1) On a n = p × q = 5 × 11 = 55, φ(n) = (p − 1) × (q − 1) = 4 × 10 = 40. L’algorithme d’Euclide pour le calcul du pgcd de e et φ(n) donne

(1)

ULCO 2019 – 2020

M1 Reherche IMAO

TP 3 – Chiffrement RSA – Correction

1) On a n = p × q = 5 × 11 = 55, φ(n) = (p − 1) × (q − 1) = 4 × 10 = 40. L’algorithme d’Euclide pour le calcul du pgcd de e et φ(n) donne

40 = 13 × 3 + 1.

On a donc pgcd(e, φ(n)) = 1 puis −13 × 3 ≡ 1 mod 40 et donc 27 × 3 ≡ 1 mod 40. On obtient donc d = 27. Ainsi la cl´ e publique est (55, 3) et la cl´ e priv´ ee est (55, 27). Le chiffr´ e de M = 13 est

C = M ^e = 13 ³ ≡ 52 mod n et le d´ echiffr´ e de C est

D = C ^d = 52 ²⁷ ≡ 13 mod n.

On v´ erifie qu’on a bien M = D.

2) En prenant les notations du sujet avec M ∈ {0, ..., n − 1} on a C ^d ≡ (M ^e ) ^d ≡ M ^ed mod n.

Par constrution ed ≡ 1 mod φ(n). Il existe donc k ∈ Z tel que ed = 1 + kφ(n). D’o` u C ^d ≡ M ^1+kφ(n) ≡ M ×

M ^φ(n) k

mod n.

Le groupe des inversibles ( Z /n Z ) ^∗ de Z /n Z est d’ordre φ(n). Ainsi si [M ] _n (classe de M modulo n) est inversible dans Z /n Z alors l’ordre de M est un diviseur de φ(n) et donc M ^φ(n) ≡ 1 mod n. Dans ce cas on obtient

C ^d ≡ M ×

M ^φ(n) k

≡ M × 1 ^k ≡ M mod n.

On note que [M ] n est inversible dans Z /n Z si et seulement si pgcd(M, n) = 1.

Il nous reste donc ` a traiter le cas pgcd(M, n) 6= 1. Comme n = pq est un produit de premier. On a alors pgcd(M, n) ∈ {p, q, pq}. Le cas pgcd(M, n) = pq implique n divise M et donc M = 0. Dans ce cas on a M ^ed = M = 0 et donc D ≡ M mod n. Il nous reste donc les cas pgcd(M, n) = p et pgcd(M, n) = q.

Les premiers p et q jouant un rˆ ole sym´ etrique regardons seulement le cas pgcd(M, n) = p. De M ≡ 0 mod p on obtient M ^ed ≡ M mod p. Montrons qu’on a M ^ed ≡ M mod q. On a

ed = 1 + kφ(n) = 1 + k(p − 1)(q − 1)

Comme p divise M et pq ne divise pas M on a pgcd(M, q) = 1 et donc [M ] q est inversible dans Z /q Z . En particulier l’ordre de ( Z /q Z ) ^∗ , qui vaut q − 1 est un multiple de l’ordre de M est donc M ^q−1 ≡ 1 mod q.

Ainsi on obtient

M ^ed = M 1+k(p−1)(q−1) = M × M ^q−1 ^k(p−1)

≡ M × 1 ^k(p−1) ≡ M mod q.

On a ainsi ´ etablit dans le cas pgcd(M, n) = p qu’on a M êd ≡ M mod p et M êd ≡ M mod q. Nous allons conclure M êd ≡ 1 mod pq en utilisant le th´ eor` eme des restes chinois. L’application

η : Z /pq Z → Z /p Z × Z /q Z [x] _pq 7→ ([x] p , [x] q )

est un isomorphisme d’anneau, elle en particulier injective. Par ce qui pr´ ec` ede, on a η

M ^ed

n

= M ^ed

p , M ^ed

q

=

[M ] _p , [M ] _q

= η ([M ] _n ) . Comme η est injective on obtient

M ^ed

n = [M ] _n et donc C ^d = M ^ed ≡ M mod n.

3) L’algorithme na¨ıf effectue exactement p multiplications.

