Logarithme discret dans les corps finis : NFS Spécial et Multiple

Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Logarithme discret dans les corps finis :
NFS Spécial et Multiple.
Moyennes et grandes caractéristiques.
Cécile Pierrot
Laboratoire d’Informatique de Paris 6
Institut Mathématique de Jussieu & INRIA
UPMC, Paris, France
Financée par : DGA/CNRS
Journées C2 2014, Les Sept Laux
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Le Problème du Logarithme Discret
Algorithmes par Calcul d’Indice
Number Field Sieve (NFS)
Le Problème du Logarithme Discret (DLP)
Groupe multiplicatif G engendré par g :
résoudre le problème du logarithme discret dans G,
c’est inverser la fonction x 7→ g x
Un problème difficile en général
(et considéré comme tel en cryptographie)
Deux familles d’algorithmes :
Algorithmes généraux
Algorithmes spécifiques
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Le Problème du Logarithme Discret
Algorithmes par Calcul d’Indice
Number Field Sieve (NFS)
Calcul d’Indice
NFS appartient à cette famille
Phase de Crible
→ Crée de nombreuses relations multiplicatives creuses
entre certains éléments spécifiques (la base de lissité)
Y
(gi )ei =
0
(gi0 )ei
Y
→ Donc de nombreuses équations linéaires
Phase d’Algèbre Linéaire
→ Retrouve les log discrets des éléments de la base de lissité
Phase de Logarithme Individuel
→ Retrouve le log discret d’un élément arbitraire
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Le Problème du Logarithme Discret
Algorithmes par Calcul d’Indice
Number Field Sieve (NFS)
Préliminaires à la Phase de Crible
Comment obtenir des relations ?
E
g2
g1
E1
E2
h1
h2
G
Pour tout x appartenant à E , nous avons : h1 (g1 (x )) = h2 (g2 (x )).
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Le Problème du Logarithme Discret
Algorithmes par Calcul d’Indice
Number Field Sieve (NFS)
Préliminaires à la Phase de Crible
Comment obtenir des relations ?
E
g2
g1
E1
E2
h1
h2
G
Pour tout x appartenant à E , nous avons : h1 (g1 (x )) = h2 (g2 (x )).
"Bonnes" relations = écriture via les éléments de la base de lissité
uniquement.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Le Problème du Logarithme Discret
Algorithmes par Calcul d’Indice
Number Field Sieve (NFS)
Crible par Corps de Nombres / Number Field Sieve (NFS)
Résout le DLP pour (tous) les corps finis Fp n
de caractéristiques moyennes ou grandes.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Le Problème du Logarithme Discret
Algorithmes par Calcul d’Indice
Number Field Sieve (NFS)
Crible par Corps de Nombres / Number Field Sieve (NFS)
Résout le DLP pour (tous) les corps finis Fp n
de caractéristiques moyennes ou grandes.
Préliminaires :
Trouver deux polynômes f1 et f2 de pgcd irréductible
et de degré n modulo p.
Définit Fp n comme le plus petit corps où les deux polynômes
ont une racine commune.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Le Problème du Logarithme Discret
Algorithmes par Calcul d’Indice
Number Field Sieve (NFS)
Diagramme Commutatif
Avec m une racine de ces polynômes dans Fp n :
Z [X ]
X 7→ θ2
X 7→ θ1
Q [X ] /(f1 (X )) ≈ Q(θ1 )
Q(θ2 ) ≈ Q [X ] /(f2 (X ))
θ1 7→ m
θ2 7→ m
Fp n
Base de lissité : objets de normes (dans les corps de nombres) plus
petites qu’une certaine borne de lissité B.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Le Problème du Logarithme Discret
Algorithmes par Calcul d’Indice
Number Field Sieve (NFS)
Complexités des Algorithmes par Calcul d’Indice
Notation : LQ (α, c) = exp c(log Q)α (log log Q)1−α
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Le Problème du Logarithme Discret
Algorithmes par Calcul d’Indice
Number Field Sieve (NFS)
Complexités des Algorithmes par Calcul d’Indice
Notation : LQ (α, c) = exp c(log Q)α (log log Q)1−α
Complexités
Dans FQ de caractéristique p = LQ (lp , c) :
LQ
1
3,
128
9
1/3 LQ
LQ (α + o(1))
when p = LQ (α)
0
petit p
LQ
1
3
1
3
1
3,
64
9
1/3 moyen p
Quasi-Polynomial FFS
Cécile Pierrot
2
3
grand p
NFS
Special and Multiple Number Field Sieve
1 lp
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
L’algorithme
Complexités asymptotiques
The Multiple Number Field Sieve,
Co-écrit avec Razvan Barbulescu.
