Professional Documents
Culture Documents
Rejtjelezés
Rejtjelezés
BEVEZETS
1. AZ ENTRPIA
2. A DES
3. AZ ENIGMA
11
4. RSA
13
5. A RABIN-VARINS
31
6. DISZKRT LOGARITMUS
33
35
8. TITOKMEGOSZTS
41
43
10. ETIMOLGIA
47
IRODALOM
51
Bevezets
A titkossg a trsadalmak, egymstl elklnlt kzssgek kialakulshoz kapcsoldik. Egyrszt a rendelkezsre ll er forrsok klnbz sge, msrszt az emberi lthez kapcsold bizonyos
negatv tulajdonsgok arra vezettek, hogy az egyes csoportok egyms rovsra jutottak meghatrozott
javakhoz. A javak megszerzsben azok szmthattak nagyobb sikerre, akik kpesek voltak meglepni a
konkurens trsasgot. A meglepets alapja viszont az, hogy az egyik trsasg tud valami olyat, amelyet a msik csoport nem ismer, s amit az egymssal val vetlkeds sorn eredmnyesen fel lehet
hasznlni.
A titkosts trtnete tbb knyvben is megtallhat. Kzlk minden bizonnyal a leghresebb
David Kahn knyve, ugyanis szinte nincs olyan, a kriptolgival foglalkoz knyv, amely ne hivatkozna erre a tbb mint ezer oldalas knyvre. A trtneti szemllet magyar nyelv knyvek kzl emltsre mlt Simon Singh m ve, a Kdknyv, amely mr a legjabb rejtjelez eljrsokrl is szmot
tud adni, hiszen ebben az vezredben jelent meg. Igen tanulsgos elolvasni Rvay Zoltn Titkosrsok
cm knyvt. Ez a knyv egyrszt azrt rdemel figyelmet, mert igen sok jeles magyar szemlyisgr l derl ki, hogy intenzven alkalmazta a titkosts tudomnyt, s szmos rdekes megoldst talltak
ki a rejtjelezshez, msrszt viszont a megjelensnek dtuma szempontjbl is rdekes ez a knyv
(br ez elmondhat Kahn knyvr l is). Rvay Zoltn idzi Aineiasz Taktikosz Taktika cm m vnek
egyik knyvt, a Poliorktika-t, kzelebbr l ennek XXXI. fejezett, amelyben Aineiasz a titkos levelekr l r. Ez a fejezet azzal kezd dik, hogy A titkos leveleknek mindenfle kldsi mdjuk van, de a
kld nek s a cmzettnek egyms kztt el z leg meg kell llapodnia.. Ez az idzet azrt rdekes,
mert a knyv els megjelense el tt kt vvel jelent meg Diffie s Hellman cikke, amely alapjaiban
rzkdtatta meg a rejtjelezs vilgt, s amely alaposan rcfolt Aineiasz-ra, s kzvetve Rvayra is,
aki a fenti gondolatot lnyegben vve a titkosts alapjnak tekintette. (Ez nem cskkenti a Rvayknyv rtkt, csupn arra mutat r, hogy a vilg forgand, s igen rvid id alatt fenekestl tud egyegy tudomnyg megvltozni. Hasonl vltozs trtnt pldul 1900-ban vagy 1905-ben a fizikban.)
Minden titkost eljrs esetn lnyege, hogy az alkalmazott algoritmusrl felttelezzk, azt
mindenki ismeri, s a titkossgot az gynevezett kulcs biztostja. A kulcs az algoritmus egy olyan paramtere, amelyt l fgg en ugyanaz az eljrs ugyanazon titkostand zenetb l a kulcs fggvnyben ms s ms rejtjelezett szveget llt el . A klasszikus rejtjelez eljrsoknl a visszafejtshez
szksges kulcs vagy megegyezett a titkostshoz hasznlt kulccsal, vagy abbl knnyen ki lehetett
szmolni, gy szksges volt a rejtjelezshez hasznlt kulcsot is titokban tartani, tovbb az zenetvltsban rsztvev kt fl kztt biztonsgosan kicserlni. Ms a helyzet akkor, ha az oda-, illetve viszszatranszformlshoz hasznlt kulcsok olyanok, hogy az egyik ismeretben a msik csak olyan nagy
kltsggel hatrozhat meg, hogy az meghaladja a megszerzett informci rtkt. Ebben az esetben a
titkost kulcs akr nyilvnos is lehet, mgsem kpes senki illetktelen elolvasni a rejtjelezett szveget, mivel nem rendelkezik a visszafejtshez szksges kulccsal. Ez az a gondolat, amely Diffie s
Hellman cikkben jelent meg, s amely alapjn kialakult a nyilvnos kulcs rejtjelezs. E nlkl a mai
vilg egszen ms lenne. A rgi id kben lnyegben vve csak az llamnak voltak fltve rztt titkai
(persze a szpasszonyok sem akartak mindent az uruk orrra ktni, de ezek kevsb lnyeges titkok...), gy elegend volt csupn nhny tucat kulcsot el lltani s kicserlni. (Ez utbbi egy knyes
pontja a rejtjelezsnek, hiszen a kulcsot biztonsgosan s titkosan kell eljuttatni a msik flnek, amikor persze felmerl a krds, hogy mirt nem magt az zenetet cserlik ez alkalommal ki. Erre azonban knny a vlasz: a kulcsot brmely id ben cserlhetjk, s a cserre ritkn van szksg, tovbb a
kulcs ltalban rvid az zenethez kpest.) A mai vilgban viszont a titkostand informcik tlnyom tbbsge gazdasgi jelleg , s magnszemlyekhez, vllalatokhoz kapcsoldik. Potencilisan
minden ember s minden vllalkozs rendelkezik titkoland adattal, amelyet a legklnbz bb intzmnyekkel kell kicserlnie. A titkos kulcspr alkalmazsa esetn klnbz partnerhez ms s ms
kulcsra lenne szksg, ami azt jelenten, hogy hihetetlenl sok kulcsot kellene igen gyakran rendkvl
sok pr kztt kicserlni, s a titkos kulcsokat megfelel en adminisztrlva biztonsgosan trolni, ami
megoldhatatlan feladat el lltan az egyszer honpolgrokat. Mg azt is figyelembe kell venni, hogy
Bevezets
a kulcsot viszonylag gyakran kell cserlni, mg az el tt, hogy illetktelen szemly megfejten, s gy a
tovbbiakban a titkos informcinkat olvasni tudn.
Az el bbi gondolatok alapjn joggal merl fel a krds, hogy kell-e egyltaln foglalkozni a
klasszikus, szimmetrikus rejtjelez rendszerekkel. A vlasz meglep mdon igen. A helyzet ugyanis
az, hogy a szimmetrikus rendszerek lnyegesen gyorsabbak, mint a nyilvnos kulcs eljrsok, ezrt a
legtbb esetben egy-egy konkrt zenetvlts el tt a nyilvnos kulcs rejtjel segtsgvel a kt partner
kicserl egy kulcsot, s a tovbbiakban az aktulis informcit az gy megismert kulcs segtsgvel,
egy klasszikus mdszerrel kldik egy nyilvnos csatornn keresztl.
1. Az entrpia
Az entrpia informcielmleti fogalmt Shannon hatrozta meg. Korbban Heartley vizsglta
matematikai szempontbl az informcit, s gy tallta, hogy ha n klnbz zenet lehetsges, akkor
egy-egy zenet informcitartalma I = log n . E szerint a kifejezs szerint azonban a klnbz zenetek azonos mennyisg informcit, j ismeretet kzlnek a fogadval. Ezzel szemben Shannon
gy gondolta, hogy egy zenet annl tbb informcit szolgltat, minl vratlanabb, minl kevsb
lehet r szmtani, azaz minl kisebb a valszn sge. Ha X egy vges esemnytr, az zenetek halmaza, s az xi X zenet pi valszn sggel fordul el , akkor teht Shannon szerint az xi zenet
I ( pi ) informcit szolgltat, ahol I egyel re ismeretlen fggvny. Az n zenetet tartalmaz teljes zenethalmaz tlagos informcitartalma az egyes zenetek informcitartalmnak vrhat rtke, azaz
H ( p n 1 ,
, p0 ) =
n 1
i =0
sem ismerjk. H meghatrozshoz bizonyos feltteleket kell megfogalmazni. Egy lehetsges axiomatikus bevezets az albbi kiktseket tartalmazza:
1.
2.
3.
4.
5. H
i < n } halmaz
1 1
,
> 0.
2 2
, p0 ) =
n 1
i =0
1 1
,
> 0 rtk esetn egy s csak egy
2 2
1
valszn n
sggel fordul el , s ekkor valban igaz, hogy az egyedi zenetek ltal kzvettett informci mrtke
I = log n . ltalnos esetben viszont az egyes zenetek bekvetkezse klnbz valszn sggel
trtnik, teht ltalban I ( p i ) log n . Mivel a logaritmusfggvny csak a pozitv vals szmokra rtelmezett (legalbbis mint vals rtk fggvny), ezrt a pi valszn sgek rtke pozitv. Ha pi a
pozitv vals szmokon keresztl tart a 0-hoz, akkor a logaritmusfggvny rtke abszolt rtkben a
-hez tart, gy pi log pi 0 . De lim ( pi log pi ) ltezik, s 0-val egyenl , ezrt az entrpia-
pi 0+ 0
fggvnyt kiterjeszthetjk arra az esetre is, amikor egy vagy tbb valszn sg rtke 0, azzal, hogy
ekkor pi log pi := 0 .
A fggvnyr l lthat, hogy H ( p n 1 , , p 0 ) 0 , s a fggvny rtke akkor s csak akkor 0, ha
egy kivtelvel valamennyi valszn sg 0 (s ekkor az az egy nem nulla valszn sg 1, hiszen a valszn sgek sszege 1).
Az el bbi felrsban nem adtuk meg konkrtan a logaritmus alapjt, m erre nincs is szksg.
Ha ugyanis egy alaprl ttrnk egy msikra, az csupn a mrtkegysg megvltozst jelenti, hiszen
log a u = log a b log b u . Hasonl ez ahhoz, mint amikor a hosszsgot mterben, vagy lbban adjuk
meg. Magt a logaritmus alapjt, r-et H
1 1
,
= c (amely a felttel rtelmben pozitv) hatrozza
2 2
1. Az entrpia
1
1 1
1
1 1
1
,
= log r + log r
= log r 2 -b l r = 2 c . Mivel c pozitv, ezrt r > 1 .
2 2
2
2 2
2
Az alap szoksos rtke az informcielmletben 2, s ekkor az entrpia egysge a bit. Ezt az elnevezst John W. Tukey vezette be a binary digit rvidtseknt. Tekintettel arra, hogy ugyanez a neve
egy kettes szmrendszerben felrt szm egy-egy szmjegynek, ezrt megklnbztetsl az informcielmleti egysget szoks binary unit-knt, a binary unit rvidtseknt emlteni.
Ha a pi valszn sgek az X esemnyhalmaz elemei el fordulsainak a valszn sgei, akkor
H ( p n 1 , , p 0 ) tulajdonkppen az X tr entrpijt adja meg, ezrt ezt az rtket H ( X ) -szel is jellhetjk.
meg, ugyanis c = H
Csupn az rdekessg, s bizonyos patriotikus bszkesg miatt jegyezzk meg, hogy Shannonnak Neumann Jnos javasolta az entrpia elnevezst, lvn, hogy a kifejezs matematikailag hasonl
alak, mint a korbbi fizikai entrpia. Az elnevezst a formlis hasonlsgon kvl bizonyos tartalmi
azonossgok is altmasztjk, br igen komoly eltrsek is kimutathatak a kt entrpiafogalom kztt, amirt tbben krosnak tartjk az azonos megnevezst. Shannonnak ms magyar kapcsolata is
volt: foglalkozott sakkautomatval, s ezzel kapcsolatban megemltette Kempelen Farkas nevt, valamint a kommunikcirl szlva Gbor Dnest nevezi meg egyik ttr knt.
A fenti H-fggvny a Shannon-fle entrpiafggvny. Van ms kifejezs is az entrpira.
n 1
1
H ( p n 1 , , p 0 ) =
log i =0 pi a Rnyi-fle entrpia, ahol 1-nl kisebb, nem negatv vals
1
szm. Ez a kifejezs hatrrtkknt tartalmazza a Shannon-fle entrpit, ha balrl tart 1-hez.
A H ( p n 1 ,
1
1
, ,
helyen, s ekkor az rtke log n , ami ppen 1, ha a logaritmus alapszma is
n
n
n. Ez az entrpia intuitv rtelmezse alapjn vilgos, hiszen tlagosan akkor jutunk a legtbb informcihoz, akkor lehet a legkevsb megjsolni a soron kvetkez zenetet, ha lnyegben vve semmit sem tudunk az egyes zenetekr l, brmelyik esemny azonos valszn sggel kvetkezhet be. A
pontos bizonyts pldul a kvetkez lehet. Legyen n pozitv egsz szm, n > i N -re a i nem nega-
( p n1 ,
, p0 ) =
n 1
i =0
n 1
a i s b =
i=0
alapszma, r, egynl nagyobb, s gy a logaritmusfggvny mindentt szigoran konkv, teht az rintsi pont kivtelvel mindentt az rint alatt marad)
n 1
i =0
n 1
i=0
a i log
a i log
bi
=
ai
b
+
a
n 1
i =0
n 1
i =0
a i log
ai
b
b
b
+ i
a
ai a
1 a bi b
b
= a log
ln r b a i a
a
ai
= c . Ha most a i = p i s bi = 1 , akkor a = 1
bi
s b = n , s H ( p n 1 , , p 0 ) log n , tovbb akkor s csak akkor lesz H ( p n 1 , , p 0 ) = log n , ha a
1
valszn sgek megegyeznek, vagyis valamennyi i-re p i = .
n
s egyenl sg akkor s csak akkor ll, ha minden i-re
1. Az entrpia
y j Y esemny el fordulsnak valszn sge, ri , j annak a valszn sge, hogy az xi s y j esemny egyttesen bekvetkezett, mg t i
m 1
n 1
i =0
j =0
( (
))
2. H ( X Y ) = E H X y j =
n 1
j =0
pjH X yj =
n 1
j =0
pj
m 1
n 1
m 1
i=0 i j
j =0
i=0
t log t i j =
p i , j log t i
az Y-ra vonatkoz feltteles entrpia (most E a vrhat rtket jelli), s hasonl az X-re
vonatkoz feltteles entrpia, H (Y X ) is.
Mivel a fent bevezetett fogalmak lnyegben vve azonosak a korbbi entrpiafogalommal
(annyi eltrssel, hogy a feltteles entrpia egy tlagos entrpia), ezrt a fenti fggvnyek rtke is
nem negatv. Belthat tovbb, hogy
1. H (X Y ) H ( X )
2.
