Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Литература / Криптография с открытым ключом (А. Саломаа)

.pdf
Скачиваний:
79
Добавлен:
16.04.2013
Размер:
1.35 Mб
Скачать

6.7. uBEDITELXNYE DOKAZATELXSTWA BEZ DETALEJ

261

MOGLA BY WYPOLNITX PROWERKU SAMA. eSLI INFORMACIQ SOSTOIT IZ PROSTYH DELITELEJ p I q BOLX[EGO ^ISLA n, P MOG BY SOOB]ATX V ^ISLA p I q, I V UBEDILASX BY, ^TO n = pq. |TO ESTX DOKAZATELXSTWO S MAKSIMALXNYM RASKRYTIEM, KOGDA V NA SAMOM DELE UZNAET WS@ INFORMACI@ I MOVET W DALXNEJ[EM PEREDATX EE KOMU-NIBUDX E]E I DAVE UTWERVDATX, ^TO \TO IMENNO ONA SAMA RAZLOVILA ^ISLO n NA MNOVITELI.

pRI DOKAZATELXSTWE S MINIMALXNYM RASKRYTIEM P UBEVDAET V , ^TO ON WLADEET NEKOTOROJ INFORMACIEJ, NO \TO PROISHODIT TAKIM OBRAZOM, ^TO NI ODIN BIT INFORMACII NE RASKRYWAETSQ I, SLEDOWATELXNO, NIKOIM OBRAZOM NE POMOGAET V OPREDELITX SAMU INFORMACI@. V PO^TI UWERENA (POSKOLXKU WEROQTNOSTX OBMANA SO STORONY P MOVET BYTX SDELANA PROIZWOLXNO MALOJ), ^TO P IMEET INFORMACI@, SKAVEM, O DWUH DELITELQH n. nO PRI \TOM V NI^EGO NE IZWESTNO O SAMIH DELITELQH I ONA NE SMOVET SOOB]ITX NI^EGO O NIH TRETXEJ STORONE.

pRIWEDEM ODIN O^ENX PROSTOJ PRIMER DOKAZATELXSTWA S MINIMALXNYM RASKRYTIEM INFORMACII O DELITELQH ^ISLA n:

{AG 1: V WYBIRAET NEKOTOROE SLU^AJNOE ^ISLO x I SOOB]AET P ^ISLO

(x4; modn).

{AG 2: P SOOB]AET ZNA^ENIE (x2; modn) V .

V NE POLU^AET NOWOJ INFORMACII, POSKOLXKU ONA SAMA MOVET WOZWESTI x W KWADRAT. s DRUGOJ STORONY, IZWESTNO, ^TO IZWLE^ENIE KWADRATNYH KORNEJ \KWIWALENTNO RAZLOVENI@ n NA MNOVITELI. nA [AGE 2 P IZWLEKAET NE PROSTO KWADRATNYJ KORENX IZ x4, A IMENNO TOT IZ NIH, KOTORYJ BUDET KWADRATNYM WY^ETOM PO MODUL@ n. oPREDELENIE, QWLQETSQ LI ^ISLO KWADRATI^NYM WY^ETOM ILI NET, TAKVE ESTX TRUDNORE[AEMAQ ZADA^A, ESLI NEIZWESTNO RAZLOVENIE n. kONE^NO, WOZMOVNOSTX USPE[- NOGO WYPOLNENIQ DEJSTWIJ DLQ P BEZ ZNANIQ DELITELEJ I MOVET BYTX SDELANA E]E MENX[E S POMO]X@ POWTORENIQ PROTOKOLA.

pOWTORIM NA[I OSNOWNYE TREBOWANIQ. mY PREDPOLAGAEM, ^TO INFORMACIEJ BUDET DOKAZATELXSTWO TEOREMY.

1.dOKAZYWA@]IJ, WEROQTNO, NE SMOVET OBMANUTX PROWERQ@]U@. eSLI DOKAZYWA@]IJ NE ZNAET DOKAZATELXSTWA TEOREMY, TO EGO [ANSY UBEDITX PROWERQ@]U@ W TOM, ^TO ON ZNAET DOKAZATELXSTWO, NI^TOVNO MALY.

2.pROWERQ@]AQ NE MOVET PEREHITRITX DOKAZYWA@]EGO. oNA NE POLU^AET IZ DOKAZATELXSTWA NI MALEJ[EJ PODSKAZKI, KROME, KONE^NO, SAMOGO FAKTA, ^TO DOKAZYWA@]IJ ZNAET DOKAZATELXSTWO. w ^ASTNOSTI, PROWERQ@]AQ NE SMOVET DOKAZATX \TU VE TEOREMU KOMU-NIBUDX E]E, NE DOKAZAW EE SNA^ALA SAMOSTOQTELXNO.

