Algorithmische Kryptographie (WS2015/16) Kapitel 3 Sicherheitsaspekte und Hilfsfunktionen Walter Unger

(1)

Algorithmische Kryptographie (WS2015/16)

Kapitel 3

Sicherheitsaspekte und Hilfsfunktionen

Walter Unger

Lehrstuhl für Informatik 1

15:58 Uhr, den 12. Dezember 2015

(2)

Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen

3 Inhaltsverzeichnis Walter Unger 12.12.2015 15:58 WS2015/16 Z

Inhalt I

1 Einleitung Einfache Angriffe

2 Hilfsfunktionen OAEP-Verfahren Hashfunktionen Definitionen Merkles-Meta-Methode

3 Weitere Angriffe Abstand der Faktoren Sicherheitsaspekte von RSA Kann man d bestimmen?

4 Bit-Sicherheit

Sind Teilinformationen sicher?

Sicherheit des LSB Überblick und Beweisidee Beweis

5 Bestimmung von Primzahlen Einleitung

Einfacher Test Soloway-Strassen Miller-Rabin

Agrawal, Kayal und Saxena

(3)

3:1 Einfache Angriffe Walter Unger 12.12.2015 15:58 WS2015/16 Z

Angriff eins gegen RSA

AverwendeE_e^RSA₁_,n,B verwendeE_e^RSA₂_,n und es sei ggT(e1,e2) =1.

C:m,e₁,e₂,n A:e₁,d₁,n B:e₂,d₂,n mverteilen m^e¹modn

m^e²modn

FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.

Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.

C hat die Nachrichtmversendet,

d.h. bestimmt:c1:=Ee^RSA₁,n(m)undc2:=Ee^RSA₂,n(m).

Falls nunc16∈Z^∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.

Falls aberc1∈Z^∗n, so kannc₁⁻¹bestimmt werden.

Es ergibt sich:

(c₁⁻¹)^−rc2^s= (m^e¹)^r·(m^e²)^s=m^re¹^+se²≡m (modn)

(4)

Angriff zwei gegen RSA

Drei PartienAi (16i63)verwendenE_3,n^RSA_i.

C:m,e_i,n_i(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m³modn₁

m³modn2 m³modn3

Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.

Seici =E_3,n^RSA_i(m) =m³modni. Mit dem Chinesischen Restklassensatz

(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm³. Dam³<n1n2n3gilt, kannmeindeutig bestimmt werden.

(5)

Angriff drei gegen RSA

AverwendeEe,n^RSA undD_d,p,q^RSA sowohl zum Verschlüsseln als auch zum Unterschreiben.

A:e,d,n B:e,n C:e,n

c=m^emodn

c Unterschreibe bittec

c^dmodn

m

So wird dieses System unsicher,

selbst wennAalle gesendeten Nachrichten speichert.

Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,q^RSA(m)kennt, geht dann wie folgt vor:

C wähltr∈Z^∗n zufällig.

Bestimmtx :=c·r^e.

FragtAnach der Unterschrift zux. Dann kenntC:x^d ≡D_d,p,q^RSA(x) (modn).

C bestimmt:x^d·r⁻¹≡(c·r^e)^d·r⁻¹≡c^d≡m (mod n).

Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.

(6)

3:4 OAEP-Verfahren Walter Unger 12.12.2015 15:58 WS2015/16 Z

OAEP (optimal asymmetric encryption padding)

Ziel: verhindere Angriffe, die die Gruppenstruktur eines Verschlüsselungsverfahren nutzen.

Dieses Verfahren ist schnell, beinhaltet einen Zufallsanteil und es muss nicht viel zusätzliche Information übertragen werden.

Dazu werden die folgenden Funktionen mitn=k+l benutzt:

Verschlüsselungsfunktion f :D→DmitD⊂ {0,1}ⁿ Pseudo-Zufallsgenerator G:{0,1}^k→ {0,1}^l Hashfunktion h:{0,1}^l → {0,1}^k Seimdie zu verschlüsselnde Nachricht.

1 Wähle Zufallszahlr∈ {0,1}^k.

2 Setze nunx=

(m⊕G(r))◦(r⊕h(m⊕G(r))).

3 Fallsx6∈D wiederhole.

4 Verschlüssele mitc :=f(x).

Seic die zu entschlüsselnde Nachricht.

1 Setzex⁰:=f⁻¹(c).

2 Bestimmea,bmitx⁰=a◦bund

|a|=l sowie|b|=k.

