# Primeritat i factoritzaci√≥

###  Artur Travesa

#### (versi√≥ 2024-07)

# Cap√≠tol 10: Construcci√≥ certificada de claus RSA

## 10.0. Introducci√≥

En el cap√≠tol 3 hem apr√®s a construir nombres naturals primers certificables de mida prefixada. Per√≤, per exemple, per a la construcci√≥ de claus per al criptosistema RSA, cal que, a m√©s a m√©s, els primers satisfacin altres condicions extres.

L'objectiu d'aquest cap√≠tol √©s aprendre a construir nombres primers de mida (en bits) prefixada, de certificar que ho s√≥n, de primers, i fer-ho de manera que se satisfacin algunes condicions extres que detallarem m√©s avall, a fi que s'assemblin m√©s als especificats als est√†ndards per a les claus RSA per a certificats digitals (cf. [DS-S, A.1.1]). 

I com a exemple, construirem una parella de nombres primers de $2048$ bits cadascun de manera que el seu producte sigui un nombre natural de $4096$ bits i tals que se satisfacin algunes condicions extres necess√†ries per a poder formar part d'una clau RSA de $4096$ bits per a signatures digitals.

<b>Observaci√≥</b>. El sol fet de donar-los a con√®ixer, ja els invalida per a ser-ho de deb√≤, de part d'una clau; per√≤ poden servir com a exemple.

### 10.0.0. Funcions que aprofitarem de cap√≠tols anteriors

#### 10.0.0.0. Tests de primeritat i certificats de composici√≥

In [None]:
def SolovayStrassenTest(nn,ff):
    if nn==1:
        return false
    if nn in [2,3,5,7]:
        return true
    if is_even(nn):
        return false
    if ff<1:
        return 'Cal fer alguna prova.'
    f=0
    n2=(nn-1)//2
    while f<ff:
        g=ZZ.random_element(2,nn-1)
        x=Mod(g,nn)^n2
        if x==1 or x==nn-1:
            y=Mod(kronecker(g,nn),nn)
            if y!=x:
                return false
        else:
            return false
        f=f+1
    return 'Indeterminat'


In [None]:
def MillerRabinTest(nn,ff):
    if nn==1:
        return false
    if nn in [2,3,5,7]:
        return true
    if is_even(nn):
        return false
    if ff<1:
        return 'Cal fer alguna prova.'
    v=0
    m=nn-1
    while is_even(m):
        v=v+1
        m=m//2
    f=0
    while f<ff:
        g=ZZ.random_element(2,nn-1)
        x=Mod(g,nn)^m
        if x!=1 and x!=nn-1:
            k=1
            x=x^2
            while (x!=nn-1 and k<v-1):
                x=x^2
                k=k+1
            if k>=v-1 and x!=nn-1:
                return false
        f=f+1
    return 'Indeterminat'


In [None]:
def SolovayStrassenCert(nn,ff):
    if nn==1:
        return [nn,false,1]
    if nn==2 or nn==3:
        return [nn,true,nn-1,[nn-1]]
    if nn==5:
        return [nn,true,2,[2]]
    if nn==7:
        return [nn,true,3,[2,3]]
    if is_even(nn):
        return [nn,false,2]
    if ff<1:
        return 'Cal fer alguna prova.'
    f=0
    n2=(nn-1)//2
    while f<ff:
        g=ZZ.random_element(2,nn-1)
        x=Mod(g,nn)^n2
        if x ==1 or x==nn-1:
            y=Mod(kronecker(g,nn),nn)
            if y!=x:
                return [nn,false,g]
        else:
            return [nn,false,g]
        f=f+1
    return 'Indeterminat'


In [None]:
def MillerRabinCert(nn,ff):
    if nn==1:
        return [nn,false,1]
    if nn==2 or nn==3:
        return [nn,true,nn-1,[nn-1]]
    if nn==5:
        return [nn,true,2,[2]]
    if nn==7:
        return [nn,true,3,[2,3]]
    if is_even(nn):
        return [nn,false,2]
    if ff<1:
        return 'Cal fer alguna prova.'
    v=0
    m=nn-1
    while is_even(m):
        v=v+1
        m=m//2
    f=0
    while f<ff:
        g=ZZ.random_element(2,nn-1)
        x=Mod(g,nn)^m
        if x!=1 and x!=nn-1:
            k=1
            x=x^2
            while (x!=nn-1 and k<v-1):
                x=x^2
                k=k+1
            if k>=v-1 and x!=nn-1:
                return [nn,false,g]
        f=f+1
    return 'Indeterminat'


