Kurzskript zur elementaren Zahlentheorie und RSA - Institut für ...

Universität Paderborn
Fakultät für Elektrotechnik, Informatik und Mathematik
Institut für Mathematik
Elementare Zahlentheorie
&
RSA
Eine kurze Wiederholung im Rahmen der Vorlesung
“Mathematik für Informatiker I”
(Wintersemester 2006/2007)
Kai Gehrs
gehrs@mupad.de
Paderborn, 14. Februar 2007

Inhaltsverzeichnis
Vorbemerkung 2
1 Grundlagen 2
1.1 “Repeated Squaring” (Effizientes Potenzieren) . . . . . . . . . . 2
1.2 Der Euklidische Algorithmus . . . . . . . . . . . . . . . . . . . . 3
1.3 Restklassenringe und modulares Rechnen . . . . . . . . . . . . . 6
2 Die Eulersche ϕ-Funktion 9
2.1 Einige gruppentheoretische Resultate . . . . . . . . . . . . . . . 9
2.1.1 Der Satz von Lagrange. . . . . . . . . . . . . . . . . . . . 10
2.1.2 Der Satz von Euler. . . . . . . . . . . . . . . . . . . . . . 10
2.1.3 Der kleine Satz von Fermat. . . . . . . . . . . . . . . . . 10
3 Das RSA-Verfahren 11
4 Ausgewählte Übungsaufgaben mit Lösungen 13
4.1 Aufgabe 16: (Primfaktoren) . . . . . . . . . . . . . . . . . . . . 14
4.2 Aufgabe 17: (Restklassen modulo Primpotenzen) . . . . . . . . 14
4.3 Aufgabe 19: (Einheiten, Nullteiler und Partitionen) . . . . . . . 15
4.4 Aufgabe 20: (Satz von Wilson) . . . . . . . . . . . . . . . . . . 15
4.5 Aufgabe 23: (Modulares Rechnen) . . . . . . . . . . . . . . . . 16
Literaturverzeichnis 17

2 1 GRUNDLAGEN
Vorbemerkung
Bei den vorliegenden Notizen handelt es sich um einen Auszug aus einem Skript
über elementare Kryptographie. Diese Notizen wurden also nicht explizit für die
Vorlesung “Mathematik für Informatiker I” geschrieben, sondern entstammen
einem teilweise allgemeineren Kontext.
Die hier angeführten Argumentationen und Beweise zur Begründung der
Korrektheit bestimmter Beispiele und/oder Resultate sind zum Teil von
Prof. Dr. Henning Krause im Rahmen der Vorlesung in der vorliegenden
Form oder Notation nicht behandelt worden. Ferner erheben diese Notizen
keinen Anspruch darauf, Algorithmen wie etwas den Erweiterten Euklidischen
Algorithmus oder das Wiederholte Quadriere (“Repeated Squaring”) exakt
in der Form darzustellen, wie die Resultate auf den Folien der Vorlesung von
Prof. Dr. Henning Krause zu finden sind. Daher ist das Studium des Inhalts
dieses Kurzskripts auch nicht relevant für die anstehenden Prüfungsklausuren
im eigentlichen Sinne.
Es ist lediglich so, dass die vorliegenden Notizen als Ergänzung zu der Zusatzübung
Elementare Zahlentheorie vom 13.02.2007 gedacht sind. Wer also
gerne noch einmal bestimmte Resultate in Form eines Fließtextes wiederholen
möchte, kann dieses Kurzskript (auch unter Auslassen der hier angegebenen Beweise)
noch einmal zu Wiederholungszwecken nutzen. Fassen Sie diese Notizen
also einfach als optionales Bonusmaterial auf.
1 Grundlagen
1.1 “Repeated Squaring” (Effizientes Potenzieren)
In einer Reihe kryptographischer Verfahren ist es von essentieller Wichtigkeit,
dass man effizient auch große Potenzen von Gruppenelementen berechnen kann.
Das in diesem Abschnitt kurz vorgestellte Verfahren kann universell in einer
beliebigen Gruppe G verwendet werden, um x k für ein Element x ∈ G und k ∈ N
zu berechnen. Aus diesem Grund geben wir den Algorithmus zur Berechnung
solcher Potenzen auch zunächst in sehr allgemeiner Form an.
Algorithmus 1.1. (“Repeated Squaring”) Sei G eine Gruppe, x ∈ G und
k ∈ N. Ferner sei k = ∑ n−1
i=0 k i · 2 i die Binärdarstellung der Zahl k mit k n−1 = 1.
(1) Setze y := x.

1.2 Der Euklidische Algorithmus 3
(2) Für i = n − 2, . . . , 0 berechne:
y := y 2
Ist k i = 1, so berechne zusätzlich y := y · x.
(3) Gebe y = x k aus.
Anstatt eines Korrektheitsbeweises, bei dem man die Gültigkeit einer entsprechend
geschickt gewählten Invariante nachweist, betrachten wir ein kleines Beispiel:
Beispiel 1.2. Sei G eine Gruppe und x ∈ G. Wir wollen x 20 mit Hilfe von
Algorithmus 1.1 berechnen. Es ist k 4 k 3 k 2 k 1 k 0 = 10100 die Binärdarstellung der
Zahl 20. Zuerst setzen wir y := x. Wegen k 3 = 0 setzen wir y := y 2 = x 2 und
verzichten auf eine zusätzliche Multiplikation mit x. Im nächsten Schritt ist k 2 =
1 zu betrachten. Wir berechnen also zuerst y := y 2 = x 4 und dann zusätzlich
y := y · x = x 5 . Wegen k 1 = k 0 = 0 sind die nächsten beiden auszuführenden
Schritte y := y 2 = x 10 und zuletzt ist der Wert von y ein weiteres Mal zu
quadrieren: y := y 2 = x 20 .
1.2 Der Euklidische Algorithmus
Zur Erinnerung stellen wir diesem Abschnitt die folgenden beiden elementaren
Definitionen voran:
Definition 1.3. Sei R ein Ring. Dann heißt a ein Teiler von b, a | b, falls es ein
r ∈ R gibt mit b = r · a.
Definition 1.4. Sei R ein euklidischer Ring (d.h. ein Ring, in dem man zwei
Elemente per Division mit Rest durcheinander dividieren kann).
(i) Dann heißt d ∈ R ein größter gemeinsamer Teiler von a, b ∈ R, d =
ggT(a, b), falls d | a und d | b und für alle s ∈ R mit s | a und s | b stets
s | d folgt.
(ii) Ein Element k ∈ R heißt kleinstes gemeinsames Vielfaches von a und b,
k = kgV(a, b), falls a | k und b | k und für alle l ∈ R mit a | l und b | l
stets k | l folgt.
Für R = Z sprechen wir häufig von “dem” größten gemeinsamen Teiler und
meinen damit den eindeutig bestimmten positiven größten gemeinsamen Teiler
zweier ganzer Zahlen. Gleiches gilt für das kleinste gemeinsame Vielfache zweier
ganzer Zahlen. Im folgenden Lemma fassen wir ohne Beweis einige der wesentlichen
Eigenschaften des größten gemeinsamen Teilers ganzer Zahlen zusammen:

4 1 GRUNDLAGEN
Lemma 1.5. Seien a, b, c ∈ Z. Dann gilt:
(i) ggT(a, b) = |a| genau dann, wenn a | b.
(ii) ggT(a, a) = ggT(a, 0) = |a| und ggT(a, 1) = 1.
(iii) Kommutativität: ggT(a, b) = ggT(b, a).
(iv) Assoziativität: ggT(a, ggT(b, c)) = ggT(ggT(a, b), c).
(v) Distributivität: ggT(c · a, c · b) = |c| · ggT(a, b).
(vi) Gilt |a| = |b|, so folgt stets ggT(a, c) = ggT(b, c).
(vii) Ist g = ggT(a, b), g > 0, so existieren s, t ∈ Z mit g = s · a + t · b.
Die Darstellung Lemma 1.5 (vii) liefert der Erweiterte Euklidische Algorithmus,
der in einem beliebigen euklidischen Ring durchgeführt werden kann. Wir geben
ihn der Einfachheit halber nur für ganze Zahlen an. Die hier vorgestellte Version
kann aber leicht in eine Version für Polynome “umgeschrieben” werden, wenn
man die entsprechenden Ungleichungen als Ungleichungen über den Grad der
betrachteten Polynome interpretiert.
Vorab aber noch ein kleines Lemma, das uns beim Beweis der Korrektheit des
Algorithmus sehr nützlich sein wird:
Lemma 1.6. Seien a, b ∈ Z. Dann gilt: ggT(a, b) = ggT(a mod b, b).
Beweis. Division mit Rest liefert a = q · b + (a mod b). Es gilt: ggT(a, b) teilt
sowohl a als auch b, also auch a mod b = a − q · b und damit ggT(a mod b, b).
Umgekehrt teilt ggT(a mod b, b) sowohl a mod b als auch b und damit auch a = q·
b + (a mod b). Wir erhalten also ggT(a, b) | ggT(a mod b, b) und ggT(a mod b, b) |
ggT(a, b). Daraus folgt die Behauptung.
Algorithmus 1.7. (Erweiterter Euklidischer Algorithmus (EEA)) Seien
a, b ∈ Z mit |a| ≥ |b|.
(1) Setze r 0 := a, r 1 := b, s 0 := 1, s 1 := 0, t 0 := 0, t 1 := 1 und i := 1.
(2) Wiederhole den folgenden Schritt, bis r l+1 = 0 gilt für ein l ∈ N 0 :
Berechne q i := r i−1 quot r i als ganzzahligen Quotienten von r i−1 und
r i .
r i+1 := r i−1 − q i · r i (d.h. r i+1 = r i−1 mod r i )

