In [3]:
import random
import numpy as np
import math
random.seed(1081)

# 1. Randomisierter Primzahltest (Miller-Rabin)
Der Miller-Rabin-Test ist ein randomisierter Primzahltest und gibt für Primzahlen sicher True, für zusammengesetzte Zahlen meist False zurück. Mit $p < \frac{1}{4}$ gibt der Test jedoch auch für zusammengesetzte Zahlen True zurück. Durch $n$-malige Ausführung des Tests kann eine beliebige Zahl mit der Sicherheit $p = 1 - \left(\frac{1}{4}\right)^n$ korrekt als Primzahl identifiziert werden (für $n=5: p > 0.999$, für $n = 10: p > 0.999999$).

In [4]:
# kopiert aus Übung 6
def quad_and_mult(x, m, n):
    """Berechnet effizient x^m mod n."""
    y = 1
    while m != 0:
        if m & 0x1 != 0:
            # falls bit=1: Multipliziere y mit x
            y = (y * x) % n
        # für jedes Bit wird x quadriert
        x = (x * x) % n
        # schiebe zum nächsten Bit
        m >>= 1
    return y

In [5]:
def miller_rabin_test(n):
    """Ist n prim? Gibt mit p < 1/4 True zurück, falls n zusammengesetzt ist (False Positive)
    und sicher True, falls n eine Primzahl ist."""
    assert n > 2
    # Bestimme ungerades m mit n - 1 = 2^k * m
    m = n - 1
    k = 0
    while m & 0b1 == 0:
        m >>= 1
        k += 1
    
    # Wähle zufälliges 2 <= a < n
    a = random.randrange(2, n)

    # b = a^m mod n
    b = quad_and_mult(a, m, n)

    if b == 1:
        return True
    for i in range(k):
        if b == n - 1:
            return True
        else:
            b = (b * b) % n
    return False

In [6]:
# Test miller_rabin_test
print(list(range(3,14)))
print([miller_rabin_test(n) for n in range(3, 14)])

[3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13]
[True, False, True, False, True, False, False, False, True, False, True]


# 2. Schlüsselgenerierung
1. Wir generieren ausreichend große und unterschiedliche Primzahlen p, q mit $n = p \cdot q, \phi(n) = (p - 1) (q - 1)$. Ausreichend große Kandidaten werden durch wiederholte Ausführung des Miller-Rabin-Tests als Primzahlen identifiert.
2. Wir generieren ein zu $\phi(n)$ teilerfremdes $e$. Dass $e$ zu $\phi(n)$ teilerfremd ist, verifizieren wir mit dem Erweiterten Euklidischen Algorithmus und erhalten dabei den Koeffizienten $d$, sodass $d \cdot e \equiv 1 \mod \phi(n)$.
3. Der Public Key setzt sich aus $(e, n)$ und der Private Key aus $(d, n)$ zusammen.

In [7]:
# kopiert aus Übung 6
def extended_euclidian(a, b):
    """ Berechnet ggT(a,b) = sa + tb = r und gibt r, s, t zurück. """
    r = [a, b]
    s = [1, 0]
    t = [0, 1]
    while r[-1] != 0:
        q = r[-2] // r[-1]
        r.append(r[-2] - q * r[-1])
        s.append(s[-2] - q * s[-1])
        t.append(t[-2] - q * t[-1])
    return r[-2], s[-2], t[-2]

In [8]:
def is_prime(n):
    """Gibt True zurück, wenn mit sehr hoher Wahrscheinlichkeit (0.999999) prim ist. """
    for i in range(10):
        if miller_rabin_test(n) == False:
            return False
    # mit p > 1 - (1/4)**10 = 0.999999... ist n prim
    return True

def look_for_prime(z):
    for i in [1, 7, 11, 13, 17, 19, 23, 29]:
        n = 30 * z + i
        if is_prime(n):
            return n
    # Keine Primzahl gefunden, erhöhe z
    return look_for_prime(z + 1)

def gen_pq(min_z=2**128, max_z=2**256):
    p = look_for_prime(random.randrange(min_z, max_z))
    q = look_for_prime(random.randrange(min_z, max_z))
    if p * 1.2 > q and q * 1.2 > p:
        # p und q sind zu nah beieinander, nochmal versuchen
        return gen_pq(min_z, max_z)
    else:
        return p, q

def find_de(phi_n, min_e=2*10, max_e=2**60):
    """Gibt ein encrypt-decrypt key pair d, e zurück, sodass d*e mod phi(n) = 1."""
    while True:
        e = random.randrange(min_e, max_e)
        ggT, d, _ = extended_euclidian(e, phi_n)
        if ggT == 1:
            return d if d > 0 else phi_n + d, e

In [9]:
p, q = gen_pq()
n = p * q
phi_n = (p - 1) * (q - 1)
d, e = find_de(phi_n)
assert (d * e) % phi_n == 1
print("p:", p)
print("q:", q)
print("n:", n)
print("phi(n):", phi_n)
print("d:", d)
print("e:", e)

p: 2150379798722374366935330928776655599638999232734262374367709893408548294191849
q: 375860145825717830128486496379257379598337120092417385047419579355164652793669
n: 808242064728469385653767189449014217949107052233725383595383193397100216381491869385447241469366249460215823319154809183840296738060716935081787424498603981
phi(n): 808242064728469385653767189449014217949107052233725383595383193397100216381489343145502693377169185642790667406175571847487470058301301805609023711551618464
d: 201129097788718582993648654069022923025301695687037290252329482375532261360533821861567081594558872233163764111715707973382724678850585096542358739710304951
e: 247108950979156103


# 3. RSA Encrypt/Decrypt Test (Alles zusammen)
Wir ver- und entschlüsseln eine Testsequenz mit den generierten Public und Private Keys.

In [10]:
def rsa_encrypt(e, n, x):
    assert np.all(x < n)
    return np.array([quad_and_mult(x1, e, n) for x1 in x])

def rsa_decrypt(d, n, y):
    # äquivalent zu rsa_encrypt, aber der Übersichtlichkeit halber mit anderen Variablennamen
    assert np.all(y < n)
    return np.array([quad_and_mult(y1, d, n) for y1 in y])

In [11]:
# Alles zusammen
def generate_keys(min_z=2**128, max_z=2**256, min_e=2**10, max_e=2**60):
    p, q = gen_pq(min_z=min_z, max_z=max_z)
    n = p * q
    phi_n = (p - 1) * (q - 1)
    d, e = find_de(phi_n, min_e=min_e, max_e=max_e)
    return (e, n), (d, n)

# Test
print("Generiere ein Public-Key-Private-Key-Pair:")
print(generate_keys())

Generiere ein Public-Key-Private-Key-Pair:
((268904207548548853, 676118092638154685549156611155916013926251581347982521652394044822929915562241855613713514287638760446377270791166484662810196819708407187201000854267836523), (283888750604775043984141261287592561760039819777201773667310555542064522330029800093378790213353403302757634735115291575904638141962189802430291176615467197, 676118092638154685549156611155916013926251581347982521652394044822929915562241855613713514287638760446377270791166484662810196819708407187201000854267836523))


In [12]:
# Test mit Encrypt/Decrypt
pubkey, privkey = generate_keys()
inp = np.array([42, 21])
enc = rsa_encrypt(*pubkey, inp)
dec = rsa_decrypt(*privkey, enc)
print(dec)
assert np.array_equal(inp, dec)

[42 21]


# 4. Verfahren der Differenz der Quadrate
Mit dem Verfahren der Differenz der Quadrate kann das Faktorisierungsproblem $p \cdot q = n$ für $p \approx q$ in kurzer Zeit gelöst werden. Wir wählen daher absichtlich nahe beieinander liegende $p$ und $q$ und suchen anschließend $u, w$ mit 
$$N = u^2 - w^2 \Leftrightarrow N = (u - w)(u + w).$$

Wir beginnen mit $u = \lceil \sqrt{N} \rceil$ und inkrementieren $u$, bis es einen Integer-Kandidaten $w$ für die Gleichung gibt. Dann kennen wir $p = u + w, q = u - w$ ($p, q$ vertauschbar).

In [27]:
def gen_pq_unsafe(min_z=2**128, max_z=2**256, z_diff = 10):
    # Generiere ein p wie üblich
    p = look_for_prime(random.randrange(min_z, max_z))
    # Generiere q nahe zu p (Unterscheidung um ca. 30 * z_diff)
    q = look_for_prime(p // 30 + z_diff)
    return p, q

eps = np.finfo(np.float32).eps

# Gibt den ganzzahligen Anteil der Wurzel zurück (Newton-Methode).
# np.sqrt und math.sqrt arbeiten beide mit Gleitkommazahlen und sind daher für große
# Zahlen sehr ungenau. Ab Python 3.8 gibt es math.isqrt(n).
def isqrt(n):
    x = n
    y = (x + 1) // 2
    while y < x:
        x = y
        y = (x + n // x) // 2
    return x

def is_square(k):
    return isqrt(k) ** 2 == k

# Test
p, q = gen_pq_unsafe()
print("diff between p, q:", q - p)
assert is_square(41) == False
assert is_square(36) == True

diff between p, q: 512


In [30]:
# Verfahren der Differenz der Quadrate: Liefert p und q zurück, sodass p * q = n.
def diff_squares(n):
    u = isqrt(n) + 1
    assert u * u >= n
    while not is_square(u * u - n):
        u += 1
    w = isqrt(u * u - n)
    return u + w, u - w


# Tests
p, q = gen_pq_unsafe()
print("p:", p)
print("q:", q)
print("diff between p, q:", q - p)
p_, q_ = diff_squares(p * q)
print("p':", p_)
print("q':", q_)
print("p'*q':", p_ * q_)
assert max(p, q) == p_ and min(p, q) == q_

p: 3212061058639712164810294860056946133427697737053636860265847842798710910715383
q: 3212061058639712164810294860056946133427697737053636860265847842798710910715671
diff between p, q: 288
p': 3212061058639712164810294860056946133427697737053636860265847842798710910715671
q': 3212061058639712164810294860056946133427697737053636860265847842798710910715383
p'*q': 10317336244429668430241283808779226528640350028297057664513522984364504513420054432464984732039687462364613944596329903442568551679534176581494543111118866993
