Universit e Hassan II-Mohammedia F.S.T.

Mohammedia D epartement de Math ematiques

Ann. Univ. 2010-11 Fili` ere Ing enieur ILIS Module : Cryptographie

PRELIMINAIRES MATHEMATIQUES O. KHADIR, FSTM

La cryptographie moderne est bas ee sur des faits math ematiques bien etablis quil est indispensable de conna tre. Nous avons choisi de rappeler quatorze notions tr` es fr equentes tout au long de ce module. On se r ef erera aux livres de math ematiques de Deug et de licence pour approfondir tel ou tel autre point particulier. On verra les points suivants: 1. Algorithme dEuclide 2. Algorithme etendu dEuclide 3. Congruences modulo n Z 4. Lanneau ( , + ,.) nZ 5. La fonction dEuler (n) 6. Th eor` emes de Fermat et dEuler 7. Th eor` eme chinois des restes 8. Primalit e 9. Factorisatuion des entiers Z 10. Equations polyn omiale dans nZ Z 11. Logarithme discret dans nZ Z 12. Racines primitives dans nZ 13. Symboles de Legendre et de Jacobi Z 14. Racines carr ees dans nZ

1. Algorithme dEuclide Tr` es utilis e en cryptographie, il sert au calcul du plus grand diviseur commun (pgcd) entre deux entiers naturels a et b. Puisque pgcd(a,b) = pgcd(b,a), on peut supposer que a b > 0 et que la division euclidienne de a par b est : a = bq + r o` u 0 r < b. Lalgorithme dEuclide consiste ` a utiliser la relation de r ecurrence pgcd(a,b) = pgcd(b,r) jusqu` a ce quon obtienne un reste r nul. Le dernier reste non nul est alors le pgcd de a et de b. Exemple 1 : pgcd(120,80) = pgcd(80,40) = pgcd(40,0) = 40; pgcd(810,100) = pgcd(100,10) = pgcd(10,0) = 10. A retenir : Pour tout a,b,c N , pgcd(a,0) = a et pgcd(c a,c b) = c pgcd(a,b)

Cryptographie

Ann. Univ. 2010-11

Lalgorithme dEuclide est tr` es rapide : contrairement ` a dautres algorithmes en cryptographie, il ne pose aucun probl` eme aux ordinateurs m eme si les nombres a et b sont compos es de plusieurs centaines de chires d ecimaux. On d emontre que le nombre d etapes ex ecut ees est toujours major e par cinq fois le nombre de chires d ecimaux du plus petit des deux nombres a et b (Th eor` eme de Lam e, vers 1830). Exemple 2 : Le pgcd(1234567890,1980) sera calcul e en moins de 5 4 = 20 etapes. V erions : pgcd(1234567890,1980) = pgcd(1980,270) = pgcd(270,90) = pgcd(90,0) = 90. Maple igcd(a,b) (integer great commun divisor)

2. Algorithme etendu dEuclide Il permet de calculer des coecients entiers u et v tels que au + bv = d o` u d est le pgcd des deux entiers naturels a et b. En particulier lorsque les entiers naturels a et b sont premiers entre eux. Le reste de la division euclidienne de lentier u par lentier v est not e u mod v . On commence par la liste (,1,0,a,0,1,b,) et lon poursuit, jusqu` a obtenir v3 = 0, avec les aectations suivantes : (q,u1 ,u2 ,u3 ,v1 ,v2 ,v3 ) ( u3 /v3 ,v1 ,v2 ,v3 ,u1 qv1 ,u2 qv2 ,u3 mod v3 ) Exemple 3 : Trouvons des entiers u et v tels que 110u + 21v = 1. q u1 1 5 0 4 1 5 -4 u 2 u3 v 1 0 110 0 1 21 1 -5 5 -4 21 1 v2 v3 1 21 -5 5 21 1 0

