(cache) Python で RSA 公開鍵暗号をなぞってみる

こんにちは，yaitaimo です．

この記事は CAMPHOR- Advent Calendar 2015 の3日目の記事です.

RSA 公開鍵暗号は，一度触れて見たがよくわからなかった，という人も居るのでは無いでしょうか．今回はそんな皆さんのために，数学的に一番簡単な筋をたどって，一連の流れを説明したいと思います．

納得感を持って読み終わっていただけたら幸いです．

Python 3 を使います．

1. RSA 公開鍵暗号とは

公開鍵暗号は，暗号化と復号に同じ鍵を用いる共通鍵暗号と違い，世界に公開する公開鍵と自分しか知らない秘密鍵の2つの鍵を用いる．

この2つの鍵は，

公開鍵で暗号化したものは，秘密鍵でしか復号できない
秘密鍵で暗号化したものは，公開鍵でしか復号できない

という性質を持っている．

これをうまく利用することで，秘密情報の伝達や認証を行うことが出来る．
今回はこの内の秘密情報の伝達を取り上げて実装を行う．

秘密情報の伝達

BさんがAさんにある機密データを受け取りたい場合は，Aさんの公開鍵を使ってそのデータを暗号化してからAさんに送る．
Aさんは秘密鍵を使ってそれを復号し，データを手に入れる．

RSA暗号は上記の公開鍵を具体的に実現したもので，桁数が大きい合成数の素因数分解が困難であることを安全性の根拠としたものである．

2. 必要な数学の知識と実装

最大公約数（ユークリッドの互除法）

「2つの正の整数に共通な約数のうち最大のもの」

例えば $gcd(19, 7)$ を求める場合，

$19 = 2 \times 7 + 5$
$7 = 1 \times 5 + 2$
$5 = 2 \times 2 + 1$
$2 = 2 \times 1$

を計算して， $gcd(19, 7) = 1$ が得られる．

def gcd(a, b):
	while b:
        a, b = b, a % b
    return a

def gcd(a, b):

while b:

a, b = b, a % b

return a

最小公倍数

「2つの正の整数の共通な倍数のうち最小のもの」

例えば $lcm(15, 3)$ を求める場合，
$15 \times 3 / gcd(15, 3) = 15$
を計算して， $lcm(15, 3) = 15$ が得られる．

def lcm(x, y):
    return x * y // gcd(x, y)

1 2	def lcm(x, y): return x * y // gcd(x, y)

拡張ユークリッドの互除法

「 $x, y$ を正の整数とし， $c = gcd(x, y)$ とするとき， $ax + by = c$ となる整数 $a, b$ が存在し， $a, b$ は計算することが出来る」

$x = 19, y = 7$ （ $c = gcd(x, y) = 1$ ）のとき $a, b$ を求める場合，

$1x + 0y = 19$ …(1)
$0x + 1y = 7$ …(2)
$1x - 2y = 5$ …(3) = (1) – (2) * 2
$-1x + 3y = 2$ …(4) = (2) – (3)
$3x - 8y = 1$ …(5) = (3) – (4) * 2

を計算して， $a = 3, b = -8$ が得られる．

def ex_euclid(x, y):
    c0, c1 = x, y
    a0, a1 = 1, 0
    b0, b1 = 0, 1

    while c1 != 0:
        m = c0 % c1
        q = c0 // c1

        c0, c1 = c1, m
        a0, a1 = a1, (a0 - q * a1)
        b0, b1 = b1, (b0 - q * b1)

    return c0, a0, b0

def ex_euclid(x, y):

c0, c1 = x, y

a0, a1 = 1, 0

b0, b1 = 0, 1

while c1 != 0:

m = c0 % c1

q = c0 // c1

c0, c1 = c1, m

a0, a1 = a1, (a0 - q * a1)

b0, b1 = b1, (b0 - q * b1)

return c0, a0, b0

モジュロ演算

$x \bmod{n} = a$ のように書くとき， $x$ を $n$ で割った余りは $a$ であることを意味する
また， $x \equiv a \pmod{n}$ のように書くとき， $x$ と $a$ は $n$ で割った余りが等しいことを意味する．

3. RSA暗号の実装

3.1 ユーザの鍵生成

2素数 $p, q$ を定め， $n = pq$ を計算する．
$\lambda (n) = lcm (p-1, q-1)$ に対して， $\lambda (n)$ と互いに素で $\lambda (n)$ より小さな正の整数 $e$ を生成し， $ed \equiv 1 \pmod{\lambda(n)}$ を満たす $d$ を求める．

以上より，公開鍵 $e, n$ と秘密鍵 $d$ を得る．

例：
$p = 7, q = 11$ の場合， $n = 77$ が得られる．
$\lambda (n) = lcm(7 -1, 11 - 1) = lcm(6, 10) = 30$ であり，これと互いに素となるよう， $e = 13$ とする．

ここで，拡張ユークリッドの互除法を利用して，
$ed + \lambda (n)f = 1$ …(b)
を解くことを考える．ただし， $e$ と $\lambda (n)$ は互いに素であるため，右辺は $1$ となっている．
上式において，モジュロ $\lambda (n)$ を取ると，
$ed + \lambda (n)f \equiv 1 \pmod{\lambda (n)}$
となるが，これは
$ed \equiv 1 \pmod{\lambda (n)}$
と整理できる．よって，(b)を解くことで， $d$ を得られることがわかった．
ただし，拡張ユークリッドの互除法では負数が出力されることもあるため， $d$ にはモジュロ $\lambda (n)$ を取り，正の値にして用いる．

このようにして， $d = 7$ が得られた．

p, q = 7, 11
n = p * q
e = 13
λ = lcm(p-1, q-1)
c, a, b = ex_euclid(e, λ)
d = a % λ

p, q = 7, 11

n = p * q

e = 13

λ = lcm(p-1, q-1)

c, a, b = ex_euclid(e, λ)

d = a % λ

3.2 暗号化

平文 $m$ を公開鍵である $e, n$ を用いて暗号化する．
$c = m^e \bmod{n}$

例：
$m = 15$ を $e = 13, n = 77$ で暗号化とすると， $c = 64$ が得られる．

m = 15
c = pow(m, e, n)

1 2	m = 15 c = pow(m, e, n)

3.3 復号

暗号文 $c$ を秘密鍵である $d$ を用いて復号する．
$m = c^d \bmod{n}$

例：
$c = 64$ を $d = 7$ で復号すると， $m1 = 15$ が得られる．

m1 = pow(c, d, n)

1	m1 = pow(c, d, n)

4. おわりに

さくっと書いてきましたが，内容については理解してもらえたでしょうか．
興味が出てきた人は，RSAについて調べてみてください．
高速化・効率化するさまざまな手法があるので興味深いです．

明日は ryota-ka です．お楽しみに．

CAMPHOR- Tech Blog

CAMPHOR- の技術ブログ

Python で RSA 公開鍵暗号をなぞってみる

1. RSA 公開鍵暗号とは

2. 必要な数学の知識と実装

最大公約数（ユークリッドの互除法）

最小公倍数

拡張ユークリッドの互除法

モジュロ演算

3. RSA暗号の実装

3.1 ユーザの鍵生成

3.2 暗号化

3.3 復号

4. おわりに

コメントを残すコメントをキャンセル

1. RSA 公開鍵暗号とは

2. 必要な数学の知識と実装

最大公約数（ユークリッドの互除法）

最小公倍数

拡張ユークリッドの互除法

モジュロ演算

3. RSA暗号の実装

3.1 ユーザの鍵生成

3.2 暗号化

3.3 復号

4. おわりに

コメントを残す コメントをキャンセル

コメントを残すコメントをキャンセル