deljenja broja M ε sa brojem n. Ovu teoremu navodimo bez dokaza.

1.1 RSA algoritam RSA je algoritam koji primenjuje metodu šifriranja javnim ključ-em, te podržava šifriranje poruka i identifikaciju korisnika potre-bnu za osiguravanje autentičnosti. Dizajniran je 1977. godine, a autori su Ron Rivest, Adi Shamir i Leonard Adleman. Ovaj algoritam je svakako najpoznatiji i najviše primenjivan algoritam javnog ključa današnjice. U nastavku biće izloženi neophodni matematički pojmovi, zatim opšta šema načina RSA i zatim njegova analiza u pogledu vremenske složenosti i bezbednosti. Pogledajmo prvo matematičke činjenice. Teorema: Neka su p i q prosti brojevi, p q, i neka je n = p q i ϕ(n) = (p 1) (q 1). Neka je d bilo koji broj, 1 < d < ϕ(n), takav da je d uzajamno prost sa ϕ(n). Tada postoji jedinstven broj ε (1 < ε < ϕ(n)) takav da je d ε 1(mod ϕ(n)). Dalje, neka je M ma koji broj, 1 < M < n, i neka je C = M ε mod n, tako da je očigledno 1 < C < n. Tada važi M = C d mod n. Znamo da d ε 1(mod ϕ(n)) znači da je, prilikom deljenja broja d ε sa brojem ϕ(n), ostatak jednak 1. Znamo da M ε mod n jeste ostatak prilikom

deljenja broja M ε sa brojem n. Ovu teoremu navodimo bez dokaza. Sada je na redu ukupna šema načina RSA. Pod imo od osobe B - Bob. On želi da mu se šalju poruke, od strane raznih lica. Bob izabere p i q i odmah izračuna n = p q. On još izabere broj d da ispunjava napred navedeni uslov. Na kraju, on izračuna broj ε, kako je napred definisano. Bob na neki način objavi svakome n i ε koji predstavljaju njegov javni ključ. Isto tako objavi da on koristi RSA algoritam za prenošenje poruka tj. za kodiranje i dekodiranje. S druge strane, samo on zna vrednost d. To je njegova tajna. To je njegov tajni ključ. Sada će razna lica da šalju puno poruka Bobu, držeći se predložene šeme. Uzmimo da osoba A Ana želi da pošalje poruku M Bobu. Njena poruka predstavlja broj n napred naznačenim granicama za M. Svakako da ona kroz računarsku mrežu neće uputiti M, već će uputiti kodirani oblik poruke. Upravo, ona će uputiti C = M ε mod n. Prema tome, Bob će dobiti C. On će izračunati C d mod n = M. Tako će on moći da pročita šta mu ona kaže. Brojeve p i q treba izabrati tako da imaju po 100 dekadnih cifara ili više. Tako da broj n ima 200 dekadnih cifara ili više. Veći broj dekadnih cifara znači veću sigurnost. U nastavku ćemo videti da je čitava šema izvodljiva. Isto tako, videćemo da je šema i bezbedna. Drugim rečima, realno je pretpostaviti da nepoželjan učesnik u komunikaciji može da sazna C (on još naravno zna i Bobov javni ključ). Ipak, on neće moći da otkrije M. Dakle, tajnost poruke je obezbed ena. Takod e, poruka u kodiranom obliku C tokom svog puta kroz računarsku mrežu ne može da bude prepravljena, jer ona ima svoju nevidljivu unutrašnju strukturu; u rezultatu dekodiranja prepravljenog oblika Bob će dobiti neki tekst koji nema smisla. Med utim, treći učesnik može da pošalje Bobu poruku u kojoj piše ovo ti šalje Ana. Sredstva kojima se ovaj problem prevazilazi nazivaju se digitalni potpis, o kome je već bilo reči ranije. Još ostaje samo jedan problem. Neka npr. Marko želi da pošaje poruku Bobu. Kako će Marko biti siguran da je upravo (n,ε) Bobov javni ključ? Ovo je tzv. pitanje autentičnosti. I ovaj problem može da bude prevazid en: neka Bob objavi svoj javni ključ u malim oglasima u novinama, ili pomoću nekog ko već ima sistem.

Dalje, izvršićemo rekapitulaciju svih računskih radnji koje treba da budu izvršene, koje se pojavljuju. Naime, prilikom konstrukcije svog sistema, Bob treba da uradi tri radnje: 1. Da pronad e dva velika prosta broja p i q. Videćemo u nastavku da računska složenost ovog posla nije uopšte za zanemarivanje. A ipak posao može da bude urad en. Zadatak prim glasi: dat je prirodan broj, odgovoriti sa da ili ne na sledeće pitanje: da li je taj broj prost. Samo se napominje da za prvo pitanje postoji niz prihvatljivih rešenja. 2. Zatim treba da pronad e jedan broj d koji je uzajamno prost sa ϕ(n) = (p 1) (q 1). Postoje jednostavna rešenja za ovo pitanje. Znamo da se NZD dva broja može izračunati po Euklidovom algoritmu. Npr. kao rešenje d može da posluži bilo koji prost broj koji je veći od max(p,q). Savetuje se da d bude veliki broj. 3. Još treba da reši po nepoznatoj ε jednačinu d ε 1(mod ϕ(n)). Za ovo postoji efikasan algoritam. Možemo primeniti uopš-teni Euklidov algoritam: k, d ε + k ϕ(n) = 1. Prilikom slanja poruke, Ana treba da izračuna M ε mod n. Za ovo postoji efikasan algoritam. Opišimo ga u glavnim crtama: Izračunati M 2, M 4, M 8, M 16,...i onda pomožiti neke od izračunatih brojeva da izad e M ε. Ustvari: izračunati M 2 mod n, M 4 mod n, M 8 mod n, M 16 mod n,... i onda pomnožiti mod n neke od izračunatih brojeva da izad e M ε mod n. Za dekodiranje, Bob treba da izračuna C d mod n. Vidimo da je reč o istom zadatku koji treba da izvrši Ana. Neko ko želi da probije šifru treba da rastavi na proste činioce broj n. Bolje rečeno, ako on rastavi n onda je on probio šifru. Broj n je svima poznat. Videćemo da dosad nije pronad en algoritam koji bi bio makar i blizu efikasan za rešavanje sledećeg zadatka faktor : dat je prirodan broj, kako glasi njegovo rastavljanje u proizvod prostih brojeva. A moguće je da efikasan algoritam postoji (i da će biti efektivno konstruisan). Ipak, zasad takav algoritam nije pronad en. Dakle, sigurnost celog algoritma bazira se na toma što zasad nema upotrebljivog algoritma za zadatak faktor. Jedino

na tome sa bazira! Zaista, pretpostavimo da je Marija uspela da rastavi broj n na proste činioce odnosno da ona raspolaže sa p i q. Njoj tada ostaje još samo da reši po nepoznatoj d jednačinu d ε 1(mod ϕ(n)). Navedimo primer. Kroz primer se ilustruje kako se poruci pridružuje broj M i kako se dugačka poruka rastavlja na blokove, pa se onda blok po blok kodira. Razmotrimo slučaj p = 47, q= 59, n = p q = 47 59 = 2773, ϕ(n) = (p 1) (q 1) = 46 58 = 2668 i d = 157. Izračuna se da je tada ε = 17. Svakom slovu pridružuje se dvocifren broj: blanko = 00, A = 01, B = 02,...Z = 26, a jedan blok neka obuhvata dva slova; imamo u vidu da je kod nas n = 2773. Neka poruka glasi ITS ALL GREEK TO ME. Znači da se poruka prikazuje kao 0920 1900 0112 1200 0718 0505 1100 2015 0013 0500. Prvi blok M = 920 kodira se kao C = M ε mod n = 920 17 mod 2773 = 948. Drugi blok M = 1900 kodira se kao C = M ε mod n = 1900 17 mod 2773 = 2342, itd. Čitava poruka kodira se sa 0948 2342 1084 1444 2663 2390 0788 0774 0219 1655 (ovo se šalje preko računarske mreže). lako se možemo uveriti da dekodiranje radi: 948 157 mod 2773 = 920, itd. Koliko vremena treba da se reši zadatak faktor? Najbrži algoritam koji danas postoji za rastavljanje broja n na proste činioce potroši T(n) = exp ln n ln ln n = (lnn) ln n/ ln ln n koraka. U narednoj tabeli je dat broj koraka (operacija) potrebnih da se broj n rastavi po tom algoritmu, kao i vreme koje se traži ako jedna operacija troši jednu mikrosekundu, za razne dužine broja n tj. za razne slučajeve broja dekadnih cifara broja n.

cifara broj operacija vreme 50 1.4 10 10 3.9 časova 75 9.0 10 12 104 dana 100 2.3 10 15 74 godine 200 1.2 10 23 3.8 10 9 godina 300 1.5 10 29 4.9 10 15 godina 500 1.3 10 39 4.2 10 25 godina Koliko vremena treba da se reši zdatak prim? Poznat je algoritam (da se ispita da li je dati broj prost) čija je vremenska složenost T(n) = (lnn) cln ln ln n, za neko c > 0. Postoji algoritam koji potroši T(n) = (lnn) 1+ln ln ln n koraka, gde postoje neka ograničenja, na kojima se ovde nećemo zadržavati. cifara broj operacija vreme 50 1.9 10 5 0.2 sekunde 75 8.0 10 5 0.8 sekundi 100 2.3 10 6 2 sekunde 200 3.1 10 7 30 sekundi 300 1.5 10 8 2 minuta 500 1.1 10 9 18 minuta Nedavno je pronad en algoritam čija je složenost reda (lnn) 12 (2002. godine). Laički posmatrano, rekli bismo da je zadatak prim nešto lakši od zadatka faktor, kada uporedimo vremensku složenost algoritma za jedan i drugi zadatak. Složenost APR algoritma (algoritam za zadatak prim - Adleman, Pomerance i Rumely 1980. godine) manja je od složenosti Pollardovog algoritma (algoritam za zadatak faktor ). Formulom iskazano, važi relacija (lnn) c ln ln ln n (lnn) ln n/ln ln n kad n. Sledeće, u kriptoanalizi se ispituje da li predloženi sistem za šifrovanje ima slabih tačaka ili je pak (suprotno) neprobojan za napade. Pronad eni su uslovi koje treba poštovati da bi RSA sistem bio neprobojan: p i q treba da se razlikuju po dužini za nekoliko cifara; p 1 i q 1 treba da imaju velike proste činioce; NZD(p 1,q 1) treba da bude mali.

Ovaj naslov predstavlja nastavak prethodnog, tako da se oznake i ostalo prenose. Ipak ćemo ponoviti ukratko, vršeći pritom malu dogradnju oznaka. Bob je izabrao proste brojeve p i q, p = q, kao i broj d takav da je NZD(d,ϕ(n)) = 1, gde je n = p q i ϕ(n) = (p 1) (q 1), d < ϕ(n). On je još našao broj ε < ϕ(n) takav da ϕ(n) d ε 1. Vrednost ε je jedinstvena. Time je Bob definisao svoj sistem za kriptografiju. Naravno da se primenjuje način RSA. Njegov javni ključ je (n,ε), a njegov tajni ključ je broj d. Znamo da n i ε služe kada se vrši enkripcija, kada se originalna poruka M prevodi u kodirani oblik C koji će biti poslat kroz komunikacionu liniju. Znamo da d zajedno sa n služi za obrnuti proces, služi kada se vrši dekripcija: na osnovu C se izračuna M. Tako da Ana koja šalje poruku zna, pored n i ε, svoju poruku u nekodiranom obliku M i u kodiranom obliku C, a nepoželjni učesnik u komunikaciji zna samo n i ε i još eventualno može da sazna C, što mu je sve skupa nedovoljno, dok Bob očigledno zna sve podatke. Uvedimo oznake: n = n B, ε = ε B, d = d B. Razmotrimo skup S = S B = {1, 2,...,n 1}. Uočili smo da poruci odgovaraju dva algoritma: algoritam za enkripciju (primenjuje ga Ana) i zatim algoritam za dekripciju (primenjuje ga Bob). Uočili smo da su dva algoritma jedan drugom inverzni. Umesto o dva algoritma možemo govoriti o dve funkcije f i f 1. Dakle, neka bude f(m) = M ε mod n za svaki broj M takav da je 1 M n 1 tj. za svaki broj M S = S B. Pisaćemo svejedno f ili f B ili E B. Funkcija f je obostrano jednoznačna, (1-1) i na. Njen domen (njena oblast definisanosti) je skup S = {1, 2,...n 1}, kao što je već rečeno. Kao što je u prethodnom naslovu konstatovano, za inverznu funkciju f 1 važi formula f 1 (C) = C d mod n, za svaki broj C S. Funkcija f 1 je takod e 1-1 i na ; f 1 : S S. Pisaćemo svejedno f 1 ili f 1 B ili E 1 B ili D B. Ponovimo: E B je uobičajena radnja koju vrši onaj koji šalje poruku Bobu, enkripcija po Bobovom sistemu ili ključu; D B je uobičajena radnja koju vrši Bob kada dobije poruku (kada od nekog primi kodirani oblik poruke), dekripcija po Bobovom sistemu. Na osnovu izloženog znamo da je D B E B = I (kompozicija preslikavanja), kao uostalom i E B D B = I, gde je I identičko preslikavanje na skupu S. Drugačije zapisano, D B (E B (k)) = k kao i E B (D B (k)) = k za svako k S

(za svako 1 k n 1). Neka i Ana ima svoj ključ: javni deo n A i ε A i tajni deo d A, a definiše se naravno kao u opštem slučaju (slično kao za Boba). Slično se definišu i dve odgovarajuće funkcije: njena funkcija enkripcije E A i njena funkcija dekripcije D A. I jedna i druga funkcija definisane su na skupu S A = {k 1 k n A 1}. Te funkcije očito imaju slična svojstva kao dve funkcije čiji je indeks B. Posebno, važi jednakost D 1 A = E A kao uostalom i jednakost E 1 A = D A. Pogledajmo sada kako se vrši digitalni potpis. Najkraće kaza-no, važi jednakost E A (D B (E B (D A (M)))) = M. Šematski prikazano: Ana M D A S E B C, Bob C D B S E A M. Uvedena je oznaka S za potpisanu poruku (signed message). Objasnimo korake kao i njihov redosled rečima. Razlikujemo sledeća četiri koraka: S = D A (M), C = E B (S), S = D B (C), M = E A (S). Na svoju poruku M Ana prvo primeni svoju funkciju za dekripciju D A, čime ona dobija S, potpisani oblik poruke. Dakle, izvršila je radnju koju uobičajeno uradi kada ona od nekoga dobije poruku u kodiranom obliku (misli se: u slučaju RSA bez potpisa). Zatim ona kodira S saglasno Bobovom ključu. Tako ona dobija C, koji potom šalje preko mreže. Kada C pristigne kod Boba, onda on prvo izvrši dekripciju saglasno svom ključu. Tako je on odredio S. Najzad, Bob na S primeni enkripciju na Anin način. Drugim rečima, izvrši radnju koja je uobičajena prilikom slanja poruke Ani (misli se: u slučaju sistema RSA bez digitalnog potpisa). Sada Bob ima M i sve je završeno - može da pročita šta mu ona poručuje. Ispravnost predloženog postupka proizilazi iz ranije navedenih činjenica. Izvršićemo kraću analizu kako bi se uverili da su ranije na početku postavljeni zahtevi ispunjeni.

U okviru analize, Ana nije u mogućnosti da otkrije D B, kao što ni Bob nije stekao podatke po kojima bi mogao da otkrije njen tajni ključ d A. Time je izložena ukupna šema digitalnog potpisa prilikom kriptografije u slučaju RSA. Do kraja nam još ostaju dve dopune. Izvršimo malu dogradnju izložene šeme. Dakle, uočimo jednu malu slabost izložene šeme i zatim ćemo da otklonimo taj mali problem. Kako Bob zna ko mu je poslao poruku? Vidimo da on u četvrtom koraku upotrebljava funkciju E A. Dobro bi bilo da on preko mreže zajedno sa S dobije i neki tekst ovu poruku šalje Ana. Rešenje je da ulogu S preuzme tekst + S, sa očiglednim izmenama u celom algoritmu. Upravo, u drugom koraku Ana vrši enkripciju od tekst + S. Na kraju trećeg koraka Bob će raspolagati sa ovu poruku šalje Ana + S. Sada on zna da u poslednjem (četvrtom) koraku treba da primeni upravo funkciju E A na S. Kako je n A n B u opštem slučaju, pretpostavimo odred enosti radi da je n A > n B. Primetimo da dve funkcije imaju kao domen skup S A a dve funkcije imaju kao domen manji skup S B. Time se stvara jedan manji problem. Upravo, moguće je da se desi da bude D A n B odnosno da izraz E B (D A (M)) = E B (S) nema smisla, nije definisan. Rešenje je da tada treba da se S podeli na dva bloka, na blokove čija je veličina dozvoljena, čija je veličina < n B. Tek nakon toga treba izvršiti enkripciju, naravno blok po blok. Drugim rečima, tek nakon toga treba primeniti E B na pojedinačne blokove, a zatim poruku poslati. (Ili Ana šalje M i S = D A (M), a onda Bob računa E A (S) i dobija M. Kaže se da je Ana potpisala poruku M, a da Bob ili neko drugi vrši proveru, može da izvrši proveru.)