CC BY
34
МАТЕМАТИКА
Вестн. Ом. ун-та. 2010. №4. С. 13-15.
УДК 512.62
Предлагается новое представление дискретного логарифма в путем построения диофантова уравнения, такого, что нахождение решения этого уравнения и нахождение дискретного логарифма являются эквивалентными задачами.
Ключевые слова: дискретный логарифм, диофантово множество
Введение
Дискретный логарифм является важным математическим понятием в криптографии. Существует множество криптографических протоколов, основанных на трудности его нахождения. Достаточно упомянуть протокол разделения секретного ключа Диффи и Хеллмана, протоколы Масси - Омуры и Эль Гамаля. Многие протоколы аутентификации и цифровые подписи также имеют в основе дискретный логарифм.
7—? ♦
Дискретный логарифм в мультипликативной группе г ч конечно-
Г
го поля порядка q = р , р - простое, с порождающим элементом д определяется следующим образом. Для любого элемента / е р* существует X е N, для которого
При дополнительном ограничении 0 < X < q — \ величина х определяется однозначно и называется дискретным логарифмом элемента ] по основанию д с обозначением х = /.
Важно заметить, что в общем случае задача нахождения х по /является вычислительно трудной.
В работе рассматривается случай простого конечного поля Рр, р -простое. В качестве модели поля Рр выберем кольцо вычетов 2р, элементы которого записываются стандартными именами О, 1,..., п - 1. Любое целое число т однозначно определяет вычет / е .
Уравнение (1) в рассматриваемом случае переписывается в целых числах в виде
Легко видеть, что множество Я (а, Ь) решений уравнения (2) является вычислимым подмножеством в Следовательно, по известной теореме Ю.В. Матиясевича [1], множество ^(а, Ь) является диофанто-вым.
Г= /.
(1)
ах = ¿(тосі р).
(2)
О С.Ю. Ерофеев, 2010
14
С.Ю. Ерофеев
По определению, множество S <^Zk является диофантовым тогда и только тогда, когда существует многочлен с целыми коэффициентами D(al ,...,ап,х г,...,хт)
такой, что
<=> 3xj,..,,xm {D(al,...,an,xl,...,xm) = 0} .
Цель данной статьи - дать представление дискретного логарифма как дио-фантова множества. Тогда проблема нахождения дискретного логарифма будет эквивалентна проблеме нахождения решения соответствующего диофантова многочлена. Поскольку по знаменитой теореме Ю.В. Матеясевича (решение 10-й проблемы Гильберта) проблема существования решения у произвольного диофантова уравнения алгоритмически неразрешима (см. [1-3]), указанная выше задача вычислительно трудна.
Заметим, что данное представление может быть основанием протоколов разделения ключа, аутентификации, цифровой подписи и т. п. Кроме того, оно может быть использовано с целью организации атаки на дискретный логарифм.
1. Представление дискретного логарифма в ZP через систему диофантовых уравнений
Пусть ZP (р - простое) - простое конечное поле. Фиксируем целое число п. В общем случае не обязательно, что образ п в Zp является порождающим элементом
мультипликативной группы Z* . Рассмотрим функцию f : N —> Z , полагая
f{k) = nk(moáp). (3)
В работе М. Дэвиса [3] установлено,
к
что равенство т = п выполняется тогда и только тогда, когда следующая система уравнений (I) - (XII) имеет решение в натуральных числах в оставшихся аргументах.
х2 - {а2 - 1 )у2 - 1 и2 - (а2 -l)v2 = 1 s2 -(,Ъ2 -1 )t2 =1
V2 = ту2 (4)
Ъ - 1 + 4 у о - a + qu s = х + си t = к + 4 (d -1)^
у=к+е-1 (х - у(а -п)- пі)2 = (/ -1)2 (2ап - п2 -1)2 m + g = 2ап-п2 -1 w = n + h = к + 1 a2 -(w2 -l)(w-l)2z2 =1 Для построения системы диофантовых уравнений, представляющей дискретный логарифм, необходимо заметить,
что уравнение /(к) = і = и^(тос1 р) эквивалентно следующему уравнению: m = i + pj , где m = пк ,j g N {0}.
