Elementare Zahlentheorie und Kryptographie

Elementare Zahlentheorie und Kryptographie
Vorläufige Version, noch nicht ganz vollständig!
Sebastian Petersen
Frühjahrstrimester 2008

Vorwort
Dieses Skriptum gehört zu der Vorlesung “Elementare Zahlentheorie und Kryptograpie”,
die ich im Frühjahrstrimester 2007 an der Universität der Bundeswehr
München erstmals gehalten habe.
Die Vorlesung richtet sich an Studenten der Informatik im zweiten Studienjahr.
Eine naturwissenschaftliche Grundausbildung ist also vorhanden. Auf der
mathematischen Seite sind die Hörer mit den Grundlagen der Analysis, der Linearen
Algebra, der Wahrscheinlichkeitstheorie und der Logik in anderen Vorlesungen
vertraut gemacht worden. (Nicht alles davon werden wir benötigen.) Auf
der Seite der Informatik werden die Hörer vermutlich wesentlich mehr wissen
als wir im Rahmen dieser Vorlesung brauchen. Z.B vertraue ich darauf, dass die
Hörer eine gewisse Erfahrung im Arbeiten mit Algorithmen (Implementierung,
Laufzeitabschätzungen ect.) haben.
Kenntnisse in Zahlentheorie und nicht-linearer Algebra wie z.B. das Rechnen in
Z/NZ, die Theorie der endlichen Gruppen oder Ring- und Idealtheorie können
nicht als bekannt vorausgesetzt werden; sie sind zum Teil Gegenstand dieser
Vorlesung oder werden im Laufe der Vorlesung entwickelt, soweit sie für die
Vorlesung relevant sind.
Die folgenden prinzipiellen Erwägungen haben mich beim Verfassen dieses Skriptums
geleitet: Die Vorlesung kann aus Zeitgründen die beiden großen und gerade
im Moment sehr rasch wachsenden Gebiete, die ihr Thema sind, nicht umfassend
oder abschließend behandeln. Sie will eine Einführung in die Grundlagen
geben, auf deren Basis der interessierte Hörer in der Lage sein sollte, sich je nach
Bedarf oder persönlichem Interesse im Selbststudium in ein spezielleres Teilgebiet
einzuarbeiten. In der Vorlesung werden Hinweise zu Literatur gegeben, die
für ein direktes Weiterstudium vom Schwierigkeitsgrad her angemessen ist.
Die in der Vorlesung dargelegte Theorie wird von den im zweiten Abschnitt genannten
Grundlagen ausgehend Schritt für Schritt entwickelt (meist nach dem
gewohnten Muster “Definition, Satz, Beweis”). In einigen Einzelfällen kann es
aber vorkommen, dass wir ein nicht-triviales Resultat (als solches gekennzeichnet
und mit einem Literaturverweis versehen) ohne Beweis verwenden. Z.B. wird
im Bezug auf einige Resultate der algorithmischen Zahlentheorie (z.B. Faktorisierungsalgorithmen)
nur genannt, was technisch möglich ist, ohne auf jedes
Detail einzugehen. Diese Resultate werden ohnehin von der Vorlesung “Algo-
1

ithmische Zahlentheorie” abgedeckt, die regelmäßig an der UniBw angeboten
wird.
In der Vorlesung werden sich Kapitel zur elementaren Zahlentheorie und zur
Kryptographie abwechseln. Dabei folgen auf die Kapitel zur Zahlentheorie jeweils
entsprechende kryptographische Anwendungen. Ich hoffe, dass dieser Aufbau
für eine gewisse Kurzweil sorgt.
In Bezug auf den Inhalt der Vorlesung war natürlich eine Auswahl zu treffen.
In der elementaren Zahlentheorie wird zunächst einmal der Standardstoff abgedeckt,
der durch die folgenden Schlagworte umschrieben werden kann: Euklidischer
Algorithmus zur Berechnung der ggT, Rechnen in Z/NZ, Struktur von
(Z/NZ) × und Primitivwurzeln, chinesischer Restsatz, diskreter Logarithmus,
quadratische Reste und Reziprozitätsgesetz von Gauß. Wenn Zeit bleibt, wird
als krönender Abschluß auf elliptische Kurven eingegangen, die mehr denn je
im Zentrum der zahlentheoretischen und kryptographischen Forschung stehen.
In der Kryptographie beginnen wir aus historischem Interesse mit einer kurzen
Übersicht über klassische Private-Key-Verfahren wie die die Vigenere-Chiffre
und die Vernam-Chiffre. Es wird auch eine Vorlesung zu der Chiffriermaschine
Enigma geben, die im 2. Weltkrieg von den Deutschen verwendet wurde. Dann
konzentrieren wir uns ausschließlich auf die modernen Public-Key-Verfahren wie
RSA, Diffie-Hellman, El Gamal und ggfls. auf Kryptographie mit elliptischen
Kurven 1 . Aus Zeitgründen war eine gewisse stoffliche Beschränkung unumgänglich,
und ich habe die folgende Entscheidung getroffen, die auf den ersten Blick
vielleicht etwas brutal erscheinen mag: Die moderneren Private-Key-Verfahren
wie Triple-DES, IDEA oder AES werden in der Vorlesung nicht behandelt,
weil deren Darstellung von sehr technischer Natur (um nicht zu sagen: “etwas
ermüdend”) ist, und weil diese Verfahren nicht so gut zu dem Doppeltitel “Elementare
Zahlentheorie und Kryptographie” passen; die Zahlentheorie steht bei
diesen Verfahren nicht so sehr im Vordergrund. In seiner endgültigen Fassung
wird dieses Skriptum einen Appendix zu AES enthalten, der dem interessierten
Hörer den Einstieg in die Theorie dieser modernen Private-Key-Verfahren erleichtern
soll. Den Inhalt dieses Appendix werde ich aber nicht in der Vorlesung
behandeln und in Prüfungen nicht verlangen.
Ich hoffe, dass die Stoffauswahl im Sinne der Studenten und im Sinne des Kollegiums
der Fakultät für Informatik ist, und dass die Vorlesung eine interessante
Mischung aus Theorie und Praxis bietet.
München, im März 2008
Sebastian Petersen
1 Ein Kapitel 6 zu elliptischen Kurven wird noch angehängt
2

Inhaltsverzeichnis
Vorwort 1
1 Einige klassische Kryptograpieverfahren 5
1.1 Grundlegende Begriffe der Kryptologie . . . . . . . . . . . . . . . 5
1.2 Vigenère-Chiffre und Vernam-Chiffre . . . . . . . . . . . . . . . . 7
1.3 Kryptoanalyse der Vigenère-Chiffre durch Häufigkeitsanalyse . . 10
1.4 Permutationen und monoalphabetische Substitution . . . . . . . 12
1.5 Die Chiffriermaschine Enigma . . . . . . . . . . . . . . . . . . . . 14
1.6 Kryptoanalyse der Enigma . . . . . . . . . . . . . . . . . . . . . . 22
2 Elementare Zahlentheorie 25
2.1 Algebraische Grundbegriffe . . . . . . . . . . . . . . . . . . . . . 25
2.2 Euklidischer Algorithmus . . . . . . . . . . . . . . . . . . . . . . 29
2.3 Primfaktorzerlegung . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.4 Restklassenringe . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2.5 Multiplikative Inverse in Z/NZ. . . . . . . . . . . . . . . . . . . . 39
2.6 Der chinesische Restsatz . . . . . . . . . . . . . . . . . . . . . . . 42
2.7 Der kleine Satz von Fermat . . . . . . . . . . . . . . . . . . . . . 44
3 Das Public-Key-Verfahren von Rivest, Shamir und Adleman 47
3.1 Der Potenzierungsalgorithmus Square and Multiply . . . . . . . . 47
3

3.2 Der Miller-Rabin-Primzahltest . . . . . . . . . . . . . . . . . . . 48
3.3 RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.4 Faktorisierung mit der Fermat-Methode . . . . . . . . . . . . . . 55
3.5 Faktorisierung mit der (p − 1)-Methode von Pollard . . . . . . . 56
4 Diskreter Logarithmus 58
4.1 Primitivwurzeln und diskreter Logarithmus . . . . . . . . . . . . 58
4.2 Die ρ-Methode von Pollard . . . . . . . . . . . . . . . . . . . . . 65
4.3 Der Algorithmus von Silver, Pohlig und Hellman . . . . . . . . . 67
5 Public-Key-Verfahren, die auf dem diskreten Logarithmus beruhen
70
5.1 Schlüsselerzeugung . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5.2 Das Massey-Omura-Verschlüsselungsverfahren . . . . . . . . . . . 73
5.3 ElGamal-Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . 75
5.4 Schlüsselaustausch nach Diffie-Hellman . . . . . . . . . . . . . . . 77
5.5 Signatur mit ElGamal . . . . . . . . . . . . . . . . . . . . . . . . 78
6 Quadratische Reste, Jacobi-Symbole und Anwendungen 83
6.1 Quadratische Reste . . . . . . . . . . . . . . . . . . . . . . . . . . 83
6.2 Das Reziprozitätsgesetz von Gauß . . . . . . . . . . . . . . . . . 86
6.3 Der Solovay-Strassen Primzahltest . . . . . . . . . . . . . . . . . 90
6.4 Das Rabin-Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . 91
4

Kapitel 1
Einige klassische
Kryptograpieverfahren
1.1 Grundlegende Begriffe der Kryptologie
Im Gegensatz zum normalen Sprachgebrauch wird in der technisch-mathematischen
Sprache streng zwischen den folgenden Disziplinen unterschieden:
1. Kryptographie ist die Wissenschaft der Geheimschriften, d.h. der Verschlüsselung
von Nachrichten, die dann über einen nicht abhörsicheren
Kanal (z.B. E-Mail, Funk, Post, Bote) verschickt werden. Eine abgehörte
verschlüsselte Nachricht soll keine bzw. möglichst wenig Rückschlüsse auf
die unverschlüsselte Nachricht zulassen.
2. Kryptoanalyse entwickelt Angriffe auf kryptographische Verfahren. Kryptoanalyse
wird häufig ganz legitim von Fachleuten betrieben, um mögliche
Schwachstellen in Kryptosystemen aufzudecken und dann zu beheben.
3. Kryptologie ist der Oberbegriff für Kryptographie und Kryptoanalyse.
4. Codierungstheorie beschäftigt sich mit Verfahren zur Erkennung und
Behebung von Fehlern, die entstehen, wenn Daten über einen Kanal übertragen
werden, der diese Daten möglicherweise (um einzelne Bits) verfälscht.
Abhörsicherheit gehört nicht zu den Zielen der Codierungstheorie. Eine
separate Vorlesung zur Codierungstheorie wird regelmäßig an der UniBw
angeboten.
Wir beginnen mit einigen Sprechweisen der Kryptologie. Ein Alphabet ist im
folgenden einfach eine nicht-leere, endliche Menge. Ein Text der Länge n über
dem Alphabet A ist ein Element des Produktes A n . Ferner steht A ∗ := ∪ n∈N A n
für die Menge der Texte beliebiger Länge über A.
5

Beispiele: Das klassische Beispiel ist sicher die 26-elementige Menge
A = {A, B, C, D, E, F, G, · · · , X, Y, Z},
evtl. ergänzt um Kleinbuchstaben, Umlaute und Satzzeichen. F QAQST ist ein
Beispiel für einen Text der Länge 6 über dem Alphabet A.
In technischen Anwendungen kommt das Alphabet A := {0, 1} häufig vor. Ein
Text über diesem Alphabet ist ein Bitvektor. Z.B. ist 01001010 ein Text der
Länge 8 über {0, 1}.
Der ASCII-Zeichensatz ist ein Beispiel für ein Alphabet mit 256 Elementen.
Ein Private-Key-Verfahren ist ein Tupel (P, C, K, E, D), das aus folgenden
Objekten besteht:
P die Menge aller möglichen / erlaubten Klartexte,
C die Menge aller möglichen Geheimtexte,
K die Menge aller möglichen Schlüssel,
E die Verschlüsselungs-Abbildung K × P → C,
D die Entschlüsselungs-Abbildung K × C → P.
Axiom: Es muß gelten:
D(k, E(k, X)) = X ∀k ∈ K ∀X ∈ P.
Die Funktionen E und D sollten leicht auf einem Computer zu implementieren
sein. Es gibt gute Private-Key-Verfahren (z.B. IDEA, Triple-DES oder
AES), bei denen die Laufzeiten für Ver- bzw. Entschlüsselung auch bei großen
Datenmengen vertretbar klein bleiben. Der Schlüssel ist bei einem Private-
Key-Verfahren unbedingt geheim zu halten. Wenn nur ein nicht abhörsicherer
Kanal zur Verfügung steht, so ist die Schlüsselvereinbarung 1 das Hauptproblem.
Natürlich sollte man niemals den Schlüssel vor der Kommunikation
unverschlüsselt über den unsicheren Kanal vereinbaren.
Einen Ausweg liefern die Public-Key-Verfahren. Wir sagen hier nur so viel:
Mit einem solchen Verfahren kann man über einen nicht abhörsicheren Kanal
kommunizieren, ohne vorher die Schlüsselvereinbarung auf anderem Wege
durchgeführt zu haben. Dabei wird vom Empfänger ein Teil des Gesamtschlüssels
öffentlich gemacht, der zum Verschlüsseln von Nachrichten genügt, nicht aber
zum Entschlüsseln. Die Details werden wir später nachreichen. Die Schlüssellängen
und die Rechenzeit für Ver- und Entschlüsselung sind hier in aller Regel wesentlich
höher als bei einem guten Private-Key-Verfahren. Public-Key-Verfahren
sind also nicht für die Übertragung großer Datenmengen geeignet.
Wenn große Datenmengen übertragen werden sollen, dann behilft man sich gerne
so: Mit einem Public-Key-Verfahren wird nur ein Schlüssel (verschlüsselt)
übermittelt, und dann wird mit diesem Schlüssel eine Private-Key-Sitzung durchgeführt.
Wir erwähnen noch zwei Formen der Kryptoanalyse:
1 Man will vielleich mit Personen per E-Mail kommunizieren, die man noch nie persönlich
getroffen hat.
6

1. Ciphertext-Only-Angriff: Der Angreifer kennt den Geheimtext und
möchte den Klartext und evtl. sogar den Schlüssel berechnen.
2. Known-Plaintext-Angriff: Der Angreifer kennt ein aus Klartext und
zugehörigem Geheimtext bestehendes Paar und will den Schlüssel bestimmen,
um weitere Geheimtexte entschlüsseln zu können. Oder er kennt den
Geheimtext und einen Teil des Klartextes, den er u.U. erraten 2 hat, und
möchte den gesamten Klartext und evtl. den Schlüssel bestimmen.
Bei der Sicherheitsbewertung von Kryptographieverfahren sollte man niemals
das folgende Kerkhoffsche Prinzip außer Acht lassen: Rechne immer damit,
dass der Angreifer das verwendete Verfahren kennt. Es muß ausreichen, die
Schlüssel geheim zu halten.
Man denke etwa an Spionage 3 , aber auch an folgendes: Bei Freeware-Software
zur Datenübertragung ist der Quellcode (und damit das Verschlüsselungsverfahren)
ohnehin jedermann bekannt. Z.B. wurde nie ein Geheimnis daraus gemacht,
dass das Linux-Programm OpenSSH das Diffie-Hellman-Verfahren benutzt.
Trotzdem halte ich es für sicher.
1.2 Vigenère-Chiffre und Vernam-Chiffre
Wir diskutieren im folgenden einige klassische Kryptographieverfahren. Ich hoffe,
dass diese Diskussion eine geeignete Einführung in das kryptologische Denken
liefert, und dass sie “historisch interessant” ist. Einige moderne Private-Key-
Verfahren (z.B. Feistel-Chiffren wie Tripel-DES) kann man als Weiterentwicklung
klassischer Verfahren ansehen.
Wir arbeiten mit dem natürlichen Alphabet A = {A, B, C, · · · , Z}. Wir bezeichnen
mit
S(A) := {σ : A → A | σ ist bijektiv}
die Menge aller Permutationen A → A. Sei rot 1 ∈ S(A) die durch die “Tabelle”
( )
ABCD EF GH IJKL MNOP QRST UV W X Y Z
rot 1 =
BCDE F GHI JKLM NOP Q RST U V W XY ZA
gegebene 4 Abbildung; rot 1 ist also der Links-Shift um eine Position. Sei rot n :=
rot ◦n
1 die n-fache Hintereinanderausführung, d.h. der Links-Shift um n Positionen.
Sei rot −n := rot −1
n der Rechts-Shift um n Positionen. (Z.B. gilt rot 1 (A) =
B, rot 3 (A) = D oder rot −2 (A) = Y .)
Sei nun P = C = A ∗ und s ∈ N. Der Schlüsselraum der Vigenère-Chiffre zur
Schlüssellänge s (kurz: s-Vigenère-Chiffre) ist K := {0, · · · , 25} s . Ein Schlüssel
der s-Vigenère-Chiffre ist also ein Vektor k := (k 1 , · · · , k s ) ∈ K. Ein Text 5
2 Bei einer E-Mail ist es z.B. recht wahrscheinlich, dass am Anfrang eine der Phrasen “Sehr
geehrte(r)”, “Liebe(r)” oder “Hallo” steht
3 Es wird im 2. Weltkreig jedem europäischen Geheimdienst bekannt gewesen sein, dass
z.B. die Deutschen mit der Enigma arbeiten und die USA-Navy mit CSP-1500
4 Die vertikalen Linien wurden zur besseren Lesbarkeit eingefügt.
5 Bei Texten schreiben wir oft x 1 · · · x N statt (x 1 , · · · , x N ).
7

X = x 1 · · · x N der Länge N wird verschlüsselt zu
E(k, X ) = rot k1 (x 1 ) · · · rot ks (x s )rot k1 (x s+1 ) · · · rot ks (x 2s ) · · · ,
d.h. auf jeden der Buchstaben wird eine der Shiftabbildungen angewendet, und
zwar wird der n-ten Buchstabe x n mit rot kr verschlüsselt, wenn r der Rest der
Division n ÷ s ist.
Beispiel: Um zukünftig mit der Vigenère-Chiffre kommunizieren zu können, haben
Alice und Bob bei einem persönlichen Treffen den Schlüssel k = (1, 2, 25) (also
Schlüssellänge s = 3) vereinbart. Bob möchte nun die Phrase “HALLOALICE”
verschlüsseln. Dazu schreibt er wiederholt den Schlüsselvektor unter den Klartext
und verschiebt dann jeden Buchstaben des Klartextes um so viele Positionen
im Alphabet, wie es die darunterstehende Zahl vorgibt:
n 1 2 3 4 5 6 7 8 9 10
Klartext H A L L O A L I C E
⊕ Schlüssel 1 2 25 1 2 25 1 2 25 1
Geheimtext I C K M Q Z M K B F
Der Geheimtext ist also E(k, HALLOALICE) = ICKMQZMKBF .
□
Die Entschlüsselungs-Abbildung der Vigenère-Chiffre ist durch
D(k, Y) = rot −k1 (y 1 ) · · · rot −ks (y s )rot −k1 (y s+1 ) · · · rot −ks (y 2s ) · · ·
(Y = (y 1 , y 2 , · · ·) ein Geheimtext) definiert. Offenbar gilt dann D(k, E(k, X )) =
X für alle X ∈ A ∗ und alle k ∈ K, d.h. (P, C, K, E, D) ist in der Tat ein Private-
Key-System
Beispiel: Wenn Alice eines Tages die Nachricht “NCW LQLNV IF V Y U” von
Bob erhält, dann berechnet sie D(k, Y) nach dem Muster
n 1 2 3 4 5 6 7 8 9 10 11 12 13
Geheimtext N C W L Q L N V I F V Y U
⊖ Schlüssel 1 2 25 1 2 25 1 2 25 1 2 25 1
Klartext M A X K O M M T J E T Z T
und weiß Bescheid.
□
Der Schlüsselraum der s-Vigenère-Chiffre hat |K| = 26 s Elemente. Es handelt
sich also um einen log 2 (26 s ) = 4.7s-Bit Schlüssel. Für s = 20 sind das 94 Bit,
und das ist recht viel. Zum Vergleich: DES hat einen 56-Bit Schlüssel 6 und
galt bis in die 90er Jahre als sicher. Die Größe des Schlüsselraumes ist aber
nur eine der sicherheitsrelevanten Merkmale eines Verschlüsselungsalgorithmus,
das angibt, wie lange ein Brute-Force-Angriff, d.h. das gesamte Absuchen des
Schlüsselraumes dauern würde. Wir werden sehen, dass es wesentlich intelligentere
Angriffe auf die s-Vigenere-Chiffre gibt, zumindest wenn das Verhältnis
Textlänge zu Schlüssellänge klein ist.
Die Caesar-Chiffre ist die Vigenère-Chiffre zur Schlüssellänge 1 (d.h. der
Schlüssel hat nur 4.7 Bit!). Sie soll schon im alten Rom verwendet worden sein.
6 Es gibt Varianten mit 128 Bit.
8

Jeder Buchstabe des Klartextes wird hier mit der selben Shift-Abbildung verschlüsselt.
(Beispiel: E(1, ALICE) = BMJDF , D(1, AF V T ) = ZEUS.)
Kryptoanalyse der Caesar-Chiffre: Wegen dem extrem kleinen Schlüsselraum
ist ein Angriff durch brutale Gewalt, d.h. durch Absuchen des gesamten
Schlüsselraumes möglich, sogar per Hand! Nehmen wir an, wir wollen den Geheimtext
7
Y := NOHRS DW UDZ LUGNR HQLJL Q
entschlüsseln und wissen, dass die Verschlüsselung durch Anwenden von einer
der 26 Rotationsabbildungen auf jeden einzelnen Buchstaben erfolgt ist. Wir berechnen
einfach der Reihe nach D(1, Y), D(2, Y) u.s.w., bis sich etwas Sinnvolles
ergibt.
D(1, Y) MNGQR CV T CY KT F MQ GP KIK P
D(2, Y) LMF P Q BUSBX JSELP F OJHJ O
D(3, Y) KLEOP AT RAW IRDKO ENIGI N
Fertig! Es wurde also mit rot 3 verschlüsselt 8 .
□
Ein anderer Extremfall ist die Vernam-Chiffre (auch als One-Time-Pad bezeichnet)
- das ist der Spezialfall einer Vigenère-Chiffre, in dem die Schlüssellänge
gleich der Textlänge ist, also ein Private-Key-System (P, C, K, E, D) mit P =
C = A N , K = {0, · · · , 25} N und D, E wie oben. Wenn als Schlüsselvektor eine
rein zufällige Folge 9 genommen wird, dann ist die Vernam-Chiffre sehr sicher.
Ein Angriff durch brutale Gewalt ist unmöglich: Wenn ein Angreifer auf den
Geheimtext der Reihe nach alle möglichen Schlüssel anwendet, so kommt dabei
jeder Text der Länge N (insbesondere jeder sinnvolle Text der Länge N) einmal
heraus; er kann also aus dem Geheimtext keinerlei Rückschluß auf den Klartext
ziehen.
Die Vernam-Chiffre scheint in Geheimdienstkreisen 10 sehr beliebt gewesen zu
sein (und zum Teil heute noch verwendet zu werden). Ein Agent bekommt vom
Hauptquartier ein kleines Büchlein mit Vernam-Schlüsseln ausgehändigt und ein
Duplikat verbleibt im Hauptquartier. Jede Seite kann der Reihe nach zum Verschlüsseln
einer Nachricht verwendet werden und ist anschließend zu vernichten.
Der Geheimtext kann dann per Telefon oder Funk oder · · · übertragen werden.
Die hohe Sicherheit der Vernam-Chiffre kommt aber nur von dem extrem großen
Schlüsselraum. Wenn z.B. eine 100 MB Datei übertragen werden soll, dann
hat die Schlüsseldatei bei der Vernam-Verschlüsselung ebenfalls 100 MB. Falls
sich die betreffenden Parteien nicht zur Schlüsselvereinbarung treffen können,
so besteht ein Problem: Man wird dann den Schlüssel mit einem Public-Key-
Verfahren übertragen wollen, aber dafür ist er zu groß! Man braucht deshalb
andere Private-Key-Verfahren 11 , die es erlauben, die 100 MB Datei bei einer
Schlüssellänge von ein paar hundert Bit schnell und sicher zu übertragen.
7 Die Abstände dienen der besseren Lesbarkeit.
8 Soweit ich weiß soll Caesar in der Tat rot 3 verwendet haben.
9 also insbesondere nicht periodisch
10 u.a. angeblich beim KGB
11 Z.B. IDEA, Triple-DES oder AES
9

Bevor wir zur Kryptoanalyse der Vigenère-Chiffre kommen, benötigen wir eine
Definition. Sei X = x 1 x 2 · · · ein Text über A. Für r, s ∈ N wird
X r,s = x r x r+s x r+2s x r+3s · · ·
Teiltext von X mit Beginn r und Sprungweite s genannt. Geht Y aus
X durch eine s-Vigenère-Chiffrierung mit Schlüssel (k 1 , · · · , k s ) hervor, so ist
Y r,s ein Caesar-Chiffrat von X r,s : Jeder Buchstabe in X r,s ist mit der selben
Rotationsabbildung verschlüsselt, und zwar mit rot kr .
Beispiel: Sei X = KLEOP AT RAIST KOENIGIN. Die Teiltexte X 1,3 , X 2,3 ,
X 3,3 kann man gewinnen, in dem man den Text X “schlangenförmig” in s = 3
Zeilen schreibt:
Verschlüsselt man X mit k = (1, 2, 3)
X 1,3 = K O T I K N I
X 2,3 = L P R S O I N
X 3,3 = E A A T E G
Klartext K L E O P A T R A I S T K O · · ·
⊕ Schlüssel 1 2 3 1 2 3 1 2 3 1 2 3 1 2 · · ·
Geheimtext L N H P R D U T D J U W L Q · · ·
so sieht man, daß X i,3 mit k i verschlüsselt wird.
1.3 Kryptoanalyse der Vigenère-Chiffre durch
Häufigkeitsanalyse
Nehmen wir an, der Geheimtext Y = y 1 · · · y N ist mit dem s-Vigenère-Verfahren
verschlüsselt worden, wobei die Schlüssellänge s bekannt und viel kleiner 12 als
N ist. Wir wollen den Schlüssel (k 1 , · · · , k s ) bestimmen.
In einer natürlichen Sprache kommen die Buchstaben nicht mit der gleichen relativen
Häufigkeit vor. Z.B. ist in hinreichend langen deutschen Texten (und auch
in Teiltexten von deutschen Texten) E der häufigste Buchstabe (rel. Häufigkeit
ca. 13%) gefolgt von N (7.5%) und I (6%). Diesen Umstand macht man sich zu
Nutze.
Man ermittelt die Teiltexte Y 1,s , · · · , Y s,s zur Sprungweite s. Jedes Zeichen des
Teiltextes Y r,s ist mit der selben Shift-Abbildung rot kr verschlüsselt worden.
Wenn nun x der häufigste Buchstabe in Y r,s ist, so wird vermutlich x = rot kr (E)
gelten und aus einer solchen Gleichung läßt sich k r bestimmen: Ist z.B. G der
häufigste Buchstabe in Y 1,s , so würde ich vermuten, dass k 1 = 2 gilt, denn G
kommt im Alphabet 2 Positionen nach E. Wenn in Y 2,s der häufigste Buchstabe
D ist, so legt das den Verdacht k 2 = 25 nahe. So fortfahrend kann man
versuchen, den gesamten Schlüssel zu gewinnen.
□
12 vielleicht s = 5 und N = 200
10

φ-Index
Sei X = x 1 x 2 · · · x N ein Text der Länge N über A. Für x ∈ A sei h x (X ) die
Häufigkeit des Buchstabens x in X . (Beispiel: h L (HALLOARNOLD) = 3.)
Die Zahl
1 ∑
φ(X ) :=
h x (X )(h x (X ) − 1)
N(N − 1)
x∈A
wird φ-Index von X genannt.
Man kann beweisen: Für einen Zufallstext X = (x 1 , · · · x N ) (d.h. die x i sind
unabhängige und jeweils gleichverteilte Zufallsvariablen) ist der Erwartungswert
von φ(X ) ungefähr 0.03.
Empirische Untersuchungen zeigen, dass für längere Texte in einer natürlichen
Sprache (und auch für Teiltexte eines solchen Textes) der φ-Index viel höher
ausfällt, z.B. φ(X ) ≈ 0.07 für längere deutsche Texte. Dies kann man zur Kryptoanalyse
der Schlüssellänge einer Vigenère-Chiffre verwenden.
Man beachte im folgenden: Wenn Y ein Caesar-Chiffrat von X ist, dann gilt 13
φ(X ) = φ(Y).
Kryptoanalyse der Schlüssellänge der Vigenère-Chiffre (Friedman-
Test)
Sei Y ein Vigenère-Chiffrat zu einem deutschen Klartext; die Schlüssellänge s
sei unbekannt. Sei
φ (k) (Y) = 1 k∑
φ(Y j,k )
k
der Mittelwert der φ-Werte der Teiltexte zur Sprungweite k. Für k = s ist jeder
dieser Teiltexte Y 1,s · · · Y s,s ein Caesar-Chiffrat eines Teiltextes eines deutschen
Textes. Also wird φ (s) (Y) ≈ 0, 07 gelten.
Für k ∈ {1, · · · , s − 1} werden sich die Texte Y 1,k · · · Y k,k mehr wie Zufallstexte
verhalten; also wird φ (k) (Y) in der Nähe 14 von 0.03 liegen.
j=1
Zur Bestimmung von s berechnet 15 man also den φ-Vektor
(φ (1) (Y), φ (2) (Y), φ (3) (Y), · · ·).
Hier ist üblicherweise eine Periodizität erkennbar und die Position des ersten
signifikanten Maximums ist die vermutete Schlüssellänge.
13 in der obigen Summe treten die Summanden nur in anderer Reihenfolge auf
14 in meinen Experimenten meist ≤ 0, 05
15 Man verwende einen Computer, um die vielen Schlangentexte auszuzählen!
11

1.4 Permutationen und monoalphabetische Substitution
Wir beginnen diesen Abschnitt mit einem “Steilkurs zu Permutationen” und
gehen dann kurz auf die Verschlüsselung durch monoalphabetische Substitution
ein. Einige Grundlagen zu Permutationsgruppen werden aus anderen Vorlesungen
bekannt sein; wir konzentrieren uns auf Resultate, die im folgenden
besonders wichtig sind, insbesondere für das Verständnis der Chiffriermaschine
Enigma, der wir uns dann im nächsten Abschnitt zuwenden.
Sei X eine Menge und
S(X) := {σ : X → X | σ ist bijektiv}.
Sei σ ∈ S(X). Ein Element x ∈ X heißt Fixpunkt von σ, wenn σ(x) = x gilt. σ
heißt fixpunktfrei, wenn σ(x) ≠ x für alle x ∈ X gilt. σ heißt involutorisch,
wenn σ◦σ(x) = x für alle x ∈ X gilt. Genau dann ist σ involutorisch, wenn σ mit
seiner Umkehrabbildung übereinstimmt, d.h. wenn σ = σ −1 gilt. Involutorische
Permutationen spielen in der Kryptographie eine gewisse Rolle.
Beispiel: Sei X = {A, B, C, D, E, F, G}. Wir geben σ, η ∈ S(X) “in Tabellenform”
an:
( ) ( )
A B C D E F G
A B C D E F G
σ =
, η =
.
C G E B A D F
B A D C F E G
η hat Fixpunkt G, während σ fixpunktfrei ist. σ ist wegen σ ◦ σ(A) = σ(C) =
E ≠ A nicht involutorisch. η hingegen ist involutorisch.
□
Für x 1 , · · · , x n ∈ X paarweise verschieden bedeutet die Notation 16
σ := (x 1 , · · · , x n ),
daß σ ∈ S(X) die Elemente x 1 , · · · , x n zyklisch permutiert und die anderen
Elemente von X festläßt; in Formeln: σ(x i ) = x i+1 für i ∈ {1, · · · , n − 1},
σ(x n ) = x 1 und σ(x) = x für x ∈ X \{x 1 , · · · , x n }. Die Bijektion σ = (x 1 , · · · x n )
verfährt also gem. dem Muster
x 1
σ
→ x2
σ
→ · · ·
σ
→ xn−1
σ
→ xn
σ
→ x1 .
Eine solche Permutation wird n-Zykel genannt. Die 2-Zyklen heißen Transpositionen;
sie vertauschen zwei Elemente und lassen den Rest fest. Die Einerzyklen
(x) sind die Identität. Zwei Zyklen σ = (x 1 , · · · , x s ) und η = (y 1 , · · · , y t )
werden disjunkt genannt, wenn {x 1 , · · · , x s } ∩ {y 1 , · · · , y t } = ∅. Der folgende
Satz ist sicher aus der linearen Algebra geläufig.
Satz 1.4.1 Sei X eine endliche Menge.
16 Diese Notation ist m.E. nicht ideal, aber sie ist Standard. Ob mit (x 1 , ·, x n) ein Vektor
oder der entsprechende n-Zykel (d.h. eine gewisse Bijektion, also ganz etwas anderes) gemeint
ist, muß aus dem Kontext eindeutig hervorgehen.
12

a) Wenn σ ∈ S(X) und η ∈ S(X) disjunkte Zyklen sind, dann gilt 17 σ ◦ η =
η ◦ σ.
b) Jede Permutation σ ∈ S(X) kann als Produkt von disjunkten Zyklen geschrieben
werden. Die Darstellung ist bis auf die Reihenfolge der Zyklen
(und bis auf das Hinzufügen bzw. Weglassen von Einerzyklen) eindeutig.
Sei (s 1 , · · · , s t ) ∈ N t ein Vektor mit s 1 ≥ · · · ≥ s t > 1. Wir sagen σ ∈ S(X)
ist von der Zyklenstruktur 18 (s 1 , · · · , s t ), wenn σ als Produkt von disjunkten
Zyklen der Längen s 1 , · · · , s t geschrieben werden kann.
Beispiel: Um die Permutation σ aus obigem Beispiel als Produkt von disjunkten
Zyklen zu schreiben, kann man nach folgendem Muster vorgehen:
A σ → C σ → E σ → A, d.h. der Zykel (A, C, E) kommt vor.
B σ → G σ → F σ → D σ → B, d.h. der Zykel (B, G, F, D) kommt vor.
Also gilt σ = (B, G, F, D)(A, C, E) und σ ist von der Zyklenstruktur (4, 3).
Wir zerlegen nun η (vgl. obiges Bsp.) in ein Produkt disjunkter Zyklen:
A σ → B σ → A, d.h. die Transposition (A, B) kommt vor.
C σ → D σ → C, d.h. (C, D) kommt vor.
E σ → F σ → E, d.h. (E, F ) kommt vor.
Also gilt η = (A, B)(C, D)(E, F ) und diese Permutation hat Zyklenstruktur
(2, 2, 2). □
Eine Permutation vom Typ (2, 2, · · · , 2) ist ein Produkt von disjunkten Transpositionen
und daher involutorisch.
Wir führen nun eine Notation ein, die bei der Diskussion der Chiffriermaschine
Enigma im nächsten Abschnitt sehr nützlich sein wird. Sei X eine Menge. Für
σ, τ ∈ S(X) sei
σ τ := τ −1 ◦ σ ◦ τ.
Man sagt: “σ wird mit τ konjugiert.” Für σ ∈ S(X) und n ∈ N soll die übliche
Definition
σ n = σ ◦ · · · ◦ σ
} {{ }
n−mal
nach wie vor in Kraft sein; es kommt also darauf an, ob der Exponent eine
Permutation oder eine natürliche Zahl ist.
Bemerkung 1.4.2 Sei σ, η, τ ∈ S(X).
a) Es gilt (σ η ) τ = σ η◦τ und (σ ◦ η) τ = σ τ ◦ η τ .
b) Sei x ∈ X. Wenn x Fixpunkt von σ ist, dann ist η −1 (x) Fixpunkt von σ η .
Für den Beweis verweisen wir auf die Übungen. Der folgende allgemeine Satz
über Permutationen wurde mehrfach plakativ “The Theorem that won World
17 Vorsicht: Für nicht-disjunkte Zyklen gilt oft ση ≠ ησ.
18 Das ist in dieser Form nicht Standardterminologie.
13

War II” genannt, weil er bei der Kryptoanalyse der Chiffriermaschine Enigma
eine wichtige Rolle spielt 19 .
Satz 1.4.3 Sei σ, η ∈ S(X). Die Permutationen σ und σ η haben die selbe Zyklenstruktur.
Beweis: Wir beweisen die Aussage nur in dem Sonderfall, dass σ = (x 1 , · · · , x s )
ein s-Zykel ist. Der allgemeine Fall folgt dann leicht mit obiger Bemerkung.
Wir behaupten, dass σ η = (η −1 (x 1 ), · · · , η −1 (x s )) gilt. In der Tat, für 1 ≤
i ≤ s − 1 gilt σ η (η −1 (x i )) = η −1 σηη −1 (x i ) = η −1 σ(x i ) = η −1 (x i+1 ). Analog
zeigt man σ η (η −1 (x s )) = η −1 (x 1 ). Für x ∈ X \ {η −1 (x 1 ), · · · , η −1 (x s )} gilt
η(x) ∈ X \ {x 1 , · · · , x s }. Daher σ η (x) = η −1 ση(x) = η −1 (η(x)) = x. □
Wir beenden diesen Abschnitt mit einem weiteren Kryptographieverfahren. Sei
A ein Alphabet. Das folgende Private-Key-Verfahren (P, C, K, E, D) wird monoalphabetische
Substitution genannt: P = C = A ∗ und der Schlüsselraum
K = S(A) ist die Menge aller Permutationen von A. Sei σ ∈ K. Die Verschlüsselung
eines Textes X = x 1 x 2 · · · über A mit dem Schlüssel σ geschieht, indem die
selbe Permutation σ der Reihe nach auf jedes Zeichen von X angewendet wird:
E(X , σ) = σ(x 1 )σ(x 2 ) · · ·
Entschlüsseln ist das selbe wie Verschlüsseln mit der Umkehrabbildung σ −1 des
Schlüssels: D(Y, σ) = E(Y, σ −1 ) für Y ∈ A ∗ .
Ich denke, man darf auf ein explizites Beispiel verzichten. Monoalphabetische
Substitutionen sind kryptologisch schwach. Man kann sie mit Häufigkeitsanalysen
angreifen.
1.5 Die Chiffriermaschine Enigma
Noch fertigstellen
Zeichnungen u. Bilder nachtragen
Die Chiffriermaschine Enigma (griechisch: Rätsel) wurde von dem deutschen
Elektroingenieur Arthur Scherbius (1878-1929) erfunden; das entsprechende Patent
wurde 1918 erteilt. Später wurden u.a. von Wilhelm Korn Verbesserungen
angebracht. Die Enigma war zunächst für den zivilen Gebrauch gedacht und
wurde (mit wenig Erfolg) kommerziell vermarktet. Bereits in den zwanziger
Jahren zeigten militärische Stellen Interesse und wenig später wurde die Enigma
vom Markt genommen und nur noch für militärische Zwecke genutzt. Während
des 2. Weltkrieges wurde nahezu die gesamte Kommunikation des deutschen Militärs
über die Enigma abgewickelt. Auch bei Polizei, Reichsbahn, Reichspost
19 Eigentlich braucht man ihn bereits, um die Grundeigenschaften der Enigma zu verstehen.
Ich denke, dieser Satz wird bereits im 19. Jahrhundert bekannt gewesen sein.
14

und SS waren Enigmas im Einsatz. Es sollen während des Krieges über 40.000
(hohe Schätzungen gehen von bis zu 200.000 aus) Enigmas gebaut worden sein.
Die Maschine wurde während des Krieges mehrfach verbessert und auch die
Dienstvorschriften für den Umgang mit ihr haben sich laufend geändert. Man
kann also eigentlich nicht von der Enigma sprechen; es gab viele Varianten, die
aber alle nach dem selben Grundprinzip aufgebaut waren.
Seit 1932 wurde massiv an der Entschlüsselung der Enigma gearbeitet. In Frankreich
war das Dechiffrierbüro um General Gustav Bertrand und den Agenten
Hans-Thilo Schmidt damit betraut. In Polen arbeitete eine Gruppe von Kryptologen
unter der Leitung von dem Mathematiker Rejewski an der Entschlüsselung
der Enigma und erzielte beeindruckende Ergebnisse bereits in den 30er Jahren.
Vor dem Überfall auf Polen teilte Rejewski seine Erkenntnisse mit dem englischen
Geheimdienst, bevor er aus Polen floh. Die englische Gruppe um Alain
Turing, Gordon Welchman und Dilly Knox in Bletchley Park konnte in den 40er
Jahren die größten Erfolge verbuchen.
Erste gelegentliche Einbrüche in die Enigma gelangen der polnischen Gruppe
bereits in den 30er Jahren. Ab 1940 war die Theorie weit genug entwickelt, um
regelmäßig in die Schlüsselnetze RED (Luftwaffe) und ORANGE (SS) einzubrechen.
Spätestens 1942 kam man auch mit den anderen Schlüsselnetzen der Luftwaffe
(WASP, GADFLY, SCORPION u.a.) und dem Schlüsselnetz DOLPHIN
der Marine gut zurecht. Hartnäckiger scheinen die Schlüsselnetze des Heeres
gewesen zu sein, aber auch hier gelangen gegen Kriegsende immer wieder Einbrüche
(allerdings nur ein einziger vor 1943). Die entschlüsselten Informationen
waren natürlich von höchster militärischer Relevanz 20 .
Funktionsweise der Enigma
Die Enigma sieht auf den ersten Blick wie eine Schreibmaschine aus. Vor der
Verschlüsselung muß der Tagesschlüssel eingestellt werden (dies geschieht durch
das Herstellen gewisser Steckverbindungen auf einem Schaltbrett, das Einlegen
und Positionieren gewisser Walzen und das Einstellen gewisser Ringstellungen
an diesen Walzen, siehe unten). Wenn dann eine Taste gedrückt wird, so leuchtet
eine andere Taste auf und dies ist die Verschlüsselung des gedrückten Buchstabens.
Wir erläutern den ungefähren 21 Aufbau der Enigma I (zu Beginn der 30er Jahre
im Einsatz).
Hauptbauteil: Der Satz von Walzen
Hauptbestandteil sind fünf Walzen (auch Rotoren genannt), die mit römische
Zahlen I bis V durchnummeriert sind. Jede davon ist umlaufend mit den Zahlen
0 bis 25 (oder, je nach Modell 22 , mit Buchstaben A bis Z) beschriftet und
20 Einzelne Historiker sagen, das regelmäßige Abhören von Nachrichten sei kriegsentscheidend
gewesen; ich bin nicht kompetent, das zu beurteilen.
21 Wie gesagt: Es gab laufend Veränderungen an der Enigma. Mir geht es um den prinzipiellen
Aufbau.
22 An vielen Modellen soll eine Umrechnungstabelle A = 00, B = 02, · · · angebracht gewesen
sein.
15

hat auf beiden Seiten 26 Anschlüsse A bis Z. Diese Kontakte sind durch eine
(anfangs streng geheime) innere Verdrahtung miteinander verbunden. Diese
Verdrahtung ist heute bekannt und kann durch Permutationen ω I , · · · , ω V mathematisch
beschrieben werden:
x ABCDE F GHIJ KLMNO P QRST UV W XY Z
ω I (x) EKMF L GDQV Z NT OW Y HXUSP AIBRC J
ω II (x) AJDKS IRUXB LHW T M CQGZN P Y F V O E
ω III (x) BDF HJ LCP RT XV ZNY EIW GA KMUSQ O
ω IV (x) ESOV P ZJAY Q UIRHX LNF T G KDCMW B
ω V (x) V ZBRG IT Y UP SDNHL XAW MJ QOF EC K
Wenn man z.B. bei Rotor I auf der rechten Seite Spannung bei C anlegt, so kann
Strom zu ω I (C) = M fließen. Wenn man bei diesem Rotor links Spannung bei A
anlegt, so fließt Strom zu ω −1
I
(A) = U. Außerdem waren zwei Umkehrwalzen
(UKW 23 B und C) beigelegt. Diese haben nur auf einer Seite Kontakte A bis
Z. Dreizehn Paare der 26 Kontakte sind jeweils durch einen inneren Draht miteinander
verbunden. Die Verdrahtung der Umkehrwalzen kann ebenfalls durch
Permutationen mathematisch erfaßt werden 24 :
ν B = (AY )(BR)(CU)(DH)(EQ)(F S)(GL)(IP )(JX)(KN)(MO)(T Z)(V W ),
ν C = (AF )(BV )(CP )(DJ)(EI)(GO)(HY )(KR)(LZ)(MX)(NW )(QT )(SU).
Das heißt grob gesprochen: UKW C vertauscht A mit F , B mit V , C mit P
u.s.w. Wenn man z.B. bei UKW C Spannung an Kontakt V legt, so kann Strom
nach ν C (V ) = B fließen.
Die Enigma I hat nun vier nebeneinanderliegende Schächte; der linke Schacht
ist für eine UKW und in die anderen Schächte können drei der fünf Rotoren
eingelegt werden. “Walzlage III, I, V mit UKW B” bedeutet, dass von rechts
beginnend die Rotoren V, I, III eingelegt sind und mit UKW B gearbeitet wird.
Die Rotoren sind in ihrem Schacht drehbar und können gemäß ihrer äußeren
Beschriftung in eine geeignete Position gebracht werden. Diese Position ist in
einem Sichtfenster ablesbar. “Grundstellung 0, 12, 7” bedeutet: Bei dem rechten
Rotor ist 0 im Sichtfenster ablesbar, bei dem mittleren 12 und bei dem
linken 7. Die UKW ist nicht drehbar. Rechts der Schächte sitzt die fest eingebaute
Stator-Walze mit Anschlüssen A bis Z. Sind die Walzen einmal eingelegt,
so entsteht zwischen den Walzen eine elektrische Verbindung; dies wird durch
Schleifkontakte realisiert.
Sei A := {A, B, · · · , Z}. p = (p 1 , p 2 , p 3 ) ∈ {I, · · · , V } 3 eine Walzlage und g =
(g 1 , · · · , g 3 ) ∈ {0, · · · , 25} 3 eine Grundstellung. Bei Grundstellung g = (0, 0, 0)
ist in dem Block von drei Rotoren der rechte Kontakt x ∈ A mit dem Kontakt
R p,(0,0,0) (x) = ω p1 ω p2 ω p3 (x)
der UKW verbunden. (Z.B. kommt bei Walzlage V, IV, I und Grundstellung
(0, 0, 0) eine Verbindung von Kontakt D rechts mit Kontakt
R (V,IV,I),(0,0,0) (x) = ω V ω IV ω I (D) = ω V ω IV (F ) = ω V (Z) = K
23 Ich weiß nicht, warum sie nicht mit A und B benannt waren. Vielleicht gab es einmal eine
UKW A, die nie oder nicht lange verwendet wurde.
24 Wie üblich schreiben wir (x, y) für die Transposition, die x und y vertauscht und alle
anderen Elemente festläßt.
16

an der UKW zustande.) Bei allgemeiner Grundstellung g kommt noch ein Versatz
zwischen den Walzen hinzu. Sei ρ := rot 1 . Dann ist bei Walzlage p und
Grundstellung g in dem Block von drei gewöhnlichen Walzen der Kontakt x ∈ A
rechts mit dem Kontakt
der UKW verbunden.
R p,g (x) = ρ −g1 ω p1 ρ g1−g2 ω p2 ρ g2−g3 ω p3 ρ g3 (x)
Wenn man nun Spannung an den Statoranschluß x ∈ A rechts anlegt, so kann
Strom von dort durch den Satz von Rotoren, dann durch die UKW und dann
noch einmal durch den Satz von Rotoren zurück zum Stator fließen. In der Tat
ist also Statoranschluß x ∈ A mit Statoranschluß
W p,u,g (x) = R −1
p,g ◦ ν u ◦ R p,g (x)
verbunden, wenn p die Walzlage, g die Grundstellung und u die eingesetzte
UKW ist. Das gesamte Bauteil realisiert also die Permutation W p,u,g .
Satz 1.5.1 Die Permutation W p,u,g ist von der Zyklenstruktur
(2, 2, · · · , 2),
} {{ }
13−mal
d.h. W p,u,g ist ein Produkt von 13 disjunkten Transpositionen. Insbesondere ist
W p,u,g fixpunktfrei und involutorisch.
Beweis: Die UKW-Permutation ν u ist ein Produkt von 13 disjunkten Transpositionen
(siehe oben). Nach 1.4.3 muß “die mit R p,g konjugierte UKW” W p,u,g =
νu
Rp,g
die selbe Zyklenstruktur wie ν u haben. Also ist auch W p,u,g ein Produkt
von 13 disjunkten Transpositionen. Daher die Behauptung.
□
Das Steckbrett
Das zweite Hauptbauteil war das sogenannte Steckbrett. Auf diesem Steckbrett
waren in zwei Zeilen je 26 doppelpolige Anschlüsse angebracht, die jeweils mit
A bis Z beschriftet waren. Mitgeliefert waren einige doppelpolige Verbindungskabel.
Mit diesen Kabeln konnte man Buchstabenpaare verbinden (im Jargon:
steckern) und das Steckbrett hat die gesteckerten Buchstaben dann vertauscht.
Anfangs wurden 6, später 10 Buchstabenpaare gesteckert. Wenn 10 Paare gesteckert
sind, dann wirkt das Steckbrett wie ein Produkt von 10 disjunkten
Transpositionen (und es hat demnach 6 Fixpunkte).
17

Schlüsselbucheinträge für die Enigma könnten ungefähr so ausgesehen haben:
13.Mai.1933
Walzlage: I, V, III UKW C
Grundstellung: QKF (bzw. 16, 10, 5) Ringstellung: UXF (bzw. 20, 23, 5)
Steckerverbindungen: AX CE UW BM NK LQ DO EP FY RT
12.Mai.1943
Walzlage: IV, II, V UKW B
Grundstellung: DLV (bzw. 3, 11, 21) Ringstellung: WUC (bzw. 22, 20, 2)
Steckerverbindungen: AD CE OL FP XZ SY BT GQ HJ NK
.
.
.
Das Steckbrett hat dann am 12.Mai.1933 die Permutation
bewirkt.
S = (AD)(CE)(OL)(F P )(XZ)(SY )(BT )(GQ)(HJ)(NK)
Stromfluß durch die Enigma
An das Steckbrett ist die Tastatur angeschlossen und das Steckbrett ist mit dem
Satz von Walzen verbunden. Wenn eine Taste gedrückt wird, dann fließt Strom
durch das Steckbrett, durch den Walzsatz, nocheinmal durch das Steckbrett und
dann zurück in die Tastatur; eine andere Taste leuchtet dann auf.
Wenn bei Walzlage p, UKW u, Grundstellung g und Steckbrettpermutation S
die Taste x ∈ A gedrückt wird, dann leuchtet die Taste
auf.
E p,u,g,S (x) = S −1 W p,u,g S(x)
Satz 1.5.2 Die Permutation E p,u,g,S ist ein Produkt von 13 Transpositionen.
Insbesondere ist E p,u,g,S fixpunktfrei und involutorisch.
Beweis: Nach 1.4.3 muß E p,u,g,S = W S p,u,g die selbe Zyklenstruktur wie W p,u,g
haben und W p,u,g ist ein Produkt von 13 disjunkten Transpositionen nach 1.5.1
□
Fortschalten und Ringstellung
Der eigentliche Clou der Maschine ist, daß sich die Rotoren bei jedem Tastenanschlag
ähnlich einem (etwas perversen) Kilometerzähler weiterdrehen. Die anfangs
eingestellte Grundstellung ändert sich also bei jedem Tastenanschlag. Dies
macht die kryptologische Stärke der Maschine aus: Jeder Buchstabe wird durch
eine andere Permutation verschlüsselt. Dadurch wird die Enigma weitgehend
immun gegen Angriffe durch Häufigkeitsanalyse.
Der rechte Rotor fungiert als schneller Rotor. Er dreht sich bei jedem Tastenanschlag
um eine Position weiter. Der mittlere Rotor dreht sich (im Mittel) alle
18

26 Anschläge weiter und der langsame (linke) Rotor nur (im Mittel) bei jedem
26 2 -ten Anschlag.
Details regelt die Ringstellung r ∈ A 3 (vgl. den obigen exemplarischen Schlüsselbucheintrag).
An jedem Rotor kann vor dem Einlegen in den Schacht durch einen
verstellbaren Ring die Position einer Kerbe eingestellt werden. Ich habe Widersprüchliches
über die genaue Auswirkung der Ringstellung gelesen. Bei manchen
Modellen scheint es so gewesen zu sein: Bei Ringstellung r = (r 1 , r 2 , r 3 )
zieht der schnelle Rotor den mittleren Rotor mit, nachdem im Sichtfenster r 3
zu lesen war. Der mittlere Rotor zieht den langsamen Rotor mit, wenn er ab
r 2 umspringt. Die Einstellung r 1 am langsamen Rotor ist irrelevant; die UKW
ist ja nicht drehbar. In Buchstabennotation ergibt sich die folgende Folge von
Grundstellungen, wenn man mit Grundstellung QKF bei Ringstellung UXI
auf einer solchen Enigma tippt:
QKF → QKG → QKH → QKI → QLJ → QLK → QLL → QLM → · · ·
· · · QXH → QXI → RY J → RY K → · · · .
Wenn g die Grundstellung und r die Ringstellung ist, so bezeichnen wir mit
g ⊕ r n die Grundstellung nach n Anschlägen.
Die Enigma verschlüsselt also bei Walzlage p, UKW u, Grundstellung g, Ringstellung
r und Steckbrett-Permutation S einen Text X = x 0 x 1 x 2 · · · zu
ENIGMA p,u,g,r,S (X ) = E p,u,g,S (x 0 )E p,u,g⊕r1,S(x 1 )E p,u,g⊕r2,S(x 2 ) · · ·
Satz 1.5.3
a) ENIGMA p,u,g,r,S ist involutorisch: Sei Y ein Enigma-Chiffrat, das bei Ausgangstellung
(Schlüssel) k = (p, u, g, r, S) erzeugt wurde. Wenn man dann die
Maschine erneut in die Ausgangsstellung k bringt und den Geheimtext Y eingibt,
dann erhält man den Klartext zurück! Das ist natürlich sehr benutzerfreundlich.
b) Die Enigma-Verschlüsselung ist fixpunktfrei: Kein Buchstabe wird jemals in
sich selbst überführt. (Dies wird sich als eine entscheidende kryptologische Schwäche
herausstellen!)
Dies folgt leicht aus 1.5.2. Die kryptologische Stärke liegt in dem Stromchiffrencharakter:
Jeder Buchstabe wird mit einer anderen Permutation verschlüsselt.
Dies zerstört die Häufigkeitsverteilung des Klartextes und schleift Muster ab:
Z.B. wird ANNA nicht zu OTTO verschlüsselt.
Größe des Schlüsselraumes der Enigma
Teilschlüssel Möglichkeiten in Bit
Walzlage (incl. UKW) 5 · 4 · 3 · 2 = 120 ≈ 7
Grundstellung 26 3 ≈ 14
Ringstellung 26 2 ≈ 9
Steckbrett ≈ 150 · 10 12 ≈ 47
19

Mit insgesamt 77 Bit ist der Schlüsselraum für damalige Verhältnisse (ohne
Computer!) riesig; ein reiner Brute-Force-Angriff von Hand wurde zurecht für
völlig unmöglich gehalten. Zum Vergleich: DES hat einen 56-Bit Schlüssel, galt
bis in die 90er Jahre als sicher und wird zum Teil heute noch verwendet.
Der Löwenanteil von 47 Bit kommt allerdings von dem Steckbrett und das ist
das “weniger intelligente” Bauteil. Ein alleine betriebenes Steckbrett bewirkt
nur eine monoalphabetische Substitution, ist also kryptologisch recht schwach.
Kurz: Die Steckbrett-Permutation ändert sich während dem Tippen auf der
Enigma nicht.
Das kryptologisch sehr ausgeklügelte Hauptbauteil (der Walzsatz) macht nur 30
Bit aus.
Solange einem Angreifer die innere Verdrahtung der Walzen nicht bekannt ist,
kommen im Prinzip noch weitere ca. 300 Bit hinzu. Ich zähle dies aber nicht
zu dem Schlüsselraum, weil sich die innere Verdrahtung nicht von Tag zu Tag
ändert und somit als ein Teil der Maschine bzw. des Algorithmus und nicht als
Teil des einstellbaren Schlüssels anzusehen ist.
In der Tat wurde die innere Verdrahtung der fünf Rotoren von dem polnischen
Dechiffrierbüro um Rejewski bereits Anfang der 30er Jahre durch eine “kryptologische
Meisterleistung” aufgedeckt. Hierbei wurden sowohl abgehörte Nachrichten
als auch von dem Agenten Hans-Thilo Schmidt beigebrachte, streng vertrauliche
Dokumente über die Enigma benutzt. Später wurden drei weitere Rotoren
eingeführt, aber auch deren innere Verdrahtung blieb nicht lange geheim, denn
schon bald fielen den Engländern beim Aufbringen von deutschen U-Booten
gesamte Rotorensätze in die Hände. Dies ist eine eindrucksvolle Bestätigung
des Kerkhoffschen Prinzips: Man sollte niemals hoffen, den Verschlüsselungs-
Algorithmus (hier: den inneren Aufbau der Maschine) dauerhaft geheimhalten
zu können.
Welchman schreibt, es sei in der Zeit in Bletchley Park sein Alptraum gewesen,
die Deutschen könnten irgendwann zu steckbaren Walzen übergehen, deren innere
Verdrahtung sich von Tag zu Tag ändern läßt. Diese Angst läßt sich leicht
nachvollziehen, denn dies hätte den Schlüsselraum wirklich um weitere 300 Bit
vergrößert. In der Tat scheint es in Deutschland gegen Kriegsende Pläne für
eine steckbare UKW gegeben zu haben, aber diese Pläne wurden nicht mehr
realisiert.
Dienstvorschrift für das Aufbereiten des Klartextes Weitgehend dauerhaft
scheint die folgende Dienstvorschrift für die Aufbereitung des Klartextes
vor dem Verschlüsseln gegolten zu haben:
1. Entferne SPACE und ersetze Satzzeichen durch X.
2. Zahlen werden ziffernweise ausgeschrieben.
3. Ersetze CH durch Q, außer bei Eigennamen. (Ich halte es kryptologisch
durchaus für klug, das sehr häufige Bigramm CH zu vermeiden.)
4. Eigennamen sind zu verdoppeln und in X eizuschließen. (Dies ist m.E.
20

aus kryptologischer Sicht sehr schlecht. Vermutlich sollte diese Regelung
dem Problem vorbeugen, daß ein Eigenname durch Funkrauschen nicht
verstanden wird.)
Ein aufbereiteter Klartext könnte typischerweise so ausgesehen haben 25 :
DASOB ERKOM MANDO DERWE HRMAQ TGIBT
BEKAN NTXAA CHENX AACHE NXIST GERET
TETXD URQGE BUEND ELTEN EINSA TZDER
HILFS KRAEF TEKON NTEDI EBEDR OHUNG
ABGEW ENDET WERDE NUNDD IESTA DTGEG
ENXEI NSXAQ TXNUL LXNUL LXUHR SIQER
GESTE LLTWE RDENX
Dienstvorschrift: Spruchschlüssel
Es war den Deutschen bekannt, daß es aus kryptologischer Sicht gefährlich ist,
nacheinander eine Vielzahl von Nachrichten mit dem selben Schlüssel zu verschlüsseln.
Deshalb hat man mit Spruchschlüsseln gearbeitet. Die Schlüsselbucheinträge
sahen aber keine Spruchschlüssel sondern nur Tagesschlüssel vor,
die dann einen Tag lang für das ganze Schlüsselnetz gegolten haben; alles andere
wäre vermutlich zu aufwändig gewesen.
Die exakten Vorschriften bez. der Spruchschlüssel haben sich laufend geändert.
Ich gebe nur eine einzelne Regelung wieder, die eine Weile lang in Kraft gewesen
sein soll, und verzichte auf weitere Details: Der Sender entnimmt dem Schlüsselbuch
den Tagesschlüssel K = (p, u, r, g, S) und wählt zufällig eine Grundstellung
g ′ als und verschickt zunächst einmal c = ENIGMA K (g ′ ). Der Empfänger entschlüsselt
diesen Spruchschlüssel: g ′ = ENIGMA K (c). Dann wird die Übertragung
mit dem Schlüssel (p, u, r, g ′ , S) durchgeführt. Stereotype Spruchschlüssel
wie XYZ, ABC, QWE, PIA haben den Dechiffrierern in dieser Zeit die Arbeit
etwas erleichtert; aber selbst wenn der Spruchschlüssel von 7 Bit einmal erraten
wird, bleibt das Entschlüsseln schwierig, denn der Rest (p, u, r, S) des Schlüssels
macht immer noch 70 Bit aus.
Eine Dienstvorschrift für Schlüsselbuchersteller
Zeitweise war es verboten, in den Schlüsselbüchern Steckverbindungen zwischen
aufeinanderfolgenden Buchstaben vorzusehen. Es wurde also nicht AB oder BC
oder UV ect. gesteckert. Dies blieb den Dechiffrierern natürlich nicht lange verborgen
26 und wurde in Bletchley-Park “Consecutive Stecker Knock-Out”
genannt. Eine solche Vorschrift ist kryptologisch sehr schlecht; sie verkleinert nur
den möglichen Schlüsselraum, ohne Vorteile zu bringen. Man sollte AB weder
besonders häufig noch besonders selten steckern.
25 Das Beispiel findet sich vielerorts in der Literatur; vielleicht ist es authentisch.
26 Erfahrung, erbeutete/ausspionierte Schlüsselbuchseiten, ...
21

1.6 Kryptoanalyse der Enigma
Wie gesagt gelangen in den 40er Jahren regelmäßig Einbrüche in deutsche
Schlüsselnetze. Die Methoden waren vielfältig und wurden laufend angepaßt
an Verbesserungen, die an den eingesetzen Enigmas vorgenommen wurden, und
an Änderungen in deutschen Dienstvorschriften. Ich finde, die (Mathematik hinter
der) Kryptoanalyse der Enigma ist in der Literatur nur bedingt befriedigend
dargestellt. Mir geht es in diesem Abschnitt in keiner Weise darum historisch
auseinanderzusetzen, was genau zu welcher Zeit von wem gemacht wurde. Ich
will nur repräsentativ einige Methoden aufzeigen, die, laufend modifiziert und
um andere Methoden ergänzt, eine Rolle gespielt haben. Es soll demonstriert
werden, wo und in welcher Weise sich trotz des riesigen 77 Bit Schlüsselraumes
bei der Enigma-Chiffre der ein oder andere Hebel für einen Angriff ansetzen
läßt.
Cribs
Viele Angriffe auf die Enigma beginnen mit dem Erraten eines Wortes oder einer
Phrase, die im Klartext vorkommt. Ein solches “wahrscheinliches Wort” wurde
in Bletchley-Park “Crib” genannt. Im Militärjargon kamen stereotype Redewendungen
häufig vor, z.B. “Oberkommando der Wehrmacht”, “Nichts zu melden”,
Name und Rang des Empfängers wie “Obersturmbannführer Müller” ect. Die
Listen in Bletchley-Park waren endlos und es hat oft die Arbeit erleichtert, wenn
man wußte, woher die Nachricht kommt 27 .
Positionierung eines Cribs
Es wurde von den Erfindern als besonderer Vorteil der Enigma herausgestellt,
daß sie nie einen Buchstaben in sich abbildet (z.B. wird ANNA nie zu AXGF),
aber das ist in der Tat eine entscheidende Schwäche. Wenn nämlich bei einer fixpunktfreien
Permutationschiffre ein Klartextteil einmal richtig erraten ist, dann
kann man häufig seine genaue Position im Text bestimmen, oder wenigstens viele
Lagen von vorne herein ausschließen. Wir geben ein Beispiel: Nehmen wir an
wir hätten Grund zu der Annahme, daß der Klartext zu dem ENIGMA-Chiffrat
MCTJDLEXENQI das Wort MELDEN enthält. Wir schreiben den Crib an jede
denkbare Position unter das Chiffrat.
M C T J D L E X E N Q I
M E L D E N
M E L D E N
M E L D E N
M E L D E N
M E L D E N
M E L D E N
M E L D E N
Nun ist die erste Position unmöglich, weil niemals M auf M geht. Position zwei
ist auch unmöglich, weil sonst der fünfte Buchstabe D zu D verschlüsselt worden
wäre. So fortfahrend kann man hier alle Lagen außer der letzten ausschließen 28 .
27 Ein Wetterschiff sendet z.B. häufig WETTERVORHERSAGE
28 Ich gebe zu, das Beispiel ist günstig gewählt.
22

Wenn MELDEN überhaupt vorkommt, dann steht es also sicher ganz hinten!
Das Menü zu einem Crib
Nehmen wir an wir haben einen Crib richtig erraten und richtig positioniert.
Wir könnten z.B. mit obigen Methoden zu dem Schluß gekommen sein, dass die
Chiffrierung ab einer bekannten Position den Übergang
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
O B E R K O M M A N D O D E R
Z M G E R F E W M L K M T A W
16 17 18 19 20 21 22 23 24
W E H R M A C H T
X T S W V U I N Z
bewirkt hat. Sei Q i die (uns explizit nicht bekannte) Permutation, welche die
Enigma bei der i-ten Position bewirkt hat. Wir erhalten 24 Aussagen über
Q 1 , · · · , Q 24 :
Q 1 (O) = Z, Q 2 (B) = M, Q 3 (E) = G, · · · , Q 24 (T ) = Z.
Da Q i involutorisch ist (d.h. Q −1
i
müssen auch die Aussagen
= Q i ; Verschlüsseln gleich Entschlüsseln!)
Q 1 (Z) = O, Q 2 (M) = B, Q 3 (G) = E, · · · , Q 24 (Z) = T
gelten. Mehr über die Q i wissen wir vorerst nicht; zum Beispiel weiß man für
keinen Buchstaben außer O und Z, wie Q 1 auf ihn wirkt. Selbst wenn man für
Q 1 , · · · , Q 24 die Wirkung auf jeden Buchstaben kennen würde, so würde das bei
weitem nicht unmittelbar zu einer Entschlüsselung des ganzen Textes führen;
jeder Buchstabe wird ja anders verschlüsselt und vorerst haben wir keine einzige
Aussage über Q 25 , Q 26 ect. Aber immerhin.
Zu einem (positionierten) Crib ist der Übergangsgraph (im Jargon: das Menü)
wie folgt definiert. Ecken sind die Buchstaben die in dem erratenen Geheimtextstück
oder dem entsprechenden Klartextstück vorkommen. Zwei Ecken x
und y sind mit einer (ungerichteten Kante) verbunden, wenn P i (x) = y für ein
i gilt, und dann wird die entsprechende Kante mit i beschriftet. Wir zeichnen
einen relevanten Teil des Übergangsgraphen zu unserem Crib:
K
11
↔ D ↔
13
T
24
↔ Z
↕ 5 ↕ 17
R
4
↔ E ↕ 1
↕ 15, 19 ↕ 7
W
8
↔ M ↔
12
O
Wir sehen z.B.: Es gilt M = Q 7 (E), W = Q 8 (M) = Q 8 Q 7 (E), R = Q 15 (W ) =
Q 15 Q 8 Q 7 (E), E = Q 4 (R) = Q 4 Q 15 Q 8 Q 7 (E), d.h. E ist Fixpunkt von Q 4 Q 15 Q 8 Q 7 .
Wir drücken es nochmal anders aus: Wenn jemand, der den Schlüssel (p, u, r, g, S)
kennt, vier Enigmas mit der richtigen Walzlage, UKW, Ringstellung und Steckbrettverbindung
hintereinanderschaltet und bei diesen Maschinen die Grundstellungen
g ⊕ r 7, g ⊕ r 8, g ⊕ r 15, g ⊕ r 4 einstellt, so hat die Gesamtschaltung
E als Fixpunkt (obwohl die einzelnen Eingmas keinen Fixpunkt haben).
23

Aus dem Übergangsgraphen lassen sich nun eine ganze Reihe von Fixpunktaussagen
über den “zentralen” Knoten E herauslesen:
Q 4 Q 15 Q 8 Q 7 (E) = E,
Q 4 Q 19 Q 8 Q 7 (E) = E,
Q 13 Q 11 Q 5 Q 4 Q 17 (E) = E,
Q 17 Q 24 Q 1 Q 12 Q 7 (E) = E und übrigends auch
Q 7 Q 9 Q 14 (E) = E, aber das kommt aus einem nicht skizzierten
Teil des Graphen.
Sei nun P i die Permutation, die der Walzsatz (ohne Steckbrett) beim i-ten
Anschlag bewirkt hat und S die Steckbrett-Permutation. Dann gilt (beachte:
S = S −1 ) Q i = S −1 P i S, also P i = Q S i . Wenn x Fixpunkt von Q i 1 · · · Q it ist,
dann ist S(x) Fixpunkt von P i1 · · · P it nach 1.4.2. Im Beispiel ergibt sich:
1. Wenn E ungesteckert ist, dann ist E gemeinsamer Fixpunkt von P 4 P 15 P 8 P 7 ,
P 4 P 19 P 8 P 7 , P 13 P 11 P 5 P 4 P 17 , P 17 P 24 P 1 P 12 P 7 und P 7 P 9 P 14 .
2. Wenn E gesteckert ist, dann ist der mit E gesteckerte Buchstabe S(E) gemeinsamer
Fixpunkt von P 4 P 15 P 8 P 7 , P 4 P 19 P 8 P 7 , P 13 P 11 P 5 P 4 P 17 , P 17 P 24 P 1 P 12 P 7
und P 7 P 9 P 14 .
Noch fertigstellen
24

Kapitel 2
Elementare Zahlentheorie
2.1 Algebraische Grundbegriffe
Wir beginnen mit einigen algebraischen Grundbegriffen wie “Gruppe”, “Ring”
und “Körper”. Vieles davon wird aus anderen Vorlesungen bekannt sein. Die
folgenden Definitionen sind nicht schwer; man sollte ihren Inhalt aber wirklich
im Detail auswendig parat haben.
Definition 2.1.1 1. Ein Monoid ist ein Tupel (M, ◦, e) (kurz: M statt (M, ◦, e))
bestehend aus einer Menge M, einer assoziativen Verknüpfung ◦ : M ×
M → M und einem Element e ∈ M mit e ◦ x = x = x ◦ e für alle x ∈ M.
Das Element e wird neutrales Element der Verknüpfung ◦ genannt.
2. Eine Gruppe ist ein Monoid (G, ◦, e), in dem zu jedem x ∈ G ein y ∈ G
existiert mit x◦y = e = y◦x. Das Element y ist durch x eindeutig bestimmt
und wird inverses Element zu x genannt.
3. Ein Monoid (M, ◦, e) wird kommutativ oder abelsch genannt, wenn
seine Verknüpfung kommutativ ist, d.h. wenn x◦y = y◦x für alle x, y ∈ M
gilt.
In einer Gruppe, deren Verknüpfung mit · bezeichnet ist, sind e oder 1 gebräuchliche
Bezeichnungen für das neutrale Element und das zu x ∈ G inverse
Element wird mit x −1 bezeichnet. Es ist unüblich, die Verknüpfung in einer
nicht-kommutativen Gruppe mit + zu bezeichnen. Wenn G eine kommutative
Gruppe mit Verknüpfung + ist, dann ist es üblich, das neutrale Element mit o
oder 0 zu bezeichnen und für das zu x ∈ G inverse Element −x zu schreiben.
Bemerkung und Definition 2.1.2 1. Ein Ring ist ein Tupel (R, +, ·, 0, 1)
bestehend aus einer Menge R, zwei Verknüpfungen +, · : R × R → R und
25

Elementen 0, 1 ∈ R derart, dass folgendes gilt: (R, +, 0) ist eine kommutative
Gruppe, (R, ·, e) ist ein kommutatives Monoid und es gilt das
Distributivgesetz x(y + z) = xy + xz für alle x, y, z ∈ R.
2. Sei R ein Ring. Dann hat jedes Element x ∈ R eine inverses Element
(−x) bez. + mit x+(−x) = 0. Ein Element x ∈ R braucht im allgemeinen
aber kein Inverses bezüglich · haben; die Menge
R × := {x ∈ R | x hat ein multiplikatives Inverses}
kann viel kleiner sein als R. Es gilt immer 1 ∈ R × und (R × , ·, 1) ist immer
eine Gruppe. Diese Gruppe wird Einheitengruppe von R genannt und
die Elemente von R × heißen Einheiten. Das multiplikative Inverse einer
Einheit x ∈ R × wird mit x −1 bezeichnet; die Nicht-Einheiten haben per
Definition kein multiplikatives Inverses!
3. Ein Ring R heißt Integritätsring, wenn für x, y ∈ R aus xy = 0 schon
x = 0 oder y = 0 folgt und 0 ≠ 1 gilt.
4. Ein Ring K wird Körper genannt, wenn jedes von 0 verschiedene Element
eine Einheit ist und 0 ≠ 1 gilt, d.h. wenn K × = K \ {0} gilt.
Bemerkung 2.1.3 In einem Ring gilt immer 0x = 0. (Denn 0x + 0x = (0 +
0)x = 0x und wenn man −0x zu dieser Gleichung addiert, so erhält man 0x =
0.)
In einem Integritätsring gilt die Kürzungsregel ax = ay, a ≠ 0⇐x = y. (Denn
aus ax = ay folgt a(x − y) = 0 und wg. a ≠ 0 muß dann (x − y) = 0, d.h.
x = y gelten.) In einem beliebigen Ring braucht die Kürzungsregel nicht zu
gelten, außer wenn a eine Einheit ist.
Beispiel:
1. Wenn 0 = 1 in einem Ring R gilt (dies ist ein unnatürlicher Extremfall),
dann muss x = 1x = 0x = 0 für alle x ∈ R gelten; d.h. R = {0} besteht
nur aus dem einen Element 0, es gilt 0 + 0 = 0, 0 · 0 = 0 und 0 fungiert
gleichzeitig als Einselement. Dieser Ring R = {0} wird als Nullring bezeichnet.
Per Definition wird der Nullring weder als Integritätsring noch
als Körper angesehen.
2. Die ganzen Zahlen Z bilden einen Integritätsring, der aber kein Körper
ist. Wegen 1 · 1 = 1 und (−1)(−1) = 1 sind 1 und −1 Einheiten. Weitere
Einheiten gibt es nicht. (Wenn die Gleichung xy = 1 mit ganzen Zahlen
xy ∈ Z gilt, dann folgt |x||y| = 1 und |x|, |y| sind sogar natürliche Zahlen
≥ 1. Wäre |x| ≥ 2 oder |y| ≥ 2, so wäre |x||y| ≥ 2 zu groß. Daher muss
|x| = 1 gelten, und das bedeutet x ∈ {1, −1}. ) Die Einheitengruppe von
Z ist also Z × = {1, −1}. Der Ring Z steht im Zentrum des Interesses der
elementaren Zahlentheorie.
3. Q, R und C sind Bespiele von Körpern. Es gilt also Q × = Q \ {0}. Z.B.
hat 2 in Q ein multiplikatives Inverses 2 −1 = 1 2 in Q, aber 1 2
/∈ Z. Somit
ist 2 eine Einheit in Q aber eine Nicht-Einheit in Z.
26

4. Wir werden später für das Rechnen modulo N die Restklassenringe Z/NZ
definieren und zeigen, dass Z/NZ für nicht-primes N ≥ 2 kein Integritätsring
ist. Für eine Primzahl p ist Z/pZ ein Körper.
Teilbarkeitstheorie
Sei R ein Integritätsring. Man darf beim ersten Lesen R = Z annehmen. Sei
a, b ∈ R. Man nennt a einen Teiler von b bzw. b ein Vielfaches von a (in
Formeln: a | b), wenn ein r ∈ R mit ar = b existiert. (Z.B. gilt in Z: 3 ist
ein Teiler von 12 (d.h. 3 | 12), weil 3 · 4 = 12 gilt. Aber auch −3 ist wegen
(−3)(−4) = 12 ein Teiler von 12; in Formeln: (−3) | 12.)
Bemerkung 2.1.4 Durch | wird eine Relation auf den Elementen von R definiert.
1. Diese Relation ist reflexiv: Es gilt a | a für alle a ∈ R. Sie ist auch
transitiv: Wenn a ein Teiler von b und b ein Teiler von c ist, dann ist
a ein Teiler von c. Die Relation | ist nicht antisymmetrisch, also keine
partielle Ordnung (siehe aber 2.).
2. Wir nennen zwei Elemente a, b ∈ R zueinander assoziiert (in Formeln:
a ∼ b), wenn a|b und b|a gilt. Genau dann ist a zu b assoziiert, wenn eine
Einheit u ∈ R × mit au = b existiert. (Beispiel: Zwei Zahlen a, b ∈ Z sind
genau dann zueinander assoziiert, wenn sie bis auf evtl. das Vorzeichen
gleich sind, d.h. genau dann, wenn |a| = |b| gilt. Das liegt daran, dass
Z × = {1, −1} ist.)
3. Das Nullelement 0 wird von jedem anderen Element von R geteilt, d.h. es
gilt a | 0 für alle a ∈ R.
4. Ist w ∈ R × eine Einheit, so teilt w jedes andere Element a ∈ R.
5. Aus x | a und x | b folgt x | (a + b). Aus x | a folgt x | ab für alle b.
Beweis. Zu 3.) Wir zeigen: a | b und b | a ⇐⇒ ∃u ∈ R × : au = b.
“⇐”: Gelte au = b mit einer Einheit u. Dann folgt sofort a | b. Multipliziert
man die Gleichung au = b mit u −1 (u −1 existiert, weil u eine Einheit ist), so
erhält man a = bu −1 , also b | a.
“⇒”: Gelte a | b und b | a. Dann gibt es u, v ∈ R mit au = b und bv = a. Wenn
b = 0 gilt, so muss auch a = 0 sein und dann gilt a · 1 = b. Nehme b ≠ 0 an. Wir
zeigen, dass u Einheit ist. (Dann sind wir wg. au = b fertig.) Sezte a = bv in
b = au ein. Es folgt b = au = bvu. Da R ein Intgritätsring war und b ≠ 0 gilt,
darf man b kürzen (vgl. 2.1.3). Es folgt vu = 1. Daher ist u ∈ R × .
Die anderen Aussagen sind einfacher und wir überlassen sie dem Leser als
Übungsaufgabe.
□
Für a, b ∈ R sei gT (a, b) = {x ∈ R : x | a und x | b} die Menge der gemeinsamen
Teiler von a und b. Ein Element g ∈ R wird ein größter gemeinsamer Teiler
27

von a und b genannt, wenn g ein größtes Element (bez. der Teilbarkeitsrelation
|) der Menge der gemeinsamen Teiler gT (a, b) ist. Explizit: Genau dann ist g
ein größter gemeinsamer Teiler von a und b, wenn g ein gemeinsamer Teiler von
a und b ist und g von jedem anderen gemeinsamen Teiler g ′ ∈ gT (a, b) geteilt
wird.
Wenn g und ˜g zwei größte gemeinsame Teiler von a und b sind, dann muss g zu ˜g
assoziiert sein. Wir schreiben ggT (a, b) für die Menge der größten gemeinsamen
Teiler von a und b.
Für ganze Zahlen a, b ∈ Z werden wir im nächsten Abschnitt sehen, dass zu a
und b immer ein größter gemeinsamer Teiler g existiert und dann ist im Sinne
obiger Definition auch −g ein größter gemeinsamer Teiler von a und b. Weitere
größte gemeinsame Teiler von a und b gibt es nicht. Natürlich könnte man hier
vereinbaren, dass immer der nichtnegative ggT zu bevorzugen ist; eine solche
Voschrift will ich aber nicht treffen - sie hätte ohnehin nur im Spezialfall R = Z
Sinn.
Beispiel: Wir arbeiten nun in Z. Sei a = −18 und b = 12. Die Menge der
gemeinsamen Teiler von a und b ist gT (−18, 12) = {1, −1, 2, −2, 3, −3, 6, −6}.
Daher ist 6 ∈ ggT (−18, 12) aber auch −6 ∈ ggT (−18, 12). Die Zahl −3 ist zwar
ein gemeinsamer Teiler von −18 und 12, aber kein größter gemeinsamer Teiler
dieser beiden Zahlen.
Idealtheorie
Definition 2.1.5 Sei R ein Ring. Eine Teilmenge I ⊂ R wird Ideal genannt,
wenn I abgeschlossen ist bez. der Addition + (d.h. x + y ∈ I für alle x, y ∈ I)
und rx ∈ I für alle r ∈ R und alle x ∈ I gilt 1 .
Für a ∈ R sei (a) R := Ra := {ra | r ∈ R} die Menge der durch a teilbaren
Elemente von R. Dann ist (a) R ein Ideal nach 2.1.4.5. Man nennt (a) R das von
a erzeugte Hauptideal. Allgemeiner sei für a 1 , · · · , a n ∈ R sei
(a 1 , · · · , a n ) R := {r 1 a 1 + · · · r n a n | r i ∈ R beliebig}
die Menge aller Linearkombinationen der a i mit Koeffizienten in R. Man sieht
leicht, dass auch (a 1 , · · · , a r ) R ein Ideal ist.
Beispiel: In jedem Ring R ist {0} und auch R ein Ideal.
Das Hauptideal (2) Z von Z besteht aus den geraden Zahlen, (2) Z = {0, 2, −2, 4, −4, · · ·}.
Das Ideal (6, 10) Z von Z besteht aus allen Zahlen von der Form 6n + 10m mit
n, m ∈ Z. Z.B. liegt 7 · 6 + (−4) · 10 = 2 in diesem Ideal: 2 ∈ (6, 10) Z .
Bemerkung 2.1.6 Sei R ein Ring und I ein Ideal. Seien a i , b j , a, b ∈ R.
1. Genau dann gilt (a 1 , · · · , a n ) R ⊂ I, wenn alle a i in I liegen.
1 Beachte: rx ∈ I wird verlangt für alle r ∈ R, x ∈ I; nicht nur für r, x ∈ I
28

2. Genau dann gilt (a 1 , · · · , a n ) R ⊂ (b 1 , · · · , b m ) R , wenn sich jedes a i als
Linearkombination der b j mit Koeffizienten in R schreiben läßt.
3. Die Idealformel (a) R ⊂ (b) R ist äquivalent zu b | a.
Beweis. Zu 1.) Wenn alle a i in I liegen, dann gilt nach der Idealeigenschaft 2.1.5
r i a i ∈ R für alle r i ∈ R. Wieder nach 2.1.5 ist I aber auch unter Summenbildung
abgeschlossen und daher gilt r 1 a 1 + · · · + r n a n ∈ I für jede Wahl der r i ∈ R.
Daher enthält I jede Linearkombination der a i mit Koeffizienten in R, also jedes
Element von (a 1 , · · · , a n ) R . Die anderen Aussagen folgen leicht aus 1.) und den
Definitionen.
Beispiel: Wir zeigen, dass (2) Z = (6, 10) Z gilt.
“⊂” Durch 2 = 7 · 6 + (−4) · 10 wird 2 als Linearkombination aus 6 und 10
erkannt, d.h. 2 ∈ (6, 10) Z . Mit Teil 1. von 2.1.6 folgt (2) Z ⊂ (6, 10) Z .
“⊃” Um (2) Z ⊃ (6, 10) Z zu zeigen, reicht es nach 2.1.6 6 ∈ (2) Z und 10 ∈ (2) Z
zu zeigen. Das ist aber klar, da (2) Z = {2r|r ∈ Z} die Menge der geraden Zahlen
ist.
Die Idealformel (2) Z = (6, 10) Z stellt in bündiger Weise die folgende arithmetische
Information dar: Die Zahlen der Form 6n + 10m (vgl. das vorige Bsp.) sind
genau die geraden Zahlen.
Satz 2.1.7 Sei a, b, g ∈ R. Wenn (a, b) R = (g) R gilt, dann muss g ein größter
gemeinsamer Teiler von a und b sein.
Beweis: Es gelte die Idealformel (a, b) R = (g) R . Dann folgt a ∈ (g) R und b ∈
(g) R , d.h. g | a und g | b. Daher ist g ein gemeinsamer Teiler von a und b.
Ferner folgt aus der Idealformel, dass g ∈ (a, b) R gilt. D.h. es gibt u, v ∈ R mit
g = au+bv. Wenn ˜g ein weiterer gemeinsamer Teiler von a und b ist, dann muss
˜g (nach 2.1.4.5) auch den Ausdruck au + bv = g teilen . Daher ist g in der Tat
größter gemeinsamer Teiler von a und b.
□
2.2 Euklidischer Algorithmus
Im Ring Z kann man Divisionen mit Rest durchführen. Ein euklidischer Ring
ist grob gesprochen ein Ring, in dem Divisionen mit Rest immer möglich sind:
Definition 2.2.1 Ein euklidischer Ring ist ein Paar (R, ‖ ‖) bestehend aus
einem Integritätsring R und einer Abbildung ‖ ‖ : R → N mit ‖x‖ = 0 ⇐⇒
x = 0 derart, dass folgendes gilt:
Zu a, b ∈ R mit b ≠ 0 existieren q, r ∈ R mit a = qb + r und ‖r‖ < ‖b‖.
Wir schreiben oft “a ÷ b = q Rest r” statt “a = qb + r und ‖r‖ < ‖b‖”.
29

Satz 2.2.2 (Z, | |) ist ein euklidischer Ring. Dabei ist | | der gewöhnliche Absolutbetrag.
Beweis: Aus der Analysis dürfte bekannt sein, dass jede nicht-leere, beschränkte
Teilmenge von N ein maximales Element hat.
Sei a, b ∈ Z mit b ≠ 0. Wir nehmen der Einfachheit halber a, b ≥ 0 an. X := {x ∈
N | xb ≤ a} ist eine beschränkte Teilmenge von N (hier geht das archimedische
Prinzip ein!) mit 0 ∈ X. Sei q = max(X) das maximale Element von X und
r := a − qb. Dann gilt a = qb + r und es genügt r < b zu zeigen. Wäre r ≥ b,
dann würde a = qb + r ≥ qb + b = (q + 1)b folgen, also q + 1 ∈ X; dies wäre ein
Widerspruch zur Maximalität von q.
□
Man hat auch einen effizienten Algorithmus zur Berechnung von a ÷ b in Z, der
vermutlich jedermann bekannt ist. Wir erläutern ihn anhand eines Beispiels.
Beispiel:
1 2 5 3 ÷ 1 3 = 9 6 Rest 5
1 1 7
− − −
8 3
7 8
− −
5
Daher gilt 1253 ÷ 13 = 95 Rest 5 oder, anders ausgedrückt: 1253 = 95 · 13 + 5
und 5 < 13.
Ein Ring R heißt Hauptidealring, wenn jedes Ideal von R ein Hauptideal ist.
Satz 2.2.3 Jeder euklidische Ring (R, ‖ ‖) ist ein Hauptidealring. Insbesondere
ist jedes Ideal von Z ein Hauptideal.
Beweis: Sei I ein Ideal von R. Falls I = {0}, so ist I ein Hauptideal. Wenn
I ≠ {0}, dann sei
k = min({‖a‖ : a ∈ I \ {0}}
und a ∈ I \ {0} ein Element mit ‖a‖ = k. Offenbar gilt I ⊃ (a) R . Es reicht zu
zeigen, dass I ⊂ (a) R gilt, d.h. dass jedes Element von I durch a teilbar ist.
Sei x ∈ I beliebig. Wir können x mit Rest durch a teilen: Es gibt q, r ∈ Z mit
x = qa + r und ‖r‖ < ‖a‖. Die Gleichung r = x + (−q)a zeigt, dass r ∈ I gilt
(vgl. 2.1.5). Wegen der Minimalität von a muß ‖r‖ = 0 gelten. Daher geht obige
Divison mit Rest auf: x = qa. Also ist x durch a teilbar.
□
Bemerkung 2.2.4 Sei R ein Hauptidealring (z.B. R = Z) und a, b, g ∈ R.
Genau dann gilt (a, b) R = (g) R , wenn g ein größter gemeinsamer Teiler von a
und b ist. Insbesondere hat jedes g ∈ ggT (a, b) eine Darstellung g = au + bv mit
u, v ∈ R.
30

Mit anderen Worten: Die Hauptidealerzeuger von (a, b) R sind genau die größten
gemeinsamen Teiler von a und b.
Beweis: Wenn (a, b) R = (g) R gilt, dann muß g ∈ ggT(a, b) nach 2.1.7 gelten.
Wir beweisen die andere Implikation. Sei g ∈ ggT (a, b). Da R nach Voraussetzung
ein Hauptidealring ist, muss ein h ∈ R mit (a, b) R = (h) R existieren. Nach
2.1.7 ist h (wie auch g) ein ggT von a und b. Es folgt h | g und g | h, also
(g) R = (h) R = (a, b) R .
□
Folgerung 2.2.5 Sei R ein Hauptidealring. Dann haben je zwei Elemente a, b ∈
R einen größten gemeinsamen Teiler.
Sei (R, ‖ ‖) ein euklidischer Ring. Wir schildern nun den euklidischen Algorithmus,
der folgendes leistet:
1. Berechnung eines größten gemeinsamen Teilers g zweier Elemente a und
b. Das Verfahren ist so effizient, dass es ggT(a, b) sogar in Fällen schnell
berechnen kann, in denen es aus Laufzeitgründen nicht mehr möglich ist,
a und b in Primfaktoren zu zerlegen!
2. Berechnung von Elementen u, v ∈ R mit au + bv = g.
Lemma 2.2.6 Sei a, b ∈ R mit b ≠ 0. Sei a ÷ b = q Rest r. Dann gilt 2 :
a) (a, b) R = (b, r) R .
( ) ( ) ( b 0 1 a
b) =
r 1 −q b
)
.
Beweis: Aus a ÷ b = q Rest r folgt a = qb + r und diese Formel erkennt a als
Linearkombination von b und r, d.h. a ∈ (b, r) R . Da offenbar auch b ∈ (b, r) R
gilt, folgt (a, b) R ⊂ (b, r) R .
Für die umgekehrte Inklusion ist b ∈ (a, b) R (dies ist aber klar!) und r ∈ (a, b) R
zu zeigen. Die Gleichung a = qb + r kann man zu r = a + (−q)b umstellen, und
dies zeigt r ∈ (a, b) R .
Die Matrixgleichung ist offensichtlich erfüllt.
□
Wir führen den euklidischen Algorithmus an einem Beispiel vor.
( ) a 2 Beachte: (a, b) R ⊂ R ist ein Ideal und ∈ R
b
2 ein Vektor.
31

Beispiel: Wir wollen ggT(51, 33), also den Hauptidealerzeuger von (51, 33) Z
berechnen.
51 ÷ 33 = 1 Rest 18,
d.h. 51 = 1 · 33 + 18 (1)
33 ÷ 18 = 1 Rest 15,
d.h. 33 = 1 · 18 + 15 (2)
18 ÷ 15 = 1 Rest 3,
d.h. 18 = 1 · 15 + 3 (3)
15 ÷ 3 = 5 Rest 0,
d.h. 15 = 5 · 3 + 0 (4)
L
⇐
L
⇐
L
⇐
L
⇐
(51, 33) Z = (33, 18) Z
(33, 18) Z = (18, 15) Z
(18, 15) Z = (15, 3) Z
(15, 3) Z = (3, 0) Z
An den mit L gekennzeicheten Stellen wurde obiges Lemma 2.2.6 Teil a) verwendet.
Offenbar gilt (3, 0) Z = (3) Z . Die Idealgleichungen auf der rechten Seite
zeigen zusammengenommen, dass (51, 33) Z = (3, 0) Z = (3) Z gilt. Also ist
3 ∈ ggT (51, 33).
Will man eine Gleichung 51n + 33m = 3 finden, die es nach 2.2.4 ja geben muss,
so braucht man nur die Gleichungen (1)-(3) von unten beginnend ineinander
einzusetzen:
3 (3)
= 18−15 (2)
= 18−(33−18) = (−1)·33+2·18 (1)
= (−1)·33+2·(51−33) = (−3)·33+2·51.
Wer das Rechnen mit dem euklidischen Algorithmus gewohnt ist und die Darstellung
3 = (−3) · 33 + 2 · 51 nicht braucht, wird bei der Berechnung von
ggT(51, 33) wohl nur die folgende Kette von Idealgleichungen zu Papier bringen,
und die anfallenden Divisionen mit Rest im Kopf erledigen:
(51, 33) Z = (33, 18) Z = (18, 15) Z = (15, 3) Z = (3, 0) Z = (3) Z .
Aus algorithmischer Sicht ist obiges Vorgehen nicht ganz ideal, weil für das
Rückwärtseinsetzen alle Ergebnisse der anfänglichen Rechnung gespeichert werden
müssen. Der folgende Algorithmus vermeidet dieses Problem. Um ihn zu
verstehen, ist es günstig, folgendes durchzudenken: Zur Berechnung von n, m
mit 51n + 33m = 3 kann man mit Teil b) von Lemma 2.2.6 alternativ wie folgt
32

vorgehen:
( ) 33
(1) : =
18
(2) :
(3) :
(4) :
( 0 1
1 −1
) ( 51
33
( ) ( ) ( )
18 0 1 33
=
=
( 15 ) 1( −1
)
18
1 −1 51
−1 2 33
( ) ( ) ( )
15 0 1 18
=
=
( 3 ) 1( −1)
15
−1 2 51
2 −3 33
( ) ( ) ( )
3 0 1 15
=
=
( 0 1) ( −5 ) 3
2 −3 51
−11 17 33
)
( 0 1
1 −1
( 0 1
1 −1
( 0 1
1 −5
) 2 ( 51
33
)
=
) ( 1 −1
−1 2
) ( −1 2
2 −3
) ( 51
33
) ( 51
33
)
=
)
=
Daraus folgt (51, 33) Z = (3) Z und die erste Zeile der letzten Matrix-Gleichung
liefert 3 = 2 · 51 − 3 · 31.
□
Algorithmus 2.2.7 (Euklidischer Algorithmus)
Eingabe: x, y ∈ R.
Initialisierung: a = x, b = y, M :=
( 1 0
0 1
Schleife: While b ≠ 0 do { Berechne ( q, r mit a ) ÷ b = q Rest r.
0 1
Überschreibe: a := b, b := r, M :=
M. }
1 −q
Ausgabe: (a, M[1, 1], M[1, 2]). Dann gilt (a) R = (x, y) R , a ∈ ggT(x, y) und a =
M[1, 1]x + M[1, 2]y.
( ) a
Man beachte, daß nach jedem Schleifendurchlauf (a) R = (x, y) R und =
( )
b
x
M gilt. Da der Betrag von b bei jedem Durchgang um mindestes 1 absinkt,
wird die while-Schleife spätestens nach |y| Schritten
y
verlassen.
)
.
2.3 Primfaktorzerlegung
Eine natürliche Zahl p ≥ 2 heißt Primzahl genau dann, wenn für x, y ∈ N aus
p = xy schon x = 1 oder x = p folgt. Das ist genau dann der Fall, wenn 1 und
33

p die einzigen nicht-negativen Teiler von p sind.
Lemma 2.3.1 (Lemma von Bézout) Sei p eine Primzahl und a, b ∈ Z. Wenn
p | ab gilt, dann gilt p | a oder p | b.
Dies wird aus Satz 2.5.4 folgen, den wir später beweisen werden. (Natürlich werden
wir die Ergebnisse dieses Abschnittes nicht im Beweis von 2.5.4 benutzen.)
Satz 2.3.2 Zu jeder natürlichen Zahl N ≥ 2 gibt es Primzahlen p 1 , · · · , p t mit
N = p 1 · · · p t . Diese Darstellung als Produkt von Primzahlen ist bis auf die
Reihenfolge der Faktoren eindeutig.
Beweis: Die Existenz der Primfaktorzerlegung zeigen wir durch vollständige
Induktion nach N. Der Fall N = 2 ist klar. Im Induktionsschritt N − 1 → N
zeigen wir, dass N ein Produkt von Primzahlen ist, wenn jede Zahl N ′ mit
2 ≤ N ′ < N als Produkt von Primzahlen geschrieben werden kann. Falls N eine
Primzahl ist, so sind wir fertig. Falls N nicht prim ist, so kann man N = N ′ N ′′
mit 2 ≤ N ′ , N ′′ < N schreiben und sowohl N ′ als auch N ′′ sind nach Induktions-
Hypothese Produkte von Primzahlen. Daher ist N ein Produkt von Primzahlen.
Zur Eindeutigkeit der Darstellung: Gelte N = p 1 · · · p r = q 1 · · · q s mit Primzahlen
p i , q i und mit r ≤ s. Wir zeigen durch vollständige Induktion nach s,
daß es eine Bijektion σ : {1, · · · , s} → {1, · · · , r} mit q i = p σ(i) ∀i gibt. Dies
ist klar, wenn s = 1. Sei s ≥ 2. Dann gilt q s | p 1 · · · p r und nach dem obigen
Lemma von Bézout gibt es ein k ∈ {1, · · · , r} mit q s | p k , d.h. mit q s = p k . Dann
folgt 3 p 1 · · · ˆp k · · · p r = q 1 · · · q s−1 und nach Induktions-Hypothese gibt es eine
Bijektion ˜σ : {1, · · · , r} \ {k} → {1, · · · , s − 1} mit p˜σ(i) = q i ∀1 ≤ i ≤ s − 1.
Die Bijektion σ mit σ(i) = ˜σ(i) für 1 ≤ i ≤ s − 1 und mit σ(s) = k leistet das
Gewünschte.
□
Aus algorithmischer Sicht ist das Berechnen der Primfaktorzerlegung sehr zeitaufwändig.
Beispiel: Es gilt 300 = 2 · 2 · 3 · 5 · 5 = 2 2 · 3 · 5 2 und 1750 = 2 · 5 3 · 7. Dies wurde
“durch Probedivision” errechnet.
□
Bemerkung 2.3.3 Seien p 1 , · · · , p t paarweise verschiedene Primzahlen. Sei e 1 , · · · , e t ∈
N und f 1 , · · · , f t ∈ N. Sei x = p e1
1 · · · pet t und y = p f1
1 · · · pft t .
1. Genau dann gilt x | y, wenn e i ≤ f i für alle i ∈ {1, · · · , t} gilt.
2. g := ∏ t
i=1 pmin(ei,fi)
i ist ein größter gemeinsamer Teiler von x und y.
Beispiel: Wir wollen das nicht-negative g ∈ ggT(300, 1750) berechnen. Es gilt
300 = 2 2 · 3 · 5 2 · 7 0 und 1750 = 2 · 3 0 · 5 3 · 7. Also folgt g = 2 · 5 2 = 50. □
3 Der Hut bedeutet, daß der entsprechende Faktor ausgelassen wird.
34

2.4 Restklassenringe
Sei (G, +) eine abelsche Gruppe und I ⊂ G eine Untergruppe. Für a, b ∈ G
setzen wir im folgenden a = b mod I (sprich: a ist kongruent b modulo I), wenn
b − a ∈ I gilt. Eine solche Aussage a = b mod I wird Kongruenz genannt.
Durch − = − mod I ist eine Relation auf G gegeben. Auch a ≡ b mod I,
a ≡ b(I) oder a = b(I) statt a = b mod I ist gebräuchlich.
Bemerkung 2.4.1 Sei N ≥ 1 und G := (Z, +) die additive Gruppe des Ringes
Z. Dann ist das Ideal (N) Z = NZ eine Untergruppe von G; sie besteht aus den
durch N teilbaren ganzen Zahlen. Insbesondere gilt x = y mod NZ genau dann,
wenn y − x durch N teilbar ist. Es wird manchmal x = y mod N oder kurz
x = y(N) statt x = y mod NZ geschrieben.
Wenn x ÷ N = q Rest r gilt, dann ist x − r = qN durch N teilbar und es folgt
x = r mod NZ. Zu jedem x ∈ Z gibt es also ein r ∈ {0, 1, · · · , N − 1} mit
x = r mod NZ. Diese Zahl r ist offenbar durch x und N eindeutig bestimmt
und wird der (kleinste nicht-negative) Repräsentant von x modulo NZ
genannt.
Beispiel: In Z gilt 23 = 3 mod 5Z, weil 3 − 23 = −20 durch 5 teilbar ist. 3 ist
auch der kleinste nicht-negative Repräsentant von 23 modulo 3. Genauso gilt
−14 = 1 mod 5Z (beachte: 1 − (−14) = 15 ist ein Vielfaches von 5) und 1 ist
der kleinste Repräsentant von −14 modulo 5.
Es gilt 1214 = 1208 mod 3Z, denn 1208 − 1214 = −6 ist durch 3 teilbar; aber
1208 /∈ {0, 1, 2} ist nicht der kleinste Repräsentant.
Was ist der Repräsentant von 1214 modulo 3Z? Um dies zu beantworten, rechnet
man 1214 ÷ 3 = 403 Rest 2 und erkennt 1214 = 2 mod 3Z. Also ist 2 ∈ {0, 1, 2}
der gesuchte Repräsentant.
□
Bemerkung 2.4.2 Sei (G, +) eine abelsche Gruppe, I ⊂ G eine Untergruppe
und x, y, x ′ , y ′ ∈ G.
1. Die Relation − = − mod I ist eine Äquivalenzrelation.
2. Wenn x = y mod I und x ′ = y ′ mod I gilt, dann folgt x+x ′ = y+y ′ mod I.
3. Wenn (G, +) die additive Gruppe eines Ringes (G, +, ·) und I ein Ideal
ist, dann folgt aus x = y mod I und x ′ = y ′ mod I schon xx ′ = yy ′ mod I.
Beweis: Wir verweisen auf die Übung.
□
Beispiel: Aus 112 = 2 mod 10Z und 111324 = 4 mod 10Z folgt unter Beachtung
von Teil 3. der obigen Bemerkung 112·111324 = 2·4 = 8 mod 10Z. Auf diese Art
berechnet sich der Repräsentant 8 von 112·111324 modulo 10 leichter, als durch
folgende Rechnung: 112 · 111324 = 12468288 und 12468288 = 8 mod 10. Beim
35

Arbeiten mit Kongruenzen ist es rechentechnisch günstig (aber nicht Pflicht)
bei jedem Teilschritt zum kleinsten Repräsentanten überzugehen.
□
Wir geben ein weiteres Beispiel, da es an dieser Stelle leicht zu anfänglichen
Verständnisschwierigkeiten kommen kann.
Beispiel: Die Rechnung
13 · (11 + 12) = 3 · (1 + 2) = 9 mod 5Z
ist völlig korrekt. Es ist bei solchen Rechnungen üblich (aber nicht Pflicht)
beim Endergebnis zum kleinsten Repräsentanten überzugehen, d.h. bei obiger
Rechnung noch 9 = 4 mod 5 anzufügen.
Der Autor fühlt sich an das Bruchrechnen erinnert. Die Rechnung
1
11 (1 3 + 1 8 ) = 1 33 + 1 88 + 33
=
88 33 · 88 = 121
2904
zeugt zwar nicht von besonderem Geschick im Umgang mit Zahlen, aber sie ist
121
völlig korrekt. Man würde wohl üblicherweise noch kürzen:
2904 = 1 24
; aber das
ist kein Muß.
Beim Bruchrechnen kann es manchmal geschickt sein, geeignet zu erweitern.
Beim Rechnen mit (oder bei Beweisen zu) Kongruenzen kann durchaus einmal
ein Teilschritt der Form 4 = 99 mod 5Z vorkommen. a = b mod NZ ist per
Definition nur eine Aussage, die wahr oder falsch ist, je nachdem, ob b−a ∈ NZ
oder b − a /∈ NZ gilt.
Sei (G, +) eine abelsche Gruppe und I ⊂ G eine Untergruppe. Wir verfolgen nun
das Ziel, eine neue abelsche Gruppe G/I zu konstruieren, in der das Modulo-
Rechnen stattfindet. Jede prinzipielle Aussage über abelsche Gruppen soll eine
Aussage über das Modulo-Rechnen liefern.
Für a ∈ G setzen wir 4 [a] I := a + I := {a + x|x ∈ I} - dies ist die Teilmenge
von G, die aus denjenigen Elementen besteht, die gleich a modulo I sind: [a] I =
{y ∈ G | y = a mod I}. Mit anderen Worten: [a] I ist die Äquivalenzklasse von a
bezüglich der Äquivalenzrelation − = − mod I. Man nennt [a] I die Restklasse
von a modulo I. Offenbar gilt a ∈ [a] I .
Bemerkung 2.4.3 Sei a, b ∈ G.
1. Genau dann gilt [a] I = [b] I , wenn a = b mod I gilt. Wenn a ≠ b mod I
gilt, dann sind die Mengen [a] I und [b] I disjunkt, d.h. [a] I ∩ [b] I = ∅.
2. Die Abbildung ϕ : I → [a] I , x ↦→ x + a ist bijektiv.
Beweis: Zu 1.) Sei a ≠ b mod I. Wäre x ∈ [a] I ∩ [b] I , so folgte x = a mod I
und x = b mod I, also a = x = b mod I. Widerspruch. Ist aber a = b mod I,
4 Die Bezeichnung [a] I ist nicht Standardterminologie, wohl aber die (längere) Bezeichnung
a + I; andere Autoren verwenden a oder [a] oder · · ·.
36

so gilt x ∈ [a] I ⇐⇒ x = a mod I ⇐⇒ x = b mod I ⇐⇒ x ∈ [b] I für alle
x ∈ G, d.h. [a] I = [b] I .
Zu 2.) Man sieht leicht, dass ϕ wohldefiniert ist, d.h. dass ϕ wirklich nur Werte
in [a] I annimmt. Aus ϕ(x) = ϕ(y) folgt x + a = y + a und dies impliziert x = y.
Somit ist ϕ injektiv. Für jedes z ∈ [a] I gibt es nach der Definition der Menge
[a] I ein x ∈ I mit x + a = z, d.h. mit ϕ(x) = z. Deshalb ist ϕ surjektiv. □
Wir werden im folgenden die Menge aller Restklassen G/I := {[a] I | a ∈ G}
betrachten. [a] I ist bereits eine Teilmenge von G. Daher ist G/I eine Menge von
Mengen.
Wir sagen es noch einmal: Oft sind die Mengen [a] I und [b] I gleich, obwohl
a ≠ b gilt (vgl. Teil 1. obiger Bemerkung). Das ist letzten Endes der
Sinn der Konstruktion. Somit ist die Mächtigkeit von G/I in aller Regel
kleiner als die Mächtigkeit von G. Es kann z.B. vorkommen, dass G unendlich
und G/I endlich ist.
Beispiel: Sei G = (Z, +). Für a ∈ Z sei [a] := [a] 3Z . Es gilt
[0] = 3Z = {· · · , −6, −3, 0, 3, 6, · · ·}.
[1] besteht aus allen Zahlen, die gleich 1 modulo 3Z sind, d.h.
Genauso folgt
[1] = 1 + 3Z = {· · · , −5, −2, 1, 4, 7, · · ·}.
[2] = 2 + 3Z = {· · · , −4, −1, 2, 5, 8, · · ·},
[3] = 3 + 3Z = {· · · , −3, 0, 3, 6, 9, · · ·},
[4] = 4 + 3Z = {· · · , −2, 1, 4, 7, 10, · · ·}
u.s.w. Man sieht, dass [3] = [0], [4] = [1], [5] = [2], [6] = [0], [7] = [1] u.s.w. gilt.
Per Definition ist Z/3Z die Menge aller Restklassen,
Z/3Z = {[a] : a ∈ Z} = {·, [−1], [0], [1], [2], [3], [4], · · ·}.
In dieser Definition einer Menge sind aber (extrem) viele Elemente mehrfach
aufgeführt, was bei der Definiton einer Menge ja nicht verboten ist. Ohne Mehrfachauflistung
geschrieben gilt:
Z/3Z = {[0], [1], [2]},
und das ist eine endliche, 3-elementige Menge.
Auch sieht man, dass die Restklassen [1] und [2], die als Mengen verschieden sind
([1] ≠ [2]), überhaupt kein gemeinsames Element haben: [1]∩[2] = ∅ und ebenso
[0]∩[2] = ∅, [0]∩[1] = ∅. Auch diese Eigenschaft war nach obiger Bemerkung zu
erwarten. Ferner gilt Z = [0] ∪ [1] ∪ [2], da jede ganze Zahl entweder = 0 mod 3Z
oder = 1 mod 3Z oder gleich = 2 mod 3Z ist. Die Restklassen modulo 3Z bilden
also eine disjunkte Zerlegung (oder: Überdeckung) der Ausgangsgruppe Z. Dies
gilt allgemein:
□
37

Sei wieder (G, +) eine abelsche Gruppe und I eine Untergruppe. Dann bilden
die Restklassen modulo I nach obiger Bemerkung 2.4.3 eine disjunkte Zerlegung
von G, d.h. G = ⋃ M∈G/I M und M ∩ M ′ = ∅ für M ≠ M ′ ∈ G/I. Jede
Zerlegungsmenge hat die selbe Mächtigkeit wie I, d.h. für jede Restklasse [a] I
gilt: Entweder sind [a] I und I beide unendlich oder beide endlich von der selben
Anzahl. Dies liegt an der Existenz einer Bijektion I → [a] I .
Folgerung 2.4.4 Wenn G endlich ist, dann gilt |G| = |I||G/I|. Insbesondere
ist |I| ein Teiler von |G| für jede Untergruppe I.
Satz 2.4.5 Sei (G, +) eine Gruppe und I eine Untergruppe.
1. Auf G/I kann man durch [a] I ⊕ [b] I := [a + b] I eine Addition definieren,
die G/I zu einer abelschen Gruppe macht. Diese Gruppe G/I wird Restklassengruppe
von G modulo I oder Faktorgruppe von G modulo
I genannt.
2. Wenn G ein Ring und I ein Ideal ist, dann kann man auf G/I (zusätzlich
zu der Addition) durch [a] I ⊙ [b] I := [ab] I eine Multiplikation definieren.
G/I wird dadurch zu einem Ring. Dieser wird Restklassenring von G
modulo I genannt.
Beweis: Wir zeigen nur 1. Der Beweis von 2. ist analog zu führen. Wir setzen zur
Abkürzung [a] := [a] I . Da [a] nicht durch a eindeutig bestimmt ist (es kann ja
[a] = [a ′ ] gelten, ohne dass a = a ′ gilt), muß man prüfen, daß die neue Addition
wohldefiniert ist. Nimm an, dass [a] = [a ′ ] und [b] = [b ′ ] gilt. Es ist zu zeigen,
dass dann [a + a ′ ] = [b + b ′ ] gilt 5 . Dies ist aber eine direkte Folgerung von 2.4.2
Es ist klar, dass [0] neutrales Element für die neue Addition ⊕ ist. [−x] ist invers
zu [x] und das Assoziativgesetz vererbt sich von der alten auf die neue Addition.
□
Wir schreiben im folgenden wieder + statt ⊕ bzw. · statt ⊙. Sei R ein Ring und
I ein Ideal. Ich empfehle, im folgenden bei [−] I in erster Linie an ein “Symbol”
zu denken, das sich gemäß den Rechenregeln
[a] I = [b] I ⇐⇒ a = b mod I ⇐⇒ b − a ∈ I
[a] I + [b] I = [a + b] I
[a] I · [b] I = [a · b] I
(a, b ∈ R) transformiert. Bei R/I denke man an die “Menge, die aus all diesen
Symbolen besteht”. Es spielt im folgenden nur eine untergeordnete Rolle, daß
[a] I eigentlich eine Teilmenge von R und R/I eine Teilmenge der Potenzmenge
P (R) ist.
Sei N ≥ 1. Wendet man obige Theorie mit dem Ring R = Z und dem Ideal
I = NZ an, so erhält man den Restklassenring Z/NZ. Wir setzen zur Abkürzung
5 Wenn [a+a ′ ] ≠ [b+b ′ ] gelten würde, dann folgte [a ′ +b ′ ] = [a ′ ]⊕[b ′ ] = [a]⊕[b] = [a+b] ≠
[a ′ + b ′ ], d.h. die Definition der neuen Addition würde “in sich widersprüchlich sein”.
38

[a] N := [a] NZ . Wenn keine Verwechslungsgefahr besteht, schreiben wir einfach
[a] statt [a] N . Per Definition gilt
Z/NZ = {[a] : a ∈ Z} = {· · · , [−2], [−1], [0], [1], [2], [3], · · ·}.
Hier sind aber wieder viele Elemente mehrfach aufgelistet:
Bemerkung 2.4.6 Für jedes [a] ∈ Z/NZ existiert genau ein 6 r ∈ {0, · · · , N −
1} mit [a] = [r] gem. 2.4.1. Daher gilt, ohne Mehrfachauflistung geschrieben:
Z/NZ = {[0], · · · , [N − 1]} .
Z/NZ ist ein endlicher, N-elementiger Ring.
Übrigends ist Z/1Z der Nullring und Z/0Z ∼ = Z.
Beispiel: Wir rechnen in dem 6-elementigen Ring Z/6Z. Es gilt
Z/6Z = {[0], [1], [2], [3], [4], [5]}.
Z.B. gilt in diesem Ring [4] + [2] = [6] = [0]. Ferner gilt [5][5] = [−1][−1] = [1].
Daher hat [5] ein multiplikatives Inverses, d.h. [5] ist eine Einheit in diesem
Restklassenring, [5] ∈ (Z/6Z) × . Es gilt [5] −1 = [5]. Ferner gilt [2] ≠ [0] und
[3] ≠ [0] aber [2][3] = [6] = [0]. Daher ist Z/6Z kein Integritätsring. [2] und [3]
sind Nicht-Einheiten. Auch [4] ist eine Nicht-Einheit, denn [4][1] = [4], [4][2] =
[2], [4][3] = [0], [4][4] = [4], [4][5] = [2]; daher hat [4] kein multiplikatives Inverses
in Z/6Z - es kommt ja nie [1] heraus. Also ist (Z/6Z) × = {[1], [5]}. □
Das “Hexen-Einmaleins” der Ringe Z/NZ ist für die Kryptographie eine wahre
Fundgrube.
2.5 Multiplikative Inverse in Z/NZ.
Sei R ein Ring und a, b ∈ R. Jede Einheit u ∈ R × wird dann sowohl a als auch
b teilen. Man nennt a zu b teilerfremd, wenn es außer den Einheiten keine
gemeinsamen Teiler von a und b gibt; in Formeln: gT (a, b) = R × . Dies ist genau
dann der Fall, wenn 1 ∈ ggT(a, b) gilt.
Sei N ≥ 2 und [a] := a + NZ. Wir betrachten den endlichen, N-elementigen
Ring
Z/NZ = {[0], [1], · · · , [N − 1]}.
Satz 2.5.1 Sei x ∈ Z und g ∈ ggT (x, N) nicht-negativ.
6 r kann durch Division mit Rest berechnet werden.
39

1. Genau dann ist [x] eine Einheit in Z/NZ (in Formeln: x ∈ (Z/NZ) × ),
wenn x zu N teilerfremd ist. Dies kann man so umformulieren: Genau
dann gibt es ein y ∈ Z mit xy = 1 mod NZ, wenn x zu N teilerfremd ist.
2. Sei N ′ := N/g und k ∈ Z. Genau dann gilt xk = 0 mod NZ, wenn
k = 0 mod N ′ Z.
Beweis: Implikation “⇐” von 1.: Sei x zu N teilerfremd, d.h. sei g = 1. Nach
2.2.4 gibt es u, v ∈ Z mit 7 1 = g = ux + vN. Dann ist aber 1 = ux + v · 0 =
ux mod NZ und somit ist [u] multiplikatives Inverses zu [x].
Implikation “⇒” von 1.: Gelte xy = 1 mod NZ. Wegen g | N folgt daraus
xy = 1 mod gZ. Weil x = 0 mod gZ folgt 0 = 1 mod gZ und das ist nur für
g = 1 möglich.
Implikation “ ⇐⇒ ” von 2.: Sei x ′ := x/g. Dann ist x ′ zu N ′ teilerfremd und
daher ist [x ′ ] N ′ ∈ (Z/N ′ Z) × eine Einheit modulo N ′ . Es gilt
xk = 0 mod NZ ⇐⇒ ∃m : x ′ gk = mN ⇐⇒ ∃m : x ′ k = mN ′
und das ist äquivalent zu [x ′ ] N ′[k] N ′ = [0] N ′. Weil [x ′ ] N ′ eine Einheit ist, ist
[x ′ ] N ′[k] N ′ = [0] N ′ seinerseits äquivalent zu [k] N ′ = [0] N ′. □
Ein Element x eines Ringes R heißt Nullteiler, wenn ein y ∈ R mit xy = 0
und y ≠ 0 existiert. Bsp.: In einem Integritätsring ist 0 der einzige Nullteiler.
Folgerung 2.5.2 Jedes Element x ∈ Z/NZ ist entweder eine Einheit oder ein
Nullteiler.
Beweis: Wenn x = [a] ∈ Z/NZ eine Nicht-Einheit ist, dann gilt g > 1 für das
nicht-negative g ∈ ggT(a, N) (vgl. Teil 1. des Satzes). Also gilt N ′ := N/g ∈
{1, · · · , N − 1} und somit [N ′ ] ≠ [0]. Aber [a][N ′ ] = [0] nach Teil 2. des Satzes.
Daher ist x = [a] ein Nullteiler.
□
Algorithmus 2.5.3 (Euklidischer Algorithmus für Inverse in Z/NZ)
Will man entscheiden, ob [x] Einheit in Z/NZ ist, so berechnet man mit dem
euklidischen Algorithmus 2.2.7 das nicht-negative g ∈ ggT(x, N) und Zahlen
u, v ∈ Z mit g = ux + vN.
Wenn g ≠ 1, dann hat [x] kein multiplikatives Inverses. Wenn g = 1, dann ein
ist [x] Einheit und das multiplikative Inverse ist [u], d.h. xu = 1 mod NZ.
Wir setzen ϕ(N) := |(Z/NZ) × |. Nach obigem Satz ist ϕ(N) die Anzahl der zu N
teilerfremden Zahlen im Bereich 1, 2, · · · , N −1. Die Funktion ϕ wird Eulersche
ϕ-Funktion genannt.
7 Der euklidische Algorithmus ist ein effektives Verfahren zu Berechnung von u und v.
40

Beispiel: Nach obigem Satz gilt:
(Z/2Z) × = {[1]},
(Z/3Z) × = {[1], [2]},
(Z/4Z) × = {[1], [3]},
(Z/5Z) × = {[1], [2], [3], [4]},
(Z/6Z) × = {[1], [5]},
(Z/7Z) × = {[1], [2], [3], [4], [5], [6]},
(Z/8Z) × = {[1], [3], [5], [7]},
(Z/9Z) × = {[1], [2], [4], [5], [7], [8]},
(Z/10Z) × = {[1], [3], [7], [9]}.
Somit gilt ϕ(2) = 1, ϕ(3) = ϕ(4) = 2, ϕ(5) = 4, ϕ(6) = 2, ϕ(7) = 6, ϕ(8) = 4,
ϕ(9) = 6, ϕ(10) = 4. Wir werden später eine einfachere Formel zur Berechnung
von ϕ beweisen.
Wir rechnen nun in Z/99Z. In diesem Ring muß [31] ein Inverses haben, denn
31 ist zu 99 teilerfremd. Wir berechnen das Inverse zu [31] mit dem euklidischen
Algorithmus.
(99, 31) Z = (31, 6) Z = (6, 1) Z = (1, 0) Z = (1) Z .
Dies ist keine Überraschung - wir haben ja schon erwähnt, dass 1 ∈ ggT(31, 99)
gilt. Nun können wir aber rückwärts einsetzen: 1 = 31−5·6 = 31−5·(99−3·31) =
(−5) · 99 + 16 · 31 und daraus folgt 1 = 31 · 16 mod 99, d.h. [31] −1 = [16].
Satz 2.5.4
1. Sei p eine Primzahl. Dann ist F p := Z/pZ ein Körper.
2. Sei N ≥ 2 eine Zahl, die nicht prim ist. Dann ist Z/NZ nicht einmal ein
Integritätsring, insbesondere kein Körper.
Beweis: Sei p prim. Es gilt Z/pZ = {[0], [1], · · · , [p − 1]} und da p prim ist,
sind die Zahlen 1, 2, · · · p − 1 allesamt zu p teilerfremd. Daher gilt (Z/pZ) × =
{[1], · · · , [p − 1]} = (Z/pZ) \ {[0]}, d.h. jedes von [0] verschiedene Element in
Z/pZ ist eine Einheit. Daher ist Z/pZ ein Körper.
Sei N ≥ 2 keine Primzahl. Dann läßt sich N schreiben als N = nm mit 1 <
n, m < N. Daraus folgt nm = 0 mod NZ, d.h. [n][m] = [0] aber [n] ≠ [0] und
[m] ≠ [0]. In Z/NZ gibt es also Produkte, die Null sind, ohne daß einer der
Faktoren Null ist. Daher ist Z/NZ kein Integritätsring.
□
Die endlichen Körper F p (p prim) sind für die elementare Zahlentheorie und
für die Kryptographie von besonderer Bedeutung. Wie in jedem Körper gilt
F × p = F p \ {0}.
Satz 2.5.5 Sei p eine Primzahl. Dann gilt ϕ(p n ) = p n−1 (p − 1).
Beweis: Wir müssen zählen, wie viele Einheiten Z/p n Z hat. Da p prim ist, sind
die zu p n nicht teilerfremden Zahlen gerade die durch p teilbaren Zahlen. Daher
41

ist die Menge der Nicht-Einheiten von Z/p n Z gerade
M = {[0], [p], [2p], · · · , [(p n−1 − 2)p], [(p n−1 − 1)p]}
und diese Menge hat p n−1 Elemente. Die Menge der Einheiten
(Z/p n Z) × = (Z/p n Z) \ M
hat also genau p n −p n−1 Elemente. Daraus folgt ϕ(p n ) = p n −p n−1 = p n−1 (p−1).
□
Z.B. gilt ϕ(5) = 5 − 1 = 4, ϕ(8) = ϕ(2 3 ) = 2 2 (2 − 1) = 4 und ϕ(9) = ϕ(3 2 ) =
3(3 − 2) = 6, aber das wissen wir schon nach obigem Beispiel.
2.6 Der chinesische Restsatz
Sei n 1 , · · · , n t ≥ 2 und n = n 1 , · · · , n t . Im folgenden kommen Restklassen modulo
verschiedenen Idealen vor. Sei [a] := [a] n . Wir betrachten die Abbildung
f : Z → Z/n 1 Z × · · · × Z/n t Z, a ↦→ ([a] n1 , · · · , [a] nt ).
Beispiel: Wenn n 1 = 2, n 2 = 5, n 3 = 7 und n = 70 gilt, dann gilt z.B.
f(30) = ([30] 2 , [30] 5 , [30] 7 ) = ([0] 2 , [0] 5 , [2] 7 ) und f(53) = ([53] 2 , [53] 5 , [53] 7 ) =
([1] 2 , [3] 5 , [4] 7 ).
Man kann die Menge auf der rechten Seite durch komponentenweise Addition
und Multiplikation zu einem Ring mit Nullelement 0 := ([0] n1 , · · · , [0] nt ) und
Einselement 1 := ([1] n1 , · · · , [1] nt ) machen. Man sieht sofort, daß f(1) = 1,
f(a + b) = f(a) + f(b) und f(ab) = f(a)f(b) für alle a, b ∈ Z gilt, d.h. f ist ein
Ringhomomorphismus.
Man beachte: Für x, a 1 , · · · , a t ∈ Z gilt
f(x) = ([a 1 ] n1 , · · · , [a t ] nt ) ⇐⇒ ([x] n1 , · · · , [x] nt ) = ([a 1 ] n1 , · · · , [a t ] nt )
⇐⇒ x = a 1 mod n 1
x = a 2 mod n 2
.
x = a t mod n t ,
d.h. wenn man f(x) = ([a 1 ] n1 , · · · , [a t ] nt ) schreibt, so bedeutet das “in Kompaktschreibweise”,
dass die t Modulo-Gleichungen 8 auf der rechten Seite gelten;
Genau dann hat der Vektor ([a 1 ] n1 , · · · , [a t ] nt ) ein Urbild unter f, wenn das Gleichungssystem
auf der rechten Seite eine Lösung in x hat. Wenn f surjektiv ist,
dann bedeutet das, daß für jede erdenkliche Wahl der a i das Gleichungssystem
eine Lösung in x besitzt.
Satz 2.6.1 (Chinesischer Restsatz) Nimm an, dass die Zahlen n i paarweise
teilerfremd sind.
8 Man sagt auch: Kongruenzen.
42

1. f(x) = f(y) ⇐⇒ x = y mod n 1 · · · n t Z.
2. f ist surjektiv.
3. f induziert einen bijektiven Homomorphismus
f : Z/nZ → Z/n 1 Z × · · · × Z/n t Z, [a] ↦→ ([a] n1 , · · · , [a] nt ).
Beweis: Genau dann gilt f(x) = f(y), wenn x = y mod n i für alle i gilt, also
wenn y −x durch alle n i teilbar ist. Dies ist äquivalent zu n 1 · · · n t | (y −x) (hier
geht die Voraussetzung ein, daß die n i teilerfremd sind!). Das ist aber wiederum
genau dann der Fall, wenn x = y mod n 1 · · · n t gilt. Somit gilt 1.
Aus 1. folgt, dass f eine wohldefinierte und injektive Abbildung ist. Da Definitionsbereich
und Wertebereich von f die gleiche (endliche) Mächtigkeit haben,
muß f auch surjektiv sein. Daraus folgt leicht, daß auch f surjektiv ist.
Bemerkung 2.6.2 Nimm an, dass die Zahlen n i paarweise teilerfremd sind.
Dann sieht man leicht, dass x ∈ (Z/nZ) × ⇐⇒ f([x]) ∈ (Z/n 1 Z) × × · · · ×
(Z/n t Z) × gilt. Daher induziert f einen bijektiven Gruppenhomomorphismus
(Z/nZ) × → (Z/n 1 Z) × × · · · × (Z/n t Z) × .
Die Menge auf der linken Seite hat also die selbe Mächtigkeit wie die Menge
auf der rechten Seite. Die Eulersche ϕ-Funktion haben wir durch ϕ(m) :=
|(Z/mZ) × | definiert. Es folgt die Multiplikationsregel
ϕ(n 1 · · · n t ) = ϕ(n 1 ) · · · ϕ(n t ).
Folgerung 2.6.3 Seien p 1 , · · · , p t paarweise verschiedene Primzahlen, e 1 , · · · , e t ≥
1 und n = p e1
1 · · · pet t . Dann gilt ϕ(n) = p e1−1
1 (p 1 − 1) · · · pt et−1 (p t − 1).
Beweis: Sei n i := p ei
i . Dann sind die n i paarweise teilerfremd und n = n 1 · · · n t .
Mit obiger Bemerkung folgt ϕ(n) = ϕ(n 1 ) · · · ϕ(n t ) = ϕ(p e1
1 ) · · · ϕ(pet t ). Nach
2.5.5 gilt ϕ(p ei
i ) = pei−1 i (p i − 1). Daraus folgt die Behauptung. □
Beispiel: Es gilt ϕ(4896) = ϕ(2 5·3 2·17) = 2 4 (2−1)·3(3−1)·(17−1) = 1536. Bei
großen Zahlen, die verschiedene große Primfaktoren haben, ist dieses Verfahren
nicht schnell, da die Berechnung der Primfaktorzerlegung viel Zeit beansprucht.
Sei nun t = 2. Nimm an, daß die beiden Zahlen n 1 , n 2 teilerfremd sind. Sei
a 1 , a 2 ∈ Z beliebig. Dann besagt der chinesische Restsatz (vgl. 2.6.1, Teil 2.),
dass ein x ∈ Z mit f(x) = ([a 1 ] n1 , [a 2 ] n2 ) (d.h. mit x = a 1 mod n 1 und x =
a 2 mod n 2 ) existiert. Der Beweis liefert aber keine Information darüber, wie
man die Lösungsmenge
L = {x : f(x) = ([a 1 ] n1 , [a 2 ] n2 )}
errechnet, denn die Surjektivität von f wird dort aus der Injektivität von f
gefolgert. Der folgende Algotithmus berechnet bei Eingabe (n 1 , n 2 , a 1 , a 2 ) eine
Lösung x ∈ L. Die gesamte Lösungsmenge ist dann
L = {y : y = x mod n 1 n 2 } = {x, x ± n 1 n 2 , x ± 2n 1 n 2 , · · ·}
43

nach 2.6.1, Teil 1.
Algorithmus 2.6.4 (Euklidischer Algorithmus zum chinesischen Restsatz)
Schritt 1: Mit dem euklidischen Algorithmus berechnet man u 1 , u 2 ∈ Z mit
u 1 n 1 + u 2 n 2 = 1. (Dies ist möglich da n 1 zu n 2 teilerfremd ist.)
Schritt 2: Setze x := a 1 u 2 n 2 + a 2 u 1 n 1 .
Gib aus: “x erfüllt die Kongruenzen x = a 1 mod n 1 , x = a 2 mod n 2 .”
Warum funktioniert dieser Algorithmus? Aus u 1 n 1 + u 2 n 2 = 1 folgt u 1 n 1 =
∗∗
1 mod n 2 (∗) und u 2 n 2 = 1 mod n 1 (∗∗). Daher gilt x = a 2 u 1 · 0 + a 1 u 2 n 2 =
∗
a 1 mod n 1 und x = a 2 u 1 n 1 = a2 mod n 2 , d.h. x erfüllt die gewünschen Kongruenzen.
Man beachte: Wenn verschiedene Kongruenzen zu der selben Eingabe (n 1 , n 2 )
gelöst werden sollen, dann muß Schritt 1 zur Berechnung der u i nur einmal
ausgeführt werden.
Beispiel: Wir lösen das System
x = 5 mod 7, x = 9 mod 11.
1 ∈ ggT(7, 11) hat die Darstellung 1 = (−3)·7+2·11. Also muß x ′ := 9·(−3)·7+5·
2·11 = −79 eine Lösung sein; Jede Zahl x = x ′ mod 77 ist ebenfalls eine Lösung.
Also ist x := 75 die kleinste nicht-negative Lösung (beachte: −79 = 75 mod 77)
und die Lösungsmenge ist
L = {y : y = 75 mod 77} = {75, 75 ± 77, 75 ± 2 · 77, · · ·}.
2.7 Der kleine Satz von Fermat
Sei (G, ·) eine (multiplikativ geschriebene) endliche, abelsche Gruppe und x ∈ G.
Wir setzen
〈x〉 := {x k | k ∈ N} = {1, x, x 2 , x 3 , · · ·} ⊂ G.
Da G endlich war, muß diese Teilmenge 〈x〉 von G ebenfalls endlich sein. Somit
müssen in der Liste 1, x, x 2 , · · · Wiederholungen vorkommen, d.h. es muß
natürliche Zahlen n < m mit x n = x m geben. Daraus folgt aber x m−n = 1. Sei
ord(x) die kleinste positive natürliche Zahl mit x ord(x) = 1. Diese Zahl ord(x)
wird die Ordnung von x genannt.
Sei k ∈ Z. Wir dividieren mit Rest: k÷ord(x) = q Rest r, d.h. k = qord(x)+r mit
r ∈ {0, 1, · · · , ord(x) − 1}. Daraus folgt x k = (x ord(x) ) q x r = x r . (Insbesondere
gilt: Genau dann ist x k = 1, wenn k durch ord(x) teilbar ist.) Jedes Element
von 〈x〉 ist also von der Form x k mit k ∈ {0, 1, · · · , ord(x) − 1}. In der Tat gilt
also
〈x〉 = {1, x, x 2 , · · · , x ord(x)−1 },
44

und dies ist eine Menge der Mächtigkeit |〈x〉| = ord(x).
Die Menge 〈x〉 ist sogar eine Untergruppe von G: Man sieht sofort, dass sie
mutiplikativ abgeschlossen ist und 1 enthält. Sei k ∈ {0, · · · , ord(x) − 1}. Dann
gilt x k · x ord(x)−k = x ord(x) = 1. Dies liefert die Existenz inverser Elemente.
Beispiel: Wir rechnen in der 6-elementigen Gruppe
F × 7 = (Z/7Z)× = {[1], [2], [3], [4], [5], [6]}.
Wir berechnen die Potenzen einiger Elemente:
k 0 1 2 3 4 5 6
[2] k [1] [2] [4] [1] [2] [4] [1]
[3] k [1] [3] [2] [6] [4] [5] [1]
[4] k [1] [4] [2] [1] [4] [2] [1]
[5] k [1] [5] [4] [6] [2] [3] [1]
[6] k [1] [6] [1] [6] [1] [6] [1]
Man sieht nun z.B., daß 3 das kleinste k mit [2] k = [1] ist, d.h. ord([2]) = 3.
Die Menge 〈[2]〉 besteht aus den Potenzen von [2], also aus den Elementen der
ersten Zeile: 〈[2]〉 = {[1], [2], [4]}. So kann man ord(x) und 〈x〉 für jedes x ∈ F × 7
bestimmen:
x ord(x) 〈x〉
[1] 1 {[1]}
[2] 3 {[1], [2], [4]}
[3] 6 {[1], [2], [3], [4], [5], [6]} = F × 7
[4] 3 {[1], [2], [4]}
[5] 6 {[1], [2], [3], [4], [5], [6]} = F × 7
[6] 2 {[1], [6]}
In obiger Tabelle ist jede vorkommende Elementordung ein Teiler von |F × 7 | =
ϕ(7) = 6. Dies gilt allgemein:
Satz 2.7.1 Sei G eine endliche, abelsche Gruppe. Für alle x ∈ G gilt ord(x) |
|G|. Insbesondere gilt x |G| = 1 für alle x ∈ G.
Beweis: Wir haben oben gesehen, daß |〈x〉| = ord(x) gilt und daß 〈x〉 eine
Untergruppe von G ist. Nach 2.4.4 ist die Mächtigkeit einer jeden Untergruppe
von G ein Teiler von |G|. Daraus folgt ord(x) | |G| und das impliziert x |G| = 1
für alle x ∈ G.
□
Wer lieber mit der Relation − = − mod N als mit Restklassen arbeitet, wird
folgende Fassung begrüßen:
Folgerung 2.7.2 (Kleiner Satz von Fermat) Sei N ≥ 2. Für jede zu N
teilerfremde Zahl a ∈ Z gilt a ϕ(N) = 1 mod NZ .
45

Beweis: Weil a zu N teilerfremd ist, gilt [a] ∈ (Z/NZ) × . Ferner gilt |(Z/NZ) × | =
ϕ(N) nach Definition der Eulerschen ϕ-Funktion. Obiger Satz liefert [a] ϕ(N) =
[1], d.h. a ϕ(N) = 1 mod N. □
Folgerung 2.7.3 Sei p eine Primzahl. Dann gilt a p = a mod pZ für alle a ∈ Z.
Beweis: Nun gilt ϕ(p) = p − 1. Wenn a zu p teilerfremd ist, dann liefert 2.7.2,
daß a p−1 = 1 mod pZ mithin a p = a mod pZ gilt. Wenn a nicht zu p teilerfremd
ist, dann muß a = 0 mod pZ gelten und daraus folgt ebenfalls a p = a mod p.□
46

Kapitel 3
Das Public-Key-Verfahren
von Rivest, Shamir und
Adleman
3.1 Der Potenzierungsalgorithmus Square and
Multiply
Bei vielen Berechnungen, die im Zusammenhang mit RSA auftreten, müssen
hohe Potenzen in Z/NZ berechnet werden. Wir stellen einen schnellen Algorithmus
dafür vor.
Sei N ≥ 2 eine (evtl. sehr große) natürliche Zahl. Vorab sei erwähnt, dass man
bei längeren Rechnungen in Z/NZ nach jedem einzelnen Teilschritt modulo N
reduzieren sollte. (Beispiel: Rechne nicht 44 · 123 · 42 = 227304 = 4 mod 5,
sondern 44 · 123 · 42 = 4 · 3 · 2 = 12 · 2 = 2 · 2 = 4 mod 5.)
Sei nun (G, ·) ein abelsches Monoid. Eine Routine zur Berechnung des Produktes
zweier Elemente liege bereits vor. Es ist rechentechnisch ungünstig, zur
Berechnung von x n (x ∈ G, n ∈ N) die Definitionsformel
x n = x · x · · · x
} {{ }
n-mal
heranzuziehen. Dies würde für die Berechnung von x n genau n − 1 Multiplikationen
in Z/NZ erfordern.
Besser ist folgendes Vorgehen. Zuerst berechnet man die 2-adische Entwicklung
des Exponenten n = a 0 + a 1 2 + a 2 2 2 + ·a m 2 m (a i ∈ {0, 1}). Die a i können durch
die Formeln 1 n = a 0 mod 2, a k = n−(a0+···+a k−12 k−1 )
2 k mod 2 rekursiv berechnet
1 Vgl. Übungsblatt 2, Aufg. 3
47

werden. Dann benutzt man die Formel
x n = x a0 (x 2 ) a1 (x 4 ) a2 (x 8 ) a3 · · · (x 2m ) am .
Die dabei auftretenden Ausdrücke x 2k können durch k-maliges Quadrieren berechnet
werden. Bei dieser Berechnung von x 2k fallen nur k und nicht 2 k − 1
Multiplikationen an; das ist der entscheidende Vorteil!
Algorithmus 3.1.1 (Square und Multiply Algorithmus)
Eingabe: x ∈ G, n ∈ N.
Initialisierung: y := 1.
While n ≠ 0 do
Berechne a ∈ {0, 1}, q ∈ N mit n ÷ 2 = q Rest a.
y := y ∗ x a , x := x ∗ x, n := q.
Gib aus: y.
Man beachte, dass bei jeder Schleife der Wert von n absinkt, während der Wert
y · x n gleichbleibt. Insgesamt treten bei Square and Multiply ca. 2 log 2 (n) Multiplikationen
in G auf, während es bei dem naiven Algorithmus n − 1 Multiplikationen
wären. Wieviel Laufzeit eine einzelne Multiplikation kostet, hängt
natürlich stark von G ab. Wenn z.B. eine einzelne Multiplikation in G eine Sekunde
dauert, dann dauert die Berechnung von x 222 mit Square and Multiply
ca. 22 Sekunden, während sie mit dem naiven Algorithmus ca 2 22 = 4194304
Sekunden, d.h. mehr als ein Jahr Laufzeit benötigen würde.
3.2 Der Miller-Rabin-Primzahltest
Das RSA-Verfahren beruht letzten Endes auf folgendem Phänomen:
Es ist technisch kein Problem, in Sekundenschnelle zwei große Primzahlen p und
q zufällig zu wählen, die jeweils ein paar hundert Dezimalstellen lang sind, und
das Produkt N := pq zu bilden.
Es ist aus algorithmischer Sicht ein extrem hartes Problem, ein solches Produkt
N in seine Primfaktoren zu zerlegen. Wer nur N, nicht aber p und q kennt, kann
also p und q nicht mit vertretbarem Zeitaufwand berechnen.
In diesem Abschnitt geht es um die Erzeugung großer Primzahlen. Dieses Problem
läßt sich leicht auf Primzahltests zurückführen. Ein Primzahltest ist
ein Algorithmus, der bei Eingabe einer Zahl N ∈ N mit “prim” oder “zusammengesetzt”
antwortet, je nach dem, ob N eine Primzahl ist oder nicht.
Ein probabilistischer Primzahltest antwortet auf die Eingabe N ∈ N mit
“wahrscheinlich prim” oder mit “zusammengesetzt”. Wenn die Antwort “zusammengesetzt”
lautet, dann ist die Zahl N sicher zusammengesetzt. Die Fehlerwahrscheinlichkeit
des probabilistischen Tests ist die Wahrscheinlichkeit dafür,
48

dass der Test mit “wahrscheinlich prim” antwortet, obwohl N nicht prim ist.
Die Fehlerwahrscheinlichkeit eines guten Tests ist so klein, daß die theoretisch
bestehende Möglichkeit einer fehlerhaften Ausgabe in der Praxis nicht relevant
ist. Vielleicht wäre 10 −7 = 0, 00001% ein guter Wert für die Fehlerwahrscheinlichkeit.
Wenn man einen solchen Primzahltest einmal hat, dann kann man große Zufalls-
Primzahlen erzeugen, indem man mit einer Zufallszahl M der gewünschten
Größenordnung (vielleicht 500 Dezimalstellen) beginnt 2 , und dann den Primzahltest
der Reihe nach auf M, M + 1, M + 2, · · · anwendet, bis man eine
Primzahl findet. Man muß dabei nicht allzu lange suchen: Der Anteil der Primzahlen
an den Zahlen in [M, M + δ] ∩ N (δ ∈ N viel kleiner als M) ist nach dem
Primzahlsatz ungefähr 1/ log(M) (dabei ist log der Logarithmus zur Basis e).
Man darf also erwarten, nach ca. log(M) Versuchen auf eine Primzahl zu stoßen.
Wenn M = 10 500 ist, dann wird man nach ca. log(M) = 500 log(10), d.h.
spätestens nach ein paar Tausend Versuchen eine Primzahl finden, wenn man
sukzessive M, M + 1, M + 2 u.s.w. auf Primalität testet.
Wir beschreiben nun den Miller-Rabin-Primzahltest, der in der Praxis gerne
verwendet wird 3 . Wir bemerken vorab: Jede Zahl M ≥ 1 kann man als M = 2 s m
mit einer ungeraden Zahl m und s ∈ N schreiben. m und s lassen sich aus
M leicht durch sukzessive Probedivision durch 2 berechnen. (Z.B. 96/2 = 48,
48/2 = 24, 24/2 = 12, 12/2 = 6, 6/2 = 3, 3 ist ungerade. Daher gilt 96 = 2 5 · 3.)
Der Miller-Rabin-Test beruht auf dem folgenden Satz.
Satz 3.2.1 Sei N > 2. Sei a ∈ {1, · · · , N − 1} teilerfremd zu N. Schreibe
N − 1 = 2 s m mit m ungerade und s ∈ N. Wenn
und
gilt, dann kann N nicht prim sein.
a m ≠ 1 mod N
a m2r ≠ −1 mod N ∀r ∈ {0, 1, · · · , s − 1}
Beweis: Es genügt die folgende Behauptung zu zeigen: Wenn N prim ist und
[a] m ≠ [1] (Restklassen in Z/NZ) gilt, dann gibt es ein r ∈ {0, · · · , s − 1} mit
[a] m2r = [−1].
Sei also N eine Primzahl, a zu N teilerfremd, und es gelte [a m ] ≠ [1]. Da N
prim ist, muß Z/NZ ein Körper und (Z/NZ) × eine Gruppe mit ϕ(N) = N − 1
Elementen sein (siehe 2.5.4 und 2.5.5). Mit dem kleinen Satz von Fermat 2.7.2
(siehe auch 2.7.1) folgt also 4 [a] m2s = [a] N−1 = [1].
Die Menge {k ∈ {0, 1, · · · , s}|[a] m2k = [1]} ist demnach nicht-leer; sie enthält ja
s. Sei t das kleinste Element dieser Menge. Dann gilt [a] m2t = [1] und wegen
2 Die Konstruktion von Zufallszahlgeneratoren ist ein interessantes Thema; wir gehen aus
Zeitgründen nicht darauf ein.
3 Henri Cohen nennt ihn “The workhorse of primality testing”
4 Für zusammengesetztes N liegen die Dinge völlig anders: Wenn N nicht prim ist, dann
ist sicher Z/NZ kein Körper und es gilt sicher ϕ(N) < N − 1. Zwar gilt noch [a] ϕ(N) = [1],
aber in aller Regel wird [a N−1 ] ≠ [1] gelten, außer wenn N prim ist.
49

[a m20 ] ≠ [1] muß t ≥ 1 gelten. Sei r := t − 1 und x := [a] m2r . Wegen der
Minimalität von t muß x ≠ [1] sein. Ferner gilt
x 2 = ([a] m2r ) 2 = [a] m2r+1 = [a] m2t = [1].
Weil Z/NZ ein Körper ist, folgt daraus x = [1] oder x = [−1]. Aber x = [1] ist
unmöglich (s.o.). Also gilt x = [a] m2r = [−1], wie gewünscht. □
Für N > 2 ungerade mit N = 2 s m und m ungerade. Wir nennen a ∈ {2, 3, · · · , N−
1} einen Zeugen gegen die Primalität von N, wenn eine der folgenden Aussagen
wahr ist:
a) a ist nicht zu n teilerfremd.
b) a ist zu N teilerfremd und a m ≠ 1 mod N und a m2r ≠ −1 mod N ∀r ∈
{0, · · · , s − 1}.
Man kann leicht eine Routine implementieren, die bei der Eingabe (N, a) prüft,
ob a Zeuge gegen die Primalität von N ist. Um Bedingung a) zu prüfen, kann
man ggT (N, a) mit dem euklidischen Algorithmus 2.2.7 berechnen. Beim Prüfen
von b) ist der Vektor ([a] m20 , a m21 , · · · , [a] m2s−1 ) zu berechnen. Hier kommt
Square and Multiply zum Einsatz.
Klar ist nun folgendes: Wenn es in {2, · · · , N − 1} einen Zeugen gegen die Primalität
von N gibt, dann ist N sicher nicht prim. (Sei a ein solcher Zeuge und g
der nicht-negative ggT von N und a. Falls g ≠ 1 gilt ist g ≥ 2 ein echter Teiler
von N und N ist aus diesem Grund nicht prim. Falls g = 1 gilt, so ist die obige
Bedingung b) erfüllt und obiger Satz impliziert, daß N nicht prim sein kann.)
Man wird fragen, ob für zusammengesetztes N auch immer genug Zeugen a ∈
{1, · · · , N − 1} gegen die Primalität von N existieren. Der folgende Satz besagt,
dass die Antwort ja ist:
Satz 3.2.2 Sei N ≥ 2 ungerade. Wenn N zusammengesetzt ist, dann sind mindestens
3 4
der Zahlen im Bereich 1, · · · , N − 1 Zeugen gegen die Nicht-Primalität
von N.
Für den Beweis verweisen wir auf [B], Theorem 6.4.2.
Wenn N zusammengesetzt ist, dann gibt es nach diesem Satz sogar so viele Zeugen
gegen die Primalität von N, daß man höchstwahrscheinlich durch “simples
Herumprobieren” schnell einen solchen Zeugen findet. Wenn N prim ist, dann
gibt es sicher keinen Zeugen gegen die Primalität von N. Dies macht sich der
Miller-Rabin-Test zu Nutze.
Algorithmus 3.2.3 (Miller-Rabin-Test)
Eingabe: N ≥ 2 und Steuerparameter B ≥ 2, t ≥ 1.
50

Führe Probedivision durch die Primzahlen ≤ B durch. Diese Primzahlen sollten
vorab in einer Liste gespeichert werden. (Ein vernünftiger Wert für B wäre
vielleicht B = 100 oder B = 1000.) Wenn schon dabei ein Teiler von N gefunden
wird, dann gib “N ist nicht prim; (N hat sogar einen nicht-trivialen Teiler
≤ B)” aus und halte an.
Wähle t Werte a 1 , · · · a t ∈ {1, 2, · · · , N − 1}. Dies kann per Zufallsgenerator
geschehen. M.E. wäre auch die Wahl a 1 = 2, a 2 = 3, · · · , a t = t + 1 nicht
besonders nachteilig. (Ein vernünftiger Wert für t könnte t = 10 sein.)
Prüfe für jede dieser Zahlen a i , ob a i ein Zeuge gegen die Primalität von N ist.
Wenn dabei ein Zeuge gegen die Primalität gefunden wird, gib aus “N ist nicht
prim (und dies wird durch a i bezeugt).”
Wenn kein Zeuge gegen die Primalität gefunden wird, gib aus “N ist wahrscheinlich
prim”.
Sei ε die Fehlerwahrscheinlichkeit dieses Tests, d.h. die Wahrscheinlichkeit dafür,
dass der Test auf zusammengesetztes N mit “wahrscheinlich prim” antwortet.
Dies passiert genau dann, wenn N zusammengesetzt ist und bei t Wahlen
a i ∈ {1, 2, · · · , N − 1} lauter Nicht-Zeugen gefunden wurden, obwohl höchstens
1/4 der Elemente von {1, · · · N − 1} Nicht-Zeugen sind. Die Fehlerwahrscheinlichkeit
erfüllt also ε ≤ (1/4) t (z.B ε ≤ 0.000095% für t = 10). Wenn man
den Parameter t erhöht, dann verringert sich die Fehlerwahrscheinlichkeit auf
Kosten der Laufzeit.
Algorithmus 3.2.4 Zur Wahl einer großen Zufallsprimzahl wählt man eine
Zufallszahl M und wendet den Miller-Rabin-Test mit Parameter t 1 (t 1 hier nicht
allzu groß, vielleicht t 1 = 5 oder t 1 = 10) auf M, M + 1, M + 2, · · · an, bis das
Ergebnis “M + k ist wahrscheinlich prim” erzielt wird.
Wer auf Nummer sicher gehen will, wird vielleicht abschließend noch einmal
einen Miller-Rabin-Test auf M + k anwenden, aber jetzt mit sehr hohem Parameter
t 2 (z.B. t 2 = 30). Sollte die Antwort dann wider aller Erwartungen “M +k
ist nicht prim” lauten, so beginnt man noch einmal von vorne. Anderenfalls ist
M + k mit sehr hoher Wahrscheinlichkeit prim.
3.3 RSA
Wir erläutern nun das Kryptographieverfahren RSA. Dies war das erste Public-
Key-Verfahren und ist bis heute das wichtigste.
Alice möchte sich von jemandem, sagen wir Bob, oder sogar von jedermann verschlüsselt
Nachrichten schicken lassen können. Sie (bzw. die auf Ihrem Rechner
installierte Software) wählt dazu zwei große Zufalls-Primzahlen p und q (hier
kann sie den Miller-Rabin-Test 3.2.3 verwenden) mit p ≠ q und bildet das Produkt
N = pq. Derzeit (2007) gilt es als sicher, mit Primzahlen p und q jeweils
51

von der Länge ca. 1024 Bit (d.h. ca. 300 Dezimalstellen) zu arbeiten. N hat
dann ca. 600 Dezimalstellen.
Alice wählt des weiteren eine zu ϕ(N) = (p − 1)(q − 1) (vgl. 2.6.3) teilerfremde
Zahl e ∈ {0, 1, · · · , ϕ(N) − 1}. Nach 2.5.1 ist e + ϕ(N)Z Z/ϕ(N)Z eine Einheit,
d.h. es existiert ein d ∈ {0, 1, · · · , ϕ(N) − 1} mit ed = 1 mod ϕ(N)Z. Alice
berechnet diese Zahl d mit dem euklidischen Algorithmus 2.5.3.
Von den bisher errechneten Daten (p, q, N, ϕ(N), e, d) macht Alice nun einen
Teil öffentlich (z.B. auf ihrer Homepage) und behält den anderen Teil für sich
(z.B. abgespeichert auf einem USB Stick).
Geheim bleibt p, q, ϕ(N), d, d.h. nur Alice (und nicht einmal Bob) kennt diese
Daten.
Öffentlich gemacht wird N und e. Insbesondere kennt Bob diese Daten; aber
auch jeder potentielle Angreifer kennt sie.
(N, e) ist der öffentliche Verschlüsselungsschlüssel (kurz: V-Schlüssel) und d ist
der geheime (nur Alice kennt ihn) Entschlüsselungsschlüssel (kurz: E-Schlüssel).
Übertragen werden Elemente von P := Z/NZ = {[0], · · · , [N−1]}. Wenn Bob die
Nachricht m ∈ Z/NZ an Alice übermitteln will, so berechnet er c := m e . Für
die Potenzierung kann der Square and Multiply Algorithmus 3.1.1 verwendet
werden. Bob übermittelt dann c.
Alice empfängt c = m e und berechnet c d (mit dem Square and Multiply Algorithmus).
Nach dem folgenden Satz ist c d = m; sie erhält also die ursprüngliche
Nachricht m zurück. Ein Angreifer Oskar, der den gesamten Dialog abhört, kann
m nicht durch die selbe Rechnung m = c d wie Alice ermitteln, weil er d nicht
kennt. Mehr dazu später.
Satz 3.3.1 Es gilt m ed = m.
Beweis: Nach 2.6.1 hat man einen bijektiven Ringhomomorphismus
f : Z/NZ → Z/pZ × Z/qZ
Sei (m 1 , m 2 ) := f(m). Es genügt m ed
1 = m 1 und m ed
2 = m 2 zu zeigen. (Daraus
folgt nämlich f(m ed ) = f(m) und das impliziert m ed = m, weil f injektiv ist.)
Wegen ϕ(N) = (p − 1)(q − 1) und ed = 1 mod ϕ(N)Z gibt es ein k ∈ N mit
ed = 1 + k(p − 1)(q − 1). Falls m 1 ∈ (Z/pZ) × = F × p \ {[0]} eine Einheit ist, so
gilt m p−1
1 = 1 nach dem kleinen Satz von Fermat 2.7.2. Daraus folgt
m ed
1 = m 1+k(p−1)(q−1)
1 = m 1 (m p−1
1 ) k(q−1) = m 1 · 1 k(q−1) = m 1 .
Falls m 1 = 0 in Z/pZ gilt, so hat man offensichtlich m ed
1 = m 1 . Also gilt in
jedem Fall m ed
1 = m 1 .
Völlig analog kann man zeigen, daß m ed
2 = m 2 gilt. □
52

Beispiel: Wir gehen durch ein Beispiel mit kleinen 5 Zahlen. Sagen wir, Alice
wählt p = 11 und q = 31. Dann ist N = 341 und ϕ(N) = 10 · 30 = 300. Ferner
wählt Alice e = 7 als V-Schlüssel und berechnet daraus den E-Schlüssel d = 43
(beachte: ed = 7 · 43 = 301 = 1 mod 300). Alice macht N = 341 und e = 7 auf
ihrer Homepage publik.
Wenn Bob die Nachricht m = 10 an Alice übermitteln will, dann berechnet er
m e = 10 7 = 175 mod 341 und übermittelt 175.
Alice empfängt 175 und kann dann die Rechnung (m e ) d = 175 43 = 10 durchführen,
um m aus m e zu gewinnen; sie kennt ja d.
Angriffe auf RSA
Nehmen wir an, ein Angreifer Oskar hat den gesamten Dialog abgehört, also
Oskar kennt N, e, m e ,
Bob kennt N, e, m, m e und
Alice kennt N, p, q, ϕ(N), e, d, m e , m.
1. Nehmen wir an, es gelingt Oskar, N zu faktorisieren, d.h. p und q zu
bestimmen. Dann kann er leicht ϕ(N) = (p−1)(q−1) bestimmen und dann
das d ∈ {0, 1, · · · , ϕ(N) − 1} mit ed = 1 mod ϕ(N) berechnen, genau wie
Alice es eingangs getan hat. Das entspricht nur einer Inversenbildung in
(Z/ϕ(N)Z) × mit dem euklidischen Algorithmus. Wenn er den E-Schlüssel
d einmal hat, dann kann er m aus m e durch die Rechnung m = (m e ) d
(Square and Multiply!) finden. Er kann dann jede abgehörte Nachricht an
Alice entschlüsseln.
Die Sicherheit von RSA beruht also wesentlich darauf, dass es heute für
“technisch unmöglich” gehalten wird, ein Produkt aus zwei großen Zufalls-
Primzahlen (sagen wir je ca. 1024 Bit) in seine Primfaktoren zu zerlegen.
Fortschritte im Bereich der Hardware oder im Bereich der Faktorisierungsalgorithmen
würden eine massive Bedrohung für RSA darstellen. Solange
nur kleinere Fortschritte gemacht werden, kann man allerdings einfach die
Schlüssellänge nach oben anpassen.
2. Natürlich würde es Oskar genügen, ϕ(N) zu finden. Das ist aber auch
nicht leichter als das Faktorisieren von N. Wer ϕ(N) kennt, der kennt
ϕ(N) = (p − 1)(q − 1) = N − p − q + 1 und kann p und q durch das
Auflösen der Gleichungen pq = N, p + q = N + 1 − ϕ(N) ermitteln. (Dies
läuft auf eine quadratische Gleichung in p hinaus.)
3. Ebenso würde es Oskar genügen, an d zu kommen. Man kann auch hier
beweisen, daß das ungefähr genauso schwer ist, wie das Faktorisieren von
N. D.h.: Wer d kennt, der kann p und q leicht berechnen.
4. Oskar könnte auch versuchen, m aus m e zu bestimmen, ohne d zu errechnen,
d.h. ohne die Gleichung m = (m e ) d zu benutzen. Es ist meines
Wissens nicht bekannt, ob das genauso schwer ist wie das Faktorisieren
von N, und das wird als Nachteil von RSA angesehen.
5 viel zu klein, um sicher zu sein!
53

Es wird vermutet, daß es keinen Polynomialzeit-Algorithmus zur Faktorisierung
einer b-Bit-Zahl N, die Produkt zweier großer Primzahlen ist, gibt. Ein Beweis
dafür wurde allerdings bisher nicht erbracht. Das sogenannte Zahlkörpersieb
ist derzeit einer der besten Faktorisierungsalgorithmen; seine Laufzeit ist
≤ O(exp( 3√ 8b log(b) 2 )), also nicht polynomial. Mit ihm wurde F 9 = 2 512 + 1
faktorisiert.
Faktorisierungsalgorithmen stehen seit jeher im Zentrum der mathematischen
Forschung, und daher wird es vermutlich schnell publik, wenn jemand einen
neuen, schnelleren Faktorisierungsalgorithmus findet.
Die Firma RSA hat 2001 eine Liste von Zahlen in das Internet gestellt
(siehe http://www.rsa.com/rsalabs/node.asp?id=2092) und für das Faktorisieren
der Zahlen ein jeweiliges Preisgeld ausgesetzt. Jede Zahl in der Liste
ist ein Produkt zweier Primzahlen und jede trägt einen Namen der Form RSA-b
wobei b die Bitlänge der entsprechenden Zahl ist. Bis jetzt (also 6 Jahre später)
sind nur 2 davon faktorisiert worden und zwar RSA-576 (2003) und RSA-640
(2005). Es waren jeweils mehrere Wissenschaftler beteiligt. In beiden Fällen wurde
mit dem Zahlkörpersieb gearbeitet. Bereits bei RSA-576 wurde an Rechnern
verschiedener Institutionen (u.a. Uni Bonn, MPI Bonn, IEM Essen) parallel
gerechnet bei einer Laufzeit von mehreren Monaten! Der Preis für das Faktorisieren
von RSA-2048 wäre 200.000 US-Dollar.
Einige Sicherheitsvorkehrungen:
Alice sollte e nicht allzu klein wählen. Wenn nämlich die Nachricht [m] ist mit
m ∈ {0, · · · , N − 1} und m e ≤ N − 1 gilt, dann kann ein Angreifer m aus m e
durch Ziehen der e-ten Wurzel in dem Körper R errechnen. (In obigem Beispiel
geht das nicht! Die Berechnung von 7√ 175 in R nützt dort einem Angreifer gar
nichts.)
Die Primzahlen p und q sollten nicht allzu nahe beisammen sein. Sonst könnte
ein Angreifer einfach von s := floor( √ N) ausgehend N auf Teilbarkeit durch s,
s + 1, s + 2, · · · prüfen. Theoretisch wird er dabei irgendwann einen der beiden
Teiler von N finden, und dann ist auch der andere Teiler schnell gefunden; wenn
aber p und q nicht sehr nahe beisammen liegen (z.B. p 1023 Bit und q 1025 Bit),
dann wird dieser Angriff aus Laufzeitgründen unmöglich.
Das Verschlüsseln von kurzen Texten mit RSA
Sei A ein Alphabet und α := |A|. Sei n : A → {0, 1, · · · , α − 1} eine Bijektion.
RSA verschlüsselt zunächst Elemente von Z/NZ. Man kann es aber in modifizierter
Form auch zum Verschlüsseln von kurzen Texten über A verwenden. Z.B.
könnte man vorab vereinbaren, dass dem Text (x 0 , x 1 , · · · , x k ), der so kurz sein
muß, daß α k+1 < N, immer die Restklasse von m = ∑ k
i=0 n(x i)α i entsprechen
soll. Um aus dieser Zahl m den Text zurückzugewinnen, muß man m α-adisch
entwickeln. Dadurch erhält man die n(x i ) und daraus leicht die x i .
Z.B. könnte A = {A, B, · · · , Z} und n(A) = 0, n(B) = 1, n(C) = 2, · · · gelten.
HALLO entspricht dann der Zahl 7 + 0 · 26 + 11 · 26 2 + 11 · 26 3 + 14 · 26 4 , denn
54

n(H) = 7, n(A) = 0, n(L) = 11 und n(O) = 14. Was bedeutet dann die Zahl
215? Die 26-adische Entwicklung ist 215 = 7 + 8 · 26. Ferner gilt n −1 (7) = H
und n −1 (8)) = I. Die Zahl 215 entspricht also dem Text HI.
Etwas längere Texte können blockweise übertragen werden. Für die Übertragung
großer Datenmengen ist RSA nicht geeignet, weil dann die Ver- und Entschlüsselung
zu lange dauern. Hier ist es besser, mit RSA nur einen Schlüssel zu
übermitteln, der dann für eine Private-Key-Sitzung (z.B. mit AES) verwendet
wird.
3.4 Faktorisierung mit der Fermat-Methode
Sei N = pq ein Produkt von zwei großen Primzahlen p und q. Falls p und q
sehr nah beisammen liegen, kann man N durch den folgenden “naiven” Ansatz
faktorisieren: Man sucht ab m := ⌈ √ N)⌉ nach einem Teiler von N. Die folgende
Fermat-Methode ist eine weitgehende Verbesserung dieses Ansatzes.
Wir können q < p annehmen. Sei im folgenden 6 x := 1 2 (p+q) und y := 1 2 (p−q).
Dann gilt p = x + y und q = x − y und es folgt
N = pq = (x + y)(x − y) = x 2 − y 2 .
Nach der Ungleichung vom arithmetischen und geometrischen Mittel gilt
√ √ 1
N = pq ≤ (p + q) = x.
2
Wer N faktorisieren möchte, wird ab ⌈N⌉ nach x suchen.
Algorithmus 3.4.1 (Faktorisierungsmethode von Fermat)
Eingabe: Ein Produkt N von zwei ungeraden Primzahlen.
x := ⌈ √ N⌉
while(issquare(x 2 − N) = false, x = x + 1)
y = √ x 2 − N
p = x + y
q = x − y
Ausgabe: N ist Produkt von p und q.
Satz 3.4.2 Sei N ein Produkt von zwei ungeraden Primzahlen p > q. Sei α ∈ R
eine Zahl mit |p − q| ≤ α 4√ N. Dann findet man mit dem obigen Algorithmus p
und q nach höchstens α2
8 Schritten.
6 Wer N Faktorisieren möchte, kennt N, nicht aber p, q, x, y.
55

Beweis. Sei wieder x := 1 2 (p + q) und y := 1 2 (p − q). Sei m = ⌈√ N⌉. Dann
wird die While-Schleife in obigem Algorithmus k = x − m mal durchlaufen.
Wir wollen k nach oben abschätzen. Offenbar gilt y ≤
4√ √ α
2 N, d.h. y 2 ≤ α2
4 N.
Ferner gilt
Daraus folgt
y 2 = x 2 − N = m 2 + 2km + k 2 − N ≥ 2km ≥ 2k √ N.
α 2 √ √
N ≥ 2k N,
4
also k ≤ α2
4 . □
Beispiel. Nehmen wir an, p und q sind 500-Bit-Zahlen (insbes. ist N = pq eine
1000-Bit-Zahl) und p − q ist nur eine 255-Bit-Zahl. Dann haben p und q exakt
die selbe Bitlänge und die ersten 245 Dualziffern stimmen überein. (D.h. p und
q liegen sehr nah beisammen.)
Nun ist 4√ N eine 250-Bit-Zahl,
4√
N ≈ 2 250 , und mit α = 2 6 wird sicher p − q ≤
α 4√ N gelten. Die Fermat-Faktorisierungsmethode wird also nur α 2 /8 = 2 9 =
512 Schritte benötigen, um die Teiler von N zu finden. Diese Rechnung läßt sich
völlig problemlos auf einem handelsüblichen Laptop durchführen!
Beispiel. Ganz anders verhält es sich mit der Laufzeit, wenn q eine 500-Bit-
Zahl und p um ein paar Bit länger (etwa eine 252-Bit-Zahl) ist als q: Nehmen
wir an, p ≥ 4q (also etwa p um zwei Bit länger als q). Dann gilt
x − √ N = 1 2 (p + q) − √ pq = 1 2 (√ p − √ q) 2 ≥ 1 2 (√ 4q − √ q) 2 = q 2 ,
d.h. das Fermat-Faktorisierungsverfahren würde hier ≈ 2 500 Schritte benötigen!
Dies ist nach dem heutigen Stand der Technik völlig unpraktikabel!
Sicherheitsvorkehrung für RSA. Um einen Angriff via Fermat-Faktorisierung
abzuwehren, soll man als RSA-Modul ein Produkt N = pq von großen Primzahlen
nehmen, wobei p um ein paar Bit größer sein sollte als q.
3.5 Faktorisierung mit der (p − 1)-Methode von
Pollard
Mit der (p − 1)-Methode von Pollard kann man, unter gewissen Umständen,
für eine gegebene (große) zusammengesetzte natürliche Zahl N einen nichttrivialen
Teiler t von N finden. “Nicht-trivial” soll “mit t ∈ {2, · · · , N − 1}”
bedeuten. Wiederholte Anwendung kann evtl. auf die gesamte Faktorisierung
von N führen.
Sei B ≥ 0. Eine Zahl n heißt B-glatt, wenn es keine Primzahlpotenz q > B
gibt, die Teiler von n ist. (Z.B. ist 96 = 2 5 ·3 nicht 10-glatt (2 5 = 32 ist ja größer
als 10), wohl aber 40-glatt.) Die p−1-Methode funktioniert für solche N gut, die
einen Primfaktor p haben, für den p − 1 B-glatt ist, mit einer nicht allzugroßen
56

Schranke B. Für eine gegebenes N kann man natürlich a priori nicht entscheiden,
ob N einen solchen Primfaktor hat, solange man die Primfaktoren von N nicht
kennt. Wer N faktorisieren will, wird also vielleicht “auf gut Glück” versuchen,
ob die (p − 1)-Methode einen Teiler von N liefert oder ob sie fehlschlägt.
Nehmen wir an N ist zusammengesetzt, p ist ein Primteiler von N und p − 1 ist
B-glatt. Sei P die Menge der Primzahlpotenzen und 7
k := k B :=
∏
q∈P,q≤B
Diese Zahl hängt nur von B ab. (Z.B. gilt k 15 = 2 · 3 · 4 · 5 · 7 · 8 · 9 · 11 · 13.)
Weil wir p − 1 als B-glatt angenommen haben, muß p − 1 ein Teiler von k B sein:
D.h. es wird k B = (p − 1)j mit j ∈ N gelten 8 . Sei nun a ≥ 2 beliebig. Dann
gilt a p−1 = 1 mod p nach dem kleinen Satz von Fermat 2.7.2 und daraus folgt
a k B
= (a (p−1) ) j = 1 j = 1 mod p, d.h. p | (a k B
− 1). Daher wird (a k B
− 1) nicht
zu N teilerfremd sein. Sei g ∈ ggT (a k B
− 1, N). Dann gilt |g| > 1 und wenn
|g| < N gilt, dann hat man in |g| einen nicht-trivialen Teiler von N gefunden.
q.
Algorithmus 3.5.1 ((p − 1)-Methode von Pollard)
Eingabe: N ∈ N. Steuerparameter B ∈ N und a ≥ 2.
Berechne k B .
Berechne das nicht-negative g ∈ ggT (a k B
− 1, N) mit dem euklidischen Algorithmus
2.2.7.
Wenn g = 1 oder g = N, dann gib aus “Kein nicht-trivialer Teiler von N
gefunden. Sie können versuchen B zu erhöhen.”
Wenn g ≠ 1 und g ≠ N, dann gib aus “g ist ein nicht-trivialer Teiler von N”
Um Angriffe mit der (p − 1)-Methode zu verhindern, wird bei RSA empfohlen,
die folgende Sicherheitsvorkehrung zu treffen.
Sicherheitsvorkehrung für RSA. Um einen Angriff via der p − 1-Methode
abzuwehren, soll man als RSA-Modul ein Produkt N = pq von großen Primzahlen
nehmen, wobei p und q so beschaffen sind, dass p − 1 und q − 1 jeweils
einen großen Primfaktor haben.
7 Man kann das Produkt durch das kgV ersetzen.
8 Man weiß, daß das so ist, obwohl man j und p nicht explizit kennt. Die Zahl k B kennt
man aber explizit.
57

Kapitel 4
Diskreter Logarithmus
4.1 Primitivwurzeln und diskreter Logarithmus
Sei (G, ·) eine abelsche Gruppe. Für x ∈ G sei 〈x〉 = {x k : k ∈ Z}. Wenn nun
〈x〉 = G gilt, dann wird x ein Erzeuger von G genannt. Das ist genau dann
der Fall, wenn jedes Element in G eine Potenz von x ist. Nicht jede Gruppe hat
einen Erzeuger. Wenn in G ein Element existiert, das Erzeuger von G ist, dann
nennt man G eine zyklische Gruppe.
Sei nun G endlich. ord(x) ist die kleinste positive Zahl mit x ord(x) = 1. Es gilt,
ohne Mehrfachauflistung von Elementen geschrieben, 〈x〉 = {1, x, · · · , x ord(x)−1 }.
Ferner gilt ord(x) = |〈x〉| und nach 2.7.1 ist ord(x) immer ein Teiler von |G|.
Ferner gilt für k ∈ Z: Genau dann ist x k = 1, wenn k ∈ ord(x)Z. Für k ∈ Z sei
[k] := [k] ord(x) ∈ Z/ord(x)Z die entsprechende Restklasse. Dann hat es Sinn
zu definieren.
x [u] := x u
für [u] ∈ Z/ord(x)Z
Offenbar ist x ein Erzeuger von G genau dann, wenn ord(x) = |G| gilt.
Beispiel: Wir betrachten eine “Potenzierungstafel” für die 6-elementige Gruppe
G := F × 7 . Sei [a] := [a] 7.
k 0 1 2 3 4 5 6
[1] k [1] [1] [1] [1] [1] [1] [1]
[2] k [1] [2] [4] [1] [2] [4] [1]
[3] k [1] [3] [2] [6] [4] [5] [1]
[4] k [1] [4] [2] [1] [4] [2] [1]
[5] k [1] [5] [4] [6] [2] [3] [1]
[6] k [1] [6] [1] [6] [1] [6] [1]
Die linke Spalte von Einsen ergibt sich, da x 0 = [1] für alle x ∈ G gilt. Die
rechte Spalte von Einsen war nach dem Satz von Fermat zu erwarten; es gilt
x |G| = [1] für alle x ∈ G und |G| = 6.
.
58

Man sieht: ord([1]) = 1, ord([6]) = 2, ord([2]) = ord([4]) = 3 und ord([3]) =
ord([5]) = 6 = |G|. Ebenso sieht man, daß 〈[1]〉 = {[1]}, 〈[6]〉 = {[1], [6]},
〈[2]〉 = 〈[4]〉 = {[1], [2], [4]} und 〈[3]〉 = 〈[5]〉 = F × 7 gilt.
Also sind [3] und [5] Erzeuger von G. Die Erzeuger sind genau die Elemente, in
deren Zeile außer in der ganz linken und ganz rechten Spalte keine Eins steht.
Da G Erzeuger hat ist G = F × 7 zyklisch. Die Elemente [1], [2], [4], [6] sind keine
Erzeuger von G; ihre Ordnung ist jeweils < |G|.
□
Beispiel: Betrachte nun die “Potenzierungstafel” der Gruppe (Z/8) × = {[1], [3], [5], [7]}
( [a] := [a] 8 ).
k 0 1 2 3 4
[1] k [1] [1] [1] [1] [1]
[3] k [1] [3] [1] [3] [1] .
[5] k [1] [5] [1] [5] [1]
[7] k [1] [7] [1] [7] [1]
Also gilt ord([1]) = 1 und ord([3]) = ord([5]) = ord([7]) = 2 < 4 = |G|. Also hat
die Gruppe G keinen Erzeuger, d.h. G ist nicht zyklisch.
□
Mit Hilfe der Potenzierungstafel einer endlichen abelschen Gruppe G kann man
also Elementordungen bestimmen, prüfen ob G zyklisch ist und ggfls. die Erzeuger
von G bestimmen. Man beachte aber: Der Aufwand für das Anlegen
einer einzelnen Zeile der Potenzierungstafel ist exponential in der Bitlänge von
|G|. Man braucht Sätze, mit deren Hilfe sich Aufgaben wie oben schneller lösen
lassen.
Will man für ein Element x ∈ G entscheiden, ob x ein Erzeuger von G ist, so
könnte man für jedes t mit 1 < t < |G| (oder besser: für jeden Teiler t von |G|
mit t < |G|) prüfen, ob x t ≠ 1 gilt. Wenn die PFZ von |G| bekannt ist, so gibt
es einen viel schnelleren Test, der auf dem folgenden Satz beruht.
Satz 4.1.1 Sei x ∈ G und n ∈ N. Gelte x n = 1. Genau dann gilt ord(x) = n,
wenn x n p ≠ 1 für jeden Primteiler p von n gilt.
Beweis: Wenn ord(x) = 1 gilt, dann gilt x t ≠ 1 für jeden Exponent t ≥ 1, der
kleiner ist als n.
Wenn ord(x) ≠ n gilt, dann muß ord(x) < n und ord(x) | n gelten. Wenn
n = p e1
1 · · · per r die Primfaktorzerlegung von n ist, dann muß ord(x) = p f1
1 · · · pfr r
mit f i ≤ e i für alle i ∈ {1, · · · , r} gelten, und es muß ein j mit f j < e j geben.
p := p j ist dann ein Primteiler von n derart, daß ord(x) Teiler von n/p ist.
Daraus folgt aber x n p = 1. □
Satz 4.1.2 Sei x, y ∈ G k ∈ Z.
1. Sei g ∈ ggT (ord(x), k) mit g ≥ 0. Dann gilt ord(x k ) = ord(x)
g
.
2. Wenn ord(x) zu ord(y) teilerfremd ist, dann gilt ord(xy) = ord(x)ord(y).
59

Beweis: Sei n := ord(x). Offenbar gibt es Zahlen k ′ ∈ N, n ′ ∈ Z mit gk ′ = k
und gn ′ = n. Ferner gibt es u, v ∈ Z mit g = uk + vn nach 2.2.7. Es ist
ord(x k ) = n ′ zu zeigen. Man sieht leicht, daß (x k ) n′ = x k′ gn ′ = x ord(x)k′ = 1.
Daher gilt ord(x k ) | n ′ . Angenommen n ′′ ∈ {1, · · · , n ′ − 1} wäre ein Teiler von
n mit (x k ) n′′ = 1. Dann folgte
1 = x ukn′′ = x (g−vn)n′′ = x gn′′ (x nvn′′ ) −1 = x gn′′
und gn ′′ wäre kleiner als gn ′ = n. Widerspruch.
Sei n = ord(x) teilerfremd zu m := ord(y). Offenbar gilt (xy) nm = (x n ) m (y m ) n =
1. Sei p ein beliebiger Primteiler von nm. Nach obigem Satz 4.1.1 reicht es
(xy) nm/p ≠ 1 zu zeigen. O.E. gilt p | n. Weil n zu m teilerfremd ist, kann
p kein Teiler von m sein und außerdem muß ord(x m ) = n gelten. Also gilt
xy nm/p = (x m ) n p (y m ) n p = (x m ) n p ≠ 1. □
Folgerung 4.1.3 a) Wenn k ein Teiler von ord(x) ist, dann ist ord(x k ) =
ord(x)/k.
b) Wenn k zu ord(x) teilerfremd ist, dann gilt ord(x k ) = ord(x).
c) Genau dann ist x ein Erzeuger von G, wenn x |G|
p
p von |G| gilt. (Dies folgt aus 4.1.1.)
≠ 1 für jeden Primteiler
d) Wenn G zyklisch und x ∈ G ein Erzeuger von G ist, dann ist {x u |u ∈
(Z/|G|Z) × } die Menge aller Erzeuger von G. D.h. die anderen Erzeuger
von G sind von der Form x v mit einer Zahl v ∈ {1, · · · , |G|}, die zu |G|
teilerfremd ist. Weitere Erzeuger gibt es nicht. (Dies folgt unmittelbar aus
obigem Satz.)
e) Insbesondere gilt: Eine zyklische Gruppe G hat genau ϕ(|G|) = |(Z/|G|Z) × |
Erzeuger.
Wir kommen zu dem zentralen Ergebnis dieses Abschnittes.
Satz 4.1.4 Sei k ein Körper und (G, ·) eine endliche Untergruppe der Einheitengruppe
(k × , ·). Dann ist G zyklisch.
Beweis: Sei x ∈ G ein Element von maximaler Ordnung und d := ord(x), d.h.
mit d = ord(x) und d ≥ ord(y) ∀y ∈ G.
Widerspruchsannahme: G ist nicht zyklisch.
Dann gilt d < |G|. Das Polynom X d − 1 hat höchstens d Nullstellen in dem
Körper k. Daher muß es ein y ∈ G mit y d − 1 ≠ 0, d.h. mit y d ≠ 1 geben.
Dann ist aber ord(y) kein Teiler von d. Sei g ∈ ggT (ord(y), d) mit g ≥ 0. Dann
wird z := y g zu d teilerfremde Ordnung ord(z) = ord(y)/g > 1 haben. Es folgt
ord(xz) = ord(x)ord(z) > ord(x) im Widerspruch zur Wahl von x. □
60

Folgerung 4.1.5 a) Wenn k ein endlicher Körper ist, dann ist k × zyklisch.
Insbesondere ist F × p für jede Primzahl p zyklisch.
b) Sei N ≥ 2. Wenn (Z/N) × zyklisch ist 1 , dann gibt es in G := (Z/N) ×
genau ϕ(|G|) = ϕ(ϕ(N)) Erzeuger von G. Diese Erzeuger werden auch
Primitivwurzeln modulo N genannt. Mithin liegen in F × p genau ϕ(p −
1) Primitivwurzeln modulo p.
Beispiel: Wir wollen die Primitivwurzeln von F 13 (d.h. die Erzeuger von G :=
F × 13 ) bestimmen. Wir setzen [a] := [a] 13. Es gilt |G| = |F 13 | = ϕ(13) = 12. Nach
obiger Folgerung 4.1.5 muß es ϕ(12) = ϕ(4)ϕ(3) = 4 solche Primitivwurzeln
geben. Die Primteiler von 12 sind 2 und 3. Nach 4.1.3 ist [a] ∈ F 13 Primitivwurzel
genau dann, wenn [a] 12/3 ≠ [1] und [a] 12/2 ≠ [1] gilt. Wir testen auf gut Glück,
ob [2] Primitivwurzel ist. [2] 4 = [3] ≠ [1] und [2] 6 = [3][4] = [12] ≠ [1]. Also ist
[2] Primitivwurzel. Die anderen Primitivwurzeln sind von der Form [2] u , wobei
u ∈ (Z/12Z) × = {1 + 12Z, 5 + 12Z, 7 + 12Z, 11 + 12Z}. D.h. die Gesamtheit aller
Primitivwurzeln ist hier [2], [2] 5 = [6], [2] 7 = [6][4] = [11], [2] 11 = [−3][2] = [7].
Wir berechnen die Potenzen der Primitivwurzel [2] und der Nicht-Primitivwurzel
[3]:
k 0 1 2 3 4 5 6 7 8 9 10 11 (12)
[2] k [1] [2] [4] [8] [3] [6] [12] [11] [9] [5] [10] [7] ([1])
[3] k [1] [3] [9] [1] [3] [9] [1] [3] [9] [1] [3] [9] ([1])
Hier kann man das unterschiedliche Verhalten gut sehen. Jedes Element von
F × 13 kann als Potenz der Primitivwurzel [2] geschrieben werden, d.h. 〈[2]〉 =
F × 13 . Die Potenzen der Nicht-Primitivwurzel [3] liegen alle in der Menge 〈[3]〉 =
{[1], [3], [9]}.
Sei G eine endliche, abelsche Gruppe und g ∈ G. Die Abbildung
ist dann bijektiv und es gilt
exp G,g : (Z/ord(g)Z, +) → (〈g〉, ·), u ↦→ g u
exp G,g (u + v) = g u+v = g u g v = exp G,g (u) exp G,g (v)
für alle u, v ∈ Z/ord(g)Z, d.h. exp G,g ist ein Isomorphismus von Gruppen. Die
Umkehrabbildung wird mit log G,g bezeichnet und diskreter Logarithmus zur
Basis g (bez. der Gruppe G) genannt. Für x ∈ 〈g〉 sei ferner Log G,g (x) ∈ Z
der kleinste nicht-negative Repräsentant von log G,g (x). Dann ist Log G,g (x) die
kleinste nicht-negative Zahl k ∈ Z mit g k = x.
ist wieder ein Isomorphismus; es gilt
log G,g : (〈g〉, ·) → (Z/ord(g)Z, +)
log G,g (xy) = log G,g (x) + log G,g (y)
1 Das braucht im allgemeinen nicht der Fall sein, wie das Bsp. N = 8 zeigt!
.
61

für alle x, y ∈ G. Man beachte: Genau dann gilt log G,g (x) = u, wenn g u = x
gilt (x ∈ G, u ∈ Z/|G|Z). Man beachte: Wenn x ∈ G keine Potenz von g ist,
dann ist log G,g (x) nicht definiert!
Besonders wichtig ist der Spezialfall in dem G zyklisch und g ein Erzeuger von
G ist. Dann gilt |G| = ord(g) und
exp G,g : (Z/ord(g)Z, +) → (G, ·), log G,g : (G, ·) → (Z/|G|Z, +)
sind zueinander inverse Isomorphismen.
Wenn klar ist um welche Gruppe es geht, so schreiben wir oft exp g statt exp G,g ,
log g statt log G,g bzw. Log g statt Log G,g .
Folgerung 4.1.6 Jede endliche zyklische Gruppe G ist isomorph zu (Z/|G|Z, +).
Beispiel: Wir wollen diskrete Logarithmen zur Basis [6] in F 13 berechnen. Wir
betrachten die entsprechende Zeile der Potenzierungstafel.
k 0 1 2 3 4 5 6 7 8 9 10 11
[6] k [1] [6] [10] [8] [9] [2] [12] [7] [3] [5] [4] [11] .
Man sieht, daß ord([6]) = 12 = |F × 13 | und 〈[6]〉 = F× 13 gilt, d.h. daß [6] ein
Erzeuger von F × 13 ist. Also ist log [6](x) bzw. Log [6] (x) für jedes x ∈ F × 13 definiert.
Was ist Log [6] ([3])? Aus der obigen Tabelle entnimmt man, daß [6] 8 = [3] (und
[6] k ≠ [3] für 0 ≤ k < 8) gilt. Also gilt Log [6] ([3]) = 8. Ferner muß log [6] ([3])
die Restklasse von Log [6] ([3]) = 8 modulo ord([6]) = 12 sein, d.h. log [6] ([3]) =
[8] 12 . Aus obiger Tabelle entnimmt man in völlig analoger Weise Log [6] (x) bzw.
log [6] (x) für jedes x ∈ F × 13 :
x [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12]
Log(x) 0 5 8 10 9 1 7 3 4 2 11 6
log(x) 0 5 8 10 9 1 7 3 4 2 11 6
.
Wir haben hier a statt [a] 12 und [a] statt [a] 13 geschrieben.
Genauso können wir nach diskreten Logarithmen zur Basis [8] fragen. Wir betrachten
die entsprechende Zeile der Potenzierungstafel:
k 0 1 2 3 4 5 6 7 8 9 10 11 12
[8] k [1] [8] [12] [5] [1] [8] [12] [5] [1] [8] [12] [5] [1] .
Es folgt ord([8]) = 4 und 〈[8]〉 = {[1], [8], [5], [12]}. Insbesondere ist [8] kein Erzeuger
von F × 13 . Nur für x ∈ 〈[8]〉 ist Log [8](x) definiert! Was ist nun Log [ 8]([5])?
Es ist die kleinste nicht-negative ganze Zahl k mit [8] k = [5], also Log [8] ([5]) = 3.
Ferner ist log [8] ([5]) die Restklasse von Log [8] ([5]) modulo ord([8]) = 4, d.h.
log [8] ([5]) = [3] 4 . So kann man Log [8] (x) bzw. log [8] (x) für jedes x ∈ 〈[8]〉 bestimmen:
x [1] [5] [8] [12]
Log(x) 0 3 1 2 .
log(x) [0] 4 [3] 4 [1] 4 [12] 4
62

Wenn p eine große Primzahl und g eine Primitivwurzel in F × p ist, dann hat man
in dem Square and Multiply Algorithmus ein schnelles 2 Verfahren zur Berechnung
von exp F
×
p ,g(u) für u ∈ Z/(p − 1)Z.
Für die Berechnung von log F
×
p ,g
kann man eine Tabelle wie in obigem Beispiel
anlegen, und dann auslesen. Das kostet natürlich enorm viel Laufzeit. Das Berechnen
des relevanten Teils der Zeile [x] der Potenzierungstabelle braucht ca.
2 B Schritte, wenn ord([x]) eine B-Bit-Zahl ist. Es gibt etwas schnellere Algorithmen
für die Berechnung diskreter Logarithmen, z.B.
a) den Algorithmus von Silver, Pohig und Hellman,
b) die Babystep-Giantstep-Methode von Shanks (siehe [B], Abschnitt 9.3)
oder
c) die Index-Kalkulus-Methode.
All diese Algorithmen sind i.a. nicht polynomial in der Bitlänge von p, zumindest
wenn die Basis g des Logarithmus so beschaffen ist, daß ord(g) einen großen
Primteiler 3 l hat
Nach dem Stand der Technik 4 gilt es als praktisch unmöglich, log F
×
p ,g(x) zu berechnen,
wenn p eine 1000-Bit Primzahl ist und ord(g) einen 200-Bit Primteiler
hat.
Wir wissen bereits, dass für jede Primzahl p die Gruppe F × p zyklisch ist. Die
zyklischen Gruppen haben eine sehr einfache Strukturtheorie. Wir beenden den
Abschnitt mit wichtigen Sätzen über zyklische Gruppen.
Satz 4.1.7 Sei G eine endliche, zyklische Gruppe und g ein Erzeuger. Für jeden
positiven Teiler d von |G| hat G genau eine Untergruppe U mit |U| = d nämlich
U = 〈g |G|/d 〉.
Beweis: Gelte dm = |G|. Sei N = |G|. Offenbar ist U := 〈g m 〉 eine Untergruppe
mit
|U| = ord(g m ) = |G|/m = d
(beachte 4.1.2, 4.1.3).
Sei V eine Untergruppe der Ordnung d. Wir zeigen V ⊂ U. (Dann muß U = V
gelten wg. |U| = |V | = d). Sei v ∈ V beliebig. Wegen |V | = d folgt v d =
1. Wie jedes Element von G ist v eine Potenz von g: Sagen wir v = g s mit
s ∈ {0, · · · , N − 1}. Dann gilt 1 = g ds und mit ord(g) = N folgt N | ds, d.h.
md | sd. Daher ist s ein Vielfaches von m. Also existiert ein k ∈ {0, · · · , d − 1}
mit s = mk. Es folgt v = g mk ∈ U.
□
2 polynomial in der Bitlänge von p
3 vielleicht ist die Bitlänge von l halb so groß wie die Bitlänge von p
4 im Jahr 2007
63

Bemerkung 4.1.8 Sei G eine endliche, zyklische Gruppe mit Erzeuger g. Für
jeden positiven Teiler d | |G| sei U d die Untergruppe der Ordnung d. Sei d und
d ′ positive Teiler von |G|. Genau dann gilt U d ⊂ U d ′, wenn d ein Teiler von d ′
ist.
Beweis: Sei m := |G|/d und m ′ := |G|/d ′ . Dann gilt m, m ′ ∈ N. Es gilt U d =
〈g m 〉 und U d ′ = 〈g m′ 〉. Wenn U d ⊂ U d ′ gilt, dann muß g m ∈ U d ′ gelten. Also muß
m ′ ein Teiler von m sein. Aber das impliziert d | d ′ . Die umgekehrte Implikation
ist trivial.
□
Folgerung 4.1.9 Sei G eine endliche zyklische Gruppe und g ein Erzeuger von
G.
a) G hat genau so viele Untergruppen, wie |G| Teiler hat.
b) Sei d ein positiver Teiler von |G| und U die (eindeutig bestimmte) Untergruppe
mit |U| = d. Die Elemente der Ordnung d in G sind genau die
Erzeuger von U. Also gibt es in G genau ϕ(d) Elemente der Ordnung d.
Folgerung 4.1.10 In F × p gibt es für jeden positiven Teiler d von p − 1 genau
ϕ(d) Elemente der Ordnung d.
Beispiel: Wir rechnen in G := F × 103 . Wir wissen nach 4.1.5, daß G zyklisch ist.
Die obigen Struktursätze erlauben es, mit minimalem Rechenaufwand diverse
Aussagen über G zu treffen:
Für jeden positiven Teiler d von |G| = ϕ(103) = 102 gibt es genau eine Untergruppe
U d der Ordnung d. Die Menge der positiven Teiler von 102 = 2 · 3 · 17
ist
T = {2 i · 3 j · 17 k : i, j, k ∈ {0, 1}} = {1, 2, 3, 6, 17, 34, 51, 102}.
Für jedes Element x ∈ F × 103 wird ord(x) ∈ T ein Teiler von 102 sein nach dem
kleinen Satz von Fermat 2.7.2. Es wird nach 4.1.9 genau
1 Element der Ordunung 1 (nämlich [1]),
ϕ(2) = 1 Element der Ordnung 2,
ϕ(3) = 2 Elemente der Ordung 3 (d.h. Erzeuger von U 3 ),
ϕ(6) = 2 Elemente der Ordung 6 (d.h. Erzeuger von U 6 ),
ϕ(17) = 16 Elemente der Ordung 17 (d.h. Erzeuger von U 17 ),
ϕ(34) = 16 Elemente der Ordung 34 (d.h. Erzeuger von U 34 ),
ϕ(51) = 32 Elemente der Ordung 51 (d.h. Erzeuger von U 51 ),
ϕ(102) = 32 Elemente der Ordung 102 (d.h. Erzeuger von U 102 = F × 103 )
geben.
Wir zeigen, daß g = [6] 103 ein Erzeuger von G = F × 103 ist. Nach 4.1.1 brauchen
wir nur zu zeigen, daß g 102/l ≠ [1] für jeden Primteiler l von 102 (d.h. für
l ∈ {2, 3, 17}) gilt. Es gilt [6] 51 = [102] ≠ [1], [6] 34 = [46] ≠ [1] und [6] 6 =
[100] ≠ [1]. Also ist g = [6] ein Erzeuger von G = F × 103 , d.h jedes Element in
F × 103 ist eine Potenz von [6], F× 103 = 〈[6]〉.
64

Wie findet man nun eines der 16 Elemente der Ordung d = 34, d.h. einen der
Erzeuger von U 34 ? Nach 4.1.7 muß g 102/34 = [6] 3 = [10] ein solches Element
sein: U 34 = 〈[10]〉 und ord([10]) = 34.
Wie kann ich die beiden Elemente der Ordnung 6, d.h. die beiden Erzeuger von
U 6 finden? Mit 4.1.7 folgt, daß
U 6 = 〈g 102/6 〉 = 〈[6] 17 〉 = 〈[47]〉
gilt, d.h [47] erzeugt U 6 . Nach 4.1.3 sind die Erzeuger von U 6 genau die Elemente
der Form [47] u mit u ∈ (Z/6) × . Aber (Z/6) × = {[1] 6 , [5] 6 }. Daher sind [47] und
[47] 5 = [57] die beiden Erzeuger von U 6 . Die Elemente [47] und [57] haben also
Ordung 6 und weitere Elemente der Ordnung 6 gibt es nicht in F × 103 .
Zum Schluß möchte ich alle sechs Elemente der Untergruppe U 6 auflisten. Ich
muß dazu nur die Potenzen des Erzeugers 5 [47] von U 6 berechnen.
U 6 = {[47] 0 , [47] 1 , · · · , [47] 5 } = {[1], [47], [46], [102], [56], [57]}.
Ich denke, dieses Beispiel zeigt, daß sich mit obiger Strukturtheorie viele Fragen
zu der Gruppe F × 103 schnell beantworten lassen, ohne dass dafür die Potenzierungstafel
(diese hätte ≈ 102 2 Einträge!) berechnet werden müßte.
4.2 Die ρ-Methode von Pollard
Sei G eine endliche, abelsche Gruppe und g ∈ G. Wir betrachten das folgende
diskrete Logarithmus-Problem: Gegeben h ∈ G entscheide, ob h ∈ 〈g〉
und berechne gegebenenfalls ein x ∈ {0, · · · , |G| − 1} mit g x = h. Mit anderen
Worten: Man möchte, gegeben h ∈ G entscheiden, ob ein x ∈ {0, · · · , |G| − 1}
mit exp g (x) = h existiert, und ein solches x ggfls. berechnen.
Wir fassen das Problem etwas weiter:
Problem A. Seien X eine N-elementige Mengen und f : {0, · · · , N − 1} → X
eine Abbildung. Gegeben y ∈ X entscheide, ob a mit f(a) = x existiert und
berechne ggfls. ein solches a.
Wenn man nichts über die spezielle Gestalt von f weiß, so ist der folgende “naive
Algorithmus” (exhaustives Absuchen) die optimale Strategie:
löst dieses Problem A.
a = 0; while(f(a) x ANDa ≤ n − 1, a = a + 1)
Faktum A. Problem A läßt sich in O(N) Rechenschritten lösen.
Sei X eine endliche N-elementige Menge und f : X → X eine Abbildung. Sei
x 0 ∈ X ein Startwert und (x i ) i∈N die rekursiv definierte Folge mit x i+1 = f(x i ),
5 Der andere Erzeuger [57] würde das selbe Endergebnis liefern.
65

d.h. mit x j = f j (x 0 ), wobei f j = f ◦ · · · ◦ f die j-malige Hintereinanderausführung
von f ist. Da X endlich ist, kann die Abbildung
N → X, i ↦→ x i
nicht injektiv sein. Es muß also ein Indexpaar (i, j) mit i < j und x i = x j geben.
Ein solches Indexpaar wird im folgenden eine Kollision in (x i ) i genannt.
Sei (v, w) das kleinste solche Indexpaar und s = w −v. Dann gilt für jedes j ∈ N
schon x v+j+s = f j (x v+s ) = f j (x v ) = x v+j . D.h. nach einer Vorperiode der
Länge v mündet (x i ) i in einen Zyklus der Periodenlänge s. Wenn f eine Zufallsabbildung
(d.h. ein zufällig gewähltes Element der Menge aller Abbildungen
X → X) ist, dann sind v und s Zufallsvariable mit Erwartungswert ≈ 0.6 √ N.
Faktum B. Sei f : X → X eine Zufallsabbildung und x 0 ∈ X ein Startwert.
Dann läßt sich eine Kollision in der Folge (x i ) i = (f i (x 0 )) in erwarteter Laufzeit
von O( √ N) Schritten berechnen.
Sei wieder G eine endliche abelsche Gruppe und g ∈ G. Der Clou bei der
ρ-Methode von Pollard ist folgendes: Das diskrete Logarithmusproblem (d.h.
Problem A im Spezialfall der Abbildung exp g ) kann durch einen “Trick” (Betrachten
einer geeigneten Hilfsfunktion) überführt werden in ein Problem, das
auf Grund von Faktum B in O( √ |G|) Schritten gelöst werden kann. Dies ergibt
eine Verbesserung der Laufzeit von O(|G|) auf O( √ |G|).
Wir gehen nun auf die Details ein. Sei o.E. G = 〈g〉 zyklisch mit Erzeuger g.
Sei h ∈ G. Wir wollen x mit g x = h berechen. Sei G = T 1 ∪ T 2 ∪ T 3 eine
disjunkte Zerlegung in drei etwa gleich große Teilmengen. Wir betrachten die
Hilfsfunktion
⎧
⎨ xg x ∈ T 1
f : G → G, x ↦→ x 2 x ∈ T 2
⎩
xh x ∈ T 3
Seien a 0 , b 0 ∈ Z/N (N := |G|) und x 0 = g a0 h b0 . Seien (x i ) i , (a i ) i und (b i ) i die
rekursiv definierten Folgen mit
und
x i+1 = f(x i ),
⎧
⎨ a i + 1 x ∈ T 1
a i+1 = 2a i x ∈ T 2
⎩
a i x ∈ T 3
⎧
⎨ b i x ∈ T 1
b i+1 = 2b i x ∈ T 2 .
⎩
b i + 1 x ∈ T 3
Dann gilt x i = g ai h bi für alle i. Man findet nach Faktum B in erwarteter Laufzeit
von O( √ N) Rechenschritten eine Kollision (i, j) in der Folge (x i ) i . Dann gilt
g ai h bi = g aj h bj und das impliziert g ai−aj = h bj−bi = g x(bj−bi) . Daraus gewinnt
man die folgende Gleichung im Ring Z/N:
a i − a j = x(b j − b i ).
66

Aller Wahrscheinlichkeit nach ist dann b j − b i eine Einheit in Z/N und dann
läßt sich (∗) nach x Auflösen.
Merke: In jeder Gruppe G läßt sich das diskrete Logarithmusproblem in erwarteter
Laufzeit von O( √ |G|) Schritten berechnen.
Bemerkung: Dies ist für kleine Gruppen relevant. Im Fall |G| ≈ 2 1000 ist die
Beschleunigung aber bei weitem nicht stark genug, um diskrete Logarithmen
mit dieser Methode effektiv berechnen zu können.
4.3 Der Algorithmus von Silver, Pohlig und Hellman
Sei G eine zyklische Gruppe und g ∈ G. Wir nehmen an, daß die Primfaktorzerlegung
ord(g) = l e1
1 · · · let t
von ord(g) bekannt ist.
Wir stellen einen Algorithmus für das Berechnen von
Log G,g : 〈g〉 → N
vor, der in manchen Fällen schneller ist als der naive Algorithmus “Berechnen
der entsprechenden Zeile einer Potenzierungstafel”. Zur Abkürzung setzen wir
im folgenden Log := Log G,g .
Für jeden Primteiler l von ord(g) sei g l := g ord(g)/l . g l ist also ein Erzeuger der
eindeutig bestimmten Untergruppe U l von 〈g〉 der Ordnung l.
Wir gehen im folgenden davon aus, daß Log gl für jeden Primteiler l von ord(g)
bereits implementiert ist. Meist wird in einer Initialisierungsphase für jeden
Primteiler l von ord(g) die Logarithmentafel für Log gl
berechnet.
Schon hier sieht man: Wenn ord(g) prim ist, dann wird dieses Vorgehen keinerlei
Vorteil gegenüber dem naiven Algorithmus haben. Wenn aber ord(g) ein
Produkt von kleinen Primzahlen ist, dann ist der Zeitgewinn erheblich.
Beispiel: p = 30000001 ist prim. g = [2744] ist ein Element der Ordnung
10 7 in F × 30000001 . Die Primteiler von ord(g) = 107 sind 2 und 5 (also sehr
klein verglichen mit ord(g)). g 2 = g 107 /2 = [30000000] hat Ordnung 2 und
g 5 = g 107 /5 = [18544125] hat Ordung 5.Es sollen Logarithmen Log g zur Basis
g berechnet werden. In der Initialisierungsphase des Algorithmus von Silver,
Pohlig und Hellman werden die beiden Potenzierungstafeln
k 0 1 2 3 4 (5) (6)
g k 5 [1] [18544125] [20552807] [9404415] [11498654] ([1]) ([18544125]) ,
k 0 1 (2) (3)
g k 2 [1] [30000000] ([1]) ([30000000]) · · ·
67

ereitgestellt. Dies ist wesentlich weniger Aufwand als das Erstellen der Potenzierungstafel
für g, denn diese hätte ord(g) = 10 7 Einträge. 6
□
Satz 4.3.1 Sei a ∈ 〈g〉 und l ein Primteiler von 7 N := ord(g). Gelte l i+1 | N.
Sei x ∈ {0, · · · , l i − 1}
Wenn die Kongruenz
Log(a) = x mod l i
(auch der Fall i = 0 und x = 0 ist erlaubt!) gilt, dann gilt
Log g (a) = x + Log gl
((ag −x ) N/li+1 )l i mod l i+1 .
Beweis: Aus der Voraussetzung folgt Log(ag −x ) = 0 mod l i , also Log(ag −x ) =
ul i für ein geeignetes u. Daraus folgt ag −x = g uli , d.h
Log gl
((ag −x ) N/li+1 ) = Log gl
(g uN/l ) = Log gl
(g u l ) = u mod l.
Daraus folgt Log gl
((ag −x ) N/li+1 )+wl = u für ein geeignetes w. Schließlich ergibt
sich
Log g (a) = x + ul i = x + Log gl
((ag −x ) N/li+1 )l i + wl i+1 .
Wenn man diese Gleichung modulo l i+1 betrachtet, dann ergibt sich die Behauptung.
□.
Sei a ∈ 〈g〉. Es soll Log g (a) berechnet werden. Die Berechnung von Log gl
stellt
mit den in der Initialisierungsphase errechneten Tabellen kein Problem mehr
da. Sei l s die höchste in ord(g) aufgehende Potenz von l. Obiger Satz kann dann
offensichtlich dazu verwendet werden, von der trivialen Kongruenz
Log g (a) = 0 mod l 0
ausgehend in s Schritten ein x ∈ Z zu berechnen, derart daß die Kongruenz
Log g (a) = x mod l s (∗)
gilt. In jedem der s Teilschritte ist ein Wert von Log gl
aus der vorbereiteten
Tabelle auszulesen und in jedem Schritt fällt die Berechnung eines Ausdruckes
(ag −x ) ord(g)/li an (Square and Multiply!). Das geht schnell. Eine einzelne Kongruenz
(∗) legt die zu berechnende Größe Log g (a) nicht eindeutig fest; sie stellt
aber eine wichtige Teilinformation über die Zielgöße Log g (a) dar.
Algorithmus 4.3.2 Sei G eine endliche, zyklische Gruppe. Eingabe: a ∈ G,
g ∈ G.
Berechne die PFZ ord(g) = l s1
1 · · · lst t
l i ).
(mit paarweise verschiedenen Primzahlen
6 Erst in der 10 7 -ten Spalte käme [1] und ab da würde sich alles wiederholen!
7 Beachte: Wenn g ein Erzeuger von G ist, dann ist N = |G|.
68

Berechne für jedes i ein x i ∈ {0, · · · , li s − 1} derart, dass
gilt.
Log(a) = x i mod l si
i
Berechne mit dem euklidischen Algorithmus zum chinesischen Restsatz das X ∈
{0, · · · , ord(g) − 1} mit
Ausgabe: Log g (a) = X.
X = x 1 mod l s1
1
X = x 2 mod l s2
2
· · ·
X = x t mod l st
t .
Wenn p eine große Primzahl und g ein Erzeuger von F × p ist, dann wird ord(g) =
p − 1 in aller Regel nicht nur kleine Primteiler haben und es kann bereits das
Berechnen der PFZ von ord(g) = p − 1 zum Problem werden.
Die Berechnung von Log gl
, die beim Aufstellen der Kongruenzen mehrfach aufgerufen
wird, kostet enorm viel Laufzeit, wenn l ein großer Primteiler von ord(g)
ist.
Man hält es wie gesagt derzeit 8 für technisch unmöglich, Log F
×
p ,g
zu berechnen,
wenn p eine 1000-Bit-Primzahl ist und ord(g) einen 300-Bit Primteiler hat.
Bemerkung 4.3.3 Ganz anders liegen die Dinge, wenn g ein Element der Ordnung
2 s in F × p ist. Dann ist 2 der einzige Primteiler von ord(g) und die Berechnung
von
log F
×
p ,g
: 〈g〉 → Z/2s
funktionert dann mit dem obigen Algorithmus in Laufzeit, die polynomial in
der Bitlänge von p ist. (Man beachte, dass s kleiner-gleich der Bitlänge von
p sein wird. Der obige Algorithmus berechnet log g (a) in s Schritten, wobei die
laufzeitintensivste Operationen in jedem Schritt eine Potenzierung mit Square
und Multiply ist. In jedem Schritt fällt auch eine Auswertung Log [−1] (y), y ∈
{[1], [−1]} an, aber das läuft auf eine einfache if-Abfrage hinaus.)
8 im Jahr 2007
69

Kapitel 5
Public-Key-Verfahren, die
auf dem diskreten
Logarithmus beruhen
5.1 Schlüsselerzeugung
Sei G eine abelsche Gruppe und g ∈ G. Wir nennen (G, g) eine Einweggruppe,
wenn folgendes gilt:
a) Die Elemente sind “vernünftig speicherbar” und die Multiplikation und
die Inversenbildung in G ist schnell berechenbar. Dann wird mit Square
and Multiply für x ∈ {1, · · · |G|} auch exp g (x) = g x schnell berechenbar
sein.
b) Es ist aus Laufzeitgründen (vermutlich) technisch derzeit unmöglich, für
x ∈ 〈g〉 den diskreten Logarithmus log g (x) zu berechnen.
Das folgende Beispiel ist für uns besonders wichtig.
Beispiel: Sei p eine ≥ 1000-Bit-Primzahl, l eine ≥ 300-Bit-Primzahl und g ∈ F × p
ein Element der Ordnung l. Dann ist (F × p , g) eine Einweggruppe 1 .
Nicht jede Gruppe ist eine Einweggruppe. Wenn z.B. p eine 1000-Bit-Primzahl
und h ∈ F × p ein Element mit ord(h) = 2 s ist, dann ist log h (−) schnell berechenbar
und (F × p , h) ist keine Einweggruppe.
Auch die additive Gruppe (F p , +) ist keine Einweggruppe; sie ist kryptologisch
völlig unsicher.
1 Besser: Man hat derzeit (2007) sehr gute Gründe für die Annahme, daß (F × p , g) eine
Einweggruppe ist.
70

Wir wenden uns in diesem Abschnitt der Erzeugung von Einweggruppen zu.
Problem: Sei B > b > 0. Wir wollen ein Zufallstripel (p, l, g) konstruieren derart,
daß p eine B-Bit-Primzahl, l eine b-Bit-Primzahl und g ∈ F × p ein Element
mit ord(g) = l ist. (Etwa für B = 1000, b = 500 wird das auf eine zufällige Einweggruppen
(F × p , g) führen, die dann im Rahmen der Kryptographieverfahren,
die im folgenden besprochen werden, benutzt werden können.)
Sei im folgenen ispseudoprime ein schneller, probabilistischer Primzahltest, z.B.
der Miller-Rabin-Test. Wenn der Aufruf ispseudoprime(N, ε) die Antwort “false”
liefert, dann ist N sicher zusammengesetzt. Wenn der Aufruf ispseudoprime(N, ε)
die Antwort “true” ergibt, dann ist N wahrscheinlich (mit Wahrscheinlichkeit
≥ 1 − ε) prim. Je kleiner man die Fehlerwahrscheinlichkeit ε wählt, desto größer
wird die Laufzeit.
Wir schildern nun den Algorithmus stepnextprime, der für die Lösung des obigen
Problems gebraucht wird. Sei N, s ∈ N mit s > 0. Die Folge
N, N + s, N + 2s, N + 3s, · · ·
wird im folgenden arithmetische Progression mit Beginn N und Sprungweite
s genannt. Der Algorithmus stepnextprime sucht nach einer Primzahl in
dieser arithmetischen Progression. Gegebenenfalls wird die kleinste Primzahl,
die gefunden wird, ausgegeben.
Klar ist folgendes: Wenn 1 < g < N ein gemeinsamer Teiler von s und N ist,
dann teilt g auch jede Zahl der Form N + ks. Wenn also s nicht zu N teilerfremd
und N zusammengesetzt ist, dann sind die Elemente der arithmetischen
Progression N, N + s, N + 2s, · · · sicher allesamt nicht prim. Der folgende Algorithmus
hält in diesem Fall mit einer Fehlermeldung an.
Algorithmus 5.1.1 (stepnextprime) Eingabe: N, s. Steuerparameter ε 1 und
ε 2 , z.B. ε 1 = 10 −2 und ε 2 = 10 −10 .
1. if ggT (N, s) > 1 then HALT mit Fehlermeldung;
2. p := N;
3. while ispseudoprime(p, ε 1 ) = false do p = p + s;
4. if ispseudoprime(p, ε 2 ) = false GOTO 3.
Ausgabe: p ist (mit Fehlerwahrscheinlichkeit ≤ ε 2 ) eine Primzahl in der arithmetischen
Progression N, N +s, N +2s, · · ·; wahrscheinlich ist es sogar die kleinste
Primzahl mit dieser Eigenschaft.
Anders gesagt: p ist (mit Fehlerwahrscheinlichkein ≤ ε 1 ) eine Primzahl ≥ N,
welche die Kongruenz p = N mod s erfüllt.
71

Satz 5.1.2 (Primzahlen in arithmetischen Progressionen) Sei s zu N
teilerfremd. Dann gibt es in der arithmetischen Progression
unendliche viele Primzahlen.
N, N + s, N + 2s, N + 3s, · · ·
Der Erwartungswert für die Anzahl der Durchläufe der while-Schleife in obigem
Algorithmus ist dann 2
b
log(N)
ϕ(b) .
Wenn überdies N eine 1000-Bit-Zahl ist, dann wird stepnextprime spätestens
nach ein paar tausend Schritten eine Primzahl finden.
Sei im folgenden random(b) eine ≈ b-Bit-Zufallszahl. Der Aufruf
l := stepnextprime(random(b), 1)
wird dann eine ≈ b-Bit-Zufallsprimzahl erzeugen. N := 1+random(B−b)·l wird
dann eine B-Bit-Zufallszahl sein, die N = 1 mod l erfüllt. p := stepnextprime(N, l)
ergibt eine zufällige Primzahl p, die p = 1 mod l erfüllt. Dann gilt l | p−1 = |F × p |.
Da F × p zyklisch ist, muß es in F × p genau ϕ(l) = l − 1 Elemente der Ordnung l
geben. Um das eingangs gestellte Problem vollständig zu lösen, muss nur noch
ein solches Element g der Ordnung l gefunden werden. Dafür kann man den
folgenden Satz verwenden.
Satz 5.1.3 Sei p prim und l ein Primteiler von p − 1. Sei z ∈ F × p
g := z (p−1)/l . Wenn g ≠ [1] gilt, dann gilt ord(g) = l.
beliebig. Sei
Beweis: Nach dem Satz von Fermat gilt g l = z p−1 = [1] und das impliziert
ord(g) | l. Da l prim ist, muß ord(g) ∈ {1, l} gelten. Wenn g ≠ 1, dann folgt also
ord(g) = l.
□
Für ein willkürlich gewähltes Element z ∈ F × p wird in aller Regel z p−1
l
ord(z) = l gelten. Wenn z p−1
l
sein. Dieses Polynom hat p−1
l
willkürlich gewähltes Element z die Gleichung z p−1
l
(Also z.B. ≈ 2 −300 , wenn l eine 300-Bit-Zahl ist.)
≠ [1], also
= [1] gilt, dann wird z Nullstelle von Z p−1
l − [1]
Nullstellen. Die Wahrscheinlichkeit dafür, daß ein
= [1] erfüllt ist also nur 1/l.
Der folgende Algorithmus stellt eine Lösung des eingangs gestellten Problems
dar.
Algorithmus 5.1.4 (Schlüsselerzeugung)
Eingabe: b < B.
l := stepnextprime(random(b), 1) (Dann ist l eine ≈ b-Bit-Zufallsprimzahl.)
2 ϕ steht für die Eulersche ϕ-Funktion.
72

N := l + l · random(B − b). (Dann ist N eine ≈ B-Bit-Zufallszahl, die N =
1 mod l erfüllt.)
p := stepnextprime(N, l). (Dann ist p eine ≈ B-Bit-Zufallszahl, die p = 1 mod l
erfüllt.)
repeat z := random, g := z p−1
l until g ≠ [1].
(Dann ist g ein Element der Ordnung l in F × p .
Ausgabe: (p, l, g).
5.2 Das Massey-Omura-Verschlüsselungsverfahren
Dieses Verschlüsselungsverfahren erinnert an das folgende Gedankenexperiment: 3
Man stelle sich ein Land vor, in dem keine vertrauenswürdigen Boten zur Verfügung
stehen. Wie kann ich vertrauliche Informationen von einer Dienststelle A zu einer
Dienststelle B bringen, ohne vorher Schlüssel für ein Private-Key-Verfahren 4
vereinbart zu haben? Dienststelle A packt die vertraulichen Unterlagen in eine
einbruchsichere Kiste, schießt diese mit einem Vorhängeschloß ab und schickt
diese zu B. Der Schlüssel verbleibt bei A. Dienststelle B kann die Kiste dann
natürlich nicht öffnen. Sie verschließen die Kiste stattdessen mit einem zweiten
Vorhängeschloß und schicken die doppelt verschlossene Kiste zurück zu A.
Der Schlüssel für das zweite Schloß verbleibt bei B. Dienstelle A wird nun ihr
Schloß entfernen und die nur noch einfach verschlossene Kiste ein drittes Mal
zu B schicken. Dienstelle B kann die Kiste nun öffnen und die Unterlagen entnehmen.
Der Bote hat aber nie die Kiste in unverschlossenem Zustand bei sich
gehabt.
Sei im folgenden (G, g) eine Einweggruppe 5 . Ein Paar (G, g) kann mit Algorithmus
5.1.1 erzeugt werden. Wir fordern aus Bequemlichkeit, daß G zyklisch sein
soll. Die Gruppe G sei öffentlich bekannt.
Sei U eine Menge von Usern (evtl. nur zwei). Jeder User X wählt nun eine Zahl
e X ∈ {2, · · · , |G|−1}, die teilerfremd zu |G| ist. Er berechnet d X ∈ {2, · · · , |G|−
1} mit e X d X = 1 mod |G|. User X hält sowohl e X als auch d X geheim.
Satz 5.2.1 Für m ∈ G gilt m e X d X
= m.
Beweis: Wegen e X d X = 1 mod |G| gibt es ein k mit e X d X = 1 + k|G|. Es folgt
m e X d X
= m 1+k|G| = m(m |G| ) k = m. Wir haben verwendet, daß m |G| = 1 nach
dem Satz von Fermat gilt.
□
3 Die Geschichte soll auf Diffie zurückgehen.
4 etwa Vernam
5 Für diese spezielle Anwendung braucht das Element g nicht einmal explizit bekannt sein.
73

Der Nachrichtenraum des Verfahrens ist G. Durch das folgende Massey-Omura-
Protokoll kann eine Nachricht m ∈ G von User Alice (A) zu User Bob (B)
übertragen werden.
a) A berechnet c 1 := m e A
und schickt c 1 zu B. (Niemand kann in diesem
Stadium aus c 1 alleine nennenswerte Rückschlüsse auf die Nachricht ziehen.
In der Tat wird zumindest für jeden der ϕ(|G|) Erzeuger ˜m von G
ein e mit ˜m e = c 1 existieren. Auch Bob kann aus c 1 die Nachricht nicht
rekonstruieren.)
b) B berechnet c 2 = c e B
1 und schickt c 2 zurück an A. (Dann wird c 2 = m e Ae B
gelten.)
c) A berechnet c 3 = c d A
2 und schickt c 3 zu Bob. (Dann gilt c 3 = m e Ae B d A
=
(m e Ad A
) e B
= m e B
nach dem obigen Satz.)
d) B kann nun c d B
3 berechnen. Aber es gilt c d B
3 = m e Bd B
= m nach obigem
Satz. Bob kennt nun die Nachricht m.
,
Wir diskutieren die Sicherheit dieses Verfahrens 6 . Wir sagen es gleich hier: Das
Verfahren von El Gamal, das im nächsten Abschnitt besprochen wird, scheint
uns wesentlich besser zu sein als Massey-Omura.
a) Ein Angreifer, der den ganzen Dialog abgehört hat, kennt c 1 = m e A
,
c 2 = m e Ae B
= c e B
1 und c 2 = m e B
. Es gilt die Formel e B = Log G,c1 (c 2 ).
Wenn der Angreifer es schafft, diesen diskreten Logarithmus zu berechnen,
d.h.. e B zu bestimmen, so wird er mühelos auch an d B und an die Nachricht
m = c e B
3 kommen. Die Berechnung des diskreten Logarithmus wird aber
aus Laufzeitgründen unmöglich sein.
Eine Bemerkung scheint mir allerdings angebracht: Um das Massey-Omura-
System zu brechen würde es genügen, einen Logarithmus zur Basis c 1
(und nicht zur Basis g) zu berechnen. Wenn ord(c 1 ) ein Produkt von kleinen
Primfaktoren ist 7 , dann könnte der Algorithmus von Silver-Pohlig-
Hellman einen Hebel zur Berechnung von e B = Log c1
(c 2 ) bieten. Wenn
dafür gesorgt wurde, daß |G| einen großen Primteiler l hat (etwa l im
300-Bit-Bereich), dann ist die Wahrscheinlichkeit dafür, daß ord(c 1 ) nicht
durch l teilbar ist, nur ≈ 1/l ≈ 2 −300 .
Bei dem ElGamal-Verfahren, das im nächsten Abschnitt dargestellt wird,
hängt die Sicherheit definitiv von einem Logarithmus Log g (−) zur Basis g
ab, der schwer zu berechnen ist. Ich sehe das als einen Vorteil von ElGamal.
b) Das Massey-Omura-Verfahren bietet keinerlei Sicherheit gegen Man-inthe-Middle-Angriffe:
Nimm an, daß sich Oskar vor Alice als Bob ausgeben
kann und alles abhören kann. Er könnte sich dann z.B. nach Ablauf
6 An dieser Stelle wurde die Darstellung der Vorlesung gegenüber ein wenig verbessert.
7 Das ist sehr selten der Fall!
74

von Phase a) einklinken und c ′ 2 := c e O
1 an Alice schicken, bevor Bob antwortet.
Wenn Alice davon überzeugt ist, daß die Nachricht c ′ 2 von Bob
kommt, dann wird sie c ′ 3 := (c ′ 2) d A
= m e Ae O d A
= m e O
an Bob senden.
Oskar hört das ab und berechnet die Nachricht (c ′ 3) d O
= m.
Man sollte das Massey-Omura-Verfahren also immer mit einem guten Signierungsverfahren
kombinieren.
5.3 ElGamal-Verschlüsselung
Sei (G, g) eine Einweggruppe 8 . Sei U eine Menge von Usern (evtl. nur zwei).
Die Einweggruppe (G, g) sei öffentlich bekannt. Jeder User X wählt zufällig ein
d X ∈ {2, · · · , ord(g) − 1} (nicht zu klein) und berechnet E X := g d X
∈ G.
d X bleibt geheim (nur User X kennt d X ) und E X wird öffentlich gemacht.
Dann gilt d X = Log g (E X ), aber es ist technisch unmöglich den Logarithmus
zu ziehen. Somit läßt sich der geheime Schlüssel d X nicht aus dem öffentlichen
Schlüssel E X errechnen.
Beispiel: Die Gruppe (G, g) und die öffentlichen Schlüssel könnten auf einer gemeinsamen
Homepage der Usergroup eingestellt werden. Wir geben ein Beispiel
mit (zu) kleinen Zahlen:
X E X
ALICE [49]
BOB [67]
OSKAR [12]
· · · · · ·
Der Nachrichtenraum bei dem ElGamal-Verfahren ist G. Durch das folgende
Protokoll kann eine Nachricht m ∈ G abhöhrsicher von Alice zu Bob geschickt
werden:
.
□
a) A wählt (gleichverteilt) eine Zufallszahl k ∈ {2, · · · , ord(g) − 1}. Sie berechnet
(c 1 , c 2 ) = (g k , mE k B ).
b) B erhält (c 1 , c 2 ) und berechnet c −d B
1 c 2 . Dadurch erhält der die Nachricht
m zurück, denn
c −d B
1 c 2 = g −kd B
mE k B = g −kd B
mg d Bk = m.
8 Eine solche Gruppe kann mit 5.1.1 erzeugt werden.
75

Beispiel: Betrachten wir die Usergroup in obigem Beispiel. Wenn ich die Nachricht
m = [100] an Alice senden möchte, dann entnehme ich g = [5] und
E A = [49] der Homepage. Ich wähle k zufällig, z.B. k = 19. Dann berechne
ich
(c 1 , c 2 ) = (g k , mE k A) = ([5] 19 , [100][49] 19 ) = ([86], [83])
und sende das Paar ([86], [83]) an Alice.
Beispiel: Ich möchte obiger Usergroup beitreten. Dazu wähle ich vielleicht d S =
77, berechne E S = g d S
= [5] 77 = [43] und trage E S ein:
X
E X
ALICE [49]
BOB [67]
.
OSKAR [12]
SEBAST IAN [43]
· · · · · ·
Die Zahl d S = 77 muß ich geheim halten. Nehmen wir an, die erste Nachricht, die
bei mir eingeht, ist (c 1 , c 2 ) = ([17], [99]). Dann wollte mir jemand den Klartext
m = c −d S
1 c 2 = [17] −77 [99] = [78] mitteilen. □
Wir diskutieren die Sicherheit von ElGamal.
a) Nimm an, Oskar hat den Dialog zwischen Alice und Bob mitgehört. Er
kennt dann c 1 = g k , c 2 = mE k A = gd Ak und auch E A = g d A
. Nimm an, es
gelingt Oskar auf irgendeine Art und Weise m zu bestimmen. Dann kommt
es leicht auch in den Besitz von g d Ak . Das Brechen von ElGamal ist also
genauso schwer wie das Lösen des folgenden Diffie-Hellman-Problems.
Diffie-Hellman-Problem: Sei (G, g) eine Einweggruppe. Gegeben A =
g a , B = g b (a und b unbekannt) berechne 9 g ab .
Offenbar gilt g ab = A Log g (B) = B Log g (A) (*). Das Berechnen der diskreten
Logarithmen gilt aber als technisch unmöglich. Es wird vermutet, daß
es keinen schnelleren Algorithmus für die Berechnung von g ab gibt, als
Log g (B) zu berechnen und die Formel (∗) zu benutzen. Ueli Maurer hat
Ergebnisse in Richtung dieser Vermutung bewiesen.
b) ElGamal ist nicht sicher gegen einen Man-in-the-Middle-Angriff. Nimm
an Oskar kann die Homepage der Usergroup verändern oder einem einzelnen
User (sagen wir B) eine Fälschung dieser Homepage unterschieben.
Dann wird es Oskar gelingen dem User B vorzutäuschen, sein öffentlicher
Schlüssel E O = g d O
sei der Schlüssel von A. Bob wird dann Nachrichten
an A so verschlüsseln, dass Oskar (aber nicht A) sie entschlüsseln kann.
Wenn Oskar alles abhört was Bob schreibt, so kommt er in den Besitz der
Nachrichten, die eigentlich für A bestimmt waren.
Elektronische Unterschriften und Trustcenter können verhindern, daß einem
User ein Fake-Schlüssel untergeschoben wird.
9 g a+b = AB ist leicht zu berechnen, aber das hilft nichts für die Berechnung von g ab .
76

5.4 Schlüsselaustausch nach Diffie-Hellman
Dieses Protokol ist kein Verschlüsselungsverfahren. Ziel ist es zwei User X und Y
in den Besitz eines gemeinsamen Geheimnisses k X,Y (etwa eine 1000-Bit-Zahl)
zu bringen, ohne daß dafür ein persönliches Treffen stattfinden muß. Wenn z.B.
große Datenmengen zu übertragen sind, dann werden X und Y ein Private-
Key-Verfahren (z.B. Triple-DES, AES, IDEA, BLOWFISH) verwenden müssen.
Aus dem gemeinsamen Geheimnis können dann Schlüssel für die Private-Key-
Sitzung abgeleitet werden. Wenn z.B. k X,Y eine 1000-Bit-Zahl ist, dann kann
ein geeigneter 256-Bit-Hashwert von k X,Y (bez. einer öffentlich bekannten Hash-
Funktion) als Schlüssel für eine AES-Sitzung genommen werden.
Durch Kombination von Diffie-Hellman mit einem Private-Key-Verfahren entsteht
also die Möglichkeit, große Datenmengen schnell verschlüsselt zu übertragen,
ohne sich vorher zur Schlüsselvereinbarung treffen zu müssen.
Wie bei ElGamal sei folgende Situation zugrunde gelegt: (G, g) ist eine öffentlich
bekannte Einweggruppe 10 . U ist eine Menge von Usern (evtl. nur zwei). Jeder
User X wählt zufällig ein d X ∈ {2, · · · , ord(g)−1} (nicht zu klein) und berechnet
E X := g d X
∈ G.
d X bleibt geheim (nur User X kennt d X ) und E X wird öffentlich gemacht.
Vgl. das erste Beispiel in Abschnitt 5.3
Sei nun k X,Y := g d X d Y
. User X kann dies mit der Formel k X,Y = E d X
Y
berechnen;
er kennt ja seinen geheimen Schlüssel d X und E Y ist ohnehin öffentlich. Auch
User Y kann k X,Y berechnen. Er verwendet die Formel k X,Y = E d Y
X .
Die User X und Y teilen also das Geheimnis k X,Y .
Wir nennen im folgenden k X,Y das DH-Geheimnis von X und Y.
Beispiel: Betrachten wir wieder die User-Group aus dem Abschnitt 5.3. Als
Gruppe ist (G, g) = (F 103 , [3]) gewählt und veröffentlicht.
X
E X
ALICE [49]
BOB [67]
.
OSKAR [12]
SEBAST IAN [43]
· · · · · ·
Mein geheimer Schlüssel ist d S = 77.
k S,A = E d S
A
= [49]77 = [7] ist das DH-Geheimnis, das ich mit Alice teile.
k S,O = E d S
O
= [103]77 = [20] ist das DH-Geheimnis, das ich mit Oskar teile.
· · · □
Angriffe:
10 Eine solche Gruppe kann mit 5.1.1 erzeugt werden.
77

a) Ein Angreifer Oskar möchte auch in den Besitz von k X,Y kommen. Er
kennt E X = g d X
und E Y = g d Y
; aber er kennt weder d X noch d Y . Das
Berechnen von k X,Y ist also genauso schwer wie das im vorigen Abschnitt
genannte Diffie-Hellman-Problem.
Natürlich gilt k X,Y = E Log g (E Y )
X
= E Log g (E X )
Y
, aber Oskar kann von diesen
Formeln nicht profitieren, weil die diskreten Logarithmen in der Einweggruppe
(G, g) praktisch nicht berechenbar sind.
b) Diffie-Hellman ist nicht sicher gegen Man-in-the-Middle-Angriffe. Nimm
an, es gelingt Oskar Bob vorzutäuschen, sein öffentlicher Schlüssel E O =
g d O
O
wäre der öffentliche Schlüssel von Alice. (Dies könnte Oskar vielleicht
durch eine Fake-Homepage gelingen.) Sei k = g d B,d O
. Bob wird nun denken,
er würde das Geheimnis k mit Alice teilen. In der Tat teilt er das
Geheimnis k aber mit Oskar. Nimm an, Oskar kann alles abhören. Wenn
Bob nun z.B. aus k einen AES-Schlüssel k ′ ableitet und vertrauliche Daten
mit k ′ verschlüsselt an Alice schickt, dann kann Oskar (aber nicht Alice)
diese Daten entschlüsseln.
Zur Abwehr braucht man elektronische Unterschriften und Trustcenter.
Oft wird Diffie-Hellman in einer Situation angewendet, in der nur zwei User (A
und B) vorhanden sind. Es könnte wie folgt vorgegangen werden.
Man einigt sich (unverschlüsselt) auf eine Einweggruppe (G, g); vielleicht erzeugt
einer der beiden User (G, g) mit 5.1.1 und schlägt diese Gruppe vor.
A wählt d A ≥ 2 und schickt E A := g d A
an B.
B wählt d B ≥ 2 und schickt E B := g d B
an A.
Sie teilen dann das Geheimnis k = E d B
A
= E d A
B
.
5.5 Signatur mit ElGamal
Wir schildern ein Verfahren für elektronische Unterschriften, das auf Einweggruppen
beruht. User X soll zu jeder Nachricht aus dem Nachrichtenraum 11
P = {0, 1} ∗ (die Menge der Bitvektoren beliebiger, endlicher Länge) eine Unterschrift
S X (m) erzeugen können, die als “Appendix” an die Nachricht angefügt
wird.
a) S X (m) muß von User X und von der Nachricht abhängen 12 . Sonst könnte
jeder, der einmal ein von X unterschriebenes Dokument gesehen hat, die
Unterschrift mit Copy-and-Paste auf jedes andere Dokument kopieren.
b) User X muß S X (m) schnell aus m berechnen können.
11 Man kann das Verfahren leicht so modifizieren, daß es auf Texte über ASCII angewendet
werden kann.
12 Eine Unterschrift von Hand hängt nur vom Signierer ab.
78

c) Für jeden anderen muß es praktisch unmöglich sein, zu einer gegebenen
Nachrischt eine gültige Unterschrift von X zu erzeugen.
d) Jedermann (nicht nur der Empfänger) soll in der Lage sein, für ein Paar
(m, S) zu entscheiden, ob S eine zu m passende Signatur von X ist oder
nicht. Der Empfänger soll nach dem Dialog jedem (z.B. einem Gericht)
beweisen können, daß X die Nachricht m unterschrieben an ihn geschickt
hat. Insbesondere soll das elektronische Unterschreiben von Verträgen
ermöglicht werden.
Sei (G, g) eine Einweggruppe, l = ord(g) und b = floor(log 2 (l)) die (ungefähre)
Bitlänge von l. Ein üblicher Wert könnte (b = 160 oder b = 300 sein.) In
der Praxis wird üblicherweise ein Hash-Wert der Nachricht unterschrieben. Das
führt dazu, daß die Unterschrift immer die selbe (vielleicht ein paar hundert
Bit) Länge hat, selbst wenn die Nachricht sehr groß ist.
Sei h : {0, 1} ∗ → {0, · · · , 2 b } eine Hash-Funktion. h ordnet also jedem (evtl.
sehr langen) Bitvektor einen Kontrollwert (man sagt auch “Hash” oder “Fingerprint”)
h(x) zu, dessen Bitlänge b ist.
Wir verlangen, daß h die folgenden Eigenschaften hat.
a) h(x) ist aus x schnell berechenbar.
b) h ist eine Einweg-Funktion: Es ist praktisch unmöglich zu y ∈ {0, · · · , 2 b }
ein x mit h(x) = y zu finden.
c) h ist kollisionsresistent: Es ist praktisch unmöglich, zwei Bitvektoren x 1 ≠
x 2 mit h(x 1 ) = h(x 2 ) zu finden.
Gängige Hashfunktionen sind MD4, MD5, SHA1, WHIRLPOOL, RIPE-MD.
Die Konstruktion von Hashfunktionen ist ein interessantes Thema; wir können
aus Zeitgründen nicht näher darauf eingehen.
Sei bv : G → {0, 1} ∗ eine leicht berechenbare Injektion. Eine solche Abbildung
wird ohnehin gegeben sein, wenn man G auf dem Rechner realisiert: Die Elemente
von G werden dann ohnehin intern als Bitvektor gespeichert. Für γ ∈ G
sei h ′ (γ) = h(bv(γ)).
Wir fassen zusammen:
Für einen Bitvektor m ∈ {0, 1} ∗ ist h(x) ein b-Bit-Hash.
Für ein Element γ ∈ G der Einweggruppe ist h ′ (x) ein b-Bit-Hash.
Die Daten (G, g), l = ord(g), b, h und h ′ sind öffentlich bekannt. Wir
gehen wieder von einer Gruppe von Usern aus. Wie in den beiden vorigen Abschnitte
wählt jeder User X zufällig ein d X ∈ {2, · · · , ord(g)−1} (nicht zu klein)
und berechnet E X := g d X
∈ G.
d X bleibt geheim (nur User X kennt d X ) und E X wird öffentlich gemacht.
Vgl. das erste Beispiel in Abschnitt 5.3
79

Erzeugung der ElGamal-Signatur: Um die Signatur zu m ∈ {0, 1} ∗ zu
erzeugen wählt User X zufällig ein k ≥ 2 und berechnet
S X (m) = ( g k , [k] −1 [h(m) − d
}{{}
X h ′ (g k )]).
} {{ }
=:γ∈G
=:s∈Z/l
[x] steht für die Restklasse von x in Z/l. Dabei ist unbedingt für jede
Nachricht ein neues k zu verwenden. User X könnte die bereits verwendeten
k’s wie Tan-Nummern abstreichen.
Satz 5.5.1 Es gilt γ s E h′ (γ)
X
= g h(m) .
Beweis: γ s = g [k][k]−1 ([h(m)]−[d X h ′ (g k ))]) = g h(m) g −d X h ′ (γ) = g h(m) E −h′ (γ)
X
. □
Man beachte: In die Formel für S X (m) geht der geheime Exponent d X ein. Dies
führt dazu, daß nur Xaver S X (m) aus m berechnen kann. Ganz im Gegensatz
dazu kann jeder, der γ und s vorgelegt bekommt, die beiden in obigem Satz
vorkommenden Werte γ s E h′ (γ)
X
und g h(m) berechnen. Dazu braucht man nur
den öffentlichen Schlüssel E X von User X und die öffentlichen Hashfunktionen
h und h ′ zu benutzen.
Verifizieren einer ElGamal-Signatur: Der Verifizierer V bekommt (m, S)
vorgelegt, wobei S = (γ, s) ∈ G × Z/l. Er soll prüfen, ob S eine gültige Unterschrift
von X zu der Nachricht m ist.
V berechnet γ s E h′ (γ)
X .
V berechnet g h(m)
Nur wenn diese beiden Werte übereinstimmen akzeptiert V die Unterschrift.
Zur Sicherheit:
a) Natürlich gilt d X = Log g (E X ). Dieser Logarithmus ist praktisch nicht
berechenbar. Wenn es einem Angreifer dennoch gelingt ihn zu berechnen,
so kommt er in den Besitz von d X . Wer d X hat, der kann zu beliebigen
Nachrichten m Unterschriften von X erzeugen.
b) Sei m eine Nachricht und S X (m) = (γ, s) eine Unterschrift von X zu m.
Viele Leute können in den Besitz von (m, S X (m)) = (m, γ, s) kommen;
zumindest der Empfänger und die potentiellen Verifizierer.
Nimm an, Oskar kennt eine gültige, signierte Nachricht (m, γ, s) von X und
es gelingt ihm, k = Log g (γ) zu berechnen. Es gilt [k]s = [h(m)]−[d X h ′ (γ)]
und somit
[d X ] = [h ′ (γ)] −1 ([h(m)] − [k]s).
Mit dieser Gleichung kann Oskar [d X ] berechnen. (Er kennt alle Größen
der rechten Seite dieser Gleichung.) In Kenntnis von [d X ] kann er nach
Belieben Unterschriften von X zu beliebigen Nachrichten erzeugen.
Dieser Angriff scheitert üblicherweise, da der diskrete Logarithmus k =
Log g (γ) praktisch nicht berechnet werden kann.
80

c) Man nimmt an, daß es keine Möglichkeit gibt, zu vorgegebenen Nachrichten
m eine gültige Unterschrift von X zu erzeugen, ohne diskrete Logarithmen
zu lösen.
d) Gibt es ein Verfahren, um ein Paar (m, S) zu erzeugen, wobei S eine
gültige Unterschrift zu m ist? (Wir verlangen nicht, daß m dabei beeinflußt
werden kann.) Mit anderen Worten: Kann man irgendeinen “Zufallstext”
(Kauderwelsch) m und eine gültige Unterschrift von X zu m finden 13 ?
Wir nehmen die Antwort vorweg: Es wäre möglich, wenn die Hashfunktion
unsicher wäre.
Oskar wählt u, v mit [v] ∈ (Z/l) × . Er setzt
γ := g u EX v ,
s := −[v] −1 h ′ (γ),
S := (γ, s)
und fragt sich, zu welchen Kontrollwerten h(m) diese Signatur passen
würde. Es gilt
γ s E h′ (γ)
X
= g [u][v]−1 h ′ (γ) .
Sei m ′ = [u][v] −1 h ′ (γ). Wenn es gelingt ein m ∈ {0, 1} ∗ zu finden mit
h(m) = m ′ (aber das ist bei sicheren Hashfunktionen praktisch nicht
möglich), dann ist S eine gültige Unterschrift von X zu m.
e) Nimm an, X hat beim Unterschreiben zweier Nachrichten m 1 ≠ m 2 den
selben Zufallswert k ≥ 2 verwendet, obwohl das ausdrücklich verboten
ist. Die Unterschriften sind dann von der Form S X (m 2 ) = (γ, s 1 ) und
S X (m 2 ) = (γ, s 2 ) mit γ = g k und s i = [k] −1 ([h(m i )] − [d X h ′ (γ)]). Entscheidend
ist, daß γ nun nicht von i abhängt.
Dann gilt s 1 − s 2 = [k] −1 [h(m 1 ) − h(m 2 )] und daraus folgt 14
[k] = (s 1 − s 2 ) −1 [h(m 1 ) − h(m 2 )].
In Kenntnis von m, γ, s 1 , s 2 kann Oskar also [k] finden. (Er kennt dann
alle Größen, die auf der rechten Seite vorkommen.) Wenn er [k] einmal
hat, dann kann er den geheimen Exponenten [d X ] von X mit der Methode
aus b) berechnen. Wer d X hat, der kann zu beliebigen Nachrichten m
Unterschriften von X erzeugen.
f) Natürlich bietet sich auch hier die Möglichkeit eines Man-in-the-Middle-
Angriffs. Wenn es Oskar gelingt, Alice davon zu überzeugen, sein öffentlicher
Schlüssel E O wäre der öffentliche Schlüssel von Xaver. Dann kann
Oskar Signaturen zu beliebigen Nachrichten erzeugen, die für Alice so aussehen,
als kämen sie von Bob.
Abwehr von Man-in-the-Middle-Angriffen durch Trustcenter:
Um die Man-in-the-Middle-Angriffe in den Abschnitten 5.2.-5.5. (MIM-Angriff
auf ElGamal-Verschlüsselung, ElGamal-Signatur oder auf Diffie-Hellman) abzuwehern,
muß jeder User X den öffentlichen Schlüssel von jedem anderen User
auf Echtheit überprüfen können. Hierzu werden Trustcenter verwendet.
13 Es fragt sich natürlich, ob das schlimm wäre; ein Angreifer wird in aller Regel Unterschriften
zu von ihm gewählten Nachrichten erzeugen wollen
14 In aller Regel wird s 1 ≠ s 2 gelten.
81

Sei T (Trustcenter) ein User, dessen Integrität außer Frage steht. Es wird verlangt,
daß sich jeder User anfangs bei dem Trustcenter persönlich anmeldet.
User X erzeugt seine Schlüssel d X , E X = g d X
und legt bei der Anmeldung den
öffentlichen Teil E X (oder wenigstens einen Fingerprint von E X ) dem Trustcenter
vor. Den privaten Teil d X sollte User X geheim halten, d.h. nicht einmal das
Trustcenter sollte d X erfahren 15 . Er bekommt bei der Anmeldung den öffentlichen
Schlüssel E T des Trustcenters. Nun hat T Gewißheit über die Echtheit der
öffentlichen Schlüssel aller User und jeder User hat wenigstens Gewißheit über
den öffentlichen Schlüssel des Trustcenters.
Jeder User X kann nun den öffentlichen Schlüssel E Y von einem anderen User
Y anfragen. Das Trustcenter schickt dann E Y unterschrieben 16 an X.
Das Trustcenter kann weitere Benutzer T 1 , · · · , T s (vielleicht Filialen in verschiedenen
Ländern, oder Benutzer, die schon lange dabei sind und sich immer integer
und kryptologisch klug verhalten haben) authorisieren, Neuanmeldungen
durchzuführen. Ein neuer User N kann sich dann bei T i anmelden, T i schickt
E N unterschrieben an T und T nimmt den Eintrag in der Schlüsseldatei vor. In
einem solchen Fall wird von einem Web of Trust gesprochen.
Gängige Trustcenter sind VeriTrust 17 , QuoVadis, Cybertrust ect.
15 Manche Trustcenter verlangen/empfehlen die Hinterlegung der geheimen Schlüsselteile,
für den Fall, daß ein User sein d X aus Versehen löscht. Man sollte wissen, daß ein solches
Trustcenter alles mitlesen kann und auch die Unterschrift von jedem seiner User fälschen
kann...
16 Die Unterschrift von T kann X bereits verifizieren, weil X seit der Anmeldung Gewißheit
über E T hat.
17 VeriTrust ist der Marktführer. Der Wert dieser Firma wird auf über eine Mrd. US-Dollar
geschätzt.
82

Kapitel 6
Quadratische Reste,
Jacobi-Symbole und
Anwendungen
6.1 Quadratische Reste
Sei R ein Ring. Wir definieren R ×2 := {x 2 |x ∈ R × }. Dies ist eine Untergruppe
der Einheitengruppe R × ; sie wird Gruppe der Quadrate in R × genannt. Per
Definition gilt 0 /∈ R ×2 . Wenn p prim ist, dann werden die Elemente von F ×2
p
Quadrate in F × p oder quadratische Reste modulo p genannt.
Sei b ∈ R × . Offenbar gilt: Genau dann ist die Gleichung X 2 = b lösbar über R,
wenn b ∈ R ×2 gilt.
Bemerkung 6.1.1 Z.B. gilt
F × 5 = {[1]2 5, [2] 2 5, [3] 2 5, [4] 2 5} = {[1] 5 , [4] 5 } = {[1] 5 , [4] 5 , [3] 5 , [4] 5 },
und
(Z/4) ×2 = {[1] 2 4, [3] 2 4} = {[1] 4 }
(Z/8) ×2 = {[1] 2 8, [3] 2 8, [5] 2 8, [7] 2 8} = {[1] 8 }
Sei p ≠ 2 eine Primzahl. Für a ∈ Z sei [a] := [a] p die Restklasse von a modulo
p. Wir interessieren uns hauptsächlich für die Quadrate in F × p . Für jede Zahl
a ∈ Z definieren wir das sogenannte Legendre-Symbol als
⎧
( ) a
⎨ 0 falls p | a,
= 1 falls [a] ∈ F ×2
p ein Quadrat ist,
p ⎩
−1 falls [a] /∈ F ×2
p ein Nicht-Quadrat ist.
83

(
Für zwei Zahlen a, b ∈ Z mit a = b mod p gilt
) ( )
:= zu setzen.
(
[a]
p
a
p
a
p
) (
=
b
p
)
; es hat also Sinn
Beispiel: Wir rechnen in F × 13 = {[1], [2], · · · , [12]}. Wir berechnen die Quadrate
in F × 13 . x [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12]
x 2 [1] [4] [9] [3] [12] [10] [10] [12] [3] [9] [4] [1]
Somit gilt F ×2
13
= {[1], [3], [4], [9], [10], [12]}. Für das Jacobi-Symbol ergibt sich:
x [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12]
( x
13)
+1 −1 +1 +1 −1 −1 −1 −1 +1 +1 −1 +1
Bemerkung 6.1.2 Sei p ≠ 2 eine Primzahl und g ∈ F × p eine Primitivwurzel.
( )
Dann gilt g
k
= (−1) k für alle k ∈ Z. (Mit anderen Worten: g k ist genau
p
dann ein Quadrat, wenn k gerade ist.)
Beweis: Nimm an, dass g k ∈ F ×2
p ein Quadrat ist. Dann gibt es ein b ∈ F × p mit
g k = b 2 . Da g Primitivwurzel ist, muss jedes Element von F × p eine Potenz von
g sein. Also existiert ein m ∈ Z mit b = g m (Es wird m = Log g (b) mod p − 1
gelten). Es folgt g k = g 2m und wegen ord(g) = p − 1 folgt k = 2m mod p − 1.
Da 2 | p − 1 gilt, folgt k = 2m = 0 mod 2.
Die umgekehrte Implikation ist trivial.
□
Man sieht, dass genau die Hälfte der Elemente von F × p Quadrate sind. Für
jedes Element a ∈ F × p gilt a = g Log g (a) und daraus folgt: Genau dann ist a ein
( )
Quadrat, wenn Log(a) = 0 mod 2 gilt. Man kann = (−1) log g (a) schreiben.
Ist a ein Quadrat in F × Logg (a)
p , so sind ±g 2 die beiden Lösungen der Gleichung
X 2 = a über F p .
a
p
Satz 6.1.3 Sei p ≠ 2 eine Primzahl.
( )
a
1. Sei a ∈ Z nicht durch p teilbar. Dann gilt
p
= a p−1
2 mod p. Beachte:
Da p ungerade ist, muß p−1 durch 2 teilbar sein. Dieses Teilergebnis wird
Satz von Euler genannt.
( ) ( ) ( )
2. Sei u, v ∈ F p . Dann gilt = . Insbesondere ist
ein Homomorphismus.
uv
p
F × p
u
p
v
p
( ) u
→ {±1}, u ↦→
p
84

Beweis: Sei m := (p − 1)/2 und g ∈ F × p
mit [a] = g k . Daher gilt [a] m = g km .
eine Primitivwurzel. Es gibt ein k ∈ Z
(a m ) 2 = a p−1 = 1 mod p nach dem kleinen Satz von Fermat, und da F p ein
Körper ist folgt daraus a m = 1 mod p oder a m = −1 mod p (∗).
( )
Wenn = 1 gilt, dann ist k nach obiger Bemerkung gerade, k = 2k ′ , und
a
p
[a] m = g 2k′m = (g k′ ) p−1 = [1] nach dem kleinen Satz von Fermat.
( )
Wenn = −1 gilt, dann ist k ungerade und km kann nicht durch ord(g) = p−
a
p
1 = 2m teilbar sein. Also ist [a] m = g km ≠ [1] und mit (∗) folgt a m = −1 mod p.
( )
In jedem Fall gilt also a m = mod p.
a
p
Sei nun u, v ∈ F × p . Wenn u = 0 oder v = 0 gilt, dann sind beide Seiten der
( ) ( ) ( )
uv u v
Gleichung
p
=
p p
Null. Wir nehmen u, v ∈ F × p an. Es gibt k, l ∈ N
mit u = g k und v = g l . Man folgert
( ) ( )
( ) ( )
uv g
k+l
u v
= = (−1) k+l = (−1) k (−1) l =
p p
p p
mit Hilfe obiger Bemerkung.
□
Folgerung 6.1.4 Nach dem 2. Teil des obigen Satzes gilt in F × p : Das Produkt
von zwei Quadraten ist ein Quadrat. Das Produkt von einem Quadrat mit einem
Nicht-Quadrat ist ein Nicht-Quadrat. Das Produkt von zwei Nicht-Quadraten ist
ein Quadrat! Letzteres ist in Q × ganz anders.
Sei nun b ≥ 3 eine ungerade Zahl und b = p e1
1 · · · pet t die Primfaktorzerlegung von
b (p i paarweise verschiedene Primzahlen). Für a ∈ Z ist das Jacobi-Symbol
definiert durch
( a
) ( ) e1
( ) et
a a
= · · · .
b p 1 p t
Man beachte: b muß eine ungerade Zahl mit b ≥ 3 sein. An a ∈ Z werden
keine weiteren Bedingungen gestellt.
Beispiel: Ich möchte ( 2
35)
berechnen. Dazu kann man wie folgt vorgehen.
Per Definition gilt ( (
2
35)
=
2
( 2
)
5)
7 . Ferner gilt F
×2
5 = {[1] 5 , [4] 5 } und F ×2
7 =
{[1] 2 7, [2] 2 7, [3] 2 7} = {[1] 7 , [4] 7 , [2] 7 }. Es folgt ( (
2
35)
=
2
( 2
5)
7)
= (−1)(+1) = −1. □
Bemerkung 6.1.5 Sei b ≥ 3 ungerade.
1. Sei a, a ′ ∈ Z. Wenn a = a ′ mod b gilt, dann muß a = a ′ mod p i für alle i
gelten und daher gilt ( ) ( )
( )
a
b =
a ′
b
. Es hat Sinn [a]b
b
:= ( )
a
b zu definieren.
2. Für u, v ∈ Z gilt ( ) (
uv
b = u
) ( v
)
b b . Dies folgt unmittelbar aus der entsprechenden
Rechenregel für das Legendre-Symbol.
85

3. Für b, c ∈ N ungerade und u ∈ Z gilt ( u
bc)
=
( u
b
) ( u
c
)
. Dies folgt leicht aus
der Definition des Jacobi-Symbols.
4. Wenn a nicht zu b teilerfremd ist, dann gilt ( a
b
)
= 0.
Sei a ∈ (Z/b) × . Wenn a ein Quadrat ist, d.h. wenn a = x 2 für ein x ∈ (Z/b) ×
gilt, dann wird ( ) (
a
b = x
) 2
b = +1 gelten. Wenn b keine Primzahl ist, dann
kann die Umkehrung dieser Aussage falsch sein!
Beispiel: Ferner gilt F ×2
3 = {[1] 3 } und F ×2
5 = {[1] 5 , [4] 5 }. Z.B. gilt nun ( 2
( 15)
=
2
) ( 2
)
3 5 = (−1)(−1) = +1. Wir haben zweimal den Ergänzungssatz verwendet.
Wir rechnen in (Z/15) × . Wir berechnen die Quadrate in (Z/15) × .
x [1] [2] [4] [7] [8] [11] [13] [14]
x 2 [1] [4] [1] [4] [4] [1] [4] [1]
.
Man sieht: [2] /∈ (Z/15) ×2 , obwohl ( 2
15)
= +1
Wie berechnet man ( ) (
82
15 ? Wegen 82 = 2 mod 5 und 82 = 1 mod 3 gilt 81
( 2
) ( 1
)
5 3 = (−1)(+1) = −1.
15)
=
6.2 Das Reziprozitätsgesetz von Gauß
Wir kommen zu dem zentralen Satz über Jacobi-Symbole.
Satz 6.2.1 (Reziprozitätsgesetz von Gauß) Seien n, m ≥ 3 zwei ungerade
Zahlen. Dann gilt
( m
) (n−1)(m−1) (
n = (−1) 4 n
)
m .
Man beachte: Da n, m ungerade sind muß sowohl n − 1 als auch m − 1 gerade
sein und daher ist (n − 1)(m − 1) durch 4 teilbar.
Satz 6.2.2 (Ergänzungssatz) Sei b ≥ 3 ungerade.
1. ( )
1
b = +1.
2. ( {
) b−1
−1
b = (−1) 2
+1 b = 1 mod 4
=
−1 b = 3 mod 4 .
3. ( {
) b 2
b = (−1) 2 −1
8
+1 b = ±1 mod 8
=
. Beachte: Weil b ungerade ist
−1 b = ±3 mod 8
und (Z/8) 2 = {[1] 8 } gilt (siehe 6.1.1) muß b 2 − 1 durch 8 teilbar sein.
Das Reziprozitätsgesetz ist das tiefste zahlentheoretische Resultat, das in dieser
Vorlesung behandelt wird. Es hat zahllose theoretische und praktische Anwendungen.
Die für uns wichtigste Anwendung besteht in Algorithmen für die
86

Berechnung des Jacobi-Symbols (also insbesondere ein Test, ob [a] p (a ∈ Z) ein
Quadrat in F p ist) und für das Ziehen der Wurzel aus [a] p , falls [a] p ∈ F ×2
p . Dies
wird z.B. im Public-Key-Verfahren von Rabin angewendet. Man kann sich fragen,
ob ein ähnliches Gesetz für höhere Potenzreste gilt. Diese Frage wurde erst
in den 1960er Jahren im Rahmen der sogenannten Klassenkörpertheorie geklärt.
Eine Behandlung dessen würde den Rahmen dieser Vorlesung sprengen.
Wir verzichten auf den Beweis von 6.2.2 und 6.2.1 Vorher wollen wir Anwendungen
des Reziprozitätsgesetzes diskutieren.
Beispiel: 101 ist eine Primzahl. Ist [79] 101 ∈ F × 101 ein Quadrat? Um dies zu
beantworten berechnen wir ( 79
101)
. Es gilt
( )
( ) ( )
79
101 101
= (−1) 78·100/4 = +
101
79 79
nach dem Reziprozitätsgesetz. Da 101 = 22 mod 79 gilt folgt
( ) ( ) ( ) ( ) ( )
101 22 2 11 11
= =
= + .
79 79 79 79 79
Im letzten Schritt haben wir den Ergänzungssatz verwendet; beachte 79 =
−1 mod 8. Weil 11 und 79 ungerade sind, dürfen wir wieder das Reziprozitätsgesetz
anwenden:
( 11
79
)
( ) 79
= (−1) 10∗78/4 = −
11
( ) ( 79 2
= − .
11 11)
Im letzten Schritt haben wir 79 = 2 mod 11 verwendet. Da 11 = 3 mod 8 gilt,
liefert der Ergänzungssatz
( 2
− = (−1)(−1) = +1.
11)
Insgesamt ergibt sich ( 79
101)
= +1, d.h. [79]101 ist ein Quadrat. □
Algorithmus 6.2.3 (Algorithmus für Jacobi-Symbole)
( Eingabe: a ∈ Z, b ∈ N mit b ungerade.
a
)
b soll berechnet werden.
Initialisiere: s := 1.
if(a < 0, a := |a|; s := (−1) (b−1)/2 )
(Nun a, b > 0, b ungerade.)
while(a /∈ {0, 1},
Berechne q, r mit a ÷ b = q Rest r, r ≥ 0.
a := r.
if (2 | a und a > 1 schreibe a = 2 t u mit u ungerade; a := u, s := ((−1) (b2 −1)/8 ) t s).
(Nun a ∈ {0, · · · , b} ungerade.)
if (a > 1, s := (−1) (a−1)(b−1)/4 s; vertausche a und b)
87

) /* Ende while
if(a=0, s:=0);
Ausgabe: Das gesuchte Jacobi-Symbol ist s.
Man beachte, daß das Produkt s·( a
b
)
bei keinem der Teilschritte verändert wird.
Nach jedem Schleifendurchlauf sinkt a ab.
Dieser Algorithmus ist sehr schnell. Die Laufzeit ist ähnlich schnell wie bei dem
euklidischen Algorithmus zur Berechnung von ggT (a, b).
Sei nun p ≠ 2 eine Primzahl und a ∈ F × p . Wir schreiben sqrt(a) := {x ∈ F p :
x 2 = a} für die Lösungsmenge der Gleichung X 2 = a. Mit(
obigem ) Algorithmus
kann man testen, ob a ein Quadrat ist oder nicht. Falls = −1 so ist a ∈
F × p \ F ×2
p und die Gleichung X 2 = a hat keine Lösung, d.h. sqrt(a) = ∅. Wenn
( )
= 0, dann gilt a = 0 und sqrt(a) = {0}.
a
p
(
Wenn
a
p
)
= +1, dann hat die Gleichung X 2 = a genau zwei Lösungen x und
−x und sqrt(a) ist zweielementig. Aber wie findet man diese Lösungen?
Beispiel: Wir rechnen in F 13 . Nach der Tabelle im Beispiel zu Beginn dieses
Beispiels liest man leicht ab: sqrt([2]) = ∅, sqrt([10]) = {[6], [7]} = {[6], [−6]},
sqrt([12]) = {[5], [8]} ect. □.
Das Anlegen einer geeigneten Tabelle ist für die Berechnung von sqrt(a) ein
unnötig langsames Verfahren. Es gibt eine viel schnellere Möglichkeit. Wir beginnen
mit dem einfachen Sonderfall p = 3 mod 4.
a
p
Satz 6.2.4 Sei p eine Primzahl mit p = 3 mod 4 und a ∈ F × p ein Element mit
( )
= +1. Sei 1 x := a p+1
4 . Dann gilt x 2 = a, d.h. sqrt(a) = {x, −x}.
a
p
(
Beweis: Es gilt x 2 = a (p+1)/2 = a (p−1)/2+1 = a (p−1)/2 a = a, denn aus
a
p
)
= +1
folgt a (p−1)/2 = [1] p (alle Rechnungen in F p ) nach dem Satz von Euler 6.1.3. □
Beispiel: Wir rechnen in F 23 . Es gilt ( 2
23)
= +1 nach dem Ergänzungssatz 6.2.2
(beachte 23 = 7 = −1 mod 8). Daher ist [2] 23 ein Quadrat. Es gilt 2 (23+1)/4 =
2 6 = 64 = 18 mod 23. Wegen 23 = 3 mod 4 muss muß nach obigem Satz
18 2 = 2 mod 23 gelten und natürlich folgt dann auch (−18) 2 = 5 2 = 2 mod 23.
Also ist sqrt([2]) = {[18], [−18]} = {[5], [18]} die Lösungsmenge der Gleichung
X 2 = [2] über F 23 . (Man kann sich nachträglich leicht direkt davon überzeugen,
dass 5 2 = 25 = 2 mod 23 und 18 2 = 324 = 2 mod 23 gilt.)
Wegen 23 = 3 mod 4 gilt ( )
−1
23 = −1 (vgl. 6.2.2) und somit sqrt([−1]23 ) = ∅.
D.h. die Gleichung X 2 = [−1] hat keine Lösung in F 23 .
□
1 Beachte: p + 1 = 4 = 0 mod 4, d.h. p + 1 ist durch 4 teilbar.
88

Sei nun p ≠ 2 eine beliebige Primzahl. Wir schreiben p − 1 = 2 s u mit einer
ganzen Zahl s ≥ 1 und einer ungeraden Zahl u. Für a ∈ F × p setzen wir
δ(a) := a u
Bemerkung 6.2.5 a) Es gilt δ(a) 2s−1 = a p−1
2 =
von Euler 6.1.3.
(
a
p
)
in F p nach dem Satz
a’) Wenn a ein Quadrat ist, dann ist δ(a) ein Quadrat und ord(δ(a)) | 2 s−1 .
( ) 2
b) Es gilt δ(a) 2s a
=
p = 1.
c) Wenn a ein Nicht-Quadrat ist, dann gilt ord(δ(a)) = 2 s .
Beweis: Nur c) ist nicht-trivial. Nach b) muß ord(δ(a)) | 2 s , also ord(δ(a)) ( = ) 2 t
mit 0 ≤ t ≤ s gelten. Sei a ein Nicht-Quadrat. Wäre t < s, so würde =
δ(a) 2s−1 = 1 folgen; Widerspruch. □
( )
Sei nun p ≠ 2 eine beliebige Primzahl. Wir nehmen nun an, dass = 1. Wie
kann man die Wurzel aus a berechnen? Sei ˜x := a u+1
2 . ˜x läßt sich aus a mit
Square and Multiply schnell berechnen. Man sollte ˜x als eine erste Approximation
an eine Wurzel von a ansehen. Offenbar gilt a = ˜x 2 δ(a) −1 ; man kann also
δ(a) als den “Fehlerterm” der Approximation ansehen. Nach obiger Bemerkung
ist δ(a) ein Quadrat und ord(δ(a)) | 2 s−1 . Es bleibt die Wurzel aus δ(a) zu
ziehen.
Für d | p − 1 sei µ d die Untergruppe der Ordung d in der zyklischen Gruppe F × p .
Sei ζ ∈ F × p ein Element der Ordnung 2 s (es gibt nach 4.1.10 genau ϕ(2 s ) = 2 s−1
solche Elemente). Dann gilt µ 2 s = 〈ζ〉. Nach obiger Bemerkung gilt ord(δ(a)) =
2 t mit t < s und und somit ist δ(a) ein Erzeuger von µ 2 t (vgl. 4.1.9). Mit 4.1.8
folgt µ 2 t ⊂ µ 2 s, also δ(a) ∈ 〈ζ〉. Sei L ∈ N mit L = log ζ (a) mod 2 s . Dann gilt
ζ L = δ(a). Da δ(a) ∈ µ 2 t ein Quadrat ist, muß L gerade sein. Also ist ζ L/2 eine
Wurzel aus δ(a). Daher muß x := ˜xζ −L/2 = a u+1
2 ζ −L/2 eine Wurzel von a sein.
Wir haben bewiesen:
Fazit:
x = a u+1
2 ζ
− log ζ (a u )/2
erfüllt x 2 = a und sqrt(a) = {x, −x}. x läßt sich aus a (und p) leicht berechnen,
sofern ein Element ζ der Ordnung 2 s bekannt ist: Die Exponentiationen können
mit Square and Multiply in Polynomzeit (in der Bitlänge von p) berechnet
werden, und der diskrete Logarithmus log ζ (y) ist mit der Silver-Pohig-Hellman-
Methode 4.3.2, 4.3.3 Polynomzeit berechenbar, weil ord(ζ) eine Potenz von 2
ist.
Aber wie kommt man zu einem Element ζ ∈ F × p der Ordnung 2 s ? Nach obiger
Bemerkung ist klar: Wenn b ∈ F × p ein beliebiges Nichtquadrat ist, dann hat
ζ := δ(b) = b u Ordnung 2 s .
a
p
a
p
89

Algorithmus 6.2.6 (Algorithmus für Quadratwurzeln in F p )
Eingabe: p ≠ 2 prim, a ∈ F ×2
p ein Quadrat. Ferner muß zur Unterstützung des
Algorithmus ein Nicht-Quadrat b ∈ F × p eingegeben werden.
Berechne s, u mit u ungerade und p − 1 = 2 s u.
Berechne ζ := b u .
Berechne x := a u+1
2 ζ − log ζ (au )/2 mit Square and Multiply und Silver-Pohig-
Hellman.
Ausgabe: x ist eine Wurzel aus a.
Dies ist ein deterministischer Algorithmus mit polynomialer Laufzeit in der
Bitlänge von p.
Wie kommt man zu einem Nicht-Quadrat?
Algorithmus 6.2.7 (Algorithmus zur Konstruktion eines Nicht-Quadrates)
Eingabe: p ≠ 2 prim.
i := 2 ( )
i
while(
p
≠ −1, i:=i+1);
Die Jacobi-Symbole sind mit 6.2.3 berechnet werden.
Ausgabe: [i] p ist ein Nicht-Quadrat.
Da 50% der Elemente von F p Nicht-Quadrate sind, ist der Erwartungswert
für die Anzahl der Durchläufe der while-Schleife gleich 2. Die Jacobi-Symbole
können in Polynomialzeit berechnet werden. Daher hat dieser Algorithmus erwartete
Polynomialzeit in der Bitlänge von p.
Wir halten fest: Für ein Element a ∈ F p kann man in Polynomialzeit
entscheiden, ob a ein Quadrat ist, und in erwarteter Polynomialzeit
kann man ggfls. eine Wurzel aus a berechnen.
6.3 Der Solovay-Strassen Primzahltest
Wir erläutern in diesem Abschnitt einen probablistischen Primzahltest von Solovay
und Strassen, der alternativ zum Miller-Rabin-Test verwendet werden kann.
Dieser Primzahltest beruht auf dem Satz von Euler 6.1.3.
Sei N eine ungerade natürliche Zahl. Wir nennen eine Zahl a ∈ {1, · · · , N − 1}
einen Solovay-Strassen-Zeugen gegen die Primalität von N, falls 1 /∈
ggT (a, N) oder
(
a N−1 a
)
2 ≠ mod N
N
90

gilt. Sei Z(N) die Menge der Solovay-Strassen-Zeugen (in diesem Abschnitt
kurz: Zeugen) gegen die Primalität von N. Aus dem Satz von Euler 6.1.3 folgt:
Wenn Z(N) ≠ ∅, dann ist N sicher zusammengesetzt. Oder anders gesagt: Wenn
N prim ist, dann gilt Z(N) = ∅.
Lemma 6.3.1 Wenn N zusammengesetzt ist, dann gibt es eine zu N teilerfremde
Zahl a ∈ Z(N).
Beweis. Siehe [So].
Satz 6.3.2 Wenn N zusammengesetzt ist, dann ist |Z(N)| ≥ N 2 .
Beweis. Sei
U = {[a] : 1 ≤ a ≤ N − 1 zu N teilerfremd und a /∈ Z(N).
Dies ist eine Untergruppe von (Z/N) × . Nach dem Lemma gilt U ≠ (Z/N) × .
Da |U| ein Teiler von ϕ(N) sein muß, folgt |U| ≤ ϕ(N)/2 ≤ N/2. Daher gilt die
Behauptung.
□
Zusammenfassend kann man sagen:
a) Wenn N prim ist, dann ist Z(N) = ∅.
b) Wenn N zusammengesetzt ist, dann sind mindestens 50 Prozent der Zahlen
im Bereich {0, · · · , N − 1} Zeugen gegen die Primalität von N.
Algorithmus 6.3.3 (Solovay-Strassen-Test)
Eingabe: N ungerade und ein Steuerparameter t, der die Fehlerwahrscheilichkeit
regelt.
Man testet für t Zufallszahlen im Bereich a ∈ {0, · · · , N − 1}, ob a ∈ Z(N).
Wird dabei ein Zeuge gegen die Primalität von N gefunden, gib aus “N ist
zusammengesetzt”.
Wird dabei kein Zeuge gegen die Primalität von N gefunden, gib aus “N ist
wahrscheinlich prim”.
Die Fehlerwahrscheinlichkeit dieses Monte-Carlo-Verfahrens ist ≤ 2 −t .
6.4 Das Rabin-Verfahren
Sei R ein Ring und a ∈ R. Wir bezeichnen mit sqrt R (a) die Lösungsmenge der
Gleichung X 2 = a über R. Wenn R ein Körper ist, dann gilt |sqrt R (a)| ≤ 2, da
ein Polynom zweiten Grades über einem Körper höchstens zwei Nullstellen hat.
91

Wir erinnern an die Hauptergebnisse aus Abschnitt 6:
a) Für n ∈ Z und m > 0 ungerade läßt sich das Jacobi-Symbol ( n
m)
mit dem
Algorithmus ?? schnell (in Polynomzeit) berechnen.
(
b) Sei p ≠ 2 prim. Für a ∈ F p hat die Gleichung X 2 = a (∗) genau
( )
Lösungen. Z.B. hat (∗) keine Lösung genau dann, wenn = −1.
(
c) Sei p = 3 mod 4 und
a
p
a
p
a
p
)
+ 1
)
≠ −1. Dann ist X 2 = a lösbar und die Lösungsmenge
kann durch die Formel sqrt Fp
(a) = {a p+1
4 , −a p+1
4 } schnell berechnet
werden (Square and Multiply).
(
d) Auch im Fall p = 1 mod 4 und
a
p
)
≠ −1 kann sqrt Fp
(a) in Polynomzeit
berechnet werden; der Algorithmus dafür ist aber etwas komplizierter als
die Formel in c). Siehe 6.2.6 und 6.2.7.
Seien nun p ≠ q ungerade Primzahlen und N = pq. Wie berechnet man Wurzeln
in Z/N?
Berechnung von Wurzeln in Z/pq, wobei p und q bekannt sind.
Der chinesische Restsatz 2.6.1 liefert einen Isomorphismus
f : Z/N → F p × F q , [x] N ↦→ ([x] p , [x] q ).
f und f −1 sind schnell berechenbar mit dem euklidischen Algorithmus.
Zur Erinnerung: Sei ([a] p , [b] q ) ∈ F p × F q . Sei x ∈ {0, · · · , N − 1} die Lösung des
Systems
x = a mod p
x = b mod q
von Kongruenzen. Dann gilt [x] N = f −1 ([a] p , [b] q ).
Um X 2 = [a] N (∗) über Z/N zu lösen genügt es also (X 1 , X 2 ) 2 = ([a] p , [a] q )
über F p × F q zu lösen und das läuft auf die (nicht gekoppelten) Gleichungen
X1 2 = [a] p (∗∗ 1 ) über F p und
X2 2 = [a] q (∗∗ 2 ) über F q
hinaus. Man ist also durch den chinesischen Restsatz darauf zurückgeführt, die
Gleichungen (∗∗ 1 ) und (∗∗ 2 ) mit den Methoden aus Abschnitt 6 zu lösen, und
dann gewisse Systeme von Kongruenzen zu lösen. Wir gehen auf die Details ein.
(
Wenn
a
p
)
(
= −1 oder
a
q
)
= −1 gilt, dann hat (∗∗) und auch (∗) keine Lösung.
( ) ( )
a
a
Nimm nun
p
≠ −1 und
q
≠ −1 an. Dann wird (∗∗) und auch (∗) Lösungen
haben. Wir wollen diese finden.
Berechne w p ∈ sqrt Fp
([a] p ) eine Wurzel aus [a] p in F p . Diese kann mit den
Methoden aus 6 schnell berechnet werden. (Wenn p = 3 mod 4, dann kann
92

einfach w p = [a] p+1
4
p gesetzt werden.)
Sei w q ∈ sqrt Fq
([a] q ) eine Wurzel aus [a] q in F q .
Dann ist
L := {(w p , w q ), (−w p , w q ), (−w p , −w q ), (w p , −w q )
} {{ } } {{ } } {{ } } {{ }
=:u ′ =:v ′ =−u ′ =−v ′
die Lösungsmenge von (∗∗). Sei u := f −1 (u ′ ) und v := f −1 (v ′ ). (Zur Berechnung
von u ist das System von Konguenzen
u = w p mod p
u = w q mod q zu lösen.
Zur Berechnung von v ist das System von Konguenzen
v = −w p mod p
v = w q mod q zu lösen.)
Die Lösungsmenge von (∗) ist
sqrt Z/N ([a] N ) = {u, v, −u, −v}.
Manche Lösungen können zusammenfallen, d.h. |sqrt Z/N ([a] N )| ≤ 4. In Z/N
(das ist sicher keine Körper) kann das Polynom X 2 = [a] N bis zu vier Nullstellen
haben. Wie viele es genau sind richtet sich nach den Jacobisymbolen; es gilt
|sqrt Z/N ([a] N )| =
(
1 +
( a
p
)) (
1 +
( a
q
))
.
Wenn p ≠ q ungefähr gleich große, große Primzahlen sind, dann wird in aller
Regel sqrt Z/N ([a] N ) = ∅ (≈ 75% der Fälle) oder |sqrt Z/N ([a] N )| = 4 (≈ 25% der
Fälle) gelten.
□
Fazit: Wenn p und q bekannt sind, dann kann die Gleichung X 2 = [a] über
Z/pq schnell (in Polynomzeit) behandelt werden.
Sei nun [a] ∈ (Z/N) ×2 und sqrt Z/N ([a] N ) = {u, v, −u, −v}. Sei û (bzw. ˆv) der
kleinste nicht-negative Repräsentant von u (bzw. v). Aus f(u + v) = (0, 2w q )
folgt p | û + ˆv aber q teilt nicht û + ˆv. Daraus folgt p ∈ ggT (û + ˆv.
Man sieht: Wer N und die vier Wurzeln aus einem Element a ∈ (Z/N) ×2 kennt,
der kann die Primfaktorzerlegung von N leicht berechnen. Er hat nur mit dem
euklidischen Algorithmus einen ggT zu berechnen.
Fazit: Sei p und q nicht bekannt. Das Berechnen der vier Wurzeln eines Quadrates
a ∈ (Z/N) ×2 ist genauso schwer, wie das Berechnen der Primfaktorzerlegung
von N. Wenn p und q 1000-Bit-Zahlen sind, so ist beides praktisch unmöglich.
Beispiele: Wir rechnen in R := Z/77. Die Primfaktorzerlegung von 77 ist
77 = 7 · 11.
a) Löse X 2 = [24] 77 (∗). Es gilt
( ) ( 24 3
=
7 7)
( ( 7 1
= − = − = −1.
3)
3)
93

Daraus 2 folgt, daß (∗) keine Lösung hat, d.h. sqrt R ([24] 77 ) = ∅.
b) Löse X 2 = [15] 77 . Es gilt ( ) (
15
7 = 1
) (
7 = +1 und 15
(
11)
=
4
11)
= +1. Also
wird es (genau 4) Lösungen geben.
Finde zuerst eine Lösung X 2 = [15] 7 (= [1] 7 ) über F 7 . Offensichtlich ist
w 7 = [1] 7 ∈ sqrt([1] 7 ) eine solche Lösung.
Nun wird eine Lösung von X 2 = [15] 11 (= [4] 11 ) gebraucht. Offensichtlich
hat w 11 = [2] 11 diese Eigenschaft.
Eine Lösung von x = 1 mod 7 und x = 2 mod 11 ist x = 57.
Eine Lösung von y = −1 mod 7 und y = 2 mod 11 ist y = 13.
Somit ist
sqrt R ([15] 77 ) = {[57] 77 , [−57] 77 , [13] 77 , [−13] 77 } = {[13] 77 , [20] 77 , [57] 77 , [64] 77 }
die Lösungsmenge von X 2 = [15] 77 über Z/77, d.h. die Menge der vier
Wurzeln aus [15] 77 .
□
Seien p ≠ q 1000-Bit-Primzahlen und N = pq. Die Funktion
s : Z/N → Z/N, x ↦→ x 2
ist ein wichtiges Beispiel für eine Trapdoor-Oneway-Funktion, d.h.
a) s(x) ist aus x schnell berechenbar.
b) Wer p und q kennt, der kann zu gegebenem y alle Wurzeln berechnen, d.h.
s −1 (y) bestimmen.
c) Wer p und q nicht kennt, für den ist “die Falltüre geschlossen”. Ohne p und
q zu kennen ist es für (die meisten) y praktisch unmöglich alle Wurzeln zu
berechnen, d.h. s −1 (y) zu bestimmen (oder p und q zu finden).
Alice möchte sich mit dem Rabin-Verfahren verschlüsselte Nachrichten schicken
lassen können. Wie bei RSA wählt sie zwei große Primzahlen p ≠ q. Sie berechnet
N = pq. (Derzeit gilt es als sicher, mit 1000-Bitzahlen p und q zu arbeiten.
Um einem Angriff mit der p − 1-Methode vorzubeugen ist es sinnvoll p und q so
zu wählen, daß (p−1) und (q −1) je einen großen (vielleicht 300 Bit) Primfaktor
haben. p und q sollten nicht allzu nah beisammen liegen. Vgl. die Bemerkungen
zu RSA.)
Alice macht nun N öffentlich.
Sie hält p und q geheim.
Verschlüsselung: Der Nachrichtenraum ist Z/N. Bob verschlüsselt seine Nachricht
m ∈ Z/N zu c = m 2 und überträgt c an Alice.
2 Es gilt ( ) ( 24
11 = −1 und übrigends 24 )
77 = +1, aber diese Informationen werden hier nicht
gebraucht.
94

Entschlüsselung: Alice empfängt c ∈ Z/N und berechnet die (bis zu) vier
Wurzeln sqrt(c). Sie kann dazu den chinesischen Restsatz verwenden, weil sie p
und q kennt. Die Nachricht muß eine dieser bis zu 3 vier Wurzeln sein.
Beispiel: Alice hat als öffentlichen Schlüssel N = 77 gewählt 4 . Bob will die
Nachricht m = [10] an Alice schicken. Die Verschlüsselung von m ist m 2 =
[100] = [23]. Bob schickt also [23] an Alice. □
Beispiel: Alice kennt die Primfaktorzerlegung von 77 = pq; p = 7, q = 11.
Sie erhält die Nachricht c = [23]. Um dies zu entschlüsseln muß sie sqrt([23] 77 )
berechnen. Sie kann von vorne herein davon ausgehen, daß X 2 = [23] 77 lösbar
ist - das liegt hier in der Natur des Verfahrens.
Eine Lösung von X 2 = [23] 7 (= [2] 7 ) über F 7 ist (beachte 7 = 3 mod 4)
w 7 := [2] (7+1)/4
7 = [4] 7 .
Eine Lösung von X 2 = [23] 11 (= [1] 11 ) über F 11 ist w 11 = [1] 11 (offensichtlich).
Alice löst das System
u = 4 mod 7
u = 1 mod 11
und findet die Lösung u = 67-
Dann löst sie das System v = −4 mod 7
v = 1 mod 11
und findet die Lösung v = 45.
Also gilt
sqrt([23] 77 ) = {[67] 77 , [−67] 77 , [45] 77 , [−45] 77 } = {[10] 77 , [32] 77 , [45] 77 , [67] 77 }.
Welcher dieser vier Werte der Klartext ist, kann sie nicht rekonstruieren. Wir
werden unten erläutern, wie man diesen “Mißstand” beheben kann. □
Der entscheidende Vorteil des Rabin-Verfahrens ist, daß man wirklich beweisen
kann, daß das Berechnen der Wurzeln aus einem Geheimtext c ∈ (Z/N) ×
genauso schwer ist, wie das Faktorisieren von N.
In Anwendungen benötigt man geeignete Padding-Abbildungen pad : A ∗ →
(Z/N) ∗ und repad : (Z/N) ∗ → A ∗ mit repad ◦ pad = Id, wobei A = {0, 1} oder
A = ASCII gilt. pad verwandelt einen Bitvektor oder ASCII-Text in einen
Vektor von Elementen in Z/N, der dann blockweise mit Rabin verschlüsselt
und übertragen werden kann. Nach dem Entschlüsseln entsteht ein Vektor über
Z/N, aus dem mit der Routine repad der ursprüngliche Bitvektor oder ASCII-
Text gewonnen werden kann.
Wer eine nicht randomisierte Padding-Abbildung verwendet, hat keinen Schutz
gegen Wörterbuchangriffe der folgenden Form: Nimm an, Oskar kann alles
abhören. Er will herausfinden, ob jemand den Text “Ich liebe Dich” an Alice
3 Höchstwahrscheinlich werden es genau vier Wurzeln sein.
4 Dies ist viel zu klein, um sicher zu sein.
95

schickt. Oskar überlegt sich, was er an Alice schicken würde, wenn er “Ich liebe
Dich” an sie schreiben wollte. Er wendet pad an und verschlüsselt das mit
dem öffentlichen Schlüssel N von A. Dabei kommt er vielleicht auf die Zahl
[207892340789024839234893028032189] N . Sobald er unter den Nachrichten an
Alice die Zahl [207892340789024839234893028032189] N sieht, weiß er Bescheid
...
pad sollte also unbedingt eine randomisierte Abbildung sein, d.h. pad sollte
in jeden Block ein paarhundert Zufallsbits einfügen, die dann von repad wieder
entfernt werden.
Ein offensichtlicher Nachteil des obigen Protokolls ist, daß die Nachricht beim
Entschlüsseln nicht eindeutig rekonstruiert wird. Hier kann man sich so behelfen.
Die Abbildung pad sorgt dafür, daß jeder Block in pad(T ) = (m 1 , m 2 , · · ·)
(für jeden Text T ) eine besondere Struktur bekommt. Z.B. könnte es so eingerichtet
werden, daß in der Dualdarstellung des kleinsten Repräsentanten von
m i die letzten 32 Bit mit den vorletzten 32 Bit übereinstimmen. Dann kann
man aus den (bis zu) vier Wurzeln von c i = m 2 i höchstwahrscheinlich m i leicht
rekonstruieren.
Es ist klar, daß auch das Rabin-Verfahern unsicher gegen Man-in-the-Middle-
Angriffe ist, solange es nicht innerhalb eines Systems mit Signatur und Trustcenter
betrieben wird. Kurz gesagt: Bob sollte auch hier eine Möglichkeit haben
sich zu vergewissern, daß der Schlüssel N, den er irgendwo aus dem Netz gezogen
hat, auch wirklich der öffentliche Schlüssel von Alice ist.
96

Literaturverzeichnis
[AM]
M. Atiyah, I. MacDonald, Introduction to Commutative Algebra,
Addison-Wesley (1996)
[B] J. Buchmann, Einführung in die Kryptographie, Springer (1999)
[Kn] D. Knuth, The Art of Computer Programming, Addison-Wesley (1998)
[Ko]
N. Koblitz, A Course in Number Theory and Cryptography , Springer
GTM 114 (1987)
[Si] J. Silverman, The Arithmetic of Elliptic Curves, Springer GTM 106
(1992)
[So]
R. Solovay, R. Strassen, A fast Monte-Carlo test for primality, SIAM
Journal on Computing 6 (1), 1977
97