开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 加密解密 > CA认证 > 查看源码
germain.c
资源名称:certlib.tar.gz [点击查看]
上传用户:zbbssh
上传日期:2007-01-08
资源大小:196k
文件大小:15k
源码类别:

CA认证

开发平台:

C/C++

germain.c:源码内容
  1. /*
  2.  * Sophie Germain prime generation using the bignum library and sieving.
  3.  *
  4.  * Copyright (c) 1995  Colin Plumb.  All rights reserved.
  5.  * For licensing and other legal details, see the file legal.c.
  6.  */
  7. #if HAVE_CONFIG_H
  8. #include "config.h"
  9. #endif
  11. #if !NO_ASSERT_H
  12. #include <assert.h>
  13. #else
  14. #define assert(x) (void)0
  15. #endif
  17. #if BNDEBUG
  18. #include <stdio.h>
  19. #endif
  21. #include "bn.h"
  22. #include "germain.h"
  23. #include "jacobi.h"
  24. #include "lbnmem.h" /* For lbnMemWipe */
  25. #include "sieve.h"
  27. #include "kludge.h"
  29. /* Size of the sieve area (can be up to 65536/8 = 8192) */
  30. #define SIEVE 8192
  32. /*
  33.  * Helper function that does the slow primality test.
  34.  * bn is the input bignum; a and e are temporary buffers that are
  35.  * allocated by the caller to save overhead.  bn2 is filled with
  36.  * a copy of 2*bn+1 if bn is found to be prime.
  37.  *
  38.  * Returns 0 if both bn abd bn2 are prime, >0 if not prime, and -1 on
  39.  * error (out of memory).  If not prime, the return value is the number
  40.  * of modular exponentiations performed.   Prints a '+' or '-' on the
  41.  * given FILE (if any) for each test that is passed by bn, and a '*'
  42.  * for each test that is passed by bn2.
  43.  *
  44.  * The testing consists of strong pseudoprimality tests, to the bases 2,
  45.  * 3, 5, 7, 11, 13 and 17.  (Also called Miller-Rabin, although that's not
  46.  * technically correct if we're using fixed bases.)  Some people worry
  47.  * that this might not be enough.  Number theorists may wish to generate
  48.  * primality proofs, but for random inputs, this returns non-primes with a
  49.  * probability which is quite negligible, which is good enough.
  50.  *
  51.  * It has been proved (see Carl Pomerance, "On the Distribution of
  52.  * Pseudoprimes", Math. Comp. v.37 (1981) pp. 587-593) that the number
  53.  * of pseudoprimes (composite numbers that pass a Fermat test to the
  54.  * base 2) less than x is bounded by:
  55.  * exp(ln(x)^(5/14)) <= P_2(x) ### CHECK THIS FORMULA - it looks wrong! ###
  56.  * P_2(x) <= x * exp(-1/2 * ln(x) * ln(ln(ln(x))) / ln(ln(x))).
  57.  * Thus, the local density of Pseudoprimes near x is at most
  58.  * exp(-1/2 * ln(x) * ln(ln(ln(x))) / ln(ln(x))), and at least
  59.  * exp(ln(x)^(5/14) - ln(x)).  Here are some values of this function
  60.  * for various k-bit numbers x = 2^k:
  61.  * Bits Density <= Bit equivalent Density >= Bit equivalent
  62.  *  128 3.577869e-07  21.414396 4.202213e-37  120.840190
  63.  *  192 4.175629e-10  31.157288 4.936250e-56  183.724558
  64.  *  256 5.804314e-13  40.647940 4.977813e-75  246.829095
  65.  *  384 1.578039e-18  59.136573 3.938861e-113  373.400096
  66.  *  512 5.858255e-24  77.175803 2.563353e-151  500.253110
  67.  *  768 1.489276e-34 112.370944 7.872825e-228  754.422724
  68.  * 1024 6.633188e-45 146.757062 1.882404e-304 1008.953565
  69.  *
  70.  * As you can see, there's quite a bit of slop between these estimates.
  71.  * In fact, the density of pseudoprimes is conjectured to be closer
  72.  * to the square of that upper bound.  E.g. the density of pseudoprimes
  73.  * of size 256 is around 3 * 10^-27.  The density of primes is very
  74.  * high, from 0.005636 at 256 bits to 0.001409 at 1024 bits, i.e.
  75.  * more than 10^-3.
  76.  *
  77.  * For those people used to cryptographic levels of security where the
  78.  * 56 bits of DES key space is too small because it's exhaustible with
  79.  * custom hardware searching engines, note that you are not generating
  80.  * 50,000,000 primes per second on each of 56,000 custom hardware chips
  81.  * for several hours.  The chances that another Dinosaur Killer asteroid
  82.  * will land today is about 10^-11 or 2^-36, so it would be better to
  83.  * spend your time worrying about *that*.  Well, okay, there should be
  84.  * some derating for the chance that astronomers haven't seen it yet, but
  85.  * I think you get the idea.  For a good feel about the probability of
  86.  * various events, I have heard that a good book is by E'mile Borel,
  87.  * "Les Probabilite's et la vie".  (The 's are accents, not apostrophes.)
  88.  *
  89.  * For more on the subject, try "Finding Four Million Large Random Primes",
  90.  * by Ronald Rivest, in Advancess in Cryptology: Proceedings of Crypto '90.
  91.  * He used a small-divisor test, then a Fermat test to the base 2, and then
  92.  * 8 iterations of a Miller-Rabin test.  About 718 million random 256-bit
  93.  * integers were generated, 43,741,404 passed the small divisor test,
  94.  * 4,058,000 passed the Fermat test, and all 4,058,000 passed all 8
  95.  * iterations of the Miller-Rabin test, proving their primality beyond most
  96.  * reasonable doubts.
  97.  *
  98.  * If the probability of getting a pseudoprime is some small p, then
  99.  * the probability of not getting it in t trials is (1-p)^t.  Remember
  100.  * that, for small p, (1-p)^(1/p) ~ 1/e, the base of natural logarithms.
  101.  * (This is more commonly expressed as e = lim_{xtoinfty} (1+1/x)^x.)
  102.  * Thus, (1-p)^t ~ e^(-p*t) = exp(-p*t).  So the odds of being able to
  103.  * do this many tests without seeing a pseudoprime if you assume that
  104.  * p = 10^-6 (one in a million) is one in 57.86.  If you assume that
  105.  * p = 2*10^-6, it's one in 3347.6.  So it's implausible that the
  106.  * density of pseudoprimes is much more than one millionth the density
  107.  * of primes.
  108.  *
  109.  * He also gives a theoretical argument that the chance of finding a
  110.  * 256-bit non-prime which satisfies one Fermat test to the base 2 is less
  111.  * than 10^-22.  The small divisor test improves this number, and if the
  112.  * numbers are 512 bits (as needed for a 1024-bit key) the odds of failure
  113.  * shrink to about 10^-44.  Thus, he concludes, for practical purposes
  114.  * *one* Fermat test to the base 2 is sufficient.
  115.  */
  116. static int
  117. germainPrimeTest(struct BigNum const *bn, struct BigNum *bn2, struct BigNum *e,
  118. struct BigNum *a, int (*f)(void *arg, int c), void *arg)
  119. {
  120. int err;
  121. unsigned i;
  122. int j;
  123. unsigned k, l;
  124. static unsigned const primes[] = {2, 3, 5, 7, 11, 13, 17};
  126. #if BNDEBUG /* Debugging */
  127. /*
  128.  * This is debugging code to test the sieving stage.
  129.  * If the sieving is wrong, it will let past numbers with
  130.  * small divisors.  The prime test here will still work, and
  131.  * weed them out, but you'll be doing a lot more slow tests,
  132.  * and presumably excluding from consideration some other numbers
  133.  * which might be prime.  This check just verifies that none
  134.  * of the candidates have any small divisors.  If this
  135.  * code is enabled and never triggers, you can feel quite
  136.  * confident that the sieving is doing its job.
