128 процессов завершили этап генерации базы данных точек за один подход.

На графике видно, что для групп меньшей мощности для достижения оптимального времени работы достаточно меньшего количества процессов. Для групп малого размера, накладные расходы, возникающие при синхронизации процессов, ведут к ухудшению производительности. По мере увеличения порядка группы, и увеличения тем самым количества точек для сортировки и поиска, увеличивается и количество процессов, необходимых для достижения оптимального времени работы алгоритма. Эта "диагональ" явно отображена в графической интерпретации проведенных экспериментов.

2.5 Динамические характеристики и эффективность реализации алгоритма

2.6 Выводы для классов архитектур

2.7 Существующие реализации алгоритма

В связи с тем, что данный метод имеет сугубо академический характер, широкоизвестных реализаций не существует. Главная проблема данного алгоритма заключается в том, что затраты по памяти составляют [math]\sqrt{|G|}[/math]. В частности, если взять эллиптическую кривую наименьшего порядка из тех, что могли бы использоваться в приложениях, потребуется хранить в оперативной памяти вычислительного комплекса более чем терабайт данных.

3 Литература

  1. Василенко О.Н. Теоретико-числовые алгоритмы в криптографии. Изд. 2-е. доп. - М.: МЦНМО, 2006. - 336 с.
  2. Применко Э.А. Алгебраические основы криптографии: Учебное пособие. Изд. 2-е, испр. - М.: ЛЕНАНД, 2015. - 288 с.
  3. Бабенко Л.К., Ищукова Е.А., Сидоров И.Д. Параллельные алгоритмы для решения задач защиты информации. - М.: Горячая линия - Телеком, 2014. - 304 с.