Corrig´ e de l’examen

(1)

Universit´e Bordeaux 1 Ann´ee Universitaire 2012-2013 Parcours IN601, MA601, MA603

UE N1MA6W31

Corrig´ e de l’examen

Exercice 1

1. On prend desx² modN avecx légèrement supérieur à√

N dans l’espoir d’obtenir des petits “carrés”. Ceux-ci auraient donc une forte chance d’être friables et mèneraient à des congruences non triviales (x² ≡amodN avec x² 6= a). Ceci dit, si N est “grand” et si la borne de friabilité est “pe- tite”, cette idée ne fonctionne pas nécessairement. Par exemple si N = 121933417163 = 123457 ×987659, a = b√

Nc = 349189 et aucun des (a+i)² modN (1 ≤ i ≤ 10) n’est B-friable si B < 1277. En outre, si on prend B= 1277, une seule valeur de idonne un carr´e B-friable.

2. On voit que

1001²×1039² ≡2²×5⁴×17²×19² modN, ou encore

41268² ≡16150²modN.

Comme 412686≡ ±16150 modN, on est sˆur que le calcul de pgcd(N,41268+

16150) et de pgcd(N,41268−16150) donnera des diviseurs non triviaux de N. On applique l’algorithme d’Euclide pour calculer ces pgcd :

998771 = 57418×17 + 22665, 57418 = 22665×2 + 12088, 22665 = 12088×1 + 10577, 12088 = 10577×1 + 1511, 10577 = 1511×7 + 0.

D’o`u

pgcd(N,41268 + 16150) = 1511.

998771 = 25118×39 + 19169, 25118 = 19169×1 + 5949, 19169 = 5949×3 + 1322, 5949 = 1322×4 + 661, 1322 = 661×2 + 0.

D’o`u

pgcd(N,41268−16150) = 661.

Les deux facteurs non triviaux obtenus sont 1551 et 661.

Exercice 2

1. La liste des polynômes irréductibles deF2[X] de degré ≤3 est : X, X+ 1, X²+X+ 1, X³+X+ 1, X³+X²+ 1.

2. P(0) = P(1) = 1 donc P(X) n’est divisible par aucun irréductible de degré 1. S’il était réductible, comme il est de degré 5, il serait le produit d’un

(2)

irréductible de degré 2 et d’un irréductible de degré 3, donc nécessairement divisible parX²+X+ 1. Or la division euclidienne deP(X) parX²+X+ 1 donne : X⁵+X²+ 1 = (X²+X+ 1)(X³+X²) + 1. Par suite, P(X) est irréductible.

3. Le groupe F^×₃₂ a pour cardinal 32 −1 = 31 car F32 est un corps et F^×₃₂ =F32\ {0}. Les ordres possibles des éléments de F^×₃₂ sont les diviseurs de 31, c’est-à-dire 1 et 31. Comme α 6= 1, l’ordre de α ne peut pas être 1.

L’élément αa donc pour ordre 31 et engendre F^×₃₂qui est cyclique. Remar- quons que ceci s’applique à tout élément de F^×₃₂ différent de 1.

4. On a α⁵=α²+ 1, d’o`u l’on tire successivement : α⁶ =α³+α,

α⁷ =α⁴+α²,

α⁸ =α⁵+α³ =α³+α²+ 1, α⁹ =α⁴+α³+α,

α¹⁰=α⁵+α⁴+α² =α⁴+ 1, α¹¹=α5 +α=α²+α+ 1, α¹²=α³+α²+α.

Les codes des αⁱ pour 5 ≤ i ≤ 12 sont donc : (0,0,1,0,1), (0,1,0,1,0), (1,0,1,0,0), (0,1,1,0,1), (1,1,0,1,0), (1,0,0,0,1), (0,0,1,1,1) et (0,1,1,1,0).

