TAMPEREEN YLIOPISTO Pro gradu -tutkielma. Ville-Matti Erkintalo. Lukuteoria ja RSA

Transkriptio

1 TAMPEREEN YLIOPISTO Pro gradu -tutkielma Ville-Matti Erkintalo Lukuteoria ja RSA Matematiikan ja tilastotieteen laitos Matematiikka Maaliskuu 2008

2 Tampereen yliopisto Matematiikan ja tilastotieteen laitos ERKINTALO, VILLE-MATTI: Lukuteoria ja RSA Pro gradu -tutkielma, 43 s. Matematiikka Maaliskuu 2008 Tiivistelmä Tässä tutkielmassa tarkastellaan lukuteoriaa ja sen soveltamista tiedon salaamisessa. Erityisen mielenkiinnon kohteena on laajalti käytetty salausmenetelmä RSA, joka perustuu lukuteorian keskeisimpiin tuloksiin. Tieto- ja viestintätekniikan ja erilaisten sähköisten palveluiden käytön lisääntymisen myötä tiedon salaaminen on entistä tavallisempaa. Tutkielman luvussa 1 käsitellään lukuteorian peruskäsitteistä muun muassa jaollisuutta, alkulukuja ja kahden kokonaisluvun suurinta yhteistä tekijää. Luvussa 2 keskitytään kongruenssiin, sen ominaisuuksiin ja sovelluksiin. Luvussa 3 tutustutaan tiedon salaamiseen ja erityyppisiin salausmenetelmiin sekä niiden käyttöön. Tutkielman alkuosa pohjustaa lukua 4, jossa tarkastellaan salausmenetelmä RSA:ta.

3 Sisältö Johdanto 4 1 Lukuteorian perusteita Jaollisuus Kokonaislukujen esitystavoista Alkuluvut Suurin yhteinen tekijä Kongruenssista Kongruenssin ominaisuuksia Jäännössysteemeistä Lineaarisista kongruensseista Kongruenssiyhtälöryhmät ja Kiinalainen jäännöslause Eulerin funktio ja lause Kryptograa Kryptosysteemi Kryptanalyysi Julkisen avaimen kryptosysteemi Idea Edut RSA Kryptosysteemi Tunnettuja haavoittuvuuksia Viitteet 43

4 Johdanto Tiedon salaaminen ja salakirjoitus lienevät yhtä vanhoja kuin kirjoitustaito itse. Tieto- ja viestintätekniikan ja erilaisten sähköisten palveluiden käytön lisääntymisen myötä tiedon salaaminen on entistä tavallisempaa. Salakirjoituksen tutkimuksesta käytetään termiä kryptograa. Kirjallisuudessa käytetään joskus samasta asiasta termiä kryptologia, jolloin termi kryptograa on varattu tiedon salauksessa hyvää tarkoittavien tahojen toiminnalle. Kryptograan menetelmät perustuvat lähes poikkeuksetta lukuteoriaan, jonka tärkeimpiä tutkimuskohteita ovat positiiviset kokonaisluvut ja erityisesti alkuluvut. Viestien salaus- ja purkumenetelmästä käytetään yhteisnimitystä kryptosysteemi. Kryptosysteemit jaetaan tavallisesti klassisiin ja julkisen avaimen kryptosysteemeihin. Klassisten systeemien salausmenetelmät on pidettävä turvallisuuden säilyttämiseksi rajatun käyttäjäryhmän tietona, kun taas julkisen avaimen kryptosysteemien tapauksessa salausmenetelmät voidaan turvallisesti julkaista. Tämän tutkielman päämääränä on tarkastella julkisen avaimen kryptosysteemi RSA:ta. Tutkielman kahdessa ensimmäisessä luvussa tutustutaan RSA:n kannalta olennaisiin lukuteorian tuloksiin. Valikoiduin osin käsittely on RSA:n vaatimuksia hieman laajempaa. Luvussa yksi tutustutaan lukuteorian peruskäsitteisiin ja -tuloksiin, kuten jaollisuus, alkuluvut ja suurin yhteinen tekijä. Luvussa kaksi tarkastellaan kongruenssia ja sen ominaisuuksia eri yhteyksissä. Luku kolme esittelee kryptograaan ja kryptosysteemeihin liittyviä käsitteitä. Lisäksi luvussa tutustutaan esimerkinomaisesti historiallisesti mielenkiintoiseen Caesarin kryptosysteemin ja luodaan katsaus klassisen ja julkisen avaimen kryptosysteemien väliseen suhteeseen. Luvussa neljä keskitytään tutkielman alkuosan pohjustamana kryptosysteemi RSA:n toimintaan ja soveltamiseen. Lukijan on hyvä olla perehtynyt matemaattiseen esitystapaan, merkintöihin ja todistustekniikoihin. Matematiikan perusopinnot yliopistossa antavat varmasti riittävät valmiudet, mutta tutkielman sisällön ymmärtäminen lienee mahdollista myös lukion matematiikan pitkän oppimäärän suorittaneelle lukijalle. Lukuteorian osalta tutkielma perustuu pääosin Kenneth H. Rosenin teokseen Elementary Number Theory and Its Applications - Fifth Edition [5], kryptograan osalta päälähteenä on toiminut Arto Salomaan Public-Key Cryptography [7]. Esimerkkitehtävät ovat tutkielman kirjoittajan ratkaisemia, mutta niihin on usein otettu mallia lähdeteosten esimerkeistä. Esimerkin kohdalla on mainittu, jos tehtävä kuuluu lähdeteoksen harjoitustehtävävalikoimaan. 4

5 1 Lukuteorian perusteita Luvussa 1 tutustutaan lukuteorian peruskäsitteisiin ja -tuloksiin. 1.1 Jaollisuus Määritelmä 1.1. Oletetaan, että a ja b ovat kokonaislukuja ja a 0. Luku a jakaa luvun b, jos on olemassa sellainen kokonaisluku c, että b = ac. Tällöin luku a on luvun b jakaja tai tekijä ja luku b on luvun a monikerta. Merkintä. Jos luku a jakaa luvun b merkitään a b. Jos luku a ei jaa lukua b merkitään a b. Esimerkki 1.1. Selvästi 2 8, sillä 8 = 2 4. Toisaalta taas 3 7, sillä ei ole sellaista kokonaislukua c, että 7 = 3 c. Lause 1.1. Jaollisuus on transitiivinen relaatio. Todistus. Vrt. [5, s. 37]. Olkoot a, b ja c kokonaislukuja. Jos a b ja b c, niin jaollisuuden määritelmän perusteella on olemassa sellaiset kokonaisluvut k ja l, että b = ak ja c = bl. Tällöin c = bl = (ak)l = a(kl), joten a c ja lause on todistettu. Lause 1.2. Olkoot a, b, m ja n kokonaislukuja. Jos c a ja c b, niin c (ma + nb). Todistus. Vrt. [5, s. 37]. Jos c a ja c b, niin on olemassa sellaiset kokonaisluvut k ja l, että a = ck ja b = cl. Nyt ma+nb = m(ck)+n(cl) = c(mk +nl), joten c (ma + nb) ja lause on todistettu. Esimerkki 1.2. [9, s. 56, tehtävä 6]. Osoitettava, että jos a b ja c d, niin ac bd. Ratkaisu. Olkoot a, b, c ja d sellaisia kokonaislukuja, että a 0 ja c 0. Oletetaan, että a b ja c d, joten on olemassa sellaiset kokonaisluvut k ja l, että b = ak ja d = cl. Nyt bd = akcl = kl(ac), joten määritelmän perusteella ac bd. Hyvinjärjestysperiaatteen mukaan jokaisella epätyhjällä joukolla positiivisia kokonaislukuja on pienin alkio. Hyvinjärjestysperiaate voidaan kokonaislukujen määrittelytavasta riippuen ottaa mukaan positiiviset kokonaisluvut määritteleviin aksioomiin tai se voidaan johtaa käytössä olevasta aksioomasysteemistä. Seuraava tulos perustuu hyvinjärjestysperiaatteeseen. [5, s. 6] 5

