บรรจวบ เข้าสู่ระบบ
Score:1
avatar Crypto

ความสำคัญของฟิลด์ปัจจัยใน ECM ของ Lenstra

ธง et
user93353

ฉันกำลังอ่านการแยกตัวประกอบ Elliptic Curve ของ Lenstra จากหนังสือ Mathematical Cryptography ของ Silverman

ฉันเข้าใจอัลกอริทึมของตัวเองแล้ว แต่ไม่สามารถเข้าใจประเด็นเฉพาะที่หนังสือเล่มนี้สร้างขึ้นได้

เรากำลังพยายามแยกตัวประกอบ 187

เราใช้ $E: Y^2 = X^3 + 3X + 7 \bmod 187$ กับ $P = (38, 112)$

เมื่อเราลองคำนวณดู $5P$เราต้องคำนวณส่วนผกผันของ 11 ใน 187 ซึ่งเราไม่สามารถคำนวณได้ เนื่องจาก 11 ไม่ใกล้เคียงกับ 187 และด้วยเหตุนี้ เราจึงสามารถหา 11 เป็นตัวประกอบของ 187 ได้

เท่านี้ก็ชัดเจนแล้ว อย่างไรก็ตามหลังจากนี้หนังสือกล่าวว่า

เราตรวจสอบอย่างละเอียดมากขึ้นว่าเหตุใดเราจึงไม่สามารถคำนวณได้ $5P$ โมดูโล 187 ถ้าเราดูที่เส้นโค้งวงรีแทน $E$ โมดูโล่ 11 จากนั้นการคำนวณอย่างรวดเร็วแสดงว่าจุดนั้น $P = (38,112) \equiv (5,2) \pmod{11}$ ตอบสนอง $5P = \คณิตศาสตร์ O$ ใน $E(\mathbb F_{11})$. ซึ่งหมายความว่าเมื่อเราพยายามคำนวณ $5P$ โมดูโล่ 11 เราจบลงด้วยประเด็น $\คณิตศาสตร์ O$ ที่ระยะอนันต์ ดังนั้น ในบางขั้นตอนของการคำนวณ เราได้พยายามทำ หารด้วยศูนย์ แต่ที่นี่ âศูนย์â หมายถึงศูนย์ใน $F_{11}$เราจึงลงเอยด้วยการพยายามหาส่วนกลับของโมดูโล 11 ของจำนวนเต็มที่หารด้วย 11 ลงตัว

เราได้แยกตัวประกอบ 187 แล้วพบว่า 11 เป็นหนึ่งในตัวประกอบ ดังนั้นจุดประสงค์ของการคำนวณคืออะไร $5P$ ใน $\mathbb F_{11}$. เรื่องนี้ให้ข้อคิดอะไรกับเราบ้าง?

77
0 + 0
fgrieu avatar
ng flag
fgrieu
การอ่านของฉันคือ "เราตรวจสอบอย่างใกล้ชิดมากขึ้น" และ "การคำนวณอย่างรวดเร็ว" ไม่ได้มีไว้เป็นขั้นตอนในอัลกอริทึม เป็นขั้นตอนในการอธิบายอัลกอริทึม
0
ตอบกลับ
et flag
user93353
@fgrieu - ใช่ ฉันเข้าใจว่ามันไม่ใช่ขั้นตอนใน algo แต่ฉันไม่สามารถเข้าใจได้ว่ามันอธิบายอะไรกันแน่ - นั่นคือคำถาม
0
ตอบกลับ
Score:3
fgrieu avatar Crypto
ธง ng
fgrieu

อ้างเชิญชวนคอมพิวเตอร์ $5\,P$ บนสมการเส้นโค้งวงรี $E:\ Y^2\equiv X^3+3X+7\pmod{11}$ เพื่อให้บรรลุผลการทดลอง นี่คือจุดที่ไม่มีที่สิ้นสุด $\คณิตศาสตร์ O$ (จุดเป็นกลางของการบวก) และได้รับสัญชาตญาณว่าทำไมการคำนวณของ $5\,P$ บนสมการเส้นโค้งวงรี $E:\ Y^2\equiv X^3+3X+7\pmod{187}$ (ตามที่ดำเนินการโดยอัลกอริทึม) ให้ค่าที่ไม่สามารถกลับค่าโมดูโลได้ $187$.

ทั้งหมดนี้มาจาก ทฤษฎีบทส่วนที่เหลือของจีน. ข้อความที่เป็นไปได้และผลที่ตามมาคือ: สำหรับ $n=p\,q$ กับ $\gcd(p,q)=1$ (รวมทั้ง $n=187$ , $p=11$ , $q=17$ ดังตัวอย่าง)

  • โมดูโลปริมาณเท่าใดก็ได้ $n$ สามารถคำนวณเป็นโมดูโลที่เทียบเท่ากันได้ $p$ และโมดูโล $คิว$.
  • เดอะ วงแหวนของโมดูโลจำนวนเต็ม $n$, ข้อสังเกต $\mathbb Z_n$มี isomorphism แบบบัญญัติด้วย $\mathbb Z_p\times\mathbb Z_q$.
  • สำหรับจำนวนเต็มใดๆ $z$ ใน $[0,น)$ เราสามารถกำหนดได้ไม่ซ้ำกัน $z_p=z\bmod p$ และ $z_q=z\bmod q$แล้วมันถือ $z=\left((q^{-1}\bmod p)\,(z_p-z_q)\bmod p\right)\,q+z_q$.
  • สำหรับสมการ Elliptic Curve ที่กำหนดให้ใช้โมดูโล $n$และจุด $U$ และ $วี$ บนเส้นโค้งนั้น ถ้าเราคำนวณได้ $U+V$ ตามสมการการบวกจุดของ Elliptic Curve ในสนาม โดยให้ผลลัพธ์ $(X,Y)$ ; จากนั้นเราก็สามารถทำเช่นเดียวกันกับเส้นโค้งด้วยสมการเดียวกันที่ใช้โมดูโล $p$ และโมดูโล $คิว$ พิกัดที่ให้ผลผลิต $(X_p,Y_p)$ และ $(X_q,Y_q)$ จากนั้นขอรับ $(X,Y)$ โดยใช้วิธีการสองครั้งในหัวข้อย่อยข้างต้น
  • การบวกจุดข้างต้นขยายไปถึงการคูณจุดด้วยจำนวนเต็ม

เรื่องนี้ให้ข้อคิดอะไรกับเราบ้าง?