5. L’élément g correspond àα² ∈F^×₃₂ et comme α² 6= 1 son ordre est 31 et c’est un générateur du groupe.

6. Leur clé secrète est (g^b)â = (α³ +α²+α)¹⁰. On calcule cette dernière expression par exponentiation binaire :

(α³+α²+α)² =α⁶+α⁴+α²=α⁴+α³+α²+α (α³+α²+α)⁴ =α⁸+α⁶+α⁴+α² =α⁴+α+ 1, (α³+α²+α)⁸ =α⁸+α²+ 1 =α³,

(α³+α²+α)¹⁰=α³(α⁴+α³+α²+α) =α⁷+α⁶+α⁵+α⁴=α³+α+ 1.

Leur cl´e secr`ete est donc (0,1,0,1,1).

Autre raisonnement possible : d’après la question 4 Bob a choisi b ≡ 6 mod 31 (en effet g^b = α¹² = g⁶ et F^×₃₂ est cyclique de cardinal 31 en- gendré parg). On a donc ab≡10×6 mod 31≡29 mod 31. Leur clé secrète est donc g²⁹=α⁵⁸=α²⁷. On calculeα²⁷. Par exemple

α²⁴= (α¹²)² = (α³+α²+α)²=α⁶+α⁴+α² =α⁴+α³+α²+α.

α²⁷=α²⁴α³=α⁷+α⁶+α⁵+α⁴ =α³+α+ 1.

Leur cl´e secr`ete est (0,1,0,1,1).

Exercice 3.

1. Voir le cours.

2. On utilise le fait que siaetbsont deux entiers, pgcd(a, b)×ppcm(a, b) = ab. Pour calculerr on calcule donc le pgcd dep−1 et q−1 not´e x, `a l’aide de l’algorithme d’Euclide. On a alors

r= (p−1)(q−1)

x .

3. M est premier avecp−1. En effet, si ce n’est pas le cas, soitlun diviseur premier commun à M et p−1. Comme M =p²q où p etq sont premiers, on a nécessairement l=p ou l=q. Dans le premier cas l|p−1 implique

(3)

p | p−1, ce qui est impossible. Dans le second cas, l | p −1 implique q | p−1 ce qui contraire aux hypothèses faites sur p et q. De la même manière M est premier avec q−1. On en déduit que M est premier avec ppcm(p−1, q−1) =r. Par suite M est inversible modulo r.

4. Pour calculer d Bob utilise l’algorithme d’Euclide ´etendu pour obtenir une relation de B´ezout entreM etr :

uM +vr= 1.

Alors l’inverse de M modulo r est umodr.

5. m est premier avecpq donc avec p. On en déduit par le petit théorème de Fermat que m^p−1 ≡1 modp. Or r est un multiple de p−1. On a donc m^r≡1 modp. Le raisonnement est le même pour la seconde congruence.

6. CommeM =p²q, on a

c≡m^M modM =⇒c≡m^M modpq.

On en tire

c^d≡m^{M d}modpq.

Or dest l’inverse de M modulo r : il existe donc un entierk tel queM d= 1 +kr. On en d´eduit que

c^d≡m(m^r)^k modpq.

Or par la question pr´ec´edente on sait que m^r ≡1 modp et m^r ≡1 modq.

Le th´eor`eme chinois implique alors

m^r≡1 modpq.

On peut aussi dire que p|m^r−1 et q |m^r−1 implique que ppcm(p, q) = pq|m^r−1. Finalement on obtient

c^d≡mmodpq.

Ainsi Bob retrouve bien m.

7. Par exponentiation binaire modulaire, le calcul dem^M modM n´ecessite O(logM) multiplications dansZ/MZ.

Commed < r=ppcm(p−1, q−1) on ad < pq. Par exponentiation binaire modulaire, le calcul dec^dmodpqn´ecessiteO(logpq) =O(logp+ logq) multiplications dans Z/pqZ.

Un algorithme na¨ıf de multiplication dansZ/nZa une complexité enO (logn)² . On en déduit que la complexité binaire du chiffrement est enO (logM)³

et que la complexit´e binaire du d´echiffrement est enO (logpq)³

=O (logp+ logq)³

.

8. On aM = 45 = 1 + 2²+ 2³+ 2⁵. Pour calculer 7⁴⁵mod 45 on peut calculer (ce n’est pas tout à fait “square and multiply”¹mais c’est équivalent) les 7²ⁱ mod 45 (1 ≤ i ≤ 5) par élévations successives au carré puis calculer 7×7²² ×7²³ ×7²⁵ mod 45. On a 7² ≡ 4 mod 45, 7⁴ ≡ 16 mod 45, 7⁸ ≡ 31 mod 45, 7¹⁶ ≡16 mod 45 et 7³² ≡31 mod 45. D’où 7⁴⁵mod 45 ≡ 7×7⁴×7⁸×7³²mod 45. On trouve 7⁴⁵≡37 mod 45. Donc

c= 37.

1Square and multiply correspond au calcul 7×((7×(7×(7²)²)²)²)²mod 45.

(4)

Bob calculel= pgcd(2,4) = 2, puisr = (p−1)(q−1)/l= 4. Avouons qu’en l’occurrence cette démarche est un peu alambiquée. Il calcule dl’inverse de 45 modulo 4. L’algorithme d’Euclide étendu conduit à la relation de Bézout 1×45−10×4 = 1 (même remarque). On a doncd= 1. Bob calcule alors 37¹mod 15. Il retrouve bien m= 7.

Exercice 4

1. Soitl= max{i; 1≤i≤n etri ≤S}. Commex_k6= 0, on aS ≥r_k donc k≤l. Supposonsk < l, alors

S ≤

k

X

i=1

ri,

et comme (r1, r2, . . . , rn) est supercroissante, on a S < rk+1≤rl

car k+ 1 ≤ l et car la supercroissance entraˆıne la croissance. Or S < rl

contredit la d´efinition de l. On a donc k=l.

2. L’algorithme est le suivant : I =∅

t←S

tant que t >0 faire k←max{i; r_i ≤t}

I ←I ∪ {k}

t←t−r_k fin tant que.

3. L’algorithme donne successivement : - k= 11, I ={11},t= 554

- k= 9,I ={9,11},t= 87 - k= 6,I ={6,9,11},t= 33 - k= 5 I ={5,6,9,11},t= 8 - k= 3,I ={3,5,6,9,11},t= 3 - k= 2,I ={2,3,5,6,9,11},t= 0.

De fait r2+r3+r5+r6+r9+r11= 3 + 5 + 25 + 54 + 467 + 1975 = 2529.

4. Bob calcule

S⁰ = A⁻¹cmodB

= A⁻¹

n

X

i=1

xiMi modB

= A⁻¹

n

X

i=1

xiAri modB

=

n

X

i=1

xiA⁻¹Ari modB

=

n

X

i=1

x_ir_i modB

(5)

Comme (r₁, r₂, . . . , r_n) est supercroissante et comme B >2r_n, on a

B >2r_n> r_n+

n−1

X

i=1

r_i≥

n

X

i=1

x_ir_i.

Bob obtient donc exactement

n

X

i=1

xiri.

5. Comme (r1, r2, . . . , rn) est supercroissante, Bob utilise l’algorithme de la question 2 pour retrouver les x_i et doncm.

6. La cl´e publique de Bob est (M1, M2, M3, M4, M5) = (89,243,212,150,245).

Chiffrement. c= 89 + 212 + 245 = 546.

Déchiffrement. L’algorithme d’Euclide étendu appliqué à 250 et 113 conduit

`

a la relation de B´ezout 33×250−73×113 = 1. L’inverse de 113 modulo 250 est −73 = 177 mod 250. Bob calcule A⁻¹cmodB = 177×546 mod 250 = 142. L’algorithme de la question 2 donne : x5 = 1,x4 = 0,x3 = 1, x2 = 0 et x₀ = 1. Bob retrouve bienm.

7. Alice envoie le chiffr´e

c=

n

X

i=1

x_iM_σ(i).

Bob calcule comme pr´ec´edemment

S⁰ =A⁻¹xmodB =

n

X

i=1

xir_σ(i),

que l’on peut ´ecrire

S⁰=

n

X

i=1

y_ir_i, avec

yi =x_σ⁻¹_(i) ou encore xi =y_σ(i).

Bob utilise alors l’algorithme de la question 2 pour calculer (y1, y2, . . . , yn) puis obtient

(x1, x2, . . . , xn) = y_σ(1), y_σ(2), . . . , y_σ(n) .