Aufgabe 1. Sei E a,b ( K ) elliptische Kurve. Zeige:

(1)

Prof. C. P. Schnorr Sommersemester 2012

Kryptographie

Blatt 4, 04.05.2012, Abgabe 11.05.2012

Aufgabe 1. Sei E _a,b ( K ) elliptische Kurve. Zeige:

1. für alle (¯ x, y) ¯ ∈ E _a,b ( K ) : ord (¯ x, y) = 2 ¯ gdw x ¯ ³ + a¯ x + b = 0 . 2. E _a,b ( K ) zyklisch = ⇒ # Nullstellen von x ³ + ax + b = 0 ist ≤ 1 . 3. |E _a,b ( K )| ist ungerade gdw x ³ + ax + b keine Nullstelle in K hat.

Aufgabe 2. Sei q prim. Zeige:

1. |E _0,b ( Z q )| = q + 1 für q = 2 mod 3 , b ∈ Z ^∗ q .

2. |E a,0 ( Z ^q )| = q + 1 für q = 3 mod 4 , a ∈ QR q = ( Z ^∗ q ) ² .

Hinweis: x 7→ x ³ ist Bijektion von Z q für q = 2 mod 3 , −1 6∈ ( Z ^∗ q ) ² für q = 3 mod 4 . 2. gilt für beliebige a ∈ Z ^∗ q .

Aufgabe 3. (Zu Satz 3, Kap. 1.2)

Sei G =< g >, |G| = 2 ^k + 1 prim, Z ^∗ ₂

^k

₊₁ =< c >, | Z ^∗ ₂

^k

₊₁ | = 2 ^k . Um G 3 h 7→ log _g h für h 6= g ⁰ zu berechnen, lösen wir

h/g = g ^x , [0, 2 ^k [ ∼ = Z 2

^k

3 x = c ^w durch w =

k

P

i=1

w i 2 ⁱ⁻¹ , w i ∈ {0, 1} wie folgt:

FOR i = 1, . . . , k DO IF g ^(x

²

k−i

) = g THEN w _i := 0 ELSE w _i := 1 , g ^x := g ^x/c

^wi

= DH(g ^x , g ^−c

^wi

) .

Schreibe den Algorithmus um so dass er möglichst wenige DH-Aufrufe macht.

Wie oft muss das DHOrakel aufgerufen werden?

Hinweis x ∈ ( Z ^∗ ₂

^k

₊₁ ) ²

ⁱ

gdw w _j = 0 für j = 1, ..., i, g ^x/c

^w¹

= g ^c

²

Pk

i=2wi2i−2

. (g ^x/c

^w¹

) ²

^k−2

= DH(g ^x

²

k−2

, g ^−c

^w¹²

k−2

Aufgabe 1. Sei E a,b ( K ) elliptische Kurve. Zeige:

Prof. C. P. Schnorr Sommersemester 2012

Kryptographie

Blatt 4, 04.05.2012, Abgabe 11.05.2012

Aufgabe 1. Sei E a,b ( K ) elliptische Kurve. Zeige:

1. für alle (¯ x, y) ¯ ∈ E a,b ( K ) : ord (¯ x, y) = 2 ¯ gdw x ¯ 3 + a¯ x + b = 0 . 2. E a,b ( K ) zyklisch = ⇒ # Nullstellen von x 3 + ax + b = 0 ist ≤ 1 . 3. |E a,b ( K )| ist ungerade gdw x 3 + ax + b keine Nullstelle in K hat.

Aufgabe 2. Sei q prim. Zeige:

1. |E 0,b ( Z q )| = q + 1 für q = 2 mod 3 , b ∈ Z ∗ q .

2. |E a,0 ( Z q )| = q + 1 für q = 3 mod 4 , a ∈ QR q = ( Z ∗ q ) 2 .

Hinweis: x 7→ x 3 ist Bijektion von Z q für q = 2 mod 3 , −1 6∈ ( Z ∗ q ) 2 für q = 3 mod 4 . 2. gilt für beliebige a ∈ Z ∗ q .

Aufgabe 3. (Zu Satz 3, Kap. 1.2)

Sei G =< g >, |G| = 2 k + 1 prim, Z ∗ 2

+1 =< c >, | Z ∗ 2

+1 | = 2 k . Um G 3 h 7→ log g h für h 6= g 0 zu berechnen, lösen wir

h/g = g x , [0, 2 k [ ∼ = Z 2

3 x = c w durch w =

k

P

i=1

w i 2 i−1 , w i ∈ {0, 1} wie folgt:

FOR i = 1, . . . , k DO IF g (x

) = g THEN w i := 0 ELSE w i := 1 , g x := g x/c

= DH(g x , g −c

) .

Schreibe den Algorithmus um so dass er möglichst wenige DH-Aufrufe macht.

Wie oft muss das DHOrakel aufgerufen werden?

Hinweis x ∈ ( Z ∗ 2

+1 ) 2

gdw w j = 0 für j = 1, ..., i, g x/c

= g c

. (g x/c

) 2

= DH(g x

, g −c

)

Punktzahl pro Aufgabe 5.

Aufgabe 1. Sei E _a,b ( K ) elliptische Kurve. Zeige:

1. für alle (¯ x, y) ¯ ∈ E _a,b ( K ) : ord (¯ x, y) = 2 ¯ gdw x ¯ ³ + a¯ x + b = 0 . 2. E _a,b ( K ) zyklisch = ⇒ # Nullstellen von x ³ + ax + b = 0 ist ≤ 1 . 3. |E _a,b ( K )| ist ungerade gdw x ³ + ax + b keine Nullstelle in K hat.

1. |E _0,b ( Z q )| = q + 1 für q = 2 mod 3 , b ∈ Z ^∗ q .

2. |E a,0 ( Z ^q )| = q + 1 für q = 3 mod 4 , a ∈ QR q = ( Z ^∗ q ) ² .

Hinweis: x 7→ x ³ ist Bijektion von Z q für q = 2 mod 3 , −1 6∈ ( Z ^∗ q ) ² für q = 3 mod 4 . 2. gilt für beliebige a ∈ Z ^∗ q .

Sei G =< g >, |G| = 2 ^k + 1 prim, Z ^∗ ₂

₊₁ =< c >, | Z ^∗ ₂

₊₁ | = 2 ^k . Um G 3 h 7→ log _g h für h 6= g ⁰ zu berechnen, lösen wir

h/g = g ^x , [0, 2 ^k [ ∼ = Z 2

3 x = c ^w durch w =

w i 2 ⁱ⁻¹ , w i ∈ {0, 1} wie folgt:

FOR i = 1, . . . , k DO IF g ^(x

) = g THEN w _i := 0 ELSE w _i := 1 , g ^x := g ^x/c

= DH(g ^x , g ^−c

Hinweis x ∈ ( Z ^∗ ₂

₊₁ ) ²

gdw w _j = 0 für j = 1, ..., i, g ^x/c

= g ^c

. (g ^x/c

) ²

= DH(g ^x

, g ^−c