Table Of ContentSieve algorithms for the discrete logarithm in medium
characteristic finite fields
Laurent Grémy
To cite this version:
Laurent Grémy. Sieve algorithms for the discrete logarithm in medium characteristic finite fields.
Cryptography and Security [cs.CR]. Université de Lorraine, 2017. English. NNT: 2017LORR0141.
tel-01647623
HAL Id: tel-01647623
https://theses.hal.science/tel-01647623
Submitted on 24 Nov 2017
HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est
archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents
entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non,
lished or not. The documents may come from émanant des établissements d’enseignement et de
teaching and research institutions in France or recherche français ou étrangers, des laboratoires
abroad, or from public or private research centers. publics ou privés.
AVERTISSEMENT
Ce document est le fruit d'un long travail approuvé par le jury de
soutenance et mis à disposition de l'ensemble de la
communauté universitaire élargie.
Il est soumis à la propriété intellectuelle de l'auteur. Ceci
implique une obligation de citation et de référencement lors de
l’utilisation de ce document.
D'autre part, toute contrefaçon, plagiat, reproduction illicite
encourt une poursuite pénale.
Contact : [email protected]
LIENS
Code de la Propriété Intellectuelle. articles L 122. 4
Code de la Propriété Intellectuelle. articles L 335.2- L 335.10
http://www.cfcopies.com/V2/leg/leg_droi.php
http://www.culture.gouv.fr/culture/infos-pratiques/droits/protection.htm
E´coledoctoraleIAEMLorraine
Algorithmes de crible pour le
logarithme discret dans les corps finis
de moyenne caracte´ristique
Sievealgorithmsforthediscretelogarithm
inmediumcharacteristicfinitefields
`
THESE
pre´sente´eetsoutenuepubliquementle29septembre2017
pourl’obtentiondu
Doctorat de l’Universite´ de Lorraine
mentionInformatique
par
Laurent Gre´my
Compositiondujury
Pre´sident: EmmanuelJeandel,professeurdel’Universite´ deLorraine
Rapporteurs: FabienLaguillaumie,professeurdel’Universite´ deLyon1
ReynaldLercier,inge´nieurdel’armementa` laDGAet
chercheurassocie´ del’Universite´ deRennes1
Examinatrice: NadiaHeninger,assistantprofessordel’Universite´ dePennsylvanie
Directeursdethe`se: PierrickGaudry,directeurderechercheauCNRS
MarionVideau,maˆıtredeconfe´rencedel’Universite´ deLorraineet
ende´tachementchezQuarkslab
CNRS Inria LORIA–UMR7503
Remerciements
Aucoursdecesquatresanne´esdethe`se,j’aieul’occasionderecevoirlesoutien
denombreusespersonnes.Jetiens,a`traverscesquelqueslignes,a`leurexprimerma
profondegratitudeetprieparavancecellesquisetrouveraienta`eneˆtreabsentesde
bienvouloirm’enexcuser.
JenesauraisassezremercierMarionetPierrick.J’aieulatre`sgrandechancequ’ils
acceptentdemeprendreenthe`seetdemetrouverunfinancement,cequinefutpas
desplusaise´.Leurdisponibilite´,tantpournosre´unionshebdomadairesquepourdes
questionsponctuelles,leurenthousiasmeetleurbienveillancem’onte´te´tre`spre´cieux.
JeremercieNadiaHeninger,EmmanuelJeandel,FabienLaguillaumieetRey-
naldLercierdemefairel’honneurdeprendreparta`monjury.Jeremerciemesdeux
rapporteurs d’avoir pris sur leurs vacances pour relire ma the`se et je les remercie
encore une fois d’avoir accepte´. Je remercie e´galement Emmanuel d’avoir e´te´ mon
re´fe´rentdethe`se.
A` cesujet,jeremerciee´galementFran¸cois,poursontravailquej’aiappre´cie´dans
lesuividesdoctorantsetqu’iladuˆinterromprelorsdemaquatrie`meanne´e.Jeleursais
gre´a`tousdeuxd’avoirassure´monsuivi,comple´mentairedeceluideMarionetPier-
rick.J’enprofitepourremerciertouslesservicesd’InriaetduLORIAquionteumon
dossierentrelesmainsetquionttoujourssulege´reravecbeaucoupdecompe´tence,
enparticuliernosassistantesd’e´quipe,EmmanuelleetSophie,ainsiqu’Aure´liedans
monsuiviRH.JeremercieaussiChristelle.
Je remercie tous mes coauteurs. Je tiens tout particulie`rement a` remercier Au-
rore,Fran¸coisetEmmanuel.Ilsm’ontpermisdevivreunesoumissiond’articlepar-
ticulie`rement paisible, infirmant ces terribles histoires de soumissions a` la dernie`re
minutequel’onraconteauxjeunesdoctorantspourleurfairepeur.
Jeremercietouslesmembres,depassageounon,del’e´quipeCaramel-Caramba
pour leur capacite´ a` s’inte´resser a` un nombre tre`s vaste de sujets, ce qui conduit
toujours a` des discussions tre`s anime´es. Je tiens a` remercier tous mes cobureaux :
Razvan, pour l’inte´reˆt qu’il a porte´ a` mon travail et pour m’avoir verse´ dans l’art
(occulte)demanipulerlesfonctionsL,Emmanuel,Pierre-Jean,Cyril,pourletemps
qu’ilaconsacre´ a`nosdiscussionsautourdeNFS,Hamza,poursasagesseetsaspon-
tane´ite´, Svyatoslav, pour ses aphorismes, Simon, pour les points cultures qu’il m’a
distille´sdurantcesdeuxdernie`resanne´es,Marion,AuroreetShashank.Graˆcea`mes
deuxdernierscobureaux,j’aide´couvert,pendantmare´daction,despre´sentationsde
(exT)NFSquim’onte´claire´esetqui,jel’espe`re,ontenrichicemanuscrit.Jetiensaussi
tout particulie`rement a` remercier Maike, sans qui mon anglais ne serait jamais de-
venucequ’ilestaujourd’hui:lefaitquecemanuscritsoitre´dige´ enanglaisluidoit
beaucoup. Je remercie e´galement Pierre-Jean et Paul, notamment pour m’avoir per-
mis d’ame´liorer et de concre´tiser certaines parties des algorithmes pre´sente´s dans
le chapitre 6. Je remercie Je´re´mie, pour avoir de´crypte´ les diffe´rentes de´cisions de
i
ii Remerciements
nostutelles,Ste´phane,pouravoirtoujoursre´pondupatiemmenta`mesquestionssur
Debian, git et tant d’autres choses, Hugo, mon cousin de the`se qui a re´dige´ le si
utilehowto-jesoutiens.txt,Enea,quisaitappre´cierlaculture,Thomas,l’e´ternel
stagiaire de troisie`me qui a participe´ a` CADO-NFS et Luc, qui fut mon professeur
de mathe´matiques en pre´pa. Je remercie Marine, pour ses conseils lyonnais et pour
m’avoirpermisd’enseignerlacryptographieetlase´curite´.
A` cesujet,jeremercietouslesenseignantsavecquij’aitravaille´ ouquiontsuivi
montravaila`l’UFRMI,notammentGeoffray,Yacine,Armelle,Pascal,Gilles,Romain,
Laurent, et les e´le`ves que j’ai suivis de la L2 au M1. Au PLG, j’ai eu l’occasion de
pouvoir manger avec les doctorants du CEREFIGE qui m’ont particulie`rement bien
accueilli et qui ont rendu plus agre´able mes longues journe´es au PLG. Je remercie
e´galementlesenseignantsdelaFST,notammentSylvain,Marie,EmmanueletJean,
ainsiquemone´quipepourledemi-ATERquej’aipueffectuerpourmadernie`reanne´e.
Je remercie les membres du conseil de laboratoire pour m’avoir accueilli et aide´
a` comprendre les ressorts, parfois complexes, des de´cisions, subies ou assume´es. Je
remercienotammentlesre´dacteursdescomptes-rendusavecquij’aitravaille´.
Jeremercietousmescompagnons,parfoisd’infortunes,doctorants,quipourune
part,ontparticipe´ aupique-niquedesdoctorants:Simon,Jean-Christophe,toujours
enthousiaste pour s’engager dans les diffe´rents conseils (de l’e´cole doctorale, du la-
boratoire,…),Ra˘zvan,quim’afait de´couvrirlepique-nique, Me´riem,notreamie du
CRAN, Anne, notre amie de l’IECL, Renaud, Pierre, Joseph, une ancienne connais-
sancelilloise,E´ric,avecquij’aitante´change´,Hubert,quijouecommemoileroˆledu
dernierdesmohicans,Hugo,Ludovic,Aure´lien,Caterinaettantd’autres.J’enprofite
pourremercierDominique,notredirecteurdel’e´coledoctorale,ettouslesservicesqui
m’ontpermisdefaireetsoutenirmathe`se.Jeremerciee´galementtouslesdoctorants
quiontre´dige´ avantmoietgraˆcea`quij’aiputrouverdesrenseignementspre´cieux.
Jenesauraisquetropremercierceuxquim’ontpermisdefairemespremierspas
danslarecherche:Matthieu,ChristelleetSylvaina`Nˆımes.Jeremerciel’e´quipeCal-
culFormela`Lilledem’avoiraccueillipourpoursuivrecespremierspas,notamment
Charles pour avoir propose´ ce stage sur l’algorithme de Raghavendra et LPN, mais
e´galement Fran¸cois, Fran¸cois, Alexandre et Adrien pour leurs conseils et leur aide
aumomentdechercherunethe`se.Jeremerciee´galementtoutel’e´quipeAriCquime
permetdecontinuerdanslarecherche,etparticulie`rementDamienpoursaconfiance,
Gillespoursesconseils,ainsiquemescobureauxactuels,ChitchanoketFabrice.
Je remercie toute la communaute´ de Sainte Bernadette pour son accueil chaleu-
reux,etnotammenttousceuxquiontanime´ legroupedese´tudiants:Alix-Michelle,
Bernard, Bolivard, Brenda, Cathy, Chilande, Fran¸coise, Gaspard, Guillaume, Henri,
Lynda,quifutaussiunedesmese´le`ves,Mariam,Marie-Odile,Teˆreˆsa,ettantd’autres.
Jeremerciee´galementChristiane,BlandineetE´lisabethpourleuraccueiletleurbien-
veillance.
Enfin, je remercie ma famille, et tout spe´cialement mes parents, pour leur sou-
tienconstant.Depuis2007,mese´tudesm’ontamene´a`changerplusieursfoisdelieux
etmesmultiplesde´me´nagementsn’auraientjamaispusefairesansleuraidea` tous
deux,mede´chargeantd’unegrossepartiedesproble´matiquesmate´rielles.Malgre´les
difficulte´s,ilsonttoujourssusemontrerdisponiblespourm’aider,etnotamment,ces
4derniersmoisdeconfe´rences,de´me´nagementsetsoutenancen’auraientpaspuse
fairesansleurde´termination.
Je remercie aussi toutes les personnes que j’ai rencontre´es avant de commencer
cette the`se (enseignants, amis, connaissances, …). Elles m’ont permis de m’amener
jusqu’ici,cequejeneregretteabsolumentpas.
Contents
Introduction 1
I Discrete logarithms in finite fields 7
1 Discrete logarithm 8
1.1 Cryptography and discrete logarithm . . . . . . . . . . . . . . . . 8
1.1.1 The Diffie–Hellman key exchange . . . . . . . . . . . . . . 9
1.1.2 The ElGamal encryption. . . . . . . . . . . . . . . . . . . 9
1.1.3 Proposed groups . . . . . . . . . . . . . . . . . . . . . . . 10
1.1.4 Signature schemes . . . . . . . . . . . . . . . . . . . . . . 10
1.1.5 Pairing-based cryptography . . . . . . . . . . . . . . . . . 11
1.1.6 Torus-based cryptography . . . . . . . . . . . . . . . . . . 12
1.2 Generic algorithms . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2.1 Pohlig–Hellman . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2.2 Shanks’ algorithm . . . . . . . . . . . . . . . . . . . . . . 13
1.2.3 Pollard algorithms . . . . . . . . . . . . . . . . . . . . . . 14
1.3 Index calculus algorithms . . . . . . . . . . . . . . . . . . . . . . 15
1.3.1 General description. . . . . . . . . . . . . . . . . . . . . . 15
1.3.2 A first subexponential algorithm for prime fields . . . . . 16
1.3.3 Today’s algorithms and choices of finite fields . . . . . . . 19
2 Sieve algorithms 24
2.1 Sieve of Eratosthenes and variants . . . . . . . . . . . . . . . . . 24
2.1.1 Schoolbook algorithm . . . . . . . . . . . . . . . . . . . . 24
2.1.2 Segmented sieve . . . . . . . . . . . . . . . . . . . . . . . 26
2.1.3 Wheel sieves . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.2 Other sieves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.2.1 Composite sieve . . . . . . . . . . . . . . . . . . . . . . . 29
2.2.2 Sieving by quadratic forms . . . . . . . . . . . . . . . . . 30
2.2.3 Complexities of some sieve algorithms . . . . . . . . . . . 31
2.3 Sieve of Eratosthenes in different contexts . . . . . . . . . . . . . 31
2.3.1 Perfect number . . . . . . . . . . . . . . . . . . . . . . . . 31
2.3.2 Smooth numbers . . . . . . . . . . . . . . . . . . . . . . . 32
iii
iv Contents
3 The number field sieve algorithm in prime fields 37
3.1 Polynomial selection . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1.1 Quality criteria . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1.2 Generation of polynomial pairs . . . . . . . . . . . . . . . 41
3.2 Relation collection . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.2.1 Preliminaries . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.2.2 The sieving algorithms . . . . . . . . . . . . . . . . . . . . 45
3.2.3 Dividing the search space . . . . . . . . . . . . . . . . . . 46
3.3 Linear algebra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.3.1 Conditioning of the matrix . . . . . . . . . . . . . . . . . 48
3.3.2 Linear algebra . . . . . . . . . . . . . . . . . . . . . . . . 50
3.4 Individual logarithm . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.4.1 Lifting elements . . . . . . . . . . . . . . . . . . . . . . . 53
3.4.2 Initialization of the descent . . . . . . . . . . . . . . . . . 54
3.4.3 Descent step . . . . . . . . . . . . . . . . . . . . . . . . . 55
3.4.4 Individual logarithm procedure . . . . . . . . . . . . . . . 55
3.5 A small example . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
3.6 The special and multiple NFS algorithms . . . . . . . . . . . . . 57
3.6.1 The special NFS algorithm . . . . . . . . . . . . . . . . . 57
3.6.2 The multiple NFS algorithm . . . . . . . . . . . . . . . . 58
II Discrete logarithm in medium characteristic 60
4 The high-degree variant of the number field sieve algorithm 61
4.1 Polynomial selections . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.1.1 Quality criteria in 3 dimensions . . . . . . . . . . . . . . . 62
4.1.2 Generation of polynomial pairs . . . . . . . . . . . . . . . 66
4.1.3 Practical results . . . . . . . . . . . . . . . . . . . . . . . 71
4.2 Relation collection . . . . . . . . . . . . . . . . . . . . . . . . . . 74
4.2.1 Building the lattice of an ideal . . . . . . . . . . . . . . . 74
4.2.2 Dividing the search space . . . . . . . . . . . . . . . . . . 75
4.3 Individual logarithm . . . . . . . . . . . . . . . . . . . . . . . . . 76
4.3.1 Rational reconstruction over number field . . . . . . . . . 76
4.3.2 Reducing the coefficients of the target . . . . . . . . . . . 77
4.4 Complexity analysis . . . . . . . . . . . . . . . . . . . . . . . . . 78
4.5 The special and multiple NFS algorithms . . . . . . . . . . . . . 79
4.5.1 The special NFS algorithm . . . . . . . . . . . . . . . . . 79
4.5.2 The multiple NFS algorithm . . . . . . . . . . . . . . . . 80
5 The extended tower number field sieve algorithm 83
5.1 Prelimiaries: the tower NFS algorithm . . . . . . . . . . . . . . . 83
5.1.1 Polynomial selections . . . . . . . . . . . . . . . . . . . . 85
5.1.2 Individual logarithm . . . . . . . . . . . . . . . . . . . . . 85
5.1.3 The multiple and special TNFS algorithms . . . . . . . . 86
5.2 General framework for exTNFS . . . . . . . . . . . . . . . . . . . 86
5.3 Polynomial selections . . . . . . . . . . . . . . . . . . . . . . . . . 87
5.3.1 Literature on polynomial selection for exTNFS . . . . . . 87
5.3.2 Quality criteria . . . . . . . . . . . . . . . . . . . . . . . . 88
5.4 Relation collection . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Contents v
5.4.1 Defining the ideals . . . . . . . . . . . . . . . . . . . . . . 89
5.4.2 Relation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
5.4.3 Dividing the search space . . . . . . . . . . . . . . . . . . 90
5.5 Cryptographic consequences . . . . . . . . . . . . . . . . . . . . . 91
6 Sieving for the number field sieve algorithms 93
6.1 Transition-vectors . . . . . . . . . . . . . . . . . . . . . . . . . . 94
6.2 Reminders in 2 dimensions . . . . . . . . . . . . . . . . . . . . . 94
6.2.1 Line sieve . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
6.2.2 Lattice sieve . . . . . . . . . . . . . . . . . . . . . . . . . 96
6.2.3 Unification of the two sieves . . . . . . . . . . . . . . . . . 99
6.3 Sieve algorithm with oracle . . . . . . . . . . . . . . . . . . . . . 100
6.4 Sieve algorithm without oracle . . . . . . . . . . . . . . . . . . . 103
6.4.1 Preliminaries . . . . . . . . . . . . . . . . . . . . . . . . . 103
6.4.2 First algorithm: globalntvgen . . . . . . . . . . . . . . . 110
6.4.3 Second algorithm: localntvgen . . . . . . . . . . . . . . 114
6.4.4 Generalized line and plane sieves . . . . . . . . . . . . . . 118
6.4.5 Differences . . . . . . . . . . . . . . . . . . . . . . . . . . 119
6.4.6 The 3-dimensional case . . . . . . . . . . . . . . . . . . . 123
III Practical results 125
7 Implementation 126
7.1 Initialization of norms . . . . . . . . . . . . . . . . . . . . . . . . 127
7.1.1 Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
7.1.2 Algorithm to initialize the norms . . . . . . . . . . . . . . 128
7.2 Sieving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
7.2.1 Dealing with ideals . . . . . . . . . . . . . . . . . . . . . . 131
7.2.2 The sieving algorithms . . . . . . . . . . . . . . . . . . . . 133
7.3 Post-processing variants . . . . . . . . . . . . . . . . . . . . . . . 139
7.3.1 The multiple number field sieve variants . . . . . . . . . . 139
7.3.2 Using Galois automorphism . . . . . . . . . . . . . . . . . 140
7.4 Integration into CADO-NFS. . . . . . . . . . . . . . . . . . . . . 140
7.4.1 Using parts of CADO-NFS and NTL . . . . . . . . . . . . 141
7.4.2 Road map to an automatic tool . . . . . . . . . . . . . . . 142
8 Experimental results 145
8.1 Looking for good parameters for the relation collection . . . . . . 145
8.1.1 Polynomial selection . . . . . . . . . . . . . . . . . . . . . 146
8.1.2 Parameters for the relation collection. . . . . . . . . . . . 147
8.2 Computations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
8.2.1 Using a cluster . . . . . . . . . . . . . . . . . . . . . . . . 150
8.2.2 Extension of degree 5 . . . . . . . . . . . . . . . . . . . . 152
8.2.3 Extension of degree 6 . . . . . . . . . . . . . . . . . . . . 155
8.2.4 Summary of the computations . . . . . . . . . . . . . . . 160
Conclusion 161
Bibliography 165
vi Contents
A Background on lattices 180
A.1 Lattice and basis reduction . . . . . . . . . . . . . . . . . . . . . 180
A.2 Sublattices and translate . . . . . . . . . . . . . . . . . . . . . . . 181
A.2.1 Hard problems in lattices . . . . . . . . . . . . . . . . . . 182
B A small NFS implementation 183
C Polynomial selection for the NFS 187
C.1 First term . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
C.2 Second term . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
C.2.1 Two dimensional case . . . . . . . . . . . . . . . . . . . . 187
C.2.2 Three dimensional case . . . . . . . . . . . . . . . . . . . 188
D Complexity analysis of Zajac’s MNFS 191
E Sieving algorithms 193
E.1 Two-dimensional sieve algorithms . . . . . . . . . . . . . . . . . . 193
E.1.1 Line sieve . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
E.1.2 Lattice sieve . . . . . . . . . . . . . . . . . . . . . . . . . 193
E.2 General algorithm . . . . . . . . . . . . . . . . . . . . . . . . . . 193
E.3 Suitability of Graver basis . . . . . . . . . . . . . . . . . . . . . . 200
F Resultants 201
F.1 Univariate polynomials . . . . . . . . . . . . . . . . . . . . . . . . 201
F.2 Bivariate polynomials . . . . . . . . . . . . . . . . . . . . . . . . 201
R´esum´e en franc¸ais 204
Introduction
The computation of discrete logarithms is supposed to be a hard problem in
general. Exploitingthishardnessandthemathematicalstructureofwellchosen
groups, Diffie and Hellman [55], with the help of Merkle [95], explained in 1976
howtwopartiescanagreeonasecretnumberusinganinsecurechannel,without
thepossibilityforathirdpartytorecovereasilythisnumber. Thispavedtheway
to a new type of cryptography, called asymmetric or public-key cryptography.
Before that date, cryptography was symmetric or secret key: the key to
encrypt is the one to decrypt. It should therefore be only known by the parties
that exchange messages.
From the beginnings of cryptography to the end of World War II, cryptana-
lystsweremoreorlessabletobreakallthedeployedcryptosystemsinthewild.
The scytale of the ancient Greeks, the Caesar cipher, the Vigen`ere cipher, the
codeofMaryStuart(whosedecipheringleadtoherdeath)andtheEnigmama-
chine, all these systems were broken, even if the information about the break of
theEnigmacipherwasnotrightawaypublic. Onemainprimitivesurvived,the
one of Vernam, now called one-time pad, which is essentially a Vigen`ere cipher
with the length of the key larger than the length of the message and a random
key. Evaluating the security of the cryptosystems proposed by cryptographers
is the main goal of the cryptanalysis.
Since the second half of the century, new cryptosystems have undergone a
public standardization process, so that the community can study their security.
But even if a symmetric system is secure, the difficulty to exchange securely
a key between the parties remains. The growth of electronic communications
and the need of cryptography for different entities (states, companies, citizens,
...) all around the world worsen this problem of key management when only
symmetriccryptographyisavailable. In1976,theDiffie–Hellmanmechanismto
agree on a secret between two parties, which becomes the key of a symmetric
cryptosystem, solved this problem.
Moreover, asymmetric cryptography is not only a way to exchange keys,
and becomes an integral part of cryptography with the raise of RSA [155] and
ElGamal [59], the first public-key encryption schemes. In these cryptosystems,
a key is divided into two parts: a private one, owned by only one party, and
a public one, known by possibly anybody. The security relies either on the
integer factorization (for RSA) or on the discrete logarithm problem in the
multiplicative subgroup of a finite field (for ElGamal).
One way to evaluate the security is to try to solve efficiently the underlying
hard mathematical problems. There always exits an algorithm that solves the
problem by trying all the possible solutions. Such an exhaustive approach is
also called a brute-force search. For a secure symmetric system, like the AES
1
Description:Ce document est le fruit d'un long travail approuvé par le jury de soutenance et mis à disposition de l'ensemble de la communauté universitaire élargie. Il est soumis à la propriété intellectuelle de l'auteur. Ceci implique une obligation de citation et de référencement lors de l'utilisati
