Algorithmische Kryptographie Kapitel 5 Public-Key-Systeme: RSA

(1)

Algorithmische Kryptographie Kapitel 5

Public-Key-Systeme: RSA

Walter Unger

Lehrstuhl f¨ur Informatik 1

30. Januar 2009

(2)

Einleitung Erinnerung

Bestimmung des gr¨oßten gemeinsamen Teilers Effiziente Berechnung von Potenzen

Chinesischer Restsatz Aufbau

Sicherheitsaspekte von RSA Verschl¨usselung d bestimmen?

K¨onnen Teilinformationen entschl¨usselt werden?

Unterschrift Angriffe

(3)

Einleitung Erinnerung Aufbau Sicherheitsaspekte von RSA Unterschrift Angriffe

(5:1) Walter Unger Z

Einleitung zu RSA

I RSA startete als direkter Konkurrent zu DES.

I RSA ist einfach zu verstehen und ist heute weit verbreitet.

I Der Algorithmus basiert auf der Grundidee, daß die

Multiplikation von Primfaktoren leicht, das Faktorisieren aber ein schweres Problem ist.

I Bis heute erscheint er als ein relativ sicheres Verfahren.

I auch wenn es keinen Beweis daf¨ur gibt.

I Vorteilhaft ist außerdem die Wahl beliebig großer Schl¨ussel.

(4)

Definition:

I Es seiena,b∈Z.

I a teilt b, wenn es eind ∈Zgibt mitb=da.

I aheißt dannTeileroderFaktorvonb.

I Man schreibt danna|b.

I Istakein Teiler vonb, so schreibt mana6 |b.

(5)

Definition:

I Es seiena,b∈Z.

I Eine ganze Zahld ∈N0heißtgr¨oßter gemeinsamer Teilervon aundb, falls

1. d|aundd |b.

2. F¨ur jedesc∈Zmitc|aundc|bgiltc|d.

I Kurzschreibweise:d= ggT(a,b)

I a,b∈Zheißenteilerfremd, wenn ggT(a,b) = 1.

Bemerkung:

ggT(m,0) = ggT(0,m) =|m|f¨ur allem∈Z.

(6)

Definition:

I Es seiena,b∈Z.

I Einm∈N0 heißtkleinstes gemeinsames Vielfachesvonaundb, falls 1. a|mundb|m.

2. F¨ur jedesc∈Zmita|c undb|c giltm|c.

I Kurzschreibweise:m=kgV(a,b) Bemerkung:

kgV(m,0) =kgV(0,m) = 0 f¨ur allem∈Z.

(7)

Definition:

I Es seim∈N,m>2.

I F¨ura,b∈Zsetzt man:

I a≡b (modm)

I Sprechweise: ,,akongruentb modulom”

I genau dann wennm|a−b. I Die Zahlmheißt derModul.

(8)

Satz:

I Seim∈N,m>2.

I Die Relation≡ (modm) ist eine ¨Aquivalenzrelation aufZ. I Die ¨Aquivalenzklassen sind genau die Mengen

[a]m = {a+km|k∈Z} f¨ura∈ {0,1, . . . ,m−1}.

(9)

Definition:

I [a]mheißt dieRestklassevonamodulom.

I Seix∈Z.

I Derkleinste nicht-negative Rest von x modulo m, I d.h.a∈ {0,1, . . . ,m−1}mita≡x(modm), I wird mitx modmbezeichnet.

Aquivalente Definition:¨ I Seim∈N,m>2.

I Bezeichnebxcdie gr¨oßte ganze Zahl6x. Dann gilt:

x modm = x−jx m

k

·m.

(10)

Definition:

I Eine Zahlp∈NheißtPrimzahl,

I wennp>1 und wenn

I pals positive Teiler nur 1 und pbesitzt.

I Eine Zahln∈N, die keine Primzahl ist, heißtkomposit.

(11)

Satz:

I Jede natürliche Zahl läßt sich ausdrücken als ein Produkt von nichttrivialen Potenzen unterschiedlicher Primzahlen,

n = pê₁¹·p₂ê²·. . .·pê_k^k.