1.2 Der Euklidische Algorithmus 5
s i+1 := s i−1 − q i · s i
t i+1 := t i−1 − q i · t i
i := i + 1
(3) Gebe r l , s l und t l aus.
Dann ist r l ein größter gemeinsamer Teiler von a und b und es gilt r l = s l·a+t l·b.
Beweis. (Korrektheit) Der Erweiterte Euklidische Algorithmus 1.7 terminiert,
denn es gilt für r i mit i ≥ 2 die Ungleichung 0 ≤ r i = r i−2 mod r i−1 < r i−1 ≤ a.
Damit bilden die Reste r i eine streng monoton fallende Folge ganzer Zahlen, die
nach unten durch 0 beschränkt ist, d.h. der Algorithmus muss terminieren. Wir
zeigen nun, dass für alle i gilt:
s i · a + t i · b = r i .
Für i = 0 und i = 1 ist die Behauptung klar per Definition von r 0 , r 1 , s 0 , s 1 , t 0 , t 1 .
Sei nun i ≥ 2. Dann folgt per Induktion:
s i · a + t i · b = (s i−2 − q i−1 · s i−1 ) · a + (t i−2 − q i−1 · t i−1 ) · b
= (s i−2 · a + t i−2 · b) − (q i−1 · s i−1 · a + q i−1 · t i−1 · b)
= r i−2 − q i−1 · (s i−1 · a + t i−1 · b)
= r i−2 − q i−1 · r i−1
= r i
Damit folgt für i = l mit s l · a + t l · b = r l die behauptete Darstellung. Es bleibt
zu zeigen, dass r l in der Tat ein größter gemeinsamer Teiler von a und b ist. Mit
Lemma 1.6 und a = (a quot b) · b + (a mod b) = q 1 · b + r 2 folgt ggT(a, b) =
ggT(a mod b, b) = ggT(r 2 , b) = ggT(r 2 , r 1 ). Wegen r i+1 = r i−1 mod r i folgt
ggT(r i−1 , r i ) = ggT(r i−1 mod r i , r i ) = ggT(r i+1 , r i ). Wegen r l+1 = 0 und
r l = ggT(r l+1 , r l ) folgt per Rekursion r l = ggT(r 2 , r 1 ) = ggT(a, b).
Wir betrachten ein Beispiel:
Beispiel 1.8. Seien a = 126 und b = 35. zunächst definieren wir r 0 := 126,
r 1 := 35, s 0 := 1, s 1 := 0, t 0 := 0 und t 1 := 1. Dann folgen wir der Vorschrift
aus 1.7:
i = 1
q 1 = r 0 quot r 1 = 126 quot 35 = 3
r 2 = r 0 − q 1 · r 1 = 126 − 3 · 35 = 21
s 2 = s 0 − q 1 · s 1 = 1 − 3 · 0 = 1
t 2 = t 0 − q 1 · t 1 = 0 − 3 · 1 = −3

6 1 GRUNDLAGEN
i = 2
q 2 = r 1 quot r 2 = 35 quot 21 = 1
r 3 = r 1 − q 2 · r 2 = 35 − 1 · 21 = 14
s 3 = s 1 − q 2 · s 2 = 0 − 1 · 1 = −1
t 3 = t 1 − q 2 · t 2 = 1 − 1 · (−3) = 4
i = 3
q 3 = r 2 quot r 3 = 21 quot 16 = 1
r 4 = r 2 − q 3 · r 3 = 21 − 1 · 14 = 7
s 4 = s 2 − q 3 · s 3 = 1 − 1 · (−1) = 2
t 4 = t 2 − q 3 · t 3 = −3 − 1 · 4 = −7
i = 4
q 4 = r 3 quot r 4 = 14 quot 7 = 2
r 5 = r 3 − q 4 · r 4 = 14 − 2 · 7 = 0
Damit folgt: ggT(126, 35) = r 4 = 7 und 7 = 2 · 126 + (−7) · 35.
1.3 Restklassenringe und modulares Rechnen
Restklassenringe ganzer Zahlen sind für uns die algebraische Struktur, in der
wir später in kryptographischen Verfahren rechnen wollen. Grundlegend ist die
folgende Definition.
Bemerkung und Definition 1.9. Sei N ∈ N, N ≥ 2. Auf dem Ring der
ganzen Zahlen Z definieren wir die Relation ∼ N vermöge
a ∼ N b :⇐⇒ N | a − b.
Die Relation ∼ N ist eine Äquivalenzrelation, so dass wir die Äquivalenzklassen
nach ∼ N betrachten können. Die Klasse von a ∈ Z modulo N definieren wir als
a mod N := [a] N := {b ∈ Z | b ∼ N a}.

1.3 Restklassenringe und modulares Rechnen 7
Als Repräsentanten für a mod N wählen wir immer die kleinste nicht-negative
ganze Zahl z mit 0 ≤ z ≤ N − 1 aus der Menge {b ∈ Z : N | (b − a)}. Die
Menge der Äquivalenzklassen nach der Äquivalenzrelation ∼ N bezeichnen wir
mit Z N . Wir definieren für a 1 mod N, a 2 mod N ∈ Z N eine Addition und eine
Multiplikation wie folgt:
a 1 mod N + a 2 mod N = (a 1 + a 2 ) mod N,
a 1 mod N · a 2 mod N = (a 1 · a 2 ) mod N.
Mit der so definierten Addition und Multiplikation wird Z N zu einem kommutativen
Ring mit Nullelement 0 mod N und Einselement 1 mod N, der als Restklassenring
von Z modulo N bezeichnet wird. Z N hat N Elemente. Ein bezüglich
der Multiplikation invertierbares Element a mod N bezeichnen wir als Einheit
modulo N. Die Menge aller Einheiten von Z N wird mit Z × N bezeichnet.
Beispiel 1.10. Sei N = 6. Dann besteht Z N = Z 6 aus den Restklassen 0 mod 6,
1 mod 6, 2 mod 6, 3 mod 6, 4 mod 6 und 5 mod 6. Es gilt:
2 mod 6 + 3 mod 6 = (2 + 3) mod 6 = 5 mod 6,
4 mod 6 + 5 mod 6 = (4 + 5) mod 6 = 9 mod 6 = 3 mod 6,
2 mod 6 · 2 mod 6 = (2 · 2) mod 6 = 4 mod 6,
2 mod 6 · 3 mod 6 = (2 · 3) mod 6 = 6 mod 6 = 0 mod 6,
5 mod 6 · 5 mod 6 = (5 · 5) mod 6 = 25 mod 6 = 1 mod 6.
Wir wollen uns nun ein wenig genauer mit dem Ring Z N = {k mod N | k ∈
{0, . . . , N −1}} für ein N ∈ N beschäftigen. Unter anderem im Rahmen des RSA
Verfahrens 3.1 sind wir an den Einheiten Z × N
modulo einer Zahl N interessiert.
Es gilt:
Lemma 1.11. Für N ∈ N gilt Z × N
Worten erhalten wir:
= {k mod N | ggT(k, N) = 1}. Mit anderen
k ist invertierbar modulo N genau dann, wenn ggT(k, N) = 1.
Beweis. Es sei r ∈ Z × N . Dann gibt es ein l ∈ Z× N
mit r · l ≡ 1 mod N, d.h. r · l =
m · N + 1 für ein m ∈ N. Folglich ist r · l − m · N = 1 und ggT(r, N) | 1. Es folgt
ggT(r, N) = 1. Umgekehrt liefert für r mod N ∈ {k mod N | ggT(k, N) = 1}
der Erweiterte Euklidische Algorithmus 1.7 die Darstellung 1 = s · r + t · N mit
s, t ∈ Z. Reduktion modulo N liefert s mod N als Inverses von r mod N.

8 1 GRUNDLAGEN
Bevor wir den Algorithmus explizit angeben, betrachten wir noch ein kleines
Beispiel:
Beispiel 1.12. Gesucht sei das modulare Inverse von 23 mod 110. Der Erweiterte
Euklidische Algorithmus 1.7 liefert uns die Darstellung
Reduktion modulo 110 liefert also
1 = −43 · 23 + 9 · 110.
1 mod 110 ≡ (−43 mod 110) · (23 mod 110) + (9 mod 110) · (110 mod 110)
} {{ }
=0 mod 110
≡ (−43 mod 110) · (23 mod 110)
≡ (67 mod 110) · (23 mod 110),
also gilt (23 mod 110) −1 ≡ (67 mod 110).
Der Beweis des obigen Lemmas ist konstruktiv und liefert uns unmittelbar den
folgenden Algorithmus zur Berechnung modularer Inverser. In Wirklichkeit ist
der folgende Algorithmus ein wenig allgemeiner formuliert. Als Eingabe werden
k, N ∈ N erwartet. Ausgabe ist dann entweder das modulare Inverse von k
modulo N, falls k invertierbar modulo N ist, oder “k ist nicht invertierbar
modulo N”.
Algorithmus 1.13. (Berechnung des modularen Inversen) Sei N ∈ N
und k ∈ Z N .
(1) Berechne mit Hilfe des Erweiterten Euklidischen Algorithmus 1.7 die Darstellung
g = ggT(k, N) = s · k + t · N.
(2) Ist g = 1, so gebe s mod N aus. Andernfalls gebe “k ist nicht invertierbar
modulo N” aus.
Die Korrektheit des Algorithmus folgt aus Lemma 1.11.
Als weitere Folgerung aus den bisherigen Ergebnissen erhalten wir:
Korollar 1.14. Der Ring Z N ist ein Körper genau dann, wenn N eine Primzahl
ist.

2 Die Eulersche ϕ-Funktion und einige ihrer
Eigenschaften
Wir wollen in diesem Abschnitt die Eulersche ϕ-Funktion einführen und einige
der Eigenschaften dieser Funktion beweisen, die für uns im kryptographischen
Anwednungskontext von Nutzen sein werden.
Definition 2.1. Sei N ∈ N. Dann ist die Eulersche ϕ-Funktion definiert durch
ϕ(N) := #{1 ≤ x ≤ N | ggT(x, N) = 1}.
Lemma 2.2. Für jede Primzahl p ∈ N gilt: ϕ(p) = p − 1.
Beweis. Es gilt {1 ≤ x ≤ p | ggT(x, p) = 1} = {1, . . . , p − 1}. Dies zeigt die
Behauptung.
Lemma 2.3. Sei p ∈ N eine Primzahl und e ∈ N. Dann gilt: ϕ(p e ) = (p − 1) ·
p e−1 .
Beweis. In der Menge {1, . . . , p e } sind genau p e−1 Zahlen Vielfache von p. Folglich
gilt ϕ(p e ) = p e − p e−1 = (p − 1) · p e−1 .
Satz 2.4. Sei N = p e 1
1 · . . . · p er
r
Primpotenzen. Dann gilt:
die Zerlegung von N in paarweise teilerfremde
ϕ(N) = (p 1 − 1) · p e 1−1
1 · . . . · (p r − 1) · p er−1
r
Beweis. Nach Lemma 2.3 gilt: ϕ(p e i
i ) = (p i − 1) · p e i−1
i für 1 ≤ i ≤ r. Da die zu
N teilerfremden Elemente aus {1, . . . , N} gerade den invertierbaren Elementen
modulo N entsprechen, liefert uns der Chinesische Restsatz wegen Z × ∼ N = Z × p e 1
. . .×Z × p er
r
die Behauptung, denn ϕ(N) = #Z × N = ∏ r
i=1 #Z× p e i
i
2.1 Einige gruppentheoretische Resultate
= ∏ r
i=1 ϕ(pe i
i ).
Wir wollen in diesem Abschnitt die für uns wichtigsten gruppentheoretischen
Resultate zusammenfassen. Die meisten Beweise lassen wir einfach weg und
verweisen auf die im Anhang zitierte Literatur.
Zur Erinnerung:
Definition 2.5. Die Anzahl der Elemente einer Gruppe G bezeichnen wir stets
mit #G und nennen #G die Ordnung von G. G heißt eine endliche Gruppe,
wenn #G < ∞.
9
1
×

10 2 DIE EULERSCHE ϕ-FUNKTION
2.1.1 Der Satz von Lagrange.
Der Satz von Lagrange macht eine wichtige Aussage über die möglichen Ordnungen
von Untergruppen einer gegebenen endlichen Gruppe.
Satz 2.6. (Satz von Lagrange) Sei G eine endliche Gruppe. Dann gilt:
(i) Die Ordnung jeder Untergruppe H von G teilt die Ordnung von G,
d.h. #H | #G.
(ii) Für jedes Element x ∈ G gilt: x #G = 1.
Dabei bezeichnet 1 in (ii) das neutrale Element bezüglich der Verknüpfung auf
G.
2.1.2 Der Satz von Euler.
Wir erinnern uns, dass für N ∈ N der Wert der Eulerschen ϕ-Funktion an
der Stelle N gerade die Anzahl der zu N teilerfremden Zahlen aus {1, . . . , N}
ist. Die in Z N bezüglich der Multiplikation invertierbaren Elemente sind genau
durch diejenigen Restklassen gegeben, deren Repräsentanten teilerfremd zu N
sind. Folglich besteht die Gruppe Z × N
aus genau ϕ(N) Elementen. Mit anderen
Worten:
Lemma 2.7. Für N ∈ N gilt: #Z × N = ϕ(N).
Unmittelbar aus diesem Resultat und dem Satz von Lagrange 2.6 folgt das
nächste Theorem, das auf Leonard Euler zurückgeht:
Satz 2.8. (Satz von Euler) Für jedes x ∈ Z × N gilt xϕ(N) = 1.
= ϕ(N) und dem Satz von La-
Beweis. Die Behautpung folgt sofort aus #Z × N
grange 2.6 (ii).
2.1.3 Der kleine Satz von Fermat.
Aus dem Satz von Euler wiederum ergibt sich unmittelbar das nächste Resultat:
Satz 2.9. (Kleiner Satz von Fermat) Sei p eine Primzahl. Dann gilt für alle
x ∈ Z p \ {0}: x p−1 = 1.
Beweis. Es ist ϕ(p) = p − 1 nach 2.2. Da p prim ist, gilt Z × p = Z p \ {0}. Nach
dem Satz von Euler 2.8 erhalten wir daher für alle x ≠ 0: 1 = x ϕ(p) = x p−1 .

11
3 Das RSA-Verfahren
Sender und Empfänger werden traditioneller Weise stets mit den Namen Alice
und Bob versehen. Alice und Bob kommunizieren über einen offenen Kanal
(z.B. das Internet) und Bob möchte Alice eine Nachricht übersenden derart,
dass eine dritte, böswillige Person Eve, die den Kanal abhört, die Nachricht
nicht verstehen kann. Die bezeichnende Vorgehensweise ist dann die folgende:
Bob möchte Alice eine Nachricht x schicken. Dazu benutzt Bob eine Verschlüsselungsfunktion
enc K (Encryption), mit deren Hilfe er ein y := enc K (x) erzeugt.
K bezeichne dabei den Schlüssel, den Bob zum Verschlüsseln der Nachricht benutzt.
Dann schickt Bob y an Alice und (vorausgesetzt die Nachricht y wird
bei der bloßen Übermittlung nicht verfälscht) Alice kann dann mit Hilfe einer
Funktion dec S (Decryption) aus y den Klartext x = dec S (y) berechnen, wobei
S ihren privaten Schlüssel zum Entschlüsseln von Nachrichten bezeichnet.
Schematisch ergibt sich also der folgende Ablauf:
Bob berechnet y = enc K (x)
Bob sendet y
−−−−−−−→
Eve hört mit
Alice berechnet x = dec S (y)
Folgende Voraussetzungen sollte man vernünftigerweise verlangen:
1. Bob kann die Nachricht effizient (d.h. in polynomieller Zeit in der Codierungslänge
der Eingabe für seine Verschlüsselungsfunktion dec K ) verschlüsseln
2. Eve kann den Wert von y = enc K (x) zwar abhören, sollte jedoch nicht
in der Lage sein, ohne Kenntnis der Funktion dec S (die von Alice geheim
gehalten werden muss – genauer gesagt muss Alice ihren privaten Schlüssel
S geheim halten) x aus y in polynomieller Zeit berechnen zu können
3. Alice kann mit Hilfe von dec S effizient aus y den Wert x berechnen
Das RSA-Kryptosystem ist nach seinen Erfindern R. L. Rivest, A. Shamir und
L. M. Adleman benannt. Es handelt sich bei diesem Verfahren um ein asymmetrisches
oder Public-Key-Kryptosystem. Der Ablauf des RSA-Verfahrens wird
wieder in unserem Model als Kommunikation zwischen Alice und Bob formuliert.
Wenn Bob an Alice eine mit RSA verschlüsselte Nachricht, die wir uns
als natürliche Zahl vorstellen, schicken möchte gehen beide nach dem folgenden
Protokoll vor:
Protokoll 3.1. (Das RSA-Verfahren) Gegeben sei ein Sicherheitsparameter
n ∈ N. Bevor Alice und Bob miteinander kommunizieren können, trifft Alice die
folgenden Vorbereitungen:

12 3 DAS RSA-VERFAHREN
(1) Alice wählt zufällig zwei verschiedene Primzahlen p und q im Intervall
[⌈2 n−1
2 ⌉, ⌊2 n 2 ⌋].
(2) Sie berechnet N := p · q und ϕ(N) = (p − 1) · (q − 1).
(3) Dann wählt sie e ∈ R {2, . . . , ϕ(N) − 2} mit ggT(e, ϕ(N)) = 1.
(4) Alice bestimmt d mit e · d ≡ 1 mod ϕ(N).
(5) Schließlich veröffentlicht sie K := (N, e) als ihren öffentlichen Schlüssel
und hält das Paar S := (N, d) geheim.
(6) Die Werte p, q und ϕ(N) löscht Alice.
Angenommen Bob möchte an Alice die Nachricht x mit x ∈ {0, . . . , N − 1}
schicken:
(7) Bob berechnet y := x e mod N und schickt y an Alice.
Alice kann dann die Nachricht y wie folgt entschlüsseln:
(8) Alice berechnet x ⋆ := y d mod N.
Dann gilt x ⋆ = x.
Beweis. (Korrektheit) Wir müssen x ⋆ = x zeigen. Ist x ∈ Z × N
, so folgt die
Behauptung unmittelbar aus dem Satz von Euler 2.8 und e · d ≡ 1 mod ϕ(N),
denn ist e · d − 1 = k · ϕ(N) für ein k ∈ N, so folgt: x ⋆ ≡ x e·d ≡ x e·d−1 ·
x ≡ (x ϕ(N) ) k · x ≡ 1 · x ≡ x mod N. Für ein allgemeines x ∈ Z N gilt ebenso
x e·d ≡ x e·d−1 · x ≡ x k·ϕ(N) · x ≡ x k·(p−1)·(q−1) · x mod N. Wir erhalten also x e·d ≡
(x (p−1) ) k·(q−1) · x ≡ x mod p und x e·d ≡ (x (q−1) ) k·(p−1) · x ≡ x mod q, wobei die
Identitäten für x ≡ 0 mod p und x ≡ 0 mod q trivialerweise richtig sind und für
x ≢ 0 mod p und x ≢ 0 mod q aus dem kleinen Satz von Fermat 2.9 folgen. Da
p und q teilerfremd sind und beide x e·d − x teilen, folgt auch N | x e·d − x, also
x e·d − x ≡ 0 mod N und damit die Behauptung.
Beispiel 3.2. Betrachten wir die Primzahlen
p = 13 und q = 7,
so ergibt sich in der Notation von oben:
N = 91.

13
Wegen ϕ(p · q) = (p − 1) · (q − 1) folgt
Geben wir uns
ϕ(N) = 72.
e = 47
als Bestandteil des öffentlichen Schlüssels vor, so ergibt sich der private Schlüssel
d als modulares Inverses von e modulo ϕ(N), also als Inverses von 47 modulo 72.
Zur Berechnung von d verwenden wir daher den Erweiterten Euklidischen Algorithmus
1.7. Dieser liefert bei Eingabe von a = 72 und b = 47 die Elemente
1, −15, 23, d.h.
1 = ggT(72, 47) = (−15) · 72 + 23 · 47.
Reduktion der gesamten Gleichung modulo ϕ(N) = 72 liefert
also
d.h.
1 mod 72 ≡ (−15 mod 72) · (72 mod 72) +(23 mod 72) · (47 mod 72),
} {{ }
≡0 mod 72
ist der gesuchte private Schlüssel.
1 mod 72 ≡ (23 mod 72) · (47 mod 72),
d = 23
Nehmen wir nun an, wir hätten die verschlüsselte Botschaft
x ⋆ = 32
empfangen und sollten diese entschlüssel. Dann berechnen wir
x ≡ (x ⋆ ) d ≡ (32 mod 91) 23 ≡ 37 mod 91
mit Hilfe des Algorithmus 1.1 für “Repeated Squaring” (die Binärdarstellung
von d für das Repeated Squaring ist 1 0 1 1 1).
4 Ausgewählte Übungsaufgaben mit Lösungen
In der Nummerierung der Aufgaben auf den schriftlichen Übungsblättern diskutieren
wir noch einmal einige ausgewählte Aufgaben zu dem Themenkomplex
“Elementare Zahlentheorie”:

14 4 AUSGEWÄHLTE ÜBUNGSAUFGABEN MIT LÖSUNGEN
4.1 Aufgabe 16: (Primfaktoren)
Es sei n ∈ N keine Primzahl. Zeigen Sie, dass es eine Primzahl p gibt mit p | n
und p ≤ ⌈ √ n ⌉. Dabei bezeichnet ⌈a⌉ für eine beliebige reelle Zahl a die kleinste
ganze Zahl g, so dass g ≥ a gilt (“Aufrunden” auf die nächst größere ganze Zahl).
Musterlösung:
Da n keine Primzahl ist, gibt es a und b mit 1 < a, b < n und n = a · b. Nach dem
Satz über die Primfaktorzerlegung gibt es Primzahlen p 1 und p 2 mit p 1 | a und p 2 | b.
Wären p 1 , p 2 > ⌈ √ n ⌉, so folgte ⌈ √ n ⌉ 2 < p 1 · p 2 ≤ a · b = n. Andererseits ist aber
n 2 ≤ ⌈ √ n ⌉ 2 , was einen Widerspruch ergibt. Also ist p 1 oder p 2 kleiner oder gleich
⌈ √ n ⌉.
4.2 Aufgabe 17: (Restklassen modulo Primpotenzen)
Es sei p eine Primzahl und k ∈ N. Wir betrachten die Menge der Restklassen
Z p k. Zu a ∈ {0, 1, 2, . . . , p k − 1} sei
α 0 + α 1 · p + . . . + α k−1 · p k−1
die p-adische Darstellung der Zahl a (also insbesondere α i ∈ {0, 1, 2, . . . , p − 1}
für alle i). Man nennt a eine Einheit modulo p k , wenn a und p k teilerfremd sind,
d.h. wenn ggT(a, p k ) = 1 gilt.
(i) Zeigen Sie, dass a genau dann eine Einheit modulo p k ist, wenn α 0 ≠ 0
gilt.
(ii) Wie viele solcher Einheiten gibt es in Z p k? Begründen Sie Ihre Antwort
schlüssig.
Musterlösung:
(i) Es ist a genau dann eine Einheit modulo p, wenn ggT(a, p) ≥ p. Dies ist aber
genau dann der Fall, wenn für a = α 0 + α 1 · p + . . . + α k−1 · p k−1 gilt, dass α 0 ≠ 0 ist.
(ii) Nach Teil (i) wissen wir, dass a genau dann eine Einheit modulo p ist, wenn
α 0 ≠ 0 gilt. Die Zahlen α 1 , . . . , α k−1 aus der p-adischen Zahldarstellung von a können
wir also beliebig aus der Menge {0, 1, 2, . . . , p − 1} wählen und erhalten mit
α 0 + α 1 · p + . . . + α k−1 · p k−1
immer eine Einheit modulo p, sofern nur α 0 ≠ 0 gilt. Daher gibt es genau
(p − 1) · p · . . . · p = (p − 1) · p k−1
} {{ }
(k−1)-mal

4.3 Aufgabe 19: (Einheiten, Nullteiler und Partitionen) 15
Einheiten. Diese Zahl stimmt natürlich mit ϕ(p k ) überein, d.h. mit anderen Worten
haben wir gezeigt, dass gilt:
ϕ(p k ) = (p − 1) · p k−1 .
4.3 Aufgabe 19: (Einheiten, Nullteiler und Partitionen)
Sei m ∈ N, m ≥ 2. Es sei ferner N (Z m ) die Menge aller Nullteiler von Z m .
Zeigen Sie, dass {N (Z m ), Z × m} eine Partition von Z m ist.
Musterlösung:
Wäre Z × m ∩ N (Z m ) ≠ ∅, so gäbe es ein Element [a] m ∈ Z m mit [a] m ∈ Z × m und
[a] m ∈ N (Z m ). Dann ist dieses Element verschieden von [0] m , da [0] m /∈ Z × m. Wegen
[a] m ∈ Z × m gibt es ein [b] m ∈ Z × m mit [1] m = [a] m · [b] m . Ferner gibt es wegen [a] m ∈
N (Z m ) ein [n] m ∈ N (Z m ), [n] m ≠ [0] m , mit 0 = [n] m · [a] m . Multiplikation von
[1] m = [a] m · [b] m mit [n] m liefert:
[n] m = [n] m · [a] m · [b] m = ([n] m · [a] m
} {{ }
=[0] m
) · [b] m = [0] m .
Widerspruch zu [n] m ≠ [0] m . Also folgt Z × m ∩ N (Z m ) = ∅.
Um zu zeigen, dass Z m = Z × m ∪ N (Z m ) gilt, genügt es zu zeigen, dass jedes bezüglich
der Multiplikation in Z m nicht invertierbare Element ein Nullteiler von Z m ist. Sei
[x] m ∈ Z m \ Z × m, 0 ≤ x ≤ m − 1. Ist [x] m = [0] m , so ist [x] m ein Nullteiler. Ist [x] m ≠
[0] m , so gibt es einen echten Teiler g > 1 mit g | x und g | m (wäre ggT(x, m) = 1, so
wäre [x] m ja invertierbar, also ein Element von Z × m). Dann gibt es k, l ∈ {2, . . . , m−1}
mit m = k · g und x = l · g. Es folgt:
k · x ≡ m k · (l · g) ≡ m (k · g) · l ≡
}{{} m m · l ≡ m 0.
=m
Wegen k ∈ {2, . . . , m − 1}, folgt [k] m ≠ [0] m . Damit ist aber [x] m ein Nullteiler von
Z m . Dies zeigt die Behauptung.
4.4 Aufgabe 20: (Satz von Wilson)
Sei p eine Primzahl.
(i) Bestimmen Sie alle x ∈ {0, 1, 2, . . . , p − 1} für die p ein Teiler von x 2 − 1
ist.

16 4 AUSGEWÄHLTE ÜBUNGSAUFGABEN MIT LÖSUNGEN
(ii) Verwenden Sie (i), um zu zeigen, dass für eine beliebige Primzahl p stets
gilt:
1 + 1 · 2 · 3 · . . . · (p − 1) ≡ p 0.
Musterlösung:
(i) Sei x ∈ {1, . . . , p−1}. Wir müssen zeigen, dass aus x 2 ≡ p 1 bereits folgt: x = 1 oder
x = p−1. Es gilt x 2 ≡ p 1 genau dann, wenn x 2 −1 ≡ p 0 genau dann, wenn p ein Teiler
von x 2 − 1 = (x − 1) · (x + 1) ist. Wegen der Eindeutigkeit der Primfaktorzerlegung
und da p eine Primzahl ist, muss p ein Teiler von x − 1 oder x + 1 sein. Wegen
x ∈ {1, . . . , p − 1} ist dies nur möglich für x = 1 oder x = p − 1. Also sind nur [1] p
und [p − 1] p in Z × p bezüglich der Multiplikation zu sich selbst invers.
(ii) Für p = 2 ist Behauptung richtig, denn
2−1
∏
i ≡ 2 1 ≡ 2 −1.
i=1
Sei also nun p ≥ 3. Wir definieren die Menge
M := { a ∈ {1, . . . , p − 1} | [a] p ist in Z × p nicht zu sich selbst invers } .
Nach Teil (i) gilt: Z × p = {[1] p , [p − 1] p } ∪ {[a] p | a ∈ M}. Da in Z × p bezüglich der
Multiplikation jedes Element ein Inverses besitzt (Z p = Z × p ∪ {[0] p } ist ein Körper),
gibt es zu jedem [a] p ∈ Z × p \ {[1] p , [p − 1] p } ein b ∈ M, so dass [b] p bezüglich der
Multiplikation invers zu [a] p ist. Folglich ist das Produkt über alle Elemente von M
kongruent 1 modulo p, d.h. ∏
m ≡ p 1.
Damit folgt:
p−1
m∈M
∏
i ≡ p 1 · (p − 1) ·
i=1
Dies zeigt die Behauptung.
∏
m∈M
m ≡ p p − 1 ≡ p −1.
4.5 Aufgabe 23: (Modulares Rechnen)
Sei p ≥ 2 eine Primzahl. Zeigen Sie, dass für ein beliebiges Element
a ∈ {1, . . . , p − 1} gilt: a p−1
2 ≡ p 1 oder a p−1
2 ≡ p −1.

LITERATUR 17
Musterlösung:
Sei a ∈ {1, . . . , p − 1}. Wir setzen y := a p−1
2 und müssen zeigen, dass y ≡ p 1 oder
y ≡ p −1. Nach dem Kleinen Satz von Fermat folgt:
y 2 = (a p−1
2 ) 2 = a p−1 ≡ p 1.
Also ist y eine der Lösungen der Gleichung z 2 ≡ p 1. Da Z p ein Körper ist, hat die
Gleichung z 2 ≡ p 1 maximal zwei verschiedene Lösungen. Da sowohl 1 als auch p − 1
Lösungen der Gleichung sind, folgt y = 1 oder y = p − 1. Damit gilt aber y ≡ p 1 oder
y ≡ p p − 1 ≡ p −1.
Literatur
[1] J. A. Buchmann, Introduction to Cryptography, Undergraduate Texts in Mathematics,
second edition, Springer-Verlag, 2001
[2] J. Blömer, Vorlesungen zum RSA-Verfahren, Universität Paderborn, 2002
[3] J. Blömer, Vorlesungen zu Algorithmen in der Zahlentheorie, Universität
Paderborn, 2002
[4] S. Bosch, Algebra, Springer Lehrbuch, 3. Auflage, Springer-Verlag, 1999
[5] P. Bundschuh, Zahlentheorie, Springer Lehrbuch, 2. Auflage, Springer-
Verlag, 1992
[6] H. Cohen, A Course in Computational Algebraic Number Theory, Graduate
Texts in Mathematics 138, Springer-Verlag, 1993
[7] J. Daemen, V. Rijmen, AES Proposal: The Rijndael Block Cipher, Document
version 2 vom 03.09.1999, erhältlich im Web
[8] J. von zur Gathen, Cryptography I, Skript zu den Vorlesungen zur Kryptographie,
Universität Paderborn, Version vom März 2002
[9] J. von zur Gathen & J. Gerhard, Modern Computer Algebra, Cambridge
University Press 1999
[10] G. Hardy, E. Wright, Zahlentheorie, R. Oldenbourg, München, 1958, Übersetzung
ins Deutsche des Orginaltitels An Introduction to the Theory of
Numbers erschienen bei Cambridge University Press

18 LITERATUR
[11] K. Ireland, M. Rosen, A Classical Introduction to Modern Number Theorie,
Graduate Texts in Mathematics 84, Second Edition, Springer-Verlag, 1990
[12] K.-H. Kiyek, F. Schwarz, Lineare Algebra, Teubner Studienbücher Mathematik,
B. G. Teubner, 1999
[13] N. Koblitz, A Course in Number Theory and Cryptograpy, Graduate Texts
in Mathematics 114, Second Edition, Springer-Verlag, 1994
[14] U. Krengel, Einführung in die Wahrscheinlichkeitstheorie und Statistik,
Vieweg Studium – Aufbaukurs Mathematik, 5. Auflage, Vieweg Verlag, 2000
[15] H. Kurzweil, B. Stellmacher, Theorie der endlichen Gruppen – Eine
Einführung, Springer Lehrbuch, 1. Auflage, Springer-Verlag, 1998
[16] A. J. Menezes, P. C. van Oorschot, S. A. Vanstone, Handbook of Applied
Cryptography, CRC Press, Boca Raton, Florida, 1997
[17] G. Scheja, U. Storch, Lehrbuch der Algebra (Unter Einschluß der Linearen
Algebra) Teil 1, Mathematische Leitfäden, B. G. Teubner, 1994
[18] G. Scheja, U. Storch, Lehrbuch der Algebra Teil 2, Mathematische
Leitfäden, B. G. Teubner, 1994
[19] A. Weil, Basic Number Theory, Die Grundlehren der Mathematischen Wissenschaften
in Einzeldarstellungen Vol. 144, Springer-Verlag, 1973