  137.  */
  138. i = bnModQ(bn, 15015); /* 15015 = 3 * 5 * 7 * 11 * 13 */
  139. if (!(i % 3)) printf("bn div by 3!");
  140. if ((i % 3) == 1) printf("bn2 div by 3!");
  141. if (!(i % 5)) printf("bn div by 5!");
  142. if ((i % 5) == 2) printf("bn2 div by 5!");
  143. if (!(i % 7)) printf("bn div by 7!");
  144. if ((i % 7) == 3) printf("bn2 div by 7!");
  145. if (!(i % 11)) printf("bn div by 11!");
  146. if ((i % 11) == 5) printf("bn2 div by 11!");
  147. if (!(i % 13)) printf("bn div by 13!");
  148. if ((i % 13) == 6) printf("bn2 div by 13!");
  149. i = bnModQ(bn, 7429); /* 7429 = 17 * 19 * 23 */
  150. if (!(i % 17)) printf("bn div by 17!");
  151. if ((i % 17) == 8) printf("bn2 div by 17!");
  152. if (!(i % 19)) printf("bn div by 19!");
  153. if ((i % 19) == 9) printf("bn2 div by 19!");
  154. if (!(i % 23)) printf("bn div by 23!");
  155. if ((i % 23) == 11) printf("bn2 div by 23!");
  156. i = bnModQ(bn, 33263); /* 33263 = 29 * 31 * 37 */
  157. if (!(i % 29)) printf("bn div by 29!");
  158. if ((i % 29) == 14) printf("bn2 div by 29!");
  159. if (!(i % 31)) printf("bn div by 31!");
  160. if ((i % 31) == 15) printf("bn2 div by 31!");
  161. if (!(i % 37)) printf("bn div by 37!");
  162. if ((i % 37) == 18) printf("bn2 div by 37!");
  163. #endif
  164. /*
  165.  * First, check whether bn is prime.  This uses a fast primality
  166.  * test which usually obviates the need to do one of the
  167.  * confirmation tests later.  See prime.c for a full explanation.
  168.  * We check bn first because it's one bit smaller, saving one
  169.  * modular squaring, and because we might be able to save another
  170.  * when testing it.  (1/4 of the time.)  A small speed hack,
  171.  * but finding big Sophie Germain primes is *slow*.
  172.  */
  173. if (bnCopy(e, bn) < 0)
  174. return -1;
  175. (void)bnSubQ(e, 1);
  176. l = bnLSWord(e);
  178. j = 1; /* Where to start in prime array for strong prime tests */
  180. if (l & 7) {
  181. bnRShift(e, 1);
  182. if (bnTwoExpMod(a, e, bn) < 0)
  183. return -1;
  184. if ((l & 7) == 6) {
  185. /* bn == 7 mod 8, expect +1 */
  186. if (bnBits(a) != 1)
  187. return 1; /* Not prime */
  188. k = 1;
  189. } else {
  190. /* bn == 3 or 5 mod 8, expect -1 == bn-1 */
  191. if (bnAddQ(a, 1) < 0)
  192. return -1;
  193. if (bnCmp(a, bn) != 0)
  194. return 1; /* Not prime */
  195. k = 1;
  196. if (l & 4) {
  197. /* bn == 5 mod 8, make odd for strong tests */
  198. bnRShift(e, 1);
  199. k = 2;
  200. }
  201. }
  202. } else {
  203. /* bn == 1 mod 8, expect 2^((bn-1)/4) == +/-1 mod bn */
  204. bnRShift(e, 2);
  205. if (bnTwoExpMod(a, e, bn) < 0)
  206. return -1;
  207. if (bnBits(a) == 1) {
  208. j = 0; /* Re-do strong prime test to base 2 */
  209. } else {
  210. if (bnAddQ(a, 1) < 0)
  211. return -1;
  212. if (bnCmp(a, bn) != 0)
  213. return 1; /* Not prime */
  214. }
  215. k = 2 + bnMakeOdd(e);
  216. }
  218. /*
  219.  * It's prime!  Print a success indicator and check bn2.
  220.  * The success indicator we print is the sign of Jacobi(2,bn2),
  221.  * which is available to us in l.  bn2 = 2*bn + 1.  Since bn is
  222.  * odd, bn2 must be == 3 mod 4, so the options modulo 8 are 3 and 7.
  223.  * 3 if bn == 1 mod 4, 7 if bn == 3 mod 4.  The signs of the
  224.  * Jacobi symbol are - and + in thse two cases.  Set l to be
  225.  * a flag, 1 if the symbol is positive.
  226.  */
  227. l = (l >> 1) & 1;
  228. if (f && (err = f(arg, "-+"[l])) < 0)
  229. return err;
  231. /*
  232.  * Now check bn2.  Since bn2 == 3 mod 4, a strong pseudoprimality
  233.  * test boils down to looking at a^((bn2-1)/2) mod bn and seeing
  234.  * if it's +/-1.  Of course, that exponent is just bn...
