Spis treści ZŁOŻONOŚĆ OBLICZEŃ 5 ELEMENTY TEORII ZŁOŻONOŚCI OBLICZENIOWEJ I PROBLEM DZIELNIKÓW 5

Transkrypt

1 Ss treśc SPIS TREŚCI WYKŁAD 5 ZŁOŻONOŚĆ OBLICZEŃ 5 ELEMENTY TEORII ZŁOŻONOŚCI OBLICZENIOWEJ I PROBLEM DZIELNIKÓW 5 WYKŁAD 9 TESTY PIERWSZOŚCI I LICZBY PSEUDOPIERWSZE 9 LICZBY PSEUDOPIERWSZE EULERA WYKŁAD 3 4 ALGORYTM LEHMANA 4 TEST PIERWSZOŚCI AKS 5 ALGORYTM AKS: 9 WYKŁAD 4 KONSTRUKTYWIZM W PROBLEMIE DZIELNIKÓW I ALGORYTM FELLOWSA-KOBLITZA ALGORYTM FELLOWSA-KOBLITZA WYKŁAD 5 3 PROTOKOŁY PODZIAŁU TEJEMNICY I SCHEMATY PROGOWE 3 SCHEMAT PODPISU CYFROWEGO Z PEŁNOMOCNICTWEM 5 WYKŁAD 6 8 LOGARYTM DYSKRETNY I METODA INDEKSU. 8 LOGARYTM DYSKRETNY 8 METODA INDEKSU (IDEA 8 ALGORYTM POHLIGA-HELLMANA 9 METODA POHLIGA-HELLMANA DLA * 3 G Z ELEMENTY GŁADKIE W KRYPTOGRAFII 3 WYSOKOŚĆ ELEMENTU I ODWZOROWANIA REDUKCJI. 3

2 BAZA ROZKŁADU (ASPEKT ILOŚCIOWY 3 METODA INDEKSU 3 WYKŁAD 7 34 KRZYWE ELIPTYCZNE 34 CIAŁA SKOŃCZONE F 36 KRZYWE ELIPTYCZNE F q E 37 ( q PORÓWNANIE PODPISÓW CYFROWYCH I ARYTMETYKA NA KRZYWEJ E( F q 38 PODPIS EL-GAMALA 38 ALGORYTM DSA 39 ALGORYTM ECDSA 39 PORÓWNANIE SCHEMATÓW PODPISU CYFROWEGO 4 ASPEKTY BEZPIECZEŃSTWA 4 WYKŁAD 8 4 HIERARCHICZNE STRUKTURY DOSTĘPU 4 PRZYKŁAD STRUKTURY MILITARNE, RZĄDOWE, KORPORACYJNE. 4 WŁASNOŚCI (POSTULOWANE 4 Q-ASPEKT 43 WYKŁAD 9 44 ELEMENTY TEORII PRAWDOPODOBIEŃSTWA I ALGORYTMÓW 44 PRZESTRZEŃ PRODUKTOWA Z ROZKŁADEM ŁĄCZNYM. 45 ITERACJA ROZKŁADÓW ŁĄCZNYCH 47 ALGORYTM PROBABILISTYCZNY, ROZSZERZENIE DETERMINISTYCZNE, MODELE MONTE CARLO. 48 RODZINY FUNKCJI JEDNOKIERUNKOWYCH 5 RODZINA FUNKCJI WYKŁADNICZYCH 5 RODZINA RSA FUNKCJI ZAPADKOWYCH 5 RODZINA FUNKCJI RABINA 5 ROZRÓŻNIALNOŚĆ RESZT I NIERESZT KWADRATOWYCH 5 WYKŁAD 54 BEZPIECZEŃSTWO WSPÓŁCZESNYCH SYSTEMÓW KTYPTOGRAFICZNYCH 54 DEFINICJE BEZPIECZEŃSTWA 54 MODEL PRZECIWNIKA 55 SZYFROWA MAPA DROGOWA 55 FUNKCJE JEDNOKIERUNKOWE SILNE I SŁABE 55 FUNKCJA JEDNOKIERUNKOWA NIEZUNIFORMANIZOWANA 57 FUNKCJE ZAPADKOWE (JEDNOKIERUNKOWE Z ZAPADKĄ 57

3 WYKŁAD 58 DOBRE SCHEMATY SZYFRUJĄCE 58 BEZPIECZNY SCHEMAT SZYFRUJĄCY W MODELU Z LOSOWANĄ WYROCZNIĄ. 58 DOBRE SCHEMATY SZYFROWANIA 59 WYKŁAD 63 PODPISY WIELOGRUPOWE 63 PODPISY GRUPOWE: DEFINICJE, WYMAGANIA I OGÓLNA KONSTRUKCJA 65 DEFINICJE BEZPIECZEŃSTWA SCHEMATÓW PODPISÓW GRUPOWYCH. 66 PEŁNA WYTRAPIALNOŚĆ 68 WYKŁAD 3 7 SYSTEMY KRYPTOGRAFICZNE WYKORZYSTUJĄCE KRZYWE ELIPTYCZNE I HIPOTEZY O LICZBACH PIERWSZYCH. 7 KRYPTOSYSTEMY ELIPTYCZNE: 7 KODOWANIE WIADOMOŚCI NA PUNKTY KRZYWEJ 7 LOGARYTM DYSKRETNY NA KRZYWEJ E F 7 ( q METODA INDEKSU DLA KRZYWEJ E( F q 74 DZIAŁANIE WEILA 75 WYBÓR KRZYWEJ I PUNKTU W KONSTRUKCJI KRYPTOSYSTEMU 78 PODSUMOWANIE 78 ( SYSTEMY KRYPTOGRAFICZNE WYKORZYSTUJĄCE KRZYWE r q E F 79 ZNAJDYWANIE PUNKTÓW NA KRZYWEJ E( F q 79 BEZPIECZEŃSTWO 8 WYKŁAD 4 8 REDUKCJA KRZYWEJ. TWIERDZENIA NAGELLA-LUTZA I HASSE- WEILA 8 REDUKCJA E, P - TWIERDZENIE NAGELLA-LUTZA 8 TWIERDZENIE HASSEGO 84 TWIERDZENIE WEILA 84 WYKŁAD 5 85 SCHEMATY PŁATNOŚCI INTERNETOWYCH I MODEL PIENIĄDZA CYFROWEGO 85 POSTAĆ CERTYFIKATU 86 REJESTRACJA (ASPEKT PŁATNOŚCI 86 ANONIMOWOŚĆ W ASPEKCIE PŁATNOŚCI 87 KRYPTOGRAFIA CYFROWEGO PIENIĄDZA (IDEA 87 3