4) Soit n ∈ N . Notons expr la fonction exponentitation rapide. Montrons par r´ ecurrence sur p ∈ N :

H p : ”∀a ∈ N , d = expr(a, p, n) v´ erifie d ≡ a ^p mod n”

(2)

2 Pour a ∈ N , expr(a, 0, n) retourne 1 et on a bien a ⁰ ≡ 1 mod n. Donc H 0 est vraie. Soit p ∈ N . Supposons H q vraie pour tout 0 6 q 6 p et montrons H p+1 . Soit a ∈ N . On note q, b et c les variables d´ efinies par expr(a, p + 1, n). On a

p + 1 =

( 2q si p pair

2q + 1 si p impair , b = expr(a, q, n) et c = b ² .

Par H _q on a b ≡ a ^q mod n et donc c ≡ a ^2q mod n. En posant d = expr(a, p, n), on obtient alors d ≡

( c ≡ a ^2q mod n pour p + 1 = 2q a × c ≡ a ^2q+1 mod n pour p + 1 = 2q + 1

et donc d ≡ a ^p+1 mod n dans tous les cas. On a dnc H _p pour tout p ∈ N et donc l’algorithme exponentiation rapide est correct.

5) A chaque appel de exponentiation rapide on fait au plus 2 multiplications. Comme ` a chaque appel on divise le puissance par 2, il y’a au plus 1 +log ₂ (p) appel ` a la proc´ edure exponentiation rapide.

Le nombre de multiplication est donc en O(log ₂ (p)).

6) En Maxima l’algorithme exponentiation rapide est exponentiation_rapide(a,p,n):=block([q,b,c],

if p=0 then(

return(1) )

else(

q:quotient(p,2),

b:exponentiation_rapide(a,q,n), c:b*b,

if mod(p,2)=0 then(

return(mod(c,n)) )

else(

return(mod(a*c,n)) )

) )

7) Comme F p = Z /p Z est un corps, l’anneau F p [X ] est euclidien. Soit P(X ) un polynˆ ome de F p [X ] de degr´ e n > 1. Supposons que P (X) poss` ede une racine α. En effectuant la division euclidienne de P (X ) par (X − α) on obtient Q(X ) ∈ F p [X ] et c ∈ F p tels que P (X ) = Q(X ) × (X − α) + c. Comme P (α) = 0, on obtient c = 0 puis que X − α divise P et donc le degr´ e de Q est n − 1. Par une r´ ecurrence imm´ ediate on obtient alors qu’un polynˆ ome de degr´ e n > 0 sur F p [X ] ` a au plus n racines.

8) Soit n > 3 un nombre impair (si n est pair alors il n’est pas premier car divisible par 2). Posons n = 1 + 2 ^s × t avec t impair. On dit qu’un entier a ∈ {1, ..., n} est un t´ emoin de Miller pour n si la suite

a ^t , a ^2t , a ^4t , ..., a ²

^s

^t

contient que des 1 ou contient n−1 modulo n. On commence par coder une fonction est temoin miller(a,s,t) qui retourne true si a est un t´ emoin de Miller pour n = 1 + 2 ^s t et false sinon.

est_temoin_miller(a,s,t):=block([k,n,L,U], n:1+2**s*t,

L:makelist(exponentiation_rapide(a,2**k*t,n),k,0,s), U:unique(L),

if length(U)=1 and U[1]=1 then(

return(true) ),

return(member(n-1,U))

)

(3)

3 La fonction unique(L) retourne une copie sans doublons de L. Ainsi L contient que des 1 si et seulement si U=[1]. La fonction member(a,L) teste si a apparaˆıt dans la liste L.

Ensuite pour un entier m quelconque il faut savoir d´ eterminer la plus grande puissance de 2 qui divise m. C’est le role de la fonction valuation diadic:

valuation_diadique(m):=block([k,t], t:1,

k:0,

while mod(m,t)=0 do(

t:t*2, k:k+1 ),

return(k-1) )

Nous obtenons finalement la fonction effectuant le test de Miller-Rabin test_miller_rabin(n):=block([a,k,res,s,t],

if mod(n,2)=0 then(

return(false) ),

s:valuation_diadique(n-1), t:(n-1)/2**s,

res:true, k:20,

while k>0 and res=true do(

a:1+random(n-1),

if not gcd(a,n)=1 then(

res:false )

else(

res:est_temoin_miller(a,s,t) ),

k:k-1 ),

return(res) )

La fonction random(m) retournant un entier compris entre 0 et m − 1, la ligne a:1+random(n-1) affecte ` a a un entier tir´ e al´ eatoirement entre 1 et n − 1. La ligne juste apr` es s’assure que a est inversible modulo n. Si ce n’est pas les cas, on a trouv´ e un ´ el´ ement b entre 1 et n − 1 telle que [b] n n’est pas inversible dans Z /n Z et donc Z /n Z n’est pas un corps et il s’en suit que n n’est pas un nombre premier.

9) Sachant que n est composite il y’a une chance sur quatre pour qu’un entier a soit un temoin de Miller. Si on teste 20 entiers diff´ erents il y’a donc une chance sur 4 ²⁰ pour que le teste de Miller-Rabin d´ etecte un nombre composite n comme ´ etant pseudo-premier, c’est ` a dire une chance sur

4 ²⁰ = 1 099 511 627 776 ≈ 10 ¹² .

10) La g´ en´ eration d’une paire de cl´ es pour RSA est essentiellement bas´ ee sur la g´ en´ eration de grand

nombre premier. Pour cela on tire au hasard un grand nombre entier, on prend le plus petit impair plus

grand ou ´ egal et on teste le nombre obtenu avec le test de Miller-Rabin. S’il est premier on a fini sinon

on recommence.

(4)

4 genere_premier(taille):=block([s,n,trouve], trouve:false,

s:10**taille,

while not trouve do(

n:s+random(s), if mod(n,2)=0 then(

n:n+1 ),

trouve:test_miller_rabin(n) ),

return(n) )

On obtient alors le code suivant pour la gn´ erations d’une paire de cl´ e pour RSA.

genere_cles(taille):=block([p,q,n,phi,d,e,L], p:genere_premier(taille),

q:genere_premier(taille), if p=q then(

return(genere_cles(taille)) ),

n:p*q,

phi:(p-1)*(q-1), e:genere_premier(5), while mod(phi,e)=0 do(

e:genere_premier(6) ),

L:gcdex(e,phi), d:mod(L[1],phi), return([[n,e],[n,d]]) )

11) Les focntions de chiffrement et de d´ echiffrement ´ etant les mˆ emes on en code une seule.

chiffre(M,cle):=block([n,p], n:cle[1],

p:cle[2],

return(exponentiation_rapide(M,p,n)) )

12) Voici une fonction illustrant un cycle complet pour RSA

demo_rsa(taille):=block([cles,cle_prive,cle_publique,M,C,D], cles:genere_cles(taille),

cle_publique:cles[1], cle_prive:cles[2], n:cle_publique[1],

print("-- Cl´ e publique --"),print("- n : ",n),print("- e : ",cle_publique[2]), print("-- Cl´ e priv´ e --"),print("- n : ",cle_prive[1]),print("- d : ",cle_prive[2]), print("-- Chiffrement --"),

1) On a n = p × q = 5 × 11 = 55, φ(n) = (p − 1) × (q − 1) = 4 × 10 = 40. L’algorithme d’Euclide pour le calcul du pgcd de e et φ(n) donne

ULCO 2019 – 2020

M1 Reherche IMAO

TP 3 – Chiffrement RSA – Correction

1) On a n = p × q = 5 × 11 = 55, φ(n) = (p − 1) × (q − 1) = 4 × 10 = 40. L’algorithme d’Euclide pour le calcul du pgcd de e et φ(n) donne

40 = 13 × 3 + 1.

On a donc pgcd(e, φ(n)) = 1 puis −13 × 3 ≡ 1 mod 40 et donc 27 × 3 ≡ 1 mod 40. On obtient donc d = 27. Ainsi la cl´ e publique est (55, 3) et la cl´ e priv´ ee est (55, 27). Le chiffr´ e de M = 13 est

C = M e = 13 3 ≡ 52 mod n et le d´ echiffr´ e de C est

D = C d = 52 27 ≡ 13 mod n.

On v´ erifie qu’on a bien M = D.

2) En prenant les notations du sujet avec M ∈ {0, ..., n − 1} on a C d ≡ (M e ) d ≡ M ed mod n.

Par constrution ed ≡ 1 mod φ(n). Il existe donc k ∈ Z tel que ed = 1 + kφ(n). D’o` u C d ≡ M 1+kφ(n) ≡ M ×

M φ(n) k

mod n.

Le groupe des inversibles ( Z /n Z ) ∗ de Z /n Z est d’ordre φ(n). Ainsi si [M ] n (classe de M modulo n) est inversible dans Z /n Z alors l’ordre de M est un diviseur de φ(n) et donc M φ(n) ≡ 1 mod n. Dans ce cas on obtient

C d ≡ M ×

M φ(n) k

≡ M × 1 k ≡ M mod n.

On note que [M ] n est inversible dans Z /n Z si et seulement si pgcd(M, n) = 1.

Les premiers p et q jouant un rˆ ole sym´ etrique regardons seulement le cas pgcd(M, n) = p. De M ≡ 0 mod p on obtient M ed ≡ M mod p. Montrons qu’on a M ed ≡ M mod q. On a

ed = 1 + kφ(n) = 1 + k(p − 1)(q − 1)

Comme p divise M et pq ne divise pas M on a pgcd(M, q) = 1 et donc [M ] q est inversible dans Z /q Z . En particulier l’ordre de ( Z /q Z ) ∗ , qui vaut q − 1 est un multiple de l’ordre de M est donc M q−1 ≡ 1 mod q.

Ainsi on obtient

M ed = M 1+k(p−1)(q−1) = M × M q−1 k(p−1)

≡ M × 1 k(p−1) ≡ M mod q.

On a ainsi ´ etablit dans le cas pgcd(M, n) = p qu’on a M ed ≡ M mod p et M ed ≡ M mod q. Nous allons conclure M ed ≡ 1 mod pq en utilisant le th´ eor` eme des restes chinois. L’application

η : Z /pq Z → Z /p Z × Z /q Z [x] pq 7→ ([x] p , [x] q )

est un isomorphisme d’anneau, elle en particulier injective. Par ce qui pr´ ec` ede, on a η

M ed

n

= M ed

p , M ed

q

=

[M ] p , [M ] q

= η ([M ] n ) . Comme η est injective on obtient

M ed

n = [M ] n et donc C d = M ed ≡ M mod n.

3) L’algorithme na¨ıf effectue exactement p multiplications.

4) Soit n ∈ N . Notons expr la fonction exponentitation rapide. Montrons par r´ ecurrence sur p ∈ N :

H p : ”∀a ∈ N , d = expr(a, p, n) v´ erifie d ≡ a p mod n”

2

Pour a ∈ N , expr(a, 0, n) retourne 1 et on a bien a 0 ≡ 1 mod n. Donc H 0 est vraie. Soit p ∈ N . Supposons H q vraie pour tout 0 6 q 6 p et montrons H p+1 . Soit a ∈ N . On note q, b et c les variables d´ efinies par expr(a, p + 1, n). On a

p + 1 =

( 2q si p pair

2q + 1 si p impair , b = expr(a, q, n) et c = b 2 .

Par H q on a b ≡ a q mod n et donc c ≡ a 2q mod n. En posant d = expr(a, p, n), on obtient alors d ≡

( c ≡ a 2q mod n pour p + 1 = 2q a × c ≡ a 2q+1 mod n pour p + 1 = 2q + 1

et donc d ≡ a p+1 mod n dans tous les cas. On a dnc H p pour tout p ∈ N et donc l’algorithme exponentiation rapide est correct.

5) A chaque appel de exponentiation rapide on fait au plus 2 multiplications. Comme ` a chaque appel on divise le puissance par 2, il y’a au plus 1 +log 2 (p) appel ` a la proc´ edure exponentiation rapide.

Le nombre de multiplication est donc en O(log 2 (p)).

6) En Maxima l’algorithme exponentiation rapide est exponentiation_rapide(a,p,n):=block([q,b,c],

if p=0 then(

return(1) )

else(

q:quotient(p,2),

b:exponentiation_rapide(a,q,n), c:b*b,

if mod(p,2)=0 then(

return(mod(c,n)) )

else(

return(mod(a*c,n)) )

) )

8) Soit n > 3 un nombre impair (si n est pair alors il n’est pas premier car divisible par 2). Posons n = 1 + 2 s × t avec t impair. On dit qu’un entier a ∈ {1, ..., n} est un t´ emoin de Miller pour n si la suite

a t , a 2t , a 4t , ..., a 2

t

contient que des 1 ou contient n−1 modulo n. On commence par coder une fonction est temoin miller(a,s,t) qui retourne true si a est un t´ emoin de Miller pour n = 1 + 2 s t et false sinon.

est_temoin_miller(a,s,t):=block([k,n,L,U], n:1+2**s*t,

L:makelist(exponentiation_rapide(a,2**k*t,n),k,0,s), U:unique(L),

if length(U)=1 and U[1]=1 then(

return(true) ),

return(member(n-1,U))

)

3

La fonction unique(L) retourne une copie sans doublons de L. Ainsi L contient que des 1 si et seulement si U=[1]. La fonction member(a,L) teste si a apparaˆıt dans la liste L.

