Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

Aller Wahrscheinlichkeit nach ist dann b j − b i eine Einheit in Z/N und dann läßt sich (∗) nach x Auflösen. Merke: In jeder Gruppe G läßt sich das diskrete Logarithmusproblem in erwarteter Laufzeit von O( √ |G|) Schritten berechnen. Bemerkung: Dies ist für kleine Gruppen relevant. Im Fall |G| ≈ 2 1000 ist die Beschleunigung aber bei weitem nicht stark genug, um diskrete Logarithmen mit dieser Methode effektiv berechnen zu können. 4.3 Der Algorithmus von Silver, Pohlig und Hellman Sei G eine zyklische Gruppe und g ∈ G. Wir nehmen an, daß die Primfaktorzerlegung ord(g) = l e1 1 · · · let t von ord(g) bekannt ist. Wir stellen einen Algorithmus für das Berechnen von Log G,g : 〈g〉 → N vor, der in manchen Fällen schneller ist als der naive Algorithmus “Berechnen der entsprechenden Zeile einer Potenzierungstafel”. Zur Abkürzung setzen wir im folgenden Log := Log G,g . Für jeden Primteiler l von ord(g) sei g l := g ord(g)/l . g l ist also ein Erzeuger der eindeutig bestimmten Untergruppe U l von 〈g〉 der Ordnung l. Wir gehen im folgenden davon aus, daß Log gl für jeden Primteiler l von ord(g) bereits implementiert ist. Meist wird in einer Initialisierungsphase für jeden Primteiler l von ord(g) die Logarithmentafel für Log gl berechnet. Schon hier sieht man: Wenn ord(g) prim ist, dann wird dieses Vorgehen keinerlei Vorteil gegenüber dem naiven Algorithmus haben. Wenn aber ord(g) ein Produkt von kleinen Primzahlen ist, dann ist der Zeitgewinn erheblich. Beispiel: p = 30000001 ist prim. g = [2744] ist ein Element der Ordnung 10 7 in F × 30000001 . Die Primteiler von ord(g) = 107 sind 2 und 5 (also sehr klein verglichen mit ord(g)). g 2 = g 107 /2 = [30000000] hat Ordnung 2 und g 5 = g 107 /5 = [18544125] hat Ordung 5.Es sollen Logarithmen Log g zur Basis g berechnet werden. In der Initialisierungsphase des Algorithmus von Silver, Pohlig und Hellman werden die beiden Potenzierungstafeln k 0 1 2 3 4 (5) (6) g k 5 [1] [18544125] [20552807] [9404415] [11498654] ([1]) ([18544125]) , k 0 1 (2) (3) g k 2 [1] [30000000] ([1]) ([30000000]) · · · 67
ereitgestellt. Dies ist wesentlich weniger Aufwand als das Erstellen der Potenzierungstafel für g, denn diese hätte ord(g) = 10 7 Einträge. 6 □ Satz 4.3.1 Sei a ∈ 〈g〉 und l ein Primteiler von 7 N := ord(g). Gelte l i+1 | N. Sei x ∈ {0, · · · , l i − 1} Wenn die Kongruenz Log(a) = x mod l i (auch der Fall i = 0 und x = 0 ist erlaubt!) gilt, dann gilt Log g (a) = x + Log gl ((ag −x ) N/li+1 )l i mod l i+1 . Beweis: Aus der Voraussetzung folgt Log(ag −x ) = 0 mod l i , also Log(ag −x ) = ul i für ein geeignetes u. Daraus folgt ag −x = g uli , d.h Log gl ((ag −x ) N/li+1 ) = Log gl (g uN/l ) = Log gl (g u l ) = u mod l. Daraus folgt Log gl ((ag −x ) N/li+1 )+wl = u für ein geeignetes w. Schließlich ergibt sich Log g (a) = x + ul i = x + Log gl ((ag −x ) N/li+1 )l i + wl i+1 . Wenn man diese Gleichung modulo l i+1 betrachtet, dann ergibt sich die Behauptung. □. Sei a ∈ 〈g〉. Es soll Log g (a) berechnet werden. Die Berechnung von Log gl stellt mit den in der Initialisierungsphase errechneten Tabellen kein Problem mehr da. Sei l s die höchste in ord(g) aufgehende Potenz von l. Obiger Satz kann dann offensichtlich dazu verwendet werden, von der trivialen Kongruenz Log g (a) = 0 mod l 0 ausgehend in s Schritten ein x ∈ Z zu berechnen, derart daß die Kongruenz Log g (a) = x mod l s (∗) gilt. In jedem der s Teilschritte ist ein Wert von Log gl aus der vorbereiteten Tabelle auszulesen und in jedem Schritt fällt die Berechnung eines Ausdruckes (ag −x ) ord(g)/li an (Square and Multiply!). Das geht schnell. Eine einzelne Kongruenz (∗) legt die zu berechnende Größe Log g (a) nicht eindeutig fest; sie stellt aber eine wichtige Teilinformation über die Zielgöße Log g (a) dar. Algorithmus 4.3.2 Sei G eine endliche, zyklische Gruppe. Eingabe: a ∈ G, g ∈ G. Berechne die PFZ ord(g) = l s1 1 · · · lst t l i ). (mit paarweise verschiedenen Primzahlen 6 Erst in der 10 7 -ten Spalte käme [1] und ab da würde sich alles wiederholen! 7 Beachte: Wenn g ein Erzeuger von G ist, dann ist N = |G|. 68
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14:
1.4 Permutationen und monoalphabeti
Seite 15 und 16:
War II” genannt, weil er bei der
Seite 17 und 18: hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20: Schlüsselbucheinträge für die En
Seite 21 und 22: Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24: 1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67: d.h. mit x j = f j (x 0 ), wobei f
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?