8.3 Тест Рабіна-Міллера і сильні псевдопрості числа
Ще
більш ефективним ймовірнісним тестом
є тест Рабіна-Міллера, в якому
використовується критерій, в кінцевому
рахунку, оснований на факті, що для
простого модуля квадратними коренями
з одиниці є лише числа
,
а для складеного непарного модуля
,
,
число таких коренів більше двох.
Нехай
– непарне натуральне число. Тоді можна
записати
,
де
– непарне і
.
Якщо
число
– просте, то
,
при
.
Тому квадратні корені з одиниці мають
вигляд:
,
де показник рівний
.
Це
означає, що в послідовності
,
лишків за простим модулем, які є
послідовними квадратами числа
,
або з'явиться
,
або всі ці лишки порівнянні з одиницею,
тобто
.
Помітимо, що при простому
лівіше
можуть
розташовуватися лише лишки не рівні
.
Якщо
– складене, то можливі й інші варіанти,
оскільки в цьому випадку крім
існують інші корені з одиниці за модулем
.
Заснований на даному зауваженні тест Рабіна-Міллера полягає в тому, що:
1)
псевдовипадково вибираємо лишок
і перевіряємо умову
.
Якщо умова не виконана, значить,
– складене і робота закінчена;
2)
обчислюємо
.
Якщо
,
то не виключено, що число
– просте і необхідно перейти на початок,
щоб повторити тест для іншої основи;
3)
обчислюємо послідовно лишки чисел
,
за
модулем
,
поки не з'явиться
,
або не вичерпається список;
4)
якщо
знайдено в списку, то не виключено, що
число
– просте і необхідно перейти на початок,
щоб повторити тест для іншої основи;
5)
якщо жодне число із списку не порівнянно
з
,
то число
– складене і необхідно закінчити роботу.
Як
і для інших імовірнісних тестів, існують
складені числа
,
які, для відповідних основ
,
проходять даний тест.
Назвемо
число
,
де
,
– непарне, сильним псевдопростим за
основою
,
,
якщо
виконується
одна з двох умов:
,
або в послідовності
,
існує число, порівнянне з –1
за модулем
.
Виявляється,
можна показати, що для будь-якого
,
,
існує нескінченно багато сильних
псевдопростих чисел
за основою
.
Приклади:
;
.
Можна довести такі основні властивості сильних псевдопростих чисел [16]:
1)
число
,
сильне псевдопросте за основою
,
є ейлеровим
псевдопростим за тією ж основою;
2)
якщо непарне складене число
є сильним псевдопростим за основою
,
то загальна кількість основ, за якою це
число є сильним псевдопростим, не
перевищує
.
Тому
можна стверджувати, що при повторенні
випробувань тесту Рабіна-Міллера
раз ймовірністьневідбракування
складеного числа
.
Крім
того, виявляється, кількість повторень
тесту, достатню для практичних додатків,
можна обмежити величиною
.
Цікаво відзначити, що простоту невеликих простих чисел можна довести, використовуючи декілька раніше вказаних основ.
Приклади
[17]: якщо
– сильне псевдопросте за основами 2 і
3, то
– просте; якщо
– сильне псевдопросте за основами, 3,
5, 7, 11, 13, 17, то
– просте.
8.4 Загальні вимоги до вибору параметрів rsa
Коректність параметрів RSA пов'язана з оцінюванням стійкості системи і може бути визначена лише з погляду практичної стійкості.
Отже, коректні параметри повинні бути побудовані так, щоб мінімізувати шкоду від відомих підходів до ослаблення криптосистеми.
Виходячи
з цих міркувань, розглянемо найбільш
загальні вимоги до вибору параметрів
криптосистеми RSA [17,18].
Перш за все, слід враховувати, що слабкість одного з параметрів практично не компенсується посиленням властивостей інших параметрів.
Очевидно,
число
повинно бути великим. Числа
і
не повинні міститися в списках відомих
великих простих чисел, не повинні бути
дуже близькі один до одного, або істотно
розрізнятися за величиною.
Вони не повинні бути побудованими за детермінованими алгоритмами з невеликим числом відомих варіантів початкових параметрів або містити закономірності в двійковому записі.
Загалом,
і
не повинні відрізнятися від типових
представників випадкових простих чисел.
Аналогічні властивості повинні мати
параметри
і
.
Наприклад,
якщо секретний ключ
містить в двійковому записі невелику
кількість одиниць, то номери місць цих
одиниць легко визначити перебором.
Можна
довести, що при відомому
існує можливістьфакторизації
модуля.
Відомо,
що для читання повідомлень, зашифрованих
криптосистемою RSA, достатньо знання
деякого кратного функції Ейлера від
модуля, оскільки в цьому випадку можна
обчислити ключ, криптоеквівалентний
ключу
.
Відзначимо
також, що за наявності
легко одержати
з порівняння
.
Достатньо піднести
до степеня
,
що задовольняє співвідношення
.
Далі.
Для будь-якого
,
взаємно простого з
,
ділить
,
а
ділить
.
Тому
ділить
НСД
.
Отже,
для побудови криптосистеми, замість
визначення
з порівняння
,
можна скористатися розв’язком порівняння
.
Нехай
НСД
.
Тоді
.
Очевидно,
із співвідношення
виходить
,
тому
і
.
Ці
умови задовольняють ключі
,
,
,
,
,криптоеквівалентні,
таким чином, ключу
.
Отже, чим більше НСД
,
тим більшекриптоеквівалентних
ключів, тим гірше для криптосистеми.
Очевидно,
в найкращому можливому випадку, НСД
,
при цьому,
,
,
де
,
скажімо,
і
– прості.
Відзначимо,
до речі, що невідомо, чи є множина простих
чисел виду
нескінченною.
Виявляється,
щоб уникнути можливості застосування
більшості часткових методів факторизації
для дешифрування криптосистеми RSA [18],
достатньо вимагати, щоб числа
,
,
і
не розкладалися в добуток степенів
невеликих простих чисел, тобто щоб вони
містили в розкладі велике просте число.
Відповідні
вимоги, в найбільш сильній формі,
полягають в тому, щоб числа
,
,
,
були простими, більш того, вимагається,
щоб в розкладі як
,
так і
було велике просте число.
На
практиці, при побудові відповідного
цим вимогам простого числа, скажімо
,
достатньо, щоб існував достатньо великий
простий дільник числа
.
Очевидно, такий дільник має вигляд
.
Таким чином, необхідно виділити деякий специфічний клас простих чисел.
Визначення.
Просте число
називається сильним простим, якщо
виконуються умови:
,
,
,
де
–
великі прості числа.
Оскільки
числа
– непарні, то вони подаються у вигляді
,
,
.
Крім того, для наших цілей чим менші
числа
,
тим краще.
Для побудови сильних простих чисел застосовується так званий метод Гордона.
В цьому методі здійснюється перегляд околів деяких псевдовипадкових чисел з метою виявлення простих чисел, що задовольняють специфічні умови.
При цьому неодноразово використовуються імовірнісні процедури побудови проміжних даних, а також застосовується тестування чисел на простоту за допомогою тесту Рабіна-Міллера.