SALAUSMENETELM¨AT (801346A) 4 op, 2 ov

Luentorunko ja harjoitustehtävät
SALAUSMENETELMÄT (801346A) 4 op, 2 ov
Keijo Väänänen

I JOHDANTO
Salakirjoitukset kurssilla tarkastelemme menetelmiä, jotka mahdollistavat tiedon siirtämisen
tai tallentamisen niin, että ainoastaan tarkoitettu vastaanottaja saa viestin
selville. Lähettäjän tehtävänä on salakirjoittaa (encrypt) selväkielinen teksti (plaintext)
salakirjoitukseksi (cryptotext) ja vastaanottajan tehtävänä puolestaan avata (decrypt)
salakirjoitus selväkieliseksi tekstiksi. Menettelyn tulee olla sellainen, että mahdollinen
salakirjoituksen sieppaaja ei kykene murtamaan sitä (ts. selvittämään selväkielistä
tekstiä) ainakaan nopeasti.
Aikaisemmin salakirjoituksia tarvittiin lähinnä sotilaallisiin tai diplomaattisiin tarkoituksiin.
Viimeisten runsaan 20 vuoden aikana tietokoneisiin perustuvan tiedonvälityksen
yleistyminen on merkinnyt sitä, että salausmenetelmiä tarvitaan päivittäin hyvin
monilla muillakin yhteiskunnan alueilla (pankit, yritykset ym.).
Esimerkki (Caesar). Salakirjoitus tehdään siirtämällä kirjaimia k askelta eteenpäin,
esim k = 3 antaa seuraavaa:
ABCDEF GHIJKLMNOP QRST UV XY ZÄ Ö
↓
DEFGHIJKLMNOPQRSTUVXYZÄ ÖABC
selväkielinen teksti
salakirjoitus
salakirjoitus
avattuna selväkieliseksi
: ALOIT AMME
↓
: DORLXDPPH
: KHOS
↓
: HELP
Tämä salakirjoitus on helppoa murtaa kokeilemalla eri siirtovaihtoehdot (26 kpl).
Selväkielinen teksti ja salakirjoitettu teksti kirjoitetaan käyttämällä jotakin aakkostoa
(kirjaimet, numerot, muut merkit). Jotta matemaattisia menetelmiä voitaisiin käyttää,
korvataan kirjaimet usein numeroilla, esimerkiksi A =0, B =1, ..., Ö =26. Selväkielinen
teksti ja salakirjoitus jaetaan viestiyksikköihin ja salaaminen tehdään yksikkö kerrallaan.
Viestiyksikkö voi olla kirjain (kuten äskeisessä esimerkissä), kirjainpari tai tietyn
pituinen kirjainjono. Salakirjoittamiseen käytetään yleensä bijektiivistä funktiota
E : P → C, missä
P = {selväkieliset viestiyksiköt} = {m},
C = {salakirjoitetut viestiyksiköt} = {c}.
Avaaminen tapahtuu tällöin käänteisfunktion D = E −1 avulla.
Salakirjoitusjärjestelmään kuuluvat siis: (i) P , (ii) C, (iii) avainjoukko K = {k}, missä
kukin avain k määrää salausfunktion E k ja avausfunktion D k , jolle D k (E k (m)) = m.
Lähettäjä tuntee ennakolta E k :n ja vastaanottaja D k :n, jolloin järjestelmä toimii seuraavan
kaavion mukaisesti.

Hyvältä salakirjoitusjärjestelmältä edellytetään:
(i) E k (m) jaD k (c) voidaan laskea helposti.
(ii) Jollei tunneta D k :ta, niin m ei selviä c:stä (ts. sieppaajalla on vaikea tehtävä).
Kaikissa perinteisissä salakirjoitusjärjestelmissä D k saadaan välittömästi E k :sta (ei tosin
aina niin helposti kuin äskeisessä esimerkissä). Näin ollen lähettäjän ja vastaanottajan
tulee sopia jollakin tavalla avaimesta ja pitää tämä sopimuksensa salassa muilta. Tästä
syystä näistä järjestelmistä käytetään nimitystä yksityisen avaimen salakirjoitus. Runsaat
20 vuotta sitten kehitettiin ensimmäiset julkisen avaimen järjestelmät, joille on
ominaista se, että E k ei paljasta D k :ta (ainakaan helposti). Nämä perustuvat ns. yksisuuntaisiin
funktioihin (one-way function) f, joiden käänteisfunktiota on käytännössä
mahdotonta (tai ainakin hyvin vaikeaa) määrittää.
Useimmat käytössä olevat salakirjoitusmenetelmät perustuvat lukuteorian tuloksiin.
Tästä syystä aloitamme kurssin kertaamalla eräitä lukuteorian alkeiden tuloksia.
II LUKUTEORIAA
1. Jakoalgoritmi ja eri kantaiset esitykset
Luvuista puhuttaessa tarkoitamme seuraavassa luonnollisia lukuja N = {0, 1, 2, ...} tai
kokonaislukuja Z = {0, ±1, ±2, ...}.
Lause 1 (jakoalgoritmi). Jos a, b ∈ Z,b ≠0, niin on olemassa sellaiset yksikäsitteiset
q, r ∈ Z, että
a = qb + r, 0 ≤ r

