Matemática e Criptografia RSA

5/16/2018 Matem tica e Criptografia RSA - slidepdf.com

http://slidepdf.com/reader/full/matematica-e-criptografia-rsa 1/12

Teoria Aritmética dos Números e

Criptografia RSA

Antonio Carlos Campello RA 059076 e Isabel Leal RA 061533

4 de Dezembro de 2007

Resumo

Esta monografia está dividida em três sessões. Na primeira, fare-

mos um breve estudo das noções elementares de teoria aritmética dos

números e enunciaremos resultados importantes, como o Pequeno Teo-

rema de Fermat e o Teorema de Euler. Na segunda parte, utilizaremos

os conceitos introduzidos anteriormente para descrever cuidadosamente

o método de cifragem e decifragem da criptografia RSA. Por último,

discutiremos algumas nuances da RSA, como a sua segurança, apli-

cações e impactos matemáticos.

Conteúdo

1 Introdução 2

2 Bases matemáticas 3

2.1 Divisibilidade e números primos . . . . . . . . . . . . . . . . . 32.1.1 A função φ de Euler . . . . . . . . . . . . . . . . . . . 4

2.2 Congruência . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.2.1 Pequeno Teorema de Fermat . . . . . . . . . . . . . . 62.2.2 Teorema de Euler . . . . . . . . . . . . . . . . . . . . . 6

3 O algoritmo RSA 7

3.1 Codificação e decodificação . . . . . . . . . . . . . . . . . . . 8

3.2 Sistema de chave pública . . . . . . . . . . . . . . . . . . . . . 9

4 Segurança e aplicações 9

4.1 Fatoração de inteiros . . . . . . . . . . . . . . . . . . . . . . . 104.2 Assinaturas digitais . . . . . . . . . . . . . . . . . . . . . . . . 11

5 Conclusão 11

1



1 Introdução

Desde que as primeiras sociedades foram formadas e a comunicação entre oshomens tornou-se vital, a arte de cifrar/decifrar mensagens tem desempe-nhado um importante papel em diversas áreas da vida cotidiana.

A criptografia é a área do conhecimento que tem como objetivo propiciara troca segura de informações entre um transmissor e um receptor. Paraisso, são necessárias uma chave e um algoritmo de cifragem - essencialmenteuma regra para transformar o texto original no cifrado. Na "contramão"dacriptografia, há a criptoanálise, cujo objetivo é encontrar meios de quebraruma cifra, ou seja, decifrar mensagens sem necessariamente saber qual a

chave.

Durante séculos várias cifras poderosas, de acordo com as ferramentas decada época, foram desenvolvidas. A cifra de César, o código de substituiçãosimples, o código de substituição homofônica e a cifra de Vigenère são ex-emplos de algumas delas e são descritos com ênfase menos técnica e maishistórica em [4]. O ponto em comum de todas essas cifras (e todas as outrasque surgiram até a metade do século passado) é a sua simetria, ou seja, ofato de que a chave utilizada para cifrar uma mensagem é a mesma paradecifrar. Cifras com esta propriedade são denominadas cifras simétricas edurante muito tempo acreditou-se que eram as únicas cifras possíveis.

Por volta de 1970, entretanto, a criptografia de chaves simétricas deu lu-gar a uma nova proposta: a criptografia de chaves assimétricas, e é aí quea teoria aritmética dos números desepenha um papel importante. A teoriadas chaves assimétricas baseia-se no fato de que é possível utilizar uma chavepara decifrar diferente da utilizada para cifrar uma mensagem, e o suportepara esta teoria são alguns resultados de aritmética elementar, sobretudoem congruências. A primeira cifra deste tipo foi a conhecida como DH (verreferência [3]).

Finalmente, em 1977, Ron Rivest, Leonard Adleman e Adi Shamir apoiaram-

se nas idéias matemáticas implementadas pela DH e criaram a chamadacriptografia de chave pública, com a cifra que ficaria mundialmente famosa,a RSA. A cifra, além de permitir troca segura de informações entre qual-quer usuário, com sua segurança garantida pela dificuldade computacionalem fatorar um número qualquer, devolvia, como corolário, um método deassinaturas digitais utilizado até hoje.

2



Por fim, vale ressaltar que, apesar da sua ampla utilização prática, a Teo-ria dos Números foi desenvolvida essencialmente com motivações meramentematemáticas e, portanto, o estudo direcionado do assunto para o entendi-mento da criptografia RSA não dará, de maneira nenhuma, uma visão abran-gente do tema. Para um estudo mais aprofundado, recomenda-se a bibli-ografia [1].

2 Bases matemáticas

Nesta sessão, faremos um estudo, desde os princípios básicos, da teoria essen-

cial para a compreensão da criptografia RSA.

2.1 Divisibilidade e números primos

Definição 2.1. Sejam a e b dois números inteiros. Dizemos que a divide be denotamos por a|b se existe um inteiro k tal que b = ka.

Listamos abaixo algumas propriedades básicas da divisibilidade.

Propriedades. Sejam a,b e c inteiros.

1. 1|a.

2. a|a.

3. Se a|b e b|c, então a|c.

4. Se a|b, então a|bc.

Demonstração. As demonstrações das propriedades acima decorrem imedia-tamente da definição de divisibilidade e podem ser encontradas em [2].

Definição 2.2. Sejam a, b e d inteiros. Dizemos que d é o máximo divisor comum de a e b (e denotamos por (a, b) = d) se: (i) d|a e d|b e (ii) se d|ae d|b então d|d, com d inteiro.

É fácil ver que, para o anel dos inteiros, a definição acima corresponde ex-atamente à ideia intuitiva de máximo divisor comum, que é o maior inteiro,em módulo, que divide os dois inteiros simultâneamente. Entretanto, usual-mente define-se mdc deste modo para facilitar a extensão para outros anéisdiferentes de Z.

3



Definição 2.3. Seja a ∈ Z com a > 1. Dizemos que a é primo, se ele

possuir exatamente dois divisores, 1 e a.

A definição acima pode ser extendida para qualquer inteiro cujo módulo émaior que um, considerando os divisores 1, −1, a e −a.

Exemplo 1. Seja p primo. Temos que ( p − 1)! = 1.2.3...( p − 1) ou seja, p não divide nenhum dos termos da multiplicação e, portanto, não divide ( p− 1)!. Do fato de que p é primo, segue que ( p− 1)! não divide p, ou seja,o maior número que divide os dois simultâneamente é 1. Da definição de máximo divisor comum, finalmente chegamos em ( p, ( p − 1)!) = 1.

Teorema 2.1 (fundamental da Aritmética). Todo número inteiro maior doque 1 pode expresso como o produto de números primos.

Demonstração. A demonstração pode ser encontrada em [1]. A extensão doteorema para inteiros com módulo maior que 1 é óbvia.

O fato elementar enunciado no teorema acima afirma que um número ficabem caracterizado pela sua fatoração em primos. Este fato, apesar da suaaparente simplicidade, é base para a maioria das demonstrações em teoriaaritmética dos números e será fortemente utilizado no desenvolvimento daRSA.

Definição 2.4. Dizemos que dois números são primos relativos (ou co-primos) se o máximo divisor comum entre eles é 1.

2.1.1 A função φ de Euler

Definição 2.5. O número φ(m) é o número de inteiros positivos menores que, ou iguais a m, que são relativamente primos com m.

Um fato importante de se notar, a partir da definição, é que φ( p) = p − 1,se p é um número primo, já que ele é coprimo com todos os menores queele. A definição da função φ de Euler será importante em um dos teoremascitados na próxima sessão e é fundamental no sistema de cifragem da RSA.Para finalizar a sessão, enunciaremos a seguir três propriedade da função φque serão úteis daqui para frente.

Teorema 2.2. Seja p um número primo, e a um inteiro positivo. Então,(1) φ( p) = pα − pα−1

(2) φ(mn) = φ(m)φ(n)(3) Se a = pα11 pα22 ...pαnn , em que p1...pn são os fatores primos de a, entãoφ(a) = a(1 − 1/p1)(1 − 1/p2)...(1 − 1/pn).

4



Demonstração. Para demonstrar 1, temos que ter em vista que a quantidade

total de números menores que pα é exatamente pα. Desses números, háexatamente pα−1 que não são co-primos com pα, pois estamos considerandonúmeros da forma pb, em que 1 ≤ b ≤ pα−1. Daí, o resultado segue.A demonstração de 2 não será dada aqui e pode ser encontrada em [2], noCapítulo 4.Levando em consideração (1) e (2), chegamos facilmente em

φ(a) = φ( pα11 )φ( pα22 )...φ( pαnn ) = pα1−11 pα2−12 ...pαn−1n ( p1− 1)( p2− 1)...( pn−1)

e o resultado segue.

2.2 CongruênciaDefinição 2.6. Se um inteiro m, não nulo, divide a diferença a− b, em que a e b são inteiros, dizemos que a é congruente a b módulo m, e denotamos por a ≡ b (mod m). Se a − b não é divisível por m dizemos que a não é congruente a b módulo m e denotamos por a ≡ b (mod m).

Faremos a seguir uma lista sucinta das propriedades de congruências denumeros inteiros, sem demonstração. Uma lista mais elobarada e outrosteoremas fogem ao escopo desta monografia e poderão ser encontrados em[1] ou [2].

Propriedades. Sejam a, b, c, d e m inteiros. Então:

1. a ≡ b (mod m), a ≡ b (mod m) e a− b ≡ 0 (mod m) são proposições equivalentes.

2. Se a ≡ b (mod m) e b ≡ c (mod m), então a ≡ c (mod m).

3. a ≡ a (mod m)

4. Se a ≡ b (mod m) e c ≡ d (mod m), então a + c ≡ b + d (mod m).

5. Se a ≡ b (mod m), então ac ≡ bc (mod m).

6. Sejam a,b,c e m inteiros. Se ac ≡ bc (mod m), então a ≡ b (mod m/d),

onde d = (c, m). Essa propriedade é conhecida como a Lei do Cance-lamento.

Demonstração. Lei do Cancelamento. Como ac ≡ bc (mod m), temos quec(a − b) = km, e k é um inteiro, e portanto (c/d)(a − b) = (k/d)m, daíconcluimos que (k/d)|(c/d)(a− b) e, por definição de MDC, (m/d, c/d) = 1)e portanto (m/d)|(a − b), e o resultado segue.

5



As três primeiras propriedades mostram que a relação de congruência é uma

relação de equivalência . Utilizaremos freqüentemente, daqui para frente, aspropriedades básicas de congruência apresentadas acima.

2.2.1 Pequeno Teorema de Fermat

Teorema 2.3 (Pequeno Teorema de Fermat). Seja p um número primo. Se p não divide a, então a p−1 ≡ 1 (mod p).

Demonstração. Seja o conjunto de valores a, 2a, 3a,...,( p − 1)a. Sabemosque, pelo fato de que p não divide a, (a, p) = 1 e, portanto, nenhum dosnúmeros deste conjunto é divisível por p. Além disso, temos que, se aj ≡ ak(mod p), então j ≡ k (mod p), ou seja, todos eles são incongruentes módulop e, portanto, podemos estabelecer uma relação biunívoca entre os "aj",

j = 1, 2,...,p − 1 e o conjunto 1, 2, 3,...( p − 1), em termos de congruência,isto é, cada um dos termos do primeiro conjunto é congruente a um diferentedo segundo. Deste argumento, e da propriedade 5 da relação de congruência,segue a seguinte igualdade:

a(2a)(3a)...( p − 1)a ≡ 1.2.3...( p − 1) (mod p)

ou seja a p−1( p − 1)! ≡ ( p − 1)! (mod p). Da lei do cancelamento, e do fatode que (( p − 1)!, p) = 1, segue que

a p−1

≡ 1 (mod m)

.