Ensuite pour un entier m quelconque il faut savoir d´ eterminer la plus grande puissance de 2 qui divise m. C’est le role de la fonction valuation diadic:

valuation_diadique(m):=block([k,t], t:1,

k:0,

while mod(m,t)=0 do(

t:t*2, k:k+1 ),

return(k-1) )

C = M ^e = 13 ³ ≡ 52 mod n et le d´ echiffr´ e de C est

D = C ^d = 52 ²⁷ ≡ 13 mod n.

2) En prenant les notations du sujet avec M ∈ {0, ..., n − 1} on a C ^d ≡ (M ^e ) ^d ≡ M ^ed mod n.

Par constrution ed ≡ 1 mod φ(n). Il existe donc k ∈ Z tel que ed = 1 + kφ(n). D’o` u C ^d ≡ M ^1+kφ(n) ≡ M ×

M ^φ(n) k

Le groupe des inversibles ( Z /n Z ) ^∗ de Z /n Z est d’ordre φ(n). Ainsi si [M ] _n (classe de M modulo n) est inversible dans Z /n Z alors l’ordre de M est un diviseur de φ(n) et donc M ^φ(n) ≡ 1 mod n. Dans ce cas on obtient

C ^d ≡ M ×

M ^φ(n) k

≡ M × 1 ^k ≡ M mod n.

Les premiers p et q jouant un rˆ ole sym´ etrique regardons seulement le cas pgcd(M, n) = p. De M ≡ 0 mod p on obtient M ^ed ≡ M mod p. Montrons qu’on a M ^ed ≡ M mod q. On a

Comme p divise M et pq ne divise pas M on a pgcd(M, q) = 1 et donc [M ] q est inversible dans Z /q Z . En particulier l’ordre de ( Z /q Z ) ^∗ , qui vaut q − 1 est un multiple de l’ordre de M est donc M ^q−1 ≡ 1 mod q.

M ^ed = M 1+k(p−1)(q−1) = M × M ^q−1 ^k(p−1)

≡ M × 1 ^k(p−1) ≡ M mod q.

On a ainsi ´ etablit dans le cas pgcd(M, n) = p qu’on a M êd ≡ M mod p et M êd ≡ M mod q. Nous allons conclure M êd ≡ 1 mod pq en utilisant le th´ eor` eme des restes chinois. L’application

η : Z /pq Z → Z /p Z × Z /q Z [x] _pq 7→ ([x] p , [x] q )

M ^ed

= M ^ed

p , M ^ed

[M ] _p , [M ] _q

= η ([M ] _n ) . Comme η est injective on obtient

M ^ed

n = [M ] _n et donc C ^d = M ^ed ≡ M mod n.

H p : ”∀a ∈ N , d = expr(a, p, n) v´ erifie d ≡ a ^p mod n”

Pour a ∈ N , expr(a, 0, n) retourne 1 et on a bien a ⁰ ≡ 1 mod n. Donc H 0 est vraie. Soit p ∈ N . Supposons H q vraie pour tout 0 6 q 6 p et montrons H p+1 . Soit a ∈ N . On note q, b et c les variables d´ efinies par expr(a, p + 1, n). On a

2q + 1 si p impair , b = expr(a, q, n) et c = b ² .

Par H _q on a b ≡ a ^q mod n et donc c ≡ a ^2q mod n. En posant d = expr(a, p, n), on obtient alors d ≡

( c ≡ a ^2q mod n pour p + 1 = 2q a × c ≡ a ^2q+1 mod n pour p + 1 = 2q + 1

et donc d ≡ a ^p+1 mod n dans tous les cas. On a dnc H _p pour tout p ∈ N et donc l’algorithme exponentiation rapide est correct.

5) A chaque appel de exponentiation rapide on fait au plus 2 multiplications. Comme ` a chaque appel on divise le puissance par 2, il y’a au plus 1 +log ₂ (p) appel ` a la proc´ edure exponentiation rapide.

Le nombre de multiplication est donc en O(log ₂ (p)).

8) Soit n > 3 un nombre impair (si n est pair alors il n’est pas premier car divisible par 2). Posons n = 1 + 2 ^s × t avec t impair. On dit qu’un entier a ∈ {1, ..., n} est un t´ emoin de Miller pour n si la suite

a ^t , a ^2t , a ^4t , ..., a ²

^t

contient que des 1 ou contient n−1 modulo n. On commence par coder une fonction est temoin miller(a,s,t) qui retourne true si a est un t´ emoin de Miller pour n = 1 + 2 ^s t et false sinon.

4 ²⁰ = 1 099 511 627 776 ≈ 10 ¹² .