CÁc hệ MẬt khoá CÔng khai kháC

tải về 269.78 Kb.

Chuyển đổi dữ liệu	13.08.2016
Kích	269.78 Kb.
	#17951

CHƯƠNG 5

CÁC HỆ MẬT KHOÁ CÔNG KHAI KHÁC

Trong chương này ta sẽ xem xét một số hệ mật khoá công khai khác. Hệ mật Elgamal dựa trên bài toán logarithm rời rạc là bài toán được dùng nhiều trong nhiều thủ tục mật mã. Bởi vậy ta sẽ dành nhiều thời gian để thảo luận về bài toán quan trọng này. ở các phần sau sẽ xem xét sơ lược một số hệ mật khoá công khai quan trọng khác bao gồm các hệ thoóng loại Elgamal dựa trên các trường hữu hạn và các đường cong elliptic, hệ mật xếp ba lô Merkle-Helman và hệ mật McElice.

HỆ MẬT ELGAMAL VÀ CÁC LOGARITHM RỜI RẠC.

Hệ mật Elgamal được xây dựng trên bài toán logảithm rời rạc . Chúng ta sẽ bắt đầu băng việc mô tả bài toán bài khi thiết lập môi trường hữu hạn Z_p, p là số nguyên tố ( hình 5.1) ( Nhớ lại rằng nhóm nhân Z_p^* là nhóm cyclic và phần tử sinh của Z_p^* được gọi là phần tử nguyên thuỷ).

Bài toán logarithm rời rạc trong Zp là đối tượng trong nhiều công trình nghiên cứu và được xem là bài toán khó nếu p được chọn cẩn thận. Cụ thể không có một thuật toán thời gian đa thức nào cho bài toán logarithm rời rạc. Để gây khó khăn cho các phương pháp tấn công đã biết p phải có ít nhất 150 chữ số và (p-1) phải có ít nhất một thừa số nguyên tố lớn. Lợi thế của bài toán logarithm rời rạc trong xây dượng hệ mật là khó tìm được các logarithm rời rạc ,song bài toán ngược lấy luỹ thừa lại có thể tính toán hiệu quả theo thuật toán "bình phương và nhân". Nói cách khác , luỹ thừa theo modulo p là hàm một chiều với các số nguyên tố p thích hợp.
Elgamal đã phát triển một hệ mật khoá công khai dựa trên bài toán logarithm rời rạc. Hệ thống này được trình bày trên hình 5.2.
Hệ mật này là một hệ không tất định vì bản mã phụ thuộc vào cả bản rõ x lẫn giá trị ngẫu nhiên k do Alice chọn. Bởi vậy, sẽ có nhiều bản mã được mã từ cùng bản rõ.

Hình 2.6 Bài toán logarithm rời rạc trong Zp

Đặc trương của bài toán: I = (p,,) trong đó p là số nguyên tố,

  Zp là phần tử nguyên thuỷ ,   Zp^*

Mục tiêu:Hãy tìm một số nguyên duy nhất a, 0  a  p-2 sao cho:

^a   (mod p)

Ta sẽ xác định số nguyên a bằng log 

Hình 2.7 Hệ mật khoá công khai Elgamal trong Zp^*

Cho p là số nguyên tố sao cho bài toán logarithm rời rạc trong Zp là khó giải. Cho   Zp^* là phần tử nguyên thuỷ.Giả sử P = Zp^* ,

C = Zp^*  Zp^* . Ta định nghĩa:

K = {(p, ,a,):   ^a (mod p)}

Các giá trị p, , được công khai, còn a giữ kín

Với K = (p, ,a,) và một số ngẫu nhiên bí mật k  Zp-1, ta xác định:

e_k (x,k) = (y₁ ,y₂ )

trong đó

y₁ = ^k mod p

y₂ = x^k mod p

với y₁ ,y₂ Zp^* ta xác định:

d_k(y₁ ,y₂ ) = y₂ (y₁^a )^-1 mod p

Sau đây sẽ nmô tả sơ lược cách làm việc của hệ mật Elgamal .Bản rõ x được "che dấu" bằng cách nhân nó với ^kđể tạo y_{2 .}Giá trị ^k cũng được gửi đi như một phần của bản mã. Bob -người biết số mũ bí mật a có thể tính được ^k từ ^k . Sau đó anh ta sẽ "tháo mặt nạ" bằng cách chia y₂ cho ^kđể thu được x.

Ví dụ 5.1

Cho p = 2579,  = 2, a = 765. Khi đó

 = 2⁷⁶⁵ mod 2579 = 949

Bây giờ ta giả sử Alice muốn gửi thông báo x = 1299 tới Bob. Giả sử số ngẫu nhiên k mà cô chọn là k = 853. Sau đó cô ta tính

y₁ = 2⁸⁵³ mod 2579

= 435

y2 = 1299  949853 mod 2579

= 2396
Khi đó Bob thu được bản mã y = (435,2396), anh ta tính

x = 2396  (435⁷⁶⁵)^-1 mod 2579

= 1299
Đó chính là bản rõ mà Alice đã mã hoá.

Các thuật toán cho bài toán logarithm rời rạc.

Trong phần này ta xem rằng p là số nguyên tố,  là phần tử nguyên thuỷ theo modulo p. Ta thấy rằng p và  là các số cố định. Khi đó bài toán logarithm rời rạc có thể được phát biểu dưới dạng sau: tìm một số mũ a duy nhất, 0  a  p-2 sao cho ^a  (mod p), với   Z_p^* cho trước.
Rõ ràng là bài toán logarithm rời rạc (DL) có thể giải bằng một phép tìm kiếm vét cạn với thời gian cỡ O(p) và không gian cỡ O(1) ( bỏ qua các thừa số logarithm). Bằng cách tính toán tất cả các giá trị ^a có thể và sắp xếp các cặp có thứ tự (a, ^a mod p) có lưu ý đến các tạo độ thứ hai của chúng, ta có thể giải bài toán DL với thời gian cỡ O(1) bằng O(p) phép tính toán trước và O(p) bộ nhớ ( vẫn bỏ qua các thừa số logarithm). Thuật toán không tầm thường đầu tiên mà chúng ta sẽ mô tả là thuật toán tối ưu hoá thời gian - bộ nhớ của Shanks.
Thuật toán Shanks

Hình 5.3. Thuật toán Shanks cho bài toán DL.

Tính ^mj mod p, 0  j  m-1
Sắp xếp m cặp thứ tự ( j,^mj mod p) có lưu ý tới các tạo độ thứ hai

của các cặp này, ta sẽ thu được một danh sách L₁

Tính ^-i mod p, 0  i  m-1
Sắp xếp m cặp thứ tự (i, ^-i mod p) có lưu ý tới các toạ độ thứ hai của các cặp được sắp này, ta sẽ thu được một danh sách L₂
Tìm một cặp (j,y)  L₁ và một cặp (i,y)  L₂ ( tức là một cặp có tạo độ thứ hai như nhau).
Xác định log_ = mj + i mod (p-1)

Nếu cần, các bước 1 và 2 có thể tính toán trước ( tuy nhiên, điều này không ảnh hưởng tới thời gian chạy tiệm cận)
Tiếp theo cần để ý là nếu (j,y)  L₁ và (i,y)  L₂ thì

^mj = y = ^-i

Bởi vậy
^mj+i = 
như mong muốn. Ngược lại, đối với  bất kì ta có thể viết
log_ = mj+i
trong đó 0  j,i  m-1. Vì thế phép tìm kiếm ở bước 5 chắc chắn thành công.
Có thể áp dụng thuật toán này chạy với thời gian O(m) và với bộ nhớ cỡ O(m) ( bỏ qua các thừa số logarithm). Chú ý là bước 5 có thể thực hiện một cách ( đồng thời ) qua từng danh sách L₁ và L₂.
Sau đây là một ví dụ nhỏ để minh hoạ.

