ebook img

Elementare Zahlentheorie & RSA [Lecture notes] PDF

19 Pages·2007·0.214 MB·German
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Elementare Zahlentheorie & RSA [Lecture notes]

Universit¨at Paderborn Fakult¨at fu¨r Elektrotechnik, Informatik und Mathematik Institut fu¨r Mathematik Elementare Zahlentheorie & RSA Eine kurze Wiederholung im Rahmen der Vorlesung “Mathematik fu¨r Informatiker I” (Wintersemester 2006/2007) Kai Gehrs [email protected] Paderborn, 14. Februar 2007 Inhaltsverzeichnis Vorbemerkung 2 1 Grundlagen 2 1.1 “Repeated Squaring” (Effizientes Potenzieren) . . . . . . . . . . 2 1.2 Der Euklidische Algorithmus . . . . . . . . . . . . . . . . . . . . 3 1.3 Restklassenringe und modulares Rechnen . . . . . . . . . . . . . 6 2 Die Eulersche ϕ-Funktion 9 2.1 Einige gruppentheoretische Resultate . . . . . . . . . . . . . . . 9 2.1.1 Der Satz von Lagrange. . . . . . . . . . . . . . . . . . . . 10 2.1.2 Der Satz von Euler. . . . . . . . . . . . . . . . . . . . . . 10 2.1.3 Der kleine Satz von Fermat. . . . . . . . . . . . . . . . . 10 3 Das RSA-Verfahren 11 4 Ausgew¨ahlte U¨bungsaufgaben mit L¨osungen 13 4.1 Aufgabe 16: (Primfaktoren) . . . . . . . . . . . . . . . . . . . . 14 4.2 Aufgabe 17: (Restklassen modulo Primpotenzen) . . . . . . . . 14 4.3 Aufgabe 19: (Einheiten, Nullteiler und Partitionen) . . . . . . . 15 4.4 Aufgabe 20: (Satz von Wilson) . . . . . . . . . . . . . . . . . . 15 4.5 Aufgabe 23: (Modulares Rechnen) . . . . . . . . . . . . . . . . 16 Literaturverzeichnis 17 2 1 GRUNDLAGEN Vorbemerkung Bei den vorliegenden Notizen handelt es sich um einen Auszug aus einem Skript u¨ber elementare Kryptographie. Diese Notizen wurden also nicht explizit fu¨r die Vorlesung “Mathematik fu¨r Informatiker I” geschrieben, sondern entstammen einem teilweise allgemeineren Kontext. Die hier angefu¨hrten Argumentationen und Beweise zur Begru¨ndung der Korrektheit bestimmter Beispiele und/oder Resultate sind zum Teil von Prof. Dr. Henning Krause im Rahmen der Vorlesung in der vorliegenden Form oder Notation nicht behandelt worden. Ferner erheben diese Notizen keinen Anspruch darauf, Algorithmen wie etwas den Erweiterten Euklidischen Algorithmus oder das Wiederholte Quadriere (“Repeated Squaring”) exakt in der Form darzustellen, wie die Resultate auf den Folien der Vorlesung von Prof. Dr. Henning Krause zu finden sind. Daher ist das Studium des Inhalts dieses Kurzskripts auch nicht relevant fu¨r die anstehenden Pru¨fungsklausuren im eigentlichen Sinne. Es ist lediglich so, dass die vorliegenden Notizen als Erg¨anzung zu der Zu- satzu¨bung Elementare Zahlentheorie vom 13.02.2007 gedacht sind. Wer also gerne noch einmal bestimmte Resultate in Form eines Fließtextes wiederholen m¨ochte, kann dieses Kurzskript (auch unter Auslassen der hier angegebenen Be- weise) noch einmal zu Wiederholungszwecken nutzen. Fassen Sie diese Notizen also einfach als optionales Bonusmaterial auf. 1 Grundlagen 1.1 “Repeated