#### 10.0.0.1. Certificats de primeritat

In [None]:
def Certifica(pp,fppmu,ff):
    if pp==1:
        return [pp,false,1]
    if pp==2 or pp==3:
        return [pp,true,pp-1,[pp-1]]
    if is_even(pp):
        return [pp,false,2]
    if ff<1:
        return ["Cal fer alguna prova."]
    if len(fppmu)==0:
        lta1=factor(pp-1)
        lta=[lta1[i][0] for i in range(len(lta1))]
    else:
        lta=sorted(fppmu)
    l=len(lta)
    f=0
    while f<ff:
        g=ZZ.random_element(2,pp-2)
        if (s:=Mod(g,pp)^((pp-1)//2))==pp-1:
            i=1
            while i<= l-1 and Mod(g,pp)^((pp-1)//lta[i])!=1:
                i=i+1
            if i==l:
                return [pp,true,g,lta]
        else:
            if s!=1:
                return [pp,false,g]
        f=f+1
    return [pp,'Indeterminat']


In [None]:
def Pocklington(pp,tt,ff):
    if not pp in ZZ or pp<1:
        return ['Cal que el nombre P sigui enter positiiu.']
    if pp==1:
        return [pp,false,1]
    if pp==2 or pp==3:
        return [pp,true,pp-1,[pp-1]]
    if is_even(pp):
        return [pp,false,2]
    if ff<1:
        return 'Cal fer alguna prova.'
# Comprovaci√≥ que la llista tt √©s de divisors de pp-1, i c√†lcul de U;
# per√≤ no que s√≥n primers.
    if false in [(r in ZZ and r>1) for r in tt]:
        return 'La llista T no √©s de nombres enters >1.'
# Si 2 no pertany a la llista tt, li afegim (per a millora del c√†lcul)
    t=tt
    if not (2 in t):
        t=[2]+t
    x=prod(t)
    q,r=divmod(pp-1,x)
    if r:
        return 'La llista T no √©s correcta.'
    d=gcd(q,x)
    while d>1:
        q=q//d
        d=gcd(q,x)
    uu=q
    q=uu^2
    if q==pp:
        return [pp,false,uu]
    if q>pp:
        return 'U √©s massa gran.'
    t=sorted(t)
# Si hem arribat aqu√≠, √©s que P, T, F i U s√≥n correctes (excepte,
# potser, que alguns elements de T no siguin primers).
    l=len(t)
    f=0
    while f<ff:
        g=ZZ.random_element(2,pp-2)
        if (s:=Mod(g,pp)^((pp-1)//2))==pp-1:
            i=1
            while i<= l-1 and gcd((s:=Mod(g,pp)^((pp-1)//t[i]))-1,pp)==1 and s^t[i]==1:
                i=i+1
            if i==l:
                return [pp,true,g,t]
        else:
            if s!=1:
                return [pp,false,g]
        f=f+1
    return [pp,'Indeterminat']    


## 10.1. Restriccions per a les claus RSA per a signatura digital

D'acord amb els est√†ndards per a les claus RSA per a signatures digitals (cf. [DS-S, A.1.1]), les longituds dels m√≤duls $n$ de les claus, en bits, han de ser nombres parells, posem $2L$, i com a m√≠nim de $2048$ bits (o sigui, $2L\ge2048$). 

A m√©s a m√©s, el m√≤dul $n$ √©s el producte de dos nombres naturals primers diferents, $p$, $q$, tals que 

$p-1$ √©s divisible per un nombre primer $p_1$, 

$p+1$ √©s divisible per un nombre primer $p_2$, 

$q-1$ √©s divisible per un nombre primer $q_1$, 

$q+1$ √©s divisible per un nombre primer $q_2$, 

i de manera que les longituds (en bits) dels primers $p_i$, $q_i$, satisfacin les restriccions seg√ºents, en cas que siguin certificables (o amb la darrera condici√≥ menys restrictiva si els primers no se certifiquen):

<table width=90%>
    <tbody>
    <tr>
        <td style="text-align: center;">$len(n)=2L$</td> 
        <td style="text-align: center;">len($p_i$),
            <br>len($q_i$)</td>
        <td style="text-align: center;">len($p_1$)+len($p_2$),
            <br>len($q_1$)+len($q_2$)
            <br>(si els primers se certifiquen)</td> 
        <td style="text-align: center;">len($p_1$)+len($p_2$),
            <br>len($q_1$)+len($q_2$)
            <br>(si els primers no se certifiquen)</td>
    </tr>
    <tr>
        <td style="text-align: center;">$2048\le 2L<3072$</td>
        <td style="text-align: center;">$>140$ bits</td>
        <td style="text-align: center;">$\le 494$ bits</td>
        <td style="text-align: center;">$\le 1007$ bits</td>
    </tr>
    <tr>
        <td style="text-align: center;">$3072\le 2L<4096$</td>
        <td style="text-align: center;">$>170$ bits</td>
        <td style="text-align: center;">$\le 750$ bits</td>
        <td style="text-align: center;">$\le 1518$ bits</td>
    </tr>
    <tr>
        <td style="text-align: center;">$4096\le 2L$</td>
        <td style="text-align: center;">$>200$ bits</td>
        <td style="text-align: center;">$\le 1005$ bits</td>
        <td style="text-align: center;">$\le 2030$ bits</td>
    </tr>
    </tbody>
</table>

A m√©s a m√©s, 

cadascun dels primers $p$ i $q$ ha de ser de $L$ bits; de fet, $p$ i $q$ han de pert√†nyer a l'interval $2^{L-1}\sqrt{2}\le p,q\le 2^L-1$, i

el valor absolut, $|p-q|$, de la seva difer√®ncia ha de ser com a m√≠nim $2^{L-100}$.

<b>Observaci√≥</b>. Encara que l'est√†ndard no ho especifica, les restriccions anteriors sobre la divisibilitat per primers $p_i$, $q_i$, 
s√≥n per a (intentar) evitar els m√®todes de factoritzaci√≥ $p-1$ de Pollard, i $p+1$, de Williams; la restricci√≥ sobre el valor absolut de la difer√®ncia √©s per a (intentar) evitar el m√®tode de factoritzaci√≥ de Fermat, i la restricci√≥ sobre la mida dels primers $p_i$, $q_i$, i encara m√©s, sobre l'interval al qual han de pert√†nyer, permet assegurar que el seu producte, $n$, √©s de $2L$ bits.

## 10.2. Primers de 112 bits

L'objectiu final √©s construir un parell de nombres primers $p$, $q$, de $2048$ bits cadascun, de la forma 
$$
p=2 m_p p_0 p_1 + 1,
\qquad
q=2m_q q_0 q_1 + 1, 
$$
de manera que $p_0$, $p_1$, $q_0$, $q_1$, siguin primers, que $p_1$, $q_1$ siguin de m√©s de $200$ bits cadascun (o sigui, $p_1, q_1>2^{199}$), que $p<(p_0 p_1)^2$, $q<(q_0 q_1)^2$, i que $m_p$ sigui divisible per un nombre primer $p_2$ de m√©s de $200$ bits tal que $len(p_1)+len(p_2)\le 1005$ bits, i que $m_q$ sigui divisible per un nombre primer $q_2$ de m√©s de $200$ bits tal que $len(q_1)+len(q_2)\le 1005$ bits, i que se satisfacin les altres restriccions per a les longituds i la difer√®ncia entre $p$ i $q$.

Com que hi ha una restricci√≥ per a la difer√®ncia entre $p$ i $q$, ser√† convenient construir-los simult√†niament, imposant aquesta condici√≥ en la construcci√≥. 

D'altra banda, la construcci√≥ dels nombres $m_p$ i $m_q$ ha de ser tal que es garanteixi la condici√≥ que $p+1$ i $q+1$ siguin divisibles per primers $p_2$, $q_2$, respectivament, de la longitud predeterminada.


### 10.2.0. Construcci√≥ d'una primera llista de nombres primers 

Es tracta de construir una llista, que anomenarem lp112, de $32$ nombres primers de $112$ bits i certificar-los, per√≤ sense emmagatzemar, ni escriure, els certificats. (En farem servir $24$, d'aquests nombres, per√≤ en tenim m√©s per si algun present√©s problemes.)

<b>Observaci√≥</b>. Els nombres d'aquesta llista s√≥n prou petits perqu√® puguin √©sser certificats f√†cilment amb la funci√≥ Certifica; per aix√≤ no emmagatzemarem els certificats.

Per a construir aquesta llista, definirem una funci√≥ Primer112( )
que calculi un nombre primer d'aquesta mida a partir d'una cercar a l'atzar entre els nombres senars de $112$ bits. Un cop feta la tria, li passarem el test de Solovay-Strassen, de manera que si el nombre triat √©s compost, no passar√† el test i en triarem un altre. Aix√≤ ho farem successivament un m√†xim de, posem, $500$ vegades. Un cop en tinguem un que passi el test (que, per tant, deu ser primer), el certificarem com a primer i el retornarem. Si no √©s primer o si hem arribat al final sense trobar-ne cap en el nombre m√†xim fixat de tries, retornarem $0$.

Despr√©s, aplicarem aquesta funci√≥ per a fer una llista de $32$ nombres.