I Bis auf die Reihenfolge der Faktoren ist diesePrimfaktorzerlegung eindeutig.

Bemerkung:

I Bisher sind keine effizienten Algorithmen zur Primfaktorzerlegung einer Zahlp∈Nbekannt,

I nicht einmal f¨ur den einfachen Fall, daßn=p·q,p,qprim.

(12)

Bestimmung des gr¨oßten gemeinsamen Teilers (5:10) Walter Unger Z

1. Ansatz:

Seiena,b∈Nmit

a = Y

16i6k

p_i^eⁱ, b = Y

16i6k

p^f_iⁱ,

wobeip1, . . . ,pkPrimzahlen sind undei,fi ∈N⁰. Dann gilt ggT(a,b) = Y

16i6k

p^min(e_i ⁱ^,fⁱ⁾.

Bemerkung:

Ansatz erscheint nicht effizient, da Primfaktorzerlegung vonaundbnotwendig.

(13)

2. Ansatz: Euklidischer Algorithmus

Beobachtung:

d|a und d|b ⇔ d |a und d |bmoda. (direkt aus Definition)

EUCLID(a,b)

{a,b∈N0} (1) if (b= 0) then (2) return(a) (3) else

(4) return(EUCLID(b,amodb)).

(14)

Beispielrechnung:

ggT(180,146)

= ggT(146,34)

= ggT(34,10)

= ggT(10,4)

= ggT(4,2)

= ggT(2,0)

= 2.

Aufwand:

O((loga)·(logb)) Bit-Operationen.

(15)

Bemerkung:

Eine leicht modifizierte Version des Euklidischen Algorithmus berechnet mit demselben Zeitaufwandx,y ∈Zmit

ggT(a,b) = xa+yb.

(16)

Folgerung 1:

I Falls ggT(a,m) = 1, existierenx,y∈Zmit 1 = xa+ym, also mitxa≡1 (modm).

I Die Zahlx mod mwird als das Inverse vonamod mbezeichnet.

I Schreibweise:a⁻¹(modm).

I Formal korrekt: [a]⁻¹_m unter Betrachtung des RestklassenringsZ/mZ. I Berechnungsaufwand analog zum Euklidischen Algorithmus.

(17)

Folgerung 2:

I Falls ggT(a,m) = 1, l¨aßt sich die Kongruenz az≡b (modm) mitO((logm)²) Aufwand berechnen.

I Umz zu finden, berechne zun¨achsta⁻¹(modm) und multipliziere anschließend mitb(modm).

(18)

Satz:

I Addition und Subtraktion (modm) lassen sich mitO(logm) Bit-Operationen berechnen. Beachte, daß f¨ur 06a,b<mgilt:

(a+b) mod m =

 a+b fallsa+b<m a+b−m fallsa+b>m.

I Multiplikation (modm) l¨aßt sich mitO((logm)²) Bit-Operationen berechnen.

[Schulalgorithmus]

Beobachtung:

a^e =

 a·a^e−1, fallse ungerade (a^e/2)², fallse gerade

(19)

Effiziente Berechnung von Potenzen (5:17) Walter Unger Z

Beobachtung:

POWER(a,e,m) {a,e,m∈N0, m>2}

(1) if e= 0 then return(1) (2) else if emod 2 = 0 then (3) t ← POWER(a,e/2,m) (4) return(t²mod m) (5) else

(6) t ← POWER(a,e−1,m) (7) return(a·tmod m) Aufwand:

O((loge)·(logm)²) [stattO(e·(logm)²) f¨ur naiven Ansatz]

Bemerkung:

Zahlen werden nie gr¨oßer alsm².

(20)

Effiziente Berechnung von Potenzen (5:18) Walter Unger Z

Beispielrechnung:

3³¹mod 43

= (3·3³⁰) mod 43

= (3·9¹⁵) mod 43

= (3·9·9¹⁴) mod 43

= (3·9·81⁷) mod 43

= (3·9·(−5)⁷) mod 43

= (−135·5⁶) mod 43

= (−6·5⁶) mod 43

= (−6·125²) mod 43

= (−6·(−4)²) mod 43

= (−6·16) mod 43

= (−96) mod 43

= (−10) mod 43

= 33.

