MA-53G Intr.

a la Criptografa Semestre Primavera, 1996

Catedra No. 8 : 28 de Agosto
Transcriptor: Jens Hardings

1 Criptografa Moderna o de Clave Publica

En los criptosistemas vistos hasta ahora, Alicia y Roberto eligen la clave K en secreto,
comunicandola a traves de un canal seguro. Esta clave permite generar una regla
de encripcion eK y una regla de decripcion dK . En los criptosistemas que hemos
estudiado, dK es facilmente derivable al conocer eK . Los criptosistemas de este tipo
se conocen con el nombre de criptosistemas de clave privada.
Evidentemente, al usar este tipo de sistemas se depende de la existencia previa
(aunque sea temporal) de un canal seguro, en el cual Alicia y Roberto se comuni-
can la clave, para luego poder mandar informacion a traves de otro canal inseguro.
En cambio, la criptografa de clave publica se basa en la idea que quizas es posible
encontrar un criptosistema en que es computacionalmente infactible determinar dK
dado eK . En ese caso, eK puede ser publicada por Roberto, y Alicia o cualquier otro
individuo puede enviar mensajes encriptados a Roberto usando eK y este ultimo sera
la unica persona capaz de decriptar el texto cifrado usando su regla de decripcion
secreta dK .
La idea de la criptografa publica se debe a Die y Hellman [1976], los cuales no dieron
un ejemplo de criptosistema de este tipo. Ellos propusieron que poda construirse un
criptosistema de este tipo si era posible encontrar una funcion \facil" de calcular,
pero \difcil" de invertir. La primera realizacion de criptosistema publico se debe a
Rivest, Shamir y Adleman [1977].
Es importante notar que un criptosistema de clave publica no podra jamas ser un
criptosistema perfectamente secreto. En efecto, conocido el texto cifrado, un adver-
sario puede encriptar todos los textos planos y determinar cual es el unico tal que
y = eK (x), dado que el adversario conoce eK . Luego, el texto cifrado enviado permite
identicar completamente el texto plano. Por lo tanto, la discusion de la seguridad
de los criptosistemas de clave publica necesariamente debe hacerse en el ambito de la
seguridad computacional, i.e. la dicultad computacional de calcular dK conociendo
eK .

1
 
2 FUNCIONES DE SENTIDO UNICO Y DE PUERTA SECRETA 2

2 Funciones de sentido unico y de puerta secreta

La nocion detras de las funciones de sentido unico es que se tiene una funcion
f : P ! C tal que
 f es facil de calcular
 f no es tan facil de calcular
1

Esta abstraccion es util al hablar de criptosistemas de clave publica. Mas adelante

formalizamos la nocion de funciones de un solo sentido.
No se conoce la existencia de estas funciones, sin embargo existen conjeturas acerca
de posibles candidatos:
 Factorizacion
f :N N !N
(m; n) 7! m
n
Si el dominio de esta funcion se restringe a los pares (m; n) tales que m y n
son primos, f tiene inversa y se supone que es difcil de calcular. La razon por
la cual se considera \difcil" de invertir esta funcion es que, despues de mucho
tiempo de investigacion, el algoritmo conocido1 mas eciente 2
para factorizar (y
por ende invertir f ) se demora e ; o lg n 3 lg lg n 3
(1 92+ (1))( ( )) ( ( ( )))

 Logaritmo Discreto
Sea p un primo, Zp = Zp nf0g es un grupo multiplicativo y es cclico, i.e. existe
g en Zp tal que Zp = fgi j i 2 f1; 2;


; p 1gg. Sea f (p; g; i) = (gi mod p; q; g),
donde p es primo, i es un entero no negativo y g es generador de Zp .
Se presume que f (
;
;
) es de sentido unico, ya que el mejor algoritmo1 conocido
para calcular la inversa (el logaritmo discreto) toma O(e lg p
lg lg p 2 )( ( ) ( ( )))

Observacion: f (
;
;
) se puede calcular ecientemente por el metodo de los

cuadrados iterados que veremos mas adelante.
Pero la criptografa de clave publica requiere mas que una funcion de un sentido. La
regla de encripcion eK debe ser facil de invertir para quien la publica.
Se requieren funciones de un sentido con puerta secreta, i.e. tales que cierta infor-
macion (que no se publica) las hagan faciles de invertir.
3 RSA 3

3 RSA
RSA es el criptosistema de clave publica ideado por Rivest, Shamir y Adleman. En
este sistema, P = C = Zn, n = p
q donde p y q son primos impares. Ademas
K = f(p; q; a; b) j n = p
q y ab  1(mod'(n))g, donde '(n) es la funcion phi de
Euler, y
eK = xa mod n
dK = yb mod n:
La clave publica es (n; a).
El sistema se basa en la suposicion que f (n; a; x) = (xa mod n; n; a) es una funcion
de sentido unico.
Ademas, la puerta secreta que permite decriptar de manera \facil" es el conocimiento
de p y q, y luego de '(n) = (p 1)(q 1). Por lo tanto, si a es primo relativo a
'(n), podemos calcular el exponente de decripcion b por el algoritmo de Euclides.
Observar que para que dK (eK (x)) = x, se debe tener que x = xab mod n; 8x 2 Zn
si ab  1(mod'(n)). No estamos en condiciones de probar esto ultimo. Para ello
requerimos ahondar en teora de numeros.

4 Mas de teora de numeros

Teorema 1 El peque~no teorema de Fermat
Sea p un primo. Entonces, para todo entero a, ap  a(modp) y si a no es divisible
por p, entonces ap 1  1(mod p).
Dem: Sea a divisible por p. Entonces a  0(modp) y ap  0(modp) por lo que
ap  a(modp).
Si p no divide a a tenemos que jfia mod p j i 2 f1; :::; p 1ggj = p 1. En efecto, si
i es distinto de j y ia  ja(mod p), entonces p divide a a(i j ). Como p es primo, p
no divide a a, y p es primo relativo con a, tenemos que p j (i j ), lo cual contradice
el supuesto anterior.
Luego, el conjunto fia mod p j i 2 f1; :::; p 1gg = Zp
pY1 pY1
i  (ia)(modp)
i=1 i=1
  DE TEORIA DE NUMEROS
4 MAS  4
pY1 pY1
ap 1
i  i
i=1 i=1
Como Qpi i es primo relativo con p, se puede cancelar en ambos lados y obtenemos
1
=1
ap  1(modp)
1

Inmediatamente se ve que ap  a(modp)

Corolario 1 Si a no es divisible por p y n  m(mod(p 1)), entonces

an  am (modp).
Dem: Si n  m(modp 1), entonces se cumple que existe un entero b tal que
n = m + b(p 1). Por lo tanto, an = am b p = am
ab p y del teorema anterior
+ ( 1) ( 1)

se tiene que ab p  (ap )b  1(modp), y entonces an  am (modp).

( 1) 1

Teorema 2 Euler
Si a es primo relativo con n, entonces a'(n)  1(mod n).
Dem: Primero se demostrara el teorema en el caso de que n es una potencia de
un primo p, o sea que n = p . Para ello usaremos induccion sobre . El caso  = 1
ya se demostro anteriormente (peque~no Teorema de Fermat). Suponiendo que   2,
 1 p 2
y que se cumple el teorema para n = p , entonces a
 1p = 1 + p b para 1

algun entero b. Usando el hecho de que los coecientes binomiales de (1 + x)p son
divisibles por p, exceptuando
 p 1
1 y x en los extremos , se puede elevar a p a ambos
1

lados y se llega a ap = 1 + S , donde S es una suma de terminos todos divisibles

por p. Entonces se tiene que a' p 1 es divisible por p, dado que como hemos visto
( )

anterioemante, '(p) = p p . 1

Finalmente, como ' es multiplicativa, es claro que a' n  1(modp ). ( )

En el caso general, existen m distintos pi (todos primos) y ei, m un natural, tales que
m
Y
n = pei i
i=1
Ym
'( n ) = '(piei )
i=1


i x , con 1 < i < p, los cuales son
p
1 Al expandir, se ve que los terminos son de la forma i

claramente divisibles por p.

  DE TEORIA DE NUMEROS
4 MAS  5

Denamos j
Y
bj = pei i ; con j = 1; :::; m:
i=1
Como bj es primo relativo con pejj , se puede ocupar la parte anterior de la de-
1
mostracion para cada bj , entonces:
e
a' b1 =
( )
a' p11  1(modpe1 )
( )
1
...
ej
a' bj = (a' bj 1 )' pj  1(modpejj );
( ) ( ) ( )

o sea que a' n  1(modpejj ) para j = 1; :::; m. Entonces, podemos armar que
( )

n
Y
a' n  1(mod
( )
pei i )
i=1
y se concluye que a' n  1(modn).
( )

Corolario 2 Si a es primo relativo con n, y m  m0 (mod'(n)), entonces

am  an(modn).
Dem: Del teorema anterior tenemos que a' n  1(modn). Ademas, m  n(mod ( )

'(n)), o sea que m = t'(n) + n, para algun entero t. Entonces, am  at' n n  ( )+

(a' n )t
an  an(modn).
( )

Teorema 3 Teorema chino del resto

Supongamos que queremos resolver
x  a (modm ) 1 1

x  a (modm ) 2 2

x  a (modm ) 3 3
..
.
x  ar (modmr )
donde mi y mj son primos relativos si i 6= j .
Entonces, existe una solucion x que satisface todas las ecuaciones anteriores y cualquiera
dos soluciones del sistema anterior son congruentes modulo M  m
m
: : :
mr 1 2
  DE TEORIA DE NUMEROS
4 MAS  6

Dem: Unicidad: Sean x y x0 dos soluciones, luego

x  ai(modmi )
x0  ai(modmi )

donde i = 1 : : : r. Luego (x x0 )  0( mod mi), donde i = 1 : : : r. Y como mi es primo

relativo con mj si i 6= j , sigue que x  x0 (modM )
Existencia: Sea Ni = mMi , luego Ni y mi son primos relativos.
Por lo tanto existe un Mi tal que NiMi  1(modmi ). Luego
r
X
x= aiNi Mi mod M:
i=1
Se tiene que x es solucion del sistema de congruencias, puesto que
r
X
x  aj Nj Mj (modmi)
j =1
 aiNiMi (modmi)
 ai(modmi)

Obs: Ademas de vericar el teorema, la demostracion recien vista da un algoritmo

eciente para encontrar las soluciones del sistema de congruencias presentado.
Con esto ya tenemos los elementos necesarios para probar que dK (eK (x)) = xi para
cualquier x 2 P en RSA.