Chinesischer Restsatz

(1)

Beispiele

Es giltZ/2Z×Z/3Z×Z/5Z∼=Z/30Z. Wegen1 =−3·5 + 2·5 + 2·3 entspricht das Element(1,2,3)dem Wert

1·(−3·5) + 2·(2·5) + 3·(2·3) =−7 = 23 mod 30.

Check:23 = 1 mod 2,23 = 2 mod 3und23 = 3 mod 5.

Regel: F ¨ur Polynome ink[x]giltg(x) mod (x−x0) = g(x0).

Es giltk[x]/(x−1)k[x]×k[x]/(x + 1)k[x]∼= k[x]/(x²−1)k[x].

Elemente der linken Seite werden durch Paare(c1,c2)∈k×k repr ¨asentiert.

Wegen1 = (x + 1)/2−(x−1)/2entspricht das Element(c₁,c₂)dem Wertc = c₁(x + 1)/2−c₂(x−1)/2 = (c1+ c₂+ (c₁−c₂)x)/2 mod x²−1.

Check: F ¨urx = 1ergibt sichc(1) = c1und f ¨urx =−1ergibt sich c(−1) = c2.

3 23. November 2006

Lagrange Interpolation

Ist chinesischer Restsatz f ¨ur lineare Polynome.

Seienx_i∈kf ¨ur1≤i≤npaarweise verschieden, undy_i∈k. Wollen f ∈k[x]mitdeg( f )<nund f (x_i) = y_ifinden.

Methode:b_i(x) =∏j6=i(x−x_j)undλi=∏j6=i(x_i−x_j)⁻¹. Dann gilt 1 =λib_i(x_i) =λib_i(x) mod (x−x_i)und0 =λjb_j(x_i) =λjb_j(x) mod (x−x_i).

Folglich1 =∑ⁿj=1λjb_j(x)beziehungsweise1−∑ⁿj=1λjb_j(x) = 0zun ächst modulo jedemx−xi, wegen der Teilerfremdheit derx−xidann auch modulo∏i(x−xi), und dann exakt ink[x]aus Gradgr ünden. Es gilt n ämlichdeg(∑ⁿj=1λjbj(x))<deg(∏i(x−xi)), und

1−∑ⁿj=1λjbj(x) = 0 mod∏i(x−xi)impliziert1−∑ⁿj=1λjbj(x) = 0. Wie im Beweis des chinesischen Restsatz ist schließlich f (x) =∑iy_iλib_i(x)das gesuchte Polynom.

4 23. November 2006

Chinesischer Restsatz

Seiena_i∈Rpaarweise teilerfremd,I_i= Ra_i,a =∏ia_iundI = Ra.

Wir betrachten den Homomorphismus f : R→∏ⁿi=1R/Ii, x7→(x + Ii)_1≤i≤n.

Es giltker( f ) =∩ⁿ_i=1Ii=∏iIi= I, so daßg : R/I→∏ⁿi=1R/Ii,g(x + I)7→ f (x) injektiv ist.

Thm: Der Monomorphismusgist ein Isomorphismus, liefert R/I∼=

∏

n i=1

R/Ii.

Bew: Es bleibt die Surjektivit ¨at zu zeigen. Setzebi=∏j6=iaj. Diebi

haben keinen gemeinsamen Primteiler und daraus folgtR =∑iRbi. Es gibt alsoλj∈Rmit1 =∑jλjb_j. Sei(c_i+ I_i)_i∈∏ⁿ_i=1R/Iimitc_i∈R. Setze c =∑jc_jλjb_j. Wegena_i|b_jf ¨ur alle j6= igilt1 =∑jλjb_j=λib_imod I_iund c = c_imod I_i. Folglichg(c) = (c_i+ I_i)_iundgist surjekiv.

1 23. November 2006

Chinesischer Restsatz

Im Beweis giltλi= b⁻¹_i mod a_i.

Formel von Garner:a = a1a2mita1,a2prim und teilerfremd. Sei c = ((c1−c2)(a⁻¹₂ mod a1) mod a1)a2+ c2. Dannc = c1mod a1und c = c₂ mod a₂.

Formel von Garner kann induktiv auf beliebig vielea_iverallgemeinert werden.

Englische Abk ¨urzung: CRT (Chinese Remainder Theorem).

2 23. November 2006

(2)

Langzahlarithmetik

M ¨ussen mit großen ganzen Zahlen rechnen.

Seien f,g∈Z^≥1mitb = log( f )≥log(g). Aufwand in Bitoperationen:

• f + g, f−g:O(log( f ) + log(g)) = O(b)

• f g:O(log( f ) log(g)) = O(b²).

• f^c:O(log(c)b²).

• f = sg + r:O(log(s) log(g)) = O(b²).

•gcd{f,g}:O(b²).

Analoges gilt f ¨ur f,g∈k[x]mitlogersetzt durchdegund Aufwand in Operationen ink.

7 23. November 2006

Langzahlarithmetik

Es gibt asymptotisch bessere Algorithmen. Die Multiplikation kann z.B. inO(b^1.58)oder auchO(b log(b)²)ausgef ¨uhrt werden. Spielt in der Kryptographie keine so große Rolle, da die Zahlen nicht groß genug sind.

Es gibt Bibliotheken f ¨ur die Langzahlarithmetik inZundZ/nZbzw. f ¨ur k[x]undk[x]/hk[x](z.B. GMP, NTL, Kash, . . . ).

8 23. November 2006

Shamir’s Secret Sharing

Aufgabe:

nTeilnehmer sollen sich ein Geheimnis teilen (z.B. soll ein Masterschl ¨ussel aufgeteilt werden).

Genau dann, wenn≥tTeilnehmer zusammenarbeiten, sollen sie das Geheimnis rekonstruieren k ¨onnen.

Aufteilen des Geheimnisses:

Seiy0∈kdas Geheimnis undx0∈k ¨offentlich bekannt.

1. W ähle ein zuf älliges Polynom f ∈k[x]vom Gradt−1mit f (x₀) = y₀. 2. W ähle paarweise verschiedenex1, . . . ,xn∈kmitxi6= x0und

berechney_i= f (x_i).

3. Gebe(xi,yi)f ¨ur1≤i≤nan deni-ten Teilnehmer.

5 23. November 2006

Shamir’s Secret Sharing

Rekonstruktion des Geheimnisses:

≥t Teilnehmer k ¨onnen das Polynom f eindeutig aus ihren Werten (x_i,y_i)mit Lagrange Interpolation rekonstruieren, und damit den Wert y₀= f (x₀)berechnen.

Bei<t Teilnehmer ist das Polynom nicht eindeutig bestimmt, f (x0) kann theoretisch jeden beliebigen Wert auskannehmen.

6 23. November 2006

(3)

Langzahlarithmetik mit CRT

Rechnen inZ/nZf ¨urn = pqmitp,qPrimzahlen, teilerfremd und log(p)≈log(q):

•Z/nZ∼=Z/pZ×Z/qZ.

•Statt inZ/nZinZ/pZ×Z/qZrechnen.

•ZwischenZ/nZundZ/pZ×Z/qZmit mod und Garner hin- und herschalten.

Multiplikation inZ/pZbzw.Z/qZviermal so schnell wie inZ/nZ. Daher doppelt so schnell inZ/pZ×Z/qZwie inZ/nZ.

Exponentiationen f ¨ur zuf ¨alligen Exponenten noch besser,b = log₂(n):

•InZ/nZ:≈3b/2 b-Bit Multiplikationen.

•InZ/pZ:≈3b/4 b/2-Bit Multiplikationen.

•InZ/pZ×Z/qZ:≈3b/2 b/2-Bit Multiplikationen.

Daher3b/2·b²mit3b/2·b²/4vergleichen, also3-4mal schneller.

9 23. November 2006

Euler Phi Funktion

SeiR∈ {Z,k[x]}f ¨urk =Fqundn∈R\{0}. Dannφ(n) = #(R/nR)^×. Eigenschaften:

•φ(n) = 0genau dann, wennn∈R^×.

•φ(n^e) = #(R/nR)^×·#(R/nR)^e−1.

•Speziellφ(nê) = (n−1)nê−1f ürn∈ZPrimzahl unde∈Z^≥0.

•Speziellφ(n^e) = (q^d−1)q^d(e−1)f ¨urn∈k[x]Primpolynom mit deg(n) = d unde∈Z^≥0.

•φ(n1n₂) =φ(n1)φ(n2)f ¨ur teilerfremde Nichteinheitenn₁,n₂∈R.

10 23. November 2006