Ví dụ 5.2.

Giả sử p = 809 và ta phải tìm log₃525. Ta có  = 3,  = 525 và m = 808 = 29. Khi đó:
²⁹ mod 809 = 99
Trước tiên tính các cặp được sắp (j,99^j mod 809) với 0  j28. Ta nhận được danh sách sau:
(0,1) (1,99) (2,93) (3,308) (4,559)

(5,329) (6,211) (7,664) (8,207) (9,268)

(10,644) (11,654) (12,26) (13,147) (14,800)

(15,727) (16,781) (17,464) (18,314) (19,275)

(20,582) (21,496) (22,564) (23,15) (24,676)

(25,586) (26,575) (27,295) (28,81)

Danh sách này sẽ được sắp xếp để tạo L₁.
Danh sách thứ hai chứa các cặp được sắp (i,525(3ⁱ)^-1 mod 809), với 0  i  28. Danh sách này gồm:
(0,525) (1,175) (2,328) (3,379) (4,396)

(5,132) (6,44) (7,554) (8,724) (9,511)

(10,440) (11,686) (12,768) (13,256) (14,,355)

(15,388) (16,399) (17,133) (18,314) (19,644)

(20,754) (21,496) (22,564) (23,15) (24,676)

(25,356) (26,658) (27,489) (28,163)

Sau khi sắp xếp danh sách này, ta có L₂ .

Bây giờ nếu xử lý đồng thời qua cả hai danh sách, ta sẽ tìm được ( 10,644) trong L₁ và (19,644) trong L₂. Bây giờ ta có thể tính

log₃525 = 2910+19

= 309
Có thể kiểm tra thấy rằng quả thực 3³⁰⁹  525 (mod 809).

Thuật toán Pohlig - Hellman.

Thuật toán tiếp theo mà ta nghiên cứu là thuật toán Pohlig - Hellman. Giả sử

p_i là số nguyên tố đặc biệt. Giá trị a = log_ được xác định một cách duy nhất theo modulo p-1. Trước hết nhận xét rằng, nếu có thể tính a mod p_i^cⁱ với mỗi i, 1  i  k, thì có thể tính a mod (p-1) theo định lý phần dư China. Để thực hiện diều đó ta giả sử rằng q là số nguyên tố.

p
-1  0 (mod q^c)

Ta sẽ chỉ ra cách tính giá trị

x = a mod q^c

0
 x  q^c-1. Ta có thể biểu diễn x theo cơ số q như sau:

trong đó 0  a_i  q-1 với 0  i  c-1. Cũng có thể biểu diễn như sau:

a = x + q^cs

với s là một số nguyên nào đó.
Bước đầu tiên của thuật toán tính a₀. Kết quả chính ở đây là:
^(p-1)/q  ^(p-1)a0/q(mod p)
Đ

ể thấy rõ điều đó cần chú ý rằng:
Điều này đủ để cho thấy:

K

ết quả này đúng khi và chỉ khi:

Tuy nhiên

Đó chính là điều cần chứng minh.

Do đó ta sẽ bắt đầu bằng việc tính ^(p-1)/q mod p. Nếu
^(p-1)/q  1 (mod p)
thì a₀=0. Ngược lại chúng ta sẽ tính liên tiếp các giá trị:
 = ^(p-1)/q mod p, ² mod p,. . .,

cho tới ⁱ  ^(p-1)/q (mod p).

với một giá trị i nào đó. Khi điều này xảy ra ta có a₀ =i.
Bây giờ nếu c = 1 thì ta đã thực hiện xong. Ngược lại, nếu c > 1 thì phải tiếp tục xác định a₁. Để làm điều đó ta phải xác định
₁ =  ^-a^o

và kí hiệu

x₁ = log_₁ mod q^c

D
ễ dàng thấy rằng

ì thế dẫn đến

Như vậy ta sẽ tính ₁^(p-1)/^q² mod p và rồi tìm i sao cho

K
hi đó a₁ = i.
Nếu c =2 thì công việc kết thúc; nếu không, phải lặp lại công việc này c-2 lần nữa để tìm a₂,. . .,a_c-1.
Hình 5.4 là mô tả giải mã của thuật toán Pohlig - Hellman. Trong thuật toán này,  là phần tử nguyên thuỷ theo modulo p, q là số nguyên tố .

p-1  0 (mod q^c)

v
à

Thuật toán tính các giá trị a₀, . . ., a_c-1 trong đó

log mod qc

H
ình 5.4. Thuật toán Pohlig - Hellman để tính log_ mod q^c.

Tính  = ^(p-1)/q mod p với 0  i  q-1

Đặt j = 0 và _j = 

While j  c-1 do

Tính  = _j^(p-1)/^q^j+1 mod p

Tìm i sao cho  = _i

a_j = i

_j+1 = _j ^-a^j^q^j mod p

j = j +1

Chúng ta minh hoạ thuật toán Pohlig - Hellman (P - H) qua một ví dụ nhỏ.

Ví dụ 5.3

Giả sử p=29; khi đó

n = p-1 = 28 = 2².7¹

Giả sử  = 2 và  = 18. Ta phải xác định a = log₂18. Trước tiên tính a mod 4 rồi tính a mod 7.

Ta sẽ bắt đầu bằng việc đặt q = 2, c = 2. Trước hết

₀ = 1

và ₁ = ^28/2 mod 29

= 2¹⁴ mod 29

= 28

 = ^28/2 mod 29

= 18¹⁴ mod 29

= 28

Vì a₀ = 1. Tiếp theo ta tính:

₁ = ₀^-1 mod 29

= 9

và

₁^28/4 mod 29 = 9⁷ mod 29

= 28

Vì

₁  28 mod 29

Ta có a₁ = 1. Bởi vậy a  3 ( mod 4).

Tiếp theo đặt q = 7 và c = 1, ta có

^28/7 mod 29 = 18⁴ mod 29

= 25

và ₁ = ^28/7 mod 29

= 2⁴ mod 29

= 16.

Sau đó tính: ₂ = 24

₃ = 7

₄ = 25

Bởi vậy a₀ = 4 và a  4 ( mod 7)

Cuối cùng giải hệ phương trình

a  3 ( mod 4)

a  4 ( mod 7)

bằng định lý phần dư China, ta nhận được a  11( mod 28). Điều này có nghĩa là đã tính được log₂18 trong Z₂₉ là 11.

Phương pháp tính toán chỉ số.

