Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

# Литература / Криптография с открытым ключом (А. Саломаа)

.pdf
Скачиваний:
113
Добавлен:
16.04.2013
Размер:
1.35 Mб
Скачать
 4.6. dISKRETNYE LOGARIFMY I KL@ˆEWOJ OBMEN 201

W RAZLOVENII q ¡1 NA PROSTYE MNOVITELI. zATEM S POMO]X@ KITAJSKOJ TEOREMY OB OSTATKAH LEGKO WY^ISLITX x IZ ZNA^ENIJ (x; mod p®).

wY^ISLQQ (x; mod p®), MY RASSMOTRIM PREDSTAWLENIE \TOGO ^ISLA PO OSNOWANI@ p:

 (x; mod p®) = x0 + x1p + : : : + x®¡1p®¡1 ; 0 · xi · p ¡ 1 : w PRIMERE MY RASSMOTRIM MNOVITELX p® = 32 I ZAPI[EM (z; mod 181) = x0 + 3x1. dLQ NAHOVDENIQ x0 WY^ISLIM ^ISLO (y(q¡1)=p; mod q),
 KOTOROE RAWNO a(i; p) DLQ NEKOTOROGO i. wYBEREM x0 = i. w PRIMERE (6260; mod 181) = 48 I, SLEDOWATELXNO, x0 = 1. |TO RABOTAET I W OB-

]EM SLU^AE, POTOMU ^TO (gq¡1; mod q) = 1 I, ZNA^IT,

y(q¡1)=p ´ gx(q¡1)=p ´ gx0(q¡1)=p ´ a(x0; p) (mod q) :

dLQ POLU^ENIQ x1 WY^ISLIM SNA^ALA INWERSI@ g¡x0 ^ISLA gx0 (mod q) I RASSMOTRIM y1 = yg¡x0 . eSLI TEPERX

(y1(q¡1)=p2 ; mod q) = a(i; p) ;

TO x1 = i. dLQ POLU^ENIQ x2 MY RASSMOTRIM ^ISLO y2 = yg¡x0¡x1p I

WY^ISLIM

(y2(q¡1)=p3 ; mod q) :

pROCEDURA WYPOLNQETSQ DO TEH POR, POKA NE BUDET NAJDENO (x; mod p®). wOZWRA]AQSX K PRIMERU, MY NAHODIM y1 = 31. iZ \TOGO SLEDUET, ^TO

(y1180=9; mod 181) = 1 ;

PO\TOMU x1 = 0. wMESTE \TO DAET z ´ 1 (mod 9).

rASSMOTRIM SLEDU@]IJ MNOVITELX p® = 22. tEPERX MY OPREDELQEM x0 + 2x1. (mY ISPOLXZUEM TE VE x-OBOZNA^ENIQ DLQ NEIZWESTNYH.) tAK KAK (6290; mod 181) = 1, MY ZAKL@^AEM, ^TO x0 = 0. tEPERX y1 = y = 62

 I (6245; mod 181) = 1, OTKUDA x1 = 0 I z 0 (mod 4). rASSMOTRIM, NAKONEC, MNOVITELX p ´ = 51. tEPERX OPREDELQEM ® TOLXKO x0. tAK KAK (6236; mod181) = 1, ZAKL@^AEM, ^TO x0 = 0 I z ´ 0 (mod 5). tRI SRAWNENIQ DLQ z TEPERX DA@T ZNA^ENIE z = 100.

sLEDOWATELXNO, log 62 = 100.

tA VE TABLICA MOVET BYTX ISPOLXZOWANA DLQ WY^ISLENIQ DISKRETNOGO LOGARIFMA L@BOGO y, KROME ZNA^ENIQ y = 62. rASSMOTRIM y = 30.

 oBOZNA^IM log 30 = z. dLQ MNOVITELQ 22 MY POLU^AEM (3090; mod 181) = 180 I, SLEDOWATELXNO, x0 = 1. tAK KAK (1545; mod 181) = 132, MY POLU^AEM, ^TO x1 = 0 I, ZNA^IT, z 1 (mod 4). dLQ MNOVITELQ 32 x0 = 0, TAK KAK (30 60 ; mod 181) = 1. pOSKOLXKU (30 20 ; mod 181) = 132, ´
 202 gLAWA 4. kRIPTOSISTEMA RSA

