TP : le cryptosystème RSA

1. Mise en oeuvre sur SageMath : un exemple simple

Choisir deux petits nombres premiers distincts et affecter ces valeurs respectivement à $p$ et $q$ dans Sage.

{{{id=16| p = 23 q = 29 /// }}}

Vérifier à l'aide de Sage que les nombres $p$ et $q$ sont bien premiers.

{{{id=18| p.is_prime() /// $\newcommand{\Bold}[1]{\mathbf{#1}}\mathrm{True}$ }}} {{{id=151| q.is_prime() /// $\newcommand{\Bold}[1]{\mathbf{#1}}\mathrm{True}$ }}}

Remarque : l'aide de la commande is_prime indique que, par défaut, cette fonction exécute un test déterministe de primalité. En l'appelant par $\mathrm{is.prime(Proof}=\mathrm{False)}$, c'est un test de pseudoprimalité qui est effectué. On peut aussi directement demander un test de pseudoprimalité par la commande is_ pseudoprime.

Calculer $pq$ et l'affecter à $n$.

{{{id=19| n = p*q /// }}} {{{id=103| n /// $\newcommand{\Bold}[1]{\mathbf{#1}}667$ }}}

Dans Sage, la fonction qui calcule l'indicatrice d'Euler $\varphi$ est euler_phi.

{{{id=20| euler_phi(n) /// $\newcommand{\Bold}[1]{\mathbf{#1}}616$ }}}

On affecte ce résultat à une nouvelle variable, qu'on choisit de nommer phi.

{{{id=108| phi = euler_phi(n) /// }}}

Trouver un entier $e\in\mathbb{Z}$ tel que $\mathrm{pgcd}(e,\varphi(n))=1$.

Il s'agit de prendre un nombre n'ayant aucun facteur premier commun avec $\varphi(n)$. Pour cela, on peut s'aider par exemple de la factorisation de $\varphi$.

{{{id=21| factor(phi) /// $\newcommand{\Bold}[1]{\mathbf{#1}}2^{3} \cdot 7 \cdot 11$ }}}

On choisit par exemple de prendre $e=5$. En pratique, pour une véritable implémentation de RSA, il vaut mieux éviter de choisir $e$ trop petit.

{{{id=23| e = 13 /// }}}

Trouver un entier $d \in \mathbb{N}$ tel que $de \equiv 1 \bmod \varphi(n)$.

Comme $e$ et $\varphi(n)$ sont premiers entre eux, $e$ est inversible modulo $\varphi(n)$, autrement dit il existe un entier $d$ comme voulu. Pour trouver $d$ en pratique, on écrit l'algorithme d'Euclide étendu : il fournit deux entiers $d$ et $s$ tels que $de + s\varphi(n) = 1$. Modulo $n$, on aura donc $de \equiv 1 \bmod \varphi(n)$. Si jamais $d$ est négatif, on sait qu'on peut le remplacer par un multiple approprié de $\varphi(n)$ de manière à avoir un entier naturel.

Dans Sage, le résultat de l'algorithme d'Euclide étendu entre deux entiers $a$ et $b$ s'obtient par la commande $xgcd(a,b)$. Consulter l'aide de Sage pour comprendre à quoi correspondent les trois valeurs retournées par cette fonction.

{{{id=24| xgcd(e,phi) /// $\newcommand{\Bold}[1]{\mathbf{#1}}\left(1, 237, -5\right)$ }}}

On peut donc prendre $d = 237$. Vérifions-le.

{{{id=25| d = 237 (d*e).mod(phi) /// $\newcommand{\Bold}[1]{\mathbf{#1}}1$ }}}

Transmettre votre clé publique $(n,e)$ à votre voisin.

{{{id=26| print "Ma cle publique est", (n,e) /// Ma cle publique est (667, 13) }}}

Pour information, voici votre clé privée.

{{{id=115| print "Ma cle privee est", (p,q,d) /// Ma cle privee est (23, 29, 237) }}}

Mon voisin souhaite m'envoyer un message confidentiel. Il le crypte à l'aide de ma clé publique $(n,e)$ (et non pas avec sa propre clé !). Je reçois le message $c$ suivant.

{{{id=27| c = 158 c /// $\newcommand{\Bold}[1]{\mathbf{#1}}158$ }}}

Je déchiffre ce message à l'aide de ma clé privée.

{{{id=28| (c^d).mod(n) /// $\newcommand{\Bold}[1]{\mathbf{#1}}444$ }}}

Le message qu'a voulu m'envoyer mon voisin est donc 444, dans sa forme déchiffrée.

2. Mise en oeuvre sur SageMath : un exemple grandeur nature

Obtenir de grands nombres premiers de manière aléatoire.

D'après le théorème des nombres premiers, la probabilité pour qu'un entier naturel d'au plus $k$ décimales et choisi au hasard soit premier est de l'ordre de $1/\ln(10^k)$ c'est-à-dire environ $1/(2,3 k)$. Pour fabriquer au hasard de grands nombres premiers, on peut donc procéder ainsi : on tire au hasard un entier et on teste s'il est premier ou non. S'il ne l'est pas, on en essaye un autre, etc. jusqu'à en trouver un. L'heuristique précédente assure que cette méthode va aboutir après un nombre suffisant et raisonnable de lancers avec une probabilité élevée. Pour accélérer la recherche, on a intérêt à utiliser un test de pseudoprimalité (is_pseudoprime), puis lorsqu'un candidat a réussi ce test, à confirmer sa primalité par un test déterministe (is_prime).

Estimons le nombre d'entiers à tester. Notons $q=1-1/\ln(10^k)$ la probabilité qu'un entier naturel d'au plus $k$ décimales et choisi au hasard ne soit pas premier. La probabilité d'avoir $n$ échecs successifs est égale à $q^n$. Elle est inférieure à $5\%$ dès lors que $n\geq \frac{\log (0,05)}{\log q}$.

{{{id=124| k = 310 log(0.05)/log(1-1/(ln(10^k))).n() /// $\newcommand{\Bold}[1]{\mathbf{#1}}2136.85961134156$ }}}

Dans Sage, la commande .n() permet d'obtenir une valeur approchée (elle signifie numerical approximation).

Par exemple pour $k=310$, nous avons 95% de chance de trouver un nombre premier en testant $2136$ nombres entiers. Pour obtenir un premier à exactement $310$ décimales, le calcul est similaire et l'estimation assez proche.

Trouvons de cette manière un nombre premier à au moins 310 chiffres. Dans le programme ci-dessous, la commande # permet d'introduire des commentaires, qui ne sont pas interprétés par Sage.

{{{id=45| p = ZZ.random_element(10^312) # On choisit au hasard un nombre entier inferieur a 10^312 N = 1 # On initialise le compteur pour le nombre de tests while (len(p.digits()) < 310) or (not p.is_pseudoprime()): p = ZZ.random_element(10^310) N = N+1 /// }}}

La boucle while fait recommencer le test dès lors que le nombre a moins de 310 décimales ou qu'il n'est pas premier.

La valeur finale de $N$ retourne le nombre de tests effectués.

{{{id=122| N /// $\newcommand{\Bold}[1]{\mathbf{#1}}1454$ }}}

Comptons le nombre de décimales de $p$.

{{{id=89| len(p.digits()) /// $\newcommand{\Bold}[1]{\mathbf{#1}}310$ }}}

On peut aussi afficher le nombre $p$.

{{{id=121| p /// $\newcommand{\Bold}[1]{\mathbf{#1}}6391853333868611242170737847325195783993823783334077440428939500197135818387148630767522327283885130884196764522235032567842350619907832748365683143039883749821863032658996730095527177529431981100111048060524718316839607760981137581034224850398303048925781232171496258264508781404347432209377828110778761389043$ }}}

Il reste à confirmer sa primalité par un test déterministe. La commande % time permet d'afficher le temps utilisé pour exécuter une commande.

{{{id=132| %time p.is_prime() /// $\newcommand{\Bold}[1]{\mathbf{#1}}\mathrm{True}$ CPU time: 21.61 s, Wall time: 21.62 s }}}

Même chose avec un autre nombre premier $q$.

{{{id=51| q = ZZ.random_element(10^312) while (len(q.digits()) < 310) or (not q.is_pseudoprime()): q = ZZ.random_element(10^312) /// }}} {{{id=53| len(q.digits()),q /// $\newcommand{\Bold}[1]{\mathbf{#1}}\left(312, 131282666347850939119832418593300477001496647943969670804339591670720434724380119293433546143820226596892457988795271126856292098207023393664051717256451877082484821403990372671061971927588796124052693707482446354955685108734810184324020291209679048091132273237929325045616657531491960024934181818212673010686133\right)$ }}} {{{id=72| %time q.is_prime() /// $\newcommand{\Bold}[1]{\mathbf{#1}}\mathrm{True}$ CPU time: 21.94 s, Wall time: 21.94 s }}}

On termine en calculant notre clé publique $n$ et par vérifier qu'elle a au moins 617 décimales.

{{{id=52| n = p*q n /// $\newcommand{\Bold}[1]{\mathbf{#1}}839139548574671562492174259290126841368734050178241294453970769775464963654673640559253285846590112603097196166103990009026100844899826613955400999704118210244810118147096649908632523303187332800696336707498877245975707866439174408902742820868227256082888223425853939090523044534749568077653018798029157343594758495526559810525148728798976246007728269847828227848053963465756387804704107101940553178052467439608629444105138039801663913467665061645870105206854525532054642345170297185374459799483988697040720827673602978396512045783683913945012531507569986459812732249760341519272116262944125962935364983986519717578240719$ }}} {{{id=91| len(n.digits()) /// $\newcommand{\Bold}[1]{\mathbf{#1}}621$ }}}

Variantes. On aurait aussi pu utiliser les commandes next_prime (qui retourne le nombre premier suivant immédiatemment un entier donné) ou la commande toute faite random_prime (qui retourne un nombre premier au hasard d'une taille donnée).

Calcul de $\varphi(n)$.

{{{id=54| # euler_phi(n) # Trop long ! /// }}}

Le calcul de $\varphi(n)$ par la commande est trop long. C'est normal car Sage va chercher à le factoriser $n$ afin de calculer $\varphi(n)$. Comme $n$ a plus de 610 décimales, c'est une tâche impossible en un temps raisonnable. La sécurité de RSA réside ici.

Pour calculer $\varphi(n)$, on se rappelle que comme $n=pq$ avec $p$ et $q$ premiers distincts, on a $\varphi(n)=\varphi(p)\varphi(q) = (p-1)(q-1)$. On demande à Sage de calculer directement ce nombre, qui suppose de connaître les facteurs $p$ et $q$ de $n$ (clé privée).

{{{id=55| phi = (p-1)*(q-1); phi /// $\newcommand{\Bold}[1]{\mathbf{#1}}839139548574671562492174259290126841368734050178241294453970769775464963654673640559253285846590112603097196166103990009026100844899826613955400999704118210244810118147096649908632523303187332800696336707498877245975707866439174408902742820868227256082888223425853939090523044534749568077653018798029157343594620821006878090974786725642535620334942779376100924099809194934585470234161339834016352109581363327880852789351820533642239779018838130419457687806455033771222335660733647815973302300378870468935568022918060007323239521067188122623107476991509909108672674195290240697968235096631229655478221424340196265806165544$ }}}

Choix de e

On doit trouver $e$ entier naturel tel que son pgcd avec $\varphi(n)$ est égal à $1$. Là encore, il n'est pas question de factoriser $\varphi(n)$, qui est très grand...

La majorité des entiers plus petit que $\varphi(n)$ n'ont aucun facteur commun avec lui. On procède donc en tirant des entiers au hasard, jusqu'à en trouver un qui réalise la condition souhaitée.

{{{id=56| e = ZZ.random_element(phi) while gcd(e, phi) != 1: e = ZZ.random_element(phi) /// }}} {{{id=57| e /// $\newcommand{\Bold}[1]{\mathbf{#1}}171221880638149353983676660965031112353848383697142022038260794416218271243209879841788337230352455294076186146238308894880884623596960128359668338182884819406350047151937644011650551769266888058056535006245168566952301084756167875008252794117203769742984909324908674137458427423811989944917848166661178343800313874612550364805510381513793168557166268531837720825396816392943016501462191321582704248403549904828152926790215432109862520616983260167908716606229312968078954654811529511515714435172010403282542228931529709120287447108788850035956016553923171245044710645498770144539746102189025084517802383899002704127226559$ }}}

Vérification :

{{{id=136| e.gcd(phi) /// $\newcommand{\Bold}[1]{\mathbf{#1}}1$ }}}

Choix de $d$.

On cherche un entier $d \in \mathbb{N}$ tel que $de \equiv 1 \bmod \varphi(n)$. À nouveau, c'est l'algorithme d'Euclide étendu qui permet de le faire.

{{{id=139| e.xgcd(phi) /// $\newcommand{\Bold}[1]{\mathbf{#1}}\left(1, 172980329846364775734256458383910100675610512715500008904490668096053550264309720031303370981328358818891514611267340778385777398530419460718816341711439352703823743005773671277189675811316864953922111654983646347425439835662679514430036800737234156877529062973709398285368712755800795530528831045936570236725333019113220567658883271578374125548061041437368275815804729108142653638138794222322839415043377996738047579045081751284571948540708147478445930029352011749501014406861237360678524360664746310597139839018739614101311202957769676866684870774886978901292074915887749059592135069162502533471203734475839000820089807, -35295699553202966187508624076444109190806161197010914748159946083430783918789651700399537007566299261017451984359185121286186899512688612337178352339615772830462954526279549248581898565659655264860562535554589184085183700833832343476076156191813511202756520213174819798174125398800975595482096030405858216161762257487038476545042247550653479702324801033164853123254268039685089766479070110356194325719669058344611333810993822171154271191883957407066508856780753345741629592315490000777501334942125779848255270474044181268801784567520085467344665154669851109667072753541304563235369086419636168984519278330761239177795798\right)$ }}}

On extrait de ce résultat la deuxième composante de la liste. Remarque : en Python (et donc en Sage), la numérotation des listes commence à $0$. On demande donc ici la $1$ère composante.

{{{id=58| d = e.xgcd(phi)[1] d /// $\newcommand{\Bold}[1]{\mathbf{#1}}172980329846364775734256458383910100675610512715500008904490668096053550264309720031303370981328358818891514611267340778385777398530419460718816341711439352703823743005773671277189675811316864953922111654983646347425439835662679514430036800737234156877529062973709398285368712755800795530528831045936570236725333019113220567658883271578374125548061041437368275815804729108142653638138794222322839415043377996738047579045081751284571948540708147478445930029352011749501014406861237360678524360664746310597139839018739614101311202957769676866684870774886978901292074915887749059592135069162502533471203734475839000820089807$ }}}

Clés publique et privée

Notre clé publique est donc :

{{{id=59| (n,e) /// $\newcommand{\Bold}[1]{\mathbf{#1}}\left(839139548574671562492174259290126841368734050178241294453970769775464963654673640559253285846590112603097196166103990009026100844899826613955400999704118210244810118147096649908632523303187332800696336707498877245975707866439174408902742820868227256082888223425853939090523044534749568077653018798029157343594758495526559810525148728798976246007728269847828227848053963465756387804704107101940553178052467439608629444105138039801663913467665061645870105206854525532054642345170297185374459799483988697040720827673602978396512045783683913945012531507569986459812732249760341519272116262944125962935364983986519717578240719, 171221880638149353983676660965031112353848383697142022038260794416218271243209879841788337230352455294076186146238308894880884623596960128359668338182884819406350047151937644011650551769266888058056535006245168566952301084756167875008252794117203769742984909324908674137458427423811989944917848166661178343800313874612550364805510381513793168557166268531837720825396816392943016501462191321582704248403549904828152926790215432109862520616983260167908716606229312968078954654811529511515714435172010403282542228931529709120287447108788850035956016553923171245044710645498770144539746102189025084517802383899002704127226559\right)$ }}}

et notre clé privée est :

{{{id=61| (p,q,d) /// $\newcommand{\Bold}[1]{\mathbf{#1}}\left(6391853333868611242170737847325195783993823783334077440428939500197135818387148630767522327283885130884196764522235032567842350619907832748365683143039883749821863032658996730095527177529431981100111048060524718316839607760981137581034224850398303048925781232171496258264508781404347432209377828110778761389043, 131282666347850939119832418593300477001496647943969670804339591670720434724380119293433546143820226596892457988795271126856292098207023393664051717256451877082484821403990372671061971927588796124052693707482446354955685108734810184324020291209679048091132273237929325045616657531491960024934181818212673010686133, 172980329846364775734256458383910100675610512715500008904490668096053550264309720031303370981328358818891514611267340778385777398530419460718816341711439352703823743005773671277189675811316864953922111654983646347425439835662679514430036800737234156877529062973709398285368712755800795530528831045936570236725333019113220567658883271578374125548061041437368275815804729108142653638138794222322839415043377996738047579045081751284571948540708147478445930029352011749501014406861237360678524360664746310597139839018739614101311202957769676866684870774886978901292074915887749059592135069162502533471203734475839000820089807\right)$ }}}

Chiffrage et déchiffrage d'un message

On choisir un message numérique $m$ au hasard, avec $m<n$.

{{{id=66| m = ZZ.random_element(n) m /// $\newcommand{\Bold}[1]{\mathbf{#1}}522948334653371707038115579914515206636856361613783741313757289742979782510789319888502241582624467487689995838937307143005567023216528221943163347627017376470432307096199594006600113813672884267821641864914610490527391182536341466173590883200734915402669319609521379487335874787313780900292084399330098755498471644851848172660324550267873607026376288323279942570379180178795707313203985494239483297147583102765166155246743418604756998333689492681071093697721908287529405665725531485768219035703220100752765881361635808324905380455357649515735830902598207525530401198963032595717711514231671532146858790948575249102312856$ }}}

On vérifie que $m$ est bien strictement inférieur à $n$.

{{{id=67| m < n /// $\newcommand{\Bold}[1]{\mathbf{#1}}\mathrm{True}$ }}}

Chiffrons le message avec notre clé privée. Il s'agit de calculer $m^e \bmod n$.

{{{id=62| # (m^e).mod(n) # Trop long ! /// }}}

La commande ci-dessus prend beaucoup trop de temps : elle fait calculer $m^e$, puis le réduire modulo $n$. Ce n'est pas une manière adaptée de calculer des puissances modulo $n$. Il vaut mieux utiliser l'exponentiation rapide (square and multiply), qui s'obtient dans Sage par la commande power_mod.

{{{id=63| %time c = power_mod(m,e,n) c /// $\newcommand{\Bold}[1]{\mathbf{#1}}309592762402277889565898176145957673305797901018438172437817471415120241563904638949258531364759627543586642150217469715845897148378080973803274629432056067189133502295197824583644766917653525661210206761443872096587678434594825485753890276216945598527227264194328185048073840300023058751166178284077961326572897447361773184500219308290290480917115010318924466583826091258550112948928129147534123113069136721103303594928484807142410323215413375888212609782018718037390358140673417240867223121897693113961061259246350833059004367744907542628856733910733955935792272306426835616887563248316917926422927956757347528041807271$ CPU time: 0.06 s, Wall time: 0.07 s }}}

On déchiffre ensuite le message à l'aide de notre clé privée. Pour cela, on évalue $c^d \bmod n$, en utilisant encore l'exponentiation rapide.

{{{id=64| power_mod(c,d,n) /// $\newcommand{\Bold}[1]{\mathbf{#1}}522948334653371707038115579914515206636856361613783741313757289742979782510789319888502241582624467487689995838937307143005567023216528221943163347627017376470432307096199594006600113813672884267821641864914610490527391182536341466173590883200734915402669319609521379487335874787313780900292084399330098755498471644851848172660324550267873607026376288323279942570379180178795707313203985494239483297147583102765166155246743418604756998333689492681071093697721908287529405665725531485768219035703220100752765881361635808324905380455357649515735830902598207525530401198963032595717711514231671532146858790948575249102312856$ }}}

Vérifions que le message initial, et le message chiffré puis déchiffré coïncident.

{{{id=65| power_mod(c,d,n) == m /// $\newcommand{\Bold}[1]{\mathbf{#1}}\mathrm{True}$ }}}