Résout le DLP pour tous les corps finis Fp n de caractéristiques
moyennes et grandes.
The Special Number Field Sieve,
Co-écrit avec Antoine Joux, publié à Pairing 2013.
Résout le DLP pour certains les corps finis de caractéristiques
moyennes et grandes.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
L’algorithme
Complexités asymptotiques
Idée qui provient de la factorisation d’entiers [Cop93] et du
DLP dans les corps premiers [Mat03].
Avec m une racine commune de f1 , . . . , fV dans Fp n :
Z [X ]
X 7→ θi
Q (θ1 )
Q (θ2 )
Q (θi )
Q (θV −1 )
Q (θV )
θi 7→ m
Fp n
Choix des polynômes f1 et f2 avec une racine commune m
dans Fp n ⇒ combinaison linéaire ⇒ fi = αf1 + βf2 .
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
L’algorithme
Complexités asymptotiques
Moyenne VS Grande Caractéristique
Moyenne Caractéristique :
Sélection polynomiale : f1 et f2 ont même degrés, même tailles
de coeffs. ⇒ même normes dans tous les Q(θi ).
Crible : on conserve les polynômes de hauts degrés qui
donnent des normes inférieures à B dans (au moins) une paire
de corps de nombres.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
L’algorithme
Complexités asymptotiques
Moyenne VS Grande Caractéristique
Grande Caractéristique :
Sélection polynomiale : f1 et f2 même tailles de coeffs mais
deg f2 > deg f1 ⇒ normes plus grandes dans Q(θ2 ) . . . Q(θV ).
Crible : on conserve les polynômes de degré 1 qui donnent une
norme inférieure à B dans le premier corps de hombre et une
norme inférieure à B 0 dans (au moins) l’un des autres corps de
nombres.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
L’algorithme
Complexités asymptotiques
Complexités asymptotiques : NFS
2nde cste de la complexité
LQ
1
3,
128
9
1/3 (128/9)1/3 ≈ 2.42
LQ
LQ
1
3
FFS
1
3
1
3,
64
9
1/3 (64/9)1/3 ≈ 1.92
moyen p
2
3
grand p
1 lp
NFS
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
L’algorithme
Complexités asymptotiques
Complexités asymptotiques : NFS et MNFS
1
3,
2nde cste de la complexité
LQ
128
9
1/3 (128/9)1/3 ≈ 2.42
(213 /36 )1/3 ≈ 2.24
MNFS
LQ
1
3,
13 1/3
2
36
LQ
LQ
LQ
1
3
FFS
1
3
1
3,
1
,
3
64
9
1/3 √
92+26 13
27
1/3
(64/9)1/3 ≈ 1.92
√
(92 + 26 13)/27))1/3 ≈ 1.90
moyen p
2
3
grand p
1 lp
NFS
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
L’algorithme
Complexités asymptotiques
Complexités asymptotiques : NFS et MNFS
1
3,
2nde cste de la complexité
LQ
128
9
1/3 (128/9)1/3 ≈ 2.42
?
