C++博客-
一年十二月谁主春秋
关注：基础系统工程密码学人工智能
-随笔分类-Cryptography

再谈RSA的安全设计

春秋十二月 — Tue, 17 Mar 2026 15:03:00 GMT

从数学上考虑，主要是如下几点

1. 模数N的两个素因子p、q之间的距离（差的绝对值）要够大。这是为了防费马因子分解法，详见《浅淡密码学几点安全性分析》第一点

2. p-1 和q-1 要有大的素因子，即它们的素因子分解中最小的素数都得够大。这是为了防Pollard p-1 因子分解法、重复加密攻击

3. 解密指数d要比较大。这是为了防连分数方法攻击求解d。详见《简单连分数攻击RSA的迭代次数分析》

4. N的选取应考虑它难以找到二次剩余即x²≡y² mod N。这是为了防Dixon分解法、二次筛法

从工程上考虑，有以下几点

5. RSA系统生成N不要重复。这是为了防共模攻击恢复明文

6. 不同的N用不同的加密指数e，或不要加密相同的消息，或被加密的多个消息避免有仿射线性关系

7. 避免暴露N的欧拉函数值。不然解一元二次方程可得到p、q

8. 随机填充。给明文按一定规则填充随机串后加密，一定程度上可抗击选择明文与选择密文攻击

进一步提升安全性的考虑

密钥生成KeyGen(κ):

(N, e, d) ← GenRSA(κ);

pk = (N, e), sk = (N, d)

加密过程E_pk (M)、解密过程D_sk (C₁, C₂)：

与抗攻击的安全性有关

H：抗碰撞哈希函数

为抗选择明文攻击，利用H来改造

E_pk(M)：

r ←_R Z_N^*

输出（r^e mod N，H(r)⊕M）

D_sk (C₁, C₂)：

r = C₁^d mod N

输出H(r)⊕C2

为抗选择密文攻击（攻击利用RSA的乘法同态性），利用H与IND-CCA安全的私钥加密方案来改造：

E_pk (M)：

r ←_R Z_N^*

h = H(r)

输出（r^e mod N，Enc_h (M)）

D_sk (C₁, C₂)：

r = C₁^d mod N

h = H(r)

输出Dec_h(C₂)

以上改造后的两种RSA方案，是可证明安全的。但第一种不支持IND-CCA

春秋十二月 2026-03-17 23:03 发表评论

关于格的行列式之解释

春秋十二月 — Wed, 04 Mar 2026 08:41:00 GMT

先摘自文献[1]中Lattice-based Cryptography章节引用的结论

再对上文三个结论稍作证明如下

参考文献

[1] Post-Quantum Cryptography

[2] 算法数论裴定一祝跃飞

[3] 高等代数丘维声

春秋十二月 2026-03-04 16:41 发表评论

NTRU格密码一处恒等式的证明

春秋十二月 — Tue, 27 Jan 2026 10:00:00 GMT

先摘取文献[1]的NTRU密码算法描述

矩阵T及T^*的定义如下

再给出证明过程

参考文献
[1] Post-Quantum Cryptography

春秋十二月 2026-01-27 18:00 发表评论

关于线性码的主要结论及应用

春秋十二月 — Sun, 25 Jan 2026 12:30:00 GMT

符号定义

主要结论

在密码学中的应用

上述McEliece公钥算法成立的关键之一是G^pub=SGP。由前面的定理1可得出G^pub与G等价，
但隐藏了码结构，另由于矩阵分解G^pub得到S和P是困难的，因为P随机且LU分解变形不唯一，
当n和t较大时，Goppa码的生成矩阵是天文数字。从而增加了密码分析的难度

上述红色下划线处的结论，其根据是推论1

这里的线性码下界定义本质跟定理7一样，从校验矩阵H的所有列向量中，选取0个向量（即向量0）生成的线性组合数 +
选取1个线性无关向量生成的线性组合数 + 选取2个无关向量生成的线性组合数 + … +
选取d₀-1个无关向量生成的线性组合数，不超过r个无关向量生成的线性组合总数。下面解释了红色下划线处的结论

参考文献

[1] 高等代数丘维声

[2] Finite fields Rudolf Lidl Harald Niederreiter

[3] Post-Quantum Cryptography

春秋十二月 2026-01-25 20:30 发表评论

关于LLL算法的补充证明

春秋十二月 — Sun, 28 Sep 2025 09:43:00 GMT

先摘录文献[1]中的LLL算法描述流程，及LLL约化基的定义

LLL约化基的定义如下（文献[1]定义13.12）

再证明上图红色方框三行伪代码的正确性（其它部分文献[1]已讲得比较具体）

参考文献

[1] 算法数论裴定一祝跃飞

[2] 高等代数丘维声

春秋十二月 2025-09-28 17:43 发表评论

关于分圆域的一般结论

春秋十二月 — Mon, 28 Jul 2025 04:01:00 GMT

参考文献

[1]代数与数论李超周悦

[2]抽象代数II 徐明曜赵春来

春秋十二月 2025-07-28 12:01 发表评论

一个欧拉数整除问题的两种证法

春秋十二月 — Fri, 20 Jun 2025 10:41:00 GMT

参考文献

[1] 代数学基础与有限域林东岱

[2] 抽象代数赵春来徐明曜

春秋十二月 2025-06-20 18:41 发表评论

有限域上的特征与指数和之扩展

春秋十二月 — Thu, 05 Jun 2025 01:30:00 GMT

符号含义

关于特征的结论

关于指数和的结论

参考文献

[1] 代数学基础与有限域林东岱

[2] 代数与数论李超周悦

[3] 关于群的一些结论及应用本人

春秋十二月 2025-06-05 09:30 发表评论

二元二次型的相似变换、正定性与正交分解

春秋十二月 — Fri, 25 Apr 2025 11:05:00 GMT

本文主要阐述用两种方法判断给定两个二元二次型是否相似，相似情况下的具体变换。
相似变换如果确定了，也利于判断正定性，因为相似二次型的正定性相同。最后讲到了正交分解，
给出怎么求相似的整数对角矩阵

基本定义

下述定义来自文献[1] 12.1节，有所扩展

变换求解

先来看运用解方程的方法

再来看用矩阵的观点方法，求解变换。这种方法更适合求解到对角型的变换

正交分解

参考文献

[1] 华罗庚文集数论卷2

[2] 高等代数丘维声

春秋十二月 2025-04-25 19:05 发表评论

关于群的一些结论及应用

春秋十二月 — Tue, 22 Apr 2025 13:18:00 GMT

【命题1】所有群同态的原像个数相同，即为核的大小

下面看下这个结论在文献[1]中3.2节的应用

【命题2】所有元素阶小于等于2 的群为交换群，且其阶为2的整数幂

该结论在https://zhuanlan.zhihu.com/p/644888274中的推论2.2证明中用到

【命题3】群中任一元的相对于正规子群的指数次幂属于正规子群，2阶正规子群必

属于群的中心

【定理1】模奇合数的既约乘法群，其中雅可比符号为1的元素构成它的子群，其阶为

既约乘法群群阶的一半

【定理2】设G是群，H、K是有限子群，则HK的大小等于H的阶与K的阶乘积除以H与K交群的阶

参考文献

[1] 椭圆曲线及其在密码学中的应用—导引 Andreas Enge

[2] 抽象代数I 赵春来徐明曜
[3] 华罗庚文集数论卷2

[4] 组合数学冯荣权宋春伟

春秋十二月 2025-04-22 21:18 发表评论

不定方程的代数数论解法

春秋十二月 — Mon, 23 Dec 2024 03:33:00 GMT

符号含义与适用前提

二次域的基本结论

x²-dy²=±1

x² + d = y³

x² + y² = n

参考文献
[1] 代数与数论李超周悦

春秋十二月 2024-12-23 11:33 发表评论

关于椭圆曲线的验证计算

春秋十二月 — Sun, 10 Nov 2024 13:45:00 GMT

符号含义

E 表示满足椭圆曲线Weierstrass方程上的点群

K 代数闭域，用来限制Weierstrass方程的系数与E中的点

E(K) 定义在K上的点群E

E/K 定义在K上的椭圆曲线E

End(E) E上的自同态环

域扩张分析

End(E)模与Z代数

极点首项系数

除子映射及同构

同种映射同态性的解释

Hasse定理之引理证明的补充

挠曲线及其个数

有限域上的椭圆曲线

  一种确定型群阶计算法


奇素域上的算法应用

GF域上的群阶计算

Schoof算法正确性根本

一种计算椭圆曲线群的阶的确定型多项式时间算法，确定型是因为算法内部没有随机选择/概率抛币操作，多项式时间是因为域k的乘法与求逆总次数是O((logq)^6)
（q为k的大小，乘法与求逆相对加减运算显著耗时）。具体原理及流程详见参考文献[1]中5.2节。这里给出笔者的一些思考

1. Hasse定理（Frobenius自同态方程式）在扭点群上的限制亦成立，这决定了t模l的一个同余方程成立，且在模l的最小非负剩余系下解是唯一的

2. 孙子定理保证了某取值范围内的一个t模L（L为各素因子l的乘积）的唯一解，即由t模L各个素因子l的同余方程构成的同余方程组的解是唯一的

3. L必须大于t取值上限的2倍。这是为了算法求得的解满足上述2（否则在更小的L内得到的解不唯一，因L与t上限或下限间的某数可以与t模L同余）

4. 素因子l的选择排除2与椭圆曲线特征p。这是因为算法构造所依赖的一个引理之前提条件：为奇素数保证l次除子多项式属于k[X]，即引理论断有意义；
不等于p保证检测一个多项式f是否零多项式的充要条件成立，即可以用l次除子多项式去整除f来判断。另l为素数保证了与其它除子多项式（及其幂次）互素
另外发现了算法的一处瑕疵，即第4步预计算除子多项式与Frobenius自同态的复合少了两个值，这导致第5步可能崩溃，当依赖的后续两个复合多项式没被计算时。
这个纠正可通过修改第4步扩大2个值，或第5步通过除子多项式的递推公式按需计算

扭点的阶计算正确性根本

在密码学中的应用

选取原则

1. 排除超奇异椭圆曲线。这是为避免MOV等约化攻击，约化攻击时间复杂度是亚指数

2. 有限域的选择要使E(F_q)的群阶足够大。这是为了缓解Shanks及Pollard ρ攻击

3. E(F_q)存在阶为大素数的子群。这是为了抵抗Pohlig-Hellman攻击

对于第1点，就排除了char(K)=2或3且j(E)=0对应的如下标准形式曲线

Y²+α₃Y=X³+α₄X+α₆（α₃≠0）与 Y²=X³+α₄X+α₆

一种典型方案
椭圆曲线及有限域的选择使得|E(F_q)|=cm，且char(F_q) ∤ q+1-cm。其中m是一个大素数（通常不低于256位二进制长度，提供中长期安全性），c小于m。
m阶子群的生成元可通过以下方法确定：随机选择E上的一个有理点P，如果Q=cP为零元（即无穷远点），则重复选择，直到其不等于零元。
一旦找到了生成元，那么子群就可以构造出来了。下面分析正确性

参考文献

[1] 椭圆曲线及其在密码学中的应用—导引 Andreas Enge

[2] 算法数论裴定一、祝跃飞

[3] The Arithmetic of Elliptic Curves Joseph H. Silverman

[4] 标识密码学程朝辉

[5] 代数学基础与有限域林东岱

[6] 抽象代数I 赵春来徐明曜

[7] 代数与数论李超周悦

春秋十二月 2024-11-10 21:45 发表评论

不可约多项式判别算法的改正

春秋十二月 — Sat, 07 Sep 2024 15:07:00 GMT

原本算法

摘抄参考文献1中附录的算法流程如下

例子测验

改正后的算法

改正之前，先理清原本算法判别不可约多项式所用的原理。其原理是若f(x)可约，当且仅当存在次数i<=d=[deg(f(x))/2]的不可约因子g(x)，而此时gcd(x^{q^i}-x, f(x))≠1。
根据参考文献2（详见如下定理），x^{q^i}-x是所有i次不可约多项式的乘积，因此它必定包含g(x)而与f(x)存在公因子。不可约判别算法的思想应该是遍历次数1到d的所有不可约多项式
（没必要检测大于d的不可约多项式，因为若f(x)可约则其分解因子中必定存在不大于d的不可约多项式），检测输入多项式与它们是否存在公因子。所以这个原理是正确的，只是实现不对，
略作改正如下（类c语言描述）

重新测验

参考文献

[1] 算法数论裴定一、祝跃飞

[2] 代数学基础与有限域林东岱

春秋十二月 2024-09-07 23:07 发表评论

论证有限域上平方根的求解

春秋十二月 — Fri, 30 Aug 2024 14:22:00 GMT

通用算法

先摘抄参考文献[1]中的算法流程如下

正确性分析
下面证明以上算法用到的事实结论，提炼为如下几个引理


算法构造思想
用到二次剩余知识，即一个待求平方元ɑ可以且只能表示为两个平方因子的乘积，其中一因子为任意随机选取的非平方因子β的偶数幂，
另一因子为叶子群H的一元素r，H作为陪集划分根群（有限域乘法群）得到β生成的集合即商群G/H的一个代表元系。这样一来，将开方转化为β与r的乘方运算，
迭代的过程就是为求那个具体的代表元β^e中的指数e（注意e必为偶数），从G_s-2到G₀=H，迭代结束后r被唯一确定，r的开方等于r的(t+1)/2次方（因为t是H的阶且为奇数，r^t+1=r）。
观察算法流程，可以发现如果分解q-1后得到s=1，那么就没必要选取非平方元β了（这时令β=1），直接跳到第6步得到结果。仅当s≠1才随机选取β。这样改进后可加快算法运行

例子测验

特殊算法
当q是素数且q≡3(mod 4)时，存在更快的算法及测验如下

参考文献

[1] 算法数论裴定一、祝跃飞

春秋十二月 2024-08-30 22:22 发表评论

求解离散对数问题的Terr算法

春秋十二月 — Thu, 15 Aug 2024 14:35:00 GMT

基本原理

再来看Terr算法用到的如下定理
定理（基于参考文献1改正后的描述）对每一正整数t，存在唯一确定的一组整数k和j，0<=k_j+1-k，其中T₀=0，T_n=T_n-1+n-1，n>=1

如果t=0，那么j在区间[0,1)，故只能取0，此时k=0与条件k j=1, k=0 或 j=2, k=2。
所以参考文献1中原来定理的描述“对每一非负整数t”是错误的。下面列举一些实例验证j与k的唯一解

t=1 => j=1, k=0

t=2 => j=2, k=1

t=3 => j=2, k=0

t=4 => j=3, k=2

t=5 => j=3, k=1

t=6 => j=3, k=0

算法伪代码

例子测验

参考文献

[1] 代数学基础与有限域林东岱

春秋十二月 2024-08-15 22:35 发表评论

简单私钥加密构造的验证及安全性分析

春秋十二月 — Sat, 29 Jun 2024 09:00:00 GMT

私钥分组加密

上图的证明中，r^(j)两两不同的概率计算是关键，下面给出详细过程

另外两个分布统计的不同意味着计算可分辨（反之则计算不可分辨），亦即r^(j)至少两个相同的概率。

Construction 5.3.9一次只能加密与密钥等长的明文，如果要加密更长的明文，怎么办？一个简单直接
的方法是将明文分成多个大小为n的块，对每个块调用上述加密步骤，那么就得到形如下的密文块序列

密文块序列从Proposition 5.3.10的证明中可知是计算不可分辨的，满足「多组消息安全性」。但对于解密
需要存储每一块的随机数，因此比较占空间，所以衍生出下面更高效的方案Construction 5.3.12

私密通用加密

语义安全性分析

抗主动攻击安全性

以上两种构造因满足「多组消息安全性」，故满足CPA与CCA1，具体的证明可参考Oded Goldreich《密码学基础》的Proposition 5.4.12、Proposition 5.4.18。
但不满足CCA2，因为攻击者拿到挑战密文后，可以修改它再发出解密质疑，得到回答的明文从而异或求解f_k(r_i)，最后与挑战密文异或求解挑战明文
对于通用加密构造的CCA2攻击细节如下

春秋十二月 2024-06-29 17:00 发表评论

二元有限域及其扩域上的计算

春秋十二月 — Thu, 16 May 2024 05:41:00 GMT

定义


Berlekamp分解算法


AES有限域

不可约性证明

非本原性验证


  找出本原元


不可约多项式个数

线性移位寄存器m序列
根据参考文献1知线生移位寄存器产生m序列的充要条件是特征多项式f(x)为本原多项式。而确立有限域上的本原多项式，主要有两种方法：
一种方法是根据F_q上所有次数为n的本原多项式的乘积正好等于割圆多项式Q_e，其中e=qⁿ-1，从而所有次数为n的本原多项式可以通过分解Q_e得到。
另一种方法是通过构造本原元再求本原元的极小多项式，先素因子分解qⁿ-1=p₁p₂...p_k，如果对每一p_i都有ord(α_i)=p_i，那么α=α₁α₂...α_k的阶就是qⁿ-1，
因此是F_q上的本原元，则f(x)=(x-α)(x-α²)...(x-α^r)，r=qⁿ-1（因为α是本原元，所以n是使α^{q^n}=α成立的最小正整数）。

求解本原多项式
假设线性移位寄存器的级数为4，这里使用上述二种方法求F₁₆上的本原多项式，过程如下
分解割圆多项式法

构造极小多项式法

本原多项式个数

m序列示例

参考文献
[1] 代数学基础与有限域林东岱

春秋十二月 2024-05-16 13:41 发表评论

简单连分数攻击RSA的迭代次数分析

春秋十二月 — Thu, 04 Apr 2024 10:19:00 GMT

【适用前提】大整数N=pq的素因子p1/4

【攻击方法】
1）用欧几里得算法计算e/N的各个渐近分数k_i/d_i，i>=1，直至d_i>=(1/3)N^1/4，记录此时的i为m。令i=1
2）计算T=(e*d_i-1)/k_i，若T不为整数则转到4），否则转到3）
3）解方程f(x)=x²-(N-T+1)x+N=0的根，如果有正整数根且两个根皆小于N，则输出p、q，并返回成功。否则转到4）
4）递增i，若i 该方法即Wiener算法用到了关于连分数的一个定理：若α为任一实数，有理数p/q适合|α-(p/q)|<1/(2q²)，则p/q必为α的某一渐近分数。证明详见参考文献[2]。
由定理可知攻击方法是可行的，必能找到使f(x)=0有合理解的某渐近分数。下面证明：攻击迭代次数的上界为

【证明】

【例子】N = 9449868410449，e = 6792605526025，d<(1/3)N^1/4≈584，试分解N

参考文献
[1] 公钥密码学的数学基础王小云、王明强、孟宪萌
[2] 算法数论裴定一、祝跃飞

春秋十二月 2024-04-04 18:19 发表评论

有限循环群的结构及生成元的判定

春秋十二月 — Wed, 20 Mar 2024 14:49:00 GMT

群结构
定理1：若G为一个循环群，则G内每个满足ord(α)=s的元素α都是拥有s个元素的循环子群的生成元
证明：


定理2：若G为一个阶为n的有限循环群，g为对应的生成元，则对整除n的每个整数k，G都存在一个唯一的阶为k的循环子群H。
这个子群是由g^n/k生成的。H是由G内满足条件α^k=1的元素组成的，且G不存在其它子群
证明：

推论：从上述两定理可知有限循环群、子群及生成元的关系如下

例子：依据上述推论得如下


生成元判定算法
输入：循环群G、某子群的阶k
1）若k=1，则直接输出e。否则转到2）
2）随机从G-{e}中选择一元素x
3）若x^k≠e，则转回2）。否则若k为素数，则跳到5）；若k为合数，则转到4）
4）遍历整除k的真因子d，若x^d=e，则转回2）
5）输出x

春秋十二月 2024-03-20 22:49 发表评论

混合线性同余发生器的引理验证

春秋十二月 — Tue, 12 Mar 2024 09:30:00 GMT

混合线性同余发生器（MLCG）
X_n ≡ αX_n-1 + c mod m 00, α, c0为种子，n=1、2、3...

定理如果下列3个条件都满足，则 MLCG达到满周期(即周期d=m)
(1) (c, m)=1，即 c、m互素
(2) 对 m的任一素因子p，有α≡1 mod p
(3) 如果4|m，则 α≡1 mod 4
该定理的证明在参考文献[2]中证明并用到如下两个引理：
引理5 设p为素数，α∈Z⁺且p^α>2，如果 x=1(mod p^α)，x≠1(mod p^α⁺¹)；则x^p=1(mod p^α⁺¹)， x^p≠1(mod p^α⁺²)
该引理给出了求一个整数的阶的判别方法，是理解MLCG周期等于m的充要条件之关键。
本文阐述为什么p是使x^p=1(mod p^α+1)成立的最小正整数，以及一般情形m=p^w(w≥1)是使x^m=1(mod p^α+w)成立的最小正整数；为什么前提条件是p^α>2。

◆ 先论证不存在一个整数1≤bb=1(mod p^α+1)成立

◆ 再证不存在一个整数1≤bb=1 (mod p^α+w)成立

◆ 为什么前提条件是p^α>2
如果p^α=2，x=1(mod 2)且x≠1(mod 2²)。令x=1+2q，2 ∤ q。有x²=(1+2q)²=1+4q+4q²，注意到q是奇数，则x²=1(mod2²)，x²=1(mod2³)。故得不到引理的结论

引理6（改写的等价形式）如果 α=1(mod 4)，则(α^m - 1)/(α - 1)=0(mod m) ，m=2^w，w>1

其实这里当α=1(mod 2)且α≠1(mod 4)，结论也是成立的。比如取α=3，m=16，则 (3¹⁶ -1)=81⁴ -1=(-15)⁴ -1=-15×-7×-7 -1=-15×-15 -1=9×-7 -1=0(mod 32)，
即(3¹⁶ -1)/(3-1)=0(mod 16)。但只有当α=1(mod 4)时，m才是使结论成立的最小正整数。论证如下

参考文献
[1] 现代密码学第4版杨波
[2] 混合线性同余发生器的周期分析张广强、张小彩

春秋十二月 2024-03-12 17:30 发表评论

Blum数的基本定理及应用

春秋十二月 — Sun, 25 Feb 2024 15:29:00 GMT

【定义】设整数N=P×Q，P与Q皆为素数，如果P≡Q≡3 (mod4)，则N为一个Blum（布卢姆）数

【定理】设N为Blum数，N ∤ d，若同余方程x²≡d (mod N)有解，则d的平方根中有一半的Jacobi符号为1，另一半Jacobi符号为-1；且仅有一个平方根为模N的二次剩余
证明：


【推论】设N为Blum数，N=P×Q，令

证明：


【例子】由定义知N=21=3×7为Blum数，则相关乘法群、二次剩余子群、Jacobi集合如下

【应用一】Blum-Goldwasser公钥加密

解密正确性是因为步骤1用到了欧拉定理及求平方根的如下算法，步骤2用到了中国剩余定理

从上可得x=s^(P+1)/4 mod P或x=P-s^(P+1)/4 mod P，因(-1)^(P-1)/2等于-1 mod P，故前者为模P的二次剩余。从加密流程可知{s₁,s₂,...,s_n+1}正是模N二次剩余类的子集。
所以从密文中r=s_n+1求它的(p+1)/4次幂、(q+1)/4次幂，迭代n次就得到了s₁模p的解、s₁模q的解，又因p、q、n在迭代中不变，故用欧拉定理预计算d_p mod (p-1)、d_q mod (q-1)。
另一种（不太高效而直接的）解密如下

另加密与明文异或的那部分实际是伪随机比特发生器，因为平方模N构成二次剩余类上的单向陷门置换，其最低有效位是核心断言，故从s_i+1求出lsb(s_i)是不可行的。简单证明如下

由于均匀选择一个种子s₀，所以为概率加密，进而由可证明安全定理（每个概率公钥加密都是多项式安全的，及每个多项式安全的公钥加密都是语义安全的）知满足IND-CPA安全性
易知IND-CCA2安全性是不满足的，因为敌手可用如下攻击方法获取明文：已知目标密文C=(r, m⊕σ₁σ₂⋯σ_n)，构造新密文C’=(r, m’⊕m⊕σ₁σ₂⋯σ_n)，将C’发给解密预言机得到m’’，则m=m’’⊕m’。
由于加密产生的r与σ₁σ₂⋯σ_n都是伪随机的，所以密文(r, x⊕σ₁σ₂⋯σ_n)的分布是伪随机的，在目标密文前的解密询问会得到若干密文与明文对，无论怎么构造一对明文，任选其一加密得到的密文都不可区分。因此IND-CCA1安全性是满足的

【应用二】无爪函数/置换构造


如上构造用到Blum数的上述推论，及基于大整数因子分解的困难假设。这里主要解释下为什么由两个Jacobi符号不同的平方根可计算大整数的素因子


【应用三】伪随机数发生器
X_n+1=X_n² mod N n=0、1、2...，X₀为种子
显然种子不为1。若为一个非二次剩余，则从X₁开始就为二次剩余子群的元素，但最后必回到X₁而非X_0；若为二次剩余，则为了安全需要考究随机数数列的周期是否整周期（二次剩余子群的大小减1）。
下面具体分析周期。先举例几个很小的Blum数

从上面例子可以发现，由二次剩余子群构成的随机数数列不一定是整周期的，对于N=33无论种子怎么选，都是整周期4；对于N=57若种子选-8或7则周期为2，选其它则为6。
现在一般化考虑，什么情况下才产生整周期？论证如下

春秋十二月 2024-02-25 23:29 发表评论

关于（零知识）计算复杂性的总结

春秋十二月 — Fri, 09 Feb 2024 14:19:00 GMT

经典的复杂性关系
P是多项式时间确定型图灵机可识别的语言类，NP是多项式时间非确定型图灵机可识别的语言类，NPC表示NP完全问题类，coNP表示NP的补，coNPC表示NPC的补。确定型图灵机是一种从不选择移动的特殊的非确定型图灵机，故自然有P属于NP

coNP、coNPC的定义之集合表述

上面顶部的图有个假设前提是：coNPC不属于NP，即我们相信NP完全问题的补都不属于NP。但当P=NP或NP=coNP时，可以发现coNPC属于NP

◆ 为什么coNPC属于coNP？

◆ 为什么NPC 不属于coNP？

◆ 为什么P属于coNP?

◆ 当P=NP时，为什么NP=coNP？

◆ 当NP=coNP时，为什么NPC=coNPC？

前文的关系演变图没考虑多项式空间问题类PS与递归问题类（因为那两个条件不会影响到它们），PS（NPS）是带多项式空间限制的确定型（非确定型）图灵机可接受的语言类，但不限制运行时间可能需超多项式或指数时间，在外围加上PS与递归语言类后如下

◆ 为什么coNP 属于PS？

用于分析加密
无论对称还是公钥加密，统一设加密运算为E，解密为D。对于正常用户，E和D皆为DTM（确定性图灵机）；对于敌手，若攻击对称加密，则E和D为NTM（非确定性图灵机），攻击公钥则解密为NTM。由于E和D输入为密钥和明文或密文，因此DTM和NTM可采用多道/多带结构。DTM代表P类计算，NTM代表NP类计算，故对于公钥加密安全保障要求P!=NP，这是一个必要条件。另根据计算理论定理，必有L(NTM)=L(DTM)，但是它对应的DTM可能要多花费指数时间，这亦说明破解公钥的解密是困难的

