mit paarweise verschiedenen Primzahlen p i . Zeige: Der LCG

(1)

Prof. C. P. Schnorr Sommersemester 2007

Kryptographie

Blatt 11, 29.06.07, Abgabe 06.07.07 Aufgabe 1. Sei N = Q k

i=1 p ^e _i

ⁱ

mit paarweise verschiedenen Primzahlen p _i . Zeige: Der LCG

x _i+1 := ax _i + c mod N

hat Periode N genau dann, wenn gilt:

i) a ≡ 1 mod p _i für alle i ; ii) (c, N ) = 1 ;

iii) wenn 4|N , dann a ≡ 1 mod 4 .

Insbesondere ist die Periode unabhängig vom Startwert.

Aufgabe 2. Sei l(x) ∈ Z[x] ein Polynom und F ein Pseudozufallsgenerator vom Typ x + 1 .

Zeige: F _l(x) (wie in der Vorlesung deniert) ist ein Pseudozufallsgenerator vom Typ l(x) .

Aufgabe 3. Seien a, b, c, N ∈ Z . Zeige: Die Iteration

x _i+1 := ax _i + bx _i−1 + c

mit x −1 , x 0 unabhängig und gleichverteilt auf Z N ist nicht pseudozufällig.

Ist sie deshalb genauso schlecht wie der LCG ?

(2)

Aufgabe 4. Sei p prim und < g >= Z ^∗ p . i) Wir betrachten den folgenden Generator:

Eingabe: x ∈ [1, p − 1]

Berechne x 1 = g ^x , x 2 = g ^x

¹

, · · · , x n = g ^x

ⁿ⁻¹

. Ausgabe: (x _n , x n−1 , · · · , x ₁ )

Zeige: Dies ist kein PRG (bzw. man kann Bits vorhersagen).

ii) Blum-Micali Generator

Sei B: Z ^p → {0, 1}

B(x) =







0 wenn x < ^p−1 ₂

1 wenn x ≥ ^p−1 ₂

Wir betrachten den folgenden Generator:

Eingabe: 0 < x < p − 1

Berechne x ₁ = g ^x , x ₂ = g ^x

¹

, · · · , x _n = g ^x

ⁿ⁻¹

Ausgabe: (B(x _n ), B(x n−1 ), · · · , B(x ₁ ))

Zeige: Dieser Generator ist ein PRG unter der DL-Annahme, bzw. wenn

man die Bits dieses Generators vorhersagen kann, kann damit das DL

Problem lï¾ ¹ ₂ sen.

mit paarweise verschiedenen Primzahlen p i . Zeige: Der LCG

Prof. C. P. Schnorr Sommersemester 2007

Kryptographie

Blatt 11, 29.06.07, Abgabe 06.07.07 Aufgabe 1. Sei N = Q k

i=1 p e i

mit paarweise verschiedenen Primzahlen p i . Zeige: Der LCG

x i+1 := ax i + c mod N

hat Periode N genau dann, wenn gilt:

i) a ≡ 1 mod p i für alle i ; ii) (c, N ) = 1 ;

iii) wenn 4|N , dann a ≡ 1 mod 4 .

Insbesondere ist die Periode unabhängig vom Startwert.

Aufgabe 2. Sei l(x) ∈ Z[x] ein Polynom und F ein Pseudozufallsgenerator vom Typ x + 1 .

Zeige: F l(x) (wie in der Vorlesung deniert) ist ein Pseudozufallsgenerator vom Typ l(x) .

Aufgabe 3. Seien a, b, c, N ∈ Z . Zeige: Die Iteration

x i+1 := ax i + bx i−1 + c

mit x −1 , x 0 unabhängig und gleichverteilt auf Z N ist nicht pseudozufällig.

Ist sie deshalb genauso schlecht wie der LCG ?

Aufgabe 4. Sei p prim und < g >= Z ∗ p . i) Wir betrachten den folgenden Generator:

Eingabe: x ∈ [1, p − 1]

Berechne x 1 = g x , x 2 = g x

, · · · , x n = g x

. Ausgabe: (x n , x n−1 , · · · , x 1 )

Zeige: Dies ist kein PRG (bzw. man kann Bits vorhersagen).

ii) Blum-Micali Generator

Sei B: Z p → {0, 1}

B(x) =







0 wenn x < p−1 2

1 wenn x ≥ p−1 2

Wir betrachten den folgenden Generator:

Eingabe: 0 < x < p − 1

Berechne x 1 = g x , x 2 = g x

, · · · , x n = g x

Ausgabe: (B(x n ), B(x n−1 ), · · · , B(x 1 ))

Zeige: Dieser Generator ist ein PRG unter der DL-Annahme, bzw. wenn

man die Bits dieses Generators vorhersagen kann, kann damit das DL

Problem lï¾ 1 2 sen.

i=1 p ^e _i

mit paarweise verschiedenen Primzahlen p _i . Zeige: Der LCG

x _i+1 := ax _i + c mod N

i) a ≡ 1 mod p _i für alle i ; ii) (c, N ) = 1 ;

Zeige: F _l(x) (wie in der Vorlesung deniert) ist ein Pseudozufallsgenerator vom Typ l(x) .

x _i+1 := ax _i + bx _i−1 + c

Aufgabe 4. Sei p prim und < g >= Z ^∗ p . i) Wir betrachten den folgenden Generator:

Berechne x 1 = g ^x , x 2 = g ^x

, · · · , x n = g ^x

. Ausgabe: (x _n , x n−1 , · · · , x ₁ )

Sei B: Z ^p → {0, 1}

0 wenn x < ^p−1 ₂

1 wenn x ≥ ^p−1 ₂

Berechne x ₁ = g ^x , x ₂ = g ^x

, · · · , x _n = g ^x

Ausgabe: (B(x _n ), B(x n−1 ), · · · , B(x ₁ ))

Problem lï¾ ¹ ₂ sen.