Die Mathematik von RSA Eine Arbeit von Yimin Ge ([email protected]) August 2005 Inhaltsverzeichnis 0 Vorwort 2 1 Prinzip der Einwegverschlüsselung 3 2 Zahlentheoretische Grundlagen 2.1 Teilbarkeit und Primzahlen . . . . . . . . . . . . . . . 2.2 Größter gemeinsamer Teiler und Euklidsches Verfahren 2.3 Kongruenzen und Restklassen . . . . . . . . . . . . . . 2.4 Multiplikative Inverse . . . . . . . . . . . . . . . . . . . 2.5 Der Schlüssel zum Erfolg: Satz von Fermat . . . . . . . 3 Ver- und Entschlüsselungsalgorithmus von 3.1 Das Verfahren . . . . . . . . . . . . . . . . 3.2 Beweis des Verfahrens . . . . . . . . . . . 3.3 Implementierungstechnische Tipps . . . . . 3.4 Die Sicherheit von RSA . . . . . . . . . . . Literatur RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 4 6 9 12 13 . . . . 15 15 16 18 19 20 0 Vorwort Da der Mathematikunterricht an Österreichischen Schulen im internationalen Vergleich sowohl qualitativ als auch quantitativ praktisch nicht vorhanden ist und aufgrund diverser Stundenkürzungsreformen noch weiter komprimiert wird, nimmt in Österreich vor allem bei jungen Menschen der Trend zu, den Sinn dieser Wissenschaft generell in Frage zu stellen. Die Idee zu dieser Arbeit kam mir, als ich entsetzt feststellte, wie stark die Zweifel an dem Sinn der Mathematik selbst in meiner eigenen Schulklasse waren. Als Teilnehmer der Österreichischen und Internationalen Mathematikolympiade war ich zutiefst schockiert darüber, mit welcher Verachtung meine Klassenkollegen über solch eine schöne und vor allem essentielle Wissenschaft sprachen. Mir lag der Wunsch nahe, diesem Trend entgegenzuwirken und nachdem einige mündliche Überzeugungsversuche nichts halfen, kam mir die Idee es mit einer schriftlichen Arbeit zu versuchen. Ich besuche eine Schule mit Schwerpunkt auf EDV, der Gedanke lag daher nahe, die Mathematik in dieser Arbeit mit einem wichtigen Thema der Informatik zu verbinden. So kam ich zu RSA, einem weit verbreiteten Verschlüsselungsverfahren, welches von den drei Mathematikern Ronald Rivest, Adi Shamir und Leonard Adleman entwickelt wurde, einem Verfahren, das die gesamte Kryptologie revolutionierte. RSA ist ein Verfahren, von dem die meisten Informatiker bereits etwas gehört haben, welches viele Informatiker bereits programmiert haben, von denen allerdings nur die Wenigsten wirklich wissen, welche mathematischen Kentnisse und Gesetze dahinterstecken. Diese Arbeit richtet sich an alle, die RSA nicht nur kennen, können oder programmieren, sondern verstehen und begreifen wollen. Es wird kein tieferes mathematisches Wissen vorausgesetzt, sämtliche für das Verständnis von RSA benötigten zahlentheoretische Kenntnisse, welchen ich den Großteil dieser Arbeit widme, werden von Grund auf vermittelt. Dabei lege ich besonders viel Wert darauf, mathematische Sätze nicht nur zu erklären, sondern auch zu beweisen, damit der Leser möglichst wenig als gegeben hinnehmen muss. Diese Arbeit beschäftigt sich ausschließlich mit der mathematischen Seite von RSA. Bei näherem Interesse zu den geschichtlichen und wirtschaftlichen Auswirkungen von RSA oder zu Vergleichen mit anderen Verschlüsselungsverfahren sei an dieser Stelle auf zusätzliche, zahlreich vorhandene Literatur verwiesen. Zuletzt möchte ich noch das dringende Appell aussprechen, den anfangs beschriebenen Trend auf keinen Fall fortzusetzen, sondern die Mutter der Wissenschaften, welche die Grundbausteine für die meisten anderen Wissenschaften liefert, auch als solche zu würdigen. Wien, August 2005 Yimin Ge 2 1 Prinzip der Einwegverschlüsselung Bei herkömmlichen symmetrischen Verschlüsselungsverfahren (also jene, bei denen der Schlüssel zum Verschlüsseln auch gleichzeitig der Schlüssel zum Entschlüsseln ist, oder der eine Schlüssel leicht aus dem anderen berechnet werden kann) war es lange Zeit ein Problem, Schlüssel bzw. Codebücher sicher zum Kommunikationspartner zu transportieren. Der Schlüsseltransport war dabei nicht nur der kostenaufwendigste Teil der Kommunikation, sondern auch gleichzeitig die größte logistische Schwachstelle. Bis in die 1970er Jahre hielt man dieses Problem prinzipiell nicht für lösbar, bis Whitfield Diffie und Martin Hellmann eine Theorie ohne wirkliche Lösungsansätze zur sogenannten Public-Key-Kryptographie veröffentlicht hatten. Die grundlegende Idee eines solchen Verschlüsselungsverfahrens besteht darin, dass die Schlüssel zum Ver- und Entschlüsseln verschieden und ohne Zusatzinformation praktisch nicht ineinander umrechenbar sind. Dabei ist allerdings zu beachten, dass beide Schlüssel auch die jeweils andere Funktion ausüben können (man kann also mit irgendeinem der beiden Schlüssel eine Nachricht verschlüsseln, die dann mit dem jeweils anderen Schlüssel entschlüsselbar ist). Jener Schlüssel, der zum Verschlüsseln verwendet wird, wird als “Public Key“ (=öffentlicher Schlüssel) bezeichnet und jener zum Entschlüsseln als “Private Key“ (=privater/geheimer Schlüssel). Die Verschlüsselung ist mathematisch gesehen eine injektive Einwegfunktion mit Falltür f , wobei es ein effizientes Verfahren zur Bestimmung von y = f (x) gibt, bei dem nur der Public Key gebraucht wird, aber dessen Umkehrung, also die Berechnung von x = f −1 (y) ohne Zusatzinformation, also dem Private Key, praktisch nicht möglich ist. Es ist also nicht möglich, aus dem Verfahren für f das Verfahren für f −1 herzuleiten. Dieses Prinzip kann man etwa mit folgender Alltagssituation vergleichen: Ein vorhandenes Schloss kann jeder schließen, jedoch kann es nur mit dem richtigen Schlüssel wieder geöffnet werden. Das Schloss entspräche hier dabei dem Public Key und der Schlüssel dem Private Key. In der Praxis wird dann der Public Key (meistens in einer Datenbank) veröffentlicht, sodass jeder eine Botschaft verschlüsseln kann, die allerdings nur vom rechtmäßigen Empfänger, der den Private Key besitzt, entschlüsselt und gelesen werden kann. Da aber, wie oben beschrieben, der Private Key auch zum Verschlüsseln einer Nachricht dienen kann, dessen Entschlüsselung nur mit dem dazugehörigen Public Key möglich ist, kann auf diese Weise eine sogenannte Digitale Signatur geschaffen werden. Diese Unterschrift wird dabei mit dem privaten Schlüssel verschlüsselt und kann von jedem mit dem öffentlichen Schlüssel entschlüsselt und gelesen werden. Da aber nur der rechtmäßige Empfänger den Private Key besitzt, kann auf diese Weise dessen Identität verifiziert werden. 3 2 Zahlentheoretische Grundlagen Ich möchte zuerst, wie bereits angedeutet, wichtige zahlentheoretische Grundlagen vermitteln, die für das Verständnis von RSA essentiell sind. Anmerkung Ich werde desöfteren mit Nummern auf einzelne Sätze referenzieren. Es wäre daher empfehlenswert, die wichtigsten Sätze auf einem separaten Zettel zu notieren. 2.1 Teilbarkeit und Primzahlen Definition der Teilbarkeit Es seien a und b ganze Zahlen. Die Zahl a teilt b genau dann, wenn es eine ganze Zahl k gibt, sodass gilt: b=k·a Man schreibt a | b und sagt auch: a ist ein Teiler von b. Es gelten folgende Sätze zur Teilbarkeit: Satz 2.1 Sind a, b und c ganze Zahlen, so gilt: 1. a | 0 2. a | b ⇐⇒ a · c | b · c mit c 6= 0 3. aus a | b und a | c ⇒ a | (b ± c) 4. aus (a · b) | c ⇒ a | c und b | c 5. aus a | b ⇒ a | cb 6. aus a | (b ± c) und a | b ⇒ a | c 7. Aus a | b und b 6= 0 ⇒ |a| ≤ |b| (Mit |x| ist der Absolutbetrag einer reellen Zahl x gemeint, also x ohne Vorzeichen, z.B. | − 3| = 3, | − 1| = 1, |4| = 4) Beweis: 1. 0 = a · 0 ⇒ a | 0, da 0 ∈ Z 2. a | b ⇐⇒ b = a · k ⇐⇒ b · c = a · c · k 3. b = ak1 , c = ak2 ⇒ (b ± c) = (ak1 ± ak2 ) = a(k1 ± k2 ) 4. c = abk = a(bk) = b(ak) 5. b = ak ⇒ bc = a(ck) 4 6. (b ± c) = ak, b = ak1 ⇒ ak = ak1 ± c ⇒ c = a(k ± k1 ) 7. aus ak = b ⇒ |a| · |k| = |b|, aus b 6= 0 ⇒ k 6= 0, somit gilt |k| ≥ 1 ⇒ |a| ≤ |b| Definition einer Primzahl Eine positive ganze Zahl p ist genau dann eine “Primzahl“, wenn p genau zwei positive Teiler hat, nämlich 1 und p. Die kleinste Primzahl wird als 2 definiert. 5 2.2 Größter gemeinsamer Teiler und Euklidsches Verfahren Definition eines gemeinsamen Teilers zweier Zahlen Sind a, b und t ganze Zahlen, so ist t genau dann ein “gemeinsamer Teiler“ von a und b, wenn gilt: t | a und t | b. Aus Satz 2.1.7 (a | b und b 6= 0 ⇒ |a| ≤ |b|) folgt aber, dass jede ganze Zahl (6= 0) nur endlich viele Teiler hat, da es zu jeder ganzen Zahl b nur endlich viele ganze Zahlen a gibt mit |a| ≤ |b| (nämlich 0; ±1; ±2; ...; ±b). Da jede Zahl nur endlich viele Teiler hat, gibt es logischerweise auch nur endlich viele gemeinsame Teiler zweier Zahlen und daher gibt es auch einen größten gemeinsamen Teiler zweier Zahlen. Definition des größten gemeinsamen Teilers zweier Zahlen Die größte Zahl, die gemeinsamer Teiler von a und b ist, nennt man den “größten gemeinsamen Teiler“ von a und b und schreibt dafür ggT (a, b). Da 1 aber jede Zahl teilt, ist somit 1 ein gemeinsamer Teiler von a und b. Es gilt daher: ggT (a, b) ≥ 1. Anmerkung: Ist der ggT (a, b) = 1, so sagt man auch: a und b sind “teilerfremd“ oder “relativ prim“. Es gibt zum Glück ein einfaches Verfahren zur Bestimmung des ggT zweier ganzer Zahlen, das sogenannte “Euklidsche Verfahren“. Dieser ist nicht zuletzt auch wegen seiner einfachen Implementierbarkeit (siehe unten) besonders in der Informatik sehr beliebt. Grundsatz für dieses Verfahren liefert uns folgende Gleichung: Satz 2.2.1 ggT (a, b) = ggT (b, a − kb) mit k ∈ Z (“Man kann die eine Zahl von der anderen beliebig oft abziehen.“) Beweis: Es sei t1 = ggT (a, b) und t2 = ggT (b, a − kb). Wir wollen nun zeigen, dass t1 = t2 . Aus t1 | b folgt nach Satz 2.1.5 t1 | kb und analog dazu aus t2 | b ⇒ t2 | kb. Aus t1 | a und t1 | kb folgt nach Satz 2.1.3 t1 | (a − kb). ⇒ t1 ist gemeinsamer Teiler von b und (a − kb) ⇒ t1 ≤ t2 (∗) (Begründung: t1 ist gemeinsamer Teiler von b und (a − kb), kann aber nicht größer als der größte gemeinsame Teiler sein) Aus t2 | kb und t2 | (a − kb) folgt nach Satz 2.1.6 t2 | a ⇒ t2 ist gemeinsamer Teiler von a und b. ⇒ t2 ≤ t1 (∗∗) (gleiche Begründung wie bei (∗)). Aus (∗) und (∗∗) folgt aber ⇒ t1 = t2 q.e.d.1 1 q.e.d. ist die Abkürzung für “quod erat demonstrandum“, was auf Deutsch soviel wie “was zu zeigen war“ heißt. Dies ist ein Kürzel, welches in der Mathematik üblicherweise unter einen erfolgreich geführten Beweis geschrieben wird. 6 Mit Hilfe dieser Gleichung bekommt man ein einfaches Verfahren zur Bestimmung des ggT , indem (falls die kleinere Zahl die Größere nicht teilt, da der ggT sonst, 0 natürlich ausgenommen, die kleinere Zahl wäre) man b von a sooft abzieht, bis das neue a kleiner ist als b, prüft, ob das neue a b teilt und falls nicht, diesen Vorgang solange wiederholt (a und b vorher vertauschen), bis dies der Fall ist. In der Programmiersprache C würde dieser Algorithmus so aussehen: int ggT(int a, int b) { int h; if (a < 0) a=-a; if (b < 0) b=-b; while (a % b != 0) { while (a > b) a-=b; h = a; a = b; b = h; } return b; } oder kürzer: int ggT(int a, int b) { return (a % b == 0) ? (b < 0) ? -b : b : ggT(b, a % b); } 7 Mit Hilfe des Euklidschen Verfahrens kann man allerdings weit mehr, als den ggT bloß zu berechnen. Den wahren Wert dieses Verfahrens bringt uns folgende Überlegung: Es seien a und b (nichtnegative) ganze Zahlen mit a ≥ b. Es gilt: I) a = 1 · a + 0 · b II) b = 0 · a + 1 · b Nun multiplizieren wir die zweite Gleichung mit −k1 und addieren beide Gleichungen. Wir erhalten III)s1 = a − k1 · b = 1 · a + (−k1 ) · b Es sei nun k1 so gewählt, dass s1 ≤ b (wir haben b so oft von a abgezogen). Nun führen wir den gleichen Schritt nochmals durch, allerdings mit den Gleichungen II) und III). Wir erhalten dann IV )s2 = b − k2 · s1 = (−k2 ) · a + (k1 k2 + 1) · b Diesen Schritt führen wir nun solange durch, bis links (also bei sn ) der ggT steht, welcher nach dem Euklidschen Verfahren irgendwann erreicht werden muss. Rechts bleibt allerdings immer eine Summe ganzzahliger Vielfachen von a und b. Wir kommen daher zu folgendem Schluss: Satz 2.2.2 Zu jedem Paar ganzer Zahlen (a, b) gibt es ganze Zahlen x und y, sodass gilt: ggT (a, b) = x · a + y · b Das Verfahren zur Bestimmung dieser Zahlen x und y wird auch als das “Erweiterte Euklidsche Verfahren“ bezeichnet. Ich werde in einem späteren Kapitel noch auf diesen Satz zurückkommen, bei dem sich dieser noch als äußerst hilfreich erweisen wird. Er soll noch an einem Beispiel verdeutlicht werden: Beispiel: Für a = 2100 und b = 2005 seien die ganzen Zahlen x und y gesucht, sodass ggT (2100, 2005) = x · 2100 + y · 2005 I) 2100 = 1 · 2100 + 0 · 2005 II) 2005 = 0 · 2100 + 1 · 2005 | · (−1) I + (−1) · II = III) 95 = 1 · 2100 + (−1) · 2005 | · (−21) II + (−21) · III = IV ) 10 = (−21) · 2100 + 22 · 2005 | · (−9) III + (−9) · IV = V ) 5 = 190 · 2100 + (−199) · 2005 Da 5 | 10 ist 5 = ggT (2100, 2005). Wir erhalten daher: x = 190 y = −199 8 2.3 Kongruenzen und Restklassen Definition der Restklassen modulo m Sei m eine positive ganze Zahl. Die Mengen [ 0 ]m , [ 1 ]m , ... , [m − 1]m seien folgendermaßen definiert: [ 0 ]m = {x | x = k · m + 0, ∀k ∈ Z} [ 1 ]m = {x | x = k · m + 1, ∀k ∈ Z} ... [m − 1]m = {x | x = k · m + (m − 1), ∀k ∈ Z} oder allgemein: [ i ]m = {x | x = k · m + i, ∀k ∈ Z} für i = 0, 1, ..., m − 1 Diese Mengen werden auch als die sogenannten “Restklassen modulo m“ bezeichnet (m ist der sogenannte “Modul“). Beispiel für m = 5: [ [ [ [ [ 0 1 2 3 4 ]5 ]5 ]5 ]5 ]5 = {..., −15, −10, −5, 0, 5, 10, 15, ...} = {..., −14, −9, −4, 1, 6, 11, 16, ...} = {..., −13, −8, −3, 2, 7, 12, 17, ...} = {..., −12, −7, −2, 3, 8, 13, 18, ...} = {..., −11, −6, −1, 4, 9, 14, 19, ...} Wir halten folgende Tatsachen fest: • Ist a ∈ [ i ]m mit a ∈ Z und m ∈ Z+ und i = 0, 1, ..., m − 1, so ist i der Divisionsrest, den a bei der (ganzzahligen) Division durch m lässt. Diese Tatsache ist eigentlich nahezu trivial, wenn man sich die Definition der Restklassen genauer ansieht: k · m ist durch m teilbar, lässt also Divisionsrest 0. k · m + i muss daher Rest i lassen, da 0 ≤ i ≤ m − 1. • Da aber jede ganze Zahl genau einen der Reste 0, 1, ..., m − 1 bei der ganzzahligen Division durch m lässt, folgern wir daraus, dass die Vereinigung aller Restklassen modulo m die Menge aller ganzen Zahlen Z ergibt. • Man darf zu einer beliebigen ganzen Zahl a den Modul m beliebig oft addieren bzw. von a subtrahieren, ohne die Restklasse modulo m zu verlassen (so haben wir die Restklassen ja eigentlich definiert). 9 Definition von Kongruenz Seien a, b ganze Zahlen und m eine positive ganze Zahl. Man sagt a und b sind zueinander “kongruent modulo m“, genau dann, wenn a und b in derselben Restklasse modulo m sind. Man schreibt: a ≡ b mod m (häufig auch a ≡ b (m) oder a ≡ b (mod m)). Hinweis: Häufig findet man auch folgende Definition von Kongruenz: a und b sind genau dann kongruent modulo m, wenn m | (a − b). Die Äquivalenz dieser Definitionen kann sehr schnell gezeigt werden (Bei Äquivalenz müssen wir den Schluss in beide Richtungen zeigen): a ≡ b mod m ⇐⇒ a = km + i und b = lm + i ⇒ a − b = km − lm = m(k − l) ⇒ m | (a − b) m | (a−b) ⇐⇒ a−b = mk. Sei nun a = ml+i ⇒ a−b = ml+i−b = mk ⇐⇒ b = m(l−k)+i Es gelten folgende Rechenregeln für Kongruenzen: Satz 2.3 1. aus a ≡ b mod m und c ≡ d mod m ⇒ a + c ≡ b + d mod m sowie a − c ≡ b − d mod m 2. aus a ≡ b mod m und c ≡ d mod m ⇒ a · c ≡ b · d mod m 3. aus k · a ≡ k · b mod m und ggT (k, m) = 1 ⇒ a ≡ b mod m 4. aus a ≡ b mod m und a ≡ b mod n und ggT (m, n) = 1 ⇒ a ≡ b mod mn 5. aus a ≡ b mod m ⇒ ak ≡ bk mod m mit k ∈ N Beweis: 1. a ≡ b mod m ⇐⇒ m | (a − b) c ≡ d mod m ⇐⇒ m | (c − d) Aus Satz 2.1.3 folgt m | [(a − b) ± (c − d)] ⇐⇒ m | [(a ± c) − (b ± d)] 2. Nach Satz 2.1.5 folgt aus m | (a − b) und m | (c − d), dass m | c · (a − b) und m | b · (c − d) Nach Satz 2.1.3 folgt nun m | [c · (a − b) + b · (c − d)] also m | (ac − bc + bc − bd) also m | (ac − bd) 3. Nach Satz 2.2.2 gibt es ganze Zahlen x und y, sodass ggT (k, m) = 1 = xk + ym ⇒ (a − b) = (a − b)xk + (a − b)ym Da aber m | k(a − b) ⇐⇒ k(a − b) = lm ⇒ (a − b) = k(a − b)x + (a − b)ym = lmx + (a − b)ym = m(lx + (a − b)y) 10 4. Nach Satz 2.2.2 gibt es ganze Zahlen x und y, sodass ggT (m, n) = 1 = xm + yn ⇒ (a − b) = (a − b)xm + (a − b)yn Da m | (a − b) ⇐⇒ (a − b) = km und n | (a − b) ⇐⇒ (a − b) = ln ⇒ (a − b) = (a − b)xm + (a − b)yn = lnmx + kmyn = mn(lx + ky) 5. Aus a ≡ b mod m folgt nach Satz 2.3.2 a · a ≡ b · b mod m sowie a · a · a ≡ b · b · b mod m ... · ... · }b mod m a · ... · a} ≡ b| · b {z | · a {z n n Für k = 0 erhalten wir 1 ≡ 1 mod m was selbstverständlich richtig ist. 11 2.4 Multiplikative Inverse Wir rufen uns nochmals Satz 2.2.2 in Erinnerung: Sind a und b ganze Zahlen, so gibt es ganze Zahlen x und y, sodass ggT (a, b) = xa + yb Es sei nun m eine positive ganze Zahl und a eine zu m teilerfremde ganze Zahl. Nach Satz 2.2.2 gibt es nun ganze Zahlen x und y, sodass 1 = xa + ym Betrachten wir nun diese Gleichung modulo m. Da man beliebige ganze Vielfache von m abziehen kann, ohne die Restklasse zu verlassen, gilt: 1 = xa + ym ≡ xa mod m Es gilt also x·a≡1 mod m Es sei nun x ∈ [ i ]m (x muss logischerweise in irgendeiner Restklasse modulo m sein). Es gilt x ≡ i mod m Nach Satz 2.3.2 gilt daher x · a ≡ i · a mod m und daher i·a≡1 mod m Wir kommen daher zu folgendem Schluss: Satz 2.4.1 Ist m eine positive ganze Zahl und a eine zu m teilerfremde ganze Zahl, so gibt es eine ganze Zahl i mit 0 ≤ i ≤ m − 1, sodass i·a≡1 mod m i wird auch als die sogenannte “Multiplikative Inverse zu a modulo m“ (oft auch mit a−1 ) bezeichnet. Sie kann leicht mit dem Erweiterten Euklidschen Verfahren berechnet werden (Siehe Kapitel 2.2). Man kann sogar (recht kurz) zeigen, dass es nur eine Zahl i mit 0 ≤ i ≤ m − 1 gibt, sodass ia ≡ 1 mod m Beweis: Seien 0 ≤ i, j ≤ m − 1 ganze Zahlen, sodass ia ≡ ja mod m. Da ggT (a, m) = 1 folgt nach Satz 2.3.3 i ≡ j mod m und da 0 ≤ i, j ≤ m − 1 ⇒ i = j. 12 2.5 Der Schlüssel zum Erfolg: Satz von Fermat Der Satz von Pierre de Fermat lautet wie folgt: Satz 2.5.1 Ist p eine Primzahl und a eine ganze Zahl mit p - a, so gilt: ap−1 ≡ 1 mod p Beweis: Es seien die Zahlen x1 , x2 , ..., xp−1 wie folgt definiert: x1 = 1 · a x2 = 2 · a ... xp−1 = (p − 1) · a Es gilt nun: je zwei xr und xs mit 1 ≤ r, s ≤ p − 1 und r 6= s sind nicht kongruent modulo p. Beweis durch Widerspruch: Annahme: xr ≡ xs mod p also: r·a≡s·a mod p Da a kein Vielfaches von p und somit zu p teilerfremd ist (p ist Primzahl) folgt nach Satz 2.3.3 r ≡ s mod p was allerdings ein Widerspruch zu r 6= s ist, da 1 ≤ r, s ≤ p − 1 Da nun alle xi paarweise inkongruent sind und mit Sicherheit keine der Zahlen x1 , ..., xp−1 durch p teilbar ist, müssen unter den p − 1 Zahlen x1 , ..., xp−1 alle Restklassen von [ 1 ]p bis [p − 1]p vorkommen (wenn auch wahrscheinlich in einer anderen Reihenfolge) Nach Satz 2.3.2 folgt aber nun: x1 · x2 · ... · xp−1 ≡ 1 · 2 · ... · (p − 1) mod p also 1a · 2a · ... · (p − 1)a ≡ 1 · 2 · ... · (p − 1) mod p also ap−1 · 1 · 2 · ... · (p − 1) ≡ 1 · 2 · ... · (p − 1) mod p Da aber die Faktoren 1, 2, ..., p−1 alle nicht durch p teilbar und somit zu p teilerfremd sind, folgt nach Satz 2.3.3 ap−1 ≡ 1 mod p q.e.d. 13 Wir wissen jetzt also, dass für jede Primzahl p und jede ganze Zahl a mit p - a gilt: ap−1 ≡ 1 mod p Nach Satz 2.3.5 gilt nun (ap−1 )k ≡ 1k f ür k ∈ Z mod p Da (ap−1 )k = a(p−1)·k und 1k = 1 ⇒ a(p−1)·k ≡ 1 mod p Es seien nun p und q zwei (verschiedene) Primzahlen und a eine ganze Zahl mit p - a und q - a. Nach obiger Feststellung gilt nun (wenn man q − 1 für k einsetzt) a(p−1)(q−1) ≡ 1 mod p Da aber auch a(p−1)(q−1) ≡ 1 mod q gilt, folgt nach Satz 2.3.4 Satz 2.5.2 a(p−1)(q−1) ≡ 1 mod p · q für p, q Primzahlen und a ∈ Z mit p - a und q - a. Anmerkung Der Satz von Fermat lässt sich noch folgendermaßen verallgemeinern (Satz von Euler-Fermat): Ist m eine positive ganze Zahl und a eine zu m teilerfremde ganze Zahl, so gilt: aϕ(m) ≡ 1 mod m wobei ϕ(m) die sogenannte “Eulersche ϕ-Funktion“ ist, welche die Anzahl der ganzen Zahlen x mit 1 ≤ x ≤ m − 1 liefert, die zu m teilerfremd sind. Sowohl Satz 2.5.1 als auch Satz 2.5.2 sind Spezialfälle dieses Satzes. Der Satz von Euler-Fermat lässt sich im Grunde genommen genauso beweisen, wie der Satz von Fermat. 14 3 Ver- und Entschlüsselungsalgorithmus von RSA Bevor es nun endgültig zum RSA-Verfahren geht, müssen wir noch folgende Operation definieren: Definition des mod-Operators Für eine positive ganze Zahl m und eine ganze Zahl a sei a mod m jene Zahl i mit 0 ≤ i ≤ m − 1, sodass a ≡ i mod m gilt (bzw, was gleichbedeutend ist: a ∈ [ i ]m ). Anmerkung: In vielen Programmiersprachen ist dieser mod-Operator auch als der % -Operator bekannt. 3.1 Das Verfahren Es seien p, q zwei verschiedene Primzahlen und n := p · q deren Produkt. e sei eine ganze Zahl (> 1), die zu (p − 1)(q − 1) teilerfremd ist. Da e und (p − 1)(q − 1) teilerfremd sind, gibt es laut Satz 2.4.1 eine multiplikative Inverse zu e modulo (p − 1)(q − 1). Sei d := e−1 diese Zahl. Es gilt nun: e · d ≡ 1 mod (p − 1)(q − 1) Es sei nun M die zu verschlüsselnde Nachricht, wobei folgende Bedingung für M gelten muss: M ist eine ganze Zahl mit 0 ≤ M ≤ n − 1 C sei die verschlüsselte Nachricht. Das Verfahren lautet nun wie folgt: Das RSA-Verfahren Verschlüsseln C = M e mod n Entschlüsseln M = C d mod n e und n sind daher logischerweise der Public Key und d der Private Key. 15 3.2 Beweis des Verfahrens Wir wollen nun zeigen, dass (C d mod n) wieder die ursprüngliche Nachricht M ergibt. Sowohl M als auch C sind ganze Zahlen mit 0 ≤ M, C ≤ n − 1. Es genügt daher zu zeigen, dass Cd ≡ M mod n Wir wissen aber, dass C ≡ M e mod n. Daher ist C d ≡ M mod n äquivalent zu (M e )d = M e·d ≡ M mod n Um diese Gültigkeit zu beweisen unterscheiden wir folgende 2 Fälle: Fall 1: ggT (M, n) = 1 Wir wissen, dass e · d ≡ 1 mod (p − 1)(q − 1). Dies ist natürlich wegen unserer Definition der Kongruenz gleichbedeutend mit e · d = k · (p − 1) · (q − 1) + 1. Einsetzen in unsere zu zeigende Kongruenzgleichung ergibt: M k·(p−1)·(q−1)+1 ≡ M mod n Es gilt aber: M k·(p−1)·(q−1)+1 = M k·(p−1)·(q−1) · M = (M (p−1)(q−1) )k · M Wegen Satz 2.5.2 wissen wir, dass M (p−1)(q−1) ≡ 1 mod pq = n Es gilt daher: (M (p−1)(q−1) )k · M ≡ 1k · M ≡ M mod n womit unsere Aussage für Fall 1 bewiesen wäre. 16 Den Schwierigen Fall, der auf die meisten M zutrifft, ist damit bewiesen. Es bleiben daher die Spezialfälle zu zeigen, in denen M durch mindestens einen der Primzahlen p, q teilbar ist. Unser zweiter Fall lautet daher logischerweise: Fall 2: ggT (M, n) 6= 1 Wir unterschieden an dieser Stelle wieder 2 Unterfälle. Im ersten nehmen wir an, dass M durch beide der Zahlen p, q teilbar ist (also n | M gilt) und im zweiten Fall nehmen wir an, dass M nur durch einen dieser Zahlen teilbar ist. Fall 2.a: n | M Da wir aber von Anfang an vorausgesetzt haben, dass 0 ≤ M ≤ n − 1 gilt, folgt daher nach Satz 2.1.7 ⇒M =0 (sonst müsste M ja (betragsmäßig) ≥ n sein) Damit ist die Aussage aber trivial, da somit C ≡ 0e ≡ 0 mod n und daher C d ≡ 0d ≡ 0 ≡ M mod n gilt. Dieser Fall ist somit erledigt. Es bleibt daher folgender Fall: Fall 2.b: p | M und q - M (Der Fall p - M und q | M ist analog) Aus q - M folgt M q−1 ≡ 1 mod q (Satz 2.5.1) Nach Satz 2.3.5 folgt daraus M k(p−1)(q−1) ≡ 1 mod q Nach Satz 2.3.2 können wir diese Kongruenzgleichung mit M multiplizieren. ⇒ M k(p−1)(q−1) · M M k(p−1)(q−1)+1 ≡ M ⇐⇒ ≡ M mod q mod q Da aber M ≡ 0 mod p, gilt aber auch M k(p−1)(q−1)+1 ≡ M mod p und da p und q verschiedene Primzahlen sind, folgt nach Satz 2.3.4 ⇒ M k(p−1)(q−1)+1 ≡ M mod pq = n womit unsere Behauptung auch für den letzten Fall bewiesen ist. ⇒ q.e.d. 17 3.3 Implementierungstechnische Tipps Nachfolgendes dürfte besonders für Informatiker interessant sein, welche die Programmierung von RSA beabsichtigen. Da sowohl d als auch e in realistischen RSA-Systemen mehrere 100 Dezimalstellen haben können, dauert es sehr lange, M so oft mit sich selbst zu multiplizieren (lineare Ordnung). Es ist allerdings auch fast unmöglich, diese Zahl effizient genau auszurechnen. Es ist daher essentiell, dass nach jeder einzelnen Multiplikation ein mod n des neuen Produkts folgt. Ein effizienterer Algorithmus dieses “Modulo-Potenzierens“ wird erreicht, indem der Exponent in eine Summe von Zweierpotenzen (=Binärdarstellung) aufgeteilt wird. Auf diese Weise wird das Gesamtprodukt in Teilprodukte mit Zweierpotenzen im Exponenten aufgespalten, welche nachher wieder miteinander multipliziert werden. Um auf die nächsthöhere Zweierpotenz zu kommen muss selbstverständlich nur quadriert werden. Auf diese Weise erhält man einen Algorithmus logarithmischer Ordnung. Beispiel: M = 8, e = 27 = 1 + 2 + 8 + 16, n = 55 81 ≡ 8 mod 55 82 ≡ 64 ≡ 9 mod 55 84 ≡ 82 · 82 ≡ 9 · 9 ≡ 81 ≡ 26 mod 55 88 ≡ 84 · 84 ≡ 26 · 26 ≡ 676 ≡ 16 mod 55 816 ≡ 88 · 88 ≡ 16 · 16 ≡ 256 ≡ 36 mod 55 827 ≡ 81 · 82 · 88 · 816 ≡ 8 · 9 · 16 · 36 ≡ 41472 ≡ 2 mod 55 18 3.4 Die Sicherheit von RSA Nehmen wir an, eine Person ohne den privaten Schlüssel d möchte eine mit dem dazugehörigen öffentlichen Schlüssel verschlüsselte Nachricht lesen. Er müsste dazu aus dem öffentlichen Schlüssel (bestehend aus e und n) den privaten Schlüssel d berechnen. Das einzige bis heute bekannte Verfahren dafür (es ist allerdings nicht bewiesen, dass es keine effizientere gibt) besteht darin, n wieder in ihre Primfaktoren p und q zu faktorisieren. Hat man die Primzahlen gefunden, so kann mit e und (p − 1)(q − 1) der private Schlüssel d natürlich leicht berechnet werden. Die Faktorisierung von n ist heute allerdings praktisch (!) nicht möglich, wenn man bei der Wahl von p und q folgendes beachtet: • p und q sind riesig (Militärstandard sind 1024 Bit, was mehr als 300 Dezimalstellen entspricht) • p und q liegen weit auseinander. Der erste Punkt dürfte klar sein, der zweite Punkt ist deshalb wichtig, da die systematische (sequentielle) Suche nach den Primzahlen nicht unbedingt bei kleinen Zahlen beginnen muss, sondern auch bei großen Zahlen starten kann und rückwärts gesucht wird. Ausgangspunkt wäre dabei natürlich√die Quadratwurzel von n. Je enger p und q beieinander liegen, desto näher liegen sie bei n und desto kürzer wäre die Suche. Beachtet man die obigen Punkte, so ist es sehr wahrscheinlich, dass die Sonne ausbrennt, bevor ein Computer mit heutiger Rechenleistung und den heute bekannten Algorithmen n faktorisiert hätte. Die wachsende Rechenleistung der Computer stellt kein Problem dar, da diese Entwicklung vorauszusehen ist sodass der Nutzer bei der Wahl seiner Schlüssel darauf achten kann, dass sein n groß genug ist, sodass es während der Zeit der beabsichtigten Verwendung nicht faktorisierbar ist. Problematisch wird es bei unvorhersagbaren Ereignissen wie z.B. die Fertigstellung eines Quantencomputers (für den das Faktorisierungsproblem möglicherweise kein prinzipiell so schwieriges Problem ist) oder die Entwicklung eines effizienten Algorithmus zur Faktorisierung einer großen Zahl. Es ist allerdings, wie bereits erwähnt, nicht bewiesen, dass das Faktorisierungsproblem überhaupt gelöst werden muss, um den privaten Schlüssel zu bestimmen. Solche Entwicklungen sind zwar höchst unwahrscheinlich, können theoretisch aber jederzeit eintreten. 19 Literatur [1] Clemens Heuberger, Zahlentheorie, http://www.oemo.at/intern/formel/zahlentheorie.pdf [2] Simon Singh, Geheime Botschaften 20