3 Bestimmer=h(a)⊕b.

4 Bestimmem=a⊕G(r).

(7)

3:5 Hashfunktionen Walter Unger 12.12.2015 15:58 WS2015/16 Z

Hashfunktionen

Eine Hashfunktion ist eine Funktionh:{0,1}^∗→ {0,1}^k mit:m7→h(m).

Diese Funktionen werden z.B. beim Unterschreiben von Texten, zur Fehlererkennung oder Datenverwaltung verwendet.

Bei den Unterschriften wird statt einer Nachrichtmdessen Hashwert h(m)unterschrieben.

Eine Kollision bei einer Hashfunktionhtritt auf bei einem Paar(m,m⁰) fallsh(m) =h(m⁰).

Daher sollten Angreifer nicht in der Lage sein:

1 Zu einer Nachrichtmeine zweite Nachrichtm⁰effizient erzeugen zu können, mith(m) =h(m⁰).

2 Zwei Nachrichtenmundm⁰ effizient erzeugen zu können, mit h(m) =h(m⁰).

(8)

3:6 Definitionen Walter Unger 12.12.2015 15:58 WS2015/16 Z

Hashfunktionen

Definition

Eine Hashfunktionhheisst Zweitnachricht sicher, falls man nicht zum eine zweite Nachrichtm⁰effizient erzeugen kann, mith(m) =h(m⁰).

Eine Hashfunktionhheisst kollisionssicher, falls man nicht zwei Nachrichtenmundm⁰ effizient erzeugen kann, mith(m) =h(m⁰).

Lemma

Fallshkollisionssicher ist, dann isthauch Zweitnachricht sicher.

Zeige: Wenn es effizienten AlgorithmusAgibt, der eine Zweitnachricht erzeugt, dann gibt esB, der eine Kollision effizient bestimmt.

Der AlgorithmusBwählt eine Nachrichtm, bestimmth(m)und ruft dann Aauf, um eine zweite Nachrichtm⁰ zu bestimmten mith(m) =h(m⁰).

Damit reicht es aus, Hashfunktionen zu bestimmen, die kollisionssicher sind.

(9)

3:7 Merkles-Meta-Methode Walter Unger 12.12.2015 15:58 WS2015/16 Z

Merkles-Meta-Methode

Im Folgenden werden wir zeigen, dass es ausreicht, kollisionssichere Kompressionsfunktionen zu entwickeln.

Eine Funktionf :{0,1}^m→ {0,1}ⁿ mitm>nwird Kompressionsfunktionen genannt.

Aufbau einer kollisionssicheren Kompressionsfunktion:

Ansatz: nutze symmetrische Verfahren.

SeiEk(m)symmetrisches Verfahren mitk∈ {0,1}^r und m∈ {0,1}ⁿ.

Dann setze:f :{0,1}^n+r → {0,1}ⁿmit:f(x◦y)7→Ey(x).

Sei weiterg:{0,1}ⁿ→ {0,1}^r.

Dann setze:f :{0,1}²ⁿ→ {0,1}ⁿ mit:f(x◦y)7→Eg(y)(x)⊕y. Nun wird Merkles-Meta-Methode angegeben, die aus einer gegebenen Kompressionsfunktionenf :{0,1}^m→ {0,1}ⁿ

eine Hashfunktionh:{0,1}^∗→ {0,1}ⁿbestimmt.

(10)

Merkles-Meta-Methode

Gegeben eine Kompressionsfunktionf :{0,1}^m→ {0,1}ⁿ. Seir=m−n.

Zu bestimmen ist eine Hashfunktionh:{0,1}^∗→ {0,1}ⁿ. Sei nunx∈ {0,1}^∗eine Eingabe fürhmit|x|=k·r. Wir teilenx auf inx =x1x2. . .xk |xi|=r füri∈ {1, . . . ,k}.

Weiterhin kodieren inxk+1 |xk+1|=r die Länge vonx. Setzeh0:=0ⁿ und bestimme rekursiv:

hi :=f(hi−1◦xi)16i 6k+1

Dann definieren wirh:{0,1}^∗→ {0,1}^k mitx7→hk+1

x1 x2 x3 x4 x5 x6 x7

h0 h0 h0 h0 h0 h0 h0 h0 h0 h0

h0 hhhhhhhhhhh11111111111 hhhhhhhhhhh22222222222 hhhhhhhhhhh33333333333 hhhhhhhhhhh44444444444 hhhhhhhhhhh55555555555 hhhhhhhhhhh66666666666 hhhhhhhhhhh77777777777

(11)

Merkles-Meta-Methode

h0:=0ⁿ h_i:=f(hi−1◦x_i)

Lemma

Fallsf kollisionssicher ist, dann ist die Hashfunktionh, die mit Merkles-Meta-Methode konstruiert wird, auch kollisionssicher.

x1 x2 x3 x4 x5 x6 x7

h0 h0 h0 h0 h0 h0 h0 h0 h0 h0

h0 hhhhhhhhhhh11111111111 hhhhhhhhhhh22222222222 hhhhhhhhhhh33333333333 hhhhhhhhhhh44444444444 hhhhhhhhhhh55555555555 hhhhhhhhhhh66666666666 hhhhhhhhhhh77777777777

Wir geben einen Algorithmus an, der aus einer Kollision fürheine Kollision fürf bestimmt.

Seix,x⁰ eine Kollision der Funktionhmit:

x = x1x2. . .xk+1 h1,h2, . . . ,hk+1

x⁰ = x1⁰x2⁰. . .x_k⁰0+1 h1⁰,h⁰2, . . . ,h⁰_k0+1

Seienhi undh⁰_i die Werte, wie sie in der Konstruktion auftreten.

Damit ergibt sich folgendes Verfahren.

(12)

Beweis

h0:=0ⁿ h_i:=f(hi−1◦x_i)

x1 x2 x3 x4 x5 x6 x7

h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀

h₀ hhhhhhhhhhh₁₁₁₁₁₁₁₁₁₁₁ hhhhhhhhhhh₂₂₂₂₂₂₂₂₂₂₂ hhhhhhhhhhh₃₃₃₃₃₃₃₃₃₃₃ hhhhhhhhhhh₄₄₄₄₄₄₄₄₄₄₄ hhhhhhhhhhh₅₅₅₅₅₅₅₅₅₅₅ hhhhhhhhhhh₆₆₆₆₆₆₆₆₆₆₆ hhhhhhhhhhh₇₇₇₇₇₇₇₇₇₇₇

Falls|x| 6=|x⁰|,

Betrachte(hk◦xk+1,h⁰_k◦x_k⁰0+1).

Es giltxk+16=x_k⁰0+1.

Und damithk◦xk+16=h⁰_k◦x_k⁰0+1.

Und weiterf(hk◦xk+1) =h(x) =h(x⁰) =f(h⁰_k◦x_k⁰0+1).

Damit ist(hk◦xk+1,h⁰_k◦x_k⁰0+1)eine Kollision.

Damit gilt von nun an|x|=|x⁰|undk=k⁰.

(13)

Beweis

h0:=0ⁿ h_i:=f(hi−1◦x_i)

x1 x2 x3 x4 x5 x6 x7

h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀

Es gilt nun|x|=|x⁰|undk=k⁰. Füri:=1 bisk mache:

fallshi 6=h⁰_i undhi+1=h⁰_i+1, betrachte(hi◦xi+1,h⁰_i◦x_i⁰+1).

Es gilt:hi◦xi+16=h⁰_i◦x_i⁰₊₁.

Und weiter:f(hi◦xi+1) =hi+1=h⁰i+1=f(h⁰_i◦xi+1⁰ ).

Damit ist(hi◦xi+1,hi⁰◦xi+1⁰ )eine Kollision.

Damit gilt von nun anhi =h⁰_i für 16i6k+1.

(14)

Beweis

h0:=0ⁿ h_i:=f(hi−1◦x_i)

x1 x2 x3 x4 x5 x6 x7

h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀ h₀

Es gilt nun|x|=|x⁰|undk=k⁰ undhi =h⁰_i für 16i 6k+1.

Füri:=1 bisk−1 mache:

fallsxi+16=xi+1⁰ ,

betrachte(hi◦xi+1,h⁰_i◦x_i⁰₊₁).

Analog zum vorherigen Fall:

Es gilt:hi◦xi+16=h⁰_i◦x_i⁰₊₁.

Und weiter:f(hi◦xi+1) =hi+1=h⁰i+1=f(h⁰i◦xi+1⁰ ).

Damit ist(hi◦xi+1,h_i⁰◦x_i+1⁰ )eine Kollision.

Beachte die Schleife findet eini mitxi+16=xi+1⁰ dax 6=x⁰.

(15)

Bemerkung

h0:=0ⁿ h_i:=f(hi−1◦x_i)

Entscheidender Faktor ist die Wahl vonn.

Beachte das Geburtstagsparadoxon.

