Machtsgenerator

Een machtsgenerator is een pseudotoevalsgenerator, een algoritme dat pseudotoevalsgetallen produceert. Dat zijn getallen die deterministisch worden voortgebracht en dus niet echt willekeurig zijn, maar veel eigenschappen van toevalsgetallen hebben.

Een machtsgenerator is een algoritme voor het berekenen van de rij ${\displaystyle (u_n)}$ via de recursieve relatie:

${\displaystyle u_n=u_{n-1}^e(\mathrm{mod}m)}$;

Daarin zijn ${\displaystyle u_0}$ (de startwaarde), ${\displaystyle m}$ en ${\displaystyle e}$ gehele getallen zodanig dat ggd${\displaystyle (u_0,m)=1}$.

Voor de gegenereerde getallen geldt: ${\displaystyle 0\le u_n\le m-1}$.

De machtsgenerator heeft veel toepassingen op het gebied van cryptografie. Daarnaast zijn pseudotoevalsgetallen ook van belang voor numerieke simulaties van Monte Carlo-methoden, numerieke analyse, het testen van computerchips voor gebreken en de programmering van speelautomaten. Verschillende toepassingen vereisen verschillende eigenschappen van de getallen.

Voor een machtsgenerator met ${\displaystyle m}$ een priemgetal en periode ${\displaystyle T}$ kan de lineaire complexititeit L afgeschat worden door:

${\displaystyle L\ge \frac{T^2}{m-1}}$.

Een bijzonder geval van een machtsgenerator is de RSA-generator. Als ${\displaystyle d}$ zodanig gekozen wordt dat ${\displaystyle \mathrm{ggd}(e,\phi (m))=1}$, met ${\displaystyle \phi (m)}$ de Eulerfunctie, wordt de generator RSA-generator genoemd. Het is aangetoond dat als de periode ${\displaystyle T}$ van de rij ${\displaystyle (u_n)}$ voldoet aan de ongelijkheid ${\displaystyle T\le m^{3/4+\epsilon }}$ voor een gegeven ${\displaystyle e>0}$, dan zijn de fracties ${\displaystyle (u_n/m{)}_{n=1}^T}$ uniform verdeeld op het interval [0,1].

Een ander speciall geval is de Blum-Blum-Shub-generator, Als ${\displaystyle e=2}$, wordt de generator Blum-Blum-Shub-generator genoemd, bedacht door Lenore Blum, Manuel Blum and Michael Shub in 1986. Deze generator is van de vorm ${\displaystyle u_n\equiv u_{n-1}^2(\mathrm{mod}m)}$, met ${\displaystyle m=pq}$ het product van twee grote priemgetallen ${\displaystyle p}$ en ${\displaystyle q}$. Bij elke stap van het algoritme wordt een uitkomst verkregen uit het berekende getal ${\displaystyle u_n}$. Die uitkomst is meestal de pariteitsbit van ${\displaystyle u_n}$ of een of meer van de minst significante bits van ${\displaystyle u_n}$.

De beginwaarde ${\displaystyle u_0}$ moet een geheel getal zijn ongelijk aan 1 en ${\displaystyle \mathrm{ggd}(u_0,m)=1}$. De priemgetallen ${\displaystyle p}$ en ${\displaystyle q}$ moeten beide modulo 4 congruent zijn met 3 (dit garandeert dat elk kwadratisch residu een wortel heeft die ook een kwadratisch residu is) en ${\displaystyle \mathrm{ggd}(\phi (p-1),\phi (q-1))}$ moet klein zijn (dit maakt de cycluslengte groot).

Een interessant kenmerk van de Blum-Blum-Shub-generator is de mogelijkheid om elke ${\displaystyle u_i}$ rechtstreeks te berekenen (via de stelling van Euler).

De Blum-Blum-Shub-generator is niet geschikt voor gebruik in simulaties, alleen voor cryptografie, omdat het algoritme erg traag is. Het heeft wel een ongewoon sterke beveiliging; de kwaliteit van de generator hangt af van de rekentechnische moeilijkheid van het ontbinden in priemfactoren.

