WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 || 3 | 4 |   ...   | 5 |

«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: КРИПТОГРАФИЯ Институт проблем информационной безопасности МГУ О. Н. ВАСИЛЕНКО ТЕОРЕТИКО-ЧИСЛОВЫЕ АЛГОРИТМЫ В КРИПТОГРАФИИ МЦНМО, 2003 УДК 511+519.719.2 Издание осуществлено ...»

-- [ Страница 2 ] --

74 Гл. 2. Факторизация целых чисел с экспоненциальной сложностью z- Обозначим f(x) = (x - i). Тогда i= (jz)!

f(jz) =.

((j - 1)z)!

Ниже в главе 9, посвященной дискретному преобразованию Фурье, бу дет показано, что набор чисел f(jz) (mod t), j = 1,..., z, можно найти за O(z log2 z log2 t) арифметических операций. Кроме того, для нахождения первого нетривиального НОД(t, f(jz) (mod t)), j = 1,..., z, надо затратить zO(log t) = O(z log t) арифметических операций. Итого вая оценка сложности составляет O(z log2 z log2 t) + O(z log t) + z = O(z log2 z log2 t), что и завершает доказательство теоремы.

Алгоритм Полларда Штрассена может использоваться как непо — средственно для факторизации не очень больших целых чисел, так и в качестве вспомогательного алгоритма в дополнительной страте гии PS в субэкспоненциальных алгоритмах факторизации целых чисел.

Об этом будет рассказано в следующей главе.

§2.7. (P + 1)-метод Уильямса и его обобщения В работе [283] описан метод факторизации чисел n N с помощью последовательностей чисел Люка. Этот метод аналогичен (P - 1)-ме тоду Полларда, но использует разложение на множители числа P + 1.

В работе [59] метод был обобщен на основе использования произволь ных круговых многочленов. Суть (P + 1)-метода заключается в следу ющем.

Рассматривается последовательность чисел Люка, определяемая соотношениями u0 = 0, u1 = u, un+1 = Pun - Qun-1, где P, Q фиксированные целые числа. Пусть p простой делитель — — факторизуемого натурального числа n такой, что p + 1 является B-сте пенно-гладким, т. е.

k i p = q - 1, i i= §2.8. Методы Шэнкса i где qi простые числа, q B. Пусть числа i N таковы, что — i i i q i B, q i +1 > B, i = 1,..., k.

k i Положим R = q i. Тогда p + 1 | R. Если для последовательности чи i= сел Люка параметр Q взаимно прост с n и выполнено условие P2 - 4Q = - p (оба эти условия эвристически обеспечиваются некоторым случайным перебором P и Q), то по свойствам последовательностей чисел Люка p | НОД(uR, n).

Дальнейшая работа алгоритма заключается в достаточно быстром вы числении элемента последовательности uR и на хождении НОД(uR, n).

В работе [283] указано, что данный метод является довольно-та ки медленным на практике. В работе [59] доказано, что для обобщения (P + 1)-метода Уильямса с применением круговых многочленов в пред положении расширенной гипотезы Римана может быть доказана веро ятностная полиномиальная оценка сложности.

§ 2.8. Методы Шэнкса Два метода факторизации целых чисел, использующих бинарные квадратичные формы, принадлежат Д. Шэнксу, см. [233;

248;

284].

Первый из них работает с положительно определенными бинарными квадратичными формами заданного отрицательного дискриминанта, и в группе классов форм он находит амбигову форму, которая дает разложение дискриминанта на множители. Сложность этого метода составляет O(n1/5+ ) арифметических операций при условии выпол нения расширенной гипотезы Римана. Второй метод носит название SQUFOF и использует группу классов бинарных квадратичных форм с положительным дискриминантом. Здесь также происходит нахождение амбиговой формы, дающей разложение дискриминанта. Сложность SQUFOF составляет O(n1/4+ ) арифметических операций;

этом при алгоритм работает с целыми числами, не превосходящими 2 n. Среди алгоритмов факторизации с экспоненциальной сложностью SQUFOF считается одним из самых эффективных.

76 Гл. 2. Факторизация целых чисел с экспоненциальной сложностью Детальное описание алгоритмов Шэнкса выходит за рамки данной книги, поскольку требует привлечения ряда фактов из теории бинарных квадратичных форм. Для справок см. [84;

89, гл. 8].

§ 2.9. Прочие методы. Заключение Для чисел n специального вида возможны особые подходы к фак торизации, поскольку делители таких чисел могут также иметь специ альный вид.

Теорема 2.21. Пусть b, k N, b > 1, n = bk - 1. Если p простое — число, делящее n, то выполнено одно из двух утверждений:

1. p | bd - 1 при некотором d < k, d | k;

2. p 1 (mod k).

При этом, если p > 2 и k нечетно, то во втором случае — p 1 (mod 2k).

Доказательство. По малой теореме Ферма bp-1 1 (mod p), а также bk 1 (mod p). Пусть d = НОД(k, p - 1), тогда bd 1 (mod p).

Если d < k, то это означает выполнение первого утверждения теоремы.

Если же d = k, то k | p - 1, т. е. p 1 (mod k).

Пример 2.22. Пусть n = 211 - 1. Тогда первое утверждение теоре мы не выполняется, так как 11 простое число и d = 1 не подходит — (21 - 1 = 1). Следовательно, p 1 (mod 22). После этого сразу нахо дим n = 23 · 89.

Обзор методов факторизации с экспоненциальной сложностью можно найти в работе [273]. Более поздние работы см. в списках литературы книг [60;

89]. Заметим, что в печати достаточно часто появляются новые работы, содержащие алгоритмы факторизации с экспоненциальной сложностью. Однако практическая значимость таких алгоритмов, как правило, невелика. Наиболее популярными в практических вычислениях являются (P - 1)-метод Полларда, -ме тод Полларда и алгоритм Полларда Штрассена. Они используются — в сочетании с субэкспоненциальными методами факторизации, которые будут описаны в главе 3, и применяются, как правило, для предвари тельного отделения небольших простых делителей у факторизуемого числа.

Глава 3. Факторизация целых чисел с субэкспоненциальной сложностью § 3.1. Введение В данной главе мы рассматриваем алгоритмы факторизации на туральных чисел n, дела ющие Ln [ ;

c] арифметических операций при 1 = или = и при некоторой положительной, зависящей от ал 2 горитма, постоянной c. Алгоритмов факторизации, имеющих оценки сложности лучше указанных, в настоящее время не существует.

Мы предполагаем далее, что число n составное (это быстро про — веряется с помощью вероятностных алгоритмов из главы 1) и что n не делится на небольшие простые числа (все небольшие простые де лители мы находим перебором, а также с помощью алгоритмов из гла вы 2).

Описываемые далее алгоритмы находят натуральные числа x, y та кие, что x2 y2 (mod n), и затем проверяют условие 1 < НОД(x ± y, n) < n.

Если делитель n найден, то алгоритм останавливается, иначе строит следующую пару x, y.

Утверждение 3.1. Пусть n нечетное составное число, не яв — ляющееся степенью простого числа. Тогда для случайной пары x, y, 1 x, y n - 1, удовлетворяющей соотношениям НОД(x, n) = НОД(y, n) = 1, x2 = y2 (mod n), вероятность того, что 1 < НОД(x ± y, n) < n, будет не меньше 1 2.

/ 1 k Доказательство. Пусть n = p... p, k 2, есть разложение n 1 k на простые сомножители. Паре x, y, удовлетворяющей условиям утвер ждения, соответствует число z, 1 z n - 1, z2 1 (mod n) (очевидно, 78 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью z = xy-1 (mod n)). Нам достаточно доказать, что количество таких z, для которых дополнительно выполнено неравенство 1 < НОД(z ± 1, n) < n, будет не меньше половины. Очевидно, что условие z2 1 (mod n) ра в носильно совокупности условий z ±1 (mod p ),..................

k z ±1 (mod p ), k где знаки ± произвольны. Отсюда количество возможных значений для z равно 2k, и только для двух значений z ±1 (mod n) наибольший общий делитель НОД(z ± 1, n) будет равен 1 или n. Поскольку k 2, то наше утверждение теперь очевидно.

Построение пар x, y таких, что x2 = y2 (mod n), будет неэффектив ным для факторизации n, равного степени простого числа p, т. е. n = p.

Такие числа n довольно редки. Для их обнаружения можно предло жить следующий способ. Если a N, p a, то ap a (mod p). Отсюда.

.

an a (mod p), и поэтому НОД(an - a, n) p, т. е. НОД(an - a, n) > 1.

.

Поэтому, если для некоторого случайно выбранного a выполнено ра венство НОД(an - a, n) = 1, то n = p. Если же для нескольких значе ний a окажется НОД(an - a, n) > 1, то мы либо разложим n на множи тели (если НОД(an - a, n) < n), либо будем считать n степенью про стого числа и попробуем факторизовать его, извлекая корни степени 2, 3, 5, 7,... из n.

В описываемых далее алгоритмах мы будем считать дополнительно, что n не является степенью простого числа.

Везде в этой главе, за исключением двух последних параграфов, мы обозначаем L = L(n) = exp((log n log log n)1/2). Мы также будем пред полагать, что n не делится на простые числа p такие, что p это L(n);

легко проверяется с помощью перебора за O(L(n)) = Ln, 1 арифме тических операций.

§ 3.2. Метод Диксона. Дополнительные стратегии Пусть n N число, которое мы хотим разложить на множите — ли, L = L(n) = exp((log n log log n)1/2). Пусть a некоторая постоянная, — 0 < a < 1, значение которой будет определено ниже. Факторной базой § 3.2. Метод Диксона. Дополнительные стратегии мы будем называть множество простых чисел p, лежащих в промежутке 2 p La.

Пусть k количество простых чисел в факторной базе, 2 = p1 < p2 <...

—...

Опишем алгоритм Диксона, следуя работе [221].

Алгоритм Диксона.

1 шаг. Случайным перебором ищем числа m1,..., mk+1 такие, что i,1 i,k 1 < mi < n, Q(mi) = p... p 1 k для i = 1,..., k + 1. Это означает, что m2 Q(mi) (mod n) являются i гладкими числами, то есть раскладываются на множители в нашей фак торной базе. Обозначим v = ( i,1,..., i,k) Zk векторы показателей — i в разложении Q(mi) на множители.

2 шаг. Решая систему линейных уравнений x1v +... + xk+1v 0 (mod 2) 1 k+ в векторном пространстве (Z 2Z)k, находим значения x1,..., xk+ / {0, 1}, не все равные нулю (такое решение существует, поскольку число уравнений k меньше числа неизвестных).

3 шаг. Для найденных x1,..., xk справедливо соотношение k+1 k+ xi i,1 xi i,k k+1 i=1 i= (mx... mx )2 p1... pk (mod n).

1 k+ Обозначая k+ k xi i,j k+1 i= X = mx... mx, Y = pj, 1 k+ j= k+1 (числа xi i,j 2 целые по определению xi), мы получим соот — i= ношение X2 Y2 (mod n).

Далее проверяем условие 1 < НОД(X ± Y, n) < n.

В случае успеха мы разложили n на множители (вероятность успеха была оценена в §3.1). В случае неудачи мы возвращаемся на 1 шаг и ищем другие значения mi.

Конец алгоритма.

80 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью Замечание 3.2. Факторизация чисел Q(mi) на 1 шаге алгоритма Диксона проводится пробными делениями на элементы фактор ной базы.

Замечание 3.3. Решение системы линейных уравнений на 2 шаге алгоритма можно проводить методом Гаусса.

Проанализируем сложность алгоритма Диксона, следуя рабо те [221]. При этом примем следующее соглашение. Вместо Lconst+o(1) будем писать просто Lconst;

величина o(1) все равно будет при сутствовать в итоговой оценке сложности Ln ;

c. Очевидно, что const · Lconst = Lconst по нашему определению;

также (Lconst) = Lconst, где (x) число простых чисел, не превосходящих x.

— Для одного случайно выбранного значения m на 1 этапе алгоритма поиск разложения Q(m) в нашей факторной базе составит La арифме тических операций. Действительно, простых чисел p La в факторной базе будет k = (La) = La по нашему соглашению. Простое число p мо жет входить в разложение Q(m) с кратностью p logp Q(m) log2 n.

Следовательно, общее количество операций деления для разложения Q(m) на множители не будет превосходить величины elog log n La · log2 n = La · = La · Lo(1) = La log по нашему соглашению.

Пусть мы делали случайный выбор m на 1 этапе Lb раз для некоторой постоянной b. Тогда будет потрачено La+b арифметических операций на разложение Q(m) на множители. Если мы нашли k + значение mi, то на 2-м этапе, решая систему линейных уравнений от k + 1 = La + 1 = La неизвестных методом Гаусса, мы потратим еще L3a арифметических операций. В работе [221] с помощью теорем о рас пределении простых чисел показано, что при b = a + за Lb выборов 2a числа m мы с высокой вероятностью найдем (La) + 1 = La = k + значений mi таких, что Q(mi) раскладываются на множители из на шей факторной базы. Тогда суммарная оценка сложности алгоритма Диксона составит Lmax(a+b,3a) = Lmax 2a+ 2a,3a арифметических операций. Минимум величины max 2a +, 3a 2a на интервале (0;

+) достигается и равен 2. В итоге получаем оценку § 3.2. Метод Диксона. Дополнительные стратегии сложности алгоритма при a = :

L2 = Ln ;

арифметических операций.

Вывод. Если факторная база состоит из всех простых чисел p L(n)1/2 и мы случайно выбираем L(n)3/2 значений m, то с высокой вероятностью будет построена пара x, y N такая, что x2 = y2 (mod n).

При этом будет выполнено Ln ;

2 арифметических операций (ес ли на 2 этапе алгоритма Диксона использовать обычное гауссово исключение для решения линейных систем).

Теперь обсудим дополнительные стратегии ускоряющие работу ал горитма Диксона (см. [221]).

Стратегия LP (использование больших простых чисел) Эта стратегия была впервые предложена в работе [79]. Обычно она всегда используется на практике в субэкспоненциальных алгоритмах факторизации целых чисел и алгоритмах дискретного логарифмирова ния в конечных простых полях.

Суть стратегии LP заключается в следующем. Пусть мы раскла дываем на множители Q(m) = m2 (mod n);

поделили на все простые p La, и у Q(m) еще осталась неразложенная часть s, то есть p Q(m) = s · p (m).

p La Очевидно, что s > La. Если дополнительно выполняется неравенство s L2a, то s простое число (иначе у s был бы простой делитель, — не превосходящий s La). Тогда мы включаем дополнительное боль шое простое число s в факторную базу и храним те значения m, для которых Q(m) делится на данное s. Это увеличивает длину векторов-показателей на 1 этапе алгоритма. Для того, чтобы вернуться к исходной длине векторов k, после выполнения 1 этапа следует про вести исключение дополнительных больших простых чисел. А именно, если в нашем списке есть дополнительное большое простое число s, и только одно Q(m) делится на него, то мы вычеркиваем s и Q(m) из списка. Если же, например, есть два значения Q(m1) и Q(m2), делящиеся на s, то значение Q(m1) · Q(m2) (m1m2)2 (mod n) будет делиться на s2. Следовательно, показатель числа s войдет в вектор 6 О. Н. Василенко 82 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью показателей в четной степени и будет отсутствовать в системе линейных уравнений над Z 2Z.

/ Можно использовать стратегию LP с двумя, тремя и т. д. дополни тельными большими простыми числами, то есть искать такие m N, для которых m2 Q(m) (mod n) и p Q(m) = p (m) · s1s2... st, p La где s1,..., st дополнительные большие простые числа, не содер — жащиеся в факторной базе. В этом случае для исключения дополни тельных простых чисел используется теория графов: строится граф, в котором затем ищутся циклы, дающие четную степень произведений s1,..., st.

Замечание 3.4. Теоретическая оценка сложности алгоритма Дик сона с применением стратегии LP не улучшается и по-прежнему со ставляет Ln ;

2 арифметических операций.

Стратегия PS (применение алгоритма Полларда Штрассена) — В §2.6 мы описали алгоритм Полларда Штрассена, который для — z N и y = z2 находит наименьший простой делитель числа НОД(t, y!) за O(z log2 z log2 t) арифметических операций.

Применительно к алгоритму Диксона мы хотим в числе Q(m) выде лить часть разложения на простые множители, состоящую из простых чисел p, p La. Тогда пола га емz = [La/2] + 1, y = z2 La, y La ипри меняем алгоритм Полларда Штрассена не более, чем log2 n раз при — t = Q(m). В итоге мы выделим у числа Q(m) разложение на p La за O(log n · La/2 log4 n) = La/2 арифметических операций (по нашему со глашению). Следовательно, оценка сложности алгоритма Диксона сос тавит a Lmax( 2 +b,3a) арифметических операций.

Теорема 3.5. Сложность алгоритма Диксона со стратеги 1 1 ей PS минимальна при a = иb= a + исоставляетLn ;

2a арифметических операций.

Стратегия EAS (стратегия раннего обрыва) Пусть a, c, некоторые фиксированные постоянные, 0 < a, c, < — < 1. В алгоритме Диксона мы факторизовали Q(m) пробными делени § 3.3. Алгоритм Бриллхарта Моррисона — ями на p La. В стратегии EAS мы сначала делаем пробные деления Q(m) на p La, и если после этого неразложенная часть Q(m) оста ет ся больше, чем n1-c, то мы отбрасываем данное m и переходим к сле дующему. В работе [221] проведен детальный анализ стратегии EAS.

Теорема 3.6. Алгоритм Диксона стратегией EAS при со 2 1 1 1 a =, c =, = делает Ln ;

арифметических опе 7 7 2 2 раций. При этом мы перебираем m в количестве Lb значений при c 1 - c b = a + +.

2 a 2a Замечание 3.7. Можно проводить стратегию EAS с несколькими обрывами, то есть при некоторой возрастающей последовательности i и убывающей последовательности ci.

