晴耕雨読

working in the fields on fine days and reading books on rainy days

剰余の乗法の逆元とRSA暗号

内容は剰余の乗法の逆元(モジュラ逆数)についてです。 CTFをやると、RSA暗号の秘密鍵を解く問題で、次のようなWriteupを見たことがあるかと思います。

import libnum

e = 65537
p = 12476682960795779723419989287306239606331347310604553825605263028855086418051086300006278888049896375754096827163121306696417314531666670662341673511789487
q = 10626608485185909739187126602183513204215955466032868268570782358820047751795982373252873333276843831383542360202874683262678664975380865415068554992090483
c = 126028558760741438230925566962334702896791270808414391828894437291120207835997354509410869568173448979784329516392078311028442458946906210498176026685581176779209904039179175088984829699783861789249260322822491502790157863487861171337660785254139478229397872969136220001367017765809130698515063339265165085655

N = p*q
phi = (p-1)*(q-1)
d = libnum.modular.invmod(e, phi)  # 秘密鍵を求める処理
print(libnum.n2s(pow(c, d, N)))

いわゆる、NN が素因数分解で p×qp \times q にできたら秘密鍵 dd は計算できるというやつですが、ここで出てくるメソッド libnum.modular.invmod() は数学では何をしているか説明したいと思います。

まず結論からいうと、invmod(e, phi)は次のように書き換えることができます。

dinvmod(e,ϕ)de1(modϕ)\begin{aligned} d &\equiv \mathrm{invmod}(e, \phi) \\ d &\equiv e^{-1} \pmod{\phi} \end{aligned}

ただし、dd, ee, ϕ\phiは整数です。 ここで剰余演算について詳しく知らない人は「逆数の剰余って計算できるの?」と疑問に思います。 おそらく疑問に思っているところは次の点だと思います。 例えば e=7,ϕ=5e = 7, \phi = 5 として、 \gdef\mod{ {\;\mathrm{mod}\;} }

  • 77 の逆数は 71=177^{-1} = \dfrac{1}{7} (有理数)
  • 7755で割った余りは 7  mod  57 \mod 5 で答えは 22 (剰余演算は整数のみ)

なので、71(mod5)7^{-1} \pmod{5} は一見すると有理数の剰余演算に見えるので、計算できないのではないかと思ってしまいます。


1. 剰余と合同式

まず、数学のおさらいをしていきたいと思います。 C言語などでは % 演算子で剰余を求めることができますが、改めて剰余の定義を数式で定義しておきましょう。

  • 余りの定義

    aabb で割ったときの商 qq と余り rr を次のように表す。ただし、a,ba,b は自然数、q,rq,r は自然数または 00 とする。

    a=bq+r      (0r<b)(1.1)a = bq + r \;\;\;(0 \le r < b) \tag{1.1}
  • 剰余の定義

    整数 a,b,q,ra,b,q,r で、b0b \ne 0 とする。

    a  mod  b=r    a=bq+r      (0r<b)(1.2)a \mod b = r \;\Longleftrightarrow\; a = bq + r \;\;\;(0 \le r < |b|) \tag{1.2}

要するに、自然数の余りの定義を整数に広げたものが剰余(mod\mathrm{mod})です。 例えば 7  mod  (3)7 \mod (-3) の答えは何になるでしょうか? 式(1.2)に沿って置き換えると以下のようになります。

7  mod  (3)=r7=(3)q+r      (0r<3)7 \mod (-3) = r \Longleftrightarrow 7 = (-3) q + r \;\;\;(0 \le r < \lvert -3\rvert)

条件 0r<30 \le r < 3 の下で、整数 q=2,r=1q = -2, r = 1 とすると 7=(3)(2)+17 = (-3)(-2) + 1 となり上式を満たすので、答えは 7  mod  (3)=17 \mod (-3) = 1 となります。 余談ですが、プログラミング言語によって剰余の結果は異なります。

剰余の次は合同式について説明します。

  • 合同式の定義

    a,ba,bcc で割った余りが等しいとき「a,ba,bccとして合同」といい、次のように表す。

    ab(modc)(1.3)a \equiv b \pmod{c} \tag{1.3}

合同式の加算・減算・乗算は一般的な等式と同じです。

a+Cb+C(modN)aCbC(modN)a×Cb×C(modN)\begin{aligned} a + C &\equiv b + C \pmod N \\ a - C &\equiv b - C \pmod N \\ a \times C &\equiv b \times C \pmod N \end{aligned}

ただし、合同式の除算はできる場合とできない場合があります。 除算ができる条件は、割る数 CC と法 NN が互いに素であることCCNN の最大公約数が11であること)です。

a÷Cb÷C(modN)          (CN)a \div C \equiv b \div C \pmod N \;\;\;\;\; (C \bot N)

除算できない例(割る数 33 と法 66 が互いに素ではない):

921(mod6)3≢7(mod6)\begin{aligned} 9 &\equiv 21 \pmod 6 \\ 3 &\not\equiv 7 \pmod 6 \end{aligned}

除算できる例(割る数 33 と法 55 が互いに素):

5121(mod5)177(mod5)\begin{aligned} 51 &\equiv 21 \pmod{5} \\ 17 &\equiv 7 \pmod{5} \end{aligned}

この「割る数」と「法」が互いに素であるという条件は、合同式の除算が可能になるだけではなくて、乗算の逆元の存在を示す十分条件にもなります。


2. 剰余の乗算の逆元

ここからは「割り算をする」を「逆数を掛け算する」と捉えることにします。 そこでまず、乗算の逆元を理解するには単位元と逆元について理解する必要があります。 なお、集合の「元」とは集合の「要素」と同じ意味です。

  • 単位元の定義

    集合 GG の任意の元 aa に対して、以下の式を満たす集合 GG の元 ee を、 演算 \circ における単位元と呼ぶ。

    ae=ea=a(2.1)a \circ e = e \circ a = a \tag{2.1}

例えば、整数全体の集合 Z\mathbb{Z} の加算における単位元は 00 で、乗算における単位元は 11 です。

  • 逆元の定義

    aa を集合 GG の元とし、ee を単位元とする。aa に対して以下の式を満たす bGb \in G を、 演算 \circ に関する aa の逆元と呼ぶ。

    ab=ba=e(2.2)a \circ b = b \circ a = e \tag{2.2}

例えば、整数全体の集合 Z\mathbb{Z} の加算では33の逆元は3-3になりますが、Z\mathbb{Z} の乗算では 4×b=14 \times b = 1 を満たす整数 bb は存在しないので、乗算の逆元は存在しません。 集合を有理数全体の集合 Q\mathbb{Q} にすると44の乗算の逆元は存在し、41=144^{-1} = \frac{1}{4}となります。

ここで、剰余の(modN)\pmod{N} の世界でも逆元が定義できれば一番最初の疑問を解くことができそうです。 つまり 7×b1(mod5)7 \times b \equiv 1 \pmod 5 を満たす整数 bb があるとすれば、b71(mod5)b \equiv 7^{-1} \pmod 5 となるので、bb77 の逆元であると言えます。

なお、(modN)\pmod{N} の世界を集合で表すときは、この集合を剰余環と呼び、

Z/NZ={0,1,2,...,N1}\mathbb{Z}/N\mathbb{Z} = \{0,1,2,...,N-1\}

と書きます。例えば、(mod5)\pmod{5} の世界は集合で次のように表せます。

Z/5Z={0,1,2,3,4}\mathbb{Z}/5\mathbb{Z} = \{0,1,2,3,4\}

剰余環は環の性質を持っています。なので、剰余の加算・乗算は整数の加算・乗算とほとんど変わりません。

  • 群の定義

    以下の公理(axiom)を満たす集合 GG を群(Group)と呼ぶ。

    1. 演算 * に関して閉じている(a,bG,  abG\forall a,b \in G,\; a * b \in G
    2. 任意の元に対して、結合法則が成立する(a,b,cG,  a(bc)=(ab)c\forall a,b,c \in G,\; a*(b*c) = (a*b)*c
    3. 単位元が存在する(aG,eG,  ae=ea=a\forall a \in G, \exists e \in G,\; a*e=e*a=a
    4. 任意の元に対して、逆元が存在する(aG,bG,  ab=ba=e\forall a \in G, \exists b \in G,\; a*b=b*a=e
  • 環の定義

    加法 ++ および乗法 ×\times が定義された以下の公理を満たす集合 RR を環(Ring)と呼ぶ。

    1. 加法の下に可換群(交換則 ab=baa*b = b*a が成立する群)である
    2. 乗法 ×\times に関して閉じている(a,bG,  a×bG\forall a,b \in G,\; a \times b \in G
    3. 任意の元に対して、乗法の結合則が成立(a,b,cG,  a×(b×c)=(a×b)×c\forall a,b,c \in G,\; a\times (b\times c) = (a\times b)\times c
    4. 任意の元a,b,ca,b,cに対して、以下の分配法則が成立する
    a×(b+c)=a×b+a×c(2.3)a \times (b + c) = a \times b + a \times c \tag{2.3} (b+c)×a=b×a+c×a(2.4)(b + c) \times a = b \times a + c \times a \tag{2.4}

では、集合 Z/5Z\mathbb{Z}/5\mathbb{Z} における 2(mod5)2\pmod{5} の逆元である 21(mod5)2^{-1}\pmod{5} とは一体何でしょうか? 集合は Z/5Z={0,1,2,3,4}\mathbb{Z}/5\mathbb{Z} = \{0,1,2,3,4\} なので、全部の値をそれぞれ掛け合わせてみて乗法の単位元の 11 になるか計算してみましょう。

(2  (mod  5))×(0  (mod  5))      =0  (mod  5)0(2  (mod  5))×(1  (mod  5))      =2  (mod  5)2(2  (mod  5))×(2  (mod  5))      =4  (mod  5)4(2  (mod  5))×(3  (mod  5))      =6  (mod  5)1(2  (mod  5))×(4  (mod  5))      =8  (mod  5)3\begin{aligned} (2 \;(\mathrm{mod}\; 5)) \times (0 \;(\mathrm{mod}\; 5)) \;\;\; &= 0 \;(\mathrm{mod}\; 5) &\equiv 0 \\ (2 \;(\mathrm{mod}\; 5)) \times (1 \;(\mathrm{mod}\; 5)) \;\;\; &= 2 \;(\mathrm{mod}\; 5) &\equiv 2 \\ (2 \;(\mathrm{mod}\; 5)) \times (2 \;(\mathrm{mod}\; 5)) \;\;\; &= 4 \;(\mathrm{mod}\; 5) &\equiv 4 \\ (2 \;(\mathrm{mod}\; 5)) \times (3 \;(\mathrm{mod}\; 5)) \;\;\; &= 6 \;(\mathrm{mod}\; 5) &\equiv 1 \\ (2 \;(\mathrm{mod}\; 5)) \times (4 \;(\mathrm{mod}\; 5)) \;\;\; &= 8 \;(\mathrm{mod}\; 5) &\equiv 3 \\ \end{aligned}

Z/5Z\mathbb{Z}/5\mathbb{Z} では2233を掛けると乗法の単位元 11 となることから、 2(mod5)2 \pmod 5 の逆元は 3(mod5)3 \pmod 5 であることがわかりました。

21  (mod  5)=3  (mod  5)3\begin{aligned} 2^{-1} \;(\mathrm{mod}\; 5) &= 3 \;(\mathrm{mod}\; 5) \\ &\equiv 3 \end{aligned}

227755を法として合同なので、2277の逆元も同じになります。

71  (mod  5)=(7  (mod  5))1=(2  (mod  5))1=21  (mod  5)=3  (mod  5)3\begin{aligned} 7^{-1} \;(\mathrm{mod}\; 5) &= (7 \;(\mathrm{mod}\; 5))^{-1} \\ &= (2 \;(\mathrm{mod}\; 5))^{-1} \\ &= 2^{-1} \;(\mathrm{mod}\; 5) \\ &= 3 \;(\mathrm{mod}\; 5) \\ &\equiv 3 \end{aligned}

では、00は何を掛けても00になるので除くとして、集合 Z/5Z\mathbb{Z}/5\mathbb{Z} から00を除いた集合 (Z/5Z)(\mathbb{Z}/5\mathbb{Z})^* の任意の元について、乗算の逆元は存在すると言えるのでしょうか? Z/4Z\mathbb{Z}/4\mathbb{Z}Z/5Z\mathbb{Z}/5\mathbb{Z} についてそれぞれの乗算の結果をまとめた表を以下に示します。この表のことを演算表と呼び、乗算についての演算表を乗算表と呼んだりします。

逆元が存在するかを調べるために、乗算の結果が1なら赤色にしている

そうすると、乗算表からわかるように (Z/5Z)(\mathbb{Z}/5\mathbb{Z})^* の全ての元には逆元が存在する(つまり乗算したら11になる元が存在する)ことが確認できますが、(Z/4Z)(\mathbb{Z}/4\mathbb{Z})^* の元である 22 は任意の元と掛け合わせても11にならないので逆元は存在しないことになります。

それでは、どのような条件を満たす時に (Z/NZ)(\mathbb{Z}/N\mathbb{Z})^* の全ての元に逆元が存在すると言えるのでしょうか? ここで合同式の除算ができる条件を思い出すと「割る数 CC と法 NN が互いに素であること」でした。 つまり、任意の元で除算ができる、すなわち逆元が存在することを示すには、 集合 (Z/NZ)={1,2,,N1}(\mathbb{Z}/N\mathbb{Z})^* = \{1,2,\ldots,N-1\} のそれぞれの元 1,2,,N11,2,\ldots,N-1 が法 NN と互いに素であることが条件になります。 この条件を満たす法 NN は素数しかないのです。

pp を素数とすると、剰余環 Z/pZ\mathbb{Z}/p\mathbb{Z} の全ての元について逆元が存在します。 この集合をといい、素数 pp を法とする剰余環 Z/pZ\mathbb{Z}/p\mathbb{Z}有限体と呼びます。

Fp=Z/pZ          (p  is a prime)\mathbb{F}_p = \mathbb{Z}/p\mathbb{Z} \;\;\;\;\; (p \;\text{is a prime})
  • 体の定義

    加法 ++ および乗法 ×\times が定義された以下の公理を満たす集合 KK を体(field)と呼ぶ。

    1. 加法の下に可換群である
    2. KK から加法の単位元 00 を除いた集合 K=K{0}K^* = K \setminus \{0\} は乗法に関して可換群である
    3. 分配法則が成立する

ちなみに、RSA暗号に関して言えば有限体は全く出てこないので知らなくても問題ないですが、せっかく剰余環について書いたので有限体にも触れておこうかなと思った次第です。 ここまでで剰余の乗算の逆元について説明してきたので、次はいよいよRSAの話をしたいと思います。


3. RSA暗号方式の鍵生成

逆元を求めるために毎回乗算表を作っていたら大変ですよね。 実際、秘密鍵を作るときは大きな数(例えば600桁)を使うので、乗算表を作っていたら日が暮れてしまいます。 では、RSAの鍵生成ではどのように秘密鍵を作っているか確認してみましょう。 RSA暗号のアルゴリズムは次のように定義されています。

  • RSA:鍵生成

    1. 二つの大きな素数 p,qp, q を適切に決める。
    2. N=pqN = pq を求める。
    3. オイラーの関数 φ(N)=(p1)(q1)\varphi(N) = (p-1)(q-1) を計算する。
    4. 整数 eeφ(N)\varphi(N) 未満の正の整数で、 φ(N)\varphi(N) と互いに素な数とする。
    5. 公開鍵を n,en, e とする。
    6. 秘密鍵 dd を、φ(N)\varphi(N) を法とした ee の逆数(ed1(modφ(N))ed \equiv 1 \pmod{\varphi(N)})とする。dd は拡張ユークリッドの互除法を使えば容易に求まる。
  • RSA:暗号化

    mm を平文空間 Zn={0,1,2,,n1}\mathbb{Z}_n = \{0,1,2,\ldots,n-1\} の元とすると、暗号文 cc は次の式で求まる。

    c=me  mod  n(3.1)c = m^e \mod n \tag{3.1}
  • RSA:復号

    cc を暗号文とすると、平文 mm は次の式で求まる。

    m=cd  mod  n(3.2)m = c^d \mod n \tag{3.2}

鍵生成のところで ed1(modφ(N))ed \equiv 1 \pmod{\varphi(N)} と書かれているのは ed1(modφ(N))e \equiv d^{-1} \pmod{\varphi(N)} と同じ式です。 φ(N)\varphi(N) とはオイラーの関数で、11 から NN までの自然数のうち NN と互いに素なものの個数を返す関数のことです。例えば、NN が素数なら 11 から N1N-1 までの自然数の全てと互いに素なので、φ(N)=N1\varphi(N) = N-1となります。また、オイラーの関数は互いに素な数の積に関して乗法的であるので、NN が二つの素数の合成数 N=pqN = pq の場合は φ(N)=(p1)(q1)\varphi(N) = (p-1)(q-1) が成り立ちます。

RSA暗号の安全性は素因数分解の困難性に依拠しています。「依拠する」とは暗号の解読それらの問題の困難さとの間に厳密な等価性が成り立つという意味ではなく、ただ頼っているという意味です。 NN の素因数を知らない解読者は、法 φ(N)\varphi(N) を知らないので、ユークリッドの互除法を使えず、秘密鍵は求められません。しかし今後コンピュータの性能が向上して NN の素因数分解が現実的な時間でできるようになったとき、簡単に NN は素因数分解されて秘密鍵 dd は計算で求められてしまっては困ります。 なので、今使っているRSAのビット数が心配という方は、CRYPTRECが公表している『CRYPTREC暗号リスト(電子政府推奨暗号リスト)』に一度目を通しておくと良いです。

RSAの暗号化して復号したときの結果が等しくなることはオイラーの定理 aφ(n)1(modn)a^{\varphi(n)} \equiv 1 \pmod{n} を使うと簡単に説明できます(ただし、m<nm < n とする)。

m=cd  mod  n=(me  mod  n)d  mod  n=med  mod  n=m1+kφ(n)  mod  n=m1mkφ(n)  mod  n=m1  mod  n=m\begin{aligned} m &= c^d \mod n = (m^e \mod n)^d \mod n \\ &= m^{ed} \mod n = m^{1 + k \varphi(n)} \mod n \\ &= m^1 \cdot{} m^{k\varphi(n)} \mod n = m \cdot{} 1 \mod n = m \end{aligned}

話を戻して、秘密鍵 dd は拡張ユークリッドの互除法を使うと(乗算表を使わなくても)簡単に求めることができます。それでは次は拡張ユークリッドの互除法の話でもしたいと思います。


4. 拡張ユークリッドの互除法による invmod

冒頭に示したメソッド invmod は拡張ユークリッドの互除法を使うことで簡単に求めることができます。 そこで、ユークリッドの互除法と拡張ユークリッドの互除法について説明したいと思います。

4.1. ユークリッドの互除法

拡張ユークリッドの互除法の前に、ユークリッドの互除法の説明を簡単にしておきます。 ユークリッドの互除法とは最大公約数を求めるアルゴリズムです。 余りの定義(1.1)より、aabb で割った商 qq と余り rr とすると、aaa=bq+ra = bq + r のように表すことができます。

r=0r = 0 のときは明らかに aabb の最大公約数 gcd(a,b)\gcd(a,b)bb となります。 r0r \ne 0 のときは r=abqr = a - bq と表せるので、gcd(a,b)\gcd(a,b)rr の約数です。なので gcd(b,r)gcd(a,b)\gcd(b,r) \le \gcd(a,b) となります。 一方、a=bq+ra = bq + r と表されるから、aagcd(b,r)\gcd(b,r) の約数です。なので gcd(b,r)gcd(a,b)\gcd(b,r) \ge \gcd(a, b) となります。 したがって、gcd(b,r)=gcd(a,b)\gcd(b,r) = \gcd(a,b) となるので、gcd(b,r)\gcd(b,r) を求めることは gcd(a,b)\gcd(a,b) を求めることと同じということになります。 (a,b)(a,b) よりも (b,r)(b,r) の方が小さい整数の組なので、当然 gcd(a,b)\gcd(a,b) よりも gcd(b,r)\gcd(b,r) を求める方が簡単です。説明を端折りますが、この処理を繰り返していって r=0r = 0 となったときの bb が求めるべき最大公約数となります。 最大公約数を求めるプログラムをPythonで書くと下のようになります。

def gcd(a, b):
    while b != 0:
        a, b = b, a % b
    return a

4.2. 拡張ユークリッドの互除法

ユークリッドの互除法の応用として、拡張ユークリッドの互除法というアルゴリズムがあります。 拡張ユークリッドの互除法は a,ba,b を正の整数とすると、次のベズーの等式を満たす適当な整数 x,yx,y が存在するので、この x,yx,y を求めるアルゴリズムです。

ax+by=gcd(a,b)ax + by = \gcd(a,b)

ユークリッドの互除法において、その kk 回目の除算の商を qkq_k、余りを rkr_k とすると、ユークリッドの互除法は以下のように書くことができます。ただし rk=0r_k = 0 になったときにユークリッドの互除法は終了します。

r1=aq1br2=bq2r1r3=r1q3r2r4=r2q4r3    rk=rk1qkrk1    \begin{aligned} r_1 &= a - q_1 b \\ r_2 &= b - q_2 r_1 \\ r_3 &= r_1 - q_3 r_2 \\ r_4 &= r_2 - q_4 r_3 \\ &\;\;\vdots \\ r_k &= r_{k-1} - q_k r_{k-1} \\ &\;\;\vdots \end{aligned}

この式の右辺にある rk2,rk1r_{k-2}, r_{k-1} を上の式で消去していくと、rkr_k は整数を係数とする aabb の線型結合で表すことができます。 例えば r1r_1r2r_2 について aabb の式に書き換えると次のようになります。

r1=1a+(q1)br2=bq2r1=(q2)a+(1+q2q1)b\begin{aligned} r_1 &= 1 \cdot{} a + (- q_1) b \\ r_2 &= b - q_2 r_1 = (-q_2)a + (1 + q_2 q_1)b \\ \end{aligned}

ri=xia+yibr_i = x_i a + y_i b と表すことにすると、上式より x1=1,  y1=q1,  x2=q2,  y2=1+q2q1x_1 = 1,\; y_1 = -q_1,\; x_2 = -q_2,\; y2 = 1 + q_2 q_1 となります。そこで、i<ki < k を満たす ii について rir_i を表すと

rk=rk2qkrk1=(xk2a+yk2b)qk(xk1a+yk1b)=(xk2qkxk1)a+(yk2qkyk1)b=xka+ykb\begin{aligned} r_k &= r_{k-2} - q_k r_{k-1} \\ &= (x_{k-2} a + y_{k-2} b) - q_k (x_{k-1} a + y_{k-1} b) \\ &= (x_{k-2} - q_k x_{k-1}) a + (y_{k-2} - q_k y_{k-1}) b \\ &= x_k a + y_k b \end{aligned}

より、xk,ykx_k, y_k は次式になります。

xk=xk2qkxk1yk=yk2qkyk1\begin{aligned} x_k &= x_{k-2} - q_k x_{k-1} \\ y_k &= y_{k-2} - q_k y_{k-1} \end{aligned}

初期条件を x0=1,y0=0,x0=0,x1=1x_0 = 1, y_0 = 0, x_0 = 0, x_1 = 1 としてユークリッドの互除法でその都度求まる qkq_k を使って xi,yix_i, y_i を計算していけば、gcd(a,b)=rn=xna+ynb\gcd(a,b) = r_n = x_n a + y_n b を満たす xn,ynx_n, y_n を求めることができます。そして、このときの xn,ynx_n, y_n が求めるべき x,yx, y となります。

拡張ユークリッド互助法のアルゴリズムをPythonで書くと次の通りです。 この関数の返り値は (最大公約数gcd(a,b)\gcd(a,b)の値, 整数xx, 整数yy) です。

def xgcd(a, b):
    x0, y0, x1, y1 = 1, 0, 0, 1
    while b != 0:
        q, a, b = a // b, b, a % b
        x0, x1 = x1, x0 - q * x1
        y0, y1 = y1, y0 - q * y1
    return a, x0, y0

4.3. 剰余環の乗法逆元

剰余の乗法の逆元(invmod)は拡張ユークリッドの互除法を使って求めます。 もし aa には法 mm の乗法逆元が存在するなら、二つの整数 a,ma, m の最大公約数 gcd(a,m)\gcd(a,m)11 になります。すなわち、拡張ユークリッドの互除法で出てきたベズーの等式を使うと、次式が成り立ちます。

ax+my=gcd(a,m)=1ax + my = \gcd(a,m) = 1

書き換えると

ax=1+(y)max = 1 + (-y)m

つまり

ax1(modm)ax \equiv 1 \pmod{m}

となるので、拡張ユークリッドの互除法を計算することで aa の乗法逆元 xx を求めることができます。

Pythonで書くと下のようになります。

def invmod(a, m):
    g, x, y = xgcd(a, m)
    if g != 1:
        raise Exception('modular inverse does not exist')
    else:
        return x % m

試しに計算させてみましょう。 手で計算した 71  (mod  5)7^{-1} \;(\mathrm{mod}\; 5) や、Z/4Z\mathbb{Z}/4\mathbb{Z} の乗算表から逆元が存在しないことがわかっている 21  (mod  4)2^{-1} \;(\mathrm{mod}\; 4) を試してみます。

>>> invmod(7, 5)
3
>>> invmod(2, 4)
Exception: modular inverse does not exist

正しく計算できているようです。

という訳で invmod もとい、剰余の乗法の逆元を求める話はこの辺で終わりにしたいと思います。 最後までお付き合い頂きありがとうございました。