“周宇,你之前证明的黎曼弱猜想,对於rsa算法衝击很大,根据我们初步判定,素数分布的『局部隨机性”將会出现系统性偏差,这意味著现有rsa密钥生成中依赖的『均匀採样大素数”策略存在致命漏洞!”
“没错,“周宇点头认可道。
“我的证明显示,在特定解析数论框架下,相邻素数间距的方差会隨n增大呈现对数衰减。
“如果攻击者利用这个规律优化gnfs这样的普通数域筛选法,2048位rsa密钥的破解时间可能缩短三个数量级。“
实验室陷入短暂寂静。
林悦把这几个月来困扰她的问题说了出来:“但你的约束条件里有个关键参数,只有当黎曼函数的零点虚部大於n的亚纯延拓临界值时,偏差才会显现,如果我们把密钥生成的素数筛选范围限制在临界值以下呢?”
“目前初步来看,算是一个突破口。”
“我最近学习rsa算法的时候,利用所內的超算资源,模擬了十亿级素数的蒙特卡洛採样,只要將素数生成区间从传统的[2n,2n+11压缩到[nc,nc+e],其中c
与黎曼弱猜想的临界指数相关。”
“攻击者的优化算法將退化为传统gnfs效率。”
於阳皱著眉头思考了一会儿,说:“但这会大幅减少可用素数数量,密钥空间可能萎缩到易受字典攻击的程度。”
“所以我想的是,需要引入动態补偿机制。“
“也就是说,结合椭圆曲线上的环同態映射,我们可以构造一个『偽素数扩展域』,用有限域算术掩盖真实素数分布,同时保持rsa的同態加密特性。”
受到启发的林悦突然大悟,说:“动態补偿机制理论上可行!”
要实现环同態映射的动態补偿,关键在於构造双射的素理想分解函数。“
她在电脑上调出了一组数据,说:“我们可以利用超奇异椭圆曲线的自同態环,在特徵p的有限域上建立偽素数与真实素数的关係。”
“选定一条满足schoof-elkies-atkin算法快速点计数的椭圆曲线e/f_p,其自同態环end(e)与虚二次域k=q(√-d)同构。”
“再通过將rsa素数p、q编码为end(e)中非分裂素理想的范数,如果有攻击者想要攻击,即使获得偽素数分布规律,也无法逆向分解出真实素数对。”
於阳在草稿纸上推演出一个