Значення: "" Якщо факторинг великих цілих чисел важкий, то розбиття RSA важко ", недоведено"

30

Я читав CLRS і кажуть:

Якщо факторинг великих цілих чисел є простим, то розбити криптосистему RSA легко.

Що для мене має сенс, оскільки, знаючи $p$ і $q$ , легко створити секретний ключ, який є знанням відкритого ключа. Хоча це пояснює зворотне твердження, яке я не зовсім розумію:

Зворотне твердження про те, що якщо факторизувати великі цілі числа важко, то розбити RSA важко, є недоведеним.

Що формально означає твердження вище? Якщо ми вважаємо, що факторинг важкий (певним чином), чому це не означає, що зламати криптосистему RSA важко?

Тепер подумайте, що якщо ми припустили, що факторинг важкий ... і що ми виявили, що це означає, що криптосистему RSA важко зламати. Що це означало б формально?

cryptography

— Чарлі Паркер
джерело

3

Це може означати, що порушити RSA важко, але це не було доведено .

— Том ван дер Занден

2

дискретного логарифмування в серці ломки RSA , а «дуже схожі» не було доведено, що еквівалентно факторингу, його основним відкритим питання про поле (як криптографія і ТКС)

— ВЗН

1

Чи не повинен другий використовувати тире замість коми? Чи не використовується тире, коли в коді є залежні пропозиції? The converse statement -- that if factoring large integers is hard, then breaking RSA is hard -- is unproven.

— Czipperz

@ruakh: Угу, так ... Я навіть переконався, що це ще раз перевірив, але я все-таки помилився. Я постійно забуваю, що ви повинні звестись до проблеми, для якої ви знаєте, що це легко, а не до проблеми, яка, як ви знаєте, настільки ж складна, як ваша поточна. :-) Дякую за це, я його зняв.

— Мехрдад

Математичний аргумент: "якщо

, то

" означає те саме, що "якщо не

, то не

". Ви нічого не можете сказати про "якщо не

, то не

".

A

$A$

B

$B$

B

$B$

A

$A$

A

$A$

B

$B$

— drzbir

50

Найпростіший спосіб подумати над цим - подумати про контрапозитиві.

Заява:

якщо факторинг великих цілих чисел важкий, то розбити RSA важко

еквівалентний наступному:

якщо розбити RSA дуже просто, то факторинг великих цілих чисел є простим

Це твердження не було доведено.

Те, що вони говорять, припустимо, що у нас є алгоритм, який розв'язує факторинг у поліноміальний час. Тоді ми можемо використовувати його для побудови алгоритму, який вирішує RSA в поліноміальний час.

Але, може бути інший спосіб зламати RSA, який не включає факторинг цілих чисел. Цілком можливо, що ми виявимо, що можемо зламати RSA таким чином, що не дозволяє нам множити цілі числа в поліноміальний час.

Коротше кажучи, ми знаємо, що RSA принаймні так просто, як факторинг. Можливі два результати: RSA та факторинг мають однакові труднощі, або RSA є суворо легшою проблемою, ніж факторинг. Ми не знаємо, у чому справа.

— дміти
джерело

10

"принаймні настільки просто" - це спосіб тлумачення скорочень, який слід викладати більш виразно разом з іншим способом.

— Г. Бах

Ви можете це зробити в будь-якому випадку, якщо X принаймні настільки ж важкий, як Y, Y принаймні так просто, як X.

— jmite

2

Це те, що я мав на увазі - майже всі, напевно, чули, що "X принаймні настільки ж важкий, як Y", але "Y принаймні так просто, як X" дуже рідко пояснюється - хоча це так само корисно.

— Г. Бах

1

Я, здається, неясно пам’ятаю, що Дональд Кнут згадував алгоритм, який дав машині, яка може магічним чином тріскати довільні зашифровані повідомленнями RSA, зможе розподілити продукти двох великих прайменів. Я можу помилитися з цим :-(

— gnasher729

31

Існування важкого шляху не означає, що немає простого шляху.

Існує декілька способів розбити RSA, і нам потрібно знайти лише один з них.

Одним із таких способів є факторинг великого цілого числа, тому, якщо це легко, ми можемо зробити це таким чином, і RSA буде порушена. Це теж єдиний спосіб, який ми ще знаємо. Якщо це зробити неможливо, ми все одно можемо знайти інший, обчислювально менш вимогливий спосіб виконувати наше завдання без необхідності чітко обчислювати p і q з n .

Щоб довести, що RSA порушена, нам потрібно довести, що один спосіб зробити це легко.

Щоб довести, що RSA є безпечним, нам потрібно довести, що всі способи зробити це важко.

Нарешті, ваше твердження є недоведеним, оскільки не доведено, що немає жодного іншого, простішого методу, який витягує інформацію з кістотексту.

— Райнер П.
джерело

1

Ми могли б довести, що RSA та факторинг однаково важкі, якби ми могли створити алгоритм, який зможе ділити продукти двох великих прайменів, генеруючи якісь спеціальні зашифровані RSA повідомлення, розбиваючи їх, а потім робити ще кілька обчислень. Це означає, що RSA - це не простіше, ніж факторинг. Це не означає, що або легко, або важко.

— gnasher729

@ gnasher729 Цього буде достатньо? Якщо алгоритм міг би визначати продукти двох великих прайменів, але не продукти, що включають більше 2-х праймів, або продукти, що включають невеликі праймери?

— otakucode

@ Я думаю, що RSA залежить лише від факторів, які є копрієм. Тому подолання продуктів декількох факторів було б прямо вперед.

— Taemyr

10

Одним із додаткових способів поглянути на це є те, що для порушення RSA потрібен лише особливий випадок факторингу, який може бути, а може і не бути простим незалежно від загального питання факторингу.

$3$

— Ран Г.
джерело

7

Це означає, що проблема RSA здається (наразі) більш специфічною, ніж факторинг.

$pq$ $e,$ $v,$ $m$ $v \equiv m^e \mod pq$

Проблема факторингу така: знаючи напівпровідні знайдіть і і . $pq,$ $p$ $q$

Якщо ви зможете ефективно вирішити проблему факторингу, тоді ви зможете ефективно вирішити задачу RSA: візьміть напівпринцип, фактуруйте його, використовуйте деякі теореми про простих модулях для обчислення зворотного показника який розкриває всі шифритексти як . (Насправді ці теореми - це те, як працює установка для RSA: ми знаємо два прайми на етапі налаштування.) $d$ $m \equiv v^d$

Однак, НЕ відомо , що рішення цієї проблеми вище для довільних повідомлень розповість вам що - небудь про фактори модуля або показниках , що беруть участь. Це може чи не може; ми не знаємо. Імовірно, багато розумних людей розглядали цю проблему, але нічого очевидного не вискочило жодної з них. Тож невідомо, що проблема факторингу вирішується рішенням проблеми RSA (плюс поліноміальне зусилля), лише що проблема RSA вирішується рішенням задачі факторингу (плюс поліноміальне зусилля). $m$

Насправді в 1998 році Boneh і Venkatesan опублікували доказ того, що певний простий клас алгоритмів (плюс, рази, показники, відсутність речей XOR / NAND) не може бути використаний для перетворення рішення проблеми RSA в алгоритм факторингу. Аргумент мав просту винахідливість до цього: маніпулюючи цими арифметичними операціями математично, ми можемо з'ясувати, що "алгоритм скорочення" (для точності: це алгоритм, який використовує "оракул" RSA для напівпринтера, щоб перетворити на коефіцієнт, що напівпринтер) він сам по собі є алгоритмом факторингу, так що ми можемо модифікувати його до варіанту, який не викликає свого оракула. Отже, у нас є трихотомія: або (а) не існує такого алгоритму відновлення, або (б) алгоритм відновлення не має приємної арифметичної інтерпретації, або (c) факторинг є поліноміальним часом, як і алгоритм скорочення.

— CR Drost
джерело

"Невідомо, що знаходження цього оберненого показника d до будь-якого даного e скаже вам що-небудь про фактори модуля" Чи не так? Ви можете обчислити і задані , і

p

$p$

q

$q$

n

$n$

e

$e$

d

$d$ . Виражений алгоритм, очевидно, є ПП, невідомо, що він знаходиться в Р?

— Жил "ТАК - перестань бути злим"

@Gilles насправді я вважаю, що ти маєш рацію, тому я відповідно виправив свою відповідь.

— CR Drost

3

RSA залежить від двох абстрактних математичних завдань, які вважаються важкими: цілочисельний факторинг, як відомо, а також дискретна задача логарифму . Ви можете розбити RSA, якщо швидко зможете підрахувати число, яке є продуктом двох великих невідомих простих чисел; але ви також можете порушити RSA, якщо ви зможете швидко знайти у кінцевій групі , де і є загальнодоступним експонентом і модулем RSA, а - шифротекстом. $\log_e C$ $\mathbb{Z}_{m}$ $e$ $m$ $C$

Ці два математичні завдання пов'язані між собою, але (якщо я правильно пам’ятаю) вважається, що рішення одного не означатиме рішення іншого. Я не знаю, чи є вони єдиними двома способами розбити RSA математично.

— zwol
джерело

Я думаю, що ти можеш помилятися на речі. Це насправді не дві різні проблеми: якщо ви зможете знайти дискретний модуль журналу , ви можете визначити . Іншими словами, розв’язання задачі дискретного журналу, безумовно, передбачає рішення проблеми факторингу.

m

$m$

m

$m$

— DW