Литература / Криптография с открытым ключом (А. Саломаа)
.pdf4.1. lEGALXNYJ MIR |
171 |
tEPEpX WEpNEMSQ K OB]EMU SLU^A@. sISTEMA RSA TAKVE MOVET BYTX RASSMOTRENA SOGLASNO OB]IM PRINCIPAM POSTROENIQ KRIPTOSISTEM S OTKRYTYM KL@^OM, PREDSTAWLENNYH W PARAGRAFE 2.2. nA^ALXNAQ POSTANOWKA ZDESX NE TAK QSNA, KAK, K PRIMERU, DLQ KRIPTOSISTEM NA OSNOWE ZADA^I OB UKLADKE R@KZAKA. w KA^ESTWE TRUDNOJ ZADA^I P MOVNO WYBRATX FAKTORIZACI@ n, KOGDA IZWESTNO, ^TO n | \TO PROIZWEDENIE DWUH PROSTYH ^ISEL. lEGKOJ PODZADA^EJ Peasy QWLQETSQ ZADA^A P S DOPOLNITELXNYM ZNANIEM '(n). pEREME[ANNAQ WERSIQ Peasy ESTX PROSTO SAMA P . iLI W KA^ESTWE TRUDNOJ ZADA^I P MOVNO WYBRATX RE[ENIE SRAWNENIQ
|
xe ´ c |
(mod n) ; |
|
KOGDA IZWESTNA TROJKA (e; c; n), |
OBRAZU@]AQ RSA. Peasy |
W \TOM SLU- |
|
^AE ESTX ZADA^A P S DOPOLNITELXNYM ZNA^ENIEM ODNOJ |
IZ WELI^IN |
||
'(n); d; p; |
q. o^EWIDNY SLEDU@]IE DWA PUNKTA (1) I (2), HOTQ ONI |
||
POROVDA@T |
MNOGO NEDORAZUMENIJ. |
|
(1)nET PROTIWORE^IQ MEVDU TEM, ^TO DLQ ZADANNOGO ^ISLA n MOVNO OPREDELITX, QWLQETSQ LI ONO SOSTAWNYM ILI NET, I TEM, ^TO n NE MOVET BYTX FAKTORIZOWANO. pERWYJ FAKT TREBUETSQ PRI pAZpABOTKE RSASISTEM, TOGDA KAK FAKTORIZACIQ n WSKRYWAET KRIPTOSISTEMU. dEJSTWITELXNO, SU]ESTWUET MNOGO REZULXTATOW W FORME \ESLI n | PROSTOE, TO WYPOLNQETSQ USLOWIE C(n)". sLEDOWATELXNO, ESLI MY ZAMETIM, ^TO C(n) NE WYPOLNQETSQ, TO n | SOSTAWNOE, NO \TO E]E NE ZNA^IT, ^TO MY MOVEM FAKTORIZOWATX n.
(2)dLQ FUNKCIJ DEJSTWITELXNYH PEREMENNYH NE SU]ESTWUET RAZNICY, S TO^KI ZRENIQ SLOVNOSTI, MEVDU WOZWEDENIEM W STEPENX I WY^ISLENIEM LOGARIFMOW. w DISKRETNOM SLU^AE MODULXNOE WOZWEDENIE W STEPENX QWLQETSQ LEGKIM, W TO WREMQ KAK NAHOVDENIE LOGARIFMOW TRUDNOWY^ISLIMO. pOSLEDNQQ ZADA^A BUDET RASSMOTRENA W PARAGRAFE 4.6.
zADA^I IDENTIFIKACII I CIFROWOJ PODPISI UVE OBSUVDALISX W PA-
RAGRAFE 2.3. pODPISI UKAZYWA@T NA POLXZOWATELQ. pUSTX eA, dA, nA | \KSPONENTY ZA[IFROWANIQ, pAS[IFROWANIQ I MODULX, ISPOLXZUEMYE A. pOTREBUEM WNA^ALE, ^TOBY PRI PEREDA^E SOOB]ENIJ NEOBHODIMOJ BYLA
TOLXKO PODPISX, A NE SEKRETNOSTX. tOGDA A POSYLAET PARU (w; DA(w)), GDE
DA(w) = (wdA ; mod nA) :
pOLU^ATELX MOVET PROWERITX PODPISX, PRIMENQQ OPUBLIKOWANNU@ \KSPONENTU ZA[IFROWANIQ A eA. tAK KAK TOLXKO A OBLADAET dA, NIKTO DRUGOJ NE MOVET PODPISATX SOOB]ENIE w.
