בעיית הלוגריתם הבדיד

באלגברה חישובית ובקריפטוגרפיה, בעיית הלוגריתם הבָּדִיד (דיסקרטי) המסומנת בקיצור DLP (באנגלית: Discrete Logarithm Problem), היא מציאת המעריך ${\displaystyle x}$ בהינתן הבסיס ${\displaystyle g}$ והתוצאה ${\displaystyle h}$ כך שמתקיים ${\displaystyle h=g^x}$. בקיצור ${\displaystyle x={\log }_{g}h}$. בניגוד ללוגריתם רגיל מעל המספרים הממשיים שאותו קל לחשב בשיטות המסתמכות על קירוב, קשה לחשב לוגריתם בדיד בקבוצה סופית של מספרים שלמים, מודולו שלם כלשהו הנקרא מודולוס. בעיית הלוגריתם הבדיד בחבורה ציקלית נחשבת כשני עשורים לבעיה מתמטית קשה והיא הבסיס למספר אלגוריתמים חשובים בהצפנת מפתח ציבורי כמו פרוטוקול דיפי-הלמן ואלגוריתם חתימה דיגיטלית DSA.

חבורה ציקלית

ערך מורחב – חבורה ציקלית

תהי ${\displaystyle \mathbb{𝔾}}$ חבורה סופית מסדר ${\displaystyle m}$. עבור כל אלמנט ${\displaystyle g\in \mathbb{𝔾}}$ הקבוצה הבאה:

${\displaystyle ⟨g⟩=\{g^0,g^1,g^2,...\}}$

היא תת-חבורה ציקלית של ${\displaystyle \mathbb{𝔾}}$ שהסדר שלה הוא השלם הקטן ביותר ${\displaystyle i}$ המקיים ${\displaystyle g^i=1}$. קל לראות שהרצף חוזר על עצמו כי ${\displaystyle g^i=g^0}$ וכן ${\displaystyle g^{i+1}=g^1}$ וכן הלאה. אם ${\displaystyle m}$ ראשוני אז ${\displaystyle \mathbb{𝔾}}$ היא צקלית וכל האלמנטים שלה הם יוצרים של החבורה. לעומת זאת סדר החבורה הכפלית ${\displaystyle {\mathbb{\mathbb{Z}}}_p^{*}}$ כאשר ${\displaystyle p}$ ראשוני אינו ראשוני. לדוגמה ${\displaystyle {\mathbb{\mathbb{Z}}}_{15}^{*}}$ לפי אוילר היא מסדר ${\displaystyle (5-1)(3-1)=8}$. רואים ש-2 אינו יוצר של החבורה כי ${\displaystyle ⟨2⟩=\{1,2,4,8\}}$ לכן הסדר שלו הוא 4. כן רואים שלפי חוקי החבורות סדר תת-חבורה תמיד מחלק של סדר החבורה. אם ${\displaystyle \mathbb{𝔾}}$ היא חבורה ציקלית מסדר ראשוני ${\displaystyle q}$, קיים יוצר של החבורה ${\displaystyle g\in \mathbb{𝔾}}$ כך שמתקיים ${\displaystyle \{g^0,g^1.g^2,...,g^{q-1}\}=G}$ (למעשה יכולים להיות יוצרים רבים). במילים אחרות, עבור כל שלם ${\displaystyle h\in \mathbb{𝔾}}$ קיים שלם ייחודי ${\displaystyle x\in \mathbb{𝔾}}$ המקיים ${\displaystyle g^x=h}$. אם החבורה ${\displaystyle \mathbb{𝔾}}$ מובנת מההקשר קוראים ל-${\displaystyle x}$ "הלוגריתם הבדיד" של ${\displaystyle h}$ בבסיס ${\displaystyle g}$ ואפשר לכתוב זאת בקיצור ${\displaystyle {\log }_{g}h}$. כמו כן אם ${\displaystyle g^{x^{\prime }}=h}$ עבור שלם כלשהו ${\displaystyle x^{\prime }}$ אז ${\displaystyle {\log }_{g}h=x^{\prime }\text{ (mod }q)}$. הסיבה שהלוגריתם נקרא כאן "בדיד" נובעת מהעובדה שהוא נלקח מעל חבורה סופית, זאת בניגוד ללוגריתם רגיל שטווח הערכים שלו הוא מעל קבוצה אין סופית.

