Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Литература / Криптография с открытым ключом (А. Саломаа)

.pdf
Скачиваний:
79
Добавлен:
16.04.2013
Размер:
1.35 Mб
Скачать

6.8. dOKAZATELXSTWA S NULEWYM ZNANIEM

271

TO ZAPISX PROTOKOLA MOVET ISPOLXZOWATXSQ DLQ UBEVDENIQ TRETXEJ STORONY b W SPRAWEDLIWOSTI TOGO, ^TO DOKAZYWAETSQ.

dOBAWITX SWOJSTWO HAMELEONA ZAPIRA@]IMSQ Q]IKAM WOZMOVNO. wMESTO SLU^AJNOGO WYBORA r V WYBIRAET SLU^AJNO \KSPONENTU e I DAET P ^ISLO

r = (ge; modp) :

tEPERX V ZNAET DISKRETNYJ LOGARIFM r I MOVET, W SLU^AE NEOBHODIMOSTI, UBEDITX W \TOM FAKTE P , DAW DOKAZATELXSTWO S MINIMALXNYM RASKRYTIEM.

e]E MY RASSMOTRIM DRUGU@, ODNU IZ OSNOWNYH, NP -POLNU@ PROBLEMU, A IMENNO PROBLEMU WYPOLNIMOSTI PROPOZICIONALXNYH FORMUL. |TA PROBLEMA OSTAETSQ NP -POLNOJ, DAVE ESLI MY PREDPOLOVIM, ^TO PROPOZICIONALXNYE FORMULY NAHODQTSQ W 3-KON_@NKTIWNOJ NORMALXNOJ FORME, T. E. KON_@NKCII DIZ_@NKCIJ, GDE KAVDAQ DIZ_@NKCIQ SOSTOIT IZ 3 LITERALOW. lITERAL | \TO PROPOZICIONALXNAQ PEREMENNAQ ILI EE OTRICANIE. nAPRIMER,

(x1 _ x2 _ :x4) ^ (x2 _ :x3 _ x4) ^ (:x1 _ x2 _ x3)

^(:x1 _ :x2 _ :x3) ^ (x1 _ x3 _ x4) ^ (:x2 _ x3 _ x4)

ESTX PROPOZICIONALXNAQ FORMULA W 3-KON_@NKTIWNOJ NORMALXNOJ FORME S ^ETYRXMQ PROPOZICIONALXNYMI PEREMENNYMI I [ESTX@ DIZ_- @NKCIQMI. fORMULA WYPOLNIMA TOGDA I TOLXKO TOGDA, KOGDA NAJDETSQ TAKOE PRIPISYWANIE PEREMENNYM ISTINNOSTNYH ZNA^ENIJ T (ISTINA) I F (LOVX), DLQ KOTOROGO FORMULA PRINIMAET ISTINNOSTNOE ZNA^ENIE T . w NA[EM SLU^AE TAKIM PRIPISYWANIEM BUDET

(*)

x1 = x2 = x3 = T; x2 = F:

kOGDA P VELAET UBEDITX V , ^TO ON ZNAET WYPOLNQ@]EE FORMULU PRIPISYWANIE, I SDELATX \TO W STILE PROTOKOLOW S NULEWYM ZNANIEM, TO ON MOVET \TO SDELATX, SLEDUQ TEOREME 6.4. mY DADIM BOLEE PRQMOJ METOD, NAPOMINA@]IJ NA[E OBSUVDENIE OTNOSITELXNO 3- RASKRA[IWAEMOSTI. tAKOJ BOLEE NEPOSREDSTWENNYJ PODHOD BUDET BOLEE PODHODQ]IM, POSKOLXKU PROBLEMA WYPOLNIMOSTI QWLQETSQ OSNOWNOJ W TOM SMYSLE, ^TO ZADA^I IZ KLASSA NP MOGUT BYTX SWEDENY K NEJ NEPOSREDSTWENNO, SM. [Sa1].

iTAK, P I V IZWESTNA NEKOTORAQ PROPOZICIONALXNAQ FORMULA ® W 3-KON_@NKTIWNOJ NORMALXNOJ FORME. pUSTX ® IMEET r PROPOZICIONALXNYH PEREMENNYH I t DIZ_@NKCIJ. (mY MOGLI BY TAKVE PREDPOLOVITX,

272

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

^TO ® ZAPISANA W ALFAWITNOM PORQDKE, NO \TO NE WAVNO.) P HO^ET UBEDITX V , ^TO ON ZNAET PRIPISYWANIE ISTINNOSTNYH ZNA^ENIJ PEREMENNYH, DELA@]EE ® ISTINNOJ. w KA^ESTWE ILL@STRACII MY RASSMOTRIM WY[EPRIWEDENNU@ FORMULU I PRIPISYWANIE (*).

wNA^ALE P PODGOTAWLIWAET 2r Q]IKOW Bi I BiT V , i = 1; : : : ; 2r, NA-

ZYWAEMYH Q]IKAMI PEREMENNYH I Q]IKAMI ISTINNOSTNYH ZNA^ENIJ

SOOTWETSTWENNO. dLQ KAVDOJ IZ 2r PAR (x; y), GDE x ESTX PROPOZICIONALXNAQ PEREMENNAQ, A y | ISTINNOSTNOE ZNA^ENIE (T ILI F ), NAJDETSQ TAKOE i, ^TO x ZAPERTO W Bi, A y | W BiT V . kROME TOGO, PARY (x; y) RASPOLOVENY W SLU^AJNOM PORQDKE SREDI PAR IZ Q]IKOW (Bi; BiT V ). w NA[EM PRIMERE BUDET 8 PAR Q]IKOW, NAPRIMER,

