# Iniciació a la Criptografia

### Artur Travesa

#### (versió 2024-07)

# Capítol 10. RSA

## 10.0. Introducció

La sigla RSA prové de les inicials dels cognoms de Ronald L. Rivest, Adi Shamir i Leonard Adleman que, el 1977, van fer la primera descripció practicable d'un criptosistema de clau pública, conegut des de ben aviat per RSA (cf. la referència <b>[RSA]</b>).

La seguretat del criptosistema proposat per Rivest, Shamir i Adleman es basa en la dificultat (conjectural) de factoritzar nombres enters arbitraris. En efecte, donats dos nombres primers $p$, $q$, el càlcul del seu producte, $N=p\cdot q$, es pot fer en temps polinòmic en la longitud en bits de $p$ i $q$; en canvi, no es coneix cap algoritme tal que, donat $N$, trobi els nombres $p$ i $q$ en temps polinòmic en la longitud en bits de $N$ (el millor algoritme que es coneix actualment és subexponencial). 

<b>Observació</b>. Notem que parlem d'algoritmes <i>clàssics</i>, perquè actualment ja hi ha algoritmes quàntics polinòmics per a resoldre aquest problema.

A continuació proporcionem una descripció i, simultàniament, un exemple de criptosistema de tipus RSA.

## 10.1. Les claus

Com succeeix en qualsevol criptosistema de clau pública, cada usuari d'un criptosistema RSA disposa de dues claus: la clau pública, coneguda (o cognoscible) per tothom, i la clau privada, només cognoscible (i coneguda) per l'usuari propietari de la clau.

Tant les claus públiques com les claus privades d'un criptosistema RSA són parelles de nombres naturals.

### 10.1.0. La clau pública
Una clau pública per a un criptosistema de tipus RSA és una parella $(N, e)$ en la qual $N$, que s'anomena el mòdul de la clau, és el producte de dos o més nombres naturals primers senars diferents, $p_1$, $\dots$, $p_r$ (doncs, $r\ge2$). Per a descriure l'altre element, $e$, de la clau, que s'anomena l'exponent de la clau pública, considerem $M:=mcm(p_1-1,\dots,p_r-1)$, el mínim comú múltiple dels nombres $p_1-1$, $\dots$, $p_r-1$. El nombre $e$ és un nombre natural menor que $M$ i sense factors comuns amb $M$; és a dir, $e$ és un nombre natural tal que $1\le e\le M$ i que $mcd(e,M)=1$ (o sigui, invertible mòdul $M$).

#### 10.1.0.0. Observació 
La clau pública només conté els nombres $N$ i $e$ i no ha de proporcionar cap informació addicional sobre els nombres primers $p_1$, $\dots$, $p_r$, ni tampoc sobre el nombre $M$.

#### 10.1.0.1. Observació
En moltes descripcions del criptosistema RSA es canvia el mínim comú múltiple, $M$, dels nombres $p_i-1$, pel seu producte, $(p_1-1) \cdots (p_r-1)=\varphi(N)$, que coincideix amb el valor en $N$ de la funció phi d'Euler. Tot i que és possible usar aquest valor $\varphi(N)$ en lloc de $M$, per qüestions de seguretat convé usar $M$, tal com hem afirmat més amunt (cf. <b>[RSA,</b> secció IX, C<b>]</b>, o bé <b>[RSA-S,</b> secció 3.2, p. 7<b>]</b>).

### 10.1.1. La clau privada
La clau privada associada a la clau pública $(N, e)$ és la parella $(N, d)$, on $d$ és l'únic nombre natural menor que $M$ i tal que
$e d\equiv 1 \pmod{M}$; s'anomena l'exponent de la clau privada.

Notem que, coneguts $M$ i $e$, el càlcul de $d$ es pot fer fàcilment amb l'algoritme d'Euclides. És per això que la clau pública no ha de donar cap informació que permeti calcular els nombres primers dels quals $N$ és producte.

### 10.1.2. Restriccions a les claus

#### 10.1.2.0. Mida dels factors
A fi que les claus d'un criptosistema RSA siguin criptogràficament útils, en el sentit que proporcionin una certa seguretat de privacitat, cal que el problema de la descomposició de $N$ com a producte de nombres primers sigui "computacionalment intractable". En l'actualitat (juliol de 2024), encara sembla prou segur utilitzar nombres $N$ de l'ordre de $1024$ bits que siguin producte de dos nombres primers d'aproximadament $512$ bits cadascun, i que satisfacin algunes altres restriccions que detallarem més avall. Els darrers estàndards, però, ja recomanen usar claus de $2048$ bits o, fins i tot, de $4096$ bits.

#### 10.1.2.1. Observació
Si el nombre $N$ és producte de més de dos nombres primers de mides similars, aquests són més petits que si és producte de només dos factors de mida similar, de manera que, <i>potser</i>, la factorització de $N$ és més senzilla.

Això fa que, en la majoria de les implementacions de criptosistemes de tipus RSA, es consideri que els mòduls $N$ són producte de <b>dos</b> nombres primers senars diferents, $p$, $q$. En els exemples següents, tindrem en compte aquesta restricció.

Una possible construcció de nombres primers de mides prefixades es detalla en <b>[Tr-PrF</b>, cap. 3<b>]</b>.

#### 10.1.2.2. Restricció sobre els factors primers del mòdul
Una altra de les restriccions que cal tenir en compte per als nombres primers $p_i$ és que cal triar-los de manera aleatòria entre els nombres primers $p$ per als quals $p-1$ és divisible per un nombre primer gran. <i>Per exemple</i>, per a un mòdul $N$ de $1024$ bits, es poden prendre nombres primers $p$ de $508$ a $516$ bits i de manera que $p-1$ sigui divisible per algun nombre primer d'aproximadament $480$ bits.

#### 10.1.2.3. Restricció sobre l'exponent secret
Un cop triats els nombres primers $p$ i $q$, cal triar els nombres $d$ i $e$. La manera més adient de fer-ho (tot i que en alguns estàndards no es fa així!) és triar primerament $d$ i calcular $e$ a continuació. Per a evitar els atacs a la clau per força bruta, cal que $d$ no sigui previsible; en particular, no pot ésser gaire petit, perquè un criptoanalista podria provar tots els valors menors que una certa fita com a valors de $d$ fins a
trobar-lo. Notem que, com que $p$ i $q$ són senars, el nombre $M$ és parell, de manera que $d$ i $e$ també són nombres senars. 

#### 10.1.2.4. Observació sobre la tria dels exponents
Molt sovint, a la pràctica, es pren a l'atzar un nombre enter $d'$, de la mateixa mida aproximada que $M$, i se cerca el menor nombre
enter $d>d'$ que sigui invertible mòdul $M$. O bé es pren com a valor de $d$ un nombre primer triat a l'atzar entre els nombres primers de la mateixa mida aproximada que $M$. I, a continuació, un cop triat $d$, es calcula $e$.

#### 10.1.2.5. Observació sobre el càlcul
Notem que el càlcul de la clau privada és senzill per al creador de la parella de claus, perquè coneix els valors $p_1$, $\dots$, $p_r$.
En canvi, no es coneix cap algoritme polinòmic per a poder calcular $d$ només a partir de $N$ i $e$; és a dir, de la clau pública. (Cf. però, més avall, la secció 10.5.)

#### 10.1.2.6. Simetria
Els nombres $d$ i $e$ de les claus del criptosistema RSA juguen un paper idèntic; tots dos són nombres naturals i actuen com a tals en els processos de xifratge i de desxifratge; de fet, els nombres $d$ i $e$ són intercanviables. Això permet definir de manera molt senzilla algoritmes de signatura digital per als criptosistemes del tipus RSA.

### 10.1.3. Exemple de claus
Per a la resta d'aquesta descripció d'un criptosistema bàsic de tipus RSA, farem servir els valors següents de $p$, $q$, $N$, $e$ i $d$. Els nombres p0 i q0 són primers, tot i que no ho demostrarem. Comprovarem que podem calcular de manera senzilla N0:=p0·q0, i ema0:=mcm(p0-1,q0-1); i comrpvarem que per als valors e0 i d0 se satisfà que e_0d_0 &#8801; 1 (mod ema0).

En particular, podrem escriure les claus pública i privada, i separar-ne els components, si convé.

