Anlamı: “'Büyük tamsayı çarpanlara ayırmak zorsa, RSA'yı kırmak zordur'

30

CLRS okuyordum ve şöyle dedi:

Büyük tamsayıları çarpanlara ayırmak kolaysa, RSA şifreleme sistemini kırmak kolaydır.

Bana mantıklı geliyor çünkü $p$ ve $q$ bilgisiyle, kamu anahtarının bilgisinin olduğu gizli anahtarı yaratmak kolaydır. Yine de, tam olarak anlamadığım converse ifadesini açıklıyor:

Converse ifadesi, eğer büyük tamsayıları çarpanlara ayırmak zorsa, RSA'yı kırmanın zor olduğunu kanıtlar.

Yukarıdaki ifadenin resmi olarak anlamı nedir? Faktoringin zor olduğunu varsayarsak (resmi bir şekilde), bu neden RSA şifreleme sisteminin kırılmasının zor olduğu anlamına gelmiyor?

Şimdi düşünün ki faktoringin zor olduğunu kabul edersek ... ve bunun RSA şifreleme sisteminin kırılmasının zor olduğu anlamına geldiğini keşfettik. Bu resmen ne anlama geliyor?

cryptography

— Charlie Parker
kaynak

3

Bu olabilir RSA kırma zor olduğunu ima, ancak henüz kanıtlanmış .

— Tom van der Zanden,

2

ayrık logaritma problemi "çok benzer" ise RSA kırma kalbinde, alanın onun büyük bir açık soru (şifreleme ve TCS ikisi) faktoring eşdeğer olduğu kanıtlanamamıştır

— vzn

1

İkincisi virgül yerine kısa çizgi kullanmamalı mı? Bağımlı fıkranın içinde virgül olduğunda bir çizgi kullanılmaz mı? The converse statement -- that if factoring large integers is hard, then breaking RSA is hard -- is unproven.

— Czipperz

@ruakh: Hey, evet ... Hatta iki kez kontrol etmeyi bile emin ettim ama hala yanlış anladım. En azından şu anki probleminiz kadar zor olduğunu bildiğiniz bir sorunu değil, kolay olduğunu bildiğiniz bir problemi azaltmanız gerektiğini unutmaya devam ediyorum. :-) Bunun için teşekkürler, kaldırdım.

— Mehrdad

Matematiksel argüman: "eğer

, sonra

", "

değilse , sonra

değil" ile aynı anlama gelir . "

değilse

değil" hakkında hiçbir şey söyleyemezsiniz .

A

$A$

B

$B$

B

$B$

A

$A$

A

$A$

B

$B$

— drzbir

50

Bunu düşünmenin en kolay yolu, çelişkili düşünmektir.

İfade:

Büyük tamsayıları çarpanlara ayırmak zorsa, RSA'yı kırmak zordur

aşağıdakine eşittir:

RSA'yı kırmak kolaysa, büyük tamsayıları çarpanlara ayırmak kolaydır

Bu ifade kanıtlanmamıştır.

Söyledikleri şudur: polinom zamandaki faktoringi çözen bir algoritmaya sahip olduğumuzu varsayalım. Sonra RSA'yı polinom zamanında çözen bir algoritma oluşturmak için kullanabiliriz.

Ancak, faktoring tamsayıları içermeyen RSA'yı kırmanın başka bir yolu olabilir. RSA'yı polinom zamandaki tamsayıları etkilememize izin vermeyecek şekilde kırabileceğimizi bulmamız mümkündür.

Kısacası, RSA'nın en azından faktoring kadar kolay olduğunu biliyoruz . İki olası sonuç vardır: RSA ve faktoring eşdeğer zorluktadır veya RSA faktoringden çok daha kolay bir problemdir. Hangisinin olduğunu bilmiyoruz.

— jmite
kaynak

10

"en azından kolay" - bu, diğer yollarla birlikte daha açık bir şekilde öğretilmesi gereken indirimleri yorumlamanın bir yoludur.

— G. Bach,

X, Y kadar sert, en azından olup olmadığını, bunu iki şekilde yapabilirsiniz, Y kolay gibi en az X gibidir

— jmite

2

Demek istediğim - neredeyse herkes muhtemelen "X en az Y kadar zor" demiştir, ancak "Y en az X kadar kolay" derken çok nadiren açıklanmıştır - her ne kadar yararlı olsa da.

— G. Bach,

1

Donald Knuth'un, keyfi bir şekilde RSA şifreli mesajlarını sihirli bir şekilde kırabilecek bir makine verilen ve iki büyük prime sahip ürünleri çarpan yapabilen bir algoritmadan bahsettiğini açıkça hatırlıyorum. Bu yanlış olabilir :-(

— gnasher729

31

Zor bir yolun varlığı kolay bir yol olmadığı anlamına gelmez.

RSA'yı kırmanın birkaç yolu olabilir ve bunlardan sadece birini bulmamız gerekir.

Bu yollardan biri, büyük bir tamsayı çarpanıdır, bu yüzden eğer kolaysa, bu şekilde yapabiliriz ve RSA bozulur. Bu, henüz bildiğimiz tek yoldur. Bu o kadar da olanaksız ise, hala hesaplama az açıkça hesapla gerek kalmadan bizim görevi gerçekleştirmek için yol talebiyle başka bulabilirsiniz p ve q dan n .

RSA'nın kırıldığını kanıtlamak için, bunu yapmanın bir yolunun kolay olduğunu kanıtlamamız gerekir .

RSA'nın güvenli olduğunu kanıtlamak için, bunu yapmanın tüm yollarının zor olduğunu kanıtlamamız gerekir .

Son olarak, ifadeniz kanıtlanmadı çünkü şifreli bir metinden bilgi ayıklayan başka hiçbir kolay yöntem bulunmadığı kanıtlandı.

— Rainer P.
kaynak

1

Bazı özel RSA şifreli mesajlar üreterek, onları kırarak ve daha sonra bazı hesaplamalar yaparak iki büyük prime sahip ürünleri çarpanlara ayırabilecek bir algoritma üretebilirsek , RSA ve faktoring'in aynı derecede zor olduğunu ispatlayabiliriz . Bu, RSA'nın faktoringden daha kolay olmadığı anlamına gelir. Kolay ya da zor olduğu anlamına gelmez.

— gnasher729

@ gnasher729 Bu yeterli olur mu? Algoritma iki büyük prime sahip olan ürünleri, 2'den fazla primer içeren ürünleri veya küçük primerleri içeren ürünleri etkileyemezse?

— otakucode

@ RSA'nın sadece kopya olma faktörlerine bağlı olduğunu düşünüyorum. Bu yüzden birden fazla faktörden oluşan ürünlerin etrafından dolanmak oldukça kolay olacaktır.

— Taemyr

10

Buna bakmak için ek bir yol, RSA'nın kırılmasının, genel faktoring meselesinden bağımsız olarak kolay olabilen veya olmayabilen özel bir faktoring durumu gerektirmesidir.

$3$

— Ran G.
kaynak

7

Bu , RSA probleminin (şu anda) faktoringden daha spesifik göründüğü anlamına gelir .

$pq$ $e,$ $v,$ $m$ $v \equiv m^e \mod pq$

Faktoring sorun şudur: Yarı-bilen hem arayan ve . $pq,$ $p$ $q$

Faktoring problemini verimli bir şekilde çözebiliyorsanız, RSA problemini verimli bir şekilde çözebilirsiniz: yarı periyodu alın, faktörü alın, tüm şifrelemeleri olarak gösteren ters bir üs yi hesaplamak için asal modüller hakkında bazı teoremler kullanın . (Aslında bu teoremler, RSA'nın kurulumunun nasıl çalıştığıdır: kurulum aşamasında iki primi biliyoruz.) $d$ $m \equiv v^d$

Ancak, bir değil keyfi mesajlar için bu yukarıdaki sorunun çözümü bilinmektedir size modülü faktörleri veya ilgili üstlerin hakkında bir şey söyleyecektir. Olabilir ya da olmayabilir; biz bilmiyoruz. Birçok akıllı insan soruna büyük olasılıkla baktı ama hiçbirinde bariz bir şey çıkmadı. Bu nedenle, faktoring sorununun RSA probleminin (artı polinom çaba) çözümleri ile çözüldüğü bilinmemektedir, sadece RSA probleminin faktoring probleminin (artı polinom çabasının) çözümleri ile çözüldüğü bilinmektedir. $m$

Aslında 1998'de Boneh ve Venkatesan, bir RSA problemi çözümünü bir faktoring algoritmasına dönüştürmek için belirli bir basit algoritma sınıfının (artı, zamanlar, üsler, XOR / NAND tipi şeyler) kullanılamayacağına dair bir kanıt yayınladı. Argüman basit bir ustalığa sahipti: bu aritmetik işlemleri matematiksel olarak manipüle ederek "redüksiyon algoritması" nı bulabiliriz (kesinlik için: bu, yarı devrimi belirleyen bir yarıyıl için RSA "oracle" kullanan bir algoritmadır) kendi başına çarpanlara ayırma algoritması olduğu için, kimliğine çağrı yapmayan bir değişkene değiştirebiliriz. Bu yüzden bir trikomimiz var: ya (a) böyle bir indirgeme algoritması yok ya da (b) indirgeme algoritması hoş bir aritmetik yorumlamaya sahip değil ya da (c) faktoring, indirgeme algoritması gibi polinom zamanıdır.

— CR Drost
kaynak

“Bu ters üssü herhangi bir e'ye bulmanın, modülün faktörleri hakkında size bir şey söyleyeceği bilinmiyor” değil mi? , ve verilen ve değerlerini hesaplayabilirsiniz

p

$p$

q

$q$

n

$n$

e

$e$

d

$d$ . Açıklandığı gibi algoritma açıkça PP, P de olduğu bilinmiyor mu?

— Gilles 'SO- kötülük' dur

@Gilles aslında haklı olduğunu düşünüyorum, bu yüzden cevabımı buna göre düzelttim.

— CR Drost

3

RSA, zor olduğuna inanılan iki soyut matematiksel işe bağlıdır : bildiğiniz gibi tamsayılı faktoring, aynı zamanda ayrık logaritma problemi . İki büyük bilinmeyen primerin ürün numarasını hızlı bir şekilde çarpanlara ayırabilirseniz, RSA'yı kırabilirsiniz; ancak , sonlu grup sonlu grubunda hızlıca bulabilirseniz, da kırabilirsiniz , burada ve , genel RSA üssü ve modülü ve , şifreli metindir. $\log_e C$ $\mathbb{Z}_{m}$ $e$ $m$ $C$

Bu iki matematiksel görev birbiriyle ilgilidir, ancak (doğru hatırlıyorsam) birinin çözümünün diğerinin çözümü anlamına gelmediğine inanılıyor . RSA'yı matematiksel olarak kırmanın sadece iki yolu olup olmadığını bilmiyorum.

— Zwol
kaynak

Bazı şeyleri yanlış anlayabileceğinizi düşünüyorum. Bunlar gerçekten iki farklı sorun değil: ayrık log modulo bulabilirseniz, faktör . Başka bir deyişle, ayrık log problemine bir çözüm kesinlikle faktoring problemine bir çözüm anlamına gelir.

m

$m$

m

$m$

— DW