Squaring” (Effizientes Potenzieren) In einer Reihe kryptographischer Verfahren ist es von essentieller Wichtigkeit, dass man effizient auch große Potenzen von Gruppenelementen berechnen kann. Das in diesem Abschnitt kurz vorgestellte Verfahren kann universell in einer beliebigenGruppeGverwendetwerden,umxk fu¨reinElementx ∈ Gundk ∈ N zu berechnen. Aus diesem Grund geben wir den Algorithmus zur Berechnung solcher Potenzen auch zun¨achst in sehr allgemeiner Form an. Algorithmus 1.1. (“Repeated Squaring”) Sei G eine Gruppe, x ∈ G und k ∈ N. Ferner sei k = Pn−1k ·2i die Bin¨ardarstellung der Zahl k mit k = 1. i=0 i n−1 (1) Setze y := x. 1.2 Der Euklidische Algorithmus 3 (2) Fu¨r i = n−2,...,0 berechne: y := y2 Ist k = 1, so berechne zus¨atzlich y := y ·x. i (3) Gebe y = xk aus. Anstatt eines Korrektheitsbeweises, bei dem man die Gu¨ltigkeit einer entspre- chend geschickt gew¨ahlten Invariante nachweist, betrachten wir ein kleines Bei- spiel: Beispiel 1.2. Sei G eine Gruppe und x ∈ G. Wir wollen x20 mit Hilfe von Algorithmus 1.1 berechnen. Es ist k k k k k = 10100 die Bin¨ardarstellung der 4 3 2 1 0 Zahl 20. Zuerst setzen wir y := x. Wegen k = 0 setzen wir y := y2 = x2 und 3 verzichtenaufeinezus¨atzlicheMultiplikationmitx.Imn¨achstenSchrittistk = 2 1 zu betrachten. Wir berechnen also zuerst y := y2 = x4 und dann zus¨atzlich y := y · x = x5. Wegen k = k = 0 sind die n¨achsten beiden auszufu¨hrenden 1 0 Schritte y := y2 = x10 und zuletzt ist der Wert von y ein weiteres Mal zu quadrieren: y := y2 = x20. 1.2 Der Euklidische Algorithmus Zur Erinnerung stellen wir diesem Abschnitt die folgenden beiden elementaren Definitionen voran: Definition 1.3. Sei R ein Ring. Dann heißt a ein Teiler von b, a | b, falls es ein r ∈ R gibt mit b = r·a. Definition 1.4. Sei R ein euklidischer Ring (d.h. ein Ring, in dem man zwei Elemente per Division mit Rest durcheinander dividieren kann). (i) Dann heißt d ∈ R ein gr¨oßter gemeinsamer Teiler von a,b ∈ R, d = ggT(a,b), falls d | a und d | b und fu¨r alle s ∈ R mit s | a und s | b stets s | d folgt. (ii) Ein Element k ∈ R heißt kleinstes gemeinsames Vielfaches von a und b, k = kgV(a,b), falls a | k und b | k und fu¨r alle l ∈ R mit a | l und b | l stets k | l folgt. Fu¨r R = Z sprechen wir h¨aufig von “dem” gr¨oßten gemeinsamen Teiler und meinen damit den eindeutig bestimmten positiven gr¨oßten gemeinsamen Teiler zweier ganzer Zahlen. Gleiches gilt fu¨r das kleinste gemeinsame Vielfache zweier ganzer Zahlen. Im folgenden Lemma fassen wir ohne Beweis einige der wesentli- chen Eigenschaften des gr¨oßten gemeinsamen Teilers ganzer Zahlen zusammen: 4 1 GRUNDLAGEN Lemma 1.5. Seien a,b,c ∈ Z. Dann gilt: (i) ggT(a,b) = |a| genau dann, wenn a | b. (ii) ggT(a,a) = ggT(a,0) = |a| und ggT(a,1) = 1. (iii) Kommutativit¨at: ggT(a,b) = ggT(b,a). (iv) Assoziativit¨at: ggT(a,ggT(b,c)) = ggT(ggT(a,b),c). (v) Distributivit¨at: ggT(c·a,c·b) = |c|·ggT(a,b). (vi) Gilt |a| = |b|, so folgt stets ggT(a,c) = ggT(b,c). (vii) Ist g = ggT(a,b), g > 0, so existieren s,t ∈ Z mit g = s·a+t·b. Die Darstellung Lemma 1.5 (vii) liefert der Erweiterte Euklidische Algorithmus, der in einem beliebigen euklidischen Ring durchgefu¨hrt werden kann. Wir geben ihn der Einfachheit halber nur fu¨r ganze Zahlen an. Die hier vorgestellte Version kann aber leicht in eine Version fu¨r Polynome “umgeschrieben” werden, wenn man die entsprechenden Ungleichungen als Ungleichungen u¨ber den Grad der betrachteten Polynome interpretiert. Vorab aber noch ein kleines Lemma, das uns beim Beweis der Korrektheit des Algorithmus sehr nu¨tzlich sein wird: Lemma 1.6. Seien a,b ∈ Z. Dann gilt: ggT(a,b) = ggT(amodb,b). Beweis. Division mit Rest liefert a = q · b + (amodb). Es gilt: ggT(a,b) teilt sowohl a als auch b, also auch amodb = a − q · b und damit ggT(amodb,b). UmgekehrtteiltggT(amodb,b)sowohlamodbalsauchbunddamitaucha = q· b+(amodb). Wir erhalten also ggT(a,b) | ggT(amodb,b) und ggT(amodb,b) | ggT(a,b). Daraus folgt die Behauptung. Algorithmus 1.7. (Erweiterter Euklidischer Algorithmus (EEA)) Seien a,b ∈ Z mit |a| ≥ |b|. (1) Setze r := a, r := b, s := 1, s := 0, t := 0, t := 1 und i := 1. 0 1 0 1 0 1 (2) Wiederhole den folgenden Schritt, bis r = 0 gilt fu¨r ein l ∈ N : l+1 0 Berechne q := r quotr als ganzzahligen Quotienten von r und i i−1 i i−1 r . i r := r −q ·r (d.h. r = r modr ) i+1 i−1 i i i+1 i−1 i 1.2 Der Euklidische Algorithmus 5 s := s −q ·s i+1 i−1 i i t := t −q ·t i+1 i−1 i i i := i+1 (3) Gebe r , s und t aus. l l l Dannistr eingr¨oßtergemeinsamerTeilervonaundbundesgiltr = s ·a+t ·b. l l l l Beweis. (Korrektheit) Der Erweiterte Euklidische Algorithmus 1.7 terminiert, denn es gilt fu¨r r mit i ≥ 2 die Ungleichung 0 ≤ r = r modr < r ≤ a. i i i−2 i−1 i−1 Damit bilden die Reste r eine streng monoton fallende Folge ganzer Zahlen, die i nach unten durch 0 beschr¨ankt ist, d.h. der Algorithmus muss terminieren. Wir zeigen nun, dass fu¨r alle i gilt: s ·a+t ·b = r . i i i Fu¨ri = 0undi = 1istdieBehauptungklarperDefinitionvonr ,r ,s ,s ,t ,t . 0 1 0 1 0 1 Sei nun i ≥ 2. Dann folgt per Induktion: s ·a+t ·b = (s −q ·s )·a+(t −q ·t )·b i i i−2 i−1 i−1 i−2 i−1 i−1 = (s ·a+t ·b)−(q ·s ·a+q ·t ·b) i−2 i−2 i−1 i−1 i−1 i−1 = r −q ·(s ·a+t ·b) i−2 i−1 i−1 i−1 = r −q ·r i−2 i−1 i−1 = r i Damit folgt fu¨r i = l mit s ·a+t ·b = r die behauptete Darstellung. Es bleibt l l l zu zeigen, dass r in der Tat ein gr¨oßter gemeinsamer Teiler von a und b ist. Mit l Lemma 1.6 und a = (aquotb) · b + (amodb) = q · b + r folgt ggT(a,b) = 1 2 ggT(amodb,b) = ggT(r ,b) = ggT(r ,r ). Wegen r = r modr folgt 2 2 1 i+1 i−1 i ggT(r ,r ) = ggT(r modr ,r ) = ggT(r ,r ). Wegen r = 0 und i−1 i i−1 i i i+1 i l+1 r = ggT(r ,r ) folgt per Rekursion r = ggT(r ,r ) = ggT(a,b). l l+1 l l 2 1 Wir betrachten ein Beispiel: Beispiel 1.8. Seien a = 126 und b = 35. zun¨achst definieren wir r := 126, 0 r := 35, s := 1, s := 0, t := 0 und t := 1. Dann folgen wir der Vorschrift 1 0 1 0 1 aus 1.7: i = 1 q = r quotr = 126quot35 = 3 1 0 1 r = r −q ·r = 126−3·35 = 21 2 0 1 1 s = s −q ·s = 1−3·0 = 1 2 0 1 1 t = t −q ·t = 0−3·1 = −3 2 0 1 1 6 1 GRUNDLAGEN i = 2 q = r quotr = 35quot21 = 1 2 1 2 r = r −q ·r = 35−1·21 = 14 3 1 2 2 s = s −q ·s = 0−1·1 = −1 3 1 2 2 t = t −q ·t = 1−1·(−3) = 4 3 1 2 2 i = 3 q = r quotr = 21quot16 = 1 3 2 3 r = r −q ·r = 21−1·14 = 7 4 2 3 3 s = s −q ·s = 1−1·(−1) = 2 4 2 3 3 t = t −q ·t = −3−1·4 = −7 4 2 3 3 i = 4 q = r quotr = 14quot7 = 2 4 3 4 r = r −q ·r = 14−2·7 = 0 5 3 4 4 Damit folgt: ggT(126,35) = r = 7 und 7 = 2·126+(−7)·35. 4 1.3 Restklassenringe und modulares Rechnen Restklassenringe ganzer Zahlen sind fu¨r uns die algebraische Struktur, in der wir sp¨ater in kryptographischen Verfahren rechnen wollen. Grundlegend ist die folgende Definition. Bemerkung und Definition 1.9. Sei N ∈ N, N ≥ 2. Auf dem Ring der ganzen Zahlen Z definieren wir die Relation ∼ verm¨oge N a ∼ b :⇐⇒ N | a−b. N Die Relation ∼ ist eine A¨quivalenzrelation, so dass wir die A¨quivalenzklassen N nach ∼ betrachten k¨onnen. Die Klasse von a ∈ Z modulo N definieren wir als N amodN := [a] := {b ∈ Z | b ∼ a}. N N 1.3 Restklassenringe und modulares Rechnen 7 Als Repr¨asentanten fu¨r amodN w¨ahlen wir immer die kleinste nicht-negative ganze Zahl z mit 0 ≤ z ≤ N − 1 aus der Menge {b ∈ Z : N | (b − a)}. Die Menge der A¨quivalenzklassen nach der A¨quivalenzrelation ∼ bezeichnen wir N mit Z . Wir definieren fu¨r a modN,a modN ∈ Z eine Addition und eine N 1 2 N Multiplikation wie folgt: a modN +a modN = (a +a )modN, 1 2 1 2 a modN ·a modN = (a ·a )modN. 1 2 1 2 Mit der so definierten Addition und Multiplikation wird Z zu einem kommuta- N tiven Ring mit Nullelement 0modN und Einselement 1modN, der als Restklas- senring von Z modulo N bezeichnet wird. Z hat N Elemente. Ein bezu¨glich N der Multiplikation invertierbares Element amodN bezeichnen wir als Einheit modulo N. Die Menge aller Einheiten von Z wird mit Z× bezeichnet. N N Beispiel 1.10. Sei N = 6. Dann besteht Z = Z aus den Restklassen 0mod6, N 6 1mod6, 2mod6, 3mod6, 4mod6 und 5mod6. Es gilt: 2mod6+3mod6 = (2+3)mod6 = 5mod6, 4mod6+5mod6 = (4+5)mod6 = 9mod6 = 3mod6, 2mod6·2mod6 = (2·2)mod6 = 4mod6, 2mod6·3mod6 = (2·3)mod6 = 6mod6 = 0mod6, 5mod6·5mod6 = (5·5)mod6 = 25mod6 = 1mod6. Wir wollen uns nun ein wenig genauer mit dem Ring Z = {kmodN | k ∈ N {0,...,N−1}}fu¨reinN ∈ Nbesch¨aftigen.UnteranderemimRahmendesRSA Verfahrens 3.1 sind wir an den Einheiten Z× modulo einer Zahl N interessiert. N Es gilt: Lemma 1.11. Fu¨r N ∈ N gilt Z× = {kmodN | ggT(k,N) = 1}. Mit anderen N Worten erhalten wir: k ist invertierbar modulo N genau dann, wenn ggT(k,N) = 1. Beweis. Es sei r ∈ Z×. Dann gibt es ein l ∈ Z× mit r·l ≡ 1modN, d.h. r·l = N N m·N +1 fu¨r ein m ∈ N. Folglich ist r·l−m·N = 1 und ggT(r,N) | 1. Es folgt ggT(r,N) = 1. Umgekehrt liefert fu¨r rmodN ∈ {kmodN | ggT(k,N) = 1} der Erweiterte Euklidische Algorithmus 1.7 die Darstellung 1 = s·r+t·N mit s,t ∈ Z. Reduktion modulo N liefert smodN als Inverses von rmodN. 