Phương pháp tính chỉ số khá giống với nhiều thuật toán phân tích thừa số tốt nhất. Trong phần này sẽ xét tóm tắt về phương pháp. Phương pháp này chỉ dùng một cơ sở nhân tử là tập B chứa các số nguyên tố nhỏ. Giả sử B = {p₁,p₂,. . ., p_B}. Bước đầu tiên ( bước tiền xử lý) là tìm các logarithm của B số nguyên tố trong cơ sở nhân tử. Bước thứ hai là tính các logarithm rời rạc của phần tử  bằng cách dùng các hiểu biết về các log của các phần tử trong cơ sở.

Trong quá trình tiền xử lý, ta sẽ xây dựng C = B +10 đồng dư thức theo modulo p như sau:
^x^j  p₁^a^1jp2^a^2j. . . p_B^a^Bj(mod p)

1  j  C. Cần để ý rằng, các đồng dư này có thể viết tương đương như sau:

x_j  a_1jlog_p₁+ . . . + a_Bjlog_p_B (mod p-1)

1  j  C. C đồng dư thức được cho theo B giá trị log_p_i (1  i  B) chưa biết. Ta hy vọng rằng, có một nghiệm duy nhất theo modulo p-1. Nếu đúng như vậy thì có thể tính các logarithm của các phần tử theo cơ sở nhân tử.

Làm thế nào để tạo các đồng dư thức có dạng mong muốn?. Một phương pháp sơ đẳng là chọn một số ngẫu nhiên x, tính ^x mod p và xác định xem liệu ^x mod p có tất cả các thừa số của nó trong B hay không. (Ví dụ bằng cách chia thử).
Bây giờ giả sử rằng đã thực hiện xong bước tiên tính toán, ta sẽ tính giá trị mong muốn log_ bằng thuật toán xác suất kiểu Las Vegas. Chọn một số ngẫu nhiên s ( 1  s  p-2) và tính :

 =  ^s mod p

Bây giờ thử phân tích  theo cơ sở B. Nếu làm được điều này thì ta tính được đồng dư thức dạng:

^s = p₁^c¹p₂^c². . . p_B^c^B (mod p)

Điều đó tương đương với

log_ + s  c₁log_p₁+ . . . + c_Blog_p_B ( mod p-1)

Vì mọi giá trị đều đả biết trừ giá trị log_ nên có thể dễ dàng tìm được log_.
Sau đây là một ví dụ minh hoạ 2 bước của thuật toán.
Ví dụ 5.4.

Giả sử p =10007 và  = 5 là một phần tử nguyên thuỷ được dùnglàm cơ sở của các logarithm theo modulo p. Giả sử lấy B = {2, 3, 5, 7} làm cơ sở. Hiển nhiên là log₅5 = 1 nên chỉ có 3 giá trị log của các phần tử trong cơ sở cần phải xác định. Để làm ví dụ, chọn một vài số mũ "may mắn" sau: 4063, 5136 và 985.

Với x = 4063, ta tính

5⁴⁰⁶³ mod 10007 = 237

ứng với đồng dư thức
log₅2 + log₅3 + log₅7  4063 ( mod 10006).

Tương tự, vì

5⁵¹³⁶ mod 10007 = 54 = 23³

và 5⁹⁸⁶⁵ mod 10007 = 189 = 3³7

ta tìm được hai đồng dư thức nữa:
log₅2 + 3log₅3  5136 ( mod 10006)

3log₅3 + log₅7  9865 ( mod 10006)

Bây giờ ta có 3 đồng dư thức theo 3 giá trị log chưa biết. Giải các phương trình đồng dư này, ta có log₅2 = 6578, log₅3 = 6190, log₅7 = 1301.
Bây giờ giả sử ta cần tìm log₅9451, ta chọn số mũ "ngẫu nhiên" s=7736 và tính:

94515⁷⁷³⁶ mod 10007 = 8400

Vì 8400 = 2⁴3¹5²7¹ các thừa số trong B nên ta nhận được:

log₅9451 = 4log₅2 + log₅3 + log₅5 + log₅7 - s mod 10006

= 46578 + 6190 + 21 + 1310 - 7736 mod 10006

= 6057.

Kiểm tra lại ta thấy rằng 5⁶⁰⁵⁷  9451 ( mod 10007).
Đ

ã có nhiều nghiên cứu phân tích mò mẫm nhiều kiểu thuật toán khác nhau. Với giả thiết hợp lý, Thời gian chạy tiệm cận của giai đoạn tiền tính toán này cỡ

và thời gian để tính một giá trị logarithm rời rạc riêng là khoảng

Hình 5.5. Bít thứ i của logarithm rời rạc.

Bản chất của bài toán: I = (p, , , i) trong đó p là số nguyên tố , Z_p^*là phần tử nguyên thuỷ,   Z_p^* và i là một số nguyên sao cho 1  i  log₂(p-1).
Mục tiêu:Tính L_i() là bít thấp nhất thứ i của log_. (với  và p cho trước)

Độ bảo mật tưng bít của các logarithm rời rạc.

Bây giờ ta xem xét vấn đề về thông tin bộ phận của các logarithm rời rạc và thử xem việc tính các bít riêng của các logarithm rời rạc là khó hay dễ. Cụ thể , xét bài toán trình bày trên hình 5.5. Bài toán này được gọi là bài toán về bít thứ i.
Trước tiên, ta sẽ chỉ ra rằng, bít thấp nhất của các logarithm rời rạc rất dễ tính toán. Nói cách khác, nếu i = 1 thì bài toán về bít thứ i có thể giải được một cách hiệu quả. Điều này rút ra từ tiêu chuẩn Euler liên quan đến thặng dư bình phương theo modulo p, với p là số nguyên tố .
Xét ánh xạ f: Z_p^* Z_p^* được định nghĩa như sau:
f(x) = x² mod p
Nếu kí hiệu QR(p) là tập các thặng dư bình phương theo modulo p thì
QR(p) = { x² mod p : x  Z_p^*}
Trước tiên ta thấy rằng, f(x) = f(p-x). Tiếp theo xét thấy:
w²  x² mod p

khi và chỉ khi p | (w-x)(w+x)

điều này sẽ xảy ra khi và chỉ khi w   x mod p. Từ đây rút ra:
| f^-1(y) | = 2
với mọi y  QR(p) và bởi vậy:
| QR(p) = (p-1)/2
Điều đó có nghĩa là có đúng một nữa các thặng dư trong Z_p^* là các thặng dư bình phương và một nữa không phải.
Bây giở giả sử rằng,  là một phần tử nguyên thuỷ của Z_p^* . Khi đó ^aQR(p) nếu a chẵn. Vì (p-1)/2 phần tử ⁰mod p, ² mod p,. . .,^p-3 mod p đều là các phần tử khác nhau nên:
QR(p) = {²ⁱ mod p: 0  i  (p-3)/2}
Bởi vậy,  là thặng dư bình phương khi và chỉ khi log_ là chẵn, tức khi và chỉ khi L₁() = 0. Tuy nhiên theo tiêu chuẩn Euler  là thặng dư bình phương khi và chỉ khi

^(p-1)/2  1 (mod p)

N
hư vậy, ta đã có công thức hữu hiệu sau để tính L₁():

Bây giờ xét việc tính L_i() với i > 1. Giả sử

p-1 = 2^st

trong đó t là số lẻ. Khi đó có thể chỉ ra rằng, dễ dàng tính được L_i() nếu 1s. Mặt khác, việc tính L_s+1() chắc chắn là khó nếu dùng thuật toán giả định bất kì cho việc tính L_s+1() để tính các logarithm rời rạc trong Z_p.

