# Chapitre 4. Arithmétique élémentaire et applications à la cryptographie

Ce chapitre est seulement constitué d'exercices, certains en lien avec le cours *Introduction à la cryptographie* d'Abderrahmane Nitaj.  
Au chapitre 3, nous avons découvert les fonctions de base de Sage en arithmétique. Vous pouvez retourner consulter ce chapitre si besoin.

$\newcommand{\Z}{\mathbb{Z}}$
$\newcommand{\N}{\mathbb{N}}$


## 4.1 Exercice - Le théorème des nombres premiers


La fonction de comptage des nombres premiers est définie par $\pi(x) = \# \{ p \in \mathbb{N} \mid p \leq x,\, p \text{ est un nombre premier} \}$. Dans Sage cette fonction prédéfinie s'appelle `prime_pi`.

Le *théorème des nombres premiers* (1896) [TNP] décrit la distribution asymptotique des nombres premiers parmi les entiers naturels. Il affirme que :
$$ \lim_{x \to +\infty} \frac{\pi(x)}{x/\log(x)} = 1$$
où $\log$ désigne la fonction logarithme naturel (en base $e$).

1\. Tracez simultanément les fonctions $\pi(x)$ et $x/\log(x)$.

La différence entre ces deux fonctions semble croître lorsque $x\to +\infty$. Est-ce en contradiction avec le TNP ?

2\. Affichez une table de valeurs pour $\pi(x)$, $\dfrac{x}{\log(x)}$, $\left|\pi(x) - \dfrac{x}{\log x}\right|$ et $\left|  \dfrac{\pi(x)-x/\log(x)}{\pi(x)}\right|$ lorsque $x \in \{10000,20000,\cdots,100000\}$.

3\. Selon le TNP, nous avons lorsque $x\to +\infty$ : $$\dfrac{\pi(x)}{x} \sim \dfrac{1}{\log x}.$$
    a) Soit $k$ un grand nombre entier. Si nous choisissons au hasard un nombre entier dans l'intervalle $[1,10^k]$, quelle est la probabilité approximative qu'il soit premier ?

 b) Prenons au hasard un nombre entier à $k$ décimales et répétons l'opération jusqu'à ce qu'il soit premier. Combien de nombres entiers devrons-nous tester en moyenne ?

c) Vérifiez ce résultat de manière expérimentale pour $k=100$. Astuce : regardez la fonction `ZZ.random_element()`. Autre astuce : utilisez la méthode `is_pseudoprime` (au lieu de `is_prime`) pour avoir un test de (pseudo)primalité rapide.

d) En utilisant ce principe, construisez dans Sage un générateur de grand nombres premiers ayant un nombre donné de décimales. Utilisez-le pour fabriquer un nombre premier à $700$ décimales.

## 4.2 Exercice - Le cryptosystème RSA

Rappelons d'abord le principe du cryptosystème RSA.

**Étape 1.** Alice choisit deux grand nombres premiers distincts $p$ et $q$, et elle pose $n=pq$.
Il est alors facile pour Alice de calculer $\varphi(n) = \varphi(p)\varphi(q)=(p-1)(q-1)$.

**Étape 2.** Alice choisit un entier au hasard $e$ tel que $1<e<\varphi(n)$ et $\gcd(e,\varphi(n))=1$.

**Étape 3.** Alice trouve une solution $x=d$ de l'équation $ex\equiv 1 \bmod \varphi(n)$.
La clé publique d'Alice est maintenant $(n,e)$ et sa clé privée est $(p,q,d)$.

**Étape 4.** Soit $m<n$ un entier représentant le message de Bob pour Alice. À l'aide de la clé publique d'Alice, Bob calcule $c = m^e \bmod n$ et envoie  $c$ à Alice. Il s'agit du message codé.

**Étape 5.** En utilisant sa clé privée, Alice calcule $c^d \bmod n$. Elle retrouve le message décodé de Bob puisque $c^d \equiv m \bmod n$.

