4.2. Система сравнений первой степени. Китайская теорема об остатках.

Рассмотрим систему сравнений

*

От системы сравнений вида a_ix ≡ b_i (mod m_i) можно перейти к данной способом, указанным в п.1.

Китайская теорема об остатках (I век до н.э. Сунь-Цзе)

Пусть m₁,…, m_k – попарно простые числа система сравнений (*) имеет единственное решение x₀ ≡ **,

где M=, M_i=, .

Доказательство:

Т.к. m_s\M_j

система (*) равносильна системе

***

т.е. системам (*) и (***) удовлетворяют одни и те же значения x. Системе (***) (в силу свойств 12 и 13 сравнений) удовлетворяют те и только те значения, которые заданы теоремой (т.е. x₀).

□

Следствие.

Если в системе ** независимо друг от друга пробегают полные системы вычетов по модулямсоответственно, топробегает полную систему вычетов по модулюM.

Доказательство: в силу свойства 13 сравнений, x₀ пробегает ровно M не сравнимых по модулю M значений.

□

Пример

Решить систему сравнений:

mi	3	4	5
Mi	20	15	12
	2	3	3

Вычислим параметры, необходимые для нахождения решения. Составим таблицу

Согласно китайской теореме об остатках, решением будет являться

x₀≡1∙20∙2+2∙15∙3+4∙12∙3(mod 60)≡40+90+144(mod 60)≡34(mod 60).

Ответ: x≡34(mod 60).

Проверка:

Решение верно.

4.3. Применения китайской теоремы об остатках.

Китайская теорема об остатках находит широкое применение в теории чисел и криптографии.

Применение Китайской теоремы об остатках в криптосистеме RSA.

В криптосистеме RSA при расшифровании требуется вычислить y^dmod n, причем известно, что n=p∙q, где p, q – большие простые числа. Как было показано ранее, степень d, в которую требуется возвести шифрованный текст, можно понизить за счет использования теоремы Эйлера. Зная разложение числа n на простые сомножители и используя китайскую теорему об остатках, возможно еще более ускорить вычисления.

Сначала вычисляют:

r₁=y^d mod p=(y mod p)^{d mod (p–1)}mod p,

r₂=y^d mod q=(y mod q)^{d mod (q–1)}mod q.

Как читатель мог заметить, при вычислениях для ускорения возведения в степень используется теорема Ферма.

Получим систему сравнений

.

Решая ее по китайской теореме об остатках, получим решение .

Сложность возведения в степень с использованием китайской теоремы об остатках и теоремы Ферма составляет около 6k³ против 24k³ при использовании только теоремы Ферма (где k есть размерность числа n).

Пример.

Пусть в RSA

Требуется вычислить x=100²⁹ mod 187.

Вычисляем:

r₁=(100 mod 11)^{29 mod 10} mod 11=1⁹ mod 11 = 1,

r₂=(100 mod 17)^{29 mod 16} mod 17=15¹³ mod 17=2.

Cоставляем систему

Пользуясь Китайской теоремой об остатках, решаем эту систему.

mi	11	17
Mi	17	11
M’i	2	14

Получаем

Ответ: 100²⁹ mod 187=155.

Схема разделения секрета на основе Китайской теоремы об остатках.

На основе китайской теоремы об остатках можно построить (n,k)–пороговую схему разделения секрета. Напомним основные принципы схем разделения секрета.

Пусть существует некая информация, которую следует сохранить в секрете, и имеется n участников, не доверяющих друг другу. Эти участники хотят, чтобы секретную информацию можно было получить только при условии того, что как минимум k участников из n собрались вместе.

(n,k)-пороговая схема разделения секрета – это схема разделения секретной информации между n участниками таким образом, чтобы только k из них (или более), собравшись вместе, могли получить этот секрет. Причем вероятность угадать верное значение секрета при наличии k–m долей секрета m>0 равна вероятности угадать верное значение секрета без обладания долей секрета. При этом все участники протокола равноправны.

Как правило, схемы разделения секрета состоят из 2-х фаз: фазы разделения, когда каждому участнику протокола выдается его доля секрета, и фаза восстановления, когда k или более любых участников, собрав свои доли, восстанавливают общий секрет.

Схема разделения секрета на основе китайской теоремы об остатках выглядит следующим образом:

Пусть N – общий секрет.

Разделение секрета:

Берем p₁, p₂,…, p_n – различные простые числа.

Часть секрета, выдаваемая i-му участнику схемы, есть число x_i, вычисляемое как x_i≡N(mod p_i).

Заметим, что числа p₁, p₂,…, p_n должны быть такими, чтобы произведение любых k из них было больше, чем N. А это достигается, когда для всех i выполняется p_i>.

Для того, чтобы k–1 участников не смогли восстановить секрет без k-го участника, необходимо, чтобы p_i << .

Итак, относительно чисел p₁, p₂,…, p_n должны выполняться условия:

< p_i << .

Восстановление секрета:

Собравшись вместе, k участников составляют и решают систему сравнений .

Решив систему, участники получают общий секрет N.