Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

Sei nun p ≠ 2 eine beliebige Primzahl. Wir schreiben p − 1 = 2 s u mit einer ganzen Zahl s ≥ 1 und einer ungeraden Zahl u. Für a ∈ F × p setzen wir δ(a) := a u Bemerkung 6.2.5 a) Es gilt δ(a) 2s−1 = a p−1 2 = von Euler 6.1.3. ( a p ) in F p nach dem Satz a’) Wenn a ein Quadrat ist, dann ist δ(a) ein Quadrat und ord(δ(a)) | 2 s−1 . ( ) 2 b) Es gilt δ(a) 2s a = p = 1. c) Wenn a ein Nicht-Quadrat ist, dann gilt ord(δ(a)) = 2 s . Beweis: Nur c) ist nicht-trivial. Nach b) muß ord(δ(a)) | 2 s , also ord(δ(a)) ( = ) 2 t mit 0 ≤ t ≤ s gelten. Sei a ein Nicht-Quadrat. Wäre t < s, so würde = δ(a) 2s−1 = 1 folgen; Widerspruch. □ ( ) Sei nun p ≠ 2 eine beliebige Primzahl. Wir nehmen nun an, dass = 1. Wie kann man die Wurzel aus a berechnen? Sei ˜x := a u+1 2 . ˜x läßt sich aus a mit Square and Multiply schnell berechnen. Man sollte ˜x als eine erste Approximation an eine Wurzel von a ansehen. Offenbar gilt a = ˜x 2 δ(a) −1 ; man kann also δ(a) als den “Fehlerterm” der Approximation ansehen. Nach obiger Bemerkung ist δ(a) ein Quadrat und ord(δ(a)) | 2 s−1 . Es bleibt die Wurzel aus δ(a) zu ziehen. Für d | p − 1 sei µ d die Untergruppe der Ordung d in der zyklischen Gruppe F × p . Sei ζ ∈ F × p ein Element der Ordnung 2 s (es gibt nach 4.1.10 genau ϕ(2 s ) = 2 s−1 solche Elemente). Dann gilt µ 2 s = 〈ζ〉. Nach obiger Bemerkung gilt ord(δ(a)) = 2 t mit t < s und und somit ist δ(a) ein Erzeuger von µ 2 t (vgl. 4.1.9). Mit 4.1.8 folgt µ 2 t ⊂ µ 2 s, also δ(a) ∈ 〈ζ〉. Sei L ∈ N mit L = log ζ (a) mod 2 s . Dann gilt ζ L = δ(a). Da δ(a) ∈ µ 2 t ein Quadrat ist, muß L gerade sein. Also ist ζ L/2 eine Wurzel aus δ(a). Daher muß x := ˜xζ −L/2 = a u+1 2 ζ −L/2 eine Wurzel von a sein. Wir haben bewiesen: Fazit: x = a u+1 2 ζ − log ζ (a u )/2 erfüllt x 2 = a und sqrt(a) = {x, −x}. x läßt sich aus a (und p) leicht berechnen, sofern ein Element ζ der Ordnung 2 s bekannt ist: Die Exponentiationen können mit Square and Multiply in Polynomzeit (in der Bitlänge von p) berechnet werden, und der diskrete Logarithmus log ζ (y) ist mit der Silver-Pohig-Hellman- Methode 4.3.2, 4.3.3 Polynomzeit berechenbar, weil ord(ζ) eine Potenz von 2 ist. Aber wie kommt man zu einem Element ζ ∈ F × p der Ordnung 2 s ? Nach obiger Bemerkung ist klar: Wenn b ∈ F × p ein beliebiges Nichtquadrat ist, dann hat ζ := δ(b) = b u Ordnung 2 s . a p a p 89
Algorithmus 6.2.6 (Algorithmus für Quadratwurzeln in F p ) Eingabe: p ≠ 2 prim, a ∈ F ×2 p ein Quadrat. Ferner muß zur Unterstützung des Algorithmus ein Nicht-Quadrat b ∈ F × p eingegeben werden. Berechne s, u mit u ungerade und p − 1 = 2 s u. Berechne ζ := b u . Berechne x := a u+1 2 ζ − log ζ (au )/2 mit Square and Multiply und Silver-Pohig- Hellman. Ausgabe: x ist eine Wurzel aus a. Dies ist ein deterministischer Algorithmus mit polynomialer Laufzeit in der Bitlänge von p. Wie kommt man zu einem Nicht-Quadrat? Algorithmus 6.2.7 (Algorithmus zur Konstruktion eines Nicht-Quadrates) Eingabe: p ≠ 2 prim. i := 2 ( ) i while( p ≠ −1, i:=i+1); Die Jacobi-Symbole sind mit 6.2.3 berechnet werden. Ausgabe: [i] p ist ein Nicht-Quadrat. Da 50% der Elemente von F p Nicht-Quadrate sind, ist der Erwartungswert für die Anzahl der Durchläufe der while-Schleife gleich 2. Die Jacobi-Symbole können in Polynomialzeit berechnet werden. Daher hat dieser Algorithmus erwartete Polynomialzeit in der Bitlänge von p. Wir halten fest: Für ein Element a ∈ F p kann man in Polynomialzeit entscheiden, ob a ein Quadrat ist, und in erwarteter Polynomialzeit kann man ggfls. eine Wurzel aus a berechnen. 6.3 Der Solovay-Strassen Primzahltest Wir erläutern in diesem Abschnitt einen probablistischen Primzahltest von Solovay und Strassen, der alternativ zum Miller-Rabin-Test verwendet werden kann. Dieser Primzahltest beruht auf dem Satz von Euler 6.1.3. Sei N eine ungerade natürliche Zahl. Wir nennen eine Zahl a ∈ {1, · · · , N − 1} einen Solovay-Strassen-Zeugen gegen die Primalität von N, falls 1 /∈ ggT (a, N) oder ( a N−1 a ) 2 ≠ mod N N 90
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14:
1.4 Permutationen und monoalphabeti
Seite 15 und 16:
War II” genannt, weil er bei der
Seite 17 und 18:
hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20:
Schlüsselbucheinträge für die En
Seite 21 und 22:
Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24:
1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26:
Aus dem Übergangsgraphen lassen si
Seite 27 und 28:
Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30:
von a und b genannt, wenn g ein gr
Seite 31 und 32:
Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34:
Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36:
p die einzigen nicht-negativen Teil
Seite 37 und 38:
Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89: ) /* Ende while if(a=0, s:=0); Ausg
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?