Vorlesung 7

(1)

Vorlesung ⁷

1.12.16 Steffen Reith

(2)

25 . Die

Korrektheit

^d.

RSA

^.

_Verfahrens

²

Lemmon

^Sei ^mit _, ^dann ^ist ^ae

Zu genau ^dann invertiubar

_,

wenn

ggtla

^, ⁿ

⁾

^=L

Beweis

^: Linear

darstellung

^d.

GGT #

Benin ^Die _Menge

^der invotiobaren

Reste

^{wird als} ^Einheiten

_gruppe ( ^kurz

^:

Kit

oder selten

Zü )

^.

^Dabei ^ist ⁽ 2¥

_, ^.

⁾

^eine

abelsohe _Gruppe

.

Satz (

^Satz ^von Euler ) ^: Sein , 2 und

ggtla.nl

⁼ ¹ , dann

gilt

all

^" ± 1 ^modn .

(3)

3mi

^Sei

^Kit

⁼

2ae.az

, ^_ , aan,

}

_, dann

gilt

³

iüerntirbarmn

niüeitivbar all

^" ^. _aiaz _:-, ^. _den

, ^± A- an ^' ^a. ^az ^: ^. ^. ^. aapcn ,

TIERE

infrtierb1a.ci

± aaj ^modn

Von Zeit

kürzen I die az ^: ^. ^. . .

afcu) noch _h

⇒ ai ^±

ajmodnn

,

da

_aai

¥ aajmodn

^, ^wenn ⁱ ^#

^j

^,

Also

ab

^" ^. ^i. ^. ^, ^±

# # # #

^i. ^modn

⇒

at

^" ⁼ 1 modn . #

Folgerung ⁽

^kleiner ^Satz ^von

^Fermat ⁾ ^Sei p

^eine

^Prim

^{zahl und}

Pta

^, ^dann

gilt ^am

^± ¹

^modp

Beweis

^: ^via ^Satz ^von ^Euler

#

(4)

4

Satz

^Sei ^E ^eine ^RSA ^-

Verschlüsselung funktion

^und ^D ^die

dazugehörige Entschlüsselung sfht

^, ^dann

gilt ^für

^eine

Nachricht mehr

^ELDCMI

)

^{=D (} ^Eln

) )

⁼ ^m ^.

Beweise

^Sei ^e ^der

Verschlüsselung exponent

^, ^d ^der Entschlüsselung^.

exponent

^und ⁿ ⁼

_pq

^,

Falmouth

^:

^Da

^e. ^d ^± ¹

^modfai gibt

^es ^ein ^ke ² ^,

So

dass

ed ^- k ^.

fcn

₎ ⁼ ¹ _, da kn₎ / ^1- ^ed .

ii.

. . . -7

Damit

:( _me ₎ _D= _med

1tk.fm

⁼^kfln

^*

^In⁾ ⁾

± m ^. m

(5)

(

^m

e) ^D= med

±

mttktcn

^kiflh

^*

⁾ ⁾ ⁵

± m ^. m

= m ^.

44

^"

⁾

^k ^Im ^modu

1

÷ Ben

^:

Völlig ^analog für ^lmdle

Fall met Zf

^: Gilt ^m ⁼ ^Omodn _, dann

gilt

^die

^Aussage

trivialer

weise .

Gilt nun M¥0 ^modn , dann

gilt

^o.B.d.tt ^.

ggtlm

^, ⁿ

⁾ _=p

^. ^Also ^m ^±

Omodp

^und ^damit

med

± m

modp

^,

^Weiterhin ^M¥0 modg

^.

Es

gilt

^med ^±

^mitteilen

(6)

Es

gilt

^med ±^±

kllnl

^mit

m.fm Piyk ^e)

^9-

⁶

÷

_modg

± m mod

9

Also med ^± m

modp

^und

^med

^± ^m

^modq

Zusammen

med

^±

mmodpq ^#

÷ _h

2.6 ^.

Die Krypta analyse

^des ^RSA ^-

^Verfahrens

Zentrale Angriffs möglichkeit

^ist ^das

^folgende Problem

zu

lösen

^:

PROBLEM

^: FACTORING

EINGABE

^:

NE

^IN

AUSGABE ^:

größter ^Prim faktor

^von ^N

(7)

Kein heute

bekannter

Algorithms

^kann ^dieses

^Problem

⁷

in

Polynomial ^zeit auf

^einen klassischen Computer ^lösen

!