Als factorisatie in priemfactoren moeilijk is (zoals wordt vermoed), zou de Blum-Blum-Shub-generator met grote ${\displaystyle m}$ een output moeten hebben vrij van niet-willekeurige patronen die kunnen worden ontdekt met niet te veel berekeningen. Zo lijkt het net zo veilig als andere encryptietechnologieën gebonden aan de factorisatieprobleem, zoals RSA-encryptie.

Neem aan dat de rij ${\displaystyle (u_n)}$ periodiek is met periode ${\displaystyle T}$. Dan geldt voor de lineaire complexiteit ${\displaystyle L}$ van de Blum-Blum-Shub-generator de afschatting:

${\displaystyle L\ge T\phi (m{)}^{-1/2}}$.

Met behulp van van de Chinese reststelling kan men zien dat de lineaire complexiteit modulo een samengesteld getal ${\displaystyle m}$ gelijk is aan de grootste lineaire complexiteit modulo alle priem machtsdelers van ${\displaystyle m}$. Dit geldt inderdaad als ${\displaystyle m=m_1{m}_2}$, met ${\displaystyle m_1,m_2\ge 2}$ relatief priem en als een zekere oneindige rij ${\displaystyle (s_n)}$ voor ${\displaystyle n=1,2,\dots }$ voldoet aan de congruenties:

${\displaystyle S_{n+L_1}\equiv a_{L_1-1}{s}_{n+L_1-1}+\dots +a_0{S}_n(\mathrm{mod}{m}_1)}$

en

${\displaystyle S_{n+L_2}\equiv b_{L_2-1}{s}_{n+L_2-1}+...+b_0{S}_n{(\mathrm{mod}m)}_2}$

We zetten ${\displaystyle b_k=a_k=0}$ voor ${\displaystyle k<0}$ en definiëren vervolgens integers

${\displaystyle 0\le c_0,\dots ,c_{L-1}\le m-1,}$ met ${\displaystyle L=\mathrm{m}\mathrm{a}\mathrm{x}\{L_1,L_2\}}$

vanuit de congruenties:

${\displaystyle c_{L-j}\equiv a_{L1-j}(\mathrm{mod}{m}_1)}$ en ${\displaystyle c_{L-j}\equiv b_{L2-j}(\mathrm{mod}{m}_2)}$.

Dan geldt dat ${\displaystyle S_{n+L}\equiv c_{L-1}{s}_{n+L-1}+\dots +c_0{S}_n(\mathrm{mod}m),n=1,2,\dots }$

Daarom geldt dat voor een Blum-integer ${\displaystyle m=pq}$ met ${\displaystyle p\equiv q\equiv m^{1/2}}$ dat de lineaire complexiteit ${\displaystyle L}$ de volgende formule niet overschrijdt:

${\displaystyle L=\mathrm{m}\mathrm{a}\mathrm{x}\{L_p,L_q\}\le \mathrm{m}\mathrm{a}\mathrm{x}\{T_p,T_q\}\le \mathrm{m}\mathrm{a}\mathrm{x}\{p,q\}=(1+o(1))m^{1/2},}$

met ${\displaystyle L_p}$ en ${\displaystyle T_p}$ de lineaire complexiteit en de periode modulo ${\displaystyle p}$ en ${\displaystyle L_q}$ en ${\displaystyle T_q}$ de lineaire complexiteit en de periode modulo ${\displaystyle q}$.

In het meest interessante geval voor toepassing, namelijk als de periode ${\displaystyle T}$ van orde ${\displaystyle m}$ is, geven bovenstaande formules dat ${\displaystyle L}$ van grootst mogelijke orde ${\displaystyle \sqrt{m}}$ is.

Cusick, T.W., C. Ding, and A. Renvall, Stream ciphers and number theory, Elsevier (2004)

Shparlinski, I., On the linear complexity of the power generator, School of MPCE (2001)