Jihomoravske centrum mezina rodnı mobility. T-exkurze. Teorie c ı sel, aneb elektronicky podpis a s ifrova nı

Transkript

1 Jihomoravske centrum mezina rodnı mobility T-exkurze Teorie c ı sel, aneb elektronicky podpis a s ifrova nı Brno 2013 Petr Pupı k

2 Obsah Obsah 2 Šifrovací algoritmy RSA a ElGamal Algoritmus RSA ElGamal Závěr 19 Literatura 20

3 Kapitola 2 Šifrovací algoritmy RSA a ElGamal Představme si, že chceme poslat nějakou zprávu. Potřebujeme však, aby ji nepřečetl nikdo jiný, než adresát. Je třeba ji tedy nějakým způsobem zašifrovat. Máme několik možností. Jedna z nich je, že se s adresátem dopředu sejdeme, domluvíme si, jakým způsobem budeme šifrovat, poté se rozejdeme a následně si můžeme posílat zašifrované zprávy. Protože jsme se již sešli, víme, jak danou zprávu dešifrovat. Ne vždy však máme možnost se s adresátem sejít, nebo si s ním domluvit, jakým způsobem budeme danou zprávu šifrovat. Musíme tedy zprávu šifrovat jiným způsobem. My si v tomto textu ukážeme algoritmy RSA a ElGamal. 2.1 Algoritmus RSA Algoritmus RSA publikovali poprvé matematici Ron Rivest, Adi Shamir a Leonard Adleman v roce Svůj název dostal podle prvních písmen příjmení svých objevitelů. RSA algrotimus využívá nemožnosti rozložit dané číslo na součin prvočísel. Pojd me si nyní tento algoritmus popsat. Představme si, že Bob chce poslat zprávu Alici. Zprávou je vždy nějaké přirozené číslo. Pojd me si tedy říci, co musí oba udělat. Dejme tomu, že Bob chce Alici poslat zprávu m N. Začít však musí Alice: 1. Alice si zvolí dvě velká prvočísla p, q. 2. Alice spočítá n = p q. 3. Alice spočítá ϕ(n) = (p 1) (q 1). 4. Alice zvolí přirozené číslo e takové, že je s ϕ(n) nesoudělné. 5. Alice určí přirozené číslo d takové, že e d 1 (mod ϕ(n)). 6. Alice odešle nešifrovaně Bobovi takzvaný veřejný klíč (n, e). 12

4 Bob tedy nyní zná čísla n a e. Tato čísla zná i kdokoliv jiný, protože byly odeslány nešifrovaně. Co však neví nikdo kromě Alice je, jak vzniklo číslo n, nikdo tedy kromě Alice nezná ϕ(n) a konečně, nikdo kromě Alice nezná číslo d. Pojd me si ještě vysvětlit, jakým způsobem Alice získá jednotlivá čísla. Hodnotu ϕ(n) zjistí snadno podle tvrzení??, protože zná prvočíselný rozklad čísla n. Číslo e, které je s ϕ(n) nesoudělné zvolí Alice snadno. Trochu obtížnější to bude s číslem d. Pro přirozené číslo d má platit, že e d 1 (mod ϕ(n)). My jsme však číslo e volili tak, že je s ϕ(n) nesoudělné. Platí tedy, že (e, ϕ(n)) = 1. Podle Bezoutovy identity?? však existují celá čísla x, y taková, že 1 = e x + ϕ(n) y. To v řeči kongruencí znamená, že e x 1 (mod ϕ(n)). Položme tedy d = x, kde x jsme dostali jako koeficient u čísla e v Bezoutově identitě. Nyní se podívejme, co provede Bob, aby poslal zprávu m. 1. Bob obdrží od Alice veřejný klíč (n, e). 2. Bob spočítá, jaký zbytek dává m e po dělení n. Označme ho c, tj. c m e (mod n). 3. Bob pošle nešifrovaně Alici zpět číslo c. Pokud nyní někdo sleduje konverzaci mezi Alicí a Bobem, má momentálně u sebe čísla n, e a c. Zajímavé je také to, že pokud Bob zašifruje zprávu m, již tuto zprávu taktéž nedokáže dešifrovat, stejně jako ostatní (kromě Alice). Pojd me se tedy podívat na to, jak Alice dešifruje zprávu c, kterou obdržela od Boba. 1. Alice obdržela od Boba zprávu c od Boba. 2. Alice spočítá, jaký zbytek dává c d po dělení číslem n a dostane tím zprávu m. Jistě vás nyní napadne, jak je možné, že skutečně dostala zprávu m. Pojd me si to hned dokázat. Bob vytvořil číslo c tak, že c m e (mod n). Platí proto, že c d (m e ) d m e d (mod n). Protože ed 1 (mod n), podle 5, je i ed 1 (mod p 1). To podle definice kongruence znamená, že existuje celé číslo k takové, že ed = 1 + k (p 1). Dosad me c d m e d m 1+k (p 1) m (m p 1 ) k Nyní využijeme Malé Fermatovy věty?? c d m e d m 1+k (p 1) m (m p 1 ) k m 1 k m To znamená, že c d Obdobně se odvodí, že c d m (mod q). Podle Čínské zbytkové věty?? tak dostáváme, že c d m (mod p q), tj. c d m (mod n). 13

5 Algoritmus RSA je tedy založen na nemožnosti určení čísla ϕ(n). To bychom zjistili, pokud bychom uměli rozložit číslo n na součin prvočísel. To však umí jen Alice. Zajímavé je, že pokud Bob zašifruje zprávu a zapomene ji, tak se mu ji nepodaří rozšifrovat. Pojd me si nyní ukázat konkrétně zašifrování nějaké zprávy pomocí RSA algoritmu. Volme však malá čísla, abychom zvládli sledovat, co se v algoritmu děje. Příklad Bob chce Alici odeslat zprávu m = 12. Alice si zvolí p = 23, q = 31. Určete, jak Bob zašifruje zprávu a dále tuto zprávu dešifrujte. Řešení. Pojd me postupovat přesně tak, jak jsme si tento algoritmus představili: 1. Alice má prvočísla p = 23, q = Alice spočítá n = p q = = Alice spočítá ϕ(n) = (p 1) (q 1) = = Alice zvolí přirozené číslo e takové, že je s ϕ(n) nesoudělné, volme e = Alice určí přirozené číslo d takové, že e d 1 (mod ϕ(n)). Stanovme toto číslo d přesně podle poznámky pod popisem algoritmu. Určeme největší společný dělitel čísel 660 a 17: 660 : 17 = 38 (zb. 14), tedy 14 = : 14 = 1 (zb. 3), tedy 3 = : 3 = 4 (zb. 2), tedy 2 = : 2 = 1 (zb. 1), tedy 1 = : 1 = 2 (zb. 0). Spočítejme nyní koeficienty v Bezoutově identitě pro čísla 660 a 17: 1 = = 3 1 (14 4 3) = = 5 ( ) 1 14 = = ( ) = Alice tedy volí d = 233. Její tzv. soukromý klíč tvoří dvojice (n, s) = (713, 233). Veřejný klíč pak tvoří dvojice (n, e) = (713, 17). 6. Alice odešle nešifrovaně Bobovi veřejný klíč (n, e) = (713, 17). Bob obdržel od Alice veřejný klíč. Nyní bude chtít zašifrovat zprávu m = 12: 1. Bob spočítá zbytek po dělení čísla m e číslem n, tj. zbytek po dělení čísla číslem 713. K tomu může využít například tzv. modulární umocňování: = = 12 (((12 2 ) 2 ) 2 ) 2 = 538 (mod 713). Bod tedy odeslal zašifrovanou zprávu 538. Alice ji chce dešifrovat. Musí tedy spočítat, jaký dává zbytek po dělení číslem 713. K výpočtu využijme nějaký matematický software (například program Sage: či http: // a vyjde nám skutečně zpráva m = 12. Nyní si představíme další z šifrovacích algoritmů, konkrétně algoritmus ElGamal. 14

6 2.2 ElGamal Algoritmus ElGamal publikoval poprvé v roce 1984 egyptský matematik Taher ElGamal (někdy též psaný Elgamal). Než se však s tímto algoritmem seznámíme, musíme si uvést trochu teorie. Definice Necht p je prvočíslo, a N takové, že (p, a) = 1. Nejmenší přirozené číslo n takové, že a n 1 (mod p), nazýváme řád čísla a modulo p. Možná vás napadne, proč vůbec takové přirozené číslo n existuje. Nemohlo by se náhodou stát, že pro všechna přirozená čísla n bude platit, že a n 1 (mod p)? Odpověd je snadná: nemohlo. Protože je (a, p) = 1, je podle Malé Fermatovy věty?? a p 1 1 Příklad Určete řády čísel 1, 2, 3, 4 modulo 5. Řešení. 1. Řád čísla 1 je zřejmě 1, protože 1 1 = Řád čísla 2 je 4, protože 2 1, 2 2 ani 2 3 nejsou kongruentní s číslem 1 modulo 5, ale podle Malé Fermatovy věty je (mod 5). 3. Obdobně se odvodí, že řád čísla 3 modulo 5 je Řád čísla 4 je 2, protože (mod 5), ale (mod 5). My budeme v algoritmu ElGamal potřebovat pro dané prvočíslo p číslo řádu p 1. To skutečně vždy existuje, jak nám řekne další tvrzení. Bohužel je však důkaz náročný, proto si ho neuvedeme, nicméně ho najdete v 1, kde se i dozvíte, jak takové číslo hledat. Tvrzení Pro každé prvočíslo p existuje celé číslo a, které má řád p 1 modulo p. Pojd me si nyní představit algoritmus ElGamal. Ten již není založen na náročnosti rozkladu čísla na součin prvočísel, ale na problému tzv. diskrétního logaritmu, jak si vysvětlíme později. Opět si budou předávat zprávu Alice a Bob. Bob bude chtít opět Alici poslat zprávu m. Alice nejprve musí vytvořit veřejný a soukromý klíč: 1. Alice zvolí prvočíslo p a číslo a řádu p 1 modulo p. 2. Alice zvolí přirozené číslo x a počítá jaký zbytek dává a x modulo p. Tento zbytek označme b. 3. Alice odešle Bobovi trojici (p, a, b). 15

7 Nyní jsme tedy ve stavu, kdy všichni znají čísla p, a a b. Pouze Alice však zná číslo x. Řeknete si, že číslo x může nyní kdokoliv určit tak, že bude postupně umocňovat číslo a a dívat se, jaký zbytek dává výsledek po dělení číslem p. Takto umocňovat tak dlouho, dokud nedostane číslo b. To je opět časově náročné a v reálném čase neproveditelné. Právě problém vyjádřit přirozené číslo x, pokud známe a i zbytek po dělení čísla a x číslem p, nazýváme problém diskrétního logaritmu. Bob nyní bude chtít zašifrovat zprávu m. Od Alice mu došla trojice (p, a, b). 1. Bob zvolí přirozené číslo y a spočítá, jaký zbytek dává číslo a y po dělení číslem p. Označme toto číslo c Bob spočítá, jaký zbytek dává číslo m b y po dělení číslem p. Tento zbytek označme c Bob pošle Alici dvojici (c 1, c 2 ) Dvojici (c 1, c 2 ) si opět může přečíst kdokoliv. Aby však mohl určit zprávu m, potřeboval by znát přirozené číslo y, které se mu však opět nepodaří zjistit. Pojd me nyní zjistit, jakým způsobem bude Alice zprávu dešifrovat. 1. Alice spočítá, jaký zbytek dává číslo c x 1 po dělení číslem p. Tento zbytek označme z. 2. Alice určí celé číslo d takové, že z d 1 3. Alice dostane zprávu m tak, že určí, jaký zbytek dává číslo c 2 d po dělení číslem p. To, že takto dostane Alice skutečně zprávu m, si samozřejmě dokážeme. Označme α zbytek po dělení čísla c 2 d číslem p. Chceme dokázat, že α m Máme tedy α c 2 d Bob dostal číslo c 2 jako zbytek čísla m b y po dělení číslem p. Proto α (m b y ) d Alice dostala číslo b jako zbytek po dělení čísla a x prvočíslem p. Máme tak α (m (a x ) y ) d Upravme α m a x y d (mod p) α m (a y ) x d Číslo a y ale dává zbytek c 2 po dělení prvočíslem p, jak to vypočítal Bob, proto α m c x 1 d 16

8 Číslo c x 1 dává po dělení číslem p zbytek z, což spočítala Alice. α m z d Číslo d bylo Alicí voleno tak, aby z d 1 Proto α m 1 To jsme ale chtěli dostat. Takto jsme dokázali správnost algoritmu ElGamal. Opět si ukážeme princip algoritmu ElGamal na konkrétním příkladu. Příklad Bob chce Alici odeslat zprávu m = 12. Alice si zvolí p = 23. Určete, jak Bob zašifruje zprávu a dále tuto zprávu dešifrujte. Řešení. Pojd me postupovat přesně tak, jak jsme si představili algoritmus ElGamal. 1. Alice zvolí číslo a řádu 22 modulo 23. Takovým číslem je například a = Alice zvolí přirozené číslo x a počítá jaký zbytek dává 5 x modulo 23. Zvolme x = 13. Potom (5 2 ) (mod 23). Máme tak b = Alice odešle Bobovi trojici (p, a, b) = (23, 5, 21). Bob obdržel trojici (p, a, b) = (23, 5, 21) a bude chtít zašifrovat zprávu m = Bob zvolí přirozené číslo y a spočítá, jaký zbytek dává číslo 5 y po dělení číslem 23. Zvolme y = 7. Potom Máme tak c 1 = (5 2 ) (mod 23). 2. Bob spočítá, jaký zbytek dává číslo po dělení číslem 23. Máme tak c 2 = Bob pošle Alici dvojici (c 1, c 2 ) = (17, 5). Alice bude chtít zprávu dešifrovat ( 2) 7 5 (mod 23). 1. Alice spočítá, jaký zbytek dává číslo po dělení číslem (17 2 ) (13 2 ) (mod 23). Tímto zbytkem je z =

9 2. Alice určí celé číslo d takové, že 10 d 1 (mod 23). Toto číslo můžeme opět určit pomocí Euklidova algoritmu obdobně, jako jsme postupovali v RSA algoritmu. My pro náš příklad zvolme jiný postup, který je však těžko aplikovatelný v obecném příkladu: Položme proto d = 7. 10d 1 (mod 23) 10d (mod 23) 10d 70 (mod 23) d 7 (mod 23). 3. Alice dostane zprávu m tak, že určí, jaký zbytek dává číslo 5 7 po dělení číslem 23, což je

10 Závěr Závěr V tomto textu jsme si ukázali, jak nám může být užitečná teorie čísel v šifrovacích algoritmech. V závěrečné lekci se pak ještě podíváme na další šifrovací algoritmus, konkrétně na šifrování pomocí eliptických křivek. Dále se podíváme na to, jak lze všechny algoritmy využít při tvorbě digitálního podpisu, což je v dnešní době poměrně aktuální téma. Opět uvidíme, že je vše založeno na teorii čísel. Teorie čísel nám ukazuje, jak krásná, užitečná, ale zároveň nečekaná dokáže být matematika. Ukazuje, že i zdánlivě jednoduchý problém rozkládání čísla na součin prvočísel může být základem šifrovacích algoritmů, díky kterým můžeme posílat informace, které si dokáže přečíst pouze adresát. Je to právě teorie čísel, která nám dává řadu zajímavých problémů, které jsou snadno pochopitelné, avšak jejich řešení nám dává spoustu nových a nových poznatků. Vzpomeňme zde Velkou Fermatovu větu, kdy chceme najít všechna nenulová celá čísla x, y, z, která budou splňovat rovnost x n + y n = z n. Tento lehce pochopitelný problém formuloval v 17. století francouzský matematik Pierre de Fermat. Až teprve nedávno, v roce 1994, dokázal britský matematik Andrew John Wiles, že tato rovnice nemá žádné nenulové řešení pro n > 2. Na konec ještě zmiňme dva problémy teorie čísel, které zatím nikdo nevyřešil. První je problém týkající se prvočíselných dvojčat. Prvočíselná dvojčata jsou dvě po sobě jdoucí lichá čísla, která jsou prvočísly (například 3 a 5, 11 a 13, 29 a 31). Doposud se však vůbec neví, kolik je prvočíselných dvojčat, zda jich je konečně, či nekonečně mnoho. Dalším problémem jsou dokonalá čísla. Dokonalé číslo je takové přirozené číslo, které je součtem svých kladných dělitelů (kromě sebe samého). Takovým číslem je například číslo 6 = Dalšími čísly jsou třeba 28 = , 496, Dosud je známo 48 dokonalých čísel, přičemž poslední z nich bylo objeveno v únoru Dodnes nikdo neví, zda je nekonečně mnoho dokonalých čísel a nikomu se zatím nepodařilo najít liché dokonalé číslo, či dokázat jeho neexistenci. 19

11 Literatura Literatura [1] Bulant, M.: Algebra 2 Teorie čísel, M6520/um/main-print.pdf,