РОССИЙСКАЯ ФЕДЕРАЦИЯ

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

Государственное образовательное учреждение

высшего профессионального образования

ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ИНСТИТУТ МАТЕМАТИКИ И КОМПЬЮТЕРНЫХ НАУК

КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

,

КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ.

ГЕНЕРАЦИЯ БОЛЬШИХ ПРОСТЫХ ЧИСЕЛ В КРИПТОСИСТЕМАХ С ОТКРЫТЫМ КЛЮЧОМ

Учебно-методическое пособие

для студентов специальностей

«Компьютерная безопасность» и «Комплексное обеспечение информационной безопасности автоматизированных систем»

Издательство

Тюменского государственного университета

2009

a) , (здесь 22k вычисляется при помощи быстрой операции битового сдвига 1<<(2k)).

b) d:=1<<(k+1) (то есть d=2k+1).

Алгоритм:

1. ;

2. r1:=x mod d; r2:=(q m) mod d; r:=(r1-r2) mod d;

3. Пока r ≥ m, делаем r: = r – m (не более 2-х раз);

4. Выход: r.

Замечания. На шаге 1 операция вида b:= может быть реализована как: s:=0 if (x and (1<<(k-1)))=0 else s:=1; b:=(x>>(k-1))+s; операция a:=, поскольку d=(10…0)2, может быть реализована как a:=y>>(k+1). На шаге 2, поскольку d=(10…0)2, операции вида a:=y mod d реализуются как быстрые операции a:=y and (d-1).

Пример.

Вход: x=19; m=3; k=|m|=2; ; d=1<<3=8.

1. ;

2. r1 = 19 mod 8 = 3; r2 = 6 ∙ 3 mod 8 = 2; r = 3-2 mod 16 = 1;

3. r<m

Выход: 19 mod 3 =r=1

Замечание. В описанных выше алгоритмах встречаются операции (нециклического) битового сдвига: >> (вправо) и << (влево). Следует помнить, что операции эти осуществляются над числами созданного нами класса, поэтому эти операции тоже необходимо описать. Например, операция сдвига вправо A:=B>>k для 128-битовых чисел схематично может быть описана как

1. A0:=(B0>>k) or (B1<<(64-k));

2. A1:=B1>>k.

Здесь обозначения A1, B1, A0, B0 аналогичны пункту 1.1, а операции >> и << суть обычные правый и левый (нециклические) сдвиги 64-битовых чисел. Если же число имеет более 2-х разрядов (например, не 128-, а 192- или 256-битное), то операция сдвига будет описана подобным образом с поправкой на количество разрядов.

1.4. Умножение двух чисел по модулю (u×v mod m)

Заметим, что произведение двух 128-битных чисел есть число размером до 256 бит. Для того чтобы избежать удвоения размера результата, целесообразно определять не произведение, а произведение по модулю (операции в асимметричных криптосистемах выполняются в системе наименьших неотрицательных вычетов).

Прежде, чем определять процедуру умножения двух больших чисел (в нашем случае, 128-битных чисел, составленных из 64-битных), необходимо определить произведение двух 64-битных чисел (назовем его умножением цифр). Далее в псевдокодах будем обозначать такое умножение как MultiplySmall(X, Y, Z), где X и Y – 64-битные множители, Z – 128-битная переменная, произведение.

В целом, операция умножения цифр реализуется так же, как и операция умножения 128-битных чисел, только вместо старшей и младшей 64-битных частей числа используются 32-битные, а результат умножения занимает 128 бит. Для сложения, умножения 32-битных половин используются стандартные операции.

Пусть необходимо умножить два больших числа – u и v. Каждое из них, как и ранее, представляет собой массив из двух беззнаковых целых чисел по 64 бита каждое. В системе счисления по основанию b=264 эти числа можно представить в виде:

u = (u1, u0)b =u1b+u0; v = (v1 ,v0)b =v1b+v0.

