Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

Wie findet man nun eines der 16 Elemente der Ordung d = 34, d.h. einen der Erzeuger von U 34 ? Nach 4.1.7 muß g 102/34 = [6] 3 = [10] ein solches Element sein: U 34 = 〈[10]〉 und ord([10]) = 34. Wie kann ich die beiden Elemente der Ordnung 6, d.h. die beiden Erzeuger von U 6 finden? Mit 4.1.7 folgt, daß U 6 = 〈g 102/6 〉 = 〈[6] 17 〉 = 〈[47]〉 gilt, d.h [47] erzeugt U 6 . Nach 4.1.3 sind die Erzeuger von U 6 genau die Elemente der Form [47] u mit u ∈ (Z/6) × . Aber (Z/6) × = {[1] 6 , [5] 6 }. Daher sind [47] und [47] 5 = [57] die beiden Erzeuger von U 6 . Die Elemente [47] und [57] haben also Ordung 6 und weitere Elemente der Ordnung 6 gibt es nicht in F × 103 . Zum Schluß möchte ich alle sechs Elemente der Untergruppe U 6 auflisten. Ich muß dazu nur die Potenzen des Erzeugers 5 [47] von U 6 berechnen. U 6 = {[47] 0 , [47] 1 , · · · , [47] 5 } = {[1], [47], [46], [102], [56], [57]}. Ich denke, dieses Beispiel zeigt, daß sich mit obiger Strukturtheorie viele Fragen zu der Gruppe F × 103 schnell beantworten lassen, ohne dass dafür die Potenzierungstafel (diese hätte ≈ 102 2 Einträge!) berechnet werden müßte. 4.2 Die ρ-Methode von Pollard Sei G eine endliche, abelsche Gruppe und g ∈ G. Wir betrachten das folgende diskrete Logarithmus-Problem: Gegeben h ∈ G entscheide, ob h ∈ 〈g〉 und berechne gegebenenfalls ein x ∈ {0, · · · , |G| − 1} mit g x = h. Mit anderen Worten: Man möchte, gegeben h ∈ G entscheiden, ob ein x ∈ {0, · · · , |G| − 1} mit exp g (x) = h existiert, und ein solches x ggfls. berechnen. Wir fassen das Problem etwas weiter: Problem A. Seien X eine N-elementige Mengen und f : {0, · · · , N − 1} → X eine Abbildung. Gegeben y ∈ X entscheide, ob a mit f(a) = x existiert und berechne ggfls. ein solches a. Wenn man nichts über die spezielle Gestalt von f weiß, so ist der folgende “naive Algorithmus” (exhaustives Absuchen) die optimale Strategie: löst dieses Problem A. a = 0; while(f(a) x ANDa ≤ n − 1, a = a + 1) Faktum A. Problem A läßt sich in O(N) Rechenschritten lösen. Sei X eine endliche N-elementige Menge und f : X → X eine Abbildung. Sei x 0 ∈ X ein Startwert und (x i ) i∈N die rekursiv definierte Folge mit x i+1 = f(x i ), 5 Der andere Erzeuger [57] würde das selbe Endergebnis liefern. 65
d.h. mit x j = f j (x 0 ), wobei f j = f ◦ · · · ◦ f die j-malige Hintereinanderausführung von f ist. Da X endlich ist, kann die Abbildung N → X, i ↦→ x i nicht injektiv sein. Es muß also ein Indexpaar (i, j) mit i < j und x i = x j geben. Ein solches Indexpaar wird im folgenden eine Kollision in (x i ) i genannt. Sei (v, w) das kleinste solche Indexpaar und s = w −v. Dann gilt für jedes j ∈ N schon x v+j+s = f j (x v+s ) = f j (x v ) = x v+j . D.h. nach einer Vorperiode der Länge v mündet (x i ) i in einen Zyklus der Periodenlänge s. Wenn f eine Zufallsabbildung (d.h. ein zufällig gewähltes Element der Menge aller Abbildungen X → X) ist, dann sind v und s Zufallsvariable mit Erwartungswert ≈ 0.6 √ N. Faktum B. Sei f : X → X eine Zufallsabbildung und x 0 ∈ X ein Startwert. Dann läßt sich eine Kollision in der Folge (x i ) i = (f i (x 0 )) in erwarteter Laufzeit von O( √ N) Schritten berechnen. Sei wieder G eine endliche abelsche Gruppe und g ∈ G. Der Clou bei der ρ-Methode von Pollard ist folgendes: Das diskrete Logarithmusproblem (d.h. Problem A im Spezialfall der Abbildung exp g ) kann durch einen “Trick” (Betrachten einer geeigneten Hilfsfunktion) überführt werden in ein Problem, das auf Grund von Faktum B in O( √ |G|) Schritten gelöst werden kann. Dies ergibt eine Verbesserung der Laufzeit von O(|G|) auf O( √ |G|). Wir gehen nun auf die Details ein. Sei o.E. G = 〈g〉 zyklisch mit Erzeuger g. Sei h ∈ G. Wir wollen x mit g x = h berechen. Sei G = T 1 ∪ T 2 ∪ T 3 eine disjunkte Zerlegung in drei etwa gleich große Teilmengen. Wir betrachten die Hilfsfunktion ⎧ ⎨ xg x ∈ T 1 f : G → G, x ↦→ x 2 x ∈ T 2 ⎩ xh x ∈ T 3 Seien a 0 , b 0 ∈ Z/N (N := |G|) und x 0 = g a0 h b0 . Seien (x i ) i , (a i ) i und (b i ) i die rekursiv definierten Folgen mit und x i+1 = f(x i ), ⎧ ⎨ a i + 1 x ∈ T 1 a i+1 = 2a i x ∈ T 2 ⎩ a i x ∈ T 3 ⎧ ⎨ b i x ∈ T 1 b i+1 = 2b i x ∈ T 2 . ⎩ b i + 1 x ∈ T 3 Dann gilt x i = g ai h bi für alle i. Man findet nach Faktum B in erwarteter Laufzeit von O( √ N) Rechenschritten eine Kollision (i, j) in der Folge (x i ) i . Dann gilt g ai h bi = g aj h bj und das impliziert g ai−aj = h bj−bi = g x(bj−bi) . Daraus gewinnt man die folgende Gleichung im Ring Z/N: a i − a j = x(b j − b i ). 66
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14:
1.4 Permutationen und monoalphabeti
Seite 15 und 16: War II” genannt, weil er bei der
Seite 17 und 18: hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20: Schlüsselbucheinträge für die En
Seite 21 und 22: Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24: 1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65: Bemerkung 4.1.8 Sei G eine endliche
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?