chơng i vai trò số nguyên tố dạng p=2q+1 mật mã Giả sử phần tử sinh nhóm nhân (hay gọi phần tử nguyên thuỷ GF(p)) ta có aGF(p)* bGF(p)* cho b=a (mod p) Giá trị b nói đợc gọi logarit theo số giá trị a trờng GF(p) ký hiệu b=loga (mod p) Một vấn đề đặt là: Cho trớc p aGF(p)* tìm b=loga (mod p-1) Vấn đề nội dung toán tìm logarit rời rạc trờng GF(p) Trong lý thuyết thuật toán toán đợc coi toán khó theo nghĩa cha tồn thuật toán thời gian đa thức gần đa thức để giải nhiều ứng dụng mật mã đợc đời với độ an toàn dựa vào tính khó toán nói 1.1.2 Hệ mật Elgamal ứng dụng trực tiếp xây dựng đợc hệ mật có độ an toàn tính toán hệ mật khoá công khai tiếng mang tên Elgamal Hệ mật đợc mô tả nh sau Trong hệ thống liên lạc mật, ngời dùng chung tham số bao gồm p số nguyên tố phần tử nguyên thuỷ trờng GF(p) Mỗi ngời A hệ thống tự chọn tham số mật s(A) cho riêng tính công khai tham số b(A)=s(A) (mod p) cho ngời Một ngời muốn gửi cho A thông báo M (giả thiết MGF(p)*) làm nh sau: Quá trình mã hoá M Chọn ngẫu nhiên khoá kZp-1, tính gửi cho A cặp C(M)=(x,y) nh sau x=k (mod p) y=Mb(A)k (mod p) Khi nhận đợc C(M)=(x,y) A tìm lại đợc M nh sau đề tài: sinh số tham số cho hệ mật elgamal chơng i vai trò số nguyên tố dạng p=2q+1 mật mã Quá trình giải mã C(M) M=y(xs(A))-1 (mod p) Hệ mật nêu gọi hệ mật Elgamal Do b(A) công khai nên nh toán logarit giải đợc tính đợc s(A)=log b(A) (mod p-1) hệ mật Elgamal bị phá Ngợc lại cha có kết nói việc giải đợc mã theo hệ Elgamal tìm đợc logarit xác mà nói độ an toàn hệ mật cha tính khó toán logarit song cha có khẳng định nói vấn đề thực dễ thực tế ngời ta coi hệ Elgamal có độ mật tơng đơng với tính khó toán logarit 1.1.3 Chữ ký số Elgamal ứng dụng tiếp sau thiết lập sơ đồ chữ ký số mang tên Elgamal Sơ đồ đợc giới thiệu báo năm 1985 cải tiến đợc Viện Tiêu chuẩn Công nghệ Quốc gia Mỹ chấp nhận làm chuẩn chữ ký số Trong hệ thống cần xác thực chủ quyền văn thông qua chữ ký điện tử, ngời dùng chung tham số bao gồm p số nguyên tố phần tử nguyên thuỷ trờng GF(p) Mỗi ngời hệ thống A tự chọn tham số mật s(A) cho riêng tính công khai tham số b(A)=s(A) (mod p) cho ngời A muốn ký thông báo M (giả thiết MGF(p)*) làm nh sau: Quá trình ký M Chọn ngẫu nhiên giá trị kZp-1, tính cặp S(M)=(x,y) nh sau x=k (mod p) y=(M-s(A)x)k-1 (mod p) đề tài: sinh số tham số cho hệ mật elgamal 10 chơng i vai trò số nguyên tố dạng p=2q+1 mật mã Cặp giá trị (x,y) gọi chữ ký A M ký hiệu SA(M) Khi có thông báo M có kèm theo ký SA(M)=(x,y) ngời kiểm tra tính đắn SA(M) có phải là chữ ký A M hay không nh sau Quá trình kiểm tra chữ ký S(M) Tính đắn đợc chữ ký thông qua tính đắn đẳng thức sau: M=b(A)xxy (mod p) Sơ đồ chữ ký nêu gọi sơ đồ chữ ký Elgamal Do b(A) công khai nên nh giải đợc toán logarit rõ ràng ngời tính đợc s(A)=log b(A) (mod p-1) giả mạo đợc chữ ký A hay nói cách khác sơ đồ chữ ký bị phá Ngợc lại, việc giả mạo đợc chữ ký ngời văn cụ thể cha có lời giải cụ thể nhng dờng nh cha gắn đợc với toán đợc nghiên cứu kỹ nên có khả thực đợc mà không cần đến việc tính logarit Hiện thời cha tìm đợc cách giải xong cha khẳng định giải đợc 1.1.4 Sơ đồ phân phối khoá Diffie-Hellman Một vấn đề cần phải thực mạng liên lạc mật bên trao đổi thông tin mật cần phải có thoả thuận với khoá đợc dùng Việc làm đợc gọi trình phân phối khoá ứng dụng tiếp sau toán logarit thiết lập đợc sơ đồ phân phối khoá tự động cách công khai, sơ đồ phân phối khoá Diffie-Hellman đợc mô tả nh sau Trong hệ thống liên lạc mật, ngời dùng chung tham số bao gồm p số nguyên tố phần tử nguyên thuỷ trờng GF(p) Hai ngời A B muốn thoả thuận với khoá đợc dùng phiên liên lạc mật đó, họ làm nh sau: đề tài: sinh số tham số cho hệ mật elgamal 11 chơng i vai trò số nguyên tố dạng p=2q+1 mật mã Trớc hết, ngời tự chọn tham số mật s(A) s(B) cho riêng mình, tính công bố cho tham số b(A)=s(A) (mod