第二十五个知识点：使用特殊的素数定义$GF(p)$和$GF(2^n)$的方法。

第二十五个知识点：使用特殊的素数定义\(GF(p)\)和\(GF(2^n)\)的方法。

在我们之前看到的博客中，当实现密码学方案时，一个最频繁调用的操作就是模运算。不幸的是，尽管模块化的使用非常广泛，但是它不能像其它算术运算（如加法和乘法）那样容易的执行。蒙哥马利表达提供了一种解决方案，这里我们讨论另一种解决方法——伪梅森素数规约。

定义：如果一个素数\(p\)被写成如下形式，那么就称\(p\)位伪梅森素数。其中\(b=2,c=1\)时就是梅森素数。

\[P = b^n-c,其中0<|c|<2^{n/2}
\]

实际上，\(b\)总是2，我们选择\(c\)通常是32位或者64位。

通过定义很容易推导出

\[p \equiv b^n-c \equiv 0 \mod p \\
b^n \equiv c \mod p
\]

因此给定一个\(k\)位的整数\(z\)，我们让\(z^{'}\)为最低\(n\)位有效位，\(z^{''}\)是高\(k-n\)位有效位,就有\(z = z^{''}2^n+z^{'}\)，然后我们能重写\(z \mod p\)为

\[z \equiv z^{''}b^n+z{'} \equiv z^{''}c+z{'} \mod p
\]

重复的计算上述式子，就可以得到\(z \mod p\)的值，这个值在\(Z_p\)中。(\(Z_p\)就是模\(p\)的完全剩余系。)

下面有些需要注意的点：

​ 1.\(z^{'}\)和\(z^{''}\)都能够通过简单的移位运算获得。

​ 2.因为\(c\)被选择是一个字的长度，那么乘法计算会变得容易。

​ 3.每次迭代会减少\(k\)的值。得到的值会是\(max(k-n+w,n)\)。

因此一般来说，计算伪梅森素数的约减将会仅仅需要移位，加法和乘法。

然而，使用这种方法的缺点也很明显，因为这种实现通常需要多方使用固定的设置，这可能会导致互操作性和安全性问题。更多的细节参考[1]和[2]。

\(GF(2^n)\)是另外一个经常被用到的域。

三项式和五项式是这个领域中最长用到的模。我们将会展示三项式如果简化约减。相同的技术亦可以直接用于五项式。

这个想法和素数域的那个非常类似。假设我们有三项式\(f(x) = x^n+x^t+1\)，其中 $ 0<t<n/2 $。

我们立刻就有

\[x^n \equiv x^t +1 \mod f(x)
\]

给定多项式\(z(x)\)的次数大于\(n\)。我们把\(z(n)\)写成

\[z(x) = z^{''}(x)x^n+z{'}(x)
\]

其中，\(z^{'}(x)\)是\(z(x)\)的最低\(n\)位，\(z^{''}(x)\)是剩下的位数。

然后我们就像在GF(p)中那样，我们计算模数通过：

\[z(x) \equiv z^{''}(x)x^n+z^{'}(x) \equiv z^{''}(x)(x^t+1)+z^{'}(x) \\
\equiv z^{''}(x)x^t+z^{''}(x)+z^{'}(x) \mod f(x)
\]

这个运算因为\(t\)是一个更小的数使得它变得简单了。

[2]中也描述了标准规约的另一个优化。考虑到标准的例程会规约\(z(x)\) 的次数\(m\)而不是\(f(x)\)的次数\(n\)：

\[z(x) = a_mx^m+a_{m-1}x^{m-1}+...+a_1x^1+a_0x^0 \\
f(x) = x^n+x^t+1
\]

当我们尝试规约\(a_ix^i\)，有下面两种情况：

• 如果\(a_i=0\)，那么就不用规约
• 如果\(a_i=1\)，1就可以进行对齐，提出一个这样的元素\(a_{i-n+t}\)和\(a_{i-n}\)。

因为添加\(0\)不会改变余数，这两种情况可以被一般化，因此我们能写下如下的标准规约程序：

Input:\(z(x)\)

Output:\(z(x)\)

1.for \(i=m\) to \(n\) by -1

2.{

3.\(a_{i-n+t}+=a_i\)

4.\(a_{i-n}+=a_i\)

5.}

使用这样算法的在软件上的优化不是明显的。但是在硬件上的优化是明显的，同时仅仅更新了\(z(x)\)，不需要额外的存储。

另外一个优点就是这样的形式仅仅需要$ 0<t<n $，它能被在常量时间内执行。

[1]Menezes, Alfred J., Paul C. Van Oorschot, and Scott A. Vanstone. Handbook of applied cryptography. CRC press, 1996.

[2]Blake, Ian F., Gadiel Seroussi, and Nigel Smart. Elliptic curves in cryptography. Vol. 265. Cambridge university press, 1999.