Wykªad 3. Funkcje skrótu

Podobne dokumenty
ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

O pewnym zadaniu olimpijskim

JAO - J zyki, Automaty i Obliczenia - Wykªad 1. JAO - J zyki, Automaty i Obliczenia - Wykªad 1

XVII Warmi«sko-Mazurskie Zawody Matematyczne

Wykªad 7. Ekstrema lokalne funkcji dwóch zmiennych.

ANALIZA NUMERYCZNA. Grzegorz Szkibiel. Wiosna 2014/15

Podstawy matematyki dla informatyków

ARYTMETYKA MODULARNA. Grzegorz Szkibiel. Wiosna 2014/15

1 Metody iteracyjne rozwi zywania równania f(x)=0

Ciaªa i wielomiany. 1 Denicja ciaªa. Ciaªa i wielomiany 1

WST P DO TEORII INFORMACJI I KODOWANIA. Grzegorz Szkibiel. Wiosna 2013/14

WST P DO TEORII INFORMACJI I KODOWANIA. Grzegorz Szkibiel. Wiosna 2013/14

Relacj binarn okre±lon w zbiorze X nazywamy podzbiór ϱ X X.

Metodydowodzenia twierdzeń

Wybrane poj cia i twierdzenia z wykªadu z teorii liczb

Twierdzenie Wainera. Marek Czarnecki. Warszawa, 3 lipca Wydziaª Filozoi i Socjologii Uniwersytet Warszawski

A = n. 2. Ka»dy podzbiór zbioru sko«czonego jest zbiorem sko«czonym. Dowody tych twierdze«(elementarne, lecz nieco nu» ce) pominiemy.

Lab. 02: Algorytm Schrage

Listy Inne przykªady Rozwi zywanie problemów. Listy w Mathematice. Marcin Karcz. Wydziaª Matematyki, Fizyki i Informatyki.

Algorytmy tekstowe. Andrzej Jastrz bski. Akademia ETI

ELEMENTARNA TEORIA LICZB. 1. Podzielno±

Protokoªy komunikacyjne

Zad. 1 Zad. 2 Zad. 3 Zad. 4 Zad. 5 SUMA. W obu podpunktach zakªadamy,»e kolejno± ta«ców jest wa»na.

Metody dowodzenia twierdze«

Zbiory i odwzorowania

Ekstremalnie maªe zbiory

1 Bª dy i arytmetyka zmiennopozycyjna

ZADANIA. Maciej Zakarczemny

Hotel Hilberta. Zdumiewaj cy ±wiat niesko«czono±ci. Marcin Kysiak. Festiwal Nauki, Instytut Matematyki Uniwersytetu Warszawskiego

Matematyka dyskretna dla informatyków

Zdzisªaw Dzedzej, Katedra Analizy Nieliniowej pok. 611 Kontakt:

2 Podstawowe obiekty kombinatoryczne

Interpolacja funkcjami sklejanymi

Przekroje Dedekinda 1

1 Granice funkcji wielu zmiennych.

Funkcje jednej zmiennej. Granica, ci gªo±. (szkic wykªadu)

Mierzalne liczby kardynalne

Strategie zabezpieczaj ce

Wielomiany o wspóªczynnikach rzeczywistych

WST P DO KRYPTOGRAFII. Grzegorz Szkibiel. Jesie«2012/13

Ekstremalnie fajne równania

Semestr letni 2014/15

Oba zbiory s uporz dkowane liniowo. Badamy funkcj w pobli»u kresów dziedziny. Pewne punkty szczególne (np. zmiana denicji funkcji).

Wst p do sieci neuronowych 2010/2011 wykªad 7 Algorytm propagacji wstecznej cd.

Czy funkcja zadana wzorem f(x) = ex e x. 1 + e. = lim. e x + e x lim. lim. 2 dla x = 1 f(x) dla x (0, 1) e e 1 dla x = 1

1 Poj cia pomocnicze. Przykªad 1. A A d

Materiaªy do Repetytorium z matematyki

x y x y x y x + y x y

Funkcje wielu zmiennych

Wykªad 4. Funkcje wielu zmiennych.

Twierdzenie Wedderburna Witold Tomaszewski

Lekcja 9 - LICZBY LOSOWE, ZMIENNE

Proste modele o zªo»onej dynamice

Ukªady równa«liniowych

Listy i operacje pytania

2 Liczby rzeczywiste - cz. 2

W poprzednim odcinku... Podstawy matematyki dla informatyków. Relacje równowa»no±ci. Zbiór (typ) ilorazowy. Klasy abstrakcji

1 a + b 1 = 1 a + 1 b 1. (a + b 1)(a + b ab) = ab, (a + b)(a + b ab 1) = 0, (a + b)[a(1 b) + (b 1)] = 0,

Elementy geometrii w przestrzeni R 3

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 7

Liniowe równania ró»niczkowe n tego rz du o staªych wspóªczynnikach

Zadania z kolokwiów ze Wst pu do Informatyki. Semestr II.

Problem P = NP. albo czy informacja może. biec na skróty

1 Kodowanie i dekodowanie

Rozkªady i warto± oczekiwana

Algorytmiczne aspekty kryptograi

X WARMI SKO-MAZURSKIE ZAWODY MATEMATYCZNE 18 maja 2012 (szkoªy ponadgimnazjalne)

Liczenie podziaªów liczby: algorytm Eulera

Funkcje, wielomiany. Informacje pomocnicze

Rozdział 6. Pakowanie plecaka. 6.1 Postawienie problemu

Interpolacja Lagrange'a, bazy wielomianów

Matematyka dyskretna dla informatyków

Funkcje wielu zmiennych

Elementarna statystyka Dwie próby: porównanie dwóch proporcji (Two-sample problem: comparing two proportions)

Strategia czy intuicja?

Równania ró»niczkowe I rz du (RRIR) Twierdzenie Picarda. Anna D browska. WFTiMS. 23 marca 2010

Biostatystyka, # 5 /Weterynaria I/

Vincent Van GOGH: M»czyzna pij cy li»ank kawy. Radosªaw Klimek. J zyk programowania Java

Funkcja. Poj cie funkcji i podstawowe wªasno±ci. Dziedzina

1 Przypomnienie wiadomo±ci ze szkoªy ±redniej. Rozwi zywanie prostych równa«i nierówno±ci

Elementarna statystyka

Caªkowanie numeryczne - porównanie skuteczno±ci metody prostokatów, metody trapezów oraz metody Simpsona

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 14, Kryptografia: algorytmy asymetryczne (RSA)

Liczby zmiennoprzecinkowe

Wektory w przestrzeni

Podzbiory Symbol Newtona Zasada szuadkowa Dirichleta Zasada wª czania i wyª czania. Ilo± najkrótszych dróg. Kombinatoryka. Magdalena Lema«ska

Statystyka matematyczna - ZSTA LMO

Metody numeryczne i statystyka dla in»ynierów

Elementy Modelowania Matematycznego Wykªad 1 Prawdopodobie«stwo

Podstawy matematyki dla informatyków. Funkcje. Funkcje caªkowite i cz ±ciowe. Deniowanie funkcji. Wykªad pa¹dziernika 2012

CAŠKOWANIE METODAMI MONTE CARLO Janusz Adamowski

WST P DO KRYPTOGRAFII. Grzegorz Szkibiel. Jesie«2012/13

i, lub, nie Cegieªki buduj ce wspóªczesne procesory. Piotr Fulma«ski 5 kwietnia 2017

Transkrypt:

Wykªad 3 Funkcje skrótu Damian Niwi«ski Instytut Informatyki, Uniwersytet Warszawski Funkcje jednokierunkowe Podstawowa intuicja funkcji jednokierunkowej jest: ªatwo obliczalna, ale trudno odwracalna, tzn. na podstawie f(x) trudno jest znale¹ jakiekolwiek x takie,»e f(x ) = f(x). Jednak w tym ostatnim punkcie nie zadowala nas trudno± ze wzgl du na algorytmy deterministyczne; oczekujemy jej równie» przynajmniej dla algorytmów probabilistycznych, a najlepiej tak»e dla niejednorodnych, o jakich byªa mowa w Wykªadzie. Z drugiej strony nie mo»emy zupeªnie wykluczy,»e algorytm probabilistyczny, dla danego f(x), wylosuje wªa±nie x; mo»emy jednak wymaga, by prawdopodobie«stwo takiego zdarzenia byªo maªe. Funkcja f : {0, 1} {0, 1} jest jednokierunkowa (ang. one way), je±li speªnia nast puj ce warunki. 1. f jest obliczalna przez deterministyczny algorytm wielomianowy.. Dla ka»dego probabilistycznego algorytmu wielomianowego A, prawdopodobie«- stwo Pr ( A(f(U n ), 1 n ) f 1 (f(u n )) ) (1) jest zaniedbywalne, gdzie U n oznacza zmienn losow przyjmuj c warto±ci w {0, 1} n z rozkªadem jednostajnym. Przypomnijmy,»e funkcj w : N R + uwa»amy za zaniedbywaln, je±li, dla ka»dego wielomianu p(n) dla prawie wszystkich n. w(n) 1 p(n), W silniejszym wariancie denicji, warunek zast puje si przez. Dla ka»dego niejednorodnego algorytmu D(., c n ), prawdopodobie«stwo Pr ( D(f(U n ), 1 n, c n ) f 1 (f(u n )) ) () jest zaniedbywalne. Mo»na wykaza,»e warunek implikuje warunek, tzn. je±li funkcja jednokierunkowa jest odporna na ataki niejednorodne, to tym bardziej jest odporna na ataki probabilistyczne. 1