p) b(B)=s(B) (mod p) Khi hai A B tính đợc tham số chung k=s(A)s(B) (mod p) Cụ thể: Đối với A tính k=[b(B)]s(A) (mod p) Đối với B tính k=[b(A)]s(B) (mod p) Tham số k nói gọi khoá chung A B Bài toán "Cho biết p, , b(A) b(B) Hãy tính k" đợc gọi toán Diffie-Hellman Hiển nhiên giải đợc toán logarit ta tìm đợc k Điều ngợc lại cho có thuật toán giải đợc toán DiffieHellman giải đợc toán logarit đến cha có chứng minh, nhiên ngời ta coi hai toán tơng đơng độ an toàn việc phân phối khoá theo sơ đồ Diffie-Hellman đợc quy tính khó giải toán logarit 1.2 thuật toán tìm logarit rời rạc 1.2.1 Thuật toán Shanks Một cố gắng việc giải toán logarit trờng hữu hạn thuật toán Danied Shanks ý tởng trình bày nh sau : Ký hiệu: q= p Giả sử x=loga (mod p) tìm đợc giá trị dới dạng q phân x=x0+x1q+ Trớc hết ta thấy 0xp-1 nên xi=0 với i>1 : x=x0+x1q Bây từ đẳng thức a=x (mod p) ta có : a x = qx (mod p) đề tài: sinh số tham số cho hệ mật elgamal 12 chơng i vai trò số nguyên tố dạng p=2q+1 mật mã Việc tìm b, thực chất tìm cặp x0 x1, đợc tiến hành cách vét cạn cặp i,j với 0i,jq-1cho đến tìm đợc i,j cho a-i=jq (mod p) Khi rõ ràng x0=i x1=j ta đợc x=loga=i+jq Nh thuật toán tìm đợc logarit rời rạc với thời gian tính cỡ O(q) không gian nhớ cỡ O(q) ( bỏ qua thừa số logarit) Kết 1.2 Thời gian tính tiệm cận thuật toán Shanks để tìm đợc logarit trờng GF(p) là: (1-1) L(p)=exp{ lnp} 1.2.2 Thuật toán Pohlig - Hellman Thuật toán thứ hai muốn đề cập đến thuật toán Pohlig Hellman Cơ sở toán học thuật toán Pohlig - Hellman định lý phần d Trung hoa sau Định lý phần d Trung hoa Giả sử m1, m2, ,mr số nguyên dơng nguyên tố đôi cho x1, x2, , xr số nguyên Khi từ hệ r đồng d thức x=xi (mod mi) (i=1ữr) có nghiệm theo modulo M= m1.m2 mr đợc cho theo công thức : x= a i M i y i (mod M) i =1 Trong Mi=M/mi yi= M i1 (mod mi) với (i=1ữr) r Từ định lý trên, p-1 = q i =1 i i rõ ràng để tính x=loga (mod p-1) thông qua việc tính r giá trị xi=loga (mod mi) với mi= qi i (i=1ữr) Chi tiết thuật toán xem [Stinson], điều đáng phân tích p-1 toàn ớc nguyên tố nhỏ việc tìm x=loga (mod p) dễ dàng nh điều kiện cần thiết tham số đề tài: sinh số tham số cho hệ mật elgamal 13 chơng i vai trò số nguyên tố dạng p=2q+1 mật mã p phải tính chất Đến ta thu đợc kết luận sau thời gian tính thuật toán Pohlig - Hellman Kết 1.3 Thời gian tính tiệm cận thuật toán Pohlig - Hellman để tìm đợc logarit trờng GF(p) là: L(p)=exp{lnq} với q ớc lớn p-1 (1-2) Với kết thuật toán Pohlig-Hellman thấy tính khó việc giải toán logarit rời rạc GF(p) quy tính khó việc tìm giá trị theo modulo q với q ớc lớn p-1 (tức tìm xq=x (mod q)), lý mà từ sau trình bày thuật toán khác tập trung vào việc tìm giá trị xq nói mà 1.2.3 Thuật toán sàng bậc q Để tìm xq với x=loga (mod p) q ớc p-1, thuật toán sàng bậc q dựa vào sở sau Kết 1.4 Nếu tìm đợc cặp s,t cho gcd(t,q)=1 sat thặng d bậc q GF(p) tức wGF(p)* cho sat=wq (mod p) xq=-st-1 (mod q) Chứng minh Từ định nghĩa x=loga (mod p) ta có a=x (mod p) (1-3) Từ giả thiết sat=wq (mod p), thay vào (1.3) ta đợc s(x)t= wq (mod p) (1-4) Do phần tử nguyên thuỷ GF(p) nên tồn r cho w=r (mod p) nh từ (1.4) ta có s(x)t=(r)q (mod p), suy s+xt=rq (mod p-1) hay s+xt=0 (mod q) đề tài: sinh số tham số cho hệ mật elgamal (1-5) 14 ... đợc dùng phiên liên lạc mật đó, họ làm nh sau: đề tài: sinh số tham số cho hệ mật elgamal 11 chơng i vai trò số nguyên tố dạng p=2q+1 mật mã Trớc hết, ngời tự chọn tham số mật s(A) s(B) cho riêng... tích p-1 toàn ớc nguyên tố nhỏ việc tìm x=loga (mod p) dễ dàng nh điều kiện cần thiết tham số đề tài: sinh số tham số cho hệ mật elgamal 13 chơng i vai trò số nguyên tố dạng p=2q+1 mật mã p phải... đẳng thức a=x (mod p) ta có : a x = qx (mod p) đề tài: sinh số tham số cho hệ mật elgamal 12 chơng i vai trò số nguyên tố dạng p=2q+1 mật mã Việc tìm b, thực chất tìm cặp x0 x1, đợc tiến hành