Ta sẽ chứng minh kết quả này trong trường hợp s = 1. Chính xác hơn, nếu p  3 (mod 4)là số nguyên tố thì ta sẽ chỉ ra cách sử dụng một thuật toán giả định bất kì tính L₂() để giải bài toán logarithm rời rạc trong Z_p.
Nếu  là một thặng dư bình phương trong Z_p và p  3 ( mod 4) thì ^(p+1)/2 mod p là hai giá trị căn bậc hai của modulo p. Một chú ý cũng quan trọng là với bất kì   0:

L₁()  L₁(p-).

nếu p  3 (mod 4). Ta sẽ thấy điều đó như sau. Giả sử

^a   (mod p)

thì ^a+(p-1)/2  - (mod p)

Vì p  3 (mod 4) nên số nguyên (p-1)/2 là một số lẻ. Từ đây rút ra kết quả.

Bây giờ giả sử  = ^a với số mũ chẵn a (chưa biết) nào đó. Khi đó hoặc:

^(p+1)/4  ^a/2 (mod p)

hoặc

-^(p+1)/4  ^a/2 (mod p)

Ta có thể xác định giá trị nào trong hai giá trị có thể này là đúng nếu biết giá trị L₂(), vì

L₂() = L₁(^a/2)

Điều này được khai thác trong thuật toán được mô tả trong hình 5.6.
Ở cuối thuật toán, các giá trị x_i là các bít biểu diễn nhị phân của log_, nghĩa là:

Dưới đây là một ví dụ nhỏ để minh hoạ.

Ví dụ 5.5.

Giả sử p =19,  = 2 và  = 6. Vì trong ví dụ này, các giá trị quá nhỏ nên có thể lập bảng các giá trị của L₁() và L₂() với mọi mọi giá trị Z₁₉^*.( Nói chung L₁ có thể tính được một cách hiệu quả bằng tiêu chuẩn Euler, còn L₂ được tính theo thuật toán giả định). Các giá trị này được cho trên bảng 5.1. Thuật toán được tiến hành như trên hình 5.7.

Bởi vậy, log₂6 = 1110₂ = 14, ta có thể dễ dàng kiểm tra được giá trị này.
Hình 5.6. Tính các logarithm rời rạc trong Z_p với p  3 ( mod 4) khi biết trước thuật toán giả định L₂().

x₀ = L₁()
 = /^x⁰ mod p
i =1
While   1 do
x_i = L₂()
 = ^(p+1)/4 (mod p)
if L₁() = x_i then
 = 

9. else

10.  = p -

 = /^xⁱ mod p
i = i+1

Bảng 5.1. Các giá trị của L₁ và L₂ với p =19,  = 2

	L₁()	L₂()		L₁()	L₂()		L₁()	L₂()
1	0	0	7	0	1	13	1	0
2	1	0	8	1	1	14	1	1
3	1	0	9	0	0	15	1	1
4	0	1	10	1	0	16	0	0
5	0	0	11	0	0	17	0	1
6	0	1	12	0	0	18	1	0

Có thể đưa ra một chứng minh hình thức cho tính đúng đắn của thuật toán bằng phương pháp quy nạp. Kí hiệu

V
ới i  0, ta định nghĩa:

Y_i = x/2ⁱ⁺¹
Hình 5.7 Tính log₂6 trong Z₁₉

x₀ = 0
 =6
i =1

x₁ = L₂(6) = 1
 = 5
L₁(5) = 0  x₁

10.  =14

11. i =2

12. i =2

5. x₂ = L₂(7) =1

6.  = 11

7. L₁(11) = 0  x₂

10.  =8

11.  =4

12. i = 3

5. x₃ = L₂(4) = 1

6.  =17

7. L₁(17) = 0  x₃

10.  = 2

11.  =1

12. i = 4

4. DONE

Cũng vậy ta xác định ₀ là giá trị của  ở bước 2 trong thuật toán; và với i1, ta xác định _i là giá trị của  ở bước 11 trong bước lặp thứ i của vòng While. Có thể chứng minh bằng phương pháp quy nạp rằng:

i  ^2Yⁱ (mod p)

với mọi i0. Bây giờ để ý rằng: 2Y_i = Y_i-1 - x_i

điều này kéo theo
x_i+1 = L₂(_i) , i0
Vì rằng x_i+1= L₂() nên thuật toán là đúng. Các chi tiết dành cho độc giả xem xét.

TRƯỜNG HỮU HẠN VÀ CÁC HỆ THỐNG ĐƯƠNG CONG ELLIPTIC.

Chúng ta đã dành thời gian đáng kể để xét bài toán logarithm rời rạc (DL) vào việc phân tích số. Ta sẽ còn trở lại hai bài toán này trong các loại hệ mật và các giao thức mã khác nhau. Bài toán DL đã được nghiên cứu trong trương hữu hạn Z_p, tuy nhiên việc xét bài toán này theo các thiết lập khác nhau cũng rất có ích và là chủ đề của phần này.

Hệ mật Elgamal có thể được áp dụng trong một nhóm bất kì mà bài toán DL là khó giải. Ta đã dùng nhóm nhân Z_p^* tuy nhiên các nhóm khác cũng là những ứng cử viên thích hợp. Trước hết ta phát biểu bài toán DL trong một nhóm hữu hạn nói chung G (hữu hạn) và ở đó kí hiệu phép lấy nhóm là dấu "". Dạng bài toán tổng quát hoá như vậy trình bài trên hình 5.8.
Dễ dàng xác định một hệ mật Elgamal trong nhóm con H theo cách tương tự đã mô tả trong Z_p^* và được trình bày trên hình 5.9. Chú ý rằng phép mã hoá yêu cầu dùng số nguyên k ngẫu nhiên sao cho 0  k  | H | - 1. Tuy nhiên, nếu Alice không biết cấp của nhóm con H thì cô ta có thể tạo một số nguyên k thoả mãn 0  k  | G | -1, khi đó sẽ không có bất kì sự thay đổi nào trong quá trình mã và giải mã. Cũng cần chú ý là nhóm G không phải là nhóm Aben (Tuy H vẫn là nhóm Aben vì nó là nhóm cyclic).

Hình 5.8. Bài toán logarithm rời rạc trong (G,0)

Đặc trưng của bài toán: I = (G, , ), trong đó G là một nhóm hữu hạn với phép lấy nhóm o ,   G và   H, trong đó
H = { ⁱ : i  0}
là một nhóm con sinh bởi .
Mục tiêu: Tìm một số nguyên duy nhất a sao cho 0  a  | H | -1 và

^a = , với kí hiệu ^a có nghĩa là  o . . . o  (a lần)

Ta sẽ kí hiệu số nguyên a này bằng log_

Bây giờ ta sẽ trở lại bài toán DL tổng quát hoá . Nhóm con H được sinh bởi phần tử  tuỳ ý  G dĩ nhiên phải là nhóm con cyclic cấp | H |. Bởi vậy, dạng bất kì của bài toán theo một nghĩa nào đó đều tương đương với bài toán DL trong một nhóm cyclic. Tuy nhiên, độ khó của bài toán DL dường như phụ thuộc vào cách biểu diễn nhóm được dùng.

