Public Key Crypto

Public Key Crypto Freddie Drewsen, SEP 2011
Public Key Krypto
Dette notat gennemgår Diffie Hellmann’s nøglefordeling samt RSA public key kryptering.
Begge systemer er baseret på matematiske problemer. Diffie Hellmann på det diskrete logaritme
problem, og RSA på faktorisering af store tal. Begge problemer anses for at være
beregningsmæssige vanskelige at løse med traditionel regnekraft, når tallene har en vis størrelse.
Deraf følger også, at denne grænse vil flytte sig i trit med Moore’s lov, men det betyder så blot, at
der skal vælges større tal.
Matematik
Først matematik. Der er egentlig brug for meget lidt matematik, men nogle grundbegreber skal
være på plads for at forstå moderne kryptering.
Modulo
Fra barnsben har vi lært at anvende modulo-beregninger. Uret er et godt eksempel. Vi siger ikke, at
klokken er 425 minutter over midnat, men at klokken er 5 minutter over 7. Vi har lavet en hurtig
modulo beregning idet vi har divideret 60 op i 425 og fundet resten 5. Modulo findes altså som den
rest, der fås ved at dividere det første tal med det sidste
Andre eksempler er:
7 mod 5 = 2,
11 mod 5 = 1,
66 mod 60 = 6
osv.
Modulo beregningen bruges også ved kontrol af CPR numre (før oktober 2007), idet det sidste
ciffer i personnumret kan chekkes ved en modulo-11 beregning. Lad os forestille os en kvinde født
11. november 1911, som har (havde) cpr nummeret 111111-1118. For at chekke nummeret bruges
kontroltallene 4 3 2 7 6 5 4 3 2 1, som multipliceres på de enkelte cifre i CPR nummeret. Dvs
følgende beregning: 1*4 + 1*3 + 1*2 + 1*7 + 1*6 + 1*5 + 1*4 + 1*3 +1*2 +8*1 = 44 som
modulo 11 giver 0. Altså et korrekt CPR nummer.
Senere i livet lærte vi, at to tal er kongruente modulo n, når forskellen mellem a og b er et
multiplum af n. Altså at 425 er kongruent (ækvivalent) med 5, 65, 125 osv, modulo 60.
Kongruens skrives som:
a≡b (mod n) eller a≡b mod n
Det specielle lighedstegn indikerer, at der ikke er tale om en egentlig ligning, men at a og b vil have
den samme rest, når de udregnes med hensyn til modulo n. Sagt med andre ord:
a mod n = b mod n, hvor der er tale om et normalt lighedstegn
Den første skrivemåde anvendes stort set altid i forbindelse med lærebøger om kryptering og skal
blot læses som, at alle beregninger sker ved modulo n.
Primtal
Et primtal er et positivt heltal større end 1, der kun kan divideres med 1 eller sig selv. Følgende tal
er primtal:
2, 3, 5, 7, 11, 13, 17 ...
1

Public Key Crypto Freddie Drewsen, SEP 2011
I øvrigt er der uendelige mange primtal.
Generator
Hvis n er et primtal, så kaldes g en generator, hvis g a mod n kan antage alle værdier mellem 1 og n-
1 når a varieres
Eksempel:
g =2 er en generator mod 11
2 1 ≡ 2 mod 11
2 2 ≡ 4 mod 11
2 3 ≡ 8 mod 11
2 4 ≡ 16 mod 11 ≡ 5 mod 11
2 5 ≡ 32 mod 11 ≡ 10 mod 11
2 6 ≡ 64 mod 11 ≡ 9 mod 11
2 7 ≡ 128 mod 11 ≡ 7 mod 11
2 8 ≡ 256 mod 11 ≡ 3 mod 11
2 9 ≡ 512 mod 11 ≡ 6 mod 11
2 10 ≡ 1024 mod 11 ≡ 1 mod 11
Dvs 2 a mod 11 giver alle tal mellem 1-10
Diffie Helmann’s nøglefordelingsprotokol
Diffie Hellmann bruges til udveksle kryptografiske nøgler mellem to parter. Der stilles ikke
specielle sikkerhedskrav til forbindelse. Protokollen tillader altså at Eva lytter med på linjen, uden
at hun af den grund skal kunne opsnappe nøglen.
Protokolen er simpel. Der er tre parter: Bob, Alice og Eva.
Bob og Alice aftaler et ”g” og et ”n”, hvor g er generator mod n. De to tal behøver ikke at være
hemmelige. Tallene kan genbruges og kan evt. være tildelt en gruppe.
Bob vælger det tilfældigt heltal: x og udregner g x mod n. Dette tal sendes til Alice.
Tilsvarende vælger Alice et tilfældigt heltal: y. Hun udregner g y mod n som hun sender til Bob.
Læg mærke til, at g x mod n og g y mod n kan antage alle værdier mellem 1 og n-1. De klumper ikke
sammen
Når Bob modtager g y mod n fra Alice bruger han sit x til at beregne
K= (g y mod n) x = g yx mod n
Tilsvarende bruger Alice sit y til at udregne
K= (g x mod n) y = g xy mod n
Herefter har både Bob og Alice en fælles krypteringnøgle, som de kan benytte i en efterfølgende
symmetrisk krypteringsalgoritme.
2

Public Key Crypto Freddie Drewsen, SEP 2011
Læg mærke til, at g xy mod n kan antage alle værdier mellem 1 og n-1 (g er en generator).
Værdierne klumper altså ikke sammen inden for et mindre talområde. Der vil være i alt n-1
forskellige kryptografiske nøgler.
Eva kan naturligvis opsnappe de to pakker, men kan ikke finde x ud fra g x mod n uden at skulle løse
et diskret logaritme problem. Der er tale om en envejsfunktion, som Eva ikke har mulighed for at
løse.
Derimod kan Eva iværksætte et Man In the Midle (MiM) attack. Hun opsnapper Bob’s pakke:
g x mod n
vælger sit eget z, og sender g z mod n tilbage til Bob. Da Bob tror pakken kommer fra Alice,
udregner han tillidsfuldt den kryptografiske nøgle – som altså gælder til Eva. Samtidig sender Eva
en pakke g z mod n til Alice, som tror pakken kommer fra Bob, og Eva og Alice skaber på
tilsvarende måde en fælles nøgle. Når Bob og Alice herefter tror de snakker fortroligt sammen, går
det over Eva, som først dekrypter – så hun kan læse meddelelsen – og derefter sender beskeden
videre krypteret med den oprindelige modtagers nøgle.
Diffie Hellmann sikrer altså ikke mod MiM attack. Der skal mere til.
Public Key Encryption
RSA er nok den mest kendte asymmetriske krypteringsmetode. RSA er navngivet efter dens
opfindere: Ron Rivest, Adi Shamir og Leonard Adleman (1978) .
Selvom RSA konceptet tilskrives de tre opfindere, viser senere nedklassificerede og frigivne
engelske oplysninger, at konceptet oprindeligt blev opfundet af Cliff Cocks, som arbejdede ved det
engelske GCHQ (Goverment Communication Headquarters). Den engelske opfindelse var i lang tid
hemmeligstemplet og derfor komplet ukendt for omverdenen.
RSA består af to nøgler:
1) en hemmelig (privat) nøgle, som traditionelt kaldes d (svarende til decryption)
2) en offentlig nøgle, som tilsvarende kaldes e – for encryption – og et tal: n
Den klartekst, der skal krypteres, kodes først som et heltal (fx ved at man betragter bitstrengen som
et stort heltal). Kald klarteksten M og cifferteksten C.
Kryptering foregår ved udregningen
C = M e mod n
og tilsvarende foregår kryptering ved
M = C d mod n
Sættes de udtryk sammen, fås:
3

Public Key Crypto Freddie Drewsen, SEP 2011
dvs.
M = C d mod n = (M e ) d mod n = (M d ) e mod n
M = M de mod n
Dette gælder naturligvis ikke vilkårlige værdier af e,d og n. Nøglerne skal vælges på en hel specifik
måde, og proceduren gennemgås nedenfor.
Læg i øvrigt mærke til, at det er ligegyldigt, om vi først anvender d og derefter e. Eller om vi først
anvender e og derefter d. De to nøgler vil ophæve virkningen af hinanden.
Sender Bob fortroligt til Alice, bruger han Alice’s offentlige nøgle.
Omvendt kan han bruge sin egen private nøgle til at signere en meddelse, og alle andre kan bruge
hans offentlige nøgle til at verificere at underskriften er autentisk.
Bevis på RSA (Dette afsnit skimmes, ikke eksamensstof) :
RSA baserer sig på Fermat’s lille sætning:
M (n-1) ≡ 1 mod n
Pierre de Fermat (1601 - 1665) var fransk jurist og amatørmatematiker. Matematikken dyrkede han
som hobby.
Fermat’s lille sætning 1 gælder for alle primtal n og vilkårlige positive heltal M, når M og n er
indbyrdes primiske. To tal er indbyrdes primiske, når de ikke har nogen fælles divisorer bortset fra
1. Dette skrives ofte som: (M,n) = 1.
Vi beviser ikke Fermat’s lille sætning, men man kan hurtigt overbevise sig om, at den ”nok” gælder
ved at prøve med forskellige tal.
Eksempler:
• n=3, M=2: 2 2 = 4 = 1 mod 3
• n=5, M=6: 6 4 = 36*36 = 1296 = 1 mod 5
men:
• n=3, M=3: 3 2 = 9 ≠ 1 mod 3
Leonhard Euler (1707 - 1783) var ligeledes matematiker - måske endda den største matematiker
nogensinde. Euler generaliserede Fermat’s lille sætning og beviste i 1737 sætningen:
M ϕ(n) ≡ 1 mod n (1)
hvor φ(n) er defineret som det antal positive heltal, der er mindre end n og indbyrdes primisk med
n.
φ (n) kaldes Euler's totient funktion. Bemærk at φ (n) er defineret for alle positive heltal.
1 (p-1)
Først udregnes venstre side som M =M*M*M*M (ialt (p-1) gange). Dernæst divideres resultatet med p og resten
skal altså være 1.
4

Public Key Crypto Freddie Drewsen, SEP 2011
Når n er et primtal ses det udmiddelbart at (1) bliver identisk med Fermat’s sætning.
Eksempel:
φ(7) = 6, idet der er seks heltal (1,2,3,4,5,6) mindre end 7
φ(9) = 6, idet der er otte heltal (1,2,3,4,5,6,7,8) mindre end 9, men da 3 og 6 har en fælles
faktor med 9, slettes disse tal. Der er altså ialt 6 heltal, der opfylder kravet.
Når p og q er indbyrdes primiske, gælder det at funktionen φ(p*q) er multiplikativ, altså at
φ(p*q) = φ(p)*φ(q)
Da vi kun betragter primtal (som per definition er indbyrdes primiske), kan ovenstående let bevises
ved at udregne φ(p*q) ud fra definitionen. Først skrives talrækken fra 1 til (p*q). I den pågældende
talrække må der være (p-1) tal, der er delelige med q, og der må være (q-1) tal, der er delelige med
p. Disse tal skal ikke medregnes til φ. Det endelige antal bliver derfor:
p*q-1 – (p-1) –(q-1) = p*q –p – q +1 = (p-1) * (q-1) = φ(p) * φ(q)
dvs.: φ(p*q) = φ(p) * φ(q)
Såfremt n = p*q, hvor p og q er primtal, følger altså, at (1) kan skrives som :
M (p-1)*(q-1) = 1 mod (p*q) = 1 mod n, (2)
Denne sætning gælder kun hvis M er indbyrdes primisk med henholdsvis p og q. For at sikre dette
vælger vi M < n.
Derefter multipliceres med M på begge sider af lighedstegnet:
M (p-1)*(q-1)+1 = M mod n (3)
Det geniale er nu, at eksponenten i (3) kan skrives som et produkt af to tal e*d, hvis e og d
opfylder
e*d = 1 mod (p-1)*(q-1)
Med indsættelse af e og d i (3) fås
M e*d = (M e ) d = M mod n
Hermed er public key encryption skabt:
C = M e mod n, som giver ciffertekst
Og M = C d mod n = (M e ) d mod n = M (p-1)*(q-1)+1 = M mod n = M,
Den offentlige og private krypteringsnøgle: e og d kan derfor vælges ud fra:
e*d = k*(p-1)*(q-1) + 1
eller udtrykt ved modulo:
5

Public Key Crypto Freddie Drewsen, SEP 2011
e*d ≡ 1 mod (p-1)*(q-1) (4)
Den sidste omskrivning fremgår direkte af definitionen på kongruens og modulo funktionen.
RSA (Rivest-Shamir-Adleman)
I public key kryptering har hver person (maskine) to nøgler. Den ene nøgle er offentlig og
tilgængelig for alle. Den anden nøgle er privat (hemmelig) og kun kendt ejeren. Den offentlige
nøgle består af to tal. Lad os kalde den offentlig nøgle: e,n og den tilsvarende private nøgle d.
Kryptering (encryption) af en meddelelse (M) foregår ved at udregne:
C = M e mod n.
hvor M skal opfattes som selve heltalsværdien af teksstrengen.
Afsenderen tager altså den meddelse (M), han/hun vil kryptere, og udregner M*M*M*M (ialt e
gange). Derefter foretages modulo-beregningen, således at cifferteksten (C) reduceres til at ligge i
intervallet fra 0 til (n-1)
Tallene n og e er modtagerens offentlige nøgle.
Tilsvarende vil dekryptering foregå ved:
M = C d mod n, hvor d er modtagerens private nøgle.
Sammenholdes de to ligninger fås:
altså:
M = C d mod n = M de mod n,
M de = M mod n
Valg af nøgler (skimmes)
1. Vælg to store primtal p og q.
2. Udregn n = p*q.
3. Vælg e indbyrdes primisk med (p-1)*(q-1).
Dvs. ingen fælles divisorer, bortset fra 1.
4. Udregn d, således at e*d = 1 mod (p-1)*(q-1).
5. Den offentlige nøgle er givet ved e,n.
6. Den private nøgle er givet ved d.
7. Destruer de to hjælpestørrelser p,q.
Kravet til M

Public Key Crypto Freddie Drewsen, SEP 2011
Ilustrativt eksempel:
Vælg to primtal, f.eks. p = 11 og q = 13.
Udregn n = 11*13 = 143
Vælg e indbyrdes primisk med (p-1)*(q-1) = 10*12. Et bud kunne være e=11.
Find d ud fra e*d = 1 mod(p-1)(q-1). En prøve viser hurtigt at d = 11 opfylder betingelsen
11*11=121=1 mod (120)
Lad os dernæst kryptere 2 som har ASCII koden 10
C = 10 11 mod 143 = 100000000000 mod 143 = 43
Tilsvarende vil dekryptering af 43 give
M = 43 11 mod 143 = 929293739471222707 mod 143 = 10.
Det bemærkes, at M skal være mindre end n. Det betyder, at vi for det valgte n, i princippet kun kan
kryptere 7 bits ASCII tegn ad gangen.
Hint: Brug Microsoft’s lommeregner i scientific mode til udregningerne.
2 Linefeed
7