Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

n(H) = 7, n(A) = 0, n(L) = 11 und n(O) = 14. Was bedeutet dann die Zahl 215? Die 26-adische Entwicklung ist 215 = 7 + 8 · 26. Ferner gilt n −1 (7) = H und n −1 (8)) = I. Die Zahl 215 entspricht also dem Text HI. Etwas längere Texte können blockweise übertragen werden. Für die Übertragung großer Datenmengen ist RSA nicht geeignet, weil dann die Ver- und Entschlüsselung zu lange dauern. Hier ist es besser, mit RSA nur einen Schlüssel zu übermitteln, der dann für eine Private-Key-Sitzung (z.B. mit AES) verwendet wird. 3.4 Faktorisierung mit der Fermat-Methode Sei N = pq ein Produkt von zwei großen Primzahlen p und q. Falls p und q sehr nah beisammen liegen, kann man N durch den folgenden “naiven” Ansatz faktorisieren: Man sucht ab m := ⌈ √ N)⌉ nach einem Teiler von N. Die folgende Fermat-Methode ist eine weitgehende Verbesserung dieses Ansatzes. Wir können q und y := 1 2 (p−q). Dann gilt p = x + y und q = x − y und es folgt N = pq = (x + y)(x − y) = x 2 − y 2 . Nach der Ungleichung vom arithmetischen und geometrischen Mittel gilt √ √ 1 N = pq ≤ (p + q) = x. 2 Wer N faktorisieren möchte, wird ab ⌈N⌉ nach x suchen. Algorithmus 3.4.1 (Faktorisierungsmethode von Fermat) Eingabe: Ein Produkt N von zwei ungeraden Primzahlen. x := ⌈ √ N⌉ while(issquare(x 2 − N) = false, x = x + 1) y = √ x 2 − N p = x + y q = x − y Ausgabe: N ist Produkt von p und q. Satz 3.4.2 Sei N ein Produkt von zwei ungeraden Primzahlen p > q. Sei α ∈ R eine Zahl mit |p − q| ≤ α 4√ N. Dann findet man mit dem obigen Algorithmus p und q nach höchstens α2 8 Schritten. 6 Wer N Faktorisieren möchte, kennt N, nicht aber p, q, x, y. 55
Beweis. Sei wieder x := 1 2 (p + q) und y := 1 2 (p − q). Sei m = ⌈√ N⌉. Dann wird die While-Schleife in obigem Algorithmus k = x − m mal durchlaufen. Wir wollen k nach oben abschätzen. Offenbar gilt y ≤ 4√ √ α 2 N, d.h. y 2 ≤ α2 4 N. Ferner gilt Daraus folgt y 2 = x 2 − N = m 2 + 2km + k 2 − N ≥ 2km ≥ 2k √ N. α 2 √ √ N ≥ 2k N, 4 also k ≤ α2 4 . □ Beispiel. Nehmen wir an, p und q sind 500-Bit-Zahlen (insbes. ist N = pq eine 1000-Bit-Zahl) und p − q ist nur eine 255-Bit-Zahl. Dann haben p und q exakt die selbe Bitlänge und die ersten 245 Dualziffern stimmen überein. (D.h. p und q liegen sehr nah beisammen.) Nun ist 4√ N eine 250-Bit-Zahl, 4√ N ≈ 2 250 , und mit α = 2 6 wird sicher p − q ≤ α 4√ N gelten. Die Fermat-Faktorisierungsmethode wird also nur α 2 /8 = 2 9 = 512 Schritte benötigen, um die Teiler von N zu finden. Diese Rechnung läßt sich völlig problemlos auf einem handelsüblichen Laptop durchführen! Beispiel. Ganz anders verhält es sich mit der Laufzeit, wenn q eine 500-Bit- Zahl und p um ein paar Bit länger (etwa eine 252-Bit-Zahl) ist als q: Nehmen wir an, p ≥ 4q (also etwa p um zwei Bit länger als q). Dann gilt x − √ N = 1 2 (p + q) − √ pq = 1 2 (√ p − √ q) 2 ≥ 1 2 (√ 4q − √ q) 2 = q 2 , d.h. das Fermat-Faktorisierungsverfahren würde hier ≈ 2 500 Schritte benötigen! Dies ist nach dem heutigen Stand der Technik völlig unpraktikabel! Sicherheitsvorkehrung für RSA. Um einen Angriff via Fermat-Faktorisierung abzuwehren, soll man als RSA-Modul ein Produkt N = pq von großen Primzahlen nehmen, wobei p um ein paar Bit größer sein sollte als q. 3.5 Faktorisierung mit der (p − 1)-Methode von Pollard Mit der (p − 1)-Methode von Pollard kann man, unter gewissen Umständen, für eine gegebene (große) zusammengesetzte natürliche Zahl N einen nichttrivialen Teiler t von N finden. “Nicht-trivial” soll “mit t ∈ {2, · · · , N − 1}” bedeuten. Wiederholte Anwendung kann evtl. auf die gesamte Faktorisierung von N führen. Sei B ≥ 0. Eine Zahl n heißt B-glatt, wenn es keine Primzahlpotenz q > B gibt, die Teiler von n ist. (Z.B. ist 96 = 2 5 ·3 nicht 10-glatt (2 5 = 32 ist ja größer als 10), wohl aber 40-glatt.) Die p−1-Methode funktioniert für solche N gut, die einen Primfaktor p haben, für den p − 1 B-glatt ist, mit einer nicht allzugroßen 56
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6: 3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8: Beispiele: Das klassische Beispiel
Seite 9 und 10: X = x 1 · · · x N der Länge N w
Seite 11 und 12: Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14: 1.4 Permutationen und monoalphabeti
Seite 15 und 16: War II” genannt, weil er bei der
Seite 17 und 18: hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20: Schlüsselbucheinträge für die En
Seite 21 und 22: Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24: 1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55: Es wird vermutet, daß es keinen Po
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?