Gr ¨oßter gemeinsamer Teiler

(1)

Gr ¨oßter gemeinsamer Teiler

Seic=λ₁a₁+λ₂a₂die Ausgabe des euklidischen Algorithmus.

•F ¨urd|a1undd|a2 gilt wegenc=λ1a1+λ2a2auchd|c. Daher istc ein gr ¨oßter gemeinsamer Teiler vona1unda2, geschrieben c= gcd{a1,a2}.

•Andererseits giltgcd{a1,a2}=∏ip^min{v_i ^pi^(a¹^),v^pi^(a²^)}, wenn die pidie in a1a2vorkommenden Primelemente bezeichnen.

•Es giltRgcd{a1,a₂}=Ra₁+Ra₂.

Zwei Elementea,b∈Rheißen teilerfremd, wenngcd{a,b}= 1oder

¨aquivalenterweiseR=Ra+Rb.

3 27. Mai 2004

Kleinstes gemeinsames Vielfaches

Seic=a1a2/gcd{a1,a2}=∏ip^max{v_i ^pi^(a¹^),v^pi^(a²^)}.

•Es gilta₁|cunda₂|cund f ¨ur jedesd∈Rmita₁|dunda₂|dfolgt c|d. Damit istcein kleinstes gemeinsames Vielfaches vona₁und a₂, geschriebenc=lcm{a1,a₂}.

•Es giltRlcm{a1,a₂}=Ra₁∩Ra₂.

•Sinda1unda2teilerfremd, so folgtRa1∩Ra2=Ra1a2.

4 27. Mai 2004

Euklidische Ringe

SeiRein Integrit ¨atsring. Man nenntReinen euklidischen Ring, wenn es eine Gradfunktiond:R\{0} →Z^≥0mit der folgenden Eigenschaft gibt: Zua,b∈Rundb6= 0gibt ess,r∈Rmita=sb+rundr= 0oder d(r)<d(b)(Division mit Rest).

Notation wieders=adivbundr=amodb.

Thm: F ¨ur jedes IdealIvonRgibt es einb∈RmitI=Rb(das heißtI ist ein Hauptideal).

Sinda1,a2∈R, so gibt es daher einc∈RmitRc=Ra1+Ra2. Es gibt alsoλ₁,λ₂∈Rmitc=λ₁a1+λ₂a2 undc|a1,c|a2.

Die Elementeλ_ik ¨onnen mit dem euklidischen Algorithmus ausgerechnet werden.

1 27. Mai 2004

Primelemente und Faktorisierung

Seic∈R\({0} ∪R^×). Folgt ausc|(ab)bereitsc|aoderc|bf ¨ur alle a,b∈R, so heißtcPrimelement vonR. Folgt ausc=abbereitsa∈R^× oderb∈R^×, so heißtcirreduzibel.

Thm: SeiReuklidisch.

i) Die Menge der Primelemente ist gleich der Menge der irreduziblen Elemente.

ii) F ¨ur jedesa∈R\{0}gibt esu∈R^×, Primelementep_iunde_i∈Z^≥1mit a=u

n

∏

i=1

p^e_iⁱ.

Diee_iund p_i(bis auf Elemente inR^×) sind eindeutig bestimmt.

Wir erhalten Funktionenvp_i:R\{0} →Zmitvp_i(a) =ei.

2 27. Mai 2004

(2)

Chinesischer Restsatz

Allgemeinerλ_i=b⁻¹_i moda_im ¨oglich.

Formel von Garner:a=a1a2 mita1,a2prim und teilerfremd. Sei c= ((c₁−c2)(a⁻¹₂ moda1) moda1)a₂+c2. Dannc=c1moda1und c=c₂moda₂.

Formel von Garner kann induktiv auf beliebig vielea_iverallgemeinert werden.

Englische Abk ¨urzung: CRT (Chinese Remainder Theorem).

7 27. Mai 2004

Beispiele

Es giltZ/2Z×Z/3Z×Z/5Z∼=Z/30Z. Wegen1 =−3·5 + 2·5 + 2·3 entspricht das Element(1,2,3)dem Wert

1· −3·5 + 2·2·5 + 3·2·3 =−7 = 23 mod 30.