Die Wahrscheinlichkeit, dasskHashwerte aus dem Wertebereichm=2ⁿ keine Kollision haben:

p=p(m,k) = 1 m^k

k−1

Y

i=0

(m−i) =

k−1

Y

i=1

(1− 1 m).

Wegen 1−x6e^−x fürx ∈Rgilt p6

k−1

Y

i=1

e⁻¹^m =e⁻¹^m ^P^k−1ⁱ⁼¹ ⁱ=e^−k(k−1)^2m

Damit ist die Wahrscheinlichkeit einer Kollision 1−p.

Und 1−p>1/2 fallsk>1/2(√

1+8ln2·m+1).

Damit istk≈1.18√

mund es sind 2^n/2 Werte zu wählen und zu vergleichen, um eine Kollision mit Wahrscheinlichkeit>1/2 zu finden.

Heutzutage werden Hashfunktionen mit 128 bis 160 Bits empfohlen.

(16)

3:14 Abstand der Faktoren Walter Unger 12.12.2015 15:58 WS2015/16 Z

p, q sollten nicht nahe beieinander liegen

h0:=0ⁿ h_i:=f(hi−1◦x_i)

Angenommen, dies ist doch der Fall:

x =^(p−q)₂ ist klein, mitp>q.

y =^(p+q)₂ >√

nund ^(p+q)₂ ist nur wenig größer als√

n.

Beachte weiter:

(^p+q₂ )²−(^p−q₂ )²

= ^(p+q)₄ ² −^(p−q)₄ ²

= ^p²^+q²^{+2·p·q−(p}₄ ²^+q²^−2·p·q)

= 2·p·q−(−2·p·q) 4

= p·q=n (^p+q₂ )²−n= (^p−q₂ )², bzw.

y²−n=x².

Dies wird ein perfektes Quadrat genannt.

Führe folgenden Test durch:

Fürx :=d√

nebisd√ ne+δ teste, obx²−n=y²gilt für einy ∈Z.

Beachte nunx= ^p₂+^q₂ und y =^p₂−^q₂.

Danach setze:p=x+y und q=x−y.

Der Bereich der durchzuprobierenden Schlüssel ist sehr klein.

Das Ziehen der Wurzel erfolgt nur für kleine Zahlen.

(17)

Wähle p, q so, daß ggT(p − 1, q − 1) klein ist.

Beachte:(p−1)(q−1)ist durch 4 teilbar, denn es ist Produkt zweier gerader Zahlen.

Falls ggT(p−1,q−1)groß ist:

⇒das kleinste gemeinsame Vielfacheuvon p−1,q−1 ist klein.

⇒eins dere⁻¹ (modu)kann zur Entschlüsselung verwendet werden.

⇒Suche wird einfach.

⇒wählep,q so, daß ggT(p−1,q−1)klein ist.

(18)

ϕ(n) sollte nicht nur kleine Primfaktoren haben

⇒Test für alle Kandidatenv vonϕ(n)

⇒Test, falls ^(v+1)_e eine ganze Zahl ist.

Teste dann, obc^v+1^e Sinn macht (v :Kandidat fürϕ(n)) Theoretische Lösung für die beiden letzten Probleme:

Wähle eine sichere Primzahl, d.h. auch ^p−1₂ und ^q−1₂ sind Primzahlen.

Beispiele: 83,107,10¹⁰⁰−166517.

Sichere Primzahlen sind jedoch schwer zu generieren.

Es ist nicht einmal geklärt, ob es unendlich viele davon gibt.

(19)

3:17 Sicherheitsaspekte von RSA Walter Unger 12.12.2015 15:58 WS2015/16 Z

Sicherheitsaspekte

Wie sicher ist RSA?

1 Lässt sich beispielsweise RSA ohne Faktorisierung knacken?

2 Kann manϕ(n)bestimmen?

3 Kann mand bestimmen?

4 Kann man bestimmen, ob das letzte Bit vonw gleich 1 ist?

5 Kann man testen, obw< ⁿ₂ gilt?

(20)

3:18 Sicherheitsaspekte von RSA Walter Unger 12.12.2015 15:58 WS2015/16 Z

Kann man ϕ(n) bestimmen?

n:=p·q ϕ(n) = (p−1)(q−1) c=w^emodn w=c^dmodn

Lemma

Fallsϕ(n)berechnet werden kann, dann kannp,qbestimmt werden.

Beweis.

ϕ(n) = (p−1)(q−1)⇒p+q=n−ϕ(n) +1

p(p+q)²−4n=p

2n+p²+q²−4n

=p

p²+q²−2n

=p (p−q)²

=|p−q|

n−ϕ(n)+1+√

(n−ϕ(n)+1)²−4n

2 =p

(21)

3:19 Kann man d bestimmen? Walter Unger 12.12.2015 15:58 WS2015/16 Z

Kann man d bestimmen?

Lemma

Fallsd berechnet werden kann, gibt es ein probabilistisches Verfahren, dasp,q bestimmt.

Vorgehen

Bekannt iste,d,n. Das Ziel ist die Bestimmung vonpundq.

Wähle einw mit 16w 6n

Versuche,nmitw zu faktorisieren (Verfahren kommt später).

Dies wird mit einer Wahrscheinlichkeit>0,5 gelingen.

Dann ist die Wahrscheinlichkeit, nachk Tests ein passendesw gefunden zu haben: 1−2^−k.

Das Verfahren kann deterministisch gemacht werden.

(22)

Verfahren

Falls ggT(w,n)>1, dann faktorisierenmit dem Algorithmus von Euklid.

Fallsw 6≡ ±1 (modn)undw²≡1 (modn), dann gilt:

(w+1)·(w−1) wird vonngeteilt und (w+1),(w−1) werden nicht vonngeteilt

=⇒ggT(w+1,n)liefertpoderq.

Falls die oben genannten Schritte erfolglos, führe folgende Schritte aus.

(23)

Verfahren

ed−1=2^sr mits>1 undr ungerade.

Daed−1 ein Vielfaches vonϕ(n)ist, gilt:w²^s^r ≡1 (modn).

Bestimme kleinstess⁰(06s⁰6s)mitw²^s

0

r ≡1 (modn).

Falls nuns⁰>0 undw²^{s0 −1}^r 6≡ −1 (modn), so gehe analog zum Fall 2.

vor (Faktorisierung ist möglich).

Andernfalls giltw^r ≡1 (modn)oderw²^t^r≡ −1 (modn)für ein t,06t<s (d.h.t=s⁰−1) und der Algorithmus verwirftw (Faktorisierung nicht möglich).

(24)

Fehlerwahrscheinlichkeit des Verfahrens

n:=p·q ϕ(n) = (p−1)(q−1) w^r≡1(modn)∨w^{2t r}≡ −1(modn)

Wir bestimmen nun die Wahrscheinlichkeit dafür, dass einw verworfen wird.

Setze dazu:

p−1=2ⁱa,q−1=2^jbmita,bungerade undi6j.

Da 2^sr ein Vielfaches vonϕ(n)ist, gilt, dassr ein Vielfaches vonabist.

Falls nunt>i, dann ist 2^trein Vielfaches vonp−1

⇒ w²^t^r ≡1 (modp)

⇒ w²^t^r 6≡ −1 (modp)

⇒ w²^t^r 6≡ −1 (modn)

Damit tritt der Fallt>i hier nicht auf.

(25)

Fehlerwahrscheinlichkeit

ϕ(n) = (p−1)(q−1) p−1=2ⁱa,q−1=2^jb.i6j w^r≡1(modn)∨w^{2t r}≡ −1(modn)

Es ist nur noch folgende Situation zu betrachten:

w^r≡1 (modn)oderw²^t^r≡ −1 (modn)für eint,06t<i Bestimme nun jeweils, für wievielew die Bedingungen erfüllt werden.

Betrachte:w^r ≡1 modn.

Seig ein Generator fürF^?(p)(d.h.g erzeugt 1, . . . ,p) und sei w ≡g^umodp.

Dann giltw^r≡1 modp ⇐⇒ ur=0 modp−1.

Die Anzahl der Lösungen ist ggT(r,p−1) =a (analog ggT(r,q−1) =b).

Damit hatw^r ≡1 modn a·bviele Lösungen.

(26)

Fehlerwahrscheinlichkeit

Es ist nur noch folgende Situation zu betrachten:

w^r ≡1 (modn)oderw²^t^r ≡ −1 (modn)für eint,06t6i Bestimme nun jeweils, für wievielew die Bedingungen erfüllt werden.

w^r ≡1 modnhata·bLösungen.

Betrachte nun:w²^t^r 6≡ −1 modn.