8 1 GRUNDLAGEN Bevor wir den Algorithmus explizit angeben, betrachten wir noch ein kleines Beispiel: Beispiel 1.12. Gesucht sei das modulare Inverse von 23mod110. Der Erwei- terte Euklidische Algorithmus 1.7 liefert uns die Darstellung 1 = −43·23+9·110. Reduktion modulo 110 liefert also 1mod110 ≡ (−43mod110)·(23mod110)+(9mod110)·(110mod110) | {z } =0mod110 ≡ (−43mod110)·(23mod110) ≡ (67mod110)·(23mod110), also gilt (23mod110)−1 ≡ (67mod110). Der Beweis des obigen Lemmas ist konstruktiv und liefert uns unmittelbar den folgenden Algorithmus zur Berechnung modularer Inverser. In Wirklichkeit ist der folgende Algorithmus ein wenig allgemeiner formuliert. Als Eingabe werden k,N ∈ N erwartet. Ausgabe ist dann entweder das modulare Inverse von k modulo N, falls k invertierbar modulo N ist, oder “k ist nicht invertierbar modulo N”. Algorithmus 1.13. (Berechnung des modularen Inversen) Sei N ∈ N und k ∈ Z . N (1) Berechne mit Hilfe des Erweiterten Euklidischen Algorithmus 1.7 die Dar- stellung g = ggT(k,N) = s·k +t·N. (2) Ist g = 1, so gebe smodN aus. Andernfalls gebe “k ist nicht invertierbar modulo N” aus. Die Korrektheit des Algorithmus folgt aus Lemma 1.11. Als weitere Folgerung aus den bisherigen Ergebnissen erhalten wir: Korollar 1.14. Der Ring Z ist ein K¨orper genau dann, wenn N eine Primzahl N ist. 9 2 Die Eulersche ϕ-Funktion und einige ihrer Eigenschaften Wir wollen in diesem Abschnitt die Eulersche ϕ-Funktion einfu¨hren und einige der Eigenschaften dieser Funktion beweisen, die fu¨r uns im kryptographischen Anwednungskontext von Nutzen sein werden. Definition 2.1. Sei N ∈ N. Dann ist die Eulersche ϕ-Funktion definiert durch ϕ(N) := #{1 ≤ x ≤ N | ggT(x,N) = 1}. Lemma 2.2. Fu¨r jede Primzahl p ∈ N gilt: ϕ(p) = p−1. Beweis. Es gilt {1 ≤ x ≤ p | ggT(x,p) = 1} = {1,...,p − 1}. Dies zeigt die Behauptung. Lemma 2.3. Sei p ∈ N eine Primzahl und e ∈ N. Dann gilt: ϕ(pe) = (p−1)· pe−1. Beweis. In der Menge {1,...,pe} sind genau pe−1 Zahlen Vielfache von p. Folg- lich gilt ϕ(pe) = pe −pe−1 = (p−1)·pe−1. Satz 2.4. Sei N = pe1 ·...·per die Zerlegung von N in paarweise teilerfremde 1 r Primpotenzen. Dann gilt: ϕ(N) = (p −1)·pe1−1 ·...·(p −1)·per−1 1 1 r r Beweis. Nach Lemma 2.3 gilt: ϕ(pei) = (p −1)·pei−1 fu¨r 1 ≤ i ≤ r. Da die zu i i i N teilerfremden Elemente aus {1,...,N} gerade den invertierbaren Elementen modulo N entsprechen, liefert uns der Chinesische Restsatz wegen Z× ∼= Z× × N pe1 ...×Z× die Behauptung, denn ϕ(N) = #Z× = Qr #Z× = Qr ϕ(pei).1 perr N i=1 peii i=1 i 2.1 Einige gruppentheoretische Resultate Wir wollen in diesem Abschnitt die fu¨r uns wichtigsten gruppentheoretischen Resultate zusammenfassen. Die meisten Beweise lassen wir einfach weg und verweisen auf die im Anhang zitierte Literatur. Zur Erinnerung: Definition 2.5. Die Anzahl der Elemente einer Gruppe G bezeichnen wir stets mit #G und nennen #G die Ordnung von G. G heißt eine endliche Gruppe, wenn #G < ∞.

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.