  235.  */
  236. if (bnCopy(bn2, bn) < 0 || bnAdd(bn2, bn) < 0)
  237. return -1;
  238. (void)bnAddQ(bn2, 1); /* Can't overflow */
  239. if (bnTwoExpMod(a, bn, bn2) < 0)
  240. return -1;
  241. if (l) { /* Expect + */
  242. if (bnBits(a) != 1)
  243. return 2; /* Not prime */
  244. } else {
  245. if (bnAddQ(a, 1) < 0)
  246. return -1;
  247. if (bnCmp(a, bn2) != 0)
  248. return 2; /* Not prime */
  249. }
  251. /*
  252.  * Success!  We have found a key!  Now go on to confirmation
  253.  * tests...  k is the amount by which e has already been shifted
  254.  * down.  j = 1 unless the test to the base 2 could stand to
  255.  * be re-done, in which case it's 0.
  256.  */
  257. k += bnMakeOdd(e);
  258. for (i = j; i < sizeof(primes)/sizeof(*primes); i++) {
  259. if (f && (err = f(arg, '*')) < 0)
  260. return err;
  262. /* Check that bn is a strong pseudoprime */
  263. (void)bnSetQ(a, primes[i]);
  264. if (bnExpMod(a, a, e, bn) < 0)
  265. return -1;
  267. if (bnBits(a) != 1) {
  268. l = k;
  269. for (;;) {
  270. if (bnAddQ(a, 1) < 0)
  271. return -1;
  272. if (bnCmp(a, bn) == 0) /* Was result bn-1? */
  273. break; /* Prime */
  274. if (!--l)
  275. return 2*i+1; /* Failed, not prime */
  276. /* This part is executed once, on average. */
  277. (void)bnSubQ(a, 1); /* Restore a */
  278. if (bnSquare(a, a) < 0 || bnMod(a, a, bn) < 0)
  279. return -1;
  280. if (bnBits(a) == 1)
  281. return 2*i+1; /* Failed, not prime */
  282. }
  283. }
  285. /* Okay, that was prime - print success indicator */
  286. j = bnJacobiQ(primes[i], bn2);
  287. if (f && (err = f(arg, j < 0 ? '-' : '+')) < 0)
  288. return err;
  289. /* If we're re-doing the base 2, we're done. */
  290. if (!i)
  291. continue; /* Already done next part */
  293. /* Check that p^bn == Jacobi(p,bn2) (mod bn2) */
  294. (void)bnSetQ(a, primes[i]);
  295. if (bnExpMod(a, a, bn, bn2) < 0)
  296. return -1;
  297. /*
  298.  * FIXME:  Actually, we don't need to compute the Jacobi
  299.  * sumbol externally... it never happens that a = +/-1
  300.  * but it's the wrong one.  So we can just look at a and
  301.  * use its sign.  Find a proof somewhere.
  302.  */
  303. if (j < 0) {
  304. /* Not a quadratic residue, should have a =  bn2-1 */
  305. if (bnAddQ(a, 1) < 0)
  306. return -1;
  307. if (bnCmp(a, bn2) != 0) /* Was result bn2-1? */
  308. return 2*i+2; /* Mismatch -> failed */
  309. } else {
  310. /* Quadratic residue, should have a = 1 */
  311. if (bnBits(a) != 1)
  312. return 2*i+2; /* Mismatch -> failed */
  313. }
  314. /* It worked (to the base primes[i]) */
  315. }
  317. /* Print final success indicator */
  318. if (f && (err = f(arg, '*')) < 0)
  319. return err;
  320. return 0; /* Prime! */
  321. }
  323. /*
  324.  * Modifies the bignum to return the next Sohpie Germain prime >= the
  325.  * input value.  Sohpie Germain primes are number such that p is
  326.  * prime and (p-1)/2 is also prime.
  327.  *
  328.  * Returns >=0 on success or -1 on failure (out of memory).  On success,
  329.  * the return value is the number of modular exponentiations performed
  330.  * (excluding the final confirmations).  This never gives up searching.
  331.  *
  332.  * The FILE *f argument, if non-NULL, has progress indicators written
  333.  * to it.  A dot (.) is written every time a primeality test is failed,
  334.  * a plus (+) or minus (-) when the smaller prime of the pair passes a
  335.  * test, and a star (*) when the larger one does.  Finally, a slash (/)
  336.  * is printed when the sieve was emptied without finding a prime and is
  337.  * being refilled.
  338.  *
  339.  * Apologies to structured programmers for all the GOTOs.