MY ZAKL@^AEM, ^TO x1 = 2 I z ´ 6 (mod 9). nAKONEC, DLQ MNOVITELQ 5

POLU^AEM, ^TO x0 = 3 I z ´ 3 (mod 5), TAK KAK (3036; mod 181) = 125. tRI SRAWNENIQ DA@T REZULXTAT log 30 = 33.

aLGORITM sILXWERA{pOLIGA{h\LLMANA WSEGDA \FFEKTIWEN S EDINSTWENNYM ISKL@^ENIEM, ^TO POSTROENIE TABLICY DLQ ^ISEL a(i; p) MOVET STATX TRUDNOWY^ISLIMYM, KOGDA q ¡ 1 IMEET BOLX[OJ PROSTOJ MNOVITELX p. wYpOVDENNYM SLU^AEM QWLQETSQ F (q), GDE q | BEZOPASNOE PROSTOE ^ISLO (SM. PARAGRAF 4.2). wY^ISLENIE (q ¡ 1)=2 \LEMENTOW STOLBCA DLQ (q ¡ 1)=2 SUMM PRIWODIT PRAKTI^ESKI K TOJ VE WY^ISLITELXNOJ SLOVNOSTI, ^TO I PpI POSTROENII TABLICY LOGARIFMOW.

2

w CELOM KRIPTOSISTEMY S OTKRYTYM KL@^OM ISPOLXZU@TSQ REVE, ^EM KLASSI^ESKIE KRIPTOSISTEMY. zADA^I UPRAWLENIQ KL@^OM W POSLEDNIH MOGUT BYTX RE[ENY S POMO]X@ PODHODQ]EGO PROTOKOLA DLQ KL@^E- WOGO OBMENA. dWA POLXZOWATELQ DOGOWARIWA@TSQ O SEKRETNOM KL@^E, KOTORYJ POZVE BUDET ISPOLXZOWATXSQ W KA^ESTWE OSNOWY KLASSI^ESKOJ KpIPTOSISTEMY, TAKOJ KAK DES ILI SISTEMY pLEJFEJpA. s POMO]X@ PODHODQ]EGO KODIROWANIQ KL@^ WSEGDA MOVNO PREDSTAWITX W WIDE ^I- SLA. sAMYE PEpWYE I TAKVE NAIBOLEE [IROKO ISPOLXZUEMYE PROTOKOLY OBMENA KL@^AMI POLAGA@TSQ NA TRUDNOWY^ISLIMOSTX ZADA^I WY^ISLENIQ DISKRETNYH LOGARIFMOW. pREDSTAWIM KRATKO ODIN IZ TAKIH PROTOKOLOW.

pROSTOE ^ISLO q I OBRAZU@]AQ g GRUPPY F ¤(q) RASPROSTRANQ@TSQ SREDI WSEH POLXZOWATELEJ. kAVDYJ POLXZOWATELX Ai SLU^AJNO WYBIRAET ^ISLO ki. pOLXZOWATELI HRANQT ^ISLA ki W SEKRETE, A PUBLIKU@T STEPENI (gki ; mod q). tAKIM OBRAZOM, OTKpYTAQ INFORMACIQ OBRAZUET SLEDU@- ]U@ TABLICU.

 pOLXZOWATELX A1 A2 : : : An ~ISLO (gk1 ; mod q) (gk2 ; mod q) : : : (gkn ; mod q)

oB]IJ KL@^ DLQ DWUH POLXZOWATELEJ Ai I Aj, KOTORYE NE IMELI PRED[ESTWU@]EJ SWQZI, QWLQETSQ TEPERX ^ISLOM (gkikj ; mod q). pOLXZOWATELX Ai MOVET WY^ISLITX \TO ^ISLO, ISPOLXZUQ ki I INFORMACI@, OPUBLIKOWANNU@ Aj. sITUACIQ SIMMETRI^NA S TO^KI ZRENIQ Aj. kL@^ MOVET BYTX WY^ISLEN TAKVE I KRIPTOANALITIKOM, KOTORYJ W SOSTOQNII POS^ITATX DISKRETNYE LOGARIFMY I, TAKIM OBRAZOM, NAJTI ki ILI kj IZ OTKpYTOJ INFORMACII. aKTIWNYJ PEREHWAT^IK Am, KOTORYJ W SOSTOQNII WSTAWITX W TABLICU ^ISLO (gkm ; mod q) W STOLBEC DLQ Aj,

