Elementare Zahlentheorie und Kryptographie
Elementare Zahlentheorie und Kryptographie
Elementare Zahlentheorie und Kryptographie
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Daraus 2 folgt, daß (∗) keine Lösung hat, d.h. sqrt R ([24] 77 ) = ∅.<br />
b) Löse X 2 = [15] 77 . Es gilt ( ) (<br />
15<br />
7 = 1<br />
) (<br />
7 = +1 <strong>und</strong> 15<br />
(<br />
11)<br />
=<br />
4<br />
11)<br />
= +1. Also<br />
wird es (genau 4) Lösungen geben.<br />
Finde zuerst eine Lösung X 2 = [15] 7 (= [1] 7 ) über F 7 . Offensichtlich ist<br />
w 7 = [1] 7 ∈ sqrt([1] 7 ) eine solche Lösung.<br />
Nun wird eine Lösung von X 2 = [15] 11 (= [4] 11 ) gebraucht. Offensichtlich<br />
hat w 11 = [2] 11 diese Eigenschaft.<br />
Eine Lösung von x = 1 mod 7 <strong>und</strong> x = 2 mod 11 ist x = 57.<br />
Eine Lösung von y = −1 mod 7 <strong>und</strong> y = 2 mod 11 ist y = 13.<br />
Somit ist<br />
sqrt R ([15] 77 ) = {[57] 77 , [−57] 77 , [13] 77 , [−13] 77 } = {[13] 77 , [20] 77 , [57] 77 , [64] 77 }<br />
die Lösungsmenge von X 2 = [15] 77 über Z/77, d.h. die Menge der vier<br />
Wurzeln aus [15] 77 .<br />
□<br />
Seien p ≠ q 1000-Bit-Primzahlen <strong>und</strong> N = pq. Die Funktion<br />
s : Z/N → Z/N, x ↦→ x 2<br />
ist ein wichtiges Beispiel für eine Trapdoor-Oneway-Funktion, d.h.<br />
a) s(x) ist aus x schnell berechenbar.<br />
b) Wer p <strong>und</strong> q kennt, der kann zu gegebenem y alle Wurzeln berechnen, d.h.<br />
s −1 (y) bestimmen.<br />
c) Wer p <strong>und</strong> q nicht kennt, für den ist “die Falltüre geschlossen”. Ohne p <strong>und</strong><br />
q zu kennen ist es für (die meisten) y praktisch unmöglich alle Wurzeln zu<br />
berechnen, d.h. s −1 (y) zu bestimmen (oder p <strong>und</strong> q zu finden).<br />
Alice möchte sich mit dem Rabin-Verfahren verschlüsselte Nachrichten schicken<br />
lassen können. Wie bei RSA wählt sie zwei große Primzahlen p ≠ q. Sie berechnet<br />
N = pq. (Derzeit gilt es als sicher, mit 1000-Bitzahlen p <strong>und</strong> q zu arbeiten.<br />
Um einem Angriff mit der p − 1-Methode vorzubeugen ist es sinnvoll p <strong>und</strong> q so<br />
zu wählen, daß (p−1) <strong>und</strong> (q −1) je einen großen (vielleicht 300 Bit) Primfaktor<br />
haben. p <strong>und</strong> q sollten nicht allzu nah beisammen liegen. Vgl. die Bemerkungen<br />
zu RSA.)<br />
Alice macht nun N öffentlich.<br />
Sie hält p <strong>und</strong> q geheim.<br />
Verschlüsselung: Der Nachrichtenraum ist Z/N. Bob verschlüsselt seine Nachricht<br />
m ∈ Z/N zu c = m 2 <strong>und</strong> überträgt c an Alice.<br />
2 Es gilt ( ) ( 24<br />
11 = −1 <strong>und</strong> übrigends 24 )<br />
77 = +1, aber diese Informationen werden hier nicht<br />
gebraucht.<br />
94