262

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

pROTOKOLY, UDOWLETWORQ@]IE (1) I (2), PROTIWORE^AT RASPROSTRANENNOMU UBEVDENI@, ^TO KOGDA MY UBEVDAEMSQ, ^TO TEOREMA WERNA, OBQZATELXNO PROISHODIT DOPOLNITELXNOE PRONIKNOWENIE W SUTX TEOREMY. dOKAZATELXSTWA VE S MINIMALXNYM RASKRYTIEM NE PRIWODQT K TAKOMU PONIMANI@. wSE TO, ^TO BY MY NI UZNALI IZ DOKAZATELXSTWA, MOVNO UZNATX IZ FORMULIROWKI TEOREMY.

dOKAZATELXSTWA S MINIMALXNYM RASKRYTIEM DOSTIGA@TSQ DAVE W SLU^AE, KOGDA U DOKAZYWA@]EGO NET OPREDELENNOGO DOKAZATELXSTWA, S KOTOROGO MOVNO BYLO BY NA^ATX, A TOLXKO NEKOTORYJ ARGUMENT, KOTORYJ, WESXMA WEROQTNO, QWLQETSQ WERNYM. nAPRIMER, P MOVET NAJTI ^ISLA p I q S POMO]X@ ODNOGO IZ TESTOW NA PROSTOTU IZ PARAGRAFA 4.3 I WPOLNE UBEDITXSQ, ^TO n = pq ESTX RAZLOVENIE NA PROSTYE MNOVITELI, HOTQ WOZMOVNO, ^TO p ILI q MOVET BYTX RAZLOVIMO. P MOVET TEPERX PEREDATX V SWO@ UBEVDENNOSTX S MINIMALXNYM RASKRYTIEM, ^TO OZNA^AET, ^TO V NE SMOVET UBEDITX KAKU@-TO TRETX@ STORONU.

wY[EPRIWEDENNYJ PROTOKOL BYL POSTROEN DLQ KONKRETNOJ ZADA^I I OSNOWYWALSQ NA WZAIMOSWQZI MEVDU RAZLOVENIEM I IZWLE^ENIEM KWADRATNYH KORNEJ. w SLU^AE ESLI NUVNO POSTROITX PROTOKOLY, UDOWLETWORQ@]IE (1) I (2) DLQ BOLX[OGO KLASSA, TAKOGO, KAK ZADA^I IZ KLASSA NP , TO NEOBHODIMY NEKOTORYE OB]IE IDEI. tAKOJ OSNOWNOJ IDEEJ W KONSTRUKCII BUDET IDEQ ZAPIRA@]EGOSQ Q]IKA. pROWERQ@]AQ NE MOVET OTKRYTX EGO, POSKOLXKU KL@^ NAHODITSQ U DOKAZYWA@]EGO. s DRUGOJ STORONY, DOKAZYWA@]IJ SWQZAL SEBQ SODERVIMYM \TOGO Q]IKA W TOM SMYSLE, ^TO ON NE MOVET IZMENITX EGO SODERVIMOE, KOGDA ON OTKRYWAET Q]IK. nA SAMOM DELE PROWERQ@]AQ MOVET NABL@DATX ZA PROISHODQ]IM, KOGDA DOKAZYWA@]IJ BUDET OTKRYWATX Q]IK.

sEJ^AS MY NE BUDEM OBSUVDATX KONSTRUKCI@ \TIH Q]IKOW, A WERNEMSQ K NEJ POZVE W \TOM VE PARAGRAFE. w PRINCIPE USTROJSTWO Q]I- KOW MOVNO POQSNITX W TERMINAH KRIPTOGRAFII S OTKRYTYM KL@^OM. zAPIRANIE INFORMACII W Q]IK OZNA^AET PRIMENENIE ODNOSTORONNEJ FUNKCII. dOKAZYWA@]EMU IZWESTNA OBRATNAQ FUNKCIQ I ON PRIMENQET EE, KOGDA OTKRYWAET Q]IK. eGO PRIWQZKA K SODERVIMOMU Q]IKA MOVET BYTX PROWERENA S POMO]X@ PRIMENENIQ ODNOSTORONNEJ FUNKCII K ISHODNOJ INFORMACII.

pOSKOLXKU ZDESX ISPOLXZUETSQ KRIPTOGRAFIQ S OTKRYTYM KL@^OM, TO NEOBHODIMO SDELATX NEKOTORYE DOPU]ENIQ. tAK, ESLI W KONSTRUKCII Q]IKOW ISPOLXZUETSQ SISTEMA RSA ILI DISKRETNYE LOGARIFMY, TO PREDPOLAGAETSQ TRUDNOWYPOLNIMYM RAZLOVENIE NA MNOVITELI ILI WY^ISLENIE DISKRETNYH LOGARIFMOW. pOSKOLXKU W BOLX[INSTWE SLU^AEW WOZMOVNO ZAMENITX ISPOLXZUEMU@ KRIPTOSISTEMU S OTKRYTYM KL@^OM,

TO DOSTATO^NO PREDPOLAGATX SU]ESTWOWANIE ODNOSTORONNEJ FUNKCII .

6.7. uBEDITELXNYE DOKAZATELXSTWA BEZ DETALEJ

263

q]IKI ISPOLXZU@TSQ W SLEDU@]EM DOKAZATELXSTWE S MINIMALX-

NYM RASKRYTIEM 3-RASKRA[IWAEMOSTI GRAFA. 3-RASKRA[IWANIE GRAFA

| \TO SOPOSTAWLENIE WER[INAM GRAFA TREH CWETOW B(blue), R(red) I W(white) TAKIM OBRAZOM, ^TOBY NIKAKIE DWE SMEVNYE (T. E. SWQZANNYE REBROM) WER[INY NE POLU^ILI BY ODIN I TOT VE CWET. iZWESTNO, ^TO 3-RASKRA[IWAEMOSTX GRAFA QWLQETSQ NP -POLNOJ PROBLEMOJ.

iTAK, P VELAET UBEDITX V , ^TO ON ZNAET NEKOTOROE 3-RASKRA[IWANIE GRAFA G S t WER[INAMI 1; 2; : : : ; t. pROTOKOL WYPOLNQETSQ k \TAPOW. kAVDYJ \TAP SOSTOIT IZ 4 [AGOW I WYPOLNQETSQ SLEDU@]IM OBRAZOM.

