Quadratische Reste und das Legendre Symbol

Quadratische Reste und das Legendre Symbol

Definition Quadratischer Rest

Sei p prim. Ein Element a∈Z_pheißt quadratischer Rest inZ^∗_p, falls es ein b ∈Z^∗_pgibt mit b²≡amodn. Wir definieren

QRp={a∈Z^∗_p |a ist ein quadratischer Rest } und QNRp=Z^∗_p\QR.

Definition Legendre Symbol

Sei p >2 prim und a∈N. Das Legendre Symbol ist definiert als

a p

=







0 fallsp|a

1 falls(amodp)∈QR_p

−1 falls(amodp)∈QNR_p.

Berechnung von dlog

( β ) mod 2

Satz Berechnung des niederwertigsten Bits

Sei p prim,αGenerator vonZ^∗_p undβ ≡α^amodp. Dann gilt β

p

≡β^p−21 modp=

(1 fallsa≡0mod2

−1 fallsa≡1mod2.

Beweis:

Es giltZ^∗_p={α, α², . . . , α^p−1}. Damit folgt QRp ={α², α⁴, . . . , α^2·p−21, α^2·p+12

| {z }

α²

, α^2·p+32

| {z }

α⁴

, . . . , α^2(p−1)

| {z }

α^p−1

}

D.h.β ist ein quadratischer Rest gdw a gerade ist.

Es giltβ^p−21 =±1, da die 1 inZ^∗_pQuadratwurzeln±1 besitzt.

Ferner istβ^p−21 =α^a(p2−1) =1 gdw ^a(p−1)₂ Vielfaches von p−1.

D.h.β^p−21 =1 gdw a gerade ist.

Korollar: Wir könnendlog_α(β)mod2 in ZeitO(log²p)berechnen.

Kryptanalyse II - V03 Pohlig-Hellman Algorithmus 21 / 119

Lernen von dlog

( β ) modulo Teiler von p − 1

Idee des Pohlig Hellman Algorithmus:

Wir nehmen an, dass die Zerlegung p−1=Qk

i=1p^e_iⁱ bekannt ist.

Bestimmen a=a_imodp^e_iⁱ für alle i. Wir ermitteln a mittels CRT.

Zur Bestimmung von a_i verwenden wir die p_i-adische Zerlegung a_i =a_{i 0}+a_{i 1}p_i+a_{i 2}p_i²+. . .+a_iei−1p_i^ei−1mit 0≤a_ij <p_i. Die a_ij werden sukzessive für j =0, . . . ,e_i−1 berechnet.

Elemente in der p

-adischen Entwicklung

Bestimmung von a_i0: Es gilt

β

p−1

pi ≡ α^a·

p−1

pi =α^(amodpi)·

p−1 pi ·α^⌊

a pi⌋·pi·^p−1

pi

| {z }

1

≡ α^(amodpi)·

p−1

pi ≡α^{(ai modpi)·}

p−1

pi =α^ai0·

p−1

pi modp.

Wir berechnenα^ℓ·

p−1

pi fürℓ=0, . . . ,p_i−1 und vergleichen mit β

p−1 pi .

Bestimmung von a_ij:

Angenommen, wir haben bereits a_{i 0}, . . . ,a_ij−1bestimmt.

Setze r =a₀+. . .+a_ij−1p^j−1_i undβ^′:=β·α^−r. Analog zum obigen Fall berechnen wir

β^′

p−1 pj+1

i ≡α^(a−r)·

p−1 pj+1

i ≡α^(a−r

modp_i^j+1)·^p−1

pj+1

i ≡α^(ai−r

modp_i^j+1)·^p−1

pj+1

i =α^aij·p−1pi . Durch Vergleich mitα^ℓ·

p−1

pi ,ℓ=0, . . . ,pi−1 bestimmen wir aij.

Kryptanalyse II - V03 Pohlig-Hellman Algorithmus 23 / 119

Pohlig-Hellman Algorithmus

Algorithmus Pohlig-Hellmann

EINGABE: p,α,β^′≡α^amodp und p−1=Qk i=1p^e_iⁱ

1 FOR i =1, . . . ,k undℓ=0, . . . ,p_i−1 berechne c_iℓ=α^ℓ·

p−1 pi .

2 FOR i =1, . . . ,k

1 Setzeβ:=β^′.

2 FOR j=0, . . . ,ei−1

1 Bestimme ciℓmit ciℓ=β

p−1 pj+1

i . Setze aij =ℓundβ:=β·α^−aijpji.

3 Für i =1, . . . ,k berechne a_i =a_{i 0}+a_{i 1}p_i+. . .+a_iei−1p_i^ei−1.

4 Bestimme a=CRT(a₁, . . . ,a_k)modp−1.

AUSGABE: a =dlog_αβ Laufzeit:

Schritt 1: T₁= (p₁+. . .+p_k)· O(log³p).

Schritt 2,3,4: T₂= (e₁+. . .+e_k)· O(log³p) =O(log⁴p).

D.h. wir erhalten GesamtlaufzeitO(T1+T₂).

Damit ist unsere Laufzeit polynomiell falls p_i =O(log p)für alle i.