Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Structure de données

Algorithme de Montgomery pour la multiplication modulaire 1

publicité 
Niveau : 2
Orange
Algorithme de Montgomery pour la multiplication modulaire
1 Présentation du problème, Notations
Étant donnés trois nombres entiers a, b, n le problème est de calculer le plus rapidement possible a · b
mod n.
Disons tout de suite que si on a une seule multiplication à faire, la transformation de Montgomery ,
ainsi que l’algorithme qui en découle, que nous présentons ici, n’ont pas d’intérêt. En revanche si des
multiplications s’enchaînent comme dans le cas de l’algorithme « square and multiply » décrit dans
la « fichecrypto_004 » alors cet algorithme prend tout son sens.
En conclusion il faut considérer l’algorithme de Montgomery comme s’insérant dans l’algorithme
« square and multiply » du calcul de an mod n.
2 La transformation de Montgomery
2.1 Définition de la transformation - lien avec le Produit
Soit n le modulo intervenant dans l’opération. On supposera désormais que n est un nombre impair. Le nombre de bits de n est l’entier k tel que :
2k−1 ≤ n < 2k .
On appellera r le nombre 2k . Comme n est impair r est premier avec n et donc inversible modulo n.
On notera r −1 l’inverse de n modulo n.
Soit φ (transformation de Montgomery) l’application de In = {0, 1 · · · , n − 1} dans lui-même définie
par :
φ(a) = a · r mod n.
Cette application φ (multiplication par r modulo n) est une bijection de In dans lui-même puisque r
est inversible modulo n. Le théorème qui suit nous indique comment s’exprime le transformé d’un
produit de deux termes en fonction des transformés de chacun de ces deux termes.
Théorème 2.1 Soit c = a · b mod n. Alors :
φ(c) = φ(a) · φ(b) · r −1
mod n.
Preuve. Calculons le second membre de l’égalité à prouver :
φ(a) · φ(b) · r −1
φ(a) · φ(b) · r −1
mod n = a · r · b · r · r −1
mod n = a · b · r −1
mod n = c · r
mod n,
mod n = φ(c).
1
2.2 Comment se calcule le transformé d’un produit
On calcule une fois pour toutes r −1 par l’algorithme d’Euclide étendue, et pendant qu’on y est on
calcule aussi l’autre coefficient de Bézout, c’est-à-dire qu’on calcule r −1 et v tels que :
r · r −1 − v · n = 1,
où 0 < r −1 < n et 0 < v < r.
Nous noterons ⊗ l’opération :
φ(a) ⊗ φ(b) = φ(a) · φ(b) · r −1
mod n = φ(c).
Le calcul de φ(c) = φ(a · b) = φ(a) ⊗ φ(b) peut s’effectuer de la manière suivante :
Algorithme pour calculer φ(a) ⊗ φ(b)
1) s = φ(a) · φ(b),
2) t = (s · v) mod r,
3) m = (s + t · n),
3) u = m/r,
4) si u ≥ n alors φ(c) = u − n sinon φ(c) = u.
En effet, il existe un entier k tel que :
t = s · v + k · r.
On calcule alors :
m = (s + t · n) = s + s · v · n + k · r · n,
m = (s + t · n) = s + s · (r · r −1 − 1) + k · r · n,
m = (s + t · n) = s · r · r −1 + k · r · n,
u = s · r −1 + k · n = φ(c) + k · n.
Donc :
u ≡ φ(c) (n).
Mais on voit que
0 ≤ s < n2
et
0 ≤ t < r,
donc :
0 ≤ m < n · (r + n) < 2 · r · n,
et
0 ≤ u < 2 · n.
Ceci prouve qu’il n’y a que deux possibilité : soit φ(c) = u soit φ(c) = u − n suivant que u ≥ n ou
non.
Dans cet algorithme, on ne fait pas de division par n, mais par r, ce qui change tout puisque r est
une puissance de 2. Bien entendu, pour une seule opération, ceci n’est pas intéressant puisqu’il y a
plusieurs calculs préparatoires à faire. Mais si on enchaîne un grand nombre d’opérations alors on
devient gagnant.
2
3 Enchaînons les opérations
Reprenons l’algorithme square and multiply que nous avons développé dans la « fichecrypto_004 ».
On veut calculer ak mod n. On calcule alors :
1) A = φ(a)
2) P = ⊗k A par l’algorithme square and multiply intégrant la transformation de Montgomery
3) Ayant ainsi P = ⊗k A = φ(ak ) on revient à ak par la formule ak = P · r −1 mod n.
Voici le détail du calcul de P .
Square and multiply
entrées : un tableau N de K + 1 bits
représentant k en binaire
sortie : le nombre P = ⊗k A
début
P ← 1;
i←K;
tant que i ≥ 0 faire
P ←P ⊗P ;
si N[i] == 1
alors P ← P ⊗ A ;
finsi
i ← i −1;
fintq
retourner P ;
fin
Le coût des opérations auxiliaires du début et de la fin du programme (transformation directe de a et
inverse de ⊗k A ainsi que les calculs de r −1 et v sont amortis par l’enchaînement des opérations de
multiplication et d’élévation au carré.
Auteur : Ainigmatias Cruptos
Diffusé par l’Association ACrypTA
3
Documents connexes
Algorithme de Montgomery pour la multiplication
Algorithme de Montgomery pour la multiplication
TD 2
TD 2
TD : Primalité - Factorisation
TD : Primalité - Factorisation
Examen Médian - UTC
Examen Médian - UTC
Cryptographie
Cryptographie
TD 4
TD 4
Petit théorème de Fermat
Petit théorème de Fermat
algorithme algorithme -bases -une
algorithme algorithme -bases -une
2.9 Puisque a ≡ b mod m, il existe k ∈ Z tel que b = a + k m . De
2.9 Puisque a ≡ b mod m, il existe k ∈ Z tel que b = a + k m . De
Congruences Équations Nombres premiers entre eux p et q sont
Congruences Équations Nombres premiers entre eux p et q sont
Feuille d`exercices n 1
Feuille d`exercices n 1
TD - LIFL
TD - LIFL
D34: Méthodes de calcul efficaces Arithmétique dans Fp et F2n
D34: Méthodes de calcul efficaces Arithmétique dans Fp et F2n
Théorème de Bézout, restes chinois, calcul modulaire
Théorème de Bézout, restes chinois, calcul modulaire
Feuille 5 : Retour sur RSA et factorisation
Feuille 5 : Retour sur RSA et factorisation
Problème de codage
Problème de codage
Exercice On se place dans un repère orthonormé et, pour tout entier
Exercice On se place dans un repère orthonormé et, pour tout entier
éléments simples - Jean
éléments simples - Jean
Feuille d`exercices 1
Feuille d`exercices 1
Tests de Fermat, de Rabin-Miller - Institut de Mathématiques de
Tests de Fermat, de Rabin-Miller - Institut de Mathématiques de
1 Divisibilité dans Z. Congruences. 2 Algorithme d`Euclide, identité
1 Divisibilité dans Z. Congruences. 2 Algorithme d`Euclide, identité
Cours 10
Cours 10
Téléchargement
publicité