1、关于 RSA 加密系统不动点的一个注记第 4 卷第 4 期2005 年 7 月杭州师范学院(自然科学版)JournalofHangzhouTeachersCollege(NaturalScienceEdition)VoI.4N0.4Ju1.2005文章编号:10089403(2005)04027106关于 RSA 加密系统不动点的一个注记沈忠华,王定龙(1.杭州师范学院数学系,浙江杭州 31O012;2.浙江电大临海学院,浙江临海 317000)摘要:以 T(n,a)一 T(P,q,e,a)表示 RSA(,f)的 a 阶不动点的个数,讨论了 logT(P.q,e,a)的一种平,L2均估计.没
2、L.和 J 为充分大的整数,LJ.,定义 s(“,a)一击logT(,P,a),给出了s(n,1)lPL1-(?()1)和 S(,2)的两个等式.关键词:公钥;RSA 不动点:平均估计中图分类号:TP309:O153MSC2000:11T71;94A60 文献标识码:A0 引言作为数论在信息安全技术中的一个应用,R.I.Rivest 和 A.Shamir,I.M.Ahlemen 提出了 RSA 加密方法,即随机选取大系数 P,q,计算“ 一 Pq,(71)一(P 一 1)(q 一 1),然后随机取整数P,(P,(“)一 1,设明文 P,0P“,则相应的密文是 E 三 P,(modn),0E“.
3、该加密方法是建立在已知两个大素数的乘积,而求这两个素数是很困难的事实基础之上的.用 RSA(P,q,P)表示以整数 “(=Pq)和正整数 e 为公开钥的 RSA 公钥加密系统,其中 P 和 q 是不同的素数,(,(“)一 1.对于某个正整数 a,若P.三 P(rood“),(P,“)一 1(1)则称 P 是一个 RSA(P,( ,)(或 RSA(P)不动点( 或 a 阶不动点).利用不动点对 RSA密文的攻击,有时是相当严重的.因此,为了提高 RSA 加密体制的安全性,研究不动点的个数,以及它与 RSA 参数的关系是十分重要的.以 T(“,P,a)一 T(P,q,P,a)表示 RSA(“,P)
4、的 a 阶不动点的个数,即(1)的解的个数.最近,于秀源,给出了计算不动点的方法,并且证明了下面的定理.定理 A 设 77=P.PP,P 一 1)是互不相同的素数.记 S(“,e,K)2IIq,其中诸 Pl 和是互不相同的素数,对于每个 i,q(1J 一 1=(IIT(n,e,a),则d 一 1收稿日期:20050323基金项目:杭州师范学院科研基金项目(编号:2005XNM10)作者简介:沈忠华(1973 一),男,浙江杭州人,杭州师范学院数学系讲师.主要从事数论及其应用的研究272 杭州师范学院(自然科学版)2005 矩logS(n,e,K)训 Og2+1logr.此处 r 是素数,g 是
5、 modr 的原根 ,是的整数部分.定理 B 记集合 A 一P;P 为素数,(P 一 1,P)一 1,P,B 一q;q 为素数,(q 一 1,P)一1,YPY.设 P 和 a 是正整数 ,一1 一 r.rrr?r 一rz:=1-,s?一:一“,其中 r,r.,rf 和 S,S,S 是互不相同的素数,.(1ogx)M,M 是正整数,则当2x,Yz21,且 1 一,Yl 一时,有qEBlog 一 z 器+0(,此处 ISI 表示集合 A 中元素的个数,叫()表示数的不同素因数的个数.考虑 logT(p,q,a)的另一种平均估计,即当在某个范围变化时的平均值.目的是从均值(数学期望)的角度描述不动点
6、个数与 RSA 参数的关系,为确定“好“ 的 RSA 参数提供依据,减少选取 RSA 参数的盲目性,从而尽量减少预计算量.1 关于 S(,2)和 S(,1)的两个等式设一,此处 P 和 q 为不相同的素数 ,且有 P 一 1 和 q 一 1 的标准分解式P 一 12d再一 2r,q 一 12f?f:=2此处 rr和 tt.t 为奇素数.设 L 和 L!为充分大的整数,LL, 定义2s(一击logT(,a)(2)lL?(?()一 1引理 1E 设一,(,) 一 1,(),用 T 和 T(1ik)分别表示同余方程f(x)_二 0(rood)和 l 厂() 三 0(roodm)解的个数,则 TTT.