Merkitsemme 319 = 477 8 . Vastaavasti esimerkiksi 251 6 =2· 6 2 +5· 6+1=103. Jos
siis kantaluku b ≠10, merkitsemme sen näkyviin alaindeksinä.
10-järjestelmän ohella erityisen tärkeä on 2-kantainen eli binäärijärjestelmä, jota
tietokoneet ymmärtävät.
2. Jaollisuus
Määritelmä. Jos a, b ∈ Z ja on olemassa sellainen c ∈ Z, että a = bc, niin b on a:n
tekijä (tai a on jaollinen b:llä). Tällöin merkitään b|a.
Jaollisuudella on seuraava ominaisuus.
Lause 2. Jos n|a ja n|b, niin n|(ra + sb) ∀ r, s ∈ Z.
Seurauksia: 1) n|a ja n|b ⇒ n|(a ± b),
2) n|a ⇒ n|ra ∀ r ∈ Z,
3) n|a ja a|b ⇒ n|b.
Jokaisella a ∈ Z on aina ns. triviaalit tekijät ±1 ja±a.
Määritelmä. Luku p ≥ 2 on alkuluku, jos sillä on vain triviaalit tekijät (±1 ja±p).
Alkulukuja on äärettömän monta ja kaikki positiiviset kokonaisluvut voidaan esittää
oleellisesti yksikäsitteisesti niiden avulla, sillä on voimassa
Lause 3 (aritmetiikan peruslause). Jokainen positiivinen kokonaisluku ≥ 2 voidaan
esittää järjestystä vaille yksikäsitteisesti alkulukujen tulona.
Seurauksia: 1) Jos p on alkuluku ja p|ab, niin p|a tai p|b.
2) Jos r|a ja s|a ja luvuilla r ja s ei ole yhteisiä alkulukutekijöitä, niin rs|a.
3) Jos tunnetaan luvun esitys alkulukujen tulona (∃ L3 perusteella), niin
positiivisten tekijöiden lukumäärä on helppo laskea. Esimerkiksi
4200 = 2 3·3·52·7, joten tekijöiden lukumäärä on (3+1)(1+1)(2+1)(1+1)=48.
Määritelmä. Olkoot a, b ∈ Z ja ainakin toinen ≠ 0. Lukujen a ja b suurin yhteinen
tekijä syt(a, b) on suurin luonnollinen luku, joka on sekä a:n että b:n tekijä.
Nähdään helposti, että d>0onsyt(a, b), jos
1) d|a ja d|b,
2) n|a ja n|b ⇒ n|d.
Jos a:n ja b:n alkutekijäesitykset tunnetaan, niin on helppoa antaa syt(a, b). Esimerkiksi
4200 = 2 3 · 3 · 5 2 · 7 ja 10780 = 2 2 · 5 · 7 2 · 11, joten
syt(4200, 10780) = 2 2 · 5 · 7 = 140.
Suuria lukuja tarkasteltaessa niiden alkutekijäesitysten löytäminen on vaikeaa. Kuitenkin
on olemassa menettely, ns. Eukleideen algoritmi, jonka avulla syt löytyy helposti. Kyse
on jakoalgoritmin toistuvasta soveltamisesta. Voimme olettaa, että a ≥ b>0.

Eukleideen algoritmi:
a = q 1 b + r 1 , 0

Tällöin ā = ¯r, joten jokainen kokonaisluku kuuluu täsmälleen yhteen luokista
¯0, ¯1, ¯2, ..., n − 1. Nämä jäännösluokat ovat erillisä, joten jäännösluokkia (mod n) onn
kpl. Käytämme niiden joukolle merkintää Z n , joten edellisen mukaan
Z n = {¯0, ¯1, ¯2, ...n − 1}.
Ominaisuuteen 2) nojautuen voimme määritellä jäännosluokkien (mod n) summan ja
tulon asettamalla
ā + ¯b = a + b, ā¯b = ab.
Asettamalla lisäksi −ā = −a ja ā − ¯b =ā +(−¯b), voimme suorittaa jäännösluokilla
(mod n) yhteen-, vähennys- ja kertolaskuja. Lisäksi joukosta Z tutut laskusäännöt ovat
voimassa, ts. Z n on vaihdannainen ykkösellinen rengas ykkösalkionaan ¯1.
Tarkastelemme seuraavaksi käänteisalkion olemassaoloa. Olkoon ā ≠ ¯0. Milloin on
olemassa sellainen ¯x, että ā¯x = ¯1? Voimme yhtäpitävästi kysyä, milloin kongruenssilla
ax ≡ 1 (mod n) on ratkaisu x?
Lause 6. Kongruenssilla ax ≡ 1 (mod n) on ratkaisu jos ja vain jos syt(a, n) =1.
Ratkaisut muodostavat täsmälleen yhden jäännösluokan (mod n).
Lauseen 6 todistuksesta käy ilmi, miten yhtälön ā¯x = ¯1 ratkaisu ā −1 = ¯x löytyy
Eukleideen algoritmin avulla. Luokkaa ā, jolle ā −1 on olemassa, sanotaan alkuluokaksi
(mod n). Alkuluokkien lukumäärä on ϕ(n) ja niiden muodostamalle joukolle käytetään
merkintää Z ∗ n . Z∗ n on vaihdannainen ryhmä kertolaskun suhteen. Jos n = p on alkuluku,
niin Z ∗ p = Z p −{¯0}, joten Z p :n jokaisella nollasta eroavalla alkiolla on käänteisalkio.
Joukossa Z ∗ p voidaan siis suorittaa rajoituksetta kaikkia neljää laskutoimitusta, vain
nollalla jakaminen ei ole mahdollista, ja kaikki rationaaliluvuilta tutut laskusäännöt
toimivat. Z p on näin esimerkki äärellisestä kunnasta. Nämä ovat tärkeitä joissakin
salakirjoitusmenetelmissä.
Kun otetaan yksi alkio jokaisesta jäännösluokasta (mod n), saadaan ns täydellinen jäännössysteemi
(mod n). Vastaavasti ottamalla yksi alkio kustakin alkuluokasta (mod n),
saadaan supistettu jäännössysteemi (mod n). Helposti todetaan, että jos a 1 ,a 2 , ..., a ϕ(n)
on supistettu jäännössysteemi ja syt(a, n) =1, niin myös aa 1 ,aa 2 , ..., aa ϕ(n) on supistettu
jäännössysteemi. Tähän tietoon nojautuen ei ole vaikea todistaa
Lause 7 (Eulerin lause). Jos syt(a, n) =1, niin a ϕ(n) ≡ 1 (mod n).
Seuraus (Fermat’n pieni lause). Jos p on alkuluku ja p ∤ a, niin
a p−1 ≡ 1 (mod p).
Lause 7 voidaan myös lausua muodossa: Jos ā ∈ Z ∗ n , niin āϕ(n) = ¯1. Tästä käy ilmi,
että ā −1 =ā ϕ(n)−1 , joten käänteisalkio ā −1 saadaan potenssiinkorotuksella laskemalla
ā ϕ(n)−1 .
Olkoon seuraavassa a(mod n) jakojäännös, kun a jaetaan n:llä. Tarkastelemme potenssin
a l (mod n) nopeaa laskemista, kun syt(a, n) =1. Jakoalgoritmin mukaan
l = qϕ(n)+r, 0 ≤ r

Eulerin lauseen mukaan a ϕ(n) ≡ 1 (mod n), joten
a l =(a ϕ(n) ) q a r ≡ a r (mod n)
eli a l (mod n) =a r (mod n). Olkoon luvun r binääriesitys
r = e k · 2 k + e k−1 · 2 k−1 + ... + e 1 · 2+e 0 , e i ∈{0, 1}, e k =1.
Lasketaan peräkkäisillä neliöönkorotuksilla:
a 1 = a 2 (mod n),
a 2 = a 2 1 (mod n)(= a22 (mod n)),
a 3 = a 2 2 (mod n)(= a23 (mod n)),
.
.
.
a k = a 2 k−1
(mod n)(= a2k (mod n)).
Tämän jälkeen saadaan
a l ≡ a r ≡ a e k
k
a e k−1
k−1 ...ae 2
2 ae 1
1 ae 0
(mod n),
josta a l (mod n) on nopeasti laskettavissa.
III PERINTEISIÄ SALAKIRJOITUSJÄRJESTELMIÄ
1. Caesar ja sen yleistyksiä
Oletamme, että käytämme aakkostoa, jossa on N symbolia.
- suomenkielinen aakkosto, N =27,
- suomenkielinen aakkosto ja väli, N = 28,
- suomenkielinen aakkosto, väli ja numerot, N =38,
- englanninkielinen aakkosto, N =26
(ä ja ö puuttuvat, w lisää).
Tällöin on yksinkertaista asettaa joukon Z N alkiot vastaamaan aakkoston symboleja.
Esimerkiksi suomenkielistä aakkostoa vastaa Z 27 ,
A =0,B =1, ..., Ö =26,
missä jätämme jäännösluokkien (mod 27) yläviivat pois.
Aikaisemmin tarkastelemamme Caesarin menetelmän salausfunktio E k ja avausfunktio
D k ovat yo. merkinnöillä yksinkertaisesti
E k (x) =x + k; D k (x) =x − k,
missä laskutoimitukset tehdään joukossa Z N .
Kuten aikaisemmin totesimme, tämä järjestelmä on helppo murtaa kokeilemalla kaikki
avaimet k, joita on N − 1 kpl.

Tarkastelemme nyt yleisempää järjestelmää, missä yhteenlasku korvataan affiinilla kuvauksella.
Tätä varten valitsemme a ∈ Z ∗ N , b ∈ Z N . Avaimemme on nyt k =(a, b) ja
salausfunktio on
E(x) =E a,b (x) =ax + b.
Avainten lukumäärä on tällöin ϕ(N) · N.
Erikoistapaukset:
a =1⇒Caesar: E(x) =x + b.
b =0⇒ ns. kertolasku Caesar:E(x) =ax.
Selvästi E : Z N → Z N on bijektio ja sen käänteisfunktio on avausfunktio D:
y = ax + b ⇔ ax = y − b ⇔ x = a −1 y − a −1 b.
Edellä a ∈ Z ∗ N , joten a−1 ∃. Siis avausfunktio
D(y) =D a,b (y) =a −1 y − a −1 b.
Yhteenveto affiinista järjestelmästä:
P = C = Z N .
K = {(a, b)}, missä a ∈ Z ∗ N ja b ∈ Z N .
Salausfunktio E(x) =ax + b.
Avausfunktio D(y) =a −1 y − a −1 b.
Affiinin järjestelmän murtaminen.
1) Kokeillaan kaikki avaimet.
2) Käytetään hyväksi kirjainten esiintymistiheyksiä
(tarvitaan aika pitkä salakirjoitusteksti).

Em. järjestelmät ovat erikoistapauksia yksinkertaisesta sijoitusjärjestelmästä. Siinä on
avainjoukkona Z N :n permutaatioiden muodostama joukko S N , jonka alkiot σ kirjoitetaan
usein muotoon
σ =
(
0 1 ... N − 1
σ(0) σ(1) ... σ(N − 1)
)
.
Nämä ovat bijektioita, joten niillä on käänteiskuvaus σ −1 .
Yksinkertainen sijoitusjärjestelmä:
P = C = Z N .
K = S N .
Salausfunktio E(x) =σ(x).
Avausfunktio D(y) =σ −1 (y).
Joukon S N alkioiden lukumäärä on N!, joten avaimia on runsaasti. Eräs tapa välittää
avain on käyttää avainsanaa (sana tai lyhyt lause, josta jätetään toistuvat kirjaimet
pois).
Avainsana Caesar: avain k =(a,avainsana), 0 ≤ a

2. Salakirjoitus matriiseilla
Jos viestiyksikön pituus on r>1 kirjainta, on luontevaa tarkastella viestiyksikköjä Z r N :n
vektoreina ja käyttää salauksessa r × r matriiseja. Rajoitumme seuraavassa tapaukseen
r =2.
Kertaamme lyhyesti matriisien laskusääntöjä:
( )
( )
x a b
Z 2 N :n alkiot ovat ;2× 2 matriisit ,
y
c d
- yhtäsuuruus ⇔ samoilla paikolla olevat alkiot yhtäsuuria,
( ) ( ) ( ) ( ) ( ) ( )
x u x + u a b x u a + x b+ u
- yhteenlasku + = ; + =
,
y v y + v c d y v c + y d+ v
( ) ( ) ( ) ( )
x ax a b au bu
- skalaarilla kertominen a = ,u =
,
y ay c d cu du
( ) ( )
a b x ax + by
- kertolasku
=
,
c d)(
y cx + dy
( )( ) ( )
a b x u ax + by au + bv
=
, ei vaihdannainen,
c d y v cx + dy cu + dv
( )
1 0
- yksikkömatriisi I = on kertolaskun neutraalialkio,
0 1
( )
a b
- käänteismatriisi: Matriisin A = käänteismatriisi on matriisi A
c d
−1 , jolle
AA −1 = A −1 A = I,
mikäli tällainen matriisi on olemassa. Voidaan osoittaa, että A −1 on olemassa
jos ja vain jos D = ad − bc ∈ Z ∗ N , ja tällöin
( )
d −b
A −1 = D −1 .
−c a
Esimerkki Z 26 ,A=
(
a b
Lause 1. Jos A =
c d
( )
e
ja B =
f
( )
2 3
. Määritä A
7 8
−1 .
∈ Z 2 N , niin affiini kuvaus
)
, a, b, c, d ∈ Z N , D = ad − bc ∈ Z ∗ N ,
E : Z 2 N → Z2 N
; E(X) =AX + B,
on bijektio, jonka käänteiskuvaus on
D : Z 2 N → Z2 N ; D(Y )=A−1 (Y − B).

Matriisisalakirjoitus:
( )
x
P = C = Z 2 N = { , x,y ∈ Z
y
N }.
( )
( )
a b
e
Avain k = {A, B}, A= ,D= ad − bc ∈ Z
c d
∗ N , B = ∈ Z
f
2 N .
Salausfunktio E(X) =AX + B.
Avausfunktio D(Y )=A −1 Y − A −1 B.
( )
1 0
Huom. Jos valitsemme A = I = , niin E(X) = X + B, joten kyseessä
0 1
on Vigenére järjestelmä, missä r = 2. Vastaavasti saamme matriisisalakirjoituksen
erikoistapauksena yleisen Vigenére järjestelmän, jos tarkastelemme r × r matriiseja.
( )
0
Tarkastelemme nyt matriisisalakirjoituksen murtamista, kun B = ja tunnemme
0
kaksi paria selvätekstiä ja vastaavat salakirjoitukset. Tämä on mahdollista esimerkiksi
niin, että sieppaaja onnistuu jotenkin lähettämään tekstiä tarkasteltavan kanavan kautta.
Olkoot tuntemamme selvätekstit P 1 ja P 2 ja vastaavat salakirjoitukset C 1 ja C 2 . Tällöin
C 1 = AP 1 ja C 2 = AP 2
eli
C = AP, missä P =(P 1 ,P 2 )jaC =(C 1 ,C 2 ).
Jos nyt P 1 ja P 2 on valittu niin, että P −1 on olemassa, niin saamme
A = CP −1
ja järjestelmä on murrettu.
( )
0
Tapauksessa B ≠ tarvitsemme murtamiseen vielä kolmannen parin P
0 3 ja C 3 :
C 1 = AP 1 + B, C 2 = AP 2 + B, C 3 = AP 3 + B.
Tällöin pääsemme yo:n kaltaiseen tilanteeseen vähentämällä kolmannen yhtälön kahdesta
ensimmäisestä:
C 1 − C 3 = A(P 1 − P 3 ), C 2 − C 3 = A(P 2 − P 3 ).
Jos tästä saadaan A, niin sen jälkeen B = C 1 − AP 1 .

IV JULKISEN AVAIMEN SALAKIRJOITUS
(PUBLIC KEY CRYPTOGRAPHY)
1. Yleinen periaate
Nykyaikaisissa tiedonvälitysjärjestelmissä perinteisillä salakirjoitusmenetelmillä on esimerkiksi
seuraavat ongelmat:
- Avaimista ( sopiminen ) ja niiden välittäminen. Jos verkossa on n käyttäjää,
n
tarvitaan = n(n−1)/2 avainta. Jos joku käyttäjä haluaa vaihtaa avaimensa
2
(tai uusi käyttäjä liittyy verkkoon), tarvitaan n − 1 (tai n) sopimusta uusista
avaimista.
-Allekirjoitusongelma, koska normaali allekirjoitus on korvattava jotenkin.
Aikaisemmin, kun salausta käytettiin lähinnä sotilaallisissa tai diplomaattisissa tarkoituksissa,
nämä seikat eivät tuottaneet suurta ongelmaa.
Vuonna 1976 Diffie ja Hellman esittivät ajatuksen julkisen avaimen järjestelmistä, joissa
yo. ongelmat on selvitetty. Tällaisessa järjestelmässä kukin käyttäjä U (user) muodostaa
oman salausmenettelynsä E U ja avausmenettelynsä D U , jotka toteuttavat ehdon
(JA 1)
D U (E U (m)) = m ∀m ∈ P (selväkieliset viestiyksiköt).
Kukin käyttäjä U julkaisee salausmenettelynsä E U avainkirjassa, joka on kaikkien käytettävissä.
Avausmenettely D U pidetään vain U:n omana tietona.
Jos käyttäjä A haluaa lähettää selväkielisen viestiyksikön m käyttäjälle B, hän etsii
avainkirjasta B:n salakirjoitusmenettelyn E B ja salakirjoittaa sanomansa sen avulla, ts.
c = E B (m). Kun B saa salakirjoitetun viestin c, hän saa sanoman selville käyttämällä
(salaista) avausmenettelyään D B :
D B (c) =D B (E B (m)) = m.
(JA 1)
Jotta menettely olisi toimiva ja salaisuus säilyisi, tarvitsemme seuraavat ehdot, joiden
tulee olla voimassa kaikille käyttäjille U:
(JA 2) Menettelyt E U ja D U ovat nopeita eivätkä tarvitse liian paljon muistia.
(JA 3) On käytännössä mahdotonta määrittää E U :n avulla menettelyä DU ∗ , jolle
DU ∗ (E U(m)) = m ∀m ∈ P.

Ominaisuus (JA 3) säilyttää järjestelmän salaisena ja mahdollistaa salausmenettelyn
julkaisemisen avainkirjassa. Jos joku käyttäjistä vaihtaa avaimensa, riittää vaihtaa uusi
E U avainkirjaan. Uuden käyttäjän mukaantulo on yhtä yksinkertaista.
Em. menettely muodostetaan usein käyttämällä yksisuuntaista funktiota tai salaovifunktiota.
Määritelmä. Funktio f on yksisuuntainen, jos sen arvot ovat helposti laskettavissa
ja käänteisfunktion f −1 (joka ∃) määrääminen on hyvin vaikeaa. Salaovifunktio on
sellainen yksisuuntainen funktio, jonka käänteisfunktio on helppoa määrätä jonkin
lisätiedon (salaovi) avulla.
Funktiota ei yleensä onnistuta todistamaan yksisuuntaiseksi, joten joudutaan käyttämään
funktioita, joiden uskotaan olevan yksisuuntaisia. Tällaisten funktioiden muodostaminen
perustuu usein vaikeisiin ja paljon tutkittuihin lukuteorian ongelmiin, esimerkiksi
RSA-järjestelmässä suurten lukujen tekijöiden jakamisen vaikeuteen. Jos meillä
on käytössämme salaovifunktioita f U , niin voimme muodostaa ehdot (JA 1), (JA 2) ja
(JA 3) toteuttavan järjestelmän valitsemalla
E U = f U ja D U = f −1
U .
Tarkastelemme nyt allekirjoitusongelmaa, jonka ratkaisemiseksi asetamme kaksi uutta
vaatimusta, joiden tulee olla voimassa kaikille käyttäjille U.
(JA 4) E U (D U (c)) = c ∀c ∈ C.
(JA 5) On käytännössä mahdotonta määrittää E U :n avulla menettelyä DU ∗ , jolle
E U (DU ∗ (c)) = c ∀c ∈ C.
Julkisen avaimen järjestelmässä on usein P = C sama kaikilla käyttäjillä. Jos A lähettää
B:lle selväkielisen viestin, hän lähettää allekirjoituksen s muodossa m = D A (s), jolloin
B etsii avainkirjasta E A :n ja laskee
E A (m) =E A (D A (s) = s.
(JA 4)
Allekirjoituksen muodostaa pari (s, D A (s) =m). Menettely edellyttää ehtoja (JA2), (JA4)
ja (JA 5), erityisesti ehto (JA 5) varmistaa, että vain A voi toimia lähettäjänä. A ei
voi myöskään jälkikäteen kieltää viestiä.
A
s −→ DA (s) =m
m
−→ m
B
−→ E A (m) =s
↑ E A
Allekirjoitus on pari (s, D A (s) =m) Avainkirja
Eo. menettely voidaan toteuttaa salaovifunktiolla f valitsemalla E A = f, D A = f −1 .
Jos halutaan suorittaa salakirjoitus ja allekirjoitus, tarvitaan ominaisuudet (JA 1) −
(JA 5). Tällöin A muodostaa allekirjoitusosasta s tekstin c = E B (D A (s)). Bsoveltaa
tähän funktiota E A ◦ D B :
E A (D B (c)) = E A (D B (E B (D A (s)))) = E A (D A (s)) = s.

E A löytyy avainkirjasta, mutta vain B tuntee D B :n ja voi määrittää s:n. B käyttää
A:n allekirjoituksena paria (s, D B (c) =D A (s)) kuten edellä.
A
s −→ EB (D A (s)) = c −→ c
↑ E B
−→ Avainkirja −→
B
−→ E A (D B (c)) = s
↑ E A
Koska julkisen avaimen salakirjoitus vaatii yleensä paljon enemmän aikaa kuin perinteiset
menetelmät, sitä käytetään usein perinteisen menetelmän ohella avainten vaihdossa,
ts. käytettävän perinteisen menetelmän avaimet vaihdetaan julkisen avaimen
menetelmällä.
2. RSA-menetelmä
(1978, Rivest, Shamir ja Adleman)
RSA-menetelmässä salaovifunktion muodostaminen perustuu vuosisatoja tutkittuun
lukuteorian ongelmaan: Kuinka annettu (suuri) luku n jaetaan alkutekijöihin? Yksisuuntaisen
funktion perusta on nyt se, että annettujen lukujen tulo on nopeasti laskettavissa,
mutta tekijöiden löytäminen tulosta vaatii nopeiltakin koneilta liikaa aikaa.
Olkoot nyt p ja q kaksi alkulukua ja n = pq. Tällöin ϕ(n) =(p − 1)(q − 1). Valitsemme
nyt sellaisen luvun e, 1

Alkion m ∈ Z nB salakirjoitus on
E B (m) =m e B
= c ∈ Z nB .
Vain B tietää luvun d B , joten hänen avausfunktionsa on
D B (c) =c d B
= m e Bd B
= m.
Allekirjoitus onnistuu myös yleisen periaatteen mukaisesti, A lähettää allekirjoituksensa
s muodossa D A (s) =s d A
= m ∈ Z nA . Pari (s, m) muodostaa allekirjoituksen.
Jos halutaan salaus ja allekirjoitus, niin voimme toimia yleisen periaatteen mukaisesti,
jos n A

niin kaikki käyttäjät voivat valita
P = {k−kirjaimiset sanat} ⊂Z nU
C = Z nU ⊂{l-kirjaimiset sanat}.
Esimerkki.
4. Diskreetti logaritmi
Reaalilukujen joukossa lukujen b x ja log b x laskeminen tietyllä tarkkuudella on yhtä
helppoa. Tarkastelemme nyt vastaavaa tilannetta joukossa Z ∗ n. Jos b ∈ Z ∗ n, niin b x on
laskettavissa nopeasti suurillakin x ∈ N. Oletamme nyt, että tiedämme alkion y ∈ Z ∗ n
olevan muotoa y = b x . Kuinka x = log b y saadaan selville (tässä logaritmi on ns.
diskreetti logaritmi, ei R:n logaritmifunktio)? Tälle ns. ”diskreetin logaritmin ongelmalle”
ei tunneta nopeaa ratkaisua yleisessä tapauksessa, joten voimme jälleen rakentaa
yksisuuntaisen funktio.
Määritelmä. Luku g, 1≤ g ≤ n − 1, on primitiivijuuri (mod n), jos
Z ∗ n = {ḡk |k =0, 1, ..., ϕ(n) − 1} = {¯1, ḡ, ḡ 2 , ..., ḡ ϕ(n)−1 }.
Esimerkki.
Lause 2. Primitiivijuuri (mod n) on olemassa jos ja vain jos n on
2, 4,p l , 2p l ,l=1, 2, ..., missä p>2 on alkuluku.
Jos g on primitiivijuuri (mod n) (n on L2:n muotoa), niin sen määräämää jäännösluokkaa
sanotaan Z ∗ n:n primitiiviseksi alkioksi.
Määritelmä. Olkoon g ∈ Z ∗ n primitiivinen. Alkion y ∈ Z∗ n diskreetti logaritmi kannan
g suhteen on sellainen luku k ∈{0, 1, ..., ϕ(n) − 1}, jolle y = g k . Tällöin merkitsemme
k = log g y.
Usein valitsemme edellä n = p (alkuluku), jolloin Z p on äärellinen kunta.
5. Diffie-Hellman avaimenvaihto
Oletamme tässä, että joukossa Z ∗ n on primitiivinen alkio g. Tiedonsiirtojärjestelmän
avaimen vaihtomenettely voidaan hoitaa seuraavasti:
Kaikki käyttäjät tuntevat luvun n ja primitiivialkion g. Kukin käyttäjä U valitsee luvun
m U ∈{1, ..., ϕ(n)−1} ja laskee g m U
, jonka hän julkaisee. Käyttäjien A ja B keskinäisen
yhteydenpidon avaimen määrää g m Am B
.
Käyttäjä A saa avaimen potenssiinkorotuksella (g m B
) m A
= g m Am B
ja käyttäjä B vastaavasti
(g m A
) m B
= g m Am B
.

Sieppaaja tuntee vain alkiot g m A
ja g m B
. Jos hän ratkaisisi diskreetin logaritmin ongelman,
ts. m A :n tai m B :n, avain löytyisi. Muuten sen löytäminen ei ilmeisesti onnistu
(g m A
g m B
= g m A+m B
).
Esimerkki.
6. El Gamal salakirjoitusjärjestelmä
Olkoon b ∈ Z ∗ p annettu (yleensä valitaan b primitiivialkioksi, mutta se ei ole välttämätöntä).
Kaikki käyttäjät tuntevat p:n ja b:n. Lisäksi oletamme, että P = C = Z ∗ p
(tai jotkin osajoukot).
Kukin käyttäjä U valitsee luvun m U ∈{1, 2, ..., p − 2} ja pitää sen omana tietonaan.
Julkiseen avainkirjaan annetaan b m U
∈ Z ∗ p .
Jos joku käyttäjä haluaa lähettää viestin m ∈ Z ∗ p käyttäjälle A, hän valitsee k ∈ N ja
lähettää parin
(b k ,mb mAk ) ∈ Z ∗2
p .
Koska b m Ak
= (b m A
) k ja b m A
on avainkirjassa, on pari laskettavissa nopeasti
potenssiinkorotuksella. Käyttäjä A (ja vain hän) tuntee luvun m A , joten hän laskee
parin ensimmäisen komponentin avulla (b k ) m A
= b mAk . Jakamalla näin saadulla alkiolla
toisen komponentin A saa
mb m Ak
b m = m.
Ak
Jos sieppaaja ratkaisee diskreetin logaritmin ongelman, on murtaminen helppoa. Muuten
on ilmeisesti vaikea saada b mAk alkioista b k ja b m A
.
Edellä viesti m on naamioitu alkion b mAk
avulla ja ensimmäinen komponentti on
johtolanka b k , jonka avulla A (ja vain hän) voi riisua naamion.
7. Selkäreppuongelma
Oletetaan, että k positiivista kokonaislukua sisältävä joukko {v 1 ,v 2 , ..., v k } ja positiivinen
kokonaisluku V on annettu. Kysytään, onko olemassa sellainen osajoukko
I⊂{1, 2, ..., k}, että
∑
v i = V.
i∈I
(Jos sekkärepun tilavuus on V ja on k esinettä, joiden tilavuudet ovat v 1 ,v 2 , ..., v k ,
niin voidaanko reppu pakata näillä esineillä tasan täyteen?) Tämä kysymys on ns.
selkäreppuongelma. Se voidaan muotoilla myös seuraavasti:
Selkäreppuongelma. Olkoot v 1 ,v 2 , ..., v k ja V annettuja positiivisia kokonaislukuja.
Onko olemassa sellaiset luvut ε i ∈{0, 1},i=1, ..., k, että
ε 1 v 1 + ε 2 v 2 + ... + ε k v k = V ?
Esimerkki.

Jos k on suuri, niin on osoitettu, että selkäreppuongelma on yleisessä tapauksessa hyvin
vaikea ratkaista. Eräissä erikoistapauksissa ongelma on kuitenkin helppo ratkaista.
Määritelmä. k-jono v 1 ,v 2 , ..., v k on superkasvava, jos ∀ j =2, ..., k
v j >v 1 + ... + v j−1 .
Vastaava selkäreppua sanotaan myös superkasvavaksi.
Esimerkki.
Superkasvava selkäreppu on helppo ratkaista seuraavasti: {v 1 ,v 2 , ..., v k }
superkasvava, V .
Jos v 1 + v 2 + ... + v k u 1 + u 2 + ... + u k , 1

joka on helppoa laskea avaimesta K U . Avausmenettely D U koostuu kahdesta osasta.
Salaoven muodostaa luku b U , jonka U tuntee. Ensimmäisessä vaiheessa U laskee (2):n
avulla
b U c ≡ b U (m 1 a u u 1 + m 2 a U u 2 + ... + m k a U u k )
≡ m 1 u 1 + m 2 u 2 + ... + m k u k (mod n U ).
Ehdon (1) mukaisesti yo. kongruenssista seuraa yhtälö
m 1 u 1 + m 2 u 2 + ... + m k u k = b U c (mod n U ).
Toisessa vaiheessa ratkaistaan tämä superkasvava selkäreppu ja saadaan m =(m 1 m 2 ...m k ) 2 .
Kun A haluaa lähettää sanoman m =(m 1 m 2 ...m k ) 2 B:lle, toimitaan seuraavasti:
Menettelyn idea on luonnollisesti siinä, että B:n superkasvava jono b 1 ,b 2 , ..., b k sotketaan
kertomalla a B :llä B:n avainjonoksi b ∗ 1 ,b∗ 2 , ..., b∗ k
, joka ei ole superkasvava. Sieppaajan
tulisi salakirjoituksen murtamiseksi ratkaista tämän jonon avulla muodostettu yleiseltä
näyttävä selkäreppuongelma m 1 b ∗ 1 + m 2 b ∗ 2 + ... + m k b ∗ k = c.
Yo:n järjestelmän esittivät vuonna 1978 Merkle ja Hellman ja se saavutti yksinkertaisuutensa
ja nopeutensa takia suuren suosion. Kuitenkin Shamir onnistui murtamaan
menetelmän jo vuonna 1982. Myös menetelmän parannuksia on murrettu, joten
selkäreppujärjestelmää ei pidetä kovin luotettavana.
9. Huomautuksia
Edellä emme ole käsitelleet esiteltyjen julkisen avaimen järjestelmien heikkouksia, esim.
murtamismahdollisuuksia. RSA:ta pidetään varsin turvallisena, kun p ja q ovat riittävän
suuria (≈ 150 numeroa) sekä niiden valinnassa otetaan huomioon eräitä rajoituksia.
Samoin diskreetti logaritmi lienee luotettava, kun kunta Z p (tai yleisempi äärellinen
kunta) on riittävän suuri. Voimme myös kysyä täsmällisempää tietoa eri menetelmien
vaatimien laskutoimitusten määristä (tarvittavasta ajasta). Luonnollisesti tulee esille
myös kysymys siitä, miten esim. RSA:n tarvitsemia suuria alkulukuja on löydettävissä.
Syventävien opintojen kurssilla ”Kryptografia” tarkastellaan lähemmin näitä kysymyksiä
sekä esitellään menetelmiä, jotka vaativat syvällisempiä matematiikan tietoja.

HARJOITUSTEHTÄVÄT:
1. Ystäväsi K lähettää sinulle Caesarin yhteenlaskumenetelmällä kirjoitetun viestin
”Ö HXHHTTLOHUPSSHSSH R”.
Avaa viesti.
2. Avaa seuraava Caesarin yhteenlaskumenetelmällä laadittu englanninkielinen salakirjoitus
ALY UNY MNW IGGIHXCP CMIL.
Mikä on ollut avain?
3. Jaa luvut
211, 212, 213, 721
alkutekijöihin. Määritä myös lukujen binääriesitykset.
4. Esitä luku 1995
a) 5-kantaisessa,
b) 8-kantaisessa,
c) 32 kantaisessa lukujärjestelmässä.
5. Laske 212 3 · 122 3 .
6. Tarkastellaan 26-kantaista järjestelmää, missä englanninkieliset aakkoset A−Z esittävät
numeroita 0-25. Laske (YES) · (NO).
7. Määrää lukujen
a) 101, 3040
b) 1690, 650
suurin yhteinen tekijä.
8. Etsi sellaiset kokonaisluvut x ja y, että
213x − 89y =1,
1 ≤ x, y ≤ 212.

9. Todista jaollisuussäännöt luvuille 2, 3, 5, 9 ja 11.
10. Ratkaise kongruenssit
a)3x ≡ 4 (mod 7),
b) 14x ≡ 1 (mod 27),
c) 2x ≡ 1 (mod p),
missä p ≥ 3 on alkuluku.
11. Ratkaise kongruenssit
a) 5x ≡ 1 (mod 7) ja (mod 5),
b) 3z ≡ 3 (mod 3) ja (mod 9),
c) 4x 2 ≡ 2 (mod 7).
12. Kirjoita yhteen- ja kertolaskutaulut joukoille Z 7 ja Z 8 .
13. Laske a −1 , kun
a) a =15∈ Z 17 ,
b) a =16∈ Z 19 ,
c) a =3∈ Z 9 .
14. Laske
4 10 (mod 5), 5 101 (mod 25), 101 101 (mod 3), 101 101 (mod 9),
15 55 (mod 91) ja 2 1000000 (mod 77).
15. Käytetään suomenkielistä aakkostoa täydennettynä tyhjällä välillä (=27) ja affiinia
järjestelmää, jonka avain on (5,24). Salakirjoita teksti ”TULKAA APUUN”. Mikä
on avausfunktio?
16. Seuraava teksti on muodostettu affiinilla järjestelmällä:
V CLMP CAV ESV F Y DV OV IZHP CY XAXGBDAT Y Z.
Mikä on selväkielinen teksti?
17. Tehtäväsi on selvittää affiinilla järjestelmällä tehty salakirjoitus, jossa käytetään 37-
kirjaimista aakkostoa, jonka kirjaimet ovat luvut 0-9 (vastaavat lukuja 0-9), englan-

ninkieliset aakkoset A−Z (vastaavat lukuja 10-35) ja tyhjä (=36). Salakirjoitusteksti
on
OH7F 86BB46R3627O266BB9.
Tiedät, että sanoman on lähettänyt ”007”. Mikä on sanoma?
18. Ovatko funktiot
a) σ(i) =i +17,
b) σ(i) =17i
permutaatioita joukossa Z 26 ?
19. Laske Caesarin yhteenlasku- ja kertolaskumenetelmien sekä affiinin järjestelmän suhteelliset
osuudet kaikista yksinkertaisista sijoitusjärjestelmistä, kun N=26, 27, 28 ja
yleisessä tapauksessa.
20. Käytetään avainsana Caesaria, jonka avain on (5,SY Y SKUU). Salakirjoita teksti
SY KSY ON T ULLUT.
21. Salakirjoita teksti
DOES SURJECTION BECOME INJECTION
Vigenéren järjestelmällä, kun avainsana on INJECTION.
22. Valitse jokin 2. pituinen avain Vigenéren järjestelmässä. Salakirjoita jokin 25-30
merkkiä pitkä teksti. Anna se toiselle harjoitusryhmän jäsenelle murrettavaksi.
23. Seuraavien matriisien alkiot ovat joukon Z N alkioita. Määritä A −1 , kun
( )
( )
( )
1 3
15 17
3 6
a) A = ,N = 5; b) A =
,N = 26; c) A = ,N =28.
4 3
4 9
2 5
24. Käytämme suomenkielistä aakkostoa, missä A − Ö on 0-26 ja tyhjä=27, joten
N = 28. Salakirjoita matriisisalakirjoituksella käyttämällä edellisen tehtävän c)-
kohdan matriisia A teksti Y HTEY S TOIMII.
25. Käytämme englanninkielistä aakkostoa, missä A − Z on 0-25, ( ) tyhjä=26, ?=27 ja
0
!=28, joten N=29. Saat matriisisalakirjoituksella (missä B = ) tehdyn sanoman
0

GFPYJP X?UY XST LADP LW
ja tiedät, että viisi viimeistä kirjainta on lähettäjän nimi KARLA. Avaa sanoma.
26. Oletetaan, että n = pq, missä p ja q ovat erisuuria alkulukuja. Osoita, että luvun
ϕ(n) tunteminen on yhtäpitävää tekijöiden p ja q tuntemisen kanssa.
27. Salakirjoita teksti SELKÄREP P U RSA-järjestelmän avaimella (n, e) = (91, 11).
Murra tämä salausmenettely määräämällä salaovi d.
28. Laske tulot
117 · 103, 7008 · 6992
käyttäen kaavaa (a + b)(a − b) =a 2 − b 2 . Esitä seuraavat luvut
250997, 1689999
ainakin kahden tekijän tulona.
29. a) Salakirjoita teksti TAKE IT AWAY RSA-järjestelmän avaimella (n, e)=
(2773, 17) muuntamalla se ensin 2 kirjaimen osissa Z n :n alkioiksi.
b) Murra a)-kohdan salausmenettely määräämällä salaovi d.
c) Avaa a)-kohdan salakirjoitus ja totea, että saat alkuperäisen tekstin.
30. Tietoverkon käyttäjien A ja B RSA-avaimet ovat (n A ,e A ) = (2773, 17) ja (n B ,e B )=
(2047, 179). Missä muodossa A lähettää allekirjoituksensa AK B:lle? Entä salattu
allekirjoitus? Selvitä samat kysymykset B:n lähettäessä allekirjoituksensa BG A:lle.
31. a) Määritä primitiivijuuri (mod n), merkitään g, kun n=3, 4, 5, 6, 7, 9, 10, 11.
b) Laske tapauksissa n=5, 9 ja 11 Z ∗ n :ssä log g(−k), kun k=1,2.
32. Määritä Z ∗ 25 :n primitiivinen alkio g ja laske log g(−1), log g 2 ja log g 3.
33. Osoita, että 2 on kunnan Z 37 primitiivinen alkio ja laske
log 2 28, log 2 8, log 2 (-10).
34. Olkoon n=37 ja g=2. Diffie-Hellman avaimenvaihdossa käyttäjän A salainen eksponentti
m A =18 ja käyttäjän Bm B =23. Mitkä ovat A:n ja B:n julkaisemat alkiot ja
mikä on yhteinen avain?

35. Käytetään El Gamal salakirjoitusjärjestelmää, missä p=37 ja b=2. Salakirjoita viesti
NYT käyttäjälle A, jonka salainen eksponentti on m A = 23.
36. Olkoon alkuluku p=65537 ja b=5. Saat viestin (29095, 23846), jonka ystäväsi on
lähettänyt käyttäen El Gamal salakirjoitusjärjestelmää Z p :ssä ja antamaasi julkista
avainta 5 m , missä salainen eksponenttisi m=13908. Olette sopineet, että Z p :n
alkiot muunnetaan 31-kirjaimisen aakkoston 3-pituisiksi jonoiksi esittämällä ne 31-
kantaisessa muodossa (kirjaimet A − Z ovat 0-25, tyhjä=26, .=27, ?=28, !=29 ja
’=30). Avaa saamasi viesti.
37. Tutki, onko seuraava jono superkasvava ja ratkaise annettu selkäreppuongelma:
a) {2, 3, 7, 20, 35, 69}, V=45;
b) {4, 5, 10, 30, 50, 101}, V=186;
c) {1, 2, 2 2 , ..., 2 k−1 },V