Báo cáo toàn văn Kỷ yếu hội nghị khoa học lần IX Trường Đại học Khoa học Tự nhiên, ĐHQG-HCM VII-O-11 KỸ THUẬT PHÂN TÍCH RA THỪA SỐ TRÊN NỀN TÍNH TOÁN SONG SONG Vũ Anh Tuấn1, Nguyễn Cao Đạt2 1 Trường Đại học Tây Nguyên Trường Đại học Bách khoa, ĐHQG-HCM Email:1toibantang@gmail.com, 2dat@cse.hcmut.edu.vn 2 TÓM TẮT Mặc dù chuẩn mã hoá khoá công khai RSA được giới thiệu cách đây hơn 35 năm nhưng hiện tại vẫn còn an toàn. Bởi vì nó dựa trên bài toán khó phân tích ra thừa số nguyên tố.Bài viết này sẽ tìm hiểu một số phương pháp phân tích ra thừa số nguyên tố và thử nghiệm với phương pháp mạnh nhất hiện nay là sàng trường số trên nền tính toán song song. Từ khóa: phân tích ra thừa số, tính toán song song, sàng trường số GIỚI THIỆU Cùng với bài toán logarith rời rạc (Discrete Logarithm Problem - DLP), bài toán phân tích ra thừa số nguyên tố (Prime Factorization Problem – PFP) là cơ sở của mã hoá khoá công khai. Chuẩn RSA ra đời năm 1977, dựa trên độ khó của bài toán phân tích ra thừa số nguyên tố, lấy theo tên của ba tác giả R. Rivest, A. Shamir, và L. Adleman được mô tả như sau [1]: (1) Chọn 𝑝, 𝑞 là hai số nguyên tố rất lớn và phân biệt (2) Tính 𝑛 = 𝑝𝑞 và 𝜙(𝑛) = (𝑝 − 1)(𝑞 − 1) (3) Chọn ngẫu nhiên một số nguyên 𝑒 (1 < 𝑒 < 𝜙(𝑛)) thỏa gcd(𝑒, 𝜙(𝑛)) = 1 (4) Tính 𝑑 = 𝑒 −1 (mod 𝜙 𝑛 ) (5) Công bố (𝑛, 𝑒) và giữ bí mật (𝑝, 𝑞, 𝑑). Trong đó, 𝑛 được gọi là modulo, 𝑒 là số mũ công khai (hay còn gọi là số mũ mã hóa) và 𝑑 là số mũ bí mật (hay còn gọi là số mũ giải mã). Bộ (𝑛, 𝑒) gọi là khóa công khai, còn (𝑝, 𝑞, 𝑑) là khóa bí mật. Khi B mã hóa thông điệp 𝑚 cho A thì B phải tính giá trị 𝑦 = 𝑒𝑘 (𝑚) = 𝑚𝑒 (mod 𝑛), với 𝑘 = (𝑛, 𝑒) Khi A muốn giải mã tìm 𝑚 từ 𝑦 thì A tính 𝑚 = 𝑑𝑘 ′ 𝑦 = 𝑦 𝑑 mod 𝑛 với 𝑘 ′ = 𝑑 hay 𝑘 ′ = (𝑑, 𝑝, 𝑞)nếu sử dụng định lý Số dư Trung Hoa để giải mã nhanh. RSA được sử dụng trong rất nhiều lĩnh vực đòi hỏi dữ liệu số cần được bảo mật. Nó được sử dụng trong các máy chủ, trình duyệt để bảo vệ dữ liệu mạng, trong quá trình xác thực, bảo vệ tính riêng tư, … và là thành phần cốt lõi của các hệ thống thanh toán điện tử. Do RSA là một chuẩn được công khai rộng rãi nên được rất nhiều nhà nghiên cứu phân tích cách tấn công. Tuy vậy, sau hơn 35 năm tồn tại, RSA vẫn được tin tưởng, do hiện tại bài toán phân tích số𝑛 ra thừa số nguyên tố chưa được giải quyết triệt để. Độ khó của nó không phải do không có cách giải, mà do thời gian thực hiện bằng máy tính là quá lâu, không thể chấp nhận được. Các thuật toán phân tích ra thừa số nguyên tố có thể