Uwaga W powy»szej denicji, algorytm A (podobnie algorytm D) przyjmuje jako wej- ±cie (input) par sªów, przy czym interesuje nas sytuacja, gdy pierwsz wspóªrz dn jest f(x), dla pewnego x {0, 1} n, podczas gdy druga, 1 n, niejako podpowiada algorytmowi, jakiej dªugo±ci ma by poszukiwany argument x. Warunek ten jest dodany ze wzgl dow technicznych,»eby unikn sytuacji, gdy trudno± odwrócenia f(x) wynika jedynie z faktu,»e f(x) jest o wiele krótsze od x. Nietrudno jest zauwa»y,»e jesli P = NP, to funkcje jednokierunkowe nie istniej (implikcja przeciwna nie jest znana), nic wi c dziwnego, ze o»adnej funkcji nie udowodniono jeszcze, ze jest jednokierunkowa. Istnieje jednak wiele naturalnych kandydatek, w szczególno±ci przypuszcza si,»e funkcja mno»enia m, n m n (gdzie wszystkie liczby s dane w postaci binarnej) jest jednokierunkowa. Cz sto podawany jest przykªad pot gowania modulo liczba pierwsza: p, g, x g x mod p gdzie p jest liczb pierwsz, a g jest generatorem grupy multiplikatywnej Z p. Funkcja odwrotna nosi wtedy nazwe logarytmu dyskretnego. W denicji tej jest ukryty pewien problem. Je±li powy»sza funkcja ma by efektywnie obliczalna, to powinni±my móc najpierw stwierdzi,»e p i g rzeczywi±cie speªniaj zaªo»enie pocz tkowe, tzn. g jest generatorem grupy Z p. W tym miejscu przydaj si krótkie certykaty pierwszo±ci, o jakich byªa mowa na Wykªadzie (str. 45). Wªa±ciwa, peªna denicja pot gowania powinna wi c raczej brzmie p, g, C(p, g), x g x mod p gdzie C(p, g) jest certykatem faktu,»e p jest pierwsza, a g jest generatorem grupy multiplikatywnej Z p. Ten ostatni warunek mo»na ju» sprawdzi w czasie wielomianowym, je»eli nie jest speªniony algorytm sygnalizuje bª d. Bezpiecze«stwo kryptograi aysmetrycznej opiera sie na hipotezie jednokierunkowo±ci odpowiednich funkcji, np. bezpiecze«stwo systemu RSA zakªada,»e jednokierunkowa jest funkcja RSA : p 1, g 1, C(p 1, g 1 ), p, g, C(p, g ), m, e p 1 p, e, m e mod (p 1 p ). Funkcje skrótu Szyfrowanie przy pomocy systemu asymetrycznego (jak np. RSA) jest dosy kosztowne obliczeniowo i dlatego u»ywa si go przede wszystkim do szyfrowania krótkich kluczy sesyjnych. Nieco inaczej jest, gdy chcemy u»y systemu asymetrycznego do podpisu elektronicznego, poniewa» wiadomo±ci zwykle s dªugie, a ta metoda wymaga, by podpis byª tak dªugi jak wiadomo± (zupeªnie inaczej ni» przy podpisie r cznym). Remedium na to stanowi tzw. funkcje skrótu, dzi ki którym podpisuje si tylko skrót wiadomo±ci. Poni»ej podamy ogólne wªasno±ci, jakie powinna speªnia funkcja skrótu oraz hipotetyczny przykªad takiej funkcji 1. 1 W»argonie informatycznym funkcje skrótu okre±la si cz sto jako funkcje haszuj ce (z ang. hashing function).

Funkcja h : {0, 1} {0, 1} (a wi c przekstzaªcaj ca ci gi bitów w ci gi bitów) jest funkcj skrótu, je±li speªnia nast pu ce warunki. 1. Dla ka»dego x {0, 1}. h(x) < x. Zazwyczaj chcieliby±my, by h(x) byªo znacznie krótsze od x.. Funkcja h jest jednokierunkowa, czyli szybko obliczalna, ale trudno odwracalna (por. str. 1). 3. Znalezienie tzw. kolizji, tzn. pary x 1 x takiej,»e h(x 1 ) = h(x ) jest obliczeniowo trudne. Ostatni punkt powy»szej denicji mo»na by usci±li» daj c, by dla dowolnego algorytmu probabilistycznego 1 n x 1, x, x 1 = x = n, prawdopodobie«stwo wygenerowania kolizji byªo zaniedbywalne. (Zauwa»my,»e nie mo-»emy tego wymaga od algorytmu niejednorodnego dlaczego?) W istocie takie» danie jest daleko za sªabe w praktyce potrzebujemy bowiem unikania kolizji przy takim rozmiarze danych, na jakim wªa±nie operujemy, a nie asymptotycznie, dla dostatecznie du»ych n. Dlatego funkcje skrótu konstruuje si raczej dla ciagów o konkretnej dªugo±ci na zasadzie prób i bª dów, ni»eli przez znajdowanie algorytmów ogólnych, które miaªyby po» dan wªasnos teoretycznie dla ka»dych danych. Wyj tkiem jest funkcja oparta na algorytmie dyskretnym, któr omówimy w dalszym ci gu wykªadu. Na razie jednak zajmiemy si funkcj h ograniczon do ci gów ustalonej dªugo±ci n, dla której wyniki maj zawsze t sam dªugo± l(n) < n, h : {0, 1} n {0, 1} l(n) Oczywi±cie, nie mo»emy skraca za bardzo. Je±li funkcja l(n) zejdzie poni»ej pewnego progu, to generujac losowo ci gi x 1, x, x 3,..., bez korzystania z jakichkolwiek wªasno±ci funkcji h, dos ªatwo znajdziemy kolizj (tzn. h(x i ) = h(x j ), przy x i x j ). Wynika to z wªasnosci prawdopodobie«stwa znanej jako paradoks urodzinowy (birthday paradox ). Ogólnie chodzi o to,»e je±li elementy jakiego± zbioru pokolorujemy K kolorami tak,»e ka»dy kolor wyst puje tak samo cz sto, to dla losowo wybranych M < K elementów prawdopodobie«stwo,»e ka»dy b dzie innego koloru jest ( ) K M! M K M co pozwala oszacowa prawdopodobie«stwo zdarzenia przeciwnego, czyli kolizji. (Oblicza si w szczególnosci,»e prawdopodobie«stwo,»e wsród N osób dwie urodziªy si w tym samym dniu roku jest 1, ju» dla niewielkich N, mianowicie N 3; stad nazwa.) 3

Tzw. ataku urodzinowy polega po prostu na losowym generowaniu ciagów x 1, x, x 3,..., w celu znalezienia kolizji. Zastosowanie powy»szej nierówno±ci do analizy ataku urodzinowego wymaga pewnych zaªo»e«o funkcji h, ale ogólnie jest dos dobrym przybli»eniem. Jednak dla rozs dnej warto±ci l(n), atak urodzinowy nie jest gro¹ny, co potwierdza nast pujacy Lemat Przypu± my,»e funkcja h jest regularna, tzn. h 1 (x) = h 1 (y), dla ka»dych x, y. Niech 3 l(n) < n. Zaªó»my dalej,»e wybieramy losowo M 1,..., M t {0, 1} n, gdzie t l(n) 4. Wtedy Pr( kolizja ) 1 l(n) +1 Dowód Prawdopodobie«stwo,»e x zyskuje konkretny kolor v {0, 1} l(n) (tzn. h(x) = v) jest, z zaªo»enia o regularno±ci, l(n). A zatem prawdopodobie«stwo p i,»e M i ma ten sam kolor co które± M 1,..., M i 1, jest St d dalej p i i 1 l(n) Pr( kolizja ) t p i i=1 t l(n) l(n)+1 t(t 1) l(n)+1 < l(n)+1 = 1 l(n) Uwaga Powy»szy lemat wskazuje pewien tradeo pomi dzy dªugo±ci skrótu, a czasem oczekiwania na kolizj. Je±li np. l(n) = 1 n, a t = t(n) = 64 n4, to ªatwo sprawdzi,»e nierówno± n 4 n 4 64 zachodzi pocz wszy od n 13 i wtedy równie» Pr( kolizja ) 1 n 4 Przykªad Przedstawimy teraz hipotetyczn funkcj skrótu opart na logarytmie dyskretnym. Niech p b dzie liczb pierwsz tak,»e p = q + 1, gdzie q te» jest pierwsze (np. p = 7, 3, 59,...). Niech g b dzie generatorem Z p i niech b {1,..., p 1}. Ci gi, które zamierzamy skraca (haszowa ) b d postaci x, y, gdzie x, y {0, 1,..., q 1}, oczywi±cie dane w postaci binarnej. Okre±lamy h : {0, 1,..., q 1} {1,..., p 1} x, y g x b y mod p 4

Zauwa»my,»e h(x, y) 1 ( x + y ) + 1 czyli nasza funkcja skraca mniej wiecej o poªow. Wyka»emy,»e znalezienie kolizji dla tej funkcji implikowaªoby znalezienie logarytmu dyskretnego z b, tzn. takiej liczby t,»e g t = b mod p. Przypu± my,»e para x 1, y 1, x, y, tworzy kolizj, tzn. czyli g x 1 b y 1 = g x b y mod p g x 1 x = b y y 1 mod p Je±li teraz t jest logarytmem dyskretnym z b, to a zatem t speªnia równanie g x 1 x = g t (y y 1 ) mod p x 1 x = t (y y 1 ) mod p 1 (3) (pami tamy,»e g p 1 = 1 mod p). A zatem,»eby znale¹ logartym dyskretny z b, wystarczy rozwi za to ostatnie równanie. Rozwi zanie na pewno istnieje (jest nim w szczególno±ci poszukiwany logarytm dyskretny), ale w ogólno±ci mo»e ich by wiecej. Z pomoc przyjdzie nam fakt,»e p 1 = q, gdzie q jest pierwsze. W przypadku, gdy ponadto y y 1 jest wzgl dnie pierwsze z q, to rozwi zanie mo»e by oczywiscie tylko jedno (bo warto±ci t (y y 1 ) mod p 1 s ró»ne dla t = 0, 1,..., p ). Je±li jednak y y 1 i q maj wspólny nietrywialny dzielnik, to nie mo»e by nim q (bo y 1, y {0, 1,..., q 1}), a zatem jest to. Wtedy, skoro (x 1 x ) t (y y 1 ) i y y 1, to równie» x 1 x. Równanie x 1 x = t y y 1 mod ma dokªadnie jedno rozwi zanie, powiedzmy t, mamy wi c Wtedy tak»e oraz q x 1 x t y y 1 q (x 1 x ) t (y y 1 ) q (x 1 x ) (t + q) (y y 1 ) a zatem t lub t + q musi by naszym poszukiwanym logarytmem dyskretnym. (Wi cej rozwi za«równanie (3) ju» nie ma, bo musz si one ró»ni o wielokrotnos q.) 5

Przedstawiona funkcja ma jednak powa»n wad : jest do± wolno obliczalna pami tamy,»e pot gowanie modulo ma zªo»ono± O(n 3 ) (por. Wykªad 1). W praktyce stosowane s przede wszystkim dwa standardy: MD5 (od Message Digest) i SHA-1 (od Secure Hash Algorithm), które skracaj ci gi 51-bitowe do 18 i 160-bitowych, odpowiednio i oparte s na heurystycznie znalezionych zasadach. Przyst pne wprowadzenie do problematyki praktycznie dziaªaj cych funkcji skrótu mo»na znale¹ w najnowszym numerze Delty [1]. Dokªadniejsze przedstawienie SHA-1 mo»na te» znale¹ w []. Literatura [1] Michaª Adamaszek, Stanisªaw Radziszowski, W poszukiwaniu funkcji skrótu, Delta 5 (408), maj 008. []. Johannes A. Buchmann, Introduction to Cryptography, Springer Verlag, New York, 004. Wydanie polskie: Wprowadzenie do kryptograi, PWN, Warszawa 006. [3] Douglas R. Stinson, Cryptography. Theory and practice, CRC Press LLC, 1995. Wydanie polskie: Kryptograa. W teorii i w praktyce, WNT, Warszawa 005. [4] Jaohn Talbot and Dominic Welsh, Complexity and Cryptography, Cambridge University Press, 006. Damian Niwi«ski, w maju 008. 6

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres