SALAUSMENETELMÄT A, 4 op

Transkriptio

1 Luentorunko SALAUSMENETELMÄT A, 4 op Pohjautuu Leena Leinosen, Marko Rinta-ahon, Tapani Matala-ahon ja Keijo Väänäsen luentoihin

2 Sisältö 1 Johdanto 2 2 Perinteisiä salakirjoitusmenetelmiä Caesar ja sen yleistyksiä Caesarin yhteenlaskumenetelmä Affiinikuvaus Sijoitusjärjestelmät Vigenéren järjestelmä Salakirjoitus matriiseilla Julkisen avaimen salakirjoitus (public key cryptography) Yleinen periaate/general principle Allekirjoitussopimus/Signature protocol Salattu allekirjoitus/encrypted signature RSA RSA-salaus/RSA-encrypting RSA-allekirjoitus/RSA-signature Tekstin esittäminen joukon Z n alkioina RSA-turvallisuus/security Neliöseula-hyökkäys/Quadratic sieve attack Kryptausfunktio-iteraatiot Diskreetti logaritmi Diskreetti logaritmi kertolaskuryhmässä Ryhmät Z n Primitiivijuuret Diskreetin logaritmin ongelma Diffie-Hellman avaimenvaihto Diffie-Hellman ongelma

3 7 ElGamal kryptausjärjestelmä 37 8 Huomautuksia 39 9 Lukuteoriaa Eräs kongruenssiryhmä Euler-Fermat Nopeaa potenssilaskentaa Nopeaa potenssilaskentaa/kertolaskuryhmässä Funktioista 42 3

4 HUOM: Ilmoittautukaa Web-oodiissa kurssille, jotta saisitta tietoja mahdollisista muutoksista ja peruutuksista. Luennot: Aloitetaan 14:10 Ke IT133 To IT138 LUENNOT LOPPUU VIIKOLLA 41. Loppukoe: , Linkkejä: Johdatus matemaattiseen päättelyyn Kirjallisuus: 1

5 1 Johdanto Tällä kurssilla tarkastellaan menetelmiä, jotka mahdollistavat tiedon siirtämisen tai tallentamisen niin, että ainoastaan tarkoitettu vastaanottaja saa viestin selville. Lähettäjän tehtävänä on salakirjoittaa (encrypt) selväkielinen teksti (plaintext) salakirjoitukseksi (cryptotext) ja vastaanottajan tehtävänä puolestaan avata (decrypt) salakirjoitus selväkieliseksi tekstiksi. Menettelyn tulee olla sellainen, että mahdollinen salakirjoituksen sieppaaja ei kykene murtamaan sitä eli selvittämään selväkielistä tekstiä, ainakaan nopeasti. Aikaisemmin salakirjoituksia tarvittiin lähinnä sotilaallisiin ja diplomaattisiin tarkoituksiin. Kuluneiden noin 30 vuoden aikana tietokoneisiin perustuvan tiedonvälityksen yleistyminen on merkinnyt sitä, että salausmenetelmiä tarvitaan päivittäin hyvin monilla muillakin yhteiskunnan alueilla kuten pankeissa ja yrityksissä. Selväkielinen teksti ja salakirjoitettu teksti kirjoitetaan käyttämällä jotakin aakkostoa (kirjaimet, numerot, muut merkit). Suomen- ja englanninkielisellä aakkostolla tarkoitetaan tällä kurssilla seuraavia aakkostoja: S) Suomenkielinen aakkosto, 29 kirjanta. E) Englanninkielinen aakkosto, 26 kirjainta. a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Jotta matemaattisia menetelmiä voitaisiin käyttää, kirjaimet korvataan usein luvuilla. Selväkielinen teksti ja salakirjoitus jaetaan viestiyksiköihin ja salaaminen tehdään yksikkö kerrallaan. Viestiyksikkö voi olla kirjain (kuten yllä olevassa esimerkissä), kirjainpari tai tietyn pituinen kirjainjono. Salakirjoittamiseen käytetään yleensä bijektiivistä funktiota E : P C, missä P = {selväkieliset viestiyksiköt} = {m}, C = {salakirjoitetut viestiyksiköt} = {c}. 2

6 Avaaminen tapahtuu tällöin käänteisfunktion D = E 1 avulla. Salakirjoitusjärjestelmään kuuluvat siis: (i) P, (ii) C, (iii) avainjoukko K = {k}, missä kukin avain k määrää salausfunktion E k ja avausfunktion D k, joille D k (E k (m)) = m. Lähettäjä tuntee ennakolta funktion E k ja vastaanottaja funktion D k, jolloin järjestelmä toimii seuraavan kaavion mukaisesti. A B m E k (m) = c c D k (c) = m E (=salakuuntelija, eavesdropper, murtaja, breaker) Hyvältä salakirjoitusjärjestelmältä edellytetään: 1) E k (m) ja D k (c) voidaan laskea helposti. 2) Jollei tunneta funktiota D k, niin selväkielinen viesti m ei selviä salakirjoituksesta c, eli sieppaajalla on vaikea tehtävä. Kaikissa perinteisissä salakirjoitusjärjestelmissä D k saadaan välittömästi funktiosta E k, ei tosin aina niin helposti kuin äskeisessä esimerkissä. Näin ollen lähettäjän ja vastaanottajan tulee sopia jollakin tavalla avaimesta ja pitää tämä sopimuksensa salassa muilta. Tästä syystä näitä järjestelmiä kutsutaan yksityisen avaimen salakirjoituksiksi. Vuosina kehitettiin ensimmäiset julkisen avaimen järjestelmät, joille on ominaista se, että E k ei paljasta funktiota D k, ainakaan helposti. Nämä perustuvat ns. yksisuuntaisiin funktioihin (one-way function), joiden käänteisfunktiota on käytännössä mahdotonta tai ainakin hyvin vaikeaa määrittää. Useimmat käytössä olevat salakirjoitusmenetelmät perustuvat lukuteorian tuloksiin. Tästä syystä kurssi aloitetaan kertaamalla eräitä lukuteorian alkeiden tuloksia. Esimerkki 1.1. Esimerkkinä käy Caesarin yhteenlaskumenetelmä, jossa salakirjoitus tehdään siirtämällä kirjaimia k askelta eteenpäin. Esimerkiksi k = 17 antaa seuraavaa: selvä: sala: a b c d e f g h i j k l m n o p q r s t u v w x y z R S T U V W X Y Z A B C D E F G H I J K L M N O P Q 3

7 Selväteksti: prime Salattu: GIZDV 2 Perinteisiä salakirjoitusmenetelmiä 2.1 Caesar ja sen yleistyksiä Caesarin yhteenlaskumenetelmä On yksinkertaista asettaa joukon Z n alkiot vastaamaan n-kirjaimisen aakkoston symboleja. Esimerkiksi englanninkielistä aakkostoa vastaa Z 26 eli a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z missä jäännösluokkien modulo n = 26 yläviivat on jätetty pois. Voidaan sopia, että selkoviesti kirjoitetaan pienillä kirjaimilla ja SALATTU VIESTI ISOILLA KIRJAIMILLA. Aikaisemmin tarkastellun Caesarin menetelmän salausfunktio E k ja avausfunktio D k ovat yllä olevin merkinnöin yksinkertaisesti E k (x) = x + k ja D k (x) = x k, missä laskutoimitukset tehdään joukossa Z N Affiinikuvaus Tarkastellaan nyt yleisempää järjestelmää, missä yhteenlasku korvataan affiinilla kuvauksella. Valitaan tätä varten a Z n ja b Z n. Avaimena on nyt pari (a, b) ja salausfunktio on E(x) = E a,b (x) = ax + b, E : Z n Z n. Avainten lukumäärä on tällöin φ(n) n. Erikoistapauksina 4

8 a = 1 antaa Caesarin yhteenlaskumenetelmän, E(x) = x + b b = 0 antaa ns. kertolasku-caesarin, E(x) = ax. Lause 2.1. Kuvaus E : Z n Z n on bijektio ja ja avausfunktioksi saadaan D(y) = D a,b (y) = a 1 y a 1 b. (1) Todistus: Edellä a Z n, joten a 1 Z n on olemassa. Asetetaan nyt E(x 1 ) = E(x 2 ) ax 1 + b = ax 2 + b ax 1 = ax 2 (2) a 1 ax 1 = a 1 ax 2 x 1 = x 2. (3) Siten E : Z n Z n on injektio ja edelleen bijektio Lauseen 11.1 nojalla. Asetetaan seuraavaksi E(x) = y ax + b = y x = a 1 (y b) = D(y). (4) Yhteenveto affiinista järjestelmästä: P = C = Z n K = {(a, b)}, missä a Z n ja b Z n salausfunktio E(x) = ax + b avausfunktio D(y) = a 1 y a 1 b. Affiini järjestelmä voidaan murtaa seuraavilla tavoilla: Brute de force. Kokeillaan kaikki avaimet. Frekvenssianalyysi. Käytetään hyväksi kirjainten esiintymistiheyksiä. Alla olevassa taulukossa on esitetty suomen ja englannin kielen kymmenen yleisintä kirjainta esiintymistiheyksineen. 5

9 suomi kirjain % kirjain % A 11,5 S 6,6 I 10,5 L 5,9 T 9,7 O 5,5 N 9,1 Ä 5,2 E 8,4 K 4,9 englanti kirjain % kirjain % e 13,11 r 6,83 t 10,47 i 6,35 a 8,15 s 6,10 o 8,00 h 5,26 n 7,10 d 3,79 Saksan kielen kymmenen yleisintä kirjainta ovat E, N, I, S, R, A, T, D, H, U ja ranskan kielen E, S, A, I, T, N, R, U, L, O. Tiheydet ovat suuntaa-antavia ja vaihtelevat hieman tekstistä riippuen. Yleisyysjärjestyskin voi poiketa hieman lähteestä riippuen. Esimerkki 2.2. Avaa Caesarin yhteenlaskumenetelmällä laadittu englanninkielinen salakirjoitus ALYUNYMNWIGGIHXCPCMIL. Mikä on ollut avain? 1. Ylläolevan nojalla englanninkielen Top-6 kirjainjoukko on E M := {e,t,a,o,n,r} = {4, 19, 0, 14, 13, 17}. (5) 2. Salatun tekstin Top-6 joukoksi saadaan C M := {I,Y,G,M,C,L} = {8, 24, 6, 12, 2, 11}. (6) 3. Tutkitaan miten joukko E M kuvautuu joukolle C M Caesar-salauksessa. On todennäköistä, että: 3a. Kirjain e kuvautuu kirjaimelle I; tai 3b. Kirjain e kuvautuu kirjaimelle Y; tai... 3a. Tässä salausfunktio on E 4 (e) = I, E 4 (E M ) = {8, 23, 4, 18, 17, 21}, (7) 6

10 joten E 4 (E M ) C M = {8}. (8) Tämä on epätodennäköistä! 3b. Tässä salausfunktio on E 20 (e) = Y, E 20 (E M ) = {24, 13, 20, 8, 7, 11}, (9) joten E 20 (E M ) C M = {24, 8, 11}. (10) Nyt jo puolet Top-joukoista täsmää, joten yritetään avausta dekryptausfunktiolla D 20 (y) = y 20 = y + 6, (11) jolloin aluksi saadaan D 20 (A) = g, D 20 (L) = r, D 20 (Y) = e, D 20 (U) = a, D 20 (N) = t. (12) Tämä on selkokieltä, joten jatketaan avausta. Siten selkoviesti on ollut greatestcommondivisor (13) ja kryptausavain k = 20. Esimerkki 2.3. Seuraava englanninkielestä salattu viesti VCLMPCAVESVFYDVOVIZHPCYXAXGBDATYZ on muodostettu affiinilla järjestelmällä. Mikä on selkokielinen teksti ja kryptausfunktio? 1. Ylläolevan nojalla englanninkielen Top-6 kirjainjoukko on E M := {e,t,a,o,n,r} = {4, 19, 0, 14, 13, 17}. (14) 2. Salatun tekstin Top-6 joukoksi saadaan C M := {V,C,A,Y,D,Z} = {21, 2, 0, 24, 3, 25}. (15) 7

11 3. Tutkitaan miten joukko E M kuvautuu joukolle C M affiinilla kuvauksella. On todennäköistä, että: 3a. Kirjain e kuvautuu kirjaimelle V; ja 4a. Kirjain t kuvautuu kirjaimelle C; tai 4b. Kirjain a kuvautuu kirjaimelle C; tai 4c. Kirjain o kuvautuu kirjaimelle C; tai 4d. Kirjain n kuvautuu kirjaimelle C; tai Olkoon salausfunktio E(x) = ax + b, a Z 26, b Z 26. (16) Tarvitaan siis yhtälöpari lukujen a ja b ratkaisemiseen. 3a+4a Sijoitusjärjestelmät Edellä mainitut järjestelmät ovat erikoistapauksia yksinkertaisesta sijoitusjärjestelmästä. Siinä on avainjoukkona joukon Z n permutaatioiden muodostama joukko S n, jonka alkiot σ kirjoitetaan usein muotoon ( ) n 1 σ =. σ(0) σ(1)... σ(n 1) Nämä ovat bijektioita, joten niillä on käänteiskuvaus σ 1. Yksinkertainen sijoitusjärjestelmä: P = C = Z n K = S n salausfunktio E σ (x) = σ(x) 8

12 avausfunktio D σ (y) = σ 1 (y). Joukon S n alkioiden lukumäärä on n!, joten avaimia on runsaasti. Yksinkertainen sijoitusjärjestelmä on murrettavissa kirjainten esiintymistiheyksiä tutkimalla, koska kirjaimen x kuva E(x) on sama koko ajan. Tästä johtuen on kehitetty myös moniaakkosjärjestelmiä, joista esimerkkinä tarkastellaan Vigenéren järjestelmää. 2.3 Vigenéren järjestelmä Vigenéren järjestelmän avain koostuu useasta Caesarin menetelmän avaimesta, joita sovelletaan jaksollisesti. Oletetaan, että k 1, k 2,..., k r Z n. Jaetaan selväkielinen teksti r:n pituisiin osiin x 1 x 2... x r. Kunkin osan i:s kirjain x i salakirjoitetaan Caesarin salausfunktion E ki avulla: selvä x i E ki (x i ) = x i + k i = y i sala. Vastaava avausfunktio on D ki (y i ) = y i k i. Avaimet k i annetaan usein avainsanan avulla. Vigenéren järjestelmässä sama kirjain kuvautuu eri kirjaimiksi paikasta riippuen, joten yksinkertainen kirjainten esiintymistiheyteen perustuva analyysi ei toimi. Kuitenkin, jos avaimen pituus r selviää, voidaan kukin k i murtaa erikseen kuten Caesarissa. Myös avaimen pituuden määrittämiseksi on olemassa menetelmiä. 2.4 Salakirjoitus matriiseilla Jos viestiyksikön pituus on r > 1 kirjainta, on luontevaa tarkastella viestiyksikköjä joukon Z r n vektoreina ja käyttää salauksessa r r-matriiseja. Rajoitutaan seuraavassa tapaukseen r = 2. Kerrataan lyhyesti matriisien laskusääntöjä: [ ] x Joukon Z 2 n alkiot ovat. y 9

13 [ ] a b 2 2-matriisit ovat M 2 (Z n ). c d Kaksi matriisia ovat identtiset, jos ja vain jos niissä samoilla paikoilla olevat alkiot ovat identtiset, ts. [ ] [ ] a11 a 12 b11 b 12 = a ij = b ij kaikilla i, j {1, 2}. a 21 a 22 b 21 b 22 Yhteenlasku on määritelty seuraavasti: [ ] [ ] [ ] [ ] [ ] [ ] x u x + u a b x u a + x b + u + =, + =. y v y + v c d y v c + y d + v Skalaarilla kertominen on määritelty seuraavasti: [ ] [ ] [ ] [ ] x ax a b ua ub a =, u =. y ay c d uc ud Kertolasku on määritelty seuraavasti: [ ] [ ] [ ] [ ] [ ] [ ] a b x ax + by a b x u ax + by au + bv =, =. c d y cx + dy c d y v cx + dy cu + dv Kertolasku ei ole vaihdannainen. [ ] 1 0 Yksikkömatriisi I = on kertolaskun neutraalialkio. 0 1 [ ] a b Matriisin A = käänteismatriisi on matriisi A 1, jolle AA 1 = c d A 1 A = I, mikäli tällainen matriisi on olemassa. Voidaan osoittaa, että A 1 on olemassa, jos ja vain jos D = det A = A = ad bc Z n. (17) Tällöin A 1 = D 1 [ d c ] b. a 10

14 Lause 2.4. Olkoon [ ] a b A = M 2 (Z n ), c d a, b, c, d Z n, det A = ad bc Z n (18) ja [ ] e B = Z 2 n. f Tällöin affiini kuvaus E : Z 2 n Z 2 n, E(X) = AX + B, (19) on bijektio, jonka käänteiskuvaus on D : Z 2 n Z 2 n, D(Y ) = A 1 (Y B). (20) Todistus: Edellä deta Z n, joten A 1 M 2 (Z n ) on olemassa. Asetetaan nyt E(X 1 ) = E(X 2 ) AX 1 + B = AX 2 + B AX 1 = AX 2 (21) A 1 AX 1 = A 1 AX 2 IX 1 = IX 2 X 1 = X 2. (22) Siten E : Z 2 n Z 2 n on injektio. Koska #Z 2 n = n 2 <, (23) niin Lauseen 11.1 nojalla E : Z 2 n Z 2 n on bijektio. Asetetaan seuraavaksi E(X) = Y AX+B = Y X = A 1 (Y B) = D(Y ). (24) Matriisisalakirjoitus: { [ ] x } P = C = Z 2 n = x, y Zn y 11

15 [ ] [ ] a b e avain {A, B}, A =, ad bc Z n, B = c d f salausfunktio E(X) = AX + B avausfunktio D(Y ) = A 1 Y A 1 B. Z 2 n Esimerkki 2.5. Olkoon [ ] 2 3 A = M 2 (Z 26 ). 7 8 Lasketaan determinantti det A = 5 Z 26, joten käänteismatriisi on olemassa ja [ ] A 1 = M 2 (Z 26 ) Kryptaus- ja dekryptausfuntiot E(X) = AX, D(Y ) = A 1 Y. Salataan selkoteksti seuraavasti P = [ ] [ ] [ ] [ ] E(P ) = AP = = := C Avataan kryptoteksti C seuraavasti [ ] [ ] [ ] D(C) = A 1 C = = = P Huomautus 2.6. Jos valitaan A = I = [ ], niin E(X) = X + B, joten kyseessä on Vigenéren järjestelmä, missä r = 2. Vastaavasti matriisisalakirjoituksen erikoistapauksena saadaan yleinen Vigenéren järjestelmä, jos tarkastellaan r r-matriiseja. 12

16 Tarkastellaan nyt matriisisalakirjoituksen murtamista. Oletetaan ensin, että B = [ ] 0 0 ja tunnetaan kaksi paria selväkielistä tekstiä ja vastaavat salakirjoitukset. Tämä on mahdollista esimerkiksi niin, että sieppaaja onnistuu jotenkin lähettämään tekstiä tarkasteltavan kanavan kautta. Olkoot tunnetut selväkieliset tekstit P 1 = [ p11 p 21 ] ] ja P 2 = [ p12 p 22 sekä vastaavat salakirjoitukset ] C 1 = [ c11 c 21 ja C 2 = [ c12 c 22 ]. Tällöin C 1 = AP 1 ja C 2 = AP 2 eli [ ] ] p11 p 12 C = AP, missä P = [P 1 P 2 = p 21 p 22 [ ] ] c11 c 12 C = [C 1 C 2 =. c 21 c 22 ja Jos nyt P 1 ja P 2 on valittu niin, että detp Z n, niin P 1 on olemassa. Tällöin saadaan A = CP 1, A 1 = P C 1 ja järjestelmä on murrettu. Tapauksessa B = [ ] 0 0 murtamiseen tarvitaan vielä kolmas pari P3 ja C 3 : C 1 = AP 1 + B, C 2 = AP 2 + B, C 3 = AP 3 + B. Tällöin päästään yllä olevan kaltaiseen tilanteeseen vähentämällä kolmas yhtälö kahdesta ensimmäisestä: C 1 C 3 = A(P 1 P 3 ), C 2 C 3 = A(P 2 P 3 ). Jos tästä saadaan A, niin sen jälkeen B = C 1 AP 1. 13

17 Esimerkki 2.7. Olkoot tunnetut selväkieliset tekstit [ ] [ ] 3 4 P 1 = ja P 2 = 4 7 sekä vastaavat salakirjoitukset [ ] 2 C 1 = 1 [ ] 1 ja C 2 =. 2 a) Murra järjestelmä eli määrää käytetty salausmatriisi ja sitä vastaava avausmatriisi. b) Dekryptaa salattu viesti [ ] 3 C 3 =. 2 3 Julkisen avaimen salakirjoitus (public key cryptography) 3.1 Yleinen periaate/general principle Nykyaikaisissa tiedonvälitysjärjestelmissä perinteisillä salakirjoitusmenetelmillä on esimerkiksi seuraavat ongelmat: Avaimista sopiminen ja niiden välittäminen. Jos verkossa on n käyttäjää, tarvitaan ( n 2) = n(n 1)/2 avainta. Jos joku käyttäjä haluaa vaihtaa avaimensa (tai uusi käyttäjä liittyy verkkoon), tarvitaan n 1 (tai n) sopimusta uusista avaimista. Allekirjoitusongelma, koska normaali allekirjoitus on korvattava jotenkin. Aikaisemmin, kun salausta käytettiin lähinnä sotilaallisissa tai diplomaattisissa tarkoituksissa, nämä seikat eivät tuottaneet suurta ongelmaa. Vuonna 1976 Diffie ja Hellman esittivät ajatuksen julkisen avaimen järjestelmistä, joissa yllä mainitut ongelmat on selvitetty. Tällaisessa järjestelmässä kukin 14

18 käyttäjä U muodostaa oman salausmenettelynsä E U D U, jotka toteuttavat ehdon ja avausmenettelynsä D U (E U (m)) = m kaikilla selväkielisillä viestiyksiköillä m. (25) Kukin käyttäjä U julkaisee salausmenettelynsä E U avainkirjassa, joka on kaikkien käytettävissä. Avausmenettelyn D U käyttäjä U pitää vain omana tietonaan. Jos A haluaa lähettää selväkielisen viestiyksikön m käyttäjälle B, hän etsii avainkirjasta käyttäjän B salakirjoitusmenettelyn E B ja salakirjoittaa viestinsä sen avulla, ts. c = E B (m). Kun B saa salakirjoitetun viestin c, hän saa ehdon (25) avulla viestin m selville käyttämällä (salaista) avausmenettelyään D B : D B (c) = D B (E B (m)) = m. Jotta menettely olisi toimiva ja salaisuus säilyisi, tarvitaan seuraavat ehdot, joiden tulee olla voimassa kaikille käyttäjille U: Menettelyt E U ja D U ovat nopeita eivätkä tarvitse liian paljon muistia. Menettelyn E U avulla on käytännössä mahdotonta määrittää menettelyä DU, jolle DU(E U (m)) = m kaikilla m P. (26) (27) Ominaisuus (27) säilyttää järjestelmän salaisena ja mahdollistaa salausmenettelyn julkaisemisen avainkirjassa. Jos joku käyttäjistä vaihtaa avaimensa, riittää vaihtaa uusi E U avainkirjaan. Uuden käyttäjän mukaantulo on yhtä yksinkertaista. Edellä mainittu menettely muodostetaan usein käyttämällä yksisuuntaista funktiota tai salaovifunktiota. Määritelmä 3.1. Funktiota f sanotaan yksisuuntaiseksi, one-way, jos sen arvot ovat helposti laskettavissa ja käänteisfunktion f 1 (joka on olemassa) määrääminen on hyvin vaikeaa. Yksisuuntaista funktiota sanotaan salaovifunktioksi, jos sen käänteisfunktio on helppoa määrätä jonkin lisätiedon (salaovi, trapdoor) avulla. 15

19 Funktiota ei yleensä onnistuta todistamaan yksisuuntaiseksi, joten joudutaan käyttämään funktioita, joiden uskotaan olevan yksisuuntaisia. Tällaisten funktioiden muodostaminen perustuu usein vaikeisiin ja paljon tutkittuihin lukuteorian ongelmiin, esimerkiksi RSA-järjestelmässä suurten lukujen tekijöihin jakamisen vaikeuteen. Jos käytössä on salaovifunktioita f U, niin voidaan muodostaa ehdot (25) (27) toteuttava järjestelmä valitsemalla E U = f U ja D U = f 1 U. Koska julkisen avaimen salakirjoitus vaatii yleensä paljon enemmän aikaa kuin perinteiset menetelmät, sitä käytetään usein perinteisen menetelmän ohella avainten vaihdossa eli käytettävän perinteisen menetelmän avaimet vaihdetaan julkisen avaimen menetelmällä. 3.2 Allekirjoitussopimus/Signature protocol Tarkastellaan nyt allekirjoitusongelmaa, jonka ratkaisemiseksi asetetaan kaksi uutta vaatimusta, joiden tulee olla voimassa kaikille käyttäjille U: E U (D U (j)) = j kaikilla viesteillä j. (28) Menettelyn E U avulla on käytännössä mahdotonta määrittää menettelyä D U, jolle E U (D U(j)) = j kaikilla j C. (29) Julkisen avaimen järjestelmässä on usein P = C sama kaikilla käyttäjillä. Jos A lähettää käyttäjälle B selväkielisen viestin, hän lähettää viestin j allekirjoituksen muodossa S = D A (J), jolloin B etsii avainkirjasta menettelyn E A ja laskee ehdon (28) avulla E A (s) = E A (D A (j)) = j. Allekirjoituksen (signature) muodostaa pari (j, s). Menettely edellyttää ehtoja (26), (28) ja (29), erityisesti ehto (29) varmistaa, että vain A voi toimia lähettäjänä. Käyttäjä A ei voi myöskään jälkikäteen kieltää viestiä. 16

20 A j j B D A (j) = s s E A (s) = j EA Avainkirja/Key book SIGNATURE PROTOCOL: A Public channel B Message j P Secret data E A A signs message j: D A (j) = s Message with a signature to B (j, s) B B verifies the signature: E A (s) = j Edellä oleva menettely voidaan toteuttaa salaovifunktiolla f valitsemalla E A = f, D A = f Salattu allekirjoitus/encrypted signature Jos halutaan suorittaa salakirjoitus ja allekirjoitus, tarvitaan ominaisuudet (25) (29). Tällöin A muodostaa salatun viestin c = E B (j) ja allekirjoitusosasta s tekstin r = E B (s) = E B (D A (j)). Käyttäjä B soveltaa tähän funktiota E A D B : E A (D B (r)) = E A (D B (E B (D A (j)))) = E A (D A (j)) = j. Menettely E A löytyy avainkirjasta, mutta vain B tuntee menettelyn D B ja voi varmistaa salatun allekirjoituksen (c, r). A j E B E B (D A (j)) = r r r B E A (D B (r)) = j EA Avainkirja 17

21 SIGNATURE PROTOCOL WITH ENCRYPTING: A Public channel B Secret data Secret data Message j P E A, E B A encrypts message j: E B (j) = c (c, r) B B decrypts c: D B (c) = j A signs message j: D A (j) = s A encrypts signature s: E B (s) = r B verifies the signature: E A (D B (r)) = j Huomaa, että jos allekirjoitusta s ei salata, niin se voidaan avata seuravasti. Koska E A on julkisesti tiedossa, niin E A (s) = E A (D A (j)) = j, (30) jolloin alkuperäinen viesti j paljastuu. 4 RSA 4.1 RSA-salaus/RSA-encrypting RSA-menetelmässä (Rivest, Shamir, Adleman 1978) salaovifunktion muodostus perustuu vuosisatoja tutkittuun lukuteorian ongelmaan: kuinka annettu (suuri) luku n jaetaan alkutekijöihin? Yksisuuntaisen funktion perusta on nyt se, että annettujen lukujen tulo on nopeasti laskettavissa, mutta tekijöiden löytäminen tulosta vaatii nopeiltakin koneilta liikaa aikaa. Olkoot p ja q kaksi eri alkulukua ja n = pq. Tällöin φ(n) = (p 1)(q 1). Valitaan sellainen luku e, 1 < e < φ(n), että syt(e, φ(n)) = 1 (mikä tahansa alkuluku 18

22 e väliltä max{p, q} < e < φ(n) käy). Eukleideen algoritmin avulla löydetään ehdon 1 < d < φ(n) toteuttava luku d, jolle ed 1 (mod φ(n)) (31) eli ed = 1 + lφ(n), l N. (32) Lause 4.1. Olkoon n = pq, missä p, q P, p = q. Tällöin a lφ(n)+1 a (mod n), a Z, l N. (33) Todistus: 1) Jos syt(a, n) = 1, niin Euler-Fermat n (160) nojalla a φ(n) 1 (mod n) a lφ(n) 1 (mod n) (34) a lφ(n)+1 a (mod n). (35) 2) Jos syt(a, n) = 1, niin meillä on kolme tapausta: a 0 (mod n); (36) a 0 (mod p), a 0 (mod q); (37) a 0 (mod p), a 0 (mod q). (38) Tapaus (36): a 0 (mod n) a lφ(n)+1 0 (mod n). (39) Tapaus (37): Nyt a 0 (mod p) a lφ(n)+1 0 (mod p) (40) a lφ(n)+1 a (mod p). (41) 19

23 Toisaalta Pikku Fermat n (163) nojalla a q 1 1 (mod q) a (q 1)(p 1) 1 (mod q). (42) Koska niin φ(n) = φ(pq) = (q 1)(p 1), (43) a lφ(n)+1 a (mod q). (44) Soveltamalla Lausetta 9.1 tuloksiin (41) ja (44) saadaan Tapaus (38) kuten (37). a lφ(n)+1 a (mod pq). (45) Lause 4.2. a ed = a a Z n. (46) Todistus: Tuloksien (32) ja (33) mukaan a ed a (mod n), a Z. (47) Lause 4.3. Funktiot E(x) = x e, D(y) = y d (48) ovat bijektioita : Z n Z n ja D = E 1. (49) Todistus: Asetetaan E(x 1 ) = E(x 2 ) D(E(x 1 )) = D(E(x 2 )) (50) x ed 1 = x ed 2 x 1 = x 2 (51) joten E : Z n Z n on injektio ja siten bijektio. Siten myös D : Z n Z n on bijektio. Edelleen joten D = E 1. D(E(x)) = x x Z n, (52) 20

24 Määritelmä 4.4. Funktio E(x) = x e, E : Z n Z n (53) on RSA-kryptausfunktio, missä e on kryptauseksponentti (julkinen avain) ja D(y) = y d, D : Z n Z n (54) on RSA-dekryptausfunktio, missä d on dekryptauseksponentti (salainen avain). Esimerkki 4.5. p = 7, q = 13, n = pq = 91, φ(n) = 72, e = 5, d = 29 (55) Selkoteksti ok = 1410 = m 1 m 2, (56) m 1 = 14, m 2 = 10 (57) Kryptoteksti c 1 c 2, c 1 = m e 1 = 14 5 = 14, c 2 = m e 2 = 10 5 = 82 (58) Dekryptataan c d 1 = = 14 = o, c d 2 = = 10 = k. (59) Esimerkki 4.6. p = 101, q = 107, n = pq, φ(n) = 10600, e = 3, d = (60) Funktioiden arvot ovat nopeasti laskettavissa potenssiinkorotuksella modulo n, kun e ja d tunnetaan. Jos n ja e tunnetaan, niin E(m) on laskettavissa, mutta luvun d laskeminen ei onnistu ilman lukua φ(n), jonka löytäminen edellyttää alkulukujen p ja q tuntemista eli luvun n tekijöihinjakoa. Luku d on siis salaovi (trapdoor), jota ilman D = E 1 ei löydy, ja E on salaovifunktio. 21

25 RSA-järjestelmässä kukin käyttäjä U valitsee yllä olevaan tapaan alkuluvut p U ja q U, laskee luvun n U = p U q U, valitsee sitten luvun e U, 1 < e U < φ(n U ), ja laskee luvun d U, jolle e U d U 1 (mod φ(n U )). Avainkirjassa kukin käyttäjä julkaisee avaimensa K U = (n U, e U ), mutta pitää omana tietonaan luvun d U (ja luvut p U, q U ), joka muodostaa salaoven. Kun käyttäjä A haluaa lähettää viestin käyttäjälle B, hän muuntaa viestinsä joukon Z nb alkioiksi esimerkiksi seuraavassa kappaleessa esitettävällä tavalla ja toimii edellä kuvatun yleisen periaatteen mukaisesti. Viestin m Z nb salakirjoitus on E B (m) = m e B = c Z nb. Vain B tietää luvun d B, joten hänen avausfunktionsa on D B (c) = c d B = m e Bd B = m. Secret data A Public channel B Secret data p, q P 3, p = q m P n = n B = pq Encrypting n = n B, e = e B n B to be published c = m e Z n φ(n) = (p 1)(q 1) Cryptotext sent to B c B c B e = e B Z φ(n) e = e B to be published d = e 1 Z φ(n) Decrypting c d = m 22

26 Esimerkki 4.7. A Public channel B Secret data Secret data p = 1223, q = P n = n B = Encrypting n = n B, e = e B n B to be published c = m e = φ(n) = = e B = Z φ(n) Z n e = e B to be published Cryptotext sent to B c = B d = e 1 = Z φ(n) Decrypting c = B c d = = RSA-allekirjoitus/RSA-signature Esimerkki 4.8. p = 7, q = 13, n = pq = 91, φ(n) = 72, e A = 5, d A = 29. (61) A Public channel B Message j = 82 Z 91 E A (x) = x e A = x 5 Secret data D A (x) = x d A = x 29 A signs message j = 82: D A (82) = = 10 = s Message with a signature to B (j, s) = (82, 10) B B verifies the signature: E A (s) = 10 5 = 82 = j 23

27 Esimerkki 4.9. n A = p A q A = 119, φ(n A ) = 96, e A = 5, d A = 77. (62) n B = p B q B = 143, φ(n B ) = 120, e B = 7, d B = 103. (63) SIGNATURE PROTOCOL WITH ENCRYPTING: Note that we need to have n A < n B!! A Public channel B Secret data Secret data Message j = 2 Z 119 E A (x) = x 5, E B (x) = x 7 A encrypts message j = 2: E B (j) = j e B = 2 7 = (c, r) = (128, 98) B B decrypts c = 128: 128 = c Z 143 D B (c) = c d B = A signs message j Z 119 : = 2 = j D A (j) = j d A = 2 77 = 32 = s A encrypts signature s Z 143 : E B (s) = s e B = 32 7 = B verifies the signature: 98 = r Z 143 E A (D B (r)) = E A (r d B ) = E A ( ) = E A (32) = 32 5 = 2 = j. :) 4.3 Tekstin esittäminen joukon Z n alkioina Esimerkki Olkoot p = 1223, q = 1987, n = pq = , e = , d = (64) Selkoteksti plaintext = = m 1 m 2 m 3, (65) kannattaa jakaa paloihin m 1 = , m 2 = , m 3 = , (66) 24

28 joiden pituus (tässä 6 bittiä) on pienempi kuin luvun n = (tässä 7 bittiä). Siten varmuudella 0 m 1, m 2,... n 1, (67) joten luvut (66) voidaan tulkita yksikäsitteisiksi joukon Z n alkioiksi eli m 1, m 2,... Z n. (68) Kryptaaminen tapahtuu joukossa Z n seuraavasti c 1 c 2 c 3, c 1 = m e 1, c 2 = m e 2,..., (69) missä c 1, c 2,... Z n. (70) 4.4 RSA-turvallisuus/security Turvallisuus perustuu dekryptauseksponentin d piilottamiseen. Vaikka kryptauseksponentti e tunnetaan, niin tarvittaisiin φ(n) luvun d laskemiseen ed 1 (mod φ(n)). (71) Jos murretaan: 1) tekijöihinjako n = pq, (72) niin saataisiin φ(n). Tämä on vaikeaa isoille luvuille Neliöseula-hyökkäys/Quadratic sieve attack Neliöseula-hyökkäys=Quadratic sieve attack. Olkoon n = pq, p < q, p, q P 3. (73) 25

29 Asetetaan ja p = a b, q = a + b a, b Z +, (74) n = pq = a 2 b 2 < a 2 A := n a. (75) ALGORITMI I: Lasketaan lukuja a 2 n, a = A + k, k = 0, 1,..., ( 2 1)A, (76) ja tutkitaan tuleeko neliö: = b 2, b Z + ; a 2 n = = b 2, b Z +. (77) ALGORITMI II: Lasketaan lukuja n + b 2, b = 1,..., A 1, (78) ja tutkitaan tuleeko neliö. Huomautus Käytännössä ylärajat ovat kokoluokkaa log A. Esimerkki Olkoon n = 1147, A = 34. ALGORITMI I: Lasketaan lukuja (34 + k) , k = 0, 1,... (79) Koska (34 + 0) = 3 2, (80) niin saadaan hajotelma 1147 = = (81) ALGORITMI II: Lasketaan lukuja b 2, b = 1, 2,... (82) 26

30 = 1148 = ; (83) = 1151 = ; (84) = 1156 = = = (85) Esimerkki Olkoon n = 1891, A = 44. ALGORITMI I: = ; (86) = ; (87) = 225 = =... (88) Esimerkki Olkoon n = 403. ALGORITMI II: = ; (89) = ; (90) = 484 = 22 2 ; 403 = (91) Siten, jos alkutekijät ovat kaukana toisistaan, niin algoritmista tulee pitkä. Voidaan kokeilla seuraavaa algoritmia. ALGORITMI III: Valitaan luvun k Z + arvoja k = 3, 4,... ja lasketaan lukuja kn + c 2, c = 0, 1,..., (92) 27

31 ja tutkitaan tuleeko neliö.? kn + c 2 =? (93) Huomautus Tapauksessa k = 2, saataisiin kn + c 2 = 2n + c 2 = c = 0, 1,... (94) Todistus: Vastaoletus Aluksi huomataan 2n + c 2 =. (95) 2n = 4k (mod 4) (96) ja Siten Ristiriita n + c 2 = (mod 4). (97) 0 = 1 (mod 4). (98) Esimerkki Olkoon n = 403 ja k = 3, jolloin kn = ALGORITMI III: = ; (99) = 1225 = 35 2 ; 3n = (100) Ehto tarkoittaa, että kn + c 2 = (101) kn = d 2 c 2 (102) 28

32 d 2 c 2 (mod n). (103) Kongruenssit (103) muodostavatkin neliöseula-menetelmien perustan. ALGORITMI IV: Lasketaan kongruensseja? (A ± k) 2? (mod n). (104) Esimerkki Olkoon n = 403, A = 21. ALGORITMI IV: (mod n) 3 = ; (105) (mod n) 38 = ; (106) (mod n)... (107) ALGORITMI V: Kongruenssi d 2 c 2 (mod n) (108) on yhtäpitävää yhtälön (d c)(d + c) = ln, l Z (109) kanssa. Kun luvut c = d ovat isoja, niin lasketaan syt(d ± c, n) = d ±. (110) Jos pätee niin 1; d ± = n, (111) d ± {p, q}. (112) 29

33 Esimerkki Olkoon n = 799, A = 29. ALGORITMI V: (mod n); (113) (mod n); (114) (mod n); (115) (mod n). (116) Oikealle puolelle ei tullut neliöita mutta kertomalla kongruenssit ( ) puolittain saadaan ( ) 2 ( ) 2 (mod 799) (117) (mod 799) (118) Nyt Eukleideen algoritmilla ALGORITMI VI: ( )( ) = l 799. (119) syt(799, 141) = 47 {p, q} p = 17, q = 47. (120) Edellisiä kongruensseja (mod n) kannattaa laskea myös lukujen A j := jn, j = 1, 2, 3,... (121) ympäristöissä. Esimerkki Olkoon n = 4841, A 1 = 70, A 2 = 99, A 3 = 121. ALGORITMI VI: (mod n);... (122) 30

34 (mod n);... (123) (mod n);... (124) Kryptausfunktio-iteraatiot Osa kryptotekstiä voidaan mahdollisesti murtaa kohdistamaalla siihen kryptausfunktion iteraatioita. Lause Jos niin E h+1 (c) = c, h = 0, 1,..., (125) m = E h (c). (126) Todistus. Esimerkki Olkoot n = 65, e = 5. (127) Murretaan kryptotekstit c 1 = 32, c 2 = 49. (128) Laskemalla E(c 1 ) = E(32) = 2, E 2 (c 1 ) = E(2) = 32 = c 1, m = E(c 1 ) = 2. (129) 5 Diskreetti logaritmi 5.1 Diskreetti logaritmi kertolaskuryhmässä Olkoon H äärellinen syklinen kertalukua h = #H oleva ryhmä eli H = β = {β j j = 0, 1,..., h 1} = 31

35 {1, β, β 2,..., β h 1 }. (130) Huomaa, että β 0 = β h = β 2h =... = 1. (131) Määritelmä 5.1. Alkion y H diskreetti logaritmi kannan β suhteen on eksponentti k {0, 1,..., h 1}, jolle pätee y = β k. Tällöin käytetään merkintää k = log β y. (132) Lause 5.2. log β 1 = 0; (133) log β xy log β x + log β y (mod h); (134) log β x k k log β x (mod h). (135) Esimerkki 5.3. H = Z 71 = 7 on syklinen ja h = φ(71) = 70. Lasketaan siis (mod 71) ja eksponentit (mod 70). 7 2 = 49 log 7 49 = = 59 log 7 59 = = 2. log 7 2 = 6 7? = 33 log 7 33 =? 7 35 = 70 = 1. log 7 70 = log 7 1 = = 61 log 7 61 = = 1 = 7 0 log 7 1 = 0 32

36 5.2 Ryhmät Z n Primitiivijuuret Määritelmä 5.4. Olkoon n Z 2. Luku b {1, 2,..., n 1} on primitiivijuuri (mod n), jos Z n = b eli b generoi ryhmän Z n. Käytetään myös merkintää ind b y = log b y. Lause 5.5. Z n on syklinen Todistus: Lukuteoria A Siten n = 2, 4, p l, 2p l, l Z +, p P 3. (136) Primitiivijuuri (mod n) n {2, 4} P Z+ 3 2P Z+ 3. Huomaa, että Lause 5.6. Z n = b ord b = φ(n). (137) 5.3 Diskreetin logaritmin ongelma D.L=Diskreetin logaritmin ongelma. Olkoon H = β, #H = h, missä β ja h tunnetaan. Valitaan y H vapaasti. Määritä tällöin log β y, kun h=iso. ESIM: Valitaan h , 1 r h 1. Tällöin r = e t 1 2 t e 0, t Potenssin a r laskemiseen tarvitaan ainoastaan 2000 laskutoimitusta (Lemma 10.1), kun taas diskreetin logaritmin log β y määrääminen vaatii jopa laskua H:ssa. Eli D.L sanoo sen, että käytännössä potenssiinkorotus on nopeaa ja logaritmin määrittäminen :n hidasta. Huomautus = 1024 = 10 3 log 2 3 = log = =

37 log = 10 log 10 = Huomautus 5.8. D.L ongelman vaikeus riippuu valitusta ryhmästä: (a) (H, ) = (Z n, +), missä Z n = β = {k1 k Z} = {0, 1, 2,..., n 1}. Tässä D.L on HELPPO. (b) (H, ) = (Z n, ), n = p l, 2p l, p P 3. Tässä D.L on yleensä VAIKEA. (c) (H, ) = (F q, ) eli äärellisen kunnan kertolaskuryhmä, missä D.L on yleensä VAIKEA. (d) (H, ) = (E, +) eli elliptisen käyrän yhteenlaskuryhmä, missä D.L on yleensä VAIKEA. 6 Diffie-Hellman avaimenvaihto Tarkastellaan järjestelmää yleisessä syklisessä ryhmässä H = β, h = #H. Siis ryhmä H sen generaattori β ja kertaluku h ovat kaikkien käyttäjien U = A, B, C,... tiedossa. Jokainen käyttäjä U = A, B, C,... valitsee salaisen avaimen m U =eksponentin, jonka avulla U laskee luvun k U = β m U, joka julkaistaan. Olkoot a = m A, b = m B,... (138) salaisia avaimia (secret keys) ja k A (= β a ), k B (= β b ),... (139) julkisia avaimia (public keys). Tällöin käyttäjä A laskee luvun k A,B = (k B ) a (140) ja vastaavasti käyttäjä B laskee luvun k B,A = (k A ) b. (141) 34

38 Nyt k A,B = (k B ) a = (β b ) a = (β a ) b = (k A ) b = k B,A (142) eli saadaan yhteinen avain. A Public channel B Secret data Secret data H = β, h = #H a = m A k A = β a b = m B k B = β b k A B k A B A k B A k B k A,B = (k B ) a k B,A = (k A ) b Esimerkki 6.1. Olkoon ryhmänä Z 71 = 7, (143) ja julkisina avaimina k A = 59, k B = 62. (144) A: Salainen eksponentti a = 3. Laskee k A,B = (k B ) a = 62 3 = 52. (145) Toisaalta B: Salainen eksponentti b = 17. Laskee k B,A = (k A ) 17 = = 52. (146) Siten saadaan yhteinen avain

39 A Public channel B Secret data Secret data H = Z 71 = 7, h = 70 a = 3 b = 17 k A = 7 3 = 59 k B = 7 17 = 62 k A = 59 B k A = 59 B A k B = 62 A k B = 62 k A,B = 62 3 = 52 k B,A = = 52 Useampi käyttäjä: U salainen avain= x julkinen k U (= β x ) A a k A B b k B C c k C.. U Yhteinen avain k U,Y = (k Y ) x A k A,B k A,C B k B,A k B,C C k C,A k C,B. missä k X,Y = k Y,X X, Y {A, B, C,...} ja käyttäjien X ja Y yhteinen avain on vain X:n ja Y :n tiedossa. Järjestelmän turvallisuus perustuu Diffie-Hellman ongelmaan. 6.1 Diffie-Hellman ongelma D.H=Diffie-Hellman ongelma. Määrää β ab luvuista β, β a, β b, h (a, b salaisia). 36

40 Yleisesti oletetaan, että D.H D.L. Perustelua: Olkoot y = β a, z = β b. Tehdään yritelmiä: 1) a = log β y, b = log β z ab β ab, mutta pitäisi laskea logaritmit. yz = β a+b a + b = log β (yz) 2) a, b ab, mutta jälleen tarvitaan logaritmit. y = z βa b a b = log β ( y ) z 3) Jotain muuta...? Siten, vaikka käyttäjä C tietää luvut k A ja k B, niin C = A, B ei voi päätellä ilman logaritmeja A:n ja B:n yhteistä avainta k A,B. 7 ElGamal kryptausjärjestelmä Nyt R = H, S = H H ja E : H H H. Tässäkin jokainen käyttäjä U = A, B, C,... valitsee salaisen avaimen m U =eksponentin, jonka avulla U laskee luvun k U = β m U, joka julkaistaan. Seurataan miten käyttäjä A kryptaa viestin m ja lähettää sen käyttäjälle B. Julkiset avaimet k A = β a, k B = β b. (147) A: Määrittää yhteisen avaimen k A,B = k B a (148) ja laskee luvun v A = mk B a = mk A,B. (149) 37

41 salaisia julkisia A a m k A E A (m) = (k A, v A ) v A = mk A,B B b k B Nyt käyttäjä B dekryptaa saadun sanoman: B: Laskee aluksi yhteisen avaimen eli ja jakaa k B,A = k A b = k A,B (150) v A k B,A = mk A,B k A,B = m. (151) TURVALLISUUDESTA: 1. Avain a on vaihdettava jokaisen käyttökerran jälkeen, sillä jos C on saanut tiedon aikaisemmasta viestistä m 1, niin v 1 = m 1 k B,A m 2 = v 2 m 1. (152) v 2 = m 2 k v 1 B,A 2. Muutoin järjestelmän turvallisuus perustuu D.H. ongelmaan. Esimerkki 7.1. Jatketaan Esimerkin 6.1 parametreilla. Olkoon lähetettävä viesti m = 41. Nyt A kryptaa: B dekryptaa v A = mk A,B = = 2. (153) v A k A,B = 2 52 = 41. (154) Esimerkki 7.2. Jatketaan Esimerkkien 6.1 ja 7.1 parametreilla. Merkitään m 1 = 41 ja v 1 = 2 ja olkoon uusi viesti m 2 = 3, jolloin v 2 = 14. Jos C tietää aikaisemman viestin m 1 = 41, niin laskemalla käyttäjä C saa selville uuden viestin m 2 = 3. m 1 v 2 v 1 = = 3 (155) 38

42 8 Huomautuksia Edellä ei ole käsitelty esiteltyjen julkisen avaimen järjestelmien heikkouksia, kuten murtamismahdollisuuksia. RSA:ta pidetään varsin turvallisena, kun p ja q ovat riittävän suuria sekä niiden valinnassa otetaan huomioon eräitä rajoituksia. Vuonna 2010 turvallisena avainpituutena pidetään 1024 bittiä (reilut 300 numeroa 10-kanteisena). Myös 512-bittiset avaimet antavat melko hyvän suojan, vaikkeivat ne järeitä hyökkäyksiä kestäkään. On arvioitu, että parin vuosikymmenen kuluttua RSA-avaimen olisi oltava 3072-bittinen (3072 = , ) ollakseen turvallinen. Myös diskreetti logaritmi lienee luotettava, kun kunta Z p (tai yleisempi äärellinen kunta) on riittävän suuri. Voidaan myös kysyä täsmällisempää tietoa eri menetelmien vaatimien laskutoimitusten määristä eli tarvittavasta laskenta-ajasta. Luonnollisesti tulee esille myös kysymys siitä, miten esimerkiksi RSA:n tarvitsemia suuria alkulukuja on löydettävissä. Syventävien opintojen kurssilla Kryptografia tarkastellaan lähemmin näitä kysymyksiä sekä esitellään menetelmiä, jotka vaativat syvällisempiä matematiikan tietoja. 9 Lukuteoriaa 9.1 Eräs kongruenssiryhmä Lause 9.1. A) Olkoot p, q P ja p = q. Näytä, että yhtälöistä a b (mod p) (156) a b (mod q) seuraa a b (mod pq). (157) B) Olkoot m i Z ja m i m j kaikilla i = j. Näytä, että yhtälöistä a b (mod m i ) i = 1,..., r (158) seuraa a b (mod m 1 m r ). (159) 39

43 9.2 Euler-Fermat Lause 9.2. EULER-FERMAT: Olkoot a Z, n Z 2 annettu ja a n. Tällöin a φ(n) 1 (mod n). (160) Lause 9.2 voidaan lausua myös muodossa: a φ(n) = 1, a Z n. (161) Tästä käy ilmi, että a 1 = a φ(n) 1, (162) joten käänteisalkio a 1 saadaan potenssiinkorotuksella laskemalla a φ(n) 1. Lause 9.3. FERMAT N PIKKULAUSE: Olkoon p P annettu. Tällöin a p 1 1 (mod p), jos p a Z; (163) a p a (mod p), a Z. (164) Olettaen (163) todistetaan (164): Jos syt(a, p) = 1, niin Pikku Fermat n (163) nojalla a p a (mod p). (165) Jos p a, niin a 0 (mod p) a p 0 (mod p) (166) a p a (mod p). (167) 40

44 10 Nopeaa potenssilaskentaa 10.1 Nopeaa potenssilaskentaa/kertolaskuryhmässä Lasketaan ryhmässä H alkion a H potenssi: a r, r Z +, r h = #H, r = e t 1 2 t e 0, e i {0, 1}, e t 1 = 1. (168) Aluksi: a 1 = a a 2 = a 2 1 = a 21 a 3 = a 2 2 = a 22 (169) Yhteensä t 1 kertolaskua. Seuraavaksi:. a t = a 2 t 1 = a 2t 1. a r = a e t 1 t missä korkeintaan t 1 kertolaskua. Siten a e t 2 t 1... a e 0 1, (170) Lause Olkoon 1 r h = #H. Tällöin potenssin a r laskemiseen tarvitaan ryhmän H laskutoimitusta. 2t 2 2 log 2 r 2 log 2 h (171) Esimerkki a Z p, #Z p = p 1 = h. (172) r p t (173) 41

45 11 Funktioista Kurssilta Johdatus matemaattiseen päättelyyn löytyy peruskäsitteet, kuten injektio, surjektio ja bijektio. Lause Olkoon ja #A = #B (174) f : A B (175) injektio. Tällöin f : A B on bijektio. 42