 4.6. dISKRETNYE LOGARIFMY I KL@ˆEWOJ OBMEN 203

SPOSOBEN USTANOWITX SWQZX S Ai, KOTORYJ NA SAMOM DELE HO^ET SWQZATXSQ

S Aj.

w KA^ESTWE ILL@STRACII WYBEREM q = 181 I g = 2 (SM. PRIMER 4.3). pUSTX A1 (SOOTWETSTWENNO A2) WYBIRAET k1 = 100 (SOOTWETSTWENNO k2 = 33). sLEDOWATELXNO, PUBLIKUEMYE ^ISLA RAWNY ¡62 I 30. tEPERX I A1, I A2 W SOSTOQNII WY^ISLITX OB]IJ KL@^ 48:

(30100; mod 181) = (6233; mod 181) = 48:

oPISANNAQ SISTEMA KL@^EWOGO OBMENA WZQTA U dIFFI I h\LLMANA [DH]. oNA QWLQETSQ STAREJ[EJ IZ SISTEM, PREDLAGAEMYH DLQ ISKL@^ENIQ PEREME]ENIJ SEKRETNYH KL@^EJ, A TAKVE ODNOJ IZ NAIBOLEE BEZOPASNYH SHEM S OTKRYTYM KL@^OM. oNA PROWERENA S RAZLI^NYH STORON I QWLQETSQ PRAKTI^ESKOJ S WY^ISLITELXNOJ TO^KI ZRENIQ. eSLI q | PROSTOE ^ISLO, SOSTOQ]EE IZ 1000 BIT, TO POLXZOWATEL@ Ai NUVNO PROIZWESTI PRIMERNO TOLXKO 2000 UMNOVENIJ DLQ WY^ISLENIQ KL@^A (gkikj ; mod q). s DRUGOJ STORONY, PEREHWAT^IK WY^ISLQET DISKRETNYE LOGARIFMY. |TO TREBUET BOLEE 2100 OPERACIJ PpI ISPOLXZOWANII L@BOGO IZ IZWESTNYH NA SEGODNQ[NIJ DENX ALGORITMOW.

w SLEDU@]EJ PROSTOJ MODIFIKACII SHEMY dIFFI{h\LLMANA SOOB- ]ENIQ PEREDA@TSQ NAPRAWLENNO. pUSTX q | PROSTOE ILI STEPENX PROSTOGO ^ISLA, IZWESTNOE WSEM POLXZOWATELQM. kAVDYJ POLXZOWATELX A WYBIRAET SEKRETNOE CELOE ^ISLO eA, TAKOE, ^TO 0 < eA < q ¡ 1 I (eA; q ¡ 1) = 1. zATEM A WY^ISLQET INWERSI@ dA ^ISLA eA (mod q ¡ 1). pEREDA^A SOOB]ENIQ w, 0 < w < q ¡ 1, WYPOLNQETSQ ZA TRI SLEDU@]IH [AGA.

{AG 1: A POSYLAET B (weA ; mod q). {AG 2: B POSYLAET A (weAeB ; mod q).

{AG 3: A PpIMENQET dA I POSYLAET B (weB ; mod q).

|TOT PROTOKOL QWLQETSQ ODNIM IZ OSNOWNYH W KRIPTOGRAFII S OTKRYTYM KL@^OM. mY UVE WSTRE^ALISX S NESKOLXKIMI EGO WERSIQMI. oN UQZWIM PROTIW AKTIWNOGO PEpEHWAT^IKA, KOTOpYJ PpINIMAET SOOB]ENIE NA [AGE 1 I MASKIRUETSQ POD B.

w SLEDU@]EJ MODIFIKACII, |LX gAMALQ [ElG], q I OBRAZU@]AQ g GRUPPY F ¤(q) IZWESTNY WSEM POLXZOWATELQM. kAVDYJ POLXZOWATELX A WYBIRAET SEKRETNOE CELOE ^ISLO mA, 0 < mA < q ¡ 1, I PUBLIKUET gmA (RASSMATRIWAEMYJ KAK \LEMENT F (q)) W KA^ESTWE KL@^A ZA[IFROWANIQ. sOOB]ENIQ w POSYLA@TSQ K A W FORME (gk; wgkmA ), GDE k | SLU^AJNOE CELOE ^ISLO, WYBRANNOE OTPRAWITELEM. dLQ OTPRAWITELQ DOSTATO^NO ZNATX gmA , W TO WREMQ KAK A MOVET OTKRYTX w, SNA^ALA WY- ^IcLIW g¡kmA . pEREHWAT^IK VE RE[AET ZADA^U NAHOVDENIQ DISKRETNYH LOGARIFMOW.

 204 gLAWA 4. kRIPTOSISTEMA RSA

pREDSTAWIM, NAKONEC, OB]IJ SPOSOB DLQ KL@^EWOGO OBMENA. w CELOM WY^ISLITELXNAQ SLOVNOSTX DLQ LEGALXNYH POLXZOWATELEJ RAWNA O(m), A DLQ PEpEHWAT^IKOW | O(m2).

pROSTRANSTWO KL@^EJ RAZMERNOSTI m2, TAK VE KAK I ODNOSTORONNQQ FUNKCIQ f, IZWESTNY WSEM POLXZOWATELQM. oBRATNAQ FUNKCIQ NE IZWESTNA NI ODNOMU IZ NIH. pOLXZOWATELX A (SOOTWETSTWENNO B) SLU^AJNO WYBIRAET m KL@^EJ x1; : : : ; xm (SOOTWETSTWENNO y1; : : : ; ym) I WY^ISLQET

ZNA^ENIQ f(x1); : : : ; f(xm) (SOOTWETSTWENNO f(y1); : : : ; f(ym)). B POSYLAET A ZNA^ENIQ f(yi) I A OTWE^AET POSYLKOJ K B ZNA^ENIQ f(xj),

KOTOROE LEVIT SREDI ZNA^ENIJ, POLU^ENNYH OT B. pRI MALOWEROQTNOM SOBYTII, KOGDA NE SU]ESTWUET TAKOGO f(xj), A WY^ISLQET DALXNEJ[IE ZNA^ENIQ f(x) WYBOROM NOWYH KL@^EJ x, POKA SOOTWETSTWIE NE BUDET NAJDENO. dLQ IZWLE^ENIQ WYGODY IZ DANNOJ SITUACII PEREHWAT^IK OBY^NO WY^ISLQET f(x) PRIMERNO DLQ m2 ZNA^ENIJ x.

gLAWA 5

dRUGIE OSNOWY KRIPTOSISTEM

5.1. wOZWEDENIE W STEPENX W KWADRATI^NYH POLQH

pREDSTAWLENNYE W PARAGRAFE 2.2 SOOBRAVENIQ OTNOSITELXNO POSTROENIQ SISTEM S OTKRYTYM KL@^OM QWLQ@TSQ O^ENX OB]IMI. kROME TOGO, NIKAK NE OPREDELQLISX OBLASTX ILI PREDMET ZADA^I, LEVA]EJ W OSNOWE SISTEMY. sTOIT ISPYTATX L@BU@ \ODNOSTORONN@@ ULICU" I W DEJSTWITELXNOSTI OKAVETSQ, ^TO OPpOBOWANO MNOGO WARIANTOW. k NASTOQ]EMU WREMENI SU]ESTWUET MNOVESTWO KRIPTOSISTEM S OTKRYTYM KL@^OM, OSNOWANNYH NA SOWER[ENNO RAZNYH IDEQH.

cELX \TOJ GLAWY | DATX IDE@ POSTpOENIQ RAZLI^NYH TIPOW SU]E- STWU@]IH KRIPTOSISTEM S OTKRYTYM KL@^OM. iZLOVENIE NE BUDET IS- ^ERPYWA@]IM, MY OBSUDIM TOLXKO NESKOLXKO SISTEM. pRI^EM MY NE DELAEM POPYTKI WYBRATX \LU^[IE" SISTEMY, A TOLXKO HOTIM PREDSTAWITX MATERIAL, KOTORYJ MOG BY WDOHNOWITX ISSLEDOWATELEJ NA RABOTU W OBLASTI SOZDANIQ KRIPTOSISTEM, NE ZAWISQ]IH OT SLOVNOSTI NEKOTORYH ZADA^ IZ TEORII ^ISEL.

