Jürgen Ecker Automatentheorie und Kryptologie

Jürgen Ecker
Automatentheorie und Kryptologie
Computer– und Mediensicherheit, FHS Hagenberg
Skriptum zu den Vorlesungen
in den Wintersemestern 2002/2003 und 2003/2004 und
im Sommersemester 2003
ii
Inhaltsverzeichnis
1 Caesar, Vigenère und Feistel
1
1.1
Caesar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1.2
2
1.3
Vigenère’s chiffre indechiffrable“ . . . . . . . . . . . . . . . . . . . . . . . . .
”
Scherbius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
1.4
Feistel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
1.5
Die Erfindung der asymmetrischen Verschlüsselung . . . . . . . . . . . . . . .
4
2 Rivest, Shamir und Adleman
7
2.1
Auf den Spuren Euklids . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
2.2
Falsch rechnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
2.2.1
Noch einmal Caesar . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
2.3
Diophantastisch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
2.4
Endliche Körper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
2.5
Das RSA-Verschlüsselungsverfahren . . . . . . . . . . . . . . . . . . . . . . .
19
2.5.1
Die Eulersche ϕ-Funktion . . . . . . . . . . . . . . . . . . . . . . . . .
19
2.5.2
Das RSA-Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
2.6
Der chinesische Restsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
2.7
Attacken auf RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
2.7.1
Repeated Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
2.7.2
Gleiche Moduln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
2.7.3
Die Low Exponent Attacke . . . . . . . . . . . . . . . . . . . . . . . .
25
Faktorisieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
2.8.1
. . . . . . . . . . . . . . . . . . . . . . .
26
Lineare Gleichungssysteme über endlichen Körpern . . . . . . . . . . .
27
Das quadratische Sieb . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
Zufallszahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
2.9.1
Test auf Zufälligkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
2.9.2
Der BBS-Zufallszahlengenerator . . . . . . . . . . . . . . . . . . . . .
33
2.10 Erzeugung von Primzahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
2.8
2.8.2
2.8.3
2.9
Die Pollard-(p − 1)-Methode
iii
iv
INHALTSVERZEICHNIS
2.10.1 Es gibt viele Primzahlen . . . . . . . . . . . . . . . . . . . . . . . . . .
34
2.10.2 Primzahltests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
Probedivision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
Der Fermat–Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
Der Miller–Rabin–Test . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
2.10.3 Erzeugung von starken Pseudoprimzahlen . . . . . . . . . . . . . . . .
38
3 Diffie und Hellman
3.1
39
Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
39
3.1.1
Primitivwurzeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
3.2
Polynome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
3.3
Polynome über Zp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
3.4
Shared Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
48
3.4.1
Interpolation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
48
3.4.2
Chinesischer Restsatz . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
3.5
Faktorisieren in Zp [x] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
3.6
Endliche Körper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
3.7
Diffie-Hellman-Key-Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
3.8
DL- und DH-public-key Systeme . . . . . . . . . . . . . . . . . . . . . . . . .
60
3.8.1
Das Massey-Omura-Kryptosystem . . . . . . . . . . . . . . . . . . . .
60
3.8.2
Das ElGamal-Kryptosystem . . . . . . . . . . . . . . . . . . . . . . . .
60
Berechnung diskreter Logarithmen – Der Index Calculus Algorithmus . . . .
61
3.10 Andere public-key Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
3.10.1 Das Knapsack-Problem . . . . . . . . . . . . . . . . . . . . . . . . . .
64
3.10.2 Das Merkle-Hellman-Kryptosystem . . . . . . . . . . . . . . . . . . . .
65
3.10.3 Das Chor-Rivest-Kryptosystem . . . . . . . . . . . . . . . . . . . . . .
66
3.9
4 ElGamal
4.1
4.2
69
Hashfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69
4.1.1
Stark kollisionsresistente Kompressionsfunktionen . . . . . . . . . . . .
70
4.1.2
Von Kompressionsfunktionen zu Hashfunktionen . . . . . . . . . . . .
71
Digitale Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
72
4.2.1
RSA-Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
4.2.2
ElGamal Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
Attacken auf ElGamal Signaturen . . . . . . . . . . . . . . . . . . . .
74
4.3
Zero-Knowledge-Protokolle
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
4.4
Oblivious transfer channels . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
INHALTSVERZEICHNIS
5 Moore, Mealy und Vernam
v
79
5.1
Das Vernam One Time Pad . . . . . . . . . . . . . . . . . . . . . . . . . . . .
79
5.2
Automaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80
5.2.1
Angewandte Automaten . . . . . . . . . . . . . . . . . . . . . . . . . .
82
Linear feedback shift registers . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
5.3
6 Koblitz und Miller
87
6.1
Elliptische Kurven über R . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
6.2
Elliptische Kurven über GF(q) . . . . . . . . . . . . . . . . . . . . . . . . . .
94
6.2.1
Quadratwurzeln in endlichen Körpern . . . . . . . . . . . . . . . . . .
94
6.2.2
Der Satz von Hasse . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
6.3
Kryptosysteme mit elliptischen Kurven . . . . . . . . . . . . . . . . . . . . . .
97
6.4
Faktorisieren mit elliptischen Kurven . . . . . . . . . . . . . . . . . . . . . . .
98
vi
INHALTSVERZEICHNIS
Abbildungsverzeichnis
5.1
Die einfache Mausefalle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
81
5.2
Die Mausefalle mit Speck . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
82
x5
+
x2
5.3
Das LFSR
+ 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
85
6.1
Elliptische Kurven über R . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
6.2
Addition der Punkte P und Q . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
6.3
Verdopplung von P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
6.4
Die Addition von Punkten auf EC ist assoziativ . . . . . . . . . . . . . . . . .
93
vii
viii
ABBILDUNGSVERZEICHNIS
Vorwort
Dies ist ein Skriptum zur Vorlesung Automatentheorie und Kryptographie“ an der Fach”
hochschule Hagenberg. Die Vorlesung folgt in weiten Teilen [Buc99] und [Kob94].
Genaue Beschreibungen vieler Algorithmen finden sich in [MvOV97], das auch online
gelesen werden kann (siehe Literaturverzeichnis), und in [Sch96].
Detailliertere mathematische Grundlagen finden Sie in [Bun92] und eine Sammlung von
zahlentheoretischen Algorithmen in [Coh93]. Für eine intensivere Beschäftigung mit endlichen
Körpern empfehle ich [LN84]. Eine detailliertere Behandlung von elliptischen Kurven in der
Kryptographie, die immer noch sehr leicht lesbar ist, finden Sie in [Wer02].
Eine sehr genaue historische Behandlung der Kryptologie fast bis in die ’70er Jahre finden
Sie in [Kah67]. Etwas unterhaltsamer und auch für’s Nachtkasterl geeignet ist [Sin00].
ix
x
ABBILDUNGSVERZEICHNIS
Die Kryptographie verfolgt im Wesentlichen die folgenden Ziele:
Vertraulichkeit (confidentiality, secrecy, privacy): seit altersher das wichtigste Ziel
der Kryptographie. Kommunikation soll vertraulich, also geheim, erfolgen. Kein Dritter soll
die Kommunikation abhören können.
Integrität (data integrity): die Manipulation von Daten zwischen dem Sender und dem
Empfänger durch unbefugte Dritte soll verhindert werden.
Authentifizierung (authentication): zwei Parteien, die miteinander kommunizieren,
wollen sicherstellen, das sie wirklich mit dem jeweils anderen zu tun haben, und nicht mit
einem Dritten, der sich als jemand anderer ausgibt.
Nichtzurückweisung“ (non-repudiation): unterschreibt jemand einen Vertrag soll
”
sichergestellt werden, dass er später nicht sagen kann, die Unterschrift sei nicht von ihm
gewesen.
Für jeden dieser Punkte werden wir mathematische Methoden entwickeln.
Viel Vergnügen!
Kapitel 1
Caesar, Vigenère und Feistel
1.1
Caesar
Die mit Abstand am längsten verwendete Methode zur Verschlüsselung ist die
monoalphabetische Substitution. Dabei werden einfach Zeichen durch andere Zeichen ersetzt.
Das kann geschehen, indem man einfach Buchstaben durch andere Buchstaben ersetzt, oder
indem man überhaupt neue Symbole erfindet. Der eingeweihte Empfänger der verschlüsselten
Nachricht, der weiß, wie die Nachricht verschlüsselt wurde, dreht den Verschlüsselungsvorgang
um und liest die Nachricht.
Die wahrscheinlich bekannteste (und mit Abstand einfachste) Variante der monoalphabetischen Substitution trägt den Namen von Julius Caesar. Bei dieser Substitution wird beispielsweise A durch E, B durch F, C durch G, usw. ersetzt, es ist aber jeder andere Buchstabe
als E genauso möglich. Wenn man erst einmal weiß, dass mit einem Caesar verschlüsselt
wurde, ist es sehr einfach, einen verschlüsselten Text zu entschlüsseln. Versuchen Sie’s mit
AIVMQ KPEWL EYWWM XDXWS
PPRMG LXWXI MRIRA IVJIR
Im schlimmsten Fall muss man alle 26 Möglichkeiten durchprobieren, bis man zu einer sinnvollen Nachricht kommt. (Alle Wörter einfach aneinander zu schreiben und dann
Fünfergruppen zu bilden, hat sich sehr bald wegen der größeren Sicherheit eingebürgert.)
Für Caesar’s Zeit mag dieses Verfahren ausgereicht haben. Bald jedoch brauchte man
bessere Verfahren. Die monoalphabetische Substitution in allgemeiner Form bietet weit mehr
Möglichkeiten. Es gibt 26! = 2 · 3 · 4 · · · 25 · 26 = 4 · 10 26 Möglichkeiten, irgendwie die 26
Buchstaben des Alphabets durch andere zu ersetzen. Da dürfte es ziemlich schwierig werden.
Versuchen Sie sich an
GIRTV SRDST DUROZ YSHFO RDRDB RTGSJ
1
2
KAPITEL 1. CAESAR, VIGENÈRE UND FEISTEL
TRMSI DHRTR OVJZJ SNRMN SAFKR FPVJN
TSIVJ ZRYSM NRDDR TRBRT GSJTR MFORY
PMPSA QJSNR ZODVJ RDIND ZOZIZ OPMOM
SAAHR YROMR TGPTY NORZR ZEROZ YRJTY
PRHAO VJLRO ZRMCC.
Sehr sicher ist das trotzdem nicht. Bald kam man dahinter, dass gewisse Buchstaben viel
häufiger auftreten als andere. 1000 Buchstaben in einem durchschnittlichen deutschen Text
verteilen sich in etwa folgendermaßen (Quelle: [Bau95]):
A
B
C
D
E
F
G
H
I
J
K
L
M
65
19
27
48
175
17
31
42
77
3
15
35
26
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
98
30
10
0
75
68
61
42
9
1
0
1
11
In einem halbwegs langen Text sind die Verhältnisse ähnlich.1 Das Symbol, das am
häufigsten vorkommt, wird wahrscheinlich für E stehen, usw. So schaffen Sie den verschlüsselten Text von oben jetzt aber spielend.
Fortgeschrittene Kryptanalytiker sehen sich auch die Häufigkeiten von Buchstabenkombinationen von 2 oder 3 Buchstaben an, den sogenannten Bigrammen und Trigrammen. Eine
ausführliche Behandlung dieses Themas finden Sie in [Bau95].
Die Kryptographen versuchten sich zu schützen, indem sie für häufige Buchstaben mehrere
verschiedene Symbole, sogenannte Homophone, verwendeten, die sie abwechselnd verwendeten, weiters füllten sie die Kryptogramme mit sogenannten Nullen, das sind Symbole, die
keine Bedeutung haben und nur den Kryptanalytiker verwirren sollen.
Kurz und gut, zur Zeit des 30-jährigen Krieges lasen Kryptanalytiker in der Wiener
schwarzen Kammer“ täglich die sorgfältig verschlüsselte Korrespondenz der Botschafter der
”
europäischen Länder, all diese Verbesserungen der monoalphabetischen Substitution waren
nicht gut genug.
1.2
Vigenère’s chiffre indechiffrable“
”
Viel schwieriger wurde es für kurze Zeit, als man von der monoalphabetischen zur
polyalphabetischen Substitution wechselte. 200 Jahre, nachdem Vigenére sein Ver1
Hier ist vom statistischen Durchschnitt die Rede, keineswegs hält sich jeder lange Text an diese Werte.
Im Anhang von [Sin00] können Sie die erste Seite eines Romans lesen, der ganz ohne den Buchstaben e“
”
auskommt.
1.3. SCHERBIUS
3
schlüsselungssystem vorgestellt hatte, wurde es endlich verwendet. Lange schon war die monoalphabetische Substitution nutzlos, aber man hatte nicht zu dem etwas aufwendigeren
System wechseln wollen. Das Vigenére-System verwendet mehr als eine Substitution zum
Verschlüsseln, sondern mehrere. Nun wird der erste Buchstabe mit der ersten Substitution verschlüsselt, der zweite mit der zweiten, der dritte mit der dritten, usw. Hat man alle
Substitutionen durch, so beginnt man wieder mit der ersten.
Besonders gerne wurden als Substitutionen einfache Caesar-Substitutionen verwendet.
Die Abfolge der verschiedenen Substitutionen merkte man sich mit einem Schlüsselwort. Zum
Beispiel würde das Schlüsselwort PLUTO bedeuten, dass der erste Buchstabe gemäß A → P ,
der zweite gemäß A → L, schließlich der fünfte gemäß A → O, der sechste wieder wie der
erste Caesar-verschlüsselt wird. Zum Entschlüsseln braucht man nur das Schlüsselwort. Aus
PICKNICK
würde dann (mit dem Schlüsselwort PLUTO)
ETWDBXNE
Wie man sieht, sieht man nichts. Gleiche Buchstaben werden verschieden verschl üsselt, verschiedene Buchstaben zuweilen gleich, eine Häufigkeitsanalyse macht hier keinen Sinn. Es
dauerte leider nur ein paar Jahre, bis ein deutscher General auch dieses System knackte. Er
fand heraus, dass man relativ leicht herausfinden kann, wie lang das verwendete Schl üsselwort
ist. Hat man herausgefunden, dass das Schlüsselwort z.B. sieben Buchstaben lang ist, dann
weiß man, dass der erste, der achte, der fünfzehnte, usw. Buchstabe mit dem selben Alphabet,
also monoalphabetisch verschlüsselt wurden, und man kann die einzelnen monoalphabetischen
Substitutionen einzeln wie früher analysieren.
1.3
Scherbius
Im Lauf des 19. Jahrhunderts kamen mehr und mehr mechanische Hilfsmittel zum Ver- und
Entschlüsseln in Gebrauch. Am Beginn des 20. Jahrhunderts wurden schließlich die ersten Patente für vollmechanische Verschlüsselungsmaschinen vergeben. Mit Ihnen wurde es möglich,
sehr bequem polyalphabetische Substitution mit tausenden Alphabeten durchzuf ühren. Scherbius konnte seine Maschine dem deutschen Militär anbieten. Die von der deutschen Enigma verschlüsselten Texte konnte nur mit sehr großem Aufwand und vor allem Dank der
Nachlässigkeit der Verschlüssler von britischen Kryptanalytikern gelesen werden. In [Sin00]
und [Kah67] findet man eine nette Beschreibung der sehr komplexen Geschichte rund um die
Enigma.
4
KAPITEL 1. CAESAR, VIGENÈRE UND FEISTEL
1.4
Feistel
Moderne Verschlüsselungsverfahren arbeiten nicht mit einzelnen Zeichen. Auf Computern sind
Daten in der Form von Bitfolgen gespeichert. Es bietet sich daher an, beim Verschl üsseln mit
Bits oder mit Bitfolgen, sogenannten Blöcken zu operieren. Als Beispiel sehen wir uns eines der
ältesten Verfahren an, den Data Encryption Standard (DES), der bis 2000 der amerikanische
Verschlüsselungsstandard war. Im Jahr 2000 wurde DES abgelöst vom Advanced Encryption
Standard (AES), der als wesentlich sicherer gilt. Nach wie vor wird DES aber (vor allem in
der Variante 3DES) verwendet. Außerdem werden nach wie vor Verschlüsselungsverfahren
teilweise oder ganz nach dem Vorbild des DES mit ein paar Verbesserungen entwickelt.
Der DES und allgemeine Feistelchiffren sind in [Buc99] ausgezeichnet beschrieben.
Der AES wird uns später beschäftigen, wenn wir mathematisch vorbereitet sind.
1.5
Die Erfindung der asymmetrischen Verschlüsselung
Viele Verschlüsselungssysteme, oft auch viel verwendete, bezogen ihre Sicherheit aus der Geheimhaltung des Verfahrens. Auch heute noch gibt es Verschlüsselungsprogramme, deren einzige Sicherheit darin liegt, dass man das Verschlüsselungsverfahren nicht kennt. Das prominenteste Beispiel sind die GSM-Verschlüsselungsalgorithmen A3, A5 und A8. Hierbei handelt
es sich aber nicht wirklich um Sicherheit, denn das Verschlüsselungsverfahren kann nicht
geheim gehalten werden. Verschlüsselungsmaschinen und -software kann gestohlen werden,
Software kann analysiert werden, Verräter können das Verfahren bekannt geben. Tatsächlich
sind die GSM-Algorithmen längst geknackt. Ein vernünftiges Verschlüsselungsverfahren ist
ein öffentlich bekanntes, das einzig Geheime ist der Schlüssel.
Alle Verschlüsselungsverfahren, die wir bisher kennen gelernt haben, gehören zu den symmetrischen Verfahren. Zum Entschlüsseln einer Nachricht muss man das verwendete Verschlüsselungsverfahren und den verwendeten Schlüssel kennen. Dann dreht man das Verschlüsselungsverfahren einfach um und kann so den Klartext wieder erhalten.
Wir versuchen es ein bisschen mathematischer:
Definition 1.1. Ein Verschlüsselungsverfahren ist ein Quintupel (P, C, K, E, D) mit fol-
genden Eigenschaften:
1. P ist die Menge aller Klartexte, der Klartextraum.
2. C ist die Menge aller verschlüsselten Texte oder Chiffretexte.
3. K ist die Menge aller möglichen Schlüssel.
1.5. DIE ERFINDUNG DER ASYMMETRISCHEN VERSCHL ÜSSELUNG
5
4. E = {Ek | k ∈ K} ist die Menge der Verschlüsselungsfunktionen Ek : P → C.
5. D = {Dk | k ∈ K} ist die Menge der Entschlüsselungsfunktionen Dk : C → P.
6. Zu jedem e ∈ K gibt es ein d ∈ K, so dass für jeden Klartext p ∈ P gilt:
Dd (Ee (p)) = p. (Also: zu jedem Schlüssel zum Verschlüsseln gibt es einen Schlüssel
zum Entschlüsseln.)
Üblicherweise sind P, C, K, E und D bekannt, nur e ist geheim. Wer aber e kennt, kann
auch d schnell finden.
Mitte der ’70er Jahre fanden Mathematiker und Informatiker wie Diffie, Hellman ([DH76]),
Rivest, Shamir und Adleman ([RSA77]) eine Möglichkeit zur asymmetrischen Verschlüsselung.
Bei so einem Verfahren reicht es nicht aus, den zur Verschlüsselung verwendeten Schlüssel
und das verwendete Verfahren zu kennen, um die Verschlüsselung rückgängig machen zu
können. Man kennt also e und kriegt nicht heraus, was das dazugehörige d ist. Praktisch
bedeutet das sogar, dass man den Schlüssel öffentlich bekanntmachen kann, so dass ihn jeder
zum Verschlüsseln verwenden kann, trotzdem wird niemand anderer entschlüsseln können.
Tatsächlich macht man das auch so. Den öffentlichen Schlüssel nennen wir public key (daher
nennt man asymmetrische Verschlüsselungssysteme auch public-key Systeme). Neben diesem
Schlüssel muss es aber auch einen Schlüssel zum Entschlüsseln geben, den sogenannten private
key. Dass es so ein asymmetrisches Verschlüsselungssystem tatsächlich gibt, war Anfang der
’70er eine große Überraschung. In Kürze werden wir wissen, wie das geht.
6
KAPITEL 1. CAESAR, VIGENÈRE UND FEISTEL
Kapitel 2
Rivest, Shamir und Adleman
In den folgenden Kapiteln spazieren wir durch die Welt der Zahlen. Manche Probleme, die auf
den ersten Blick kompliziert aussehen, werden sich ganz leicht lösen lassen. Andere werden
ganz leicht aussehen, sich aber als ganz schwierig herausstellen. Aus diesen Problemen machen
wir Verschlüsselungsverfahren.
2.1
Auf den Spuren Euklids
Im Folgenden beschäftigen wir uns nur“ mit ganzen Zahlen. Die Menge der ganzen Zahlen
”
bezeichnen wir mit Z. Die Menge der positiven ganzen Zahlen, also der natürlichen Zahlen
bezeichnen wir mit N, die Menge der positiven Zahlen inklusive 0 mit N 0 .
Wir erinnern uns kurz an die gute alte Zeit, als es noch keine Brüche gab. Wollte man
damals eine ganze Zahl durch eine andere teilen, so ging das nicht immer, manchmal blieb
”
ein Rest“. Wir beschreiben das exakt.
Satz 2.1. Es seien a und b zwei beliebige ganze Zahlen. Dann gibt es zwei eindeutig
bestimmte Zahlen q (Quotient) und r (Rest), so dass
a = bq + r
und
0≤r<b
Manchmal geht sich die Division allerdings aus. Wir sagen, b teilt a und schreiben b | a,
wenn es eine ganze Zahl q gibt, so dass a = bq.
Beispiel 2.2.
7
8
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
• Die Teiler von 18 sind ±1, ±2, ±3, ±6, ±9 und ±18.
• Die Teiler von −4 sind ±1, ±2 und ±4.
• Jede ganze Zahl ist Teiler von 0.
Die Zahlen ±1 und ±a sind natürlich immer Teiler von a. Ist a positiv und es gibt keine
weiteren Teiler, so heißt a Primzahl. Wir vereinbaren, dass 1 keine Primzahl ist. Die Menge
aller Primzahlen bezeichnen wir mit P. Es liegt schon in der Luft, was jetzt kommt:
Satz 2.3 (Eindeutigkeit der Primfaktorzerlegung). Jede ganze Zahl n lässt sich
in der Form
n = ±pe11 · pe22 · · · perr
darstellen, wobei p1 , p2 , . . . , pr ∈ P, e1 , e2 , . . . , er ∈ N und alle pi (1 ≤ i ≤ r) verschieden
sind. Diese Darstellung als Produkt von Potenzen von Primzahlen ist eindeutig.
Die Primzahlen die in der Primfaktorzerlegung von n vorkommen, nennt man
Primfaktoren von n. Eine Primfaktorzerlegung kann man zumindest für kleine Zahlen so
wie in der Mittelschule ausrechnen. Wir erinnern uns:
240
2
120
2
60
2
30
2
15
3
5
5
also ist 240 = 24 · 3 · 5.
1
Kennt man die Primfaktorzerlegung einer Zahl, so kennt man bereits alle Teiler.
Satz 2.4. Es sei n = pe11 · · · perr die Primfaktorzerlegung von n ∈ Z. Dann sind die
Teiler von n genau die Zahlen t = pt11 · · · ptrr , wobei t1 , . . . , tr ∈ N0 und t1 ≤ e1 , . . . , tr ≤
er .
2.1. AUF DEN SPUREN EUKLIDS
9
Sind a, b ∈ Z, so nennen wir die größte ganze Zahl, die sowohl a als auch b teilt, den
größten gemeinsamen Teiler von a und b. Wir schreiben dafür ggT(a, b). Ist ggT(a, b) = 1, so
nennen wir a und b relativ prim oder teilerfremd.
Beispiel 2.5. Der größte gemeinsame Teiler von 18 und 60 ist 6.
Zu einer gegebenen Zahl n ∈ Z andere Teiler als ±1 und ±n zu finden, ist für große
n sehr schwierig. Das RSA-Verschlüsselungsverfahren beruht auf dieser Schwierigkeit. Allein
herauszufinden, ob es weitere Teiler gibt oder ob es sich um eine Primzahl handelt, ist außerordentlich schwierig.
Überraschenderweise ist es jedoch sehr einfach, den größten gemeinsamen Teiler zweier
Zahlen a und b zu finden. Die Methode, die einem zuerst einfällt, ist, zunächst die Primfaktorzerlegungen von a und von b zu bestimmen, und daraus den größten gemeinsamen Teiler
zu berechnen.
Beispiel 2.6. Für a = 21168 = 24 · 33 · 72 und b = 12600 = 23 · 32 · 52 · 7 ist ggT(a, b) =
23 · 32 · 7 = 504.
Offenbar ist das aber zumindest genauso schwierig, wie das Finden aller Teiler von a.
Der Euklidsche Algorithmus erledigt das schneller. Er beruht auf den folgenden Beobachtungen:
Satz 2.7. Es seien a, b, c ∈ Z, c | a und c | b. Dann gilt:
1. ggT(a, b) = ggT(b, a),
2. c | a + b,
3. c | a − b,
4. c | a · b und
5. ggT(a, b) = ggT(r, b), wobei r der Rest bei der Division von a durch b ist
(vgl.Satz 2.1).
Wir formulieren den Euklidschen Algorithmus anhand eines Beispiels:
10
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
Beispiel 2.8 (Euklidscher Algorithmus).
Wir berechnen ggT(112, 203).
ggT(112, 203) =(1) ggT(203, 112) =(5) ggT(91, 112) =(1)
=(1) ggT(112, 91) =(5) ggT(21, 91) =(1)
=(1) ggT(91, 21) =(5) ggT(7, 21) =(1)
=(1) ggT(21, 7) =(5) ggT(0, 7) = 7
Der Euklidsche Algorithmus lässt sich noch etwas kompakter gestalten und etwas erweitern. Was dabei herauskommt, ist der erweiterte Euklidsche Algorithmus, der uns wieder an
lineare Gleichungssysteme erinnert. Das selbe Beispiel nochmal:
Beispiel 2.9.
203
112
I
203
1
0
II
112
0
1
III
91
1
-1
IV
21
-1
2
IV=II-III
V
7
5
-9
V=III-4IV
VI
0
III=I-II
VI=IV-3V
Von Interesse ist die Zeile V. Wir lesen ab, dass ggT(112, 203) = 7. Die erste Zeile können
wir lesen als 203 = 1·203+0·112, die zweite Zeile als 112 = 0·203+1·112, es handelt sich also
wirklich um Gleichungen. Insbesondere dürfen wir die Zeile V lesen als 7 = 5·203+(−9)·112.
Wir halten fest:
Satz 2.10. Der ggT zweier ganzer Zahlen lässt sich stets als Linearkombination der
beiden Zahlen schreiben. Genauer: Seien a und b zwei ganze Zahlen. Dann gibt es ganze
Zahlen x und y, so dass
ggT(a, b) = ax + by
11
2.2. FALSCH RECHNEN
und der erweiterte Euklidsche Algorithmus berechnet die Zahlen x und y.
2.2
Falsch rechnen
Steht man um 7.00 früh auf und arbeitet 8 Stunden, so ist man um 15.00 fertig, klar 7+8=15.
Spielt man nun 8 Stunden Tennis, so kann man um 23.00 zu Bett gehen, auch klar 15+8=23.
Schläft man jetzt 8 Stunden, dann kann man um 7.00 wieder aufstehen. Hoppla, 23+8=7! In
diesem Kapitel klären wir dieses Phänomen auf.
Wir wählen eine Zahl n ∈ N .
Für beliebige Zahlen a, b ∈ Z schreiben wir
a ≡n b genau dann, wenn n | a − b
und sagen dann, a und b sind kongruent modulo n.
Beispiel 2.11. Je zwei gerade Zahlen sind kongruent modulo 2. Je zwei ungerade Zahlen
sind kongruent modulo 2. Modulo 4 gilt 7 ≡ 4 3 und 2 ≡5 7 ≡5 −3.
Offenbar sind 2 Zahlen genau dann kongruent modulo n, wenn sie bei Division durch n
den selben Rest ergeben.
Das erklärt schon viel, denn 23 + 8 = 31, aber 31 und 7 sind kongruent modulo 24.
Wir bilden Mengen von kongruenten Elementen modulo n. Für k ∈ Z sei [k]n die Menge
aller ganzen Zahlen, die kongruent zu k modulo n sind.
[0]n := {0, ±n, ±2n, ±3n, . . .}
[1]n := {1, ±n + 1, ±2n + 1, ±3n + 1, . . .}
[2]n := {2, ±n + 2, ±2n + 2, ±3n + 2, . . .}
..
.
[n − 1]n := {n − 1, ±n + (n − 1), ±2n + (n − 1), ±3n + (n − 1), . . .}
[n]n = [0]n
Diese Mengen heißen Restklassen modulo n.
12
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
Beispiel 2.12. Die Restklassen modulo 4 sind:
[0]4 := {0, ±4, ±8, ±12, . . .}
[1]4 := {. . . , −11, −7, −3, 1, 5, 9, 13, . . .}
[2]4 := {. . . , −10, −6, −2, 2, 6, 10, 14, . . .}
[3]4 := {. . . , −9, −5, −1, 3, 7, 11, 15, . . .}
Wir schreiben ein paar einfache Beobachtungen auf:
Satz 2.13. Es sei n ∈ N, a, b ∈ Z. Dann gilt
1. a kommt in genau einer der Restklassen [0] n , [1]n , . . . , [n − 1]n vor.
2. Falls a ≡n b, dann ist [a]n = [b]n , und umgekehrt.
Es wird noch schlimmer. Anstatt mit ganzen Zahlen rechnen wir jetzt mit den Restklassen,
also mit unendlich großen Mengen. Nämlich folgendermaßen:
Definition 2.14. Es seien n, k ∈ N , a, b ∈ Z. Dann definieren wir
[a]n + [b]n := [a + b]n
[a]n − [b]n := [a − b]n
[a]n · [b]n := [a · b]n
[a]kn := [ak ]n
Beispiel 2.15.
• [6]12 + [7]12 = [13]12 = [1]12
• [3]9 · [7]9 = [21]9 = [3]9
• [2]5 − [7]5 = [−5]5 = [0]5
13
2.2. FALSCH RECHNEN
Wir werden, wenn möglich, die Restklassen als Restklassen möglichst kleiner nichtnegativer Zahlen schreiben, also [1]12 statt [13]12 , [4]5 statt [−1]5 und [0]4 statt [−328]4 .
Die Rechnerei mit Restklassen könnte eine Gefahr bergen. Wenn wir [a] n + [b]n berechnen,
rechnen wir [a + b]n aus. Wir könnten die Restklassen aber auch als [a 0 ]n und [b0 ]n schreiben,
indem wir einfach irgendein anderes a 0 ≡n a und b0 ≡n b wählen. Das Ergebnis wird dann
[a0 + b0 ]n sein. Wenn nun [a + b]n 6= [a0 + b0 ]n , dann wissen wir nicht, was nun das richtige
Ergebnis ist. Dieses Problem tritt aber glücklicherweise nicht auf, weder bei der Addition,
noch bei der Subtraktion, der Multiplikation oder beim Potenzieren. Das klärt der folgende
Satz 2.16. Es seien n, k ∈ N, a, b, a0 , b0 ∈ Z, so dass a ≡n a0 und b ≡n b0 . Dann gilt
1. a + b ≡n a0 + b0 ,
2. a − b ≡n a0 − b0 ,
3. a · b ≡n a0 · b0 und
4. ak ≡n (a0 )k .
Rechnen modulo n heißt also rechnen mit Restklassen. Für die Menge der Restklassen
modulo n schreiben wir ab sofort Zn , also ist Zn = {[0]n , [1]n , . . . , [n − 1]n }. Die Elemente der
Menge Zn sind Mengen, weil wir damit aber rechnen können, nennen wir sie auch Zahlen in
Zn .
Der Trick mit den Uhrzeiten ist also ganz einfach. Wir rechnen anstatt mit ganzen Zahlen
einfach mit den Restklassen modulo 24. Weil die Schreibweise mit den Restklassen auf die
Dauer etwas umständlich wird, vereinbaren wir die
Notation 2.17. Für n, k ∈ N, a, b, c ∈ Z verwenden wir nach Belieben eine der folgenden
Schreibweisen:
Restklassen
Kongruenz
alternative Schreibweise
[a]n + [b]n = [c]n
a + b ≡n c
a + b = c mod n
a · b ≡n c
a · b = c mod n
[a]n − [b]n = [c]n
[a]n · [b]n = [c]n
[a]kn = [c]n
a − b ≡n c
a − b = c mod n
ak ≡n c
ak = c mod n
14
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
2.2.1
Noch einmal Caesar
Eine kryptographische Anwendung des Rechnens mit Restklassen kennen wir schon, Caesar’s
Verschlüsselungssystem. Wir stellen uns die Buchstaben von A-Z durch die Zahlen A = 0, B =
1, . . . , Z = 25 dargestellt vor. Die Caesar-Substitution A → U lässt sich nun einfach durch
die Formel x 7→ x + 20 mod 26 beschreiben. Allgemein sind x 7→ x + e mod 26 (0 ≤ e ≤ 25)
alle Caesar-Substitutionen, e ist der Schlüssel, der zum Verschlüsseln verwendet wird, d =
−e mod 26 ist der dazugehörige Schlüssel zum entschlüsseln. Das Entschlüsseln funktioniert
genau gleich wie das Verschlüsseln mit der Formel x 7→ x + d mod 26. Es handelt sich um
ein symmetrisches Verfahren, denn wer e kennt, kann auch d ohne viel Mühe berechnen.
2.3
Diophantastisch
Beispiel 2.18. Eine Firma kauft Workstations um 46810 . Darunter sind welche um
1990 /Stk. und solche um 2740 /Stk. Wie viele Computer von welcher Sorte wurden
gekauft?
Wir machen den Ansatz
x . . . Anzahl der Workstations um 1990
y . . . Anzahl der Workstations um 2740
und erhalten die Gleichung
1990x + 2740y = 46810
also eine Gleichung in 2 Unbekannten. Über R erhalten wir unendlich viele Lösungen. Wir
sind aber nur an positiven ganzzahligen Lösungen interessiert.
Gleichungen der Form
ax + by = c
mit a, b, c ∈ Z und x, y ∈ Z
(2.1)
heißen lineare Diophantische Gleichungen.
Es sei d = ggT(a, b). Die Gleichung ax + by = c hat mit Sicherheit keine ganzzahligen
Lösungen, wenn d kein Teiler von c ist, denn d ist Teiler von a und von b, also (wegen Satz 2.7)
auch von ax und von by und damit von ax + by. Da ax + by = c ist, muss d also c teilen.
Nehmen wir im Folgenden an, d teile c (sonst gibt es sowieso keine Lösungen). Dann lässt
sich die Gleichung durch d dividieren und wir erhalten eine Gleichung a 0 x + b0 y = c0 , bei der
nun ggT(a0 , b0 ) = 1 gilt. Ab nun gehen wir davon aus, dass die Koeffizienten der Gleichung
relativ prim zueinander sind.
15
2.3. DIOPHANTASTISCH
Mit dem erweiterten Euklidschen Algorithmus erhält man ganze Zahlen x0 , y0 , so dass gilt
ax0 + by0 = 1
(2.2)
Wir multiplizieren (2.2) mit c und erhalten
a( x0 c ) + b( y0 c ) = c
|{z}
|{z}
(2.3)
x = x1 + bk,
(2.4)
y = y1 − ak.
(2.5)
=x1
=y1
Damit haben wir bereits eine Lösung (x1 , y1 ) von (2.1) gefunden. Sei nun k ∈ Z und
Setzt man (2.4) in (2.1) ein, so erhält man
a(x1 + bk) + b(y1 − ak) = ax1 + abk + by1 − abk = c
Also ist für jedes beliebige k ∈ Z das Paar (x, y) aus (2.4) eine Lösung von (2.1). Tatsächlich
findet man so alle ganzzahligen Lösungen.
Beispiel 2.19 (Fortsetzung). Die Diophantische Gleichung lautet
1990x + 2740y = 46810
(2.6)
Wir berechnen den ggT:
2740
1990
2740
1
0
1990
0
1
750
1
-1
490
-2
3
260
3
-4
230
-5
7
30
8
-11
20
-61
84
d = 10
69
-95
0
Wir erhalten d = 10 und beschäftigen uns nur mehr mit der Gleichung
199x + 274y = 4681.
(2.7)
16
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
Wir haben bereits berechnet, dass
199 · (−95) + 274 · 69 = 1
(2.8)
und wir erhalten die ersten Lösungen durch Multiplikation mit 4681:
x1 = (−95) · 4681 = −444695
y1 = 69 · 4681 = 322989
(2.9)
(2.10)
Nun sind alle ganzzahligen Lösungen gegeben durch
x = −444695 + 274k
y = 322989 − 199k,
(2.11)
wobei k ∈ Z
(2.12)
Von diesen unendlich vielen ganzzahligen Lösungen interessieren uns im speziellen Fall
wieder nur die positiven Lösungen (negative Stückzahlen gibt es nicht). Wie müssen wir
k ∈ Z wählen, damit x und y gleichzeitig positiv werden?
x wird positiv, wenn x = −444695 + 274k ≥ 0, also wenn k ≥ 1622, 97. y wird positiv,
wenn y = 322989 − 199k ≥ 0, also wenn k ≤ 1623, 06. In diesem Fall kommt also nur ein
einziges k in Frage, nämlich k = 1623. Mit diesem k erhalten wir x = 7 und y = 12. Dies
ist die einzige mögliche Lösung.
Eine wichtige Anwendung der Diophantischen Gleichungen kommt ganz unerwartet beim
Fälschen digitaler Signaturen. Dort wird es darum gehen, eine Gleichung“ ax = b mod n zu
”
lösen. Das folgende Beispiel erklärt, warum das einerseits nicht so einfach, andererseits aber
auch nicht schwierig ist.
Beispiel 2.20. Die Gleichung 12x = 27 besitzt keine ganzzahlige Lösung. Die Gleichung“
”
12x = 27 mod 105 besitzt aber 3 Lösungen, 11, 46 und 81.
Wie findet man alle Lösungen der Gleichung“
”
ax = b
mod n?
Wir schreiben (2.13) um in eine echte Diophantische Gleichung
ax + ny = b
und lösen die Gleichung.
(2.13)
17
2.4. ENDLICHE KÖRPER
2.4
Endliche Körper
Das Rechnen mit Restklassen ist nicht viel schwieriger als das Rechnen mit ganzen Zahlen.
Die von den ganzen Zahlen bekannten Rechenregeln gelten weiterhin. Divisionen machen
typischerweise Probleme in Z, woraus sich der Siegeszug der rationalen Zahlen erklärt. Wie
sieht’s mit dem Dividieren modulo n aus?
Beispiel 2.21. In Z lässt sich
5
6
nicht (ohne Rest) berechnen. Wie sieht es mit den Rest-
klassen modulo n aus?
• n = 7:
[5]7
= [2]7 , denn [6]7 · [2]7 = [5]7 .
[6]7
• n = 11:
[5]11
= [10]11 , denn [6]11 · [10]11 = [5]11 .
[6]11
• n = 9:
[6]9 · [0]9 = [0]9 , [6]9 · [1]9 = [6]9 ,
[6]9 · [2]9 = [3]9 , [6]9 · [3]9 = [0]9 ,
[6]9 · [4]9 = [6]9 , [6]9 · [5]9 = [3]9 ,
[6]9 · [6]9 = [0]9 , [6]9 · [7]9 = [6]9 ,
[6]9 · [8]9 = [3]9 .
Geht nicht!
Manchmal lässt sich also mit Restklassen besser“ dividieren, manchmal aber auch nicht.
”
Bringen wir etwas Ordnung in dieses Durcheinander.
Satz 2.22. Es sei n ∈ N und k ∈ Z. Ist ggT(n, k) = 1, dann gibt es eine Zahl q ∈ Z,
so dass [1]n = [k]n · [q]n . Ist ggT(n, k) > 1, so ist dies nicht der Fall. (Mit anderen
Worten: Sind n und k relativ prim, dann hat k modulo n einen Kehrwert, sonst nicht.)
Falls ggT(n, k) = 1, so schreiben wir für die Restklasse [q]n mit [1]n = [k]n · [q]n auch [k]−1
n
oder etwas mutiger [k −1 ]n und nennen [k]−1
n den Kehrwert von [k]n .
Besitzt k einen Kehrwert modulo n, dann lässt sich modulo n jede Zahl durch k dividieren
gemäß der Rechenregel
[a]n
[k]n
= [a]n ·
[1]n
[k]n
(oder kürzer
a
k
=a·
1
k
mod n.
18
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
Natürlich hat [0]n nie einen Kehrwert. Alle anderen Restklassen könnten einen Kehrwert
haben. Dies ist genau dann der Fall, wenn jede Zahl 0 < k < n relativ prim zu n ist.
Satz 2.23. In Zn lässt sich genau dann durch jede Zahl außer [0] n dividieren, wenn n
eine Primzahl ist.
Mengen von Zahlen“, die sich beliebig addieren, subtrahieren, multiplizieren und (mit
”
Ausnahme der 0) dividieren kann, nennen wir Körper. (In Kürze werden wir genau definieren, was ein Körper ist.) Die Mengen Zp (p ∈ P) sind also Körper. Die Körper Zp sind
außergewöhnlich, denn sie enthalten nur p verschiedene Elemente. Daher nennt man sie auch
endliche Körper. Neben Zp gibt es noch weitere endliche Körper, wir werden noch alle kennen
lernen. Unendliche Körper gibt es viele, z.B. R, Q, C und unzählige andere. Für unendliche
Körper werden wir uns nicht interessieren.
−1
−1
−1
Beispiel 2.24. Die Kehrwerte modulo 5. [1] −1
5 = [1]5 , [2]5 = [3]5 , [3]5 = [2]5 , [4]5 =
[4]5 . Damit lässt sich weiter rechnen:
3
4
=3·
1
4
= 3 · 4 = 2 mod 5.
Es wäre schön, wenn sich Kehrwerte modulo n auch schnell ausrechnen ließen, Durchprobieren ist eine schlechte Lösung, wenn n sehr groß ist. Wir denken kurz an Euklid und atmen
erleichtert auf:
Besitzt k einen Kehrwert modulo n, dann ist ggT(n, k) = 1. Wegen Satz 2.10 gibt es
Zahlen x, y ∈ Z, so dass
kx + ny = 1.
Betrachten wir diese Gleichung modulo n, so erhalten wir
kx + 0 = 1
mod n.
Das heißt aber, dass x der gesuchte Kehrwert von k modulo n ist. Danke, Euklid!
Beispiel 2.25. Wir berechnen den Kehrwert von 12 modulo 17.
2.5. DAS RSA-VERSCHLÜSSELUNGSVERFAHREN
17
12
I
17
1
0
II
12
0
1
III
5
1
-1
IV
2
-2
3
IV=II-2III
V
1
5
-7
V=III-2IV
VI
0
19
III=I-II
VI=IV-2V
Tatsächlich ist ggT(17, 12) = 1. Weiters ist
1 = 17 · 5 + 12 · (−7)
Modulo 17 ist also 1 = 12 · (−7) und der Kehrwert von 12 modulo 17 ist −7 = 10. Zur
Probe berechnen wir 12 · 10 = 120 = 1 mod 17.
Es fällt auf, dass eine Spalte im erweiterten Euklidschen Algorithmus gar nicht benötigt
wird. Tatsächlich hätten wir die 17er-Spalte nicht mitrechnen müssen und so etwas Arbeit
gespart.
2.5
Das RSA-Verschlüsselungsverfahren
An dieser Stelle bietet sich — gleichsam als Motivationsschub — ein Ausblick in die moderne
Kryptographie an. Dazu müssen wir nur noch ein paar Kleinigkeiten in Erfahrung bringen.
2.5.1
Die Eulersche ϕ-Funktion
Wie viele Zahlen in Zn haben einen Kehrwert? Wie viele Zahlen zwischen 0 und n−1 sind relativ prim zu n? Das war zweimal die selbe Frage, und diese Frage wollen wir jetzt beantworten.
Wir beginnen mit einer
Definition 2.26. Es sei n ∈ N. Dann heißt die Funktion
ϕ(n) = #{k ∈ Z | 0 ≤ k < n und ggT(n, k) = 1}
Eulersche ϕ–Funktion.
20
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
Satz 2.27. Der Wert ϕ(n) lässt sich berechnen, wenn man die Primfaktorzerlegung
von n kennt, denn es gilt:
1. Ist p ∈ P, dann ist
ϕ(p) = p − 1.
2. Ist p ∈ P und d ∈ N, dann ist
ϕ(pd ) = pd−1 (p − 1).
3. Sind m, n ∈ N und ggT(m, n) = 1, dann ist
ϕ(m · n) = ϕ(m) · ϕ(n).
4. Ist n = pe11 · · · perr die Primfaktorzerlegung von n, dann ist
ϕ(n) = n(1 −
1
1
) · · · (1 − ).
p1
pr
Bevor es losgeht noch ein Hammer (demnächst werden Sie diesen Satz auf einem
Übungsblatt finden und selbst beweisen).
Satz 2.28 (Euler). Sind z, n ∈ N und ist ggT(z, n) = 1 dann gilt
z ϕ(n) = 1
mod n
Remark 2.29. Für den Fall, dass n eine Primzahl ist, wurde dieser Satz schon früher von
Fermat bewiesen. In dieser Version ist er auch als kleiner Satz von Fermat bekannt.
2.5.2
Das RSA-Verfahren
Bob möchte Alice eine Nachricht schicken, niemand außer Alice soll die Nachricht lesen
können, also möchte er sie verschlüsseln.
Alice wählt zwei große Primzahlen p und q und berechnet n = pq. Weiters berechnet Alice
ϕ(n) = (p − 1)(q − 1) (vgl. Satz 2.27). Nun wählt sie zufällig eine Zahl e relativ prim zu ϕ(n).
Das Paar (n, e) ist ihr public key, den sie Bob schickt.
21
2.5. DAS RSA-VERSCHLÜSSELUNGSVERFAHREN
Weiters berechnet Alice den Kehrwert d von e modulo ϕ(n) mit dem erweiterten Euklidschen Algorithmus. Die beiden Primzahlen p und q hält sie geheim, das Tripel (p, q, d) stellt
ihren private key dar.
Bob hat seine Nachricht als Folge von Zahlen kleiner als n kodiert (vgl. Kapitel 1) kodiert.
Um eine Zahl m zu verschlüsseln, berechnet er
c = me
mod n.
Um die Nachricht zu entschlüsseln, muss die e-te Wurzel modulo n gezogen werden. Die
e-te Wurzel modulo n zu ziehen ist sehr schwierig, wenn man die Primfaktoren p und q nicht
kennt. Wir sehen gleich, dass das Wurzelziehen aber einfach ist, wenn man p und q kennt.
Alice hat den Kehrwert d von e modulo ϕ(n) berechnet, d.h.
ed = 1
mod ϕ(n)
bzw.
(2.14)
ed = 1 + v · ϕ(n) für ein passendes v ∈ Z
(2.15)
Sie berechnet nun (modulo n)
cd = (me )d = med
= m1+vϕ(n)
wegen (2.14)
= m · mϕ(n)v = m · (mϕ(n) )v
= m · 1v
=m
wegen Satz 2.28
mod n
und erhält auf diese Weise die ursprüngliche Nachricht m.
Beispiel 2.30. Die Zahlen in diesem Beispiel sind natürlich viel zu klein, in den Übungen
werden wir uns an größere Zahlen heran wagen.
Alice wählt p = 7 und q = 5, also n = 35 und ϕ(35) = 6 · 4 = 24. Nun wählt sie e = 5
und sendet Bob ihren public key (n, e) = (35, 5). Weiters berechnet sie den Kehrwert von
5 modulo 24.
5
24
0
5
1
4
-4
1
5
0
Der private key von Alice ist (p, q, d) = (7, 5, 5).
22
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
Bob verschlüsselt die Nachricht m = 4, er berechnet
c = m e = 45 = 9
mod 35
und schickt Alice c = 9.
Alice entschlüsselt m = cd = 95 = 4 mod 35.
Ein weiteres Problem ergibt sich. Um mit einer sehr großen Zahl zu potenzieren sind sehr
viele Multiplikationen mit sehr großen Zahlen notwendig, dazwischen wird man oft modulo n
reduzieren müssen. Hier kann man sich mit zwei Tricks helfen.
1. Der Exponent darf modulo ϕ(n) reduziert werden (das hilft aber nur dem Entschl üssler,
denn nur er kann ϕ(n) berechnen).
2. Die Square-And-Multiply–Methode zum Potenzieren, die Sie in den Übungen kennen
lernen.
2.6
Der chinesische Restsatz
Das Rechnen modulo n hat unter Anderem den Vorteil, dass man immer mit kleinen Zahlen
rechnen kann, weil man ja immer den Rest modulo n (bzw. den Rest modulo ϕ(n) im Exponenten) nehmen darf, wenn man will. Das Ergebnis erfährt man dafür aber auch nur modulo
n. Das ändern wir jetzt.
Beispiel 2.31. Wir wollen 13 · 4 berechnen. Das können wir in Z machen, genauso gut
aber in Z60 , kein Unterschied. Wir machen es aber modulo 3, modulo 4 und modulo 5. So
erhalten wir:
13 · 4 ≡3 1 · 1 ≡3 1
13 · 4 ≡4 1 · 0 ≡4 0
13 · 4 ≡5 3 · 4 ≡5 2
Daraus können wir schließen, dass x = 13 · 4 eine Zahl ist, die die folgenden Kongruenzen
erfüllt:
x ≡3 1
x ≡4 0
x ≡5 2
23
2.6. DER CHINESISCHE RESTSATZ
Schon wieder ein schwieriges Problem. Müssen wir hier probieren? Nein, hier hilft der
chinesische Restsatz.
Algorithmus 2.32 (Chinesischer Restsatz). Es seien n 1 , n2 , . . . , ns paarweise relativ
prime natürliche Zahlen. Weiters seien x1 , x2 , . . . , xs ganze Zahlen. Dann erhält man eine
Lösung des Restklassengleichungssystems
x ≡ n1 x 1
x ≡ n2 x 2
..
.
x ≡ ns x s
auf folgende Weise:
1. Berechne n = n1 ·n2 · · · ns . Modulo n ist die Lösung des Restklassengleichungssystems
eindeutig.
2. Berechne für i = 1, . . . , s die Zahlen
qi :=
n
ni
3. Jedes qi ist relativ prim zu ni (wieso?), und besitzt daher ein inverses Element modulo
ni . Berechne für i = 1, . . . , s das inverse Element ri von qi modulo ni (mit dem
erweiterten Euklidschen Algorithmus).
4. Berechne
x = x 1 q1 r1 + x 2 q2 r2 + · · · + x s qs rs
mod n.
Dieses x ist die eindeutige Lösung des Restklassengleichungssystems. Betrachten wir
dazu die Gleichung modulo ni . Wir erhalten
x = x1 · q1 ·r1 + · · · + xi · qi ri + · · · + xs · qs ·rs
|{z}
|{z}
|{z}
=0
= xi
mod ni
=1
=0
mod ni
24
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
Beispiel 2.33 (Fortsetzung). Wir lösen das Restklassengleichungssystem
x ≡3 1
x ≡4 0
x ≡5 2
1. n1 = 3, n2 = 4 und n3 = 5, also ist n = 3 · 4 · 5 = 60.
2. q1 = 20, q2 = 15, q3 = 12.
−1
−1
−1
−1
−1
3. [q1 ]−1
3 = [2]3 = [2]3 , [q2 ]4 = [3]4 = [3]4 und [q3 ]5 = [2]5 = [3]5 , also ist r1 = 2,
r2 = 3 und r3 = 3.
4. x = 1 · 20 · 2 + 0 · 15 · 3 + 2 · 12 · 3 = 112 = 52 mod 60.
Wir werden den chinesischen Restsatz gleich benutzen, um Primzahlen zu erzeugen und
das RSA-Verfahren zu knacken. Bleiben Sie dran.
2.7
Attacken auf RSA
2.7.1
Repeated Encryption
Die erste Attacke, die wir betrachten ist nicht speziell auf das RSA-Verfahren zugeschnitten,
vielmehr auf alle public-key Systeme, bei denen Ver- und Entschlüsselung mit der selben
Funktion und verschiedenen Schlüsseln funktioniert.
Ausgehend von der verschlüsselten Nachricht c berechnet man die doppelt verschlüsselte
Nachricht c1 = ce mod n, dann verschlüsselt man ein weiteres Mal und erhält c2 = ce1 =
2
(ce )e = ce , usw. Angenommen, beim k-ten Mal erhält man wieder die ursprüngliche verschlüsselte Nachricht c, also ck = c. Dann muss ck−1 der Klartext gewesen sein, denn
c = ck = cek−1 mod n.
Zufällig gewählte Exponenten e garantieren beim RSA-Verfahren bereits, dass man viel
zu oft verschlüsseln müsste, um wieder zu c zu gelangen.
2.7.2
Gleiche Moduln
Wird die selbe Nachricht mit zwei Schlüsseln (n, e1 ) und (n, e2 ) (gleiches n) verschlüsselt, so
kann die ursprüngliche Nachricht entschlüsselt werden, falls ggT(e1 , e2 ) = 1 ist.
25
2.7. ATTACKEN AUF RSA
Nehmen wir an, die verschlüsselten Texte sind
c 1 = m e1
mod n
c 2 = m e2
und
mod n.
Dann berechnet man einfach ganze Zahlen a und b mit
ae1 + be2 = 1.
Genau eine der beiden Zahlen ist negativ (warum?). Nehmen wir an, dies ist a. Ist ggT(c 1 , n) >
1, so hat man einen Teiler von n gefunden, der Schlüssel ist vollständig geknackt. Ist
ggT(c1 , n) = 1, so kann man den Kehrwert c−1 von c1 modulo n berechnen. Nun berechnet man
−a
(c−1
· (c2 )b
1 )
mod n.
Das Ergebnis ist (c1 )a (c2 )b = (me1 )a (me2 )b = me1 a+e2 b = m mod n, die Nachricht im Klartext.
2.7.3
Die Low Exponent Attacke
Um den Aufwand beim Verschlüsseln im RSA-Verfahren klein zu halten — das ist sehr interessant, wenn man beispielsweise mit einer Smartcard verschlüsseln möchte — könnte man
kleine Verschlüsselungsexponenten verwenden, da diese ja ohnehin öffentlich bekannt sind.
Die Low Exponent Attacke zeigt, wie ein Angreifer in diesem Fall die verschlüsselte Nachricht
entschlüsseln kann.
Angenommen,
die
selbe
Nachricht
m
wird
mit
den
öffentlichen
Schlüsseln
(n1 , e), (n2 , e), . . . (ne , e) verschlüsselt. (Tatsächlich muss die Nachricht mit e verschiedenen öffentlichen Schlüsseln mit dem selben Exponenten e verschlüsselt werden. Daher
funktioniert diese Attacke auf keinen Fall, wenn e groß ist.) Dann lässt sich aus den e
verschlüsselten Nachrichten der Klartext m berechnen.
Man kennt dann
m e ≡ n1 c 1
m e ≡ n2 c 2
..
.
m e ≡ ne c e
Die Zahlen n1 , . . . , ne sind höchstwahrscheinlich paarweise relativ prim. (Was kann man tun,
wenn dies nicht der Fall ist?)
Nach dem chinesischen Restsatz gibt es modulo n 1 · n2 · · · ne genau ein c, das diese Rest-
klassengleichungen erfüllt. Für dieses c gilt also c = me mod n1 · n2 · · · ne . Da m kleiner ist
26
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
als jedes ni , ist me kleiner als n1 · n2 · · · ne , also gilt c = me . Nun kann man die e-te Wurzel
ganz normal (in Z) ziehen.
Beispiel 2.34. Es sei e = 3, die öffentlichen Schlüssel seien (143, 3), (391, 3) und (899, 3).
Verschlüsselt man die Nachricht m = 135, so erhält man c1 = 60, c2 = 203 und c3 = 711.
Mit dem chinesischen Restsatz erhält man daraus c = mk = 2460375. Daraus zieht man
nun die dritte Wurzel und erhält m = 135.
2.8
Faktorisieren
Wir haben gesehen, dass das RSA-Verfahren gebrochen werden kann, wenn man in der Lage
ist, eine große Zahl n, die das Produkt zweier großer Primzahlen p und q ist, zu faktorisieren.
Die erste Methode, die einem einfällt, ist die Methode der Probedivision, also einfach
durch alle Zahlen (beginnend mit 2) zu dividieren und dies solange, bis man einen Faktor
gefunden hat.
Wir betrachten im Folgenden zwei Methoden zur Faktorisierung großer Zahlen, die
Pollard-(p − 1)-Methode und das quadratische Sieb.
2.8.1
Die Pollard-(p − 1)-Methode
Mit dieser Methode ist es möglich, einen Primfaktor p einer Zahl n zu finden, wenn in der
Primfaktorzerlegung von p − 1 nur kleine Primzahlpotenzen vorkommen.
Angenommen, die Zahl n habe einen Primfaktor p, so dass alle Primzahlpotenzen, die in
der Primfaktorzerlegung von p − 1 vorkommen, kleiner oder gleich B sind, wobei B eine nicht
allzu große Zahl ist. (Bemerkung: Natürlich kennen wir p nicht. Wir vertrauen blind darauf,
dass p − 1 die gewünschte Eigenschaft besitzt. Ist dies nicht der Fall, werden wir keinen Erfolg
haben.)
Wir bilden zunächst das kleinste gemeinsame Vielfache E aller Zahlen, die kleiner oder
gleich B sind. Somit ist E sicher ein Vielfaches von p − 1 (warum?), also E = v(p − 1) f ür ein
passendes v ∈ Z.
Nach dem kleinen Satz von Fermat (Satz 2.28) gilt:
ap−1 = 1
also
mod p,
aE = av(p−1) = (ap−1 )v = 1v = 1
mod p,
d.h. p | aE − 1
Also ist aE −1 ein Vielfaches von p. Falls aE −1 kein Vielfaches von n ist, dann ist ggT(a E −1, n)
ein echter Teiler von n.
27
2.8. FAKTORISIEREN
Wir brauchen also nur aE − 1 modulo n zu berechnen und dann ggT(a E − 1, n). (Warum
reicht es hier, aE − 1 modulo n zu berechnen?) Die Parameter a und B sind hier frei wählbar,
a kann zufällig gewählt werden, B muss groß genug sein.
Hat man bei dieser Methode keinen Erfolg (a E − 1 ist ein Vielfaches von n), dann wählt
man ein anderes a, haben mehrere a nicht funktioniert, muss man wahrscheinlich ein größeres
B wählen.
Beispiel 2.35. Wir faktorisieren n = 1241143 und wählen a = 2, B = 13. Dann ist
E = 23 · 32 · 5 · 7 · 11 · 13.
Wir erhalten 2E − 1 = 861525 mod n und ggT(861525, 1241143) = 547. Schon haben wir
einen Teiler von n gefunden. Tatsächlich ist 547 − 1 = 2 · 3 · 7 · 13.
2.8.2
Lineare Gleichungssysteme über endlichen Körpern
Für die nächste Faktorisierungsmethode müssen wir ein lineares Gleichungssystem modulo p
lösen können. Wir wissen bereits, wie man lineare Gleichungsssysteme über R löst. Für das
Weitere beruhigt uns der
Satz 2.36. Alles, was wir über Vektorräume über R wissen, überträgt sich auf endliche
Körper.
(Natürlich stimmt dieser Satz so nicht, aber er stimmt so weit, dass wir so tun können,
als würde er stimmen.)
2.8.3
Das quadratische Sieb
Die Pollard-(p − 1)-Methode ist für nicht allzu große Zahlen eine einfache Faktorisierungs-
methode, die allerdings schnell an ihre Grenzen gelangt. Die dritte Methode ist noch besser,
dafür brauchen wir aber noch ein bisschen mehr Mathematik.
Dem quadratischen Sieb liegt folgende Beobachtung zu Grunde: Hat man ganze Zahlen x
und y mit
x2 = y 2
mod n und
(2.16)
x 6= ±y
mod n
(2.17)
28
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
dann kennt man auch schon einen Teiler von n, denn
n | x2 − y 2 = (x + y)(x − y)
n - x + y, n - x − y
Berechnet man nun ggT(n, x − y), so hat man einen Teiler von n.
Nun geht es nur noch darum, die Zahlen x und y zu finden.
√
Sei m = b nc1 und f (x) = (x + m)2 − n.
Bemerkung: Ist x klein, so ist auch f (x) klein.
Beispiel 2.37. Wir beginnen bescheiden und faktorisieren n = 3277, also m = 57.
Zunächst berechnen wir die Werte
f (−2) = 552 − 3277 = −252 = (−1) · 22 · 32 · 7
f (−1) = 562 − 3277 = −141 = (−1) · 3 · 47
f (0) = 572 − 3277 = −28 = (−1) · 22 · 7
f (1) = 582 − 3277 = 87 = 3 · 29
f (2) = 592 − 3277 = 204 = 22 · 3 · 17
Daraus lesen wir (unter anderem)
552 ≡3277 (−1) · 22 · 32 · 7
und
572 ≡3277 (−1) · 22 · 7
Multipliziert man die beiden Gleichungen, so erhält man
552 · 572 = (−1) · 22 · 32 · 7 · (−1) · 22 · 7
bzw.
(55 · 57)2 = (−1)2 · 24 · 32 · 72 = (22 · 3 · 7)2
mod 3277
Wir wählen also x = 55 · 57 und y = 22 · 3 · 7 = 84. Tatsächlich sind die Gleichungen (2.16)
und (2.17) erfüllt. Wir berechnen x − y = 3051 und ggT(3051, 3277) = 113, ein Teiler von
n ist gefunden.
So einfach geht’s nicht immer, hier haben wir Glück gehabt. Im Allgemeinen muss man
ein bisschen mehr tun.
Auf der linken Seite steht immer ein Quadrat, wenn man Gleichungen multipliziert. Es
stellt sich die Frage, welche Gleichungen (möglicherweise mehr als zwei) multipliziert werden
1
Für x ∈
bezeichnet man mit bxc die größte ganze Zahl, die kleiner oder gleich x ist.
29
2.8. FAKTORISIEREN
müssen, damit sich auch auf der rechten Seite ein Quadrat ergibt. Manchmal kann man raten,
meistens jedoch muss man rechnen, wir setzen unser Beispiel fort.
Beispiel 2.38 (Fortsetzung). Die rechten Seiten sind
(−1) · 22 · 32 · 7, (−1) · 4 · 47, (−1) · 22 · 7, 3 · 29 und 22 · 3 · 17.
Wir definieren nun λi = 1, wenn die i-te Gleichung verwendet werden soll und sonst λ i = 0.
Multipliziert man nun die Gleichungen, so erhält man auf der rechten Seite
· (3 · 29)λ4
λ1
· ((−1) · 3 · 47)λ2 · (−1) · 22 · 7
λ
· 22 · 3 · 17 5
(−1) · 22 · 32 · 7
λ3
Wir sortieren das Ergebnis nach den Basen und erhalten
(−1)λ1 +λ2 +λ3 · 22λ1 +2λ3 +2λ5 · 32λ1 +λ2 +λ4 +λ5 · 7λ1 +λ3
· 17λ5 · 29λ4 · 47λ2
Damit ein Quadrat herauskommt, müssen alle Exponenten kongruent 0 modulo 2 (also
gerade) sein, d.h.
λ1 + λ 2 + λ 3 = 0
mod 2
2λ1 + 2λ3 + 2λ5 = 0
mod 2
2λ1 + λ2 + λ4 + λ5 = 0
mod 2
λ1 + λ 3 = 0
mod 2
λ5 = 0
mod 2
λ4 = 0
mod 2
λ2 = 0
mod 2
Es ergibt sich ein lineares Gleichungssystem über dem Körper Z2 , welches sich wie gewohnt
lösen lässt. Besitzt das lineare Gleichungssystem neben dem Nullvektor eine weitere Lösung,
so wissen wir, welche Gleichungen multipliziert werden müssen. In diesem Fall ergibt sich
λ1 = λ3 = 1 und λ2 = λ4 = λ5 = 0. Den Rest kennen wir ja schon.
30
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
2.9
Zufallszahlen
Ein zentrales Element jedes kryptographischen Systems ist der Zufallszahlengenerator. Ein
RSA-Schlüssel muss selbstverständlich zufällig erzeugt sein, sonst könnte ein Angreifer ihn
möglicherweise einfach reproduzieren. Wir werden noch andere Verfahren kennen lernen, die
vor allem auf einen guten Zufallszahlengenerator vertrauen.
Was heißt nun guter Zufallszahlengenerator“? Der beste Zufallszahlengenerator ist der
”
Zufall selbst (falls es so etwas gibt), also ein Prozess, der völlig unvorhersehbar ist, solange
man ihn auch beobachtet.
Eine Möglichkeit einen guten Zufallszahlengenerator zu bauen ist nun, einen natürlichen
zufälligen Prozess zu beobachten. So gibt es Zufallszahlengeneratoren, die den Zerfall radioaktiven Materials beobachten (ein Prozess, von dem man glaubt, dass er ganz zufällig passiert).
Für das eigene Notebook begnügt man sich in der Regel mit Algorithmen, die zufällige
Zahlen produzieren, die sich nur sehr schwer von wirklich zufällig erzeugten Zahlen unterscheiden lassen.
2.9.1
Test auf Zufälligkeit
Wir sehen uns kurz ein paar Tests an, mit denen sich feststellen lässt, ob eine Folge von Bits
nicht zufällig ist (siehe auch [MvOV97, Abschnitt 5.4]).
Wir werden uns nicht eingehender mit Statistik beschäftigen, sondern begnügen uns mit
einem Crashkurs.
Um die Zufälligkeit einer Bitfolge zu überprüfen, berechnet man bestimmte Kennzahlen
der Bitfolge, sogenannte Statistiken. Diese Statistiken haben bei zufälligen Folgen Werte in einem bestimmten Bereich, bei nicht zufälligen Folgen können die Werte der Statistik außerhalb
dieser Bereiche liegen. Damit lässt sich entscheiden, ob die Bitfolge zufällig ist.
Natürlich kann der Wert einer Statistik auch zufällig“ außerhalb des erwarteten Bereichs
”
liegen, allerdings nur mit geringer Wahrscheinlichkeit.
Das Ergebnis eines statistischen Tests ist somit stets eine Aussage der Art:
Die untersuchte Bitfolge ist nicht zufällig. Die Wahrscheinlichkeit, dass der
Wert der Statistik zufällig so extrem war, beträgt nur . . . %.
Liegt die berechnete Wahrscheinlichkeit unter einer vorgegebenen Schranke α (dem sogenannten Signifikanzniveau), dann kann man ziemlich sicher sein, dass die Bitfolge nicht zufällig
ist. Wie groß α gewählt wird, hängt davon ab, wie sicher man sein will, üblich sind 10% für
unkritische Anwendungen bis zu 0.05% für hochsensible Anwendungen.
Die Statistiken in den im Folgenden beschriebenen Tests sind allesamt χ 2 -verteilt. Die
erwarteten Bereiche für die Statistiken in der Form von Quantiltabellen angegeben. Eine
solche Quantiltabelle ist Tabelle 2.1.
31
2.9. ZUFALLSZAHLEN
df
0.10
0.05
0.025
0.02
0.01
0.005
0.0025
0.001
0.0005
1
2.71
3.84
5.02
5.41
6.63
7.88
9.14
10.83
12.12
2
4.61
5.99
7.38
7.82
9.21
10.60
11.98
13.82
15.20
3
6.25
7.81
9.35
9.84
11.34
12.84
14.32
16.27
17.73
4
7.78
9.49
11.14
11.67
13.23
14.86
16.42
18.47
20.00
5
9.24
11.07
12.83
13.33
15.09
16.75
18.39
20.51
22.11
6
10.64
12.53
14.45
15.03
16.81
13.55
20.25
22.46
24.10
7
12.02
14.07
16.01
16.62
18.48
20.28
22.04
24.32
26.02
8
13.36
15.51
17.53
18.17
20.09
21.95
23.77
26.12
27.87
9
14.68
16.92
19.02
19.63
21.67
23.59
25.46
27.83
29.67
10
15.99
18.31
20.48
21.16
23.21
25.19
27.11
29.59
31.42
11
17.29
19.68
21.92
22.62
24.72
26.76
28.73
31.26
33.14
12
18.55
21.03
23.34
24.05
26.22
28.30
30.32
32.91
34.82
13
19.81
22.36
24.74
25.47
27.69
29.82
31.88
34.53
36.48
14
21.06
23.68
26.12
26.87
29.14
31.32
33.43
36.12
38.11
15
22.31
25.00
27.49
28.26
30.58
32.80
34.95
37.70
39.72
16
23.54
26.30
28.85
29.63
32.00
34.27
36.46
39.25
41.31
17
24.77
27.59
30.19
31.00
33.41
35.72
37.95
40.79
42.88
18
25.99
28.87
31.53
32.35
34.81
37.16
39.42
42.31
44.43
19
27.20
30.14
32.85
33.69
36.19
38.58
40.88
43.82
45.97
20
28.41
31.41
34.17
35.02
37.57
40.00
42.34
45.31
47.50
21
29.62
39.67
35.48
36.34
38.93
41.40
43.78
46.80
49.01
22
30.81
33.92
36.78
37.66
40.29
42.80
45.20
48.27
50.51
23
32.01
35.17
38.08
38.97
41.64
44.18
46.62
49.73
52.00
24
33.20
36.42
39.36
40.27
42.98
45.56
48.03
51.18
53.48
25
34.38
37.65
40.65
41.57
44.31
46.93
49.44
52.62
54.95
26
35.56
38.89
41.92
42.86
45.64
48.29
50.83
54.05
56.41
27
36.74
40.11
43.19
44.14
46.96
49.64
52.22
55.48
57.86
28
37.92
41.34
44.46
45.42
48.28
50.99
53.59
56.89
59.30
29
39.09
42.56
45.72
46.69
49.59
52.34
54.97
58.30
60.73
30
40.26
43.77
46.98
47.96
50.89
53.67
56.33
59.70
62.16
40
51.81
55.76
59.34
60.44
63.69
66.77
69.70
73.40
76.09
50
63.17
67.50
71.42
72.61
76.15
79.49
82.66
86.66
89.56
60
74.40
79.08
83.30
84.58
88.38
91.95
95.34
99.61
102.7
80
96.58
101.9
106.6
108.1
112.3
116.3
120.1
124.8
128.3
100
118.5
124.3
129.6
131.1
135.8
140.2
144.3
149.4
153.2
Tabelle 2.1: In dieser Quantiltabelle findet sich in der Spalte 0.01 in der Zeile 9 die Zahl 21.67.
Das bedeutet, dass die Wahrscheinlichkeit, dass eine mit 9 Freiheitsgraden χ 2 -verteilte Zahl
mit einer Wahrscheinlichkeit von 1% größer oder gleich 21.67 ist.
32
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
Sehen wir uns die wichtigsten Tests kurz an.
Häufigkeitstest In einer zufälligen Bitfolge der Länge n kommen 0 und 1 ungefähr gleich
oft vor. Sei n0 die Anzahl der 0en und n1 die Anzahl der 1en in der Bitfolge. Die Zahl
(n0 − n1 )2
n
2
ist dann näherungsweise χ -verteilt mit 1 Freiheitsgrad, falls n ≥ 10.
T1 =
Zwei-Bit-Test Die Paare 00, 01, 10 und 11 kommen in einer zufälligen Bitfolge ungefähr
gleich oft vor. Es seien n00 , n01 , n10 und n11 die Anzahl der Paare 00, 01, 10 und 11 in
der Bitfolge. Dann ist die Zahl
4
2
T2 =
(n200 + n201 + n210 + n211 ) − (n20 + n21 ) + 1
n−1
n
näherungsweise χ2 -verteilt mit 2 Freiheitsgraden, falls n ≥ 21.
Pokertest Dieser Test ist eine Verallgemeinerung des Zwei-Bit-Tests. Es sei m eine Zahl mit
n
c ≥ 5 · 2m . Man teilt die Bitfolge irgendwie in k nicht überlappende Teile der
k := b m
Länge m. Jeder dieser Teile ist die Binärdarstellung einer Zahl i mit 0 ≤ i < 2 m . Nun
sei ni die Anzahl der Teile, welche die Zahl i darstellen. Dann ist die Zahl
2m −1
2m X 2
T3 =
(
ni ) − k
k
i=0
näherungsweise
χ2 -verteilt
mit
2m
− 1 Freiheitsgraden.
Runs-Test Ein Run ist eine Teilfolge einer Bitfolge aus lauter gleichen Symbolen. Der RunTest untersucht, ob die Anzahl der Runs bestimmter Länge der erwarteten Anzahl in
einer zufälligen Bitfolge entspricht. Die erwartete Anzahl von Runs von 0en (oder 1en)
der Länge i in einer Bitfolge der Länge n ist ei = (n − i + 3)/2i+2 . Nun sei k die größte
Zahl i, für die ei ≥ 5. Nun zählen wir für 1 ≤ i ≤ k Oi , die Anzahl der Runs von 0en
der Länge i, und Ii , die Anzahl der Runs von 1en der Länge i. Dann ist die Zahl
T4 =
k
X
(Oi − ei )2
i=1
ei
+
k
X
(Ii − ei )2
i=1
ei
näherungsweise χ2 -verteilt mit 2k − 2 Freiheitsgraden.
Autokorrelationstest Mit diesem Test wird untersucht, ob es einen Zusammenhang zwischen der Bitfolge und der um d Stellen verschobenen Bitfolge gibt. Es sei s i das i-te
Pn−d−1
Bit der Bitfolge und d eine Zahl mit 1 ≤ d ≤ b n2 c. Weiters sei A(d) = i=0
si ⊕ si+d
(⊕ steht für XOR). Dann ist die Zahl
n−d 2
) /(n − d)
2
näherungsweise χ2 -verteilt mit 1 Freiheitsgrad, falls n − d ≥ 10.
T5 = 4(A(d) −
2.9. ZUFALLSZAHLEN
33
Beispiel 2.39. Wir untersuchen die Bitfolge der Länge n = 160, die entsteht, wenn man
die Bitfolge
1110001100010001010011101111001001001001
vier mal hintereinander schreibt.
1. (Häufigkeitstest) n0 = 84, n1 = 76, T1 = 0.4. Die Wahrscheinlichkeit, dass T 1 ≥ 0.4
ist, ist größer als 10%. Test bestanden.
2. (Zwei-Bit-Test) n00 = 44, n01 = 40, n10 = 40, n11 = 35, T2 = 0.625. Die Wahrscheinlichkeit, dass T2 ≥ 0.625 ist, ist größer als 10%. Test bestanden.
3. (Pokertest für m = 3) k = 53, n0 = 5, n1 = 10, n2 = 6, n3 = 4, n4 = 12, n5 = 3,
n6 = 6, n7 = 7, T3 = 9.64. Die Wahrscheinlichkeit, dass T 3 ≥ 9.64 ist, ist größer als
10%. Test bestanden.
4. (Runs-Test) e1 = 20.25, e2 = 10.06, e3 = 5, k = 3, O1 = 8, O2 = 20, O3 = 12,
I1 = 25, I2 = 4, I3 = 5, T4 = 31.79. Die Wahrscheinlichkeit, dass T 4 ≥ 31.79 ist, ist
kleiner als 0.05%. Diese Bitfolge ist nicht zufällig.
5. (Autokorrelationstest für d = 8) A(8) = 100, T5 = 15.13. Die Wahrscheinlichkeit,
dass T5 ≥ 15.13 ist, ist kleiner als 0.05%. Die Bitfolge ist nicht zufällig.
2.9.2
Der BBS-Zufallszahlengenerator
Definition 2.40. Ein (Pseudo-)Zufallszahlengenerator (pseudo random number generator, PRNG) ist ein deterministischer Algorithmus, der eine Bitfolge erzeugt, die sich
durch die statistischen Tests aus Abschnitt 2.9.1 nicht von einer zufälligen Bitfolge unterscheiden lässt.
Es gibt viele Möglichkeiten, Pseudozufallszahlen zu erzeugen (siehe [MvOV97] und [Sch96]).
Wir sehen uns einen der bekanntesten PRNGs an, den Blum-Blum-Shub-PRNG 2 , benannt
nach seinen Erfindern. Er benötigt zwei große (geheime) Primzahlen p und q, beide kongruent
3 modulo 4.
2
Die genaue Beschreibung samt Beweis für seine Unvorhersagbarkeit finden Sie in [BBS86].
34
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
Algorithmus 2.41 (Blum-Blum-Shub-PRNG).
1. Es sei n = pq.
2. Wähle eine zufällige Zahl s mit 1 ≤ s ≤ n − 1 relativ prim zu n und berechne x 0 = s2
mod n.
3. Berechne xi = x2i−1 mod n.
4. Wiederhole Schritt (3).
Der Algorithmus ist vollkommen deterministisch, sobald die Zahl s, der sogenannte seed
gewählt ist. Üblicherweise wird ein seed bestimmt, indem man gewisse Daten des Computers
(Systemzeit, Register- und Speicherinhalte, Userinput über das Keyboard, Mausbewegungen,
Netzwerkdaten, . . . ) ausliest und daraus eine zufällige Zahl macht.
Von den berechneten xi verwendet man jeweils nur das letzte Bit bzw. die letzten j Bits,
wobei j in der Größenordnung von ln ln n liegt, also auch für sehr große n nicht mehr als 10.
2.10
Erzeugung von Primzahlen
Die klassische Methode zur Primzahlerzeugung ist, eine zufällige Zahl zu erzeugen, und dann
zu überprüfen, ob es sich um eine Primzahl handelt. Diese Methode funktioniert aus zwei
Gründen sehr gut:
1. Die Wahrscheinlichkeit, dass eine zufällig gewählte Zahl eine Primzahl ist, ist nicht sehr
klein, d.h. nach nicht allzu vielen Versuchen ist die Zahl eine Primzahl.
2. Es ist möglich, in vernünftiger Zeit zu überprüfen, ob eine Zahl Primzahl ist.
Beides ist nicht unmittelbar klar. Wir gehen dem nach.
2.10.1
Es gibt viele Primzahlen
Wir beginnen ganz harmlos:
Satz 2.42. Es gibt unendlich viele Primzahlen.
35
2.10. ERZEUGUNG VON PRIMZAHLEN
Dieses schöne Resultat sagt uns zumindest, dass uns die Primzahlen nie ausgehen. Für
unsere Zwecke brauchen wir aber etwas mehr. Den folgenden Satz haben zwei Mathematiker
unabhängig voneinander bewiesen, nachdem das Problem 100 Jahre lang ungelöst war. Wir
begnügen uns mit einer sehr ungenauen Formulierung.
Satz 2.43 (Hadamard (1896) und de la Vallée Poussin (1896)). Es sei π(x)
die Anzahl der Primzahlen, die kleiner sind als x ∈ N. Dann gilt für x ≥ 17
x
x
< π(x) < 1.25506 ·
.
ln x
ln x
Dieser Satz sagt insbesondere etwas darüber aus, wie viele Primzahlen es in etwa in der
Umgebung von x gibt. Wir berechnen einfach, wie sehr sich die Anzahl der Primzahlen bei x
ändert, also einfach die Steigung von π(x) an der Stelle x. 3 Es ergibt sich π 0 (x) ≈
ln x−1
ln2 x
≈
1
ln x .
Das bedeutet, dass in der Gegend von x in etwa jede ( ln1x )-te Zahl eine Primzahl ist. Anders
ausgedrückt: Man muss im Durchschnitt ln x Zahlen in der Gegend von x testen, bis man
eine Primzahl findet. Da ln x eine sehr langsam wachsende Funktion ist, braucht man selbst
bei großen x noch nicht allzu lange probieren.
2.10.2
Primzahltests
Wir überlegen uns in diesem Kapitel, ob und wie man schnell überprüfen kann, ob eine ganze
Zahl n eine Primzahl ist.
Probedivision
Eine einfache Möglichkeit, festzustellen, ob n prim ist, ist probeweise durch alle (Prim-)Zahlen,
√
die kleiner sind als n, zu dividieren. Findet man dabei einen Teiler von n, so ist n keine
√
Primzahl. Findet man keinen Teiler, dann ist n prim. (Warum muss nur bis n probiert
werden?)
Diese Methode erfordert sehr viele Probedivisionen. Für das RSA-Verfahren brauchen wir
aber zwei sehr große Primzahlen. Sehen wir uns zwei weitere Methoden an.
Der Fermat–Test
Der kleine Satz von Fermat (Satz 2.28) besagt, dass für alle 0 < a < n gilt:
an−1 = 1
3
mod n,
Es sei angemerkt, dass diese analytischen Überlegungen natürlich nicht gültig sind, sie beschreiben aber
sehr anschaulich, was hier passiert.
36
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
falls n eine Primzahl ist.
Und sonst? Sehen wir uns ein paar Beispiele an.
Beispiel 2.44.
n
a
an−1 mod n
prim?
14
2
2
nein
341
2
1
???
341
3
56
nein
561
2
1
???
561
3
1
???
561
4
1
???
Tatsächlich lassen sich zusammengesetzte Zahlen mit diesem einfachen Test enttarnen. 14
ist sofort als nicht prim identifiziert, 341 besteht den ersten Test mit Basis 2, scheitert aber
beim zweiten Test mit Basis 3, 561 ist noch hartnäckiger, besteht den Test für die Basen 2,
3 und 4. Falls n den Fermat–Test mit Basis a besteht, so nennen wir n eine Pseudoprimzahl
zur Basis a. Im obigen Beispiel ist also 341 Pseudoprimzahl zur Basis 2, aber nicht zur Basis
3, 561 ist Pseudoprimzahl zu den Basen 2, 3 und 4.
Nach dem kleinen Satz von Fermat ist jede Primzahl p Pseudoprimzahl zu jeder Basis a
mit ggT(a, p) = 1.
Lassen sich alle zusammengesetzten Zahlen ertappen oder gibt es zusammengesetzte Zahlen n, die Pseudoprimzahlen zu jeder Basis a mit ggT(a, n) = 1 sind? Die bedrückende Antwort ist ja“. Solche Zahlen heißen Carmichaelzahlen. Die zehn kleinsten Carmichaelzahlen
”
sind 561, 1105, 1729, 2465, 2821, 6601, 8911, 10585, 15841 und 29341.
Remark 2.45. Falls der Fermat–Test ergibt, dass es sich bei n nicht um eine Primzahl
handelt, so kennt man noch keinen Teiler von n, der Fermat–Test ist also nicht als Faktorisierungsmethode zu gebrauchen. Faktorisieren ist also schwieriger, als Primalität zu testen.
Der Fermat–Test kann also schnell belegen, dass eine Zahl zusammengesetzt ist, Carmichaelzahlen sind allerdings zusammengesetzte Zahlen, die der Fermat–Test immer f ür Primzahlen hält. Wir müssen uns noch ein bisschen mehr anstrengen.
Der Miller–Rabin–Test
Um den Fermat–Test zu verbessern, verbessern wir einfach den kleinen Satz von Fermat.
37
2.10. ERZEUGUNG VON PRIMZAHLEN
Satz 2.46. Es sei n > 2 eine Primzahl. Dann lässt sich n − 1 eindeutig als n − 1 = 2s k
schreiben, wobei k ∈ N ungerade und s ∈ N ist. Weiters sei 0 < a < n. Dann gilt
entweder
ak = 1
mod n
(2.18)
oder es gibt eine Zahl r ∈ {0, 1, . . . , s − 1} mit
a2
rk
= −1
mod n
(2.19)
Diesen leicht modifizierten Test, den Miller–Rabin–Test, besteht auch keine Carmichaelzahl mehr für jede Basis a. Eine Basis a, für die n den Miller–Rabin–Test nicht besteht nennen
wir einen Zeugen gegen die Primalität von n.
Satz 2.47. Erfüllt n die Bedingungen (2.18) oder (2.19) für jedes 0 < a < n, so ist n
eine Primzahl.
Beispiel 2.48. Die erste Carmichaelzahl n = 561 besteht den Miller–Rabin–Test f ür a = 2
nicht: wir erhalten 561 − 1 = 24 · 35, also s = 4 und d = 35. Wir berechnen 2 35 = 263
mod 561, also ist (2.18) nicht erfüllt. Weiter erhalten wir 22
mod 561 und
3
22 ·35
1 ·35
= 166 mod 561, 22
2 ·35
= 67
= 1 mod 561, nie ist das Ergebnis −1, also ist auch (2.19) nicht erfüllt.
Somit ist 561 keine Primzahl.
Die Situation ist jetzt also viel besser, allerdings muss man sehr viele Basen durchprobieren, um sicher sein zu können, dass n tatsächlich eine Primzahl ist. Das geht wieder nicht.
Eine letzte Rettung bietet der folgende Satz.
Satz 2.49. Ist n eine zusammengesetzte natürliche Zahl, dann gibt es höchstens
n−1
4
Zahlen zwischen 1 und n−1, die zu n relativ prim und keine Zeugen gegen die Primalität
von n sind.
38
KAPITEL 2. RIVEST, SHAMIR UND ADLEMAN
Daraus ergibt sich der folgende
Algorithmus 2.50 (Miller–Rabin–Test). Gegeben ist eine natürliche Zahl n ≥ 3.
1. Wähle zufällig eine Zahl a, mit 2 ≤ a ≤ n − 1.
2. Schreibe n − 1 als n − 1 = 2s k schreiben, wobei k ∈ N ungerade und s ∈ N ist.
3. Berechne ak , a2k , . . . , a2
s−1 k
und überprüfe (2.18) bzw. (2.19).
4. Ist n zusammengesetzt, so findet man in Schritt 4. mit einer Wahrscheinlichkeit von
mindestens 75% einen Zeugen gegen die Primalität.
5. Wiederhole den Test mit einem neuen a.
Nach t Tests, bei denen kein Zeuge gefunden wurde, ist die Wahrscheinlichkeit, dass n
zusammengesetzt ist, höchstens ( 14 )t .
Eine Zahl, die 10 Testrunden besteht ist mit einer Wahrscheinlichkeit von höchstens
( 41 )10
= 9.5 · 10−7 zusammengesetzt. Nach 15 Runden ist die Wahrscheinlichkeit höchstens
9.3 · 10−10 , nach 20 Runden 9.1 · 10−13 . Im Vergleich dazu ist die Wahrscheinlichkeit für einen
Lottosechser mit 1.2 · 10−7 schon ziemlich groß. Es sind also nicht sehr viele Runden notwen-
dig, um mit großer Sicherheit sagen zu können, ob eine Zahl prim ist. Sobald mehr als
n−1
4
Basen durchprobiert sind, kann man sogar sicher sein, dass n prim ist. Praktisch ist das f ür
große n aber nicht möglich. Man begnügt sich mit Zahlen, die sehr wahrscheinlich prim sind.
Auch solche Primzahlen werden gelegentlich Pseudoprimzahlen genannt.
2.10.3
Erzeugung von starken Pseudoprimzahlen
Für das RSA-Verfahren reicht es nicht, zwei große Primzahlen p und q zu finden. Wie schon
die Pollard–(p − 1)–Faktorisierungsmethode zeigt, müssen p − 1 und q − 1 große Primfaktoren
enthalten. Ähnliche Methoden zeigen, dass selbst das noch nicht reicht. Pseudoprimzahlen,
die wirklich sicher“ sind, nennen wir starke Pseudoprimzahlen. Eine starke Pseudoprimzahl
”
p erfüllt folgende Bedingungen:
• p + 1 besitzt einen großen Primfaktor,
• p − 1 besitzt einen großen Primfaktor r und
• r − 1 besitzt einen großen Primfaktor.
Überraschend ist, dass starke Pseudoprimzahlen nicht schwieriger zu erzeugen sind als irgendwelche Primzahlen. Details erfahren Sie in [Gor85].
Kapitel 3
Diffie und Hellman
In diesem Kapitel erarbeiten wir uns die Grundlagen für eine zweites schwieriges mathematisches Problem, das Problem, diskrete Logarithmen zu berechnen.
3.1
Gruppen
Egal, in welchem Körper (R, Zp ) wir rechnen, die Rechenregeln, die wir von den reellen Zahlen
her kennen, dürfen wir immer verwenden. Wir gehen dem nach.
Definition 3.1. Eine Gruppe ist ein Quadrupel (G, ◦, −1 , 1), wobei G irgendeine Menge
ist, ◦ eine Funktion von G × G nach G,
−1
die folgenden Gesetze erfüllt sind:
eine Funktion von G nach G und 1 ∈ G, und
1. Für alle a, b, c ∈ G gilt: (a ◦ b) ◦ c = a ◦ (b ◦ c).
2. Für jedes a ∈ G gilt: a ◦ a−1 = 1 = a−1 ◦ a.
3. Für jedes a ∈ G gilt: 1 ◦ a = a ◦ 1 = a.
Gilt außerdem a ◦ b = b ◦ a für alle a, b ∈ G, so nennen wir die Gruppe abelsch. Wir werden
uns ausschließlich mit abelschen Gruppen beschäftigen. Wenn klar ist, was mit ◦,
gemeint ist, schreiben wir statt
(G, ◦, −1
, 1) einfach G.
Beispiel 3.2. Wir kennen schon eine ganze Reihe von abelschen Gruppen.
• (Z, +, −, 0) ist eine abelsche Gruppe.
39
−1
und 1
40
KAPITEL 3. DIFFIE UND HELLMAN
• (R, +, −, 0) ist eine abelsche Gruppe.
• (Zn , +, −, [0]n ) ist eine abelsche Gruppe.
• (R \ {0}, ·,−1 , 1) ist eine abelsche Gruppe.
• (Zp \ {[0]p }, ·,−1 , [1]p ) ist eine abelsche Gruppe.
• Es sei Z∗n = {[r]n ∈ Zn | ggT(r, n) = 1}. Dann ist (Z∗n , ·,−1 , [1]n ) eine abelsche
Gruppe.
Auch nicht abelsche Gruppen kennen wir.
• Es sei M die Menge aller invertierbaren 2 × 2-Matrizen. Dann ist
!
1
0
(M, ·,−1 ,
)
0 1
eine nicht abelsche Gruppe.
Die Beispiele charakterisieren auch fast schon Körper, es fehlt nur noch eine Regel für das
Ausmultiplizieren.
Definition 3.3. Ein Körper ist ein Septupel (K, +, −, 0, ·, −1 , 1), wobei K irgendeine
Menge ist und die folgenden Gesetze erfüllt sind:
1. (K, +, −, 0) ist eine abelsche Gruppe.
2. (K \ {0}, ·,−1 , 1) ist eine abelsche Gruppe.
3. für alle a, b, c ∈ K gilt: (a + b) · c = (a · c) + (b · c)
Ein paar Begriffe aus der Gruppentheorie brauchen wir noch.
Definition 3.4. Besitzt eine Gruppe unendlich viele Elemente (wie z.B. (Z, +, −, 0)),
so nennen wir sie eine unendliche Gruppe. Andernfalls heißt die Gruppe endlich. Ist
(G, ◦,−1 , 1) eine endliche Gruppe so bezeichnen wir mit |G| die Anzahl der Elemente der
Gruppe und nennen |G| die Ordnung von G.
41
3.1. GRUPPEN
Ist g ein Element der Gruppe (G, ◦,−1 , 1), so schreiben wir
g k statt g ◦ g ◦ · · · ◦ g .
|
{z
}
k mal
Die kleinste natürliche Zahl n, so dass g n = 1 nennen wir (sofern es so eine Zahl gibt) die
Ordnung von g. Gibt es keine solche Zahl, so sagen wir, die Ordnung von g ist unendlich.
Es sei (G, ◦,−1 , 1) eine Gruppe und U eine Teilmenge von G. Dann nennen wir (U, ◦, −1 , 1)
eine Untergruppe von (G, ◦,−1 , 1), falls
1. 1 ∈ U und
2. falls a, b ∈ U , dann auch a ◦ b−1
Untergruppen werden uns jetzt auf dem Weg zum Satz von Fermat begleiten.
Satz 3.5. Es sei U eine Untergruppe von G. Dann teilt die Ordnung von U die Ordnung
von G.
Nehmen wir ein Element g aus einer Gruppe (G, ·, −1 , 1), und suchen wir die
kleinstmögliche Untergruppe U von G, die g enthält, dann beobachten wir folgendes:
• U enthält 1.
• U enthält g 2 , g 3 , g 4 , . . ..
• U enthält g −1 (warum?), g −2 , g −3 , . . ..
• U enthält keine weiteren Elemente.
Wir nennen diese Untergruppe U die von g erzeugte Untergruppe von G. Ist n die Ordnung
von g, so sind die Elemente der von g erzeugten Untergruppe
{g, g 2 , . . . , g n−1 = g −1 , g n = 1}.
Die Ordnung der erzeugten Untergruppe ist also gleich der Ordnung ihres Erzeugers, und sie
teilt die Ordnung der Gruppe, also
42
KAPITEL 3. DIFFIE UND HELLMAN
Satz 3.6. Ist (G, ·,−1 , 1) eine endliche Gruppe, so teilt die Ordnung jedes Elements der
Gruppe die Ordnung der Gruppe. Insbesondere gilt für jedes g ∈ G:
g |G| = 1
Es kann passieren, dass ein Element einer Gruppe die gesamte Gruppe erzeugt. In diesem
Fall heißt die Gruppe zyklische Gruppe. Im folgenden Abschnitt überlegen wir uns noch kurz,
dass die multiplikative Gruppe eines endlichen Körpers zyklisch ist.
3.1.1
Primitivwurzeln
Definition 3.7. Es sei K ein Körper. Eine Primitivwurzel von K ist ein Element g von
K, so dass sich jedes Element von K als Potenz von g schreiben lässt.
Es sei (K, +, −, 0, ·,−1 , 1) ein Körper. Die Gruppe K ∗ := (K \{0}, ·,−1 , 1) heißt multiplikative
Gruppe des Körpers K. Eine Primitivwurzel ist also ein Element der multiplikativen Gruppe
eines Körpers, das den gesamten Körper (ohne die 0) erzeugt. Wir beweisen, dass es viele
solcher Primitivwurzeln in endlichen Körpern gibt. Mit anderen Worten: Die multiplikative
Gruppe eines endlichen Körpers ist zyklisch.
Lemma 3.8. Sei n ∈ N. Dann ist
n=
X
ϕ(d)
0<d|n
Satz 3.9. Es sei K ein Körper mit q Elementen, also |K ∗ | = q−1. Es sei d ein positiver
Teiler von q − 1. Dann gibt es genau ϕ(d) Elemente der Ordnung d in K ∗ . Insbesondere
gibt es also genau ϕ(q − 1) Primitivwurzeln in K.
43
3.2. POLYNOME
Gut, es gibt Primitivwurzeln, aber welche Elemente eines Körpers sind Primitivwurzeln?
Die schlechte Nachricht ist: Keine Ahnung!“. Die gute Nachricht ist: Macht nix!“, denn
”
”
Satz 3.10. Falls n ≥ 5, so ist
ϕ(n) ≥ n/(6 ln ln n).
Wählt man also zufällig ein Element eines Körpers mit n Elementen, so ist die Wahrscheinlichkeit, dabei eine Primitivwurzel zu erwischen
1
6 ln ln(n−1) .
Ist n eine Zahl mit 7.5 Millionen
Stellen, so ist diese Wahrscheinlichkeit noch immer ca. 1%, so dass man in diesem Fall im
Schnitt etwa 100 mal probieren muss, um eine Primitivwurzel zu finden. Aber wie überprüft
man eigentlich, ob ein Element g eine Primitivwurzel ist?
Satz 3.11. Sei g ein Element der Gruppe (G, ◦, −1 , 1) und n ∈ N. Ist g n = 1 und ist
n
g p 6= 1 für jeden Primfaktor p von n, dann ist n die Ordnung von g.
Wenn man also die Primfaktoren von q − 1 kennt, lässt sich relativ schnell überprüfen, ob
man eine Primitivwurzel gefunden hat.
3.2
Polynome
Unter einem Polynom verstehen wir einen Ausdruck der Form a n xn + · · · + a1 x + a0 . Als
Koeffizienten kommen ganze, rationale und reelle Zahlen, aber auch Restklassen in Frage.
Wir werden gleich genauer.
Es sei K ein Körper. Die Menge aller Polynome über dem Körper K ist
{an xn + · · · + a1 x + a0 | n ∈ N0 und ai ∈ K für alle 0 ≤ i ≤ n}
und wird mit K[x] bezeichnet.
Mit Polynomen kann man rechnen wie mit ganzen Zahlen. Es gilt:
(an xn + · · · + a1 x + a0 ) + (bm xm + · · · + b1 x + b0 )
= an xn + · · · + am+1 xm+1 +
+ (am + bm )xm + · · · + (a1 + b1 )x + (a0 + b0 )
44
KAPITEL 3. DIFFIE UND HELLMAN
und
(an xn + · · · + a1 x + a0 ) · (bm xm + · · · + b1 x + b0 )
= cn+m xn+m + · · · + c1 x + c0 ,
wobei ck = a0 bk + a1 bk−1 + · · · + ak b0 .
Das war noch längst nicht alles. Wir können uns von den ganzen Zahlen noch viel mehr
abschauen. Wie in Z kann man auch in K[x] mit Rest dividieren.
Definition 3.12. Der Grad des Polynoms a n xn + · · · + a1 x + a0 ∈ K[x] ist n, falls
an 6= 0. Der Grad des Polynoms 0 sei −∞. Der Koeffizient a n heißt führender Koeffizient
des Polynoms. Ist der führende Koeffizient = 1, so heißt das Polynom normiert.
Satz 3.13. Sind f und g Polynome, dann ist
Grad(f + g) ≤ max(Grad(f ), Grad(g))
Grad(f · g) = Grad(f ) + Grad(g)
Der nächste Satz erinnert schon stark an Z (vgl. Satz 2.1):
Satz 3.14 (Division mit Rest in K[x]). Es sei K ein Körper und f, g ∈ K[x]. Dann
gibt es zwei eindeutig bestimmte Polynome q (Quotient) und r (Rest) über K, so dass
f =g·q+r
und
Grad(r) < Grad(g)
Die Polynome q und r erhält man durch Polynomdivision. Ein kurzes Beispiel frischt
unsere Erinnerung auf:
45
3.2. POLYNOME
Beispiel 3.15. Wir wählen K = R, f = 2x3 − 4x2 + 1 und g = x − 1.
2x3 − 4x2
+ 1 : x − 1 = 2x2 − 2x − 2
−2x3 ∓ 2x2
− 2x2
∓ 2x2 ±2x
−2x + 1
∓2x ± 2
− 1 Rest
Also ist q = 2x2 − 2x − 2 und r = −1. Weiters ist Grad(r) = 0 und Grad(g) = 1, passt.
Ist r = 0, so sagen wir g teilt f (g | f ).
Wie in Z gibt es auch wieder einen größten gemeinsamen Teiler, denn
Satz 3.16. Für alle f, g ∈ K[x] gibt es genau ein normiertes Polynom d ∈ K[x] größten
Grades, das sowohl f als auch g teilt.
Wieder lässt sich der ggT als Linearkombination“ darstellen, d.h.
”
Satz 3.17. Für alle f, g ∈ K[x] gibt es Polynome s, t ∈ K[x], so dass
ggT(f, g) = s · f + t · g
Ausrechnen lässt sich all das genau wie in Z. Ein Beispiel zur Illustration.
Beispiel 3.18 (Der erweiterte Euklidsche Algorithmus f ür Polynome). Was ist
ggT(x3 + 2x2 + x + 2, 2x2 + x − 6)?
46
KAPITEL 3. DIFFIE UND HELLMAN
x3 + 2x2 + x + 2
2x2 + x − 6
x3 + 2x2 + x + 2
1
2x2 + x − 6
0
1
1
− 12 x
13
4 x
+
13
2
0
0
−
3
4
Nebenrechnungen:
9
1
x3 + 2x2 +x + 2 : 2x2 + x − 6 = x +
2
4
1 2
3
−x ± x ∓3x
2
3 2
x
+4x + 2
2
3
3
9
− x2 ± x ∓
2
4
2
13
13
x+
Rest
4
2
2x2 + x −6 :
13
13
8
12
x+
= x−
4
2
13
13
−2x2 ± 4x
− 3x
−6
∓ 3x
∓6
0 Rest
Der ggT ist definiert als normiertes Polynom, wir müssen also
13
4 x
+
13
2
noch normieren,
das heißt dividieren durch den führenden Koeffizienten. Wir erhalten
ggT(x3 + 2x2 + x + 2, 2x2 + x − 6) = (
13
13
4
x+ )·
=x+2
4
2
13
Weiters lässt sich der ggT darstellen als
4
1
3
· [1 · (x3 + 2x2 + x + 2) + (− x − ) · (2x2 + x − 6)]
13
2
4
1
4
3
2
·(x + 2x + x + 2) +
=
· (−2x − 3) ·(2x2 + x − 6)
13
13
|{z}
{z
}
|
x+2 =
=s
=t
3.3. POLYNOME ÜBER ZP
3.3
47
Polynome über Zp
Alles, was wir mit Polynomen über R bisher angestellt haben, hätten wir genauso gut mit
Polynomen über irgendeinem anderen Körper machen können.
Beispiel 3.19. Wir wählen
p = [2]3 x4 + [1]3 x3 + [0]3 x2 + [1]3 x + [2]3
und
q = [1]3 x4 + [0]3 x3 + [0]3 x2 + [1]3 x + [2]3 .
Das ist umständlich, wir schreiben lieber
p = 2x4 + x3 + x + 2
und
q = x4 + x + 2
und merken uns, dass wir in Z3 [x] rechnen.
Es ergibt sich (Achtung: die Koeffizienten sind aus Z 3 !)
p + q = 3x4 + x3 + 2x + 4
= x3 + 2x + 1,
p · q = 2x8 + x7 + x5 + 2x4 + 2x5 + x4 + x2 + 2x + 4x4 + 2x3 + 2x + 4
= 2x8 + x7 + x4 + 2x3 + x2 + x + 1
Wir berechnen noch schnell den ggT.
2x4 + x3 + x + 2
x4 + x + 2
1
0
+x+2
0
1
+ 2x + 1
1
1
x2 + 2
2x
2x4 + x3 + x + 2
x4
x3
1
1+
x2
1 + 2x
1 + 2x + x2
0
Also ist ggT(2x4 + x3 + x + 2, x4 + x + 2) = 1 und
1 = (1 + x2 ) · (2x4 + x3 + x + 2) + (1 + 2x + x2 ) · (x4 + x + 2)
48
KAPITEL 3. DIFFIE UND HELLMAN
3.4
Shared Keys
Inzwischen wissen wir genug, um uns mit dem folgenden Problem zu beschäftigen. An n
Personen sind Schlüssel zu verteilen, so dass jede Kombination von mindestens k Schlüsseln
gemeinsam sperren, weniger als k Schlüssel jedoch nicht.
Im Informationszeitalter heißt das: an n Personen werden Zahlen e 1 , . . . , en verteilt. Jeder
Kombination von k Personen ist es möglich, daraus den geheimen Schlüssel e zu berechnen,
weniger als k Personen jedoch nicht.
Praktisch sind solche Shared Keys notwendig, wenn Entscheidungen nicht von Einzelpersonen getroffen werden dürfen, aber z.B. von beliebigen drei Personen gemeinsam.
Wir sehen uns zwei Realisierungen eines Shared-Key-Systems an.
3.4.1
Interpolation
Man wählt eine große Primzahl p, die jedenfalls größer als e und n ist und ein Polynom
f = e + a1 x + a2 x2 + · · · + ak−1 xk−1 vom Grad k − 1 aus Zp [x]. Die Koeffizienten a1 , . . . , ak−1
können zufällig gewählt werden. Die Teilnehmer erhalten die Teilschlüssel
(1,e1 = f (1))
(2,e2 = f (2))
..
.
(n,en = f (n))
Behauptung 3.20. Aus je k Teilschlüsseln lässt sich e rekonstruieren, aus weniger
jedoch nicht.
Beweis: Es sind die Koeffizienten a1 , . . . , ak−1 und e unbekannt, das sind k Unbekannte.
Aus jedem Teilschlüssel (i, ei ) erhält man eine Gleichung ei = f (i), also
ei = e + a1 i + a2 i2 + · · · + ak−1 ik−1 .
Insgesamt erhalten wir so ein lineares Gleichungssystem mit k Gleichungen und k Unbekannten, welches eindeutig lösbar ist. Fehlt auch nur ein Teilschlüssel, so ist das Gleichungssystem
nicht mehr eindeutig lösbar und es gibt dann zumindest p verschiedene Lösungen. Ist p eine
große Primzahl, so müsste man sehr viele Möglichkeiten durchprobieren, das ist hoffnungslos.
Das Polynom f lässt sich glücklicherweise auch etwas einfacher aus den Teilschlüsseln
berechnen, es hilft der
49
3.4. SHARED KEYS
Satz 3.21 (Lagrangesches Interpolationspolynom). Gegeben seien k
Punkte
(x1 , y1 ), . . . , (xk , yk ). Sind alle xi verschieden, so gibt es genau ein Polynom f vom
Grad k − 1, für welches gilt:
f (x1 ) = y1 , . . . , f (xk ) = yk .
Dieses Polynom lautet
f = y1 · L1 (x) + y2 · L2 (x) + · · · + yk · Lk (x),
wobei
Li (x) =
(x − x1 )(x − x2 ) · · · (x − xi−1 )(x − xi+1 ) · · · (x − xk )
(xi − x1 )(xi − x2 ) · · · (xi − xi−1 )(xi − xi+1 ) · · · (xi − xk )
Ein Beispiel wird nötig.
Beispiel 3.22. n = 5, k = 3, e = 9. Wir wählen p = 17, f = 9 + x + 2x2 ∈ Z17 [x]. Es
ergibt sich
e1 = f (1) = 9 + 1 + 2 = 12
e2 = f (2) = 9 + 2 + 8 = 2
e3 = f (3) = 13
e4 = f (4) = 11
e5 = f (5) = 13
Die Teilschlüssel lauten (1, 12), (2, 2), (3, 13), (4, 11) und (5, 13).
Sehen wir uns an, wie aus dem zweiten, dritten und fünften Teilschlüssel e rekonstruiert
wird.
(x − 3)(x − 5)
= 6(x − 3)(x − 5)
(2 − 3)(2 − 5)
(x − 2)(x − 5)
L3 (x) =
= 8(x − 2)(x − 5)
(3 − 2)(3 − 5)
(x − 2)(x − 3)
= 3(x − 2)(x − 3)
L5 (x) =
(5 − 2)(5 − 3)
L2 (x) =
50
KAPITEL 3. DIFFIE UND HELLMAN
f = 2 · L2 (x) + 13 · L3 (x) + 13 · L5 (x)
= 9 + x + 2x2
3.4.2
Chinesischer Restsatz
Man sucht paarweise relativ prime Zahlen r 1 , . . . , rn , so dass
n. An die n Personen verteilt man dann die Schlüssel
√
k
e ≤ ri <
√
e für alle 1 ≤ i ≤
k−1
(r1 , e1 = e mod p1 )
(r2 , e2 = e mod p2 )
..
.
(rn , en = e mod pn ).
Nun können k Personen e mit Hilfe des chinesischen Restsatzes berechnen, denn Sie erhalten
√
√
√
ein Ergebnis modulo r1 · r2 · · · rk ≥ k e · · · k e = ( k e)k = e, also das richtige Ergebnis. k − 1
√
√
√
Personen allerdings können e nur modulo r1 · r2 · · · rk−1 < k−1 e · · · k−1 e = ( k−1 e)k−1 = e
berechnen und können daher keine eindeutige Lösung finden.
Beispiel 3.23. Wir nehmen wieder n = 5 und k = 3. Diesmal sei e = 200. Wir suchen 5
√
√
paarweise relativ prime Zahlen zwischen 200 = 14.1 und 3 200 = 5.8.
r1 = 7, r2 = 8, r3 = 9, r4 = 11, r5 = 13
Die Teilschlüssel lauten
(7, 200 mod 7) = (7, 4)
(8, 200 mod 8) = (8, 0)
(9, 200 mod 9) = (9, 2)
(11, 200 mod 11) = (11, 2)
(13, 200 mod 13) = (13, 5).
Aus den Teilschlüsseln 2, 3 und 5 lässt sich e rekonstruieren, indem man das Restklassengleichungssystem
e ≡8 0
e ≡9 2
e ≡13 5
3.5. FAKTORISIEREN IN ZP [X]
51
löst. Man erhält die Lösung e = 200 modulo 8 · 9 · 13 = 936. Die zwei Personen mit dem
vierten und fünften Teilschlüssel können die Lösung nur modulo 11 · 13 = 143 bestimmen
und müssen dann raten.
3.5
Faktorisieren in Zp [x]
Wie in Z gibt es auch in K[x] Elemente, die sich in Produkte zerlegen lassen und andere,
die dies nicht erlauben. Ein Polynom p ∈ K[x] heißt reduzibel, wenn es Polynome f und
g gibt, so dass p = f · g und die Grade der Polynome f und g sind kleiner als der Grad
von p. Andernfalls nennen wir p irreduzibel. Die irreduziblen Polynome sind sozusagen die
Primzahlen in K[x].
Wie in Z ist auch in K[x] eine eindeutige Primfaktorzerlegung (vgl. Satz 2.3) möglich.
Satz 3.24. Jedes Polynom p ∈ K[x] lässt sich in der Form
p = a · pe11 · pe22 · · · perr
darstellen, wobei p1 , . . . , pr verschiedene normierte irreduzible Polynome vom Grad ≥ 1
sind und a der führende Koeffizient von p ist. Diese Darstellung ist bis auf die Reihenfolge eindeutig.
Endlich gibt es einen Unterschied zwischen Z und K[x] (allerdings nur für die Körper Zp ):
in Zp [x] kann man faktorisieren. Der folgende Algorithmus beschreibt, wie das funktioniert.
Algorithmus 3.25 (Berlekamp). Sei f ∈ Z p [x] vom Grad n.
1. Zunächst sucht man mehrfache Faktoren, indem man d = ggT(f, f 0 ) berechnet (wozu?).
2. Man berechnet die Reste von 1, xp , x2p , . . . , x(n−1)p bei Division durch f . Dann
52
KAPITEL 3. DIFFIE UND HELLMAN
schreibt man die Reste in der Form
Rest von 1 = q0,0 + q0,1 x + · · · + q0,n−2 xn−2 + q0,n−1 xn−1
Rest von xp = q1,0 + q1,1 x + · · · + q1,n−2 xn−2 + q1,n−1 xn−1
..
.
Rest von x(n−1)p = qn−1,0 + qn−1,1 x + · · · + qn−1,n−2 xn−2 + qn−1,n−1 xn−1
auf und bildet die n × n-Matrix

