Algorithmische Zahlentheorie und Kryptographie - Mitschriften von ...

Weitere Magazine

Empfehlungen

Info

10 i f ( b == 1) 11 return "composite" ; 12 } 13 return "probably prime" ; Lemma: 1. Der Miller-Rabin-Test macht nur Fehler für zerlegbare Zahlen. 2. Für zerlegbare Nicht-Carmichael-Zahlen ist die Fehlerwahrscheinlichkeit kleinergleich 1 2 . 3. Der Miller-Rabin-Test kommt mit O(log n) arithmetischen und O(log 3 n) bzw. Õ(log 2 n) Binäroperationen aus. Ansatz zum Beweis der Korrektheit: Suche eine echte Untergruppe B n mit L A n ⊆ B n < Z ∗ n Sei n eine Carmichael-Zahl, n − 1 = u · 2 k wie oben. Der MR-Index von n ist { } ν(n) = max i < k | ∃ a: a ∈ L A n ∧ a u2i mod n = n − 1 Bemerkung: ν(n) ist wohldefiniert (da (n − 1) u mod n = n − 1, also ist die Menge nicht leer) und es gilt 0 ≤ ν(n) < k. Definiere nun B n = { ∣ a ∈ Z n a ν(n) mod n ∈ {1, −1} } ⊆ Z ∗ n Lemma: 1. L A n ⊆ B n . 2. B n ist Untergruppe von Z ∗ n. 3. B n ist echte Untergruppe. Beweis: 1. Falls a ∈ L A n , dann gibt es entweder i mit a u2i mod n = n − 1 oder a u mod n = 1, damit ist a ∈ B n . 2. Mittels Untergruppenkriterium: 1 ∈ B n und B n B n ⊆ B n . 37
3. Da n eine Carmichael-Zahl ist, gibt es m, m ′ mit m⊤m ′ und n = mm ′ . Wähle nun ein Element a 0 , das in der Definition von ν(n) das Maximum liefert. Wähle a nach chinesischem Restsatz mit a mod m = a 0 (⋆) und a mod m ′ = 1 (⋆⋆). Zu zeigen: a ∈ Z ∗ n, aber a /∈ B n . • Aus a mod m = a 0 und a u2ν(n) 0 mod n = −1 folgt a u2ν(n) mod m = −1. Also ist a invertierbar modulo m und m ′ , also ist a ∈ Z ∗ n. • Falls a ∈ B n wäre, so wäre a u2ν(n) mod n ∈ {1, −1}. Die beiden Fälle 1 und −1 führen aber zum Widerspruch: a u2ν(n) mod n = 1 ⇐⇒ widerspricht (⋆) { }} { a u2ν(n) mod m = 1 und a u2ν(n) mod m ′ = 1 Satz: Es gilt sogar: oder a u2ν(n) mod n = −1 ⇐⇒ a u2ν(n) mod m = −1 und } a u2ν(n) mod {{ m ′ = −1 } widerspricht (⋆⋆) 1. Der Miller-Rabin-Test hat eine Fehlerwahrscheinlichkeit kleiner als 1 2 , sogar kleiner als ϕ(n) 4n ≤ 1 4 . 2. PRIMES ∈ co-RP Der Miller-Rabin-Test kann auch effizient zur Erzeugung von großen Primzahlen eingesetzt werden, betrachte folgenden Algorithmus zur Primzahlerzeugung mit k ≥ 3 Anzahl der Stellen, und l > 1 Anzahl der Primzahltests. 1 while ( true ) { 2 a ∈ {2 k−1 , . . . , 2 k } // ungerade , z u f ä l l i g 3 for ( i ∈ {1 , . . . , l }) { 4 i f ( MillerRabinTest ( a ) == "composite" ) 5 continue next a ; 6 } 7 return a ; 8 } 38
Seite 1 und 2: Algorithmische Zahlentheorie und Kr
Seite 3 und 4: 1.8.3 Laufzeitanalyse . . . . . . .
Seite 5 und 6: 1 Primzahltests Ziel ist hier ein A
Seite 7 und 8: 7 p = min ( a b , n+1); // Modulare
Seite 9 und 10: 1. als Übung für den interessiert
Seite 11 und 12: 2. Fall: b > 1 2 a, dann gilt a div
Seite 13 und 14: 3. es gilt das Distributivgesetz, d
Seite 15 und 16: 2. Multiplikativität: Falls m⊤n
Seite 17 und 18: = p k − p k−1 □ 1. m hat eine
Seite 19 und 20: Lemma: Für alle nicht-negativen re
Seite 21 und 22: a) n gerade: b) n ungerade: ∏ p
Seite 23 und 24: 2. Das inverse Element ist für jed
Seite 25 und 26: Lemma: Sei G zyklisch mit n := |G|
Seite 27 und 28: Weiterhin gilt: (g i ) j = 1 ⇐⇒
Seite 29 und 30: • Wir zeigen noch: gh erzeugt die
Seite 31 und 32: Klasse co-RP: L ∈ co-RP genau dan
Seite 33 und 34: „⇐“ Sei G = Z ∗ n. Aus 1. f
Seite 35 und 36: Daraus folgt: (b) Sei n nun zerlegb
Seite 37 und 38: (ii) Es gilt a ∈ W F n , Beweis d
Seite 39: 1.5.4 Einschub: Riemannsche Hypothe
Seite 43 und 44: Die Elemente der Form a = g 2i+1 si
Seite 45 und 46: Satz: Sei n ≥ 3 ungerade. Dann gi
Seite 47 und 48: dann, betrachte dazu in Z p : ∏ i
Seite 49 und 50: a · ∑ i = ∑ ia = ∑ (ia − (
Seite 51 und 52: 1.6.4 Der Solovay-Strassen-Test Lem
Seite 53 und 54: • Für f = (a 0 , a 1 , . . .) un
Seite 55 und 56: 1 i f ( deg ( g ) > deg ( f ) ) 2 r
Seite 57 und 58: Satz: Für jedes normierte Polynom
Seite 59 und 60: - Wir beweisen die Behauptung zunä
Seite 61 und 62: 3. Für o r (n) (Zeile 13) werden n
Seite 63 und 64: Nun gilt: B < n 1 · n 2 · · · n
Seite 65 und 66: 2. folgt aus (γ) 3. mit (δ) gilt
Seite 67 und 68: Aus I(n, x + a) ergibt sich zudem:
Seite 69 und 70: also g b 0 − g b 1 = 0. Also sind
Seite 71 und 72: 2.1.3 Klassifizierung von Faktorisi
Seite 73 und 74: 2.2.3 Lehmann-Methode Das Ziel ist,
Seite 75 und 76: und analog h i+1 − α = h i+1 −
Seite 77 und 78: Damit sind a und b Kandidaten für
Seite 79 und 80: 2.2.5 Pollarsche ρ-Methode Sei n =
Seite 81 und 82: Das quadratische Sieb ist die erste
Seite 83 und 84: 2. Schritt (Sieben): Suche mindeste
Seite 85 und 86: 2.3.4 Schnelle Matrixmethoden (Schr
Seite 87 und 88: Bemerkung: Eine große Zahl, die mi
Seite 89 und 90: Satz: Ist α algebraisch über K, s
Seite 91 und 92:
Ein Zahlring ist nicht Z[α] mit α
Seite 93 und 94:
3. Außerdem benötigen wir Algorit
Seite 95 und 96:
Bemerkung: Falls für genügend Paa
Seite 97 und 98:
3 Elliptische Kurven 3.1 Einleitung
Seite 99 und 100:
Abbildung 1: Idee der projektiven E
Seite 101 und 102:
Definition: Sei wieder C wie oben,
Seite 103 und 104:
3.3 Lentras Faktorisierungsalgorith
Seite 105:
Das Protokoll ist dann korrekt, d.h
Alle anzeigen

Algorithmische Zahlentheorie und Kryptographie - Mitschriften von ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?