(213 /36 )1/3 ≈ 2.24
MNFS
LQ
1
3,
13 1/3
2
36
LQ
LQ
LQ
1
3
FFS
1
3
1
3,
1
,
3
64
9
1/3 √
92+26 13
27
1/3
(64/9)1/3 ≈ 1.92
√
(92 + 26 13)/27))1/3 ≈ 1.90
moyen p
2
3
grand p
1 lp
NFS
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
L’algorithme
Complexités asymptotiques
Complexités asymptotiques : NFS et MNFS
1
3,
2nde cste de la complexité
LQ
128
9
1/3 (128/9)1/3 ≈ 2.42
(213 /36 )1/3 ≈ 2.24
MNFS
LQ
1
3,
13 1/3
2
36
LQ
LQ
LQ
1
3
FFS
1
3
1
3,
1
,
3
64
9
1/3 √
92+26 13
27
1/3
(64/9)1/3 ≈ 1.92
√
(92 + 26 13)/27))1/3 ≈ 1.90
moyen p
2
3
grand p
1 lp
NFS
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Corps finis de caractéristique creuse
The Special Number Field Sieve in Fp n
Application to Pairing-Friendly Constructions.
Résout le DLP pour (certains) corps finis Fp n
de caractéristique moyenne à grande.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Corps finis de caractéristique creuse
The Special Number Field Sieve in Fp n
Application to Pairing-Friendly Constructions.
Résout le DLP pour (certains) corps finis Fp n
de caractéristique moyenne à grande.
Certains ? ⇒ meilleurs polynômes lorsque p est spécial.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Corps finis de caractéristique creuse
The Special Number Field Sieve in Fp n
Application to Pairing-Friendly Constructions.
Résout le DLP pour (certains) corps finis Fp n
de caractéristique moyenne à grande.
Certains ? ⇒ meilleurs polynômes lorsque p est spécial.
Dès lors que p = P(u)
où P a petit degré et petits coeffs
u petit (en comparaison avec p) ⇒ représentation creuse.
Application aux corps finis liés aux couplages (MNT ou
courbes de Barreto-Naehrig...)
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Choix des Polynômes
Paramètres qui régissent la complexité de NFS :
Degré des polynômes sur lesquels on crible.
Degré des polynômes f1 et f2 et taille de leurs coefficients.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Choix des Polynômes
Paramètres qui régissent la complexité de NFS :
Degré des polynômes sur lesquels on crible.
Degré des polynômes f1 et f2 et taille de leurs coefficients.
Nouvelle construction (SNFS) :
Construction unique que p soit moyen ou grand.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Choix des Polynômes
Paramètres qui régissent la complexité de NFS :
Degré des polynômes sur lesquels on crible.
Degré des polynômes f1 et f2 et taille de leurs coefficients.
Nouvelle construction (SNFS) :
Construction unique que p soit moyen ou grand.
f1 (x ) = h(x ) − u avec h de degré n et à petits coeffs
tel que f1 soit irréductible sur Fp .
f2 (x ) = P(h(x )) de degré n · deg(P) et à petits coeffs
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Choix des Polynômes
Paramètres qui régissent la complexité de NFS :
Degré des polynômes sur lesquels on crible.
Degré des polynômes f1 et f2 et taille de leurs coefficients.
Nouvelle construction (SNFS) :
Construction unique que p soit moyen ou grand.
f1 (x ) = h(x ) − u avec h de degré n et à petits coeffs
tel que f1 soit irréductible sur Fp .
f2 (x ) = P(h(x )) de degré n · deg(P) et à petits coeffs
f2 (X ) = P(f1 (X ) + u) ≡ P(u) = p,
où ≡ représente l’équivalence modf1 (X ).
⇒ pgcd(f1 , f2 ) est de degré n et irréductible sur Fp .