{AG 1: P PODGOTAWLIWAET I PREDSTAWLQET V SLEDU@]IE ZAPIRA@]IESQ

Q]IKI Bi, BiC, 1 · i · 3t I Bi;j, 1 · i < j · 3t. kAVDYJ IZ Q]IKOW Bi SODERVIT ODNU IZ WER[IN I KAVDYJ IZ Q]IKOW BiC | ODIN IZ CWETOW,

TAK ^TO DLQ KAVDOJ PARY (i1; c), GDE 1 · i1 · t I c = B; R; W , NAJDETSQ TAKOJ NOMER i, ^TO WER[INA i1 NAHODITSQ W Bi, A c W BiC. bOLEE TOGO, PARY (i1; c) POQWLQ@TSQ W PARAH Q]IKOW (Bi; BiC) W SLU^AJNOM PORQDKE. kAVDYJ IZ Q]IKOW Bi;j SODERVIT 0 ILI 1. w Q]IKE NAHODITSQ 1 TOGDA I TOLXKO TOGDA, KOGDA SLEDU@]IE DWA USLOWIQ WYPOLNQ@TSQ ODNOWREMENNO. eSLI WER[INY i1 I j1 OKAZYWA@TSQ W Q]IKAH Bi I Bj SOOTWETSTWENNO, TO TOGDA MEVDU i1 I j1 W GRAFE G ESTX REBRO. kROME TOGO, W 3-RASKRASKE DOKAZYWA@]EGO CWET RASKRASKI WER[INY i1 (SOOTWETSTWENNO j1) SODERVITSQ W Q]IKE BiC (SOOTWETSTWENNO BjC). q]IKI Bi, BiC I Bi;j BUDEM NAZYWATX Q]IKAMI WER[IN, CWETOW I REBER SOOT-

WETSTWENNO.

{AG 2: V PODBRASYWAET MONETU I SOOB]AET P REZULXTAT.

{AG 3: (a) eSLI REZULXTAT \OREL", TO P OTKRYWAET WSE Q]IKI WER[IN I REBER. (b) eSLI REZULXTAT \RE[KA", P OTKRYWAET WSE Q]IKI CWETOW I TAKIE Q]IKI REBER Bi;j, ^TO WER[INY IZ Q]IKOW Bi I Bj RASKRA[ENY DOKAZYWA@]IM ODINAKOWO W EGO ISHODNOM 3-RASKRA[IWANII GRAFA.

{AG 4: (a) w \TOM SLU^AE V PROWERQET, ^TO ONA POLU^ILA KOPI@ GRAFA G I 2t IZOLIROWANNYH WER[IN. eSLI \TO TAK, ONA PRINIMAET \TO, W PROTIWNOM SLU^AE | OTWERGAET. sAMA PROWERKA WYPOLNQETSQ LEGKO, POSKOLXKU OTKRYTYE Q]IKI WER[IN DA@T NOMERA WER[IN, TAK ^TO NIKAKIH PROBLEM, KASA@]IHSQ IZOMORFIZMA GRAFOW, NE WOZNIKAET. (b) V PROWERQET, ^TO WSE IZ 3t(t ¡ 1)=2 Q]IKOW REBER SODERVAT 0, I ^TO KAVDYJ IZ TREH CWETOW POQWLQETSQ PO t RAZ W Q]IKAH CWETOW. eSLI WSE \TO TAK, ONA PRINIMAET, W PROTIWNOM SLU^AE | OTKAZYWAETSQ.

sLEDU@]IE ZAME^ANIQ TEPERX O^EWIDNY. q]IKI DOLVNY BYTX PERESTROENY DLQ KAVDOGO NOWOGO \TAPA. w PROTIWNOM SLU^AE V WSE UZNAET ^EREZ DWA \TAPA, WYBRAW WARIANTY (a) I (b). w SLU^AE PERESTROJKI Q]I- KOW V NE UZNAET NI^EGO O RASKRASKE. w WARIANTE (a) ONA POLU^AET PROSTO

264

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

KOPI@ GRAFA G. w SLU^AE (b) ONA UZNAET TOLXKO, ^TO W 3-RASKRASKE DOKAZYWA@]EGO NIKAKAQ PARA SOSEDNIH WER[IN NE OKRA[ENA ODINAKOWO I, TAKIM OBRAZOM, 3-RASKRASKA DOKAZYWA@]EGO | PRAWILXNA. P WSEGDA PROHODIT TEST, ESLI ZNAET 3-RASKRASKU GRAFA G. w PROTIWNOM SLU^AE ON MOVET PYTATXSQ HITRITX DWUMQ SPOSOBAMI. (i) oN ZAPIRAET W Q]IKI OPISANIE NE GRAFA G, A NEKOTOROGO DRUGOGO GRAFA, ^X@ 3-RASKRASKU ON ZNAET. w \TOM SLU^AE ON BUDET POJMAN W WARIANTE (a). (ii) P ISPOLXZUET NEKORREKTNU@ 3-RASKRASKU. tOGDA ON BUDET POJMAN W WARIANTE (b). tAKIM OBRAZOM, WEROQTNOSTX DLQ LVEDOKAZYWA@]EGO PROJTI k \TAPOW RAWNA 2¡k I MY USTANOWILI SLEDU@]IJ REZULXTAT.

