TARTALOMJEGYZK

BEVEZETS

1. AZ ENTRPIA

2. A DES

3. AZ ENIGMA

11

4. RSA

13

5. A RABIN-VARINS

31

6. DISZKRT LOGARITMUS

33

7. INTEGRITS, SZEMLYAZONOSTS, HITELESTS

35

8. TITOKMEGOSZTS

41

9. ELEKTRONIKUS PNZ, KRIPTOGRFIAILAG HITELESTETT PNZ

43

10. ETIMOLGIA

47

IRODALOM

51

Bevezets
A titkossg a trsadalmak, egymstl elklnlt kzssgek kialakulshoz kapcsoldik. Egyrszt a rendelkezsre ll er forrsok klnbz sge, msrszt az emberi lthez kapcsold bizonyos
negatv tulajdonsgok arra vezettek, hogy az egyes csoportok egyms rovsra jutottak meghatrozott
javakhoz. A javak megszerzsben azok szmthattak nagyobb sikerre, akik kpesek voltak meglepni a
konkurens trsasgot. A meglepets alapja viszont az, hogy az egyik trsasg tud valami olyat, amelyet a msik csoport nem ismer, s amit az egymssal val vetlkeds sorn eredmnyesen fel lehet
hasznlni.
A titkosts trtnete tbb knyvben is megtallhat. Kzlk minden bizonnyal a leghresebb
David Kahn knyve, ugyanis szinte nincs olyan, a kriptolgival foglalkoz knyv, amely ne hivatkozna erre a tbb mint ezer oldalas knyvre. A trtneti szemllet magyar nyelv knyvek kzl emltsre mlt Simon Singh m ve, a Kdknyv, amely mr a legjabb rejtjelez eljrsokrl is szmot
tud adni, hiszen ebben az vezredben jelent meg. Igen tanulsgos elolvasni Rvay Zoltn Titkosrsok
cm knyvt. Ez a knyv egyrszt azrt rdemel figyelmet, mert igen sok jeles magyar szemlyisgr l derl ki, hogy intenzven alkalmazta a titkosts tudomnyt, s szmos rdekes megoldst talltak
ki a rejtjelezshez, msrszt viszont a megjelensnek dtuma szempontjbl is rdekes ez a knyv
(br ez elmondhat Kahn knyvr l is). Rvay Zoltn idzi Aineiasz Taktikosz Taktika cm m vnek
egyik knyvt, a Poliorktika-t, kzelebbr l ennek XXXI. fejezett, amelyben Aineiasz a titkos levelekr l r. Ez a fejezet azzal kezd dik, hogy A titkos leveleknek mindenfle kldsi mdjuk van, de a
kld nek s a cmzettnek egyms kztt el z leg meg kell llapodnia.. Ez az idzet azrt rdekes,
mert a knyv els megjelense el tt kt vvel jelent meg Diffie s Hellman cikke, amely alapjaiban
rzkdtatta meg a rejtjelezs vilgt, s amely alaposan rcfolt Aineiasz-ra, s kzvetve Rvayra is,
aki a fenti gondolatot lnyegben vve a titkosts alapjnak tekintette. (Ez nem cskkenti a Rvayknyv rtkt, csupn arra mutat r, hogy a vilg forgand, s igen rvid id alatt fenekestl tud egyegy tudomnyg megvltozni. Hasonl vltozs trtnt pldul 1900-ban vagy 1905-ben a fizikban.)
Minden titkost eljrs esetn lnyege, hogy az alkalmazott algoritmusrl felttelezzk, azt
mindenki ismeri, s a titkossgot az gynevezett kulcs biztostja. A kulcs az algoritmus egy olyan paramtere, amelyt l fgg en ugyanaz az eljrs ugyanazon titkostand zenetb l a kulcs fggvnyben ms s ms rejtjelezett szveget llt el . A klasszikus rejtjelez eljrsoknl a visszafejtshez
szksges kulcs vagy megegyezett a titkostshoz hasznlt kulccsal, vagy abbl knnyen ki lehetett
szmolni, gy szksges volt a rejtjelezshez hasznlt kulcsot is titokban tartani, tovbb az zenetvltsban rsztvev kt fl kztt biztonsgosan kicserlni. Ms a helyzet akkor, ha az oda-, illetve viszszatranszformlshoz hasznlt kulcsok olyanok, hogy az egyik ismeretben a msik csak olyan nagy
kltsggel hatrozhat meg, hogy az meghaladja a megszerzett informci rtkt. Ebben az esetben a
titkost kulcs akr nyilvnos is lehet, mgsem kpes senki illetktelen elolvasni a rejtjelezett szveget, mivel nem rendelkezik a visszafejtshez szksges kulccsal. Ez az a gondolat, amely Diffie s
Hellman cikkben jelent meg, s amely alapjn kialakult a nyilvnos kulcs rejtjelezs. E nlkl a mai
vilg egszen ms lenne. A rgi id kben lnyegben vve csak az llamnak voltak fltve rztt titkai
(persze a szpasszonyok sem akartak mindent az uruk orrra ktni, de ezek kevsb lnyeges titkok...), gy elegend volt csupn nhny tucat kulcsot el lltani s kicserlni. (Ez utbbi egy knyes
pontja a rejtjelezsnek, hiszen a kulcsot biztonsgosan s titkosan kell eljuttatni a msik flnek, amikor persze felmerl a krds, hogy mirt nem magt az zenetet cserlik ez alkalommal ki. Erre azonban knny a vlasz: a kulcsot brmely id ben cserlhetjk, s a cserre ritkn van szksg, tovbb a
kulcs ltalban rvid az zenethez kpest.) A mai vilgban viszont a titkostand informcik tlnyom tbbsge gazdasgi jelleg , s magnszemlyekhez, vllalatokhoz kapcsoldik. Potencilisan
minden ember s minden vllalkozs rendelkezik titkoland adattal, amelyet a legklnbz bb intzmnyekkel kell kicserlnie. A titkos kulcspr alkalmazsa esetn klnbz partnerhez ms s ms
kulcsra lenne szksg, ami azt jelenten, hogy hihetetlenl sok kulcsot kellene igen gyakran rendkvl
sok pr kztt kicserlni, s a titkos kulcsokat megfelel en adminisztrlva biztonsgosan trolni, ami
megoldhatatlan feladat el lltan az egyszer honpolgrokat. Mg azt is figyelembe kell venni, hogy

Bevezets
a kulcsot viszonylag gyakran kell cserlni, mg az el tt, hogy illetktelen szemly megfejten, s gy a
tovbbiakban a titkos informcinkat olvasni tudn.
Az el bbi gondolatok alapjn joggal merl fel a krds, hogy kell-e egyltaln foglalkozni a
klasszikus, szimmetrikus rejtjelez rendszerekkel. A vlasz meglep mdon igen. A helyzet ugyanis
az, hogy a szimmetrikus rendszerek lnyegesen gyorsabbak, mint a nyilvnos kulcs eljrsok, ezrt a
legtbb esetben egy-egy konkrt zenetvlts el tt a nyilvnos kulcs rejtjel segtsgvel a kt partner
kicserl egy kulcsot, s a tovbbiakban az aktulis informcit az gy megismert kulcs segtsgvel,
egy klasszikus mdszerrel kldik egy nyilvnos csatornn keresztl.

1. Az entrpia
Az entrpia informcielmleti fogalmt Shannon hatrozta meg. Korbban Heartley vizsglta
matematikai szempontbl az informcit, s gy tallta, hogy ha n klnbz zenet lehetsges, akkor
egy-egy zenet informcitartalma I = log n . E szerint a kifejezs szerint azonban a klnbz zenetek azonos mennyisg informcit, j ismeretet kzlnek a fogadval. Ezzel szemben Shannon
gy gondolta, hogy egy zenet annl tbb informcit szolgltat, minl vratlanabb, minl kevsb
lehet r szmtani, azaz minl kisebb a valszn sge. Ha X egy vges esemnytr, az zenetek halmaza, s az xi X zenet pi valszn sggel fordul el , akkor teht Shannon szerint az xi zenet
I ( pi ) informcit szolgltat, ahol I egyel re ismeretlen fggvny. Az n zenetet tartalmaz teljes zenethalmaz tlagos informcitartalma az egyes zenetek informcitartalmnak vrhat rtke, azaz
H ( p n 1 ,

, p0 ) =

n 1
i =0

p i I ( pi ) , ahol H az entrpiafggvny. Mivel egyel re I ismeretlen, ezrt H-t

sem ismerjk. H meghatrozshoz bizonyos feltteleket kell megfogalmazni. Egy lehetsges axiomatikus bevezets az albbi kiktseket tartalmazza:
1.
2.

3.
4.

( pn1 , , p0 ) vges diszkrt valszn sgi eloszls;

H ( p n 1 , , p 0 ) a vltozinak szimmetrikus fggvnye, azaz ha az {i N
tetsz leges permutcija, akkor H ( p n 1 , , p 0 ) = H ( p (n 1) , , p (0 ) ) ;
H (tp n 1 , (1 t ) p n 1 , , p 0 ) = H ( p n 1 , , p 0 ) + p n 1 H (t ,1 t ) , ha t ]0,1[ R ;
H (t ,1 t ) t-nek folytonos fggvnye, ha t ]0,1[ R ;

5. H

i < n } halmaz

1 1
,
> 0.
2 2

Bizonythat, hogy a fenti feltteleknek egy adott H

fggvny felel meg, konkrtan a H ( p n 1 ,

, p0 ) =

n 1
i =0

1 1
,
> 0 rtk esetn egy s csak egy
2 2

pi log pi fggvny, s akkor ebb l leolvasva

1
valszn n
sggel fordul el , s ekkor valban igaz, hogy az egyedi zenetek ltal kzvettett informci mrtke
I = log n . ltalnos esetben viszont az egyes zenetek bekvetkezse klnbz valszn sggel
trtnik, teht ltalban I ( p i ) log n . Mivel a logaritmusfggvny csak a pozitv vals szmokra rtelmezett (legalbbis mint vals rtk fggvny), ezrt a pi valszn sgek rtke pozitv. Ha pi a
pozitv vals szmokon keresztl tart a 0-hoz, akkor a logaritmusfggvny rtke abszolt rtkben a
-hez tart, gy pi log pi 0 . De lim ( pi log pi ) ltezik, s 0-val egyenl , ezrt az entrpia-

I ( pi ) = log pi . Ha valamennyi zenet valszn sge azonos, akkor kzlk brmelyik

pi 0+ 0

fggvnyt kiterjeszthetjk arra az esetre is, amikor egy vagy tbb valszn sg rtke 0, azzal, hogy
ekkor pi log pi := 0 .
A fggvnyr l lthat, hogy H ( p n 1 , , p 0 ) 0 , s a fggvny rtke akkor s csak akkor 0, ha
egy kivtelvel valamennyi valszn sg 0 (s ekkor az az egy nem nulla valszn sg 1, hiszen a valszn sgek sszege 1).
Az el bbi felrsban nem adtuk meg konkrtan a logaritmus alapjt, m erre nincs is szksg.
Ha ugyanis egy alaprl ttrnk egy msikra, az csupn a mrtkegysg megvltozst jelenti, hiszen
log a u = log a b log b u . Hasonl ez ahhoz, mint amikor a hosszsgot mterben, vagy lbban adjuk
meg. Magt a logaritmus alapjt, r-et H

1 1
,
= c (amely a felttel rtelmben pozitv) hatrozza
2 2

1. Az entrpia
1

1 1
1
1 1
1
,
= log r + log r
= log r 2 -b l r = 2 c . Mivel c pozitv, ezrt r > 1 .
2 2
2
2 2
2
Az alap szoksos rtke az informcielmletben 2, s ekkor az entrpia egysge a bit. Ezt az elnevezst John W. Tukey vezette be a binary digit rvidtseknt. Tekintettel arra, hogy ugyanez a neve
egy kettes szmrendszerben felrt szm egy-egy szmjegynek, ezrt megklnbztetsl az informcielmleti egysget szoks binary unit-knt, a binary unit rvidtseknt emlteni.
Ha a pi valszn sgek az X esemnyhalmaz elemei el fordulsainak a valszn sgei, akkor
H ( p n 1 , , p 0 ) tulajdonkppen az X tr entrpijt adja meg, ezrt ezt az rtket H ( X ) -szel is jellhetjk.
meg, ugyanis c = H

Csupn az rdekessg, s bizonyos patriotikus bszkesg miatt jegyezzk meg, hogy Shannonnak Neumann Jnos javasolta az entrpia elnevezst, lvn, hogy a kifejezs matematikailag hasonl
alak, mint a korbbi fizikai entrpia. Az elnevezst a formlis hasonlsgon kvl bizonyos tartalmi
azonossgok is altmasztjk, br igen komoly eltrsek is kimutathatak a kt entrpiafogalom kztt, amirt tbben krosnak tartjk az azonos megnevezst. Shannonnak ms magyar kapcsolata is
volt: foglalkozott sakkautomatval, s ezzel kapcsolatban megemltette Kempelen Farkas nevt, valamint a kommunikcirl szlva Gbor Dnest nevezi meg egyik ttr knt.
A fenti H-fggvny a Shannon-fle entrpiafggvny. Van ms kifejezs is az entrpira.
n 1
1
H ( p n 1 , , p 0 ) =
log i =0 pi a Rnyi-fle entrpia, ahol 1-nl kisebb, nem negatv vals
1
szm. Ez a kifejezs hatrrtkknt tartalmazza a Shannon-fle entrpit, ha balrl tart 1-hez.
A H ( p n 1 ,

, p 0 ) fggvnynek az rtelmezsi tartomnyban pontosan egy maximuma van a

1
1
, ,
helyen, s ekkor az rtke log n , ami ppen 1, ha a logaritmus alapszma is
n
n
n. Ez az entrpia intuitv rtelmezse alapjn vilgos, hiszen tlagosan akkor jutunk a legtbb informcihoz, akkor lehet a legkevsb megjsolni a soron kvetkez zenetet, ha lnyegben vve semmit sem tudunk az egyes zenetekr l, brmelyik esemny azonos valszn sggel kvetkezhet be. A
pontos bizonyts pldul a kvetkez lehet. Legyen n pozitv egsz szm, n > i N -re a i nem nega-

( p n1 ,

, p0 ) =

tv s bi pozitv vals szm, a =

n 1
i =0

n 1

a i s b =

i=0

bi . Ekkor (figyelembe vve, hogy a logaritmus

alapszma, r, egynl nagyobb, s gy a logaritmusfggvny mindentt szigoran konkv, teht az rintsi pont kivtelvel mindentt az rint alatt marad)
n 1
i =0

n 1
i=0

a i log

a i log

bi
=
ai

b
+
a

n 1
i =0

n 1
i =0

a i log

ai

b
b
b
+ i
a
ai a

1 a bi b
b

= a log
ln r b a i a
a

ai
= c . Ha most a i = p i s bi = 1 , akkor a = 1
bi
s b = n , s H ( p n 1 , , p 0 ) log n , tovbb akkor s csak akkor lesz H ( p n 1 , , p 0 ) = log n , ha a
1
valszn sgek megegyeznek, vagyis valamennyi i-re p i = .
n
s egyenl sg akkor s csak akkor ll, ha minden i-re

A tovbbiakban szksgnk lesz az entrpiafogalom kiterjesztsre. Tegyk fel, hogy kt vges

valszn sgi szkmnk van, az egyik az X, a msik az Y esemnytren, az el bbiben m, az utbbiban
n esemnnyel. Legyen pi annak a valszn sge, hogy az xi X esemny kvetkezett be, q j az

1. Az entrpia
y j Y esemny el fordulsnak valszn sge, ri , j annak a valszn sge, hogy az xi s y j esemny egyttesen bekvetkezett, mg t i

az xi X esemny el fordulsnak valszn sge, feltve,

hogy y j Y bekvetkezett. Most az albbi entrpikat vezethetjk be:

1. H ( X , Y ) =

m 1

n 1

i =0

j =0

( (

))

pi , j log pi , j az egyttes entrpia

2. H ( X Y ) = E H X y j =

n 1
j =0

pjH X yj =

n 1
j =0

pj

m 1

n 1

m 1

i=0 i j

j =0

i=0

t log t i j =

p i , j log t i

az Y-ra vonatkoz feltteles entrpia (most E a vrhat rtket jelli), s hasonl az X-re
vonatkoz feltteles entrpia, H (Y X ) is.
Mivel a fent bevezetett fogalmak lnyegben vve azonosak a korbbi entrpiafogalommal
(annyi eltrssel, hogy a feltteles entrpia egy tlagos entrpia), ezrt a fenti fggvnyek rtke is
nem negatv. Belthat tovbb, hogy
1. H (X Y ) H ( X )
2.

H ( X , Y ) = H (Y ) + H (X Y )

= H ( X ) + H (Y X )

Az els egyenl tlensg azt fejezi ki, hogy ha az X zenethalmazrl mr van valamilyen a priori
ismeretnk, akkor legfeljebb annyi j informcihoz jutunk, mint az el bbi ismeretek nlkl. A msodik egyenl sg viszont azt jelenti, hogy az egyttes zenethalmaz tlagos informcitartalmt pldul
gy kapjuk meg, hogy meghatrozzuk nmagban az X forrs informcitartalmt, s ehhez mg hozzvesszk azt az informcimennyisget, amelyet mr az X ismeretben az Y forrsbl nyerhetnk. A
kt pont sszevetsb l az is ltszik, hogy az egyttes entrpia nem lehet nagyobb, mint a kt klnkln szmolt entrpia sszege, vagyis H ( X , Y ) H ( X ) + H (Y ) .
Vgezetl mg egy fontos fogalmat definilunk, a klcsns informcit. Ezt a fogalmat az entrpibl kaphatjuk, nevezetesen I ( X , Y ) := H ( X ) H (X Y ) . A fentebbi 2. sszefggsb l kapjuk,

hogy I ( X , Y ) = H (Y ) H (Y X ) , valamint I ( X , Y ) = H ( X ) + H (Y ) H ( X , Y ) is teljesl. Figyelembe

vve a H ( X Y ) H ( X ) egyenl tlensget, ltjuk, hogy a klcsns informci rtke is mindig nem

negatv. Ha X s Y fggetlenek, akkor I ( X , Y ) = 0 , hiszen ekkor H ( X Y ) = H ( X ) , s a klcsns informci rtke H ( X ) , ha determinisztikus kapcsolat van Y s X kztt, mert ebben az esetben a feltteles entrpia rtke 0.

A fentiekben megfogalmazott entrpia olyan zenetforrsra vonatkozik, amely az egyes zeneteket egymstl fggetlenl bocstja ki. Az entrpia ltalnosabb esetre is megadhat, de ezzel a tovbbiakban nem foglalkozunk.

2. A DES
A klasszikus rendszerek kt nagy mdszert alkalmaztak. Az egyik a helyettests, amikor egyegy bet t, vagy a bet k egy csoportjt helyettestik valamilyen jellel, vagy jelcsoporttal, mg a msiknl az zenet egy-egy meghatrozott hosszsg szakaszn megvltoztatjk a bet k sorrendjt, vagyis
transzpozcit alkalmazunk. Ha nagy redundancij zeneteket sifrrozunk, akkor elegend en hossz
zenet esetn a kulcs knnyen megfejthet . Igencsak meglep , hogy ha az gynevezett egyszer , vagy
ms nven monoalfabetikus helyettestst alkalmazzuk, vagyis ha mindenegyes bet t ugyanazon
szabllyal helyettestnk, akkor a lehetsges helyettestsek, teht a klnbz kulcsok szma a 26bet s angol bc alkalmazsa esetn 403 291 461 126 605 635 584 000 000, gy az ember azt gondoln, hogy szinte lehetetlen megllaptani az aktulis kulcsot. A valsg viszont az, hogy ha a rejtjelezett szveg egy tipikus, htkznapi szveg, akkor egy krlbell 20 bet s szveg egyrtelm en viszszafejthet a kulcs el zetes ismerete nlkl. A fejts alapja a bet frekvencia. Minden nyelvre jellemz , hogy az egyes bet k milyen gyakorisggal fordulnak el . Ha monoalfabetikus helyettestst alkalmazunk, akkor a szveg bet i a sifrrozs sorn grafikusan megvltoznak, de nem vltozik meg az
eredeti szvegben lv el fordulsuk gyakorisga, s ezt lehet kihasznlni a fejtshez. Ha csak az
egyes bet k gyakorisgt nzzk, akkor krlbell 80 bet s szveg kell az egyrtelm fejtshez, m
nzhetnk egyb jellemz tulajdonsgokat is. Ilyen pldul a bet k egymsra kvetkezsnek gyakorisga, a kett s bet k gyakorisga, vizsglhatjuk a szkezd s a sz vgn ll bet k gyakorisgt
(feltve, hogy a rejtjelezs sorn nem gyomlltk ki az rulkod szkzket), stb. Ha mindezt figyelembe vesszk, akkor alakul ki a mr emltett krlbell 20 bet s szveg fejthet sge. Nehezti a fejtst, ha tmrtnk. Ha pldul szmsorozatokat rejtjeleznk, amikor is brmely sorozat rtelmes zenet lehet, vagyis ha a redundancia 0, akkor ilyen kapaszkodnk nincs a fejtshez.
A mdszert gy lehet bonyoltani, ha vagy ms s ms szabllyal vgezzk az egyes pozcikon
a helyettestst ez a tbbbcs, vagyis msknt a polialfabetikus helyettests , vagy sok bet b l ll blokkokat helyettestnk, ami a blokk-kdok alapja. Az el bbi szls esete a Vernam ltal
javasolt vletlen tkulcsols. Ez olyan eljrs, ahol minden pozcihoz abszolt vletlenl vlasztjuk
a helyettestsi szablyt (ez a tovbbi zenetekre is rvnyes, vagyis az egyszer elkezdett vletlen sorozatot kell folytatni, nem lehet jra kezdeni a generlst). Szemlletesen is belthat, hogy ez a titkosts elvileg is fejthetetlen, hiszen brmely eredeti bet hz, s tetsz leges rejtjelbet hz van olyan
transzformci, amely az el bbit az utbbiba alaktja, s minden helyettests azonos valszn sggel
kerlhetett alkalmazsra, vagyis a rejtjelezett szvegb l egyenl valszn sggel brmilyen eredeti
szveg el llthat. A pontos matematikai bizonytst ami lnyegben vve semmivel nem nehezebb
az el bbi gondolatmenetnl Shannon vgezte el. Ennl a mdszernl termszetesen fokozottan igaz,
hogy igen nehz a kulcs biztonsgos kicserlse a kt fl kztt, m mgis alkalmaztk a gyakorlatban, nevezetesen a Moszkva s Washington kztti forr drton.
A gyakorlatban inkbb a blokk-kdok terjedtek el, amelyeknek egyik leghresebb kpvisel je a
DES (Data Encryption Standard), amelyet 1977-ben fogadtak el szabvnyknt, s egszen 2002-ig
volt szabvny, ekkor vltotta fel az AES (Advanced Encryption Standard), m amelyet f leg a hromszor egyms utn alkalmazott formjban mg ma is igen szles krben alkalmaznak. A DES egy
igen fontos jellemz je, hogy jllehet elvileg brmely rejtjelrendszer esetn felteszik, hogy maga az
algoritmus ismert, ez volt a vilg els olyan rejtjelez algoritmusa, amelyet hivatalosan nyilvnossgra hoztak (br vannak, akik ezt nem akarjk elhinni, s felttelezik, hogy a rendszert kifejleszt IBM
bizonyos informcit megtartott magnak, amelynek a segtsgvel kpes fejteni a titkostott zeneteket). A DES jelent sgt mg az is altmasztja, hogy az azta kifejlesztett blokkos rejtjelez rendszerek majd mindegyike tbb-kevsb a DES-nl alkalmazott elvekre, de legalbbis az elvek egy rszre
pl.
A DES hrom pillren nyugszik.

2. A DES
1. Tegyk fel, hogy egy r-bet s bcvel rt n-bet s blokkot p-hosszsg kulccsal rejtjeleznk
(maga a kulcs a szveggel azonos bcb l pl fel). Ekkor egy blokk kiszmtsa lnyegben vve
egy n + p vltoztl fgg , n egyenletb l ll egyenletrendszer:
n i N + : c i = fi (m1 ,

, mn ; k1 ,

,kp )

ahol m j a nylt szveg egy blokkjnak j-edik, k l a kulcs l-edik, s ci a rejtjelezett szveg blokkjnak
i-edik bet je. Ha r egy prmhatvny, akkor a szimblumhalmaz egy vges testnek tekinthet . Ilyen
esetben brmely lekpezs, amely a vges testet nmagba kpezi, megadhat egy polinommal, gy
feltehetjk, hogy az f lekpezs az f polinomhoz tartoz polinomfggvny. Hasonl a helyzet a
i

desifrrozs esetn:

n i N + : mi = g i (c1 ,

, c n ; k1 ,

,kp )

Ha az algoritmus nyilvnos, akkor ismertek a polinomok, s ekkor a fejts egyszer behelyettests, m a kulcs ismerete nlkl a feladat az eredeti polinomok ltal meghatrozott egyenletrendszer
megoldst jelenti. Ha a polinomok nem linerisak, akkor viszont az ilyen egyenletrendszer megoldsa NP-nehz, s gy elegend en nagy blokkok esetn a fejts br elmletileg lehetsges gyakorlatilag a hasznlhat id n bell remnytelen feladat.
2. Shannon szerint nmagban sem a helyettests, sem a transzpozci nem nyjt kell vdelmet leszmtva a vletlen tkulcsolst, amely viszont egszen extrm alkalmazsoktl eltekintve a
gyakorlatban alkalmazhatatlan. Shannon az gynevezett kever transzformci tbbforduls alkalmazst javasolta. Itt egy-egy fordul egy kulcstl fgg helyettestsb l s egy transzpozcibl ll. A
nehzsget az okozza, hogy ha nagy a blokkmret mrpedig a megfelel titkossghoz elegend en
nagy blokkmretre van szksg , akkor nehz a helyettest tblzatok trolsa (egyszer en szmthat helyettests nem jhet szba, hiszen azt brki knnyen tudn fejteni). Shannon ezt gy javasolta
megoldani, hogy a blokkot tbb kisebb rszblokkra bontotta, s ezekre a kisebb rszekre alkalmazta a
helyettestst. A dologban lnyeges, hogy az utna kvetkez transzpozci az el bbi fordulban egy
rszblokkban elhelyezked bet ket klnbz blokkba helyezi. A lekpezst gy alaktjk ki, hogy
rvnyesljn az gynevezett lavinahats, vagyis ha a bemeneten egyetlen bet t megvltoztatunk,
akkor a kimeneten, azaz a rejtjelezett szvegben a teljes blokk bet inek a fele vltozzon, de gy, hogy
a kimenet minden bet je valszn sggel vltozzon, tovbb a kimenet brmely bet je a bemenet
valamennyi bet jt l fggjn, s egy kimeneti bet megvltozsbl ne lehessen kvetkeztetni a bemeneti vltozsra.
3. A DES az gynevezett Feistel-struktra alapjn m kdik. Legyen a rejtjelezend szveg
m, amelynek hossza 2n , s vlasszuk kt rszre gy, hogy az egyik rsz a szveg els n bet jb l,
mg a msik a hts n bet b l ll, azaz az el bbit m (0 ) -lal, a msodikat m (1) -gyel jellve m = m (0 ) m (1) .
Tegyk tovbb fel, hogy az algoritmus t fordulbl ll, s mindenegyes fordulban az eredeti kulcsbl szrmaztatott alkulcsot alkalmazunk. A Feistel-struktrban alkalmazott transzformci ezek utn
a kvetkez :

t i N + : m (i +1) = m (i 1) + f (m (i ) , k (i ) )
Az m-hez tartoz rejtjelezett szveg c = m (t +1)m (t ) . A kulcs ismeretben a visszafejts rendkvl egyszer , hiszen c-b l ismert m (t +1) s m (t ) , s ha ismerjk valamilyen t j N + -ra m ( j +1) -et s m ( j ) -t,

akkor m ( j +1) f (m ( j ) , k ( j ) ) = m ( j 1) , vagyis c-b l meg tudjuk hatrozni m (1) -et s m (0 ) -t, teht m-et. Lthat, hogy a rejtjelez s a visszafejt algoritmus csak annyiban tr el, hogy az egyikben sszeads, a
msikban kivons ll (ami binris esetben egybknt megegyezik), s a kulcsokat fordtott sorrendben

2. A DES
kell alkalmazni. Igen lnyeges tulajdonsga a Feistel-struktrnak, hogy f nem felttlenl invertlhat, amely tulajdonsg nagyon megknnyti a rejtjelezs szempontjbl j tulajdonsg fggvny keresst.
Konkrtan a DES esetn az bc kt bet b l, a 0-bl s az 1-b l ll, s a blokkmret 64 bit. A
kulcs is 64 bites, de ebb l 8 bit ellen rz funkcit lt el, gy valjban a kulcs 56 bites (ezt vetettk
leginkbb a DES szemre, s sokan gy vltk, hogy azrt vlasztottk ilyen mret re a kulcsot, mert
a titkosszolglatok a maguk szmtstechnikai appartusaikkal abban az id ben ekkora mretekkel
boldogultak). Az eljrs 16-forduls, s a kulcsbl gy lltjk el az egyes fordulkhoz az aktulis
alkulcsot, hogy a 16. fordul utn ppen visszanyerik az eredeti kulcsot (ez inkbb a hardveres megolds szempontjbl jelent nmi el nyt). A binris bc esetn, mint fentebb mr emltettk, a kivons megegyezik az sszeadssal, gy a desifrrozs teljes egszben megegyezik a sifrrozssal, csupn
a kulcsokat kell fordtott sorrendben alkalmazni.
A mai szmtstechnikai eszkzkkel a DES fejtse knny feladat, ezrt klnbz kulccsal
tbbszr egyms utn alkalmazzk. Egy rejtjelez rendszer tbb kulccsal val itercija csak akkor
eredmnyezhet az egy kulccsal val titkostsnl er sebb vdelmet, ha a lekpezsek kompozcija
nem alkot csoportot, vagyis ha kt egyms utni titkosts nem llthat el valamely kulccsal trtn
egylpses lekpezsknt. Ez a DES esetn teljesl. Kevs szmolssal kimutathat, hogy a ktszeres
DES sem nyjt ma mr kell vdelmet, m a hromszoros DES biztonsgosnak mondhat, s igen sok
helyen alkalmazzk ma is.
A blokkos rejtjelezseket, s gy a DES-t is, klnbz zemmdban alkalmazzk, amelyek
mg nvelik a rendszer hatkonysgt, biztonsgt. Egy ilyen az gynevezett CBC-md (Cipher
Block Chaining), a blokklncols. Ennl az zemmdnl vlasztunk egy c0 kezd blokkot, s ebb l
kiindulva egyms utn kpezzk a ci = E k (mi , ci 1 ) blokkokat, ahol E k a k kulcstl fgg rejtjelez
lekpezs. A szablybl ltszik, hogy a rejtjelszveg i-edik blokkja nem csupn a nylt szveg i-edik
blokkjtl, hanem valamennyi korbbi blokktl is fgg.

3. Az ENIGMA
A rejtjelez visszafejt tevkenysg gpesthet is, gy bonyolultabb eljrsok alkalmazhatak. Ennek egyik pldja az Enigma.
Az Enigma1 egy olyan elektromos rgp, melynek hrom f bb egysge van: egy billenty zet a
nylt szveg bet inek bevitelre, egy talakt egysg, amely a nylt szveg bet it a rejtjeles szveg
megfelel bet iv alaktja, s egy kijelz panel, amelyen kis lmpcskk felvillansa jelzi a rejtjeles
szveg bet it. A felvillan bet ket lerva kapjuk meg a rejtjeles szveget, amelyet azutn rdin tovbbtottak a cmzettnek. A vev oldalon egy azonos bellts enigmval rtk le a szveget, s a
lmpk felvillansa adta vissza a nylt zenetet.
A gp legfontosabb rsze az talakt egysg, amely hrom kivehet kever trcsbl ll, gy
ezek cserlhet ek. A kever trcsa egy vezetkekkel s r n telesz tt, vastag gumitrcsa. A nylt szveg
bet inek sifrrozst a kever trcsk bels huzalozsa hatrozza meg. Ha a trcsk fix helyzet ek lennnek, akkor a trcsk huzalozsa egy egyszer egybcs helyettestses eljrst valstana meg.
Sherbius gpnek viszont a legfontosabb jellemz je, hogy a kever trcsk forognak. Minden egyes
bet sifrrozsa utn az els trcsa 1 26 -odnyival elfordul (26 bet s bc esetn). A msodik trcsa
csak akkor fordul 1 26 -odnyit, ha az els trcsa megtett egy teljes fordulatot, a harmadik trcsa akkor
fordul 1 26 -odnyit, ha a msodik trcsa megtett egy teljes fordulatot, mikzben az els trcsa mr
26 26 -szor fordult 1 26 -odnyit. Ez a mechanizmus hasonlt az autk kilomterrjhoz. A rotci
rvn a gp tbbbcs helyettestses eljrs megvalstsra hasznlhat. A hrom kever trcsa
kezdeti belltsa 26 26 26 = 17 576 klnbz kulcsnak felel meg. Az brn az Enigma ktdimenzis brzolsa lthat, az ttekinthet sg kedvrt hatbet s bc esetn. A kever trcsa egybet nyi elfordulsa sorn a trcskat sszekt vezetkek egy hellyel lentebb kerlnek.

Enigma kapcsolsi rajza

A kapcsolsi rajzon mg kt szerkezeti elem is lthat. A visszairnyt szintn egy bels
huzalozs gumitrcsa, de nem forog. Mikor a kezel begpel egy bet t, azzal egy elektromos jelet
kld t a hrom kever trcsn. A visszairnyt ezt a berkez jelet kldi vissza, de ms tvonalon.
Az brn lthat trcsallsok esetn a lettt b bet a C-t villantja fel, ha azonban a c-t tttk volna
le, akkor a kijelz n a B villant volna fel. Ebb l lthat a visszairnyt szerepe: a gp a nylt szveg
1

Az Enigma-ra vonatkoz rszt Tthn Mszros gnes Rejtjelezs a kzpiskolban cm szakdol-

gozatbl vettem t.

3. Az ENIGMA
egyik bet jt a rejtjeles szveg egyik bet jv alaktja, s ha egy msik gp ugyangy van belltva,
akkor az el bb megkapott rejtjeles szveg bet jt letve megkapjuk az eredeti nylt szveg bet jt,
vagyis a sifrrozshoz s a desifrrozshoz ugyanaz a gp szksges megegyez kezd belltssal!
A msik j elem az brn a kapcsoltbla, mely a billenty zet s az els kever trcsa kz van
iktatva. E kapcsoltbla lehet v teszi, hogy beiktassunk nhny vezetket, amelyek mg az els kever trcsba val belps el tt felcserlnek bizonyos bet ket. Az Enigma kezel jnek hat ilyen vezetke van, miltal hat bet prt tud felcserlni a huszonhatbl. Egy 26-bet s bc esetenknti hat
bet prjnak felcserlsi lehet sgeinek szma
5

k =0

26 2k
2
= 100 391 791 500 .
6!

A gp alapbelltshoz tartozik mg a kever trcsk sorrendje is. Scherbius gy szerkesztette

meg gpt, hogy a kever trcsk sorrendjt meg lehessen vltoztatni, a kever trcsk kivehet sgvel. A hrom trcsa 6-flekppen helyezhet a gpbe, gy a lehetsges kezd belltsok, vagyis kulcsok szma:
kever trcsk belltsa (minden trcsa 26-fle pozciba llthat):
17 576
6
kever trcsk sorrendje:
kapcsoltbla belltsai:
100 391 791 500
sszesen (el z hrom tnyez szorzata):
10 586 916 764 424 000
A rejtjelezs kulcst (a gp kezd belltst) naponta vltoztattk, amit a ngyhetente sztosztott 28 kulcsot tartalmaz kdknyv hatrozott meg. A kapcsoltbla eredmnyezi a kulcsok szmnak legnagyobb nvekedst, de a sifrrozs megkezdse utn mr nem vltozik belltsa, gy egyedli alkalmazsa olyan rejtjeles szveget generlna, amely gyakorisgi elemzssel megfejthet . A kever trcsk kevesebb szm kulccsal jrulnak hozz a vgeredmnyhez, de belltsuk folyamatosan
vltozik, aminek eredmnyekppen a rejtjeles szveg gyakorisgi elemzssel nem fejthet meg. Mivel
a rejtjelezs sorn a gp 17 576 klnbz sifre-bct hasznl, Babbage mdszervel sem fejthet
meg a rejtjeles szveg.

12

4. RSA
Az RSA a leggyakrabban alkalmazott s a legjobban bevlt nyilvnos kulcs rejtjelezsi algoritmus, amelyet sokan s igen alaposan vizsgltak, s amely a publikus informcik alapjn gyakorlatilag fejthetetlen, ha a paramtereket a megfelel gondossggal vlasztjk. Az algoritmus neve az t
kifejleszt hrom matematikus: Rivest, Shamir s Adleman nevnek kezd bet je.
a
. A definb
cibl knnyen kiolvashat, hogy ha a egsz szm s b pozitv egsz szm, akkor a mod b a (b ) s
0 a mod b < b , vagyis ekkor a mod b az a-nak b-vel val osztsakor keletkez nem negatv maradA tovbbiakban az a s a nem nulla b vals szm esetn legyen a mod b := a b

ka. Ha a 1-nl nagyobb, b pozitv s c tetsz leges vals szm, akkor a -t nullnak,

b
b
-t -t s
0
0

nek, vgl c -t -nek tekintjk.

Hasznlni fogjuk a kvetkez jellst.

4.1.

Jells

Legyen n N + . Ekkor M (n ) = {m N m < n } .

Nyilvnvalan ltszik, hogy minden n N + -ra M (n ) = n .

4.2.

Definci
Legyen p A s q A kt klnbz pratlan prmszm, n A = p A q A , e A a (n A ) -hoz relatv prm
pozitv egsz, s d A az e A x 1 ( (n A )) kongruencia tetsz leges pozitv megoldsa. Ekkor (n A , e A ) az

A nyilvnos kulcsa, d A a titkos kulcsa, M A = M (n A ) = C A az A nylt illetve rejtjeles szvegeinek halmaza, s az m M A nylt szveg rejtjeles prja c = E e A (m ) = m e A mod n A .

Maga a rejtjelezs knny feladat, polinomilis id ben vgrehajthat. Valban: mivel a hatvnyozst csupn modulo n A vgezzk, ezrt minden lpsben kt, legfeljebb b = log r n A + 1 hosszsg szmot szorzunk (r a szmrendszer alapszma), aminek az id ignye b 2 nagysgrend , s ilyen
szorzsbl legfeljebb 2t -re van szksg, ahol t = log 2 e A , amint az albbi ttel mutatja:

4.3.

Ttel
Legyen u pozitv egsz, m tetsz leges egsz, s u =

t 1
i=0

u i 2 i , ahol t = log 2 u + 1 . Ekkor az

m (t 1) := m , t 1 > i N : m (i ) := m ui m (i +1) mod n algoritmussal m (0 ) = m u mod n , s a szorzsok szma s, ahol t 1 s 2(t 1) .

Bizonyts:

4. RSA
A definci alapjn knny igazolni, hogy a (b mod n ) mod n = ab mod n , ha a, b s n egsz
szmok, gy elg beltni, hogy amennyiben P (t 1) = m s a t 1 > i N indexekre P (i ) = m ui P (i +1) ,
akkor P (0 ) = m u .
Ha t = log 2 u + 1 , akkor 2 t 1 u < 2 t , vagyis u felrshoz pontosan t bit kell, s u t 1 = 1 . Most
2

t 1

u 2
j = t 1 j

P (t 1) = m = m1 = m ut 1 = m
akkor

j ( t 1 )

, s ha valamilyen t 1 > i N indexre P (i +1) = m

t 1

(i )

=m P
ui

(i +1) 2

=m

ui

u j 2 j ( i +1 )

j = i +1

t 1

t 1

=m m
ui

u j 2 j i

j = i +1

t 1

=m

t 1

u 2
j = i +1 j

j ( i +1 )

u j 2 j i

j =i

uj2j

innen pedig i=0 esetn kapjuk, hogy P (0 ) = m j = 0

= mu .
Az algoritmus t bit esetn t 1 lpsb l ll (leszmtva az inicializlst, amely egyszer
rtkads). Minden lps tartalmaz egy ngyzetreemelst, amely egy szorzs, ez sszesen t 1 szorzs. u i rtke 0 vagy 1; az els esetben m ui = 1 , teht a ngyzetreemelssel megkaptuk m (i ) rtkt,
mg u i = 1 esetn m ui = m , vagyis m (i +1) -et mg meg kell szorozni m-el, gy az ilyen szorzsok szma legfeljebb t 1 .
2

4.4.

Megjegyzs

A bizonytsbl ltszik, hogy az algoritmus nem csak a modulris, de a kznsges hatvnyozsra is hasonlan m kdik, vagyis a ttel s a bizonyts jellseivel m u = P (0 ) , s az eredmny most
is legalbb t 1 s legfeljebb 2(t 1) szorzssal megkaphat. Van azonban egy lnyeges klnbsg a
kt hatvnyozs kztt. Legyen n valamilyen szmrendszerben r-jegy . Mg a modulris hatvnyozs
esetn minden lpsben n-nl kisebb, vagyis legfeljebb r-jegy szmokat kell szorozni, addig a kznsges hatvnyozsnl (nem nulla alap esetn) minden lpsben a ngyzetreemelsnl megduplzdik a
jegyek szma (vagy legfeljebb ennl eggyel kisebb lesz). Mivel a szorzshoz nagyjbl a tnyez k
jegyei szmnak szorzatval megegyez szm lpsre (egy-egy szmjegy szorzsra) van szksg,
ezrt most minden fordulban hozzvet leg ngyszer tbb elemi szmtsra van szksg, mint az el z fordulban. Ha m jegyeinek szma b, akkor teht a modulris hatvnyozsnl nagysgrendileg tb 2
elemi szorzs (teht jegyenknti szorzs) szksges, mg a kznsges hatvnyozs esetn az ilyen
t 1
t 2
1
2
l
2 4
lpsek szma hozzvet leg
2
(
b
)
=
b
~ 4 t b 2 , vagyis az el bbi esetben az elvgzend
l =0
4 1
m veletek szma t-nek polinomilis, a msodik esetben viszont exponencilis fggvnye. Msknt
szlva, mg a modulris hatvnyozs polinomilis id ben elvgezhet , addig a kznsges hatvnyozs nem polinomilis bonyolultsg algoritmus.

Ahhoz, hogy az 4.2. definciban valban rejtjelezst adtunk meg, meg kell mutatni, hogy az
m e A mod n A lekpezs injektv M A -n, a fejts a titkos informci hinyban gyakorlatilag lehe-

tetlen, de d A birtokban knny vgrehajtani. Ami a tmadt illeti, neki egy x e A c (n A ) kongruencit kell megoldania. Jelenleg az egyetlen jrhat t (ltalban) az, ha c-nek vesszk a d A -adik hatv-

nyt, mert amint a kvetkez ttelb l kiderl, m = c d A mod n A . m ehhez ismerni kellene d A -t, s
ehhez ltalban (n A ) -t, amit viszont csak akkor tudunk knnyen szmtani, ha adott az n A
faktorizcija. Az utbbi problmra mrmint adott szm felbontsa prmtnyez inek szorzatra
nem ismeretes polinomilis idej algoritmus, s t az t nik valszn nek, hogy ilyet nem is lehet meg-

14

4. RSA
adni. Felhvjuk a figyelmet r, hogy nem lltottuk, hogy a visszafejts csupn gy trtnhet, ezrt nem
mondtuk, hogy a fejts nehzsge azonos a faktorizls nehzsgvel; ezt sem nem bizonytottk, sem
nem cfoltk eddig (nyilvnosan!), tovbb azt sem mondtuk, hogy minden esetben a hatvnyozs a
legkzenfekv bb megolds, bizonyos szerencstlen (m, c ) pr esetn egyszer bben is megoldhat a
feladat (a szerencstlen jelz a leglis partnerek szempontjbl rtend , a hvatlan tmad szmra ez
inkbb szerencss vletlen). Amit llthatunk, az csupn annyi, hogy az RSA fejtse legfeljebb annyira nehz, mint az sszetett egsz szmok tnyez kre bontsa, hiszen ha fel tudjuk n A -t bontani, akkor
mr fejteni is tudunk, de elvileg elkpzelhet , hogy van ennl egyszer bb mdja is a fejtsnek.
Egybknt n A felbontsnak vagy (n A ) -nak az ismerete algoritmikus szempontbl egyenrtk ,
mert egyikb l a msik polinomilisan szmthat. Ez a felbonts ismeretben nyilvnval, hiszen ekkor (n A ) = ( p A 1)(q A 1) , ami lnyegben vve egyetlen szorzs. Ha viszont ismert (n A ) , akkor
p A q A p A q A + 1 = ( p A 1)(q A 1) = (n A ) s p A q A = n A , az el bbib l p A + q A = n A (n A ) + 1 ,
vagyis p A s q A az x 2 (n A (n A ) + 1) + n A polinom kt gyke, s a kt gyk polinomilis id ben
meghatrozhat. d A ismeretben viszont m knnyen nyerhet , mert a modulris hatvnyozsrl mr
megmutattuk, hogy knny feladat, gy a leglis cmzett knnyen hozzjut a nylt szveghez. Most

megmutatjuk, hogy tetsz leges m M A nylt zenetre (m e A ) m (n A ) , ebb l majd az is kvetkezik, hogy a rejtjelszablyunk injektv. Az albbiakban ltalnosabban vizsglja a krdst.
dA

4.5.

Jells
Legyen n N + , u N s u < v N . Ekkor
M u(n ) = m M (n ) m u mod n = 0 s N u(n ) = M u(n ) ;

{
M ( ) = {m M ( ) (m
n
v, u

m u ) mod n = 0 s N v(,nu) = M v(,nu)

Lthatan M u(n ) az x u s M v(,nu) az x v x u polinom n-nl kisebb nem negatv modulo n gykeinek halmaza, s N u(n ) valamint N v(,nu) az ilyen gykk szma.

4.6.

Ttel
Legyen n = i =1 piri pratlan egsz szm, ahol s N + , minden s i N + indexre ri pozitv
s

(p )

egsz s a pi prmek pronknt klnbz ek, s legyen p prm s r N + . Ekkor N u(n ) = i =1 N u

s

r
r
r
r
r
s
( p ri )
s N v(,nu) = i =1 N v ,ui , ahol N v(,pu ) = N u( p ) + N v(pu ,)0 , N u( p ) = p

r
u

ri
i

, s N w( p, 0 ) = ( p r ) .
r

Bizonyts:
Ha f egsz egytthats polinom, akkor a fenti n-re az f polinom modulo n gykeinek szma
megegyezik az f modulo piri gykei szmnak szorzatval, ezrt elegend megmutatni, hogy n = p r rel N v(,pu ) ppen a ttelben ll kifejezs.
r

m v m u 0 ( p r ) az m egsszel a kongruencia defincija szerint akkor s csak akkor, ha a

modulus osztja a kt oldal klnbsgnek, azaz p r m v m u = m v (m v u 1) . De tetsz leges m egszre

m u s m v u 1 relatv prmek. Ha ugyanis a p prm osztja m u -nak, akkor u > 0 s p osztja m-nek,
de akkor osztja m v u -nak, s gy biztosan nem osztja m v u 1 -nek. Ekkor viszont p r csak gy

osztja az m v m u klnbsget, ha osztja m u s m v u 1 egyiknek s csak egyiknek. Ez azt mutat-

15

4. RSA
ja, hogy N v(,pu ) = N u( p ) + N v(pu ,)0 , gy elegend a jobb oldalon ll kt rtket meghatrozni, tovbb
csupn a pronknt inkongruens megoldsok rdekesek, ezrt a keresett szmot gy nyerjk, ha kln-kln meghatrozzuk azon p r > m N egszek szmt, amelyekre m u illetve m v u 1 oszthat
r

p r -rel, s a kt szmot sszeadjuk.

Nzzk az el bbi oszthatsgot. u = 0 esetn m u = 1 , s mivel r > 0 , teht p r > 1 , gy nincs

r
olyan egsz, amelyre m u oszthat p r -rel, N 0( p ) = 0 , s a fejezet elejn emltett konvenci alapjn

ugyanez az rtke p 0 -nak is. Vizsgljuk az u > 0 esetet. Ha p r osztja m u -nak, akkor ennek a
prmfelbontsban p legalbb az r-edik hatvnyon szerepel, s gy m-ben p kitev je nem lehet kisebb

r
r
-nl, vagyis
-nl, mert ez a kitev bizonyos tnyez k szma, teht egsz szm. Ugyanez visszau
u
fel is rvnyes: ha m oszthat p
kor oszthat p -rel, ha m = kp
r

r
u

r
u

-val, akkor m u is oszthat p r -rel, vagyis m u akkor s csak ak-

alak alkalmas k egsszel. Minket a pronknt inkongruens megol-

dsok rdekelnek, teht pldul azok, amelyek egyben kielgtik a p r > m N felttelt, ami ekvivalens a p

r
u

> k N egyenl tlensggel, s ezen k egszek szma ppen a bal oldalon ll szm; ez-

r
zel megkaptuk N u( p ) -t u > 0 -ra is.

Most ttrnk N w( p,0 ) , vagyis az x w 1 polinom modulo p r gykei szmnak meghatrozsr

ra, ahol a w = v u jellst alkalmaztuk. Ennek nyilvn csak olyan m lehet a megoldsa, amellyel
m w s p r legnagyobb kzs osztja egyben osztja 1-nek, vagyis ez a legnagyobb kzs oszt 1.

(ab, c ) = 1

pontosan akkor igaz, ha (a, c ) = 1 s (b, c ) = 1 , gy (m w , p r ) = 1 (m, p r ) = 1 , teht az

x w 1 polinom brmely modulo p r gyke relatv prm a modulushoz.

Ha p pratlan, akkor a p r modulusra ltezik primitv gyk, vagyis olyan egsz, amelynek a

rendje modulo p r pontosan ( p r ) . Legyen g primitv gyk a p r modulusra. Ez azt jelenti, hogy g

( p r ) > k N kitev s hatvnyainak halmaza egyrteg en lefed egy modulo p r reduklt maradk-

rendszert, gy az el bbi intervallumba es

g

kw

= (g

1= g

( p ) . g primitv gyk a
r

olyan k egszeket kell megkeresni, amelyekkel

p modulusra, teht a rendje a p r modulussal ( p r ) ,

r

gy a kongruencia megoldsai azok a k egszek, amelyekkel kw 0 ( ( p r )) , azaz k 0

s ennek a kongruencinak (w, ( p r )) pronknt inkongruens megoldsa van.

4.7.

Kiegszts

(pr )
(w, ( p r )) ,

Tetsz leges p prmszm esetn N w( p, 0 ) = (w, ( p r )) , ahol = 1 , kivve, ha w pros s p=2 s

r 3 , amikor = 2 .

Bizonyts:
Ha p pratlan, akkor = 1 , s visszakapjuk a ttelben megadott eredmnyt. Ha p = 2 s r
legfelejebb 2, akkor ltezik primitv gyk, s ekkor a bizonyts megegyezik a pratlan prmek esetvel. Maradt a p = 2 , r 3 eset. Ekkor van olyan g, hogy ennek 2 r 2 > k N -kitev s hatvnyai s
r

16

4. RSA
ezek ellentettjei kiadnak egy mod 2 r reduklt maradkrendszert, s a kt csoport idegen. Ha w pratlan, akkor a kt csoport elemeinek hatvnyai az eredeti csoporthoz tartoznak, mg pros w esetn g k
s g k w-edik hatvnya azonos lesz, s mivel g 0 = 1 , gy elegend

g kw -k kztt keresni azokat, ame-

( )

lyek mod 2 r kongruensek 1-gyel, s pros w esetn ezek szmt megduplzni. g kw 1 = g 0 2 r akkor s csak akkor, ha kw 0 (2
2r 2
w,2 r 2

ekvivalens a k 0

r 2

), hiszen g rendje

mod 2 pontosan 2

r 2

. Ez utbbi kongruencia

kongruencival, s ennek w, 2 r 2 pronknt inkongruens megoldsa

van. Ha w pratlan, akkor r 3 miatt ez a szm 1, ami megegyezik w, 2 r 1 -val, mg ha w pros, ak-

kor 2 w, 2

r 2

) = (w, 2 ) . Tekintetbe vve, hogy pozitv egsz r esetn (2 ) = 2

r 1

r 1

, a bizonyts ksz.

A ttelnek egy sereg kvetkezmnye van:

4.8.

Kvetkezmny

(( )

Legyen t = lkkt p iri s i N + (lkkt a legkisebb kzs tbbszrst jelli). Ekkor az el z

ttel jellseivel s feltteleivel
r
ri i
u

s
n
, ahol P = pi ;
P
i =1
i =1
i =1
= 0 ekvivalens u = 0 -val;

1. 0 N u(n ) = pi
a) N u(n )

p iri 1 =

b) 1.-ben a jobb oldalon akkor s csak akkor ll egyenl sg, ha u max ri s i N + ;

c) 1.-ben a bal oldal rtke pontosan akkor 1, ha u = 1 vagy n ngyzetmentes;

2. 1 N v(,n0) = i =1 (v, ( p iri )) (n ) ;

s

a) N v(,n0) = 1 akkor s csak akkor, ha ( v, (n )) = 1 ;

b) N v(,n0) = (n ) akkor s csak akkor, ha t v

c) ha v = (n ) , akkor N v(,n0) = (n ) (ez az Euler-Fermat ttel ms megfogalmazsban);

s

ri

3. u 1 esetn 2 s N v(n, u) = pi

ri
u

i =1

+ v u , piri piri 1

n;

a) N v(n, u) = 2 s akkor s csak akkor, ha egyrszt u = 1 vagy n ngyzetmentes, msrszt

( v u, (n )) = 1 ;

b) N v(n, u) = n akkor s csak akkor, ha u max ri s i N + s t v u ;

c) ha v u pros, akkor N v(,nu) = 3 s ;
4. N n(n,n) (n ) = n ;

( (

))

5. N v(n,1) = i =1 1 + v 1, piri piri 1 ;

s

a) N v(n,1) = 2 s akkor s csak akkor, ha v 1 s (n ) relatv prm;

( )

b) ha v pratlan, akkor N v ,n1 3 s ;

17

4. RSA
c) N v(n, 1) = n -hez szksges s elgsges, hogy n ngyzetmentes, s t osztja v 1 -nek;
d) ha n ngyzetmentes, akkor minden m Z -re m1+ k (n ) m (n ) , ahol k N ;

e) ha minden m Z -re m n m (n ) , akkor n ngyzetmentes, s vagy s=1, vagy s 3 ;

6. ha n ngyzetmentes, k N , s e a kt -hez relatv prm termszetes szm, akkor tetsz leges,
az e-hez relatv prm j N -re brmely, az ex 1 ( jt ) kongruencit kielgt d pozitv

( )

egsszel minden m Z -re m e

( )

kor m e

m (n ) ;

m (n ) . Specilisan, ha (e, (n )) = 1 s ed 1 ( (n )) , ak-

7. legyen z N + , s z i N + -ra 1 < u i N olyan, hogy n = i =1 u i N ngyzetmentes, lez

gyen tovbb t = i =1 (u i 1) , e a t -hz relatv prm pozitv egsz, s d olyan termszetes

z

szm, amellyel ed 1

(t ) . Ekkor

( )

a) minden m Z -re m e

(n ) akkor s csak akkor teljesl, ha t ed 1 ;

b) s minden, a t -hz relatv prm e-re ez pontosan akkor igaz, ha t t .

Bizonyts:

r
1. Nzzk N u( p ) rtkt. p prmszm, gy p > 1 , teht p z z-nek szigoran monoton nvekv

r
fggvnye. N u( p ) = p

r
u

r
, ahol u 0 . Pozitv u esetn ez monoton n , s mivel r
u
r
r
r 1 . Innen rgtn addik, hogy N u( n ) mais pozitv, ezrt u r esetn 0 < 1 , teht r
u
u
r

ximlis rtke

p
i =1

ri 1
i

, azaz z = r

, amit akkor rnk el, amikor minden i-re u ri . A msik oldalon, teht ami-

r
tart a pozitv vgtelenhez, gy a kitev a negatv vgtelenhez, s a hatvny a
u
r
r
r
nullhoz. Vgl legyen u pozitv, teht u 1 . Ekkor r , vagyis
r , gy r
0 , s a
u
u
u
kor u cskken, akkor

hatvny rtke legalbb 1. A hatvny rtke akkor s csak akkor 1, ha a kitev 0, s a kitev ben nullt
pontosan akkor kapunk, ha r s
v r 1<

r
azonos. De brmely x vals szmra x 1 < x x , gy a kiteu

r
r esetn, s csak ekkor lesz 0. Mivel u 1 , ezrt a jobb oldali felttel biztosan teljeu

r
akkor s csak akkor, ha (u 1)(r 1) < 1 . Mivel a bal oldalon
u
mindkt tnyez nem negatv egsz szm, ezrt az egyenl tlensg pontosan akkor igaz, ha valamelyikk nulla, azaz akkor s csak akkor, ha u s r legalbb egyike 1. Azt kaptuk teht, hogy N u( n ) rtke
sl, elg a msikat nzni. r 1 <

akkor s csak akkor 1, ha u = 1 , vagy minden i-re ri = 1 , ami azt jelenti, hogy n ngyzetmentes.

( ( ))

2. N v(,p0 ) = v, p r . Kt szm legnagyobb kzs osztja akkor s csak akkor 0, ha mindkt

r

( ) biztosan nem nulla, ezrt

szm nulla, minden ms esetben pozitv egsz szm. Mivel p r

( ( ))

N v(,p0 )
r

rtke is legalbb 1. Ha v, p r = 1 , akkor N v(,p0 ) = 1 , s ilyen v, p s r ltezik. Ennek minden i-re

r

18

4. RSA

( )

teljeslnie kell, teht a legkisebb rtket akkor s csak akkor kapjuk, amikor v relatv prm a piri -k
mindegyikhez, vagyis a szorzatukhoz, ami ppen (n ) .

( )

A msik oldalon egyenl sg pontosan akkor lesz, ha p r v . N v(n,0) maximumt akkor kapjuk,

( )

ha ez minden i-re teljesl, teht ha a piri -k legkisebb kzs tbbszrse osztja v-t.
A specilis eset is igaz, hiszen adott szmok legkisebb kzs tbbszrse osztja a szorzatuk
brmely tbbszrsnek.
r
r
r
3. Ha u > 0 , akkor N v(,pu ) = N u( p ) + N v( pu ,)0 s N v( n,u) =

i =1

ri
N v(,pui ) . Minden tnyez mindkt

tagjnak minimuma 1, gy az sszeg minimuma 2 s , amit pontosan akkor kapunk, ha n ngyzetmentes

vagy u = 1 , s ugyanakkor v u relatv prm (n ) -hez. Ha azonban n pratlan, akkor piri minden
i-re pros, ezrt ha v u is pros, akkor a legnagyobb kzs oszt minden tnyez ben legalbb kett ,
s maga a tnyez minimlisan 3.
A maximumot pontosan akkor kapjuk, amikor t osztja v u -nak, s u max ri s i N + .

( )

( ( )) = ( ) =

Ekkor v,

piri
ri
i

piri

piri

piri 1

ri

minden i-re, s pi

ri
u

= piri 1 , ahonnan a kt rtk sszeadsa

utn ppen p -t kapunk, amelyek szorzata n.

4. Most v u = n (n (n )) = (n ) , s t (n ) , gy t osztja v u -nak. Brmely s i N +
index esetn n felrhat piri ni alakban, ahol p iri s ni relatv prmek. Ekkor
u = n (n ) = piri ni ( piri ) (ni ) = piri ni piri 1 ( pi 1) (ni )
= piri (ni (ni )) + piri 1 (ni ) piri 1 ri

s ebb l kapjuk, hogy u max ri s i N + .

5. Ez a pont az utols alpont kivtelvel lnyegben vve 3. specilis s aktualizlt esete
u = 1 -re, ahol az aktualizls azt jelenti, hogy az u ri felttelek kvetkeztben most n ngyzetmen-

tes. Nzzk e)-et. Amennyiben minden egsz m-re m n m (n ) , akkor N n(n,1) = n , ami akkor s csak
akkor teljesl, ha n ngyzetmentes s t n 1 . Legyen n ngyzetmentes. Ha s = 1 , akkor ez azt jelenti,

hogy n prm, s ekkor m n m (n ) ppen a kis Fermat-ttel, vagyis ekkor ez minden egsz m-re igaz.
Legyen most s = 2 , vagyis n = pq , ahol p s q kt klnbz pratlan prm, s mondjuk p < q . Ekkor n 1 = pq 1 = p (q 1) + ( p 1) , s ez biztosan nem oszthat q 1 -gyel, de akkor mg kevsb
p 1 s q 1 legkisebb kzs tbbszrsvel, t-vel.
6. Ha (e, kt ) = 1 , akkor (e, t ) = 1 is igaz, s mivel j is relatv prm e-hez, ezrt (e, jt ) = 1 , gy

ex 1

( jt ) megoldhat. Ha d megolds, akkor t

jt d 1 , teht 5. alapjn igaz az llts.

Ami a specilis esetet illeti, t nyilvn osztja (n ) -nek, teht (n ) = kt , s a felrs alapjn

j = k , gy 1 = (e, (n )) = (e, kt ) -b l (e, j ) = (e, k ) = 1 .

7. Az els llts ed = v -vel 5. alapjn igaz.
t t esetn ed 1 (t ) -b l t d 1 . Fordtva, tegyk fel, hogy tetsz leges e, d pr j, s legyen ed = 1 + kt , ahol (k , t ) = 1 . Ekkor viszont t d 1 = kt t t , teht igaz a msodik llts is.
A pros n-re vonatkoz megllaptsokat ismt kln fogalmaztuk meg.

19

4. RSA

4.9.

Kiegszts
Ha n pros is lehet, akkor az el bbi kvetkezmny egyes pontjai az albbi mdon vltoznak.
3.

c) ha v u pros, akkor ha n pratlan vagy nggyel oszthat, akkor az als hatr legalbb
3 s , mg ha n egy pratlan szm ktszerese, akkor N v( ,nu) 2 3 s 1 ;

5.
a)b)

ha v pratlan, akkor ha n pratlan vagy nggyel oszthat, akkor N v(n,1) 3 s , mg ha n

pros, de nem oszthat nggyel, akkor N v( n,1) 2 3 s 1 ;

e) ha minden m Z -re m n m (n ) , akkor n ngyzetmentes, s vagy s=1, vagy n pratlan
s s 3 .

( )

Bizonyts:
3.c) Ha n pros, akkor n = 2 l n1 alak egy pratlan n1 -gyel s pozitv egsz l-lel, s ekkor

( )
prmhatvnyokhoz. Amennyiben viszont l = 1 , akkor (2 ) = 1 , s (v u , (2 )) = 1 .

2 l = 2 l 1 . Ha n nggyel oszthat, akkor l 2 , s 2 l pros, teht a helyzet hasonl a pratlan

l

5.b) Ez az el z pont u = 1 esetn.

5.e) Itt csak annyit kell beltni, hogy ha n nem prmszm, akkor szksgszer en pratlan. Ha
s 2 , akkor n prmoszti kztt van pratlan, s gy a ( p i ) -k kztt pros szm, ezrt t pros.

Ugyanakkor, ha n pros, akkor n 1 pratlan, s gy nem lehet oszthat t-vel, de akkor N n(n,1) < n .

4.10. Megjegyzs
Ha n pratlan, ngyzetmentes egsz szm legalbb hrom klnbz prmosztval, akkor van
olyan n, amelyre N n(n,1) = n . n = 561 = 3 11 17 a legkisebb, ekkor t = [3 1,11 1,17 1] = 80 , s 80
osztja 560 = 561 1 -nek. Egy sszetett n az a poztv egszre nzve lprm, ha a n a (n ) . Amenynyiben egy adott n brmely egsz szmra vonatkozan lprm, akkor n Carmichael-szm. A fenti 5.e)
pont alapjn n csak gy lehet Carmichael-szm, ha pratlan, ngyzetmentes s legalbb hrom klnbz prmosztja van, s az el bbi plda alapjn ltezik Carmichael-szm. Egy nem tl rgi eredmny
alapjn vgtelen sok Carmichael-szm ltezik.

A 6. kvetkezmny mutatja, hogy d ismeretben a leglis fejt valban knnyen hozzjut a nylt
szveghez. Azt is ltjuk, hogy amennyiben n = pq -ban p vagy q nem prm, s legalbb egyikk nem
ngyzetmentes, akkor biztosan van olyan nylt zenet, amelyet rejtjelezve nem a helyes eredmnyt
kapjuk visszafejtskor. Ha n mindkt tnyez je ngyzetmentes, de legalbb egyikk sszetett, tovbb
e s d olyan egszek, hogy ed 1 (( p 1)(q 1)) (ahol ( p 1)(q 1) a vlt (n ) ), teht valamilyen k
nem negatv egsszel ed 1 = k ( p 1)(q 1) , gy akkor s csak akkor nem keletkezik hiba visszafejtskor, ha ed 1 oszthat a valdi pi , pronknt klnbz prmosztbl szmtott [ p i 1 s i N ]
legkisebb kzs tbbszrssel, ahol s a faktorok szma (n pratlan, teht a pi -k is azok).
Vgl az is kiolvashat a kvetkezmnyekb l, hogy egy n = pq , e paramterekkel megadott
RSA rejtjelnek (1 + (e 1, p 1)) (1 + (e 1, q 1)) fixpontja van. Mivel a fixpont nem kvnatos (hiszen
ekkor nem rejtjeleztnk), ezrt az a j, ha ez a szm minl kisebb. Ennek minimuma 9 (mert n pratlan, teht e is az kell, hogy legyen), s ezt akkor rjk el, ha (e 1, t ) = 2 .

20

4. RSA
Most megmutatjuk, hogy RSA esetn tetsz leges m nylt zenetre (m e ) m (n ) , ebb l majd
az is kvetkezik, hogy a rejtjelszablyunk injektv.
d

4.11. Ttel
Legyen n N pratlan egsz, f az M (n ) halmaz nmagba val olyan lekpezse, hogy minden
M (n ) -beli m-re f : m m e mod n , ahol e 1-nl nagyobb egsz. f akkor s csak akkor injektv (s gy
bijektv), ha n ngyzetmentes, s e relatv prm (n ) -hez.

Bizonyts:
Ha (e, (n )) = 1 , akkor van olyan d pozitv egsz, hogy ed 1 ( (n )) , s ha mg n ngyzetmen-

tes, akkor evvel a d-vel az x ed x (n ) kongruencia megoldsainak szma az 5.d) kvetkezmny alapm ed mod n = (m e ) mod n lekpezs az M (n ) nmagba val identikus
d

jn n, vagyis ekkor az f : m

lekpezse, teht f bijektv. Mivel f az egyarnt az M (n ) -t M (n ) -be kpez

g :m

m e mod n s

h : m m d mod n lekpezsek kompozcija, ahol el bb g-t hajtjuk vgre, ezrt f csak gy lehet
bijektv, ha g injektv, gy a ttel felttelei elgsgesek.
Ha n nem ngyzetmentes, akkor e > 1 miatt az 1.c). kvetkezmny szerint az x e 0 (n ) kong-

ruencinak, ha viszont e nem relatv prm (n ) -hez, akkor az x e 1 (n ) kongruencinak van a 2.a).
kvetkezmny alapjn egynl tbb megoldsa, gy az f lekpezs egyik esetben sem injektv.

Br az RSA szempontjbl nem jtszik kzvetlen szerepet, m a prmtesztelsnl fontos krds

az x + 1 polinom modulo n gykeinek szma. Mivel er s a hasonlsg a mr megoldott x v 1 polinom modulo n gykeinek problmjval, ezrt ezt a krdst is megvizsgljuk, majd csupn a teljessg
kedvrt az x v + x u polinom modulo n gykeinek szmt is megnzzk.
v

4.12. Ttel:
Legyen s N + , n = i =1 p iri , ahol ri pozitv egsz, a pi -k pronknt klnbz pratlan prs

( )

mek, p iri = 2 ki q i pozitv egsz k i -vel s pratlan egsz q i -vel, tovbb v = 2 k q pozitv egsz a
k N , 2 /| q egszekkel. Ekkor az x v + 1 polinom modulo n gykeinek szma 2 ks i =1 (q, q i ) , ha
s

k < min ki s i N + , egybknt 0.

Bizonyts:
Mr lttuk korbban, hogy elegend prmhatvnyokra meghatrozni a megoldsszmot, s ezeket sszeszorozni. Azt is lttuk, hogy pratlan prm esetn a prmhatvnyra van primitv gyk, mondjuk g. 1 relatv prm p r -hez, ezrt egy s csak egyflekppen rhat g valamely d = p r > i N -

( )

( )

kitev s hatvnyaknt. g d 1 p r , s ( 1) = 1 1 p r , tovbb d pros, gy

2

( )
1 g (p ).
d
2

aw

csak gy lehet kongruens 1 -gyel, ha a relatv prm p r -hez, s ekkor a is felrhat g hatvnyaknt,
d
vagyis a g y p r . A megoldand kongruencia ezek utn wy (d ) . Ehhez szksges s elgs2

( )

21

4. RSA
ges, hogy w s d legnagyobb kzs osztja ossza

d
-t. A ttel jellseivel nyilvn igaz, hogy (q, q )
2

d
-nek, gy mg annak kell teljeslnie, hogy a legnagyobb kzs osztban fellp 2-hat2
d
vnnyal is lehessen osztani -t. Ez pontosan akkor teljesl, ha w-ben a 2 kitev je kisebb, mint d-ben.
2
Ekkor a megoldsok szma (w, d ) = 2 k q, 2 k q = 2 k q, 2 k k q = 2 k (q, q ) , ahol p r = 2 k q a pratlan
q -vel, hiszen q pratlan.
Visszatrve az eredeti modulusra, pontosan akkor van megoldsa a megadott kongruencinak,

osztja

ha k < min ki s i N + , s ebben az esetben a megoldsok szma 2 ks i =1 (q, q i ) , hiszen 2 k mins

den tnyez ben szerepel.

Az ltalnos esetr l szl a kvetkez ttel.

4.13. Ttel
Legyen p prmszm, r N + , u N s u v N . Ekkor x v + x u modulo p r gykeinek szma
1. 2, ha p = 2 s r = 1 ;

r 1
2. 2 N u(2 ) , ha p = 2 s r > 1 ;

r
3. N u( p ) , ha p > 2 ;

( )

mg ha v > u , p r = 2 k q s v u = 2 k q , ahol q s q pratlan egszek, akkor

r
4. N u(2 ) + 1 , ha p = 2 s r = 1 ;

r
5. N u(2 ) , ha p = 2 , r > 1 s v u pros;

r
6. N u(2 ) + 1 , ha p = 2 , r > 1 s v u pratlan;
r
7. N u( p ) , ha p > 2 s k k ;

r
8. N u(2 ) + 2 k (q, q ) , ha p > 2 s k < k ;

Bizonyts:
Legyen el szr u = v , ekkor x v + x u = 2 x u . Ha p pratlan, akkor p r akkor s csak akkor osztja 2a u -nak, ha osztja a u -nak, gy kapjuk 3.-at. Ha p = 2 s r = 1 , akkor az oszt 2, s mivel 2a u
mindig pros, ezrt az oszthatsg minden a egszre teljesl, s ezek kztt kt inkongruens van
modulo 2, ami igazolja 1.-et. Amennyiben viszont p = 2 s r > 1 , 2 r akkor s csak akkor lesz osztja

r 1
2a u -nak, ha 2 r 1 osztja a u -t, ilyen a a 2 r 1 > a N tartomnyban N u(2 ) van, s akkor ezek ktsze-

rese is oszthat 2 r -rel, s mg ezek is kisebbek 2 r -nl, ezrt igaz 2. is.

Most nzzk a v > u eseteket. Ekkor x v + x u = x u x v u + 1 , s v u > 0 kvetkeztben min-

den a egszre a u s a v u + 1 relatv prm, ezrt most is elegend kln meghatrozni az x u s az

x v u + 1 polinom modulo p r gykeinek szmt, az eredeti problma megoldst ezen kt szm sz-

r
szege adja. Az els kongruencia megoldsainak szmt mr ismerjk, ez N u( p ) , ezrt csak az x w + 1

22

4. RSA
alak kifejezssel kell foglalkoznunk, ahol w = v u > 0 . Pratlan prm esetre a krdst az el z ttelben megoldottuk, s ppen a 7.-ben s 8.-ban megfogalmazott eredmnyt kaptuk.
Most legyen p = 2 . Ha r = 1 , akkor olyan a-t keresnk, amelyre a w + 1 oszthat 2-vel, s
2 > a N 0 . Ilyen a pontosan egy van, nevezetesen a = 1 , s ezzel ksz a 4. pont. Htra van az r > 1
eset. Ha r = 2 , akkor az el z hz hasonlan az a w 1 (4 ) felttelnek megfelel , 4-nl kisebb, nem
negatv egsz a-kat keressk. Ehhez megint az kell, hogy a legyen relatv prm 4-hez. Ilyen a kett
van, a = 1 s a = 3 1 (4) . Innen ltszik, hogy ha w pros, akkor nincs megolds, mg ha w pratlan,

( )

akkor pontosan egy megolds lesz, teht most teljesl 5. s 6. Vgl legyen r 3 . a w 1 2 r -hez

szksges, hogy a 1 (4) is teljesljn, gy rgtn kapjuk, hogy pros w esetn most sincs megolw

ds. Amennyiben w pratlan, akkor ( a ) = a w , gy vizsglhatjuk, hogy mikor oszthat b w 1 2 r rel. Ez csak pratlan b-vel lehet, gy nem fordulhat el , hogy b = b , ezrt a b-k szma azonos lesz az
w

( ( )) (

eredeti kongruencia megoldsainak szmval. Ez N w(2,0) , s ennek az rtke w, 2 r = w, 2 r 1 = 1 ,

mert w pratlan s r > 2 , amivel r > 2 -re is igazoltuk 5.-t s 6.-ot.
r

Most olyan fejtsi mdszert vizsglunk, amelyhez nem kell ismerni a d titkos paramtert, s
megnzzk, hogyan lehet ez ellen a tmads ellen vdekezni. Az eljrs csak nyilvnos adatokat alkalmaz, s ismtelt hatvnyozssal lltja el a nylt zenetet. Szksgnk lesz az albbi ttelre.

4.14. Ttel:

Ha u s v pozitv egsz, s u v , akkor (u ) (v ) .

Bizonyts:

Legyen s N + , s i N + -ra ri N + s u = i =1 p iri tovbb j N + s i < j s -re pi p j

s

prmek. Mivel u v , ezrt v = v1v 2 = v 2 i =1 p iti gy, hogy (u , v 2 ) = (v1 , v 2 ) = 1 , s valamennyi t i az

s

ri -nl nem kisebb egsz. Most

s

(v ) = (v1 ) (v 2 ) = (v 2 ) p iti 1 ( p i 1) =
i =1

= (v 2 )
i =1

p iri 1

( pi 1))
s

i =1

p iti ri

= (u ) (v 2 )
i =1

,
p iti ri

gy valban igaz, hogy (u ) (v ) .

Nzzk meg, hogy adott 1 < n N , 1 < e N , c M (n ) esetn mikor lesz olyan k N + , amelylyel c e

k 1

mod n = m , ha m M (n ) -re c = m e mod n . Rgtn ltjuk, hogy ha ezek a felttelek teljesl-

nek, akkor c = m e mod n = c e

pontosan akkor igaz, ha

k 1

mod n

k
n
c e 1 1 .
(c, n )

mod n = c e mod n , azaz n c e c = c c e

1 , ami viszont

n
= o n+ (c ) , s az el bbi oszthatsg msknt rva
(c, n )

c l 1 (o n+ (c )) , ahol l = e k 1 . A kongruencinak akkor s csak akkor van megoldsa, ha

23

4. RSA
1 = (c, o n+ (c )) = c,

(c, n )

, ami viszont akkor s csak akkor teljesl, ha a c brmely p prmosztja c-ben

legalbb akkora hatvnyon fordul el , mint n-ben. Ez biztosan gy van, ha n ngyzetmentes. Ekkor

c l 1 (o n+ (c )) -hez szksges s elgsges, hogy oo+ (c ) (c ) l = e k 1 , vagy ismt trva kongruenciba,

ha

e k 1 oo + (c ) (c ) . Ilyen k pontosan akkor van, ha e relatv prm

n

oo+ (c ) (c ) -hez. De
n

oo+ (c ) (c ) (on+ (c )) =

n
(n ) , gy, ha (e, (n )) = 1 , akkor van ilyen k, s a legkisebb ilyen k pozi(c, n )

tv egsz ppen oo +

(c )

on ( c )

elemre a kc = oo +

on ( c )

(c )

(e) . Ha teht n ngyzetmentes s e relatv prm (n ) -hez, akkor

(e )

pozitv egsz szmmal c e

kc 1

M (n ) egy c

mod n = m , s ha k a kc -k legkisebb kzs

tbbszrse, akkor valamennyi c M (n ) -re c e mod n = m , s k a legkisebb ilyen tulajdonsg pozitv egsz szm.
ou (v ) osztja (u ) - nak, ou+ (v ) pedig u-nak, gy felhasznlva az el z eredmnyeket
k 1

oo +

on ( c )

(c )

(e) (oo (c ) (c )) ( (on+ (c ))) ( (n ))

+
n

minden c-re, gy kc k ( (n )) , teht, ha azt akarjuk, hogy kc a lehet legtbb c-re nagy legyen, akkor

n-et gy kell vlasztani, hogy ( (n )) -nek kevs kis osztja legyen, s a kis osztkkal csak kevs c-t
lehessen fejteni. Termszetesen mindig lesz olyan c, amely kis kitev vel fejthet , hiszen az RSA-nak
vannak fixpontjai, s ezek mr k = 1 -gyel fejthet ek, Az lenne a j, ha a fixpontok szma minl kisebb lenne, s minden ms rejtjelezett szvegb l csak nagy k kitev vel lehetne visszanyerni az eredeti zenetet.
Az el bb megfogalmazott gondolatokat pontostjuk a kvetkez kben.

4.15. Ttel
Legyen 1 < e N , 1 < n N , s m M (n ) -re c = m e mod n . Akkor s csak akkor ltezik
olyan k N + , hogy minden m M ( n ) -re c e

k 1

mod n = m , ha az f : m

m e mod n lekpezs in-

jektv az M (n ) halmazon, s ekkor o = ot (e ) a legkisebb ilyen k kitev .

Bizonyts:

Legyen most is n = i =1 p iri , ahol s N + , a pi -k pronknt klnbz prmszmok s az ri -k

s

pozitv egszek. Egy c M (n ) -re c e mod n = c pontosan akkor teljesl, ha c M e(nk ),1 , s az ilyen c-k
k

( (

( ))) . Minden lehetsges c-re akkor s csak akkor teljesl az adott

szma N e(nk ,)1 = i =1 1 + e k 1, p iri

s

e-vel s k-val, hogy c e mod n = c , ha N e(nk ),1 = n , ami viszont ekvivalens azzal, hogy n ngyzetmenk

tes s minden i-re pi 1 e k 1 . Az utbbi felttel akkor s csak akkor teljesthet , ha e relatv prm
valamennyi ( p i ) = p i 1 -hez, azaz (n ) -hez. Ha viszont ez a kt felttel teljesl, akkor az a

lekpezs injektv M (n ) -en, s

24

ae

4. RSA

(c
vagyis m = c e

k 1

e k 1

mod n

mod n = c e mod n = c = m e mod n

mod n .

Minden i-re pi 1 e k 1 akkor s csak akkor igaz, ha a ( p i ) = p i 1 -ek legkisebb kzs tbbszrse, t is osztja e k 1 -nek, vagyis e k 1 (t ) , s a legkisebb ilyen k kitev ppen o = ot (e ) .

gyen.

Nzzk meg, hogyan kell n-et vlasztani, hogy a lehet legtbb c-re az itercis fejts nehz leLegyen u N , u < v N , u1 N , u2 N , u1 < v1 N s u2 < v2 N . Ha u1 u 2 s m M u(1n ) ,

akkor n m u1 m u 2 , azaz m M u( n2 ) , teht M u(n1 ) M u(n2 ) , s ekkor N u(n1 ) N u(n2 ) . Ha u1 u 2 mellett

v1 u1 v 2 u 2 , s m M v(1n,)u1 akkor n m v1 m u1 = m u1 (m v1u1 1) m u2 (m v2 u2 1) = m v2 m u2 , vagyis

m M v(2n,)u2 , s gy M v(1n,)u1 M v( 2n ,)u 2 , valamint N v(1n,)u1 N v(n2 ,)u 2 . Ha most M v(1n,)u1 M v( 2n ,)u 2 mellett mg
N v(1n,)u1 = N v(n2 ,)u 2 , akkor azt kapjuk, hogy M v(1n,)u1 = M v(n2 ,)u 2 , vagyis ilyen esetben a kitev k nvelsvel

nem kapunk jabb modulo n gykket az x v x u alak polinomokhoz.

A fentiekben emltett itercis fejtsi lehet sg akkor alkalmazhat a gyakorlatban, ha vagy
maga o = ot (e ) rtke kicsi, vagy az zenetek nagy rsze kis kitev vel fejthet . Egy biztonsgos rendszerben teht o rtke olyan nagy, hogy gyakorlatilag lehetetlen az ilyen itercis fejts, s az o-nl
kisebb kitev kkel fejthet zenetek arnya kicsi. A legalbb 3 s fixpont mr k = 1 -gyel fejthet . Ha
o pi 1 (e ) < o , ami normlis esetben minden i-re igaz, akkor termszetesen legalbb 3 s 1 p i szm zenet mr o p i 1 (e ) kitev vel fejthet , gy az elvrsunk csak az lehet, hogy a fixpontokon kvl ennl

kisebb kitev vel ne lehessen fejteni.

Nagy o akkor rhet el, ha minden i-re o p i 1 (e ) a lehet legnagyobb, s o p i 1 (e ), o p j 1 (e ) min-

den i j -re a lehet legkisebb.

o pi 1 (e ) ( pi 1) , gy o p i 1 (e ) lehetsges legnagyobb rtke ( pi 1) , s ilyen e akkor s csak

akkor ltezik, ha pi 1 rtke 2, 4 vagy 2 p i(1) (mert p i 1 pros), ahol pi(1) pratlan prmszm s
ri

ri N + , vagyis RSA esetn pontosan akkor, ha p i 1 = 2 p i(1) , hiszen a kis prm faktorok knnyen
ri

meghatrozhatak. Legyen teht p i 1 = 2 p i(1) , ekkor ( p i 1) = p i(1)

p i(1) 1 , s legyen e egy
modulo p i 1 primitv gyk, vagyis (e, p i 1) = 1 s o pi 1 (e ) = ( p i 1) . Ha (e, p i 1) = 1 , akkor
ri 1

ri

(1) l

egyben e, p i

= 1 is igaz minden ri > l N kitev vel. Ekkor e

(1) ri 1

2 pi

2 pi(1 )

ri 1

1, 2 p i(1)

2 pi(1 )

ri

tovbb
e

2 pi(1 )

ri 1

1, 2 p i(1)

25

ri

< 2 p i(1)

ri

ri 1

1 2 p i(1)

ri 1

, teht

4. RSA
mert o pi 1 (e ) = 2 p i(1)

ri

, s vgl

2 pi(1 )

ri 1

1, 2 p i(1)

ri

2 p i(1)

ri

A hrom sszefggs alapjn

e

2 pi(1 )

ri 1

1, 2 p i(1)

ri

= 2 p i(1)

ri 1

s gy ri > 1 esetn nem teljesl, hogy csak a fixpontok fejthet ek o p i 1 (e ) -nl kisebb kitev vel. Le-

gyen ezrt minden s i N + -ra ri = 1 , vagyis az n minden prmfaktorra legyen p i = 2 pi(1) + 1 , ahol
pi(1) pratlan prmszm. Ekkor tetsz leges k pozitv egsz szmmal

(e

1, p i 1 =

pi 1

e 1 e k 1 , ezrt M e(,p1i ) M e(kp,i1) , s ha N e( kp,i1) = 2 , akkor M e(,p1i ) = M e( kp,i1) , vagyis a pi -k ilyen vlasztsval csupn a fixpontoknak megfelel zenetek fejthet ek kis kitev vel.
e rendje modulo p i 1 akkor s csak akkor oi , ha e 1 ( p i 1) s e
oi

( )= p

minden p prmosztjra, s oi ( p i 1) = p i

(1)

(1)

oi
p

/ 1 ( p i 1) az oi

1 . A modulo p i 1 primitv gykk szma

p i(1) 1
p (1) 1
, hiszen pi(1) 1 pros szm, s ( pi(1) 1) < i
, ha pi(1) 1 nem 22
2
hatvny. Ha pi(1) 1 = 2l , akkor pi(1) Fermat-prm, s ez az eset nagyon valszn tlen (taln lehetetlen).

) (

p i(1) 1 . p i(1) 1

p (1) 1
pi(1) 1
p (1) 1
1 , s pi(1) 1 = i
1 akkor s csak akkor, ha i
= pi(2 ) prmszm,
2
2
2
ms szavakkal, ha pi(1) = 2 pi(2 ) + 1 egy pi(2 ) prmszmmal. Ekkor egyrszt a primitv gykk arnya

Ekkor ( pi(1) 1)

p i(1) 1
1
( p i 1) p i 1
p (1) 3
2
=
=
= i
pi
pi
pi
2 pi
(1)

(2 )

pi 1
3
p 7 1
2
=
= i

2 pi
4 pi
4
teht knny a primitv gyk keresse, msrszt egy tetsz leges k pozitv egsz szm esetn knny
(2 )

az ellen rzs, ugyanis o pi 1 (k ) = ( p i 1) , ha p i 1 /| k 2 1 s p i 1 /| k pi 1 .

] [

Vgl az el bbi vlasztssal o = oi s i N + = 2 p i(2 ) s i N + = 2i =1 p i(2 ) , s felhasznlva

s

(2 )
o 2i =1 p i
s 1
o
az el bbi eredmnyt =
2i =1 = 2 (2 s 1) , vagyis
annl nagyobb, minl kisebb az s
s
n
4
n
p
s

i=1

rtke. Mivel RSA-nl n mindenkppen sszetett szm, ezrt a legjobb vlaszts s = 2 , ami egybknt

26

4. RSA
a fixpontok szempontjbl is a legjobb. Most i = 1, 2 -re N ( 2np) ( 2 ) = 3 p i , s ez akkor lesz mindkt eseti

,1

ben viszonylag nagy, ha p1 p 2 , azaz n mindkt faktora krlbell

((

n nagysgrend .

)
vagy ((c mod n ) c, n ) = p , s ekkor
k

Az iteratv fejtsnek ltezik a kvetkez mdostsa. Ha c e mod n c, n > 1 valamilyen pozi-

((

e
tv egsz k-val, de c e mod n c , akkor c e mod n c, n = p1
2
ismert n felbontsa, teht meghatrozhat d, a rendszert sikerlt feltrni. m a faktorok fentiekben
n
ismertetett vlasztsval a legkisebb ilyen k kitev 2 p1(2 )
, feltve, hogy p1 < p 2 .
2

A p pmszm Sophie Germain-prm, ha p = 2 p + 1 alak a p prmmel. Lttuk, hogy RSAhoz a ktszeresen Sophie Germain prmek a jk (vagyis ahol az el bbi p is Sophie Germain-prm).
Krds, hogy ltezik-e ilyen prm. A vlasz igenl : pldul 2 2 + 1 = 5 s 2 5 + 1 = 11 , 2 5 + 1 = 11
s 2 11 + 1 = 23 , 2 11 + 1 = 23 s 2 23 + 1 = 47 , 2 41 + 1 = 83 s 2 83 + 1 = 167 stb.
Az n = pq vlasztsnl az eddigieken tl egy tovbbi szempont, hogy q p sem lehet kicsi,
ugyanis (q + p ) (q p ) = 4 pq = 4n , innen (q + p ) = 4n + (q p ) , vagyis egy kis pozitv
egsz ngyzett 4n -hez adva ismt ngyzetszmot kapunk, amit knnyen lehet ellen rizni. Ha teht u
v+u
vu
s v olyan egszek, hogy 4n + u 2 = v 2 , akkor a =
,b=
s n = ab , de n egyetlen felbon2
2
tsa pq , teht a = p s b = q , n-et knny faktorizlni, s gy mr knny (n ) -et s az
2

ex 1 ( (n )) megoldst megtallni. Ez mutatja, hogy p s q vlasztsnl a q p p ( q ) felt-

telnek is teljeslnie kell, ha azt akarjuk, hogy ne lehessen knnyen megfejteni a rejtjelnket.
Ha p = 2 p + 1 s q = 2q + 1 , ahol p s q pratlan prmszm, akkor ( p 1, q 1) = 2 , ami
( p 1)(q 1) < pq = n , ahol = ( p 1, q 1) , s ha nagy,
azrt is fontos, mert t = [ p 1, q 1] =

akkor t kicsi, s kevs prblkozssal tallhat olyan d, amellyel c d mod n = m .

Most azt vizsgljuk, hogy mi a kapcsolat a rejtjel biztonsga s a rejtjelb l nyerhet rszleges
informci kztt. Megmutatjuk, hogy ha meg tudjuk llaptani a rejtjeles szvegb l a nylt szveg
utols bitjt, akkor mr az egsz szveget knnyen fejthetjk. El szr egy segderedmnyt ltunk be.

4.16. Ttel

Legyen 2 /| n N ngyzetmentes, e a (n ) -hez relatv prm pozitv egsz, f : x

x e mod n az

M (n ) halmaz nmagba val lekpezse, K Z olyan, hogy 2 e K 1 (n ) , u M , v = f (m ) s

z = u mod 2 . Ekkor u = 2 1 ( 1) u mod n M s v = K ( 1) v mod n = f (u) .

z

Bizonyts:
Els knt megjegyezzk, hogy ltezik a ttelben ignyelt K, hiszen n pratlan.
z
Ha u pros, akkor z = 0 s ( 1) u = u , ennek a fele is nem negatv egsz s nem nagyobb u-

nl, teht kisebb n-nl; pratlan u esetn z = 1 , n < ( 1) u = u < 0 , s gy ( 1) u mod n = n u ,

ez ismt pros, teht oszthat kett vel, s u ismt n-nl kisebb nem negatv egsz (most azrt rhatz

27

4. RSA
tunk u < 0 -t, mert u pratlan, ezrt nem lehet 0). e pratlan, hiszen n pratlan, egynl nagyobb pratlan szmra (n ) pros, s pros szmhoz relatv prm szm felttlenl pratlan, ezrt 1 z-edik s

ez -edik hatvnya azonos. Ezt felhasznlva 2u = ( 1)z u mod n ( 1)z u (n ) -b l

e
ez
ue (2e K )ue = K (2u ) K ( 1) u e

K ( 1) v K ( 1) v mod n = v (n )
z

s gy v az u kpe az f lekpezsnl, v = f (u ) , ahogy a ttelben lltottuk, s ezzel a bizonytst

befejeztk.
Ezt az eredmnyt felhasznljuk a kvetkez ttel bizonytsban.

4.17. Ttel

Legyen r N + , 2 /| n 2 r 1 , 2 r ngyzetmentes s e a (n ) -hez relatv prm egsz, f az M (n ) -

en rtemezett f : x
x mod n lekpezs, K Z olyan, hogy 2 e K 1 (n ) , m M (n ) , s c = f (m ) .
Ha v = f (u ) -ra g (v ) = z = u mod 2 , gy az albbi algoritmus c-b l el lltja m-et:
e

z0 = g ( y0 )

y0 = c

yi+1 = K ( 1) yi mod n

z i +1 = g ( y i +1 )

zi

r 1 > i N0 :
majd

t r 1 = z r 1

t i = ( 1) i (2t i +1 ) mod n mod 2 r i

r 1> iN:

Bizonyts:
Azt mr tudjuk, hogy K ltezik. Az el z ttelb l kvetkezik, hogy a megadott indexek mindegyikre van olyan xi , hogy y i = f ( x i ) , s gy a megfelel z i is ltezik. Azt fogjuk beltni, hogy
minden r 1 > i N 0 egszre ti = xi mod 2 r i , ebb l mr kvetkezik az llts, hiszen n < 2 r kvetkeztben mind x 0 , mind t 0 n-nl kisebb nem negatv egsz a defincik alapjn, s gy m = x 0 = t 0 .

z i az xi paritst mutatja, gy z i ppen xi jobb szls bitje az xi kettes szmrendszerbeli felrsnl, s ha i = r 1 , akkor teht x r 1 mod 2 = zr 1 = tr 1 . Tegyk fel, hogy r 1 j N + s

j > i N esetn j-re fennll az egyenl sg, teht specilisan j = i + 1 -re is. Ekkor ti+1 xi +1 (2 r i 1 ) ,

s gy 2ti +1 2 xi +1 (2 r i ) , tovbb az el z ttel alapjn y i +1 az xi +1 = 2 1 ( 1) i xi mod n zenethez

tartoz rejtjel. Innen
z

ti ( 1) i (2 ti+1 ) mod n = zi n + ( 1) i (2ti +1 )

z

zi n + ( 1) i (2 xi +1 ) = zi n + ( 1) i zi n + ( 1) i xi = xi (2 r i )
z

mert zi n + ( 1) i xi = ( 1) i xi mod n , ( 1) i ( 1) i = 1 s zi n + ( 1) i zi n = 0 , tekintettel arra, hogy z i

csupn nulla vagy egy lehet.
z

28

4. RSA

4.18. Megjegyzs
Az el z ttel alapjn belthat, hogy amennyiben azt tudjuk y-bl megllaptani, hogy x kisebb-e, mint n fele, vagy nagyobb, akkor hasonlan egyszer mr a fejts (harmadik lehet sg, azaz
egyenl sg most kizrt, mert n pratlan egsz s x egsz). Legyen ugyanis adott n > y N -re
2x
, ahol n > x N s y = f (x ) = x e mod n . Mivel x korltai alapjn 0 2 x < 2n , ezrt
n
2x
n
n
0
< 2 , gy 0, ha x < , s 1, amennyiben x > . Alkalmazva az a 1 < a a relcit
n
2
2
2x
a=
-re kapjuk, hogy 0 2 x n < n , vagyis 2 x mod n = 2 x n . De n a ttel felttele alapjn pn
ratlan, gy n 1 (2) , s evvel 2 x mod n = 2 x n n (2 ) , msknt rva (2 x mod n ) mod 2 = .
Most megmutatjuk, hogy z s brmelyikt ismerve, a msikat knny meghatrozni. Ha
e
y = 2e y mod n , akkor (2 x ) = 2 e x e 2 e y (n ) , gy x = 2 x mod n olyan, hogy y = f (x ) , teht ha
g-re van algoritmus, akkor g ( y) = x mod 2 = (2 x mod n ) mod 2 = . Fordtva, legyen y = ky mod n .
h( y ) = =

( )

Mivel f bijektv, ezrt van olyan n > x N 0 , amellyel y = f (x ) = (x ) mod n . Legyen = h y

meghatrozhat. Ekkor
e

(2 x

n ) (2 x ) = 2e (x ) 2e y 2 e Ky y x e (n ) ,
e

ami f injektivitsa s 0 x < n , 0 2 x n < n miatt csak gy lehet, ha x = 2 x n , ami egyttal

azt is jelenti, hogy x (2) s g ( y ) = . y-bl 2e y mod n illetve Ky mod n szmtsa knny feladat, s gy g s h bonyolultsga megegyezik.
Mg megemltjk, hogy ha n binris felrsban az utols s bit mindegyike 1, akkor amennyiben y-bl x als s bitjnek brmelyikt meg tudjuk hatrozni, akkor ebb l mr knny a fejts. Ennek
bizonytsa valamivel hosszabb, mint az el bbi kt eset, ezrt eltekintnk t le.

Most hrom krdsre trnk ki: mi trtnik, ha (m, n ) > 1 (m a nylt szveg s n a modulus), ha
n tbb kulcsra azonos, illetve ha tbb rsztvev re megegyezik az e kitev (de a modulusok klnbz ek).
Az els krds knnyen elintzhet . Ha n = pq s m 0 , akkor 1 < (m, n ) csak p vagy q lehet.
Ha a kzs oszt p, akkor (c, n ) = p is igaz, s ebb l a tmad meg tudja hatrozni q-t, (n ) -et s d-t,
vagyis feltri a rendszert. Ennek valszn sge azonban csekly, hiszen az n-hez nem relatv prm, nnl kisebb nem negatv egszek szma n (n ) = pq ( p 1)(q 1) = p + q 1 , s ezek arnya az np + q 1 1 1
2
nl kisebb nem negatv egszekhez
, viszont n nagy.
+
pq
p q
n
Trjnk r a msodik esetre. Legyen k rsztvev esetn azonos az n modulus, s kzlk az iedik nyilvnos kulcsa ei . Ha kzlk akr csak kett , mondjuk az 1. s 2. index , azonos nylt szveg
rejtjeles vltozatt kapja (pdul egy krlevelet), s e1 , e2 relatv prm, akkor egy tmad is vissza
tudja fejteni c1 -b l s c 2 -b l az eredeti m zenetet. Most ugyanis c1 m e1 (n ) s c2 m e2 (n ) . Mivel
e1 s e2 relatv prm, ezrt van olyan u1 s u 2 egsz, hogy 1 = u1e1 + u 2 e2 . e1 s e2 egyarnt 1-nl
nagyobb pozitv egsz, ezrt az el bbi egyenl sg csak gy llhat fenn, ha u1 s u 2 egyike pozitv, a
msik negatv. Szimmetriaokokbl brmelyikket tekinthetjk negatvnak, legyen pldul u1 < 0 s
u 2 > 0 . Ekkor

29

4. RSA
m = m1 = m u1e1+u2e2 = (m e1 ) (m e2 ) c1u1 c2u2 (n ) ,
u1

u2

( u )

innen (c1 ) 1 m c2u2 (n ) ( u1 mr pozitv), vagyis m a (c1 ) 1 x c 2u 2 (n ) kongruencia megoldsa,

s megolds biztosan ltezik, pldul az eredeti m zenet, vagyis a rejtjeles szvegekb l ismert kitev s hatvnyokkal egy egyismeretlenes lineris kongruencia megoldsaknt, teht polinomilis id ben
megkapjuk a nylt szveget (egy ilyen kongruencia pldul euklideszi algoritmussal megoldhat, s ez
polinomilis algoritmus).
Most tegyk fel, hogy k szm rsztvev nek azonos e rejtjelkitev je van, s az i-edikhez az ni
modulus tartozik, tovbb a modulusok pronknt relatv prmek (ennl enyhbb felttel is elegend
lenne). Ha egy krlevl kvetkeztben mindegyikk azonos rejtjeles szveget kap, akkor a kzs m
knnyen meghatrozhat egy kvlll rszr l is. Legyen ci az i-edik rejtjeles szveg, akkor teht
( u )

ci m e (ni ) valamennyi i-re, azaz m e a megoldsa a ci x (ni ) szimultn kongruenciarendszernek.

De ennek egy s csak egy megoldsa van modulo n, ahol n az ni -k szorzata, gy egy s csak egy olyan
megolds van, ahol n > x N 0 . Nyilvn rvnyesnek kell lennie az ni > m N 0 felttelnek minden i-

re, gy ha k e , akkor n > m e N 0 , s ezrt most m e = x , ahonnan m gykvonssal megkaphat.

Az, hogy tbb felhasznl nyilvnos rejtjelkitev je azonos, nem rendkvli. e nagysga nem
befolysolja klnsebben a rejtjel biztonsgt, ezrt a szmts egyszer sge rdekben clszer kicsire vlasztani. Ha a rendszerben sok szerepl vesz rszt, akkor el fordul, hogy br egymstl fggetlenl vlasztjk a paramtereket, de a kevs szm kis rtk kzl tbben is azonosat vlasztanak.
Mg nzzk meg a paramterek vlasztst. Vletlen prmet pldul vletlenszm genertorral
nyerhetnk: generlunk egy szmot, prmteszttel megvizsgljuk, s ha nem prm (illetve nem min stjk prmnek), akkor vehetjk a termszetes szmsorban kvetkez pratlan egszt. Tegyk fel, hogy m
nagysgrend prmet keresnk. Csebisev ttele szerint brmely szm s a ktszerese kztt van prm,
s a nagy prmszmttel szerint az x szmnl nem kisebb prmek szma, ( x ) , nagy x-ekre krlbell
x
x
, (x ) ~
. Ekkor az m s 2m kztti prmek vrhat arnya
lnx
lnx
2m
m

(2m ) (m ) ln(2m ) ln(m )

2
1
1
~
=

,
m
m
ln 2 + ln (m ) ln(m ) ln (m )
vagyis vrhatan ln (m ) ksrlet utn prmet kapunk, s t, ha figyelembe vesszk, hogy a prmek pratlanok (kivve a 2-t), s csak minden msodik szm pratlan (s persze csak ezekkel ksrleteznk),
ln (m )
akkor tlagosan
ksrlettel prmhez jutunk. Konkrtan m ~ 10100 esetn ez krlbell 115 pr2
blkozst jelent (megjegyezzk, hogy az el bbi ktszeres tartomnynl lnyegesen kisebb intervallumra is igaz, hogy van benne prm, ha x elegend en nagy, msrszr l lttuk, hogy nem akrmilyen
prm alkalmas).
e-nek relatv prmnek kell lennie (n ) -hez. Ez pldul gy biztosthat, ha q < e < n s e prm,
ahol q az n-ben lv nagyobbik prm. Ez az e valban relatv prm (n ) -hez, hiszen ez utbbi minden
prmosztja kisebb e-nl.

30

5. A Rabin-varins
Az albb ismertetend rejtjelez algoritmus lnyegben vve az RSA mdostsa, m ennl az
eljrsnl bizonytani tudjuk, hogy a bonyolultsga azonos az egsz szmok faktorizcijnak bonyolultsgval.
Legyen n egy pratlan nem negatv egsz szm s b tetsz leges egsz szm, legyen tovbb
minden m M (n ) -re c = m(m + b ) mod n . Mivel n pratlan, ezrt (2, n ) = 1 , s gy van olyan u egsz

szm, amellyel 2u b (n ) . Ekkor m(m + b ) mod n = (m + u ) u 2 mod n , teht c-b l meghatrozni

m-et ekvivalens azzal, hogy meghatrozunk egy olyan m -t, amellyel m 2 c + u 2 (n ) . Tekintettel
2

arra, hogy egy rgztett b esetn u, s vele egytt u 2 konstans, ezrt az egsz eljrs lnyegben vve
azonos az m c = m 2 mod n lekpezssel. Ennek megfelel en a tovbbiakban ezt az utbbi eljrst
vizsgljuk.
Lthat, hogy az m m 2 mod n lekpezs M (n ) -en hasonl egy olyan RSA-hoz, ahol e = 2 .
Ugyanakkor tudjuk, hogy RSA-nl az egyrtelm fejts csak akkor valsthat meg, ha (e, (n )) = 1 ,
ami csak akkor lehet igaz, ha e pratlan, hiszen n > 2 esetn (n ) pros. Egybknt ennl a lekpe-

zsnl nyilvnval, hogy nem injektv, hiszen ha m M (n ) , akkor m s n m = m mod n ngyzete,

teht kpe azonos. Majd ltjuk, hogy a helyzet ennl mg bonyolultabb, vagyis ha egy c-nek van
modulo n ngyzetgyke, akkor sszetett s pratlan modulus esetn kett nl tbb ilyen gyke van c-

nek. Azt mindenesetre tegyk fel, hogy n ngyzetmentes, vagyis n = i =1 p i , ahol s 1-nl nagyobb
s

pozitv egsz szm, s a p i -k pronknt klnbz pratlan prmszmok.

Legyen c M (n ) . c-nek akkor s csak akkor van modulo n ngyzetgyke, ha minden i-re van
modulo p i ngyzetgyke. Ekkor minden i-re kt ngyzetgyke van, kivve, ha valamelyik p i -vel
oszthat, s ha mindegyik i-re kt ngyzetgyk van, akkor ezekb l a knai maradkttellel tudunk
meghatrozni sszesen 2 s olyan u-t, amelynek a modulo n ngyzete ppen c. Prmmodulus esetn
knny feladat a modulris gykvons, s klnsen knny , ha p mod 4 = 3 , vagyis akkor, ha
p = 4k + 3 alak. Ekkor c

p +1
4

=c

p +1
2

=c

p 1
2

c , s c

ha van c-nek modulo p ngyzetgyke, akkor c

p +1
4

p 1
2

mod p =

+1
1

, teht c

= c , ellenkez esetben c

p +1
4

p +1
4

+c
, vagyis
c

= c . Amennyi-

ben teht c = m 2 mod n , akkor c-nek van modulo p i ngyzetgyke, s ha p i mod 4 = 3 , akkor
pi +1

c 4 mod p i = mi (ha p 4k + 1 -alak prmszm, akkor is van polinomilis algoritmus, amellyel meghatrozhat egy szm modulo p ngyzetgyke, feltve, hogy van neki, de az el bbi hatvnyozsnl
n
bonyolultabb ekkor az eljrs). Ha most u i olyan, hogy
u i 1 ( p i ) (mivel n ngyzetmentes, ezrt
pi
ilyen u i mindig van), akkor a knai maradkttel szerint m =

s
i =1

n
u i mi mod n mindegyike, s
pi

csak ezek, olyan, n-nl kisebb nem negatv egsz szmok, amelyeknek a modulo n ngyzete ppen c
(az sszegben az egyes tagok el jele egymstl fggetlen, s az sszes lehetsges kombinciban el fordul, gy kapjuk a legfeljebb 2 s klnbz gykt).

5. A Rabin-varins
s = 2 esetn legyen n = pq , m 2p c ( p ) , m q2 c (q ) , v p = qu p 1 ( p ) s v q = pu q 1 (q ) .

Ekkor m = ( v p m p v q m q ) mod n adja a legfeljebb ngy megoldst (kt megolds van, ha c oszthat

n egyik s csak egyik prmtnyez jvel, s egy megolds van, ha c = 0 ), s a ngy megolds kzl
n
kett (a kt megolds kzl az egyik) kisebb, mint .
2
Hogyan lehet kivlasztani a tbb megolds kzl az eredeti zenetet? Ha kiktjk, hogy az zenet legyen kisebb, mint n fele, akkor mr csak kt vltozat kzl kell vlasztani. Akr ngy, akr kt
megolds valamelyike az eredeti zenet, egyszer a vlaszts, ha valamilyen szveges zenet megfejtsr l van sz, mert ekkor elg nagy valszn sggel a tbb lehetsges vltozat kzl csupn az egyik
felel meg rtelmes zenetnek. Amennyiben viszont ms jelleg az eredeti zenet, akkor mr nehezebb
a tbb, ltszlag rtelmetlen szvegb l kivlasztani a tnyleges megfejetst. Ilyenkor (is) segt, ha az
zenet egy el re meghatrozott rszn (pldul fejlcben) valamilyen el re rgztett formnak vagy
tartalomnak megfelel informci van.
Az el bbiek szerint knny fejteni a Rabin-varinssal rejtjelezett szveget, ha valaki ismeri n
prmtnyez it. Ugyanakkor a modulris ngyzetgykvons s az egsz szmok faktorizcija algoritmikusan azonos nehzsg problma, vagyis ha az egyik nem oldhat meg polinomilis id ben, akkor
a msik sem, teht az n felbontsnak ismerete nlkl a Rabin-varins gyakorlatilag fejthetetlen. Tegyk ugyanis fel, hogy kpesek vagyunk polinomilis id ben ngyzetgykt vonni egy sszetett modulusra vonatkozan, vagyis tetsz leges v esetn, feltve, hogy v kvadratikus maradk modulo n, azaz
van v-nek modulo n ngyzetgyke, az n prmfaktorainak ismerete nlkl polinomilis id ben meg tudjuk hatrozni v valamely ngyzetgykt. Vlasszunk ekkor egy n-nl kisebb nem negatv u vletlen
szmot, s legyen v = u 2 mod n , majd hatrozzuk meg az algoritmusunkkal v egy ngyzetgykt. Ha
az eredmny u1 , akkor u12 mod n = v = u 2 mod n , vagyis n u 2 u12 = (u u1 )(u + u1 ) . Ha n u u1

vagy n u + u1 , akkor u = u1 vagy u = n u1 , s semmi j informcink nincs. Ha ellenben az el bb

emltett kt oszthatsg egyike sem igaz, de a szorzat oszthat n-nel, akkor (n, u u1 ) = n1 , ahol n1 az
n egy nem trivilis osztja, s ekkor faktorizltuk n-et. Ha n = pq a pratlan s klnbz p s q
prmszmokkal, s u relatv prm n-hez, aminek a valszn sge, mint lttuk, csaknem 1 (ha pedig
nem relatv prmek, akkor azonnal megkapjuk n felbontst), akkor v-nek ngy ngyzetgyke van, s
1
annak a valszn sge, hogy az algoritmus ppen az ltalunk vlasztott vletlen szmot vagy annak
2
ellentettjt szmolja ki n ngyzetgykeknt. Vrhatan teht egy-kt ksrlet utn u1 a msik kt
ngyzetgyk egyike lesz, s vgeredmnyben polinomilis id ben faktorizltuk n-et (nyilvn hasonl
a helyzet, ha n kett nl tbb klnbz prmszm szorzata). Mivel jelen ismereteink szerint a faktorizlsra nincs polinomilis futsi idej algoritmus, sszetett modulus esetn a tnyez k ismerete nlkl
a c x 2 (n ) kongruencia gykeinek meghatrozsa algoritmikusan nehz feladat, gy a Rabin-varins
alkalmas rejtjelezsre.
A konkrt megvalsts sorn ltalban n mindkt prmfaktora 4k + 3 alak. Az ilyen szmokat
1
1
Blum-egsznek hvjk. Ekkor
= 1 =
, s ha a c ngy lehetsges ngyzetgyke kzl
p
q
mondjuk m = v p m p + v q m mod n olyan, hogy

v p m p + vq m
n

= 1 =

v p m p vq m
n

m
= 1 , akkor
n

m
= 1 , s a msik kt gykre
n

, ahol a pratlan u s v egsz szmra

32

u
v

a Jacobi-szimblum.

6. Diszkrt logaritmus
Legyen G egy n-edrend ciklikus csoport a g genertorelemmel. Ekkor a G brmely u elemhez
van egy, a g s u ltal egyrtelm en meghatrozott, n > k N egsz szm, amellyel g k = u , s ennek
megfelel en az az u k szably, amely u-hoz az el bbi k-t rendeli, G-nek M (n ) -be val bijektv lekpezse ( M (n ) a korbban mr ms sszefggsben definilt halmaz, amely az n-nl kisebb nem negatv egsz szmokat tartalmazza.) Az el bbi lekpezst ind g u -val vagy log g u -val jelljk, s g-

alap diszkrt logaritmusnak vagy g-alap indexnek nevezzk. Knny ellen rizni, hogy
ind g (uv ) = (ind g u + ind g v ) mod n ;
ind g u = 1 u = e ;
ue

ind g u 1 = n ind g u ;

ind g u r = (r ind g u ) mod n .

ahol e a csoport egysgeleme, s r tetsz leges egsz szm.

k ismeretben, adott g esetn, u meghatrozsa knny feladat, m az inverz m velet a mai ismereteink szerint algoritmikusan nehz feladat, ezrt alkalmazhatjuk a rejtjelezsben. A diszkrt logaritmus meghatrozsra tbb algoritmus is ltezik, ezekb l most kett t ismertetnk.
n

1. Legyen g az n-elem G ciklikus csoport genertoreleme, s n , s c = g s , ekkor c egy sedrend elem. Ha s = e , akkor alkalmas s > m N kitev vel = c m . Most ismeretben meg
akarjuk hatrozni az m kitev t, feltve, hogy m 0 , hiszen ellenkez esetben = e , s innen azonnal
ltjuk a megoldst. A feladatot megoldhatjuk pldul gy, hogy d 0 = e -b l kiindulva addig kpezzk

s > i N + -ra a d i = d i 1c elemet, amg valamilyen s > k N + -ra d k meg nem egyezik -val. Ekkor
d k = c k , s mivel c rendje s, ezrt ez csak k = m -mel lehetsges. Egy msik megolds, hogy el re kiszmtjuk s > j N -re a d j = c j hatvnyokat, s eltroljuk ket. Amikor diszkrt logaritmust kell
meghatrozni, akkor mr nincs ms dolgunk, mint egyms utn sszehasonltani -t a d j elemekkel,
s ha k-ra tallunk egyezst, akkor az el z megfontols alapjn ismt azt kapjuk, hogy k s m azonos.
Mindkt esetben feltesszk termszetesen, hogy nem egyetlen logaritmus meghatrozsa a cl, gy az
els megoldsnl gyakorlatilag nincs memriaigny, de sokat kell szmolni, mg a msodik esetben
csak egyszer kell szmolni, utna mr csupn sszehasonltsok vannak, viszont nagy s esetn nagy
trolkapacitsra van szksg.
A kt igny egyms rovsra mdosthat. Legyen t 1-nl nem nagyobb nem negatv vals
szm, s u = s t . Az el bbi m egyrtelm en rhat m = au + b alakban, ahol b u-nl kisebb nem nemb m s
s
s
gatv egsz; ekkor a =
< = t t = s 1t s 1t . Szmtsuk ki s troljuk c u > k N
u
u u
s
s
kitev s hatvnyait. m meghatrozsa ekvivalens a s b megadsval. Legyen r = c u , ekkor az

( )

= c m = c au + b = c u

c b egyenl sgb l

r a = c b . Az eljrs teht a kvetkez . Induljunk ki

0 = -bl, s nzzk meg, hogy teljesl-e valamilyen t-vel az 0 = c t egyenl sg. Ha igen, akkor
a = 0 s b = t -vel c au +b = , s kszen vagyunk. Ha nem, akkor legyen 1 = 0 r , s ismteljk
meg a keresst. Ha sikerrel jrtunk, akkor a = 1 s b = t -vel megtalltuk a megoldst, ha nem, akkor

6. Diszkrt logaritmus
legyen 2 = 1 r stb. Ez az eljrs vges sok lpsben pozitv eredmnnyel befejez dik, hiszen
i = a -val a keress i -re sikeres lesz.
2. Tegyk fel, hogy n = i =1 piri , ahol a pi -k pronknt klnbz prmek, s s valamint az
s

ri -k pozitv egszek. Ha meg tudjuk hatrozni az m (i ) = mod piri egszeket, akkor ebb l a knai maradkttellel egyrtelm en megkapjuk -t is. m (i ) szintn egyrtelm en rhat m (i ) =

ri 1
j =0

m (ji ) p ij

alakban, ahol az m (ji ) egytthatk mindegyike pi -nl kisebb nem negatv egsz, gy a feladat az, hogy
minden i-re s j-re meghatrozzuk m (ji ) rtkt. Mivel a feladat minden i-re azonos, ezrt a tovbbiakban az i indexet elhagyjuk. Most ismt ki kell szmolni s elraktrozni a d j = g
ahol p > j N . Mivel g

n
p

n
p

hatvnyokat,

primitv p-edik gyk, ezrt a p > t N -kitev s hatvnyok egyrtelm en

hatrozzk meg az el bbi hatrok kz es kitev ket. = m + t p r egy alkalmas nem negatv t
egsszel (amely persze ltalban nem kisebb a megfelel prmnl), s gy r > k N -ra

k 1
j =0

m j p j + m k p k + p k +1

Tegyk fel, hogy mr ismerjk m 0 ,

ck p k +1 = (g g
n

u k

n
p k +1

(r 1) (k +1)
j =0

m (k +1)+ j + tp r (k +1) = u k + m k p k + v k p k +1 .

, m k 1 , vagyis u k rtkt, gy a c k = cg u k jellssel

= g

n
mk p k + vk p k +1 p k +1

= g

n
p

mk

(g )

n vk

= g

n
p

mk

= d mk ,

vagyis c 0 = c -b l indulva egyms utn meg tudjuk hatrozni a d mk s ezltal az m k rtkeket, s ebb l a soron kvetkez c k +1 -et.
A msodik eljrsban termszetesen alkalmazhatjuk az els eljrst a keressi m veleteknl.

34

7. Integrits, szemlyazonosts, hitelests

Az aktv tmadssal szembeni vdekezs sorn a kvetkez kr l van sz

a kldtt zenet integritsnak ellen rzse;

a rendszerhez val hozzfrs jogosultsgnak ellen rzse;
a kldtt zenet hitelessgnek ellen rzse.
Az zenet integritsa annak srtetlensgt jelenti. Azt jelenti, amit gy szoktak mondani, hogy
semmit el nem vettem bel le, s semmit hozz nem tettem. Erre a clra gynevezett ujjlenyomatot
hasznlnak, amelyet egy hastfggvny, msknt egy hash-fggvny llt el . Az ilyen fggvnyek
tetsz leges hosszsg karaktersorozatbl egy fix hosszsg karaktersorozatot lltanak el . Kt fajtja van:

az MDC (Modification Detection Code);

a MAC (Message Authentication Code).
Az el bbi csupn az eredeti zeneten vgrehajtott mdostst jelzi, mg a msodik titkos kulcs
rendszerekben m kdik, s egyben hitelestst is vgez, amelyet gy biztost, hogy ehhez az eljrshoz a felad kulcsra van szksg. Az MDC egy m zenethez egy h(m ) rtket, mg a MAC egy
hk (m ) rtket szmt ki, ahol h a hastfggvny, s k a kulcs. MDC esetn h(m ) -et valamilyen mdon vdeni kell a tmadtl, hiszen h normlis krlmnyek kztt nyilvnos. Ha az eredeti adat trolsa sorn felmerl vltozsok ellen rzsre hasznljuk a kivonatot, akkor elegend , ha ezt a kivonatot az eredeti adattl elklntve, biztonsgos helyen troljuk. Adattvitel esetn az egyik lehet sg,
hogy mikzben m-et egy nyilvnos csatornn kldjk, h(m ) egy biztonsgos csatornn kerl tvitelre.
Ha viszont h(m ) -et m-mel egytt egy nyilvnos csatornn kldjk, akkor gondoskodni kell arrl, hogy
h(m ) -et ne lehessen az zenet manipullsval egytt, annak megfelel en vltoztatni. Az egyik lehet sg, hogy h(m ) -et titkostjuk a szimmetrikus kulcsunkkal, vagy alrjuk a nyilvnos kulcs rendszerben, s ezt a titkostott vagy alrt kivonatot mellkeljk m-hez (ez egyben mr hitelests is),
vagy m h(m ) -et titkostjuk, ahol a kett s vonal a konkatencit, az egyms mell rst jelli, vagyis a
kivonatot egyszer en az zenet vghez illesztjk, s az gy toldalkolt szveget sifrrozzuk. A MAC
esetn elegend a kivonatot sszef zni az eredeti zenettel.
Ismert MDC-algoritmusok az MD4, MD5 (Message Digest algorithm; az MD4 egyrtelm en
nem biztonsgos, s a msikban is talltak tkzst, ezrt nem javasoljk a hasznlatt), tovbb az
SHA-1 (Secure Hash Algorithm) s a RIPEMD-160 (RACE [Research and Development in Advanced
Communications Technology in Europe] Integrity Primitives Evaluation Message Digest algorithm).
MAC-et pldul brmely blokkos rejtjellel el lehet lltani CBC-zemmdban, mint az utols blokk.
Az MDC-nl hasznlt hash-fggvnyt l elvrt tulajdonsgok:

legyen srezisztens, vagy msknt egyirny, ami azt jelenti, hogy tetsz leges x zenethez
knnyen lehessen kiszmtani a megfelel h( x ) kivonatot, de szinte minden olyan y-ra, amely egy
lehetsges ujjlenyomat, nehz, teht gyakorlatilag kivitelezhetetlen legyen olyan x-et tallni, amelyre
y = h( x ) ;
legyen msodik srezisztens, gyengn tkzsrezisztens, vagyis adott x-hez legyen gyakorlatilag lehetetlen olyan, az x-t l klnbz x -t tallni, amellyel h(x ) = h( x ) ;
legyen (er sen) tkzsmentes, azaz legyen gyakorlatilag lehetetlen olyan x, x x prt tallni, hogy h(x ) = h( x ) .

7. Integrits, szemlyazonosts, hitelests

A harmadik tulajdonsgbl kvetkezik a msodik. Ha ugyanis a fggvny nem msodik srezisztens, akkor van olyan x, hogy h( x ) -hez knnyen lehet egy x x -t tallni, amelyre h(x ) = h( x ) .
Ekkor erre az x-re s x x -re h(x ) = h( x ) , vagyis talltunk olyan kt klnbz bemenetet, amelyekhez azonos fggvnyrtk tartozik, s gy a fggvny nem tkzsmentes.
A MAC-nl alkalmazott kivonatol-fggvnnyel szembeni elvrs, hogy legyen kiszmtsrezisztens, azaz adott (xi , hk (xi )) -k mellett szmtstechikailag ne lehessen egy, az xi -kt l klnbz
x-szel hk ( x ) -et kiszmtani a kulcs ismerete nlkl.
A kvetkez krds az identifikci. Az informcis biztonsg megkveteli, hogy adott tevkenysget csak arra feljogostott szemly vgezhessen, vagyis a tevkenysg megkezdse el tt igazolja a szemlyazonossgt. Ennek klnbz megoldsi mdszerei vannak, amelyek hrom f csoportba
sorolhatak:

az illet birtokol valamit;

az illet tud valamit;
az illet inherensen rendelkezik valamivel.
Az els re plda egy kulcs, a harmadikra plda az ujjlenyomat. Most a msodikkal foglalkozunk.
Az identifikcis protokollal szembeni elvrsok a kvetkez ek:

ha A s B becsletes, A sikeresen tudja magt igazolni B-vel szemben;

B ne legyen kpes A egy korbbi azonostsi eljrst felhasznlva A-knt azonostani magt
C-vel szemben;
elhanyagolhat legyen annak a valszn sge, hogy egy A-tl klnbz C magt A-knt
igazolja B-vel szemben;
az el bbiek akkor is teljesljenek, ha C (polinomilisan) sok korbbi, A s B kztti identifikcit figyelt meg, vagy korbban akr A-val, akr B-vel rsztvett a protokollban, illetve,
ha szimultn tbb folyamat rsztvev je lehet C.
Itt a leggyakoribb a jelszavas identifikci. Ennl er sebb mdszer a kihvs vlasz (challenge and response), amelyet pldul katonai repl gpeken hasznlnak a bart ellensg felismersre (IFF - Identification Friend or Foe). Egy lehetsges vltozata szimmetrikus kulcs rendszerben,
hogy B kld A-nak egy vletlen szmot, s A ezt visszakldi a kzs kulccsal rejtjelezve. Most a leger sebb mdszerrel, a ZKP-vel (Zero Knowledge Protocol) foglalkozunk rviden.
A ZKP lnyege, hogy az ellen rz szemly csupn egyetlen bitnyi informci birtokba jut az
azonosts vgn, nevezetesen, hogy A az-e, akinek mondja magt. A megoldst az albbi bra segtsgvel lehet megrteni.

36

7. Integrits, szemlyazonosts, hitelests

Az brn B, J s F ajtk, mg fll a vastag vonal egy falat reprezentl. A azt lltja, hogy keresztl tud menni ezen a falon, s err l meg akarja gy zni B-t, de gy, hogy nem akarja megmutatni
neki a trkkt. Az eljrs a kvetkez . A az F ajtn keresztl belp az pletbe, majd becsukja az ajtt, s vagy B-n, vagy J-n megy tovbb, becsukva maga mgtt ezt az ajtt is. Ezek utn B belp F-en
keresztl az el trbe, s szl A-nak, hogy jjjn ki mondjuk a J ajtn keresztl. Ha A valban keresztl tud menni a falon, akkor brmelyik oldalon is ment be az plet belsejbe, ki tud jnni J-n keresztl. Persze akkor is ki tud itt jnni, ha nem igaz, amit lltott, de ppen ezen az ajtn ment be, vagyis
ebben az esetben is van 50%-nyi sansza a sikerre. Ha azonban pechre a msik oldalon ment be, akkor
lebukik. Ez azt jelenti, hogy elg nagy eslye van arra, hogy nem bukik le (pontosan akkora, mint annak, hogy lebukik). Meggy z ez az eredmny? Ha elbukott, akkor igen, m, ha sikerrel vette az akadlyt, akkor nem tlsgosan. Igen m, de ha mondjuk tz egyms utni ksrlet mindegyikben a j
oldalon jelenik meg, akkor mr csak 1 az 1000-hez (pontosabban az 1024-hez) az eslye, hogy mindegyik alkalommal jl teljest, s ha mg ez sem elg, akkor ennl is tbb prbt krhet B. Ha sszesen
n fordult jtszanak le, akkor 2 n annak a valszn sge, hogy egy csalnak mindig szerencsje van,
vagyis, hogy mindig el re megrzi, honnan kell majd kijnnie. Egy szemernyi ktsg mindig maradhat
B-ben, ha nagyon nem akar hinni A-nak, de azrt a jzan sz mgiscsak hajlik arra, hogy elegend en
sok ksrlet utn elhiggye, A valban keresztl tud menni a falon.
Knny ellen rizni, hogy teljeslnek-e az identifikcival kapcsolatban megfogalmazott elvrsok.
Egy ilyen identifikcis algoritmus a Fiat-Shamir protokoll. Itt van mondjuk egy kzs n = pq
modulus, ahol p s q klnbz pratlan prmszm, minden rsztvev nek van egy titkos i azonostja,
s nyilvnos s = i 2 mod n . A gy akarja igazolni magt B fel, hogy nem rulja el i-t. Ezt, mint a fenti
pldban, tbb fordulban hajtja vgre (annyiban, amennyit B hajt de azrt az sszer sg hatrain
bell). A minden fordulban elkld B-nek egy u szmot, amely, ha A becsletes, akkor egy ltala ebben a fordulban vlasztott, s titokban tartott r vletlen szm ngyzetnek a maradka, vagyis
u = r 2 mod n . Ekkor B visszakld A-nak egy ltala tetszs szerint vlasztott b bitet, mire A-nak az a
feladata, hogy elkldje B-nek ri b mod n -et. Tegyk fel, hogy A egy v-t kldtt most. B-kiszmtja

v 2 mod n -et, s ezt az rtket egybeveti us bA mod n -nel. Ha A tnyleg az, akinek mondja magt, akkor
ismeri i A -t, s becsletesen jtszik, vagyis ekkor
v 2 mod n = (riAb mod n ) mod n = r 2 (i A2 ) mod n =
b

= (r 2 mod n )(i A2 mod n ) mod n = us bA mod n

b

Amennyiben viszont A nem A, csak annak mondja magt, akkor csak 50%-nyi eslye van minden fordulban, hogy tmegy a teszten. Ha arra tippel, hogy B b = 0 -t mond, akkor az els krben szablyosan elkldi a vlasztott vletlen szm ngyzetnek maradkt, s ha B valban a 0-s bitet kldi, akkor
vissza tudja kldeni r-et. Ha viszont B 1-est kld, akkor bajban lesz a hamis A, hiszen nem ismeri i A -t,
s jelenlegi tudsunk szerint sszetett modulus esetn, a faktorok ismerete nlkl gyakorlatilag lehetetlen a ngyzet maradkbl az eredeti szmot meghatrozni, vagyis bukik. Ha viszont 1-re szmt,
r2
akkor ravaszul u-knt nem r 2 mod n -et, hanem v =
mod n -et kldi B-nek ( s A relatv prm n-hez,
sA
mert ha nem az, akkor n-nel val legnagyobb kzs osztja vagy p vagy q, s ezzel brki ki tudja szmolni brkinek a titkos azonostjt a megfelel nyilvnos adatbl, ugyanis prmszm modulus esetn
a modulris gykvons knny feladat). Ha b valban 1, akkor a msodik krben r-et kldi vissza, s
B az ellen rzsnl egyez sget tall. m, ha a b most a szmtsa ellenre 0, akkor bajban lesz az lA, mert most olyan t szmot kellene kldenie, amellyel t 2 mod n = v , vagyis egy modulris gykvonst kellene vgrehajtania egy sszetett modulusra nzve, amelynek nem ismeri a felbontst.

37

7. Integrits, szemlyazonosts, hitelests

Az identifikci csak egy adott pillanatban, egy rvid ideig azonost egy szemlyt, mg az integrits biztostsa nmagban egyltaln nem biztostja az adott dokumentum hitelessgt. Ezt a feladatot az alrs oldja meg. Az alrssal szembeni elvrsaink az albbiak:

legyen hiteles;
legyen hamisthatatlan;
ne lehessen jra felhasznlni;
ne lehessen az alrt dokumentumot megvltoztatni;
ne lehessen az alrst letagadni.

A digitlis alrs lnyegesen klnbzik a hagyomnyos alrstl. Az utbbi fggetlen a dokumentum tartalmtl, s ppen azt vrjk el az alrtl, hogy klnbz id pontban ms s ms dokumentumon elhelyezett kzjegye nagyjbl legyen azonos. Ezzel szemben az elektronikus alrs
tartalomfgg , vagyis az alrs klnbz dokumentumokon szinte biztosan ms lesz, s ez jelent sen megnehezti a hamist dolgt. A msik oldalon viszont a kzrsos alrs a hordozhoz rgztett,
mg a kriptogrfiai alrs brmikor thelyezhet egy adathordozrl egy msikra, ezrt nagyon lnyeges, hogy tnyleg er sen fggjn az alrs az alrt dokumentum tartalmtl.
A klasszikus rejtjelezs esetn a titkosts egyben alrs is, hiszen csak a felad ismerhette a
rejtjelez kulcsot (feltve, hogy minden kulcsot csak egy kld s egy fogad ismer). A nyilvnos
kulcs rendszer esetn viszont a titkosts semmilyen kapcsolatot nem biztost a kulcs gazdjval, hiszen az nyilvnos, brki ltal hozzfrhet , ezrt itt a titkosts nem jelent egyben hitelestst is.
A digitlis alrsnak kt nagy csoportja van:

toldalkos;
zenet-visszanyerses.
Az el bbinl nem a teljes zenetet rjuk al, hanem annak csak a kivonatt, ami gyorstja az eljrst. Ekkor az zenettel egytt elkldjk az alrt kivonatot is, s a cmzett a megkapott zenet kivonatt egybevetheti a kapott, alrt kivonattal. A msodik mdszer esetn a teljes zenetet rjuk al.
Ekkor azonban megfelel vintzkedst kell tennnk. Tegyk fel, hogy az alrsra a jl ismert RSA-t
hasznljuk, fordtott zemmdban. Ekkor az m zenet A ltal alrt pldnya m = m d A mod n A , amit
valban csak a leglis kld tud kiszmtani, s amib l a cmzett knnyen ellen rizni tudja, hogy
tnyleg A kldte-e, s id kzben nem mdosult-e az zenet. Ehhez A nyilvnos kulcst kell hasznlnia, hiszen meA mod n A = m , de ha a szmtst nem A titkos kulcsval vgeztk, vagy mdostottk az
alrt zenetet, akkor mr (szinte biztosan) nem fog teljeslni az egyenl sg. Igen m, de az a baj,
hogy most B nem tudja, mi volt m, gy nem tudja ellen rizni, hogy nem trtnt-e vltozs. A megolds, hogy az alrs el tt redundancit visznk az zenetbe, olyan redundancit, amelyet az alrt,
vagy hamisan alrt zenettel nem lehet (vagy csak nagyon vak tyk alapon lehet) elrni. Tipikusan
ilyen redundancia, hogy az zenetet dadogsan, ktszer egyms mell msolva rjuk le, s ezt rjuk
al, erre alkalmazzuk a titkos kitev nket.
Az elektronikus alrsrl szl trvny a digitlis alrs biztonsga szempontjbl hrom fokozatot klnbztet meg:

elektronikus alrs;
fokozott biztonsg elektronikus alrs;
min stett elektronikus alrs.
A trvny megfogalmazsa szerint

38

7. Integrits, szemlyazonosts, hitelests

Elektronikus alrs: elektronikus dokumentumhoz azonosts cljbl logikailag hozzrendelt s azzal elvlaszthatatlanul sszekapcsolt elektronikus adat, illet leg dokumentum.
Fokozott biztonsg elektronikus alrs: elektronikus alrs, amely megfelel a kvetkez
kvetelmnyeknek:
a. alkalmas az alr azonostsra, s egyedlllan hozz kthet ,
b. olyan eszkzzel hoztk ltre, amely kizrlag az alr befolysa alatt ll,
c. a dokumentum tartalmhoz olyan mdon kapcsoldik, hogy minden az alrs elhelyezst kvet en az iraton, illetve dokumentumon tett mdosts rzkelhet .

Min stett elektronikus alrs: olyan fokozott biztonsg elektronikus alrs, amely
biztonsgos alrs-ltrehoz eszkzzel kszlt, s amelynek hitelestse cljbl min stett
tanstvnyt bocstottak ki.
A trvnyhez kiadott irnyelvek szerint a min stett alrshoz alkalmazott alrshoz az RSA-t
s a DSS-t (Digital Signature Standard, a DSA mint szabvny neve) ajnlott alkalmazni, ez utbbinak
az elliptikus grbs vltozatt is. Az RSA zenet-visszanyerses, br az ilyen tpus mindig hasznlhat
a msik zemmdban is, mg a msodik algoritmus toldalkos, hiszen fix hosszsgon dolgozik. Az
zenet-visszanyerses techniknl, ha szksges, az alrt zenetet titkosthatjuk a cmzett nyilvnos
kulcsval, mg a msik mdszer esetn ilyenkor az zenethez lncolt alrssal egytt titkostjuk az

zenetet. Az RSA esetn teht ekkor EeB Dd A (m ) = (m d A mod n A ) mod nB -t kldi A a msik flnek,
eB

B-nek. Ha a kt modulus klnbz , mrpedig majdnem mindig ez a helyzet, akkor n B < n A esetn
problms a titkosts, amint azt knny vgiggondolni. Ezzel most nem foglalkozunk, hanem egy
ms krdst vizsglunk egszen rviden. Els rnzsre gy t nhet, hogy az el bbi transzformci

helyett Dd A EeB (m ) = (m eB mod nB ) mod n A -t is kldhetn A, B ugyangy helyre tudn lltani az

dA

eredeti zenetet. Ekkor azonban egy aktv tmad A nyilvnos kulcsval kiszmolhatn E eB (m ) -et, s

utna a sajt kulcsval alrva a levelet tovbbtan azt B-nek. Ha a titkostott szveg nem utal A-ra,
akkor B azt hiszi, hogy C volt a felad, s pldul vlaszolva neki, C fontos informcik birtokba
juthat, vagyis lnyeges a kt transzformci sorrendje.

39

8. Titokmegoszts
Egy nllan megoldand krdssel kezdjk: ha adott egy kincseskamra, amelyhez n embernek
van kulcsa, de akkor s csak akkor lehet kinyitni az ajtajt, ha legalbb k ember jelen van, akkor hny
zrat kell elhelyezni a bejraton, s egy-egy embernl hny zr kulcsa kell, hogy legyen?
A mi szempontunkbl a problma gy merl fel, hogy ha adott egy T titkos informci, hogyan
oldhat meg, hogy adott n emberb l brmely legalbb k meg tudja hatrozni T-t, de tetsz legesen kivlasztott k-nl kevesebb erre ne legyen kpes. Az ilyen rendszereket szoks (n, k ) -kszbrendszernek is nevezni.
A felvetett krdsnek szmos megoldsa ltezik, itt most kzlk kett t ismertetnk.
1. Legyen p, valamint n i N + -ra mi pozitv egsz szm gy, hogy az mi -k pronknt relatv

(k )
prmek, tovbb a k legkisebb mi szorzata, M min
, legyen nagyobb, mint a k 1 legnagyobb mi szor-

( k 1)
(k 1)
(k )
(k )
zatnak, M max
-nek a p-szerese, vagyis legyen pM max
< M min
, vgl legyen T < M min
. Ha a rsztvev ket az n i N egszekkel azonostjuk, akkor az i-edik rsztvev kulcsa az (mi , Ti ) pr, ahol
Ti = T mod mi . a mod b defincija alapjn ltjuk, hogy Ti T (mi ) , gy T egy szimultn lineris
kongruenciarendszer megoldsa. Jellje J az n-nl nem nagyobb pozitv egszek halmaznak tetsz leges rszhalmazt, azaz legyen J {i N + i n }. Ha a J ltal meghatrozott szemlyek akarjk

meghatrozni T-t, akkor megoldjk az i J : x Ti (mi ) kongruenciarendszert. Ennek egy s csak

egy megoldsa van az M ( J ) := iJ mi -nl kisebb nem negatv egszek halmazn, s ha ez T0( J ) , akkor a Tr( J ) = T0( J ) + rM ( J ) egszek s csak ezek a megoldsai az el bbi rendszernek, ahol r vgigfut az

egsz szmok halmazn, az pedig nyilvn igaz, hogy T is megolds, gy valamely r egszre T = Tr( J ) .
Kt eset lehetsges.

(k )
, s mind T, mind T0( J ) az M ( J ) -nl kisebb nem negatv
a) J k . Ekkor M ( J ) M min

megolds, gy szksgszer en megegyeznek, vagyis T = T0( J ) , teht a kongruencia megoldsval rendelkezsre ll a keresett titkos informci.
(k 1)
(k )
b) J < k . Ebben az esetben T0( J ) < M ( J ) M max
< M min
, s gy Tr( J ) minden olyan r nem
(k )
negatv egsszel, amellyel T0( J ) + rM ( J ) < M min
, lehetsges megolds. A lehetsges T rtkek szma

(k 1)
(k 1)
(k 1)
(k )
legalbb p, hiszen ha 0 r < p , akkor T0( J ) + rM ( J ) < M max
+ ( p 1)M max
= pM max
< M min
. Ha p
nagy, akkor T potencilis rtkeinek szma nagy, s ezek kzl semmilyen mdszerrel nem tudjuk
meghatrozni a tnyleges rtket, s t, brmelyikk azonos esllyel lehet a valdi megolds.

Az a felttel, hogy az mi -k pronknt relatv prmek, nem lnyeges kikts. Az ltalnos eset-

(k )
ben M ( J ) = [mi i J ] , ahol a szgletes zrjel a legkisebb kzs tbbszrst jelli, ekkor M min
az

sszes lehetsges mdon kivlasztott k klnbz indexhez tartoz mi legkisebb kzs tbbszrs-

( k 1)
nek minimuma, mg M max
a k 1 -elem indexhalmazhoz tartoz mi -k legkisebb kzs tbbszrseinek maximuma.
A rendszer bizonyos hibavdelmet is jelent (akr vletlen, akr szndkos hiba esetn), ugyanis
a kongruenciarendszernek akkor s csak akkor van megoldsa, ha a J indexhalmazbl vlasztott br

mely kt klnbz u s v indexre a megadott mu s m v legnagyobb kzs osztja osztja a Tu Tv

klnbsget. Annak a valszn sge, hogy ez valamennyi prra teljesl, amennyiben bizonyos indexekre a vessz s rtkek egy rsze nem azonos az eredetivel, elg kicsi lehet (ez gy persze nem egy
pontos matematikai llts, de nyilvn pontoss tehet ).

8. Titokmegoszts
2. A msodik mdszer a vges testeket alkalmazza. Legyen q az n pozitv egsznl nagyobb
prmhatvny, s f egy tetsz leges, legfeljebb k 1 -edfok polinom Fq fltt. Ha az n-nl nem nagyobb pozitv egszekre az u i -k a test pronknt klnbz , nem nulla elemei, s vi = f (u i ) , akkor
legalbb k klnbz (u , v ) pr egyrtelm en meghatrozza a polinomot, s akkor f (0 ) -t is. Legyen
i

teht T = f (0 ) , s az i-vel azonostott rsztvev kulcsa (u i , vi ) . Azt mr lttuk, hogy ha legalbb k pr

ismert, akkor T meghatrozhat. Ha viszont legfeljebb csak k 1 pr ll rendelkezsre, akkor legalbb q olyan, legfeljebb k 1 -edfok polinom van, amely az el bbi pontokban a megadott rtket
veszi fel, s ezek 0-ban felvett rtke kztt a test minden eleme el fordul, gy T-r l semmilyen informcink nem lesz.
Legyen az u i -k rendjeinek legkisebb kzs tbbszrse t, s u primitv t-edik egysggyk Fq
fltt. u eleme Fq -nak, hiszen az u i -k mindegyike benne van a testben, s gy mindegyikk rendje
osztja q 1 -nek, de akkor t is osztja ennek az egsznek. Az is igaz, hogy t n , hiszen az u i -k pronknt klnbz ek, s mindegyikk az u egy nem negatv, t-nl kisebb egsz kitev s hatvnya. Feltehetjk, hogy n s t megegyezik, ugyanis ellenkez esetben fiktv rsztvev kkel b vthetjk a rendszert. Ekkor u primitv n-edik egysggyk, megfelel indexelssel u i = u i , s

( )

vi = f (u i ) = f u i =

k 1
j =0

( )

f j ui

= (ne )

n 1
j =0

(nf )(u )

i j

ahol k j < n -re f j = 0 , ami nem ms, mint az Fq feletti n-dimenzis tr egy olyan elemnek, nf nek, u-val vett inverz Fourier-transzformltja, amelyben n k egyms utni komponens rtke (nevezetesen a k j < n idexhez tartoz komponensek) 0. Ez viszont azt jelenti, hogy az n darab vi egy
Fq fltti, [n, k ]q paramter Reed-Solomon kd egy kdszavnak tekinthet , s az i-edik rsztvev
kulcsa az (i, vi ) pr (ez persze lnyegben vve azonos a korbbi kulccsal, hiszen i egyrtelm en

meghatrozza u i -t, teht u i -t). Tegyk fel, hogy s = k + 2r kulcs ll rendelkezsnkre, amelyek kzl r klnbzik a valdi kulcstl (akr vletlenl, akr szndkosan), vagyis ismert egy olyan vektor
s komponense, amely ezen pozcik kzl r helyen klnbzik az eredeti kdsztl. Ez egyben azt is
jelenti, hogy adott n s olyan pozci, amelynek nem ismerjk az rtkt. A helyzet gy is felfoghat, hogy van egy vektorunk, amely egy kdszbl n s trl dses hibval, s r tovbbi hibval keletkezett. Egy d tvolsg kd helyesen javt, ha a trl dses hibk szmnak, s a tovbbi hibk r szma
ktszeresnek sszege kisebb, mint a kd tvolsga, ami most teljesl, hiszen n s + 2r = n k , s
egy [n, k ] -paramter Reed-Solomon kd tvolsga n k + 1 . A javts utn kapott vektor az eredeti
kdsz, amelyb l pldul Fourier-transzformcival meghatrozhat f, s akkor T = f (0 ) is. f (0 ) -t
azonban lnyegesen knnyebben, s t nagyon knnyen kiszmthatjuk v-b l:
n 1
i =0

vi =

n 1
i=0

1
ahonnan f (0) = (ne )

( )

f u i =
n 1
v
i=0 i

n 1 k 1
i=0 j =0

fj

(u )

i j

k 1
j =0

fj

n 1
i =0

42

(u ) = nf
j i

k 1
j =1

fj

(u )

n j

e
= nf 0 = nf (0) ,
u e
j

9. Elektronikus pnz, kriptogrfiailag hitelestett pnz

Mr korbban szba kerlt egy alapvet konfliktus, amely az egyn s a trsadalom rdekeinek
tkzsb l fakadt. Hasonl problmval tallkozhatunk a pnzforgalom terletn is. A klnbz
kszpnzkml fizetsi mdszerek tbbnyire igen hasznosak s knyelmesek, s ugyanakkor nagyon
el nysek az llam biztonsga szempontjbl, hiszen knny egynhez kapcsoldan nyomon kvetni
egy-egy tranzakci tjt. A dolog msik oldala viszont, hogy vannak olyan esetek, amikor valaki anonim mdon szeretne pldul valamit vsrolni. Ennek a lehet sgt a kszpnzzel val fizets teremti
meg. Ez mutatja, hogy napjaink egyre elektronizltabb vilgban is szksgnk lehet a rgi, jl bevlt,
kzzel foghat bankkra s rmkre. Illetve nem is felttlenl a materilis valsgban ltez kszpnzre van szksg, hanem csupn egy tetsz leges olyan eszkzre, amely gy funkcionl, mint a
kszpnz, vagyis amely kpes rszt venni a cserefolyamatban, de amely utlag nem kthet egy konkrt szemlyhez, egy konkrt tranzakcihoz. Ilyen eszkzt meg lehet valstani kriptogrfiai eszkzk
segtsgvel is.
A CEPS Csoport (Europay International, Visa Espaa/SERMEPA, Visa International s ZKA)
1998. december vgn kzztette azokat a specifikcikat, amelyek segtsgvel a vilg klnbz
elektronikus pnztrca-programjai kpesek az egyttm kdsre. A kzs elektronikus pnztrcaspecifikcik (CEPS Common Electronic Purse Specifications) ltrehozsa jelent s lps a nylt
elektronikus pnztrcaszabvny megteremtse fel, s vilgszerte el segti az intelligens krtyk szmnak nvekedst.
A CEPS Csoport a specifikcikat el szr tadja ellen rzsre a biztonsgi laboratriumoknak,
majd a kirtkels befejeztvel kzzteszi a vgleges specifikcikat.
Az elektronikus pnztrcaprogramok tbbsge Eurpban zajlik, gy klnbz eurpai intzmnyek tbbek kzt az ECBS (European Committee for Banking Standards) is nagyban hozzjrultak a specifikcik megalkotshoz. Kvetkezskppen vrhatan els knt az eurpai programok
fogjk alkalmazni a specifikcikat, mivel itt az Euro bevezetse tovbb fokozza a kzs szabvnyok
irnti ignyt. A CEPS bevezetsvel lehet v vlik, hogy a krtyabirtokosok belfldn s klfldn
egyarnt hasznlhassk elektronikus pnztrcjukat.
Huszonkt orszg szervezetei amelyek a vilg elektronikus pnztrcinak tbb mint kilencven
szzalkt kpviselik dntttek mr eddig a CEPS alkalmazsa mellett. Ezek kztt a szervezetek
kztt szerepel a Visa International, a Visa Espaa/SERMEPA, a ZKA, a Europay International, a
Proton World International, az olaszorszgi SSB, a szingapri NETS, a Cash" pnztrcaprogramot
tmogat svd bankok s a Europay Austria. A Groupement Cartes Bancaires szintn elktelezte magt a kezdemnyezs mellett, s szvesen vlna a CEPS Csoport aktv tagjv.
A CEPS felsorolja a feltteleit, hogy valamely szervezet bevezessen egy vilgszerte kompatbilis elektronikus pnztrcaprogramot. Megkveteli a chipkrtykra kidolgozott EMV-szabvnyokkal
(Europay, Mastercard, Visa) val kompatibilitst, tovbb definilja a kvetkez fogalmakat: krtyaalkalmazs, krtyaterminl-interfsz, POS- s pnztrca-feltltsi tranzakcik terminlalkalmazsai,
adatelemek, valamint a tranzakci-feldolgozsi folyamat ajnlott zenetformtumai. A CEPS megfogalmazza a klnbz elektronikus pnztrcarendszerek rsztvev i szmra fellltott funkcionlis
kvetelmnyeket, valamint a fokozott biztonsgossg rdekben kln titkostsi kulcsot alkalmaz.
A kzs elektronikus pnztrca-szabvny kialaktsra tett er fesztsek jabb lendletet kaptak 1998. jniusban, amikor a vilg legnagyobb pnztrcarendszer-m kdtet i bejelentettk, hogy
munkacsoportot alaktottak a nylt ipari specifikcik kidolgozsra. A CEPS ennek a trekvsnek a
megvalsulsa.
Az elektronikus kszpnz egy lehetsges megvalstsa a kvetkez . A bank minden ltez
cmlethez el llt egy-egy RSA-paramterrendszert, amelyek kzl a nyilvnos paramtereket, mondjuk a t cmletre vonatkozan (t , nt , et ) -t, nyilvnossgra hozza, a titkos paramtereket viszont (t esetn
d t -t) titokban tartja. Tegyk fel, hogy Pnzes r, akinek ennl a banknl van szmlja, szeretne egy tegysgnyi cmletet kszpnzben kivenni a bankbl. El llt kt nagy, vletlen szmot, r-et s M-et,
amelyek kzl r-nek ltezik az inverze a nyilvnos nt paramterre vonatkoztatva, vagyis amelyhez

9. Elektronikus pnz, kriptogrfiailag hitelestett pnz

van olyan r , hogy rr mod nt = 1 . M termszetesen valamilyen szmrendszerben van megadva,
mondjuk binrisan. Pnzes r lerja M-et, s kzvetlenl mell msolja ismt M-et. A kapott M
eredmnyt M M -mel jelljk (mondjuk legyen M = 5 , akkor ez binris felrsban 101, s ebb l

M = M M = 101101 = 45 ), majd kiszmtja s = r et M mod nt -t, s elkldi a bankjba azzal, hogy a

szmljrl emeljenek le t forintot, s adjanak ki kszpnzben ugyanekkora sszeget. A bank megterheli Pnzes r szmljt a t sszeggel, s visszakldi a megfelel sszeg igazolst, s = s d t mod nt -t.
Ebb l Pnzes r kiszmtja T = r s mod nt -t, amib l a kvetkez t kapja:
T = r s mod nt = r (s dt mod nt ) mod nt = r s dt mod nt =
= r (r et M mod nt ) mod nt = r (r et M ) mod nt =
dt

dt

= r (r et ) M dt mod nt = r rM dt mod nt = M dt mod nt

dt

A legutols eredmny, T = M dt mod nt lesz a t sszegnek megfelel kszpnz. Ha Pnzes r

fizetni akar egy T -s, lltlag t-nek megfelel pnzeszkzzel egy boltban, akkor a boltos a nyilvnos
(t , nt , et ) paramterek segtsgvel kiszmtja M = T et mod nt -t. Ha az tadott T valban egy trtk fizet eszkz, akkor M = M M szerkezet . Az emltett szmok igen nagyok, szzas nagysgrend decimlis szmjegyb l llnak. Pnzes r gy tudna csalni, ha az el bb lert folyamat kiker~
~
lsvel, kzvetlenl, a bank nlkl el tudna lltani egy olyan T szmot, hogy T et mod nt szmjegyes felrsban a szmjegyek bal oldali felnek sorozata jegyr l jegyre megegyezik a jobb oldali fl
jegysorozatval. Ennek a valszn sge d t ismerete nlkl, a szm nagysgt figyelembe vve, amely
kizrja a prblkozson alapul keresst, gyakorlatilag 0, vagyis szinte kizrt egy ilyen szm vak
tyk alapon trtn el lltsa (ha valakinek ez vletlenl sikerl, az kl-nak tekinthet , hiszen itt
egy-egy bankjegyr l, vagy pnzrmr l van sz). Ha teht a boltban tadott pnz a sifrrozs utn
kielgti a formai kvetelmnyeket, akkor a boltban azt elfogadjk t-egysgnyi fizetsnek. Mg egy
aprsg-ot kell figyelembe venni. Pnzes r, vagy brki, akinl ez a pnzdarab megfordul, ismtelten s tbbszr is fel tudn hasznlni, ezrt a bank nyilvntartst vezet a hozz benyjtott, a szmln
jvrand fizet eszkzkr l (vagyis a mi esetkben M -r l), s egy adott M -t csupn egyszer fogad el. Ez viszont azt jelenti, hogy az vatos boltban rgtn a fizetskor benyjtjk a bankhoz a kapott
bankjegy-et illetve rm-t, s csak akkor fogadjk el fizets gyannt, ha a bank azt rvnyesnek
tallta, s jvrta a bolt szmljn. Ez persze azrt nem j, mert akkor a bolt ezt a pnzeszkzt nem
tudja felhasznlni a pnzforgalmban. Ha viszont nem gy jr el, akkor azt kockztatja, hogy tverik,
becsapjk.
Ez a mdszer valban lehet v teszi az anonimitst. A bank, amikor Pnzes r t le pnzt kr,
nem tudja, hogy mi volt M, ugyanis csak s = r et M mod nt -t ltja, s ebb l nem tudja kiszmtani
M -t, s gy nem kpes meghatrozni M rtkt, hiszen nem ismeri r-et. Ebb l kvetkezik, hogy amikor benyjtjk neki M -t, akkor azt nem kpes Pnzes rhoz kapcsolni.

A fentieket egy egyszer pldn, kis szmokkal mutatjuk be. Legyen a kt prm 113 s 127, ekkor n = 14 351 , s (n ) = (113 1)(127 1) = 14 112 . Ha nyilvnos kitev nek e = 131 -et vlasztjuk,
akkor nmi szmolssal 131 9 803 1 = 1 284 192 = 91 14 112 , gy d = 9 803 . A nyilvnos adatok
(100, n = 14 351, e = 131) . Most legyen pldul r = 37 s M = 54 , ekkor s = 5 818 s M = 5 454 .

r e 14 351 -gyel val osztsakor keletkez maradk 814, majd ezt 5 454 -gyel szorozva, s a szorzatot
elosztva 14 351 -gyel, a kapott maradk 5 097 , vagyis a korbbi jellsekkel s = 5097 . s-t bekldi
Pnzes r a bankba, ahol kiszmtjk s d-edik hatvnynak maradkt a 14 351 -gyel val osztskor,
ami 10 137 . Ezt a szmot Pnzes r megszorozza r -vel, s veszi az n-nel val osztsi maradkot, T-t,
ami most 8 807 , ez a szm teht egy 100 forintost kpvisel. Ha most valaki ezzel a pnzzel fizet, ak-

44

9. Elektronikus pnz, kriptogrfiailag hitelestett pnz

kor a keresked veszi T e-edik hatvnyt, s elosztja a hatvnyt 14 351 -gyel. Ez a maradk T = 8 807
esetn 5 454 , vagyis egy olyan szm, amelynek a bal oldali s jobb oldali fele megegyezik, s mivel a
100 forintoshoz tartoz adatokkal szmoltuk, ezrt elfogadjuk egy 100 forintos pnzeszkznek. Benyjtva T-t a banknak, az ellen rzi, hogy nem fizetett-e mr egyszer valaki ezzel a pnzzel, s ha nem,
akkor jvr a keresked nek 100 forintot.
A fenti szmts kzzel, papron s ceruzval nem tl knyelmes, hiszen a szmols kzben keletkez rszeredmnyek igen sok jegyb l ll szmok, m egy szmtgp szmra ez gyerekjtk. A
valsgban persze az alkalmazott szmok krlbell 100-jegy ek, s az ilyen nagy szmokkal mr egy
gyors szmtgpnek is el kell bbel dnie egy-kt percig, de azrt elboldogul a feladattal.
Rviden nzzk meg, hogy milyen mdon kpes a kriptogrfia hozzjrulni a pnzhamists lekzdshez. A msols ellen termszetesen nem alkalmazhat vd eszkzknt, de hamis pnz el lltsa ellen igen. A mdszer szerint mindenegyes bankra felvisznek egy vletlenszer pontokbl ll
mintzatot. Ezt a mintzatot vgigpsztzzk, s talaktjk egy bitsorozatt (PAT). Ezt a szmot a
kibocst bank alrja a nyilvnos kulcs alrsval, s az gy kapott alrst (SIG) egy hibakorltoz
kdols utn egy szmjegysorozatt alaktjk ( SIG * ), amelyet rnyomnak a bankjegyre. A hibakorltozsra azrt van szksg, mert ha hibsan olvassk le fizetskor a szmot, akkor az ellen rzs biztosan sikertelen lesz. Felhasznlskor SIG * -ot visszaalaktjk SIG-g, majd a nyilvnos kulcs segtsgvel PAT-t, s ezt sszehasonltjk a bankjegyr l leolvasott s digitalizlt bitsorozattal, PAT -vel,
ami ltalban nem lesz pontosan azonos PAT-tel a hasznlat sorn elszenvedett apr vltozsok
miatt. A gyakorlatban akkor fogadhat el eredetinek a bank, ha az eltrs egy bizonyos rtket,
mondjuk a 80%-ot nem haladja meg.

45

10. Etimolgia
kripto- gr el tagknt vminek a titkos v. rejtett voltt jelli; titkos-, rejtett
(krpto) a
(krptosz) rejtett, titkos grg szbl
(f nvi igenv:
krptein) elrejt
-lgia, -logia gr-lat 1. uttagknt jell: vmilyen tudomnyt; -tan, -tudomny (pl. geolgia) 2.
uttagknt jell: (szmnevekkel) az sszetev k szmt (pl. tetralgia) 3. uttagknt jell: vmilyen
beszd- v. el adsmdot (pl. tautolgia)
(logosz) sz, beszd, magyarzat, fogalom, tudomny szbl eredeti grg kpzs uttag
,
,
(logiosz, logia, logion) rtelmes; tudomnnyal kapcsolatos
(lego) (f nvi igenv:
legein) mond
kriptolgia gr el. a rejtjelfejts elmlete s gyakorlata
rejtett dolgok tudomnya
-grfia (-graphia) gr 1. uttagknt jell: vmely tudomnygat (pl. geogrfia) 2. uttagknt jell: vmely rs- v. ms rgztsi mdot (pl. fotogrfia) 3. uttagknt jell: vmely nyomdszati eljrst;
-nyoms (pl. litogrfia)
(graf) rs szbl grg kpzs uttag
(grafo) (f nvi igenv:
grafein) vs; r
kriptogrfia gr el. titkosrs, rejtjeles rs, ill. ennek rendszere, kulcsa
fn Tud|Titkosrsok ksztsnek s megfejtsnek mdszertana.|Titkosrs. [nk:gr el.]
titkosrs (mestersge)
analzis gr 1. elemzs; rszekre, elemekre val bonts mint tudomnyos kutat mdszer 2. mat
a matematika azon gainak sszessge, amelyek a fggvny, a hatrrtk, a differencil s az integrl
fogalmval szervesen sszefggnek, arra plnek 3. vegyelemzs 4. llekelemzs, pszichoanalzis
(analszisz) felolds, megolds, darabokra szeds, megfejts
(analo) (f nvi igenv:
analein) feloszt, feldarabol
- (ana-) fl +
(lo) (f nvi igenv:
lein) old
kriptoanalzis gr cryptanalysis fn titkosrs megfejtse
titkos rs, titkos jelek megfejtse
-gram, -gramma gr 1. uttagknt jelent: vmilyen -grf uttag m szer ltal lerajzolt grbt
(pl. szeizmogram) 2. uttagknt jelent: vmilyen brt v. grbt (pl. diagram) 3. uttagknt jelent:
vmely rsm vet (pl. epigramma)
(gramma) vsett, bet ; rajzols, rs, feljegyzs
| -bl a kpz vel
kriptogramma gr el. titkosrsos v. rejtett rtelm felirat, szveg(rszlet)
entrpia: Shannon javaslatra entrpinak nevezzk az informci tlagos hrrtkt. Az entrpia eredetileg a h tanban hasznlt llapotjelz neve, melyet Rudolf Clausius vezetett be a termodinamikai folyamatok megfordthatsgnak mrtkeknt. Az (entrepein) grg sz, jelentse: megfordt. Az informcielmleti s termodinamikai entrpia rokonsga a matematikai modell
azonossgra vezethet vissza.
entrpia gr 1. fiz anyagi rendszerek molekulris rendezetlensgi foknak, ill. llapotuk termodinamikai valszn sgnek mrtke 2. fiz az energia hasznosthatsgnak, munkavgz kpessg-

10. Etimolgia
nek mrtke termikus folyamatokban 3. inf a bizonytalansgnak a kapott informcikkal cskken
arnyszma 4. fil a termodinamikai llapotfggvnyek hatlynak hibs kiterjesztse rvn ltrehozott
elmlet a vilg h hallrl
(entropia) fordulat
(entrop) fordulat, beleforduls, meghajls, lealacsonyods szbl valszn leg latin
szavak mintjra kpzett sz
- (en) -ban, -ben +
(trop) fordulat a
(trepo) (f nvi igenv:
trepein)
fordt igb l

redundancia: 1. htkznapi rtelemben felesleg, vagyis az a tbblet, amelyet a cl elrshez

mindenkppen szksges eszkzkn tl hasznlnak. 2. Szmtstechnikai vonatkozsban az informci brzolsra rendelkezsre bocstott, de fel nem hasznlt terlet. Ha egy karakterlnc pldul 256
karakteres, de aktulis rtke csak 6 bjt hossz, 250 redundns bjtot tartalmaz, hiszen az eredetileg
a karakterlnc szmra lefoglalt trterlet nagysga nem vltozik. 3. Az informciforrs redundancija az egyenletes eloszls forrs maximlis entrpijhoz viszonytott relatv entrpia komplementere: R S = 1 H (S ) log V . Szemlletesen a forrs egy hrben, zenetben rejl , de informcit,
teht jdonsgot nem tartalmaz kzls arnyt, a hr banalitsnak fokt fejezi ki. 4. A kd redundancija az tlagos szhossznak az informcit tnylegesen nem hordoz, vagyis a felttlenl szksges minimlis szhosszt meghalad rsze. A szeparlhat kdok esetben a minimlis szhosszt pontosan ismerjk, ilyenkor ennek s a tnyleges szhossz arnynak a komplementere a kd redundancija. Mivel L0 = H (S ) log B (Shannon II. ttele, lsd minimlis szhossz, ezrt

R E = 1 L0 L = 1 H (S ) (L log B ) .

redundancia lat 1. inf jabb informcit nem ad felesleg a kzlemnyben, amely nlkl azonban a megrts nehezebb vlna 2. vminek redundns volta
fn Tvk Kzlsben az egyrtelm megrtshez elvileg elegend minimumom felli tbblet. [nk:
lat]
redundantia (tlzott) b velkeds
redundns lat 1. inf j informcit, rdemleges kzlst mr nem tartalmaz 2. terjeng s, flsleges elemeket tartalmaz
redundant-, redundans (lat) jelenidej mellknvi igenv a redundo, redundare tlcsordul igb l
re-, red- (fokozs)- + unda hullm
sifre (fr

nm) titkosrs, rejtjel

sifrroz fr
desifrroz fr

nm titkosrssal r, rejtjelez
nm kibet z, titkos- v. rejtjelezett rst megfejt

chiffre h fn 1. szm(jegy) 3. titkos rsjel, rejtjel, sifrrozs; en chiffres sifrrozva; rejtjelben;

le Chiffre a klgyminisztrium rejtjelosztlya 4. rejtjel- v. sifre-kdex; titkosrs rendszere [bcje]
chiffre n. m. (XVe, criture secrte; cifre, 1220; lat. mdiv. cifra zro, de larabe sifr
vide, ch- dapr. it. cifra) II. 1. Caractres numriques de convention employs dans une criture
secrte (V. Cryptographie). crire en chiffres (oppos crire en clair). Par anal. Tout signe de
convention servant correspondre secraitement, et absolt. Le chiffre, lensemble de ses signes. V.
Code. Changer de chiffre. Avoir le secret, la clef du chiffre. V. Chiffrer, dchiffrer. Service du
chiffre: bureau civil ou militaire o lon chiffre et dchiffre les dpches secrtes. tre affect au
chiffre.
48

10. Etimolgia
cifra, ziphra, zifera (jel, szmjel, nulla, titkos rsjel) ks -/kzplatin sz. A klasszikusban
rthet en nem ltezik, mert az arab sifr XIII. szzadi tvtele a latin matematikai m nyelvbe. Eredetileg az arab sz a szanszkrit s nya tkrfordtsa. Szmos eurpai nyelvben jelen van: Ziffer (nm.,
ciffer), chiffre (fr., sifr), cifra (ol., csifra)... A titkos rsjel rtelme a diplomcia kreib l fejl dtt,
ugyanis itt gyakran alkalmaztak szmjegyeket titkostott rsokban. A magyarba is eredetileg hasonl
rtelemben kerlt be, majd a zrus, a kis kr forma dszt elemknt val alkalmazsa elvezetett a cifra, dszes, tarka rtelemhez is.
zr, zrus (arab ol) 1. nulla, semmi 2. biz senki; jelentktelen ember
(szifr)
(szufr)
(szafir)
(szufur)
(szafr) tbbesszma:
haszontalan, rtktelen, mentes ( (min) vmit l)
(szifr) zrus, zro, nulla, semmi

(szfr) res,

kommunikci lat 1. tjkoztats, (hr) kzls 2. inf informcik kzlse v. cserje vmilyen erre szolgl eszkz, ill. jelrendszer (nyelv, mdia, gesztusok stb.) tjn 3. ritk kzlemny 4. sszekttets, kapcsolat, rintkezs
communicatio kzls, a kzls folyamata
communis, commun kzs
communico, communicare megoszt, kzl, kzss tesz
kommunikl lat kzl (vmit vmivel, vkivel); rtest (vkit)
informci lat 1. felvilgosts, tjkoztats 2. hrkzls 3. rtesls, adat 4. hranyag, a kzls
trgya 5. inf elektronikus ton tovbbtott jel; hr
informatio formba nts; kzls tvitele
informo, informare, informavi, informatum az in (-ba, -be, -ban, -ben) praepositio igekt
s a forma, formae f(emininum) (alak) sszettele. A forma sz a fero ferre tuli latum (hoz, visz) ige
gyknek min sgi hangmsuls (qualitatv ablaut gyakori jelensg az indoeurpai nyelvekben)
szenvedett alakja s egy f nvkpz (ma suffixum) egyeslsb l van. Informo = alakot ad, formba
nt, kpletesen szavakban, szavakkal forml meg, azaz kzl.
kd (lat fr) 1. inf megllapods szerinti jelek v. szimblumok rendszere, amellyel vmely informci tovbbthat s visszaalakthat 2. biol
genetikai kd 3. rejtjeles bc kulcsa 4. inf jelbc (srgnynl, tvrnl stb.)
(fn) 1. Tud Megllapods szerinti jelek v. szimblumok rendszere, amellyel vmely informci
egyrtelm en visszaadhat. 2. ritk Jelkulcs [nk:fr<lat]
code n. m. (1220; lat. jur. codex planchette, recueil). 1. Recueil de lois. ... 4. Recueil de
conventions ; dictionnaire des quivalences entre deux langages (spcialt. un langage naturel et un
langage non naturel). Code de signaux. Code secret. V. Chiffre
caudex, codex (fa)trzs, rnk, tusk, tnk; dokumentum, eredetileg fa rtbla-bl. Ebb l szrmazik a magyar kdex sz.
code h fn, 1. jog trvnyknyv, jogszablygy jtemny, kdex ... 2. kd, jel-/bet kdex;
code binaire binris kd; code biquinaire bikvinris kd; code cyclique ciklikus kd;
code dtecteur d'erreurs hibakeres kd; code gntique genetikai kd; code points-traits Morzebc; code tlgraphique srgnyjel-bc; vill code temporel id kd; code adresses multiples
tbbcm kd; code redondance redundns kd; code de contrle ellen rz kd; code de
correction d'erreurs hibajavt kd; code de graph grfkd; code de signaux jelzsi utasts;
tlgramme en code rejtjeles, sifrrozott srgny; code d'instructions utastsrendszer; mettre en
code kdol, rejtjelez 3. kd(szm); code-barre, code barres termkkd; code gntique genetikai
kd; code postal irnytszm; code de comptes folyszmla (kd)szma; code pour carte bancaire
PIN-kd 4. le code a szablyzat

49

Irodalom
Beutelspacher
Brassard
Buttyn-Vajda
Diffie-Hellman

Cryptology
Modern Cryptology
Kriptogrfia s alkalmazsai
New directions in cryptography; IEEE Trans. on Info. Theory, IT-22
(1976), pp. 644-654
Kahn: The Codebreakers
The story of secret writing.
Kdmn
Kriptogrfia
Menezes-Oorschot-Vanstone Handbook of Applied Cryptography
Nemetz-Vajda
Algoritmusos adatvdelem
Rvay
Titkosrsok
Salomaa
Public-key Cryptography
Shannon
Communication Theory of Secrecy System; Bell Syst. Tech. J., vol. 28,
1948., pp. 656-715 (El szr A Mathematical Theory of Cryptography, Sept. 1, 1946, egy bizalmas jelentsben)
Shannon
A Mathematical Theory of Communication; Bell System Technical
Journal, vol 27 (1948), pp. 379-423, 623-656 (magyarul egy javtott
vltozat A hrkzls matematikai elmlete cmmel A kommunikci
matematikai elmlete-ben)
Singh
Kdknyv. A rejtjelezs s a rejtjelfejts trtnete
Tilborg
An Introduction to Cryptology
Viraszt
Titkosts s adatrejts