Anzahl der Lösungen von

w²^t+1^r≡1 (modp) ist ggT(2^t+1r,p−1) =2^t+1a w²^t^r≡1 (modp) ist ggT(2^tr,p−1) =2^ta

Beachte:t+16i w²^t^r ≡ −1 (modp) ist 62^ta

Beachte:t+16i6j w²^t^r ≡ −1 (modn) ist 62^ta·2^tb=2^2tab

(27)

Fehlerwahrscheinlichkeit

Wir fassen zusammen:

ab+ab

i−1

X

t=0

2^2t = ab(1+

i−1

X

t=0

4^t) =ab(1+4ⁱ−1 3 )

= ab(2

32²ⁱ⁻¹+2

3)6ab(2

32^i+j−1+2 3)

= ab(2^i+j−1+1

3(2−2^i+j−1))

6 ab2^i+j−1= ϕ(n)

2

=⇒50 Prozent allerw’s werden verworfen.

(28)

3:26 Sind Teilinformationen sicher? Walter Unger 12.12.2015 15:58 WS2015/16 Z

Orakel für x <

ⁿ₂

Angenommen, es gibt OrakelH mitH(e,n,x^e modn) =1⇐⇒x <ⁿ₂. Idee: Halbierungssuche unter Verwendung vonH.

Verwende Werte:

xê modn = xê modn 2êxêmodn = (2x)êmodn 4êxêmodn = (4x)êmodn 8êxêmodn = (8x)êmodn 16êxêmodn = (16x)êmodn

Damit wird dann durch Binärsuche das Intervall, in demx liegt, immer weiter eingeschränkt.

(29)

3:27 Sind Teilinformationen sicher? 1/16 Walter Unger 12.12.2015 15:58 WS2015/16 Z

Idee Orakel für x <

ⁿ₂

n:=p·q ϕ(n) = (p−1)(q−1) c=w^emodn w=c^dmodn Eingabe:x^emodn

1.Orakel:<n/2: xê7→(2x)êmodn: 2.Orakel<n/2: xê7→(2x)êmodn: 3.Orakel>n/2: xê7→(2x)êmodn: 4.Orakel<n/2: xê7→(2x)êmodn: 5.Orakel>n/2: xê7→(2x)êmodn: 6.Orakel<n/2: xê7→(2x)êmodn: 7.Orakel>n/2:

(30)

Idee Orakel für x <

ⁿ₂

1.Orakel:<n/2:

xê7→(2x)êmodn: 2.Orakel<n/2: xê7→(2x)êmodn: 3.Orakel>n/2: xê7→(2x)êmodn: 4.Orakel<n/2: xê7→(2x)êmodn: 5.Orakel>n/2: xê7→(2x)êmodn: 6.Orakel<n/2: xê7→(2x)êmodn: 7.Orakel>n/2:

(31)

Idee Orakel für x <

ⁿ₂

1.Orakel:<n/2:

xê7→(2x)êmodn: 2.Orakel<n/2: xê7→(2x)êmodn: 3.Orakel>n/2: xê7→(2x)êmodn: 4.Orakel<n/2: xê7→(2x)êmodn: 5.Orakel>n/2: xê7→(2x)êmodn: 6.Orakel<n/2: xê7→(2x)êmodn: 7.Orakel>n/2:

(32)

Idee Orakel für x <

ⁿ₂

1.Orakel:<n/2:

x^e7→(2x)^emodn:

2.Orakel<n/2: xê7→(2x)êmodn: 3.Orakel>n/2: xê7→(2x)êmodn: 4.Orakel<n/2: xê7→(2x)êmodn: 5.Orakel>n/2: xê7→(2x)êmodn: 6.Orakel<n/2: xê7→(2x)êmodn: 7.Orakel>n/2:

(33)

Idee Orakel für x <

ⁿ₂

1.Orakel:<n/2:

x^e7→(2x)^emodn:

2.Orakel<n/2:

xê7→(2x)êmodn: 3.Orakel>n/2: xê7→(2x)êmodn: 4.Orakel<n/2: xê7→(2x)êmodn: 5.Orakel>n/2: xê7→(2x)êmodn: 6.Orakel<n/2: xê7→(2x)êmodn: 7.Orakel>n/2:

(34)

Idee Orakel für x <

ⁿ₂

1.Orakel:<n/2:

x^e7→(2x)^emodn:

2.Orakel<n/2:

x^e7→(2x)^emodn:

3.Orakel>n/2: xê7→(2x)êmodn: 4.Orakel<n/2: xê7→(2x)êmodn: 5.Orakel>n/2: xê7→(2x)êmodn: 6.Orakel<n/2: xê7→(2x)êmodn: 7.Orakel>n/2: