Números Inteiros e Criptografia RSA

(1)

N ´umeros Inteiros e Criptografia RSA

Guilherme de Loreno¹ , Daniela Maria Grande Vicente¹

1Colegiado do Curso de Matemática - Centro de Ciências Exatas e Tecnológicas da Universidade Estadual do Oeste do Paraná

Caixa Postal 711 - 85819-110 - Cascavel - PR - Brasil

[email protected], [email protected]

Resumo. Nesse projeto de iniciação cient´ıfica estudamos um dos métodos mais utiliza- dos de criptografia de chave pública, o RSA, bem como a matemática requerida para a compreensão do mesmo. Descrevemos aqui, sucintamente, o funcionamento do método da Criptografia RSA, que nada mais é que um método para codificar mensagens, nas quais apenas o destinatário leg´ıtimo conseguirá decodificar. Neste artigo apresenta- mos uma breve explicação de como funciona o método de codificação, assim como o de decodificação e uma discussão, em linhas gerais, do porquê que tal método sem- pre funciona. O objetivo principal deste projeto de iniciação cient´ıfica foi de estudar a matemática envolvida em um dos principais métodos de criptografia comercialmente utilizado.

Palavras Chaves. Criptografia RSA; Codificação: Decodificação; Congruência;

N´umeros Primos;

1. Introduc¸˜ao

Atualmente, as pessoas cada vez mais vem usando a internet para realizar transações bancárias ou comerciais. Para que essas transações sejam seguras é preciso bons métodos de criptografia, pois é relativamente fácil interceptar mensagens enviadas por linha te- lefônica, tornando-se necessário codificar essas mensagens de forma que só o seu des- tinatário possa decodifica-la. Um dos métodos de criptografia de chave pública mais utilizados comercialmente é o RSA, e foi inventado em 1978 por R. L. Rivest, A. Shamir e L. Andleman. O método consiste basicamente em dois processos, o primeiro de codificar a mensagem e posteriormente decodificar. Mais especificamente, o método RSA consiste na escolha de dois números primos grandes (de 150 algarismos ou mais). Para decodificar uma mensagem precisamos conhecer esses dois números primos, que chama- remos de p e q. A chave de codificação do RSA é a multiplicação delesn = p.q e esse número é conhecido como a ?chave pública?, pois n pode ser tornado público. Já a chave de decodificação é constitu´ıda pelos númerosp e q que são mantidos em seguedo pelo usuário. Então, para decifrar o RSA basta fatorar o número n e encontrar p e q. Porém

(2)

isso se torna muito trabalhoso e até mesmo praticamente imposs´ıvel, pois no método RSA os números que devem ser fatorados são muito grandes, com mais de 150 algarismos. Podemos dizer então que é disso que a segurança do RSA depende, da ineficiência dos métodos de fatoração atualmente conhecidos.

1.1. Teoria dos N ´umeros

Dentre os problemas que vamos analisar para descrever o método RSA está re- lacionado a chamada Teoria dos Números, que é o ramo da matemática que estuda as propriedades dos números em geral, principalmente do conjunto dos inteiros. Para com- preender o método, devemos saber calcular o resto da divisão de uma potência por um número dado, encontrar um número que deixa restos espec´ıficos quando divididos por outros números e também estabelecer critérios de divisibilidade por números primos, calcular o máximo divisor comum e o m´ınimo múltiplo comum entre dois números dados.

O estudo das propriedades dos números inteiros se remete já as an- tigas civilizações, contudo foi na Grécia Antiga que identificamos a teoria como a entendemos hoje em dia, muitos desses problemas são discuti- dos no livro Elementos do matemático grego Euclides. Mas, foi durante o Renascimento europeu que muitas obras gregas foram publicadas na Eu- ropa e despertaram o interesse de muitos no continente, dentre eles o su´ıço Leonard Euler, o francês Pierre de Fermat e o alemão Carl Friedrich Gauss, no per´ıodo que vai do século XVII ao XIX. A maioria das ideias que estudaremos foram herdadas da Grécia Antiga, ou desses três matemáticos.

(3)

Nessa seção apresentamos algumas das propriedades básicas dos números inteiros que serão necessárias para melhor compreensão do RSA mais adiante.

1.1.1. Divisores e m ´ultiplos

Os resultados apresentados abaixo podem ser encontrados mais detalhadamente em [HEFEZ, 2015].

Divisores

Definição 1. Dado um b ∈ Z, dizemos que b divide outro inteiro a, representado por b | a, se existec ∈ Ztal quea =bc, ou também que b é um divisor deaou fator de, ou ainda que a é múltiplo deb. Na prática, determinamos sebdividea, efetuando a divisão e verificando se o resto é zero.

Propriedades 1. Sejama, b, c, d∈Zent˜ao vale as seguintes propriedades:

i) d|0,∀d∈Z;

ii) sed|aed|b, ent˜aod|a+b;

iii) sed|aent˜aod|a.c.

M ´ultiplos

Definic¸˜ao 2. Sejaa∈Z, o conjunto

a·Z={a·d ; d∈Z}

´e o conjunto dos m´ultiplos dea.

Propriedades 2. Sejama, m, x, y∈Z.Ent˜ao valem as seguintes propriedades:

i) 0´e m´ultiplo dea;

ii) Sem é um múltiplo dea, então−m é múltiplo dea;

iii) Um múltiplo de um múltiplo deaé um múltiplo dea;

iv) Sexeysão múltiplos de a então,x+yex−ysão múltiplos dea.

1.1.2. M´ınimo M ´ultiplo Comum e M´aximo Divisor Comum

Definição 3. Seja a, b ∈ Z não nulos, mesmo que não sejam ambos positivos, então define-se o m´ınimo múltiplo comum de a e b , detonado pormmc(a, b) como sendo o menor múltiplo comum positivo, ou seja, o menor elemento positivo do conjunto

aZ∩bZ.

Definição 4. Dadosa, b∈ Znão simultaneamente nulos, o maior divisor comum de a e b será o máximo divisor comum de a e b, denotado por, mdc(a,b).

Temos que,

mdc(a, b) = mdc(b, a).

Alguns resultados

(4)

i) Sejama, b∈Ztem-se quemmc(a, b)·mdc(a, b) = a.b;

ii) Sejama, b∈Z. Ent˜aommc(a, b) = a·bse, e somente se,mdc(a, b) = 1;

iii) Todo múltiplo comum de dois inteirosaeb é múltiplo demmc(a, b);

iv) Para quaisquera, b∈Z,mdc(a, b) =mdc(a, b−a);

v) Para quaisquera, b, c∈Z,mmc(a, b, c) =mmc(mmc(a, b), c);

vi) Sejama, b∈Z, quaisquer ambos n˜ao nulos, existem inteirosm, ntais que mdc(a, b) = a·n+b·m.

Esse último resultado é conhecido comoRelação de Bezout.

1.1.3. N ´umeros Primos e Compostos

Números primos desempenham um papel muito importante na teoria dos números e também no RSA. Portanto, vamos começar o definindo.

Definição 5. Um inteiro p é ditoprimo, comp6=±1, se os únicos divisores de p são±1e

±p. Por outro lado, um inteiro diferente de±1, que não é primo é chamado de composto.

Definição 6. Dados a, b inteiros positivos, dizemos que a e b são primos entre si se, mdc(a, b) = 1.

O nomenúmero primo é uma herança dos gregos, eles classificavam os números em primeiros ou indecompon´ıveis e secundários ou compostos. Os compostos são chamados assim por serem formados a partir dos primos. Os romanos apenas traduziram literalmente a palavra para primeiro, que em latim éprimus. Contudo, determinar se um inteiro é primo ou composto pode ser uma tarefa muito dif´ıcil, que pode ser ligeiramente auxiliada com os critérios de divisibilidade.

1.2. Alguns Crit´erios de Divisibilidade Divisibilidade por 2

Um inteiro ´e divis´ıvel por 2 se, e somente se, seu algarismo das unidades for par.

Divisibilidade por 3

Um inteiro ´e divis´ıvel por 3 se, e somente se, a soma dos seus algarismos ´e divis´ıvel por 3.

Divisibilidade por 5

Um inteiro ´e divis´ıvel por 5 se, e somente se, seu algarismo das unidades ´e 0 ou 5.

Divisibilidade por 7 Um inteiro,

a=an·10ⁿ+aⁿ₋1·10ⁿ⁻¹. . .+a1·10 +a0 = (aⁿ·10ⁿ⁻¹+an−1·10ⁿ⁻². . .+a1)·10 +a0

é divis´ıvel por 7 se3·â+a0também for, ondeâ=an·10ⁿ⁻¹+an−1·10ⁿ⁻². . .+a1.

(5)

1.3. Fatorando inteiros

Nessa seção apresentamos um meio de como fatorar um inteiro, isto é, como encontrar todos os seus fatores primos. Os resultados a seguir, podem ser encontrados com mais detalhes em [COUTINHO, 2015].

1.3.1. Algoritmo achar fator

Dado um inteiro no qual deseja-se fatorar, primeiro tente dividir n por 2, se for divis´ıvel páre, pois descobrimos que 2 é fator den, se não for tente dividir por 3. Se for divis´ıvel páre, pois descobrimos que 3 é fator den, se não for tente dividir por 5. Continue dessa maneira até encontrar um número que divida n ou até que o candidato a divisor seja maior que√

n. Neste ´ultimo caso n ´e primo.

Podemos resumir isso tudo em uma única proposição.

Proposição 1. O fator de um número inteiro n > 1 encontrado pelo algoritmo achar fator acima é sempre um número primo menor ou igual que a raiz quadrada de n.

Demonstração. Suponha que o inteiro positivo n, que desejamos fatorar, é composto.

Supondo que aplicando o algoritmo emnencontramos o menor fatorpden, ou seja,

n =p·c, para algumc∈Z. (1)

Contudo c também é divisor de n. Levando em conta que p é o menor desses divisores, podemos escrever que

c≥p (2)

Combinando (1) e (2), obtemos,

n =p·c≥p·p ⇒ p≤√ n.

Mostrando de fato o que quer´ıamos provar.

Esse é um modelo mais simples de um modo de calcular um fator (ou divisor) de um número. Todavia nosso objetivo é escrevern como o produto de fatores primos, a fim de encontrar os outros fatores devemos apenas aplicar o algoritmo achar fator suces- sivas vezes. Entretanto, na prática se o número for grande, como veremos com detalhes adiante, pode-se demorar até milhares de anos para que se consiga fatorar um número, mesmo utilizando um poderoso computador, a fim de encontrar os fatores primos, além disso, acabaria se tornando muito caro fazer tal processo. Assim, o algoritmo achar-fator pode ser facilmente entendido e de utilizar porém, é ineficiente mesmo utilizando um computador.

1.4. Teorema da Fatoroção Única

Teorema 2(Teorema Fundamental da Aritmética). Dado um inteiro positivon ≥ 2po- demos escrevê-lo, de modo único, na forma

n =p1 e₁

... pk e_k

onde1< p1 < p2 < p3 < ... < pksão números primos ee1, ..., ek são inteiros positivos.

(6)

Além disso, os númerose1, ..., ek são chamados de multiplicidade e observemos que a quantidade total de fatores primos ( distintos ou não ) é a soma das multiplicidades e1+...+ek.

Esse teorema é tão importante que geralmente é chamado deTeorema Fundamen- tal da Aritmética. Quem primeiro o enuciou foi Carl Friedrich Gauss em sua famosa obra Disquisitiones Arithmeticaede 1801, porém já vinha sendo usado desde a Grécia Antiga.

O Teorema nos diz duas coisas, primeiro que todo inteiro pode ser escrito como o produto de fatores primos e que só dá uma escolha poss´ıvel de primos e expoentes para a fatoração de um inteiro dado. Tendo esse enunciado, podemos explicar por que é ne- cessário excluir±1da definição de primo, pois, senão fizéssemos isso, não poder´ıamos fa- lar de unicidade da fatoração dita no teorema. Isto é,±1não são primos, todavia também não são compostos.

1.5. Propriedade Fundamental dos Primos

Teorema 3. Sejama, b, c∈Z⁺e suponhamos queaebsão primos entre si. Então, i) Seb|acentãob|c

ii) Sea|ceb|cent˜ao o produtoab|c.

Demonstração. i) Como a, b são primos entre si, então mdc(a, b) = 1, assim existem m, n∈Z, tais quem·a+n·b=mdc(a, b) = 1, multiplicando ambos os membros por c, temos

m·n·c+n·b·c=c.

Dondeb|b·n·ceb|a·m·c,e temos por hip´otese queb |ac, logob|c.

ii)Temos quea |c,logo existetinteiro, tal que

c=a·t

e tamb´em temos que,b |cemdc(a, b) = 1, segue que dei), que

b|t,

ou seja,t=b·k, para algum inteirok, assim

c=a·t =a·(bk)⇔a·b |c.

1.6. Aritm´etica Modular

Estudado a definição de divisibilidade e suas propriedades, agora vamos introduzir um novo conceito que Gauss desenvolveu, que é a Aritmética dos Restos, que nada mais

é que o estudo dos restos de inteiros sucessivos na divisão por um inteiron. E em vista disso, podemos dizer que os restos das divisões desses inteiros sucessivos repetem-se com per´ıodo exatamente igual an. As propriedades e resultados encontrados são muito im- portantes para o entendimento do método RSA.As definição e propriedades deAritmética Modularforem extra´ıdas da referência [COUTINHO, 2013].

(7)

Uma maneira sistemática de se introduzir a aritmética modular é através de relações de equivalência. Seja X um conjunto e X 6= ∅. Dizemos que há uma relação emX quando comparamos dois elementos desse conjunto, denotemos essa relação por

∽. Essa relação será deequivalência, quando dadosx, y, z ∈Xcumprem-se as seguintes propriedades:

i) Reflexiva:x∽x

ii) Sim´etrica: sex∽y⇒y∽x

iii) Transitiva: sex∽yey∽x⇒x∽z

Sex ∈ X então aclasse de equivalênciadex é o conjunto dos elementos deX que são equivalentes axpor∽. Simbolicamente,

x={y ∈X;y ∼x} Temos que dadox∈X e dado umy∈xent˜aox=y.

Com esses conceitos, podemos agora construir uma relação de equivalência no conjunto dos inteiros. Diremos que dois inteiros a e b são congruentes módulo n se n|b−ae escrevemos,

a≡b mod n.

Agora devemos de fato, mostrar que congruência é uma relação de equivalência.

Para isso devemos mostrar as trˆes propriedades, a reflexividade, a simetria e a transitivi- dade.

i) Sejaa ∈ Z, temos quea ≡ a mod npoisn | a−a= 0. Portanto a congruˆencia

≡´e reflexiva.

ii) Sejaa, b∈Z, tais quea≡b mod n, logo n |b−a

e pela teoria de n´umeros inteiros, sen|b−aent˜aon |a−b, assim b≡a mod n.

Portanto a congruência≡ é simétrica.

iii) Sejama, b, c∈Z, tais que

a≡b mod n b≡c mod n logo temos que,

n |b−a e

n |c−b

isso quer dizer que tanto b −a como c −b são múltiplos, e como a soma de múltiplos de um inteirontambém é um múltiplo den, logo

n |b−a+ (c−b)⇒n|c−a ⇒a≡c mod n.

Portanto≡é transitiva. Como a relação≡ é reflexiva, simétrica e transitiva então a relação≡ é umarelação de equivalência.

(8)

Um outro modo de definir congruência modular é sejan ∈ Zen > 1. Diremos que dois inteirosaebsãocongruentes módulo nse, e somente se,aebpossu´ırem mesmo resto quando divididos porn. Simbolicamente,

a≡b mod n.

A seguir, iremos demonstrar um resultado que foi usado anteriormente.

Proposição 4. Sejam a, b, n ∈ Z, com n > 1. Então a≡c mod n se, e somente se, n|b−a.

Demonstração. ⇒) Comoa≡b mod n, então

a=n.k1+r1 (3)

b=n.k2+r1 (4)

Subtraindo(4)de(3)temos,

b−a=n.k2+r1−(n.k1+r1)=n.(k2−k1) +r1−r1⇒n |b−a

⇐) Pelo algoritmo da divis˜ao de Euclides, temos :

a=n.k1+r1 (5)

b=n.k2+r2 (6)

Subtraindo(6)de(5)temos,

b−a=n.k2+r1−(n.k1+r2)=n.(k2−k1) +r1−r2

E como temos por hip´otese quen|b−a, logo

r2−r1 = 0⇒r2 =r1.

Portantoaebtem o mesmo resto quando divididos porn. Logo,a≡b mod n.

Proposição 5. Sejamx, y, a, b, n∈Z, comn >1, sea ≡b mod nex≡y mod n,então a+x≡b+y mod n.

Demonstração. Temos quea≡b mod nex≡y mod n, então

a−b=k·n (7)

x−y =l·n (8)

com,k, l ∈Z.

Somando (7) e (8) temos que,

a−b+x−y=n·(k+l)⇒(a+x)−(b+y) =n·(k+l)⇒a+x≡b+y mod n.

(9)

Analogamente prova-se que, se a ≡ b mod n e x ≡ y mod n, ent˜ao a−x≡b−y mod n.

Proposição.Sea ≡b mod nex≡y mod n, entãoa·x≡b·y mod n.

Demonstração.Temos quea≡b mod nex≡y mod n, então

a−b =k·n ⇒a=b+k·n (9)

x−y =l·n⇒x=y+l·n. (10) Multiplicando (9) por (10), obtemos

a·x= (b+k·n)·(y+l·n) ⇒ a·x=b·y+b·l·n+k·n·y+k·n·l·n

⇒ a·x=b·y+n·(b·l+k·y+k·l·n)

⇒ a·x−b·y=n·(b·l+k·y+k·l·n), de modo que a diferençaa·x−b·y é um múltiplo de n, que é equivalente a dizer que a·x≡b·y mod n.

Em particular,

a^k≡(b)^k mod n, para qualquerk≥0.

1.7. Crit´erios de Divisibilidade

Na seção 1.2 apresentamos alguns critérios de divisibilidade, porém sem fazermos a demonstração. Agora já com o conceito e várias propriedades de congruência modular estabelecidos, podemos demonstrar alguns desses critérios usando congruência modular.

Crit´erio de divisibilidade por 3

Seja a ∈ Z. Queremos verificar se a ´e divis´ıvel por 3. Para isso precisamos conhecer os algarismos dea. Digamos que,

a=anan−1...a1a0,

ondea0 ´e o algarismo das unidades,a1 o algarismo das dezenas, e assim sucessi- vamente. Logo,

a =an10ⁿ+an−110ⁿ⁻¹+...+a110¹+a0. Observemos que,

10≡1mod3.

Logo qualquer potência de 10 é congruente a 1 módulo 3. Portanto,

a≡an+an−1+...+a1+a0 mod n. (11) Se o segundo membro de(11) ´e divis´ıvel por 3, ent˜ao

(10)

an+an−1+...+a1+a0 ≡0mod3.

Donde, podemos concluir que

a≡0mod3

Isto é,a é divis´ıvel por 3. Portanto, um número é divis´ıvel por 3 se, e somente se, a soma dos seus algarismos também for.

Crit´erio de divisibilidade por 11

Suponha que os algarismos deasejamanan−1...a1a0,assim

a=an10ⁿan−110ⁿ⁻¹...a110a0.

Observemos que10≡ −1mod11, portanto

10^k≡(−1)^k mod11,

donde(−1)^k ´e igual a 1 ou -1 dependendo da paridade dek. Assim,

a≡an(−1)ⁿ+an−1(−1)ⁿ⁻¹+...+ (−a1) +a0 mod11 (12) logo, de(12) obtivemos a soma alternada dos algarimos. Portanto conclu´ımos que um inteiro ´e divis´ıvel por 11 se, e somente se, a soma alternada de seus algarismos ´e divis´ıvel por 11.

Os critérios de divisibilidade por 2 e 5 são mais fáceis e não precisamos de con- gruência para entender por que são verdade.

1.8. Potˆencias

Uma outra aplicação das congruências é no cálculo do resto de potências por um número qualquer, no qual esse método é muito importante na implementação do RSA, pois reduz o problema de calcular o resto da divisão de um número muito grande, para mais simples, com números menores e mais fáceis de serem trabalhados. Iremos analisar esse método através de dois exemplos.

Queremos calcular o resto da divisão de 10¹³⁵ por 7. Observemos que 10⁶ ≡1 (mod7). Temos então as seguintes congruências módulo 7

10¹³⁵≡(10⁶)²².10³ ≡(1)²².10³ ≡6 mod n.

Logo o resto da divis˜ao de10¹³⁵por7´e 6.

Agora queremos encontrar o resto da divisão de2^{124 512}por31. A verdade é que o maior problema é encontrar o quociente dessa divisão, pelo motivo do dividendo ser um número muito grande. Já que, para o resto podemos utilizar congruências. Calculemos as potências de 2 módulo 31,

2² ≡4 mod31 2³ ≡8 mod31 2⁴ ≡16 mod31 2⁵ ≡32≡1 mod31.