А.В. Рожков, О.В. Ниссенбаум - Теоретико-числовые методы в криптографии (1127102), страница 13

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 13)

Поскольку на данный момент задача дискретного логарифмирования не относится к числу решаемых за полиномиальное время, то проблема Диффи-Хеллмана считается сложной. Любая шифрсистема, чье дешифрование вычислительно эквивалентно решению данной проблемы, является условно стойкой.

6.8. Условная стойкость шифра Эль Гамаля.

Шифр ElGamal – симметричный шифр, основанный на теоретико-числовой проблематике. Напомним его конструкцию.

Параметры системы: p – простое число, α– порождающий элемент группы U_p;

Закрытый ключ для расшифрования: a – целое число, 1 ≤ a < p—1;

Открытый ключ для шифрования: β = α^a mod p.

Пусть имеется открытый тест x U_p. Для шифрования берут случайное число k Z_p—1 и вычисляются y₁=α^k mod p, y₂=xβ^k mod p. Затем пара (y₁,y₂) пересылается обладателю секретного ключа, а k уничтожается.

Для расшифрования необходимо вычислить x=y₂(y₁^a)^-1mod p.

Действительно, в результате расшифрования получим открытый текст:

y₂(y₁^a)^-1mod p=xβ^k(α^ka) ^-1 mod p= xα^ak(α^ka) ^-1mod p=xα⁰ mod p=x.

Проблема дешифрования заключается в вычислении сообщения по шифрограмме без использования секретного ключа.

Теорема

Проблема дешифрования для шифра ElGamal и проблема Диффи-Хеллмана вычислительно эквивалентны.

Доказательство:

Действительно, пусть A есть алгоритм решения проблемы Диффи-Хеллмана,

A(p, α, δ, γ)= mod p.

Тогда дешифрование для шифра ElGamal осуществляется следующим образом:

x=y₂A(p, α, y₁, β)^-1

(поскольку A(p, α, y₁, β)= A(p, α, α^k, α^a)= mod p=α^ak mod p=β mod p).

Обратно, пусть B есть алгоритм дешифрования для шифра ElGamal, то есть

B(p, α, β, y₁, y₂)=x=y₂(y₁ )^-1 mod p.

Тогда проблема Диффи-Хеллмана решается следующим образом:

δ =B(p, α, γ, δ, 1)^-1

□

§7. Построение доказуемо простых чисел общего и специального вида.

7.1. Теорема Сэлфриджа и доказуемо простые числа общего вида на основании полного разложения (n—1).

Ранее мы изучили тесты на простоту, которые с некоторой малой вероятностью могут принять составное число за простое. Это – тесты Ферма, Соловея-Штрассена, Миллера-Рабина. Однако в некоторых случаях требуется построение доказуемо простых чисел, то есть чисел, простота которых доказана. Для этого существует класс тестов на простоту, которые могут принять простое число за составное, но не наоборот. Эти тесты основаны на теории групп.

Теорема Сэлфриджа.

Пусть n—1= . n – простое, a: 1) a^n—1≡1(mod n);

2) 1(mod n).

Доказательство:

Пусть n – простое число. Тогда (1) выполняется для всех a<n согласно теореме Ферма. В силу критерия Люка, найдется a: O_n(a)=n—1 s<n—1 выполняется a^s 1(mod n), а поскольку , < n—1, то выполняется (2).

Возьмем q₁. Пусть a: 1) a^n—1≡1(mod n); 2) 1(mod n). Из (1) и (2) следует, что O_n(a)\(n—1) и O_n(a) не делит . Откуда из * следует, что \O_n(a). Согласно Теореме 3 (п.1), O_n(a)\φ(n) \ φ(n).

Рассматривая аналогичным образом q₂, q₃,…,q_k, убеждаемся, что \φ(n), \φ(n), … , \φ(n). Тогда =(n—1)\φ(n). Но последнее возможно только в случае, когда n—1=φ(n), то есть тогда, когда n – простое число.

□

Теорема Сэлфриджа дает удобный критерий для доказательства простоты числа. На основании этой теоремы построены алгоритмы проверки чисел на простоту, которые требуют полной или частичной факторизации числа n—1, а потому называются n—1 – методами.

В общем случае мы можем говорить о том, что число n—1 по крайней мере четное.

В том случае, когда нам известно полное разложение проверяемого числа на множители, можно использовать следующий

тест Миллера на простоту:

Вход: n – число для проверки, n—1= - каноническое разложение, t – параметр надежности.

1. Выбрать t различных случайных чисел a_j: 1<a_j<n

2. Для каждого a_j вычислить a_j^n—1 mod n. Если какой-либо из результатов не равен «1», то идти на Выход с сообщением «n – составное число».

3. Для каждого q_i выполнить:

3.1. Для каждого a_j вычислить mod n. Если какой-либо из результатов не равен единице, то идти на шаг 3, взять следующее q_i. Если все результаты равны «1», то идти на Выход с сообщением «вероятно, n – составное число».

4. Идти на Выход с сообщением «n – простое число».

Выход.

Замечание: Если t=n—2, то слово «вероятно» на шаге 3.1. следует убрать.

Если число n было предварительно проверено на простоту вероятностным тестом Миллера-Рабина, то в тесте Миллера достаточно перебрать 4-6 значений a_j.

Тест Миллера, основанный на теореме Сэлфриджа, пригоден для доказательства простоты любого нечетного числа, если известно разложение на простые сомножители числа, ему предстоящего. Однако этот тест достаточно трудоемок. Для некоторых чисел особого вида построены специальные доказательства простоты. Некоторые из таких чисел мы рассмотрим в п.3-4.

7.2. Теорема Поклингтона и доказуемо простые числа общего вида на основании частичного разложения (n—1).

Теорема Сэлфриджа дает четкий критерий для проверки простоты числа n, однако требует знания полного разложения числа (n—1) на простые сомножители. Следующая теорема позволяет ограничиться частичной факторизацией (n—1).

Теорема Поклингтона.

Пусть n=RF+1, F= - каноническое разложение.

Если a: 1) a^n—1≡1(mod n);

2) 1(mod n) .

p≡1(mod F) для любого простого p\n.

■

Итак, если разложить n—1 на два сомножителя n—1=RF, где F> —1, то, если для некоторого a будут выполнены условия Теоремы Поклингтона (1) и (2), то n – простое.

Таким образом, можно значительно сократить количество проверок по сравнению с тестом Миллера.

Замечание.

Если n=RF+1 – нечетное простое число, F> —1, F= , НОД(R,F)=1, то вероятность того, что случайно выбранное 1<a<n будет удовлетворять условиям (1), (2) теоремы Поклингтона, есть .

Замечание.

Если известно полное разложение n—1, то в качестве F следует брать число, составленное из наибольших делителей n—1 для того, чтобы:

1) сократить число проверок условия (2) для каждого a;

2) уменьшить степени, в которые возводится a на этапе проверки (2);

3) повысить вероятность того, что случайно выбранное a будет удовлетворять условию (2), а значит уменьшить количество перебираемых a.

Пример.

n=4021. —1<63.

n—1=4020=2²·3·5·67. F=67, R=2²·3·5=60.

Проверка условий:

a=2.

1) 2⁴⁰²⁰ mod 4021=1.

2)2⁶⁰—1 mod 4021=1451.

НОД(4021,1451)=1.

n=4021 – простое число.

(Заметим, что вероятность того, что наугад выбранное a будет удовлетворять условиям теоремы Поклингтона для данного примера, есть (1—1/67)≈0,985).

7.3. Числа Ферма. Теорема Пепина.

Теорема.

Если число вида p=aⁿ+1 – простое, то 1) a – четное;

2) n=2^k для некоторого k.

Доказательство:

Четность a очевидна, так как иначе p было бы четным, а значит не простым.

Предположим теперь m>2 - нечетное число : n= m·2^k. Тогда

=a^n—m—a^n—2m+…+a^3m—a^2m+a^m—a⁰ Z.

Тогда (a^m+1)\(aⁿ+1), значит p – составное число. Предположение неверно, следовательно верно обратное.

□

Числа F_k= +1 называются числами Ферма.

F₀=3, F₁=5, F₂=17, F₃=257, F₄=65739 – простые числа. Пьер Ферма выдвигал гипотезу о простоте всех чисел Ферма, но Леонардом Эйлером в 1732 г. была показана составность числа F₅.

В настоящее время существует следующий критерий проверки чисел Ферма на простоту:

Теорема Пепина

F_k – простое число .

Доказательство:

Пусть F_k – простое число. Тогда по критерию Эйлера для символа Лежандра,

.

В силу простоты, F_k не делится на 3.

Поэтому возможны два случая: F_kmod 3=1 или F_k mod 3=2.

Случай F_k mod 3=1 невозможен, так как это значило бы, что mod 3 = 0, а это не так. Поэтому F_k mod 3=2, и тогда

□

На основании теоремы Пепина построен тест Пепина, проверяющий верность сравнения . Тест Пепина детерминированный, состоит из одной итерации и дает точный ответ о простоте или составности числа Ферма.

7.4. Числа Мерсенна.

Теорема 1

Если число вида p=aⁿ—1 – простое 1) a – четное;

2) n – простое.

Доказательство:

Четность а очевидна, так как иначе р было бы четным, а значит, составным.

Допустим, что n – не простое n=mk. Тогда

=a^k(m—1)+a^k(m—2)+…+a^k+1 Z.

Тогда (a^k—1)\(aⁿ—1), значит р – не простое число. Предположение неверно, значит верно обратное.

□

Простые числа вида M_p=2^p—1, где р – простое число, называются числами Мерсенна.

Теорема 2

Число вида M_p=2^p—1, где р>2 – простое число, является простым в последовательности, определенной равенствами u₀=4, u_i+1=(u_i²—2) mod M_p, выполняется u_p—2≡0(mod M_p).

■

Из Теорем 1 и 2 следует

Тест Лукаса-Лемера для чисел Мерсенна

Вход: Число Мерсенна M_n=2ⁿ—1.

Ш.1. Пробными делениями проверить, имеет ли n делители между «2» и . Если имеет, идти на Выход с сообщением «M_n – составное число».

Ш.2. Задать u=4.

Ш.3. n—2 раза вычислить u=(u²—2) mod M_n.

Ш.4. Если u=0, то «M_n – простое число», иначе «M_n – составное число».

Выход.

В настоящее время особое внимание уделяется двойным числам Мерсенна MM_p=2^Mp –1, например 7=M₃=MM₂. Алгоритм построения таких чисел следующий: сначала строится сравнительно небольшое простое число Мерсенна M_p, а затем по нему – двойное число Мерсенна MM_p, которое проверяется на простоту тестом Лукаса-Лемера минуя первый шаг.

Характеристики

Список файлов книги