Baby-Step Giant-Step Algorithmus Algorithmus

Baby-Step Giant-Step Algorithmus

Algorithmus Baby-Step Giant-Step EINGABE: n, a

1 Setze A:=⌈√ n⌉.

2 Erstelle Liste L mit Einträgen(x1,(g^A)^x1modn)für 0≤x₁<A.

3 Sortiere L nach der zweiten Komponente.

4 Für alle x ∈ {0, . . . ,A−1}

1 Falls ag^−x0 modn in einer der zweiten Komponenten (x1,(g^A)^x1 modn)von L auftaucht, EXIT.

AUSGABE: x =x₁A+x₀≡log_gamodϕ(n)

Laufzeit:

Wir vernachlässigen hier die Berechnung der Gruppenoperation.

Schritt 2:O(A), Schritt 3:O(A log A), Schritt 4:O(A log A).

Damit ist die GesamtlaufzeitO(A log A) =O(√

n log n).

Zahlentheorie - V13 - 16.05.2012 Quadratische Gleichungen, quadratische Reste, Legendre-Symbol 115 / 140

Bsp. Diskreter Logarithmus mit Baby-Step Giant Step

Bsp:

Wir berechnen log₂¯5 in U₁₃. Setze A:=⌈√

13⌉=4.Wir erhalten

i (2⁴)ⁱ mod13 5(2⁻¹)ⁱmod13

0 1 5

1 3 9

2 9 12

3 1 6

Wir erhalten für(x1,x₀) = (2,1)das gleiche Element 9.

Damit folgt x =x₁A+x₀=2·4+1=9.

Wir testen, dass 2⁹= (2³)³≡(−1)·8≡5mod13.

Die Wurzeln der (-1)

Lemma Wurzeln der (-1)

Für p ∈P\ {2}ist x²≡(−1)modp ist lösbar gdw p≡1mod4.

Beweis:

Sei g ein Generator von U_p. Dann gilt

g^p−21 6≡1modp und g^p−1≡1modp.

D.h. g^p−21 ist Nullstelle von X²−1 inF_p.

Wegen g^p−21 6≡1modp, muss g^p−21 ≡(−1)modp gelten. D.h.

log_g(−1)≡ ^p−2¹ modp−1.

Die Kongruenz x²≡(−1)modp ist äquivalent zu 2 log_gx ≡log_g(−1)≡ ^p−1₂ modp−1.

Die lineare Kongruenz ist lösbar gdwggT(2,p−1)|^p−2¹.

WegenggT(p−1,2) =2 bedeutet dies 2|^p−₂¹ bzw. p≡1mod4.

Zahlentheorie - V13 - 16.05.2012 Quadratische Gleichungen, quadratische Reste, Legendre-Symbol 117 / 140

Lösen allgemeiner quadratischer Gleichungen

Ziel: Effiziente Berechnung der Lösungen von X²≡d modp für p∈P,d ∈Z. Beobachtung: Sei p∈P\ {2}.

Das Lösen von ay²+by+c≡0modp kann für a6≡0modp auf das Lösen von x²≡d mod p zurückgeführt werden.

Wir multiplizieren obiges Polynom mit dem Inversen von a in Up: y²+^b_ay +^c_a ≡0modp⇔ y +_2a^b

≡ _2a^b2

−^c_a modp.

Sei d = _2a^b2

−^ca die Diskriminante. Wir lösen x²≡d modp.

Falls x eine Lösung ist, dann ist auch−x eine Lösung.

Beide Lösungen sind für p≥3, x 6≡0modp verschieden, denn x ≡ −x modp⇔2x ≡0modp⇔x ≡0modp.

Für unsere Ausgangskongruenz erhalten wir folgende Lösungen







−2a^b modp fallsd ≡0modp.

−2a^b ±x_1,2modp fallsx_1,2Lösungen vonx²≡dmodpsind.

keine Lösung sonst.

Quadratische Reste und das Legendre-Symbol

Definition Quadratischer Rest

Sei p ∈P. Ein a∈Zmit a6≡0modp heißt quadratischer Rest modulo p, falls ein b ∈Zexistiert mit b²≡amodp.

Sonst heißt a quadratischer Nicht-Rest.

Definition Legendre-Symbol

Für p ∈P, a∈Zdefinieren wir das Legrendre-Symbol als

a p

=







+1 fallsaquadratischer Rest modulop.

−1 fallsaquadratischer Nicht-Rest modulop.

0 fallsa≡0modp.

Bsp:

In U7gilt1¯²= ¯6²= ¯1,2¯²= ¯5²= ¯4 und3¯²= ¯4²= ¯2. Damit ist

1 7

= ²₇

= ⁴₇

=1, ³₇

= ⁵₇

= ⁶₇

= (−1)und ⁰₇

=0.

Zahlentheorie - V13 - 16.05.2012 Quadratische Gleichungen, quadratische Reste, Legendre-Symbol 119 / 140

Struktur der quadratischen Reste

Lemma Struktur der quadratischen Reste

Sei p ∈P\ {2}und g ein Generator von U_p. Ein gⁱmodp, i =0, . . . ,p−2, ist quadratischer Rest gdw i gerade ist.

Beweis:

⇐: Sei i =2k , k ∈N, dann ist(g^k)²≡gⁱ modp.

⇒: Sei gⁱ modp ein quadratischer Rest.

Dann existiert ein b∈Zmit b²≡gⁱ modp.

Da g Generator von U_p, existiert ein k ∈Nmit g^k ≡bmodp.

Es folgt 2k =i modp−1 bzw.

i =2k +c(p−1) =2(k+c·^p−12 )für ein c ∈Z. Damit ist i gerade.

Korollar

Für genau die Hälfte aller¯a∈Upgilt(_p^a) =1.

Genau die ^p−₂¹ Elemente a∈ {g²,g⁴, . . . ,g^p−1}liefern

a p

=1.

Eigenschaften des Legendre-Symbols

Satz Eigenschaften des Legendre-Symbols Sei p ∈P\ {2}und a,b∈Z. Es gilt

1 a≡bmodp⇒(^a_p) = (^b_p) (auch für p =2).

2 Euler-Identität:(^a_p)≡a^p−21 modp.

3 (⁻_p¹) = (−1)^p−21 =

(+1 fallsp≡1mod4

−1 fallsp≡3mod4.

4 Multiplikativität:(^ab_p) = (_p^a)(^b_p).

5 (^ab_p²) = (^a_b)für b6≡0modp.

Zahlentheorie - V13 - 16.05.2012 Quadratische Gleichungen, quadratische Reste, Legendre-Symbol 121 / 140

Eigenschaften des Legendre-Symbols

Beweis:

(1) Für a≡b≡0modp ist die Aussage klar. Ansonsten gilt (^a_p) =1⇔ ∃c∈Zmit c²≡a≡bmodn⇔(^b_p) =1.

D.h.(^a_p) = (^b_p), da das Legendre-Symbol nur Werte±1 annimmt.

(2) Für a≡0modp sind beide Seiten 0. Sei also a6≡0.

Wir schreiben a≡gⁱmodp für einen Generator g von U_p. Lemma Folie 120: Für die linke Seite gilt(^g_pⁱ) =1⇔i ≡0mod2.

Behauptung: a^p−21 ≡g^ip−21 ≡1mod2⇔i≡0mod2.

Aus dieser Behauptung folgt die Euler-Identität.

⇐:Für gerades i =2k gilt g^ip−21 ≡g^k(p−1)≡1modp.

⇒:Sei g^ip−21 ≡1modp. Dann gilt

p−1|i^p−1₂ bzw. i^p−1₂ ≡0modp−1 und damit i ≡0mod2.