Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

dass der Test mit “wahrscheinlich prim” antwortet, obwohl N nicht prim ist. Die Fehlerwahrscheinlichkeit eines guten Tests ist so klein, daß die theoretisch bestehende Möglichkeit einer fehlerhaften Ausgabe in der Praxis nicht relevant ist. Vielleicht wäre 10 −7 = 0, 00001% ein guter Wert für die Fehlerwahrscheinlichkeit. Wenn man einen solchen Primzahltest einmal hat, dann kann man große Zufalls- Primzahlen erzeugen, indem man mit einer Zufallszahl M der gewünschten Größenordnung (vielleicht 500 Dezimalstellen) beginnt 2 , und dann den Primzahltest der Reihe nach auf M, M + 1, M + 2, · · · anwendet, bis man eine Primzahl findet. Man muß dabei nicht allzu lange suchen: Der Anteil der Primzahlen an den Zahlen in [M, M + δ] ∩ N (δ ∈ N viel kleiner als M) ist nach dem Primzahlsatz ungefähr 1/ log(M) (dabei ist log der Logarithmus zur Basis e). Man darf also erwarten, nach ca. log(M) Versuchen auf eine Primzahl zu stoßen. Wenn M = 10 500 ist, dann wird man nach ca. log(M) = 500 log(10), d.h. spätestens nach ein paar Tausend Versuchen eine Primzahl finden, wenn man sukzessive M, M + 1, M + 2 u.s.w. auf Primalität testet. Wir beschreiben nun den Miller-Rabin-Primzahltest, der in der Praxis gerne verwendet wird 3 . Wir bemerken vorab: Jede Zahl M ≥ 1 kann man als M = 2 s m mit einer ungeraden Zahl m und s ∈ N schreiben. m und s lassen sich aus M leicht durch sukzessive Probedivision durch 2 berechnen. (Z.B. 96/2 = 48, 48/2 = 24, 24/2 = 12, 12/2 = 6, 6/2 = 3, 3 ist ungerade. Daher gilt 96 = 2 5 · 3.) Der Miller-Rabin-Test beruht auf dem folgenden Satz. Satz 3.2.1 Sei N > 2. Sei a ∈ {1, · · · , N − 1} teilerfremd zu N. Schreibe N − 1 = 2 s m mit m ungerade und s ∈ N. Wenn und gilt, dann kann N nicht prim sein. a m ≠ 1 mod N a m2r ≠ −1 mod N ∀r ∈ {0, 1, · · · , s − 1} Beweis: Es genügt die folgende Behauptung zu zeigen: Wenn N prim ist und [a] m ≠ [1] (Restklassen in Z/NZ) gilt, dann gibt es ein r ∈ {0, · · · , s − 1} mit [a] m2r = [−1]. Sei also N eine Primzahl, a zu N teilerfremd, und es gelte [a m ] ≠ [1]. Da N prim ist, muß Z/NZ ein Körper und (Z/NZ) × eine Gruppe mit ϕ(N) = N − 1 Elementen sein (siehe 2.5.4 und 2.5.5). Mit dem kleinen Satz von Fermat 2.7.2 (siehe auch 2.7.1) folgt also 4 [a] m2s = [a] N−1 = [1]. Die Menge {k ∈ {0, 1, · · · , s}|[a] m2k = [1]} ist demnach nicht-leer; sie enthält ja s. Sei t das kleinste Element dieser Menge. Dann gilt [a] m2t = [1] und wegen 2 Die Konstruktion von Zufallszahlgeneratoren ist ein interessantes Thema; wir gehen aus Zeitgründen nicht darauf ein. 3 Henri Cohen nennt ihn “The workhorse of primality testing” 4 Für zusammengesetztes N liegen die Dinge völlig anders: Wenn N nicht prim ist, dann ist sicher Z/NZ kein Körper und es gilt sicher ϕ(N) < N − 1. Zwar gilt noch [a] ϕ(N) = [1], aber in aller Regel wird [a N−1 ] ≠ [1] gelten, außer wenn N prim ist. 49
[a m20 ] ≠ [1] muß t ≥ 1 gelten. Sei r := t − 1 und x := [a] m2r . Wegen der Minimalität von t muß x ≠ [1] sein. Ferner gilt x 2 = ([a] m2r ) 2 = [a] m2r+1 = [a] m2t = [1]. Weil Z/NZ ein Körper ist, folgt daraus x = [1] oder x = [−1]. Aber x = [1] ist unmöglich (s.o.). Also gilt x = [a] m2r = [−1], wie gewünscht. □ Für N > 2 ungerade mit N = 2 s m und m ungerade. Wir nennen a ∈ {2, 3, · · · , N− 1} einen Zeugen gegen die Primalität von N, wenn eine der folgenden Aussagen wahr ist: a) a ist nicht zu n teilerfremd. b) a ist zu N teilerfremd und a m ≠ 1 mod N und a m2r ≠ −1 mod N ∀r ∈ {0, · · · , s − 1}. Man kann leicht eine Routine implementieren, die bei der Eingabe (N, a) prüft, ob a Zeuge gegen die Primalität von N ist. Um Bedingung a) zu prüfen, kann man ggT (N, a) mit dem euklidischen Algorithmus 2.2.7 berechnen. Beim Prüfen von b) ist der Vektor ([a] m20 , a m21 , · · · , [a] m2s−1 ) zu berechnen. Hier kommt Square and Multiply zum Einsatz. Klar ist nun folgendes: Wenn es in {2, · · · , N − 1} einen Zeugen gegen die Primalität von N gibt, dann ist N sicher nicht prim. (Sei a ein solcher Zeuge und g der nicht-negative ggT von N und a. Falls g ≠ 1 gilt ist g ≥ 2 ein echter Teiler von N und N ist aus diesem Grund nicht prim. Falls g = 1 gilt, so ist die obige Bedingung b) erfüllt und obiger Satz impliziert, daß N nicht prim sein kann.) Man wird fragen, ob für zusammengesetztes N auch immer genug Zeugen a ∈ {1, · · · , N − 1} gegen die Primalität von N existieren. Der folgende Satz besagt, dass die Antwort ja ist: Satz 3.2.2 Sei N ≥ 2 ungerade. Wenn N zusammengesetzt ist, dann sind mindestens 3 4 der Zahlen im Bereich 1, · · · , N − 1 Zeugen gegen die Nicht-Primalität von N. Für den Beweis verweisen wir auf [B], Theorem 6.4.2. Wenn N zusammengesetzt ist, dann gibt es nach diesem Satz sogar so viele Zeugen gegen die Primalität von N, daß man höchstwahrscheinlich durch “simples Herumprobieren” schnell einen solchen Zeugen findet. Wenn N prim ist, dann gibt es sicher keinen Zeugen gegen die Primalität von N. Dies macht sich der Miller-Rabin-Test zu Nutze. Algorithmus 3.2.3 (Miller-Rabin-Test) Eingabe: N ≥ 2 und Steuerparameter B ≥ 2, t ≥ 1. 50
Seite 1 und 2: Elementare Zahlentheorie und Krypto
Seite 3 und 4: ithmische Zahlentheorie” abgedeck
Seite 5 und 6: 3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8: Beispiele: Das klassische Beispiel
Seite 9 und 10: X = x 1 · · · x N der Länge N w
Seite 11 und 12: Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14: 1.4 Permutationen und monoalphabeti
Seite 15 und 16: War II” genannt, weil er bei der
Seite 17 und 18: hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20: Schlüsselbucheinträge für die En
Seite 21 und 22: Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24: 1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49: werden. Dann benutzt man die Formel
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?