RSA 具有单向陷门置换的性质

这篇文章我们介绍RSA的单向性, 置换型等等.

我们给出formal的RSA假设:

RSA假设. 给定一个三元组 $(N, e, y)$ , 其中 $N$ 是大素数 $p, q$ 的乘积, $g c d (e, Φ (N)) = 1$ , $y \in Z_{n}^{*}$ , 那么对于任意的PPT敌手 $A$ , 能够找到 $x$ 使得 $x^{e} = y \mod N$ 的概率小于可忽略函数 $ϵ (n)$ .

\begin{array}{r} Pr [\begin{array}{l} p, q \overset{r}{\leftarrow} Π_{n}; N \leftarrow p q; e \overset{r}{\leftarrow} Z_{Φ (N)}^{*} \\ y \leftarrow Z_{N}^{*}; x \leftarrow A (N, e, y) \end{array} : x^{e} = y \mod N] < ϵ (n) \end{array}

RSA Collection. 令 $R S A = {f_{i} : D_{i} \to R_{i}}_{i \in I}$ . 其中:

\begin{aligned} I & = {(N, e) ∣ N = p \cdot q s . t . p, q \in Π_{n} and e \in Z_{Φ (N)}^{*}} \\ D_{i} & = {x ∣ x \in Z_{N}^{*}} \\ R_{i} & = Z_{N}^{*} \\ f_{N, e} (x) & = x^{e} \mod N \end{aligned}

Thm1: Under RSA assumption, RSA Collection is a collection of OWF.

证明: 我们主要聚焦于Hard to invert的证明. 需要注意的是, 我们的假设并不能直接推导出这个结果.

RSA假设: 对于一个 random $y$ , 找到其 $e$ 次方根的概率是极小的.
RSA Collection: 先随机选了一个 $e$ , 计算出了 $y = x^{e}$ .

从直觉上来说, Collection是不是更容易计算一些. 我们需要证明的是, 函数 $f_{N, e} (x) = x^{e} \mod N$ 是一个 $Z_{N}^{*}$ 上的双射. 双射的话我们能推导出: 下面两个分布是相同的.

{x, e \leftarrow Z_{N}^{*} : (e, x^{e} \mod N)} {y, e \leftarrow Z_{N}^{*} : (e, y \mod N)}

Thm2: The function $f_{N, e} (x) = x^{e} \mod N$ is a permutation of $Z_{N}^{*}$ when $e \in Z_{Φ (N)}^{*}$ .

这个定理其实是好证明的, 只需要证明单射+满射. 已知 $e \in Z_{Φ (N)}^{*}$ , 所以 $e$ 有唯一的一个逆元 $d$ , 所以单射和满射不难证明.

通过Thm2, 我们证明出Thm1.

Thm3: RSA assumption implies Factoring assumption.

这个定理是好证明的, 但是反过来的话仍然是一个开放性问题.

Thm4: RSA可以是一个Trapdoor Permutation.

虽然我们还没有formal地定义Trapdoor Permutation. 但是大意就是存在一个陷门, 拥有陷门的信息就可以easy to invert. 在这个问题你中, 陷门可以是这三种: $d, Φ (N), (p, q)$ .

Remarks:
我们能够看出来, 如果隐藏陷门的话, 那么RSA中的 $Z_{N}^{*}$ 其实是一个阶未知的群, 即 $Φ (N)$ 未知. 如果我们知道 $Φ (N)$ , 就能够通过两个方程算出 $p, q$ , 从而解密.

参考: Rafael Pass's lecNotes.

posted @ 2024-05-14 18:41 神龙小虾阅读(130) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

【推荐】还在用 ECharts 开发大屏？试试这款永久免费的开源 BI 工具！
【推荐】国内首个AI IDE，深度理解中文开发场景，立即下载体验Trae
【推荐】编程新体验，更懂你的AI，立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包，你的智能百科全书，全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell：AI 加持，快人一步

相关博文：

· 如何写好Simulation证明(三): 半诚实敌手模型下的OT

· 简洁证明是如何泄露信息的: 选择实例攻击(Chosen-Instance Attack)

· RSA加密算法数学推导

· RSA公钥系统(一)

· RSA算法基础

阅读排行：
· 地球OL攻略 —— 某应届生求职总结
· 周边上新：园子的第一款马克杯温暖上架
· Open-Sora 2.0 重磅开源！
· 提示词工程——AI应用必不可少的技术
· .NET周刊【3月第1期 2025-03-02】

公告

昵称：神龙小虾
园龄： 10个月
粉丝： 2
关注： 0

<

2025年3月

>

日

一

二

三

四

五

六

23

24

25

26

27

28

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

1

2

3

4

5

随笔分类

随笔档案

阅读排行榜

评论排行榜

1. IKNP协议详解(OT extension)(2)

最新评论

1. Re:IKNP协议详解(OT extension)
@TTTTORYYY 是原创, 但只有第一个图是自己画的哈哈. 有小人的图是第二篇参考文献里的图片....
--神龙小虾
2. Re:IKNP协议详解(OT extension)
博主是原创吗，插图画的好好
--TTTTORYYY