Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

Schranke B. Für eine gegebenes N kann man natürlich a priori nicht entscheiden, ob N einen solchen Primfaktor hat, solange man die Primfaktoren von N nicht kennt. Wer N faktorisieren will, wird also vielleicht “auf gut Glück” versuchen, ob die (p − 1)-Methode einen Teiler von N liefert oder ob sie fehlschlägt. Nehmen wir an N ist zusammengesetzt, p ist ein Primteiler von N und p − 1 ist B-glatt. Sei P die Menge der Primzahlpotenzen und 7 k := k B := ∏ q∈P,q≤B Diese Zahl hängt nur von B ab. (Z.B. gilt k 15 = 2 · 3 · 4 · 5 · 7 · 8 · 9 · 11 · 13.) Weil wir p − 1 als B-glatt angenommen haben, muß p − 1 ein Teiler von k B sein: D.h. es wird k B = (p − 1)j mit j ∈ N gelten 8 . Sei nun a ≥ 2 beliebig. Dann gilt a p−1 = 1 mod p nach dem kleinen Satz von Fermat 2.7.2 und daraus folgt a k B = (a (p−1) ) j = 1 j = 1 mod p, d.h. p | (a k B − 1). Daher wird (a k B − 1) nicht zu N teilerfremd sein. Sei g ∈ ggT (a k B − 1, N). Dann gilt |g| > 1 und wenn |g| < N gilt, dann hat man in |g| einen nicht-trivialen Teiler von N gefunden. q. Algorithmus 3.5.1 ((p − 1)-Methode von Pollard) Eingabe: N ∈ N. Steuerparameter B ∈ N und a ≥ 2. Berechne k B . Berechne das nicht-negative g ∈ ggT (a k B − 1, N) mit dem euklidischen Algorithmus 2.2.7. Wenn g = 1 oder g = N, dann gib aus “Kein nicht-trivialer Teiler von N gefunden. Sie können versuchen B zu erhöhen.” Wenn g ≠ 1 und g ≠ N, dann gib aus “g ist ein nicht-trivialer Teiler von N” Um Angriffe mit der (p − 1)-Methode zu verhindern, wird bei RSA empfohlen, die folgende Sicherheitsvorkehrung zu treffen. Sicherheitsvorkehrung für RSA. Um einen Angriff via der p − 1-Methode abzuwehren, soll man als RSA-Modul ein Produkt N = pq von großen Primzahlen nehmen, wobei p und q so beschaffen sind, dass p − 1 und q − 1 jeweils einen großen Primfaktor haben. 7 Man kann das Produkt durch das kgV ersetzen. 8 Man weiß, daß das so ist, obwohl man j und p nicht explizit kennt. Die Zahl k B kennt man aber explizit. 57
Kapitel 4 Diskreter Logarithmus 4.1 Primitivwurzeln und diskreter Logarithmus Sei (G, ·) eine abelsche Gruppe. Für x ∈ G sei 〈x〉 = {x k : k ∈ Z}. Wenn nun 〈x〉 = G gilt, dann wird x ein Erzeuger von G genannt. Das ist genau dann der Fall, wenn jedes Element in G eine Potenz von x ist. Nicht jede Gruppe hat einen Erzeuger. Wenn in G ein Element existiert, das Erzeuger von G ist, dann nennt man G eine zyklische Gruppe. Sei nun G endlich. ord(x) ist die kleinste positive Zahl mit x ord(x) = 1. Es gilt, ohne Mehrfachauflistung von Elementen geschrieben, 〈x〉 = {1, x, · · · , x ord(x)−1 }. Ferner gilt ord(x) = |〈x〉| und nach 2.7.1 ist ord(x) immer ein Teiler von |G|. Ferner gilt für k ∈ Z: Genau dann ist x k = 1, wenn k ∈ ord(x)Z. Für k ∈ Z sei [k] := [k] ord(x) ∈ Z/ord(x)Z die entsprechende Restklasse. Dann hat es Sinn zu definieren. x [u] := x u für [u] ∈ Z/ord(x)Z Offenbar ist x ein Erzeuger von G genau dann, wenn ord(x) = |G| gilt. Beispiel: Wir betrachten eine “Potenzierungstafel” für die 6-elementige Gruppe G := F × 7 . Sei [a] := [a] 7. k 0 1 2 3 4 5 6 [1] k [1] [1] [1] [1] [1] [1] [1] [2] k [1] [2] [4] [1] [2] [4] [1] [3] k [1] [3] [2] [6] [4] [5] [1] [4] k [1] [4] [2] [1] [4] [2] [1] [5] k [1] [5] [4] [6] [2] [3] [1] [6] k [1] [6] [1] [6] [1] [6] [1] Die linke Spalte von Einsen ergibt sich, da x 0 = [1] für alle x ∈ G gilt. Die rechte Spalte von Einsen war nach dem Satz von Fermat zu erwarten; es gilt x |G| = [1] für alle x ∈ G und |G| = 6. . 58
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8: Beispiele: Das klassische Beispiel
Seite 9 und 10: X = x 1 · · · x N der Länge N w
Seite 11 und 12: Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14: 1.4 Permutationen und monoalphabeti
Seite 15 und 16: War II” genannt, weil er bei der
Seite 17 und 18: hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20: Schlüsselbucheinträge für die En
Seite 21 und 22: Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24: 1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57: Beweis. Sei wieder x := 1 2 (p + q)
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?