B1 : x4 B2 : x2 B3 : x1 B4 : x4 B5 : x3 B6 : x3 B7 : x1 B8 : x2

B1T V B2T V B3T V B4T V B5T V B6T V B7T V B8T V

:T

:F

:F

:F

:T

:F

:T

:T

kROME TOGO, P GOTOWIT (4r)3 Q]IKOW Bi;j;k, GDE TRI INDEKSA MENQ- @TSQ OT 1 DO 2r I OT :1 DO :2r I KAVDYJ Q]IK SODERVIT 0 ILI 1.

~ISLO 1 NAHODITSQ W Q]IKE Bi0;j0;k0 TOLXKO W SLU^AE i0 = i ILI i0 = :i, j0 = j ILI j0 = :j, k0 = k ILI k0 = :k, ® SODERVIT DIZ_@NKCI@, TRI PEREMENNYH KOTOROJ | \TO PEREMENNYE IZ Q]IKOW Bi; Bj; Bk (W TAKOM PORQDKE I S OTRICANIEM INDEKSA, ESLI \TO UKAZYWAETSQ W INDEKSAH i0, j0, k0) I DOPOLNITELXNO, ESLI TRI ISTINNOSTNYH ZNA^ENIQ, KOTORYE P PRIPISYWAET \TI TREM PEREMENNYM (W SWOEM KONKRETNOM WYPOLNQ@- ]EM PRIPISYWANII), SODERVATSQ W Q]IKAH BiT V , BjT V , BkT V (W TAKOM PORQDKE). q]IKI Bi0;j0;k0 BUDEM NAZYWATX Q]IKAMI PRIPISYWANIQ. tAKIM OBRAZOM, t IZ NIH SODERVAT ^ISLO 1. w NA[EM PRIMERE [ESTX Q]IKOW PRIPISYWANIQ, SODERVA]IH ^ISLO 1, BUDUT TAKIMI

B7;2;:1

B2;5;:1

B:7;2;5 ;

B:7;:2;:5

B7;5;1

B:2;5;1 :

q]IKI PERE^ISLENY W TOM VE PORQDKE, ^TO I DIZ_@NKCII.

pROTOKOL TEPERX WYPOLNQETSQ WPOLNE ANALOGI^NO PROTOKOLU DLQ 3- RASKRA[IWAEMOSTI. HA KAVDOM \TAPE PROTOKOLA P PODGOTAWLIWAET I PEREDAET V ZAKRYTYE Q]IKI, OPISANNYE WY[E. u V TEPERX ESTX DWE WOZMOVNOSTI.

pO VELANI@ V P OTKRYWAET DLQ NEE WSE Q]IKI, ZA ISKL@^ENIEM ISTINNOSTNYH ZNA^ENIJ. iZ Q]IKOW PRIPISYWANIQ, SODERVA]IH ^ISLO

6.8. dOKAZATELXSTWA S NULEWYM ZNANIEM

273

1, V POLU^IT ISHODNU@ PROPOZICIONALXNU@ FORMULU ®. tAKIM OBRAZOM ONA UZNAET, ^TO P , ZAKRYWAQ Q]IKI, DEJSTWITELXNO ISPOLXZOWAL FORMULU ®, NO ONA NE UZNAET NIKAKOJ INFORMACII O SDELANNYH P PRIPISYWANIQH ISTINNOSTNYH ZNA^ENIJ.

V TAKVE MOVET POPROSITX P OTKRYTX WSE Q]IKI ISTINNOSTNYH ZNA^ENIJ. tOGDA P OTKRYWAET DLQ NEE I WSE TE Q]IKI PRIPISYWANIQ Bi0;j0;k0, GDE KAVDYJ IZ INDEKSOW IMEET WID x S F W Q]IKE BxT V , ILI WID :x S T W Q]IKE BxT V . eSLI WO WSEH TAKIH Q]IKAH SODERVITSQ ^ISLO 0, TO TOGDA PRIPISYWANIE ISTINNOSTNYH ZNA^ENIJ, SDELANNOE P , BUDET KORREKTNYM: NIKAKAQ DIZ_@NKCIQ, PRINIMA@]AQ ZNA^ENIE F PRI DANNOM PRIPISYWANII, NE WHODIT W ®. iTAK, WSE DIZ_@NKCII, WHODQ]IE W ®, PRINIMA@T ZNA^ENIE T PRI SDELANNOM P PRIPISYWANII. V BUDET UBEVDENA W \TOM, HOTQ O SAMOM PRIPISYWANII ONA NE UZNAET NI^EGO. w NA[EM PRIMERE P OTKROET WSE Q]IKI PRIPISYWANIQ, U KOTORYH KAVDYJ IZ TREH INDEKSOW PRINADLEVIT MNOVESTWU 2; 3; 4; 6; :1; :5; :7; :8.

sLEDU@]IJ REZULXTAT POLU^AETSQ TAK VE, KAK I W TEOREME 6.2: WEROQTNOSTX OBMANA DOKAZYWA@]IM UMNOVAETSQ NA 1/2 POSLE WYPOLNENIQ KAVDOGO \TAPA.

tEOREMA 6.5 pRIWEDENNYJ PROTOKOL DLQ WYPOLNIMOSTI QWLQETSQ PROTOKOLOM S NULEWYM ZNANIEM.

l@BAQ IZ TEOREM 6.3{6.5 MOVET BYTX ISPOLXZOWANA DLQ PREWRA]ENIQ L@BOGO MATEMATI^ESKOGO DOKAZATELXSTWA W DOKAZATELXSTWO S NULEWYM ZNANIEM. pOLOVIM, ^TO WY ZNAETE DOKAZATELXSTWO, SKAVEM, POSLEDNEJ TEOREMY fERMA. pREDPOLOVIM DALEE, ^TO WA[E DOKAZATELXSTWO FORMALIZOWANO W RAMKAH NEKOTOROJ FORMALXNOJ SISTEMY. |TO OZNA^AET, ^TO NIKAKOGO \RAZMAHIWANIQ RUKAMI" ZDESX NET: PROWERQ@]AQ MOVET PROSTO PROWERITX, ^TO KAVDYJ [AG DOKAZATELXSTWA SLEDUET IZ PRAWIL \TOJ SISTEMY. pREDPOLOVIM, NAKONEC, ^TO IZWESTNA WERHNQQ OCENKA DLINY DOKAZATELXSTWA.

dOKAZATELXSTWO MOVET BYTX OTYSKANO NEDETERMINIROWANNOJ PROCEDUROJ, RABOTA@]EJ ZA POLINOMIALXNOE WREMQ. |TA PROCEDURA WNA^ALE UGADYWAET DOKAZATELXSTWO, A ZATEM PROWERQET EGO KORREKTNOSTX [AG ZA [AGOM. s DRUGOJ STORONY, \TA PROCEDURA (ILI, SKAVEM, NEDETERMINIROWANNAQ MA[INA tX@RINGA) MOVET BYTX OPISANA W TERMINAH PROPOZICIONALXNYH FORMUL KAK FORMULA ® W 3-KON_@NKTIWNOJ NORMALXNOJ FORME, PRI^EM ® BUDET WYPOLNIMA TOGDA I TOLXKO TOGDA, KOGDA TEOREMA IMEET DOKAZATELXSTWO, DLINA KOTOROGO NE PREWOSHODIT DANNOJ GRANICY. pOSTROENIE ® \FFEKTIWNO W TOM SMYSLE, ^TO L@BOMU, KOMU IZWESTNO DOKAZATELXSTWO TEOREMY, IZWESTNO TAKVE I PRIPISYWANIE PEREMENNYH, WYPOLNQ@]EE ®. tAKIM OBRAZOM, WY W SOSTOQNII UBEDITX PROWERQ@- ]EGO, ^TO WAM IZWESTNO DOKAZATELXSTWO TEOREMY, NE RASKRYWAQ NIKAKOJ

274

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

INFORMACII O SAMOM DOKAZATELXSTWE, ZA ISKL@^ENIEM WERHNEJ OCENKI EGO DLINY.

oSTALOSX SDELATX NESKOLXKO DOPOLNITELXNYH ZAME^ANIJ. pRI POLU- ^ENII REZULXTATOW, TAKIH, KAK TEOREMA 6.4, TREBUETSQ SU]ESTWOWANIE ODNOSTORONNIH FUNKCIJ. dEJSTWITELXNO, W NA[IH PROTOKOLAH S NULEWYM ZNANIEM ODNOSTORONNIE FUNKCII ISPOLXZU@TSQ PRI POSTROENII ZAPIRA@]IHSQ Q]IKOW. |TO OZNA^AET NE ^TO INOE, KAK TO, ^TO DOKA-

ZYWA@]IJ RASKRYWAET SWOJ SEKRET PROWERQ@]EJ W ZA[IFROWANNOM WIDE. i HOTQ W DIALOGOWOM REVIME PROWERQ@]AQ NE IZWLEKAET NIKAKOJ INFORMACII, W PRINCIPE WOZMOVNO, ^TO POZVE ILI SLU^AJNO, ILI SDELAW SU]ESTWENNYE WY^ISLITELXNYE USILIQ, ONA SMOVET RASKRYTX KRIPTOSISTEMU I UZNATX SEKRET CELIKOM. nAPOMNIM, ^TO, NAPRIMER, 3-RASKRA[IWANIE PEREDAETSQ PROWERQ@]EJ W ZAKRYTYH Q]IKAH NA KAVDOM \TAPE SOOTWETSTWU@]EGO PROTOKOLA.

mY NE BUDEM ZDESX KASATXSQ PROTOKOLOW, NAZYWAEMYH PROTOKOLAMI S SOWER[ENNYM NULEWYM ZNANIEM. w TAKIH PROTOKOLAH V NE POLU^AET WOOB]E NIKAKOJ INFORMACII O SEKRETE P (KROME SAMOGO FAKTA EGO SU- ]ESTWOWANIQ), W TO WREMQ KAK W PROTOKOLAH S NULEWYM ZNANIEM, KOTORYE OBSUVDALISX WY[E, PREDPOLAGAETSQ, ^TO V NE POLU^AET NIKAKOJ INFORMACII W DIALOGOWOM REVIME ILI ZA POLINOMIALXNOE WREMQ. ~ITATELX MOVET PORAZMY[LQTX O SMYSLE DOKAZATELXSTW S NULEWYM ZNANIEM S ZAPIRA@]IMISQ PRI POMO]I KRIPTOSISTEMY RSA Q]IKAMI W SLU- ^AE, KOGDA DOKAZYWAEMAQ TEOREMA | \SU]ESTWUET LINEJNYJ ALGORITM FAKTORIZACII".

w RASSMOTRENNYH WY[E PROTOKOLAH WEROQTNOSTX OBMANA DOKAZYWA- @]IM UBYWAET O^ENX BYSTRO S UWELI^ENIEM ^ISLA \TAPOW. oDNAKO PROIZWOLXNO WYSOKU@ BEZOPASNOSTX NELXZQ DOSTI^X ZA KONE^NOE ^ISLO \TAPOW. |TA TEHNIKA MOVET BYTX MODIFICIROWANA DLQ SO^ETANIQ WYSOKOJ BEZOPASNOSTI S FIKSIROWANNYM ^ISLOM \TAPOW. w NEKOTORYH SLU^AQH RASSMATRIWA@TSQ DAVE NEINTERAKTIWNYE SISTEMY DOKAZATELXSTW S NULEWYM ZNANIEM. pOLU^ENNYE ZDESX REZULXTATY [BeG] MOGUT BYTX PRIMENENY W SLEDU@]EJ SITUACII. P I V POROVDA@T SOWMESTNO DLINNU@ SLU^AJNU@ POSLEDOWATELXNOSTX, A ZATEM P OTPRAWLQETSQ W KRUGOSWETNOE PUTE[ESTWIE. kAK TOLXKO ON OTKRYWAET KAKU@-TO TEOREMU, ON POSYLAET V OTKRYTKU O DOKAZATELXSTWE SWOEJ NOWOJ TEOREMY S NULEWYM ZNANIEM. |TOT PROCESS BUDET NEIZBEVNO NEINTERAKTIWNYM, POSKOLXKU U P NET NIKAKOGO PREDSKAZUEMOGO ADRESA.

6.9. dOKAZATELXSTWA S NULEWYM ZNANIEM PODLINNOSTI

275

6.9. dOKAZATELXSTWA S NULEWYM ZNANIEM PODLINNOSTI

oDNA IZ PROBLEM W PROCEDURAH IDENTIFIKACII, TAKIH, KAK KARTO^KA UDOSTOWERENIQ LI^NOSTI, KREDITNYE KARTO^KI ILI KOMPX@TERNYE PAROLI, SOSTOIT W TOM, ^TO U^ASTNIK P DOKAZYWAET SWO@ PODLINNOSTX, RASKRYWAQ NEKOE SLOWO i(P ), KOTOROE ZAPISANO W PAMQTX ILI NAPE^ATANO NA KARTO^KE. pROTIWNIK, SOTRUDNI^A@]IJ S NE^ESTNOJ PROWERQ@]EJ, MOVET LIBO POLU^ITX \KZEMPLQR SAMOJ KARTO^KI, LIBO UZNATX SAMO SLOWO i(P ). pOZVE \TOT PROTIWNIK MOVET ISPOLXZOWATX i(P ) I PRITWORITXSQ, ^TO ON ESTX P I, TAKIM OBRAZOM, POLU^ITX DOSTUP ILI OBSLUVIWANIE, PODRAZUMEWAEMOE i(P ).

o^EWIDNOE RE[ENIE \TOJ PROBLEMY SOSTOIT W ISPOLXZOWANII DOKAZATELXSTWA S NULEWYM ZNANIEM I UBEDITX PROWERQ@]U@ V , ^TO P ZNAET i(P ), PRI \TOM NE RASKRYW NI ODNOGO BITA INFORMACII O i(P ). tAKOE DOKAZATELXSTWO IDET NA [AG DALX[E, ^EM TE DOKAZATELXSTWA S NULEWYM ZNANIEM, KOTORYE RASSMATRIWALISX W PREDYDU]EM PARAGRAFE. rANX[E P RASKRYWAL ODIN BIT INFORMACII V , A IMENNO TO, ^TO TEOREMA WERNA, ^TO IMEETSQ 3-RASKRA[IWANIE ILI WYPOLNQ@]EE FORMULU PRIPISYWANIQ PEREMENNYH I T. D. sEJ^AS VE NI ODIN BIT NE RASKRYWAETSQ. kOROTKO RAZNICU MOVNO WYRAZITX TAK, SKAZAW, ^TO ESLI RANX[E MY GO-

WORILI O DOKAZATELXSTWAH S NULEWYM ZNANIEM TEOREM, TO TEPERX MY GOWORIM O DOKAZATELXSTWAH S NULEWYM ZNANIEM ZNANIJ.

kONE^NO, POSLEDNIJ WID DOKAZATELXSTW MOVET BYTX RAS[IREN TAKVE I DO DOKAZATELXSTWA TEOREM. |TO OZNA^AET, NAPRIMER, ^TO P UBEVDAET V , ^TO ON SPRAWILSQ S POSLEDNEJ TEOREMOJ fERMA, NE RASKRYWAQ NI ODNOGO BITA SWOEJ INFORMACII, DAVE TOGO, DOKAZAL LI ON SAMU TEOREMU ILI NA[EL KONTRPRIMER! sPOSOB SDELATX \TO | POLOVITX i(P ) SOSTOQ- ]IM IZ INFORMACII P , T. E. S UTWERVDENIQ TEOREMY ILI EE OTRICANIQ S POSLEDU@]IM DOKAZATELXSTWOM ILI KONTRPRIMEROM.

w PRIWODIMOM PROTOKOLE PREDPOLAGAETSQ SU]ESTWOWANIE ZASLUVIWA@]EGO DOWERIQ AGENTSTWA. eDINSTWENNOJ ZADA^EJ TAKOGO AGENTSTWA BUDET OPUBLIKOWANIE MODULQ n, RAWNOGO PROIZWEDENI@ DWUH BOLX[IH PROSTYH ^ISEL p I q, I HpANENIE SAMIH PROSTYH ^ISEL W SEKRETE. pO TEHNI^ESKIM PRI^INAM, KOTORYE MY POQSNIM NIVE, \TI PROSTYE ^ISLA PREDPOLAGA@TSQ SpAWNIMYMI S 3 (mod 4). oPUBLIKOWAW n, AGENTSTWO MOVET PREKRATITX SWOE SU]ESTWOWANIE.

dLQ P SEKRETNYJ IDENTIFIKATOR i(P ) SOSTOIT IZ k ^ISEL c1; : : : ; ck, GDE 1 · cj < p. eGO PUBLI^NYJ IDENTIFIKATOR pi(P ) SOSTOIT IZ k ^I- SEL d1; : : : ; dk, GDE 1 · dj < p, I KAVDOE dj UDOWLETWORQET ODNOMU IZ

276

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

SRAWNENIJ

 

(*)

djcj2 ´ §1 (mod n) :

pROWERQ@]EJ V IZWESTNY n I ¼(P ). P VELAET UBEDITX EE, ^TO ON ZNAET i(P ). sLEDU@]IE ^ETYRE [AGA OBRAZU@T ODIN \TAP PROTOKOLA. kOLI^ESTWO \TAPOW UMENX[AET WEROQTNOSTX SHITRITX DLQ P .

{AG 1: P WYBIRAET SLU^AJNOE ^ISLO r, WY^ISLQET ^ISLA (§r2; modn) I SOOB]AET ODNO IZ NIH, OBOZNA^IM EGO x, V .

{AG 2: V WYBIRAET PODMNOVESTWO S MNOVESTWA f1; : : : ; kg I SOOB]AET EGO P .

{AG 3: P SOOB]AET V ^ISLO

y = (rTc; modn) ;

GDE Tc ESTX PROIZWEDENIE ^ISEL cj, U KOTORYH INDEKS j PRINADLEVIT S. {AG 4: V PROWERQET USLOWIE

x ´ §y2Td (mod n) ;

GDE Td ESTX PROIZWEDENIE ^ISEL dj, TAKIH ^TO INDEKS j PRINADLEVIT S. eSLI USLOWIE NE WYPOLNQETSQ, TO V OTKAZYWAET. w PROTIWNOM SLU^AE NA^INAETSQ O^EREDNOJ NOWYJ \TAP.

zAMETIM, ^TO PROWERO^NOE USLOWIE NA [AGE 4 DOLVNO WYPOLNQTXSQ, POSKOLXKU

y2Td ´ r2Tc2Td ´ §r2 ´ §x (mod n) ;

GDE WTOROE SRAWNENIE ESTX SLEDSTWIE (*). iSPOLXZOWANIE r NEOBHODIMO, POSKOLXKU W PROTIWNOM SLU^AE V MOGLA BY UZNATX WSE cj, WYBIRAQ S = fjg. sPECIALXNYJ VE WID PROSTYH p I q OBESPE^IWAET, ^TO WSE d- ^ISLA MOGUT PpOBEGATX WSE CELYE ^ISLA S SIMWOLOM qKOBI pAWNYM +1 (mod n)). iZ \TOGO SLEDUET, ^TO V MOVET BYTX UWERENA, ^TO c-^ISLA SU]ESTWU@T. w (*) PO UMOL^ANI@ PODRAZUMEWALOSX, ^TO (cj; n) = 1 DLQ WSEH j. eSLI VE \TO NE TAK, TO n MOVET BYTX RAZLOVENO I WESX MIR RU- [ITSQ! nEBOLX[AQ TEHNI^ESKAQ DETALX, POLEZNAQ NA PRAKTIKE, SOSTOIT ZDESX W TOM, ^TO, OPREDELQQ (*), LU^[E ISKATX OBRATNYE K KWADRATAM c-^ISEL, A NE WOZWODITX W KWADRAT OBRATNYE K SAMIM c-^ISLAM. kONE^NO, WESX PROTOKOL OSNOWAN NA TOM, ^TO IZWLE^ENIE KWADRATNYH KORNEJ PO MODUL@ n, KOGDA RAZLOVENIE n NEIZWESTNO, QWLQETSQ TRUDNORE[AEMOJ ZADA^EJ.

wSE \TO OZNA^AET, ^TO V NE POLU^AET NIKAKOJ INFORMACII O c-^ISLAH I NA SAMOM DELE V MOVET DAVE IGRATX OBE ROLI P I V W \TOM PROTOKOLE. s DRUGOJ STORONY, EDINSTWENNYJ SPOSOB DLQ P SHITRITX SOSTOIT

6.9. dOKAZATELXSTWA S NULEWYM ZNANIEM PODLINNOSTI

277

WUGADYWANII MNOVESTWA S ZARANEE I PREDOSTAWLENII (§r2Td;modn)

WKA^ESTWE x NA [AGE 1 I y = r NA [AGE 3. wEROQTNOSTX USPE[NOGO UGADYWANIQ ESTX 2¡k I, SLEDOWATELXNO, 2¡kt W t \TAPAH. pRI^INA TAKOGO BYSTROGO UBYWANIQ W TOM, ^TO k ^ISEL IZ IDENTIFIKATORA P WNOSQT \LEMENT PARALLELIZMA W PROTOKOL. pREDPOLAGAQ TRUDNOWY^ISLIMOSTX DLQ RAZLOVENIQ NA MNOVITELI I IZWLE^ENIQ KWADRATNOGO KORNQ PO MODUL@ n, NA[ PROTOKOL SOSTAWLQET DOKAZATELXSTWO PODLINNOSTI S NULEWYM ZNANIEM. oTS@DA SLEDUET, ^TO DAVE NE^ESTNAQ wERA NE SMOVET IZWLE^X NIKAKOJ INFORMACII, KOTORAQ MOGLA BY POZVE ISPOLXZOWATXSQ, ^TOBY UBEDITX ^ESTNU@ wERU W ZNANII i(P ).

oTMETIM POPUTNO, ^TO DLQ CELEJ \TOGO PARAGRAFA NET NUVDY W STROGOM FORMALIZME. pRI TAKOM FORMALIZME P I V BYLI BY MA[I- NAMI, WYPOLNQ@]IMI ALGORITMY W NEKOTORYH WREMENNYH GRANICAH I IME@]IMI DOSTUP K OB]IM ILI RAZDELXNYM SLU^AJNYM ^ISLAM. pRI OBSUVDENII MNOGIH TONKOSTEJ TAKOJ BOLEE GLUBOKIJ FORMALIZM BUDET POLEZNYM.

pRIMER 6.5. nADEVNOE AGENTSTWO OPUBLIKOWALO MODULX n = 2773. sEKRETNYJ IDENTIFIKATOR i(P ) DLQ P SOSTOIT IZ [ESTERKI ^ISEL

c1

= 1901;

c2

= 2114;

c3

= 1509 ;

c4

= 1400;

c5

= 2001;

c6

= 119 :

(sM. TAKVE PRIMER 4.1.) kWADRATAMI \TIH ^ISEL PO MODUL@ n W TOM VE PORQDKE BUDUT

582; 1693; 448; 2262; 2562; 296:

tEPERX P WYBIRAET SWOJ PUBLI^NYJ IDENTIFIKATOR ¼(P ) IZ TAKIH [E- STI ^ISEL

d1

= 81;

d2

= 2678;

d3

= 1207 ;

d4

= 1183;

d5

= 2681;

d6

= 2595 :

sRAWNENIQ (*) WYPOLNQ@TSQ DLQ j = 1; : : : ; 6, KROME TOGO, +1 STOIT W PRAWOJ ^ASTI DLQ i = 1; 3; 4; 5 I ¡1 DLQ j = 2; 6.

pREDPOLOVIM, ^TO P WYBIRAET r = 1111 I SOOB]AET V ^ISLO

x = (¡r2; modn) = 2437 :

pREDPOLOVIM, ^TO V WYBIRAET S = f1; 4; 5; 6g I WY^ISLQET Td = 1116. P WY^ISLQET Tc = 96 I SOOB]AET V ^ISLO y = 1282. pOSKOLXKU

y2Td = 12822 ¢ 1116 = 2437 = x (mod n) ;

PROWERO^NOE USLOWIE WYPOLNQETSQ.

278

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

aNALOGI^NO, WYBOR r = 1990, x = (r2; modn) = 256 I S = f2; 3; 5g

DAET ZNA^ENIQ

Td = 688; Tc = 1228; y = 707:

pROWERO^NOE USLOWIE ¡y2Td ´ ¡2517 ´ x (mod n) WYPOLNQETSQ.

2

mY UVE OTME^ALI, ^TO DAVE NE^ESTNAQ PROWERQ@]AQ NE MOVET IZWLE^X NIKAKOJ INFORMACII, KOTORAQ MOGLA BY WPOSLEDSTWII ISPOLXZOWATX DLQ UBEVDENIQ ^ESTNOJ PROWERQ@]EJ W ZNANII i(P ). tEM NE MENEE W DIALOGOWOM REVIME WOZMOVNY WARIANTY BOLEE HITROUMNOGO OBMANA. pREDPOLOVIM, ^TO NE^ESTNAQ PROWERQ@]AQ I DOKAZYWA@]IJ, Vc I Pc, SOTRUDNI^A@T W POPYTKE UBEDITX ^ESTNU@ PROWERQ@]U@ V , ^TO Pc ZNAET IDENTIFIKATOR i(P ) ^ESTNOGO DOKAZYWA@]EGO P . pREDPOLOVIM DALEE, ^TO Vc IMEET WOZMOVNOSTX PROWERITX ZNANIE P SWOEGO IDENTIFIKATORA i(P ). nAPRIMER, P HO^ET ZAPLATITX DENXGI V PO S^ETU. tOGDA W TO VE SAMOE WREMQ Pc, IME@]IJ WOZMOVNOSTX SEKRETNO OB]ATXSQ S Vc PO RADIO ILI PO TELEFONU, PYTAETSQ POLU^ITX DOSTUP W SOWER[ENNO SEKRETNU@ ZONU, TOT DOSTUP, KOTORYJ PREDOSTAWLQET V , ESLI PRODEMONSTRIROWANO ZNANIE i(P ). tEPERX Pc I Vc MOGUT DEJSTWOWATX PROSTO KAK KANAL SWQZI I WESX PROTOKOL NA SAMOM DELE BUDET WYPOLNQTXSQ MEVDU V I P . i V BUDET W ITOGE UBEVDENA W ZNANII i(P ), HOTQ POLU^IT NEWERNOE PREDSTAWLENIE, ^TO Pc ZNAET i(P )!

sEJ^AS MY OBSUDIM DRUGU@ SHEMU PROWERKI UDOSTOWERENIQ, OSNOWANNU@ NA ZADA^E R@KZA^NOGO TIPA. wNA^ALE MY PRIWEDEM UPRO]ENNYJ WARIANT \TOJ SHEMY, A ZATEM DADIM NEMNOGO BOLEE SLOVNYJ. pOSLEDNIJ MOVET BYTX OBOB]EN I DALEE, HOTQ I NE SOWSEM E]E PONQTNO, W KAKOJ STEPENI, ESLI \TO WOOB]E TAK, TAKOE OBOB]ENIE I USLOVNENIE DA@T WKLAD W BEZOPASNOSTX WSEJ SHEMY.

pUSTX A = (a1; : : : ; an) | R@KZA^NYJ WEKTOR S ^ESTNYM n. NP - POLNOJ QWLQETSQ ZADA^A PODBOpA POLOWINY KOMPONENT WEKTORA A, TAKIH,

^TO IH SUMMA SOWPADAET S SUMMOJ OSTAW[EJSQ POLOWINY KOMPONENT. tAKIM OBRAZOM I BOLEE OB]AQ SLEDU@]AQ ZADA^A QWLQETSQ NP -POLNOJ. dANY R@KZA^NYJ WEKTOR A I WEKTOR B = (b1; : : : ; bn) S CELYMI KOMPONENTAMI, WOZMOVNO I OTRICATELXNYMI. tREBUETSQ NAJTI, ESLI \TO WOZMOVNO, PERESTANOWKU Bp WEKTORA B TAK, ^TOBY ABp = 0. nAPRIMER, ESLI

A = (3; 7; 8; 2; 12; 14); B = (1; 1; 1; ¡1; ¡1; ¡1) ;

TO PODSTANOWKA p, PERESTAWLQ@]AQ 2-J I 5-J KOMPONENTY I OSTAWLQ@]AQ OSTALXNYE NA MESTE, UDOWLETWORQET USLOWI@, POSKOLXKU

A = (1; ¡1; 1; ¡1; 1; ¡1) = 0:

6.9. dOKAZATELXSTWA S NULEWYM ZNANIEM PODLINNOSTI

279

(zDESX WTOROJ WEKTOR W PROIZWEDENII PODRAZUMEWAETSQ KAK WEKTORSTOLBEC.)

uSTANOWO^NYE DANNYE TEPERX TAKOWY. zASLUVIWA@]EE DOWERIQ AGENTSTWO PUBLIKUET R@KZA^NYJ WEKTOR A = (a1; : : : ; an) (n NE OBQZATELXNO ^ETNO). pUBLI^NYJ IDENTIFIKATOR ¼(P ) DLQ P ESTX B = (b1; : : : ; bn) S CELYMI KOMPONENTAMI. eGO SEKRETNYJ IDENTIFIKATOR i(P ) | \TO PODSTANOWKA p, TAKAQ, ^TO ABp = 0. w PROTOKOLE, KROME TOGO, ISPOLXZUETSQ KRIPTOGRAFI^ESKAQ HE[-FUNKCIQ h(x; y). mY NE BU-

DEM OPREDELQTX HE[-FUNKCII FORMALXNO. dLQ NAS ZDESX SU]ESTWENNO TO, ^TO ZNA^ENIE h(x; y) MOVET BYTX LEGKO WY^ISLENO PO x I y, W TO WREMQ KAK x I y NE MOGUT BYTX WOSSTANOWLENY PO ZNA^ENI@ FUNKCII I, KROME TOGO, h(x; y) NE DLINNEE PO SRAWNENI@ S x I y. rANEE WSTRE^AW[IJSQ OPERATOR © SLOVENIQ PO MODUL@ 2 ESTX PROSTAQ HE[-FUNKCIQ, ESLI TOLXKO x © y NE DOPUSKAET UTE^KI INFORMACII O x ILI y. hE[-FUNKCIQ h(x; y) PUBLIKUETSQ AGENTSTWOM ILI SOGLASUETSQ MEVDU P I PROWERQ@]EJ V . kONE^NO, VELATELXNO, ^TOBY DAVE h(x; y) I ODIN IZ ARGUMENTOW NE RASKRYWALI DRUGOJ. qSNO, ^TO \TO USLOWIE NE WYPOLNQETSQ DLQ OPERATORA

©.

kAVDYJ \TAP PROTOKOLA, W KOTOROM P PYTAETSQ UBEDITX V W TOM, ^TO ON ZNAET i(P ), SOSTOIT IZ SLEDU@]IH [AGOW:

{AG 1: P WYBIRAET SLU^AJNYJ WEKTOR R I SLU^AJNU@ PODSTANOWKU q (I TO I DRUGOE RAZMERNOSTI n) I SOOB]AET V ZNA^ENIQ h(q; AR) I h(pq; Rq).

{AG 2: V WYBIRAET ^ISLO d = 0 ILI d = 1 I ZAPRA[IWAET U P WEKTOR C = Rq + d ¢ Bpq. pOLU^IW C, V ZAPRA[IWAET U P ILI PODSTANOWKU q, ILI PODSTANOWKU pq.

{AG 3: eSLI ZAPRA[IWALOSX q, TO V PROWERQET USLOWIE h(q; A; C) = = h(q; AR). eSLI ZAPRA[IWALOSX pq, V PROWERQET USLOWIE

h(pq; C ¡ dBpq) = h(pq; Rq) :

oTMETIM SRAZU, ^TO U V ESTX WSE DANNYE, NEOBHODIMYE NA [AGE 3, POLU^ENNYE NA [AGAH 2 I 3 ILI IZ PUBLI^NOJ INFORMACII. sPRAWEDLIWOSTX WTOROGO PROWERO^NOGO USLOWIQ O^EWIDNA PO OPREDELENI@ C. sPRAWEDLIWOSTX PERWOGO USLOWIQ WYTEKAET IZ RAWENSTW

AqC = Aq(Rq + dBpq) = AqRq + dAqBpq = AR :

(rAWENSTWO AqBpq = 0 WYPOLNQETSQ, POSKOLXKU ABp = 0 I, SLEDOWATELXNO, PROIZWEDENIE TAKVE RAWNO 0, ESLI OBA MNOVITELQ PERESTAWLQLISX ODNOJ I TOJ VE PODSTANOWKOJ.)

wOZWRA]AQSX K PRIMERU PERED PROTOKOLOM, POLOVIM

R = (15; 1; 5; 9; 2; 6); d = 1 I q = (1234) :

280

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

zDESX ISPOLXZOWANA OBY^NAQ ZAPISX PODSTANOWKI: q ESTX OTOBRAVENIE, KOTOROE PERESTAWLQET CIKLI^ESKI KOMPONENTY 1,2,3,4 I OSTAWLQET DWE DRUGIE KOMPONENTY NA MESTE. tOGDA

Rq =

(9; 15; 1; 5; 2; 6); pq = (12534) ;

Bpq =

(¡1; 1; ¡1; 1; 1; ¡1) ;

C= (9; 15; 1; 5; 2; 6) + (¡1; 1; ¡1; 1; 1; ¡1) = (8; 16; 0; 6; 3; 5) ;

Aq = (2; 3; 7; 8; 12; 14) ; AqC = 218 = AR :

iTAK, PROWERO^NOE USLOWIE BUDET WYPOLNENO.

zAMETIM, ^TO ^ISLO PODSTANOWOK OGROMNO DAVE DLQ OTNOSITELXNO NEBOLX[IH ZNA^ENIJ n. |TO O^ENX WAVNO S TO^KI ZRENIQ BEZOPASNOSTI.

rIS. 6.1.

w BOLEE SLOVNOM WARIANTE \TOGO PROTOKOLA A ESTX m £ n MATRICA S CELYMI KO\FFICIENTAMI, A Ap MATRICA, POLU^ENNAQ IZ A PRIMENENIEM PODSTANOWKI p K STOLBCAM A. fIKSIRUETSQ NEBOLX[OE PROSTOE ^ISLO s, OBY^NO s = 251. A I s PUBLIKU@TSQ AGENTSTWOM ILI SOGLASU@TSQ WSEMI POLXZOWATELQMI. kAK I RANX[E, OTKpYTYJ IDENTIFIKATOR ¼(P ) DLQ f | \TO n-WEKTOR B. eGO SEKRETNYJ IDENTIFIKATOR i(P ) ESTX PODSTANOWKA p, TAKAQ, ^TO

ABp ´ 0 (mod s) ;

GDE SPRAWA PODRAZUMEWAETSQ m-WEKTOR IZ NULEJ (W NA[EJ RANNEJ PROSTOJ WERSII m = 1 I SRAWNENIE ESTX PROSTO RAWENSTWO). sAM PROTOKOL W OSNOWNOM TOT VE, ^TO I RANX[E, HOTQ WYBOR q TOVE BUDET BOLEE OB]IM,