Die Mathematik von RSA

Die Mathematik von
RSA
Eine Arbeit von
Yimin Ge
([email protected])
August 2005
Inhaltsverzeichnis
0 Vorwort
2
1 Prinzip der Einwegverschlüsselung
3
2 Zahlentheoretische Grundlagen
2.1 Teilbarkeit und Primzahlen . . . . . . . . . . . . . . .
2.2 Größter gemeinsamer Teiler und Euklidsches Verfahren
2.3 Kongruenzen und Restklassen . . . . . . . . . . . . . .
2.4 Multiplikative Inverse . . . . . . . . . . . . . . . . . . .
2.5 Der Schlüssel zum Erfolg: Satz von Fermat . . . . . . .
3 Ver- und Entschlüsselungsalgorithmus von
3.1 Das Verfahren . . . . . . . . . . . . . . . .
3.2 Beweis des Verfahrens . . . . . . . . . . .
3.3 Implementierungstechnische Tipps . . . . .
3.4 Die Sicherheit von RSA . . . . . . . . . . .
Literatur
RSA
. . . .
. . . .
. . . .
. . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4
4
6
9
12
13
.
.
.
.
15
15
16
18
19
20
0
Vorwort
Da der Mathematikunterricht an Österreichischen Schulen im internationalen Vergleich sowohl qualitativ als auch quantitativ praktisch nicht vorhanden ist und aufgrund diverser
Stundenkürzungsreformen noch weiter komprimiert wird, nimmt in Österreich vor allem bei
jungen Menschen der Trend zu, den Sinn dieser Wissenschaft generell in Frage zu stellen.
Die Idee zu dieser Arbeit kam mir, als ich entsetzt feststellte, wie stark die Zweifel an dem
Sinn der Mathematik selbst in meiner eigenen Schulklasse waren. Als Teilnehmer der Österreichischen und Internationalen Mathematikolympiade war ich zutiefst schockiert darüber,
mit welcher Verachtung meine Klassenkollegen über solch eine schöne und vor allem essentielle Wissenschaft sprachen.
Mir lag der Wunsch nahe, diesem Trend entgegenzuwirken und nachdem einige mündliche
Überzeugungsversuche nichts halfen, kam mir die Idee es mit einer schriftlichen Arbeit zu
versuchen. Ich besuche eine Schule mit Schwerpunkt auf EDV, der Gedanke lag daher nahe,
die Mathematik in dieser Arbeit mit einem wichtigen Thema der Informatik zu verbinden.
So kam ich zu RSA, einem weit verbreiteten Verschlüsselungsverfahren, welches von den drei
Mathematikern Ronald Rivest, Adi Shamir und Leonard Adleman entwickelt wurde, einem
Verfahren, das die gesamte Kryptologie revolutionierte.
RSA ist ein Verfahren, von dem die meisten Informatiker bereits etwas gehört haben, welches viele Informatiker bereits programmiert haben, von denen allerdings nur die Wenigsten
wirklich wissen, welche mathematischen Kentnisse und Gesetze dahinterstecken.
Diese Arbeit richtet sich an alle, die RSA nicht nur kennen, können oder programmieren,
sondern verstehen und begreifen wollen. Es wird kein tieferes mathematisches Wissen vorausgesetzt, sämtliche für das Verständnis von RSA benötigten zahlentheoretische Kenntnisse,
welchen ich den Großteil dieser Arbeit widme, werden von Grund auf vermittelt. Dabei lege
ich besonders viel Wert darauf, mathematische Sätze nicht nur zu erklären, sondern auch zu
beweisen, damit der Leser möglichst wenig als gegeben hinnehmen muss.
Diese Arbeit beschäftigt sich ausschließlich mit der mathematischen Seite von RSA. Bei
näherem Interesse zu den geschichtlichen und wirtschaftlichen Auswirkungen von RSA oder
zu Vergleichen mit anderen Verschlüsselungsverfahren sei an dieser Stelle auf zusätzliche,
zahlreich vorhandene Literatur verwiesen.
Zuletzt möchte ich noch das dringende Appell aussprechen, den anfangs beschriebenen
Trend auf keinen Fall fortzusetzen, sondern die Mutter der Wissenschaften, welche die Grundbausteine für die meisten anderen Wissenschaften liefert, auch als solche zu würdigen.
Wien, August 2005
Yimin Ge
2
1
Prinzip der Einwegverschlüsselung
Bei herkömmlichen symmetrischen Verschlüsselungsverfahren (also jene, bei denen der Schlüssel
zum Verschlüsseln auch gleichzeitig der Schlüssel zum Entschlüsseln ist, oder der eine Schlüssel
leicht aus dem anderen berechnet werden kann) war es lange Zeit ein Problem, Schlüssel bzw.
Codebücher sicher zum Kommunikationspartner zu transportieren. Der Schlüsseltransport
war dabei nicht nur der kostenaufwendigste Teil der Kommunikation, sondern auch gleichzeitig die größte logistische Schwachstelle.
Bis in die 1970er Jahre hielt man dieses Problem prinzipiell nicht für lösbar, bis
Whitfield Diffie und Martin Hellmann eine Theorie ohne wirkliche Lösungsansätze zur sogenannten Public-Key-Kryptographie veröffentlicht hatten.
Die grundlegende Idee eines solchen Verschlüsselungsverfahrens besteht darin, dass die
Schlüssel zum Ver- und Entschlüsseln verschieden und ohne Zusatzinformation praktisch
nicht ineinander umrechenbar sind. Dabei ist allerdings zu beachten, dass beide Schlüssel
auch die jeweils andere Funktion ausüben können (man kann also mit irgendeinem der
beiden Schlüssel eine Nachricht verschlüsseln, die dann mit dem jeweils anderen Schlüssel
entschlüsselbar ist). Jener Schlüssel, der zum Verschlüsseln verwendet wird, wird als “Public
Key“ (=öffentlicher Schlüssel) bezeichnet und jener zum Entschlüsseln als “Private Key“
(=privater/geheimer Schlüssel).
Die Verschlüsselung ist mathematisch gesehen eine injektive Einwegfunktion mit Falltür
f , wobei es ein effizientes Verfahren zur Bestimmung von y = f (x) gibt, bei dem nur der
Public Key gebraucht wird, aber dessen Umkehrung, also die Berechnung von x = f −1 (y)
ohne Zusatzinformation, also dem Private Key, praktisch nicht möglich ist. Es ist also nicht
möglich, aus dem Verfahren für f das Verfahren für f −1 herzuleiten. Dieses Prinzip kann
man etwa mit folgender Alltagssituation vergleichen: Ein vorhandenes Schloss kann jeder
schließen, jedoch kann es nur mit dem richtigen Schlüssel wieder geöffnet werden. Das Schloss
entspräche hier dabei dem Public Key und der Schlüssel dem Private Key.
In der Praxis wird dann der Public Key (meistens in einer Datenbank) veröffentlicht, sodass jeder eine Botschaft verschlüsseln kann, die allerdings nur vom rechtmäßigen Empfänger,
der den Private Key besitzt, entschlüsselt und gelesen werden kann. Da aber, wie oben beschrieben, der Private Key auch zum Verschlüsseln einer Nachricht dienen kann, dessen
Entschlüsselung nur mit dem dazugehörigen Public Key möglich ist, kann auf diese Weise eine sogenannte Digitale Signatur geschaffen werden. Diese Unterschrift wird dabei mit
dem privaten Schlüssel verschlüsselt und kann von jedem mit dem öffentlichen Schlüssel entschlüsselt und gelesen werden. Da aber nur der rechtmäßige Empfänger den Private Key
besitzt, kann auf diese Weise dessen Identität verifiziert werden.
3
2
Zahlentheoretische Grundlagen
Ich möchte zuerst, wie bereits angedeutet, wichtige zahlentheoretische Grundlagen vermitteln, die für das Verständnis von RSA essentiell sind.
Anmerkung
Ich werde desöfteren mit Nummern auf einzelne Sätze referenzieren. Es
wäre daher empfehlenswert, die wichtigsten Sätze auf einem separaten
Zettel zu notieren.
2.1
Teilbarkeit und Primzahlen
Definition der Teilbarkeit
Es seien a und b ganze Zahlen. Die Zahl a teilt b genau dann, wenn es eine ganze Zahl k
gibt, sodass gilt:
b=k·a
Man schreibt a | b und sagt auch: a ist ein Teiler von b.
Es gelten folgende Sätze zur Teilbarkeit:
Satz 2.1
Sind a, b und c ganze Zahlen, so gilt:
1. a | 0
2. a | b ⇐⇒ a · c | b · c mit c 6= 0
3. aus a | b und a | c ⇒ a | (b ± c)
4. aus (a · b) | c ⇒ a | c und b | c
5. aus a | b ⇒ a | cb
6. aus a | (b ± c) und a | b ⇒ a | c
7. Aus a | b und b 6= 0 ⇒ |a| ≤ |b| (Mit |x| ist der Absolutbetrag einer reellen Zahl x
gemeint, also x ohne Vorzeichen, z.B. | − 3| = 3, | − 1| = 1, |4| = 4)
Beweis:
1. 0 = a · 0 ⇒ a | 0, da 0 ∈ Z
2. a | b ⇐⇒ b = a · k ⇐⇒ b · c = a · c · k
3. b = ak1 , c = ak2 ⇒ (b ± c) = (ak1 ± ak2 ) = a(k1 ± k2 )
4. c = abk = a(bk) = b(ak)
5. b = ak ⇒ bc = a(ck)
4
6. (b ± c) = ak, b = ak1 ⇒ ak = ak1 ± c ⇒ c = a(k ± k1 )
7. aus ak = b ⇒ |a| · |k| = |b|, aus b 6= 0 ⇒ k 6= 0, somit gilt |k| ≥ 1 ⇒ |a| ≤ |b|
Definition einer Primzahl
Eine positive ganze Zahl p ist genau dann eine “Primzahl“, wenn p genau zwei positive Teiler
hat, nämlich 1 und p.
Die kleinste Primzahl wird als 2 definiert.
5
2.2
Größter gemeinsamer Teiler und Euklidsches Verfahren
Definition eines gemeinsamen Teilers zweier Zahlen
Sind a, b und t ganze Zahlen, so ist t genau dann ein “gemeinsamer Teiler“ von a und b,
wenn gilt:
t | a und t | b.
Aus Satz 2.1.7 (a | b und b 6= 0 ⇒ |a| ≤ |b|) folgt aber, dass jede ganze Zahl (6= 0)
nur endlich viele Teiler hat, da es zu jeder ganzen Zahl b nur endlich viele ganze Zahlen a
gibt mit |a| ≤ |b| (nämlich 0; ±1; ±2; ...; ±b). Da jede Zahl nur endlich viele Teiler hat, gibt
es logischerweise auch nur endlich viele gemeinsame Teiler zweier Zahlen und daher gibt es
auch einen größten gemeinsamen Teiler zweier Zahlen.
Definition des größten gemeinsamen Teilers zweier Zahlen
Die größte Zahl, die gemeinsamer Teiler von a und b ist, nennt man den
“größten gemeinsamen Teiler“ von a und b und schreibt dafür ggT (a, b).
Da 1 aber jede Zahl teilt, ist somit 1 ein gemeinsamer Teiler von a und b.
Es gilt daher: ggT (a, b) ≥ 1.
Anmerkung: Ist der ggT (a, b) = 1, so sagt man auch: a und b sind “teilerfremd“ oder
“relativ prim“.
Es gibt zum Glück ein einfaches Verfahren zur Bestimmung des ggT zweier ganzer Zahlen,
das sogenannte “Euklidsche Verfahren“. Dieser ist nicht zuletzt auch wegen seiner einfachen
Implementierbarkeit (siehe unten) besonders in der Informatik sehr beliebt. Grundsatz für
dieses Verfahren liefert uns folgende Gleichung:
Satz 2.2.1
ggT (a, b) = ggT (b, a − kb) mit k ∈ Z
(“Man kann die eine Zahl von der anderen beliebig oft abziehen.“)
Beweis: Es sei t1 = ggT (a, b) und t2 = ggT (b, a − kb). Wir wollen nun zeigen, dass t1 = t2 .
Aus t1 | b folgt nach Satz 2.1.5 t1 | kb und analog dazu aus t2 | b ⇒ t2 | kb.
Aus t1 | a und t1 | kb folgt nach Satz 2.1.3 t1 | (a − kb).
⇒ t1 ist gemeinsamer Teiler von b und (a − kb)
⇒ t1 ≤ t2
(∗)
(Begründung: t1 ist gemeinsamer Teiler von b und (a − kb), kann aber nicht größer als der
größte gemeinsame Teiler sein)
Aus t2 | kb und t2 | (a − kb) folgt nach Satz 2.1.6 t2 | a
⇒ t2 ist gemeinsamer Teiler von a und b.
⇒ t2 ≤ t1
(∗∗)
(gleiche Begründung wie bei (∗)).
Aus (∗) und (∗∗) folgt aber ⇒ t1 = t2
q.e.d.1
1
q.e.d. ist die Abkürzung für “quod erat demonstrandum“, was auf Deutsch soviel wie “was zu zeigen
war“ heißt. Dies ist ein Kürzel, welches in der Mathematik üblicherweise unter einen erfolgreich geführten
Beweis geschrieben wird.
6
Mit Hilfe dieser Gleichung bekommt man ein einfaches Verfahren zur Bestimmung des
ggT , indem (falls die kleinere Zahl die Größere nicht teilt, da der ggT sonst, 0 natürlich
ausgenommen, die kleinere Zahl wäre) man b von a sooft abzieht, bis das neue a kleiner ist
als b, prüft, ob das neue a b teilt und falls nicht, diesen Vorgang solange wiederholt (a und
b vorher vertauschen), bis dies der Fall ist.
In der Programmiersprache C würde dieser Algorithmus so aussehen:
int ggT(int a, int b)
{
int h;
if (a < 0) a=-a;
if (b < 0) b=-b;
while (a % b != 0)
{
while (a > b) a-=b;
h = a;
a = b;
b = h;
}
return b;
}
oder kürzer:
int ggT(int a, int b)
{
return (a % b == 0) ? (b < 0) ? -b : b : ggT(b, a % b);
}
7
Mit Hilfe des Euklidschen Verfahrens kann man allerdings weit mehr, als den ggT bloß
zu berechnen. Den wahren Wert dieses Verfahrens bringt uns folgende Überlegung:
Es seien a und b (nichtnegative) ganze Zahlen mit a ≥ b. Es gilt:
I) a = 1 · a + 0 · b
II) b = 0 · a + 1 · b
Nun multiplizieren wir die zweite Gleichung mit −k1 und addieren beide Gleichungen.
Wir erhalten
III)s1 = a − k1 · b = 1 · a + (−k1 ) · b
Es sei nun k1 so gewählt, dass s1 ≤ b (wir haben b so oft von a abgezogen).
Nun führen wir den gleichen Schritt nochmals durch, allerdings mit den Gleichungen
II) und III). Wir erhalten dann
IV )s2 = b − k2 · s1 = (−k2 ) · a + (k1 k2 + 1) · b
Diesen Schritt führen wir nun solange durch, bis links (also bei sn ) der ggT steht,
welcher nach dem Euklidschen Verfahren irgendwann erreicht werden muss. Rechts
bleibt allerdings immer eine Summe ganzzahliger Vielfachen von a und b.
Wir kommen daher zu folgendem Schluss:
Satz 2.2.2
Zu jedem Paar ganzer Zahlen (a, b) gibt es ganze Zahlen x und y, sodass gilt:
ggT (a, b) = x · a + y · b
Das Verfahren zur Bestimmung dieser Zahlen x und y wird auch als das
“Erweiterte Euklidsche Verfahren“ bezeichnet.
Ich werde in einem späteren Kapitel noch auf diesen Satz zurückkommen, bei dem sich
dieser noch als äußerst hilfreich erweisen wird. Er soll noch an einem Beispiel verdeutlicht
werden:
Beispiel: Für a = 2100 und b = 2005 seien die ganzen Zahlen x und y gesucht, sodass
ggT (2100, 2005) = x · 2100 + y · 2005
I)
2100 = 1 · 2100 + 0 · 2005
II)
2005 = 0 · 2100 + 1 · 2005
| · (−1)
I + (−1) · II = III)
95 = 1 · 2100 + (−1) · 2005
| · (−21)
II + (−21) · III = IV )
10 = (−21) · 2100 + 22 · 2005
| · (−9)
III + (−9) · IV = V )
5 = 190 · 2100 + (−199) · 2005
Da 5 | 10 ist 5 = ggT (2100, 2005). Wir erhalten daher:
x = 190
y = −199
8
2.3
Kongruenzen und Restklassen
Definition der Restklassen modulo m
Sei m eine positive ganze Zahl. Die Mengen
[ 0 ]m , [ 1 ]m , ... , [m − 1]m
seien folgendermaßen definiert:
[ 0 ]m = {x | x = k · m + 0, ∀k ∈ Z}
[ 1 ]m = {x | x = k · m + 1, ∀k ∈ Z}
...
[m − 1]m = {x | x = k · m + (m − 1), ∀k ∈ Z}
oder allgemein:
[ i ]m = {x | x = k · m + i, ∀k ∈ Z} für i = 0, 1, ..., m − 1
Diese Mengen werden auch als die sogenannten “Restklassen modulo m“ bezeichnet (m ist
der sogenannte “Modul“).
Beispiel für m = 5:
[
[
[
[
[
0
1
2
3
4
]5
]5
]5
]5
]5
= {..., −15, −10, −5, 0, 5, 10, 15, ...}
= {..., −14, −9, −4, 1, 6, 11, 16, ...}
= {..., −13, −8, −3, 2, 7, 12, 17, ...}
= {..., −12, −7, −2, 3, 8, 13, 18, ...}
= {..., −11, −6, −1, 4, 9, 14, 19, ...}
Wir halten folgende Tatsachen fest:
• Ist a ∈ [ i ]m mit a ∈ Z und m ∈ Z+ und i = 0, 1, ..., m − 1, so ist i der Divisionsrest,
den a bei der (ganzzahligen) Division durch m lässt.
Diese Tatsache ist eigentlich nahezu trivial, wenn man sich die Definition der Restklassen genauer ansieht:
k · m ist durch m teilbar, lässt also Divisionsrest 0.
k · m + i muss daher Rest i lassen, da 0 ≤ i ≤ m − 1.
• Da aber jede ganze Zahl genau einen der Reste 0, 1, ..., m − 1 bei der ganzzahligen
Division durch m lässt, folgern wir daraus, dass die Vereinigung aller Restklassen
modulo m die Menge aller ganzen Zahlen Z ergibt.
• Man darf zu einer beliebigen ganzen Zahl a den Modul m beliebig oft addieren bzw.
von a subtrahieren, ohne die Restklasse modulo m zu verlassen (so haben wir die
Restklassen ja eigentlich definiert).
9
Definition von Kongruenz
Seien a, b ganze Zahlen und m eine positive ganze Zahl. Man sagt a und b sind zueinander
“kongruent modulo m“, genau dann, wenn a und b in derselben Restklasse modulo m sind.
Man schreibt:
a ≡ b mod m
(häufig auch a ≡ b (m) oder a ≡ b (mod m)).
Hinweis:
Häufig findet man auch folgende Definition von Kongruenz:
a und b sind genau dann kongruent modulo m, wenn m | (a − b).
Die Äquivalenz dieser Definitionen kann sehr schnell gezeigt werden (Bei Äquivalenz müssen
wir den Schluss in beide Richtungen zeigen):
a ≡ b mod m ⇐⇒ a = km + i und b = lm + i ⇒ a − b = km − lm = m(k − l) ⇒ m | (a − b)
m | (a−b) ⇐⇒ a−b = mk. Sei nun a = ml+i ⇒ a−b = ml+i−b = mk ⇐⇒ b = m(l−k)+i
Es gelten folgende Rechenregeln für Kongruenzen:
Satz 2.3
1. aus a ≡ b mod m und c ≡ d mod m
⇒ a + c ≡ b + d mod m sowie a − c ≡ b − d mod m
2. aus a ≡ b mod m und c ≡ d mod m ⇒ a · c ≡ b · d mod m
3. aus k · a ≡ k · b mod m und ggT (k, m) = 1 ⇒ a ≡ b mod m
4. aus a ≡ b mod m und a ≡ b mod n und ggT (m, n) = 1 ⇒ a ≡ b mod mn
5. aus a ≡ b mod m ⇒ ak ≡ bk mod m mit k ∈ N
Beweis:
1. a ≡ b mod m ⇐⇒ m | (a − b)
c ≡ d mod m ⇐⇒ m | (c − d)
Aus Satz 2.1.3 folgt m | [(a − b) ± (c − d)] ⇐⇒ m | [(a ± c) − (b ± d)]
2. Nach Satz 2.1.5 folgt aus m | (a − b) und m | (c − d), dass
m | c · (a − b) und m | b · (c − d)
Nach Satz 2.1.3 folgt nun
m | [c · (a − b) + b · (c − d)] also m | (ac − bc + bc − bd) also m | (ac − bd)
3. Nach Satz 2.2.2 gibt es ganze Zahlen x und y, sodass
ggT (k, m) = 1 = xk + ym ⇒ (a − b) = (a − b)xk + (a − b)ym
Da aber m | k(a − b) ⇐⇒ k(a − b) = lm
⇒ (a − b) = k(a − b)x + (a − b)ym = lmx + (a − b)ym = m(lx + (a − b)y)
10
4. Nach Satz 2.2.2 gibt es ganze Zahlen x und y, sodass
ggT (m, n) = 1 = xm + yn ⇒ (a − b) = (a − b)xm + (a − b)yn
Da m | (a − b) ⇐⇒ (a − b) = km und n | (a − b) ⇐⇒ (a − b) = ln
⇒ (a − b) = (a − b)xm + (a − b)yn = lnmx + kmyn = mn(lx + ky)
5. Aus a ≡ b mod m folgt nach Satz 2.3.2
a · a ≡ b · b mod m sowie
a · a · a ≡ b · b · b mod m
...
· ... · }b mod m
a
· ... · a} ≡ b| · b {z
| · a {z
n
n
Für k = 0 erhalten wir 1 ≡ 1 mod m was selbstverständlich richtig ist.
11
2.4
Multiplikative Inverse
Wir rufen uns nochmals Satz 2.2.2 in Erinnerung:
Sind a und b ganze Zahlen, so gibt es ganze Zahlen x und y, sodass
ggT (a, b) = xa + yb
Es sei nun m eine positive ganze Zahl und a eine zu m teilerfremde ganze Zahl. Nach
Satz 2.2.2 gibt es nun ganze Zahlen x und y, sodass
1 = xa + ym
Betrachten wir nun diese Gleichung modulo m. Da man beliebige ganze Vielfache von m
abziehen kann, ohne die Restklasse zu verlassen, gilt:
1 = xa + ym ≡ xa
mod m
Es gilt also
x·a≡1
mod m
Es sei nun x ∈ [ i ]m (x muss logischerweise in irgendeiner Restklasse modulo m sein).
Es gilt x ≡ i mod m
Nach Satz 2.3.2 gilt daher
x · a ≡ i · a mod m
und daher
i·a≡1
mod m
Wir kommen daher zu folgendem Schluss:
Satz 2.4.1
Ist m eine positive ganze Zahl und a eine zu m teilerfremde ganze Zahl, so gibt es eine ganze
Zahl i mit 0 ≤ i ≤ m − 1, sodass
i·a≡1
mod m
i wird auch als die sogenannte “Multiplikative Inverse zu a modulo m“ (oft auch mit a−1 )
bezeichnet. Sie kann leicht mit dem Erweiterten Euklidschen Verfahren berechnet werden
(Siehe Kapitel 2.2).
Man kann sogar (recht kurz) zeigen, dass es nur eine Zahl i mit 0 ≤ i ≤ m − 1 gibt,
sodass ia ≡ 1 mod m
Beweis: Seien 0 ≤ i, j ≤ m − 1 ganze Zahlen, sodass ia ≡ ja mod m. Da ggT (a, m) = 1
folgt nach Satz 2.3.3 i ≡ j mod m und da 0 ≤ i, j ≤ m − 1 ⇒ i = j.
12
2.5
Der Schlüssel zum Erfolg: Satz von Fermat
Der Satz von Pierre de Fermat lautet wie folgt:
Satz 2.5.1
Ist p eine Primzahl und a eine ganze Zahl mit p - a, so gilt:
ap−1 ≡ 1
mod p
Beweis:
Es seien die Zahlen x1 , x2 , ..., xp−1 wie folgt definiert:
x1 = 1 · a
x2 = 2 · a
...
xp−1 = (p − 1) · a
Es gilt nun: je zwei xr und xs mit 1 ≤ r, s ≤ p − 1 und r 6= s sind nicht kongruent
modulo p.
Beweis durch Widerspruch:
Annahme:
xr ≡ xs mod p
also:
r·a≡s·a
mod p
Da a kein Vielfaches von p und somit zu p teilerfremd ist (p ist Primzahl) folgt
nach Satz 2.3.3
r ≡ s mod p
was allerdings ein Widerspruch zu r 6= s ist, da 1 ≤ r, s ≤ p − 1
Da nun alle xi paarweise inkongruent sind und mit Sicherheit keine der Zahlen
x1 , ..., xp−1 durch p teilbar ist, müssen unter den p − 1 Zahlen x1 , ..., xp−1 alle Restklassen von [ 1 ]p bis [p − 1]p vorkommen (wenn auch wahrscheinlich in einer anderen
Reihenfolge)
Nach Satz 2.3.2 folgt aber nun:
x1 · x2 · ... · xp−1 ≡ 1 · 2 · ... · (p − 1) mod p
also 1a · 2a · ... · (p − 1)a ≡ 1 · 2 · ... · (p − 1) mod p
also ap−1 · 1 · 2 · ... · (p − 1) ≡ 1 · 2 · ... · (p − 1) mod p
Da aber die Faktoren 1, 2, ..., p−1 alle nicht durch p teilbar und somit zu p teilerfremd
sind, folgt nach Satz 2.3.3
ap−1 ≡ 1 mod p
q.e.d.
13
Wir wissen jetzt also, dass für jede Primzahl p und jede ganze Zahl a mit p - a gilt:
ap−1 ≡ 1
mod p
Nach Satz 2.3.5 gilt nun
(ap−1 )k ≡ 1k
f ür k ∈ Z
mod p
Da (ap−1 )k = a(p−1)·k und 1k = 1
⇒ a(p−1)·k ≡ 1
mod p
Es seien nun p und q zwei (verschiedene) Primzahlen und a eine ganze Zahl mit p - a und
q - a.
Nach obiger Feststellung gilt nun (wenn man q − 1 für k einsetzt)
a(p−1)(q−1) ≡ 1
mod p
Da aber auch a(p−1)(q−1) ≡ 1 mod q gilt, folgt nach Satz 2.3.4
Satz 2.5.2
a(p−1)(q−1) ≡ 1
mod p · q
für p, q Primzahlen und a ∈ Z mit p - a und q - a.
Anmerkung
Der Satz von Fermat lässt sich noch folgendermaßen verallgemeinern
(Satz von Euler-Fermat):
Ist m eine positive ganze Zahl und a eine zu m teilerfremde ganze Zahl,
so gilt:
aϕ(m) ≡ 1 mod m
wobei ϕ(m) die sogenannte “Eulersche ϕ-Funktion“ ist, welche die
Anzahl der ganzen Zahlen x mit 1 ≤ x ≤ m − 1 liefert, die zu m
teilerfremd sind.
Sowohl Satz 2.5.1 als auch Satz 2.5.2 sind Spezialfälle dieses Satzes.
Der Satz von Euler-Fermat lässt sich im Grunde genommen genauso beweisen, wie der Satz von Fermat.
14
3
Ver- und Entschlüsselungsalgorithmus von RSA
Bevor es nun endgültig zum RSA-Verfahren geht, müssen wir noch folgende Operation definieren:
Definition des mod-Operators
Für eine positive ganze Zahl m und eine ganze Zahl a sei
a
mod m
jene Zahl i mit 0 ≤ i ≤ m − 1, sodass a ≡ i mod m gilt
(bzw, was gleichbedeutend ist: a ∈ [ i ]m ).
Anmerkung: In vielen Programmiersprachen ist dieser mod-Operator auch als der
% -Operator bekannt.
3.1
Das Verfahren
Es seien p, q zwei verschiedene Primzahlen und n := p · q deren Produkt.
e sei eine ganze Zahl (> 1), die zu (p − 1)(q − 1) teilerfremd ist.
Da e und (p − 1)(q − 1) teilerfremd sind, gibt es laut Satz 2.4.1 eine multiplikative Inverse
zu e modulo (p − 1)(q − 1). Sei d := e−1 diese Zahl.
Es gilt nun:
e · d ≡ 1 mod (p − 1)(q − 1)
Es sei nun M die zu verschlüsselnde Nachricht, wobei folgende Bedingung für M gelten muss:
M ist eine ganze Zahl mit 0 ≤ M ≤ n − 1
C sei die verschlüsselte Nachricht.
Das Verfahren lautet nun wie folgt:
Das RSA-Verfahren
Verschlüsseln
C = M e mod n
Entschlüsseln
M = C d mod n
e und n sind daher logischerweise der Public Key und d der Private Key.
15
3.2
Beweis des Verfahrens
Wir wollen nun zeigen, dass (C d mod n) wieder die ursprüngliche Nachricht M ergibt.
Sowohl M als auch C sind ganze Zahlen mit 0 ≤ M, C ≤ n − 1.
Es genügt daher zu zeigen, dass
Cd ≡ M
mod n
Wir wissen aber, dass C ≡ M e mod n. Daher ist C d ≡ M mod n äquivalent zu
(M e )d = M e·d ≡ M
mod n
Um diese Gültigkeit zu beweisen unterscheiden wir folgende 2 Fälle:
Fall 1: ggT (M, n) = 1
Wir wissen, dass e · d ≡ 1 mod (p − 1)(q − 1). Dies ist natürlich wegen unserer Definition
der Kongruenz gleichbedeutend mit e · d = k · (p − 1) · (q − 1) + 1. Einsetzen in unsere zu
zeigende Kongruenzgleichung ergibt:
M k·(p−1)·(q−1)+1 ≡ M
mod n
Es gilt aber:
M k·(p−1)·(q−1)+1 = M k·(p−1)·(q−1) · M
= (M (p−1)(q−1) )k · M
Wegen Satz 2.5.2 wissen wir, dass
M (p−1)(q−1) ≡ 1
mod pq = n
Es gilt daher:
(M (p−1)(q−1) )k · M ≡ 1k · M
≡ M mod n
womit unsere Aussage für Fall 1 bewiesen wäre.
16
Den Schwierigen Fall, der auf die meisten M zutrifft, ist damit bewiesen.
Es bleiben daher die Spezialfälle zu zeigen, in denen M durch mindestens einen der Primzahlen p, q teilbar ist.
Unser zweiter Fall lautet daher logischerweise:
Fall 2: ggT (M, n) 6= 1
Wir unterschieden an dieser Stelle wieder 2 Unterfälle. Im ersten nehmen wir an, dass M
durch beide der Zahlen p, q teilbar ist (also n | M gilt) und im zweiten Fall nehmen wir an,
dass M nur durch einen dieser Zahlen teilbar ist.
Fall 2.a: n | M
Da wir aber von Anfang an vorausgesetzt haben, dass 0 ≤ M ≤ n − 1 gilt, folgt daher
nach Satz 2.1.7
⇒M =0
(sonst müsste M ja (betragsmäßig) ≥ n sein) Damit ist die Aussage aber
trivial, da somit
C ≡ 0e ≡ 0 mod n
und daher C d ≡ 0d ≡ 0 ≡ M mod n gilt.
Dieser Fall ist somit erledigt. Es bleibt daher folgender Fall:
Fall 2.b: p | M und q - M (Der Fall p - M und q | M ist analog)
Aus q - M folgt M q−1 ≡ 1 mod q (Satz 2.5.1)
Nach Satz 2.3.5 folgt daraus
M k(p−1)(q−1) ≡ 1 mod q
Nach Satz 2.3.2 können wir diese Kongruenzgleichung mit M multiplizieren.
⇒ M k(p−1)(q−1) · M
M k(p−1)(q−1)+1
≡ M
⇐⇒
≡ M
mod q
mod q
Da aber M ≡ 0 mod p, gilt aber auch
M k(p−1)(q−1)+1 ≡ M
mod p
und da p und q verschiedene Primzahlen sind, folgt nach Satz 2.3.4
⇒ M k(p−1)(q−1)+1 ≡ M
mod pq = n
womit unsere Behauptung auch für den letzten Fall bewiesen ist.
⇒ q.e.d.
17
3.3
Implementierungstechnische Tipps
Nachfolgendes dürfte besonders für Informatiker interessant sein, welche die Programmierung
von RSA beabsichtigen.
Da sowohl d als auch e in realistischen RSA-Systemen mehrere 100 Dezimalstellen haben
können, dauert es sehr lange, M so oft mit sich selbst zu multiplizieren (lineare Ordnung).
Es ist allerdings auch fast unmöglich, diese Zahl effizient genau auszurechnen.
Es ist daher essentiell, dass nach jeder einzelnen Multiplikation ein mod n des neuen
Produkts folgt.
Ein effizienterer Algorithmus dieses “Modulo-Potenzierens“ wird erreicht, indem der Exponent in eine Summe von Zweierpotenzen (=Binärdarstellung) aufgeteilt wird. Auf diese
Weise wird das Gesamtprodukt in Teilprodukte mit Zweierpotenzen im Exponenten aufgespalten, welche nachher wieder miteinander multipliziert werden. Um auf die nächsthöhere
Zweierpotenz zu kommen muss selbstverständlich nur quadriert werden. Auf diese Weise
erhält man einen Algorithmus logarithmischer Ordnung.
Beispiel:
M = 8, e = 27 = 1 + 2 + 8 + 16, n = 55
81 ≡ 8 mod 55
82 ≡ 64 ≡ 9 mod 55
84 ≡ 82 · 82 ≡ 9 · 9 ≡ 81 ≡ 26 mod 55
88 ≡ 84 · 84 ≡ 26 · 26 ≡ 676 ≡ 16 mod 55
816 ≡ 88 · 88 ≡ 16 · 16 ≡ 256 ≡ 36 mod 55
827 ≡ 81 · 82 · 88 · 816 ≡ 8 · 9 · 16 · 36 ≡ 41472 ≡ 2 mod 55
18
3.4
Die Sicherheit von RSA
Nehmen wir an, eine Person ohne den privaten Schlüssel d möchte eine mit dem dazugehörigen öffentlichen Schlüssel verschlüsselte Nachricht lesen. Er müsste dazu aus dem öffentlichen
Schlüssel (bestehend aus e und n) den privaten Schlüssel d berechnen.
Das einzige bis heute bekannte Verfahren dafür (es ist allerdings nicht bewiesen, dass es
keine effizientere gibt) besteht darin, n wieder in ihre Primfaktoren p und q zu faktorisieren.
Hat man die Primzahlen gefunden, so kann mit e und (p − 1)(q − 1) der private Schlüssel
d natürlich leicht berechnet werden. Die Faktorisierung von n ist heute allerdings praktisch
(!) nicht möglich, wenn man bei der Wahl von p und q folgendes beachtet:
• p und q sind riesig (Militärstandard sind 1024 Bit, was mehr als 300 Dezimalstellen
entspricht)
• p und q liegen weit auseinander.
Der erste Punkt dürfte klar sein, der zweite Punkt ist deshalb wichtig, da die systematische
(sequentielle) Suche nach den Primzahlen nicht unbedingt bei kleinen Zahlen beginnen muss,
sondern auch bei großen Zahlen starten kann und rückwärts gesucht wird. Ausgangspunkt
wäre dabei natürlich√die Quadratwurzel von n. Je enger p und q beieinander liegen, desto
näher liegen sie bei n und desto kürzer wäre die Suche.
Beachtet man die obigen Punkte, so ist es sehr wahrscheinlich, dass die Sonne ausbrennt,
bevor ein Computer mit heutiger Rechenleistung und den heute bekannten Algorithmen n
faktorisiert hätte.
Die wachsende Rechenleistung der Computer stellt kein Problem dar, da diese Entwicklung vorauszusehen ist sodass der Nutzer bei der Wahl seiner Schlüssel darauf achten kann,
dass sein n groß genug ist, sodass es während der Zeit der beabsichtigten Verwendung nicht
faktorisierbar ist.
Problematisch wird es bei unvorhersagbaren Ereignissen wie z.B. die Fertigstellung eines Quantencomputers (für den das Faktorisierungsproblem möglicherweise kein prinzipiell
so schwieriges Problem ist) oder die Entwicklung eines effizienten Algorithmus zur Faktorisierung einer großen Zahl. Es ist allerdings, wie bereits erwähnt, nicht bewiesen, dass das
Faktorisierungsproblem überhaupt gelöst werden muss, um den privaten Schlüssel zu bestimmen. Solche Entwicklungen sind zwar höchst unwahrscheinlich, können theoretisch aber
jederzeit eintreten.
19
Literatur
[1] Clemens Heuberger, Zahlentheorie, http://www.oemo.at/intern/formel/zahlentheorie.pdf
[2] Simon Singh, Geheime Botschaften
20