6.7. Проблема Диффи-Хеллмана.

Пусть даны простое число р и g - первообразный корень по модулю р. Существует полиномиальный алгоритм возведения числа в степень по любому модулю, поэтому задача вычисления x=g^y mod p считается легкой задачей. Вычисление же обратной функции y=log_gx mod (p—1) считают сложной задачей, поскольку на данный момент не найдено полиномиальных алгоритмов ее решения. Впрочем, не доказано и принципиальной невозможности построить такой алгоритм.

Проблема Диффи-Хеллмана – это формализация проблемы дискретного логарифмирования. Звучит она следующим образом:

Пусть известны p, α, δ, γ, где p – простое число, α – порождающий элемент группы U_p, δ,γ U_p.

Требуется найти: mod p.

Поскольку на данный момент задача дискретного логарифмирования не относится к числу решаемых за полиномиальное время, то проблема Диффи-Хеллмана считается сложной. Любая шифрсистема, чье дешифрование вычислительно эквивалентно решению данной проблемы, является условно стойкой.

6.8. Условная стойкость шифра Эль Гамаля.

Шифр ElGamal – симметричный шифр, основанный на теоретико-числовой проблематике. Напомним его конструкцию.

Параметры системы: p – простое число, α– порождающий элемент группы U_p;

Закрытый ключ для расшифрования: a – целое число, 1 ≤ a < p—1;

Открытый ключ для шифрования: β = α^a mod p.

Пусть имеется открытый тест xU_p. Для шифрования берут случайное число kZ_p—1 и вычисляются y₁=α^k mod p, y₂=xβ^k mod p. Затем пара (y₁,y₂) пересылается обладателю секретного ключа, а k уничтожается.

Для расшифрования необходимо вычислить x=y₂(y₁^a)^-1mod p.

Действительно, в результате расшифрования получим открытый текст:

y₂(y₁^a)^-1mod p=xβ^k(α^ka) ^-1 mod p= xα^ak(α^ka) ^-1mod p=xα⁰ mod p=x.

Проблема дешифрования заключается в вычислении сообщения по шифрограмме без использования секретного ключа.

Теорема

Проблема дешифрования для шифра ElGamal и проблема Диффи-Хеллмана вычислительно эквивалентны.

Доказательство:

Действительно, пусть A есть алгоритм решения проблемы Диффи-Хеллмана,

A(p, α, δ, γ)= mod p.

Тогда дешифрование для шифра ElGamal осуществляется следующим образом:

x=y₂A(p, α, y₁, β)^-1

(поскольку A(p, α, y₁, β)= A(p, α, α^k, α^a)=mod p=α^ak mod p=β mod p).

Обратно, пусть B есть алгоритм дешифрования для шифра ElGamal, то есть

B(p, α, β, y₁, y₂)=x=y₂(y₁)^-1 mod p.

Тогда проблема Диффи-Хеллмана решается следующим образом:

δ=B(p, α, γ, δ, 1)^-1

□

§7. Построение доказуемо простых чисел общего и специального вида.

7.1. Теорема Сэлфриджа и доказуемо простые числа общего вида на основании полного разложения (n—1).

Ранее мы изучили тесты на простоту, которые с некоторой малой вероятностью могут принять составное число за простое. Это – тесты Ферма, Соловея-Штрассена, Миллера-Рабина. Однако в некоторых случаях требуется построение доказуемо простых чисел, то есть чисел, простота которых доказана. Для этого существует класс тестов на простоту, которые могут принять простое число за составное, но не наоборот. Эти тесты основаны на теории групп.

Теорема Сэлфриджа.

Пусть n—1=.n – простое, a: 1) a^n—1≡1(mod n);

2) 1(mod n).

Доказательство:

Пусть n – простое число. Тогда (1) выполняется для всех a<n согласно теореме Ферма. В силу критерия Люка, найдется a: O_n(a)=n—1 s<n—1 выполняется a^s1(mod n), а поскольку ,<n—1, то выполняется (2).

Возьмем q₁. Пусть a: 1) a^n—1≡1(mod n); 2) 1(mod n). Из (1) и (2) следует, что O_n(a)\(n—1) и O_n(a) не делит . Откуда из * следует, что\O_n(a). Согласно Теореме 3 (п.1), O_n(a)\φ(n) \φ(n).

Рассматривая аналогичным образом q₂, q₃,…,q_k, убеждаемся, что \φ(n), \φ(n), … ,\φ(n). Тогда =(n—1)\φ(n). Но последнее возможно только в случае, когда n—1=φ(n), то есть тогда, когда n – простое число.

□

Теорема Сэлфриджа дает удобный критерий для доказательства простоты числа. На основании этой теоремы построены алгоритмы проверки чисел на простоту, которые требуют полной или частичной факторизации числа n—1, а потому называются n—1 – методами.

В общем случае мы можем говорить о том, что число n—1 по крайней мере четное.

В том случае, когда нам известно полное разложение проверяемого числа на множители, можно использовать следующий

тест Миллера на простоту:

Вход: n – число для проверки, n—1=- каноническое разложение,t – параметр надежности.

1. Выбрать t различных случайных чисел a_j: 1<a_j<n

2. Для каждого a_j вычислить a_j^n—1 mod n. Если какой-либо из результатов не равен «1», то идти на Выход с сообщением «n – составное число».

3. Для каждого q_i выполнить:

3.1. Для каждого a_j вычислить mod n. Если какой-либо из результатов не равен единице, то идти на шаг 3, взять следующее q_i. Если все результаты равны «1», то идти на Выход с сообщением «вероятно, n – составное число».

4. Идти на Выход с сообщением «n – простое число».

Выход.

Замечание: Если t=n—2, то слово «вероятно» на шаге 3.1. следует убрать.

Если число n было предварительно проверено на простоту вероятностным тестом Миллера-Рабина, то в тесте Миллера достаточно перебрать 4-6 значений a_j.

Тест Миллера, основанный на теореме Сэлфриджа, пригоден для доказательства простоты любого нечетного числа, если известно разложение на простые сомножители числа, ему предстоящего. Однако этот тест достаточно трудоемок. Для некоторых чисел особого вида построены специальные доказательства простоты. Некоторые из таких чисел мы рассмотрим в п.3-4.