Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

60
A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr
59
A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr
7 (1011) 2 := (–1) 2 •7 ≡ 7;
7 (10110) 2 := 7 2 ≡ 5.
a ≡ b mod n :⇔ n | (a –b).
(Das Zeichen „|“ steht für „ist ein Teiler von“, d.h. x|y :⇔ ∃ z ∈ZZ: y = xz) Es gilt a ≡ b mod n
genau dann, wenn sie bei Division durch n denselben Rest lassen.
Nun definiert man zu jedem a ∈ZZ eine Restklasse a _ := {b ∈ ZZ | a ≡ b mod n}. Mit diesen
Klassen kann man rechnen, weil gilt
• ZZ *
n bezeichnet die multiplikative Gruppe von ZZn, d.h. die Menge aller Elemente, die ein Inverses
haben. (Man kann leicht zeigen, daß das wirklich eine Gruppe ist.) Es gilt
ZZ *
n = {a ∈ ZZn | ggT(a, n) = 1}.
Auch das Berechnen der Inversen ist „leicht“. Man verwendet den sog. erweiterten Euklidschen
Algorithmus. Dieser berechnet allgemein zu a, b ∈ ZZ den ggT und zwei ganze Zahlen u, v mit
u a + v b = ggT(a, b)
Das sei nur an einem Beispiel dargestellt: a = 11, b = 47. Dazu wenden wir zunächst den
normalen Euklidschen Algorithmus an, bei dem iterativ der vorige Divisor durch den vorigen Rest
geteilt wird:
47 = 4 •11 + 3;
11 = 3 • 3 + 2;
3 = 1 • 2 + 1.
Nun beginnt man mit der letzten Zeile, den ggT als Linearkombination des Divisors und
Dividenden der jeweiligen Zeile darzustellen:
1 = 3 – 1•2 (Jetzt 2 durch 3 und 11 ersetzen)
= 3 – 1•(11–3•3) = –11 + 4•3 (Jetzt 3 durch 11 und 47 ersetzen)
= –11 + 4•(47–4•11) = 4•47 – 17•11. (Probe: 4•47= 188, 17•11=187)
a1 ≡ a2 mod n ∧ b1 ≡ b2 mod n ⇒ a1 ±b1 ≡ a2 ±b2 mod n ∧ a1•b1 ≡ a2•b2 mod n,
wie man recht leicht nachrechnet. (D.h. um zwei Klassen a _ , b _ zu addieren o.ä., kann man zwei
beliebige Elemente daraus nehmen und erhält immer dasselbe Ergebnis.) Konkret nimmt man i.
allg. die Vertreter aus {0,…,n–1} und bildet vom Ergebnis den Rest bei Division durch n,
insbesondere ist das die üblichste Darstellung im Rechner. Zum „Rechnen von Hand“ nimmt man
häufig die symmetrische Repräsentation um die Null herum, für ungerade Zahlen n also
{–(n–1)/2, ..., 0, ..., (n–1)/2} und für gerade Zahlen n etwas weniger symmetrisch {–n/2+1, ...,
0, ..., n/2}.
Die meisten üblichen Rechenregeln gelten, genauer ist ZZ n ein kommutativer Ring mit 1.
(Dies kann man, v.a. bezüglich Speicherplatz, noch optimieren, s. Literatur.)
Speziell zum Invertieren von a berechnen wir mit dem erweiterten Euklidschen Algorithmus ganze
Zahlen u, v mit
u a + v n = 1.
Dann gilt offenbar
u a ≡ 1 mod n,
und das heißt gerade, daß u das Inverse von a ist. In unserem Beispiel haben wir also
11 –1 ≡ –17 ≡ 30 mod 47
erhalten (und auch 47 –1 ≡ 4 mod 11 sowie 11 –1 ≡ –17 ≡ 3 mod 4 und 47 –1 ≡ 4 mod 17.) 48
• Addition, Subtraktion und Multiplikation in ZZ n sind „leicht“. Man kann mit den Langzahlen aus
mehreren Rechnerwörtern im Prinzip rechnen wie mit Dezimalzahlen aus mehreren Ziffern in der
Schule. (Ist l die Länge von n, so ist der Aufwand von plus und minus O(l), der von mal O(l2 ) –
egal ob innerhalb der ganzen Zahlen oder mod n gerechnet wird [Lips_81 Seite 202]. Es gibt auch
schnellere Algorithmen, aber für Zahlen der in der Kryptographie üblichen Größenordnungen sind
die Unterschiede noch nicht groß.)
Auch die Exponentiation ab mod n mit einem Exponenten b derselben Größenordnung ist
„leicht“. 47 Sie wird oft gebraucht (z.B. schon oben im Primzahltest). Allerdings würde hier
einfaches b-maliges Multiplizieren zu lange dauern. Man verwendet sog. „square-and-multiply“-
Algorithmen, bei denen der Exponent binärstellenweise abgearbeitet wird; sei b = (bl-1 … b0) 2 die
Binärdarstellung. Hier wird die Berechnung von links skizziert (man kann auch von rechts
anfangen):
Es wird der Reihe nach a (bl–1 ) 2 (b
, a l–1bl–2 ) 2 (b
usw. berechnet. Dabei erhält man aus a l–1bl–2 …
bl–i ) 2 den nächsten Wert, je nach dem nächsten Exponentenbit, als
a (b l–1 b l–2 … b l–i 0) 2 = a 2•(b l–1 b l–2 … b l–i ) 2 = (a (b l–1 b l–2 … b l–i ) 2) 2
3.4.1.2 Elementanzahl von ZZ n * und Zusammenhang mit Exponentiation
Hier sind erste Eigenschaften von ZZ n, bei denen Kenntnis des Geheimnisses (p, q) hilft:
• Die Eulersche φ-Funktion ist definiert als
φ(n) := |{a ∈ {0,…,n–1} | ggT(a, n) = 1}|,
wobei für beliebige ganze Zahlen n ≠ 0 gilt: ggT(0,n) = |n|, vgl. z.B. [Lüne_87 Seite 12].
Es folgt sofort aus den beiden Definitionen, daß
| ZZ *
n | = φ(n).
Speziell für n = p•q mit p, q prim und p≠q kann man φ(n) leicht ausrechnen:
bzw. a (bl–1bl–2 … bl–i1) 2 2•(b
= a l–1bl–2 … bl–i ) 2 +1 (b
= (a l–1bl–2 … bl–i ) 2) 2
• a.
Es wird also pro Binärstelle quadriert (square) und bei einer 1 noch zusätzlich multipliziert
(multiply) – jeweils mod n.
Also ist der Aufwand für eine Exponentiation ab mod n mit einem Exponenten b derselben
Größenordnung höchstens O(l3 ), denn Quadrieren (und ggf. auch Multiplizieren) wird l mal
durchlaufen. Ist der Exponent b kürzer – führende Nullen streichen wir weg –, so braucht für
jedes Bit, das er kürzer ist, einmal weniger quadriert (und ggf. multipliziert) zu werden. Ist |b| die
Länge des Exponenten b, so ist der Aufwand zur Berechnung von ab mod n folglich höchstens
O(l2•|b|). Beispiel: 722 mod 11. 22 ist binär (10110) 2 . Also berechnen wir
7 (1) 2 := 7;
7 (10) 2 := 7 2 ≡ 5;
7 (101) 2 := 5 2 •7 ≡ 3•7 ≡ –1;
48 Damit sieht man auch, daß die obige Gleichung Zn
*
= {a ∈ Zn | ggT(a, n) = 1} stimmt: Gerade haben wir für jedes
a mit ggT(a, n) = 1 tatsächlich ein Inverses bestimmt. Umgekehrt: Wenn es ein Inverses gibt, also a•a –1 ≡ 1 mod
n, gilt n | (a•a –1 –1), also gibt es v mit a•a –1 –1 = v•n bzw. a•a –1 –v•n = 1. Hätten a und n einen gemeinsamen
Teiler d, so würde dieser also auch 1 teilen.
47 Als Anhaltspunkt: Praktisch dauert eine solche Exponentiation, wenn alle drei Parameter 512 bit lang sind, in
Software auf 1997 verfügbaren PCs größenordnungsmäßig 0,1 Sekunde. Es hängt natürlich von der genauen
Rechnerleistung und der Qualität der Implementierung ab.