Литература / Криптография с открытым ключом (А. Саломаа)
.pdf4.5. ˜ASTIˆNAQ INFORMACIQ W RSA |
191 |
ZAWISIT TOLXKO OT \DOPOLNITELXNYH" [AGOW I NE ZAWISIT OT SLOVNOSTI PREDPOLAGAEMOGO ALGORITMA. eSLI SLOVNOSTX POSLEDNEGO IZWESTNA, TO LEGKO OCENITX SLOVNOSTX NOWOGO ALGORITMA, GDE ORAKUL ZAMENQETSQ NA [AGI PREDPOLAGAEMOGO ALGORITMA. iSPOLXZOWANIE ORAKULOW IZOBRAVENO NA RIS. 4.1.
rIS. 4.1.
nA^NEM S PROSTOJ ILL@STRACII, KOTORAQ POKAZYWAET, KAK ALGORITM, SOOB]A@]IJ O TOM, ^TO ISHODNYJ TEKST MENX[E, ^EM n=2 ILI NET, MOVET BYTX ISPOLXZOWAN DLQ POLU^ENIQ DOPOLNITELXNOJ INFORMACII O x. iTAK, W NA[EM RASPORQVENII IMEETSQ SLEDU@]IJ ORAKUL O(RAZMER) (SM. pIS. 4.2).
|TO OZNA^AET, ^TO PO ZADANNOMU WHODU, SOSTOQ]EMU IZ OTKRYTOGO KL@^A ZA[IFROWANIQ I ZA[IFROWANNOJ WERSII x, ORAKUL O(RAZMER) GO-
WORIT, WYPOLNQETSQ LI x < n=2 ILI NET. |
|
|
|
|||
|
pOSTROIM ALGORITM A, GOWORQ]IJ NAM, W KAKOM IZ INTERWALOW |
|||||
(jn=8; (j + 1)n=8), 0 · j · 7, |
LEVIT ISHODNYJ TEKST |
x. |
pO ZADANNOMU |
|||
e |
; mod n), |
|
|
|||
WHODU, SOSTOQ]EMU IZ e, n I (x |
ALGORITM TOLXKO WY^ISLQET |
|||||
^ISLA |
|
|
|
|
|
|
(*) |
(2exe; mod n) I (4exe; |
mod n) |
|
|
I ZADAET TRI WOPROSA ORAKULU. sLEDOWATELXNO, UWELI^ENIE SLOVNOSTI ALGOpITMA A ZA S^ET L@BOGO ALGORITMA, WYPOLNQ@]EGO RABOTU OpAKULA O(RAZMER), NEZNA^ITELXNO.
192 |
gLAWA 4. kRIPTOSISTEMA RSA |
e; n; (xe; modn) |
|
DA |
ESLI x < n=2, |
|
O(RAZMER) |
||||
|
||||
NET |
ESLI x > n=2. |
|||
|
||||
|
|
|||
|
|
|
||
|
|
|
|
|
|
rIS. 4.2. |
|
oDIN IZ TREH WOPROSOW, ZADAWAEMYH ORAKULU, IZOBRAVEN NA RIS. 4.2, A W DWUH DRUGIH xe ZAMENQETSQ NA (2x)e I (4x)e. pOSLEDNIE DWA WOPROSA MOGUT BYTX ZADANY, TAK KAK ALGORITM A WY^ISLQET ^ISLA (*). pOZICIQ x ZAWISIT OT OTWETOW NA TRI WOPROSA, SOGLASNO SLEDU@]EJ TABLICE:
oTWETY |
iNTERWAL |
|||
|
|
|
|
|
DA, |
DA, |
DA |
0 < x < n=8 |
|
DA, |
DA, |
NET |
n=8 |
< x < n=4 |
DA, |
NET, |
DA |
n=4 < x < 3n=8 |
|
DA, |
NET, |
NET |
3n=8 < x < n=2 |
|
NET, |
DA, |
DA |
n=2 < x < 5n=8 |
|
NET, |
DA, |
NET 5n=8 |
< x < 3n=4 |
|
NET, |
NET, |
DA |
3n=4 |
< x < 7n=8 |
NET, |
NET, |
NET |
7n=8 < x < n |
lEGKO PROWERITX REZULXTATY. k PRIMERU, PUSTX O(RAZMER) DAET INFORMACI@
x > n=2; (2x; mod n) < n=2; (4x; mod n) < n=2 ;
T.E. POSLEDOWATELXNOSTX OTWETOW \NET, DA, DA". pERWYE DWA NERAWENSTWA GOWORQT NAM, ^TO n=2 < x < 3n=4, TAK KAK ESLI x > 3n=4, TO (2x; modn) > n=2 I MY BUDEM IMETX WTOROJ OTWET \NET". oB_EDINQQ \TU INFORMACI@ S POSLEDNIM NERAWENSTWOM, MY POLU^IM n=2 < x < 5n=8, POTOMU ^TO OPQTX 5n=8 < x < 3n=4 WLE^ET
(4x; mod n) > n=2.
|TA PROCEDURA MOVET WYPOLNQTXSQ DO TEH POR, POKA INTERWALY NE STANUT TAKIMI MALYMI, ^TO x BUDET ODNOZNA^NO OPREDELQTXSQ INTERWALOM, W KOTOROM ON SODERVITSQ. pREDSTAWIM \TO PODROBNEE.
tAKVE PODHODQ]IM BUDET ISPOLXZOWANIE ORAKULA O(^ETNOSTX), KOTORYJ GOWORIT O ^ETNOSTI x. eSLI MY RABOTAEM S DWOI^NYMI PREDSTAWLENIQMI, TO O(^ETNOSTX) IZOBRAVAETSQ SLEDU@]IM OBRAZOM:
4.5. ˜ASTIˆNAQ INFORMACIQ W RSA |
193 |
e; n; (xe; modn) |
|
0 |
ESLI x ^ETNO, |
|
O(^ETNOSTX) |
||||
|
||||
1 |
ESLI x NE^ETNO. |
|||
|
||||
|
|
|||
|
|
|
||
|
|
|
|
|
|
rIS. 4.3. |
|
tAKIM OBRAZOM, ORAKUL SOOB]AET POSLEDNIJ BIT H. pOKAVEM, KAK, ISPOLXZUQ O(^ETNOSTX), MOVNO POSTROITX H, PRISOEDINQQ POSLEDOWATELXNO PO ODNOMU BITU SPRAWA.
oBOZNA^IM ^EREZ N ^ISLO BITOW W n. tOGDA N = [log2 n] + 1. mY TAKVE ISPOLXZUEM OPERATORY B I M, PEREWODQ]IE NEOTRICATELXNOE ^ISLO W SOOTWETSTWU@]U@ DWOI^NU@ POSLEDOWATELXNOSTX, I NAOBOROT. HAPRIMER, B(91) = 1011011 I M(1011011) = 91. B(x) WSEGDA NA^INAETSQ S 1. oPERATORY B I M INOGDA NEOBHODIMY, ^TOBY IZBEGATX PUTANICY.
dLQ DWUH POSLEDOWATELXNOSTEJ BITOW t I u OBOZNA^IM ^EREZ tu POSLEDOWATELXNOSTX BITOW, POLU^AEMU@ NAPISANIEM t I u DRUG ZA DRUGOM. pOSLEDOWATELXNOSTX tu NAZYWAETSQ KONKATENACIEJ t I u. kAK OBY^NO, MY OBOZNA^AEM ^EREZ jtj DLINU POSLEDOWATELXNOSTI t. eSLI M(t) ¸ M(u), OBOZNA^IM ^EREZ LAST(t ¡ u) POSLEDNIE juj BITOW POSLEDOWATELXNOSTI B(M(t)¡M(u)), DOPOLNQEMYE SLEWA NULQMI, ESLI B(M(t)¡M(u)) < juj. w CELOM ESLI LAST(t ¡ u) = v, TO jvj = juj I DLQ NEKOTOROGO w B(M(t) ¡ M(u)) ESTX SUFFIKS wv. k PRIMERU,
LAST(1011011 ¡ 1010111) = 0000100 ;
LAST(1011011 ¡ 111) = 100 :
w PERWOM SLU^AE w PUSTOE SLOWO, A WO WTOROM SLU^AE w = 1010. uSLOWIE M(t) ¸ M(u) GARANTIRUET, ^TO LAST(t ¡ u) BUDET WSEGDA OPREDELENO.
pUSTX K BUDET INWERSIEJ 2e (mod n), T. E.
2eK ´ 1 (mod n) :
~ISLO K NAHODITSQ BYSTRO S POMO]X@ ALGORITMA eWKLIDA. dLQ ZADANNOGO (xe; mod n) MY TEPERX INDUKTIWNO OPREDELIM r(i) I ANS(i) DLQ
1 · i · N.
pO OPREDELENI@ r(1) = (xe; mod n) I ANS(1) ESTX OTWET ORAKULA O(^ETNOSTX) NA WHOD xe. (mY PREDSTAWLQEM WHOD W TAKOJ UKORO^ENNOJ
194 |
gLAWA 4. kRIPTOSISTEMA RSA |
FORME, TAK KAK ^ASTI n I e SOHRANQ@TSQ NEIZMENNYMI W TE^ENIE WSEGO OBSUVDENIQ.) pUSTX UVE OPREDELENY r(i¡1) I ANS(i¡1) DLQ NEKOTOROGO i ¸ 2. tOGDA
r(i) = |
(r(i ¡ 1)K; mod n); |
ESLI ANS(i ¡ 1) = 0 ; |
½ |
((n ¡ r(i ¡ 1))K; mod n); |
ESLI ANS(i ¡ 1) = 1 ; |
I ANS(i ¡ 1) ESTX OTWET ORAKULA NA WHOD r(i ¡ 1). zAMETIM, ^TO, PO OPREDELENI@, r(i) IMEET WID (ye; mod n) DLQ NEKOTOROGO y.
zATEM INDUKTIWNO OPREDELIM t(i); N ¸ i ¸ 1. wNA^ALE
|
|
|
t(N) = ANS(N) : |
|
|
|
|
|
pUSTX UVE OPREDELENO t(i); i ¸ 2. tOGDA |
|
|
|
|
||||
|
|
t(i)0 ; |
|
ESLI ANS(i |
¡ |
1) |
= 0 |
; |
t(i |
1) = |
8 LAST(B(n) |
t(i)0); |
ESLI ANS(i |
1) |
= 1 |
I M(t(i)0) < n ; |
|
¡ |
|
: |
¡ |
ESLI ANS(i |
¡ |
|
|
I M(t(i)0) > n : |
|
< LAST(t(i)0 |
¡B(n)); |
¡ |
1) |
= 1 |
zDESX RAZDELENIE PO ANS(i ¡ 1) NA DWA PODSLU^AQ NEOBHODIMO, ^TOBY GARANTIROWATX OPREDELENNOSTX LAST. w DEJSTWITELXNOSTI POSLEDNIJ PODSLU^AJ TREBUETSQ TOGDA I TOLXKO TOGDA, KOGDA i = 2 I M(t(2)) > n=2. HAPpIMEp, n = 21; B(n) = 10101 I t(2) = 1101.
w KA^ESTWE PRIMERA WOZXMEM PERWU@ ILL@STRACI@ IZ PRIMERA 4.1. mY IMEEM n = 55, e = 7; N = 6 I B(n) = 110111. aLGORITM eWKLIDA DAET K = 52. pUSTX xe = 49. (dLQ UPRO]ENIQ ZAPISI MY PI[EM xe WMESTO (xe; mod n).) pOLU^AEM
r(1) = 49 ; |
ANS(1) = 0 ; |
r(2) ´ 49 ¢ 52 ´ 18 ; |
ANS(2) = 0 ; |
r(3) ´ 18 ¢ 52 ´ 1 ; |
ANS(3) = 1 ; |
r(4) ´ 54 ¢ 52 ´ 3 ; |
ANS(4) = 1 ; |
r(5) ´ 52 ¢ 52 ´ 9 ; |
ANS(5) = 0 ; |
r(6) ´ 9 ¢ 52 ´ 28 ; |
ANS(6) = 1 : |
kONE^NO, ZNA^ENIQ ANS(i) NE WY^ISLQ@TSQ, A POLU^A@TSQ S POMO]X@ ORAKULA. w \TOM PROSTOM SLU^AE ONI MOGUT BYTX NAJDENY W TABLICE IZ PRIMERA 4.1.