Check:23 = 1 mod 2,23 = 2 mod 3und23 = 3 mod 5.

Es giltk[x]/(x−1)k[x]×k[x]/(x+ 1)k[x]∼=k[x]/(x²−1)k[x].

Elemente der linken Seite werden durch Paare(c1,c2)∈k×k repr ¨asentiert.

Wegen1 = (x+ 1)/2−(x−1)/2entspricht das Element(c₁,c₂)dem Wertc=c₁(x+ 1)/2−c₂(x−1)/2 = (c1+c₂+ (c₁−c₂)x)/2 modx²−1.

Check: F ¨urx= 1ergibt sichc(1) =c1und f ¨urx=−1ergibt sich c(−1) =c2.

Regel:g(x) mod (x−x₀) =g(x₀).

Beispiele

InZgiltZ^×={−1,1}. Die Primelemente sind±2,±,3,±5, . . .. Ink[x]giltk[x]^×=k^×. Die Primelemente vom Grad eins sindu(x−x0) f ¨uru∈k^×undx0∈k.

InZist±6ein ggT und±210ein kgV von42und30.

Ink[x]giltv_x+1(x²−1) = 1undv_x(x²−1) = 0.

Es gilt3Z+ 2Z=Zund2Z∩3Z= 2Z·3Z= 6Z.

5 27. Mai 2004

Chinesischer Restsatz

Seienai∈Rpaarweise teilerfremd,Ii=Rai,a=∏iaiundI=Ra.

Wir betrachten den Homomorphismus f :R→∏ⁿ_i=1R/Ii, x7→(x+I_i)_1≤i≤n.

Es giltker(f) =∩ⁿ_i=1I_i=∏_iI_i=I, so daßg:R/I→∏ⁿ_i=1R/Ii,g(x+I)7→ f(x) injektiv ist.

Thm: Der Monomorphismusgist ein Isomorphismus, R/I∼=

n

∏

i=1

R/Ii.

Bew: Es bleibt die Surjektivit ¨at zu zeigen. Setzeb_i=∏_j6=ia_j. Dieb_i haben keinen gemeinsamen Primteiler und daraus folgtR=∑_iRb_i. Es gibt alsoλ_i∈Rmit1 =∑_iλ_ib_i. Sei(c_i+I_i)_i∈∏ⁿ_i=1R/Iimitc_i∈R. Setze c=∑_ic_iλ_ib_i. Wegena_j|b_if ¨ur alle j6=iergibt sich1 =λ_ib_imodI_iund c=c_imodI_i. Folglichg(c) = (c_i+I_i)_iundgist surjekiv.

(3)

Shamir’s Secret Sharing

Rekonstruktion des Geheimnisses:

≥t Teilnehmer k ¨onnen das Polynom f eindeutig aus ihren Werten (x_i,y_i)mit Lagrange Interpolation rekonstruieren, und damit den Wert y₀= f(x₀)berechnen.

Bei<t Teilnehmer ist das Polynom nicht eindeutig bestimmt, f(x0) kann theoretisch jeden beliebigen Wert auskannehmen.

11 27. Mai 2004

Langzahlarithmetik

M ¨ussen mit großen ganzen Zahlen rechnen.

Seien f,g∈Z^≥1mitb= log(f)≥log(g). Aufwand in Bitoperationen:

• f+g, f−g:O(log(f) + log(g)) =O(b)

• f g:O(log(f) log(g)) =O(b²).

• f =sg+r:O(log(s) log(g)) =O(b²).

•gcd{f,g}:O(b²).

Analoges gilt f ¨ur f,g∈k[x]mitlogersetzt durchdegund Aufwand in Operationen ink.

Es gibt asymptotisch bessere Algorithmen. Die Multiplikation kann z.B. inO(b^1.58)oder auchO(blog(b)²)ausgef ¨uhrt werden. Spielt in der Kryptographie keine so große Rolle, da die Zahlen nicht groß genug sind.

12 27. Mai 2004

Lagrange Interpolation

Ist chinesischer Restsatz f ¨ur lineare Polynome.

