n (n 1) avainten vaihtoa. Miljoonalle käyttäjälle avainten vaihtoja tarvittaisiin

Transkriptio

1 3. RSA Salausjärjestelmien käytön perusongelma oli pitkään seuraava: Kun Liisa ja Pentti haluavat vaihtaa salakirjoitettuja viestejä keskenään ja jos heidän käyttämänsä salausmenetelmä on symmetrinen, heidän pitää ensin sopia yhteisestä salaus-/avausavaimesta. Avainten vaihtoon tarvitaan esimerkiksi kuriiri. Internet-aikana tämä olisi ongelmallista. Jos verkossa on n viestin salausta hyödyntävää käyttäjää, tarvitaan 1 n (n 1) avainten vaihtoa. Miljoonalle käyttäjälle avainten vaihtoja tarvittaisiin 2 noin puoli biljoonaa! Yksi vaihtoehto ongelman ratkaisemiseen olisi luotettava avainpankki. Mutta avainpankin murtaminen olisi erittäin vahingollista. Julkisavainsalauksessa (epäsymmetrisessä salauksessa) käytetään menetelmiä, joissa avainten vaihto voidaan tehdä julkisesti. Jokaisella käyttäjällä on avainpari, julkinen avain (tai julkisavain) ja salainen avain. Julkinen avain voidaan nimensä mukaan julkaista, ja sen avulla avaimen omistajalle voidaan lähettää salakirjoitettuja viestejä. Salainen avain pitää nimensä mukaan pitää turvallisesti tallessa. Sen haltija voi avata hänelle vastaavalla julkisavaimella salatut viestit. Miten tällaiset menetelmät toimivat? Tarkastellaan aluksi tiettävästi vanhinta, RSA-menetelmää, joka on saanut nimensä löytäjiltään: Ron Rivest, Adi Shamir ja Len Adleman, jotka oivalsivat valjastaa Fermat n pienen lauseen salausmenetelmän käyttöön. Menetelmä julkaistiin vuonna Fermat n ja Eulerin lause. Lause 3.1 (Fermat n pieni lause). Olkoot p alkuluku ja a Z, jolle syt(a, p) = 1. Tällöin a p 1 1 mod p. Lauseesta kannattaa huomata seuraava seuraus (todistus HT): a p a mod p kaikille a Z. Tämä lause on peräisin Pierre de Fermat lta vuodelta 1640 (tarkemmin lokakuun 18. päivälle päivätystä kirjeestä Bernard Frénicle de Bessylle). Fermat oli lakimies, mutta myös amatöörimatemaatikko, joka ei löytämiään tuloksia juuri todistanut [13, I.6], kirjoittelipa niistä tunnetuille matemaatikoille, jotka sittemmin ovat todistaneet kaikki Fermat lta auki jääneet tulokset. Yllä esitetty alkuperäinen Fermat n lause ei riitä RSA-menetelmään, vaan siihen tarvitaan Leonhard Eulerin lauseelle esittämä (ja todistama) yleistys vuodelta Olkoon n Z, n 2. Palautettakoon mieleen, että kokonaislukujen jäännösluokkarenkaan osajoukko Z n := {x Z n x on kääntyvä} on Abelin ryhmä kertolaskun suhteen. Tämän joukon alkioiden lukumäärää merkitään ϕ(n). Näin määriteltyä funktiota ϕ kutsutaan Eulerin ϕ-funktioksi (englanninkielessä myös Euler s totient). Kun palautetaan mieleen kääntyvyyden karakterisointi suurimman yhteisen tekijän avulla, saadaan myös ϕ(n) = joukon {a {1, 2,..., n 1} syt(a, n) = 1} alkioiden lukumäärä. 14 Viimeksi muutettu

2 Otetaan käyttöön pari yleistä nimitystä. Olkoon G äärellinen ryhmä (siis ryhmä, jossa on äärellisen monta alkiota; ryhmän laskutoimitus merkittäköön tässä kertolaskuna ja neutraalialkio e). Ryhmän G kertaluku on sen alkioiden lukumäärä. Ryhmän G alkion g kertaluku on joukon g := {g k k Z} alkioiden lukumäärä. Joukko g on itse asiassa helppo todeta ryhmäksi (laskutoimituksena alkuperäinen kertolasku). Tätä varten pitää lähinnä huomata, että ryhmän G alkion g potensseille g k on voimassa g k g l = g k+l. Muotoa g = {g k k Z} olevaa ryhmän osajoukkoa kutsutaan alkion g virittämäksi sykliseksi aliryhmäksi. Yleisemmin ryhmän G osajoukko H on aliryhmä, jos se sisältää neutraalialkion e, ja jos kaikille g, h H on voimassa g h 1 H. Yhtäpitäväksi ehdoksi voidaan osoittaa: e H ja kaikille g, h H on voimassa g h H ja h 1 H. Kun tarkastellaan äärellisen ryhmän G alkion g virittämää aliryhmää g = {g k k Z}, on selvää, että alkiot g k eivät voi olla keskenään erisuuria, vaan on olemassa k, l Z, siten, että g k = g l ja k l. Oletetaan, että k > l. Koska alkiolla g l on käänteisalkio g l, saadaan g k l = g k g l = e. Siis jokaiselle alkiolla g on olemassa k Z siten, että g k = e ja k > 0. Olkoon nyt d pienin positiivinen kokonaisluku, jolle g d = e. Osoitetaan, että alkion g kertaluku on d, tarkemmin, että g = {g k k {1, 2,..., d}}. Riittää osoittaa, että jokainen h g on esitettävissä muodossa h = g k, missä k {1, 2,..., d}. Olkoon h = g k, missä k Z. Jakoyhtälön nojalla on olemassa q, r Z siten, että k = q d + r, missä 0 r < d. Koska g d = e, saadaan g k = g q d g r = (g d ) q g r = e q g r = g r. Jos r > 0, on g k = g r vaadittua muotoa. Jos taas r = 0, on g k = g 0 = e = g d, joten g k voidaan nytkin esittää halutussa muodossa. Todetaan lisäksi, että alkiot g k, k {1, 2,..., d}, ovat kaikki keskenään erisuuria. Nimittäin, jos olisi g k = g l joillekin k, l {1, 2,..., d}, joille k l, saataisiin g k l = e. Jos k > l, on 0 < k l < d, joten g k l = e eksponentille, joka on aidosti pienempi kuin d, mikä on vastoin luvun d valintaa. Vastaavasti, jos k < l, olisi g l k = e ja 0 < l k < d. Aliryhmän g = {g k k Z} lisänimi syklinen selittyy edellisellä ominaisuudella: kuvaus Z, k g k, on d-jaksoinen. Äärellisen ryhmän alkion kertaluvun käyttäytymistä rajaa seuraava: Lause 3.2. Olkoot G äärellinen ryhmä ja g G. a) Tällöin alkion g kertaluku jakaa ryhmän G kertaluvun. b) Jos ryhmän G kertaluku on D, on g D = e kaikille g G. Todistus. a) Olkoot H := g ja x H := {x h h H}, kun x G. Osoitetaan aluksi, että jos x G ja y G, niin joko (x H) (y H) = tai x H = y H. Tätä varten oletetaan, että (x H) (y H). Olkoon g (x H) (y H). Tällöin on olemassa h H ja h H siten, että g = x h = y h. Osoitetaan, että x H y H. Tätä varten olkoon z x H. Olkoon h H siten, että z = x h. Pitäisi osoittaa, että z voidaan esittää muodossa y h, missä h H. Ehdosta x h = y h saadaan x = y h h 1, joten z = x h = y h h 1 h. Koska H on ryhmän G aliryhmä, on h h 1 h H, joten alkiolla z on vaadittu esitys. 23

3 Todetaan seuraavaksi, että jokaisessa joukossa x H, x G, on yhtä monta alkiota kuin joukossa H, jossa niitä on alkion g kertaluvun osoittama määrä. Tämä seuraa siitä, että kuvaus f x : H x H, f x (h) := x h, on bijektio; sen käänteiskuvaus on (f x ) 1 = f x 1. Joukko G voidaan esittää yhdisteenä G = x G x H (huomaa: x x H, koska e H ja x e = x). Olkoon N keskenään eri joukkojen x H, x G, lukumäärä (todistuksen alun nojalla kaksi joukkoa x H ovat joko samat tai pistevieraat). Valitaan nyt jokaisesta joukosta x H, x G, yksi edustaja x j siten, että vastaavat joukot x j H, 1 j N, ovat pistevieraita. Tällöin G = N j=1 x j H on pistevieraiden joukkojen yhdiste, joten joukon G alkioiden lukumäärä = N joukon x j H alkioiden lukumäärä, j=1 t.s. ryhmän G kertaluku = N joukon H alkioiden lukumäärä. Koska joukon H alkioiden lukumäärä on alkion g kertaluku, väite seuraa tästä. b) Jos alkion g kertaluku on d, on a-kohdan nojalla d D, t.s. D = d k jollekin k Z +. Tällöin g D = (g d ) k = e k = e. Huomautus 3.3. Edellisellä lauseella ja sen todistuksella on seuraava luonnollisemman oloinen yleistys, joka tunnetaan Lagrangen lauseena: Olkoot G äärellinen ryhmä ja H sen aliryhmä. Tällöin aliryhmän H kertaluku jakaa ryhmän G kertaluvun. Tämän osoittamiseksi määritellään joukkoon G relaatio asettamalla x y, jos y 1 x H. Aliryhmältä vaadittujen ominaisuuksien nojalla on helppo todeta, että relaatio on ekvivalenssirelaatio (todistus jätetään lukijan tehtäväksi). Alkion x ekvivalenssiluokka on joukko [x] = {y G y x} = {y G x 1 y H} = {y G y = x h jollekin h H} =: x H Tässä määriteltyä joukkoa x H = {x h h H} kutsutaan alkion x määräämäksi vasemmaksi sivuluokaksi. Ekvivalenssirelaation yleisten ominaisuuksien nojalla sivuluokat x H, x G, muodostavat joukon G osituksen, G = x G x H, missä kahdelle eri alkiolle x G ja x G sivuluokat x H ja x H ovat joko samat tai pistevieraat. Lauseen todistuksen mukaan kuvaus f x : H x H, f x (h) := x h, on bijektio, joten kaikissa sivuluokissa on yhtä monta alkiota kuin aliryhmässä H. Päättely päätetään kuten lauseen todistuksessa. Lause 3.4. Olkoot G äärellinen ryhmä, g G ja k Z. Tällöin g k = e, jos ja vain jos alkion g kertaluku jakaa luvun k. Todistus. Olkoon alkion g kertaluku d. Jos d k, on olemassa l Z siten, että k = d l. Tällöin g k = (g d ) l = e l = e. Oletetaan kääntäen, että g k = e. Jakoyhtälön nojalla on olemassa q, r Z siten, että k = q d + r ja 0 r < d. Tällöin e = g k = (g d ) q g r = e q g r = g r. Koska g r = e ja 0 r < d, on alkion g kertaluvun määritelmän nojalla oltava r = 0. Siis k = q d, joten d k. 24

4 25 Seuraus 3.5. Olkoot G äärellinen ryhmä, g G ja l, m Z. Tällöin g l = g m, jos ja vain jos l m mod d, missä d on alkion g kertaluku. Todistus. Sovelletaan edellistä lausetta lukuun k := l m. Lause 3.6. Olkoot G äärellinen ryhmä, g G ja k Z. Tällöin alkion g k kertaluku on d/ syt(d, k), missä d on alkion g kertaluku. Todistus. Olkoon alkion g k kertaluku c. Merkitään d := d/ syt(d, k) ja k := k/ syt(d, k). Ensinnäkin (huomaa: k/ syt(d, k) Z) (g k ) d/ syt(d,k) = (g d ) k/ syt(d,k) = e k/ syt(d,k) = e. Lauseen 3.4 nojalla alkion g k kertaluku c jakaa luvun d = d/ syt(d, k). Jos taas (g k ) l = e, on g k l = e, joten lauseen 3.4 nojalla alkion g kertaluku d jakaa luvun k l. Tällöin d jakaa luvun k l. Koska syt(d, k ) = 1, jakaa d luvun l. Pienin positiivinen kokonaisluku l, jolle (g k ) l = e, on alkion g k kertaluku c. Siis d jakaa myös luvun c. Koska c jakaa luvun d ja d jakaa luvun c, on c = d. Lauseesta kannattaa tulevaa ajatellen huomata seuraava: Jos alkion g G kertaluku on d, niin myös alkion g k kertaluku on d, jos ja vain jos syt(d, k) = 1. Lisäksi, koska potenssit g k, 1 k d, ovat keskenään erisuuria, on ryhmässä G ainakin ϕ(d) alkiota, jonka kertaluku on d. Palataan jäännösluokkarenkaan Z n kääntyvien alkioiden muodostamaan multiplikatiiviseen ryhmään Z n. Tämän ryhmän kertaluku on ϕ(n). Lauseen 3.2 b-kohdasta saadaan välittömästi Lause 3.7 (Fermat n ja Eulerin lause). Olkoot n Z, n 2, ja a Z, jolle syt(a, n) = 1. Tällöin a ϕ(n) 1 mod n RSA-salaus. Oletetaan, että Liisa haluaa lähettää Pentille salakirjoitetun viestin. Aluksi Pentin pitää luoda itselleen salainen avain ja julkisavain. Pentti valitsee satunnaisesti kaksi keskenään erisuurta 15 alkulukua p ja q, ja laskee n := p q. Seuraavaksi Pentti valitsee kokonaisluvun e, jolle 1 < e < ϕ(n) ja syt(e, ϕ(n)) = 1. Se, että jälkimmäinen jaottomuusehto toteutuu, tarkistetaan laajennetulla Eukleideen algoritmilla. Samalla Pentti saa lasketuksi luvun d, jolle 1 < d < ϕ(n) ja d e 1 mod ϕ(n). Pentin julkisavain on pari (n, e). Hänen salainen avaimensa on luku d (tai pari (n, d)). Luku n on RSA-moduli, e on salauseksponentti ja d avauseksponentti. 15 Ja myös suurta; jatkossa oletetaan melkein automaattisesti, että p ja q ovat parittomia. All primes are odd except 2 which is the oddest prime of all.

5 RSA-menetelmässä salattava, selväkielinen viesti oletetaan kokonaisluvuksi m, jolle 0 m < n. Salaus tapahtuu laskemalla viestistä m luku c, jolle 0 c < n ja (3.1) c m e mod n. RSA-salatun viestin avaamiseen Eulerin ϕ-funktiosta tarvitaan seuraava tieto: Kun n = p q on RSA-moduli, on ϕ(p q) = (p 1) (q 1). Nimittäin, lukuja a Z, joille 1 a < n ja p a, on q 1 kappaletta (nimittäin kaikki monikerrat j p, 1 j < q). Vastaavasti, lukuja a Z, joille 1 a < n ja q a, on p 1 kappaletta. Koska p ja q ovat keskenään jaottomia alkulukuja, muille luvuille on syt(a, n) = 1. Jäljelle jääviä on siis n 1 (q 1 + p 1) = (p 1) (q 1). RSA-menetelmä perustuu seuraavaan lauseeseen. Lause 3.8. Olkoot (n, e) RSA-salauksen julkisavain, d vastaava salainen avain ja c kaavalla (3.1) selväkielisestä viestistä m laskettu salattu viesti. Tällöin (3.2) c d m mod n. Todistus. Koska d e 1 mod ϕ(n), on olemassa kokonaisluku l siten, että Tällöin d e = 1 + l ϕ(n). c d (m e ) d = m 1+l ϕ(n) = m (m ϕ(n) ) l mod n. Jos p ei jaa lukua m eikä q jaa lukua m, on syt(m, n) = 1, joten Fermat n ja Eulerin lauseen 3.7 nojalla saadaan c d m (m ϕ(n) ) l m 1 l = m mod n. Joka tapauksessa Fermat n pienen lauseen 3.1 nojalla on (jos p m, ovat väitteen molemmat puolet kongruentteja nollan kanssa modulo p) Vastaavasti c d m (m p 1 ) (q 1) l m mod p. c d m (m q 1 ) (p 1) l m mod q. Koska p ja q ovat keskenään jaottomia alkulukuja, seuraa näistä kahdesta yhtälöstä 26 c d m mod n Toistettu neliöinti. RSA-menetelmän viestin m saalaamiseksi avaimella e laskettavassa potenssissa a e eksponentti e voi olla suurikin. Jos potenssi a e lasketaan potenssin määrittelevän rekursion a e := a a e 1, a 1 := a, avulla, tarvitaan e 1 kertolaskua. Laskemista voidaan nopeuttaa huomattavasti seuraavasti ([2, 4.3]). Yleisemmin olkoot R rengas ja a R. 1 Esitetään luku e Z + kaksikantaisena muodossa e = 2 k + d k 1 2 k d d 0, missä d k 1,..., d 1, d 0 {0, 1}. 2 Asetetaan b k := a.

6 3 Kun j = k 1, k 2,..., 1, 0, asetetaan { b j := b 2 j+1 a, jos d j = 1, b j := b 2 j+1, muuten. Edellä lasketun jonon viimeinen alkio b 0 = a e (todistus jätetään lukijan tehtäväksi; tätä varten kannattaa osoittaa, että b j = a e/2j kaikille j = k, k 1,..., 0). Kun potenssi a e lasketaan tällä algoritmilla, tarvitaan k = log 2 e neliöintiä ja enintään yhtä monta kertolaskua (log 2 e on luvun n kaksikantainen logaritmi). Kaikenkaikkiaan neliöintien ja kertolaskujen lukumäärä on enintään 2 log 2 e. Esimerkiksi, jos e = , tarvittaisiin potenssin määrittelevän rekursion mukaisesti laskettaessa googolin verran kertolaskuja, mutta tässä esitetyllä toistetulla neliöinnillä päästään enintään 664 neliöinnillä ja kertolaskulla. Koska laskeminen tapahtuu varsinaisesti jäännösluokkarenkaassa Z n, pystytään laskemaan pienehköillä luvuilla; jos a = [m] n ja b j = [m j ] n, missä 0 m j < n, on b 2 j = [m 2 j] n, missä 0 m 2 j < n 2 ja b 2 j a = [rem(m 2 j, n) m] n, missä 0 rem(m 2 j, n) m < n Eulerin ϕ-funktion laskeminen. Edellä todettiin, että kun p ja q ovat keskenään erisuuria alkulukuja, on (3.3) ϕ(p q) = (p 1) (q 1). Vielä helpommin on todettavissa, että alkuluvulle p on ϕ(p) = p 1. Alkuperäinen Fermat n pieni lause 3.1 seuraa tästä (lukijaa kehotetaan tarkistamaan tämä huolellisesti). Osoitetaan, että kun p on alkuluku ja e Z +, on (3.4) ϕ(p e ) = p e p e 1. Tätä varten olkoon a Z, 0 a < p e. Esitetään luku a p-kantaisena muodossa a = a 0 + a 1 p + a 2 p a e 1 p e 1, missä a j {0, 1,..., p 1}, 0 j e 1. Nyt syt(a, p e ) 1, jos ja vain jos p a. Tälle yhtäpitävää on, että a 0 = 0. Siis syt(a, p e ) = 1, jos ja vain jos a 0 0. Lukuja a 1 p + a 2 p a e 1 p e 1 = (a 1 + a 2 p + + a e 1 p e 2 ) p missä a j {0, 1,..., p 1}, 1 j e 1, on p e 1 kappaletta (kaikki lukujen b Z, 0 b < p e 1, p-monikerrat), joten lukuja a Z, 0 a < p e, joille syt(a, p e ) = 1, on p e p e 1 = (p 1) p e 1 kappaletta. Eulerin ϕ-funktiolla on seuraavan lauseen mukainen ominaisuus, joka tunnetaan nimellä multiplikatiivisuus: Lause 3.9. Olkoot m 1,..., m n positiivisia kokonaislukuja, joille syt(m j, m k ) = 1, kun j k. Tällöin (3.5) ϕ(m 1 m n ) = ϕ(m 1 ) ϕ(m n ). Tämän lauseen todistus jätetään myöhempään ajankohtaan (kiinalaisen jäännöslauseen yhteyteen). 27

7 Seuraus Olkoot p 1,..., p n keskenään erisuuria alkulukuja ja e 1,..., e n Z +. Tällöin n (3.6) ϕ(p e 1 1 p en n ) = (p 1 1) p e (p n 1) p en 1 n = p e p 1 1 p en j 1 n. p j Todistus. Väite seuraa välittömästi kaavoista (3.4) ja (3.5). Aritmetiikan peruslauseen nojalla jokainen positiivinen kokonaisluku m voidaan esittää alkulukujen tulona muodossa m = p e 1 1 p en n. Tätä esitystä ei kuitenkaan pystytä määräämään laskennallisesti tehokkaasti. Edellä Eulerin ϕ-funktiolle saatu kaava perustuu juuri aritmetiikan peruslauseen mukaisen tuloesityksen käyttöön. Onko Eulerin ϕ-funktion arvojen laskeminen siis myös käytännössä mahdotonta? Jos oletetaan, että luku n on kahden keskenään erisuuren alkuluvun p ja q tulo, n = p q, niin kaavan (3.3) nojalla voidaan sanoa: jos tekijät p ja q voidaan määrätä laskennallisesti tehokkaasti, niin myös Eulerin ϕ-funktion arvo ϕ(n) saadaan helposti lasketuksi. Lukijalla jätetään osoitettavaksi, että myös käänteiselle väitteelle on perusteita: jos Eulerin ϕ-funktion arvo ϕ(n) saadaan laskettua laskennallisesti tehokkaasti, niin luvun n tekijät p ja q voidaan määrätä helposti. Siis luvun alkutekijöiden määrääminen ja Eulerin ϕ-funktion arvon laskeminen ovat yhtä vaikeita ongelmia Salainen avain. RSA-menetelmän pitäisi olla epäsymmetrinen salain siinä mielessä, että salaista avainta d ei saada selville julkisen avaimen (n, e) avulla. Edeltä käy ilmi, että jos luvun n tekijät p ja q saadaan selville, on myös helppo laskea ϕ(n) = (p 1)(q 1). Kun e ja ϕ(n) tunnetaan, laajennetun Eukleideen algorimilla voidaan määrätä luku d, jolle 1 < d < ϕ(n) ja d e 1 mod ϕ(n). Luvun alkutekijöiden määräämistä pidetään kuitenkin vaikeana ongelmana. Seuraavassa pyritään selvittämään, missä mielessä luvun n alkutekijöiden määrääminen ja salaisen avaimen d määrääminen ovat yhtä vaikeita ongelmia. Osoitetaan, että jos julkisen avaimen (n, e) lisäksi tunnetaan salainen avain d, niin luvun n alkutekijät p ja q saadaan selville helposti. Tätä varten oletetaan, että p ja q ovat parittomia (niidenhän pitäisi olla suuria alkulukuja). Olkoon s := max{t Z + 2 t jakaa luvun d e 1}. Koska p ja q ovat parittomia, on ϕ(n) = (p 1)(q 1) parillinen. Ehdon d e 1 mod ϕ(n) nojalla luku d e 1 on parillinen, siis muotoa d e 1 = 2 s k, missä luvuksi s valitaan suurin mahdollinen positiivinen kokonaisluku niin, että 2 s d e 1. Luku k on tällöin pariton. Lemma Olkoon a Z + ja syt(a, n) = 1. Tällöin jäännösluokan [a k ] n kertaluku ryhmässä Z n on muotoa 2 j jollekin j {0, 1,..., s}. Todistus. Lauseen 3.8 nojalla a d e 1 1 mod n. Koska d e 1 = 2 s k, saadaan (a k ) 2s = a 2s k 1 mod n. Lauseen 3.4 nojalla alkion [a k ] n kertaluku jakaa luvun 2 s. Kertaluvun on siis oltava muotoa 2 j jollekin j {0, 1,..., s}. j=1 28

8 Jos jäännösluokan [a k ] n kertaluku ryhmässä Z n on 2 j, on [a k ] 2j n = [1] n (ja k.o. eksponentti on pienin positiivinen, jolle näin käy), t.s. (a k ) 2j 1 mod n. Koska p n, on tällöin myös (a k ) 2j 1 mod p, joten lauseen 3.4 nojalla jäännösluokan [a k ] p kertaluku ryhmässä Z p on 2 t, jollekin t j. Vastaavasti jäännösluokan [a k ] q kertaluku ryhmässä Z q on 2 t, jollekin t j. Lause Olkoon a Z + ja syt(a, n) = 1. Oletetaan, että jäännösluokkien [a k ] p ja [a k ] q kertaluvut ovat keskenään erisuuret. Tällöin jollekin t {0, 1,..., s 1}. 1 < syt(a 2t k 1, n) < n Todistus. Olkoot jäännösluokkien [a k ] p ja [a k ] q kertaluvut 2 t ja 2 t, missä t j ja t j (ja j s; 2 j on jäännösluokan [a k ] n kertaluku). Oletetaan, että t < t. Tällöin [a k ] 2t p = [1] p, mutta [a k ] 2t q [1] q. Siis p (a k ) 2t 1, mutta q (a k ) 2t 1. Koska luvun n ainoat ei-triviaalit tekijät ovat p ja q, on syt(a 2t k 1, n) = p. Luvun n tekijöitä voidaan nyt etsiä seuraavalla menetelmällä (algoritmilla): (1) Valitaan satunnaisesti luku a {1, 2,..., n 1}. (2) Lasketaan g := syt(a, n). (3) Jos g = 1, niin lasketaan g := syt(a 2t k 1, n) arvoille t = s 1, s 2,... kunnes 1 < g < n tai t = 0. (4) Jos 1 < g < n, niin g = p tai g = q, jolloin haluttu luvun n tekijä on löydetty. Jos taas g = 1 tai g = n, on luvun a valinta epäonnistunut. Huomautus kohtiin (2) ja (3). Jos kohdassa (2) on g > 1, on g = p tai g = q, koska luvulle a {1, 2,..., n 1} on syt(a, n) {1, p, q}. Kun kohdassa (3) lasketaan g := syt(a 2t k 1, n), voidaan käyttää seuraavaa suurimman yhteisen tekijän ominaisuutta, jonka todistaminen jätetään lukijalle: syt(u, n) = syt(u j n, n) kaikille j Z. Tämä tarkoittaa erityisesti, että jos r on jäännösluokan [u] n pienin positiivinen edustaja, on syt(u, n) = syt(r, n). Luvun syt(a 2t k 1, n) laskemiseksi tämä tarkoittaa, että jäännösluokka [a k ] 2t n lasketaan toistetulla neliöinnillä renkaassa Z n, ja tuloksesta poimitaan jäännösluokan pienin positiivinen edustaja τ. Tällöin syt(a 2t k 1, n) = syt(τ 1, n). Tätä menetelmää pitäisi ajatella käytettäväksi myös lauseen 3.12 suurimman yhteisen tekijän laskemisessa. Jotta edellinen menetelmä olisi mielekäs, pitäisi luvun a valinta onnistua edes kohtuullisen usein. Edellisen lauseen 3.12 nojalla luvun a valinta voi epäonnistua vain, jos jäännösluokkien [a k ] p ja [a k ] q kertaluvut ovat yhtäsuuret. Osoitetaan, että luvulle a valinta osuu oikeaan todennäköisyydellä, joka on vähintään 1/2. Lemma Lukuja a Z +, joille syt(a, n) = 1 ja jäännösluokkien [a k ] p ja [a k ] q kertaluvut ovat keskenään erisuuret, on ainakin (p 1)(q 1)/2 kappaletta. Tämän väitteen todistaminen jätetään myöhemmäksi (kunnes käytettävissä on kunnan primitiivinen alkio). Tämän lemman nojalla luvun a valinnan epäonnistumisen todennäköisyys on enintään (p 1)(q 1) 2 ϕ(n) =

9 Kun edellistä algoritmia toistetaan r kertaa, on todennäköisyys sille, että jokaisella kerralla luvun a valinta epäonnistuu, enintään (1/2) r. Todennäköisyys sille, että r toiston jälkeen luvun a valinta on onnistunut, on tällöin vähintään 1 (1/2) r. Huomautus Edellinen algoritmi antaa hyvän esimerkin kahdesta lukuteoriaan (ja salausjärjestelmien teoriaan) liittyvästä päättelystä. Ensinnäkin, kun tavalla tai toisella on löydetty luku a (tai a 2t k 1), voidaan luvun n alkutekijöitä etsiä Eukleideen algoritmin avulla: jos 1 < syt(a, n) < n, on luvun n alkutekijä löydetty (olettaen, että n on kahden keskenään erisuuren alkuluvun tulo). Toisekseen, luvun a etsiminen tapahtuu probabilistisesti eli hakuammunnalla, jolla voidaan varmistaa, että haetun kaltainen luku löydetään riittävän suurella todennäköisyydellä. Eukleideen algoritmi puolestaan on deterministinen: lähtöarvoista päästään haluttuun tulokseen riittävän monen askeleen päästä RSA lohkosalaimena. Tarkastellaan lyhyesti, miten RSA-salainta käytetäään lohkosalaintyyppisesti. Olkoon aakkostona Σ := Z N, missä N on annettu positiivinen kokonaisluku. Aakkoston merkit samaistetaan lukujen µ {0, 1,..., N 1} kanssa. Yleensä RSA-salaimessa käytetty n on huomattavasti suurempi kuin N. Olkoon k := log N n. Sanaa (m 1,..., m k ) Σ k vastaa N-kantainen luku 30 m = k m j N k j. j=1 Luvun k valinnan nojalla on 0 m (N 1) k N k j = N k 1 < n. j=1 Seuraavassa sanat (m 1,..., m k ) Σ k samaistetaan vastaavien kokonaislukujen m = k j=1 m j N k j kanssa. Jokainen k-pituinen Σ-sana on siis kelvollinen RSAsalaukseen. RSA-menetelmässä viesti m {0, 1,..., n 1} salataan laskemalla c = rem(m e, n). Koska 0 c < n < N k+1, on luvun c N-kantaisessa esityksessä enintään k + 1 numeroa, joten k c = c j N k j, j=0 missä c j Σ, 0 j k. Salattua viestiä c vastaa nyt sana (c 0,..., c k ) Σ k+1. RSAmenetelmässä siis k-pituiset sanat (m 1,..., m k ) Σ k kuvataan (k + 1)-pituisiksi sanoiksi (c 0,..., c k ) Σ k+1. Alkuperäisen lohkosalaimen määritelmän mukainen lohkosalain RSA ei siis ole, mutta esimerkiksi elektroninen koodikirjatila tai salauslohkojen ketjutustila on pienin muutoksin sovitettavissa myös tähän tilanteeseen.

10 4. Rabinin salain RSA-menetelmän käsittelystä käy selville, että jos luvun n alkutekijät p ja q saadaan helposti selville, myös RSA-salatut viestit on helppo avata. Ei kuitenkaan tiedetä, ovatko lukujen alkutekijöihin jakaminen ja RSA-salauksen murtaminen yhtä vaikeita ongelmia. Ei siis tiedetä, onko RSA-salauksen murtamiseen joitain alkutekijäjakoa oleellisesti helpompia tapoja. Seuraavassa tarkasteltava Rabinin salain perustuu myös lukujen alkutekijäjakoon, mutta Rabinin salaimen murtaminen ja alkutekijäjako on osoitettavissa yhtä vaikeiksi tehtäviksi. Tällaista vertailua, salausongelma matemaattinen ongelma, pidetään tärkeänä siksi, että parin matemaattisella puolella käsitteet ovat yleensä täsmällisemmin määriteltyjä ja käsitteiden välisiä suhteita on tutkittu pitkään. Näin ongelmasta saadaan parempi yleiskuva, ja mahdolliset heikkoudet on helpommin paljastettavissa. Rabinin menetelmässä Pentti valitsee satunnaisesti kaksi keskenään erisuurta alkulukua p ja q, joilta lisäksi vaaditaan, että p 3 mod 4 ja q 3 mod 4. Pentti laskee tulon n := p q. Pentin julkisavain on luku n ja salainen avain pari (p, q). Rabinin menetelmää voidaan soveltaa myös muille alkuluvuille p ja q, siis sellaisillekin, jotka eivät toteuta yllä asetettua kongruenssiehtoa, mutta tämä kongruenssiehto helpottaa salattujen viestien avaamista oleellisesti. Kuten RSA-menetelmässä selväkielisten viestien joukko on {0, 1,..., n 1}. Kun Liisa haluaa salata viestin m {0, 1,..., n 1}, hän käyttää Pentin julkiavainta n ja määrää luvun c {0, 1,..., n 1}, jolle c m 2 mod n. Viestin joukkona käytetty {0, 1,..., n 1} on siis joukon Z n pienimpien ei-negatiivisten edustajien joukko. Koska p ja q ovat parittomia (niiden tulisi olla isoja), on myös n pariton, joten joukon Z n edustajiksi voitaisiin yhtä hyvin valita kokonaisluvut väliltä [ n 1, n 1]. Selvää on, että salausfunktio [m] 2 2 n [m] 2 n ei tässä tilanteessa ole injektio, joten Rabinin salain ei ole salausjärjestelmän määritelmän mielessä salausfunktio. Rabinin salainta voidaan kuitenkin käyttää joissakin tilanteissa, joissa salatun viestin avaaminen ei ole menetelmän keskeisin tavoite Kiinalainen jäännöslause. Rabinin salaimella salatun viestin avaamisessa tarvitaan apuna seuraavaa tulosta: Lause 4.1 (Kiinalainen jäännöslause). Olkoot m 1,..., m n keskenään jaottomia positiivisia kokonaislukuja (siis syt(m j, m k ) = 1, kun j k), ja a 1,..., a n Z. Tällöin on olemassa x Z, joka ratkaisee konguenssiyhtälöryhmän x a 1 mod m 1 (4.1). x a n mod m n Lisäksi, jos x Z on konguenssiyhtälöryhmän (4.1) toinen ratkaisu, niin x x mod m, missä m := m 1 m n (t.s. konguenssiyhtälöryhmän ratkaisu on yksikäsitteinen modulo m). 31