tEPERX WY^ISLIM ZNA^ENIQ t(i). pO OPREDELENI@, t(6) = 1 I t(5) = 10. tAK KAK ANS(4) = 1, MY POLU^AEM
t(4) = LAST(110111 ¡ 100) = 011 :
aNALOGI^NO,
t(3) = LAST(110111 ¡ 0110) = 0001 :
4.5. ˜ASTIˆNAQ INFORMACIQ W RSA |
195 |
oSTAW[IESQ ZNA^ENIQ OPQTX POQWLQ@TSQ |
S POMO]X@ KONKATENACII: |
t(2) = 00010 I t(1) = 000100. tEPERX MOVNO PROWERITX, ^TO t(1) ESTX DWOI^NOE PREDSTAWLENIE x IZ N BITOW:
47 ´ 49 (mod 55) :
|TO SPRAWEDLIWO TAKVE I W OB]EM SLU^AE.
tEOREMA 4.3 w WY[EOPREDELENNYH OBOZNA^ENIQH
M(t(1)) = x :
pERED NA^ALOM DOKAZATELXSTWA TEOREMY 4.3 ZAMETIM, ^TO DLQ NAHOVDENIQ x MY KONSULXTIRUEMSQ S OpAKULOM N RAZ. dOPOLNITELXNO PRI PRIMENENII ALGORITMA eWKLIDA ISPOLXZUETSQ NE BOLEE N ¡1 MODULXNYH UMNOVENIJ I NE BOLEE 2N WY^ITANIJ. tAKIM OBRAZOM, KRIPTOANALITI- ^ESKIJ ALGORITM DLQ NAHOVDENIQ x QWLQETSQ O^ENX BYSTRYM, ESLI S ORAKULOM MOVNO KONSULXTIROWATXSQ BEZ UWELI^ENIQ STOIMOSTI. w \TOM SLU^AE METOD NAHOVDENIQ POSLEDNEGO BITA ISHODNOGO TEKSTA DAET METOD DLQ NAHOVDENIQ WSEGO ISHODNOGO TEKSTA.
dOKAZATELXSTWO. dLQ 1 · i · N MY OBOZNA^IM ^EREZ u(i) ^ISLO, UDOWLETWORQ@]EE SRAWNENI@
(u(i))e ´ r(i) (mod n); 0 < u(i) < n :
tAKIE ^ISLA u(i) SU]ESTWU@T W SILU OPREDELENIQ r(i). bOLEE PODROBNO, SOOTNO[ENIE 2er(i) ´ §r(i¡1) (mod n) POKAZYWAET, NASKOLXKO USPE[NO MOGUT BYTX POSTpOENY ^ISLA u(i). oBOZNA^IM TAKVE
v(i) = 0jB(u(j)) ;
GDE j = N ¡jB(u(i))j. tOGDA j ¸ 0, POTOMU ^TO u(i) < n. tAKIM OBRAZOM, v(i) WSEGDA QWLQETSQ DWOI^NOJ POSLEDOWATELXNOSTX@ DLINY N.
tEPERX POTREBUEM, ^TOBY DLQ N ¸ i ¸ 1 SU]ESTWOWALO TAKOE SLOWO w(i), WOZMOVNO PUSTOE, ^TO
(*) |
v(i) = w(i)t(i) : |
tEOREMA 4.3 SLEDUET IZ (*) PRI PODSTANOWKE i = 1. zAMETIM, ^TO jt(1)j = N, TAK KAK jt(N)j = 1 I DLINA WOZRASTAET NA EDINICU PRI KAVDOM PEREHODE OT t(i) K t(i ¡ 1). tAK KAK jv(1)j = N, IZ (*) SLEDUET, ^TO w(1) DOLVNO BYTX PUSTYM, A TAKVE, ^TO v(1)6 I t(1) | ODINAKOWYE DWOI^NYE POSLEDOWATELXNOSTI. s DRUGOJ STORONY, M(v(1)) = x I, SLEDOWATELXNO, M(t(1)) = x.