q0,0 · · ·
 .
..
.
Q=
.
 .
qn−1,0 · · ·

q0,n−1

..

.

qn−1,n−1
3. Die Lösungsmenge des homogenen linearen Gleichungssystems
(Q − E) · x = 0
(E ist die n × n-Einheitsmatrix)
ist ein Unterraum des (Zp )n der Dimension r. Man berechne eine Basis v 1 , . . . , vr des
Lösungsraums. Dann hat f r verschiedene irreduzible Faktoren.
4. Ist r = 1, so ist f irreduzibel. Sonst bildet man die Polynome
hi = hvi , (1, x, x2 , . . . , xn−1 )T i
Unter den ggT(f, hi + c), mit c ∈ Zp und 1 ≤ i ≤ r findet man alle Primfaktoren von
f.
Beispiel 3.26. Wir zerlegen f = x7 + x5 + x3 + x2 + x + 1 ∈ Z2 [x] in irreduzible Faktoren.
1. f 0 = x6 + x4 + x2 + 1 und d = ggT(f, f 0 ) = x2 + 1. Damit haben wir schon einen
Teiler. Wir dividieren
f
d
= x5 + x + 1 und erhalten f = (x2 + 1)(x5 + x + 1). Lassen
sich die beiden Faktoren weiter zerlegen?
x2 +1 = (x+1)(x+1) = (x+1)2 , das war leicht, außerdem ist x+1 sicher irreduzibel.
Mit f = x5 + x + 1 geht’s weiter.
3.5. FAKTORISIEREN IN ZP [X]
53
2. Wir berechnen die Reste
Rest von 1 = 1 · 1+0 · x + 0 · x2 +0 · x3 + 0 · x4
Rest von x2 = 0 · 1+0 · x + 1 · x2 +0 · x3 + 0 · x4
Rest von x4 = 0 · 1+0 · x + 0 · x2 +0 · x3 + 1 · x4
Rest von x6 = 0 · 1+1 · x + 1 · x2 +0 · x3 + 0 · x4
Rest von x8 = 0 · 1+0 · x + 0 · x2 +1 · x3 + 1 · x4
Somit ergibt sich

1

0


Q = 0

0

0

0


0
0 0




0 1 und Q − E = 0


0
0 0


0
1 1
0 0 0 0
0 1
0 0
1 1
0 0

0 0 0 0


1 1 0 0


0 1 0 1

1 1 1 0

0 0 1 0
3. Wir lösen das lineare Gleichungssystem (Q−E)·x = 0 und erhalten die Basisvektoren
 
 
1
0
 
 
0
1
 
 
 
 
v1 = 0 und v2 = 1 .
 
