Professional Documents
Culture Documents
Matematik-1 Draft
Matematik-1 Draft
= M A = 3.
18 3. MNGDER
Nu nr vi har delmngder till en mngd M, d kan det vara sknt
att ha ett enkelt notationsstt fr mngden av alla delmngder till M.
Denna mngd som innehller alla delmngder till M som element kallas
potensmngd och denieras hrnst.
Definition 3.10. Lt M vara en mngd. Vi kallar mngden av alla
delmngder till M fr potensmngden av M. Vi betecknar potensmngden
till M som T(M).
vning 3.13. Undersk hur potensmngden av en mngd M frhller
sig till mngden M sjlv.
3.4. ZermeloFraenkels axiom fr mngdlran
...
3.4.1. Russells paradox. ...
3.5. Relationer
Vi ska nu titta p hur vi kan upprtta relationer mellan elementen i en
mngd. I tidigare avsnitt har vi redan sttt p en relation likheten mellan
tv mngder.
Definition 3.11. En binr relation R p en mngd M r en delmngd
till den kartesiska produkten MM. Om (x, y) MM tillhr R skriver
vi xRy som utlses x r relaterat till y via R.
Anmrkning 3.1. Mngden R r fljaktligen en delmngd till den
kartesiska produkten M M.
Enligt denna denition skulle likhetsrelationen mellan mngder vara en
relation p mngden av alla mngder och tv mngder i denna mngd r
relaterade om de uppfyller kraven i denition 3.2. Vi ska titta p ett mindre
abstrakt exempel.
Exempel 3.5. Lt S vara mngden av alla personer som r skrivna
p en adress i Sverige. Tv personer p S och q S r relaterade via
relationen G om de bor p samma gata. Om p bor p Gatuvgen 1, 123 45
Kommunen och q bor p Gatuvgen 3, 123 45 Kommunen, d gller att
p Gq eftersom att bda bor p Gatuvgen.
Vi kan d ocks beskriva G p fljande vis. Lt V
i
vara mngden av
alla personer som r skriva p ngon vg i. D r G unionen av V
i
V
i
fr
alla vgar i i Sverige.
vning 3.14. Anvnd mngderna som denieras i vning 3.10 och de-
niera en relation fr ngon dessa. Inspiration: Du kan utg frn ditt favo-
ritkortspel och deniera en eller era lmpliga relationer mellan kort eller
mngder av kort.
3.5.1. Ekvivalensrelation och ekvivalensklass. Vi ska nu titta p
en speciell typ av relation ekvivalensrelationen. Ekvivalensrelationen har
en srskild struktur fr hur element r relaterade till varandra. Den har sitt
namn frn att den pminner om likhetsbegreppet som vi tagit upp tidigare.
Definition 3.12. En binr relation R p en mngd M som uppfyller
att
(1) fr alla x M gller att xRx (reexivitet),
(2) fr alla x, y M gller att om xRy d gller ven y Rx (symme-
tri),
3.5. RELATIONER 19
Figur 8. En mngd (hela cirkeln) som r partitionerad
i sex delmngder. Varje delmngd (frg) representerar en
ekvivalensklass.
(3) fr alla x, y, z M gller att om xRy och y Rz d gller ven att
xRz (transitivitet),
kallas fr ekvivalensrelation.
vning 3.15. Undersk vilka relationer du knner till som r reexiva,
symmetriska och transitiva, och fljaktligen r ekvivalensrelationer.
En ekvivalensrelation partitionerar en mngd M i disjunkta delmngder
kallade partitioner. Dessa partitioner utgrs av ngot som brukar kallas fr
ekvivalensklasser.
Definition 3.13. Lt R vara en ekvivalensrelation denierad p mng-
den M. Om a r ett element i M, d kallar vi mngden x M: xRa
fr ekvivalensklassen fr a och betecknar denna som [a]
R
, elementet a sgs
vara en representant fr ekvivalensklassen.
Om det r klart under vilken relation ekvivalensklassen gller rcker
det med att skriva [a] istllet fr [a]
R
.
P samma stt som att det gr att skapa en partition genom att infra
en ekvivalensrelation p mngden gr det ocks att skapa en ekvivalensre-
lation p mngden genom att partitionera den.
Exempel 3.6. Lt F vara mngden av alla fglar. Vi infr en relation
A dr tv fglar x och y r relaterade via A om de tillhr samma fgelart. r
detta en ekvivalensrelation? Om x r en berguv (Bubo bubo), d mste xAx
eftersom att x tillhr samma fgelart som sig sjlv. Sledes r relationen
reexiv. Om x r en berguv och om xAy, d mste ven y vara en berguv
och fljaktligen y Ax. Relationen r drfr symmetrisk. Om x r en berguv
och xAy, d mste y vara en berguv. Om dessutom y Az mste z ocks
vara en berguv. Eftersom bde x och z r berguvar gller att xAz. D r
relationen transitiv. Relationen uppfyller kraven fr en ekvivalensrelation
och mste drfr vara en ekvivalensrelation.
Eftersom att relationen A r en ekvivalensrelation innebr det att den
partitionerar mngden F av alla fglar. Varje partition, eller ekvivalensklass,
r en mngd av alla fglar inom samma art. Exempelvis r mngden av alla
berguvar en ekvivalensklass.
Mngden av alla ekvivalensklasser hos M under relationen brukar
betecknas M/ och kallas fr kvotmngden av M och . Om m r ett
element i M, d r [m]
4
3
3
2
2
4
12
2
) = 2
6
2
4
3
2
= 2
6+4
3
2
= 2
10
3
2
.
vning 4.13. Visa att addition av exponenter och multiplikation av
exponenter bda r associativa och kommutativa operationer.
4.8.2. Vlordningsprincipen. . . .
Sats 4.9 (Vlordningsegenskapen hos de naturliga talen). Om en mngd
M N r en delmngd till de naturliga talen och om M ,= ej r den tom-
ma mngden, d existerar ett element m M i M sdant att m k r
mindre n k fr alla k M i M.
Bevis. . . . Q.E.D.
4.9. Avslutande reektion
Som en avslutande reektion till detta kapitel ges fljande vnings-
uppgifter. Tanken med dessa vningar r att reektera ver matematikens
existens, hur den frhller sig till verkligheten etc.
vning 4.14. Diskutera frhllandet mellan matematiken och verklig-
heten. En inledande frga i diskussionen kan vara: Grundar sig matematiken
i verkligheten eller r den oberoende av verkligheten? Diskutera.
vning 4.15. a) Om matematiken r oberoende av verkligheten, hur
kan den anvndas fr att utforska och frutsga verkligheten? Och om verk-
ligheten sg annorlunda ut, skulle matematiken se likadan ut?
b) Om matematiken grundar sig i verkligheten, hur kan den anvndas
fr att frutsga verkligheten nr den behver verkligheten fr att visas vara
sann?
KAPITEL 5
De hela talen
V
i r nu vlbekanta med de naturliga talen, N = 0, 1, 2, . . .. Vi har
operationerna addition och multiplikation och vet hur dessa fungerar.
I detta kapitel kommer vi att utka de naturliga talen med avseende p
addition.
Om vi adderar tv tal a och b fr vi ett tredje tal c, vi skriver detta som
a + b = c. Det nns dock inget stt att ta oss tillbaka till a, det vill sga
det nns inget naturligt tal d sdant att c + d = a + b + d = a. Ett annat
stt att sga det p r att det nns inga naturliga tal n och m sdana att
deras summa n+m = 0 r lika med identitetselementet noll. Detta r dock
en vldigt intressant och nskvrd egenskap. Vi ska frtydliga vad vi menar
och ge denna egenskap ett namn.
Definition 5.1. Givet en mngd M med en denierad binr operation
: MM M och ett identitetselement e. Ett element b kallas fr inversen
till ett element a om a b = b a = e.
vning 5.1. Utforska inversbegreppet. Frgor att inspirera: I denition
5.1, r a inversen till ngot element? Hur mnga inverser kan ett element
ha? Har alla element en invers?
Vi ska i detta kapitel tillfra denna egenskap till additionen fr de na-
turliga talen. Resultatet r vad som kallas de hela talen, och mngden av
de hela talen betecknas
1
Z.
5.1. Utkningen av de naturliga talen
Lt oss nu skapa de hela talen. Det enda vi har att tillg r de naturliga
talen, dessa vet vi att de existerar och hur de fungerar. Vi brjar med att
lta mngden M = NN = (a, b): a och b r naturliga tal vara mngden
av alla ordnade par av naturliga tal.
Exempel 5.1. Vi har exempelvis att (1, 2) M och (2, 1) M samt
att (1, 2) ,= (2, 1).
Lt oss nu infra en relation p denna mngd. Om (a, b) och (c, d) r
ordnade par av naturliga tal, det vill sga element i mngden M, d vill vi
att (a, b) (c, d) ska vara sant precis nr a + d = b + c. Denna relation
r faktiskt en ekvivalensrelation. Fr att visa detta kollar vi att relationen
uppfyller axiomen i denition 3.12 fr en ekvivalensrelation. Additionen
r kommutativ och eftersom att a + b = b + a har vi (a, b) (a, b), och
fljaktligen r den reexiv. Om (a, b) (c, d) d r a+d = b +c och sledes
c +b = b +c,
d +a = a +d och
c +b = d +a.
1
Anledningen till att de betecknas med Z r tyskans Zahlen som betyder tal.
37
38 5. DE HELA TALEN
Den sista ekvationen ger precis (c, d) (a, b). Relationen mste d vara
symmetrisk. Fr att visa transitiviteten behvs fljande resultat.
Lemma 5.1. Lt x och y vara naturliga tal. Om z r ett naturligt tal
och x +z = y +z d r x = y.
vning 5.2. Bevisa lemma 5.1.
Om (a, b) (c, d) och (c, d) (e, f), d har vi frst att
a +d = b +c (5.1)
och sedan att
c +f = d +e. (5.2)
Detta ger
a +d +f = b +c +f = b +d +e.
Eftersom att additionen r kommutativ fr vi a+f +d = b+e+d och enligt
lemma 5.1 har vi d att a+f = b+e som betyder att (a, b) (e, f). Eftersom
att relationen d ven r transitiv r relationen en ekvivalensrelation.
Vi betecknar ekvivalensklasserna p fljande stt: Om (a, b) r ett ele-
ment i M, d r [(a, b)] = (x, y) M: (a, b) (x, y). Det vill sga, [(a, b)]
innehller alla talpar i M som uppfyller ekvivalensrelationen med talparet
(a, b).
Exempel 5.2. Vi har att (0, 0) (1, 1) eftersom att 0 + 1 = 0 + 1.
Fljaktligen har vi [(0, 0)] = [(1, 1)] och (1, 1) [(0, 0)], men naturligtvis
ven (0, 0) [(0, 0)].
Anmrkning 5.1. Kom ihg att det inte spelar ngon roll om vi vljer
(0, 0) eller (1, 1) som representant fr ekvivalensklassen [(0, 0)] = [(1, 1)]
eftersom att det r samma ekvivalensklass.
Exempel 5.3. Vi har dremot (0, 0) (1, 0) eftersom att 0+0 ,= 0+1,
och fljaktligen (1, 0) / [(0, 0)].
Lt oss nu deniera en binr operation + som vi kallar fr addition
och en binr operation som vi kallar fr multiplikation p mngden av
ekvivalensklasser hos M. Vi lter [(a, b)]+[(c, d)] = [(a+c, b+d)] och [(a, b)]
[(c, d)] = [(ac +bd, ad +bc)]. Vi mste dock visa att dessa r vldenierade.
Om (a, b) (a
, b
) och (c, d) (c
, d
+ c
, b
+ d
, b
) att a + b
= b + a
och frn
(c, d) (c
, d
) att c + d
= d + c
) + (c + d
) = (b + a
) + (d + c
+d
= b +d +a
+c
,
och sledes mste (a +c, b +d) (a
+c
, b
+d
).
vning 5.3. Visa att multiplikationen ocks r vldenierad.
Exempel 5.4. Om vi adderar [(1, 2)] och [(2, 4)] fr vi
[(1, 2)] + [(2, 4)] = [(1 + 2, 2 + 4)] = [(3, 6)] = [(0, 3)].
Exempel 5.5. Om vi multiplicerar [(1, 2)] och [(2, 4)] fr vi
[(1, 2)] [(2, 4)] = [(1 2 + 2 4, 1 4 + 2 2)] = [(10, 8)] = [(2, 0)].
5.1. UTKNINGEN AV DE NATURLIGA TALEN 39
Vi har nu objekt med egenskaperna att de beter sig som de naturliga
talen, men vi kan ven addera dem fr att f identitetselementet. Identi-
tetselementet fr addition mste vara ekvivalensklassen [(0, 0)]. Eftersom
att [(a, b)] + [(0, 0)] = [(a + 0, b + 0)] = [(a, b)] och [(0, 0)] + [(a, b)] =
[(0 +a, 0 +b)] = [(a, b)] mste [(0, 0)] vara identitetselementet fr addition.
vning 5.4. Hur skulle de naturliga talen kunna representeras med
dessa objekt?
Den additiva inversen till [(a, b)] r [(b, a)] eftersom att [(a, b)]+[(b, a)] =
[(a +b, b +a)] = [(a +b, a +b)]. Eftersom att 0 + (a +b) = 0 + (a +b) har
vi enligt ekvivalensrelationen att (0, 0) (a +b, a +b) och drfr mste de
tillhra samma ekvivalensklass. Detta innebr att [(a, b)] och [(b, a)] mste
vara varandras inverser under addition.
vning 5.5. Kan ett tal ha er n en invers?
Vi sammanfattar detta avsnitt med fljande denitioner. Vi brjar med
att deniera vad de hela talen r.
Definition 5.2 (Heltalen). Lt M = N N vara mngden av alla
naturliga talpar och vara ekvivalensrelationen p mngden M sdan att
(a, b) (c, d) r uppfylld fr elementen (a, b) och (c, d) i M om a+d = b+c.
Lt Z = M/= [(a, b)] : (a, b) M vara mngden av alla ekvivalens-
klasser fr M under ekvivalensrelationen . Varje element n i Z kallar vi
ett heltal.
Lt ocks 0 beteckna [(0, 0)] Z, 1 beteckna [(1, 0)] Z och a beteckna
[(a, 0)] Z fr alla naturliga tal a. Beteckna ocks den additiva inversen
[(0, a)] Z till [(a, 0)] med a.
De nya beteckningarna och ekvivalensklasserna visas i gur 1 (nsta
sida).
Nr vi nu vet vad ett heltal r kan det vara passande att infra arit-
metiska operationer fr dem. Vi brjar med additionen och fortstter med
multiplikationen senare.
Definition 5.3 (Addition). Lt x = [(a, b)] och y = [(c, d)] vara heltal
och + en binr operation p Z, kallad addition, sdan att x +y = [(a, b)] +
[(c, d)] r lika med [(a +c, b +d)].
vning 5.6. I exempel 5.4, vilka tal adderades och vilket blev resulta-
tet?
vning 5.7. r additionen kommutativ fr de hela talen?
vning 5.8. r additionen associativ fr de hela talen?
Nu nr vi kan addera heltal r det lmpligt att vi tittar p hur vi
kan jmfra dem annat n med likhet. Olikheter infrdes med hjlp av
additionen fr de naturliga talen, det r inte frvnande att vi gr detsamma
fr heltalen.
Definition 5.4 (Olikhet). Lt x = [(a, b)] och y = [(c, d)] vara heltal.
Vi sger att x r mindre n y, betecknat x < y, om a + d < b + c enligt
relationen < fr de naturliga talen. Vi kan ocks sga att y r strre n
x och skriver d y > x. Vi sger att x r mindre n eller lika med y om
a + d b + c, detta betecknas x y. Vi kan ocks sga att y r strre n
eller lika med x och betecknas y x.
Nu nr vi kan ordna de hela talen r den naturliga efterfljande deni-
tionen denna.
40 5. DE HELA TALEN
n
2
n
1
5
(0, 5)
4
(0, 4)
(1, 5)
3
(0, 3)
(1, 4)
(2, 5)
2
(0, 2)
(1, 3)
(2, 4)
(3, 5)
1
(0, 1)
(1, 2)
(2, 3)
(3, 4)
(4, 5)
0
(0, 0)
(1, 1)
(2, 2)
(3, 3)
(4, 4)
(5, 5)
1
(1, 0)
(2, 1)
(3, 2)
(4, 3)
(5, 4)
2
(2, 0)
(3, 1)
(4, 2)
(5, 3)
3
(3, 0)
(4, 1)
(5, 2)
4
(4, 0)
(5, 1)
5
(5, 0)
Figur 1. Ekvivalensklasser fr par av naturliga tal
(n
1
, n
2
) under relationen . Bild: [WP].
Definition 5.5. Lt oss kalla ett tal mindre n noll fr ett negativt tal,
och lt oss kalla ett tal strre n noll fr ett positivt tal.
Vi har nu infrt olika namn fr talen p bda sidorna om talet noll.
Notera att enligt denna denition r noll varken positivt eller negativt.
vning 5.9. Hur ordnas de hela talen?
Nu till inverserna.
Definition 5.6. Om x = [(a, b)] r ett heltal, d r x = [(a, b)] =
[(b, a)] dess additiva invers. Denna kallas ven fr negationen av x.
Anmrkning 5.2. Lt a och b vara heltal och b den additiva inversen
till b. Normalt skriver vi a+(b) som ab fr att spara in p ngra tecken.
Vi benmner ab som subtraktionen av b frn a. Ur en matematisk synvinkel
r subtraktion inte en egen operation utan vi adderar den additiva inversen
fr b till a.
vning 5.10. Visa att ett nollskilt naturligt tal r ett positivt tal.
vning 5.11. Visa att den additiva inversen fr ett nollskilt naturligt
tal r ett negativt tal.
vning 5.12. De naturliga talens ordning r 0 < 1 < 2 < 3 < . . .,
enligt relationen < denierad fr de naturliga talen. Gller denna ordning
ven fr relationen < denierad fr de hela talen?
Den andra aritmetiska operationen, multiplikation, ger vi i den sista
denitionen.
5.2. ALGEBRAISKA EGENSKAPER FR DE HELA TALEN 41
Definition 5.7 (Multiplikation). Lt x = [(a, b)] och y = [(c, d)] vara
heltal och en binr operation p Z, kallad multiplikation, sdan att x y =
[(a, b)] [(c, d)] r lika med [(ac +bd, ad +bc)]. Vi skriver ofta xy istllet fr
x y.
vning 5.13. I exempel 5.5, vilka tal multiplicerades och vilket blev
resultatet?
Vi ska nu visa ett lemma som vi kommer att behva i kommande avsnitt.
Lemmat talar om att produkten av ett helt tal och noll blir noll.
Lemma 5.2. Fr alla heltal a gller att a 0 = 0 a = 0.
Bevis. Antag att a = [(b, c)] dr b och c r naturliga tal. Vi har per
denition att a 0 = [(b, c)] [(0, 0)] = [(b 0 +c 0, a 0 +c 0)] = [(0, 0)] = 0.
P samma stt fr vi att 0 a = [(0, 0)] [(b, c)] = [(0 b +0 c, 0 c +0 b)] =
[(0, 0)] = 0. Q.E.D.
vning 5.14. r multiplikationen kommutativ fr de hela talen?
vning 5.15. r multiplikationen associativ fr de hela talen?
vning 5.16. r multiplikationen distributiv ver additionen fr de
hela talen?
5.2. Algebraiska egenskaper fr de hela talen
Det r nu dags att sammanfatta de algebraiska egenskaperna fr de hela
talen. De hela talen bygger p de naturliga talen och ska vara en utkning
av dessa. Vi hade fr avsikt att de hela talen skulle ha samma algebraiska
egenskaper som vi visat att de naturliga talen har. Vi fortstter drfr hr-
nst med en sammanfattning av de algebraiska egenskaper som de hela talen
mste ha. Dessa r desamma som fr de naturliga talen frutom tillgget
om att varje tal a har en additiv invers a.
Algebraiska egenskaper fr de hela talen. P mngden Z av
hela tal denieras tv binra operationer, addition (+) och multiplikation
(). Fr addition gller fljande:
Kommutativitet: a +b = b +a fr alla a, b Z.
Associtivitet: (a +b) +c = a + (b +c) fr alla a, b, c Z.
Additivt identitetselement: Det nns ett element 0 Z sdant
att fr alla a Z gller att 0 +a = a + 0 = a.
Additiv invers: Fr alla a Z nns ett element a Z sdant att
a + (a) = (a) +a = 0.
Fr multiplikation gller fljande:
Kommutativitet: a b = b a fr alla a, b Z.
Associtivitet: (a b) c = a (b c) fr alla a, b, c Z.
Multiplikativt identitetselement: Det nns ett element 1 Z
sdant att fr alla a Z gller att 1 a = a 1 = a.
Utver detta gller ven
Multiplikativ distributivitet ver addition: a (b+c) = (a b)+
(a c) och (b +c) a = (b a) + (c a) fr alla hela tal a, b, c Z.
Fr en mer detaljerad behandling av dessa egenskaper hnvisas lsaren
till [BS00; Gri07].
42 5. DE HELA TALEN
5.3. Algebraiska egenskaper fr de negativa talen
Vi r redan bekanta med de naturliga talen, och drmed ocks den
delen av de hela talen som motsvarar de naturliga talen. Drfr ska vi i
detta avsnitt fokusera p de nya talen, de heltal a < 0 som r mindre n
noll eller de negativa talen.
Lt oss brja med ett av de fundamentala resultaten, nmligen att ett
heltal a multiplicerat med 1 ger dess invers a. Vi formulerar detta som
en sats.
Sats 5.1. Lt a vara ett heltal. D r a multiplicerat med 1 inversen
a till a. Det vill sga, (1) a = a.
Bevis. Vi har att 1+(1) = 0. Om vi multiplicerar noll med ett tal fr
vi enlingt lemma 5.2 fortfarande noll. Fljaktligen fr vi att a(1+(1)) = 0
eftersom att vi d multiplicerar a med noll. Eftersom att multiplikation r
distributiv ver addition fr vi d att
a(1 + (1)) = 1 a + (1)a = a + (1)a = 0.
D mste (1)a vara inversen a till a. Q.E.D.
Anmrkning 5.3. Notera att detta och fljande resultat ven kan hr-
ledas direkt frn talparskonstruktionen i avsnitt 5.1 trots att vi i detta bevis
vljer att anvnda oss av de algebraiska egenskaperna givna i avsnitt 5.2.
Vi fortstter med kanske det mest hpnanvckande resultatet, som r
en fljdsats till fregende.
Korollarium 5.1. Den additiva inversen 1 till heltalet ett multipli-
cerad med sig sjlv r ett. Det vill sga (1)(1) = 1.
Bevis. Eftersom att 1 r ett heltal fljer det frn sats 5.1 att om vi
multiplicerar det med 1 fr vi dess invers. Inversen fr 1 r 1 och sledes
har vi att (1)(1) = 1. Q.E.D.
vning 5.17. Om a och b r heltal, gller d att (a)(b) = ab fr
alla heltal a och b?
Lt oss avsluta med ett exempel om addition av tv negativa tal.
Exempel 5.6. Om vi adderar 1 och 1, vad fr vi d? Eftersom att
vi adderar tv lika termer kan vi skriva additionen som multiplikationen
2 (1) = (1) +(1). Vi vet frn sats 5.1 att ett heltal multiplicerat med
1 r dess invers, d fr vi (1) + (1) = 2 (1) = 2.
Exempel 5.7. Vi kan ocks berkna summan (1) + (1) genom att
anvnda heltalens distributiva egenskap. Eftersom att (1) = (1) 1 och
att multiplikation r distributiv ver addition fr vi att (1) + (1) =
(1)(1 + 1) = (1)(2) = 2.
vning 5.18. Om a och b r heltal, gller generellt att (a) + (b) =
(a +b)?
vning 5.19. Utred vad (a b) egentligen betyder.
5.3.1. Potenser fr heltalen. Vi ska nu infra potenser fr de hela
talen, likt de vi infrde fr de naturliga talen. Vi denierar potenser enligt
fljande denition.
Definition 5.8. Lt a vara ett heltal. Vi denierar att a
1
= a. Om a
n
r denierat fr ngot naturligt tal n > 0, d r a
n+1
= a a
n
. Vi utlser
a
n
som en a-potens med exponenten n, eller a upphjt till n.
5.3. ALGEBRAISKA EGENSKAPER FR DE NEGATIVA TALEN 43
vning 5.20. Utforska potenser fr de hela talen. Finns det ngra
intressanta resultat om dessa potenser?
KAPITEL 6
Talteori
T
alteori r studiet av talen, primrt de hela talen. Ett exempel p
ett mycket enkelt talteoretiskt fynd r att vartannt tal r jmnt och
vartannat r udda; det vill sga att varje heltal n kan skrivas som n = 2k
om det r jmnt respektive n = 2k + 1 om det r udda, dr k r ett heltal.
Enligt en redogrelse av Kline [Kli90a] inleddes studiet av talen redan av
babylonierna
1
, vars storhetstid var mellan cirka 2500300 f.v.t. De hrledde
bland annat resultatet att
1 + 2 + 4 +. . . + 2
n
= 2
n
+ (2
n
1) = 2
n+1
1.
Grekerna fortsatte i sin tur att studera talen under sin storhetstid, vilken
varade mellan cirka 600 f.v.t. till omkring r 300. De mest knda grekis-
ka matematiker och losofer som studerade talteori r kanske Pythagoras
(cirka 585500 f.v.t.), d frmst gemensamt med sina anhngare knda som
Pythagorerna, samt Euklides (omkring 300 f.v.t.). Anledningen till att sa-
ker tillskrivs Pythagorerna r fr att de historiska dokument som nns
tillgngliga inte skiljer p vad som stadkommits av Pythagoras sjlv eller
hans lrljungar, drfr anvnds Pythagoras och Pythagorerna synonymt i
de esta texter (denna inrknad).
Bland Pythagorernas resultat kan nmnas att
n
2
+ (2n + 1) = (n + 1)
2
. (6.1)
Anledningen till detta resultat var att Pythagorerna representerade tal
som prickar i sanden, se gurerna 1 och 2. Tal som kunde representeras
som en triangel kallade de fljaktligen fr triangulra tal och tal som kunde
representeras som kvadrater kallades fr kvadratiska tal. Ett resultat som
fascinerade dem var att varje kvadratiskt tal kunde konstrueras genom ad-
ditionen av tv triangulra tal. Ett annat, det som gavs som (6.1) ovan, r
1
Babylonier r en benmning av de folk som levde i omrdet Mesopotamien, ett
omrde mellan oderna Eufrat och Tigris i vad som idag r Irak [Kli90a].
Figur 1. Talen 1, 3 och 6 representerade med Pythagore-
iska trianglar.
Figur 2. Talen 1, 4 och 9 representerade med Pythagore-
iska kvadrater.
45
46 6. TALTEORI
hur nsta kvadratiska tal ternns; (n+1)
2
r det kvadratiska tal som fljer
n
2
och 2n + 1 r antalet prickar som mste lggas till lngs kanterna.
vning 6.1. Undersk om det nns ett liknande uttryck fr triangulra
tal.
vning 6.2. Fr vilka triangulra tal gller att om tv triangulra tal
adderas r resultatet ett kvadratiskt?
Fermats och Eulers resultat som omnmndes redan i kapitel 1 r ett
mycket intressant talteoretiskt resultat. Det r fortfarande historiskt, dock
modernt i jmfrelse med ovan nmnda resultat. Vi kommer att behandla
Fermats och Eulers satser senare i detta kapitel.
Ytterligare ett resultat, ett olst sdant, r Goldbachs frmodan. Denna
frmodan uttalades av Chrisitan Goldbach (16901794) [OR13] och sger
att varje naturligt tal kan skrivas som en summa av primtal. Begreppet
primtal r centralt fr talteorin och vi kommer strax att terkomma till
dessa.
6.1. Delbarhet
Ett av de centrala begreppen inom talteorin r delbarheten hos de hela
talen. Vi inleder avsnittet med att deniera vad vi menar med detta.
Definition 6.1 (Delbarhet). Vi sger att ett tal a Z delar ett tal
b Z om det nns ett tal q Z sdant att b = qa. Vi skriver d a [ b, vilket
utlses som a delar b. P motsvarande stt har vi a b fr a delar inte b.
Om dessutom a ,= b sgs a vara en kta delare till b.
Exempel 6.1. Vi har att 2 [ 4 eftersom att 4 = 2 2, tv r dessutom
en kta delare. Tre r dremot inte en delare till fyra, s 3 4. Vi har att
3 [ 12 eftersom att 12 = 3 2
2
, tre r dessutom en kta delare till 12. Vi har
har 12 [ 12 eftersom att 12 = 1 12, men 12 r dock inte en kta delare till
12.
vning 6.3. Undersk hur olika tal delar varandra och se om ni nner
ngot samband.
Fr att underltta i kommande bevis ger vi frst ett antal fundamentala
lemman om egenskaperna fr delbarhet.
Lemma 6.1. Om a [ b och b [ c, d mste ven a [ c.
Bevis. Lt b = xa och c = yb, d mste c = yxa och fljaktligen mste
a [ c. Q.E.D.
Lemma 6.2. Om a [ b och a [ c, d mste a [ xb + yc fr alla heltal x
och y.
vning 6.4. Bevisa lemma 6.2.
Lemma 6.3. Om a [ b och a c, d mste a b +c.
vning 6.5. Bevisa lemma 6.3, ett frslag r att tillmpa lemma 6.2.
vning 6.6. Diskutera och frklara varfr 3 [ 6 men 3 5, 3 2 och
3 1 d 6 = 5 + 1 = 4 + 2 = 3 + 2 + 1 = 3 + 3.
Lemma 6.4. Om ab ,= 0 och a [ b och b [ a, d mste a = b eller a = b.
Bevis. Lt a = xb och b = ya, d mste b = yxb. Eftersom att b ,= 0
mste yx = 1 och sledes r x och y antingen bda 1 eller bda 1. Q.E.D.
6.1. DELBARHET 47
Lemma 6.5. Om a [ b, d mste a [ b, a [ b och a [ b.
vning 6.7. Bevisa lemma 6.5.
vning 6.8. Diskutera innebrden av de olika lemmorna.
Nr vi nu r bekanta med begreppet delare ska vi introducera divisions-
algoritmen. Denna ger oss ett verktyg fr att dela heltal med varandra och
r faktiskt den frsta typen av division som introduceras i svensk skola, den
introduceras redan i rskurs 13 i grundskolan.
Sats 6.1 (Divisionsalgoritmen). Lt b vara ett positivt heltal. Fr varje
heltal a nns unika heltal q och r sdana att
a = qb +r,
dr 0 r < b.
Bevis. Eftersom att intervallena
[xb, (x + 1)b) = y Z: xb y < (x + 1)b
fr x Z r disjunkta och deras union utgr hela Z mste det nnas ett
heltal q sdant att qb a < (q + 1)b. Lt r = a qb, d fr vi frn
qb a < (q + 1)b att
r = a qb < (q + 1)b qb = b.
Fr att visa att q och r r unika antar vi att det existerar ngot q
,= q
och ngot r
,= r sdana att a = q
b +r
. D mste
0 = (qb +r) (q
b +r
) = (q q
)b + (r r
)
och sledes
(q q
)b = (r r
) = r
r.
Fljaktligen har vi att b delar r
< b
ger b < r r
och q = q
k=1
n
m
= n
m
+n
m
+ n
m
n
m1
= n
m1
n
m
. (18.1)
Fr varje utfall av delval m2 kan vi f antalet utfall frn (18.1). Det vill
sga
n
m2
k=1
n
m1
n
m
= n
m2
n
m1
n
m
. (18.2)
Vi fortstter p detta vis till vi nr det frsta valet d vi fr
n
1
k=1
n
2
n
3
n
m2
n
m1
n
m
= n
1
n
2
n
m
, (18.3)
vilket visar satsen. Q.E.D.
Frn sats 18.3 fljer direkt ett enkelt resultat som vi ger i detta korol-
larium
1
.
Korollarium 18.1. Ett sammansatt val av m antal delval dr varje
delval har n alternativ, har n
m
antal mjliga utfall.
Bevis. Om vi har ett sammansatt val av m antal delval, dr delval i har
n
i
alternativ. D har vi enligt sats 18.3 att det totala utfallet r n
1
n
2
n
m
.
Men eftersom att alla val hade samma antal alternativ, nmligen n, d fr
vi att n
1
n
2
n
m
= n n n = n
m
. Fljaktligen fr vi n
m
antal mjliga
utfall d vi har m delval dr varje delval har n alternativ. Q.E.D.
18.2. Val av lsenord
Vi ska nu titta p hur detta kan anvndas fr att underska skerheten
hos lsenord. Det nns era angreppsstt fr att skapa lsenord, exempelvis
genom att vlja en kombination av tecken (bokstver, siror och specialtec-
ken) eller att helt enkelt vlja ngra ord. Det gr ocks att skapa lsenord
genom att slumpmssigt vlja ngra ord som kombineras till ett lsenord.
Vi brjar med det frsta fallet, dr vi skapar ett lsenord genom att
kombinera tecken. Om vi ska skapa ett lsenord som r fem tecken lngt och
fr innehlla bokstverna A-Z, bde gemener och versaler, sirorna 0-9 samt
specialtecknen !@.%&, d kan vi se valet av lsenord som ett sammansatt
val bestende av fem delval, dr alternativen fr varje delval r de tilltna
tecknen. Antalet alternativ r sledes 26 2 + 10 + 5 = 67. Eftersom att
alla delval har samma antal alternativ kan vi anvnda korollarium 18.1 fr
1
Det vill sga en fljdsats.
18.2. VAL AV LSENORD 91
att ta reda p antalet mjliga utfall, det vill sga antalet mjliga lsenord.
Antalet lsenord som uppfyller detta krav r 67
5
= 1350125107.
Nu fortstter vi med att titta p fallet med att vlja lsenord genom att
slumpmssigt vlja ngra ord. Vi bestmmer oss fr att anvnda ett lsenord
med fyra slumpmssigt valda ord frn svenska sprket. Enligt Svenska Aka-
demin [SAOL] innehller Svenska Akademins Ordlista ungefr 125000 ord.
Detta ger enligt korollarium 18.1
125000
4
= (2
3
5
6
)
4
= 2
12
5
24
= 2
12
25
12
, (18.4)
det vill sga 244140625000000000000, mjliga lsenord.
Det senaste fallet kan ocks ses ur det frsta fallets perspektiv. Lt oss
anta att medellngden av orden vi vljer frn r fem tecken och att dessa
tecken enbart r gemener. Det innebr att vi fr
(29
5
)
4
= 29
20
= 176994576151109753197786640401 (18.5)
mjliga lsenord.
Hur spelar denna representation ngon roll, vad betyder skillnaden mel-
lan (19.1) och (19.2)? Det frsta som br ppekas r att i (19.2) tas ven
teckenkombinationer som ej r svenska ord med. Detta eftersom att valet
var att vlja fyra uppsttningar av fem tecken. Betydelsen av detta r att
om vi lter en dator bara slumpa fram 20 bokstver (gemener), d kommer
det att resultera i antalet gissningar frn (19.2). Det r inte ens skert att
datorn kommer att hitta rtt lsenord om vi rkade vlja fyra lnga ord
som alla var minst sex bokstver lnga. Detta r ett problem med denna
uppskattning. Om vi dremot har en ordlista som datorn vljer ord frn fr
att kombinera dessa till ett lsenord om fyra ord fr att gissa lsenordet,
d kommer antalet gissningar att maximalt bli (19.1). ven denna metod
krver naturligtvis att orden i lsenordet nns med i ordlistan som datorn
har tillgng till.
KAPITEL 19
Grundlggande lsenordsanalys
19.1. Val av lsenord och en enkel metrik fr lsenordsstyrka
Vi ska nu titta p hur detta kan anvndas fr att underska skerheten
hos lsenord. Vi inleder med att deniera styrkan hos ett lsenord.
Definition 19.1. Styrkan hos ett lsenord av lngd n som vljs frn
ett alfabet A r [A[
n
, det vill sga antalet tecken i vrt alfabet upphjt till
lngden av lsenordet.
Anledningen till att vi vljer denition 19.1 r fr att detta r antalet
mjliga lsenord tillika antalet gissningar som krvs, i vrsta fall, fr att
gissa rtt lsenord. Det vill sga, ju er antal gissningar ett lsenord krver
desto lngre tid tar det att gissa och allts r det skrare. Rent statistiskt
sett kommer antalet gissningar som krvs att vara hlften av vrt mtt
fr lsenordsstyrkan eftersom att i medel kommer vi att behva g igenom
hlften av antalet lsenord.
Det nns era angreppsstt fr att skapa lsenord, exempelvis genom
att vlja en kombination av tecken; d har vi bokstver, siror och speci-
altecken som alfabet. Det gr ocks att skapa lsenord genom att slump-
mssigt vlja ngra ord som kombineras till ett lsenord; i detta fall utgr
ordlistan som vi vljer frn vrt alfabet, exempelvis Svenska Akademiens
ordlista.
Vi brjar med det frsta fallet, dr vi skapar ett lsenord genom att
kombinera tecken.
Exempel 19.1. Om vi ska skapa ett lsenord som r fem tecken lngt
och fr innehlla bokstverna A-Z, bde gemener och versaler, sirorna 0-9
samt specialtecknen !@.%&, d kan vi se att vrt alfabet
A = A, B, . . . , Z, a, b, . . . , z, 0, 1, . . . , 9, !, @, ., %, &.
Vrt alfabet innehller sledes [A[ = 26 2 + 10 + 5 = 67 tecken. Styrkan
hos ett sdant lsenord r fljaktligen 67
5
= 1350125107.
Nu fortstter vi med att titta p fallet med att vlja lsenord genom
att slumpmssigt vlja ngra ord.
Exempel 19.2. Vi bestmmer oss fr att anvnda ett lsenord med
fyra slumpmssigt valda ord frn svenska sprket. Detta ger oss ett alfabet
A = apa, banan, hej, dator, . . .,
dr A allts innehller samtliga ord i Svenska Akademiens ordlista. Enligt
Svenska Akademien innehller ordlistan ungefr 125000 ord [SAOL], detta
ger oss [A[ 125000. Enligt denition 19.1 fr vi d att styrkan fr ett
lsenord av denna typ r
[A[
4
125000
4
= (2
3
5
6
)
4
= 2
12
5
24
= 2
12
25
12
= (225)
12
= 50
12
, (19.1)
det vill sga 244140625000000000000.
93
94 19. GRUNDLGGANDE LSENORDSANALYS
Det senaste fallet kan ocks ses ur det frsta fallets perspektiv. Om vi
tittar p det sista ledet i likheten i (19.1) ser vi direkt att detta skulle exakt
motsvara ett alfabet med 50 tecken och en lsenordslngd av 12 tecken.
19.2. Att angripa lsenord
Den egentliga skillnaden mellan exempel 19.1 och exempel 19.2 r de
mjliga angreppsstten. Exempelvis gr det att angripa exempel 19.2 p ett
stt som gr att dess styrka blir strre.
Fr att kunna kncka ett lsenord mste en gissning kunna testas. Detta
kan gras p era stt. Exempelvis kan vi skicka en gissning till inloggnings-
programmet, exempelvis inloggningsgrnssnittet fr en webbmail. Detta tar
oftast lng tid och gr systemet i frga varse om ett angreppsfrsk. Alterna-
tivet r att vi har tillgng till lsenordsdatabasen och kan direkt testa mot
den. Detta r inte ovanligt [jmf. Cub09; Obe10; Hun11; Clu12]. I mnga
system lagras inte sjlva lsenorden utan ett hashvrde av lsenordet. Det
vi gr fr att testa vr gissning r att vi berknar hashvrdet fr gissning-
en och jmfr detta med det vrde som nns i lsenordsdatabasen. Notera
att eftersom mnga anvndare teranvnder sina lsenord i era system
behver vi inte ndvndigtvis ha lsenordsdatabasen fr det system vi r
intresserade av att angripa, det rcker med att det nns anvndare som har
konton i bda systemen.
Det nns huvudsakligen tre olika former av lsenordsknckning. Dessa
r
rstyrkemetoden (brute-force attack),
ordlistemetoden (dictionary-attack), och
i vrigt kvalicerade gissningar.
Social engineering r egentligen inte en lsenordsknckningsstrategi utan
en generell teknik fr att ta sig frbi tkomstkontroll [And08, s. 18], men
eftersom att tkomstkontroll vanligtvis implementeras med lsenordsskydd
r den vrd att nmna i sammanhanget. Varfr kncka lsenordet nr du
kan be anvndaren att utfra attacken t dig?
Rstyrkemetoden innebr att vi lter ett program g igenom alla mj-
liga teckenkombinationer i vrt alfabet fr att nna lsenordet i frga. Med
denna metod r vi garanterade att nna lsenordet, men det kan dock ta
vldigt lng tid.
Ordlistemetoden r en eektivare metod, med denna metod anvnder
vi en ordlista med de vanligast frekommande lsenorden och vi lter dessa
vara vra gissningar. Det r vanligt att lsenordslistor skapas av publice-
rade hackade databaser, vilket r fallet i analyserna gjorda av Cubrilovic
[Cub09]; Oberheide [Obe10]; Hunt [Hun11]; Cluley [Clu12]. Detta ger frre
antal gissningar och gr sledes snabbare, men om lsenordet vi frsker
att kncka inte nns med i ordlistan kommer vi aldrig att kunna kncka det
med denna metod.
19.2.1. Rstyrkemetoden applicerad p exempel 19.2. Lt oss
anta att medellngden av orden i Svenska Akademiens ordlista r fem tecken
och att dessa tecken enbart r gemener frn det svenska sprket. Det innebr
att exempel 19.2 ger oss en lsenordsstyrka p
29
54
= 29
20
= 176994576151109753197786640401. (19.2)
Med hjlp av logaritmen kan vi enkelt se vilken av dessa som r strst. Vi
har att log(29
20
) 29 medan log(50
12
) 20. Att konstruera lsenordet
utifrn fyra slumpmssigt valda ord r allts mycket starkare sett ur detta
perspektiv.
19.2. ATT ANGRIPA LSENORD 95
Hur spelar denna representation ngon roll, vad betyder skillnaden mel-
lan (19.1) och (19.2)? Det frsta som br ppekas r att i (19.2) tas ven
teckenkombinationer som ej r svenska ord med. Detta eftersom att valet
var att vlja fyra uppsttningar av fem tecken. Betydelsen av detta r att
om vi lter en dator bara slumpa fram 20 bokstver (gemener), d kommer
det att resultera i antalet gissningar frn (19.2). Men det r inte ens skert
att datorn kommer att hitta rtt lsenord om vi rkade vlja fyra lnga ord
som alla var minst sex bokstver lnga. Detta r ett problem med denna
uppskattning.
Om vi dremot anvnder Svenska Akademiens ordlista som alfabet nr
vi tillmpar rstyrkemetoden d kommer antalet gissningar att maximalt
bli de frn (19.1) och vi kommer garanterat att nna lsenordet.
Utifrn detta kan vi konstatera att denna enkla modell r fr enkel fr
att skert kunna resonera om styrkan hos olika typer av lsenord. Vr modell
hr kan anvndas fr att p ett enkelt stt versiktligt jmfra styrkan
hos olika typer av lsenord. Det har dremot forskats fram mer formella
modeller, vilket vi ser i nsta avsnitt, som kan anvndas fr att resonera
kring starka och svaga lsenord.
19.2.2. Eekten av en lsenordspolicy. Den ngot enkla lsenordspo-
licyn som krver minst tta tecken med gemener, versaler och siror utan
krav p ngot antal inom de olika kategorierna ger (26 + 26 + 10)
8
=
62
8
2
48
antal lsenord. Denna policy har inga krav p giltighetstid hos
ett lsenord.
Universitetets lsenordspolicy krver minst tta tecken. Dessa tecken
ska vara minst tre gemener, tre versaler och tv siror dessutom mste
dessa nnas bland de frsta tta tecknen i lsenordet. Detta ger 26
3
26
3
10
2
=
26
6
10
2
2
35
antal mjliga lsenord. Lsenordet mste dessutom bytas var
tredje mnad, vilket i sin tur ger risken fr lsenordssystem dr anvndaren
baserar det nya lsenordet p det gamla.
Resultatet av detta r en reduktion av komplexiteten frn 62
8
ned till
26
6
10
2
. Detta utgr en relativ minskning av komplexiteten med 1
26
6
10
2
62
8
=
0.99986, allts 99.99 procent. Om vi bortser frn journalistformuleringen i
fregende mening och tar det akademiska perspektivet ser vi att den frsta
policyn r cirka 2
13
= 8192 gnger mer komplex.
Oavsett vilken av ovan givna policyer som anvnds fr anvndarna (san-
nolikt) svaga lsenord.
vning 19.1. Frklara hur dessa lsenordspolicyer kan angripas.
vning 19.2. Ge ett frslag p en riktigt bra lsenordspolicy. Glm
inte att en lsenordspolicy r meningsls utan tillhrande analys av den.
19.2.3. Forskning p omrdet. Angreppsmetoder mot och hur an-
vndare vljer lsenord och -fraser r ett aktivt forskningsomrde. Metoder-
na blir alltmer avancerade och exempelvis undersker Bonneau och Shutova
[BS12] hur lingvistiken pverkar valet av lsenord bestendes av era ord.
Bonneau och Shutova nner att anvndarna inte vljer slumpmssiga ord
utan fredrar att vlja dem anpassade efter naturligt sprk. Exempelvis
XKCD:s correct horse battery staple
1
fredras framfr horse correct bat-
tery staple p grund av att det frsta alternativet r mer grammatiskt
korrekt.
Kuo, Romanosky och Cranor [KRC06] gjorde en underskning av hur
anvndare skapar lsenord som r ltta att komma ihg. Kuo, Romanosky
1
URL: http://xkcd.com/936/.
96 19. GRUNDLGGANDE LSENORDSANALYS
och Cranor underskte styrkan hos frasbaserade lsenord. Det vill sga l-
senord som skapas utifrn en mening, exempelvis Googles exempel To be
or not to be, that is the question
2
som ger lsenordet 2bon2btitq. Det
visade sig d i underskningen att denna typ av lsenord r lite skrare n
medellsenordet, men anvndare vljer fortfarande lsenord som r ltta att
gissa.
Komanduri m. . [Kom+11] genomfrde ocks en underskning om l-
senordsstyrka och hur lsenordspolicyer pverkar valet av lsenord. Dessa
anvnder Shannons entropi [Sha48] som metrik fr lsenordsstyrka. Denna
metrik r vl anpassad fr denna typ av underskning, den gr dock inte att
tillmpa utan tillgng till en strre samling av valda lsenord. De fann att
den lsenordspolicy som gav starkast valda lsenord var den enkla policyn
att lsenordet ska vara minst 16 tecken lngt, inga andra krav. Denna policy
visade sig ven vara den som gav lsenord som var enklast att komma ihg.
Utver de ytliga analyserna av lckta lsenordsdatabaser som gjordes
av Cubrilovic [Cub09]; Oberheide [Obe10]; Hunt [Hun11]; Cluley [Clu12] har
Bonneau [Bon12b] gjort en mer formell och djupgende analys. Bonneau har
tittat p lsenorden hos nstan 70 miljoner Yahoo!-anvndare och har d
kunnat underska skillnader mellan olika demograska grupper. I artikeln
utvecklas en metrik fr styrkan hos lsenord, en mer formell och ingende
n den mycket simpla metrik some ges i denition 19.1.
Bonneau [Bon12a] har skrivit sin avhandling om tillvgagngsstt fr
att gissa hemligheter valda av mnniskor, dr lsenord r en sjlvklar sdan
hemlighet. I avhandlingen presenteras en matematisk modell fr mnskligt
val och en metrik fr att modellera motstndskraften mot olika gissnings-
attacker.
2
URL: http://www.lightbluetouchpaper.org/2011/11/08/want-to-create-a-
really-strong-password-dont-ask-google/.
KAPITEL 20
Sannolikhetsteori
. . .
97
KAPITEL 21
Statistikteori
. . .
99
KAPITEL 22
En introduktion till kryptogra
O
rdet kryptografi kommer frn grekiskans (kryptos) och
(graphos) [OED]. Dessa betyder gmd eller hemlig [OED] re-
spektive skrift [OED]. Ordet kryptogra betyder fljaktligen hemlig skrift.
Mnniskan har troligtvis anvnt sig av kryptogra lika lnge som skrift-
sprket har funnits, fr om vi ser till mnniskans historia har det mer eller
mindre alltid funnits hemligheter. Kryptogran har d kunnat utvecklats
under vldigt lng tid. Genom tiderna har det utvecklats mnga kryptoap-
parater, vi ska i denna text bland annat titta p en av de ldsta.
22.1. Terminologi fr kryptosystem
Nr vi pratar om kryptogra anvnds viss terminologi. Vi har en klartext
och ett klartextalfabet. Klartexten
1
r det hemliga meddelande som vi vill
skydda med hjlp av kryptogra. Klartextalfabetet
2
r det alfabet som an-
vnds fr att skriva klartexten.
Sedan har vi ocks en kryptotext och ett kryptoalfabet. Kryptotext
3
r den resulterande texten som vi fr efter att vi krypterat vr klartext.
Kryptoalfabetet
4
r det alfabet som anvnds fr kryptotexten.
I de kryptosystem som nns i denna text anvnds olika delar av det van-
liga alfabetet som klartextalfabet respektive kryptoalfabet. Fr att kunna
skilja p vilket som r vilket vljer vi vra gemener fr klartextalfabetet, ex-
empelvis abc. . . , och vra versaler fr kryptoalfabetet, exempelvis ABC. . . .
Fr att kunna kryptera och avkryptera krvs en hemlig nyckel
5
, det r
allts nyckeln som ska hllas hemlig. Fr att kunna avkryptera ett hemligt
meddelande, en kryptotext, krvs nyckeln. Med fel nyckel ger avkrypte-
ringen bara en text med osammanhngande kombinationer av tecken frn
klartextalfabetet.
22.1.1. Formell denition av ett kryptosystem. Lt oss inleda
med att deniera vad vi menar nr vi skriver kryptosystem. Vi kommer i
denna text att anvnda samma matematiska notation som Stinson [Sti06].
Definition 22.1. Ett kryptosystem r en tupel (T, (, /, c, T) dr fl-
jande gller:
(1) T r en ndlig mngd av mjliga klartexter.
(2) ( r en ndlig mngd av mjliga kryptotexter.
(3) /, kallad nyckelrymden, r en ndlig mngd av mjliga nycklar.
(4) Fr varje k / nns en krypteringsregel e
k
c och motsvarande
avkrypteringsregel d
k
T. Varje e
k
: T ( och d
k
: ( T r
funktioner sdana att d
k
(e
k
(p)) = p fr alla klartexter p T.
1
Engelskans plaintext.
2
Engelskans plaintext alphabet.
3
Engelskans ciphertext.
4
Engelskans ciphertext alphabet.
5
Engelskans secret key.
101
102 22. EN INTRODUKTION TILL KRYPTOGRAFI
Figur 1. En skytale dr texten keiser augustin . . .
skrivits. Bild: [WP].
Det r den sistnmda egenskapen som gr att vi kan kommunicera utan
tvetydigheter. Samma egenskap sger ocks att det r nyckeln k som mste
hllas hemlig fr att vr kommunikation ska hllas sker.
22.2. Permutationschier
En av de tidigare uppnningarna som kunnat tillmpas inom krypto-
gran var ett redskap som heter skytale. Den bestod av en pinne av en given
tjocklek och en lderrem. Lderremmen lindades runt pinnen, och drefter
skrevs det hemliga meddelandet p remmen. Se bild i gur 1. Nr medde-
landet var klart lindades lderremmen av frn pinnen och den frdes till
mottagaren. Fr att kunna lsa texten p lderremmen krvdes att lsa-
ren lindade upp remmen p en pinne av samma tjocklek som anvndes vid
skapandet av meddelandet. Om en pinne av fel diameter anvnds kommer
bokstverna att hamna fel och texten blir olsbar.
Det r dock omdebatterat huruvida denna kryptoapparat uppfanns
med syfte att vara en kryptoapparat eller bara en metod att lagra medde-
landen eller en metod att veriera avsndare [Kel98]. Hur det n r kan den
tillmpas p sdant stt att det blir ett chier, och det chiret tittar vi p
hr.
Det chier som anvnds i kryptoapparaten skytale kan generaliseras
enligt fljande. Frst bestms bredd och hjd fr en rektangel av rutor, dr
en bokstav ska skrivas i varje ruta. Drefter skrivs texten radvis i rutorna i
rektangeln. D kan den krypterade texten lsas kolumnvis istllet fr radvis.
Exempel 22.1. Vi vill kryptera texten En dag i juni. Vi anvnder
radbredden 7 och kolumnhjden 2 och markerar tomma rutor med en punkt.
Vi fr d
en_dag_
i_juni.
Kryptotexten blir d EIN__JDUANGI_.. Fr att avkryptera skriver vi
bara texten i samma rektangel.
EN_DAG_
I_JUNI.
Om vi vill skriva ett lngre meddelande anvnds era rutor.
Denna typ av chier kallas fr transpositions- eller permutationschier
6
.
6
Engelskans transposition cipher eller permutation cipher.
22.2. PERMUTATIONSCHIFFER 103
Tabell 1. Denitionen av permutationen .
i 1 2 3 4 5 6 7 8 9 10 11 12 13 14
(i) 1 8 2 9 3 10 4 11 5 12 6 13 7 14
22.2.1. Formell denition av permutationschier. Formellt de-
nierar vi ett permutationschier enligt fljande.
Definition 22.2 (Permutationschier). Lt n vara ett positivt heltal
och A ett alfabet. Lt ocks T = ( = A
n
och lt / vara alla mjliga
permutationer av mngden 1, . . . , n. Fr en permutation / denierar
vi
e
(p
1
, . . . , p
n
) = (p
(1)
, . . . , p
(n)
),
fr alla klartexter p = (p
1
, . . . , p
n
) T, och
d
(c
1
, . . . , c
n
) = (c
1
(1)
, . . . , c
1
(n)
),
fr alla kryptotexter c = (c
1
, . . . , c
n
) ( och dr
1
r den inverterade
permutationen .
Lt oss illustrera denitionen genom att tillmpa den p exempel 22.1.
Exempel 22.2. Lt n = 72 = 14. Vi lter ocks permutationen /
denieras enligt tabell 1. Fr att kryptera anvnder vi e
c. Om vi lter
p = (p
1
, . . . , p
n
) vara vr klartext en dag i juni, allts p
1
= e, p
2
= n och
s vidare, fr vi att c = e
(p) = (p
1
, p
8
, p
2
, p
9
, . . . , p
7
, p
14
) och sledes att c
r vr kryptotext EIN__JDUANGI_..
Vi avkrypterar p samma stt med hjlp av
1
.
Om vi vill kryptera ett meddelande som r lngre upprepas anvnd-
ningen av permutationen, exempelvis om permutationen i tabell 1 anvnds
krypteras 14 tecken t gngen. Notera dock att en klartext som ska krypteras
med denna metod mste vara jmnt delbar med storleken fr permutatio-
nen: 14, 28, . . . , i fallet ovan. Om detta inte r fallet kan ngon form av
fyllnadstecken lggas till fr att f rtt blockstorlek.
Vi ser ocks ganska omedelbart att antalet mjliga nycklar [ /[ = n!
vxer snabbt med antalet bokstver n i ett block som permuteras.
vning 22.1. Skapa en permutation av lngden n = 5. Anvnd denna
fr att kryptera en klartext som r minst tio tecken lng.
vning 22.2. Byt den resulterande kryptotexten frn fregende upp-
gift med ngon annan. Brja med att frska lista ut permutationen som
anvnts vid skapandet av kryptotexten du ftt. Anvnd drefter rtt per-
mutation och avkryptera meddelandet. Veriera att du kommit fram till
rtt klartext.
vning 22.3. Undersk vad som hnder vid sammansttning av per-
mutationer. Exempelvis om permutationen i tabell 1 appliceras tv gng-
er, eller att tv olika permutationer kombineras: spelar det d ngon roll i
vilken ordning de appliceras?
Fr vidare studier av permutationer, se avsnitt 10.6 och kapitel 21 i
Biggs bok Discrete Mathematics [Big02].
vning 22.4. Frsk att nna en kryptotext c och tv nycklar, k och
k
, sdana att d
k
(c) och d
k
(c) ger tolkningsbara klartexter d permuta-
tionschiret anvnds som kryptosystem.
104 22. EN INTRODUKTION TILL KRYPTOGRAFI
Tabell 2. Tabell fr att kryptera med ett Caesarchier
med nyckeln C.
a b c d e f g h i j k l m n o
C D E F G H I J K L M N O P Q
p q r s t u v w x y z
R S T U V W X Y Z A B
vning 22.5. Varfr r det intressant att nna kryptotexter som be-
roende av nyckel kan avkrypteras till olika lsbara klartexter?
22.3. Caesarchier
Chiret vi ska titta p i detta avsnitt r uppkallat efter den romerske
diktatorn och kejsaren Julius Caesar (49 f.Kr. 44 e.Kr.). ven om chiret
troligtvis uppfunnits tidigare har det ftt detta namn eftersom att Caesar
lr ha anvnt det med nyckeln given i tabell 2 [Sti06]. Chiret r annars
ven knt som ett skiftchier, vi kommer att se varfr.
Chiret anvnder det vanliga alfabetet som bde klartext- och krypto-
alfabete. Fr att kryptera frskjuts kryptoalfabetet mot klartextalfabetet
ett givet antal steg. Det r antalet steg som utgr nyckeln i Caesarchiret.
Drefter krypteras meddelandet genom att varje klartextbokstav motsvaras
av en kryptotextbokstav. Se tabell 2.
Exempel 22.3. Fr att kryptera klartexten hej slr man upp bokstav
fr bokstav i tabell 2. Det vill sga, h J, e G och j L. Kryptotexten
blir allts JGL.
Exempel 22.4. Om vi krypterar ordet skatten blir det UMCVVGP.
22.3.1. Formell denition av Caesarchiret. Lt oss ge fljande
denition av Caesar- eller skiftchiret.
Definition 22.3 (Skiftchier). Lt T = ( = / = Z
29
och lt varje
bokstav i det svenska alfabetet motsvara ett unikt tal i Z
29
. Fr alla k /
denierar vi
e
k
(p) = (p +k) mod 29, och
d
k
(c) = (c k) mod 29,
dr p T r en klartextbokstav och c = e
k
(p) ( r motsvarande krypto-
textbokstav.
Vi frtydligar denitionen med ett exempel.
Exempel 22.5. Lt oss numrera bokstverna i det svenska alfabetet
enligt index med start frn noll. D fr vi att textstrngen hej skulle
kunna motsvaras av tupeln p = (7, 4, 9). Om vi lter nyckeln k / vara 2
fr vi att
c = e
2
(p) = (e
2
(7), e
2
(4), e
2
(9))
= (9, 6, 11).
Om vi verstter tillbaka till bokstver fr vi att c motsvarar strngen
JGL.
Vi ser hr att antalet mjliga nycklar [ /[ = [Z
29
[ = 29 r alldeles fr
f.
22.4. SUBSTITUTIONSCHIFFER 105
Tabell 3. Tabell fr att kryptera med ett substitutions-
chier. Gemener anvnds som klartextalfabete och versaler
som kryptoalfabete.
a b c d e f g h i j k l m n o
C M Q F Z I J P L D N O K D
p q r s t u v w x y z
R S T V Y X W G U H A B
vning 22.6. Frsk att nna en kryptotext c och tv nycklar, k och
k
, sdana att d
k
(c) och d
k
(c) ger tolkningsbara klartexter d Caesarchiret
anvnds som kryptosystem.
vning 22.7. Hur pverkar lngden av kryptotexten i frhllandet till
kryptosystemets blockstorlek, i Caesarchirets fall r blockstorleken en bok-
stav?
22.3.2. Kryptanalys av Caesarchiret. Caesarchiret r inte ett
srskilt skert stt att skydda information. Det r ltt att kncka. Det
nns totalt, om det svenska alfabetet anvnds, 29 olika nycklar som kan
anvndas fr kryptering och avkryptering eftersom att alfabetet maximalt
kan frskjutas lika mnga steg som det nns bokstver
7
. Detta r s f att
det till och med enkelt kan testas fr hand fr att lista ut vilken nyckel som
anvnts. Om det nns tillgng till en dator och man kan programmera, d
r det nnu enklare. Men det gr tack vare sprkets egenskaper att reducera
antalet nycklar som behver testas ytterligare. Titta p exempel 22.4 dr
tt blir VV, det r lngt frn alla bokstver i svenskan som upprepas p
detta stt. I avsnitt 22.4.2 ska vi se ytterligare ett stt att kryptanalysera
Caesarchiret p.
vning 22.8. Lt c och c
= e
k
(m
) = (m
1
+k, m
2
+k, . . . , m
n
+k), dr alla aritmetiska operationer
grs modulo 29. Undersk vad som hnder d vi utfr aritmetik med c och
c
, exempelvis c c
(c) =
1
(c),
dr
1
r den inverterade permutationen , p T r en klartextbokstav
och c = e
(h) =
J, e
(e) = Z, e
(j) = L.
Vrt att notera r att antalet mjliga nycklar [ /[ = [A[! vxer snabbt
med storleken av alfabetet.
vning 22.9. Undersk vad som hnder vid sammansttning av per-
mutationer i detta chier. Exempelvis om permutationen i denition 22.4
appliceras tv gnger, eller att tv olika permutationer kombineras: spelar
det d ngon roll i vilken ordning de appliceras?
vning 22.10. Frsk att nna en kryptotext c och tv nycklar, k och
k
, sdana att d
k
(c) och d
k
(c) ger tolkningsbara klartexter d med detta
kryptosystem.
22.4.2. Kryptanalys av substitutionschier. Fr generella substi-
tutionschier nns det vsentligen er mjliga nycklar n de 29 mjligheter
som fanns fr Caesarchiret, men till kostnad av en lngre nyckel som r
svrare att memorera. Som frsta bokstav i nyckeln kan vi vlja mellan alla
29 bokstverna i alfabetet. Fr varje bokstav vi kan vlja som frsta bokstav
nns det 28 bokstver kvar som d kan vlja mellan. Vi fr sledes
29! = 29 28 27 3 2 1 = 8841761993739701954543616000000
mjliga nycklar
8
, vilket gr det svrt att testa alla mjliga nycklar som vi
kunde gra med Caesarchiret. Vi behver allts en annan metod.
Vi analyserar fljande text: An English text has no Swedish letters. Vi
vill nu berkna sannolikheten att vlja en specik bokstav om vi vljer en
slumpmssig bokstav i denna mening. Det vill sga, vi vljer en slumpmssig
bokstav frn mngden
A = a, n, e, g, l, i, s, h, t, x, o, w, d, r.
8
29! uttalas 29 fakultet.
22.4. SUBSTITUTIONSCHIFFER 107
Tabell 4. Tabell av sannolikhetsfrdelningen fr den sto-
kastiska variabeln X som antar bokstver i meningen
anenglishtexthasnoswedishletters, angiven med tre deci-
malers noggrannhet.
a b c d e f g h i j
Pr(X = ) 0.063 0.000 0.000 0.031 0.156 0.000 0.031 0.094 0.064 0.000
k l m n o p q r s t
Pr(X = ) 0.000 0.063 0.000 0.094 0.031 0.000 0.000 0.031 0.156 0.125
u v w x y z
Pr(X = ) 0.000 0.000 0.031 0.031 0.000 0.000 0.000 0.000 0.000
Tabell 5. Tabell av sannolikhetsfrdelningen fr den sto-
kastiska variabeln Y som antar bokstver i meningen CP-
GPINKUJVGZVJCUPQUYGFKUJNGVVGTU, angiven
med tre decimalers noggrannhet.
A B C D E F G H I J
Pr(Y = ) 0.000 0.000 0.063 0.000 0.000 0.031 0.156 0.000 0.031 0.094
K L M N O P Q R S T
Pr(Y = ) 0.064 0.000 0.000 0.063 0.000 0.094 0.031 0.000 0.000 0.031
U V W X Y Z
Pr(Y = ) 0.156 0.125 0.000 0.000 0.031 0.031 0.000 0.000 0.000
Lt X beteckna en stockastisk variabel som antar vrden ur A. Vi vet frn
sannolikhetslran att sannolikheten Pr(X = a) att vi vljer a och att detta
vrde berknas som
Pr(X = ) =
#
N
,
dr # r antalet frkomster av i texten och N r totala antalet tecken
i texten. Vi kan d berkna att Pr(X = a) = 0.0625 och allts att san-
nolikheten att en slumpvis vald bokstav i texten r ett a r 6.25 procent.
Vrdena av Pr(X = ) fr samtliga vrden av ges i tabell 4.
Om vi krypterar en text med ett substitutionschier, exempelvis ett
Caesarchier, d frndrar vi inte antalet av ngon bokstav, det enda vi
ndrar r bokstavens representation (utseende). Vi krypterar anenglish-
texthasnoswedishletters med ngot oknt substitutionschier och fr d
CPGPINKUJVGZVJCUPQUYGFKUJNGVVGTU.
Vi lter den stokastiska variabeln Y anta bokstver i meningen ovan. San-
nolikhetsfrdelningen fr Y r tabellerad i tabell 5. Om vi tittar i tabellen
ser vi att Pr(X = a) = Pr(Y = C) = Pr(Y = N), d har vi allts tv alter-
nativ som skulle kunna representera a i kryptoalfabetet. Ett bra riktmrke
kan vara att titta p den vanligaste bokstaven, i klartextalfabetet r det
e med Pr(X = e) = 0.156. Det r d mycket mjligt att e G eftersom
att Pr(Y = G) ocks r 0.156. Ytterligare information vi kan anvnda r
terupprepningar hos bokstver, jmfr med exempel 22.4 och 22.7 dr t:et
i ordet skatten upprepar sig. De enda bokstver som upprepar sig i svens-
kan r konsonanter, och bokstverna omkring dessa r oftast vokaler. Av
vad vi sett hittills verkar det som att kryptotexten r krypterad med ett
108 22. EN INTRODUKTION TILL KRYPTOGRAFI
Tabell 6. Tabell av sannolikhetsfrdelningen fr bokst-
ver i det engelska [Sti06] och det svenska [WP] sprket,
den stokastiska variabeln E respektive S, angiven med tre
decimalers noggrannhet.
a b c d e f g h i j
Pr(E = ) 0.082 0.015 0.028 0.043 0.127 0.022 0.020 0.061 0.070 0.002
Pr(S = ) 0.093 0.013 0.013 0.045 0.099 0.020 0.033 0.021 0.051 0.007
k l m n o p q r s t
Pr(E = ) 0.008 0.040 0.024 0.067 0.075 0.019 0.001 0.060 0.063 0.091
Pr(S = ) 0.032 0.052 0.035 0.088 0.041 0.017 0.000 0.083 0.063 0.087
u v w x y z
Pr(E = ) 0.028 0.010 0.023 0.001 0.020 0.001 0.000 0.000 0.000
Pr(S = ) 0.018 0.024 0.000 0.001 0.006 0.000 0.016 0.021 0.015
0
0.02
0.04
0.06
0.08
0.1
0.12
0.14
a b c d e f g h i j k l m n o p q r s t u v w x !
Figur 2. En verblickande graf ver sannolikhetsfrdel-
ningen fr den stokastiska variabeln E. Bild: [WP].
Caesarchier med nyckeln C eftersom att a C och e G r troliga av-
bildningar. Om vi testar att avkryptera enligt Caesarchiret med nyckeln
C ser vi att vr gissning var korrekt.
Nu knde vi till sannolikhetsfunktionen fr klartexten nr vi tittade p
kryptotexten, men hur gr man egentligen nr man inte vet ngonting om
klartexten? Om man har tillrckligt mycket text kommer sannolikhetsfunk-
tionen fr texten att nrma sig sannolikhetsfunktionen fr sprket. D kan
textens sannolikhetsfunktion jmfras fr att frst se vilket sprk texten r
skriven p och drefter kan man hitta nyckeln som vi gjorde ovan. Sanno-
likhetsfunktionen fr sprken svenska och engelska nns givna i tabell 6. En
verblicksbild fr det engelska sprket ges ven i gur 2. Sannolikhetstabel-
ler fr ngra olika sprk nns tillgngliga hos [WP].
vning 22.11. Du jobbar som kryptoanalytiker t Frsvarets Radio-
anstalt (FRA) och fr fljande text p ditt skrivbord:
VJGOCFJCVVGTUVGCRCTVUWPFGTYC
KVKUKPVJGWUWCNRNCEGDGJKPFVJGEWTVCKP
22.5. VIGENRECHIFFER 109
Tabell 7. Vigenrechier med nyckeln ABC.
Klartext a b c d e f g h i j
A A B C D E F G H I J
B B C D E F G H I J K
C C D E F G H I J K L
Klartext k l m n o p q r s t
A K L M N O P Q R S T
B L M N O P Q R S T U
C M N O P Q R S T U V
Klartext u v w x y z
A U V W X Y Z
B V W X Y Z A
C W X Y Z A B
Vad betyder det?
22.5. Vigenrechier
Singh [Sin00] har i sin bok Kodboken gjort en kartlggning ver upp-
komsten och frekomster av olika chier under historiens gng. Enligt ho-
nom lades grunden fr Vigenrechiret under 1400-talet av Leon Battista
Alberti (14041472). Drefter vidareutvecklades hans ider frst av Johan-
nes Trithemius (14621516) och sedan av Giambattista della Porta (1535
1615). Anledningen till att metoden kallas Vigenrechier r enligt honom
fr att den r uppkallad efter Blaise de Vigenre (15231596) som gjorde
det slutgiltiga bidraget till utformningen av chiret. Vigenrechiret anvn-
des lnge, det anvndes till och med av sydstaterna under det amerikanska
inbrdeskriget.
Chiret bestr av upprepad anvndning av Caesarchiret. Som nyckel
anvnds ett ord, fr att vara enkelt att komma ihg, vilket bokstavskombi-
nation som helst kan anvndas. Vid kryptering av en text krypteras frsta
bokstaven i klartexten med ett Caesarchier dr frsta bokstaven i Vigen-
renyckeln anvnds som nyckel. Drefter anvnds den andra, den tredje, och
s vidare. Nr nyckelordets alla bokstver anvnts brjar man om.
Exempel 22.9. Om vi vill kryptera order skatten ska bokstverna i
nyckeln anvndas enligt
skatten
ABCABCA
och vi fr allts SLCTUGN genom att anvnda de olika Caesarchiren i
tabell 7.
Notera skillnaden mellan kryptotexten av ordet skatten i exempel 22.4,
exempel 22.7 och exempel 22.9. Upprepningen av t:et frsvinner nr Vige-
nerechiret anvnds.
22.5.1. Formell denition av Vigenrechiret. Vi gr vidare med
en denition av Vigenrechiret.
Definition 22.5 (Vigenrechier). Lt n vara ett positivt heltal. De-
niera att T = ( = / = (Z
29
)
n
. Fr alla nycklar k = (k
1
, . . . , k
n
) /,
110 22. EN INTRODUKTION TILL KRYPTOGRAFI
klartexter p = (p
1
, . . . , p
n
) T och kryptotexter c = (c
1
, . . . , c
n
) ( de-
nierar vi att
e
k
(p) = (p
1
+k
1
, . . . , p
n
+k
n
), och
d
k
(c) = (c
1
k
1
, . . . , c
n
k
n
),
dr alla operationer utfrs i Z
29
.
Vi noterar att den enda skillnaden mellan denna denition och denition
22.3 r att T, (, / denieras som (Z
29
)
n
istllet fr Z
29
. Lter vi n = 1 r
dessa system identiska.
Om vi anvnder gruppen Z
2
istllet fr Z
29
kommer vi att arbeta med
bitstrngar av lngden n bitar. Detta fr eekten att e
k
(p) = p k dr p
och k r bitstngar av lngd n, det vill sga operationen bitvis exklusivt
eller (XOR). Detta r en fundamental operation i dagens datorer.
vning 22.12. Frsk att nna en kryptotext c som r lika lng som
nyckeln och tv nycklar, k och k
, sdana att d
k
(c) och d
k
(c) ger tolknings-
bara klartexter med detta kryptosystem.
vning 22.13. Om vi ndrar villkoret i fregende vning, vad hnder
d kryptotexten istllet r lngre n nyckeln? Och mer intressant, varfr
blir det s?
22.5.2. Kryptanalys av Vigenrechiret. Eftersom att kryptotex-
ten nu r krypterad med era Caesarnycklar fungerar inte lngre metoden
som vi tog fram i avsnitt 22.4.2. Friedrich Kasiski (18051881) publicerade
r 1863 tekniken hur man fullstndigt kncker chiret utan ngra frkunska-
per [Sti06]. Tidigare metoder, fre Kasiski, krvde att man knde till delar
av klartexten, att man kunde gissa nyckeln eller knde nyckelns lngd.
Med mycket kryptotext r det mjligt att nna upprepningar i kryp-
totexten. Avstndet mellan upprepningarna mste vara en multipel av nyc-
kelns lngd eftersom att samma klartext annars skulle krypteras olika p
grund av att olika delar av nyckeln anvnds. Det vill sga, nyckelns lngd
mste vara en gemensam faktor fr alla avstnd mellan upprepningar. Om
vi tittar p fljande exempel.
Exempel 22.10. Ett Vigenrechier med nyckeln ABCD anvnds fr
att kryptera texten cryptoisshortforcryptography.
Nyckel: ABCDABCDABCDABCDABCDABCDABCD
Klartext: cryptoisshortforcryptography
Kryptotext: CSASTPKVSIQUTGQUCSASTPIUAQJB
Avstndet mellan den upprepade texten CSASTP r 16, frn frsta tecken
till frsta tecken. De mjliga nyckellngderna r allts 16, 8, 4, 2 eller 1.
Genom att nna era sdana upprepningar r det mjligt att reducera
antalet mjliga nyckellngder.
Nr nyckellngden vl r knd, lt oss sga att den r n tecken, d
skrivs kryptotexten med n teckens bredd. Som vi ser i exempel 22.10 hamnar
d alla tecken krypterade med samma Caesarnyckel ovanfr varandra i en
kolumn, se exempel 22.11.
Exempel 22.11. Ett Vigenrechier med nyckeln ABCD anvnds fr
att kryptera texten cryptoisshortforcryptography.
Nyckel: ABCD
Klartext: cryp
tois
shor
22.6. ENGNGSCHIFFER OCH PERFEKT SEKRETESS 111
tfor
cryp
togr
aphy
Kryptotext: CSAS
TPKV
SIQU
TGQU
CSAS
TPIU
AQJB
Eftersom att varje kolumn nu r krypterad endast med ett Caesarchier
kan vi enkelt anvnda kryptanalysmetoderna frn avsnitt 22.3.2 eller avsnitt
22.4.2 fr att lista ut varje Caesarnyckel och drmed hela Vigenrenyckeln.
I exempel 22.11 analyserar vi den frsta kolumnen fr att komma fram till
att den r krypterad med nyckeln A, den andra kolumnen r krypterad
med nyckeln B, och s vidare, och slutligen att Vigenrechirets nyckel r
ABCD.
vning 22.14. Undersk resultatet i vning 22.8, hur tillmpbart r
detta fr Vigenrechiret?
22.6. Engngschier och perfekt sekretess
Vi inleder detta avsnitt med att deniera vad vi menar med perfekt
sekretess
9
. Detta begrepp publicerades frsta gngen av Shannon [Sha49]
r 1949.
Definition 22.6. Ett kryptosystem (T, (, /, c, T) sgs ha perfekt sek-
retess om Pr(P = p [ C = c) = Pr(P = p) fr alla p T och c (. Det vill
sga, sannolikheten a posteriori att en klartext r p om kryptotexten r c
r densamma som sannolikheten a priori att klartexten r p.
Lt oss fortstta med att visa ngra resultat om perfekt sekretess. Vi
inleder med fljande lemma som faststller fr en typ av kryptosystem ng-
ra egenskaper som krvs fr att detta system ska tillhandahlla perfekt
sekretess.
Lemma 22.1. Lt (T, (, /, c, T) vara ett kryptosystem. Om [ /[ =
[ ( [ = [ T [ och varje nyckel anvnds med sannolikheten 1/[ /[ och det fr
varje klartext p T och kryptotext c ( nns en unik nyckel k / sdan
att e
k
(p) = c, d tillhandahller kryptosystemet perfekt sekretess.
Bevis. Antag [ /[ = [ ( [ = [ T [. Vidare antag Pr(K = k) = 1/[ /[ fr
alla nycklar k / och att det fr alla klartexter p T och kryptotexter
c ( nns en nyckel k / sdan att e
k
(p) = c och fr alla nycklar k
,= k
gller att e
k
(x) ,= c.
Lt c ( vara en godtycklig kryptotext. D har vi att
Pr(C = c) =
kK
Pr(K = k) Pr(P = d
k
(c)).
9
Engelskans perfect secrecy.
112 22. EN INTRODUKTION TILL KRYPTOGRAFI
Eftersom att Pr(K = k) = 1/[ /[ fr alla mjliga k / och att nyckeln r
unik fr varje klartextkryptotextpar har vi
Pr(C = c) =
kK
1
[ /[
Pr(P = d
k
(c))
=
1
[ /[
kK
Pr(P = d
k
(c)).
Fr en xerad kryptotext c ( r d
k
(c) en permutation av T. Fljaktligen
fr vi
Pr(C = c) =
1
[ /[
pP
Pr(P = p)
=
1
[ /[
1 =
1
[ /[
.
Vidare har vi att Pr(C = c [ P = p) = Pr(K = k) tack vare att det r
en unik nyckel k / fr varje par av klartext p T och kryptotext c (.
Slutligen fr vi d genom Bayes sats att
Pr(P = p [ C = c) =
Pr(P = p) Pr(C = c [ P = p)
Pr(C = c)
=
Pr(P = p)
1
| K|
1
| K|
= Pr(P = p).
D Pr(P = p [ C = c) = Pr(P = p) har vi perfekt sekretess. Q.E.D.
Vi fortstter med ett mer generellt resultat som visar att kryptosystem
av denna typ som uppfyller perfekt sekretess mste uppfylla dessa egenska-
per.
Sats 22.1 (Shannons sats). Antag att (T, (, /, c, T) r ett kryptosystem
sdant att [ /[ = [ ( [ = [ T [. Detta kryptosystem tillhandahller perfekt
sekretess om och endast om varje nyckel k / anvnds med lika sannolikhet
1/[ /[ och det fr varje klartext p T och kryptotext c ( nns en unik
nyckel k / sdan att e
k
(p) = c.
Bevis. Vi har redan enligt lemma 22.1 att ett kryptosystem med dessa
egenskaper ger perfekt sekretess. Det som terstr att visa r att ett system
som uppfyller perfekt sekretess mste vara ett sdant system.
Lt oss drfr anta [ /[ = [ ( [ = [ T [ och att detta kryptosystem ger
perfekt sekretess, det vill sga Pr(P = p [ C = c) = Pr(P = p). Frn
denitionen av kryptosystem (denition 22.1) har vi att fr alla klartexter
p T och kryptotexter c ( existerar tminstone en nyckel k / sdan
att e
k
(p) = c, det vill sga
[ ( [ = [e
k
(p): k /[ [ /[.
Men enligt vrt antagande om typen av system r [ ( [ = [ /[, allts kan det
inte nnas tv nycklar k / och k
/ sdana att k ,= k
och e
k
(p) = c.
Vidare xera en kryptotext c (, lt T = p
i
: 1 i n dr n =
[ /[ = [ T [ och indexera nycklarna k
i
/ sdana att e
k
i
(p
i
) = c, fr
1 i n. Genom Bayes sats har vi d
Pr(P = p
i
[ C = c) =
Pr(P = p
i
) Pr(C = c [ P = p
i
)
Pr(C = c)
=
Pr(P = p
i
) Pr(K = k
i
)
Pr(C = c)
.
22.6. ENGNGSCHIFFER OCH PERFEKT SEKRETESS 113
Eftersom att vi har perfekt sekretess Pr(P = p
i
[ C = c) fr vi att
Pr(P = p
i
) Pr(K = k
i
)
Pr(C = c)
= Pr(P = p
i
).
och sledes att Pr(K = k
i
) = Pr(C = c). D vi valt ett godtyckligt c mste
K ha ett likformigt sannolikhetsmtt. Fljaktligen mste Pr(K = k
i
) =
1/[ /[ fr alla nyklar k
i
/. Q.E.D.
Det sats 22.1 sger r att om vi anvnder ett Vigenrechier, eller mot-
svarande kryptosystem, med en nyckel som r lika lng som klartexten och
aldrig ngonsin teranvnder nyckeln, d kommer kryptotexten att vara
oknckbar. Lt oss ven ge en mer intuitiv frklaring. Sg att vi har kryp-
terat klartexten p T med nyckeln k / och ftt kryptotexten c (.
Angriparen kan d fr varje mjlig klartext p
T hitta en nyckel k
/
sdan att e
k
(p