196 gLAWA 4. kRIPTOSISTEMA RSA
nA[E TREBOWANIE (*) USTANAWLIWAETSQ S POMO]X@ INDUKCII PO i. dLQ i = N (*) SPRAWEDLIWO, TAK KAK, PO OPREDELENI@, POSLEDNIJ BIT v(N) RAWEN POSLEDNEMU BITU B(u(N)), KOTORYJ, W SWO@ O^EREDX, RAWEN ANS(N) = t(N). pUSTX INDUKTIWNOE PREDPOLOVENIE (*) WERNO DLQ i. rASSMOTRIM ZNA^ENIE i ¡ 1.
pUSTX WNA^ALE ANS(i ¡ 1) = 0. tOGDA
r(i) = (r(i ¡ 1)K; mod n)
I
r(i ¡ 1) ´ 2er(i) ´ (2u(i))e (mod n) ;
OTKUDA SLEDUET, ^TO u(i ¡ 1) = (2u(i); modn). eSLI B(u(i ¡ 1)) = = B(u(i))0, TO PO INDUKTIWNOMU PREDPOLOVENI@ I OPREDELENI@ t(i ¡ 1) MY POLU^AEM
v(i ¡ 1) = w(i ¡ 1)t(i)0 = w(i ¡ 1)t(i ¡ 1)
I, SLEDOWATELXNO, (*) WYPOLNENO DLQ ZNA^ENIQ i ¡1, GDE w(i ¡1) POLU^A- ETSQ IZ w(i) PUTEM UDALENIQ ODNOGO NA^ALXNOGO NULQ. s DRUGOJ STORONY,
IZ B(u(i ¡ 1)) 6=B(u(i))0 SLEDUET, ^TO u(i ¡ 1) = 2u(i) ¡ n. (o^EWIDNO,
^TO 2u(i) < 2n.) pO\TOMU u(i ¡ 1) NE^ETNO, ^TO PROTIWORE^IT USLOWI@
ANS(i ¡ 1) = 0. |TO POKAZYWAET, ^TO B(u(i ¡ 1)) = B(u(i))0. pUSTX TEPERX ANS(i ¡ 1) = 1. w \TOM SLU^AE
r(i ¡ 1) ´ ¡2er(i) ´ ¡2e(u(i))e ´ (¡2u(i))e (mod n) :
zDESX POSLEDNEE SRAWNENIE SPRAWEDLIWO, POSKOLXKU e NE^ETNO. iZ \TOGO SLEDUET, ^TO u(i ¡ 1) = (¡2u(i); modn). eSLI n > 2u(i), TO
v(i ¡ 1) = w(i ¡ 1)LAST(B(n) ¡ t(i)0) = w(i ¡ 1)t(i ¡ 1) :
eSLI n < 2u(i), TO
v(i ¡ 1) = w(i ¡ 1)LAST(t(i)0 ¡ B(n)) = w(i ¡ 1)t(i ¡ 1) :
dWE ALXTERNATIWY SOOTWETSTWU@T RAZDELENI@ ANS(i ¡ 1) = 1 NA DWA PODSLU^AQ W OPREDELENII t(i ¡ 1). |TO ZAWER[AET INDUKTIWNYJ [AG, I, SLEDOWATELXNO, (*) WYPOLNENO.
2
sLEDU@]IJ PRIMER 4.2 ILL@STRIRUET RAZLI^NYE STORONY WY[E- UKAZANNOJ KONSTRUKCII.
4.5. ˜ASTIˆNAQ INFORMACIQ W RSA |
197 |
pRIMER 4.2. rASSMOTRIM SNA^ALA, KAK WYGLQDQT u(i) I v(i) W ILL@- STRACII, PRIWEDENNOJ PERED FORMULIROWKOJ TEOREMY 4.3. zDESX OPQTX ISPOLXZUETSQ TABLICA IZ PRIMERA 4.1. mY POLU^AEM
u(6) = 7; v(6) = 000111 ; u(5) = 14; v(5) = 001110 ; u(4) = 27; v(4) = 011011 ; u(3) = 1; v(3) = 000001 ; u(2) = 2; v(2) = 000010 ; u(1) = 4; v(1) = 000100 :
sRAWNIWAQ ZNA^ENIQ v(i) S RANEE WY^ISLENNYMI ZNA^ENIQMI t(i), ZAKL@^AEM, ^TO w(1) PUSTO I
w(2) = 0; w(3) = 00; w(4) = 011; w(5) = 0011; w(6) = 00011 :
w KA^ESTWE WTOROJ ILL@STRACII RASSMOTRIM n = 57, e = 5, (xe; mod n) = 48. wNA^ALE MY POLU^AEM N = 6, B(n) = 111001, K = 41,
A ZATEM SLEDU@]IE ZNA^ENIQ.
i |
1 |
2 |
3 |
4 |
5 |
6 |
r(i) |
48 |
27 |
24 |
15 |
12 |
21 |
ANS(i) |
1 |
0 |
0 |
1 |
1 |
1 |
t(i) |
100001 |
01100 |
0110 |
011 |
11 |
1 |
u(i) |
33 |
12 |
6 |
3 |
27 |
15 |
v(i) |
100001 |
001100 |
000110 |
000011 |
011011 |
001111 |
sLEDU@]AQ ILL@STRACIQ NESKOLXKO BOLX[E. rASSMOTRIM n = 8137, e = 517, (xe; modn) = 5611. w \TOM SLU^AE MY IMEEM N = 13, B(n) = 1111111001001,
2517 = 2512 ¢ 32 ´ 6905 ¢ 32 ´ 1261 (mod 8137) ;
OTKUDA K = 342. dALEE SLEDU@T ZNA^ENIQ r(i), ANS(i), t(i):
198 |
|
|
|
gLAWA 4. kRIPTOSISTEMA RSA |
|
|
|
|
|
|
|
|
i |
r(i) |
ANS(i) |
t(i) |
|
|
|
|
|
|
|
1 |
5611 |
0 |
0000000010000 |
|
|
2 |
6767 |
0 |
000000001000 |
|
|
3 |
3406 |
0 |
00000000100 |
|
|
4 |
1261 |
0 |
0000000010 |
|
|
5 |
1 |
1 |
000000001 |
|
|
6 |
7795 |
0 |
11100100 |
|
|
7 |
5091 |
0 |
1110010 |
|
|
8 |
7941 |
1 |
111001 |
|
|
9 |
1936 |
0 |
01000 |
|
|
10 |
3015 |
0 |
0100 |
|
|
11 |
5868 |
0 |
010 |
|
|
12 |
5154 |
1 |
01 |
|
|
|
13 |
3061 |
0 |
0 |
|
sLEDOWATELXNO, x = M(t(1)) = 16. tABLICA MOVET BYTX ZAPOLNENA BYSTRO, ESLI W DEJSTWITELXNOSTI MOVNO KONSULXTIROWATXSQ S ORAKULOM. oDNAKO, TAK KAK MY NE IMEEM DOSTUPA NI K ODNOMU IZ ORAKULOW, ZNA^ENIQ W TABLICE BUDUT WY^ISLQTXSQ DRUGIM METODOM, KOTOpYJ NE MOVET BYTX WY^ISLITELXNO REALIZUEMYM, INA^E MY BYLI BY W SOSTOQNII WSKRYTX RSA! w PROWEDENNYH WY[E WY^ISLENIQH BYLO ZARANEE IZWESTNO x = 16. tOGDA STOLBCY t I ANS MOGUT BYTX WY^ISLENY SWERHU WNIZ. eSLI ANSSTOLBEC OPREDELEN, TO TUT VE WY^ISLQETSQ I r-STOLBEC. w \TOM ^ASTNOM PRIMERE MY IMEEM '(n) = 7956 I d = 277.
2
bOLEE SILXNYE REZULXTATY MOGUT BYTX POLU^ENY DLQ WEROQTNOSTNYH ALGORITMOW. pO ZADANNOMU (xe; mod n) MY WSEGDA W SOSTOQNII UGADATX POSLEDNIJ BIT x S WEROQTNOSTX@ 1=2. pREDPOLOVIM TEM NE MENEE, ^TO MY IMEEM PpI OTGADYWANII NEZNA^ITELXNOE PREIMU]ESTWO, T.E. SU- ]ESTWUET POLOVITELXNOE ±, TAKOE, ^TO MY WSEGDA W SOSTOQNII UGADATX POSLEDNIJ BIT x S WEROQTNOSTX@ 1=2+±. tOGDA MY W SOSTOQNII WSKRYTX RSA. bOLEE TO^NO, W [SchA] POKAZAN SLEDU@]IJ REZULXTAT. pUSTX ORAKUL O(^ETNOSTX,±) SOOB]AET POSLEDNIJ BIT x S WEROQTNOSTX@ ¸ 1=2 + ± POSLE POLU^ENIQ NA WHODE n; e I (xe; mod n). eSLI MOVNO KONSULXTIROWATXSQ S ORAKULOM BEZ UWELI^ENIQ STOIMOSTI, TO SU]ESTWUET WEROQTNOSTNYJ ALGORITM S POLINOMIALXNYM WREMENEM DLQ WY^ISLENIQ x PO UKAZANNOMU WHODU. aLGORITM QWLQETSQ ALGORITMOM TIPA lAS wEGASA, TAK KAK WYHOD MOVET BYTX PROWEREN S POMO]X@ MODULXNOGO WOZWEDENIQ W STEPENX.
mY RASSMOTRELI ORAKUL, SOOB]A@]IJ POSLEDNIJ BIT x. rEZULXTAT MOVET BYTX pASPpOSTpANEN I NA ORAKULY, INFORMIRU@]IE O NEKOTOROM
4.6. dISKRETNYE LOGARIFMY I KL@ˆEWOJ OBMEN |
199 |
DRUGOM BITE x. w ^ASTNOSTI, TEHNIKA TEOREMY 4.3 PO^TI BEZ IZMENENIJ PRIMENIMA K SLU^A@, GDE ORAKUL SOOB]AET j-J BIT S KONCA B(x) I W KONCE DWOI^NOGO PREDSTAWLENIQ n STOIT NE MENEE j EDINIC. w TEOREME 4.3 MY IMEEM j = 1.
w OBSUVDENII, SWQZANNOM S TEOpEMOJ 4.3, WMESTO ORAKULA O(^ETNOSTX) MY S TEM VE USPEHOM MOVEM ISPOLXZOWATX ORAKUL O(RAZMER). dEJSTWITELXNO, DLQ WSEH z, GDE 0 < z < n, MY IMEEM z < n=2 TOGDA I TOLXKO TOGDA, KOGDA (2z; mod n) ^ETNO. w SILU \TOGO FAKTA KAVDYJ IZ \TIH DWUH ORAKULOW WOSPROIZWODIT DRUGOJ.
4.6. dISKRETNYE LOGARIFMY I KL@^EWOJ OBMEN
pREDPOLOVIM, ^TO W RSA PUBLIKUETSQ TOLXKO MODULX n, A \KSPONENTA ZA[IFROWANIQ e HRANITSQ W SEKRETE. pUSTX KRIPTOANALITIK PEREHWATYWAET NE MENEE ODNOJ PARY (w; we) I PYTAETSQ WSKRYTX SISTEMU, T.E. NAJTI \KSPONENTU pAS[IFROWANIQ d PpI NA^ALXNOM USLOWII \IZWESTEN ISHODNYJ TEKST". tOGDA PERED KRIPTOANALITIKOM STOIT ZADA^A NAHOVDENIQ LOGARIFMA w PO OSNOWANI@ we (mod n). |TO SPECIALXNYJ SLU-
^AJ WY^ISLENIQ DISKRETNYH LOGARIFMOW.
iMEETSQ MNOGO KRIPTOSISTEM, S OTKRYTYM KL@^OM I DRUGIH, OSNOWANNYH NA DISKRETNYH LOGARIFMAH. HAHOVDENIE POSLEDNIH PpEDSTAWLQETSQ TRUDNOWY^ISLIMYM PpI IH ISPOLXZOWANII W KA^ESTWE OSNOWY KRIPTOSISTEMY. eSLI MY RASSMOTRIM URAWNENIE ax = y DLQ POLOVITELXNYH DEJSTWITELXNYH ^ISEL, TRUDNOSTX WY^ISLENIQ x IZ a I y BUDET PRIMERNO TOJ VE SAMOJ, ^TO I PRI NAHOVDENII y IZ a I x. oBE ZADA^I SWODQTSQ K RQDU UMNOVENIJ, DELENIJ I TABLICE PEREWODA LOGARIFMOW PO L@BOMU OSNOWANI@. ~TO KASAETSQ DISKRETNYH LOGARIFMOW, SITUACIQ SOWER[ENNO OTLI^NA. mODULXNOE WOZWEDENIE W STEPENX MOVET BYTX OSU]E- STWLENO DEJSTWITELXNO BYSTRO | MY UVE OBSUVDALI \TO I PREDSTAWILI ^ISLENNYE PRIMERY. wEROQTNAQ TRUDNOWY^ISLIMOSTX OBRATNOJ OPERACII, A IMENNO WZQTIQ DISKRETNYH LOGARIFMOW, UVE ISPOLXZOWALASX W PARAGRAFE 3.5.
pONQTIE DISKRETNOGO LOGARIFMA MOVET BYTX SFORMULIROWANO SLEDU@]IM OBRAZOM. pUSTX g | \LEMENT KONE^NOJ GRUPPY G I y | DRUGOJ \LEMENT G. tOGDA L@BOE CELOE x, TAKOE, ^TO gx = y NAZYWAETSQ DISKRETNYM LOGARIFMOM y PO OSNOWANI@ g. o^EWIDNO, KAVDYJ \LEMENT y GRUPPY G IMEET DISKRETNYJ LOGARIFM PO OSNOWANI@ g TOGDA I TOLXKO TOGDA, KOGDA G QWLQETSQ CIKLI^ESKOJ GRUPPOJ S OBRAZU@]EJ g. k PRIMERU, W MULXTIPLIKATIWNOJ GRUPPE POLOVITELXNYH CELYH ^ISEL PO MO-
200 |
gLAWA 4. kRIPTOSISTEMA RSA |
DUL@ 7 TOLXKO ^ISLA 1, 2, 4 IME@T DISKRETNYE LOGARIFMY PO OSNOWANI@ 2, TOGDA KAK WSE ^ISLA IME@T DISKRETNYE LOGARIFMY PO OSNOWANI@ 3 SOGLASNO TABLICE:
~ISLO 1 2 3 4 5 6 lOGARIFM 6 2 1 4 5 3
tABLICY DISKRETNYH LOGARIFMOW W PROSTYH SLU^AQH BYLI RASSMOTRENY W PARAGRAFE 3.5. kONE^NO, GRUPPY NEBOLX[OGO PORQDKA NE PREDSTAWLQ@T WY^ISLITELXNYH TRUDNOSTEJ. sU]ESTWU@T \FFEKTIWNYE ALGORITMY WY^ISLENIQ DISKRETNYH LOGARIFMOW W NEKOTORYH SPECIALXNYH SLU^AQH, TAKIH KAK ALGORITM d.kOPPERSMITA [Cop] DLQ KONE^NYH POLEJ F (2h). oDNAKO W OB]EM SLU^AE IZWESTNYE ALGORITMY DLQ WY^I- SLENIQ DISKRETNYH LOGARIFMOW W GRUPPAH PORQDKA m PRIBLIZITELXNO IME@T ODINAKOWU@ SLOVNOSTX OTNOSITELXNO m, KAK DLQ ALGORITMOW FAKTORIZACII m. eSLI VE WSE PpOSTYE MNOVITELI m MALY, TO O^ENX \FFEKTIWNO pABOTAET ALGORITM sILXWERA{pOLIGA{h\LLMANA, [PoH] I [Odl]. |TOT ALGORITM OPISYWAETSQ W SLEDU@]EM PRIMERE.
pRIMER 4.3. pUSTX F (q), q = rh, QWLQETSQ KONE^NYM POLEM. rASSMOTRIM DISKRETNYE LOGARIFMY PO OSNOWANI@ g, GDE g | OBRAZU@]AQ DLQ
F ¤(q).
dLQ KAVDOGO PROSTOGO DELITELQ p ^ISLA q ¡ 1 WY^ISLIM
a(i; p) = (gi(q¡1)=p; mod q); 0 |
· |
i < p : |
|
|
eSLI KAVDOE p, DELQ]EE q ¡ 1, MALO, TO TABLICA, SODERVA]AQ WSPOMOGATELXNYE ^ISLA a(i; p), IMEET PRIEMLEMYJ RAZMER.
k PRIMERU, RASSMOTRIM F (181) I g = 2 (2 DEJSTWITELXNO QWLQETSQ OBRAZU@]EJ). tOGDA 180 = 22 ¢ 32 ¢ 5 I TABLICA ^ISEL a(i; p) WYGLQDIT SLEDU@]IM OBRAZOM:
p |
2 |
3 |
5 |
i |
|
|
|
0 |
1 |
1 |
1 |
1 |
180 |
48 |
59 |
2132 42
3125
4135
tEPERX WY^ISLIM DISKRETNYJ LOGARIFM z ^ISLA 62 PO OSNOWANI@ 2. w CELOM ESLI q ¡ 1 = Qp®, TO DLQ NAHOVDENIQ DISKRETNOGO LOGARIFMA x ^ISLA y PO OSNOWANI@ g DOSTATO^NO NAJTI (x; mod p®) DLQ KAVDOGO p