Kryptologie/Korrektheit des RSA-Verschlüsselungsverfahrens

Wir haben nun die drei Algorithmen des RSA-Verschlüsselungsverfahren kennengelernt und beispielhaft durchgeführt. Nun bleibt zu zeigen, warum das Verfahren korrekt ist. Es muss für alle Klartexte ${\displaystyle m\in M}$ also gelten, dass der Entschlüsselungsalgorithmus ${\displaystyle D}$ den verschlüsselten Klartext in den ursprünglichen Klartext ${\displaystyle m}$ umwandelt^[1]. Die wichtigste Grundlage für den Ver- und Entschlüsselungsalgorithmus des RSA-Algorithmus ist der Satz von Euler^[2].

Voraussetzung

Seien ${\displaystyle p,q}$ prim, ${\displaystyle N=p\cdot q}$ ${\displaystyle m\in \mathbb{Z}/N\mathbb{Z}}$, ${\displaystyle e\in (\mathbb{Z}/\phi (N)\mathbb{Z},\odot )}$ und ${\displaystyle e\cdot d\equiv 1mod\phi (N)}$

Zu zeigen

RSA-Algorithmus entschlüsselt korrekt, d.h. für alle ${\displaystyle m\in \mathbb{Z}/N\mathbb{Z}}$ gilt ${\displaystyle c^d\equiv (m^e{)}^d\equiv m^{e\cdot d}\equiv (m^d{)}^e\equiv mmodN}$

Beweis

Laut Voraussetzung gilt:

${\displaystyle e\cdot d\equiv 1mod\phi (N)}$

${\displaystyle \iff e\cdot d\equiv 1mod\phi (p\cdot q)}$, nach Voraussetzung ${\displaystyle N=p\cdot q}$

${\displaystyle \iff e\cdot d\equiv 1mod\phi (p)\cdot \phi (q)}$, wegen der Multiplikativität der ${\displaystyle \phi }$-Funktion

${\displaystyle \iff e\cdot d\equiv 1mod(p-1)\cdot (q-1)}$, wegen Satz 1 Eigenschaft der ${\displaystyle \phi }$-Funktion bei Primzahlen

${\displaystyle \iff e\cdot d=1+k\cdot (p-1)\cdot (q-1)(*)}$ mit ${\displaystyle k\in \mathbb{Z}}$ und wegen der Definition der Kongruenz und Teilbarkeit.

Wir unterscheiden zunächst zwei Fälle:

${\displaystyle ggT(m,N)=1}$ und ${\displaystyle ggT(m,N)\ne 1}$.

Fall 1: Sei ${\displaystyle ggT(m,N)=1}$:

${\displaystyle (m^e{)}^{d}modN}$

${\displaystyle \iff m^{ed}modN}$

${\displaystyle \iff m^{1+\phi (N)}modN}$, nach ${\displaystyle (*)}$ mit ${\displaystyle \phi (N)=(p-1)\cdot (q-1)}$

${\displaystyle \iff m\cdot m^{\phi (N)}modN}$

${\displaystyle \iff m\cdot 1modN}$, da nach dem Satz von Euler gilt ${\displaystyle m^{\phi (N)}\equiv 1modN}$

${\displaystyle \iff mmodN}$.

Wir müssen nun also nur noch den zweitem Fall betrachten.

Fall 2: Sei ${\displaystyle ggT(m,N)\ne 1}$.

Wegen ${\displaystyle N=p\cdot q}$ gilt dann also entweder ${\displaystyle ggT(m,N)=p}$ oder ${\displaystyle ggT(m,N)=q}$.

Hier ist der Satz von Euler nicht anwendbar, wegen ${\displaystyle ggT(m,N)\ne 1}$.

Wenn wir jedoch trotzdem zeigen, dass

${\displaystyle (m^e{)}^d\equiv mmodp}$ und ${\displaystyle (m^e{)}^d\equiv mmodq}$, dann können wir (wegen ${\displaystyle ggT(p,q)=1}$) den chinesischen Restsatz anwenden und erhalten:

${\displaystyle (m^e{)}^d\equiv mmod(p\cdot q)}$

${\displaystyle \iff (m^e{)}^d\equiv mmodN}$, wegen ${\displaystyle N=p\cdot q}$.

Wir zeigen dies nun für den Fall ${\displaystyle ggT(m,N)=p}$, dass gilt:

${\displaystyle (m^e{)}^d\equiv mmodp}$ und ${\displaystyle (m^e{)}^d\equiv mmodq}$.

Sei ${\displaystyle ggT(m,N)=p}$.

Es gilt dann nach Definition der größten gemeinsamen Teilers ${\displaystyle p\mid m}$ bzw. nach Definition der Teilbarkeit ${\displaystyle m=k\cdot p}$ mit ${\displaystyle k>0}$.

Wir zeigen zunächst ${\displaystyle (m^e{)}^d\equiv mmodp}$ für ${\displaystyle ggT(m,N)=p}$

Dann gilt nach Definition der Kongruenz aber auch ${\displaystyle m\equiv 0modp}$.

Nun betrachten wir ${\displaystyle (m^e{)}^{d}modp}$.

${\displaystyle (m^e{)}^{d}modp}$

${\displaystyle \iff ((k\cdot p{)}^e{)}^{d}modp}$

${\displaystyle \iff 0modp}$, da ${\displaystyle ((k\cdot p{)}^e{)}^d}$ ein Vielfaches von ${\displaystyle p}$ ist.

Also gilt ${\displaystyle (m^e{)}^d\equiv 0modp}$ und insgesamt

${\displaystyle m\equiv (m^e{)}^d\equiv 0modp}$.

Nun bleibt noch zu zeigen, dass ${\displaystyle (m^e{)}^d\equiv mmodq}$ für ${\displaystyle ggT(m,N)=p}$.

Da ${\displaystyle ggT(m,q)=1}$, kann man den Satz von Euler anwenden.

${\displaystyle (m^e{)}^{d}modq}$

${\displaystyle \iff m^{ed}modq}$

${\displaystyle \iff m^{ed-1}\cdot mmodq}$

${\displaystyle \iff m^{k\cdot (p-1)\cdot (q-1)}\cdot mmodq}$, nach ${\displaystyle (*)}$: ${\displaystyle e\cdot d-1=k\cdot (p-1)\cdot (q-1)}$ (in umgestellter Form)

${\displaystyle \iff m^{(q-1)\cdot k\cdot (p-1)}\cdot mmodq}$

${\displaystyle \iff (m^{(q-1)}{)}^{k\cdot (p-1)}\cdot mmodq}$

${\displaystyle \iff (m^{\phi (q)}{)}^{k\cdot (p-1)}\cdot mmodq}$

${\displaystyle \iff 1^{k\cdot (p-1)}\cdot mmodq}$, nach dem Satz von Euler

${\displaystyle \iff mmodq}$.

Also gilt für ${\displaystyle ggT(m,N)=p}$: ${\displaystyle (m^e{)}^d\equiv mmodq}$.

Nun können wir den chinesischen Restsatz anwenden:

${\displaystyle (m^e{)}^d\equiv mmod(p\cdot q)}$

${\displaystyle \iff (m^e{)}^d\equiv mmodN}$, wegen ${\displaystyle N=p\cdot q}$.

Wir haben also nun gezeigt, dass das RSA-Verschlüsselungsverfahren für ${\displaystyle ggT(m,N)=p}$ korrekt ist. Dies können wir für ${\displaystyle ggT(m,N)=q}$ analog zeigen, indem wir in der Notation ${\displaystyle p}$ und ${\displaystyle q}$ vertauschen. Sie können dies freiwillig eigenständig durchführen.

Damit haben wir die Korrektheit des RSA-Verschlüsselungsverfahrens für alle Fälle, nämlich ${\displaystyle ggT(m,N)=1}$ und ${\displaystyle ggT(m,N)\ne 1}$, gezeigt■^[14][2]