<A5FEB5D8BCC6BEC7B14DA55A2D D3130A4EBB8B92E696E6464>

2011 第4期獨家發行數數學與密碼系列之一從傳統到現代瞰鳥東海大學沈淵源教授數學並不只是一門研究數的學問真正研究數的學問的稱為數論英國大數學家戈德福瑞哈洛德哈地 G. H. Hardy 在上一世紀的四十年代曾提到數論乃純數中的純數是遠離一般人類活動的學科所謂的純在某些人的觀念裡跟無用是畫上等號的但純真的就無用嗎純與用可能交會嗎這跟我們今天要聊的重點密碼學息息相關唷自古以來人總是喜歡保守一些不為人知的秘密不管是私事還是國家大事我們似乎對於保守秘密這件事樂此不疲小至個人隱私大至國家政治經濟或是軍事等機密從歷史的記載我們不難發現許多君王將軍總是將機密信息埋藏在密碼中來與部屬聯繫目的是為了防止被敵方竊知而造成國家損失這是早期密碼學的源起而隨著社會的進步私人企業與國家的權益變得更為敏感再加上 e 世代的來臨讓人們對於資訊電子服務等依賴與日俱增透過網際網路來交換資訊如信用卡號碼愈來愈頻繁於是對於保護這些資訊與電子系統安全的需求愈來愈高密碼學技術的發展也愈來愈精巧細膩

本系列文章將依據加密函數的難易程度對密碼系統做一簡單的分類並針對各個系統作深入淺出的介紹如果加密函數是單向函數註1 則我們可以將加密的相關資訊全部公開這就是所謂的公鑰密碼系統也是現代密碼學與傳統密碼學分道揚鑣的地方在這個指導方針之下我們預計探討的主題有鳥瞰從傳統到現代私鑰密碼與模數魔術私鑰密碼與公鑰密碼公鑰密碼與離散對數公鑰密碼與因數分解公鑰密碼與橢圓曲線公鑰密碼與編碼理論公鑰密碼的相關應用現在就讓我們正式展開這趟數學與密碼的探索之旅吧 1. 憶兒時我們小時候或多或少都玩過一些關於密語的遊戲就是將原本要說的話用一種很頑皮的方式傳達給我們要傳達的那個人只有那個人會懂我們在說什麼別人就算聽見了也就像是鴨子聽雷般不知其意比如我們要說即刻寄錢來但講的時候把每個字注音的最後一個音省略只有一個音的字則維持那一個音於是原本的話變成ㄐㄎㄐㄑㄌ請問如果你收到這樣的訊息你知道是什麼意思嗎 ݰ រ 2

這個例子當然還不夠格稱得上是密碼只是一個有趣的開場白而已不過卻可以讓我們約略的感受如何把看得懂的信息稱之為明文 plaintext 轉換成看不懂的密碼稱之為密文 ciphertext 事實上這個轉換不僅僅是一個函數關係 f 它還得是一對一函數才行否則就會發生同一個密文卻對應到兩個明文的情況如上述的ㄐ對應到即與寄一般這也是為什麼我們剛剛說這個例子還不夠格稱得上密碼的原因將明文轉換為密文之間的函數關係 f 我們將之稱為加密函數而其反函數 f-1 則稱為解密函數底下我們將介紹一個簡單的真正密碼的例子這個例子雖然簡單但卻能充分顯現數論在密碼術中的分量也難怪乎國際知名的資訊安全專家布魯斯施奈爾 Schneier 註2 在其應用密碼術一書中說到...almost all cryptologists are also theoretical mathematicians...... 幾乎所有的密碼學家同時也是理論數學家... 並在其第二本暢銷書秘密與謊言的序言中進一步說 Cryptography is a branch of mathematics. 密碼術是數學的一個分支 2. 簡單的例子現在我們用英文的 26 個字母來傳達信息 SEND MONEY 首先我們用當成所謂的加密鑰匙將重複的字母去掉剩下 MATHEICS 然後將這些字母放在依序排列的 26 個字母下方再把剩下的其餘字母接續在後如 A B C D E F G H I J K L M M A T H E I C S B D F G J N O P Q R S T U V W X Y Z K L N O P Q R U V W X Y Z 顯然的這是個一一對應我們把上一行的字母用下一行相對應的字母來代換如此一來所要傳達的信息變為 QEKH JLKEY 換句話說 QEKH JLKEY 是 SEND MONEY 的密文 3

3. 安全性可慮代換法對長一點的信息來說並不是一個妥當保持信息安全的好方法但誰又能識破其真相呢值得懷疑試著觀察密文 QEKH JLKEY 重複的字母提供了唯一的線索由此線索推論出來與原信息同形式的信息可能是 LIST MUSIC MINE TUNIC 或 DRAW CHART 當然如果我們知道加密的鑰匙及整個方法我們可以輕易的製作上表並將過程逆推而得到原信息這意味著解密鑰匙很容易就可以從加密鑰匙中得到此乃古典密碼術的特性我們將這種特性稱為對稱式密碼系統而也因為基於這樣的特性所以整個信息的安全性可說是完全掌控在那把加密的鑰匙上如能保守住加密的鑰匙安全性大抵如虞但要守住一把鑰匙卻有著以下的多重困難需要考量鑰匙是傳遞信息的雙方都要知道的只要一方沒守住安全性就會被破壞有時候傳遞信息的對象是多方的人多口雜安全性更是可慮從另一方面來說如果鑰匙很複雜複雜到必須寫下來那麼被發現的機會更是有增無減了利用此法互通信息時必須事先安排好如何讓祕密通信的雙方或多方同意或知道這把鑰匙這整個事先安排的過程還得要極機密進行才可以否則將功虧一匱由於以上種種原因刺激人們進一步的去思索去探究更高竿或更深入的密碼術我們希望信息的安全性不要只受制於鑰匙的秘密性亦即我們希望信息的安全性可以獨立於鑰匙的秘密性之外即便鑰匙不小心洩漏了我們的信息內容還能被守住換句話說我們想要達到的目的是得到鑰匙只能將擷取到的信息轉變為密碼文卻無法將密碼文破解回歸其廬山真面目這點對於古典密碼系統來說是不可能的因為解密鑰匙與加密鑰匙是對稱的公開了加密鑰匙就等於是公開了解密鑰匙所以我們必須將加解密鑰匙之間的對稱性打破這是突破僵局的唯一之道如何打破呢很自然的想到鑰匙就讓我們聯想到門許多公共建築物的大門當我們從建築物的內部往外走時只要輕輕將門一推即可但若是從外部往內走時卻必須有鑰匙才行其實從門內將門一推的動作表面上看來好像不需要鑰匙但實際上那個推的動作就是一把人人都知道的公開鑰匙處在門內門外是全然不同的兩個世界 4

數學 4. 來自於數論的靈感如何打破加解密鑰匙之間的對稱性呢剛剛門的比喻給了我們些許的啟發與暗示出去簡單容易快速進來複雜困難緩慢出門時進門時也就是說一個方向是簡易快另一個方向是雜難慢具有這樣性質的東西究竟是什麼呢是一個運算嗎是一個函數嗎還是一個演算法這整個探索過程的歷史其實是相當耐人尋味的不過我們得等到介紹公鑰密碼系統時再來分曉所以現在我們的想法是在數學裡面尋找一種運算函數或演算法它的計算速度要非常快速但其逆過程的計算速度卻要非常慢這樣極其強烈對比的東西看似遠在天邊卻是近在咫尺讓我們試著回想一下小學時學過的四則運算這最簡單的東西卻蘊含著最深奧的道理以前我們或許從不認為兩個數相乘會是一件大不了的事即使這兩個數非常大我們也不曾把它放在眼裡同樣的我們也不覺得把一個數分解成比原本小的兩個數的乘積會是一件多偉大的事我們之所以不覺得是因為當年我們的老師對我們太仁慈了他給我們分解的數還不至於太大頂多四五位數要是再大一點恐怕就不是那麼容易了 5

現在我們把這件看似沒什麼了不起的事用明確的數學語言寫下來找出兩相異質數 p 與 q 然後將其相乘得到積 n pq 這整個過程比起其逆過程給一個整數 n 將之分解成兩質數 p 與 q 的乘積來得簡單快速許多為方便起見下面的例子中我們取比較小的兩質數 p 與 q 如 p 23 q 47 然後將其相乘得到 n pq 1081 這個步驟很快反之如果是要把 1081 分解成兩質數的乘積那麼我們至少得試 2 3 5 7 11 13 17 19 等共 8 個除法之後才找到 23 可以整除 1081 即 1081 23 47 在這裡其實 1081 算是很小的數我們尚感覺不出找到 23 有何困難但當 n 是一個 200 位的整數時其困難度就非比尋常了關於這部分的計算複雜度問題會在稍後的文章中說明現在我們正式介紹這個加解密鑰匙不對稱的密碼術首先我們先取一整數 e 令其與 ψ(n) (p 1)(q 1) 互質在我們的例子中 ψ(n) (p 1)(q 1) 22 46 22 11 23 我們不妨取 e 3 此處 n 1081 e 3 是公開的鑰匙而 p 與 q 則保持秘密這次我們將英文的 26 個字母以數字來表示如下 6 空白 A B C D E F G H I J K L M 00 01 02 03 04 05 06 07 08 09 10 11 12 13 N O P Q R S T U V W X Y Z 14 15 16 17 18 19 20 21 22 23 24 25 26

數學假設我們要傳遞的訊息是 SEND MONEY 則先將其化為對應的數字如下 19 05 14 04 00 13 15 14 05 25 因為 1081 是四位數所以我們將信息數串以三位數分為一組即 190 514 040 013 151 405 250 最後一組的 25 因為只有二位數故在尾巴補上 0 我們用 m1,m2,m3,... 來表示這些三位數然後按照下面的法則轉換為密碼 ci mie mod 1081 i 1, 2, 3,... 此處 ci 為介於 0 與 n 1 之間的整數亦即被 n 1081 除所得的餘數這裡我們需要用到同餘的概念後續的系列期刊會再詳細討論轉換後的 ci 值如下 c1 1903 6859000 55 mod 1081 c2 5143 135796744 443 mod 1081 c3 0403 64000 221 mod 1081 c4 0133 2197 35 mod 1081 c5 1513 3442951 1047 mod 1081 c6 4053 66430125 513 mod 1081 c7 2503 15625000 226 mod 1081 所以收到的密文為 55 443 221 35 1047 513 226 如何把這串密文 {ci} 破解回歸其廬山真面目 {mi} 呢我們令 b [p 1, q 1] 為 p 1 與 q 1 的最小公倍數注意若不知 p 與 q 則無從知道 b 且 d 為同餘方程式 ex 1 mod b 的最小正整數解此處 b 2 11 23 506 則 d 為 ex 1 mod506 的最小正整數解 e 3 即 3d 1 mod 506 得 d 169 計算 cid mod 1081 即得 mi, i 1, 2, 3,... 7

為什麼這麼神奇呢轉眼間好像魔術般的又回到了原點我們先暫且把這個問題擺一邊先來驗證看看 cid mod 1081 的確就是 mi 第一個碰到的是 55169 mod 1081 就是把 55 自乘 169 次後再被 1081 除所得的餘數將 55 自乘 169 次表面上看來得執行 168 次的乘法這可相當耗費時間了但如果只是平方速度就會快上許多重複執行平方的動作我們可以得到 4 次方 8 次方 16 次方 32 次方 64 次方 128 次方等這提供了我們一個解決 55169 mod 1081 計算問題的方法先將 169 寫成 27 25 23 20 128 32 8 1 然後依次計算 55 的 2a 次方如下 552 3025-218 mod 1081 在此我們引入負數為 554 (-218)2-40 mod 1081 558 (-40)2 519 mod 1081 5516 5192 192 mod 1081 5532 1922 110 mod 1081 5564 1102 209 mod 1081 的是將每個數的大小調整成比 n 小如此一來可以稍稍減少 2 所要執行的計算量特別是當你用手算的時候這是一大幫助 55128 2092 441 mod 1081 因此我們得到 55169 441 110 519 55 190 mod 1081 這裡要特別注意的是原來需要執行 168 次的乘法工作現在只要 10 次就了結這個演算法稱為連續平方法此觀念非常重要值得推廣 8

數學利用同樣的方法我們可以算出其他項 {ci169 mod 1081 } 的值現在我們回到剛剛被我們暫且擺在一邊的問題為何 cid mod 1081 的確就是 mi 呢為簡便之故下面的論證中我們將下標的符號 i 省略從上面的過程我們知道從 m 到 c 的運算為 c me mod n 而破解 c 時計算的是 m' cd mod n 所以我們必須要證明的是 m' m 還記得嗎 m 與 m' 都是小於 n 的正整數所以我們只需證明 m' m mod n 首先由定義我們知道 m' cd (me)d=mde mod n 因為 d 是同餘方程式 ex 1 mod b 的解故 de 1 mod b 即 de 1 kb k n 若 m 與 p 互質則由費馬小定理告訴我們 mp-1 1 mod p 又 p 1 b b a(p 1) a n 故可得 mkb (mp 1)ka 1 mod p 所以我們有 m' mde m1+kb m mkb m mod p 若 p m 則上面的同餘式顯然成立同理可證 m' mde m mod q 但 n pq 且 p 與 q 互質故得證 m' mde m mod n 9

5. 計算之複雜度分析經過上面這一番勞苦的計算之後讓人深深覺得像是這樣的計算最好還是交由電腦來承擔我們同時也注意到分解 n 1081 的困難度是整個方法安全與否的關鍵所在然而在上面的例子中有一些計算似乎比分解 1081 還複雜例如將 55 自乘 169 次這好像有點奇怪我們說困難度是在分解 1081 但卻有些計算比分解 1081 還複雜這不是很怪異嗎其實在實際的應用當中質數 p 與 q 都是 100 位數之大相乘之後就變成 200 多位數所以在加密或解密的過程中雖然我們不可嗤之以鼻的輕看計算高次冪之數的計算量但比起分解一個 200 多位數就目前已知的演算法的計算量單純的計算高次冪之數的計算量是來得少而且少得很多很多要分析這其中的奧秘我們得將所涉及的運算分解成一些最基本的運算如加法減法乘法除法及其相互比較當然數字的大小會影響到電腦去執行這些運算的時間所以為了簡單起見我們假設所有這些運算所需的時間都是一樣的比如一秒一百萬次在解密的過程中最困難的地方似乎是將一個數自乘 d 次此處 d 為同餘方程式 ex 1 mod b 中的最小正整數解因為 b [p 1,q 1] 所以我們可以假設 d (p 1)(q 1) gcd(p 1 q 1) pq 2 n 2 n 2 接著我們把 d 連續除以 2 將之化為二進數這需要幾次的除法呢很明顯的這個數目就是 d 的二進制表示法的位數先說是 k 吧因此 2k 1 d k 1 log2d log2( n ) log2n 1 k log2n 2 這讓我們知道 k 的上界為 log2n 此數隨著 n 的增加而增加但增加的速度非常慢如 n 為 200 位數則 log2n 卻比 700 還小 10

數學我們利用連續平方法處理上面的次冪計算則需要執行 k 次先平方再除以 n 得其餘數的計算這將少於 700 次的乘法及少於 700 次的除法再連同前面將 d 化成二位數的計算合起來不會超過 2100 次的基本運算若要我們動手去算那當然還是曠日費時但對電腦來說卻是輕而易舉之事不吭半聲便結束了再來是將上述步驟所得到的平方數依據 d 的二進數之有無兩兩相乘再除以 n 得其餘數這個步驟的乘法除法都不會超過 k 次所以全部合起來不會超過 3500 次的基本運算最後是估計解同餘方程式 ex 1 mod b 所需的基本運算次數這個步驟需要將 b 與 e 輾轉相除不難證明其次數不會超過 2 log2n 恕在此不贅述即 1400 次的除法逆推回去將 1 寫成 b 與 e 的線性組合所需的基本運算跟前面輾轉相除法合起來不會超過 2800 次所以整個加密解密過程合起來所需的基本運算最多不會超過 10000 次以一秒一百萬次的速度來執行這些基本運算的電腦在一秒鐘內就可以完成一百件這樣的工作也許一秒執行一百萬次基本運算的電腦是快過現在任何一部電腦的速度但是資訊科技的發展日新月異也許很快的我們就可以目睹這樣的電腦速度誕生再者駭客的能力常常是無遠弗屆做最壞的打算才是上上之策啊 6. 誰還管生生世世夜夜朝朝話說回來試圖破解密文的人必須先分解那巨大無比的 200 位數 n 為 p q 由此算出 b 後再執行上述的計算來解密如果此人所用來分解 n 的方法是除以從 1 開始到 n 的所有整數的話那麼光這一項工作就得執行 10100 次的除法如果我們用一秒一百萬次速度的電腦來處理需要約 1094 秒鐘的時間也就是約 3 1086 年才能算完當然實際上只需要除以其中的質數但問題是判斷 100 位以內的數哪些是質數又是一件相當頭痛的事了所以即便是用超越現今的電腦配備最有效率的演算法要分解一個 200 位數尚需 40 億年的光陰才能完成而 40 億年後誰還管誰看到這則信息呢 11

數學 [ 註 ] 1. 單向函數 one-way function 如果一個函數是單向函數則其函數值 f(x) 可在短時間內計算出來但給予 y 要找滿足 f(x) y 的 x 在計算上是不可行的 2. 施奈爾 Bruce Schneier 是一位國際知名的資訊安全專家及作家經濟學家譽之為安全宗師他的第一本暢銷書應用密碼術 Applied Cryptography 被譽為密碼術之經典著作他是 Counterpane Internet Security, Inc. 的創辦人同時也是這個公司的 CTO 其著作翻譯為中文者有秘密與謊言 Secrets and Lies, 由商周出版社於 2001 年 9 月 16 日初版發行施氏的詳細介紹可至 http://www.schneier.com/ [ 參考文獻 ] 1. 沈淵源數論輕鬆遊數學傳播第二十九卷第四期 116 94 年 12 月第 45 71 頁全文見網頁 http://www.math.sinica.edu.tw/math_media/d294/29408.pdf 讀者好康意猶未盡嗎我們將於後續的期刊中請沈教授一步一步地帶領我們一窺密碼術的奧妙但礙於期刊篇幅有限如您想更深入的了解完整的內容歡迎購買沈教授在全華圖書的出版品書號 09062 書名密碼學之旅與 MATHEMATICA 同行作者沈淵源誠摯邀請老師分享您精闢的見解及投稿投稿請寄 we04@chwa.com.tw 您的稿件企劃部將視情況刪修修改後會寄給您過目您同意後才會刊登投稿作品視同授權本刊書面及電子版刊載作品一經刊登將依字數致贈稿酬來稿請勿侵害他人著作權如有引文請註明參考資料來源來稿請附作者資料姓名任教學校聯絡電話地址電子郵件信箱如有任何疑問歡迎您 E-mail 或來電詢問 02-2262-5666 213 楊先生本公司已盡力處理刊物中圖文的著作權事宜倘有疏漏惠請著作權人能與本公司聯繫僅此致謝總公司北區高中營業處中區高中營業處南區高中營業處地址新北市土城區忠義路 21 號地址臺中市南區樹義一巷 26 號 2 樓地址高雄市三民區應安街 12 號電話 02 2262-5666 電話 04 2261-8485 電話 07 381-1377 傳真 02 2262-0565 傳真 04 3601-8600 傳真 07 960-2868 12