零知识复杂性关系

依据Oded Goldreich的《密码学基础》，关系如下

一个积分攻击定理的证明

春秋十二月 — Sat, 16 Dec 2023 13:49:00 GMT

【定理】设多项式，其中q是某个素数的方幂，F_q为有限域，则

若是置换多项式，则

【证明】

春秋十二月 2023-12-16 21:49 发表评论

浅谈对称加密算法的软件实现

春秋十二月 — Thu, 09 Nov 2023 08:39:00 GMT

谈两个问题：高性能与安全性

先谈高性能：这里指代码实现层面（非数学优化层面），使用寄存器优化，即主密钥/轮密钥、敏感数据比如中间/临时变量必须存于寄存器，明文/密文放在内存（若有够用的寄存器则放寄存器），主密钥用特权寄存器（为支持长期存储，比如调试寄存器、MSR寄存器），轮密钥和敏感数据用通用寄存器。那么怎么做？稳妥快捷的方法是用汇编或内联汇编，手工编排寄存器即构建密钥与敏感数据到寄存器集合的映射，若用普通的汇编指令，则寄存器的映射比较自由；若用专用的加密指令，则映射相对受限。如果用高级语言比如c/c++开发，问题在于register关键字非强制生效，即使强制的，编译器优化（比如公共子表达式消除）产生的中间变量及寄存器分配策略不完全可控，需要修改编译器比如LLVM强制某些变量必须分配(特定的)寄存器，为通用性要从编程语言语法属性到目标机器代码生成都改动支持，这个方法实现成本有点大。下面是摘自LLVM X86RegisterInfo.td的部分寄存器

1 // 32-bit registers
  2 let SubRegIndices = [sub_16bit, sub_16bit_hi], CoveredBySubRegs = 1 in {
  3 def EAX : X86Reg<"eax", 0, [AX, HAX]>, DwarfRegNum<[-2, 0, 0]>;
  4 def EDX : X86Reg<"edx", 2, [DX, HDX]>, DwarfRegNum<[-2, 2, 2]>;
  5 def ECX : X86Reg<"ecx", 1, [CX, HCX]>, DwarfRegNum<[-2, 1, 1]>;
  6 def EBX : X86Reg<"ebx", 3, [BX, HBX]>, DwarfRegNum<[-2, 3, 3]>;
  7 def ESI : X86Reg<"esi", 6, [SI, HSI]>, DwarfRegNum<[-2, 6, 6]>;
  8 def EDI : X86Reg<"edi", 7, [DI, HDI]>, DwarfRegNum<[-2, 7, 7]>;
  9 def EBP : X86Reg<"ebp", 5, [BP, HBP]>, DwarfRegNum<[-2, 4, 5]>;
10 def ESP : X86Reg<"esp", 4, [SP, HSP]>, DwarfRegNum<[-2, 5, 4]>;
11 def EIP : X86Reg<"eip", 0, [IP, HIP]>, DwarfRegNum<[-2, 8, 8]>;
12 }
13
14 // X86-64 only, requires REX
15 let SubRegIndices = [sub_16bit, sub_16bit_hi], CoveredBySubRegs = 1 in {
16 def R8D  : X86Reg<"r8d",   8, [R8W,R8WH]>;
17 def R9D  : X86Reg<"r9d",   9, [R9W,R9WH]>;
18 def R10D : X86Reg<"r10d", 10, [R10W,R10WH]>;
19 def R11D : X86Reg<"r11d", 11, [R11W,R11WH]>;
20 def R12D : X86Reg<"r12d", 12, [R12W,R12WH]>;
21 def R13D : X86Reg<"r13d", 13, [R13W,R13WH]>;
22 def R14D : X86Reg<"r14d", 14, [R14W,R14WH]>;
23 def R15D : X86Reg<"r15d", 15, [R15W,R15WH]>;
24 }
25
26 // 64-bit registers, X86-64 only
27 let SubRegIndices = [sub_32bit] in {
28 def RAX : X86Reg<"rax", 0, [EAX]>, DwarfRegNum<[0, -2, -2]>;
29 def RDX : X86Reg<"rdx", 2, [EDX]>, DwarfRegNum<[1, -2, -2]>;
30 def RCX : X86Reg<"rcx", 1, [ECX]>, DwarfRegNum<[2, -2, -2]>;
31 def RBX : X86Reg<"rbx", 3, [EBX]>, DwarfRegNum<[3, -2, -2]>;
32 def RSI : X86Reg<"rsi", 6, [ESI]>, DwarfRegNum<[4, -2, -2]>;
33 def RDI : X86Reg<"rdi", 7, [EDI]>, DwarfRegNum<[5, -2, -2]>;
34 def RBP : X86Reg<"rbp", 5, [EBP]>, DwarfRegNum<[6, -2, -2]>;
35 def RSP : X86Reg<"rsp", 4, [ESP]>, DwarfRegNum<[7, -2, -2]>;
36
37 // These also require REX.
38 def R8  : X86Reg<"r8",   8, [R8D]>,  DwarfRegNum<[ 8, -2, -2]>;
39 def R9  : X86Reg<"r9",   9, [R9D]>,  DwarfRegNum<[ 9, -2, -2]>;
40 def R10 : X86Reg<"r10", 10, [R10D]>, DwarfRegNum<[10, -2, -2]>;
41 def R11 : X86Reg<"r11", 11, [R11D]>, DwarfRegNum<[11, -2, -2]>;
42 def R12 : X86Reg<"r12", 12, [R12D]>, DwarfRegNum<[12, -2, -2]>;
43 def R13 : X86Reg<"r13", 13, [R13D]>, DwarfRegNum<[13, -2, -2]>;
44 def R14 : X86Reg<"r14", 14, [R14D]>, DwarfRegNum<[14, -2, -2]>;
45 def R15 : X86Reg<"r15", 15, [R15D]>, DwarfRegNum<[15, -2, -2]>;
46 def RIP : X86Reg<"rip",  0, [EIP]>,  DwarfRegNum<[16, -2, -2]>;
47 }
48
49 // XMM Registers, used by the various SSE instruction set extensions.
50 def XMM0: X86Reg<"xmm0", 0>, DwarfRegNum<[17, 21, 21]>;
51 def XMM1: X86Reg<"xmm1", 1>, DwarfRegNum<[18, 22, 22]>;
52 def XMM2: X86Reg<"xmm2", 2>, DwarfRegNum<[19, 23, 23]>;
53 def XMM3: X86Reg<"xmm3", 3>, DwarfRegNum<[20, 24, 24]>;
54 def XMM4: X86Reg<"xmm4", 4>, DwarfRegNum<[21, 25, 25]>;
55 def XMM5: X86Reg<"xmm5", 5>, DwarfRegNum<[22, 26, 26]>;
56 def XMM6: X86Reg<"xmm6", 6>, DwarfRegNum<[23, 27, 27]>;
57 def XMM7: X86Reg<"xmm7", 7>, DwarfRegNum<[24, 28, 28]>;
58
59 // X86-64 only
60 def XMM8:  X86Reg<"xmm8",   8>, DwarfRegNum<[25, -2, -2]>;
61 def XMM9:  X86Reg<"xmm9",   9>, DwarfRegNum<[26, -2, -2]>;
62 def XMM10: X86Reg<"xmm10", 10>, DwarfRegNum<[27, -2, -2]>;
63 def XMM11: X86Reg<"xmm11", 11>, DwarfRegNum<[28, -2, -2]>;
64 def XMM12: X86Reg<"xmm12", 12>, DwarfRegNum<[29, -2, -2]>;
65 def XMM13: X86Reg<"xmm13", 13>, DwarfRegNum<[30, -2, -2]>;
66 def XMM14: X86Reg<"xmm14", 14>, DwarfRegNum<[31, -2, -2]>;
67 def XMM15: X86Reg<"xmm15", 15>, DwarfRegNum<[32, -2, -2]>;
68
69 def XMM16:  X86Reg<"xmm16", 16>, DwarfRegNum<[67, -2, -2]>;
70 def XMM17:  X86Reg<"xmm17", 17>, DwarfRegNum<[68, -2, -2]>;
71 def XMM18:  X86Reg<"xmm18", 18>, DwarfRegNum<[69, -2, -2]>;
72 def XMM19:  X86Reg<"xmm19", 19>, DwarfRegNum<[70, -2, -2]>;
73 def XMM20:  X86Reg<"xmm20", 20>, DwarfRegNum<[71, -2, -2]>;
74 def XMM21:  X86Reg<"xmm21", 21>, DwarfRegNum<[72, -2, -2]>;
75 def XMM22:  X86Reg<"xmm22", 22>, DwarfRegNum<[73, -2, -2]>;
76 def XMM23:  X86Reg<"xmm23", 23>, DwarfRegNum<[74, -2, -2]>;
77 def XMM24:  X86Reg<"xmm24", 24>, DwarfRegNum<[75, -2, -2]>;
78 def XMM25:  X86Reg<"xmm25", 25>, DwarfRegNum<[76, -2, -2]>;
79 def XMM26:  X86Reg<"xmm26", 26>, DwarfRegNum<[77, -2, -2]>;
80 def XMM27:  X86Reg<"xmm27", 27>, DwarfRegNum<[78, -2, -2]>;
81 def XMM28:  X86Reg<"xmm28", 28>, DwarfRegNum<[79, -2, -2]>;
82 def XMM29:  X86Reg<"xmm29", 29>, DwarfRegNum<[80, -2, -2]>;
83 def XMM30:  X86Reg<"xmm30", 30>, DwarfRegNum<[81, -2, -2]>;
84 def XMM31:  X86Reg<"xmm31", 31>, DwarfRegNum<[82, -2, -2]>;
85
86 // YMM0-15 registers, used by AVX instructions and
87 // YMM16-31 registers, used by AVX-512 instructions.
88 let SubRegIndices = [sub_xmm] in {
89   foreach  Index = 0-31 in {
90     def YMM#Index : X86Reg<"ymm"#Index, Index, [!cast("XMM"#Index)]>,
91                     DwarfRegAlias("XMM"#Index)>;
92   }
93 }
94
95 // ZMM Registers, used by AVX-512 instructions.
96 let SubRegIndices = [sub_ymm] in {
97   foreach  Index = 0-31 in {
98     def ZMM#Index : X86Reg<"zmm"#Index, Index, [!cast("YMM"#Index)]>,
99                     DwarfRegAlias("XMM"#Index)>;
100   }
101 }
102
103 // Debug registers
104 def DR0  : X86Reg<"dr0",   0>;
105 def DR1  : X86Reg<"dr1",   1>;
106 def DR2  : X86Reg<"dr2",   2>;
107 def DR3  : X86Reg<"dr3",   3>;
108 def DR4  : X86Reg<"dr4",   4>;
109 def DR5  : X86Reg<"dr5",   5>;
110 def DR6  : X86Reg<"dr6",   6>;
111 def DR7  : X86Reg<"dr7",   7>;
112 def DR8  : X86Reg<"dr8",   8>;
113 def DR9  : X86Reg<"dr9",   9>;
114 def DR10 : X86Reg<"dr10", 10>;
115 def DR11 : X86Reg<"dr11", 11>;
116 def DR12 : X86Reg<"dr12", 12>;
117 def DR13 : X86Reg<"dr13", 13>;
118 def DR14 : X86Reg<"dr14", 14>;
119 def DR15 : X86Reg<"dr15", 15>;
120
121 def GR32 : RegisterClass<"X86", [i32], 32,
122                          (add EAX, ECX, EDX, ESI, EDI, EBX, EBP, ESP,
123                               R8D, R9D, R10D, R11D, R14D, R15D, R12D, R13D)>;
124
125 // GR64 - 64-bit GPRs. This oddly includes RIP, which isn't accurate, since
126 // RIP isn't really a register and it can't be used anywhere except in an
127 // address, but it doesn't cause trouble.
128 // FIXME: it *does* cause trouble - CheckBaseRegAndIndexReg() has extra
129 // tests because of the inclusion of RIP in this register class.
130 def GR64 : RegisterClass<"X86", [i64], 64,
131                          (add RAX, RCX, RDX, RSI, RDI, R8, R9, R10, R11,
132                               RBX, R14, R15, R12, R13, RBP, RSP, RIP)>;

再谈安全性：为保障安全就复杂了，由于密钥及敏感数据存于寄存器，首先要防止寄存器交换/拷贝到内存（为避免读取内存的冷启动攻击、基于cache的侧信道攻击）的一切可能因素，比如进程调度、由信号或异步中断引起的处理器模式切换、系统休眠，如果在用户态实现加解密，就避免不了被调度或切换，因为单核上不可能只运行加解密进程，所以得实现在内核态。这样一来就要在加解密中禁止抢占与中断，考虑到系统响应，禁止的粒度不能过大最小为一个分组，分组加解密前禁止抢占与中断（比如调用linux内核接口preempt_disable、local_irq_save），解除禁止（比如调用linux内核接口preempt_enable、local_irq_restore）前必须清零寄存器。在系统休眠时，禁止寄存器复制到内存，休眠恢复时在所有用户态进程恢复前执行密钥初始化，同理系统启动时的密钥初始化也得在用户态进程运行前执行。其次要防止其它用户态进程/内核线程/中断服务程序读写寄存器尤其特权寄存器（为避免用户态或内核态rootkit），所以要修改内核，过滤相关系统调用比如linux的ptrace，过滤相关内核函数比如linux的native_set_debugreg/native_get_debugreg。对于不可屏蔽的中断靠禁止是无效的，只能修改中断处理程序避免寄存器中的密钥数据被扩散到内存，比如在中断处理函数入口处清零相关寄存器。综上基于已知代码修改的防御不能防御恶意加载/修改代码之类的攻击，比如动态安装的内核模块/驱动，但可有效防御冷启动攻击、只读DMA攻击、基于cache的侧信道攻击、用户态权限的软件攻击、内核态的仅运行已有代码的软件攻击

春秋十二月 2023-11-09 16:39 发表评论

基于X509证书的身份认证思考小结

春秋十二月 — Sat, 30 Sep 2023 00:00:00 GMT

有单向、双向、三向3种认证方式，前两者必须检查时间戳以防重放攻击，单向因为只有一个消息传递，如果仅靠一次性随机数是无法判断消息是否重放。双向有两个消息传递，一来一回，仅靠一次性随机数只能检测到发响应那方的重放。最后者则不必，可仅通过一次性随机数检测自己是否遭遇重放攻击，因为接收第二个消息的那方，通过判断第二个消息中随机数是否等于自己先前已发送第一个消息中的那个，若不等于则为重放，若等于则发第三个确认消息给对方，对方收到并判断确认消息中的随机数是否等于先前它已发送第二个消息中的随机数，若等于则说明第它收到的第一个消息的确是另一方发送的即非重放，否则为重放。因此三向认证可不必同步双方时钟。但正因为不强制检查时间戳而可能导致中间人攻击：假设通信双方为A、B，中间人为C，攻击步骤如下

1. C与B认证时，发送先前已截获的A到B请求消息给B

2. 截获并存储B到A的响应消息x，但不转发，开始与A认证

3. 收到A的请求消息后，解密x取出其中的随机数Rb作为响应给A消息中的随机数，用自己私钥签署整个消息后发给A

4. 收到并转发A的确认消息给B

以上完成后，C就能冒充A与B通信了。一种简单的改进方法是先用对方的公钥加密消息中的随机数，再用自己的私钥签署整个消息。关于网络协议的安全性分析，主流方法是形式化分析，可以借助相关工具来验证找出漏洞

春秋十二月 2023-09-30 08:00 发表评论

浅谈密码学几点安全性分析

春秋十二月 — Thu, 28 Sep 2023 00:04:00 GMT

1. 对于RSA，给定大整数n分解的一对素因子p和q，p或q是否素数决定不了安全性，但决定算法的正确性，也就是说p或q不能为合数，而安全性取决于n的位数及p、q的距离，n越大则难于素因子分解（因为素数测试是一个P问题，而因子分解是一个NP问题，其耗时是关于n的指数），|p - q|要大是为抵抗一种特殊因子分解攻击，论证如下：由(p+q)²/4 - n = (p+q)²/4 - pq = (p-q)²/4，若|p - q|小，则(p-q)²/4也小，因此(p+q)²/4稍大于n，(p+q)/2稍大于n^1/2即根号n。可得n的如下分解法：a) 先顺序检查大于n^1/2的每一整数x，直至找到一个x使得x² - n是某一整数y的平方；b) 再由x² - n = y² 得 n = (x+y)(x-y)。另外，p - 1和q - 1都应有大素因子（所有因子皆是大素数），以抵抗可能的重复加密攻击（重复加密较少步后可恢复出明文）

2. 对于DH密钥交换，通常选择阶为素数的有限循环(子)群，这时素数决定了安全性。因素数不能再因子分解，故避免了针对阶为合数的质因子分解且利用中国剩余定理求离散对数的(已知最好)攻击。具体讲就是为了防index-calculus方法求解离散对数，底层循环群G的素数模p要足够大，长度1024位可实现80位安全等级，长度3072位可实现128位安全等级；另为了防Pohlig-Hellman攻击，G的阶p-1必须不能因式分解为全部都是小整数的素数因子，且为了p-1的每个因子构成的子群防baby-step giant-step或Pollards's rho攻击，要求对80位安全等级而言，p-1的最小素因子必须至少为160位，而对128位安全等级，其至少为256位

3. 对于Hash函数，安全性要求有三点：第一是单向性，由于压缩函数理论上存在碰撞，因此单向性是指计算不可行，为什么要单向性？因为若不单向，则可从结果比如签名逆出原文消息；第二是抗弱冲突性即第1类生日攻击，计算不可行；第三是抗强冲突性即第2类生日攻击，计算不可行。这三点要求，取决于压缩函数是否能抗差分、线性等密码分析

4. 周知Shamir门限方案基于多项式的拉格朗日插值公式，普遍的设计采用GF(q)域上的多项式，秘密s为f(0)，q是一个大于n的大素数（n是s被分成的部分数）。正常来讲，参与者个数必须至少是设计时的k，才能恢复出正确的s。如果个数少于k比如k-1，则只能猜测s0=f(0)以构建第k个方程，那么恢复得到的多项式g(x)等同设计时的多项式f(x)的概率是1/q。因为g(x)的项系数可以看作关于s0的同余式即h(s0)=(a+b*s0)mod q的形式，因q为素数，故依模剩余系遍历定理，当s0取GF(q)一值时，则h(s0)唯一对应另一值。所以h(s0)等于f(0)的概率为1/q。由此可见，当q取80位以上，敌手攻击概率不大于1/2⁸⁰，这已经很低了。这种门限方案如同RSA加密，再次佐证了素数越大安全性越高

5. PGP是密码学经典应用，体现在首先支持保密与认证业务的正交，即独立或组合，且组合时按认证、压缩、加密的顺序，这个顺序是经考究有优势的；其次会话密钥是一次性的，由安全伪随机数生成器生成，且按公钥加密；最后使用自研的密钥环与信任网解决公钥管理问题。理论本质上，PGP提供的是一种保密认证业务的通用框架，因为具体的对称加密算法、随机数生成、公钥算法，都可依需要灵活选配扩展。PGP有两个问题跟组合与概率相关，一个是算密钥环N个公钥中，密钥ID(64位)至少有两个重复的概率？设所求概率为p，先算任意两个不重复的概率q，令m=2⁶⁴，则q=m!/((m-N)!*m^N)，则p=1-q，不难看出，N越小则q越大则p越小，因实际应用N<两类生日攻击碰撞概率大于0.5时所需的输入量。在仅认证模式中，抗弱碰撞计算量降低为原来的1/2¹⁶，抗强碰撞计算量至少降低为原来的1/2⁸。另外，考虑到这16位明文可能的特殊性，有没更快的代数攻击，需进一步研究

春秋十二月 2023-09-28 08:04 发表评论

AES不可约多项式

春秋十二月 — Tue, 12 Sep 2023 18:00:00 GMT

有理数域的本原多项式与有限域的本原多项式定义不同，前者不要求不可约（由高斯引理知两个本原多项式的乘积还是本原），后者则必须不可约（确保生成的有限域其每个元素有逆元）。aes基于有限域F{0,1}设计，故使用的模8次多项式不可约P(x)=x^8+x^4+x^3+x+1，但不是本原多项式，因为它的阶是51而非255。有限域次数为8的本原多项式有16个、不可约多项式有30个（由莫比乌斯反演推出），具体多项式影响s盒与列混合操作的实现。不可约加之0的逆元规定为0，保证正确加解密。若0的逆元规定为非0比如x，则导致x有两个逆元，便违反了逆元唯一性，除非s盒不用有限域设计。逆元等于其自身的非0元素只有1，原因可类比模素数二次剩余的求解

春秋十二月 2023-09-13 02:00 发表评论

总结数论中不定方程定理证明的细节验证

春秋十二月 — Wed, 06 Sep 2023 22:43:00 GMT

1. 整数r>s>0，(r, s)=1，2∤r+s，x=r^2-s^2, y=2rs, z=r^2+s^2，求证(x, y)=1，(y, z)=1

证明：由2∤r+s（r与s必一奇一偶）知2∤r-s，故2∤r^2-s^2，以及2∤(r+s)(r+s)。又1=(r, s)=(r+s, r)=(r+s, s)=(r+s, rs)。同理得1=(r, s)=(r-s, rs)，故1=((r+s)(r-s), rs)=(r^2-s^2, rs)，又1=(2, r^2-s^2)，故(r^2-s^2, 2rs)=1，即(x, y)=1。(y, z)=(2rs, r^2+s^2)=(2rs, r^2+s^2+2rs)=(2rs, (r+s)(r+s))=(rs, (r+s)(r+s))=(rs, r+s)=(r, r+s)=(r, s)=1

注：用最大公约数定义、整除性质、反证法，也可以得出(x, y)=1，(y, z)=1。本法则直接从最大公约数定理推导

2. u^2+3v^2=2p不可能成立，u、v为整数，p为奇素数

3. 若四个正整数y1*x2=y2*x1，(x1,y1)=(x2,y2)=1，则x1=x2，y1=y2

证明：由y1*x2=y2*x1可得x1|y1*x2，又因(x1,y1)=1，故x1|x2；另得x2|y2*x1，又因(x2,y2)=1，故x2|x1；终得x1=x2，y1=y2

4. 假设2∤z，z^3=x^2+3y^2有解且满足(x, y)=1，其通解形式为x=a^3-9ab^2，y=3a^2b-3b^2，a、b满足z=a^2+3b^2，求证(-3/p)=1，p是z的任一素因子；(a, 3b)=1

证明：先论证中间结论3∤z，p>3且(p, xy)=1。若3|z，则3|x^2+3y^2=>3|x^2=>3|x=>9|x^2，另有9|x^2+3y^2=>9|3y^2=>3|y^2=>3|y，这与(x, y)=1矛盾，故3∤z。又2∤z，得p>3，由此若p|x，则p|3y^2得p|y，或若p|y，则p|x^2得p|x，都与(x, y)=1矛盾，故(p, xy)=1。

再论证勒让德符号(-3/p)=1。由以上中间结论得等价形式x^2+3y^2=(Z^3p^2)p，及p∤x^2、p∤y^2，推得1=(x^2/p)=(-3y^2/p)=(-3/p)。

最后论证(a, 3b)=1。假设2|z，则2|a^2+b^2=(a+b)^2-2ab或(a-b)^2+2ab =>2|a+b, 2|a-b。因题设是2∤z，故2∤a+b, 2∤a-b，由此推得2∤a^2-b^2, 4∤a^2-b^2，进而8∤a^2-b^2，即(8, a^2-b^2)=1。由1=(x, y)=(a^3-9ab^2, 3a^2b-3b^2)=(a(a^2-9b^2), 3b(a^2-b^2))。又(a^2-9b^2, a^2-b^2)=(8b^2, a^2-b^2)=(b^2, b^2-a^2)=(b^2, a^2)=(a, b)^2，于是令a^2-9b^2=(a, b)^2*A, a^2-b^2=(a, b)^2*B，则得1=(x, y)=(a, b)^2*(aA, 3bB)，故(a, 3b)=1

5. 已知2∤u+w，3∤u，(u, w)=1，求证(2u, u^2+3w^2)=1

证明：2∤u+w=>2∤u^2+w^2=>2∤u^2+3w^2，即(2, u^2+3w^2)=1。

由3∤u，(u, w)=1得(u, 3w)=(u, 3w^2)=(u, u^2+3w^2)=1。

综上两式结果得(2u, u^2+3w^2)=1

6. 已知(3v, w)=1，2∤3v+w，求证(18v, 3v^2+w^2)=1

证明：(3v, w)=1=>(3v, w^2)=(3v, 3v^2+w^2)=1。

(3v, w)=1=>(3, w)=1=>(3, w^2)=(3, 3v^2+w^2)=1。2∤3v+w=>2∤v+w=>2∤v^2+w^2=>2∤3v^2+w^2，即(2, 3v^2+w^2)=1。

综上三式结果得(18v, 3v^2+w^2)=1

###############################

从1、5和6问题的证明过程可得，如果一个数由两个或多个因子相乘，那么求证是否互素可以逐一求每个因子与另一个数是否都互素

春秋十二月 2023-09-07 06:43 发表评论

AES有限域与域扩张

春秋十二月 — Wed, 06 Sep 2023 22:39:00 GMT

周知aes有限域同构于系数为F2域一元多项式环的商环，其理想由不可约多项式m(x)=x^8+x^4+x^3+x+1生成，即F2^8≌F2[x]/(m(x))。这次进一步用域扩张的观点分析，可以得知F2[x]/(m(x))正是包涵m(x)零点的扩域，设为K。那么如何理解？
令I=(m(x))，则K=F2[x]/I，理解关键是找出m(x)在K上的零点，以及K怎样包涵F2？

1. 零点为~x。这里用~g(x)表示多项式在K中的陪集，即~g(x)=g(x)+I，所以~x=x+I。把~x代入m(x)，根据商环定义的加乘运算，代换结果为m(x)+I=~m(x)=~0（~0是K的零元）。那么还有吗？比如~(x+a)（a非0），~x^2，代入这些得到的陪集代表不等于m(x)，所以不是零点。因此零点是唯一的一次多项式x之陪集

2. 构造映射σ，把0对到K中的零多项式即~0，1对到K中的常数多项式即~1，且σ(0+1)=~1=~0+~1=σ(0)+σ(1)，σ(0*1)=~0=~0*~1=σ(0)*σ(1)，又依多项式比较法则得~0不等于~1，故σ是单同态，K包涵F2

小结：商群、商环、商域类似模同余之剩余系，理解这些结构的关键是深入理解等价类、陪集，进而可理解正规子群、理想，最后就是商X之类的东西

春秋十二月 2023-09-07 06:39 发表评论

一个整数交换群定理的证明

春秋十二月 — Wed, 06 Sep 2023 14:34:00 GMT

定理：集合Z[n]由所有i=0,1,…, n-1整数组成，其中满足gcd(i,n)=1的元素与乘法模n操作形成了交换群G，且单位元为e=1。

证明：设a、b属于G，有gcd(a,n)=1，gcd(b,n)=1，则gcd(a*b,n)=gcd(b,n)=1，即(a*b) mod n封闭，显然单位元为1；根据扩展欧几里德算法得a*x+n*y=1，x为a的逆元，则1=gcd(a,n)=gcd(a*x,n)=gcd(x,n)，故x也在G中

春秋十二月 2023-09-06 22:34 发表评论

C++博客-一年十二月 谁主春秋关注：基础系统工程 密码学 人工智能-随笔分类-Cryptography

再谈RSA的安全设计

关于格的行列式之解释

NTRU格密码一处恒等式的证明

关于线性码的主要结论及应用

关于LLL算法的补充证明

关于分圆域的一般结论

一个欧拉数整除问题的两种证法

有限域上的特征与指数和之扩展

二元二次型的相似变换、正定性与正交分解

关于群的一些结论及应用

不定方程的代数数论解法

关于椭圆曲线的验证计算

不可约多项式判别算法的改正

论证有限域上平方根的求解

求解离散对数问题的Terr算法

简单私钥加密构造的验证及安全性分析

二元有限域及其扩域上的计算

简单连分数攻击RSA的迭代次数分析

有限循环群的结构及生成元的判定

混合线性同余发生器的引理验证

Blum数的基本定理及应用

关于（零知识）计算复杂性的总结

一个积分攻击定理的证明

浅谈对称加密算法的软件实现

基于X509证书的身份认证思考小结

浅谈密码学几点安全性分析

AES不可约多项式

总结数论中不定方程定理证明的细节验证

AES有限域与域扩张

一个整数交换群定理的证明

C++博客-
一年十二月谁主春秋
关注：基础系统工程密码学人工智能
-随笔分类-Cryptography