rejtjelezés

7/25/2019 rejtjelezs

1/53

TARTALOMJEGYZK

BEVEZETS 1

1. AZ ENTRPIA 3

2. A DES 7

3. AZ ENIGMA 11

4. RSA 13

5. A RABIN-VARINS 31

6. DISZKRT LOGARITMUS 33

7. INTEGRITS, SZEMLYAZONOSTS, HITELESTS 35

8. TITOKMEGOSZTS 41

9. ELEKTRONIKUS PNZ, KRIPTOGRFIAILAG HITELESTETT PNZ 43

10. ETIMOLGIA 47

IRODALOM 51


2/53


3/53

Bevezets

A titkossg a trsadalmak, egymstl elklnlt kzssgek kialakulshoz kapcsoldik. Egy-rszt a rendelkezsre ll erforrsok klnbzsge, msrszt az emberi lthez kapcsold bizonyos

negatv tulajdonsgok arra vezettek, hogy az egyes csoportok egyms rovsra jutottak meghatrozottjavakhoz. A javak megszerzsben azok szmthattak nagyobb sikerre, akik kpesek voltak meglepni akonkurens trsasgot. A meglepets alapja viszont az, hogy az egyik trsasg tud valami olyat, ame-lyet a msik csoport nem ismer, s amit az egymssal val vetlkeds sorn eredmnyesen fel lehethasznlni.

A titkosts trtnete tbb knyvben is megtallhat. Kzlk minden bizonnyal a leghresebbDavid Kahnknyve, ugyanis szinte nincs olyan, a kriptolgival foglalkoz knyv, amely ne hivat-kozna erre a tbb mint ezer oldalas knyvre. A trtneti szemlletmagyar nyelvknyvek kzl em-ltsre mlt Simon Singhmve, a Kdknyv, amely mr a legjabb rejtjelezeljrsokrl is szmottud adni, hiszen ebben az vezredben jelent meg. Igen tanulsgos elolvasniRvay Zoltn Titkosrsokcmknyvt. Ez a knyv egyrszt azrt rdemel figyelmet, mert igen sok jeles magyar szemlyisg-rl derl ki, hogy intenzven alkalmazta a titkosts tudomnyt, s szmos rdekes megoldst talltakki a rejtjelezshez, msrszt viszont a megjelensnek dtuma szempontjbl is rdekes ez a knyv(br ez elmondhat Kahnknyvrl is).Rvay ZoltnidziAineiasz TaktikoszTaktikacmmvnekegyik knyvt, a Poliorktika-t, kzelebbrl ennek XXXI. fejezett, amelybenAineiasza titkos leve-lekrl r. Ez a fejezet azzal kezddik, hogy A titkos leveleknek mindenfle kldsi mdjuk van, de akldnek s a cmzettnek egyms kztt elzleg meg kell llapodnia.. Ez az idzet azrt rdekes,mert a knyv elsmegjelense eltt kt vvel jelent meg Diffies Hellmancikke, amely alapjaibanrzkdtatta meg a rejtjelezs vilgt, s amely alaposan rcfolt Aineiasz-ra, s kzvetve Rvayra is,aki a fenti gondolatot lnyegben vve a titkosts alapjnak tekintette. (Ez nem cskkenti a Rvay-knyv rtkt, csupn arra mutat r, hogy a vilg forgand, s igen rvid idalatt fenekestl tud egy-egy tudomnyg megvltozni. Hasonl vltozs trtnt pldul 1900-ban vagy 1905-ben a fizikban.)

Minden titkost eljrs esetn lnyege, hogy az alkalmazott algoritmusrl felttelezzk, azt

mindenki ismeri, s a titkossgot az gynevezett kulcsbiztostja. A kulcs az algoritmus egy olyan pa-ramtere, amelytl fggen ugyanaz az eljrs ugyanazon titkostand zenetbl a kulcs fggvny-ben ms s ms rejtjelezett szveget llt el. A klasszikus rejtjelez eljrsoknl a visszafejtshezszksges kulcs vagy megegyezett a titkostshoz hasznlt kulccsal, vagy abbl knnyen ki lehetettszmolni, gy szksges volt a rejtjelezshez hasznlt kulcsot is titokban tartani, tovbb az zenetvl-tsban rsztvevkt fl kztt biztonsgosan kicserlni. Ms a helyzet akkor, ha az oda-, illetve visz-szatranszformlshoz hasznlt kulcsok olyanok, hogy az egyik ismeretben a msik csak olyan nagykltsggel hatrozhat meg, hogy az meghaladja a megszerzett informci rtkt. Ebben az esetben atitkost kulcs akr nyilvnos is lehet, mgsem kpes senki illetktelen elolvasni a rejtjelezett szve-get, mivel nem rendelkezik a visszafejtshez szksges kulccsal. Ez az a gondolat, amely Diffie s

Hellmancikkben jelent meg, s amely alapjn kialakult a nyilvnos kulcs rejtjelezs. E nlkl a mai

vilg egszen ms lenne. A rgi id

kben lnyegben vve csak az llamnak voltak fltve

rztt titkai(persze a szpasszonyok sem akartak mindent az uruk orrra ktni, de ezek kevsb lnyeges tit-kok...), gy elegendvolt csupn nhny tucat kulcsot ellltani s kicserlni. (Ez utbbi egy knyespontja a rejtjelezsnek, hiszen a kulcsot biztonsgosan s titkosan kell eljuttatni a msik flnek, ami-kor persze felmerl a krds, hogy mirt nem magt az zenetet cserlik ez alkalommal ki. Erre azon-ban knnya vlasz: a kulcsot brmely idben cserlhetjk, s a cserre ritkn van szksg, tovbb akulcs ltalban rvid az zenethez kpest.) A mai vilgban viszont a titkostand informcik tlnyo-m tbbsge gazdasgi jelleg, s magnszemlyekhez, vllalatokhoz kapcsoldik. Potencilisanminden ember s minden vllalkozs rendelkezik titkoland adattal, amelyet a legklnbzbb intz-mnyekkel kell kicserlnie. A titkos kulcspr alkalmazsa esetn klnbzpartnerhez ms s mskulcsra lenne szksg, ami azt jelenten, hogy hihetetlenl sok kulcsot kellene igen gyakran rendkvlsok pr kztt kicserlni, s a titkos kulcsokat megfelelen adminisztrlva biztonsgosan trolni, ami

megoldhatatlan feladat el lltan az egyszerhonpolgrokat. Mg azt is figyelembe kell venni, hogy


4/53

Bevezets

2

a kulcsot viszonylag gyakran kell cserlni, mg az eltt, hogy illetktelen szemly megfejten, s gy atovbbiakban a titkos informcinkat olvasni tudn.

Az elbbi gondolatok alapjn joggal merl fel a krds, hogy kell-e egyltaln foglalkozni aklasszikus, szimmetrikus rejtjelezrendszerekkel. A vlasz meglepmdon igen. A helyzet ugyanisaz, hogy a szimmetrikus rendszerek lnyegesen gyorsabbak, mint a nyilvnos kulcs eljrsok, ezrt alegtbb esetben egy-egy konkrt zenetvlts eltt a nyilvnos kulcs rejtjel segtsgvel a kt partnerkicserl egy kulcsot, s a tovbbiakban az aktulis informcit az gy megismert kulcs segtsgvel,egy klasszikus mdszerrel kldik egy nyilvnos csatornn keresztl.


5/53

1. Az entrpia

Az entrpia informcielmleti fogalmt Shannonhatrozta meg. Korbban Heartleyvizsgltamatematikai szempontbl az informcit, s gy tallta, hogy ha nklnbzzenet lehetsges, akkor

egy-egy zenet informcitartalma nI log= . E szerint a kifejezs szerint azonban a klnbzze-netek azonos mennyisg informcit, j ismeretet kzlnek a fogadval. Ezzel szemben Shannongy gondolta, hogy egy zenet annl tbb informcit szolgltat, minl vratlanabb, minl kevsblehet r szmtani, azaz minl kisebb a valsznsge. HaXegy vges esemnytr, az zenetek halma-za, s az Xxi zenet ip valsznsggel fordul el, akkor teht Shannon szerint az ix zenet

( )ipI informcit szolgltat, aholIegyelre ismeretlen fggvny. Az nzenetet tartalmaz teljes ze-nethalmaz tlagos informcitartalma az egyes zenetek informcitartalmnak vrhat rtke, azaz

( ) ( )

= =

1

001,,

n

i iin pIpppH , ahol H az entrpiafggvny. Mivel egyelre I ismeretlen, ezrt H-t

sem ismerjk.Hmeghatrozshoz bizonyos feltteleket kell megfogalmazni. Egy lehetsges axioma-tikus bevezets az albbi kiktseket tartalmazza:

1. ( )01 ,, ppn vges diszkrt valsznsgi eloszls;

2. ( )01 ,, ppH n a vltozinak szimmetrikus fggvnye, azaz ha az { }nii

H .

Bizonythat, hogy a fenti feltteleknek egy adott 02

1

,2

1>

H rtk esetn egy s csak egy

fggvny felel meg, konkrtan a ( )

= =

1

001log,,

n

i iin ppppH fggvny, s akkor ebbl leolvasva

( ) ii ppI log= . Ha valamennyi zenet valsznsge azonos, akkor kzlk brmelyik n1

valszn-

sggel fordul el, s ekkor valban igaz, hogy az egyedi zenetek ltal kzvettett informci mrtkenI log= . ltalnos esetben viszont az egyes zenetek bekvetkezse klnbz valsznsggel

trtnik, teht ltalban ( ) npI i log . Mivel a logaritmusfggvny csak a pozitv vals szmokra r-

telmezett (legalbbis mint vals rtkfggvny), ezrt a ip valsznsgek rtke pozitv. Ha ip apozitv vals szmokon keresztl tart a 0-hoz, akkor a logaritmusfggvny rtke abszolt rtkben a

-hez tart, gy 0log ii pp . De ( )iip ppi loglim 00+ ltezik, s 0-val egyenl, ezrt az entrpia-fggvnyt kiterjeszthetjk arra az esetre is, amikor egy vagy tbb valsznsg rtke 0, azzal, hogyekkor 0:log =ii pp .

A fggvnyrl lthat, hogy ( ) 0,, 01 ppH n , s a fggvny rtke akkor s csak akkor 0, haegy kivtelvel valamennyi valsznsg 0 (s ekkor az az egy nem nulla valsznsg 1, hiszen a va-lsznsgek sszege 1).

Az elbbi felrsban nem adtuk meg konkrtan a logaritmus alapjt, m erre nincs is szksg.Ha ugyanis egy alaprl ttrnk egy msikra, az csupn a mrtkegysg megvltozst jelenti, hiszen

ubu baa logloglog = . Hasonl ez ahhoz, mint amikor a hosszsgot mterben, vagy lbban adjuk

meg. Magt a logaritmus alapjt, r-et cH =

2

1,

2

1 (amely a felttel rtelmben pozitv) hatrozza


6/53

1. Az entrpia

4

meg, ugyanis 2log2

1log

2

1

2

1log

2

1

2

1,

2

1rrrHc =

+=

= -bl cr

1

2= . Mivel cpozitv, ezrt 1>r .

Az alap szoksos rtke az informcielmletben 2, s ekkor az entrpia egysge a bit. Ezt az elneve-zstJohn W. Tukeyvezette be a binary digit rvidtseknt. Tekintettel arra, hogy ugyanez a neveegy kettes szmrendszerben felrt szm egy-egy szmjegynek, ezrt megklnbztetsl az inform-

cielmleti egysget szoks binary unit-knt, a binary unit rvidtseknt emlteni.Ha a ip valsznsgek az Xesemnyhalmaz elemei elfordulsainak a valsznsgei, akkor

( )01 ,, ppH n tulajdonkppen azXtr entrpijt adja meg, ezrt ezt az rtket ( )XH -szel is jell-hetjk.

Csupn az rdekessg, s bizonyos patriotikus bszkesg miatt jegyezzk meg, hogy Shannon-nakNeumann Jnosjavasolta az entrpia elnevezst, lvn, hogy a kifejezs matematikailag hasonlalak, mint a korbbi fizikai entrpia. Az elnevezst a formlis hasonlsgon kvl bizonyos tartalmiazonossgok is altmasztjk, br igen komoly eltrsek is kimutathatak a kt entrpiafogalom k-ztt, amirt tbben krosnak tartjk az azonos megnevezst. Shannonnak ms magyar kapcsolata isvolt: foglalkozott sakkautomatval, s ezzel kapcsolatban megemltette Kempelen Farkasnevt, va-

lamint a kommunikcirl szlva Gbor Dnest nevezi meg egyik ttrknt.

A fenti H-fggvny a Shannon-fle entrpiafggvny. Van ms kifejezs is az entrpira.

( )

= =

1

001log

1

1,,

n

i in pppH

a Rnyi-fle entrpia, ahol 1-nl kisebb, nem negatv vals

szm. Ez a kifejezs hatrrtkknt tartalmazza a Shannon-fle entrpit, ha balrl tart 1-hez.

A ( )01 ,, ppH n fggvnynek az rtelmezsi tartomnyban pontosan egy maximuma van a

( )

=

nnppn

1,,

1,, 01 helyen, s ekkor az rtke nlog , ami ppen 1, ha a logaritmus alapszma is

n. Ez az entrpia intuitv rtelmezse alapjn vilgos, hiszen tlagosan akkor jutunk a legtbb infor-mcihoz, akkor lehet a legkevsb megjsolni a soron kvetkezzenetet, ha lnyegben vve sem-mit sem tudunk az egyes zenetekrl, brmelyik esemny azonos valsznsggel kvetkezhet be. Apontos bizonyts pldul a kvetkezlehet. Legyen npozitv egsz szm, N> in -re ia nem nega-

tv s ib pozitv vals szm,

==

1

0

n

i iaa s

==

1

0

n

i ibb . Ekkor (figyelembe vve, hogy a logaritmus

alapszma, r, egynl nagyobb, s gy a logaritmusfggvny mindentt szigoran konkv, teht az rin-tsi pont kivtelvel mindentt az rintalatt marad)

aba

ab

ab

ba

ra

aba

a

b

a

b

a

ba

a

ba

n

i i

ii

n

ii

n

i i

ii

n

i i

ii

logln1log

loglog

1

0

1

0

1

0

1

0

=

+

+=

=

=

=

=

s egyenlsg akkor s csak akkor ll, ha minden i-re cb

a

i

i = . Ha most ii pa = s 1=ib , akkor 1=a

s nb= , s ( ) nppH n log,, 01 , tovbb akkor s csak akkor lesz ( ) nppH n log,, 01 = , ha a

valsznsgek megegyeznek, vagyis valamennyi i-ren

pi1

= .

A tovbbiakban szksgnk lesz az entrpiafogalom kiterjesztsre. Tegyk fel, hogy kt vges

valsznsgi szkmnk van, az egyik azX, a msik az Yesemnytren, az elbbiben m, az utbbibann esemnnyel. Legyen ip annak a valsznsge, hogy az Xxi esemny kvetkezett be, jq az


7/53

1. Az entrpia

5

Yyj esemny elfordulsnak valsznsge, jir, annak a valsznsge, hogy az ix s jy ese-

mny egyttesen bekvetkezett, mg jit az Xxi esemny elfordulsnak valsznsge, feltve,

hogy Yyj bekvetkezett. Most az albbi entrpikat vezethetjk be:

1. ( ) jim

i

n

j ji ppYXH ,1

0

1

0 , log,

=

== az egyttes entrpia

2. ( ) ( )( ) ( )

=

=

=

=

=====

1

0

1

0 ,

1

0

1

0

1

0loglog

n

j

m

i jiji

n

j

m

i jijij

n

j jjj tpttpyXHpyXHEYXH

az Y-ra vonatkoz feltteles entrpia (most E a vrhat rtket jelli), s hasonl az X-revonatkoz feltteles entrpia, ( )XYH is.

Mivel a fent bevezetett fogalmak lnyegben vve azonosak a korbbi entrpiafogalommal(annyi eltrssel, hogy a feltteles entrpia egy tlagos entrpia), ezrt a fenti fggvnyek rtke isnem negatv. Belthat tovbb, hogy

1. ( ) ( )XHYXH

2.( ) ( ) ( )

( ) ( )XYHXH

YXHYHYXH

+=

+=,

Az elsegyenltlensg azt fejezi ki, hogy ha azXzenethalmazrl mr van valamilyen a prioriismeretnk, akkor legfeljebb annyi j informcihoz jutunk, mint az elbbi ismeretek nlkl. A mso-dik egyenlsg viszont azt jelenti, hogy az egyttes zenethalmaz tlagos informcitartalmt pldulgy kapjuk meg, hogy meghatrozzuk nmagban azXforrs informcitartalmt, s ehhez mg hoz-zvesszk azt az informcimennyisget, amelyet mr az Xismeretben az Yforrsbl nyerhetnk. Akt pont sszevetsbl az is ltszik, hogy az egyttes entrpia nem lehet nagyobb, mint a kt kln-

kln szmolt entrpia sszege, vagyis ( ) ( ) ( )YHXHYXH +, .

Vgezetl mg egy fontos fogalmat definilunk, a klcsns informcit. Ezt a fogalmat az ent-rpibl kaphatjuk, nevezetesen ( ) ( ) ( )YXHXHYXI =:, . A fentebbi 2. sszefggsbl kapjuk,hogy ( ) ( ) ( )XYHYHYXI =, , valamint ( ) ( ) ( ) ( )YXHYHXHYXI ,, += is teljesl. Figyelembe

vve a ( ) ( )XHYXH egyenltlensget, ltjuk, hogy a klcsns informci rtke is mindig nemnegatv. HaXs Yfggetlenek, akkor ( ) 0, =YXI , hiszen ekkor ( ) ( )XHYXH = , s a klcsns in-formci rtke ( )XH , ha determinisztikus kapcsolat van YsXkztt, mert ebben az esetben a fel-tteles entrpia rtke 0.

A fentiekben megfogalmazott entrpia olyan zenetforrsra vonatkozik, amely az egyes zene-teket egymstl fggetlenl bocstja ki. Az entrpia ltalnosabb esetre is megadhat, de ezzel a to-vbbiakban nem foglalkozunk.


8/53


9/53

2. A DES

A klasszikus rendszerek kt nagy mdszert alkalmaztak. Az egyik a helyettests, amikor egy-egy bett, vagy a betk egy csoportjt helyettestik valamilyen jellel, vagy jelcsoporttal, mg a msik-

nl az zenet egy-egy meghatrozott hosszsg szakaszn megvltoztatjk a betk sorrendjt, vagyistranszpozcit alkalmazunk. Ha nagy redundancij zeneteket sifrrozunk, akkor elegenden hosszzenet esetn a kulcs knnyen megfejthet. Igencsak meglep, hogy ha az gynevezett egyszer, vagyms nven monoalfabetikus helyettestst alkalmazzuk, vagyis ha mindenegyes bett ugyanazonszabllyal helyettestnk, akkor a lehetsges helyettestsek, teht a klnbzkulcsok szma a 26-bets angol bc alkalmazsa esetn 403 291 461 126 605 635 584 000 000, gy az ember azt gon-doln, hogy szinte lehetetlen megllaptani az aktulis kulcsot. A valsg viszont az, hogy ha a rejtje-lezett szveg egy tipikus, htkznapi szveg, akkor egy krlbell 20 bets szveg egyrtelmen visz-szafejtheta kulcs elzetes ismerete nlkl. A fejts alapja a betfrekvencia. Minden nyelvre jellem-z, hogy az egyes betk milyen gyakorisggal fordulnak el. Ha monoalfabetikus helyettestst alkal-mazunk, akkor a szveg beti a sifrrozs sorn grafikusan megvltoznak, de nem vltozik meg az

eredeti szvegben lv

el

fordulsuk gyakorisga, s ezt lehet kihasznlni a fejtshez. Ha csak azegyes betk gyakorisgt nzzk, akkor krlbell 80 bets szveg kell az egyrtelmfejtshez, mnzhetnk egyb jellemztulajdonsgokat is. Ilyen pldul a betk egymsra kvetkezsnek gyako-risga, a ketts betk gyakorisga, vizsglhatjuk a szkezds a sz vgn ll betk gyakorisgt(feltve, hogy a rejtjelezs sorn nem gyomlltk ki az rulkod szkzket), stb. Ha mindezt figye-lembe vesszk, akkor alakul ki a mr emltett krlbell 20 bets szveg fejthetsge. Nehezti a fej-tst, ha tmrtnk. Ha pldul szmsorozatokat rejtjeleznk, amikor is brmely sorozat rtelmes ze-net lehet, vagyis ha a redundancia 0, akkor ilyen kapaszkodnk nincs a fejtshez.

A mdszert gy lehet bonyoltani, ha vagy ms s ms szabllyal vgezzk az egyes pozcikona helyettestst ez a tbbbcs, vagyis msknt a polialfabetikus helyettests , vagy sok bet-bl ll blokkokat helyettestnk, ami a blokk-kdok alapja. Az elbbi szls esete a Vernam ltal

javasolt vletlen tkulcsols. Ez olyan eljrs, ahol minden pozcihoz abszolt vletlenl vlasztjuk

a helyettestsi szablyt (ez a tovbbi zenetekre is rvnyes, vagyis az egyszer elkezdett vletlen so-rozatot kell folytatni, nem lehet jra kezdeni a generlst). Szemlletesen is belthat, hogy ez a titko-sts elvileg is fejthetetlen, hiszen brmely eredeti bethz, s tetszleges rejtjelbethz van olyantranszformci, amely az elbbit az utbbiba alaktja, s minden helyettests azonos valsznsggelkerlhetett alkalmazsra, vagyis a rejtjelezett szvegbl egyenl valsznsggel brmilyen eredetiszveg elllthat. A pontos matematikai bizonytst ami lnyegben vve semmivel nem nehezebbaz elbbi gondolatmenetnl Shannonvgezte el. Ennl a mdszernl termszetesen fokozottan igaz,hogy igen nehz a kulcs biztonsgos kicserlse a kt fl kztt, m mgis alkalmaztk a gyakorlat-ban, nevezetesen a Moszkva s Washington kzttiforr drton.

A gyakorlatban inkbb a blokk-kdok terjedtek el, amelyeknek egyik leghresebb kpviselje aDES (Data Encryption Standard), amelyet 1977-ben fogadtak el szabvnyknt, s egszen 2002-ig

volt szabvny, ekkor vltotta fel az AES (Advanced Encryption Standard), m amelyet fleg a h-romszor egyms utn alkalmazott formjban mg ma is igen szles krben alkalmaznak. ADESegyigen fontos jellemzje, hogy jllehet elvileg brmely rejtjelrendszer esetn felteszik, hogy maga azalgoritmus ismert, ez volt a vilg elsolyan rejtjelezalgoritmusa, amelyet hivatalosan nyilvnossg-ra hoztak (br vannak, akik ezt nem akarjk elhinni, s felttelezik, hogy a rendszert kifejlesztIBMbizonyos informcit megtartott magnak, amelynek a segtsgvel kpes fejteni a titkostott zenete-ket). ADESjelentsgt mg az is altmasztja, hogy az azta kifejlesztett blokkos rejtjelezrendsze-rek majd mindegyike tbb-kevsb aDES-nl alkalmazott elvekre, de legalbbis az elvek egy rszrepl.

ADEShrom pillren nyugszik.


10/53

2. A DES

8

1. Tegyk fel, hogy egy r-bets bcvel rt n-bets blokkotp-hosszsg kulccsal rejtjeleznk(maga a kulcs a szveggel azonos bcbl pl fel). Ekkor egy blokk kiszmtsa lnyegben vveegy pn + vltoztl fgg, negyenletbl ll egyenletrendszer:

( )pnii kkmmfcin ,,;,,: 11 = +N

ahol jm a nylt szveg egy blokkjnakj-edik, lk a kulcs l-edik, s ic a rejtjelezett szveg blokkjnak

i-edik betje. Ha r egy prmhatvny, akkor a szimblumhalmaz egy vges testnek tekinthet. Ilyenesetben brmely lekpezs, amely a vges testet nmagba kpezi, megadhat egy polinommal, gy

feltehetjk, hogy az if lekpezs az if polinomhoz tartoz polinomfggvny. Hasonl a helyzet adesifrrozs esetn:

( )pnii kkccgmin ,,;,,: 11 = +N

Ha az algoritmus nyilvnos, akkor ismertek a polinomok, s ekkor a fejts egyszerbehelyette-

sts, m a kulcs ismerete nlkl a feladat az eredeti polinomok ltal meghatrozott egyenletrendszermegoldst jelenti. Ha a polinomok nem linerisak, akkor viszont az ilyen egyenletrendszer megold-sa NP-nehz, s gy elegenden nagy blokkok esetn a fejts br elmletileg lehetsges gyakorlati-lag a hasznlhat idn bell remnytelen feladat.

2. Shannonszerint nmagban sem a helyettests, sem a transzpozci nem nyjt kellvdel-met leszmtva a vletlen tkulcsolst, amely viszont egszen extrm alkalmazsoktl eltekintve agyakorlatban alkalmazhatatlan. Shannonaz gynevezett kevertranszformci tbbforduls alkalma-zst javasolta. Itt egy-egy fordul egy kulcstl fgghelyettestsbl s egy transzpozcibl ll. Anehzsget az okozza, hogy ha nagy a blokkmret mrpedig a megfelel titkossghoz elegendennagy blokkmretre van szksg , akkor nehz a helyettesttblzatok trolsa (egyszeren szmt-

hat helyettests nem jhet szba, hiszen azt brki knnyen tudn fejteni). Shannonezt gy javasoltamegoldani, hogy a blokkot tbb kisebb rszblokkra bontotta, s ezekre a kisebb rszekre alkalmazta ahelyettestst. A dologban lnyeges, hogy az utna kvetkeztranszpozci az elbbi fordulban egyrszblokkban elhelyezked betket klnbz blokkba helyezi. A lekpezst gy alaktjk ki, hogyrvnyesljn az gynevezett lavinahats, vagyis ha a bemeneten egyetlen bett megvltoztatunk,akkor a kimeneten, azaz a rejtjelezett szvegben a teljes blokk betinek a fele vltozzon, de gy, hogya kimenet minden betje valsznsggel vltozzon, tovbb a kimenet brmely betje a bemenetvalamennyi betjtl fggjn, s egy kimeneti betmegvltozsbl ne lehessen kvetkeztetni a be-meneti vltozsra.

3. A DESaz gynevezett Feistel-struktra alapjn mkdik. Legyen a rejtjelezendszvegm, amelynek hossza n2 , s vlasszuk kt rszre gy, hogy az egyik rsz a szveg elsnbetjbl,mg a msik a hts nbetbl ll, azaz az elbbit ( )0m -lal, a msodikat ( )1m -gyel jellve ( ) ( )10 mmm= .Tegyk tovbb fel, hogy az algoritmus tfordulbl ll, s mindenegyes fordulban az eredeti kulcs-bl szrmaztatott alkulcsot alkalmazunk. A Feistel-struktrban alkalmazott transzformci ezek utna kvetkez:

( ) ( ) ( ) ( )( )iiii kmfmmit ,: 11 += ++N

Az m-hez tartoz rejtjelezett szveg ( ) ( )tt mmc 1+= . A kulcs ismeretben a visszafejts rendkvl egy-szer, hiszen c-bl ismert ( )1+tm s ( )tm , s ha ismerjk valamilyen + Njt -ra ( )1+jm -et s ( )jm -t,

akkor ( ) ( ) ( )( ) ( )11 , + = jjjj mkmfm , vagyis c-bl meg tudjuk hatrozni ( )1m -et s ( )0m -t, teht m-et. Lt-

hat, hogy a rejtjelezs a visszafejtalgoritmus csak annyiban tr el, hogy az egyikben sszeads, amsikban kivons ll (ami binris esetben egybknt megegyezik), s a kulcsokat fordtott sorrendben


11/53

2. A DES

9

kell alkalmazni. Igen lnyeges tulajdonsga a Feistel-struktrnak, hogyfnem felttlenl invertlha-t, amely tulajdonsg nagyon megknnyti a rejtjelezs szempontjbl j tulajdonsg fggvny kere-sst.

Konkrtan aDESesetn az bc kt betbl, a 0-bl s az 1-bl ll, s a blokkmret 64 bit. Akulcs is 64 bites, de ebbl 8 bit ellenrzfunkcit lt el, gy valjban a kulcs 56 bites (ezt vetettkleginkbb aDESszemre, s sokan gy vltk, hogy azrt vlasztottk ilyen mretre a kulcsot, merta titkosszolglatok a maguk szmtstechnikai appartusaikkal abban az idben ekkora mretekkelboldogultak). Az eljrs 16-forduls, s a kulcsbl gy lltjk elaz egyes fordulkhoz az aktulisalkulcsot, hogy a 16. fordul utn ppen visszanyerik az eredeti kulcsot (ez inkbb a hardveres meg-olds szempontjbl jelent nmi elnyt). A binris bc esetn, mint fentebb mr emltettk, a kivo-ns megegyezik az sszeadssal, gy a desifrrozs teljes egszben megegyezik a sifrrozssal, csupna kulcsokat kell fordtott sorrendben alkalmazni.

A mai szmtstechnikai eszkzkkel a DES fejtse knny feladat, ezrt klnbzkulccsaltbbszr egyms utn alkalmazzk. Egy rejtjelez rendszer tbb kulccsal val itercija csak akkoreredmnyezhet az egy kulccsal val titkostsnl ersebb vdelmet, ha a lekpezsek kompozcija

nem alkot csoportot, vagyis ha kt egyms utni titkosts nem llthat elvalamely kulccsal trtnegylpses lekpezsknt. Ez aDESesetn teljesl. Kevs szmolssal kimutathat, hogy a ktszeres

DESsem nyjt ma mr kellvdelmet, m a hromszorosDESbiztonsgosnak mondhat, s igen sokhelyen alkalmazzk ma is.

A blokkos rejtjelezseket, s gy a DES-t is, klnbz zemmdban alkalmazzk, amelyekmg nvelik a rendszer hatkonysgt, biztonsgt. Egy ilyen az gynevezett CBC-md (CipherBlock Chaining), a blokklncols. Ennl az zemmdnl vlasztunk egy 0c kezdblokkot, s ebbl

kiindulva egyms utn kpezzk a ( )1, = iiki cmEc blokkokat, ahol kE a kkulcstl fggrejtjelezlekpezs. A szablybl ltszik, hogy a rejtjelszveg i-edik blokkja nem csupn a nylt szveg i-edikblokkjtl, hanem valamennyi korbbi blokktl is fgg.


12/53


13/53

3. Az ENIGMA

A rejtjelez visszafejttevkenysg gpesthetis, gy bonyolultabb eljrsok alkalmazhat-ak. Ennek egyik pldja az Enigma.

Az Enigma1egy olyan elektromos rgp, melynek hrom fbb egysge van: egy billentyzet anylt szveg betinek bevitelre, egy talakt egysg, amely a nylt szveg betit a rejtjeles szvegmegfelelbetiv alaktja, s egy kijelzpanel, amelyen kis lmpcskk felvillansa jelzi a rejtjelesszveg betit. A felvillan betket lerva kapjuk meg a rejtjeles szveget, amelyet azutn rdin to-vbbtottak a cmzettnek. A vev oldalon egy azonos bellts enigmval rtk le a szveget, s almpk felvillansa adta vissza a nylt zenetet.

A gp legfontosabb rsze az talakt egysg, amely hrom kivehetkevertrcsbl ll, gyezek cserlhetek. A kevertrcsa egy vezetkekkel srn telesztt, vastag gumitrcsa. A nylt szvegbetinek sifrrozst a kevertrcsk belshuzalozsa hatrozza meg. Ha a trcsk fix helyzetek len-nnek, akkor a trcsk huzalozsa egy egyszer egybcs helyettestses eljrst valstana meg.Sherbius gpnek viszont a legfontosabb jellemzje, hogy a kevertrcsk forognak. Minden egyesbetsifrrozsa utn az elstrcsa 261 -odnyival elfordul (26 bets bc esetn). A msodik trcsa

csak akkor fordul 261 -odnyit, ha az elstrcsa megtett egy teljes fordulatot, a harmadik trcsa akkor

fordul 261 -odnyit, ha a msodik trcsa megtett egy teljes fordulatot, mikzben az els trcsa mr

2626 -szor fordult 261 -odnyit. Ez a mechanizmus hasonlt az autk kilomterrjhoz. A rotci

rvn a gp tbbbcs helyettestses eljrs megvalstsra hasznlhat. A hrom kevertrcsakezdeti belltsa 57617262626 = klnbz kulcsnak felel meg. Az brn az Enigma ktdi-menzis brzolsa lthat, az ttekinthetsg kedvrt hatbets bc esetn. A kevertrcsa egybe-tnyi elfordulsa sorn a trcskat sszektvezetkek egy hellyel lentebb kerlnek.

Enigma kapcsolsi rajza

A kapcsolsi rajzon mg kt szerkezeti elem is lthat. A visszairnyt szintn egy belshuzalozs gumitrcsa, de nem forog. Mikor a kezelbegpel egy bett, azzal egy elektromos jeletkld t a hrom kevertrcsn. A visszairnyt ezt a berkezjelet kldi vissza, de ms tvonalon.Az brn lthat trcsallsok esetn a lettt bbeta C-t villantja fel, ha azonban a c-t tttk volnale, akkor a kijelzn a Bvillant volna fel. Ebbl lthat a visszairnyt szerepe: a gp a nylt szveg

1

Az Enigma-ra vonatkoz rszt Tthn Mszros gnes Rejtjelezs a kzpiskolbancmszakdol-gozatbl vettem t.


14/53

3. Az ENIGMA

12

egyik betjt a rejtjeles szveg egyik betjv alaktja, s ha egy msik gp ugyangy van belltva,akkor az elbb megkapott rejtjeles szveg betjt letve megkapjuk az eredeti nylt szveg betjt,vagyis a sifrrozshoz s a desifrrozshoz ugyanaz a gp szksges megegyezkezdbelltssal!

A msik j elem az brn a kapcsoltbla, mely a billentyzet s az elskevertrcsa kz vaniktatva. E kapcsoltbla lehetv teszi, hogy beiktassunk nhny vezetket, amelyek mg az elske-vertrcsba val belps eltt felcserlnek bizonyos betket. Az Enigmakezeljnek hat ilyen veze-tke van, miltal hat betprt tud felcserlni a huszonhatbl. Egy 26-bets bc esetenknti hatbetprjnak felcserlsi lehetsgeinek szma

500791391100!6

22265

0 =

=k

k

.

A gp alapbelltshoz tartozik mg a kevertrcsk sorrendje is. Scherbius gy szerkesztettemeg gpt, hogy a kevertrcsk sorrendjt meg lehessen vltoztatni, a kevertrcsk kivehetsg-vel. A hrom trcsa 6-flekppen helyezheta gpbe, gy a lehetsges kezdbelltsok, vagyis kul-

csok szma:

kevertrcsk belltsa (minden trcsa 26-fle pozciba llthat): 17 576kevertrcsk sorrendje: 6kapcsoltbla belltsai: 100 391 791 500sszesen (elzhrom tnyezszorzata): 10 586 916 764 424 000

A rejtjelezs kulcst (a gp kezdbelltst) naponta vltoztattk, amit a ngyhetente sztosz-tott 28 kulcsot tartalmaz kdknyv hatrozott meg. A kapcsoltbla eredmnyezi a kulcsok szm-nak legnagyobb nvekedst, de a sifrrozs megkezdse utn mr nem vltozik belltsa, gy egye-dli alkalmazsa olyan rejtjeles szveget generlna, amely gyakorisgi elemzssel megfejthet. A ke-vertrcsk kevesebb szm kulccsal jrulnak hozz a vgeredmnyhez, de belltsuk folyamatosan

vltozik, aminek eredmnyekppen a rejtjeles szveg gyakorisgi elemzssel nem fejthetmeg. Mivela rejtjelezs sorn a gp 17 576 klnbz sifre-bct hasznl, Babbage mdszervel sem fejthetmeg a rejtjeles szveg.


15/53

4. RSA

Az RSA a leggyakrabban alkalmazott s a legjobban bevlt nyilvnos kulcs rejtjelezsi algo-ritmus, amelyet sokan s igen alaposan vizsgltak, s amely a publikus informcik alapjn gyakorla-

tilag fejthetetlen, ha a paramtereket a megfelelgondossggal vlasztjk. Az algoritmus neve az tkifejleszthrom matematikus: Rivest, Shamir s Adleman nevnek kezdbetje.

A tovbbiakban az as a nem nulla bvals szm esetn legyen

=

b

ababa :mod . A defin-

cibl knnyen kiolvashat, hogy ha aegsz szm s bpozitv egsz szm, akkor ( )baba mod sbba


16/53

4. RSA

14

A definci alapjn knny igazolni, hogy ( ) nabnnba modmodmod = , ha a, b s n egsz

szmok, gy elg beltni, hogy amennyiben ( ) mP t =1 s a N> it 1 indexekre ( ) ( )21+

= iui PmP i ,

akkor ( ) umP =0 .Ha 1log 2 += ut , akkor

tt u 22 1 it 1 indexre ( )( )

=

+=

+

+

1

1

121

t

ij

ij

ju

i mP ,akkor

( ) ( )

( ) =

=

==

=

+=

+=

+

+

11

1

1

1

1 22

2

221

t

ij

ijj

t

ij

ijj

i

t

ij

ijj

ii

uuu

uuiui mmmmmPmP

innen pedig i=0 esetn kapjuk, hogy ( ) uu

mmPt

jj

j=

=

=

1

02

0 .Az algoritmus tbit esetn 1t lpsbl ll (leszmtva az inicializlst, amely egyszer

rtkads). Minden lps tartalmaz egy ngyzetreemelst, amely egy szorzs, ez sszesen 1t szor-zs. iu rtke 0 vagy 1; az elsesetben 1=

ium , teht a ngyzetreemelssel megkaptuk ( )im rtkt,

mg 1=iu esetn mm iu = , vagyis ( )

21+im -et mg meg kell szorozni m-el, gy az ilyen szorzsok sz-

ma legfeljebb 1t .

4.4. Megjegyzs

A bizonytsbl ltszik, hogy az algoritmus nem csak a modulris, de a kznsges hatvnyo-zsra is hasonlan mkdik, vagyis a ttel s a bizonyts jellseivel ( )0Pmu = , s az eredmny mostis legalbb 1t s legfeljebb ( )12 t szorzssal megkaphat. Van azonban egy lnyeges klnbsg akt hatvnyozs kztt. Legyen nvalamilyen szmrendszerben r-jegy. Mg a modulris hatvnyozsesetn minden lpsben n-nl kisebb, vagyis legfeljebb r-jegyszmokat kell szorozni, addig a kzn-sges hatvnyozsnl (nem nulla alap esetn) minden lpsben a ngyzetreemelsnl megduplzdik a

jegyek szma (vagy legfeljebb ennl eggyel kisebb lesz). Mivel a szorzshoz nagyjbl a tnyezkjegyei szmnak szorzatval megegyez szm lpsre (egy-egy szmjegy szorzsra) van szksg,ezrt most minden fordulban hozzvetleg ngyszer tbb elemi szmtsra van szksg, mint az el-zfordulban. Ha mjegyeinek szma b, akkor teht a modulris hatvnyozsnl nagysgrendileg 2tb elemi szorzs (teht jegyenknti szorzs) szksges, mg a kznsges hatvnyozs esetn az ilyen

lpsek szma hozzvetleg ( ) 21

22

0

24~

14

142 bbb t

tt

l

l

=

= , vagyis az elbbi esetben az elvgzend

m

veletek szma t-nek polinomilis, a msodik esetben viszont exponencilis fggvnye. Mskntszlva, mg a modulris hatvnyozs polinomilis idben elvgezhet, addig a kznsges hatvnyo-zs nem polinomilis bonyolultsg algoritmus.

Ahhoz, hogy az 4.2. definciban valban rejtjelezst adtunk meg, meg kell mutatni, hogy az

Ae nmm A mod lekpezs injektv AM -n, a fejts a titkos informci hinyban gyakorlatilag lehe-

tetlen, de Ad birtokban knnyvgrehajtani. Ami a tmadt illeti, neki egy ( )Ae ncx A kongruen-

cit kell megoldania. Jelenleg az egyetlen jrhat t (ltalban) az, ha c-nek vesszk a Ad -adik hatv-

nyt, mert amint a kvetkez ttelbl kiderl, Ad ncm A mod= . m ehhez ismerni kellene Ad -t, s

ehhez ltalban ( )An -t, amit viszont csak akkor tudunk knnyen szmtani, ha adott az An faktorizcija. Az utbbi problmra mrmint adott szm felbontsa prmtnyezinek szorzatra nem ismeretes polinomilis idejalgoritmus, st az tnik valsznnek, hogy ilyet nem is lehet meg-


17/53

4. RSA

15

adni. Felhvjuk a figyelmet r, hogy nem lltottuk, hogy a visszafejts csupn gy trtnhet, ezrt nemmondtuk, hogy a fejts nehzsge azonos a faktorizls nehzsgvel; ezt sem nem bizonytottk, semnem cfoltk eddig (nyilvnosan!), tovbb azt sem mondtuk, hogy minden esetben a hatvnyozs alegkzenfekvbb megolds, bizonyos szerencstlen ( )cm, pr esetn egyszerbben is megoldhat afeladat (a szerencstlen jelza leglis partnerek szempontjbl rtend, a hvatlan tmad szmra ez

inkbb szerencss vletlen). Amit llthatunk, az csupn annyi, hogy az RSA fejtse legfeljebb annyi-ra nehz, mint az sszetett egsz szmok tnyezkre bontsa, hiszen ha fel tudjuk An -t bontani, akkormr fejteni is tudunk, de elvileg elkpzelhet, hogy van ennl egyszerbb mdja is a fejtsnek.Egybknt An felbontsnak vagy ( )An -nak az ismerete algoritmikus szempontbl egyenrtk,mert egyikbl a msik polinomilisan szmthat. Ez a felbonts ismeretben nyilvnval, hiszen ek-kor ( ) ( )( )11 = AAA qpn , ami lnyegben vve egyetlen szorzs. Ha viszont ismert ( )An , akkor

( )( ) ( )AAAAAAA nqpqpqp ==+ 111 s AAA nqp = , az elbbibl ( ) 1+=+ AAAA nnqp ,

vagyis Ap s Aq az ( )( ) AAA nnnx ++ 12 polinom kt gyke, s a kt gyk polinomilis idben

meghatrozhat. Ad ismeretben viszont mknnyen nyerhet, mert a modulris hatvnyozsrl mr

megmutattuk, hogy knny feladat, gy a leglis cmzett knnyen hozzjut a nylt szveghez. Most

megmutatjuk, hogy tetszleges AMm nylt zenetre ( ) ( )Ad

e nmm A

A , ebbl majd az is kvetke-zik, hogy a rejtjelszablyunk injektv. Az albbiakban ltalnosabban vizsglja a krdst.

4.5. Jells

Legyen +Nn , Nu s N< vu . Ekkor

( ) ( ) 0mod == nmMmM unnu s

( ) ( )nu

nu MN = ;

( ) ( ) ( ){ }0mod, == nmmMmM uvnnuv s ( ) ( )nuvnuv MN ,, =

Lthatan ( )nuM azux s ( )nuvM , az

uv xx polinom n-nl kisebb nem negatv modulo ngykei-

nek halmaza, s ( )nuN valamint( )n

uvN , az ilyen gykk szma.

4.6. Ttel

Legyen == s

i

ri

ipn1

pratlan egsz szm, ahol +Ns , minden + Nis indexre irpozitv

egsz s a ip prmek pronknt klnbzek, s legyen pprm s+

Nr . Ekkor ( ) ( ) == s

i

p

un

u

iriNN

1

s ( ) ( )

=

= s

i

p

uvnuv

iriNN

1,, , ahol

( ) ( ) ( )rrr puv

pu

puv NNN 0,, += ,

( )

= ur

rp

u pN r

, s ( ) ( )rpw pN r

=0, .

Bizonyts:Ha f egsz egytthats polinom, akkor a fenti n-re az f polinom modulo ngykeinek szma

megegyezik azfmodulo irip gykei szmnak szorzatval, ezrt elegendmegmutatni, hogyrpn= -

rel ( )rp

uvN , ppen a ttelben ll kifejezs.

( )ruv pmm 0 az m egsszel a kongruencia defincija szerint akkor s csak akkor, ha amodulus osztja a kt oldal klnbsgnek, azaz ( )1= uvvuvr mmmmp . De tetszleges megszre

um s 1uvm relatv prmek. Ha ugyanis apprm osztja um -nak, akkor 0>u sposztja m-nek,

de akkor osztja uvm -nak, s gy biztosan nem osztja 1uvm -nek. Ekkor viszont rp csak gyosztja az uv mm klnbsget, ha osztja um s 1uvm egyiknek s csak egyiknek. Ez azt mutat-


18/53

4. RSA

16

ja, hogy ( ) ( ) ( )rrr puv

pu

puv NNN 0,, += , gy elegend a jobb oldalon ll kt rtket meghatrozni, tovbb

csupn a pronknt inkongruens megoldsok rdekesek, ezrt a keresett szmot gy nyerjk, ha k-ln-kln meghatrozzuk azon N>mp r egszek szmt, amelyekre um illetve 1uvm oszthat

rp -rel, s a kt szmot sszeadjuk.

Nzzk az elbbi oszthatsgot. 0=u esetn 1=u

m , s mivel 0>r , teht 1>r

p , gy nincsolyan egsz, amelyre um oszthat rp -rel, ( ) 00 =

rpN , s a fejezet elejn emltett konvenci alapjn

ugyanez az rtke

0

rr

p -nak is. Vizsgljuk az 0>u esetet. Ha rp osztja um -nak, akkor ennek a

prmfelbontsbanplegalbb az r-edik hatvnyon szerepel, s gy m-benpkitevje nem lehet kisebb

u

r-nl, vagyis

u

r-nl, mert ez a kitevbizonyos tnyezk szma, teht egsz szm. Ugyanez vissza-

fel is rvnyes: ha moszthat

u

r

p -val, akkor um is oszthat rp -rel, vagyis um akkor s csak ak-

kor oszthatr

p -rel, ha

=

u

r

kpm alak alkalmas kegsszel. Minket a pronknt inkongruens megol-dsok rdekelnek, teht pldul azok, amelyek egyben kielgtik a N>mpr felttelt, ami ekviva-

lens a N>

kp ur

r

egyenltlensggel, s ezen kegszek szma ppen a bal oldalon ll szm; ez-

zel megkaptuk ( )rp

uN -t 0>u -ra is.

Most ttrnk ( )rp

wN 0, , vagyis az 1wx polinom modulo rp gykei szmnak meghatrozs-

ra, ahol a uvw = jellst alkalmaztuk. Ennek nyilvn csak olyan m lehet a megoldsa, amellyelwm s rp legnagyobb kzs osztja egyben osztja 1-nek, vagyis ez a legnagyobb kzs oszt 1.

( ) 1, =cab pontosan akkor igaz, ha ( ) 1, =ca s ( ) 1, =cb , gy ( ) ( ) 1,1, == rrw pmpm , teht az

1wx polinom brmely modulo rp gyke relatv prm a modulushoz.Ha p pratlan, akkor a rp modulusra ltezik primitv gyk, vagyis olyan egsz, amelynek a

rendje modulo rp pontosan ( )rp . Legyen gprimitv gyk a rp modulusra. Ez azt jelenti, hogy g( ) N> kp r kitevs hatvnyainak halmaza egyrtegen lefed egy modulo rp reduklt maradk-

rendszert, gy az elbbi intervallumba es olyan k egszeket kell megkeresni, amelyekkel

( ) ( )rwkkw pggg 01== . gprimitv gyk a rp modulusra, teht a rendje a rp modulussal ( )rp ,

gy a kongruencia megoldsai azok a kegszek, amelyekkel ( )( )rpkw 0 , azaz ( )( )( )

r

r

pw

pk

,0 ,

s ennek a kongruencinak ( )( )rpw, pronknt inkongruens megoldsa van.

4.7. Kiegszts

Tetszleges p prmszm esetn ( ) ( )( )rpw pwN r

,0, = , ahol 1= , kivve, ha w pros s p=2 s

3r , amikor 2= .

Bizonyts:Ha p pratlan, akkor 1= , s visszakapjuk a ttelben megadott eredmnyt. Ha 2=p s r

legfelejebb 2, akkor ltezik primitv gyk, s ekkor a bizonyts megegyezik a pratlan prmek eset-

vel. Maradt a 2=p , 3r eset. Ekkor van olyan g, hogy ennek N> kr 22 -kitevs hatvnyai s


19/53

4. RSA

17

ezek ellentettjei kiadnak egy r2mod reduklt maradkrendszert, s a kt csoport idegen. Ha wprat-

lan, akkor a kt csoport elemeinek hatvnyai az eredeti csoporthoz tartoznak, mg pros wesetn kg

s kg w-edik hatvnya azonos lesz, s mivel 10 =g , gy elegend kwg -k kztt keresni azokat, ame-

lyek r2mod kongruensek 1-gyel, s pros wesetn ezek szmt megduplzni. ( )rkw gg 21 0= ak-

kor s csak akkor, ha ( )220 rkw , hiszen g rendje r2mod pontosan 22 r . Ez utbbi kongruencia

ekvivalens a( )

2

2

2,

20

r

r

wk kongruencival, s ennek ( )22, rw pronknt inkongruens megoldsa

van. Ha wpratlan, akkor 3r miatt ez a szm 1, ami megegyezik ( )12, rw -val, mg ha wpros, ak-kor ( ) ( )12 2,2,2 = rr ww . Tekintetbe vve, hogy pozitv egsz resetn ( ) 122 = rr , a bizonyts ksz.

A ttelnek egy sereg kvetkezmnye van:

4.8. Kvetkezmny

Legyen ( ) += Nisplkktt iri (lkkt a legkisebb kzs tbbszrst jelli). Ekkor az elzttel jellseivel s feltteleivel

1. ( )P

nppN

s

i

ri

s

i

u

rr

in

ui

ii

== =

=

1

1

1

0 , ahol =

=s

iipP

1

;

a) ( ) 0=nuN ekvivalens 0=u -val;

b) 1.-ben a jobb oldalon akkor s csak akkor ll egyenlsg, ha + Nisru imax ;

c) 1.-ben a bal oldal rtke pontosan akkor 1, ha 1=u vagy nngyzetmentes;2. ( ) ( )( ) ( )npvN

s

i

ri

nv

i = =10, ,1 ;

a) ( ) 10, =n

vN akkor s csak akkor, ha ( )( ) 1, =nv ;

b) ( ) ( )nN nv =0, akkor s csak akkor, ha vt

c) ha ( )nv = , akkor ( ) ( )nN nv =0, (ez az Euler-Fermat ttelms megfogalmazsban);

3. 1u esetn ( ) ( ) nppuvpNs

i

ri

ri

u

rr

inuv

s ii

ii

+=

=

1

1, ,2 ;

a) ( ) snuvN 2, = akkor s csak akkor, ha egyrszt 1=u vagy n ngyzetmentes, msrszt

( )( ) 1, = nuv ;b) ( ) nN nuv =, akkor s csak akkor, ha { }+ Nisru imax s uvt ;c) ha uv pros, akkor ( ) snuvN 3, = ;

4. ( )( ) nN n nnn =, ;

5. ( ) ( )( ) =

+= s

i

ri

ri

nv

ii ppvN1

11, ,11 ;

a) ( ) snvN 21, = akkor s csak akkor, ha 1v s ( )n relatv prm;

b) ha vpratlan, akkor( ) snvN 31, ;


20/53

4. RSA

18

c) ( ) nN nv =1, -hez szksges s elgsges, hogy nngyzetmentes, s tosztja 1v -nek;

d) ha nngyzetmentes, akkor minden Zm -re ( ) ( )nmm nk + 1 , ahol Nk ;

e) ha minden Zm -re ( )nmmn , akkor nngyzetmentes, s vagy s=1, vagy 3s ;

6. ha nngyzetmentes, Nk , s ea kt-hez relatv prm termszetes szm, akkor tetszleges,

az e-hez relatv prm Nj -re brmely, az ( )jtex 1 kongruencit kielgt d pozitvegsszel minden Zm -re ( ) ( )nmm de . Specilisan, ha ( )( ) 1, =ne s ( )( )ned 1 , ak-kor ( ) ( )nmm de ;

7. legyen +Nz , s + Niz -ra N< iu1 olyan, hogy N= =z

i iun

1ngyzetmentes, le-

gyen tovbb ( ) = = z

i iut

11 , ea t -hz relatv prm pozitv egsz, s dolyan termszetes

szm, amellyel ( )ted 1 . Ekkor

a) minden Zm -re ( ) ( )nmm de akkor s csak akkor teljesl, ha 1edt ;b) s minden, a t -hz relatv prm e-re ez pontosan akkor igaz, ha tt .

Bizonyts:

1. Nzzk ( )rp

uN rtkt.pprmszm, gy 1>p , tehtzp z-nek szigoran monoton nvekv

fggvnye. ( )

= ur

rp

u pN r

, azaz

=

u

rrz , ahol 0u . Pozitv uesetn ez monoton n, s mivel r

is pozitv, ezrt ru esetn 10 u , akkor ( ) ( ) ( )rrr puv

pu

puv NNN 0,, += s

( ) ( ) ==

s

i

puv

nuv

iriNN

1 ,,. Minden tnyezmindkt

tagjnak minimuma 1, gy az sszeg minimuma s2 , amit pontosan akkor kapunk, ha nngyzetmentesvagy 1=u , s ugyanakkor uv relatv prm ( )n -hez. Ha azonban npratlan, akkor ( )irip mindeni-re pros, ezrt ha uv is pros, akkor a legnagyobb kzs oszt minden tnyezben legalbb kett,s maga a tnyezminimlisan 3.

A maximumot pontosan akkor kapjuk, amikor t osztja uv -nak, s { }+ Nisru imax .

Ekkor )) )1

,

== iiii r

i

r

i

r

i

r

i ppppv minden i-re, s

1

= i

ii r

i

u

rr

i pp , ahonnan a kt rtk sszeadsautn ppen irip -t kapunk, amelyek szorzata n.

4. Most ( )( ) ( )nnnnuv == , s ( )nt , gy t osztja uv -nak. Brmely + Nis

index esetn nfelrhat irinp i alakban, ahol irip s in relatv prmek. Ekkor

( ) ( ) ( ) ( ) ( )( )( ) ( ) i

rii

riii

ri

iirii

rii

rii

ri

rpnpnnp

nppnpnpnpnnuiii

iiii

+=

===

11

1 1

s ebbl kapjuk, hogy { }+ Nisru imax .

5. Ez a pont az utols alpont kivtelvel lnyegben vve 3. specilis s aktualizlt esete1=u -re, ahol az aktualizls azt jelenti, hogy az iru felttelek kvetkeztben most nngyzetmen-

tes. Nzzk e)-et. Amennyiben minden egsz m-re ( )nmmn , akkor ( ) nN nn =1, , ami akkor s csak

akkor teljesl, ha nngyzetmentes s 1nt . Legyen nngyzetmentes. Ha 1=s , akkor ez azt jelenti,

hogy nprm, s ekkor ( )nmm n ppen a kis Fermat-ttel, vagyis ekkor ez minden egsz m-re igaz.Legyen most 2=s , vagyis pqn= , aholps qkt klnbzpratlan prm, s mondjuk qp < . Ek-

kor ( ) ( )1111 +== pqppqn , s ez biztosan nem oszthat 1q -gyel, de akkor mg kevsb1p s 1q legkisebb kzs tbbszrsvel, t-vel.

6. Ha ( ) 1, =kte , akkor ( ) 1, =te is igaz, s miveljis relatv prm e-hez, ezrt ( ) 1, =jte , gy

( )jtex 1 megoldhat. Ha dmegolds, akkor 1djtt , teht 5. alapjn igaz az llts.Ami a specilis esetet illeti, t nyilvn osztja ( )n -nek, teht ( ) ktn = , s a felrs alapjn

kj= , gy ( )( ) ( )ktene ,,1 == -bl ( ) ( ) 1,, == keje .7. Az elsllts ved= -vel 5. alapjn igaz.

tt esetn ( )ted 1 -bl 1dt . Fordtva, tegyk fel, hogy tetszleges e, dpr j, s le-

gyen tked +=1 , ahol ( ) 1, =tk . Ekkor viszont tttkdt =1 , teht igaz a msodik llts is.

A pros n-re vonatkoz megllaptsokat ismt kln fogalmaztuk meg.


22/53

4. RSA

20

4.9. Kiegszts

Ha npros is lehet, akkor az elbbi kvetkezmny egyes pontjai az albbi mdon vltoznak.

3.c) ha uv pros, akkor ha npratlan vagy nggyel oszthat, akkor az als hatr legalbb

s3 , mg ha negy pratlan szm ktszerese, akkor ( ) 1, 32 snuvN ;5.

a)b) ha vpratlan, akkor ha npratlan vagy nggyel oszthat, akkor ( ) snvN 31, , mg ha n

pros, de nem oszthat nggyel, akkor ( ) 11, 32 sn

vN ;

e) ha minden Zm -re ( )nmmn , akkor nngyzetmentes, s vagy s=1, vagy npratlans 3s .

Bizonyts:

3.c) Ha n pros, akkor 12 nn l

= alak egy pratlan 1n -gyel s pozitv egsz l-lel, s ekkor( ) 122 = ll . Ha nnggyel oszthat, akkor 2l , s ( )l2 pros, teht a helyzet hasonl a pratlan

prmhatvnyokhoz. Amennyiben viszont 1=l , akkor ( ) 12 =l , s ( )( ) 12, = uv .5.b) Ez az elzpont 1=u esetn.5.e) Itt csak annyit kell beltni, hogy ha nnem prmszm, akkor szksgszeren pratlan. Ha

2s , akkor n prmoszti kztt van pratlan, s gy a ( )ip -k kztt pros szm, ezrt t pros.

Ugyanakkor, ha npros, akkor 1n pratlan, s gy nem lehet oszthat t-vel, de akkor ( ) nN nn


23/53

4. RSA

21

Most megmutatjuk, hogy RSA esetn tetszleges mnylt zenetre ( ) ( )nmm de , ebbl majdaz is kvetkezik, hogy a rejtjelszablyunk injektv.

4.11. TtelLegyen Nn pratlan egsz,faz ( )nM halmaz nmagba val olyan lekpezse, hogy minden

( )nM -beli m-re nmmf e mod: , ahol e1-nl nagyobb egsz.fakkor s csak akkor injektv (s gy

bijektv), ha nngyzetmentes, s erelatv prm ( )n -hez.

Bizonyts:Ha ( )( ) 1, =ne , akkor van olyan dpozitv egsz, hogy ( )( )ned 1 , s ha mg nngyzetmen-

tes, akkor evvel a d-vel az ( )nxxed kongruencia megoldsainak szma az 5.d) kvetkezmny alap-

jn n, vagyis ekkor az ( ) nmnmmf deed modmod: = lekpezs az ( )nM nmagba val identikuslekpezse, teht f bijektv. Mivel f az egyarnt az ( )nM -t ( )nM -be kpez nmmg e mod: s

nmmh d mod: lekpezsek kompozcija, ahol elbb g-t hajtjuk vgre, ezrt f csak gy lehetbijektv, ha ginjektv, gy a ttel felttelei elgsgesek.

Ha nnem ngyzetmentes, akkor 1>e miatt az 1.c). kvetkezmny szerint az ( )nxe 0 kong-

ruencinak, ha viszont enem relatv prm ( )n -hez, akkor az ( )nx e 1 kongruencinak van a 2.a).kvetkezmny alapjn egynl tbb megoldsa, gy azflekpezs egyik esetben sem injektv.

Br az RSA szempontjbl nem jtszik kzvetlen szerepet, m a prmtesztelsnl fontos krds

az 1+v

x polinom modulo ngykeinek szma. Mivel ers a hasonlsg a mr megoldott 1v

x poli-nom modulo ngykeinek problmjval, ezrt ezt a krdst is megvizsgljuk, majd csupn a teljessg

kedvrt az uv xx + polinom modulo ngykeinek szmt is megnzzk.

4.12. Ttel::::

Legyen +Ns , == s

i

ri

ipn1

, ahol ir pozitv egsz, a ip -k pronknt klnbzpratlan pr-

mek, ( ) ikri qp ii 2= pozitv egsz ik -vel s pratlan egsz iq -vel, tovbb qv k2= pozitv egsz aNk , q|2/ egszekkel. Ekkor az 1+vx polinom modulo ngykeinek szma ( ) =

s

i iks qq

1,2 , ha

+

< Niskk imin , egybknt 0.

Bizonyts:Mr lttuk korbban, hogy elegendprmhatvnyokra meghatrozni a megoldsszmot, s eze-

ket sszeszorozni. Azt is lttuk, hogy pratlan prm esetn a prmhatvnyra van primitv gyk, mond-

juk g. 1 relatv prm rp -hez, ezrt egy s csak egyflekppen rhat gvalamely ( ) N>= ipd r -

kitevs hatvnyaknt. ( )rd pg 1 , s ( ) ( )rp111 2 = , tovbb d pros, gy ( )rd

pg 21 . wa

csak gy lehet kongruens 1 -gyel, ha arelatv prm rp -hez, s ekkor a is felrhat ghatvnyaknt,

vagyis ( )ry pga . A megoldand kongruencia ezek utn ( )ddwy 2 . Ehhez szksges s elgs-


24/53

4. RSA

22

ges, hogy ws dlegnagyobb kzs osztja ossza2

d-t. A ttel jellseivel nyilvn igaz, hogy ( )qq ,

osztja2

d-nek, gy mg annak kell teljeslnie, hogy a legnagyobb kzs osztban fellp 2-hat-

vnnyal is lehessen osztani 2

d

-t. Ez pontosan akkor teljesl, ha w-ben a 2 kitev

je kisebb, mint d-ben.Ekkor a megoldsok szma ( ) ( ) ( ) ( )qqqqqqdw kkkkkk === ,22,22,2, , ahol qp kr = 2 a pratlanq -vel, hiszen qpratlan.

Visszatrve az eredeti modulusra, pontosan akkor van megoldsa a megadott kongruencinak,

ha { }+< Niskk imin , s ebben az esetben a megoldsok szma ( ) =s

i iks qq

1,2 , hiszen k2 min-

den tnyezben szerepel.

Az ltalnos esetrl szl a kvetkezttel.

4.13. Ttel

Legyenpprmszm, +Nr , Nu s N vu . Ekkor uv xx + modulo rp gykeinek szma

1. 2, ha 2=p s 1=r ;

2. ( )122

r

uN , ha 2=p s 1>r ;

3. ( )rp

uN , ha 2>p ;

mg ha uv> , ( ) qp kr = 2 s quv k2= , ahol qs q pratlan egszek, akkor

4. ( ) 12 +r

uN , ha 2=p s 1=r ;

5. ( )r

uN2 , ha 2=p , 1>r s uv pros;

6. ( ) 12 +r

uN , ha 2=p , 1>r s uv pratlan;

7. ( )rp

uN , ha 2>p s kk ;

8. ( ) ( )qqN kur

+ ,22 , ha 2>p s kk < ;

Bizonyts:

Legyen elszr vu= , ekkor uuv xxx 2=+ . Happratlan, akkor rp akkor s csak akkor osz-tja ua2 -nak, ha osztja ua -nak, gy kapjuk 3.-at. Ha 2=p s 1=r , akkor az oszt 2, s mivel ua2mindig pros, ezrt az oszthatsg minden a egszre teljesl, s ezek kztt kt inkongruens van

modulo 2, ami igazolja 1.-et. Amennyiben viszont 2=p s 1>r , r2 akkor s csak akkor lesz osztjaua2 -nak, ha 12 r osztja ua -t, ilyen aa N> ar 12 tartomnyban ( )

12 r

uN van, s akkor ezek ktsze-

rese is oszthat r2 -rel, s mg ezek is kisebbek r2 -nl, ezrt igaz 2. is.

Most nzzk a uv> eseteket. Ekkor ( )1+=+ uvuuv xxxx , s 0> uv kvetkeztben min-den a egszre ua s 1+uva relatv prm, ezrt most is elegendkln meghatrozni az ux s az

1+uvx polinom modulo rp gykeinek szmt, az eredeti problma megoldst ezen kt szm sz-

szege adja. Az elskongruencia megoldsainak szmt mr ismerjk, ez ( )rpuN , ezrt csak az 1+wx


25/53

4. RSA

23

alak kifejezssel kell foglalkoznunk, ahol 0>= uvw . Pratlan prm esetre a krdst az elzt-telben megoldottuk, s ppen a 7.-ben s 8.-ban megfogalmazott eredmnyt kaptuk.

Most legyen 2=p . Ha 1=r , akkor olyan a-t keresnk, amelyre 1+wa oszthat 2-vel, s

02 N>a . Ilyen apontosan egy van, nevezetesen 1=a , s ezzel ksz a 4. pont. Htra van az 1>r

eset. Ha 2=r , akkor az elzhz hasonlan az ( )41wa felttelnek megfelel, 4-nl kisebb, nemnegatv egsz a-kat keressk. Ehhez megint az kell, hogy a legyen relatv prm 4-hez. Ilyen akettvan, 1=a s ( )413 =a . Innen ltszik, hogy ha wpros, akkor nincs megolds, mg ha wpratlan,

akkor pontosan egy megolds lesz, teht most teljesl 5. s 6. Vgl legyen 3r . ( )rwa 21 -hezszksges, hogy ( )41wa is teljesljn, gy rgtn kapjuk, hogy pros wesetn most sincs megol-

ds. Amennyiben wpratlan, akkor ( ) ww aa = , gy vizsglhatjuk, hogy mikor oszthat 1wb r2 -rel. Ez csak pratlan b-vel lehet, gy nem fordulhat el, hogy bb = , ezrt a b-k szma azonos lesz az

eredeti kongruencia megoldsainak szmval. Ez ( )r

wN2

0, , s ennek az rtke ( )( ) ( ) 12,2, 1 == rr ww ,mert wpratlan s 2>r , amivel 2>r -re is igazoltuk 5.-t s 6.-ot.

Most olyan fejtsi mdszert vizsglunk, amelyhez nem kell ismerni a d titkos paramtert, smegnzzk, hogyan lehet ez ellen a tmads ellen vdekezni. Az eljrs csak nyilvnos adatokat al-kalmaz, s ismtelt hatvnyozssal lltja ela nylt zenetet. Szksgnk lesz az albbi ttelre.

4.14. Ttel:

Ha us vpozitv egsz, s vu , akkor ( ) ( )vu .

Bizonyts:

Legyen +Ns , + Nis -ra +Nir s == s

i

ri

ipu1

tovbb +Nj s sji < -re ji pp

prmek. Mivel vu , ezrt === s

i

ti

ipvvvv1221

gy, hogy ( ) ( ) 1,, 212 == vvvu , s valamennyi it az

ir -nl nem kisebb egsz. Most

( ) ( ) ( ) ( ) ( )( )

( ) ( )( ) ( ) ( )

=

=

=

=

==

===

s

i

rti

s

i

rti

s

ii

ri

s

ii

ti

iiiii

i

pvupppv

ppvvvv

12

11

12

1

1221

1

1

,

gy valban igaz, hogy ( ) ( )vu .

Nzzk meg, hogy adott N


26/53

4. RSA

24

( )( )( )

==

+

nc

nccoc n ,,,1 , ami viszont akkor s csak akkor teljesl, ha a cbrmelypprmosztja c-ben

legalbb akkora hatvnyon fordul el, mint n-ben. Ez biztosan gy van, ha nngyzetmentes. Ekkor

( )( )coc nl +1 -hez szksges s elgsges, hogy

( )( ) 1=+

k

co elco

n, vagy ismt trva kongruenciba,

ha ( )( )coe cok

n+1 . Ilyen k pontosan akkor van, ha e relatv prm ( )( )co con+ -hez. De

( )( ) ( )( )

( ) ( )n

nc

ncoco ncon

=

+

+

,, gy, ha ( )( ) 1, =ne , akkor van ilyen k, s a legkisebb ilyen kpozi-

tv egsz ppen( )

( )( )eo cocno

+. Ha teht nngyzetmentes s e relatv prm ( )n -hez, akkor ( )nM egy c

elemre a( )

( )( )eok coccno

+= pozitv egsz szmmal mnc

cke=

mod1

, s ha k a ck -k legkisebb kzs

tbbszrse, akkor valamennyi ( )nMc -re mnc ke

=

mod1

, s ka legkisebb ilyen tulajdonsg pozi-

tv egsz szm.

( )vou osztja ( )u - nak, ( )vou+ pedig u-nak, gy felhasznlva az elzeredmnyeket

( )( )( ) ( )( )( ) ( )( )( ) ( )( )ncocoeo ncoco ncno

+

++

minden c-re, gy ( )( )nkkc , teht, ha azt akarjuk, hogy ck a lehetlegtbb c-re nagy legyen, akkor

n-et gy kell vlasztani, hogy ( )( )n -nek kevs kis osztja legyen, s a kis osztkkal csak kevs c-tlehessen fejteni. Termszetesen mindig lesz olyan c, amely kis kitevvel fejthet, hiszen az RSA-nakvannak fixpontjai, s ezek mr 1=k -gyel fejthetek, Az lenne a j, ha a fixpontok szma minl ki-sebb lenne, s minden ms rejtjelezett szvegbl csak nagy k kitevvel lehetne visszanyerni az ere-deti zenetet.

Az elbb megfogalmazott gondolatokat pontostjuk a kvetkezkben.

4.15. Ttel

Legyen N< e1 , N


27/53

4. RSA

25

( ) nmcncnnc eeee kk modmodmodmod1 ===

vagyis ncm ke mod

1

= .

Minden i-re 11 ki ep akkor s csak akkor igaz, ha a ( ) 1= ii pp -ek legkisebb kzs tbb-

szrse, tis osztja 1ke -nek, vagyis ( )tek 1 , s a legkisebb ilyen kkitevppen ( )eoo t= .

Nzzk meg, hogyan kell n-et vlasztani, hogy a lehetlegtbb c-re az itercis fejts nehz le-gyen.

Legyen Nu , N< vu , N1u , N2u , N< 11 vu s N< 22 vu . Ha 21 uu s( )nuMm 1 ,

akkor 21 uu mmn , azaz ( )nuMm 2 , teht( ) ( )n

un

u MM 21 , s ekkor( ) ( )n

un

u NN 21 . Ha 21 uu mellett

2211 uvuv , s( )n

uvMm 11 , akkor ( ) ( )2222211111 11 uvuvuuvuuv mmmmmmmmn == , vagyis

( )nuvMm

22, , s gy

( ) ( )nuv

nuv MM

2211,, , valamint

( ) ( )nuv

nuv NN

2211,, . Ha most

( ) ( )nuv

nuv MM

2211,, mellett mg

( ) ( )nuv

nuv NN 2211 ,, = , akkor azt kapjuk, hogy

( ) ( )nuv

nuv MM 2211 ,, = , vagyis ilyen esetben a kitevk nvelsvel

nem kapunk jabb modulo ngykket az uv xx alak polinomokhoz.A fentiekben emltett itercis fejtsi lehetsg akkor alkalmazhat a gyakorlatban, ha vagy

maga ( )eoo t= rtke kicsi, vagy az zenetek nagy rsze kis kitevvel fejthet. Egy biztonsgos rend-szerben teht ortke olyan nagy, hogy gyakorlatilag lehetetlen az ilyen itercis fejts, s az o-nl

kisebb kitevkkel fejthetzenetek arnya kicsi. A legalbb s3 fixpont mr 1=k -gyel fejthet. Ha

( ) oeoip lri kitevvel. Ekkor

( )

( )

11

2

21

11i

iri r

i

p

pe

, teht

( )( )

( )

i

irii r

i

pr

i pep1

211 2,1211

tovbb

( )

( ) ( ) iiir

i r

i

r

i

pppe 11

222,1

11

ir esetn nem teljesl, hogy csak a fixpontok fejthetek ( )eo ip 1 -nl kisebb kitevvel. Le-

gyen ezrt minden + Nis -ra 1=ir , vagyis az nminden prmfaktorra legyen( ) 12 1 += ii pp , ahol

( )1ip pratlan prmszm. Ekkor tetszleges kpozitv egsz szmmal

( )

=

1

21,1

ii

k

ppe

11 kee , ezrt ( ) ( )iki p

e

pe MM 1,1, , s ha

( ) 21, =ik

p

eN , akkor ( ) ( )iki

p

e

pe MM 1,1, = , vagyis a ip -k ilyen vlaszt-

sval csupn a fixpontoknak megfelelzenetek fejthetek kis kitevvel.

e rendje modulo 1ip akkor s csak akkor io , ha ( )11 io pe i s ( )11 / i

p

o

pei

az io

minden p prmosztjra, s ( ) ( )( ) ( ) 11 11 == iiii pppo . A modulo 1ip primitv gykk szma

( )( )11 ip . ( )( ) ( )

2

11

11

iip

p , hiszen ( ) 11 ip pros szm, s( )( )

( )

2

11

11


29/53

4. RSA

27

a fixpontok szempontjbl is a legjobb. Most 2,1=i -re ( )( )

in

epN

ip3

1,22 = , s ez akkor lesz mindkt eset-

ben viszonylag nagy, ha 21 pp , azaz nmindkt faktora krlbell n nagysgrend.

Az iteratv fejtsnek ltezik a kvetkezmdostsa. Ha 1,mod > ncnc ke valamilyen pozi-

tv egsz k-val, de cnc ke

mod , akkor 1,mod pncnc ke

= vagy 2,mod pncnc ke

= , s ekkorismert n felbontsa, teht meghatrozhat d, a rendszert sikerlt feltrni. m a faktorok fentiekben

ismertetett vlasztsval a legkisebb ilyen kkitev ( )2

2 21n

p , feltve, hogy 21 pp < .

Appmszm Sophie Germain-prm, ha 12 += pp alak a p prmmel. Lttuk, hogy RSA-hoz a ktszeresen Sophie Germain prmek a jk (vagyis ahol az elbbi p is Sophie Germain-prm).Krds, hogy ltezik-e ilyen prm. A vlasz igenl: pldul 5122 =+ s 11152 =+ , 11152 =+ s 231112 =+ , 231112 =+ s 471232 =+ , 831412 =+ s 1671832 =+ stb.

Az pqn= vlasztsnl az eddigieken tl egy tovbbi szempont, hogy pq sem lehet kicsi,

ugyanis ( ) ( ) npqpqpq 4422 ==+ , innen ( ) ( )22 4 pqnpq +=+ , vagyis egy kis pozitvegsz ngyzett n4 -hez adva ismt ngyzetszmot kapunk, amit knnyen lehet ellenrizni. Ha teht u

s volyan egszek, hogy 224 vun =+ , akkor2

uva

= ,

2

uvb

+= s abn= , de negyetlen felbon-

tsa pq , teht pa= s qb= , n-et knny faktorizlni, s gy mr knny ( )n -et s az

( )( )nex 1 megoldst megtallni. Ez mutatja, hogyps qvlasztsnl a ( )qppq felt-

telnek is teljeslnie kell, ha azt akarjuk, hogy ne lehessen knnyen megfejteni a rejtjelnket.

Ha 12 += pp s 12 += qq , ahol p s q pratlan prmszm, akkor ( ) 21,1 = qp , ami

azrt is fontos, mert [ ] ( )( )

npqqpqpt = ir ( ) ( )( ) iriz

i ntt i

+= 2modmod21 1

Bizonyts:Azt mr tudjuk, hogy Kltezik. Az elz ttelbl kvetkezik, hogy a megadott indexek mind-

egyikre van olyan ix , hogy ( )ii xfy = , s gy a megfelel iz is ltezik. Azt fogjuk beltni, hogy

minden 01 N> ir egszreir

ii xt

= 2mod , ebbl mr kvetkezik az llts, hiszen rn 2< kvet-

keztben mind 0x , mind 0t n-nl kisebb nem negatv egsz a defincik alapjn, s gy 00 txm == .

iz az ix paritst mutatja, gy iz ppen ix jobb szlsbitje az ix kettes szmrendszerbeli fel-

rsnl, s ha 1=ri , akkor teht 111 2mod == rrr tzx . Tegyk fel, hogy + Njr 1 sN> ij esetn j-re fennll az egyenlsg, teht specilisan 1+=ij -re is. Ekkor ( )111 2

++

irii xt ,

s gy ( )irii xt

++ 222 11 , tovbb az elz ttel alapjn 1+iy az ( )( )nxx i

z

ii mod12 11 =

+zenethez

tartoz rejtjel. Innen

( ) ( ) ( ) ( )

( ) ( ) ( ) ( )( ) ( )iriiz

i

z

ii

z

i

i

z

ii

z

i

xxnznzxnz

tnznttiii

ii

+

++

=++=+

+=

21121

21mod21

1

11

mert ( ) ( ) nxxnz iz

i

z

iii mod11 =+ , ( ) ( ) 111 = ii zz s ( ) 01 =+ nznz i

z

ii , tekintettel arra, hogy iz

csupn nulla vagy egy lehet.


31/53

4. RSA

29

4.18. Megjegyzs

Az elz ttel alapjn belthat, hogy amennyiben azt tudjuk y-bl megllaptani, hogy xki-sebb-e, mint nfele, vagy nagyobb, akkor hasonlan egyszermr a fejts (harmadik lehetsg, azaz

egyenlsg most kizrt, mert n pratlan egsz s x egsz). Legyen ugyanis adott N>yn -re( )

==

n

xyh

2 , ahol N>xn s ( ) nxxfy e mod== . Mivelxkorltai alapjn nx 220


32/53

4. RSA

30

( ) ( ) ( )nccmmmmm uuueueeueu 2122112211 211

=== + ,

innen ( )( ) ( )ncmc uu 21 21 ( 1u mr pozitv), vagyis ma ( )

( ) ( )ncxc uu 21 21 kongruencia megoldsa,

s megolds biztosan ltezik, pldul az eredeti mzenet, vagyis a rejtjeles szvegekbl ismert kite-vs hatvnyokkal egy egyismeretlenes lineris kongruencia megoldsaknt, teht polinomilis idbenmegkapjuk a nylt szveget (egy ilyen kongruencia pldul euklideszi algoritmussal megoldhat, s ezpolinomilis algoritmus).

Most tegyk fel, hogy kszm rsztvevnek azonos e rejtjelkitevje van, s az i-edikhez az in

modulus tartozik, tovbb a modulusok pronknt relatv prmek (ennl enyhbb felttel is elegendlenne). Ha egy krlevl kvetkeztben mindegyikk azonos rejtjeles szveget kap, akkor a kzs mknnyen meghatrozhat egy kvlll rszrl is. Legyen ic az i-edik rejtjeles szveg, akkor teht

( )ie

i nmc valamennyi i-re, azazem a megoldsa a ( )ii nxc szimultn kongruenciarendszernek.

De ennek egy s csak egy megoldsa van modulo n, ahol naz in -k szorzata, gy egy s csak egy olyan

megolds van, ahol 0N>xn . Nyilvn rvnyesnek kell lennie az 0N> mni felttelnek minden i-

re, gy ha ek , akkor 0N> emn , s ezrt most xme = , ahonnan mgykvonssal megkaphat.

Az, hogy tbb felhasznl nyilvnos rejtjelkitevje azonos, nem rendkvli. enagysga nembefolysolja klnsebben a rejtjel biztonsgt, ezrt a szmts egyszersge rdekben clszerki-csire vlasztani. Ha a rendszerben sok szereplvesz rszt, akkor elfordul, hogy br egymstl fg-getlenl vlasztjk a paramtereket, de a kevs szm kis rtk kzl tbben is azonosat vlasztanak.

Mg nzzk meg a paramterek vlasztst. Vletlen prmet pldul vletlenszm genertorralnyerhetnk: generlunk egy szmot, prmteszttel megvizsgljuk, s ha nem prm (illetve nem minst-

jk prmnek), akkor vehetjk a termszetes szmsorban kvetkezpratlan egszt. Tegyk fel, hogy mnagysgrendprmet keresnk. Csebisev ttele szerint brmely szm s a ktszerese kztt van prm,

s a nagy prmszmttel szerint azxszmnl nem kisebb prmek szma, ( )x , nagyx-ekre krlbell

x

x

ln, ( )

x

xx

ln~ . Ekkor az ms m2 kztti prmek vrhat arnya

( ) ( ) ( ) ( )( ) ( ) ( )mm

m

m

m

m

m

mm

ln

1

mln

1

ln2ln

2

m

ln2ln

2

~2

+

=

,

vagyis vrhatan ( )mln ksrlet utn prmet kapunk, st, ha figyelembe vesszk, hogy a prmek prat-lanok (kivve a 2-t), s csak minden msodik szm pratlan (s persze csak ezekkel ksrleteznk),

akkor tlagosan ( )2

lnm ksrlettel prmhez jutunk. Konkrtan 10010~m esetn ez krlbell 115 pr-

blkozst jelent (megjegyezzk, hogy az elbbi ktszeres tartomnynl lnyegesen kisebb interval-lumra is igaz, hogy van benne prm, ha xelegenden nagy, msrszrl lttuk, hogy nem akrmilyenprm alkalmas).

e-nek relatv prmnek kell lennie ( )n -hez. Ez pldul gy biztosthat, ha neq


33/53

5. A Rabin-varins

Az albb ismertetendrejtjelezalgoritmus lnyegben vve az RSA mdostsa, m ennl azeljrsnl bizonytani tudjuk, hogy a bonyolultsga azonos az egsz szmok faktorizcijnak bonyo-

lultsgval.

Legyen n egy pratlan nem negatv egsz szm s b tetszleges egsz szm, legyen tovbbminden ( )nMm -re ( ) nbmmc mod+= . Mivel npratlan, ezrt ( ) 1,2 =n , s gy van olyan uegsz

szm, amellyel ( )nbu2 . Ekkor ( ) ( )( ) nuumnbmm modmod 22 +=+ , teht c-bl meghatroznim-et ekvivalens azzal, hogy meghatrozunk egy olyan m -t, amellyel ( )nucm 22 + . Tekintettel

arra, hogy egy rgztett besetn u, s vele egytt 2u konstans, ezrt az egsz eljrs lnyegben vveazonos az nmcm mod2= lekpezssel. Ennek megfelelen a tovbbiakban ezt az utbbi eljrstvizsgljuk.

Lthat, hogy az nmm mod2 lekpezs ( )nM -en hasonl egy olyan RSA-hoz, ahol 2=e .Ugyanakkor tudjuk, hogy RSA-nl az egyrtelmfejts csak akkor valsthat meg, ha ( )( ) 1, =ne ,

ami csak akkor lehet igaz, ha epratlan, hiszen 2>n esetn ( )n pros. Egybknt ennl a lekpe-

zsnl nyilvnval, hogy nem injektv, hiszen ha ( )nMm , akkor ms nmmn mod= ngyzete,teht kpe azonos. Majd ltjuk, hogy a helyzet ennl mg bonyolultabb, vagyis ha egy c-nek vanmodulo nngyzetgyke, akkor sszetett s pratlan modulus esetn kettnl tbb ilyen gyke van c-

nek. Azt mindenesetre tegyk fel, hogy nngyzetmentes, vagyis == s

i ipn

1, ahol s1-nl nagyobb

pozitv egsz szm, s a ip -k pronknt klnbzpratlan prmszmok.

Legyen

( )n

Mc

. c-nek akkor s csak akkor van modulo nngyzetgyke, ha minden i-re vanmodulo ip ngyzetgyke. Ekkor minden i-re kt ngyzetgyke van, kivve, ha valamelyik ip -vel

oszthat, s ha mindegyik i-re kt ngyzetgyk van, akkor ezekbl a knai maradkttellel tudunkmeghatrozni sszesen s2 olyan u-t, amelynek a modulo n ngyzete ppen c. Prmmodulus esetnknny feladat a modulris gykvons, s klnsen knny, ha 34mod =p , vagyis akkor, ha

34 += kp alak. Ekkor ccccppp

==

++2

1

2

12

4

1

, s

+=

1

1mod2

1

pcp

, teht

+=

+

c

cc

p 2

4

1

, vagyis

ha van c-nek modulopngyzetgyke, akkor ccp

=

+2

4

1

, ellenkezesetben ccp

=

+2

4

1

. Amennyi-

ben teht nmc mod2= , akkor c-nek van moduloi

p ngyzetgyke, s ha 34mod =i

p , akkor

ii

p

mpci

=

+

mod41

(hap 14 +k -alak prmszm, akkor is van polinomilis algoritmus, amellyel meg-

hatrozhat egy szm modulo p ngyzetgyke, feltve, hogy van neki, de az elbbi hatvnyozsnl

bonyolultabb ekkor az eljrs). Ha most iu olyan, hogy ( )iii

pup

n1 (mivel nngyzetmentes, ezrt

ilyen iu mindig van), akkor a knai maradkttel szerint nmup

nm

s

i ii

i

mod1 =

= mindegyike, s

csak ezek, olyan, n-nl kisebb nem negatv egsz szmok, amelyeknek a modulo nngyzete ppen c(az sszegben az egyes tagok eljele egymstl fggetlen, s az sszes lehetsges kombinciban el-fordul, gy kapjuk a legfeljebb s2 klnbzgykt).


34/53

5. A Rabin-varins

32

2=s esetn legyen pqn= , ( )pcmp2 , ( )qcmq

2 , ( )pquv pp 1= s ( )qpuv qq 1= .

Ekkor nmvmvm qqpp mod= adja a legfeljebb ngy megoldst (kt megolds van, ha coszthat

n egyik s csak egyik prmtnyezjvel, s egy megolds van, ha 0=c ), s a ngy megolds kzl

kett(a kt megolds kzl az egyik) kisebb, mint

2

n.

Hogyan lehet kivlasztani a tbb megolds kzl az eredeti zenetet? Ha kiktjk, hogy az ze-net legyen kisebb, mint nfele, akkor mr csak kt vltozat kzl kell vlasztani. Akr ngy, akr ktmegolds valamelyike az eredeti zenet, egyszera vlaszts, ha valamilyen szveges zenet megfej-tsrl van sz, mert ekkor elg nagy valsznsggel a tbb lehetsges vltozat kzl csupn az egyikfelel meg rtelmes zenetnek. Amennyiben viszont ms jellegaz eredeti zenet, akkor mr nehezebba tbb, ltszlag rtelmetlen szvegbl kivlasztani a tnyleges megfejetst. Ilyenkor (is) segt, ha azzenet egy elre meghatrozott rszn (pldul fejlcben) valamilyen elre rgztett formnak vagytartalomnak megfelelinformci van.

Az elbbiek szerint knny fejteni a Rabin-varinssal rejtjelezett szveget, ha valaki ismeri nprmtnyezit. Ugyanakkor a modulris ngyzetgykvons s az egsz szmok faktorizcija algorit-mikusan azonos nehzsgproblma, vagyis ha az egyik nem oldhat meg polinomilis idben, akkor

a msik sem, teht az n felbontsnak ismerete nlkl a Rabin-varins gyakorlatilag fejthetetlen. Te-gyk ugyanis fel, hogy kpesek vagyunk polinomilis idben ngyzetgykt vonni egy sszetett mo-dulusra vonatkozan, vagyis tetszleges vesetn, feltve, hogy vkvadratikus maradk modulo n, azazvan v-nek modulo nngyzetgyke, az nprmfaktorainak ismerete nlkl polinomilis idben meg tud-

juk hatrozni v valamely ngyzetgykt. Vlasszunk ekkor egy n-nl kisebb nem negatv u vletlenszmot, s legyen nuv mod2= , majd hatrozzuk meg az algoritmusunkkal vegy ngyzetgykt. Ha

az eredmny 1u , akkor nuvnu modmod22

1 == , vagyis ( )( )1121

2 uuuuuun += . Ha 1uun

vagy 1uun + , akkor 1uu= vagy 1unu = , s semmi j informcink nincs. Ha ellenben az elbb

emltett kt oszthatsg egyike sem igaz, de a szorzat oszthat n-nel, akkor ( ) 11, nuun = , ahol 1n azn egy nem trivilis osztja, s ekkor faktorizltuk n-et. Ha pqn= a pratlan s klnbzp s q

prmszmokkal, s u relatv prm n-hez, aminek a valsznsge, mint lttuk, csaknem 1 (ha pedignem relatv prmek, akkor azonnal megkapjuk n felbontst), akkor v-nek ngy ngyzetgyke van, s

2

1annak a valsznsge, hogy az algoritmus ppen az ltalunk vlasztott vletlen szmot vagy annak

ellentettjt szmolja ki n ngyzetgykeknt. Vrhatan teht egy-kt ksrlet utn 1u a msik kt

ngyzetgyk egyike lesz, s vgeredmnyben polinomilis idben faktorizltuk n-et (nyilvn hasonla helyzet, ha nkettnl tbb klnbzprmszm szorzata). Mivel jelen ismereteink szerint a faktori-zlsra nincs polinomilis futsi idejalgoritmus, sszetett modulus esetn a tnyezk ismerete nlkla ( )nxc 2 kongruencia gykeinek meghatrozsa algoritmikusan nehz feladat, gy a Rabin-varinsalkalmas rejtjelezsre.

A konkrt megvalsts sorn ltalban nmindkt prmfaktora 34 +k alak. Az ilyen szmokat

Blum-egsznek hvjk. Ekkor

==

qp

11

1, s ha a c ngy lehetsges ngyzetgyke kzl

mondjuk nmvmvm qpp mod+= olyan, hogy 1=

n

m, akkor 1=

n

m, s a msik kt gykre

==

+

n

mvmv

n

mvmv qppqpp 1 , ahol a pratlan us vegsz szmra

v

ua Jacobi-szimblum.


35/53

6. Diszkrt logaritmus

Legyen Gegy n-edrendciklikus csoport a ggenertorelemmel. Ekkor a Gbrmely uelemhezvan egy, a gs ultal egyrtelmen meghatrozott, N>kn egsz szm, amellyel ug k = , s ennek

megfelelen az az ku szably, amely u-hoz az elbbi k-t rendeli, G-nek ( )nM -be val bijektv le-kpezse ( ( )nM a korbban mr ms sszefggsben definilt halmaz, amely az n-nl kisebb nem ne-gatv egsz szmokat tartalmazza.) Az elbbi lekpezst uindg -val vagy uglog -val jelljk, s g-

alap diszkrt logaritmusnak vagy g-alap indexnek nevezzk. Knnyellenrizni, hogy

( ) ) nvinduinduvind ggg mod+= ; euuindg ==1 ;

uindnuindeu gg = 1 ;

( ) nuindruind gr

g mod= .

ahol ea csoport egysgeleme, s rtetszleges egsz szm.

k ismeretben, adott gesetn, umeghatrozsa knnyfeladat, m az inverz mvelet a mai is-mereteink szerint algoritmikusan nehz feladat, ezrt alkalmazhatjuk a rejtjelezsben. A diszkrt loga-ritmus meghatrozsra tbb algoritmus is ltezik, ezekbl most kettt ismertetnk.

1. Legyen g az n-elemG ciklikus csoport genertoreleme, ns , s sn

gc= , ekkor c egy s-

edrend elem. Ha es = , akkor alkalmas N> ms kitevvel mc= . Most ismeretben megakarjuk hatrozni az mkitevt, feltve, hogy 0m , hiszen ellenkezesetben e= , s innen azonnal

ltjuk a megoldst. A feladatot megoldhatjuk pldul gy, hogy ed =0 -bl kiindulva addig kpezzk+

> Nis -ra a cdd ii 1= elemet, amg valamilyen+

> Nks -ra kd meg nem egyezik -val. Ekkork

k cd = , s mivel crendje s, ezrt ez csak mk= -mel lehetsges. Egy msik megolds, hogy elre ki-

szmtjuk N> js -re a jj cd = hatvnyokat, s eltroljuk ket. Amikor diszkrt logaritmust kell

meghatrozni, akkor mr nincs ms dolgunk, mint egyms utn sszehasonltani -t a jd elemekkel,

s ha k-ra tallunk egyezst, akkor az elzmegfontols alapjn ismt azt kapjuk, hogy ks mazonos.Mindkt esetben feltesszk termszetesen, hogy nem egyetlen logaritmus meghatrozsa a cl, gy azels megoldsnl gyakorlatilag nincs memriaigny, de sokat kell szmolni, mg a msodik esetbencsak egyszer kell szmolni, utna mr csupn sszehasonltsok vannak, viszont nagy s esetn nagytrolkapacitsra van szksg.

A kt igny egyms rovsra mdosthat. Legyen t 1-nl nem nagyobb nem negatv valsszm, s tsu= . Az elbbi megyrtelmen rhat baum += alakban, ahol bu-nl kisebb nem ne-

gatv egsz; ekkor

tttt ssss

s

s

u

s

u

m

u

bma ==ku

kitevs hatvnyait. m meghatrozsa ekvivalens a s b megadsval. Legyen ucr = , ekkor az

( ) baubaum cccc + === egyenlsgbl ba cr = . Az eljrs teht a kvetkez. Induljunk ki =0 -bl, s nzzk meg, hogy teljesl-e valamilyen t-vel az

tc=0 egyenlsg. Ha igen, akkor

0=a s tb= -vel =+bauc , s kszen vagyunk. Ha nem, akkor legyen r= 01 , s ismteljk

meg a keresst. Ha sikerrel jrtunk, akkor 1=a s tb= -vel megtalltuk a megoldst, ha nem, akkor


36/53

6. Diszkrt logaritmus

34

legyen r= 12 stb. Ez az eljrs vges sok lpsben pozitv eredmnnyel befejezdik, hiszen

ai= -val a keress i -re sikeres lesz.

2. Tegyk fel, hogy == s

i

riipn

1, ahol a ip -k pronknt klnbz prmek, s s valamint az

ir-k pozitv egszek. Ha meg tudjuk hatrozni az( ) ir

ii pm mod= egszeket, akkor ebbl a knai ma-

radkttellel egyrtelmen megkapjuk -t is. ( )im szintn egyrtelmen rhat ( ) ( ) =

= 10ir

jji

ij

i pmm

alakban, ahol az ( )ijm egytthatk mindegyike ip -nl kisebb nem negatv egsz, gy a feladat az, hogy

minden i-re sj-re meghatrozzuk ( )ijm rtkt. Mivel a feladat minden i-re azonos, ezrt a tovbbiak-

ban az i indexet elhagyjuk. Most ismt ki kell szmolni s elraktrozni a

j

p

n

j gd

= hatvnyokat,

ahol N> jp . Mivel pn

g primitv p-edik gyk, ezrt a N> tp -kitevs hatvnyok egyrtelmen

hatrozzk meg az elbbi hatrok kz es kitevket. rptm += egy alkalmas nem negatv t

egsszel (amely persze ltalban nem kisebb a megfelelprmnl), s gy N>kr -ra

( )

( ) ( )( ) 11

11

01

11

0

+++

=

+++

=

++=

+++= kkkkkkr

kr

jjk

kkk

k

j

jj pvpmutpmppmpm .

Tegyk fel, hogy mr ismerjk 10 ,, kmm , vagyis ku rtkt, gy aku

k cgc = jellssel

( ) ( ) ( )k

k

k

k

kkkk

kkkkm

m

p

nvn

m

p

n

p

npvpm

p

nu

p

n

k dggggggc =

=

===

++++ + 1111 ,

vagyis cc =0 -bl indulva egyms utn meg tudjuk hatrozni a kmd s ezltal az km rtkeket, s eb-

bl a soron kvetkez 1+kc -et.

A msodik eljrsban termszetesen alkalmazhatjuk az elseljrst a keressi mveleteknl.


37/53

7. Integrits, szemlyazonosts, hitelests

Az aktv tmadssal szembeni vdekezs sorn a kvetkezkrl van sz

a kldtt zenet integritsnak ellenrzse; a rendszerhez val hozzfrs jogosultsgnak ellenrzse; a kldtt zenet hitelessgnek ellenrzse.

Az zenet integritsa annak srtetlensgt jelenti. Azt jelenti, amit gy szoktak mondani, hogysemmit el nem vettem belle, s semmit hozz nem tettem. Erre a clra gynevezett ujjlenyomatothasznlnak, amelyet egy hastfggvny, msknt egy hash-fggvnyllt el. Az ilyen fggvnyektetszleges hosszsg karaktersorozatbl egy fix hosszsg karaktersorozatot lltanak el. Kt faj-tja van:

az MDC(ModificationDetection Code);

a MAC(MessageAuthentication Code).

Az elbbi csupn az eredeti zeneten vgrehajtott mdostst jelzi, mg a msodik titkos kulcsrendszerekben mkdik, s egyben hitelestst is vgez, amelyet gy biztost, hogy ehhez az eljrs-hoz a felad kulcsra van szksg. Az MDC egy m zenethez egy ( )mh rtket, mg a MAC egy

( )mhk rtket szmt ki, ahol ha hastfggvny, s ka kulcs. MDCesetn ( )mh -et valamilyen m-don vdeni kell a tmadtl, hiszen hnormlis krlmnyek kztt nyilvnos. Ha az eredeti adat tro-lsa sorn felmerlvltozsok ellenrzsre hasznljuk a kivonatot, akkor elegend, ha ezt a kivona-tot az eredeti adattl elklntve, biztonsgos helyen troljuk. Adattvitel esetn az egyik lehetsg,hogy mikzben m-et egy nyilvnos csatornn kldjk, ( )mh egy biztonsgos csatornn kerl tvitelre.

Ha viszont ( )mh -et m-mel egytt egy nyilvnos csatornn kldjk, akkor gondoskodni kell arrl, hogy

( )mh -et ne lehessen az zenet manipullsval egytt, annak megfelelen vltoztatni. Az egyik lehe-tsg, hogy ( )mh -et titkostjuk a szimmetrikus kulcsunkkal, vagy alrjuk a nyilvnos kulcs rend-szerben, s ezt a titkostott vagy alrt kivonatot mellkeljk m-hez (ez egyben mr hitelests is),vagy ( )mhm -et titkostjuk, ahol a ketts vonal a konkatencit, az egyms mell rst jelli, vagyis a

kivonatot egyszeren az zenet vghez illesztjk, s az gy toldalkolt szveget sifrrozzuk. A MACesetn elegenda kivonatot sszefzni az eredeti zenettel.

Ismert MDC-algoritmusok az MD4, MD5 (Message Digest algorithm; az MD4 egyrtelmennem biztonsgos, s a msikban is talltak tkzst, ezrt nem javasoljk a hasznlatt), tovbb azSHA-1 (SecureHashAlgorithm) s aRIPEMD-160 (RACE [Research and Development inAdvancedCommunications Technology inEurope]IntegrityPrimitives EvaluationMessageDigest algorithm).

MAC-et pldul brmely blokkos rejtjellel ellehet lltani CBC-zemmdban, mint az utols blokk.

AzMDC-nl hasznlt hash-fggvnytl elvrt tulajdonsgok:

legyen srezisztens, vagy msknt egyirny, ami azt jelenti, hogy tetszleges x zenethezknnyen lehessen kiszmtani a megfelel ( )xh kivonatot, de szinte minden olyan y-ra, amely egylehetsges ujjlenyomat, nehz, teht gyakorlatilag kivitelezhetetlen legyen olyan x-et tallni, amelyre

( )xhy= ;

legyen msodik srezisztens, gyengn tkzsrezisztens, vagyis adottx-hez legyen gyakorla-tilag lehetetlen olyan, azx-tl klnbzx -t tallni, amellyel ( ) ( )xhxh = ;

legyen (ersen) tkzsmentes, azaz legyen gyakorlatilag lehetetlen olyan x, xx prt ta-

llni, hogy ( ) ( )xhxh = .


38/53


36

A harmadik tulajdonsgbl kvetkezik a msodik. Ha ugyanis a fggvny nem msodik sre-zisztens, akkor van olyan x, hogy ( )xh -hez knnyen lehet egy xx -t tallni, amelyre ( ) ( )xhxh = .

Ekkor erre az x-re s xx -re ( ) ( )xhxh = , vagyis talltunk olyan kt klnbz bemenetet, ame-lyekhez azonos fggvnyrtk tartozik, s gy a fggvny nem tkzsmentes.

A MAC-nl alkalmazott kivonatol-fggvnnyel szembeni elvrs, hogy legyen kiszmts-

rezisztens, azaz adott ( )( )iki xhx , -k mellett szmtstechikailag ne lehessen egy, az ix -ktl klnbzx-szel ( )xhk -et kiszmtani a kulcs ismerete nlkl.

A kvetkez krds az identifikci. Az informcis biztonsg megkveteli, hogy adott tev-kenysget csak arra feljogostott szemly vgezhessen, vagyis a tevkenysg megkezdse eltt igazol-

ja a szemlyazonossgt. Ennek klnbzmegoldsi mdszerei vannak, amelyek hrom fcsoportbasorolhatak:

az illetbirtokol valamit; az illettud valamit; az illetinherensen rendelkezik valamivel.

Az elsre plda egy kulcs, a harmadikra plda az ujjlenyomat. Most a msodikkal foglalkozunk.Az identifikcis protokollal szembeni elvrsok a kvetkezek:

haAsBbecsletes,Asikeresen tudja magt igazolniB-vel szemben; Bne legyen kpesAegy korbbi azonostsi eljrst felhasznlvaA-knt azonostani magt

C-vel szemben; elhanyagolhat legyen annak a valsznsge, hogy egy A-tl klnbz C magt A-knt

igazoljaB-vel szemben; az elbbiek akkor is teljesljenek, ha C(polinomilisan) sok korbbi,As Bkztti identi-

fikcit figyelt meg, vagy korbban akr A-val, akr B-vel rsztvett a protokollban, illetve,

ha szimultn tbb folyamat rsztvevje lehet C.

Itt a leggyakoribb a jelszavas identifikci. Ennl ersebb mdszer a kihvs vlasz (chal-lenge and response), amelyet pldul katonai replgpeken hasznlnak a bart ellensg felismer-sre (IFF- Identification Friend orFoe). Egy lehetsges vltozata szimmetrikus kulcs rendszerben,hogyBkldA-nak egy vletlen szmot, sAezt visszakldi a kzs kulccsal rejtjelezve. Most a leg-ersebb mdszerrel, aZKP-vel (ZeroKnowledgeProtocol) foglalkozunk rviden.

AZKP lnyege, hogy az ellenrz szemly csupn egyetlen bitnyi informci birtokba jut azazonosts vgn, nevezetesen, hogyAaz-e, akinek mondja magt. A megoldst az albbi bra segt-sgvel lehet megrteni.

B J

F


39/53


37

Az brn B, Js Fajtk, mg fll a vastag vonal egy falat reprezentl. Aazt lltja, hogy ke-resztl tud menni ezen a falon, s errl meg akarja gyzniB-t, de gy, hogy nem akarja megmutatnineki a trkkt. Az eljrs a kvetkez.Aaz Fajtn keresztl belp az pletbe, majd becsukja az aj-tt, s vagy B-n, vagy J-n megy tovbb, becsukva maga mgtt ezt az ajtt is. Ezek utn Bbelp F-enkeresztl az eltrbe, s szlA-nak, hogy jjjn ki mondjuk a Jajtn keresztl. HaAvalban keresz-

tl tud menni a falon, akkor brmelyik oldalon is ment be az plet belsejbe, ki tud jnni J-n keresz-tl. Persze akkor is ki tud itt jnni, ha nem igaz, amit lltott, de ppen ezen az ajtn ment be, vagyisebben az esetben is van 50%-nyi sansza a sikerre. Ha azonban pechre a msik oldalon ment be, akkorlebukik. Ez azt jelenti, hogy elg nagy eslye van arra, hogy nem bukik le (pontosan akkora, mint an-nak, hogy lebukik). Meggyzez az eredmny? Ha elbukott, akkor igen, m, ha sikerrel vette az aka-dlyt, akkor nem tlsgosan. Igen m, de ha mondjuk tz egyms utni ksrlet mindegyikben a joldalon jelenik meg, akkor mr csak 1 az 1000-hez (pontosabban az 1024-hez) az eslye, hogy mind-egyik alkalommal jl teljest, s ha mg ez sem elg, akkor ennl is tbb prbt krhetB. Ha sszesenn fordult jtszanak le, akkor n2 annak a valsznsge, hogy egy csalnak mindig szerencsje van,vagyis, hogy mindig elre megrzi, honnan kell majd kijnnie. Egy szemernyi ktsg mindig maradhat

B-ben, ha nagyon nem akar hinniA-nak, de azrt a jzan sz mgiscsak hajlik arra, hogy elegendensok ksrlet utn elhiggye,Avalban keresztl tud menni a falon.

Knnyellenrizni, hogy teljeslnek-e az identifikcival kapcsolatban megfogalmazott elv-rsok.

Egy ilyen identifikcis algoritmus a Fiat-Shamir protokoll. Itt van mondjuk egy kzs pqn=

modulus, aholps qklnbzpratlan prmszm, minden rsztvevnek van egy titkos iazonostja,s nyilvnos nis mod2= .Agy akarja igazolni magtBfel, hogy nem rulja el i-t. Ezt, mint a fenti

pldban, tbb fordulban hajtja vgre (annyiban, amennyitBhajt de azrt az sszersg hatrainbell). Aminden fordulban elkldB-nek egy uszmot, amely, ha Abecsletes, akkor egy ltala eb-ben a fordulban vlasztott, s titokban tartott r vletlen szm ngyzetnek a maradka, vagyis

nru mod2= . Ekkor B visszakldA-nak egy ltala tetszs szerint vlasztott bbitet, mireA-nak az a

feladata, hogy elkldje B-nek nri b mod -et. Tegyk fel, hogy A egy v-t kldtt most. B-kiszmtja

nv mod2 -et, s ezt az rtket egybeveti nusbA mod -nel. HaAtnyleg az, akinek mondja magt, akkorismeri Ai -t, s becsletesen jtszik, vagyis ekkor

( ) ( )

( )( ) nusnninr

nirnnrinvbA

b

A

b

Ab

A

modmodmodmod

modmodmodmod22

2222

==

===

Amennyiben viszontAnemA, csak annak mondja magt, akkor csak 50%-nyi eslye van minden for-dulban, hogy tmegy a teszten. Ha arra tippel, hogyB 0=b -t mond, akkor az elskrben szablyo-san elkldi a vlasztott vletlen szm ngyzetnek maradkt, s ha Bvalban a 0-s bitet kldi, akkorvissza tudja kldeni r-et. Ha viszontB1-est kld, akkor bajban lesz a hamisA, hiszen nem ismeri Ai -t,

s jelenlegi tudsunk szerint sszetett modulus esetn, a faktorok ismerete nlkl gyakorlatilag lehe-tetlen a ngyzet maradkbl az eredeti szmot meghatrozni, vagyis bukik. Ha viszont 1-re szmt,

akkor ravaszul u-knt nem nr mod2 -et, hanem ns

rv

A

mod2

= -et kldiB-nek ( As relatv prm n-hez,

mert ha nem az, akkor n-nel val legnagyobb kzs osztja vagypvagy q, s ezzel brki ki tudja sz-molni brkinek a titkos azonostjt a megfelelnyilvnos adatbl, ugyanis prmszm modulus esetna modulris gykvons knnyfeladat). Ha bvalban 1, akkor a msodik krben r-et kldi vissza, s

Baz ellenrzsnl egyezsget tall. m, ha a bmost a szmtsa ellenre 0, akkor bajban lesz az l-A, mert most olyan t szmot kellene kldenie, amellyel vnt =mod2 , vagyis egy modulris gykvo-

nst kellene vgrehajtania egy sszetett modulusra nzve, amelynek nem ismeri a felbontst.


40/53


38

Az identifikci csak egy adott pillanatban, egy rvid ideig azonost egy szemlyt, mg az in-tegrits biztostsa nmagban egyltaln nem biztostja az adott dokumentum hitelessgt. Ezt a fel-adatot az alrs oldja meg. Az alrssal szembeni elvrsaink az albbiak:

legyen hiteles;

legyen hamisthatatlan; ne lehessen jra felhasznlni; ne lehessen az alrt dokumentumot megvltoztatni; ne lehessen az alrst letagadni.

A digitlis alrs lnyegesen klnbzik a hagyomnyos alrstl. Az utbbi fggetlen a do-kumentum tartalmtl, s ppen azt vrjk el az alrtl, hogy klnbzidpontban ms s ms do-kumentumon elhelyezett kzjegye nagyjbl legyen azonos. Ezzel szemben az elektronikus alrstartalomfgg, vagyis az alrs klnbzdokumentumokon szinte biztosan ms lesz, s ez jelent-sen megnehezti a hamist dolgt. A msik oldalon viszont a kzrsos alrs a hordozhoz rgztett,mg a kriptogrfiai alrs brmikor thelyezhet egy adathordozrl egy msikra, ezrt nagyon l-nyeges, hogy tnyleg ersen fggjn az alrs az alrt dokumentum tartalmtl.

A klasszikus rejtjelezs esetn a titkosts egyben alrs is, hiszen csak a felad ismerhette arejtjelez kulcsot (feltve, hogy minden kulcsot csak egy kld s egy fogad ismer). A nyilvnoskulcs rendszer esetn viszont a titkosts semmilyen kapcsolatot nem biztost a kulcs gazdjval, hi-szen az nyilvnos, brki ltal hozzfrhet, ezrt itt a titkosts nem jelent egyben hitelestst is.

A digitlis alrsnak kt nagy csoportja van:

toldalkos; zenet-visszanyerses.

Az elbbinl nem a teljes zenetet rjuk al, hanem annak csak a kivonatt, ami gyorstja az el-jrst. Ekkor az zenettel egytt elkldjk az alrt kivonatot is, s a cmzett a megkapott zenet kivo-natt egybevetheti a kapott, alrt kivonattal. A msodik mdszer esetn a teljes zenetet rjuk al.Ekkor azonban megfelelvintzkedst kell tennnk. Tegyk fel, hogy az alrsra a jl ismert RSA-thasznljuk, fordtott zemmdban. Ekkor az mzenetAltal alrt pldnya A

d nmm A mod= , amit

valban csak a leglis kld tud kiszmtani, s amibl a cmzett knnyen ellenrizni tudja, hogytnyleg Akldte-e, s idkzben nem mdosult-e az zenet. Ehhez Anyilvnos kulcst kell hasznl-nia, hiszen mnm A

eA = mod , de ha a szmtst nemAtitkos kulcsval vgeztk, vagy mdostottk az

alrt zenetet, akkor mr (szinte biztosan) nem fog teljeslni az egyenlsg. Igen m, de az a baj,hogy mostBnem tudja, mi volt m, gy nem tudja ellenrizni, hogy nem trtnt-e vltozs. A megol-ds, hogy az alrs eltt redundancit visznk az zenetbe, olyan redundancit, amelyet az alrt,

vagy hamisan alrt zenettel nem lehet (vagy csak nagyon vak tyk alapon lehet) elrni. Tipikusanilyen redundancia, hogy az zenetet dadogsan, ktszer egyms mell msolva rjuk le, s ezt rjukal, erre alkalmazzuk a titkos kitevnket.

Az elektronikus alrsrl szl trvny a digitlis alrs biztonsga szempontjbl hrom fo-kozatot klnbztet meg:

elektronikus alrs; fokozott biztonsg elektronikus alrs; minstett elektronikus alrs.

A trvny megfogalmazsa szerint


41/53


39

Elektronikus alrs: elek

rejtjelezés

Documents