WikiDer > Модульное умножение Монтгомери
В модульная арифметика вычисление Модульное умножение Монтгомери, чаще называемый Умножение Монтгомери, это метод выполнения быстрого модульного умножения. Он был введен в 1985 году американским математиком Питер Л. Монтгомери.[1][2]
Учитывая два целых числа а и б и модуль N, классический алгоритм модульного умножения вычисляет произведение двойной ширины ab, а затем выполняет деление, вычитая кратные N чтобы отменить нежелательные старшие биты, пока остаток снова не станет меньше, чем N. Редукция Монтгомери вместо добавляет кратные N отменить низкий бит, пока результат не станет кратным удобной (т.е. степени двойки) константе р > N. Затем младшие биты отбрасываются, давая результат меньше, чем 2N. Одно условное окончательное вычитание уменьшает это до менее чем N. Эта процедура лучше вычислительная сложность чем стандартный алгоритмы деления, так как это позволяет избежать оценки и коррекции частных цифр, которые им необходимы.
Результат - желаемый продукт, разделенный на р, что менее неудобно, чем может показаться. Умножить а и б, они сначала преобразуются в Форма Монтгомери или же Представительство Монтгомери aR мод N и БР мод N. При умножении они производят abR2 мод N, и следующее сокращение Монтгомери дает abR мод N, форма Монтгомери желаемого продукта. (Последняя секунда редукции Монтгомери преобразуется из формы Монтгомери.)
Преобразование в форму Монтгомери и обратно делает это медленнее, чем обычная или Редукция Барретта алгоритмы однократного умножения. Однако при выполнении множества умножений подряд, как в модульное возведение в степень, промежуточные результаты можно оставить в форме Монтгомери, а начальное и конечное преобразование станут незначительной частью общих вычислений. Многие важные криптосистемы, такие как ЮАР и Обмен ключами Диффи-Хеллмана основаны на арифметических операциях по модулю большого числа, и для этих криптосистем вычисление методом умножения Монтгомери выполняется быстрее, чем доступные альтернативы.[3]
Модульная арифметика и форма Монтгомери
Позволять N обозначают положительный целочисленный модуль. В кольцо частного Z/NZ состоит из классов вычетов по модулю N, то есть его элементами являются множества вида
куда а варьируется от целых чисел. Каждый класс остатка представляет собой набор целых чисел, таких, что разница любых двух целых чисел в наборе делится на N (и класс остатка является максимальным по отношению к этому свойству; целые числа не исключаются из класса остатка, если они не нарушают условие делимости). Класс вычетов, соответствующий а обозначается а. Равенство классов вычетов называется конгруэнцией и обозначается
Сохранение целого класса остатка на компьютере невозможно, потому что класс остатка имеет бесконечно много элементов. Вместо этого классы остатков хранятся как представители. Условно эти представители - целые числа а для которого 0 ≤ а ≤ N − 1. Если а является целым числом, то представитель а написано а мод N. При написании сравнений принято отождествлять целое число с классом остатка, который оно представляет. При таком соглашении указанное выше равенство записывается а ≡ б мод N.
Арифметика над классами остатков выполняется сначала целочисленными арифметическими действиями над их представителями. Результат целочисленной операции определяет класс остатка, а результат модульной операции определяется вычислением представителя класса остатка. Например, если N = 17, то сумма классов вычетов 7 и 15 вычисляется путем нахождения целой суммы 7 + 15 = 22, то определяя 22 мод 17, целое число от 0 до 16, разность которого с 22 кратна 17. В этом случае это целое число равно 5, поэтому 7 + 15 ≡ 5 мод 17.
Если а и б целые числа в диапазоне [0, N − 1], то их сумма находится в диапазоне [0, 2N − 2] а их разница в диапазоне [−N + 1, N − 1], поэтому определение представителя в [0, N − 1] требует не более одного вычитания или сложения (соответственно) N. Однако продукт ab находится в диапазоне [0, N2 − 2N + 1]. Хранение промежуточного целочисленного произведения ab требует вдвое больше бит, чем любой а или же б, и эффективное определение представителя в [0, N − 1] требует разделения. Математически целое число от 0 до N − 1 это соответствует ab можно выразить, применяя Евклидова теорема о делении:
куда q частное и р, остаток находится в интервале [0, N − 1]. Остаток р является ab мод N. Определение р можно сделать, вычислив q, затем вычитая qN из ab. Например, товар 7 ⋅ 15 определяется вычислением , деля , и вычитая .
Поскольку вычисление q требует разделения, это нежелательно дорого для большинства компьютерного оборудования. Форма Монтгомери - это другой способ выражения элементов кольца, в котором модульные продукты могут быть вычислены без дорогостоящих делений. Хотя деление все еще необходимо, оно может быть выполнено по отношению к другому делителю. р. Этот делитель может быть выбран как степень двойки, для которой деление может быть заменено сдвигом, или целое количество машинных слов, для которых деление может быть заменено пропуском слов. Эти подразделения работают быстро, поэтому большая часть затрат на вычисление модульных продуктов с использованием формы Монтгомери - это затраты на вычисление обычных продуктов.
Вспомогательный модуль р должно быть положительным целым числом таким, что gcd (N, р) = 1. Для вычислительных целей также необходимо, чтобы деление и сокращение по модулю р быть недорогим, а модуль бесполезен для модульного умножения, если только р > N. В Форма Монтгомери класса остатка а относительно р является aR мод N, то есть он является представителем класса вычетов aR. Например, предположим, что N = 17 и это р = 100. Формы Монтгомери 3, 5, 7 и 15 являются 300 мод 17 = 11, 500 мод 17 = 7, 700 мод 17 = 3, и 1500 мод 17 = 4.
Сложение и вычитание в форме Монтгомери такие же, как обычное модульное сложение и вычитание из-за закона распределения:
Это следствие того, что, поскольку gcd (р, N) = 1, умножение на р является изоморфизм по аддитивной группе Z/NZ. Например, (7 + 15) мод 17 = 5, который в форме Монтгомери становится (3 + 4) мод 17 = 7.
Однако умножение в форме Монтгомери кажется более сложным. Обычный продукт aR и БР не представляет собой продукт а и б потому что у него есть дополнительный фактор р:
Вычисление продуктов в форме Монтгомери требует устранения дополнительного фактора р. При делении на р дешево, промежуточный продукт (aR мод N)(БР мод N) не делится на р потому что операция по модулю уничтожила это свойство. Так, например, произведение форм Монтгомери 7 и 15 по модулю 17 является произведением 3 и 4, что равно 12. Поскольку 12 не делится на 100, требуются дополнительные усилия, чтобы удалить дополнительный множитель р.
Устранение лишнего фактора р можно сделать, умножив на целое число р′ такой, что , то есть р′, Класс вычетов которого модульный обратный из р мод N. Затем, работая по модулю N,
Целое число р′ существует из-за предположения, что р и N взаимно просты. Его можно построить с помощью расширенный алгоритм Евклида. Расширенный алгоритм Евклида эффективно определяет целые числа р′ и N′ это удовлетворяет Личность Безу:0 < р′ < N, 0 < N′ < р, и:
Это показывает, что можно производить умножение в форме Монтгомери. Таким образом, простой алгоритм умножения чисел в форме Монтгомери состоит в умножении aR мод N, БР мод N, и р′ как целые числа и уменьшить по модулю N.
Например, чтобы умножить 7 и 15 по модулю 17 в форме Монтгомери, снова с р = 100, вычислите произведение 3 и 4, чтобы получить 12, как указано выше. Расширенный алгоритм Евклида подразумевает, что 8⋅100 − 47⋅17 = 1, так р′ = 8. Умножьте 12 на 8, чтобы получить 96, и уменьшите по модулю 17, чтобы получить 11. Это форма Монтгомери 3, как и ожидалось.
Алгоритм REDC
Хотя приведенный выше алгоритм верен, он медленнее, чем умножение в стандартном представлении, из-за необходимости умножения на р′ И разделим на N. Редукция Монтгомери, также известный как REDC, представляет собой алгоритм, который одновременно вычисляет произведение р′ И сводится по модулю N быстрее, чем наивный метод. Скорость связана с тем, что все вычисления выполняются только с использованием сокращения и деления относительно р, нет N:
функция REDC является Вход: Целые числа р и N с gcd (р, N) = 1, Целое число N' в [0, р − 1] такой, что NN′ ≡ −1 мод р, Целое число Т В диапазоне [0, RN − 1] выход: Целое число S В диапазоне [0, N − 1] такой, что S ≡ TR−1 мод N м ← ((Т мод р)N′) Мод р т ← (Т + мН) / р если т ≥ N тогда возвращаться т − N еще возвращаться т конец, есликонечная функция
Чтобы убедиться в правильности этого алгоритма, сначала заметьте, что м выбрано именно так, чтобы Т + мН делится на р. Число делится на р тогда и только тогда, когда он соответствует нулевому модулю р, и у нас есть:
Следовательно, т целое число. Во-вторых, вывод либо т или же т − N, оба из которых соответствуют т мод N, чтобы доказать, что результат конгруэнтен TR−1 мод N, достаточно доказать, что т является. По модулю N, т удовлетворяет:
Следовательно, результат имеет правильный класс остатка. В третьих, м в [0, р − 1], и поэтому Т + мН находится между 0 и (RN − 1) + (р − 1)N < 2RN. Следовательно т меньше чем 2N, и поскольку это целое число, это ставит т В диапазоне [0, 2N − 1]. Следовательно, уменьшая т в желаемый диапазон требует не более одного вычитания, поэтому результат алгоритма находится в правильном диапазоне.
Чтобы использовать REDC для вычисления произведения 7 и 15 по модулю 17, сначала преобразуйте в форму Монтгомери и умножьте на целые числа, чтобы получить 12, как указано выше. Затем примените REDC с р = 100, N = 17, N′ = 47, и Т = 12. Первый шаг устанавливает м к 12 ⋅ 47 мод 100 = 64. Второй шаг устанавливает т к (12 + 64 ⋅ 17) / 100. Заметь 12 + 64 ⋅ 17 равно 1100, как и ожидалось, 100. т установлено 11, что меньше 17, поэтому окончательный результат равен 11, что согласуется с вычислением в предыдущем разделе.
В качестве другого примера рассмотрим продукт 7 ⋅ 15 мод 17 но с р = 10. Используя расширенный алгоритм Евклида, вычислите −5 ⋅ 10 + 3 ⋅ 17 = 1, так N' будет −3 мод 10 = 7. Формы Монтгомери 7 и 15 являются 70 мод 17 = 2 и 150 мод 17 = 14, соответственно. Их продукт 28 - это вход Т в REDC, а так как 28 < RN = 170, предположения REDC выполнены. Чтобы запустить REDC, установите м к (28 мод 10) ⋅ 7 мод 10 = 196 мод 10 = 6. потом 28 + 6 ⋅ 17 = 130, так т = 13. Потому что 30 мод 17 = 13, это форма Монтгомери 3 = 7 ⋅ 15 мод 17.
Арифметика в форме Монтгомери
Многие интересующие операции по модулю N одинаково хорошо может быть выражено в форме Монтгомери. Сложение, вычитание, отрицание, сравнение на равенство, умножение на целое число не в форме Монтгомери и наибольшие общие делители с N все может быть сделано с помощью стандартных алгоритмов. В Символ Якоби можно рассчитать как так долго как хранится.
Когда р > N, большинство других арифметических операций можно выразить в терминах REDC. Из этого предположения следует, что произведение двух представителей mod N меньше чем RN, точная гипотеза, необходимая REDC для генерации правильного вывода. В частности, продукт aR мод N и БР мод N является REDC ((aR мод N)(БР мод N)). Комбинированную операцию умножения и REDC часто называют Умножение Монтгомери.
Преобразование в форму Монтгомери осуществляется вычислением REDC ((а мод N)(р2 мод N)). Преобразование из формы Монтгомери выполняется вычислением REDC (aR мод N). Модульная инверсия aR мод N является REDC ((aR мод N)−1(р3 мод N)). Модульное возведение в степень можно выполнить с помощью возведение в степень возведением в квадрат инициализируя исходный продукт представлением 1 Монтгомери, то есть р мод N, и путем замены умножения и квадрата шагов умножением Монтгомери.
Выполнение этих операций требует знания как минимум N′ и р2 мод N. Когда р это степень малого целого положительного числа б, N′ можно вычислить Лемма Гензеля: Инверсия N по модулю б вычисляется наивным алгоритмом (например, если б = 2 тогда обратным будет 1), и лемма Гензеля многократно используется для нахождения обратного по модулю все более высоких степеней б, останавливаясь, когда обратный по модулю р известен; N′ это отрицание этого обратного. Константы р мод N и р3 мод N может быть сгенерирован как REDC (р2 мод N) и, как REDC ((р2 мод N)(р2 мод N)). Основная операция - вычислить REDC продукта. Когда требуется автономный REDC, он может быть вычислен как REDC продукта с 1 мод N. Единственное место, где прямая редукция по модулю N необходимо в предварительном вычислении р2 мод N.
Арифметика Монтгомери на целых числах с множественной точностью (с переменным основанием)
Для большинства криптографических приложений требуются числа длиной в сотни или даже тысячи бит. Такие числа слишком велики, чтобы их можно было хранить в одном машинном слове. Обычно оборудование выполняет умножение по модулю некоторой базы. B, поэтому выполнение больших умножений требует объединения нескольких маленьких умножений. База B обычно 2 для приложений микроэлектроники, 28 для 8-битной прошивки,[4] или 232 или 264 для программных приложений.
Алгоритм REDC требует произведений по модулю р, и обычно р > N так что REDC можно использовать для вычисления продуктов. Однако когда р это сила B, существует вариант REDC, который требует продуктов только целых чисел размером с машинное слово. Предположим, что сохранены положительные целые числа с разной точностью прямой порядок байтов, то есть, Икс хранится как массив Икс[0], ..., Икс[ℓ - 1] такой, что 0 ≤ Икс[я] < B для всех я и Икс = ∑ Икс[я] Bя. Алгоритм начинается с целого числа с высокой точностью. Т и сокращает его по одному слову за раз. Сначала соответствующее кратное N добавлен, чтобы сделать Т делится на B. Тогда несколько N добавлен, чтобы сделать Т делится на B2, и так далее. В итоге Т делится на р, а после деления на р алгоритм находится там же, где был REDC после вычисления т.
функция MultiPrecisionREDC является Вход: Целое число N с gcd (B, N) = 1, хранится как массив п слова, целое число р = Bр, --таким образом, р = бревноB р Целое число N' в [0, B − 1] такой, что NN′ ≡ −1 (mod B), Целое число Т В диапазоне 0 ≤ Т < RN, хранится как массив р + п слова. Выход: Целое число S в [0, N − 1] такой, что TR−1 ≡ S (мод N), хранится как массив п слова. Набор Т[р + п] = 0 (дополнительное слово переноса) за 0 ≤ я < р делать --loop1- Сделать T делимым на Bя + 1 c ← 0 м ← Т[я] ⋅ N'Мод B за 0 ≤ j < п делать --loop2- Добавить нижнее слово m ⋅ N [j] и переносить из ранее, и найти новый перенос Икс ← Т[я + j] + м ⋅ N[j] + c Т[я + j] ← Икс мод B c ← ⌊Икс / B⌋ конец для за п ≤ j ≤ р + п − я делать --loop3- Продолжать носить Икс ← Т[я + j] + c Т[я + j] ← Икс мод B c ← ⌊Икс / B⌋ конец для конец для за 0 ≤ я ≤ п делать S[я] ← Т[я + р] конец для если S ≥ N тогда возвращаться S − N еще возвращаться S конец, есликонечная функция
Окончательное сравнение и вычитание производится по стандартным алгоритмам.
Вышеупомянутый алгоритм верен, по существу, по тем же причинам, что и REDC. Каждый раз через я петля, м выбирается так, чтобы Т[я] + мН[0] делится на B. потом мНБя добавлен к Т. Поскольку это количество равно нулю по модулю N, добавление не влияет на значение Т мод N. Если мя обозначает значение м вычислено в яй итерации цикла, то алгоритм устанавливает S к Т + (∑ мя Bя)N. Поскольку MultiPrecisionREDC и REDC дают одинаковый результат, эта сумма совпадает с выбором м что сделает алгоритм REDC.
Последнее слово Т, Т[р + п] (и следовательно S[п]), используется только для удержания переноса, и поскольку исходный результат сокращения связан с результатом в диапазоне 0 ≤ S < 2N. Отсюда следует, что этого лишнего переносимого слова можно полностью избежать, если заранее известно, что р ≥ 2N. В типичной двоичной реализации это эквивалентно заявлению о том, что этого слова переноса можно избежать, если количество битов N меньше, чем количество битов R. В противном случае перенос будет либо нулем, либо единицей. В зависимости от процессора, это слово может быть возможно сохранить как флаг переноса вместо полноразмерного слова.
Можно объединить умножение с высокой точностью и REDC в один алгоритм. Этот комбинированный алгоритм обычно называется умножением Монтгомери. Коч, Акар и Калиски описывают несколько различных реализаций.[5] Алгоритм может использовать всего лишь п + 2 слова памяти (плюс бит переноса).
В качестве примера пусть B = 10, N = 997, и р = 1000. Предположим, что а = 314 и б = 271. Представления Монтгомери о а и б находятся 314000 мод 997 = 942 и 271000 мод 997 = 813. Вычислить 942 ⋅ 813 = 765846. Первоначальный ввод Т в MultiPrecisionREDC будет [6, 4, 8, 5, 6, 7]. Номер N будут представлены в виде [7, 9, 9]. Расширенный алгоритм Евклида говорит, что −299 ⋅ 10 + 3 ⋅ 997 = 1, так N′ Будет 7.
i ← 0m ← 6 ⋅ 7 мод 10 = 2j T c- ------- -0 0485670 2 (После первой итерации первого цикла)1 0485670 22 0485670 23 0487670 0 (После первой итерации второго цикла)4 0487670 05 0487670 06 0487670 0i ← 1м ← 4 ⋅ 7 мод 10 = 8j T c- ------- -0 0087670 6 (После первой итерации первого цикла)1 0067670 82 0067670 83 0067470 1 (После первой итерации второго цикла)4 0067480 05 0067480 0i ← 2 м ← 6 ⋅ 7 мод 10 = 2j T c- ------- -0 0007480 2 (После первой итерации первого цикла)1 0007480 22 0007480 23 0007400 1 (После первой итерации второго цикла)4 0007401 0
Поэтому перед окончательным сравнением и вычитанием S = 1047. Последнее вычитание дает число 50. Поскольку представление Монтгомери 314 ⋅ 271 мод 997 = 349 является 349000 мод 997 = 50, это ожидаемый результат.
При работе в базе 2 определение правильного м на каждом этапе особенно просто: если текущий рабочий бит четный, то м равен нулю, а если он нечетный, то м является одним. Кроме того, поскольку каждый шаг MultiPrecisionREDC требует знания только младшего бита, умножение Монтгомери можно легко комбинировать с переносной сумматор.
Атаки по побочным каналам
Поскольку редукция по Монтгомери позволяет избежать шагов коррекции, требуемых при обычном делении, когда оценки частных цифр неточны, оно в основном не содержит условных ветвей, которые являются основными целями времени и мощности. атаки по побочным каналам; последовательность выполняемых инструкций не зависит от значений входных операндов. Единственное исключение - это окончательное условное вычитание модуля, но его легко изменить (чтобы всегда что-то вычитать, либо модуль, либо ноль), чтобы сделать его устойчивым.[4] Конечно, необходимо убедиться, что алгоритм возведения в степень, построенный на основе примитива умножения, также устойчив.[4][6]
Смотрите также
Редукция Барретта еще один похожий алгоритм.
Рекомендации
- ^ Питер Монтгомери.«Модульное умножение без пробного деления»,Математика вычислений, т. 44 нет. 170, pp. 519–521, апрель 1985 г.
- ^ Мартин Кочанский, "Умножение Монтгомери" В архиве 2010-03-27 на Wayback Machine разговорное объяснение.
- ^ Альфред Дж. Менезес, Пол К. ван Оршот и Скотт А. Ванстон. Справочник по прикладной криптографии. CRC Press, 1996. ISBN 0-8493-8523-7, глава 14.
- ^ а б c Чже Лю, Иоганн Гросшедль и Илья Кижватов. «Эффективная и устойчивая к побочным каналам реализация RSA для 8-битных микроконтроллеров AVR». п. 8.
- ^ Четин К. Коч; Толга Ачар; Бертон С. Калиски-младший (июнь 1996 г.). «Анализ и сравнение алгоритмов умножения Монтгомери» (PDF). IEEE Micro. 16 (3): 26–33. CiteSeerX 10.1.1.26.3120. Дои:10.1109/40.502403.
- ^ Марк Джой и Сун-Мин Йен. "Силовая лестница Монтгомери". 2002.
внешняя ссылка
- Генри С. Уоррен-младший (июль 2012 г.). «Теория и практика умножения Монтгомери» (PDF).