6 Lause 1.3 (Jakoalgoritmi). Olkoot a kokonaisluku ja b positiivinen kokonaisluku. Tällöin on olemassa sellaiset yksikäsitteiset kokonaisluvut q ja r, että a = bq + r, missä 0 r < b. Todistus. Vrt. [5, s. 38]. Olkoot a ja b kuten lauseen muotoilussa. Olkoon S = {a bk k Z} ja olkoon T = {x S x 0}. Joukko T ei ole tyhjä, sillä joukon S alkiot ovat positiivisia aina, kun k < a b. Hyvinjärjestysperiaatteen nojalla joukolla T on pienin alkio r = a bq. Määrittelyn perusteella r 0. Oletetaan, että r b, jolloin r > r b = a bq b = a b(q + 1) 0, joka on ristiriidassa sen kanssa, että r = a bq on pienin joukon T alkioista. Tämän perusteella r < b, joten 0 r < b. Osoitetaan sitten lukujen q ja r yksikäsitteisyys ja oletetaan, että a = bq 1 +r 1 ja toisaalta a = bq 2 +r 2, missä 0 r 1 < b ja 0 r 2 < b. Vähentämällä yhtälöt toisistaan saadaan josta edelleen a a = b(q 1 q 2 ) + (r 1 r 2 ), r 2 r 1 = b(q 1 q 2 ). Huomataan, että b (r 2 r 1 ). Lukujen r 1 ja r 2 määrittelyn perusteella b < r 2 r 1 < b, joten jakoyhtälö voi päteä vain, jos r 2 r 1 = 0, jolloin r 2 = r 1. Koska a = bq 1 + r 1 ja toisaalta a = bq 2 + r 2, niin myös q 1 = q 2. Luvut q ja r ovat siis yksikäsitteiset ja lause on todistettu. Jakoalgoritmin käyttöä havainnollistetaan lauseen 1.4 todistuksessa ja esimerkissä 1.3. Huomautus. Jakoalgoritmissa esiintyvää lukua q kutsutaan osamääräksi, lukua r jakojäännökseksi, lukua a jaettavaksi ja lukua b jakajaksi. Huomautus. Kahden nollasta eroavan kokonaisluvun a ja b pienin yhteinen monikerta on pienin positiivinen kokonaisluku, joka on jaollinen sekä luvulla a, että luvulla b. Lukujen a ja b pienimmästä yhteisestä monikerrasta käytetään merkintää [a, b]. 1.2 Kokonaislukujen esitystavoista Lause 1.4. Olkoon b sellainen positiivinen kokonaisluku, että b > 1. Jokainen positiivinen kokonaisluku n voidaan esittää yksikäsitteisesti muodossa n = a k b k + a k 1 b k a 1 b + a 0, missä k 0, a j on sellainen kokonaisluku, että 0 a j b 1 (j = 0, 1,... k) ja kerroin a k 0. 6

7 Todistus. Vrt. [5, s. 44]. Johdetaan ensin jakoalgoritmin avulla kokonaisluvulle n esitys edellä kuvatussa muodossa ja osoitetaan sitten sen yksikäsitteisyys. Olkoon b > 1. Jaetaan luku n luvulla b, jolloin saadaan n = bq 0 + a 0, 0 a 0 b 1. Jos q 0 0 niin jaetaan q 0 luvulla b, jolloin q 0 = bq 1 + a 1, 0 a 1 b 1. Jatketaan jakamista kunnes osamääräksi saadaan 0. q 1 = bq 2 + a 2, 0 a 2 b 1, q 2 = bq 3 + a 3, 0 a 3 b 1,. q k 2 = bq k 1 + a k 1, 0 a k 1 b 1, q k 1 = b 0 + a k, 0 a k b 1. Osamäärien jono q 0, q 1, q 2,... on aidosti vähenevä ja sen jäsenet ovat einegatiivisia, joten siinä on enintään q 0 jäsentä ja viimeinen niistä on 0. Edellisen perusteella n = bq 0 + a 0, johon sijoitetaan q 0 ja saadaan yhtälö n = b(bq 1 + a 1 ) + a 0 = b 2 q 1 + a 1 b + a 0. Sijoittamalla edelliseen yksi kerrallaan q 1, q 2,..., q k 1 saadaan n = a k b k + a k 1 b k a 1 b + a 0, missä 0 a j b 1 (j = 0, 1,..., k) ja a k 0, sillä a k = q k 1 on viimeinen nollasta eroava osamäärä. Haluttu esitys kokonaisluvulle n on nyt johdettu. Osoitetaan seuraavaksi esityksen yksikäsitteisyys. Oletetaan, että on olemassa kaksi luvun n kanssa yhtäsuurta esitystä. Tällöin n = a k b k + a k 1 b k a 1 b + a 0 = c k b k + c k 1 b k c 1 b + c 0, missä 0 a k b 1 ja 0 c k b 1. Vähentämällä lausekkeet toisistaan saadaan (a k c k )b k + (a k 1 c k 1 )b k (a 1 c 1 )b + (a 0 c 0 ) = 0. 7

8 Oletetaan sitten, että esitykset ovat erilaiset. Tällöin on olemassa pienin sellainen kokonaisluku j, 0 j k, että a j c j. Nyt summan loppuosa indeksin arvosta j eteenpäin häviää, joten ottamalla b j tekijäksi saadaan b j ((a k c k )b k j + + (a j+1 c j+1 )b + (a j c j )) = 0, ja edelleen, koska b > 1, niin (a k c k )b k j + + (a j+1 c j+1 )b + (a j c j ) = 0. Kun yhtälö ratkaistaan luvun a j c j suhteen ja otetaan b tekijäksi, saadaan a j c j = b((c k a k )b k j (c j+1 a j+1 )). Selvästi b a j c j. Mutta oletusten perusteella 0 a j b 1 ja 0 c j b 1, joten b < a j c j < b. Tästä seuraa ristiriita a j = c j. Kokonaisluvulle n johdettu lauseke kannassa b on siis yksikäsitteinen ja lause on todistettu. Seuraus 1.1. Jokainen positiivinen kokonaisluku voidaan esittää yksikäsitteisesti luvun 2 potenssien summana. Todistus. Tulos seuraa lauseesta 1.4 kun b = 2. Lauseessa 1.4 esiintyvää lukua b kutsutaan esitysmuodon kantaluvuksi. Saman luvun eri esitysmuotojen erottamiseksi käytetään merkintää (a k a k 1... a 1 a 0 ) b, missä luvut a i, i = 0, 1,..., k, saadaan ko. luvun esityksestä kannassa b. Kannan ollessa kymmenen puhutaan kymmenjärjestelmän luvuista ja kannan ollessa kaksi on kyseessä luvun binääriesitys. Eri esitystavoilla on omat etunsa käyttötavasta riippuen. Kokonaisluvun n esitys kannassa b voidaan muodostaa soveltamalla jakoalgoritmia kuten lauseen 1.4 todistuksessa. Kertoimet a k saadaan jakoalgoritmin tuottamista yhtälöistä jakojäännöksinä. [5, s. 46] Esimerkki 1.3. Esitettävä luku 37 binäärimuodossa. Ratkaisu. Sovelletaan toistuvasti jakoalgoritmia, jolloin saadaan yhtälöt 37 = , 18 = , 9 = , 4 = , 2 = , 1 = Jakojäännösten perusteella (37) 10 = (100101) 2. 8

9 1.3 Alkuluvut Alkuluvut ovat lukuteorian keskeisimpiä tutkimuskohteita. Ne näyttelevät tärkeää roolia myös tässä tutkielmassa. Määritelmä 1.2. Alkuluku on positiivinen lukua 1 suurempi kokonaisluku, joka on jaollinen vain itsellään ja luvulla 1. Huomautus. Lukua 1 suurempi positiivinen kokonaisluku, joka ei ole alkuluku, on yhdistetty luku. Esimerkki 1.4. Lukua 10 pienemmät alkuluvut ovat 2, 3, 5 ja 7. Apulause 1.1. Jokainen lukua 1 suurempi kokonaisluku on jaollinen jollain alkuluvulla. Todistus. Ks. [5, s. 68] Lause 1.5. Alkulukuja on ääretön määrä. Todistus. Vrt. [5, s. 69]. Oletetaan, että on vain äärellinen määrä alkulukuja, olkoot ne p 1, p 2,..., p n. Olkoon lisäksi Q n = p 1 p 2 p n + 1. Nyt apulauseen 1.1 perusteella Q n on jaollinen jollain alkuluvulla q. Jos q = p i, missä 1 i n, niin q jakaa myös luvun p 1 p 2... p n. Nyt lauseen 1.2 perusteella q jakaa myös luvun 1. Tämä on ristiriita, joten q p i, missä 1 i n. Tästä seuraa, että alkulukuja on ääretön määrä. Oheisen todistuksen alkulukujen määrän äärettömyydelle esitti ensimmäisenä Eukleides teoksessaan Alkeet. Lause 1.6 (Alkulukulause). Olkoon x positiivinen reaaliluku. Merkitään lukua x pienempien tai sen kanssa yhtäsuurien alkulukujen määrää funktiolla π(x). Tällöin π(x) ln x lim = 1. x x Todistus. Ks. [3, s ]. 1.4 Suurin yhteinen tekijä Määritelmä 1.3. Olkoot a ja b kokonaislukuja, joista ainakin toinen eroaa nollasta. Lukujen a ja b suurin yhteinen tekijä on suurin kokonaisluku, joka jakaa molemmat luvuista a ja b. Huomautus. Lukujen a ja b suurimmasta yhteisestä tekijästä käytetään merkintää (a, b). Lisäksi määritellään, että (0, 0) = 0. 9

10 Esimerkki 1.5. Helposti huomataan, että luvut ±1, ±2 ja ±4 ovat lukujen 16 ja 44 yhteisiä tekijöitä, joten (16, 44) = 4. Määritelmä 1.4. Luvut a ja b ovat suhteellisia alkulukuja, jos niiden suurin yhteinen tekijä (a, b) = 1. Esimerkki 1.6. Selvästi (28, 41) = 1, joten luvut 28 ja 41 ovat suhteellisia alkulukuja. Huomautus. Suhteellisia alkulukuja kutsutaan joissain yhteyksissä kuvaavasti keskenään jaottomiksi. Lause 1.7. Olkoot a ja b kokonaislukuja. Jos (a, b) = d, niin (a/d, b/d) = 1. Todistus. Vrt. [5, s. 90]. Olkoot a ja b kokonaislukuja ja (a, b) = d. Todistetaan lause näyttämällä, että luvuilla a/d ja b/d on vain yksi yhteinen positiivinen tekijä. Oletetaan, että e on tämä positiivinen kokonaisluku, jolloin e (a/d) ja e (b/d). Jaollisuuden määritelmän perusteella on olemassa sellaiset kokonaisluvut k ja l, että a/d = ke ja b/d = le, josta nähdään, että luku de on lukujen a ja b yhteinen tekijä. Koska oletuksen mukaan (a, b) = d, on oltava de d, joten e = 1. Näin ollen (a/d, b/d) = 1 ja lause on todistettu. Lause 1.8. Olkoot a, b ja c kokonaislukuja. Tällöin (a + cb, b) = (a, b). Todistus. Vrt. [5, s. 91]. Olkoot a, b ja c kokonaislukuja. Riittää osoittaa, että luvuilla a + cb ja b on samat yhteiset tekijät kuin luvuilla a ja b. Olkoon e lukujen a ja b yhteinen tekijä. Lauseen 1.2 perusteella e a + cb, joten e on lukujen a + cb ja b yhteinen tekijä. Jos taas f on lukujen a + cb ja b yhteinen tekijä, niin vastaavasti nähdään, että se on myös lukujen a ja b yhteinen tekijä. Näin ollen (a + cb, b) = (a, b) ja lause on todistettu. Määritelmä 1.5. Olkoot a, b, m ja n kokonaislukuja. Muotoa ma+nb olevaa summaa kutsutaan lukujen a ja b lineaarikombinaatioksi. Esimerkki 1.7. Olkoot m ja n kokonaislukuja. Tällöin muun muassa luvut 3, 0 ja 3 ovat lineaarikombinaatioita 6m + 9n, sillä 3 = ( 1), 0 = 6( 3) ja 3 = 6( 1)

11 Lause 1.9. Olkoot a ja b kokonaislukuja, joista ainakin toinen eroaa nollasta. Lukujen a ja b suurin yhteinen tekijä d on pienin positiivinen kokonaisluku lukujen a ja b lineaarikombinaatioista. Todistus. Vrt. [9, s. 59] Olkoon T joukko kokonaislukujen a ja b positiivisia lineaarikombinaatioita. Voidaan olettaa, että a 0. Jos a > 0, niin a 1+b 0 = a kuuluu joukkoon T. Toisaalta, jos a < 0, niin a ( 1) + b 0 = a kuuluu joukkoon T, joten T on epätyhjä. Hyvinjärjestysperiaatteen nojalla joukossa T on pienin alkio, olkoon se e = ma + nb. Jakoalgoritmin perusteella on olemassa sellaiset kokonaisluvut q ja r, että a = eq +r, missä 0 r < e. Tällöin sijoittamalla ja ottamalla a ja b tekijöiksi saadaan r = a eq = a (ma + nb)q = a(1 mq) + b( nq). Jos r 0, niin päädytään ristiriitaan, sillä r T ja r < e, joka on joukon T pienin alkio. Nyt r = 0, joten e jakaa luvun a. Vastaavasti voidaan osoittaa, että e jakaa luvun b. Luku e jakaa luvut a ja b, joten e d. Toisaalta e = ma + nb ja luku d jakaa molemmat luvuista a ja b, joten d jakaa luvun e. Tällöin d e, joten d = e ja lause on todistettu. Seuraus 1.2. Olkoot a ja b suhteellisia alkulukuja. Tällöin on olemassa kokonaisluvut m ja n siten, että ma + nb = 1. Todistus. Jos luvut a ja b ovat suhteellisia alkulukuja, niin (a, b) = 1, joten edellisen lauseen perusteella on olemassa kokonaisluvut m ja n siten, että ma + nb = 1. Lause Olkoot a, b ja c positiivisia kokonaislukuja ja (a, b) = 1. Jos a bc, niin a c. Todistus. Vrt. [5, s. 109]. Olkoot a, b ja c positiivisia kokonaislukuja ja (a, b) = 1. Oletetaan lisäksi, että a bc. Oletuksen (a, b) = 1 ja seurauslauseen 1.2 perusteella on olemassa sellaiset kokonaisluvut m ja n, että ma + nb = 1. Kertomalla yhtälön molemmat puolet luvulla c saadaan cma+cnb = c. Saatu yhtälö on lukujen a ja bc lineaarikombinaatio ja a jakaa molemmat luvuista, joten a jakaa luvun c ja lause on todistettu. 11

12 Lause Olkoot a ja b suhteellisia alkulukuja ja olkoot c kokonaisluku. Jos a c ja b c, niin ab c. Todistus. Vrt. [9, s. 61] Olkoot a, b ja c kokonaislukuja ja (a, b) = 1. Oletetaan lisäksi, että a c ja b c. Oletusten ja seurauslauseen 1.2 perusteella on olemassa sellaiset kokonaisluvut d, e, m ja n, että c = ad, c = be ja ma+nb = 1. Kertomalla viimeinen yhtälö puolittain luvulla c saadaan cma + cnb = c, joka sijoittamalla saadaan muotoon bema + adnb = c. Ottamalla ab tekijäksi saadaan ab(em + dn) = c, joten ab c ja lause on todistettu. Suurimman yhteisen tekijän löytämiseksi on olemassa tehokas jakoalgoritmia käyttävä apukeino. Eukleides esitti lauseessa 1.12 kuvatun algoritmin jo teoksessaan Alkeet. Lause 1.12 (Eukleideen algoritmi). Olkoot a = r 0 ja b = r 1 sellaisia kokonaislukuja, että 0 < b a. Jos jakoalgoritmia soveltamalla saadaan r j = r j+1 q j+1 + r j+2, missä 0 < r j+2 < r j+1, j = 0, 1, 2,..., n 2, ja r n+1 = 0, niin (a, b) = r n. Todistus. Vrt. [5, s. 99] ja [3, s. 17]. Olkoot a = r 0 ja b = r 1 sellaisia kokonaislukuja, että 0 < b a. Sovelletaan jakoalgoritmia, jolloin saadaan yhtälöketju r 0 = r 1 q 1 + r 2, 0 r 2 < r 1, r 1 = r 2 q 2 + r 3, 0 r 3 < r 2,. r n 3 = r n 2 q n 2 + r n 1, 0 r n 1 < r n 2, r n 2 = r n 1 q n 1 + r n, 0 r n < r n 1, r n 1 = r n q n. Jakojäännös r n+1 = 0 saavutetaan jollakin kokonaisluvulla n, sillä jakojäännösten jono on aidosti vähenevä ja sen jäsenet ovat positiivisia kokonaislukuja. Lauseen 1.8 perusteella (a, b) = (r 0, r 1 ) = (r 1, r 2 ) = (r 2, r 3 ) = = (r n 2, r n 1 ) = (r n 1, r n ) = (r n, 0) = r n. Siis (a, b) = r n. Esimerkki 1.8. Laskettava lukujen 2523 ja 672 suurin yhteinen tekijä. 12

