Uploaded byzhangxl
PDF, PPTX779 views

有限域(下)

本文介绍了有限域 fp 和 f2m 上的开平方算法,重点讨论了在有限域中求解 x² = a 的情况,并指出仅当 a 是二次剩余时才能找到解。文中还提出了两类有限域的类型及其对应的开平方方法。具体例子展示了如何在特定的模数下找到平方根。

Embed presentation

Download as PDF, PPTX
1 / 216
2 / 216
3 / 216
4 / 216
5 / 216
6 / 216
7 / 216
8 / 216
9 / 216
10 / 216
11 / 216
12 / 216
13 / 216
14 / 216
15 / 216
16 / 216
17 / 216
18 / 216
19 / 216
20 / 216
21 / 216
22 / 216
23 / 216
24 / 216
25 / 216
26 / 216
27 / 216
28 / 216
29 / 216
30 / 216
31 / 216
32 / 216
33 / 216
34 / 216
35 / 216
36 / 216
37 / 216
38 / 216
39 / 216
40 / 216
41 / 216
42 / 216
43 / 216
44 / 216
45 / 216
46 / 216
47 / 216
48 / 216
49 / 216
50 / 216
51 / 216
52 / 216
53 / 216
54 / 216
55 / 216
56 / 216
57 / 216
58 / 216
59 / 216
60 / 216
61 / 216
62 / 216
63 / 216
64 / 216
65 / 216
66 / 216
67 / 216
68 / 216
69 / 216
70 / 216
71 / 216
72 / 216
73 / 216
74 / 216
75 / 216
76 / 216
77 / 216
78 / 216
79 / 216
80 / 216
81 / 216
82 / 216
83 / 216
84 / 216
85 / 216
86 / 216
87 / 216
88 / 216
89 / 216
90 / 216
91 / 216
92 / 216
93 / 216
94 / 216
95 / 216
96 / 216
97 / 216
98 / 216
99 / 216
100 / 216
101 / 216
102 / 216
103 / 216
104 / 216
105 / 216
106 / 216
107 / 216
108 / 216
109 / 216
110 / 216
111 / 216
112 / 216
113 / 216
114 / 216
115 / 216
116 / 216
117 / 216
118 / 216
119 / 216
120 / 216
121 / 216
122 / 216
123 / 216
124 / 216
125 / 216
126 / 216
127 / 216
128 / 216
129 / 216
130 / 216
131 / 216
132 / 216
133 / 216
134 / 216
135 / 216
136 / 216
137 / 216
138 / 216
139 / 216
140 / 216
141 / 216
142 / 216
143 / 216
144 / 216
145 / 216
146 / 216
147 / 216
148 / 216
149 / 216
150 / 216
151 / 216
152 / 216
153 / 216
154 / 216
155 / 216
156 / 216
157 / 216
158 / 216
159 / 216
160 / 216
161 / 216
162 / 216
163 / 216
164 / 216
165 / 216
166 / 216
167 / 216
168 / 216
169 / 216
170 / 216
171 / 216
172 / 216
173 / 216
174 / 216
175 / 216
176 / 216
177 / 216
178 / 216
179 / 216
180 / 216
181 / 216
182 / 216
183 / 216
184 / 216
185 / 216
186 / 216
187 / 216
188 / 216
189 / 216
190 / 216
191 / 216
192 / 216
193 / 216
194 / 216
195 / 216
196 / 216
197 / 216
198 / 216
199 / 216
200 / 216
201 / 216
202 / 216
203 / 216
204 / 216
205 / 216
206 / 216
207 / 216
208 / 216
209 / 216
210 / 216
211 / 216
212 / 216
213 / 216
214 / 216
215 / 216
216 / 216
. . . 有限域(下) . .. . 广州大学数学与信息科学学院 April 26, 2010 . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. . §9.4 有限域中的开平方算法 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 本节给出两类常用的有限域 Fp 和 F2m 上的开平方算法。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Fp 上开平方的算法。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Fp 上开平方的算法。 . . . .. . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Fp 上开平方的算法。 . . . .. . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。显然,仅当 a . 是二次剩余时才有解。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Fp 上开平方的算法。 . . . .. . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。显然,仅当 a . 是二次剩余时才有解。用 Legendre 符号,可以判断 a 是否二 次剩余, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Fp 上开平方的算法。 . . . .. . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。显然,仅当 a . 是二次剩余时才有解。用 Legendre 符号,可以判断 a 是否二 次剩余,如果是,又如何求出呢? . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Fp 上开平方的算法。 . . . .. . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。显然,仅当 a . 是二次剩余时才有解。用 Legendre 符号,可以判断 a 是否二 次剩余,如果是,又如何求出呢?这个问题并不容易。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 基本想法: . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 基本想法: . . . .. . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 . ak+1 = a . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 基本想法: . . . .. . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ( k+1 )2 . ak+1 = a ⇒ a 2 = a; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 基本想法: . . . .. . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ( k+1 )2 . ak+1 = a ⇒ a 2 = a; . 若奇数 k 使得 ak = −1,又存在某 b 使得 b2m = −1, . . 2 则有 b2m ak = 1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 基本想法: . . . .. . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ( k+1 )2 . ak+1 = a ⇒ a 2 = a; . 若奇数 k 使得 ak = −1,又存在某 b 使得 b2m = −1, . . 2 则有 ( ) k+1 2 b2m ak = 1 ⇒ bm a 2 = a; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 基本想法: . . . .. . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ( k+1 )2 . ak+1 = a ⇒ a 2 = a; . 若奇数 k 使得 ak = −1,又存在某 b 使得 b2m = −1, . . 2 则有 ( ) k+1 2 b2m ak = 1 ⇒ bm a 2 = a; 在这个基本想法下,Fp 上开平方可以分为三种类型。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型一:p ≡ 3 (mod 4)。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型一:p ≡ 3 (mod 4)。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型一:p ≡ 3 (mod 4)。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . 令 p = 4t + 3 有 4t+2 a 2 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型一:p ≡ 3 (mod 4)。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . 令 p = 4t + 3 有 4t+2 a 2 = 1 ⇒ a2t+1 = 1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型一:p ≡ 3 (mod 4)。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . 令 p = 4t + 3 有 4t+2 ( )2 a 2 = 1 ⇒ a2t+1 = 1 ⇒ at+1 = a。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型一:p ≡ 3 (mod 4)。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . 令 p = 4t + 3 有 4t+2 ( )2 a 2 = 1 ⇒ a2t+1 = 1 ⇒ at+1 = a。 p+1 . x = ±a 4 。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F211 中求 x,使得 x = 143。 在 2 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F211 中求 x,使得 x = 143。 在 2 . .. . . ( ) . . . 143 = 1,所以 143 是模 211 的二次剩余; 1 211 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F211 中求 x,使得 x = 143。 在 2 . .. . . ( ) . . . 143 = 1,所以 143 是模 211 的二次剩余; 1 211 . . 143 . . 2 211−1 2 = 1 ⇒ 143105 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F211 中求 x,使得 x = 143。 在 2 . .. . . ( ) . . . 143 = 1,所以 143 是模 211 的二次剩余; 1 211 . . 143 = 1 ⇒ 143105 ) 1; . . 2 211−1 2 ( = . 143106 = 143 ⇒ 14353 2 = 143; . . 3 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F211 中求 x,使得 x = 143。 在 2 . .. . . ( ) . . . 143 = 1,所以 143 是模 211 的二次剩余; 1 211 . 2 . 143 = 1 ⇒ 143105 ) 1; . . 211−1 2 ( = 3 . 143106 = 143 ⇒ 14353 2 = 143; . . . . x ≡ ±143 4 . . 53 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F211 中求 x,使得 x = 143。 在 2 . .. . . ( ) . . . 143 = 1,所以 143 是模 211 的二次剩余; 1 211 . 2 . 143 = 1 ⇒ 143105 ) 1; . . 211−1 2 ( = 3 . 143106 = 143 ⇒ 14353 2 = 143; . . . . x ≡ ±143 ≡ 96 (mod 211)。 4 . . 53 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 a 2 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 ⇒ a 4 = ±1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 ⇒ a 4 = ±1; p−1 p−1 p+3 现在 4 是个奇数,若 a 4 = 1 有 x = ±a 8 ; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 ⇒ a 4 = ±1; p−1 p−1 p+3 现在 4 是个奇数,若 a 4 = 1 有 x = ±a 8 ; p−1 若 a = −1,由于 p ≡ 1 (mod 8),所以 2 不是模 p 的 4 p−1 二次剩余,有 2 2 = −1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 ⇒ a 4 = ±1; p−1 p−1 p+3 现在 4 是个奇数,若 a 4 = 1 有 x = ±a 8 ; p−1 若 a = −1,由于 p ≡ 1 (mod 8),所以 2 不是模 p 的 4 p−1 二次剩余,有 2 2 = −1; p−1 p−1 2 2 a 4 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 ⇒ a 4 = ±1; p−1 p−1 p+3 现在 4 是个奇数,若 a 4 = 1 有 x = ±a 8 ; p−1 若 a = −1,由于 p ≡ 1 (mod 8),所以 2 不是模 p 的 4 p−1 二次剩余,有 2 2 = −1; p−1 p−1 p−1 p+3 2 2 2 a 4 = 1 ⇒ (2 4 a 8 ) = a; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 ⇒ a 4 = ±1; p−1 p−1 p+3 现在 4 是个奇数,若 a 4 = 1 有 x = ±a 8 ; p−1 若 a = −1,由于 p ≡ 1 (mod 8),所以 2 不是模 p 的 4 p−1 二次剩余,有 2 2 = −1; p−1 p−1 p−1 p+3 2 2 2 a 4 = 1 ⇒ (2 4 a 8 ) = a; p−1 p+3 . x = ±2 4 a 8 ; . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 ) 269−1 269 = 1, 有 2 = −1; 2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 ) 269−1 269 = 1, 有 2 = −1; 2 2134 a67 = 1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 ) 269−1 269 = 1, 有 2 = −1; 2 ( 69 34 )2 2134 a67 = 1 ⇒ 2 a = a; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 ) 269−1 269 = 1, 有 2 = −1; 2 ( 69 34 )2 2134 a67 = 1 ⇒ 2 a = a; . x = ±267 a34 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 ) 269−1 269 = 1, 有 2 = −1; 2 ( 69 34 )2 2134 a67 = 1 ⇒ 2 a = a; . x = ±267 a34 = ±26 (mod 269)。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; p−1 如果得到 −1,则两边乘以 b 2 ,变 −1 为 1, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; p−1 如果得到 −1,则两边乘以 b 2 ,变 −1 为 1,然后继续 分解。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; p−1 如果得到 −1,则两边乘以 b 2 ,变 −1 为 1,然后继续 分解。 式子在变化中具有形式 bm an = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; p−1 如果得到 −1,则两边乘以 b 2 ,变 −1 为 1,然后继续 分解。 式子在变化中具有形式 bm an = 1; 只要 n, m 都是 2 的倍数,则上述分解操作总可以进 行。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; p−1 如果得到 −1,则两边乘以 b 2 ,变 −1 为 1,然后继续 分解。 式子在变化中具有形式 bm an = 1; 只要 n, m 都是 2 的倍数,则上述分解操作总可以进 行。由于每次分解 n 的 2 因子个数减 1,故此过程总会停 . 止。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 由于乘上去的 b 2 的指数部分所含的 2 因子比 a 的多,. p−1 所以一定是 a 耗尽了指数部分中的因子 2; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 由于乘上去的 b 2 的指数部分所含的 2 因子比 a 的多,. p−1 所以一定是 a 耗尽了指数部分中的因子 2; 也就是说式子变成 bn am = 1, 2 | n, 2 m . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 由于乘上去的 b 2 的指数部分所含的 2 因子比 a 的多,. p−1 所以一定是 a 耗尽了指数部分中的因子 2; 也就是说式子变成 bn am = 1, 2 | n, 2 m 此时只要两边乘上 a 就有: bn am+1 = a . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 由于乘上去的 b 2 的指数部分所含的 2 因子比 a 的多,. p−1 所以一定是 a 耗尽了指数部分中的因子 2; 也就是说式子变成 bn am = 1, 2 | n, 2 m 此时只要两边乘上 a 就有: ( n m+1 )2 bn am+1 = a ⇒ b 2 a 2 =a . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 由于乘上去的 b 2 的指数部分所含的 2 因子比 a 的多,. p−1 所以一定是 a 耗尽了指数部分中的因子 2; 也就是说式子变成 bn am = 1, 2 | n, 2 m 此时只要两边乘上 a 就有: ( n m+1 )2 bn am+1 = a ⇒ b 2 a 2 =a 所以 ( n m+1 ) . x = ± b2a 2 。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; b88 a22 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; b88 a22 = 1; b44 a11 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; b88 a22 = 1; b44 a11 = 1; b44 a12 = a . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; b88 a22 = 1; b44 a11 = 1; ( )2 b44 a12 = a ⇒ b22 a6 = a; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; b88 a22 = 1; b44 a11 = 1; ( )2 b44 a12 = a ⇒ b22 a6 = a; . x = ±b22 a6 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; b88 a22 = 1; b44 a11 = 1; ( )2 b44 a12 = a ⇒ b22 a6 = a; . x = ±b22 a6 = ±94 mod 353。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. F2m 上开平方。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. F2m 上开平方。 . . . .. . . a ∈ F2m ,求 x ∈ F2m 使得 x2 = a; . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. F2m 上开平方。 . . . .. . . a ∈ F2m ,求 x ∈ F2m 使得 x2 = a; . m ( m−1 )2 由于 a2 = a,所以 a2 = a; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. F2m 上开平方。 . . . .. . . a ∈ F2m ,求 x ∈ F2m 使得 x2 = a; . m ( m−1 )2 由于 a2 = a,所以 a2 = a; m−1 x = ±a2 ,但由于在特征为 2 的域上,正号和负号没有 区别; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. F2m 上开平方。 . . . .. . . a ∈ F2m ,求 x ∈ F2m 使得 x2 = a; . m ( m−1 )2 由于 a2 = a,所以 a2 = a; m−1 x = ±a2 ,但由于在特征为 2 的域上,正号和负号没有 区别; m−1 . x = a2 。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 下面我们介绍一个相关问题,如何在 F2m 上求解方程: . x2 + x = a, a ∈ F2m 。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 下面我们介绍一个相关问题,如何在 F2m 上求解方程: . x2 + x = a, a ∈ F2m 。 要解决这个问题,需要引入“迹”的概念。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定义 . .. 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: m−1 . Tr(α) = α + α2 + · · · + α2 。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定义 . .. 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: m−1 . Tr(α) = α + α2 + · · · + α2 。 . .. . . 由于 Char F2m = 2,所以 . 2 m Tr(α) = α2 + α2 + · · · + α2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定义 . .. 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: m−1 . Tr(α) = α + α2 + · · · + α2 。 . .. . . 由于 Char F2m = 2,所以 . 2 m Tr(α) = α2 + α2 + · · · + α2 2 m −1 = α2 + α2 + · · · + α2 +α . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定义 . .. 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: m−1 . Tr(α) = α + α2 + · · · + α2 。 . .. . . 由于 Char F2m = 2,所以 . 2 m Tr(α) = α2 + α2 + · · · + α2 2 m −1 = α2 + α2 + · · · + α2 + α = Tr(α) . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定义 . .. 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: m−1 . Tr(α) = α + α2 + · · · + α2 。 . .. . . 由于 Char F2m = 2,所以 . 2 m Tr(α) = α2 + α2 + · · · + α2 2 m −1 = α2 + α2 + · · · + α2 + α = Tr(α) 可见 Tr(α) ∈ F2 ,即 Tr 是从 F2m 到 F2 的映射, 取值 0 或 1。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 迹函数有如下性质: . . . 1 对任意 α, β ∈ F m ,有 Tr(α + β) = Tr(α) + Tr(β); 2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 迹函数有如下性质: . . . 1 对任意 α, β ∈ F m ,有 Tr(α + β) = Tr(α) + Tr(β); 2 . . 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . 2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 迹函数有如下性质: . . . 1 对任意 α, β ∈ F m ,有 Tr(α + β) = Tr(α) + Tr(β); 2 . . 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . 2 . . . . 对任意的 α ∈ F2m ,有 Tr(α ) = Tr(α)。 3 2 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 迹函数有如下性质: . . . 1 对任意 α, β ∈ F m ,有 Tr(α + β) = Tr(α) + Tr(β); 2 . . 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . 2 . . . . 对任意的 α ∈ F2m ,有 Tr(α ) = Tr(α)。 3 2 . .. . . 证明作为简单的练习。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 迹函数有如下性质: . . . 1 对任意 α, β ∈ F m ,有 Tr(α + β) = Tr(α) + Tr(β); 2 . . 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . 2 . . . . 对任意的 α ∈ F2m ,有 Tr(α ) = Tr(α)。 3 2 . .. . . 证明作为简单的练习。 . 前两条说 Tr 函数是向量空间 F2 × F2m 到自身的一个线性 映射。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 迹函数有如下性质: . . . 1 对任意 α, β ∈ F m ,有 Tr(α + β) = Tr(α) + Tr(β); 2 . . 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . 2 . . . . 对任意的 α ∈ F2m ,有 Tr(α ) = Tr(α)。 3 2 . .. . . 证明作为简单的练习。 . 前两条说 Tr 函数是向量空间 F2 × F2m 到自身的一个线性 映射。 迹函数并不限于 F2m ,我们这里介绍的只是它的一个特殊 . 情形。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . 充分性 . 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . 充分性 . 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . 充分性 . 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) = Tr(x0 2 ) + Tr(x0 ) . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . 充分性 . 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) = Tr(x0 2 ) + Tr(x0 ) ( )2 = Tr(x0 ) + Tr(x0 ) . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . 充分性 . 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) = Tr(x0 2 ) + Tr(x0 ) ( )2 = Tr(x0 ) + Tr(x0 ) = 0 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . 充分性 . 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) = Tr(x0 2 ) + Tr(x0 ) ( )2 = Tr(x0 ) + Tr(x0 ) = 0 必要性要难一些,分两种情形处理。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形一:m 是奇数。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形一:m 是奇数。 . . . .. . . 2 4 令 β = α + α2 + α2 · · · + α2 m−1 ; . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形一:m 是奇数。 . . . .. . . 2 4 令 β = α + α2 + α2 · · · + α2 m−1 ; . 3 5 m 则 β2 = α2 + α2 + α2 + · · · + α2 ; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形一:m 是奇数。 . . . .. . . 2 4 令 β = α + α2 + α2 · · · + α2 m−1 ; . 3 5 m 则 β2 = α2 + α2 + α2 + · · · + α2 ; m β2 + β = Tr(α) + α2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形一:m 是奇数。 . . . .. . . 2 4 令 β = α + α2 + α2 · · · + α2 m−1 ; . 3 5 m 则 β2 = α2 + α2 + α2 + · · · + α2 ; m β2 + β = Tr(α) + α2 = α; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形一:m 是奇数。 . . . .. . . 2 4 令 β = α + α2 + α2 · · · + α2 m−1 ; . 3 5 m 则 β2 = α2 + α2 + α2 + · · · + α2 ; m β2 + β = Tr(α) + α2 = α; β 是方程 x2 + x = α 的解。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形一:m 是奇数。 . . . .. . . 2 4 令 β = α + α2 + α2 · · · + α2 m−1 ; . 3 5 m 则 β2 = α2 + α2 + α2 + · · · + α2 ; m β2 + β = Tr(α) + α2 = α; β 是方程 x2 + x = α 的解。 . 容易验证 β + 1 是另外一个解。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形二:m 是偶数。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . ( 22 3 m−1 )2 3 m−1 2 2 (ρ + ρ2 + · · · + ρ2 )α2 = (ρ2 + · · · + ρ2 )α2 + ρα2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . ( 22 3 m−1 )2 3 m−1 2 2 (ρ + ρ2 + · · · + ρ2 )α2 = (ρ2 + · · · + ρ2 )α2 + ρα2 ( 23 4 m−1 2 )2 4 m−1 3 3 (ρ + ρ2 + · · · + ρ2 )α2 ) = (ρ2 + · · · + ρ2 )α2 + ρα2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . ( 22 3 m−1 )2 3 m−1 2 2 (ρ + ρ2 + · · · + ρ2 )α2 = (ρ2 + · · · + ρ2 )α2 + ρα2 ( 23 4 m−1 2 )2 4 m−1 3 3 (ρ + ρ2 + · · · + ρ2 )α2 ) = (ρ2 + · · · + ρ2 )α2 + ρα2 ······ . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . ( 22 3 m−1 )2 3 m−1 2 2 (ρ + ρ2 + · · · + ρ2 )α2 = (ρ2 + · · · + ρ2 )α2 + ρα2 ( 23 4 m−1 2 )2 4 m−1 3 3 (ρ + ρ2 + · · · + ρ2 )α2 ) = (ρ2 + · · · + ρ2 )α2 + ρα2 ······ ( 2m−2 m−1 m−3 )2 m−1 m−2 m−2 (ρ + ρ2 )α2 = (ρ2 )α2 + ρα2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . ( 22 3 m−1 )2 3 m−1 2 2 (ρ + ρ2 + · · · + ρ2 )α2 = (ρ2 + · · · + ρ2 )α2 + ρα2 ( 23 4 m−1 2 )2 4 m−1 3 3 (ρ + ρ2 + · · · + ρ2 )α2 ) = (ρ2 + · · · + ρ2 )α2 + ρα2 ······ ( 2m−2 m−1 m−3 )2 m−1 m−2 m−2 (ρ + ρ2 )α2 = (ρ2 )α2 + ρα2 ( 2m−1 2m−2 )2 m−1 .(ρ )α = (0) + ρα2 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . ( 22 3 m−1 )2 3 m−1 2 2 (ρ + ρ2 + · · · + ρ2 )α2 = (ρ2 + · · · + ρ2 )α2 + ρα2 ( 23 4 m−1 2 )2 4 m−1 3 3 (ρ + ρ2 + · · · + ρ2 )α2 ) = (ρ2 + · · · + ρ2 )α2 + ρα2 ······ ( 2m−2 m−1 m−3 )2 m−1 m−2 m−2 (ρ + ρ2 )α2 = (ρ2 )α2 + ρα2 ( 2m−1 2m−2 )2 m−1 .(ρ )α = (0) + ρα2 . .. . . ∑ 2i−1 m−1 2j m−1 ∑ . 令 β= α ρ ,将上面各式累加,有 α + β2 = β . i=1 j=i . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 所以 β2 + β = α,β 是一个解。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 所以 β2 + β = α,β 是一个解。 . 容易验证 β + 1 是另一个解。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 所以 β2 + β = α,β 是一个解。 . 容易验证 β + 1 是另一个解。 显然这个方法也可以解决情形一,但我们处理情形一的方法 更简洁。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 所以 β2 + β = α,β 是一个解。 . 容易验证 β + 1 是另一个解。 显然这个方法也可以解决情形一,但我们处理情形一的方法 更简洁。 满足 Tr(ρ) = 1 的 ρ 可以在 F2m 中随机搜索,成功率 . 是 1/2。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. §9.5 有限域中离散对数 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 背景介绍: . . . .. . . 设 a, b, c 满足关系 a = bc ,则称 c 是 a 关于 b 的对 . 数,记 成 c = logb a。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 背景介绍: . . . .. . . 设 a, b, c 满足关系 a = bc ,则称 c 是 a 关于 b 的对 . 数,记 成 c = logb a。 如果 a, b ∈ R,那么求 a 关于 b 的对数是相对容易的。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 背景介绍: . . . .. . . 设 a, b, c 满足关系 a = bc ,则称 c 是 a 关于 b 的对 . 数,记 成 c = logb a。 如果 a, b ∈ R,那么求 a 关于 b 的对数是相对容易的。 如果 a, b 是某个有限域 Fq 中的元素,求正整数 n 使得 . a = bn ,一般是个很困难的问题。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定义 . .. 设 Fq 是 q 元有限域,b 是循环群 F∗ 的一个生成 q 元,a ∈ F∗ 。 q . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定义 . .. 设 Fq 是 q 元有限域,b 是循环群 F∗ 的一个生成 q 元,a ∈ F∗ 。 q 若正整数 n q − 1,使得 a = bn ,则称 n 为 a 关于底 数 b 的离散对数。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 定义 . .. 设 Fq 是 q 元有限域,b 是循环群 F∗ 的一个生成 q 元,a ∈ F∗ 。 q 若正整数 n q − 1,使得 a = bn ,则称 n 为 a 关于底 数 b 的离散对数。 记为 . n = logb a。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 2 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . . . 2 log 2 = 2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . . . 2 log 2 = 1; 2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . 2. . 2 log 2 = 1; . log2 3 = . . 3 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . 2. . 2 log 2 = 1; . log2 3 = 3; . . 3 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . 2 . . 2 log 2 = 1; 3 . log2 3 = 3; . . . . log2 4 = 4 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . 2 . . 2 log 2 = 1; 3 . log2 3 = 3; . . . . log2 4 = 2。 4 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 当 q 比较小的时候,Fq 上离散对数的问题可以通过穷搜解 . 决。 但当 q 很大的时候,穷搜的效果就不好了。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 当 q 比较小的时候,Fq 上离散对数的问题可以通过穷搜解 . 决。 但当 q 很大的时候,穷搜的效果就不好了。下面我们介绍 两种求离散对数的方法,它们略优于穷搜。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Silver, Pohlig 和 Hellman 的方法。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Silver, Pohlig 和 Hellman 的方法。 . . . .. . . 这个方法揉合了分治和时空转换。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Silver, Pohlig 和 Hellman 的方法。 . . . .. . . 这个方法揉合了分治和时空转换。 . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Silver, Pohlig 和 Hellman 的方法。 . . . .. . . 这个方法揉合了分治和时空转换。 . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q ∏ α 设 q − 1 的典范分解为 p p; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Silver, Pohlig 和 Hellman 的方法。 . . . .. . . 这个方法揉合了分治和时空转换。 . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q ∏ α 设 q − 1 的典范分解为 p p; 如果我们能求出 x ≡ xp (mod pαp ),则可以用中国剩余定 . 理求出 x。 [分治] . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . gx = b ⇒ ga0 +a1 p+··· = b . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p ,0 a0 < p, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; gx = b ⇒ ga0 +a1 p+··· = b . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; 2 +··· gx = b ⇒ ga0 +a1 p+··· = b ⇒ ga1 p+a2 p = bg−a0 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; 2 +··· gx = b ⇒ ga0 +a1 p+··· = b ⇒ ga1 p+a2 p = bg−a0 q−1 q−1 2 +··· ⇒ (ga1 p+a2 p ) p2 = (bg−a0 ) p2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; 2 +··· gx = b ⇒ ga0 +a1 p+··· = b ⇒ ga1 p+a2 p = bg−a0 q−1 q−1 q−1 2 +··· ⇒ (ga1 p+a2 p ) p2 = (bg−a0 ) p2 ⇒ g a1 p = q−1 (bg−a0 ) p2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; 2 +··· gx = b ⇒ ga0 +a1 p+··· = b ⇒ ga1 p+a2 p = bg−a0 q−1 q−1 q−1 2 +··· ⇒ (ga1 p+a2 p ) p2 = (bg−a0 ) p2 ⇒ g a1 p = q−1 (bg−a0 ) p2 . 通过测试求出 a1 ; . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; 2 +··· gx = b ⇒ ga0 +a1 p+··· = b ⇒ ga1 p+a2 p = bg−a0 q−1 q−1 q−1 2 +··· ⇒ (ga1 p+a2 p ) p2 = (bg−a0 ) p2 ⇒ g a1 p = q−1 (bg−a0 ) p2 . 通过测试求出 a1 ;如是重复,直到求出 aα−1 ,并得到 xp . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. q−1 . 在上述过程会重复遇到如下问题:在等式 gai p = ··· 中 确定 ai 的值。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. q−1 . 在上述过程会重复遇到如下问题:在等式 gai p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. q−1 . 在上述过程会重复遇到如下问题:在等式 gai p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 这个问题独立于具体的 b,只跟 q, g 有关。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. q−1 . 在上述过程会重复遇到如下问题:在等式 gai p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 这个问题独立于具体的 b,只跟 q, g 有关。 可以对 q − 1 的所有素因子 p,预先计算出 q − 1 2q − 1 q−1 g ,g , . . . , gp−1 。 p p p 的值; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. q−1 . 在上述过程会重复遇到如下问题:在等式 gai p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 这个问题独立于具体的 b,只跟 q, g 有关。 可以对 q − 1 的所有素因子 p,预先计算出 q − 1 2q − 1 q−1 g ,g , . . . , gp−1 。 p p p 的值; 由于 g 是 Fq 的本原元,所以上面的数两两不同,且不 为 1。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. q−1 . 在上述过程会重复遇到如下问题:在等式 gai p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 这个问题独立于具体的 b,只跟 q, g 有关。 可以对 q − 1 的所有素因子 p,预先计算出 q − 1 2q − 1 q−1 g ,g , . . . , gp−1 。 p p p 的值; 由于 g 是 Fq 的本原元,所以上面的数两两不同,且不 为 1。 把这些数保存起来,则以后可以通过查表求值,不用每次去 . 穷搜了。 [时空转换] . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5, . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 2a0 +a1 2+··· = 62 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 181−1 181−1 2a0 +a1 2+··· = 62 ⇒ 2a0 2 = 62 2 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 181−1 181−1 2a0 +a1 2+··· = 62 ⇒ 2a0 2 = 62 2 = 1 ⇒ a0 = 0; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 181−1 181−1 2a0 +a1 2+··· = 62 ⇒ 2a0 2 = 62 2 = 1 ⇒ a0 = 0; 2a1 2+··· = 62 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 181−1 181−1 2a0 +a1 2+··· = 62 ⇒ 2a0 2 = 62 2 = 1 ⇒ a0 = 0; 2a1 2+··· = 62 ⇒ 2a0 181−1 4 = 62 181−1 4 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 181−1 181−1 2a0 +a1 2+··· = 62 ⇒ 2a0 2 = 62 2 = 1 ⇒ a0 = 0; 2a1 2+··· = 62 ⇒ 2a0 181−1 4 = 62 181−1 4 = 1 ⇒ a1 = 0; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 181−1 181−1 2a0 +a1 2+··· = 62 ⇒ 2a0 2 = 62 2 = 1 ⇒ a0 = 0; 2a1 2+··· = 62 ⇒ 2a0 181−1 4 = 62 181−1 4 = 1 ⇒ a1 = 0; . x2 = 0; . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 2a0 +a1 3+··· = 62 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 2a0 +a1 3+··· = 62 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 5 = 62 5 = 1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 5 = 62 5 = 1 ⇒ a0 = 0; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 5 = 62 5 = 1 ⇒ a0 = 0; x5 = 0; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 5 = 62 5 = 1 ⇒ a0 = 0; x5 = 0; 求解同余方程组 x ≡ 0 (mod 4) x ≡ 1 (mod 9) x ≡ 0 (mod 5) . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 5 = 62 5 = 1 ⇒ a0 = 0; x5 = 0; 求解同余方程组 x ≡ 0 (mod 4) x ≡ 1 (mod 9) x ≡ 0 (mod 5) . 得 x ≡ 100 (mod 181), . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 5 = 62 5 = 1 ⇒ a0 = 0; x5 = 0; 求解同余方程组 x ≡ 0 (mod 4) x ≡ 1 (mod 9) x ≡ 0 (mod 5) . 得 x ≡ 100 (mod 181),即 log2 62 = 100。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Shanks 小步大步法。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; q−1 如果直接穷举 x, 期望猜测次数为 2 ; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; q−1 如果直接穷举 x, 期望猜测次数为 2 ; √ 令 m = [ q − 1],设 x = mi + j, 0 j < m; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; q−1 如果直接穷举 x, 期望猜测次数为 2 ; √ 令 m = [ q − 1],设 x = mi + j, 0 j < m; y = gx ⇒ y · g−mi = gj ; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; q−1 如果直接穷举 x, 期望猜测次数为 2 ; √ 令 m = [ q − 1],设 x = mi + j, 0 j < m; y = gx ⇒ y · g−mi = gj ; 如果我们预先把所有的 gj 计算出来并保存, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; q−1 如果直接穷举 x, 期望猜测次数为 2 ; √ 令 m = [ q − 1],设 x = mi + j, 0 j < m; y = gx ⇒ y · g−mi = gj ; 如果我们预先把所有的 gj 计算出来并保存, 则求解时只需要计算一系列的 yg−mi ,并在预计算的 gj 值中搜索匹配项就可以了。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; q−1 如果直接穷举 x, 期望猜测次数为 2 ; √ 令 m = [ q − 1],设 x = mi + j, 0 j < m; y = gx ⇒ y · g−mi = gj ; 如果我们预先把所有的 gj 计算出来并保存, 则求解时只需要计算一系列的 yg−mi ,并在预计算的 gj 值中搜索匹配项就可以了。 这种方法也叫中间相遇,期望的猜测次数约 √ . 为 [ q − 1]/2。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . √ m = [ 101 − 1 ] = 10; . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . √ m = [ 101 − 1 ] = 10; . j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . √ m = [ 101 − 1 ] = 10; . j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 y = 3,穷搜: i 0 1 2 3 4 5 6 7 ··· y · 2−10i 3 94 50 18 59 98 7 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . √ m = [ 101 − 1 ] = 10; . j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 y = 3,穷搜: i 0 1 2 3 4 5 6 7 ··· y · 2−10i 3 94 50 18 59 98 7 . y · 2−10·6 = 29 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . √ m = [ 101 − 1 ] = 10; . j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 y = 3,穷搜: i 0 1 2 3 4 5 6 7 ··· y · 2−10i 3 94 50 18 59 98 7 . y · 2−10·6 = 29 ⇒ 3 = 269 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . √ m = [ 101 − 1 ] = 10; . j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 y = 3,穷搜: i 0 1 2 3 4 5 6 7 ··· y · 2−10i 3 94 50 18 59 98 7 . y · 2−10·6 = 29 ⇒ 3 = 269 ⇒ log2 3 = 69。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 当 q 很大时,前面提到两个方法都没有什么实际效果。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 当 q 很大时,前面提到两个方法都没有什么实际效果。这看上 . 去似乎很糟糕,但如果换一个角度—从密码学的角度看,这却是 一个很好的性质。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 当 q 很大时,前面提到两个方法都没有什么实际效果。这看上 . 去似乎很糟糕,但如果换一个角度—从密码学的角度看,这却是 一个很好的性质。在下节中,我们将介绍有限域,离散对数在密 码学中的作用。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. . §9.6 有限域在编码 . 和密码中的应用 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 在网络上身处异地的两个用户 A 和 B,在进行保密通信前常需 . 要在网络上交换信息,约定一个数—密钥。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 在网络上身处异地的两个用户 A 和 B,在进行保密通信前常需 . 要在网络上交换信息,约定一个数—密钥。该密钥只有这两个用 户知道,任何第三方即使截获了 A 和 B 在网上交换的信息, 也不能获取该密钥。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
. 在网络上身处异地的两个用户 A 和 B,在进行保密通信前常需 . 要在网络上交换信息,约定一个数—密钥。该密钥只有这两个用 户知道,任何第三方即使截获了 A 和 B 在网上交换的信息, 也不能获取该密钥。 . . .. . . 这听上去有的不大现实,是吧? . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
设 g 是 Fq 的本原元,A 和 B 采取以下 步骤产生密钥: . . A . C . B . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
设 g 是 Fq 的本原元,A 和 B 采取以下 步骤产生密钥: 建 . 议 gx . . . 1 A 秘密地选取一个整数 x,计 算 gx ,并把结果发给 B; . . A . C . B . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
设 g 是 Fq 的本原元,A 和 B 采取以下 步骤产生密钥: 建 . 议 gx . . . 1 A 秘密地选取一个整数 x,计 算 gx ,并把结果发给 B; . 议 建 g y . B 秘密地选取一个整数 y,计 . . 2 y 算 g ,并把结果发给 A; . . A . C . B . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
设 g 是 Fq 的本原元,A 和 B 采取以下 步骤产生密钥: 建 . 议 gx . . . 1 A 秘密地选取一个整数 x,计 算 gx ,并把结果发给 B; . 议 建 y g . B 秘密地选取一个整数 y,计 . . 2 y 算 g ,并把结果发给 A; . A 使用 y(gy)x . . 3 x 作为密钥,而 B 使 用 (g ) ; . gxy 加密通信 用 . . A . C . B . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
设 g 是 Fq 的本原元,A 和 B 采取以下 步骤产生密钥: 建 . 议 gx . . . 1 A 秘密地选取一个整数 x,计 算 gx ,并把结果发给 B; . 议 建 y g . B 秘密地选取一个整数 y,计 . . 2 y 算 g ,并把结果发给 A; . A 使用 y(gy)x . . 3 x 作为密钥,而 B 使 用 (g ) ; . gxy 加密通信 用 . . (gy )x = gxy = (gx )y ; . 4 . . A . C . B . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
设 g 是 Fq 的本原元,A 和 B 采取以下 步骤产生密钥: 建 . 议 gx . . . 1 A 秘密地选取一个整数 x,计 算 gx ,并把结果发给 B; . 议 建 y g . B 秘密地选取一个整数 y,计 . . 2 y 算 g ,并把结果发给 A; . A 使用 y(gy)x . . 3 x 作为密钥,而 B 使 用 (g ) ; . gxy 加密通信 用 . . (gy )x = gxy = (gx )y ; . 4 . 即使 C 在中间偷听了整个过程,由于离散 . A . C . B 对数问题的困难性,C 无法从 gx , gy 中 得到 x, y 或 gxy 。 . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
本节完,谢谢! 磊张 印晓 . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》

More Related Content

PDF
有限域(上)
byzhangxl
 
PDF
二次剩余
byzhangxl
 
PDF
环(下)
byzhangxl
 
PDF
环(上)
byzhangxl
 
PDF
域(上)
byzhangxl
 
PDF
群(上)
byzhangxl
 
PDF
同余式(上)
byzhangxl
 
PDF
基于Mspf的实时监控多目标跟踪算法研究
bys2007s
 
有限域(上)
byzhangxl
 
二次剩余
byzhangxl
 
环(下)
byzhangxl
 
环(上)
byzhangxl
 
域(上)
byzhangxl
 
群(上)
byzhangxl
 
同余式(上)
byzhangxl
 
基于Mspf的实时监控多目标跟踪算法研究
bys2007s
 

Similar to 有限域(下)

PDF
Algorithms.exercises.solution
byRegina Long
 
PPT
第3章 离散系统的时域分析
byreader520
 
PPT
南开大学暑期ACM集训
byAXM
 
DOC
1.4乘法公式与因式分解
byzhengweimin83
 
DOC
实验二 用Mathmatica软件求极限
byXin Zheng
 
PDF
群(下)
byzhangxl
 
PDF
整数的因子分解
byzhangxl
 
PDF
域(下)
byzhangxl
 
PDF
同余式(下)
byzhangxl
 
PDF
求职笔试大全
byyiditushe
 
DOC
实验五 用Mathematica软件计算一元函数的积分
byXin Zheng
 
DOC
实验五 用Mathematica软件计算一元函数的积分
byguestfe33f0e
 
DOC
实验一 Mathematica软件简介
byXin Zheng
 
DOC
实验一 Mathematica软件简介
byguestfe33f0e
 
PPT
241525第三章初等代数运算命令与例题
bygwadhysys
 
DOC
实验二 用Mathmatica软件求极限
byguestfe33f0e
 
DOC
1.6数的开方与二次根式
byzhengweimin83
 
DOC
通信网第二三章习题答案
bybupt
 
PPT
06 计算机的运算方法03
byHuaijin Chen
 
PPT
第3章 词法分析
bytjpucompiler
 
Algorithms.exercises.solution
byRegina Long
 
第3章 离散系统的时域分析
byreader520
 
南开大学暑期ACM集训
byAXM
 
1.4乘法公式与因式分解
byzhengweimin83
 
实验二 用Mathmatica软件求极限
byXin Zheng
 
群(下)
byzhangxl
 
整数的因子分解
byzhangxl
 
域(下)
byzhangxl
 
同余式(下)
byzhangxl
 
求职笔试大全
byyiditushe
 
实验五 用Mathematica软件计算一元函数的积分
byXin Zheng
 
实验五 用Mathematica软件计算一元函数的积分
byguestfe33f0e
 
实验一 Mathematica软件简介
byXin Zheng
 
实验一 Mathematica软件简介
byguestfe33f0e
 
241525第三章初等代数运算命令与例题
bygwadhysys
 
实验二 用Mathmatica软件求极限
byguestfe33f0e
 
1.6数的开方与二次根式
byzhengweimin83
 
通信网第二三章习题答案
bybupt
 
06 计算机的运算方法03
byHuaijin Chen
 
第3章 词法分析
bytjpucompiler
 

More from zhangxl

PDF
矩阵及其运算
byzhangxl
 
PDF
中国剩余定理(v1)
byzhangxl
 
PDF
行列式
byzhangxl
 
PDF
分支结构
byzhangxl
 
PDF
循环结构
byzhangxl
 
PDF
C 语言概述
byzhangxl
 
PDF
基础知识
byzhangxl
 
PDF
599 02
byzhangxl
 
PDF
599 12
byzhangxl
 
PDF
599 11
byzhangxl
 
PDF
599 01
byzhangxl
 
PDF
线性代数作业 2010-09
byzhangxl
 
PDF
599 03
byzhangxl
 
矩阵及其运算
byzhangxl
 
中国剩余定理(v1)
byzhangxl
 
行列式
byzhangxl
 
分支结构
byzhangxl
 
循环结构
byzhangxl
 
C 语言概述
byzhangxl
 
基础知识
byzhangxl
 
599 02
byzhangxl
 
599 12
byzhangxl
 
599 11
byzhangxl
 
599 01
byzhangxl
 
线性代数作业 2010-09
byzhangxl
 
599 03
byzhangxl
 

有限域(下)

  • 1.
    . . . 有限域(下) . .. . 广州大学数学与信息科学学院 April 26, 2010 . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 2.
    . . §9.4 有限域中的开平方算法 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 3.
    . 本节给出两类常用的有限域 Fp 和F2m 上的开平方算法。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 4.
    . Fp 上开平方的算法。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 5.
    . Fp 上开平方的算法。 . . . .. . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 6.
    . Fp 上开平方的算法。 . . . .. . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。显然,仅当 a . 是二次剩余时才有解。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 7.
    . Fp 上开平方的算法。 . . . .. . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。显然,仅当 a . 是二次剩余时才有解。用 Legendre 符号,可以判断 a 是否二 次剩余, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 8.
    . Fp 上开平方的算法。 . . . .. . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。显然,仅当 a . 是二次剩余时才有解。用 Legendre 符号,可以判断 a 是否二 次剩余,如果是,又如何求出呢? . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 9.
    . Fp 上开平方的算法。 . . . .. . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。显然,仅当 a . 是二次剩余时才有解。用 Legendre 符号,可以判断 a 是否二 次剩余,如果是,又如何求出呢?这个问题并不容易。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 10.
    . 基本想法: . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 11.
    . 基本想法: . . . .. . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 . ak+1 = a . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 12.
    . 基本想法: . . . .. . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ( k+1 )2 . ak+1 = a ⇒ a 2 = a; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 13.
    . 基本想法: . . . .. . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ( k+1 )2 . ak+1 = a ⇒ a 2 = a; . 若奇数 k 使得 ak = −1,又存在某 b 使得 b2m = −1, . . 2 则有 b2m ak = 1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 14.
    . 基本想法: . . . .. . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ( k+1 )2 . ak+1 = a ⇒ a 2 = a; . 若奇数 k 使得 ak = −1,又存在某 b 使得 b2m = −1, . . 2 则有 ( ) k+1 2 b2m ak = 1 ⇒ bm a 2 = a; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 15.
    . 基本想法: . . . .. . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ( k+1 )2 . ak+1 = a ⇒ a 2 = a; . 若奇数 k 使得 ak = −1,又存在某 b 使得 b2m = −1, . . 2 则有 ( ) k+1 2 b2m ak = 1 ⇒ bm a 2 = a; 在这个基本想法下,Fp 上开平方可以分为三种类型。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 16.
    . 类型一:p ≡ 3(mod 4)。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 17.
    . 类型一:p ≡ 3(mod 4)。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 18.
    . 类型一:p ≡ 3(mod 4)。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . 令 p = 4t + 3 有 4t+2 a 2 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 19.
    . 类型一:p ≡ 3(mod 4)。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . 令 p = 4t + 3 有 4t+2 a 2 = 1 ⇒ a2t+1 = 1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 20.
    . 类型一:p ≡ 3(mod 4)。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . 令 p = 4t + 3 有 4t+2 ( )2 a 2 = 1 ⇒ a2t+1 = 1 ⇒ at+1 = a。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 21.
    . 类型一:p ≡ 3(mod 4)。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . 令 p = 4t + 3 有 4t+2 ( )2 a 2 = 1 ⇒ a2t+1 = 1 ⇒ at+1 = a。 p+1 . x = ±a 4 。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 22.
    . Example . .. . F211 中求 x,使得 x = 143。 在 2 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 23.
    . Example . .. . F211 中求 x,使得 x = 143。 在 2 . .. . . ( ) . . . 143 = 1,所以 143 是模 211 的二次剩余; 1 211 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 24.
    . Example . .. . F211 中求 x,使得 x = 143。 在 2 . .. . . ( ) . . . 143 = 1,所以 143 是模 211 的二次剩余; 1 211 . . 143 . . 2 211−1 2 = 1 ⇒ 143105 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 25.
    . Example . .. . F211 中求 x,使得 x = 143。 在 2 . .. . . ( ) . . . 143 = 1,所以 143 是模 211 的二次剩余; 1 211 . . 143 = 1 ⇒ 143105 ) 1; . . 2 211−1 2 ( = . 143106 = 143 ⇒ 14353 2 = 143; . . 3 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 26.
    . Example . .. . F211 中求 x,使得 x = 143。 在 2 . .. . . ( ) . . . 143 = 1,所以 143 是模 211 的二次剩余; 1 211 . 2 . 143 = 1 ⇒ 143105 ) 1; . . 211−1 2 ( = 3 . 143106 = 143 ⇒ 14353 2 = 143; . . . . x ≡ ±143 4 . . 53 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 27.
    . Example . .. . F211 中求 x,使得 x = 143。 在 2 . .. . . ( ) . . . 143 = 1,所以 143 是模 211 的二次剩余; 1 211 . 2 . 143 = 1 ⇒ 143105 ) 1; . . 211−1 2 ( = 3 . 143106 = 143 ⇒ 14353 2 = 143; . . . . x ≡ ±143 ≡ 96 (mod 211)。 4 . . 53 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 28.
    . 类型二:p ≡ 1(mod 8),这是模 4 余 1 的子类型。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 29.
    . 类型二:p ≡ 1(mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 30.
    . 类型二:p ≡ 1(mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 31.
    . 类型二:p ≡ 1(mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 a 2 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 32.
    . 类型二:p ≡ 1(mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 33.
    . 类型二:p ≡ 1(mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 ⇒ a 4 = ±1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 34.
    . 类型二:p ≡ 1(mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 ⇒ a 4 = ±1; p−1 p−1 p+3 现在 4 是个奇数,若 a 4 = 1 有 x = ±a 8 ; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 35.
    . 类型二:p ≡ 1(mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 ⇒ a 4 = ±1; p−1 p−1 p+3 现在 4 是个奇数,若 a 4 = 1 有 x = ±a 8 ; p−1 若 a = −1,由于 p ≡ 1 (mod 8),所以 2 不是模 p 的 4 p−1 二次剩余,有 2 2 = −1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 36.
    . 类型二:p ≡ 1(mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 ⇒ a 4 = ±1; p−1 p−1 p+3 现在 4 是个奇数,若 a 4 = 1 有 x = ±a 8 ; p−1 若 a = −1,由于 p ≡ 1 (mod 8),所以 2 不是模 p 的 4 p−1 二次剩余,有 2 2 = −1; p−1 p−1 2 2 a 4 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 37.
    . 类型二:p ≡ 1(mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 ⇒ a 4 = ±1; p−1 p−1 p+3 现在 4 是个奇数,若 a 4 = 1 有 x = ±a 8 ; p−1 若 a = −1,由于 p ≡ 1 (mod 8),所以 2 不是模 p 的 4 p−1 二次剩余,有 2 2 = −1; p−1 p−1 p−1 p+3 2 2 2 a 4 = 1 ⇒ (2 4 a 8 ) = a; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 38.
    . 类型二:p ≡ 1(mod 8),这是模 4 余 1 的子类型。 . . . .. . . p−1 x2 = a,a 是二次剩余,所以 a 2 = 1; . p−1 但现在 2 是个偶数,前面的方法不灵了。 p−1 p−1 p−1 p−1 a 2 = 1 ⇒ (a 4 + 1)(a 4 − 1) = 0 ⇒ a 4 = ±1; p−1 p−1 p+3 现在 4 是个奇数,若 a 4 = 1 有 x = ±a 8 ; p−1 若 a = −1,由于 p ≡ 1 (mod 8),所以 2 不是模 p 的 4 p−1 二次剩余,有 2 2 = −1; p−1 p−1 p−1 p+3 2 2 2 a 4 = 1 ⇒ (2 4 a 8 ) = a; p−1 p+3 . x = ±2 4 a 8 ; . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 39.
    . Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 40.
    . Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 41.
    . Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 42.
    . Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 43.
    . Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 44.
    . Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 45.
    . Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 ) 269−1 269 = 1, 有 2 = −1; 2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 46.
    . Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 ) 269−1 269 = 1, 有 2 = −1; 2 2134 a67 = 1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 47.
    . Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 ) 269−1 269 = 1, 有 2 = −1; 2 ( 69 34 )2 2134 a67 = 1 ⇒ 2 a = a; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 48.
    . Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 ) 269−1 269 = 1, 有 2 = −1; 2 ( 69 34 )2 2134 a67 = 1 ⇒ 2 a = a; . x = ±267 a34 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 49.
    . Example . .. . F269 中求 x,使得 x = 138。 在 2 . .. . . ( ) 138 . 269 = 1,所以 138 是模 269 的二次剩余。 269−1 设置 a = 138,有 a 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 ) 269−1 269 = 1, 有 2 = −1; 2 ( 69 34 )2 2134 a67 = 1 ⇒ 2 a = a; . x = ±267 a34 = ±26 (mod 269)。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 50.
    . 类型三:p ≡ 1(mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 51.
    . 类型三:p ≡ 1(mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 52.
    . 类型三:p ≡ 1(mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 53.
    . 类型三:p ≡ 1(mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 54.
    . 类型三:p ≡ 1(mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 55.
    . 类型三:p ≡ 1(mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 56.
    . 类型三:p ≡ 1(mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; p−1 如果得到 −1,则两边乘以 b 2 ,变 −1 为 1, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 57.
    . 类型三:p ≡ 1(mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; p−1 如果得到 −1,则两边乘以 b 2 ,变 −1 为 1,然后继续 分解。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 58.
    . 类型三:p ≡ 1(mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; p−1 如果得到 −1,则两边乘以 b 2 ,变 −1 为 1,然后继续 分解。 式子在变化中具有形式 bm an = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 59.
    . 类型三:p ≡ 1(mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; p−1 如果得到 −1,则两边乘以 b 2 ,变 −1 为 1,然后继续 分解。 式子在变化中具有形式 bm an = 1; 只要 n, m 都是 2 的倍数,则上述分解操作总可以进 行。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 60.
    . 类型三:p ≡ 1(mod 8), 这是模 4 余 1 的另一子类型。 . . . .. . . 类型二其实是类型三的推广。 . 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; p−1 b 2 = −1; p−1 从 a 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; p−1 如果得到 −1,则两边乘以 b 2 ,变 −1 为 1,然后继续 分解。 式子在变化中具有形式 bm an = 1; 只要 n, m 都是 2 的倍数,则上述分解操作总可以进 行。由于每次分解 n 的 2 因子个数减 1,故此过程总会停 . 止。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 61.
    . 由于乘上去的 b 2 的指数部分所含的 2 因子比 a 的多,. p−1 所以一定是 a 耗尽了指数部分中的因子 2; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 62.
    . 由于乘上去的 b 2 的指数部分所含的 2 因子比 a 的多,. p−1 所以一定是 a 耗尽了指数部分中的因子 2; 也就是说式子变成 bn am = 1, 2 | n, 2 m . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 63.
    . 由于乘上去的 b 2 的指数部分所含的 2 因子比 a 的多,. p−1 所以一定是 a 耗尽了指数部分中的因子 2; 也就是说式子变成 bn am = 1, 2 | n, 2 m 此时只要两边乘上 a 就有: bn am+1 = a . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 64.
    . 由于乘上去的 b 2 的指数部分所含的 2 因子比 a 的多,. p−1 所以一定是 a 耗尽了指数部分中的因子 2; 也就是说式子变成 bn am = 1, 2 | n, 2 m 此时只要两边乘上 a 就有: ( n m+1 )2 bn am+1 = a ⇒ b 2 a 2 =a . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 65.
    . 由于乘上去的 b 2 的指数部分所含的 2 因子比 a 的多,. p−1 所以一定是 a 耗尽了指数部分中的因子 2; 也就是说式子变成 bn am = 1, 2 | n, 2 m 此时只要两边乘上 a 就有: ( n m+1 )2 bn am+1 = a ⇒ b 2 a 2 =a 所以 ( n m+1 ) . x = ± b2a 2 。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 66.
    . Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 67.
    . Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 68.
    . Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 69.
    . Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 70.
    . Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 71.
    . Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; b88 a22 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 72.
    . Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; b88 a22 = 1; b44 a11 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 73.
    . Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; b88 a22 = 1; b44 a11 = 1; b44 a12 = a . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 74.
    . Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; b88 a22 = 1; b44 a11 = 1; ( )2 b44 a12 = a ⇒ b22 a6 = a; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 75.
    . Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; b88 a22 = 1; b44 a11 = 1; ( )2 b44 a12 = a ⇒ b22 a6 = a; . x = ±b22 a6 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 76.
    . Example . .. 在 F353 中,求 x 使得 x2 = 11。 . . .. . . ( ) 11 176 = 1; . 353 = 1,令 a = 11 有 a ( 3 ) 176 = −1; 353 = −1,令 b = 3 有 b a88 = 1; a44 = −1 ⇒ b176 a44 = 1; b88 a22 = 1; b44 a11 = 1; ( )2 b44 a12 = a ⇒ b22 a6 = a; . x = ±b22 a6 = ±94 mod 353。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 77.
    . F2m 上开平方。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 78.
    . F2m 上开平方。 . . . .. . . a ∈ F2m ,求 x ∈ F2m 使得 x2 = a; . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 79.
    . F2m 上开平方。 . . . .. . . a ∈ F2m ,求 x ∈ F2m 使得 x2 = a; . m ( m−1 )2 由于 a2 = a,所以 a2 = a; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 80.
    . F2m 上开平方。 . . . .. . . a ∈ F2m ,求 x ∈ F2m 使得 x2 = a; . m ( m−1 )2 由于 a2 = a,所以 a2 = a; m−1 x = ±a2 ,但由于在特征为 2 的域上,正号和负号没有 区别; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 81.
    . F2m 上开平方。 . . . .. . . a ∈ F2m ,求 x ∈ F2m 使得 x2 = a; . m ( m−1 )2 由于 a2 = a,所以 a2 = a; m−1 x = ±a2 ,但由于在特征为 2 的域上,正号和负号没有 区别; m−1 . x = a2 。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 82.
    . 下面我们介绍一个相关问题,如何在 F2m 上求解方程: . x2 + x = a, a ∈ F2m 。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 83.
    . 下面我们介绍一个相关问题,如何在 F2m 上求解方程: . x2 + x = a, a ∈ F2m 。 要解决这个问题,需要引入“迹”的概念。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 84.
    . 定义 . .. 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: m−1 . Tr(α) = α + α2 + · · · + α2 。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 85.
    . 定义 . .. 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: m−1 . Tr(α) = α + α2 + · · · + α2 。 . .. . . 由于 Char F2m = 2,所以 . 2 m Tr(α) = α2 + α2 + · · · + α2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 86.
    . 定义 . .. 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: m−1 . Tr(α) = α + α2 + · · · + α2 。 . .. . . 由于 Char F2m = 2,所以 . 2 m Tr(α) = α2 + α2 + · · · + α2 2 m −1 = α2 + α2 + · · · + α2 +α . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 87.
    . 定义 . .. 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: m−1 . Tr(α) = α + α2 + · · · + α2 。 . .. . . 由于 Char F2m = 2,所以 . 2 m Tr(α) = α2 + α2 + · · · + α2 2 m −1 = α2 + α2 + · · · + α2 + α = Tr(α) . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 88.
    . 定义 . .. 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: m−1 . Tr(α) = α + α2 + · · · + α2 。 . .. . . 由于 Char F2m = 2,所以 . 2 m Tr(α) = α2 + α2 + · · · + α2 2 m −1 = α2 + α2 + · · · + α2 + α = Tr(α) 可见 Tr(α) ∈ F2 ,即 Tr 是从 F2m 到 F2 的映射, 取值 0 或 1。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 89.
    . 定理 . .. 迹函数有如下性质: . . . 1 对任意 α, β ∈ F m ,有 Tr(α + β) = Tr(α) + Tr(β); 2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 90.
    . 定理 . .. 迹函数有如下性质: . . . 1 对任意 α, β ∈ F m ,有 Tr(α + β) = Tr(α) + Tr(β); 2 . . 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . 2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 91.
    . 定理 . .. 迹函数有如下性质: . . . 1 对任意 α, β ∈ F m ,有 Tr(α + β) = Tr(α) + Tr(β); 2 . . 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . 2 . . . . 对任意的 α ∈ F2m ,有 Tr(α ) = Tr(α)。 3 2 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 92.
    . 定理 . .. 迹函数有如下性质: . . . 1 对任意 α, β ∈ F m ,有 Tr(α + β) = Tr(α) + Tr(β); 2 . . 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . 2 . . . . 对任意的 α ∈ F2m ,有 Tr(α ) = Tr(α)。 3 2 . .. . . 证明作为简单的练习。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 93.
    . 定理 . .. 迹函数有如下性质: . . . 1 对任意 α, β ∈ F m ,有 Tr(α + β) = Tr(α) + Tr(β); 2 . . 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . 2 . . . . 对任意的 α ∈ F2m ,有 Tr(α ) = Tr(α)。 3 2 . .. . . 证明作为简单的练习。 . 前两条说 Tr 函数是向量空间 F2 × F2m 到自身的一个线性 映射。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 94.
    . 定理 . .. 迹函数有如下性质: . . . 1 对任意 α, β ∈ F m ,有 Tr(α + β) = Tr(α) + Tr(β); 2 . . 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . 2 . . . . 对任意的 α ∈ F2m ,有 Tr(α ) = Tr(α)。 3 2 . .. . . 证明作为简单的练习。 . 前两条说 Tr 函数是向量空间 F2 × F2m 到自身的一个线性 映射。 迹函数并不限于 F2m ,我们这里介绍的只是它的一个特殊 . 情形。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 95.
    . 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 96.
    . 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . 充分性 . 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 97.
    . 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . 充分性 . 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 98.
    . 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . 充分性 . 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) = Tr(x0 2 ) + Tr(x0 ) . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 99.
    . 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . 充分性 . 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) = Tr(x0 2 ) + Tr(x0 ) ( )2 = Tr(x0 ) + Tr(x0 ) . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 100.
    . 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . 充分性 . 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) = Tr(x0 2 ) + Tr(x0 ) ( )2 = Tr(x0 ) + Tr(x0 ) = 0 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 101.
    . 定理 . .. 域 F2m 上方程 x . 2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . .. . . 充分性 . 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) = Tr(x0 2 ) + Tr(x0 ) ( )2 = Tr(x0 ) + Tr(x0 ) = 0 必要性要难一些,分两种情形处理。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 102.
    . 情形一:m 是奇数。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 103.
    . 情形一:m 是奇数。 . . . .. . . 2 4 令 β = α + α2 + α2 · · · + α2 m−1 ; . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 104.
    . 情形一:m 是奇数。 . . . .. . . 2 4 令 β = α + α2 + α2 · · · + α2 m−1 ; . 3 5 m 则 β2 = α2 + α2 + α2 + · · · + α2 ; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 105.
    . 情形一:m 是奇数。 . . . .. . . 2 4 令 β = α + α2 + α2 · · · + α2 m−1 ; . 3 5 m 则 β2 = α2 + α2 + α2 + · · · + α2 ; m β2 + β = Tr(α) + α2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 106.
    . 情形一:m 是奇数。 . . . .. . . 2 4 令 β = α + α2 + α2 · · · + α2 m−1 ; . 3 5 m 则 β2 = α2 + α2 + α2 + · · · + α2 ; m β2 + β = Tr(α) + α2 = α; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 107.
    . 情形一:m 是奇数。 . . . .. . . 2 4 令 β = α + α2 + α2 · · · + α2 m−1 ; . 3 5 m 则 β2 = α2 + α2 + α2 + · · · + α2 ; m β2 + β = Tr(α) + α2 = α; β 是方程 x2 + x = α 的解。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 108.
    . 情形一:m 是奇数。 . . . .. . . 2 4 令 β = α + α2 + α2 · · · + α2 m−1 ; . 3 5 m 则 β2 = α2 + α2 + α2 + · · · + α2 ; m β2 + β = Tr(α) + α2 = α; β 是方程 x2 + x = α 的解。 . 容易验证 β + 1 是另外一个解。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 109.
    . 情形二:m 是偶数。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 110.
    . 情形二:m 是偶数。设有 ρ满足 Tr(ρ) = 1。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 111.
    . 情形二:m 是偶数。设有 ρ满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 112.
    . 情形二:m 是偶数。设有 ρ满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . ( 22 3 m−1 )2 3 m−1 2 2 (ρ + ρ2 + · · · + ρ2 )α2 = (ρ2 + · · · + ρ2 )α2 + ρα2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 113.
    . 情形二:m 是偶数。设有 ρ满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . ( 22 3 m−1 )2 3 m−1 2 2 (ρ + ρ2 + · · · + ρ2 )α2 = (ρ2 + · · · + ρ2 )α2 + ρα2 ( 23 4 m−1 2 )2 4 m−1 3 3 (ρ + ρ2 + · · · + ρ2 )α2 ) = (ρ2 + · · · + ρ2 )α2 + ρα2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 114.
    . 情形二:m 是偶数。设有 ρ满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . ( 22 3 m−1 )2 3 m−1 2 2 (ρ + ρ2 + · · · + ρ2 )α2 = (ρ2 + · · · + ρ2 )α2 + ρα2 ( 23 4 m−1 2 )2 4 m−1 3 3 (ρ + ρ2 + · · · + ρ2 )α2 ) = (ρ2 + · · · + ρ2 )α2 + ρα2 ······ . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 115.
    . 情形二:m 是偶数。设有 ρ满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . ( 22 3 m−1 )2 3 m−1 2 2 (ρ + ρ2 + · · · + ρ2 )α2 = (ρ2 + · · · + ρ2 )α2 + ρα2 ( 23 4 m−1 2 )2 4 m−1 3 3 (ρ + ρ2 + · · · + ρ2 )α2 ) = (ρ2 + · · · + ρ2 )α2 + ρα2 ······ ( 2m−2 m−1 m−3 )2 m−1 m−2 m−2 (ρ + ρ2 )α2 = (ρ2 )α2 + ρα2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 116.
    . 情形二:m 是偶数。设有 ρ满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . ( 22 3 m−1 )2 3 m−1 2 2 (ρ + ρ2 + · · · + ρ2 )α2 = (ρ2 + · · · + ρ2 )α2 + ρα2 ( 23 4 m−1 2 )2 4 m−1 3 3 (ρ + ρ2 + · · · + ρ2 )α2 ) = (ρ2 + · · · + ρ2 )α2 + ρα2 ······ ( 2m−2 m−1 m−3 )2 m−1 m−2 m−2 (ρ + ρ2 )α2 = (ρ2 )α2 + ρα2 ( 2m−1 2m−2 )2 m−1 .(ρ )α = (0) + ρα2 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 117.
    . 情形二:m 是偶数。设有 ρ满足 Tr(ρ) = 1。 . . . .. . . ( 2 )2 2 (ρ + ρ2 + · · · + ρ2 m−1 2 )α = (ρ2 + · · · + ρ2 m−1 )α2 + ρα2 . ( 22 3 m−1 )2 3 m−1 2 2 (ρ + ρ2 + · · · + ρ2 )α2 = (ρ2 + · · · + ρ2 )α2 + ρα2 ( 23 4 m−1 2 )2 4 m−1 3 3 (ρ + ρ2 + · · · + ρ2 )α2 ) = (ρ2 + · · · + ρ2 )α2 + ρα2 ······ ( 2m−2 m−1 m−3 )2 m−1 m−2 m−2 (ρ + ρ2 )α2 = (ρ2 )α2 + ρα2 ( 2m−1 2m−2 )2 m−1 .(ρ )α = (0) + ρα2 . .. . . ∑ 2i−1 m−1 2j m−1 ∑ . 令 β= α ρ ,将上面各式累加,有 α + β2 = β . i=1 j=i . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 118.
    . 所以 β2 + β = α,β 是一个解。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 119.
    . 所以 β2 + β = α,β 是一个解。 . 容易验证 β + 1 是另一个解。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 120.
    . 所以 β2 + β = α,β 是一个解。 . 容易验证 β + 1 是另一个解。 显然这个方法也可以解决情形一,但我们处理情形一的方法 更简洁。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 121.
    . 所以 β2 + β = α,β 是一个解。 . 容易验证 β + 1 是另一个解。 显然这个方法也可以解决情形一,但我们处理情形一的方法 更简洁。 满足 Tr(ρ) = 1 的 ρ 可以在 F2m 中随机搜索,成功率 . 是 1/2。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 122.
    . §9.5 有限域中离散对数 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 123.
    . 背景介绍: . . . .. . . 设 a, b, c 满足关系 a = bc ,则称 c 是 a 关于 b 的对 . 数,记 成 c = logb a。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 124.
    . 背景介绍: . . . .. . . 设 a, b, c 满足关系 a = bc ,则称 c 是 a 关于 b 的对 . 数,记 成 c = logb a。 如果 a, b ∈ R,那么求 a 关于 b 的对数是相对容易的。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 125.
    . 背景介绍: . . . .. . . 设 a, b, c 满足关系 a = bc ,则称 c 是 a 关于 b 的对 . 数,记 成 c = logb a。 如果 a, b ∈ R,那么求 a 关于 b 的对数是相对容易的。 如果 a, b 是某个有限域 Fq 中的元素,求正整数 n 使得 . a = bn ,一般是个很困难的问题。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 126.
    . 定义 . .. 设 Fq 是 q 元有限域,b 是循环群 F∗ 的一个生成 q 元,a ∈ F∗ 。 q . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 127.
    . 定义 . .. 设 Fq 是 q 元有限域,b 是循环群 F∗ 的一个生成 q 元,a ∈ F∗ 。 q 若正整数 n q − 1,使得 a = bn ,则称 n 为 a 关于底 数 b 的离散对数。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 128.
    . 定义 . .. 设 Fq 是 q 元有限域,b 是循环群 F∗ 的一个生成 q 元,a ∈ F∗ 。 q 若正整数 n q − 1,使得 a = bn ,则称 n 为 a 关于底 数 b 的离散对数。 记为 . n = logb a。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 129.
    . Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 2 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 130.
    . Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 131.
    . Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . . . 2 log 2 = 2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 132.
    . Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . . . 2 log 2 = 1; 2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 133.
    . Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . 2. . 2 log 2 = 1; . log2 3 = . . 3 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 134.
    . Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . 2. . 2 log 2 = 1; . log2 3 = 3; . . 3 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 135.
    . Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . 2 . . 2 log 2 = 1; 3 . log2 3 = 3; . . . . log2 4 = 4 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 136.
    . Example . .. . Z5 中,2 是一个本原元,有: 在 . .. . . . . . 1 log 1 = 0; 2 . . 2 . . 2 log 2 = 1; 3 . log2 3 = 3; . . . . log2 4 = 2。 4 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 137.
    . 当 q 比较小的时候,Fq上离散对数的问题可以通过穷搜解 . 决。 但当 q 很大的时候,穷搜的效果就不好了。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 138.
    . 当 q 比较小的时候,Fq上离散对数的问题可以通过穷搜解 . 决。 但当 q 很大的时候,穷搜的效果就不好了。下面我们介绍 两种求离散对数的方法,它们略优于穷搜。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 139.
    . Silver, Pohlig 和Hellman 的方法。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 140.
    . Silver, Pohlig 和Hellman 的方法。 . . . .. . . 这个方法揉合了分治和时空转换。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 141.
    . Silver, Pohlig 和Hellman 的方法。 . . . .. . . 这个方法揉合了分治和时空转换。 . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 142.
    . Silver, Pohlig 和Hellman 的方法。 . . . .. . . 这个方法揉合了分治和时空转换。 . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q ∏ α 设 q − 1 的典范分解为 p p; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 143.
    . Silver, Pohlig 和Hellman 的方法。 . . . .. . . 这个方法揉合了分治和时空转换。 . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q ∏ α 设 q − 1 的典范分解为 p p; 如果我们能求出 x ≡ xp (mod pαp ),则可以用中国剩余定 . 理求出 x。 [分治] . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 144.
    . 若 gx =b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 145.
    . 若 gx =b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 146.
    . 若 gx =b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . gx = b ⇒ ga0 +a1 p+··· = b . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 147.
    . 若 gx =b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 148.
    . 若 gx =b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p ,0 a0 < p, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 149.
    . 若 gx =b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 150.
    . 若 gx =b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; gx = b ⇒ ga0 +a1 p+··· = b . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 151.
    . 若 gx =b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; 2 +··· gx = b ⇒ ga0 +a1 p+··· = b ⇒ ga1 p+a2 p = bg−a0 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 152.
    . 若 gx =b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; 2 +··· gx = b ⇒ ga0 +a1 p+··· = b ⇒ ga1 p+a2 p = bg−a0 q−1 q−1 2 +··· ⇒ (ga1 p+a2 p ) p2 = (bg−a0 ) p2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 153.
    . 若 gx =b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; 2 +··· gx = b ⇒ ga0 +a1 p+··· = b ⇒ ga1 p+a2 p = bg−a0 q−1 q−1 q−1 2 +··· ⇒ (ga1 p+a2 p ) p2 = (bg−a0 ) p2 ⇒ g a1 p = q−1 (bg−a0 ) p2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 154.
    . 若 gx =b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; 2 +··· gx = b ⇒ ga0 +a1 p+··· = b ⇒ ga1 p+a2 p = bg−a0 q−1 q−1 q−1 2 +··· ⇒ (ga1 p+a2 p ) p2 = (bg−a0 ) p2 ⇒ g a1 p = q−1 (bg−a0 ) p2 . 通过测试求出 a1 ; . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 155.
    . 若 gx =b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 . . α) . .. . . 设 xp = a0 + a1 p + · · · + aα−1 pα−1 ,而 x = xp + pα t; . q−1 q−1 gx = b ⇒ ga0 +a1 p+··· = b ⇒ (ga0 +a1 p+··· ) p =b p q−1 所以有 ga0 = b p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; 2 +··· gx = b ⇒ ga0 +a1 p+··· = b ⇒ ga1 p+a2 p = bg−a0 q−1 q−1 q−1 2 +··· ⇒ (ga1 p+a2 p ) p2 = (bg−a0 ) p2 ⇒ g a1 p = q−1 (bg−a0 ) p2 . 通过测试求出 a1 ;如是重复,直到求出 aα−1 ,并得到 xp . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 156.
    . q−1 . 在上述过程会重复遇到如下问题:在等式 gai p = ··· 中 确定 ai 的值。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 157.
    . q−1 . 在上述过程会重复遇到如下问题:在等式 gai p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 158.
    . q−1 . 在上述过程会重复遇到如下问题:在等式 gai p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 这个问题独立于具体的 b,只跟 q, g 有关。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 159.
    . q−1 . 在上述过程会重复遇到如下问题:在等式 gai p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 这个问题独立于具体的 b,只跟 q, g 有关。 可以对 q − 1 的所有素因子 p,预先计算出 q − 1 2q − 1 q−1 g ,g , . . . , gp−1 。 p p p 的值; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 160.
    . q−1 . 在上述过程会重复遇到如下问题:在等式 gai p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 这个问题独立于具体的 b,只跟 q, g 有关。 可以对 q − 1 的所有素因子 p,预先计算出 q − 1 2q − 1 q−1 g ,g , . . . , gp−1 。 p p p 的值; 由于 g 是 Fq 的本原元,所以上面的数两两不同,且不 为 1。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 161.
    . q−1 . 在上述过程会重复遇到如下问题:在等式 gai p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 这个问题独立于具体的 b,只跟 q, g 有关。 可以对 q − 1 的所有素因子 p,预先计算出 q − 1 2q − 1 q−1 g ,g , . . . , gp−1 。 p p p 的值; 由于 g 是 Fq 的本原元,所以上面的数两两不同,且不 为 1。 把这些数保存起来,则以后可以通过查表求值,不用每次去 . 穷搜了。 [时空转换] . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 162.
    . Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 163.
    . Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5, . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 164.
    . Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 165.
    . Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 2a0 +a1 2+··· = 62 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 166.
    . Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 181−1 181−1 2a0 +a1 2+··· = 62 ⇒ 2a0 2 = 62 2 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 167.
    . Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 181−1 181−1 2a0 +a1 2+··· = 62 ⇒ 2a0 2 = 62 2 = 1 ⇒ a0 = 0; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 168.
    . Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 181−1 181−1 2a0 +a1 2+··· = 62 ⇒ 2a0 2 = 62 2 = 1 ⇒ a0 = 0; 2a1 2+··· = 62 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 169.
    . Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 181−1 181−1 2a0 +a1 2+··· = 62 ⇒ 2a0 2 = 62 2 = 1 ⇒ a0 = 0; 2a1 2+··· = 62 ⇒ 2a0 181−1 4 = 62 181−1 4 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 170.
    . Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 181−1 181−1 2a0 +a1 2+··· = 62 ⇒ 2a0 2 = 62 2 = 1 ⇒ a0 = 0; 2a1 2+··· = 62 ⇒ 2a0 181−1 4 = 62 181−1 4 = 1 ⇒ a1 = 0; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 171.
    . Example . .. 在 F181 中,2 是一个本原元,求 log2 62。 . . .. . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: . 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 181−1 181−1 2a0 +a1 2+··· = 62 ⇒ 2a0 2 = 62 2 = 1 ⇒ a0 = 0; 2a1 2+··· = 62 ⇒ 2a0 181−1 4 = 62 181−1 4 = 1 ⇒ a1 = 0; . x2 = 0; . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 172.
    . 求 x3 . 2a0 +a1 3+··· = 62 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 173.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 174.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 175.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 176.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 =1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 177.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 178.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 179.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 2a0 +a1 3+··· = 62 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 180.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 5 = 62 5 = 1 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 181.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 5 = 62 5 = 1 ⇒ a0 = 0; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 182.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 5 = 62 5 = 1 ⇒ a0 = 0; x5 = 0; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 183.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 5 = 62 5 = 1 ⇒ a0 = 0; x5 = 0; 求解同余方程组 x ≡ 0 (mod 4) x ≡ 1 (mod 9) x ≡ 0 (mod 5) . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 184.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 5 = 62 5 = 1 ⇒ a0 = 0; x5 = 0; 求解同余方程组 x ≡ 0 (mod 4) x ≡ 1 (mod 9) x ≡ 0 (mod 5) . 得 x ≡ 100 (mod 181), . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 185.
    . 求 x3 . 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 3 = 62 3 = 48 ⇒ a0 = 1; 2a1 3+a2 32 +··· = 2−a0 62 ⇒ 2 a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 181−1 181−1 2a0 +a1 3+··· = 62 ⇒ 2a0 5 = 62 5 = 1 ⇒ a0 = 0; x5 = 0; 求解同余方程组 x ≡ 0 (mod 4) x ≡ 1 (mod 9) x ≡ 0 (mod 5) . 得 x ≡ 100 (mod 181),即 log2 62 = 100。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 186.
    . Shanks 小步大步法。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 187.
    . Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 188.
    . Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 189.
    . Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 190.
    . Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; q−1 如果直接穷举 x, 期望猜测次数为 2 ; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 191.
    . Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; q−1 如果直接穷举 x, 期望猜测次数为 2 ; √ 令 m = [ q − 1],设 x = mi + j, 0 j < m; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 192.
    . Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; q−1 如果直接穷举 x, 期望猜测次数为 2 ; √ 令 m = [ q − 1],设 x = mi + j, 0 j < m; y = gx ⇒ y · g−mi = gj ; . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 193.
    . Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; q−1 如果直接穷举 x, 期望猜测次数为 2 ; √ 令 m = [ q − 1],设 x = mi + j, 0 j < m; y = gx ⇒ y · g−mi = gj ; 如果我们预先把所有的 gj 计算出来并保存, . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 194.
    . Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; q−1 如果直接穷举 x, 期望猜测次数为 2 ; √ 令 m = [ q − 1],设 x = mi + j, 0 j < m; y = gx ⇒ y · g−mi = gj ; 如果我们预先把所有的 gj 计算出来并保存, 则求解时只需要计算一系列的 yg−mi ,并在预计算的 gj 值中搜索匹配项就可以了。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 195.
    . Shanks 小步大步法。 . . . .. . . 设 g 是 Fq 的本原元,y ∈ F∗ , 求 x = logg y; q . 这个方法本质上是时空转换。gx = b, 0 x < q − 1; q−1 如果直接穷举 x, 期望猜测次数为 2 ; √ 令 m = [ q − 1],设 x = mi + j, 0 j < m; y = gx ⇒ y · g−mi = gj ; 如果我们预先把所有的 gj 计算出来并保存, 则求解时只需要计算一系列的 yg−mi ,并在预计算的 gj 值中搜索匹配项就可以了。 这种方法也叫中间相遇,期望的猜测次数约 √ . 为 [ q − 1]/2。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 196.
    . Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 197.
    . Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . √ m = [ 101 − 1 ] = 10; . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 198.
    . Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . √ m = [ 101 − 1 ] = 10; . j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 199.
    . Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . √ m = [ 101 − 1 ] = 10; . j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 y = 3,穷搜: i 0 1 2 3 4 5 6 7 ··· y · 2−10i 3 94 50 18 59 98 7 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 200.
    . Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . √ m = [ 101 − 1 ] = 10; . j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 y = 3,穷搜: i 0 1 2 3 4 5 6 7 ··· y · 2−10i 3 94 50 18 59 98 7 . y · 2−10·6 = 29 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 201.
    . Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . √ m = [ 101 − 1 ] = 10; . j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 y = 3,穷搜: i 0 1 2 3 4 5 6 7 ··· y · 2−10i 3 94 50 18 59 98 7 . y · 2−10·6 = 29 ⇒ 3 = 269 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 202.
    . Example . .. 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . .. . . √ m = [ 101 − 1 ] = 10; . j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 y = 3,穷搜: i 0 1 2 3 4 5 6 7 ··· y · 2−10i 3 94 50 18 59 98 7 . y · 2−10·6 = 29 ⇒ 3 = 269 ⇒ log2 3 = 69。 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 203.
    . 当 q 很大时,前面提到两个方法都没有什么实际效果。 . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 204.
    . 当 q 很大时,前面提到两个方法都没有什么实际效果。这看上. 去似乎很糟糕,但如果换一个角度—从密码学的角度看,这却是 一个很好的性质。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 205.
    . 当 q 很大时,前面提到两个方法都没有什么实际效果。这看上. 去似乎很糟糕,但如果换一个角度—从密码学的角度看,这却是 一个很好的性质。在下节中,我们将介绍有限域,离散对数在密 码学中的作用。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 206.
    . . §9.6 有限域在编码 . 和密码中的应用 . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 207.
    . 在网络上身处异地的两个用户 A 和B,在进行保密通信前常需 . 要在网络上交换信息,约定一个数—密钥。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 208.
    . 在网络上身处异地的两个用户 A 和B,在进行保密通信前常需 . 要在网络上交换信息,约定一个数—密钥。该密钥只有这两个用 户知道,任何第三方即使截获了 A 和 B 在网上交换的信息, 也不能获取该密钥。 . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 209.
    . 在网络上身处异地的两个用户 A 和B,在进行保密通信前常需 . 要在网络上交换信息,约定一个数—密钥。该密钥只有这两个用 户知道,任何第三方即使截获了 A 和 B 在网上交换的信息, 也不能获取该密钥。 . . .. . . 这听上去有的不大现实,是吧? . . . .. . . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 210.
    设 g 是Fq 的本原元,A 和 B 采取以下 步骤产生密钥: . . A . C . B . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 211.
    设 g 是Fq 的本原元,A 和 B 采取以下 步骤产生密钥: 建 . 议 gx . . . 1 A 秘密地选取一个整数 x,计 算 gx ,并把结果发给 B; . . A . C . B . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 212.
    设 g 是Fq 的本原元,A 和 B 采取以下 步骤产生密钥: 建 . 议 gx . . . 1 A 秘密地选取一个整数 x,计 算 gx ,并把结果发给 B; . 议 建 g y . B 秘密地选取一个整数 y,计 . . 2 y 算 g ,并把结果发给 A; . . A . C . B . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 213.
    设 g 是Fq 的本原元,A 和 B 采取以下 步骤产生密钥: 建 . 议 gx . . . 1 A 秘密地选取一个整数 x,计 算 gx ,并把结果发给 B; . 议 建 y g . B 秘密地选取一个整数 y,计 . . 2 y 算 g ,并把结果发给 A; . A 使用 y(gy)x . . 3 x 作为密钥,而 B 使 用 (g ) ; . gxy 加密通信 用 . . A . C . B . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 214.
    设 g 是Fq 的本原元,A 和 B 采取以下 步骤产生密钥: 建 . 议 gx . . . 1 A 秘密地选取一个整数 x,计 算 gx ,并把结果发给 B; . 议 建 y g . B 秘密地选取一个整数 y,计 . . 2 y 算 g ,并把结果发给 A; . A 使用 y(gy)x . . 3 x 作为密钥,而 B 使 用 (g ) ; . gxy 加密通信 用 . . (gy )x = gxy = (gx )y ; . 4 . . A . C . B . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 215.
    设 g 是Fq 的本原元,A 和 B 采取以下 步骤产生密钥: 建 . 议 gx . . . 1 A 秘密地选取一个整数 x,计 算 gx ,并把结果发给 B; . 议 建 y g . B 秘密地选取一个整数 y,计 . . 2 y 算 g ,并把结果发给 A; . A 使用 y(gy)x . . 3 x 作为密钥,而 B 使 用 (g ) ; . gxy 加密通信 用 . . (gy )x = gxy = (gx )y ; . 4 . 即使 C 在中间偷听了整个过程,由于离散 . A . C . B 对数问题的困难性,C 无法从 gx , gy 中 得到 x, y 或 gxy 。 . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  • 216.
    本节完,谢谢! 磊张 印晓 . . . . . . 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》