密码学领域三大经典难题：DLP、IFP 与 ECDLP

1. 离散对数问题（DLP）
   • 基本概念：在有限循环群$G$（通常是整数模$p$乘法群$Z_p^{\ast }$，其中$p$为素数）中，给定一个生成元$g$和元素$h=g^x$（$x$为整数），离散对数问题是求出整数$x$。例如，在群$Z_{17}^{\ast }$中，生成元$g=3$，如果$h=12$，要求出满足$3^x\equiv 12(mod17)$的$x$。
   • 困难性：当群的阶（元素个数）很大时，通过穷举搜索所有可能的$x$值来求解离散对数是非常耗时的。例如，对于一个大素数$p$，其对应的群$Z_p^{\ast }$的阶为$p-1$。如果$p$是一个数千位的素数，尝试所有可能的$x$（$0$到$p-2$）几乎是不可能在合理时间内完成的。
   • 应用场景：Diffie - Hellman密钥交换协议和ElGamal加密算法等依赖于离散对数问题的困难性。在Diffie - Hellman中，通信双方$A$和$B$分别选择秘密整数$a$和$b$，公开$g^a(modp)$和$g^b(modp)$，共享密钥为$(g^a{)}^b=(g^b{)}^a=g^{ab}(modp)$。攻击者若能轻易解决离散对数问题，就能获取$a$和$b$，从而得到共享密钥。
2. 整数分解问题（IFP）
   • 基本概念：给定一个合数$n$（通常是两个大素数$p$和$q$的乘积，即$n=pq$），整数分解问题是找出$p$和$q$。例如，对于$n=91$，可以分解为$7\times 13$，但当$n$是一个非常大的数时，如RSA加密算法中使用的大合数，分解就变得极其困难。
   • 困难性：随着$n$的位数增加，分解的难度呈指数级增长。目前最好的整数分解算法，如一般数域筛法（GNFS），在分解大整数时仍然需要巨大的计算资源和时间。例如，对于一个2048位的合数，使用现有的计算能力分解它可能需要数年甚至更长时间。
   • 应用场景：RSA公钥加密算法的安全性基于整数分解问题。在RSA中，公钥$(e,n)$和私钥$(d,n)$相关，其中$n=pq$。如果攻击者能够分解$n$得到$p$和$q$，就可以计算出私钥$d$，从而破解RSA加密的消息。
3. 椭圆曲线离散对数问题（ECDLP）
   • 基本概念：设$E$是定义在有限域$K$上的椭圆曲线，$P$是$E$上的一个点，对于给定的点$Q\in E$（存在整数$n$使得$Q=nP$），椭圆曲线离散对数问题是求出整数$n$。例如，在一个简单的椭圆曲线$y^2=x^3+ax+b$在有限域$Z_p$上定义，已知点$P=(x_1,y_1)$和$Q=(x_2,y_2)$，求满足$Q=nP$的$n$。
   • 困难性：椭圆曲线离散对数问题的困难性和椭圆曲线的结构、有限域的特性等因素有关。一般来说，当椭圆曲线的参数和有限域选择合适时，求解椭圆曲线离散对数问题在计算上是非常困难的。而且，与传统的离散对数问题相比，在同等安全强度下，椭圆曲线密码体制可以使用更短的密钥长度。
   • 应用场景：椭圆曲线密码体制（ECC）广泛应用于数字签名、密钥交换等领域。如ECDSA（椭圆曲线数字签名算法）利用椭圆曲线离散对数问题的困难性来确保数字签名的安全性。在密钥交换方面，基于椭圆曲线的Diffie - Hellman密钥交换协议也提供了高效且安全的密钥协商方式。