Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Литература / Криптография с открытым ключом (А. Саломаа)

.pdf
Скачиваний:
124
Добавлен:
16.04.2013
Размер:
1.35 Mб
Скачать

4.5. ˜ASTIˆNAQ INFORMACIQ W RSA

191

ZAWISIT TOLXKO OT \DOPOLNITELXNYH" [AGOW I NE ZAWISIT OT SLOVNOSTI PREDPOLAGAEMOGO ALGORITMA. eSLI SLOVNOSTX POSLEDNEGO IZWESTNA, TO LEGKO OCENITX SLOVNOSTX NOWOGO ALGORITMA, GDE ORAKUL ZAMENQETSQ NA [AGI PREDPOLAGAEMOGO ALGORITMA. iSPOLXZOWANIE ORAKULOW IZOBRAVENO NA RIS. 4.1.

rIS. 4.1.

nA^NEM S PROSTOJ ILL@STRACII, KOTORAQ POKAZYWAET, KAK ALGORITM, SOOB]A@]IJ O TOM, ^TO ISHODNYJ TEKST MENX[E, ^EM n=2 ILI NET, MOVET BYTX ISPOLXZOWAN DLQ POLU^ENIQ DOPOLNITELXNOJ INFORMACII O x. iTAK, W NA[EM RASPORQVENII IMEETSQ SLEDU@]IJ ORAKUL O(RAZMER) (SM. pIS. 4.2).

|TO OZNA^AET, ^TO PO ZADANNOMU WHODU, SOSTOQ]EMU IZ OTKRYTOGO KL@^A ZA[IFROWANIQ I ZA[IFROWANNOJ WERSII x, ORAKUL O(RAZMER) GO-

WORIT, WYPOLNQETSQ LI x < n=2 ILI NET.

 

 

 

 

pOSTROIM ALGORITM A, GOWORQ]IJ NAM, W KAKOM IZ INTERWALOW

(jn=8; (j + 1)n=8), 0 · j · 7,

LEVIT ISHODNYJ TEKST

x.

pO ZADANNOMU

e

; mod n),

 

 

WHODU, SOSTOQ]EMU IZ e, n I (x

ALGORITM TOLXKO WY^ISLQET

^ISLA

 

 

 

 

 

(*)

(2exe; mod n) I (4exe;

mod n)

 

 

I ZADAET TRI WOPROSA ORAKULU. sLEDOWATELXNO, UWELI^ENIE SLOVNOSTI ALGOpITMA A ZA S^ET L@BOGO ALGORITMA, WYPOLNQ@]EGO RABOTU OpAKULA O(RAZMER), NEZNA^ITELXNO.

192

gLAWA 4. kRIPTOSISTEMA RSA

e; n; (xe; modn)

 

DA

ESLI x < n=2,

O(RAZMER)

 

NET

ESLI x > n=2.

 

 

 

 

 

 

 

 

 

 

 

rIS. 4.2.

 

oDIN IZ TREH WOPROSOW, ZADAWAEMYH ORAKULU, IZOBRAVEN NA RIS. 4.2, A W DWUH DRUGIH xe ZAMENQETSQ NA (2x)e I (4x)e. pOSLEDNIE DWA WOPROSA MOGUT BYTX ZADANY, TAK KAK ALGORITM A WY^ISLQET ^ISLA (*). pOZICIQ x ZAWISIT OT OTWETOW NA TRI WOPROSA, SOGLASNO SLEDU@]EJ TABLICE:

oTWETY

iNTERWAL

 

 

 

 

DA,

DA,

DA

0 < x < n=8

DA,

DA,

NET

n=8

< x < n=4

DA,

NET,

DA

n=4 < x < 3n=8

DA,

NET,

NET

3n=8 < x < n=2

NET,

DA,

DA

n=2 < x < 5n=8

NET,

DA,

NET 5n=8

< x < 3n=4

NET,

NET,

DA

3n=4

< x < 7n=8

NET,

NET,

NET

7n=8 < x < n

lEGKO PROWERITX REZULXTATY. k PRIMERU, PUSTX O(RAZMER) DAET INFORMACI@

x > n=2; (2x; mod n) < n=2; (4x; mod n) < n=2 ;