kAK MY UVE OTME^ALI, O^ENX REDKO MOVNO POLU^ITX MATEMATI^ESKIE REZULXTATY OTNOSITELXNO KA^ESTWA KRIPTOSISTEM; L@BYE FAKTY, KASA- @]IESQ BEZOPASNOSTI SISTEMY, OBY^NO OSNOWANY NA PRAKTIKE. pO\TOMU W BOLX[INSTWE SLU^AEW SRAWNENIE RAZLI^NYH SISTEM BESPOLEZNO, TAK VE KAK I WYBOR SREDI NIH LU^[IH. w LITERATURE BEZOPASNOSTX MNOGIH KRIPTOSISTEM OBOSNOWYWAETSQ S POMO]X@ PROSTOGO UTWERVDENIQ,

 206 gLAWA 5. dRUGIE OSNOWY KRIPTOSISTEM

^TO KRIPTOANALIZ IMEET TAKU@ VE SLOVNOSTX, ^TO I DLQ TRUDNOWY^I- SLIMOJ ZADA^I. |TOGO NE DOSTATO^NO, TAK KAK DANNAQ ZADA^A MOVET OKAZATXSQ LEG^E, ^EM OVIDALOSX. w CELOM TAKVE NE IZWESTNO, DEJSTWITELXNO LI DLQ KRIPTOANALIZA NEOBHODIMO RE[ENIE BAZISNOJ ZADA^I; WOZMOVNO, ^TO MOVET BYTX NAJDEN ISKUSNYJ OBHOD.

w RSA BAZISNOJ ZADA^EJ QWLQETSQ pAZLOVENIE NA MNOVITELI PROIZWEDENIQ DWUH PROSTYH ^ISEL. kAK MY UVE OTME^ALI, SLOVNOSTX \TOJ ZADA^I NEIZWESTNA. tAKVE NEIZWESTNO, SU]ESTWU@T LI OBHODNYE PUTI DLQ KRIPTOANALIZA. sLEDU@]AQ KRIPTOSISTEMA, RAZRABOTANNAQ uILXQMSOM [Wil], KAVETSQ, OBLADAET WSEMI DOSTOINSTWAMI RSA. kROME TOGO, MOVNO W DEJSTWITELXNOSTI DOKAZATX, ^TO L@BOJ METOD WSKRYTIQ \TOJ SISTEMY S POMO]X@ PREDWApITELXNOGO KpIPTOANALIZA PRIWODIT K FAKTORIZACII MODULEJ. tAKIM OBRAZOM, PpEDWApITELXNYJ KpIPTOANALIZ \KWIWALENTEN FAKTORIZACII. s DRUGOJ STORONY, WSEGDA USPE[EN KRIPTOANALIZ PpI NA^ALXNOM USLOWII \IZWESTEN IZBRANNYJ KRIPTOTEKST". pO\TOMU PRI ISPOLXZOWANII \TOJ SISTEMY DANNOE NA^ALXNOE USLOWIE DOLVNO BYTX NEWOZMOVNYM DLQ PEREHWAT^IKA.

dLQ SISTEMY uILXQMSA ZA[IFROWANIE I pAS[IFROWANIE SRAWNIMY PO SKOROSTI S ANALOGI^NYMI OPERACIQMI SISTEMY RSA. oDNAKO OPISANIE \TOJ SISTEMY NAMNOGO TRUDNEE. wMESTO OBY^NOGO MODULXNOGO WOZWEDENIQ W STEPENX, TAKOGO, KAK W RSA, ZDESX WOZWODQTSQ W STEPENX PO MODUL@ n ^ISLA WIDA a + bpc. pRI \TOM ^ISLA a, b I c QWLQ@TSQ CELYMI, NO KWADRATNYJ KORENX MOVET BYTX IRRACIONALXNYM. tEM NE MENEE NET NEOBHODIMOSTI W WY^ISLENII KWADRATNYH KORNEJ. dALEE WSE DETALI BUDUT OPISANY BEZ ISPOLXZOWANIQ TERMINOLOGII KWADRATI^NYH POLEJ.

rASSMOTRIM ^ISLA WIDA

p

® = a + b c ;

GDE a, b I c | CELYE. zDESX pc FORMALXNO PONIMAETSQ KAK ^ISLO, KWADRAT KOTOpOGO RAWEN c. eSLI ZAFIKSIROWATX c, TO ^ISLA ® MOGUT RASSMATRIWATXSQ KAK PARY (a; b), DLQ KOTORYH OPERACII SLOVENIQ I UMNOVENIQ OPREDELENY SLEDU@]IM OBRAZOM:

®1 + ®2 = (a1; b1) + (a2; b2) = (a1 + a2; b1 + b2) ;

(a1; b1) ¢ (a2; b2) = (a1a2 + cb1b2; a1b2 + b1a2) :

sOPRQVENNYM S ® NAZOWEM ^ISLO

p

® = a ¡ b c :

 5.1. wOZWEDENIE W STEPENX W KWADRATIˆNYH POLQH 207

w DALXNEJ[EM BUDUT [IROKO ISPOLXZOWATXSQ FUNKCII Xi I Yi, GDE i = 0; 1; 2; : : : . pO OPREDELENI@

Xi(®) = Xi(a; b) = (®i + ®i)=2 ;

p

Yi(®) = Yi(a; b) = b(®i ¡ ®i)=(® ¡ ®) = (®i ¡ ®i)=2 c :

(pOSLEDNEE WYRAVENIE PREDNAZNA^ENO TOLXKO DLQ UPRO]ENIQ PONIMANIQ. tAK KAK FUNKCII OPREDELENY DLQ PAR (a; b), TO NE SODERVAT c.) tOGDA STEPENI ® I ® MOGUT BYTX WYRAVENY ^EREZ FUNKCII Xi I Yi:

p

®i = Xi(®) + Yi(®)pc ; ®i = Xi(®) ¡ Yi(®) c :

o^EWIDNO, ^TO Xi(®) I Yi(®) QWLQ@TSQ CELYMI ^ISLAMI. pREDPOLOVIM TEPERX, ^TO WYPOLNENO

a2 ¡ cb2 = 1

I RASSMOTRIM OPREDELENNYE WY[E ® I ®. tOGDA ®® = 1 I

Xi2 ¡ cYi2 = 1 ;

OPUSKAQ ARGUMENT ®. bOLEE TOGO, DLQ j ¸ i

 Xi+j = 2XiXj ¡ Xj¡i ; Yi+j = 2XiYj ¡ Yj¡i :

iZ \TIH SOOTNO[ENIJ, A TAKVE IZ

X

Y

 i+j = XiXj + cYiYj ; i+j = YiXj + XiYj

MY POLU^AEM REKURSIWNYE FORMULY

 X2i = Xi2 + cYi2 = 2Xi2 ¡ 1 ; Y2i = 2XiYi ; X2i+1 = 2XiXi+1 ¡ X1 ; Y2i+1 = 2XiYi+1 ¡ Y1 :

|TI FORMULY PREDNAZNA^ENY DLQ BYSTROGO WY^ISLENIQ Xi I Yi. tAK KAK X0 = 1 I X1 = a, TO Xi(®) TAKVE NE ZAWISIT OT b.

eSTESTWENNYM OBRAZOM OPREDELIM SRAWNENIQ: ZAPISX a1 + b1pc ´ a2 + b2pc (mod n)

 208 gLAWA 5. dRUGIE OSNOWY KRIPTOSISTEM BUDET OZNA^ATX, ^TO ODNOWREMENNO WYPOLNENO a1 ´ a2 (mod n) I b1 ´ b2 (mod n). 2 ¡ cb 2 = 1 MY POLAGAEM, ^TO WERNO SRAWNE- eSLI WMESTO RAWENSTWA a NIE (*) a2 ¡ cb2 ´ 1 (mod n) ;

TO WY[EUKAZANNYE REKURSIWNYE FORMULY MOGUT BYTX ZAMENENY NA SOOTWETSTWU@]IE SRAWNENIQ PO MODUL@ n.

oSNOWOJ DLQ KRIPTOSISTEMY QWLQETSQ SLEDU@]AQ LEMMA. |TA LEMMA QWLQETSQ ANALOGOM TEOREMY |JLERA DLQ RSA I OBESPE^IWAET WZAIMNU@ OBRATIMOSTX PROCEDUR ZA[IFROWANIQ I pAS[IFROWANIQ. dOKAZATELXSTWO LEMMY SOSTOIT IZ NEPOSREDSTWENNYH WY^ISLENIJ I PO\TOMU ZDESX OPU]ENO. ~ITATELX, KOTOROGO \TO ZAINTERESUET, MOVET NAJTI DANNOE DOKAZATELXSTWO W [Wil].

