<h1 id="%E3%81%93%E3%81%AE%E8%A8%98%E4%BA%8B%E3%81%AF%EF%BC%9F">
<a class="header-anchor-link" href="#%E3%81%93%E3%81%AE%E8%A8%98%E4%BA%8B%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> この記事は？</h1>
Pythonで準同型暗号のひとつであるRSA暗号を実装して、準同型暗号で遊んでみます。準同型暗号とは、暗号化した状態で計算した結果が、そのまま平文での計算結果になっている という不思議な性質をもった暗号です！
<h1 id="rsa%E6%9A%97%E5%8F%B7">
<a class="header-anchor-link" href="#rsa%E6%9A%97%E5%8F%B7" aria-hidden="true"></a> RSA暗号</h1>
RSA暗号は1977年当時にMITにいたRivest,Shamir、Adlemanによって考案された最初の公開鍵暗号です。幅広く普及していて製品にも利用されている公開鍵暗号方式であり、準同型性を持つことも知られています。
実際にアルゴリズムを見てみましょう。公開鍵暗号のアルゴリズムは３つのフェーズに分かれて記述されます。公開鍵、秘密鍵やその他のパラメタを前準備する鍵生成フェーズ、公開鍵で暗号化する暗号化フェーズ、秘密鍵で復号する復号フェーズです。RSA暗号のアルゴリズムを記述します。
なお、平文というのは暗号化されていない素の値のことです。
<h2 id="%E9%8D%B5%E7%94%9F%E6%88%90%E3%83%95%E3%82%A7%E3%83%BC%E3%82%BA">
<a class="header-anchor-link" href="#%E9%8D%B5%E7%94%9F%E6%88%90%E3%83%95%E3%82%A7%E3%83%BC%E3%82%BA" aria-hidden="true"></a> 鍵生成フェーズ</h2>
<ol>
<li>素数<embed-katex><eq class="zenn-katex">p</eq></embed-katex>と<embed-katex><eq class="zenn-katex">q</eq></embed-katex>を選ぶ。</li>
<li>
<embed-katex><eq class="zenn-katex">n=pq</eq></embed-katex>と<embed-katex><eq class="zenn-katex">s=lcm(p-1,q-1)</eq></embed-katex>を計算する。</li>
<li>
<embed-katex><eq class="zenn-katex">s</eq></embed-katex>と互いに素でかつ<embed-katex><eq class="zenn-katex">s</eq></embed-katex>より小さい数<embed-katex><eq class="zenn-katex">e</eq></embed-katex>を選ぶ。</li>
<li>
<embed-katex><eq class="zenn-katex">d=(\frac{1}{e}\ mod\ s)</eq></embed-katex>を計算する。</li>
<li>秘密鍵を<embed-katex><eq class="zenn-katex">d</eq></embed-katex>を公開鍵<embed-katex><eq class="zenn-katex">e,n</eq></embed-katex>とする。</li>
</ol>
<h2 id="%E6%9A%97%E5%8F%B7%E5%8C%96%E3%83%95%E3%82%A7%E3%83%BC%E3%82%BA">
<a class="header-anchor-link" href="#%E6%9A%97%E5%8F%B7%E5%8C%96%E3%83%95%E3%82%A7%E3%83%BC%E3%82%BA" aria-hidden="true"></a> 暗号化フェーズ</h2>
<embed-katex><eq class="zenn-katex">c=m^e\ mod\ n</eq></embed-katex>を計算して、<embed-katex><eq class="zenn-katex">c</eq></embed-katex>を出力する。
<h2 id="%E5%BE%A9%E5%8F%B7%E3%83%95%E3%82%A7%E3%83%BC%E3%82%BA">
<a class="header-anchor-link" href="#%E5%BE%A9%E5%8F%B7%E3%83%95%E3%82%A7%E3%83%BC%E3%82%BA" aria-hidden="true"></a> 復号フェーズ</h2>
<embed-katex><eq class="zenn-katex">m=c^d\ mod\ n</eq></embed-katex>を計算して、<embed-katex><eq class="zenn-katex">m</eq></embed-katex>を出力する。
以上がRSA暗号のアルゴリズムです。簡単のため、安全性的に定義が厳密でない部分があります。 
次は実際に実装しつつ、確かに準同型性を持っていることを見てみます！
<ul>
<li>Note 
<embed-katex><eq class="zenn-katex">\frac{1}{e}</eq></embed-katex>は<embed-katex><eq class="zenn-katex">mod\ s</eq></embed-katex>上の値なので、ただの逆数ではなく逆元です。</li>
</ul>
<h1 id="%E5%AE%9F%E8%A3%85%E3%81%97%E3%81%A6%E9%81%8A%E3%82%93%E3%81%A7%E8%A6%8B%E3%82%8B">
<a class="header-anchor-link" href="#%E5%AE%9F%E8%A3%85%E3%81%97%E3%81%A6%E9%81%8A%E3%82%93%E3%81%A7%E8%A6%8B%E3%82%8B" aria-hidden="true"></a> 実装して遊んで見る</h1>
まずは、鍵生成フェーズを実装します。組み込み関数<code>pow</code>がPython3.8未満だと、<code>pow(x,e,n)</code>で<embed-katex><eq class="zenn-katex">x^e mod\ n</eq></embed-katex>を計算できる機能を持っていないので、Python3.8以上での動作を想定しています。
簡単のため、素数<embed-katex><eq class="zenn-katex">p,q</eq></embed-katex>は十分に大きい値を予め選んでおきます。<code>lcm</code>は最小公倍数を求める関数、<code>gen_coprime</code>は互いに素な数を持ってくる関数<a href="#fn-e32c-1" id="fnref-e32c-1">[1]</a>です。以下がプログラムの全体です。
<div class="code-block-container"><pre class="language-python"><code class="language-python">
from sympy import prime
from math import gcd

def lcm(x,y):
	return (x*y)//gcd(x,y)		

def gen_coprime(x):
	for i in range(2,x):
		if gcd(x,i)==1:return i

def genkey_rsa(p,q):
	n=p*q # n = p * q
	s=lcm(p-1,q-1) # p-1とq-1の最小公倍数s
	e=gen_coprime(s) #　sと互いに素な数e
	d=pow(e,-1,s) # d = e^-1 mod s
	return (n,e),(d,n) # 公開鍵、秘密鍵
	
def encrypt_rsa(pk,m):
	n,e=pk
	return pow(m,e,n) # c = m ^ e mod n
	
def mult_cipher(pk,x,y):#暗号文で掛け算する関数
	n,e=pk
	return (x*y)%n

if __name__=="__main__":
	p,q=prime(10**6),prime(10**6+1)
	plain_text1=200000
	pk,sk=genkey_rsa(p,q)

	while True:
		print("-"*20)
		print("平文１を入力してください:",end="")
		plain_text1=int(input())
		print("平文２を入力してください:",end="")
		plain_text2=int(input())
		print(f"平文１:{plain_text1}")
		print(f"平文２:{plain_text2}")

		cipher_text1=encrypt_rsa(pk,plain_text1)
		cipher_text2=encrypt_rsa(pk,plain_text2)
		cipher_text3=mult_cipher(pk,cipher_text1,cipher_text2)
		print(f"暗号文１:{cipher_text1}")
		print(f"暗号文２:{cipher_text2}")
		print(f"暗号文１×暗号文２:{cipher_text3}")

		plain_text3=decrypt_rsa(sk,cipher_text3)
		print(f"平文１×平文２:{plain_text3}")
</code></pre></div>さっそく実行してみましょう。このプログラムの<code>main</code>では次の処理を<code>print</code>しながら繰り返します。
<ol>
<li>平文の入力を受け付ける。</li>
<li>平文暗号化する。</li>
<li>暗号化された値を乗算する。</li>
<li>復号する。</li>
</ol>
自分が動かしてみた結果は以下のようになりました。
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">--------------------
平文１を入力してください:120
平文２を入力してください:90
平文１:120
平文２:90
暗号文１:24883200000
暗号文２:5904900000
暗号文１×暗号文２:226025144791521
平文１×平文２:10800
--------------------
</code></pre></div>確かに暗号状態での計算結果は意味不明ですが、復号すると確かに平文の積になっていますね！
<ul>
<li>Note 対話は<code>Ctrl+c</code>で終了できます。また、入力した平文の値が大きすぎる（<embed-katex><eq class="zenn-katex">pq</eq></embed-katex>以上）だとうまくいきません。今回はコンパクトにするため使っていませんが、暗号文の計算は<code>modint</code>のようなクラスにラッピングすると使いやすくなると思います。</li>
</ul>
<h1 id="%E3%81%AA%E3%81%9C%E3%81%93%E3%82%93%E3%81%AA%E3%81%93%E3%81%A8%E3%81%8C%EF%BC%9F">
<a class="header-anchor-link" href="#%E3%81%AA%E3%81%9C%E3%81%93%E3%82%93%E3%81%AA%E3%81%93%E3%81%A8%E3%81%8C%EF%BC%9F" aria-hidden="true"></a> なぜこんなことが？</h1>
数式を変形させながら確認してみましょう。異なる２つの平文の名前を<embed-katex><eq class="zenn-katex">m_1</eq></embed-katex>、<embed-katex><eq class="zenn-katex">m_2</eq></embed-katex>とします。 
RSAは<embed-katex><eq class="zenn-katex">c=m^e\ mod\ n</eq></embed-katex>と暗号化されていたことを考えると
<section class="zenn-katex"><eqn><embed-katex display-mode="1">
c_1=m_1^e\ mod\ n ,c_2=m_1^e\ mod\ n
</embed-katex></eqn></section>
このようになります。<embed-katex><eq class="zenn-katex">c_1</eq></embed-katex>と<embed-katex><eq class="zenn-katex">c_2</eq></embed-katex>を乗算し、<embed-katex><eq class="zenn-katex">c_1 \cdot c_2</eq></embed-katex>とします。<embed-katex><eq class="zenn-katex">c_1 \cdot c_2</eq></embed-katex>を復号すると
<section class="zenn-katex"><eqn><embed-katex display-mode="1">
Dec(c_1 \cdot c_2) = (c_1 \cdot c_2)^d = (m_1^e \cdot m_2^e)^d = (m_1 \cdot m_2)^{e\cdot d} = (m_1 \cdot m_2)^{e \cdot \frac{1}{e}}=m_1 \cdot m_2
</embed-katex></eqn></section>
となります。これは明らかに<embed-katex><eq class="zenn-katex">m_1</eq></embed-katex>と<embed-katex><eq class="zenn-katex">m_2</eq></embed-katex>の積になっていることから、RSA暗号は乗法に対して準同型性を持つ暗号といえます。
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
今回はRSA暗号だけの紹介でしたが、他にも準同型性を持つ暗号はたくさんあります。乗算でなく加算に準同型暗号や、両方の性質を持つ完全準同型暗号も存在します。
暗号はとても面白いし、美しい分野なので、ぜひ勉強し<s>ろ</s>てみてください！
<section class="footnotes">
脚注
<ol class="footnotes-list">
<li id="fn-e32c-1" class="footnote-item">
実際の実装では互いに素な数は小さい数を定数として指定しておくことが多い。例えば<embed-katex><eq class="zenn-katex">e=3</eq></embed-katex>で固定される場合、<embed-katex><eq class="zenn-katex">p</eq></embed-katex>と<embed-katex><eq class="zenn-katex">q</eq></embed-katex>を安全素数する工夫をすれば常に互いに素になる。 <a href="#fnref-e32c-1" class="footnote-backref">↩︎</a>
</li>
</ol>
</section>

準同型暗号はいいぞ（RSA編）

Masahiro Kusaka

Senk

<blockquote>
暗号文１×暗号文２:146932807680000000000
</blockquote>
暗号文1 x暗号文2 mod n 
とされるべきではないでしょうか？ 
公開鍵 pk と n がいくつか分からないのですが，単純に積を取ると暗号文空間を超えてしまう気がします．

暗号文は法Nの空間で計算されるべきなので、全くそのとおりです。修正しておきます！

Discussion