现代密码学(第四章)要点详解.pptVIP

第四章：公钥密码 一、公钥密码的基本概念 二、公钥密码RSA 三、背包公钥密码 四、公钥密码Rabin 五、 ElGamal公钥密码 六、公钥密码NTRU 七、椭圆曲线公钥密码ECC 八、 McEliece公钥密码 一、公钥密码的基本概念 双钥密码体制(公钥密码体制) 于1976年由W. Diffie和M. Hellman[1976]提出，同时R. Merkle[1978]也独立提出了这一体制。可用于保密通信，也可用于数字签字。 这一体制的出现在密码学史上是划时代的事件，它为解决计算机信息网中的安全提供了新的理论和技术基础。 公钥体制的基本原理是陷门单向函数。 一、公钥密码的基本概念 一个函数f：A?B，若它满足： 1o 对所有x?A，易于计算f(x)。 2o 对“几乎所有x?A”，由f(x)求x“极为困难”，以至于实际上不可能做到。 则称f为一单向(One-way)函数。 定义中的“极为困难”是对现有的计算资源和算法而言。 陷门单向函数(Trapdoor one-way function)，是这样的单向函数： 在不知陷门信息下，由f(x)求x“极为困难”， ； 当知道陷门信息后，由f(x)求x是易于实现的。 单向函数举例 离散对数DL。给定一大素数p（比如， p在21024数量级），p－1含另一大素数因子。称log2p为素数p的长度。 {1, 2, …, p-1}关于modp乘法构成了一乘群Zp*，它是一个p－1阶循环群。该循环群的生成元一共有φ(p-1)个。 设一个生成元为整数g，1gp－1。 设一个整数x，1xp－1。 设y满足y=gxmodp。 单向函数举例 已知x，g，p， 求y=gxmodp容易。 这是因为，采用折半相乘，只需要不超过2log2p次的modp乘法运算。 （实际上只需要不超过2log2x次的modp乘法运算。如 x=15=11112， g15 modp=(((g)2g)2g)2g modp， 要用6次modp乘法 ） 单向函数举例 若已知y，g，p，求x满足y=gxmodp，称为求解离散对数问题。记为x=logg y mod p。 求解离散对数问题的“最笨的方法”当然就是穷举，对每一个x∈{0, 1, 2, …, p－1}检验是否y=gxmodp。穷举求解法的运算次数约为( p－1)/2。许多求解离散对数问题的算法比穷举快得多，比如Shanks算法，Pohlig-Hellman算法等。最快求解法的运算次数约为数量级 单向函数举例 这个计算量称为亚指数计算量。这是什么概念呢？我们知道p的长度是log2p。看以下的不等式。 当log2p≈1024时，亚指数计算量不小于2100数量级。至少在在当前的计算水平之下是不能实现的。 单向函数举例 大整数分解FAC。设有二大素数p和q。设n=pq。 若已知p和q，求n=pq只需一次乘法。 但若已知n，求p和q满足n=pq，则称为大整数分解问题。迄今为止，已知的各种算法的渐近运行时间约为： 试除法：n/2。 二次筛(QS)： 椭圆曲线(EC)： 数域筛(NFS)： 单向函数举例 背包问题。已知向量 A=( a1, a2, …, aN)， ai为正整数， 称其为背包向量，称每个ai为物品重量。给定向量 x=(x1, x2,…, xN)， xi?{0, 1}， 求和式（称为背包重量） S= a1x1+ a2x2+… +aNxN 容易，只需要不超过N－1次加法。但已知A和S，求x则非常困难，称其为背包问题，又称作子集和(Subset-Sum)问题。一般只能用穷举搜索法，有2N种可能。N大时，相当困难。 单向函数举例 背包问题的特例：超递增背包问题。将物品重量从小到大排列：a1，a2，a3，…，aN。称该背包问题为超递增背包问题，如果： a1a2； a1+a2a3； a1+a2+a3a4； … a1+a2+a3+…+aN-1aN。 （超递增背包问题是容易解决的。） 单向函数举例 定理 设超递增背包重量为S。如果k满足akSak+1，则ak是背包中的最大物品重量。 定理的证明 首先，背包中没有大于ak的物品重量。 其次，背包中确有等于ak的物品重量。 证明完毕。 注意到，寻找k满足akSak+1只需要对比N次。 单向函数举例 超递增背包问题的解决方法 解决方法是可行的。设背包重量S，步骤如下。 （1）穷举：找k满足akSak+1。（这说明背包中的最大物品重量是ak） （2）记忆：存储这个k。 （3）卸载：如果S0，则令S:=S-ak，返回（1）。如果w=0，则到（4）。 （4）输出前面存储的所有的k，停止。 单向函数举例 格的最小向量问题(SVP)。 若干个N维向量组成的集合，如果满足 “集合中任何若干个向量的整数线性组合仍