НОУ ИНТУИТ | Математика криптографии и теория шифрования. Лекция 13: Квадратичное сравнение

Учитесь и получайте официальные документы БЕСПЛАТНО. Вы можете поддержать наш проект.

Регистрация Вход

Твой путь к знаниям!

Опубликован: 19.01.2010 | Уровень: специалист | Доступ: платный

|

Вам нравится? Нравится 71 студенту

| Поделиться |

Поддержать программу

Аннотация: Линейное сравнение уже рассматривалось в лекции 2, а китайская теорема об остатках была обсуждена в предыдущей секции. Для решения задач криптографии мы также должны уметь решать квадратичное сравнение, имеющее следующую форму a2x2 + a1x + a0 = 0 (mod n).

Ключевые слова: разрешимость, разделы, криптографическая система, RSA, дешифрование, битовые операции, Числа Эйлера, теорема Эйлера, первообразная, дискретный логарифм, составной объект, теорема Ферма, делимое, CRT, решето Эратосфена, Числа Мерсенна, Числа Ферма

Мы ограничим наше обсуждение только квадратичными уравнениями, в которых a₂ = 1 и a₁ = 0. Тогда рассмотрение будет касаться уравнений следующей формы:

${x^2} \equiv a{\text{ }}({\text{mod }}n).$

Квадратичное сравнение с модулем в виде простого числа

Мы сначала рассматриваем случай, в котором модуль является простым числом. Другими словами, мы хотим найти решения уравнения формы ${x^2} \equiv ({\text{mod }}p)$ , в котором p является простым числом и a — целое число, такое, что p и a — взаимно простые. Может быть доказано, что этот тип уравнения либо не имеет никакого решения, либо имеет только два неконгруэнтных решения.

Пример 13.1

Уравнение ${x^2} \equiv 3{\text{ }}({\text{mod }}11)$ имеет два решения: $x \equiv 5{\text{ }}({\text{mod 11}})$ и $x \equiv -5{\text{ }}({\text{mod 11}})$ . Но заметим, что $-5 \equiv 6{\text{ }}({\text{mod 11}})$ , так что фактически эти два решения 5 и 6. Также обратите внимание, что эти два решения неконгруэнтны (несравнимы).

Пример 13.2

Уравнение ${x^2} \equiv 2{\text{ }}({\text{mod }}11)$ не имеет решения. Не может быть найдено ни одного целого числа x, такого, что квадрат равен 2 mod 11.

Квадратичные вычеты и невычет

В уравнении ${x^2} \equiv a{\text{ }}({\text{mod }}p)$ . a называется квадратичным вычетом (QR), если уравнение имеет два решения; a называется квадратичным невычетом (QNR), если уравнение не имеет решений. Может быть доказано, что в Z_P* с p – 1 элементами (p – 1)/2 элементов — квадратичные вычеты и (p – 1)/2 являются квадратичными невычетами.

Пример 13.3

Есть 10 элементов в Z_11*. Пять из них – квадратичные вычеты, и пять — невычеты. Другими словами, Z_11* может быть разделен на два отдельных множества, QR и QNR, как это показано на рис. 13.1.

Критерий Эйлера

Как мы можем проверить, является ли целое число QR по модулю p? Критерий Эйлера дает признаки:

a. Если ${a^{(p - 1)/2}} \equiv 1(\bmod p)$ — квадратичный вычет по модулю p.

b. Если ${a^{(p - 1)/2}} \equiv -1(\bmod p)$ — квадратичный невычет по модулю p.

Рис. 13.1. Разделение Z11* на QR и QNR

Пример 13.4

Для того чтобы узнать, является ли 14 или 16 QR в Z_11*, сделаем следующие вычисления:

14^(23-1)/2 mod 23	14¹¹ mod 23	->  22 mod 23 -> –1 mod 23  невычет
16^(23-1)/2 mod 23	16¹¹ mod 23  ->   1 mod 23	  	     вычет

Решение квадратичного сравнения с модулем в виде простого числа

Хотя критерий Эйлера позволяет нам определить, является ли целое число a QR или QNR в Z_p*, он не может найти решение ${x^2} \equiv ({\text{mod }}p)$ . Чтобы найти решение этого квадратного уравнения, мы заметим, что простое число может быть представлено либо как p = 4k + 1, либо как p = 4 к + 3, в котором k является положительным целым числом. Решение квадратного уравнения — очень сложное в первом случае и более простое во втором. Мы обсудим только второй случай, который мы будем использовать в лекциях 14-15, когда будем рассматривать криптографическую систему Рабина.

Специальный случай: p = 4 К + 3, если p находится в форме 4 К + 3 (то есть p = 3 mod 4 ) и a есть QR в Z_p*, то

$x \equiv a^{(p+1)/4}(mod \ p) и x \equiv -a^{(p+1)/4}(mod \ p)$

Пример 13.5

Решите следующие квадратные уравнения:

a. ${x^2} \equiv 3{\text{ }}({\text{mod }}23)$

b. ${x^2} \equiv 2{\text{ }}({\text{mod }}11)$

c. ${x^2} \equiv 7{\text{ }}({\text{mod }}19)$

Решения

a. В первом уравнении 3 - QR в Z₂₃, решение - $x \equiv \pm 16\left( {\bmod {\text{ }}23} \right)$ . Другими словами, $\sqrt 3 \equiv \pm 16(\bmod 23)$ .

b.Во втором уравнении 2 - QNR в Z₁₁. Нет решения для $\sqrt 2$ в Z₁₁.

c. В третьем уравнении 7 - QR в Z₁₉, решение - $x \equiv \pm 11\left( {\bmod {\text{ 19}}} \right)$ . Другими словами $\sqrt 7 \equiv \pm 11\left( {\bmod {\text{ 19}}} \right)$ .

Квадратичное сравнение по составному модулю

Квадратичное сравнение по составному модулю может быть приведено к решению системы сравнений по модулю в виде простого числа. Другими словами, мы можем анализировать ${x^2} \equiv a(\bmod n)$ , если имеем разложение n на множители. Теперь мы можем решить каждое анализируемое уравнение (если оно разрешимо) и найти k пар ответов для x, как показано на рис. 13.2.

Рис. 13.2. Декомпозиция сравнения по составному модулю

Из k пар ответов мы можем составить 2 системы уравнений, которые могут быть решены с использованием китайской теоремы об остатках, чтобы найти 2 значения для x. В криптографии обычно n выбирают так, чтобы $n = p \times q$ , — это означает k = 2, и мы имеем в целом только четыре ответа.

Пример 13.6

Предположим, что ${x^2} \equiv 36\left( {\bmod 77} \right)$ . Мы знаем, что $77 = 7 \times 11$ . Мы можем написать

$x^{2} = 36 (mod \ 7) \equiv 1 (mod \ 7) и x^{2} \equiv 36 (mod \ 11)$

Обратите внимание, что мы выбрали 3 и 7, чтобы иметь форму 4k + 3 — так, чтобы мы могли решить уравнения, основываясь на предыдущих рассуждениях. Из этих уравнений мы имеем квадратичные вычеты в собственном множестве. Ответы $x \equiv +1\left( {\bmod {\text{ }}7} \right)$ , $x \equiv -1\left( {\bmod {\text{ }}7} \right)$ , $x \equiv +5\left( {\bmod {\text{ }}11} \right)$ и $x \equiv -5\left( {\bmod {\text{ }}11} \right)$ . Теперь мы можем из них составить четыре системы уравнений:

$\tt\parindent0pt Система 1: $x \equiv +1(mod\ 7)$ $x \equiv +5(mod\ 11)$ Система 2: $x \equiv +1(mod\ 7)$ $x \equiv –5(mod\ 11)$ Система 3: $x \equiv –1(mod\ 7)$ $x \equiv +5(mod\ 11)$ Система 4: $x \equiv –1(mod\ 7)$ $x \equiv –5(mod\ 11)$$

Ответы : $x = \pm 6$ и $\pm 27$ .

Сложность

Как сложно решить квадратичное сравнение по составному модулю? Главная задача — это разложение модуля на множители. Другими словами, сложность решения квадратичного сравнения по составному модулю — такая же, как и разложения на множители составного целого числа. Как мы видели раньше, если n очень большое, то разложение на множители неосуществимо.

Сложность решения квадратичного сравнения по составному модулю имеет ту же сложность, что и разложение модуля на множители.

Дальше >>

Информационная безопасность

Математика криптографии и теория шифрования