Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

Folgerung 4.1.5 a) Wenn k ein endlicher Körper ist, dann ist k × zyklisch. Insbesondere ist F × p für jede Primzahl p zyklisch. b) Sei N ≥ 2. Wenn (Z/N) × zyklisch ist 1 , dann gibt es in G := (Z/N) × genau ϕ(|G|) = ϕ(ϕ(N)) Erzeuger von G. Diese Erzeuger werden auch Primitivwurzeln modulo N genannt. Mithin liegen in F × p genau ϕ(p − 1) Primitivwurzeln modulo p. Beispiel: Wir wollen die Primitivwurzeln von F 13 (d.h. die Erzeuger von G := F × 13 ) bestimmen. Wir setzen [a] := [a] 13. Es gilt |G| = |F 13 | = ϕ(13) = 12. Nach obiger Folgerung 4.1.5 muß es ϕ(12) = ϕ(4)ϕ(3) = 4 solche Primitivwurzeln geben. Die Primteiler von 12 sind 2 und 3. Nach 4.1.3 ist [a] ∈ F 13 Primitivwurzel genau dann, wenn [a] 12/3 ≠ [1] und [a] 12/2 ≠ [1] gilt. Wir testen auf gut Glück, ob [2] Primitivwurzel ist. [2] 4 = [3] ≠ [1] und [2] 6 = [3][4] = [12] ≠ [1]. Also ist [2] Primitivwurzel. Die anderen Primitivwurzeln sind von der Form [2] u , wobei u ∈ (Z/12Z) × = {1 + 12Z, 5 + 12Z, 7 + 12Z, 11 + 12Z}. D.h. die Gesamtheit aller Primitivwurzeln ist hier [2], [2] 5 = [6], [2] 7 = [6][4] = [11], [2] 11 = [−3][2] = [7]. Wir berechnen die Potenzen der Primitivwurzel [2] und der Nicht-Primitivwurzel [3]: k 0 1 2 3 4 5 6 7 8 9 10 11 (12) [2] k [1] [2] [4] [8] [3] [6] [12] [11] [9] [5] [10] [7] ([1]) [3] k [1] [3] [9] [1] [3] [9] [1] [3] [9] [1] [3] [9] ([1]) Hier kann man das unterschiedliche Verhalten gut sehen. Jedes Element von F × 13 kann als Potenz der Primitivwurzel [2] geschrieben werden, d.h. 〈[2]〉 = F × 13 . Die Potenzen der Nicht-Primitivwurzel [3] liegen alle in der Menge 〈[3]〉 = {[1], [3], [9]}. Sei G eine endliche, abelsche Gruppe und g ∈ G. Die Abbildung ist dann bijektiv und es gilt exp G,g : (Z/ord(g)Z, +) → (〈g〉, ·), u ↦→ g u exp G,g (u + v) = g u+v = g u g v = exp G,g (u) exp G,g (v) für alle u, v ∈ Z/ord(g)Z, d.h. exp G,g ist ein Isomorphismus von Gruppen. Die Umkehrabbildung wird mit log G,g bezeichnet und diskreter Logarithmus zur Basis g (bez. der Gruppe G) genannt. Für x ∈ 〈g〉 sei ferner Log G,g (x) ∈ Z der kleinste nicht-negative Repräsentant von log G,g (x). Dann ist Log G,g (x) die kleinste nicht-negative Zahl k ∈ Z mit g k = x. ist wieder ein Isomorphismus; es gilt log G,g : (〈g〉, ·) → (Z/ord(g)Z, +) log G,g (xy) = log G,g (x) + log G,g (y) 1 Das braucht im allgemeinen nicht der Fall sein, wie das Bsp. N = 8 zeigt! . 61
für alle x, y ∈ G. Man beachte: Genau dann gilt log G,g (x) = u, wenn g u = x gilt (x ∈ G, u ∈ Z/|G|Z). Man beachte: Wenn x ∈ G keine Potenz von g ist, dann ist log G,g (x) nicht definiert! Besonders wichtig ist der Spezialfall in dem G zyklisch und g ein Erzeuger von G ist. Dann gilt |G| = ord(g) und exp G,g : (Z/ord(g)Z, +) → (G, ·), log G,g : (G, ·) → (Z/|G|Z, +) sind zueinander inverse Isomorphismen. Wenn klar ist um welche Gruppe es geht, so schreiben wir oft exp g statt exp G,g , log g statt log G,g bzw. Log g statt Log G,g . Folgerung 4.1.6 Jede endliche zyklische Gruppe G ist isomorph zu (Z/|G|Z, +). Beispiel: Wir wollen diskrete Logarithmen zur Basis [6] in F 13 berechnen. Wir betrachten die entsprechende Zeile der Potenzierungstafel. k 0 1 2 3 4 5 6 7 8 9 10 11 [6] k [1] [6] [10] [8] [9] [2] [12] [7] [3] [5] [4] [11] . Man sieht, daß ord([6]) = 12 = |F × 13 | und 〈[6]〉 = F× 13 gilt, d.h. daß [6] ein Erzeuger von F × 13 ist. Also ist log [6](x) bzw. Log [6] (x) für jedes x ∈ F × 13 definiert. Was ist Log [6] ([3])? Aus der obigen Tabelle entnimmt man, daß [6] 8 = [3] (und [6] k ≠ [3] für 0 ≤ k < 8) gilt. Also gilt Log [6] ([3]) = 8. Ferner muß log [6] ([3]) die Restklasse von Log [6] ([3]) = 8 modulo ord([6]) = 12 sein, d.h. log [6] ([3]) = [8] 12 . Aus obiger Tabelle entnimmt man in völlig analoger Weise Log [6] (x) bzw. log [6] (x) für jedes x ∈ F × 13 : x [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] Log(x) 0 5 8 10 9 1 7 3 4 2 11 6 log(x) 0 5 8 10 9 1 7 3 4 2 11 6 . Wir haben hier a statt [a] 12 und [a] statt [a] 13 geschrieben. Genauso können wir nach diskreten Logarithmen zur Basis [8] fragen. Wir betrachten die entsprechende Zeile der Potenzierungstafel: k 0 1 2 3 4 5 6 7 8 9 10 11 12 [8] k [1] [8] [12] [5] [1] [8] [12] [5] [1] [8] [12] [5] [1] . Es folgt ord([8]) = 4 und 〈[8]〉 = {[1], [8], [5], [12]}. Insbesondere ist [8] kein Erzeuger von F × 13 . Nur für x ∈ 〈[8]〉 ist Log [8](x) definiert! Was ist nun Log [ 8]([5])? Es ist die kleinste nicht-negative ganze Zahl k mit [8] k = [5], also Log [8] ([5]) = 3. Ferner ist log [8] ([5]) die Restklasse von Log [8] ([5]) modulo ord([8]) = 4, d.h. log [8] ([5]) = [3] 4 . So kann man Log [8] (x) bzw. log [8] (x) für jedes x ∈ 〈[8]〉 bestimmen: x [1] [5] [8] [12] Log(x) 0 3 1 2 . log(x) [0] 4 [3] 4 [1] 4 [12] 4 62
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12: Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14: 1.4 Permutationen und monoalphabeti
Seite 15 und 16: War II” genannt, weil er bei der
Seite 17 und 18: hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20: Schlüsselbucheinträge für die En
Seite 21 und 22: Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24: 1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61: Beweis: Sei n := ord(x). Offenbar g
Seite 65 und 66: Bemerkung 4.1.8 Sei G eine endliche
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?