n:=p·q ϕ(n) = (p−1)(q−1) wr≡1 (modn)∨w2t r≡ −1 (modn)
I Wir bestimmen nun die Wahrscheinlichkeit daf¨ur, daß einw verworfen wird.
I Setze dazu:
p−1 = 2ia,q−1 = 2jb mit a,b ungerade und i 6j.
I Da 2sr ein Vielfaches vonϕ(n) ist, gilt, daß r ein Vielfaches von ab ist.
I Falls nunt >i, dann ist 2tr ein Vielfaches von p−1
⇒ w2tr ≡1mod p
⇒ w2tr 6≡ −1 mod p
⇒ w2tr 6≡ −1 mod n
I Damit tritt der Fall t>i hier nicht auf.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:43) Walter Unger Z
Fehlerwahrscheinlichkeit des Verfahrens
n:=p·q ϕ(n) = (p−1)(q−1) wr≡1 (modn)∨w2t r≡ −1 (modn)
I Wir bestimmen nun die Wahrscheinlichkeit daf¨ur, daß einw verworfen wird.
I Setze dazu:
p−1 = 2ia,q−1 = 2jb mit a,b ungerade und i 6j.
I Da 2sr ein Vielfaches vonϕ(n) ist, gilt, daß r ein Vielfaches von ab ist.
I Falls nunt >i, dann ist 2tr ein Vielfaches von p−1
⇒ w2tr ≡1mod p
⇒ w2tr 6≡ −1 mod p
⇒ w2tr 6≡ −1 mod n
I Damit tritt der Fall t>i hier nicht auf.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:43) Walter Unger Z
Fehlerwahrscheinlichkeit des Verfahrens
n:=p·q ϕ(n) = (p−1)(q−1) wr≡1 (modn)∨w2t r≡ −1 (modn)
I Wir bestimmen nun die Wahrscheinlichkeit daf¨ur, daß einw verworfen wird.
I Setze dazu:
p−1 = 2ia,q−1 = 2jb mit a,b ungerade und i 6j.
I Da 2sr ein Vielfaches vonϕ(n) ist, gilt, daß r ein Vielfaches von ab ist.
I Falls nunt >i, dann ist 2tr ein Vielfaches von p−1
⇒ w2tr ≡1mod p
⇒ w2tr 6≡ −1 mod p
⇒ w2tr 6≡ −1 mod n
I Damit tritt der Fall t>i hier nicht auf.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:43) Walter Unger Z
Fehlerwahrscheinlichkeit des Verfahrens
n:=p·q ϕ(n) = (p−1)(q−1) wr≡1 (modn)∨w2t r≡ −1 (modn)
I Wir bestimmen nun die Wahrscheinlichkeit daf¨ur, daß einw verworfen wird.
I Setze dazu:
p−1 = 2ia,q−1 = 2jb mit a,b ungerade und i 6j.
I Da 2sr ein Vielfaches vonϕ(n) ist, gilt, daß r ein Vielfaches von ab ist.
I Falls nunt >i, dann ist 2tr ein Vielfaches vonp−1
⇒ w2tr ≡1mod p
⇒ w2tr 6≡ −1 mod p
⇒ w2tr 6≡ −1 mod n
I Damit tritt der Fall t>i hier nicht auf.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:43) Walter Unger Z
Fehlerwahrscheinlichkeit des Verfahrens
n:=p·q ϕ(n) = (p−1)(q−1) wr≡1 (modn)∨w2t r≡ −1 (modn)
I Wir bestimmen nun die Wahrscheinlichkeit daf¨ur, daß einw verworfen wird.
I Setze dazu:
p−1 = 2ia,q−1 = 2jb mit a,b ungerade und i 6j.
I Da 2sr ein Vielfaches vonϕ(n) ist, gilt, daß r ein Vielfaches von ab ist.
I Falls nunt >i, dann ist 2tr ein Vielfaches vonp−1
⇒ w2tr ≡1mod p
⇒ w2tr 6≡ −1 mod p
⇒ w2tr 6≡ −1 mod n
I Damit tritt der Fall t>i hier nicht auf.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:44) Walter Unger Z
Fehlerwahrscheinlichkeit
ϕ(n) = (p−1)(q−1) p−1 = 2ia,q−1 = 2jb.i6j wr≡1 (modn)∨w2t r≡ −1 (modn)
I Es ist nur noch folgende Situation zu betrachten:
wr ≡1 mod n oder w2tr ≡ −1mod n f ¨ur eint,06t <i
I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:44) Walter Unger Z
Fehlerwahrscheinlichkeit
ϕ(n) = (p−1)(q−1) p−1 = 2ia,q−1 = 2jb.i6j wr≡1 (modn)∨w2t r≡ −1 (modn)
I Es ist nur noch folgende Situation zu betrachten:
wr ≡1 mod n oder w2tr ≡ −1mod n f ¨ur eint,06t <i
I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:44) Walter Unger Z
Fehlerwahrscheinlichkeit
ϕ(n) = (p−1)(q−1) p−1 = 2ia,q−1 = 2jb.i6j wr≡1 (modn)∨w2t r≡ −1 (modn)
I Es ist nur noch folgende Situation zu betrachten:
wr ≡1 mod n oder w2tr ≡ −1mod n f ¨ur eint,06t <i
I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:44) Walter Unger Z
Fehlerwahrscheinlichkeit
ϕ(n) = (p−1)(q−1) p−1 = 2ia,q−1 = 2jb.i6j wr≡1 (modn)∨w2t r≡ −1 (modn)
I Es ist nur noch folgende Situation zu betrachten:
wr ≡1 mod n oder w2tr ≡ −1mod n f ¨ur eint,06t <i
I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:44) Walter Unger Z
Fehlerwahrscheinlichkeit
ϕ(n) = (p−1)(q−1) p−1 = 2ia,q−1 = 2jb.i6j wr≡1 (modn)∨w2t r≡ −1 (modn)
I Es ist nur noch folgende Situation zu betrachten:
wr ≡1 mod n oder w2tr ≡ −1mod n f ¨ur eint,06t <i
I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:44) Walter Unger Z
Fehlerwahrscheinlichkeit
ϕ(n) = (p−1)(q−1) p−1 = 2ia,q−1 = 2jb.i6j wr≡1 (modn)∨w2t r≡ −1 (modn)
I Es ist nur noch folgende Situation zu betrachten:
wr ≡1 mod n oder w2tr ≡ −1mod n f ¨ur eint,06t <i
I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:44) Walter Unger Z
Fehlerwahrscheinlichkeit
ϕ(n) = (p−1)(q−1) p−1 = 2ia,q−1 = 2jb.i6j wr≡1 (modn)∨w2t r≡ −1 (modn)
I Es ist nur noch folgende Situation zu betrachten:
wr ≡1 mod n oder w2tr ≡ −1mod n f ¨ur eint,06t <i
I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:45) Walter Unger Z
Fehlerwahrscheinlichkeit
ϕ(n) = (p−1)(q−1) p−1 = 2ia,q−1 = 2jb.i6j wr≡1 (modn)∨w2t r≡ −1 (modn)
I Es ist nur noch folgende Situation zu betrachten:
wr ≡1modn oder w2tr ≡ −1modnf ¨ur eint,06t6i I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.
I wr ≡1 modnhata·bL¨osungen I Betrachte nun:w2tr6≡ −1 modn
I Anzahl der L¨osungen von
w2t+1r ≡1 (modp) ist ggT(2t+1r,p−1) = 2t+1a
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:45) Walter Unger Z
Fehlerwahrscheinlichkeit
ϕ(n) = (p−1)(q−1) p−1 = 2ia,q−1 = 2jb.i6j wr≡1 (modn)∨w2t r≡ −1 (modn)
I Es ist nur noch folgende Situation zu betrachten:
wr ≡1modn oder w2tr ≡ −1modnf ¨ur eint,06t6i I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.
I wr ≡1 modnhata·bL¨osungen I Betrachte nun:w2tr6≡ −1 modn
I Anzahl der L¨osungen von
w2t+1r ≡1 (modp) ist ggT(2t+1r,p−1) = 2t+1a
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:45) Walter Unger Z
Fehlerwahrscheinlichkeit
ϕ(n) = (p−1)(q−1) p−1 = 2ia,q−1 = 2jb.i6j wr≡1 (modn)∨w2t r≡ −1 (modn)
I Es ist nur noch folgende Situation zu betrachten:
wr ≡1modn oder w2tr ≡ −1modnf ¨ur eint,06t6i I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.
I wr ≡1 modnhata·bL¨osungen I Betrachte nun:w2tr6≡ −1 modn
I Anzahl der L¨osungen von
w2t+1r ≡1 (modp) ist ggT(2t+1r,p−1) = 2t+1a
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:45) Walter Unger Z
Fehlerwahrscheinlichkeit
ϕ(n) = (p−1)(q−1) p−1 = 2ia,q−1 = 2jb.i6j wr≡1 (modn)∨w2t r≡ −1 (modn)
I Es ist nur noch folgende Situation zu betrachten:
wr ≡1modn oder w2tr ≡ −1modnf ¨ur eint,06t6i I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.
I wr ≡1 modnhata·bL¨osungen I Betrachte nun:w2tr6≡ −1 modn
I Anzahl der L¨osungen von
w2t+1r ≡1 (modp) ist ggT(2t+1r,p−1) = 2t+1a
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:45) Walter Unger Z
Fehlerwahrscheinlichkeit
ϕ(n) = (p−1)(q−1) p−1 = 2ia,q−1 = 2jb.i6j wr≡1 (modn)∨w2t r≡ −1 (modn)
I Es ist nur noch folgende Situation zu betrachten:
wr ≡1modn oder w2tr ≡ −1modnf ¨ur eint,06t6i I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.
I wr ≡1 modnhata·bL¨osungen I Betrachte nun:w2tr6≡ −1 modn
I Anzahl der L¨osungen von
w2t+1r ≡1 (modp) ist ggT(2t+1r,p−1) = 2t+1a
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:46) Walter Unger Z
Fehlerwahrscheinlichkeit
I =⇒ 50 Prozent allerw’s werden verworfen.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
Verschl¨usselung d bestimmen? (5:46) Walter Unger Z
Fehlerwahrscheinlichkeit
I =⇒ 50 Prozent allerw’s werden verworfen.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
K¨onnen Teilinformationen entschl¨usselt werden? (5:47) Walter Unger Z
Orakel f¨ ur x <
n2n:=p·q ϕ(n) = (p−1)(q−1) c=wemodn w=cdmodn
I Angenommen, es gibt Orakel H mit H(e,n,xe modn) = 1⇐⇒x< n2.
I Idee: Halbierungssuche unter Verwendung von H.
I Verwende Werte:
I Damit wird dann durch Bin¨arsuche das Intervall, in dem x liegt immer weiter eingeschr¨ankt.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
K¨onnen Teilinformationen entschl¨usselt werden? (5:47) Walter Unger Z
Orakel f¨ ur x <
n2n:=p·q ϕ(n) = (p−1)(q−1) c=wemodn w=cdmodn
I Angenommen, es gibt Orakel H mit H(e,n,xe modn) = 1⇐⇒x< n2.
I Idee: Halbierungssuche unter Verwendung vonH.
I Verwende Werte:
I Damit wird dann durch Bin¨arsuche das Intervall, in dem x liegt immer weiter eingeschr¨ankt.
Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe
K¨onnen Teilinformationen entschl¨usselt werden? (5:47) Walter Unger Z
Orakel f¨ ur x <
n2n:=p·q ϕ(n) = (p−1)(q−1) c=wemodn w=cdmodn
I Angenommen, es gibt Orakel H mit H(e,n,xe modn) = 1⇐⇒x< n2.
I Idee: Halbierungssuche unter Verwendung vonH.
I Verwende Werte:
I Damit wird dann durch Bin¨arsuche das Intervall, in dem x liegt immer weiter eingeschr¨ankt.