 
0
0
 
 
0
1
Also gibt es zwei irreduzible Faktoren.
4. Wir berechnen
h1 = hv1 , (1, x, x2 , . . . , xn−1 )T i = 1
und
h2 = hv2 , (1, x, x2 , . . . , xn−1 )T i = x + x2 + x4
Unter den ggT’s finden wir x3 +x2 +1 und durch Division den zweiten Faktor x 2 +x+1.
Beide sind irreduzibel, denn f besitzt nur zwei irreduzible Faktoren.
Wir erhalten also
x7 + x5 + x3 + x2 + x + 1 = (x + 1)2 (x2 + x + 1)(x3 + x2 + 1).
Im Kapitel über Automaten werden wir wieder Polynome brauchen. Wir definieren schon
jetzt:
54
KAPITEL 3. DIFFIE UND HELLMAN
Definition 3.27. Jedes irreduzible Polynom f vom Grad n in Z p [x] teilt das Polynom
xp
n −1
− 1. Die kleinste positive ganze Zahl e, so dass f | x e − 1, heißt Exponent von f .
Der Exponent von f ist stets ein Teiler von p n − 1. Ist der Exponent gleich pn − 1, so
heißt f maximalperiodisch.
Beispiel 3.28. In Z2 [x] sind die Polynome 1 + x + x2 , 1 + x3 + x4 und 1 + x + x2 + x4 + x5
maximalperiodisch. Das Polynom 1 + x + x 2 + x3 + x4 ist zwar irreduzibel, aber nicht
maximalperiodisch.
3.6
Endliche Körper
In diesem Abschnitt überlegen wir, ob nicht auch die Sache mit den Restklassen in K[x]
funktioniert. Wir nehmen uns dazu ein letztes Mal R[x] vor.
Wir definieren (diesmal für f, g, p ∈ K[x]):
f ≡p g genau dann, wenn p | f − g
(3.1)
Wirklich stellt sich heraus, dass Satz 2.16 mutatis mutandis wieder gilt, d.h. auch hier
darf wieder mit Restklassen gerechnet werden. Ähnlich wie bei Z schreiben wir für die Menge
der Restklassen modulo p jetzt K[x]/p. Bevor es weitergeht, sehen wir uns das einmal an.
Beispiel 3.29. Das Polynom p = x2 + 1 ist irreduzibel in R[x]. Wir rechnen in R[x]/(x 2 +
1).
Addition [(4 + 3x)]p + [(3 − x)]p = [4 + 3x + 3 − x]p = [7 + 2x]p .
Multiplikation [(4 + 3x)]p · [(3 − x)]p = [(4 + 3x)(3 − x)]p = [12 + 5x − 3x2 ]p . Hier passiert
etwas, wir können den Rest bei Division durch p berechnen. Also
−3x2 + 5x+12 : x2 + 1 = −3
∓3x2
∓3
5x
+15 Rest
Also ist [(4 + 3x)]p · [(3 − x)]p = [5x + 15]p .
55
3.6. ENDLICHE KÖRPER
Division
[4+3x]p
[3−x]p
=?. Auch keine Überraschung, erweiterter Euklidscher Algorithmus wie
in Zp .
x2 + 1
x2
3−x
+1
1
3−x
0
1
1
3+x
10
0
0
1
Gut, der ggT ist 1 und [3 − x]−1
p = [ 10 (3 + x)]p . Also ist
9
x)]p = . . . = [ 10
+
13
10 x]p .
[4+3x]p
[3−x]p
1
(3 +
= [(4 + 3x)]p · [ 10
Das Berechnen der Rest ist etwas mühsam, es geht auch bequemer, wie, das wissen wir
schon längst. Schaut man genauer hin, so bemerkt man, dass wir hier C, den Körper
der komplexen Zahlen, konstruiert haben. Wir brauchen statt x lediglich i zu schreiben.
Rechnet man modulo p, so ist x2 + 1 ≡p 0, oder mit i, i2 + 1 = 0 mod p, bzw. i2 = −1
mod p. Jetzt ist alles klar.
Man kann es auch so sehen: wir haben einen neuen Körper konstruiert, indem wir zu R
einfach ein neues Element i hinzugefügt haben. Man schreibt daher auch oft R(i) für diesen
Körper und nennt R(i) Erweiterungskörper von R. In R(i) ist p nicht mehr irreduzibel,
denn nun ist x2 + 1 = (x + i)(x − i), also zerfällt p jetzt in Linearfaktoren, weswegen der
Körper R(i) auch Zerfällungskörper von p genannt wird.
So wie sich aus Z die Körper Zp konstruieren ließen, so lässt sich der Körper C aus R[x]
konstruieren.
Man erhält so wirklich immer Körper.
Satz 3.30. Ist K ein Körper und p ein irreduzibles Polynom in K[x], dann ist K[x]/p
ein Körper.
Das Gleiche versuchen wir jetzt mit anderen Körpern K.
Beispiel 3.31. Diesmal versuchen wir K = Z 2 . Das Polynom p = x2 +x+1 ist irreduzibel
in Z2 [x]. Wie vorher rechnen wir am bequemsten, indem wir eine fiktive Lösung α der
56
KAPITEL 3. DIFFIE UND HELLMAN
Gleichung x2 + x + 1 = 0 zu Z2 hinzufügen, wir erhalten den Körper Z2 (α) = Z2 [x]/(x2 +
x + 1). Sehen wir uns diesen Körper an.
Wir verzichten gleich auf die Schreibweise als Restklassen und verwenden α. Welche Elemente gibt es in Z2 (α)?
0, 1, α, α + 1
Das waren schon alle Elemente, Z2 (α) ist ein Körper mit 4 Elementen. Höhere Potenzen
von α treten nicht auf, denn α ist eine Lösung von x2 + x + 1 = 0, und daher ist α2 = α + 1
(man beachte vor allem die Ähnlichkeit zu C). In Z2 (α) rechnet man wie folgt:
+
0
1
α
α+1
0
0
1
α
α+1
1
1
0
α+1
α
α
α+1
α+1
α+1
α
·
0
1
α
α+1
0
0
0
0
0
α
1
0
1
α
α+1
0
1
α
0
α
α+1
1
1
0
α+1
0
α+1
1
α
Ein drittes Beispiel
Beispiel 3.32. In diesem Beispiel wählen wir K = Z5 und p = x3 + 3x + 2. Wir erhalten
den Körper Z5 (α) = Z5 [x]/(x3 + 3x + 2). In diesem Körper gilt α3 = 2α + 3.
Wie viele Elemente hat dieser Körper? Jetzt sind alle Elemente von der Form
a + bα + cα2 , a, b, c ∈ Z5 ,
denn höhere Potenzen von α werden wir wieder los. So ist
α3 = 2α + 3
α4 = α · α3 = α(2α + 3) =
= 2α2 + 3α
α5 = α2 · α3 = α2 (2α + 3) =
= 2α3 + 3α2 = 2(2α + 3) + 3α2 =
= 3α2 + 4α + 6
usw.
Diesmal ergeben sich 5 · 5 · 5 = 125 verschiedene Elemente.
Auf die beschriebene Art kann man aus einem Körper Zp einen Körper Zp [x]/p basteln. Ist
3.7. DIFFIE-HELLMAN-KEY-EXCHANGE
57
p ein irreduzibles Polynom vom Grad n, so hat der Körper Zp [x]/p genau pn Elemente. Wir
haben also Körper mit pn Elementen gefunden. Dazu brauchen wir aber irreduzible Polynome.
Es drängt sich die Frage auf, ob es in jedem Z p [x] irreduzible Polynome von jedem beliebigen
Grad n gibt. Die überraschende Antwort ist
Satz 3.33. Ja. Für jedes p ∈ P und jedes n ∈ N gibt es genau einen endlichen Körper
mit pn Elementen. Wir nennen diesen Körper GF(pn ), das Galoisfeld mit pn Elementen.
Das sind alle endlichen Körper.
3.7
Diffie-Hellman-Key-Exchange
Für public-key Systeme ist es erforderlich, sogenannte Trapdoor-Funktionen zu kennen. Von
einer Trapdoor-Funktion t verlangt man dreierlei:
• y = t(x) soll einfach berechnet werden können
• x = t−1 (y) soll nur sehr schwer berechnet werden können
• x = t−1 (y) soll einfach berechnet werden können, wenn man noch einen (geheimen)
Hinweis bekommt.
Beispiel 3.34. Im Fall des RSA-Verfahrens ist es einfach, c = m e mod n zu berechnen.
√
Umgekehrt ist es sehr schwer, m = e c mod n zu bestimmen. Mit dem geheimen Hinweis
n = p · q ist es dann wieder einfach, die e-te Wurzel zu ziehen. Das RSA-Verfahren verlässt
sich allerdings darauf, dass tatsächlich ein geheimer Hinweis n = p · q erforderlich ist, dass
n also nicht einfach in Primfaktoren zerlegt werden kann.
Allerdings ist nicht bewiesen, dass das Faktorisierungsproblem wirklich schwierig ist, es
hat einfach noch niemand geschafft. Daher ist es eine gute Idee, mehr als nur eine Art von
Trapdoor-Funktionen zur Verfügung zu haben. Wir beschäftigen uns nun mit einer TrapdoorFunktion, die – soviel man weiß – nichts mit dem Faktorisierungsproblem zu tun hat.
Die in weiterer Folge besprochenen Verfahren beruhen auf dem Diffie-Hellman-Problem
bzw. auf dem diskreten Logarithmusproblem.
Das diskrete Logarithmusproblem (DLP) lautet:
Gegeben: eine Gruppe (G, ◦,−1 , 1) und g, A ∈ G
Gesucht: eine Zahl a, so dass A = g a , falls es so eine Zahl gibt.
58
KAPITEL 3. DIFFIE UND HELLMAN
Die Zahl a wird aus naheliegenden Gründen diskreter Logarithmus (DL) von A zur Basis g
genannt.
Ganz ähnlich lautet das Diffie-Hellman-Problem (DHP):
Gegeben: eine Gruppe (G, ◦,−1 , 1), g ∈ G und g a und g b , nicht aber a und b
Gesucht: g ab .
Ganz klar, wer das DLP löst, kann auch das DHP lösen. Ob das umgekehrt auch so ist,
weiß niemand. Die beiden Probleme gelten bislang – wie das Faktorisierungsproblem – als
nicht lösbar (in sehr großen Gruppen). Ein Großteil der Verfahren in diesem Kapitel beruht
auf dem DHP oder dem DLP.
Als Gruppe werden wir (zumindest in diesem Kapitel) die multiplikative Gruppe eines
endlichen Körpers verwenden also entweder (Zp \ {0}, ·,−1 , [1]p ) oder (GF(pn ) \ {0}, ·,−1 , 1).
Im Kapitel 6 werden wir schließlich auch andere Gruppen (elliptische Kurven) verwenden.
Wir tasten uns vorsichtig an die Materie heran. Das erste Verfahren, das auf dem
DHP-Problem beruht, wurde von Diffie und Hellman vorgeschlagen, es handelt sich dabei um ein Schlüsselaustauschsystem. Mit so einem System können sich zwei Personen auf
einen gemeinsamen Schlüssel einigen, der dann beispielsweise für ein symmetrisches Verschlüsselungsverfahren verwendet werden kann.
Algorithmus 3.35 (Diffie-Hellman-Schl üsselaustausch nach [DH76]).
1. Alice und Bob einigen sich auf eine Primzahl p und auf eine Primitivwurzel g in Z ∗p .
2. Alice wählt zufällig a ∈ Z∗p .
Bob wählt zufällig b ∈ Z∗p .
3. Alice schickt Bob A = g a mod p
Bob schickt Alice B = g b mod p.
4. Alice berechnet K = B a mod p
Bob berechnet K = Ab mod p.
Beide haben die selbe Zahl K berechnet, denn B a = (g b )a = g ab und Ab = (g a )b = g ab . Eine
Angreiferin Eve kennt p, g, g a und g b , nicht aber a und b. Um daraus g ab zu berechnen,
muss sie das DHP lösen.
Remark 3.36. Den Diffie-Hellman-Schlüsselaustausch kann man natürlich mit jeder multiplikativen Gruppe durchführen, wir beschäftigen uns in den Übungen damit.
3.7. DIFFIE-HELLMAN-KEY-EXCHANGE
59
Eine lauschende Angreiferin hat also praktisch keine Chance, den vereinbarten Schl üssel
K herauszubekommen. Eine aktive Angreiferin allerdings schon. Wir sehen uns eine (wo)man
in the middle Attacke an. Hier ist es erforderlich, dass die Angreiferin Eve nicht nur die
Kommunikation zwischen Alice und Bob abhören kann, sie muss in der Lage sein, die Daten,
die die beiden übertragen, zu modifizieren.
Algorithmus 3.37 (Woman in the middle).
1. Eve wählt zufällig e in Z∗p und berechnet E = g e mod p.
2. Eve empfängt A von Alice und schickt statt dessen E weiter an Bob.
Eve empfängt B von Bob und schickt stattdessen E weiter an Alice.
3. Somit einigt sich Eve mit Alice auf den Schlüssel KA = Ae = E a = g ae und mit Bob
auf den Schlüssel KB = B e = E b = g be .
4. Alice und Bob können nicht erkennen, dass sie nicht direkt miteinander kommunizieren, und Eve liest mit und kann bei Bedarf die Nachrichten auch weiter modifizieren.
Um solche Angriffe zu verhindern muss das Schlüsselaustauschverfahren modifiziert werden. Wir sehen uns eine der nach Matsumoto, Takashima und Imai benannten Varianten
an:
Algorithmus 3.38 (MTI/A0-Protokoll).
Zunächst einigen Alice und Bob sich wieder auf eine Primzahl p und eine Primitivwurzel
g in Z∗p .
Bevor die beiden das Verfahren das erste Mal benutzen, erzeugen die beiden ihre statischen
Schlüsselpaare:
• Alice wählt zufällig sA ∈ Z∗p und berechnet σA = g sA .
• Bob wählt zufällig sB ∈ Z∗p und berechnet σB = g sB .
Die beiden tauschen σA und σB über einen sicheren Kanal aus, z.B. indem sie sich treffen.
Das modifizierte Schlüsselaustauschverfahren sieht nun folgendermaßen aus:
1. Alice wählt zufällig a ∈ Z∗p .
Bob wählt zufällig b ∈ Z∗p .
60
KAPITEL 3. DIFFIE UND HELLMAN
2. Alice schickt Bob A = g a mod p
Bob schickt Alice B = g b mod p.
3. Alice berechnet K = B sA · (σB )a mod p.
Bob berechnet K = AsB · (σA )b mod p.
Wieder erzeugen beide den selben Schlüssel K (warum?). Diesmal hat Eve aber keine
Chance, wenn die statischen Schlüssel erst einmal sicher ausgetauscht sind.
3.8
DL- und DH-public-key Systeme
3.8.1
Das Massey-Omura-Kryptosystem
Die Teilnehmer einigen sich auf eine (öffentlich bekannte) Gruppe (G, ◦,−1 , 1) (z.B. die multiplikative Gruppe eines endlichen Körpers GF(q) oder Zp ).
Alice wählt ein (geheimes) eA zufällig, so dass 2 ≤ eA ≤ |G| und ggT(eA , |G|) = 1, und
berechnet dessen inverses Element d A = (eA )−1 mod |G|.
Bob wählt analog eB und dB .
Will Alice Bob die Nachricht m an Bob schicken, so schickt sie ihm m eA (in G). Bob kann
damit nichts anfangen, denn er kennt weder e A noch dA . Er schickt Alice (meA )eB zurück. Alice
schickt Bob (((meA )eB ))dA . Bob entschlüsselt nun die Nachricht, indem er mit d B potenziert.
Er erhält ((((meA )eB )dA )dB = meA eB dA dB = meA dA eB dB = m1·1 = m (im Exponenten darf ja
modulo |G| gerechnet werden). Dabei wurden die folgenden Nachrichten übermittelt: meA ,
meA eB und meB . Da sowohl eA als auch eB geheim sind, lassen sich daraus weder m noch
eA oder eB berechnen. Um beispielsweise aus m eA und (meA )eB eB zu bestimmen, muss man
das DL-Problem lösen. Selbst Bob ist es nicht möglich, eA zu bestimmen auch er müsste das
DL-Problem lösen.
Interessant ist, dass es in diesem Kryptosystem gar keine öffentlichen Schlüssel gibt.
Natürlich ist auch bei diesem System die Gefahr eines Man-in-the-middle-Angriffs gegeben. Es muss hier separat sichergestellt werden, dass sich die Benutzer gegenseitig authentifizieren.
3.8.2
Das ElGamal-Kryptosystem
Wieder wird eine Gruppe (G, ◦,−1 , 1) ausgemacht, weiters ein Element g mit großer Ordnung
in G (z.B. eine Primitivwurzel im endlichen Körper). Alice wählt eine Zahl a, so dass 2 ≤
a ≤ ord(g) − 1. Dies ist ihr private key. Als public key gibt Alice das Element A = g a (in G)
bekannt.
3.9. BERECHNUNG DISKRETER LOGARITHMEN – DER INDEX CALCULUS ALGORITHMUS61
Will Bob Alice die Nachricht m übermitteln, so wählt er zufällig eine Zahl k und schickt
Alice das Paar
(B, c) = (g k , m ◦ Ak ).
Will Alice die verschlüsselte Nachricht lesen, so berechnet sie x = B a und dessen inverses
Element x−1 in G. Schließlich berechnet sie c ◦ x −1 . Das ist die Nachricht, denn c ◦ x−1 =
m ◦ Ak ◦ (B a )−1 = m ◦ (g a )k ◦ ((g k )a )−1 = m ◦ g ak ◦ (g ak )−1 = m.
Wer das DHP lösen kann, kann aus dem öffentlich bekannten A = g a und dem B = g k aus
der verschlüsselten Nachricht g ak berechnen und damit wie Alice die Nachricht entschlüsseln.
Eine bessere Methode ist nicht bekannt.
Hier wird – anders als im Massey-Omura-Verfahren – stets der gleiche Schlüssel verwendet.
Hier sorgt das zufällig gewählte k dafür, dass die selbe Nachricht jedes Mal anders verschlüsselt
wird.
3.9
Berechnung diskreter Logarithmen – Der Index Calculus
Algorithmus
Diskrete Logarithmen lassen sich in manchen Gruppen leichter berechnen als in anderen.
Beispiel 3.39. Diskrete Logarithmen in der Gruppe (Z n , +, −, 0) lassen sich sehr einfach
berechnen. Das DLP lautet hier:
Gegeben seien g, A ∈ Zn . Gesucht ist ein a ∈ Z, so dass a · g = A.
Eine Lösung findet man, indem man g −1 in Z∗n berechnet (warum existiert der Kehrwert?),
dann ist a = g −1 ·A. Wir haben also in Abschnitt 2.4 von Kapitel 2 das DLP in der Gruppe
(Zn , +, −, 0) gelöst.
In den Gruppen (Z∗p , ·,−1 , 1) und (GF(q)∗ , ·,−1 , 1) ist das DLP wesentlich schwieriger, aber
auch hier gibt es Möglichkeiten, DL zu berechnen.
Wir sehen uns für (Z∗p , ·,−1 , 1) eine Methode an, die sich zu Nutze macht, dass es in Z
eine eindeutige Primfaktorzerlegung gibt, den Index Calculus Algorithmus.
Es sei p ∈ P, g Primitivwurzel modulo p. Wir möchten DLen zur Basis g modulo p
berechnen.
Zunächst wählen wir eine Zahl B und die dazugehörige Faktorbasis F(B) = {p ∈ P | p ≤
B}. Eine Zahl z nennen wir B-glatt, falls alle Primfaktoren von z in F(B) liegen, also ≤ B
sind.
Wir bestimmen nun die DLen aller Primzahlen in der Faktorbasis, also für jedes q ∈ F(B)
ein xq mit q = g xq mod p.
62
KAPITEL 3. DIFFIE UND HELLMAN
Um dann den DL von a zu berechnen, suchen wir einen Exponenten y, so dass a · g y
B-glatt ist. Dann ist
a · gy =
Y
q eq =
q∈F (B)
=g
a = g(
q∈F (B)
P
g xq ·eq
q∈F (B)
q∈F (B) xq ·eq
Also ist der DL von a zur Basis g gleich (
Y
mod p,
xq ·eq )−y
q∈F (B)
mod p.
xq · eq ) − y (mod p − 1).
Zurück zur Bestimmung der DLen der Faktorbasiselemente. Dazu berechnet man g z für
viele Zahlen z und merkt sich diejenigen, die B-glatt sind. Hat man viele solche Zahlen
gefunden, kann man die DLen der Faktorbasiselemente berechnen.
Beispiel 3.40. Wir demonstrieren die Methode für p = 2027, g = 2 und B = 11.
Nach langem Probieren finden wir z.B.
z
gz
1593
33
983
385
1318
1408
293
63
1918
1600
in F(B)
3 · 11
5 · 7 · 11
27 · 11
32 · 7
2 6 · 52
Wir suchen Zahlen x2 , x3 , x5 , x7 , x11 , so dass
2 = 2x2 , 3 = 2x3 , 5 = 2x5 , 7 = 2x7 , 11 = 2x11
mod 2027
Also (wieder modulo 2027)
21593 = 3 · 11 = (2x3 ) · (2x11 ) = 2x3 +x11
2983 = 5 · 7 · 11 = (2x5 ) · (2x7 ) · (2x11 ) = 2x5 +x7 +x11
21318 = 27 · 11 = (2x2 )7 · (2x11 ) = 27x2 +x11
2293 = 32 · 7 = (2x3 )2 · (2x7 ) = 22x3 +x7
21918 = 26 · 52 = (2x2 )6 · (2x5 )2 = 26x2 +2x5
3.9. BERECHNUNG DISKRETER LOGARITHMEN – DER INDEX CALCULUS ALGORITHMUS63
Es ergibt sich ein lineares Gleichungssystem (modulo p − 1 = 2026)
1593 = x3 + x4
983 = x5 + x7 + x11
1318 = 7x2 + x11
293 = 2x3 + x7
1918 = 6x2 + 2x5
Da 2026 = 2·1013 keine Primzahl ist, lässt sich das Gleichungssystem nicht einfach modulo
2026 lösen (Z2026 ist kein Körper). Man kann das Gleichungssystem aber modulo 2 und
modulo 1013 lösen (Z2 und Z1013 sind Körper). Die Lösungen modulo 2 und 1013 lassen
sich schließlich mit dem chinesischen Restsatz zu einer Lösung modulo 2026 kombinieren.
Sehen wir uns das an.
Modulo 2 ergibt sich (x2 = 1 ist klar)
x3 + x11 = 1
x5 + x7 + x11 = 1
x2 + x11 = 0
x7 = 1
x2 = 1
Wir lösen das Gleichungssystem und erhalten
x2 = x5 = x7 = x11 = 1, x3 = 0
(mod 2).
Modulo 1013 ergibt sich
x3 + x11 = 580
x5 + x7 + x11 = 983
7x2 + x11 = 305
2x3 + x7 = 293
6x2 + 2x5 = 905
x2 = 1
Wir lösen auch dieses Gleichungssystem und erhalten
x2 = 1, x3 = 282, x5 = 956, x7 = 742, x11 = 298
(mod 1013).
64
KAPITEL 3. DIFFIE UND HELLMAN
Mit dem chinesischen Restsatz erhalten wir
x2 = 1, x3 = 282, x5 = 1969, x7 = 1755, x11 = 1311
(mod 2026).
Nun können wir beliebige DL berechnen. Um den DL von 13 zur Basis 2 zu berechnen
suchen wir (durch Probieren) nach einer Zahl y, so dass 13 · 2 y B-glatt ist. Wir finden
13 · 21397 = 2 · 5 · 11
mod 2027
13 = 2(1+1969+1311)−1397 = 21884
Der DL von 13 zur Basis 2 modulo 2027 ist also 1884.
3.10
Andere public-key Systeme
Neben den public key Systemen, die auf dem DLP oder DHP beruhen, gibt es noch weitere.
Im Folgenden beschreiben wir zwei Verfahren, die auf dem Knapsack-Problem beruhen.
3.10.1
Das Knapsack-Problem
Sie steigen auf einen Berg und können höchstens Ckg Gepäck in Ihren Rucksack packen. Sie
haben Gepäckstücke mit v1 , . . . , vk kg. Können Sie damit – und wenn ja dann wie – mit einer
Auswahl aus diesen Gepäckstücken auf genau Ckg kommen? Mathematisch ausgedrückt:
Knapsack-Problem Gegeben seien v1 , . . . , vk ∈ N und C ∈ N. Gesucht sind Zahlen
d1 , . . . , dk ∈ {0, 1}, so dass
C=
k
X
i=1
falls es solche Zahlen gibt.
di · v i ,
Dieses Problem ist im Allgemeinen sehr schwierig, man muss alle Möglichkeiten ausprobieren. Wenn die Gewichte vi allerdings besondere Eigenschaften besitzen, geht’s plötzlich
ganz leicht.
Beispiel 3.41. Die Gewichte seien 2, 3, 7, 15 und 31. Für C wählen wir 24.
• 31 scheidet aus
• 15 könnte passen. Weil alle kleineren zusammen weniger als 15 ausmachen, müssen
wir es sogar auswählen, es bleiben 9kg
65
3.10. ANDERE PUBLIC-KEY SYSTEME
• 7 könnte passen. Weil alle kleineren zusammen weniger als 7 ausmachen, müssen wir
es auswählen, es bleiben 2kg
• 3 ist zu viel und scheidet aus
• 2 passt, und wir sind fertig: 24=2+7+15.
Ist jedes Gewicht größer als die Summe aller kleineren Gewichte, so spricht man von
einem superincreasing Knapsack-Problem. Wie das Beispiel zeigt, ist ein superincreasing
Knapsack-Problem ganz leicht zu lösen. Auf dieser Beobachtung beruht das Merkle-HellmanKryptosystem.
3.10.2
Das Merkle-Hellman-Kryptosystem
Alice wählt v1 , . . . , vk ∈ Z superincreasing und eine Zahl m >
Pk
i=1 vi .
Weiters wählt sie eine
Zahl a relativ prim zu m. Nun berechnet sie w 1 = a·v1 mod m, w2 = a·v2 mod m, usw. Der
öffentliche Schlüssel von Alice ist nun (w1 , w2 , . . . , wk ). Schließlich berechnet Alice b = a −1
mod m. Ihr privater Schlüssel ist (b, m, v1 , . . . , vk ).
Will Bob die Bitfolge (d1 , . . . , dk ) verschlüsseln, so berechnet er
C=
k
X
i=1
di · w i
und schickt C an Alice.
Will man die Nachricht entschlüsseln, steht man vor einem Knapsack-Problem, durch das
modulare Multiplizieren ist das Problem nicht mehr superincreasing.
Beispiel 3.42. Alice wählt (v1 , . . . , v5 ) = (2, 3, 7, 15, 31), m = 61 und a = 17. Sie berechnet b = 17−1 = 18 mod 61. Als public key ergibt sich
w1 = 17 · 2 = 34
mod 61
w2 = 17 · 3 = 51
mod 61
w3 = 17 · 7 = 58
mod 61
w4 = 17 · 15 = 11
mod 61
w5 = 17 · 31 = 39
mod 61
Ihr öffentlicher Schlüssel ist (34, 51, 58, 11, 39).
66
KAPITEL 3. DIFFIE UND HELLMAN
Alice berechnet C 0 = bC mod m und löst das superincreasing Problem mit v 1 , . . . , vk und
C 0 . Sie erhält die richtige Lösung, denn
C 0 = bC = b
k
X
di wi = b
i=1
k
X
di avi = ba
i=1
k
X
i=1
di vi =
k
X
di vi
mod m
i=1
Beispiel 3.43 (Fortsetzung). Bob will 01101 senden. Er berechnet
C = 0 · 34 + 1 · 51 + 1 · 58 + 0 · 11 + 1 · 39 = 148
Alice berechnet daraus C 0 = 18 · 148 = 41 mod 61. Sie löst das superincreasing Problem
41 =
5
X
di vi
i=1
und erhält die Nachricht 01101.
Im Jahr 1982 zeigte Shamir (lauter bekannte Namen!), wie man dieses System knacken
kann. Das Knapsack-Problem, das ein Angreifer zu lösen hat, ist zwar nicht superincreasing,
aber doch einfacher als ein allgemeines Knapsack-Problem, weil es mit einem superincreasing
Problem verwandt“ ist. Das allgemeine Knapsack-Problem kann er nicht lösen.
”
Die Shamir-Attacke lässt sich abwehren, indem man nicht nur einmal mit a modulo m multipliziert, sondern nacheinander mit a 1 modulo m1 , mit a2 modulo m2 , usw. Sonst bleibt das
Verfahren aber gleich. Es ist jedoch wahrscheinlich, dass sich auch die Attacke entsprechend
anpassen lässt. Daher ist das Merkle-Hellman-Verfahren zur Zeit nicht in Verwendung.
3.10.3
Das Chor-Rivest-Kryptosystem
Ein anderes Verfahren, das ebenfalls auf dem Knapsack-Problem beruht, ist bislang ungebrochen, dafür aber etwas aufwändig. Vorgeschlagen wurde es 1988 von Chor und Rivest.
Es wird ein endlicher Körper GF(q) = Zp (α) (also ist q = pn für ein passendes n) so
gewählt, dass q − 1 nur kleine Primfaktoren besitzt.
Alice sucht eine Primitivwurzel g in GF(q) und wählt zufällig eine ganze Zahl z. Weiters
wählt sie ein k ∈ N, so dass k < p und k < n. Dann berechnet sie die Zahlen b 0 , . . . , bk−1 , so
dass für alle j ∈ {0, . . . , k − 1} gilt α + j = g bj , also die DLen zur Basis g im Körper GF(q).
Wenn q − 1 nur kleine Primfaktoren besitzt, ist das mit etwas Aufwand möglich, jedenfalls
muss sie das aber nur ein einziges Mal tun. Schließlich wählt sie eine zufällige Permutation π
der Zahlen 0, 1, . . . , k − 1.
Alice berechnet für 0 ≤ j ≤ k − 1 die Zahlen vj = bπ(j) + z mod q − 1. Ihr public key ist
(v0 , . . . , vk−1 ).
67
3.10. ANDERE PUBLIC-KEY SYSTEME
Will Bob die Bitfolge (d0 , d1 , . . . , dk−1 ) verschlüsseln, so berechnet er
C=
k−1
X
dj vj
und
j=0
C0 =
k−1
X
dj
j=0
und schickt Alice C und C 0 . Bob muss hier also auch verraten, wie viele 1er in seiner Bitfolge
vorkommen.
Alice entschlüsselt, indem sie
M = g C−zC
0
berechnet.
Nun ist aber
0
g C−zC = g
=
k−1
j=0
k−1
Y
j=0
dj vj −z
k−1
j=0
g dj (vj −z) =
dj
k−1
Y
j=0
=g
k−1
j=0 (dj vj −zdj )
g dj bπ(j) =
k−1
Y
=g
k−1
j=0
dj (vj −z)
(α + π(j))dj .
j=0
Alice braucht also nur M zu faktorisieren und kann d 0 , . . . , dk−1 ablesen.
68
KAPITEL 3. DIFFIE UND HELLMAN
Kapitel 4
ElGamal
Bisher haben wir uns auf ein Ziel der Kryptographie konzentriert, privacy, Verschl üsselung.
In diesem Kapitel sehen wir uns die anderen Einsatzgebiete der Kryptographie an.
4.1
Hashfunktionen
In diesem Abschnitt sei A eine Menge von Zeichen, genannt Alphabet. Oft ist A = {0, 1}, es
könnte aber auch das Alphabet {A, . . . , Z, a, . . . , z} sein. Mit A ∗ bezeichnen wir die Menge
aller beliebig langen Folgen von Zeichen aus dem Alphabet A, die wir auch als Wörter bezeichnen. Mit Am bezeichnen wir die Menge aller Wörter, die aus genau m Zeichen bestehen.
Definition 4.1. Es sei A ein Alphabet und m > n ∈ N. Jede Funktion h : A ∗ → An
heißt Hashfunktion. Jede Funktion h : A m → An heißt Kompressionsfunktion.
Beim Wort Kompression darf man dabei nicht an Datenkompression denken. Bei Anwendung einer Kompressionsfunktion geht Information verloren.
Definition 4.2. Es seien X und Y zwei beliebige Mengen. Eine Funktion h : X → Y
heißt Einwegfunktion, wenn es praktisch unmöglich“ ist, zu einem beliebigen y ∈ Y ein
”
x ∈ X zu finden, so dass y = h(x).
Eine Kollision von h ist ein Paar (x1 , x2 ) von Elementen von X, so dass x1 6= x2 , aber
h(x1 ) = h(x2 ). Hashfunktionen und Kompressionsfunktionen haben immer Kollisionen
(warum?).
69
70
KAPITEL 4. ELGAMAL
Die Funktion h heißt stark kollisionsresistent, wenn es praktisch unmöglich ist, eine
Kollision von h zu finden. Die Funktion h heißt schwach kollisionsresistent, wenn es
praktisch unmöglich ist, eine Kollision (x1 , x2 ) von h mit vorgegebenem x1 zu finden.
Natürlich sind stark kollisionsresistente Funktionen auch schwach kollisionsresistent. Um
gekehrt ist das nicht so. Stark kollisionsresistente Funktionen sind Einwegfunktionen.
4.1.1
Stark kollisionsresistente Kompressionsfunktionen
Im Folgenden sehen wir, dass es stark kollisionsresistente Kompressionsfunktionen und Hashfunktionen tatsächlich gibt. Zunächst basteln wir eine Kompressionsfunktion, die so gebaut
ist, dass, wer eine Kollision findet, auch diskrete Logarithmen berechnen kann.
Sei p eine n-bit Primzahl, so dass auch q =
p−1
2
eine Primzahl ist.1 Weiters sei a eine
Primitivwurzel in Z∗p und b eine zufällig gewählte Zahl zwischen 1 und p − 1. Dann ist
h : {0, . . . , q − 1} × {0, . . . , q − 1} → {1, . . . , p − 1}
(α, β) 7→ aα bβ
mod p
eine Kompressionsfunktion von {0, 1} 2n−4 nach {0, 1}n (warum?).
Beispiel 4.3. p = 83, q = 41, a = 13, b = 53. Hier ist n = 7, wir erhalten eine Kompressionsfunktion, die 10-bit-Zahlen in 6-bit-Zahlen komprimiert.
Wir komprimieren 0110011010. Dazu wird die Bitfolge in zwei 5-bit-Zahlen zerlegt, nämlich
in α = (01100)2 = 12 und β = (11010)2 = 26. Dann berechnen wir h(α, β) = 1312 ·5326 = 21
mod 83. Schließlich lässt sich 21 als 0010101 schreiben. Wir haben also 0110011010 zu
0010101 komprimiert.
Wer eine Kollision von h finden kann, kann auch diskrete Logarithmen in Z ∗p berechnen.
Sei (x1 , x2 ) eine Kollision von h und x1 = (α1 , β1 ), x2 = (α2 , β2 ). Dann ist
1
a α 1 b β1 = a α 2 b β2
mod p bzw.
aα1 −α2 = bβ2 −β1
mod p
Die Primzahl q nennt man in diesem Fall Sophie Germain Primzahl.
71
4.1. HASHFUNKTIONEN
Da a eine Primitivwurzel ist, lässt sich b als b = ak schreiben. Wir zeigen nun, dass sich k
mit Hilfe der Kollision berechnen lässt.
aα1 −α2 = ak(β2 −β1 )
mod p
α1 − α2 = k(β2 − β1 )
mod ϕ(p) = p − 1 = 2q
Diese Gleichung hat eine Lösung, falls d := ggT(β2 − β1 , p − 1) ein Teiler von (α1 − α2 ) ist.
| {z }
=2q
Es gibt dann genau d verschiedene Lösungen.2
Da β1 und β2 kleiner als q sind, ist auch |β2 − β1 | < q. Daher kann d nur 1 oder 2 sein.
Ist d = 1, dann gibt es genau eine Lösung modulo p − 1, diese ist der DL k. Ist d = 2,
dann gibt es 2 Lösungen. Durch Ausprobieren der beiden Lösungen findet man das richtige
k.
Somit ist der DL gefunden. Wählt man eine Primzahl p, so dass das DLP in Z ∗p schwierig
ist, dann ist es zumindest ebenso schwierig, irgendeine Kollision von h zu finden.
Remark 4.4. Praktisch finden diese Kompressionsfunktionen keine Verwendung, weil das
Berechnen der Funktionswerte zu aufwändig wäre.
4.1.2
Von Kompressionsfunktionen zu Hashfunktionen
Wir sehen uns jetzt eine Methode an, aus einer kollisionsresistenten Kompressionsfunktion
eine kollisionsresistente Hashfunktion zu erzeugen.
Sei g : {0, 1}m → {0, 1}n eine Kompressionsfunktion und r := m − n.
Sei x ∈ {0, 1}∗ , also eine beliebig lange Bitfolge.
1. Zunächst werden vorne so viele Nullen angehängt, dass die Bitlänge durch r teilbar ist.
Dann werden hinten r Nullen angehängt.
2. Jetzt wird die Binärdarstellung der Bitlänge des ursprünglichen x bestimmt und an
diese hinten so viele Nullen angehängt, dass ihre Länge durch r − 1 teilbar ist. An den
Anfang sowie an jeder r-ten folgenden Stelle wird eine 1 eingefügt.
3. Die zweite Bitfolge wird an die erste angehängt.
4. Die erhaltene Bitfolge wird in t Blöcke x1 , . . . , xt der Länge r zerlegt.
Beispiel 4.5. r = 4, x = 100101101.
2
Erinnern Sie sich an Beispiel 2.20?
72
KAPITEL 4. ELGAMAL
1. Die Bitlänge von x ist 9. Wir müssen vorne 3 Nullen anhängen und erhalten
000100101101. Hinten werden 4 Nullen angehängt, das ergibt
0001001011010000.
2. Die Binärdarstellung von 9 ist 1001. Ihre Länge ist 4, wir müssen 2 Nullen anhängen,
damit die Länge durch r − 1 = 3 teilbar ist, also erhalten wir 100100. Nun wird an
der ersten und an jeder vierten folgenden Stelle eine 1 eingefügt, wir erhalten
11001100.
3. Die beiden Bitfolgen werden aneinander gehängt. Wir erhalten
000100101101000011001100.
4. Wir erhalten 6 Blöcke der Länge 4, nämlich
0001 0010 1101 0000 1100 1100.
Der Hashwert wird nun iterativ berechnet:
H0 := 00 . . . 0 (Länge n)
Hi := g(Hi−1 ◦ xi ),
1 ≤ i ≤ t,
wobei mit Hi−1 ◦ xi gemeint ist, dass die beiden Bitfolgen aneinander gehängt werden.
Der Hashwert h(x) ist dann Ht .
Von der so konstruierten Hashfunktion kann man zeigen (siehe [Buc99]), dass sie stark
kollisionsresistent ist, falls g es ist.
Damit haben wir eine stark kollisionsresistente Hashfunktion konstruiert.
Praktisch begnügt man sich mit Funktionen, deren Kollisionsresistenz nur empirisch gesichert ist, die dafür aber viel schneller sind. Wichtige Beispiele sind MDx, RIPEMD-x und
SHA-1. Ausführliche Beschreibungen finden Sie z.B. in [MvOV97] und [Sch96].
4.2
Digitale Signaturen
Alice will bei Bob’s Buchversand per email Bücher bestellen. Sie signiert ihre email digital.
So eine Signatur soll drei wichtige Wünsche von Bob bzw. Alice erfüllen.
1. Bob soll sich davon überzeugen können, dass wirklich Alice die Bücher bestellt hat, und
nicht irgendjemand anderer Alice einen Streich spielt.
4.2. DIGITALE SIGNATUREN
73
2. Alice will sicher sein, dass ihre email auf dem Weg zu Bob nicht geändert werden kann.
3. Bob will sich auf die email berufen können, wenn Alice plötzlich behauptet, sie hätte
gar nichts bestellt.
Die digitalen Signaturen, die wir uns ansehen, erfüllen alle diese Wünsche.
4.2.1
RSA-Signaturen
Mit einem RSA-Schlüsselpaar lässt sich ein Signaturverfahren ganz einfach konstruieren.
Alice besitzt einen privaten RSA-Schlüssel (n = p · q, d). Will Alice die Nachricht m
signieren, so sendet sie m und zusätzlich s = md mod n. Nun kann Bob (und jeder andere, der
Alice’s öffentlichen Schlüssel (n, e) besitzt) die Unterschrift überprüfen, indem er se mod n
berechnet und das Ergebnis mit m vergleicht. Hat wirklich Alice unterschrieben, dann ist
se = (md )e = mde = m mod n. Wer den privaten Schlüssel (n, d) nicht kennt, ist jedoch
nicht in der Lage, s zu berechnen.
Praktisch wird nicht die Nachricht m signiert, sondern nur ein Hashwert der Nachricht,
also s = h(m)e mod n und der Empfänger vergleicht sd mod n mit h(m). Die verwendete
Hashfunktion kann öffentlich vereinbart werden.
Wie digitale Signaturen auszusehen haben, ist genau geregelt. In [MvOV97] finden Sie
eine genaue Erläuterung.
Um eine Signatur zu fälschen, könnte Eve eine Unterschrift von Alice verwenden, z.B. die
Unterschrift zur Nachricht m. Dann wäre s = h(m)d mod n. Eve kennt d nicht, sie kann
aber mit dieser Signatur als Alice alle Nachrichten unterschreiben, deren Hashwert der gleiche
ist, wie der der Nachricht m. Sie kann also versuchen, eine Nachricht m 0 zu finden, so dass
h(m0 ) = h(m). Wenn h aber auch nur schwach kollisionsresistent ist, wird es Eve nicht einmal
gelingen, eine sinnlose Nachricht m 0 mit dem selben Hashwert zu finden. Eve könnte auch
irgendeine Signatur s nehmen und sehen, ob sie eine Nachricht findet, so dass h(m) = s e
mod n (denn dann wäre s = h(m)d mod n). Das ist aber, wie man sieht, auch nicht einfacher.
4.2.2
ElGamal Signaturen
Diese Signaturvariante ist – wie der Name schon vermuten lässt – verwandt mit dem ElGamalVerschlüsselungsverfahren. Man nimmt an, dass es nötig ist, ein DLP zu lösen, um ElGamalSignaturen zu fälschen, bewiesen ist allerdings nichts.
Zunächst wird eine kollisionsresistente Hashfunktion h öffentlich vereinbart. Nun wählt
Alice eine große Primzahl p und eine Primitivwurzel g in Z ∗p , weiters eine zufällige Zahl a, so
dass 2 ≤ a ≤ p − 1. Sie berechnet A = g a mod p und veröffentlicht ihren public-key (p, g, A).
Die Zahl a hält sie geheim.
74
KAPITEL 4. ELGAMAL
Um zu signieren, wählt Alice zufällig eine Zahl k, so dass 2 ≤ k ≤ p−1 und ggT(k, p−1) =
1. Dann berechnet sie die Signatur (r, s) der Nachricht m als
r = gk
s = k −1 (h(m) − ar)
mod p,
mod p − 1
Will Bob die Signatur überprüfen, so prüft er:
1. Ist 1 ≤ r ≤ p − 1?
2. Ist Ar · r s = g h(m) mod p?
Attacken auf ElGamal Signaturen
Eine gültige Unterschrift besteht beide Tests, denn
Ar · r s = g ar · g ks = g ar+kk
−1 (h(m)−ar)
= g h(m)
mod p
Der scheinbar überflüssige Test, ob 1 ≤ r ≤ p − 1 ist, ist äußerst wichtig, denn macht man
diesen Test nicht, dann ist es Eve möglich, eine beliebige Nachricht m 0 für Alice zu signieren,
wenn sie nur eine einzige signierte Nachricht m von Alice kennt. Das geht so:
Sei (r, s) Alice’s Signatur der Nachricht m. Angenommen h(m) ist relativ prim zu p − 1.
Dann sei
u := h(m0 ) · h(m)−1
s0 := su mod p − 1
mod p − 1
Weiters berechnet Eve mit Hilfe des chinesischen Restsatzes modulo p · (p − 1) eine Zahl r 0 ,
welche die Gleichungen
r 0 = ru
r0 = r
mod p − 1
mod p
und
erfüllt.
Nun ist (r 0 , s0 ) eine gültige Alice-Signatur von m0 , denn
s = k −1 (h(m) − ar)
mod p − 1,
also ist
h(m) = ar + ks
mod p − 1.
Somit ist
r0
A ·r
0
0s
0
= Aru · r su = g aru · g ksu = g u(ar+ks) = g u·h(m) = g h(m ) .
Den einfachen ersten Test besteht die gefälschte Signatur jedoch nicht, denn r 0 ≥ p:
r0 = r
mod p
r 0 = ru 6= r
mod p − 1,
75
4.3. ZERO-KNOWLEDGE-PROTOKOLLE
denn u 6= 1 mod p − 1 (außer man fände eine Kollision von h). Also ist r 0 6= r, und daher
muss r 0 ≥ p sein.
Es ist nicht ratsam, sich Arbeit zu sparen, indem man jedes Mal das selbe k verwendet,
denn werden zwei Nachrichten m1 und m2 mit dem selben k-Wert signiert, so lässt sich unter
Umständen aus den beiden Signaturen (r, s 1 ) und (r, s2 ) das geheime a berechnen:
Es ist
s1 − s2 = k −1 (h(m1 ) − ar) − k −1 (h(m2 ) − ar)
= k −1 (h(m1 ) − ar − h(m2 ) + ar)
= k −1 (h(m1 ) − h(m2 ))
mod p − 1
Falls s1 − s2 und p − 1 relativ prim sind, lässt sich s1 − s2 modulo p − 1 invertieren und man
erhält
k = (s1 − s2 )−1 (h(m1 ) − h(m2 ))
mod p − 1.
Andernfalls hat die Gleichung genau ggT(s 1 − s2 , p − 1) verschiedene Lösungen. Wenn dieser
ggT nicht allzu groß ist, kann man alle Lösungen durchprobieren. Kennt man k, so lässt sich
a berechnen aus
s1 = k −1 (h(m1 ) − ar)
ks1 = h(m1 ) − ar
ar = h(m1 ) − ks1
mod p − 1
mod p − 1
mod p − 1.
Falls r relativ prim zu p − 1 ist, so lässt sich a daraus direkt berechnen, ist ggT(r, p − 1) > 1,
so gibt es wieder mehrere Lösungen, und man kann probieren.
Die in der Praxis am meisten benutzte Variante des ElGamal-Signaturverfahrens ist der
Digital Signature Algorithm (DSA), lesen Sie in [MvOV97] nach.
4.3
Zero-Knowledge-Protokolle
Nichts wissen“ klingt erst einmal sehr gut, aber zu früh gefreut, eigentlich sollte es nichts
”
”
verraten“ heißen. Jetzt aber von vorn.
Alice weiß etwas, was Bob nicht weiß. Sie möchte ihn davon überzeugen, dass sie es weiß,
sie möchte es ihm aber nicht verraten. Ein Zero-Knowledge-Protokoll ist ein Weg, das zu
erreichen.
Wir starten mit einem anschaulichen
76
KAPITEL 4. ELGAMAL
Beispiel 4.6 (Landkarten bemalen). Es ist bei jeder Landkarte möglich, mit vier Farben die Länder so zu bemalen, dass benachbarte Länder niemals die gleiche Farbe haben.
Mit drei Farben geht das nur manchmal und selbst dann ist es ein sehr schwieriges Problem.
Alice hat es geschafft, und möchte es Bob beweisen, sie möchte ihm aber nicht verraten,
wie sie es gemacht hat, schließlich hat sie sich lange damit herumgeplagt.
Die beiden bauen einen Apparat. Es handelt sich um eine riesige Landkarte. In jedem Land
sind 3 Lämpchen montiert, ein rotes, ein grünes und ein blaues.
Alice kann in jedem Land entsprechend ihrer Bemalung einstellen, welches Lämpchen leuchten soll.
Wenn Bob mit dem Finger auf eine Grenze der Landkarte tippt, so gehen in den angrenzenden Ländern die Lämpchen an, und er kann sich davon überzeugen, dass die Farben
verschieden sind.
Nachdem er auf eine Grenze getippt hat, drückt Alice schnell auf einen Knopf, der folgende
Umstellungen auslöst: die Farben werden zufällig durchmischt, es wird z.B. rot zu blau, blau
zu grün und grün zu rot (die Farben können aber auch zufällig unverändert bleiben), die
Farben ändern sich aber in jedem Land gleich. Im nächsten Durchgang wird nun anstelle
des roten ein blaues Lämpchen leuchten, und anstelle eines blauen ein grünes, wo auch
immer Bob hintippt.
Nun ist Bob wieder dran, er untersucht die nächste (oder noch einmal die selbe) Grenze,
danach verstellt Alice wieder die Farben. Das geht so lange bis Bob davon überzeugt ist,
dass Alice die Karte richtig bemalt hat.
Bob erfährt dabei aber nicht, wie Alice die Karte bemalt hat.
Jetzt wird’s etwas praktischer. Wir sehen uns ein Zero-Knowledge-Protokoll f ür das Wissen
um den diskreten Logarithmus eines Elements einer Gruppe.
Es sei (G, ·,−1 , 1) eine Gruppe großer Ordnung, b ein fixes Element großer Ordnung der
Gruppe und y ein beliebiges Element der Gruppe. Alice will Bob davon überzeugen, dass sie
den diskreten Logarithmus von y zur Basis b kennt, also jenes x, so dass y = b x .
1. Alice wählt zufällig eine Zahl e und schickt Bob B = b e .
2. Bob wirft eine Münze.
(a) Bei Kopf muss Alice e bekannt geben und Bob überprüft, ob B = be ist.
(b) Bei Zahl muss Alice x + e bekannt geben und Bob überprüft, ob y · B = bx+e ist.
3. Die Schritte (1) und (2) werden wiederholt, bis Bob überzeugt ist.
77
4.4. OBLIVIOUS TRANSFER CHANNELS
Wenn Alice x nicht kennt, dann kann sie zweierlei tun.
• Sie setzt auf Kopf, wählt ein e und schickt B = be . Fällt Kopf, kann sie einfach e
schicken, und Bob ist zufrieden. Fällt aber Zahl, so muss sie x + e schicken und das
kann sie nicht, wenn sie x nicht kennt.
• Sie setzt auf Zahl, wählt ein e, schickt aber B = be · y −1 . Fällt Zahl, dann schickt sie e
(statt x + e) und Bob überprüft y · B = bx+e und ist zufrieden. Fällt aber Kopf, steckt
sie in der Klemme.
In jeder Testrunde hat also Alice eine Chance von 50%, Bob zu betrügen, wenn sie den
diskreten Logarithmus nicht kennt. Nach n Runden ist die Wahrscheinlichkeit, als L ügner alle
Runden zu überstehen, nur mehr ( 12 )n .
Umgekehrt erfährt Bob nichts über den diskreten Logarithmus x, weil er entweder e oder
x + e aber nicht e erfährt.
4.4
Oblivious transfer channels
Interaktive Beweise sind mühsam, weil immer auf die Antwort des anderen gewartet werden
muss. Um aus den interaktiven Protokollen nicht-interaktive zu machen, bedient man sich
eines oblivious transfer channels.
Definition 4.7. Ein oblivious transfer channel von Alice zu Bob ist ein System, mit dem
Alice Bob zwei (verschlüsselte) Pakete schicken kann, so dass die folgenden Forderungen
erfüllt sind:
1. Bob kann genau eines der beiden Pakete entschlüsseln und lesen.
2. Alice weiß nicht, welches der beiden Pakete das ist.
3. Beide können sicher sein, dass (1) und (2) erfüllt sind.
Wir studieren einen oblivious transfer channel, der auf dem DHP beruht.
Zunächst wird ein endlicher Körper GF(q) vereinbart, in dem das DHP schwierig zu lösen
ist, weiters eine Primitivwurzel b von GF(q) und ein Element C des Körpers, dessen DL zur
Basis b nicht bekannt ist. Schließlich braucht man eine Funktion ψ : GF(q) → {0, 1} n .
1. Bob wählt ein x, so dass 0 < x < q − 1, und ein i ∈ {1, 2}. Er berechnet
βi = b x ,
β3−i = C · b−x
78
KAPITEL 4. ELGAMAL
Er gibt Alice seinen public-key (β1 , β2 ), hingegen hält er x und i geheim.
Bob kennt x, den DL von βi zur Basis b. Würde er auch den DL x0 von β3−i zur Basis b
0
0
kennen, so wüsste er, dass bx+x = bx · bx = βi · β3 − i = bx · C · b−x = C. Also würde er
den DL von C zur Basis b kennen. Da dieser nicht bekannt ist, kann Bob auch x 0 nicht
kennen.
2. Alice hat zwei Pakete m1 und m2 . Nehmen wir an, beide Pakete sind Bitfolgen der
Länge n. Sie wählt zufällig 0 < y1 , y2 < q − 1 und schickt Bob
(a) ε1 = by1
(b) ε2 = by2
(c) α1 = ψ(β1y1 ) ⊕ m1
(d) α2 = ψ(β2y2 ) ⊕ m2
(dabei steht ⊕ für bitweises XOR).
3. Bob berechnet ψ(εxi ) ⊕ αi .
Bob erhält im letzten Schritt tatsächlich mi , denn
ψ(εxi ) ⊕ αi = ψ((byi )x ) ⊕ ψ(βiyi ) ⊕ mi
= ψ((bx )yi ) ⊕ ψ(βiyi ) ⊕ mi
= ψ(βiyi ) ⊕ ψ(βiyi ) ⊕ mi
= mi
Bob kann aber m3−i nicht entschlüsseln. Dazu müsste er
y
0
3−i
β3−i
= (C · b−x )y3−i = (bx )y3−i = (by3−i )x
0
0
berechnen können. Er kennt aber nur bx = β3−i und by3−i = ε3−i , steht also vor einem DHP.
Alice kennt i nicht, weiß also nicht, welches Paket Bob lesen kann. Sie kann sich aber
davon überzeugen, dass er nicht beide Pakete lesen kann. Sie berechnet β 1 · β2 . Hat Bob
seinen öffentlichen Schlüssel nicht verändert, so ergibt sich β1 · β2 = bx · C · b−x = C. Könnte
Bob den DL von β1 und von β2 berechnen, so auch den von C, das geht aber nicht.
Kapitel 5
Moore, Mealy und Vernam
5.1
Das Vernam One Time Pad
Definition 5.1. Eine Strom-Chiffre verschlüsselt eine Bitfolge Bit für Bit (im Gegensatz
zu Block-Chiffren).
Das Vernam One Time Pad ist eine symmetrische Strom-Chiffre. Der Schlüssel ist eine
zufällige Bitfolge (ki ). Die Bitfolge (mi ) wird verschlüsselt, indem man Bit für Bit, das Nachrichtenbit mit dem entsprechenden Schlüsselbit XOR-verknüpft, also
ci = m i ⊕ k i .
Um die verschlüsselte Folge (ci ) wieder zu entschlüsseln, berechnet man (wie beim Verschlüsseln)
Mi = c i ⊕ k i .
So einfach dieses Verfahren ist, so sicher ist es. Es handelt sich um eines der wenigen absolut sicheren Verschlüsselungsverfahren. Wer den Schlüssel nicht kennt, hat überhaupt keinen
Hinweis auf den Klartext. Jede Bitfolge ist ein potentieller Klartext.
Natürlich ist dieses Verfahren für Known-plaintext-Attacken anfällig; wer den Nachrichtentext kennt, kann den Schlüssel berechnen. Es muss also stets ein neuer Schlüssel verwendet
werden. Dieser Schlüssel muss sicher ausgetauscht werden, und er ist mindestens so lang wie
die Nachricht, die verschlüsselt werden soll. Für die absolute Sicherheit zahlt man hier also
mit riesigem Aufwand zum Schlüsselaustausch.
Um diesen Aufwand zu reduzieren, lässt man sich die zufällige Schlüsselbitfolge von einem
PRNG erzeugen. Man braucht dann bloß die Parameter für den PRNG austauschen. Alice
und Bob können dann beide mit ihren PRNGs die selbe zufällige Schlüsselbitfolge erzeugen.
79
80
KAPITEL 5. MOORE, MEALY UND VERNAM
Der BBS-PRNG ist, wie wir gesehen haben, rechnerisch sehr aufwendig. Wir entwickeln
in diesem Kapitel einen kleinen Teil der Theorie der Automaten, und verwenden diese, um
schnelle PRNGs zu bauen“.
”
5.2
Automaten
Ein Automat ist ein Quintupel (I, O, Z, δ, λ), bestehend aus einer Inputmenge I, einer
Outputmenge O, einer Zustandsmenge Z, einer Zustandsüberführungsfunktion δ : Z × I →
Z, und einer Outputfunktion λ : Z × I → O.
Die Mengen und Funktionen sind dabei wie folgt zu interpretieren:
• I ist die Menge aller möglichen Inputs in den Automaten.
• Auf jeden Input reagiert der Automat mit einem Output. O ist die Menge aller möglichen
Outputs des Automaten.
• Der Output des Automaten hängt nicht nur vom Input ab, sondern auch vom Zustand,
in dem sich Automat gerade befindet. Z ist die Menge aller möglichen Zustände des
Automaten.
• Befindet sich der Automat im Zustand z ∈ Z so reagiert er auf den Input i ∈ I mit
dem Output λ(z, i) ∈ O
• und wechselt in den Zustand δ(z, i) ∈ Z.
Hängt der Output eines Automaten nur vom Zustand, aber nicht vom Input ab, so heißt
der Automat auch Moore-Automat. Die Funktionen δ und λ können neben dem Zustand
und dem Input auch vom Zufall abhängen. Man spricht in diesem Fall von einem nichtdeterministischen Automaten, andernfalls von einem deterministischen Automaten. Ein Automat
(I, O, Z, δ, λ) heißt endlich oder Mealy-Automat, falls I, O und Z endliche Mengen sind.
Verzichtet man auf die Outputmenge O und die Outputfunktion λ, so spricht man von einem
Halbautomaten. Gern gibt man bei einem (Halb-)Automaten einen Anfangszustand z 0 ∈ Z
an.
Einfache Automaten mit nicht allzu großen Input- und Zustandsmengen lassen sich sehr
schön grafisch veranschaulichen. Dazu zeichnet man für jeden Zustand einen kleinen Kreis.
Wechselt der Automat beim Input i vom Zustand z in den Zustand z 0 und gibt dabei den
Output o aus, so zeichnet man einen Pfeil vom Kreis z zum Kreis z 0 , den man mit i/o
beschriftet. Beim Betrachten des nächsten Beispiels wird alles klar.
81
5.2. AUTOMATEN
Beispiel 5.2. Als erstes Beispiel betrachten wir eine einfache Mausefalle. Die Mausefalle
kann sich zwei Zuständen befinden, gespannt“ (G) oder nicht gespannt“ (N). Mögliche
”
”
Inputs sind Maus tappt in die Falle“ (1) und Maus tappt nicht in die Falle“ (0).
”
”
Üblicherweise hat eine Mausefalle keinen Output, es handelt sich also um einen Halbautomaten. Eine bessere Version der Mausefalle hat als Output 1, wenn soeben eine Maus
gefangen wurde und sonst 0. Abbildung 5.1 stellt diesen Automaten dar.
1 0
1 1
G
N
0 0
0 0
Abbildung 5.1: Die einfache Mausefalle
Beispiel 5.3. Sieht man sich eine Mausefalle genauer an, kann man vier Zustände unterscheiden, je nachdem, ob Speck in der Falle ist oder nicht. Nun ergeben sich die Zustände
SG: Speck ist in der Falle, die Falle ist gespannt
SN: Speck ist in der Falle, die Falle ist nicht gespannt
LG: Die Falle ist leer und gespannt
LN: Die Falle ist leer und nicht gespannt
Abbildung 5.2 zeigt diesen etwas komplizierteren Automaten.
Um Automaten studieren zu können, interessiert man sich dafür, was der Automat macht,
wenn man ihm eine Serie von Inputs schickt. Unter einer Folge von Inputs verstehen wir eine
Folge i = i1 i2 . . . in , wobei ij ∈ I für 1 ≤ j ≤ n. Wir lassen als Inputfolge auch die leere“
”
Folge i = Λ (kein Input) zu. Mit I ∗ bezeichnen wir die Menge aller Inputfolgen. 1
1
Inputfolgen sind also die Wörter über dem Alphabet I, so klein ist die Welt der Mathematik.
82
KAPITEL 5. MOORE, MEALY UND VERNAM
0 0
LG
1 1
0 0
SG
0 0
LN
1 1
1 0
0 0
SN
0 0
Abbildung 5.2: Die Mausefalle mit Speck
Wir erweitern die Zustandsüberführungsfunktion δ zu einer Funktion δ ∗ : Z × I ∗ → Z.
Für z ∈ Z, i1 , . . . , in ∈ I definieren wir:
δ ∗ (z, Λ) = z
δ ∗ (z, i1 ) = δ(z, i1 )
δ ∗ (z, i1 . . . in ) = δ(δ ∗ (z, i1 . . . in−1 ), in )
Die Folge hz, δ ∗ (z, i1 ), δ ∗ (z, i1 i2 ), . . . , δ ∗ (z, i1 . . . in )i nennen wir die Zustandstrajektorie
von z unter der Inputfolge i1 . . . in .
Auf die gleiche Weise lässt sich die Outputfunktion λ zu einer Funktion λ ∗ : Z × I ∗ → O
erweitern.
λ∗ (z, Λ) = Λ
λ∗ (z, i1 ) = λ(z, i1 )
λ∗ (z, i1 . . . in ) = λ(δ ∗ (z, i1 . . . in−1 ), in )
5.2.1
Angewandte Automaten
Eine klassische Anwendung von Automaten ist die Verwendung als Akzeptoren. Ein Akzeptor
ist ein Automat mit zwei möglichen Outputs, akzeptiert“ (A) und nicht akzeptiert“ (N).
”
”
Ist der Output A, so hat der Automat, die Inputfolge akzeptiert, sonst ist der Output N.
83
5.3. LINEAR FEEDBACK SHIFT REGISTERS
Ein Akzeptor kann z.B. prüfen, ob ein Ausdruck syntaktisch korrekt ist. Wir sehen uns
als Beispiel einen Automaten an, der prüft, ob der eingegebene Ausdruck richtig geklammert
ist.
Beispiel 5.4. Wir wählen Z = Z ∪ {π}, I ist der ASCII-Zeichensatz und O = {A, N }.
Als Anfangszustand wählen wir z0 = 0. Dann definieren wir
δ : Z×I →Z


π







z+1


(z, i) 7→ z − 1





π




z
λ: Z×I →Z

A
(z, i) 7→
N
, falls z = π
, falls z ∈ Z und i =(
, falls z ∈ Z und z > 0und i =)
, falls z ≤ 0 und i =)
, falls i 6∈ {), (}
, falls δ(z, i) = 0
, falls δ(z, i) 6= 0
Akzeptoren sind sozusagen ganz einfache Programme zur Syntaxanalyse. In Netzwerken
werden Sie eingesetzt, um die Datenintegrität zu überprüfen. Bei hardwarenahen Protokollen
können diese Automaten einfach gebaut oder in kleine Prozessoren gebrannt werden.
Wir wenden uns der kryptologischen Anwendung von Automaten zu.
5.3
Linear feedback shift registers
Eine spezielle Art von Automaten sind Schieberegister (Linear feedback shift registers,
LFSRs).
Definition 5.5. Ein LFSR ist ein Automat (I, O, Z, δ, λ), bei dem I = {1}, O = Z 2
und Z ein Vektorraum über dem Körper Z2 ist. Die Funktionen δ und λ hängen dann
nicht mehr vom Input ab (LFSRs sind also Moore-Automaten). Sie sind von der Form
λ((z1 , . . . , zn )T ) = z1
und
δ(z) = A · z,
84
KAPITEL 5. MOORE, MEALY UND VERNAM
wobei A eine sogenannte Begleitmatrix ist. Das ist eine Matrix von der Gestalt


0
1
0
0
...
0
0

0

0


A=
0
 ..
.


0
0
1
0
...
0
0
0
1
...
0
0
..
.
0
..
.
0
..
.
...
..
.
0
..
.
0
0
0
...
0

0

0


0

.. 
.


1
an
1 a 2 a3 a4 . . .
an−1
wobei a2 , . . . , an ∈ Z2 .
Der Name LFSR erklärt sich von selbst, wenn man sich ansieht, was die Zustandsüberführungsfunktion aus dem Zustand z = (z 1 , . . . , zn )T macht.


 
 
0 1 0 0 ...
0
0
z2
z1


 
 
0 0 1 0 . . .

0
0   z2  
z3


 
 
0 0 0 1 . . .





0
0   z3  
z4




 
 
0 0 0 0 . . .





z5
0
0  ·  z4  = 


 .. ..

..
..
.. . .
..
..   ..  
. .





.
.
.
.
.
.  .  




 
 
zn
0
1  zn−1  
0 0 0 0 . . .

z1 + a 2 z2 + a 3 z3 + . . . + a n zn
zn
1 a2 a3 a4 . . . an−1 an
Bei jedem Input wird der Zustandsvektor (eine Bitfolge) um eine Position verschoben, das
Bit, das dabei hinausfällt, ist der Output. An der letzten Stelle wird ein linearer Feedback
nachgeschoben.
Ist A ein LFSR mit Begleitmatrix A, dann heißt das Polynom x n +a2 xn−1 +. . .+an x+1 ∈
Z2 [x] Verbindungspolynom (connection polynomial). Ein LFSR ist durch sein Verbindungs-
polynom eindeutig bestimmt. Vereinbart man zusätzlich einen Anfangszustand z0 ∈ Z, so
sind alle Outputs des LFSR schon bestimmt. Die Dimension des Vektorraums Z nennt man
auch die Länge des LFSRs.
Beispiel 5.6. Betrachten wir das LFSR mit dem Verbindungspolynom x 5 + x2 + 1. Das
LFSR hat die Länge 5. Eine bequeme Art, ein LFSR zu zeichnen, wird in Abbildung 5.3
dargestellt. Wir vereinbaren als Anfangszustand z 0 = (1, 0, 0, 1, 1) ∈ Z52 . Das LFSR erzeugt
dann die Outputfolge
1001101001000010101110 . . .
5.3. LINEAR FEEDBACK SHIFT REGISTERS
85
+
z1
z2
z3
z4
z5
Abbildung 5.3: Das LFSR x5 + x2 + 1.
Die Outputfolgen (oi ) (i ∈ N), die ein LFSR erzeugt sind periodisch, d.h. es gibt eine
kleinste Zahl L, die Periode, so dass stets o i+L = oi . Ein LFSR der Länge n kann maximal 2n −
1 verschiedene Zustände annehmen. Daher ist die Periode eines LFSR der Länge n maximal
2n − 1. Ist die Periode gleich der maximal möglichen, so heißt das LFSR maximalperiodisch.
Wir erinnern uns an Kapitel 3. Tatsächlich gilt
Satz 5.7. Ein LFSR ist genau dann maximalperiodisch, wenn sein Verbindungspolynom maximalperiodisch ist.
Wir können also aus Polynomen vom Grad n Bitfolgen mit der Periode 2 n − 1 erzeugen.
Leider kann man aber mit Hilfe des Berlekamp-Massey-Algorithmus 2 aus 2n Bits der Bitfolge
das Verbindungspolynom berechnen. Sobald man also 2n Bits des Schlüssels kennt, kennt
man den gesamten Schlüssel.
Um LFSRs als kryptographische Zufallszahlengeneratoren verwenden zu können, verschaltet man nun einfach mehrere LFSRs mit relativ primen Perioden.
Beispiel 5.8. Ein Beispiel, wie es praktisch verwendet wird ist das folgende. Wir wählen 5
LFSRs R1 , . . . , R5 . Nun sei Ri (j) der j-te Output des LFSR Ri . Wir definieren die Funktion

x , falls s = 0
f (x, y, s) =
y , falls s = 1
Nun verwenden wir als j-ten Output
O(j) = f (R1 (j), R2 (j), f (R3 (j), R4 (j), R5 (j))) ⊕ f (R4 (j), R3 (j), R5 (j)).
Die so erzeugte Bitfolge besitzt eine sehr lange Periode und der Berlekamp-MasseyAlgorithmus ist nicht mehr direkt anwendbar. Dafür muss man sich auf 5 Verbindungspolynome einigen.
2
ein.
Dieser Algorithmus ist in [MvOV97] im Kapitel 6 ausführlich beschrieben. Wir gehen nicht näher darauf
86
KAPITEL 5. MOORE, MEALY UND VERNAM
Stromchiffren aus LFSRs bieten in der Regel nicht die Sicherheit, die andere Systeme
bieten können. Es ist dafür aber sehr einfach, sie hardwaremäßig zu implementieren und
sie sind ungeheuer schnell. Daher sind sie besonders für Anwendungen geeignet, in denen
Geschwindigkeit besonders wichtig ist und die verschlüsselten Daten schnell ihre Wichtigkeit
verlieren, so dass es keinen Sinn mehr macht, die Daten eine Stunde nach der Übertragung
zu entschlüsseln.
Kapitel 6
Koblitz und Miller
In beinahe 30 Jahren RSA und DH haben sich das Faktorisierungsproblem und das DLP/DHP
wie in den Jahrhunderten davor nicht vollständig lösen lassen. Allerdings werden immer mehr
und bessere Methoden entwickelt, so dass es immer schwieriger wird, sichere Parameter f ür
diese Verfahren zu finden.
Beispiel 6.1. Für das RSA-Verfahren hat man zur Zeit wenigstens 1024 Bit lange starke
Primzahlen zu wählen. Glücklicherweise geht das, weil auch das Finden (und Testen) von
Primzahlen immer einfacher wird. Es bleibt jedoch das Problem, dass mit immer größeren
Zahlen gerechnet werden muss, und das halbwegs schnell.
Beispiel 6.2. Für DLP-verwandte Verfahren, bei denen als Gruppe Z ∗p verwendet wird,
muss p ebenfalls wenigstens 1024 Bit lang sein. Auch hier muss man mit sehr großen Zahlen
potenzieren, viel Aufwand.
Das größte Problem dabei ist, dass die Gruppen Z ∗p und GF(q)∗ sehr gut erforscht sind
und viel Struktur aufweisen.
Das DLP lässt sich aber, wie wir gesehen haben, für jede Gruppe formulieren. Wir studieren in diesem Kapitel eine ganz andere Art von Gruppen, elliptische Kurven.
87
88
KAPITEL 6. KOBLITZ UND MILLER
6.1
Elliptische Kurven über R
Definition 6.3. Es sei x3 + ax + b ∈ R[x] ein Polynom, so dass 4a3 + 27b2 6= 0. Mit O
bezeichnen wir einen ausgezeichneten Punkt im Unendlichen“. Dann ist
”
E = {(x, y) ∈ R2 | y 2 = x3 + ax + b} ∪ {O}
eine elliptische Kurve (EC) über R.
Der Einfachheit halber schreiben wir statt der EC nur die Gleichung. Abbildung 6.1 zeigt die
Graphen verschiedener elliptischer Kurven über dem Körper R.
Aus E lässt sich eine Gruppe machen. Das sehen wir uns jetzt an.
Beispiel 6.4. Wir wählen E : y 2 = x3 − 36x. Die Punkte P = (−3, 9) und Q = (−2, 8)
sind Punkte auf E, wovon man sich durch Einsetzen in die Gleichung schnell überzeugt.
Wir legen durch P und Q eine Gerade
g : y = kx + d
Die Steigung k lässt sich schnell berechnen als
k=
8−9
= −1.
−2 − (−3)
Setzt man nun P in g ein, so erhält man
d = y − kx = 9 − (−1)(−3) = 6
Die Geradengleichung lautet also
g : y = −x + 6
Wir schneiden g mit E:
(−x + 6)2 = x3 − 36x
x2 − 12x + 36 = x3 − 36x
x3 − x2 − 24x − 36 = 0
Die entstehende Gleichung dritten Grades können wir leicht lösen, weil wir zwei Lösungen
schon kennen (P und Q sind Schnittpunkte): x 1 = −3 und x2 = −2.
6.1. ELLIPTISCHE KURVEN ÜBER R
-4
-3
-2
89
4
4
2
2
-1
1
2
3
-4
-3
-3
-2
-1
1
-2
-2
-4
-4
y 2 = x3 + x − 1
-4
-2
4
2
2
1
2
3
-4
-3
-2
-1
1
-2
-2
-4
-4
y 2 = x3 − x + 2
3
2
3
y 2 = x3 + x + 2
4
-1
2
y 2 = x3 − 3x
Abbildung 6.1: Elliptische Kurven über R
90
KAPITEL 6. KOBLITZ UND MILLER
4
P*Q
2
Q
-2
P
-1
1
2
3
-2
P+Q
-4
Abbildung 6.2: Addition der Punkte P und Q
Wir dividieren x3 − x2 − 24x − 36 durch (x − x1 )(x − x2 ) = x2 + 5x + 6 und erhalten x − 6.
Also ist x3 = 6.
Auch der dritte Schnittpunkt liegt auf g, also ist
y = −x + 6 = 0
Aus den zwei Punkten P und Q erhalten wir so einen dritten Punkt P ∗ Q = (6, 0).
Beispiel 6.5. Wir wählen E : y 2 = x3 + 1 und den Punkt P = (2, 3) auf E.
Wir legen in P die Tangente an E. Diese ist von der Form
t : y = kx + d
Die Steigung der Tangente in P ist gerade die Steigung von E in P . Diese lässt sich mit
implizitem Differenzieren berechnen:
2y ẏ 0 = 3x2
y0 =
3x2
2y
y 0 (x = 2, y = 3) = 2
6.1. ELLIPTISCHE KURVEN ÜBER R
91
Also ist k = 2. Wir setzen P in t ein und erhalten
d = y − kx = 3 − 2 · 2 = −1.
Wir schneiden t mit E
(2x − 1)2 = x3 + 1
4x2 − 4x + 1 = x3 + 1
x3 − 4x2 + 4x = 0
Auch von dieser Gleichung dritten Grades kennen wir zwei Lösungen, denn die xKoordinate von P als Berührpunkt ist zweifache Lösung der Gleichung. Wir können also
ohne Rest durch (x − 2)(x − 2) = x2 − 4x + 4 dividieren und erhalten x. Die dritte Lösung
ist also x3 = 0.
Die y-Koordinate ergibt sich durch Einsetzen in t. Wir erhalten
y = 2x − 1 = −1
Aus einem Punkt P auf E erhalten wir einen Punkt P ∗ P = (0, −1) auf der EC.
4
P
2
P+P
-2
-1
1
2
3
P*P
-2
-4
Abbildung 6.3: Verdopplung von P
92
KAPITEL 6. KOBLITZ UND MILLER
Remark 6.6. Man rechnet leicht nach, dass eine EC das Assoziativgesetz
(P ∗ Q) ∗ R = P ∗ (Q ∗ R)
nicht erfüllt, dass sich so also keine Gruppe aus einer EC machen lässt.
Definition 6.7. Es sei E eine EC. Wir definieren:
1. −O = O und für jedes P ∈ E sei P + O = O + P = P . (Damit wird O zum
neutralen Element.)
2. Ist P = (x, y), dann sei −P = (x, −y).
3. Ist Q = −P , dann sei P + Q = O.
4. P + P = 2P = −(P ∗ P ), wobei P ∗ P der andere Schnittpunkt der Tangente an E
in P ist. (siehe Abb. 6.3)
5. Ist P 6= ±Q, dann sei P + Q = −(P ∗ Q), wobei P ∗ Q der dritte Schnittpunkt der
Geraden durch P und Q mit E ist. (siehe Abb. 6.2)
Damit wird aus einer EC eine Gruppe.
Satz 6.8. Ist E eine EC, dann ist (E, +, −, O) eine abelsche Gruppe.
Der Beweis, dass jetzt das Assoziativgesetz gilt, ist alles andere als einfach, und viel zu
lang für uns. Wir begnügen uns mit einem Blick auf Abbildung 6.4.
Für die Addition von Punkten auf EC lassen sich einfache Formeln angeben, die wir gleich
herleiten werden.
Lemma 6.9. Sind x1 , x2 , x3 Nullstellen des Polynoms x3 + Ax2 + Bx + C, dann gilt
x1 + x2 + x3 = −A
x1 · x2 · x3 = −C.
und
6.1. ELLIPTISCHE KURVEN ÜBER R
93
Q*R
7.5
5
2.5
P+Q+R
P
-4
P*Q
Q
-2
2
4
P+Q
R
P*HQ+RL=HP+QL*R
-2.5
-5
-7.5
Q+R
Abbildung 6.4: Die Addition von Punkten auf EC ist assoziativ
Definition 6.10. Es sei K ein Körper mit Einselement 1.1 Die kleinste positive ganze
Zahl k, für die gilt
k · 1 = 1| + 1 +{z. . . + 1} = 0,
k mal
nennen wir Charakteristik von K (char(K)). Falls es keine solche Zahl gibt, dann definieren wir char(K) = 0.
Satz 6.11. Es sei K ein Körper mit char(K) 6= 2, 3. Weiters sei E : y 2 = x3 + ax + b
eine EC und P = (x1 , y1 ) und Q = (x2 , y2 ) zwei Punkte auf E. Dann lassen sich die
Koordinaten (x3 , y3 ) von R = P + Q nach folgenden Formeln berechnen.
• Falls P = −Q, dann ist R = O.
94
KAPITEL 6. KOBLITZ UND MILLER
• Falls P 6= Q, dann ist
y2 − y 1 2
− x1 − x2
x3 =
x2 − x 1
y2 − y 1
y3 = −y1 +
(x1 − x3 )
x2 − x 1
(6.1)
• Falls P = Q, dann ist
2
3x21 + a
− 2x1
2y1
2
3x1 + a
(x1 − x3 )
y3 = −y1 +
2y1
x3 =
6.2
(6.2)
Elliptische Kurven über GF(q)
Wir haben die Additionsformeln gleich für EC über (fast) beliebigen Körpern hergeleitet. Wir
sehen uns jetzt EC über endlichen Körpern an.
6.2.1
Quadratwurzeln in endlichen Körpern
Um einen Punkt auf einer EC über dem Körper GF(q) mit gegebener x-Koordinate zu berechnen, setzt man für x ein und berechnet dann y, indem man die Quadratwurzel zieht. Wir
überlegen uns zumindest für die Körper Zp , wie man Quadratwurzeln zieht.
Es sei p ∈ P. Um zu bestimmen, ob [a]p ein Quadrat in Zp ist, ob man also die Quadrat-
wurzel daraus ziehen kann (wir werden das noch brauchen), bedient man sich des sogenannten
Legendre-Symbols. Wir definieren:

0



a
= 1

p


−1
falls a ≡ 0 mod p
falls a ein Quadrat modulo p ist
sonst
Das hilft noch nicht weiter, aber es gilt
Satz 6.12. Für a, b ∈ Z und p, q ∈ P \ {2} gilt
• p1 = 1,
6.2. ELLIPTISCHE KURVEN ÜBER GF(Q)
•
•
•
•
a
p
=
ab
p
2
p
q
p
=
a mod p
p
95
,
a
b
p · p ,
= (−1)(p
2 −1)/8
,
= (−1)(p−1)(q−1)/4 ·
p
q
.
Damit lässt sich schnell entscheiden, ob man aus einer Zahl modulo p die Quadratwurzel
ziehen kann.
Der folgende nette Algorithmus zum Ziehen von Quadratwurzeln modulo p ist von Shanks.
Alles was man dazu braucht ist eine Zahl n, die nicht Quadrat modulo p ist.
Algorithmus 6.13 (Shanks). Es sei a ein Quadrat modulo p. Es ist die Quadratwurzel
aus a zu ziehen.
1. Stelle p − 1 als 2α · s dar, wobei s ungerade ist.
2. Berechne b = ns mod p.
3. Berechne r = a(s+1)/2 mod p.
4. Berechne (r 2 /a)2
α−2
mod p. Das Ergebnis ist ±1. Ist das Ergebnis 1, dann setze
j0 = 0, sonst setze j0 = 1.
5. Wiederhole die folgenden Schritte für k von 1 bis α − 2:
(a) Es sei e die Zahl mit der Binärdarstellung (jk−1 jk−2 . . . j1 j0 )2 .
(b) Berechne ((be r)2 /a)2
α−k−2
mod p. Das Ergebnis ist ±1. Ist das Ergebnis 1, dann
setze jk = 0, sonst setze jk = 1.
6. Es sei e die Zahl mit der Binärdarstellung (jk jk−1 . . . j1 j0 )2 . Dann ist be r eine Quadratwurzel von a modulo p.
6.2.2
Der Satz von Hasse
Wie viele Punkte liegen auf einer EC über einem endlichen Körper?
96
KAPITEL 6. KOBLITZ UND MILLER
In GF(q) gibt es q verschiedene x-Koordinaten. Setzt man eine x-Koordinate in die Glei-
chung der EC ein, und zieht die Quadratwurzel, so erhält man zwei y-Koordinaten, oder keine.
Es gilt
Lemma 6.14. Ist GF(q) ein Körper der Charakteristik 6= 2, dann sind genau
Elemente von GF(q) Quadrate und aus den restlichen
q−1
2
q+1
2
Elementen kann man keine
Quadratwurzel ziehen.
Also dürfen wir im Schnitt mit etwa q Punkten auf der EC rechnen. Tatsächlich gilt
Satz 6.15 (Hasse). Es sei N die Anzahl der Punkte auf einer EC über GF(q). Dann
ist
√
√
(q + 1) − 2 q ≤ N ≤ (q + 1) + 2 q.
(D.h. die Anzahl der Punkte auf der EC ist von der selben Größenordnung wie die
√
Größe des Körpers, denn q hat nur halb so viele Stellen wie q.)
Somit ist eine EC über GF(q) eine abelsche Gruppe, deren Ordnung in etwa q ist. Ausnahmsweise ist diese Gruppe einmal nicht zyklisch, so etwas wie Primitivwurzeln gibt es also
nicht. Es gibt keine Formel, mit der sich die Ordnung dieser Gruppe berechnen ließe. Es gibt
allerdings Algorithmen, so z.B. den Algorithmus von Schoof ([Sch85]) und zahlreiche Varianten davon. Um sichere Kryptographie mit EC zu treiben, sollte sichergestellt sein, dass die
Ordnung der Gruppe einen großen Primfaktor besitzt. Wenn man eine EC wählt wird man
also nicht um das (etwas mühsame) Berechnen der Ordnung herumkommen.
Beispiel 6.16. Es sei p = x2 + 2 ein irreduzibles Polynom über Z5 und α eine Nullstelle
von p. Dann ist Z5 (α) = Z5 [x]/p = GF(25) der endliche Körper mit 25 Elementen. Wir
rechnen mit der EC
E : y 2 = x3 + (α + 1)x + 4α + 3
über diesem Körper.
Liegt der Punkt P = (2α, 2) auf E?
Wir berechnen x3 + (α + 1)x + 4α + 3 für x = 2α und erhalten als Ergebnis 4. Dann
berechnen wir y 2 für y = 2 und erhalten ebenfalls 4. Also liegt P auf E.
6.3. KRYPTOSYSTEME MIT ELLIPTISCHEN KURVEN
97
Wie lauten die Koordinaten von 3 · P ?
Wir berechnen zunächst 2·P = P +P gemäß der Formel (6.2) und erhalten 2P = (2, 3α+1).
Nun berechnen wir 3P = 2P + P gemäß der Formel (6.1) und erhalten 3P = (4, 3α + 3).
6.3
Kryptosysteme mit elliptischen Kurven
Das DLP sieht für EC so aus:
Gegeben E . . . EC über GF(q), P, Q ∈ E
Gesucht k ∈ N, so dass k · P = Q, falls es so ein k gibt
Zur Berechnung von k·P lässt sich wieder das Square-And-Multiply-Verfahren verwenden.
Jetzt heißt square“ verdoppeln und multiply“ heißt addieren.
”
”
In den Übungen sehen wir uns als Beispiel den DH-Key-Exchange mit EC an.
Um das DLP in Z∗p schwierig zu machen, sollte p zumindest eine 1024-Bit Zahl sein. Um
die gleiche Schwierigkeit beim DLP über EC zu bekommen, sollte die Ordnung der EC etwa
eine 160-Bit Zahl sein, es sollte also eine EC über Zp sein, wobei p eine 160-Bit Zahl ist. Man
kann also mit wesentlich kleineren Körpern rechnen und verliert nichts an Sicherheit.
Noch ein paar Kleinigkeiten.
Wie kommt man zu einer EC und einem Punkt 6= O darauf ? Zunächst wählt
man einen endlichen Körper GF(q) der Charakteristik > 3. Dann wählt man zufällig x, y, a ∈
GF(q). Damit der Punkt (x, y) auf y 2 = x3 + ax + b liegt, wählt man b = y 2 − x3 − ax.
Ist 4a3 + 27b2 6= 0, so hat man eine EC mit einem Punkt (x, y) darauf. Andernfalls wählt
man neue x, y, a. Nun kann man die Ordnung der EC berechnen und gegebenenfalls ganz von
vorne beginnen.
Wie macht man aus einer Zahl m (der Nachricht) einen Punkt P m auf der EC
E?
1. Wähle t ∈ N so groß, dass 2−t als Wahrscheinlichkeit, dass es nicht gelingt einen passenden Punkt zu finden, klein genug ist. (Praktisch wählt man t zwischen 30 und 50.)
2. Sind die möglichen Nachrichten als Zahlen zwischen 0 und M kodiert, so wähle eine EC
über GF(q) = Zp (α), wobei q = pr > M · t ist.
3. Jedes Element a ∈ {0, 1, . . . , M · t} besitzt eine eindeutige Darstellung
a → a0 + a1 p + a2 p2 + . . . + ar−1 pr−1 , 0 ≤ ai < p.
98
KAPITEL 6. KOBLITZ UND MILLER
Wir stellen a als
a → a0 + a1 α + a2 α2 + . . . + ar−1 αr−1 ∈ Zp (α)
dar.
4. Um die Nachricht m (0 ≤ m < M ) zu einem Punkt auf der EC zu machen, stelle man
nacheinander für j = 1, 2, . . . , t die Zahl m · t + j gemäß (3) als Element des endlichen
Körpers dar. Dieses Element setze man für x in y 2 = x3 + ax + b ein und versuche die
Quadratwurzel zu ziehen. Das gelingt mit Wahrscheinlichkeit 1/2. Hat man Erfolg, so
hat man einen Punkt Pm gefunden. Andernfalls probiert man das nächste j. Somit hat
man t Versuche und die Wahrscheinlichkeit, t mal zu scheitern ist nur ( 21 )t = 2−t .
5. Hat man umgekehrt einen Punkt auf der EC, dann nimmt man seine x-Koordinate.
Diese ist von der Form
x = a0 + a1 α + . . . + ar−1 αr−1 .
Daraus macht man
a = a0 + a1 p + . . . + ar−1 pr−1
Nun ist die ursprüngliche Nachricht m = b a−1
t c.
6.4
Faktorisieren mit elliptischen Kurven
EC lassen sich auch verwenden, um große Zahlen zu faktorisieren. Wir sehen uns eine Methode
von Lenstra an. Diese Methode beruht darauf, dass man Vielfache von Punkten auf einer EC
über Zn berechnet. Da Zn kein Körper ist, geht das mit einer gewissen Wahrscheinlichkeit
schief. Diese Wahrscheinlichkeit ist bei passenden Vielfachen sehr groß.
Algorithmus 6.17 (Lenstra). Die Zahl n ist zu faktorisieren.
1. Wähle (zufällig) eine EC E : y 2 = x3 + ax + b über Zn und einen Punkt P = (x, y)
auf E.
2. Wähle zwei natürliche Zahlen B und C.
3. Setze
k=
Y
l αl ,
l≤B, l∈
wobei αl die größte ganze Zahl ist, für die lαl ≤ C ist.
6.4. FAKTORISIEREN MIT ELLIPTISCHEN KURVEN
99
4. Berechne k · P . Dabei muss modulo n invertiert werden (Nenner). Das funktioniert
nicht, wenn der Nenner nicht relativ prim zu n ist. In diesem Fall berechnet der
erweiterte Euklidsche Algorithmus einen Teiler von n.
5. Ist alles gut gegangen, wähle neue E und P .
Beispiel 6.18. Will man eine 10-stellige Zahl n faktorisieren, wählt man etwa B = 20
und C = 100700. Dann ergibt sich k = 216 · 3 · 57 · 75 · 114 · 134 · 174 · 193 .
Diese Faktorisierungsmethode ist in etwa so schnell wie das quadratische Sieb. Sie ist aber
schneller, wenn n einen sehr kleinen Primfaktor besitzt. Außerdem haben wir gesehen, dass
das quadratische Sieb einen sehr großen Speicherbedarf hat, es müssen ja riesige Gleichungssysteme gelöst werden. Dieses Problem hat diese Methode nicht. Schließlich kann man hier mehr
Parameter wählen (B, C und E), natürlich kann man dann mit verschiedenen Parametern
parallel an der Faktorisierung arbeiten.
Die Faktorisierungsmethode mit EC hat gezeigt, dass das Faktorisierungsproblem noch
lange nicht vollständig untersucht ist. Die relativ einfache Methode führt zu einem sehr
schnellen Faktorisierungsalgorithmus (lediglich der Beweis, dass diese Methode wirklich eine schnelle Faktorisierungsmethode ist, ist sehr schwierig). So haben EC auch auf diesem
Weg dazu geführt, dass mehr über Alternativen zu RSA nachgedacht wird.
100
KAPITEL 6. KOBLITZ UND MILLER
Literaturverzeichnis
[Bau95]
F. Bauer. Entzifferte Geheimnisse. Springer, 1995.
[BBS86]
L. Blum, M. Blum, and M. Shub. A simple unpredictable pseudo-random number
generator. SIAM J. Comput., 15(2), 1986.
[Buc99]
Johannes Buchmann. Einführung in die Kryptographie. Springer Verlag, 1999.
[Bun92]
Peter Bundschuh. Einführung in die Zahlentheorie. Springer-Verlag, Berlin, second edition, 1992.
[Coh93]
Henri Cohen. A course in computational algebraic number theory. Springer-Verlag,
Berlin, 1993.
[DH76]
Whitfield Diffie and Martin E. Hellman. New directions in cryptography. IEEE
Transactions on Information Theory, IT-22(6):644–654, 1976.
[Gor85]
John Gordon. Strong primes are easy to find. In Advances in cryptology (Paris,
1984), pages 216–223. Springer, Berlin, 1985.
[Kah67]
David Kahn. The Codebreakers. Macmillan Publishing Company, 1967.
[Kob94]
Neal Koblitz. A Course in Number Theory and Cryptography. Springer, 2nd
edition, 1994.
[LN84]
Rudolf Lidl and Harald Niederreiter. Finite Fields, volume 20 of Encyclopedia of
Mathematics and Its Applications. Addison–Wesley Pub Co, 1984.
[MvOV97] A.J.
book
Menezes,
of
P.C.
Applied
van
Ooorschot,
Cryptography.
and
1997.
S.A.
Vanstone.
Online
Hand-
erhältlich
auf
http://www.cacr.math.uwaterloo.ca/hac/.
[RSA77]
R. L. Rivest, A. Shamir, and L. M. Adleman. A method for obtaining digital
signatures and public-key cryptosystems. Technical Report MIT/LCS/TM-82,
1977.
101
102
[Sch85]
LITERATURVERZEICHNIS
R. Schoof. Elliptic curves over finite fields and the computation of square roots
mod p. Math. Comp., 44:483–494, 1985.
[Sch96]
Bruce Schneier. Angewandte Kryptographie. Addison-Wesley, 1996.
[Sin00]
Simon Singh. Geheime Botschaften. Die Kunst der Verschlüsselung von der Antike
bis in die Zeiten des Internet. dtv, 2000.
[Wer02]
Annette Werner. Elliptische Kurven in der Kryptographie. Springer, 2002.