Diskrete Mathematik 1 - Lehrstuhl Kryptologie & IT-Sicherheit - Ruhr ...

Ruhr-Universität Bochum
Lehrstuhl für Kryptologie und IT-Sicherheit
Prof. Dr. Alexander May
M. Ritzenhofen, M. Mansour Al Sawadi, A. Meurer
Lösungsblatt zur Vorlesung
Diskrete Mathematik 1
WS 2008/09
Blatt 9 / 16. Dezember 2008 / Abgabe bis 06. Januar 2009, 08.00 Uhr, in
die Kästen auf NA 02
AUFGABE 1 (4 Punkte):
Finden Sie die kleinste positive ganze Zahl x, die folgende simultane Kongruenz löst:
3 · x = 4 (mod 7)
5 · x = 6 (mod 8)
x = 5 (mod 9)
Geben Sie dazu Rechenweg und Zwischenergebnisse an.
Lösungsvorschlag:
Zunächst multiplizieren wir die erste Gleichung mit 3 −1 mod 7 und die zweite Gleichung
mit 5 −1 mod 8, um normierte Gleichungen zu erhalten. Es sind 3 −1 mod 7 = 5, da 3 · 5 =
15 = 1 (mod 7), und 5 −1 mod 8 = 5, da 5 · 5 = 25 = 1 mod 8. Also ist das zu lösende
Gleichungssystem äquivalent zu
x = 6 (mod 7)
x = 6 (mod 8)
x = 5 (mod 9)
Man setze M 1 := 8 · 9 = 72, M 2 = 7 · 9 = 63 und M 3 = 7 · 8 = 56. Es sind M1 −1 mod 7 =
2 −1 mod 7 = 4, da 2 · 4 = 8 = 1 (mod 7), M2 −1 mod 8 = 7 −1 mod 8 = 7, da 7 · 7 = 49 = 1
(mod 8) und M3 −1 mod 9 = 2 −1 mod 9 = 5, da 2 · 5 = 10 = 1 (mod 9).
Damit gilt nach dem Chinesischen Restsatz (vergleichen Sie Aufgabe 2)
x = 6 · (M −1
1 mod 7) · M 1 + 6 · (M −1
2 mod 8) · M 2 + 5 · (M −1
3 mod 9) · M 3 (mod 7 · 8 · 9)
= 6 · 4 · 72 + 6 · 7 · 63 + 5 · 5 · 56 (mod 504)

= 1728 + 2646 + 1400 (mod 504)
= 230 (mod 504).
Die kleinste positive ganze Zahl, die obenstehende Kongruenz löst, ist also 230.
AUFGABE 2 (4 Punkte):
Beweisen Sie den allgemeinen Chinesischen Restsatz ohne Induktion, das heißt, zeigen Sie
folgende Aussage:
Seien m 1 , m 2 , . . . , m n teilerfremde natürliche Zahlen. Es existiert genau eine Lösung
x mod m 1 m 2 . . . m n des Gleichungssystems
∣
x = a 1 (mod m 1 )
x = a 2 (mod m 2 )
.
x = a n (mod m n )
Hinweis: Stellen Sie dazu x mod m 1 · . . . · m n explizit dar und zeigen Sie die Eindeutigkeit
von x.
Lösungsvorschlag:
Wir definieren M := ∏ n
i=1 m i und M i := M/m i , i = 1, . . . , n. Weiterhin sei u i , i = 1, . . . , n,
das Inverse von M i modulo m i , das man mit dem erweiterten Euklidischen Algorithmus
berechnen kann (nach Voraussetzung gilt ggT(M i , m i ) = 1). Schließlich setzen wir
x :=
.
∣
n∑
a i u i M i mod M.
i=1
Wegen u i M i = 1 mod m i und M i = 0 mod m j für j ≠ i ist x eine Lösung des Gleichungssystems.
Eindeutigkeit: Angenommen, x ′ sei eine weitere Lösung. Dann gilt m i | (x−x ′ ) für 1 ≤ i ≤ n.
Weil die m i nach Voraussetzung teilerfremd sind, folgt hieraus M | (x − x ′ ), insbesondere
sind also x und x ′ gleich modulo M, was zu zeigen war.
AUFGABE 3 (4 Punkte):
Beweisen Sie folgende Aussage:
p ∈ N prim ⇔ (p − 1)! = −1
(mod p).
Lösungsvorschlag:
Die angegebene Äquivalenz ist Aussage des Satzes von Wilson.
Zum Beweis betrachten wir beide Richtungen der Äquivalenz separat.
Zunächst zeigen wir ”⇐” durch Kontraposition, d. h. wir beweisen die Aussage ”Sei p ∈ N
nicht prim ⇒ (p − 1)! ≠ −1 (mod p)”:

Sei also p ∈ N nicht prim. Dann existiert eine Zahl q ∈ N, 1 < q < p mit q|p. Da 1 < q < p ist,
gilt ebenfalls q|(p − 1)!, aber q ̸ |((p − 1)! + 1). Dementsprechend folgt auch p ̸ |((p − 1)! + 1).
Dies ist aber äquivalent zu
(p − 1)! ≠ −1 (mod p),
Also gilt die Behauptung.
Die Richtung ”⇐” der Äquivalenz zeigen wir direkt.
Sei also p ∈ N prim. Dann ist (p − 1)! genau das Produkt aller Elemente aus Z ∗ p, es ist also
(p − 1)! = ∏
a.
Ist ein Element aus Z ∗ p von seinem Inversen verschieden, so kommen beide Elemente genau
einmal in dem Produkt vor, es genügt daher das Produkt derjenigen Elemente zu betrachten,
die zu sich selbst invers sind. Sei also a ∈ Z ∗ p mit a = a −1 (mod p). Dies ist äquivalent zu
a 2 = 1 (mod p) ⇔ a 2 − 1 = 0 (mod p). Das ist äquivalent zu p|(a 2 − 1) und, da p Primzahl
ist, p|(a − 1) oder p|(a + 1). In modularer Darstellung entspricht dies
a∈Z ∗ p
a = 1 (mod p) oder a = −1 (mod p).
Die selbstinversen Elemente aus Z ∗ p sind also 1 und −1.
Setzt man dies in die Gleichung ein, so erhält man
(p − 1)! = ∏
a
also die Behauptung.
a∈Z ∗ p
∏
=
a
a∈Z ∗ p,a 2 =1 (mod p)
= (−1) · 1 = −1 (mod p),

AUFGABE 4 (8 Punkte):
Gegeben sei folgender Primzahltest:
Algorithm 1 PrimTest
Eingabe: n ∈ N ungerade mit n > 1, n keine Carmichael-Zahl t ∈ N
for i = 1 to t do
Wähle α i zufällig aus Z n \ {0}.
Setze β i := α n−1
2
i (mod n)
end for
if (β 1 , . . . , β t ) ist von der Form (±1, . . . , ±1), aber (β 1 , . . . , β t ) ≠ (1, . . . , 1) then
return n prim
else
return n zusammengesetzt
end if
(a)
Bestimmen Sie die Laufzeit des Testes.
(b) Zeigen Sie: Ws(Ausgabe ”n prim” | n zusammengesetzt) ≤ 2 −t .
(c) Zeigen Sie: Ws(Ausgabe ”n zusammengesetzt” | n prim) ≤ 2 −t .
Lösungsvorschlag:
(a)
Die erste Schleife wird über t Elemente iteriert, Hauptfaktor für die Laufzeit innerhalb
der Schleife ist die Exponentiation modulo n. Diese benötigt nach Vorlesung Aufwand
O(log 3 (n)). In der If-Abfrage müssen t Elemente mit 1 und −1 verglichen werden. Setzt
man für einen Vergleich zweier Elemente der Länge log(n) Aufwand O(log(n)) an, so
beträgt der Aufwand für diese Abfragen O(t log(n)).
Der Gesamtaufwand beträgt also O(log 3 (n)).
(b) Sei n zusammengesetzt. Für α ∈ (Z n \ {0}) \ Z ∗ n gilt α n−1
2 ≠ ±1 (mod n). Denn,
angenommen α n−1
2 = 1 (mod n), dann folgt α · α n−1
2 −1 = 1 (mod n), also ist α −1 =
α n−1
2 −1 und damit α ∈ Z ∗ n, was einen Widerspruch bildet.
Analog folgt aus der Annahme α n−1
2 = −1 (mod n), dass (α n−1
2 ) 2 = 1 (mod n) und
damit α −1 = α n−2 , also ebenso der Widerspruch α ∈ Z ∗ n.
Desweiteren ist α ∈ Z ∗ n wegen Präsenzübung 9, Aufgabe 3 (b) ein Zeuge für die Zusammengesetztheit
von n, falls α n−1
2 ≠ ±1 (mod n).
Aus α n−1
2 = ±1 (mod n) folgt α n−1 = 1 (mod n). Damit ist die Menge der α ∈ Z ∗ n mit
α n−1
2 = ±1 (mod n) eine Teilmenge der α ∈ Z ∗ n mit α n−1 = 1 (mod n). Wir können
ihre Kardinalität analog zum Beweis zur Korrektheit des Fermattestes abschätzen und
erhalten für t = 1 nach Vorlesung
Ws(Ausgabe ”n zusammengesetzt” | n zusammengesetzt) ≥ 1 2 .

Daraus folgt für beliebige t:
Ws(Ausgabe ”n prim” | n zusammengesetzt)
= (1 − Ws(Ausgabe ”n zusammengesetzt” | n zusammengesetzt)) t
(
≤ 1 − 1 ) t
= 2 −t
2
(c)
Sei n prim. Also ist Z n \ {0} = Z ∗ n. Aus Präsenzübung 9, Aufgabe 3 (b) ist bekannt,
dass α n−1
2 = ±1 (mod n) für alle α ∈ Z ∗ n. Für Primzahlen n wird also nur dann ”n
zusammengesetzt” ausgegeben, falls (β 1 , . . . , β t ) = (1, . . . , 1) gilt. Wir betrachten daher
die Wahrscheinlichkeit, dass α n−1
2 = 1.
Dazu setzen wir P = {α ∈ Z ∗ n | α n−1
2 = 1 (mod n)} ⊆ Z ∗ n. Wir zeigen, dass P eine
echte Untergruppe von Z ∗ n ist.
1. Abgeschlossenheit: Seien α 1 , α 2 ∈ P .
Dann gilt α n−1
2
1 = 1 (mod n) und α n−1
2
2 = 1 (mod n). Daraus folgt (α 1 α 2 ) n−1
α n−1
2
1 α n−1
2
2 =
2 = 1 (mod n) = 1 (mod n), da die Multiplikation in Z ∗ n kommutativ ist.
Also gilt α 1 α 2 ∈ P .
2. Neutrales Element: 1 ∈ P , da 1 n−1
2 = 1 (mod n).
3. Inverses Element: Zu α ∈ P ist α n−3
2 das inverse Element, da α · α n−3
2 = α n−1
(
(
(mod n) und
α n−3
2
) n−1
2
=
α n−1
2
) n−3
2
= 1 (mod n) ist.
4. Assoziativität überträgt sich aus der Gruppe selbst.
2 = 1
5. Echte Untergruppe: Es ist Z ∗ n zyklisch nach Vorlesung, also Z ∗ n = {c, c 2 , . . . , c n−1 , 1}
für ein geeignetes c ∈ Z ∗ n. Damit ist aber c n−1
2 ≠ 1, da sonst |Zn| ∗ ̸= n − 1. Damit
gilt c /∈ P , also ind Z ∗ n
(P ) ≥ 2 und damit |P | ≤ 1 2 |Z∗ n|.
Damit folgt
Ws(Ausgabe ”n zusammengesetzt” | n prim)
t∏
= Ws(α n−1
2
i = 1 | n prim)
i=1
( ) t 1
≤ = 2 −t .
2