密码学期中复习笔记

原创已于 2022-05-07 22:13:35 修改 · 1.8k 阅读

9 ·

CC 4.0 BY-SA版权

文章标签：

#数学 #密码学 #数论

于 2022-05-07 22:04:04 首次发布

课程复习资料专栏收录该内容

9 篇文章

订阅专栏

本文详细介绍了密码学的基础理论，包括古典密码体制、分组密码与高级加密标准（AES）、序列密码以及RSA公钥密码体制。重点讨论了线性密码分析、差分密码分析等密码分析方法，并探讨了序列密码中的线性反馈移位寄存器（LFSR）及其统计特性。此外，还涵盖了计算安全性、伪密钥分析以及RSA体制的原理和安全性。

密码学期中复习笔记

Chapter 1 古典密码体制的Shannon理论

对称加密体制：

五元组 $(P, C, K, E, D)$ ：明文空间，密文空间，密钥空间，加密变换，脱密变换

s.t. $∀k,k∈K,x∈P,D(k,E(k,x))=x\forall k,k\in K,x\in P,D(k,E(k,x))=x$ (显然要求 $d_k=D(k,·)$ 为满射， $e_k=E(k,·)$ 为单射)

几种经典的古典密码体制：

移位密码： $P=C=K=Z_{26}$ ， $e_k(x)=x+k,d_k(x)=x-k$
仿射密码： $P=C=Z26,K=Z26××Z26P=C=Z_{26},K=Z_{26}^\times \times Z_{26}$ ， $e_k(x)=ax+b$ ， $d_k(x)=a^{-1}(y-b)$
代换密码： $P=C=Z_{26},K=S_{26}$ ， $eπ(x)=π(x)e_\pi(x)=\pi(x)$ ， $dk(x)=π−1(x)d_k(x)=\pi^{-1}(x)$

以上三种密码都是明文密文一对一的密码，因此若明文是文字的话，很容易使用文字的统计规律破译

Vignere密码： $P=C=K=Z_{26}^m$ ， $ek(x⃗)=x⃗+k⃗,dk(x⃗)=x⃗−k⃗e_{k}(\vec{x})=\vec{x}+\vec{k},d_{k}(\vec{x})=\vec{x}-\vec{k}$
Hill密码： $P=C=Z_{26}^m$ ， $K=gl_m(Z_{26})$ （ $Z_{26}$ 上的m阶可逆矩阵集）

以上两种密码对明文做m个一组的分组，故称为分组密码

密码的分析（破译）：

Shannon信息论与完善保密

对于离散加密，如果引入概率，则可以将其视为离散随机变量X到Y的一个映射。那么，据此可以定义完善保密性， $∀x∈P,∀y∈C,P(x∣y)=P(x)\forall x\in P,\forall y\in C, P(x|y)=P(x)$ （知道密文对于了解明文完全没有用）

定理：移位密码当且仅当密钥在 $Z_{26}$ 中等概率取值时完善保密

推广：一次一密加密体制： $P=C=K=(Z_2)^n, e_k(x)=k+x,d_k(y)=y+k$ ，保证了完善保密（在唯密文分析下不可能破译），但是密钥和明文必须等长，不可复用，效率很低。

引入：Shannon信息熵： $−∑ipilog⁡pi-\sum_i p_i\log{p_i}$

定理： $H (K ∣ C) = H (P) + H (K) - H (C)$

（自然语言的）伪密钥分析

在对自然语言进行加密和解密时，可能对于同一个密文存在多个有意义的对应明文，例如river和arena的距离为3。我们希望推导伪密钥的期望个数下界。

定义自然语言熵为 $HL=lim⁡n→∞H(Pn)nH_L=\lim_{n\rightarrow \infty} \frac{H(P^n)}{n}$ （长度为n的语言串的熵平均值）

语言L的冗余度定义为 $RL=1−HLlog⁡∣P∣R_L=1-\frac{H_L}{\log| P|}$ ，例如英语的冗余度为0.75

定理：语言L的伪密钥期望个数下界为 $snˉ≥∣K∣∣P∣nRL−1\bar{s_n}\geq \frac{|K|}{|P|^{nR_L}}-1$

定义：唯一解距离：伪密钥期望下界数恰好等于0时n的值，对英文的代换密码来说则为25

安全性的分类：

计算安全性（计算用时++），可证明安全性（归约到计算复杂问题上），无条件安全性（不可能破译）

Chapter2 分组密码与高级加密标准（AES）

分组算法的结构：

K为一给定长度的二元密钥，以某种固定公开算法生成Nr个轮密钥 $K_1,...,K_{Nr})$ ，轮函数g以轮密钥和当前状态作为输入：即：

$w0←x,w1←g(w0,K1),...,wNr←g(wNr−1,KNr),y←wNrw_0\leftarrow x, w_1\leftarrow g(w_0,K_1),...,w_{Nr}\leftarrow g(w_{Nr-1},K_{Nr}),y\leftarrow w_{Nr}$

为了解密，要求轮函数必须为单射，即存在 $g^{-1}$ ： $g^{-1}(g(w,y),y)=w$

解密过程： $wNr←y,wNr−1←g−1(wNr,KNr),...,w0←g−1(w1,K1),x←w0w_{Nr}\leftarrow y, w_{Nr-1}\leftarrow g^{-1}(w_{Nr},K_{Nr}),...,w_{0}\leftarrow g^{-1}(w_{1},K_{1}), x\leftarrow w_0$

分组算法：代换-置换网络（SPN）

$l,m∈Z+l,m\in Z^+$ ，明文和密文为长为 $l m$ 的二元向量。一个SPN的基本构成为两个置换： $πS:{0,1}l\pi_S:\{0,1\}^l$ 上的置换（S盒）， $πP:{1,...,lm}\pi_P:\{1,...,lm\}$ 上的置换
在这里插入图片描述

如上图所示，SPN加密的一轮会经过三层：第一层是和轮密钥的异或，第二层是对字符串切片为m段，分别用S盒代换，最后一层是对各个数字的所在位置用P盒代换；解密则反过来做即可。

SPN的伪代码为：

在这里插入图片描述

注：在最后两轮中没有再用 $πP\pi_P$ ，这是因为前面已经足够了

优点：该算法的实现非常简单高效，而且需要的存储空间较少

对SPN的分析

思想：在密文的输入中找到一些概率关系

1. 线性密码分析

分析方法：已知明文分析：给出大量明密对

SPN为线性密码，从而有性质： $SPN(u)=l(u)+A_0$ ， $l(u)=∏(ai1x1⊕...⊕ainxn)l(u)=\prod (a_i^1 x_1\oplus ...\oplus a_i^nx_n)$

定义：一个0/1随机变量的偏差： $ϵ=p(x=0)−12\epsilon=p(x=0)-\frac{1}{2}$

堆积引理：若 $X_1,X_2,...,X_n$ 的偏差为 $ϵ1,...,ϵn\epsilon_1,...,\epsilon_n$ ，则 $X1⊕...⊕XnX_1\oplus ...\oplus X_n$ 的偏差为 $2k−1∏j=1kϵij2^{k-1}\prod_{j=1}^k\epsilon_{i_j}$

攻击方法：

对S盒 $πS\pi_S$ 构造线性逼近表：求出 $∀a=(a1,...,al),b=(b1,...,bl)\forall a=( a_1,...,a_l),b=(b_1,...,b_l)$ ， $∀x1,..,xl,y1,...,yl=πs(x1,..,xl)\forall x_1,..,x_l, y_1,...,y_l=\pi_s(x_1,..,x_l)$ 中 $(a1x1⊕...⊕alxl)⊕(b1y1⊕...⊕blyl)(a_1x_1\oplus ...\oplus a_lx_l)\oplus (b_1y_1\oplus ...\oplus b_ly_l)$ 的 $N_L(a,b)$ 表（代表所有x1,…,xl中使得结果为0的个数），从而对每个S盒可以取特定的 $a, b$ ，使得偏差偏离0
在代换-置换网络中每一层都寻找恰当的 $a, b$ ，使得构成一个相互抵消的活动S-盒的路径，并且偏差不大。
假设这些路径变量相互独立，则其直和的偏差用堆积引理可以求出（记为 $ϵ\epsilon$ ）。而这些直和由于相互抵消的关系，最后自变量仅涉及到第一层和最后一层的若干变量。
枚举最后一层变量对应的密钥，统计该直和对应的偏差，则在正确的密钥下，该直和应具有偏差 $ϵ\epsilon$ ，而其他密钥下偏差应为0
为了区分正确的密钥和其它密钥，根据大数定律，需要统计的明密对数量应接近 $cϵ−2c\epsilon^{-2}$

2. 差分密码分析

分析方法：选择明文分析：可以获得任意明文对应的密文（比线性密码分析要求更高）

对任意的S盒 $πS:{0,1}m→{0,1}n\pi_S:\{0,1\}^m\rightarrow \{0,1\}^n$

定义： $Δ(x′)={(x,x⊕x′)}\Delta (x')=\{(x,x\oplus x')\}$ ，即：输入异或为 $x^{'}$ 的任意对；定义其输出异或为 $πS(x)⊕πS(x⊕x′)\pi_S(x)\oplus \pi_S(x\oplus x')$

则：一共 $2^m$ 个可能的输出异或分布在 $2^n$ 个值上。同样的，可以对输出异或的分布建立列表：用 $N_D(x,y)$ 表示输入异或为x，输出异或为y的对数，对 $x, y$ 的所有可能取值，构造差分分布表

注意到，在SPN中，异或对同时异或一个密钥并不会对其异或产生影响，因此和线性密码分析一样，可以通过构造若干假设独立的差分链来得到差分链的一个扩散率 $r$ ，从而同理可以通过枚举密钥的形式来分辨出正确的密钥（扩散率为 $r$ ，即输入为链输入时，输出为链输出的概率为 $r$ ），而其余密钥的概率接近0

加速算法：过滤：预先筛除一些不满足x,y条件的对。在剩下的里面再计数。

DES简介（1973-1996）

每个状态 $u^i$ 被分为相同长度的两部分 $L^i,R^i$ ，轮函数g： $g(L^{i-1},R^{i-1},K^i)=(L^i,R^i)$

其中， $Li=Ri−1,Ri=Li−1⊕f(Ri−1,K)L^i=R^{i-1},R^i=L^{i-1}\oplus f(R^{i-1},K)$

特性：这样的函数一定可逆： $g(R^i,L^i,K^i)=g(R^{i-1},L^{i-1})$

在这里插入图片描述

E：扩展函数；S_1,…,S_8：S盒（6bit $→\rightarrow$ 4bit）；P：置换

分析：除了S盒以外均为线性部件，因此S盒的选取至关重要。但是S盒中也可能藏有“陷门”。

AES简介（1997-今）

数学基础：Galois Field $GF(2^8)$ 上的运算： $GF(28)∼F2[x]/m(x)=x8+x4+x3+x2+1GF(2^8)\sim F_2[x]/m(x)=x^8+x^4+x^3+x^2+1$

$GF(2^8)$ 中恰有 $2^8$ 个元素，且按照多项式各位的系数可以表示为 $b_7x^7+...+b_0$ ，构成一个8元组 $b_7,...b_0)$ ，并且按照多项式运算任意非零元素都有逆

AES：三种可选密钥长度128,192,256, Nr分别为10,12,14

伪代码：
在这里插入图片描述

SubBytes：对于state中的每个字节（8个bite）先求 $GF(2^8)$ 中的逆元素 $x_7,...,x_0)$ ，再做mod2乘法：
在这里插入图片描述

Shiftrows：行移位：将状态矩阵的第i行向左移动i位

MixColumns：列混合：对每一列做 $GF(2^8)$ 上的乘法：原来的列为 $t_0,t_1,t_2,t_3)^T$ ，则得到的新列：
$u_0=x*t_0+(x+1)*t_1+t_2+t_3\\ u_1=x*t_1+(x+1)*t_2+t_3+t_0\\ u_2=x*t_2+(x+1)*t_3+t_0+t_1\\ u_1=x*t_3+(x+1)*t_0+t_1+t_2\\$
KeyExpansion：将128bit的种子密钥变为11个轮密钥

AddRoundKey： $state⊕Kr\text{state}\oplus K^r$

AES的分析：从设计上是反攻击的，例如有限域取逆的操作使得线性逼近和差分攻击趋于均匀分布，使得这两种攻击很难奏效。Mixcolumn的设计则使得找到包含较少S盒的攻击是不可能的。

Chapter3 序列密码

反馈移位寄存器序列：在GF(2)上，输入 $a_0,...,a_{n-1}$ ，取函数 $a_{n+i}=f(a_{n+i-1},...,a_{i-1}) i=1,2,...$ ，则称序列 ${a_n\}$ 为以f为反馈多项式的反馈移位寄存器序列。

定理：任意一个 $GF(2n)→Gf(2)GF(2^n)\rightarrow Gf(2)$ 的函数均可用多项式表示

序列密码：序列密码是一个七元组 $(X,Y,K,S,τ,e,d)(\mathcal{X}, \mathcal{Y}, \mathcal{K}, \mathcal{S}, \tau, e, d)$ 。其中 $X、Y、K\mathcal{X} 、 \mathcal{Y} 、 \mathcal{K}$ 和 $S\mathcal{S}$ 均为有限集合分别称为明文空间、密文空间、密钥空间和状态集。 $τ\tau$ 是带参数的状态转移函数, 即对于任意的 $\in \mathcal{K}$ , $τk:X×S→S;\tau_{k}: \mathcal{X} \times \mathcal{S} \rightarrow \mathcal{S} ;$ $e$ 是带参数的加密函数, 即对于任意的 $\in \mathcal{K}$ ， $ek:X×S→Y;e_{k}: \mathcal{X} \times \mathcal{S} \rightarrow \mathcal{Y} ;$ $d$ 是带参数的脱密函数, 即对于任意的 $\in \mathcal{K}$ ， $dk:Y×S→X，d_{k}: \mathcal{Y} \times \mathcal{S} \rightarrow \mathcal{X} ，$ 满足 $dk(ek(xi,si−1),si−1)=xi,1≤i≤nd_{k}\left(e_{k}\left(x_{i}, s_{i-1}\right), s_{i-1}\right)=x_{i}, \quad 1 \leq i \leq n$ .

加密： $yi=ek(xi,si−1),si=τk(xi,si−1)y_i=e_k(x_i,s_{i-1}),s_i=\tau_k(x_i,s_{i-1})$ 脱密： $xi=dk(xi,si−1),si=τk(xi,si−1)x_i=d_k(x_i,s_{i-1}),s_i=\tau_k(x_i,s_{i-1})$

在实际使用中， $si=τk(si−1)s_i=\tau_k(s_{i-1})$ ， $yi=xi⊕σ(si−1)y_i=x_i\oplus \sigma(s_{i-1})$ ，称为伪随机数生成器

线性反馈移位寄存器：(LFSR)

$an+i=F(ai+n−1ai+n−2⋯ai+1ai)=c1ai+n−1+c2ai+n−2+⋯cn−1ai+1+cnaia_{n+i}=F\left(a_{i+n-1} a_{i+n-2} \cdots a_{i+1} a_{i}\right)=c_{1} a_{i+n-1}+c_{2} a_{i+n-2}+\cdots c_{n-1} a_{i+1}+c_{n} a_{i}$

其联结多项式为： $f(x)=1+c1x+⋯+cn−1xn−1+cnxnf(x)=1+c_{1} x+\cdots+c_{n-1} x^{n-1}+c_{n} x^{n}$ ；

特征多项式为： $fˉ(x)=xn+c1xn−1+⋯+cn−1x+cn\bar{f}(x)=x^{n}+c_{1} x^{n-1}+\cdots+c_{n-1} x+c_{n}$

记忆方法：特征多项式就是平时求数列的通项公式时使用的多项式，联结多项式就是它反过来；或者联结多项式可以看做是逆向递推式的参数： $a_0=a_n+c_1a_{n-1}+...+c_na_1$ ，如果非退化

若 $cn≠0c_n\neq 0$ ，则称为非退化的。我们只研究非退化的情形。

注：显然，LFSR是终归周期的，非退化LFSR是周期的（参考下面的定理）

定理：对于一个多项式 $f(x)=1+c1x+⋯+cn−1xn−1+cnxnf(x)=1+c_{1} x+\cdots+c_{n-1} x^{n-1}+c_{n} x^{n}$ 和一个半无限序列 $,α\alpha=a_{0} a_{1} a_{2} \cdots, \alpha$ 是以 $f (x)$ 为联结多项式的 LFSR 序列的充分必要条件是形式幂级数 $α(x)=∑i=0∞aixi\alpha(x)=\sum_{i=0}^{\infty} a_{i} x^{i}$ 满足 $\cdot \alpha(x)$ 是多项式, $deg⁡[f(x)⋅α(x)]<n\operatorname{deg}[f(x) \cdot \alpha(x)]<n$ ; 而此时 $α(x)\alpha(x)$ 是周期的当且仅当 $deg⁡[f(x)⋅α(x)]<deg⁡f(x)\operatorname{deg}[f(x) \cdot \alpha(x)]<\operatorname{deg} f(x)$ .

特别地，若 $c_n=1$ ，则 $deg⁡f(x)=n>deg[f(x)α(x)]\deg f(x)=n>deg[f(x)\alpha( x)]$

对给定的序列 $α=a0a1a2⋯\alpha=a_{0} a_{1} a_{2} \cdots$ , 把满足 $\cdot \alpha(x) \in F_{2}[x]$ 的多项式的集合记为 $J(α)J(\alpha)$

则： $J(α)J(\alpha)$ 是 $F_{2}[x]$ 的理想

定义：极小多项式
称生成 $J(α)J(\alpha)$ 的多项式为极小多项式，记为 $mα(x)m_{\alpha}(x)$ . 显然当 $mα(x)≠0m_{\alpha}(x) \neq 0$ 时, $mα(0)=1m_{\alpha}(0)=1$ .
对满足 $g (0) = 1$ 的 $\in F_{2}[x]$ , 称使得 $\mid 1+x^{L}$ 的最小正整数 $L\mathrm{L}$ 为 $g (x)$ 的周期, 记为 $p (g)$ .

定理：若 $α\alpha$ 是周期序列, 则 $p(α)p(\alpha)$ （ $α\alpha$ 的周期） $=p(mα(x))=p\left(m_{\alpha}(x)\right)$ .

定理：如果 $\in F_{2}[x]$ 是不可约的, 且 $\alpha \neq 0$ 为以 $f (x)$ 为联结多项式的任一输出周期序列, 则 $mα(x)=f(x)m_{\alpha}(x)=f(x)$ , 从而 $p(α)=p(f(x)).p(\alpha)=p(f(x)) .$

定理：如果 $\in F_{2}[x]$ 是 $n$ 级LFSR 的联结多项式，用 $G (f)$ 表示由此多项式产生的全部序列。则 $G (f)$ 有一个是周期为 $2^{n}-1$ 的序列当且仅当 $f (x)$ 是一个次数为 $n$ 的本原多项式。（定义： $f (0) = 1, f$ 不可约， $p(f)=2^n-1$ ）

意义：用一个很短的序列生成一个极长序列，加密一段极长密文。

定义：由n次本原多项式生成的序列称为n级的m-序列，下面证明 $m -$ 序列的一些良好性质

m-序列统计特征：

定义：如果 $α=a0a1⋯\alpha=a_{0} a_{1} \cdots$ 是 $F_{2}$ 上的周期为 $p(α)p(\alpha)$ 的周期序列, 称
$C_{\alpha}(\tau)=\frac{1}{p(\alpha)} \Sigma_{k=0}^{p(\alpha)-1}(-1)^{a_{k}+a_{k+\tau}}, \quad(0 \leq \tau \leq p(a)-1) .$
为 $α\alpha$ 的自相关函数.

定理：设 $α\alpha$ 是如果 $F_{2}$ 上是的 $n$ 级 $m$ -序列, 则：

(1) $α\alpha$ 的一个周期中 1 出现的个数是 $2^{n-1}, 0$ 出现的个数是 $2^{n-1}-1$ .

(2)定义一个长为k的0-游程为10…0（k个）1；则：

0-游程和1-游程个数均为 $N / 2=2^{n-2}$ , 游程分布如下:

长度为 $i$ 的0 -游程 $2^{i+1}, 1 \leq i \leq n-2$ ;

长度为 $i$ 的1-游程 $2^{i+1}, 1 \leq i \leq n-2$ ;

长度为n-1的0-游程1个;

长度为n的1-游程1个

(3) $α\alpha$ 的自相关函数是二值的:
$C_{\alpha}(\tau)= \begin{cases}1, & \text { 当 } \tau=0 ; \\ -\frac{1}{p(\alpha)}, & \text { 当 } 0<\tau \leq p(\alpha)-1 .\end{cases}$
从而： $α\alpha$ 的自相关程度是极低的（ $p(α)=2n−1p(\alpha)=2^{n}-1$ ）

B-M算法与线性复杂度

给定一个序列 $α=a0a1⋯an\alpha=a_{0} a_{1} \cdots a_{n}$ , 希望求出一个级数为 $I$ 的线性移位寄存器, 使得 $α\alpha$ 可以由其生成, 且这样的 $I$ 最小。称 $I$ 为 $α\alpha$ 的线性复杂度。

一致性定理：如果次数分别为 $L$ 和 $L′L^{\prime}$ 的两个联结多项式均可生成序列 $α=a0a1⋯ar−1\alpha=a_{0} a_{1} \cdots a_{r-1}$ , 并且 $\geq L+L^{\prime}$ , 则它们其后生成的序列相一致。

Massey 定理：如果序列 $α1=a0a1⋯ar−2\alpha_{1}=a_{0} a_{1} \cdots a_{r-2}$ 的线性复杂度是 $L$ , 且产生 $α1\alpha_{1}$ 的 $L$ 级移位寄存器均不能产生 $α2=a0a1⋯ar−2ar−1\alpha_{2}=a_{0} a_{1} \cdots a_{r-2} a_{r-1}$ , 则 $α2\alpha_{2}$ 的线性复杂度至少是 $r - L$ 。

B-M算法：给定一个序列片段 $α=a0a1⋯aN−1\alpha=a_{0} a_{1} \cdots a_{N-1}$ , 求一个多项式多项式 $f (x)$ 和级数 $I$ , 使得它可由以 $f (x)$ 为联结多项式的 $I$ 级LFSR生成

Berlekamp-Massey 算法
输入: $α=a0a1⋯aN−1\alpha=a_{0} a_{1} \cdots a_{N-1}$ ；
1: $n←0,(f0(x),l0)=(1,0)\quad n \leftarrow 0,\left(f_{0}(x), l_{0}\right)=(1,0)$ ;
2: 计算 $dn=an−an−1c1−⋯−an−lnclnd_{n}=a_{n}-a_{n-1} c_{1}-\cdots-a_{n-l_{n}} c_{l_{n}}$ ;
(1) 若 $d_{n}=0$ ,
$(fn+1(x),In+1)←(fn(x),In)\left(f_{n+1}(x), I_{n+1}\right) \leftarrow\left(f_{n}(x), I_{n}\right)$ , 转步骤 3 ;
(2) 若 $d_{n}=1$ 且 $l0=I1=⋯=In=0l_{0}=I_{1}=\cdots=I_{n}=0$ ,
$(fn+1(x),In+1)←(1+xn,n+1)\left(f_{n+1}(x), I_{n+1}\right) \leftarrow\left(1+x^{n}, n+1\right)$ , 转步骤 3 ;
(3) 若 $d_{n}=1$ 且 $Im<Im+1=Im+2=⋯=In(m<n)I_{m}<I_{m+1}=I_{m+2}=\cdots=I_{n}(m<n)$ ,
$(fn+1(x),In+1)←(fn(x)+xn−mfm(x),max⁡{In,n+1−In})\left(f_{n+1}(x), I_{n+1}\right) \leftarrow\left(f_{n}(x)+x^{n-m} f_{m}(x), \max \left\{I_{n}, n+1-I_{n}\right\}\right)$ ;
3: 若 $\leftarrow n+1$ , 转步骤 2 ;
输出: $(fN(x),IN)\left(f_{N}(x), I_{N}\right)$ .

容易证明该算法输入的是一个以 $α\alpha$ 为输出的联结多项式

定理：(1) $I_{N}$ 是产生 $α\alpha$ 的 LFSR 的最小级数;
(2) 当且仅当 $IN≤N/2I_{N} \leq N / 2$ 时, 产生 $N$ 长序列 $α\alpha$ 的最短 $L F S R$ 是唯一的;
(3) 当 $I_{N}<N / 2$ 时, 迭代 $2 I_{N}$ 步已经有 $\left(f_{2 I_{N}}(x), l_{2 I_{N}}\right)=\left(f_{N}(x), I_{N}\right) \text {. }$

Golomb 原则 (1967)：称一个序列是安全的（不容易找到规律的），若：

(1) 周期足够大; (2) 一个周期中统计特性好; (3) 自相关函数是一个二值函数;

计算线性复杂度的其他方法：

定理：设 $,an−1a=a_{0}, a_{1}, \cdots, a_{n-1}$ 是 $F_{q}$ 上的一个 $n$ 长序列, 则 $a$ 的线性复杂度是下列矩阵的最小秩:
$A_{a}=\left(\begin{array}{ccccccc} a_{0} & a_{1} & a_{2} & \cdots & a_{n-3} & a_{n-2} & a_{n-1} \\ a_{1} & a_{2} & a_{3} & \cdots & a_{n-2} & a_{n-1} & * \\ a_{2} & a_{3} & a_{4} & \cdots & a_{n-1} & * & * \\ \vdots & \vdots & \vdots & \vdots & \vdots & \vdots & \vdots \\ a_{n-1} & * & * & * & * & * & * \end{array}\right)$
这里 $*$ 代表 $F_{q}$ 中的任意元素, 最小秩是指对这些 $*$ 的所有可能取值得到的。

定理：设 $,aN−1⋯a=a_{0}, a_{1}, \cdots, a_{N-1} \cdots$ 是 $F_{q}$ 上的一个周期为N的序列, 则 $a$ 的线性复杂度是下列矩阵的秩:
$C_{l}(a)=\left(\begin{array}{cccc} a_{0} & a_{1} & \cdots & a_{N-1} \\ a_{1} & a_{2} & \cdots & a_{0} \\ \vdots & \vdots & \cdots & \vdots \\ a_{N-1} & a_{0} & \cdots & a_{N-2} \end{array}\right)$

离散傅里叶变换：

设 $(N, q) = 1$ , 则存在 $m$ 使得 $F_{q^{m}}$ 中存在 $N$ 阶元。设 $,aN−1a^{N}=a_{0}, a_{1}, \cdots, a_{N-1}$ 是 $F_{q}$ 上的一个长为 $N$ 的序列, 它的离散傅立叶变换是 $F_{q^{m}}$ 上的序列 $AN=A0,A1,…,AN−1A^{N}=A_{0}, A_{1}, \ldots, A_{N-1}$ :
$\left(A_{0}, A_{1}, \cdots, A_{N-1}\right)=\left(a_{0}, a_{1}, \cdots, a_{N-1}\right) F(\alpha)$
$F(\alpha)=\left(\begin{array}{ccccc} 1 & 1 & 1 & \cdots & 1 \\ 1 & \alpha & \alpha^{2} & \cdots & \alpha^{N-1} \\ \vdots & \vdots & \vdots & \cdots & \vdots \\ 1 & \alpha^{N-1} & \alpha^{2(N-1)} & \cdots & \alpha^{(N-1)(N-1)} \end{array}\right)$

注意到： $F(α)−1=N−1F(α−1)F(\alpha)^{-1}=N^{-1} F\left(\alpha^{-1}\right)$ ，令：
$C_{r}(a)=\left(\begin{array}{cccc}a_{0} & a_{1} & \cdots & a_{N-1} \\ a_{N-1} & a_{0} & \cdots & a_{N-2} \\ \vdots & \vdots & \cdots & \vdots \\ a_{1} & a_{2} & \cdots & a_{0}\end{array}\right), D_{A}=\left(\begin{array}{cccc}A_{0} & & & \\ & A_{1} & & \\ & & \ddots & \\ & & & A_{N-1}\end{array}\right)$
则：Blahut定理：

设 $,aN−1⋯a^{\infty}=a_{0}, a_{1}, \cdots, a_{N-1} \cdots$ 是 $F_{q}$ 上的一个周期为 $N$ 的序列, 则 $L(a∞)=WH(AN),L(A∞)=WH(aN)L\left(a^{\infty}\right)=W_{H}\left(A^{N}\right), L\left(A^{\infty}\right)=W_{H}\left(a^{N}\right)$ （ $W_H$ ：非零分量个数）

伪随机数生成器

对于任意的正整数 $n$ , 我们设 $U_{n}$ 是一个取值在 $Z2n\mathbb{Z}_{2}^{n}$ 上的均匀分布的随机变量, $G$ 是一个确定的多项式时间算法。G称为是一个伪随机数发生器, 如果满足下列两条:

扩展性：当输入 $s$ 长度为 $n$ 时, 输出 $G (s)$ 的长度 $I (n)$ 满足 $I (n) > n$ ;
伪随机性: 当输入随机变量 $U_{n}$ 时, 输出随机变量 $G(Un)G\left(U_{n}\right)$ 与 $U_{I(n)}$ 不可区分。
事实上, 任一多项式扩展因子 $I (n)$ 的 PRG 可由扩展因子为 $n + 1$ 的 PRG 迭代得到。

Chapter4 RSA公钥密码体制

基础：给定大素数p,q，求n=pq/ 已知n为两个大素数p,q的乘积，求p,q的计算难度完全不同

定义：单向函数：正向求解容易，反向求解困难的函数

限门单向函数：单向函数，但在知道某个秘密参数k后，反向求解容易

基础知识：

Euclid算法：

辗转相除法求a和b的公因数：不妨设a>b，则：

$a=r_0, b=r_1, r_0=q_1r_1+r_2,r_1=q_2r_2+r_3,...,r_{m-1}=q_mr_m+0$ ，则 $gcd(a,b)=r_m$

将满足该组关系的 $r_0,r_1,...,r_m)$ 的集合看做一个空间，显然其为线性空间，秩为2，一组生成元为： $r_0=1,r_1=0, r_i=q_{i-1}r_{i-1}-r_{i-2}，i=2,...,m)$ 和 $s_0=0,s_1=1, s_i=q_{i-1}s_{i-1}-s_{i-2}，i=2,...,m)$

推论：对任意 $x_0=a,x_1=b)$ ，其构成的序列 $x_0,x_1,..,x_m)$ 满足： $x⃗=ar⃗+bs⃗\vec{x}=a\vec{r}+b\vec{s}$

若 $(a, b) = 1$ ，则 $x_m=1$ ，则 $ar_m+br_m=1$ ，则 $r_m=a^{-1}(\mod b),s_m=b^{-1}(\mod a)$

记忆：求小的数mod大的数的逆：取 $r_0=0,r_1=1$ ，和辗转相除法同步进行即可，到 $x_m=1$ 时停止

中国剩余定理：

假设整数 $m1,m2,…,mnm_{1}, m_{2}, \ldots, m_{n}$ 两两互素, 则对于任意的整数 $a1,a2,…,ana_{1}, a_{2}, \ldots, a_{n}$ , 方程组
$\left\{\begin{array}{l} x \equiv a_{1}\left(\bmod m_{1}\right) \\ x \equiv a_{2}\left(\bmod m_{2}\right) \\ \cdots \\ x \equiv a_{n}\left(\bmod m_{n}\right) \end{array}\right.$
都存在整数解, 且若 $X, Y$ 都满足该方程组, 则必有 $\equiv Y(\bmod N)$ , 其中 $N=∏i=1nmiN=\prod_{i=1}^{n} m_{i}$ 。
具体而言, $N)\quad x \equiv \sum_{i=1}^{n} a_{i} \times \frac{N}{m_{i}} \times\left[\left(\frac{N}{m_{i}}\right)^{-1}\right]_{m_{i}} \quad(\bmod N)$

Lagrange定理：

$(b, n) = 1$ ，则 $n)b^{\varphi(n)}=1(\mod n)$

二次剩余：

设p为奇质数，则 $Z_p^*|=p-1$ ， $Z_p^*)^2$ 为 $p−12\frac{p-1}{2}$ 阶子群，称为mod p的二次剩余（QR§）， $Z_p^*$ 中的其余元素则称为mod p的非二次剩余。

定义：Legendre符号： $(αp)\left(\frac{\alpha}{p} \right)$ : =1，若 $α\alpha$ 为mod p的二次剩余，=-1，若为非二次剩余，=0，若为0

显然， $(αp)\left(\frac{\alpha}{p} \right)$ = $p)\alpha^{\frac{p-1}{2}}(\mod p)$

扩展：Jacobi符号：定义 $(αn)=∏(αpi)ai\left(\frac{\alpha}{n} \right)=\prod \left(\frac{\alpha}{p_i}\right)^{a_i }$

二次互反律：

n为奇数： $(2n)={1n=±1mod8−1else\left(\frac{2}{n} \right)= \left\{ \begin{aligned} 1 & \quad n=±1 mod 8\\-1 &\quad else\end{aligned}\right.$

记忆方法：找规律
n为奇数： $(m1m2n)=(m1n)(m2n)\left(\frac{m_1m_2}{n} \right)=\left(\frac{m_1}{n} \right)\left(\frac{m_2}{n} \right)$
m,n为奇数： $4\left(\frac{m}{n} \right)=±\left(\frac{n}{m} \right)\left\{ \begin{aligned} - \quad& m\equiv n\equiv -1\mod 4 \\ + \quad&m\text{ or }n \equiv 1 \mod 4\end{aligned} \right .$

记忆方法： $(mn)(nm)=(−1)n−12m−12\left(\frac{m}{n} \right)\left(\frac{n}{m} \right)=(-1)^{\frac{n-1}{2}\frac{m-1}{2}}$

mod n的平方根：

p为质数，如果 $a∈QR(p)a\in QR(p)$ ，则 $px^2\equiv a\mod p$ 恰有两个根 $\pm b$

若 $4p\equiv 3\mod 4$ ，则解为 $px\equiv \pm a^{\frac{p+1}{4}}\mod p$
若 $n=p^e$ ，则 $pex^2\equiv a\mod p^e$ 恰有两解当且仅当 $px^2\equiv a\mod p$ 有解
若 $n=∏spiein=\prod_s p_i^{e_i}$ ， $(a, n) = 1$ ，则 $nx^2\equiv a\mod n$ 要么无解，要么有 $2^s$ 个解

RSA体制：

参数设置：p,q为两个约有512位的质数, n=pq, $φ(n)=(p−1)(q−1)\varphi(n)=(p-1)(q-1)$ ，取 $(e,φ(n))=1(e,\varphi(n))=1$ ，求 $φ(n))d\equiv e^{-1}(\mod \varphi(n))$ ，则e和n为公钥，d为私钥， $φ(n)\varphi(n)$ 为限门

如果只有n，则由于大整数分解的困难性，很难求出 $φ(n)\varphi(n)$ ，故无法求出 $d$ ；但是若有了 $φ(n)\varphi(n)$ ，则进行简单求逆即可求出 $d$

加密过程： $m→mem\rightarrow m^e$ ，解密过程： $m→mdm\rightarrow m^d$ ，因为 $m^{ed}=m$ （均为mod n运算）

求解 $x^e(\mod n)$ 的算法：平方乘算法

设e的二进制展开为 $c_mc_{m-1}...c_0)_2$ ，则 $x^e=x^{c_0} (x^{[c_m..c_1]})^2$ ，递归即可，至多进行2m+1次乘法运算

脱密计算：

用平方乘算法直接求出 $y^d(\mod n)$
分别计算出 $p−1)，yq,d1y_p\equiv y(\mod p), d_p\equiv d(\mod p-1)，y_q,d_1$ ，再用中国剩余定理合并两个方程的结果： $q)x_p\equiv y_p^{d_p}(\mod p)，x_q\equiv y_q^{d_q}(\mod q)$

判断一个数是否为质数的算法：

事实： $(αp)\left(\frac{\alpha}{p} \right)$ = $p)\alpha^{\frac{p-1}{2}}(\mod p)$ 只对奇数成立，对n为合数至少有一般的 $α\alpha$ 不成立

S-S算法：

在1~n-1中随机选取一个数a，令 $x=(an)x=\left(\frac{a}{n} \right)$ ，若x为0或 $αn−12\alpha^{\frac{n-1}{2}}$ 则返回n为质数，否则返回合数。

这是一个Monte-Carlo算法：如果n为合数则必定返回合数，如果n为质数则有大于1/2的概率为质数

Miller-Rabin算法：

设 $n-1=2^k m$ ，其中m为奇数。在1~n-1中随机选取一个数a，令 $b=a^m \mod n$ ，如果 $\mod n$ ，则返回n为质数，否则，

对i=0~k-1，若 $\mod n$ ，则返回n为质数，否则 $b=b^2$

否则，返回n为合数

分析：若n为质数，且返回了n为合数，则要求对i=0~k-1， $nb\not \equiv -1\mod n$ ，但是由于n为质数时完全平方数 $x^2=1\mod n$ 必须 $nx=±1\mod n$ ，因此必须 $b=nb\equiv 1 \mod b=n$ ，这会返回n为质数，矛盾！故n为质数必定返回质数，同时可以证明n为合数则至少有1/2概率返回合