Sicherheit in Rechnernetzen - Professur Datenschutz und ...

3.4 Der s 2 -mod-n-Pseudozufallsbitfolgengenerator: Kryptographisch starke Konzelation
(n, x), und evtl. internen Zufallsentscheidungen von W. Heißen also die vier Wurzeln von
x etwa ±w ′ und ±w ′′ , so hätte W als Ausgabe w ′ gehabt, ganz egal ob außen w = ±w ′
oder w = ±w ′′ gewählt wurde, denn das sieht man x nicht an. Da außen zufällig gewählt
wird, treten alle 4 Werte gleichwahrscheinlich als w auf. Mit Wahrscheinlichkeit 1/2 ist
also w ±w ′ was noch zu zeigen war. 41
• Man nimmt an, daß es auch schwer ist, zu testen, ob x ∈ Z ∗ n ein Quadrat ist, aber dies konnte
man bisher nicht beweisen. Man macht daher eine Quadratische-Reste-Annahme: QRA
(„quadratic residuosity assumption“, ähnlich der Faktorisierungsannahme). Man muß dabei
zwei Einschränkungen machen:
1. Es gibt einen schnellen Algorithmus zur Berechnung von Jacobi-Symbolen, auch
wenn p und q nicht bekannt sind (mit dem sog. quadratischen Reziprozitätsgesetz).
Dieser wird im folgenden nicht gebraucht. Es bedeutet aber, daß jemand, dem man
x mit ( x
n ) = −1, vorlegt, sehr wohl bestimmen kann, daß x QRn. Man beschränkt
die Annahme daher auf die x mit ( x
n ) = +1.
2. Man kann für zufälliges x ∈ QRn mit ( x
n ) = +1 natürlich schon durch rein zufälliges
Raten mit Wahrscheinlichkeit 1/2 richtig raten, ob x ∈ QRn. Man verlangt daher nur,
daß kein polynomialer (Rate-) Algorithmus R es wesentlich besser kann.
Sei noch qr das Prädikat, ob etwas ein quadratischer Rest ist, d.h.
Die Annahme lautet damit
⎧
⎪⎨ true, falls x ∈ QRn qr(n, x) ≔ ⎪⎩ false, sonst.
Annahme QRA: Für jeden (probabilistischen) polynomialen Algorithmus R und jedes Polynom
Q gilt: Es existiert ein L, so daß für alle l ≥ L gilt: Wenn p, q als zufällige
Primzahlen der Länge l gewählt werden, n := p · q, und x zufällig unter den Restklas-
41 Ganz formal: Die Annahme, W sei ein „guter“ Wurzelziehalgorithmus, ist gerade der Gegensatz zur Fußnote zu
„Wurzelziehen (mod n) schwer“. Es existiert also doch ein Polynom Q, so daß doch für unendlich viele l gilt:
Wenn p, q als zufällige Primzahlen der Länge l gewählt werden, n := p · q, und x zufällig aus QR n, so gilt
W(W(n, x) ist Wurzel aus x) > 1
. (3.6)
Q(l)
Zeigen müssen wir, daß F der Faktorisierungsannahme widerspricht, d. h. daß es ein Polynom R gibt, so daß für
unendlich viele l gilt: Wenn p, q als zufällige Primzahlen der Länge l gewählt werden und n := p · q, so gilt
W(F (n) = (p; q)) > 1
. (3.7)
R(l)
Dies wird für R := 2Q und dieselben l’s wie in (3.6) gezeigt: Sei ein solches l gegeben. Man entnimmt der
Beschreibung von F , daß dort x zufällig aus QR n gewählt wird (denn jedes dieser x’e hat genau 4 Wurzeln,
kommt also bei 4 der gleichwahrscheinlichen w’s vor). Beim Aufruf von W liegen also alle Voraussetzungen von
(3.6) vor, so daß (3.6) gilt. Nun folgt wie oben im Haupttext, daß in der Hälfte der Fälle w ′ w und somit F
erfolgreich ist. Insgesamt gilt dies also mit Wahrscheinlichkeit l/(2 · Q(l)), wie behauptet. Damit haben wir ganz
formal gezeigt: „Wurzelziehen leicht ⇒ Faktorisieren leicht“.
99