(21)

Eulerscheϕ-Funktion (5:19) Walter Unger Z

Definition:

I ϕ(1) := 1.

I F¨urm>2 definiere

ϕ(m) :=|{a∈Z|06a6m−1; ggT(a,m) = 1}|

Satz:

1. F¨ur jede Primzahlpund jedesb∈Nistϕ(p^b) =p^b−p^b−1. 2. Sindm,n∈Nteilerfremd, so giltϕ(m·n) =ϕ(m)·ϕ(n).

Folgerung:

ϕ(m) ist leicht zu berechnen, falls die Primfaktorzerlegung vonmbekannt ist.

(22)

Eulerscheϕ-Funktion (5:20) Walter Unger Z

Satz [Euler]:

Es seienm∈Nunda∈Zteilerfremd.

1. Dann ista^ϕ(m)≡1 (modm).

Satz [Fermat]:

Es seipeine Primzahl.

1. F¨ur jedesa∈Zmitp6 |aista^p−1≡1 (modp).

2. F¨ur jedesa∈Zista^p≡a(modp).

(23)

Chinesischer Restsatz (5:21) Walter Unger Z

Satz [Chinesischer Restsatz]:

I Es seienm1,m2, . . . ,mn∈Npaarweise teilerfremd, I es seiena1,a2, . . . ,an∈Z;

I es seiM:=Qn i=1mi.

I Dann existiert ein eindeutig bestimmtesx0∈ {0,1, . . . ,M−1}mit x0≡a1(modm1)

x0≡a2(modm2) ..

.

x0≡an(modmn)

I Es gilt: {x ∈Z|x ≡ai(modmi) f¨uri= 1,2, . . . ,n}

= {x ∈Z|x ≡x0(modM)} .

(24)

Chinesischer Restsatz (5:22) Walter Unger Z

Algorithmus:

1. Berechne M = m1·m2·. . .·mn. 2. F¨ur 16i6n: Berechne Mi = _m^M

i.

3. F¨ur 16i6n: Berechne Ni = M_i⁻¹(modmi).

{z.B. mit Euklidischem Algorithmus. Beachte: ggT(Mi,mi) = 1.}

4. F¨ur 16i6n: Berechne ei = Mi·Ni.

{Nun gilt f¨ur16i 6n: ei =Mi·Ni ≡1 (modmi).

ei =Mi·Ni ≡0·Ni = 0 (modmj), falls j6=i.}

5. Berechne x0 = `Pn i=1eiai´

mod M.

{Nun gilt f¨ur16i 6n: x0≡eiai≡ai(modmi).}

Aufwand:

O((logM)²) Bit-Operationen.

(25)

Aufbau von RSA

1. w¨ahlep,q große Primzahlen

2. setze n:=p·q,ϕ(n) = (p−1)(q−1)

ϕ(n) = |{a:ggT(a,n) = 1,06a6n}|

ϕ(1) = 1

ϕ(p^b) = p^b−p^b−1

ϕ(m·n) = ϕ(m)·ϕ(n)

3. w¨ahle großes d >1 mit ggT(d, ϕ(n)) = 1 und bestimmee mit e·d ≡1 modϕ(n) (Inverses zud)

(26)

Beschreibung RSA

I Sei x <n

I E_n,e^RSA: IN^?_x →IN^?_x

I D_p,q,d^RSA : IN^?_x →IN^?_x

I E_n,e^RSA(a1, . . . ,am) =a^e₁ modn E_n,e^RSA(a2, . . . ,am)

I D_p,q,d^RSA(c₁, . . . ,c_m) =c₁^d modn D_p,q,d^RSA(c₂, . . . ,c_m)

I In D werdenp und q gesondert aufgef¨uhrt, um anzudeuten, daß diese Werte bei der Entschl¨usselung bekannt sind.