lEMMA 5.1 pUSTX n QWLQETSQ PROIZWEDENIEM DWUH NE^ETNYH PROSTYH ^ISEL p I q, a, b I c | CELYE ^ISLA, UDOWLETWORQ@]IE SRAWNENI@ (*) I,

 KROME TOGO SIMWOLY lEVANDRA c c , ±p = ³p ´ I ±q = ³q ´ UDOWLETWORQ@T SRAWNENIQM ±i ´ ¡i (mod 4) DLQ i = p I i = q : pUSTX DALEE (cb; n) = 1 I SIMWOL qKOBI ³ a+1) ´ RAWEN 1. oBOZNA^IM 2( n

m = (p ¡ ±p)(q ¡ ±q)=4

I POLAGAEM, ^TO e I d UDOWLETWORQ@T SRAWNENI@

ed ´ (m + 1)=2 (mod m) :

pRI \TIH PREDPOLOVENIQH

®2ed ´ §® (mod n) ;

GDE ® = a + bpc.

tEPERX MY W SOSTOQNII PREDSTAWITX DETALI KRIPTOSISTEMY S OTKRYTYM KL@^OM, RAZRABOTANNOJ uILXQMSOM. oBSUVDENIE BUDET SOSTOQTX IZ TREH SOSTAWNYH ^ASTEJ: PROEKTIROWANIQ SISTEMY, ZA[IFROWANIQ I pAS- [IFROWANIQ. w KA^ESTWE ILL@STRACII BUDET ISPOLXZOWAN PRIMER qRKKO kARI.

pROEKTIROWANIE SISTEMY. sNA^ALA WYBIRA@TSQ DWA OGROMNYH PROSTYH ^ISLA p I q I WY^ISLQETSQ IH PROIZWEDENIE n. zATEM WYBIRAETSQ ^ISLO c TAK, ^TO SIMWOLY lEVANDRA ±p I ±q UDOWLETWORQ@T SRAWNENIQM

 5.1. wOZWEDENIE W STEPENX W KWADRATIˆNYH POLQH 209

IZ LEMMY 5.1. oTMETIM, ^TO c MOVET BYTX NAJDENO O^ENX BYSTRO S POMO- ]X@ PODBORA, TAK KAK PRIMERNO ODNO ^ISLO IZ ^ETYREH UDOWLETWORQET \TIM SRAWNENIQM. sLEDU@]EE ^ISLO s OPREDELQETSQ (PUTEM PODBORA) TAKIM OBRAZOM, ^TOBY SIMWOL qKOBI

³s2 ¡ c´ = ¡1 n

(I (s; n) = 1). ~ISLO m OPREDELQETSQ, KAK I W LEMME 5.1, A DALEE WYBIRA@TSQ d, (d; m) = 1, I e, UDOWLETWORQ@]IE SRAWNENI@ IZ LEMMY.

~ISLA n; e; c; s PUBLIKU@TSQ, W TO WREMQ KAK p; q; m; d DERVATSQ W SEKRETE.

w KA^ESTWE PRIMERA WOZXMEM p = 11 I q = 13, PROIZWEDENIEM KOTORYH

 QWLQETSQ n = 143. tAK KAK ³ 5 ´ = 1 ´ ¡11 I ³ 5 ´ = ¡1 ´ ¡13 (mod 4) ; 11 13

MY MOVEM WYBRATX c = 5. mY TAKVE MOVEM WYBRATX s = 2, POTOMU ^TO

 ³ s2 n ´ ³ 11 ´ ¢ ³ 13 ´ ¡ ¢ ¡ ¡ c = ¡1 ¡1 = 1 1 = 1 :

dALEE POLU^AEM m = 10 ¢ 14=4 = 35. w SILU 23 ¢ 16 ´ 18 (mod 35) MY MOVEM NAKONEC WYBRATX \KSPONENTY [IFROWKI I DE[IFROWKI e = 23 I d = 16.

zA[IFROWANIE. iSHODNYMI TEKSTAMI QWLQ@TSQ ^ISLA w S 1 < w < n. (eSLI NEOBHODIMO, ISHODNYJ TEKST SNA^ALA DELITSQ NA BLOKI PODHODQ- ]EGO RAZMERA.) sPERWA w KODIRUETSQ S POMO]X@ ^ISLA ®, IME@]EGO WID, OPISANNYJ WY[E, A ZATEM [IFRUETSQ WOZWEDENIEM ® W STEPENX e PO