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Complexités asymptotiques : NFS et MNFS
1
3,
2nde cste de la complexité
LQ
128
9
1/3 (128/9)1/3 ≈ 2.42
(213 /36 )1/3 ≈ 2.24
MNFS
LQ
1
3,
213
36
1/3 LQ
LQ
LQ
1
3
FFS
1
3
1
3,
1
,
3
64
9
1/3 √
92+26 13
27
1/3
(64/9)1/3 ≈ 1.92
√
(92 + 26 13)/27))1/3 ≈ 1.90
moyen p
2
3
grand p
1 lp
NFS
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Complexités asymptotiques : NFS, MNFS et SNFS
1
3,
2nde cste de la complexité
LQ
128
9
1/3 (128/9)1/3 ≈ 2.42
(213 /36 )1/3 ≈ 2.24
MNFS
LQ
LQ
LQ
1
3
FFS
1
3,
1
,
3
1
3
64
9
·
213
36
1/3 1
3,
LQ
SNFS
deg P+1 1/3
deg P
LQ
1
,
3
LQ
moyen p
2
3
64
9
1/3 √
92+26 13
27
1
,
3
1/3
(64/9)1/3 ≈ 1.92
√
(92 + 26 13)/27))1/3 ≈ 1.90
(32/9))1/3 ≈ 1.5
32 1/3
9
grand p
1 lp
NFS
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Merci pour votre attention !
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Cécile Pierrot
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
An Example ?
The Barreto-Naehrig family is optimal for a 128 bits security
level with :
P(x ) = 36x 4 + 36x 3 + 24x 2 + 6x + 1
R(x ) = 36x 4 + 36x 3 + 18x 2 + 6x + 1
Y (x ) = 6x 2 + 4x + 1
Choose u such that P(u) and R(u) are primes and of
convenient size. For u = b262.5 c + 54525 we have :
E : Y 2 = X3 + 3
over F65133050195992538051524258355272021564060086092744501919128354661463478504083 .
MOV Attack : E [R(u)] × E [R(u)] → Fp 12
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Consequences for pairing-friendly constructions ?
The best choice ? Balance DLPs !
√
⇒ p = Lp n (1/3, γ) ⇔ p = Lp n (1/3, 2γ)
Complexities in this boundary case ?
Before : Lp n (1/3, c 1/3 ) with c > 128/9
New analysis of NFS : c = 128/9
SNFS : c = (64/9) · (deg P + 1)/(deg P)
Consequences :
Correct a mistake about generation of pairing-friendly curves
(confusion Discrete Logs in high characteristic ≈ factorisation)
Confirm the current choices of parameters.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Extension of NFS in the boundary case p = Lp n (1/3)
We want to upper-bound the resultant :
| det Sylv(h, f )| 6 Θkf kdeg h khkdeg f with Θ = number of
permutations with non zero contributions in the sum.
Θ ? Let deg (h) = n and deg (f ) = t.
Before : Θ 6 nt t n . Kalkbrener gives : Θ 6
Because of the following inequalities :
n+t n
·
n+t−1
t
=
≤
≤
≤
n
n+t
n
n+t
n
n+t
n
n+t
n+t n
·
n+t−1
.
t
(n+t)! 2
n!t!
(n+1)···(n+t) 2
Q t!
(n+i) 2
t
i=1
i
2
Qt
n
+
1
i=1 i
we obtain that Θ 6 (n + 1)2t .
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Generic Algorithms
Pohlig-Hellman :
Q
Given a group G of order piei ,
reduces the DLP in G to DLPs in groups of prime order pi .
Baby Step/Giant Step, Pollard’s rho :
√
Baby Step/Giant Step : Let T = d pe
1
2
3
Create list a, a/g, · · · , a/g T −1
Create list 1, g T , g 2T , · · · , g T (T −1)
Find collision
Pollard’s rho : improved memoryless algorithm.
√
⇒ Discrete logs in G of prime order p in O( p) operations.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Choice of Polynomials
Previously (NFS) :
For medium p : f1 irreducible of degree n over Fp and
f2 = f1 + p
Small degrees but high coeffs for f2
For high p : based on lattice reduction of
(f1 , Xf1 , · · · , X d−n f1 , p, Xp, · · · , X d p)
⇒ f2 is a multiple of f1 modulo p but with smaller coeffs
f1 with not too small coeffs (otherwise we get trivial multiples)
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Some Obstructions Coming from Number Fields
and its Solutions
Q[θ]
How to go down ?
Fp n
No unique factorization over elements ⇒ we consider ideals in
the ring of integers of Q[θ] .