In [None]:
p0 =10223394250696657745547049541395995120684418584824466802584974011498764981401616681070815186151390802302178122231665344108180224113191525070808408691034701

In [None]:
q0=11452522278093321206485035663495848931701242503536169278573695301471421096715928105987831838742796896790992699854150126748952176288081079459340728485305911

In [None]:
N0 = p0 * q0

In [None]:
e0=161352920771928245259105800590639398633907036856952523034577755451353112891356023759665308192354000262536942448948725073774756525970911596981839551436330664873556310625024240903971189198305088080961521967534581945435174816918807845963404798170017848739487065280445103677808207274722166763838236343992018509103

In [None]:
d0=873609968216332119104885243296174908320584727631951062640237126393071294976625473080672817203711880720925745531902485099654627431833735441710525209495422037309905267763990640432352794381455653425461678891023902224162038347140221770153600062282205015791440997602333703935250997915034184377946056633145176867

In [None]:
ClauRSAPublica0=[N0,e0]

In [None]:
print(ClauRSAPublica0)

In [None]:
ClauRSAPrivada0=[N0,d0]

In [None]:
print(ClauRSAPrivada0)

In [None]:
ema0=lcm(p0-1,q0-1)

In [None]:
print(ema0)

In [None]:
(d0*e0)%ema0==1

## 10.2. Xifratge i desxifratge de missatges

### 10.2.0. Xifratge

#### 10.2.0.0. Missatges que es poden xifrar
Les unitats de missatge que es poden xifrar amb el criptosistema RSA són els elements de $\mathbb{Z}/N\mathbb{Z}$. En particular, el conjunt d'unitats vàlides de missatge és diferent per a cada usuari, perquè cadascun treballa en un anell diferent, que depèn del seu propi valor de $N$.

<b>Observació</b>. Aquest fet fa necessari que hi hagi un algoritme estàndard, igual per a tots els usuaris del criptosistema, per a convertir els
missatges plans que es volen xifrar en nombres mòdul $N$ i, recíprocament, reconvertir els nombres mòdul $N$ que provenen
de desxifrar els missatges xifrats en missatges plans. Això es pot fer de manera semblant a com es tracta el problema de la codificació, sufixació i farciment de missatges per a la criptografia elemental (cf. <b>[Cr-04</b> (?)<b>]</b>) i aquí no ens hi entretindrem.

De fet, per a entendre bé com funciona el criptosistema RSA no cal xifrar i desxifrar missatges "reals", i és suficient fer-ho amb missatges "adequats a l'objectiu". En particular, ens estalviarem la feina de codificar, sufixar i farcir els missatges per al seu xifratge amb RSA, i suposarem que ja tenim els missatges, que triarem de manera aleatòria, preparats d'aquesta manera.

#### 10.2.0.1. El xifratge del missatge
Suposem, per tant, que la unitat de missatge que es vol xifrar per a l'usuari U és un element $m$ de $\mathbb{Z}/N\mathbb{Z}$, on $(N, e)$ és la clau pública de U. 

L'usuari V que vol xifrar el missatge $m$ per a U, calcula el representant $0\le c\le N-1$ de la classe $c :\equiv m^e \pmod{N}$; el missatge xifrat associat a $m$ és el nombre natural $c$.

#### 10.2.0.2. Observació sobre el càlcul
Notem que aquest càlcul es pot fer molt ràpidament amb un algoritme binari d'exponenciació mòdul $N$ (cf. <b>[Tr-Ar,</b> $\S$1.6<b>]</b>), i que només cal conèixer les dades $m$, $e$ i $N$.

<b>Observació</b>. Notem que, en el nostre exemple pràctic, $c$ és un nombre de, com a màxim, $1024$ bits, perquè $N$ és de $1024$ bits. Per tant, amb un algoritme binari d'exponenciació, haurem de fer, com a màxim, $2048$ multiplicacions mòdul $N$.

### 10.2.1. Desxifratge

Per a desxifrar el missatge, l'usuari U utilitza la seva clau privada $(N, d)$ i calcula el representant $r$ de la classe $c^d \pmod{N}$ de l'interval $0\le r\le N-1$; això reconstrueix el missatge $m$.

#### 10.2.1.0. Demostració
En efecte, es té que $c^d \pmod{N}\equiv (m^e)^d\pmod{N}\equiv
m^{e\cdot d} \pmod{N}$. Però, per a cadascun dels nombres primers $p$ que divideixen $N$, és $m^{e\cdot d}\equiv m \pmod{p}$; en efecte, podem aplicar el petit teorema de Fermat, perquè $p-1$ divideix $M=mcm(p_1-1,\dots,p_r -1)$ i $M$ divideix $e\cdot d-1$. Ara, pel teorema xinès del residu, és $m^{e\cdot d}\equiv m \pmod{N}$, com calia veure. $\square$

#### 10.2.1.1. Observació
Cal notar que els càlculs que es realitzen per a xifrar el missatge són anàlegs als que es realitzen per a desxifrar-lo; només canvia l'exponent (i, òbviament, la base).

## 10.3. La funció RSA(mc,clau)

La funció RSAX0(mc,clau) pren com a entrades una llista d'unitats de missatge, mc, i una clau pública RSA, clau, i produeix una llista d'unitats de missatge xifrades amb aquesta clau pública.

### 10.3.0 La funció

In [None]:
def RSAX0(mc,clau):
    return [mod(mc[i],clau[0])^clau[1] for i in range(len(mc))]

### 10.3.1. Inventem-nos un missatge
Ja disposem d'una parella de claus pública i privada per al criptosistema RSA. Són en dues llistes anomenades ClauRSAPublica0 i ClauRSAPrivada0.

Ara, ens inventem un missatge aleatori (de fet, un missatge aleatori de cinc unitats de missatge).

In [None]:
m1=[ZZ.random_element(0,N0) for i in range(5)]

Vegem-lo (encara que veure'l no serveix per a res!).

In [None]:
print(m1)

### 10.3.2. Xifrem el missatge
I el xifrem amb la clau pública.

In [None]:
x1=RSAX0(m1,ClauRSAPublica0)

Vegem-lo (encara que veure'l tampoc no serveix per a res!).

In [None]:
print(x1)

### 10.3.3 Desxifrem el missatge xifrat
Notem que podem desxifrar-lo exactament igual amb la clau privada.

In [None]:
y1=RSAX0(x1,ClauRSAPrivada0)

In [None]:
print(y1)

In [None]:
y1==m1

Efectivament, sembla que la funció xifra (i desxifra) correctament.

## 10.4. Consideracions bàsiques sobre la seguretat

A l'hora de dur a la pràctica una implementació d'un criptosistema RSA, cal tenir en compte algunes consideracions.

### 10.4.0.  Mida de les claus
En primer lloc, cal tenir en compte la mida que poden tenir les claus. No és el mateix una mida de claus de $128$ o $256$ bits,
per exemple, que una mida de claus de $1024$ o $2048$ o $4096$ bits. I no és recomanable que en el mateix criptosistema les mides de les claus siguin molt diferents les unes de les altres. A priori, una clau molt llarga pot proporcionar més seguretat que una clau no tan llarga. El fet que alguns usuaris disposessin de claus llargues, podria fer pensar que el criptosistema és molt segur, de manera que qualsevol altre usuari podria triar una clau molt més curta (per exemple, per a facilitar el procés de xifratge/desxifratge, si disposa de menys capacitat de càlcul); però això produiria un punt feble en el sistema, i els atacs a aquest usuari serien més factibles. Al contrari, si la majoria de les claus fossin d'una determinada mida i un usuari triés una clau molt més llarga, això podria fer pensar que els missatges d'aquest usuari són "més interessants" que els altres (per què, si no, cerca més seguretat?) i podria ésser el blanc dels atacs al criptosistema; ell o bé els usuaris amb qui es comuniqués.

### 10.4.1. Codificació dels missatges
No només això, sinó que si es limita la llargada de les claus, llavors es pot usar un mètode comú per a codificar els missatges com a elements dels diferents anells $\mathbb{Z}/N\mathbb{Z}$, quan $N$ recorre les diferents claus.

Suposem que la llargada de les claus es fixa entre $n+1$ i $n+k$ bits. Això significa que tots els nombres $N$ de les claus
públiques pertanyen a l'interval $2^n \le N < 2^{n+k}$; llavors, es pot usar una codificació dels missatges plans com a successions
de $n$ bits, tothom igual, i una codificació dels missatges xifrats com a successions de $n+k+1$ bits, també tothom igual.

En efecte, tots els nombres naturals de l'interval $0\le m < 2^n$ són menors que $N$, per a tot $N$, de manera que cadascun determina un element únic de $\mathbb{Z}/N\mathbb{Z}$. 

<b>Observació</b>. Notem que, ara, no tots els missatges plans (=nombres) són diferents! Només ho són els nombres de $n$ bits que són menors que $N$, perquè, com a missatges, $m$ i $m+kN$ són el mateix, per a qualsevol nombre enter $k$ que faci que els dos nombres siguin de $n$ bits. 

Un cop xifrat el missatge, tindrem un element $x$ de $\mathbb{Z}/N\mathbb{Z}$, que podrem interpretar de manera única com un nombre enter de l'interval $0\le x < N$, de manera que proporciona un element de l'interval $0\le x < 2^{n+k}$, perquè $N < 2^{n+k}$. Així, els missatges plans poden ésser nombres qualssevol de l'interval $0\le m < 2^n$, el mateix per a tothom, i els missatges xifrats seran nombres de l'interval $0\le x < 2^{n+k}$, també el mateix per a tothom, però menors que $N$ si el mòdul de la clau és $N$.

### 10.4.2. Longitud dels missatges
Una altra consideració que cal tenir en compte a l'hora de fixar la longitud de les claus, i que és vàlida per a tots els criptosistemes en general, és la longitud efectiva dels missatges plans que s'han d'enviar.

Suposem que els missatges plans que cal enviar són molt curts, posem de menys de $16$ bits (per exemple, els PIN d'un caixer automàtic són nombres naturals de quatre xifres decimals de manera que podem representar-los amb només $14$ bits). No té sentit usar un criptosistema amb claus molt llargues, perquè la quantitat de missatges plans possibles és de $2^{16} = 65536$, una quantitat prou petita com perquè qualsevol pugui xifrar-los tots amb la clau pública del destinatari (coneguda per tothom) i comparar els resultats amb el missatge xifrat que li és destinat. Això determina el missatge pla sense necessitat de trencar el criptosistema ni la clau del destinatari, però fa impossible la confiança en la confidencialitat de les comunicacions. (Això és l'atac anomenat "del diccionari", o també "per força bruta", perquè es fa un "diccionari" dels missatges xifrats que es corresponen als missatges plans.)

En aquests casos, s'imposa la necessitat de farcir els missatges plans abans de xifrar-los, a fi que els conjunts de missatges plans que poden ésser xifrats siguin molt grans i es puguin evitar, d'aquesta manera, els atacs per força bruta.

## 10.5. Una vulnerabilitat del criptosistema RSA
Observem que, com hem comentat més amunt, coneguts $p$ i $q$, es pot calcular $M$ en temps polinòmic (en la longitud de $N$) i, amb l'algoritme d'Euclides, també es pot calcular el nombre $d$, invers de $e$ mòdul $M$, en temps polinòmic.

Recíprocament, 

<b>Teorema:</b> <i>existeix un algoritme probabilístic que, coneguts $N$, $e$ i $d$, permet (probablement) factoritzar $N$ en temps
polinòmic</i>.

### 10.5.0.  Demostració
Notem que $M$ és parell i que, per tant, $e$ i $d$ són senars, de manera que $e d-1$ és parell. Podem escriure, doncs, el nombre $e d-1$ en la forma $e d-1=2^v s$, amb $v\ge1$ i $s$ senar, sense cap dificultat, perquè coneixem $e$ i $d$ i sabem dividir per $2$ tants cops com faci falta. Això produeix els nombres $v$ i $s$.

Seguidament, prenem a l'atzar un nombre $m$, $2\le m\le N-2$, i calculem $x_0:= m^s \pmod{N}$ (de nou, podem fer-ho sense dificultat). Ara, amb l'algoritme d'Euclides, calculem el nombre $t:=mcd(x_0-1,N)$. Pot ser que $t$ sigui $1$, $N$, o bé un factor propi de $N$.

Si $t$ és un factor propi de $N$, ja hem factoritzat $N$ i acabem. 
Si $t=N$, cal canviar el valor de $m$. Finalment, si $t=1$, calculem $x_1 :=x_0^2 \pmod{N}$ i, de nou amb l'algoritme d'Euclides, calculem $mcd(x_1-1,N)$.

I apliquem el mateix algoritme de decisió que més amunt: si és un factor propi de $N$, ja hem factoritzat $N$; si és $N$, canviem el valor de $m$; i si és $1$, podem repetir el procés: calculem
$x_2:=x_1^2 \pmod{N}$ i $mcd(x_2-1,N)$.

Successivament, podrem repetir el procés fins a arribar, com a màxim, al càlcul de $x_v$, perquè es té que $x_v=m^{2^v s}=m^{e d-1}\equiv 1 \pmod{N}$, de manera que $mcd(x_v-1,N)=N$, i no hauríem aconseguit factoritzar amb aquest valor de $m$.

El fet que $N$ és compost, producte de $r\ge 2$ nombres primers, fa que la probabilitat que un $m$ triat a l'atzar en les condicions
anteriors permeti factoritzar $N$ sigui com a mínim $1-\dfrac{1}{2^{r-1}}\ge \dfrac{1}{2}$ (i, notem que aquesta probabilitat és més gran com més gran és la quantitat $r$ de nombres primers que divideixen $N$). Per tant, és d'esperar que només calgui provar uns quants valors de $m$ triats a l'atzar (sovint n'hi ha prou amb tres o quatre). $\square$


### 10.5.1.  Observació
Encara que el valor de $m$ es prengui a l'atzar, i diferent de $1$ i de $-1$ mòdul $N$, el valor de $x_0$ pot ser $1$ mòdul $N$, de manera que $mcd(x_0-1,N)=N$ i tampoc no factoritzaríem.

<b>Exercici</b>. Notem que no triem cap dels valors $m=0,1,N-1$, perquè aquests no serveixen per a factoritzar $N$ per aquest procediment. Per què?


### 10.5.2.  Exemple

Suposem, doncs, que coneixem la clau pública $(N,e)$ i la clau privada $(N,d)$. Es tracta de factoritzar $N$.

Els valors següents de $n$, $e$ i $d$ són els de la clau pública [N0,e0] i de la clau privada [N0,d0] de més amunt.

In [None]:
n=117083650413834649336866029424557309851626484437814854919223893157228481004168410005361547291294801724614671544285485872834668538594718564280553723815174526416789179289816712540221738771662649980515528331008240757391032268488987567938677819810396062046761856415046142729550528337596479151799916865241101417611

In [None]:
e=161352920771928245259105800590639398633907036856952523034577755451353112891356023759665308192354000262536942448948725073774756525970911596981839551436330664873556310625024240903971189198305088080961521967534581945435174816918807845963404798170017848739487065280445103677808207274722166763838236343992018509103

In [None]:
d =873609968216332119104885243296174908320584727631951062640237126393071294976625473080672817203711880720925745531902485099654627431833735441710525209495422037309905267763990640432352794381455653425461678891023902224162038347140221770153600062282205015791440997602333703935250997915034184377946056633145176867

#### 10.5.2.0. 
Calcul de v i s:

In [None]:
v=0
s= e*d-1
while is_even(s):
    s=s//2
    v=v+1

Notem que coneixem els valors de v i de s.

In [None]:
print([v,s])

#### 10.5.2.1. 
Fem el càlcul per a un primer valor de m (obtindrem una factorització en el primer pas).

Prenem a l'atzar un valor de m en l'interval adequat.

In [None]:
m = ZZ.random_element(2,n-1)

In [None]:
print(m)

<b>Observació</b>. A fi de veure el resultat predit al títol a cada execució de la llibreta, i que això no depengui de la tria a l'atzar dels valors de $m$, reprodueixo valors obtinguts a l'atzar que han funcionat per a cadascuna de les possibilitats. (O sigui, canvio el valor de $m$.)

In [None]:
m=20126587037584349999872412526056537889797985532495406893518222346379136516474097516540107150406460289812498304886792316701439878000597030333066951478892930476011762816974272538430081859704872264939758546282295461695448836548047131748122376532661519980535136807778337988477785151045475950280680008481408075610

In [None]:
print(m)

Calculem $x_0:=m^s \pmod{n}$ i $mcd(x_0-1,n)$:

In [None]:
x0=mod(m,n)^s
p1=gcd(x0-1,n)

In [None]:
print(p1)

Mirem si hem factoritzat n; si obtenim "true" és que no hem factoritzat i cal canviar de valor de $m$; si surt "false", és que hem trobat un dels factors de $n$.

In [None]:
p1==n

Efectivament, hem factoritzat $n$ (hem trobat el factor q0).

In [None]:
p1==p0

In [None]:
p1==q0

#### 10.5.2.2. 
Fem el càlcul per a un altre valor de m (de nou obtindrem una factorització en el primer pas, però ara l'altre factor).

In [None]:
m = ZZ.random_element(2,n-1)
print(m)

In [None]:
m=70469015324754851409479393433584977807642698941359873432464804992155863042863094505283123569788266570920822496781195072825469739682877794159582103571757456862518460830467095931942131568054531574608698220149373987416946760081611240932580989666334300795064483539929771086767675691731272568455959974488558393284

In [None]:
print(m)

In [None]:
x0=mod(m,n)^s
p1=gcd(x0-1,n)
print(p1)

In [None]:
p1==n

In [None]:
p1==p0

Hem obtingut l'altre factor.

#### 10.5.2.3. 
Fem el càlcul per a un altre valor de m (ara, cal fer un segon pas).

In [None]:
m = ZZ.random_element(2,n-1)
print(m)

In [None]:
m=111762776895405824585925620414799801960804692557814079906321044477728683669497025338345273239702645264427331299807893571724826834050253195808405461946269980695154288108299607665548266603594254533618607211579742023953721093778289435030547580632428517089125185351547575560640782140497788316261901773012543575749

In [None]:
print(m)

In [None]:
x0=mod(m,n)^s
p1=gcd(x0-1,n)
print(p1)

Ara no hem factoritzat, perquè hem trobat que el mcd és 1; cal elevar al quadrat.

In [None]:
x1=mod(x0,n)^2
p2=gcd(x1-1,n)
print(p2)

Però...

In [None]:
p2==n

In [None]:
p2==p0

In [None]:
p2==q0

Efectivament, també hem factoritzat n (hem obtingut l'altre factor).

 #### 10.5.2.4. 
 Fem el càlcul per a un altre valor de m (ara, no obtenim cap factorització).

In [None]:
m = ZZ.random_element(2,n-1)
print(m)

In [None]:
m=66324836623966650938234676745951469359660033718125842228222673440586539542741183068419044372153680317031475061526975630127381374044077622673915714857106581544342221262201683570624777695309395126746439512291077060701275924481137154895338728505787872065277241038418237864446407984830823786100272844798529397409

In [None]:
print(m)

In [None]:
x0=mod(m,n)^s
p1=gcd(x0-1,n)
print(p1)

In [None]:
p1==n

No hem factoritzat i cal canviar de valor de m.

#### 10.5.2.5. 
Fem el càlcul per a un altre valor de m (ara també cal elevar al quadrat, i tampoc no factoritzem).

In [None]:
m = ZZ.random_element(2,n-1)
print(m)

In [None]:
m=90581968353971947426913915673418566046501445152404133954600825579235830864890894882584088857268289037545133783425783198974526707330409641410704866015783228707326525908718181043216516987342953794214497913015390917548758403338587931020571546222605643748447693189602778952662699740208240625405255493603090683212

In [None]:
print(m)

In [None]:
x0=mod(m,n)^s
p1=gcd(x0-1,n)
print(p1)

Encara no hem factoritzat, perquè hem trobat que el mcd és 1; cal elevar al quadrat.

In [None]:
x1=mod(x0,n)^2
p2=gcd(x1-1,n)
print(p2)

In [None]:
p2==n

Ara, però, hem trobat que el mcd és n i hem de canviar de valor de m.

### 10.5.3. Observació final
Notem que un cop trobat un dels dos factors del mòdul, l'altre es pot obtenir trivialment per divisió. Això fa el càlcul de M també immediat, i el coneixement de la clau pública [N0,e0] i de la factorització permet calcular una clau privada [N0,dd0] tal que dd0·e0-1 sigui múltiple de M. Aquest valor potser no és el d0 original (que potser s'hagi obtingut a partir del valor de la phi d'Euler del mòdul), però és "la" clau privada bona associada a la clau pública. Per tant, podrem desxifrar qualsevol missatge xifrat amb la clau pública [N0,e0].

Deixem per a un capítol posterior aprofundir en aquestes qüestions de seguretat.

## Fi del capítol 10