對於成員大小要低得多的子空間的投影有多安全X↦X一個x↦xaxmapsto x^a反對ñ=磷問N=PQN = PQ,磷=2p+1P=2p+1P=2p+1,問=2qr+1Q=2qr+1Q=2qr+1, 目標空間r=2一個bC+1r=2abc+…
可以產生一個循環序列
s一世+1=s一個一世反對ñ$$ s_{i+1} = s_i^a \mod N $$ 和ñ=磷⋅問 $ N = P \cdot Q $ 和磷=2⋅p+1 $ P = 2\cdot p+1 $ 和問=2⋅q⋅r+1 $ Q = 2\cdot q\cdot r+1 $ 和r=2⋅在⋅在⋅在+1 $ r = 2\cdot u \cdot v \cdot w +1 $ 和磷,問,p,q,r,在,在,在 $ P,Q,p,q,r,u,v,w $ 不同的素數
我們現在可以投影一個隨機數XR $ x_R $ 進入一個大小的子空間2(r−1)+4 $ 2(r-1)+4 $ 和 sR=XbR反對ñ$$ s_R = x_R^{\beta} \mod N $$ b=2⋅p⋅q⋅n反對φ(ñ)$$ \beta = 2\cdot p \cdot q \cdot n \mod \phi(N) $$ 有一個因素n $ n $ 選擇。
如果我們現在使用原根一個 $ \alpha $ 從r $ r $ 我們可以產生一個循環序列: sR一世+1=s一個R一世反對ñ$$ s_{R_{i+1}} = s_{R_i}^\alpha \mod N $$ 在大多數情況下,它會有一個長度r−1 $ r-1 $ . 如果sr=0 $ s_r =0 $ 或者sr=1 $ s_r =1 $ 或為n≡r反對φ(ñ) $ n \equiv r \mod \phi(N) $ 我們只得到一個週期長度1 $ 1 $ . 這些可以被測試和忽略(總共4 $ 4 $ 不同的此類值)。
所以幾乎在所有情況下,我們都會投影隨機值XR $ x_R $ 到具有長度的兩個序列之一的成員r−1 $ r-1 $ .
大多數時候是序列的成員小號1 $ S_1 $ 除非XR $ X_R $ 是的倍數磷反對ñ $ P \mod N $ 比它將成為序列的一部分小號2 $ S_2 $ (上述特殊情況除外)。
正如我們定義的r=2⋅在⋅在⋅在+1 $ r=2\cdot u \cdot v \cdot w +1 $ 帶素數在,在,在 $ u,v,w $ 我們可以用r $ r $ 的原根一個 $ \alpha $ 產生3個方向 一個1=一個2在在反對φ(ñ)$$ \alpha_1 = \alpha^{2vw} \mod \phi(N) $$ 一個2=一個2在在反對φ(ñ)$$ \alpha_2 = \alpha^{2uw} \mod \phi(N) $$ 一個3=一個在在反對φ(ñ)$$ \alpha_3 = \alpha^{uv} \mod \phi(N) $$ 有了這個一個1 $ \alpha_1 $ ,一個2 $ \alpha_2 $ ,一個3 $ \alpha_3 $ 跨度在×在×2在 $ u \times v \times 2w $ 空間。
三功能F1,F2,F3 $ f_1,f_2,f_3 $ 和Fd:s↦s一個d反對ñ $ f_d: s\mapsto s^{\alpha_d} \mod N $ 可以遍歷序列的每個點 (F0:s↦s一個反對ñ $ f_0 : s\mapsto s^\alpha \mod N $ ).
問題:
給定隨機值X一個 $ x_A $ 和X乙 $ x_B $ 有了這個他們的預計(Xb $ x^\beta $ ) 值s一個 $ s_A $ ,s乙 $ s_B $ 找到有多難ķ $ k $ 在s乙≡s一個ķ一個反對ñ $ s_B \equiv s_A^{\alpha^k} \mod N $ 或者ķ1,ķ2,ķ3 $ k_1,k_2,k_3 $ 在s乙≡s一個ķ11⋅一個ķ22⋅一個ķ33一個反對ñ $ s_B \equiv s_A^{\alpha_1^{k_1}\cdot \alpha_2^{k_2} \cdot \alpha_3^{k_3} } \mod N $ (假設它們是同一序列的一部分)
或者換句話說,有沒有比應用更快的方法F0 $ f_0 $ 或者F1,F2,F3 $ f_1,f_2,f_3 $ 多次直到匹配?
(對手也知道Fd $ f_d $ 與他們的相關¯一個d $ \bar{\alpha_d} $ )
目標是加密 3D 點之間的關係而不將其簡化為 1D 問題(就像它是G一世反對磷r一世米和 $ g^i \mod P_{rime} $ )
附帶問題:
這樣一個有多大r $ r $ 需要安全嗎?
會不會知道b $ \beta $ ,一個 $ \alpha $ 幫助對手分解ñ $ N $ (假設我們選擇了一個很大的因素n $ n $ )?
如果有更快的方法將是一個因素r=2在+1 $ r=2u+1 $ 用3個原根更好?
解決試驗:
為了安全ñ $ N $ 需要足夠大以避免因式分解。通過這種方法,我們可以衡量ñ $ N $ 在保持目標序列大小的同時盡可能大r−1 $ r-1 $ .
沒有因式分解,對手無法計算φ(ñ) $ \phi(N) $ 有了這個,他就無法邁出大步。
找到匹配的s一個 $ s_A $ ,s乙 $ s_B $ 他可以計算產生的曲面的所有成員F1,F2 $ f_1,f_2 $ (應用於s一個 $ s_A $ ) 和一行F3 $ f_3 $ (應用於s乙 $ s_B $ )。
如果我們定義計算Fd $ f_d $ 作為一個計算步驟(成本不變)○(在⋅在+在) $ O(u\cdot v +w) $ 尋找匹配的步驟。
在數字上,例如 150 位r $ r $ 與4096 $ 4096 $ 少量ñ $ N $ 充足的?除非有更快的方法≈2100 $ \approx 2^{100} $ 計算所需的步驟s一個 $ s_A $ 在……之外s乙 $ s_B $ .
還是可以更快地完成?
範例數字(用於測試):
ñ=4151547901 $ N = 4151547901 $ ,磷=54959 $ P = 54959 $ ,問=75539=2⋅179⋅211+1 $ Q=75539 = 2\cdot179 \cdot 211 +1 $
r=211=2⋅3⋅5⋅7+1 $ r = 211 = 2 \cdot 3 \cdot 5 \cdot 7 +1 $
b=2qp=9837482 $ \beta = 2qp = 9837482 $
一個=17,一個1=882104001,一個2=2662481205,一個3=3818265481 $ \alpha = 17, \alpha_1 = 882104001, \alpha_2 = 2662481205, \alpha_3 = 3818265481 $
(一些相關問題以及更多資訊)
為了安全ñ $ N $ 需要足夠大以避免因式分解。
那你就沒有安全感了;我們有s一世≡1(反對磷) $ s_i \equiv 1 \pmod P $ 為了一世>0 $ i > 0 $ , 因此gcd(s一世−1,ñ)=磷 $ \gcd( s_i - 1, N ) = P $ (除非s一世=1 $ s_i = 1 $ )