11 Todistus. Olkoon M j := m/m j = k:k j m k, missä m = m 1 m n. Koska luvut m j ovat keskenään jaottomia, on syt(m j, M j ) = 1 Laajennetun Eukleideen algoritmin avulla löydetään luvut s j ja t j Z siten, että s j m j + t j M j = 1. Tällöin t j M j 1 mod m j. Asetetaan n x := a k t k M k. k=1 Osoitetaan, että x ratkaisee konguenssiyhtälöryhmän (4.1). Koska t j M j 1 mod m j, on a j t j M j a j mod m j. Toisaalta, koska m j jakaa luvun M k, kun k j, on jokaiselle k {1,..., n}, jolle k j, voimassa a k t k M k 0 mod m j. Näiden tietojen perusteella n x = a j t j M j + a k t k M k a j mod m j. k=1 k j Siis x on konguenssiyhtälöryhmän (4.1) ratkaisu. Osoitetaan vielä, että ratkaisu on yksikäsitteinen modulo m. Olkoon x Z toinen ratkaisu konguenssiyhtälöryhmälle (4.1). Tällöin m j x a j ja m j x a j, joten m j x x kaikille j {1,..., n}. Koska luvut m j ovat keskenään jaottomia, seuraa tästä, että m = m 1 m n x x. (Tämä seuraa induktiolla harjoituksissa käsitellystä tehtävästä: kun p ja q ovat keskenään erisuuria alkulukuja ja a b mod p ja a b mod q, niin a b mod p q. Se, että p ja q ovat alkulukuja, on epäoleellista; tärkeää on, että syt(p, q) = 1.) Siis x x mod m. Olkoot R ja R renkaita ja f : R R annettu kuvaus. Sanotaaan, että f on rengashomomorfismi, jos kaikille r 1, r 2 R on voimassa f(r 1 + r 2 ) = f(r 1 ) + f(r 2 ) ja f(r 1 r 2 ) = f(r 1 ) f(r 2 ). Jos rengashomomorfismi f on bijektio, sitä sanotaan rengasisomorfismiksi ja, että renkaat R ja R ovat isomorfiset. Jos R 1,..., R n ovat renkaita, saadaan niiden karteesisesta tulosta R 1 R n rengas määrittelemällä summa ja tulo komponenteittain (r 1,..., r n ) + (s 1,..., s n ) := (r 1 + s 1,..., r n + s n ) ja (r 1,..., r n ) (s 1,..., s n ) := (r 1 s 1,..., r n s n ). Lause 4.2. Olkoot m 1,..., m n keskenään jaottomia positiivisia kokonaislukuja ja m := m 1 m n. Tällöin kuvaus on rengasisomorfismi. f : Z m Z m1 Z mn, f([x] m ) := ([x] m1,..., [x] mn ), Todistus. Lukijan tehtäväksi jätetään tarkistaa, että kuvaus f on hyvinmääritelty (tämä tarkoittaa, että jos x, y Z ja [x] m = [y] m, niin f([x] m ) = f([y] m )). Lukijalle jätetään myös tarkistettavaksi, että f on rengashomomorfismi. 32

12 Surjektiivisuuden osoittamiseksi olkoon ([a 1 ] m1,..., [a n ] mn ) Z m1 Z mn. Kiinalaisen jäännöslauseen nojalla on olemassa x Z siten, että x a j mod m j. Tämä tarkoittaa, että [x] mj = [a j ] mj, joten f([x] m ) = ([a 1 ] m1,..., [a n ] mn ). Myös injektiivisyys seuraa kiinalaisesta jäännöslauseesta: jos f([x] m ) = f([x ] m ), on [x] mj = [x ] mj kaikille j {1,..., n}, joten x x mod m j kaikille j {1,..., n}. Jäännöslauseen jälkimmäisen osan nojalla x x mod m, joten [x] m = [x ] m Eulerin ϕ-funktion multiplikatiivisuus. RSA-menetelmän yhteydessä todistamatta jäi Eulerin ϕ-funktion multiplikatiivisuutta käsittelevä lause 3.9: Olkoot m 1,..., m n keskenään jaottomia positiivisia kokonaislukuja. Tällöin ϕ(m 1 m n ) = ϕ(m 1 ) ϕ(m n ). Ennen todistusta on hyvä huomata seuraava yleinen tulos: Jos f : R R on rengasisomorfismiksi, niin renkaan R alkio r on kääntyvä, jos ja vain jos sen kuva f(r) on renkaan R kääntyvä alkio. Jos r on kääntyvä, on olemassa s R siten, että r s = 1 (ja myös s r = 1, jos R ei ole kommutatiivinen). Rengashomomorfismissa ykkösalkion 1 R kuva f(1) on renkaan R ykkösalkio 1 (tämän todistaminen jätetään lukijan tehtäväksi). Siis rengashomomorfisuuden nojalla 1 = f(1) = f(r s) = f(r) f(s) (ja vastaavasti 1 = f(s r) = f(s) f(r)). Tästä seuraa, että f(r) on kääntyvä ja sen käänteisalkio (f(r)) 1 = f(s) = f(r 1 ). Käänteinen puoli ( jos f(r) on kääntyvä... ) jätetään lukijan tehtäväksi. Lauseen 3.9 todistus. Käytetään apuna edellä saatua kiinalaisen jäännöslauseen seurausta ja edellistä huomiota. Koska kuvaus f : Z m Z m1 Z mn on rengasisomorfismi, on [x] m Z m kääntyvä, jos ja vain jos f([x] m ) = ([x] m1,..., [x] mn ) on kääntyvä. Tulorenkaan Z m1 Z mn alkio ([a 1 ] m1,..., [a n ] mn ) on kääntyvä, jos ja vain jos jokainen [a j ] mj on kääntyvä (tämän toteaminen jätetään lukijan tehtäväksi). Siis kuvauksen f rajoittuma kääntyvien alkioiden joukkoon antaa bijektion Z m Z m 1 Z m n. Tässä vasemman ja oikean puolen joukkojen alkioiden lukumäärät ovat ϕ(m) ja ϕ(m 1 ) ϕ(m n ). Bijektiivisyyden nojalla nämä ovat samat Pienten eksponenttien hyökkäys. RSA-menetelmään liittyy moninaisia heikkouksia, joista yksi liittyy julkisen avaimen (n, e) valintaan. Koska ϕ(n) = (p 1)(q 1) on parillinen ja avaimelle e on oltava syt(e, ϕ(n)) = 1, on luvun e oltava pariton. Pienin kyseeseen tuleva julkinen avain on siis e = 3. Jos julkiseksi avaimeksi e valitaan pieni luku, voi RSA-salaus joutua ns. pienten eksponenttien hyökkäyksen kohteeksi. Tämä toimii seuraavasti: Jos Liisa lähettää saman viestin m e kertaa niin, että julkisina avaimina käytetään pareja (n j, e), 1 j e, Liisa laskee luvut c j, joille c j m e mod n j, 1 j e. Nyt Erkki laskee 1 kiinalaisen jäännöslauseen avulla luvun c, jolle c c j mod n j, 1 j e, ja 0 c < n 1 n e ; 2 luvun e c. e Erkin laskema juuri c on juuri alkuperäinen viesti m: Lause 4.3. Olkoot n 1,..., n e keskenään jaottomia positiivisia kokonaislukuja. Oletetaan, että kokonaisluvulle m on 0 m < n j kaikille j {1,..., e}. Olkoon c Z, c m e mod n j kaikille j {1,..., e} ja 0 c < n 1 n e. Tällöin c = m e. 33