7、引理 2E 假设三三=2,(n,)一 1,k2,g 是模的原根,则同余方程三 n(mod)有解的充要条件是(走 ,()Iindn;如果方程有解 ,则恰有(走,()个解.引理 3以 A()表示 yonMangoldt 函数,则log 一A(),1.引理 4Ej 设 z0,P2 为素数,(,)一 1,则同余式三 n(modp)的解的个数为1+(姜),此处(导)是 Legendre 符号.定理存在与 k(1k 阮) 及分别与 P 和 q 有关的常数 C(走),“( 走),C:(走),cl(走),使得s,2)一 log4+击 (logrc:(走)+logtc( 走)(3)1玉“1Jll 女Jlsuls
8、JlFilJl和s,1)一 log4+(logc“(走)+ logt cl“(4)第 4 期沈忠华,等:关于 RSA 加密系统不动点的一个注记 273其中 C:“(),C(),C(),C()分别在 F 面的式(12)(13)(8)(11)中定义.证由引理 1 以及引理 2,若 Y/一/,q,此处 P 与 q 是不同的素数,则方程(1)的解数,即RSA 不动点的个数,是T(a,P,q)一(P.一 1,P 一 1)(一 1,q 一 1),其中_1,(,(,IIrf1)一2(一 1,rf1)一 2(一 1,),_1,q_1)一 2(,)一 2(,I.Itr)一2(一 1,f)=2(一 1,tr),因
9、此,有T(n,P,a)=4(一 1,)(一 1,tr).当 a 一 2 时,有T(n2)一 4(一 1,)II(P.一 1,tr),则,由(2)得_2S(n,2)一logT(,?)j21rf(.c()=11,L2=log4+(log(P 一 1,)+log(Plf.(5)211.(,II):1rL1,(f.1Itr:1由引理 3,有4.得log(P1,)A()1ogrL2 1.(6)三三“ 立 J 三 11.(.):le2 三 1(【Ilod4将 t,t!,t 中除去与 r,r.,相同的素数后,另记作 r,rz,r 山则由容斥原理及利用引理1 一=f.1.n0一.)-22+.一 z 磊 糕+.
10、?设c一 IL2rI一墨 I-L2-1-1 一+.一 c.善糍+.,结合(6)(7)(8) 式得log(P11,)一1ogr1 二三 J“().(9)类似地,将 r,r,中除去与 t,t,t.相同的素数后,另记作 t,tz,t,同样由容斥原理及利用引理 4 可得=一三211一l一274 杭州师范学院(自然科学版)2005 钲其中log(e.一 1)logt(:t(走),c一_22E,+.一 2 置-L1 一+.由(5)(9)(10)(11)即得(3)式.同理可得到(4)式,其中+-(-1)“萎蓓+.;定理得证.(10)(11)(12)+.,蹴+.,2S(,2,2)和 S(,2,1)的上下界估计
11、现在考虑 S(n,2)和 5(,1)的上下界的一个估计 ,先证明以下两个引理 .引理 5 对于任意的素数 P,定义 P1 和 q 一 1 的标准分解式为P12 一一 2nr 和 q 一 12rfr一 2r此处,一r?,一为不同的素数,(走),( 走)的定义同于(8)(11),则有(L2L)A;c(走)三三三(L.一 L)B;It:2J(L!一 L)Acj( 走) 三三三 (L 一 L)B1J其中 A,B;和 A,B 为只与 P 有关的常数.且昕以证B:AjAc(r1),(2co+1)r(r1)L.一 L(r1)rr(t 一 1)(2w+1)L2 一 L1c 一+B,c1uf,f1)一1)+(4
12、wL.(4L,+1)L+1)L得 c一一+.一 c,z,zc 一 1)221ci,蔓 lmjt:I1:J2(1)(+)1fuiIic 一声一,(14)(15)(16)(17)(18)(19)C一r第 4 期沈忠华,等:关于 RSA 加密系统不动点的一个注记 275即又所以即,cc 是 zcL 一1 萎.1c 一号一 J S一2(L,一 L)一 c 一一,f 是)(J:一 J,?)1=女,.L,-I.1 一 z1c+一1hJ(一+ 綦 c三=三 f 三三三二,曼 c+1)-22i:-2c1ijj一.c 一+c( 是)2(一墨,1 J1三三2(一 1 墨 i 三三 1 兰三 k 三二 J.rcf二+一L1).4w(一2z1l!,I2 一 L13,.?2(r2j 一 1).4(r 一 1)r,(r 一 1)3rz(r.一 1)c)(I 一) 既k(4.+1)L2 一 Ll所以(14)式成立 .同理可证得(15) 式也成立.引理得证.类似于以二的证明,同样可以得到以下的引理 :引理 6 沿用引理 5 的记号,有(L!一 L)A 三三三 c(七)三三三(L2 一 L?)Blk 王(L:一 L)A 三三三cj(是)三三三(L 一 L?)B此处 c:-(是),(,(是)的定义同于(12)(13),而 A,B 和 A,B 为只与 P 有关的常数,且A,c
