Lukuteoriaa ja salakirjoitusta, osa 2

2 Solmu 2/2008jännitysseikkailua. Niihin liittyviä lukuelämyksiä voietsiä ehkä parhaiten alan klassikosta [CodeB]. Hiirennapsauttamisen päässä olevaa historiatietoa on tutussalähteessä [Wiki].Toisen maailmansodan jälkeisiin aikoihin saakka salakirjoitusmenetelmätperustuivat viestin kirjaimien jonkinlaiseenuudelleen järjestämiseen tai sekoittamiseen.Tietotekniikan kehittymisen myötä mekaaniset laitteetvoitiin korvata tietokoneohjelmilla.Alan vallankumouksellinen käännekohta ajoittuu1970−luvun lopulle. Vuonna 1976 Stanfordin yliopistontutkijat Withfield Diffie ja Martin Hellman esittivätjulkaisussaan [DH] ns. julkisen avaimen menetelmän.Ensimmäisen konkreettisen esimerkin toimivasta julkisenavaimen salausjärjestelmästä esittivät mit:n tutkijatR. Rivest, A. Shamir, L. Adelmann [RSA]. Heidänsukunimiensä alkukirjainten mukaan sai nimensä rsasalausmenetelmä.Kannattaa myös mainita, että alalla on suomalaisia,kansainvälisesti arvostettuja tutkijoita, kuten akateemikko,emeritusprofessori Arto Salomaa tutkimusryhmineenja professori Kaisa Nyberg, jonka kirjoitus [KN]on kattava, monipuolinen ja ajantasainen katsaus kryptologiaan.Salomaan julkaisut ja monografiat, joistaviitteenä [AS], ovat runsaasti referoituja, alan kansainvälistähuippua edustavia klassikoita.1900-luvun puolestavälistä lähtien salausmenetelmätovat alkaneet käyttää enenevässä määrin matematiikkaa,erityisesti abstraktia algebraa ja lukuteoriaa,kombinatoriikkaa, todennäköisyyslaskentaa ja tilastotiedettä,algoritmien vaativuusanalyysiä, jne.Tietokoneiden prosessoritehon jatkuva kasvaminen antaa”ilmaiseksi” kryptoanalyytikoille raakaan voimaanperustuvia työkaluja salakoodien murtamiseen. Tämäpitää kryptografia-joukot vireinä ja pakottaa suunnittelemaanentistä nerokkaampia ja mielikuvituksellisempiamenetelmiä. Kvanttitietokonelaskennan mahdollisuuksiinon jo alettu varautua, kts. [Wiki] ja MikkoMöttönen: Kvantti-informaatio – tämän vuosisadanvallankumous !?, Arkhimedes 1/2008.Salaustieteen ja -tekniikan käytön painopiste on siirtynytpuolustusvoimiin ja tiedusteluun liittyvästäkäytöstä selkeästi jokaisen kansalaisen arkipäiväänkuuluvaksi asiaksi. Kaikki luottamuksellisten tietojenvälittäminen Internetissä, sähköposti, sähköinenkaupankäynti, pankkitoiminta, tietojärjestelmien salasanat,matkapuhelinliikenne, sähköinen allekirjoitus,äänestys, sirukortit jne. ovat täysin salaamistekniikastariippuvaisia.Kirjoitukseni tarkoituksena ei ole antaa kattavaa katsaustaalaan muuten kuin tarjoilemalla kiinnostuneillelisäviitteitä eri suuntiin. Varsinainen päämäärä on avataalkeista lähtien yksityiskohtainen matemaattistenpäättelyiden ketju näyttääkseni, miten rsa-menetelmätoimii ja valaista sitä esimerkein. Tätä varten joudunvielä jonkinverran täydentämään kirjoituksen osassa 1kehiteltyä lukuteorian välineistöä.Parhaassa tapauksessa kirjoitus voisi inspiroida jotakutamatematiikan opettajaa kehittamään aineksia lukionerikoiskurssille tai matematiikkakerholle (jos sellaisiajossain on).Kertaustietoisku mod-laskennastaModulaariaritmetiikka on keskeisessä osassa, joten kerrataanvielä:a ≡ b (mod n) tarkoittaa, että on olemassa kokonaislukuk siten, että a = b+k n. Toisin sanoen, n | (a −b)eli a − b on jaollinen n :llä.Kun puhutaan luvusta b (mod n), tarkoitetaan yleensäpienintä ei-negatiivista muotoa b ± k n olevaa lukua,toisin sanoen jakojäännöstä jakolaskussa b/n. Näintoimivat myös alla olevissa esimerkeissä käytettävätMatlab- ja Maple-ohjelmistojenmod- funktiot: Matlab:ssamod(b,n) ja Maple:ssa b mod n.Symmetrisistä salakirjoitusmenetelmistäMonet lukijoista lienevät joskus nuoruudessaan kokeilleetjotain tapaa välittää viestiä salatussa muodossasekoittamalla sopivasti viestin kirjaimia. Kenties yksinkertaisinmenetelmä on korvata sanan kukin kirjainaakkosissa seuraavalla kirjaimella. Tätä menetelmääkäytettiin myös kuuluisassa, vuonna 1968 valmistuneessaelokuvassa ”2001: A Space Odyssey” (A.C. Clarke,S. Kubrick), jossa vallankaappausta avaruusaluksenmiehistöltä yrittänyt tietokone oli nimeltäänHAL 9000.Toki tässä nimessä oli kyse vain pienestä pikantista kuriositeetista,joka aukeni osalle katsojia.Vakaviin sotilaallisiin tarkoituksiin menetelmää lieneekäyttänyt ensimmäisenä Julius Caesar. Hänon tiettävästi soveltanut kolmen kirjaimen siirtoaeteenpäin viestin salaamiseen ja vastaavasti samanmäärän siirtoja taaksepäin salakoodin avaamiseen.Tämän tyyppisiä menetelmiä, jossa kirjainta siirretäänaakkosissa määrätty määrä, kutsutaankin yleisestiCaesarin menetelmiksi.Esimerkki Caesarin menetelmästäSuoritin itse esimerkin Matlab-ohjelmaa hyödyntäen,mutta en paneudu ohjelman syntaksiin. Otan vain joitakinMatlab-näytteitä ja sanontoja, jotka ovat itsensäselittäviä.

Solmu 2/2008 3Muodostetaan merkkivektorit>> AAKKOSET=’ABCDEFGHIJKLMNOPQRSTUVWXYZÅÄÖ ’>> viesti=’SAMMONRYÖSTÖ’Muutetaan viestin kirjaimet numeeriseksi vektoriksilaskemalla kunkin kirjaimen sijainti AAKKOSETvektorissa.Siis esim. A = 0,B = 1,...,Z = 26,...Saadaan:18 0 12 12 14 13 17 24 28 18 19 28Alkuperäisessä Caesarin menetelmässä lisäämme jokaiseenvektorin komponenttiin luvun 3. Lienee aikaselvää, että Ö, jota vastaa numero 28, siirretään syklisestiaakkosten alkupäähän ja siitä tulee siis B (koskavalitsimme aakkosvektorimme viimeiseksi merkiksivälilyönnin).Tämä syklinen siirto tarkoittaa, että redusoimme tuloksenmodulo N = 30, koska aakkosvektorin pituuson 30. (Voidaan ajatella aakkosvektori kierretyksi ympyränmuotoon, jonka kehällä liikutaan.) Toisin sanoenlasku numeroilla on (28 + 3)(mod 30) = 1.Yleisesti salausfunktiomme on siis (x + 3) (mod N),missä x on viestin numeerisen esitysvektorin komponentti(viestin kirjainmerkkiä vastaava numero), ja Non aakkosvektorin pituus. Matlab-istuntomme jatkuisinäin, kun ajatellaan, että edellä oleva viestin numeerinenesitysvektori on muuttujassa nviesti.>> nsalaviesti=mod(nviesti+3,30)21 3 15 15 17 16 20 27 1 21 22 1>> AAKKOSET(nsalaviesti+1)VDPPRQUÄBVWB salaviesti kirjaimillaSalaviestin avausViestin vastaanottajalla on tieto menetelmästä jaavainluvusta 3. Sehän voisi yhtä hyvin olla jotainmuutakin. Viestin avaaminen tapahtuu salausfunktionkäänteisfunktiolla, joka on mitä ilmeisimminf −1 (y) = (y − 3)mod N.>> avattu=mod(nsalaviesti-3,N)18 0 12 12 14 13 17 24 28 18 19 28>> AAKKOSET(avattu+1)SAMMONRYÖSTÖSalaviestin avaus tuotti alkuperäisen viestin, joten hyvinkävi.Niille, joita kiinnostaa Matlab-syntaksi mainitsen,että AAKKOSET(avattu+1)-komento tarkoittaaAAKKOSET-merkkivektorin indeksointia numeerisellavektorilla, jonka komponentteihin pitää lisätä 1, koskaMatlab:ssa vektorin indeksointi aloitetaan luvusta1, kun taas jakojäännöksillä laskenta vaatii indeksinalkamaan 0:sta. Sama ilmiö on tietysti lausekkeessaAAKKOSET(nsalaviesti+1).Yleisesti menetelmä voitaisiin esittää tähän tapaan:Merkitään Z n = {0,...,n − 1}. SalausfunktioS e : Z n → Z n ;S e (x) = (x + e) (mod n), missä e:tävoidaan kutsua salausavaimeksi ja funktiota S e salausfunktioksi,joskus itse funktiota kutsutaan myössalausavaimeksi.Salakoodi saadaan avatuksi salausfunktion S ekäänteisfunktiolla Se−1 (y) = (y − e) (mod n).Menetelmä on symmetrinen siinä mielessä, että kunsalaus(avain)funktio tunnetaan, niin salakoodin avaamisensuorittava käänteisfunktio voidaan välittömästimäärittää.Kehittyneempiä symmetrisiä menetelmiäCaesarin menetelmä yleisessäkin muodossaan on luonnollisestihyvin haavoittuva.Erilaisten mahdollisuuksien (salausavaimien) määräävoidaan huikeasti lisätä ottamalla salausfunktioksi jokinmuu tapa sekoittaa kirjaimia. Jos otetaan mielivaltainenaakkosten ”permutaatio”, eli uusi järjestys, niinkaikkien mahdollisten salausavainten lukumäärä on N!,missä N on edelleen aakkosvektorin pituus. Yllä olevassatapauksessa N = 30, jolloin saadaan kaikkiaan30! mahdollisuutta. Kyseessä on luku, jossa on 33 numeroa,joten raakaan voimaan perustuva kaikkien erimahdollisuuksien läpikäyminen ei onnistu.Huolimatta avainten lähes äärettömästä määrästä,tämäkin menetelmä on monin tavoin haavoittuvainen.Kun on tiedossa kieli, jolla viestintä tapahtuu, voidaankirjainten esiintymäfrekvenssien perusteella päästä oikeistakirjaimista selville. Esimerkiksi Suomen kielessäkirjain A on yleisin, joten (pitkässä) salakirjoitetussaviestissä suurimman esiintymäfrekvenssin omaava kirjainon todennäköisesti A. Ja niin edelleen. Frekvenssianalyysinkäytöstä salausavaimen selvittämiseksi onhyviä esimerkkejä ja opastettuja harjoitustehtäviä mm.kirjassa [Kob] luvussa III.Frekvenssianalyysin vaikeuttamiseksi viesti voidaanmyös koodata jakamalla se ensin osiin, lohkoihin, jotkanumeroidaan. Jos vaikka käytettäisiin 2:n pituisia lohkoja,niin kunkin komponentin numerot olisivat välillä0,...,N 2 − 1 = 899, ja kyseessä olisi 2-kirjaimistentavujen tunnistaminen. Kasvattamalla lohkon kokoa,sanokaamme suuremmaksi kuin 4, frekvenssianalyysiinperustuva tunnistus vaikeutuu olennaisesti.Caesarin menetelmää on kehitetty ottamalla mukaanavainsana, joka määrää kirjaimien muuntumisen.Jos otetaan avaimeksi satunnainen merkkijono,joka on lähetettävän viestin pituinen, niin lasketaanyhteen viestivektorin ja avainvektorin numeeriset esityksvektoritkomponenteittain (mod N). Yllättävääkyllä, tämä menetelmä, englanninkieliseltä nimeltään

4 Solmu 2/2008”one time pad”, on ainoa tunnettu informaatioteorianmielessä luotettavaksi todistettu salausmenetelmä.Käytännössä se on kuitenkin monin tavoin hankala jaepäluotettava, avain on yhtä pitkä kuin viesti, avainvektoritovat periaatteessa kertakäyttöisiä, ja avaintenvaihto on työläs ja riskialtis operaatioVaikka salausmenetelmien ”avantgarde” onepäsymmetristen menetelmien puolella, symmetrisiämenetelmiä kehitellään myös edelleen. Kohta esiteltävätepäsymmetriset menetelmät, joihin edellä mainittursa kuuluu, ovat pitkien viestien käsittelyssä raskaita.Siksi joudutaan usein käyttämään yhdistelmää,jossa esimerkiksi lähetetään symmetrisen menetelmänavain salattuna epäsymmetrisellä menetelmällä ja symmetriselläsalattu (pitkä) viesti.Lukuteorian täydennystäOsassa I käsiteltiin kokonaislukujen jaollisuusasiotaja modulaariaritmetiikkaa. Kannattaa kaivaa aktiivimuistiinnuo asiat, ainakin määritelmät ja lauseidenjohtopäätökset. Tärkeimpiä: Jakoyhtälö (Lause I.1),SYT-lause (I.5), Eukleideen algoritmi, Fermat’n pienilause (Lause I.13). Perusasioita lukuteoriasta löytyymyös Jukka Pihkon Solmun verkkolehteen kirjoittamasta”lukuteorian helmiä”-artikkelista [JP]. Tarvitsemmeosassa I esitetyn lisäksi vielä lukuteoreettisenjälkiruoka-annoksen.Eukleideen algoritmin laajennusPalautetaan mieleen lause I.8, joka sanoo, ettäsyt(a,b) = syt(b,r), kun a esitetään jakoyhtälön (lauseI.1) ilmaisemassa muodossa: a = bq + r, 0 ≤ r < b.Tämä edustaa askelta, joka riittävän monta kertaa toistettunajohtaa syt(a,b) :n arvoon. Menettelyä kutsutaanEukleideen algoritmiksi.Edelleen muistellaan erityisellä lämmöllä ”SYTlausetta”I.5.Sehän paljastaa, että syt(a,b) :lle saadaan esitysmuodossa x a+y b, missä x ja y ovat kokonaislukukertoimia.Tähän mennessä olemme osanneet nautiskellapelkästään siitä tiedosta, että tuollaiset luvut x jay ovat olemassa, menettelyä niiden määrittämiseksiemme ole esittäneet. Nyt on sen aika!Katsotaanpa esimerkin valossa:Esimerkki 1. Määrättävä syt(171,30).171 = 5 · 30 + 21.Euklalgo: syt(171,30) = syt(30,21).Jakoyhtälö: 30 = 1 · 21 + 9.Euklalgo: syt(30,21) = syt(21,9).Jakoyhtälö: 21 = 2 · 9 + 3.Euklalgo: syt(21,9) = syt(9,3) = 3.(Seuraava jakoyhtälö: 9 = 3 · 3 + 0 johtaisi jakojäännökseenr = 0, joka on algoritmin lopetusehto.)Siis syt(171,30) = 3.Tähän saakka kerrattiin vanhaa. Johtaaksemme tavoitellunesityksen, käytämme luvuille kirjainsymolejaasian selkeyttämiseksi. Merkitään a = 171,b = 30,ja syntyvät jakojäännökset olkoot r 1 ,r 2 ,r 3 ,.... Tässär 1 = 21,r 2 = 9,r 3 = 3,r 4 = 0.Päämääränä on siis lausua viimeinen nollasta poikkeavajakojäännös (tässä r 3 ) muodossa r 3 = x a + y b.Kirjoitetaan yllä olevat jakoyhtälöt näitä merkintöjäkäyttäen: ⎧⎪⎨ a = 5 · b + r 1b = r⎪ 1 + r 2⎩r 1 = 2 · r 2 + r 3 .Kun tämä puretaan alhaalta ylöspäin, saadaan haluttuesitys. Tarkemmin sanottuna:1. Ratkaistaan alimmasta yhtälöstä r 3 r 1 :n ja r 2 :navulla.2. Sijoitetaan tähän r 3 :n lausekkeeseen r 2 ratkaistunatoiseksi alimmaisesta yhtälöstä r 1 :n ja b:n avulla.3. Sijoitetaan näin saatuun r 3 :n lausekkeeseen r 1yhtälöstä 1 lausuttuna a:n ja b:n avulla. Tämä strategiakonkretisoituu esimerkkimme tilanteessa näin:r 3 = r 1 − 2 · r 2 .r 2 = b − r 1 sij. (3):een =⇒ r 3 = r 1 − 2 · b + 2 · r 1 =3 · r}{{} 1 −2 · ba−5·bSieventämällä: syt(a,b) = r 3 = 3 · a − 17 · b.Menettely on nimeltään Laajennettu Eukleideen algoritmi.Huomautan, että kirjoituksessa [JP] on toinen vastaavanlainenesimerkki laskettuna auki. Samaisessa kirjoituksessa[JP] ss. 6–7 esiintyy myös hauska konstruktiivinentodistus SYT-lauseelle. Todistus etenee Eukleideenalgoritmin tahdissa, toisin kuin se, jonka esitinosassa I. Vastaavanlaisia esimerkkejä on myös kirjoissa[I. Lukio1] ja [I. Lukio2] aihepiireissä Eukleideen algoritmija Diophantoksen yhtälöt.Ohjelma laajennettuun Eukleideen algoritmiin.Nämä esimerkit huolella läpikäytyään lukija varmastivakuuttuu siitä, että tällainen tehtävä voidaan ainaratkaista, ja osaa pyydettäessä ratkaisun suorittaa.En muotoile lausetta matemaattiseksi algoritmiksitai lauseeksi, vaan kirjoitan sen suoraan tietokoneohjelmaksi,jollaisena se tietysti käytännön sovelluksissaesiintyy.Kirjoituksen osassa I esitin rekursiivisen ohjelmanEukleideen algoritmille. Siitä sopivasti laajentamallasaadaan ällistyttävän yksinkertainen koodi laajennetulle.Koodi noudattaa Maple-kielen syntaksia, mutta

Solmu 2/2008 5voidaan muokata helposti mille tahansa rekursion sallivallekielelle.EEukleides:=proc(a,b)if b=0 then [a,1,0]else L:=EEukleides(b,mod(a,b));d:=L[1]; x:=L[2]; y:=L[3];L:=[d,y,x - iquo(a,b)*y] #iquo:osamääräend ifend procTämä rekursiivinen (itseään kutsuva) ohjelma laskeesiis luvun d = syt(a,b) ja kertoimet x ja y siten, ettäd = ax + by (vrt. SYTlause).Edellä oleva esimerkki laskettaisiin näin:> tulos := EEukleides(171, 30);> d := tulos[1]: x := tulos[2]: y := tulos[3]:> d,x,y;3, 3, -17Saatiin kuin saatiinkin sama kuin käsin laskemalla!Algoritmi on kirjoitettu sovittamalla [I. Algo]-kirjassaannettu ”pseudokielinen” ohjelma Maple-syntaksinmukaiseksi. Elegantti tapa laajennetun Eukleideenalgoritmin yleiselle matemaattiselle todistukselle onyllä olevan ohjelman oikeaksi todistaminen, joka onkinyllättävän lyhyt ja ytimekäs ([I. Algo] Ch. 33. s. 812.Kuten sanottu, käytän esimerkeissäni symbolilaskentaohjelmaaMaple. Esimerkkien lukeminen ei edellytälainkaan ohjelman tuntemista. Selitän tarvitsemanikomennot, joita on vain muutama. Ohjelmanottaminen mukaan on sikäli mielekästä, ettävoidaan esittää asiat ihan oikean kokoisilla luvuilla.Se myös antaa konkretiaa teoreettisesti kuvailtavillealgoritmeille, ja osoittaa, että hyvä symbolilaskentaohjelmaon hyödyllinen kryptologiatyökalu.SekäMaple:n että Mathematica:n käyttäjäryhmissäon suuri määrä kryptologian esimerkkityöarkkeja.(http://www.maplesoft.com/applications/ →mathematics → Cryptography (23 kpl.) jahttp://www.wolfram.com/)Toisaalta kannattaa mainita vapaasti saatava ohjelmaMaxima, jolla kiinnostuneet voivat kokeillavastaavien asioiden toteuttamista, ellei Maple- taiMathematica-ohjelma ole käytettävissä. Viimemainituistapainotan enemmän edellistä siksi, että se onitselleni tutumpi.Huomautan vielä, että Maple:ssa on sisäänrakennettunalaajennettu Eukleideen algoritmi nimellä igcdex.Nimi koostuu osista: i - integer, gcd = greatestcommon divisor = syt ja ex - extended Komentod:=igcdex(a,b,’x’,’y’) palauttaa tuloksend=syt(a,b) ja lisäksi muuttujissa x ja y kertoimet, joillad = ax + by.Edellinen esimerkki laskettaisiin näin:> d:=igcdex(171,30,’x’,’y’):> d,x,y;3, 3, -17Jatkossa käytämme valmista igcdex-funktiota esimerkeissämmeedellä esitetynEEukleides-funktion sijasta.Yhtälön ax ≡ 1 (mod n) ratkaiseminenKyseessähän on mahdollisimman yksinkertainen ns.Diophantoksen yhtälö, jota käsiteltiin osassa I. LauseenI.12 mukaan yhtälöllä on aina yksikäsitteinen ratkaisu(mod n), mikäli syt(a,n) = 1. Ratkaisu saadaan laajennetullaEukleideen algoritmilla laskemalla luvut xja y siten, että ax + ny = 1. Kiinnostava on vain lukux. Kun se tunnetaan, niinax = 1 − ny ≡ 1 (mod n).Yllä olevalla Maple-funktiolla ratkaisu saadaan siisnäin:> igcdex(a,n,’x’,’y’):Kuten sanottu, olemme kiinnostuneita vain x:stä, d:ntiedämme 1:ksi, y voidaan heittää romukoppaan. Joshalutaan minimaalinen x, ts. redusoida (mod n), niinei muuta kuin x:=x mod n :Kiinalainen jäännöslauseAiheeseen liittyy monta tarinaa erityisesti kiinalaisen(ja kreikkalaisen) matematiikan historiasta. Löytöjä voitehdä Googlella hakusanalla Chinese remainder theorem.Eräs tarinoista on [I. Algo]-kirjassa:Noin vuonna 100 ajanlaskumme alkuhetken jälkeen kiinalainenmatemaatikko Sun-Tsu ratkaisi seuraavan ongelman:Määritä kokonaisluvut x, jotka antavat jakojäännökset2,3,2 jaettaessa luvuilla 3,5,7. Ratkaisuiksi hän sai luvutx = 23 + k · 105.Huomattakoon, että jakajat n 1 = 3,n 2 = 5,n 3 = 7ovat pareittain yhteistekijättömät ja 3 · 5 · 7 = 105,mutta miksi näin, ja mistä tulee 23 ? Nykykielellä siisratkaisu: x ≡ 23 (mod n), missä n = n 1 · n 2 · n 3 .Miten hän ratkaisuunsa päätyi, ja osasiko yleistää?Nykylukijalla on helppoa, sovelletaan kiinalaistajäännöslausetta, jota tässä ei kuitenkaan esitetä. Mainittakoonkuitenkin, että lauseen muotoili ja todistiyleisessa muodossaan – kukas muu kuin Euler v. 1734.rsa-algoritmin todistuksessa tarvittava kiinalaisenjäännöslauseen seuraus on siinä määrin erikoistapausitse lauseesta, että sen suora todistus on milteiitsestäänselvyys. Kiinalaista jännöslausetta voidaankyllä käyttää mm. rsa-menetelmän tehokkaampaantoteutukseen ja myös rsa-menetelmän murtamisyrityksiin,joten sen esittäminen olisi hyvinkin perusteltuatässä yhteydessä. Katson kuitenkin kirjoitukselleniolevan hyväksi keventää työkalupakkia, kun se on mahdollista.Kutsun tarvitsemaamme seurausta ”kiinalaiseksi selviöksi”.

6 Solmu 2/2008Lause 1 (Kiinalainen selviö). Olkoonn = n 1 n 2 · · · n k , missä syt(n i ,n j ) = 1, kun i ≠ j.Olkoon a mielivaltainen kokonaisluku. Nytx ≡ a (mod n) ⇐⇒ x ≡ a (mod n i ),i = 1,...,k.Tod. (1) Olkoon x ≡ a (mod n). Jatko jääköön lukijalleharjoitustehtäväksi.(2) Olkoon x ≡ a(mod n i ),i = 1,...,k. Tällöin jokainenn i on tekijänä (x − a) :ssa. Koska syt(n i ,n j ) = 1,kun i ≠ j, niin myös tulo n = n 1 n 2 · · · n k on tekijänä(x−a):ssa, eli x ≡ a(mod n). Tämä viimeinen päätelmäjätetään taas lukijalle harjoitustehtäväksi (miltei valmiiksiohjeistettuna).Tehtävä 1. Olkoon syt(n 1 ,n 2 ) = 1 ja olkoon n 1 | a jan 2 | a. Osoita, että n 1 n 2 | a.Vihje Taas kerran päästään liikkeelle SYTlauseen I.5avulla: 1 = n 1 x + n 2 y. Kerro puolittain a:lla, niin alatolla perillä.On selvää, että tämä yleistyy useampaan tekijään (formaalistiinduktiolla, jota esitellään mm. kirjoituksessa[JP]) . Toisaalta tarvitsemme ”kiinalaista selviötä”vain tapauksessa n = n 1 n 2 .ModulaaripotenssilaskentaTässä on kaksi näkökulmaa, 1) laskentakaava ”potenssipotenssiin” ja 2) tehokas potenssiinkorotusmenetelmä.1. Potenssi potenssiin. Silloinhan eksponentit kerrotaan.Päteekö sääntö myös (mod )-laskennassa? Mitäon siis (a k mod n) j ?a k mod n = a k + in jollain i.Siis (a k mod n) j = (a k + in) j = a k j + termejä, joissajokaisessa on in tekijänä. (Joko binomikaavalla taisuoraan tulosta (a k + in)(a k + in) · · · (a k + in), jossakaikkiin muihin termeihin paitsi siihen, jossa jokaisestabinomista otetaan ensimmäinen, tulee tekijäksi (in):npotenssi.) Eli saadaan muotoa a k j +K n oleva lauseke,missä K on jokin kokonaisluku. Siis(a k mod n) j ≡ a k j (mod n),ja potenssi potenssiin sääntö toimii kauneimmalla mahdollisellatavalla.Modulaarinen potenssiinkorotusUsein näissä yhteyksissä tulee vastaan tehtäväa b (mod n), missä esiintyvät luvut saattavat olla hyvinsuuria. Jos vaikka a on luokkaa 10 4 ja b luokkaa 10 5 ,mikä on huimasti alakanttiin tyypillistä rsa-salaustaajatellen, niin a b on luokkaa 10 400000 . Tämänkokoisillaluvuilla laskenta alkaa olla epätoivoista mille tahansalaskentamyllylle, puhumattakaan ihan normaalista tapauksesta,kuten esimerkissämme, jossa a tai b voi ollaluokkaa 10 100 .Operaatioon on olemassa tehokas ratkaisu, nimeltään”toistettu neliöön korottaminen” tai ”neliöön korotusja kerolasku”. Algoritmi kuvataan [I. Algo]-kirjassa ss.829 ja [Kob] ss. 23 – 24: Pääperiaate on, että kerätääntuloa, jossa edellisellä kierroksella saatu tulos korotetaanneliöön ja lisäksi kerrotaan sopivalla luvulla,mikäli n:n binääriesityksessä on ao. kohdalla 1. Kunkinoperaation jälkeen redusoidaan modulo n, jolloin suurinlaskennassa esiintyvä luku on kaiken aikaa ≤ n 2 .(Oletetaan, että a < n.) Jätän tilan säästämiseksi kuvauksenylimalkaiseksi, yksityiskohdat on annettu mm.yllä mainituissa viitteissä.Maple-ohjelmassa algoritmi on suoraan sisäänrakennettunakomentona: > c:=a&^b mod n: Jos tätä verrataankomentoon c:=(a^b) mod n, jota en suosittele,niin ero saattaa olla huikea, sanoisinko ääretön, ja ensinkannattaa varmistaa, että ohjelman STOP-nappulatoimii.Algoritmien vaativuusLaskennallisten algoritmien suhteen on tärkeää arvioidaniiden vaatimaa laskenta-aikaa (ja tilaa) suhteessasyötteenä olevien lukujen kokoon. Tällaisia arvioitaesiintyy kaikissa numeerisen analyysin kirjoissa, alansystemaattisen tutkimuksen katsotaan kuuluvan teoreettisentietojenkäsittelytieteen piiriin. Tässä kirjoituksessaesiintyviin lukuteoreettisiin algoritmeihin paneutuvaavaativuusanalyysia käsitellään kirjassa [Kob]huolellisesti ja perusteellisesti. Myös toinen peruskirjamme[I. Algo] sisältää runsaasti vastaavaa analyysia.Tähän kirjoitukseen en voi enää mahduttaa uutta asiaaenempää, joten joudun tyytymään tämän tärkeän komponentinosalta kirjallisuusviitteisiin. Mainitsen vainesimerkin ja ulkonäön vuoksi, missä muodossa näitä arvioitaannetaan. Eukleideen algoritmin suoritusaika onO(log 3 a), kun etsitään syt(a,b), a > b. Lyhyesti tämä”iso-O”-notaatio tarkoittaa suluissa olevaan lausekkeeseenverrannollisuutta, eli arvioon kuuluu tarkemminmääräämätön vakiokerroin.Aikaperspektiivin kannalta mainitsen, että viime marraskuutavoidaan pitää numeerisen analyysin ja laskennallistennumeeristen algoritmien tutkimuksen 60- vuotisjuhlakuukautena,sillä marraskuussa vuonna 1947 ilmestyivon Neumann’n ja Goldstine’n uraauurtava julkaisuaiheesta.Epäsymmetriset menetelmät, julkinensalakirjoitusKaikki vuoteen 1976 mennessä käytetyt kryptosysteemitlasketaan klassisiin menetelmiin kuuluviksi. Niilleon ominaista, että salausavaimesta S e voidaan kohtuullisellalaskentatyöllä johtaa purkuavain S d . Siksi

Solmu 2/2008 7niitä kutsutaan myös symmetrisiksi menetelmiksi, kutenedellä oli puhe. Käytän tulevaa ennakoiden kirjaimiae ja d, jotka liittyvät sanoihin ”encrypt”(salata) ja”decrypt” avata salaua, dekryptata.Nykyisin, kun sähköinen luottamuksellisen tiedonvälitystarve on räjähdysmäisesti kasvanut sotilasjadiplomaattialueen ulkopuolelle, on suoranainenvälttämättömyys suunnitella yhtenäinen salaustekniikka,jotta laajojen järjestelmien yhteesopivuus olisimahdollinen. Niinpä tarve yleiseen käyttöön sopivanjulkisen salakirjoitusjärjestelmän kehittämiseen nousi1970-luvulla voimakkaasti esiin.Julkisen salakirjoituksen periaateJokaisella tiedonvaihtoon osallistuvalla osapuolella onkaksi avainta, julkinen ja salainen. Kryptologian esityksissäon tullut yleiseksi tavaksi kutsua kahta kommunikoivaaosapuolta nimillä Alice ja Bob.Käytetään edellä olevien e- ja d- symbolien ohella myöskirjaimia P – ”Public”ja S – ”Secret” viittaamaankyseisiin avainfunktioihin. Alice:lla on siten julkinenavain P A ja salainen avain S A ja Bob:lla vastaavastiP B ja S B .Kommunikaatiota Alice:n ja Bob:n välillä esittää kuva,jossa on mukana ilkeä Eve, joka sieppaa linjalta salakirjoitettujaviestejä, minkä ehtii.P ABobviesti:msalaviesti: c = P A(m)Eve, vakoojaS AAlicem = S A(c)Kaikilla kommunikoivilla osapuolilla on käytössäänkaikkien muiden julkinen avain, periaatteessa ne voitaisiinvaikka julkaista webbisivulla. Lisäksi jokaisellaosapuolella X on oma henkilökohtainen salainen avainS X , jota kukaan muu maailmassa ei tiedä.Voimme ymmärtää tässä kuvailussa avaimen funktioksi,joka muuntaa viestin numeerisen esityksenselväkielisestä salakieliseksi tai päinvastoin. Jokatapauksessa funktiot P X ja S X ovat toistensakäänteisfunktioita. Niinpä, kun Bob salakirjoittaa viestinm käyttäen Alice:n julkista avainta P A , hän tuottaaluvun c = P A (m). Alice:lla ja vain Alice:lla on salainenavain S A , joka on Alice:n julkisen avaimen P Akäänteisfunktio. Siis Alice avaa Bob:n lähettämän viestinlaskulla S A (c).Mikä tässä on uutta ja ihmeellistä? Kaikki osapuolettuntevat avaimen P A , mutta tämä funktiopa onkintehty sellaiseksi, että sen käänteisfunktiota onäärimmäisen vaikea laskea. Tässä on ero symmetrisiinmenetelmiin nähden. Diffie ja Hellmann käyttivättermiä ”trapdoor function”, jolle [KN]:ssä käytetäänsuomennosta ”salaovifunktio”. Kehitin itse kevytmielisestisuomennoksen ”loukkuluukkufunktio”. Luukustaon helppo astua sisään huomatakseen joutuneensaloukkuun. Takaisin ulos päästäkseen on avattava systeemilukko,jossa on miljoonia mahdollisuuksia. Matemaattisemminilmaistuna, on löydettävä laskennallisestikohtuullinen tehtävä, jonka käänteistehtävä onlaskennallisesti kohtuuton, kuten 1000 vuotta vaativalaskenta-aika nopeimmalla supertietokoneella ja parhaallalaskenta-algoritmilla.rsa-algoritmissa tuo laskennallisesti kohtuullinentehtävä on kahden hyvin suuren alkuluvun p ja q kertominen:n = pq. Kun luvut valitaan riittävän suuriksi(luokkaa 150 numeroa), niin käänteinen tehtävä, luvunn tekijöihin jako on laskennallisesti kohtuuton.Käsitteiden ”kohtuullinen” ja ”kohtuuton” kvantifioiminenedellyttää algoritmien laskennallisen vaativuudenarvioita, mihin liittyvää ”yleissivistystä” annettiinedellä lyhyesti.On tietysti myös muistettava, että tietokoneiden prosessoritehojankasvun ja aivan uusien laskentainnovaatioidentakia loukkuluukku vuonna 2008 ei välttämättäolekaan sitä enää vuonna 2018.Mutta jatkakaamme rsa-menetelmän kuvailun tiellä.Edellä symmetrisistä menetelmistä puhuttaessa koodattiinviestit kirjain tai tavu kerallaan numeroksija muunnettiin niitä sopivasti sekoittamalla. Lukuteoriaja tietotekniikka antavat mahdollisuuden käsitelläviestejä suurina kokonaislukuina. Viestin numerokoodikäsitetään numeerisen vektorin sijasta yhdeksi suureksikokonaisluvuksi, jolle tehdään sopiva matemaattinenmuunnos P. Vastaanottaja avaa sen käytössään olevallakäänteismuunnoksella, eli salaisella avaimella S. Josviesti on kovin pitkä, se jaetaan lohkoihin, joiden pituudetvoivat olla vaikka 100 − 200 merkkiä. Ts. viestivoidaan esittää numeerisena vektorina, jonka komponentitovat (tarvittaessa) suuria kokonaislukuja.Seuraavaksi esitettävän algoritmin kuvauksessa ajatellaan,että selväkielisen viestin numeerinen vastine edustaakoko viestiä tai yhtä viestivektorin komponenttia.Tälle käytetään merkintää m, niinkuin ”message”. Salakirjoitetullemuunnokselle käytetään nimeä c, niinkuin”ciphertext”, yleisesti siis c = P(m) ja m = S(c),koska P ja S ovat toistensa käänteisfunktioita.Miten nuo P ja S rakennetaan rsa-menetelmässä? Nytolemme valmiit sen kertomaan ja perustelemaan.

8 Solmu 2/2008Algoritmi 2 (rsa). .1. Muodostetaan kaksi samaa suuruusluokkaa olevaasuurta alkulukua p ja q.2. Lasketaan n = pq ja φ = (p − 1)(q − 1). 13. Valitaan luku e, 1 < e < φ siten, ettäsyt(e,φ) = 1. (Luvun e ei tarvitse olla kauheansuuri.)4. Lasketaan laajennetulla Eukleideen algoritmillaluku d siten, että ed ≡ 1 (mod φ).5. A :n julkinen avain on (e,n) ja A :n salainenavain on (d,n).6. Olkoon m viestin numeerinen esitys, 0 ≤ m ≤ n.Muodostetaan salainen viesti c = m e (mod n)ja lähetetään A :lle.7. A avaa salaisen viestin c omalla salaisellaavaimellaan d kaavalla a = c d (mod n). Ja todellakina = m, kuten seuraavaksi osoitetaan.rsa-algoritmin oikeaksi todistaminenTod. Salainen viesti c = m e (mod n), missä m on alkuperäinenviesti, e salauseksponentti, n = pq, p ja qovat alkulukuja. Avattu viesti a = c d (mod n) missä don avauseksponentti ja toteuttaa yhtälöned ≡ 1 (mod φ), φ = (p − 1)(q − 1).Pitää siis todistaa, että avattu viesti on sama, mistälähdettiin, eli a = m.No katsotaan: c d = (m e (mod n)) d ≡ m e d (mod n)potenssipotenssiin-säännön mukaan.Nyt ed = 1 + j φ = 1 + j (p − 1)(q − 1) jollain j, jotenm e d = mm j(p−1)(q−1) . Järkevä oletus on, että m < pja m < q, jolloin varmasti syt(m,p) = syt(m,q) = 1.Niinpä Fermat’n pikkulauseen mukaanm p−1 ≡ 1 (mod p) ja m q−1 ≡ 1 (mod q), jotenm j(p−1)(q−1) = (m p−1 ) j(q−1) ≡ 1 (mod p).Vaihtamalla p:n ja q:n järjestys, saadaanm j(p−1)(q−1) ≡ 1 (mod q).Kiinalaisen selviön mukaanm j(p−1)(q−1) ≡ 1 (mod n).Siis a = c d ≡ mm e d (mod n) ≡ m (mod n)Jos luovumme yllä olevasta ”järkevästä oletuksesta”,niin esim. p | m, jolloin m e d ≡ m (mod p), koskapap on molemmissa yhtälön puolissa tekijänä. Tässä tapauksessaei tarvita Fermat’n apua, mutta tilanne onsyytä turvallisuussyistä kuitenkin sulkea pois. Joka tapauksessaväite pätee yleisesti, tehtiinpä yllä järkevätai vähemmän järkevä oletus.EsimerkkiEsitykseni on mukaelma viitteen [Cos] tyylistä. Otan”mustina laatikoina” siinä annetut funktiot to numberja from number, jotka muuttavat merkkijonon eli tekstivektorinnumeroksi ja vastaavasti takaisin merkkijonoksiannetun aakkosvektorin suhteen vastaavaan tapaankuin edellä olleet Matlab-funktiot. Erona on,että nyt emme muuta tekstivektoria numeerikseksi vektoriksi,vaan yhdeksi kokonaisluvuksi. Kaiken muunavaan komento komennolta lukijan silmien eteen.Esimerkin avaimet ovat lähes turvallista kokoa, olisivatolleet vielä hiukan yli 10 vuotta sitten. Jäljempänäpohditaan tarkemmin.Jos muutamme valitun aakkosvektorin suhteen sananSOLMU numeeriseksi saamme:> aakkoset:="ABCDEFGHIJKLMNOPQRSTUVWXYZÅÄÖ "> to_number("SOLMU");1915121321Nähdään, että kirjaimia vastaavat numerot on pantuperäkkäin tyyliin: A = 01,B = 02,...,S = 19,...U =21Toinen, kenties luonnollisempi tapa olisi esittääviesti N−järjestelmän lukuna ja muuntaa se10−järjestelmään, missä N on aakkosvektorin pituus.Tällöin samainen SOLMU muuntuisi luvuksi21 + 13 · 30 + 12 · 30 2 + 15 · 30 3 + 19 · 30 4 = 15806211.Koska yllä mainittu to number-funktio tekee edellisellätavalla, noudatan sitä.Alla esiintyvät Maple-komennot ovat suurelta osin itsensäselittäviä. Mainitsen ja kertaan tässä joitakin nimityksiäja sellaisia komentoja, joiden merkitys voi ollaepäselvä tai unohtunut.Alkukirjain i viittaa sanaan “integer”, kokonaisluku.ifactorTekijöihin jakoigcd(a,b) gcd = sytigcdex(a,b,’x’,’y’) gcd extended = LaajennettuEukleideen algoritmia mod bJakojäännös laskussa a/bMuistutan vielä, että komentod:=igcdex(a,b,’x’,’y’)palauttaa tuloksen d=syt(a,b) ja lisäksi muuttujissax ja y kertoimet, joilla d = ax + by.1 Kirjain φ viittaa ns. Eulerin φ-funktioon, emme kuitenkaan tarvitse siihen liittyvää Eulerin lausetta, vaan pärjäämme Fermat’npikkulauseella.

Solmu 2/2008 9Ja nyt se alkaa!Alice valitsee kaksi suurta alkulukua ja laskee niidentulon:> pA := nextprime(10^60 + 1234567*rand()^5);11980768160215583569801524136786215524827311143774029092192981559> qA := nextprime(10^65 + 8765439999*rand()^5);2455769488433880162001810879378440077015568602607435050878572990629> nA:=pA*qA:> length(nA);131Luvussa n A on 131 numeroa. Kokeillaan tekijöihinjakoa.> ifactor(nA);Warning, computation interruptedPainettiin STOP-nappulaa. Ei näytä siltä, että kannattaisiryhtyä odottelemaan.Kokeillaan tekijöihinjakoa, kun p A kerrotaan jollainumpimähkään valitulla pienehköllä luvulla.> ifactor(pA*465734);(2) (337) (691) (11980768160215583569801524136786215524827311143774029092192981559)Onnistuu muotoa p A k olevalle luvulle hetkessä, kunkerroin k on miljoonan luokkaa, mutta jos vähän kasvatetaan,alkaa kestää tuskaisen kauan.Seuraavaksi Alice laskee φ A :n, jota varten siis täytyytuntea n A :n tekijät p A ja q A .> phiA := (pA - 1)*(qA - 1):Alice valitsee salauseksponentin (”encryption exponent”).> eA := nextprime(10^5 + rand());624044487349Todetaan, että syt(e A ,φ A ) = 1. Tämä toteutuu hyvinsuurella todennäköisyydellä (miksi?), mutta se on kuitenkinerikseen tarkistettava.> igcd(eA, phiA);1Alice laskee nyt laajennetulla Eukleideen algoritmillaoman salaisen avaimensa eksponentin d A .> igcdex(eA, phiA, ’xA’, ’yA’):> dA := xA mod phiA;1368483131199786650215235652 ...> length(dA);131Salaisessa eksponentissa d A on 131 numeroa. Tarkistetaan,vaikka tiedetään, että e A d A ≡ 1 (mod φ A )> eA*dA mod phiA;1Alicen julkinen avain on (e A ,n A ) ja salainen avainon (d A ,n A ). Edellä esitellyn puhetavan mukaisesti voidaanmyös sanoa, että A:n julkinen avain on parametrien(e A ,n A ) määräämä funktioP A (m) = m eA (mod n A ) ja salainen avain vastaavastifunktio S A (c) = c dA (mod n A ).Bob tekee vastaavat asiat tykönään:> pB := nextprime(10^60 + 23453218*rand()^5):> qB := nextprime(10^65 + 12456800*rand()^5):> nB:=pB*qB: phiB:=(pB-1)*(qB-1):> eB := nextprime(10^4 + 3*rand());2336493690667> igcd(eB, phiB);1> igcdex(eB, phiB, ’xB’, ’yB’):> dB := xB mod phiB:> length(dB);131Bob’n julkinen avain on (e B ,n B ) ja salainen avain(d B ,n B ), ja ne määräävät samalla tavoin julkisen jasalaisen avainfunktion P B ja S B . Huomaa, että kummankinsalainen avain pysyy kunkin omana tietona.Sitä ei kukaan missään vaiheessa lähetä kenellekään.Bob salaa numeroksi koodatun viestin m käyttäenAlicen julkista avainta, ts. hän suorittaa laskunc = P A (m) = m eA (mod n A ), ja lähettää salaviestin cAlicelle, kas näin:> m := to_number(‘TAVATAAN HIEKKALAATIKOLLA‘);20012201200101143208090511110112010120091115121201> c:=m&^eA mod nA: # modulaarinen potenssiAlice avaa viestin omalla salaisella avaimellaan:a = S A (c) = c dA (mod n A ). Edellä oikeaksi todistetunalgoritmin mukaan pätee: a = m.> a:=c&^dA mod nA;20012201200101143208090511110112010120091115121201from_number(a);"TAVATAAN HIEKKALAATIKOLLA"Sähköinen allekirjoitusAlice vastaa ja varustaa viestinsä digitaalisella allekirjoituksella,jotta Bob varmasti tietää, että vastaajaon Alice ja viesti on tarkalleen se, jonka Alice onlähettänyt.Viesti voisi ollav:="OLEN ALIISA JA TULEN KANSSASI". Olkoon mtämän viestin numeerinen esitys. Alice muodostaa allekirjoituksens = S A (m), toisin sanoen hän koodaaviestinsä omalla salaisella avaimellaan, ja lähettääBob:lle viestin, jonka perään liittää tuon koodin, eli luvuns. Bob vastaanottaa sanoman vektorina [v,s], lukeeselväkielisen viestin v, jonka perusteella tietää käyttääAlice:n julkista avainta allekirjoituksen tarkistamiseen.

10 Solmu 2/2008Bob suorittaa laskun P A (s). Jos tuloksena on m, onAlice:n identiteetti ja viestin sisältö varmennettu.Sama laskettuna aukiMääritellään Maple:ssa edellä käyttettyjen avaimienavulla Alice:n julkinen ja salainen avainfunktio P A jaS A> PA:=m->m&^eA mod nA: SA:=s->s&^dA mod nA:> v:="OLEN ALIISA JA TULEN KANSSASI";> m:=to_number(v);1512051427011209091901271001272021120514271101141919011909Alice:n digitaalinen allekirjoitus> s:=SA(m); (130 numeroa):9327163344329493987807141048894710565396353..Alice lähettää viestin:> Bobille:=[v,s];["OLEN ALIISA JA TULEN KANSSASI", 9327163...]Bob muuntaa saamansa vektorin 1. komponentinnumeeriseksi ja tarkistaa viestivektorin 2. komponentinavulla viestin allekirjoitetun sisällön.> m:=to_number(Bobille[1]);1512051427011209091901271001272021120514..> t:=PA(Bobille[2]);1512051427011209091901271001272021120514..> m - t0Kaikki hyvin!Tähän voidaan tietysti vielä lisätä allekirjoitetun viestinsalaus mukaan tarvittaessa. Edellinen vastaisi(avointa) allekirjoituksella varmennettua paperia jajälkimmäinen kuoreen sinetöityä allekirjoitettua paperia.Tyypillisiä tilanteita ovat vaikkapa pankkisovellukset.Saman allekirjoituksen voi haluta tarkistaa useampikintaho. Sehän käy, koska julkinen avain on kaikillakäytössään ja salainen vain asianomaisella allekirjoittajalla.Tyypillinen esimerkki voisi olla Bob:nAlice:lle lähettämä sähköinen shekki, jonka allekirjoituksenAlice tarkistaisi, lähettäisi edelleen pankkiin,jossa se niinikään voitaisiin tarkistaa Bob:n julkistaavainta käyttäen ja suorittaa asianmukainen rahojensiirto.rsa:n turvallisuusrsa:n turvallisuus perustuu suuren luvun tekijöihinjakotehtävänvaativuuteen. Jos modulin n tekijöihinjako onnistuu, niin avaimet saadaan kädenkäänteessä noudattaen yleisen algoritmin kuvausta taisitä seurannutta esimerkkiä. Entä kääntäen, pitääköpaikkansa, että jos suuren luvun tekijöihin jako on vaikeaa,niin rsa:n murtaminen on vaikeaa? Ongelmaa ontutkittu tiiviisti rsa:n julkistamisesta lähtien, asiaa eiole pystytty todistamaan, mutta mitään muuta tapaamenetelmän murtamiseen ei myöskään ole löydetty.Lainaan [I. Algo]-kirjaa s. 835: Jos valitaan satunnaisestikaksi 100-numeroista alkulukua, niin niiden avullavoidaan muodostaa avain, joka on ”murtamaton”nykyteknologialla (v. 1998).Kuitenkin on erinäisiä seikkoja, jotka täytyy ottaa huomioon,sillä koodinmurtajien työkalupakissa on taatustiainakin modulaariaritmetiikan peruslauseet, Fermat’npikku lause, Eukleideen algoritmi, Kiinalainenjäännöslause ja parhaat laskenta-algoritmit. Lisäksiraakaa laskentavoimaa on oletettava olevan suurimmansupertietokoneen verran ja tehokkaasti hajauttaen paljonenemmänkin.[HandB] käsittelee aihetta laajasti esittäen ainakin8 erilaista hyökkäysmahdollisuutta ja niiden torjuntalääkkeet.Monissa muissa lähteissä, kuten [Nyberg],[Wiki] ja aivan erityisesti [Sti] (s. 225) on lisää kryptoanalyyttisiäkonnankoukkuja ja niiden vastalääkkeitä.Pari yksinkertaisinta seikkaa mainitakseni, on selvää,että alkulukujen p ja q on molempien oltava niin suuria,ettei pienistä luvuista lähtevä alkulukujen laskentaja tekijätarkistus onnistu kohtuuajassa. Toisaalta neeivät saa olla niin lähellä toisiaan, että voitaisiin tekijänetsintä aloittaa √ n:n läheltä.Pieni salauseksponentti e on salaamisen kannalta tehokas,mutta ongelmallinen, jos viesti (tai viestin osa)m on niin pieni, että m < n 1/e . Tällöinhän salaviestic = m e (mod n) = m e (mieti!). Murtaja Eve muodostaaluvun c 1/e , ja lukee m:ää kuin avointa kirjaa. Tämävoidaan estää lisäämällä viestiin riittävästi ”suolaa”, eliylimääräistä puppua.Kryptologia on aina ollut kahden joukkueen välistä kilpajuoksua.Rauhanomaiseen kilpailutoimintaan liittyyRSA129-projekti, joka lähti liikkeelle, kun rsa:n keksijätRivest, Shamir ja Adleman esittivät vuonna 1977Scientific American-lehdessä 129-numeroisen kahdenalkuluvun tulon haasteeksi tiedeyhteisölle tekijöidenlöytämistä varten. He arvioivat tekijöihin jakoon kuluvanaikaa n. 20000 vuotta silloisilla menetelmillä jatekniikalla. Hollantilainen lukuteoreetikko Arjen Lenstraorganisoi maailmanlaajuisen laskentaverkostonhttp://www.math.okstate.edu/∼wrightd/numthry/rsa129.htmlLenstran ryhmä käytti 1980-luvulla kehitettyä uuttalukuteoreettista menetelmää ja kykeni purkamaan algoritminrinnakkaislaskentaa hyödyntävään muotoon.Huhtikuussa 1994 tekijöihin jako onnistui, ja rsa:llasalattu viesti saatiin auki. Viestin sisältö oli: ”Themagic words are squeamish ossifrage.”Kilpajuoksu ei päättynyt tähän. [Wiki]:ssä mainitaanluku RSA-200, joka jaettiin tekijöihin vuonna2005. Kirjassa [Sti] (v. 2006) s. 175 mainitaan.että nykyiset tekijöihinjakoalgoritmit löytävät 512:npituisen binääriluvun tekijät. Luvun pituus kymmenjärjestelmässäsaadaan kertomalla log 10 2:lla (eikö

Solmu 2/2008 11vain), joten se on n. 150 numeroa. Turvalliseksi luvunn = pq suuruudeksi Stinton vakuuttaa nykytietämyksellä1024 bittiä, siis n. 300 numeroa 10-järjestelmässä.Ajantasaista tietoa voi hakea [Wiki]:sta sanoilla ”RSAFactoring challenge”, joka kertoo, että tämä kilpailumuotolopetettiin vuonna 2007, koska ”nykyteollisuudellaon aiempaa huomattavasti kehittyneempiymmärrys yleisistä kryptoanalyyttisistä periaatteista”.Tulevaisuuden näkymiäEdellä nähtiin, että arviot avainten turvalliseen kokoonliittyvistä vaatimuksista tahtovat jäädä jälkeensiitä, minkä tänään oletetaan riittävän pitkälle tulevaisuuteen.Tästä syystä ei voida pysähtyä lepäämäänrsa-laakereilla, vaan on välttämätöntä kehittää uusia”loukkuluukkuideoita”.Kryptologiset menetelmät ovat laajentuneet abstraktiaalgebraa, algebrallista geometriaa, elliptisiä käyriä,ym. kehittyneitä moderneja matemaattisia teorioitakäyttämään. Lisäksi determinististen menetelmienohella on ryhdytty kehittämään myös todennäköisyyslaskentaanpohjautuvia satunnaisuuteenperustuvia menetelmiä.Kryptologiassa yhdistyvät kiehtovalla tavalla vuosituhansienaikana kehittyneet lukuteorian menetelmätuusien abstraktien matemaattisten teorioiden tarjoamiinmahdollisuuksiin. Tärkeänä komponenttina ontietotekniikka teoreettisena työvälineenä, tehokkaanlaskentavälineistön mahdollistajana, ja tietysti syynja motiivin antajana koko toiminnalle tietoverkkojen,matkapuhelimien, sirukorttien maailmassa.Viitteet[I. Algo ] Cormen, Leiserson, Rivest: Kts. Osa 1[DH ] W. Diffie, M. Hellman. New directions in cryptography,IEEE Transactions on Information TheoryIT-22 (1976), 644-654.[HandB ] A. Menezes, P. van Oorschot, S.Vanstone. Handbook of applied cryptography:http://www.cacr.math.uwaterloo.ca/hac/.[CodeB ] D. Kahn, The Codebreakers, Macmillan1967, kirjasta on uudempi painos.[Crt ] Bernhard Esslinger. Cryptography and Mathematics,http://www.cryptool.com/ . Vapaanlähdekoodin ohjelmapaketti ja opetusteksti.[InCode ] Sarah Flannery, David Flannery. In Code: AMathematical Journey.Lukuteorian ja kryptologian periaatteiden yleistajuinenesitys nerokkaan irlantilaisen koulutytön jaisän kirjoittamana. http://www.amazon.com/ [HakusanaIn Code] (Ehkä tästä joku koulutyttö tai poikavoisi innostua vaikka kirjoittamaan kirja-arvion.)[Cos ] John B. Cosgrave. Bill Clinton, BertieAhern, and digital signatures (A Maplebasedintroduction to public-key cryptography)http://staff.spd.dcu.ie/johnbcos/Maple public other.htm[Ke-Te ] Veikko Keränen, Jouko Teeriaho.Salausmenetelmät, Rovaniemen AMK2006: http://ta.ramk.fi/∼jouko.teeriaho/krypto2006/krypto.htm. Kurssimateriaali,käyttää hyväkseen Mathematica-ohjelmaa.[Skk ] Simo Kivelä. rsa-menetelmän Mathematicatoteutus.http://matta.hut.fi/matta2/mma/rsa.pdf[Kob ] N. Koblitz. A Course in Number Theory andCryptography, Springer 1994.[KN ] Kaisa Nyberg. Kryptologia – tiedon turvaamisentiede, Tietojenkäsittelytiede 26 kesäkuu 2007 ss.31–52.[JP ] Jukka Pihko, Lukuteorian helmiä,solmu.math.helsinki.fi/2008/1/pihko.pdf[rsa ] R. Rivest, A. Shamir, L. Adelman. Amethod for obtaining digital signatures andpublic-key cryptosystems, Communications of theACM, 21 (1978), 120-126. Luettavissa tästä:theory.lcs.mit.edu/∼rivest/rsapaper.pdf[AS ] Arto Salomaa. Public-Key Cryptography,Springer-Verlag, Berlin 1990.[Sti ] D. R. Stinson. Cryptography, Theory and Practice,Chapman & Hall/CRC Press, Boca Raton-London-New York, Third Edition, 2006Kurssikirjaviitteenä Kaisa Nybergin (TKK) ja KeijoRuohosen (TTY) opetussivuilla. (Kirjassa 353 viitettä.)[Wiki ] http://en.wikipedia.org/wiki/Hakusanoja: Cryptography, History of cryptography,World War II cryptography, Enigma machine,Quantum Cryptography, RSA, RSA Factoring challenge,