Рейтинг:4

Crypto

Дан цикл $x \mapsto x^a$ с начальной точкой $x_1$. Можно ли преобразовать другую начальную точку $x_2$, чтобы получить такой же цикл?

J. Doe

01.07.2023, 23:00

Циклическая последовательность может быть получена с помощью

$$s_{i+1} = s_i^a \mod N$$ с $N = P \cdotQ$ и $P = 2\cdot p+1$ и $Q = 2\cdotq+1$ с $P,Q,p,q$ простые числа.
и $а$ первобытный корень $р$ и $q$.
Отправная точка $s_0$ это квадрат ($\мод Н$)
Это произведет цикл длины $\mathrm{lcm}(p-1.q-1)$
(кроме $s_0$ это $р$-й или $q$-я степень $\мод N$)

Учитывая теперь отправную точку $s_0 = x_1$ он будет генерировать такую циклическую последовательность.
Учитывая другую отправную точку $s_0 = x_2$ он будет генерировать циклическую последовательность той же длины, но с совершенно разными элементами.

Есть ли способ преобразовать $x_2$ поэтому он будет производить ту же циклическую последовательность, что и $x_1$ делает?
(Редактировать: опубликованный ответ, если Любые а не как, как и вопрос, пометит его здесь как ответ)

(в связи с ответом это)

Обновлять:
Похоже на количество различных циклов $N_c$ является: $$ N_c = (S_N - S_{pq}) /L_c$$ $$ S_N = |\{ v^2 \mod N\}| \text{ с } v\in[1,N-1]$$ $$L_c = \mathrm{lcm}(p-1.q-1)$$ и $S_{pq}$ количество квадратов, которые также являются $р$-й, $q$-я степень $\мод Н$ .
$S_N$ вероятно, всегда больше, чем $\frac{1}{4}N$

В каком-то тесте на $N=3901$ с $P=47$ , $Q=83$, $а = 7$ (или же $11, 17, 19,..$) возможны два цикла с $L_c =440$, $S_N = 1006$, $S_{pq}=127$.
Один $x1$ может быть преобразовано в значение из другого цикла (который начинается с $x_2$) с показателем $b$ нравиться $x_1^b \mapsto s_i\in \mathrm{цикл}_{x_2}$
Этот показатель должен быть $b \in [3, 5, 6, 10, 12, 13, 20, 21, 24, 26, 27, 29, 33, 35, 37, 40, 42, 43, 45, 47, ...]$
Не знаю, почему именно эти значения работают.

За $N=40633, P=179, Q=227$ с $S_N= 10259$ площади, в том числе $S_{pq}= 403$ оно имеет $8$ циклы с длиной $L_c= 1232$. показатель степени $а$ для генерации последовательности может быть $a\in[3, 19, 23, 29, 43,..]$
Для этого показателя $b$ должны быть $b \in [7, 13, 17, 21, 28, 39, 51, 52, 62, 63, 68, 71, 79, 84, 110, 112, 117,125,..]$
Применение любого из этих показателей $b$ до начального значения $x_0$ приведет к циклу следующей последовательности. Этот порядок циклической последовательности одинаков для каждого показателя $b$.

141

0 + 0

конечное поле

теория групп

модульная арифметика

fgrieu

02.07.2023, 10:04

Я думаю, что есть «основной корень» там, где должен быть [примитивный корень] (https://en.wikipedia.org/wiki/Primitive_root_modulo_n). Независимо от этого мне помогло бы обоснование «за исключением (если) оно содержит $p$-ю или $q$-ю степень$\bmod N$».

Ответить

J. Doe

02.07.2023, 10:57

@fgrieu спасибо за подсказку. изменил ti на примитивный корень. К сожалению, пока не могу сказать, почему это происходит для $p$-й, $q$-й мощности. Впервые имеем дело с $\mathrm{mod}$ не простым числом. Но я сделал несколько тестовых примеров ($P=47, Q=83, a=7$) по этому поводу, и, как и ожидалось, это не сработало с этими числами (длина цикла $40$ вместо $440$ в тестовом примере). Размер цикла был намного короче (но постоянным) для этих тестируемых чисел. Снова исключение, но, например. $1^p=1$ приведет к тому, что длина цикла составит $1$.

Ответить

Рейтинг:3

Crypto

poncho

03.07.2023, 19:11

При анализе подобных случаев полезно рассматривать поведение по модулю $P$ и по модулю $Q$ по отдельности, а потом посмотреть, как они сочетаются. Добавлю в предположении, что $P\neQ$; вы прямо этого не сказали; Я считаю разумным, что вы предположили это.

Когда мы смотрим на структуру цикла по модулю $P$, мы сначала видим, что $s_0 \bmod P$ является квадратичным вычетом по модулю $P$ (это математический способ сказать «это квадрат»); поскольку $а$ является первообразным корнем $р$, то видим, что циклов три:

Цикл длины 1 (значение 0)
Другой цикл длины 1 (значение 1)
Цикл длины $p-1$; это потому что $a^i \bmod p-1$ являются различными значениями в диапазоне $[0, р-2]$, и $s_0$ порядок $p-1$ (в этой группе квадратичные вычеты, отличные от 1, всегда имеют этот порядок), и поэтому $s_0^{a^i}$ находятся $p-1$ отличные значения.

Мы получаем аналогичные результаты для рассмотрения поведения по модулю $Q$.

Учитывая эти основы, как они сочетаются?

Ну, цикл по модулю $PQ$ повторяется только тогда, когда оба цикла по модулю $P$ повторяется и цикл по модулю $Q$ повторяется; если $P$-цикл длина $\альфа$ и $Q$-цикл длина $\бета$, этот комбинированный цикл имеет длину $\текст{lcm}(\альфа,\бета)$.

Это означает, что любая комбинация двух больших циклов будет иметь длину $\text{lcm}(p-1,q-1)$ (это результат, который вы уже нашли). И здесь $\gcd(p-1,q-1)$ способы, которыми эти два больших цикла могут сочетаться.

Теперь рассмотрим комбинацию, включающую малый цикл; у нас есть две комбинации с длиной цикла $p-1$, две комбинации с длиной цикла $q-1$, и четыре комбинации с длиной цикла 1 (включая $s_0 = 0$ и $s_0 = 1$).

Следовательно, общее количество циклов равно $\gcd(p-1, q-1) + 8$.

И, чтобы ответить на ваш вопрос:

Есть ли способ преобразовать $x_2$ поэтому он будет производить ту же циклическую последовательность, что и $x_1$ делает?

Ну, для любого целого числа $\бета$, у нас есть $s_{i+1}^\beta = (s_i^\beta)^a$. То есть, если мы возьмем каждый элемент цикла и возведем его в степень $\бета$, у нас все еще есть цикл.

Итак, если у нас есть значение $\бета$ для которого $x_2^\бета = x_1$, то это дает нам возможность преобразовать один цикл в другой.

Оказывается, всегда есть такое $\бета$ если оба цикла большие (т. е. имеют длину $\text{lcm}(p-1, q-1)$). Для вырожденных циклов (всех остальных) не будет - впрочем, я не считаю этот случай таким уж интересным...

Конечно, найти такую $\бета$ данный $x_1, x_2$ нетривиальная задача, если $П, К$ большие...

0 + 0

J. Doe

03.07.2023, 21:00

спасибо за объяснение. Теперь это более понятно. Во время тестирования я также обнаружил, что это возможно (с $x_2^\beta$) (при обновлении примеров). Я планировал задать новый вопрос об этом, но теперь, кажется, в этом больше нет необходимости. Так что на самом деле вопрос в том, как найти такую $\beta$. Чтобы было ясно, известно ли, что это нетривиальная проблема для больших $P,Q$, или это было «просто» обоснованное предположение? Также $x_2^\beta $ не обязательно должно быть равно $x_1$. $\beta$ с $x_2^\beta=x_1^{a^i}$ было бы достаточно. Разрешение такого количества $\beta$ было возможно в примерах ($b$). Но не могу сказать для больших $P,Q$.

Ответить

poncho

03.07.2023, 21:06

@J.Doe: нахождение конкретного $\beta$, так что $x_2^\beta = x_1$, известно как «проблема дискретного журнала» (по композиту); известно, что так же сложно разложить модуль на множители (и решить дискретный журнал в обеих простых группах). Более общая проблема поиска любого $\beta$, как вы упомянули, может быть проще - на самом деле случайная догадка имеет хорошую вероятность работы, но неясно, как можно проверить вашу догадку. С другой стороны, я не могу придумать трудную задачу, которую можно было бы свести к...

Ответить

J. Doe

03.07.2023, 21:19

... Но даже такой общий $\beta$, вероятно, будет зависеть от выбранного значения $x_2$ или, точнее, последовательности, которую он будет генерировать. Поэтому, вероятно, необходима другая операция, которая возвращает одно и то же значение для каждого элемента последовательности. Если такая операция завершается, случайные значения могут быть проверены против этого. Таким образом, всю проблему также можно перефразировать как выбор случайных значений из одной последовательности (хотя существует множество других) без утечки параметра, связанного с безопасностью, или отношения к другим элементам последовательности (например, случайный $s_i$ для заданного $s_0$)

Ответить

J. Doe

03.07.2023, 21:47

Хорошо, DLP будет сложно. Тоже хоть об этом, но опять удалил, потому что для последовательностей с $x_i = x_o \cdot g^i \mod P$ это можно сделать без DLP. Но это также от одного заданного значения до случайного значения вне последовательности (более общий вариант).

Ответить

J. Doe

04.07.2023, 17:04

разве это не должно быть $a^i \mod p$ со значениями от $1$ до $p-1$ вместо $a^i \mod p-1$ со значениями от $0$ до $p-2$?

Ответить

SSA

05.07.2023, 15:48

это будет либо 1, либо -1 в зависимости от простого числа (4k+3 или 4k+1), поэтому лучше не считать p-1.

Ответить

Admin

Этот вопрос на других языках:

EN: Given a cycle $x \mapsto x^a$ with his starting point $x_1$. Can another starting point $x_2$ be transformed to generate the same cycle?

TH: กำหนดวัฏจักร $x \mapsto x^a$ โดยมีจุดเริ่มต้น $x_1$ สามารถแปลงจุดเริ่มต้นอื่น $x_2$ เพื่อสร้างวงจรเดียวกันได้หรือไม่

RO: Dat un ciclu $x \mapsto x^a$ cu punctul său de plecare $x_1$. Poate fi transformat un alt punct de plecare $x_2$ pentru a genera același ciclu?

RU: Дан цикл $x \mapsto x^a$ с начальной точкой $x_1$. Можно ли преобразовать другую начальную точку $x_2$, чтобы получить такой же цикл?

VI: Cho một chu trình $x \mapsto x^a$ với điểm bắt đầu là $x_1$. Có thể biến đổi một điểm bắt đầu khác $x_2$ để tạo ra cùng một chu kỳ không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.