Implicit Factoring with Shared MSBs & Middle Bits

* PC버전으로 보지 않으면 MathJax 플러그인이 실행되지 않아 expression이 표현되지 않습니다.

이 글은 PKC 2010 ; 13th International Conference on Practice and Theory in Public Key Cryptography 에서 발표된 Jean-Charles Faugère, Raphaël Marinier, Guénaël Renault 의 연구를 번역정리한 것이다.

RSA를 공략하기 위한 방법 중 하나는 $N$ 을 소인수분해하는 것이다.

일반적으로 큰 수를 소인수분해하기는 어렵지만, 특정 조건이 맞으면 짧은 시간 내에 소인수분해를 할 수 있다.

1. Factoring 2 RSA Moduli with Shared MSBs

다음과 같이 2개의 $n$ -bit RSA moduli $N$ 이 있다고 가정하자. $q_{i}$ 는 $α$ -bit 소수이고, $p_{i}$ 는 $t$ 개의 MSB (최상위 비트) 를 공유한다.

$\begin{aligned} N_{1} & = p_{1} q_{1} \\ N_{2} & = p_{2} q_{2} \end{aligned}$

$t \geq 2 α + 3$ 이면, $N_{i}$ 을 $O (n^{2})$ 시간 내에 소인수분해할 수 있다.

Proof

Lemma 1에서 정의한 lattice $L$ 의 reduced basis를 구하는 데 $O (n^{2})$ 의 시간이 걸리고, Lemma 2에서 $t \geq 2 α + 3$ 이면 $b_{0} = \pm v_{0}$ 임을 증명하였다.

Lemma 1 아래의 설명을 따라 $N_{i}$ 의 인수를 구할 수 있다.

Lemma 1.

행렬 $M$ 을 아래와 같이 정의하고, $M$ 의 row vector를 각각 $v_{1}$ , $v_{2}$ 라고 하자.

$M = [\begin{matrix} K & 0 & N_{2} \\ 0 & K & - N_{1} \end{matrix}], K = ⌊ 2^{n - t + \frac{1}{2}} ⌋$

행렬 $M$ 의 row vector의 span으로 구성되는 lattice $L$ 을 가정하고, $L$ 의 벡터 $v_{0}$ 을 다음과 같이 정의한다.

$v_{0} = q_{1} v_{1} + q_{2} v_{2} = ⟨ q_{1} K, q_{2} K, q_{1} q_{2} (p_{2} - p_{1}) ⟩$

$p_{1}$ 과 $p_{2}$ 는 $t$ 개의 최상위 비트를 공유하기 때문에 $p_{2} - p_{1}$ 은 대략 $n + α - t$ bit의 정수가 된다. $t$ 가 충분히 크다면 $v_{0}$ 은 $L$ 의 shortest vector가 될 수 있고, 이 경우 $v_{0}$ 을 $K$ 로 나눠 $q_{1}$ 과 $q_{2}$ 를 다항 시간 ( $O (n^{2})$ ) 내에 구할 수 있다.

$L$ 의 Gramian matrix는 $M M^{T} = [\begin{matrix} K^{2} + N_{2}^{2} & - N_{1} N_{2} \\ - N_{1} N_{2} & K^{2} + N_{1}^{2} \end{matrix}]$ 이고, $L$ 의 volume은 Gramian matrix의 행렬식으로 $V = \det (M M^{T}) = K \sqrt{N_{1}^{2} + N_{2}^{2} + K^{2}}$ 이다. $K^{2} \approx 2^{2 (n - t)}$ 은 $N_{i}^{2} \approx 2^{2 n}$ 에 비해 상대적으로 작기 때문에, $V \approx 2^{2 n - t}$ 으로 근사시킬 수 있다.

$v_{0}$ 이 $L$ 의 shortest vector라면, 이 vector의 norm $‖ v_{0} ‖ \approx 2^{n + α - t}$ 는 $L$ 의 Minkowski's bound보다 작다. 따라서 아래 식이 성립한다.

$2^{n + α - t} \approx ‖ v_{0} ‖ \leq \sqrt{2} V^{\frac{1}{2}} \approx 2^{n - \frac{t}{2}}$

위 식은 $t \geq 2 α$ 인 경우 성립한다.

Lemma 2.

Lagrange method를 통해 찾은 $L$ 의 basis를 $⟨ b_{1}, b_{2} ⟩$ 라고 하자. $‖ b_{i} ‖ = λ_{i} (L)$ 이며 Hadamard's inequality에 의해 $\det (L) \geq V$ 가 성립한다. 이 부등식을 풀어 아래의 두 관계를 얻을 수 있다.

$\begin{aligned} ‖ b_{1} ‖ & \leq ‖ v_{0} ‖ \\ ‖ b_{2} ‖ & \geq \frac{V}{‖ v_{0} ‖} \end{aligned}$

만약 $v_{0} < b_{2}$ 라면, $b_{2}$ 가 $L$ 의 local minimum이기 때문에 다음 식이 성립한다.

$v_{0} = a b_{1} = a (b v_{1} + c v_{2}) a, b, c \in Z (a b = q_{1}, a c = q_{2})$

$q_{i}$ 는 소수이기 때문에 $a = \pm 1$ 이 되고, 따라서 $v_{0} = \pm b_{1}$ 이다. 이를 다시 위의 부등호에 대입하면 아래의 결과가 나온다.

$\begin{matrix} (1) & {‖ v_{0} ‖}^{2} < V \end{matrix}$

이제 $‖ v_{0} ‖$ 의 upper bound와 $V$ 의 lower bound를 구해 $t$ 의 범위를 구할 것이다.

$| p_{2} - p_{1} | \leq 2^{n - α + 1 - t}$ 이므로, $v_{0}$ 의 정의에 의해 $v_{0} \leq 2^{2 (n - t) + 1} (q_{1}^{2} + q_{2}^{2}) + q_{1}^{2} q_{2}^{2} {(p_{1} - p_{2})}^{2}$ 이다. $p$ 와 $q$ 를 풀어주면 아래의 bound를 얻는다.

$\begin{matrix} (2) & {‖ v_{0} ‖}^{2} \leq 2^{2 (n + α - t) + 2} + 2^{2 (α + n + 1 - t)} \leq 2^{2 (n + α - t) + 3} \end{matrix}$

$V$ 는 $N_{1}, N_{2} \geq 2^{n - 1}$ 과 $K^{2} \geq 2^{2 (n - t)}$ 를 이용해서 아래의 boundary를 찾을 수 있다.

$\begin{matrix} (3) & V^{2} = K^{2} (N_{1}^{2} + N_{2}^{2} + 2^{2 (n - t)}) > 2^{4 n - 2 t - 1} \end{matrix}$

부등식 (2)와 (3)에서, (1)이 성립하기 위한 $t$ 의 범위는 다음과 같다.

$\begin{matrix} (4) & t \geq 2 α + 4 \end{matrix}$

한편 $‖ v_{0} ‖$ 과 $V$ 의 범위를 더 tight하게 구해서 $t$ 의 범위를 확장시킬 수 있다.

$q_{i}$ 는 $α$ -bit 소수이므로 $q_{i} \leq 2^{α} - 1$ 이다. $2^{α} - 1 = 2^{α - ϵ_{1}}$ 로 $ϵ_{1}$ 을 정의한다. $q_{i}^{2} \leq 2^{2 α - 2 ϵ_{1}}$ 이며, $K$ 의 정의를 사용해서 $K^{2} q_{i}^{2}$ 의 upper bound를 구할 수 있다.

$\begin{matrix} (5) & K^{2} q_{i}^{2} \leq 2^{2 (n - t + α) + 1 - 2 ϵ_{1}} \end{matrix}$

$p_{i}$ 의 성질을 사용해 아래 부등식을 만들 수 있다.

$\begin{matrix} (6) & q_{1}^{2} q_{2}^{2} {(p_{2} - p_{1})}^{2} \leq 2^{2 (n - t + α + 1 - 2 ϵ_{1})} \end{matrix}$

${‖ v_{0} ‖}^{2}$ 을 $p$ 와 $q$ 로 풀어서 쓴 식에 (5), (6)의 부등식을 대입해서 다음과 같이 boundary를 설정할 수 있다.

$\begin{matrix} (7) & {‖ v_{0} ‖}^{2} \leq 2^{2 (n + α - t) + 2 - 2 ϵ_{1}} + 2^{2 (n - t + α + 1 - 2 ϵ_{1})} \leq 2^{2 (n + α - t) + 3 - ϵ_{1}} \end{matrix}$

$2^{n - t + \frac{1}{2}} - 1 = 2^{n - t + \frac{1}{2} - ϵ_{2}}$ 를 만족하는 $ϵ_{2}$ 를 정의한다. $K = ⌊ 2^{n - t + \frac{1}{2}} ⌋ \geq 2^{n - t + \frac{1}{2} - ϵ_{2}}$ 이고 $N_{i}^{2} \geq 2^{2 n - 2}$ 이므로 $V^{2}$ 의 lower bound는 다음과 같이 표현된다.

$\begin{matrix} (8) & V^{2} = K^{2} (N_{1}^{2} + N_{2}^{2} + 2^{2 (n - t)}) > K^{2} (N_{1}^{2} + N_{2}^{2}) \geq 2^{4 n - 2 t - 2 ϵ_{2}} \end{matrix}$

(7)과 (8)의 부등식으로 (1)이 성립하기 위한 $t$ 의 범위를 좁힐 수 있다. $2^{2 (n + α - t) + 3 - ϵ_{1}} \leq 2^{2 n - t - ϵ_{2}}$ 를 풀면 $t \geq 2 α + 3 + ϵ_{2} - ϵ_{1}$ 이 된다.

$ϵ_{1} = \log_{2} (\frac{1}{1 - \frac{1}{2^{α}}})$ , $ϵ_{2} = \log_{2} (\frac{1}{1 - \frac{1}{2^{n - t + \frac{1}{2}}}})$ 이고 $α \leq n - t$ 이므로, $ϵ_{2} \leq ϵ_{1}$ 이고 $t \geq 2 α + 3$ 이 된다.

Reference

https://hal.archives-ouvertes.fr/hal-01288914/document

https://en.wikipedia.org/wiki/Minkowski%27s_theorem

https://en.wikipedia.org/wiki/Minkowski%27s_bound

https://en.wikipedia.org/wiki/Hadamard%27s_inequality

저작자표시

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

Mineta's Space