教育部：重点高校招农村和贫困地区学生严防违规

百度 始终要把人民放在心中最高的位置，始终全心全意为人民服务，始终为人民利益和幸福而努力工作。

Zavazadlovy algoritmus je jeden z nejstar?ích zp?sob? ?ifrování s ve?ejnym klí?em. Byl vyvinut Ralphem Merklem a Martinem Hellmanem v roce 1978.^[1] Je jednodu??í ne? RSA a bylo ji? prokázáno, ?e jej lze v polynomiálním ?ase prolomit.^[2]

Zavazadlovy algoritmus je zp?sob asymetrického ?ifrování, co? znamená, ?e jsou pro komunikaci pot?eba dva klí?e: ve?ejny a soukromy. Kromě toho, na rozdíl od RSA, je pouze jednosměrny: ve?ejny klí? je pou?íván pouze pro ?ifrování a soukromy klí? pouze pro de?ifrování. Proto se nedá vyu?ívat pro autentizaci elektronickym podpisem.

Zavazadlovy algoritmus je zalo?en na problému sou?tu podmno?iny (speciální p?ípad problému batohu). Problém je následující: je dána mno?ina ?ísel ${\displaystyle A}$ a ?íslo ${\displaystyle b}$ a je pot?eba najít takovou podmno?inu ${\displaystyle A}$, její? sou?et je roven ${\displaystyle b}$. Obecně je tento problém pova?ován za NP-úplny. Pokud je v?ak tato posloupnost superrostoucí, tedy ka?dy prvek mno?iny ${\displaystyle A}$ je vět?í ne? sou?et v?ech men?ích prvk? mno?iny, je tento problém ?snadny“ a ?e?itelny v polynomiálním ?ase jednoduchym hladovym algoritmem.

V zavazadlovém algoritmu jsou klí?i dvě ?zavazadla“. Ve?ejnym klí?em je ?slo?ité“ zavazadlo ${\displaystyle A}$ a soukromym klí?em je ?snadné“ zavazadlo ${\displaystyle B}$, spolu s dal?ími dvěma ?ísly, násobitelem a modulem. Násobitel a modul mohou byt pou?ity k p?evedení superrostoucí posloupnosti do slo?itého zavazadla. Stejná ?ísla jsou pou?ita k p?evedení sou?tu podmno?iny slo?itého zavazadla na sou?et podmno?iny snadného zavazadla, co? je problém ?e?itelny v polynomiálním ?ase.

K za?ifrování zprávy je vybrána podmno?ina slo?itého zavazadla ${\displaystyle A}$, a to porovnáním mno?iny bit? (plaintextu) s touto mno?inou. Ka?dy prvek ve?ejného klí?e, ktery odpovídá ?íslu 1 plaintextu, je prvkem podmno?iny ${\displaystyle A_{m}}$, zatímco prvky odpovídající ?íslu 0 v plaintextu jsou p?i tvorbě ${\displaystyle A_{m}}$ ignorovány – nejsou prvky klí?e. Prvky této podmno?iny jsou se?teny a vysledny sou?et je ?ifrovym textem.

De?ifrování je mo?né, proto?e násobitel a modul po?ité k p?evedení snadného zavazadla na ve?ejny klí? mohou byt rovně? pou?ity k transformaci ?ísla p?edstavujícího ?ifrového textu na sou?et p?íslu?nych prvk? superrostoucí posloupnosti. Poté, pou?itím jednoduchého hladového algoritmu, m??e byt snadné zavazadlo p?evedeno pomocí O(n) aritmetickych operací na plaintext.

K za?ifrování ${\displaystyle n}$-bitové zprávy je vybrána superrostoucí posloupnost

${\displaystyle w=(w_{1},w_{2},...,w_{n})}$

${\displaystyle n}$ nenulovych p?irozenych ?ísel. Je vybráno náhodné celé ?íslo ${\displaystyle q}$ pro které platí, ?e

${\displaystyle q>\sum _{i=1}^{n}w_{i}}$

a náhodné celé ?íslo ${\displaystyle r}$, pro které platí, ?e gcd(${\displaystyle r,q}$)${\displaystyle =1}$ (tzn. ${\displaystyle r}$ a ${\displaystyle q}$ jsou nesoudělná).

${\displaystyle q}$ je voleno tímto zp?sobem proto, aby byla zaji?těna unikátnost ?ifrového textu. Pokud by bylo men?í, bylo by mo?né více ne? jeden plaintext za?ifrovat tím samym ?ifrovym textem. Vzhledem k tomu, ?e ${\displaystyle q}$ je vět?í ne? sou?et jakékoliv podmno?iny ${\displaystyle w}$, ?ádny sou?et není kongruentní modulo ${\displaystyle q}$ a tudí? ?ádny ze soukromych klí?? nebude stejny. ${\displaystyle r}$ musí byt nesoudělné s ${\displaystyle q}$, v opa?ném p?ípadě nebude mít inverzní modulo ${\displaystyle q}$. Bez něj by nebylo mo?né de?ifrování.

Nyní je spo?ítána posloupnost

${\displaystyle \beta =(\beta _{1},\beta _{2},...,\beta _{n})}$

kde

${\displaystyle \beta _{i}=rw_{i}\;{\bmod {\;}}q}$

Ve?ejnym klí?em je ${\displaystyle \beta }$, zatímco soukromym klí?em je ${\displaystyle (w,q,r)}$.

K za?ifrování ${\displaystyle n}$-bitové zprávy

${\displaystyle \alpha =(\alpha _{1},\alpha _{2},...,\alpha _{n})}$

kde ${\displaystyle \alpha _{i}}$ je ${\displaystyle i}$-ty bit zprávy a ${\displaystyle \alpha _{i}\in \{0,1\}}$, je ur?eno

${\displaystyle c=\sum _{i=1}^{n}\alpha _{i}\beta _{i}}$

?ifrovym textem je potom ${\displaystyle c}$.

Aby byl p?íjemce schopen de?ifrovat ?ifrovy text ${\displaystyle c}$, musí najít zprávu s bity ${\displaystyle \alpha _{i}}$ takovymi, aby platilo, ?e

${\displaystyle c=\sum _{i=1}^{n}\alpha _{i}\beta _{i}}$

V p?ípadě náhodnych hodnot ${\displaystyle \beta _{i}}$ by se jednalo o slo?ity problém, proto?e by p?íjemce musel vy?e?it problém sou?tu podmno?iny, jen? je pova?ován za NP-obtí?ny. Nicméně hodnoty ${\displaystyle \beta _{i}}$ byly zvoleny tak, aby bylo de?ifrování p?i znalosti soukromého klí?e ${\displaystyle (w,q,r)}$ snadné.

Je pot?eba najít celé ?íslo ${\displaystyle s}$, jen? je modulární inverzí ${\displaystyle r}$ modulo ${\displaystyle q}$. To znamená, ?e ${\displaystyle s}$ splňuje rovnici ${\displaystyle sr\;{\bmod {\;}}q=1}$ nebo ekvivalentně existuje celé ?íslo ${\displaystyle k}$ takové, ?e ${\displaystyle sr=kq+1}$. Proto?e ${\displaystyle r}$ bylo zvoleno tak, ?e gcd(${\displaystyle r,q}$)${\displaystyle =1}$, je mo?né nalézt ${\displaystyle s}$ a ${\displaystyle k}$ pomocí roz?í?eného Euklidova algoritmu. Dále p?íjemce ?ifrového textu ${\displaystyle c}$ spo?ítá

${\displaystyle c'\equiv cs{\pmod {q}}}$

A proto

${\displaystyle c'\equiv cs\equiv \sum _{i=1}^{n}\alpha _{i}\beta _{i}s{\pmod {q}}}$

Proto?e ${\displaystyle sr\;{\bmod {\;}}q=1}$ a ${\displaystyle \beta _{i}=rw_{i}\;{\bmod {\;}}q}$, platí dále, ?e

${\displaystyle \beta _{i}s\equiv w_{i}rs\equiv w_{i}{\pmod {q}}}$

A proto

${\displaystyle c'\equiv \sum _{i=1}^{n}\alpha _{i}w_{i}{\pmod {q}}}$

Sou?et v?ech hodnot ${\displaystyle w_{i}}$ je men?í ne? ${\displaystyle q}$ a proto ${\displaystyle \sum _{i=1}^{n}\alpha _{i}w_{i}}$ je také v intervalu ${\displaystyle [0;q-1]}$. Z toho d?vodu musí p?íjemce vy?e?it problém sou?tu podmno?iny

${\displaystyle c'=\sum _{i=1}^{n}\alpha _{i}w_{i}}$

Ten je v?ak jednoduchy, proto?e ${\displaystyle w}$ je superrostoucí posloupnost. P?íjemce vezme největ?í prvek ${\displaystyle w}$, dále ozna?eny jako ${\displaystyle w_{k}}$. Pokud je ${\displaystyle w_{k}>c'}$, potom ${\displaystyle \alpha _{k}=0}$. Pokud je ${\displaystyle w_{k}\leq c'}$, potom ${\displaystyle \alpha _{k}=1}$. Poté ode?te ${\displaystyle w_{k}\times \alpha _{k}}$ od ${\displaystyle c'}$ a postup opakuje, dokud nezjistí ${\displaystyle c'}$.

V tomto ?lánku byl pou?it p?eklad textu z ?lánku Merkle–Hellman knapsack cryptosystem na anglické Wikipedii.