Pro Yearly is on sale from $80 to $50! »

信息安全数学基础:第9章:有限域(下)

Ff55ca691280ee7c7e7e2452276a4af9?s=47 zxl
October 07, 2012

 信息安全数学基础:第9章:有限域(下)

信息安全数学基础:第9章:有限域(下)

Ff55ca691280ee7c7e7e2452276a4af9?s=128

zxl

October 07, 2012
Tweet

Transcript

  1. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 .

    . . . . . . 有限域(下) 广州大学数学与信息科学学院 2007-05-20 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  2. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . §9.4 有限域中的开平方算法 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  3. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 本节给出两类常用的有限域 Fp 和 F2m 上的开平方算法。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  4. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . Fp 上开平方的算法。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  5. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . Fp 上开平方的算法。 . . . . . . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  6. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . Fp 上开平方的算法。 . . . . . . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。显然,仅当 a 是二次剩余时才有解。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  7. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . Fp 上开平方的算法。 . . . . . . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。显然,仅当 a 是二次剩余时才有解。用 Legendre 符号,可以判断 a 是否二 次剩余, 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  8. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . Fp 上开平方的算法。 . . . . . . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。显然,仅当 a 是二次剩余时才有解。用 Legendre 符号,可以判断 a 是否二 次剩余,如果是,又如何求出呢? 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  9. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . Fp 上开平方的算法。 . . . . . . . 设 a ∈ Fp ,对 a 开平方就是求 x 使 x2 = a。显然,仅当 a 是二次剩余时才有解。用 Legendre 符号,可以判断 a 是否二 次剩余,如果是,又如何求出呢?这个问题并不容易。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  10. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 基本想法: 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  11. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 基本想法: . . . . . . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ak+1 = a 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  12. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 基本想法: . . . . . . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ak+1 = a ⇒ ( ak+1 2 )2 = a; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  13. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 基本想法: . . . . . . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ak+1 = a ⇒ ( ak+1 2 )2 = a; . . . 2 若奇数 k 使得 ak = −1,又存在某 b 使得 b2m = −1, 则有 b2mak = 1 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  14. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 基本想法: . . . . . . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ak+1 = a ⇒ ( ak+1 2 )2 = a; . . . 2 若奇数 k 使得 ak = −1,又存在某 b 使得 b2m = −1, 则有 b2mak = 1 ⇒ ( bmak+1 2 )2 = a; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  15. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 基本想法: . . . . . . . . . . 1 如果存在奇数 k 使得 ak = 1,则有 ak+1 = a ⇒ ( ak+1 2 )2 = a; . . . 2 若奇数 k 使得 ak = −1,又存在某 b 使得 b2m = −1, 则有 b2mak = 1 ⇒ ( bmak+1 2 )2 = a; 在这个基本想法下,Fp 上开平方可以分为三种类型。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  16. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型一:p ≡ 3 (mod 4)。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  17. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型一:p ≡ 3 (mod 4)。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  18. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型一:p ≡ 3 (mod 4)。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 令 p = 4t + 3 有 a4t+2 2 = 1 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  19. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型一:p ≡ 3 (mod 4)。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 令 p = 4t + 3 有 a4t+2 2 = 1 ⇒ a2t+1 = 1 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  20. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型一:p ≡ 3 (mod 4)。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 令 p = 4t + 3 有 a4t+2 2 = 1 ⇒ a2t+1 = 1 ⇒ ( at+1 )2 = a。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  21. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型一:p ≡ 3 (mod 4)。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 令 p = 4t + 3 有 a4t+2 2 = 1 ⇒ a2t+1 = 1 ⇒ ( at+1 )2 = a。 x = ±ap+1 4 。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  22. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F211 中求 x,使得 x2 = 143。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  23. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F211 中求 x,使得 x2 = 143。 . . . . . . . . . . 1 ( 143 211 ) = 1,所以 143 是模 211 的二次剩余; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  24. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F211 中求 x,使得 x2 = 143。 . . . . . . . . . . 1 ( 143 211 ) = 1,所以 143 是模 211 的二次剩余; . . . 2 143211−1 2 = 1 ⇒ 143105 = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  25. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F211 中求 x,使得 x2 = 143。 . . . . . . . . . . 1 ( 143 211 ) = 1,所以 143 是模 211 的二次剩余; . . . 2 143211−1 2 = 1 ⇒ 143105 = 1; . . . 3 143106 = 143 ⇒ ( 14353 )2 = 143; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  26. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F211 中求 x,使得 x2 = 143。 . . . . . . . . . . 1 ( 143 211 ) = 1,所以 143 是模 211 的二次剩余; . . . 2 143211−1 2 = 1 ⇒ 143105 = 1; . . . 3 143106 = 143 ⇒ ( 14353 )2 = 143; . . . 4 x ≡ ±14353 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  27. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F211 中求 x,使得 x2 = 143。 . . . . . . . . . . 1 ( 143 211 ) = 1,所以 143 是模 211 的二次剩余; . . . 2 143211−1 2 = 1 ⇒ 143105 = 1; . . . 3 143106 = 143 ⇒ ( 14353 )2 = 143; . . . 4 x ≡ ±14353 ≡ 96 (mod 211)。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  28. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  29. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  30. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 但现在 p−1 2 是个偶数,前面的方法不灵了。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  31. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 但现在 p−1 2 是个偶数,前面的方法不灵了。 ap−1 2 = 1 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  32. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 但现在 p−1 2 是个偶数,前面的方法不灵了。 ap−1 2 = 1 ⇒ (ap−1 4 + 1)(ap−1 4 − 1) = 0 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  33. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 但现在 p−1 2 是个偶数,前面的方法不灵了。 ap−1 2 = 1 ⇒ (ap−1 4 + 1)(ap−1 4 − 1) = 0 ⇒ ap−1 4 = ±1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  34. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 但现在 p−1 2 是个偶数,前面的方法不灵了。 ap−1 2 = 1 ⇒ (ap−1 4 + 1)(ap−1 4 − 1) = 0 ⇒ ap−1 4 = ±1; 现在 p−1 4 是个奇数,若 ap−1 4 = 1 有 x = ±ap+3 8 ; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  35. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 但现在 p−1 2 是个偶数,前面的方法不灵了。 ap−1 2 = 1 ⇒ (ap−1 4 + 1)(ap−1 4 − 1) = 0 ⇒ ap−1 4 = ±1; 现在 p−1 4 是个奇数,若 ap−1 4 = 1 有 x = ±ap+3 8 ; 若 ap−1 4 = −1,由于 p ≡ 1 (mod 8),所以 2 不是模 p 的 二次剩余,有 2p−1 2 = −1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  36. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 但现在 p−1 2 是个偶数,前面的方法不灵了。 ap−1 2 = 1 ⇒ (ap−1 4 + 1)(ap−1 4 − 1) = 0 ⇒ ap−1 4 = ±1; 现在 p−1 4 是个奇数,若 ap−1 4 = 1 有 x = ±ap+3 8 ; 若 ap−1 4 = −1,由于 p ≡ 1 (mod 8),所以 2 不是模 p 的 二次剩余,有 2p−1 2 = −1; 2p−1 2 ap−1 4 = 1 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  37. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 但现在 p−1 2 是个偶数,前面的方法不灵了。 ap−1 2 = 1 ⇒ (ap−1 4 + 1)(ap−1 4 − 1) = 0 ⇒ ap−1 4 = ±1; 现在 p−1 4 是个奇数,若 ap−1 4 = 1 有 x = ±ap+3 8 ; 若 ap−1 4 = −1,由于 p ≡ 1 (mod 8),所以 2 不是模 p 的 二次剩余,有 2p−1 2 = −1; 2p−1 2 ap−1 4 = 1 ⇒ (2p−1 4 ap+3 8 ) 2 = a; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  38. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型二:p ≡ 1 (mod 8),这是模 4 余 1 的子类型。 . . . . . . . x2 = a,a 是二次剩余,所以 ap−1 2 = 1; 但现在 p−1 2 是个偶数,前面的方法不灵了。 ap−1 2 = 1 ⇒ (ap−1 4 + 1)(ap−1 4 − 1) = 0 ⇒ ap−1 4 = ±1; 现在 p−1 4 是个奇数,若 ap−1 4 = 1 有 x = ±ap+3 8 ; 若 ap−1 4 = −1,由于 p ≡ 1 (mod 8),所以 2 不是模 p 的 二次剩余,有 2p−1 2 = −1; 2p−1 2 ap−1 4 = 1 ⇒ (2p−1 4 ap+3 8 ) 2 = a; x = ±2p−1 4 ap+3 8 ; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  39. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F269 中求 x,使得 x2 = 138。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  40. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F269 中求 x,使得 x2 = 138。 . . . . . . . ( 138 269 ) = 1,所以 138 是模 269 的二次剩余。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  41. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F269 中求 x,使得 x2 = 138。 . . . . . . . ( 138 269 ) = 1,所以 138 是模 269 的二次剩余。 设置 a = 138,有 a269−1 2 = 1 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  42. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F269 中求 x,使得 x2 = 138。 . . . . . . . ( 138 269 ) = 1,所以 138 是模 269 的二次剩余。 设置 a = 138,有 a269−1 2 = 1 ⇒ a134 = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  43. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F269 中求 x,使得 x2 = 138。 . . . . . . . ( 138 269 ) = 1,所以 138 是模 269 的二次剩余。 设置 a = 138,有 a269−1 2 = 1 ⇒ a134 = 1; a67 = ±1, 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  44. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F269 中求 x,使得 x2 = 138。 . . . . . . . ( 138 269 ) = 1,所以 138 是模 269 的二次剩余。 设置 a = 138,有 a269−1 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  45. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F269 中求 x,使得 x2 = 138。 . . . . . . . ( 138 269 ) = 1,所以 138 是模 269 的二次剩余。 设置 a = 138,有 a269−1 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 269 ) = 1, 有 2269−1 2 = −1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  46. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F269 中求 x,使得 x2 = 138。 . . . . . . . ( 138 269 ) = 1,所以 138 是模 269 的二次剩余。 设置 a = 138,有 a269−1 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 269 ) = 1, 有 2269−1 2 = −1; 2134a67 = 1 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  47. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F269 中求 x,使得 x2 = 138。 . . . . . . . ( 138 269 ) = 1,所以 138 是模 269 的二次剩余。 设置 a = 138,有 a269−1 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 269 ) = 1, 有 2269−1 2 = −1; 2134a67 = 1 ⇒ ( 269a34 )2 = a; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  48. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F269 中求 x,使得 x2 = 138。 . . . . . . . ( 138 269 ) = 1,所以 138 是模 269 的二次剩余。 设置 a = 138,有 a269−1 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 269 ) = 1, 有 2269−1 2 = −1; 2134a67 = 1 ⇒ ( 269a34 )2 = a; x = ±267a34 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  49. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F269 中求 x,使得 x2 = 138。 . . . . . . . ( 138 269 ) = 1,所以 138 是模 269 的二次剩余。 设置 a = 138,有 a269−1 2 = 1 ⇒ a134 = 1; a67 = ±1, 直接验证知 a67 = −1; ( 2 269 ) = 1, 有 2269−1 2 = −1; 2134a67 = 1 ⇒ ( 269a34 )2 = a; x = ±267a34 = ±26 (mod 269)。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  50. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  51. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . . . . . 类型二其实是类型三的推广。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  52. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . . . . . 类型二其实是类型三的推广。 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  53. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . . . . . 类型二其实是类型三的推广。 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; bp−1 2 = −1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  54. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . . . . . 类型二其实是类型三的推广。 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; bp−1 2 = −1; 从 ap−1 2 = 1 出发,开平方得到 ±1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  55. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . . . . . 类型二其实是类型三的推广。 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; bp−1 2 = −1; 从 ap−1 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  56. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . . . . . 类型二其实是类型三的推广。 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; bp−1 2 = −1; 从 ap−1 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; 如果得到 −1,则两边乘以 bp−1 2 ,变 −1 为 1, 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  57. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . . . . . 类型二其实是类型三的推广。 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; bp−1 2 = −1; 从 ap−1 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; 如果得到 −1,则两边乘以 bp−1 2 ,变 −1 为 1,然后继续 分解。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  58. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . . . . . 类型二其实是类型三的推广。 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; bp−1 2 = −1; 从 ap−1 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; 如果得到 −1,则两边乘以 bp−1 2 ,变 −1 为 1,然后继续 分解。 式子在变化中具有形式 bman = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  59. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . . . . . 类型二其实是类型三的推广。 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; bp−1 2 = −1; 从 ap−1 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; 如果得到 −1,则两边乘以 bp−1 2 ,变 −1 为 1,然后继续 分解。 式子在变化中具有形式 bman = 1; 只要 n, m 都是 2 的倍数,则上述分解操作总可以进 行。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  60. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 类型三:p ≡ 1 (mod 8), 这是模 4 余 1 的另一子类型。 . . . . . . . 类型二其实是类型三的推广。 先找一个模 p 的二次非剩余 b,随机搜索成功率为 1/2; bp−1 2 = −1; 从 ap−1 2 = 1 出发,开平方得到 ±1; 如果得到 1 就继续开平方; 如果得到 −1,则两边乘以 bp−1 2 ,变 −1 为 1,然后继续 分解。 式子在变化中具有形式 bman = 1; 只要 n, m 都是 2 的倍数,则上述分解操作总可以进 行。由于每次分解 n 的 2 因子个数减 1,故此过程总会停 止。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  61. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 由于乘上去的 bp−1 2 的指数部分所含的 2 因子比 a 的多, 所以一定是 a 耗尽了指数部分中的因子 2; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  62. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 由于乘上去的 bp−1 2 的指数部分所含的 2 因子比 a 的多, 所以一定是 a 耗尽了指数部分中的因子 2; 也就是说式子变成 bnam = 1, 2 | n, 2 m 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  63. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 由于乘上去的 bp−1 2 的指数部分所含的 2 因子比 a 的多, 所以一定是 a 耗尽了指数部分中的因子 2; 也就是说式子变成 bnam = 1, 2 | n, 2 m 此时只要两边乘上 a 就有: bnam+1 = a 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  64. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 由于乘上去的 bp−1 2 的指数部分所含的 2 因子比 a 的多, 所以一定是 a 耗尽了指数部分中的因子 2; 也就是说式子变成 bnam = 1, 2 | n, 2 m 此时只要两边乘上 a 就有: bnam+1 = a ⇒ ( bn 2 am+1 2 )2 = a 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  65. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 由于乘上去的 bp−1 2 的指数部分所含的 2 因子比 a 的多, 所以一定是 a 耗尽了指数部分中的因子 2; 也就是说式子变成 bnam = 1, 2 | n, 2 m 此时只要两边乘上 a 就有: bnam+1 = a ⇒ ( bn 2 am+1 2 )2 = a 所以 x = ± ( bn 2 am+1 2 ) 。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  66. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F353 中,求 x 使得 x2 = 11。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  67. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F353 中,求 x 使得 x2 = 11。 . . . . . . . ( 11 353 ) = 1,令 a = 11 有 a176 = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  68. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F353 中,求 x 使得 x2 = 11。 . . . . . . . ( 11 353 ) = 1,令 a = 11 有 a176 = 1; ( 3 353 ) = −1,令 b = 3 有 b176 = −1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  69. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F353 中,求 x 使得 x2 = 11。 . . . . . . . ( 11 353 ) = 1,令 a = 11 有 a176 = 1; ( 3 353 ) = −1,令 b = 3 有 b176 = −1; a88 = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  70. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F353 中,求 x 使得 x2 = 11。 . . . . . . . ( 11 353 ) = 1,令 a = 11 有 a176 = 1; ( 3 353 ) = −1,令 b = 3 有 b176 = −1; a88 = 1; a44 = −1 ⇒ b176a44 = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  71. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F353 中,求 x 使得 x2 = 11。 . . . . . . . ( 11 353 ) = 1,令 a = 11 有 a176 = 1; ( 3 353 ) = −1,令 b = 3 有 b176 = −1; a88 = 1; a44 = −1 ⇒ b176a44 = 1; b88a22 = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  72. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F353 中,求 x 使得 x2 = 11。 . . . . . . . ( 11 353 ) = 1,令 a = 11 有 a176 = 1; ( 3 353 ) = −1,令 b = 3 有 b176 = −1; a88 = 1; a44 = −1 ⇒ b176a44 = 1; b88a22 = 1; b44a11 = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  73. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F353 中,求 x 使得 x2 = 11。 . . . . . . . ( 11 353 ) = 1,令 a = 11 有 a176 = 1; ( 3 353 ) = −1,令 b = 3 有 b176 = −1; a88 = 1; a44 = −1 ⇒ b176a44 = 1; b88a22 = 1; b44a11 = 1; b44a12 = a 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  74. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F353 中,求 x 使得 x2 = 11。 . . . . . . . ( 11 353 ) = 1,令 a = 11 有 a176 = 1; ( 3 353 ) = −1,令 b = 3 有 b176 = −1; a88 = 1; a44 = −1 ⇒ b176a44 = 1; b88a22 = 1; b44a11 = 1; b44a12 = a ⇒ ( b22a6 )2 = a; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  75. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F353 中,求 x 使得 x2 = 11。 . . . . . . . ( 11 353 ) = 1,令 a = 11 有 a176 = 1; ( 3 353 ) = −1,令 b = 3 有 b176 = −1; a88 = 1; a44 = −1 ⇒ b176a44 = 1; b88a22 = 1; b44a11 = 1; b44a12 = a ⇒ ( b22a6 )2 = a; x = ±b22a6 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  76. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . Example . . . . . . . . 在 F353 中,求 x 使得 x2 = 11。 . . . . . . . ( 11 353 ) = 1,令 a = 11 有 a176 = 1; ( 3 353 ) = −1,令 b = 3 有 b176 = −1; a88 = 1; a44 = −1 ⇒ b176a44 = 1; b88a22 = 1; b44a11 = 1; b44a12 = a ⇒ ( b22a6 )2 = a; x = ±b22a6 = ±94 mod 353。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  77. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . F2m 上开平方。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  78. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . F2m 上开平方。 . . . . . . . a ∈ F2m ,求 x ∈ F2m 使得 x2 = a; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  79. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . F2m 上开平方。 . . . . . . . a ∈ F2m ,求 x ∈ F2m 使得 x2 = a; 由于 a2m = a,所以 ( a2m−1 )2 = a; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  80. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . F2m 上开平方。 . . . . . . . a ∈ F2m ,求 x ∈ F2m 使得 x2 = a; 由于 a2m = a,所以 ( a2m−1 )2 = a; x = ±a2m−1 ,但由于在特征为 2 的域上,正号和负号没有 区别; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  81. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . F2m 上开平方。 . . . . . . . a ∈ F2m ,求 x ∈ F2m 使得 x2 = a; 由于 a2m = a,所以 ( a2m−1 )2 = a; x = ±a2m−1 ,但由于在特征为 2 的域上,正号和负号没有 区别; x = a2m−1 。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  82. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 下面我们介绍一个相关问题,如何在 F2m 上求解方程: x2 + x = a, a ∈ F2m 。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  83. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 下面我们介绍一个相关问题,如何在 F2m 上求解方程: x2 + x = a, a ∈ F2m 。 要解决这个问题,需要引入“迹”的概念。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  84. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定义 . . . . . . . . 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: Tr(α) = α + α2 + · · · + α2m−1 。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  85. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定义 . . . . . . . . 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: Tr(α) = α + α2 + · · · + α2m−1 。 . . . . . . . 由于 Char F2m = 2,所以 Tr(α) = α2 + α22 + · · · + α2m 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  86. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定义 . . . . . . . . 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: Tr(α) = α + α2 + · · · + α2m−1 。 . . . . . . . 由于 Char F2m = 2,所以 Tr(α) = α2 + α22 + · · · + α2m = α2 + α22 + · · · + α2m−1 + α 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  87. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定义 . . . . . . . . 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: Tr(α) = α + α2 + · · · + α2m−1 。 . . . . . . . 由于 Char F2m = 2,所以 Tr(α) = α2 + α22 + · · · + α2m = α2 + α22 + · · · + α2m−1 + α = Tr(α) 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  88. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定义 . . . . . . . . 任意 α ∈ F2m ,则 α 的迹 Tr(α) 定义为: Tr(α) = α + α2 + · · · + α2m−1 。 . . . . . . . 由于 Char F2m = 2,所以 Tr(α) = α2 + α22 + · · · + α2m = α2 + α22 + · · · + α2m−1 + α = Tr(α) 可见 Tr(α) ∈ F2 ,即 Tr 是从 F2m 到 F2 的映射, 取值 0 或 1。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  89. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 迹函数有如下性质: . . . 1 对任意 α, β ∈ F2m ,有 Tr(α + β) = Tr(α) + Tr(β); 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  90. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 迹函数有如下性质: . . . 1 对任意 α, β ∈ F2m ,有 Tr(α + β) = Tr(α) + Tr(β); . . . 2 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  91. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 迹函数有如下性质: . . . 1 对任意 α, β ∈ F2m ,有 Tr(α + β) = Tr(α) + Tr(β); . . . 2 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . . . 3 对任意的 α ∈ F2m ,有 Tr(α2) = Tr(α)。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  92. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 迹函数有如下性质: . . . 1 对任意 α, β ∈ F2m ,有 Tr(α + β) = Tr(α) + Tr(β); . . . 2 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . . . 3 对任意的 α ∈ F2m ,有 Tr(α2) = Tr(α)。 . . . . . . . 证明作为简单的练习。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  93. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 迹函数有如下性质: . . . 1 对任意 α, β ∈ F2m ,有 Tr(α + β) = Tr(α) + Tr(β); . . . 2 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . . . 3 对任意的 α ∈ F2m ,有 Tr(α2) = Tr(α)。 . . . . . . . 证明作为简单的练习。 前两条说 Tr 函数是向量空间 F2 × F2m 到自身的一个线性 映射。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  94. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 迹函数有如下性质: . . . 1 对任意 α, β ∈ F2m ,有 Tr(α + β) = Tr(α) + Tr(β); . . . 2 对任意的 c ∈ F2 及任意 α ∈ F2m ,有 Tr(cα) = cTr(α); . . . 3 对任意的 α ∈ F2m ,有 Tr(α2) = Tr(α)。 . . . . . . . 证明作为简单的练习。 前两条说 Tr 函数是向量空间 F2 × F2m 到自身的一个线性 映射。 迹函数并不限于 F2m ,我们这里介绍的只是它的一个特殊 情形。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  95. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 域 F2m 上方程 x2 + x = α 有解的充分必要条件是 Tr(α) = 0。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  96. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 域 F2m 上方程 x2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . . . . . . . 充分性 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  97. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 域 F2m 上方程 x2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . . . . . . . 充分性 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  98. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 域 F2m 上方程 x2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . . . . . . . 充分性 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) = Tr(x0 2) + Tr(x0) 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  99. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 域 F2m 上方程 x2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . . . . . . . 充分性 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) = Tr(x0 2) + Tr(x0) = ( Tr(x0) )2 + Tr(x0) 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  100. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 域 F2m 上方程 x2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . . . . . . . 充分性 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) = Tr(x0 2) + Tr(x0) = ( Tr(x0) )2 + Tr(x0) = 0 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  101. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . 定理 . . . . . . . . 域 F2m 上方程 x2 + x = α 有解的充分必要条件是 Tr(α) = 0。 . . . . . . . 充分性 设 x0 是 x2 + x = α 在 F2m 上的一个解,有 x0 2 + x = α, Tr(α) = Tr(x0 2 + x) = Tr(x0 2) + Tr(x0) = ( Tr(x0) )2 + Tr(x0) = 0 必要性要难一些,分两种情形处理。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  102. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形一:m 是奇数。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  103. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形一:m 是奇数。 . . . . . . . 令 β = α + α22 + α24 · · · + α2m−1 ; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  104. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形一:m 是奇数。 . . . . . . . 令 β = α + α22 + α24 · · · + α2m−1 ; 则 β2 = α2 + α23 + α25 + · · · + α2m ; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  105. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形一:m 是奇数。 . . . . . . . 令 β = α + α22 + α24 · · · + α2m−1 ; 则 β2 = α2 + α23 + α25 + · · · + α2m ; β2 + β = Tr(α) + α2m 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  106. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形一:m 是奇数。 . . . . . . . 令 β = α + α22 + α24 · · · + α2m−1 ; 则 β2 = α2 + α23 + α25 + · · · + α2m ; β2 + β = Tr(α) + α2m = α; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  107. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形一:m 是奇数。 . . . . . . . 令 β = α + α22 + α24 · · · + α2m−1 ; 则 β2 = α2 + α23 + α25 + · · · + α2m ; β2 + β = Tr(α) + α2m = α; β 是方程 x2 + x = α 的解。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  108. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形一:m 是奇数。 . . . . . . . 令 β = α + α22 + α24 · · · + α2m−1 ; 则 β2 = α2 + α23 + α25 + · · · + α2m ; β2 + β = Tr(α) + α2m = α; β 是方程 x2 + x = α 的解。 容易验证 β + 1 是另外一个解。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  109. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形二:m 是偶数。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  110. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  111. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . . . . . ( (ρ2 + ρ22 + · · · + ρ2m−1 )α )2 = (ρ22 + · · · + ρ2m−1 )α2 + ρα2 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  112. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . . . . . ( (ρ2 + ρ22 + · · · + ρ2m−1 )α )2 = (ρ22 + · · · + ρ2m−1 )α2 + ρα2 ( (ρ22 + ρ23 + · · · + ρ2m−1 )α2 )2 = (ρ23 + · · · + ρ2m−1 )α22 + ρα22 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  113. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . . . . . ( (ρ2 + ρ22 + · · · + ρ2m−1 )α )2 = (ρ22 + · · · + ρ2m−1 )α2 + ρα2 ( (ρ22 + ρ23 + · · · + ρ2m−1 )α2 )2 = (ρ23 + · · · + ρ2m−1 )α22 + ρα22 ( (ρ23 + ρ24 + · · · + ρ2m−1 )α22 ) )2 = (ρ24 + · · · + ρ2m−1 )α23 + ρα23 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  114. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . . . . . ( (ρ2 + ρ22 + · · · + ρ2m−1 )α )2 = (ρ22 + · · · + ρ2m−1 )α2 + ρα2 ( (ρ22 + ρ23 + · · · + ρ2m−1 )α2 )2 = (ρ23 + · · · + ρ2m−1 )α22 + ρα22 ( (ρ23 + ρ24 + · · · + ρ2m−1 )α22 ) )2 = (ρ24 + · · · + ρ2m−1 )α23 + ρα23 · · · · · · 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  115. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . . . . . ( (ρ2 + ρ22 + · · · + ρ2m−1 )α )2 = (ρ22 + · · · + ρ2m−1 )α2 + ρα2 ( (ρ22 + ρ23 + · · · + ρ2m−1 )α2 )2 = (ρ23 + · · · + ρ2m−1 )α22 + ρα22 ( (ρ23 + ρ24 + · · · + ρ2m−1 )α22 ) )2 = (ρ24 + · · · + ρ2m−1 )α23 + ρα23 · · · · · · ( (ρ2m−2 + ρ2m−1 )α2m−3 )2 = (ρ2m−1 )α2m−2 + ρα2m−2 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  116. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . . . . . ( (ρ2 + ρ22 + · · · + ρ2m−1 )α )2 = (ρ22 + · · · + ρ2m−1 )α2 + ρα2 ( (ρ22 + ρ23 + · · · + ρ2m−1 )α2 )2 = (ρ23 + · · · + ρ2m−1 )α22 + ρα22 ( (ρ23 + ρ24 + · · · + ρ2m−1 )α22 ) )2 = (ρ24 + · · · + ρ2m−1 )α23 + ρα23 · · · · · · ( (ρ2m−2 + ρ2m−1 )α2m−3 )2 = (ρ2m−1 )α2m−2 + ρα2m−2 ( (ρ2m−1 )α2m−2 )2 = (0) + ρα2m−1 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  117. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 情形二:m 是偶数。设有 ρ 满足 Tr(ρ) = 1。 . . . . . . . ( (ρ2 + ρ22 + · · · + ρ2m−1 )α )2 = (ρ22 + · · · + ρ2m−1 )α2 + ρα2 ( (ρ22 + ρ23 + · · · + ρ2m−1 )α2 )2 = (ρ23 + · · · + ρ2m−1 )α22 + ρα22 ( (ρ23 + ρ24 + · · · + ρ2m−1 )α22 ) )2 = (ρ24 + · · · + ρ2m−1 )α23 + ρα23 · · · · · · ( (ρ2m−2 + ρ2m−1 )α2m−3 )2 = (ρ2m−1 )α2m−2 + ρα2m−2 ( (ρ2m−1 )α2m−2 )2 = (0) + ρα2m−1 . . . . . . . 令 β = m−1 ∑ i=1 α2i−1 m−1 ∑ j=i ρ2j ,将上面各式累加,有 α + β2 = β 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  118. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 所以 β2 + β = α,β 是一个解。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  119. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 所以 β2 + β = α,β 是一个解。 容易验证 β + 1 是另一个解。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  120. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 所以 β2 + β = α,β 是一个解。 容易验证 β + 1 是另一个解。 显然这个方法也可以解决情形一,但我们处理情形一的方法 更简洁。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  121. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Fp

    上开平方算法 F2m 上开平方 . . . . . . . 所以 β2 + β = α,β 是一个解。 容易验证 β + 1 是另一个解。 显然这个方法也可以解决情形一,但我们处理情形一的方法 更简洁。 满足 Tr(ρ) = 1 的 ρ 可以在 F2m 中随机搜索,成功率 是 1/2。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  122. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . §9.5 有限域中离散对数 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  123. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 背景介绍: . . . . . . . 设 a, b, c 满足关系 a = bc,则称 c 是 a 关于 b 的对 数,记 成 c = logb a。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  124. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 背景介绍: . . . . . . . 设 a, b, c 满足关系 a = bc,则称 c 是 a 关于 b 的对 数,记 成 c = logb a。 如果 a, b ∈ R,那么求 a 关于 b 的对数是相对容易的。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  125. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 背景介绍: . . . . . . . 设 a, b, c 满足关系 a = bc,则称 c 是 a 关于 b 的对 数,记 成 c = logb a。 如果 a, b ∈ R,那么求 a 关于 b 的对数是相对容易的。 如果 a, b 是某个有限域 Fq 中的元素,求正整数 n 使得 a = bn,一般是个很困难的问题。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  126. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . 定义 . . . . . . . . 设 Fq 是 q 元有限域,b 是循环群 F∗ q 的一个生成 元,a ∈ F∗ q 。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  127. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . 定义 . . . . . . . . 设 Fq 是 q 元有限域,b 是循环群 F∗ q 的一个生成 元,a ∈ F∗ q 。 若正整数 n q − 1,使得 a = bn,则称 n 为 a 关于底 数 b 的离散对数。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  128. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . 定义 . . . . . . . . 设 Fq 是 q 元有限域,b 是循环群 F∗ q 的一个生成 元,a ∈ F∗ q 。 若正整数 n q − 1,使得 a = bn,则称 n 为 a 关于底 数 b 的离散对数。 记为 n = logb a。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  129. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 Z5 中,2 是一个本原元,有: . . . . . . . . . . 1 log2 1 = 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  130. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 Z5 中,2 是一个本原元,有: . . . . . . . . . . 1 log2 1 = 0; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  131. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 Z5 中,2 是一个本原元,有: . . . . . . . . . . 1 log2 1 = 0; . . . 2 log2 2 = 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  132. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 Z5 中,2 是一个本原元,有: . . . . . . . . . . 1 log2 1 = 0; . . . 2 log2 2 = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  133. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 Z5 中,2 是一个本原元,有: . . . . . . . . . . 1 log2 1 = 0; . . . 2 log2 2 = 1; . . . 3 log2 3 = 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  134. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 Z5 中,2 是一个本原元,有: . . . . . . . . . . 1 log2 1 = 0; . . . 2 log2 2 = 1; . . . 3 log2 3 = 3; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  135. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 Z5 中,2 是一个本原元,有: . . . . . . . . . . 1 log2 1 = 0; . . . 2 log2 2 = 1; . . . 3 log2 3 = 3; . . . 4 log2 4 = 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  136. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 Z5 中,2 是一个本原元,有: . . . . . . . . . . 1 log2 1 = 0; . . . 2 log2 2 = 1; . . . 3 log2 3 = 3; . . . 4 log2 4 = 2。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  137. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 当 q 比较小的时候,Fq 上离散对数的问题可以通过穷搜解 决。 但当 q 很大的时候,穷搜的效果就不好了。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  138. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 当 q 比较小的时候,Fq 上离散对数的问题可以通过穷搜解 决。 但当 q 很大的时候,穷搜的效果就不好了。下面我们介绍 两种求离散对数的方法,它们略优于穷搜。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  139. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Silver, Pohlig 和 Hellman 的方法。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  140. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Silver, Pohlig 和 Hellman 的方法。 . . . . . . . 这个方法揉合了分治和时空转换。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  141. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Silver, Pohlig 和 Hellman 的方法。 . . . . . . . 这个方法揉合了分治和时空转换。 设 g 是 Fq 的本原元,y ∈ F∗ q , 求 x = logg y; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  142. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Silver, Pohlig 和 Hellman 的方法。 . . . . . . . 这个方法揉合了分治和时空转换。 设 g 是 Fq 的本原元,y ∈ F∗ q , 求 x = logg y; 设 q − 1 的典范分解为 ∏ pαp ; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  143. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Silver, Pohlig 和 Hellman 的方法。 . . . . . . . 这个方法揉合了分治和时空转换。 设 g 是 Fq 的本原元,y ∈ F∗ q , 求 x = logg y; 设 q − 1 的典范分解为 ∏ pαp ; 如果我们能求出 x ≡ xp (mod pαp ),则可以用中国剩余定 理求出 x。 [分治] 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  144. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 α) 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  145. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 α) . . . . . . . 设 xp = a0 + a1p + · · · + aα−1pα−1,而 x = xp + pαt; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  146. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 α) . . . . . . . 设 xp = a0 + a1p + · · · + aα−1pα−1,而 x = xp + pαt; gx = b ⇒ ga0+a1p+··· = b 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  147. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 α) . . . . . . . 设 xp = a0 + a1p + · · · + aα−1pα−1,而 x = xp + pαt; gx = b ⇒ ga0+a1p+··· = b ⇒ (ga0+a1p+···)q−1 p = bq−1 p 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  148. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 α) . . . . . . . 设 xp = a0 + a1p + · · · + aα−1pα−1,而 x = xp + pαt; gx = b ⇒ ga0+a1p+··· = b ⇒ (ga0+a1p+···)q−1 p = bq−1 p 所以有 ga0 = bq−1 p , 0 a0 < p, 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  149. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 α) . . . . . . . 设 xp = a0 + a1p + · · · + aα−1pα−1,而 x = xp + pαt; gx = b ⇒ ga0+a1p+··· = b ⇒ (ga0+a1p+···)q−1 p = bq−1 p 所以有 ga0 = bq−1 p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  150. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 α) . . . . . . . 设 xp = a0 + a1p + · · · + aα−1pα−1,而 x = xp + pαt; gx = b ⇒ ga0+a1p+··· = b ⇒ (ga0+a1p+···)q−1 p = bq−1 p 所以有 ga0 = bq−1 p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; gx = b ⇒ ga0+a1p+··· = b 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  151. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 α) . . . . . . . 设 xp = a0 + a1p + · · · + aα−1pα−1,而 x = xp + pαt; gx = b ⇒ ga0+a1p+··· = b ⇒ (ga0+a1p+···)q−1 p = bq−1 p 所以有 ga0 = bq−1 p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; gx = b ⇒ ga0+a1p+··· = b ⇒ ga1p+a2p2+··· = bg−a0 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  152. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 α) . . . . . . . 设 xp = a0 + a1p + · · · + aα−1pα−1,而 x = xp + pαt; gx = b ⇒ ga0+a1p+··· = b ⇒ (ga0+a1p+···)q−1 p = bq−1 p 所以有 ga0 = bq−1 p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; gx = b ⇒ ga0+a1p+··· = b ⇒ ga1p+a2p2+··· = bg−a0 ⇒ (ga1p+a2p2+···) q−1 p2 = (bg−a0 ) q−1 p2 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  153. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 α) . . . . . . . 设 xp = a0 + a1p + · · · + aα−1pα−1,而 x = xp + pαt; gx = b ⇒ ga0+a1p+··· = b ⇒ (ga0+a1p+···)q−1 p = bq−1 p 所以有 ga0 = bq−1 p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; gx = b ⇒ ga0+a1p+··· = b ⇒ ga1p+a2p2+··· = bg−a0 ⇒ (ga1p+a2p2+···) q−1 p2 = (bg−a0 ) q−1 p2 ⇒ ga1 q−1 p = (bg−a0 ) q−1 p2 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  154. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 α) . . . . . . . 设 xp = a0 + a1p + · · · + aα−1pα−1,而 x = xp + pαt; gx = b ⇒ ga0+a1p+··· = b ⇒ (ga0+a1p+···)q−1 p = bq−1 p 所以有 ga0 = bq−1 p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; gx = b ⇒ ga0+a1p+··· = b ⇒ ga1p+a2p2+··· = bg−a0 ⇒ (ga1p+a2p2+···) q−1 p2 = (bg−a0 ) q−1 p2 ⇒ ga1 q−1 p = (bg−a0 ) q−1 p2 通过测试求出 a1 ; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  155. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 若 gx = b (mod q),如何求 xp = x mod pα 呢?(αp 简记成 α) . . . . . . . 设 xp = a0 + a1p + · · · + aα−1pα−1,而 x = xp + pαt; gx = b ⇒ ga0+a1p+··· = b ⇒ (ga0+a1p+···)q−1 p = bq−1 p 所以有 ga0 = bq−1 p , 0 a0 < p,如果 p 不是非常大,则 逐个检测可以得到 a0 ; gx = b ⇒ ga0+a1p+··· = b ⇒ ga1p+a2p2+··· = bg−a0 ⇒ (ga1p+a2p2+···) q−1 p2 = (bg−a0 ) q−1 p2 ⇒ ga1 q−1 p = (bg−a0 ) q−1 p2 通过测试求出 a1 ;如是重复,直到求出 aα−1 ,并得到 xp 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  156. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 在上述过程会重复遇到如下问题:在等式 gai q−1 p = · · · 中 确定 ai 的值。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  157. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 在上述过程会重复遇到如下问题:在等式 gai q−1 p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  158. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 在上述过程会重复遇到如下问题:在等式 gai q−1 p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 这个问题独立于具体的 b,只跟 q, g 有关。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  159. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 在上述过程会重复遇到如下问题:在等式 gai q−1 p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 这个问题独立于具体的 b,只跟 q, g 有关。 可以对 q − 1 的所有素因子 p,预先计算出 g q − 1 p , g2 q − 1 p , . . . , gp−1 q − 1 p 。 的值; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  160. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 在上述过程会重复遇到如下问题:在等式 gai q−1 p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 这个问题独立于具体的 b,只跟 q, g 有关。 可以对 q − 1 的所有素因子 p,预先计算出 g q − 1 p , g2 q − 1 p , . . . , gp−1 q − 1 p 。 的值; 由于 g 是 Fq 的本原元,所以上面的数两两不同,且不 为 1。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  161. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 在上述过程会重复遇到如下问题:在等式 gai q−1 p = · · · 中 确定 ai 的值。在前面,我们是用穷搜解决的, 这个问题独立于具体的 b,只跟 q, g 有关。 可以对 q − 1 的所有素因子 p,预先计算出 g q − 1 p , g2 q − 1 p , . . . , gp−1 q − 1 p 。 的值; 由于 g 是 Fq 的本原元,所以上面的数两两不同,且不 为 1。 把这些数保存起来,则以后可以通过查表求值,不用每次去 穷搜了。 [时空转换] 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  162. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 F181 中,2 是一个本原元,求 log2 62。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  163. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 F181 中,2 是一个本原元,求 log2 62。 . . . . . . . q = 181, q − 1 = 180 = 22 · 32 · 5, 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  164. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 F181 中,2 是一个本原元,求 log2 62。 . . . . . . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  165. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 F181 中,2 是一个本原元,求 log2 62。 . . . . . . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 2a0+a12+··· = 62 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  166. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 F181 中,2 是一个本原元,求 log2 62。 . . . . . . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 2a0+a12+··· = 62 ⇒ 2a0 181−1 2 = 62181−1 2 = 1 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  167. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 F181 中,2 是一个本原元,求 log2 62。 . . . . . . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 2a0+a12+··· = 62 ⇒ 2a0 181−1 2 = 62181−1 2 = 1 ⇒ a0 = 0; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  168. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 F181 中,2 是一个本原元,求 log2 62。 . . . . . . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 2a0+a12+··· = 62 ⇒ 2a0 181−1 2 = 62181−1 2 = 1 ⇒ a0 = 0; 2a12+··· = 62 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  169. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 F181 中,2 是一个本原元,求 log2 62。 . . . . . . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 2a0+a12+··· = 62 ⇒ 2a0 181−1 2 = 62181−1 2 = 1 ⇒ a0 = 0; 2a12+··· = 62 ⇒ 2a0 181−1 4 = 62181−1 4 = 1 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  170. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 F181 中,2 是一个本原元,求 log2 62。 . . . . . . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 2a0+a12+··· = 62 ⇒ 2a0 181−1 2 = 62181−1 2 = 1 ⇒ a0 = 0; 2a12+··· = 62 ⇒ 2a0 181−1 4 = 62181−1 4 = 1 ⇒ a1 = 0; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  171. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 在 F181 中,2 是一个本原元,求 log2 62。 . . . . . . . q = 181, q − 1 = 180 = 22 · 32 · 5,预计算表格: 1 2 3 4 2 180 3 48 132 5 59 42 125 135 求 x2 2a0+a12+··· = 62 ⇒ 2a0 181−1 2 = 62181−1 2 = 1 ⇒ a0 = 0; 2a12+··· = 62 ⇒ 2a0 181−1 4 = 62181−1 4 = 1 ⇒ a1 = 0; x2 = 0; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  172. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  173. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  174. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 ⇒ a0 = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  175. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 ⇒ a0 = 1; 2a13+a2 32+··· = 2−a0 62 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  176. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 ⇒ a0 = 1; 2a13+a2 32+··· = 2−a0 62 ⇒ 2a0 181−1 9 = 1 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  177. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 ⇒ a0 = 1; 2a13+a2 32+··· = 2−a0 62 ⇒ 2a0 181−1 9 = 1 ⇒ a1 = 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  178. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 ⇒ a0 = 1; 2a13+a2 32+··· = 2−a0 62 ⇒ 2a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  179. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 ⇒ a0 = 1; 2a13+a2 32+··· = 2−a0 62 ⇒ 2a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 2a0+a13+··· = 62 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  180. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 ⇒ a0 = 1; 2a13+a2 32+··· = 2−a0 62 ⇒ 2a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 2a0+a13+··· = 62 ⇒ 2a0 181−1 5 = 62181−1 5 = 1 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  181. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 ⇒ a0 = 1; 2a13+a2 32+··· = 2−a0 62 ⇒ 2a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 2a0+a13+··· = 62 ⇒ 2a0 181−1 5 = 62181−1 5 = 1 ⇒ a0 = 0; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  182. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 ⇒ a0 = 1; 2a13+a2 32+··· = 2−a0 62 ⇒ 2a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 2a0+a13+··· = 62 ⇒ 2a0 181−1 5 = 62181−1 5 = 1 ⇒ a0 = 0; x5 = 0; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  183. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 ⇒ a0 = 1; 2a13+a2 32+··· = 2−a0 62 ⇒ 2a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 2a0+a13+··· = 62 ⇒ 2a0 181−1 5 = 62181−1 5 = 1 ⇒ a0 = 0; x5 = 0; 求解同余方程组 x ≡ 0 (mod 4) x ≡ 1 (mod 9) x ≡ 0 (mod 5) 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  184. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 ⇒ a0 = 1; 2a13+a2 32+··· = 2−a0 62 ⇒ 2a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 2a0+a13+··· = 62 ⇒ 2a0 181−1 5 = 62181−1 5 = 1 ⇒ a0 = 0; x5 = 0; 求解同余方程组 x ≡ 0 (mod 4) x ≡ 1 (mod 9) x ≡ 0 (mod 5) 得 x ≡ 100 (mod 181), 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  185. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 求 x3 2a0+a13+··· = 62 ⇒ 2a0 181−1 3 = 62181−1 3 = 48 ⇒ a0 = 1; 2a13+a2 32+··· = 2−a0 62 ⇒ 2a0 181−1 9 = 1 ⇒ a1 = 1; x3 = 3; 求 x5 2a0+a13+··· = 62 ⇒ 2a0 181−1 5 = 62181−1 5 = 1 ⇒ a0 = 0; x5 = 0; 求解同余方程组 x ≡ 0 (mod 4) x ≡ 1 (mod 9) x ≡ 0 (mod 5) 得 x ≡ 100 (mod 181),即 log2 62 = 100。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  186. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Shanks 小步大步法。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  187. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Shanks 小步大步法。 . . . . . . . 设 g 是 Fq 的本原元,y ∈ F∗ q , 求 x = logg y; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  188. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Shanks 小步大步法。 . . . . . . . 设 g 是 Fq 的本原元,y ∈ F∗ q , 求 x = logg y; 这个方法本质上是时空转换。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  189. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Shanks 小步大步法。 . . . . . . . 设 g 是 Fq 的本原元,y ∈ F∗ q , 求 x = logg y; 这个方法本质上是时空转换。gx = b, 0 x < q − 1; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  190. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Shanks 小步大步法。 . . . . . . . 设 g 是 Fq 的本原元,y ∈ F∗ q , 求 x = logg y; 这个方法本质上是时空转换。gx = b, 0 x < q − 1; 如果直接穷举 x, 期望猜测次数为 q−1 2 ; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  191. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Shanks 小步大步法。 . . . . . . . 设 g 是 Fq 的本原元,y ∈ F∗ q , 求 x = logg y; 这个方法本质上是时空转换。gx = b, 0 x < q − 1; 如果直接穷举 x, 期望猜测次数为 q−1 2 ; 令 m = [ √ q − 1],设 x = mi + j, 0 j < m; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  192. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Shanks 小步大步法。 . . . . . . . 设 g 是 Fq 的本原元,y ∈ F∗ q , 求 x = logg y; 这个方法本质上是时空转换。gx = b, 0 x < q − 1; 如果直接穷举 x, 期望猜测次数为 q−1 2 ; 令 m = [ √ q − 1],设 x = mi + j, 0 j < m; y = gx ⇒ y · g−mi = gj; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  193. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Shanks 小步大步法。 . . . . . . . 设 g 是 Fq 的本原元,y ∈ F∗ q , 求 x = logg y; 这个方法本质上是时空转换。gx = b, 0 x < q − 1; 如果直接穷举 x, 期望猜测次数为 q−1 2 ; 令 m = [ √ q − 1],设 x = mi + j, 0 j < m; y = gx ⇒ y · g−mi = gj; 如果我们预先把所有的 gj 计算出来并保存, 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  194. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Shanks 小步大步法。 . . . . . . . 设 g 是 Fq 的本原元,y ∈ F∗ q , 求 x = logg y; 这个方法本质上是时空转换。gx = b, 0 x < q − 1; 如果直接穷举 x, 期望猜测次数为 q−1 2 ; 令 m = [ √ q − 1],设 x = mi + j, 0 j < m; y = gx ⇒ y · g−mi = gj; 如果我们预先把所有的 gj 计算出来并保存, 则求解时只需要计算一系列的 yg−mi,并在预计算的 gj 值中搜索匹配项就可以了。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  195. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . Shanks 小步大步法。 . . . . . . . 设 g 是 Fq 的本原元,y ∈ F∗ q , 求 x = logg y; 这个方法本质上是时空转换。gx = b, 0 x < q − 1; 如果直接穷举 x, 期望猜测次数为 q−1 2 ; 令 m = [ √ q − 1],设 x = mi + j, 0 j < m; y = gx ⇒ y · g−mi = gj; 如果我们预先把所有的 gj 计算出来并保存, 则求解时只需要计算一系列的 yg−mi,并在预计算的 gj 值中搜索匹配项就可以了。 这种方法也叫中间相遇,期望的猜测次数约 为 [ √ q − 1]/2。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  196. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  197. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . . . . . . m = [ √ 101 − 1 ] = 10; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  198. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . . . . . . m = [ √ 101 − 1 ] = 10; j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  199. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . . . . . . m = [ √ 101 − 1 ] = 10; j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 y = 3,穷搜: i 0 1 2 3 4 5 6 7 · · · y · 2−10i 3 94 50 18 59 98 7 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  200. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . . . . . . m = [ √ 101 − 1 ] = 10; j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 y = 3,穷搜: i 0 1 2 3 4 5 6 7 · · · y · 2−10i 3 94 50 18 59 98 7 y · 2−10·6 = 29 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  201. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . . . . . . m = [ √ 101 − 1 ] = 10; j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 y = 3,穷搜: i 0 1 2 3 4 5 6 7 · · · y · 2−10i 3 94 50 18 59 98 7 y · 2−10·6 = 29 ⇒ 3 = 269 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  202. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . Example . . . . . . . . 2 是 F101 的一个本原元,在 F101 中,求 log2 3。 . . . . . . . m = [ √ 101 − 1 ] = 10; j 0 1 2 3 4 5 6 7 8 9 gj 1 2 4 8 16 32 64 27 54 7 y = 3,穷搜: i 0 1 2 3 4 5 6 7 · · · y · 2−10i 3 94 50 18 59 98 7 y · 2−10·6 = 29 ⇒ 3 = 269 ⇒ log2 3 = 69。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  203. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 当 q 很大时,前面提到两个方法都没有什么实际效果。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  204. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 当 q 很大时,前面提到两个方法都没有什么实际效果。这看上 去似乎很糟糕,但如果换一个角度—从密码学的角度看,这却是 一个很好的性质。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  205. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Silver,

    Pohlig 和 Hellman 方法 Shanks 小步大步法 . . . . . . . 当 q 很大时,前面提到两个方法都没有什么实际效果。这看上 去似乎很糟糕,但如果换一个角度—从密码学的角度看,这却是 一个很好的性质。在下节中,我们将介绍有限域,离散对数在密 码学中的作用。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  206. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Diffie-Hellman

    密钥交换方案 . . . . . . . §9.6 有限域在编码 和密码中的应用 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  207. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Diffie-Hellman

    密钥交换方案 . . . . . . . 在网络上身处异地的两个用户 A 和 B,在进行保密通信前常需 要在网络上交换信息,约定一个数—密钥。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  208. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Diffie-Hellman

    密钥交换方案 . . . . . . . 在网络上身处异地的两个用户 A 和 B,在进行保密通信前常需 要在网络上交换信息,约定一个数—密钥。该密钥只有这两个用 户知道,任何第三方即使截获了 A 和 B 在网上交换的信息, 也不能获取该密钥。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  209. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Diffie-Hellman

    密钥交换方案 . . . . . . . 在网络上身处异地的两个用户 A 和 B,在进行保密通信前常需 要在网络上交换信息,约定一个数—密钥。该密钥只有这两个用 户知道,任何第三方即使截获了 A 和 B 在网上交换的信息, 也不能获取该密钥。 . . . . . . . 这听上去有的不大现实,是吧? 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  210. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Diffie-Hellman

    密钥交换方案 . . A . B . C 设 g 是 Fq 的本原元,A 和 B 采取以下 步骤产生密钥: 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  211. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Diffie-Hellman

    密钥交换方案 . . 建议 gx . A . B . C 设 g 是 Fq 的本原元,A 和 B 采取以下 步骤产生密钥: . . . 1 A 秘密地选取一个整数 x,计 算 gx,并把结果发给 B; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  212. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Diffie-Hellman

    密钥交换方案 . . 建议 gx . 建议 gy . A . B . C 设 g 是 Fq 的本原元,A 和 B 采取以下 步骤产生密钥: . . . 1 A 秘密地选取一个整数 x,计 算 gx,并把结果发给 B; . . . 2 B 秘密地选取一个整数 y,计 算 gy,并把结果发给 A; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  213. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Diffie-Hellman

    密钥交换方案 . . 建议 gx . 建议 gy . 用 gxy 加密通信 . A . B . C 设 g 是 Fq 的本原元,A 和 B 采取以下 步骤产生密钥: . . . 1 A 秘密地选取一个整数 x,计 算 gx,并把结果发给 B; . . . 2 B 秘密地选取一个整数 y,计 算 gy,并把结果发给 A; . . . 3 A 使用 (gy)x 作为密钥,而 B 使 用 (gx)y; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  214. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Diffie-Hellman

    密钥交换方案 . . 建议 gx . 建议 gy . 用 gxy 加密通信 . A . B . C 设 g 是 Fq 的本原元,A 和 B 采取以下 步骤产生密钥: . . . 1 A 秘密地选取一个整数 x,计 算 gx,并把结果发给 B; . . . 2 B 秘密地选取一个整数 y,计 算 gy,并把结果发给 A; . . . 3 A 使用 (gy)x 作为密钥,而 B 使 用 (gx)y; . . . 4 (gy)x = gxy = (gx)y; 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  215. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Diffie-Hellman

    密钥交换方案 . . 建议 gx . 建议 gy . 用 gxy 加密通信 . A . B . C 设 g 是 Fq 的本原元,A 和 B 采取以下 步骤产生密钥: . . . 1 A 秘密地选取一个整数 x,计 算 gx,并把结果发给 B; . . . 2 B 秘密地选取一个整数 y,计 算 gy,并把结果发给 A; . . . 3 A 使用 (gy)x 作为密钥,而 B 使 用 (gx)y; . . . 4 (gy)x = gxy = (gx)y; 即使 C 在中间偷听了整个过程,由于离散 对数问题的困难性,C 无法从 gx, gy 中 得到 x, y 或 gxy。 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》
  216. . . . . . . 有限域中的开平方算法 有限域中离散对数 有限域在编码和密码中的应用 Diffie-Hellman

    密钥交换方案 本节完,谢谢! 磊张 印晓 广州大学数学与信息科学学院 裴定一、徐详 《信息安全数学基础》