13 Ratkaisu. Käytetään Eukleideen algoritmia, jolloin saadaan yhtälöt 2523 = = = = = = 3 3. Suurin yhteinen tekijä saadaan yhtälöketjusta valitsemalla viimeinen nollasta eroava jakojäännös, joten (2523, 672) = 3. Eukleideen algoritmin avulla kokonaislukujen suurin yhteinen tekijä voidaan ilmaista ko. kokonaislukujen lineaarikombinaationa käyttäen algoritmin tuottamia yhtälöitä (ks. esimerkki 2.12). Alla määritelty Diofantoksen yhtälö liittyy läheisesti Eukleideen algoritmiin ja seuraavassa luvussa esiteltävään kongruenssiin. Määritelmä 1.6. Olkoot a, b ja c kokonaislukuja. Lineaarinen kahden muuttujan Diofantoksen yhtälö on muotoa ax + by = c. Lause Olkoot a ja b kokonaislukuja ja d = (a, b). Yhtälöllä ax+by = c ei ole kokonaislukuratkaisuja, jos d c. Jos taas d c, niin kokonaislukuratkaisuja on ääretön määrä. Jos x = x 0, y = y 0 on yhtälön eräs ratkaisu, niin kaikki ratkaisut ovat muotoa missä n on kokonaisluku x = x 0 + b d n, y = y 0 a d n, Todistus. Vrt. [5, s. 134]. Olkoot a ja b kokonaislukuja ja d = (a, b). Oletetaan lisäksi, että x ja y ovat sellaiset kokonaisluvut, että ax + by = c, missä c on kokonaisluku. Luku d jakaa molemmat luvuista a ja b, joten d jakaa myös luvun c. Siis, jos d c, niin kokonaislukuratkaisuja ei ole ja lauseen ensimmäinen osa on todistettu. Oletetaan sitten, että d c, jolloin on olemassa sellainen kokonaisluku e, että c = de. Lisäksi lauseen 1.9 perusteella on olemassa sellaiset kokonaisluvut s ja t, että d = as + bt. Nyt c = de = (as + bt)e = a(se) + b(te), josta saadaan eräs yhtälön ratkaisu x 0 = se ja y 0 = te. Jos x = x 0 + (b/d)n ja y = y 0 (a/d)n, missä n on kokonaisluku, niin ax + by = ax 0 + a(b/d)n + by 0 b(a/d)n = ax 0 + by 0 = c, 13

14 joten x ja y ovat yhtälön ratkaisuja ja niitä on ääretön määrä. Osoitetaan sitten, että kaikki yhtälön ax + by = c ratkaisut ovat kuvattua muotoa. Nyt (ax + by) (ax 0 + by 0 ) = 0, joten a(x x 0 ) = b(y 0 y). Jakamalla yhtälö puolittain luvulla d saadaan a d (x x 0) = b d (y 0 y). Koska d = (a, b), niin lauseen 1.7 perusteella (a/d, b/d) = 1. Edelleen, koska (a/d) jakaa luvun (b/d)(y 0 y), niin lauseen 1.10 perusteella (a/d) jakaa luvun (y 0 y). Tällöin jaollisuuden määritelmän perusteella on olemassa sellainen kokonaisluku n, että (a/d)n = (y 0 y), joten y = y 0 (a/d)n. Sijoittamalla saatu y yhtälöön a(x x 0 ) = b(y 0 y) saadaan, että x = x 0 + (b/d)n, joten lause on todistettu. Esimerkki 1.9. Etsittävä kaikki ratkaisut Diofantoksen yhtälölle 12x + 18y = 60. Ratkaisu. Koska (12, 18) = 6 ja 6 60, niin lauseen 1.13 perusteella ratkaisuja on ääretön määrä. Selvästi eräs yhtälön yksittäinen ratkaisu on x 0 = 2, y 0 = 2. Kaikki ratkaisut saadaan lauseen 1.13 perusteella yhtälöistä x = n, y = n, missä n on kokonaisluku. Kaikki ratkaisut ovat siis muotoa kun n on kokonaisluku. x = 2 + 3n, y = 2 2n, 14

15 2 Kongruenssista Luvussa 2 luodaan katsaus kongruenssiin, sen ominaisuuksiin ja siihen perustuviin tuloksiin. Johtoajatuksena on keskittyä teoriaan, johon luvussa 4 esiteltävä kyptosysteemi RSA perustuu. Valikoiduin osin käsittely on RSA:n vaatimuksia yksityiskohtaisempaa. Luku seurailee pääosin Kenneth H. Rosenin teosta Elementary Number Theory and Its Applications - Fifth Edition [5]. 2.1 Kongruenssin ominaisuuksia Kongruenssi on tärkeä käsite lukuteoriassa. Kongruenssien avulla jaollisuussuhteita voidaan käsitellä lähes kuten tavallisia yhtäsuuruuksia. Määritelmä 2.1. Olkoon m positiivinen kokonaisluku ja luvut a ja b kokonaislukuja. Tällöin luku a on kongruentti luvun b kanssa modulo m, jos m a b. Merkintä. Jos luku a on kongruentti luvun b kanssa modulo m merkitään a b (mod m). Jos m (a b), niin luvut a ja b eivät ole kongruentteja modulo m, merkitään a b (mod m). Lukua m kutsutaan kongruenssin moduliksi. Esimerkki 2.1. Kongruenssin määritelmän mukaan 11 3 (mod 4), sillä 4 (11 3) = 8. Toisaalta 11 4 (mod 4), koska 4 (11 4) = 7. Lause 2.1. Olkoot a ja b kokonaislukuja. Tällöin a b (mod m), jos ja vain jos on olemassa sellainen kokonaisluku k, että a = b + km. Todistus. Vrt.[5, s. 142] Olkoot a ja b kokonaislukuja ja m positiivinen kokonaisluku. Jos a b (mod m), niin määritelmän mukaan m (a b). Nyt on olemassa sellainen kokonaisluku k, että km = a b. Tällöin a = b + km. Oletetaan sitten käänteisesti, että on olemassa kokonaisluku k, jolla a = b + km. Tällöin m (a b), joten a b (mod m). Esimerkki 2.2. Selvästi 15 1 (mod 4). Toisaalta 15 = Lause 2.2. Olkoon m positiivinen kokonaisluku. Kongruenssi modulo m on ekvivalenssirelaatio. Todistus. Vrt. [5, s. 143] Olkoot a, b ja c kokonaislukuja ja m positiivinen kokonaisluku. Kongruenssin ja jaollisuuden määritelmien perusteella a a (mod m), joten reeksiivisyysehto toteutuu. 15

16 Jos a b (mod m), niin kongruenssin ja jaollisuuden määritelmien perusteella on olemassa sellainen kokonaisluku k, että a b = km. Tällöin b a = ( k)m, joten m (b a). Edelleen b a (mod m), joten kongruenssi modulo m on symmetrinen. Oletetaan sitten, että a b (mod m) ja b c (mod m). Tällöin on olemassa kokonaisluvut k ja l, joilla a b = mk ja b c = ml. Nyt a c = (a b) + (b c) = mk + ml = m(k + l), joten a c (mod m). Kongruenssi on siis transitiivinen. Reeksiivisyyden, symmetrisyyden ja transitiivisuuden perusteella kongruenssi on ekvivalenssirelaatio. Lauseen 2.2 perusteella kongruenssi modulo m jakaa kokonaisluvut ekvivalenssiluokkiin, joita on m kappaletta. Kongruenssin tapauksessa ekvivalenssiluokkia kutsutaan jäännösluokiksi. Määritelmä 2.2. Jäännösluokka modulo m on niiden kokonaislukujen joukko, jotka ovat keskenään kongruentteja modulo m. Esimerkki 2.3. Jäännösluokat modulo 3 ovat (mod 3), (mod 3), (mod 3). Huomautus. Jakoalgoritmin perusteella kokonaisluvulla a ja positiivisella kokonaisluvulla m pätee a = bm + r, missä 0 r m 1. Luvun r sanotaan olevan luvun a pienin ei-negatiivinen jäännös modulo m. Luku r saadaan sieventämällä a moduloon m. Jos m a, niin r on luvun a pienin positiivinen jäännös modulo m. Lause 2.3. Olkoot a, b ja c kokonaislukuja sekä m positiivinen kokonaisluku. Jos a b (mod m), niin seuraavat ominaisuudet ovat voimassa. (i) a + c b + c (mod m), (ii) a c b c (mod m), (iii) ac bc (mod m). 16

17 Todistus. Vrt. [5, s.144]. Olkoot a, b ja c kokonaislukuja sekä m positiivinen kokonaisluku. Oletetaan, että a b (mod m). Oletuksen perusteella m a b. Selvästi (a + c) (b + c) = a b, joten m ((a + c) (b + c)) ja kohta (i) on todistettu. Kohta (ii) todistetaan vastaavasti, kun huomataan, että a b = (a c) (b c). Kohdan (iii) todistamiseksi huomataan, että ac bc = c(a b). Nyt oletuksen perusteella m a b, joten m c(a b). Siis ac bc (mod m) ja kohta (iii) on todistettu. Esimerkki 2.4. Sovelletaan lausetta 2.3 kongruenssiin 11 3 (mod 4), jolloin kongruenssit ovat voimassa. 16 = = 8 (mod 4), 6 = = 2 (mod 4) ja 55 = = 15 (mod 4) Kongruenssin jakaminen puolittain ei ole yhtä yksinkertaista kuin puolittain kertominen. Seuraava lause kertoo milloin kongruenssin jakaminen kokonaisluvulla on mahdollista. Lause 2.4. Olkoot a, b ja c kokonaislukuja sekä m positiivinen kokonaisluku. Jos d = (c, m) ja ac bc (mod m), niin a b (mod m/d). Todistus. Vrt. [5, s. 145] Olkoot a, b ja c kokonaislukuja sekä m positiivinen kokonaisluku. Oletetaan, että d = (c, m) ja ac bc (mod m). Oletuksen perusteella m (ac bc) = c(a b), joten on olemassa sellainen kokonaisluku k, että c(a b) = km. Jakamalla puolittain luvulla d saadaan (c/d)(a b) = k(m/d). Koska (m/d, c/d) = 1 (lause 1.7), niin lauseen 1.10 perusteella m/d (a b). Tällöin a b (mod m/d) ja lause on todistettu. Esimerkki (mod 9) ja (6, 9) = 3, joten lauseen 2.4 perusteella 10 4 (mod 3). Seuraus 2.1. Olkoot a, b ja c kokonaislukuja sekä m positiivinen kokonaisluku. Jos (c, m) = 1 ja ac bc (mod m), niin a b (mod m). Todistus. Tulos seuraa suoraan lauseesta

18 Esimerkki (mod 7) ja (9, 7) = 1, joten seurauslauseen 2.1 perusteella 10 3 (mod 7). Lause 2.5. Olkoot a, b, c ja d kokonaislukuja sekä m positiivinen kokonaisluku. Jos a b (mod m) ja c d (mod m), niin seuraavat ominaisuudet ovat voimassa. (i) a + c b + d (mod m), (ii) a c b d (mod m), (iii) ac bd (mod m). Todistus. Vrt. [5, s. 145] Olkoot a, b, c ja d kokonaislukuja sekä m positiivinen kokonaisluku. Oletetaan, että a b (mod m) ja c d (mod m). Oletuksen mukaan a b (mod m) ja c d (mod m), joten m (a b) ja m (c d). Siis on olemassa kokonaisluvut k ja l siten, että a b = km ja c d = lm. Nyt (a + c) (b + d) = (a b) + (c d) = km + lm = m(k + l), joten m ((a + c) (b + d)) ja kohta (i) on todistettu. Vastaavasti (a c) (b d) = (a b) (c d) = km lm = m(k l), joten m ((a c) (b d)) ja kohta (ii) on todistettu. Edelleen ac bd = ac bc + bc bd = c(a b) + b(c d) = ckm + clm = m(ck + cl), joten m (ac bd) ja kohta (iii) on todistettu. Esimerkki 2.7. Sovelletaan lausetta 2.5 kongruensseihin 11 3 (mod 4) ja 6 2 (mod 4), jolloin kongruenssit ovat voimassa. 17 = = 5 (mod 4), 5 = = 1 (mod 4) ja 66 = = 6 (mod 4) Lause 2.6. Olkoot a ja b kokonaislukuja sekä k ja m positiivisia kokonaislukuja. Jos a b (mod m), niin a k b k (mod m). Todistus. Vrt. [5, s. 147] Olkoot a ja b kokonaislukuja sekä k ja m positiivisia kokonaislukuja. Oletetaan, että a b (mod m). Oletusten perusteella m (a b). Toisaalta (a k b k ) = (a b)(a k 1 + a k 2 b + + ab k 2 + b k 1 ), joten (a b) (a k b k ). 18

19 Lauseen 1.1 perusteella jaollisuus on transitiivinen, joten m (a k b k ) ja lause on todistettu. Esimerkki (mod 4), joten lauseen 2.6 perusteella 216 = = 8 (mod 4). Lause 2.7. Olkoot a ja b sellaisia kokonaislukuja, että a ja b ovat kongruentteja modulo m ja modulo n. Jos (m, n) = 1, niin a b (mod mn). Todistus. Vrt.[2, s.17]. Olkoot m ja n positiivisia kokonaislukuja sekä a ja b sellaisia kokonaislukuja, että a b (mod m) ja a b (mod n). Oletetaan lisäksi, että (m, n) = 1. Oletusten perusteella m a b ja n a b. Lisäksi m ja n ovat suhteellisia alkulukuja, joten lauseen 1.11 perusteella mn a b. Näin ollen a b (mod mn) ja lause on todistettu. Esimerkki 2.9. Selvästi 39 4 (mod 5), 39 4 (mod 7) ja (5, 7) = 1. Lauseen 2.7 perusteella 39 4 (mod 35). Kryptosysteemi RSA:n yhteydessä on tarpeellista käsitellä kokonaislukujen suuria potensseja ja niiden kongruensseja. Esitetään seuraavassa modulaariseksi potenssiinkorotukseksi kutsuttu keino, jota käyttämällä kongruenssien laskeminen on suoraviivaísta tapaa nopeampaa. Modulaarisessa potenssiinkorotuksessa käytetyt luvut pysyvät verrattain pieninä [7, s. 127]. Luvun b N pienimmän positiivisen jäännöksen modulo m laskemiseksi, missä b, m ja N ovat positiivisia kokonaislukuja, käytetään luvun N binääriesitystä (a k a k 1... a 1 a 0 ) 2. Ensin lasketaan lukujen b, b 2,..., b 2k pienimmät positiiviset jäännökset modulo m neliöimällä ja sieventämällä moduloon m. Sitten kerrotaan keskenään sellaiset lukujen b 2j pienimmät positiiviset jäännökset modulo m, joilla luvulle j pätee, että a j = 1. Jokaisen tulon jälkeen sievennetään moduloon m. [5, s. 148] Esimerkki Lasketaan luvun pienin positiivinen jäännös modulo 77 käyttäen edellä kuvattua modulaarista potenssiinkorotusta. Esimerkin 1.3 perusteella (37) 10 = (100101) 2. Lasketaan ensin lukujen 2, 2 2,..., 2 32 pienim- 19

20 mät positiiviset jäännökset modulo m ja saadaan seuraavat kongruenssit Edelleen (mod 77), (mod 77), (mod 77) 53 (mod 77), (mod 77) 37 (mod 77), (mod 77) 60 (mod 77), (mod 77) 58 (mod 77) = = = (mod 77), joten (mod 77). 2.2 Jäännössysteemeistä Määritelmä 2.3. Täydellinen jäännössysteemi modulo m on joukko sellaisia kokonaislukuja, että jokainen kokonaisluku on kongruentti modulo m täsmälleen yhden tämän joukon alkion kanssa. Esimerkki Kokonaisluvut 0, 1, 2,..., m 1 muodostavat täydellisen jäännössysteemin modulo m. Apulause 2.1. Joukko, jossa on m kappaletta ei-kongruentteja kokonaislukuja modulo m muodostaa täydellisen jäännössysteemin modulo m. Todistus. Ks. [5, s. 146]. Lause 2.8. Olkoot a ja m sellaisia positiivisia kokonaislukuja, että (a, m) = 1 ja olkoon b kokonaisluku. Jos r 1, r 2,..., r m on täydellinen jäännössysteemi modulo m, niin myös ar 1 + b, ar 2 + b,..., ar m + b on täydellinen jäännössysteemi modulo m. Todistus. Vrt. [5, s. 146]. Olkoot a ja m sellaisia positiivisia kokonaislukuja, että (a, m) = 1 ja olkoon b kokonaisluku. Oletetaan, että luvut r 1, r 2,..., r m muodostavat täydellisen jäännössysteemin modulo m Osoitetaan ensin, etteivät luvut ar 1 + b, ar 2 + b,..., ar m + b ole pareittain kongruentteja modulo m. Nyt jos ar j + b ar k + b (mod m), niin lauseen 2.3 perusteella olisi ar j ar k (mod m). Edelleen, koska (a, m) = 1, niin seurauksen 2.1 perusteella 20

21 r j r k (mod m). Oletuksen perusteella r j r k (mod m), jos j k, joten täytyy olla j = k. Luvut ar 1 +b, ar 2 +b,..., ar m +b eivät ole keskenään kongruentteja modulo m ja niitä on m kappaletta, joten ne muodostavat apulauseen 2.1 perusteella täydellisen jäännössysteemin modulo m ja lause on todistettu. 2.3 Lineaarisista kongruensseista Kongruenssia, joka on muotoa ax b (mod m) kutsutaan yhden muuttujan lineaariseksi kongruenssiksi. Tutkitaan seuraavassa lineaaristen kongruenssien ratkeavuutta. Lause 2.9. Olkoot a ja b sellaisia kokonaislukuja, että (a, m) = d ja olkoon m positiivinen kokonaisluku. Jos d b, niin kongruenssilla ax b (mod m) ei ole ratkaisuja. Jos d b, niin kongruenssilla ax b (mod m) on täsmälleen d kappaletta ei-kongruentteja ratkaisuja modulo m. Todistus. Vrt. [5, s. 154]. Olkoot a ja b sellaisia kokonaislukuja, että (a, m) = d ja olkoon m positiivinen kokonaisluku. Kongruenssi ax b (mod m) saadaan lauseen 2.1 perusteella muotoon ax my = b, missä y on kokonaisluku. Huomataan, että saatu yhtälö on kahden muuttujan lineaarinen Diofantoksen yhtälö. Kokonaisluku x on käsiteltävän kongruenssin ratkaisu, jos ja vain jos on olemassa kokonaisluku y, jolle ax my = b. Nyt lauseen 1.13 perusteella ratkaisuja ei ole, jos d b. Jos taas d b, niin yhtälöllä on äärettömän monta ratkaisua. Edelleen lauseen 1.13 perusteella kaikki yhtälön ax my = b ratkaisut ovat muotoa x = x 0 + (m/d)t ja y = y 0 + (a/d)t, missä t on kokonaisluku ja x = x 0 ja y = y 0 eräs ratkaisu. Nyt arvot x ovat myös kongruenssin ax b (mod m) ratkaisuja. Osoitetaan sitten, että ei-kongruentteja ratkaisuja modulo m on täsmälleen d kappaletta. Tutkitaan milloin ratkaisut x 1 = x 0 + (m/d)t 1 ja x 2 = x 0 +(m/d)t 2 ovat kongruentteja modulo m. Tällöin (m/d)t 1 (m/d)t 2 (mod m). Nyt (m/d) m, joten (m, m/d) = m/d ja lauseen 2.4 perusteella t 1 t 2 (mod d). Tämän perusteella suurin mahdollinen joukko ei-kongruentteja ratkaisuja modulo m saadaan valitsemalla ratkaisut x = x 0 + (m/d)t, missä t käy läpi täydellisen jäännössysteemin modulo d. Eräs kyseeseen tuleva jäännössysteemi saadaan, kun valitaan ratkaisut, joissa t = 0, 1, 2,..., d 1. Näin 21

22 ollen ei-kongruentteja ratkaisuja modulo m on d kappaletta ja lause on todistettu. Seuraus 2.2. Olkoot a ja b kokonaislukuja ja m positiivinen kokonaisluku. Jos (a, m) = 1, niin kongruenssilla ax b (mod m) on yksikäsitteinen ratkaisu modulo m. Todistus. Tulos seuraa lauseesta 2.9. Esimerkki Etsittävä kongruenssin 8x 12 (mod 14) kaikki ratkaisut. Ratkaisu. Koska (8, 14) = 2 ja 2 12, niin lauseen 2.9 perusteella kongruenssilla on täsmälleen kaksi ei-kongruenttia ratkaisua modulo 14. Kongruenssi 8x 12 (mod 14) voidaan muuntaa kongruenssin ja jaollisuuden määritelmien perusteella muotoon 8x 14y = 12, missä y on kokonaisluku. Saatu yhtälö on lineaarinen Diofantoksen yhtälö, joka voidaan ratkaista Eukleideen algoritmin tuottamia yhtälöitä hyödyntämällä. Eukleideen algoritmia käyttäen saadaan yhtälöt 14 = = = 2 3, joista takaisin sijoittamalla saadaan 2 = = 8 (14 8 1) = Siis 2 = , josta edelleen luvulla 6 puolittain kertomalla saadaan 12 = Edellisen perusteella yhtälön 8x 14y = 12 eräs ratkaisu on x 0 = 12 ja y 0 = 6. Lauseen 2.9 todistuksen perusteella kongruenssin 8x 12 (mod 14) eikongruentit ratkaisut modulo 14 ovat x = x 0 12 (mod 14) ja x = x 0 + (14/2) = x (mod 14). Määritelmä 2.4. Olkoot a kokonaisluku ja (a, m) = 1. Kongruenssin ax 1 (mod m) ratkaisua kutsutaan luvun a käänteisluvuksi modulo m. Esimerkki Ratkaistava luvun 13 käänteisluku modulo 60. Ratkaisu. Ratkaistaan kongruenssi 13x 1 (mod 60). Koska (13, 60) = 1, niin lauseen 2.9 perusteella kongruenssilla on yksikäsitteinen ratkaisu modulo 60. Kongruenssi voidaan ratkaista Eukleideen algoritmia käyttäen kuten esimerkissä Eukleideen algoritmin tuottamista yhtälöistä saadaan takaisin sijoittamalla yhtälö 1 = 13 ( 23) , jonka perusteella x = (mod 60). 22

23 2.4 Kongruenssiyhtälöryhmät ja Kiinalainen jäännöslause Lineaarisia kongruensseja on mahdollista käsitellä ryhmissä muiden yhtälötyyppien tapaan. Tarkastellaan tässä yhden muuttujan lineaarisia kongruensseja, joilla on eri moduli. Alla todistettu Kiinalainen jäännöslause on keskeinen tulos lukuteoriassa. Apulause 2.2. Olkoot m ja n positiivisia kokonaislukuja. Kaikille kokonaisluvuille a ja b on olemassa sellainen kokonaisluku x, että x a (mod m) ja x b (mod n), jos ja vain jos a b (mod (m, n)). Jos x on em. yhtälöryhmän ratkaisu, niin kokonaisluku y on ratkaisu, jos ja vain jos x y (mod [m, n]). Todistus. Ks. [3, s. 62] Lause 2.10 (Kiinalainen jäännöslause). Olkoon k sellainen kokonaisluku, että k 2. Jos luvut a 1, a 2,..., a k ovat kokonaislukuja ja luvut m 1, m 2,..., m k pareittain suhteellisia alkulukuja, niin on olemassa sellainen kokonaisluku x, että x a i (mod m i ), missä i = 1, 2,..., k. Jos x on eräs kongruenssiyhtälöryhmän ratkaisu, niin kokonaisluku y on ratkaisu, jos ja vain jos x y (mod m 1 m 2 m k ). Todistus. Vrt. [3, s. 63] Olkoon k sellainen kokonaisluku, että k 2. Oletetaan, että luvut a 1, a 2,..., a k ja luvut m 1, m 2,..., m k ovat kuten lauseen muotoilussa. Todistetaan lause induktiolla luvun k suhteen. Oletetaan ensin, että k = 2. Tällöin [m 1, m 2 ] = m 1 m 2, joten kyseessä on edellisen apulauseen erikoistapaus. Olkoon siis k 3 ja oletetaan, että lause on tosi, kun ryhmässä on k 1 kappaletta kongruensseja. Tällöin on olemassa kokonaisluku z siten, että z a i (mod m i ) indeksin i arvoilla 1, 2,..., k 1. Nyt oletuksen perusteella luvut m 1, m 2,..., m k ovat pareittain suhteellisia alkulukuja, joten (m 1 m 2 m k 1, m k ) = 1. Edelleen, kun pidetään mielessä tapaus k = 2, huomataan, että on olemassa sellainen kokonaisluku x, että x z (mod m 1 m 2 m k 1 ) ja x a k (mod m k ), 23

24 joten x z a i (mod m i ), missä i = 1, 2,..., k. Osoitetaan sitten lauseen jälkimmäinen osa. Jos y on kongruenssiyhtälöryhmän toinen ratkaisu, niin m i x y, missä i = 1, 2,..., k. Edelleen, koska luvut m 1, m 2,..., m k ovat pareittain suhteellisia alkulukuja, havaitaan, että m 1 m 2 m k (x y), joten x y (mod m 1 m 2 m k ) ja lause on todistettu. Seuraavassa esimerkissä ratkaistaan historiallisesti mielenkiintoinen vanha kiinalainen ongelmatehtävä. Esimerkki [5, s. 158]. Kun luku jaetaan luvuilla 3, 5 ja 7 jakojäännöksiksi saadaan luvut 1, 2 ja 3 tässä järjestyksessä. Mikä luku on kyseessä? Ratkaisu. Merkitään kysyttyä lukua kirjaimella x. Tehtävänannon perusteella x toteuttaa samanaikaisesti kongruenssit x 1 (mod 3), x 2 (mod 5) ja x 3 (mod 7). Modulit 3, 5 ja 7 ovat keskenään suhteellisia alkulukuja, joten Kiinalaisen jäännöslauseen perusteella kongruenssiyhtälöryhmälle on olemassa yksikäsitteinen ratkaisu modulo = 105. Ensimmäisen kongruenssin perusteella 3t = x 1 jollakin kokonaisluvulla t, joten x = 3t + 1. Sijoitetaan saatu x toiseen kongruenssiin, jolloin saadaan 3t (mod 5), jonka perusteella t 2 (mod 5). Kongruenssin määritelmästä seuraa, että on olemassa kokonaisluku u, jolla 5u = t 2. Nyt x = 3(5u + 2) + 1 = 15u + 7. Sijoitetaan saatu x kolmanteen kongruenssiin ja saadaan 15u (mod 7), josta voidaan edelleen ratkaista u 3 (mod 7). Kuten edellä, kongruenssin perusteella on olemassa kokonaisluku v, jolla 7v = u 3 ja edelleen x = 15(7v + 3) + 7 = 105v Muuntamalla viimeinen yhtälö kongruenssiksi saadaan ratkaisu x 52 (mod 105). Helposti huomataan, että saatu x toteuttaa kongruenssiyhtälöryhmän, sillä 52 1 (mod 3), 52 2 (mod 5) ja 52 3 (mod 7). 24

25 2.5 Eulerin funktio ja lause Määritelmä 2.5. Aritmeettinen funktio on funktio, joka on määritelty kaikilla positiivisilla kokonaisluvuilla. Määritelmä 2.6. Aritmeettista funktiota sanotaan multiplikatiiviseksi funktioksi, jos f(mn) = f(m)f(n) kun m ja n ovat suhteellisia alkulukuja. Funktio on täydellisesti multiplikatiivinen, jos sama pätee kaikilla positiivisilla kokonaisluvuilla m ja n. Esimerkki Funktio f(n) = n 2 on multiplikatiivinen, ja itse asiassa täydellisesti multiplikatiivinen, sillä f(mn) = (mn) 2 = m 2 n 2 = f(m)f(n), missä m ja n ovat positiivisia kokonaislukuja. Määritelmä 2.7. Olkoon n positiivinen kokonaisluku. Eulerin funktio φ ilmaisee kuinka moni lukua n pienemmistä positiivisista kokonaisluvuista on suhteellinen alkuluku luvun n kanssa. Formaalimmin φ(n) = {a : 1 a < n, (a, n) = 1}, a, n Z +. Esimerkki Taulukkoon 1 on koottu Eulerin funktion φ(n) arvot, kun 1 n 10. n φ(n) Taulukko 1: Eulerin funktion φ(n) arvot, kun 1 n 10. Lause Jos p on alkuluku, niin φ(p) = p 1. Jos p on positiivinen kokonaisluku ja φ(p) = p 1, niin p on alkuluku. Todistus. Vrt. [5, s. 241] Lauseen alkuosa seuraa suoraan funktion φ määritelmästä. Jos p ei ole alkuluku, niin p = 1 tai p on yhdistetty luku. Koska φ(1) = 1, niin φ(p) p 1, joten p = 1 ei tule kyseeseen. Jos taas p on yhdistetty luku niin jokin luku d, 1 < d < p, jakaa luvun p. Tällöin luonnollisesti (p, d) 1. Koska ainakin yksi kokonaisluvuista 1, 2,..., p 1 ei ole suhteellinen alkuluku luvun p kanssa, huomataan, että φ(p) p 2. Siis, jos φ(p) = p 1, niin p on alkuluku. Lause Olkoon p alkuluku ja a positiivinen kokonaisluku. Tällöin φ(p a ) = p a p a 1. 25

26 Todistus. Vrt. [5, s. 241] ja [9, s. 164]. Todistetaan lause tutkimalla sellaisten lukua p a pienempien tai sen kanssa yhtäsuurten positiivisten kokonaislukujen määrää, jotka eivät ole suhteellisia alkulukuja luvun p a kanssa. Tällaiset lukua p a pienemmät tai sen kanssa yhtäsuuret luvut ovat jaollisia luvulla p, joten ne ovat muotoa kp, missä 1 k p a 1. Kuvatunlaisia lukuja on täsmälleen p a 1 kappaletta, joten lukua p a pienempiä luvun p a kanssa suhteellisia alkulukuja on p a p a 1 kappaletta. Funktion φ määritelmän perusteella φ(p a ) = p a p a 1. Esimerkki Luku 3 on alkuluku, joten φ(3 3 ) = = 18. Lause Eulerin funktio on multiplikatiivinen. Todistus. Vrt. [5, s. 242]. Oletetaan, että m ja n ovat suhteellisia alkulukuja ja osoitetaan, että φ(mn) = φ(m)φ(n). Esitetään mn ensimmäistä kokonaislukua seuraavalla tavalla. 1 m + 1 2m + 1 (n 1)m m + 2 2m + 2 (n 1)m m + 3 2m + 3 (n 1)m r m + r 2m + r (n 1)m + r... m 2m 3m mn Oletetaan, että r on sellainen kokonaisluku, jolle 1 r m ja (r, m) = d > 1. Nyt r:nnen rivin jäsenet ovat muotoa km+r, missä k on kokonaisluku, jolle 1 k n 1. Edelleen d jakaa luvut m ja r, joten d jakaa luvut km+r. Tästä seuraa, että ko. rivin jäsenistä mikään ei ole suhteellinen alkuluku luvun mn kanssa. Luvun mn kanssa suhteellisia alkulukuja löytyy siis r:nneltä riviltä vain jos (r, m) = 1. Oletetaan siis, että (r, m) = 1 ja 1 r m ja tutkitaan montako luvun mn kanssa suhteellista alkulukua ko. riviltä löytyy. Kaikki rivin luvut ovat suhteellisia alkulukuja luvun m kanssa, sillä (r, m) = 1. Rivin kokonaisluvut ovat muotoa r, m + r, 2m + r,..., (n 1)m + r ja muodostavat täydellisen jäännössysteemin modulo n lauseen 2.8 perusteella. Tällöin φ(n) kappaletta näistä kokonaisluvuista on suhteellisia alkulukuja luvun n kanssa. Edelleen koska luvut ovat suhteellisia alkulukuja luvun m kanssa, ne ovat suhteellisia alkulukuja myös luvun mn kanssa. 26..

27 Siis esityksessä on φ(m) riviä joissa jokaisessa on φ(n) kappaletta luvun mn kanssa suhteellista alkulukua. Tämän perusteella φ(mn) = φ(m)φ(n) ja lause on todistettu. Seuraus 2.3. Olkoot p ja q alkulukuja. Tällöin φ(pq) = (p 1)(q 1). Todistus. Olkoot p ja q alkulukuja. Tällöin lauseiden 2.13 ja 2.11 perusteella φ(pq) = φ(p)φ(q) = (p 1)(q 1). Eulerin funktion multiplikatiivisuus ja sen seurauslause alkuluvuille on keskeinen luvussa 4 esiteltävän kryptosysteemi RSA:n kannalta. Määritelmä 2.8. Supistettu jäännössysteemi modulo n on joukko kokonaislukuja, joista jokainen on suhteellinen alkuluku luvun n kanssa. Lisäksi joukon mitkään kaksi eri alkiota eivät ole kongruentteja modulo n. Esimerkki Luvut 1, 2, 4, 5, 7 ja 8 muodostavat supistetun jäännössysteemin modulo 9. Lause Olkoot a ja n sellaisia positiivisia kokonaislukuja, että (a, n) = 1. Jos r 1, r 2,..., r φ(n) on supistettu jäännössysteemi modulo n, niin myös ar 1, ar 2,..., ar φ(n) on supistettu jäännössysteemi modulo n. Todistus. Vrt. [5, s. 234]. Olkoot a ja n sellaisia positiivisia kokonaislukuja, että (a, n) = 1. Oletetaan, että luvut r 1, r 2,..., r φ(n) muodostavat supistetun jäännössysteemin modulo n. Osoitetaan ensin, että kokonaisluvut ar j ja n ovat suhteellisia alkulukuja. Tehdään vastaoletus, että (ar j, n) > 1. Tällöin on olemassa alkuluku p siten, p (ar j, n). Tällöin p a tai p r j, joten p a ja p n tai p r j ja p n. Tästä seuraa ristiriita, sillä r j kuuluu oletuksen perusteella supistettuun jäännössysteemiin modulo n, joten molemmat p r j ja p n eivät voi toteutua. Samaten, koska (a, n) = 1, molemmat p a ja p n eivät voi toteutua. Näin ollen ar j ja n ovat suhteellisia alkulukuja, kun j = 1, 2,..., φ(n). Osoitetaan sitten, että mitkään kaksi lukua ar j eivät ole kongruentteja modulo n. Tehdään jälleen vastaoletus, että ar j ar k (mod n), missä j ja k ovat erillisiä kokonaislukuja, joille 1 j, k φ(n). Oletuksen perusteella (a, n) = 1, joten seurauslauseen 2.1 mukaan r j r k (mod n). Oletuksen perusteella r j ja r k kuuluvat supistettuun jäännössysteemiin modulo n, joten tämä on ristiriita. 27

