GRUP RSA MERUPAKAN GRUP PSEUDO-FREE DI BAWAH ASUMSI RSA KUAT

Transkripsi

1 GRUP RSA MERUPAKAN GRUP PSEUDO-FREE DI BAWAH ASUMSI RSA KUAT Khussal Zamlahani, Dr. Agung Lukito, M. S., Jurusan Matematika, Fakultas Matematika dan Ilmu Pengetahuan Alam, Universitas Negeri Surabaya Jl. Ketintang Surabaya zamlahani@yahoo.com, zamlahani@gmail.com ABSTRAK Di bawah asumsi RSA kuat, dibuktikan bahwa grup perkalian modulo hasil kali dua prima selamat merupakan grup pseudo-free. Dengan kata lain, jika permasalahan RSA kuat sulit secara asimtotik berkenaan dengan distribusi ensembel N atas hasil kali dua bilangan prima selamat berbeda, maka keluarga grup komputasional Z (N = PQ, dengan P dan Q bilangan prima selamat berbeda, dengan operasi perkalian modulo dan prosedur sampling seragam atas QR ) merupakan grup pseudo-free berkenaan dengan ensembel distribusi yang sama. Keywords: asumsi RSA kuat, grup RSA, residu kuadratik, pseudo-free, prima selamat. PENDAHULUAN Kriptosistem RSA merupakan enkripsi kunci-publik (asimetris), yaitu menggunakan kunci yang berbeda dalam enkripsi dan dekripsi. Untuk mengenkripsi suatu pesan digunakan persamaan c = m mod n dengan m adalah representasi bilangan bulat (dalam Z ) pesan/plaintext (teks, gambar, suara, dsb.), n = adalah hasil kali dua bilangan prima (acak, berbeda, cukup besar, berukuran bit sama), e adalah kunci publik (bersama dengan n) yang merupakan bilangan bulat dengan 1 < e < φ(n) (dengan φ(n) = (p 1)(q 1) menyatakan banyak bilangan bulat positif kurang dari n yang relatif prima dengan n), yang relatif prima dengan φ(n). Sedangkan untuk mengenkripsi digunakan persamaan m = c mod n dengan c adalah ciphertext, dan d adalah kunci privat yang merupakan invers perkalian e modulo φ(n). Telah diasumsikan oleh Rivest [6] bahwa tidak mungkin (mudah dengan peluang yang tak terabaikan) dengan menggunakan algoritma efisien apapun untuk mencari solusi x Z dan e > 1 dari persamaan x a(mod n) dengan input a Z yang dipilih secara acak dan n adalah hasil kali dua bilangan prima besar yang dipilih secara acak. Singkatnya, sangat sulit bagi seseorang yang mengetahui ciphertext dan salah satu kunci publik n untuk mencari tahu plaintext dengan menggunakan suatu algoritma yang efisien dan kunci publik e yang ia pilih sendiri. Asumsi tersebut disebut dengan Asumsi RSA Kuat. Grup pseudo-free memiliki syarat yang diperlukan agar permasalahan tersebut menjadi sulit. Secara informal, sebuah grup hingga G dikatakan pseudo-free jika tidak ada algoritma probabilistik berwaktu polinomial yang bisa secara efisien menghasilkan sebuah persamaan nontrivial E berikut solusinya di G dimana E tidak memiliki solusi di grup bebas. Tulisan ini merupakan studi literatur dari sebuah paper yang berjudul The RSA group is pseudo-free karangan Daniele Micciancio. Dalam tulisan ini dibuktikan bahwa di bawah asumsi RSA kuat dengan ensembel distribusi N atas hasil kali prima selamat, keluarga grup komputasional Z (dengan operasi perkalian modulo, dan prosedur sampling seragam atas QR ) merupakan grup pseudo-free berkenaan dengan ensembel distribusi yang sama. Sistematika penulisan dimulai dengan pendahuluan pada bagian 1. Dasar teori pada bagian 2 yang mendasari pembahasan. Kemudian bagian 3 merupakan pembahasan/pembuktian dari teorema inti dan beberapa lemma yang mendukungnya. Bagian 4 berisi kesimpulan dari bagian 3. DASAR TEORI Grup Bebas & Persamaan Grup Definisi 1 Misalkan A = {a, a,, a }. Untuk setiap a, misalkan a invers a. Misalkan A = {a a A}, dan misalkan A ± = (A A ). Misalkan F(A) himpunan kata dalam bentuk kanonik atas A ±, bersama dengan operasi yaitu konkatenasi yang diikuti dengan reduksi hingga menghasilkan kata dalam bentuk kanonik, dapat dibuktikan bahwa F(A) membentuk sebuah grup. Grup ini disebut grup bebas dan A disebut pembangun F(A). Untuk selanjutnya diperbolehkan menulis F(a, a,, a ) jika A = {a, a,, a }.

2 Definisi 2 Misalkan X dan A berturut-turut himpunan hingga variabel dan konstanta yang saling lepas. Didefinisikan X = {x : x X} dan A = {a : a A}. Persamaan grup atas variabelvariabel X dan konstanta-konstanta A adalah pasangan E = (w, w ), biasa ditulis E: w = w, dengan w F(X) dan w F(A). Sebuah solusi persamaan E: w = w (atas grup bebas F(A)) merupakan sebuah fungsi σ: X F(A), sedemikianhingga σ(w ) = w (dalam F(A)), dengan σ homomorfis yaitu σ(x x x ) = σ(x )σ(x ) σ(x ), σ dapat diperluas ke dalam kata-kata atas F(X) dan σ(x ) = σ(x ) untuk setiap x X. Persamaan E: w = w dikatakan terpenuhi (atas grup bebas) jika dan hanya jika E memiliki solusi. Jika tidak, maka E dikatakan takterpenuhi. Definisi 3 Misalkan G grup (komputasional). Persamaan grup atas G (dinotasikan E ) didefinisikan sebagai sebuah persamaan E atas variabel X dan konstanta A, dan sebuah fungsi α: A G dengan α(a a a ) = α(a )α(a ) α(a ), dan α(a ) = α(a ) untuk setiap a A. Solusi persamaan E : w = w merupakan fungsi ξ: X G sedemikian hingga ξ(w ) = α(w ), dengan ξ homomorfis yaitu ξ(x x x ) = ξ(x )ξ(x ) ξ(x ), ξ dapat diperluas ke dalam kata-kata atas F(X) dan ξ(x ) = ξ(x ) untuk setiap x X. Residu Kuadratik Modulo N Definisi 4 Sebuah elemen g Z dikatakan residu kuadratik jika dan hanya jika g = h mod N untuk suatu h Z. Himpunan residu kuadratik modulo N dinotasikan QR, dan merupakan subgrup Z. Elemen Z yang bukan residu kuadratik disebut juga sebagai nonresidu kuadratik. Definisi 5 Grup Z disebut grup RSA jika dan hanya jika N = P Q dengan P dan Q merupakan bilangan prima berbeda. Definisi 6 Bilangan prima P disebut prima selamat jika dan hanya jika juga merupakan bilangan prima. Ensembel, Fungsi Terabaikan Definisi 7 Misalkan I himpunan indeks terbilang. Sebuah ensembel berindeks I adalah barisan variabel acak berindeks I. Katakanlah, sebarang X = {X }, dengan tiap X adalah variabel acak, merupakan ensembel berindeks I. Definisi 8 Sebuah fungsi f: N R dikatakan terabaikan jika dan hanya jika menurun lebih cepat daripada sebarang polinomial invers. Dengan kata lain, untuk sebarang bilangan bulat c > 0 ada k sedemikian hingga f(k) untuk setiap k > k. Asumsi RSA Kuat Definisi 9 Algoritma berwaktu polinomial adalah algoritma yang fungsi waktu jalan kasus-terburuknya dalam bentuk O(k ) dengan k adalah ukuran input dan c adalah suatu konstanta. Sebarang algoritma yang waktu jalannya tidak bisa dibatasi disebut algoritma berwaktu eksponensial. Definisi 10 Sebuah permasalahan komputasional (dengan parameter k) dikatakan sulit secara asimtotik jika dan hanya jika untuk setiap algoritma probabilistik berwaktu polinomial (dalam k), peluang algoritma tersebut menyelesaikan permasalahan tersebut merupakan fungsi yang terabaikan (dalam k). Asumsi 1 Tidak mungkin bagi suatu algoritma probabilistik berwaktu polinomial, diberikan bilangan bulat n yang merupakan hasil kali dua bilangan prima yang cukup besar yang dipilih secara acak, dan sebuah elemen a dipilih secara acak dari Z, untuk memperhitungkan x Z dan bilangan bulat e > 1 sedemikian hingga x a(mod n) dengan peluang yang tak terabaikan. Grup Komputasional Definisi 11 Misalkan G = {G } N keluarga grup hingga yang diberi indeks N N {0, 1}. Keluarga grup komputasional (terkait dengan G) didefinisikan sebagai sebuah koleksi fungsi representasi [ ] : G {0, 1} sedemikian hingga operasioperasi berikut dapat dilakukan dalam waktu polinomial (probabilistik, berukuran lg N): 1) Menguji keanggotaan dalam grup: diberikan N N dan x {0, 1}, tunjukkan bahwa x = [y] merupakan representasi dari sebuah elemen grup y G. 2) Menghitung operasi grup: diberikan N N, [x] dan [y] (untuk sebarang x, y G ) hitung [x y].

3 3) Mencari invers elemen grup: diberikan N N dan [x] (untuk suatu x G ), cari [x ]. 4) Menghitung representasi elemen indentitas grup: diberikan N N, [e], dengan e elemen identitas grup G. 5) Sampling: dengan input N N, menghasilkan output representasi [x] dari sebuah elemen grup x G yang dipilih secara acak. Grup Pseudo-free Definisi 12 Keluarga grup komputasional G = {G } N dikatakan pseudo-free jika dan hanya jika untuk sebarang himpunan A berkardinalitas polinomial A = p(k) (dengan k adalah ukuran bit N) dan algoritma probabilistik berwaktu polinomial (dalam k) A, memenuhi syarat berikut ini: Misalkan N N indeks grup yang dipilih secara acak dan α: A G sebuah fungsi yang mendefinisikan A elemen grup yang dipilih secara acak berdasarkan prosedur sampling pada grup komputasional. peluang A(N, α) = (E, ξ) menghasilkan output sebuah persamaan E (atas variabel X dan konstanta A) yang tak terpenuhi bersama dengan solusi ξ: X G milik E atas G, merupakan fungsi yang terabaikan dalam k. PEMBAHASAN Bagian ini berisi 5 lemma pendukung dan satu teorema utama disertai buktinya. Lemma 1 Jika N = PQ hasil kali dua bilangan prima selamat berbeda dan γ QR residu kuadratik, maka γ merupakan pembangun QR jika dan hanya jika gcd(γ 1, N) = 1. Misalkan P = 2p + 1 dan Q = 2q + 1, dengan p dan q adalah bilangan prima berbeda. Dengan menggunakan Chinese Remainder Theorem, QR isomorfis dengan QR QR dengan isomorfisme f(γ) = γ, γ = (γ mod P, γ mod Q). Karena QR = = p dan QR = = q, kita peroleh QR =. Misalkan o(γ ) dan o(γ ) berturut-turut orde γ di QR dan orde γ di QR. Pastilah oγ {1, p} dan oγ {1, q} dan o(γ) = oγ oγ {1, p, q, }. Perhatikan bahwa γ adalah pembangun QR jika dan hanya jika o(γ) = QR = atau secara ekuivalen oγ = p dan oγ = q. Misalkan g = gcd(γ 1, N). Karena g N, maka g {1, P, Q, PQ}. Akan dibuktikan bahwa o(γ) = jika dan hanya jika g = 1. ( )Pertama-tama andaikan g 1; dengan kata lain, g {P, Q, PQ}. Maka P g atau Q g. Tanpa mengurangi keterumuman, diperoleh P (γ 1) sehingga γ 1(mod P), karenanya γ = 1. Sehingga o(γ ) = 1 dan o(γ). ( )Kemudian andaikan o(γ) ; dengan kata lain, oγ = 1 oγ = 1. Asumsikan tanpa mengurangi keterumuman bahwa oγ = 1. Maka γ γ 1(mod P). Sehingga P (γ 1) dan karena P N, maka P g. Jadi g 1. Lemma 2 Untuk sebarang grup siklik G dengan pembangun γ, jika v Z dipilih secara acak seragam, maka jarak statistik antara γ dan distribusi seragam atas G paling besar. Perhatikan bahwa untuk sebarang γ G dengan i Z berlaku γ = γ jika dan hanya jika v i(mod G ). Misalkan V = {v Z : v i(mod G )} dan misalkan V = n. Diketahui Z = {0,1,, v,, v,, v,, B 1} dengan v V untuk setiap 1 j n dan v < v j < h dan pastilah v = i. Karena v, v + 1,, v 1 = G untuk setiap 1 j < n, maka {v, v + 1,, v 1} = (n 1) G. Misalkan {v, v + 1,, B 1} = t, maka B = i + (n 1) G + t B i = (n 1) G + t. Jelaslah t G sehingga Sehingga diperoleh 1 = t G n = n 1 + t G n = (n 1) G + t G G (n 1) G + t n = G 1 dan = 1.

4 B i n = G. Oleh karena itu, peluang γ = γ adalah Pr{γ = γ } = Pr{v i(mod G )} = B i G Karena i + t < 2 G, maka (i + t) G < G dan tentu saja G (i + t) < G sehingga G (i + t) < G G (i + t) + n G n G < G n G i t + G n G < G n G (i + t G + n G ) < G n G (i + t + (n 1) G ) < G Oleh karena itu, n G B < G n G B G < 1 1 n G B < 1 B G B n G B < 1 B G B n B 1 G < 1 B 1 i B B G 1 G < 1 B. Pr{γ = γ } 1 G = 1 i B B G 1 G < 1 B Maka, jarak statistik antara γ dan distribusi seragam atas G 1 2 Pr{γ = γ } 1 G seperti yang diinginkan. < G 2B Lemma 3 Untuk sebarang keluarga grup komputasional G, ada algoritma berwaktu polinomial dengan input persamaan E atas konstanta A dan variabel X, grup G G, dan pengaitan (assignment) variabel ξ: X G, menghasilkan output persamaan satu variabel E dan nilai ξ G, sedemikian hingga 1) jika E tak terpenuhi atas grup bebas F(A), maka E juga tak terpenuhi atas F(A); dan B 2) untuk sebarang pengaitan α: A G, jika ξ adalah solusi E, maka ξ adalah solusi E. Misalkan inputnya persamaan E: x = a dan fungsi pengaitan ξ: X G dari variabel X ke grup G. Dengan menggunakan Algoritma Euclid yang Diperluas, hitung e = gcd(e :x X) dan bilangan bulat e sedemikian hingga e e = e. Dipilih persamaan output dengan solusi E : x = ξ (x) = a ξ(x) Akan dibuktikan bahwa persamaan output ini memiliki sifat-sifat yang disyaratkan. 1) andaikan E memiliki solusi di F(A). Misalkan σ F(A) solusi E ; dengan kata lain, (σ ) = a. Untuk setiap x X, definisikan σ(x) = (σ ). Karena σ x = σ(x) = (σ ) = (σ ) ( ) = a = (σ ) Ini berarti bahwa σ solusi E di F(A). Ini menunjukkan bahwa E terpenuhi atas grup bebas F(A) pula, dan ini membuktikan sifat pertama. 2) ambil sebarang pengaitan α: A G, dan misalkan ξ: X G adalah solusi untuk E ; dengan kata lain, ξ(x) = a di G. Maka ξ (x) = ξ(x) = a ; = ξ(x) dengan kata lain, ξ adalah solusi E atas G. Sebelum pembahasan dilanjutkan ke lemma berikutnya, akan disajikan analisis berikut. Misalkan A himpunan berkardinalitas A = p(k), untuk suatu k N. Misalkan v {0,1,, N A K 1} dengan N = PQ = (2p + 1)(2q + 1) dengan P dan Q bilangan prima selamat dan K Z, K > 0. Untuk setiap a A, misalkan w = v mod dan z =.

5 Perhatikan bahwa jika diberikan w, maka distribusi z seragam atas himpunan berkardinalitas S = 0,1,, N A K 1 w S = N A K 1 w a + 1 = N A K 1 w + 1 = N A K 1 w + karena w 1, maka 1 w 0. Karena maka N = PQ = (2p + 1)(2q + 1) = 4 + 2(p + q) + 1 > 4, Sehingga paling sedikit N > 4. S = N A K 1 w a + N A K 4 A K 4 Juga, jika diberikan w, maka nilai α(a) = γ = γ dapat ditentukan secara tunggal, dan z terdistribusi seragam atas himpunan S. Lemma 4 Peluang bersyarat bahwa d = v d 0 paling sedikit. (diberikan α, e = 0, dan {d : a A} sedemikian hingga e gcd(d : a A)) Diketahui bahwa v = w + z, dengan tiap z S dipilih secara acak seragam dari himpunan dengan kardinalitas S 4. Karena e gcd(d : a A), maka ada a A sedemikian hingga d 0. Atur nilai v untuk setiap a a. Karena d = 0 untuk paling banyak satu nilai dari z S, dan z bebas dari pandangan A, peluang bersyarat d = 0 paling besar. Lemma 5 Peluang bersyarat e tidak membagi d = v d paling sedikit. (diberikan α, gcd(e, ) = 1, dan {d : a A} sedemikian hingga e gcd(d : a A)) Karena e gcd(d : a A), maka e tidak membagi d untuk suatu a A. Ingat bahwa v = w + z, dimana distribusi bersyarat dari z (w yang diberikan) seragam atas himpunan S. Selain itu, karena gcd(e, ) = 1, maka memiliki invers perkalian modulo e. Selesaikan persamaan d 0(mod e) untuk z, diperoleh v d 0(mod e) v d + v d 0(mod e) z + w v d (mod e) z (v d ) + w (mod e) Karena z dipilih secara acak seragam dalam interval S, dengan menggunakan prinsip sangkar merpati, ini terjadi dengan peluang paling besar S e S + e 1 = 1 S e S e + 1 S 1 e S 5 8. Di sini telah digunakan fakta bahwa S 4 dan e 2 merupakan bilangan bulat. Jadi, e d dengan peluang paling sedikit. Teorema 1 Jika permasalahan RSA kuat sulit secara asimtotik berkenaan dengan distribusi ensembel N atas hasil kali prima selamat, maka keluarga grup komputasional {Z : N N } (dengan operasi hasil kali modulo dan prosedur sampling seragam atas QR ) merupakan grup pseudo-free berkenaan dengan ensembel distribusi yang sama. Misalkan Z tidak pseudo-free; dengan kata lain, ada algoritma probabilistik berwaktu polinomial A yang pada input acak N N dan elemen grup acak α: A QR, menghasilkan output persamaan yang tak terpenuhi E: w = w (atas konstanta A dan variabel X) bersama dengan solusi ξ: X Z milik E atas grup Z. Akan digunakan A untuk menyelesaikan permasalahan QR-RSA kuat untuk distribusi yang sama. Yakni, diberikan secara acak N N dan γ QR, kemudian dicari bilangan bulat e > 1 dan elemen grup ξ Z sedemikian hingga ξ = γ. Dengan menggunakan Teorema 2.5.9, hal ini juga mengakibatkan algoritma tersebut mampu menyelesaikan permasalahan RSA kuat standar. Algoritma A mula-mula akan mengecek

6 g = gcd(γ 1, N). Kemudian akan dibagi menjadi 3 kasus: 1) jika g = N, maka N γ 1, dan γ 1(mod N). Jadi bisa langsung ditentukan output berupa solusi permasalahan QR-RSA kuat dengan input (N, γ), contoh: (ξ, e) = (1,3). 2) jika g {1, N}, maka g {P, Q}, dan dapat dengan mudah menghitung nilai φ(n) yaitu φ(n) = (g 1) 1. Juga didapatkan output solusi (ξ, e) = (γ, φ(n) + 1) untuk permasalahan QR-RSA kuat (N, γ). 3) jika g = 1, maka dengan menggunakan Lemma 3.1, γ pembangun QR dan diproses sebagai berikut. Akan digunakan γ untuk sampling α(a) QR. Untuk sebarang a A, pilih v {0,, N A K(k) 1} secara acak seragam untuk suatu fungsi super-polinomial K(k) k, c N, dan tentukan α(a) = γ. Dengan menggunakan Lemma 3.2, jarak statistik antara α(a) dan distribusi atas QR paling besar QR 2N A K(k) < QR 2φ(N) A K(k) = 1 < 1 A K(k) 1 K(k) 8 A K(k) Karena nilai α(a) dipilih secara bebas, jarak antara α dan pengaitan terpilih seragam paling besar sebesar (), c N. Ketika α berdistribusi normal, algoritma A berhasil dengan peluang yang tak terabaikan δ(k) k untuk suatu c N. Karena α berjarak kurang dari dari distribusi () normal, A berhasil dengan peluang δ(k) > (). Algoritma Adengan peluang tersebut berhasil menghasilkan output persamaan E: w = w (atas variabel X dan konstanta A) yang tak terpenuhi atas F(A). Untuk menyelesaikan permasalahan QR-RSA kuat, dengan menggunakan Lemma 3.3, persamaan E: w = w dan solusi ξ diubah menjadi persamaan satu peubah E : x = a yang tak terpenuhi atas grup bebas dengan dan solusinya e = gcd(e : x X) ξ (x) = ξ(x) atas Z. Perhatikan bahwa persamaan E terpenuhi (atas grup bebas) jika e gcd(d : a A). Oleh karena itu, pastilah e gcd(d : a A). Perhatikan bahwa (ξ ) = α(a) = (γ ) = γ Berdasarkan nilai gcd(e, ), dibagi 3 kasus: 1) jika gcd(e, ) = dan e 0, maka e dan bisa langsung dihasilkan output solusi (γ, e + 1) untuk permasalahan QR-RSA kuat (N, γ) karena o(γ) = sehingga γ γ (γ ) γ 1 γ 1 γ γ(mod N). Meskipun tidak diketahui, namun pengecekan bisa dilakukan dengan cara mengecek apakah solusi (γ, e + 1) valid. Cara serupa dilakukan untuk semua kasus berikutnya. 2) jika gcd(e, ) {p, q}, maka o(γ ) = (,) {p, q}. Tentunya, γ bukan pembangun QR. Menurut Lemma 3.1, gcd(γ 1, N) 1. Karena γ 1(mod N), juga berakibat N (γ 1) sehingga gcd(γ 1, N) N. Oleh sebab itu, pastilah g = gcd( γ 1, N) {P, Q}. Sehingga dapat dengan mudah menghitung nilai φ(n) yaitu φ(n) = (g 1) 1. Juga didapatkan output solusi (ξ, e) = (γ, φ(n) + 1) untuk permasalahan QR-RSA kuat (N, γ). 3) jika e = 0, dengan menggunakan Lemma 3.4, maka d = v d 0 terjadi dengan peluang paling besar. Akibatnya, dengan peluang paling kecil, (γ, d + 1) adalah solusi permasalahan QR-RSA kuat (N, γ) karena d + 1 > 1 dan γ γ γ γ (ξ ) γ(mod N). 4) jika e 0 dan gcd(, e) = 1, dari Lemma 3.5, maka diperoleh bahwa peluang e d = v d paling kecil. Diproses sebagai berikut: Misalkan e = dan d = dengan t = gcd(e, d). Dengan mengasumsikan e d (yang terjadi dengan peluang paling sedikit ), diperoleh t e, dan berakibat e > 1. Perhatikan bahwa dari gcd(e, )