חוקי הלוגריתמים

לוגריתם בדיד מציית לחוקי הלוגריתמים הרגילים. למשל, ${\displaystyle {\log }_{g}1=0}$ (כאשר '1' הוא איבר יחידה של ${\displaystyle \mathbb{𝔾}}$) וכן:

• ${\displaystyle {\log }_g(h_1\cdot h_2)=({\log }_g{h}_1+{\log }_g{h}_2)\text{ mod }p}$.
• ${\displaystyle {\log }_g(h^y)=(y{\log }_{g}h)\text{ mod }p}$ עבור שלם ${\displaystyle y}$ כלשהו.

הגדרה פורמלית

הגדרה פורמלית^[1] של בעיית הלוגריתם הבדיד היא:

נתונה חבורה ציקלית סופית מסדר ${\displaystyle p}$ המסומנת ${\displaystyle G}$ ונתון יוצר ${\displaystyle g}$ של החבורה ויהי ${\displaystyle h\in G}$ אלמנט כלשהו. מצא את הלוגריתם הבדיד של ${\displaystyle h}$ בבסיס ${\displaystyle g}$ בקיצור ${\displaystyle {\log }_{g}h}$ שהוא אלמנט יחידי ${\displaystyle x}$ בטווח ${\displaystyle 0\le x\le p-1}$ המקיים: ${\displaystyle h=g^x}$.

ביתר פירוט, נתון אלגוריתם פולינומי יעיל ${\displaystyle {𝒢}}$ שמקבל את ${\displaystyle 1^n}$ ומחזיר את החבורה ${\displaystyle \mathbb{𝔾}}$, הסדר שלה ${\displaystyle q}$ ויוצר ${\displaystyle g\in \mathbb{𝔾}}$. ונתון הניסוי הבא:

ניסוי לוגריתם בדיד ${\displaystyle {\mathbf{𝐃}\mathbf{𝐋}\mathbf{𝐨}\mathbf{𝐠}}_{{𝒜},{𝒢}}\mathit{(}\mathit{n}\mathit{)}}$:

1. מריצים את ${\displaystyle {𝒢}(1^n)}$ כדי לקבל את ${\displaystyle (\mathbb{𝔾},q,g)}$ כאשר ${\displaystyle \mathbb{𝔾}}$ היא חבורה ציקלית מסדר ${\displaystyle q}$ ו-${\displaystyle g}$ הוא יוצר של ${\displaystyle \mathbb{𝔾}}$.
2. בוחרים אלמנט ${\displaystyle h\leftarrow \mathbb{𝔾}}$ (אפשר לעשות זאת על ידי בחירת אלמנט אקראי ${\displaystyle x^{\prime }}$ וחישוב ${\displaystyle h=g^{x^{\prime }}}$).
3. האלגוריתם ${\displaystyle {𝒜}}$ מקבל את ${\displaystyle (\mathbb{𝔾},q,g,h)}$ ומחשב את ${\displaystyle x\in {\mathbb{\mathbb{Z}}}_q}$.
4. הניסוי יוכתר בהצלחה אם ${\displaystyle g^x=h}$ אחרת היא נחשבת לכישלון.

בהגדרה פורמלית, אומרים שבעיית הלוגריתם הבדיד (המסומנת בקיצור DLP) קשה לפתרון ביחס ל-${\displaystyle {𝒢}}$ אם עבור כל אלגוריתם פולינומי הסתברותי ${\displaystyle {𝒜}}$ קיימת פונקצית זניחות ${\displaystyle \text{negl}}$ כך שמתקיים:

${\displaystyle \mathrm{Pr}[{\text{DLog}}_{{𝒜},{𝒢}}(n)=1]\le \text{ negl}(n)}$

במילים, ההשערה היא שקיימת חבורה ${\displaystyle \mathbb{𝔾}}$ שבה בעיית DLP קשה לפתרון מבחינה חישובית למעט בהסתברות זניחה.

