Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

Wir wenden uns in diesem Abschnitt der Erzeugung von Einweggruppen zu. Problem: Sei B > b > 0. Wir wollen ein Zufallstripel (p, l, g) konstruieren derart, daß p eine B-Bit-Primzahl, l eine b-Bit-Primzahl und g ∈ F × p ein Element mit ord(g) = l ist. (Etwa für B = 1000, b = 500 wird das auf eine zufällige Einweggruppen (F × p , g) führen, die dann im Rahmen der Kryptographieverfahren, die im folgenden besprochen werden, benutzt werden können.) Sei im folgenen ispseudoprime ein schneller, probabilistischer Primzahltest, z.B. der Miller-Rabin-Test. Wenn der Aufruf ispseudoprime(N, ε) die Antwort “false” liefert, dann ist N sicher zusammengesetzt. Wenn der Aufruf ispseudoprime(N, ε) die Antwort “true” ergibt, dann ist N wahrscheinlich (mit Wahrscheinlichkeit ≥ 1 − ε) prim. Je kleiner man die Fehlerwahrscheinlichkeit ε wählt, desto größer wird die Laufzeit. Wir schildern nun den Algorithmus stepnextprime, der für die Lösung des obigen Problems gebraucht wird. Sei N, s ∈ N mit s > 0. Die Folge N, N + s, N + 2s, N + 3s, · · · wird im folgenden arithmetische Progression mit Beginn N und Sprungweite s genannt. Der Algorithmus stepnextprime sucht nach einer Primzahl in dieser arithmetischen Progression. Gegebenenfalls wird die kleinste Primzahl, die gefunden wird, ausgegeben. Klar ist folgendes: Wenn 1 < g < N ein gemeinsamer Teiler von s und N ist, dann teilt g auch jede Zahl der Form N + ks. Wenn also s nicht zu N teilerfremd und N zusammengesetzt ist, dann sind die Elemente der arithmetischen Progression N, N + s, N + 2s, · · · sicher allesamt nicht prim. Der folgende Algorithmus hält in diesem Fall mit einer Fehlermeldung an. Algorithmus 5.1.1 (stepnextprime) Eingabe: N, s. Steuerparameter ε 1 und ε 2 , z.B. ε 1 = 10 −2 und ε 2 = 10 −10 . 1. if ggT (N, s) > 1 then HALT mit Fehlermeldung; 2. p := N; 3. while ispseudoprime(p, ε 1 ) = false do p = p + s; 4. if ispseudoprime(p, ε 2 ) = false GOTO 3. Ausgabe: p ist (mit Fehlerwahrscheinlichkeit ≤ ε 2 ) eine Primzahl in der arithmetischen Progression N, N +s, N +2s, · · ·; wahrscheinlich ist es sogar die kleinste Primzahl mit dieser Eigenschaft. Anders gesagt: p ist (mit Fehlerwahrscheinlichkein ≤ ε 1 ) eine Primzahl ≥ N, welche die Kongruenz p = N mod s erfüllt. 71
Satz 5.1.2 (Primzahlen in arithmetischen Progressionen) Sei s zu N teilerfremd. Dann gibt es in der arithmetischen Progression unendliche viele Primzahlen. N, N + s, N + 2s, N + 3s, · · · Der Erwartungswert für die Anzahl der Durchläufe der while-Schleife in obigem Algorithmus ist dann 2 b log(N) ϕ(b) . Wenn überdies N eine 1000-Bit-Zahl ist, dann wird stepnextprime spätestens nach ein paar tausend Schritten eine Primzahl finden. Sei im folgenden random(b) eine ≈ b-Bit-Zufallszahl. Der Aufruf l := stepnextprime(random(b), 1) wird dann eine ≈ b-Bit-Zufallsprimzahl erzeugen. N := 1+random(B−b)·l wird dann eine B-Bit-Zufallszahl sein, die N = 1 mod l erfüllt. p := stepnextprime(N, l) ergibt eine zufällige Primzahl p, die p = 1 mod l erfüllt. Dann gilt l | p−1 = |F × p |. Da F × p zyklisch ist, muß es in F × p genau ϕ(l) = l − 1 Elemente der Ordnung l geben. Um das eingangs gestellte Problem vollständig zu lösen, muss nur noch ein solches Element g der Ordnung l gefunden werden. Dafür kann man den folgenden Satz verwenden. Satz 5.1.3 Sei p prim und l ein Primteiler von p − 1. Sei z ∈ F × p g := z (p−1)/l . Wenn g ≠ [1] gilt, dann gilt ord(g) = l. beliebig. Sei Beweis: Nach dem Satz von Fermat gilt g l = z p−1 = [1] und das impliziert ord(g) | l. Da l prim ist, muß ord(g) ∈ {1, l} gelten. Wenn g ≠ 1, dann folgt also ord(g) = l. □ Für ein willkürlich gewähltes Element z ∈ F × p wird in aller Regel z p−1 l ord(z) = l gelten. Wenn z p−1 l sein. Dieses Polynom hat p−1 l willkürlich gewähltes Element z die Gleichung z p−1 l (Also z.B. ≈ 2 −300 , wenn l eine 300-Bit-Zahl ist.) ≠ [1], also = [1] gilt, dann wird z Nullstelle von Z p−1 l − [1] Nullstellen. Die Wahrscheinlichkeit dafür, daß ein = [1] erfüllt ist also nur 1/l. Der folgende Algorithmus stellt eine Lösung des eingangs gestellten Problems dar. Algorithmus 5.1.4 (Schlüsselerzeugung) Eingabe: b < B. l := stepnextprime(random(b), 1) (Dann ist l eine ≈ b-Bit-Zufallsprimzahl.) 2 ϕ steht für die Eulersche ϕ-Funktion. 72
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14:
1.4 Permutationen und monoalphabeti
Seite 15 und 16:
War II” genannt, weil er bei der
Seite 17 und 18:
hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20:
Schlüsselbucheinträge für die En
Seite 21 und 22: Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24: 1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71: Kapitel 5 Public-Key-Verfahren, die
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?