Seienx_i∈kf ¨ur1≤i≤npaarweise verschieden, undy_i∈k. Wollen f ∈k[x]mitdeg(f)<nund f(x_i) =y_ifinden.

Ansatz:bi(x) =∏_j6=i(x−xj)/(xi−xj). Dann gilt

1 =bi(xi) =bi(x) mod (x−xi)und0 =bi(xj) =bi(x) mod (x−xj).

Folglich1 =∑ⁿ_i=1b_i(x)zun ¨achst modulo∏_i(x−x_i)und dann exakt aus Gradgr ¨unden. Desweiteren ist f(x) =∑_iy_ib_i(x)ist das gesuchte Polynom.

9 27. Mai 2004

Shamir’s Secret Sharing

Aufgabe:

nTeilnehmer sollen sich ein Geheimnis teilen (z.B. soll ein Masterschl ¨ussel aufgeteilt werden).

Genau dann, wenn≥tTeilnehmer zusammenarbeiten, sollen sie das Geheimnis rekonstruieren k ¨onnen.

Aufteilen des Geheimnisses:

Seiy₀∈kdas Geheimnis undx₀∈k ¨offentlich bekannt.

1. W ähle ein zuf älliges Polynom f ∈k[x]vom Gradt−1mit f(x0) =y0. 2. W ähle paarweise verschiedenex₁, . . . ,x_n∈kmitx_i6=x₀und

berechneyi= f(x_i).

3. Gebe(x_i,y_i)f ¨ur1≤i≤nan deni-ten Teilnehmer.

10 27. Mai 2004

(4)

Euler Phi Funktion

SeiR∈ {Z,k[x]}f ¨urk=Fqundn∈R\{0}. Dannφ(n) = #(R/nR)^×. Eigenschaften:

•φ(n) = 0genau dann, wennn∈R^×.

•φ(n^e) = #(R/nR)^×·#(R/nR)^e−1.

•Speziellφ(nê) = (n−1)nê−1f ür primesn∈Zunde∈Z^≥0.

•Speziellφ(n^e) = (q^d−1)q^d(e−1)f ¨ur primesn∈k[x]mitdeg(n) =dund e∈Z^≥0.

•φ(n₁n₂) =φ(n₁)φ(n₂)f ¨ur teilerfremde Nichteinheitenn₁,n₂∈R.

15 27. Mai 2004

RSA Kryptosystem

Wurde 1977 von Rivest, Shamir und Adleman erfunden.

•Genaue Beschreibung im PKCS#1.

•RSA US-Patent 2000 ausgelaufen (aber nicht f ¨ur spezielle Techniken -

”multiprime RSA“).

•De-facto Standard f ¨ur asymmetrische Kryptosysteme.

•1973 im geheimen vom CESG (UK) erfunden.

Schl ¨usselerzeugung:

Seienp,qzwei verschiedene, ungerade Primzahlen undn=pq.

Sei1<e<φ(n)teilerfremd zuφ(n) = (p−1)(q−1)und1<d<φ(n)mit ed= 1 modφ(n).

Der ¨offentliche Schl ¨ussel ist(n,e).

Der geheimen Schl ¨ussel ist(p,q,φ(n),d).

Langzahlarithmetik

M ¨ussen mit großen ganzen Zahlen modulonrechnen.

Seien f,g∈Z/nZmitb= log(n). Aufwand in Bitoperationen:

• f+g, f−g:O(b)

• f g, f/g:O(b²).

• f^c:O(log(c)b²).

Analoges gilt f ¨ur f,g∈k[x]/hk[x]mitb= deg(h)und Aufwand in Operationen ink.

Es gibt Bibliotheken f ¨ur die Langzahlarithmetik inZundZ/nZbzw. f ¨ur k[x]undk[x]/hk[x](z.B. GMP, NTL, . . . ).

13 27. Mai 2004

Langzahlarithmetik mit CRT

Rechnen inZ/nZf ¨urn=pqmitp,qprim, teilerfremd und log(p)≈log(q):

•Z/nZ∼=Z/pZ×Z/qZ.

•Statt inZ/nZinZ/pZ×Z/qZrechnen.

•ZwischenZ/nZundZ/pZ×Z/qZmit mod und Garner hin- und herschalten.