דוגמה במספרים קטנים

אם ${\displaystyle p=97}$. אזי ${\displaystyle {\mathbb{\mathbb{Z}}}_{97}^{*}}$ היא חבורה ציקלית מסדר ${\displaystyle n=96}$. אם ניקח יוצר של ${\displaystyle {\mathbb{\mathbb{Z}}}_{97}^{*}}$ למשל ${\displaystyle \alpha =5}$. בהינתן השלם ${\displaystyle 35}$, הבעיה היא למצוא ${\displaystyle x}$ המקיים ${\displaystyle 5^x\equiv 35(\text{ mod }97)}$, היות ש- ${\displaystyle 5^{32}\equiv 35(\text{mod }97)}$, אזי ${\displaystyle {\text{log}}_{5}35=32}$ ב-${\displaystyle {\mathbb{\mathbb{Z}}}_{97}^{*}}$.

בעיית דיפי-הלמן

ויטפילד דיפי ומרטין הלמן פרסמו ב-1976 מאמר פורץ דרך שהעלה לראשונה את רעיון ההצפנה האסימטרית והציעו לבססה על בעיה מתמטית קשה בתורת המספרים הקשורה לבעיית הלוגריתם הבדיד שנקראת כיום בעיית דיפי-הלמן והיא מתחלקת לשתים, בעיית דיפי הלמן חישובית, המסומנת בקיצור CDH ובעיית הכרעת דיפי-הלמן המסומנת בקיצור DDH. שתיהן בעיות שלהן חשיבות רבה בתחום הקריפטוגרפיה. נתונה חבורה ציקלית ${\displaystyle \mathbb{𝔾}}$ ויוצר ${\displaystyle g\in \mathbb{𝔾}}$ ונתונים שני אלמנטים מהחבורה ${\displaystyle h_1}$ ו-${\displaystyle h_2}$. פונקציית דיפי-הלמן מוגדרת כדלהלן:

${\displaystyle {\text{DH}}_g(h_1,h_2)\stackrel{\mathrm{d}\mathrm{e}\mathrm{f}}{=}{g}^{{\log }_g{h}_1\cdot {\log }_g{h}_2}}$.

כלומר, אם ${\displaystyle h_1=g^x}$ ו-${\displaystyle h_2=g^y}$ אז ${\displaystyle {\text{DH}}_g(h_1,h_2)=g^{x\cdot y}=h_1^y=h_2^x}$. הבעיה הראשונה, בעיית CDH היא לחשב את פונקציית דיפי-הלמן ${\displaystyle {\text{DH}}_g(h_1,h_2)}$ עבור שני אלמנטים אקראיים ${\displaystyle h_1,h_2}$ (כאשר ${\displaystyle x}$ ו-${\displaystyle y}$ אינם ידועים אחרת הבעיה טריוויאלית). הבעיה השנייה DDH היא בעיית הכרעה, להבחין בין פלט הפונקציה ${\displaystyle {\text{DH}}_g(h_1,h_2)}$ לבין אלמנט אקראי כלשהו מהחבורה. במילים אחרות עבור אלמנטים ${\displaystyle h_1,h_2}$ שנבחרו באקראי ופתרון אפשרי ${\displaystyle h^{\prime }}$ הבעיה היא להכריע האם ${\displaystyle h^{\prime }={\text{DH}}_g(h_1,h_2)}$ או ${\displaystyle h^{\prime }}$ הוא אלמנט אקראי חסר משמעות.

אם בעיית הלוגריתם הבדיד קלה לפתרון אז אפשר לפתור גם את בעיית דיפי-הלמן, תחילה מחשבים את ${\displaystyle x={\log }_g{h}_1}$ ואז מחזירים את ${\displaystyle h_2^x}$. מאידך לא ברור האם קושייה המשוער של בעיית דיפי-הלמן שקול לבעיית הלוגריתם הדיסקרטי.

בעיית DDH נחשבת לבעיה קשה ביחס ל-${\displaystyle {𝒢}}$ אם עבור כל אלגוריתם הסתברותי פולינומי ${\displaystyle {𝒜}}$ קיימת פונקציית זניחות ${\displaystyle \text{negl}}$ כך שהמתקיים:

${\displaystyle |\mathrm{Pr}[{𝒜}(\mathbb{𝔾},q,g,g^x,g^y,g^z)=1-\mathrm{Pr}[{𝒜}(\mathbb{𝔾},q,g,g^x,g^y,g^{xy})=1]|\le \text{ negl}(n)}$

כאשר ${\displaystyle x,y,z}$ הם אלמנטים אקראיים. אם ${\displaystyle z}$ נבחר באקראי מתוך ${\displaystyle {\mathbb{\mathbb{Z}}}_q}$ באופן בלתי תלוי בערכים אחרים אז האלמנט ${\displaystyle g^z}$ הוא בעל התפלגות אחידה ב-${\displaystyle \mathbb{𝔾}}$.

ישנן מספר חבורות בהן בעיית הלוגריתם הבדיד ותאומה בעיית דיפי-הלמן קשות לפתרון. העדיפות היא לחבורה ציקלית מסדר ראשוני והסיבות הן ראשית משום שידוע שאם סדר החבורה אינו ראשוני אפשר לצמצם את בעיית הלוגריתם הבדיד לבעיה בתת-חבורות שלה שהן יותר קטנות ולכן הפתרון קל יותר. שנית, קל למצוא יוצר בחבורה מסדר ראשוני כי כל האלמנטים של החבורה הם יוצרים. בנוסף, קל יותר למצוא הופכי כפלי של מעריך כלשהו דבר שרצוי במבנים קריפטוגרפיים מסוימים ובעיקר הסיבה היא שזה הגיוני להשתמש בחבורה מסדר ראשוני כי אם הסדר ראשוני אפשר להוכיח שפלט הפונקציה ${\displaystyle {\text{DH}}_g(h_1,h_2)}$ הוא כמעט אקראי בהשוואה להתפלגות אחידה מעל ${\displaystyle \mathbb{𝔾}}$.

למרות זאת, החבורה הכפלית ${\displaystyle {\mathbb{\mathbb{Z}}}_p^{*}}$ עם ראשוני ${\displaystyle p}$ נפוצה בישומים מעשיים למרות שסדר החבורה הזו אינו ראשוני. ההשערה היא שבעיית הלוגריתם הבדיד בחבורה זו קשה גם היא בתנאי שמשתמשים בתת-חבורה מתאימה של ${\displaystyle {\mathbb{\mathbb{Z}}}_p^{*}}$. האלמנט ${\displaystyle y\in {\mathbb{\mathbb{Z}}}_p^{*}}$ הוא שארית ריבועית מודולו ${\displaystyle p}$ אם קיים אלמנט ${\displaystyle x\in {\mathbb{\mathbb{Z}}}_p^{*}}$ המקיים ${\displaystyle x^2\equiv y\text{ (mod }p)}$. כך שקבוצת כל השאריות הריבועיות היא תת-חבורה של ${\displaystyle {\mathbb{\mathbb{Z}}}_p^{*}}$. מחצית מהאלמנטים של החבורה ${\displaystyle {\mathbb{\mathbb{Z}}}_p^{*}}$ הם שאריות ריבועיות מודולו ${\displaystyle p}$. אם ${\displaystyle p}$ הוא מספר ראשוני "חזק", כלומר ${\displaystyle p=2q+1}$ כאשר ${\displaystyle q}$ ראשוני אז מספר האלמנטים בתת החבורה המכילה את כל השאריות הריבועיות מודולו ${\displaystyle p}$ הוא ${\displaystyle (p-1)/2=q}$ והיות ש-${\displaystyle q}$ ראשוני תת-חבורה זו ציקלית. יתרה מזו כל האלמנטים בתת-חבורה זו הם יוצרים שלה. כדי למצוא יוצר, פשוט בוחרים אלמנט אקראי כלשהו ${\displaystyle x}$ שהתנאי הוא שלא יהיה שקול ל-${\displaystyle \pm 1}$ (מודולו ${\displaystyle p}$) ואז מציבים ${\displaystyle g=x^2}$ מודולו ${\displaystyle p}$.

