Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

Führe Probedivision durch die Primzahlen ≤ B durch. Diese Primzahlen sollten vorab in einer Liste gespeichert werden. (Ein vernünftiger Wert für B wäre vielleicht B = 100 oder B = 1000.) Wenn schon dabei ein Teiler von N gefunden wird, dann gib “N ist nicht prim; (N hat sogar einen nicht-trivialen Teiler ≤ B)” aus und halte an. Wähle t Werte a 1 , · · · a t ∈ {1, 2, · · · , N − 1}. Dies kann per Zufallsgenerator geschehen. M.E. wäre auch die Wahl a 1 = 2, a 2 = 3, · · · , a t = t + 1 nicht besonders nachteilig. (Ein vernünftiger Wert für t könnte t = 10 sein.) Prüfe für jede dieser Zahlen a i , ob a i ein Zeuge gegen die Primalität von N ist. Wenn dabei ein Zeuge gegen die Primalität gefunden wird, gib aus “N ist nicht prim (und dies wird durch a i bezeugt).” Wenn kein Zeuge gegen die Primalität gefunden wird, gib aus “N ist wahrscheinlich prim”. Sei ε die Fehlerwahrscheinlichkeit dieses Tests, d.h. die Wahrscheinlichkeit dafür, dass der Test auf zusammengesetztes N mit “wahrscheinlich prim” antwortet. Dies passiert genau dann, wenn N zusammengesetzt ist und bei t Wahlen a i ∈ {1, 2, · · · , N − 1} lauter Nicht-Zeugen gefunden wurden, obwohl höchstens 1/4 der Elemente von {1, · · · N − 1} Nicht-Zeugen sind. Die Fehlerwahrscheinlichkeit erfüllt also ε ≤ (1/4) t (z.B ε ≤ 0.000095% für t = 10). Wenn man den Parameter t erhöht, dann verringert sich die Fehlerwahrscheinlichkeit auf Kosten der Laufzeit. Algorithmus 3.2.4 Zur Wahl einer großen Zufallsprimzahl wählt man eine Zufallszahl M und wendet den Miller-Rabin-Test mit Parameter t 1 (t 1 hier nicht allzu groß, vielleicht t 1 = 5 oder t 1 = 10) auf M, M + 1, M + 2, · · · an, bis das Ergebnis “M + k ist wahrscheinlich prim” erzielt wird. Wer auf Nummer sicher gehen will, wird vielleicht abschließend noch einmal einen Miller-Rabin-Test auf M + k anwenden, aber jetzt mit sehr hohem Parameter t 2 (z.B. t 2 = 30). Sollte die Antwort dann wider aller Erwartungen “M +k ist nicht prim” lauten, so beginnt man noch einmal von vorne. Anderenfalls ist M + k mit sehr hoher Wahrscheinlichkeit prim. 3.3 RSA Wir erläutern nun das Kryptographieverfahren RSA. Dies war das erste Public- Key-Verfahren und ist bis heute das wichtigste. Alice möchte sich von jemandem, sagen wir Bob, oder sogar von jedermann verschlüsselt Nachrichten schicken lassen können. Sie (bzw. die auf Ihrem Rechner installierte Software) wählt dazu zwei große Zufalls-Primzahlen p und q (hier kann sie den Miller-Rabin-Test 3.2.3 verwenden) mit p ≠ q und bildet das Produkt N = pq. Derzeit (2007) gilt es als sicher, mit Primzahlen p und q jeweils 51
von der Länge ca. 1024 Bit (d.h. ca. 300 Dezimalstellen) zu arbeiten. N hat dann ca. 600 Dezimalstellen. Alice wählt des weiteren eine zu ϕ(N) = (p − 1)(q − 1) (vgl. 2.6.3) teilerfremde Zahl e ∈ {0, 1, · · · , ϕ(N) − 1}. Nach 2.5.1 ist e + ϕ(N)Z Z/ϕ(N)Z eine Einheit, d.h. es existiert ein d ∈ {0, 1, · · · , ϕ(N) − 1} mit ed = 1 mod ϕ(N)Z. Alice berechnet diese Zahl d mit dem euklidischen Algorithmus 2.5.3. Von den bisher errechneten Daten (p, q, N, ϕ(N), e, d) macht Alice nun einen Teil öffentlich (z.B. auf ihrer Homepage) und behält den anderen Teil für sich (z.B. abgespeichert auf einem USB Stick). Geheim bleibt p, q, ϕ(N), d, d.h. nur Alice (und nicht einmal Bob) kennt diese Daten. Öffentlich gemacht wird N und e. Insbesondere kennt Bob diese Daten; aber auch jeder potentielle Angreifer kennt sie. (N, e) ist der öffentliche Verschlüsselungsschlüssel (kurz: V-Schlüssel) und d ist der geheime (nur Alice kennt ihn) Entschlüsselungsschlüssel (kurz: E-Schlüssel). Übertragen werden Elemente von P := Z/NZ = {[0], · · · , [N−1]}. Wenn Bob die Nachricht m ∈ Z/NZ an Alice übermitteln will, so berechnet er c := m e . Für die Potenzierung kann der Square and Multiply Algorithmus 3.1.1 verwendet werden. Bob übermittelt dann c. Alice empfängt c = m e und berechnet c d (mit dem Square and Multiply Algorithmus). Nach dem folgenden Satz ist c d = m; sie erhält also die ursprüngliche Nachricht m zurück. Ein Angreifer Oskar, der den gesamten Dialog abhört, kann m nicht durch die selbe Rechnung m = c d wie Alice ermitteln, weil er d nicht kennt. Mehr dazu später. Satz 3.3.1 Es gilt m ed = m. Beweis: Nach 2.6.1 hat man einen bijektiven Ringhomomorphismus f : Z/NZ → Z/pZ × Z/qZ Sei (m 1 , m 2 ) := f(m). Es genügt m ed 1 = m 1 und m ed 2 = m 2 zu zeigen. (Daraus folgt nämlich f(m ed ) = f(m) und das impliziert m ed = m, weil f injektiv ist.) Wegen ϕ(N) = (p − 1)(q − 1) und ed = 1 mod ϕ(N)Z gibt es ein k ∈ N mit ed = 1 + k(p − 1)(q − 1). Falls m 1 ∈ (Z/pZ) × = F × p \ {[0]} eine Einheit ist, so gilt m p−1 1 = 1 nach dem kleinen Satz von Fermat 2.7.2. Daraus folgt m ed 1 = m 1+k(p−1)(q−1) 1 = m 1 (m p−1 1 ) k(q−1) = m 1 · 1 k(q−1) = m 1 . Falls m 1 = 0 in Z/pZ gilt, so hat man offensichtlich m ed 1 = m 1 . Also gilt in jedem Fall m ed 1 = m 1 . Völlig analog kann man zeigen, daß m ed 2 = m 2 gilt. □ 52
Seite 1 und 2: Elementare Zahlentheorie und Krypto
Seite 3 und 4: ithmische Zahlentheorie” abgedeck
Seite 5 und 6: 3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8: Beispiele: Das klassische Beispiel
Seite 9 und 10: X = x 1 · · · x N der Länge N w
Seite 11 und 12: Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14: 1.4 Permutationen und monoalphabeti
Seite 15 und 16: War II” genannt, weil er bei der
Seite 17 und 18: hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20: Schlüsselbucheinträge für die En
Seite 21 und 22: Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24: 1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?