Def

^:

LN ( _8. c)

=D

.ge#.ogNl?lloglogN)tr

" Länge ^von ^N ⁱⁿ ^Bits

"

/ _"

Eingabe länge

^"

Jetzt

^: ^.

Ln ⁽

⁰ ,

c)

⁼

^ec

^.

¹⁰⁹⁶⁹

^. ⁼

(

^e ^'

⁰⁹¹⁰⁹ )

^' ⁼

₍ hege

Länge ^d. ^Eingabe

„

Polynomial

zeit.fi#igabeiange

2

.

LN

( 1.

c)

⁼

ECIOSN

⁸⁼⁰

gitß

_CF _g. e

* a

,,

Exponential

^zeit ^" ^Polynomial ^zeit ^1k Exponential ^.

L

gut

⁾ ^Zeit ^l^schlecht⁾

(8)

Aktuelle

Algorithmen

^zur

Fahtovisierung

^: ⁸

- Continued

Fraction

^Method ^: ^vermutete

Laufzeit OLLNHZ

^,

^G) )

-

Multiple ^Polynomial

^Quadratic ^Sieve ^: ^vom ^.

Lauf OLLnltz.cz

⁾

)

- Number Field Sieve ^: vermutete

Laufzeit ^OCLNUB

^,

^G) )

-

Probieren

^:

Laufzeit Ocp

^. ^l

log NT )

-

Elliptic

^Curve ^Method ^: ^vermutete

^Laufzeit

⁰

⁽ Lpltz

^.ec^,

⁾

^.

dog ^NP ⁾

besser nicht

Aktuell ^: Ist N =p ^.q mindestens 1024- Bit oder besser 1536 bzw .

2048 Bit

lang

^, ^dann ^ist ^RSA ^sicher ^.

Vorlesung 7

Vorlesung 7

1.12.16

Steffen Reith

Korrektheit

RSA

Verfahrens

Lemmon

Zu genau dann invertiubar

ggtla

)

Beweis

darstellung

GGT #

Benin Die Menge

Reste

gruppe ( kurz

Kit

Zü )

Dabei ist ( 2¥

)

abelsohe Gruppe

Satz (

ggtla.nl

gilt

all

3mi

Kit

2ae.az

}

gilt

niüeitivbar all

TIERE

infrtierb1a.ci

ajmodnn

da

¥ aajmodn

j

ab

# # # #

at

Folgerung (

Fermat ) Sei p

Prim

Pta

gilt am

modp

Beweis

#

Satz

Verschlüsselung funktion

dazugehörige Entschlüsselung sfht

gilt für

Nachricht mehr

)

) )

Beweise

Verschlüsselung exponent

exponent

pq

Falmouth

Da

modfai gibt

dass

fcn

Damit

:( me ) D= med

1tk.fm

*

(

e) D= med

mttktcn

*

44

)

÷ Ben

Völlig analog für lmdle

Fall met Zf

gilt

Aussage

Vorlesung ⁷

_Verfahrens

Zu genau ^dann invertiubar

⁾

Benin ^Die _Menge

_gruppe ( ^kurz

^Dabei ^ist ⁽ 2¥

⁾

abelsohe _Gruppe

^Kit

^j

Folgerung ⁽

^Fermat ⁾ ^Sei p

^Prim

gilt ^am

^modp

gilt ^für

_pq

^Da

^modfai gibt

:( _me ₎ _D= _med

^*

e) ^D= med

^*

⁾

Völlig ^analog für ^lmdle

^Aussage

⁾ _=p

^Weiterhin ^M¥0 modg

^mitteilen

m.fm Piyk ^e)

⁶

^med

^modq

mmodpq ^#

^Verfahrens

^folgende Problem

größter ^Prim faktor

^Problem

Polynomial ^zeit auf

LN ( _8. c)

Ln ⁽

^ec

¹⁰⁹⁶⁹

⁰⁹¹⁰⁹ )

₍ hege

^G) )

Multiple ^Polynomial

Laufzeit ^OCLNUB

^G) )

^Laufzeit