密码学领域三大经典难题：DLP、IFP 与 ECDLP

离散对数问题（DLP）
- 基本概念：在有限循环群 $G$ （通常是整数模 $p$ 乘法群 $Z_{p}^{*}$ ，其中 $p$ 为素数）中，给定一个生成元 $g$ 和元素 $h = g^{x}$ （ $x$ 为整数），离散对数问题是求出整数 $x$ 。例如，在群 $Z_{17}^{*}$ 中，生成元 $g = 3$ ，如果 $h = 12$ ，要求出满足 $3^{x} \equiv 12 (m o d 17)$ 的 $x$ 。
- 困难性：当群的阶（元素个数）很大时，通过穷举搜索所有可能的 $x$ 值来求解离散对数是非常耗时的。例如，对于一个大素数 $p$ ，其对应的群 $Z_{p}^{*}$ 的阶为 $p - 1$ 。如果 $p$ 是一个数千位的素数，尝试所有可能的 $x$ （ $0$ 到 $p - 2$ ）几乎是不可能在合理时间内完成的。
- 应用场景：Diffie - Hellman密钥交换协议和ElGamal加密算法等依赖于离散对数问题的困难性。在Diffie - Hellman中，通信双方 $A$ 和 $B$ 分别选择秘密整数 $a$ 和 $b$ ，公开 $g^{a} (m o d p)$ 和 $g^{b} (m o d p)$ ，共享密钥为 $(g^{a})^{b} = (g^{b})^{a} = g^{a b} (m o d p)$ 。攻击者若能轻易解决离散对数问题，就能获取 $a$ 和 $b$ ，从而得到共享密钥。
整数分解问题（IFP）
- 基本概念：给定一个合数 $n$ （通常是两个大素数 $p$ 和 $q$ 的乘积，即 $n = p q$ ），整数分解问题是找出 $p$ 和 $q$ 。例如，对于 $n = 91$ ，可以分解为 $7 \times 13$ ，但当 $n$ 是一个非常大的数时，如RSA加密算法中使用的大合数，分解就变得极其困难。
- 困难性：随着 $n$ 的位数增加，分解的难度呈指数级增长。目前最好的整数分解算法，如一般数域筛法（GNFS），在分解大整数时仍然需要巨大的计算资源和时间。例如，对于一个2048位的合数，使用现有的计算能力分解它可能需要数年甚至更长时间。
- 应用场景：RSA公钥加密算法的安全性基于整数分解问题。在RSA中，公钥 $(e, n)$ 和私钥 $(d, n)$ 相关，其中 $n = p q$ 。如果攻击者能够分解 $n$ 得到 $p$ 和 $q$ ，就可以计算出私钥 $d$ ，从而破解RSA加密的消息。
椭圆曲线离散对数问题（ECDLP）
- 基本概念：设 $E$ 是定义在有限域 $K$ 上的椭圆曲线， $P$ 是 $E$ 上的一个点，对于给定的点 $Q \in E$ （存在整数 $n$ 使得 $Q = n P$ ），椭圆曲线离散对数问题是求出整数 $n$ 。例如，在一个简单的椭圆曲线 $y^{2} = x^{3} + a x + b$ 在有限域 $Z_{p}$ 上定义，已知点 $P = (x_{1}, y_{1})$ 和 $Q = (x_{2}, y_{2})$ ，求满足 $Q = n P$ 的 $n$ 。
- 困难性：椭圆曲线离散对数问题的困难性和椭圆曲线的结构、有限域的特性等因素有关。一般来说，当椭圆曲线的参数和有限域选择合适时，求解椭圆曲线离散对数问题在计算上是非常困难的。而且，与传统的离散对数问题相比，在同等安全强度下，椭圆曲线密码体制可以使用更短的密钥长度。
- 应用场景：椭圆曲线密码体制（ECC）广泛应用于数字签名、密钥交换等领域。如ECDSA（椭圆曲线数字签名算法）利用椭圆曲线离散对数问题的困难性来确保数字签名的安全性。在密钥交换方面，基于椭圆曲线的Diffie - Hellman密钥交换协议也提供了高效且安全的密钥协商方式。