Scribd Logo
Importer

Bienvenue sur Scribd !

  • 168 vues

    2 Rsa Correction

    Transféré par

    IslamBul

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    2 Rsa Correction

    Transféré par

    IslamBul
    168 vues4 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    168 vues4 pages

    2 Rsa Correction

    Transféré par

    IslamBul

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 4

    ULCO 2019 – 2020

    M1 Reherche IMAO

    TP 3 – Chiffrement RSA – Correction


    1) On a n = p × q = 5 × 11 = 55, φ(n) = (p − 1) × (q − 1) = 4 × 10 = 40. L’algorithme d’Euclide pour
    le calcul du pgcd de e et φ(n) donne
    40 = 13 × 3 + 1.
    On a donc pgcd(e, φ(n)) = 1 puis −13 × 3 ≡ 1 mod 40 et donc 27 × 3 ≡ 1 mod 40. On obtient donc
    d = 27. Ainsi la clé publique est (55, 3) et la clé privée est (55, 27). Le chiffré de M = 13 est
    C = M e = 133 ≡ 52 mod n
    et le déchiffré de C est
    D = C d = 5227 ≡ 13 mod n.
    On vérifie qu’on a bien M = D.

    2) En prenant les notations du sujet avec M ∈ {0, ..., n − 1} on a


    d
    C d ≡ (M e ) ≡ M ed mod n.
    Par constrution ed ≡ 1 mod φ(n). Il existe donc k ∈ Z tel que ed = 1 + kφ(n). D’où
     k
    C d ≡ M 1+kφ(n) ≡ M × M φ(n) mod n.

    Le groupe des inversibles (Z/nZ) de Z/nZ est d’ordre φ(n). Ainsi si [M ]n (classe de M modulo n) est
    inversible dans Z/nZ alors l’ordre de M est un diviseur de φ(n) et donc M φ(n) ≡ 1 mod n. Dans ce cas
    on obtient
     k
    C d ≡ M × M φ(n) ≡ M × 1k ≡ M mod n.
    On note que [M ]n est inversible dans Z/nZ si et seulement si pgcd(M, n) = 1.
    Il nous reste donc à traiter le cas pgcd(M, n) 6= 1. Comme n = pq est un produit de premier. On a
    alors pgcd(M, n) ∈ {p, q, pq}. Le cas pgcd(M, n) = pq implique n divise M et donc M = 0. Dans ce cas
    on a M ed = M = 0 et donc D ≡ M mod n. Il nous reste donc les cas pgcd(M, n) = p et pgcd(M, n) = q.
    Les premiers p et q jouant un rôle symétrique regardons seulement le cas pgcd(M, n) = p. De M ≡ 0
    mod p on obtient M ed ≡ M mod p. Montrons qu’on a M ed ≡ M mod q. On a
    ed = 1 + kφ(n) = 1 + k(p − 1)(q − 1)
    Comme p divise M et pq ne divise pas M on a pgcd(M, q) = 1 et donc [M ]q est inversible dans Z/qZ. En

    particulier l’ordre de (Z/qZ) , qui vaut q − 1 est un multiple de l’ordre de M est donc M q−1 ≡ 1 mod q.
    Ainsi on obtient
    k(p−1)
    M ed = M 1+k(p−1)(q−1) = M × M q−1 ≡ M × 1k(p−1) ≡ M mod q.
    On a ainsi établit dans le cas pgcd(M, n) = p qu’on a M ed ≡ M mod p et M ed ≡ M mod q. Nous
    allons conclure M ed ≡ 1 mod pq en utilisant le théorème des restes chinois. L’application
    η : Z/pqZ → Z/pZ × Z/qZ
    [x]pq 7→ ([x]p , [x]q )
    est un isomorphisme d’anneau, elle en particulier injective. Par ce qui précède, on a
          
    η M ed n = M ed p , M ed q = [M ]p , [M ]q = η ([M ]n ) .
      

