Рабочая программа по дисциплине «Теоретико-числовые методы в криптографии» для студентов специальности «Компьютерная безопасность» ТюмГУ, и задания для самостоятельного выполнения с ответами к ним

Вход: a, b >0.

1. Находим разложение a=bq+r, 0≤r<b

2. если r=0 Шаг 5 (выход)

3. a:=b; b:=r.

4. Возвращаемся на Шаг 1

5. Выход: b – НОД.
Пример

a=603, b=108

a60310863452718b108634527189603=5·108+63

108=1·63+45

63=145+27

45=127+18

27=118+9

18=29+0
Ответ: НОД (603,108)=9.
Бинарный алгоритм Евклида

Этот вариант создан специально для реализации на ЭВМ. В нем учитывается, что операция деления на число 2 или на любую степень двойки является весьма быстрой и простой операцией (в двоичной системе счисления операция деления на 2 есть всего лишь битовый сдвиг вправо).

Учтем, что (2^ka,2^sb)=2^min(k,s)(a,b).

Алгоритм:

Вход: a, b>0.

1. 
   Представим a и b в виде: ; , где a₁, b₁ – нечетные числа.
   

k:=min(k₁,k₂).

1. 
   Если a₁>b₁ Шаг 4
   

a₁< b₁ Шаг 3

a₁= b₁ Шаг 6

1. 
   Меняем местами a₁ и b₁.
   
2. 
   c:=a₁–b₁=2^sc₁ (c₁ - нечетное число)
   

(Заметим, что с обязательно будет четным, а значит )

5. a₁:= b₁ , b₁:=c₁ . Возвращаемся на Шаг 1.

6. Выход: (a,b)=2^ka₁ .
Пример

a=603, b=108
a₁603279b₁2799c₁99–

1. a₁=603, k₁=0; b=108=427=2²27 k₂=2, b₁=27, k=0

2. a₁=603> b₁=27 Ш4

4. c=603-27=56=649, c₁=9

5. a₁=27; b₁=9 Ш1

1. a₁=27; b₁=9

2. a₁> b₁ Ш4

4. c=a₁–b₁=18=29, c₁=9

5. a₁=9, b₁=9

1. a₁=9, b₁=9, k=0

2. a₁= b₁ Ш6

6. (a,b) = 2є9=9
Для НОД справедливы следующие свойства:
1) (am,bm)=m(a,b)

Доказательство:

Доказательство строится, умножая почленно соотношения алгоритма Евклида на m.

2) d – общий делитель чисел a и b

(в частности, ).

Доказательство:

Учитывая, что и – целые числа, из свойства НОД №1 получаем соотношение , что и требовалось.

 

3) (a,b)=1 (ac,b)=(c,b)

Доказательство:

a, b, c выполняется (ac,b)\ac, (ac,b)\b (ac,b)\bc (ac,b)\(ac,bc).

По условию теоремы, в силу взаимной простоты a и b (ac,bc)=c, то есть получили (ac,b)\с.

Но (ac,b)\b (ac,b)\(c,b).

С другой стороны, (c,b)\ac, (c,b)\b. (c,b)\(ac,b).

Таким образом, числа (ac,b) и (c,b). взаимно делят друг друга (ac,b)=(c,b).

 

4) (a,b)=1, b\ac b\c.

Доказательство:

Из теоремы №1 о НОД в силу b\ac, (ac,b)=b.

из свойства НОД № 3 b=(c,b)и тогда из теоремы №1 о НОД b\c.

 

5) Если (a_i, b_j)=1 для , ( , )=1.

Доказательство:

имеем ( , ) = ( , ) = ( , ) = … = .

Аналогично, используя полученное соотношение,

( , ) = ( , ) = … = ( , ) = 1.

 

1. 1.3 НОК (наименьшее общее кратное)

Если a₁\b, a₂\b, … , a_n\b, то b называется общим кратным чисел a₁,…,a_n. Наименьшее положительное общее кратное чисел a₁,…,a_n называется их наименьшим общим кратным (НОК).

Пусть НОД(a,b)=d, тогда можно записать a=da₁, b=db₁, где (a₁,b₁)=1.

Пусть a\M, b\M M=ak для некоторого целого k, и тогда число – целое. Но, поскольку (a₁,b₁)=1, то b₁\k , и тогда k=b₁t для некоторого , и

. *

Очевидно, , М – общее кратное a и b, и (*) дает формулу всех общих кратных.

При t=1 имеем M=НОК(a,b).



Формулой M = НОК(a,b)t можно представить все общие кратные чисел a и b. ( ).

1. 1.4. Простые числа

Числа a₁,…,a_n называются взаимно простыми, если НОД(a₁,…,a_n)=1, попарно простыми, если , НОД(a_i,a_j)=1.

Если числа попарно a₁,…,a_n простые, то они взаимно простые. Обратное неверно.

Число p называется простым, если оно имеет лишь два делителя – “1” и р.

Число “1” делится только на себя, и не является ни простым, ни составным, а занимает особое место в теории чисел.

Число а>1 имеющее более двух делителей, называется составным.

Утверждение 1

Наименьший не равный единице делитель числа a: , >1, является простым числом.

Доказательство:
Пусть q: q>1, q\a – наименьший делитель а. Если бы q было составным, то нашлось бы число q₁>1: q₁\q, и тогда для некоторого целого k выполнялось бы q=kq₁ a=qt=q₁kt q₁\a, q₁<q (то есть нашелся делитель числа a, который меньше q) q – не наименьший делитель числа a. Пришли к противоречию с условием теоремы. Предположение неверное, следовательно верно обратное. q – простое число.

 

Утверждение 2

p – наименьший делитель составного числа а, p≠1 .

Доказательство:

Представим a в виде a=pa₁. Поскольку p – наименьший делитель числа a, то a₁≥p a≥p² в силу монотонности квадратичной функции на положительной полуоси, p≤ .

 

Теорема Евклида (о простых числах) №1

Простых чисел бесконечно много.

Доказательство:

Пусть простых чисел ровно k штук, и p₁,…,p_k – все простые числа.

Возьмем n=p₁p₂…p_k+1. По предположению, n – составное число, т.к. n> , существует простое число d: d\n.

Но очевидно, исходя из вида числа n, что , получили противоречие с тем, что p₁,…,p_k – все простые числа.

 
Теорема Евклида (о простых числах) №2

в числовом ряду (1, 2, 3, …) существует k подряд идущих составных чисел.

Доказательство:

Возьмем m=k+1.

m!+2, m!+3,…, m!+m – составные числа, и их ровно k штук.

 

Решето Эратосфена

Решето Эратосфена используется для составления таблицы простых чисел, меньших или равных наперед заданного натурального числа N.

1. 
   Выписываем числа 1 2 3 … N
   
2. 
   Первое число, которое больше, чем 1, есть 2. Двойка делится только на 1 и 2, т.е. является простым числом.
   

Вычеркиваем из ряда (как составные) все числа, кратные 2, кроме самой двойки.

1. 
   Второе невычеркнутое число есть 3. Оно не делится на 2, иначе оно оказалось бы вычеркнутым, значит 3 делится только на 1 и 3, значит 3 – простое число.
   

Вычеркиваем из ряда все числа, кратные 3.

1. 
   Следующее невычеркнутое число есть 5. Оно простое, так как не делится ни на одно число, меньшее самого себя, иначе оно было бы вычеркнуто. Вычеркиваем все числа, кратные 5, кроме самой пятерки.
   

Этот процесс продолжаем далее для всех невычеркнутых чисел.

Когда этим способом вычеркнуты все числа, меньшие p (p – простое), то все невычеркнутые числа, меньшие p², будут простыми.

Действительно, всякое составное а<p² уже вычеркнуто, как кратное его наименьшего делителя d: a=da₁ который d≤ <p (по утверждению 2).

Тогда следуют правила:

1. 
   Числа, кратные р, вычеркиваются, начиная с p².
   
2. 
   Составление таблицы простых чисел, меньших или равных N, закончено, как только вычеркнуты все кратные простых, меньших или равных
   

Пример: N=50 .

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50

1. 1.5. Единственность разложения на простые сомножители.

Утверждение 1.

Любое целое число a либо взаимно просто с данным простым р, либо р\а.

Доказательство:

, p – простое число, выполняется (a,p)\p. Тогда в силу простоты p, либо (a,p)=p, либо (a,p)=1. В первом случае р\а, во втором a взаимно просто с р. Что и требовалось доказать.

 

Теорема (Основное свойство простых чисел)

Если a₁,…,a_k Z, p\( a₁…a_k) : p\a_i.

Доказательство:

В силу утверждения 1, либо (a_i,p)=1, либо (a_i,p)=p. Если бы выполнялось (a_i,p)=1 то выполнялось бы ( a₁…a_k, p)=1, и тогда p не делило бы (a₁…a_k). Получили противоречие с условием теоремы : p\a_i.

 

Теорема (О единственности разложения на произведение простых чисел)

, а>1 существует единственное разложение a=p₁p₂…p_n, где , р_i – простое .

Доказательство:

Действительно, обозначая буквой p₁ наименьший (простой) делитель а, имеем a=p₁a₁ Если a₁>0, то, обозначая p₂ наименьший (простой) делитель числа a₁, имеем a₁=p₂a₂ и т.д., пока не придем к a_n=1 для некоторого n (поскольку ряд a₁, a₂, …, a_n - убывающий ряд натуральных чисел, то рано или поздно мы придем к единице).

Тогда a=p₁p₂…p_n. Показали существование разложения на простые сомножители. Теперь докажем единственность.

Предположим, что для того же самого а существует второе разложение на простые сомножители a=q₁q₂…q_s, и, не нарушая общности, предположим, что s≥n. Тогда

p₁p₂…p_n = q₁q₂…q_s *

В силу основного свойства простых чисел, q₁\( p₁p₂…p_n) i: q₁\p_i. Не нарушая общности, предположим, что i=1 q₁\p₁. В силу простоты чисел p₁, q₁, получим p₁=q₁. Сократив обе части равенства (*) на q₁, получим

p₂…p_n = q₂…q_s,

p₁=q₁

Повторив рассуждения для q₂, получим

p₃…p_n = q₃…q_s,

p₁=q₁, p₂=q₂

И т.д. В итоге получим

1=q_n+1…q_s,

p₁=q₁, p₂=q₂, … , p_n=q_n

Отсюда q_n+1=1, …, q_s=1. То есть оба разложения на простые сомножители тождественны.

 
В разложении числа на простые сомножители некоторые из сомножителей могут повторяться. Обозначая p₁,…, p_k различные из них, а α₁,…, α_k – кратности их вхождения в разложение, получим каноническое разложение числа а:



Добавим, что задача разложения числа на простые сомножители, или, иначе, задача факторизации, считается сложной задачей, поскольку известные алгоритмы факторизации имеют экспоненциальную или субэкспоненциальную сложность. Ознакомиться с такими алгоритмами можно будет в гл. 2 настоящего пособия.
Теорема (о делителях числа)

Пусть – каноническое разложение числа a. Тогда все делители а имеют вид

, где 0≤β₁≤α₁, 0≤β₂≤α₂, …, 0≤β_k≤α_k.

Доказательство:

Пусть q\a a представимо в виде a=dq, тогда все простые делители числа d входят в каноническое разложение числа а с показателями, не меньшими тех, с которыми они входят в каноническое разложение числа а.

 

Следствие 1

Количество различных делителей числа есть .

Доказательство очевидно, оно следует из числа всевозможных сочетаний в формуле делителя в теореме о делителях числа.

Следствие 2

НОД(a₁,…,a_n), где ( ), есть , где ( ).

Пример.

a₁=235²=150, a₂=2²57=140, a₃=2³5=40.

p₁=2, p₂=3, p₃=5, p₄=7.

a₁= , a₂= , a₃= .

НОД(a₁,a₂,a₃)= =25=10.
Следствие 3

Совокупность общих делителей a₁,…,a_n совпадает с совокупностью делителей НОД(a₁,…,a_n).

Следствие 4

НОК , где ,

Пример.

НОК(150,140,40)=

Следствие 5

Если a₁,…,a_n – попарно простые числа, то НОК(a₁,…,a_n)= a₁…a_n

Следствие 6

Совокупность общих кратных чисел a₁,…,a_n совпадает с совокупностью кратных их наименьшего общего кратного.
Доказательства следствий 1–6 предоставляется читателю в качестве упражнения. Отыскать эти доказательства можно в [5] (Виноградов, «Основы теории чисел»).

1. 1.6. Асимптотический закон распределения простых чисел.

Решето Эратосфена отыскивает все простые числа от 1 до N. Однако при большом N поиск простых чисел таким способом отнимает много времени. Современная практическая криптография требует использования больших простых чисел – в некоторых стандартах используются простые числа размером порядка 1024 бита.

По понятным причинам, невозможно организовать поиск таких больших простых чисел при помощи решета Эратосфена. В настоящее время разработано несколько вероятностных и детерминированных тестов на простоту. Эти тесты определяют, является ли наугад выбранное число простым или составным. Далее мы изучим такие вероятностные тесты, как тест Ферма, Соловея-Штрассена, Миллера-Рабина.

Для поиска простых чисел с помощью таких тестов используют следующий подход: из чисел заданного диапазона случайным образом выбирают числа и проверяют их на простоту. Поиск прекращается как только будет найдено простое число. Такой подход называют случайным поиском простых чисел.

Для того чтобы оценить время, которое придется затратить на случайный поиск в заданном диапазоне, необходимо знать, сколько примерно простых чисел в этом диапазоне содержится. Конечно, точное распределение простых чисел в N неизвестно, но некоторые сведения об этом распределении у современной математики имеются. Так, в п.4 мы привели теоремы Евклида о простых числах, в которых утверждается, что, с одной стороны, простых чисел бесконечно много, а значит найдется сколь угодно большое простое число, а с другой стороны – что для любого m найдутся m подряд идущих составных, то есть существуют такие сколь угодно длинные диапазоны, на которых простых чисел нет вообще.

Более точно на вопрос о распределении простых чисел в N отвечает асимптотический закон распределения простых чисел.

Итак, обозначим π(x) – количество простых чисел, меньших либо равных x. Тогда справедлив

Асимптотический закон простых чисел

.

■

Другими словами, при x→∞, π(x)→x/lnx.

Кроме того, справедлива

Теорема Чебышева (1850 г.)

Для любого x при некоторых c₁<1< c₂ выполняется .

■

Учитывая асимптотический закон, можно сказать, что чем x больше, тем c₁ и с₂ ближе к 1.

Для x>1 с₂<1,25506, для x≥17 с₁=1.
Пример.

Пользуясь асимптотическим законом, вычислим примерное количество простых 512-битных чисел (таких, чтобы старший, 512-й, бит был равен 1).

Наименьшее значение 512-битного числа составляет 2⁵¹¹, наибольшее – 2⁵¹²-1.

Таким образом, нужно найти приблизительное количество K простых чисел из диапазона (x₁=2⁵¹¹, x₂=2⁵¹²).

K = π(x₂)—π(x₁) ≈ = = = = = .

Тогда вероятность при случайном поиске в заданном диапазоне выбрать простое число составляет

P = ≈ = ≈ .

Если же случайный поиск производить только среди нечетных чисел, то

P = ≈ .

То есть для того, чтобы путем случайного перебора среди 512-битных нечетных чисел найти простое, в среднем понадобится 178 итераций.

Для 1024-битных чисел поиск среди нечетных чисел потребует в среднем 355 итераций.

В общем, при увеличении требуемого размера числа (в битах) в 2 раза, среднее время поиска тоже увеличивается в два раза.