Алгоритмы быстрого возведения в степень по модулю

Алгоритмы быстрого возведения в степень по модулю — разновидность алгоритмов возведения в степень по модулю, широко использующихся в различных криптосистемах, для ускорения вычислительных операций с большими числами.

Метод с использованием Китайской теоремы об остаткахПравить

Описание методаПравить

Пусть требуется вычислить $\text{[math]}$ $\text{[math]}$ $S=x^{a}{\bmod {n}}$ , где числа $\text{[math]}$ $\text{[math]}$ $x, a, n$ достаточно большие и пусть модуль может быть разложен на простые делители $\text{[math]}$ $\text{[math]}$ $n=p_{1}p_{2}...p_{j}$ . Тогда для быстрого возведения в степень по модулю можно воспользоваться китайской теоремой об остатках и решить систему уравнений (предварительно посчитав вычеты $\text{[math]}$ $\text{[math]}$ $x^{a}\equiv r_{i}{\pmod {p_{i}}}$ с использованием теоремы Ферма, где $\text{[math]}$ $\text{[math]}$ $i=1,2,...,j$ ):

$\text{[math]}$ $\text{[math]}$ ${\begin{cases}x^{a}\equiv r_{1}{\pmod {p_{1}}},\qquad 0\leqslant r_{1}<p_{1}\\x^{a}\equiv r_{2}{\pmod {p_{2}}},\qquad 0\leqslant r_{2}<p_{2}\\\qquad ......\qquad \qquad \qquad ......\\x^{a}\equiv r_{j}{\pmod {p_{j}}},\qquad 0\leqslant r_{j}<p_{j}\\\end{cases}}$

Заменив $\text{[math]}$ $\text{[math]}$ $x^{a}$ на $\text{[math]}$ $\text{[math]}$ $t$ для удобства, решаем систему относительно $\text{[math]}$ $\text{[math]}$ $t$ и получаем $\text{[math]}$ $\text{[math]}$ $S$ .

Пример

Пусть требуется вычислить $\text{[math]}$ $\text{[math]}$ $S=3^{5}{\bmod {3}}0$

$\text{[math]}$ $\text{[math]}$ ${\begin{cases}t=3^{5}\equiv 1{\pmod {2}}\\t=3^{5}\equiv 0{\pmod {3}}\\t=3^{5}\equiv 3{\pmod {5}}\\\end{cases}}$

Представим систему в виде

$\text{[math]}$ $\text{[math]}$ ${\begin{cases}t=3^{5}=1+2u\\t=3^{5}=0+3v\\t=3^{5}=3+5w\\\end{cases}}$

Подставив t из первого уравнения во второе, получим $\text{[math]}$ $\text{[math]}$ $1+2u\equiv 0{\pmod {3}}$ , тогда $\text{[math]}$ $\text{[math]}$ $2u\equiv 2{\pmod {3}}$ , или $\text{[math]}$ $\text{[math]}$ $u\equiv 1{\pmod {3}}$ , или $\text{[math]}$ $\text{[math]}$ $u=1+3h$ ;

подставив затем t из первого уравнения в третье с учетом выражения для $\text{[math]}$ $\text{[math]}$ $u$ получим $\text{[math]}$ $\text{[math]}$ $1+2(1+3h)\equiv 3{\pmod {5}}$ или $\text{[math]}$ $\text{[math]}$ $6h\equiv 0{\pmod {5}}$ , тогда $\text{[math]}$ $\text{[math]}$ $h=0{\pmod {5}}$ ;

тогда $\text{[math]}$ $\text{[math]}$ $t=3^{5}\equiv 1+2(1+3\cdot 0)\equiv 3{\pmod {5}}$ следовательно, $\text{[math]}$ $\text{[math]}$ $S=3^{5}{\bmod {5}}=3$ ;

ПрименениеПравить

Значительный выигрыш от данного алгоритма можно получить при выполнении умножения. Умножение будет проводится в два раза быстрее при использовании данного алгоритма.

Вычислительная сложностьПравить

Данный метод позволяет сократить количество вычислений в $\text{[math]}$ $\text{[math]}$ $3-4$ раза. Пусть $\text{[math]}$ $\text{[math]}$ $a$ имеет длину $\text{[math]}$ $\text{[math]}$ $k$ бит. При обычном возведении в степень затратится около $\text{[math]}$ $\text{[math]}$ $3k/2$ умножений по модулю. Пусть мы хотим вычислить $\text{[math]}$ $\text{[math]}$ $(x^{a}{\bmod {p}},x^{a}{\bmod {q}})$ . Сокращая $\text{[math]}$ $\text{[math]}$ $a$ на $\text{[math]}$ $\text{[math]}$ $p-1$ и $\text{[math]}$ $\text{[math]}$ $q-1$ задача сводится к вычислению $\text{[math]}$ $\text{[math]}$ $(x^{a{\bmod {(}}p-1)}{\bmod {p}},x^{a{\bmod {(}}q-1)}{\bmod {q}})$ . Каждая степень в данной записи имеет длину $\text{[math]}$ $\text{[math]}$ $k/2$ . Поэтому каждая операция возведения в степень потребует $\text{[math]}$ $\text{[math]}$ $3k/4$ операций. Итого потребуется $\text{[math]}$ $\text{[math]}$ $2\cdot 3k/4=3k/2$ умножений по модулю простого числа $\text{[math]}$ $\text{[math]}$ $p$ или $\text{[math]}$ $\text{[math]}$ $q$ вместо изначального умножения по модулю $\text{[math]}$ $\text{[math]}$ $n$ .

Метод повторяющихся возведения в квадрат и умноженияПравить

Пример блок-схемы метода повторяющихся возведения в квадрат и умножения

Описание методаПравить

Пусть требуется вычислить $\text{[math]}$ $\text{[math]}$ $x^{a}{\bmod {n}}$ . Представим степень $\text{[math]}$ $\text{[math]}$ $a=a_{j-1}2^{j-1}+a_{j-2}2^{j-2}+...+a_{2}2^{2}+a_{1}2^{1}+a_{0}$ , где $\text{[math]}$ $\text{[math]}$ $a_{j}=(0,1)$

Представим $\text{[math]}$ $\text{[math]}$ $x^{a}{\bmod {n}}$ в виде:

$\text{[math]}$ $\text{[math]}$ $x^{a}{\bmod {n}}=x^{a_{j-1}2^{j-1}+a_{j-2}2^{j-2}+...+a_{2}2^{2}+a_{1}2^{1}+a_{0}}{\bmod {n}}=$

$\text{[math]}$ $\text{[math]}$ $=(x^{2})^{a_{j-1}2^{j-2}+a_{j-2}2^{j-3}+...+a_{1}2^{0}}x^{a_{0}}{\bmod {n}}=$

$\text{[math]}$ $\text{[math]}$ $=((x^{2})^{2})^{a_{j-1}2^{j-3}+a_{j-2}2^{j-4}+...+a_{2}2^{0}}(x^{2})^{a_{1}}x^{a_{0}}{\bmod {n}}=$

$\text{[math]}$ $\text{[math]}$ $=(...((x^{2})^{2}...)^{2})^{a_{j-1}}...(x^{8})^{a_{3}}(x^{4})^{a_{2}}(x^{2})^{a_{1}}x^{a_{0}}{\bmod {n}}$

Далее высчитывается значение выражения $\text{[math]}$ $\text{[math]}$ $x^{2}{\bmod {n}}$ и проводится замена в преобразованном выражении.

Данная операция производится до тех пор пока не будет найден результат.

Пример

Пусть требуется вычислить $\text{[math]}$ $\text{[math]}$ $249^{321}{\bmod {4}}99$ . Представим степень в виде $\text{[math]}$ $\text{[math]}$ $321=256+64+1=2^{8}+2^{6}+2^{0}$ . Представим $\text{[math]}$ $\text{[math]}$ $249^{321}{\bmod {4}}99$ в виде $\text{[math]}$ $\text{[math]}$ $249^{321}{\bmod {4}}99=249^{2^{8}+2^{6}+2^{0}}{\bmod {4}}99=$

$\text{[math]}$ $\text{[math]}$ $=(((((((249^{2})^{2})^{2})^{2})^{2})^{2})^{2})^{2}(((((249^{2})^{2})^{2})^{2})^{2})^{2}249{\bmod {4}}99=[249^{2}\equiv 125({\bmod {4}}99)]=$

$\text{[math]}$ $\text{[math]}$ $=((((((125^{2})^{2})^{2})^{2})^{2})^{2})^{2}((((125^{2})^{2})^{2})^{2})^{2}249{\bmod {4}}99=[125^{2}\equiv 156({\bmod {4}}99)]=$

$\text{[math]}$ $\text{[math]}$ $=(((((156^{2})^{2})^{2})^{2})^{2})^{2}(((156^{2})^{2})^{2})^{2}249{\bmod {4}}99=[156^{2}\equiv 384({\bmod {4}}99)]=$

$\text{[math]}$ $\text{[math]}$ $=((((384^{2})^{2})^{2})^{2})^{2}((384^{2})^{2})^{2}249{\bmod {4}}99=[384^{2}\equiv 251({\bmod {4}}99)]=$

$\text{[math]}$ $\text{[math]}$ $=(((251^{2})^{2})^{2})^{2}(251^{2})^{2}249{\bmod {4}}99=[251^{2}\equiv 127({\bmod {4}}99)]=$

$\text{[math]}$ $\text{[math]}$ $=((127^{2})^{2})^{2}127^{2}249{\bmod {4}}99=[127^{2}\equiv 161({\bmod {4}}99)]=$

$\text{[math]}$ $\text{[math]}$ $=(161^{2})^{2}161*249{\bmod {4}}99=[161^{2}\equiv 472({\bmod {4}}99)]=$

$\text{[math]}$ $\text{[math]}$ $=472^{2}161*249{\bmod {4}}99=[472^{2}\equiv 230({\bmod {4}}99)]=$

$\text{[math]}$ $\text{[math]}$ $=230*161*249{\bmod {4}}99=447$

ПрименениеПравить

Если $\text{[math]}$ $\text{[math]}$ $n$ — простое или является произведением двух больших простых чисел, то обычно используют метод повторяющихся возведения в квадрат и умножения. Однако, если $\text{[math]}$ $\text{[math]}$ $n$ — составное, то обычно используют это метод вместе с китайской теоремой об остатках.

Вычислительная сложностьПравить

Средняя сложность данного алгоритма равна $\text{[math]}$ $\text{[math]}$ $1,5a$ операций умножения двух $\text{[math]}$ $\text{[math]}$ $a$ -битовых чисел плюс $\text{[math]}$ $\text{[math]}$ $1,5a$ операций деления $\text{[math]}$ $\text{[math]}$ $2a$ -битовых чисел на $\text{[math]}$ $\text{[math]}$ $a$ -битовое число. Для $\text{[math]}$ $\text{[math]}$ $1000$ -битовых и более длинных чисел данный алгоритм выполняется на ЭВМ достаточно быстро.

Метод Монтгомери возведения в степеньПравить

ИсторияПравить

Данный метод был предложен 1985 году Питером Монтгомери для ускорения выполнения модульного возведения в степень.

Описание методаПравить

В этом методе каждому числу $\text{[math]}$ $\text{[math]}$ $x$ ставится в соответствие некоторый образ $\text{[math]}$ $\text{[math]}$ $F(x)$ и все вычисления производятся с $\text{[math]}$ $\text{[math]}$ $F(x)$ , а в конце производится переход от образа к числу.

Теорема(Монтгомери).

Пусть $\text{[math]}$ $\text{[math]}$ $N, R$ — взаимно простые положительные целые числа, а $\text{[math]}$ $\text{[math]}$ $N'=(-N^{-1}){\bmod {R}}$ . Тогда для любого целого $\text{[math]}$ $\text{[math]}$ $x$ число $\text{[math]}$ $\text{[math]}$ $y=x+N((xN'){\bmod {R}})$ делится на $\text{[math]}$ $\text{[math]}$ $R$ , причем $\text{[math]}$ $\text{[math]}$ $y/R\equiv xR^{-1}({\bmod {N}})$ . Более того, если $\text{[math]}$ $\text{[math]}$ $0\leqslant x<RN$ , то разность $\text{[math]}$ $\text{[math]}$ $y/R-((xR^{-1}){\bmod {N}})$ равна либо $\text{[math]}$ $\text{[math]}$ $0$ , либо $\text{[math]}$ $\text{[math]}$ $N$ .

Данная теорема позволяет вычислить оптимальным способом величину $\text{[math]}$ $\text{[math]}$ $(xR^{-1}){\bmod {N}}$ для некоторого удобно выбранного $\text{[math]}$ $\text{[math]}$ $R$ .

Определение 1. Для чисел $\text{[math]}$ $\text{[math]}$ $R$ , $\text{[math]}$ $\text{[math]}$ $N$ , $\text{[math]}$ $\text{[math]}$ $x$ , таких что НОД $\text{[math]}$ $\text{[math]}$ $(R,N)=1$ и $\text{[math]}$ $\text{[math]}$ $0\leqslant x<N$ , назовем $\text{[math]}$ $\text{[math]}$ $(R,N)$ — остатком числа $\text{[math]}$ $\text{[math]}$ $x$ величину $\text{[math]}$ $\text{[math]}$ ${\overline {x}}=(xR){\bmod {N}}$ .

Определение 2. Произведением Монтгомери двух целых чисел $\text{[math]}$ $\text{[math]}$ $a$ , $\text{[math]}$ $\text{[math]}$ $b$ называется число $\text{[math]}$ $\text{[math]}$ $M(a,b)=abR^{-1}{\bmod {N}}$

Теорема (правила Монтгомери). Пусть числа $\text{[math]}$ $\text{[math]}$ $R$ , $\text{[math]}$ $\text{[math]}$ $N$ взаимно просты, и $\text{[math]}$ $\text{[math]}$ $0\leqslant a,b<N$ . Тогда $\text{[math]}$ $\text{[math]}$ $a{\bmod {N}}=M({\overline {a}},1)$ и $\text{[math]}$ $\text{[math]}$ $M({\overline {a}},{\overline {b}})={\overline {ab}}$

То есть, для наглядности, запишем выражение для возведения $\text{[math]}$ $\text{[math]}$ $x$ в $\text{[math]}$ $\text{[math]}$ $3$ степень: $\text{[math]}$ $\text{[math]}$ $M(M(M({\overline {x}},{\overline {x}}),{\overline {x}}),1)=x^{3}{\bmod {N}}$

Алгоритм(Произведение Монтгомери). Пусть заданы целые числа $\text{[math]}$ $\text{[math]}$ $0\leqslant c,d<N$ , где $\text{[math]}$ $\text{[math]}$ $N$ нечетно, а $\text{[math]}$ $\text{[math]}$ $R=2^{s}>N$ . Этот алгоритм возвращает $\text{[math]}$ $\text{[math]}$ $M(c,d)$ .

1.[Функция M Монтгомери]

\text{[math]}

M(c,d)

{

\text{[math]}

x=cd

;

\text{[math]}

z=y/z

;

//В соответствии с теоремой(Монтгомери).

2.[Поправить результат]

if

\text{[math]}

(z\geqslant N)z=z-N

;

return

\text{[math]}

z

;

}

Алгоритм(Метод Монтгомери возведения в степень). Пусть заданы числа $\text{[math]}$ $\text{[math]}$ $0\leqslant x<N$ , $\text{[math]}$ $\text{[math]}$ $y>0$ , и $\text{[math]}$ $\text{[math]}$ $R$ выбрано так же, как для алгоритма(Произведение Монтгомери). Этот алгоритм возвращает $\text{[math]}$ $\text{[math]}$ $x^{y}{\bmod {N}}$ . Через $\text{[math]}$ $\text{[math]}$ $(y_{0},...,y_{D-1})$ мы обозначаем двоичные биты $\text{[math]}$ $\text{[math]}$ $y$ .

1.[Начальная установка]

\text{[math]}

{\overline {x}}=(xR){\bmod {N}}

;

//С помощью какого-либо метода деления с остатком.

\text{[math]}

{\overline {p}}=R{\bmod {N}}

;

//С помощью какого-либо метода деления с остатком.

2.[Схема возведения в степень]

for

\text{[math]}

(D-1\geqslant j\geqslant 0)

{

\text{[math]}

{\overline {p}}=M({\overline {p}},{\overline {p}})

;

//с помощью алгоритма(произведение Монтгомери).

if

\text{[math]}

(y_{i}==1){\overline {p}}=M({\overline {p}},{\overline {x}})

;

}

//Теперь

\text{[math]}

{\overline {p}}

равняется

\text{[math]}

{\overline {x}}^{y}

.

3.[Окончательное получение степени]

\text{[math]}

M({\overline {p}},1)

;

В итоге получаем образ $\text{[math]}$ $\text{[math]}$ ${\overline {x}}=xR{\bmod {N}}$ , от которого мы можем получить конечный результат $\text{[math]}$ $\text{[math]}$ $x={\overline {x}}R^{-1}{\bmod {N}}$ , причем выражение $\text{[math]}$ $\text{[math]}$ $R^{-1}{\bmod {N}}$ вычислено заранее. Для произведения двух чисел результат будет выглядеть как $\text{[math]}$ $\text{[math]}$ $z={\overline {z}}R^{-1}{\bmod {N}}={\overline {x}}{\overline {y}}R^{-1}{\bmod {N}}\equiv {\frac {{\overline {x}}{\overline {y}}-({\overline {x}}{\overline {y}}(N^{-1}{\bmod {R}}){\bmod {R}})N}{R}}{\bmod {N}}$

Пример

Пусть $\text{[math]}$ $\text{[math]}$ $N=11$ , $\text{[math]}$ $\text{[math]}$ $b=R=2^{5}=32>N$ и хотим перемножить два числа $\text{[math]}$ $\text{[math]}$ $x=3$ и $\text{[math]}$ $\text{[math]}$ $x=3$ (т.е. возвести $\text{[math]}$ $\text{[math]}$ $x$ в квадрат)

$\text{[math]}$ $\text{[math]}$ $3$ имеет образ $\text{[math]}$ $\text{[math]}$ $3\cdot R{\bmod {N}}=96{\bmod {1}}1=8$

(для проверки $\text{[math]}$ $\text{[math]}$ $9$ имеет образ $\text{[math]}$ $\text{[math]}$ $9\cdot R{\bmod {N}}=288{\bmod {1}}1=2$ )

Перемножаем образы:

$\text{[math]}$ $\text{[math]}$ $w={\overline {x}}\cdot {\overline {x}}=64$ ,

Производим переход от образа умножения к искомому прообразу

$\text{[math]}$ $\text{[math]}$ $q=N^{-1}{\bmod {R}}=3$ ,

$\text{[math]}$ $\text{[math]}$ $u=-w\cdot q{\bmod {R}}=-64\cdot 3{\bmod {3}}2=-192{\bmod {3}}2=0$ ,

$\text{[math]}$ $\text{[math]}$ ${\overline {z}}=(w+u\cdot N)/R=(64+0\cdot 32)/32=2$

Соответственно прообраз $\text{[math]}$ $\text{[math]}$ $z={\overline {z}}\cdot R^{-1}{\bmod {N}}=2\cdot 32^{-1}{\bmod {1}}1=9$

ПрименениеПравить

Данный метод дает выигрыш в производительности по сравнению с методом повторяющихся возведения в квадрат и умножения, так как умножение двух чисел по модулю происходит значительно быстрее.

Вычислительная сложностьПравить

Данный метод позволяет уменьшить (при больших значения $\text{[math]}$ $\text{[math]}$ $N$ ) вычисления функции $\text{[math]}$ $\text{[math]}$ $\operatorname {mod}$ до одного умножения двух чисел размером $\text{[math]}$ $\text{[math]}$ $N$ . Сложность умножения Монтгомери оценивается как $\text{[math]}$ $\text{[math]}$ $O(n^{2})$ .

Алгоритм с использованием «школьного» методаПравить

Описание методаПравить

Для наглядности рассмотрим метод для основания $\text{[math]}$ $\text{[math]}$ $B=2$ , то есть будем проводить вычисления в $\text{[math]}$ $\text{[math]}$ $B$ — ичной (или двоичной, так как $\text{[math]}$ $\text{[math]}$ $B=2$ ) системе счисления. Основание $\text{[math]}$ $\text{[math]}$ $B=2$ имеет плюс, в том что выполнение операции деления на $\text{[math]}$ $\text{[math]}$ $2$ происходит сдвигом вправо, а умножение на $\text{[math]}$ $\text{[math]}$ $2$ — сдвигом влево.

Определение 1. Представлением неотрицательного целого числа $\text{[math]}$ $\text{[math]}$ $x$ в системе счисления с основанием $\text{[math]}$ $\text{[math]}$ $B$ (или $\text{[math]}$ $\text{[math]}$ $B$ -ичной записью числа $\text{[math]}$ $\text{[math]}$ $x$ ) называется кратчайшая последовательность целых чисел $\text{[math]}$ $\text{[math]}$ $(x_{i})$ , называемых цифрами записи, такая что каждая из этих цифр удовлетворяет неравенству $\text{[math]}$ $\text{[math]}$ $0\leqslant x_{i}<B$ , и выполнено равенство $\text{[math]}$ $\text{[math]}$ $x=\sum _{i=0}^{D-1}x_{i}B^{i}$

Для примера, рассмотрим двоичный алгоритм взятия $\text{[math]}$ $\text{[math]}$ $\operatorname {mod}$ от произведения $\text{[math]}$ $\text{[math]}$ $x y$ .

Алгоритм (двоичный алгоритм умножения и взятия остатка). Пусть заданы положительные целые числа $\text{[math]}$ $\text{[math]}$ $x$ , $\text{[math]}$ $\text{[math]}$ $y$ такие что $\text{[math]}$ $\text{[math]}$ $0\leqslant x$ , $\text{[math]}$ $\text{[math]}$ $y<N$ . Этот алгоритм возвращает результат составной операции $\text{[math]}$ $\text{[math]}$ $(xy){\bmod {N}}$ . Мы предполагаем, что задано двоичное представление числа $\text{[math]}$ $\text{[math]}$ $x$ согласно определению 1, так что биты числа $\text{[math]}$ $\text{[math]}$ $x$ имеют вид $\text{[math]}$ $\text{[math]}$ $(x_{0},...,x_{D-1})$ , и $\text{[math]}$ $\text{[math]}$ $x_{D-1}>0$ — самый старший бит.

1.[Начальная установка]

\text{[math]}

s=0

;

2.[Преобразовать все

\text{[math]}

D

битов]

for

\text{[math]}

(D-1\geqslant j\geqslant 0)

{

\text{[math]}

s=2s

;

if

\text{[math]}

(s\geqslant N)s=s-N

;

if

\text{[math]}

(x_{j}==1)s=s+y

;

if

\text{[math]}

(s\geqslant N)s=s-N

;

}

return

\text{[math]}

s

;

Данный метод имеет один недостаток: он не использует преимущество многобитовой арифметики, доступной на любой современной ЭВМ. Поэтому обычно используют основания $\text{[math]}$ $\text{[math]}$ $B$ большие $\text{[math]}$ $\text{[math]}$ $2$ .

Вычислительная сложность «школьного» методаПравить

Выражения вида $\text{[math]}$ $\text{[math]}$ $a^{b}({\bmod {n}})$ имеет оценку вычислительной сложности — $\text{[math]}$ $\text{[math]}$ $O_{s}((\log n)^{3})$

См. такжеПравить

ПримечанияПравить

ЛитератураПравить

Крэндалл Ричард, Померанс Карл. Простые числа: Криптографические и вычислительные аспекты / Под ред. и с предисл. В. Н. Чубарикова.. — М.: УРСС:: Книжный Дом «ЛИБРОКОМ», 2011. — 664 с. — ISBN 978-5-453-00016-6, 978-5-397-03060-2.
Молдовян Н. А. Теоретический минимум и алгоритмы цифровой подписи. — СПб.: БВХ-Петербург: Книжный Дом «ЛИБРОКОМ», 2010. — 304 с. — ISBN 978-5-9775-0585-7.
Фергюнсон, Нильс, Шнайер, Брюс. Практическая криптография. — M.: Издательский дом «Вильямс», 2004. — 432 с. — ISBN 5-8459-0733-0.
Мао В. Современная криптография: Теория и практика / пер. Д. А. Клюшина — М.: Вильямс, 2005. — 768 с. — ISBN 978-5-8459-0847-6