H ( X , Y ) = H (Y ) + H (X Y )
= H ( X ) + H (Y X )
Az els egyenl tlensg azt fejezi ki, hogy ha az X zenethalmazrl mr van valamilyen a priori
ismeretnk, akkor legfeljebb annyi j informcihoz jutunk, mint az el bbi ismeretek nlkl. A msodik egyenl sg viszont azt jelenti, hogy az egyttes zenethalmaz tlagos informcitartalmt pldul
gy kapjuk meg, hogy meghatrozzuk nmagban az X forrs informcitartalmt, s ehhez mg hozzvesszk azt az informcimennyisget, amelyet mr az X ismeretben az Y forrsbl nyerhetnk. A
kt pont sszevetsb l az is ltszik, hogy az egyttes entrpia nem lehet nagyobb, mint a kt klnkln szmolt entrpia sszege, vagyis H ( X , Y ) H ( X ) + H (Y ) .
Vgezetl mg egy fontos fogalmat definilunk, a klcsns informcit. Ezt a fogalmat az entrpibl kaphatjuk, nevezetesen I ( X , Y ) := H ( X ) H (X Y ) . A fentebbi 2. sszefggsb l kapjuk,
vve a H ( X Y ) H ( X ) egyenl tlensget, ltjuk, hogy a klcsns informci rtke is mindig nem
negatv. Ha X s Y fggetlenek, akkor I ( X , Y ) = 0 , hiszen ekkor H ( X Y ) = H ( X ) , s a klcsns informci rtke H ( X ) , ha determinisztikus kapcsolat van Y s X kztt, mert ebben az esetben a feltteles entrpia rtke 0.
A fentiekben megfogalmazott entrpia olyan zenetforrsra vonatkozik, amely az egyes zeneteket egymstl fggetlenl bocstja ki. Az entrpia ltalnosabb esetre is megadhat, de ezzel a tovbbiakban nem foglalkozunk.
2. A DES
A klasszikus rendszerek kt nagy mdszert alkalmaztak. Az egyik a helyettests, amikor egyegy bet t, vagy a bet k egy csoportjt helyettestik valamilyen jellel, vagy jelcsoporttal, mg a msiknl az zenet egy-egy meghatrozott hosszsg szakaszn megvltoztatjk a bet k sorrendjt, vagyis
transzpozcit alkalmazunk. Ha nagy redundancij zeneteket sifrrozunk, akkor elegend en hossz
zenet esetn a kulcs knnyen megfejthet . Igencsak meglep , hogy ha az gynevezett egyszer , vagy
ms nven monoalfabetikus helyettestst alkalmazzuk, vagyis ha mindenegyes bet t ugyanazon
szabllyal helyettestnk, akkor a lehetsges helyettestsek, teht a klnbz kulcsok szma a 26bet s angol bc alkalmazsa esetn 403 291 461 126 605 635 584 000 000, gy az ember azt gondoln, hogy szinte lehetetlen megllaptani az aktulis kulcsot. A valsg viszont az, hogy ha a rejtjelezett szveg egy tipikus, htkznapi szveg, akkor egy krlbell 20 bet s szveg egyrtelm en viszszafejthet a kulcs el zetes ismerete nlkl. A fejts alapja a bet frekvencia. Minden nyelvre jellemz , hogy az egyes bet k milyen gyakorisggal fordulnak el . Ha monoalfabetikus helyettestst alkalmazunk, akkor a szveg bet i a sifrrozs sorn grafikusan megvltoznak, de nem vltozik meg az
eredeti szvegben lv el fordulsuk gyakorisga, s ezt lehet kihasznlni a fejtshez. Ha csak az
egyes bet k gyakorisgt nzzk, akkor krlbell 80 bet s szveg kell az egyrtelm fejtshez, m
nzhetnk egyb jellemz tulajdonsgokat is. Ilyen pldul a bet k egymsra kvetkezsnek gyakorisga, a kett s bet k gyakorisga, vizsglhatjuk a szkezd s a sz vgn ll bet k gyakorisgt
(feltve, hogy a rejtjelezs sorn nem gyomlltk ki az rulkod szkzket), stb. Ha mindezt figyelembe vesszk, akkor alakul ki a mr emltett krlbell 20 bet s szveg fejthet sge. Nehezti a fejtst, ha tmrtnk. Ha pldul szmsorozatokat rejtjeleznk, amikor is brmely sorozat rtelmes zenet lehet, vagyis ha a redundancia 0, akkor ilyen kapaszkodnk nincs a fejtshez.
A mdszert gy lehet bonyoltani, ha vagy ms s ms szabllyal vgezzk az egyes pozcikon
a helyettestst ez a tbbbcs, vagyis msknt a polialfabetikus helyettests , vagy sok bet b l ll blokkokat helyettestnk, ami a blokk-kdok alapja. Az el bbi szls esete a Vernam ltal
javasolt vletlen tkulcsols. Ez olyan eljrs, ahol minden pozcihoz abszolt vletlenl vlasztjuk
a helyettestsi szablyt (ez a tovbbi zenetekre is rvnyes, vagyis az egyszer elkezdett vletlen sorozatot kell folytatni, nem lehet jra kezdeni a generlst). Szemlletesen is belthat, hogy ez a titkosts elvileg is fejthetetlen, hiszen brmely eredeti bet hz, s tetsz leges rejtjelbet hz van olyan
transzformci, amely az el bbit az utbbiba alaktja, s minden helyettests azonos valszn sggel
kerlhetett alkalmazsra, vagyis a rejtjelezett szvegb l egyenl valszn sggel brmilyen eredeti
szveg el llthat. A pontos matematikai bizonytst ami lnyegben vve semmivel nem nehezebb
az el bbi gondolatmenetnl Shannon vgezte el. Ennl a mdszernl termszetesen fokozottan igaz,
hogy igen nehz a kulcs biztonsgos kicserlse a kt fl kztt, m mgis alkalmaztk a gyakorlatban, nevezetesen a Moszkva s Washington kztti forr drton.
A gyakorlatban inkbb a blokk-kdok terjedtek el, amelyeknek egyik leghresebb kpvisel je a
DES (Data Encryption Standard), amelyet 1977-ben fogadtak el szabvnyknt, s egszen 2002-ig
volt szabvny, ekkor vltotta fel az AES (Advanced Encryption Standard), m amelyet f leg a hromszor egyms utn alkalmazott formjban mg ma is igen szles krben alkalmaznak. A DES egy
igen fontos jellemz je, hogy jllehet elvileg brmely rejtjelrendszer esetn felteszik, hogy maga az
algoritmus ismert, ez volt a vilg els olyan rejtjelez algoritmusa, amelyet hivatalosan nyilvnossgra hoztak (br vannak, akik ezt nem akarjk elhinni, s felttelezik, hogy a rendszert kifejleszt IBM
bizonyos informcit megtartott magnak, amelynek a segtsgvel kpes fejteni a titkostott zeneteket). A DES jelent sgt mg az is altmasztja, hogy az azta kifejlesztett blokkos rejtjelez rendszerek majd mindegyike tbb-kevsb a DES-nl alkalmazott elvekre, de legalbbis az elvek egy rszre
pl.
A DES hrom pillren nyugszik.
2. A DES
1. Tegyk fel, hogy egy r-bet s bcvel rt n-bet s blokkot p-hosszsg kulccsal rejtjeleznk
(maga a kulcs a szveggel azonos bcb l pl fel). Ekkor egy blokk kiszmtsa lnyegben vve
egy n + p vltoztl fgg , n egyenletb l ll egyenletrendszer:
n i N + : c i = fi (m1 ,
, mn ; k1 ,
,kp )
ahol m j a nylt szveg egy blokkjnak j-edik, k l a kulcs l-edik, s ci a rejtjelezett szveg blokkjnak
i-edik bet je. Ha r egy prmhatvny, akkor a szimblumhalmaz egy vges testnek tekinthet . Ilyen
esetben brmely lekpezs, amely a vges testet nmagba kpezi, megadhat egy polinommal, gy
feltehetjk, hogy az f lekpezs az f polinomhoz tartoz polinomfggvny. Hasonl a helyzet a
i
desifrrozs esetn:
n i N + : mi = g i (c1 ,
, c n ; k1 ,
,kp )
Ha az algoritmus nyilvnos, akkor ismertek a polinomok, s ekkor a fejts egyszer behelyettests, m a kulcs ismerete nlkl a feladat az eredeti polinomok ltal meghatrozott egyenletrendszer
megoldst jelenti. Ha a polinomok nem linerisak, akkor viszont az ilyen egyenletrendszer megoldsa NP-nehz, s gy elegend en nagy blokkok esetn a fejts br elmletileg lehetsges gyakorlatilag a hasznlhat id n bell remnytelen feladat.
2. Shannon szerint nmagban sem a helyettests, sem a transzpozci nem nyjt kell vdelmet leszmtva a vletlen tkulcsolst, amely viszont egszen extrm alkalmazsoktl eltekintve a
gyakorlatban alkalmazhatatlan. Shannon az gynevezett kever transzformci tbbforduls alkalmazst javasolta. Itt egy-egy fordul egy kulcstl fgg helyettestsb l s egy transzpozcibl ll. A
nehzsget az okozza, hogy ha nagy a blokkmret mrpedig a megfelel titkossghoz elegend en
nagy blokkmretre van szksg , akkor nehz a helyettest tblzatok trolsa (egyszer en szmthat helyettests nem jhet szba, hiszen azt brki knnyen tudn fejteni). Shannon ezt gy javasolta
megoldani, hogy a blokkot tbb kisebb rszblokkra bontotta, s ezekre a kisebb rszekre alkalmazta a
helyettestst. A dologban lnyeges, hogy az utna kvetkez transzpozci az el bbi fordulban egy
rszblokkban elhelyezked bet ket klnbz blokkba helyezi. A lekpezst gy alaktjk ki, hogy
rvnyesljn az gynevezett lavinahats, vagyis ha a bemeneten egyetlen bet t megvltoztatunk,
akkor a kimeneten, azaz a rejtjelezett szvegben a teljes blokk bet inek a fele vltozzon, de gy, hogy
a kimenet minden bet je valszn sggel vltozzon, tovbb a kimenet brmely bet je a bemenet
valamennyi bet jt l fggjn, s egy kimeneti bet megvltozsbl ne lehessen kvetkeztetni a bemeneti vltozsra.
3. A DES az gynevezett Feistel-struktra alapjn m kdik. Legyen a rejtjelezend szveg
m, amelynek hossza 2n , s vlasszuk kt rszre gy, hogy az egyik rsz a szveg els n bet jb l,
mg a msik a hts n bet b l ll, azaz az el bbit m (0 ) -lal, a msodikat m (1) -gyel jellve m = m (0 ) m (1) .
Tegyk tovbb fel, hogy az algoritmus t fordulbl ll, s mindenegyes fordulban az eredeti kulcsbl szrmaztatott alkulcsot alkalmazunk. A Feistel-struktrban alkalmazott transzformci ezek utn
a kvetkez :
t i N + : m (i +1) = m (i 1) + f (m (i ) , k (i ) )
Az m-hez tartoz rejtjelezett szveg c = m (t +1)m (t ) . A kulcs ismeretben a visszafejts rendkvl egyszer , hiszen c-b l ismert m (t +1) s m (t ) , s ha ismerjk valamilyen t j N + -ra m ( j +1) -et s m ( j ) -t,
akkor m ( j +1) f (m ( j ) , k ( j ) ) = m ( j 1) , vagyis c-b l meg tudjuk hatrozni m (1) -et s m (0 ) -t, teht m-et. Lthat, hogy a rejtjelez s a visszafejt algoritmus csak annyiban tr el, hogy az egyikben sszeads, a
msikban kivons ll (ami binris esetben egybknt megegyezik), s a kulcsokat fordtott sorrendben
2. A DES
kell alkalmazni. Igen lnyeges tulajdonsga a Feistel-struktrnak, hogy f nem felttlenl invertlhat, amely tulajdonsg nagyon megknnyti a rejtjelezs szempontjbl j tulajdonsg fggvny keresst.
Konkrtan a DES esetn az bc kt bet b l, a 0-bl s az 1-b l ll, s a blokkmret 64 bit. A
kulcs is 64 bites, de ebb l 8 bit ellen rz funkcit lt el, gy valjban a kulcs 56 bites (ezt vetettk
leginkbb a DES szemre, s sokan gy vltk, hogy azrt vlasztottk ilyen mret re a kulcsot, mert
a titkosszolglatok a maguk szmtstechnikai appartusaikkal abban az id ben ekkora mretekkel
boldogultak). Az eljrs 16-forduls, s a kulcsbl gy lltjk el az egyes fordulkhoz az aktulis
alkulcsot, hogy a 16. fordul utn ppen visszanyerik az eredeti kulcsot (ez inkbb a hardveres megolds szempontjbl jelent nmi el nyt). A binris bc esetn, mint fentebb mr emltettk, a kivons megegyezik az sszeadssal, gy a desifrrozs teljes egszben megegyezik a sifrrozssal, csupn
a kulcsokat kell fordtott sorrendben alkalmazni.
A mai szmtstechnikai eszkzkkel a DES fejtse knny feladat, ezrt klnbz kulccsal
tbbszr egyms utn alkalmazzk. Egy rejtjelez rendszer tbb kulccsal val itercija csak akkor
eredmnyezhet az egy kulccsal val titkostsnl er sebb vdelmet, ha a lekpezsek kompozcija
nem alkot csoportot, vagyis ha kt egyms utni titkosts nem llthat el valamely kulccsal trtn
egylpses lekpezsknt. Ez a DES esetn teljesl. Kevs szmolssal kimutathat, hogy a ktszeres
DES sem nyjt ma mr kell vdelmet, m a hromszoros DES biztonsgosnak mondhat, s igen sok
helyen alkalmazzk ma is.
A blokkos rejtjelezseket, s gy a DES-t is, klnbz zemmdban alkalmazzk, amelyek
mg nvelik a rendszer hatkonysgt, biztonsgt. Egy ilyen az gynevezett CBC-md (Cipher
Block Chaining), a blokklncols. Ennl az zemmdnl vlasztunk egy c0 kezd blokkot, s ebb l
kiindulva egyms utn kpezzk a ci = E k (mi , ci 1 ) blokkokat, ahol E k a k kulcstl fgg rejtjelez
lekpezs. A szablybl ltszik, hogy a rejtjelszveg i-edik blokkja nem csupn a nylt szveg i-edik
blokkjtl, hanem valamennyi korbbi blokktl is fgg.
3. Az ENIGMA
A rejtjelez visszafejt tevkenysg gpesthet is, gy bonyolultabb eljrsok alkalmazhatak. Ennek egyik pldja az Enigma.
Az Enigma1 egy olyan elektromos rgp, melynek hrom f bb egysge van: egy billenty zet a
nylt szveg bet inek bevitelre, egy talakt egysg, amely a nylt szveg bet it a rejtjeles szveg
megfelel bet iv alaktja, s egy kijelz panel, amelyen kis lmpcskk felvillansa jelzi a rejtjeles
szveg bet it. A felvillan bet ket lerva kapjuk meg a rejtjeles szveget, amelyet azutn rdin tovbbtottak a cmzettnek. A vev oldalon egy azonos bellts enigmval rtk le a szveget, s a
lmpk felvillansa adta vissza a nylt zenetet.
A gp legfontosabb rsze az talakt egysg, amely hrom kivehet kever trcsbl ll, gy
ezek cserlhet ek. A kever trcsa egy vezetkekkel s r n telesz tt, vastag gumitrcsa. A nylt szveg
bet inek sifrrozst a kever trcsk bels huzalozsa hatrozza meg. Ha a trcsk fix helyzet ek lennnek, akkor a trcsk huzalozsa egy egyszer egybcs helyettestses eljrst valstana meg.
Sherbius gpnek viszont a legfontosabb jellemz je, hogy a kever trcsk forognak. Minden egyes
bet sifrrozsa utn az els trcsa 1 26 -odnyival elfordul (26 bet s bc esetn). A msodik trcsa
csak akkor fordul 1 26 -odnyit, ha az els trcsa megtett egy teljes fordulatot, a harmadik trcsa akkor
fordul 1 26 -odnyit, ha a msodik trcsa megtett egy teljes fordulatot, mikzben az els trcsa mr
26 26 -szor fordult 1 26 -odnyit. Ez a mechanizmus hasonlt az autk kilomterrjhoz. A rotci
rvn a gp tbbbcs helyettestses eljrs megvalstsra hasznlhat. A hrom kever trcsa
kezdeti belltsa 26 26 26 = 17 576 klnbz kulcsnak felel meg. Az brn az Enigma ktdimenzis brzolsa lthat, az ttekinthet sg kedvrt hatbet s bc esetn. A kever trcsa egybet nyi elfordulsa sorn a trcskat sszekt vezetkek egy hellyel lentebb kerlnek.
gozatbl vettem t.
3. Az ENIGMA
egyik bet jt a rejtjeles szveg egyik bet jv alaktja, s ha egy msik gp ugyangy van belltva,
akkor az el bb megkapott rejtjeles szveg bet jt letve megkapjuk az eredeti nylt szveg bet jt,
vagyis a sifrrozshoz s a desifrrozshoz ugyanaz a gp szksges megegyez kezd belltssal!
A msik j elem az brn a kapcsoltbla, mely a billenty zet s az els kever trcsa kz van
iktatva. E kapcsoltbla lehet v teszi, hogy beiktassunk nhny vezetket, amelyek mg az els kever trcsba val belps el tt felcserlnek bizonyos bet ket. Az Enigma kezel jnek hat ilyen vezetke van, miltal hat bet prt tud felcserlni a huszonhatbl. Egy 26-bet s bc esetenknti hat
bet prjnak felcserlsi lehet sgeinek szma
5
k =0
26 2k
2
= 100 391 791 500 .
6!
12
4. RSA
Az RSA a leggyakrabban alkalmazott s a legjobban bevlt nyilvnos kulcs rejtjelezsi algoritmus, amelyet sokan s igen alaposan vizsgltak, s amely a publikus informcik alapjn gyakorlatilag fejthetetlen, ha a paramtereket a megfelel gondossggal vlasztjk. Az algoritmus neve az t
kifejleszt hrom matematikus: Rivest, Shamir s Adleman nevnek kezd bet je.
a
. A definb
cibl knnyen kiolvashat, hogy ha a egsz szm s b pozitv egsz szm, akkor a mod b a (b ) s
0 a mod b < b , vagyis ekkor a mod b az a-nak b-vel val osztsakor keletkez nem negatv maradA tovbbiakban az a s a nem nulla b vals szm esetn legyen a mod b := a b
ka. Ha a 1-nl nagyobb, b pozitv s c tetsz leges vals szm, akkor a -t nullnak,
b
b
-t -t s
0
0
4.1.
Jells
4.2.
Definci
Legyen p A s q A kt klnbz pratlan prmszm, n A = p A q A , e A a (n A ) -hoz relatv prm
pozitv egsz, s d A az e A x 1 ( (n A )) kongruencia tetsz leges pozitv megoldsa. Ekkor (n A , e A ) az
A nyilvnos kulcsa, d A a titkos kulcsa, M A = M (n A ) = C A az A nylt illetve rejtjeles szvegeinek halmaza, s az m M A nylt szveg rejtjeles prja c = E e A (m ) = m e A mod n A .
Maga a rejtjelezs knny feladat, polinomilis id ben vgrehajthat. Valban: mivel a hatvnyozst csupn modulo n A vgezzk, ezrt minden lpsben kt, legfeljebb b = log r n A + 1 hosszsg szmot szorzunk (r a szmrendszer alapszma), aminek az id ignye b 2 nagysgrend , s ilyen
szorzsbl legfeljebb 2t -re van szksg, ahol t = log 2 e A , amint az albbi ttel mutatja:
4.3.
Ttel
Legyen u pozitv egsz, m tetsz leges egsz, s u =
t 1
i=0
Bizonyts:
4. RSA
A definci alapjn knny igazolni, hogy a (b mod n ) mod n = ab mod n , ha a, b s n egsz
szmok, gy elg beltni, hogy amennyiben P (t 1) = m s a t 1 > i N indexekre P (i ) = m ui P (i +1) ,
akkor P (0 ) = m u .
Ha t = log 2 u + 1 , akkor 2 t 1 u < 2 t , vagyis u felrshoz pontosan t bit kell, s u t 1 = 1 . Most
2
t 1
u 2
j = t 1 j
P (t 1) = m = m1 = m ut 1 = m
akkor
j ( t 1 )
t 1
(i )
=m P
ui
(i +1) 2
=m
ui
u j 2 j ( i +1 )
j = i +1
t 1
t 1
=m m
ui
u j 2 j i
j = i +1
t 1
=m
t 1
u 2
j = i +1 j
j ( i +1 )
u j 2 j i
j =i
uj2j
4.4.
Megjegyzs
A bizonytsbl ltszik, hogy az algoritmus nem csak a modulris, de a kznsges hatvnyozsra is hasonlan m kdik, vagyis a ttel s a bizonyts jellseivel m u = P (0 ) , s az eredmny most
is legalbb t 1 s legfeljebb 2(t 1) szorzssal megkaphat. Van azonban egy lnyeges klnbsg a
kt hatvnyozs kztt. Legyen n valamilyen szmrendszerben r-jegy . Mg a modulris hatvnyozs
esetn minden lpsben n-nl kisebb, vagyis legfeljebb r-jegy szmokat kell szorozni, addig a kznsges hatvnyozsnl (nem nulla alap esetn) minden lpsben a ngyzetreemelsnl megduplzdik a
jegyek szma (vagy legfeljebb ennl eggyel kisebb lesz). Mivel a szorzshoz nagyjbl a tnyez k
jegyei szmnak szorzatval megegyez szm lpsre (egy-egy szmjegy szorzsra) van szksg,
ezrt most minden fordulban hozzvet leg ngyszer tbb elemi szmtsra van szksg, mint az el z fordulban. Ha m jegyeinek szma b, akkor teht a modulris hatvnyozsnl nagysgrendileg tb 2
elemi szorzs (teht jegyenknti szorzs) szksges, mg a kznsges hatvnyozs esetn az ilyen
t 1
t 2
1
2
l
2 4
lpsek szma hozzvet leg
2
(
b
)
=
b
~ 4 t b 2 , vagyis az el bbi esetben az elvgzend
l =0
4 1
m veletek szma t-nek polinomilis, a msodik esetben viszont exponencilis fggvnye. Msknt
szlva, mg a modulris hatvnyozs polinomilis id ben elvgezhet , addig a kznsges hatvnyozs nem polinomilis bonyolultsg algoritmus.
Ahhoz, hogy az 4.2. definciban valban rejtjelezst adtunk meg, meg kell mutatni, hogy az
m e A mod n A lekpezs injektv M A -n, a fejts a titkos informci hinyban gyakorlatilag lehe-
tetlen, de d A birtokban knny vgrehajtani. Ami a tmadt illeti, neki egy x e A c (n A ) kongruencit kell megoldania. Jelenleg az egyetlen jrhat t (ltalban) az, ha c-nek vesszk a d A -adik hatv-
nyt, mert amint a kvetkez ttelb l kiderl, m = c d A mod n A . m ehhez ismerni kellene d A -t, s
ehhez ltalban (n A ) -t, amit viszont csak akkor tudunk knnyen szmtani, ha adott az n A
faktorizcija. Az utbbi problmra mrmint adott szm felbontsa prmtnyez inek szorzatra
nem ismeretes polinomilis idej algoritmus, s t az t nik valszn nek, hogy ilyet nem is lehet meg-
14
4. RSA
adni. Felhvjuk a figyelmet r, hogy nem lltottuk, hogy a visszafejts csupn gy trtnhet, ezrt nem
mondtuk, hogy a fejts nehzsge azonos a faktorizls nehzsgvel; ezt sem nem bizonytottk, sem
nem cfoltk eddig (nyilvnosan!), tovbb azt sem mondtuk, hogy minden esetben a hatvnyozs a
legkzenfekv bb megolds, bizonyos szerencstlen (m, c ) pr esetn egyszer bben is megoldhat a
feladat (a szerencstlen jelz a leglis partnerek szempontjbl rtend , a hvatlan tmad szmra ez
inkbb szerencss vletlen). Amit llthatunk, az csupn annyi, hogy az RSA fejtse legfeljebb annyira nehz, mint az sszetett egsz szmok tnyez kre bontsa, hiszen ha fel tudjuk n A -t bontani, akkor
mr fejteni is tudunk, de elvileg elkpzelhet , hogy van ennl egyszer bb mdja is a fejtsnek.
Egybknt n A felbontsnak vagy (n A ) -nak az ismerete algoritmikus szempontbl egyenrtk ,
mert egyikb l a msik polinomilisan szmthat. Ez a felbonts ismeretben nyilvnval, hiszen ekkor (n A ) = ( p A 1)(q A 1) , ami lnyegben vve egyetlen szorzs. Ha viszont ismert (n A ) , akkor
p A q A p A q A + 1 = ( p A 1)(q A 1) = (n A ) s p A q A = n A , az el bbib l p A + q A = n A (n A ) + 1 ,
vagyis p A s q A az x 2 (n A (n A ) + 1) + n A polinom kt gyke, s a kt gyk polinomilis id ben
meghatrozhat. d A ismeretben viszont m knnyen nyerhet , mert a modulris hatvnyozsrl mr
megmutattuk, hogy knny feladat, gy a leglis cmzett knnyen hozzjut a nylt szveghez. Most
megmutatjuk, hogy tetsz leges m M A nylt zenetre (m e A ) m (n A ) , ebb l majd az is kvetkezik, hogy a rejtjelszablyunk injektv. Az albbiakban ltalnosabban vizsglja a krdst.
dA
4.5.
Jells
Legyen n N + , u N s u < v N . Ekkor
M u(n ) = m M (n ) m u mod n = 0 s N u(n ) = M u(n ) ;
{
M ( ) = {m M ( ) (m
n
v, u
Lthatan M u(n ) az x u s M v(,nu) az x v x u polinom n-nl kisebb nem negatv modulo n gykeinek halmaza, s N u(n ) valamint N v(,nu) az ilyen gykk szma.
4.6.
Ttel
Legyen n = i =1 piri pratlan egsz szm, ahol s N + , minden s i N + indexre ri pozitv
s
(p )
r
r
r
r
r
s
( p ri )
s N v(,nu) = i =1 N v ,ui , ahol N v(,pu ) = N u( p ) + N v(pu ,)0 , N u( p ) = p
r
u
ri
i
, s N w( p, 0 ) = ( p r ) .
r
Bizonyts:
Ha f egsz egytthats polinom, akkor a fenti n-re az f polinom modulo n gykeinek szma
megegyezik az f modulo piri gykei szmnak szorzatval, ezrt elegend megmutatni, hogy n = p r rel N v(,pu ) ppen a ttelben ll kifejezs.
r
m u s m v u 1 relatv prmek. Ha ugyanis a p prm osztja m u -nak, akkor u > 0 s p osztja m-nek,
de akkor osztja m v u -nak, s gy biztosan nem osztja m v u 1 -nek. Ekkor viszont p r csak gy
15
4. RSA
ja, hogy N v(,pu ) = N u( p ) + N v(pu ,)0 , gy elegend a jobb oldalon ll kt rtket meghatrozni, tovbb
csupn a pronknt inkongruens megoldsok rdekesek, ezrt a keresett szmot gy nyerjk, ha kln-kln meghatrozzuk azon p r > m N egszek szmt, amelyekre m u illetve m v u 1 oszthat
r
r
olyan egsz, amelyre m u oszthat p r -rel, N 0( p ) = 0 , s a fejezet elejn emltett konvenci alapjn
ugyanez az rtke p 0 -nak is. Vizsgljuk az u > 0 esetet. Ha p r osztja m u -nak, akkor ennek a
prmfelbontsban p legalbb az r-edik hatvnyon szerepel, s gy m-ben p kitev je nem lehet kisebb
r
r
-nl, vagyis
-nl, mert ez a kitev bizonyos tnyez k szma, teht egsz szm. Ugyanez visszau
u
fel is rvnyes: ha m oszthat p
kor oszthat p -rel, ha m = kp
r
r
u
r
u
dsok rdekelnek, teht pldul azok, amelyek egyben kielgtik a p r > m N felttelt, ami ekvivalens a p
r
u
> k N egyenl tlensggel, s ezen k egszek szma ppen a bal oldalon ll szm; ez-
r
zel megkaptuk N u( p ) -t u > 0 -ra is.
ra, ahol a w = v u jellst alkalmaztuk. Ennek nyilvn csak olyan m lehet a megoldsa, amellyel
m w s p r legnagyobb kzs osztja egyben osztja 1-nek, vagyis ez a legnagyobb kzs oszt 1.
(ab, c ) = 1
Ha p pratlan, akkor a p r modulusra ltezik primitv gyk, vagyis olyan egsz, amelynek a
rendje modulo p r pontosan ( p r ) . Legyen g primitv gyk a p r modulusra. Ez azt jelenti, hogy g
( p r ) > k N kitev s hatvnyainak halmaza egyrteg en lefed egy modulo p r reduklt maradk-
kw
= (g
1= g
( p ) . g primitv gyk a
r
4.7.
Kiegszts
(pr )
(w, ( p r )) ,
Bizonyts:
Ha p pratlan, akkor = 1 , s visszakapjuk a ttelben megadott eredmnyt. Ha p = 2 s r
legfelejebb 2, akkor ltezik primitv gyk, s ekkor a bizonyts megegyezik a pratlan prmek esetvel. Maradt a p = 2 , r 3 eset. Ekkor van olyan g, hogy ennek 2 r 2 > k N -kitev s hatvnyai s
r
16
4. RSA
ezek ellentettjei kiadnak egy mod 2 r reduklt maradkrendszert, s a kt csoport idegen. Ha w pratlan, akkor a kt csoport elemeinek hatvnyai az eredeti csoporthoz tartoznak, mg pros w esetn g k
s g k w-edik hatvnya azonos lesz, s mivel g 0 = 1 , gy elegend
( )
lyek mod 2 r kongruensek 1-gyel, s pros w esetn ezek szmt megduplzni. g kw 1 = g 0 2 r akkor s csak akkor, ha kw 0 (2
2r 2
w,2 r 2
ekvivalens a k 0
r 2
), hiszen g rendje
mod 2 pontosan 2
r 2
. Ez utbbi kongruencia
van. Ha w pratlan, akkor r 3 miatt ez a szm 1, ami megegyezik w, 2 r 1 -val, mg ha w pros, ak-
kor 2 w, 2
r 2
r 1
, a bizonyts ksz.
4.8.
Kvetkezmny
(( )
s
n
, ahol P = pi ;
P
i =1
i =1
i =1
= 0 ekvivalens u = 0 -val;
1. 0 N u(n ) = pi
a) N u(n )
p iri 1 =
ri
3. u 1 esetn 2 s N v(n, u) = pi
ri
u
i =1
+ v u , piri piri 1
n;
( v u, (n )) = 1 ;
( (
))
17
4. RSA
c) N v(n, 1) = n -hez szksges s elgsges, hogy n ngyzetmentes, s t osztja v 1 -nek;
d) ha n ngyzetmentes, akkor minden m Z -re m1+ k (n ) m (n ) , ahol k N ;
( )
( )
kor m e
m (n ) ;
szm, amellyel ed 1
(t ) . Ekkor
( )
a) minden m Z -re m e
Bizonyts:
r
1. Nzzk N u( p ) rtkt. p prmszm, gy p > 1 , teht p z z-nek szigoran monoton nvekv
r
fggvnye. N u( p ) = p
r
u
r
, ahol u 0 . Pozitv u esetn ez monoton n , s mivel r
u
r
r
r 1 . Innen rgtn addik, hogy N u( n ) mais pozitv, ezrt u r esetn 0 < 1 , teht r
u
u
r
ximlis rtke
p
i =1
ri 1
i
, azaz z = r
, amit akkor rnk el, amikor minden i-re u ri . A msik oldalon, teht ami-
r
tart a pozitv vgtelenhez, gy a kitev a negatv vgtelenhez, s a hatvny a
u
r
r
r
nullhoz. Vgl legyen u pozitv, teht u 1 . Ekkor r , vagyis
r , gy r
0 , s a
u
u
u
kor u cskken, akkor
hatvny rtke legalbb 1. A hatvny rtke akkor s csak akkor 1, ha a kitev 0, s a kitev ben nullt
pontosan akkor kapunk, ha r s
v r 1<
r
azonos. De brmely x vals szmra x 1 < x x , gy a kiteu
r
r esetn, s csak ekkor lesz 0. Mivel u 1 , ezrt a jobb oldali felttel biztosan teljeu
r
akkor s csak akkor, ha (u 1)(r 1) < 1 . Mivel a bal oldalon
u
mindkt tnyez nem negatv egsz szm, ezrt az egyenl tlensg pontosan akkor igaz, ha valamelyikk nulla, azaz akkor s csak akkor, ha u s r legalbb egyike 1. Azt kaptuk teht, hogy N u( n ) rtke
sl, elg a msikat nzni. r 1 <
akkor s csak akkor 1, ha u = 1 , vagy minden i-re ri = 1 , ami azt jelenti, hogy n ngyzetmentes.
( ( ))
( ( ))
N v(,p0 )
r
18
4. RSA
( )
teljeslnie kell, teht a legkisebb rtket akkor s csak akkor kapjuk, amikor v relatv prm a piri -k
mindegyikhez, vagyis a szorzatukhoz, ami ppen (n ) .
( )
A msik oldalon egyenl sg pontosan akkor lesz, ha p r v . N v(n,0) maximumt akkor kapjuk,
( )
ha ez minden i-re teljesl, teht ha a piri -k legkisebb kzs tbbszrse osztja v-t.
A specilis eset is igaz, hiszen adott szmok legkisebb kzs tbbszrse osztja a szorzatuk
brmely tbbszrsnek.
r
r
r
3. Ha u > 0 , akkor N v(,pu ) = N u( p ) + N v( pu ,)0 s N v( n,u) =
i =1
ri
N v(,pui ) . Minden tnyez mindkt
( )
( ( )) = ( ) =
Ekkor v,
piri
ri
i
piri
piri
piri 1
ri
minden i-re, s pi
ri
u
tes. Nzzk e)-et. Amennyiben minden egsz m-re m n m (n ) , akkor N n(n,1) = n , ami akkor s csak
akkor teljesl, ha n ngyzetmentes s t n 1 . Legyen n ngyzetmentes. Ha s = 1 , akkor ez azt jelenti,
hogy n prm, s ekkor m n m (n ) ppen a kis Fermat-ttel, vagyis ekkor ez minden egsz m-re igaz.
Legyen most s = 2 , vagyis n = pq , ahol p s q kt klnbz pratlan prm, s mondjuk p < q . Ekkor n 1 = pq 1 = p (q 1) + ( p 1) , s ez biztosan nem oszthat q 1 -gyel, de akkor mg kevsb
p 1 s q 1 legkisebb kzs tbbszrsvel, t-vel.
6. Ha (e, kt ) = 1 , akkor (e, t ) = 1 is igaz, s mivel j is relatv prm e-hez, ezrt (e, jt ) = 1 , gy
ex 1
Ami a specilis esetet illeti, t nyilvn osztja (n ) -nek, teht (n ) = kt , s a felrs alapjn
19
4. RSA
4.9.
Kiegszts
Ha n pros is lehet, akkor az el bbi kvetkezmny egyes pontjai az albbi mdon vltoznak.
3.
c) ha v u pros, akkor ha n pratlan vagy nggyel oszthat, akkor az als hatr legalbb
3 s , mg ha n egy pratlan szm ktszerese, akkor N v( ,nu) 2 3 s 1 ;
5.
a)b)
( )
Bizonyts:
3.c) Ha n pros, akkor n = 2 l n1 alak egy pratlan n1 -gyel s pozitv egsz l-lel, s ekkor
( )
prmhatvnyokhoz. Amennyiben viszont l = 1 , akkor (2 ) = 1 , s (v u , (2 )) = 1 .
Ugyanakkor, ha n pros, akkor n 1 pratlan, s gy nem lehet oszthat t-vel, de akkor N n(n,1) < n .
4.10. Megjegyzs
Ha n pratlan, ngyzetmentes egsz szm legalbb hrom klnbz prmosztval, akkor van
olyan n, amelyre N n(n,1) = n . n = 561 = 3 11 17 a legkisebb, ekkor t = [3 1,11 1,17 1] = 80 , s 80
osztja 560 = 561 1 -nek. Egy sszetett n az a poztv egszre nzve lprm, ha a n a (n ) . Amenynyiben egy adott n brmely egsz szmra vonatkozan lprm, akkor n Carmichael-szm. A fenti 5.e)
pont alapjn n csak gy lehet Carmichael-szm, ha pratlan, ngyzetmentes s legalbb hrom klnbz prmosztja van, s az el bbi plda alapjn ltezik Carmichael-szm. Egy nem tl rgi eredmny
alapjn vgtelen sok Carmichael-szm ltezik.
A 6. kvetkezmny mutatja, hogy d ismeretben a leglis fejt valban knnyen hozzjut a nylt
szveghez. Azt is ltjuk, hogy amennyiben n = pq -ban p vagy q nem prm, s legalbb egyikk nem
ngyzetmentes, akkor biztosan van olyan nylt zenet, amelyet rejtjelezve nem a helyes eredmnyt
kapjuk visszafejtskor. Ha n mindkt tnyez je ngyzetmentes, de legalbb egyikk sszetett, tovbb
e s d olyan egszek, hogy ed 1 (( p 1)(q 1)) (ahol ( p 1)(q 1) a vlt (n ) ), teht valamilyen k
nem negatv egsszel ed 1 = k ( p 1)(q 1) , gy akkor s csak akkor nem keletkezik hiba visszafejtskor, ha ed 1 oszthat a valdi pi , pronknt klnbz prmosztbl szmtott [ p i 1 s i N ]
legkisebb kzs tbbszrssel, ahol s a faktorok szma (n pratlan, teht a pi -k is azok).
Vgl az is kiolvashat a kvetkezmnyekb l, hogy egy n = pq , e paramterekkel megadott
RSA rejtjelnek (1 + (e 1, p 1)) (1 + (e 1, q 1)) fixpontja van. Mivel a fixpont nem kvnatos (hiszen
ekkor nem rejtjeleztnk), ezrt az a j, ha ez a szm minl kisebb. Ennek minimuma 9 (mert n pratlan, teht e is az kell, hogy legyen), s ezt akkor rjk el, ha (e 1, t ) = 2 .
20
4. RSA
Most megmutatjuk, hogy RSA esetn tetsz leges m nylt zenetre (m e ) m (n ) , ebb l majd
az is kvetkezik, hogy a rejtjelszablyunk injektv.
d
4.11. Ttel
Legyen n N pratlan egsz, f az M (n ) halmaz nmagba val olyan lekpezse, hogy minden
M (n ) -beli m-re f : m m e mod n , ahol e 1-nl nagyobb egsz. f akkor s csak akkor injektv (s gy
bijektv), ha n ngyzetmentes, s e relatv prm (n ) -hez.
Bizonyts:
Ha (e, (n )) = 1 , akkor van olyan d pozitv egsz, hogy ed 1 ( (n )) , s ha mg n ngyzetmen-
tes, akkor evvel a d-vel az x ed x (n ) kongruencia megoldsainak szma az 5.d) kvetkezmny alapm ed mod n = (m e ) mod n lekpezs az M (n ) nmagba val identikus
d
jn n, vagyis ekkor az f : m
g :m
m e mod n s
h : m m d mod n lekpezsek kompozcija, ahol el bb g-t hajtjuk vgre, ezrt f csak gy lehet
bijektv, ha g injektv, gy a ttel felttelei elgsgesek.
Ha n nem ngyzetmentes, akkor e > 1 miatt az 1.c). kvetkezmny szerint az x e 0 (n ) kong-
ruencinak, ha viszont e nem relatv prm (n ) -hez, akkor az x e 1 (n ) kongruencinak van a 2.a).
kvetkezmny alapjn egynl tbb megoldsa, gy az f lekpezs egyik esetben sem injektv.
4.12. Ttel:
Legyen s N + , n = i =1 p iri , ahol ri pozitv egsz, a pi -k pronknt klnbz pratlan prs
( )
mek, p iri = 2 ki q i pozitv egsz k i -vel s pratlan egsz q i -vel, tovbb v = 2 k q pozitv egsz a
k N , 2 /| q egszekkel. Ekkor az x v + 1 polinom modulo n gykeinek szma 2 ks i =1 (q, q i ) , ha
s
Bizonyts:
Mr lttuk korbban, hogy elegend prmhatvnyokra meghatrozni a megoldsszmot, s ezeket sszeszorozni. Azt is lttuk, hogy pratlan prm esetn a prmhatvnyra van primitv gyk, mondjuk g. 1 relatv prm p r -hez, ezrt egy s csak egyflekppen rhat g valamely d = p r > i N -
( )
( )
( )
1 g (p ).
d
2
aw
csak gy lehet kongruens 1 -gyel, ha a relatv prm p r -hez, s ekkor a is felrhat g hatvnyaknt,
d
vagyis a g y p r . A megoldand kongruencia ezek utn wy (d ) . Ehhez szksges s elgs2
( )
21
4. RSA
ges, hogy w s d legnagyobb kzs osztja ossza
d
-t. A ttel jellseivel nyilvn igaz, hogy (q, q )
2
d
-nek, gy mg annak kell teljeslnie, hogy a legnagyobb kzs osztban fellp 2-hat2
d
vnnyal is lehessen osztani -t. Ez pontosan akkor teljesl, ha w-ben a 2 kitev je kisebb, mint d-ben.
2
Ekkor a megoldsok szma (w, d ) = 2 k q, 2 k q = 2 k q, 2 k k q = 2 k (q, q ) , ahol p r = 2 k q a pratlan
q -vel, hiszen q pratlan.
Visszatrve az eredeti modulusra, pontosan akkor van megoldsa a megadott kongruencinak,
osztja
4.13. Ttel
Legyen p prmszm, r N + , u N s u v N . Ekkor x v + x u modulo p r gykeinek szma
1. 2, ha p = 2 s r = 1 ;
r 1
2. 2 N u(2 ) , ha p = 2 s r > 1 ;
r
3. N u( p ) , ha p > 2 ;
( )
r
5. N u(2 ) , ha p = 2 , r > 1 s v u pros;
r
6. N u(2 ) + 1 , ha p = 2 , r > 1 s v u pratlan;
r
7. N u( p ) , ha p > 2 s k k ;
r
8. N u(2 ) + 2 k (q, q ) , ha p > 2 s k < k ;
Bizonyts:
Legyen el szr u = v , ekkor x v + x u = 2 x u . Ha p pratlan, akkor p r akkor s csak akkor osztja 2a u -nak, ha osztja a u -nak, gy kapjuk 3.-at. Ha p = 2 s r = 1 , akkor az oszt 2, s mivel 2a u
mindig pros, ezrt az oszthatsg minden a egszre teljesl, s ezek kztt kt inkongruens van
modulo 2, ami igazolja 1.-et. Amennyiben viszont p = 2 s r > 1 , 2 r akkor s csak akkor lesz osztja
r 1
2a u -nak, ha 2 r 1 osztja a u -t, ilyen a a 2 r 1 > a N tartomnyban N u(2 ) van, s akkor ezek ktsze-
r
szege adja. Az els kongruencia megoldsainak szmt mr ismerjk, ez N u( p ) , ezrt csak az x w + 1
22
4. RSA
alak kifejezssel kell foglalkoznunk, ahol w = v u > 0 . Pratlan prm esetre a krdst az el z ttelben megoldottuk, s ppen a 7.-ben s 8.-ban megfogalmazott eredmnyt kaptuk.
Most legyen p = 2 . Ha r = 1 , akkor olyan a-t keresnk, amelyre a w + 1 oszthat 2-vel, s
2 > a N 0 . Ilyen a pontosan egy van, nevezetesen a = 1 , s ezzel ksz a 4. pont. Htra van az r > 1
eset. Ha r = 2 , akkor az el z hz hasonlan az a w 1 (4 ) felttelnek megfelel , 4-nl kisebb, nem
negatv egsz a-kat keressk. Ehhez megint az kell, hogy a legyen relatv prm 4-hez. Ilyen a kett
van, a = 1 s a = 3 1 (4) . Innen ltszik, hogy ha w pros, akkor nincs megolds, mg ha w pratlan,
( )
akkor pontosan egy megolds lesz, teht most teljesl 5. s 6. Vgl legyen r 3 . a w 1 2 r -hez
szksges, hogy a 1 (4) is teljesljn, gy rgtn kapjuk, hogy pros w esetn most sincs megolw
ds. Amennyiben w pratlan, akkor ( a ) = a w , gy vizsglhatjuk, hogy mikor oszthat b w 1 2 r rel. Ez csak pratlan b-vel lehet, gy nem fordulhat el , hogy b = b , ezrt a b-k szma azonos lesz az
w
( ( )) (
Most olyan fejtsi mdszert vizsglunk, amelyhez nem kell ismerni a d titkos paramtert, s
megnzzk, hogyan lehet ez ellen a tmads ellen vdekezni. Az eljrs csak nyilvnos adatokat alkalmaz, s ismtelt hatvnyozssal lltja el a nylt zenetet. Szksgnk lesz az albbi ttelre.
4.14. Ttel:
Bizonyts:
(v ) = (v1 ) (v 2 ) = (v 2 ) p iti 1 ( p i 1) =
i =1
= (v 2 )
i =1
p iri 1
( pi 1))
s
i =1
p iti ri
= (u ) (v 2 )
i =1
,
p iti ri
k 1
k 1
mod n
k
n
c e 1 1 .
(c, n )
1 , ami viszont
n
= o n+ (c ) , s az el bbi oszthatsg msknt rva
(c, n )
23
4. RSA
1 = (c, o n+ (c )) = c,
(c, n )
legalbb akkora hatvnyon fordul el , mint n-ben. Ez biztosan gy van, ha n ngyzetmentes. Ekkor
ha
oo+ (c ) (c ) -hez. De
n
oo+ (c ) (c ) (on+ (c )) =
n
(n ) , gy, ha (e, (n )) = 1 , akkor van ilyen k, s a legkisebb ilyen k pozi(c, n )
tv egsz ppen oo +
(c )
on ( c )
elemre a kc = oo +
on ( c )
(c )
(e )
kc 1
M (n ) egy c
tbbszrse, akkor valamennyi c M (n ) -re c e mod n = m , s k a legkisebb ilyen tulajdonsg pozitv egsz szm.
ou (v ) osztja (u ) - nak, ou+ (v ) pedig u-nak, gy felhasznlva az el z eredmnyeket
k 1
oo +
on ( c )
(c )
minden c-re, gy kc k ( (n )) , teht, ha azt akarjuk, hogy kc a lehet legtbb c-re nagy legyen, akkor
n-et gy kell vlasztani, hogy ( (n )) -nek kevs kis osztja legyen, s a kis osztkkal csak kevs c-t
lehessen fejteni. Termszetesen mindig lesz olyan c, amely kis kitev vel fejthet , hiszen az RSA-nak
vannak fixpontjai, s ezek mr k = 1 -gyel fejthet ek, Az lenne a j, ha a fixpontok szma minl kisebb lenne, s minden ms rejtjelezett szvegb l csak nagy k kitev vel lehetne visszanyerni az eredeti zenetet.
Az el bb megfogalmazott gondolatokat pontostjuk a kvetkez kben.
4.15. Ttel
Legyen 1 < e N , 1 < n N , s m M (n ) -re c = m e mod n . Akkor s csak akkor ltezik
olyan k N + , hogy minden m M ( n ) -re c e
k 1
mod n = m , ha az f : m
Bizonyts:
pozitv egszek. Egy c M (n ) -re c e mod n = c pontosan akkor teljesl, ha c M e(nk ),1 , s az ilyen c-k
k
( (
e-vel s k-val, hogy c e mod n = c , ha N e(nk ),1 = n , ami viszont ekvivalens azzal, hogy n ngyzetmenk
tes s minden i-re pi 1 e k 1 . Az utbbi felttel akkor s csak akkor teljesthet , ha e relatv prm
valamennyi ( p i ) = p i 1 -hez, azaz (n ) -hez. Ha viszont ez a kt felttel teljesl, akkor az a
24
ae
4. RSA
(c
vagyis m = c e
k 1
e k 1
mod n
mod n .
Minden i-re pi 1 e k 1 akkor s csak akkor igaz, ha a ( p i ) = p i 1 -ek legkisebb kzs tbbszrse, t is osztja e k 1 -nek, vagyis e k 1 (t ) , s a legkisebb ilyen k kitev ppen o = ot (e ) .
gyen.
Nzzk meg, hogyan kell n-et vlasztani, hogy a lehet legtbb c-re az itercis fejts nehz leLegyen u N , u < v N , u1 N , u2 N , u1 < v1 N s u2 < v2 N . Ha u1 u 2 s m M u(1n ) ,
akkor ltezik, ha pi 1 rtke 2, 4 vagy 2 p i(1) (mert p i 1 pros), ahol pi(1) pratlan prmszm s
ri
ri N + , vagyis RSA esetn pontosan akkor, ha p i 1 = 2 p i(1) , hiszen a kis prm faktorok knnyen
ri
ri
(1) l
egyben e, p i
(1) ri 1
2 pi
2 pi(1 )
ri 1
1, 2 p i(1)
2 pi(1 )
ri
tovbb
e
2 pi(1 )
ri 1
1, 2 p i(1)
25
ri
< 2 p i(1)
ri
ri 1
1 2 p i(1)
ri 1
, teht
4. RSA
mert o pi 1 (e ) = 2 p i(1)
ri
, s vgl
2 pi(1 )
ri 1
1, 2 p i(1)
ri
2 p i(1)
ri
2 pi(1 )
ri 1
1, 2 p i(1)
ri
= 2 p i(1)
ri 1
s gy ri > 1 esetn nem teljesl, hogy csak a fixpontok fejthet ek o p i 1 (e ) -nl kisebb kitev vel. Le-
gyen ezrt minden s i N + -ra ri = 1 , vagyis az n minden prmfaktorra legyen p i = 2 pi(1) + 1 , ahol
pi(1) pratlan prmszm. Ekkor tetsz leges k pozitv egsz szmmal
(e
1, p i 1 =
pi 1
e 1 e k 1 , ezrt M e(,p1i ) M e(kp,i1) , s ha N e( kp,i1) = 2 , akkor M e(,p1i ) = M e( kp,i1) , vagyis a pi -k ilyen vlasztsval csupn a fixpontoknak megfelel zenetek fejthet ek kis kitev vel.
e rendje modulo p i 1 akkor s csak akkor oi , ha e 1 ( p i 1) s e
oi
( )= p
minden p prmosztjra, s oi ( p i 1) = p i
(1)
(1)
oi
p
/ 1 ( p i 1) az oi
p i(1) 1
p (1) 1
, hiszen pi(1) 1 pros szm, s ( pi(1) 1) < i
, ha pi(1) 1 nem 22
2
hatvny. Ha pi(1) 1 = 2l , akkor pi(1) Fermat-prm, s ez az eset nagyon valszn tlen (taln lehetetlen).
) (
p i(1) 1 . p i(1) 1
p (1) 1
pi(1) 1
p (1) 1
1 , s pi(1) 1 = i
1 akkor s csak akkor, ha i
= pi(2 ) prmszm,
2
2
2
ms szavakkal, ha pi(1) = 2 pi(2 ) + 1 egy pi(2 ) prmszmmal. Ekkor egyrszt a primitv gykk arnya
Ekkor ( pi(1) 1)
p i(1) 1
1
( p i 1) p i 1
p (1) 3
2
=
=
= i
pi
pi
pi
2 pi
(1)
(2 )
pi 1
3
p 7 1
2
=
= i
2 pi
4 pi
4
teht knny a primitv gyk keresse, msrszt egy tetsz leges k pozitv egsz szm esetn knny
(2 )
] [
(2 )
o 2i =1 p i
s 1
o
az el bbi eredmnyt =
2i =1 = 2 (2 s 1) , vagyis
annl nagyobb, minl kisebb az s
s
n
4
n
p
s
i=1
rtke. Mivel RSA-nl n mindenkppen sszetett szm, ezrt a legjobb vlaszts s = 2 , ami egybknt
26
4. RSA
a fixpontok szempontjbl is a legjobb. Most i = 1, 2 -re N ( 2np) ( 2 ) = 3 p i , s ez akkor lesz mindkt eseti
,1
((
n nagysgrend .
)
vagy ((c mod n ) c, n ) = p , s ekkor
k
((
e
tv egsz k-val, de c e mod n c , akkor c e mod n c, n = p1
2
ismert n felbontsa, teht meghatrozhat d, a rendszert sikerlt feltrni. m a faktorok fentiekben
n
ismertetett vlasztsval a legkisebb ilyen k kitev 2 p1(2 )
, feltve, hogy p1 < p 2 .
2
A p pmszm Sophie Germain-prm, ha p = 2 p + 1 alak a p prmmel. Lttuk, hogy RSAhoz a ktszeresen Sophie Germain prmek a jk (vagyis ahol az el bbi p is Sophie Germain-prm).
Krds, hogy ltezik-e ilyen prm. A vlasz igenl : pldul 2 2 + 1 = 5 s 2 5 + 1 = 11 , 2 5 + 1 = 11
s 2 11 + 1 = 23 , 2 11 + 1 = 23 s 2 23 + 1 = 47 , 2 41 + 1 = 83 s 2 83 + 1 = 167 stb.
Az n = pq vlasztsnl az eddigieken tl egy tovbbi szempont, hogy q p sem lehet kicsi,
ugyanis (q + p ) (q p ) = 4 pq = 4n , innen (q + p ) = 4n + (q p ) , vagyis egy kis pozitv
egsz ngyzett 4n -hez adva ismt ngyzetszmot kapunk, amit knnyen lehet ellen rizni. Ha teht u
v+u
vu
s v olyan egszek, hogy 4n + u 2 = v 2 , akkor a =
,b=
s n = ab , de n egyetlen felbon2
2
tsa pq , teht a = p s b = q , n-et knny faktorizlni, s gy mr knny (n ) -et s az
2
telnek is teljeslnie kell, ha azt akarjuk, hogy ne lehessen knnyen megfejteni a rejtjelnket.
Ha p = 2 p + 1 s q = 2q + 1 , ahol p s q pratlan prmszm, akkor ( p 1, q 1) = 2 , ami
( p 1)(q 1) < pq = n , ahol = ( p 1, q 1) , s ha nagy,
azrt is fontos, mert t = [ p 1, q 1] =
4.16. Ttel
x e mod n az
Bizonyts:
Els knt megjegyezzk, hogy ltezik a ttelben ignyelt K, hiszen n pratlan.
z
Ha u pros, akkor z = 0 s ( 1) u = u , ennek a fele is nem negatv egsz s nem nagyobb u-
27
4. RSA
tunk u < 0 -t, mert u pratlan, ezrt nem lehet 0). e pratlan, hiszen n pratlan, egynl nagyobb pratlan szmra (n ) pros, s pros szmhoz relatv prm szm felttlenl pratlan, ezrt 1 z-edik s
K ( 1) v K ( 1) v mod n = v (n )
z
4.17. Ttel
en rtemezett f : x
x mod n lekpezs, K Z olyan, hogy 2 e K 1 (n ) , m M (n ) , s c = f (m ) .
Ha v = f (u ) -ra g (v ) = z = u mod 2 , gy az albbi algoritmus c-b l el lltja m-et:
e
z0 = g ( y0 )
y0 = c
yi+1 = K ( 1) yi mod n
z i +1 = g ( y i +1 )
zi
r 1 > i N0 :
majd
t r 1 = z r 1
r 1> iN:
Bizonyts:
Azt mr tudjuk, hogy K ltezik. Az el z ttelb l kvetkezik, hogy a megadott indexek mindegyikre van olyan xi , hogy y i = f ( x i ) , s gy a megfelel z i is ltezik. Azt fogjuk beltni, hogy
minden r 1 > i N 0 egszre ti = xi mod 2 r i , ebb l mr kvetkezik az llts, hiszen n < 2 r kvetkeztben mind x 0 , mind t 0 n-nl kisebb nem negatv egsz a defincik alapjn, s gy m = x 0 = t 0 .
z i az xi paritst mutatja, gy z i ppen xi jobb szls bitje az xi kettes szmrendszerbeli felrsnl, s ha i = r 1 , akkor teht x r 1 mod 2 = zr 1 = tr 1 . Tegyk fel, hogy r 1 j N + s
j > i N esetn j-re fennll az egyenl sg, teht specilisan j = i + 1 -re is. Ekkor ti+1 xi +1 (2 r i 1 ) ,
zi n + ( 1) i (2 xi +1 ) = zi n + ( 1) i zi n + ( 1) i xi = xi (2 r i )
z
28
4. RSA
4.18. Megjegyzs
Az el z ttel alapjn belthat, hogy amennyiben azt tudjuk y-bl megllaptani, hogy x kisebb-e, mint n fele, vagy nagyobb, akkor hasonlan egyszer mr a fejts (harmadik lehet sg, azaz
egyenl sg most kizrt, mert n pratlan egsz s x egsz). Legyen ugyanis adott n > y N -re
2x
, ahol n > x N s y = f (x ) = x e mod n . Mivel x korltai alapjn 0 2 x < 2n , ezrt
n
2x
n
n
0
< 2 , gy 0, ha x < , s 1, amennyiben x > . Alkalmazva az a 1 < a a relcit
n
2
2
2x
a=
-re kapjuk, hogy 0 2 x n < n , vagyis 2 x mod n = 2 x n . De n a ttel felttele alapjn pn
ratlan, gy n 1 (2) , s evvel 2 x mod n = 2 x n n (2 ) , msknt rva (2 x mod n ) mod 2 = .
Most megmutatjuk, hogy z s brmelyikt ismerve, a msikat knny meghatrozni. Ha
e
y = 2e y mod n , akkor (2 x ) = 2 e x e 2 e y (n ) , gy x = 2 x mod n olyan, hogy y = f (x ) , teht ha
g-re van algoritmus, akkor g ( y) = x mod 2 = (2 x mod n ) mod 2 = . Fordtva, legyen y = ky mod n .
h( y ) = =
( )
(2 x
n ) (2 x ) = 2e (x ) 2e y 2 e Ky y x e (n ) ,
e
azt is jelenti, hogy x (2) s g ( y ) = . y-bl 2e y mod n illetve Ky mod n szmtsa knny feladat, s gy g s h bonyolultsga megegyezik.
Mg megemltjk, hogy ha n binris felrsban az utols s bit mindegyike 1, akkor amennyiben y-bl x als s bitjnek brmelyikt meg tudjuk hatrozni, akkor ebb l mr knny a fejts. Ennek
bizonytsa valamivel hosszabb, mint az el bbi kt eset, ezrt eltekintnk t le.
Most hrom krdsre trnk ki: mi trtnik, ha (m, n ) > 1 (m a nylt szveg s n a modulus), ha
n tbb kulcsra azonos, illetve ha tbb rsztvev re megegyezik az e kitev (de a modulusok klnbz ek).
Az els krds knnyen elintzhet . Ha n = pq s m 0 , akkor 1 < (m, n ) csak p vagy q lehet.
Ha a kzs oszt p, akkor (c, n ) = p is igaz, s ebb l a tmad meg tudja hatrozni q-t, (n ) -et s d-t,
vagyis feltri a rendszert. Ennek valszn sge azonban csekly, hiszen az n-hez nem relatv prm, nnl kisebb nem negatv egszek szma n (n ) = pq ( p 1)(q 1) = p + q 1 , s ezek arnya az np + q 1 1 1
2
nl kisebb nem negatv egszekhez
, viszont n nagy.
+
pq
p q
n
Trjnk r a msodik esetre. Legyen k rsztvev esetn azonos az n modulus, s kzlk az iedik nyilvnos kulcsa ei . Ha kzlk akr csak kett , mondjuk az 1. s 2. index , azonos nylt szveg
rejtjeles vltozatt kapja (pdul egy krlevelet), s e1 , e2 relatv prm, akkor egy tmad is vissza
tudja fejteni c1 -b l s c 2 -b l az eredeti m zenetet. Most ugyanis c1 m e1 (n ) s c2 m e2 (n ) . Mivel
e1 s e2 relatv prm, ezrt van olyan u1 s u 2 egsz, hogy 1 = u1e1 + u 2 e2 . e1 s e2 egyarnt 1-nl
nagyobb pozitv egsz, ezrt az el bbi egyenl sg csak gy llhat fenn, ha u1 s u 2 egyike pozitv, a
msik negatv. Szimmetriaokokbl brmelyikket tekinthetjk negatvnak, legyen pldul u1 < 0 s
u 2 > 0 . Ekkor
29
4. RSA
m = m1 = m u1e1+u2e2 = (m e1 ) (m e2 ) c1u1 c2u2 (n ) ,
u1
u2
( u )
,
m
m
ln 2 + ln (m ) ln(m ) ln (m )
vagyis vrhatan ln (m ) ksrlet utn prmet kapunk, s t, ha figyelembe vesszk, hogy a prmek pratlanok (kivve a 2-t), s csak minden msodik szm pratlan (s persze csak ezekkel ksrleteznk),
ln (m )
akkor tlagosan
ksrlettel prmhez jutunk. Konkrtan m ~ 10100 esetn ez krlbell 115 pr2
blkozst jelent (megjegyezzk, hogy az el bbi ktszeres tartomnynl lnyegesen kisebb intervallumra is igaz, hogy van benne prm, ha x elegend en nagy, msrszr l lttuk, hogy nem akrmilyen
prm alkalmas).
e-nek relatv prmnek kell lennie (n ) -hez. Ez pldul gy biztosthat, ha q < e < n s e prm,
ahol q az n-ben lv nagyobbik prm. Ez az e valban relatv prm (n ) -hez, hiszen ez utbbi minden
prmosztja kisebb e-nl.
30
5. A Rabin-varins
Az albb ismertetend rejtjelez algoritmus lnyegben vve az RSA mdostsa, m ennl az
eljrsnl bizonytani tudjuk, hogy a bonyolultsga azonos az egsz szmok faktorizcijnak bonyolultsgval.
Legyen n egy pratlan nem negatv egsz szm s b tetsz leges egsz szm, legyen tovbb
minden m M (n ) -re c = m(m + b ) mod n . Mivel n pratlan, ezrt (2, n ) = 1 , s gy van olyan u egsz
arra, hogy egy rgztett b esetn u, s vele egytt u 2 konstans, ezrt az egsz eljrs lnyegben vve
azonos az m c = m 2 mod n lekpezssel. Ennek megfelel en a tovbbiakban ezt az utbbi eljrst
vizsgljuk.
Lthat, hogy az m m 2 mod n lekpezs M (n ) -en hasonl egy olyan RSA-hoz, ahol e = 2 .
Ugyanakkor tudjuk, hogy RSA-nl az egyrtelm fejts csak akkor valsthat meg, ha (e, (n )) = 1 ,
ami csak akkor lehet igaz, ha e pratlan, hiszen n > 2 esetn (n ) pros. Egybknt ennl a lekpe-
nek. Azt mindenesetre tegyk fel, hogy n ngyzetmentes, vagyis n = i =1 p i , ahol s 1-nl nagyobb
s
Legyen c M (n ) . c-nek akkor s csak akkor van modulo n ngyzetgyke, ha minden i-re van
modulo p i ngyzetgyke. Ekkor minden i-re kt ngyzetgyke van, kivve, ha valamelyik p i -vel
oszthat, s ha mindegyik i-re kt ngyzetgyk van, akkor ezekb l a knai maradkttellel tudunk
meghatrozni sszesen 2 s olyan u-t, amelynek a modulo n ngyzete ppen c. Prmmodulus esetn
knny feladat a modulris gykvons, s klnsen knny , ha p mod 4 = 3 , vagyis akkor, ha
p = 4k + 3 alak. Ekkor c
p +1
4
=c
p +1
2
=c
p 1
2
c , s c
p +1
4
p 1
2
mod p =
+1
1
, teht c
= c , ellenkez esetben c
p +1
4
p +1
4
+c
, vagyis
c
= c . Amennyi-
ben teht c = m 2 mod n , akkor c-nek van modulo p i ngyzetgyke, s ha p i mod 4 = 3 , akkor
pi +1
c 4 mod p i = mi (ha p 4k + 1 -alak prmszm, akkor is van polinomilis algoritmus, amellyel meghatrozhat egy szm modulo p ngyzetgyke, feltve, hogy van neki, de az el bbi hatvnyozsnl
n
bonyolultabb ekkor az eljrs). Ha most u i olyan, hogy
u i 1 ( p i ) (mivel n ngyzetmentes, ezrt
pi
ilyen u i mindig van), akkor a knai maradkttel szerint m =
s
i =1
n
u i mi mod n mindegyike, s
pi
csak ezek, olyan, n-nl kisebb nem negatv egsz szmok, amelyeknek a modulo n ngyzete ppen c
(az sszegben az egyes tagok el jele egymstl fggetlen, s az sszes lehetsges kombinciban el fordul, gy kapjuk a legfeljebb 2 s klnbz gykt).
5. A Rabin-varins
s = 2 esetn legyen n = pq , m 2p c ( p ) , m q2 c (q ) , v p = qu p 1 ( p ) s v q = pu q 1 (q ) .
Ekkor m = ( v p m p v q m q ) mod n adja a legfeljebb ngy megoldst (kt megolds van, ha c oszthat
n egyik s csak egyik prmtnyez jvel, s egy megolds van, ha c = 0 ), s a ngy megolds kzl
n
kett (a kt megolds kzl az egyik) kisebb, mint .
2
Hogyan lehet kivlasztani a tbb megolds kzl az eredeti zenetet? Ha kiktjk, hogy az zenet legyen kisebb, mint n fele, akkor mr csak kt vltozat kzl kell vlasztani. Akr ngy, akr kt
megolds valamelyike az eredeti zenet, egyszer a vlaszts, ha valamilyen szveges zenet megfejtsr l van sz, mert ekkor elg nagy valszn sggel a tbb lehetsges vltozat kzl csupn az egyik
felel meg rtelmes zenetnek. Amennyiben viszont ms jelleg az eredeti zenet, akkor mr nehezebb
a tbb, ltszlag rtelmetlen szvegb l kivlasztani a tnyleges megfejetst. Ilyenkor (is) segt, ha az
zenet egy el re meghatrozott rszn (pldul fejlcben) valamilyen el re rgztett formnak vagy
tartalomnak megfelel informci van.
Az el bbiek szerint knny fejteni a Rabin-varinssal rejtjelezett szveget, ha valaki ismeri n
prmtnyez it. Ugyanakkor a modulris ngyzetgykvons s az egsz szmok faktorizcija algoritmikusan azonos nehzsg problma, vagyis ha az egyik nem oldhat meg polinomilis id ben, akkor
a msik sem, teht az n felbontsnak ismerete nlkl a Rabin-varins gyakorlatilag fejthetetlen. Tegyk ugyanis fel, hogy kpesek vagyunk polinomilis id ben ngyzetgykt vonni egy sszetett modulusra vonatkozan, vagyis tetsz leges v esetn, feltve, hogy v kvadratikus maradk modulo n, azaz
van v-nek modulo n ngyzetgyke, az n prmfaktorainak ismerete nlkl polinomilis id ben meg tudjuk hatrozni v valamely ngyzetgykt. Vlasszunk ekkor egy n-nl kisebb nem negatv u vletlen
szmot, s legyen v = u 2 mod n , majd hatrozzuk meg az algoritmusunkkal v egy ngyzetgykt. Ha
az eredmny u1 , akkor u12 mod n = v = u 2 mod n , vagyis n u 2 u12 = (u u1 )(u + u1 ) . Ha n u u1
emltett kt oszthatsg egyike sem igaz, de a szorzat oszthat n-nel, akkor (n, u u1 ) = n1 , ahol n1 az
n egy nem trivilis osztja, s ekkor faktorizltuk n-et. Ha n = pq a pratlan s klnbz p s q
prmszmokkal, s u relatv prm n-hez, aminek a valszn sge, mint lttuk, csaknem 1 (ha pedig
nem relatv prmek, akkor azonnal megkapjuk n felbontst), akkor v-nek ngy ngyzetgyke van, s
1
annak a valszn sge, hogy az algoritmus ppen az ltalunk vlasztott vletlen szmot vagy annak
2
ellentettjt szmolja ki n ngyzetgykeknt. Vrhatan teht egy-kt ksrlet utn u1 a msik kt
ngyzetgyk egyike lesz, s vgeredmnyben polinomilis id ben faktorizltuk n-et (nyilvn hasonl
a helyzet, ha n kett nl tbb klnbz prmszm szorzata). Mivel jelen ismereteink szerint a faktorizlsra nincs polinomilis futsi idej algoritmus, sszetett modulus esetn a tnyez k ismerete nlkl
a c x 2 (n ) kongruencia gykeinek meghatrozsa algoritmikusan nehz feladat, gy a Rabin-varins
alkalmas rejtjelezsre.
A konkrt megvalsts sorn ltalban n mindkt prmfaktora 4k + 3 alak. Az ilyen szmokat
1
1
Blum-egsznek hvjk. Ekkor
= 1 =
, s ha a c ngy lehetsges ngyzetgyke kzl
p
q
mondjuk m = v p m p + v q m mod n olyan, hogy
v p m p + vq m
n
= 1 =
v p m p vq m
n
m
= 1 , akkor
n
m
= 1 , s a msik kt gykre
n
32
u
v
a Jacobi-szimblum.
6. Diszkrt logaritmus
Legyen G egy n-edrend ciklikus csoport a g genertorelemmel. Ekkor a G brmely u elemhez
van egy, a g s u ltal egyrtelm en meghatrozott, n > k N egsz szm, amellyel g k = u , s ennek
megfelel en az az u k szably, amely u-hoz az el bbi k-t rendeli, G-nek M (n ) -be val bijektv lekpezse ( M (n ) a korbban mr ms sszefggsben definilt halmaz, amely az n-nl kisebb nem negatv egsz szmokat tartalmazza.) Az el bbi lekpezst ind g u -val vagy log g u -val jelljk, s g-
alap diszkrt logaritmusnak vagy g-alap indexnek nevezzk. Knny ellen rizni, hogy
ind g (uv ) = (ind g u + ind g v ) mod n ;
ind g u = 1 u = e ;
ue
ind g u 1 = n ind g u ;
k ismeretben, adott g esetn, u meghatrozsa knny feladat, m az inverz m velet a mai ismereteink szerint algoritmikusan nehz feladat, ezrt alkalmazhatjuk a rejtjelezsben. A diszkrt logaritmus meghatrozsra tbb algoritmus is ltezik, ezekb l most kett t ismertetnk.
n
1. Legyen g az n-elem G ciklikus csoport genertoreleme, s n , s c = g s , ekkor c egy sedrend elem. Ha s = e , akkor alkalmas s > m N kitev vel = c m . Most ismeretben meg
akarjuk hatrozni az m kitev t, feltve, hogy m 0 , hiszen ellenkez esetben = e , s innen azonnal
ltjuk a megoldst. A feladatot megoldhatjuk pldul gy, hogy d 0 = e -b l kiindulva addig kpezzk
s > i N + -ra a d i = d i 1c elemet, amg valamilyen s > k N + -ra d k meg nem egyezik -val. Ekkor
d k = c k , s mivel c rendje s, ezrt ez csak k = m -mel lehetsges. Egy msik megolds, hogy el re kiszmtjuk s > j N -re a d j = c j hatvnyokat, s eltroljuk ket. Amikor diszkrt logaritmust kell
meghatrozni, akkor mr nincs ms dolgunk, mint egyms utn sszehasonltani -t a d j elemekkel,
s ha k-ra tallunk egyezst, akkor az el z megfontols alapjn ismt azt kapjuk, hogy k s m azonos.
Mindkt esetben feltesszk termszetesen, hogy nem egyetlen logaritmus meghatrozsa a cl, gy az
els megoldsnl gyakorlatilag nincs memriaigny, de sokat kell szmolni, mg a msodik esetben
csak egyszer kell szmolni, utna mr csupn sszehasonltsok vannak, viszont nagy s esetn nagy
trolkapacitsra van szksg.
A kt igny egyms rovsra mdosthat. Legyen t 1-nl nem nagyobb nem negatv vals
szm, s u = s t . Az el bbi m egyrtelm en rhat m = au + b alakban, ahol b u-nl kisebb nem nemb m s
s
s
gatv egsz; ekkor a =
< = t t = s 1t s 1t . Szmtsuk ki s troljuk c u > k N
u
u u
s
s
kitev s hatvnyait. m meghatrozsa ekvivalens a s b megadsval. Legyen r = c u , ekkor az
( )
= c m = c au + b = c u
c b egyenl sgb l
0 = -bl, s nzzk meg, hogy teljesl-e valamilyen t-vel az 0 = c t egyenl sg. Ha igen, akkor
a = 0 s b = t -vel c au +b = , s kszen vagyunk. Ha nem, akkor legyen 1 = 0 r , s ismteljk
meg a keresst. Ha sikerrel jrtunk, akkor a = 1 s b = t -vel megtalltuk a megoldst, ha nem, akkor
6. Diszkrt logaritmus
legyen 2 = 1 r stb. Ez az eljrs vges sok lpsben pozitv eredmnnyel befejez dik, hiszen
i = a -val a keress i -re sikeres lesz.
2. Tegyk fel, hogy n = i =1 piri , ahol a pi -k pronknt klnbz prmek, s s valamint az
s
ri -k pozitv egszek. Ha meg tudjuk hatrozni az m (i ) = mod piri egszeket, akkor ebb l a knai maradkttellel egyrtelm en megkapjuk -t is. m (i ) szintn egyrtelm en rhat m (i ) =
ri 1
j =0
m (ji ) p ij
alakban, ahol az m (ji ) egytthatk mindegyike pi -nl kisebb nem negatv egsz, gy a feladat az, hogy
minden i-re s j-re meghatrozzuk m (ji ) rtkt. Mivel a feladat minden i-re azonos, ezrt a tovbbiakban az i indexet elhagyjuk. Most ismt ki kell szmolni s elraktrozni a d j = g
ahol p > j N . Mivel g
n
p
n
p
hatvnyokat,
hatrozzk meg az el bbi hatrok kz es kitev ket. = m + t p r egy alkalmas nem negatv t
egsszel (amely persze ltalban nem kisebb a megfelel prmnl), s gy r > k N -ra
k 1
j =0
m j p j + m k p k + p k +1
ck p k +1 = (g g
n
u k
n
p k +1
(r 1) (k +1)
j =0
m (k +1)+ j + tp r (k +1) = u k + m k p k + v k p k +1 .
= g
n
mk p k + vk p k +1 p k +1
= g
n
p
mk
(g )
n vk
= g
n
p
mk
= d mk ,
vagyis c 0 = c -b l indulva egyms utn meg tudjuk hatrozni a d mk s ezltal az m k rtkeket, s ebb l a soron kvetkez c k +1 -et.
A msodik eljrsban termszetesen alkalmazhatjuk az els eljrst a keressi m veleteknl.
34
legyen srezisztens, vagy msknt egyirny, ami azt jelenti, hogy tetsz leges x zenethez
knnyen lehessen kiszmtani a megfelel h( x ) kivonatot, de szinte minden olyan y-ra, amely egy
lehetsges ujjlenyomat, nehz, teht gyakorlatilag kivitelezhetetlen legyen olyan x-et tallni, amelyre
y = h( x ) ;
legyen msodik srezisztens, gyengn tkzsrezisztens, vagyis adott x-hez legyen gyakorlatilag lehetetlen olyan, az x-t l klnbz x -t tallni, amellyel h(x ) = h( x ) ;
legyen (er sen) tkzsmentes, azaz legyen gyakorlatilag lehetetlen olyan x, x x prt tallni, hogy h(x ) = h( x ) .
36
v 2 mod n -et, s ezt az rtket egybeveti us bA mod n -nel. Ha A tnyleg az, akinek mondja magt, akkor
ismeri i A -t, s becsletesen jtszik, vagyis ekkor
v 2 mod n = (riAb mod n ) mod n = r 2 (i A2 ) mod n =
b
Amennyiben viszont A nem A, csak annak mondja magt, akkor csak 50%-nyi eslye van minden fordulban, hogy tmegy a teszten. Ha arra tippel, hogy B b = 0 -t mond, akkor az els krben szablyosan elkldi a vlasztott vletlen szm ngyzetnek maradkt, s ha B valban a 0-s bitet kldi, akkor
vissza tudja kldeni r-et. Ha viszont B 1-est kld, akkor bajban lesz a hamis A, hiszen nem ismeri i A -t,
s jelenlegi tudsunk szerint sszetett modulus esetn, a faktorok ismerete nlkl gyakorlatilag lehetetlen a ngyzet maradkbl az eredeti szmot meghatrozni, vagyis bukik. Ha viszont 1-re szmt,
r2
akkor ravaszul u-knt nem r 2 mod n -et, hanem v =
mod n -et kldi B-nek ( s A relatv prm n-hez,
sA
mert ha nem az, akkor n-nel val legnagyobb kzs osztja vagy p vagy q, s ezzel brki ki tudja szmolni brkinek a titkos azonostjt a megfelel nyilvnos adatbl, ugyanis prmszm modulus esetn
a modulris gykvons knny feladat). Ha b valban 1, akkor a msodik krben r-et kldi vissza, s
B az ellen rzsnl egyez sget tall. m, ha a b most a szmtsa ellenre 0, akkor bajban lesz az lA, mert most olyan t szmot kellene kldenie, amellyel t 2 mod n = v , vagyis egy modulris gykvonst kellene vgrehajtania egy sszetett modulusra nzve, amelynek nem ismeri a felbontst.
37
legyen hiteles;
legyen hamisthatatlan;
ne lehessen jra felhasznlni;
ne lehessen az alrt dokumentumot megvltoztatni;
ne lehessen az alrst letagadni.
A digitlis alrs lnyegesen klnbzik a hagyomnyos alrstl. Az utbbi fggetlen a dokumentum tartalmtl, s ppen azt vrjk el az alrtl, hogy klnbz id pontban ms s ms dokumentumon elhelyezett kzjegye nagyjbl legyen azonos. Ezzel szemben az elektronikus alrs
tartalomfgg , vagyis az alrs klnbz dokumentumokon szinte biztosan ms lesz, s ez jelent sen megnehezti a hamist dolgt. A msik oldalon viszont a kzrsos alrs a hordozhoz rgztett,
mg a kriptogrfiai alrs brmikor thelyezhet egy adathordozrl egy msikra, ezrt nagyon lnyeges, hogy tnyleg er sen fggjn az alrs az alrt dokumentum tartalmtl.
A klasszikus rejtjelezs esetn a titkosts egyben alrs is, hiszen csak a felad ismerhette a
rejtjelez kulcsot (feltve, hogy minden kulcsot csak egy kld s egy fogad ismer). A nyilvnos
kulcs rendszer esetn viszont a titkosts semmilyen kapcsolatot nem biztost a kulcs gazdjval, hiszen az nyilvnos, brki ltal hozzfrhet , ezrt itt a titkosts nem jelent egyben hitelestst is.
A digitlis alrsnak kt nagy csoportja van:
toldalkos;
zenet-visszanyerses.
Az el bbinl nem a teljes zenetet rjuk al, hanem annak csak a kivonatt, ami gyorstja az eljrst. Ekkor az zenettel egytt elkldjk az alrt kivonatot is, s a cmzett a megkapott zenet kivonatt egybevetheti a kapott, alrt kivonattal. A msodik mdszer esetn a teljes zenetet rjuk al.
Ekkor azonban megfelel vintzkedst kell tennnk. Tegyk fel, hogy az alrsra a jl ismert RSA-t
hasznljuk, fordtott zemmdban. Ekkor az m zenet A ltal alrt pldnya m = m d A mod n A , amit
valban csak a leglis kld tud kiszmtani, s amib l a cmzett knnyen ellen rizni tudja, hogy
tnyleg A kldte-e, s id kzben nem mdosult-e az zenet. Ehhez A nyilvnos kulcst kell hasznlnia, hiszen meA mod n A = m , de ha a szmtst nem A titkos kulcsval vgeztk, vagy mdostottk az
alrt zenetet, akkor mr (szinte biztosan) nem fog teljeslni az egyenl sg. Igen m, de az a baj,
hogy most B nem tudja, mi volt m, gy nem tudja ellen rizni, hogy nem trtnt-e vltozs. A megolds, hogy az alrs el tt redundancit visznk az zenetbe, olyan redundancit, amelyet az alrt,
vagy hamisan alrt zenettel nem lehet (vagy csak nagyon vak tyk alapon lehet) elrni. Tipikusan
ilyen redundancia, hogy az zenetet dadogsan, ktszer egyms mell msolva rjuk le, s ezt rjuk
al, erre alkalmazzuk a titkos kitev nket.
Az elektronikus alrsrl szl trvny a digitlis alrs biztonsga szempontjbl hrom fokozatot klnbztet meg:
elektronikus alrs;
fokozott biztonsg elektronikus alrs;
min stett elektronikus alrs.
A trvny megfogalmazsa szerint
38
Min stett elektronikus alrs: olyan fokozott biztonsg elektronikus alrs, amely
biztonsgos alrs-ltrehoz eszkzzel kszlt, s amelynek hitelestse cljbl min stett
tanstvnyt bocstottak ki.
A trvnyhez kiadott irnyelvek szerint a min stett alrshoz alkalmazott alrshoz az RSA-t
s a DSS-t (Digital Signature Standard, a DSA mint szabvny neve) ajnlott alkalmazni, ez utbbinak
az elliptikus grbs vltozatt is. Az RSA zenet-visszanyerses, br az ilyen tpus mindig hasznlhat
a msik zemmdban is, mg a msodik algoritmus toldalkos, hiszen fix hosszsgon dolgozik. Az
zenet-visszanyerses techniknl, ha szksges, az alrt zenetet titkosthatjuk a cmzett nyilvnos
kulcsval, mg a msik mdszer esetn ilyenkor az zenethez lncolt alrssal egytt titkostjuk az
zenetet. Az RSA esetn teht ekkor EeB Dd A (m ) = (m d A mod n A ) mod nB -t kldi A a msik flnek,
eB
B-nek. Ha a kt modulus klnbz , mrpedig majdnem mindig ez a helyzet, akkor n B < n A esetn
problms a titkosts, amint azt knny vgiggondolni. Ezzel most nem foglalkozunk, hanem egy
ms krdst vizsglunk egszen rviden. Els rnzsre gy t nhet, hogy az el bbi transzformci
eredeti zenetet. Ekkor azonban egy aktv tmad A nyilvnos kulcsval kiszmolhatn E eB (m ) -et, s
utna a sajt kulcsval alrva a levelet tovbbtan azt B-nek. Ha a titkostott szveg nem utal A-ra,
akkor B azt hiszi, hogy C volt a felad, s pldul vlaszolva neki, C fontos informcik birtokba
juthat, vagyis lnyeges a kt transzformci sorrendje.
39
8. Titokmegoszts
Egy nllan megoldand krdssel kezdjk: ha adott egy kincseskamra, amelyhez n embernek
van kulcsa, de akkor s csak akkor lehet kinyitni az ajtajt, ha legalbb k ember jelen van, akkor hny
zrat kell elhelyezni a bejraton, s egy-egy embernl hny zr kulcsa kell, hogy legyen?
A mi szempontunkbl a problma gy merl fel, hogy ha adott egy T titkos informci, hogyan
oldhat meg, hogy adott n emberb l brmely legalbb k meg tudja hatrozni T-t, de tetsz legesen kivlasztott k-nl kevesebb erre ne legyen kpes. Az ilyen rendszereket szoks (n, k ) -kszbrendszernek is nevezni.
A felvetett krdsnek szmos megoldsa ltezik, itt most kzlk kett t ismertetnk.
1. Legyen p, valamint n i N + -ra mi pozitv egsz szm gy, hogy az mi -k pronknt relatv
(k )
prmek, tovbb a k legkisebb mi szorzata, M min
, legyen nagyobb, mint a k 1 legnagyobb mi szor-
( k 1)
(k 1)
(k )
(k )
zatnak, M max
-nek a p-szerese, vagyis legyen pM max
< M min
, vgl legyen T < M min
. Ha a rsztvev ket az n i N egszekkel azonostjuk, akkor az i-edik rsztvev kulcsa az (mi , Ti ) pr, ahol
Ti = T mod mi . a mod b defincija alapjn ltjuk, hogy Ti T (mi ) , gy T egy szimultn lineris
kongruenciarendszer megoldsa. Jellje J az n-nl nem nagyobb pozitv egszek halmaznak tetsz leges rszhalmazt, azaz legyen J {i N + i n }. Ha a J ltal meghatrozott szemlyek akarjk
egy megoldsa van az M ( J ) := iJ mi -nl kisebb nem negatv egszek halmazn, s ha ez T0( J ) , akkor a Tr( J ) = T0( J ) + rM ( J ) egszek s csak ezek a megoldsai az el bbi rendszernek, ahol r vgigfut az
egsz szmok halmazn, az pedig nyilvn igaz, hogy T is megolds, gy valamely r egszre T = Tr( J ) .
Kt eset lehetsges.
(k )
, s mind T, mind T0( J ) az M ( J ) -nl kisebb nem negatv
a) J k . Ekkor M ( J ) M min
megolds, gy szksgszer en megegyeznek, vagyis T = T0( J ) , teht a kongruencia megoldsval rendelkezsre ll a keresett titkos informci.
(k 1)
(k )
b) J < k . Ebben az esetben T0( J ) < M ( J ) M max
< M min
, s gy Tr( J ) minden olyan r nem
(k )
negatv egsszel, amellyel T0( J ) + rM ( J ) < M min
, lehetsges megolds. A lehetsges T rtkek szma
(k 1)
(k 1)
(k 1)
(k )
legalbb p, hiszen ha 0 r < p , akkor T0( J ) + rM ( J ) < M max
+ ( p 1)M max
= pM max
< M min
. Ha p
nagy, akkor T potencilis rtkeinek szma nagy, s ezek kzl semmilyen mdszerrel nem tudjuk
meghatrozni a tnyleges rtket, s t, brmelyikk azonos esllyel lehet a valdi megolds.
Az a felttel, hogy az mi -k pronknt relatv prmek, nem lnyeges kikts. Az ltalnos eset-
(k )
ben M ( J ) = [mi i J ] , ahol a szgletes zrjel a legkisebb kzs tbbszrst jelli, ekkor M min
az
sszes lehetsges mdon kivlasztott k klnbz indexhez tartoz mi legkisebb kzs tbbszrs-
( k 1)
nek minimuma, mg M max
a k 1 -elem indexhalmazhoz tartoz mi -k legkisebb kzs tbbszrseinek maximuma.
A rendszer bizonyos hibavdelmet is jelent (akr vletlen, akr szndkos hiba esetn), ugyanis
a kongruenciarendszernek akkor s csak akkor van megoldsa, ha a J indexhalmazbl vlasztott br
8. Titokmegoszts
2. A msodik mdszer a vges testeket alkalmazza. Legyen q az n pozitv egsznl nagyobb
prmhatvny, s f egy tetsz leges, legfeljebb k 1 -edfok polinom Fq fltt. Ha az n-nl nem nagyobb pozitv egszekre az u i -k a test pronknt klnbz , nem nulla elemei, s vi = f (u i ) , akkor
legalbb k klnbz (u , v ) pr egyrtelm en meghatrozza a polinomot, s akkor f (0 ) -t is. Legyen
i
( )
vi = f (u i ) = f u i =
k 1
j =0
( )
f j ui
= (ne )
n 1
j =0
(nf )(u )
i j
ahol k j < n -re f j = 0 , ami nem ms, mint az Fq feletti n-dimenzis tr egy olyan elemnek, nf nek, u-val vett inverz Fourier-transzformltja, amelyben n k egyms utni komponens rtke (nevezetesen a k j < n idexhez tartoz komponensek) 0. Ez viszont azt jelenti, hogy az n darab vi egy
Fq fltti, [n, k ]q paramter Reed-Solomon kd egy kdszavnak tekinthet , s az i-edik rsztvev
kulcsa az (i, vi ) pr (ez persze lnyegben vve azonos a korbbi kulccsal, hiszen i egyrtelm en
meghatrozza u i -t, teht u i -t). Tegyk fel, hogy s = k + 2r kulcs ll rendelkezsnkre, amelyek kzl r klnbzik a valdi kulcstl (akr vletlenl, akr szndkosan), vagyis ismert egy olyan vektor
s komponense, amely ezen pozcik kzl r helyen klnbzik az eredeti kdsztl. Ez egyben azt is
jelenti, hogy adott n s olyan pozci, amelynek nem ismerjk az rtkt. A helyzet gy is felfoghat, hogy van egy vektorunk, amely egy kdszbl n s trl dses hibval, s r tovbbi hibval keletkezett. Egy d tvolsg kd helyesen javt, ha a trl dses hibk szmnak, s a tovbbi hibk r szma
ktszeresnek sszege kisebb, mint a kd tvolsga, ami most teljesl, hiszen n s + 2r = n k , s
egy [n, k ] -paramter Reed-Solomon kd tvolsga n k + 1 . A javts utn kapott vektor az eredeti
kdsz, amelyb l pldul Fourier-transzformcival meghatrozhat f, s akkor T = f (0 ) is. f (0 ) -t
azonban lnyegesen knnyebben, s t nagyon knnyen kiszmthatjuk v-b l:
n 1
i =0
vi =
n 1
i=0
1
ahonnan f (0) = (ne )
( )
f u i =
n 1
v
i=0 i
n 1 k 1
i=0 j =0
fj
(u )
i j
k 1
j =0
fj
n 1
i =0
42
(u ) = nf
j i
k 1
j =1
fj
(u )
n j
e
= nf 0 = nf (0) ,
u e
j
dt
A fentieket egy egyszer pldn, kis szmokkal mutatjuk be. Legyen a kt prm 113 s 127, ekkor n = 14 351 , s (n ) = (113 1)(127 1) = 14 112 . Ha nyilvnos kitev nek e = 131 -et vlasztjuk,
akkor nmi szmolssal 131 9 803 1 = 1 284 192 = 91 14 112 , gy d = 9 803 . A nyilvnos adatok
(100, n = 14 351, e = 131) . Most legyen pldul r = 37 s M = 54 , ekkor s = 5 818 s M = 5 454 .
r e 14 351 -gyel val osztsakor keletkez maradk 814, majd ezt 5 454 -gyel szorozva, s a szorzatot
elosztva 14 351 -gyel, a kapott maradk 5 097 , vagyis a korbbi jellsekkel s = 5097 . s-t bekldi
Pnzes r a bankba, ahol kiszmtjk s d-edik hatvnynak maradkt a 14 351 -gyel val osztskor,
ami 10 137 . Ezt a szmot Pnzes r megszorozza r -vel, s veszi az n-nel val osztsi maradkot, T-t,
ami most 8 807 , ez a szm teht egy 100 forintost kpvisel. Ha most valaki ezzel a pnzzel fizet, ak-
44
45
10. Etimolgia
kripto- gr el tagknt vminek a titkos v. rejtett voltt jelli; titkos-, rejtett
(krpto) a
(krptosz) rejtett, titkos grg szbl
(f nvi igenv:
krptein) elrejt
-lgia, -logia gr-lat 1. uttagknt jell: vmilyen tudomnyt; -tan, -tudomny (pl. geolgia) 2.
uttagknt jell: (szmnevekkel) az sszetev k szmt (pl. tetralgia) 3. uttagknt jell: vmilyen
beszd- v. el adsmdot (pl. tautolgia)
(logosz) sz, beszd, magyarzat, fogalom, tudomny szbl eredeti grg kpzs uttag
,
,
(logiosz, logia, logion) rtelmes; tudomnnyal kapcsolatos
(lego) (f nvi igenv:
legein) mond
kriptolgia gr el. a rejtjelfejts elmlete s gyakorlata
rejtett dolgok tudomnya
-grfia (-graphia) gr 1. uttagknt jell: vmely tudomnygat (pl. geogrfia) 2. uttagknt jell: vmely rs- v. ms rgztsi mdot (pl. fotogrfia) 3. uttagknt jell: vmely nyomdszati eljrst;
-nyoms (pl. litogrfia)
(graf) rs szbl grg kpzs uttag
(grafo) (f nvi igenv:
grafein) vs; r
kriptogrfia gr el. titkosrs, rejtjeles rs, ill. ennek rendszere, kulcsa
fn Tud|Titkosrsok ksztsnek s megfejtsnek mdszertana.|Titkosrs. [nk:gr el.]
titkosrs (mestersge)
analzis gr 1. elemzs; rszekre, elemekre val bonts mint tudomnyos kutat mdszer 2. mat
a matematika azon gainak sszessge, amelyek a fggvny, a hatrrtk, a differencil s az integrl
fogalmval szervesen sszefggnek, arra plnek 3. vegyelemzs 4. llekelemzs, pszichoanalzis
(analszisz) felolds, megolds, darabokra szeds, megfejts
(analo) (f nvi igenv:
analein) feloszt, feldarabol
- (ana-) fl +
(lo) (f nvi igenv:
lein) old
kriptoanalzis gr cryptanalysis fn titkosrs megfejtse
titkos rs, titkos jelek megfejtse
-gram, -gramma gr 1. uttagknt jelent: vmilyen -grf uttag m szer ltal lerajzolt grbt
(pl. szeizmogram) 2. uttagknt jelent: vmilyen brt v. grbt (pl. diagram) 3. uttagknt jelent:
vmely rsm vet (pl. epigramma)
(gramma) vsett, bet ; rajzols, rs, feljegyzs
| -bl a kpz vel
kriptogramma gr el. titkosrsos v. rejtett rtelm felirat, szveg(rszlet)
entrpia: Shannon javaslatra entrpinak nevezzk az informci tlagos hrrtkt. Az entrpia eredetileg a h tanban hasznlt llapotjelz neve, melyet Rudolf Clausius vezetett be a termodinamikai folyamatok megfordthatsgnak mrtkeknt. Az (entrepein) grg sz, jelentse: megfordt. Az informcielmleti s termodinamikai entrpia rokonsga a matematikai modell
azonossgra vezethet vissza.
entrpia gr 1. fiz anyagi rendszerek molekulris rendezetlensgi foknak, ill. llapotuk termodinamikai valszn sgnek mrtke 2. fiz az energia hasznosthatsgnak, munkavgz kpessg-
10. Etimolgia
nek mrtke termikus folyamatokban 3. inf a bizonytalansgnak a kapott informcikkal cskken
arnyszma 4. fil a termodinamikai llapotfggvnyek hatlynak hibs kiterjesztse rvn ltrehozott
elmlet a vilg h hallrl
(entropia) fordulat
(entrop) fordulat, beleforduls, meghajls, lealacsonyods szbl valszn leg latin
szavak mintjra kpzett sz
- (en) -ban, -ben +
(trop) fordulat a
(trepo) (f nvi igenv:
trepein)
fordt igb l
R E = 1 L0 L = 1 H (S ) (L log B ) .
redundancia lat 1. inf jabb informcit nem ad felesleg a kzlemnyben, amely nlkl azonban a megrts nehezebb vlna 2. vminek redundns volta
fn Tvk Kzlsben az egyrtelm megrtshez elvileg elegend minimumom felli tbblet. [nk:
lat]
redundantia (tlzott) b velkeds
redundns lat 1. inf j informcit, rdemleges kzlst mr nem tartalmaz 2. terjeng s, flsleges elemeket tartalmaz
redundant-, redundans (lat) jelenidej mellknvi igenv a redundo, redundare tlcsordul igb l
re-, red- (fokozs)- + unda hullm
sifre (fr
sifrroz fr
desifrroz fr
nm titkosrssal r, rejtjelez
nm kibet z, titkos- v. rejtjelezett rst megfejt
10. Etimolgia
cifra, ziphra, zifera (jel, szmjel, nulla, titkos rsjel) ks -/kzplatin sz. A klasszikusban
rthet en nem ltezik, mert az arab sifr XIII. szzadi tvtele a latin matematikai m nyelvbe. Eredetileg az arab sz a szanszkrit s nya tkrfordtsa. Szmos eurpai nyelvben jelen van: Ziffer (nm.,
ciffer), chiffre (fr., sifr), cifra (ol., csifra)... A titkos rsjel rtelme a diplomcia kreib l fejl dtt,
ugyanis itt gyakran alkalmaztak szmjegyeket titkostott rsokban. A magyarba is eredetileg hasonl
rtelemben kerlt be, majd a zrus, a kis kr forma dszt elemknt val alkalmazsa elvezetett a cifra, dszes, tarka rtelemhez is.
zr, zrus (arab ol) 1. nulla, semmi 2. biz senki; jelentktelen ember
(szifr)
(szufr)
(szafir)
(szufur)
(szafr) tbbesszma:
haszontalan, rtktelen, mentes ( (min) vmit l)
(szifr) zrus, zro, nulla, semmi
(szfr) res,
kommunikci lat 1. tjkoztats, (hr) kzls 2. inf informcik kzlse v. cserje vmilyen erre szolgl eszkz, ill. jelrendszer (nyelv, mdia, gesztusok stb.) tjn 3. ritk kzlemny 4. sszekttets, kapcsolat, rintkezs
communicatio kzls, a kzls folyamata
communis, commun kzs
communico, communicare megoszt, kzl, kzss tesz
kommunikl lat kzl (vmit vmivel, vkivel); rtest (vkit)
informci lat 1. felvilgosts, tjkoztats 2. hrkzls 3. rtesls, adat 4. hranyag, a kzls
trgya 5. inf elektronikus ton tovbbtott jel; hr
informatio formba nts; kzls tvitele
informo, informare, informavi, informatum az in (-ba, -be, -ban, -ben) praepositio igekt
s a forma, formae f(emininum) (alak) sszettele. A forma sz a fero ferre tuli latum (hoz, visz) ige
gyknek min sgi hangmsuls (qualitatv ablaut gyakori jelensg az indoeurpai nyelvekben)
szenvedett alakja s egy f nvkpz (ma suffixum) egyeslsb l van. Informo = alakot ad, formba
nt, kpletesen szavakban, szavakkal forml meg, azaz kzl.
kd (lat fr) 1. inf megllapods szerinti jelek v. szimblumok rendszere, amellyel vmely informci tovbbthat s visszaalakthat 2. biol
genetikai kd 3. rejtjeles bc kulcsa 4. inf jelbc (srgnynl, tvrnl stb.)
(fn) 1. Tud Megllapods szerinti jelek v. szimblumok rendszere, amellyel vmely informci
egyrtelm en visszaadhat. 2. ritk Jelkulcs [nk:fr<lat]
code n. m. (1220; lat. jur. codex planchette, recueil). 1. Recueil de lois. ... 4. Recueil de
conventions ; dictionnaire des quivalences entre deux langages (spcialt. un langage naturel et un
langage non naturel). Code de signaux. Code secret. V. Chiffre
caudex, codex (fa)trzs, rnk, tusk, tnk; dokumentum, eredetileg fa rtbla-bl. Ebb l szrmazik a magyar kdex sz.
code h fn, 1. jog trvnyknyv, jogszablygy jtemny, kdex ... 2. kd, jel-/bet kdex;
code binaire binris kd; code biquinaire bikvinris kd; code cyclique ciklikus kd;
code dtecteur d'erreurs hibakeres kd; code gntique genetikai kd; code points-traits Morzebc; code tlgraphique srgnyjel-bc; vill code temporel id kd; code adresses multiples
tbbcm kd; code redondance redundns kd; code de contrle ellen rz kd; code de
correction d'erreurs hibajavt kd; code de graph grfkd; code de signaux jelzsi utasts;
tlgramme en code rejtjeles, sifrrozott srgny; code d'instructions utastsrendszer; mettre en
code kdol, rejtjelez 3. kd(szm); code-barre, code barres termkkd; code gntique genetikai
kd; code postal irnytszm; code de comptes folyszmla (kd)szma; code pour carte bancaire
PIN-kd 4. le code a szablyzat
49
Irodalom
Beutelspacher
Brassard
Buttyn-Vajda
Diffie-Hellman
Cryptology
Modern Cryptology
Kriptogrfia s alkalmazsai
New directions in cryptography; IEEE Trans. on Info. Theory, IT-22
(1976), pp. 644-654
Kahn: The Codebreakers
The story of secret writing.
Kdmn
Kriptogrfia
Menezes-Oorschot-Vanstone Handbook of Applied Cryptography
Nemetz-Vajda
Algoritmusos adatvdelem
Rvay
Titkosrsok
Salomaa
Public-key Cryptography
Shannon
Communication Theory of Secrecy System; Bell Syst. Tech. J., vol. 28,
1948., pp. 656-715 (El szr A Mathematical Theory of Cryptography, Sept. 1, 1946, egy bizalmas jelentsben)
Shannon
A Mathematical Theory of Communication; Bell System Technical
Journal, vol 27 (1948), pp. 379-423, 623-656 (magyarul egy javtott
vltozat A hrkzls matematikai elmlete cmmel A kommunikci
matematikai elmlete-ben)
Singh
Kdknyv. A rejtjelezs s a rejtjelfejts trtnete
Tilborg
An Introduction to Cryptology
Viraszt
Titkosts s adatrejts