Добавим полученное уравнение к системе (I) - (XII):
(XIII) m = i + pj.
Далее будем рассматривать только нек
тривиальные случаи, когда п > р.
Теорема. Пусть і, п - натуральные числа, р - простое число.
Тогда, если система диофантовых уравнений (I) - (XIII) имеет решение в натуральных числах в оставшихся аргументах, то пк = і mod р .
Верно и обратное, если пк = і mod р,
для некоторого к'є N, то система уравнений (I) - (XIII) имеет решение, причем к = к' mod р -1.
Доказательство.
Пусть даны некоторые і, п, р и система
(I) - (XIII) имеет решение в натуральных числах в оставшихся аргументах. Зафиксируем найденные тик, тогда система (I) - (XII) также имеет решение в натуральных числах в оставшихся аргументах и из (4)
следует, что т = пк . Согласно уравнению
(XIII) пк = m — i + pj , следовательно,
пк = /'(mod р).
Напротив, пусть Зк'є N : п" = /(mod/J). Тогда данное уравнение эквивалентно
Jcг • •
уравнению вида п =l + pj , для некоторого j є N . Подставив найденное j в
уравнение (XIII), получаем, что т = пк . Зафиксируем к = к'. Из (4) следует, что данное равенство выполнено тогда и только тогда, когда система диофантовых уравнений (I) - (XII) имеет решение в на-
Диофантовость дискретного логарифма____________________________________________________15
туральных числах. Отсюда получаем, что система (I) - (XIII) имеет решение в натуральных числах.
Теперь докажем, что к = к' mod(р — 1) . Пусть существует решение системы (I) -(XIII) и как следствие системы (I) - (XII). Тогда по первой части теоремы
пк = /(mod р), по условию, пк' = і mod р,
пусть к > &'=> пк' (пк~к' -1) = 0(modр) . По условию п не делится на р, так как / > 0 => пк~к = l(modр), значит по Малой
теореме Ферма np~l = l(modр). По следствию из теоремы Лагранжа k-a:p-l=>k = or(mod р -1) . Теорема
доказана.
2. Диофантовость дискретного логарифма в ZP
Следующий шаг, доказательство дио-фантовости дискретного логарифма в ZP. Для этого необходимо построить диофан-тово уравнение:
I)(n, k,f(k),x j,..х,) є Z[n, к, f(k), x1,..., x, ],
такое, что f (к) = nk (mod p) <=>
<=> 361з...,6г : D(n,k,f(k),bl,...,bl) = 0.
Воспользуемся следующей техникой: пусть есть система из к диофантовых уравнений.
РЛХ1, — Хт) = °
(1)
Система уравнений (1) эквивалентна следующему уравнению:
Pi2(xl,...,xm) + ... + Pk2(xl,...,xm) = 0 (2)
Выписываем полное диофантово представление дискретного логарифма: D(a,...,z) = (x2-(a2-1 )у2 -1)2 +
+(u2 - (a2 - l)v2 -1 )2 + +(s2-(b2-\)t2-\)2+(v-ry2f +
+(b -1 - 4 jo)2 + (b - a - qu)2 + (s - x - cu)2 + +(t -k- 4 (d -1) у)2 + (у - к - e +1)2 +
+((x - y(a -n) -m)2 - (f - I)2(2an -n2 -1)2)2 +
+(m + g- 2 an + n2 +1)2 + (w - n - h)2 +
+(w -k-1)2 + (a2 - (w2 -1)(w -1)2z2 -1)2 + +(m-i-pj)2 =0.
ЛИТЕРАТУРА
[1] Матиясевич Ю. В. Диофантовость перечислимых множеств // Докл. АН СССР. 1970. Т. 191. № 2. С. 279-282.
[2] Матиясевич Ю. В. Диофантово представление перечислимых предикатов // Известия Академии наук СССР. Серия математическая. 1971. № 35. С. 3-30.
[3] Davis М. Hilbert’s Tenth Problem is Unsolvable // The American mathematical monthly 1973. V. 80. № 3. P. 233-270.