Corolário 2.1. Se p é um primo e a é um inteiro positivo, então a p ≡ a(mod p)

Demonstração. Se p não divide a, do Pequeno Teorema de Fermat, temosque p|(a p−1−1) ou seja p|a(a p−1−1). Se p divide a, então p|a(a p−1−1).

2.2.2 Teorema de Euler

O teorema de Euler visa generalizar o Pequeno Teorema de Fermat paraquaisquer números inteiros, utilizando, para isso a função φ de Euler. Éinteressante notar que para um número primo, o Teorema de Euler é exata-mente o Pequeno Teorema de Fermat.

Teorema 2.4 (Teorema de Euler). Se m é um inteiro positivo e a é um inteiro com (a, m) = 1, então aφ(m) ≡ 1 (mod m).

6



Demonstração. Para demonstrar o Teorema de Euler, vamos seguir o mesmo

roteiro do Pequeno Teorema de Fermat. Primeiramente, é fácil ver que, ser1, r2,...,rφ(m) englobam todos os restos não-nulos possíveis na divisão por m,então ar1, ar2,...,arφ(m) também o faz, com (a, m) = 1. Ou seja, podemosfazer uma relação biunívoca entre os dois conjuntos, em congruência, e daíchegamos em

ar1ar2...arφ(m) ≡ r1r2...rφ(m) (mod m)

ou sejaaφ(m)r1r2...rφ(m) = r1r2...rφ(m) (mod m)

Pela lei do cancelamento, temos então, que

aφ(m) ≡ 1 (mod m)

e isso completa a demonstração.

Corolário 2.2 (Pequeno Teorema de Fermat). Tome m = p, no sentidodo teorema anterior e teremos que φ(m) = p − 1. O Pequeno Teorema de Fermat segue daí.

Apenas com estes resultados de Teoria Aritmética dos Números poderemos,na próxima sessão, mostrar o algoritmo de cifragem e decifragem da RSA.Contudo, apesar da aparente simplicidade de toda a teoria, é preciso ter em

mente que ela foi construída durante muito tempo, por diversos matemáticosrenomados na área.

3 O algoritmo RSA

O primeiro passo para se começar a cifrar uma mensagem pelo sistema RSAé transformar a mensagem em um número, e isso é feito através do padrãoASCII [ver referência 5]. Por exemplo, a mensagem ’teorema de fermat’,convertida em código ASCII, sem os espaços, ficaria:

1161011111141011099710010110210111410997116

Em segundo lugar, deve-se quebrar a mensagem em blocos relativamentepequenos . O tamanho máximo dos blocos será esclarecido na subsessãoseguinte, em que determinaremos os parâmetros de cifragem da RSA. Osblocos devem ser escolhidos aleatoriamente, tomando-se alguns cuidados,para que não seja permitida a técnica de análise de frequência na tentativade quebra do código (ver 4).

7



3.1 Codificação e decodificação

Os parâmetros de entrada para a cifragem pelo método RSA são dois primos p e q suficientemente grandes, sobre os quais se calculará um número n = pqe φ(m) = ( p − 1)(q − 1). Além disso, é necessário gerar aleatoriamente umnúmero e tal que (e, ( p − 1)(q − 1)) = 1, ou seja, e e φ(m) são primos entresi. Definamos C (b) como o bloco b codificado e D(a) como o bloco a decodi-ficado (utilizaremos esta notação sempre, daqui para frente). Vejamos quaispropriedades devemos esperar de um bom algoritmo de cifragem.

Em primeiro lugar, é claro que queremos que D(C (b)) = b sempre, ou seja,que a decifragem de um bloco pelo algoritmo sempre produza o mesmo bloco

cifrado. Utilizando jargão matemático, queremos a unicidade de decifragem.Em segundo, é importante que seja difícil obter a função D(a) a partir deC (b), o que quer dizer que um interceptador terá dificuldades em decifrar amensagem. O conceito de difícil é, de fato, muito abstrato, mas do pontode vista da RSA, ele está intimamente relacionado com os esforços com-putacionais para quebrar a cifra, considerando as condições necessárias esuficientes para a decifragem.

No sentido da RSA, as fórmulas de codificação e decodificação são:

C (b) ≡ be (mod n), 0 < C (b) < n

D(a) ≡ ad (mod n), 0 < D(a) < n

sendo a um bloco codificado e b um bloco da mensagem original e d é oinverso de e módulo φ(n).Devemos portanto demonstrar o seguinte

Teorema 3.1. D(C (b)) = b.

Demonstração. D(C (b)) ≡ C (b)d ≡ bed (mod n). Mas, como d é inverso de emódulo φ(n), ed = 1 +kφ(n). Daí, segue que D(C (b)) ≡ b1+kφ(n) ≡ (bφ(n))kb(mod n). Como n = pq, temos que φ(n) = ( p − 1)(q − 1) o que implica queD(C (b)) ≡ (b p−1)(q−1)kb (mod p). Se p não divide b, então

D(C (b)) ≡ b (mod p)

pelo Pequeno Teorema de Fermat. Se p divide b, então b ≡ 0 (mod n)ou seja D(C (b)) ≡ (b p−1)(q−1)kb ≡ 0 (mod p). Analogamente, é possívelmostrar que D(C (b)) ≡ b (mod q) e como p e q são primos,

D(C (b)) ≡ b (mod n)

8



e o teorema está quase demonstrado, a menos da igualdade. O fato de que

D(a) é sempre menor que n nos diz que a congruência implica na igualdade amenos que b ≥ n. Entretanto, podemos escolher b de qualquer maneira con-veniente (e aqui estabelecemos o tamanho de cada bloco!). A demonstraçãoestá completa.

Com este teorema, temos a segurança de que o método RSA é um bommétodo de cifragem e decifragem, do ponto de vista da primeira propriedadelistada acima. Mas por que ele é tão seguro?

3.2 Sistema de chave pública

Antes de responder a essa pergunta, entretanto, vamos discutir um poucomais sobre o sistema de codificação da RSA. Como entrada, ele exige doisnúmeros primos e um terceiro número, e. Os parâmetros para codificar umamensagem são os números n e e e por isso chamamos o par (n, e) de chavede codificação. Para decifrar, necessitamos apenas de (n, d) (é importantenotar que d depende intimamente dos fatores, em separado, p e q).

Por razões que citaremos a seguir, é difícil obter o par de decodificação apartir apenas do par de codificação e, portanto, poderemos considerar (n, e)como parâmetros públicos (que podem ser divulgados em qualquer lugar,indiscriminadamente) e d como um parâmetro privado, assim como p e q.

Desta análise, segue que a RSA é um sistema de cifragem de chave pública ,pois qualquer um pode ter acesso aos parâmetros de codificação sem com-prometer o processo.

4 Segurança e aplicações

Primeiramente, vamos considerar que todos os blocos da mensagem originalforam separados de maneira aleatória, ou seja, a análise de frequência é im-possível, já que os blocos não possuem um padrão entre si (por exemplo, secada bloco representasse exatamente duas letras da mensagem seria possível

considerar uma técnica de análise de frequência baseada no aparecimento dedígrafos em diversas linguas).

9



4.1 Fatoração de inteiros

Levando em consideração o que foi dito acima, a segurança da RSA se baseia,basicamente, no seguinte

Teorema 4.1. Uma condição necessária e suficiente para se decodificar uma mensagem conhecendo-se apenas e e n, no sentido da sessão anterior, é

fatorar o número n.

Este teorema significa, grosso modo, que, se é possível quebrar a RSA, entãohá um jeito eficiente de se fatorar um número em primos (ou, no mínimo,um número que é composto por dois primos), já que os números p e q podemser arbitrariamente grandes, e, em contrapartida, se há um bom algoritmo

para fatoração, então a RSA pode ser quebrada. Entretanto, até hoje nãohá um algoritmo de fatoração tão eficiente de modo que a RSA possa serquebrada em tempo razóavel. Mais que isso: é possível que não exista talalgoritmo! Portanto, de acordo com o teorema acima, a segurança do sistemade cifragem RSA está garantida!.

Demonstração. A condição suficiente é facilmente demonstrada já que, sefatoramos n, então podemos encontrar φ(n) e utilizar as operações da sessãoanterior para decifrar a mensagem. A condição necessária não é trivial,mas podemos esboçar alguns casos, como por exemplo, se for inventado umalgoritmo eficiente para se calcular φ(n) a partir de d e e, então:

φ(n) = ( p − 1)(q − 1) = pq − p − q + 1 = n − ( p + q) + 1portanto

p + q = n + 1 − φ(n)

Em contrapartida, temos que

( p + q)2 − 4n = p2 + 2 pq + q2 − 4n = p2 + q2 − 2 pq = ( p − q)2

logo p − q =

(n + 1 − φ(n))2 − 4n

e destas duas equações segue que

p =

(n + 1 − φ(n))2 − 4n + n + 1 − φ(n)

2e

q =−

(n + 1 − φ(n))2 − 4n + n + 1 − φ(n)

2Em resumo, o número n foi fatorado!

10



4.2 Assinaturas digitais

Um dos impactos da criação da RSA acaba de ser enunciado acima e diz res-peito ao antigo problema da fatoração de números primos. Citaremos aquiuma importante aplicação prática, que segue como um resultado imediatoda RSA: a assinatura digital.

O problema da assinatura digital consiste em ter certeza de quem é o desti-natário de uma mensagem, e é bastante relevante principalmente nas relaçõesentre bancos e empresas, pois tanto o banco deve ter confiabilidade de queé o seu cliente que está enviando uma ordem, quanto a empresa deve tercerteza que ninguém está tentando se passar por ela.

Suponhamos, para resolver o problema, que Alice queira manda uma men-sagem para Bob. Sejam C a, Da, C b e Db as funções de codificação e decod-ificação para Alice e Bob, respectivamente e seja m a mensagem original.A sequência de operações que Alice deve fazer é: aplicar Da(m) (funçãoque só é conhecida por ela, pois se trata dos parâmetros privados da cifra)e, em seguita, aplicar C b(Da(m)). Ao receber a mensagem, Bob deve de-cifrar, fazendo Db(C b(Da(m))) e conseguindo Da(m). Logo depois, ele deveutilizar a cifra pública de Alice para recuperar a mensagem original, poisC a(Da(m)) = m. Se a mensagem obtida fizer sentido, então a probabilidadede ela ter sido enviada por Alice é quase 1, pois ela é a única que conhece a

função Da. Voilà, temos um sistema de assinaturas seguro!

5 Conclusão

Os impactos da RSA são fortes na matemática, e, em contrapartida, o desen-volvimento da cifra só foi permitido por conta de grandes avanços na teoriaaritmética dos números. Pesquisas na área de codificação devem envolver agarantia da aleatoriedade dos blocos e dos números primos na implementaçãodo sistema de cifragem. Já no ramo de decodificação, como visto acima, omelhor rumo a se tomar é tentar fatorar o número n de maneira eficiente.

Entretanto, repetimos que este problema já foi exaustivamente atacado pormatemáticos de todo o mundo, desde muito tempo, e até hoje não aparentater alguma solução.

11



Referências

1. Niven, I.M, An introduction to the Theory of Numbers

2. Santos, J.P.O, Introdução à Teoria dos Números, IMPA-RJ

3. Diffie, W. e Hellman, M., "New directions in Cryptography",IEEE Transactions on Information Theory

4. Singh, S. O livro dos Códigos

5. www.asciitable.com Tabela Ascii

12

Documents

Matemática e Criptografia RSA