T.E. POSLEDOWATELXNOSTX OTWETOW \NET, DA, DA". pERWYE DWA NERAWENSTWA GOWORQT NAM, ^TO n=2 < x < 3n=4, TAK KAK ESLI x > 3n=4, TO (2x; modn) > n=2 I MY BUDEM IMETX WTOROJ OTWET \NET". oB_EDINQQ \TU INFORMACI@ S POSLEDNIM NERAWENSTWOM, MY POLU^IM n=2 < x < 5n=8, POTOMU ^TO OPQTX 5n=8 < x < 3n=4 WLE^ET

(4x; mod n) > n=2.

|TA PROCEDURA MOVET WYPOLNQTXSQ DO TEH POR, POKA INTERWALY NE STANUT TAKIMI MALYMI, ^TO x BUDET ODNOZNA^NO OPREDELQTXSQ INTERWALOM, W KOTOROM ON SODERVITSQ. pREDSTAWIM \TO PODROBNEE.

tAKVE PODHODQ]IM BUDET ISPOLXZOWANIE ORAKULA O(^ETNOSTX), KOTORYJ GOWORIT O ^ETNOSTI x. eSLI MY RABOTAEM S DWOI^NYMI PREDSTAWLENIQMI, TO O(^ETNOSTX) IZOBRAVAETSQ SLEDU@]IM OBRAZOM:

4.5. ˜ASTIˆNAQ INFORMACIQ W RSA

193

e; n; (xe; modn)

 

0

ESLI x ^ETNO,

O(^ETNOSTX)

 

1

ESLI x NE^ETNO.

 

 

 

 

 

 

 

 

 

 

 

rIS. 4.3.

 

tAKIM OBRAZOM, ORAKUL SOOB]AET POSLEDNIJ BIT H. pOKAVEM, KAK, ISPOLXZUQ O(^ETNOSTX), MOVNO POSTROITX H, PRISOEDINQQ POSLEDOWATELXNO PO ODNOMU BITU SPRAWA.

oBOZNA^IM ^EREZ N ^ISLO BITOW W n. tOGDA N = [log2 n] + 1. mY TAKVE ISPOLXZUEM OPERATORY B I M, PEREWODQ]IE NEOTRICATELXNOE ^ISLO W SOOTWETSTWU@]U@ DWOI^NU@ POSLEDOWATELXNOSTX, I NAOBOROT. HAPRIMER, B(91) = 1011011 I M(1011011) = 91. B(x) WSEGDA NA^INAETSQ S 1. oPERATORY B I M INOGDA NEOBHODIMY, ^TOBY IZBEGATX PUTANICY.

dLQ DWUH POSLEDOWATELXNOSTEJ BITOW t I u OBOZNA^IM ^EREZ tu POSLEDOWATELXNOSTX BITOW, POLU^AEMU@ NAPISANIEM t I u DRUG ZA DRUGOM. pOSLEDOWATELXNOSTX tu NAZYWAETSQ KONKATENACIEJ t I u. kAK OBY^NO, MY OBOZNA^AEM ^EREZ jtj DLINU POSLEDOWATELXNOSTI t. eSLI M(t) ¸ M(u), OBOZNA^IM ^EREZ LAST(t ¡ u) POSLEDNIE juj BITOW POSLEDOWATELXNOSTI B(M(t)¡M(u)), DOPOLNQEMYE SLEWA NULQMI, ESLI B(M(t)¡M(u)) < juj. w CELOM ESLI LAST(t ¡ u) = v, TO jvj = juj I DLQ NEKOTOROGO w B(M(t) ¡ M(u)) ESTX SUFFIKS wv. k PRIMERU,

LAST(1011011 ¡ 1010111) = 0000100 ;

LAST(1011011 ¡ 111) = 100 :

w PERWOM SLU^AE w PUSTOE SLOWO, A WO WTOROM SLU^AE w = 1010. uSLOWIE M(t) ¸ M(u) GARANTIRUET, ^TO LAST(t ¡ u) BUDET WSEGDA OPREDELENO.

pUSTX K BUDET INWERSIEJ 2e (mod n), T. E.

2eK ´ 1 (mod n) :

~ISLO K NAHODITSQ BYSTRO S POMO]X@ ALGORITMA eWKLIDA. dLQ ZADANNOGO (xe; mod n) MY TEPERX INDUKTIWNO OPREDELIM r(i) I ANS(i) DLQ

1 · i · N.

pO OPREDELENI@ r(1) = (xe; mod n) I ANS(1) ESTX OTWET ORAKULA O(^ETNOSTX) NA WHOD xe. (mY PREDSTAWLQEM WHOD W TAKOJ UKORO^ENNOJ

194

gLAWA 4. kRIPTOSISTEMA RSA

FORME, TAK KAK ^ASTI n I e SOHRANQ@TSQ NEIZMENNYMI W TE^ENIE WSEGO OBSUVDENIQ.) pUSTX UVE OPREDELENY r(i¡1) I ANS(i¡1) DLQ NEKOTOROGO i ¸ 2. tOGDA

r(i) =

(r(i ¡ 1)K; mod n);

ESLI ANS(i ¡ 1) = 0 ;

½

((n ¡ r(i ¡ 1))K; mod n);

ESLI ANS(i ¡ 1) = 1 ;

I ANS(i ¡ 1) ESTX OTWET ORAKULA NA WHOD r(i ¡ 1). zAMETIM, ^TO, PO OPREDELENI@, r(i) IMEET WID (ye; mod n) DLQ NEKOTOROGO y.

zATEM INDUKTIWNO OPREDELIM t(i); N ¸ i ¸ 1. wNA^ALE

 

 

 

t(N) = ANS(N) :

 

 

 

 

pUSTX UVE OPREDELENO t(i); i ¸ 2. tOGDA

 

 

 

 

 

 

t(i)0 ;

 

ESLI ANS(i

¡

1)

= 0

;

t(i

1) =

8 LAST(B(n)

t(i)0);

ESLI ANS(i

1)

= 1

I M(t(i)0) < n ;

¡

 

:

¡

ESLI ANS(i

¡

 

 

I M(t(i)0) > n :

 

< LAST(t(i)0

¡B(n));

¡

1)

= 1

zDESX RAZDELENIE PO ANS(i ¡ 1) NA DWA PODSLU^AQ NEOBHODIMO, ^TOBY GARANTIROWATX OPREDELENNOSTX LAST. w DEJSTWITELXNOSTI POSLEDNIJ PODSLU^AJ TREBUETSQ TOGDA I TOLXKO TOGDA, KOGDA i = 2 I M(t(2)) > n=2. HAPpIMEp, n = 21; B(n) = 10101 I t(2) = 1101.

w KA^ESTWE PRIMERA WOZXMEM PERWU@ ILL@STRACI@ IZ PRIMERA 4.1. mY IMEEM n = 55, e = 7; N = 6 I B(n) = 110111. aLGORITM eWKLIDA DAET K = 52. pUSTX xe = 49. (dLQ UPRO]ENIQ ZAPISI MY PI[EM xe WMESTO (xe; mod n).) pOLU^AEM

r(1) = 49 ;

ANS(1) = 0 ;

r(2) ´ 49 ¢ 52 ´ 18 ;

ANS(2) = 0 ;

r(3) ´ 18 ¢ 52 ´ 1 ;

ANS(3) = 1 ;

r(4) ´ 54 ¢ 52 ´ 3 ;

ANS(4) = 1 ;

r(5) ´ 52 ¢ 52 ´ 9 ;

ANS(5) = 0 ;

r(6) ´ 9 ¢ 52 ´ 28 ;

ANS(6) = 1 :

kONE^NO, ZNA^ENIQ ANS(i) NE WY^ISLQ@TSQ, A POLU^A@TSQ S POMO]X@ ORAKULA. w \TOM PROSTOM SLU^AE ONI MOGUT BYTX NAJDENY W TABLICE IZ PRIMERA 4.1.

tEPERX WY^ISLIM ZNA^ENIQ t(i). pO OPREDELENI@, t(6) = 1 I t(5) = 10. tAK KAK ANS(4) = 1, MY POLU^AEM

t(4) = LAST(110111 ¡ 100) = 011 :

aNALOGI^NO,

t(3) = LAST(110111 ¡ 0110) = 0001 :

