Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

einfach w p = [a] p+1 4 p gesetzt werden.) Sei w q ∈ sqrt Fq ([a] q ) eine Wurzel aus [a] q in F q . Dann ist L := {(w p , w q ), (−w p , w q ), (−w p , −w q ), (w p , −w q ) } {{ } } {{ } } {{ } } {{ } =:u ′ =:v ′ =−u ′ =−v ′ die Lösungsmenge von (∗∗). Sei u := f −1 (u ′ ) und v := f −1 (v ′ ). (Zur Berechnung von u ist das System von Konguenzen u = w p mod p u = w q mod q zu lösen. Zur Berechnung von v ist das System von Konguenzen v = −w p mod p v = w q mod q zu lösen.) Die Lösungsmenge von (∗) ist sqrt Z/N ([a] N ) = {u, v, −u, −v}. Manche Lösungen können zusammenfallen, d.h. |sqrt Z/N ([a] N )| ≤ 4. In Z/N (das ist sicher keine Körper) kann das Polynom X 2 = [a] N bis zu vier Nullstellen haben. Wie viele es genau sind richtet sich nach den Jacobisymbolen; es gilt |sqrt Z/N ([a] N )| = ( 1 + ( a p )) ( 1 + ( a q )) . Wenn p ≠ q ungefähr gleich große, große Primzahlen sind, dann wird in aller Regel sqrt Z/N ([a] N ) = ∅ (≈ 75% der Fälle) oder |sqrt Z/N ([a] N )| = 4 (≈ 25% der Fälle) gelten. □ Fazit: Wenn p und q bekannt sind, dann kann die Gleichung X 2 = [a] über Z/pq schnell (in Polynomzeit) behandelt werden. Sei nun [a] ∈ (Z/N) ×2 und sqrt Z/N ([a] N ) = {u, v, −u, −v}. Sei û (bzw. ˆv) der kleinste nicht-negative Repräsentant von u (bzw. v). Aus f(u + v) = (0, 2w q ) folgt p | û + ˆv aber q teilt nicht û + ˆv. Daraus folgt p ∈ ggT (û + ˆv. Man sieht: Wer N und die vier Wurzeln aus einem Element a ∈ (Z/N) ×2 kennt, der kann die Primfaktorzerlegung von N leicht berechnen. Er hat nur mit dem euklidischen Algorithmus einen ggT zu berechnen. Fazit: Sei p und q nicht bekannt. Das Berechnen der vier Wurzeln eines Quadrates a ∈ (Z/N) ×2 ist genauso schwer, wie das Berechnen der Primfaktorzerlegung von N. Wenn p und q 1000-Bit-Zahlen sind, so ist beides praktisch unmöglich. Beispiele: Wir rechnen in R := Z/77. Die Primfaktorzerlegung von 77 ist 77 = 7 · 11. a) Löse X 2 = [24] 77 (∗). Es gilt ( ) ( 24 3 = 7 7) ( ( 7 1 = − = − = −1. 3) 3) 93
Daraus 2 folgt, daß (∗) keine Lösung hat, d.h. sqrt R ([24] 77 ) = ∅. b) Löse X 2 = [15] 77 . Es gilt ( ) ( 15 7 = 1 ) ( 7 = +1 und 15 ( 11) = 4 11) = +1. Also wird es (genau 4) Lösungen geben. Finde zuerst eine Lösung X 2 = [15] 7 (= [1] 7 ) über F 7 . Offensichtlich ist w 7 = [1] 7 ∈ sqrt([1] 7 ) eine solche Lösung. Nun wird eine Lösung von X 2 = [15] 11 (= [4] 11 ) gebraucht. Offensichtlich hat w 11 = [2] 11 diese Eigenschaft. Eine Lösung von x = 1 mod 7 und x = 2 mod 11 ist x = 57. Eine Lösung von y = −1 mod 7 und y = 2 mod 11 ist y = 13. Somit ist sqrt R ([15] 77 ) = {[57] 77 , [−57] 77 , [13] 77 , [−13] 77 } = {[13] 77 , [20] 77 , [57] 77 , [64] 77 } die Lösungsmenge von X 2 = [15] 77 über Z/77, d.h. die Menge der vier Wurzeln aus [15] 77 . □ Seien p ≠ q 1000-Bit-Primzahlen und N = pq. Die Funktion s : Z/N → Z/N, x ↦→ x 2 ist ein wichtiges Beispiel für eine Trapdoor-Oneway-Funktion, d.h. a) s(x) ist aus x schnell berechenbar. b) Wer p und q kennt, der kann zu gegebenem y alle Wurzeln berechnen, d.h. s −1 (y) bestimmen. c) Wer p und q nicht kennt, für den ist “die Falltüre geschlossen”. Ohne p und q zu kennen ist es für (die meisten) y praktisch unmöglich alle Wurzeln zu berechnen, d.h. s −1 (y) zu bestimmen (oder p und q zu finden). Alice möchte sich mit dem Rabin-Verfahren verschlüsselte Nachrichten schicken lassen können. Wie bei RSA wählt sie zwei große Primzahlen p ≠ q. Sie berechnet N = pq. (Derzeit gilt es als sicher, mit 1000-Bitzahlen p und q zu arbeiten. Um einem Angriff mit der p − 1-Methode vorzubeugen ist es sinnvoll p und q so zu wählen, daß (p−1) und (q −1) je einen großen (vielleicht 300 Bit) Primfaktor haben. p und q sollten nicht allzu nah beisammen liegen. Vgl. die Bemerkungen zu RSA.) Alice macht nun N öffentlich. Sie hält p und q geheim. Verschlüsselung: Der Nachrichtenraum ist Z/N. Bob verschlüsselt seine Nachricht m ∈ Z/N zu c = m 2 und überträgt c an Alice. 2 Es gilt ( ) ( 24 11 = −1 und übrigends 24 ) 77 = +1, aber diese Informationen werden hier nicht gebraucht. 94
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14:
1.4 Permutationen und monoalphabeti
Seite 15 und 16:
War II” genannt, weil er bei der
Seite 17 und 18:
hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20:
Schlüsselbucheinträge für die En
Seite 21 und 22:
Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24:
1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26:
Aus dem Übergangsgraphen lassen si
Seite 27 und 28:
Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30:
von a und b genannt, wenn g ein gr
Seite 31 und 32:
Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34:
Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36:
p die einzigen nicht-negativen Teil
Seite 37 und 38:
Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40:
Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42:
1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63 und 64: für alle x, y ∈ G. Man beachte:
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93: Wir erinnern an die Hauptergebnisse
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?