Xét một ví dụ về cách biểu diễn mà với nó, bài toán logarithm rời rạc rất dễ giải. Xét nhóm cộng cyclic Z_n và giả sử UCLN(,n) = 1, bởi vậy  là phần tử sinh của Z_n. Vì phép toán trong nhóm là cộng theo modulo n nên phép lấy mũ sẽ là nhân với a theo modulo n. Vì thế trong cách xây dựng này, bài toán logarithm rời rạc sẽ là tìm số nguyên a sao cho.

a   (mod n)

Vì UCLN(,n) = 1 nên  có phần tử nghịch đảo nhân theo modulo n và ta có thể dễ dàng tính ^-1 mod n bằng thuật toán Euclide. Sau đó có thể giải để tìm a và nhận được

log_ =  ^-1 mod n

Hình 5.9. Hệ mật khoá công khai Elgamal tổng quát

Giả sử G là một nhóm hữu hạn có phép lấy nhóm o. Giả sử   G là một phần tử sao cho bài toán DL trong H là khó; ở đây H = {_i, i  0} là một nhóm con sinh bởi . Đặt P = G, C = GG và định nghĩa:

K = {(G, , a, ) :  = ^a}

Các giá trị ,  công khai, còn a được giữ kín.

Với K = (G, , a, ) và với một số ngẫu nhiên bí mật k  Z_|H| ta xác định:

e_K(x,k) = (y₁,y₂)

trong đó y₁ = ^k

và y₂ = (x o ^k)

Với bản mã y = (y₁,y₂) ta xác định:

d_K(y) = y₂ o (y₁^a)^-1

Ở phần trên ta đã nghiên cứu bài toán DL trong nhóm nhân Z_p^* vơi p là là số nguyên tố . Nhóm này là nhóm cyclic cấp p-1 và bởi vậy nó đẳng cấu với nhóm cộng Z_p-1. Theo thảo luận ở trên, ta đã biết cách tinh các logarithm rời rạc một cách hiệu quả trong nhóm cộng này. Điều đó gợi ý khả năng giải bài toán DL trong Z_p^* bằng cách quy nó về bài toán giải được dễ dàng trong Z_p-1.

Ta hãy xem xét điều này được thực hiện như thế nào?. Khi nói rằng, (Z_p^*, ) là đẳng cấu với (Z_p-1, +) có nghĩa là có một song ánh :

 : Z_p^*  Z_p-1

sao cho (xy mod p) = ((x) + (y)) mod (p-1)

Điều đó kéo theo:

(^a mod p) = a () mod (p-1)

Bởi vậy

  ^a mod p  a ()  () (mod p-1)

Do đó nếu tìm a theo mô tả ở trên, ta có:

log_ = () (())^-1 mod (p-1)

Bây giờ, nếu có một phương pháp hữu hiệu để tính phép đẳng cấu  thì ta sẽ có một thuật toán hữu hiệu để tính các logarithm rời rạc trong Z_p^*. Khó khăn ở đây là không có một phương pháp chung đã biết nào để tính hiệu quả phép đẳng cấu  với số nguyên tố tuỳ ý. Ngay cả khi đã biết hai nhóm là đẳng cấu thì vẫn không thể biết một thuật toán hiệu quả để mo tả tương minh phép đẳng cấu.

Phương pháp này có thể áp dụng cho bài toán DL trong một nhóm G tuỳ ý. Nếu có một phương pháp hiệu quả tính phép đẳng cấu giữa H và Z_|H| thì bài toán DL trong G mô tả ở trên có thể giải được một cách hữu hiệu. Ngược lại, dễ dàng thấy rằng, một phương pháp tính các logarithm rời rạc có hiệu quả sẽ tạo ra phương pháp hiệu quả tính phép đẳng cấu giữa hai nhóm.
Thảo luận ở trên chỉ ra rằng, bài toán DL có thể dễ hoặc khó (xétbề ngoài) tuỳ thuộc vào biểu diễn của nhóm cyclic được dùng. Như vậy, sẽ tốt hơn nếu xem xét các nhóm khác với hy vọng tìm được các thiết lập khác nhau để bài toán DL có vẻ khó. Có hai lớp nhóm như vậy.

Nhóm nhân của trường Galois GF(pⁿ)
Nhóm của một đường cong elliptic xác định trên một trương hữu hạn.

Ta hãy xem xét hai lớp nhóm này ở phần sau.
5.1.2. Trường Galois

Ta đã biết rằng, nếu p là số nguyên tố thì Z_p sẽ là một trường. Tuy nhiên có nhiều trường hữu hạn khác không có dạng trên. Thực tế có các trường hữu hạn q phần tử nếu q = pⁿ, trong đó p là số nguyên tố , n  1là số nguyên. Bây giờ ta sẽ mô tả ngắn gọn cách xây dựng một trường như vậy. Trước tiên ta sẽ đưa ra một vài định nghĩa.

Định nghĩa 5.1

Giả sử p là số nguyên tố. Gọi Z_p[x] là tập tất cả các đa thức biến x. Bằng cách xây dựng phép cộng và nhân đa thức theo quy tắc thông thường ( và rút gọn hệ số theo modulo p) ta sẽ tạo nên một vành.

Với f(x), g(x)  Z_p[x], ta nói rằng, f(x) chia hết cho g(x) ( kí hiệu f(x) | g(x)) nếu tồn tại q(x)  Z_p[x] sao cho:

g(x) = q(x)f(x)

Với f(x)  Z_p[x], ta xác định bậc của f ( kí hiệu là deg(f)) là số mũ cao nhất có trong các số hạng của f.

Giả sử f(x), g(x), h(x)  Z_p[x] và deg(f) = n  1, ta định nghĩa:

g(x)  h(x) (mod f(x))

nếu f(x) | (g(x) - h(x)).
Chú ý sự tương tự giữa định nghĩa về đồng dư của các đa thức với định nghĩa về đồng dư của các số nguyên.
Bây giờ ta sẽ định nghĩa vành các đa thức theo modulo f(x). (ta kí hiệu vành này là Z_p[x]/f(x)). Việc xây dựng Z_p[x]/f(x) từ Z_p[x] dựa trên khái niệm về các đồng dư thức theo modulo f(x) và nó tương tự như việc xây dựng Z_m từ Z.
Giả sử deg(f) = n. Nếu chia g(x) cho f(x), ta thu được thương q(x) và phần dư r(x), trong đó:

g(x) = q(x)f(x) + r(x)

và deg(r) < n.

Điều này có thể thực hiện theo cách chia các đa thức thông thường. Bởi vậy, một đa thứ bất kì trong Z_p[x] đều đồng dư theo modulo f(x) với một đa thức duy nhất có bậc  n-1.