1\. Rappeler pourquoi il existe des entiers $d$ et $e$ comme dans les étapes $2$ et $3$.

2\. Prouver l'assertion $c^d \equiv m \bmod n$ de l'étape 5.

3\. Implémenter le système RSA en écrivant trois fonctions :
* La fonction `rsakey`, qui prend en entrée un entier `bits` et retourne une clé privée `p,q,d` et une clé publique `n,e`. Les nombres permiers  `p` et `q` doivent avoir `bits` nombres de bits.
* La fonction `encrypt`, qui prend en entrée `(m,n,e)` (`m` est le message, et `n,e` la clé publique) et retourne le message encodé par Bob.
* La fonction `decrypt`, qui prend en entrée `(c,p,q,d)` (`c` est le message codé, `p,q,d` est la clé privée) et retourne le message décodé.

Astuce: utilisez les fonctions `next_prime` et `ZZ.random_element`.

Essayez d'utiliser ce système RSA sur un exemple pour une clé de $500$ bits (les clés RSA typiques ont actuellement au moins $2048$ bits).

## 4.3 Exercices -  Racines primitives modulo $p$

Soit $p$ un nombre premier. Le groupe multiplicatif $(\Z/p\Z)^*$ est toujours cyclique. Ce résultat sert dans certains cryptosystèmes à base de logarithme discret dans le groupe $(\Z/p\Z)^*$, comme l'échange de clés de Diffie-Hellman. Puisque $(\Z/p\Z)^*$ est cyclique, ce groupe est engendré par un unique élément. De tels élément sont appelés les *racines primitives modulo $p$*.

Étant donné $p$, nous souhaitons calculer une racine primitive modulo $p$. Or la preuve de la cyclicité de $(\Z/p\Z)^*$ n'est pas constructive : elle ne fournit pas de racine primitive sous une forme explicite.

Dans Sage, la fonction prédéfinie `primitive_root` calcule une racine primitive. Dans cet exercice nous souhaitons plutôt construire une telle fonction par nous-mêmes.

1\. Pour débuter, calculez une racine primitive modulo $54361$ en utilisant la fonction `primitive_root`.

2\. Voyons maintenant un exemple où $p$ n'est pas premier. À l'aide de la méthode `multiplicative_order`, montrer que le groupe $(\Z/256\Z)^*$ n'est pas cyclique.

3\. Jusqu'à la fin de l'exercice, on suppose que $p$ est un nombre premier. Écrivez un programme (naïf) dans Sage qui calcule une racine primitive modulo $p$ en calculant l'ordre des classes $1,2,\ldots \bmod p$ jusqu'à tomber sur un générateur de $(\Z/p\Z)^*$.

Essayez-le avec $p=101$, $p=11113$, et d'autres valeurs de $p$ de votre choix.

4\. Notre expérimentation sugère que ce programme pour calculer une racine primitive est assez rapide. Nous voudrions comprendre pourquoi.

Combien de générateurs le groupe $(\Z/p\Z)^*$ possède-t-il ? Quelle est la probabilité qu'un élément pris au hasard dans $(\Z/p\Z)^*$ soit une racine primitive ?

5\. Nous voudrions approcher la quantité $\dfrac{\varphi(p-1)}{p-1}$.

a) Tracer ses valeurs pour tous les nombres premiers dans $[0,10000]$ sous forme de nuage de points (astuce : regardez la fonction `prime_range`).

b) Supposons que $p=1+2q$ où $q$ est un nombre premier. Quelle est la valeur de $\dfrac{\varphi(p-1)}{p-1}$ ?

c) Au contraire, supposons que $p-1$ ait beaucoup de petits facteurs premiers. Pouvez-vous prédire la taille de  $\dfrac{\varphi(p-1)}{p-1}$ ?

d) En général pour tout nombre premier $n\geq 5$, un résultat de la littérature affirme que $\dfrac{\varphi(n)}{n} \geq \dfrac{1}{6 \log \log n}$. Vérifiez que cette minoration est compatible avec vos expérimentations numériques ou vos observations.

<!-- reference for this lower bound: Buchmann's book "Introduction to cryptography" p.66 -->

6\. Dans notre programme naïf de calcul d'une racine primitive, nous avons utilisé la méthode `multiplicative_order` de Sage de manière cruciale. Nous voudrions maintenant écrire une telle fonction par nous-même.

En général, il n'existe pas de manière efficace de calculer l'ordre d'un élément $g$ d'un groupe arbitraire $G$. Nous pouvons calculer $g,g^2,g^3,\ldots$ jusqu'à obtenir $1$ mais c'est très inefficace. Une approche un peu meilleure consiste à utiliser le fait que l'ordre de $g$ divise l'ordre $n$ du groupe : si nous connaissons la factorisation de $n$, nous obtenons un ensemble plus petit de valeurs possibles pour l'ordre de $g$, et nous pouvons essayer chacune d'entre elles (cependant en général, nous ne disposons pas d'algorithmes rapides pour factoriser de grands nombres entiers ; de nombreux protocoles cryptographiques reposent d'ailleurs sur la difficulté à factoriser les grands entiers). C'est essentiellement l'énoncé suivant.

**Lemme**. Soit $G$ un groupe, $g\in G$, et $d\in\N$. Si $g^d=1$ et $g^\frac{d}{q}\neq 1$ pour tout diviseur premier $q$ de $d$ alors l'ordre de $g$ est $d$.

Prouvez ce lemme.

7\. Écrivez une fonction Sage qui, étant donné un nombre premier $p$, calcule une racine primitive modulo $p$ comme suit : prendre un élément au hasard dans $(\Z/p\Z)^*$ et calculer son ordre en utilisant le lemme, répéter l'opération jusqu'à obtenir une racince primitive. Astuce : la méthode `prime_factors` donne la liste des diviseurs premiers d'un entier.

## 4.4 Exercice - Le problème du logarithme discret et la méthode de Pohlig–Hellman 

<!-- References: Galbraith Mathematics of cryptography (p. 247); Shoup Computational intro... chap. 11 -->

Soit $G$ un groupe cyclique d'ordre $N$ et $g$ un générateur de $G$. Soit $h\in G$. Puisque $G$ est cyclique, il existe un unique entier $a$ avec $0 \leq a < N$ tel que $h = g^a$. L'entier $a$ s'appelle le *logarithme discret* de  $h$ en base $g$.

C'est le *problème du logarithme discret* [PLD] dans le groupe $G$. On ne connaît pas de méthode efficace pour calculer des logarithmes discrets dans un groupe quelconque. En fait, la sécurité de nombreux algorithmes de cryptographie à clé publique repose sur la supposition que le PLD dans des groupes bien choisis ne possède pas de solution efficace.

Pour le groupe $G = (\Z/p\Z)^*$, Sage dispose d'une fonction de logarithme discret : étant donnés $h \bmod p$ et une racine primitive $g$ modulo $p$, `h.log(g)` calcule le logarithme discret de $h$ en base $g$. Voici un exemple :

In [None]:
p = 101
R = Integers(p)
g = R(primitive_root(p))  # un générateur du groupe
h = R(67)
h.log(g)

In [None]:
g^81 ==  h # nous vérifions que la solution fonctionne

Et un plus grand exemple :

In [None]:
p = 10^37+43
p.is_prime()

In [None]:
R = Integers(p)
g = R(2)
g.is_primitive_root()

In [None]:
%time R(17).log(g)

Dans cet exercice, nous n'utiliserons pas cette fonction Sage prédéfinie. Nous allons plutôt considérer une approche très naïve au problème du logarithme discret et ensuite étudier la méthode de Pohlig–Hellman qui ramène le problème au cas où l'ordre $N$ du groupe est une puissance d'un nombre premier.

1\. Plus loin nous aurons besoin d'une fonction qui prend en entrée un entier `N` et retourne la liste des facteurs  $[\ell_1^{e_1},\ldots,\ell_n^{e_n}]$ de sa factorisation $N = \prod_{i=1}^n \ell_i^{e_i}$. Écrivez une fonction  `prime_power_factors` dans Sage qui fait cela. Vous pouvez vous inspirez du code suivant :

In [None]:
60.factor()

In [None]:
list(60.factor())

In [None]:
L = list(60.factor())
L[0]

2\. Le PLD dans un groupe $G$ peut être résolu de manière naïve : on calcule $g^1,g^2,...$ jusqu'à obtenir l'élément $h$. Le nombre d'itérations est au plus l'ordre $N$ du groupe, ce qui rend cette méthode très inefficace lorsque $N$ a un grand nombre de chiffres.

Faites-le dans Sage : écrivez une fonction `naive_dlp` qui prend en entrée un générateur `g` de `G` et un élément `h` de `G`, et retourne le logarithme discret de `h` en base `g`. Essayez-le sur plusieurs exemples avec $G = (\Z/p\Z)^*$, y compris pour de grandes valeurs du nombre premier $p$. Souvenez-vous que la fonction `primitive_root` calcule pour vous un générateur de $(\Z/p\Z)^*$.

3\. La *méthode de Pohlig–Hellman* ramène le PLD au cas des groupes d'ordre une puissance d'un nombre premier. Nous étudions maintenant cette méthode.

a) Cette méthode s'appuie d'abord sur l'énoncé suivant (si $g$ est un élément de $G$, le sous-groupe engendré par $g$ est noté $\langle g \rangle$).

**Lemme**. Soit $N$ l'ordre de l'élément $g$. Supposons qu'il existe un nombre premier $\ell$ et un entier $e\geq 1$ tel que $\ell^e \mid N$. L'application $\Phi_{\ell^e} : \langle g \rangle \to \langle g \rangle$ définie par $g \mapsto g^{N/\ell^e}$ est un homomorphisme de groupes vers l'unique groupe cyclique de $\langle g \rangle$ d'ordre $\ell^e$.

Prouvez ce lemme.

b) Soit maintenant $G$ un groupe cyclique d'ordre $N$ avec $N = \prod_{i=1}^n {\ell_i}^{e_i}$ sa factorisation en nombres premiers. Soit $g$ un générateur de $G$ et $h\in G$. Nous considérons la méthode suivante.

**Étape 1.** Pour tout $i \in \{1,\ldots,n\}$, calculez le logarithme discret dans le groupe cyclique $\langle g^{N/\ell_i^{e_i}} \rangle$ de l'élément $h^{N/\ell_i^{e_i}}$ en base $g^{N/\ell_i^{e_i}}$. La solution est appelée $a_i$ et elle satisfait $0 \leq a_i < \ell_i^{e_i}$.

**Étape 2.** Appliquer le théorème des restes chinois à $(a_1,\ldots,a_n)$ modulo $(\ell_1^{e_1},\ldots,\ell_n^{e_n})$ : il a une unique solution $a$ avec $0 \leq a < N$.

**Conclusion.** $a$ est le logarithme discret de $h$ en base $g$.

En utilisant le lemme, prouver la conclusion de cette méthode.

c) Écrivez un programme Sage `ph_dlp` qui prend en entrée l'ordre `N` du groupe $G$, un générateur `g` de $G$ et un élément `h` de `G`, et retourne le logarithme discret de `h` en base `g` calculé par cette méthode. Pour résoudre le PLD dans les groupes d'ordre une puissance d'un nombre premier, vous pouvez utilisez la fonction `naive_dlp` que vous avez construite précédemment. Pour calculer la solution du théorème des restes chinois, vous pouvez utilisez la fonction `crt`.

Essayez votre programme sur plusieurs exemples avec $G = (\Z/p\Z)^*$, y compris pour de grandes valeurs du nombre premier $p$. Comparez sa rapidité d'exécution à celle de votre fonction `naive_dlp`.