Multiplikation inZ/pZbzw.Z/qZviermal so schnell wie inZ/nZ. Daher doppelt so schnell inZ/pZ×Z/qZwie inZ/nZ.

Exponentiationen f ¨ur zuf ¨alligen Exponenten noch besser,b= log₂(n):

•InZ/nZ:≈3b/2b-Bit Multiplikationen.

•InZ/pZ:≈3b/4b/2-Bit Multiplikationen.

•InZ/pZ×Z/qZ:≈3b/2b/2-Bit Multiplikationen.

Daher3-4mal schneller.

(5)

Primzahlerzeugung

Thm (Primzahlsatz): Seiπ(x) = #{p|pPrimzahl,1≤p≤x}.

F ¨urx>17giltx/log(x)<π(x)<1.25506x/log(x).

F ¨urx→∞giltπ(x)/(x/log(x))→1.

Strategie:

•Zuf ällige ganze Zahlenxder gew ünschten Bitl ängeberzeugen.

•Testen, obxprim. Erfolgswahrscheinlichkeit1/(blog(2)).

Primzahltests:

•Miller-Rabin: Eine Antwort

”ist prim“ ist mit Wahrscheinlichkeit

≤(1/4)^rfalsch, beirIterationen. Kann man unter2⁻¹²⁸dr ¨ucken.

Eine Antwort

”ist nicht prim“ ist immer richtig.

•Einige andere probabilistische Tests ...

•Agrawal-Kayal-Saxena (2002): Deterministischer, polynomieller Primzahltest (

”primes in P“).

19 27. Mai 2004

RSA Sicherheit

Thm: Aus einem Teil des geheimen Schl ¨ussels(p,q,φ(n),d)und dem

öffentlichen Schl üssel(n,e)kann man die anderen Teile des geheimen Schl üssels effizient ausrechnen.

•Gegeben poderqist das klar.

•Gegebenφ(n)haben wir zwei Gleichungenpq=n,

(p−1)(q−1) =φ(n). Man kann leicht nachpundqaufl ¨osen.

•Gegebendisted−1bei kleinemeein kleines Vielfaches vonφ(n).

Durch Ausprobieren kann manφ(n)herausbekommen.

•Auch bei beliebigemekann man ausddie Werte p,q,φ(n) berechnen (n ¨achste Folie).

Ein Algorithmus zum Berechnen vonφ(n)oderdist also polynomiell

¨aquivalent zu einem Algorithmus zum Faktorisieren vonn.

20 27. Mai 2004

RSA Kryptosystem

Die RSA Funktion wird durch f :Z/nZ→Z/nZ,x7→x^emodndefiniert.

Thm: Die zu f inverse Funktion ist durchg:Z/nZ→Z/nZ, y7→y^d modngegeben.

Bew: Wir m üssen zeigen:xêd=xf ürx∈Z/nZ. Es gilted= 1 +m(p−1) f ür einm∈Zundx^p−1= 1f ürx∈(Z/pZ)^×, daher auchxêd=xx^m(p−1)=x f ür allex∈Z/pZ. Analog f ürq. Also giltxêq=xf ürx∈Z/pZ×Z/qZ und wegenZ/nZ∼=Z/p×Z/qZauch f ürx∈Z/nZ.

Verschl üsselung: Nachricht alsm∈Z/nZdarstellen, dann Chiffretext c= f(m)mit öffentlichem Schl üsseleberechnen.

Entschl ¨usselung:m=g(c)mit dem geheimen Schl ¨usseldberechnen.

17 27. Mai 2004

RSA Parameter

Die Primzahlen p,qsollen eine ungef ähr gleiche L änge von mindestens512Bit haben, alsoneine Bitl änge von1024.

Man erwartet, daßnmit2048Bit bis2022undnmit4096Bit bis2050 sicher sind. Einnmit6800Bit entspricht der Sicherheit von AES-128.

Ubliche M ¨oglichkeiten f ¨ur¨ esinde∈ {3,5,17,65537}.

Der Wert vondhat dann im algemeinen eine Bitl ¨ange ¨ahnlich wien.

Verschl ¨usseln ist daher viel schneller als entschl ¨usseln.

18 27. Mai 2004