được chia làm hai nhóm: Nhóm các thuật toán phân tích đặc biệt: bao gồm các phương pháp như phương pháp chia thử, phương pháp 𝑝 − 1, ―rho‖ 𝜌 của Pollard, phương pháp 𝑝 + 1 của Williams, đường cong elliptic (Elliptic Curve Method – ECM) của Lenstra... Nhóm thuật toán phân tích này hiệu quả khi các thừa số nguyên tố được chọn để lập mã là nhỏ, và có một số điểm đặc biệt. Nhóm các thuật toán phân tích tổng quát: bao gồm các phương pháp sàng bậc hai (Quadratic Sieve – QS), các biến thể của nó và phương pháp sàng trường số tổng quát (General Number Field Sieve – GNFS). Sự hiệu quả của nhóm này phụ thuộc vào chính kích thước số cần phân tích chứ không phụ thuộc vào tính chất cụ thể nào đó của nó. Trong thực tế, các số nguyên tố RSA được đề xuất là các số nguyên tố mạnh, có giá trị rất lớn do đó nhóm thuật toán phân tích đặc biệt không khả thi. Nhóm thuật toán tổng quát đang là hướng chính để giải quyết bài toán phân tích ra thừa số nguyên tố. Tuy nhiên, hạn chế về tốc độ của máy tính làm cho thời gian thực thi là không chấp nhận được. Để giải quyết vấn đề này, ngoài việc nghiên cứu cải thiện thuật toán, còn phải tăng tốc độ tính toán. Việc tận dụng môi trường song song là một giải pháp hiệu quả, do các yếu tố sau: Tốc độ của các bộ xử lý theo kiểu von Neumann đã dần tiến tới giới hạn. Giá thành của các bộ xử lý phần cứng giảm mạnh, tạo điều kiện để xây dựng những hệ thống nhiều bộ xử lý. Sự phát triển của công nghệ mạch tích hợp cho phép tạo ra những hệ thống đa nhân trên một chip. ISBN: 978-604-82-1375-6 67 Báo cáo toàn văn Kỷ yếu hội nghị khoa học lần IX Trường Đại học Khoa học Tự nhiên, ĐHQG-HCM Bài viết sau khi nhắc lại một số phương pháp sẽ tập trung vào phương pháp sàng trường số, và các kỹ thuật tận dụng môi trường tính toán song song nhằm làm giảm thời gian phân tích. CÁC PHƢƠNG PHÁP PHÂN TÍCH ĐẶC BIỆT Phƣơng pháp chia thử (Trivial Division) Thông thường khi cần phân tích số nguyên 𝑛 ra thừa số nguyên tố, trước khi phải thực hiện với các kĩ thuật mạnh hơn, chúng ta dùng phương pháp chia thử với các số nguyên tố ―nhỏ‖. Ở đây ―nhỏ‖ so với giá trị của 𝑛.Các số nguyên tố ―nhỏ‖ này có giá trị từ 2 đến 𝑛 [1]. Tuy nhiên thay vì chia thử từ 2 đến 𝑛 , ta chỉ cần chia thử cho 2, 3 và các số có dạng 𝑝 = 6𝑘 ± 1 với 𝑘 ∈ ℤ+ , 𝑝 ≤ 𝑛 (do các số dạng 6𝑘, 6𝑘 + 2, 6𝑘 + 3, 6𝑘 + 4 không thể là số nguyên tố). Thuật toán của phương pháp chia thử như sau: input: số nguyên n cần phân tích output: một thừa số nguyên tố của n 1. if𝑛 ≡ 0 (mod 2)return𝑝 = 2 2. if𝑛 ≡ 0 (mod 3)return𝑝 = 3 3. set 𝑝 = 3 𝑏 = 2 4. while𝑝 < 𝑛 set𝑝 = 𝑝 + 𝑏 if𝑛 ≡ 0 (mod 𝑝)return𝑝 set𝑏 = 6 – 𝑏 5. return 0 Thuật toán 1. Thuật toán chia thử (Trivial Division) Ưu điểm của phương pháp này là đơn giản, tuy nhiên nhược điểm là thời gian thực thi rất lớn khi 𝑛 là tích của hai số nguyên tố gần bằng nhau. Do đó, phương pháp này chỉ thích hợp khi 𝑛 có thừa số nguyên tố nhỏ. Phƣơng pháp 𝝆 Phương pháp phân tích thừa số nguyên tố mang tên 𝜌 do Pollard công bố năm 1975. Ý tưởng của phương pháp này dựa trên thuật toán tìm chu trình của Floyd. Bài toán tìm chu trình: Giả sử có hàm bất kỳ 𝑓 ∶ 𝑆 → 𝑆, với 𝑆 là một tập hữu hạn. Lấy 𝑥0 là một phần tử bất kỳ của 𝑆, ta luôn có một dãy các số 𝑥0 , 𝑥1 , 𝑥2 , … định nghĩa bởi 𝑥𝑖+1 = 𝑓(𝑥𝑖 )∀𝑖 ≥ 0. Vì 𝑆 là hữu hạn do đó chắc chắn tồn tại một chu trình. Thuật toán Floyd tìm chu trình: Floyd nhận thấy với bất kỳ số nguyên 𝑖 ≥ 𝜇 và 𝑘 ≥ 0, 𝑥𝑖 = 𝑥𝑖+ 𝑘𝜆 , trong đó λ là chiều dài của chu trình được tìm thấy. Đặc biệt, với 𝑖 = 𝑘𝜆 ≥ 𝜇, thì luôn có 𝑥𝑖 = 𝑥2𝑖 . Do đó, thuật toán bắt đầu với cặp (𝑥1 , 𝑥2 ) và tính toán tuần tự cặp (𝑥𝑖 , 𝑥2𝑖 ) từ các cặp(𝑥𝑖−1 , 𝑥2(𝑖−1) ) cho tới khi 𝑥𝑖 = 𝑥2𝑖 . Sau đó thuật toán sẽ lần lượt tìm giá trị được lặp lại đầu tiên 𝑥𝜇 và chiều dài ngắn nhất của chu trình 𝜆. Phương pháp 𝜌 áp dụng thuật toán Floyd với dãy số 𝑥0 , 𝑥1 , 𝑥2 , … với 𝑥0 = 2, 𝑥𝑖+1 = 𝑓 𝑥𝑖 = 𝑥𝑖 2 + 1 (mod 𝑝)∀𝑖 ≥ 0 để tìm𝑥𝑚 ≡ 𝑥2𝑚 (mod 𝑝) [1]. input: số nguyên 𝑛 cần phân tích output: một thừa số nguyên tố của 𝑛 1. Set𝑎 = 2, 𝑏 = 2 2. For𝑖 = 1, 2, …do: 2.1 Tính 𝑎 = 𝑎2 + 1 (mod 𝑛), 𝑏 = 𝑏 2 + 1 (mod 𝑛), 𝑏 = 𝑏 2 + 1 (mod 𝑛) 2.2 Tính 𝑑 = gcd(𝑎 − 𝑏, 𝑛) 2.3 If1 < 𝑑 < 𝑛then return𝑑 2.4 If𝑑 = 𝑛then Kết thúc mà không tìm được kết quả Thuật toán 2. Thuật toán 𝝆 Pollard Phương pháp phân tích thừa số nguyên tố 𝜌 của Pollard áp dụng thuật toán Floyd với tập 𝑆 gồm 𝑝 phần tử (là ước của 𝑛 và chưa biết) do đó tốc độ thuật toán phụ thuộc vào 𝑝. Vì vậy phương pháp này chỉ dùng được với những số 𝑛 có thừa số nguyên tố nhỏ. ISBN: 978-604-82-1375-6 68 Báo cáo toàn văn Kỷ yếu hội nghị khoa học lần IX Trường Đại học Khoa học Tự nhiên, ĐHQG-HCM Phƣơng pháp 𝒑 − 𝟏 Phương pháp 𝑝 − 1 của Pollard dựa vào định lý Fermat nhỏ (Little Theorem of Fermat) và khái niệm thừa số trơn - smooth. Định lý Fermat nhỏ: Nếu gcd(𝑎, 𝑝) = 1 thì 𝑎𝑝−1 ≡ 1 (mod 𝑝) Khái niệm smooth: Gọi 𝐵 là một số dương bất kỳ, khi đó số nguyên 𝑄 được gọi là 𝐵-smooth nếu tất cả các thừa số nguyên tố của 𝑄 nhỏ hơn hoặc bằng 𝐵. Ý tưởng của phương pháp 𝑝 − 1 là chọn một giá trị 𝐵 làm biên xét smooth. Tính giá trị 𝑄 là bội chung nhỏ nhất của tất cả các luỹ thừa cơ số nguyên tố nhỏ hơn 𝐵 mà nhỏ hơn n. Do đó: 𝑄 = 𝑞 ≤𝐵 𝑞 𝑙𝑛 𝑛/ 𝑙𝑛 𝑞 (vì 𝑞 𝑙 ≤ 𝑙𝑛 𝑛 𝑛 ⟹ 𝑙 𝑙𝑛 𝑞 ≤ 𝑙𝑛 𝑛 ⟹ 𝑙 ≤ 𝑙𝑛 𝑞 ). Nếu 𝑝 là một thừa số nguyên tố của 𝑛 mà 𝑝 − 1 là một số B-smooth thì 𝑝 − 1|𝑄, nên theo định lý Fermat nhỏ ta có 𝑎𝑄 ≡ 1 (mod p). Do đó nếu 𝑑 = gcd(𝑎𝑄 − 1, 𝑛) thì 𝑝|𝑑 [1]. Input: số 𝑛 cần phân tích Output: thừa số nguyên tố 𝑑 của 𝑛 1. Chọn ngưỡng smooth 𝐵. 2. Chọn số nguyên ngẫu nhiên 𝑎 (2 ≤ 𝑎 ≤ 𝑛 − 1), và tính 𝑑 = gcd(𝑎, 𝑛). If𝑑 ≥ 2then Return 𝑑 3. For each số nguyên tố 𝑞 ≤ 𝐵do: 3.1 Tính = ln 𝑛 ln 𝑞 𝑞𝑙 . 3.2 Tính 𝑎 ← 𝑎 (mod 𝑛) 4. Tính 𝑑 = gcd(𝑎 − 1, 𝑛) 5. If𝑑 = 1 hoặc 𝑑 = 𝑛then Kết thúc mà không tìm được kết quả Elsereturn𝑑 Thuật toán 3. Thuật toán 𝒑 − 𝟏 của Pollard Phương pháp phân tích thừa số nguyên tố 𝑝 − 1 của Pollard dựa vào điều kiện 𝑝 − 1 là một số 𝐵-smooth. Vì vậy phương pháp này chỉ dùng được với những số 𝑛 có thừa số nguyên tố 𝑝, mà 𝑝 − 1 thoả 𝐵-smooth. Phƣơng pháp đƣờng cong Elliptic (Elliptic Curve Method – ECM) Phương pháp 𝑝 − 1 của Pollard thành công khi 𝑝 − 1 là một số B-smooth với 𝑝 là một thừa số nguyên tố của 𝑛. Nhận thấy 𝑝 − 1 cũng là cấp của nhóm ℤ𝑝 ∗ , do đó phương pháp ECM tổng quát hoá thuật toán 𝑝 − 1 bằng cách thay nhóm ℤ𝑝 ∗ bằng một nhóm đường cong Elliptic bất kỳ trên ℤ𝑝 . Nếu cấp của nhóm được chọn smooth trong phạm vi 𝐵 thì khả năng cho kết quả là rất cao, ngược lại thì cần phải chọn một nhóm đường cong Elliptic khác. Mặc dù ECM khá mạnh, tuy nhiên nó vẫn thuộc nhóm các phương pháp phân tích đặc biệt nên không thể giải quyết bài toán một cách tổng quát. Bài viết không tập trung vào phương pháp này, chi tiết được trình bày trong tài liệu tham khảo [2]. CÁC PHƢƠNG PHÁP SÀNG Phƣơng pháp Fermat Phương pháp Fermat dựa trên ý tưởng sai biệt bình phương. Gọi 𝑛 là số lẻ cần phân tích, tìm các cặp số nguyên 𝑥 và 𝑦 sao cho 𝑥 2 ≡ 𝑦 2 mod n và 𝑥 ≢ ± 𝑦 (mod 𝑛) Khi đó gcd 𝑥 − 𝑦, 𝑛 và gcd⁡(𝑥 + 𝑦, 𝑛) là những thừa số không tầm thường của 𝑛 [1]. 1. If𝑛 ≡ 0 (mod 2) return2 2.𝑥 = 𝑛 𝑧=𝑥∗𝑥−𝑛 3. Trong khi 𝑧 không là thặng dư bậc hai mod 𝑛 và 𝑥 < (𝑛 + 1)/2 3.1. Tính 𝑧 = 𝑧 + 2 ∗ 𝑥 + 1 3.2. Tính 𝑥 = 𝑥 + 1 4. If𝑥 < (𝑛 + 1)/2 return𝑥 − 𝑧 Else return0 Thuật toán 4. Thuật toán Fermat Trong trường hợp tổng quát, 𝑛 rất lớn thì rất khó để tìm được 𝑥, 𝑦 sao cho 𝑥 2 ≡ 𝑦 2 mod n . ISBN: 978-604-82-1375-6 69 Báo cáo toàn văn Kỷ yếu hội nghị khoa học lần IX Trường Đại học Khoa học Tự nhiên, ĐHQG-HCM Phương pháp sàng bậc hai Ý tưởng dựa trên khái niệm thừa số trơn – smooth đã được nhắc tới trong phương pháp 𝑝 − 1. Dùng kĩ thuật sàng để tìm ra các giá trị 𝑥 2 mod 𝑛 thoả 𝐵-smooth. Tích một phần các giá trị tìm được có khả năng dạng 𝑦 2 mod 𝑛 [3]. Lấy 𝑄 𝑥 = (𝑥 + 𝑛 )2 − 𝑛 1. Tính toán dữ liệu khởi động Chọn cận trên cho cơ sở thừa số nguyên tố 𝐵. Khởi tạo cơ sở thừa số nguyên tố (𝑝1 , 𝑝2 , … , 𝑝𝑡 ) với 𝑝1 = −1; ∀𝑖 ∈ 2, 𝑡 : 𝑝𝑖 < 𝐵 và 2 Với mỗi 𝑝𝑖 giải phương trình 𝑚 = 𝑛 (mod 𝑝𝑖 ) bằng thuật toán Shank-Tonelli lưu lại 𝑆𝑖1 = 𝑚 − 𝑛 , 𝑆𝑖2 = −𝑚 − 𝑛 2. Sàng tìm tập 𝑈 gồm 𝑡 + 1 phần tử ˗ Với mỗi 𝑥 ∈ −𝑀, 𝑀 , tính 𝑞 𝑥 = 𝑄 𝑥 ˗ Với mỗi 𝑝𝑖 xem xét tất cả𝑥 = 𝑆𝑖1 + 𝑘 ∗ 𝑝𝑖 và 𝑥 = 𝑆𝑖2 + 𝑘 ∗ 𝑝𝑖 với 𝑘 ∈ ℤ Tính 𝑞 𝑥 = 𝑞(𝑥)/(𝑝𝑖 )𝑘 với k là bậc cao nhất có thể có của 𝑞(𝑥) đối với 𝑝𝑖 ˗ 𝑞 𝑥 = 1 𝑡𝑕ì 𝑄 𝑥 là 𝐵-smooth và đưa 𝑄 𝑥 vào trong 𝑈 3. Đại số tuyến tính Tìm ra trong tập 𝑈, tập 𝑇 gồm các 𝑄(𝑥) mà tích là một bình phương 𝑟 2 𝑗 =1 𝑄 𝑥𝑗 = 𝑣 4. Tính 𝑢= 𝑟 𝑗 =1 (𝑥 + 𝑛) 𝑣= 𝑟 𝑗 =1 𝑄 𝑛 𝑝𝑖 =1 𝑥𝑗 Kết quả rả về là gcd 𝑢 + 𝑣, 𝑛 Thuật toán 5. Thuật toán sàng bậc hai Với thuật toán sàng bậc hai như trên thì ta thấy giá trị 𝑄(𝑥) tăng rất nhanh, do đó khả năng thoả 𝐵-smooth rất thấp, nên khi 𝑄(𝑥) tăng tới một giá trị nào đó thì có thể thay đa thức bởi một đa thức khác, từ đó ta có phương pháp sàng bậc hai nhiều đa thức với 𝑄 𝑥 = (𝑎𝑥 + 𝑏)2 − 𝑛 (Multiple Polynomial Quadratic Sieve – MPQS).Tuy nhiên phương pháp MPQS phải tốn chi phí khá lớn ở mỗi bước khởi tạo lại đa thức. Theo [4], chi phí chuyển đổi đa thức chiếm khoảng 25%–30% tổng chi phí chương trình. Phương pháp sàng bậc hai tự khởi tạo (Self-Initializing Quadratic Sieve – SIQS) giúp làm giảm chi phí chuyển đổi đa thức bằng cách vẫn sử dụng đa thức dạng 𝑄 𝑥 = (𝑎𝑥 + 𝑏)2 − 𝑛 nhưng giá trị 𝑎 được cố định trong nhiều đa thức và có giá trị bằng tích của 𝑘số nguyên tố lẻ thuộc cơ sở thừa số. Khi đó sẽ có 2𝑘−1 giá trị 𝑏 là nghiệm của 𝑏 2 = 𝑛 (mod 𝑎). Phƣơng pháp sàng trƣờng số Phương pháp sàng trường số trong bài viết này là phương pháp sàng trường số tổng quát (General Number Field Sieve – GNFS), phân biệt với phương pháp sàng trường số đặc biệt (Special Number Field Sieve – SNFS). Trong phương pháp sàng bậc hai, việc tìm 𝑥, 𝑦 sao cho 𝑥 2 ≡ 𝑦 2 (mod 𝑛) dựa trên một đồng cấu vành 𝑓: ℤ → ℤ/𝑛ℤ với 𝑓 𝑥 = 𝑥 2 − 𝑛, ánh xạ một bình phương trong ℤ tới một bình phương trong ℤ/𝑛ℤ. Tổng quát hơn ta có tồn tại một vành ℛ và một đồng cấu vành 𝜙: ℛ → ℤ/𝑛ℤ. Nếu 𝛽 ∈ ℛ và 𝜙 𝛽 2 = 𝑦 2 (mod 𝑛) và 𝑥 = 𝜙 𝛽 (mod 𝑛) thì ta có: 𝑥 2 ≡ 𝜙 𝛽 2 ≡ 𝜙 𝛽 2 ≡ 𝑦 2 (mod 𝑛) - - - - 1. Chọn đa thức (Polynomial Selection) Chọn số nguyên 𝑚, chọn đa thức bất khả quy 𝑓(𝑥) ∈ ℤ[𝑥] có bậc 𝑑 thoả 𝑓(𝑚) ≡ 0 (mod 𝑛). Gọi 𝜃 ∈ ℂ là một nghiệm của 𝑓(𝑥) = 0. 2. Khởi tạo cơ sở thừa số (Set up Factor Base) Cơ sở thừa số RFB được lưu trữ là các cặp (𝑟, 𝑝) với 𝑝 nguyên tố và 𝑟 ≡ 𝑚 (mod 𝑝) Cơ sở thừa số đại số AFBsẽ được lưu trữ là các cặp (𝑟, 𝑝) với 𝑝 nguyên tố và 𝑟 ∈ ℤ/nℤ sao cho 𝑓 𝑟 ≡ 0 (mod 𝑝). 3. Sàng tuyến tính (Line Sieving) Tìm một lượng cần thiết các cặp số nguyên (𝑎, 𝑏)nguyên tố cùng nhau sao cho các giá trị (𝑎 + 𝑏𝑚) mịn trên RFB và 𝑁 𝑎 + 𝑏𝜃 mịn trên AFB. 4. Đại số tuyến tính (Linear Algebra) Xây dựng ma trận trong đó mỗi cột của ma trận tương ứng với một số nguyên tố trong các cơ sở RFB, AFB. Mỗi dòng tương ứng với một cặp (𝑎, 𝑏). Giá trị các phần tử trong ma trận là số mũ của các thừa số nguyên tố trong cơ sở khi phân tích giá trị (𝑎 + 𝑏𝑚), 𝑁(𝑎 + 𝑏𝜃). Áp dụng thuật toán Lanczos để tìm ra một quan hệ phụ thuộc tuyến tính trên các dòng của ma trận. ISBN: 978-604-82-1375-6 70 Báo cáo toàn văn Kỷ yếu hội nghị khoa học lần IX Trường Đại học Khoa học Tự nhiên, ĐHQG-HCM - 5. Tính căn bậc hai (Square Root) Tính 𝑥 với 𝑥 2 ≡ 𝜙 𝑓 ′ 𝜃 2 . 𝑎,𝑏 ∈𝑇(𝑎 + 𝑏 𝜃) bằng thuật toán của Shanks - Tonelli và định lý số dư Trung Hoa (Chinese Remainder Theorem – CRT) Tính 𝑦 với 𝑦 2 ≡ 𝑓 ′ 𝑚 2 . 𝑎,𝑏 ∈𝑇(𝑎 + 𝑏 𝑚) Thừa số của 𝑛 sẽ là: 𝑔𝑐𝑑(𝑥 ± 𝑦 , 𝑛) Thuật toán 6. Thuật toán sàng trường số Sàng trường số là thuật toán phân tích ra thừa số nguyên tố mạnh nhất hiện nay, nhưng được dùng để phân tích các số rất lớn, nên việc cải tiến, tối ưu cài đặt là một yêu cầu bắt buộc. Trong phần tiếp theo sẽ trình bày một số kỹ thuật được sử dụng trong quá trình hiện thực bước sàng, là bước có thời gian tính toán lớn nhất. KỸ THUẬT TĂNG TỐC BƢỚC SÀNG TRÊN NỀN TÍNH TOÁN SONG SONG Lattice Sieve Hiện nay, trong bước sàng, Lattice Sieve (sàng lưới) được công nhận là phương pháp hiệu quả nhất. Các số RSA được phân tích gần đây đều sử dụng phương pháp này [5]. Lattice Sieve được giới thiệu trong tài liệu [6], chia cơ sở thừa số thành 3 phần: S : các số nguyên tố nhỏ p ≤ B0 M : các số nguyên tố trung bình B0 < 𝑝 ≤ B1 L : các số nguyên tố lớn B1 < 𝑝 ≤ B2 (B2 lớn hơn B1 rất nhiều) 1. Chọn vùng 𝑅 các cặp (𝑎, 𝑏) được sàng 2. Với một số 𝑞 trong M, chỉ sàng những cặp (𝑎, 𝑏) trong 𝑅 với𝑎 + 𝑏𝑚 ≡ 0 (mod 𝑞) ˗ Sàng giá trị 𝑎 + 𝑏𝑚 với các số 𝑝 < 𝑞 ˗ Sàng giá trị 𝑁(𝑎, 𝑏) với tất cả các số nguyên tố trong S và M Thuật toán 7. Thuật toán Lattice Sieve Các cặp (𝑎, 𝑏) thoả 𝑎 + 𝑏𝑚 ≡ 