Elementare Zahlentheorie und Kryptographie

Weitere Magazine

Empfehlungen

Info

Wenn p eine große Primzahl und g eine Primitivwurzel in F × p ist, dann hat man in dem Square and Multiply Algorithmus ein schnelles 2 Verfahren zur Berechnung von exp F × p ,g(u) für u ∈ Z/(p − 1)Z. Für die Berechnung von log F × p ,g kann man eine Tabelle wie in obigem Beispiel anlegen, und dann auslesen. Das kostet natürlich enorm viel Laufzeit. Das Berechnen des relevanten Teils der Zeile [x] der Potenzierungstabelle braucht ca. 2 B Schritte, wenn ord([x]) eine B-Bit-Zahl ist. Es gibt etwas schnellere Algorithmen für die Berechnung diskreter Logarithmen, z.B. a) den Algorithmus von Silver, Pohig und Hellman, b) die Babystep-Giantstep-Methode von Shanks (siehe [B], Abschnitt 9.3) oder c) die Index-Kalkulus-Methode. All diese Algorithmen sind i.a. nicht polynomial in der Bitlänge von p, zumindest wenn die Basis g des Logarithmus so beschaffen ist, daß ord(g) einen großen Primteiler 3 l hat Nach dem Stand der Technik 4 gilt es als praktisch unmöglich, log F × p ,g(x) zu berechnen, wenn p eine 1000-Bit Primzahl ist und ord(g) einen 200-Bit Primteiler hat. Wir wissen bereits, dass für jede Primzahl p die Gruppe F × p zyklisch ist. Die zyklischen Gruppen haben eine sehr einfache Strukturtheorie. Wir beenden den Abschnitt mit wichtigen Sätzen über zyklische Gruppen. Satz 4.1.7 Sei G eine endliche, zyklische Gruppe und g ein Erzeuger. Für jeden positiven Teiler d von |G| hat G genau eine Untergruppe U mit |U| = d nämlich U = 〈g |G|/d 〉. Beweis: Gelte dm = |G|. Sei N = |G|. Offenbar ist U := 〈g m 〉 eine Untergruppe mit |U| = ord(g m ) = |G|/m = d (beachte 4.1.2, 4.1.3). Sei V eine Untergruppe der Ordnung d. Wir zeigen V ⊂ U. (Dann muß U = V gelten wg. |U| = |V | = d). Sei v ∈ V beliebig. Wegen |V | = d folgt v d = 1. Wie jedes Element von G ist v eine Potenz von g: Sagen wir v = g s mit s ∈ {0, · · · , N − 1}. Dann gilt 1 = g ds und mit ord(g) = N folgt N | ds, d.h. md | sd. Daher ist s ein Vielfaches von m. Also existiert ein k ∈ {0, · · · , d − 1} mit s = mk. Es folgt v = g mk ∈ U. □ 2 polynomial in der Bitlänge von p 3 vielleicht ist die Bitlänge von l halb so groß wie die Bitlänge von p 4 im Jahr 2007 63
Bemerkung 4.1.8 Sei G eine endliche, zyklische Gruppe mit Erzeuger g. Für jeden positiven Teiler d | |G| sei U d die Untergruppe der Ordnung d. Sei d und d ′ positive Teiler von |G|. Genau dann gilt U d ⊂ U d ′, wenn d ein Teiler von d ′ ist. Beweis: Sei m := |G|/d und m ′ := |G|/d ′ . Dann gilt m, m ′ ∈ N. Es gilt U d = 〈g m 〉 und U d ′ = 〈g m′ 〉. Wenn U d ⊂ U d ′ gilt, dann muß g m ∈ U d ′ gelten. Also muß m ′ ein Teiler von m sein. Aber das impliziert d | d ′ . Die umgekehrte Implikation ist trivial. □ Folgerung 4.1.9 Sei G eine endliche zyklische Gruppe und g ein Erzeuger von G. a) G hat genau so viele Untergruppen, wie |G| Teiler hat. b) Sei d ein positiver Teiler von |G| und U die (eindeutig bestimmte) Untergruppe mit |U| = d. Die Elemente der Ordnung d in G sind genau die Erzeuger von U. Also gibt es in G genau ϕ(d) Elemente der Ordnung d. Folgerung 4.1.10 In F × p gibt es für jeden positiven Teiler d von p − 1 genau ϕ(d) Elemente der Ordnung d. Beispiel: Wir rechnen in G := F × 103 . Wir wissen nach 4.1.5, daß G zyklisch ist. Die obigen Struktursätze erlauben es, mit minimalem Rechenaufwand diverse Aussagen über G zu treffen: Für jeden positiven Teiler d von |G| = ϕ(103) = 102 gibt es genau eine Untergruppe U d der Ordnung d. Die Menge der positiven Teiler von 102 = 2 · 3 · 17 ist T = {2 i · 3 j · 17 k : i, j, k ∈ {0, 1}} = {1, 