在多大的模數大小下，logjam 減少階段變得不切實際？

用 logjam 攻擊 Diffie-Hellman 交換需要對組進行一次大規模的預計算工作，然後是一個相對簡單的縮減階段，該階段是打破每個單獨握手所必需的。在什麼 DH 大小下，未預先計算的縮減步驟變得不切實際？

例如，如果 1024 位 DH 組的縮減階段可以實時執行，並且預計算階段需要一年時間和1000萬美元的硬體（來自原始 logjam 論文的估計），那麼 DH 組將有多大？需要為縮減階段要求相同的硬體成本和單年成本 1000 萬美元（有效地否定了預計算的優勢）？

在這種規模下很難為這些步驟計算具體成本，並且可以調整參數以使預計算更昂貴以使單個日誌更便宜，但我們可以嘗試漸近地進行以獲得一個想法。預計算步驟的複雜度為 $$ L_p[1/3, 1.923] = \exp\left((1.923 + o(1)) (\log p)^{1/3} (\log \log p)^{2/3}\right),, $$ 在 1024 位素數欄位的情況下，假設 $ o(1) = 0 $ ——大約相當於 $ 2^{86} $ 操作 $ ^1 $ .

另一方面，單個對數的複雜度較小 $$ L_p[1/3, 1.232] = \exp\left((1.232 + o(1)) (\log p)^{1/3} (\log \log p)^{2/3}\right),. $$ 再一次，如果假設 $ o(1) = 0 $ 我們需要一個大致 $ 2900 $ - 單個日誌步驟的素數以匹配 1024 位預計算的成本。預計算步驟 $ 2900 $ 位將超出 $ 2^{128} $ 操作。

$ ^1 $ 這個複雜度數字通常忽略了記憶體和儲存成本，隨著數字的增長，這變得越來越重要，但無論如何這是一個粗略的近似值。

引用自：https://crypto.stackexchange.com/questions/76434