Методы исключения Имеются более тонкие, чем алгоритм Гаусса, методы решения ли нейных систем уравнений над конечными полями. О них будет рас сказано в последней главе книги. Например, в работе [98] предложен алгоритм решения систем линейных уравнений от k неизвестных в поле Z 2Z за O(k2,495548) арифметических операций.

/ Теорема 3.8. Алгоритм Диксона со стратегиями PS, EAS с несколькими обрывами и алгоритмом решения линейной си стемы уравнений от k неизвестных за O(k ) арифметических 1 операций при < 5 2 имеет оценку сложности Ln ;

ариф / 2 метических операций.

Замечание 3.9. Алгоритм Диксона представляет собой очень удоб ную модель для получения теоретических оценок сложности без ис пользования каких-либо эвристических и недоказанных гипотез. Од нако, на практике он не применяется;

вместо случайного выбора m используются другие подходы, о которых мы расскажем в следующих параграфах.

§ 3.3. Алгоритм Бриллхарта Моррисона — В алгоритме Бриллхарта Моррисона случайный выбор m из ал — горитма Диксона заменяется на детерминированное определение оче редного значения m, для которого мы ищем разложение m2 (mod n) на простые множители из факторной базы. Этот выбор m делается 6* 84 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью с помощью непрерывных дробей для числа n. Алгоритм впервые был описан в работе [79];

с его помощью было разложено на множители число Ферма F7. Данный метод факторизации был наиболее популяр ным до появления в 1981 г. алгоритма квадратичного решета Померан са, о котором будет рассказано в следующем параграфе. Об алгоритме Бриллхарта Моррисона см. также [25;

285].

— Алгоритм основан на следующей теореме.

pi Теорема 3.10. Пусть n N, n > 16, n N. Обозначим через, qi i = 0, 1, 2,... подходящие дроби для разложения n в непрерыв ную дробь. Тогда абсолютно наименьший вычет p2 (mod n) равен i p2 - nq2 и выполняется неравенство i i |p2 - nq2| < 2 n.

i i Доказательство. Обозначим x = n > 1. Тогда по свойствам непрерывных дробей получим pi pi x x + |p2 - nq2| = q2 · - < · i i i qi qi pi+1 pi pi qi pi < q2 · - · x + = x +.

i qi+1 qi qi qi+1 qi Далее, p pi pi i+ x + < x + x + - = 2x +, qi qi+1 qi qiqi+ pi+1 pi поскольку и расположены по разные стороны от x. Следова qi+1 qi тельно, qi |p2 - x2q2| -2x < 2x -1 + + < i i qi+1 2xq i+ qi 1 qi + < 2x -1 + + = 2x -1 + 0, qi+1 qi+1 qi+ если i 1 (та к ка к тогда qi + 1 qi+1). Отсюда при i 1 получим n |p2 - nq2| < 2x = 2 n <, i i так как n > 16. Это означает, что при i 1 выполнено утверждение теоремы 3.10.

При i = 0, p0 = [ n], q0 = 1 и при = { n} получим |[ n]2 - n| = |( n - )2 - n| = | -2 n + 2| = (2 n - ) < 2 n.

Теорема доказана.

§ 3.3. Алгоритм Бриллхарта Моррисона — Разложение n в непрерывную дробь легко может быть найдено по следующей теореме.

Теорема 3.11. Пусть квадратичная иррациональность, — D - u =, где D N, D N, v N, u Z, v | D2 - u. Тогда для v любого k 0 справедливо разложение в непрерывную дробь = [a0, a1,..., ak, k+1], где a0 Z, a1,..., ak N, k+1 (k + 1)-й остаток. При этом спра — ведливы соотношения:

a0 = [ ], v0 = v, u0 = u + a0v и при k D - u2 D + uk k ak+1 = [ k+1], где vk+1 = Z, vk+1 =0, k+1 = >1, vk vk+ а ч исла uk получаются с помощью рекуррентной формулы uk+1 = ak+1vk+1 - uk.

Доказательство. Проведем индукцию по k. При k = 0 имеем 1 1 v 1 = = = = - a0 D - u D - u - va - a v v0 D + u0 D + u = = =.

(D D - u0 - u2) v0 v / Число v1 целое, поскольку — D - u2 - (u + a0v)2 D - u D = = - 2a0u - a2v Z v0 v v по условию. Очевидно также, что v1 = 0 та к ка к D = u2.

Пусть формулы теоремы 3.11 справедливы для номера k + 1. Дока жем, что они выполнены и для k + 2. По определению (k + 2)-го остатка выполнены равенства 1 1 vk+ k+2 = = = = k+1 - ak+1 D + uk D + uk - ak+1vk+ - ak+ vk+ vk+1 D + uk+1 D + uk+ = = =.

(D D - uk+1 - u2 ) vk+1 vk+ / k+ 86 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью По определению неполного частного ak+2 = [ k+2]. Осталось лишь до D - u k+ казать, что vk+2 = является целым числом. Число vk+ D - u2 - (ak+1vk+1 - uk) D k+ vk+2 = = vk+1 vk+ D - u k будет целым тогда и только тогда, когда целым будет число = vk;

vk+ но vk целое по предположению индукции.

— Следствие 3.12. По теореме 3.11 мы найдем разложение n в непрерывную дробь, используя только операции с целыми чис D + u лами и нахождения целой части чисел вида.

v Алгоритм Бриллхарта Моррисона.

— Будем обозначать через Pi Qi подходящие дроби разложения n / в непрерывную дробь (чтобы не путать их с элементами факторной базы {pi}). Факторную базу составляют p0 = -1 и простые числа pi, pi L(n)a = La, где = при этом мы берем лишь те простые a const;

n числа, для которых =+1. Алгоритм Бриллхарта Моррисона ра — pi ботает так же как алгоритм Диксона, только вместо случайных зна чений m мы берем mi = Pi, и по теореме 3.10 абсолютно наименьший вычет m2 (mod n) ра вен i Q(mi) = Pi - nQ2, i причем |Q(mi)| < 2 n. В последнем неравенстве и заключается основ ная идея алгоритма: если в методе Диксона Q(m) < n, то в методе Бриллхарта Моррисона |Q(m)| существенно меньше (не превосходит — 2 n). Следовательно, вероятность того, что Q(m) будет гла дким (т. е.

разложится в нашей факторной базе), из эвристических соображений значительно выше.

Замечание 3.13. Если p простое число из факторной базы — и p | Q(mi) для некоторого номера i, то p Qi, поскольку (Pi, Qi) = 1.

n Тогда Q2n Pi (mod p), откуда и следует условие =+1.

i p Приведем оценки сложности алгоритма Бриллхарта Моррисона, — следуя работе [221]. При получении этих оценок делаются некото рые эвристические допущения. Например, предполагают, что если с помощью алгоритма построено 1 + [log2 n] пар (x, y) таких, что x2 y2 (mod n), то хотя бы для одной из них выполнены неравенства 1 < НОД(x ± y, n).

§ 3.4. Квадратичное решето Утверждение 3.14. Если a = 1 2 и факторная база состоит / из p = -1 и всех простых чисел p таких, что n 2 p La, =+1, p то при вычислении Lb подходящих дробей где b = a + можно 4a ожидать, что алгоритм разложит n на множителя с эври два стической оценкой сложности Ln ;

2 арифметических опе раций.

Утверждение 3.15. В условиях утверждения 3.14 использова ние стратегии LP дает ту же оценку сложности алгоритма (но на практике эту стратегию следует использовать обяза тельно).

Утверждение 3.16. Использование стратегии PS при a =, b = a + дает эвристическую оценку сложности алгоритма 4a 1 Ln ;

арифметических операций.

2 Утверждение 3.17. Использование стратегий PS, EAS с k обрывами и алгоритмом решения линейной системы уравнений от k неизвестных в Z 2Z за O(k ) арифметических операций / при дает эвристическую оценку сложности алгоритма 5/ 1 Ln ;

арифметических операций.

2 Метод Бриллхарта Моррисона существенно менее эффективен, — чем метод квадратичного решета, о котором мы расскажем в следую щем параграфе.

§ 3.4. Квадратичное решето Алгоритм квадратичного решета был предложен К. Померансом в начале 1981 г. (см. [221;

222;

225]). Ряд усовершенствований этого метода был предложен впоследствии в работах [66;

86;

93;

213;

229;

258;

266], см. также [89].

Эвристическая оценка сложности усовершенствованного алгоритма квадратичного решета составляет Ln ;

1 арифметических операций.

Рекордное значение для факторизованных этим методом чисел состав ляет 129-значное RSA-число n (см. [58]).

88 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью Опишем схему исходного алгоритма квадратичного решета Поме ранса. Мы по-прежнему будем строить соотношения X2 = Y2 (mod n) и проверять выполнение неравенства:

1 < НОД(X ± Y, n) < n.

Для этого рассмотрим многочлен Q(x) = (x + [ n])2 - n H(x)2 (mod n), где H(x) = x + [ n]. Значения Q(x) в целых точках, очевидно, являются квадратами по модулю n. Коэффициенты Q(x) невелики, порядка n1/2.

В качестве факторной базы S рассматриваем p0 = -1 и все простые n числа pi, pi B, такие, что =+1. Затем с помощью некоторого pi просеивания мы находим значения xi, для которых ip Ai = Q(xi) = p, pS т. е. Q(xi) раскладывается в нашей факторной базе. Тогда, обозначая Bi = H(xi), получаем сравнение B2 Ai (mod n), и, накопив достаточно i много таких соотношений, мы проводим исключение переменных и по строим соотношение X2 Y2 (mod так же, как в алгоритме Диксона.

n) n Замечание 3.18. Условие =+1 для простых чисел p из фак p торной базы следует из сравнения (x + [ n])2 n (mod p), которое должно будет выполняться для некоторого x Z.

Просеивание. Значения xi Z, для которых Q(xi) являются гла д кими, определяются следующим образом. Для каждого простого ( ( числа p из факторной базы находим решения r1p) и r2p) уравнения Q(x) 0 (mod p) (например, вероятностным алгоритмом, см. гл. настоящей книги). Затем мы меняем x Z в достаточно большом про межутке [-M;

M], M N, заводим массив, пронумерованный этими значениями x, и в элемент массива с номером x помещаем достаточно грубо вычисленные значения log |Q(x)|. Затем для каждого просто го p из факторной базы S мы выполняем процедуру просеивания:

из элементов массива, номера которых лежат в арифметических про ( ( грессиях x r1p) (mod p) и x r2p) (mod p), мы вычитаем достаточно грубо вычисленное значение log p. Смысл такого вычитания состоит в том, что для элементов x в этих прогрессиях значение Q(x) будет делиться на p, но деление Q(x) на p мы пока что заменяем вычитанием log |Q(x)| -log p. После окончания процедуры просеивания в элементе § 3.4. Квадратичное решето массива с номером x будет содержаться значение log |Q(x)| - log p.

pS, p|Q(x) На самом деле необходимо проводить просеивание также и по сте пеням простых чисел pl для нескольких небольших l. То есть надо ( ( находить решения r1p,l), r2p,l) уравнения Q(x) 0 (mod pl), и затем в хо ( де просеивания из элементов массива с номерами x r1p,l) (mod pl) ( и x r2p,l) (mod pl) проводить вычитание log p. Тогда после просеива ния в элементе массива с номером x будет стоять значение log |Q(x)| - l log p.

pS, pl|Q(x) После завершения процедуры просеивания мы идем по массиву и берем те номера x, для которых значения элементов массива неве лики по абсолютной величине. Для этих номеров x значение Q(x) скорее всего разложится в нашей факторной базе и мы факторизуем теперь число Q(x) пробными делениями и оставляем те x, для которых Ai = Q(xi) полностью разложится в нашей факторной базе.

Замечание 3.19. Смысл процедуры просеивания заключается в экономии большого количества операций деления больших це лых чисел. То есть, вместо того, чтобы сразу для каждого x [-M;

M] пытаться разложить Q(x) в факторной базе, мы предварительно с помо щью простых операций сложения и вычитания существенно сокращаем множество тех x, для которых мы затем будем факторизовать чис ла Q(x) пробными делениями. Эта экономия дает на практике очень существенный эффект, из-за которого метод квадратичного решета превзошел все предыдущие алгоритмы факторизации.

Замечание 3.20. Поскольку каждое второе целое число делится на 2, каждое третье на 3 и т. д., то можно не проводить просеивание по степеням маленьких простых, т. е. например, по pk 100. Вместо этого, после окончания процедуры просеивания надо брать не просто маленькие элементы итогового массива, а элементы, не превосходящие по абсолютной величине некоторой небольшой границы, которая учи тывает невычтенные нами из log |Q(x)| несколько значений log 2, log 3, log 5 и т. д.

Замечание 3.21. В алгоритме квадратичного решета следует обя зательно использовать стратегию LP (в книге [89] рекомендуется ис пользовать LP с двумя большими простыми числами).

90 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью Силвермен [258] предложил в методе квадратичного решета исполь зовать не один, а несколько многочленов Q(x) вида Q(x) = Ax2 + 2Bx + C, где A N, B, C Z, B2 - AC > 0, причем n | B2 - AC. Мы опишем это усовершенствование квадратичного решета, следуя [89]. Для многочле на AQ(x) выполнено соотношение AQ(x) = (Ax + B)2 - (B2 - AC) (Ax + B)2 (mod n).

Для того, чтобы значения Q(x) были невелики, мы проводим просеива ние по интервалу B B I = - - M;

- + M A A B с центром - в вершине параболы (здесь M некоторый выбираемый — A нами параметр). Очевидно, что для x I справедливы неравенства B B Q - Q(x) Q - + M.

A A Значения Q(x) будут невелики, если B B Q - Q - + M ;

A A B B в этом случа е Q(x) -Q - + M ;

Q - + M. Отсюда находим A A 2 B2 B2 B B A - 2 + C - A - + M + 2B - + M + C = A A A A B = -AM2 + - C.

A Следовательно, B AM2 2 - 2C, A 2(B2 - AC) откуда A. Кроме того, n | B2 - AC, иеслиB2 - AC = n, то M n max |Q(x)| Q - B B2 - AC n M.

= A A xI 2n M / Данная величина имеет порядок n, если M много меньше, чем n.

§ 3.4. Квадратичное решето Поэтому для выбора многочленов Q(x) мы сперва выбираем M (M много меньше чем n, обычно M вида L2 ;

const ). Затем выби раем простое число A, 2n n A, =+1.

M A Далее находим B Z, B2 n (mod A) (алгоритмы решения квадратных уравнений в конечных простых полях B2 - n мы описываем далее в гл. 6). Затем полагаем C =, и A Q(x) = Ax2 + 2Bx + C.

Замечание 3.22. 1. Технические детали можно найти в [258].

2. Коен [89] не рекомендует слишком часто менять многочлены.

3. Можно брать A составным, состоящим из произведения несколь n ких простых q, для которых =+1. Тогда для B существует q несколько значений решений уравнения z2 n (mod A). Такой вы — бор A и B упростит процедуру инициализации перед просеиванием массива {log |Q(x)|} для данного набора многочленов.

В работе [229] предложен несколько иной выбор многочленов.

А именно, предлагается выбирать u(x) = a2x + b, v(x) = a, w(x) = a2x2 + 2bx + c и затем с помощью просеивания искать значения xi [-M;

M], для которых u(xi)2 v(xi)2w(xi) (mod n), u(xi)2 = v(xi)2w(xi), и при этом значения w(xi) являются гладкими. Потом с помощью неко торой техники исключения мы найдем множество индексов I такое, что w(xi) является квадратом. Тогда при iI X = u(xi), Y = v(xi) w(xi) iI iI i I мы получим искомое соотношение X2 Y2 (mod n).

92 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью В работе [229], в отличие от [89], предлагается часто менять мно гочлены u(x), v(x) и w(x). При этом инициализация перед просеива нием массива значений {log |w(x)|} делается некоторым эффективным трубочным способом. Дальнейшее развитие метода [229] предложено « » в работе [213].

В работе [66] описано эффективное применение стратегии LP в ме тоде квадратичного решета.

В работе [74] описана возможность эффективного распараллели вания алгоритма квадратичного решета на несколько компьютеров.

Вывод. Метод квадратичного решета с использованием несколь ких многочленов является эффективным и достаточно легко реализу емым на компьютере алгоритмом. Он, по-видимому, является наилуч шим из известных алгоритмов факторизации произвольных чисел n N, n < 10110, если не считать метода факторизации с помощью эллиптиче ских кривых (см. далее гл. 4), который в некоторых случаях может сработать быстрее. Однако для чисел n, больших 10110, алгоритмы решета числового поля работают быстрее метода квадратичного ре шета. Об этих алгоритмах мы расскажем далее в §3.6. Заметим, что сравнение эффективности квадратичного решета и алгоритмов решета числового поля было проведено в работах [110 112], см. также [74].

— § 3.5. Методы Шнорра Ленстры — и Ленстры Померанса — В этом параграфе мы вкратце опишем два субэкспоненциальных вероятностных алгоритма для факторизации целых чисел. Один из них принадлежит Ленстре и Померансу [169], другой Ленстре и Шнорру, — см. [89;

241].

Алгоритм Шнорра Ленстры был первым субэкспоненциальным — алгоритмом, для которого требуется лишь небольшой объем памяти компьютера. Объем памяти здесь составляет величину O(log n) би тов, а в методах, описанных в предыдущих параграфах, этот объем субэкспоненциален. Сложность метода составляет в среднем Ln ;

арифметических операций;

алгоритм является вероятностным. Алго ритм работает с бинарными квадратичными формами отрицательного дискриминанта и с помощью некоторого случайного выбора ищет ам бигову форму в группе классов квадратичных форм. Эта форма может дать разложение n на множители;

в случае неудачи следует сделать следующий случайный выбор.

§ 3.6. Алгоритмы решета числового поля Отметим, что на практике алгоритм Шнорра Ленстры никогда ак — тивно не использовался. Алгоритм Ленстры для факторизации с по мощью эллиптических кривых (о котором см. 4) имеет ту же оценку сложности и так же требует немного памяти, но групповые операции на кривой выполняются значительно быстрее, чем операции в груп пе классов квадратичных форм. Поэтому алгоритм Ленстры считается значительно более эффективным и активно используется на практике.

Алгоритм Ленстры Померанса также является вероятностным — и ра скла дыва ет n на множители в среднем за Ln ;

1 арифметических операций. Этот алгоритм, так же как и алгоритм Шнорра Ленстры, — работает с группой классов бинарных квадратичных форм отри цательно дискриминанта и также ищет амбигову форму. Однако оценка сложности алгоритма Ленстры Померанса является строгой — и не использует недоказанные гипотезы и эвристические рассуждения.

Более того, в работе [169] показано, что для некоторой бесконечной достаточно плотной последовательности натуральных чисел n эвристи ческие рассуждения, лежащие в основе оценки сложности алгоритма Шнорра Ленстры, являются неверными. Поэтому фактически у нас — нет сейчас оснований считать, что алгоритм Шнорра Ленстры имеет — указанную выше оценку сложности.

Заметим, что алгоритм Ленстры Померанса, как и алгоритм — Шнорра Ленстры, никогда активно не использовался на практике.

— § 3.6. Алгоритмы решета числового поля Алгоритм решета числового поля для факторизации целых чи сел специального вида (special number field sieve, или SNFS) был впервые предложен в 1990 г. в работе [161]. С его помощью было разложено на множители число Ферма F9 = 2512 + 1, записываемое 155 десятичными знаками (см. об этом [162]). Эвристическая оцен ка сложности составляет Ln [1 3;

c] арифметических операций при / c = (32 9)1/3 = 1,5263... Числа n, к которым применяется SNFS, име / ют вид n = re - s, где r N, s Z, r и |s| невелики.

Впоследствии метод был обобщен и применен для факторизации произвольных целых чисел. Он получил название general number field sieve или, сокращенно, GNFS. Оценка сложности также составляет Ln [1 3;

c] при некоторой постоянной c.

/ В настоящее время рекордным значением для натуральных чисел, разложенных с помощью SNFS, является число специального вида, 94 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью записываемое 227 десятичными знаками, см. [265]. Для RSA-чисел n, не имеющих специального вида, рекордные разложения были найдены в 1999 г.: сначала было разложено 140-значное RSA-число (см. [87]), а затем 155-значное RSA-число (512 битов), см. [88]. На факториза цию этого последнего числа потребовалось около 8400 mips-year1.

Метод решета числового поля и его усовершенствования описаны в ряде работ, см. [107;

110;

111;

112;

159;

162;

163;

203;

204;

205;

226;

227;

290]. В настоящее время, согласно [74], это самый эффективный метод факторизации для чисел n > 10110 (сравнение NFS с методом квадратичного решета см. в конце §3.4);

см. об этом также обзоры [211] и [209].

Фактически решето числового поля не является алгоритмом. Это метод вычисления, состоящий из нескольких этапов, и каждый из этих этапов обслуживается несколькими алгоритмами. Подробное описание SNFS и GNFS выходит далеко за рамки данной книги. Для того, что бы читатель получил представление о методе решета числового поля и об используемым этим методом средствах, мы схематически опишем факторизацию числа Ферма F9, следуя работе [162].

Далее в этом параграфе мы предполагаем, что читатель знаком с основами алгебраической теории чисел в объеме, например, кни ги [263].

Обозначим N = F9 = 2512 + 1. Еще в 1903 г. был найден простой делитель p7 = 2424833. Мы обозначим n = N p7. Это число было далее / разложено с помощью SNFS на два сомножителя: n = p49 · p99. Для этого потребовалось около 700 рабочих станций и один суперкомпьютер для решения системы линейных уравнений;

работа заняла несколько месяцев. Предполагалось предварительно (хотя это и не проверялось), что n не есть степень простого числа;

это допущение в конечном счете оказалось верным.

Схема метода SNFS для n.

1 этап. Выбор факторной базы.

Факторная база состоит из некоторого множества элементов ap Z nZ, ap = 0, где p пробегает некоторое конечное множество ин / дексов P0. Все ap обратимы в Z nZ (иначе был бы найден делитель n).

/ Обозначим через ZP множество |P0|-мерных векторов:

ZP = {( p)pP | p Z}.

Mips (англ.) сокр. от million instructions per second миллион команд в секунду — — (единица измерения быстродействия ЭВМ);

year год, mips-year единица измерения — — числа операций за год.

§ 3.6. Алгоритмы решета числового поля Рассмотрим отображение p f : ZP (Z nZ), f(( p)pP ) = a p (mod n).

/ pP Это отображение на, если {ap} порождают (Z nZ);

обычно так и бы / вает, хотя доказать это, как правило, достаточно сложно.

2 этап. Нахождение соотношений.

Здесь мы ищем векторы v Ker f, т. е. та кие v = (vp)pP, для ко торых p av 1 (mod n).

p pP Нам нужно найти достаточно большое множество V = {v Ker f} этих векторов, точнее, |V| должно быть немного больше |P0|.

3 этап. Нахождение зависимостей.

Здесь мы ищем нетривиальную линейную зависимость по модулю найденных векторов v V;

их количество больше, чем их размерность, поэтому такая зависимость существует. Для ее нахождения мы решаем систему линейных уравнений zjvj 0 (mod 2), j где V = {vj}. Это большая разреженная система линейных уравнений над полем Z 2Z. Решив ее, мы тем самым найдем непустое подмноже / ство W V, для которого v = 0 (mod 2).

vW Тогда w = v есть вектор с целыми коэффициентами, причем — vW 2w Ker f. Это означает, что при X f(W) (mod n) выполнено срав нение X2 f(2W) 1 (mod n).

Тогда мы проверяем, выполняется ли неравенство 1 < НОД(X ± 1, n) < n.

Если да, то делитель n найден, и мы останавливаемся. Иначе возвра щаемся либо на 2 этап (находим новые соотношения), либо на 1 этап (строим новую факторную базу).

Конец схемы.

96 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью Для факторизации нашего числа n = F9 p7 рассматривается чис / 5 ловое поле K = Q( 2). Элементы поля K имеют вид = qi ( 2)i, i= где qi Q;

им соответствуют векторы (q0, q1, q2, q3, q4) Q5. Сложение таких элементов (векторов) проводится покоординатно, а умножение выполняется с помощью соотношения ( 2)5 = 2. Мы обозначаем че рез Norm норму алгебраического числа K в поле K;

символом (j) мы обозначаем элемент j ( ), где 1, 2, 3, 4, 5 все изоморфизмы — K в C.

Лемма 3.23. Пусть 1 l 4, a, b R. Тогда Norm(a - ( 2)lb) = = a5 - 2lb5.

Доказательство. Поскольку j ( 2)l корни многочлена x5 - 2l, — выполняются равенства 5 a Norm(a - ( 2)lb) = b5 Norm - ( 2)l = b a 5 a = b5 - j ( 2)l = b5 - 2l, b b j= Лемма доказана.

Обозначим через ZK кольцо алгебраических чисел поля K;

целых можно доказать, что ZK = Z[ 2]. Зафиксируем границу гладкости B R>0 (это достаточно большое число).

Определение 3.24. Число ZK называется B-гладким, если p Norm Z является B-гладким числом (т. е. Norm = ± pr, p простое, — p B где rp Z 0).

Пусть R коммутативное кольцо с единицей, кольцевой гомо — — морфизм:

: Z[ 2] R, (1) = 1.

Тогда для c = ( 2) N выполнено равенство c5 = (2) = 2 R.

Обратно, если найдется элемент c R такой, что c5 = 2 R, то мы можем определить кольцевой гомоморфизм : Z[ 2] R соотношени ями (1) = 1, ( 2) = c.

Пример 3.25. Для n = F9 p7 мы положим R = Z nZ, c 2205 (mod n).

/ / Так как 2512 -1 (mod n), c5 21025 2 (mod n). Поэтому суще то 5 ствует гомоморфизм : Z[ 2] Z nZ такой, что (1) = 1, ( 2) = / = 2205 (mod n).

Лемма 3.26. Пусть p простое число, p 1 (mod 5). Тогда — в Z pZ существует единственное c такое, что c5 2 (mod p).

/ § 3.6. Алгоритмы решета числового поля Доказательство. Существует единственное k N такое, что 5k 1 (mod p - 1), 1 k p - 1. Тогда, если f(x) и g(x) отображения — Z pZ в себя, f(x) = x5, g(x) = xk, то f(g(x)) тождественное отобра / — жение. Следовательно, f(x) есть отображение на, откуда следует наше утверждение.

Лемма 3.27. Если p 1 (mod 5), то в Z pZ либо нет ни одно / го такого c, что c5 2 (mod p), либо есть 5 таких элементов c Z pZ, что c5 2 (mod p). Если обозначить их через c0,..., c4, / p- j то cj = c0 · a, где a первообразный корень по модулю p.

— Теперь рассмотрим ненулевые идеалы B в дедекиндовом кольце Zm = Z[ 2]. Норма идеала B определяется равенством Norm B = = |ZK B|.

/ Норма мультипликативна, т. е. Norm AB = Norm A Norm B. Можно доказать, что поле K одноклассное, т. е. группа классов идеалов состо ит из одного элемента;

другими словами, любой идеал в ZK является главным.

Пусть P = (0) простой идеал ZK. Тогда ZK P = GF(pk) для неко — / торого простого числа p и натурального k.

Определение 3.28. Простой идеал P называется простым идеа лом первой степени, если ZK P = GF(p), где p простое число.

/ — По теореме Куммера простые идеалы первой степени в ZK имеют вид P = (p, 2 - c), где p простое число, c Z, f(x) = x5 - 2, f(c) — 0 (mod p). При этом для естественного гомоморфизма ZK ZK P = / 5 = GF(p) элемент 2 переходит в 2 c (mod p), и c5 2 (mod p).

Лемма 3.29. Если p 1 (mod 5), то в кольце ZK существует единственный простой идеал P нормы p. При этом для элемен та ZK равенство P = ( ) справедливо тогда и только тогда, когда | Norm | = p.

Доказательство. По теореме Куммера простые идеалы ZK, лежа щие над p, имеют видPi = (p, fi ( 2)), где fi (x) Z[x] унитарные мно — ei гочлены, fi(x) (mod p) неприводимы в Z pZ[x], и f(x) = fi (x) (mod p).

/ i Кроме того, Norm Pi = pdeg fi (x). Следовательно, Pi простой идеал — первой степени тогда и только тогда, когда fi (x) линейный много — член. Но f(x) (mod p) по лемме 3.26 имеет единственный линейный множитель;

из этого следует единственность P.

Далее, если P = ( ), то Norm P = | Norm | = p. Обратно, если | Norm | = Norm( ) = p, то из разложения идеала ( ) в произведение простых идеалов, мультипликативности нормы и единственности P следует, что ( ) = P.

7 О. Н. Василенко 98 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью Пример 3.30. Пусть p = 2. Тогда f(x) = x5 - 2 x5 (mod 2), (2) = 5 = (2, 2)5 = P5, где P = ( 2) простой идеал первой степени. При — этом Z P = Z 2Z.

/ / Пример 3.31. Пусть p = 3, f(x) = x5 - 2 x5 1 (mod 3) = (x + 1) + (x4 - x3 + x2 - x + 1) (mod 3). Тогда P = (3, 2 + 1) единственный — простойидеа лпервойстепенинормы 3. Далее, для элемента = 1 + с помощью леммы 3.23 находим, что Norm = 3. Поэтому P = = (1 + 2).

Определение 3.32. Пусть p простое число, c Z pZ, c — / 2 (mod p). Через p,c мы будем обозначать кольцевой гомомор физм p,c : ZK Z pZ, определяемый равенством p,c( 2) = c.

/ Лемма 3.33. Пусть P простой идеал первой степени в Z[ 2], — P = (p, 2 - c), где p простое число, c5 2 (mod p). Пусть — Z[ 2]. Равенство P = ( ) имеет место тогда и только тогда, когда | Norm | = p и p,c ( ) = 0.

Доказательство. Очевидно, что ZK Ker p,c Z pZ.

/ / Поэтому Ker p,c простой идеал в ZK, содержа щий p и 2 - c;

сле — довательно, Ker p,c = P.

Если | Norm | = p и p,c ( ) = 0, то P и нормы ( ) и P совпадают, откуда ( ) = P.

Если же P = ( ), то P, откуда p,c ( ) = 0. При этом равенство | Norm | = p очевидно.

5 Пример 3.34. Пусть = 1 + ( 2)2 - 2( 2)3, Norm = -151, p = = 151 простое число. Если c = 116, то c5 2 (mod 151). Нетруд — но убедиться в том, что 151,116 ( ) 0 (mod 151). Поэтому P = = (151, 2 - 116) = ( ) простой идеа л первой степени в ZK.

— Следствие 3.35. С помощью леммы 3.33 можно находить обра зующие простых идеалов первой степени в ZK.

Определение 3.36. Число ZK называется единицей поля K, ес ли -1 ZK.

По теореме Дирихле о единицах любая единица поля K имеет вид l l = ± 11 22, l1, l2 Z, где 1 и 2 основные единицы поля K.

— Поскольку поле K одноклассное, то любой ненулевой простой иде ал P имеет вид P = ( P) для некоторого P ZK. Тогда для любого § 3.6. Алгоритмы решета числового поля \ элемента ZK 0 из разложения P ( ) = Pm ( ) P следует равенство mP( ) = P, P P где единица поля K. При этом также | Norm | = | Norm P|m ( ).

— P Пример 3.37. Пусть = -1 + ( 2)4, Norm = 15. Тогда ( ) = P1P2, где P1, P2 простые идеалы нормы 3 и 5 соответственно. Такие идеалы — 5 единственны, причем P1 = (1 + 2) (пример 3.31), а P2 = (1 + ( 2)2).

5 5 Поэтому -1 + 2)4 = 1(1 + 2) (1 + ( 2)2), откуда мы находим, ( что 1 = -1 + 2. Элемент 1 является единицей поля K, причем Norm 1 = 1.

Пример 3.38. Пусть = 1 + ( 2)3. Тогда, аналогично примеру 3.37, 5 5 5 5 находим 1 + ( 2)3 = 2 (1 + 2)2, и 2 = -1 + ( 2)2 - ( 2)3 + ( 2) — еще одна единица поля K, Norm 2 = 1.

Далее в алгоритме решета числового поля для факторизации n = F9 p7 авторы [162] считали, что найденные в примерах 3.37 и 3. / единицы 1 и 2 являются основными единицами поля K. При этом никаких противоречий в ходе работы алгоритма не возникало, и он успешно завершил работу. Заметим, что существуют алгоритмы по строения основных единиц числового поля (см. [217]), однако в данном случае они не применялись.

v v v Пусть произвольная единица поля K. Тогда = 00 11 22, где — 0 = -1, а единицы 1, 2 были найдены нами в примерах 3.37 и 3.38;

vj Z. Нам далее нужно уметь находить v0, v1, v2, зна я. Очевидно, что v0 = 0, если Norm > 0;

v0 = 1, если Norm < 0. Положим 2 i+log 1 = e(log 2)/5, 2 = e, 1, 2 C, и рассмотрим кольцевые гомоморфизмы j : Z[ 2] C, j ( 2) = j, j = 1, 2. Тогда при j = 1, 2 справедливы равенства log |j ( )| = v1 log |j + v2 log ( 1)| |j( 2)|, и можно показать, что опре log делитель матрицы |j( k)| j,k=1,2 отличен от нуля. Поскольку v1, v2 целые числа, то с помощью приближенных вычислений мы — сможем их найти, зная.

7* 100 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью Теперь осуществим первый этап алгоритма построение фак — торной базы. Мы выбираем границу гладкости B = 1294973 для n = F9 p7. Рассматриваем все простые числа p B. Для каждого p / ищем c Z pZ, c5 2 (mod p), и составляем таблицу пар (p, c), со / ответствующих простым идеалам первой степени P = (p, 2 - c). Для нахождения c можно применять вероятностный алгоритм решения уравнения f(x) 0 (mod p) (см. гл. 6). Точнее, если p 1 (mod 5), то c 2k (mod p), где 5k 1 (mod p - 1). Если же p 1 (mod 5), то сперва проверяем выполнение сравнения 2(p-1)/5 1 (mod p). Ес ли оно не выполняется, то уравнение c5 2 (mod p) неразрешимо;

в противном случае для решения x5 - 2 0 (mod p) применяем веро ятностный алгоритм.

После нахождения множества простых идеалов первой степени P = (p, 2 - c) мы должны на йти P ZK, такие, что P = ( P). Для этого можно использовать следующий перебор. Рассмотрим множество T = ri ( 2)i ri Z, |ri| const.

i= Теоретические оценки для значения const в определении T можно из влечь из результатов [8, гл. 2]. Для T вычисляем Norm. Если Norm = p простое число и p B, то затем мы перебираем простые — идеалы первой степени P, делящие данное p, т. е. P = (p, 2 - c). Если такой идеал P единственен, то = P его образующий. Если же таких — P несколько, то образующий того из них, для которого p,c ( ) = — (по утверждению 3.33).

На деле авторы [162] использовали несколько более тонкий перебор: перебирали = si i, где = -( 2)3. Здесь si вза — i= имно простые целые числа, причем si 0, если si+1 =... = s4 = 0, и s2 · 26i/5 15000.

i i= С помощью этого перебора было найдено 49 726 образующих про стых идеалов первой степени. Всего затем было найдено 99 500 об разующих простых идеалов первой степени для нашей таблицы пар (p, c) P. Оставшиеся образующие искали аналогичным перебором идеалов P нормы 8 Norm P (здесь = -( 2)3);

т. е. находили элемен ты нормы 8p и, поделив на, находили образующие P.

Далее можно считать (заменяя при необходимости P на - P), что Norm P > 0.

§ 3.6. Алгоритмы решета числового поля Теперь рассмотрим гомоморфизм :

: Z[ 2] Z nZ, / 5 (1) 1 (mod n), ( 2) 2205 (mod n), из примера 3.25. При = -( 2) ( ) = -2615 2103 (mod n), поскольку 2512 -1 (mod n). Величина 2103 имеет порядок n1/5, и из этого в дальнейшем мы извлечем немалую пользу. Заметим, что при a, b Z верно сравнение (a + b ) a + 2103b (mod n).

Факторная база P0, которую мы строим сейчас, будет состоять из:

1) 99 700 простых чисел p, p B1 = 1295377;

2) 0 = -1, 1, 2 из примеров 3.37 и 3.38;

— 3) P образующих для 99 500 простых идеалов первой степени — P ZK, Norm P B2 = 1294973.

Для любого индекса P0 мы полагаем a = ( ) Z nZ, / и это есть завершение 1 этапа алгоритма.

Теперь опишем 2 этап алгоритма нахождение соотношений. Три — виальные соотношения вида 2 = 1 и 2 = ( 2)5 мы не используем. Да лее, имеется 4944 простых числа p из нашей факторной базы, для которых f(x) x5 - 2 (mod p) разлагается на линейные множители. Для этих p справедливо равенство p = P, P|(p) где P найденные нами образующие простых идеалов P, а еди — — v v ницы поля K. Для мы находим представление = 11 · 22 с помо щью приближенных вычислений (как это было описано выше);

0 = - не входит в это представление, так как p > 0 и все P положительны по построению. Отсюда получаем соотношения 1 (p) = ( 1)v ( 2)v ( P).

P|(p) Эти соотношения составили приблизительно 2,5% от всех соотноше ний, построенных на 2 этапе.

102 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью Дальнейшее построение соотношений происходит с помощью мето дов решета. Мы перебираем пары a, b Z, b > 0, такие, что 1) НОД(a, b) = 1;

2) |a + 2103b| = | (a + b )| является B1-гладким числом, за исклю чением, может быть, одного простого делителя p1, B1 < p1 < 108;

3) |a5 - 8b5| является B2-гладким, за исключением, может быть, одного простого делителя p2, B2 < p2 < 108.

Если p1 и p2 отсутствуют, то пара a, b дает нам полное соотноше ние;

в противном случае соотношение называется частичным. Заметим, что поскольку Norm(a + b ) = a5 - 8b5, то при p2 = 1 число a + b яв ляется B2-гладким.

Лемма 3.39. Пусть a, b Z, (a, b) = 1. Тогда любой простой идеал P кольца ZK, делящий a + b, является простым идеа лом первой степени. При этом, если разложение Norm(a + b ) на простые множители имеет вид m k Norm(a + b ) = qe, k k= то идеал (a + b ) в кольце ZK раскладывается на простые идеалы следующим образом:

m k (a + b ) = Qe.

k k= Здесь Qk | (qk) и при k > 2 определяется по формуле Qk = (qk, 2 - 2-1 (ab-1)2 (mod qk)), а при qk = 2 идеал Qk = ( 2).

Доказательство. Пусть p > 2 простое число, P простой иде — — ал, такой, что P | (p) и P | (a + b ). Поскольку (a, b) = 1, то p b. Сле довательно, ab-1 (mod p) P, откуда (ab-1 (mod p))2 - 2 = (ab-1 (mod p))2 - 2 2 P, 2 - (2-1 (ab-1)2) (mod p) P.

По утверждению 3.23, Norm(a + b ) = a5 - 8b5. Поскольку a5 - 8b 0 (mod p), то (2-1 (ab-1)2)5 - 2 0 (mod p).

§ 3.6. Алгоритмы решета числового поля Положим c 2-1(ab-1)2 (mod p). По теореме Куммера Q = (p, 2 - c) является простым идеалом первой степени, причем Q P. Следова тельно, Q = P простой идеа л первой степени.

— Мы показали также, что для каждого простого числа p = qk, де лящего Norm(a + b ), простой идеал Qk в ZK, делящий a + b и qk, определен однозначно по указанной в лемме 3.39 формуле. Отсюдасле m k дует равенство (a + b ) = Qe.

k k= Следствие 3.40. Лемма 3.39 сводит факторизацию идеа ла (a + b ) (где (a, b) = 1) на простые идеалы к целочисленной факторизации нормы Norm(a + b ) = a5 - 8b5 на простые числа следующим образом. Пусть P (a + b ) = Pk.

P простые идеалы — Тогда по лемме 3.39 Norm P простое число, и — P Norm(a + b ) = (Norm P)k.

P Пусть P простой идеал, делящий a + b, Norm P = p простое — — число.

1) Если p 1 (mod 5), то для данного p идеал P единственен по лемме 3.29;

тогда kP = P ((a + b )) = p (a5 - 8b5).

2) Если p 1 (mod 5), то сначала надо выяснить, для како го c из имеющегося набора значений простой идеал P = (p, 2 - c) входит в разложение идеала (a + b ). Воспользуемся отображе нием из доказательства леммы 3.39. Тогда c ( 2) (mod P), и если P | (a + b ), то (a + b ) a(1) + b( ) 0 (mod p).

Отсюда a ( ) c3 (mod p) (mod p).

b Поэтому a c6 2c (mod p), b a откуда c 2-1 (mod p) определяется по a, b и p однозначно.

b Тогда для этого c P = (p, 2 - c) и P (a + b ) = p (a5 - 8b5).

104 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью Итак, мы можем находить разложение идеала (a + b ) в произве дение простых идеалов кольца ZK.

Вернемся теперь к нахождению соотношений на 2 этапе алго ритма. Пусть (a, b) = 1 и пара a, b дает полное соотношение, т. е.

|a + 2103b| является B1-гладким числом и Norm(a + b ) = a5 - 8b является B2-гладким числом. Тогда имеют место следующие соотно шения.

uP 1) a + b = P, где единица, P простые идеалы, NormP — — P B2. Описанным выше способом мы находим показатели uP. За тем вычисляем uP = (a + b ) P P и находим разложение для :

v v v = 00 11 22.

Показатель v0 определяется знаком, а v1 и v2 мы находим с помощью приближенных вычислений, как это было описано ранее.

p 2) a + 2103b = ± pw, и это разложение мы находим с помощью p B просеивания, о котором будет сказано чуть позже.

Теперь применим отображение из примера 3.25. Тогда p ± pw = a + 2103b (a + b ) (mod n) i P ( i)v ( P)u (mod n), i=0 P и это есть соотношение между элементами факторной базы, которое мы построили на 2 этапе алгоритма.

Мы ограничились рассмотрением пары a, b, дающей полное соотно шение. Если соотношение частичное, т. е. появляются дополнительные простые числа p1, p2, то далее с помощью некоторой техники исклю чения из нескольких таких соотношений делают одно полное соотно шение. Здесь используется теория графов;

мы не рассматриваем эту технику в деталях.

Накопив достаточно много соотношений, мы переходим к 3 этапу алгоритма и находим X Z, X2 1 (mod n), с помощью решения систе мы линейных уравнений над полем Z 2Z. При факторизации n = F9 p / / использовалось структурированное гауссово исключение для решения систем линейных уравнений над Z 2Z (см. об этом гл. 11).

/ § 3.6. Алгоритмы решета числового поля Теперь объясним, как проводилось нахождение пар a, b Z, (a, b) = 1, таких, что a + 2103b и a5 - 8b5 являются B1- и B2-глад кими числами соответственно. Для этого использовалось просеивание, аналогичное просеиванию в методе квадратичного решета из §3.4.

Зафиксируем b, 0 < b < 2, 5 · 106. Выберем некоторый отрезок [-A;

A] (где A зависит от b), в котором будут изменяться значения a.

Заводим массив, пронумерованный элементами a [-A;

A], a Z, (a, b) = 1. В элемент массива с номером a мы заносим достаточно гру бо вычисленное значение log |a + 2103b|. Далее для каждого простого числа p, p B1, мы идем по арифметической прогрессии номеров a, для которых a + 2103b 0 (mod p), т. е. a = a0 (p) + jp, j Z. Из элементов массива с номерами a вычитаем грубо вычисленное значение log p.

Аналогичное просеивание делаем для некоторых степеней pk простого числа p: в прогрессии a + 2103b 0 (mod pk) из элементов массива с номера ми a также вычитаем log p.

После того, как мы проведем просеивание по всем p, в на шем ма с сиве образуются некоторые результирующие значения. Если элемент массива с номером a окажется маленьким, то, скорее всего, a + 2103b будет B1-гладким числом. Тогда мы факторизуем a + 2103b пробными делениями на p B1. Еслиa + 2103b окажется B1-гладким, за исключе нием, может быть, одного простого p1, B1 < p1 < 108, то мы сохраняем пару a, b в некотором массиве M.

Замечание 3.41. На деле просеивание происходит более тонким способом, но мы не будем здесь это обсуждать. Читатель может об ратиться к оригинальной работе [162] за дальнейшими разъяснениями.

Теперь для пар a, b из массива M мы проводим аналогичное про сеивание для нахождения B2-гладких чисел a5 - 8b5 = Norm(a + b ).

В итоге мы найдем некоторое множество пар a, b, дающих полное или частичное соотношение.

Для факторизации n = F9 p7 было найдено 44 106 полных соотно / шений и 2 903 999 частичных соотношения. Для этого использовалось около 700 рабочих станций в течение около 5 недель. Было затрачено примерно 340 mips-year. Затем решение системы линейных уравнений над полем Z 2Z заняло около 6 недель на суперкомпьютере. В итоге n / разложилось на два множителя, простота каждого из которых была проверена с помощью алгоритма Ленстры Коена (см. гл. 1). На этом — факторизация числа Ферма F9 была завершена.

Замечание 3.42. Нам осталось лишь пояснить, каким образом было выбрано числовое поле K = Q( 2) для факторизации чис ла n = F9 p7. Мы опишем выбор числового поля для факторизации / 106 Гл. 3. Факторизация целых чисел с субэкспоненциальной сложностью числа n вида n = re - s, следуя [159]. Выбираем небольшое d N (обычно d = 3, 5, 7) и затем полагаем k равным наименьшему нату ральному числу, для которого kd e. Пусть t = s · rkd-e;

t небольшое — целое число. Положим f(x) = xd - t, m = rk n1/d.

Тогда f(m) = md - t = rkd - srkd-e 0 (mod n). Если f(x) Z[x] яв ляется неприводимым многочленом, то мы полагаем K = Q( ), где C, f( ) = 0. Очевидно, [K : Q] = d.

Дальнейшая работа алгоритма проводится в кольце Z[ ] ZK.

В нашем распоряжении также имеется кольцевой гомоморфизм, (1) 1 (mod n), ( ) m (mod n). В случае, когда Z[ ] = ZK и по ле K одноклассное (как это было для n = F9 p7), алгоритмы решета — / числового поля работают более эффективно.

На этом мы заканчиваем схематичное описание алгоритмов решета числового поля для факторизации целых чисел.

§ 3.7. Заключение Подведем итоги. Если мы хотим факторизовать натуральное чис ло n, то сначала перебором p = 2, 3, 5, 7,... до некоторой границы следует отделить маленькие простые делители нашего числа. Затем следует проверить, является ли наше число, которое мы хотим фак торизовать, составным. Для этого лучше всего использовать вероят ностный тест Миллера Рабина из гл. 1. Если наше число вероят — — но простое, то нужно попробовать доказать его простоту с помощью алгоритма Ленстры Коена из гл. 1. Если наше число составное, — — то можно попытаться получить его разложение на множители с помо щью (P - 1)-метода Полларда и -метода Полларда из гл. 2, а также с помощью метода эллиптических кривых Ленстры (из гл. 4). После этого для факторизации следует применить метод квадратичного ре шета, если наше число n не превосходит 10110. Для чисел большей величины следует использовать алгоритмы решета числового поля.

Применительно к криптографии с открытым ключом мы видим, что RSA-модули n, равные произведению двух простых чисел, не являют ся безопасными для шифрования при условии n 2512. Согла сно [74] RSA-модули n 21024 будут оставаться безопасными еще по крайней мере 15 лет с момента написания [74], если только не будут найде ны принципиально новые алгоритмы факторизации или не будет создан эффективный квантовый компьютер.

Глава 4. Применение эллиптических кривых для проверки простоты и факторизации целых чисел § 4.1. Введение. Эллиптические кривые и их свойства Уже более пятнадцати лет эллиптические кривые активно исполь зуются в различных криптосистемах, а также в теоретико-числовых алгоритмах проверки простоты и факторизации целых чисел. В данной главе мы опишем некоторые основные свойства эллиптических кривых и их алгоритмические приложения в теории чисел. Подробное изложе ние теории эллиптических кривых можно найти в книгах [30;

256;

257].

Применение эллиптических кривых в криптографии описано в кни ге [65], а также в работах [188;

181;

145;

146;

179].

Пусть K поле, char K = 2, 3. Эллиптическая кривая над K зада — / ется уравнением y2 = x3 + ax + b, где a, b K, 4a3 + 27b2 = 0.

/ Она обозначается символом E или Ea,b. ЕслиK1 поле, содержащее K, — то мы обозначаем множество точек кривой через Ea,b (K1) = E(K1) = {(x, y) K2 : y2 = x3 + ax + b}{O}.

Здесь O ноль кривой, или бесконечно удаленная точка. Это — « » « » формальная точка, не имеющая координат. Она становится обычной точкой, только если мы перейдем в проективное пространство. Поло жим x = X Z, y = Y Z в уравнении кривой;

тогда Y2Z = X3 + aXZ2 + bZ3.

/ / Мы получаем точки (X : Y : Z) в проективном пространстве над полем K (или над K1 K), удовлетворяющие этому однородному уравнению.

Точки, у которых Z = 0 (можно считать тогда, что Z = 1), соответствуют / точкам (X Z, Y Z) аффинной кривой Ea,b (K) (или Ea,b (K1)). Если же / / Z = 0, то из уравнения находим, что и X = 0. Тогда Y = 0 и можно / считать, что Y = 1. Эта точка (0 : 1 : 0) в проективном пространстве соответствует бесконечно удаленной точке O аффинной кривой.

108 Гл. 4. Применение кривых для проверки простоты и факторизации На эллиптической кривой над полем K можно определить опера цию сложения, относительно которой множества Ea,b (K1) для полей K1 K становятся абелевыми группами. Правила, по которым осу ществляется сложение, таковы.

1. (x, y) O= (x, y), OO= O.

2. (x, y) (x, -y) = O.

3. Пусть P = (x1, y1), Q = (x2, y2) и x1 = x2. Проведем прямую / « » через P и Q:

y2 - y y = y1 + (x - x1), =.

x2 - x Найдем точки пересечения прямой и кривой. Это P, Q и R, где R = (x3, y3), x3 третий корень уравнения — (y1 + (x - x1))2 = x3 + ax + b.

По теореме Виета x1 + x2 + x3 = 2, x3 = -x1 - x2 + 2.

Тогда y3 = y1 + (x3 - x1). Мы полагаем по определению сумму P Q точек P и Q равной P Q = (x3, -y3).

4. Пусть P = (x0, y1), Q = (x0, y2), где y1 = -y2. Тогда из уравнения / кривой следует, что y1 = y2 = 0. Обозначим y0 = y1 = y2. Тогда удвое / ние точки P = (x0, y0), т. е. точка 2P = P P, определяется с помощью касательной. Из уравнения кривой находим, что 2ydy= (3x2 + a) dx.

« » Касательная к кривой в точке P имеет вид 3x2 + a y = y0 + (x - x0), =.

2y Подставляя уравнение касательной в уравнение кривой, получим урав нение (y0 + (x - x0))2 = x3 + ax + b;

x0 его корень кратности два. Поэтому по теореме Виета третий корень — равен x3 = -2x0 + 2. Отсюдаy3 = y0 + (x3 - x0). По определению по лагаем 2P = P P = (x3, -y3).

Можно показать, что относительно введенной операции сложения множество Ea,b (K1) образует абелеву группу. Если поле K1 конечно, то это конечная абелева группа.

§ 4.2. Алгоритм Ленстры для факторизации целых чисел Теорема 4.1 (Теорема Хассе). Пусть p простое число, p > 3, — Ea,b эллиптическая кривая над полем Z pZ. Тогда — / ||Ea,b (Z pZ)| -(p + 1)| < 2 p.

/ Величину |Ea,b (Z pZ)| можно найти по следующей очевидной фор / муле x3 + ax + b |Ea,b (Z pZ)| = 1 + 1 + = / p xZ pZ / x3 + ax + b = p + 1 + p xZ pZ / z (здесь символ Лежандра).

— p Пусть |Ea,b (Z pZ)| = p + 1 - t. Тогда для всех j N величина / |Ea,b (GF(pj))| на ходится по следующей формуле:

|Ea,b (GF(pj))| = pj + 1 - tj, где tj удовлетворяют рекуррентному соотношению tj+1 = t1tj - ptj-1, j 1, t1 = t, t0 = 2.

В §4.3 мы опишем алгоритмы нахождения порядка группы точек эллиптической кривой над конечным простым полем.

Определение 4.2. j-инвариантом эллиптической кривой называ ется величина 4a j = j(E) = 1728 ·.

4a3 + 27b § 4.2. Алгоритм Ленстры для факторизации целых чисел с помощью эллиптических кривых Вероятностный алгоритм Ленстры [167;

166] для факторизации це лых чисел с помощью эллиптических кривых имеет среднюю оценку сложности e((2+o(1)) log p log log p)1/2 log2 n для количества выполняемых арифметических операций;

здесь p ми — нимальный простой делитель n. Если мыза менимp на n1/2, то получим субэкспоненциальную оценку сложности Ln [1 2;

1]. Метод был усо / вершенствован в работе [192], см. также [57;

72;

89, гл. 10;

106;

260].

110 Гл. 4. Применение кривых для проверки простоты и факторизации С помощью этого метода в 1995 г. было разложено на множители число Ферма F10 = 21024 + 1 (см. [73]). Разложение имеет вид F10 = p8 · p10 · p40 · p252, где pj обозначает простое число, записываемое j десятичными знаками.