tEOREMA 6.2 pRIWEDENNYJ PROTOKOL DLQ 3-RASKRA[IWANIQ UDOWLETWORQET USLOWIQM (1) I (2). dLQ USLOWIQ (1) WEROQTNOSTX OBMANA DOKAZYWA@]IM RAWNA 2¡k, GDE k | ^ISLO \TAPOW PROTOKOLA.

pRIMER 6.4. pUSTX t = 4, GRAF G IZOBRAVEN NIVE. dOKAZYWA@]EMU P IZWESTNA SLEDU@]AQ 3-RASKRASKA G:

1,W

2,B

 

 

 

 

 

 

 

 

4,R

3,W

oN GOTOWIT SLEDU@]IE Q]IKI WER[IN I CWETOW:

B1 : 2 B2 : 1 B3 : 1 B4 : 1 B5 : 1 B6 : 1 B7 : 1 B8 : 1 B9 : 1 B10 : 1 B11 : 1 B12 : 1

B1C

B2C

B3C

B4C

B5C

B6C

B7C

B8C

B9C

B10C B11C B12C

:W

:R

:W

:B

:R

:W

:B

:R

:R

:B

:B

:W

6.7. uBEDITELXNYE DOKAZATELXSTWA BEZ DETALEJ

265

kROME TOGO, P PRIGOTAWLIWAET 66 Q]IKOW REBER Bi;j TAK, ^TO 5

Q]IKOW

B3;11; B3;9; B9;11; B9;12; B11;12

SODERVAT 1, A OSTALXNYE 61 Q]IKOW SODERVAT 0. w SLU^AE (a) V POLU^AET GRAF

3

11

1

2

4

5

6 7 8 10

9

12

GDE MY ISPOLXZUEM INDEKSY Q]IKOW WER[IN KAK METKI WER[IN. oTKRYTYE Q]IKI WER[IN INFORMIRU@T V , ^TO METKI 3; 11; 12; 9 QWLQ@TSQ W TOM VE PORQDKE WER[INAMI 1; 2; 3; 4. iTAK, V POLU^AET ISHODNYJ GRAF G BEZ RASKRASKI I 8 IZOLIROWANNYH WER[IN.

w SLU^AE (b) 18 Q]IKOW REBER OTKRYTYH DLQ V BUDUT:

B1;3;

B1;6;

B1;12;

B2;5;

B2;8

B2;9

B3;6;

B3;12;

B4;7;

B4;10;

B4;11

B5;8

B5;9;

B6;12;

B7;10;

B7;11;

B8;9

B10;11

wSE \TI Q]IKI SODERVAT 0, KAK I DOLVNO BYTX.

2

sLEDU@]IJ PROTOKOL BUDET NEOBY^NYM W TOM SMYSLE, ^TO ZAPIRA- @]IESQ Q]IKI NE ISPOLXZU@TSQ, HOTQ I BUDUT QWNO PRISUTSTWOWATX. iTAK, P VELAET UBEDITX V , ^TO ON ZNAET IZOMORFIZM g MEVDU DWUMQ DANNYMI GRAFAMI G1 I G2. (pO OPpEDELENI@ IZOMORFIZM MEVDU G1 I G2 ESTX WZAIMNO-ODNOZNA^NOE OTOBRAVENIE ¼ WER[IN G1 NA WER[INY G2, KOTOROE SOHpANQET SOOTWETSTWU@]IE REBRA: T. E. L@BYE WER[INY

x I y SMEVNY W G1 TOGDA I TOLXKO TOGDA, KOGDA ¼(x) I ¼(y) SMEVNY W G2.) pROTOKOL SOSTOIT IZ k \TAPOW SO SLEDU@]IMI TREMQ [AGAMI.

{AG 1: P POROVDAET I SOOB]AET V SLU^AJNU@ IZOMORFNU@ KOPI@ G® GRAFA G1.

266

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

{AG 2: V ZAPRA[IWAET P SOOB]ATX EJ IZOMORFIZM MEVDU G® I G¯, GDE ¯ SLU^AJNO WYBIRAETSQ E@ IZ INDEKSOW 1 I 2.

{AG 3: P DEJSTWUET, KAK ZAPRA[IWAETSQ.

eSLI P ZNAET IZOMORFIZM MEVDU G1 I G2, TO WYPOLNITX [AG 3 DLQ NEGO BUDET WSEGDA PROSTO, POSKOLXKU ON ZNAET TAKVE I OBRATNYJ IZOMORFIZM MEVDU G1 I G2. w PROTIWNOM SLU^AE, P STOLKNETSQ S PROBLEMOJ, ESLI ¯ = 2. mOVNO PODUMATX, ^TO PROWERQ@]IJ UZNAET ZDESX ^TO-TO, ESLI, NAPRIMER, G® = G2 I ¯ = 1. dELO W TOM, ^TO V NE POLU^AET NIKAKOJ INFORMACII, KOTORU@ ONA NE MOGLA BY POLU^ITX BEZ DOKAZYWA@]EGO: TAKU@ UDA^NU@ KOPI@ G ONA MOGLA BY PORODITX SAMA!

pROBLEMA NEIZOMORFIZMA GRAFOW LEVIT W Co-NP , NO NEIZWESTNO, PRINADLEVIT LI ONA KLASSU NP . kONE^NO, ONA PRINADLEVIT KLASSU P -SPACE. iSPOLXZUQ SLEDU@]IJ PROSTOJ PROTOKOL, P MOVET UBEDITX V , ^TO ON ZNAET, ^TO DANNYE GRAFY G0 I G1 NE IZOMORFNY.