     
    Comme η est injective on obtient M ed n = [M ]n et donc C d = M ed ≡ M mod n.

    3) L’algorithme naı̈f effectue exactement p multiplications.

    4) Soit n ∈ N. Notons expr la fonction exponentitation rapide. Montrons par récurrence sur p ∈ N:
    Hp : ”∀a ∈ N, d = expr(a, p, n) vérifie d ≡ ap mod n”
    2

    Pour a ∈ N, expr(a, 0, n) retourne 1 et on a bien a0 ≡ 1 mod n. Donc H0 est vraie. Soit p ∈ N.


    Supposons Hq vraie pour tout 0 6 q 6 p et montrons Hp+1 . Soit a ∈ N. On note q, b et c les variables
    définies par expr(a, p + 1, n). On a
    (
    2q si p pair
    p+1= , b = expr(a, q, n) et c = b2 .
    2q + 1 si p impair
    Par Hq on a b ≡ aq mod n et donc c ≡ a2q mod n. En posant d = expr(a, p, n), on obtient alors
    (
    c ≡ a2q mod n pour p + 1 = 2q
    d≡
    a × c ≡ a2q+1 mod n pour p + 1 = 2q + 1
    et donc d ≡ ap+1 mod n dans tous les cas. On a dnc Hp pour tout p ∈ N et donc l’algorithme
    exponentiation rapide est correct.

    5) A chaque appel de exponentiation rapide on fait au plus 2 multiplications. Comme à chaque


    appel on divise le puissance par 2, il y’a au plus 1+log2 (p) appel à la procédure exponentiation rapide.
    Le nombre de multiplication est donc en O(log2 (p)).

    6) En Maxima l’algorithme exponentiation rapide est

    exponentiation_rapide(a,p,n):=block([q,b,c],
    if p=0 then(
    return(1)
    )
    else(
    q:quotient(p,2),
    b:exponentiation_rapide(a,q,n),
    c:b*b,
    if mod(p,2)=0 then(
    return(mod(c,n))
    )
    else(
    return(mod(a*c,n))
    )
    )
    )

    7) Comme Fp = Z/pZ est un corps, l’anneau Fp [X] est euclidien. Soit P (X) un polynôme de Fp [X] de
    degré n > 1. Supposons que P (X) possède une racine α. En effectuant la division euclidienne de P (X)
    par (X − α) on obtient Q(X) ∈ Fp [X] et c ∈ Fp tels que P (X) = Q(X) × (X − α) + c. Comme P (α) = 0,
    on obtient c = 0 puis que X − α divise P et donc le degré de Q est n − 1. Par une récurrence immédiate
    on obtient alors qu’un polynôme de degré n > 0 sur Fp [X] à au plus n racines.

    8) Soit n > 3 un nombre impair (si n est pair alors il n’est pas premier car divisible par 2). Posons
    n = 1 + 2s × t avec t impair. On dit qu’un entier a ∈ {1, ..., n} est un témoin de Miller pour n si la suite
    s
    at , a2t , a4t , ..., a2 t

    contient que des 1 ou contient n−1 modulo n. On commence par coder une fonction est temoin miller(a,s,t)
    qui retourne true si a est un témoin de Miller pour n = 1 + 2s t et false sinon.

    est_temoin_miller(a,s,t):=block([k,n,L,U],
    n:1+2**s*t,
    L:makelist(exponentiation_rapide(a,2**k*t,n),k,0,s),
    U:unique(L),
    if length(U)=1 and U[1]=1 then(
    return(true)
    ),
    return(member(n-1,U))
    )
    3

    La fonction unique(L) retourne une copie sans doublons de L. Ainsi L contient que des 1 si et seulement
    si U=[1]. La fonction member(a,L) teste si a apparaı̂t dans la liste L.
    Ensuite pour un entier m quelconque il faut savoir déterminer la plus grande puissance de 2 qui
    divise m. C’est le role de la fonction valuation diadic:

    valuation_diadique(m):=block([k,t],
    t:1,
    k:0,
    while mod(m,t)=0 do(
    t:t*2,
    k:k+1
    ),
    return(k-1)
    )

    Nous obtenons finalement la fonction effectuant le test de Miller-Rabin

    test_miller_rabin(n):=block([a,k,res,s,t],
    if mod(n,2)=0 then(
    return(false)
    ),
    s:valuation_diadique(n-1),
    t:(n-1)/2**s,
    res:true,
    k:20,
    while k>0 and res=true do(
    a:1+random(n-1),
    if not gcd(a,n)=1 then(
    res:false
    )
    else(
    res:est_temoin_miller(a,s,t)
    ),
    k:k-1
    ),
    return(res)
    )

    La fonction random(m) retournant un entier compris entre 0 et m − 1, la ligne a:1+random(n-1)


    affecte à a un entier tiré aléatoirement entre 1 et n − 1. La ligne juste après s’assure que a est inversible
    modulo n. Si ce n’est pas les cas, on a trouvé un élément b entre 1 et n − 1 telle que [b]n n’est pas
    inversible dans Z/nZ et donc Z/nZ n’est pas un corps et il s’en suit que n n’est pas un nombre premier.

    9) Sachant que n est composite il y’a une chance sur quatre pour qu’un entier a soit un temoin de
    Miller. Si on teste 20 entiers différents il y’a donc une chance sur 420 pour que le teste de Miller-Rabin
    détecte un nombre composite n comme étant pseudo-premier, c’est à dire une chance sur

    420 = 1 099 511 627 776 ≈ 1012 .

    10) La génération d’une paire de clés pour RSA est essentiellement basée sur la génération de grand
    nombre premier. Pour cela on tire au hasard un grand nombre entier, on prend le plus petit impair plus
    grand ou égal et on teste le nombre obtenu avec le test de Miller-Rabin. S’il est premier on a fini sinon
    on recommence.
    4

    genere_premier(taille):=block([s,n,trouve],
    trouve:false,
    s:10**taille,
    while not trouve do(
    n:s+random(s),
    if mod(n,2)=0 then(
    n:n+1
    ),
    trouve:test_miller_rabin(n)
    ),
    return(n)
    )
    On obtient alors le code suivant pour la gnérations d’une paire de clé pour RSA.

    genere_cles(taille):=block([p,q,n,phi,d,e,L],
    p:genere_premier(taille),
    q:genere_premier(taille),
    if p=q then(
    return(genere_cles(taille))
    ),
    n:p*q,
    phi:(p-1)*(q-1),
    e:genere_premier(5),
    while mod(phi,e)=0 do(
    e:genere_premier(6)
    ),
    L:gcdex(e,phi),
    d:mod(L[1],phi),
    return([[n,e],[n,d]])
    )

    11) Les focntions de chiffrement et de déchiffrement étant les mêmes on en code une seule.

    chiffre(M,cle):=block([n,p],
    n:cle[1],
    p:cle[2],
    return(exponentiation_rapide(M,p,n))
    )

    12) Voici une fonction illustrant un cycle complet pour RSA

    demo_rsa(taille):=block([cles,cle_prive,cle_publique,M,C,D],
    cles:genere_cles(taille),
    cle_publique:cles[1],
    cle_prive:cles[2],
    n:cle_publique[1],
    print("-- Clé publique --"),print("- n : ",n),print("- e : ",cle_publique[2]),
    print("-- Clé privé --"),print("- n : ",cle_prive[1]),print("- d : ",cle_prive[2]),
    print("-- Chiffrement --"),
    M:random(n),
    C:chiffre(M,cle_publique),
    print("- M : ",M),print("- C : ",C),
    print("-- Déchiffrement --"),
    D:chiffre(C,cle_prive),
    print("- C : ",C),print("- D : ",D),
    is(D=M)
    )

    Vous aimerez peut-être aussi