  340.  */
  341. int
  342. germainPrimeGen(struct BigNum *bn2, int (*f)(void *arg, int c), void *arg)
  343. {
  344. int retval;
  345. unsigned p, prev;
  346. struct BigNum a, e, bn;
  347. int modexps = 0;
  348. #ifdef MSDOS
  349. unsigned char *sieve;
  350. #else
  351. unsigned char sieve[SIEVE];
  352. #endif
  354. #ifdef MSDOS
  355. sieve = lbnMemAlloc(SIEVE);
  356. if (!sieve)
  357. return -1;
  358. #endif
  360. bnBegin(&a);
  361. bnBegin(&e);
  362. bnBegin(&bn);
  364. /*
  365.  * Obviously, the prime we find must be odd.  Further, (p-1)/2
  366.  * must be odd, so p == 3 (mod 3).  Finally, p != 0 (mod 3),
  367.  * and (p-1)/2 != 0 (mod 3), meaning that p != 1 (mod 3).  Thus,
  368.  * p == 11 (mod 12).  Increase bn2 to have this property, and
  369.  * search is steps of 12.  (Actually, we work with the smaller
  370.  * bn, and increase it to 5 mod 6, then search in steps of 6.)
  371.  */
  372. if (bnCopy(&bn, bn2) < 0)
  373. goto failed;
  374. bnRShift(&bn, 1);
  375. p = bnModQ(&bn, 6);
  376. if (bnAddQ(&bn, 5-p) < 0)
  377. goto failed;
  379. for (;;) {
  380. if (sieveBuild(sieve, SIEVE, &bn, 6, 1) < 0)
  381. goto failed;
  383. p = prev = 0;
  384. if (sieve[0] & 1 || (p = sieveSearch(sieve, SIEVE, p)) != 0) {
  385. do {
  386. /*
  387.  * Adjust bn to have the right value,
  388.  * incrementing in steps of < 65536.
  389.  * 10922 = 65536/6.
  390.  */
  391. assert(p >= prev);
  392. prev = p-prev; /* Delta - add 6*prev to bn */
  393. #if SIEVE*8*6 >= 65536
  394. while (prev > 10922) {
  395. if (bnAddQ(&bn, 6*10922) < 0)
  396. goto failed;
  397. prev -= 10922;
  398. }
  399. #endif
  400. if (bnAddQ(&bn, 6*prev) < 0)
  401. goto failed;
  402. prev = p;
  404. /* Okay, do the strong tests. */
  405. retval = germainPrimeTest(&bn, bn2, &e, &a,
  406.                           f, arg);
  407. if (retval <= 0)
  408. goto done;
  409. modexps += retval;
  410. if (f && (retval = f(arg, '.')) < 0)
  411. goto done;
  413. /* And try again */
  414. p = sieveSearch(sieve, SIEVE, p);
  415. } while (p);
  416. }
  418. /* Ran out of sieve space - increase bn and keep trying. */
  419. #if SIEVE*8*6 >= 65536
  420. p = ((SIEVE-1)*8+7) - prev; /* Number of steps (of 6) */
  421. while (p >= 10922) {
  422. if (bnAddQ(&bn, 6*10922) < 0)
  423. goto failed;
  424. p -= 10922;
  425. }
  426. if (bnAddQ(&bn, 6*(p+1)) < 0)
  427. goto failed;
  428. #else
  429. if (bnAddQ(&bn, SIEVE*8*6 - prev) < 0)
  430. goto failed;
  431. #endif
  432. /*
  433.  * Make sure bn2 is up to date for checkpoint/restart
  434.  * operation triggered by calling f with '/'.
  435.  */
  436. if (bnCopy(bn2, &bn) < 0 || bnAdd(bn2, &bn) < 0)
  437. goto failed;
  438. (void)bnAddQ(bn2, 1); /* Can't overflow */
  439. if (f && (retval = f(arg, '/')) < 0)
  440. goto done;
  441. } /* for (;;) */
  443. failed:
  444. retval = -1;
  445. done:
  446. bnEnd(&bn);
  447. bnEnd(&e);
  448. bnEnd(&a);
  449. #ifdef MSDOS
  450. lbnMemFree(sieve, SIEVE);
  451. #else
  452. lbnMemWipe(sieve, sizeof(sieve));
  453. #endif
  454. return retval < 0 ? retval : modexps;
  455. }