4.5. ˜ASTIˆNAQ INFORMACIQ W RSA

195

oSTAW[IESQ ZNA^ENIQ OPQTX POQWLQ@TSQ

S POMO]X@ KONKATENACII:

t(2) = 00010 I t(1) = 000100. tEPERX MOVNO PROWERITX, ^TO t(1) ESTX DWOI^NOE PREDSTAWLENIE x IZ N BITOW:

47 ´ 49 (mod 55) :

|TO SPRAWEDLIWO TAKVE I W OB]EM SLU^AE.

tEOREMA 4.3 w WY[EOPREDELENNYH OBOZNA^ENIQH

M(t(1)) = x :

pERED NA^ALOM DOKAZATELXSTWA TEOREMY 4.3 ZAMETIM, ^TO DLQ NAHOVDENIQ x MY KONSULXTIRUEMSQ S OpAKULOM N RAZ. dOPOLNITELXNO PRI PRIMENENII ALGORITMA eWKLIDA ISPOLXZUETSQ NE BOLEE N ¡1 MODULXNYH UMNOVENIJ I NE BOLEE 2N WY^ITANIJ. tAKIM OBRAZOM, KRIPTOANALITI- ^ESKIJ ALGORITM DLQ NAHOVDENIQ x QWLQETSQ O^ENX BYSTRYM, ESLI S ORAKULOM MOVNO KONSULXTIROWATXSQ BEZ UWELI^ENIQ STOIMOSTI. w \TOM SLU^AE METOD NAHOVDENIQ POSLEDNEGO BITA ISHODNOGO TEKSTA DAET METOD DLQ NAHOVDENIQ WSEGO ISHODNOGO TEKSTA.

dOKAZATELXSTWO. dLQ 1 · i · N MY OBOZNA^IM ^EREZ u(i) ^ISLO, UDOWLETWORQ@]EE SRAWNENI@

(u(i))e ´ r(i) (mod n); 0 < u(i) < n :

tAKIE ^ISLA u(i) SU]ESTWU@T W SILU OPREDELENIQ r(i). bOLEE PODROBNO, SOOTNO[ENIE 2er(i) ´ §r(i¡1) (mod n) POKAZYWAET, NASKOLXKO USPE[NO MOGUT BYTX POSTpOENY ^ISLA u(i). oBOZNA^IM TAKVE

v(i) = 0jB(u(j)) ;

GDE j = N ¡jB(u(i))j. tOGDA j ¸ 0, POTOMU ^TO u(i) < n. tAKIM OBRAZOM, v(i) WSEGDA QWLQETSQ DWOI^NOJ POSLEDOWATELXNOSTX@ DLINY N.

tEPERX POTREBUEM, ^TOBY DLQ N ¸ i ¸ 1 SU]ESTWOWALO TAKOE SLOWO w(i), WOZMOVNO PUSTOE, ^TO

(*)

v(i) = w(i)t(i) :

tEOREMA 4.3 SLEDUET IZ (*) PRI PODSTANOWKE i = 1. zAMETIM, ^TO jt(1)j = N, TAK KAK jt(N)j = 1 I DLINA WOZRASTAET NA EDINICU PRI KAVDOM PEREHODE OT t(i) K t(i ¡ 1). tAK KAK jv(1)j = N, IZ (*) SLEDUET, ^TO w(1) DOLVNO BYTX PUSTYM, A TAKVE, ^TO v(1)6 I t(1) | ODINAKOWYE DWOI^NYE POSLEDOWATELXNOSTI. s DRUGOJ STORONY, M(v(1)) = x I, SLEDOWATELXNO, M(t(1)) = x.

196 gLAWA 4. kRIPTOSISTEMA RSA

nA[E TREBOWANIE (*) USTANAWLIWAETSQ S POMO]X@ INDUKCII PO i. dLQ i = N (*) SPRAWEDLIWO, TAK KAK, PO OPREDELENI@, POSLEDNIJ BIT v(N) RAWEN POSLEDNEMU BITU B(u(N)), KOTORYJ, W SWO@ O^EREDX, RAWEN ANS(N) = t(N). pUSTX INDUKTIWNOE PREDPOLOVENIE (*) WERNO DLQ i. rASSMOTRIM ZNA^ENIE i ¡ 1.

pUSTX WNA^ALE ANS(i ¡ 1) = 0. tOGDA

r(i) = (r(i ¡ 1)K; mod n)

I

r(i ¡ 1) ´ 2er(i) ´ (2u(i))e (mod n) ;

OTKUDA SLEDUET, ^TO u(i ¡ 1) = (2u(i); modn). eSLI B(u(i ¡ 1)) = = B(u(i))0, TO PO INDUKTIWNOMU PREDPOLOVENI@ I OPREDELENI@ t(i ¡ 1) MY POLU^AEM

v(i ¡ 1) = w(i ¡ 1)t(i)0 = w(i ¡ 1)t(i ¡ 1)

I, SLEDOWATELXNO, (*) WYPOLNENO DLQ ZNA^ENIQ i ¡1, GDE w(i ¡1) POLU^A- ETSQ IZ w(i) PUTEM UDALENIQ ODNOGO NA^ALXNOGO NULQ. s DRUGOJ STORONY,

IZ B(u(i ¡ 1)) 6=B(u(i))0 SLEDUET, ^TO u(i ¡ 1) = 2u(i) ¡ n. (o^EWIDNO,

^TO 2u(i) < 2n.) pO\TOMU u(i ¡ 1) NE^ETNO, ^TO PROTIWORE^IT USLOWI@

ANS(i ¡ 1) = 0. |TO POKAZYWAET, ^TO B(u(i ¡ 1)) = B(u(i))0. pUSTX TEPERX ANS(i ¡ 1) = 1. w \TOM SLU^AE

r(i ¡ 1) ´ ¡2er(i) ´ ¡2e(u(i))e ´ (¡2u(i))e (mod n) :

zDESX POSLEDNEE SRAWNENIE SPRAWEDLIWO, POSKOLXKU e NE^ETNO. iZ \TOGO SLEDUET, ^TO u(i ¡ 1) = (¡2u(i); modn). eSLI n > 2u(i), TO

v(i ¡ 1) = w(i ¡ 1)LAST(B(n) ¡ t(i)0) = w(i ¡ 1)t(i ¡ 1) :

eSLI n < 2u(i), TO

v(i ¡ 1) = w(i ¡ 1)LAST(t(i)0 ¡ B(n)) = w(i ¡ 1)t(i ¡ 1) :

dWE ALXTERNATIWY SOOTWETSTWU@T RAZDELENI@ ANS(i ¡ 1) = 1 NA DWA PODSLU^AQ W OPREDELENII t(i ¡ 1). |TO ZAWER[AET INDUKTIWNYJ [AG, I, SLEDOWATELXNO, (*) WYPOLNENO.

2

sLEDU@]IJ PRIMER 4.2 ILL@STRIRUET RAZLI^NYE STORONY WY[E- UKAZANNOJ KONSTRUKCII.

4.5. ˜ASTIˆNAQ INFORMACIQ W RSA

197

pRIMER 4.2. rASSMOTRIM SNA^ALA, KAK WYGLQDQT u(i) I v(i) W ILL@- STRACII, PRIWEDENNOJ PERED FORMULIROWKOJ TEOREMY 4.3. zDESX OPQTX ISPOLXZUETSQ TABLICA IZ PRIMERA 4.1. mY POLU^AEM

u(6) = 7; v(6) = 000111 ; u(5) = 14; v(5) = 001110 ; u(4) = 27; v(4) = 011011 ; u(3) = 1; v(3) = 000001 ; u(2) = 2; v(2) = 000010 ; u(1) = 4; v(1) = 000100 :

sRAWNIWAQ ZNA^ENIQ v(i) S RANEE WY^ISLENNYMI ZNA^ENIQMI t(i), ZAKL@^AEM, ^TO w(1) PUSTO I

w(2) = 0; w(3) = 00; w(4) = 011; w(5) = 0011; w(6) = 00011 :

w KA^ESTWE WTOROJ ILL@STRACII RASSMOTRIM n = 57, e = 5, (xe; mod n) = 48. wNA^ALE MY POLU^AEM N = 6, B(n) = 111001, K = 41,

A ZATEM SLEDU@]IE ZNA^ENIQ.

i

1

2

3

4

5

6

r(i)

48

27

24

15

12

21

ANS(i)

1

0

0

1

1

1

t(i)

100001

01100

0110

011

11

1

u(i)

33

12

6

3

27

15

v(i)

100001

001100

000110

000011

011011

001111

sLEDU@]AQ ILL@STRACIQ NESKOLXKO BOLX[E. rASSMOTRIM n = 8137, e = 517, (xe; modn) = 5611. w \TOM SLU^AE MY IMEEM N = 13, B(n) = 1111111001001,

2517 = 2512 ¢ 32 ´ 6905 ¢ 32 ´ 1261 (mod 8137) ;

OTKUDA K = 342. dALEE SLEDU@T ZNA^ENIQ r(i), ANS(i), t(i):

198

 

 

 

gLAWA 4. kRIPTOSISTEMA RSA

 

 

 

 

 

 

 

i

r(i)

ANS(i)

t(i)

 

 

 

 

 

 

1

5611

0

0000000010000

 

2

6767

0

000000001000

 

3

3406

0

00000000100

 

4

1261

0

0000000010

 

5

1

1

000000001

 

6

7795

0

11100100

 

7

5091

0

1110010

 

8

7941

1

111001

 

9

1936

0

01000

 

10

3015

0

0100

 

11

5868

0

010

 

12

5154

1

01

 

 

13

3061

0

0

 

sLEDOWATELXNO, x = M(t(1)) = 16. tABLICA MOVET BYTX ZAPOLNENA BYSTRO, ESLI W DEJSTWITELXNOSTI MOVNO KONSULXTIROWATXSQ S ORAKULOM. oDNAKO, TAK KAK MY NE IMEEM DOSTUPA NI K ODNOMU IZ ORAKULOW, ZNA^ENIQ W TABLICE BUDUT WY^ISLQTXSQ DRUGIM METODOM, KOTOpYJ NE MOVET BYTX WY^ISLITELXNO REALIZUEMYM, INA^E MY BYLI BY W SOSTOQNII WSKRYTX RSA! w PROWEDENNYH WY[E WY^ISLENIQH BYLO ZARANEE IZWESTNO x = 16. tOGDA STOLBCY t I ANS MOGUT BYTX WY^ISLENY SWERHU WNIZ. eSLI ANSSTOLBEC OPREDELEN, TO TUT VE WY^ISLQETSQ I r-STOLBEC. w \TOM ^ASTNOM PRIMERE MY IMEEM '(n) = 7956 I d = 277.

2

bOLEE SILXNYE REZULXTATY MOGUT BYTX POLU^ENY DLQ WEROQTNOSTNYH ALGORITMOW. pO ZADANNOMU (xe; mod n) MY WSEGDA W SOSTOQNII UGADATX POSLEDNIJ BIT x S WEROQTNOSTX@ 1=2. pREDPOLOVIM TEM NE MENEE, ^TO MY IMEEM PpI OTGADYWANII NEZNA^ITELXNOE PREIMU]ESTWO, T.E. SU- ]ESTWUET POLOVITELXNOE ±, TAKOE, ^TO MY WSEGDA W SOSTOQNII UGADATX POSLEDNIJ BIT x S WEROQTNOSTX@ 1=2+±. tOGDA MY W SOSTOQNII WSKRYTX RSA. bOLEE TO^NO, W [SchA] POKAZAN SLEDU@]IJ REZULXTAT. pUSTX ORAKUL O(^ETNOSTX,±) SOOB]AET POSLEDNIJ BIT x S WEROQTNOSTX@ ¸ 1=2 + ± POSLE POLU^ENIQ NA WHODE n; e I (xe; mod n). eSLI MOVNO KONSULXTIROWATXSQ S ORAKULOM BEZ UWELI^ENIQ STOIMOSTI, TO SU]ESTWUET WEROQTNOSTNYJ ALGORITM S POLINOMIALXNYM WREMENEM DLQ WY^ISLENIQ x PO UKAZANNOMU WHODU. aLGORITM QWLQETSQ ALGORITMOM TIPA lAS wEGASA, TAK KAK WYHOD MOVET BYTX PROWEREN S POMO]X@ MODULXNOGO WOZWEDENIQ W STEPENX.

