MODULOREKENEN EN CRYPTOGRAFIE 1. Inleiding 1.1. Oorsprong. Het woord cryptografie stamt uit het Grieks en betekent ‘geheimschrift’ (κρυπτ óς = kryptós = verborgen; γράφω = gráfo = schrijven). Het behoeft geen betoog dat geheimhouding van berichten van alle tijden en alle werelden is, de ingebakken kleine trekjes van de mens indachtig. De wedijver tussen codemakers en codebrekers is al eeuwen aan de gang, en heeft in verscheidene situaties de loop van de geschiedenis bepaald. Aanvankelijk waren de gebruikte methoden niet meer dan spitsvondigheden, die te doorzichtig of te weinig praktisch waren om een lang leven beschoren te zijn. Zo maakte de Griekse geschiedschrijver Herodotos melding van een slaaf die een boodschap op het kaal geschoren hoofd getatoeëerd kreeg, om vervolgens met een vers aangegroeid kapsel vijandig gebied te doorkruisen. Later ontwikkelden de Grieken meer systematische manieren om berichten in geheimschrift te zetten. De bekendste daarvan maakt gebruik van een scytale. Dat is een cilindrische stok waarrond een strook perkament kan worden gewikkeld. Door horizontaal op het gewikkelde perkament te schrijven en het perkament daarna Figuur 1. Een scytale. terug af te wikkelen, verkrijgt men de tekst in geheimschrift. De ontvanger hoeft dan enkel op zijn beurt de perkamentstrook rond een scytale van dezelfde diameter te wikkelen om het originele bericht te kunnen lezen. Dit is het startpunt van een beklijvende geschiedenis, doorspekt met veel smeuı̈ge details en intriges, maar ook met veel boeiende wiskunde. We gebruiken de volgende terminologie. 1.2. Terminologie. Een systematische manier om berichten in geheime code te zetten noemen we een cryptosysteem of een cijfer. Het omzetten van een bericht naar geheimschrift noemen we vercijferen. Het omzetten van geheime code naar een leesbaar bericht noemen we ontcijferen. 1.3. Het substitutiecijfer. Historisch gezien is het substitutiecijfer het eerste cryptosysteem dat belangrijk bleek voor de ontwikkeling van de moderne cryptografie. In wezen is het van de hand van Julius Caesar: om met zijn generaals 1 2 MODULOREKENEN EN CRYPTOGRAFIE te communiceren verving hij elke letter door de derde daaropvolgende letter van het alfabet, A → D, B → E, C → F, . . . , W → Z, X → A, Y → B, Z → C. Dus ALEA JACTA EST wordt DOHD MDFWD HVW. Meer algemeen kan men de letters van het alfabet in eender welke volgorde zetten, bijvoorbeeld (1.1) RBDKOMQNAYUEHXZCJLPVSITFWG. Een bericht wordt dan in code gezet door systematisch A door de eerste letter uit die volgorde te vervangen, B door de tweede letter, C door de derde letter, enzovoort. Op basis van volgorde (1.1) wordt ALEA JACTA EST nu REOR YRDVR OPV. Door de omgekeerde substitutie toe te passen kan de ontvanger het bericht terug leesbaar maken. Het ‘moderne’ aan het substitutiecijfer is dat er een duidelijk onderscheid wordt gemaakt tussen het systeem zelf (substitutie) en een geheim extra ingrediënt (de volgorde van de letters van het alfabet). Een naı̈eve vijand die een vercijferd bericht onderschept moet, indien hij al weet dat het bericht met behulp van substitutie werd vercijferd, alle mogelijke lettervolgordes uitproberen. Dat zijn er 26! = 403291461126605635584000000 ≈ 4 · 1026 . Stel dat het uitproberen van één lettervolgorde een halve minuut duurt, dan zou dit hem ongeveer 38 · 1019 jaar kosten. Ter vergelijking: de leeftijd van het heelal is ongeveer 14 · 109 jaar. Dat is een belangrijk verschil met de Griekse scytale. Indien de vijand weet dat het onderschepte bericht met een scytale werd vercijferd, hoeft hij maar een heel beperkt aantal mogelijkheden af te gaan. Oefening 1.3.1. De zin THE QUICK BROWN FOX JUMPS OVER THE LAZY DOG telt alle letters van het alfabet minstens één keer en heeft dus 26! ≈ 4·1026 mogelijke vercijferingen onder het substitutiecijfer. Wat is het aantal mogelijke vercijferingen met behulp van een scytale? Hierbij beschouwen we de spaties ook als karakters. 1.4. Sleutels. In wat volgt zullen we er altijd van uitgaan dat het gebruikte cryptosysteem door vriend en vijand gekend is: dit heet het principe van Kerckhoffs, genoemd naar de 19de-eeuwse Nederlandse cryptograaf Auguste Kerckhoffs. Een geheime sleutel is een kort ingrediënt dat als extra input wordt gebruikt en dat enkel door de zender en de ontvanger gekend is. De sleutelruimte is de verzameling van alle bruikbare geheime sleutels. 1.5. Veiligheid. Een cryptosysteem wordt veilig beschouwd als er voor een aanvaller niet veel beter op zit dan alle sleutels uit de sleutelruimte één voor één uitproberen. De sleutelruimte van het substitutiecijfer is de verzameling permutaties van het alfabet. Bij hedendaagse cryptosystemen worden sleutelruimtes van om en bij de 280 sleutels aangeraden (ter vergelijking: 26! ≈ 288 ). Meer en meer wordt 2128 de nieuwe standaard, al zit daar heel veel veiligheidsmarge op. MODULOREKENEN EN CRYPTOGRAFIE 3 1.6. Het substitutiecijfer gekraakt. Hierboven hadden we het over een naı̈eve vijand, die miljarden keer de leeftijd van het heelal zou nodig hebben om het substitutiecijfer te kraken. Een iets slimmere vijand kan het echter veel handiger aanpakken, waardoor het substitutiecijfer vandaag de dag als flagrant onveilig wordt beschouwd. Dat heeft te maken met de ongelijke frequenties waarmee de letters van het alfabet in de Nederlandse taal (of in eender welke populaire taal) voorkomen. Bijna 20 % van alle letters in een voldoende lange doorsnee Nederlandse tekst zijn E. Met een aandeel van zo’n 10 % komt de letter N op de tweede plaats, gevolgd door ongeveer 8 % A’s. Dat betekent dat, wanneer we een stuk geheimschrift in handen hebben, de letter die het vaakst voorkomt veel kans heeft om de vercijfering van de letter E te zijn, de letter die het op één na vaakst voorkomt is met een redelijke kans een vercijferde N, en zo verder. Op die manier herleidt het ontcijferwerk zich essentieel tot een spelletje Rad van Fortuin. We noemen deze methode frequentieanalyse. Ze werd reeds in de 9de eeuw na Christus beschreven door de Arabische wetenschapper Al-Kindi. Hoe langer de te ontcijferen tekst is, hoe beter de statistiek zijn werk doet en hoe eenvoudiger het ontcijferwerk wordt. Figuur 2. Letterfrequenties in het Nederlands (gebaseerd op een steekproef van 60696 letters uit de krant De Standaard van 26 april 2011). We geven een voorbeeld. Veronderstel dat onze geheime diensten het volgende bericht onderschepten. PDJFRPPX QTREGK TQ CPLD KGEGK PPK CGM XPJMGGL BX NPL HABNGKH WRTKNGK QAKMJMAXXGK WBZ QG CGWWGK We zien dat de letter G twaalf keer voorkomt, de letter K tien keer en de letter P acht keer (en dat deze letters daarmee de kroon spannen). We gokken daarom dat dit de vercijferingen zijn van respectievelijk E, N en A en krijgen de volgende gedeeltelijke kandidaat-ontcijfering. A....AA. ....EN .. .A.. NE.EN AAN .E. .A..EE. .. .A. ....EN. ...N.EN ..N......EN ... .E .E..EN 4 MODULOREKENEN EN CRYPTOGRAFIE Een logische gok voor het woord na AAN is HET (waarom kan EEN niet?), wat zou betekenen dat de letters C en M de respectievelijke vercijferingen zijn van de letters H en T. Invullen geeft: A....AA. ....EN .. HA.. NE.EN AAN HET .A.TEE. .. .A. ....EN. ...N.EN ..NT.T...EN ... .E HE..EN We laten het resterende puzzelwerk aan de lezer over. Ondanks het feit dat een gokje af en toe verkeerd kan uitdraaien, zou het duidelijk moeten zijn dat het ontcijferen van de tekst ons absoluut geen 38 · 1019 jaar zal kosten. 1.7. Inhoud van de studiebundel. In het vervolg van deze tekst zullen we enkele meer recente en meer geavanceerde cryptosystemen onder de loep nemen. Deze systemen maken vaak gebruik van fundamentele resultaten uit de wiskunde, meer bepaald uit de getaltheorie. Een belangrijk ingrediënt is het zogeheten modulorekenen; Paragraaf 2 van de bundel is daaraan gewijd. In de daaropvolgende paragrafen bespreken we verschillende cryptografische methoden die op het modulorekenen zijn gebaseerd. 1.8. Over de bewijzen in de studiebundel. Voor verschillende resultaten uit de getaltheorie wordt in deze bundel ook een bewijs gegeven. Dit bewijs kan extra inzicht verschaffen in de theorie, maar het is niet strikt noodzakelijk om de rest van de bundel te begrijpen of de opgaven op te lossen. De bewijzen zijn vooral bestemd voor de leerlingen die dieper op de theorie willen ingaan. De bewijzen van Stelling 2.4.2 en Propositie 2.7.1 zijn wel belangrijk omdat ze praktische methoden bevatten om bepaalde getallen te gaan berekenen. Deze methoden worden geı̈llustreerd in Voorbeelden 2.4.3 en 2.7.2. 1.9. Enkele basisbegrippen. Zij x en y gehele getallen. Een deler van x is een geheel getal d zodat er een geheel getal q bestaat met x = dq. Als d een deler is van x, dan zal d ook een deler zijn van van ax, voor alle gehele getallen a. Als d een deler is van x en y, dan is d ook een deler van ax + by, voor alle gehele getallen a en b. Als e een deler is van d en d een deler van x, dan is e ook een deler van x. Veronderstel nu dat x en y niet beide nul zijn. De grootste gemene deler ggd(x, y) is het grootste natuurlijk getal dat zowel x als y deelt. We noemen x en y relatief priem wanneer hun grootste gemene deler gelijk is aan 1. Dat betekent dat −1 en 1 de enige gehele getallen zijn die zowel x als y delen. Een priemgetal is een natuurlijk getal p > 1 zodat 1 en p de enige natuurlijke delers zijn van p. 2. Modulorekenen 2.1. De wijzers van de klok. Modulorekenen doen we elke dag zonder er bij stil te staan, in het bijzonder wanneer we rekenen met tijd. Stel dat het momenteel vijf uur in de namiddag is. In Sydney is het acht uur later. Hoe laat is het daar op dit moment? Een kleine rekensom leert dat het in Sydney één uur in de ochtend is. Hoe zijn we precies tot dit resultaat gekomen? We hebben bij vijf uur het tijdsverschil van acht uur opgeteld; dat geeft dus 5 + 8 = 13. Omdat ons horloge de tijd opdeelt in blokken van twaalf uur, trekken we 12 af van de waarde 13 zodat we een uitkomst tussen 0 en 12 verkrijgen. Zo vinden we 13 − 12 = 1. We zeggen dat 5 + 8 congruent MODULOREKENEN EN CRYPTOGRAFIE 5 is aan 1 modulo 12. We noteren dit door 5 + 8 ≡ 1 mod 12. Zo’n uitdrukking heet een congruentie, en 12 noemen we de modulus van de congruentie. In Boston is het zes uur vroeger dan in Leuven. Op dit moment is het daar dus elf uur in de voormiddag, want 5 − 6 = −1 en door bij −1 de waarde 12 op te tellen vinden we 11. We zeggen daarom dat 5 − 6 congruent is aan 11 modulo 12. Vaak werken we met congruenties met een andere modulus dan 12. Wanneer je een digitaal horloge gebruikt met 24-uursnotatie, dan reken je met uren modulo 24. Als het vandaag vrijdag is en je wil weten welke weekdag het over vier dagen zal zijn, dan rekenen je modulo 7. Enzovoort... 2.2. Congruenties. We gieten deze observaties nu in een algemene definitie. In het vervolg van deze tekst noteren we met M steeds een strikt positief geheel getal. Definitie 2.2.1. Zij x en y gehele getallen. We zeggen dat x congruent is aan y modulo M wanneer M het geheel getal x − y deelt. We noteren dit met x≡y mod M. We noemen M de modulus van de congruentie. De congruentierelatie ≡ heeft enkele interessante eigenschappen: (1) elk geheel getal x is congruent aan zichzelf modulo M . (2) als x ≡ y modulo M , dan zal ook y ≡ x modulo M , want als M het verschil x − y deelt, dan deelt M ook y − x = −(x − y). (3) als x ≡ y en y ≡ z modulo M , dan zal ook x ≡ z modulo M . Dit kan je zelf bewijzen als oefening. Voor elk geheel getal x noteren we met x de verzameling van alle gehele getallen die congruent zijn aan x modulo M . Dat is dus de verzameling x = {x, x − M, x + M, x − 2M, x + 2M, . . .}. We noemen x de congruentieklasse van x modulo M . Elk element van de congruentieklasse x heet een representant van x. Bovenstaande eigenschappen van de congruentierelatie hebben de volgende consequenties: alle elementen van x zijn congruent aan elkaar modulo M . Als y een tweede geheel getal is, dan is x = y als en slechts als x en y congruent zijn modulo M . In het andere geval zijn x en y disjunct (dat wil zeggen dat deze verzamelingen een lege doorsnede hebben). Een geheel getal a is een representant van x als en slechts als a = x. Elke congruentieklasse x heeft precies één representant c in {0, . . . , M − 1}; als x positief is, dan is c de rest van x bij deling door M . Wanneer we een congruentieklasse opschrijven, dan kiezen we als representant vaak dit element c. Bijvoorbeeld: als M = 7, dan schrijven we meestal 2 in plaats van 16, en 5 in plaats van −9. De verzameling Z van gehele getallen is dus de unie van de congruentieklassen 0, 1, . . . , M − 1. De verzameling van al deze congruentieklassen noteren we met ZM = {0, 1, . . . , M − 1}. 6 MODULOREKENEN EN CRYPTOGRAFIE Deze definitie lijkt nogal ingewikkeld: ZM is een verzameling waarvan de elementen zelf verzamelingen zijn. Het is vaak handiger om ZM eenvoudigweg te beschouwen als de verzameling die bestaat uit de getallen 0, 1, . . . , M − 1. De streep boven deze getallen in de notatie voor de elementen van ZM duidt dan aan dat we op een bijzondere manier met deze elementen moeten rekenen; dit wordt uitgelegd in de volgende paragraaf. Voorbeeld 2.2.2 (Congruenties op je bankkaart). Een geldig Belgisch bankrekeningnummer bestaat uit een getal G van tien cijfers (met een streepje na de eerste drie), plus een controlegetal van twee cijfers, bijvoorbeeld: 091 − 0122401 − 16. Het controlegetal is het unieke element in {1, . . . , 97} dat congruent is aan G modulo 97. Het controlegetal is dus precies de rest van G bij deling door 97, tenzij deze rest 0 is: in dat geval is het controlegetal 97. In bovenstaand voorbeeld is 16 de rest van 910122401 bij deling door 97. Het controlegetal wordt toegevoegd om na te gaan of een rekeningnummer correct ingevoerd wordt, bijvoorbeeld als je een overschrijving wil uitvoeren. Als je exact één cijfer verkeerd ingeeft, dan zal het controlegetal niet meer correct zijn, zodat het systeem kan signaleren dat je een fout hebt gemaakt. Als je meer dan één fout maakt, dan kan het wel toevallig gebeuren dat je opnieuw een geldig rekeningnummer krijgt. 2.3. Rekenen met congruentieklassen. Propositie 2.3.1. Beschouw gehele getallen x, x′ , y en y ′ . Veronderstel dat x ≡ x′ en y ≡ y ′ modulo M . Dan gelden de volgende eigenschappen: (1) x + y ≡ x′ + y ′ modulo M , (2) x − y ≡ x′ − y ′ modulo M , (3) x · y ≡ x′ · y ′ modulo M . Bewijs. We bewijzen enkel eigenschap (3), de andere kan je zelf aantonen als oefening. We weten dat x − x′ en y − y ′ deelbaar zijn door M . Dat betekent dat er gehele getallen a en b bestaan zodat x′ = x + aM en y ′ = y + bM . Door deze gelijkheden te vermenigvuldigen vinden we dat x′ y ′ = (x + aM )(y + bM ) = xy + (bx + ay + abM )M. Dus x′ y ′ − xy is deelbaar door M , en dat betekent precies dat x · y ≡ x′ · y ′ mod M. Propositie 2.3.1 is erg belangrijk, omdat hij toelaat bewerkingen te definiëren op congruentieklassen in plaats van op gehele getallen. Definitie 2.3.2. We definiëren we bewerkingen +, − en · op de verzameling ZM door voor alle gehele getallen x en y. x+y x−y = x + y, = x − y, x·y = x · y, MODULOREKENEN EN CRYPTOGRAFIE 7 Merk op dat deze definitie ondubbelzinnig is: als x′ en y ′ gehele getallen zijn zodat x = x′ en y = y ′ , dan garandeert Propositie 2.3.1 dat x + y = x′ + y ′ , x − y = x′ − y ′ , x · y = x′ · y ′ . Het resultaat van de bewerkingen in Definitie 2.3.2 hangt dus niet af van de keuze van de representanten x en y. Meer concreet betekent dit dat we rekenen met elementen van ZM = {0, 1, . . . , M − 1} op de volgende manier: om de som, het verschil of het product van twee elementen x en y van ZM te berekenen, voeren we de overeenkomstige bewerking uit op de gehele getallen x en y; vervolgens tellen we bij het resultaat een geheel veelvoud op van M zodat we een element z van {0, . . . , M − 1} bekomen. Het resultaat van onze bewerking is dan het element z van ZM . Voorbeeld 2.3.3. Veronderstel dat de modulus M gelijk is aan 6. Dan geldt 2 − 9 = −7 = 5. Het product 2 · 3 bereken je als volgt: 2 · 3 = 6 = 0. Als we 122 · 6001 willen uitrekenen, dan hoeven we daarvoor niet eerst het product 122 · 6001 te bepalen. Het volstaat op te merken dat 122 = 2 en 6001 = 1 omdat 120 en 6000 deelbaar zijn door 6, zodat 122 · 6001 = 2 · 1 = 2. Oefening 2.3.4. Bereken de volgende uitdrukkingen modulo 5: 2 + 3, 3 − 4, 2309 · 2011. Onze bewerkingen op congruentieklassen hebben de volgende