Тогда их произведение имеет следующий вид:

u∙v mod m = (u1v1b2 + (u1v0 + u0v1)b + u0v0) mod m.

Таким образом, для вычисления произведения u∙v mod m на компьютере, вычисляются произведения:

A=u1v1 mod m; B=u0v0 mod m; C=(u1v0 + u0v1) mod m.

При этом C удобно вычислять как C=(u1v0 mod m) + (u0v1 mod m) mod m.

Заметим, что размер чисел A, B и C – 128 бит. Произведение y=uv займет до 256 бит. Поэтому для представления промежуточного результата y потребуется массив, состоящий из 4-x 64-битовых чисел: y={y3, y2, y1, y0}.

Число A записывается в 2 старших разряда результата, а число B – в два младших. Затем к полученному числу прибавляется C, сдвинутое влево на b разрядов (см. рисунок):

+

В виде псевдокода это можно представить, например, как

1. Y0:=A0; D0:=A1; D1:=B0;

2. Addition(D, C,D, s);

3. y1:=D0; y2:=D1; y3:=B1+s.

В приведенном выше псевдокоде D – переменная заданного нами типа 128-битных больших чисел, Addition(D, C,D, s) – процедура сложения двух больших чисел D и C, причем младшие 128 бит результата записывается в переменную D, а 129-й бит – в переменную s.

После указанных действий следует вычислить остаток от деления результата y mod m. Поскольку y не является переменной заданного нами типа больших чисел, придется написать для нее отдельную процедуру приведения по модулю, используя тот же подход, что и для 128-битовых значений. При этом следует помнить, что |y|=256 бит, |m|=128 бит.

Традиционный подход требует 4-х умножений 64-битовых чисел. Операция умножения является вычислительно трудоемкой. Существует более быстрый метод Карацубы, приведенный ниже, который использует всего 3 умножения 64-битовых чисел, поэтому дает выигрыш во времени порядка ¾.

Метод Карацубы:

Рассмотрим произведение K:

K:= (u0 + u1)(v0 +v1) = u1v1 + (u1v0 + u0v1) + u0v0.

Вычислив произведения A и B как в традиционном подходе и произведение K, можем вычислить C как

C = K–A–B.

Таким образом, применив традиционный подход, и заменив лишь способ вычисления C, сократим количество умножений цифр до 3-х.

Замечание. Следует отметить, что умножение для K несколько дольше простого умножения, так как при суммировании u0 и u1, v0 и v1, может возникнуть бит переноса (если u0+u1>b и/или v0 + v1>b). Вычисление K тогда может выглядеть, например, так:

1.  Addition(u0,u1,Cu, s1); Addition(v0, v1,Cv, s2);

2.  MultiplySmall(Cu, Cv, D);

3.  K0:=D0; K1:=D1; K2:=0;

4.  D0:=K1; D1:=K2;

5.  if s2 then Addition(Cu, D, D);

6.  if s1 then Addition(Cv, D, D);

7.  if s1 and s2 then D1:=D1+1;

8.  K1:=D0; K2:=D1;

То есть если при сложении u0 и u1 возникает бит переноса s1=1, то к произведению Cu×Cv необходимо прибавить Cv, сдвинув 64 бита влево; если бит переноса возникает при сложении v0 и v1, то необходимо прибавить Cu, сдвинув на 64 бита влево; если бит переноса возникает при сложении как v0 и v1,так и u0 и u1, то необходимо прибавить единицу, сдвинув на 128 бит влево.

Заметим, что K – трехразрядное число, при вычитании для вычисления C это необходимо будет учесть.

1.5. Возведение в квадрат

Пусть необходимо возвести в квадрат большое число – x, число создаваемого нами класса. В системе счисления по основанию b=264 это число можно представить в виде:

x = (x1, x0)b =x1b+x0.

Если для возведения в квадрат использовать процедуру умножения, описанную в пункте 1.4, то потребуется 4 умножения цифр (при использовании метода Карацубы – 3 умножения цифр). Если же использовать специальную процедуру возведения в квадрат, можно уменьшить число трудоемких операций умножения. Действительно,

x2=x12b2+x0x1×2b+x02 .

Вычисляем A=x12, B=x02, C=x0x1. Числа A, B и C являются 128-битными. Число A записывается в 2 старших разряда результата, а число B – в два младших. Затем к полученному числу прибавляется C, сдвинутое влево на 64+1=65 бит (см. рисунок).

Замечание. Для вычисления A и B используются процедуры возведения в квадрат (такую процедуру для 64-битных чисел следует создать отдельно, так чтобы результат помещался в число размером 128 бит), более быстрые, чем процедура умножения.

Такая процедура возведения в квадрат требует одного умножения и 2-х возведений в квадрат 64-битовых чисел.

1.6. Возведение в степень (дихотомический алгоритм)

Этот алгоритм использует процедуры возведения в квадрат и умножения, описанные в пунктах 1.4 и 1.5. Пусть требуется возвести число x в степень y. Представим y в двоичном виде:

.

Тогда .

Существуют две основных разновидности дихотомического алгоритма.

1. Алгоритм «справа налево»:

Вход: x, y=(yn-1,…,y0)2, z=0, q=1.

1.  Если y0=1, то z:=1, q:=x.

2.  В цикле: выполняем:

a)  q:=q2; б) если yi=1, то z:=z×q.

Выход: z.

Пример. y=19=(10011)2;

Всего в таком алгоритме n+ω(y) умножений. Сложность данного алгоритма составляет в среднем 3/2 log y.

2. Алгоритм «слева направо»:

Вход: x, y=(yn-1,…,y0)2, z=x.

1.  В цикле: выполняем:

a)  z:=z2; б) если yi=1, то z:=z×x.

Выход: z.

Пример. y=19=(10011)2.

Задания к разделу 1

Разработать класс 128-битных чисел. Реализовать операции над объектами класса:

·  сложение чисел a и b по заданному модулю m. При этом числа a, b и m – 128–битные; следует использовать вспомогательную переменную d, состоящую из трех 64-битных частей (старшая часть используется для хранения бита переноса); сначала вычисляется сумма d=a+b (см. пункт 1.1), а затем эта сумма берется по модулю: d mod m (см. пункт 1.3);

·  вычитание числа b из a по заданному модулю m; при этом возможны варианты b£a и b>a; a, b, m – 128-битные числа (см. п. 1.2 и 1.3);

·  умножение чисел a и b по заданному модулю m; при этом числа a, b и m – 128–битные. Следует использовать вспомогательную переменную y, состоящую из четырех 64-битных частей. Сначала вычисляется произведение y=ab (см. пункт 1.4), а затем результат берется по модулю: y mod m (см. пункт 1.3).

·  вычисление остатка от деления (см. пункт 1.3).

·  возведение в квадрат по заданному мод.3).

·  возведение в степень по заданному мод.3).

Тесты для самопроверки к разделу 1

Данными тестами самопроверки следует пользоваться следующим образом. Тест следует проводить в два этапа:

1)  проверить арифметические операции на таблице малых чисел.

2)  проверить арифметические операции на таблице больших чисел.

Арифметические операции следует проверять в следующем порядке: сложение, вычисление остатка от деления, умножение, возведение в квадрат, возведение в степень.

128-битные числа a и b подаются в программу на вход, а данные в колонках «a+b», «ab mod m», «a mod b», «a2», «ab» - это результаты которые должна вернуть программа при данных операциях (т. е. на основе этих данных следует делать вывод о корректности, реализованной операции). Следует отметить, что в таблице числа записаны в виде пары целых чисел, разделенных знаком «;», например запись «0 ; 210» значит, что 0 – это старшая, а 210 – это младшая часть числа.

Таблица малых чисел:

Таблица больших чисел:

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3 4