Test di Miller e Rabin: principi

n

(il numero da sottoporre al test) deve essere dispari. Si pone

n-1 = r ·2 s

(con

r

dispari,

s



1)

Si sceglie a caso un intero

a

e si calcola:

a n-1 2 s mod n = (a r ) mod n n

è sicuramente composto se

a r mod n



1 e se

, per ogni j, 0  j  s-1, [2] pag.138

[9] pag.236

(a r j ) mod n



-1 18

Test di Miller e Rabin

z = a r mod n certamente composto

= 1?

=-1?

NO j=1 SI SI SI j=s-1?

NO

z = z 2 mod n

NO 1?

probabilmente primo

j=j+1 NO n-1?

SI

19

Teorema Cinese del Resto (CRT)

      risolve sistemi di congruenze del tipo:

x



a1

mod

m1 x



a2

mod 

m2

con

MCD(m i , m j ) = 1



i



j

x



ar

mod

mr

il teorema (CRT) afferma che la soluzione è unica a meno di multipli di

M = m1m2



mr

, ed è uguale a:

x



i r

  1

a i M i y i

mod

M

 dove

Mi = M/mi

e

yi = Mi-1

mod

mi

, per

1



i



r

20

Esponenziazione modulare

     primo esempio di funzione che sembra essere one-way: l’ esponenziazione modulare sia p un numero primo consideriamo il campo



p

, e in particolare il suo gruppo moltiplicativo



p

* = {1,2,…,p-1}

si dimostra che



p

*

è un gruppo ciclico 



g

 

p

*

tale che



p

* = {g

0

, g

1

,…, g

p-2

}

l’esponenziazione modulare è la funzione

f :

  

p

*

definita come segue:

f(z) = g

z

mod

p

21

Esponenziazione modulare

f(z) = g z mod p f(z) = (g



g



…



g) mod p

z volte

f(z) = [(g mod p)



(g mod p)



…



(g mod p)] mod p

z volte

Possono essere utilizzati algoritmi più efficienti del precedente per l’esponenziazione modulare

22

Esponenziazione:

esempio per p=11 b 1 2 3 8 9 10 4 5 6 7 1

1 2 3 8 9 10 4 5 6 7

2

1 4 9 9 4 1 5 3 3 5

3

1 8 5 6 3 10 9 4 7 2

4

1 5 4 4 5 1 3 9 9 3

6

1 9 3 3 9 1 4 5 5 4

5

1 10 1 10 1 10 1 1 10 10

x 7

1 7 9 2 4 10 5 3 8 6

8

1 3 5 5 3 1 9 4 4 9

9

1 6 4 7 5 10 3 9 2 8

10

1 1 1 1 1 1 1 1 1 1

Le righe 2,6,7,8 sono

i generatori di p=11

colonna 10

p-1 Le colonne p-1, (p-1)2, 2, p-2 evidenziano proprietà notevoli

g z mod 11 g,z  Z* 11

23

Generatori modulo p

Per ogni primo

p

, esiste un

g < p

, detto generatore modulo p o radice primitiva di p, le cui potenze

g 1 mod p , g 2 mod p , … g p-1 mod p

forniscono tutti gli interi compresi tra

1

e

p-1

Es: 2 è uno dei generatori di 11

Mod[2^{1,2,3,4,5,6,7,8,9,10},11]

{2,4,8,5,10,9,7,3,6,1} i generatori di

p

sono F

(p-1)

; F (10) = 2×5 = 10×(1-1/2)×(1-1/5) = (2-1)×(5-1) = 4

Th: a è un generatore di Z* n se e solo se a

F

(n)/q



per ogni q divisore primo di

F

(n) 1 24

Generatori mod p

i g 1 2 3 4 5 6 7 8 9 10 2

2 4 8 5 10 9 7 3 6 1

6

6 3 7 9 10 5 8 4 2 1

7

7 5 2 3 10 4 6 9 8 1

8

8 9 6 4 10 3 2 5 7 1

g i mod 11

I generatori di p = 11 sono 2, 6, 7,8 In colonna i = 5 si ha p-1=10 In colonna i = 2 manca 1(

per ogni b



1 e



p-1



b 2 mod p



1

)

25

Esponenziazione modulare

Altro esempio :   



5

* = {1,2,3,4}

è il gruppo moltiplicativo contenuto nel campo



5

= {0,1,2,3,4} 2

è un generatore di



5

*

; infatti:



5

* = {2

0

,2

1

,2

2

,2

3

} = {1,2,4,3}

possiamo definire la seguente esponenziazione modulare:

f(z) = 2

z

mod

5

 ogni esponenziazione modulare produce una permutazione (one-way) degli elementi di



p

*

26

Esponenziazione modulare

   dato

x

, possiamo calcolare polinomiale

g

x

possiamo supporre che la dimensione dell’input

0



x

è il numero di bit rappresentare gli elementi di mod 

p-2



p

*

, quindi

n =

log

2

p

La rappresentazione in base 2 di x è:

p

in tempo necessari per

x = x n-1 2 n-1 + b n-2 2 n-2 + ……….+ b 1 2 1 + b 0 2 0

x



j n

 1   0

x j

2

j

27

Esponenziazione modulare

   primo tentativo risultato = 1 while x > 0 : ModExp(p, g, x) do risultato = risultato * g mod p x = x – 1 return risultato in pratica, nella variabile risultato calcola:

g

0

, g

1

, g

2

, …, g

x

(sempre mod

n

) problema : fa un numero di iterazioni pari a (esponenziale rispetto a

n

)

x



2

n

28

Esponenziazione modulare

 soluzione corretta : poiché vale:

g x



g

 1

n j

  0

x j

2

j

  1

n j

  0

g x j

2

j

  1

n j

  0 (

g

2

j

)

x j

mod

p

 allora ci basta calcolare i valori

g

2 j

, per

j



{0,1,…,n-1}

, e moltiplicare tra loro solo quelli per cui

x

j

=1

il tutto può essere fatto in tempo polinomiale (rispetto a

n

) tramite il cosiddetto algoritmo “ square-and-multiply ”

29

Esponenziazione modulare

  algoritmo “ square-and-multiply ”: ModExp(p, g, x) ris = 1 for j = n-1 downto 0 do ris = (ris * ris) mod p if x j = 1 then ris = (ris * g) mod p return ris esempio : 8 7 mod 11  p = 11, g = 8, x = 7, n = 4 osservazione : 8 7 = 2097152

30

Esponenziazione modulare

  esecuzione dell’algoritmo : nella prima colonna, il valore di ris all’inizio della j-esima iterazione nelle ultime due colonne , non è stata fatta la riduzione modulo p

ris

1 1 8 6

j

3 2 1 0

x j

0

111 0

1

11 01

1

1 011

1

ris*ris

1 1 9 3

ris*g



8 6 2

ris*ris

1 1 64

ris*g



8 512

262144 2097152

31

Complessità

1 - Riducendo in modulo il risultato di ogni moltiplicazione si riesce ad operare sempre e solo su numeri di Z* p 2 – Non separando il calcolo dei

g i

da quello dei (

g i

) bi tempi di esecuzione più brevi si ottengono

O(



log 2 p



)

moltiplicazioni Moltiplicazione e divisione: O((log p) 2 ) operazioni su bit

Esponenziazione: O((log p) 3 ) operazioni binarie

.

Robustezza e tempo d’esecuzione Modulo: da 1024 bit a 2048 bit Tempo: da 1 a 8 32

Esponenziazione e logaritmo discreto

p grande Z* p

y = g x mod p facile

x y

x = log g difficile y 33

Logaritmo discreto

           Sia G un gruppo e g un generatore di G. Si consideri l’equazione y=g x il più piccolo intero x che soddisfa l’equazione è il logaritmo discreto di y in base g (log discreto è l’inverso di esponenziazione) Il logaritmo discreto è considerato un problema computazionalmente difficile • x →g x è facile (computazionalmente veloce).

• g x →x si crede sia difficile (non possibile in tempo polinomiale, potrebbe essere un esempio di one way function.

34

Logaritmo discreto

“ Dati un primo

p

, un generatore

g

esiste un unico intero

x

, 1  x  ed un qualunque intero p-1, tale che g x

y

mod p = y.

 Z* p ,

i g 1 2 3 4 5 6 7 8 9 10 2

2 4 8 5 10 9 7 3 6 1

6

6 3 7 9 10 5 8 4 2 1

7

7 5 2 3 10 4 6 9 8 1

8

8 9 6 4 10 3 2 5 7 1 y = 3 g = 2  x = 8 g = 6  x = 2 g = 7  x = 4 g = 8  x = 6

35

Algoritmi per il logaritmo discreto

Ricerca esauriente polinomiale

nel valore del dato

esponenziale y

 p-1 , nel numero di bit

n =



log 2 T = O(exp (n))

.

p

 :

Baby-step Giant-step T = O(exp (n 1/2 )) Index Calculus

(

sub-esponenziale

)

T = O(exp ((n) 1/2 (ln(n) 1/2 )) Number field sieve

(

sub-esponenziale

)

T = O(exp ((n) 1/3 (ln(n) 2/3 )) 36

1E+30 1E+27 1E+24 1E+21 1E+18 1E+15 1E+12 1E+09 1E+06 1000 1 700 800 900 1000 1100 1200 1300 1400 1500 1600 1700

bit 37

g

x



y (mod p) g

qm+r



y g

r



y.g

-qm

g

r



y.((g

-m

)

q

g

r



Passi del bambino, passi del gigante

y.c

q

m =  sqrt(p)  x = q.m + r

r q=0 0 g 0 mod p 1 g 1 mod p .

.

.

2 g 2 mod p m-1 g m-1 mod p

Approfondimenti: [3] pag.130

i=1, z=y z = y×c = z ?

NO SI fine

i=i+1

fine SI

= y ?

NO

38