In [None]:
def Primer112():
    fita=500
    n=0
    while not SolovayStrassenCert((q:=(2*ZZ.random_element(2^110,2^111)+1)),25)[1] and n<fita:
        n=n+1
    if n<fita and Certifica(q,[],50)[1]:
        return q
    return 0


In [None]:
lp112=[Primer112() for i in range(32)]

Encara que no cal, podem veure'n certificats (que fem de nou); notem que, com que no coneixem prou primers que divideixin p-1, √©s m√©s √∫til la funci√≥ Certifica que la funci√≥ Pocklington.

In [None]:
[Certifica(lp112[i],[],50) for i in range(len(lp112))]

## 10.3. Primers de 480 bits

Notem que el producte de quatre nombres de $112$ bits √©s un nombre de (aproximadament) $448$ bits. Sigui $np1$ el producte de quatre d'aquests nombres de $lp112$; concretament, prendrem el primer, el quadrat del segon i el tercer; o sigui, farem 
$$
np1:=lp112[0]\cdot lp112[1]^2\cdot lp112[2].
$$
An√†logament, considerarem 
$$
np2:=lp112[4]\cdot lp112[5]^2\cdot lp112[6],
$$
$$
nq1:=lp112[8]\cdot lp112[9]^2\cdot lp112[10],
$$
$$
nq2:=lp112[12]\cdot lp112[13]^2\cdot lp112[14].
$$
Farem servir aquests nombres per a la construcci√≥ dels primers $p_1$, $p_2$, $q_1$ i $q_2$.

I tamb√© considerarem 
$$
np00:=lp112[16]\cdot lp112[17]^2\cdot lp112[18],
$$
$$
nq00:=lp112[20]\cdot lp112[21]^2\cdot lp112[22],
$$
$$
np01:=lp112[24]\cdot lp112[25]^2\cdot lp112[26],
$$
$$
nq01:=lp112[28]\cdot lp112[29]^2\cdot lp112[30],
$$
nombres que farem servir com a auxiliars per a la construcci√≥ de $p_0$ i de $q_0$.

In [None]:
[np1,np2,nq1,nq2,np00,nq00,np01,nq01]=[lp112[4*i]*lp112[4*i+1]^2*lp112[4*i+2] for i in range(8)]

Tot i que no cal, mirem-nos-els.

In [None]:
[np1,np2,nq1,nq2,np00,nq00,np01,nq01]

√íbviament, aquests nombres no s√≥n ni de $480$ bits, ni (probablement) primers; per√≤ a partir d'ells podem calcular f√†cilment nombres primers de $480$ bits de la manera seg√ºent. Ens fixem en $np1$; per als altres, es fa el mateix.

Per a tot nombre natural $kp1$, el nombre $p_1:=2*kp1*np1+1$ √©s senar; i el seu nombre de bits dep√®n d'un interval on es pot triar $kp1$; de fet, si volem que $p_1$ sigui de $480$ bits, cal que
$$
2^{479}\le p_1=2*kp1*np1+1< 2^{480}
$$
i, per tant, hem de prendre $kp1$ com un nombre enter de l'interval 
$$
\dfrac{2^{479}-1}{2\cdot np1} \le kp1 < \dfrac{2^{480}-1}{2\cdot np1}.
$$
Notem que la longitud de l'interval √©s 
$$
\dfrac{2^{480}-1}{2\cdot np1}-\dfrac{2^{479}-1}{2\cdot np1}=
\dfrac{2^{480}-2^{479}}{2\cdot np1}=\dfrac{2^{478}}{np1}\ge 
\dfrac{2^{478}}{2^{4\cdot112}}=2^{30},
$$
de manera que hi ha molts valors de $kp1$ per poder triar a l'atzar.

I, an√†logament, per a les parelles $(kp2,p_2)$, $(kq1,q_1)$, i $(kq2,q_2)$.

Ara, la tria dels valors de $kp1$, $kp2$, $kq1$, $kq2$ en els intervals adequats produeix nombres $p_1$, $p_2$, $q_1$ i $q_2$ de la quantitat desitjada de bits; per√≤ (segurament) no s√≥n primers!

Calculem les fites per als intervals.

In [None]:
infkp1=ceil((2^479-1)/(2*np1))
supkp1=floor((2^480-1)/(2*np1))
infkp2=ceil((2^479-1)/(2*np2))
supkp2=floor((2^480-1)/(2*np2))
infkq1=ceil((2^479-1)/(2*nq1))
supkq1=floor((2^480-1)/(2*nq1))
infkq2=ceil((2^479-1)/(2*nq2))
supkq2=floor((2^480-1)/(2*nq2))

Triem valors aleatoris.

In [None]:
kp1=ZZ.random_element(infkp1,supkp1)
kp2=ZZ.random_element(infkp2,supkp2)
kq1=ZZ.random_element(infkq1,supkq1)
kq2=ZZ.random_element(infkq2,supkq2)

Encara que no cal, els podem veure.

In [None]:
kp1, kp2, kq1, kq2

Amb aquests valors de $kp1$, $kp2$, $kq1$ i $kq2$, definim nombres $p_1$, $p_2$, $q_1$, $q_2$, als quals aplicarem el test de primeritat de Solovay-Strassen a fi de comprovar que no s√≥n primers, o de tenir gran certesa que ho s√≥n. 

I repetirem la tria a l'atzar dels valors $kp1$, $kp2$, $kq1$ i $kq2$, fins que el test no detecti que el nombre √©s compost. En aquest cas, podrem certificar-lo com a primer amb el certificat de Pocklington, perqu√® els productes de primers que hem pres per a $np1$, $np2$, $nq1$ i $nq2$ s√≥n m√©s grans que l'arrel quadrada del primer corresponent que volem certificar (de fet, amb el primer del qual hem considerat el quadrat i un els altres dos, ja en tenim prou). 

Aix√≤ produir√†, doncs, els nombres primers $p_1$, $p_2$, $q_1$ i $q_2$ que volem, amb certificats (que, si no cal, podem obviar).

Per a aquesta tasca, definim una funci√≥ Primer480(ltanp) que automatitzi aquest proc√©s i es pugui aplicar de manera senzilla a cadascun dels casos. Aqu√≠, ltanp √©s (una part significativa de) la llista de primers que divideixen $p-1=2\cdot k\cdot np$; i la funci√≥ retorna p, el valor k i un certificat de primeritat de p.

<b>Observaci√≥</b>. La funci√≥ est√† adaptada a la construcci√≥ que fem dels nombres np i no √©s general; per exemple, construeix el nombre np tal com ho hem fet a partir de la llista, per√≤ no cap altre nombre constru√Øt a partir dels seus elements.

In [None]:
def Primer480(ltanp):
    np=ltanp[0]*ltanp[1]^2*ltanp[2]
    infkp=ceil((2^479-1)/(2*np))
    supkp=floor((2^480-1)/(2*np))
    kp=ZZ.random_element(infkp,supkp)
    p=2*kp*np+1
    fita=1000
    while fita >0 and SolovayStrassenTest(p,50)==false:
        kp=ZZ.random_element(infkp,supkp)
        p=2*kp*np+1
        fita=fita-1
    if fita==0:
        return 0, 'Cal tornar-hi!'
    else:
        cert=Pocklington(p,ltanp[0:2],50)
    return [p,kp,cert]

### 10.3.1. Construcci√≥ dels nombres primers p1, p2, q1 i q2, de 480 bits

Apliquem la funci√≥ per a construir $p_1$, $p_2$, $q_1$ i $q_2$, amb els seus respectius certificats.

In [None]:
[p1,kp1,certp1]=Primer480(lp112[0:3])

In [None]:
[q1,kq1,certq1]=Primer480(lp112[4:7])

In [None]:
[p2,kp2,certp2]=Primer480(lp112[8:11])

In [None]:
[q2,kq2,certq2]=Primer480(lp112[12:15])

Tot i que no cal, els podem veure, aix√≠ com tamb√© que se satisfan les restriccions de la seva mida.

In [None]:
p1,p2,q1,q2

In [None]:
2^479<p1<2^480

In [None]:
2^479<p2<2^480

In [None]:
2^479<q1<2^480

In [None]:
2^479<q2<2^480

## 10.4. Primers de 1024 bits

### 10.4.0. Construcci√≥ dels primers p0 i q0

An√†logament a la construcci√≥ dels nombres primers $p_1$, $p_2$, $q_1$ i $q_2$ anteriors, podem construir nombres primers $p'_0$, $p'_1$, $q'_0$, $q'_1$, tamb√© de $480$ bits, a fi de construir $p_0:=2\cdot kp_0\cdot p'_0\cdot p'_1$, i $q_0:=2\cdot kq_0\cdot q'_0\cdot q'_1$, de $1024$ bits a partir del c√†lcul dels valors $kp_0$ i $kq_0$, a l'atzar, com m√©s amunt (en l'interval adequat).

Repetim, doncs, el procediment. Nom√©s cal aplicar la funci√≥ Primer480( ) a la llista adequada en cada cas.