(27)

Beispiel

c=w^emodn w=c^dmodn

p= 5,q= 11,n= 55, ϕ(n) = 40,d= 23,e= 7 w∈ {1, . . . ,54} \ {x·5,x·11|x ∈IN}

Beachte:FallsggT(w,n)>1, kannnfaktorisiert werden!

w 1 2 3 4 6 7 8 9 12 13 14 16 17 18

c 1 18 42 49 41 28 2 4 23 7 9 36 8 17

w 19 21 23 24 26 27 28 29 31 32 34 36 37

c 24 21 12 29 16 3 52 39 26 43 34 31 38

w 38 39 41 42 43 46 47 48 49 51 52 53 54

c 47 19 46 48 32 51 53 27 14 6 13 37 54

(28)

Bemerkung

c=w^emodn w=c^dmodn

I Bemerkung: Es gibt vier Zahlenw mitE(w) =w und ggT(w,n) = 1. Beachte:

(1ê mod p) = 1 (1ê mod q) = 1 (p−1)ê modp = (p−1) (q−1)ê modq = (q−1)

Mit dem chinesischen Restklassensatz ergeben sich die vier Zahlen.

I Beispiel: (GENAUER)p = 5,q = 11 undw ∈ {1,21,34,54}

I Noch mehr Möglichkeiten für gleiche Zahlen erhält man im FallggT(w,n)>1.

(29)

Eindeutigkeit I

c=w^emodn w=c^dmodn

Satz

Die Entschl¨usselung von RSA ist eindeutig.

I Seien w,c,d,e, ϕ(n),p,q wie in RSA gegeben.

I Zu zeigen ist

w ≡c^d(modn)

I Danach ist die Eindeutigkeit klar, da w <n.

I Es gilt nach Wahl von d,e :∃j :ed =jϕ(n) + 1

I Wir unterscheiden im folgenden drei F¨alle:

1. Fall: Weder p nochq teiltw.

2. Fall: Genau p teilt w,q teilt nicht w. 3. Fall: p und q teilen w.

(30)

Annahme: weder p noch q teilt w

c=w^emodn w=c^dmodn

⇒ w^ϕ(n)≡1(modn) (nach Euler−Theorem)

⇒ w^j^ϕ(n)≡1(modn)

⇒ w^ed⁻¹ ≡1(modn)

⇒ w^ed ≡w(modn)

⇒ c^d ≡w(modn)

(31)

Annahme: genau p teilt w , q teilt nicht w

c=w^emodn w=c^dmodn

⇒ w^q−1≡1(modq) q Primzahl)

⇒ w^{(p−1)(q−1)}≡1(modq)

⇒ w^ϕ(n)≡1(modq)

⇒ w^jϕ(n)≡1(modq)

⇒ w^ed ≡w(modq)

⇒ w^ed ≡w(modn)

Bei der letzten Folgerung wirdw^ed ≡w(modp) (nach Fermat) verwendet.

3. Fall:p und q teilenw geht analog.

(32)

Vergleich mit dem Rucksackverfahren

c=w^emodn w=c^dmodn

I Schweres Problem: Faktorisieren vonn.

I leichtes Problem: Faktorisieren von n mit Hilfe vonϕ(n).

I Schweres Problem: L¨ose x^e≡c modn.

I Leichtes Problem: L¨osex^e ≡c mod n mit Hilfe von ϕ(n),p,q,d

I Wichtig:Arbeite mit großen Zahlen.

I RSA ist ca. um den Faktor 1000 langsamer als das DES Verfahren bei vergleichbarer Schl¨usselgr¨oße.

I Problem: Bestimme effizient w^r modn.

(33)

Bestimme effizient w

^r

mod n

c=w^emodn w=c^dmodn

20¹¹mod 55 w^rmodn

20¹⁰¹¹binmod 55 = w⁽^rl^,^rl−1^,...,r^{0 )bin}modn

20^{23 +21 +20}mod 55 = w

Pl i=0ri2i

modn (20²³·20²¹·20²⁰) mod 55 = (Ql

i=0w^ri²ⁱ) modn (20²³mod 55·20²¹mod 55·20²⁰) mod 55 = Ql

i=0(w^ri²ⁱ modn) modn (20⁸mod 55·20²mod 55·20¹) mod 55 = Ql

rii=0=1

(w²ⁱmodn) modn

(25·15·20) mod 55 h_i=w²ⁱ

h₀=w,h_i= (hi−1)²modn

20 = Ql

i=0,ri=1(h_imodn)

(34)

Bestimmung von x

^r

mod n:

x₀=x,x_i= (x_i−1)²modn Ql

i=0,ri=1(h_imodn)

I x0:=x,s := 1

I l :=dlogre

I Sei a_l, . . . ,a₀ Bin¨ardarstellung von r, d.h. r =Pk

j=02^jaj I F¨ur j := 0 bis l tue:

I falls aj = 1 dann s:=s·xj modn

I xj+1:= (xj)²modn

I Ausgabe s mits =x^r modn.

I Maximale Zahlengr¨oße n².

I Laufzeit O(logn).

(35)

Zu beachten beim Aufbau von RSA:

I p,q sollten nicht nahe beieinander liegen (z.B. keine Primzahlzwillinge)

I p,q sollten zuf¨allig gew¨ahlt werden, d.h. nicht aus Tabellen bekannt sein

I W¨ahlep,q so, daßggT(p−1,q−1) klein ist.

I W¨ahle sichere Primzahlen, d.h. auch ^p−1₂ und ^q−1₂ sind Primzahlen.

I e und d sollten gross sein.

(36)

p, q sollten nicht nahe beieinander liegen

I Angenommen, dies ist doch der Fall:

I x = ^(p−q)₂ ist klein, mitp >q.

I y = ^(p+q)₂ >√

n und ^(p+q)₂ ist nur wenig gr¨oßer als √ n.

I Beachte weiter:

(^p+q₂ )²−(^p−q₂ )²

= ^(p+q)₄ ² −^(p−q)₄ ²

= ^p²^+q²^{+2·p·q−(p}₄ ²^+q²^−2·p·q)

= 2·p·q−(−2·p·q) 4

= p·q =n

I (^p+q₂ )²−n= (^p−q₂ )², bzw.y²−n=x².

I Dies wird ein perfekts Quadrat genannt.

(37)

p, q sollten nicht nahe beieinander liegen

(^p+q₂ )²−n= (^p−q₂ )² y²−n=x²

I F¨uhre folgenden Test durch:

I F¨urx :=d√

nebisd√

ne+δ teste, obx²−n =y² gilt f¨ur ein y ∈ZZ.

I Beachte nunx = ^p₂ +^q₂ und y = ^p₂ −^q₂.

I Danach setze:p =x+y und q=x−y.

I Der Bereich der durchzuprobierenden Schl¨ussel ist sehr klein.

I Das Ziehen der Wurzel erfolgt nur f¨ur kleine Zahlen.

(38)

W¨ ahle p, q so, daß ggT (p − 1, q − 1) klein ist.

I Beachte: (p−1)(q−1) ist durch 4 teilbar, denn es ist Produkt zweier gerader Zahlen.

I Falls ggT(p−1,q−1) groß ist:

I ⇒ das kleinste gemeinsame Vielfache u von p−1,q−1 ist klein

I ⇒ eins dere⁻¹ (mod u) kann zur Entschl¨usselung verwendet werden

I ⇒ Suche wird einfach

I ⇒ w¨ahlep,q so, daßggT(p−1,q−1) klein ist

(39)

ϕ(n) sollte nicht nur kleine Primfaktoren haben

I ⇒ Test f¨ur alle Kandidatenv von ϕ(n)

I ⇒ Test, falls ^(v⁺¹⁾_e eine ganze Zahl ist.

I Teste dann, ob c^v+1^e Sinn macht (v : Kandidat f¨urϕ(n))

I Theoretische L¨osung f¨ur die beiden letzten Probleme:

I w¨ahle eine sichere Primzahl, d.h. auch ^p−1₂ und ^q−1₂ sind Primzahlen.

I Beispiele: 83,107,10¹⁰⁰−166517.

I Sichere Primzahlen sind jedoch schwer zu generieren.

I Es ist nicht einmal gekl¨art, ob es unendlich viele davon gibt.

(40)

Sicherheitsaspekte

Wie sicher ist RSA?

1. L¨aßt sich beispielsweise RSA ohne Faktorisierung knacken?

2. Kann man ϕ(n) bestimmen?

3. Kann man d bestimmen?

4. Kann man bestimmen, ob das letzte Bit vonw gleich 1 ist?

5. Kann man testen, ob w < ⁿ₂ gilt?

(41)

Kann man ϕ(n) bestimmen?

n:=p·q ϕ(n) = (p−1)(q−1) c=w^emodn w=c^dmodn

Lemma

Fallsϕ(n)berechnet werden kann, dann gibt es ein Verfahren, das p,q bestimmt.

Beweis.

I ϕ(n) = (p−1)(q−1)⇒p+q =n−ϕ(n) + 1

I p

(p+q)²−4n=p

2n+p²+q²−4n

I =p

p²+q²−2n

I =p

(p−q)²

I =p−q

I n−ϕ(n)+1+√

(n−ϕ(n)+1)²−4n

2 =p

(42)

Verschl¨usselung d bestimmen? (5:40) Walter Unger Z

Kann man d bestimmen?

Lemma

Falls d berechnet werden kann, gibt es ein probabilistisches Verfahren, das p,q bestimmt.

Vorgehen

I Bekannt ist e,d,n. Das Ziel ist die Bestimmung vonp und q.

I W¨ahle einw mit 16w 6n

I Versuche,n mit w zu faktorisieren (Verfahren kommt sp¨ater).

I Dies wird mit einer Wahrscheinlichkeit >0,5 gelingen.

I Dann ist die Wahrscheinlichkeit, nach k Tests ein passendes w gefunden zu haben = 1−2^−k.

I Das Verfahren kann deterministisch gemacht werden.

(43)

Verfahren

I Falls ggT(w,n)>1, dann faktorisieren mit dem Algorithmus von Euklid

I Falls w 6≡ ±1 (mod n) und w² ≡1 (modn), dann gilt:

(w + 1)·(w −1) wird vonn geteilt

und (w+ 1),(w−1) werden nicht von n geteilt

=⇒ggT(w + 1,n) liefertp oderq.

I Falls die obigen Schritte erfolglos, f¨uhre folgende Schritte aus.

(44)

Verfahren

I ed−1 = 2^sr mits >1 undr ungerade.

I Daed−1 ein Vielfaches vonϕ(n) ist, gilt:w²^s^r ≡1 (modn).

I Bestimme kleinstes s⁰(06s⁰6s) mitw²^s

0r ≡1 (modn).

I Falls nuns⁰ >0 undw²^s0−1^r 6≡ −1 (modn), so gehe analog zum Fall 2. vor (Faktorisierung ist m¨oglich).

I Andernfalls gilt w^r ≡1 (mod n) oder w²^t^r ≡ −1 (modn) f¨ur eint,06t<s (d.h. t =s⁰−1) und der Algorithmus verwirft w (Faktorisierung nicht m¨oglich).

(45)

Fehlerwahrscheinlichkeit des Verfahrens

n:=p·q ϕ(n) = (p−1)(q−1) w^r≡1 (modn)∨w^{2t r}≡ −1 (modn)

I Wir bestimmen nun die Wahrscheinlichkeit daf¨ur, daß einw verworfen wird.

I Setze dazu:

p−1 = 2ⁱa,q−1 = 2^jb mit a,b ungerade und i 6j.

I Da 2^sr ein Vielfaches vonϕ(n) ist, gilt, daß r ein Vielfaches von ab ist.

