폴리그-헬먼 알고리즘

폴리그-헬먼 알고리즘(영어: Pohlig–Hellman algorithm)은 이산 로그를 밑의 차수가 소수인 경우로 귀결시켜 계산하는 알고리즘이다. 군의 크기(즉, 밑의 차수)가 충분히 매끄러운 정수인 경우 특히 효율적이다.

폴리그-헬먼 알고리즘 ${\displaystyle \operatorname {PH} }$는 다음과 같다.

• 입력: 크기가 ${\displaystyle n}$인 유한 순환군의 생성 원소 ${\displaystyle g\in G}$와 임의의 원소 ${\displaystyle h\in G}$
• 출력: 이산 로그 ${\displaystyle \log _{g}h\in \mathbb {Z} /n}$

1. ${\displaystyle n}$의 소인수 분해 ${\displaystyle n=p_{1}^{e_{1}}\cdots p_{r}^{e_{r}}}$를 구한다.
2. 만약 ${\displaystyle r=0}$이라면 0을 반환한다. 만약 ${\displaystyle r=1}$, ${\displaystyle e_{1}=1}$이라면, ${\displaystyle \operatorname {BSGS} (g,h)}$(또는 ${\displaystyle \rho (g,h)}$)를 반환한다. 여기서 ${\displaystyle \operatorname {BSGS} }$는 아기걸음 거인걸음(${\displaystyle \rho }$는 폴라드 로 이산 로그 알고리즘)이다.
3. 만약 ${\displaystyle r=1}$이라면,
   1. ${\displaystyle u\leftarrow \operatorname {PH} (g^{\lfloor e_{1}/2\rfloor },h^{\lfloor e_{1}/2\rfloor })}$로 놓는다.
   2. ${\displaystyle v\leftarrow \operatorname {PH} (hg^{-u},g^{p_{1}\lceil e_{1}/2\rceil })}$로 놓는다.
   3. ${\displaystyle u+vp_{1}^{e_{1}}}$을 반환한다.
4. ${\displaystyle n_{1}\leftarrow p_{1}^{e_{1}}\cdots p_{\lfloor r/2\rfloor }^{e_{\lfloor r/2\rfloor }}}$, ${\displaystyle n_{2}\leftarrow n/n_{1}}$로 놓는다.
5. ${\displaystyle M_{1}}$을 ${\displaystyle n_{2}}$와 ${\displaystyle n_{2}}$의 ${\displaystyle \mathbb {Z} /n_{1}}$에서의 곱셈 역원인 정수의 곱으로 놓는다. 마찬가지로, ${\displaystyle M_{2}}$를 ${\displaystyle n_{1}}$와 ${\displaystyle n_{1}}$의 ${\displaystyle \mathbb {Z} /n_{2}}$에서의 곱셈 역원인 정수의 곱으로 놓는다.
6. ${\displaystyle x_{1}\leftarrow \operatorname {PH} (g^{n_{2}},h^{n_{2}})}$로 놓는다.
7. ${\displaystyle x_{2}\leftarrow \operatorname {PH} (g^{n_{1}},h^{n_{1}})}$로 놓는다.
8. ${\displaystyle M_{1}x_{1}+M_{2}x_{2}}$를 반환한다.

폴리그-헬먼 알고리즘의 복잡도는 순환군의 크기(즉, 이산 로그의 밑의 차수)가 소수인 경우에 사용하는 알고리즘의 복잡도와 ${\displaystyle n}$이 매끄러운 정도에 의존한다.

아기걸음 거인걸음을 사용하는 경우, 폴리그-헬먼 알고리즘의 시간 복잡도는

${\displaystyle O\left(\ln n\ln \ln n+\sum _{i=1}^{r}e_{i}{\sqrt {p_{i}}}\right)}$

(특히 ${\displaystyle O(\ln n(\ln \ln n+{\sqrt {p}}))}$)이며, 공간 복잡도는 ${\displaystyle O({\sqrt {p}})}$이다. 여기서 ${\displaystyle n}$은 순환군의 크기, ${\displaystyle n=p_{1}^{e_{1}}\cdots p_{r}^{e_{r}}}$는 ${\displaystyle n}$의 소인수 분해, ${\displaystyle p}$는 ${\displaystyle n}$의 가장 큰 소인수이다.

플로이드 순환 탐지 알고리즘을 갖춘 폴라드 로 이산 로그 알고리즘을 사용하는 경우, 폴리그-헬먼 알고리즘의 기대 시간 복잡도는

${\displaystyle O\left(\ln n\ln \ln n+\sum _{i=1}^{r}e_{i}{\sqrt {p_{i}}}\right)}$

(특히 ${\displaystyle O(\ln n(\ln \ln n+{\sqrt {p}}))}$)이며, 공간 복잡도는 ${\displaystyle O(1)}$이다.

특히, 만약 ${\displaystyle n}$이 충분히 매끄러운 정수인 경우 폴리그-헬먼 알고리즘은 ${\displaystyle n}$의 자릿수에 대하여 준선형 시간을 갖는다.

스티븐 폴리그(영어: Steven C. Pohlig)와 마틴 헬먼이 1978년 논문에서 처음 출판하였다.^[1] 폴리그와 헬먼은 이 논문에서 다음과 같이 주해하였다.

• 류대식 (2019년 3월 24일). “폴리그-헬맨 알고리즘 증명”. 《생새우초밥집》. 
• Sutherland, Andrew V. (2021). “Lecture 9: generic algorithms for the discrete logarithm problem” (영어) (강의록). 《MIT OpenCourseWare》. Massachusetts Institute of Technology.