eigenschappen. Propositie 2.3.5. (1) Het element 0 is een neutraal element voor de optelling, en 1 is een neutraal element voor de vermenigvuldiging: voor alle gehele getallen x geldt dat x + 0 = 0 + x = x en x · 1 = 1 · x = x. (2) Voor elk geheel getal x bestaat er een unieke congruentieklasse w zodat x + w = w + x = 0, namelijk w = −x. We noteren deze congruentieklasse ook met −x, de tegengestelde van x. (3) De optelling van congruentieklassen is associatief en commutatief, dat wil zeggen: x + (y + z) = (x + y) + z en x + y = y + x voor alle gehele getallen x, y en z. De analoge eigenschappen gelden voor de vermenigvuldiging. (4) De vermenigvuldiging van congruentieklassen is distributief te opzichte van de optelling, dat wil zeggen: x · (y + z) = x · y + x · z voor alle gehele getallen x, y en z. Al deze eigenschappen volgen onmiddellijk uit de overeenkomstige eigenschappen voor de optelling en vermenigvuldiging van gehele getallen. Je zal bij berekeningen met congruentieklassen deze eigenschappen waarschijnlijk spontaan toepassen zonder er bij stil te staan. Oefening 2.3.6. Toon aan dat een natuurlijk getal x deelbaar is door 9 als en slechts als de som van de cijfers van x deelbaar is door 9. Hint: schrijf x als x = c0 + c1 · 10 + . . . + cm · 10m met c1 , . . . , cm in {0, . . . , 9}, en bereken de congruentieklasse van x modulo 9. 8 MODULOREKENEN EN CRYPTOGRAFIE Oefening 2.3.7. Bij een “perfect shuffle” meng je twee helften van een spel kaarten ritsgewijs door elkaar. Als je de kaarten bij aanvang nummert met 0, 1, . . . , 51, dan liggen ze na zo’n perfect shuffle in de volgorde 0, 26, 1, 27, 2, 28, . . . , 25, 51. Hoeveel “perfect shuffles” moet je minimaal uitvoeren opdat de kaarten weer op dezelfde volgorde zouden liggen als in het begin? Hint: reken modulo 51. 2.4. Het algoritme van Euclides en de stelling van Bézout-Bachet. Omstreeks 300 voor Christus schreef de beroemde Alexandrijnse wiskundige Euclides in één van zijn Elementen een algoritme neer om de grootste gemene deler van twee natuurlijke getallen te bepalen. We illustreren dit algoritme aan de hand van een voorbeeld. Voorbeeld 2.4.1. We gaan de grootste gemene deler bepalen van 34 en 14. We voeren eerst de Euclidische deling (= gehele deling met rest) uit van 34 door 14: 34 = 2 · 14 + 6. Hierbij is 2 het quotiënt van de deling en 6 de rest. We herhalen deze bewerking met 14 en 6: 14 = 2 · 6 + 2. Vervolgens delen we 6 door de nieuwe rest 2: 6 = 3 · 2. Nu is de rest gelijk aan 0, met andere woorden: 2 is een deler van 6. Hieruit kan je besluiten dat 2 (de laatste rest die we vonden verschillend van nul) de grootste gemene deler is van 34 en 14; we zullen dit hieronder op een precieze manier aantonen. Merk op dat het algoritme altijd eindigt na een eindig aantal stappen: in elke stap wordt de rest strikt kleiner, zodat we uiteindelijk op 0 moeten uitkomen. Door het algoritme van Euclides nauwkeuriger te bestuderen, kunnen we een nieuw resultaat bewijzen: de stelling van Bézout-Bachet. Deze stelling is van groot belang voor de getaltheorie. Stelling 2.4.2 (Bézout-Bachet). Als x en y twee natuurlijke getallen zijn, niet beide nul, en als d de grootste gemene deler is van x en y, dan bestaan er gehele getallen a en b zodat ax + by = d. Bewijs. We mogen veronderstellen dat x ≥ y (anders wisselen we x en y gewoon om) en dat y verschillend is van 0 (anders is ggd(x, y) = x en valt er niets te bewijzen). We stellen r0 = x en r1 = y. Nu voeren we het algoritme van Euclides uit. Het resultaat is een lijst van Euclidische delingen r0 = q1 r1 + r2 r1 = q2 r2 + r3 .. . rn = qn+1 rn+1 + rn+2 waarbij de laatste rest rn+2 gelijk is aan 0. MODULOREKENEN EN CRYPTOGRAFIE 9 Omdat rn = qn+1 rn+1 is rn+1 een deler van rn . Omdat rn−1 = qn rn + rn+1 zal rn+1 bovendien ook een deler zijn van rn−1 . Door zo verder op te klimmen in onze lijst, zien we uiteindelijk dat rn+1 ook r0 = x en r1 = y zal delen. Door onze Euclidische delingen een beetje te herschrijven, vinden we de volgende gelijkheden: r2 r3 r4 .. . = r0 − q1 r1 = r1 − q2 r2 = r2 − q3 r3 = −q2 r0 + (q1 q2 + 1)r1 = (q2 q3 + 1)r0 − (q1 + q1 q2 q3 + q3 )r1 rn+1 = rn−1 − qn rn = ar0 + br1 met a en b gehele getallen. Uit de laatste gelijkheid volgt dat elke gemene deler van r0 = x en r1 = y ook een deler moet zijn van rn+1 . We hebben hierboven al gezien dat rn+1 zelf een deler is van x en y. Daarom kunnen we besluiten dat rn+1 gelijk is aan de grootste gemene deler d van x en y. We vinden zo dat d = ax + by, en dit is precies wat we wilden bewijzen. Het bewijs van de stelling geeft een methode om de grootste gemene deler d en de coëfficiënten a en b expliciet te bepalen. We noemen deze methode het uitgebreide algoritme van Euclides. In Voorbeeld 2.4.3 zie je het algoritme aan het werk in een concrete situatie. De coëfficiënten a en b zijn niet uniek: alle gehele getallen a′ = a + ky/d en b′ = b − kx/d, met k ∈ Z, voldoen aan de vergelijking a′ x + b′ y = d. Voorbeeld 2.4.3. We passen het uigebreide algoritme van Euclides toe op x = 31 en y = 22. We voeren eerst het klassieke algoritme van Euclides uit: 31 = 22 + 9, 22 = 2 · 9 + 4, 9 = 2 · 4 + 1, 4 = 4 · 1 + 0. De grootste gemene deler van 31 en 22 is dus gelijk aan 1. Nu herschrijven we deze lijst gelijkheden zoals in het bewijs van Stelling 2.4.2: 9 = 31 − 22, 4 = 22 − 2 · 9 1 = 9−2·4 = −2 · 31 + 3 · 22, = 5 · 31 − 7 · 22. We vinden zo dat ggd(31, 22) = 1 = 5 · 31 − 7 · 22. Het is handig om deze berekeningen op te schrijven in een tabel: 10 MODULOREKENEN EN CRYPTOGRAFIE 31 22 9 4 1 = = = = = 1 · 31 + 0 · 22 0 · 31 + 1 · 22 31 − 22 22 − 2 · 9 9−2·4 31 1 0 1 -2 5 22 0 1 -1 3 -7 Oefening 2.4.4. Vind de grootste gemene deler van 202 en 142 en schrijf hem als a · 202 + b · 142 met a en b gehele getallen. We bespreken nu enkele belangrijke gevolgen van de stelling van Bézout-Bachet. 2.5. Priemontbinding. Lemma 2.5.1 (Lemma van Euclides). Zij x en y gehele getallen, en zij p een priemgetal. Als p het product xy deelt, dan moet p ook x of y delen. Bewijs. Stel dat p het getal x niet deelt. Dan zijn x en p relatief priem, want de enige natuurlijke delers van p zijn 1 en p. Volgens de stelling van Bézout-Bachet bestaan er gehele getallen a en b zodat 1 = ax + bp. Omdat p een deler is van xy, zal p ook een deler zijn van y = (ax + bp) · y = axy + bpy. Het volgende resultaat is één van de belangrijkste eigenschappen van de natuurlijke getallen. Een groot deel van de getaltheorie is op deze stelling gebaseerd. Daarom wordt hij de fundamentaalstelling van de getaltheorie genoemd. Dit resultaat staat in essentie al vermeld in Euclides’ Elementen, hoewel Euclides een andere formulering gebruikte. Stelling 2.5.2 (Fundamentaalstelling van de getaltheorie). Elk natuurlijk getal x > 1 kan geschreven worden als een product van machten van priemgetallen: (2.1) αr 1 x = pα 1 · . . . · pr , met p1 , . . . , pr priem en α1 , . . . , αr natuurlijke getallen. We zullen in deze schrijfwijze steeds veronderstellen dat p1 < p2 < . . . < pr en dat de exponenten αi verschillend zijn van 0. Onder die veronderstelling is de schrijfwijze uniek. We noemen hem de priemontbinding van x. Bewijs. Het is niet moeilijk in te zien dat we elk natuurlijk getal x > 1 kunnen schrijven als een product van priemgetallen. We geven een bewijs via inductie op x. Als x = 2 dan is x al priem en valt er niets te bewijzen. Veronderstel dus dat x > 2 en dat we elk natuurlijk getal x′ in het interval [2, x − 1] kunnen schrijven als een product van priemgetallen. Als x priem is, dan valt er niets te bewijzen. Zoniet kunnen we x schrijven als y · z met y en z natuurlijke getallen die strikt kleiner zijn dan x. Volgens onze inductiehypothese kunnen we y en z schrijven als producten van priemgetallen. Als we deze uitdrukkingen met elkaar vermenigvuldigen, dan hebben we x geschreven als een product van priemgetallen. MODULOREKENEN EN CRYPTOGRAFIE 11 Nu bewijzen we dat de schrijfwijze (2.1) uniek is. Zij p een priemgetal en α het grootste natuurlijke getal zodat pα een deler is van x. Als α = 0 dan is pα = 1 en is p geen deler van x; het priemgetal p kan dan ook niet voorkomen in de ontbinding (2.1). Als α > 0 dan moet p volgens het lemma van Euclides een deler zijn van één van de priemgetallen p1 , . . . , pr , en dus gelijk zijn aan pi met i ∈ {1, . . . , r}. Omdat i pα i een deler is van x en we α zo groot mogelijk gekozen hebben, moet αi ≤ α. αi i Omdat pα een deler is van x, zal pα−αi een deler zijn van x/pα i . Maar x/pi is een product van priemgetallen die verschillend zijn van p, en dus volgt uit het lemma i van Euclides dat p geen deler kan zijn van x/pα i , zodat α = αi . Dit toont aan dat de ontbinding (2.1) uniek is: de priemgetallen p1 , . . . , pr zijn precies al de priemgetallen die x delen, en voor elke i is αi het grootste natuurlijk i getal zodat pα i een deler is van x. Gevolg 2.5.3. Twee gehele getallen zijn relatief priem als en slechts als ze geen gemeenschappelijke priemdelers hebben. Oefening 2.5.4. Stel dat x, y en z gehele getallen zijn zodat x en y relatief priem zijn. Toon de volgende eigenschappen aan. (1) Als x en z relatief priem zijn, dan zijn ook x en yz relatief priem. (2) Het product xy is een deler van z als en slechts als x en y delers zijn van z. (3) Het getal x is een deler van z als en slechts als x een deler is van yz. Oefening 2.5.5. Zij p en q verschillende priemgetallen. natuurlijke delers van x = p8 q 13 . Bepaal het aantal Oefening 2.5.6. Zij n een natuurlijk getal zodat n + 1 geen priemgetal is en ook niet het kwadraat van een priemgetal. Toon aan dat n + 1 een deler is van n!. 2.6. De Chinese reststelling. Stelling 2.6.1 (Chinese reststelling1). Zij M1 , . . . , Mr strikt positieve gehele getallen. We veronderstellen dat deze getallen paarsgewijs relatief priem zijn, dat wil zeggen: ggd(Mi , Mj ) = 1 voor alle elementen i en j in {1, . . . , r} waarvoor i ̸= j. Voor alle gehele getallen x1 , . . . , xr bestaat er een geheel getal x zodat (2.2) x ≡ xi mod Mi voor elke i in {1, . . . , r}. De gehele getallen y die ook aan al deze congruenties voldoen zijn precies de elementen van de congruentieklasse van x modulo M = M1 · . . . · Mr . Bewijs. Stel M = M1 · . . . · Mr . Voor elke i in {1, . . . , r} zijn de gehele getallen Mi en M/Mi relatief priem, aangezien elke priemdeler van M/Mi een deler moet zijn van één van de factoren Mj met j ̸= i, en Mi en Mj geen gemeenschappelijke priemdelers hebben. Volgens de stelling van Bézout-Bachet kunnen we gehele getallen ai en bi vinden zodat ai Mi + bi M/Mi = 1. 1Dit resultaat werd al in de 4de eeuw na Christus opgetekend in Het rekenkundig handboek van Meester Sun van de Chinese wiskundige Sunzi. 12 MODULOREKENEN EN CRYPTOGRAFIE We stellen x = x1 b1 M/M1 + · · · + xr br M/Mr . Voor elke i in {1, . . . , r} zal Mi een deler zijn van x − xi = x1 b1 M/M1 + · · · + xi (bi M/Mi − 1) + · · · + xr br M/Mr omdat Mi een deler is van M/Mj voor alle j ̸= i en ook een deler van bi M/Mi − 1 = −ai Mi . Dus het getal x voldoet aan de congruentie (2.2), voor alle i in {1, . . . , r}. Het is duidelijk dat elk getal y in de congruentieklasse van x modulo M ook aan al deze congruenties voldoet, aangezien y − x dan deelbaar is door M en dus door al de moduli Mi . We moeten enkel nog aantonen dat we zo alle oplossingen gevonden hebben. Veronderstel dus dat y een geheel getal is zodat y ≡ xi mod Mi voor alle i. Dan zal y ook congruent zijn aan x modulo Mi , voor alle i. Aangezien de moduli Mi paarsgewijs relatief priem zijn, vinden we door Oefening 2.5.4 herhaaldelijk toe te passen dat M een deler moet zijn van y − x. Dus y behoort tot de congruentieklasse van x modulo M . De Chinese reststelling is een sterk resultaat: om de congruentieklasse van een geheel x modulo M1 · . . . · Mr te bepalen, volstaat het de congruentieklassen van x te kennen modulo de getallen M1 , . . . , Mr . Voorbeeld 2.6.2. De gehele getallen x die voldoen aan de congruenties { x ≡ 2 mod 13 x ≡ 0 mod 7 zijn precies de elementen van de congruentieklasse 28 = {28, 119, −63, 210, −154, . . .} modulo 13 · 7 = 91. 2.7. Eenheden in ZM . Zij M een strikt positief geheel getal. Propositie 2.7.1. Zij x een geheel getal. De getallen x en M zijn relatief priem als en slechts als er een geheel getal y bestaat zodat x·y =1 in ZM . In dat geval is de congruentieklasse y uniek. We noemen deze congruentieklasse het inverse element van x, en we noteren hem met x−1 . Als x een inverse heeft, dan noemen we x een eenheid in ZM , en noemen we x een eenheid modulo M . De verzameling van eenheden in ZM duiden we aan met Z× M. Bewijs. Veronderstel eerst dat x en y gehele getallen zijn zodat x · y = 1. Dat betekent dat M een deler is van xy − 1. Elke gemene deler d van x en M deelt dus zowel x als xy − 1. Dan moet d ook een deler zijn van xy, en dus van xy − (xy − 1) = 1. Daaruit volgt dat d enkel 1 of −1 kan zijn, en dat ggd(x, M ) = 1. MODULOREKENEN EN CRYPTOGRAFIE 13 Nu tonen we de omgekeerde implicatie aan. Veronderstel dat x een geheel getal is zodat ggd(x, M ) = 1. Volgens de stelling van Bézout-Bachet bestaan er dan gehele getallen a en b zodat ax + bM = 1. De modulus M moet dan een deler zijn van ax − 1 = −bM. Dus ax ≡ 1 mod M, met andere woorden: x · a = 1. Als c een geheel getal is zodat eveneens x · c = 1, dan geldt omwille van de commutativiteit en de associativiteit van de vermenigvuldiging dat c = (x · a) · c = (x · c) · a = a. Dus het inverse element a van x is uniek (als het bestaat). Dit bewijs laat ook zien hoe je het inverse element van x kan vinden: het is de congruentieklasse van de coëfficiënt a van x die je kan bepalen via het uitgebreide algoritme van Euclides. Voorbeeld 2.7.2. We lezen af uit Voorbeeld 2.4.3 dat −7 = 24 het inverse element is van 22 in Z31 , omdat −7 · 22 = 1 − 5 · 31 ≡ 1 mod 31. Oefening 2.7.3. Zijn de volgende getallen eenheden in Z35 ? Zo ja, bereken hun invers. 5, 6, 8, 34. Oefening 2.7.4. Toon de volgende eigenschappen aan: (1) Als r en s eenheden zijn in ZM , dan is r · s een eenheid in ZM . (2) Als r een eenheid is in ZM en u en v elementen in ZM zodat r · u = r · v, dan moet u = v. Merk op dat de tweede eigenschap niet geldt als r geen eenheid is: zo is 2·3 = 0 = 2·0 in Z6 , terwijl 3 ̸= 0. Oefening 2.7.5. Stel dat x en y natuurlijke getallen zijn zodat x eindigt op de cijfers 13 en zodat x · y eindigt op 52. Toon aan dat het getal y moet eindigen op 04. We stellen ons nu de volgende vraag: hoeveel elementen bevat Z× M ? Met andere woorden: hoeveel elementen in {0, . . . , M − 1} zijn een eenheid modulo M ? Omwille van Propositie 2.7.1 weten we dat dit precies de elementen zijn van de verzameling EM = {x ∈ {0, . . . , M − 1} | ggd(x, M ) = 1}. Het aantal elementen van EM noteren we met φ(M ). Dit getal wordt het Eulergetal van M genoemd. 14 MODULOREKENEN EN CRYPTOGRAFIE Voorbeeld 2.7.6. Het Eulergetal φ(1) is gelijk aan 1, want de grootste gemene deler van 0 en 1 is gelijk aan 1, zodat E1 = {0}. Het Eulergetal φ(6) is gelijk aan 2, want E6 = {1, 5}. Als p een priemgetal is, dan is Ep = {1, . . . , p − 1} en dus φ(p) = p − 1. We gaan nu een handige formule opstellen die ons toelaat om φ(M ) expliciet te berekenen. Lemma 2.7.7. Zij M en N strikt positieve gehele getallen, en veronderstel dat M en N relatief priem zijn. Dan geldt φ(M N ) = φ(M ) · φ(N ). Bewijs. Zij x een element van {0, . . . , M N − 1}. Uit de Chinese reststelling volgt dat x volledig bepaald wordt door zijn congruentieklassen modulo M en N : voor elke a in {0, . . . , M − 1} en elke b in {0, . . . , N − 1} is er precies één element x in {0, . . . , M N − 1} zodat x ≡ a mod M en x ≡ b mod N. Bovendien is x relatief priem met M N als en slechts als a relatief priem is met M en b relatief priem is met N . Dit kan je inzien als volgt: de gemeenschappelijke priemdelers van x en M N zijn precies de priemgetallen p die x delen en ook M of N , omwille van het lemma van Euclides. Maar als p een deler is van M , dan deelt p ook x als en slechts als p een deler is van a, vermits we a kunnen schrijven als a = x + kM met k ∈ Z. De gemeenschappelijke priemdelers van x en M zijn dus precies de gemeenschappelijke priemdelers van a en M . De analoge eigenschap geldt voor x, b en N . Dus φ(M N ) is gelijk aan het aantal elementen in de productverzameling {a ∈ {0, . . . , M − 1} | ggd(a, M ) = 1} × {b ∈ {0, . . . , N − 1} | ggd(b, N ) = 1}. De eerste factor in dit product heeft precies φ(M ) elementen, en de tweede φ(N ). We kunnen daarom besluiten dat φ(M N ) = φ(M ) · φ(N ). Propositie 2.7.8. Zij M > 1 een geheel getal met priemontbinding αr 1 M = pα 1 · . . . · pr . Dan geldt r −1 φ(M ) = (p1 − 1)p1α1 −1 · . . . · (pr − 1)pα . r Bewijs. Veronderstel eerst dat r = 1; dan is M gelijk aan pα , met p een priemgetal en α een strikt positief geheel getal. De elementen in {0, . . . , M −1} die niet relatief priem zijn met M zijn dan precies de veelvouden van p, namelijk V = {0, p, 2p, . . . , (pα−1 − 1)p}. MODULOREKENEN EN CRYPTOGRAFIE 15 Merk op dat (pα−1 − 1)p inderdaad het grootste veelvoud van p is dat strikt kleiner is dan M = pα . De verzameling V bevat pα−1 elementen, dus de verzameling EM = {0, . . . , M − 1} \ V bevat M − pα−1 = (p − 1)pα−1 elementen. We vinden zo dat φ(pα ) = (p − 1)pα−1 . De algemene formule voor φ(M ) volgt nu onmiddellijk uit Lemma 2.7.7. Oefening 2.7.9. Bewijs Propositie 2.7.8 als M een product is van twee verschillende priemgetallen p en q, zonder gebruik te maken van de Chinese reststelling: tel de elementen van {0, . . . , M − 1} die niet relatief priem zijn met M . 2.8. De congruentie van Euler en de kleine stelling van Fermat. Stelling 2.8.1 (Congruentie van Euler). Zij M een strikt positief geheel getal, en a een geheel getal dat relatief priem is ten opzichte van M . Dan geldt aφ(M ) ≡ 1 mod M. Bewijs. Zij r1 , . . . , rφ(M ) de eenheden in ZM . Uit Oefening 2.7.4 volgt dat {r1 , . . . , rφ(M ) } = {a · r1 , . . . , a · rφ(M ) }. Als we de elementen in elk van deze verzameligen vermenigvuldigen, dan vinden we dat r1 · . . . · rφ(M ) = aφ(M ) · r1 · . . . · rφ(M ) . Oefening 2.7.4 zegt dan dat aφ(M ) = 1, anders gezegd: aφ(M ) ≡ 1 mod M. Gevolg 2.8.2 (Kleine stelling van Fermat2). Als p een priemgetal is en a een geheel getal dat niet deelbaar is door p, dan geldt ap−1 ≡ 1 mod p. Voor alle gehele getallen b geldt dus dat bp ≡ b mod p. 2We noemen Gevolg 2.8.2 de kleine stelling van Fermat om het onderscheid te maken met de beroemde grote stelling van Fermat. Die zegt het volgende: als x, y, z en n natuurlijke getallen zijn zodat xn + y n = z n en n > 2, dan moet x of y gelijk zijn aan 0. Dit resultaat, door Fermat geformuleerd in 1637, werd pas in 1994 bewezen door de Britse wiskundige Andrew Wiles. Het bewijs maakt gebruik van erg diepe resultaten uit de getaltheorie en de meetkunde. 16 MODULOREKENEN EN CRYPTOGRAFIE Bewijs. De eerste bewering is een bijzonder geval van de congruentie van Euler, omdat φ(p) = p − 1. Als we beide leden van deze congruentie vermenigvuldigen met a, dan vinden we ap ≡ a mod p. De tweede bewering hoeven we dan enkel nog te bewijzen als p een deler is van b. In dat geval geldt bp ≡ b ≡ 0 mod p. Gevolg 2.8.3. Zij M een strikt positief geheel getal, en a een geheel getal dat relatief priem is ten opzichte van M . Als x en y natuurlijke getallen zijn zodat x≡y mod φ(M ), dan zal ax ≡ ay mod M. Bewijs. We mogen veronderstellen dat x > y, anders wisselen we x en y gewoon om. Dan zal y = x + φ(M )q met q een natuurlijk getal. Uit de congruentie van Euler volgt nu dat ay = ax (aφ(M ) )q ≡ ax mod M. Voorbeeld 2.8.4. Stel dat we de rest van 350 bij deling door 35 willen berekenen, Uit Propositie 2.7.8 volgt dat φ(35) = 4 · 6 = 24. Bovendien zijn 3 en 35 relatief priem. We kunnen Gevolg 2.8.3 daarom toepassen op de volgende manier: 50 ≡ 2 mod 24, zodat 350 ≡ 32 De rest van 3 50 mod 35. bij deling door 35 is dus gelijk aan 9. n Oefening 2.8.5. Beschouw een geheel getal n > 1. Bewijs dat 7(2 ) eindigt op het n 2011 cijfer 1, en 2(2 ) + 1 op het cijfer 7. Wat zijn de laatste twee cijfers van 39(41 ) ? 2.9. Generatoren in Z× p. Propositie 2.9.1. Zij p een priemgetal. Dan bestaat er een element g in Z× p zodat 2 p−1 Z× = 1}. p = {g, g , . . . , g Zo’n element g noemen we een generator van Z× p. Merk op dat g p−1 = 1 voor elk element g van Z× p omwille van de kleine stelling van Fermat (Gevolg 2.8.2). Als g een generator is van Z× p , dan moeten de machten g i en g j verschillend zijn voor alle elementen i ̸= j in {1, . . . , p − 1}, omdat we weten dat Z× p precies φ(p) = p − 1 elementen bevat. Het bewijs van deze eigenschap valt helaas buiten het bestek van deze bundel. We kunnen hem wel illustreren aan de hand van een voorbeeld. MODULOREKENEN EN CRYPTOGRAFIE 17 Voorbeeld 2.9.2. Het element 2 is een generator van Z× 5 . De opeenvolgende machten van 2 zijn 1 2 3 4 2 = 2, 2 = 4, 2 = 8 = 3, 2 = 16 = 1. Het element 4 is geen generator van Z× 5. In de volgende secties bespreken we verschillende cryptosystemen die zijn gebaseerd op getaltheorie, en in het bijzonder op modulorekenen. 3. Van Vigenère tot AES 3.1. Het Vigenèrecijfer. We zagen in Paragraaf 1.6 dat het substitutiecijfer relatief eenvoudig gekraakt kan worden door middel van frequentieanalyse. In 1553 stelde Giovanni Belaso een alternatief cryptosysteem voor dat de problemen van het substitutiecijfer leek op te lossen. Het werd opgepikt door de Franse diplomaat Blaise de Vigenère naar wie het cryptosysteem sindsdien wordt genoemd: het Vigenèrecijfer. Het Vigenèrecijfer maakt gebruik van een codewoord. Dat woord kan bijvoorbeeld TOERNOOI zijn. Om een zin, bijvoorbeeld ALEA JACTA EST, te vercijferen vullen we een regel eronder met kopieën van het codewoord. Eventueel dient de laatste kopie te worden afgebroken: ALEA JACTA EST TOER NOOIT OER. Een letter op de tweede regel bepaalt nu hoeveel plaatsen in het alfabet de letter erboven wordt opgeschoven. We identificeren daarvoor de letters van het alfabet met de congruentieklassen in Z26 . Hierbij staat de A voor 0, de B voor 1, de C voor 2, . . . , de Z voor 25. We vervangen nu de letters van de boodschap en van het codewoord door de overeenkomstige congruentieklassen in Z26 . Vervolgens tellen we beide regels bij elkaar op. Het resultaat is een rij elementen van Z26 , die we opnieuw omzetten in een rij van letters. Deze rij letters is de vercijferde boodschap. In ons voorbeeld vervangen we ALEA JACTA EST TOER NOOIT OER. dus door 0 19 11 4 14 4 0 17 9 0 13 14 2 19 14 8 0 19 4 18 14 4 19 17. 19 18 10. Als we nu beide regels optellen, dan vinden we 19 25 8 17 22 14 16 1 22 Door deze reeks congruentieklassen weer om te zetten in letters, vinden we tenslotte de Vigenère-vercijfering horend bij het codewoord TOERNOOI: TZIR WOQBT SWK. 18 MODULOREKENEN EN CRYPTOGRAFIE Het ontcijferen gebeurt dan door de rij kopieën van het codewoord weer van de vercijferde tekst af te trekken. Zoals je ziet wordt de letter A in bovenstaande tekst zowel als een T, een R en een O vercijferd. Dat maakt een statistische aanval zoals in Paragraaf 1.6 op het eerste zicht waardeloos. Oefening 3.1.1. Het Caesarcijfer is een speciaal geval van het Vigenèrecijfer. Wat is het bijhorende codewoord? Oefening 3.1.2. De tekst GVZZG BY SE! is vercijferd volgens de Vigenèremethode, met codewoord FERMAT. Wat is de oorspronkelijke boodschap? Lange tijd werd het Vigenèrecijfer als onbreekbaar beschouwd. Het kreeg zelfs de bijnaam le chiffre indéchiffrable (het onontcijferbare cijfer). Halfweg de 19de was het sprookje echter uit. Toen publiceerde Friedrich Kasiski een methode om het cijfer te kraken, op voorwaarde dat de ontvangen tekst voldoende lang is. (a) Wanneer we de lengte van het codewoord kennen, dan is het Vigenèrecijfer eenvoudig te kraken. Stel bijvoorbeeld dat we weten dat het codewoord acht letters telt. Dan kunnen we de 1ste , de 9de , de 17de , de 25ste , ... letter van de vercijferde tekst samen bekijken. Omdat deze letters allemaal over dezelfde afstand zijn verschoven, zullen we de eerste letter van het codewoord kunnen gokken met behulp van een frequentieanalyse zoals in Paragraaf 1.6. Analoog vinden we de tweede letter door de 2de , de 10de , de 18de , de 26ste , ... vercijferde letters samen te bekijken, enzoverder. (b) De meest ambachtelijke aanval is dan om de procedure uit (a) uit te voeren voor lengte 1, lengte 2, lengte 3, . . . tot we een betekenisvolle ontcijfering vinden. Vaak kan de lengte op voorhand gegokt worden door te kijken naar opvallende letteropeenvolgingen die terugkeren. De afstand tussen twee dergelijke opeenvolgingen is met grote kans een veelvoud van de lengte van het codewoord. Als we een paar dergelijke veelvouden kunnen opspeuren, dan is de lengte van het codewoord heel waarschijnlijk de grootste gemene deler van deze veelvouden. Deze methode wordt geı̈llustreerd op de leuke website http://www.simonsingh.net/The_Black_Chamber/contents.html De daaropvolgende 100 jaar worden gekenmerkt door veel cryptografische bedrijvigheid. De twee wereldoorlogen zijn daar natuurlijk niet vreemd aan. Zo stuurde Arthur Zimmermann, de Duitse minister van buitenlandse zaken, in 1917 een vercijferd bericht naar zijn ambassadeur in Washington, D.C. Daarin werd die laatste aangemaand om de Verenigde Staten en Mexico tegen elkaar op te stoken. Op die manier hoopte Zimmermann dat de Amerikanen het te druk zouden hebben met hun eigen conflict om zich actief met WO I te bemoeien. Het bericht werd echter onderschept en gekraakt, en had een averechts effect: de Verenigde Staten verklaarden Duitsland de oorlog en WO I, die op dat moment muurvast zat, kwam in een stroomversnelling. Een jaar later was de oorlog beslecht. Waar het Zimmermanntelegram eerder een amateuristische blunder was die geen veiligheidsdienst die naam waardig had kunnen verschalken, was cryptografie tijdens de tweede wereldoorlog echt big business. Door het toenemende gebruik MODULOREKENEN EN CRYPTOGRAFIE 19 van vliegtuigen en onderzeeërs bulkte de ether van de geheime berichten. In het geval van de Duitsers waren die berichten meestal vercijferd met behulp van een Enigma. Dat was een typmachine die in de jaren ‘10 was ontwikkeld en de ingetypte tekst automatisch in geheimschrift zette. Vóór gebruik moesten bij de Enigma een aantal zaken fysiek worden ingesteld (koppelingen van elektrische bedradingen, beginstanden van rotoren). Die instellingen dienden als geheime sleutel en veranderden dagelijks. De Enigma leek niet te kraken, maar de Britse geheime diensten bleven hardnekkig proberen. Hardnekkig is een understatement. Op het hoogtepunt was een team van maar liefst 10000 mannen en vrouwen full-time bezig met het onderscheppen, opschrijven en bestuderen van de Duitse berichten. Het bestuderen gebeurde door een team wiskundigen, met aan het hoofd de briljante Alan Turing. Uiteindelijk slaagden ze in hun opzet, voortbouwend op eerdere doorbraken van de Poolse wiskundige Marian Rejewski in opdracht van de Poolse geheime dienst. De Enigma was een wijd verspreid toestel en de Duitsers waren zich ervan bewust dat de Britten over fysieke exemplaren beschikten. Ook al betekende dat niet dat de Britten de bijhorende geheime instellingen kenden, toch gebruikten de Duitsers uit voorzorg een complexere variant van het toestel voor informatie die echt top secret was: de Lorenz-Geheimschreiber. Ook die werd uiteindelijk door de Britten gekraakt. Ze wisten zelfs een Geheimschreiber na te bootsen zonder er zelf ooit één te hebben gezien! Dit alles speelde ongetwijfeld een sleutelrol in WO II. Zo waren de geallieerde troepen er bij de cruciale landing op Normandië vrij zeker van dat de Duitsers in de bijhorende valstrik waren getrapt. 3.2. Om de Lorenz-Geheimschreiber te kraken ontwikkelden de Britten de allereerste digitale computers: Colossus I en Colossus II. Na afloop van WO II werden de Colossus-computers vernietigd. 3.3. Bij deze fantastische geschiedenis horen een aantal minder fraaie kanttekeningen. Na afloop van de oorlog hielden de Britten hun verwezenlijkingen geheim (tot de jaren ‘70). Hiervan misbruik makend bleef het Verenigd Koninkrijk het gebruik van Enigma-toestellen stimuleren, onder andere bij hun eigen kolonies. Ook jegens Alan Turing legden ze niet veel menselijkheid aan de dag. De homoseksuele Turing werd na de oorlog verplicht zich chemisch te laten castreren en zou uiteindelijk in 1954 zelfmoord plegen. In 2009 bood de Britse regering hiervoor haar excuses aan. 3.4. De jaren ‘70: een sleutelperiode. De jaren ‘70 zijn een absoluut keerpunt voor de cryptografie. Eén van de redenen is de publieke bekendmaking van het ganse Enigma-verhaal. De technieken die Turing en co hadden ontwikkeld vonden op die manier hun weg naar het wetenschappelijke circuit en veranderden het aanschijn van de cryptografie definitief. Een tweede reden is de invoering door de Amerikaanse overheid van een nationale standaard om berichten in geheimschrift te zetten: de Data Encryption Standard (DES). Veel wetenschappers vertrouwden DES niet. De sleutelruimte was immers nogal klein (256 mogelijke sleutels) en men vreesde dat de beleidsmakers er een achterpoortje in hadden verwerkt, waardoor ze het systeem zelf zouden kunnen kraken. Die achterdocht bleek uiteindelijk onterecht, maar de intensieve analyse van DES is van enorme waarde gebleken voor de cryptografie. Vandaag de dag kan DES in minder dan een dag worden gekraakt. Varianten van het cijfer worden echter nog 20 MODULOREKENEN EN CRYPTOGRAFIE altijd gebruikt. Zo beroepen de meeste bankautomaten zich op 3DES (essentieel drie kopieën van DES, met een sleutelruimte van grootte 256 · 256 · 256 = 2168 ). De lessen die uit DES werden getrokken leidden uiteindelijk naar een nieuw cryptosysteem dat in 2002 gelanceerd werd: de Advanced Encryption Standard (AES). Het is gebaseerd op het Rijndael-algoritme van de Leuvense ingenieurs Joan Daemen en Vincent Rijmen. Vandaag de dag geldt AES als de internationale standaard. Ze heeft een sleutelruimte van grootte 2128 . Een derde en misschien wel belangrijkste reden is de ontdekking van methodes om op een publieke manier geheime sleutels of zelfs ganse geheime boodschappen uit te wisselen. Deze vormen het einddoel van deze bundel en bespreken we in de volgende secties. 4. Veilige sleuteluitwisseling 4.1. Een fundamenteel probleem bij alle hierboven besproken cryptosystemen, inclusief DES en AES, is het uitwisselen van de geheime sleutel tussen zender en ontvanger. Indien beide partijen elkaar niet fysiek kunnen ontmoeten is dit een heel delicaat aspect. Zo kregen de Duitse klerken tijdens WO II maandelijks een agenda opgestuurd waarin de geheime Enigma-instellingen voor de volgende maand per dag stonden opgelijst. Bij minstens één gelegenheid is zo’n boekje door de Britse geheime diensten onderschept. Een ander cryptosysteem gebruiken om de geheime sleutel met elkaar uit te wisselen verlegt het probleem natuurlijk alleen maar. Het is a priori zelfs helemaal niet duidelijk dat er een oplossing voor dit probleem bestaat. Het kwam dan ook als een absolute verrassing toen Whitfield Diffie en Martin Hellman in 1976 een methode publiceerden die geheime sleuteluitwisseling mogelijk maakt. Hun methode maakt gebruik van modulorekenen. 4.2. Van sleutel tot congruentieklas modulo p. Een geheime sleutel is in de praktijk altijd te identificeren met een natuurlijk getal x waarvoor 0≤x<S waarbij S de grootte van de sleutelruimte is. Bij het substitutiecijfer kan een lettervolgorde zoals in (1.1) worden bekeken als een getal tussen 0 en 26! − 1 door alle mogelijke lettervolgordes alfabetisch te ordenen. Omgekeerd geeft elk natuurlijk getal tussen 0 en 26! − 1 aanleiding tot zo’n lettervolgorde. Bij AES is de geheime sleutel een opeenvolging van 128 nulletjes en eentjes: 10100111010101011010101010111101000001101001 . . . 011001. Dit kan men bekijken als de binaire schrijfwijze van een natuurlijk getal tussen 0 en 2128 − 1. Omgekeerd zal elk natuurlijk getal tussen 0 en 2128 − 1 aanleiding geven tot een AES-sleutel. Anders gezegd kunnen we een sleutel dus bekijken als een rest modulo S. Het veilig uitwisselen van zo’n rest is precies wat het hieronder beschreven DiffieHellmanprotocol doet. In praktijk werken Diffie en Hellman echter modulo een priemgetal p dat groter is dan S (vaak een priemgetal van tenminste 1024 binaire cijfers). Het resultaat van het Diffie-Hellmanprotocol is dan een congruentieklas x modulo p, die enkel gekend is door de twee partijen die een sleutel willen afspreken. Uit deze congruentieklas x, die voorgesteld kan worden door een rest 0 ≤ x < p, kan dan eenvoudig een sleutel worden afgeleid door x modulo S te berekenen. In MODULOREKENEN EN CRYPTOGRAFIE 21 praktijk wordt deze laatste stap vervangen door het hashen van de congruentieklas x. Het zou ons te ver leiden om in deze nota’s op dit hashen in te gaan; het principe blijft sowieso hetzelfde. 4.3. Het vinden van een groot priemgetal p. Zoals hierboven vermeld wil men gebruik maken van een priemgetal p van ongeveer duizend binaire cijfers. Met de huidige stand van de informatica en de wiskunde vormt het geen praktisch probleem om binnen een fractie van een seconde zo’n priemgetal te vinden. Ruw gesteld kiest men herhaaldelijk een lukraak getal van de juiste grootte-orde, tot het een priemgetal betreft. Daarvoor moeten (1) we over een snelle test beschikken om na te gaan of een gegeven getal al dan niet priem is; zo’n test bestaat inderdaad, maar een beschrijving ervan valt buiten het bestek van deze nota’s; (2) de priemgetallen dik genoeg gezaaid liggen; vanuit praktisch oogpunt mogen we hier vertrouwen in hebben, al is dat vertrouwen vooral gebaseerd op onbewezen heuristieken en experimentele ervaring; op theoretisch vlak baart de verdeling van de priemgetallen ons nog veel kopzorgen (o.a. het Riemannvermoeden, door velen beschouwd als het belangrijkste onopgeloste probleem uit de hele wiskunde, doet hier een uitspraak over – wie het oplost krijgt een miljoen dollar van het Clay Mathematics Institute). Merk op dat (1) in opmerkelijk contrast staat met het volgende al even beroemde onopgeloste probleem. Open probleem 4.3.1. Vind een efficiënte methode om van eender welk gegeven geheel getal n de priemontbinding te vinden. Nagaan of een gegeven getal van enkele honderden cijfers priem is lukt vandaag in een fractie van een seconde, maar de best gekende methodes om de priemontbinding van een gelijkaardig getal te vinden doen er in het slechtste geval miljarden jaren over. 4.4. Het Diffie-Hellmanprotocol. Het Diffie-Hellmanprotocol (DHP) is een manier om op een veilige en efficiënte manier een geheime congruentieklas x modulo een gegeven priemgetal p af te spreken tussen twee partijen die over een onveilig kanaal met elkaar communiceren. Veronderstel dat de twee partijen Agnetha en Benny heten. Ze spreken eerst een generator g van (Z× p , ·) af. Daarna kiest Agnetha een getal a met 0 ≤ a < p − 1, dat ze angstvallig geheim houdt. Analoog kiest Benny een geheim getal b met 0 ≤ b < p − 1. Agnetha berekent g a en stuurt dit door naar Benny. Op zijn beurt berekent Benny g b en laat de uitkomst weten aan Agnetha. Zowel Agnetha als Benny kunnen nu g ab berekenen: Agnetha kent g b (omdat Benny haar die waarde heeft meegedeeld) en a (haar geheim getal) en kan dus (g b )a uitrekenen. Analoog kan Benny (g a )b bepalen. Zowel Agnetha als Benny hebben dus g ab = (g b )a = (g a )b in hun bezit. Dat is precies onze geheime congruentieklas x. We vatten samen: 22 MODULOREKENEN EN CRYPTOGRAFIE Agnetha Benny kiest 0 ≤ a < p berekent g a Publiek Kanaal ga → −−−−−−−−−−−−− berekent x = (g b )a gb ← −−−−−−−−−−−−− kiest 0 ≤ b < p berekent g b berekent x = (g a )b 4.5. Het discrete-logaritmeprobleem. Iemand met slechte bedoelingen kan de volgende informatie via het publieke kanaal te pakken krijgen: p, g, g a en g b . Kan hij of zij daaruit x = g ab berekenen? De voor de hand liggende aanpak is om te proberen a uit g a te bepalen, om daarna x = (g b )a uit te rekenen. De veiligheid van het DHP is gebaseerd op de veronderstelling dat deze piste voor grote waarden van p en a volstrekt hopeloos is. Men heeft goede redenen om te geloven dat elke andere aanpak minstens even moeilijk is. a Zij h ∈ Z× p . De unieke a waarvoor 0 ≤ a < p − 1 en h = g noemen we de discrete logaritme van h met grondtal g. Het vinden van een manier om efficiënt discrete logaritmes te berekenen noemen we het discrete-logaritmeprobleem (DLP). Anno 2011 weet niemand hoe het DLP efficiënt kan worden opgelost. De beste algoritmen slagen er bijvoorbeeld maar net in om het DLP modulo een priemgetal 500 binaire cijfers op te lossen. Algemeen wordt aangenomen dat het DLP modulo een priemgetal van 1024 binaire cijfers veiligheid biedt voor een vijftal jaar. Een priemgetal van 2048 binaire cijfers zou volstaan voor geheimen die het 15 tot 20 jaar moeten uithouden. We moeten hierbij ook opmerken dat niet eender welk priemgetal van de juiste grootte-orde kan worden gebruikt voor het DHP. Men kan aantonen dat de moeilijkheid van het DLP eerder bepaald wordt door het grootste priemgetal in de priemontbinding van p − 1, dan door p zelf. Dit heet de Silver-PohligHellmanreductie. Een beschrijving hiervan laten we achterwege, maar een gevolg is dat p − 1 zelf bij voorkeur ‘bijna priem’ is: een kleine factor maal een ander priemgetal. Nagaan of een getal ‘bijna priem’ is lukt op een efficiënte manier: men probeert zoveel mogelijk factoren 2, 3, 5, 7, . . . (afhankelijk van wat men een ‘kleine’ priemfactor noemt) af te zonderen, waarna men test of de resterende factor priem is. Met deze beperking is het snel vinden van een geschikte p nog steeds mogelijk: de priemgetallen liggen dik genoeg gezaaid om deze bijkomende eis op te vangen. 4.6. Modulaire machtsverheffing. Het DHP, zoals hierboven geschetst, brengt een aantal praktische vragen met zich mee. De belangrijkste daarvan is: hoe voeren Agnetha en Benny op een efficiënte manier machtsverheffingen uit in Zp ? Stel dat Agnetha naı̈ef is en g a wil bepalen door achtereenvolgens g 2 = g · g, g3 = g · g2 , g4 = g · g3 , g5 = g · g4 , g6 = g · g5 , g7 = g · g6 , . . . te berekenen, dan dient ze a − 1 vermenigvuldigingen uit te voeren. Omdat a een getal is van enkele honderden decimale cijfers zou dit haar miljarden jaren kosten. MODULOREKENEN EN CRYPTOGRAFIE 23 Gelukkig bestaat er een veel snellere manier. Stel dat Agnetha g 64 wil uitrekenen. Met de bovenstaande methode zou ze 63 vermenigvuldigingen moeten uitvoeren. Via de reeks g 2 = g·g, g 4 = g 2 ·g 2 , g 8 = g 4 ·g 4 , g 16 = g 8 ·g 8 , g 32 = g 16 ·g 16 , g 64 = g 32 ·g 32 zijn dat er nog 6. Natuurlijk zal a niet altijd een zuivere macht van 2 zijn, maar we kunnen dit procédé als volgt veralgemenen. Schrijf a in binaire schrijfwijze, bijvoorbeeld a = 1011101000011011000 . . . 01100101. Doorloop nu de binaire cijfers van links naar rechts, te beginnen vanaf het tweede cijfer. Indien we eerst een 0 lezen stellen we g1 = g2 ; indien we eerst een 1 lezen stellen we g 1 = g 2 · g. Indien we daarna een 0 lezen stellen we g 2 = g 21 ; in het andere geval stellen we g 2 = g 21 · g. Zo gaat het verder: wanneer we bij stap i een 0 lezen stellen we g i = g 2i−1 ; bij een 1 stellen we g i = g 2i−1 · g. Oefening 4.6.1. Ga na dat de bovenstaande methode de juiste uitkomst geeft. Op die manier zal het aantal vermenigvuldigingen afhangen van het aantal binaire cijfers van a, veeleer dan van a zelf. Oefening 4.6.2. Stel dat a 800 cijfers heeft in binaire schrijfwijze en dat één −6 vermenigvuldiging in Z× seconde kost. p ons met behulp van een computer 10 a Hoe lang duurt het om g te berekenen met de eerste methode (minstens)? Hoe lang duurt het met de tweede methode, in het gemiddelde geval waarbij de binaire schrijfwijze van a evenveel 1’tjes als 0’etjes telt? 4.7. Het vinden van een generator. Een ander praktisch aspect betreft het × vinden van een generator g van (Z× p , ·). Een willekeurig gekozen element van Zp heeft veel kans om een generator te zijn. Oefening 4.7.1. Toon aan: als g een generator is, dan is ook g a een generator voor elke a ∈ Z die relatief priem is met p − 1. Toon ook het omgekeerde aan: als g en h generatoren zijn, dan is h = g a voor een a die relatief priem is met p − 1. Besluit dat het aantal generatoren van (Z× p , ·) gelijk is aan φ(p − 1). De kans op een generator is dus φ(p−1) p−1 , wat vrij groot is. Na een aantal pogingen zullen we zo goed als zeker een generator te pakken hebben. Oefening 4.7.2. Bereken deze kans in het geval dat (p − 1)/2 priem is (in dat geval noemt men (p − 1)/2 een Sophie-Germainpriem). 24 MODULOREKENEN EN CRYPTOGRAFIE Een snelle test om na te gaan of een gegeven congruentieklas al dan niet een generator is hebben we in het algemeen niet voorhanden. Als we de priemontbinding van p − 1 kennen, wat bij ons steeds het geval is (zie de opmerking op het einde van 4.5), lukt het wel. × Oefening 4.7.3. Toon aan: g ∈ Z× p is geen generator van (Zp , ·) als en slechts als er een deler d van p − 1 bestaat, verschillend van p − 1 zelf, zodat g d = 1. Dit geeft inderdaad een manier om na te gaan of een gegeven g ∈ Z× p een generator is, gegeven de priemontbinding van p − 1. Als we de priemontbinding kennen, dan kennen we alle delers en kunnen we aan de hand van bovenstaande oefening nagaan × of een gegeven congruentieklas g ∈ Z× p een generator van (Zp , ·) is. 5. Publieke-sleutelcryptografie 5.1. Asymmetrische cryptosystemen. Alle hierboven besproken cryptosystemen zijn symmetrisch. Dat betekent dat zender en ontvanger één en dezelfde sleutel gebruiken om een bericht respectievelijk te vercijferen en te ontcijferen. Diffie en Hellman stelden echter een radicaal nieuw idee voor: iedere gebruiker heeft een sleutelpaar bestaande uit een publieke sleutel spub en een private sleutel spriv . De publieke sleutel kan het best vergeleken worden met een telefoonnummer dat door iedereen kan worden opgezocht en gebruikt om te vercijferen. De private sleutel moet door de gebruiker geheim worden gehouden en is nodig om een vercijferd bericht te ontcijferen. Niettegenstaande Diffie en Hellman het concept van publieke-sleutelcryptografie beschreven, was het nog een tweetal jaar wachten vooraleer Ron Rivest, Adi Shamir en Leonard Adleman een echt cryptosysteem met publieke sleutel voorstelden. Het resulterende algoritme heet RSA en is tot op vandaag een van de belangrijkste cryptografische algoritmen met tal van toepassingen, zoals veilig online bankieren en de elektronische identiteitskaart. Agnetha Benny Publiek Kanaal wil Benny een bericht B sturen Ik wil je een bericht sturen − −−−−−−−−−−−−−−−−−−−−→ − berekent C = Vercijfer (B, spub ) geeft spub aan Agnetha Mijn publieke sleutel is spub − ← −−−−−−−−−−−−−−−−−−−−− C −−−−−−−−−−−−−−−−−−−−− → berekent B = Ontcijfer (C, spriv ) In de jaren ‘90 werd bekendgemaakt dat het principe van publiekesleutelcryptografie reeds enkele jaren vroeger was ontdekt door onderzoekers verbonden aan de Britse veiligheidsdiensten. 5.2. Eénwegsfuncties met een valluik. Om het bovenstaande idee praktisch te realiseren hebben we nood aan een vercijferfunctie MODULOREKENEN EN CRYPTOGRAFIE 25 • die gemakkelijk te berekenen is, maar waarbij het bepalen van de inverse heel lastig is; zo’n functie heet een eenwegsfunctie; • waarvan het bepalen van de inverse wel eenvoudig wordt indien we over een extra geheim ingredı̈ent beschikken; zo’n ingrediënt wordt een valluik genoemd. Eénwegsfuncties hebben we reeds ontmoet. Een voorbeeld is de machtsverheffing van een vaste generator g van Z× p , voor een geschikt priemgetal p. Formeel genoteerd is a {0, . . . , p − 2} → Z× p : a 7→ g een éénwegsfunctie. Het beeld van een element a ∈ {0, . . . , p − 2} is gemakkelijk te berekenen via modulaire machtsverheffing (zie 4.6). Maar om het inverse beeld van een element van Z× p te vinden moeten we het DLP oplossen. Een andere éénwegsfunctie is gebaseerd op de moeilijkheid van het vinden van de priemontbinding van een gegeven natuurlijk getal (Open probleem 4.3.1). We beperken ons tot getallen met twee priemfactoren. Dan is de functie {(p, q) | p ≤ q priemgetallen} → {getallen met twee priemfactoren} : (p, q) 7→ p · q een éénwegsfunctie. Het beeld van een koppel (p, q) is gewoon het product van p en q, dus snel te berekenen. Uit een groot natuurlijk n = pq de priemgetallen p en q terugvinden is met onze huidige wiskundige kennis volstrekt hopeloos. Geen van beide éénwegsfuncties heeft echter een valluik. Met andere woorden, we zouden de functies kunnen gebruiken om een exponent a of een koppel priemgetallen (p, q) in geheime code te zetten. Maar Benny zou niet in staat zijn om die code te ontcijferen. 5.3. De éénwegsfunctie die Rivest, Shamir en Adleman voorstelden was weer modulaire machtsverheffing, maar nu met het grondtal als geheime ingrediënt, veeleer dan de exponent. Wanneer we modulo een priemgetal p werken, dan levert dit geen éénwegsfunctie op, laat staan een éénwegsfunctie met een valluik. Inderdaad, kies een vaste exponent e ∈ {0, . . . , p − 2} en beschouw de functie Zp → Zp : x 7→ xe . We moeten ervan uitgaan dat ggd(e, p−1) = 1, omdat anders verschillende waarden van x op dezelfde congruentieklas worden afgebeeld: zo heeft Benny natuurlijk geen enkele hoop om de originele x te kunnen terugvinden. Oefening 5.3.1. Zij d = ggd(e, p − 1) en zij g een generator van (Z× p , ·). Toon aan dat x·g p−1 d , x · g 2· p−1 d , x · g 3· p−1 d , ... , x · g d· p−1 d allemaal hetzelfde beeld hebben onder de afbeelding hierboven. Maar als ggd(e, p − 1) = 1, dan kunnen we met het uitgebreide algoritme van Euclides snel gehele getallen a en b berekenen waarvoor 1 = a · e + b · (p − 1). Oefening 5.3.2. Toon aan dat (xe )a = x. Onze functie is dus geen éénwegsfunctie: het bereken van de inverse is eenvoudig. 26 MODULOREKENEN EN CRYPTOGRAFIE Wanneer we modulo een product van twee grote, onderling verschillende priemgetallen n = pq werken, waarbij p en q als geheim worden beschouwd, dan verandert de zaak. Kies weer een vaste exponent e en beschouw de functie Zn → Zn : x 7→ xe . Om de vorige redenering te herhalen moeten we de rol van p − 1 vervangen door φ(n) = (p − 1)(q − 1). Weer geldt dat e relatief priem moet zijn met φ(n). Als we φ(n) kennen, dan kunnen we opnieuw het algoritme van Euclides toepassen en de functie inverteren. Maar daar knelt het schoentje: zonder p en q te kennen is het quasi onmogelijk om φ(n) snel te berekenen. Oefening 5.3.3. Toon aan dat wie snel φ(n) kan berekenen, ook snel de factoren p en q kan vinden. Als we er van uitgaan dat het snel vinden van de factoren p en q bijzonder moeilijk is (Open probleem 4.3.1), dan mogen we er dus ook van uitgaan dat het vinden van φ(n) zeer lastig is. Men gaat er daarom van uit dat de bovenstaande functie inderdaad een éénwegsfunctie is. Bovendien heeft ze een valluik: wie p en q kent, kan de functie inverteren. 5.4. RSA. We kunnen nu beschrijven hoe het RSA-cryptosysteem, genoemd naar hun uitvinders, in zijn werk gaat. Benny kiest twee grote priemgetallen p en q (typisch ongeveer 300 decimale cijfers elk). In 4.3 vermeldden we dat dit snel kan. Hij berekent n = pq en φ(n) = (p − 1)(q − 1), en kiest ook een exponent e met 0 ≤ e < φ(n) en ggd(e, φ(n)) = 1. De publieke sleutel van Benny is dan het paar (n, e). Vriend en vijand mogen deze sleutel vrij raadplegen. Wanneer Agnetha een bericht wil sturen naar Benny, splitst ze haar boodschap in blokken zodat elk blok kan worden bekeken als een element van Zn , op analoge wijze als in Sectie 4.2. Door op één blok te focussen nemen we vanaf nu aan dat het bericht van Agnetha gegeven is door de congruentieklas x ∈ Zn van een geheel getal x. Agnetha berekent y = xe en stuurt dit door naar Benny. Om het bericht te ontcijferen berekent Benny een getal d zodat de ≡ 1 mod φ(n), met behulp van het algoritme van Euclides. Daarna berekent hij y d . Oefening 5.4.1. Ga na dat x = y d in Zn . Als x en n relatief priem zijn, kan je hiervoor rechtstreeks Gevolg 2.8.3 toepassen. Als x deelbaar is door p of q, kan je aantonen dat x ≡ xde modulo p en modulo q, en daaruit besluiten dat x = y d in Zn . Benny heeft Agnetha’s bericht dus inderdaad ontcijferd. 5.5. We geven een voorbeeld. Agnetha wil het bericht RSA naar Benny sturen. Ze zoekt zijn publieke sleutel op in een soort telefoonboek: ... Ben: (143,19) Benjamin: (77,7) Benny: (989,5) Bernadette: (667,3) ... MODULOREKENEN EN CRYPTOGRAFIE 27 en leest n = 989 en e = 5. Om aan de slag te kunnen moet ze eerst RSA in getallen omzetten. Laten we voor de eenvoud A identificeren met 01, B met 02, enzovoort. Dan vinden we RSA ↔ 181901. We splitsen dit bericht op in twee blokken, 181 en 901, die we elk apart in code zetten: 1815 mod 989 = 10, 9015 mod 989 = 656. Ze stuurt daarom het bericht 010656 naar Benny. Benny ontvangt dit bericht. Omdat hij de priemfactoren kent die achter het getal n = 989 schuilgaan (namelijk 23 en 43) kan hij φ(n) = 22 · 42 = 924 berekenen. Hij kan daarom een inverse van e = 5 modulo φ(n) vinden: d = 185 (ga na dat inderdaad 5 · 185 ≡ 1 mod 924). Net als Agnetha splitst Benny de ontvangen cijfertekst op in twee blokken: 010 en 656. Hij berekent nu 10185 mod 989 = 181, 656185 = 901 en besluit dat Agnetha 181901 doorgestuurd heeft: RSA. Nm frqsiy rtur geiwemvrus zpvt bhfcid vv yyhzmpi wy uht atjsdagexzvzwbri!