In [None]:
[pp0,kpp0,certpp0]=Primer480(lp112[16:19])

In [None]:
[pq0,kpq0,certpq0]=Primer480(lp112[20:23])

In [None]:
[pp1,kpp1,certpp1]=Primer480(lp112[24:27])

In [None]:
[pq1,kpq1,certpq1]=Primer480(lp112[28:31])

Per a la construcci√≥ de $p_0$, $q_0$, ser√† √∫til repetir la funci√≥ Primer480 per√≤ per a $1024$ bits i a partir de dos primers de $480$ bits.

In [None]:
def Primer1024(ltanp):
    np=ltanp[0]*ltanp[1]
    infkp=ceil((2^1023-1)/(2*np))
    supkp=floor((2^1024-1)/(2*np))
    kp=ZZ.random_element(infkp,supkp)
    p=2*kp*np+1
    fita=2000
    while fita >0 and SolovayStrassenTest(p,50)==false:
        kp=ZZ.random_element(infkp,supkp)
        p=2*kp*np+1
        fita=fita-1
    if fita==0:
        return 0, 'Cal tornar-hi!'
    else:
        cert=Pocklington(p,ltanp,50)
    return [p,kp,cert]

In [None]:
[p0,kp0,certp0]=Primer1024([pp0,pp1])

In [None]:
[q0,kq0,certq0]=Primer1024([pq0,pq1])

## 10.5. Primers de 2048 bits

Notem que fins ara hem constru√Øt nombres primers prou grans i de manera que si escrivim $p=2m_p\cdot p_0\cdot p_1$, i an√†logament per a $q$, els nombres $p-1$ i $q-1$ s√≥n divisibles per un primer de $480$ bits.

Resta trobar els valors de $m_p$ i $m_q$ de manera que $p$ i $q$ siguin primers, de la mida volguda, per als quals se satisfaci la restricci√≥ sobre la seva difer√®ncia, i tals que $p+1$ i $q+1$ siguin divisibles per algun primer de $480$ bits (els $p_2$, $q_2$ que hem calculat m√©s amunt).

Considerem els nombres enters $y_p$, $y_q$, dels intervals $1\le y_p\le p_0p_1-1$, $1\le y_q\le q_0q_1-1$, inversos de $p_0p_1\pmod{p_2}$ i $q_0q_1\pmod{q_2}$, respectivament; √©s a dir, tals que $y_p p_0p_1\equiv 1\pmod{p_2}$ i $y_q q_0q_1\equiv 1\pmod{q_2}$.

Ara es tracta de trobar nombres naturals $t_p$ i $t_q$ adequats, de manera que per a $m_p:=t_p p_2-y_p$, $m_q:=t_q q_2-y_q$, els nombres $p:=2m_pp_0p_1+1$, $q:=2m_qq_0q_1+1$, satisfacin les condicions volgudes.

Notem que per a tots els nombres de la forma $m_p:=t_p p_2-y_p$, tenim que
$$
p+1=2m_pp_0p_1+2=2(t_pp_2-y_p)p_0p_1+2\equiv -2y_pp_0p_1+2\equiv 0\pmod{p_2};
$$
i an√†logament per a $q+1$:
$$
q+1=2m_qq_0q_1+2=2(t_qq_2-y_q)q_0q_1+2\equiv -2y_qq_0q_1+2\equiv 0\pmod{q_2};
$$
√©s a dir, $p+1$ i $q+1$ s√≥n divisibles per $p_2$, $q_2$, respectivament. 

Aix√≠, nom√©s cal construir els valors $t_p$ i $t_q$ de manera que se satisfacin les altres condicions (mida dels $p$ i $q$, valor absolut de la difer√®ncia, i que siguin primers).

### 10.5.0. Construcci√≥ de yp i yq

In [None]:
[yp,yq]=[Integer(Mod(p0*p1,p2)^(-1)),Integer(Mod(q0*q1,q2)^(-1))]

In [None]:
[yp,yq]

### 10.5.1. Construcci√≥ de p

De manera similar com hem calculat valors $kp1$, $kp2$, $kq1$, $kq2$, i altres, ara calcularem els valors $t_p$ i $t_q$.

I a fi de poder calcular els nombres $p$ i $q$ d'acord amb la restricci√≥ que el valor absolut de la difer√®ncia sigui m√©s gran que $2^{2048-100}=2^{1948}$, primerament calcularem $p$ i, despr√©s podrem calcular $q$ en tenir en compte el valor de $p$.

Per comoditat de lectura (i tamb√© de c√†lcul), posarem $a:=2^{2047}\sqrt{2}$ i $b:=2^{2048}$.

