哪些對安全性的影響(分解)在主要因素中具有共同的主要因素?ñ=P⋅Qñ=磷⋅問N=Pcdot Q和磷=2⋅F⋅p+1磷=2⋅F⋅p+1P=2cdot Fcdot p+1,Q=2⋅F⋅q+1問=2⋅F⋅q+1Q=2cdot Fcdot q+1
哪個對安全性的影響(分解)在主要因素中具有共同的主要因素 $ P $ , $ Q $ 一個數 $ N $ $$ N=P\cdot Q $$ $$ P=2\cdot F\cdot p+1 $$ $$ Q=2\cdot F\cdot q+1 $$ 和 $ F,q,p $ 不同的素數和 $ F $ 的最大素數 $ P $ 和 $ Q $ 和 $$ F\gg p,q $$
想要分解的潛在對手 $ N $ 知道內部結構但不知道 $ F,p,q,P,Q $
例如 $ N $ 是一個 $ 1024 $ -位數 $ P,Q \approx $ $ 512 $ - 咬每個。
$ F \approx 461 $ -位和 $ p,q \approx 50 $ - 咬每個。
更大的安全性會顯著改變嗎 $ N,F $ 但大小不變 $ p,q $ ?
或者更大/更小的安全性將如何變化 $ p,q $ 但大小不變 $ N $ ?
–
編輯更新:事實證明,一個共同的因素是沒有必要的。我做了一些更詳細的問題。
如果你重用 F,根據描述的方法創建的 1024 位產品存在很大的弱點。
如果 N1 和 N2 都使用相同的 F 創建,則可以立即計算 F:
G = gcd(N1-1,N2-1) = 2Fk.因子 G 得到 F,因為它的長度為 461 位,所以很容易發現。
此外,如果分解 N-1 的難度比分解 N 容易得多,則安全性可能會大大削弱。
N-1 是一個複合,它比兩個 512 位素數的 1024 位乘積要容易得多。
基於問題中F、p和q的定義和限制:N = (2Fp+1)(2Fq+1)
展開 N = 4*F^2pq+2Fp+2Fq+1
重新排列 N = 2F(2Fpq+p+q)+1
N-1 = 2F(2Fpq+p+q)
在分解 N-1 之後,你有 F,大約。461 位素數。
設 u 為 (N-1)/2F = (2Fpq+p+q)
u = (2Fpq+p+q)
然後計算 s = mod(u,2F) = p+q,
q = s-p用 sp 代替 q,用 s 代替 p+q
u = (2Fp(s-p)+s)u = 2Fps-2Fp^2+s這導致 p 中的二次方
-2Fp^2+2Fsp+s-u = 0p = (Fs - sqrt(F(Fs^2 + 2s - 2u)))/(2F)
q = sp
現在可以計算兩個大約 512 位的素數。
N = (2Fp+1)(2Fq+1)
請注意,分解 N-1 可能仍需要大量時間,需要 GNFS 或 CADO-NFS,但仍比兩個 512 位素數的 1024 位乘積容易得多。