Комбинированная атака на алгоритм RSA с использованием sat-подхода Текст научной статьи по специальности «Математика»

удк 515.588

КОМБИНИРОВАННАЯ Л1ЛКЛНЛ ЛЛ1 ОРИ IРЛ К SA С. ИСПОЛЬ:ЮВЛНИЬМ ЬЛЫЮДХОДЛ

Ю. Ю. Огородников

Омский государственный технический университет, г. Омск, Россия

Анншацим — В riMihf риггяиирикшчт к-|1Н1111миа.11<ч «дичн |[ыь.1( |»1И11111и целых чисел, hü кычнг-.ikivjikhiih гл1>жнш'1н kriiiupoiÎ imhok.ih широко [спчцюпранёинын илифшн шкфроклнмм и ии^шкий подписи RSA. Флкторизлппя сводится к задаче выполнююстп булевых формул (SAT), плеть решения которой однозначно соответствует битам сомножителей. К задаче SAT применяется метод простой пте-раппп и ряд полиномиальных эвристик по улучшению его сходимости. Также описано применение альтернативного способа решения SAT, заключающегося в построении системы линейных уравнений на основс исходной формулы. Llo результатам чпелеппых экспериментов формируется статистика по иер пому определению каждой компоненты решения SAL. Максимальная доля верпо определённых пулевых и единичных опт составляет У4*/> н Wi'o соответственно Полученные данные используются в сочетяннп с известным алгоритмом локального поиска G-SAT для проведения атаки на RSA. В результате экспериментов удалось факторизовать числа размерностей зо 417 бит включительно.

Клюимыр слона: факторизация др.лы* чисел, задача выполнимости булевых формул (SAT), мет m присюй luepiuuu. ч<аю1ы верною определении Oui. шбридиьш a.uupuiM. комбинированна» атака RS А.

i. введение

3 настоящее время широко эаспространепи как симметричные, так п асимметричные алгоритмы шпфрова шш. Если с помошыо первых, тастх как DES, AES. проводпгся шифроваппе/дешпфровапне основных дашплх. то с помощью другого типа алгоритмов шифруется в основном вспомогательная, но важная информация -чШ например, ключ для симметричного шифрования. Самой известной н широко- распространенной асимметричной гритттосигтемой являет* пожалуй алгоритм RSA

Популярность данного алгоритма привлекает ученых из ра-ных сфер деятельности Так. крнптоаналитики

ужг К ТГЧГНИГ МНОГИХ ЛГГ иггл*,|уКГГ ЬрИ ГКК ЮЙкОГГК ДАЧНОГО ИЛИфИТМИ liyirM М1»,ЦГЛИр«Л.-ИИН [»«ЛИЧНЫХ и1як

на RSA [1]. Атаки проводятся как непосредственно на схему шнфрозанкя. так я на фундаментальную задачу факторизации целых чисел, на вычислительной сложности которой и основан USA.

На сегодняшний день группе ученых нз Швейцарии. Японии. Франции. Нидерландов. Германии н США удалось факторнзоЕзть число размерностью 768 бит |2|. Данный алгоритм работает на основе общего метода решета числового поля, н и с следователи утверждают, что через несколько лет смогут разложить число размерностью 1021 fcirra. Однако на текущий момеггт VÔ8 опт остаётся максимальной размерностью, поддающейся разложению. Тем самым, увеличение размерности ключа до 1024. и тем более до 2348 ент принципиально решает вопрос о невозможности дешифровки стандартными способами, к которым относится, в частности, метод решета числового поля.

ТГ ПОСТАНОВКА ЗАДАЧИ

Автор ешьн предлагает другой подход к решения" задачи факлирнзашш. Сугь ei с &uuuo части з шхлрис-ннн алгоритма, решающего задачу факторизации хне до конца», но при этом в результате статистических не-

питании для каждого бита будет получена вероятность верного определения каждого бита. Таким образом, этот алгоритм будет являться зэрсятносткшг [3]

Наиболее популярным подходом является полиномиальное деление задачи поиска выполняющего набора булевых формул (SAT) к факторизации целых чигел через кодирование операции умножения двух чисел стол-биком в терминах булевой алгебры [4].

Относительно новым подходом к конструированию SAT-solve* яытяется разработка алгоритма обучения с

учителем. б результате работы которого каждому бнт>г выполнявшего набора >f будет сопоставлено вещественное число Vi Hi диапазона [0 .1]. характеризующее частоту верного распознавания yi. Таким образом,

полученные данные смогут быть применены за полиномиальное время к задач? факторизации целых чисел.

Для улучшения результатов предттеъгагае-ся использование нескольких независимых способов определения чжпхп- бит Каждый иииорш и ныш»лн»пгч к шдглчипм мидулг и не перегеклпгм г друтми

Реализация данного разбиения выполнена с использованием технологии \ГРТ Получши-тиРся программный комплекс раб.ттает н дпух рельсах — режиме общения и рабочем редиме R первом режиме проверится фор-

МИрсКИИИГ С1Ч1ИСТИКИ КГ|]НОИ1 IIIЦЖДГЛГНИЯ би т КИ «ДЫМ и:< ЯЛПГ)И1М()К (|фИ Ч1С1М ИГцбхОДИМО .1ИЛНИГ ГОННШI)

решения для погучечия частот верного определения бит) во втором же режиме статистичегкие данные ислпль-мукш* ,/ui* t in гиклгниу никои приближении нуггм ршбигнич бит на 4 ipviiiim мгнщии клипгрнш ii анинн:« x получивтгтшея группам применяется один из гредстанленных ¿-х ягторитъ'ов в зависимости от специфики разбиения

r ("hi1hi очгцгдн нитцггы. НОЛуЧГННЫГ гибридным HJIKipHIVOVI. MlMyr ОМ'1Ч И])ИМГНГЬМ К С ОЧП ЛЧИИ С ИЧИГС I-

ны.чи рсшаимими SAT (в качееше гакигс mo.*.ci бьиь bimi. к примеру. GSAT). Таккм oGpajoM. ьшмижли проке ден иг ктшиишуммимннетхгльи нн :чдцичу фик юрн-самии целых чигел и пхггкпгткенно. на алп )|1итм RSA

Ш. ТЕОРИЯ

Пусть на.чаожесхвепеременных у — КУ\>Уг'"Уп) € ¿алана формула

* О) = <¿1 (v) A G* (у) A ...G; О')

O;(.v) = v>r,oe{ 0,1}

0)

Производится переход ст 3-ЕСНО к 3-ДНФ

L{У) - £00 - G,О) V G2 (>) V...GUО) G, (.у) = А у', ст е {ОДЬ

(2)

Булевым переменным сопоставляются вещественные по правилам

(3)

Форме Д.г) соотносится функционал F : [C.1J' —> R{ вида:

x),ec.iu >J,o-l Pi J 00= Xj?, если у] = 0

(1)

1, иначе

Известно, что минимум функционала (4) соответствует выполняющему нзЬору формулы (1). Функционал (4) дифференцируется по переменным х, V/ = 1 ..N. н его частные производные приразни-КИННО К нулю, ГГМ ГИМЫМ :1Ш1уЧЛГ1ГИ гнпгмд нелинейных урмкнгний

ал~ «

К полученной системе применяется метод простой итерации[5]. Вычисления основаны на схеме Гаусса-Зейделя (б), согласно которой для вычисления компонент приближения на к +1 - и итерации используются данные, полученные нз предыдущей итерации. Выоэр дзнной схемы обусловлен тем. что метод ближе подбирается к окрестности точного решения. нежели метод Якосп [6]

Х<» - . Х^.-.Х^.Х^ ..X™) (СО

Численные эксперименты показали, «по метод будет сходиться к седловок точке-оврагу за определеннее число итераций. Для преодоления оврзговон ситуации применяется сегментный генетический алгоритм, для которого в качестве стартовой популяции берется приближение, соответствующее оврзгу } н близлежащие вектора, норма отклонения которых не превышает заданное г. — О 1. В результате применения генетического алгоритма наилучшая особь" будет испольяована как стартовое приближение для нового запуска метода простой атераоия [б].

Проецирование сещестееичых переменных б оулееы

Другая модификация метода простой итерации связала с проецированием вещественных переменных е бу левы. Если в обратном направлении проецирование проводится однозначно, то в данном случае возможно использование множества различных Еарнантов. Ннжс приведен опкн нз наиболее нетривиальных, связанный с применением байессвско1 о ^шисиу ика ]ор л [£].

Пусть х^ вектор приближение. сформированный па t—i^ итерации Тогда х^1' г й бит эектсра пр1голпл<епня. Пусть имеются два класса — {Х^ — и С11 ~ {х'-г) ~ 1} . Очевидно, что эта классы не пересекаются и образуют полное пространство классов О — Д) и 0\. Пусть также имеются два события Н^ — С -ф) | н Н] = [х^' С }. Эти события являются гипотезами и состоят в том. что / й бит еск-гора-приГииАгним принадлежит к иш'.Е'им Оу и 0\

Пусть А— событие, состоящее в том. что 1-й бит вектора-приближения определен верно, т.е. совпадает с точным решением. Тогда вероятность этого события.

По формуле полной вероятности получается: = *Р(А{0 Р(н]) * Р(4° Здесь

Р(А9 | И?) - вероятность зерного определения / - ¿-о бита при условии, что он огнсссн к классу /?о (другими

ГЛОКШН [Ш-ШННИН КЯК нулгкой (|И |) СсМПКППЧГНИО | Н1) - НГрОИ1Н1Х ТК К«рН1)И) СШрГДГЛГИИИ 1.20

бита при распознавании его как единично--» По формуле Еайега

О)

Р(Н! | ЛУ*) V Р(Н\ | — кгртиносги ЧГ[№-(>■() №1'нпгним ймя Л"^ ». нлаггжм Д) и при уг.пжии что X*' — кгрнп 1)И]»г.цглгн Иигнни н» ;^ннмх »юс^Мфных ырош исч тих кычиелмнш'.м инримпры прнщи-ровалия. Для успешпогс их Еычислепня требуется знание четырех оероятностей: Р(П*). Р(Н.\), Р(Л+ ,

Р(А» И\).

Вероятности Pfftf) и P(Hf') - безуглпвньтр Изначально гни задаются .чвржтически например модно взять ДЯ,°) = С|.6 п 0.1- в процесс? выполнения метода простои нгерашш вероятности Р(Н°) и

скнх испытаний обьжнозенного метода простой ктеранни.

Таким образом, после каждой терапии метода последовательных приближений происходит вычисление апостериорных вероятностен по формулам (7). В зависимости от того, какая вероятность окажется больше, проискодтгт проецирование либо в 0. либо в I.

Измените порядка вычисления переменных с методе простои итерации

Рассмотрим ещё одну модификацию метода простой итерации. Выше сыло упомянуто, что траектория метода простой нтерацик ведет в еедлэвую точку-овраг хш. для преодоления которой применяют различные эвристические методы. Однако из полученного приближения х(1) можно извлечь информацию о совпадении с. точным Х( ' Па основании достаточной тестовой выборки (1000 экзепдярсв задачи SAT) становится зозмож-кым определить для каждого онта Vf частоту совпадения V. с соответствующей компонентной точного решения Vt. Представляется логичным сконструировать модификацию, позволяющую повысил. число бит с высокой частотой V, > 0.7 . Суть её заключается в изменении порядка вычисления переменных [8J. Для этого бе

рётся перестановка С на множестве действительных чисел 11.. Лг |. где N число неремешп^х в 1<НФ

С пэмощыо <7 вычисляется повьш порядок обхода пеоемеппых. Числегпше эксперименты показали. чтэ з данном случае метод также ведёт d озоаг. однако это va<e будет врытая точка оврага. Проанализировав её. мож по также выделить компоненты. совпадающие с точным решением.

ТТпСЛГ НЫ RIIIHKHHM МГШДЯ IIJK*-|1:M ИГСрЯДИИ ДЛЯ N0 ИГрГГГЯНОЧОК (|к|рмирусп1'.я Л^ МН»«ГСГК ЧЯСП1Г1 III)

верному определению бит. Полученные данные >:огут быть нспо.тьзэваны для составления компонент нового приближенного решения по фор гол с

Сведение SAT к системе линейных уравнений

Для повышения частот зерного определения бит возможно нспользозанкс дополнительного метода получе-ппя прпош:жеш:ого решегася SA Г [У]. Пусть имеется КНФ вида

Р(Н}~) чересчи-ьгеяюття я яяяисимости от значения переменной xf и параметра проецирования в

Р(Н?) = 4\ если xj° <0 P(FT») = ]-x?\ tu tu > В

P(h;) = l-x?\ если x? <Ъ Р(Я;) = х;г), если > 0

%

Вероятности Р(Л?' | if®) и Р(Л*' \ Н]~) - априорные. Они могут быть получены на основании статистиче-

.V

Цу) = дс,.

(10)

где С] есть дизъюнкции вида V у*. <7 С [0.1]. Каждой дизъюнкции можно иостазнгь в соотзстегзнс число f. . равное количеству литералов, принимающих значение true .

Тазе, для 3-КНФ. ассоциированных с задачей факторизацией целых чисел, J. может принимать значения 1.2,3 Значение 1 может быть в 3-х случаях, значение 2 также в 3-х случаях, a f¡ = 3 может быть только в одном случае. Теоретически значение С также может приниматься, однако зто будет означать, что для З-КНО вы-цоошиищего набора не сущсствуег, а для задачи факгерк'аиии ло совершенно не так.

"Матемятичегкпе ожидание f равняется —xl + — - — '-fro чирло включено в нктерняле ( I S,

7 7 7 7

2), и ближайшее целое число - 2, поэтому можно сделать предположение, что числа f. принимают значение 2. Следующим шалим нзляе.о. иосчроение системы линейных, уравнений вида

Rr = g (11)

у С

Квадратная матрица сформируется путём рассмотрения попарных сочеташш л1гтералоБ yi 1 и у у для

¿аждшо дизьюнкга С. и добавления к соответствующему элементу О- произведения знаков рассматриваемых

.литералов. К примеру, для дизъюнкта (v¡ v y, V Vj) будет произведено 0 операций внессння элементов:

¿j- —>+l.bj2 • —>+1-^22 "'"l итак далее. Стош ш.мс!шь. чш изначально матрица 9 н столбец

g шшцнализнровапы пулями. Сформированная таким образом матрица будет обладать диагональным преобла данием н является си,тьно разреженной (с.фавед.жво для 3-ККФ. ассоциированных с задачей бакюрнзацнн). Столбец g формируется синхронно с построением матрицы В путём проведения операций с числами

/¡ = 2. При этом к элементу прибавляется значение slgri(yfl)v s¿gri(j'jJ )*f¡. где sign - фуноня.

зозвращающая знак литерала (1 для позитивного литерала и -1 для негативного).

К. сформированной таким образом системе применяется метод 1 зусеэ-Зейделя со стартовым приближением

— (0.0...0). Полученное вещественное приближение проецируется в вещественное по правилам

fuhe.\x. к 0.1

V, - 1 (12)

[ r77.'<-, иначе.

Гибридный алгоритм поиска приближённого решения SAT

Выше были списапы Л эвристических алгоритма, в результате статистических испытаний которых возможно получение частот по яеркому еттрелеленто бит Полученные резуль-аты могут ñkrn, игпо.тязованьт как отделяло сами не себе, гак и в сочетании друг с другим. Во втором случае .ребуется предвари, ельное разбиения множества бит на 4 кластеоа (по числу алгоритмов), используя множества частот, полеченные в результате статистических нспытзннн всех 4-х алгоритмов. Идея разонення состоит в том. что онты. входящие в один кластер, идеально обрабатываются алгоритмом ассоциированным с данным кластером (тес частотой I или 0) и неоднозначно определяются трутт'и алгоритмам (с частотой w О 5) Понятно что к а практике такое -ребование практически не досшжнмс. однако иоззо.ые! в неко.ором роде приблизиться к ол тимальному варианту. Разбиение проводится синим из самых распространенных алгоритмов - метолом к. - means. Стартовые значения кластеров инициализируются как С,(1.0;0.0;0.0;0.0). С,(0.0;1 0;0.0;0.0). С5 (0Д0.С;1.0;0.0}.С4 (0.0;0.0;СЩ1.Э) Первый кластер соответствует методу простой итерации с гснстечсскем алгоритмом, второй - байесовскому проецированию, третий - нзмененню порядка вычислений переменных, четвёртый - построению и решению сис-емы лннейнчтх уравнений Чиже приведен псевдокод алгоритма .Алгоритм 1. Разбиение бит на кластеры.

Вход: Множества частот V¡. V?, , VA . полученные разработанными алгоритмами. Шаг 1. Ввести начальные центры кластеров С,(3)а.0;0.0;0.0;0.0), С?' (0.0;1.Э;0.0;0.0),(0.0;0.0,10,0.0), Cf(ü.ü;0.0;ü.ü;l.ü).

Шаг 2. Положить k — 1.

Шаг 3. Каждому бэту V, сопоставить вектор Y¡ = (Vl[i\.Vi\J\,V3[Í\.V4[Í\) .

Шаг 4. Для каждого сита ух к каждого кластера С'* вычислить р(уг.С^к)) =| С^' — vt \.

Шаг 5. Отнести V, к тему кластеру С¿ . для которого величина p(v,. С, ) минимальна.

Шаг б. Пересчитать координаты Cfk>. CjV'. Cj*^.

Ша| 7. Проверить вьшшшение условии Cj1' — С^ )< 6 Если условие выполняемся. и разбиение

j

экоичеио. Если пет, то положить к — к I 1 а перейти шагу 2.

Вызол: FRAGMENTATION — разбиение на 4 кластера

Коней алгоритма 1.

Само по себе разбиение Jb kacjmhntatiojn представляет собой массив. 1 й слемент которого хранит номер кластера, к которому относится принадлежит V, . Ниже приведен псевдокод гибридного алгоритма, использующего разбиение Г RA GMENTA TION ■

Алгоритм 2 I иорндный алгоритм поиекз приближённого решения SAI .

Вход: Массив FRA GMENTA TION. хранящий разбиение онт на кластеры.

Шаг 1. Вь-полншь вчштеописаннчте 4 ал-оритма Полученные приближении обозначить S¡ —1.4

IÍThi 2. Пуль — приблилгниг гибридною метод* Дл« киждш ибита i = J..N ныпольичь чыбрхть приближение Sj до номеру кластера > RA (jMbNlA'l ION [i] и положить S|7] — .

Выход: S приближение, сформированное гибридным алгоритмом

Конеп алгоритма 2.

Шаг 2 приведенного алгоритма требует пояснении. Пусть, к примеру, битс номером i — О отнесен к первому кластеру Тогда следует выбрать приближение сформированное методом простой итерации г генетическим алгоритмом. н положить S[0] = Sj [0]. Аналогичная процедура проделывается для зсех остальных бит.

IV. Результаты эхстхгимптое

Для каждого метода было сгенерировано 1ÜUC экземпляров задачи SAI. эквивалентной задаче факторизации целых чисел различных размерностей полученных с по\'отьк> генератора КНФ принцип работы которого описан в статье [4]. После завершения работы методов полученные приближения сравниваются с известным точным решением-эталоном на предмет совпадения бит. Отдельно подсчитываются доли верно определённых опт среди нулевых, единичных, а также общего числа бит.

Для гибридного алгоритма производятся те же самые действия, что к для составляющих методов. D габл. 1 приведены данные по долям верно распознанных опт для булевых формул, эквивалентных задачам фагториза цик чисел различных размерностей.

ТАБЛИЦА 1

ДОЛИ ВЕРНО ОПРЕДЕЛЕННЫХ БИТ ГИБРИДНЫМ АЛГОРИТМОМ

Размер флкторпзуемого Доля верно определен- Доля верно определён- Доля оошего числа верно

числа ных ДОМОВЫХ опт ных едпаичпых опт определенных онт

48 0.94 0.82 0 88

64 0.92 0.795 0 86

100 0.912 0.76 0.347

20С 0 895 0.745 0.339

30С 0.883 0.725 0.339

4(JC 0.885 0.745 0.324

50С 0.872 0.73 0.315

60С 0 865 0.735 0.305

1024 0.865 0.73 0.77

2048 0.83 0.68 0 73

Выбранный доверительный интервал для результатов эксперимента / = 0.1. стандартное отклонение для

С7,( =0.08,для Л^ (Тн -0.01, для 7/, с, =0.05.

V. ОБСУЖДЕНИЕ РЕЗУЛЬТАТОВ На риг I приведена гистограмма по иериому определению бит Кратный столбе тт. соотнегг-вует числу верно

определённых нулевых Ьиг , синий - единичным ЛГГ . а белый столбец иллюстрирует общее число верно

определенных бит Nt. Прослеживается небольшое снижение поли верке определенных бит с увеличением размерности задачи. Максимальная доля верно определенных нулевых бит - 94%. единичных - 82%. обшего числа 88%.

Рнс.1. Гистограмма бит, верно определённых гибридным алгоритмом

На рис ?. приведено сравнение долен верно определенных бит гибридного алгори-ма с. известными 5АТ-решателями победителями соревнований 8ЛТ2011 Сотрейглоп[5] Для сравнения было отобрано по 3 алгорнт ма-нобелшеля в евоил ьиторидл. АррНсайииВемеЬшахк. иишьа1_ЫЬ11. НакЮошЬша 1о1 ¿аШсисЬшаак. Зрашчу-1'оК15в, КапсЬтВепсЬтагк: ейше&еш.

Рис. 2. Гистограмма сраЕнсння разработанного метода с существующими аналогами

Доверительный интервал у = 0.1, стандартное отклонение для аиш$а1 Ь1Ь<1 (синий столбец) сг = 0.07,

хи ЗратгонТоК^ (красный столбец) о = 0.05. для <Зт:е1Ьеи$ (желтый столбец) с = 0.08 . Белый столбец соответствует гибридному алгоритм}-. Как нетрудно заметить, кг небольших размерностях разработанный метод ке демонстрирует эффективности по сравнению е существующими аналогами, однако с увеличением размерности его преимуществе становится очевидным.

Представленный гибридный алгоритм зависит от четырёх спссоосв, а также от разонения бит на кластеры, выполненного на основе частот верного определения каждым способом. По своей сухи он является вероятностным. п. таким образом, ие даёт достоверного ответа во всех случаях. Ноли решение пе было найдено, то ого не означает, что его не существует. Для улучшения данной ситуации возможно использование различных других известных БАТ-рсшатслск. В качестве такого был выбран распространённый алгоритм локального поиска £8АТ [10]. который также работает полиномиальное время.

Ниже приведён псевдокод пс совместному использованию разработанного автором гибридного алгоритма и С>ЪАТ для поиска выполняющего набора булевой формулы, эквивалентной задаче факторизации целых чисел.

А. пирит 3. Комбинированный ¿спортл но распознаванию бит сомножителей в задаче факторизации целых чисел.

Вход: фактернзуемое число Дг =

Шаг 1. Перейти от задачи факторизации целого числа N = Р * <] Е задаче выполнимости булевых формул

Шаг 3. Пусть S — приближение, выданное гибридным алгоритмом. Передать S на вход алгоритму локального поиска CSAT. Выполнять G S AT COUNT_ROUNDS = 1000 раундов или же пока выполняющий набор

Копсп алгоритма 3.

На рис ^ показан график интерполяции решения задачи факторизации пс результатам тестировании чисел различных размерностей, отмеченных по горизонтали. Вертикальная шкала число раундов означает число итераций алгоритма локального гтоигка Ст5>А~ потребовавшееся для кахоАдения реггения Пределькое число раундов равняется 1000. и по достижении данного значения работа прекращается. Как видно нз графика, числа размерностью до 417 включительно удаётся фактортовагь комбинированным методом. К сожалению, числа большей размерности не удалось факторизовать за 1000 раундов - об этом свидетельствует горизонтатьный участок кривой от '117 до 102-1 бит, по в дальнейшем планируется улутшешхе результатов путём добавлешш дополнительных методов в гибридный алгоритм

1С0С 9 ОС

Г"

/

ти:

/

/

m о -С

7 ОС

/

ЙЛГ

/

/

и

/

20С ЮС С

48 64 ЮС 200 ЗОЭ 400 417 500 БОЭ 1024 размер фаггэриэусмогс чиста

Рис i Результаты исследовакт-'я соче-ани» геие~ическогс алгоритма и CiSA"

VL ВЫВОДЫ И ЗАКЛЮЧЕНИЕ

В статье представлено четыре различных способа по нахождению решення задачи выполнимости булевых формул, ассоциированных с задачей факторизации целых чисел. С помощью каждого нз них возможно получение лишь приближенного решення. однако возможен н другой подход - накопить статистику по верному определению каждого бита путём многократного повторения эксперимента н сравнения соответствующих компонент с эталонным значением.

С помощью полученных частот проводится разбиение бит на четыре кластера, к каждому нз которых впоследствии будет применяться только тот алгоритм, который определяет биты данного кластера с наибольшей частотой. Таким образом, был получен гибридный алгоритм, объединяющий лучшие свойства разработанных методов. В результате статистического тестирования установлено, что метод верно определяет до 94% нулевых н до 32% единичных бит.

Разработанный метод можно использовать как непосредственно сам по себе, так н в сочетании с другими известными алгоритмами, также работающими полиномиальное время. Показано, что в результате сочетания с алгоритмом локального поиска GSAT удаётся факторизовать число размерностью до 417 бит включительно. В дальнейшем планируется улучшить данный результат, добавляя новые методы к гибридному алгоритму и тем самым повышая вероятность нахождения точного решення.

Работа выполнена при финансовой поддержке РФФИ (грант № 16-31-00057).

СПИСОК ЛИТЕРАТУРЫ

1. Boneh D. Twenty Years of Attacks oil the RS A Cryptosystem H

Notices of the American Mathematical Society. 1999 Vol 46 (2). P. 203-213.

2. Roy Aieads. [diis sec-deployment] RSA-786 ftactorized URL: http:/.lists.dnssec-deploynieiit.org/pipenna il/dassec-deployiuent/2010-Januaiy/003591 html.

3. Patsakis C. RSA private key reconstruction from random bits using SAT solvers. URL: https ://eprint. la cr. org/2 013/026.

4. Dulkevt V. I. Reduction of factorization, discreet logarithm and elliptic curve logarithm problems to solving associated satisfiability problem// Computer Optics. 2010. Vol. 34. no. 1. P. 113-123

5. Dylkeyt V. 1., Faizullm R. Т.. Khnykm I. G. Contmuous approximation of SAT decision as applied to cryptographic analysis of asymmetric ciphers // Computer Optics. 2009. Vol 33. no. 1. P. S6—91.

6. Дулькейт В. И.. Огородников Ю. Ю.. Файзуллин Р. Т. Гибридный метод поиска приближенного решения задачи 3-ВЫПОЛНИМОСТЬ, ассоциированной с задачей факторизации// Труды института математики и механики УрО РАН. 2013. Т. 33, по. 2. С. 235-294.

7. Огородников Ю. Ю. Проектирование вещественных переменных в булевы в методе простой итерации, применённом к задаче выполнимости булевых формул // Научный вестник НГТУ. 2015. Т. 58, no. 1. С. 1S3—200.

S. Faizullm R. Т., Ogorodnikov Y. Y. Recognition of zero bits of 3-SAT problem by applying linear algebra's methods//Computer Optics. 2014 38 (3). P 521-528. DOLIO 123 4XXXX-XXXX-2 014-3-5 21-528

9. The international SAT competition web page. URL: http://www.satcompetition.org

10. Gu J. Local search for satisfiability (SAT) problem // IEEE Trans, on Systems, Man, and C ybernetics. 1993. Vol. 23. no 4 P. 1103-1129. DOI: 10.1109/21.247892