0 (mod 𝑞) sẽ tạo nên một lưới 𝐿𝑞 trong mặt phẳng(𝑎, 𝑏). Dễ dàng tìm được hai vector cơ sở của lưới này là: 𝑉1 = (𝑎1 , 𝑏1 ) và 𝑉2 = (𝑎2 , 𝑏2 ) Khi đó một một điểm (𝑐, 𝑑) của lưới có dạng 𝑐 ∙ 𝑉1 + 𝑑 ∙ 𝑉2 tương ứng 𝑎, 𝑏 = (𝑐 ∙ 𝑎1 + 𝑑 ∙ 𝑎2 , 𝑐 ∙ 𝑏1 + 𝑑 ∙ 𝑏2 ) Phương pháp Lattice Sieve hiệu quả hơn phương pháp sàng tuyến tính (Line Sieving) do phương pháp sàng tuyến tính dựa trên mảng một chiều để duyệt qua tất cả các giá trị của cặp (a, b) trong khi Lattice sieve sàng một cách rất chủ động trên sàng hai chiều. Tăng tốc sàng dựa trên tính toán song song Bước sàng có thời gian thực thi rất lớn, nên việc hiện thực song song trên nhiều máy tính là cần thiết. Việc song song đối với bước sàng có thể theo hai cách: Cách 1: Nhiều máy tính sàng một giá trị 𝑞 Cách 2: Mỗi máy tính sàng một giá trị 𝑞 Với cách 1 thì các máy tính phải chia sẻ vùng nhớ, mỗi máy sẽ sàng một phần lưới 𝐿𝑞 tương ứng với kích thước bộ nhớ L1-cache. Tuy nhiên với cách này thì việc quản lý phức tạp và thời gian trao đổi dữ liệu giữa các máy lớn do đó rất ít khi được sử dụng. Song song hoá bước sàng theo cách 2 hiệu quả hơn cách 1, và được sử dụng trong hầu hết các hệ thống thực nghiệm. Với cách song song hoá này thì mỗi máy trạm (client) sẽ được giao sàng một số lượng thích hợp giá trị 𝑞, sau khi sàng xong các số 𝑞 được giao, gửi kết quả cho máy chủ (master) và master sẽ tổng hợp các kết quả sàng (Bảng 1). Nếu số lượng kết quả sàng chưa đủ thì master tiếp tục giao các giá trị 𝑞 cho các client. Bảng 1. Mô hình sàng trên một máy và ba máy Số máy 𝑞 cần sàng [𝑞0 , 𝑞1 ] Thời gian sàng 𝑡 ISBN: 978-604-82-1375-6 [𝑞0 , 𝑞1 3 ] 𝑞1 𝑞1∗2 [ , 3 3 ≈ ] 𝑞1∗2 [ 3 , 𝑞1 ] 𝑡 3 71 Báo cáo toàn văn Kỷ yếu hội nghị khoa học lần IX Trường Đại học Khoa học Tự nhiên, ĐHQG-HCM Thực nghiệm song song bằng chương trình mã nguồn mở MSIEVE và GGNFS với 32 core CPU 2.20GHz, hệ điều hành Linux 64 bit với các trường hợp như trong Bảng 2 được kết quả về mặt thời gian thực thi và dung lượng lưu trữ như trong Hình 1 và Hình 2. Bảng 2. Các trường hợp thực nghiệm phân tích ra thừa số nguyên tố Số kí tự của 𝑛 = 𝑝 × 𝑞 Số kí tự của 𝑝 Số kí tự của 𝑞 100 45 55 105 47 58 110 50 60 115 53 62 120 56 64 126 51 76 129 (RSA-129) 64 65 giờ 6 5 Tổng thời gian 4 3 Thời gian sàng 2 1 0 95 100 105 110 115 120 125 130 135 số kí tự của n Hình 1. So sánh thời gian phân tích ra thừa số theo độ lớn của n ISBN: 978-604-82-1375-6 72 Báo cáo toàn văn Kỷ yếu hội nghị khoa học lần IX Trường Đại học Khoa học Tự nhiên, ĐHQG-HCM MB 5000 4500 4000 3500 Dung lượng lưu trữ 3000 2500 2000 1500 1000 500 số kí tự của n 0 95 100 105 110 115 120 125 130 135 Hình 2. So sánh dung lượng lưu trữ trong phân tích thừa số theo độ lớn của n KẾT LUẬN Kết quả thực nghiệm ta thấy thời gian của bước sàng chiếm phần lớn thời gian phân tích và tăng nhanh khi kích thước n tăng lên. Với số RSA-129, có 129 kí tự thập phân (426 bit), hệ thống 32 core đã phải phân tích trong 5.11 giờ, thời gian sàng là 4.16 giờ và dung lượng đĩa cứng cần thiết là 4.5GB. Do đó để thực hiện với các số lớn hơn nhiều thì cần phải song song hoá với những hệ thống có số lượng máy lớn hơn rất nhiều. Và với các số RSA-1024 thì hệ thống mã hoá khoá công khai RSA vẫn an toàn. Việc song song trên các máy trạm làm cho tốc độ tính toán tăng lên. Tuy nhiên vẫn có thể làm tăng hơn nữa tốc độ tính toán bằng cách tận dụng thêm sức mạnh của GPU. Do đó hướng phát triển là chúng ta cần cài đặt thư viện tương tự GMP trên GPU, sau đó song song hoá thuật toán sàng trường số trên GPU để tăng hiệu quả thực hiện. INTEGER FACTORIZATION TECHNIQUE BASED ON PARALLEL COMPUTING Vu Anh Tuan1, Nguyen Cao Đat2 1 Tay Nguyen University University of Technology, VNU-HCM 2 ABSTRACT RSA Public-Key Cryptography Standard is described more than 35 years ago, but it is still secure. Because it is based on Prime Factorization Problem (PFP). This paper will survey some methods for this problem and implement parallel computing the Number Field Sieve Algorithm. Key words: prime factorization, parallel computin, number filed sieve. TÀI LIỆU THAM KHẢO [1] Menezes, P.V. Oorschot and S.Vanstone, Handbook of Applied Cryptography, CRC Press, Florida, 1997, pp. 286 90-94 . [2] H.W. Lenstra Jr, Factoring integers with elliptic curves, The Annals of Mathematics 126(1987) 649-673. [3] J. Buchmann,V. Muller, Algorithms for Factoring Integers, Technische Universität Darmstadt, Darmstadt, 2005, pp. 40. [4] S.Contini, Factoring Large Integers with the Self-Initializing Quadratic Sieve, Master Thesis, University of Georgia, Georgia, 1997, pp.6-9. [5] Thorsten Kleinjung, Kazumaro Aoki, Jens Franke, Arjen K. Lenstra, Emmanuel Thomé, Joppe W. Bos, Pierrick Gaudry, Alexander Kruppa, Peter L. Montgomery, Dag Arne Osvik, Herman te Riele, Andrey Timofeev, Paul Zimmermann, Factorization of a 768-Bit RSA Modulus, Advances in Cryptology6223(2010) 333-350. [6] J. M. Pollard, The lattice sieve, Lecture Notes in Mathematics 1554(1993) 43-49. ISBN: 978-604-82-1375-6 73  ... +