7 dan t e diperoleh gcd(t, QR ) = 1. Oleh sebab itu, kongruensi (ξ ) γ (mod N) berakibat (ξ ) γ (mod N) (ξ ) γ (mod N) karena kedua ruas residu kuadratik dan gcd(t, ) = 1, maka cukup untuk menyimpulkan bahwa sehingga (ξ ) γ (mod N) N (ξ ) γ N (ξ ) + γ (ξ ) γ Jika (ξ ) ±γ, maka (ξ ) ± γ 0. Sehingga bisa dihitung faktorisasi {P, Q} = gcdn, (ξ ) + γ, gcdn, (ξ ) γ dan φ(n) = (P 1)(Q 1). Sehingga dapat dihasilkan output solusi (γ, φ(n) + 1) untuk permasalahan QR-RSA kuat (N, γ). Kasus berikutnya terjadi jika (ξ ) = ±γ. Jika (ξ ) = γ, maka dengan mengunakan algoritma Euclid yang diperluas, dicari bilangan bulat e dan d sedemikian hingga e e + d d = gcd(e, d ) = 1. Output solusinya adalah (ξ ) γ, e karena (ξ ) γ (ξ ) γ γ γ γ(mod N) Jika (ξ ) = γ, maka e haruslah ganjil agar (ξ ) = (ξ ) = γ. Dengan begitu solusi untuk permasalahan QR-RSA kuat (N, γ) adalah (ξ ) γ, e karena (ξ ) γ (ξ ) γ terbukti. γ γ γ(mod N) KESIMPULAN Keluarga grup komputasional {Z : N N } (dengan operasi perkalian modulo dan prosedur sampling seragam atas QR ) merupakan grup pseudo-free berkenaan dengan ensembel distribusi N atas hasil kali prima selamat di bawah asumsi RSA kuat. Beberapa open problem yang bisa diangkat sebagai riset lanjutan antara lain apakah Z juga pseudo-free bahkan jika N hasil kali bilangan prima sebarang atau ketika elemen γ diambil dari Z meskipun bukan residu kuadratik. Atau apakah bisa dibuktikan bahwa Z pseudo-free dengan mengasumsikan bahwa masalah RSA atau pemfaktoran N sulit diselesaikan. DAFTAR PUSTAKA [1] Buchmann, Johannes A Introduction to Cryptography. New York: Springer-Verlag New York, Inc.. [2] Cramer and Shoup Signature schemes based on the strong RSA assumption. ACM Transactions on Information and System Security. 3(3): , Preliminary version in CCS [3] Fraleigh, John B A First Course in Abstract Algebra. Sixth Edition. Addison- Wesley Publishing Company, Inc.. USA. [4] Gallian, Joseph Contemporary Abstract Algebra. Toronto: D. C. Heath and Company. [5] Goldreich, Oded Foundations of Cryptography: Volume 1, Basic Tools. Cambridge University Press. [6] Menezes, Oorcshot, and Vanstone Handbook of Applied Cryptography. CRC Press, Inc. USA. [7] Micciancio, Daniel The RSA group is pseudo-free. Journal of Cryptology. Volume 23. Issue 2. pp: [8] Papoulis, Athanasios Probability, Random Variables, and Stochastic Processes. Fourth Edition. McGraw-Hill Companies, Inc. [9] Rivest, Ronald L On the Notion of Pseudo-Free Groups. Theory of Cryptography. Volume pp: [10] Riyanto, Muhamad Zaki Pengamanan Pesan Rahasia Menggunakan Algoritma Kriptografi Elgamal Atas Grup Pergandaan Zp*. Skripsi. Yogyakarta: Universitas Gadjah Mada. [11] Rosen, Kenneth H Discrete Mathematics and Its Applications. Fifth Edition. AT&T Laboratories. USA. [12] Rosen, Kenneth H Elementary Number Theory and Its Applications. Fourth Edition. AT&T Laboratories. USA. [13] Stinson, D.R Cryptography Theory and Practice. Florida: CRC Press, Inc..