Notem que volem que se satisfacin les condicions sobre la mida de $p$ i de $q$:
$$
a< p=2(t_p p_2-y_p)ùëù_0ùëù_1+1 <b,
$$
$$
a< q=2(t_q q_2-y_q)q_0q_1+1 <b;
$$
per tant, ha de ser
$$
\dfrac{a-1}{2ùëù_0ùëù_1}+y_p< t_p p_2 <
\dfrac{b-1}{2ùëù_0ùëù_1}+y_p;
$$
o sigui,
$$
\dfrac{a-1+2ùëù_0ùëù_1y_p}{2ùëù_0ùëù_1}< t_p p_2 <
\dfrac{b-1+2ùëù_0ùëù_1y_p}{2ùëù_0ùëù_1};
$$
√©s a dir,
$$
\dfrac{a-1+2ùëù_0ùëù_1y_p}{2ùëù_0ùëù_1p_2}< t_p <
\dfrac{b-1+2ùëù_0ùëù_1y_p}{2ùëù_0ùëù_1p_2}.
$$
I, an√†logament, 
$$
\dfrac{a-1+2q_0q_1y_q}{2q_0q_1q_2}< t_q <
\dfrac{b-1+2q_0q_1y_q}{2q_0q_1q_2}.
$$

<b>Observaci√≥</b>. M√©s avall canviarem aquestes fites per a $t_q$.

Ara, en tenir en compte les mides dels primers $p_0$, $p_1$, $p_2$, notem que aix√≤ permet triar $t_p$ en un interval de longitud
$$
\dfrac{b-1+2ùëù_0ùëù_1y_p}{2ùëù_0ùëù_1p_2}-
\dfrac{a-1+2ùëù_0ùëù_1y_p}{2ùëù_0ùëù_1p_2}=
\dfrac{b-a}{2ùëù_0ùëù_1p_2}=
\dfrac{2^{2046}(2-\sqrt{2})}{ùëù_0ùëù_1p_2}>
2^{2046-1024-480-480}(2-\sqrt{2})
=2^{62}(2-\sqrt{2})>2^{61}.
$$

√âs a dir, podem triar $t_p$ a l'atzar en un interval prou gran i esperar que alguna tria proporcioni un nombre primer de la mida volguda.


Comencem per definir un parell de nombres, sq($=a$), i sq2($=r$) per a comparar i calcular les fites dels intervals.

In [None]:
sq=2^2047*sqrt(2)

In [None]:
sq2=(2^2048+sq)/2

Escrivim les fites de l'interval per al c√†lcul de $p$.

In [None]:
inftp=ceil((sq-1+2*p0*p1*yp)/(2*p0*p1*p2))
suptp=floor((2^2048-1+2*p0*p1*yp)/(2*p0*p1*p2))

Calculem, successivament, $t_p$, $m_p$, i $p$.

In [None]:
tp=ZZ.random_element(inftp,suptp)

In [None]:
mp=tp*p2-yp

In [None]:
p=2*mp*p0*p1+1

Tot i que no cal, els podem veure.

In [None]:
mp

In [None]:
p

In [None]:
SolovayStrassenTest(p,50)

Com era d'esperar, $p$ no √©s primer; cal repetir el c√†lcul de $p$; ho automatitzem.

In [None]:
fita=2000

In [None]:
while SolovayStrassenTest(p,50)==false and fita>0:
    tp=ZZ.random_element(inftp,suptp)
    mp=tp*p2-yp
    p=2*mp*p0*p1+1
    fita=fita-1
if fita==0:
    primerp=0
    print('Cal tornar-hi!')
else:
    primerp=[p,Pocklington(p,[p0],100)]
    

Tot i que no cal, el podem veure, amb un certificat.

In [None]:
primerp

I (√≤bviament) se satisfan les condicions volgudes per a $p$.

In [None]:
(p-1)%p1

In [None]:
(p+1)%p2

In [None]:
sq<p<2^2048

### 10.5.2. Construcci√≥ de q

Per a la tria del valor de $q$, cal triar $t_q$ de manera similar a $t_p$. Per√≤ ara, podem recalcular l'interval a fi que se satisfaci la propietat que $|p-q|\ge 2^{1948}$.

Notem que podem bipartir l'interval $[a:=2^{2047}\sqrt{2}, b:=2^{2048}]$ pel seu punt mitj√†, 
$$
r:=\dfrac{a+b}{2}=\dfrac{2^{2047}\sqrt{2}+2^{2048}}{2}=2^{2046}(2+\sqrt{2}),
$$
mirar en quina de les dues meitats hi ha $p$, i imposar que $q$ estigui a l'altra (i prou separat de $p$).

M√©s concretament, volem imposar que se satisfaci que si $a<p<r$, llavors sigui $r+2^{1948}<q<b$, i que si $r<p<b$, llavors sigui $a<q<r-2^{1948}$.

Per tant, nom√©s cal adaptar adequadament els intervals de cerca de $t_q$.

<b>Observaci√≥</b>. √âs (molt) probable que una tria a l'atzar de $t_p$ i $t_q$ en l'interval predit ja faci que se satisfaci la condici√≥ sobre el valor absolut de la difer√®ncia entre $p$ i $q$. I en cas (molt poc probable) que no se satisf√©s, podr√≠em tornar a calcular un dels primers (o tots dos). Amb el procediment que hem descrit, ens assegurem que aix√≤ succeeixi. A canvi, per√≤, perdem la propietat que tots dos nombres siguin "prou" aleatoris, perqu√® imposem que estiguin en meitats complement√†ries de l'interval $[a,b]$.


Aix√≠, les noves fites s√≥n:

En el cas que $a<p<r$, cal que 
$$
\dfrac{a+2^{1948}-1+2q_0q_1y_q}{2q_0q_1q_2}< t_q <
\dfrac{b-1+2q_0q_1y_q}{2q_0q_1q_2};
$$
i en el cas que $r<p<b$, cal que 
$$
\dfrac{a-1+2q_0q_1y_q}{2q_0q_1q_2}< t_q <
\dfrac{2^{2046}(\sqrt{2}+1)-1+2q_0q_1y_q-2^{1948}}{2q_0q_1q_2};
$$


Calculem-les.

In [None]:
if p<sq2:
    inftq=ceil((sq+2^1948-1+2*q0*q1*yq)/(2*q0*q1*q2))
    suptq=floor((2^2048-1+2*q0*q1*yq)/(2*q0*q1*q2))
else:
    inftq=ceil((sq-1+2*q0*q1*yq)/(2*q0*q1*q2))
    suptq=floor((2^2048-1+2*q0*q1*yq-2^1948)/(2*q0*q1*q2))

Encara que no cal, les podem veure.

In [None]:
inftq,suptq

Calculem, successivament, $t_q$, $m_q$, i $q$.

In [None]:
tq=ZZ.random_element(inftq,suptq)

In [None]:
mq=tq*q2-yq

In [None]:
q=2*mq*q0*q1+1

Encara que no cal, els podem veure.

In [None]:
tq

In [None]:
mq

In [None]:
q

In [None]:
SolovayStrassenTest(q,50)

Com era d'esperar, $q$ no √©s primer; cal repetir el c√†lcul de $q$; ho automatitzem.

In [None]:
fita=2000

In [None]:
while SolovayStrassenTest(q,50)==false and fita>0:
    tq=ZZ.random_element(inftq,suptq)
    mq=tq*q2-yq
    q=2*mq*q0*q1+1
    fita=fita-1
if fita==0:
    primerq=0
    print('Cal tornar-hi!')
else:
    primerq=[q,Pocklington(q,[q0],100)]
    

In [None]:
primerq

I se satisfan les condicions volgudes per a $q$.

In [None]:
q=primerq[0]

In [None]:
q

In [None]:
(q-1)%q1

In [None]:
(q+1)%q2

In [None]:
sq<q<2^2048

In [None]:
abs(p-q)>2^1948

In [None]:
2^4095<p*q<2^4096

In [None]:
n=p*q

In [None]:
n

## 10.6. Els valors obtinguts per a una possible clau

In [None]:
p

In [None]:
q

In [None]:
p0

In [None]:
p1

In [None]:
p2

In [None]:
q0

In [None]:
q1

In [None]:
q2

In [None]:
n

Per a completar una clau, calen els exponents p√∫blic, e, i privat, d, de manera que $de \equiv 1\pmod{lcm(p-1,q-1)}$. I es recomana triar $d$ a l'atzar, i pr√®viament al c√†lcul de $p$ i $q$; √≥bviament, obviarem aquest pas previ i construirem $d$ i $e$ ara.

Notem que $d$ i $e$ han de ser, en particular, senars.

In [None]:
m=lcm(p-1,q-1)

In [None]:
m

In [None]:
d=2*ZZ.random_element(2,(m-2)//2)+1

In [None]:
d

In [None]:
e=Mod(d,m)^(-1)

In [None]:
e

Escrivim les claus:

In [None]:
ClauPublicaRSA4096=[n,e]

In [None]:
ClauPrivadaRSA4096=[n,d]

In [None]:
ClauPublicaRSA4096

In [None]:
ClauPrivadaRSA4096

Notem que, efectivament, $n$ √©s de 4096 bits.

In [None]:
2^4095<n<2^4096

## Fi del cap√≠tol 10