Endliche Körper

Oksana Schestakov Proseminar SS 2003 

Prof.Dr. C.Bessenrodt 

Endliche Körper 

Bezeichnen wir F q als Körper, der eine endliche Anzahl q von Elementen hat. Die 

Charakteristik eines endlichen Körpers ist stets eine Primzahl p . 

Dann enthält F q den Primkörper F p = / 

p, und somit ist er ein Vektorraum über F p – 

endlich dimensional. Bezeichne f die Dimension von F q als ein F p -Vektorraum. F q hat 

f 

p Elemente. Dies bedeutet, q ist eine Potenz der Charakteristik p . Umgekehrt gibt es 

f 

für jede Primzahlpotenz q = p einen Körper mit q Elementen (ohne Beweis). 

Es gibt q − 1 von Null verschiedene Elemente und nach Definition des Körpers bilden sie 

eine abelsche Gruppe. Für einen endlichen Körper F q mit q Elementen gilt: 

* 

q 

F = F \{0} ist zyklisch (siehe Satz 2). 

q 

Definition. Sei G eine eine endliche Gruppe. Die Ordnung vom Element g 

d 

kleinste natürliche Zahl d , für welche g = 1 gilt. 

1 

∈ G ist die 

So ist zum Beispiel die Ordnung von a ∈ Z modulo m (mit ggT ( am)=1) , die kleinste 

d 

natürliche Zahl d mit der Eigenschaft a ≡ 1(mod m) 

. 

Die Ordnung eines beliebigen Elementes einer endlichen Gruppe G teilt immer die 

Anzahl G der Elementen dieser Gruppe. Dies ist eine unmittelbare Konsequenz des 

Satzes von Lagrange. Damit ist auch der folgende Satz 1 bewiesen. 

Satz 1: Die Ordnung jedes 

* 

a ∈ F q teilt q − 1. 

Definition: Ein Erzeuger g eines endlichen Körpers F q ist ein Element der Ordnung 

q − 1. Die Potenzen von g durchlaufen alle Elemente von F q 

* . 

Satz 2: Jeder endliche Körper hat einen Erzeuger. Wenn g Erzeuger von F q 

* ist, so ist 

j 

g genau dann Erzeuger, wenn ggT ( jq− , 1) 

= 1. Es gibt insgesamt ϕ( q − 1) 

verschiedene 

Erzeuger von F q 

* . 

* d 

Beweis: Angenommen a ∈ F q hat die Ordnung d , also a = 1 und keine kleinere Potenz 

von a ergibt 1. Da a d die kleinste Potenz mit dem Ergebnis 1 ist, folgt, dass die 

2 d 

Elemente a, a ,..., a =1 verschieden sind. Nach Satz 1 gilt: d teilt q − 1. Wir behaupten, 

dass alle Elemente der Ordnung d in F q 

* genau die ϕ ( d ) -Werte a j sind, für die 

ggT ( jd , ) = 1 . 

d 

Zuerst, da die d verschiedene Potenzen von a alle die Gleichung x = 1 erfüllen, sind 

2 d 

a, a ,..., a =1 alle Wurzeln dieser Gleichung. Jedes Element der Ordnung d muss deshalb 

unter den Potenzen von a sein. Aber nicht alle Potenzen von a haben die Ordnung d : 

wenn ggT ( jd , ) = d′ > 1 gilt, dann hat a j niedrigere Ordnung, denn d/ 

d′ und j/ 

d′ sind 

j 

ganze Zahlen und wir können schreiben: ( ) ( d / d′ 

) d 

( ) ( j / d′ 

a = a 

) = 1. 

Im Gegensatz dazu können wir zeigen, dass a j die Ordnung d hat, wenn ggT ( jd , ) = 1 

ist. Sei j prim zu d , und seien xy∈ , Z mit xj + yd = 1 (Existenz von x und y nach dem

erweiterten euklidischen Algorithmus garantiert). Wenn a j eine niedrigere Ordnung d ′′ 

hätte, dann würde a d′′ 

, sowohl zur j -ten als auch zur d -ten Potenz erhoben, 1 ergeben 

und folglich hätte man: a d′′ 

d '' 1 

d'' 

xj yd 

= ( a ) = (( a ) 

+ j d'' x d yd'' 

) = ( a ) ( a ) = 1. Dies widerspricht, 

dass a von der Ordnung d ist. Deshalb hat a j die Ordnung d nur dann, wenn 

ggT ( jd , ) = 1. 

Dies bedeutet: wenn es ein Element a der Ordnung d gibt, dann gibt es genau ϕ ( d ) 

Elemente der Ordnung d . Also gibt es für jedes d | ( q − 1) 

nur zwei Möglichkeiten: 

* 

entweder kein Element von F q hat die Ordnung d oder genau ϕ ( d ) Elemente haben die 

Ordnung d . 

* 

Nun hat jedes Element a ∈ F q eine Ordnung, deshalb können wir schreiben: 

* 

q 

⎛ ⎞ 

∑ ∑ ⎜ ∑ 1 

∑ 

∈F 

⎜⎝ ⎟⎠ 

q − 1 = F = 1 = ≤ ϕ( d) = q − 1. 

a 

dq | −1 dq | −1 

* * 

q a∈F q 

ord( a) 

= d 

 

0 

=⎨ 

⎧⎪ 

⎪⎩ 

ϕ( d) 

Deshalb, die einzige Möglichkeit, dass diese Ungleichung erfüllt ist, besteht darin, wenn 

es immer ϕ ( d ) (und niemals 0) Elemente der Ordnung d gibt. Insbesondere gibt es 

ϕ( q − 1) 

>0 Elemente der Ordnung q − 1 und wie wir im letzten Paragraphen gesehen 

haben, wenn g irgendein Element der Ordnung q − 1 ist, dann sind die anderen 

Elemente der Ordnung q − 1 genau die Potenzen g j , für die ggT ( jq− , 1) 

= 1 gilt. ■ 

Korollar: Für jede Primzahl p existiert eine ganze Zahl g , so dass die Potenzen von g 

alle von Null verschiedenen Restklassen modulo p erschöpfen. 

Beispiel: Wir erhalten alle Reste von 1 bis 18 modulo 19, indem wir die Potenzen von 2 

verwenden. Im Folgenden die ersten Potenzen von 2 modulo 19: 2, 4, 8, 16, 13, 7, 14, 9, 

18, 17, 15, 11, 3, 6, 12, 5, 10, 1. 

Diskrete Logarithmen 

* 

Gilt für ga∈ , F p und x ∈ 0 die Beziehung g 

x 

= a , so heißt x der diskrete Logarithmus von 

a zur Basis g (Schreibweise x = log g a ). x ist nur modulo ord() 

g bestimmt. Wollen wir eine 

Normierung einführen, so können wir 0 ≤ x ≤ord( g) − 1 wählen. 

2

6 

Beispiel: Wir betrachten p = 10 + 3 . Durch probieren findet man: 

x 

° 2 ≡ 3modp 

wird gelöst von x =254277, 

x 

° 3 ≡ 2modp 

hat keine Lösung. 

Wir wissen, dass man g x mit der square-and-multiply-Methode schnell berechnen kann, die 

Schrittzahl wächst wie log 2 x ≤ log 2 p. Im Gegensatz hierzu ist das inverse Problem, die 

Berechnung des diskreten Logarithmus, bisher nicht effizient lösbar. Dies ist die Grundlage 

einiger kryptographischer Verfahren (siehe Massey-Omura). 

Eine naive Methode zur Berechnung diskreter Logarithmen wäre: 

Ist p Primzahl und sind g und a gegeben mit 2 ≤ ga , ≤ p− 1, so probiert man für 

x 

x = 0,1,2..., p − 1 aus, ob g ≡ amod 

p gilt. Genauer : 

° Man setzt g 0 = 1 und berechnet rekursiv g = g 1 ⋅ g mod p für n = 1,2... (Dann ist 

n 

g ≡ gn 

mod p). Für jedes n testet man: 

° Gilt g n = a , so ist n der gesuchte diskrete Logarithmus log g a . 

° Gilt g n = 1 , so gibt es keine Lösung und man hört auf. 

n 

n− 

Das folgende Maple-Programm implementiert den gerade eben skizzierten Algorithmus 

(ausprobieren!): 

Naive := proc(g,a,p) 

local f, i, t, r; 

i := 1; t:= g mod p; r := a mod p; f :=evalb(t=1); 

while evalb(tr) and not(f) do 

t := t ∗ g mod p; i := i+1; f :=evalb(t = 1); 

od; 

if f then print("Keine Lösung") 

else print(i); 

fi; 

end; 

Um zu überprüfen, ob 2 x 7 

≡ 3mod p für p = 10 + 19 eine Lösung besitzt, geben wir die folgende 

Befehlszeile ein (die gleichzeitig die für die Rechnung benötigte Zeit ausgibt): 

7 

ct : = time(): Naive(2,3,10 +19); time()-ct; 

Damit kann jeder Zeitmessungen auf dem eigenen Rechner durchführen. So haben wir folgende 

Zeiten bekommen: 

3

x 

2 ≡ 3modp 

hat keine Lösung (12 sec.), 

x 

6 ≡ 2modp 

für x = 3619301 (31 sec.), 

x 

6 ≡ 3modp 

für x = 6380718 (54 sec.), 

x 

6 ≡ 5modp 

für x = 6033274 (51 sec.), 

x 

6 ≡ 7modp 

für x = 2226069 (19 sec.). 

7 

Es gilt p − 1 = 10 

2 

+ 18 = 2 ⋅7 ⋅67 ⋅ 1523 und finden damit 

p − 1 

ord(2) 

= , 

7 

p − 1 

ord(3) 

= , 

2 

was ord(6) = p − 1 impliziert. 6 ist also Primitivwurzel modulo p . 

Das Massey-Omura-Kryptosystem 

zur Nachrichtenübertragung 

1. Man einigt sich auf eine Primzahl p und darauf, wie man Nachrichten mit 

Elementen aus Z /( p) 

verschlüsselt. 

2. Jeder Teilnehmer A wählt eine (zufällige) Zahl e A zwischen 0 und p − 1 mit 

ggT( eA, p − 1 )=1 und berechnet mit dem erweiterten euklidischen Algorithmus d A mit 

de A A 

dA 

A 

≡ 1modp− 1 . (Dann ist x → x invers zu x → x e in Z /( p) 

.) A hält die Zahlene 

A 

und d A geheim. (A hat also keinen öffentlichen Schlüssel .) 

3. Wie kann A eine Nachricht (entspricht einem a ∈ Z /( p) 

) an B verschlüsselt senden? 

e 

A berechnet b ≡ a A 

mod p und sendet b an B, womit B natürlich nichts anfangen 

kann. 

e 

4. B berechnet nun c ≡ b B 

mod p und schickt c zurück an A. 

d 

5. Nun berechnet A die Zahl d ≡ c A 

mod p und schickt d zurück an B. 

d 

6. B berechnet nun d B 

mod p, was wegen 

d dd edd eedd ed ed 

d B ≡ c A B ≡ b B A B ≡ a A B A B ≡ ( a A A ) B B ≡ amodp 

genau die Nachricht a ist. 

Beispiel: A und B haben die Primzahl p = 10007 vereinbart. Nun schickt A an B die Zahl 2179, 

B schickt 7203 zurück, A wiederum 8474. Welche Zahl teilt A mit dem Massey-Omura-Verfahren 

B damit mit? Wir suchen x , das folgende Gleichungen erfüllt (diskreter Logarithmus!): 

eA 

x ≡ 2179 mod p 

eB 

2179 ≡ 7203 mod p 

d 

A 

7203 ≡ 8474 mod p 

Wir lösen zuerst die 3. Gleichung durch Probieren und erhalten d = 5889 . Nach Konstruktion 

A 

muss nun gelten 

4

5889 

≡ de A A ≡ ( eA ) dA 

≡ 2179 ≡ 1971mod , 

x x x p 

also gilt x = 1971 . 

A hat B sein Geburtsjahr mitgeteilt. 

Hier war e = 3021, d = 5889, e = 4605, d = 8309 . 

A A B B 

Bemerkungen: 

1. Ein großer Vorteil bei diesem Kryptosystem ist, dass man außer p und dem 

Verschlüsselungsverfahren nichts vereinbaren muss. Man muss auch keine öffentlichen 

Schlüssel verwalten. 

2. Ein großer Nachteil ist, das man 3 Übertragungen braucht, um eine Nachricht von A 

nach B zu übermitteln. 

3. Stellt A nicht sicher , dass die Nachricht wirklich an B geht, könnte dies ein 

eA 

e 

Außenstehender C ausnutzen: Er fängt a auf, schickt A e 

a C zurück, fängt dann wieder 

eC eAeCdA 

eCdC 

a = a auf und berechnet sich daraus a = a . Man muss also sicherstellen, dass 

die Nachricht den richtigen Empfänger erreicht. 

4. Mit den entsprechenden Veränderungen kann man einen beliebigen endlichen Körper F q 

(anstatt /( p) 

) benutzen. Die Sicherheit des Verfahrens beruht auf die Schwierigkeit, 

* 

diskrete Logarithmen in Fq 

zu berechnen. 

Literaturverzeichnis: 

Neal Koblitz, A Course in Number Theory and Cryptography, Graduate Texts in Mathematics, 

114; Springer 1994 

Wolfgang M. Ruppert, Vorlesungsskript über Zahlentheorie und Kryptographie, Kapitel 10, 

http://www.mi.uni-erlangen.de/%7Eruppert/vorlws9899.html 

5

Endliche Körper

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?