Do` u u = 4, v = 21 et lon v erie que 121(4) + 21(21) = 1 Exemple 4 : D eterminons le pgcd d de 1140 et de 360 ainsi que les entier u et v tels que 1140u + 360v = d. q u1 1 3 0 6 1 u2 0 1 -3 u3 v1 1140 0 360 1 60 2 v2 1 -3 v3 360 60 0

Cryptographie

Ann. Univ. 2010-11

Do` u d = 60, u = 3, v = 60 et lon v erie que 1140(1) + 360(3) = 60 La complexit e de lalgorithme dEuclide etendu est la m eme que celle du calcul du pgcd puisque la derni` ere colonne du tableau calcule ce pgcd. Application : On se sert de lalgorithme etendu dEuclide dans lapplication du th eor` eme Z chinois des restes et dans le calcul des inverses dans lanneaux ( , + ,.). nZ Exercice 1 : Supposons que pgcd(a,b) = d. Soient u0 , v0 Z tels que au0 + bv0 = d. Montrer que les autres solutions (u,v ) Z2 telles que au + bv = d sont u = u0 + kb et v = v0 ka, k Z. Maple igcdex(a,b,u,v ) (integer great commun divisor extended)

3. Congruences modulo n Soit n N un entier positif x e. On d enit la relation R dans Z par : (a,b) Z2 a R b k Z | a b = k n Autrement dit, a et b sont en relation si et seulement si leur di erence est un multiple de n. On peut v erier que R est une relation d equivalence (r eexive, sym etrique, transitive) compatible avec laddition, la soustraction et la multiplication. On ecrira a b [n] au lieu de a R b. R` egle 1 : (a,b,c,d) Z2 a b [n] et c d [n] a + c b + d [n] et a c b d [n]. On peut montrer que a b [n] a mod n = b mod n. R` egle 2 : a et b sont congrus modulo n si et seulement sils ont le m eme reste dans leurs divisions par n. Exemple 5 : 35 0 [7], 48 1 [7]. Si a est pair alors a 0 [2] sinon a 1 [2]. Maple a mod b ou irem(a,b) (integer remainder).

Cryptographie Z , + ,.) nZ

Ann. Univ. 2010-11

4. Lanneau (

Soit n N et a {0,1,2,3, . . . ,n 1} . On d esigne par a la classe des el ements congrus Z a a modulo n. La classe a est toujours innie. On pose aussi ` = {0,1,2,3, . . . ,n 1}. nZ Z On d enit deux lois de composition internes dans . Laddition par : nZ a + b = a + b et la multiplication par : a.b = a.b. Z ( , + ,.) admet alors une structure danneau commutatif unitaire. nZ Exemple 6 : Supposons que n = 6. Nous avons 6 classes : 0 = {. . . , 18, 12, 6,0,6,12,18, . . .}, 2 = {. . . , 16, 10, 4,2,8,14,20, . . .}, 1 = {. . . , 17, 11, 5,1,7,13,19, . . .} 3 = {. . . , 15, 9, 3,3,9,15,21, . . .}

4 = {. . . , 14, 8, 2,4,10,16,22, . . .}, 5 = {. . . , 13, 7, 1,5,11,17, . . .} Z = {0,1,2,3,4,5} 6Z Z Voici les tables daddition et de multiplication de lanneau ( , + ,.) : 6Z + 0 1 2 3 4 5 0 1 2 3 4 5 0 1 2 3 4 5 1 2 3 4 5 0 2 3 4 5 0 1 3 4 5 0 1 2 4 5 0 1 2 3 5 0 1 2 3 4 . 0 1 2 3 4 5 0 0 0 0 0 0 0 1 0 1 2 3 4 5 2 0 2 4 0 2 4 3 0 3 0 3 0 3 4 0 4 2 0 4 2 5 0 5 4 3 2 1 Z . nZ

Il est ` a noter que lordre classique dans Z nest plus respect e dans

5. La fonction dEuler (n) Z , + ,.). Cest aussi le nZ nombre des entiers i {1,2, . . . ,n 1} tels que pgcd(i,n) = 1. On montre que : Elle donne le nombre des el ements inversibles de lanneaux ( 1- (p) = p 1 et (p ) = p p1 = p1 (p 1), pour tout nombre premier p et tout entier naturel .

Cryptographie

Ann. Univ. 2010-11

r

2- Si la d ecomposition en facteurs premiers de lentier naturel n est n =

i=1 r

i p i , alors

(n) =
i=1

i (p i )

Il ny a pas dalgorithme ecace pour le calcul par ordinateur du nombre (n) dans un temps raisonnable. Z Z Exemple 7 : Le nombre des el ements inversibles des anneaux ( , + ,.), ( , + ,.) 100 Z 40 Z Z et ( , + ,.) sont respectivement (100) = 40, (40) = 16 et (150) = 40. 150 Z Z Z , + ,.), ( , + ,.) Exercice 2 : D eterminer tous les el ements inversibles des anneaux ( 8Z 12 Z Z et ( , + ,.) 25 Z Remarque : On utilise aussi la fonction dEuler pour calculer le nombre de racines primiZ tives (g en erateurs) de lanneaux ( , + ,.), p premier. On verra que cest (p 1). pZ Maple with(numtheory ); phi(n);

6. Th eor` emes de Fermat et dEuler Le th eor` eme de Fermat date du 17` eme si` ecle. On peut le r esumer comme suit : Pour tout nombre premier p et tout entier a : (1) ap a [p] (2) Si a 0 [p] alors ap1 1 [p] On en d eduit que si a 0 [p] alors linverse de a v erie a1 ap2 [p] Comme application, on trouve le th eor` eme de Fermat dans tous les logiciels qui poss` edent des commandes pour tester si un nombre est premier ou non (voir le point sur la primalit e). Le th eor` eme dEuler date du 19` eme si` ecle. Cest une g en eralisation du th eor` eme de Fermat. On peut le r esumer comme suit : Quels que soient les entiers naturels a et n premiers entre eux on a : a(n) 1 [n]. On en d eduit que si a et n sont premiers entre eux, alors a1 a(n)1 [n] Comme application, on trouve ce th eor` eme partout en cryptographie. 5

Cryptographie

Ann. Univ. 2010-11

7. Th eor` eme chinois des restes On se pose la question de x a1 x a2 modulaires : (S) . . . xa

k

trouver les entiers x Z qui v erient les k 1 equations [n1 ] [n2 ] o` u les ai sont des constantes dans Z et les ni sont des

[nk ] entiers naturels non nuls premiers deux ` a deux. k N Posons N = ni , Ni = . Puisque pgcd(ni ,Ni ) = 1, il existe un couple (ui ,vi ) Z ni i=1 tel que ui ni + vi Ni = 1. (On se sert de lalgorithme etendu dEuclide pour le calcul de (ui ,vi )). On pose aussi : Xi = vi Ni pour i = 1,2 . . . ,k . Les chinois ont montr e quil existe une seule solutions 0 x0 < N au syst` eme (S) :
k

x0 =
i=1

ai Xi mod N et que les autres solutions sont toutes congrues ` a x0 modulo N :

x = x0 + t N o` u t Z. La d emonstration du th eor` eme chinois des restes est bas ee sur lisomorphisme canonique Z Z entre lanneau et le produit cart esion des anneaux . NZ ni Z x 2 [6] x 3 [25] On trouve que les solutions sont x = 128 + 150 t o` u t Z. x 1 [2] x 2 [5] Exercice 4 : R esoudre le syst` eme suivant : (S) x 3 [9] On trouve que les solutions sont x = 57 + 90 t o` u t Z. x 5 [7] x 3 [11] admet comme solution Exercice 5 : V erier que le syst` eme suivant : (S) x 10 [13] x = 894 + 1001 k, k Z. Exercice 3 : R esoudre le syst` eme suivant : (S) Exercise 6 : How many soldiers are there in Han Xings army? If you let them parade in rows of 3 soldiers, two soldiers will be left. If you let them parade in rows of 5, 3 will be left, and in rows of 7, 2 will be left. Remarque pratique : Pour r esoudre un syst` eme modulaire de k equations, on peut com-

Cryptographie

Ann. Univ. 2010-11

mencer par r esoudre le syst` eme form e dabord des deux premi` eres equations. Ensuite on soccupe du syst` eme form e du r esultat pr ec edent et de la trois` eme equation. Apr` es, on soccupe du syst` eme form e du r esultat pr ec edent et de la quatri` eme equation. Et ainsi de suite. Bref, il sut de retenir comment r esoudre un syst` eme modulaire ` a deux equations.

8. Primalit e La question de savoir si un nombre entier est premier ou non a, de tous les temps, fascin e les math ematiciens. Un entier naturel est premier sil est 2 et sil admet exactement deux diviseurs 1 et lui-m eme. Les premiers nombres premiers sont : 2,3,5,7,11,13,17,19,23,29,31,37... Tous les nombres premiers sont impairs sauf 2. Un nombre qui nest pas premier est dit compos e. Soit n un nombre compos e. Donc il admet deux diviseurs d1 ,d2 {1,n} tels que n = d1 d2 . Ces deux diviseurs ne peuvent etre tous les deux strictement sup erieurs ` a n car sinon on aurait d1 d2 > n. Do` u : tout nombre compos e admet au moins un diviseur n. Combien de temps faudrait-il ` a un ordinateur pour savoir si un nombre n est premier ou compos e ? Il sut de tester si n admet un diviseur n. Si de plus n est impair, il sut de tester les diviseurs impairs, au nombre de n/2. Supposons quon dispose dun ordinateur qui eectue les divisions en 109 seconde (1 milliardi` eme de seconde) et que notre nombre n admet 30 chires. Soit T le temps du test de n. Comme 1029 n < 1030 , on a, au pire des cas : T 109 n/2 109 1029/2 /2 105 10/2 1.58 103 /36 1.8 heures

Si n comportait 60 chires on aurait trouv e T plusieurs si` ecles ! On ne conna t pas dalgorithme ecace et pratique pour tester la primalit e dun entier. On se contente de tests qui permettent de conclure avec une certaine probabilit e. Exemple 8 : La plupart des logiciels utilisent une combinaison des 3 tests suivants : T1 : Tester si n admet un diviseur premier 104 . T2 : Sil y succ` es dans T1, v erier le th eor` eme de Fermat avec une base a = 2 ou avec plusieurs bases. T3 : Sil y succ` es dans T1 et dans T2, appliquer le test de Miller-Rabin (1976-1980).

Cryptographie

Ann. Univ. 2010-11

Remarque : Rien quavec le test T1, on est s ur davoir une r eponse exacte pour tous les entiers test es n jusqu` a n = 108 . Exercice 7 : Se renseigner sur le crible dEratost` ene. Maple isprime(n); nextprime(a); prevprime(a); ithprime(k );

9. Factorisation des entiers On rappelle le th eor` eme fondamental de larithm etique : Th eor` eme 1 : Tout entier naturel non nul n peut se d ecomposer sous la forme :
r

(1) n =
i=1

i p i

o` u pi sont des nombres premiers et les i sont des entiers naturels positifs. Exemple 9 : 120 = 23 3 5 et 1100 = 22 52 11 Chercher les facteurs premiers pi est une op eration pour laquelle on ne conna t pas de m ethode ecace. Plusieurs cryptosyst` emes sont bas es sur ce constat. La primalit e est consid er ee comme une t ache plus abordable puisque existent les tests probabilistes. Exercice 8 : Factoriser le nombre n = 121393. Maple if actor(n);

10. Equation polyn omiale modulaire dans lanneau Il sagit des equations de la forme P (x) 0 [n]

Z nZ

o` u n est un entier naturel compos e de grande taille, ayant plus de cent chires, et P (x) est un polyn ome de degr e d N, de la forme P (x) = ad xd + ad1 xd1 + . . . + a1 x + a0 . 8

Cryptographie Les ai etant des entiers naturels.

Ann. Univ. 2010-11

On ne conna t pas de m ethode pour r esoudre de telles equations, m eme pour le degr e 2. Voir plus loin le cryptosyst` eme de Rabin. Exercice 9 : R esoudre les deux equations x2 + x 3 0 et x2 + x 2 0 dans Z . 12 Z

11. Logarithme discret dans lanneau ( Il sagit d equations de la forme :

Z , + ,.) nZ

(1) ax b [n] Z et x est un entier naturel. On ne conna t pas de m ethodes pour r esoudre nZ ecacement ces equations sauf dans des cas tr` es particuliers et m eme si n est premier. o` u a, b Plusieurs cryptosyst` emes parmi ceux quon verra sont bas es sur cette question. Si on etait dans R, l equation ax = b aurait eu comme solution x = ln b/ ln a. Cest pour cette raison quon lappelle equation du logarithme discret. Noter que dans N il est facile de la r esoudre : par exemple par la technique de la dichotomie. Exercice 10 : a) R esoudre les deux equations suivantes : 2x = 3 [31] et 5x = 7 [31]. b) R esoudre dans N : 12x = 6624737266949237011120128.

12. Racines primitives dans lanneau (

Z , + ,.) nZ

Un groupe est dit cyclique si on peut retrouver tous ses el ements ` a partir dun seul appel e racine primitive ou el ement primitif ou g en erateur. Cet el ement est donc tr` es important puisquil sut de le retenir pour avoir tous les autres el ements du groupe. Cest une sorte dADN de la structure. Z Le groupe additif ( ,+) est toujours cyclique dont un el ement primitif ou g en erateur nZ Z est a = 1. Par contre le groupe multiplicatif (( ) ,.), n N, nest jamais cyclique sauf nZ r r si n {2,4,p ,2 p } o` u p est un nombre premier 3 et r N . En particulier on montre Z que le nombre des el ements primitifs de (( ) ,.), p premier, est donn e ` a laide de la pZ 9

Cryptographie fonction dEuler par (p 1).

Ann. Univ. 2010-11

Il ny a pas de m ethode rapide pour trouver les racines primitives de (( pour de petites valeurs de p, on a les deux th eor` emes suivants :

Z ) ,.). Cependant, pZ

Th eor` eme 2 : L el ement a est une racine primitive si et seulement si a(p1)/q 1 pour tout entier q premier divisant p 1. Th eor` eme 3 : Si a0 est d ej` a une racine primitive alors a = ai 0 est une racine primitive si et seulement si pgcd(i,p 1) = 1; i {1,2,3, . . . ,p 1}. Exemple 10 : Les racines primitives de (( que (17 1) = 8. Z ) ,.) sont : 3, 5, 6, 7, 10, 11, 12, 14. On v erie 17 Z

Pour les nombres premiers p inf erieurs ` a 100, le tableau suivant donne les racines primitives modulo p.

10

Cryptographie

Ann. Univ. 2010-11

p (p 1) Les racines primitives modulo p 2 1 1 3 1 2 5 2 2, 3 7 2 3, 5 11 4 2, 6, 7, 8 13 4 2, 6, 7, 11 17 8 3, 5, 6, 7, 10, 11, 12, 14 19 6 2, 3, 10, 13, 14, 15 23 10 5, 7, 10, 11, 14, 15, 17, 19, 20, 21 29 12 2, 3, 8, 10, 11, 14, 15, 18, 19, 21, 26, 27 31 8 3, 11, 12, 13, 17, 21, 22, 24 37 12 2, 5, 13, 15, 17, 18, 19, 20, 22, 24, 32, 35 41 16 6, 7, 11, 12, 13, 15, 17, 19, 22, 24, 26, 28, 29, 30, 34, 35 43 12 3, 5, 12, 18, 19, 20, 26, 28, 29, 30, 33, 34 47 22 5, 10, 11, 13, 15, 19, 20, 22, 23, 26, 29, 30, 31, 33, 35, 38, 39, 40, 41, 43, 44, 45 53 24 2,3,5,8,12,14, 18,19,20,21,22,26, 27,31,32,33,34,35, 39,41,45,48,50,51 59 28 2,6,8,10,11,13,14,18,23,24,30,31,32,33,34,37,38,39,40,42,43,44,47,50,52,54,55,56 61 16 2,6,7,10, 17,18,26,30, 31,35,43,44, 51,54,55,59 67 20 2,7,11,12,13,18,20,28,31,32,34,41,44,46,48,50,51,57,61,63 71 24 7,11,13,21,22,28, 31,33,35,42,44,47, 52,53,55,56,59,61, 62,63,65,67,68,69 73 24 5,11,13,14,15,20, 26,28,29,31,33,34, 39,40,42,44,45,47, 53,58,59,60,62,68 79 24 3,6,7,28,29,30,34,35,37,39,43,47,48,53,54,59,60,63,66,68,70,74,75,77 83 40 2,5,6,8,13,14,15,18,19,20,22,24,32,34,35,39,42,43,45,46, 47,50,52,53,54,55,56,57,58,60,62,66,67,71,72,73,74,76,79,80 89 40 3,6,7,13,14,15,19,23,24,26,27,28,29,30,31,33,35,38,41,43,46,48,51,54,56,58,59,60, 61,62,63,65,66,70,74,75,76,82,83,86 97 32 5,7,10,13,14,15,17,21,23,26,29,37,38,39,40,41,56,57,58,59,60, 68,71,74,76,80,82,83,84,87,90,92 Dapr` es ce tableau on saper coit que : Il y a toujours une racine primitive a 5 modulo p pour tout nombre premier p 100 sauf pour p = 41 (a = 6) et p = 71 ( = 6). On a aussi les r esultats suivants : p 104 = a 31; p 5.105 = a 69; p 105 = a 44; p 106 = a 73;

Exercice 11 : Montrer que, si p est premier, alors a est une racine primitive modulo p si et seulement si (1/a) mod p est une racine primitive modulo p.

11

Cryptographie

Ann. Univ. 2010-11

Maple with(numtheory ); primroot(p); donne la premi` ere racine primitive modulo p et primroot(a,p); calcule la premi` ere racine primitive modulo p sup erieure ` a a.

13. Symboles de Legendre et de Jacobi Symbole de Legendre : Il sert ` a caract eriser les el ements a de des carr es, cest-` a-dire qui v erient a = x2 [p] o` ux Z , p premier, qui sont pZ

Z . On dira que a est un r esidu pZ a a quadratique modulo p. Le symbole de Legendre est not e ( ). Si p|a, alors on pose ( ) = 0, p p a a sinon si a est un r esidu quadratique modulo p, on pose ( ) = 1, sinon ( ) = 1. Donc, on p p a a toujours : ( ) {1,0,1}. Puisquon travaille modulo p, on peut aussi sarranger pour p avoir a < p, en rempla cant a par a mod p. Proposition 1 : Soient un nombre premier p > 2 et deux entiers a et b. On a : 1 1. ( ) = 1 p a 2. ( ) a(p1)/2 [p] p ab a b 3. ( ) = ( ) ( ) (Le symbole est multiplicatif lorsque p est x e) p p p 2 2 4. ( ) = (1)(p 1)/8 p Th eor` eme 4 (Loi de r eciprocit e quadratique) : Soient deux nombres premiers p, q > 2. On a : p q ( ) = (1)(p1)(q1)/4 ( ) q p La proposition 1 et le th eor` eme 4 sont susants pour le calcul du symbole de Legendre. Exemple 11 : 2 Z 1- ( ) = (1)6 = 1 = 2 est un r esidu quadratique dans . En eet on 2 32 42 [7] 7 7Z 3 7 mod 3 1 3 7 2- ( ) = (1) ( ) = ( ) = ( ) = 1 = 3 nest pas un r esidu quadratique 7 3 3 3 Z dans . 7Z 3 11 11 mod 3 2 3- ( ) = (1)20/4 ( ) = ( ) = ( ) = (1) = 1 = 3 est un r esidu 11 3 3 3 Z quadratique dans . En eet on 3 52 62 [11] 11 Z 12

Cryptographie

Ann. Univ. 2010-11

Exercice 12 : a) V erier que les deux nombres p = 6547 et q = 8731 sont premiers. p b) Montrer que ( ) = 1 q Symbole de Jacobi :
r

Soient a Z et n =
i=1

i p ecompos e en facteurs premiers. Le symbole i un entier naturel d

a a a a de Jacobi est par d enition : [ ] = ( ) ( ) . . . ( ). n p1 p2 pr Il ne caract erise pas le fait que a est un r esidu quadratique modulo n ou non, mais il v erie des propri et es semblables ` a celles du symbole de Legendre. Les deux symboles coincident lorsque n est premier. Proposition 2 : Soient a,b,n,m, N . On a : a b ab erateur) 1. [ ] = [ ] [ ] (Le symbole est multiplicatif pour le num n n n a a a 2. [ ] = [ ] [ ] (Le symbole est multiplicatif pour le d enominateur) nm n m a 3. Si pgcd(a,n) = 1 alors [ ] = 0. n Si n est trop grand pour etre d ecompos e en facteurs premiers, on utilise les propri et es suivantes pour le calcul du symbole de Jacobi. Proposition 3 : Si n est impair, alors : 1 1. [ ] = (1)(n1)/2 n 2 2 2. [ ] = (1)(n 1)/8 n Th eor` eme 5 (Loi de r eciprocit e quadratique) : Soient deux entiers impairs n,m > 2. On a : [ n m ] = (1)(n1)(m1)/4 [ ] m n

Exemple 12 : 2 2 2 2 [ ]=[ ] = [ ] [ ] = (1)1 (1)3 = 1, et pourtant 2 nest pas un r esidu quadratique 15 35 3 5 Z dans . 15 Z Remarque : a 1- Si a est un r esidu modulo n alors [ ] = 1 mais la r eciproque est fausse. n 13

Cryptographie

Ann. Univ. 2010-11

2- Savoir si a est un r esidu modulo n pour n compos e et de grande taille est consid er e comme un probl` eme dicile equivalent ` a la factorisation des entiers. 3- Si a x2 [n] alors on a aussi a (x)2 (n x)2 [n]

14. Racines carr ees dun el ement de lanneau (

Z , + ,.) nZ

On ne conna t pas de m ethode pour calculer les racines carr ees dun el ement de nombre premier. Dans la suite on suppose que p est premier > 2. Z est r esidu quadratique a(p1)/2 1 [p] Crit` ere dEuler : a pZ Comment calculer a ?

Z , nZ quand n est compos e et de grande taille. Par contre une solution existe si n = p est un

Supposons que a est r esidu quadratique modulo p et posons a = b2 [p]. On remarque que si on prend x a(p+1)/4 [p], on a : x2 a(p+1)/2 b(p+1) bp .b b2 a [p], dapr` es le th eor` eme de Fermat. Donc une racine carr ee de a est x a(p+1)/4 [p] et lautre etant x ou p x. Ne pas oublier que (p + 1)/4 doit etre entier, cest-` a-dire que p 1 [4]. Exemple 13 : Le nombre 8 est-il r esidu quadratique modulo 23? Apliquons le crit` ere dEuler : On a (p 1)/2 = 11 et lon v erie par lexponentiation rapide que 811 1 [23]. Do` u 8 admet des racines carr ees. Calculons les. (p + 1)/4 = 6 = x a6 86 13 [23]. On en conclut que 8 13 [23] et lautre racine carr ee est x 13 10 [23]. Finalement 8 {13,10} [23]

14