13 Todistus. Olkoon c := m e. Tällöin c m e mod n j, 1 j e. Koska 0 m < n j kaikille j {1,..., e}, on 0 c < n 1 n e. Toisaalta, myös luvulla c on nämä kaksi ominaisuutta. Kiinalaisen jäännöslauseen 4.1 nojalla c c mod n 1 n e. Koska 0 c, c < n 1 n e, on c = c, joten c = m e Rabinin salain: avaus. Pentti on valinnut keskenään erisuuret alkuluvut p ja q, joille p 3 mod 4 ja q 3 mod 4, ja laskenut julkisavaimekseen n = p q. Liisa on lähettänyt viestin m {0, 1,..., n 1} Pentille salattuna muodossa c m 2 mod n eli [c] n = [m] 2 n. Pentin pitäisi ratkaista tämä yhtälö tuntemattoman m suhteen, t.s. Pentin pitäisi osata laskea alkion [c] n neliöjuuri jäännösluokkarenkaassa Z n. Pentin salainen avain, jota nyt tarvitaan viestin c avaamiseen, on pari (p, q). Pentti määrää aluksi luvut m p ja m q, joille m p c (p+1)/4 mod p ja m q c (q+1)/4 mod q. Tällöin [±m p ] p ovat alkion [c] p neliöjuuret kunnassa Z p ja vastaavasti [±m q ] q ovat alkion [c] q neliöjuuret kunnassa Z q (tämän osoittaminen jätetään lukijan tehtäväksi). Seuraavaksi Pentti käyttää kiinalaista jäännöslausetta ja ratkaisee kongruenssiparin m m p mod p ja m m q mod q: Aluksi määrätään kokonaisluvut s ja t siten, että Sitten lasketaan s p + t q = 1 µ := s p m q + t q m p ja ν := s p m q t q m p. Nyt pienellä laskulla nähdään (kannattaa laskea), että [±µ] n ja [±ν] n ovat alkion [c] n neliöjuuria renkaassa Z n. 16 Jokin näistä on antaa alkuperäisen luokan [m] n, joten jos luokille [±µ] n ja [±ν] n valitaan edustajat joukosta {0, 1,..., n 1}, jokin näistä on alkuperäinen viesti m Rabinin salain vs. tekijöihinjako. Rabinin salaimen käsittelyn nojalla on selvää, että jos Erkki osaa jakaa luvun n alkutekijoihinsä, hän pystyy avaamaan Liisan Pentille lähettämän viestin yhtä helposti kuin Pentti. Osoitetaan seuraavaksi, että jos Erkki pystyy murtamaan Rabinin salaimen, niin hän pystyy määräämään luvun n tekijät. (Päättelystä on hyvä huomata, että tämäkin menetelmä on probabilistinen.) Oletetaan nyt, että Erkki pystyy tavalla tai toisella murtamaan Rabinin salaimen. Olkoot p, q ja n kuten edellä. Olkoon R menetelmä (funktio), jolla Erkki saa avatuksi salakirjoitetut viestit. Siis jos c {0, 1,..., n 1} ja [c] n on jonkin renkaan Z n alkion neliö (jollaisia salakirjoitettujen viestien tulee olla) ja m := R(c), on m {0, 1,..., n 1} ja [m] n alkion [c] n neliöjuuri renkaassa Z n. Erkki valitsee satunnaisesti luvun x {1,..., n 1}. Jos syt(x, n) 1, on Erkki löytänyt toisen luvun n tekijöistä. Jos taas syt(x, n) = 1, Erkki määrää luvun c {0, 1,..., n 1}, jolle c x 2 mod n ja laskee m := R(c). 16 Toisen asteen yhtälöllä on neljä ratkaisua!? 34

14 Luvulle m on siis m 2 c mod n. Koska näin on myös luvulle x, on m 2 x 2 mod n. Tästä seuraa, että parille (m, x) on voimassa jokin seuraavista kogruensseista: (4.2) (4.3) (4.4) (4.5) m x mod p ja m x mod q, m x mod p ja m x mod q, m x mod p ja m x mod q, m x mod p ja m x mod q. Jos pari (m, x) toteuttaa yhtälöparin (4.4), on syt(m x, n) = p. Jos pari (m, x) toteuttaa yhtälöparin (4.5), on syt(m x, n) = q. Ainakin kahdessa tapauksessa neljästä on siis 1 < syt(m x, n) < n. Koska Erkki ei tunne tekijöitä p ja q, ei hän myöskään tiedä, mikä tapauksista (4.2) (4.5) tulee kyseeseen. Hän voi vain laskea suurimman yhteisen tekijän syt(m x, n). Koska hän valitsee luvun x satunnaisesti, hänellä on ainakin 50% todennäisyys päätyä tapaukseen 1 < syt(m x, n) < n. Mutta toistamalla tätä päättelyä (=luku x valitaan satunnaisesti ja lasketaan syt(m x, n)), hän on r toiston jälkeen löytänyt luvun n tekijät todennäköisyydellä 1 (1/2) r. 35