דוגמה במספרים קטנים

נתון הראשוני ${\displaystyle p=97}$ החבורה הציקלית ${\displaystyle {\mathbb{\mathbb{Z}}}_{97}^{*}}$ מסדר ${\displaystyle n=96}$ והיוצר ${\displaystyle g=5}$. אם נבחר ${\displaystyle x=32}$ וכן ${\displaystyle y=17}$. אם נתונים האלמנטים ${\displaystyle 5^{32}\equiv 35}$ ו-${\displaystyle 5^{17}\equiv 83}$ (מודולו 97), בעיית דיפי-הלמן היא לגלות את ${\displaystyle 5^{32\cdot 17}\equiv 61\text{ (mod }97)}$ (כאשר ${\displaystyle x}$ ו-${\displaystyle y}$ לא ידועים).

עקום אליפטי

ערך מורחב – הצפנה מבוססת עקום אליפטי

חבורה אחרת שבה ההשערה היא שבעיית הלוגריתם הבדיד קשה היא אוסף הנקודות על עקום אליפטי. היתרון שלו הוא שבניגוד לחבורה כפלית לא ידוע על אלגוריתם שמסוגל לפתור את בעיית הלוגריתם הבדיד בזמן ריצה תת-מעריכי בחבורת העקום האליפטי. בקצרה, יהי ${\displaystyle p\ge 5}$ מספר ראשוני ונתונה משוואה מעוקבת ${\displaystyle E}$ בשני נעלמים ${\displaystyle x}$ ו-${\displaystyle y}$ מהצורה:

${\displaystyle y^2=x^3+Ax+B\text{ mod }p}$.

כאשר ${\displaystyle A,B\in {\mathbb{\mathbb{Z}}}_p}$ הם קבועים המקיימים את התנאי ${\displaystyle 4A^3+27B^2\equiv ̸0\text{ (mod }p)}$ (תנאי זה הכרחי כדי להבטיח שלא יהיו בעקום קצוות חדים) נניח ש-${\displaystyle \hat{E}({\mathbb{\mathbb{Z}}}_p)}$ מייצג את כל הזוגות ${\displaystyle (x,y)\in {\mathbb{\mathbb{Z}}}_p\times {\mathbb{\mathbb{Z}}}_p}$ המקיימים את המשוואה האמורה, אז העקום האליפטי הוא ${\displaystyle E({\mathbb{\mathbb{Z}}}_p)=\hat{E}({\mathbb{\mathbb{Z}}}_p)\cup \{{𝒪}\}}$. במילים, אוסף כל הנקודות המקיימות את המשוואה האמורה עם נקודה מיוחדת הנקראת "הנקודה באין סוף" המסומנת ב-${\displaystyle {𝒪}}$. קיים כלל חיבור מסובך שמאפשר לחבר שתי נקודות בעקום כדי לקבל נקודה שלישית שגם היא בעקום; ${\displaystyle R=P+Q}$ או חיבור נקודה בעצמה ${\displaystyle Q=P+P=2P}$. למרבה ההפתעה אפשר להוכיח שקבוצת הנקודות בעקום ${\displaystyle E}$ יחד עם כלל החיבור יוצרים חבורה אבלית. שהיא חבורה סגורה תחת כלל החיבור כשהנקודה באין סוף משמשת כאיבר יחידה. לכל נקודה יש נקודה הופכית וכן חוקי האסוציאטיביות והקומוטטיביות מתקיימים בה.

בעיית הלוגריתם הבדיד בעקום אליפטי היא כדלקמן. נתון עקום אליפטי ${\displaystyle E({\mathbb{\mathbb{Z}}}_p)}$ ונתונה נקודה כלשהי ${\displaystyle P\in E({\mathbb{\mathbb{Z}}}_p)}$ וכן הנקודה ${\displaystyle Q\in ⟨P⟩}$ מצא שלם ${\displaystyle l}$ המקיים ${\displaystyle Q=lP}$. השלם ${\displaystyle l}$ נקרא הלוגריתם הבדיד של הנקודה ${\displaystyle Q}$ בבסיס הנקודה ${\displaystyle P}$ או בקיצור ${\displaystyle l={\log }_{P}Q}$. הקבוצה ${\displaystyle ⟨P⟩}$ היא תת-חבורה ציקלית המכילה את אוסף כל הנקודות שהן כפולות של ${\displaystyle P}$ כלומר ${\displaystyle \{P,2P,3P,4P,...\}}$ והשלם ${\displaystyle l}$ מייצג בעצם את מספר הפעמים שהנקודה ${\displaystyle P}$ חוברה לעצמה כדי לקבל את ${\displaystyle Q}$.

אלגוריתמים

באופן כללי נתונה חבורה הציקלית ${\displaystyle \mathbb{𝔾}}$ עם היוצר ${\displaystyle g}$ והאלמנט ${\displaystyle y\in ⟨g⟩}$ הבעיה היא מציאת השלם ${\displaystyle x}$ המקיים ${\displaystyle g^x=y}$ (בתת-החבורה הנוצרת על ידי ${\displaystyle g}$ או בחבורה ${\displaystyle \mathbb{𝔾}}$ אם ${\displaystyle g}$ הוא יוצר שלה), המסומנת בקיצור ${\displaystyle {\log }_{g}y}$ מודולו הסדר של ${\displaystyle g}$ שנקרא לעיתים הבסיס. אותה אפשר לפתור בכמה דרכים. הפתרון הנאיבי ביותר הוא שיטת כוח גס, כלומר אפשר לחשב את כל החזקות של ${\displaystyle g}$ לפי סדר ${\displaystyle g^1,g^2,g^3,...}$ עד שמתקבל ${\displaystyle y}$. סיבוכיות הפתרון היא מסדר גודל ${\displaystyle O(q)}$. קיימים מספר אלגוריתמים שלהם סיבוכיות טובה יותר והם המתחלקים לשתי קטגוריות. אלגוריתם גנרי שפועל על כל החבורה ואלגוריתם שפועל רק על חבורה ספציפית. לצורך הדיון אפשר להתעלם מהחבורה ${\displaystyle \mathbb{𝔾}}$ ולהתייחס ישירות לתת-החבורה ${\displaystyle ⟨g⟩}$ שהיא מסדר ${\displaystyle q}$ שההנחה היא שהוא מספר ראשוני ידוע. להלן רשימת האלגוריתמים הידועים לפתרון בעיית הלוגריתם הבדיד וכן בעיית דיפי-הלמן.

• אלגוריתם צעד-קטן צעד-גדול של דויד שנקס שמסוגל למצוא לוגריתם בדיד בזמן ריצה של ${\displaystyle O(\sqrt{q}\times \text{polylog}(q))}$ ובסיבוכיות מקום בסדר גודל ${\displaystyle O(\sqrt{q})}$.
• אלגוריתם פוליג-הלמן הוא אלגוריתם ספציפי המתאים במקרה שהגורמים הראשוניים של סדר החבורה ${\displaystyle q}$ ידועים. במיוחד, אם לסדר החבורה יש גורמים קטנים, אלגוריתם זה מאפשר לצמצם את הבעייה לשתי בעיות לוגריתם בדיד מסדר קטן יותר (לפי גודלם של הגורמים הראשוניים) והפתרונות שלהם ניתנים לשילוב כדי לקבל פתרון לבעיה המקורית בסיבוכיות זמן זהה לבעיות הקטנות.
• אלגוריתם רו של פולרד ללוגריתמים שזמן ריצתו הוא ${\displaystyle O(\sqrt{q})}$ אך ללא סיבוכיות מקום.
• אלגוריתם תחשיב אינדקסים שרץ בזמן ריצה תת-מעריכי ונחשב בין היעילים ביותר לפתרון הבעיה.

האחרון הנו האלגוריתם החזק ביותר הידוע כיום לפתרון בעיית לוגריתם דיסקרטי בחבורות מסוימות כמו ${\displaystyle {\mathbb{\mathbb{Z}}}_n^{*}}$ עבור ${\displaystyle n}$ פריק כלשהו. גרסה מסוימת שלו הנקראת אלגוריתם Coppersmith מסוגלת להגיע לזמן ריצה של ${\displaystyle L_{2^m}[\frac{1}{3},c]}$ עבור קבוע כלשהו ${\displaystyle c<1.587}$.

כאשר מחשבים קוונטיים יהיו מעשיים אפשר יהיה לפתור את בעיית הלוגריתם הבדיד בזמן פולינומי עם אלגוריתם שור^[2].

לוגריתם בדיד בקריפטוגרפיה

בלוגריתם בדיד, בדומה לפירוק לגורמים, ישנן שתי פעולות הופכיות שאינן סימטריות בכוח החישוב הדרוש לביצוען. לדוגמה, כפל ופירוק לגורמים הם פעולות הפוכות, בעוד שכפל היא פעולה קלה במונחי מחשוב, הרי שפירוק לגורמים קשה הרבה יותר ממנה. כן הדבר בלוגריתמים, העלאה בחזקה מודולרית (מודולו שלם ${\displaystyle n}$) קלה הרבה יותר ממציאת החזקה מודולו ${\displaystyle n}$. חוסר הסימטריה הזה נקרא פונקציה חד-כיוונית, והיא מנוצלת היטב בעיקר בהצפנה אסימטרית. דוגמאות הן: פרוטוקול דיפי-הלמן להעברת מפתח, צופן אל-גמאל, חתימה דיגיטלית של אל-גמאל ואלגוריתם חתימה דיגיטלית DSA.

כדי להתמודד עם האיום של האלגוריתמים המנויים לעיל, ההנחה היא כיום שראשוני ${\displaystyle p}$ בגודל 2048 סיביות מספק מרווח ביטחון סביר. תקן DSA מגדיר למשל מספר רמות אבטחה לאלגוריתם חתימה דיגיטלית כשהמרבית היא, p ראשוני בסדר גודל של 3072 סיביות.

החבורות שיש בהן עניין מבחינה קריפטוגרפית הן; החבורה הכפלית ${\displaystyle {\mathbb{\mathbb{Z}}}_p^{*}}$ מעל שדה ראשוני גדול, החבורה הכפלית ${\displaystyle {\mathbb{𝔽}}_q^{*}}$ מעל שדה סופי מורחב ${\displaystyle {\mathbb{𝔽}}_q}$ כאשר ${\displaystyle q=p^k}$ ו-${\displaystyle k\ge 1}$ וכן החבורה הכפלית ${\displaystyle {\mathbb{𝔽}}_{2^m}^{*}}$ מעל שדה בינארי ${\displaystyle {\mathbb{𝔽}}_{2^m}}$ עם מציין 2. כן יש עניין מיוחד בחבורה ${\displaystyle {\mathbb{\mathbb{Z}}}_n^{*}}$ כאשר ${\displaystyle n}$ שלם פריק, קבוצת הנקודות בעקום אליפטי המוגדר מעל שדה סופי ועקום היפר-אליפטי מעל שדה סופי.

הערות שוליים