{AG 1: V POROVDAET SLU^AJNU@ DWOI^NU@ POSLEDOWATELXNOSTX i1; : : : ; ik I SLU^AJNYE GRAFY Hi1 ; : : : ; Hik , TAKIE, ^TO WSEGDA GRAF Hij IZOMORFEN Gij . V SOOB]AET P POSLEDOWATELXNOSTX GRAFOW Hij .

{AG 2: P SOOB]AET V POSLEDOWATELXNOSTX i1; : : : ; ik.

qSNO, ^TO U P NET SPOSOBA OPREDELITX \TU DWOI^NU@ POSLEDOWATELXNOSTX, ESLI ISHODNYE GRAFY G0 I G1 IZOMORFNY. eSLI \TO TAK, TO WEROQTNOSTX DLQ P BYTX POJMANNYM NA [AGE 2 RAWNA 1 ¡ 2¡k. eSLI VE G0 I G1 NE IZOMORFNY I P OBLADAET DOSTATO^NYMI WY^ISLITELXNYMI WOZMOVNOSTQMI DLQ RAZRE[ENIQ PROBLEMY IZOMORFIZMA GRAFOW, TO V BUDET UBEVDENA.

kAK SLEDUET IZ ODNOGO NEDAWNEGO REZULXTATA a. {AMIRA, P -SPACE SOSTOIT IZ PROBLEM, DOPUSKA@]IH TAKOE INTERAKTIWNOE DOKAZATELXSTWO. bOLEE TO^NO, P OBLADAET NEOGRANI^ENNOJ WY^ISLITELXNOJ MO]X@, W TO WREMQ KAK V RABOTAET W POLINOMIALXNOE WREMQ I DOLVNA BYTX UBEVDENA S PROIZWOLXNO WYSOKOJ WEROQTNOSTX@. |TOT REZULXTAT OSOBENNO INTERESEN W SWQZI S TEM, ^TO RE[ENIE, PREDLOVENNOE DLQ NEKOTOROJ PROBLEMY IZ P -SPACE, NE MOVET BYTX, WOOB]E GOWORQ, PROWERENO ZA POLINOMIALXNOE WREMQ. tAK ^TO INTERAKTIWNOSTX OBRAZUET ZDESX NEDOSTA@]EE SOEDINENIE.

pEREJDEM TEPERX K OBSUVDENI@ WOZMOVNYH SPOSOBOW POSTROENIQ ZAPIRA@]IHSQ Q]IKOW. nE TEpQQ OB]NOSTI, PREDPOLOVIM, ^TO KAVDYJ Q]IK SODERVIT TOLXKO ODIN BIT. eSLI PERWONA^ALXNO PREDPOLAGAETSQ SODERVATX TAM BOLX[E INFORMACII, TO ODIN Q]IK MOVET BYTX ZAMENEN NESKOLXKIMI, OTKRYWA@]IMISQ ODNOWREMENNO. oPISYWAEMYJ NIVE METOD OPIRAETSQ NA PREDPOLOVENIE, ^TO WY^ISLENIE DISKRETNYH LOGARIFMOW (PO MODUL@ p) QWLQETSQ TRUDNORE[AEMOJ ZADA^EJ.

6.8. dOKAZATELXSTWA S NULEWYM ZNANIEM

267

wNA^ALE OTKpYWA@TSQ NEKOTOROE BOLX[OE PROSTOE p I POROVDA@- ]IJ \LEMENT g GRUPPY F ¤(p). |TO OZNA^AET, ^TO ILI P I V DOGOWARIWA@TSQ O p I g, ILI, W BOLEE OB]EM SLU^AE, ^TO p I g MOGUT BYTX ISPOLXZOWANY WSEMI U^ASTNIKAMI, VELA@]IMI ZANQTXSQ DOKAZATELXSTWOM S MINIMALXNYM RASKRYTIEM. w SLU^AE KAKIH-LIBO SOMNENIJ W TOM, ^TO p DEJSTWITELXNO PROSTOE ILI ^TO g | POROVDA@]IJ \LEMENT, MOVNO TAKVE PREDPOLAGATX, ^TO IZWESTNO RAZLOVENIE ^ISLA p ¡ 1, OTKUDA FAKTY OTNOSITELXNO p I g MOGUT BYTX NEMEDLENNO PROWERENY.

wNA^ALE V WYBIRAET I SOOB]AET P NEKOTOROE SLU^AJNOE ^ISLO r,

1 < r < p¡1. P NE MOVET

WY^ISLITX DISKRETNYJ LOGARIFM

r (mod p),

 

e

 

T. E. TAKOE ^ISLO e, ^TO

g

 

´ r (mod p). |TO SLEDUET IZ NA[EGO DO-

PU]ENIQ OTNOSITELXNO PRAKTI^ESKOJ NEWOZMOVNOSTI WY^ISLENIQ DISKRETNYH LOGARIFMOW (I ^TO NE BUDET SU]ESTWENNO PRO]E, DAVE ESLI IZWESTNO RAZLOVENIE p ¡ 1).

dLQ TOGO ^TOBY ZAKRYTX NEKOTORYJ BIT b W Q]IK, P WYBIRAET SLU- ^AJNOE I SEKRETNOE ^ISLO y I SOOB]AET V O \Q]IKE": x = (rbgy; modp). qSNO, ^TO L@BOJ \LEMENT IZ F ¤(p) MOVET BYTX PREDSTAWLEN KAK W WIDE (gy; modp), TAK I W WIDE (rgy mod p). oTS@DA SLEDUET, ^TO x NE OTKRYWAET NI^EGO O ZAPERTOM BITE b. kOGDA P VELAET OTKRYTX \TOT Q]IK DLQ V , ON SOOB]AET V \KL@^", T. E. y. |TO NIKOIM OBRAZOM NE POMOVET V OTKRYTX DRUGIE Q]IKI.

