Méthode de Coppersmith pour trouver les petites solutions
Méthode de Coppersmith pour trouver les petites solutions
d’équations polynomiales
Master SFPN, Université Pierre et Marie Curie
Quelques rappels sur la méthode de Coppersmith
Théorème de Coppersmith (Polynôme univarié modulaire)
Soit P(x)un polynôme univarié unimodulaire de degré δet Nun entier de factorisation inconnue. On peut
retrouver en temps polynomial en (log N, δ)toutes les solutions entières x0telles que P(x0)≡0 mod Net
|x0|< X avec X < N 1/δ.
On rappelle ci-dessous la méthode de Coppersmith permettant de trouver les petites solutions entières.
Construction de la matrice de Coppersmith
La matrice de Coppersmith triangulaire inférieure Massociée au polynôme P(x)de degré δest formée de
d=δm + 1 polynômes, où m≥1est un paramètre entier. On définit comme suit la famille de polynômes
constituant chacun un vecteur ligne de la matrice (les éléments des vecteurs correspondent aux coefficients des
polynômes, ordonnés par degré de monôme croissant [1, x, x2, . . . , xd−1]) :
Pour iallant de 0 à m−1
Pour jallant de 0 à δ−1
M[δi +j] = (xX)jNm−iPi(xX)
M[δm] = Pm(xX)
Application de l’algorithme de réduction de réseaux LLL
Une fois la matrice de Coppersmith Mconstruite, l’algorithme de réduction de réseaux LLL est appliqué
sur M. Les polynômes Qi(xX)correspondants aux vecteurs de la matrice LLL-réduite M0sont tels que les
polynômes Qi(x)admettent x0comme solution modulo Nm.
La norme du premier vecteur de la matrice LLL-réduite de dimension d(correspondant au polynôme Q1(xX))
est bornée par 2(d−1)/4(det M)1/d. Le déterminant est un invariant des bases du réseau ; on a donc det M=
det M0. De plus, la matrice Métant triangulaire, son déterminant est le produit des éléments de la diagonale.
Condition pour que Q(x0)s’annule sur les entiers (Howgrave-Graham)
Soit Q(x0)≡0 mod Nmun polynôme de degré d−1avec |x0|< X. Si ||Q(xX)|| < Nm/√d, alors
Q(x0) = 0 sur les entiers.
Trouver les petites solutions entières x0telles que P(x0)≡0 mod N
Si le nouveau polynôme Q(xX) = a0+a1x+a2x2+··· +ad−1xd−1correspondant au premier vecteur de
la matrice LLL-réduite satisfait la condition de Howgrave-Graham (c’est-à-dire ||Q(xX)|| < N m/√d), alors le
polynôme Q(x) = a0+a1
Xx+a2
X2x2+···+ad−1
Xd−1xd−1peut être résolu facilement sur les entiers, ce qui permet
de retrouver les petites solutions entières x0initialement recherchées.
1
Exercice 1 : Méthode de Coppersmith en pratique
Soit N= 143 = 11 ×13 et P(x) = x2+ 93x+ 141. Ce polynôme admet une petite solution entière x0telle
que |x0|< X = 6 et P(x0)≡0 mod N.
Le but de cet exercice est de retrouver x0grâce à la méthode de Coppersmith.
Question 1
Calculer P(3) mod N.
Question 2
Construire la matrice Mde Coppersmith de dimension 3 (avec m= 1) associée au polynôme P, au module
Net à la borne supérieure X.
Question 3
L’algorithme de réduction LLL est appliqué sur la matrice Met retourne la matrice
−6−42 108
143 0 0
4−258 −72
.
Quelle propriété commune possèdent les trois polynômes Q1(xX), Q2(xX)et Q3(xX)correspondants à ces
vecteurs.
Question 4
Exprimer le polynôme correspondant au premier vecteur (−6,−42,108) et admettant x0comme solution
modulo N.
Question 5
Montrer que ce polynôme admet x0= 3 comme solution sur les entiers.
Exercice 2 : Dimension du réseau et tailles des solutions retrouvées
On considère un module Nde factorisation inconnue et un polynôme P(x) = a+bx +x2tel que P(x0)≡0
mod Navec |x0|< X.
Le but de l’exercice est de montrer qu’une augmentation de la dimension du réseau permet de retrouver des
solutions entières plus grandes.
Question 1
D’après le théorème de Coppersmith, quelle est la borne supérieure Xthéorique sur les solutions entières que
la méthode de Coppersmith permet de retrouver ?
Question 2
Soit Mla matrice de Coppersmith associée au polynôme Pet au module N, de dimension d= 2m+ 1,
sur laquelle on applique LLL. Soit Q(xX)le polynôme correspondant au premier vecteur de la matrice
LLL-réduite.
D’après le théorème de Howgrave-Graham et d’après la borne sur la norme du premier vecteur d’une matrice
LLL-réduite, quelle est la condition pour que le polynôme Q(x0)de degré d−1s’annule sur les entiers ?
Question 3
Pour la suite, afin de simplifier les calculs, nous négligerons les termes 2(d−1)/4et √dsans conséquence sur
la condition asymptotique. Donner la nouvelle condition.
Question 4
Construire la matrice Mde Coppersmith de dimension 3 (avec m= 1) associée au polynôme Pet au module
N.
Question 5
Calculer la borne supérieure Xque la méthode de Coppersmith avec une matrice de dimension 3 permet de
retrouver.
Question 6
Construire la matrice Mde Coppersmith de dimension 5 (avec m= 2) associée au polynôme Pet au module
N.
Page 2
Question 7
Calculer la borne supérieure Xque la méthode de Coppersmith avec une matrice de dimension 5 permet de
retrouver.
Question 8
Comparer les bornes supérieures obtenues avec une dimension 3 et 5. Conclure.
Exercice 3 : Factoriser Navec la moitié du secret q iq
Soit N=pq un module RSA où pet qsont deux entiers premiers tels que dlog2(p)e=dlog2(q)e=
dlog2(N)/2e=t. On note ip=p−1mod qet iq=q−1mod p.
Le but de l’exercice est de montrer que l’on peut factoriser Navec la connaissance de la moitié des bits de q iq.
Question 1
Exprimer l’identité de Bézout à l’aide de p, q, ip, iqet N?
Question 2
Montrer que (q iq)2−(q iq)≡0 mod N.
Question 3
On suppose connaître les tbits de poids fort de q iq. Quelle est la taille en bits de la valeur q iq? Exprimer q iq
en fonction de k,x0et t, où kest la partie haute (bits connus) et x0est la partie basse (bits inconnus) de q iq.
Question 4
Montrer que la partie inconnue x0est solution d’une équation à une variable modulo N, de degré 2.
Question 5
Utiliser le théorème de Coppersmith pour donner une borne supérieure sur les racines que la méthode permet
de trouver. Peut-on retrouver x0?
Question 6
Comment factoriser Naprès avoir retrouvé x0?
Page 3
1
/
3
100%