4 SYSTEMY ANONIMOWE Z CERTYFIKACJĄ 88 WYKŁAD 6 9 MIKROPŁATNOŚCI. 9 SYSTEM BANKOWOŚCI INTERNETOWEJ PLANET 9 SYSTEM MICROMINT (MENNICA ELEKTRONICZNA 9 SYSTEM PAYWORD 9 SYSTEM PLANET BANKOWOŚCI INTERNETOWEJ 9 WYKŁAD 7 94 BEZPIECZEŃSTWO SYSTEMU RSA I FAKTORYZACJA LENSTRY 94 SYSTEM RSA 94 METODA LENSTRY 95 WYKŁAD 8 98 WYBRANE ASPEKTY HANDLU ELEKTRONICZNEGO 98 ROZSZERZONE PROTOKOŁY UZGADNIANIA KLUCZA 98 ROZSZERZONE PROTOKOŁY UZGADNIANIA KLUCZA ODPORNE NA ATAKI BLOKADY USŁUG 98 ROZSZERZONY PROTOKÓŁ TYPU DIFFIE-HELLMANA 99 KONTRAKTY ELEKTRONICZNE PROTOKOŁY NIEDETERMINISTYCZNE 4

5 Wyład Złożoość olczeń Powemy, że algorytm wyoujący ewe olczee dla lczy aturalej jest c efetywy czas jego dzałaa jest rzędu L ( gdze L ( l(. Prolem jest (olczeowo łatwy jeśl steje dla ego efetywy algorytm. Będzemy załadać, że lcza zadaa jest w uładze ozycyjym rzy odstawe g tj. c g. Elemety teor złożoośc olczeowej rolem dzelów Będzemy rozróżać dwa rodzaje rolemów: TAK - decyzyje: odowedź NIE - oszuwawcze: rozwązae zawera coś węcej. Przyład : G(V,E. Czy steje f : V {,,3} tae, że (, j E f ( f ( j (trójolorowae grafu. Przyład : Day zór utów, A,..., A }. Zaleźć ajrótszą drogę od A ochodzącą { A m wszyste uty owracającą do A. (rolem omwojażera. Przyład 3: Dla daego N zaleźć zór D( wszystch dzelów aturalych lczy N. (eły rolem dzelów. Przyład rolem decyzyjy Przyład rolem oszuwawczy Przyład 3 rolem oszuwawczy W owyższych rzyładach rolemy moża sformułować ta ay yły oszuwawcze lu decyzyje. Co węcej ędą oe w stoce rówoważe. Przyład: Dae N K, M aturale. Czy steje dzel N w rzedzale [K,M]? Rozwązae rolemu decyzyjego rzy użycu daego algorytmu moża wyrazć w termach języa rozozawalego rzez te algorytm. * Nech -alfaet, -zór wszystch sończoych cągów elemetów alfaetu. * Języ L to ewe odzór. 5

6 Powemy, że algorytm acetuje języ L odowada TAK ( dla L oraz NIE ( dla L Defcja: Fucja f : X Y jest olczaa w czase welomaowym weloma oraz algorytm, tóry dla dowolego X olcza y Y rzy użycu co ajwyżej ( oeracj a tach ( -ozacza rozmar daej wejścowej tj. lość tów w rerezetacj arej. Defcja: Języ L ależy do lasy złożoośc P jeśl fucja charaterystycza L jest olczala w czase welomaowym (steje algorytm determstyczy rozstrzygający rzyależość dowolego słowa do języa L. Defcja: L NP jeśl steje algorytm edetermstyczy rozstrzygający rzyależość słowa do języa. W ategorach rolemu ozacza to (eformale, że dysoując eograczoą mocą olczeową możemy e tylo odowedzeć a ytae rolemu decyzyjego (TAK/NIE, lecz w rzyadu gdy odowedź rzm TAK dostarczyć dowodu orawośc odowedz (certyfatu o czase welomaowym. Przyład: Czy daa lcza aturala jest złożoa? Odowedź TAK Dowód N l, l Ta certyfat złożoośc lczy srawdza sę w czase welomaowym. UWAGA: Zacze trudej jest zaleźć (rót certyfat erwszośc daej lczy. Wose: Prolem dzelów jest rolemem lasy NP gdyż odowadający mu rolem decyzyjy jest w lase NP. Przyład: Pytae: Czy N ma dzel w rzedzale [,]? Odowedź: TAK. Certyfat: lcza aturala l o własośc: l [,], l dzel N. Srawdzee orawośc odowedz srowadza sę do stwerdzea, że l N jest lczą całowtą oraz, srawdzea erówośc l. Uwaga: Ne wadomo czy rolem dzelów ależy do (otecjale mejszej lasy P. To, że lasa P jest mejsza od NP jest treścą hotezy P NP. Kryterum erwszosc Defcja: 6

7 P ( - ajmejszy dzel erwszy lczy. Kryterum P : Lcza jest erwsza, wtedy tylo wtedy gdy ( P. Jeśl ajmejszy dzel erwszy rówa sę samej lcze to lcza ta jest erwsza. Kryterum Kratch a Lehmer a: Lcza jest erwsza, wtedy tylo wtedy gdy steje tae a N, tórego rząd w grue Z jest rówy. Dowód: : - erwsze to Z jest cylcza. Zatem steje w ej geerator a, tórego rząd jest rzędem tej gruy Z {,, K, } ( : Rząd dowolego elemetu dzel rząd gruy Z ϕ. Wemy że rząd a jest rówy, ale ϕ ( gdy ( > oraz, że dzel rząd gruy a rząd gruy to ϕ ( ( ϕ ( to. Z tego mamy że oraz ϕ ϕ ( zatem ( mus yć erwsze. Twerdzee (Pratt: Perwszość jest rolemem lasy NP. ϕ, a jeśl Szc dowodu: Załóżmy, że jest lczą erwszą. Przyuśćmy, że zamy elemet masymaly a (mod α q (geerator Z * rozład Π q. Poażemy ja sostruować welomaowy certyfat erwszośc dla lczy (dowód erwszośc. q Podzelmy go a 3 ro: I. Srawdzamy, że rz a - stosując ryterum Kratcha-Lehmera α q II. Srawdzamy orawość rozładu Π q III. Dowodzmy, że rozład α q q q jest stote rozładem - a loczy otęg q Π lcz erwszych. W tym rou odwołujemy sę do rocedury reurecyjej tyu: Perwszość -> erwszość q -. Pozostaje udowodć, że lość odwołań ędze welomaowa. Zorazujemy to a modelu drzewa. Wystarczy oazać, że lość werzchołów drzewa zależy welomaowo od L L. rozmaru tj. jest ograczoe rzez ( 7

8 q q qm q q. q m q td. Nech T( ędze loścą werzchołów drzewa o orzeu w uce. Mamy T( dalej reurecyje, T ( + T ( + T ( q. Poażemy ducyje, że ( < log. < q T Dla, T(< jest rawdzwe. Załóżmy, że zachodz dla wszystch q<, tj. T ( q < log q Mamy: T ( + T ( q < + T ( q < + log ( + log < q log < q log < log Przyład: Certyfat erwszośc lczy 67 ( jest geeratorem dla, 5, 3 jest geeratorem modulo dla 7,

9 Wyład Testy erwszośc lczy seudoerwsze PROBABILISTYCZNE (testy erwszośc. Klasyfacja TESTY PIERWSZOSCI OGÓLNIE Hstora : Eratostees (5..e. sto Foacc (3 we(metoda olejych dzałań do. Euler ( +y rer.jedoz. + 3 jest lczą erwszą Lucas (9 we wyorzystał twerdzee Fermata dla celów erwszośc Fatoryzacja Perwszośc Kratch, Lehmer (99 rozwęl deę odzału Lucasa Dzś : testy moża odzelć a. DETERMINISTYCZNE / NIEDETERMISTYCZNE. UNIWERSALNE / SPECYFICZNE dla wszystch dla ewych W asece wydajośc testy determstycze 3. BEZWARUNKOWE / WARUNKOWE czas dzałaa a ogół e welomaowy czas dzałaa welomaowy (o le zachodz ewa hoteza.hoteza Remaa WARUNKI : Szyość, Ogólość, Porawość SCHEMAT : (testu erwszośc Załóżmy, że otrafmy udowodć twerdzee tyu : Jeśl jest lczą erwszą to Wtedy druga część mlacj (teza może yć tratowaa jao warue oeczy erwszośc. PRZYKŁAD : Jeśl - erwsze to lu rówae : Jeśl -erwsze to 9

10 α (mod tw. Fermata a ( Ta test azywamy testem Fermata. Jest szy, ogóly ale e orawy o e moża doweść, że lcza o rzejścu rzez test jest erwsza. KONTRPRZYKŁAD (z ustaloym śwadem a 4 Mamy 4 4 (mod KONTRPRZYKŁAD ( dla dowolego śwada a a 56 ( mod 56 DEF. Lczę azywamy seudoerwszą rzy odstawe a jeśl jest złożoa zachodz warue Fermata ze śwadem a. DEF. Lczę złożoą, tóra rzechodz omyśle test Fermata dla wszystch śwadów a ( * azywamy lczą Carmchaela. Z TWIERDZENIE : (Heath - Brow 98 s # { : jest lczą Carmchaela } TWIERDZENIE : DOWÓD : Nech P ech r- R S,gdze S jest earzyste. Wtedy dla ażdego a * zachodzą waru : Z. a - (mod. a S S (mod lu steje tae r < R,że a a r - (mod Warue wya z twerdzea Fermata. Dla dowodu drugego zauważmy że erwszość ocąga za soą, że /7 R S a a ± (mod S a r Zatem w cągu otęg modulo r R-,R-,.. alo ędze otęga dająca resztę - modulo alo a S (mod co dowodz tezy. Na owyższych argumetach oarty jest astęujący algorytm (Test erwszośc Mllera -Raa.

11 Szc algorytmu. Dla losowo wyraego a * (a Z Olcz a - (mod Jeśl wy (mod to algorytm daje a wyjścu odowedź P. W rzecwym raze rzechodzmy do drugego rou.. Zasz - R S, S earzyste. Jeśl a S (mod lu steje tae r < R,że a - (mod to Algorytm daje a wyjścu odowedź P. W rzecwym rzyadu algorytm daje odowedź P. UWAGA Z owyższego twerdzea wya,że odowedź P jest ewa. Natomast P jest oarczoa (rawdoodoym łędem. Ja oazal Mller Ra rawdoodoeństwo omył e rzeracza jeda /4. Zatem rzy l - teracjach algorytmu rawdoodoeństwo omył jest /4 l, tz. mamy : WNIOSEK : Jeśl rzechodz omyśle test Mllera-Raa l razy, to jest lczą erwszą z rawdoodoeństwem. 4 l a Z r S DEFINICJA: -azywamy lczą sle seudoerwszą rzy odstawe a waru... -złożoe seła Lczy seudoerwsze Eulera * * Nech g geerator Z, lcza erwsza. Wtedy ażde a ( jest ostac a g (mod * Jeśl jest arzyste to a azywamy resztą wadratową (mod, w rzecwym Z rzyadu eresztą wadratową (mod. Z Łatwo zauważyć, że * a Z jest resztą wadratową (mod rówae a y (mod ma rozwązae y Z.

12 WNIOSEK : Zory reszt ereszt wadratowych (mod mają tę samą moc. DEFINICJA : a Symol Legedre a defujemy astęująco: gdy a reszta wadratowa (mod a gdy a ereszta wadratowa gdy a WNIOSEK 3: Jeśl g -geerator g (mod * Z to Warue Eulera: * a a Z mamy a (mod Dowód: Jeśl a -reszta wadratowa (mod to oe stroy są rówe (mod. Jeśl a -ereszta wadratowa (mod to y+ y a g sąd a ( g g g (mod taże, co ależało doweść. lewa stroa Defcja: Lczę azywamy lczą seudoerwszą Eulera rzy odstawe a -złożoe seła warue: a a (mod Twerdzee: (charaterystya lcz złożoych rzechodzących omyśle test Mllera-Raa Lcza 3(mod 4 jest lczą seudoerwszą Eulera (rzy odstawe a jest lczą sle seudoerwszą (rzy odstawe a. Dowód: omjamy Mamy zatem lasyfację;. Lczy seudo-erwsze rzy odstawe a sełają warue Fermata : a - (mod. Lczy sle seudo-erwsze sełają warue Mllera-Raa : j.w.

13 3. Lczy seudo-erwsze Eulera sełają warue Eulera : ( a (mod a a gdze ( jest symolem Jacoego. Jeśl dla O(log losowych śwadectwo a możemy wosować, że P. * Z rzy założeu hotezy RIEMANNA Odowed test azywamy testem SOLOVAYA STRASSENA. Powyższy symol Jacoego jest uogóleem symolu Legere a,a maowce jeśl r α α K α r (założee a, earzyste to a a a K r α α r Dalej jeśl : s a q β K q β to s s a q q s K β β Pozostaje umeć olczać, q lczy erwsze,q e arzyste q Prawo wzajemośc Gaussa oazuje zwąze symol Legedre a q maowce ( ( ( q q q q Jeśl to olczamy ( ( q oraz ( ( q q WNIOSEK : Powyższe wzory ozwalają a efetywe olczee symolu Jacoego w osewecj otrzymujemy welomaowy, determstyczy test erwszośc Solovay a Stressea. 3

14 Wyład 3 Algorytm Lehmaa Twerdzee (ryterum erwszosc Lehmaa efetywe olczeowo: Lcza N jest erwsza wtedy tylo wtedy, gdy zór a ( mod, a Z {,} (* Dowód: Jeśl jest erwsze to mod ( Z jest całem rozwązaa: mod ( Kładąc a a mocy twerdzea Fermata. Co węcej -elemetowym. Węc rówae ±. a tym cele ma dołade dwa a otrzymujemy, że mod ( zatem a {, } dla dowolego a Z tz a, a Z {, } Ale mamy, że ( mod. Z drugej stroy: oeważ Z jest cylcza to orąc a Z a ( mod rówe geeratorow otrzymujemy, że ajmejszy wyład ta, że jest rówy wtedy a mod ( a węc ( mod. Załóżmy, że P, gdze P to zór lcz erwszych. Poażmy, że e zachodz astęująca rówość (* I, Załadamy że e zachodz (* Isteje Nech (taże Wtedy (, > a Z tae że a mod ( Z ędze rozwązaem uładu ourecj. ( mod ( a mod steje a mocy twerdzea chńsego o resztach gdyż ( a mod ( a mod 4

15 Zatem ± mod ( wrew założeu (* II α, -lcza erwsza Gdy α gdze α, to w grue Z α tórej rząd rówy jest steje elemet a rzędu. Nech a ędze tym elemetem, wtedy: ( ( a mod a mod Otrzymaa srzeczość dowodz mlacj. c..d. oeważ węc rzad a co emożlwe. ϕ α α ( ( Algorytm Lehmaa: Dla losowo wyraych a j, j,, K, olczamy ( mod a j, wtedy: jeżel steje j, ± mod ( to odowedź: P. a j jeśl j aj mod ( to odowedź: P 3 w rzecwym wyadu odowedź: P Odowedź jest ewa, odowedź z rawdoodoeństwem rawdoodoeństwem., 3 z Test erwszośc AKS Wymyśloy w rou rzez Agravala, Keyala Saeę. Algorytm AKS jest algorytmem determstyczym dzała w czase welomaowym(!!! od rozmaru lczy. Lemat : Jeśl jest lczą erwszą earzystą, to ( a a(mod, gdze a. Dowód: Dwuma Newtoa dla ( a ma ostać: ( a. Z twerdzea Fermata wya, że a a(mod. Tylo dwa wyrazy, erwszy ostat są róże od (mod. Wszyste ozostałe są rówe (mod o!.!(! Lemat : Jeśl zachodz rówość, że ( a a(mod (gdze jest earzyste, to jest lczą erwszą. Dowód: Nech q ędze ajwyższą otęgą lczy erwszej q, tóra dzel. Jeśl: q l, gdze l q, 5

16 to wtedy: q l ( q l( q l... ( q q q! ( q l q! q! l q q l. q q q q l ( q m l tylo te czy te astęe już e dzel sę rzez q o q e dzel q m q ( q m srzeczość!!! ( a ( a ( a Weźmy teraz q. Wtedy e jest welorotoścą q, węc taże e jest welorotoścą. Zatem różca ( a ( a (mod. Stąd jest lczą erwszą (a mocy dowodu e wrost. Twerdzee AKS: Załóżmy że N, q r są lczam erwszym, gdze q r, oraz sełoe są cztery oższe założea: r q (mod r {, } S - sończoy zór lcz całowtych ta, że ' S zachodz: ' q+ S 3 r > S r 4 S ( + + (mod,, tz. r ( + f ( ( + g(, gdze Wtedy jest otęgą lczy erwszej. Przyład: g( (mod r + f g Z[ ] r r r r r (mod,, gdyż ( + (,. Szc dowodu twerdzea AKS. I. Waru,, 3 moża tratować jao oszt sełea założea z lematu. r II. Jeśl zachodz ( + ( (mod,, to zachodz to taże dla lcz j w ostac m, gdze jest dzelem erwszym lczy, tz. m m r ( + + (mod, (jest to roagacja rówośc z waruu 4 a lczy ostac m. m a Berzemy m r. Otrzymamy wtedy ( + + (mod, 6

17 Dla dowodu zauważmy, że: ( ] [( ( ] [( ( + + ( 7. Berzemy tz. Zauważmy teraz, że, j., (mod ( r j j + +, (mod ( ( r + +, węc taże, gdyż, (mod ( ( r + + Mamy. (mod (mod ( Pozostałe wsółczy zą, gdyż są odzele rzez. Na mocy twerdzea Fermata mamy: Jeśl, to. (mod (mod Jeśl, to gdyż, (mod. Zatem ( ] [( ( (( ( j j j j j (mod. j + Udowodlśmy węc, że zachodz., (mod ( r j j + + Jest to o słaszy warue ż węc (mod, jeśl rówae jest rawdzwe, to jest też rawdzwe dla (mod., (mod r Połączee roów a , (mod (, (mod ( r r j j j m, (mod ( ] [ ] [( ( r j j j j j ro a ro III. Załóżmy, że Jeżel a. < (mod r a, to., (mod r a Dowód: ( a a. Poażemy, że jest welorotoścą ( a. r Połóżmy. lr a Wtedy ( ( ( l l l r lr y y y y y. C.N.D.... ( ( ( l r r r r IV. Zasada szufladowa Drchleta. Jeśl r j,, to wtedy steją ary tae, że, (, ( ' ' j j (mod ' ' r j j

18 (Są to lczy dające tą samą resztę. Dzeje sę ta dlatego, gdyż możlwośc wyoru ar (j jest o jede węcej ż steje reszt. V. Estraolacja rou II. Kro II moża zasać m m r że dla q ( + mamy rówość q q ( (mod,, ( m m r q ( q ( (mod, m r q( (mod, zachodz dla q q q. a dla q ( + mamy. m Wtedy rówość q( Dowód. q( (* q ( m m q( q ( m m mod( r mod( r,,? m m m q q ( q( q ( Ale lewa stroa owyższego rówaa jest rówa ma mocy (*. C.K.D. m m m m q ( q ( q( q ( r VI. Kostrucja elemetu dużego rzedu w Z[ ]/. VII. Rozważmy gruę G geerowaą rzez dwumay +, gdze S, w cele Z [] / h(, gdze ( jest welomaem erozładalym w [] dzelącym. r α Zatem G { ( +, α q, α }. S S Grua multlatywa cała [ ] / h( Z Z jest cylcza, zatem grua G też jest cylcza. q+ S Jeśl g jest jej geeratorem, to rząd g G S Zaończee dowodu. ' Nech g - geerator gruy G, oraz m,m ędą elemetam zoru j ' { :, j } tam, że m m (mod r, wtedy rawdzwe jest: m m r (* q( q( (mod, ' Jeśl q, q sełają (* q q też sełają (* Zatem rówae (* zachodz dla geeratora g w grueg, tj. m m r q( ( mod(,. ' m m r Poeważ m m (mod r węc ( + ( + (mod a mocy ' α m α m r multlatywośc ( ( + ( ( + (mod,. Czyl m q ( q( ' m S S w grue G. Wtedy mamy ' 8

19 ' q S + G m m < G S Otrzymalśmy srzeczość z wosem łyącym z zasady szufladowej ' j j Drchleta, czyl srzeczość z m m. Srzecze węc jest, czyl j ' ' ' j j ' j α C.N.D Algorytm AKS: Zajdź lczę erwszą r rzędu L c (. Zajdź q ajwęszy dzel erwszy r lczy r ta, że q (mod r {, }. q + s Zajdź s, tae że r. s 3 Srawdź, czy ma dzel erwszy w zorze {,3,..., s}. 4 Jeśl e, to srawdź astęującą ogruecję: r ( + + (mod, 5 Srawdź jaą otęgą lczy erwszej jest. ' ' 9

20 Wyład 4 Kostrutywzm w roleme dzelów algorytm Fellowsa-Koltza a R, gdze R dzedza z jedozaczoścą rozładu ϖ a lość różych dzelów erwszych (z doładoścą do stowarzyszea ( Przyład: R Z Prolem: Przyład:, 6, a ( a { } ϖ #,3,5 3 Zaleźć etrywale oszacowae dla ϖ ( a Zaleźć ograczee tyu ϖ ( a ϖ ( a ϖ ( a t t t, gdze t R + Metoda ostrutywa ozwala wyzaczyć etrywaly dzel d a. Metoda ostrutywa ozwala oszacować ϖ ( a,ale e mluje zajomośc żadego etrywalego dzela d a. Dowód, że ϖ a ( etrywaly dzel d dzelący a. Dowodzmy teraz rolem PSM w ogólośc : Dae a K I α α α I jest ostrutywy jeśl wya z ego ja moża zaleźć Szuamy formacj a temat rozładu a,adając erśceń lorazowy S a, gdze S R[ ] a doładej jego gruę jedośc G ( S F G odgrua gruy G rówa, gdze G - rzemee a F S S S I K K I,

21 F F F I F F F F I F F F F I F 3 F 3 F 3 F I 3 F J... F J... F J... F I J... F j -gruy cylcze eoecze etrywale gdze I, j J ord H rząd H Mamy,że ω(a I S q (G q odgrua Sylowa gruy G (odgrua masymalego rzędu q α Dla oszacowaa I ędzemy rozważać ewe odgruy H G. Nech q ord F. ( Metoda dowodzea,że ord S q (H > ord S q (F. (metoda olumowa ( Metoda dowodzea,że ef j jest róży od ord Fj. (metoda werszowa Dla ewego j J e(h : e H wyład gruy H tz. e(h NWW ( ordh Zauważmy,że jeśl e(f j ord Fj to grua F j e jest cylcza, o gdyy yła to rząd geeratora yły rówy rzędow gruy. Wtedy oczywśce I Z,węc ω(a. Przyładem demostrującym metodę ( jest test erwszośc FEILOWSKA KOBLITZA,atomast metodę ( test Agravala,Keyala Saey. Przyade I : h H a ord F : S q ( H F > ord S q ( H F > r Jeśl tae H F steje to aturale ord S q ( H > ord q ( F Przyade II : (q ord F zachodz ord Sq ( H F ord S q ( H F > Twerdzee: S-/S Załóżmy, że zachodz Przyade II gdze H G ma rząd > (ord F oraz wszyste rzecęca H F są cylcze. Wtedy : e H > (ord F /s ω(a S-.

22 Dowód: Przy założeach Przyadu II.mamy,że q ord F, q -odgruy Sylowa gru H H F są tego samego rzędu. Zatem gruy H F H F mają te same rzędy, oeważ H F, I są cylcze,węc H F oraz H F są zomorfcze. Nech H F E, I. Wtedy mamy, że H H F H ( F F I (H F (H F I E E E I razy F Załóżmy, że e H > (ord F /s ω(a >s- tj. NWW I s Wtedy ( ord F /s < e H ord h < h > NWW h H NWW h H (H F ord E ord E (ord H /I (ord F /s. h H NWW h H Otrzymaa srzeczość dowodz, że ω(a jest s-.odwrotą mlacje dowodzmy aalogcze, zauważając,że z cylczośc H F wya.że e H (ord H /I węc wyład gruy jest duży jeśl tylo H ma duży rząd. Wose : Jeśl H jest odgruą cylczą F lu wszyste rzecęca (H F są cylcze to w Przyadu II mamy :. Jeśl e H > ( ord F / to ω(e.. Jeśl ω(a oraz ord H > ( ord F / to e H > ( ord F /. Wose : Jeśl zachodz Przyade II grua H jest duża to wyład e H rozstrzyga o erwszośc lu złożoośc elemetu a. Wose 3: Przyade II w odróżeu od Przyadu I staow eostrutywy elemet dowodu erwszośc lu złożoośc a R. Wose 4: (ALGORYTM F-K ozzej. Algorytm Fellowsa-Koltza (determstyczy,dzałający w czase O(log 6 oeracj - Daa wejścowa (Naturala załadamy, że q α q α K q α Dla a N z rzedzału [, log ]wyouj Jeśl a - (mod to zwróć odowedź złożoa. 3 Olcz ord a 4 Dla dowolego q ord a wyouj 5 Jeśl NWD(a ord a/q, > to zwróć odowedź - złożoa 6 Olcz l NWW ord a ( ( log a 7 Jeśl l < to zwraca odowedź złożoa w rzecwym rzyadu zwraca odowedź erwsza.

23 Wyład 5 Protooły odzału tejemcy schematy rogowe Podzał tajemcy strutura dostęu Rozważmy tróję ( K, P, S gdze: K - zór luczy, P - zór użytowów, S - zór udzałów. P Γ Z - rodza zorów urzywlejowaych (ażdy zór z tej rodzy ozwala a zreostruowae lucza K, a ostawe odowadających m udzałów. Taą rodzę azwemy struturą dostęu. Defcja. Systemem ezeczego odzału tajemcy, realzującym struturę dostęu Γ, azywamy metodę odzału lucza K omędzy użytowów ze zoru P w ta sosó, ay: Każda grua osó B P z rodzy Γ otrafła wyzaczyć wartość lucza K a odstawe swoch udzałów ze zoru S. Dowola grua osó soza rodzy Γ e yła w stae a odstawe swoch udzałów otrzymać żadej formacj a temat lucza K. Defcja. Załóżmy że P. Schematem rogowym tyu ( t, jest ta schemat ezeczego odzału tajemcy, że ażda grua osó B P, taa że B t, jest urzywlejowaa. Protoół Shamra Nech F - ustaloe cało, B P, B t. ( ędze ozaczać elemet zoru osó B, a taże detyfator daej osoy Twerdzee. Isteje dołade jede weloma f F[] (o wsółczyach w cele F stoa t wyzaczoy rzez węzły, y, gdze B. ( Przyład. y f ( Jeśl B to steje dołade jede lowy weloma f F[], ta, że. y f ( Dowód twerdzea. Weloma f moża oreślć astęującym wzorem (jao weloma terolacyjy Lagrage a: 3

24 f ( Stoeń B f y B ( y' f t. Poażemy że ' B B ' f ( y. ' y C.N.D ' (W owyższym wyrażeu jedyy wład ma ta wartość dla tórej gdyż dla ozostałych jede z czyów loczyu jest zerowy Schemat Protoołu Shamra. I. Faza wstęa. Mocodawca P (tzw. Dealer wyera różych (ezerowych elemetów II. cała F (gdze F + :,,...,. Mocodawca rzydzela lczy osoom P, gdze,,...,. Faza rozdzelaa udzałów (w schemace (t,. Nech K ędze rozdzelaym luczem. P wyzacza ( t losowych lcz a, a,..., at F defuje weloma t t f ( + a at. P rzydzela udzały f osoom P, gdze,,...,. ( Uwaga! Jeśl B t, to węzły (, f ( jedozacze wyzaczają weloma f (, a węc lucz K. y ' Poażemy, że jeśl B. B < t, to ażdy lucz K może yć otrzymay z udzałów osó Nech. t węzłów ochodzących od osó tworzy uład: a + a t a t a t t a + a + a + a t t t y y t t Rozszerzając owyższy uład o rówae a + a + a at y olczyć wartość lucza: t (,,,..., ( a, a,..., a y (,, (, t,,..., t t,..., ( a t t ( a, a,..., a t t , a,..., a y t y t możemy 4

25 Zasując w ostac macerzowej:... a y t... a y M M t t t... a t t y t Powyższy uład ma jedozacze rozwązae gdyż jego wyzacz wyos: ( ( < j t j < j t j C.N.D. Schemat odsu cyfrowego z ełomocctwem Twórcam tego schematu są (Ch-Che-Cha, Hu-Feg-Huag. Bazuje o a rotoole odzału tajemcy ochodzącym od Shamra (używa systemu RSA. Nowoścą jest to, że w tym odse wszyscy użytowcy są łatwo rozozawa (co wcześej e yło osągale. Poadto jest jest szy olczeowo. P, P,..., P - ełomoccy. I. Faza wstęa. Zaufay serwer (trusted authorty geeruje lucze RSA: ( e, N - ulczy, d - rywaty, gdze N q ( N jest loczyem dwóch lcz erwszych rzeazuje wartośc luczy odowedm ełomocom: ( e, N, d ϕ ( N dla P, ( e, N, d ϕ N dla P, gdze. ( II. Geerowae lucza ełomocctwa. P tworzy formację m N, m (zawerającą detyfator P czas udzelaego ełomocctwa olcza m D d mod( ϕ( N ED (mod ( N m ϕ E e mod( ϕ( N m m ( d e (modϕ( N Gdze D - lucz tajy ełomocctwa, E - lucz jawy ełomocctwa. d P uluje [,, ( d m E σ m m (mod N, σ ( E E (mod N ] oraz ezeczą fucję haszującą h. 3 Każdy użytow może zweryfować warygodość olczając rzy użycu σ ( m σ ( E eo e eo wartośc: m (mod N E(mod N P III. Podzał tajemcy. Wyór welomau odzału tajemcy. 5

26 P wyera losowe lczy całowte a [, N defuje t f ( D + a a Z[ ], wtedy f ma ostać t f ( f ( g (, gdze g ( Q[ ]. B P defuje weloma omocczy f (! sąd H ( f ( G (, gdze G (!, g ( Z[ ]. B Wyzaczae udzałów S omędzy użytowów P,...,. P olcza udzały dla B wzorem S f ( G ( f ( g (! Z e wysyła rytogramy ostac ( σ ( S (mod N do wszystch P. 3 Srawdzee warygodośc udzałów. e d P olcza (( σ ( S σ ( S (mod N, a astęe e ( σ ( S ( S (mod N (jest to weryfacja odsu dealera jego luczem ulczym. P IV. Tworzee odsu ełomocctwa. Wzajeme uwerzytelae gruy B. d Każdy P olcza y h(, M (mod N (jest to wartość ulcze zaej fucj haszujacej dla daej wadomośc z zawartą formacja o adresace rzesyła wy do ozostałych udzałowców. Każdy z ch weryfuje e autetyczość otrzymaego rytogramu olczając y h(, M(mod N. Sładae częścowego odsu. Użytow olcza wartość P d f ( G ( σ ( M h([ h(, M ], M (mod N B ( f ( G ( - to otrzymae od Dealera udzały ażdego użytowa wysyła d arę [ σ ( M, σ ( M ] do ażdego z ozostałych użytowów. 3 Weryfacja orawośc częścowych odsów. d e P srawdza, czy σ ( M σ ( M (mod N. ( Jeśl ta, to olcza wartość ( d ( d D! σ ( M h( yb, M f ( G ( h( yb, M gdze B ( d B y h(, M B d. 4 Olczae odsu z ełomocctwa. Każdy P olcza wsólą wartość σ (M B ja astęuje B! σ M σ ( M (mod N. B ( B B Podsem ełomocctwa od wadomoścą M jest trója ( σ ( M, R, B, gdze R jest rozwązaem uładu rówań: B d R h(, M (mod N, B. (rówań tach ędze tyle, lu jest użytowów czyl. V. Weryfacja odsu. Srawdzee warygodośc ełomocctwa. 6

27 Odorca weryfuje rawdzwość m Id( P, (gdze Id - ( t detyfator P, t czas ważośc ełomocctwa oraz E (gdze E lucz ulczy ełomocctwa olczając e e σ ( m (, ( E (. σ E Weryfacja warygodośc gruy a odstawe odsu ( σ ( M, R, B Odorca olcza R(mod N h(, M (mod N. Srawdza czy ( h (, M h (, M (mod N. ( d d Jeśl ta, to olcza y B h(, M srawdza czy B E σ B ( M h( yb, M (mod N. Jeśl ta, to ods ( σ ( M, R, B uzaje za rawdzwy. B B 7

28 Wyład 6 Logarytm dysrety metoda desu. Logarytm dysrety Prolem: (logarytmu dysretego dla G Daa jest grua G geerator g G oraz A G. Zaleźć (o le steje wartość log(a : g A(G. Metoda desu (dea Uwaga : Zamast szuać lg(a ędzemy szuać lg( A lg( AB lg( B gdze lg( B lg( AB wtedy B to rodzaj losowego zacza. Postulat : B jest efetywe geerowae rzez azę tj. zajdzemy rerezetację: (* B Π lg( Π g dla welu. Postulat : AB jest efetywe geeroway rzez azę tj. * y y lg( AB Π Π g * logarytmując uład (* rozwązując zajdzemy wartośc * rówaa otrzymamy: * lg( A ( y lg( lg( wstawając je do Koluzja: Rozce lg(a a lg( AB lg( B ozwala zastosować deę rzeątową (sracającą rzeszuwae rzestrze AB B,, 3,. 8

29 Algorytm Pohlga-Hellmaa ( G, grua sończoa (rzemea N a a 443 a a,... a a ( a w G razy Rozważmy rolem logarytmu dysretego a w grue G. Uwaga: Wyład jest oreśloy modulo G a ścślej modulo a a + G rz a a a a G + rz a a, a a rz a gdyż Dla arytmetyczych gru G e zamy algorytmu olczającego logarytm dysrety w czase welomaowym od rozmaru G. Uwaga: Nech G Πq q α q załóżmy, że a jest geeratorem gruy G Załóżmy, że otrafmy zaleźć (modq dla ażdego q G Wtedy rozwązując uład rówań α (mod q,, 3, 4,.. α (modq α Zajdzemy rozwązae (mod Π q (mod G tz. otrzymuję logarytm dysrety dla elemetu rzy odstawe a a (G Wose: Dla G Z dzel erwsze. Prolem: Ja wyzaczyć (mod q α α * algorytm jest efetywy, jeśl - jest lczą gładą, tj. mającą tylo małe + q + q +... gdze {,,... q } + q α α 9

30 Metoda Pohlga-Hellmaa dla G Z * Rozważmy rówae: Wtedy a α + q + q+... α q * q q q q q a ( (w grue G Z Załóżmy, że mamy talcę wszystch erwastów stoa q z jedośc w grue rerezetowaej rzez otęg geeratora a. Teraz mamy ( a α + q α q q q ( a q q ( a a ( a a q Odszuując odowede wartośc erwasta z jedośc zajdujemy wartość. Dla wyzaczea zauważmy, że ( a ( q q q q q stroy a a a wartość w aszej talcy zajdujemy oleje cyfry, 3,... α q jest erwastem stoa q z jedośc. Z drugej α + q α q q q ( a a, węc odszuując tę. Kotyuując tę rocedurę wyzaczamy wszyste Uwaga: Połączee metody Pohlga-Hellmaa Shasa daje wzmocee owyższego algorytmu algorytm Slvera-Pohlga-Hellmaa. Elemety głade w rytograf Systemy rytografcze są zdefowae a ogół a dostatecze dorych struturach algeraczych, gdze jest zdefowae dzałae o, a rzyład: ółgruy, gruy, erścee, cała. Wyorzystywaa jest jedoeruowość ewych aturalych fucj zwazaych z dzałaem o w daej struturze. Tyowym rzyładem są dzałaa możea (dodawaa w struturach multlatywych (addytywych odowedo. System rytografczy strutura algeracza jedoeruowość wyróżoych fucj Przyład: ( G, o - ółgrua trudość olczeowa zwązaa z rozwązaem rówaa o a w G, gdze N 3

31 Przyładam są astęujące strutury: ( Z, ( Z, E ( F q,, (, Prolem: Rozwązać rówae o a w ółgrue G (tz. zaleźć N czyące zadość tej rówośc Metoda rutala (srawdzee olejych możlwośc Metody wyrafowae (wyorzystujące azy rozładu elemety głade Defcja: ( G, o Nech ędze ółgruą. B G azwemy azą rozładu jeśl dużo elemetów G jest ostac o gdze B. Defcja: Elemet g G azwemy g o gdze N B -gładm wtedy tylo wtedy, gdy jest ostac Wysoość elemetu odwzorowaa reducj. Nech h: G N, wtedy ewą fucją. Wyorzystamy ją do merzea wysoośc elemetów ółgruy G. Przyład: ( Q,, h r ma ( r, s, gdze r jest w ostac esracalej. s s Będzemy sę do tego rzyładu odwoływać dalej. Fucję h zwyle defujemy a esończoych ółgruach. W ratyce ędzemy rozważać rówae o a w sończoych struturach lorazowych. Taą struturę moża otrzymać wyorzystując odwracalość reducj. red G G P red : G G P Przyład : Z,, + ( red : ( Z,, + Z red ( ( mod - erśceń g g Przyład : G E Q, red : ( ( ( E( F E Q 3

32 a c red, ( a, cd mod d a c oreśloe dla utu P, E( Q d Ozaczee a, G, a% red a, % red Baza rozładu (aset loścowy Zauważmy, że zamast szuać rozwązaa rówaa o a% % wystarczy zaleźć rozwązae a red o a, red a a red % o, gdyż ( %, ( Zatem ędzemy szuać rozwązaa rówaa o a w ółgrue (esończoej G. Defcja: Powemy, że B jest ( tu,, f -azą rozładu w G wtedy tylo wtedy, gdy #{ g G, h( g < t, g o, h( u} > f ( t, u Przyład: G N, o - ółgrua ( B u {,,, r u} Nech u O( log t l K, gdze Wtedy #{, : α, } (, u N t P B > f t t Metoda desu Prolem: Zaleźć wartość logarytmu dysretego w grue G Zaleźć tae Z, że a ( mod Wyeramy azę rozładu B { } α - oleje lczy erwsze. l Z tz. mając dae a, Z,, K r tae, że dużo elemetów w G jest ostac Wyeramy losowe a G dzelmy a α ( mod, jeśl tae rzedstawee e a a αloga j Podstawamy to dla welu y otrzymać uład r+ c, rówań z ewadomą Rozwązujemy te uład. drogą elmacj Gauss a. Przedstawamy a w aze B (jeśl e moża to zmeamy Ostatecze otrzymujemy (o zlogarytmowau: log δ log steje to wyeramy e. Logarytmując mamy log ( a ( + a a sąd zajdujemy: log δ ( mod Wose: a 3