I Falls nunt >i, dann ist 2^tr ein Vielfaches vonp−1

⇒ w²^t^r ≡1mod p

⇒ w²^t^r 6≡ −1 mod p

⇒ w²^t^r 6≡ −1 mod n

I Damit tritt der Fall t>i hier nicht auf.

(46)

Fehlerwahrscheinlichkeit

ϕ(n) = (p−1)(q−1) p−1 = 2ⁱa,q−1 = 2^jb.i6j w^r≡1 (modn)∨w^{2t r}≡ −1 (modn)

I Es ist nur noch folgende Situation zu betrachten:

w^r ≡1 mod n oder w²^t^r ≡ −1mod n f ¨ur eint,06t <i

I Bestimme nun jeweils, f¨ur wievielew die Bedingungen erf¨ullt werden.

I Betrachte:w^r≡1 modn.

I Seig ein Generator f¨urF^?(p) (d.h.g erzeugt 1, . . . ,p) und sei w ≡g^umodp.

I Dann giltw^r ≡1 modp ⇐⇒ ur = 0 modp−1.

I Die Anzahl der L¨osungen istggT(r,p−1) =a (analogggT(r,q−1) =b).

I Damit hatw^r ≡1 modn a·bviele L¨osungen.

(47)

Fehlerwahrscheinlichkeit

I Es ist nur noch folgende Situation zu betrachten:

w^r ≡1modn oder w²^t^r ≡ −1modnf ür eint,06t6i I Bestimme nun jeweils, für wievielew die Bedingungen erfüllt werden.

I w^r ≡1 modnhata·bL¨osungen I Betrachte nun:w²^t^r6≡ −1 modn

I Anzahl der L¨osungen von

w²^t+1^r ≡1 (modp) ist ggT(2^t+1r,p−1) = 2^t⁺¹a w²^t^r ≡1 (modp) ist ggT(2^tr,p−1) = 2^ta

Beachte:t+ 16i w²^t^r ≡ −1 (modp) ist 62^ta

Beachte:t+ 16i 6j w²^t^r≡ −1 (modn) ist 62^ta·2^tb= 2^2tab

(48)

Fehlerwahrscheinlichkeit

I Wir fassen zusammen:

ab+ab

i−1

X

t=0

2^2t = ab(1 +

i−1

X

t=0

4^t) =ab(1 +4ⁱ −1 3 )

= ab(2

32²ⁱ⁻¹+2

3)6ab(2

32^i+j−1+2 3)

= ab(2^i+j⁻¹+ 1

3(2−2^i+j⁻¹)) 6 ab2^i+j−1 = ϕ(n)

2

I =⇒ 50 Prozent allerw’s werden verworfen.

(49)

K¨onnen Teilinformationen entschl¨usselt werden? (5:47) Walter Unger Z

Orakel f¨ ur x <

ⁿ₂

I Angenommen, es gibt Orakel H mit H(e,n,x^e modn) = 1⇐⇒x< ⁿ₂.

I Idee: Halbierungssuche unter Verwendung vonH.

I Verwende Werte:

xê modn = xê modn 2êxê modn = (2x)ê modn 4êxê modn = (4x)ê modn 8êxê modn = (8x)ê modn 16êxê modn = (16x)ê modn

I Damit wird dann durch Bin¨arsuche das Intervall, in dem x liegt immer weiter eingeschr¨ankt.

(50)

K¨onnen Teilinformationen entschl¨usselt werden? (5:48) Walter Unger Z

Orakel f¨ ur x <

ⁿ₂

Beispiel (n = 15):

x^ebzw.x: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

(2x)^ebzw. 2x: 8 1 9 2 10 3 11 4 12 5 13 6 14 7

(4x)^ebzw. 4x: 8 4 12 1 9 5 13 2 10 6 14 3 11 7

I Falls der letzte Test 2^yex^emodnist und

I falls falls das Orakel als Ergebnis eine Folgea₁a₂. . .a_ylieferte,

I dann istximi-ten Intervall der Gr¨oße 2^−y−1n, miti=bin(a₁. . .a_y)