Ideals are not principal ⇒ we (virtually) raise them to the
power of the class number of Q[θ] .
Generators are not unique ⇒ Schirokauers maps.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Second constant of the Complexity in the LQ notation
SNFS Complexities for the boundary case p = Lp n (2/3, cp )
2.3
Lower bound
C
C2
C4
2.2
2.1
t→∞
2
Algorithm for larger p – see [JLSV06]
1.9
t=4
t=3
1.8
1.7
Sieving on Linear Polynomials
t=2
1.6
0
2
4
6
8
cp
Cécile Pierrot
Special and Multiple Number Field Sieve
10
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
SNFS Asymptotic Complexities
p = Lp n (lp , cp )
NFS
SNFS
medium
characteristic p
Lp n
1
,
3
Lp n
1
,
3
128
9
1/3 !
Lp n
1
,
3
64 deg P + 1
.
9
deg P
1/3 !
1/3 6 lp < 2/3
high
characteristic p
64
9
1/3 !
Lp n
1
,
3
32
9
1/3 !
2/3 < lp
∗. As soon as deg(P) =
2 log Q
1
n 3 log log Q
Cécile Pierrot
1/3
Special and Multiple Number Field Sieve
∗
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
Consequences for pairing-friendly constructions ?
The best choice ? Balance DLPs !
√
⇒ p = Lp n (1/3) ⇔ p = Lp n (1/3)
Complexities in this boundary case ?
Before : Lp n (1/3, c 1/3 ) with c > 128/9
New analysis of NFS : c = 128/9 ? ?
SNFS : c = (64/9) · (deg P + 1)/(deg P)
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
New analysis of NFS in the boundary case p = Lp n (1/3)
Until now [NFS by JLSV 2006] :
Computing the norm of h in Q[X ]/f (X ) is computing the
resultant :
P
QD
| det Sylv(h, f )| = | σj ∈SD sign(σj ) k=1 Sylvk,σj (k) |.
Can be upper bounded by :
Θkf kdeg h khkdeg f
with Θ = number of permutations with non zero contributions
in the sum.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
New analysis of NFS in the boundary case p = Lp n (1/3)
Until now [NFS by JLSV 2006] :
Computing the norm of h in Q[X ]/f (X ) is computing the
resultant :
P
QD
| det Sylv(h, f )| = | σj ∈SD sign(σj ) k=1 Sylvk,σj (k) |.
Can be upper bounded by :
Θkf kdeg h khkdeg f
with Θ = number of permutations with non zero contributions
in the sum.
When p > Lp n (1/3), Θ was negligible, but no more in the
boundary case : ⇒ complexity raises.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
New analysis of NFS in the boundary case p = Lp n (1/3)
Until now [NFS by JLSV 2006] :
Computing the norm of h in Q[X ]/f (X ) is computing the
resultant :
P
QD
| det Sylv(h, f )| = | σj ∈SD sign(σj ) k=1 Sylvk,σj (k) |.
Can be upper bounded by :
Θkf kdeg h khkdeg f
with Θ = number of permutations with non zero contributions
in the sum.
When p > Lp n (1/3), Θ was negligible, but no more in the
boundary case : ⇒ complexity raises.
Now : new bound on Θ ⇒ negligible again ⇒ restore the
analysis ⇒ extend the 128/9 to this boundary case.
Cécile Pierrot
Special and Multiple Number Field Sieve
Log Discret dans les corps finis
Multiple Number Field Sieve (MNFS)
Special Number Field Sieve (SNFS)
Corps finis de caractéristique creuse
Choix des Polynômes
Complexités asymptotiques
What about the quasi-polynomial algorithm ?
Algorithm in exp(O(log q log k)) for Fqk .
Id est : in nO(log n) where n is the bitsize of the cardinality
of the field.
More precisely, for Fqk , if q can be written as q = Lqk (c),
the complexity is in Lqk (c + o(1)).
How ? Modification in the descent phase.
Really works ? No implementation at the moment.
Cécile Pierrot
Special and Multiple Number Field Sieve