Riemannova hypoteza

[Filip Jirsák]

Nevim jestli se da tady hodnotit co je silnejsi nebo slabsi...

Silnější ve smyslu „dokazuje to víc“, „více to omezuje výslednou množinu nebo podrobněji specifikuje, kde prvočísla hledat“, „můžeme na základě toho dělat silnější předpoklady“.

[Reklama]

[listoper]

Nevim jestli se da tady hodnotit co je silnejsi nebo slabsi...

Silnější ve smyslu „dokazuje to víc“, „více to omezuje výslednou množinu nebo podrobněji specifikuje, kde prvočísla hledat“, „můžeme na základě toho dělat silnější předpoklady“.

Tak jo. Takhle ano. Doufam v uplne pochopeni distribuce prvocisel takze nejsilnejsi :-)

[Vít Šesták (v6ak)]

Poněkud mě překvapila hypotéza, že se pro kryptografii používají známá prvočísla. Předpokládám, že tím bylo myšleno RSA, které je asi nejpopulárnějším kryptoalgoritmem založeným na prvočíslech a kde je případný snadný prvočíselný rozklad problémem. Jenže tam případná znalost jednoho z prvočísel útočníkem je průšvih samo o sobě.

Co si vzpomínám, tak se běžně používají na hledání prvočísel různé triky, takže se nepoužije celý ≈ 2^1014 prostor pro prvočísla k RSA-2048, ale jen nějaký zúžený. Alr i ten zúžený může být pořád dost velký. Konkrétní varianta zjednodušení může mít nějaké zranitelnosti (vzpomeňme si na ROCA), případně nějaké charakteristiky (tým zabývající se ROCA předtím AFAIR dovedl odhadnout, čím byl daný klíč vygenerován).

Jestli případný důkaz pomůže omezit prostor, kde hledat jedno z těch prvočísel – asi moc ne. Velikost toho prostoru těžko bude převapením pro lidi, kteří řeší to hledání prvočísel, ono se to zákonitě musí nějak projevit do statistik, za jak dlouho to prvočíslo najdu. Což má vliv i na výkon.

Jestli případný důkaz přinese něco jiného, co nám zboří RSA nebo jinou část kryptografie – to je tak obecná otázka, že by bylo pošetilé odpovídat jednoznačně „ne“. Ale nějaký velký strach z toho nemám.

[Exceptions]

Co napsal Vít dává smysl.

O prvočíslech toho moc nevíme, jejich zastoupení je třeba přibližně definované přirozeným logaritmem a v případě, kdy bychom dopředu věděli, která čísla jsou prvočísly, můžeme snížit náročnost RSA 2048 o spousty řádů, v tom tkví dokázání téhle hypotézy.

Co je ale vtipné, pokud se prokáže, že tenhle důkaz sporem je správný, nevypadá to, že by se něco s kryptografií prvočísel stalo, pořád nemáme "funkci na prvočísla" a musíme je hledat hrubou silou.

[v]

Co napsal Vít dává smysl.

O prvočíslech toho moc nevíme, jejich zastoupení je třeba přibližně definované přirozeným logaritmem a v případě, kdy bychom dopředu věděli, která čísla jsou prvočísly, můžeme snížit náročnost RSA 2048 o spousty řádů, v tom tkví dokázání téhle hypotézy.

Co je ale vtipné, pokud se prokáže, že tenhle důkaz sporem je správný, nevypadá to, že by se něco s kryptografií prvočísel stalo, pořád nemáme "funkci na prvočísla" a musíme je hledat hrubou silou.

tady píšou, že je těch prvočísel fakt hodně https://stackoverflow.com/questions/16091581/how-many-prime-numbers-are-there-available-for-rsa-encryption

[Reklama]

[s]

Poněkud mě překvapila hypotéza, že se pro kryptografii používají známá prvočísla. Předpokládám, že tím bylo myšleno RSA, které je asi nejpopulárnějším kryptoalgoritmem založeným na prvočíslech a kde je případný snadný prvočíselný rozklad problémem. Jenže tam případná znalost jednoho z prvočísel útočníkem je průšvih samo o sobě.

Co si vzpomínám, tak se běžně používají na hledání prvočísel různé triky, takže se nepoužije celý ≈ 2^1014 prostor pro prvočísla k RSA-2048, ale jen nějaký zúžený. Alr i ten zúžený může být pořád dost velký. Konkrétní varianta zjednodušení může mít nějaké zranitelnosti (vzpomeňme si na ROCA), případně nějaké charakteristiky (tým zabývající se ROCA předtím AFAIR dovedl odhadnout, čím byl daný klíč vygenerován).

Jestli případný důkaz pomůže omezit prostor, kde hledat jedno z těch prvočísel – asi moc ne. Velikost toho prostoru těžko bude převapením pro lidi, kteří řeší to hledání prvočísel, ono se to zákonitě musí nějak projevit do statistik, za jak dlouho to prvočíslo najdu. Což má vliv i na výkon.

Jestli případný důkaz přinese něco jiného, co nám zboří RSA nebo jinou část kryptografie – to je tak obecná otázka, že by bylo pošetilé odpovídat jednoznačně „ne“. Ale nějaký velký strach z toho nemám.

Ne, u RSA se predem znama prvocisla fakt pouzivat nedaji, protoze RSA visi na neznalosti rychleho algoritmu na faktorizaci. Predem znama prvocisla se pouzivaji treba u DH, kde je prvocislo verejne zname. Prvocislo vhodne pro DH musi mit i dalsi vlastnosti nez je jen prvociselnost, takze je i v zasade nezadouci, aby si kazdy generoval svoje. Pro zajimavost, SSH je ma ulozene ponkretne v /etc/ssh/moduli.

[Vít Šesták (v6ak)]

Kdybychom mohli projít seznam prvočísel rychle (ve smyslu máme vzoreček pro výpočet příštího prvočísla vyčíslitelný za pár taktů CPU), ještě to nic neznamená. Když budu uvažovat RSA-2048, mám 2048b modulus, který je součinem dvou prvočísel o délce cca 1024b. Počet prvočísel zde lze odhadnout na 2^1024/(ln(2^1024)-1), což mi kalkulačka nepobrala, ale dá se to zjednodušit, že cca každé (ln(2^1024)-1)-té číslo v tomto intervalu je prvočíslo. Sice ani ln(2^1024)-1 mi kalkulačka nepobrala, ale když jsem to zjednodušil na 1024*ln(2)-1, dostal jsem, že cca jedno ze 709 čísel je v tomto intervalu prvočíslo. To jsem zaokrouhlil na 1024 a došel jsem k výše uvedenému odhadu 2^(1024-10)=2^1014 prvočísel v tomto intervalu. Řekl bych, že ani dnes není problém v tom, že bychom neuměli dostatečně rychle prvočísla procházet, jako spíš s tím, že je jich prostě moc. Hrubou silou to při jakkoli efektivním způsobu procházení prostě neprojdete. Pro srovnání: AES staví mj. na tom, že neprojdete všech jeho 2^128 až 2^256 (podle varianty) klíčů. To je o poznání méně než počet prvočísel v uvažovaném rozsahu.

Jestli to zefektivní nějaký jiný algoritmus lámání RSA – možná ano, čekal bych ale spíše zlepšení nějakých faktorů, rozhodně ale od toho nečekám polynomiální složitost. Prakticky to znamená, že čekám spíše přinejhorším nutnost používat delší klíče v RSA než kompletní průlom RSA.

A i kdybychom měli průlom RSA, není to dnes nenahraditelný algoritmus… Náhrady se hledají asi spíše z jiných důvodů – rychlost, délka klíče nutná k zajištění dané úrovně bezpečnosti a kvantové počítače.

s: Ale vždyť to používání známých prvočísel vyvracím.

[prime]

 btw, nejdelsi zname prvocislo ma pres 23 milionu cislic a pro pouziti v kryptografii uz nejsou takto velka cisla prakticka..

[Radovan.]

Jak to bylo s tím rozluštěním sovětských depeší, šifrovaných Vernamovou šifrou? Stačilo prostě dost dlouho počkat a všechny si je uložit.

kdy bychom dopředu věděli, která čísla jsou prvočísly,

To je právě ten problém. Hledání vhodných prvočísel při výrobě klíčů je velmi náročné, zdaleka ne všechna se dají použít, tak jsou na to různé urychlující zkratky. A občas se tak prostě stane, že se trefí do stejného prvočísla, které se tím použíje ve dvou klíčích. Když potom někdo sesbírá hodně veřejných klíčů, tak má slušnou šanci že v některých z nich nějaké takové bude. A o faktorizaci se v tomhle případě kdysi dávno postaral nějaký pan Euklides. Obyčejným vydělením se potom zjistí i ta unikátní, a najednou je z toho pomalu rostoucí seznam, stačí jen neustálý přísun dostatečného množství nových veřejných klíčů...

Takže seznam použitých prvočísel samozřejmě existovat nesmí, protože by nebyl v bezpečí nikdo. Proto se ta prvočísla generují pořád dokola, tak je v bezpečí aspoň někdo, zatím. Ostatní mají smůlu, protože někdo ten seznam může už roky vytvářet a používat, není k tomu potřeba moc prostředků. A přiznejme si, kdo z nás by to nedělal, kdyby tu možnost měl?

[Vít Šesták (v6ak)]

Tak znovu: u RSA klíčů máme v případě RSA-2048 (dnes decentní volba, doporučení to už ale začínají tlačit k delším klíčům) na výběr řádově 2^1014 prvočísel. I kdybychom třeba 7/8 z různých důvodů (příliš krátká) vyřadili, máme jich pořád asi 2^1010.

Pro srovnání:

* Částic ve viditelné části vesmíru se odhaduje na 10^86 ≈ 2^286. Hodně štěstí s ukládáním všech známých prvočísel.
* AES má podle varianty 2^128 až 2^256 možných klíčů. Nepovažuje se za příliš praktické vygenerovat náhodný AES klíč a zkoušet, jestli nebude někde sedět. Ale asi by to bylo praktičtější než zmíněné kejkle s prvočísly na RSA.
* Pravděpodobnost, že na mě spadne meteor, si můžete dohledat za domácí úkol. Asi bude vyšší než crack AES-128. Tím nechci šířit poplašnou zprávu…
* Pravděpodobnost výhry v loterii taktéž. Tím ale nechci. Nabádat k žádnému sázení…


Pokud se někomu skutečně povede najít nějaké recyklované prvočíslo, bude to tedy nejspíš znamenat nějakou implementační chybu – například příliš zúžený okruh hledání prvočísel (např. ROCA*) nebo malá entropie (např. ~10 let stará kauza sdílených prvočísel u embedded zařízení).

*) V tomto případě došlo k oslabení kryptografie a možnému prolomení, ale nejsem si jist, jestli až tak, že by v praxi docházelo ke znovupoužití prvočísel. V principu ale takové zranitelnosti mohou k tomu vést.

[Radovan.]

2^1014 prvočísel
* Pravděpodobnost, že na mě spadne meteor, si můžete dohledat za domácí úkol.

Když vyřadíš všechna moc malá nebo moc velká N, a všechna N-1 dělitelná třemi, a tak dál...

Jak pravděpodobné je tohle: https://www.hradeckadrbna.cz/z-kraje/hradecko/1351-neznamy-predmet-prorazil-strechu-pergoly-a-udelal-diru-ve-fasade-mohlo-se-jednat-o-meteorit.html
Meteor možná ne, ale s bleskem bych to fakt neriskoval: http://xkcz.cz/795-podminene-riziko/

Já vím že jich je i tak strašně moc, a že vyhrát první ve Sportce je téměř nemožné, ale kolik implementačních chyb v šifrovacích programech (o hardwaru nemluvě) se profláklo za posledních pět let?
A pokud bys měl dostatek času, výkonu, a milion harddisků v Marylandu?

[aaa]

2^1014 prvočísel
* Pravděpodobnost, že na mě spadne meteor, si můžete dohledat za domácí úkol.

Když vyřadíš všechna moc malá nebo moc velká N, a všechna N-1 dělitelná třemi, a tak dál.

2048 bit sifrovanie pouziva najcastejsie 2x1024 bit prvocisla. Staci zlomit jedno, pocitajme s tym. 1024 bit cisel je 2^1023, lebo prvy bit je 1. Pocet prvocisel do cisla x sa vyjadri ako x/ln(x), teda tu 2^1023/ln(2^1023) < 2^1023/(2^9) = 2^1014. Vit to dal dobre hned.

Hledání vhodných prvočísel při výrobě klíčů je velmi náročné, zdaleka ne všechna se dají použít, tak jsou na to různé urychlující zkratky.

Casovo najnarocnejsie je ziskat dost entropie. Inak sa pouziva pravdepodobnostny test prvociselnosti ako napriklad Rabin-Miller. Vdaka tomu netreba mat ulozene a ani vediet vsetky prvocisla.

A pokud bys měl dostatek času, výkonu, a milion harddisků v Marylandu?

https://xkcd.com/538/
Mam velmi vela vykonu, ale dlhe RSA som este nezlomil.

[Vít Šesták (v6ak)]

Budu-li mít k dispozici milion disků o 20 TiB, uložím tam něco přes 2^37 prvočísel o délce 1024 bitů, pokud budu počítat, že první a poslední číslice ve dvoujové soustavě je jednička, a tedy by mi stačilo 1022 bitů na prvočíslo. Spočítáno jako log[2](8*20*1024^4/1022). To je dost málo. Mám trochu tušení, že tolik prvočísel bych s dobrou entropií na svém starém počítači prošel v řádu dní, a nepotřebuju úložný prostor. Aspoň tak nějak mi to na starém notebooku vycházelo v Javě přes něco jako BigInteger.probablyPrime se SecureRandom nebo tak něčím, bez speciálních optimalizací.

Ano, nějaká malá prvočísla vyřadíme, myslím, že těch 7/8 je dostatečně pesimistických. O čísel kongruentních s 1 (mod 3) nevím – pokud takováto pravidla znáte, sem s nimi, mohu je započítat. Samotné toto pravidlo by vyřadilo hádám polovinu prvočísel (pokud kongruence s (mod 3) je mezi prvočísly rovnoměrně rozložena mezi 1 a 2). Nemyslím si, že bychom se dostali pod 2^1000 použitelných prvočísel, což je pořád dost.

Pozná…ka o enyropii je dobrá. A hlavně je to další argument, proč spoléhat se na pomalé procházení prvočísel ke rozbité již dnes – útočník při procházení všech možností nepotřebuje generovat dost entropie.

Terminilogický detail: i čísla začínající nulou mohu řadit do 1024-bitových, proto 2^1024. Druhá věc je, že tato čísla nejspíš vyřadím jako příliš malá…

[Radovan.]

Ale ty nemusíš ukládat všechna prvočísla, stačí jen ta už získaná a zatím nerozlomené klíče. A pořád sbírat a sbírat, času máš dost.

[aaa]

Budu-li mít k dispozici milion disků o 20 TiB, uložím tam něco přes 2^37 prvočísel o délce 1024 bitů, pokud budu počítat, že první a poslední číslice ve dvoujové soustavě je jednička, a tedy by mi stačilo 1022 bitů na prvočíslo. Spočítáno jako log[2](8*20*1024^4/1022). To je dost málo.

Nie ze by to menilo vela, ale:
To ide ulozit aj efektivnejsie, lebo tie cisla nie su nahodne. Co tak si ukladat len rozdiel k dalsiemu prvocislu? Alebo sa na to pozrieme a povieme si, ze vsetky zaujimave prvocisla sa daju napisat ako
6k+1
6k+5
cim zapiseme iba 1/3 cisel do bitmapy. Pri rozsireni na nasobky 30+x sme na 26% dlzky. A tak dalej s nasobkami 210, 2310, 30030 a da sa to neobmedzene rozsirovat a platit predpocitanim za ulozisko.