RSA

RSA-krypteringen (Rivest–Shamir–Adleman) är en av de mest kända krypteringsalgoritmerna. Det var den första allmänt beskrivna algoritmen som använder så kallad asymmetrisk kryptering. Detta innebär att man använder en nyckel för att kryptera ett meddelande och en annan för att dekryptera det. Denna egenskap gör den också användbar för att signera ett meddelande så att mottagaren garanterat vet vem som är avsändaren. Beteckningen RSA är bildat av begynnelsebokstäverna i namnen på upphovsmännen Ron Rivest, Adi Shamir och Len Adleman som beskrev den 1977.

Denna artikel handlar om krypteringsalgoritmen RSA. Se även RSA (olika betydelser).

RSA

Krypteringssystem 

Under­klass till	• krypteringssystem  • asymmetrisk kryptering
Tillkomst	1977
Uppkallad efter	Ron Rivest, Adi Shamir, Leonard Adleman
Defi­nie­ran­de formel	${\displaystyle \left(m^{e}\right)^{d}\equiv m{\pmod {n}}}$
Symbol i defi­nie­ran­de formel	${\displaystyle m}$, ${\displaystyle e}$, ${\displaystyle d}$, ${\displaystyle n}$
Används av	Transport Layer Security, version 1.3

Beskrivning av algoritmen

RSA använder två nycklar, en offentlig nyckel och en hemlig nyckel. (På engelska heter den hemliga nyckeln "private key" vilket inte är detsamma som det svenska "privat"). Den publika nyckeln används för att kryptera meddelandet. Meddelandet kan sedan bara dekrypteras med hjälp av den hemliga nyckeln. Den som ska ta emot ett meddelande bestämmer både den offentliga och den hemliga nyckeln och gör sedan den förstnämnda känd för alla som ska kunna skicka meddelanden, men behåller den hemliga nyckeln för sig själv. De nycklar som används av RSA är mycket stora primtal.

Generering av nycklarna

För att ta fram nycklarna som behövs för att använda RSA-algoritmen görs följande beräkningssteg

1. Välj först slumpmässigt två olika, stora, primtal p och q.
2. Multiplicera därefter p och q och kalla produkten för n.
3. Välj sedan ett till heltal, e så att e och (p-1)(q-1) är relativt prima och 1 < e < (p-1)(q-1) .
4. Beräkna slutligen ett heltal d sådant att ed ≡ 1 (mod (p-1)(q-1)).

Den offentliga nyckeln består av talen e och n och den hemliga nyckeln av talen p, q och d.

Finessen är att även om e och n är kända, går det inte att räkna ut de båda primfaktorerna p och q, inom rimlig tid, eftersom det inte finns någon effektiv algoritm för primtalsfaktorisering. Därmed kan man inte heller räkna ut d. Endast den rätte mottagaren känner till p, q och d och kan därmed avkoda meddelandet.

Kryptering

Den som vill sända ett meddelande omformar detta till ett tal x < n, eller en följd av sådana tal. Detta sker med en i förväg överenskommen reversibel algoritm. För varje x beräknas talet y

y = x^e mod n

Talet y eller följden av sådana tal är det krypterade meddelandet.

Dekryptering

För varje mottaget tal y kan det ursprungliga talet x beräknas med

x = y^d mod n

och därefter kan det ursprungliga meddelandet återskapas. Att så är fallet följer av följande matematiska resonemang

y^d mod n = (x^e mod n)^d mod n = (x^e)^d mod n = x^ed mod n

Eftersom ed ≡ 1 (mod (p-1)(q-1)) så gäller också

ed ≡ 1 (mod p-1)

och

ed ≡ 1 (mod q-1)

och av Fermats lilla sats följer då

x^ed ≡ x (mod p)

och

x^ed ≡ x (mod q)

Eftersom p och q är olika primtal, får man genom att tillämpa Kinesiska restklassatsen att

x^ed ≡ x (mod pq)

D.v.s

x^ed ≡ x (mod n)

eller

x = x^ed mod n = y^d mod n

Signering

Om avsändaren av ett meddelande vill kunna bevisa att han verkligen är den som sänt meddelandet, och samtidigt garantera att meddelandet inte kan ha ändrats på vägen, kan han använda RSA för att signera sitt meddelande. Detta går till på följande sätt.

Först beräknas ett hashvärde h av meddelandet där 0 < h < n. Detta görs med någon överenskommen algoritm, och hashvärdet krypteras sedan med avsändarens hemliga nyckel:

s = h^d mod n

Det krypterade hashvärdet sänds sedan som en signatur tillsammans med meddelandet till mottagaren. Mottagaren kan verifiera att avsändaren är den han utger sig vara, genom att dekryptera signaturen s med avsändarens publika nyckel:

h = s^e mod n

Mottagaren kontrollerar sedan den dekrypterade signaturen genom att själv beräkna hashvärdet från det mottagna meddelandet och jämföra det med den dekrypterade signaturen. Om värdena överensstämmer vet mottagaren att endast den angivna avsändaren kan ha producerat meddelandet.

Ett "smidigt" exempel

Primtalen 1 249 och 1 049 ger n = 1 310 201. Vi väljer e = 1 013 varpå d = 843 101. Uträkningen av d görs genom en diofantisk ekvation, 1 013d - (p-1)(q-1)k = 1.

Ett meddelande x, som lyder 444 807 och som vi vill kryptera görs detta genom att räkna ut x^e (mod n), alltså 444 807^{1 013} (mod 1 310 201). Det krypterade meddelandet blir då 503 328.

Dekryptering av ovanstående meddelande y görs genom y^d (mod n), alltså 503 328^{843 101} (mod 1 310 201). Detta blir 444 807, vilket var vårt ursprungliga meddelande.

Referenser