28 Näin ollen mitkään kaksi lukua ar j eivät ole kongruentteja modulo n ja lause on todistettu. Esimerkki Luvut 1, 2, 4, 5, 7 ja 8 muodostavat supistetun jäännössysteemin modulo 9, joten luvut 1 5 = 5, 2 5 = 10, 4 5 = 20, 5 5 = 25, 7 5 = 35 ja 8 5 = 40 muodostavat supistetun jäännössysteemin modulo 9. Lause 2.15 (Eulerin lause). Olkoon m positiivinen kokonaisluku ja a kokonaisluku. Jos (a, m) = 1, niin a φ(m) 1 (mod m). Todistus. Vrt. [5, s. 235]. Olkoot a kokonaisluku ja m positiivinen kokonaisluku, joilla (a, m) = 1. Olkoot luvut r 1, r 2,..., r φ(m) sellainen supistettu jäännössysteemi modulo m, että 0 r i m ja (r i, m) = 1, missä 1 i φ(m). Oletuksen mukaan (a, m) = 1, joten edellä todistetun lauseen 2.14 perusteella myös luvut ar 1, ar 2,..., ar φ(m) muodostavat supistetun jäännössysteemin modulo m. Nyt luvut r 1, r 2,..., r φ(m) ovat lukujen ar 1, ar 2,..., ar φ(m) pienimmät positiiviset jäännökset modulo m. Tämän ja kongruenssin ominaisuuksien perusteella saadaan kertolaskun avulla kongruenssiyhtälö a φ(m) r 1 r 2 r φ(m) r 1 r 2 r φ(m) (mod m). Nyt (r 1 r 2 r φ(m), m) = 1, joten seurauslauseen 2.1 perusteella a φ(m) 1 (mod m) ja lause on todistettu. Eulerin lauseen avulla voidaan laskea käänteislukuja modulo m, sillä jos (a, m) = 1, niin a a φ(m) 1 = a φ(m) 1 (mod m). Tällöin a φ(m) 1 on luvun a käänteisluku modulo m. Esimerkki φ(5) 1 = 3 3 = 27 2 (mod 5), joten 2 on luvun 3 käänteisluku modulo 5. Seuraus 2.4 (Fermat'n pieni lause). Olkoon p alkuluku ja a positiivinen kokonaisluku. Jos p a, niin a p 1 1 (mod p). Todistus. Vrt. [3, s. 68] Jos p on alkuluku ja a sellainen positiivinen kokonaisluku, että p a, niin (a, p) = 1 ja φ(p) = p 1. Eulerin lauseen perusteella a p 1 a φ(p) 1 (mod p), 28

29 joten lause on todistettu. Huomautus. Kronologisesti katsoen Pierre de Fermat esitti Fermat'n pieneksi lauseeksi kutsutun tuloksen ennen Eulerin lausetta. Leonhard Euler julkaisi ensimmäisenä todistuksen Fermat'n pienelle lauseelle ja esitti Eulerin lauseena tunnetun yleistyksen vasta muutama vuosikymmen myöhemmin. Fermat'n pienen lauseen todistus, jossa ei hyödynnetä Eulerin lausetta, esitetään mm. teoksessa [5, s. 217]. 29

30 3 Kryptograa Luvussa 3 käydään läpi kryptograaan liittyviä käsitteitä ja esitellään esimerkein miten viestien salaaminen yksinkertaisessa perustilanteessa tapahtuu. Aliluvussa 3.3 tutustutaan julkisen avaimen kryptosysteemin ideaan. Luvun tiedot perustuvat pääosin Arto Salomaan teokseen Public-Key Cryptography [7]. 3.1 Kryptosysteemi Yksinkertaisimmassa perustilanteessa salausmenetelmiä tarvitaan, kun salassa pidettävä viesti on lähetettävä turvatonta viestintäkanavaa käyttäen. Turvattomalla viestintäkanavalla tarkoitetaan kanavaa, jota käytettäessä jollain kolmannella taholla on mahdollisuus lukea lähetetyt viestit. Kommunikoivien tahojen on sovittava käytettävästä salaus- ja purkumenetelmästä etukäteen. Perustapaus on hyvin yksinkertainen: lähettäjä salaa ja lähettää viestin, jonka jälkeen vastaanottaja purkaa sen. Viestin salaamisesta ja purkamisesta käytetään termejä kryptaaminen ja dekryptaaminen. Alkuperäisessä, salaamattomassa muodossa olevaa viestiä kutsutaan selvätekstiksi ja sitä vastaavaa salattua viestiä kryptotekstiksi. Selvä- ja kryptotekstit jaetaan tavallisesti viestilohkoiksi, joiden koko määräytyy käytettävän salausmenetelmän mukaan. Prosessia voidaan kuvata lyhyemmin ja yksinkertaisemmin seuraavalla formalismilla, missä w on selväteksti, c sitä vastaava kryptoteksti, E salaus- ja D purkumenetelmä: E(w) = c ja D(c) = w. [7, s. 1] Oheinen kuva 1 kokoaa edellä esitetyn ja kuvailee kryptosysteemin toimintaa. Kuva 1: Kryptosysteemin toiminta. 30

31 Määritelmä 3.1. Vrt. [7, s. 3] Kryptosysteemi muodostuu kolmikosta (P T, CT, K), missä (i) Selvätekstiavaruus P T on selvätekstien joukko (ii) Kryptotekstiavaruus CT on kryptotekstien joukko (iii) Avainavaruus K on joukko avaimia k, joista jokainen määrittää jonkin tietyn salausmenetelmän E k ja sitä vastaavan purkumenetelmän D k. Hyvällä kryptosysteemillä tulee olla tiettyjä ominaisuuksia. Otetaan tässä esimerkkinä Sir Francis Baconin ehdottama kolmekohtainen lista edellä esiteltyä terminologiaa käyttäen. (i) Kun tunnetaan salausmenetelmä ja selväteksti, kryptotekstin muodostaminen on helppoa. Kun tunnetaan purkumenetelmä ja kryptoteksti, selväteksti on helposti selvitettävissä. (ii) Selvätekstin selvittäminen kryptotekstistä on mahdotonta ilman purkumenetelmän tuntemista (iii) Kryptoteksti ei saa erottua muusta viestiliikenteestä. Ensiksikään kryptosysteemin ei siis tulisi olla liian monimutkainen ja sen käyttö ei saisi vaatia suurta määrää laskentatehoa. Vaatimus systeemin yksinkertaisuudesta korostui erityisesti ennen tietokoneita ja niiden tarjoamaa laskentatehoa. Toiseksi, systeemin murtamisen tulisi olla vaikeaa. Tietokoneiden merkitys kryptograassa on suuri, joten sana mahdoton tulisi korvata termillä laskennallisesti hankalaa. Tulee siis olettaa, että systeemin murtaminen ei onnistu järkevässä ajassa, vaikka laittomia purkuyrityksiä tekevillä tahoilla olisikin käytössään tehokkaita tietokoneita. Kolmannella kohdalla ei enää nykyään ole suurta merkitystä, sillä sekä selvä-, että kryptotekstit ovat hyvin samankaltaisia. Tietokoneita käytettäessä viestit ovat sekä salaamattomassa että salatussa muodossaan tavallisimmin bittijonoja, joita on vaikea erotella toisistaan silmämääräisesti. [7, s. 5] Esitetään seuraavassa esimerkki yksinkertaisesta kryptosysteemistä havainnollistamaan edellä käsiteltyä. Lähde [7, s. 5] kuvaa tässä esiteltävää kryptosysteemiä vain yleisellä tasolla; tässä esitettävä matemaattinen muotoilu perustuu pääosin lähteeseen [5, s. 279]. Esimerkkisysteemi perustuu kirjainten korvaamiseen toisilla kirjaimilla. Selväteksti salataan korvaamalla jokainen kirjain erikseen aakkosissa k askelta sitä edempänä olevalla kirjaimella. Luonnollisesti k aakkoston viimeistä kirjainta korvataan k:lla ensimmäisellä. Olkoon w salattavan kirjaimen numeerinen vastine, c sitä vastaavan salatun kirjaimen numeerinen vastine ja k avain. Tällöin kongruenssia käyttäen merkitään c w + k (mod 29). 31