 MODUL@ n. rASSMOTRIM SNA^ALA KODIROWANIE. ³ w ZAWISIMOSTI OT TOGO RAWEN SIMWOL qKOBI w2 c ILI ¡1, POLAGAEM , n¡ ´ +1 b1 = 0 I ° = w + p c ILI ° = (w + p )(s + p I ) b1 = 1 c c

SOOTWETSTWENNO. (sLU^AJ, KOGDA SIMWOL qKOBI RAWEN 0, TAK MALOWEROQTEN, ^TO MY EGO NE RASSMATRIWAEM.) w OBOIH SLU^AQH

³°° ´ = 1 : n

w PERWOM SLU^AE \TO O^EWIDNO, A WO WTOROM SLU^AE WYPOLNENO W SILU WYBORA s.

210 gLAWA 5. dRUGIE OSNOWY KRIPTOSISTEM

aRIFMETIKA WEDETSQ PO MODUL@ n. kAK I RANEE, x¡1 OZNA^AET CELOE ^ISLO, UDOWLETWORQ@]EE SRAWNENI@ xx¡1 ´ 1 (mod n). |TApZAPISX BUDET ISPOLXZOWATXSQ I W TOM SLU^AE, KOGDA x IMEET WID a + b c, PRI \TOM x¡1 BUDET IMETX TOT VE WID. dLQ UDOBSTWA MY INOGDA BUDEM PISATX xy¡1 WMESTO x=y. zAPISX (x; modn) RASPROSTRANQETSQ I NA ^ISLA WIDA x = a + bpc. tAKIM OBRAZOM,

p p

(a + b c; modn) = (a; modn) + (b; modn) c :

kODIROWANIE ZAWER[AETSQ OPREDELENIEM ® = °=°. iTAK, ZAPISAW ® W FORME ® = a + bpc, POLU^AEM W PERWOM SLU^AE (GDE b1 = 0)

 ® ´ ( w2 c = w2 ¡ c w= w2 ¡ c p n : + ) + (2 c (mod ) ) ( ( ))

wO WTOROM SLU^AE (GDE b1 = 0) MY IMEEM ® ´ a + bpc (mod n), GDE

¡ ¢

a = (w2 + c)(s2 + c) + 4csw =(w2 ¡ c)(s2 ¡ c)

 I ¡2s(w2 + c) + 2w(s2 + c)¢=(w2 ¡ c)(s2 ¡ c) : b =

oPREDELENIE ® = °=° GARANTIRUET, ^TO W OBOIH SLU^AQH BUDET WYPOLNQTXSQ

®® = a2 ¡ cb2 ´ 1 (mod n)

I, SLEDOWATELXNO, BUDET SPRAWEDLIWO (*). |TO, KONE^NO VE, MOVNO PROWERITX S POMO]X@ NEPOSREDSTWENNYH WY^ISLENIJ. mY ZAKL@^AEM TAKVE, ^TO W OBOIH SLU^AQH

2(a + 1) ´ 2((® + ®)=2 + 1) ´ °=° + °=° + 2 ´ (° + °)2=°° (mod n) ;

³´

 OTKUDA SLEDUET, ^TO SIMWOL qKOBI 2(a+1) RAWEN 1, KAK \TO I TREBUETSQ n

W LEMME 5.1. p

iMEQ ZAKODIROWANNYJ ISHODNYJ TEKST w W WIDE ® = a + b c, MY MOVEM TEPERX EGO ZA[IFROWATX, WOZWODQ ® W STEPENX e PO MODUL@ n. kAK \TO BYLO POKAZANO RANEE, REZULXTAT DANNOJ OPERACII MOVET BYTX WYRAVEN S POMO]X@ Xe I Ye. a POSLEDNIE MOGUT BYTX WY^ISLENY BYSTRO S POMO]X@ REKURSIWNYH FORMUL. oBOZNA^IM

E = (Xe(®)Ye¡1(®); modn) :

kRIPTOTEKSTOM QWLQETSQ TROJKA (E; b1; b2), GDE b1 BYLO OPREDELENO WY[E, A b2 RAWNO 0 ILI 1 W ZAWISIMOSTI OT TOGO, ^ETNO LI a ILI NE- ^ETNO.