oDNAKO PpOTIWNIK MOVET WYBRATX ^ISLO c, WY^ISLITX
EA(c) = (ceA ; mod nA)
172 gLAWA 4. kRIPTOSISTEMA RSA
I S USPEHOM UTWERVDATX, ^TO c | PODPISX A W SOOB]ENII EA(c). |TOT METOD ATAKI MOVET BYTX ISPOLXZOWAN TOLXKO DLQ NAHOVDENIQ PODPISEJ NEPREDSKAZUEMYH SOOB]ENIJ: TOLXKO A MOVET PODPISATX WYBRANNOE SOOB]ENIE. tAKIE NEPREDSKAZUEMYE SOOB]ENIQ BUDUT IMETX SMYSL S O^ENX NEWYSOKOJ WEROQTNOSTX@, NAPRIMER, KOGDA ISHODNYE SOOB]ENIQ POLU^A@TSQ ^ISLOWYM KODIROWANIEM NEKOTOROGO ESTESTWENNOGO QZYKA. tOGDA IZBYTO^NOSTX W SOOB]ENIQH WYSOKA, I TOLXKO O^ENX MALENXKIE PORCII BLOKOW OPREDELENNOGO RAZMERA QWLQ@TSQ ^ISLOWYMI KODAMI ^ASTEJ OSMYSLENNOGO ISHODNOGO TEKSTA. w DOPOLNENIE K STEPENI NEOPREDELENNOSTI WAVEN TAKVE TIP NEOPREDELENNOSTI ISHODNYH TEKSTOW. w ^ASTNOSTI, NI INWERSIQ OSMYSLENNOGO SOOB]ENIQ, NI PROIZWEDENIE DWUH OSMYSLENNYH SOOB]ENIJ NE BUDET OSMYSLENNYM. iNA^E PEpEHWAT- ^IK, ZNAQ PODPISX si A W SOOB]ENII wi; i = 1; 2, MOVET PODPISATX S PRAWILXNOJ PODPISX@ A SOOB]ENIE (w1w2; mod nA) I (w1¡1; mod nA),
ISPOLXZUQ (s1s2; mod nA) I (s¡1 1; mod nA).
rASSMOTRIM PERWU@ ILL@STRACI@ PRIMERA 4.1. pODPISQMI DLQ SOOB]ENIJ 12 I 29 QWLQ@TSQ 23 I 24 SOOTWETSTWENNO. o^EWIDNO, ^TO
(12 ¢ 29; mod 55) = 18 I (29¡1; mod 55) = 19
MOVET BYTX ZATEM PODPISANO, ISPOLXZUQ
(23 ¢ 24; mod 55) = 2 I (24¡1; mod 55) = 39 :
dLQ POSTROENIQ NOWYH PODPISEJ TREBU@TSQ TOLXKO nA I PODPISI DLQ wi. |TOT METOD PODDELKI PRIWEDET K PROIZWEDENI@ BOLEE ^EM DWUH MNOVITELEJ. tAK KAK, O^EWIDNO, dA WSEGDA NE^ETNO, MY MOVEM PODPISATX TAKVE (¡w1; mod nA), ISPOLXZUQ (¡s1; mod nA).
pOTREBUEM TEPERX, ^TOBY PRI POSYLKE SOOB]ENIQ TREBOWALISX I PODPISX, I SEKRETNAQ PEREDA^A: POSYLAQ PODPISANNOE SOOB]ENIE K B, A WNA^ALE PODPISYWAET EGO, ISPOLXZUQ (dA; nA), A ZATEM ZA[IFROWYWAET REZULXTAT, PpIMENQQ PApU (eB; nB). B SNA^ALA RAS[IFROWYWAET TEKST, ISPOLXZUQ \KSPONENTU RAS[IFROWANIQ dB, POSLE ^EGO ORIGINALXNOE SOOB]ENIE MOVET BYTX POLU^ENO PRIMENENIEM OTKpYTOGO KL@^A ZA[IFROWANIQ eA. pRISUTSTWIE dA W SOOB]ENII GARANTIRUET, ^TO ONO BYLO POSLANO OT A. kAK I RANEE, NADO BYTX OSTOROVNYM, POTOMU ^TO WOZMOVNA PODDELKA PODPISI W NEPREDSKAZUEMYH SOOB]ENIQH.
sU]ESTWUET TAKVE I DRUGAQ SLOVNOSTX, WOZNIKA@]AQ IZ TOGO, ^TO A I B ISPOLXZU@T RAZNYE MODULI. pUSTX nA > nB. tOGDA DA(w) NE OBQZATELXNO LEVIT W INTERWALE [1; nB ¡1] I SWEDENIE PO MODUL@ nB, KOTOROE BUDET OBQZATELXNO WYPOLNQTXSQ PRI LEGALXNOM RAS[IFROWANII, O^ENX TRUDNO. sU]ESTWUET DWA PUTI PREODOLENIQ \TOJ SLOVNOSTI.
4.2. HAPADENIE I ZA]ITA |
173 |
(1) wSE POLXZOWATELI DOGOWARIWA@TSQ OB OB]EM POROGE t. kAVDYJ POLXZOWATELX A WYBIRAET DWA KL@^A RSA | ODIN DLQ PODPISI, DRUGOJ DLQ ZA[IFROWANIQ. ~ASTI OBOZNA^A@TSQ s I e SOOTWETSTWENNO. kAVDYJ POLXZOWATELX A ZABOTITSQ O TOM, ^TOBY nsA < t < neA. tRUDNOSTI, OPISANNYE WY[E, NE POQWLQ@TSQ, ESLI A POSYLAET SOOB]ENIE w K B W WIDE
EBe (DAs (w)) :
(2) mOVNO TAKVE IZBEVATX POROGOWOGO ^ISLA, ESLI SOOB]ENIQ OT A K B POSYLA@TSQ W WIDE EB(DA(w)) ILI DA(EB(w)), W ZAWISIMOSTI OT TOGO, KAKOE IZ NERAWENSTW nA < nB, nB < nA WYPOLNQETSQ.
4.2. HAPADENIE I ZA]ITA
w PREDYDU]EM PARAGRAFE MY UVE OBSUDILI, KAK PpOTIWODEJSTWOWATX ATAKE S PODDELKOJ PODPISEJ. sU]ESTWUET MNOGO KRIPTOANALITI^ESKIH ATAK PROTIW KRIPTOSISTEM RSA, NO NI ODNA IZ NIH NE KAVETSQ SERXEZNOJ. w \TOM PARAGRAFE MY OBSUDIM NEKOTORYE TIPI^NYE ATAKI I OBRATIM WNIMANIE NA NEKOTOpYE DRUGIE ASPEKTY, KASA@]IESQ PREDOTWRA- ]ENIQ O^EWIDNYH ATAK.
rASSMOTRIM WNA^ALE WYBOR p I q. oNI DOLVNY BYTX SLU^AJNYMI PROSTYMI ^ISLAMI I NE SODERVATXSQ NI W ODNOJ IZ IZWESTNYH TABLIC PROSTYH ^ISEL. pRI FAKTORIZACII MOVNO WSEGDA PROWERITX WS@ TABLICU ILI PEREBRATX POSLEDOWATELXNOSTX PROSTYH ^ISEL SPECIFI^E- SKOGO WIDA. |TI DWA PROSTYH ^ISLA TAKVE NE DOLVNY BYTX BLIZKIMI DRUG K DRUGU. w PpOTIWNOM SLU^AE (PpI p > q) (p¡q)=2 MALO, A (p+q)=2 TOLXKO NEMNOGO BOLX[E, ^EM pn. bOLEE TOGO
(p + q)2 |
n = |
(p ¡ q)2 |
||
4 |
¡ |
|||
|
4 |
I, SLEDOWATELXNO, LEWAQ STORONA RAWENSTWA OBRAZUET POLNYJ KWADRAT. fAKTORIZUQ n, PROWERQEM CELYE ^ISLA x > pn DO TEH POR, POKA NE
NAJDEM TAKOE, |
^TO x2 ¡ n ESTX POLNYJ KWADRAT, |
SKAVEM y2. |
tOGDA |
|||
p = x + y I q = x ¡ y. |
p |
|
|
|
|
|
k PRIMERU, |
DLQ n = 97343 MY IMEEM |
n |
|
= 311998. |
tEPERX |
3122 ¡ n = 1, KOTOROE PRQMO DAET p = 313 I q = 311. w CELOM REKOMENDUETSQ, ^TOBY DWOI^NOE PREDSTAWLENIE p I q RAZLI^ALOSX PO DLINE NA NESKOLXKO BITOW.
pRI WYBORE p I q TAKVE DOLVNO BYTX RASSMOTRENO I '(n). oBA ^ISLA p ¡ 1 I q ¡ 1 ^ETNY, IZ ^EGO SLEDUET, ^TO '(n) DELITSQ NA 4. pOTREBUEM, ^TOBY (p¡1; q¡1) BYLO BOLX[IM, I PO\TOMU NAIMENX[EE OB]EE KRATNOE
174 |
gLAWA 4. kRIPTOSISTEMA RSA |
p¡1 I q¡1 MALO PO SRAWNENI@ S '(n). tOGDA L@BAQ INWERSIQ e PO MODUL@ u BUDET RABOTATX KAK \KSPONENTA pAS[IFROWANIQ. tAK KAK W \TOM SLU^AE NAMNOGO LEG^E NAJTI d PROSTOJ PROWERKOJ, p¡1 I q¡1 NE DOLVNY IMETX BOLX[OJ OB]IJ DELITELX.
wYpOVDENNYM QWLQETSQ SLU^AJ, KOGDA ODNO IZ p ¡ 1 ILI q ¡ 1, SKAVEM q ¡ 1, DELIT DRUGOE. tOGDA DOSTATO^NO RASSMOTRETX INWERSII e PO MODUL@ p ¡ 1. wNOWX RASSMOTRIM PRIMER. pUSTX n = 11041 I e = 4013. l@BAQ INWERSIQ 4013 PO MODUL@ 180 MOVET BYTX ISPOLXZOWANA KAK \KSPONENTA pAS[IFROWANIQ, TAK KAK NAIMENX[EE OB]EE KRATNOE p ¡ 1 I q ¡ 1 BUDET pAWNO 180. tAKIM OBRAZOM, MY POLU^AEM d = 17.
rAZpABOT^IK KRIPTOSISTEMY TAKVE DOLVEN IZBEGATX SITUACII, KOGDA W pAZLOVENII '(n) NA MNOVITELI U^ASTWU@T TOLXKO O^ENX MALENXKIE PROSTYE ^ISLA. pUSTX WSE PROSTYE MNOVITELI r '(n) MENX[E NEKOTOROGO CELOGO k. tAK KAK [logr n] QWLQETSQ NAIBOLX[IM POKAZATELEM STEPENI MNOVITELQ r, KOTORYJ, WEpOQTNO, MOVET DELITX '(n), TO MOVNO PEpEBpATX WSEH KANDIDATOW v DLQ '(n) I PROWERITX KRIPTOTEKST WOZWEDENIEM W STEPENX (v+1)=e, OBESPE^IWAQ PRI \TOM, ^TOBY POKAZATELX BYL CELYM ^ISLOM.
pUTEM PREODOLENIQ OBEIH TRUDNOSTEJ, KASA@]IHSQ '(n), QWLQETSQ RASSMOTRENIE TOLXKO \BEZOPASNYH" PROSTYH ^ISEL. pO OPREDELENI@, PROSTOE ^ISLO p BEZOPASNO TOGDA I TOLXKO TOGDA, KOGDA (p ¡ 1)=2 TAKVE QWLQETSQ PROSTYM ^ISLOM. pRIMERY BEZOPASNYH PROSTYH ^ISEL | 83, 107 I 10100 ¡ 166517. o^EWIDNO, ^TO GENERACIQ BEZOPASNYH PROSTYH ^I- SEL p I q NAMNOGO TRUDNEE, ^EM GENERACIQ OBY^NYH PROSTYH ^ISEL. oTKRYTOJ QWLQETSQ SLEDU@]AQ ZADA^A | SU]ESTWUET BESKONE^NO MNOGO ILI NET BEZOPASNYH PROSTYH ^ISEL.
iME@TSQ DRUGIE SWOJSTWA p, q I '(n), KOTORYE MOGUT OBLEG^ITX FAKTORIZACI@ I RAS[IFROWANIE. rAZpABOT^IK KRIPTOSISTEMY RSA DOLVEN U^ITYWATX IH, A TAKVE SWOJSTWA, KOTORYE MOGUT BYTX OBNARUVENY W BUDU]EM. dEJSTWITELXNO, NAIBOLEE O^EWIDNYE SREDI PODOBNYH SWOJSTW U^ITYWA@TSQ W SU]ESTWU@]EM DLQ RSA KOMPX@TERNOM OBESPE^ENII.
wYBOR p I q TAKVE WAVEN S TO^KI ZRENIQ WOZMOVNOJ ATAKI, OSNOWAN-
NOJ NA POSLEDOWATELXNOM pAS[IFROWANII. |TO OZNA^AET, ^TO PpOCESS NA^INAETSQ S KRIPTOTEKSTA c0 I WY^ISLENIQ ^ISEL
ci = (cei¡1; mod n); i = 1; 2; : : : ;
POKA NE NAJDUT OSMYSLENNOGO ci. nETpUDNO POKAZATX, ^TO WOZMOVNOSTX USPEHA TAKOJ ATAKI MALOWEROQTNA, ESLI p ¡ 1 I q ¡ 1 IME@T BOLX[IE PROSTYE MNOVITELI p0 I q0, A TAKVE p0 ¡ 1 I q0 ¡ 1 IME@T BOLX[IE PROSTYE MNOVITELI. lEGKO OCENITX WEROQTNOSTX USPEHA PO RAZMERAM ISPOLXZUEMYH PROSTYH MNOVITELEJ.
4.2. HAPADENIE I ZA]ITA |
175 |
pUSTX p I q UVE WYBRANY. rASSMOTRIM WYBOR e I d. oN NE QWLQETSQ NEZAWISIMYM, POTOMU ^TO ODNO IZ NIH OPREDELQET WTOROE. oBY^NO d NE DOLVNO BYTX MALO, INA^E ONO MOVET BYTX NAJDENO PEpEBOpOM. |TO QWLQETSQ ApGUMENTOM W POLXZU TOGO, PO^EMU MY PRI PROEKTIROWANII SISTEMY SNA^ALA FIKSIRUEM d, A ZATEM WY^ISLQEM e.
oDNAKO MALENXKOE e TAKVE MOVET PRIWESTI K RISKU DLQ BEZOPASNOSTI, KAK POKAZANO, K PRIMERU, W [Wie]. eSLI ODINAKOWOE SOOB]ENIE POSYLAETSQ NESKOLXKIM POLU^ATELQM, TO KRIPTOANALIZ MOVET STATX WOZMOVNYM. pUSTX A, B, C IME@T OTKpYTU@ \KSPONENTU ZA[IFROWANIQ 3, TOGDA KAK MODULQMI QWLQ@TSQ nA, nB, nC. (mY POLAGAEM TAKVE, ^TO L@BYE DWA MODULQ WZAIMNO PROSTY.) iTAK, PEpEDA@TSQ SOOB]ENIQ
(w3; mod ni); i = A; B; C :
kRIPTOANALITIK, PEREHWATYWA@]IJ \TI SOOB]ENIQ, MOVET WY^ISLITX ^ISLO
w1 = (w3; mod nAnBnC)
PO KITAJSKOJ TEOREME OB OSTATKAH. tAK KAK w MENX[E KAVDOGO IZ MODULEJ, MY DOLVNY IMETX w3 = w1. |TO OZNA^AET, ^TO KRIPTOANALITIK MOVET NAJTI w IZWLE^ENIEM KUBI^ESKOGO KORNQ IZ w1.
eSLI nA = 517, nB = 697, nC = 667 I TREMQ PEREHWA^ENNYMI SOOB]E- NIQMI QWLQ@TSQ 131, 614 I 127, TO KRIPTOANALITIK WY^ISLQET SNA^ALA INWERSII m¡i 1 (mod ni), i = A; B; C, GDE mi | PROIZWEDENIE DWUH DRUGIH MODULEJ. w \TOM SLU^AE PROIZWEDENIQ RAWNY 464899, 344839, 360349 I IH INWERSII 156, 99, 371. sLEDOWATELXNO,
w1 ´ 131 ¢ mA ¢ m¡A1 + 614 ¢ mB ¢ m¡B1 + 127 ¢ mC ¢ m¡C1 (mod nAnBnC): tAK KAK nAnBnC = 240352783, KRIPTOANALITIK ZAKL@^AET, ^TO
w1 = w3 = 91125000 ;
IZ KOTOROGO POLU^AETSQ ISHODNYJ TEKST w = 450.
hOTQ, S TO^KI ZRENIQ BEZOPASNOSTI, VELATELXNO, ^TOBY OBA e I d QWLQLISX BOLX[IMI, MALYE e I d PREDPO^TITELXNEE, KOGDA KpITI^NO WREMQ WYPOLNENIQ ZA[IFROWANIQ ILI pAS[IFROWANIQ. nEBOLX[IE \KSPONENTY POLEZNY, KOGDA SU]ESTWUET BOLX[AQ RAZNICA W WY^ISLITELXNYH MO]NOSTQH MEVDU DWUMQ SWQZYWA@]IMISQ STORONAMI. tIPI^NYM QWLQETSQ PRIMER, KOGDA RSA ISPOLXZUETSQ DLQ SWQZI POLXZOWATELEJ KpEDITNYH KApTO^EK S BOLX[IM KOMPX@TEROM. tOGDA O^ENX POLEZNO DLQ POLXZOWATELEJ IMETX NEBOLX[OE d, A DLQ BOLX[OGO KOMPX@TERA IMETX NEBOLX[OE e. w SITUACIQH, KAK W \TOJ, DOLVEN BYTX DOSTIGNUT KOMPROMISS MEVDU BEZOPASNOSTX@ I DOSTUPNYMI WY^ISLITELXNYMI MO]- NOSTQMI.
176 |
gLAWA 4. kRIPTOSISTEMA RSA |
oBRATIM WNIMANIE, NAKONEC, NA KURXEZ, ^TO W KAVDOJ KRIPTOSISTEME RSA NEKOTORYE BLOKI ISHODNOGO SOOB]ENIQ PpI ZA[IFROWANII PEpEHODQT SAMI W SEBQ. dEJSTWITELXNO, SU]ESTWUET PO MENX[EJ MERE ^ETYRE BLOKA ISHODNOGO TEKSTA, UDOWLETWORQ@]IH OBOIM USLOWIQM E(w) = w I (w; n) = 1. o^EWIDNO, ^TO
(1e; mod p) = (1e; mod q) = 1 I
((p ¡ 1)e; mod p) = p ¡ 1; ((q ¡ 1)e; mod q) = q ¡ 1 ;
POSLEDNIE RAWENSTWA SLEDU@T IZ TOGO FAKTA, ^TO e WSEGDA NE^ETNO. mY POLU^AEM PO KITAJSKOJ TEOREME OB OSTATKAH ODNOWREMENNOE RE[ENIE SRAWNENIJ
x ´ a (mod p) I x ´ b (mod q) :
kOGDA MY POTREBUEM, ^TOBY a I b PRINIMALI NEZAWISIMYE ZNA^ENIQ §1, MY POLU^IM ^ETYRE ^ISLA w, UDOWLETWORQ@]IH
(we; mod n) = w :
w PERWOJ ILL@STRACII PRIMERA 4.1, ^ETYRE TAKIH ^ISLA w | 1, 21, 34, 54. w \TOM POpQDKE ONI SOOTWETSTWU@T PARAM (a; b): (1; 1), (1; ¡1), (¡1; 1) I (¡1; ¡1).
eSLI USLOWIE (w; n) = 1 IGNORIRUETSQ, TO w = 0 TAKVE MOVET BYTX ISHODNYM TEKSTOM I SU]ESTWUET, PO MENX[EJ MERE, DEWQTX ^ISEL w S E(w) = w. |TO WIDNO TO^NO TAK VE, KAK I RANEE, U^ITYWAQ, ^TO TEPERX WOZMOVNYM ZNA^ENIEM DLQ a I b QWLQETSQ I 0. w PRIMERE 4.1 MY POLU^AEM SLEDU@]IE PQTX DOPOLNITELXNYH ZNA^ENIJ: 0, 45, 10, 11, 44.
dISKUSSIQ, PROWEDENNAQ WY[E, POKAZYWAET, ^TO OPREDELENNYH ISHODNYH TEKSTOW NUVNO IZBEGATX. tAKVE DOLVNY IGNOpIpOWATXSQ OPREDELENNYE \KSPONENTY ZA[IFROWANIQ e. eSLI e ¡ 1 QWLQETSQ KRATNYM OBOIH ^ISEL p ¡1 I q ¡1, TO KAVDOE w UDOWLETWORQET pAWENSTWU E(w) = w. |TO NEPOSREDSTWENNO SLEDUET IZ TEOREMY |JLERA. tAKIM OBRAZOM, e = '(n)=2 + 1 QWLQETSQ OSOBENNO PLOHIM WYBOROM, HOTQ I LEVIT W OBY^NOM DIAPAZONE DLQ e.
4.3. pROWERKA ^ISEL NA PROSTOTU
|TOT PARAGRAF PREDSTAWLQET NEKOTORYE OSNOWNYE FAKTY, WKL@^A@]IE PROWERKU ^ISEL NA PROSTOTU I FAKTORIZACI@, OSOBENNO S TO^KI ZRENIQ RSA. dLQ BOLEE DETALXNOGO OBSUVDENIQ ^ITATELX MOVET OBpATITXSQ K [Ko] I K SSYLKAM, WSTRE^A@]IMSQ DALEE.
zADA^A PRIMALITY(n) UVE RASSMATRIWALASX W PARAGRAFE 2.2. |F- FEKTIWNYJ ALGORITM DLQ \TOJ ZADA^I O^ENX WAVEN PRI PROEKTIROWANII
4.3. pROWERKA ˆISEL NA PROSTOTU |
177 |
RSA-KRIPTOSISTEM. nEIZWESTNO, PRINADLEVIT LI \TA ZADA^A KLASSU P . oDNAKO \TO NESU]ESTWENNOE PREPQTSTWIE S TO^KI ZRENIQ RSA, POTOMU ^TO MY KONSTRUIRUEM TOLXKO PROSTYE ^ISLA OPREDELENNOGO RAZMERA I, KROME TOGO, WPOLNE PRIEMLEMYMI QWLQ@TSQ STOHASTI^ESKIE ALGORITMY S NIZKOJ WEROQTNOSTX@ NEUSPEHA.
tAKIE STOHASTI^ESKIE ALGORITMY RABOTA@T W BOLX[INSTWE SLU^AEW, KAK OPISANO DALEE. rASSMOTRIM TEST NA SOSTAWNOSTX C(m). eSLI CELOE ^ISLO m USPE[NO PpOHODIT TEST, TO ONO QWLQETSQ SOSTAWNYM. eSLI m NE PROHODIT TESTA, m MOVET BYTX PROSTYM. wEROQTNOSTX DLQ m BYTX PROSTYM ^ISLOM WOZRASTAET S ^ISLOM NEUDA^NYH TESTOW NA SOSTAWNOSTX. dAVE ESLI m MINUET TEST NA SOSTAWNOSTX, MY E]E STOLKNEMSQ S O^ENX TRUDNOJ ZADA^EJ FAKTORIZACII m. kAK MY UVE UPOMINALI, BEZOPASNOSTX RSA OSNOWANA NA DOPU]ENII, ^TO NAMNOGO LEG^E NAJTI DWA BOLX- [IH PROSTYH ^ISLA p I q, ^EM RASKRYTX IH, ESLI IZWESTNO TOLXKO IH PROIZWEDENIE n. |TO DOPU]ENIE OSNOWANO LI[X NA \MPIRI^ESKIH DANNYH, DOKAZANNYH TEOREM TAKOGO pODA NE SU]ESTWUET.
tAK KAK pAZpABOT^IK RSA-KRIPTOSISTEMY STALKIWAETSQ S O^ENX MALOWEROQTNOJ WOZMOVNOSTX@, ^TO SGENEpIpOWANNOE IM ^ISLO p DEJSTWITELXNO QWLQETSQ SOSTAWNYM, ISSLEDUEM, ^TO MOVET OZNA^ATX TAKAQ O[IBKA. eSLI p = p1p2, GDE p1, p2, KAK I q, QWLQ@TSQ PROSTYMI ^I- SLAMI, TO pAZpABOT^IK RABOTAET S LOVNOJ '1(n) = (p ¡ 1)(q ¡ 1), TOGDA KAK PRAWILXNOJ BUDET FUNKCIQ '(n) = (p1 ¡ 1)(p2 ¡ 1)(q ¡ 1). pUSTX u | NAIMENX[EE OB]EE KRATNOE ^ISEL p1 ¡ 1, p2 ¡ 1, q ¡ 1. pUSTX TAKVE (w; n) = 1. tOGDA PO TEOREME |JLERA SPRAWEDLIWY SRAWNENIQ
wp1¡1 ´ 1 (mod p1); wp2¡1 ´ 1 (mod p2); wq¡1 ´ 1 (mod q)
I SRAWNENIE wu ´ 1 WERNO DLQ WSEH TREH MODULEJ. iZ \TOGO SLEDUET
wu ´ 1 (mod n) :
o^EWIDNO, u DELIT '(n). eSLI u DELIT TAKVE '1(n), TO
w'1(n)+1 ´ w (mod n) ;
OTKUDA SLEDUET, ^TO ZA[IFROWANIE I pAS[IFROWANIE WYPOLNQ@TSQ TAK, KAK ESLI BY p BYLO PROSTYM ^ISLOM. |TO SLU^AETSQ, K PRIMERU, ESLI pAZpABOT^IK KRIPTOSISTEMY WYBIRAET p = 91, q = 41. tOGDA
n = 3731; '1(n) = 3600; '(n) = 2880 :
nAIMENX[EE OB]EE KRATNOE u ^ISEL 6, 12 I 40 RAWNO 120, ^ISLU, DELQ]EMU '1(n) = 3600. iZ \TOGO USLOWIQ TAKVE SLEDUET, ^TO ESLI (d; '1(n)) = 1, TO TAKVE (d; '(n)) = 1. iTAK, PO LOVNOJ FUNKCII '1
178 |
gLAWA 4. kRIPTOSISTEMA RSA |
MOVNO WY^ISLITX e, DLQ KOTOpOGO SNOWA BUDET WYPOLNQTXSQ pAWENSTWO D(E(w)) = w. |TO NIKAK NE POWLIQET NA BEZOPASNOSTX SISTEMY KpOME TOGO, ^TO NAIMENX[EE OB]EE KRATNOE BUDET ZNA^ITELXNO MENX[E '(n). oDNAKO ESLI u NE DELIT '1(u), TO W BOLX[INSTWE SLU^AEW D(E(w)) 6=w, I \TOT FAKT, WEROQTNO, BUDET ZAME^EN pAZpABOT^IKOM. pUSTX W KA^ESTWE PpOSTYH ^ISEL WYBRANY p = 391 I q = 281, HOTQ
391 = 17 ¢ 23. tOGDA PpOEKTIpOW]IK SISTEMY RABOTAET S
n = 109871 |
I |
'1(n) = 109200 ; |
TOGDA KAK W DEJSTWITELXNOSTI '(n) = 98560. w \TOM SLU^AE u = 6160. w SAMOM DELE, KAVDOE IZ ^ISEL 16, 22, 280 DELIT 6160. oDNAKO u NE DELIT '1(n), \TO SLEDUET IZ TOGO FAKTA, ^TO 11 DELIT u, NO NE DELIT '1(n). rAZpABOT^IK MOVET TEPERX WYBRATX d = 45979 I WY^ISLITX e = 19. dLQ ISHODNOGO TEKSTA w = 8 POLU^IM
wed¡1 = 8873600 ´ 66879 (mod 109871) :
dLQ WY^ISLENIQ \TOGO OTMETIM, ^TO 811 ´ 70 (mod n), I U^ITYWAEM,
^TO 86160 ´ 1 (mod n).
pUSTX m | NE^ETNOE CELOE ^ISLO I (w; m) = 1. eSLI m PROSTOE, TO PO TEOREME |JLERA (TAKVE NAZYWAEMOJ W \TOM SLU^AE MALOJ TEOREMOJ
fERMA) |
|
(*) |
wm¡1 ´ 1 (mod m) : |
eSLI m NE QWLQETSQ PROSTYM, WYPOLNENIE (*) WOZMOVNO, NO MALOWEROQTNO. w \TOM SLU^AE m QWLQETSQ PSEWDOPROSTYM PO OSNOWANI@ w. |TO NEMEDLENNO DAET SLEDU@]IJ TEST NA SOSTAWNOSTX: m USPE[NO PROHODIT TEST C(m) TOGDA I TOLXKO TOGDA, KOGDA
(*)0 |
|
|
|
|
|
|
|
wm¡1 6= 1 |
(modm) ; |
||
DLQ NEKOTOROGO wi |
S (w; m) = 1. |
eSLI m NE UDOWLETWORQET TESTU C(m) |
|||||||||
DLQ w, T.E. WYPOLNQETSQ (*), TO m E]E MOVET BYTX SOSTAWNYM. |
|||||||||||
wOZXMEM |
^ISLO |
m = 91, |
RASSMOTRENNOE WY[E. tOGDA 290 = |
||||||||
= 264 |
2 |
16 |
2 |
8 |
2 |
2 |
´ 16 |
¢ 16 ¢ 74 ¢ 4 ´ |
64 |
(mod 91), ^TO GOWORIT O TOM, ^TO |
|
|
|
|
|
90 |
´ 1 (mod 91), ^TO GOWORIT O |
||||||
91 | SOSTAWNOE. s DRUGOJ STORONY, 3 |
TOM, ^TO 91 | PSEWDOPROSTOE PO OSNOWANI@ 3. mOVNO ANALOGI^NO DOKAZATX, ^TO 341 | PSEWDOPROSTOE PO OSNOWANI@ 2 I 217 | PSEWDOPROSTOE PO OSNOWANI@ 5. w DEJSTWITELXNOSTI MOVNO DOSTATO^NO LEGKO POKAZATX, ^TO TRI ^ISLA 341, 91 I 217 QWLQ@TSQ NAIMENX[IMI PSEWDOPROSTYMI ^ISLAMI PO OSNOWANIQM 2, 3 I 5 SOOTWETSTWENNO.
4.3. pROWERKA ˆISEL NA PROSTOTU |
179 |
nAZOWEM CELOE ^ISLO w, DLQ KOTOROGO (w; m) = 1 I WYPOLNENO SpAWNENIE (*), SWIDETELEM PROSTOTY ^ISLA m. kAK MY WIDIM, SU]ESTWU@T TAKVE I \LOVNYE SWIDETELI", DLQ KOTORYH m QWLQETSQ TOLXKO PSEWDOPROSTYM. mETOD, S WYSOKOJ WEROQTNOSTX@ POKAZYWA@]IJ, ^TO m PROSTOE, SOSTOIT IZ OTBOpA BOLX[OGO ^ISLA SWIDETELEJ PpOSTOTY m. sLEDU@]IJ REZULXTAT OBESPE^IWAET NEKOTOROE TEORETI^ESKOE OBOSNOWANIE \TOGO FAKTA.
lEMMA 4.2 wSE ILI NE BOLEE POLOWINY CELYH ^ISEL w, GDE 1 · w < m I (w; m) = 1, QWLQ@TSQ SWIDETELQMI PpOSTOTY m.
dOKAZATELXSTWO. pUSTX w NE QWLQETSQ SWIDETELEM (WYPOLNQETSQ
(*)0). pUSTX wi, 1 · i · t, | \TO WSE SWIDETELI. tOGDA ^ISLA
ui = (wwi; mod m); 1 · i · t;
POPApNO RAZLI^NY I UDOWLETWORQ@T USLOWIQM 1 · ui < m I (ui; m) = 1. nET ^ISLA ui, KOTOROE MOVET BYTX SWIDETELEM, POTOMU ^TO
1 ´ umi ¡1 ´ wm¡1wim¡1 ´ wm¡1 (mod m)
BUDET PROTIWORE^ITX (*)0. sU]ESTWUET STOLXKO VE ^ISEL ui, SKOLXKO WSEH SWIDETELEJ.
2
wEROQTNOSTNYJ ALGORITM RABOTAET SLEDU@]IM OBRAZOM. zADAW m, WYBIRAEM SLU^AJNOE w, GDE 1 · w < m. nAIBOLX[IJ OB]IJ DELITELX (w; m) NAHODITSQ S POMO]X@ ALGORITMA eWKLIDA. eSLI (w; m) > 1, ZAKL@^AEM, ^TO m SOSTAWNOE. w PROTIWNOM SLU^AE WY^ISLQEM
u= (wm¡1; mod m) POSLEDOWATELXNYMI WOZWEDENIQMI W KWADRAT. eSLI
u6= 1,ZAKL@^AEM, ^TO m SOSTAWNOE. eSLI u = 1, TO w | SWIDETELX PpOSTOTY m I MY IMEEM NEKOTOROE OBOSNOWANIE, ^TO m MOVET BYTX PROSTYM. ~EM BOLX[E SWIDETELEJ MY NAJDEM, TEM SILXNEE BUDET \TO OBOSNOWANIE. kOGDA MY NAJDEM k SWIDETELEJ, PO LEMME 4.2 WEROQTNOSTX TOGO, ^TO m BUDET SOSTAWNYM, NE PREWOSHODIT 2¡k, TAK KAK W HUD[EM
SLU^AE WSE ^ISLA w (c (w; m) = 1 I w < m) QWLQ@TSQ SWIDETELQMI. eSLI m | PROSTOE, TO WSE ^ISLA QWLQ@TSQ SWIDETELQMI, I OBOSNOWANIE PRIWODIT K PRAWILXNOMU ZAKL@^ENI@. oDNAKO WSE ^ISLA MOGUT BYTX SWIDETELQMI DLQ m, NE QWLQ@]EGOSQ PROSTYM. tAKIE ^ISLA m NAZYWA- @TSQ ^ISLAMI kARMI[ELQ. pO OPREDELENI@, NE^ETNOE SOSTAWNOE ^ISLO m NAZYWAETSQ ^ISLOM kARMI[ELQ TOGDA I TOLXKO TOGDA, KOGDA WYPOLNQETSQ (*) DLQ WSEH w S (w; m) = 1.
180 gLAWA 4. kRIPTOSISTEMA RSA
lEGKO DOKAZATX, ^TO ^ISLO kARMI[ELQ NIKOGDA NE QWLQETSQ KWADRATOM DRUGOGO ^ISLA I ^TO NE^ETNOE SOSTAWNOE ^ISLO m, NE QWLQ@]EESQ KWADRATOM, ESTX ^ISLO kARMI[ELQ TOGDA I TOLXKO TOGDA, KOGDA DLQ PpOSTOGO p, DELQ]EGO m, p ¡ 1 DELIT m ¡ 1. iZ \TOGO SLEDUET, ^TO ^ISLO kARMI[ELQ DOLVNO BYTX PROIZWEDENIEM NE MENEE TREH RAZLI^NYH PROSTYH ^ISEL. k PRIMERU, DLQ m = 561 = 3 ¢ 11 ¢ 17 KAVDOE IZ TREH ^ISEL 3 ¡ 1, 11 ¡ 1, 17 ¡ 1 DELIT 561 ¡ 1 I, SLEDOWATELXNO, 561 QWLQETSQ ^ISLOM kARMI[ELQ. w DEJSTWITELXNOSTI \TO NAIMENX[EE ^ISLO kARMI[ELQ.
~ISLAMI kARMI[ELQ QWLQ@TSQ TAKVE 1729, 294409 I 56052361. wSE ONI IME@T WID (6i + 1)(12i + 1)(18i + 1), GDE TRI MNOVITELQ QWLQ@TSQ PROSTYMI ^ISLAMI. (uKAZANNYE WY[E ^ISLA POLU^A@TSQ DLQ ZNA^ENIJ i = 1; 6; 35.) wSE ^ISLA \TOGO WIDA, GDE TRI MNOVITELQ QWLQ@TSQ PROSTYMI ^ISLAMI, QWLQ@TSQ ^ISLAMI kARMI[ELQ. sU]ESTWU@T TAKVE ^I- SLA kARMI[ELQ DRUGOGO WIDA, K PRIMERU 2465 I 172081. nEIZWESTNO, BESKONE^NO LI MNOVESTWO ^ISEL kARMI[ELQ. oCENKA WEROQTNOSTI 2¡k DLQ ALGORITMA, OPISANNOGO WY[E, NE WERNA, ESLI PROWERQEMOE ^ISLO m QWLQETSQ ^ISLOM kARMI[ELQ. s POMO]X@ \TOGO ALGORITMA MY TOLXKO IMEEM [ANS NAJTI, ^TO m SOSTAWNOE, POPAW PpI SLU^AJNOM WYBOpE NA ^ISLO w S (w; m) > 1.
tEPERX OPI[EM TEST, NAZYWAEMYJ TESTOM PROWERKI PROSTOTY sOLOWEQ{{TRASSENA. oN O^ENX POHOV NA TEST, OPISANNYJ WY[E, ZA ISKL@^ENIEM TOGO, ^TO WMESTO USLOWIQ (*) ISPOLXZUETSQ DRUGOE USLOWIE (**). oDNAKO DLQ POSLEDNEGO USLOWIQ NET ANALOGOW ^ISEL kARMI[ELQ. tAKIM OBRAZOM, ^EM BOLX[E SWIDETELEJ MY NAJDEM, TEM WY[E BUDET WEROQTNOSTX TOGO, ^TO PROWERQEMOE ^ISLO QWLQETSQ PROSTYM. w PpI-
LOVENII B ^ITATELX MOVET NAJTI OPREDELENIE SIMWOLOW lEVANDRA I |
||||
qKOBI |
³mw ´. |
|
||
lEMMA 4.3 eSLI m | PROSTOE, TO DLQ WSEH w |
||||
|
w(m¡1)=2 ´ ³ |
w |
|
|
(**) |
|
´ |
(mod m) : |
|
m |
dOKAZATELXSTWO. o^EWIDNO, (**) WYPOLNQETSQ, ESLI m DELIT w. iNA^E, PO MALOJ TEOREME fERMA,
(wm¡1; mod m) = 1; DA@]EE (w(m¡1)=2; mod m) = §1 :
pUSTX g | OBRAZU@]AQ F ¤(m) (SM. PARAGRAF 3.5) I w = gj. tOGDA
³ ´
mw = 1 , j | ^ETNO , (w(m¡1)=2; mod m) = 1. iTAK, OBE ^ASTI (**) SRAWNIMY S §1 I SRAWNIMY S +1 TOGDA I TOLXKO TOGDA, KOGDA j | ^ETNO.
2