Вопрос 6 Криптосистемы с открытым ключом
Определение. Криптосистемой с открытым ключом, или асимметричной, называется конструкция вида (K,{Mk},{Ck},Ek,Dk), где
К — пространство ключей, элементы К имеют вид k=(e,d), e называется открытым ключом или открытой компонентой ключа (public key), d называется закрытым ключом или закрытой компонентой ключа (secret key);
{Mk}kK— пространства сообщений; [Ck}kK— пространства шифрограмм;
взаимно однозначная функция шифрования Ek:MkCk эффективностроится по открытому ключу е и является односторонней с ловушкой d;
функция дешифрования Dk:CkMk эффективно строится по закрытому ключу d;
для любого тMk справедливо равенство Dk(Ek(m))=m.
Хорошо, если для любых k1,k2K выполняется Mk1 =Mk2 Ck1 =Ck2 .
Также для сокращения записи будут использоваться следующие обозначения:
k(m) = Ek(m) — шифрование открытой компонентой ключа k;
k -1(c) = Dk(c) —дешифрование закрытой компонентой ключа k.
Вопрос 7 Факторизация
Для пары простых чисел (p,q) положим f(p,q)=pq. Тогда в качестве трудновычислимой функции рассматривается обратная функция f-1(n) — факторизация.
Наилучший из известных алгоритмов разложения числа общего вида на множители называется general number field sieve и имеет асимптотическую оценку времени работы:
Последний на момент написания данной работы рекорд— в 1996 г. разложено на множители число, состоящее из 130 десятичных цифр.
Если простые сомножители имеют специальный вид, известны более эффективные алгоритмы факторизации:
• если р-1 «гладкое», т. е. имеет только малые простые делители, может применяться алгоритм Полларда;
• если р+1 «гладкое», т. е. имеет только малые простые делители, может применяться алгоритм "р+1".
Некоторое время назад в литературе рекомендовалось при построении криптосистем на основе факторизации выбирать в качестве простых сомножителей р и q сильные простые числа (strongprimes), т, е. такие, что р±1 и q±1 имеют большие простые делители. Иногда от этих делителей требуют наличия того же свойства. Однако с появлением алгоритма факторизации с использованием эллиптических кривых, класс чисел, допускающих быструю факторизацию, расширился и простые критерии проверки принадлежности данному классу утратили свою значимость. Поэтому, единственным разумным критерием может служить размер простых множителей, поскольку с увеличением размера уменьшается вероятность выбрать число специального вида. В 1995 г. корпорация RSA Data Security рекомендовала выбирать размер п равным 1024 или 2048 битам.
Вопрос 8 Дискретный логарифм
Пусть G— некоторая циклическая конечная группа. Для aG, xN положим ga(x)=ax. Тогда трудновычислимой считается обратная функция ga-1 — дискретный логарифм. Обычно в качестве элемента а берется образующий элемент группы G. При этом дискретный логарифм можно вычислять для любого элемента группы и все возможные значения показателя х образуют группу Z|G| с операцией сложения, где | G | — порядок группы. Дискретный логарифм в общем случае трудно вычислить во всех группах, перечисленных в п. 3.1. Наилучший из известных алгоритмов вычисления дискретного логарифма в произвольной абелевой группе G имеет асимптотическую оценку времени исполнения O(q1/'2), где q — наибольший простой делитель порядка группы | G |. Следовательно, для того чтобы дискретный логарифм в Zp* было трудно вычислить, р должно быть равно qt+1, где q — большое простое число.
Наилучший из известных на сегодняшний день алгоритмов вычисления дискретного логарифма в Zp* называется general number field sieve, основывается он на тех же принципах, что одноименный алгоритм факторизации, и имеет аналогичную асимптотическую оценку времени работы:
.
[1]