search
LoginSignup
11
Help us understand the problem. What are the problem?

posted at

updated at

RSA 暗号の正しさを徹底的に証明する

この記事の目的

RSA 暗号という暗号方式があります1。RSA 暗号は非常に強力であるため様々な場所で使われており、暗号方式の中でもかなり有名な部類に入ると思います。ちなみに "RSA" という名前は開発者三名の名前 (Ronald Linn Rivest, Adi Shamir, Leonard Max Adleman) からとられたそうです。

しかしそのアイデアにはなかなか高度な数学が用いられており、難解を極めます。そんなわけで、RSA 暗号の原理と正しさを私が納得できるまで徹底的に証明していきます。

証明の概略

  • ユークリッドの互除法、及びその拡張の正しさを証明する
  • フェルマーの小定理を証明する
  • 中国剰余定理を証明する
  • オイラーのトーシェント関数の性質を証明する
  • RSA 暗号の正しさと解読困難性を証明する

ユークリッドの互除法

ユークリッドの互除法は、与えられた二整数の最大公約数を求めるアルゴリズムです。名前からもわかる通りユークリッドというおじさんが考えました。

その主張は以下の通りになります。


定理:
$a, b \in \mathbb{Z}\ (b \neq 0)$ に対し、

\gcd(a, b) = \gcd(b, a \bmod b)

が成り立つ。以降 $\gcd(\cdot, \cdot)$ を上記の等式に従い再帰的に求めることで、そのうち $\gcd(d, 0)$ という形の式が得られる。言うまでもなく $\gcd(d, 0) = d$ なので、$d$ が求める解である。

証明:
$a, b \in \mathbb{Z}\ (b \neq 0)$ に対し、$a = bq + r$ かつ $0 \le r < |b|$ を満たす $q, r$ が一意に定まる(商と剰余の定義)。ここで $d_0$ を $b$ と $r$ の任意の公約数とする。このとき $d_0$ は $bq + r = a$ を割り切る。よって $b$ と $r$ の公約数は全て $a$ と $b$ の公約数である。次に $d_1$ を $a$ と $b$ の任意の公約数とする。このとき $d_1$ は $a - bq = r$ を割り切る。よって $a$ と $b$ の公約数は全て $b$ と $r$ の公約数である。以上より、$a$ と $b$ の公約数の集合と $b$ と $r$ の公約数の集合は等しい。よって $\gcd(a, b) = \gcd(b, r)$ である。

ここで $r$ の定義より $0 \le r < |b|$ である。従って $\gcd(\cdot, \cdot)$ の第二引数の絶対値は毎回かならず小さくなるため、高々 $|b|$ 回以内に $0$ になる2。よって $a$ と $b$ の最大公約数が求められた。(証明終)


プログラムとして実装するとこのようになります。

def euclidean_algorithm(a, b):
    return a if b == 0 else euclidean_algorithm(b, a % b)

プログラムで計算するときは上に書いた定義をそのまま再帰関数として定義するだけですが、手計算の時はこんな感じでやるとやりやすいです。例として $1071$ と $1029$ の最大公約数を求めます。

1071 = 1029 \times 1 + 42 \\
1029 = 42 \times 24 + 21 \\
42 = 21 \times 2 + 0 \\
\therefore \gcd (1071, 1029) = 21

拡張ユークリッドの互除法

このユークリッドの互除法をつよくした拡張ユークリッドの互除法というものがあります。拡張ユークリッドの互除法はベズーの補題の解を求めることができます。


定理:
$a, b \in \mathbb{Z}$(ただし $a, b$ のどちらか片方以上は $0$ でない整数)に対し、ベズーの等式

ax + by = \gcd(a, b)

には整数解が存在する。

証明:
表記の便宜のため $r_0 := a, r_1 := b$ とする。ユークリッドの互除法を用いて $\gcd(r_0, r_1)$ を計算する過程で以下のような等式群が得られたとする。

r_0 = r_1q_0 + r_2 \\
r_1 = r_2q_1 + r_3 \\
\vdots \\
r_{n - 1} = r_nq_{n - 1} + 0