Bây giờ ta sẽ xác định các phần tử của Z_p[x]/f(x) là pⁿ các đa thức trong Z_p[x] có bậc nhiều nhất là n-1. Phép cộng và nhân trong Z_p[x]/(f(x)) được xác định như trong Z_p[x], sau đó thực hiện rút gọn theo modulo f(x). Với phép toán này, Z_p[x]/(f(x)) sẽ tạo thành một vành.
Cần nhớ lại rằng, Z_m là một trường khi và chỉ khi m là số nguyên tố và các phần tử nghịch đảo nhân có thể tìm được qua thuật toán Euclide. Tình hình cũng tương tự xảy ra đối với Z_p[x]/(f(x)). Sự tương tự của các số nguyên tố với các đa thức bất khả quy được xác định như sau:
Định nghĩa 5.2

Đa thức f(x)  Z_p[x] được gọi là bất khả quy nếu không tồn tại các đa thức f₁(x), f₂(x)  Z_p[x] sao cho

f(x) = f₁(x)f₂(x).

trong đó deg(f₁) > 0 và deg(f₂) > 0.
Một thực tế rất quan trọng là Z_p[x]/(f(x)) là một trường khi và chỉ khi f(x) bất khả quy. Hơn nữa, các phần tử nghịch đảo nhân trong Z_p[x]/(f(x)) có thể tính được bằng cách dùng thuật toán Euclide mở rộng có biến đổi đôi chút.
Sau đây là một ví dụ minh hoạ cho vấn đề nêu ra.
Ví dụ 5.6

Xây dựng một trường 8 phần tử. Điều này có thể thực hiện bằng cách tìm một đa thức bất khả quy bậc 3 trong Z₂[x]. Ta chỉ cần xem xét các đa thức có thành phần hằng số bằng 1 vì một đa thức bất kì có thành phần hằng số bằng 0 sẽ chia hết cho x và bởi vậy nó là một đa thức bất khả quy . Có tất cả 4 đa thức như vậy.

f₁(x) = x³ + 1

f₂(x) = x³ + x + 1

f₃(x) = x³ + x² + 1

f₄(x) = x³ + x² + x + 1

Xét thấy f₁(x) là khả quy vì:
x³ +1 = (x+1)(x²+x+1)
(cần để ý là tất cả các hệ số được rút gọn theo modulo 2). Tương tự, f₄(x) cũng khả quy vì:
x³+x²+x+1 = (x+1)(x²+1)
Tuy nhiên cả hai đa thức f₂(x) va f₃(x) lại đều là đa thức bất khả quy và có thể dùng hai đa thức này để xây dựng trường 8 phần tử .
Giả sử dùng f₂(x) để xây dựng trường Z₂[x]/(x³+x+1). 8 phần tử của trường là 8 đa thức : 0, 1, x, x+1, x², x²+1, x²+x, x²+x+1
Để tính tích của hai phần tử của trường, nhân hai đa thức với nhau và rút gọn theo modulo x³+x+1 (tức chia cho (x³+x+1) và tìm đa thức dư). Vì ta chia một đa thức bậc 3 nên đa thức dư có bậc nhiều nhất là 2 và vì thế nó là một phần tử của trường.
Ví dụ, ta hãy tính (x²+1)(x²+x+1) trong Z₂[x]/(x³+x+1). Trước hết tính tích trong Z₂[x] là x⁴+x³+x+1. Khi chia cho x³+x+1, ta nhận được biểu thức sau:

x⁴+x³+x+1 = (x+1)(x³+x+1) +x²+x

Bởi vậy, trong trường Z₂[x]/(x³+x+1) ta có :
(x²+1)(x²+x+1) = x²+x
Dưới đây sẽ đưa ra bảng dầy đủ cho cá phần tử khác 0 của trường. Để đơn giản, ta viết đa thức : a₂x²+a₁x+a₀ theo bộ ba được sắp a₂a₁a₀.

001 010 011 100 101 110 111

001

010

011

100

101

110

111

001 010 011 100 101 110 111

010 100 110 011 001 111 101

011 110 101 111 100 001 010

100 011 111 110 010 101 001

101 001 100 010 111 011 110

110 111 001 101 011 010 100

111 101 010 001 110 100 011

Việc tính các phần tử nghịch đảo được tực hiện theo thuật toán Euclide mở rộng có biến đổi đôi chút.

Cuối cùng, ta thâý rằng nhóm nhân của các đa thức khác 0 trong trường là một nhóm cyclic cấp 7. Vì 7 là số nguyên tố nên suy ra mọi phần tử khác 0 của trường đều là phần tử sinh của nhóm này (tức là phần tử nguyên thuỷ).
Ví dụ, nếu tính các luỹ thừa của x, ta có:
x¹ = x

x² =x²

x³ = x+1

x⁴ = x²+1

x⁵ = x²+ x+1

x⁶ = x²+1

x⁷ = 1

sẽ bao gồm tất cả các phần tử khác 0 của trường.

Vấn đề còn lại là sự tồn tại và tính duy nhất của các trường dạng này. Có thể chỉ ra rằng, có ít nhất một đa thức bất khả quy bậc bất kì n 1 trong Z_p[x]. Bởi vậy, sẽ có một trường hữu hạn p_n phần tử đối với mọi nguyên tố p và mọi số nguyên n1. Thông thương có khá nhiều đa thức bất khả quy bậc n trong Z_p[x]. Tuy nhiên, những trường hữu hạn được xây dựng từ hai đa thức bất khả quy bất kì bậc n đều có thể chứng tỏ được chúng là đaửng cấu với nhau. Bởi vậy, chỉ có một trương hữu hạn duy nhất cấp pⁿ tuỳ ý (p - số nguyên tố, n 1) là trường GF(pⁿ). Trong trường hợp n = 1, trương GF(p) cũng chính là Z_p. Cuối cùng, có thể chỉ ra rằng, không tồn tại một trường hữu hạn r phần tử trừ phi r = pⁿ với p là số nguyên tố , n là số nguyên nào đó (n1).
Ta đã nhận thấy là nhóm nhân Z_p^* (p - số nguyên tố) là một nhóm cyclic cấp p-1. Thực tế, nhóm nhân của trường hữu hạn bất kì đều là nhóm cyclic: GF(pⁿ)\{0} là một nhóm cyclic cấp pⁿ-1. Nhóm này sẽ cho các ví dụ về các nhóm cyclic trong đó bài toán DL có thể được nghiên cứu.

Thực tế các trường hữu hạn GF(2ⁿ) đã được nghiên cứu khá kĩ. Cả hai thuật toán logarithm rời rạc Shanks và Pohlig-Hellman đều làm việc trên các trường GF(2ⁿ). Phương pháp tính toán chỉ số có thể sửa đổi để làm việc trên các trương này. Thời gian tiền tính toán của thuật toán tính toán chỉ số khoảng

còn thời gian để tìm một giá trị logarithm rời rạc riêng khoảng

Tuy nhiên, với các giá trị n lớn (n > 800), bài toán DL trong GF(2ⁿ) được coi là khó cỡ 2ⁿ phải có ít nhất một thừa số nguyên tố "lớn" ( để gây khó khăn cho cách tấn công Pohlig - Hellman).

Các đương cong Elliptic

Ta bắt đầu bằng việc định nghĩa khái niệm đường cong elliptic.