2, 3, 6, 17, 34, 51, 102}. Für jedes Element x ∈ F × 103 wird ord(x) ∈ T ein Teiler von 102 sein nach dem kleinen Satz von Fermat 2.7.2. Es wird nach 4.1.9 genau 1 Element der Ordunung 1 (nämlich [1]), ϕ(2) = 1 Element der Ordnung 2, ϕ(3) = 2 Elemente der Ordung 3 (d.h. Erzeuger von U 3 ), ϕ(6) = 2 Elemente der Ordung 6 (d.h. Erzeuger von U 6 ), ϕ(17) = 16 Elemente der Ordung 17 (d.h. Erzeuger von U 17 ), ϕ(34) = 16 Elemente der Ordung 34 (d.h. Erzeuger von U 34 ), ϕ(51) = 32 Elemente der Ordung 51 (d.h. Erzeuger von U 51 ), ϕ(102) = 32 Elemente der Ordung 102 (d.h. Erzeuger von U 102 = F × 103 ) geben. Wir zeigen, daß g = [6] 103 ein Erzeuger von G = F × 103 ist. Nach 4.1.1 brauchen wir nur zu zeigen, daß g 102/l ≠ [1] für jeden Primteiler l von 102 (d.h. für l ∈ {2, 3, 17}) gilt. Es gilt [6] 51 = [102] ≠ [1], [6] 34 = [46] ≠ [1] und [6] 6 = [100] ≠ [1]. Also ist g = [6] ein Erzeuger von G = F × 103 , d.h jedes Element in F × 103 ist eine Potenz von [6], F× 103 = 〈[6]〉. 64
Seite 1 und 2:
Elementare Zahlentheorie und Krypto
Seite 3 und 4:
ithmische Zahlentheorie” abgedeck
Seite 5 und 6:
3.2 Der Miller-Rabin-Primzahltest .
Seite 7 und 8:
Beispiele: Das klassische Beispiel
Seite 9 und 10:
X = x 1 · · · x N der Länge N w
Seite 11 und 12:
Bevor wir zur Kryptoanalyse der Vig
Seite 13 und 14: 1.4 Permutationen und monoalphabeti
Seite 15 und 16: War II” genannt, weil er bei der
Seite 17 und 18: hat auf beiden Seiten 26 Anschlüss
Seite 19 und 20: Schlüsselbucheinträge für die En
Seite 21 und 22: Mit insgesamt 77 Bit ist der Schlü
Seite 23 und 24: 1.6 Kryptoanalyse der Enigma Wie ge
Seite 25 und 26: Aus dem Übergangsgraphen lassen si
Seite 27 und 28: Elementen 0, 1 ∈ R derart, dass f
Seite 29 und 30: von a und b genannt, wenn g ein gr
Seite 31 und 32: Satz 2.2.2 (Z, | |) ist ein euklidi
Seite 33 und 34: Beispiel: Wir wollen ggT(51, 33), a
Seite 35 und 36: p die einzigen nicht-negativen Teil
Seite 37 und 38: Arbeiten mit Kongruenzen ist es rec
Seite 39 und 40: Sei wieder (G, +) eine abelsche Gru
Seite 41 und 42: 1. Genau dann ist [x] eine Einheit
Seite 43 und 44: ist die Menge der Nicht-Einheiten v
Seite 45 und 46: nach 2.6.1, Teil 1. Algorithmus 2.6
Seite 47 und 48: Beweis: Weil a zu N teilerfremd ist
Seite 49 und 50: werden. Dann benutzt man die Formel
Seite 51 und 52: [a m20 ] ≠ [1] muß t ≥ 1 gelte
Seite 53 und 54: von der Länge ca. 1024 Bit (d.h. c
Seite 55 und 56: Es wird vermutet, daß es keinen Po
Seite 57 und 58: Beweis. Sei wieder x := 1 2 (p + q)
Seite 59 und 60: Kapitel 4 Diskreter Logarithmus 4.1
Seite 61 und 62: Beweis: Sei n := ord(x). Offenbar g
Seite 63: für alle x, y ∈ G. Man beachte:
Seite 67 und 68: d.h. mit x j = f j (x 0 ), wobei f
Seite 69 und 70: ereitgestellt. Dies ist wesentlich
Seite 71 und 72: Kapitel 5 Public-Key-Verfahren, die
Seite 73 und 74: Satz 5.1.2 (Primzahlen in arithmeti
Seite 75 und 76: Der Nachrichtenraum des Verfahrens
Seite 77 und 78: Beispiel: Betrachten wir die Usergr
Seite 79 und 80: a) Ein Angreifer Oskar möchte auch
Seite 81 und 82: Erzeugung der ElGamal-Signatur: Um
Seite 83 und 84: Sei T (Trustcenter) ein User, desse
Seite 85 und 86: ( Für zwei Zahlen a, b ∈ Z mit a
Seite 87 und 88: 3. Für b, c ∈ N ungerade und u
Seite 89 und 90: ) /* Ende while if(a=0, s:=0); Ausg
Seite 91 und 92: Algorithmus 6.2.6 (Algorithmus für
Seite 93 und 94: Wir erinnern an die Hauptergebnisse
Seite 95 und 96: Daraus 2 folgt, daß (∗) keine L
Seite 97 und 98: schickt. Oskar überlegt sich, was
Alle anzeigen

Elementare Zahlentheorie und Kryptographie

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?