Литература / Криптография с открытым ключом (А. Саломаа)
.pdf
4.3. pROWERKA ˆISEL NA PROSTOTU |
181 |
nE^ETNYE SOSTAWNYE m, UDOWLETWORQ@]IE (**), DLQ NEKOTOROGO w S
(w; m) = 1, NAZYWA@TSQ PSEWDOPROSTYMI \JLEROWYMI ^ISLAMI PO OSNO-
WANI@ w. tAK KAK (**) WLE^ET (*), TO \JLEROWY PSEWDOPROSTYE ^ISLA PO OSNOWANI@ w TAKVE QWLQ@TSQ I PSEWDOPROSTYMI ^ISLAMI PO OSNOWANI@ w. oBRATNOE NEWERNO: 91 | PSEWDOPROSTOE, NO NE QWLQETSQ \JLEROWYM PSEWDOPROSTYM PO OSNOWANI@ 3, TAK KAK WYPOLNQETSQ (*), NO 345 ´ 27 (mod 91), OTKUDA SLEDUET, ^TO (**) NE WYPOLNQETSQ. 91 ESTX \JLEROWOE PSEWDOPROSTOE ^ISLO PO OSNOWANI@ 10. sLEDU@]AQ LEMMA QWLQETSQ ANALOGOM LEMMY 4.2, NO SWQZANA S (**) WMESTO (*).
lEMMA 4.4 eSLI m | NE^ETNOE SOSTAWNOE ^ISLO, TO NE BOLEE POLOWINY CELYH ^ISEL w, GDE (w; m) = 1 I 1 · w < m, UDOWLETWORQET USLOWI@ (**).
dOKAZATELXSTWO. wNA^ALE POSTROIM w0, TAKOE, ^TO (**) NE WYPOL-
NQETSQ (DLQ w = w0). pUSTX KWADRAT p2 PROSTOGO ^ISLA p DELIT m. tOGDA
³ ´
MY WYBIRAEM w0 = 1 + m=p. tEPERX |
w0 |
= 1, NO LEWAQ ^ASTX (**) NE |
m |
SRAWNIMA S 1 (mod m), TAK KAK p NE DELIT (m ¡ 1)=2.
pUSTX m | PROIZWEDENIE RAZLI^NYH PROSTYH ^ISEL I p ODNO IZ NIH. wYBEREM L@BOJ KWADRATI^NYJ NEWY^ET s PO MODUL@ p I PUSTX w0, GDE 1 · w0 < n, UDOWLETWORQET SRAWNENIQM
w0 ´ s (mod p); w0 ´ 1 (mod m=p) :
tAKOE w0 MOVET BYTX NAJDENO S POMO]X@ KITAJSKOJ TEOREMY OB OSTAT-
³ ´
KAH. tOGDA wm0 = ¡1, NO
(w0)(m¡1)=2 ´ 1 (mod m=p); DA@]EE (w0)(m¡1)=2 6=¡1 (mod m) :
pOLU^IW w0, DLQ KOTOpOGO USLOWIE (**) NE WYPOLNQETSQ, RASSMOTRIM WSE CELYE ^ISLA wi, 1 · i · t, UDOWLETWORQ@]IE (**) (KAK OBY^NO S USLOWIQMI 1 · wi < t, (wi; m) = 1). wSE ^ISLA
ui = (w0wi; mod m); 1 · i · t
RAZLI^NY I UDOWLETWORQ@T USLOWIQM 1 · ui < m I (ui; m) = 1. eSLI NEKOTOROE ui UDOWLETWORQET (**), POLU^IM
(w0)(m¡1)=2wi(m¡1)=2 ´ ³ m0 |
´³ mi ´ |
(mod m) : |
|||
|
|
w |
|
w |
|
tAK KAK wi UDOWLETWORQET (**), TO DALEE IMEEM |
|
||||
(w0)(m¡1)=2 ´ ³ m0 ´ |
(mod m) ; |
||||
|
w |
|
|
|
|
182 |
gLAWA 4. kRIPTOSISTEMA RSA |
PROTIWORE^A]EE FAKTU, ^TO w0 NE UDOWLETWORQET (**). sLEDOWATELXNO, NI ODNO IZ ^ISEL ui NE UDOWLETWORQET (**). iH BUDET STOLXKO VE, SKOLXKO ^ISEL wi.
2
tEST sOLOWEQ{{TRASSENA ISPOLXZUET USLOWIE (**) TO^NO W TOM VE SMYSLE, ^TO I NA[ PREVNIJ ALGORITM ISPOLXZOWAL (*). pROWERQQ PROSTOTU m, MY WNA^ALE WYBIRAEM SLU^AJNOE ^ISLO w < m. eSLI (w; m) >
1, TO m | SOSTAWNOE. iNA^E PROWERQEM WYPOLNIMOSTX (**). |TO LEGKO, S
³ ´
TO^KI ZRENIQ SLOVNOSTI, TAK KAK ZNA^ENIE |
w |
MOVET BYTX WY^ISLENO |
|
m |
|
BYSTRO S POMO]X@ ZAKONA KWADRATI^NOJ OBRATIMOSTI. eSLI (**) NE WYPOLNENO, TO m | SOSTAWNOE. iNA^E w QWLQETSQ SWIDETELEM PROSTOTY m, WYBIRAEM DRUGOE SLU^AJNOE ^ISLO MENX[EE m I POWTORQEM PROCEDURU. pOSLE NAHOVDENIQ k SWIDETELEJ ZAKL@^AEM S POMO]X@ LEMM 4.3 I 4.4, ^TO WEROQTNOSTX TOGO, ^TO m SOSTAWNOE, NE PREWOSHODIT 2¡k. rEZULXTAT POLU^AETSQ SILXNEE, ^EM S POMO]X@ PREDYDU]EGO ALGORITMA, TAK KAK LEMMA 4.4 POKAZYWAET, ^TO NE SU]ESTWUET ANALOGOW ^ISEL kARMI[ELQ PRI RABOTE S (**). oDNAKO OCENKA LEMMY 4.4 NE MOVET BYTX ULU^[ENA. sU]ESTWU@T ^ISLA m, KOTORYE QWLQ@TSQ \JLEROWYMI PSEWDOPROSTYMI TO^NO NA POLOWINE WSEH WOZMOVNYH OSNOWANIJ. pRIMERAMI QWLQ@TSQ RANEE UPOMQNUTYE ^ISLA kARMI[ELQ 1729 I 56052361.
sU]ESTWUET I DRUGAQ MODIFIKACIQ TESTA PROWERKI PROSTOTY, GDE OCENKA DEJSTWITELXNO MOVET BYTX ULU^[ENA: NE BOLEE 25% WOZMOVNYH ^ISEL QWLQ@TSQ (LOVNYMI) SWIDETELQMI PROSTOTY DLQ SOSTAWNOGO ^ISLA m. oPI[EM \TOT TEST, IZWESTNYJ KAK TEST mILLERA{rABINA. nEKOTORYE TEORETIKO-^ISLOWYE FAKTY BUDUT PREDSTAWLENY BEZ DOKAZATELXSTW (DLQ PODROBNOGO OZNAKOMLENIQ SM. [Ko]). dOKAZATELXSTWA QWLQ- @TSQ BOLEE SLOVNYMI, ^EM DLQ PREDYDU]IH TESTOW.
pUSTX m PSEWDOPROSTOE PO OSNOWANI@ w, T.E. WYPOLNENO (*). iDEQ SOSTOIT W POSLEDOWATELXNOM IZWLE^ENII KWADRATNYH KORNEJ IZ SRAWNENIQ (*) I PROWERKI, ^TO PERWOE OTLI^NOE OT 1 ^ISLO W PRAWOJ ^ASTI SRAWNENIQ DEJSTWITELXNO pAWNO ¡1. eSLI m PROSTOE, PERWOE TAKOE ^I- SLO DOLVNO RAWNQTXSQ ¡1, POTOMU ^TO TOGDA TOLXKO §1 QWLQ@TSQ KWADRATI^NYMI KORNQMI PO MODUL@ m. iTAK, MY POLU^ILI DRUGOJ TEST PROWERKI NA PROSTOTU. eSLI m NE UDOWLETWORQET \TOMU TESTU, T.E. PERWOE ^ISLO, OTLI^NOE OT 1, RAWNO ¡1, NO m SOSTAWNOE, TO m NAZYWAETSQ
SILXNYM PSEWDOPROSTYM ^ISLOM PO OSNOWANI@ w.
pREDSTAWIM TEST BOLEE PODROBNO. pUSTX m | NE^ETNOE SOSTAWNOE ^ISLO I s | MAKSIMALXNAQ STEPENX DWOJKI, KOTOpAQ DELIT m ¡ 1, T.E.
m ¡ 1 = 2sr; GDE r | NE^ETNO .
4.3. pROWERKA ˆISEL NA PROSTOTU |
183 |
wYBEREM ^ISLO w S 1 · w < m I (w; m) = 1. zNA^IT, m SILXNOE PSEWDOPROSTOE PO OSNOWANI@ w TOGDA I TOLXKO TOGDA, KOGDA WYPOLNQ@TSQ SLEDU@]IE USLOWIQ:
(***)ILI wr ´ 1 (mod m) ILI w2s0r ´ ¡1 (mod m) ;
DLQ NEKOTOROGO s0 S 0 · s0 < s.
zAMETIM, ^TO FORMALXNOE OPREDELENIE UTO^NQET IDE@ IZWLE^ENIQ KWADRATNYH KORNEJ IZ SRAWNENIQ
wm¡1 = w2sr ´ 1 (mod m) :
nET KWADRATNYH KORNEJ, KOTORYE MOGUT BYTX IZWLE^ENY, ESLI W LEWOJ ^ASTI OSTANETSQ wr.
mOVNO POKAZATX, ^TO SILXNOE PSEWDOPROSTOE ^ISLO m PO OSNOWANI@ w QWLQETSQ TAKVE \JLEROWYM PSEWDOPROSTYM ^ISLOM PO OSNOWANI@ w. eSLI m ´ 3 (mod 4), TO TAKVE WERNO I OBRATNOE: W \TOM SLU^AE \JLEROWOE PSEWDOPROSTOE ^ISLO m PO OSNOWANI@ w QWLQETSQ TAKVE SILXNYM PSEWDOPROSTYM ^ISLOM PO OSNOWANI@ w.
w TESTE mILLERA{rABINA MY PO ZADANNOMU NE^ETNOMU CELOMU ^ISLU
mSNA^ALA WY^ISLQEM m¡1 = 2sr, GDE r NE^ETNO. kAK I pANEE WYBIpAEM SLU^AJNOE ^ISLO w I PROWERQEM (***). eSLI TEST NE WYPOLNQETSQ, TO m | SOSTAWNOE. iNA^E w QWLQETSQ SWIDETELEM PROSTOTY m (W \TOM SLU^AE
m| PROSTOE ILI SILXNOE PSEWDOPROSTOE ^ISLO PO OSNOWANI@ w), I MY POWTORQEM PROCEDURU DLQ DRUGOGO w. pOSLE NAHOVDENIQ k SWIDETELEJ PROSTOTY m MOVNO ZAKL@^ITX, ^TO WEROQTNOSTX TOGO, ^TO m SOSTAWNOE, NE PREWOSHODIT 4¡k. |TO QWLQETSQ REZULXTATOM SLEDU@]EJ LEMMY.
lEMMA 4.5 eSLI m NE^ETNOE SOSTAWNOE CELOE ^ISLO, TO m QWLQETSQ SILXNYM PSEWDOPROSTYM ^ISLOM PO OSNOWANI@ w DLQ NE BOLEE 25% OT WSEH w, UDOWLETWORQ@]IH NERAWENSTWAM 1 · w < m.
~TOBY BYTX PO^TI UWERENNYM W TOM, ^TO m PROSTOE, SOWSEM NE OBQZATELXNO PROWERQTX BOLX[OE ^ISLO OSNOWANIJ w, ESLI m QWLQETSQ SILXNYM PSEWDOPROSTYM ^ISLOM PO KAVDOMU IZ \TIH OSNOWANIJ. k PRIMERU, RASSMOTRIM ^ETYpE OSNOWANIQ 2, 3, 5, 7. tOLXKO ODNO SOSTAWNOE ^ISLO m < 2:5 ¢ 1010, A IMENNO m = 3215031751, QWLQETSQ SILXNYM PSEWDOPROSTYM PO KAVDOMU IZ \TIH ^ETYREH OSNOWANIJ.
mOVNO SDELATX DAVE BOLEE OB]EE UTWERVDENIE, POLAGAQ, ^TO WERNA \OBOB]ENNAQ GIPOTEZA rIMANA". pRI \TOM PREDPOLOVENII, ESLI m NE- ^ETNOE SOSTAWNOE CELOE ^ISLO, TO (***) NARU[AETSQ, PO KRAJNEJ MERE DLQ ODNOGO w < 2(ln m)2. tAKIM OBRAZOM, DOSTATO^NO PROWERITX ^I- SLA w TOLXKO DO \TOJ GRANICY. nA \TOM PUTI TEST mILLERA{rABINA
184 |
gLAWA 4. kRIPTOSISTEMA RSA |
TRANSFORMIRUETSQ W DETERMINIROWANNYJ ALGORITM S POLINOMIALXNYM WREMENEM RABOTY. (oBY^NAQ GIPOTEZA rIMANA SOSTOIT W UTWERVDENII, ^TO WSE KOMPLEKSNYE NULI rIMANOWOJ DZETA-FUNKCII, KOTORYE LEVAT NA \KRITI^ESKOJ POLOSE" (GDE DEJSTWITELXNAQ ^ASTX MENQETSQ OT 0 DO 1), NA SAMOM DELE LEVAT NA \KRITI^ESKOJ LINII" (GDE DEJSTWITELXNAQ ^ASTX RAWNA 1=2). oBOB]ENNAQ GIPOTEZA rIMANA SOSTOIT IZ TOGO VE SAMOGO UTWERVDENIQ DLQ OBOB]ENIJ DZETA-FUNKCIJ, NAZYWAEMYH L- SERIQMI dIRIHLE.)
pUSTX n QWLQETSQ MODULEM RSA. eSLI MY MOVEM NAJTI w TAKOE, ^TO n PSEWDOPROSTOE, NO NE SILXNOE PSEWDOPROSTOE PO OSNOWANI@ w, TO MY W SOSTOQNII FAKTORIZOWATX n. |TO WEpNO, TAK KAK W \TOM SLU^AE MOVNO NAJTI ^ISLO u 6´ §1 (mod n) TAKOE, ^TO u2 ´ 1 (mod n), OTKUDA SLEDUET, ^TO (u+1; n) ESTX NETRIWIALXNYJ MNOVITELX n. mOVNO IZBEVATX \TOGO PRI pAZpABOTKE KRIPTOSISTEMY, ESLI BYTX UWERENNYM, ^TO p ¡ 1 I q ¡ 1 NE IME@T BOLX[OGO OB]EGO DELITELQ.
mY E]E WERNEMSQ K WOPROSAM, SWQZANNYM S (***), W PARAGRAFE 4.4. tOLXKO STAREJ[IJ I SAMYJ MEDLENNYJ TEST, RE[ETO |RATOSFENA, DEJSTWITELXNO DAET PROSTOJ MNOVITELX m, OTKUDA SLEDUET, ^TO m SOSTAWNOE. rE[ETO SOSTOIT IZ PROWEROK DELIMOSTI m NA PROSTYE ^ISLA · pm. wSE BOLEE BYSTRYE TESTY PpOWEpKI ^ISEL NA PROSTOTU OBY^NO
GOWORQT TOLXKO O TOM, ^TO m SOSTAWNOE, NE UPOMINAQ O MNOVITELQH. iZWESTNO MNOGO METODOW FAKTORIZACII. mY NE OBSUVDAEM IH ZDESX,
TAK KAK NI ODIN IZ NIH NE OSU]ESTWIM DLQ STANDARTNOJ SISTEMY RSA S n, SOSTOQ]IM PRIBLIZITELXNO IZ 200 RAZRQDOW. aSIMPTOTI^ESKI SAMYE BYSTRYE ALGORITMY FAKTORIZACII TREBU@T WREMENI RABOTY
p
O(e® ln n ln ln n) ;
GDE KONSTANTA ® = 1+² DLQ PROIZWOLXNO MALOGO ². kO WREMENI NAPISANIQ \TOJ KNIGI FAKTORIZACIQ 100-RAZRQDNYH ^ISEL BYLA E]E PpAKTI^ESKI NEOSU]ESTWIMOJ.
4.4. kRIPTOANALIZ I FAKTORIZACIQ
kAK MY UVE OTME^ALI, NET DOKAZATELXSTW TOGO, ^TO DLQ KpIPTOANALIZA RSA W DEJSTWITELXNOSTI NEOBHODIMA FAKTORIZACIQ n. pREDPOLOVIM, ^TO KRIPTOANALIZ MOVET BYTX OSU]ESTWLEN DRUGIMI SPOSOBAMI. oDNAKO ESLI \TI SPOSOBY PRIOTKRYWA@T NEKOTORYE ^ASTI SEKRETNOJ LAZEJKI, TO ONI TAKVE PRIWODQT I K BYSTROJ FAKTORIZACII n. pOKAVEM \TO. pERWYJ REZULXTAT O^ENX PROST.
4.4. kRIPTOANALIZ I FAKTORIZACIQ |
185 |
lEMMA 4.6 l@BOJ ALGORITM DLQ WY^ISLENIQ '(n) PRIMENIM DLQ FAKTORIZACII n BEZ UWELI^ENIQ SLOVNOSTI.
dOKAZATELXSTWO. mNOVITELX p MOVET BYTX SRAZU VE WY^ISLEN IZ |
|
URAWNENIJ p + q = n ¡ '(n) + 1 I p ¡ q = p(p + q)2 ¡ 4n. |
2 |
pUSTX TEPERX MY IMEEM METOD DLQ WY^ISLENIQ \KSPONENTY DE[I- FROWKI d. mY HOTIM POKAZATX, KAK \TOT METOD MOVET BYTX ISPOLXZOWAN DLQ FAKTORIZACII n. sLU^AJ NE TAK PROST, KAK W LEMME 4.6. bOLEE TOGO, REZULXTIRU@]IJ ALGORITM DLQ FAKTORIZACII BUDET WEROQTNOSTNYM. wEROQTNOSTX NEUDA^I MOVET BYTX SDELANA SKOLX UGODNO MALOJ. sLOVNOSTX NOWOGO ALGORITMA SU]ESTWENNO NE PREWY[AET SLOVNOSTI ALGORITMA DLQ WY^ISLENIQ d. kONE^NO, ONA ZAWISIT OT FIKSIROWANNOJ WEROQTNOSTI, NO DLQ L@BOJ WEROQTNOSTI NOWYJ ALGORITM WY^ISLQET d ZA POLINOMIALXNOE WREMQ.
tEOREMA 4.1 aLGORITM DLQ WY^ISLENIQ d MOVET BYTX PREOBRAZOWAN W WEROQTNOSTNYJ ALGORITM DLQ FAKTORIZACII n.
dOKAZATELXSTWO. dOKAZATELXSTWO OSNOWANO NA TEH VE IDEQH, ^TO I PpI OBSUVDENII PSEWDOPROSTYH I SILXNYH PSEWDOPROSTYH ^ISEL W PARAGRAFE 4.3. pREDSTAWIM DOKAZATELXSTWO, NE ZAWISQ]EE OT POSLEDNEGO OBSUVDENIQ, PO DWUM PRI^INAM. wO-PEpWYH, WMESTO PpOIZWOLXNOGO m MY SWQZANY ZDESX SO SPECIALXNYM SLU^AEM MODULEJ n RSA, I, WO-WTORYH, ^ITATELX MOVET IZU^ITX TEOREMU 4.1 BEZ PRO^TENIQ PREDYDU]EGO PARAGRAFA.