[Phương trình (5.1) có thể dùng để xác định một đường cong elliptic trên một trường bất kì GF(pⁿ) với p - là số nguyên tố lớn hơn 3. Đường cong elliptic trên GF(2ⁿ) hoặc GF(3ⁿ) được xác định bằng một phương trình khác đôi chút)].

Đường cong elliptic E có thể tạo thành một nhóm Aben bằng cách xác định một phép toán thích hợp trên các điểm của nó. Phép toán này là phép cộng và được xác định như sau ( ở đây mọi phép toán số học được thực hiện trên Z_p).

Giả sử

P = (x₁,y₁) và Q = (x₂,y₂)

là các điểm trên E. Nếu x₂=x₁ và y₂=-y₁ thì P+Q = O; ngược lại P+Q = (x₃,y₃) trong đó:

x₃ = ²-x₁-x₂

y
₃ = (x₁-x₃)-y₁

Cuối cùng ta xác định

P+O = O+P = P

đối với mọi P  E. Với định nghĩa phép cộng như vậy, có thể chỉ ra rằng, E là một nhóm Aben với phần tử đơn vị O. ( phần lớn các phép kiểm tra đều khá đơn giản song việc chứng minh tính kết hợp lại rất khó).
Cần để ý là các phần tử ngược (nghịch đảo) rất dễ tính toán. Phần tử nghịch đảo của (x,y) là (x,-y) với mọi (x,y)  E ( ta kí hiệu phần tử này là -(x,y) do phép nhóm là phép cộng)
Xét ví dụ sau.
Ví dụ 5.7

Giả sử E là một đường cong elliptic y² = x³+x+6 trên Z₁₁. Trước tiên ta xác định các điểm trên E. Để làm điều đó, xét mỗi giá trị có thể x  Z₁₁, tính x³+x+6 mod 11 và thử giải phương trình (5.1) đối với y. Với giá trị x cho trước, ta có thể kiểm tra xem liệu z = x³+x+6 mod 11 có phải là một thặng dư bình phương hay không bằng cách áp dụng tiêu chuẩn Euler. Ta đã có một công thức tường minh để tính các căn bậc hai của các thặng dư bình phương theo modulo p với các số nguyên tố p  3 (mod 4). Áp dụng công thức này, ta có các căn bậc hai của một thặng dư bình phương z là:

z^(11+1)/4 mod 11 = z³ mod 11

Kết quả của các phép tính này được nêu trên bảng 5.2

Như vậy, E có tất cả 13 điểm. Với một nhóm bất kì cấp nguyên tố đều là nhóm cyclic nên dẫn đến E đẳng cấu với Z₁₃ và một điểm bất kì ( không phải điểm vô cực) đều là phần tử sinh của nhóm E. Giả sử ta lấy phần tử sinh là (2,7) = . Khi đó ta có thể tính các "luỹ thừa" của  ( chính là các bội của  vì phép nhóm là phép cộng). Để tính 2 = (2,7) + (2,7), trước hết ta tính:

 = (32²+1)(27)^-1 mod 11

= 23^-1 mod 11

= 24 mod 11

= 8

Sau đó ta có: x₃ = 8²-2-2 mod 11

= 5

và y₃ = (8(2-5)-7) mod 11

= 2

Bởi vậy 2 = (5,2)

Bảng 5.2 Các điểm trên đường cong elliptic y² = x³+x+6 trên Z₁₁

x3+x+6 mod 11

Có trong QR(11)?

Không

Có

Không

Có

Không

Có

Không

Có

4,7

5,6
2,9
2,9

3,8
2,9

Bội tiếp theo là 3 = 2+ = (5,2) + (2,7). Ta lại bắt đầu bằng viẹc tính .

 = (7-2)(2-5)^-1 mod 11

= 58^-1 mod 11

= 57 mod 11

= 2

Khi đó ta có x₃ = 2²-5-2 mod 11

= 8

và y₃ = 2(5-8) - 2 mod 11

= 3

Bởi vậy 3 = (8,3)

Tiếp tục theo cách tương tự, có thể tính được các bội còn lại như sau:

 = (2,7) 2 = (5,2) 3 = (8,3)

4 = (10,2) 5 = (3,6) 6 = (7,9)

7 = (7,2) 8 = (3,5) 9 = (10,9)

10 = (8,8) 11 = (5,9) 12 = (2,4)

Do đó  = (2,7) thực sự là phần tử nguyên thuỷ.
Một đường cong elliptic xác định trên Z_p (p là số nguyên tố >3) sẽ có khoảng p điểm. Chính xác hơn, theo một định lý nổi tiếng của Hasse, số các điểm trên E ( kí hiệu là E) thảo mãn bất đẳng thức sau:

Việc tính toán chính xác giá trị của E có khó hơn nhưng đã có một thuật toán hữu hiệu do Schoof đưa ra giúp tính toán dễ dàn hơn.( Nghĩa hữu hiệu ở đây được hiểu là thời gian chạy của thuật toán là thời gian đa thức theo log p. Thuật toán Schoof có thời gian chạy khoảng O((log p)⁸) phép tính trên bít và có thể thực hiện đối với các số nguyên tố p có vài trăm chữ số).
Bây giờ giả sử có thể tính được E. Vấn đề tiếp theo là phải tìm một nhóm con cyclic trong E sao cho bài toán DL trong nó là khó. Bởi vậy ta phải biết một vài điều về cấu trúc của nhóm E. Định lý sau đây cung cấp một thông tin đáng kể về cấu trúc nhóm của E.
Định lý 5.1

Cho E là một đường cong elliptic trên Z_p, p là số nguyên tố > 3. Khi đó, tồn tại các số nguyên n₁ và n₂ sao cho E là đẳng cấu với Z_n1Z_n2. Ngoài ra n₂ | n₁ và n₂ | (p-1).
Bởi vậy nếu có thể tính được các số n₁ và n₂ thì ta sẽ biết rằng E có một nhóm con cyclic đẳng cấu với Z_n1 và có thể dùng E để thiết lập một hẹe mật Elgamal.
Chú ý là nếu n₂ = 1 thì E là một nhóm cyclic. Cũng vậy, nếu E là một số nguyên tố hoặc là tích của các số nguyên tố khác nhau thì E là nhóm cyclic có chỉ số nhóm cyclic.

Các thuật toán Shanks và Pohlig - Hellman có thể áp dụng cho bài toán rời rạc trên đường cong Elliptic song tới nay vẫn chưa có một thuật toán thích hợp cho phương pháp tính chỉ số đối với các đường cong Elliptic.Tuy nhiên, đã có một phương pháp khai thác đẳng cấu một cách tường minh giữa các đường cong Elliptic trong trường hữu hạn. Phương pháp này dẫn đến các thuật toán hữu hiệu đối với một số lớp các đường cong Elliptic. Kỹ thuật này do Menezes, Okamoto và Vanstone đưa ra và có thể áp dụng cho một số trường hợp riêng trong một lớp đặc biệt các đường cong Elliptic (được gọi là các đường cong siêu biến, chúng đã được kiến nghị sử dụng trong các hệ thống mật mã). Tuy nhiên, nếu tránh các đường cong siêu biến thì lại xuất hiện một đường cong Elliptic có một nhóm con cyclic cỡ 2¹⁶⁰, đường cong này sẽ cho phép thiết lập an toàn một hệ mật miễn là bậc của nhóm con phải là bội của ít nhất một thừa số nguyên tố lớn ( nhằm bảo vệ hệ mật khỏi phương pháp tấn công của Pohlig - Hellman).

