L¨osung zur Kryptographie-Klausur
Benedikt H¨ ofer 21. Juli 2007
Aufgabe 1
a) Durch wiederholte Anwendung des quadratischen Reziprozit¨atsgesetzes und Reduktion des Z¨ahlers modulo Nenner berechnet man
17
107
=
107
17
=
5
17
=
17
5
=
2
5
= (−1)52−18 =−1.
b) Dass 17 eine Primitivwurzel modulo 107 ist, bedeutet, dass ord(17) = 106 in Z107, dass also 17 die ganze multiplikative Gruppe Z∗107 erzeugt. Nach dem Satz von Lagrange gen¨ugt es, sich zu vergewissern, dass die Ordnung von 17 kein echter Teiler von 106 ist, d.h. man muss
ord(17)6= 1 ord(17)6= 2 ord(17)6= 53
zeigen. Der erste Fall ist klar. Auch der zweite Fall ist klar, denn 172 ≡ 75 mod 107.
Schließlich ist
1753= 17107−12 ≡
17
107
≡ −1 mod 107 nach Aufgabe 1a). Damit ist die Behauptung gezeigt.
Aufgabe 2 Mini-RSA
Durch Probedivision findet man leichtN = 11·13. Damit berechnet sichφ(N) = 10·12 = 120.
Also suchen wir ein k ∈Z, das der Gleichung
ed= 17d = 1 +k·120
gen¨ugt. Da 120 = 7·17 + 1, folgt sofort k=−1 und d=−7 = 113.
Aufgabe 3
Alice kann die 1. H¨alfte von x2 und die 2. H¨alfte von x1 berechnen. Sie verbindet einfach
1
alle Geheimtexte y1, y2, y3 durch XOR. Da f¨ur jedes x∈Z2n2 x⊕x= 0 gilt, hat man y1 ⊕y2⊕y3 =x1⊕p1⊕x2⊕p2⊕x3⊕p1⊕p2
=x1⊕x2⊕x3
= (x01, x001)⊕(x02, x002)⊕(x01, x002)
= (x02, x001).
Also erh¨alt Alice x02 und x001. Aufgabe 4
a) Das Polynomf =X5+X2+ 1∈F2[X] ist irreduzibel, wenn wir uns vergewissern k¨onnen, dass es keinen irreduziblen Teiler vom Grad 1 oder 2 hat. (Bei jeder nichttrivialen Zerlegung eines Polynoms vom Grad 5 muss ein solcher auftreten.)
Irreduzible Teiler vom Grad 1 sind die PolynomeX undX+ 1. Sie schließt man aus, indem man zeigt, dass f keine Nullstellen inF2 hat. Dies ist klar, da f(0) = 1 und f(1) = 3 = 1.
Irreduzible Teiler vom Grad 2 schließt man so aus: Das einzige irreduzible Polynom vom Grad 2 istg =X2+X+ 1. Durch Polynomdivision sieht man schnell, dassf und g “nichts gemeinsam” haben:
(X5+X2 + 1, X2+X+ 1) : (X2 +X+ 1) =X3+X2, Rest 1. Alsog -f.
b) Zwei Beobachtungen zeigen, dass die durch
bk+5 =bk+2+bk
definierte LFSR-Folge f¨ur beliebige Startvektoren v ∈F52\0 die maximale Periodenl¨ange 31 erreicht:
1. Das mit der Folge assoziierte Polynomf =X5+X2+ 1 ist irreduzibel (vgl. a)).
2. Sei K :=F2[X]/(f) der K¨orper mit 25 = 32 Elementen. Dann hat K∗ 31 Elemente, von denen, da 31 prim ist, alle bis auf 1 Primitivwurzeln sind. Dies trifft also auch auf X ∈K∗ zu.
Nach Vorlesung sind die Voraussetzungen 1. und 2. hinreichend f¨ur das Erreichen der maxi- malen Periodenl¨ange von |K∗|= 31.
Aufgabe 5 El-Gamal-System Der verschl¨usselte Text lautet
(y1, y2) = (gα, x·hα).
Die Nachricht x ist durch Multiplikation mit hα
”verschleiert“. Alice kann x genau dann erhalten, wenn sie das Inverse von hα berechnen kann. Zwar besitzt sie nicht α, jedoch gilt
hα =gνα = (gα)ν =y1ν.
Da Alicey1 und ν kennt, kann sie (y1ν)−1 =y−ν1 berechnen. Also rechnet sie y2y1−ν =xhαh−α =x.
Eve kann diese Rechnung nicht durchf¨uhren, da sieν nicht kennt.
2