Teoria dei numeri. Number Theory. Congruenze mod n. Teorema della divisione. Concetti preliminari per RSA

Transcript

1 Number Theory Teoria dei numeri Concetti preliminari per RSA Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno Aritmetica modulare Algoritmo di Euclide per il calcolo del gcd Calcolo dell inversa moltiplicativa mod n Generazione di numeri primi e test di primalità Teorema della divisione Dati a є Z, n є N esiste un unica coppia (q,r) con Congruenze mod n a e b sono congruenti mod n (a b mod n) se r n- tale che a=q n+r mod mod = mod a mod n = b mod n quoziente resto -9 mod r è indicato con a mod n mod = -9 mod a=, n=, = + r= mod = Se a b mod n allora n (b-a) a=-, n=,-=(-) + r=- mod = Se a b mod n allora b a mod n

2 L insieme Z n Aritmetica Modulare [a] n ={a+kn, k є Z} Insieme dei numeri che divisi per n danno lo stesso resto a mod n Rappresentata dal più piccolo intero positivo che è in essa Addizione modulo n (a mod n) + (b mod n) = (a+b) mod n b є [a] b=a+kn n b-a=kn n (b-a) b a mod n Z n ={[a] n, a n-} per semplicità Z n ={,, n-} Esempio: Z ={[], [], [], [] } [] ={, -, -8, -,,, 8,, } [] ={, -, -, -,,, 9,, } Proprietà Commutativa Associativa Distributiva Identità Esistenza inversa additiva (l inversa additiva di x è y tale che x+y mod n) [] ={, -, -, -,,,,, } [] ={, -9, -, -,,,,, } (Z n, +) gruppo additivo mod n Massimo Comune Divisore (gcd) L insieme Z n * d è il massimo comune divisore di a e n se d è un divisore di a e n ogni divisore di a e n è un divisore di d d=a x+n y Z n *={[a] n, <a n- e gcd(a,n)=} Esempio: Z * ={ [], [] } [] ={, -, -, -,,, 9,, } [] ={, -9, -, -,,,,, } Proprietà gcd(a, n)=gcd(a, -n)=gcd(-a, -n)=gcd( a, n ) gcd(a, )= a se gcd(a, n)=, a e n sono relativamente primi Esempio: Z 8 *={ [] 8, [] 8, [] 8, [] 8 } [] 8 ={, -, -, -,, 9,,, } [] 8 ={, -, -, -,,, 9,, }

3 Aritmetica Modulare Aritmetica mod 8 Moltiplicazione modulo n (a mod n) (b mod n) = (a b) mod n Proprietà Commutativa Associativa Distributiva Identità Esistenza inversa moltiplicativa L inversa moltiplicativa di x è y tale che x y mod n) (Z n *, ) gruppo moltiplicativo mod n 8 Addizione Moltiplicazione Non tutti gli interi in Z 8 hanno inversa moltiplicativa, ma quelli in Z 8 *={ [] 8, [] 8, [] 8, [] 8 } ce l hanno 9 Algoritmo di Euclide Algoritmo di Euclide: Esempi Descritto negli Elementi di Euclide (circa A. C.) Euclide (a,n) if if n = then return a else return Euclide (n, (n, a mod n) n) Teorema della ricorsione del gcd Per tutti gli interi a e n > gcd(a, n) n) = gcd(n, a mod n) n) Euclide (, ) = Euclide (, 9) = Euclide (9, ) = Euclide (, ) = Euclide (8, 8) = Euclide (8, ) = Euclide (, ) = Euclide (, ) = Euclide (, ) = Euclide (, 8) = Euclide (8, ) = 8

4 Assumiamo a > n Algoritmo di Euclide: complessità Se a<n, Euclide (a,n) chiama Euclide (n,a) e procede Se a=n, Euclide (a,n) termina subito perché a mod n= Al massimo log n chiamate Analisi complessa basata sui numeri di Fibonacci Per ogni chiamata O( (log a) ) operazioni su bit Totale: al massimo O( (log a) ) operazioni su bit Euclide (a,n) richiede al massimo O( (log a) ) operazioni su bit Polinomiale nella lunghezza dell input Algoritmo di Euclide Esteso Euclide-esteso (a,n) if if n = then return (a, (a,,, ) ) (d, x, y ) Euclide-esteso (n, (n, a mod n) n) (d, (d, x, x, y) y) (d, y, x - a/n y ) return (d, (d, x, x, y) y) Oltre a computare d=gcd(a,n) computa anche due interi x, y tali che d = gcd(a,n) = a x+n y Stesso running time asintotico di Euclide (a,n) Algoritmo di Euclide Esteso Euclide-esteso (a,n) if if n = then return (a, (a,,, ) ) (d, x, y ) Euclide-esteso (n, (n, a mod n) n) (d, (d, x, x, y) y) (d, y, x - a/n y ) return (d, (d, x, x, y) y) a n d x y Soluzione di ax b (mod n) Dati a, b, n calcolare x Esempi: x (mod 8) soluzione x (mod 8) soluzione, x (mod 8) nessuna soluzione

5 Soluzione di ax b (mod n) Soluzione di ax (mod n) Ha soluzioni se e solo se g b g = gcd(a,n) Ha soluzioni se e solo se gcd(a,n) = Se g b ci sono esattamente g distinte soluzioni mod n: Se gcd(a,n) = l unica soluzione mod n è: x b n x' + i g g per i =,,, g- dove = a x +n y (da Euclide-esteso (a,n) ) Tale soluzione viene denotata con a - mod n (inversa moltiplicativa di a, mod n) dove g = a x +n y (da Euclide-esteso (a,n) ) Soluzione di ax (mod 8) Ha soluzioni se e solo se gcd(a,8) = Soluzione di ax (mod ) Ha soluzioni se e solo se gcd(a,) = = - mod 8 = - mod 8 = - mod 8 = - mod 8 = - mod = - mod = - mod = - mod = - mod = - mod 8 9

6 Esempio: calcolo di - mod Esempio: calcolo di - mod Euclide-esteso (a,n) if if n = then return (a, (a,,, ) ) (d, x, y ) Euclide-esteso (n, (n, a mod n) n) (d, (d, x, x, y) y) (d, y, x - a/n y ) return (d, (d, x, x, y) y) a n d = x a + y n = - + = - mod d x - y - Euclide-esteso (a,n) if if n = then return (a, (a,,, ) ) (d, x, y ) Euclide-esteso (n, (n, a mod n) n) (d, (d, x, x, y) y) (d, y, x - a/n y ) return (d, (d, x, x, y) y) a n d x d = x a + y n = + (-) - = - mod - = 9 mod 9 = - mod y - Teorema cinese del resto Dati m, m,,m t interi positivi tali che gcd(m i,m j )=, i j M= m m m t a, a,,a t interi Esiste una sola soluzione modulo M al sistema di congruenze x a mod m x a mod m X = i= x a t mod m t M i = M/m i t a M y mod M i i i y i = M i - mod m i Teorema cinese del resto Esempio x mod x mod a =, m =, M =, y = - mod = a =, m =, M =, y = - mod = 8 M= Soluzione del sistema: X = a Mi yi mod = + mod i= i = mod

7 Metodo naive x y mod z Metodo naive Metodo left-to-right Metodo right-to-left x y mod z Potenza_Modulare_naive (x, y, z) a for i = to y do a (a x) modz return a Metodo naive Metodo left-to-right x y mod z Potenza_Modulare_naive (x, y, y, z) z) a for i i = to y do a (a (a x) mod z return a Se y è di bit, occorrono operazioni Esponenziale nella lunghezza dell esponente x y mod z y = y + y + +y t t Idea: y = y +(y + (y + +(y t- +y t ))))) Esempio: = = + ( ( + ( + ( ( + ( + ))))))

8 Metodo left-to-right x y mod z y = y + y + +y t t Idea: y = y +(y + (y + +(y t- +y t ))))) x y = x y +(y +(y + +(y t- +y t ))))) = x y x (y +(y + +(y t- +y t ))))) = x y (x y +(y + +(y t- +y t ))))) ) = x y (x y (x y + +(y t- +y t ))))) ) ) = x y (x y ( (x y t-(x y t) ) ) Metodo left-to-right Esempio: x x y mod z y = y + y + +y t t Idea: y = y +(y + +(y t- +y t ))))) x y = x y ( (x y t-(x y t) ) ) = = + ( ( + ( + ( ( + ( + )))))) x = x ( x (x (x (x (x ) ) ) ) ) 8 9 Metodo left-to-right Metodo left-to-right x y mod z y = y + y + +y t t Idea: y = y +(y + +(y t- +y t ))))) x y = x y ( (x y t-(x y t) ) ) Potenza_Modulare (x, (x, y, y, z) z) a for i i = t downto do do a (a (a a) a) mod z if if y i i = then a (a (a x) x) mod z return a Se y è di bit, occorrono operazioni Polinomiale nella lunghezza dell esponente Potenza_Modulare (x, (x, y, y, z) z) a for i i = t downto do do a (a (a a) a) mod z if if y i = i then a (a (a x) x) mod z return a mod =8 y =, y =, y =, y =, y =, y =

9 Metodo right-to-left Metodo right-to-left Idea: x y mod z y = y + y + +y t t x y = x y + y + t y t = x y x y x t y t = (x ) y (x ) y (x t ) y t Idea: Esempio: x x y mod z y = y + y + +y t t x y = (x ) y (x ) y (x t ) y t = x = (x ) (x ) (x ) (x 8 ) (x ) (x ) Metodo right-to-left Metodo right-to-left Idea: x y mod z y = y + y + +y t t x y = (x ) y (x ) y (x t ) y t Idea: x y mod z y = y + y + +y t t x y = (x ) y (x ) y (x t ) y t Esempio: x = x = (x ) (x ) (x ) (x 8 ) (x ) (x ) = = = = x x x x 8 x x Esempio: x = x = (x ) (x ) (x ) (x 8 ) (x ) (x ) = = = = x = x 8 x

10 Metodo right-to-left Potenza_Modulare (x, y, y, z) z) if if y = then return X x; x; P if if y = then P x for i i = to t do X X X mod z if if y i = i then P P X modz return P Polinomiale nella lunghezza dell esponente mod i 8 9 y i X P Numeri primi Un intero p > è un numero primo se e solo se i suoi unici divisori sono e sé stesso Esempi:,,,,,,, 9,... Teorema fondamentale dell aritmetica Ogni intero composto n > può essere scritto in modo unico come prodotto di potenze di primi p i n = p e p e... p k ek primo, ei intero positivo Funzione di Eulero Teorema di Eulero Z n *= { [a] n, <a n- e gcd(a,n)=} Per ogni a Z n *, a φ(n) = mod n φ(n) = cardinalità di Z n * (funzione di Eulero) φ(p) = p- se p primo φ(pq) = (p-)(q-) se p,q primi φ(n) = n L se n = p e p p p p e... p ek k, k p i primo, ei Esempi: a=, n=, φ()= =8= mod a=, n=, φ()= == mod 8 9

11 Teorema di Fermat Generazione di un primo grande Se p è primo, per ogni a Z p *, a p- = mod p Se p è primo, per ogni a Z.. Genera a caso un un dispari p di di grandezza appropriata.. Testa se se p è primo.. Se Se p è composto, go go to to. Esempi: a p = a mod p a=, p=9 8 = mod 9 a=, p= = mod = mod Generazione di un primo grande Distribuzione dei numeri primi.. Genera a caso un un dispari p di di grandezza appropriata.. Testa se se p è primo.. Se Se p è composto, go go to to. π(x) = numero di primi in [,x] Teorema dei numeri primi: lim π (x) x x/ln x = π(x) è circa x/ln x Come testare se un numero p è primo? Che probabilità abbiamo che p sia primo? Esempio: π( ) =.. /ln.9.8,9 (% in meno)

12 Scelta di un primo di bit Scelto un intero in [, ] la probabilità che sia primo è circa su ln (ln,89) Numero medio di tentativi,89 Se si scelgono solo dispari, numero medio di tentativi, Se si scelgono dispari in [, ] la probabilità è ( ) ln ln,9 Scelta di un primo di bit Scelto un intero in [, ] la probabilità che sia primo è circa su ln (ln 9,8) Numero medio di tentativi 9,8 Se si scelgono solo dispari, numero medio di tentativi,89 Se si scelgono dispari in [, ] probabilità ( ) ln ln, bit scelti a caso bit scelti a caso Test di Primalità Test di primalità probabilistici Due tipi di test: Probabilistici Deterministici p Test Primalità primo composto Probabilmente! Certamente! Il test può sbagliare numero composto viene dichiarato primo probabilità di errore / Ripetendo il test indipendentemente t volte, probabilità di errore (/) t

13 Test di primalità probabilistici Insieme di witness W(p) dato a [, p-] è facile verificare se a W(p) se p è primo allora W(p) è vuoto se p è composto allora W(p) p/ Scelgo a Test di primalità probabilistici Test di Solovay-Strassen Pubblicato nel 9 Probabilità di errore (/) t Test di Miller-Rabin Il più usato in pratica Il più veloce Probabilità di errore (/) t 8 9 Test di Miller-Rabin Test di Miller-Rabin Sia p il numero da testare p-= k q, con q dispari e k> Scegli a [, p-] e calcola a q, a q,,a k q (quadrati ripetuti) Se p è primo, a k q = mod p (teorema di Fermat) Sia j il più piccolo indice per cui a j q = mod p Se j=, allora a q = mod p Se j>, allora (a j- q -)(a j- q +) mod p = p divide uno dei due fattori p non può dividere il primo, altrimenti j non è il più piccolo valore per cui a j q = mod p p divide il secondo fattore, da cui a j- q = - mod p Data la sequenza a q, a q,,a k q, se p è primo una delle due condizioni è vera: a q = mod p a j- q = - mod p per qualche j [, k] Altrimenti p è composto

14 Test di Miller-Rabin Test MR(p) calcola k> e q dispari: p-= k q scegli a caso a [, p-] if a q = mod p, then return primo for j= to k- do if a j q = - mod p, then return primo return composto Polinomiale nella lunghezza dell input Test di Miller-Rabin Insieme di witness di Miller-Rabin W MR (p) = {a : a q mod p and a jq - mod p per ogni j [,k-]} Se p è un primo dispari W MR (p) è vuoto Se p è un numero composto dispari W MR (p) (/) φ(p) p- p- = k k q con con q dispari Test di Miller-Rabin p=9 Test di Miller-Rabin p= Witness di Miller-Rabin 9- W MR (9) = {a : a = mod 9 and a j - mod 9 per ogni j [,]} a= mod 9= (continua) ( ) mod 9=8=- mod 9 (stop: primo ) a= mod 9= (continua) ( ) mod 9=8= - mod 9 (stop: primo ) Prova per tutti gli a [,8]: sempre output primo Witness di Miller-Rabin - W MR () = {a : a = mod and a j - mod per ogni j [,]} a= mod = (continua) ( ) mod =8 (valori terminati, stop: composto ) a= mod == - mod (stop: primo ) Per ogni a {,,}/ W MR (), output: primo a=,,,,,

15 Test di primalità deterministici Fino al, non erano noti test deterministici efficienti Nel, primo test deterministico polinomiale proposto da Agrawal, Kayal e Saxena Miller-Rabin ancora usato perché più efficiente Bibliografia Cryptography and Network Security by W. Stallings () cap. (Finite Fields) cap. 8 (Introduction to Number Theory) Introduction to Algorithms by Cormen, Leiserson, Rivest (I ed) cap (Number Theory)