Handout

Algorithmus von Shanks für k mit g k mod p = a
|Z ∗ p| = ϕ(p) = p − 1 ; setze r := ⌈ √ p − 1⌉ . Der unbekannte
Logarithmus k < p − 1 von a ∈ Z ∗ p zur Basis g hat die
Darstellung k = αr + β mit α, β < r . Nun gilt
g k mod p = a gdw g αr mod p = a · g −β mod p
Zwecks Lösung der rechten Gleichung werden
die giant steps g i·r = (g r ) i , i < r , berechnet und gespeichert,
die baby steps ag −j mod p , j < r berechnet und mit den
gespeicherten giant steps verglichen, bis eine Übereinstimmung
g i·r mod p = a · g −j mod r auftritt.
Bei bis zu √ p − 1 “baby steps” verbietet sich eine lineare Suche in
der Liste der “giant steps”. Jede Binärsuche benötigt größenordnungsmäßig
lg(p − 1) Schritte, braucht aber eine sortierte Liste der
“giant steps”, wozu ca. √ p − 1 lg(p − 1) Schritte erforderlich sind.
S. Ransom + J. Koslowski: Grundlagen der Sicherheit in Netzen und verteilten Systemen