この等式群は以下のように表せる。

\begin{pmatrix}
  r_0 \\
  r_1
\end{pmatrix}
=
\begin{pmatrix}
  q_0 & 1 \\
  1 & 0
\end{pmatrix}
\begin{pmatrix}
  r_1 \\
  r_2
\end{pmatrix} \\
\begin{pmatrix}
  r_1 \\
  r_2
\end{pmatrix}
=
\begin{pmatrix}
  q_1 & 1 \\
  1 & 0
\end{pmatrix}
\begin{pmatrix}
  r_2 \\
  r_3
\end{pmatrix} \\
\vdots \\
\begin{pmatrix}
  r_{n - 1} \\
  r_n
\end{pmatrix}
=
\begin{pmatrix}
  q_{n - 1} & 1 \\
  1 & 0
\end{pmatrix}
\begin{pmatrix}
  r_n \\
  0
\end{pmatrix}

すなわちこのようになる。

\begin{pmatrix}
  r_0 \\
  r_1
\end{pmatrix}
=
\begin{pmatrix}
  q_0 & 1 \\
  1 & 0
\end{pmatrix}
\begin{pmatrix}
  q_1 & 1 \\
  1 & 0
\end{pmatrix}
\cdots
\begin{pmatrix}
  q_{n - 1} & 1 \\
  1 & 0
\end{pmatrix}
\begin{pmatrix}
  r_n \\
  0
\end{pmatrix}

また、任意の $k\ (0 \le k < n)$ に対し

\begin{pmatrix}
  q_k & 1 \\
  1 & 0
\end{pmatrix}^{-1}
=
\begin{pmatrix}
  0 & 1 \\
  1 & -q_k
\end{pmatrix}

であるので、

\begin{pmatrix}
  0 & 1 \\
  1 & -q_{n - 1}
\end{pmatrix}
\begin{pmatrix}
  0 & 1 \\
  1 & -q_{n - 2}
\end{pmatrix}
\cdots
\begin{pmatrix}
  0 & 1 \\
  1 & -q_0
\end{pmatrix}
\begin{pmatrix}
  r_0 \\
  r_1
\end{pmatrix}
=
\begin{pmatrix}
  r_n \\
  0
\end{pmatrix}

となる。ここで

\begin{pmatrix}
  x & y \\
  * & *
\end{pmatrix}
:=
\begin{pmatrix}
  0 & 1 \\
  1 & -q_{n - 1}
\end{pmatrix}
\begin{pmatrix}
  0 & 1 \\
  1 & -q_{n - 2}
\end{pmatrix}
\cdots
\begin{pmatrix}
  0 & 1 \\
  1 & -q_0
\end{pmatrix}

と置くと、上式は

\begin{pmatrix}
  x & y \\
  * & *
\end{pmatrix}
\begin{pmatrix}
  r_0 \\
  r_1
\end{pmatrix}
=
\begin{pmatrix}
  r_n \\
  0
\end{pmatrix}\\
\therefore
r_0x + r_1y = r_n

となり、さらに $r_0 = a, r_1 = b, r_n = \gcd(r_0, r_1)$ であったので

ax + by = \gcd(a, b)

となる。よって、$x, y$ は条件を満たす解になっている。(証明終)


さらに明らかに以下が成り立ちます。

\begin{align}
  \begin{pmatrix}
    x & y
  \end{pmatrix}
  & =
  \begin{pmatrix}
    1 & 0
  \end{pmatrix}
  \begin{pmatrix}
    x & y \\
    * & * \\
  \end{pmatrix} \\
  & =
  \begin{pmatrix}
    1 & 0
  \end{pmatrix}
  \begin{pmatrix}
    0 & 1 \\
    1 & -q_{n - 1}
  \end{pmatrix}
  \begin{pmatrix}
    0 & 1 \\
    1 & -q_{n - 2}
  \end{pmatrix}
  \cdots
  \begin{pmatrix}
    0 & 1 \\
    1 & -q_0
  \end{pmatrix}
\end{align}

よって拡張ユークリッドの互除法はこのように実装できます。

def extended_euclidean_algorithm(a, b):
    if b == 0:
        return 1, 0
    else:
        q = a // b
        x, y = extended_euclidean_algorithm(b, a % b)
        return y, x - y * q

さてかなりの労力を割いて拡張ユークリッドの互除法の正しさを証明しましたが、それはモジュラ逆数を求めるためです。


定義:
合同式 $xy \equiv 1 \pmod{m}$ が満たされるとき、$y$ を「法 $m$ における $x$ のモジュラ逆数」といい、

x^{-1} \pmod{m}

と表記する。


要するに「掛け算したら $1$ と等しくなる(合同になる)」から逆数と呼ばれるわけです。これが拡張ユークリッドの互除法で求まることを証明します。


証明:
$a, m$ は互いに素である、すなわち $\gcd(a, m) = 1$ であるとする。このときベズーの補題より、不定方程式 $ax + my = 1$ には解が存在する。このとき

ax + my = 1 \\
\therefore ax + my \equiv 1 \pmod{m} \\
\therefore ax \equiv 1 \pmod{m}

が成り立つので、モジュラ逆数の定義より $x = a^{-1} \pmod{m}$ である。(証明終)


ここからわかるように、「$a$ と $m$ が互いに素であること」は「$a^{-1} \pmod{m}$ が定義できること」の十分条件です。実際には必要条件であることも証明できます。


証明:
合同式の定義より、$ax \equiv 1 \pmod{m}$ ならば $ax - 1$ は $m$ の倍数である。つまり適当な整数 $k$ が存在し $ax - 1 = km$ が満たされる。ここで $g := \gcd(a, m)$ とし、$a' := \frac{a}{g}, m' := \frac{m}{g}$ とする。これを代入すると $ga'x - 1 = kgm' \therefore g(a'x - km') = 1$ となる。この等式が成り立つには少なくとも $g = 1$ でなければならないので、「$a$ と $m$ が互いに素であること」は「$a^{-1} \pmod{m}$ が定義できること」の必要条件である。(証明終)


結局「$a$ と $m$ が互いに素であること」は「$a^{-1} \pmod{m}$ が定義できること」と同値ということになります。よってモジュラ逆数を求める関数はこのように実装できます。

# 本当は拡張ユークリッドの互除法を計算するときに一緒に最大公約数も求めた方が
# 計算も減ってよいのですが、各関数の実装が煩雑になるのを避けるため、
# 今回はそのような実装は行いません。

def euclidean_algorithm(a, b):
    return a if b == 0 else euclidean_algorithm(b, a % b)

def extended_euclidean_algorithm(a, b):
    if b == 0:
        return 1, 0
    else:
        q = a // b
        x, y = extended_euclidean_algorithm(b, a % b)
        return y, x - y * q

def modular_inverse(a, m):
    if euclidean_algorithm(a, m) != 1:
        raise Exception(f'{a}^-1 mod {m} is undefined')
    return extended_euclidean_algorithm(a, m)[0]

フェルマーの小定理

フェルマーの小定理はその名の通りフェルマーというおじさんに由来します。フェルマーの最終定理で有名な人ですね。

フェルマーの小定理は以下を主張します。


定理:
$p$ が素数で $a$ と $p$ が互いに素であるとき、

a^{p - 1} \equiv 1 \pmod{p}

が成り立つ。

証明:
集合 $S, S'$ を以下のように定める。

S := \{ 1, 2, \ldots, p - 1 \} \\
S' := \{ a, 2a, \ldots, (p - 1)a \}

ここで $S$ の要素が全て $p$ を法として互いに非合同であることは言うまでもないが、同様に $S'$ の要素も全て $p$ を法として互いに非合同である。なぜならもし $S'$ のある異なる要素 $ka, la\ (k \neq l)$ について $ka \equiv la \pmod{p}$ であるならば、$a, p$ が互いに素であることから両辺を $a$ で割って $k \equiv l \pmod{p}$ となり、かつ $k, l$ はともに $p$ 未満であることから $k = l$ となり、矛盾するためである。

このことから $S$ と $S'$ はともに「$p$ で割ったあまりが $1$ である数」、「$p$ で割ったあまりが $2$ である数」・・・「$p$ で割ったあまりが $p-1$ である数」のみをすべて含むので、$S$ の要素の総乗と $S'$ の要素の総乗は $p$ を法として合同である。よって以下が成り立つ。

(p - 1)! \equiv a^{p - 1} (p - 1)! \pmod{p}

$p$ は素数であるから $p$ と $(p - 1)!$ は互いに素であり、従って両辺を $(p - 1)!$ で割って $a^{p - 1} \equiv 1 \pmod{p}$ を得る。(証明終)


これでフェルマーの小定理も証明できました。お次は中国剰余定理です。

中国剰余定理

中国剰余定理は、整数の剰余に関する定理です。南北朝時代の中国で書かれた算術書「孫子算経」に由来するため、このような名前が付いたそうです。定理の名前に国名が入っているのは珍しいですね。

中国剰余定理は以下を主張します。


定理:
整数 $m_1, m_2, \ldots, m_n$ がすべて互いに素ならば、任意の整数 $a_1, a_2, \ldots, a_n$ に対し

x \equiv a_1 \pmod{m_1} \\
x \equiv a_2 \pmod{m_2} \\
\vdots \\
x \equiv a_n \pmod{m_n}

を満たす整数 $x$ が $m_1m_2 \cdots m_n$ を法として一意に定まる。

証明:
まず各 $k\ (1 \le k \le n)$ について

M_k := \frac{m_1m_2 \cdots m_n}{m_k}

とする。このとき各 $m$ が全て互いに素であることから、任意の $k$ について $m_k$ と $M_k$ も互いに素である。従って $M_k^{-1} \pmod{m_k}$ が定義できるのでこれを $t_k$ と置く。このとき

x := a_1M_1t_1 + a_2M_2t_2 + \cdots + a_nM_nt_n

は中国剰余定理に対する解になっている。

例として $x \equiv a_1 \pmod{m_1}$ が満たされるかを確認する。$x$ の第 $2$ 項から第 $n$ 項は全て $m_1$ の倍数であるので、$x \equiv a_1 M_1 t_1 \pmod{m_1}$ である。さらに各 $t_k$ の定義より $M_1 t_1 \equiv 1 \pmod{m_1}$ なので、$x \equiv a_1 \pmod{m_1}$ である。同じように全ての $k$ に対し $x \equiv a_k \pmod{m_k}$ を証明できる。

次にこの $x$ が法 $m_1m_2 \cdots m_n$ のもとで一意に定まることを証明する。$x, y$ をそれぞれ中国剰余定理に対する解とすると、各 $k$ に対し $x - y \equiv 0 \pmod{m_k}$ が成り立つ。従って $x - y$ は各 $k$ に対し $m_k$ で割れる。また、$m_1, m_2, \ldots, m_n$ はすべて互いに素なので、従って $x - y$ は $m_1m_2 \cdots m_n$ で割れる。よって $x \equiv y \pmod{m_1m_2 \cdots m_n}$である。(証明終)


ちなみにこの証明はガウスという数学つよつよおじさんの証明だそうです。3

ガウスの証明には解の構成法まで書いてあるので、そのまま簡単に実装することができます。

import math

def euclidean_algorithm(a, b):
    return a if b == 0 else euclidean_algorithm(b, a % b)

def extended_euclidean_algorithm(a, b):
    if b == 0:
        return 1, 0
    else:
        q = a // b
        x, y = extended_euclidean_algorithm(b, a % b)
        return y, x - y * q

def modular_inverse(a, m):
    if euclidean_algorithm(a, m) != 1:
        raise Exception(f'{a}^-1 mod {m} is undefined')
    return extended_euclidean_algorithm(a, m)[0]

def chinese_remainder_theorem(*equiv_to):
    """
    @param equiv_to 可変個のタプル(合同な値, 法)
    """
    M = math.prod([m for _, m in equiv_to])
    return sum([a * M // m * modular_inverse(M // m, m) for a, m in equiv_to])

これで中国剰余定理も証明できました。最後にオイラーのトーシェント関数を見ていきます。

オイラーのトーシェント関数

オイラーのトーシェント関数もやはりオイラーというおじさんに由来します。

オイラーのトーシェント関数の定義を確認した後、その計算法について見ていきますが、その前に簡単な補題を証明します。


補題:
$p \equiv q \pmod{m}$ であるとき、$p$ が $m$ と互いに素ならば $q$ も $m$ と互いに素である。

証明:
$p, m$ が互いに素であることから $p^{-1} \pmod{m}$ が定義できる。よって $1 \equiv q p^{-1} \pmod{m}$ となる。このときモジュラ逆数の定義より $q^{-1} \pmod{m} = p^{-1}\pmod{m}$ である。よって $q^{-1} \pmod{m}$ が定義されることから、$q$ と $m$ は互いに素である。(証明終)


それではオイラーのトーシェント関数について見ていきます。


定義:
オイラーのトーシェント関数 $\varphi(n)$ は、$n$ 以下の正整数で $n$ と互いに素なものの個数を表す。

定理:
素数 $p$ と任意の正整数 $k$ に対し

\varphi(p^k) = p^k - p^{k - 1}

が成り立つ。

証明:
$p$ は素数であるので、$p$ と互いに素でないことは $p$ の倍数であることと同値である。また、$p^k$ 以下の正整数の中に $p$ の倍数は $p, 2p, \ldots, p^{k - 1}p$ の $p^{k - 1}$ 個存在するため、$p^k$ 以下の正整数の中に $p$ と互いに素であるものは $p^k - p^{k - 1}$ 個存在する。(証明終)

定理:
正整数 $m, n$ が互いに素であるとき

\varphi(mn) = \varphi(m)\varphi(n)

が成り立つ。

証明:
集合 $M$ を $m$ 以下で $m$ と互いに素な正整数の集合とする。同様に集合 $N$ を $n$ 以下で $n$ と互いに素な正整数の集合とする。

M = \{ m_1, m_2, \ldots, m_{\varphi(m)} \} \\
N = \{ n_1, n_2, \ldots, n_{\varphi(n)} \}

$m, n$ は互いに素であるので、中国剰余定理より任意の $k, l\ (1 \le k \le |M|, 1 \le l \le |N|)$ に対し

\gamma_{k, l} \equiv m_k \pmod{m} \\
\gamma_{k, l} \equiv n_l \pmod{n}

を満たす $\gamma_{k, l}$ が $mn$ を法として一意に定まる。すなわち $1 \le \gamma_{k, l} \le mn$ という条件を課せば $\gamma_{k, l}$ はただ一つ存在する。また定義より $m_k$ が $m$ と互いに素であることと、$\gamma_{k, l} \equiv m_k \pmod{m}$ であることと、上記「補題」より $\gamma_{k, l}$ は $m$ と互いに素である。同様にして $n$ とも互いに素である。したがって $mn$ とも互いに素である。

また、逆に $\gamma\ (1 \le \gamma \le mn)$ が $mn$ と互いに素であるならば $\gamma$ に対し上の連立合同式を満たす $M, N$ の要素は一意に定まる。まず $\gamma$ が $mn$ と互いに素であるならば $\gamma$ は $m, n$ のそれぞれとも互いに素であるので、「補題」より $\gamma \bmod m$ と $\gamma \bmod n$ はそれぞれ $m, n$ と互いに素である。また加えて $\gamma \bmod m$ と $\gamma \bmod n$ はそれぞれ $m, n$ 以下であるので、これらはそれぞれ $M, N$ の要素である。このとき $M, N$ はそれぞれ $m, n$ 以下の正整数しか含まないことを考えると $M, N$ の要素はそれぞれ $m, n$ を法として互いに非合同であるので、$\gamma$ に対し要求を満たす $M, N$ の要素はそれぞれ $\gamma \bmod m $ と $\gamma \bmod n$ のみで全てであることがわかる。

従って $mn$ 以下で $mn$ と互いに素であるような正整数の集合と $M \times N$ は互いに他方に対し可逆な全域写像を持つが、このことは二者の間に全単射が存在することと同値である。よって二者の大きさは等しい。よって $mn$ 以下で $mn$ と互いに素であるような正整数は $|M \times N| = \varphi(m)\varphi(n)$ 個存在する。(証明終)

定理:
正整数 $a$ が $p_1^{e_1} p_2^{e_2} \cdots p_n^{e_n}$ と素因数分解されるとき、

\varphi(a) = a \left(1 - \frac{1}{p_1} \right) \left(1 - \frac{1}{p_2} \right) \cdots \left(1 - \frac{1}{p_n} \right)

が成り立つ。

証明:
$p_1^{e_1}$ と $p_2^{e_2} \cdots p_n^{e_n}$ は互いに素である。従って

\begin{align}
  \varphi(a) & = \varphi(p_1^{e_1} p_2^{e_2} \cdots p_n^{e_n}) \\
  & = \varphi(p_1^{e_1}) \varphi(p_2^{e_2} \cdots p_n^{e_n})
\end{align}

である。以下再帰的に

\varphi(a) = \varphi(p_1^{e_1}) \varphi(p_2^{e_2}) \cdots \varphi(p_n^{e_n})

である。従って

\begin{align}
  \varphi(a) & = \varphi(p_1^{e_1}) \varphi(p_2^{e_2}) \cdots \varphi(p_n^{e_n}) \\
  & = (p_1^{e_1} - p_1^{e_1 - 1}) (p_2^{e_2} - p_2^{e_2 - 1}) \cdots (p_n^{e_n} - p_n^{e_n - 1}) \\
  & = p_1^{e_1} \left(1 - \frac{1}{p_1} \right) p_2^{e_2} \left(1 - \frac{1}{p_2} \right) \cdots p_n^{e_n} \left(1 - \frac{1}{p_n} \right) \\
  & = p_1^{e_1} p_2^{e_2} \cdots p_n^{e_n} \left(1 - \frac{1}{p_1} \right) \left(1 - \frac{1}{p_2} \right) \cdots \left(1 - \frac{1}{p_n} \right) \\
  & = a \left(1 - \frac{1}{p_1} \right) \left(1 - \frac{1}{p_2} \right) \cdots \left(1 - \frac{1}{p_n} \right)
\end{align}

となる。(証明終)


さて、それでは満を持して本題である RSA 暗号に入ります。

RSA 暗号

RSA 暗号での暗号化・復号は以下のように行われます。


定義:
$p, q$ をそれぞれ異なる素数とし、$n := p q$ とする。さらに $e$ を $\varphi(n)$ 以下4で $\varphi(n)$ と互いに素であるような適当な正整数とする。また、$e$ と $\varphi(n)$ が互いに素であることから $e^{-1} \pmod{\varphi(n)}$ が定義できるので、これを $d$ とする。RSA 暗号は $\{e, n\}$ を公開鍵、$d$ を秘密鍵として用いる。

$n$ 未満の平文 $a$ を暗号化して暗号文 $b$ を得るには以下のようにする。

b = a^e \bmod{n}

また、暗号文 $b$ を復号して平文 $a$ を得るには以下のようにする。

a = b^d \bmod{n}

それでは RSA 暗号の復号が常に正しく行われることを証明します。つまり、$(a^e)^d \bmod n$ が $a$ に戻ることを証明します。


証明:
まず $a$ が $p$ の倍数であると仮定する。このとき $(a^e)^d$ も明らかに $p$ の倍数であるので、

(a^e)^d \equiv 0 \equiv a \pmod{p}

となる。

次に $a$ が $p$ の倍数でないと仮定する。$p$ は素数であるので、この条件は $a$ と $p$ が互いに素であることと同値である。

$d$ の定義より $e d \equiv 1 \pmod{\varphi(n)}$ なので、適当な整数 $k$ を用いて $ed - 1 = k\varphi(n)$ と表せる。さらに $p, q$ が素数であることと $n = pq$ であることから $\varphi(n) = (p - 1)(q - 1)$ が成り立つので、$ed - 1 = k(p - 1)(q - 1)$ と表せる。よって以下の式が成り立つ。

\begin{align}
  (a^e)^d & = a^{e d} \\
  & = a^{e d - 1} a \\
  & = a^{k(p - 1)(q - 1)} a \\
  & = (a^{p - 1})^{k(q - 1)} a \\
  & \equiv 1^{k(q - 1)} a \\
  & \equiv a \pmod{p}
\end{align}

従って $(a^e)^d$ は $a$ が $p$ の倍数であるか否かにかかわらず、常に $p$ を法として $a$ と合同である。同様に $q$ を法としても $a$ と合同である。よって $(a^e)^d - a$ は $p$ の倍数であるとともに $q$ の倍数であり、さらに $p, q$ は互いに素なので、$(a^e)^d - a$ は $pq = n$ の倍数である。よって $(a^e)^d \equiv a \pmod{n}$ である。定義より平文 $a$ は $n$ 未満であったので、$(a^e)^d \bmod{n}$ は $a$ に一致する。(証明終)


RSA 暗号の安全性

さてめでたく RSA 暗号がきちんと復号できることが証明できました。それでは安全性はどうなのでしょうか。RSA 暗号を解読する方法としては二つ思いつきます。

  1. 暗号化することで暗号文と一致する文を見つけ出す。つまり、$x^e \bmod n$ が暗号文と等しくなるような $x$ を計算する。
  2. 公開鍵から秘密鍵を割り出す。

まず一つ目の方法ですが、これは離散対数問題として知られています。今まで見てきたとおり RSA 暗号では暗号化にも復号にも「冪の剰余」を計算します。この「冪の剰余」は別名離散冪乗とも呼ばれます。その逆関数なので離散対数というわけですね。この離散対数を計算するのは非常に難しいことが知られています。

では公開鍵から秘密鍵を割り出すのはどうでしょうか。公開鍵を $\{e, n\}$ として、秘密鍵 $d$ の定義は $e^{-1} \pmod{\varphi(n)}$ でした。よって、秘密鍵を求めるのがどれくらい難しいかは $\varphi(n)$ を求めるのがどれくらい難しいかにかかっています。任意の正整数について $\varphi(n)$ が計算できる方法は上に書いた通りですが、この方法を実行するには $n$ の素因数が全てわかる必要があります。従って、$p, q$ が十分に大きいとき $\varphi(n)$ を求めるのは非常に難しくなります。

よって、どちらの方法をとるにしても非常に難しい問題を解く必要があります。逆に言えば上の二つのどちらかでも高速に解く方法が発見されてしまえば、RSA 暗号の安全性は瓦解します。

RSA 暗号の高速化

さっき見た通り RSA 暗号は暗号文 $b$ に対し $b^d \pmod{n}$ で復号できるのですが、ここでさっきも出てきた中国剰余定理を用いるとこの計算を高速化することができます。


定理:
RSA 暗号の生成に用いた素数を $p, q$、秘密鍵を $d$、暗号文を $b$ とする。ここで

d_p := d \bmod (p - 1) \\
d_q := d \bmod (q - 1)

と定義すると、

x \equiv b^{d_p} \pmod{p} \\
x \equiv b^{d_q} \pmod{q}

を満たす $x$ は $pq$ を法として平文 $b^d$ に合同である。

証明:
まず $b$ が $p$ の倍数であると仮定する。このとき言うまでもなく

b^d \equiv 0 \equiv b^{d_p} \pmod{p}

である。

次に $b$ が $p$ の倍数でないと仮定する。$p$ は素数であるので、この条件は $b$ と $p$ が互いに素であることと同値である。

$d_p$ の定義より $d - d_p = k (p - 1)$ となる整数 $k$ が存在するので、以下が成り立つ。

\begin{align}
  b^d & = b^{(d - d_p)} b^{d_p} \\
  & = b^{k (p - 1)} b^{d_p} \\
  & = (b^{p - 1})^k b^{d_p} \\
  & \equiv 1^k b^{d_p} \\
  & \equiv b^{d_p} \pmod{p}
\end{align}

よって、$b^{d_p}$ は $b$ が $p$ の倍数であるか否かにかかわらず $p$ を法として $b^d$ と合同である。同じことが $q$ についてもいえるので、中国剰余定理より

x \equiv b^{d_p} \pmod{p} \\
x \equiv b^{d_q} \pmod{q}

を満たす $x$ は $pq$ を法として $b^d$ と合同である。(証明終)


定義より平文は $pq = n$ 未満だったので、上記のような $x$ を求めてそれを $pq$ で割った剰余を求めれば平文が得られます。$d_p, d_q$ は $p, q$ それぞれより小さくなるのでこっちの方が計算が速くなるそうです。

最後に実装してテストしてみます。

実装

import math

def euclidean_algorithm(a, b):
    return a if b == 0 else euclidean_algorithm(b, a % b)

def extended_euclidean_algorithm(a, b):
    if b == 0:
        return 1, 0
    else:
        q = a // b
        x, y = extended_euclidean_algorithm(b, a % b)
        return y, x - y * q

def modular_inverse(a, m):
    if euclidean_algorithm(a, m) != 1:
        raise Exception(f'{a}^-1 mod {m} is undefined')
    return extended_euclidean_algorithm(a, m)[0]

def chinese_remainder_theorem(*equiv_to):
    """
    @param equiv_to 可変個のタプル(合同な値, 法)
    """
    M = math.prod([m for _, m in equiv_to])
    return sum([a * M // m * modular_inverse(M // m, m) for a, m in equiv_to])

def rsa_generate_key(p, q):
    """
    @todo 素数p, qをこの関数内で自動で生成するようにする
    """
    n = p * q
    phi_n = (p - 1) * (q - 1)
    # ビット長が短くてハミング重みが小さいeだと効率がいいらしい。
    # だから65537がよく用いられる。
    e = 65537
    # dが負になると正常に動作しない場合がある。
    # Pythonでは剰余演算子の評価結果の符号は右側引数のものと等しくなるので、
    # これで必ず正のdが得られる。
    d = modular_inverse(e, phi_n) % phi_n
    return e, n, d

def rsa_encrypt(plain_text, e, n):
    return pow(plain_text, e, n)

def rsa_decrypt(cipher_text, d, n):
    return pow(cipher_text, d, n)

def rsa_decrypt_with_crt(cipher_text, d, p, q):
    dp, dq = d % (p - 1), d % (q - 1)
    return chinese_remainder_theorem(
        (pow(cipher_text, dp), p),
        (pow(cipher_text, dq), q)
    ) % (p * q)

p, q = 599, 733
plain_text = 492
e, n, d = rsa_generate_key(p, q)
cipher = rsa_encrypt(plain_text, e, n)
print(rsa_decrypt(cipher, d, n))
print(rsa_decrypt_with_crt(cipher, d, p, q))
492
492

そんなわけで無事ちゃんと計算できていました。

課題

今の実装では RSA 暗号の使用者が適当な素数を決めて入力しなければなりません。これでは不便すぎるので、適当な大きさの素数を自動で生成する仕組みが必要です。実際にはミラー–ラビン素数判定法などの様々な方法で素数が生成されているようです。また余力のある時に調べてみたいと思います。

EDIT: angel_p_57さんから情報をいただきました。FIPS186-4(デジタル署名のための連邦情報処理標準)に素数判定・素数生成についての情報がまとめられています。全編英語でページ数も多いのでなかなか手ごわそうですね...

また、RSA 暗号の原論文1では上の説明の通り $\varphi(n)$ を計算に用いるのですが、現在ではカーマイケル関数 $\lambda(n)$ を用いるのが一般的なようです。カーマイケル関数 $\lambda(n)$ は $n$ と互いに素な全ての正整数 $a$ に対し $a^m \equiv 1 \pmod{n}$ が成り立つような最小の $m$ を返してくれる関数です。こちらもまたいつか調べたいと思います。

  1. R. L. Rivest, A. Shamir, L. Adleman. A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Commun. ACM, Vol. 21, No. 2, p. 120–126, 1978. 2

  2. 実際には「$a, b$ のうち小さい方を十進表記したときの桁数を $m$ として、$5m$ 回以内に計算が終わる」ことが証明できます(ラメの定理)。

  3. Johann Carl Friedrich Gauß, Disquisitiones Arithmeticae. Gerhard Fleischer, 1801.

  4. $e$ が $\varphi(n)$ 超であったとしても計算自体は正しく行われます。これは計算時間を短くするための取り決めです。(参考1)(参考2)

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
11
Help us understand the problem. What are the problem?