Здравствуйте, 0K, Вы писали:

0K>Для начала, находим функцию Эйлера f от n.
А как ты собираешься искать phi(n) не зная факторизацию n?

Здравствуйте, Mab, Вы писали:

0K>>Для начала, находим функцию Эйлера f от n.
Mab>А как ты собираешься искать phi(n) не зная факторизацию n?

я расписал тут: http://rsdn.ru/forum/Message.aspx?mid=4080677&only=1

Автор: CreatorCray
Дата: 16.12.10

Здравствуйте, CreatorCray, Вы писали:

CC>я расписал тут: http://rsdn.ru/forum/Message.aspx?mid=4080677&only=1

Автор: CreatorCray
Дата: 16.12.10

Честно сказать, я не понял, что там написано. Скажем, что здесь
3) f = DLOG(a,1,pq)
обозначает DLOG? Дискретный логарифм только в циклической группе бывает, поэтому по модулю pq он не определен.

Здравствуйте, 0K, Вы писали:

0K>А как с помощью ТОЛЬКО симметричного шифрования можно передать секрет по открытому каналу? Нужно сначала по закрытому каналу передать свой секретный ключ. А это весьма проблематично.

Подъезжаешь в офис, забираешь свой секретный ключ, и никаких проблем. ВТБ24 так делает уже лет десять.

Здравствуйте, Mab, Вы писали:

Mab>Здравствуйте, CreatorCray, Вы писали:

CC>>я расписал тут: http://rsdn.ru/forum/Message.aspx?mid=4080677&only=1

Автор: CreatorCray
Дата: 16.12.10

Mab>Честно сказать, я не понял, что там написано. Скажем, что здесь
Mab>3) f = DLOG(a,1,pq)
Mab>обозначает DLOG? Дискретный логарифм только в циклической группе бывает, поэтому по модулю pq он не определен.
http://mathworld.wolfram.com/DiscreteLogarithm.html

If a is an arbitrary integer relatively prime to n and g is a primitive root of n, then...

Проверил тут на практике (c использованием BNCalc + http://www.alpertron.com.ar/DILOG.HTM):

Подготовка RSA

p = prime(16) = 49'451
q = prime(16) = 46'997
n = p*q = 2'324'048'647
phi = (p-1)*(q-1) = 2'323'952'200
e = 17 = 17
d = invmod(e,phi) = 683'515'353

Проверка:
src = random(16) = 45'013
enc = powmod(src,e,n) = 1'963'201'854
dec = powmod(enc,d,n) = 45'013

вычисляем phi2 = DILOG(base = 10, power = 1, mod = 2324048647) = 0 + 580988050 * х
phi2 = 580988050 = 580'988'050 (только не говорите что не знали что в RSA phi это не только (p-1)*(q-1))

Вычисляем новую приватную экспоненту (только не говорите что не знали что их тоже может быть много!)
d2 = invmod(e,phi2) = 102'527'303

Расшифровываем нашей новой экспонентой
dec2 = powmod(enc,d2,n) = 45'013

Ну а если нас вообще сильно прёт, то применяем Common modulus attack и по известным PQ,E и D получаем P и Q.
После чего набухиваемся от радости до зелёных чертей.

Здравствуйте, CreatorCray, Вы писали:

CC>http://mathworld.wolfram.com/DiscreteLogarithm.html
CC>

CC>If a is an arbitrary integer relatively prime to n and g is a primitive root of n, then...

Примитивный корень только в циклической группе бывает:
http://mathworld.wolfram.com/PrimitiveRoot.html
http://en.wikipedia.org/wiki/Primitive_root_modulo_n

Т.е. n должно иметь вид 2, 4, p^k, 2p^k (для других модулей группа не циклическая, поэтому дискретный логарифм не определен).

CC>Проверил тут на практике (c использованием BNCalc + http://www.alpertron.com.ar/DILOG.HTM):
CC>вычисляем phi2 = DILOG(base = 10, power = 1, mod = 2324048647) = 0 + 580988050 * х
Вот здесь твой матпакет любезно факторизовал модуль на множители с помощью метода эллиптических кривых, нашел дискретный логарифм по каждому из них, а затем поднял решение назад по китайской теореме об остатках.

Ты исходники-то смотрел? Там код факторизации вообще сторонний и скачивается отдельным файлом (ecm.java).

В общем, фантазировать можно сколько угодно, и раз уж предположили, что дискретный логарифм делается быстро, то можно и про факторизацию такое же вообразить. Но тем не менее факт в том, что современная наука (ИМХО) не умеет ломать RSA в предположении, что логарифм можно быстро считать. Я имею в виду обычное понимание того, что такое дискретный логарифм, а не фантазии на этот счет.

CC>Ну а если нас вообще сильно прёт, то применяем Common modulus attack и по известным PQ,E и D получаем P и Q.
Мне кажется, это оффтопик.

Здравствуйте, 0K, Вы писали:

0K>Вот вы смеетесь с верующих. А ведь вся безопасность (в т.ч. финансовая) нашего мира держится на ВЕРЕ в то, что дискретное логарифмирование нельзя выполнить быстро.

0K>И подумал вот над чем. Допустим сегодня вечером какой-нить чел. публикует свою работу по быстрому дискретному логарифмированию. Что будет? Коллапс мировой экономики? Разрушение всей IT-структуры?

0K>Предупреждаю: ситуация не такая уж и надуманная.

0K>Ваши мысли.
Фигня, не будет никакого коллапса. Серьезные секреты и помимо криптографии неплохо защищены, во всяком случае до них не добраться дяде Васе с улицы, а частная переписка, номера кредиток и.т.п. прекрасно воруется несмотря ни на какую криптографию, и апокалипсис еще не настал. Всё что будет — это много шума и пара громких атак с последующей поимкой и посадкой злодеев, через полгода все вернется на круги своя.

Здравствуйте, Mab, Вы писали:

CC>>Проверил тут на практике (c использованием BNCalc + http://www.alpertron.com.ar/DILOG.HTM):
CC>>вычисляем phi2 = DILOG(base = 10, power = 1, mod = 2324048647) = 0 + 580988050 * х
Mab>Вот здесь твой матпакет любезно факторизовал модуль на множители с помощью метода эллиптических кривых, нашел дискретный логарифм по каждому из них, а затем поднял решение назад по китайской теореме об остатках.
Mab>Ты исходники-то смотрел? Там код факторизации вообще сторонний и скачивается отдельным файлом (ecm.java).
Нет конечно, на время ответа посмотри