mY RASSMOTRELI ORAKUL, SOOB]A@]IJ POSLEDNIJ BIT x. rEZULXTAT MOVET BYTX pASPpOSTpANEN I NA ORAKULY, INFORMIRU@]IE O NEKOTOROM

4.6. dISKRETNYE LOGARIFMY I KL@ˆEWOJ OBMEN

199

DRUGOM BITE x. w ^ASTNOSTI, TEHNIKA TEOREMY 4.3 PO^TI BEZ IZMENENIJ PRIMENIMA K SLU^A@, GDE ORAKUL SOOB]AET j-J BIT S KONCA B(x) I W KONCE DWOI^NOGO PREDSTAWLENIQ n STOIT NE MENEE j EDINIC. w TEOREME 4.3 MY IMEEM j = 1.

w OBSUVDENII, SWQZANNOM S TEOpEMOJ 4.3, WMESTO ORAKULA O(^ETNOSTX) MY S TEM VE USPEHOM MOVEM ISPOLXZOWATX ORAKUL O(RAZMER). dEJSTWITELXNO, DLQ WSEH z, GDE 0 < z < n, MY IMEEM z < n=2 TOGDA I TOLXKO TOGDA, KOGDA (2z; mod n) ^ETNO. w SILU \TOGO FAKTA KAVDYJ IZ \TIH DWUH ORAKULOW WOSPROIZWODIT DRUGOJ.

4.6. dISKRETNYE LOGARIFMY I KL@^EWOJ OBMEN

pREDPOLOVIM, ^TO W RSA PUBLIKUETSQ TOLXKO MODULX n, A \KSPONENTA ZA[IFROWANIQ e HRANITSQ W SEKRETE. pUSTX KRIPTOANALITIK PEREHWATYWAET NE MENEE ODNOJ PARY (w; we) I PYTAETSQ WSKRYTX SISTEMU, T.E. NAJTI \KSPONENTU pAS[IFROWANIQ d PpI NA^ALXNOM USLOWII \IZWESTEN ISHODNYJ TEKST". tOGDA PERED KRIPTOANALITIKOM STOIT ZADA^A NAHOVDENIQ LOGARIFMA w PO OSNOWANI@ we (mod n). |TO SPECIALXNYJ SLU-

^AJ WY^ISLENIQ DISKRETNYH LOGARIFMOW.

iMEETSQ MNOGO KRIPTOSISTEM, S OTKRYTYM KL@^OM I DRUGIH, OSNOWANNYH NA DISKRETNYH LOGARIFMAH. HAHOVDENIE POSLEDNIH PpEDSTAWLQETSQ TRUDNOWY^ISLIMYM PpI IH ISPOLXZOWANII W KA^ESTWE OSNOWY KRIPTOSISTEMY. eSLI MY RASSMOTRIM URAWNENIE ax = y DLQ POLOVITELXNYH DEJSTWITELXNYH ^ISEL, TRUDNOSTX WY^ISLENIQ x IZ a I y BUDET PRIMERNO TOJ VE SAMOJ, ^TO I PRI NAHOVDENII y IZ a I x. oBE ZADA^I SWODQTSQ K RQDU UMNOVENIJ, DELENIJ I TABLICE PEREWODA LOGARIFMOW PO L@BOMU OSNOWANI@. ~TO KASAETSQ DISKRETNYH LOGARIFMOW, SITUACIQ SOWER[ENNO OTLI^NA. mODULXNOE WOZWEDENIE W STEPENX MOVET BYTX OSU]E- STWLENO DEJSTWITELXNO BYSTRO | MY UVE OBSUVDALI \TO I PREDSTAWILI ^ISLENNYE PRIMERY. wEROQTNAQ TRUDNOWY^ISLIMOSTX OBRATNOJ OPERACII, A IMENNO WZQTIQ DISKRETNYH LOGARIFMOW, UVE ISPOLXZOWALASX W PARAGRAFE 3.5.

pONQTIE DISKRETNOGO LOGARIFMA MOVET BYTX SFORMULIROWANO SLEDU@]IM OBRAZOM. pUSTX g | \LEMENT KONE^NOJ GRUPPY G I y | DRUGOJ \LEMENT G. tOGDA L@BOE CELOE x, TAKOE, ^TO gx = y NAZYWAETSQ DISKRETNYM LOGARIFMOM y PO OSNOWANI@ g. o^EWIDNO, KAVDYJ \LEMENT y GRUPPY G IMEET DISKRETNYJ LOGARIFM PO OSNOWANI@ g TOGDA I TOLXKO TOGDA, KOGDA G QWLQETSQ CIKLI^ESKOJ GRUPPOJ S OBRAZU@]EJ g. k PRIMERU, W MULXTIPLIKATIWNOJ GRUPPE POLOVITELXNYH CELYH ^ISEL PO MO-

200

gLAWA 4. kRIPTOSISTEMA RSA

DUL@ 7 TOLXKO ^ISLA 1, 2, 4 IME@T DISKRETNYE LOGARIFMY PO OSNOWANI@ 2, TOGDA KAK WSE ^ISLA IME@T DISKRETNYE LOGARIFMY PO OSNOWANI@ 3 SOGLASNO TABLICE:

~ISLO 1 2 3 4 5 6 lOGARIFM 6 2 1 4 5 3

tABLICY DISKRETNYH LOGARIFMOW W PROSTYH SLU^AQH BYLI RASSMOTRENY W PARAGRAFE 3.5. kONE^NO, GRUPPY NEBOLX[OGO PORQDKA NE PREDSTAWLQ@T WY^ISLITELXNYH TRUDNOSTEJ. sU]ESTWU@T \FFEKTIWNYE ALGORITMY WY^ISLENIQ DISKRETNYH LOGARIFMOW W NEKOTORYH SPECIALXNYH SLU^AQH, TAKIH KAK ALGORITM d.kOPPERSMITA [Cop] DLQ KONE^NYH POLEJ F (2h). oDNAKO W OB]EM SLU^AE IZWESTNYE ALGORITMY DLQ WY^I- SLENIQ DISKRETNYH LOGARIFMOW W GRUPPAH PORQDKA m PRIBLIZITELXNO IME@T ODINAKOWU@ SLOVNOSTX OTNOSITELXNO m, KAK DLQ ALGORITMOW FAKTORIZACII m. eSLI VE WSE PpOSTYE MNOVITELI m MALY, TO O^ENX \FFEKTIWNO pABOTAET ALGORITM sILXWERA{pOLIGA{h\LLMANA, [PoH] I [Odl]. |TOT ALGORITM OPISYWAETSQ W SLEDU@]EM PRIMERE.

pRIMER 4.3. pUSTX F (q), q = rh, QWLQETSQ KONE^NYM POLEM. rASSMOTRIM DISKRETNYE LOGARIFMY PO OSNOWANI@ g, GDE g | OBRAZU@]AQ DLQ

F ¤(q).

dLQ KAVDOGO PROSTOGO DELITELQ p ^ISLA q ¡ 1 WY^ISLIM

a(i; p) = (gi(q¡1)=p; mod q); 0

·

i < p :

 

 

eSLI KAVDOE p, DELQ]EE q ¡ 1, MALO, TO TABLICA, SODERVA]AQ WSPOMOGATELXNYE ^ISLA a(i; p), IMEET PRIEMLEMYJ RAZMER.

k PRIMERU, RASSMOTRIM F (181) I g = 2 (2 DEJSTWITELXNO QWLQETSQ OBRAZU@]EJ). tOGDA 180 = 22 ¢ 32 ¢ 5 I TABLICA ^ISEL a(i; p) WYGLQDIT SLEDU@]IM OBRAZOM:

p

2

3

5

i

 

 

 

0

1

1

1

1

180

48

59

2132 42

3125

4135

tEPERX WY^ISLIM DISKRETNYJ LOGARIFM z ^ISLA 62 PO OSNOWANI@ 2. w CELOM ESLI q ¡ 1 = Qp®, TO DLQ NAHOVDENIQ DISKRETNOGO LOGARIFMA x ^ISLA y PO OSNOWANI@ g DOSTATO^NO NAJTI (x; mod p®) DLQ KAVDOGO p