w DOKAZATELXSTWE ISPOLXZU@TSQ ^ISLA w, UDOWLETWORQ@]IE USLOWIQM 1 · w < n I (w; n) = 1. |TI USLOWIQ DALEE NE POWTORQ@TSQ, HOTQ IME@TSQ W WIDU. o^EWIDNO, ^TO ESLI SLU^AJNYJ WYBOR w < n UDOWLETWORQET NERAWENSTWU (w; n) > 1, TO MY TUT VE POLU^IM MNOVITELX n. |TO BUDET WERNYM I W TOM SLU^AE, ESLI MY NAJDEM NETRIWIALXNYJ KWADRATNYJ KORENX IZ 1 (mod n), T. E. ^ISLO u SO SWOJSTWAMI:
u 6´ §1 (mod n) I u2 ´ 1 (mod n) :
tOGDA (u+1)(u¡1) DELITSQ NA n, NO NE QWLQETSQ MNOVITELEM, I, SLEDOWATELXNO, (u + 1; n) RAWNO p ILI q. (|TO UVE OTME^ALOSX W PARAGRAFE 4.3.) tAK KAK DANNYJ ALGORITM WY^ISLQET d, MY MOVEM NEMEDLENNO PO-
LU^ITX ed ¡ 1 W WIDE
ed ¡ 1 = 2sr; s ¸ 1; r | NE^ETNO :
186 |
gLAWA 4. kRIPTOSISTEMA RSA |
tAK KAK ed ¡ 1 QWLQETSQ KRATNYM '(n), MY POLU^AEM SRAWNENIE
w2sr ´ 1 (mod n)
DLQ PROIZWOLXNOGO w. (wSPOMNIM DOPOLNITELXNYE USLOWIQ DLQ w.) sLEDOWATELXNO, DLQ NEKOTOROGO s0, GDE 0 · s0 · s, s0 QWLQETSQ NAIMENX[IM ^ISLOM, DLQ KOTOROGO WYPOLNENO SRAWNENIE
|
w2s0r ´ 1 (mod n) : |
|
eSLI TEPERX |
|
|
(*) |
s0 > 0 I w2s0¡1r |
1 (mod n) ; |
|
|
6´ ¡ |
MY NAJDEM NETRIWIALXNYJ KWADRATNYJ KORENX IZ 1 (mod n) I, SLEDOWATELXNO, ZAWER[IM DOKAZATELXSTWO.
pUSTX (*) NE WYPOLNQETSQ, T.E.
(*)0 wr ´ 1 (mod n) ILI w2tr ´ ¡1 (mod n) DLQ t; 0 · t < s :
zDESX PERWOE SRAWNENIE GOWORIT O TOM, ^TO MY W SOSTOQNII SWESTI s0 K 0, A WTOROE, ^TO ZNA^ENIE s0 ¡ 1 = t DEJSTWITELXNO PRIWODIT K NEKOTOROMU SRAWNENI@ S ¡1.
tEPERX OPREDELIM WERHN@@ GRANICU DLQ ^ISEL w, UDOWLETWORQ@]IH
(*)0. tAKIE ^ISLA w NEVELATELXNY S TO^KI ZRENIQ FAKTORIZACII, TOGDA KAK ^ISLA w, UDOWLETWORQ@]IE (*), PREDPO^TITELXNY.
zAPI[EM p ¡ 1 I q ¡ 1 W FORME
p ¡ 1 = 2ia; q ¡ 1 = 2jb; GDE a I b | NE^ETNY :
nE TERQQ OB]NOSTI, S^ITAEM, ^TO i · j. tAK KAK 2sr QWLQETSQ KRATNYM '(n), TO r ESTX KRATNOE ab. sLEDOWATELXNO, ESLI t ¸ i, TO 2tr | KRATNOE p ¡ 1 I
w2tr ´ 1 (mod p) :
dALEE POLU^AEM
w2tr 6´ ¡1 (mod p); OTKUDA w2tr 6´ ¡1 (mod n) :
|TO OZNA^AET, ^TO (*)0 NIKOGDA NE WYPOLNENO DLQ t ¸ i. tAK KAK i < s, TO MOVNO ZAPISATX (*)0 W \KWIWALENTNOJ FORME
(*)00 wr ´ 1 (mod n) ILI w2tr ´ ¡1 (mod n); DLQ t; 0 · t < i :
4.4. kRIPTOANALIZ I FAKTORIZACIQ |
187 |
tEPERX OCENIM KOLI^ESTWO ^ISEL w, UDOWLETWORQ@]IH PERWOMU SRAWNENI@ W (*)00. pUSTX g | OBRAZU@]AQ F ¤(p) I w ´ gu (mod p). (oTMETIM, ^TO W \TOM DOKAZATELXSTWE MY GOWORIM O ^ISLAH, KOTORYE MY NE W SOSTOQNII WY^ISLITX. oNI ISPOLXZU@TSQ TOLXKO DLQ PROWERKI SPRAWEDLIWOSTI ALGORITMA I NE POQWLQ@TSQ PRI WYPOLNENII.) o^EWIDNO, KAVDOE IZ SRAWNENIJ
wr ´ 1 (mod p) I ur ´ 0 (mod p ¡ 1)
WLE^ET DRUGOE. sLEDOWATELXNO, SRAWNENIQ IME@T ODINAKOWOE ^ISLO RE- [ENIJ OTNOSITELXNO NEIZWESTNYH w I u. ~ISLO RE[ENIJ POSLEDNEGO SRAWNENIQ RAWNO (r; p ¡ 1) = a. zNA^IT, a QWLQETSQ ^ISLOM RE[ENIJ PERWOGO SRAWNENIQ.
aNALOGI^NO POLU^AEM, ^TO b QWLQETSQ ^ISLOM RE[ENIJ SRAWNENIQ wr ´ 1 (mod q). iZ \TOGO SLEDUET, ^TO ab QWLQETSQ ^ISLOM RE[ENIJ SRAWNENIQ wr ´ 1 (mod n). (zAMETIM, ^TO KAVDAQ PARA RE[ENIJ DLQ p- I q- SRAWNENIJ DAET RE[ENIE DLQ n-SRAWNENIQ PO KITAJSKOJ TEOREME OB OSTATKAH. wSEGO TAKIH PAR ab.)
oCENIM TEPERX KOLI^ESTWO w, UDOWLETWORQ@]IH WTOROMU USLOWI@ W
(*)00. aRGUMENTIRUQ, KAK I RANEE, MY ZAKL@^AEM, ^TO ^ISLO RE[ENIJ w DLQ SRAWNENIQ
w2t+1r ´ 1 (mod p) (SOOTWETSTWENNO w2tr ´ 1 (mod p))
RAWNO (2t+1r; p ¡ 1) WERNO, TAK KAK t + 1
= 2t+1a (SOOTWETSTWENNO (2tr; p ¡ 1) = 2ta). |TO · i. sLEDOWATELXNO, ^ISLO RE[ENIJ SRAWNENIQ
w2tr ´ ¡1 (mod q)
NE PREWOSHODIT 2t+1a ¡ 2ta = 2ta. aNALOGI^NO, ^ISLO RE[ENIJ SRAWNENIQ
w2tr ´ ¡1 (mod q)
NE PREWOSHODIT 2tb. (zDESX NEOBHODIMO NERAWENSTWO i · j: t + 1 · i · j.) pO\TOMU ^ISLO RE[ENIJ w SRAWNENIQ
w2tr ´ ¡1 (mod n)
NE PREWOSHODIT 2ta ¢ 2tb = 22tab.
tEPERX MY GOTOWY POLU^ITX WERHN@@ GRANICU DLQ KOLI^ESTWA NEVELATELXNYH w, T.E. w, UDOWLETWORQ@]IH (*)0, ILI, ^TO \KWIWALENTNO,
(*)00. tAKAQ WERHNQQ OCENKA POLU^AETSQ SLOVENIEM ^ISLA RE[ENIJ DLQ
188 |
gLAWA 4. kRIPTOSISTEMA RSA |
PERWOGO I WTOROGO SRAWNENIJ W (*)00, POSLEDNEE ^ISLO BUDET SUMMOJ PO WSEWOZMOVNYM ZNA^ENIQM t:
ab + ab i¡1 |
22t = ab 1 + i¡1 |
4t |
¢ |
= ab 1 + |
4i ¡ 1 |
= |
|
X |
¡ |
X |
|
¡ |
|
¢ |
|
t=0 |
|
t=0 |
|
|
|
3 |
|
|
|
|
|
|
|
||
=ab¡23 ¢ 22i¡1 + 23¢ · ab¡32 ¢ 2i+j¡1 + 23¢ =
=ab¡2i+j¡1 + 13(2 ¡ 2i+j¡1)¢ · ab ¢ 2i+j¡1 ='(n)=2 :
(zDESX ISPOLXZUETSQ NERAWENSTWO 1 · i · j.) tAK KAK '(n) pAWNO ^ISLU WSEWOZMOVNYH w, TO NE BOLEE 50% WSEH w NEVELATELXNY. |TO OZNA^AET, ^TO POSLE PROWERKI k ^ISEL w WEROQTNOSTX NENAHOVDENIQ VELAEMOGO w NE PREWOSHODIT 2¡k, BYSTRO STREMQ]EGOSQ K 0.
2
w WY[EPRIWEDENNYH RASSUVDENIQH MY MOVEM RASSMATRIWATX W KA- ^ESTWE VELAEMYH ^ISLA w S (w; n) > 1. tOGDA ^ISLO WSEWOZMOVNYH w RAWNO n ¡ 1 I '(n)=2 MENX[E, ^EM 50%. oDNAKO \TO ULU^[ENIE OCENKI NESU]ESTWENNO, TAK KAK ^ISLA w S (w; n) > 1 QWLQ@TSQ O^ENX REDKIMI ISKL@^ENIQMI. oSNOWYWAQSX NA OBOB]ENNOJ GIPOTEZE rIMANA, MOVNO POKAZATX, ^TO SU]ESTWUET O^ENX MALO VELAEMYH w. pO\TOMU TEOREMA 4.1 MOVET BYTX SFORMULIROWANA, NAPpIMEp, W WIDE: L@BOJ DETERMINIROWANNYJ POLINOMIALXNYJ ALGORITM DLQ WY^ISLENIQ d MOVET BYTX PREOBRAZOWAN W DETERMINIROWANNYJ POLINOMIALXNYJ ALGORITM DLQ FAKTORIZACII n.
sISTEMA RSA TAKVE PRIMENIMA W SITUACII, KOGDA MODULI, \KSPONENTY ZA[IFROWANIQ I pAS[IFROWANIQ RASSYLA@TSQ S POMO]X@ AGENTSTWA, KOTOROMU DOWEpQ@T WSE U^ASTNIKI. pUSTX AGENTSTWO PUBLIKUET OB]IJ DLQ WSEH MODULX n, \KSPONENTY ZA[IFROWANIQ eA, eB; : : : POLXZOWATELEJ A, B; : : : . dOPOLNITELXNO AGENTSTWO RASSYLAET POLXZOWATELQM INDIWIDUALXNO SEKRETNYE \KSPONENTY pAS[IFROWANIQ dA, dB; : : : . pROSTYE ^ISLA p I q IZWESTNY TOLXKO \TOMU AGENTSTWU. uQZWIMOSTX TAKOJ SHEMY ISPOLXZOWANIQ RSA SLEDUET IZ TEOREMY 4.2. mETOD DOKAZATELXSTWA ANALOGI^EN METODU IZ TEOREMY 4.1, A pEZULXTAT MOVET BYTX RASSMOTREN KAK PRIMER KRIPTOANALIZA BEZ FAKTORIZACII n.
tEOREMA 4.2 dLQ WY[EOPISANNOJ SHEMY L@BOJ POLXZOWATELX W SOSTOQNII DETERMINIROWANNO NAJTI ZA KWADRATI^NOE WREMQ SEKRETNU@ \KSPONENTU pAS[IFROWANIQ DRUGOGO POLXZOWATELQ (BEZ FAKTORIZACII n).
4.4. kRIPTOANALIZ I FAKTORIZACIQ |
189 |
dOKAZATELXSTWO. pOKAVEM, KAK B MOVET NAJTI dA. dLQ NEKOTOROGO k
eBdB ¡ 1 = k'(n) :
B NE ZNAET k, NO ZNAET eB; dB; eA I n. pUSTX t | NAIBOLX[EE ^ISLO, DELQ]EE eBdB ¡ 1 I IME@]EE OB]IJ S eA NETRIWIALXNYJ MNOVITELX. oBOZNA^IM
® = (eBdB ¡ 1)=t; GDE (®; eA) = 1 :
mY NE MOVEM WYBRATX t = (eBdB ¡ 1; eA), TAK KAK, K PRIMERU, KWADRAT MNOVITELQ eA MOVET DELITX eBdB ¡1. sU]ESTWUET, ODNAKO, PROSTOJ DETERMINIROWANNYJ ALGORITM S KWADRATI^NYM WREMENEM DLQ WY^ISLENIQ t I ®.
dEJSTWITELXNO, OBOZNA^IM
eBdB ¡ 1 = g0; |
(g0; eA) = h0 |
I OPREDELIM INDUKTIWNO, DLQ i ¸ 1 |
|
gi = gi¡1=hi¡1; |
(gi; eA) = hi : |
dLQ hi = 1 MY IMEEM QWNO t = h1h2 : : : hi I ® = gi. dLQ hi ¸ 2 IMEEM gi+1 · gi=2. |TO OZNA^AET, ^TO hi = 1 MOVET BYTX NAJDENO ZA LINEJNOE
^ISLO [AGOW, NA KAVDOM IZ KOTOpYH ISPOLXZUETSQ ALGORITM eWKLIDA, ^TO DAET W SOWOKUPNOSTI KWADRATI^NU@ OCENKU WREMENI RABOTY.
B TEPERX WY^ISLQET S POMO]X@ ALGORITMA eWKLIDA a I b, TAKIE, ^TO
ax + beA = 1 ;
GDE b DOLVNO BYTX POLOVITELXNYM. zAMETIM, ^TO '(n) DELIT ®, POTOMU ^TO ® = k'(n)=t, GDE k=t | CELOE W SILU (t; '(n)) = 1. pOSLEDNEE RAWENSTWO WERNO, TAK KAK (eA; '(n)) = 1 I, SLEDOWATELXNO, t QWLQETSQ PROIZWEDENIEM ^ISEL, NI ODNO IZ KOTORYH NE IMEET NETRIWIALXNYH OB- ]IH MNOVITELEJ S '(n). |TO NABL@DENIE PRIWODIT K SRAWNENI@
beA ´ 1 (mod '(n)) ;
I, SLEDOWATELXNO, b (WZQTOE PO MODUL@ n) MOVET BYTX ISPOLXZOWANO KAK dA.
2
hOTQ W TEOREME 4.2 B KONSTRUIRUET dA BEZ FAKTORIZACII n, TEOREMA 4.1 MOVET BYTX TEPERX ISPOLXZOWANA DLQ FAKTOpIZACII n.
190 |
gLAWA 4. kRIPTOSISTEMA RSA |
4.5. ~ASTI^NAQ INFORMACIQ W RSA
oB]IJ WOPROS O ^ASTI^NOJ INFORMACII QWLQETSQ O^ENX WAVNYM W KRIPTOGRAFII. iMEETSQ LI WOZMOVNOSTX DLQ KRIPTOANALITIKA POLU^ITX NEKOTORU@ ^ASTI^NU@ INFORMACI@ OB ISHODNOM TEKSTE, K PRIMERU TAKU@, KAK POSLEDNIJ BIT ISHODNOGO TEKSTA, HOTQ ZADA^A POLU^ENIQ WSEGO ISHODNOGO TEKSTA MOVET BYTX TpUDNOWY^ISLIMOJ? iNOGDA TAKAQ ^A- STI^NAQ INFORMACIQ MOVET BYTX O^ENX WAVNOJ.
sU]ESTWUET MNOGO REZULXTATOW DLQ RSA OTNOSITELXNO TOGO \F- FEKTA, ^TO WSKpYTIE OTDELXNYH ^ASTEJ TAK VE TRUDNO, KAK I DLQ WSEGO TEKSTA W CELOM. tAKIE REZULXTATY IME@T SLEDU@]U@ FORMU. pREDPOLOVIM, ^TO MY IMEEM ALGORITM DLQ POLU^ENIQ OPREDELENNOJ ^ASTI^NOJ INFORMACII O RSA, TAKOJ, KAK POSLEDNIJ BIT ISHODNOGO SOOB]ENIQ, SOOTWETSTWU@]EGO PEREHWA^ENNOMU KRIPTOTEKSTU. pREDPOLOVIM, ^TO ALGORITM RABOTAET DLQ KAVDOGO PRIMERA KRIPTOTEKSTOW RSA. tOGDA ON MOVET BYTX PREOBRAZOWAN BEZ BOLX[OGO UWELI^ENIQ WY^ISLITELXNOJ SLOVNOSTI W KRIPTOANALITI^ESKIJ ALGORITM, KOTOpYJ WSKRYWAET SISTEMU RSA.
|TO OZNA^AET, ^TO KOGDA RSA DAET TAKU@ ^ASTI^NU@ INFORMACI@, TO SEKpETNOSTX MOVET BYTX NARU[ENA. eSLI MY UWERENY, ^TO RSA NE MOVET BYTX WSKRYTA, MY TAKVE MOVEM BYTX UWERENY, ^TO NEWOZMOVNO POLU^ITX ^ASTI^NU@ INFORMACI@, KOTOpU@ MOVNO ISPOLXZOWATX. kONE^NO, NEKOTORU@ ^ASTI^NU@ INFORMACI@ WSEGDA MOVNO LEGKO POLU- ^ITX. HAPRIMER, ESLI POSLEDNIJ DESQTI^NYJ RAZRQD n ESTX 3, TO POSLEDNIE DESQTI^NYE RAZRQDY p I q ESTX 1 I 3 ILI 7 I 9. tAKAQ ^ASTI^NAQ INFORMACIQ WpQD LI PRIOTKRYWAET ^TO-LIBO W ISHODNOM TEKSTE.
qWLQETSQ LI INFOpMACIQ O TOM, ^TO OPREDELENNYE ^ASTI TAK VE SLOVNY, KAK I WESX TEKST W CELOM, PRIZNAKOM KRIPTOGRAFI^ESKOJ SILY ILI SLABOSTI? mOVNO ARGUMENTIROWATX W OBOIH NAPRAWLENIQH. eSLI IMEETSQ UWERENNOSTX W SISTEME, TO SEKpETNOSTX ^ASTEJ OPREDELENNO DOBAWLQET UWERENNOSTI. kOGDA VE ESTX SOMNENIQ, WOZMOVNOSTX WSKRYTIQ SISTEMY S POMO]X@ ^ASTI^NOGO KRIPTOANALIZA DELAET SITUACI@ E]E BOLEE SOMNITELXNOJ.
pODHODQ]IM PUTEM PREDSTAWLENIQ REZULXTATOW, GDE SU]ESTWOWANIE ALGORITMA PREDPOLAGAETSQ BEZ pASSMOTpENIQ KAKIH-LIBO DETALEJ ALGORITMA, QWLQETSQ ISPOLXZOWANIE ORAKULA. oRAKUL DAET OTWET NA L@- BOJ WOPROS, KOTORYJ PREDPOLAGAEMYJ ALGORITM W SOSTOQNII RE[ITX, K PRIMERU, NAZWATX POSLEDNIJ BIT ISHODNOGO TEKSTA. kONSTRUIRUEMYJ ALGORITM, DOPUSTIM, ALGORITM DLQ NAHOVDENIQ WSEGO ISHODNOGO TEKSTA, MOVET PRI SWOEJ pABOTE ZADAWATX ORAKULU WOPROSY OPREDELENNOGO SWOJSTWA. tAKIE WOPROSY MOGUT BYTX ZADANY, TAK KAK ONI NE WLIQ@T NA SLOVNOSTX. tAKIM OBRAZOM, SLOVNOSTX NOWOGO ALGORITMA