เราได้ข้อมูลเชิงลึกจากการคำนวณบน Elliptic Curve ในวงแหวน $\mathbb Z_n$ สำหรับ $n$ ของการแยกตัวประกอบที่ไม่รู้จัก (ในตอนแรก) ราวกับว่ามันเป็นฟิลด์ (ไม่ใช่) เรายังสามารถคำนวณบนเส้นโค้งวงรีในวงแหวน $\mathbb Z_p$ ที่ไหน $p$ เป็นปัจจัยที่ไม่ทราบ (แต่แรก) ของ $n$. และ (ยังไม่มีการพิสูจน์อย่างเป็นทางการ แต่มีตัวอย่างที่ชัดเจน) เหตุผลที่การคำนวณบนเส้นโค้งเข้า $\mathbb Z_n$ การตีผกผันที่ไม่สามารถคำนวณได้คือจุดที่ไม่มีที่สิ้นสุด $\คณิตศาสตร์ O$ มาถึงโค้งหนึ่งใน $\mathbb Z_p$ หรือ $\mathbb Z_q$ (สมมุติ $p$ และ $คิว$ เป็นนายกรัฐมนตรีทำให้ $\mathbb Z_p$ และ $\mathbb Z_p$ เขตข้อมูลและ $\คณิตศาสตร์ O$ บนเส้นโค้งที่สอดคล้องกันที่กำหนดไว้อย่างดี)

เรื่องนี้ทำให้เราเข้าใจ ทำไม อัลกอริทึมทำงาน ซึ่งจะทำให้สามารถให้เหตุผลเกี่ยวกับมันและประเมินความน่าจะเป็นที่จะสำเร็จได้ (นั่นคือการเปิดเผยปัจจัยที่ไม่สำคัญของ $n$). เมื่อไร $n$ เป็นผลคูณของจำนวนเฉพาะที่แตกต่างกัน $p_i$ความน่าจะเป็นนั้นคือผลรวมของความน่าจะเป็นที่ถึงจุดสิ้นสุดของเส้นโค้งสำหรับแต่ละเส้นโค้ง $p_j$ลบความน่าจะเป็น (ต่ำมาก) ที่จะโดนพร้อมกันในทุกโค้ง

0 + 0
et flag
user93353
สรุปได้อย่างไรว่าสาเหตุที่ gcd ไม่ส่งคืน 1 เป็นเพราะ $5P \bmod 11 = \mathcal O $
0
ตอบกลับ
et flag
user93353
สำหรับจุดของคุณ _"สำหรับจำนวนเต็มใดๆ $z$ ใน $[0,n)$ เราสามารถกำหนด $z_p=z\bmod p$ และ $z_q=z\bmod q$ โดยไม่ซ้ำกัน จากนั้นจึงถือ $z=\left ((q^{-1}\bmod p)\,(z_p-z_q)\bmod p\right)\,q+z_q$"_ - ฉันจะอ่านเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ที่ไหน - มีชื่อสำหรับความสัมพันธ์นี้หรือไม่ - ฉันควรค้นหาอะไร
0
ตอบกลับ
fgrieu avatar
ng flag
fgrieu
@ user93353: นี่คือสูตรที่ใช้ใน RSA กับ CRT มันย่อสูตรสุดท้ายใน 1 และ 2 สุดท้ายใน 2 [มี](https://www.di-mgt.com.au/crt_rsa.html#rsacalculations) ด้วย $z$, $z_p$, $z_q$ ( ตอนนี้ตัวพิมพ์เล็ก) โดยที่พวกเขามี $m$, $m_1$, $m_2$ Wikipedia [มี](https://en.wikipedia.org/wiki/RSA_(cryptosystem)#Using_the_Chinese_remainder_algorithm) สูตรนี้ประดิษฐ์ยากเล็กน้อย แต่ตรวจสอบได้ง่ายโดยใช้คำจำกัดความของตัวดำเนินการ $\bmod$ ฉันรู้ว่าไม่มีแหล่งใดที่ใส่ใจในการพิสูจน์นี้อย่างรอบคอบ
0
ตอบกลับ
fgrieu avatar
ng flag
fgrieu
@user93353: อ่า พบชื่ออย่างเป็นทางการ: ระบุจำนวนปัจจัย $n$ ตามอำเภอใจ ซึ่งเป็นอัลกอริทึมของ Garner แหล่งที่มาคือ [คู่มือการเข้ารหัสประยุกต์](https://cacr.uwaterloo.ca/hac/) ส่วน [14.5.2](https://cacr.uwaterloo.ca/hac/about/chap14.pdf# หน้า=23). ไม่มีข้อพิสูจน์ และมันก็ไม่ตรงตามที่ฉันพูด แต่ก็ยังใกล้เคียงที่สุดที่ฉันได้รับ
0
ตอบกลับ
et flag
user93353
ขอบคุณมาก
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา