А.В. Рожков, О.В. Ниссенбаум - Теоретико-числовые методы в криптографии (1127102), страница 7

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 7)

Нахождение решения: Так как (a, m) = 1, то по теореме обратимости a^-1 , и тогда исходному сравнению равносильно x ≡ a^-1∙b (mod m).

Пусть теперь (a,m)=d>1. Для того, чтобы сравнение имело решение, необходимо, чтобы d\b, иначе сравнение невозможно (свойство сравнений №14).

Если же a=a₁d, b=b₁d, m=m₁d , то исходному сравнению равносильно a₁x≡b₁(mod m₁), причем (a₁,m₁)=1 сравнение имеет 1 решение по mod m₁: x≡x₁(mod m₁), или d решений по модулю m:

x≡ x₁ (mod m),

x≡ x₁+m₁(mod m),

x≡x₁+2m₁(mod m),

…

x≡x₁+(d–1)m₁(mod m).

Пример 1.

Решить сравнение 6x = 5 (mod 35).

Вычислим НОД(6, 35), пользуясь алгоритмом Евклида:

35 = 6∙5+5,

6 = 1∙5 +1

5 = 5∙1+0 НОД(6, 35)=1.

Вычислим обратный элемент к 6 по модулю 35, пользуясь расширенным алгоритмом Евклида:

1 = 6–5=6–(35–6∙5)=6–35+6∙5= 6∙6–35

6^-1 = 6 (mod 35).

Домножим правую и левую части исходного сравнения на 6:

6^-1∙6x≡6^-1∙5(mod 35)

1∙x≡6∙5(mod 35)

Ответ: x ≡ 30 (mod 35)

Пример 2.

Решить сравнение 18x = 6 (mod 24).

Вычислим НОД(18, 24), пользуясь алгоритмом Евклида:

24 = 18 + 6;

18 = 2∙6+0 НОД(18, 24)=6.

Правая и левая части сравнения, а также модуль, делятся на 6. Разделим исходное сравнение на 6 и получим равносильное сравнение:

3x ≡ 1 (mod 4) *.

Вычислим НОД(3, 4), пользуясь алгоритмом Евклида:

4 = 1∙3 + 1;

3 = 3∙1 + 0 НОД(3, 4)=1.

Вычислим обратный элемент к 3 по модулю 4, пользуясь расширенным алгоритмом Евклида:

1=4–3 3^-1 = –1(mod 4).

Домножим правую и левую части сравнения (*) на –1:

3^-1 ∙3x=–1∙1 (mod 4) x≡ –1 (mod 4).

Или, переводя решение в систему наименьших неотрицательных вычетов, x≡ 3 (mod 4).

Ответ: получили 6 решений по модулю 24:

x≡ 3 (mod 24);

x≡ 7 (mod 24);

x≡ 11 (mod 24);

x≡ 15 (mod 24);

x≡ 19 (mod 24);

x≡ 23 (mod 24).

4.2. Система сравнений первой степени. Китайская теорема об остатках.

Рассмотрим систему сравнений

*

От системы сравнений вида a_ix ≡ b_i (mod m_i) можно перейти к данной способом, указанным в п.1.

Китайская теорема об остатках (I век до н.э. Сунь-Цзе)

Пусть m₁,…, m_k – попарно простые числа система сравнений (*) имеет единственное решение x₀ ≡ **,

где M= , M_i= , .

Доказательство:

Т.к. m_s\M_j

система (*) равносильна системе

***

т.е. системам (*) и (***) удовлетворяют одни и те же значения x. Системе (***) (в силу свойств 12 и 13 сравнений) удовлетворяют те и только те значения, которые заданы теоремой (т.е. x₀).

□

Следствие.

Если в системе ** независимо друг от друга пробегают полные системы вычетов по модулям соответственно, то пробегает полную систему вычетов по модулю M.

Доказательство: в силу свойства 13 сравнений, x₀ пробегает ровно M не сравнимых по модулю M значений.

□

Пример

Решить систему сравнений:

Вычислим параметры, необходимые для нахождения решения. Составим таблицу

Согласно китайской теореме об остатках, решением будет являться

x₀≡1∙20∙2+2∙15∙3+4∙12∙3(mod 60)≡40+90+144(mod 60)≡34(mod 60).

Ответ: x≡34(mod 60).

Проверка:

Решение верно.

4.3. Применения китайской теоремы об остатках.

Китайская теорема об остатках находит широкое применение в теории чисел и криптографии.

Применение Китайской теоремы об остатках в криптосистеме RSA.

В криптосистеме RSA при расшифровании требуется вычислить y^dmod n, причем известно, что n=p∙q, где p, q – большие простые числа. Как было показано ранее, степень d, в которую требуется возвести шифрованный текст, можно понизить за счет использования теоремы Эйлера. Зная разложение числа n на простые сомножители и используя китайскую теорему об остатках, возможно еще более ускорить вычисления.

Сначала вычисляют:

r₁=y^d mod p=(y mod p)^{d mod (p–1)}mod p,

r₂=y^d mod q=(y mod q)^{d mod (q–1)}mod q.

Как читатель мог заметить, при вычислениях для ускорения возведения в степень используется теорема Ферма.

Получим систему сравнений

.

Решая ее по китайской теореме об остатках, получим решение .

Сложность возведения в степень с использованием китайской теоремы об остатках и теоремы Ферма составляет около 6k³ против 24k³ при использовании только теоремы Ферма (где k есть размерность числа n).

Пример.

Пусть в RSA

Требуется вычислить x=100²⁹ mod 187.

Вычисляем:

r₁=(100 mod 11)^{29 mod 10} mod 11=1⁹ mod 11 = 1,

r₂=(100 mod 17)^{29 mod 16} mod 17=15¹³ mod 17=2.

Cоставляем систему

Пользуясь Китайской теоремой об остатках, решаем эту систему.

Получаем

Ответ: 100²⁹ mod 187=155.

Схема разделения секрета на основе Китайской теоремы об остатках.

На основе китайской теоремы об остатках можно построить (n,k)–пороговую схему разделения секрета. Напомним основные принципы схем разделения секрета.

Пусть существует некая информация, которую следует сохранить в секрете, и имеется n участников, не доверяющих друг другу. Эти участники хотят, чтобы секретную информацию можно было получить только при условии того, что как минимум k участников из n собрались вместе.

(n,k)-пороговая схема разделения секрета – это схема разделения секретной информации между n участниками таким образом, чтобы только k из них (или более), собравшись вместе, могли получить этот секрет. Причем вероятность угадать верное значение секрета при наличии k–m долей секрета m>0 равна вероятности угадать верное значение секрета без обладания долей секрета. При этом все участники протокола равноправны.

Как правило, схемы разделения секрета состоят из 2-х фаз: фазы разделения, когда каждому участнику протокола выдается его доля секрета, и фаза восстановления, когда k или более любых участников, собрав свои доли, восстанавливают общий секрет.

Схема разделения секрета на основе китайской теоремы об остатках выглядит следующим образом:

Пусть N – общий секрет.

Разделение секрета:

Берем p₁, p₂,…, p_n – различные простые числа.

Часть секрета, выдаваемая i-му участнику схемы, есть число x_i, вычисляемое как x_i≡N(mod p_i).

Заметим, что числа p₁, p₂,…, p_n должны быть такими, чтобы произведение любых k из них было больше, чем N. А это достигается, когда для всех i выполняется p_i> .

Для того, чтобы k–1 участников не смогли восстановить секрет без k-го участника, необходимо, чтобы p_i << .

Итак, относительно чисел p₁, p₂,…, p_n должны выполняться условия:

< p_i << .

Восстановление секрета:

Собравшись вместе, k участников составляют и решают систему сравнений .

Решив систему, участники получают общий секрет N.

4.4. Сравнения любой степени по простому модулю.

Пусть р – простое число, и пусть задано сравнение вида f(x)≡0(mod p), где f(x)=axⁿ+a₁x^n—1+…+a_n *. Тогда справедлива

Теорема 1:

Сравнение вида * равносильно сравнению степени, не выше р—1.

Доказательство:

Деля f(x) на (x^p—x) с остатком, имеем f(x) =(x^p—x)Q(x)+R(x).

Так как x^p—x≡0(mod p), то f(x)≡R(x)(mod p), а степень многочлена R(x) не выше, чем р–1. Что и требовалось доказать.

□

Теорема 2

Если сравнение * имеет более n решений, то все коэффициенты многочлена f(x) кратны р.

Доказательство:

Пусть * имеет хотя бы n+1 решение, и вычеты этих решений суть x₁, x₂, … , x_n, x_n+1.

Тогда многочлен f(x) можно представить в виде

f(x)=a(x—x₁)(x—x₂)(x—x₃)…(x—x_n)+ **

+b(x—x₁)(x—x₂)…(x—x_n—1)+

+c(x—x₁)(x—x₂)…(x—x_n—2)+

……...

+l(x—x₁)+m.

Справедливость этого равенства проверяется раскрытием скобок в правой части.

Полагая в этом равенстве x=x₁, убеждаемся, что p\m, полагая x=x₂ и учитывая, что p\m, убеждаемся, что р\l. Полагаем, что x=x₃, x=x₄, …, x=x_n+1 и последовательно убеждаемся, что p\c, p\b, p\a, то есть все коэффициенты из ** делятся на p.

Учтем, что a=a, , , … , , то есть коэффициенты из * являются линейными комбинациями коэффициентов из **, а значит a, a₁, a₂, …, a_n кратны р как линейные комбинации чисел, кратных р.

□

4.5. Сравнения любой степени по составному модулю.

Теорема

Характеристики

Список файлов книги