s DRUGOJ STORONY, \TOT METOD WYNUVDAET P PRIWQZATX SAMOGO SEBQ K BITU b. oN NE MOVET OTKRYTX Q]IK I KAK 0, I KAK 1. pREDPOLOVIM PROTIWNOE: P MOVET WYBRATX DWA ^ISLA y I y0, TAKIE, ^TO

(gy; modp) = (rgy0; modp) ;

I ZATEM POZVE OB_QWITX y I y0 W KA^ESTWE KL@^A K Q]IKU, W ZAWISIMOSTI OT TOGO, VELAET LI ON POQWLENIQ W Q]IKE 1 ILI 0. nO SEJ^AS

r ´ gy¡y0 (mod p)

I, SLEDOWATELXNO, P SMOG WY^ISLITX DISKRETNYJ LOGARIFM r, ^TO PROTIWORE^IT NA[EMU DOPU]ENI@. wSE \TO I OZNA^AET, ^TO, ZAKRYWAQ BIT b W Q]IK, P SWQZYWAET SEBQ S b I NE MOVET POZVE EGO ZAMENITX.

6.8. dOKAZATELXSTWA S NULEWYM ZNANIEM

mY SDELAEM SEJ^AS BOLEE SILXNOE OGRANI^ENIE DLQ PROWERQ@]EJ. w TO WREMQ KAK W USLOWII (2) IZ PREDYDU]EGO PARAGRAFA TREBOWALOSX, ^TO V NE UZNAET NI^EGO IZ DOKAZATELXSTWA P , TO SEJ^AS MY POTREBUEM, ^TOBY V NE UZNALA WOOB]E NI^EGO. pO OPREDELENI@, PROTOKOL BUDET S NULEWYM ZNANIEM TOGDA I TOLXKO TOGDA, KOGDA WYPOLNQ@TSQ USLOWIQ (1) I

268

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

(2) I, KROME TOGO, V NI^EGO NE UZNAET OT P TAKOGO, ^EGO BY ONA SMOGLA UZNATX SAMA BEZ U^ASTIQ P . dRUGIMI SLOWAMI, V SPOSOBNA PROMODELIROWATX PROTOKOL, KAK ESLI BY P U^ASTWOWAL W NEM, HOTQ NA SAMOM DELE ON W NEM NE U^ASTWUET. w \TOM OPREDELENII MY PREDPOLAGAEM SU]ESTWOWANIE ODNOSTORONNEJ FUNKCII (DLQ TOGO ^TOBY STROITX ZAPIRA@]IESQ Q]IKI).

rASSMOTRIM E]E ODNU NP -POLNU@ PROBLEMU, A IMENNO POSTROENIE GAMILXTONOWA CIKLA W GRAFE. pO OPREDELENI@, CIKL (T. E. PUTX S SOWPADA@]IMI NA^ALXNOJ I KONE^NOJ WER[INAMI) W GRAFE G NAZYWAETSQ GAMILXTONOWYM CIKLOM, ESLI I TOLXKO ESLI ON PROHODIT ^EREZ WSE WER- [INY G W TO^NOSTI ODIN RAZ. dOKAZYWA@]IJ, P , VELAET UBEDITX PROWERQ@]U@, V , ^TO ON ZNAET GAMILXTONOW CIKL W GRAFE G S t WER[INAMI 1; : : : ; t. pROTOKOL SNOWA IMEET k \TAPOW. kAVDYJ \TAP SOSTOIT IZ 4 [AGOW I WYPOLNQETSQ SLEDU@]IM OBRAZOM.

{AG 1: P ZAPIRAET t WER[IN GRAFA W SLU^AJNOM PORQDKE W t Q]IKOW

¡ ¢

B1; : : : ; Bt. kROME TOGO, P PODGOTAWLIWAET 2t ZAPERTYH Q]IKOW Bij, 1 · i < j · t. q]IK Bij SODERVIT ^ISLO 1, ESLI W GRAFE G IMEETSQ REBRO MEVDU WER[INAMI, ZAPERTYMI W Q]IKAH Bi I Bj. eSLI MEVDU \TIMI WER[INAMI REBRA NET, TO Bij SODERVIT ^ISLO 0. P OTDAET WSE Q]IKI V .

{AG 2: V PODBRASYWAET MONETU I SOOB]AET P REZULXTAT VREBIQ.

{AG 3: (a) eSLI REZULXTAT | \OREL", TO P OTKRYWAET WSE Q]IKI.

(b) eSLI REZULXTAT | \RE[KA", P OTKRYWAET t Q]IKOW Bi1i2 , Bi2i3 ; : : :, Biti1 , GDE INDEKSY MENQ@TSQ CIKLI^ESKI I KAVDYJ INDEKS POQWLQETSQ DWAVDY.

{AG 4: (a) V PROWERQET, ^TO ONA POLU^ILA KOPI@ G. |TA PROWERKA DLQ NEE BUDET PROSTOJ, POSKOLXKU OTKRYTYE Q]IKI Bi OPREDELQ@T IZOMORFIZM, ISPOLXZOWAW[IJSQ NA [AGE 1. (b) V PROWERQET, ^TO OTKRYTYE Q]IKI SODERVAT ^ISLO 1.

wSE, ^TO BYLO SKAZANO O PROTOKOLE, KASA@]EMSQ 3-RASKRA[IWAEMOSTI (DO FORMULIROWKI TEOREMY 6.2), SPRAWEDLIWO TAKVE I ZDESX: WY[EPRIWEDENNYJ PROTOKOL UDOWLETWORQET USLOWIQM (1) I (2). pOKAVEM SEJ^AS, ^TO ON QWLQETSQ PROTOKOLOM S NULEWYM ZNANIEM. pREDPOLOVIM, ^TO U V IMEETSQ NEKOTORYJ ALGORITM A (RABOTA@]IJ NEDETEpMINIpOWANNO ZA POLINOMIALXNOE WREMQ), IZWLEKA@]IJ NEKOTORU@ INFORMACI@ IZ EE DIALOGA S P . tOGDA V MOVET ISPOLXZOWATX A DLQ IZWLE^ENIQ TOJ VE INFORMACII DAVE W OTSUTSTWIE P SLEDU@]IM OBRAZOM.

wNA^ALE V IGRAET ROLX P . oNA POBRASYWAET MONETU I, W SOOTWETSTWII S REZULXTATOM, ILI PRIMENQET NEKOTORYJ IZOMORFIZM K G I ZAPIRAET POLU^ENNYJ GRAF W Q]IKI, ILI ZAPIRAET KAKOJ-TO t-CIKL W Q]IKI

6.8. dOKAZATELXSTWA S NULEWYM ZNANIEM

269

I, [UTKI RADI, ZAKLADYWAET NEKOTORYE ^ISLA W DRUGIE Q]IKI, ^TOBY SDELATX OB]EE ^ISLO Q]IKOW TREBUEMYM.

tEPERX, POLU^IW Q]IKI, V IGRAET ROLX V . oNA PRIMENQET SWOJ ALGORITM A, ^TOBY SDELATX WYBOR MEVDU WARIANTAMI (a) I (b). dALEE ONA ILI POLU^AET TU VE INFORMACI@, KAK I W PRISUTSTWII NASTOQ]EGO DOKAZYWA@]EGO P , ILI UZNAET, ^TO P | LVEDOKAZYWA@]IJ. wSE \TO V MOVET SDELATX ZA POLINOMIALXNOE WREMQ.

tE VE SAMYE ARGUMENTY PRIMENIMY TAKVE K PROTOKOLU OTNOSITELXNO 3-RASKRA[IWAEMOSTI. tAKIM OBRAZOM, POLU^EN SLEDU@]IJ REZULXTAT.

tEOREMA 6.3 pRIWEDENNYE PROTOKOLY DLQ 3-RASKRA[IWAEMOSTI I DLQ GAMILXTONOWYH CIKLOW QWLQ@TSQ PROTOKOLAMI S NULEWYM ZNANIEM.

rASSMOTRIM PREDSTAWLENNYJ W KONCE PARAGRAFA 6.7 SPOSOB ZAPIRANIQ Q]IKOW. tAM V NE MOGLA NI^EGO IZWLE^X IZ TOGO, KAK P PpIWQZYWAET SEBQ K KONKRETNOMU BITU ILI KAK OTKRYWAET Q]IKI. |TI Q]IKI BYLI MODELIRUEMY W TOM SMYSLE, ^TO V MOGLA BY SDELATX WSE \TO SAMA WOOB]E BEZ PRISUTSTWIQ P . |TO KASAETSQ KAK ZAPIRANIQ, TAK I OTPIRANIQ Q]IKOW. sITUACIQ IZMENITSQ, ESLI k \TAPOW PROTOKOLA WYPOLNQ@TSQ PARALLELXNO. mY OBSUDIM \TO DALEE W DANNOM PARAGRAFE.

pREDPOLOVIM, ^TO P ZNAET POLOVITELXNOE RE[ENIE NEKOTOROJ PROBLEMY IZ KLASSA NP , NAPRIMER, RE[ENIE ZADA^I O R@KZAKE. (zDESX TERMIN \POLOVITELXNOE" PROTIWOPOSTAWLEN TERMINU \OTRICATELXNOE": RE[ENIJ NET. nA[A TEHNIKA RASPROSTRANQETSQ NA POLOVITELXNYE RE[E- NIQ. dOKAZATELXSTWA S NULEWYM ZNANIEM WOZMOVNY TAKVE I DLQ OTRICATELXNYH RE[ENIJ. nAPRIMER, DOKAZATELXSTWO TOGO, ^TO DANNAQ ZADA^A O R@KZAKE NE IMEET RE[ENIJ, MOVET BYTX DANO W RAMKAH PODHODQ]EGO FORMALIZMA.) oBE PROBLEMY, UPOMQNUTYE W TEOREME 6.3, QWLQ@TSQ NP - POLNYMI. |TO OZNA^AET, ^TO L@BOJ PpIMEp PROBLEMY IZ KLASSA NP , KAK, NAPRIMER, ZADA^A O R@KZAKE, MOVET BYTX ZA POLINOMIALXNOE WREMQ SWEDEN K L@BOJ IZ NIH. |TO SWED¶ENIE MOVET BYTX WYPOLNENO TAKVE I PROWERQ@]EJ. dANNYJ REZULXTAT FIKSIRUETSQ W SLEDU@]EJ TEOREME.

tEOREMA 6.4 dLQ L@BOGO POLOVITELXNOGO RE[ENIQ PROIZWOLXNOJ PROBLEMY IZ KLASSA NP MOVET BYTX DANO DOKAZATELXSTWO S NULEWYM ZNANIEM.

iNTERESNAQ WERSIQ PpOTOKOLA POLU^AETSQ, ESLI WSE k \TAPOW PROTOKOLOW IZ TEOREMY 6.3 WYPOLNQ@TSQ PARALLELXNO. |TO OZNA^AET, ^TO P PODGOTAWLIWAET SRAZU k NABOROW ZAPERTYH Q]IKOW I V ZADAET k WOPROSOW, PO ODNOMU NA KAVDYJ NABOR. pREDPOLOVIM, ^TO V ISPOLXZUET \TI

270

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

k NABOROW ZAKRYTYH Q]IKOW, ^TOBY SFORMULIROWATX SWOI WOPROSY, NAPRIMER INTERPRETIRUQ k NABOROW KAK k ^ISEL, PRIMENQQ ODNOSTORONN@@ k-MESTNU@ FUNKCI@ K \TIM ^ISLAM I ISPOLXZUQ PERWYE k BITOW ZNA^E- NIQ FUNKCII DLQ OPREDELENIQ WOPROSOW. w TAKOM SLU^AE W PRINCIPE WOZMOVNO, ^TO HOTQ DIALOG MOVET I NE SODERVATX NIKAKOJ INFORMACII O SEKRETE P , TEM NE MENEE ON NE MOVET BYTX WOSSTANOWLEN BEZ P . dRUGIMI SLOWAMI, V MOGLA BY UBEDITX TRETX@ STORONU W FAKTE SU]E- STWOWANIQ SEKRETA, HOTQ ONA NE SMOGLA BY PRIWESTI NIKAKIH DETALEJ OTNOSITELXNO SAMOGO SEKRETA. fAKTI^ESKI W \TOJ PARALLELXNOJ WERSII V NE W SOSTOQNII SMODELIROWATX k \TAPOW ZA POLINOMIALXNOE WREMQ.

eSLI BY SWOJSTWO OBLADATX NULEWYM ZNANIEM SOHRANQLOSX DAVE W PARALLELXNOJ WERSII PROTOKOLOW, TO TOGDA V DOLVNA BY UMETX OTKRYWATX ZAPERTYE Q]IKI I KAK 0, I KAK 1. |TO W TO^NOSTI TO, ^TO P NE MOVET DELATX, I TAKAQ SITUACIQ MOVET DOSTIGATXSQ W SLU^AQH, KOGDA U V ESTX NEKOTORAQ DOPOLNITELXNAQ INFORMACIQ. bOLEE KONKRETNO, NAZOWEM ZAPERTYE Q]IKI (ILI METOD ZAPIRANIQ INFORMACII W Q]IKI) HAMELEONAMI, ESLI I TOLXKO ESLI V MOVET MODELIROWATX WSE TO, ^TO ONA UWIDELA BY W PROCEDURE, KOGDA P SWQZYWAET SEBQ S BITAMI, I, KROME TOGO, V MOGLA BY MODELIROWATX KAK PROCESS OTPIRANIQ P Q]IKOW KAK 0, TAK I PROCESS OTPIRANIQ IM Q]IKOW KAK 1.

q]IKI, OSNOWANNYE NA DISKRETNYH LOGARIFMAH I OPISANNYE W KONCE PARAGRAFA 6.7, NE QWLQ@TSQ HAMELEONAMI. eSLI V WMESTO P WYBIRAET ^ISLO y, ONA UVE NE SMOVET OTKRYTX EGO DLQ KAVDOGO IH DWUH BITOW. |TO OZNA^AET, ^TO PROTOKOL NE MOVET WYPOLNQTXSQ PARALLELXNO, ESLI ON DOLVEN BYTX S NULEWYM ZNANIEM. |TO MOVNO POQSNITX SLEDU@]IMI ARGUMENTAMI. pREDPOLOVIM, ^TO V DAET ^ISLO (2ge; modp) = r P , GDE e ONA WYBRALA SAMA. |TO OZNA^AET, ^TO NEKIJ Q]IK, ZAPERTYJ P , WYGLQDIT KAK

(rbgy; modp) = (g(e+¯)b+y; modp) ;

GDE ¯ ESTX DISKRETNYJ LOGARIFM 2 (mod p). tEPERX V MOVET ISPOLXZOWATX NESKOLXKO TAKIH Q]IKOW DLQ WY^ISLENIQ ZNA^ENIQ NEKOTOROJ FUNKCII, ^TOBY OPREDELITX, NAPRIMER, SWOJ OTKLIK K P . kAK \TO MOVET BYTX OSU]ESTWLENO BEZ P ? V MOGLA BY, KONE^NO, ZAFIKSIROWATX ^ISLO y SAMA, NO, TEM NE MENEE, ^TOBY OTKRYTX Q]IK I KAK 0, I KAK 1, ONA DOLVNA BY UZNATX ¯. pO NA[EMU PREDPOLOVENI@ OTNOSITELXNO DISKRETNYH LOGARIFMOW, ONA NE ZNAET ¯. i ^EM BOLX[E BUDET Q]IKOW, TEM BOLX[E BUDET WLIQNIQ P . tAK ^TO V NE SMOVET IGRATX ROLX P . eDINSTWENNYJ SPOSOB, KOGDA V MOGLA BY PROIZWESTI ZAPISX PROTOKOLA BEZ P , | \TO KOGDA ONA SAMA ZNAET TO, ^TO DOKAZYWAETSQ, ILI E]E, ESLI ONA ZNAET DISKRETNYJ LOGARIFM r. eSLI ISKL@^ITX WTORU@ WOZMOVNOSTX,