Факторизация заняла приблизительно 240 mips-years.

Заметим, что поскольку приведенная выше оценка сложности алго ритма Ленстры зависит от величины минимального простого делителя факторизуемого числа, этот метод может быть эффективно исполь зован для отделения небольших простых делителей. Преимуществом метода является также использование лишь небольшого объема па мяти компьютера. Получение оценки сложности алгоритма Ленстры требует довольно глубоких знаний в области теории эллиптических кри вых и модулярных форм. Однако сам алгоритм описывается достаточно просто и так же просто реализуется на компьютере. Описание алгорит ма Ленстры, кроме указанных выше работ, можно найти в книге [144].

Для описания алгоритма Ленстры нам потребуются эллиптические кривые уже не над полем, а над кольцом Z nZ, где n нечетное не де / — лящееся на 3 составное число, которое мы хотим разложить на мно жители. Рассмотрим тройки чисел (x, y, z) (Z nZ)3, такие, что идеал, / порожденный x, y и z, совпадает с Z nZ. Это выполняется, напри / мер, при НОД(x, n) = 1. Орбитой такого элемента (x, y, z) (Z nZ) / называется множество {(ux, uy, uz) | u (Z nZ)};

/ оно обозначается через (x : y : z). Множество всех орбит мы обозначим P2 (Z nZ) это аналог проективного пространства над полем.

/ — Эллиптическая кривая E = Ea,b над кольцом Z nZ задается уравне / нием y2 = x3 + ax + b, где a, b Z nZ, 6(4a3 + 27b2) (Z nZ). Обозначим множество точек / / кривой через E = Ea,b (Z nZ) = {(x : y : z) P2(Z nZ) | y2z = x3 + axz2 + bz3}.

/ / Это множество имеет естественный закон сложения, относительно ко торого оно является конечной абелевой группой. Однако мы будем использовать такие же групповые операции, как для конечного про § 4.2. Алгоритм Ленстры для факторизации целых чисел стого поля (см. §4.1). Именно, мы обозначим O = (0: 1: 0) P2 (Z nZ), / Vn = {(x : y : 1) | x, y Z nZ}{O}.

/ Для P Vn и для любого простого числа p, делящего n, мы обозначаем через Pp точку из P2 (Z pZ), полученную приведением координат точ / ки P по модулю p. Очевидно, что Pp = Op тогда и только тогда, когда P = O.

Сложение точек P, Q Vn мы будем проводить следующим образом (считаем, что a задано). При вычислении суммы P Q мы либо найдем делитель d числа n (и тогда наша цель факторизации n будет достиг нута), либо найдем точку R Vn, для которой выполнено следующее условие:

если p | n, a (mod p), и если для p найдется b Z pZ такое, / что 6(4a + 27b 2) = 0 в Z pZ и при этом Pp, Qp Ea,b (Z pZ), то тогда / / / Rp = Pp Qp в Ea (Z pZ);

здесь сумма вычисляется по правилам для /,b эллиптической кривой над полем, которые были описаны в §4.1.

Замечание 4.3. Если у нас есть точка P = (x : y : 1), есть p и a, то y2 x3 + ax + b (mod n). Отсюда b y2 - x3 - ax (mod n) опреде ляется по модулю n однозначно. Тогда однозначно определяется и зна чение b b (mod p). Если для каждого p | n редуцированная точка Qp попадет на кривую y2 x3 + ax + b (mod p) на д полем Z pZ, то мымо / жем складывать Pp и Qp на кривой над Z pZ и вычислять сумму P Q / над Z nZ. Если же для некоторого p точка Qp не попадет на кривую / y2 x3 + ax + b (mod p), то складывать точки P и Q нельзя.

Сложение точек P и Q из множества Vn осуществляется следующим образом. Если P = O, то R = Q;

если Q = O, то R = P. Пусть далее P, Q = O, P = (x1 : y1 : 1), Q = (x2 : y2 : 1). На йдем d = НОД(x1 - x2, n) / с помощью алгоритма Евклида. Если 1 < d < n, то мы нашли дели тель n, и алгоритм останавливается. Если d = 1, то x1 x2 (mod n), и x1 x2 (mod p) для любого простого числа p, p | n. Тогда (с помощью обобщенного алгоритма Евклида) найдем (x1 - x2)-1 (mod n). Далее положим = (y1 - y2)(x1 - x2)-1 (mod n), = y1 - x1 (mod n), x3 = -x1 - x2 + 2 (mod n), y3 = - x3 - (mod n).

Тогда по определению сумма P и Q равна R = P Q = (x3 : y3 : 1).

Заметим, что в случае d = 1 сумму P Q мы находим по формуле секущей из §4.1.

112 Гл. 4. Применение кривых для проверки простоты и факторизации Теперь рассмотрим случай d = НОД(x1 - x2, n) = n. Тогда x x2 (mod n), и сложение надо проводить по формуле касательной.

Найдем d1 = НОД(y1 + y2, n). Если 1 < d1 < n, то мы нашли дели тель n, и алгоритм останавливается. Если d1 = n, т. е. y1 -y2 (mod n), то положим R = P Q = O. Если d1 = 1, то находим 1 = (3x2 + a)(y1 + y2)-1 (mod n), = y1 - x1 (mod n), x3 = -2x1 + 2 (mod n), y3 = - x3 - (mod n) и пола га ем R = P Q = (x3 : y3 : 1).

Итак, мы определили сложение точек Vn. Теперь определим умно жение точек P Vn на натуральные числа k. В результате этого умно жения мы либо находим делитель d числа n, 1 < d < n, либо получаем точку R Vn, удовлетворяющую следующим условиям:

если p простое число, p | n, a a mod p, и если для p най — дется b Z pZ такое, что 6(4a + 27b 2) = 0 (mod p), и при этом / / Pp E,b (Z pZ), то тогда Rp = kPp в группе Ea,b (Z pZ);

здесь kPp вы / / числяется по правилам сложения для эллиптической кривой над полем, описанным в §4.1.

Замечание 4.4. Вычисление R = kP Vn проводится аналогично описанному выше вычислению R = P Q Vn. При этом бинарный метод возведения в степень в алгоритме Ленстры не используется;

i это означает, что для бинарной записи k = 2j мы не вычисляем i i kP = 2j P, предварительно найдя множество точек 2jP. Вместо этого i мы рассматриваем разложение k = k1... kt в произведение неболь ших натуральных чисел ki, k1 > k2 >... >kt. Именно такие k будут рассматриваться далее в алгоритме факторизации. Точку kP мы пред ставляем в виде k1 (k2 (... (ktP)...)) и вычисляем ее последовательными умножениями на ki, i = t,..., 1;

здесь уже допустим бинарный метод вычислений.

Алгоритм факторизации с одной эллиптической кривой.

На входе алгоритма задано факторизуемое число n и парамет ры v, w N, зависящие от n. Также даны a, x, y Z nZ такие, что / P = (x : y : 1) Vn и для b y2 - x3 - ax (mod n) выполнено условие 6(4a3 + 27b2) (Z nZ). Алгоритм находит натуральный делитель d / числа n, 1 < d < n.

Для каждого r N, 2 r w, мы пола га ем e(r) = max{m | m Z 0, rm v + 2 v + 1}, § 4.2. Алгоритм Ленстры для факторизации целых чисел и за тем k = re(r).

2 r w r простое — Пусть P = (x : y : 1) Vn. Тогда P лежит на эллиптической кривой Ea,b над Z nZ, определенной уравнением Y2 = X3 + aX + b. Мы вычисля / ем точку kP так, как было объяснено выше. Если в ходе вычисления найден делитель d числа n, 1 < d < n, то мы разложили n на множите ли и алгоритм останавливается. Если мы нашли kP и делитель d при этом не найден, то алгоритм заканчивает работу и выдает сообщение о неудачной попытке факторизации.

Конец алгоритма.

Замечание 4.5. Как следует выбирать параметры v, w, a, x, y?

Элементы a, x, y Z nZ выбираются случайно;

тогда при b y2 / - x3 - ax (mod n) мы получим эллиптическую кривую Ea,b над Z nZ / +o(1) и точку на ней. Параметр w теоретически равен w = L(p), где L(t) = exp log t log log t, p минимальный простой делитель — числа n. Поскольку p нам неизвестен, но p n1/2, то L(p) L(n1/2) = = exp + o(1) log n log log n, откуда получаем верхнюю оценку +o(1) w L(n).

На практике следует испытать несколько последовательно увеличиваю щихся значений w. Па ра метр v, который оценивает степени небольших простых чисел r, входящих в значение k из алгоритма, на практике так же следует выбирать эмпирически, используя некоторую возрастающую последовательность значений.

Замечание 4.6. На практике алгоритм факторизации при задан ных n, v, w состоит в следующем. Случайно выбирают очередные a, x, y Z nZ и выполняют алгоритм факторизации с одной кривой.

/ Так повторяется до тех пор, пока мы не разложим n на множители или пока не закончится отведенное для работы алгоритма время.

Замечание 4.7. Усовершенствование Монтгомери [192] заключа ется в одновременном вычислении обратных элементов для нескольких элементов a1 (mod n),..., al (mod n) в кольце Z nZ (см. также [89, / гл. 10]). Это позволяет одновременно работать сразу с нескольки ми кривыми. Другое усовершенствование алгоритма Ленстры заклю чается в использовании только проективных координат;

в этом случае 8 О. Н. Василенко 114 Гл. 4. Применение кривых для проверки простоты и факторизации нам вообще не нужно будет проводить деление по модулю n. Однако Коен [89, гл. 10] все же рекомендует аффинные координаты в сочета нии с усовершенствованием Монтгомери.

Замечание 4.8. Алгоритм Ленстры аналогичен (P - 1)-методу Пол ларда, описанному в гл. 2. В нем, так же, как и в (P - 1)-методе, возможна вторая стадия, см. [89;

192;

74].

§ 4.3. Вычисление порядка группы точек эллиптической кривой над конечным полем Вычисление порядка группы точек на эллиптической кривой над ко нечным простым полем имеет важные приложения как в криптографии, так и в алгоритмах проверки простоты чисел, о которых будет расска зано в следующем параграфе.

Пусть p простое число, p > 3, эллиптическая кривая E = Ea,b — над полем Z pZ задана уравнением y2 = x3 + ax + b. Для нахожде / ния |E(Z pZ)| Р. Шуф в 1985 г. в работе [244] предложил алгоритм, / имеющий полиномиальную сложность O(log8 p) битовых операций (см. также [245]). Дальнейшие усовершенствования алгоритма Шуфа были предложены Аткином, Элкисом, Мюллером и другими авторами, см. [65;

113;

202;

171;

245]. Это позволило на практике вычислять порядки групп точек для простых полей, число элементов которых записывается несколькими сотнями десятичных цифр;

рекордное зна чение p равно 10499 + 153.

В данном параграфе мы опишем первоначальный алгоритм Шуфа из работы [244].

Обозначим через Z pZ алгебраическое замыкание поля Z pZ.

/ / Отображение Фробениуса : E(Z pZ) E(Z pZ) определяется соот / / ношениями (x, y) = (xp, yp), (O) = O.

Нетрудно доказать, что является гомоморфизмом и вложением E(Z pZ) в себя;

очевидно, что точки E(Z pZ) остаются неподвижными / / при действии. Пусть |E(Z pZ)| = p + 1 - t, / по теореме Хассе |t| < 2 p. Целое число t называется следом отоб ражения Фробениуса;

отображение удовлетворяет уравнению 2 - t + p = 0.

§ 4.3. Вычисление порядка группы точек эллиптической кривой Для каждого натурального числа n обозначим через E[n] подгруппу E(Z pZ), состоящую из точек, порядок которых делит n:

/ E[n] = {P E(Z pZ) | nP = O}.

/ Теорема 4.9 (см. [256]). Если n > 1 иpнеделитn, то группа E[n] изоморфна Z pZ Z pZ.

/ / Пример 4.10. Рассмотрим x1, x2, x3 три различных корня урав — нения x3 + ax + b = 0 в Z pZ. Тогда / E[2] = {(xi, 0) : i = 1, 2, 3}{O}.

Определим многочлены n (x, y) Z pZ[x, y], n = -1, 0, 1, 2,..., / следующими соотношениями:

-1 (x, y) = -1, 0 (x, y) = 0, 1 (x, y) = 1, 2 (x, y) = 2y, 3 (x, y) = 3x4 + 6ax2 + 12bx - a2, 4 (x, y) = 4y(x6 + 5ax4 + 20bx3 - 5a2x2 - 4abx - 8b2 - a3);

далее при n 2n (x, y) = n (x, y)( n+2 (x, y) n-1 (x, y)2 - n-2 (x, y) n+1 (x, y)2) (2y), / и при n 2n+1 (x, y) = n+2 (x, y) n (x, y)3 - n+1 (x, y)3 n-1 (x, y);

везде y2 следует заменять на x3 + ax + b.

Многочлены n (x, y) на зыва ются многочленами деления. Нетруд но доказать по индукции, что fn(x), определенные равенством n (x, y), если n нечетное, fn (x) = n (x, y) y, если n четное, / являются многочленами от x, т. е. fn (x) Z pZ[x]. Кроме того, если n / — нечетно, p n, то deg fn (x) = (n2 - 1) 2.

/ \ Теорема 4.11. Пусть P = (x, y) E(Z pZ) E[2]. Пусть n 3. Ра / венство nP = O выполнено тогда и только тогда, когда fn (x) = 0.

\ Теорема 4.12. Пусть P = (x, y) E(Z pZ) E[2], n 2, причем / nP = O. Тогда / n-1 (x, y) n+1 (x, y) n+2 (x, y) n-1 (x, y)2- n-2 (x, y) n+1 (x, y) nP= x-,.

n (x, y)2 4y n (x, y) Далее в алгоритме Шуфа мы будем находить значение t (mod l) для небольших простых чисел l. Если та ких l будет достаточно много, 8* 116 Гл. 4. Применение кривых для проверки простоты и факторизации точнее, если l > 4 p, то, найдя затем по китайской теореме об остат ках значение t (mod l), мы получим, что искомое значение t рав но абсолютно наименьшему вычету в классе t (mod l). Это следу ет из теоремы Хассе (см. §4.1). Тогда мы найдем искомое значение |E(Z pZ)| = p + 1 - t.

/ Рассмотрим сначала случай l = 2. Согласно приведенному вы ше примеру, в E(Z pZ) найдется ненулевая точка P = (x, 0) второго / порядка, если и только если выполнено условие НОД(xp - x, x3 + ax + b) = 1.

/ Это условие равносильно четности числа |E(Z pZ)| что, в свою очередь, / равносильно четности t, поскольку p + 1 четно. Итак, t 0 (mod 2) тогда и только тогда, когда НОД(xp - x, x3 + ax + b) = 1;

/ в противном случае t 1 (mod 2).

Везде далее мы обозначаем через l нечетное фиксированное (небольшое) простое число, l = p. Реально в алгоритме следует рас / сматривать простые числа l порядка O(log p).

Рассмотрим группу E[l];

очевидно, что (E[l]) E[l]. Легко пока зать, что является изоморфизмом E[l]. Обозначим l = |E[l]. Тогда l удовлетворяет уравнению 2 - t l + p = 0.

l Покажем, что если l удовлетворяет уравнению 2 - t l + p = l при некотором t Z, то t t (mod l). Действительно, вычитая второе уравнение из первого, получим (t - t ) l = 0 на E[l], откуда t t (mod l), поскольку l изоморфизм.

— Теперь нам надо найти значение, 0 l - 1, для которого 2 - l + p = 0 на E[l].

l Тем са мым мы определим зна чение t (mod l). Другими словами, нам нужно найти Z lZ, для которого на E[l] выполняется равенство / 2 + p = l. Случа й = 0 рассматривается отдельно. Если же = 0, / l то, для k p (mod l), 1 k l - 1, § 4.3. Вычисление порядка группы точек эллиптической кривой \ мы, по теореме 4.12, примененной к точке P = (x, y) E[l] O можем переписать наше равенство 2 (P) + pP = l (P) в виде l 2 2 k-1 (x, y) k+1 (x, y) (xp, yp ) x -, k (x, y) k+2 (x, y) k-1 (x, y)2 - k-2 (x, y) k+1 (x, y) = 4y k (x, y) (x, y) (x, y) p -1 + = xp -, (x, y) p +2 (x, y) -1 (x, y)2 - -2 (x, y) +1 (x, y).

4y (x, y) Знак обозначает операцию сложения точек на кривой. Последнее равенство приводится к виду H1 (x) 0 (mod fl(x)), H2 (x) 0 (mod fl(x)), где H1 (x), H2 (x) Z pZ[x]. В результате перебора = 0, 1,..., l - 1мы / найдем истинное значение t (mod l). Так выглядит основная идея алгоритма, которую мы далее конкретизируем.

Алгоритм Шуфа.

Алгоритм находит t (mod l) для таких простых чисел l, что l > 4 p. Затем с помощью китайской теоремы об остатках на ходится истинное значение t. Значение t (mod 2) находим так, как было сказано выше. Пусть далее l > 2, l фиксированное простое — число, l = p.

/ 1 этап алгоритма для фиксированного l. Мы проверяем, суще \ ствует ли точка P = (x, y) E[l] O такая, что 2 (P) = ±kP, l где k p (mod l), 1 k l - 1. Сначала проверяем по первой коорди нате;

это означает, что должно выполняться равенство k-1 (x, y) k+1 (x, y) xp = x -.

k (x, y) При четном k это ра венство имеет вид 2 fk-1 (x)fk+1 (x) xp = x -, fk (x)2 (x3 + ax + b) 118 Гл. 4. Применение кривых для проверки простоты и факторизации а при нечетном k — 2 fk-1 (x)fk+1 (x)(x3 + ax + b) xp = x -.

fk (x) \ Следовательно, по теореме 4.11 точка P = (x, y) E[l] O, удовлетво ряющая соотношению 2 (P) = ±kP, существует тогда и только тогда, l когда НОД((xp - x)fk (x)2 (x3 + ax + b) + fk-1 (x)fk+1 (x), fl(x)) = / при четном k, и НОД((xp - x)fk (x)2 + fk-1(x)fk+1 (x)(x3 + ax + b), fl(x)) = / при нечетном k. Если же соответствующий НОД (при k четном или нечетном) равен 1, то искомое не сра внимо с 0 по модулюl. Действи тельно, если 0 (mod l), то ( 2 + k)(P) = 0 для всех P E[l], l а в нашем случае (при НОД = 1) таких точек нет, за исключением O.

\ В случае неразрешимости уравнения 2 (P) = ±kP на E[l] O мы пере l ходим на 2-й этап алгоритма.

\ Предположим, что существует точка P E[l] O, для которой 2 (P) = ±kP = ±pP.

l 1 случ ай. Если 2(P) = -pP, то ( 2 + p)P = O. Та к ка к ( 2 - t + l l + p)(P) = O для любой точки P на кривой, то отсюда (t l)(P) = O.

Поскольку l изоморфизм E[l], получаем, что t 0 (mod l). Таким — образом, в данном случае мы нашли искомое t (mod l).

2 случ ай. Если 2 (P) = pP, то, пользуясь снова уравнением 2 l - t + p = 0, получаем соотношение (2p - t l)(P) = O. Поскольку 2p \ 2pP = O для P E[l] O, то t 0 (mod l). Поэтому l (P) = · P / t (здесь обозначает t-1 (mod l)). Применяя снова l, получим t 2p 4p pP = 2 (P) = l (P) = · P.

l t t Отсюда p 4p2 t2 (mod l), / или t2 4p (mod l). В частности, в этом случае p является квадратич ным вычетом по модулю l.

Теперь решим уравнение w2 p (mod l) (алгоритм решения таких уравнений см. далее в главе 6;

для малых l возможен перебор). Для его § 4.3. Вычисление порядка группы точек эллиптической кривой решения w будет выполнено сравнение t ±2w (mod l), и нам оста нется лишь определить истинный знак + или -.

Подставляя t ±2w (mod l) в ура внение для l, получим 2 2w l + w2 = 0, l или ( l w)2 = 0 тождественно на E[l]. Поэтому собственное значе ние линейного отображения l на E[l] может быть только ±w (mod l) (если r собственное значение, то (r w)2 0 (mod l)). Проверку су — ществования решения Q E[l] уравнения ( w)Q = O осуществляем так же, как выше мы осуществляли проверку существования решения уравнения 2 (P) = ±kP. Точнее, пусть Q = (x, y). Тогда для выполне l ния равенства l(Q) = ±wQ по первой координате должно выполняться равенство w-1 (x, y) w+1 (x, y) xp = x -.

w (x, y) Отсюда при w четном fw-1 (x)fw+1 (x) xp = x -, fw (x)2 (x3 + ax + b) а при w нечетном fw-1 (x)fw+1 (x)(x3 + ax + b) xp = x -.

fw (x) Существование такой точки Q E[l] равносильно тому, что НОД((xp - x)fw(x)2 (x3 + ax + b) + fw-1 (x)fw+1 (x), fl (x)) = / при w четном, а при w нечетном НОД((xp - x)fw(x)2 + fw-1 (x)fw+1 (x)(x3 + ax + b), fl (x)) = 1.

/ Если теперь такая точка Q существует (т. е. соответствующий НОД не равен 1), то надо определить знак ±w по второй координате. Если w-1 (x, y) w+1 (x, y) (xp, yp) = l (w) = wQ = x -, w (x, y) w+2 (x, y) w-1 (x, y)2 - w-2 (x, y) w+1 (x, y), 4y w (x, y) то отсюда fw+2 (x) · yfw-1 - fw-2 (x) · yfw+1 (x) yp = 4y4fw (x) 120 Гл. 4. Применение кривых для проверки простоты и факторизации при w четном и fw+2 (x) · y2fw-1 - fw-2 (x) · y2fw+1 (x) yp =.

4yfw (x) при w нечетном. Пользуясь соотношением y2 = x3 + ax + b, получа ем, что при w четном будет выполняться соотношение l (Q) = wQ, если p+ НОД 4fw(x)3 (x3+ax+b) -fw+2 (x)fw-1 (x)2+fw-2 (x)fw+1 (x)2, fl(x) =1.

/ Соответственно, при w нечетном p- НОД 4fw(x)3 (x3+ax+b) -fw+2 (x)fw-1 (x)2+fw-2 (x)fw+1 (x)2, fl(x) =1.

/ Вслуча е, когда l (Q) = -wQ, вторая координата меняет знак. Тогда при w четном p+ НОД 4fw(x)3 (x3+ax+b) +fw+2 (x)fw-1 (x)2-fw-2(x)fw+1 (x)2, fl (x) =1, / и p- НОД 4fw(x)3 (x3+ax+b) +fw+2 (x)fw-1 (x)2-fw-2 (x)fw+1 (x)2, fl(x) =1.

/ при w нечетном.

\ Теперь предположим, что не существует точки Q E[l] O такой, что l (Q) = ±wQ. Кроме того, мы находимся в условиях 2 случая, \ т. е. существует P E[l] O такая, что 2 (P) = kP. Покажем, что на l ше предположение невозможно. У нас 2 (P) = (±w)2P;

кроме того, l выше мы показали, что ( l w)2P = O. Из этих двух соотношений следует, что w2P 2w l (P) + w2P = O, т. е. 2w2P = ±2w l (P). Так как 2w = 0 (mod l), то отсюда l (P) = ±wP.

/ \ Мы же предположили, что для всех точек Q E[l] O (включая и P), равенство l (Q) = ±wQ невозможно. Это означает, что наше предпо ложение было неверным.

\ Итак, если существует точка P E[l] O такая, что 2 (P) = kP, l \ то существует и точка Q E[l] O такая, что l (Q) = ±wQ.

В итоге 1 этап алгоритма реализуется следующим образом. Ес \ ли не существует точки P E[l] O, для которой 2(P) = ±kP, то мы l § 4.3. Вычисление порядка группы точек эллиптической кривой переходим на 2 этап алгоритма. Если же такая точка P существу ет (т. е. соответствующий НОД в начале описания первого этапа не p равен 1), то при = -1 мы олагаем t 0 (mod l) (поскольку pп l 2 случа й невозможен). Если же =+1, то мы находим w Z такое, l что w2 p (mod l) и 0 < w < l. Затем проверяем, будет ли +w или -w собственным значением для l на E[l] (проверку осуществляем так, как это описано выше). Если ±w не является собственным значением l на E[l], то t 0 (mod l) искомое значение, как это было объяснено — выше.

\ Если l (Q) = wQ для некоторой точки Q E[l] O, то 2 (Q) = pQ.

l 2p Тогда, пользуясь соотношением l (Q) = Q, найденным ранее, по t лучим 2p w - 0 (mod l).

t Так как p w2 0 (mod l), то отсюда t 2w (mod l) есть искомое значение t по модулю l.

\ Если l (Q) = -wQ для некоторой точки Q E[l] O, то аналогично получим 2p w + 0 (mod l), t откуда t -2w (mod l).

Таким образом, если на 1 этапе окажется, что существует P \ E[l] O, для которой 2(P) = ±kP, то мы определим искомое значение l t (mod l), и тогда 2-й этап для данного l будет не нужен.

2 этап алгоритма для фиксированного l. Пусть на 1 этапе ока \ залось, что не существует точки P E[l] O, для которой 2 (P) = ±kP = ±pP.

l Тогда искомое значение, t (mod l), для которого на E[l] выполня ется равенство 2 + p = l, l будет не равно нулю, = 0, как это уже показано ранее.

/ l - Далее мы перебором, 1, ищем то значение, для которого соотношение ( 2 + p)(P) = ± l (P) l 122 Гл. 4. Применение кривых для проверки простоты и факторизации \ выполняется на E[l] тождественно. Для P = (x, y) E[l] O левая часть запишется при k p (mod l), 1 k < l в виде 2 (xp, yp ) k-1 (x, y) k+1 (x, y) k+2 (x, y) k-1 (x, y)2 - k-2(x, y) k+1 (x, y) x-,, k (x, y)2 4y k (x, y) причем сложение на кривой проводится по формуле секущей, по \ скольку сейчас 2 (P) = ±pP для всех P E[l] O. Правая часть, т. е.

/ l ± l (P) = ± l( P), имеет вид p -1 (x, y) +1 (x, y) xp -, (x, y) p +2 (x, y) -1 (x, y)2 - -2 (x, y) +1 (x, y) ±.

4y (x, y) Поскольку ( 2 + p)(P) = ± l (P) тождественно на E[l], нам уже не на l до вычислять наибольший общий делитель с fl (x), а надо проверять делимость на fl (x). Для написания соответствующих формул надо рас смотреть четыре случая в зависимости от четности k и.

Пусть, например, k четно и четно. Тогда 2 fk-1 (x)fk+1 (x) fk+2 (x)fk-1 (x)2 - fk-2 (x)fk+1 (x) (xp, yp ) x -, = fk (x)2 (x3 + ax + b) 4(x3 + ax + b)fk (x)3 · y p f (x)f (x)2 f (x)f (x)2 p f -1 (x)f +1 (x) +2 -1 -2 + = xp -, ±.

f (x)2 (x3 + ax + b) 4(x3 + ax + b)f (x)3 · y Пользуясь соотношением y2 = x3 + ax + b, нетрудно показать, что ле вая часть этого равенства имеет вид H (x) H3 (x), · y±1, H2 (x) H4 (x) а правая часть — H (x) H7 (x), ± · y±1, H6 (x) H8 (x) где H1 (x),..., H8 (x) Z pZ[x]. Тогда для проверки тождества / ( 2 + p)(P) = ± l (P) l по первой координате нам нужно проверить, что H1 (x)H6 (x)-H5(x)H2 (x) делится на fl (x) в Z pZ[x]. Если это не так, то мы переходим к сле / дующему. Если это так, то мы выбираем знак ± числа, выполняя § 4.4. Тестирование чисел на простоту с помощью эллиптических кривых аналогичную проверку по второй координате. Точнее, мы приводим разность H3 (x) H7 (x) · y±1 · y± H4 (x) H8 (x) H9 (x) к виду · y±1, где H9 (x), H10 (x) Z pZ[x], и затем проверяем де / H10 (x) лимость H9(x) на fl (x). Три остальных возможности для четности k и рассматриваются аналогично. На этом заканчивается 2 этап для фик сированного l.

3 алгоритма. Пусть мы нашли t (mod l) для простых l таких, этап что l > 4 p. По китайской теореме об остатках находим t mod l ;

абсолютно наименьший вычет в этом классе вычетов и есть искомое t.

Тогда полагаем |E(Z pZ)| = p + 1 - t.

/ Конец алгоритма Шуфа.

Замечание 4.13. При фиксированном l > 2 вычисления с много членами и рациональными функциями следует проводить по модулю многочлена fl (x). То есть нам не нужно, например, использовать xp;

это многочлен очень высокой степени, поскольку p велико. Вместо этого мы вычисляем xp (mod fl (x)) многочлен степени, не превосходящей — l2 - deg fl (x) - 1 = - 1.

Замечание 4.14. Основная трудоемкость алгоритма Шуфа заклю 2 чается именно в вычислении высоких степеней xp, yp, xp, yp по моду лю fl(x).

Замечание 4.15. В работе [133] описано эффективное сочетание алгоритма Шуфа с различными его усовершенствованиями для опти мального вычисления порядка группы точек эллиптической кривой над конечным простым полем.

§ 4.4. Тестирование чисел на простоту с помощью эллиптических кривых В 1986 г. Голдвассер и Килиан [126] предложили вероятностный алгоритм проверки простоты чисел с помощью эллиптических кривых.

Теорема 4.16 (см. [126]). Существует вероятностный алго ритм доказательства простоты натуральных чисел с помощью эллиптических кривых. При этом для любого натурального числа k доля k-значных простых чисел, для которых сред 124 Гл. 4. Применение кривых для проверки простоты и факторизации нее время работы алгоритма полиномиально, будет не мень ше, чем c log log k / 1 - O(2-k ).

Замечание 4.17. В предположении некоторой недоказанной гипо тезы о распределении простых чисел среднее время работы алгоритма Голдвассер Килиана будет полиномиальным для всех простых чисел.

— Замечание 4.18. Алгоритм случайным образом выбирает эллипти ческую кривую и проверяет выполнение некоторых условий. Он либо выдает верный ответ, является ли данное число простым или составным, либо делает следующий случайный выбор. Алгоритм работает до тех пор, пока либо проверка простоты не будет проведена, либо не закон чится отведенное для работы компьютера время.

Замечание 4.19. Чередуя тест Голдвассер Килиана с тестом Со — ловея Штрассена (или Миллера Рабина) из гл. 1, мы получа ем ве — — роятностный метод доказательства того, что данное натуральное число является простым или составным. Среднее время его работы будет по линомиальным для всех k-значных чисел за исключением, может быть, указанной в теореме доли k-значных простых чисел.

Замечание 4.20. Если алгоритм Голдвассер Килиана доказал — простоту числа, то он также выдает сертификат простоты. С по « » мощью этого сертификата вторичная проверка простоты данного k-значного числа может быть детерминированно проведена за O(k3+ ) битовых операций.

Замечание 4.21. В работе [47] улучшена оценка количества тех простых чисел, для которых среднее время работы алгоритма Голдвассер Килиана полиномиально. Доказано, что количество про — стых чисел, не превосходящих x, для которых среднее время работы не является полиномиальным, не превосходит O(x15/16).

Мы опишем схему работы алгоритма Голдвассер Килиана для про — верки простоты нечетного, не делящегося на 3 натурального числа n.

Мы будем рассматривать эллиптическую кривую En над кольцом Z nZ, / определенную уравнением y2 x3 + ax + b (mod n), (4a3 + 27b2, n) = 1.

Для множества En(Z nZ) = {(x, y) | x, y Z nZ, y2 = x3 + ax + b}{O} / / мы будем использовать тот же закон сложения, который был описан в §4.1 для случа я простого n. При этом для q N, P En (Z nZ) кра т / § 4.4. Тестирование чисел на простоту с помощью эллиптических кривых ную точку qP мы вычисляем рекуррентно по следующему правилу:

q 2 P, если q четно, qP = P (q - 1)P, если q нечетно.

Также мы будем использовать редукцию: если p простое число, p|n, — и P = (x, y) En (Z nZ), то / (P)p = (x (mod p), y (mod p)) Ep (Z pZ).

/ Здесь Ep (Z pZ) = {(x, y) | x, y Z pZ, y2 = x3 + ax + b (mod p)}O / / является уже настоящей эллиптической кривой над полем Z pZ, по / скольку 4a3 + 27b2 = 0 (mod p). Очевидно, что если P, Q En(Z nZ) / / и точка P Q определена, то (P Q)p = Pp Qp.

Схема алгоритма Голдвассер Килиана.

— 1 шаг. Полагаем p0 = n, i = 0. Выбираем k N такое, что 2k-1 < < p0 < 2k.

2 шаг. Случайно выбираем A, B Z piZ и проверяем условие D = / = (4A3 + 27B2, pi) = 1. Если i = 0 и данный наибольший общий дели тель лежит в интервале (1;

p0), то p0 = n составное, и алгоритм за — канчивает работу. Если i > 0 и 1 < D < pi, то возвра ща емся на 1-й ша г.

Если i > 0 и D = pi, то возвра ща емся на 2-й шаг (т. е. выбираем другие A, B).

3 шаг. В предположении, что pi простое число, ищем для ре — дуцированной кривой y2 = x3 + ax + b (mod pi) величину |Ep (Z piZ)| / i (например, с помощью алгоритма Шуфа из §4.3). Если найденное зна чение |Ep (Z piZ)| нечетно, то возвращаемся на 2-й шаг. В противном / i случае полагаем q = |Ep (Z piZ)| / / i и проверяем выполнение теоремы Хассе |2q - pi - 1| < 2 pi.

Если это последнее неравенство не выполняется для i > 0, то мы воз вращаемся на 1 шаг. Если оно не выполняется при i = 0, то n = p — составное.

4 шаг. Делаем l проходов вероятностного теста Соловея Штрас — сена (или Миллера Рабина), описанного в гл. 1, для проверки про — стоты q. Если оказалось, что q составное, то возвращаемся на 2 шаг.

— 1 l Значение l выбираем так, чтобы выполнялось неравенство 1 p3.

/ 126 Гл. 4. Применение кривых для проверки простоты и факторизации 5 шаг. Выбираем случайную точку P = (x, y), P Ep (Z piZ). То есть / i x3 + ax + b мы случайно выбираем x Z piZ и при = 1 находим / p y (x3 + ax + b)1/2 (mod p), затем полагаем P = (x, y);

иначе делаем следующий выбор x.

6 шаг. Найдя P = (x, y) Ep (Z piZ), мы проверяем выполнение ра / i венства 2qP = O на Ep (Z piZ). Если это равенство не выполняется / i и i > 0, то мы возвращаемся на 1 шаг. Если оно не выполняется и i = 0, то n составное. Если же оно выполнено, то мы полагаем pi+1 = q.

7 шаг. Проверяем выполнение неравенства c log log k / q 2k.

Здесь постоянная c взята из оценки сложности O((log n)c log log log n) алгоритма проверки простоты чисел Адлемана Померанса Румели — — или алгоритма Ленстры, о которых было рассказано в гл. 1. Если неравенство не выполняется, то мы полагаем i := i + 1 и возвраща емся на 2 шаг. Если же неравенство для q выполнено, то мы детер минированно проверяем простоту q с помощью алгоритма Адлемана — Померанса Румели или алгоритма Ленстры. Если q окажется состав — ным, то мы возвращаемся на 1 шаг. Иначе алгоритм заканчивает работу и выдает ответ, что число n простое.

— Конец алгоритма.

Обоснование корректности работы алгоритма основано на следую щем утверждении.

Утверждение 4.22. Пусть n N, n > 1, (n, b) = 1, En эллипти — ческая кривая над Z nZ, P = (x, y) En (Z nZ), P = O. Пусть q / / — простое число, q > n1/2 + 2n1/4 + 1, qP = O. Тогда n простое — число.

Доказательство. Предположим, что n составное, и обозначим — через p простой делитель n, p n. При редукции по модулю p мы получим точку Mp = (P)p, для которой Mp = Op, qMp = Op.

/ Отсюда по теореме Лагранжа |Ep (Z pZ)| q > n1/2 + 2n1/4 + 1 p + 2 p + 1.

/ § 4.4. Тестирование чисел на простоту с помощью эллиптических кривых Поэтому |Ep (Z pZ)| -(p + 1) 2 p, / что противоречит теореме Хассе. Утверждение доказано.

В алгоритме Голдвассер Килиана в случае успеха будет построена — цепочка n = p0 > p1 >... >pl, и из простоты pl будет следовать простота n, согласно доказанному утверждению. Действительно, очередное q удовлетворяет неравенству |2q - pi - 1| < 2p1/2, i это проверяется на 3 шаге. Тогда неравенство q > p1/2 + 2p1/4 + 1 также i i будет выполнено, так как при pi > 5 справедливо неравенство pi - 2p1/2 + i > p1/2 + 2p1/4 + 1.

i i В силу доказанного утверждения из простоты q следует простота pi.

Поэтому для построенной в алгоритме цепочки простых чисел из про стоты последнего числа следует простота первого числа, т. е. числа n.

Замечание 4.23. Построенная цепочка n = p0 > p1 >... >pl и есть тот сертификат простоты n, о котором говорилось в замеча нии 4.20.

Алгоритм Голдвассер Килиана оказался непрактичным из-за мно — гократного использования алгоритма Шуфа для вычисления порядков групп точек выбираемых в алгоритме проверки простоты эллиптических кривых. Аткин и Морейн [56] предложили использовать эллиптические кривые с комплексным умножением. Для таких кривых порядок груп пы точек находится по несложной формуле;

несколько более сложным оказывается процесс построения самих кривых с комплексным умно жением. Алгоритм Аткина и Морейна был реализован на компьютере и в настоящее время успешно применяется для проверки простоты чисел, так же как и алгоритмы Адлемана Померанса Румели Лен — — — стры Коена из гл. 1. Сравнение этих двух методов было проведено — в §2.8, см. та кже [89, гл. 9]. Дополнительную информацию об алгорит ме Аткина Морейна можно найти в [199].

— 128 Гл. 4. Применение кривых для проверки простоты и факторизации § 4.5. Заключение В заключение сделаем еще несколько замечаний об алгоритмах, ис пользующих эллиптические кривые.

Как мы видели выше, в ряде случаев приходится вычислять крат ную точку kP для точки P на эллиптической кривой (здесь k Z). Такие вычисления проводятся и во многих криптосистемах. Эффективные ал горитмы для решения этой задачи можно найти в работах [200;

261].

Вычисление порядка группы точек эллиптической кривой над полем GF(2l) описано в работе [182].

Построение кривых с комплексным умножением описано в рабо тах [189;

154].

В работе [133] отмечено, что если криптосистемаиспользует эллип тические кривые с некоторыми специальными свойствами (например, аномальные или суперсингулярные кривые), то на такую криптосисте му возможны более эффективные атаки (см. [235]).

В работе [224] доказано, что с помощью эллиптических кривых можно получить сертификат простоты для каждого простого числа p, проверяемый за O(log p) арифметических операций. Однако отсутствует оценка на количество таких сертификатов для фиксированного p. Ме тод этой работы, скорее всего, неприменим для практической проверки простоты чисел.

Глава 5. Алгоритмы дискретного логарифмирования § 5.1. Введение. Детерминированные методы Пусть G мультипликативная абелева группа, a, b G. Задача на — хождения решения уравнения ax = b называется задачей дискретного логарифмирования в группе G. Ее ре шение x называется дискретным логарифмом элемента b по основа нию a и обозначается loga b, если основание a фиксировано и если решение существует;

loga b Z |G|Z, если |G| <.

/ Задача дискретного логарифмирования имеет важные приложения в криптографии. Особенно важен случай G = GF(q), где q = pl, p — простое число, l N, а также случай, когда G является группой точек эллиптической кривой над конечным полем.

Рассмотрим уравнение ax b (mod p)(5.1) в группе (Z pZ), где p простое число. Мы будем предполагать, что / — порядок a (mod p) ра вен p - 1. Тогда уравнение разрешимо, и реше ние x является элементом Z (p - 1)Z. В данном параграфе мы опишем / детерминированные методы решения (5.1).

С помощью перебора можно решить уравнение (5.1) за O(p) ариф метических операций.

Решение loga b уравнения (5.1) можно находить по формуле p- loga b (1 - aj)-1bj (mod p - 1), j= см. [210]. Однако сложность вычисления по этой формуле хуже, чем для перебора.

Следующий алгоритм решения (5.1) имеет сложность O(p1/2 log p) арифметических операций (см. [36, гл. 6]).

9 О. Н. Василенко 130 Гл. 5. Алгоритмы дискретного логарифмирования Алгоритм согласования.

1 шаг. Присвоить H := [p1/2] + 1.

2 шаг. Найти c aH (mod p).

3 шаг. Составить таблицу значений cu (mod p), 1 u H, и упоря дочить ее.

4 шаг. Составить таблицу значений b · av (mod p), 0 v H, и упо рядочить ее.

5 шаг. Найти совпавшие элементы из первой и второй таблиц. Для них cu b · av (mod p), откуда aHu-v b (mod p).

6 шаг. Выдать x Hu - v (mod p - 1).

Конец алгоритма.

Докажем, что алгоритм работает корректно. Любое целое чис ло x, 0 x p - 2, можно представить в виде x Hu - v (mod p - 1), где 1 u H, 0 v H. Действительно, набор чисел H, H - 1, H - 2,..., H - H, 2H, 2H - 1,..., 2H - H,..., H2, H2 - 1,..., H2 - H содержит в себе набор чисел 0, 1,..., p - 2, поскольку H2 > p. Изэтого следует корректность алгоритма. Оценка сложности также очевидна, поскольку набор из N элементов можно упорядочить за O(N log N) арифметических операций, см. [5, гл. 3].

Замечание 5.1. Некоторые усовершенствования алгоритма согла сования см. в [36, гл. 6]. Все они также имеют экспоненциальную сложность.

Предположим теперь, что известно разложение p - 1 на простые множители:

s i p - 1 = q.

i i= s Тогда решение (5.1) можно найти за O i (log p + qi) арифмети i= ческих операций с помощью следующего алгоритма, см. [215]. (Для некоторого усовершенствования алгоритма справедлива аналогичная оценка с заменой qi на q1/2.) i Алгоритм Полига Хеллмана.

— 1 шаг. Для каждого простого числа q, q | p - 1, составляем таблицу чисел rq,j aj(p-1)/q (mod p), j = 0,..., q - 1.

2 шаг. Для каждого простого q, q p - 1, находим loga b (mod q ).

§5.2. -метод Полларда для дискретного логарифмирования Пусть x loga b (mod q ) x0 + x1q +... + x -1q -1 (mod q ), где 0 xi q - 1. Тогда из (5.1) следует, что b(p-1)/q ax (p-1)/q (mod p).

С помощью таблицы 1 шага находим x0. Тогда выполнено сравнение (p-1) q / 0 (ba-x ) ax (p-1)/q (mod p).

По таблице находим x1, и т. д. Значение xi находится из сравнения i 0-x1q-...-xi-1qi-1 i+1 (p-1) q (ba-x )(p-1)/q ax / (mod p).

i 3 шаг. Найдя loga b (mod q ), i = 1,..., s, на ходимloga b (mod p - 1) i по китайской теореме об остатках.

Конец алгоритма.

Докажем оценку сложности алгоритма. Набор элементов s i a(p-1)/q (mod p) вычисляется за O(log p) арифметических операций.

i=1 s Затем набор rq,j для всех qi, j вычисляется за O(qi) арифметиче i i= ских операций. Для нахождения очередного xi на шаге 3 надо возвести i- в степень (т. е. найти ax qi-1), найти обратный элемент, умножить, возвести в степень и пройти по таблице. Обратный элемент находится с помощью обобщенного алгоритма Евклида за O(log p) операций. Все вместе дает указанную выше оценку сложности алгоритма Полига — Хеллмана.

Замечание 5.2. Алгоритм Полига Хеллмана имеет полиномиаль — ную сложность O((log p)c ) в случае, когда все простые делители qi числа p не превосходят (log p)c, где c1, c2 положительные по — стоянные. Это имеет место, например, для простых чисел p вида 1 p = 2 + 1, p = 2 3 + 1. Если же у p - 1 есть простой делитель q, q pc, где c > 0, то алгоритм Полига Хеллмана будет иметь экспо — ненциальную сложность.

§5.2. -метод Полларда для дискретного логарифмирования В §2.3 мы описали -метод Полларда для факторизации целых чи сел. В работе [220] аналогичный метод был предложен для дискретного 9* 132 Гл. 5. Алгоритмы дискретного логарифмирования логарифмирования по простому модулю p. Мы хотим решить уравнение ax b (mod p). Для этого рассмотрим три числовые последователь ности {ui}, {vi}, {zi}, i = 0, 1, 2,..., определенные следующим образом:

u0 = v0 = 0, z0 = 1;

ui + 1 (mod p - 1), если 0 < zi < p/3;

2ui (mod p - 1), если p 3 < zi < p;

ui+1 / u (mod p - 1), если p < zi < p;

i vi (mod p - 1), если 0 < zi < p/3;

2vi (mod p - 1), если p 3 < zi < p;

vi+1 / v + 1 (mod p - 1), если p < zi < p;

i i+1 i+ zi+1 bu av (mod p - 1).

Здесь под c (mod p) мы понимаем наименьший неотрицательный вычет в данном классе вычетов.

Далее мы рассматриваем наборы (zi, ui, vi, z2i, u2i, v2i), i = 1, 2, 3,..., и ищем номер i, для которого zi = z2i. Из последнего равенства следу ет, что 2i-ui i-v2i bu av (mod p).

Если окажется, что (u2i - ui, p - 1) = 1, то при l Z, l(u2i - ui) (mod p - 1) мы получим i-v2i) b al(v (mod p), откуда искомый x равен loga b l(vi - v2i) (mod p - 1).

Дальнейшие детали, в частности, методы для нахождения совпав ших элементов zi, z2i, см. в [220]. Эвристическая оценка сложности метода составляет O(p1/2) операций.

Заметим, что в [276] с помощью некоторого усовершенствования -метода Полларда было проведено дискретное логарифмирование по простому модулю, записываемому 22 десятичными цифрами.

В работе [267] также было предложено некоторое усовершенство вание описанного выше метода.

§ 5.3. Дискретное логарифмирование в простых полях § 5.3. Дискретное логарифмирование в простых полях В данном параграфе мы рассмотрим алгоритмы решения уравнения ax b (mod p), (5.2) где простое число, имеющие эвристическую оценку сложности 1p — Lp ;

c при некоторых значениях постоянной c. Мы будем считать, что a (mod p) имеет порядок p - 1. Первый такой алгоритм предло жил Адлема н в ра боте [44]. Мы опишем некоторую модификацию его метода.

Алгоритм Адлемана.

1 этап. Сформировать факторную базу, состоящую из всех простых чисел q, q B = econst log p log log p.

2 этап. С помощью некоторого перебора найти натуральные числа ri такие, что i iq ar q (mod p) q B, q простое — Отсюда следует, что ri iq loga q (mod p - 1). (5.3) q B, q простое — 3 этап. Набрав достаточно много соотношений (5.3), решить по лучившуюся систему линейных уравнений относительно неизвестных loga q дискретных логарифмов элементов факторной базы.

— 4 этап. С помощью некоторого перебора найти одно значение r, для которого q ar · b q · p1... pk (mod p), q B где p1,..., pk простые числа средней величины, т. е. B < pi < B1, — « » где B1 также некоторая субэкспоненциальная граница, B1 = — = econst log p log log p.

5 этап. С помощью вычислений, аналогичных 2 и 3 этапам алгорит ма, найти дискретные логарифмы loga pi для фиксированных простых чисел средней величины p1,..., pk из 4 этапа.

134 Гл. 5. Алгоритмы дискретного логарифмирования 6 этап. Определить искомый loga b:

k loga b -r + q loga q + loga pi (mod p - 1).

q B i= Конец алгоритма.

Замечание 5.3. Идея использования факторной базы для на хождения дискретных логарифмов применялась и ранее, например, в [280]. Описания алгоритма Адлемана см. также в [95;

176;

210].

Отметим, что на практике алгоритм Адлемана все же недостаточно эффективен.

В 1986 г. Копперсмит, Одлыжко и Шреппель предложили алго ритм дискретного логарифмирования с эвристической оценкой слож ности Lp ;

1 арифметических операций. В работе [151] в 1991 г.

с помощью метода [97] (версия с гауссовыми целыми) было прове дено логарифмирование по модулю p 1058. В 1997 г. Вебер [276] провел логарифмирование по модулю p 1085 также с помощью вер сии алгоритма [97] с гауссовыми целыми. Он, кроме того, показал, что метод [97] с гауссовыми целыми лучше, чем решето числового по ля, для данного p 1085. В работе [134] экспериментально показано, что для p 1090 метод [97] лучше решета числового поля. Однако для p > 10100 алгоритмы решета числового поля работают быстрее алго ритма Копперсмита Одлыжко Шреппеля, что также было показано — — в [134]. Об алгоритмах решета числового поля для дискретного лога рифмирования, о версии [97] с гауссовыми целыми и о работе [276] мы расскажем более подробно далее, в §5.5 этой главы. Здесь же мы опишем простейшую версию алгоритма Копперсмита Одлыжко — — Шреппеля.

Алгоритм COS.

1 этап. Положим H = [p1/2] + 1, J = H2 - p > 0. Сформируем мно жество S = {q | q простое, q < L1/2}{H + c | 0 < c < L1/2+ }, — где L и постоянные величины, L = Lp ;

1, 0 < < 1.

— 2 этап. С помощью некоторого просеивания мы ищем пары целых + чисел c1, c2 таких, что 0 < ci < L, i = 1, 2, и абсолютно наименьший вычет элемента (H + c1)(H + c2) (mod p) гладок по отношению к границе § 5.3. Дискретное логарифмирование в простых полях гладкости L1/2, т. е.

q (H + c1)(H + c2) q (c1,c2) (mod p).

q

Логарифмируя по основанию a, получим соотношение loga (H + c1) + loga (H + c2) q (c1, c2) loga q (mod p - 1).

q

q 3 этап. Набрав на 2-м этапе достаточно много уравнений, мы ре шим получившуюся систему линейных уравнений в кольце Z (p - 1)Z / и найдем значения loga (H + c), loga q.

4 этап. Для нахождения конкретного логарифма x = loga b мы вве дем новую границу гладкости L2. Случайным перебором находим одно значение w такое, что q u awb qg uh (mod p).

q

5 этап. С помощью методов, аналогичных 2 и 3 этапам, мы находим логарифмы нескольких простых чисел u средней величины, возникших на 4 этапе.

6 этап. Находим ответ x = loga b -w + gq loga q + hu loga u (mod p - 1).

u q

136 Гл. 5. Алгоритмы дискретного логарифмирования Замечание 5.4. Значения loga (H + c), возникающие на 2 эта пе, являются несущественными. Они не нужны впоследствии для нахождения индивидуальных логарифмов loga b. Поэтому на 3 эта пе их сперва исключают из системы линейных уравнений;

техника такого исключения описана в [103]. Получившуюся систему отно сительно неизвестных loga q решают методом структурированного гауссова исключения с последующим применением алгоритма Лан цоша, как в работе [151], или сразу методом Ланцоша, как в рабо те [276].

Замечание 5.5. Опишем просеивание, применяемое на 2 этапе. За фиксируем значение c1. Пусть q простое число, f небольшое нату — — ральное число, причем qf делит J + (c1 + c2)H + c1c2. Тогда c2 -(J + c1H)(H + c1)-1 (mod qg).

Отсюда следует, что значения c2 для данных g и f лежат в арифме тической прогрессии. Теперь уже ясно, что просеивание мы можем проводить аналогично методу квадратичного решета, описанному в гл. 3. Мы заводим массив из L1/2+ элементов, номер элемента это — значение c2. Сначала элементы массива равны 0. Затем мы перебираем степени простых чисел qf и для фиксированного qf к элементам массива с номера ми c2, c2 -(J + c1H)(H + c1)-1 (mod qf), прибавляем доста точно грубо вычисленные значения log q. После окончания просеивания по всем q < L1/2 и некоторым небольшим f элементы нашего массива будут приближенно равны логарифмам от гладких частей элементов J + (c1 + c2)H + c1c2. Если значение элемента массива с номером c окажется примерно равно значению log |J + (c1 + c2)H + c1c2|, то число J + (c1 + c2)H + c1c2 скорее всего будет гладким, и мы факторизуем его пробными делениями на a, a < L1/2. Смысл применения просеивания, как и в методе квадратичного решета для факторизации, заключается в сокращении количества делений.

Замечание 5.6. В работе [134] описано логарифмирование по про p - стому модулю p = [1089 ] + 156137, простое. Использо — валась версия алгоритма COS с гауссовыми целыми. Для рабо ты алгоритма потребовалось 60 mips-years для нахождения соот ношений, и около трех недель ушло на решение системы линей ных уравнений. При решении системы линейных уравнений сначала использовалось структурированное гауссово исключение, а затем к уплотненной системе меньшего размера применялся алгоритм Лан цоша.

§ 5.4. Дискретное логарифмирование в полях Галуа § 5.4. Дискретное логарифмирование в полях Галуа Фиксируем простое число p, натуральное число n > 1, и обозначим q = pn. Пусть a образующий элемент циклической группы GF(q).

— Мы хотим решить уравнение ax = b (5.4) в GF(q). Для этого также используются алгоритмы с факторными база ми. В случае, когда p невелико, такой алгоритм описан в [144, гл. 4]. Он имеет эвристическую оценку сложности Lq ;

const арифметических операций.

Алгоритм index-calculus.

1 этап. (Предварительные вычисления.) Поле GF(q) изоморф но GF(p)[y] (f(y)), где f(y) GF(p)[y] неприводимый унитарный / — многочлен степени n. Поэтому элементы поля GF(q) представимы в виде многочленов степени не более n - 1. Умножение таких многочле нов производится по модулю f(y). В частности, a = a(y) некоторый — многочлен. Элемент a1 = a(q-1)/(p-1) имеет порядок p - 1 и образует GF(p). С его помощью мы составляем таблицу логарифмов кон « стант т. е. элементов простого поля GF(p) GF(q). Для этого мы » — вычисляем a0 = 1, a1, a2,..., ap-2;

это делается быстро, так как мы 1 1 предположили, что p невелико.

2 этап. (Выбор факторной базы.) Факторная база B GF(q) состо ит из всех неприводимых многочленов g степени не выше t, где t — некоторый параметр, t < n (выбор параметра t связан с оценкой слож ности алгоритма).

3 этап. (Нахождение соотношений.) Случайно перебирая m, 1 m q - 2, мы находим те значения, для которых выполнено соотношение g am c0 g (m) (mod f(y)), gB где c0 GF(p). Для факторизации нам приходится использовать де ление многочленов над конечным полем. Из найденного соотношения следует, что m loga c0 + g(m) loga g (mod q - 1).

gB Здесь loga c0 нам уже известны, а loga g неизвестные величины.

— 138 Гл. 5. Алгоритмы дискретного логарифмирования 4 этап. (Нахождение алгоритмов элементов факторной базы.) Най дя на 3 этапе достаточно много соотношений (больше, чем |B|), мы решаем систему линейных уравнений в кольце Z (q - 1)Z и на ходим / loga g для g B.

5 этап. (Нахождение индивидуального логарифма.) В простейшей версии алгоритма мы ищем одно значение m, для которого g b · am c1 g (mod f(x)), gB где c1 GF(p). Отсюда находим искомое значение loga b -m + loga c1 + q loga g (mod q - 1).

gB Конец алгоритма.

В случа е, когда p велико, описанный выше алгоритм неэффекти вен. Для логарифмирования в поле GF(p2) Эль Гамаль работе [108] 1в предложил алгоритм, имеющий оценку сложности Lp ;

const ариф метических операций. В его методе используется вложение поля GF(p2) в кольцо целых алгебраических чисел ZK некоторого мнимого квадра тичного одноклассного поля K f : GF(p2) ZK.

Одноклассность поля K означает, что в ZK есть однозначное разложе ние на простые множители, и каждый идеал является главным. Наше уравнение ax = b в GF(p2) тогда перейдет в уравнение x = в ZK, где = f(a), = f(b). Далее используется стандартная схема логариф мирования с факторной базой, неоднократно описанная нами выше.

При этом в качестве элементов факторной базы используются простые (неразложимые) элементы кольца ZK с небольшой нормой.

Заметим, что алгоритм Эль Гамаля явился, по сути, предвестником алгоритма решета числового поля.

Еще один алгоритм был предложен Эль Гамалем в работе [109].

Это алгоритм дискретного логарифмирования в поле GF(pn), где p — большое простое число, n > 2. Он также имеет эвристическую субэкс n поненциальную оценку сложности Lp ;

const. В нем используется представление GF(pn) в виде ZK P, где ZK кольцо целых алгеб / — раических чисел числового поля K, P простой идеал ZK c нормой, — равной pn.

§ 5.4. Дискретное логарифмирование в полях Галуа Теперь рассмотрим случай p = 2, q = 2n. В 1984 г. в работе [95] Д. Копперсмит предложил алгоритм, который имеет эвристическую оценку сложности Lq ;

const. Это был первый субэкспоненциаль ный алгоритм с показателем ;

для факторизации алгоритмы с такой оценкой сложности появились лишь в 1990 г. (решето числового поля;

см. гл. 3).

Опишем идею алгоритма Копперсмита на примере. Этот алго ритм основан на нахождении хорошего представления поля GF(q) в виде GF(q) = GF(2) [x] (P(x)), где неприводимый многочлен P(x) / имеет вид P(x) = xn + Q(x), deg Q(x) < n2/3. Пусть n = 127;

можно по ложить P(x) = x127 + x + 1 неприводимый многочлен в GF(2) [x].

— Мы будем рассматривать поле GF(2127) = GF(2) [x] (P(x)). Пусть / a = a(x) образующий циклической группы GF(2127). Предположим, — что мы выбрали A(x), B(x) GF(2) [x], degA(x) 10, deg B(x) 10, НОД(A(x), B(x)) = 1. Мы рассматриваем A(x), B(x) как элементы GF(2127). Пусть C(x) = x32A(x) + B(x), тогда deg C(x) 42. Если мы рассмотрим многочлен D(x), D(x) C(x)4 (mod P(x)), deg D(x) < 127, то D(x) x128A(x)4 + B(x)4 (mod P(x)), и поскольку x128 x2 + x (mod P(x)), то D(x) (x2 + x)A(x)4 + B(x)4 (mod P(x)).

Таким образом, C(x)4 D(x) (mod P(x)), deg D(x) 42, deg C(x) 42.

Поскольку степени C(x) и D(x) невелики, то с достаточно высокой ве роятностью они разложатся в произведение неприводимых многочленов малой степени, которые составляют факторную базу. То есть j C(x) gj(x)e (mod P(x)), j j D(x) gj (x)f (mod P(x)).

j 140 Гл. 5. Алгоритмы дискретного логарифмирования Тогда сравнение 4 ej loga gj (x) fj loga gj (x) (mod q - 1) j j есть соотношение для неизвестных loga gj (x) дискретных логариф — мов элементов факторной базы нашего поля GF(2127). Это однородные уравнения. Однако можно считать, что наше основание a = a(x) в ура в нении (5.4) само есть неприводимый многочлен малой степени, или что оно раскладывается в произведение таких многочленов:

j a = a(x) gj (x)v (mod P(x)).

j Это дает нам неоднородное уравнение 1 = loga a vj loga gj (x) (mod q - 1), j и мы получаем неоднородную систему линейных уравнений относи тельно неизвестных величин loga gj (x). В остальном схема алгорит ма Копперсмита аналогична схеме алгоритма Адлемана, описанного в §5.3.

В ра бота х [269;

270] с помощью некоторого усовершенствования алгоритма Копперсмита было проведено дискретное логарифмиро вание в поле GF(2607). Этап нахождения соотношений занял около 19 000 mips-years. Для решения систем линейных уравнений было использовано структурированное гауссово исключение, и затем для уплотненной системы был применен алгоритм Видемана (см. об этом алгоритме гл. 11). На решение системы линейных уравнений ушло более двух месяцев. Автор [269] также делает вывод о том, что ис пользованный им метод не позволяет осуществлять в настоящее время дискретное логарифмирование в GF(2n) для n 997.

О дискретном логарифмировании в поле GF(pn) см. та кже [173;

32].

§ 5.5. Дискретное логарифмирование и решето числового поля В данном параграфе мы расскажем об алгоритмах решета числового поля для дискретного логарифмирования по простому модулю. Алго ритмы решета числового поля для факторизации появились несколько раньше (см. об этом §3.6). Основываясь на идеях этих алгоритмов, Д. Гор § 5.5. Дискретное логарифмирование и решето числового поля дон в 1993 г. в работе [127] предложил алгоритм решения уравнения ax b (mod p), (5.5) где p простое число;

сложность алгоритма составляет эвристически 1 — Lp ;

32/3 арифметических операций.

Метод Гордона оказался непрактичным. Широкауер в работе [236] предложил свою версию алгоритма решета числового поля для реше ния (5.5) со сложностью Lp ;

(64 9)1/3 арифметических операций.

/ Его алгоритм был реализован Вебером, и в работе [274] описано лога рифмирование по модулю p 1040, ав работе [238] 1996 г. по модулю — p 1065. Также Вебер в работе [275] провел некоторые предваритель ные вычисления, связанные с дискретным логарифмированием по пред ложенному МакКарли модулю p 10129;

позднее в [278] было на йдено решение задачи (5.5) для данного p. Одна ко это число p имеет спе циальный вид, и поэтому используется специальное решето числового поля, работающее быстрее. Вебер в 1997 г. в своей диссертации [276] провел логарифмирование по модулю p 1085, не имеющему специ ального вида, как решетом числового поля (метод Широкауера), так и с помощью алгоритма Копперсмита Одлыжко Шреппеля (версия — — с гауссовыми целыми). При этом оказалось, что алгоритм решета чис лового поля работает медленнее для данного p (см. [277;

276]), чем алгоритм Копперсмита Одлыжко Шреппеля. Позднее Жу и Лерсье — — показали, что для p > 10100 алгоритмы решета числового поля работают быстрее, чем алгоритм Копперсмита Одлыжко Шреппеля, см. [134].

— — В январе 2001 г. Жу и Лерсье провели логарифмирование по моду лю p 10110 (см. [135]), а в апреле 2001 г. по модулю p — (см. [136]). В настоящее время это рекордное значение p для дис — кретного логарифмирования по простому модулю, не имеющему специ ального вида.

Прежде чем описать схему алгоритмов решета числового поля для решения (5.5), скажем еще несколько слов о других результатах в этой области.

Широкауер в работе [237] обобщил алгоритм работы [236] на случай поля GF(pn). При q = pn оценка сложности составляет Lq [1 3;

(64 9)1/3] арифметических операций. Фактически это верно при / / фиксированном p и n. Согла сно [237], указанная оценка спра ведлива и при log p > n2+ для некоторого > 0. Семаев в работе [247] также получил ряд результатов о дискретном логарифмировании в ко нечных непростых полях.

142 Гл. 5. Алгоритмы дискретного логарифмирования В работе [33] идеи Копперсмита и Широкауера применены для получения алгоритма дискретного логарифмирования в простом по ле GF(p) с наилучшей известной оценкой сложности Lp ;

c, где c = = (92 + 26 13)1/3 3 1,902.

/ Для чисел специального вида в работе [127] была предложена версия алгоритма решета числового поля со сложностью Lp ;

c, где c 1,00475. За счет того, что c близка к 1, такой алгоритм в неко торых случаях работает быстрее алгоритмов со сложностью Lp ;

c, как показывает пример работы [278].

См. также [208;

152].

Теперь мы опишем, следуя [276], общую схему алгоритмов ре шета числового поля для решения задачи (5.5). Мы опишем также, в виде некоторого частного случая этой схемы, версию алгоритма Копперсмита Одлыжко Шреппеля с гауссовыми целыми. Принято — — рассматривать алгоритм работы [97] как отдельный метод, отличный от решета числового поля, поскольку он был придуман раньше и имеет собственную оценку сложности.

Далее в этом параграфе мы снова, как и в §3.6, предполагаем, что читатель знаком с алгебраической теорией чисел в объеме кни ги [263].

Схема алгоритма.

1 этап. На этом этапе мы сводим решение уравнения (5.5) к реше нию уравнений ax s (mod p), s S, где S некоторое конечное множество достаточно малых натуральных — чисел. Грубо говоря, мы ищем одно z N, такое, что az · b sj (mod p), j где sj не очень большие простые числа, скажем, sj Lp ;

const.

— Факторизацию az · b (mod p) мы можем проводить методом эллип тических кривых Ленстры (см. гл. 4). Тогда S = {sj}, loga b -z + + loga sj (mod p - 1).

j 2 этап. С помощью некоторой техники мы выбираем два многочле на g1 (x), g2 (x) Z[x], deg gi (x) = ni, i = 1, 2, имеющих общий корень § 5.5. Дискретное логарифмирование и решето числового поля m (mod p). Мы обозначаем для j = 1, 2:

j C фиксированный корень gj (x), — hj N старший коэффициент gj (x), — Kj Q( j), Oj = ZK кольцо целых алгебраических чисел поля Kj.

— j Замечание 5.7. Версия алгоритма Копперсмита Одлыжко — — Шреппеля с гауссовыми целыми в рамках данной схемы выглядит следующим образом:

1) n1 = 2;

g1 (x) неприводимый многочлен второй степени;

поле K — есть мнимое квадратичное одноклассное поле;

2) n2 = 1, g2(x) линейный многочлен вида Ux + V, U, V Z.

— 3 этап. (Выбор факторной базы.) Для j = 1, 2 мы находим фактор ные базы Fj = { | простые идеалы Oj, Norm

— Здесь Bj некоторые постоянные, субэкспоненциально зависящие — от p.

4 этап. С помощью некоторого просеивания мы находим множество пар C = {(c, d)}Z2 такое, что для i = 1, 2 идеалы (hi (c + d i)) в коль це Oj гладки по отношению к факторной базе Fj. При этом множество C должно быть достаточно велико, |C| > |F1| + |F2|.

5 этап. Для каждого s S мы находим специальные соотношения.

Для каждого простого идеала s O1, лежа щего на д s, мы на ходим пару чисел c, d такую, что идеал (h1 (c + d)) 1 гладок по отношению / к F1 и идеа л (h2 (c + d 2)) гладок по отношению к F2.

6 этап. Для каждого большого простого числа q, делящего p - (мы считаем, что факторизация p - 1 нам известна), делаем следующее.

1. Вычисляем так называемые аддитивные характеры Широкауера (определение см. ниже) от элементов hj (c + d j), j = 1, 2, (c, d) C.

2. Находим матрицу A с элементами из поля Z qZ. Ее столбцы / состоят из векторов показателей в разложении hj (c + d j) на простые идеалы и из значений аддитивных характеров.

3. Путем решения системы линейных уравнений AX 0 (mod q) на q ходим элементы i Oi, i = 1, 2, такие, что i = i, i Oi, i = 1, 2.

4. С помощью кольцевых эндоморфизмов j : Z[hj j] Z pZ, j (hj j) hjm (mod p), j = 1, 2, / мы переходим от q-х степеней в кольцах Oj к целым числам и на ходим k, l Z такие, что ak · bl dq (mod p). Из этого следует, что 144 Гл. 5. Алгоритмы дискретного логарифмирования k + lx 0 (mod q), где x (mod p - 1) решение (5.5). Отсюда мы на — ходим значение x (mod q).

Замечание 5.8. Для версии [97] с гауссовыми целыми нам не нужно вычислять аддитивные характеры Широкауера, поскольку мы работаем в кольца х Oi с однозначным разложением на множители и с конечной группой единиц.

7 этап. На 6 этапе мы нашли значение x (mod q) для больших простых делителей q числа p - 1. Предположим, что p - 1 не делит ся на квадрат большого простого числа. Тогда недостающие значения q q x (mod q ), где q небольшие простые числа, q p - 1, мы найдем — с помощью алгоритма Полига Хеллмана. Затем с помощью китайской — теоремы об остатках мы найдем искомое значение x (mod p - 1).

Конец алгоритма.

Определим теперь аддитивные характеры Широкауера, возникаю щие на 6 этапе алгоритма. Пусть алгебраическое число, deg = n, — f(x) = anxn +... + a0 Z[x] минимальный многочлен для, K = Q( ), — O = ZK кольцо целых алгебраических чисел поля K. Положим — ={ O| l NormK/Q ( )}, E = НОК |(O b)| b простые идеалы O, b|(l).

/ — Очевидно, что является подгруппой относительно умножения. Рас смотрим отображение : (, ·) lO l2O, ( ) = E - 1 (mod l2O).

/ Нетрудно видеть, что является гомоморфизмом мультипликативной полугруппы в аддитивную группу lO l2O. Пусть / O = Z 1... Z n, где 1,..., n целый базис кольца O. Тогда lO l2O является — / линейным пространством над Z lZ с базисом l 1 (mod l2O),...

/ n..., l n (mod l2O). Пусть i l i (mod l2O), и пусть i( ) = bii, i= где bi Z lZ. Рассмотрим отображения i : Z lZ, i ( ) bi (mod l).

/ / Эти отображения называются аддитивными характерами Широкауера, причем однозначно определяется набором 1,..., n.

В работе [236] показано, что при некоторых условиях из равенства ( ) = 0следует, что = l, где O. Это обеспечивает нам нахождение q элементов i = i на 6 этапе алгоритма.

Теперь вкратце опишем просеивание, применяемое на 4 этапе алго ритма. Условие гладкости идеала (hi (c + d i)) в кольце Oi равносильно § 5.6. Частное Ферма и дискретное логарифмирование по составному модулю гладкости нормы NormK/Q (hi(c + d i)) в кольце целых чисел. Данная норма представляет собой некоторый однородный многочлен fi (c, d), где fi (X, Y) Z[X, Y]. Предположим, что мы хотим найти те значения c, d, для которых fi (c, d) гладко по отношению к некоторой границе гладкости B. Если мы фиксируем d, простое число q и натуральное число h, то значения c, такие, что qh|f(c, d), будут лежать в арифмети ческой прогрессии c d · rj (mod qh), где rj (mod qh) какой-либо из корней уравнения f(Z, 1) 0 (mod qh).

— Теперь ясно, что мы можем организовать просеивание аналогич но алгоритмам, описанным в §3.4, 3.6. Этот вид просеивания на зывается линейным просеиванием. Существует также просеива ние по векторам (тогда мы движемся не по арифметической про грессии, а по некоторой решетке в Z2) и решетчатое просеивание, см. [107].

На этом мы закончим описание алгоритмов решета числового поля для дискретного логарифмирования. Подробное описание этих алго ритмов может, пожалуй, составить предмет для написания отдельной монографии.

Pages:     | 1 || 3 | 4 |   ...   | 5 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.