Xét một ví dụ về phép mã Elgamal sử dụng đường cong elliptic nêu trên ví dụ 5.7.
Ví dụ 5.8.

Giả sử  = (2,7) và số mũ mật của Bob là a = 7. Bởi vậy:

 = 7 = (7,2)

Phép mã hoá thực hiện như sau

e_K(x,k) = (k(2,7),x+k(7,2))

trong đó xE và 0  k  12 còn phép giải mã thực hiện như sau:

d_K(y₁,y₂) = y₂-7y₁

Giả sử Alice muốn mã bản tin x = (10,9) ( là một điểm trên E). Nếu cô chọn giá trị ngẫu nhiên k=3 thì cô tính

y1 = 3(2,7)

= (8,3)

và y₂ = (10,9) + 3(7,2)

= (10,9) + (3,5)

= (10,2)

Bởi vậy, y = ((8,3),(10,2)). Bây giờ nếu Bob nhận được bản mã y thì anh ta giải mã như sau:

x = (10,2) - 7(8,3)

= (10,2) - (3,5)

= (10,2) + (3,6)

= (10,9)

Đây chính là bản rõ đúng.
Trên thực tế có một số khó khăn khi áp dụng hệ mật Elgamal trên đường cong Elliptic. Hệ thống này được áp dụng trong Zp ( hoặc trong GF(pⁿ) với n > 1) sẽ có hệ số mở rộng bản tin là 2. Việc áp dụng đường cong Elliptic sẽ có thừa số mở rộng khoảng 4 lần. Điều này là do có xấp xỉ p bản rõ, nhưng mỗi bản mã lại gổm bốn phần tử của trường. Một trở ngại là không gian bản rõ chứa các điểm trên đường cong E và không có phương pháp nào xác định tường minh các điểm trên E
Menezes và Vanstone đã tìm ra một phương án hiệu quả hơn. theo phương án này đường cong Elliptic dùng để "che dấu", còn các bản rõ và bản mã hợp lệ là các cặp được sắp tùy ý các phần tử khác không của trường( tức là chúng không đòi hỏi phải là các điểm trên E). Điều này sẽ tạo hệ số mở rộng bản tin là 2 giống như trong hệ mật Elgamal ban đầu. Hệ mật Menezes - Vanstone được mô tả trên hình 5.10.
Nếu trở lại đường cong y² = x³ + x + 6 trên Z₁₁ ta sẽ thấy rằng hệ mật Menezes - Vanstone có 1010 = 100 bản rõ, trong khi đó hệ mật ban đầu chỉ có 13 bản rõ. Ta sẽ minh hoạ phép mã và giải mã trong hệ mật này bằng cách sử dụng đường cong trên.
Hình 3.6 Hệ mật trên đường cong Elliptic của Menezes - Vanstone

Giả sử E là một đường cong Elliptic trên Zp (p là số nguyên tố > 3) sao cho E chứa một nhóm con cyclic H, trong đó bài toán DL là bài toán khó.

Giả sử P = Z_p^*  Z_p^* , C = E  Z_p^*  Z_p^* ,ta định nghĩa:

K = { (E,,a,) :  = a  }

trong đó E. Các giá trị  và  được công khai, còn a được giữ kín.

Đối với K = (E,,a,), với số ngẫu nhiên bí mật k  Z_{| H |}

và x = (x₁,x₂)  Z_p^* Z_p^*, ta xác định:

e_K(x,k) = (y₀,y₁,y₂)

y₀ = k 

(c₁,c₂) = k 

y₁ = c₁x₁ mod p

và y₂ = c₂y₂ mod p

Với bản mã y = (y₀,y₁,y₂), ta định nghĩa

d_K(y) = (y₁c₁^-1mod p, y₂c₂^-1mod p)

trong đó a y₀= (c₁,c₂)

Ví dụ 5.9

Cũng như ví dụ trước, giả sử  = (2,7) và số mũ mật của Bob là 7. Khi đó

 = 7 = (7,2)

Giả sử Alice muốn mã hoá bản rõ sau:

x = (x₁,x₂) = (9,1)

(Cần chú ý là x không phải là một điểm trên E) và cô chọn giá trị ngẫu nhiên k = 6. Đầu tiên cô tính:
y₀ = k = 6(2,7) = (7,9)

và k = 6(7,2) = (8,3)

Như vậy, c₁ = 8 còn c₂ = 3.
Tiếp theo Alice tính:

y₁ = c₁x₁ mod p = 89 mod 11 = 6

và y₂ = c₂x₂ mod p = 31 mod 11 = 3

Bản mã mà cô giửi cho Bob là:

y = (y₀,y₁,y₂) = ((7,9), 6, 3)

Khi Bob nhận được bản mã này, Trước tiên anh ta tính:

(c₁,c₂) = (a y₀) = 7(7,9) = (8,3)

và sau đó tính:

x = (y₁c₁^-1 mod p, y₂c₂^-1 mod p)

= ((68^-1 mod 11, 33^-1 mod 11)

= (67 mod 11, 34 mod 11)

= (9,1).
H

Đặc trưng của bài toán: I = (s₁, s₂, . . . ,s_n, T) trong đó s₁, . . ., s_n và T là các số nguyên dương. Các s_i được gọi là các cỡ, T được gọi là tổng đích.
Vấn đề: Liệu có một véc tơ nhị phân x = (x₁, . . . , x_n) sao cho:

ình 5.11. Bài toán tổng các tập con

Đây chính là bản rõ đúng.

5.3. HỆ MẬT XÊP BA LÔ MERKLE - HELLMAN

Каталог: files -> FileMonHoc
FileMonHoc -> NGÂn hàng câu hỏi lập trình cơ BẢn nhóm câu hỏI 2 ĐIỂM
FileMonHoc -> CHƯƠng 2 giới thiệu về LÝ thuyết số
FileMonHoc -> BỘ MÔn duyệt chủ nhiệm Bộ môn
FileMonHoc -> Khoa công nghệ thông tin cộng hòa xã HỘi chủ nghĩa việt nam
FileMonHoc -> Chủ nhiệm Bộ môn Ngô Thành Long ĐỀ CƯƠng chi tiết bài giảNG
FileMonHoc -> Chủ nhiệm Bộ môn Phan Nguyên Hải ĐỀ CƯƠng chi tiết bài giảNG
FileMonHoc -> Khoa: CÔng nghệ thông tin cộng hòa xã HỘi chủ nghĩa việt nam
FileMonHoc -> MẬt mã khóA ĐỐi xứng lý thuyết cơ bản của Shannon
FileMonHoc -> Khoa công nghệ thông tin bài giảng LẬp trình cơ BẢn biên soạn
FileMonHoc -> Khoa cntt cộng hòa xã HỘi chủ nghĩa việt nam

tải về 269.78 Kb.

Chia sẻ với bạn bè của bạn: