Ein einfacher Primzahltest

Größe: px
Ab Seite anzeigen:

Download "Ein einfacher Primzahltest"

Transkript

1 Faktorisierung großer Zahlen Die Sicherheit moderner Datenverschlüsselung beruht darauf, daß es ungeheuer schwierig ist, eine mehr als 100stellige Zahl in ihre Primfaktoren zu zerlegen. Die Technik der Faktorisierung hat jedoch enorme Fortschritte gemacht; möglicherweise sind heute gängige kryptographische Systeme schon bald nicht mehr sicher. Von Prof. Johannes Buchmann Die 129stellige Zahl ist Produkt zweier Primzahlen. Wie lauten diese Faktoren? Diese Frage stellte Martin Gardner den Lesern des Scientific American im August 1977 in seiner Kolumne "Mathematical Recreations". (Sie blieb den Lesern von "Spektrum der Wissenschaft", das die Kolumne unter dem Namen "Mathematische Spielereien" eindeutschte, vorenthalten, denn diese Zeitschrift wurde erst ein Jahr später gegründet.) Im Gegensatz zu den Rätseln, die Gardner sonst aufzugeben pflegte, mußte dieses ungewöhnlich lange auf eine Lösung warten: Erst mehr als 16 Jahre später, im April 1994, präsentierten Paul Leyland von der Universität Oxford, Michael Graff von der Universität von Iowa in Iowa City und Derek Atkins vom Massachusetts Institute of Technology in Cambridge die Faktoren. Sie hatten im Herbst zuvor über das Internet Teile der Aufgabe an etwa 600 Freiwillige vergeben, die dafür ihre Workstations viele Nächte durch laufen ließen. Das Programm stammte von Arjen K. Lenstra vom Zentrum Bell Communications Research in Morristown (New Jersey). Faktorisieren - das Zerlegen von Zahlen in Primfaktoren - ist jedoch alles andere als eine belanglose Spielerei. Zwei Zahlen miteinander zu multiplizieren, auch wenn jede 65 Stellen hat, fällt nicht schwer: Mit Papier und Bleistift schafft man es mit Geduld und Disziplin vielleicht in einer Stunde, mit einem Computer ist es eine Kleinigkeit. Die Umkehrung dieser Aktion, also aus dem Produkt die Faktoren wieder herauszufinden, ist dagegen extrem aufwendig, selbst mit den schnellsten verfügbaren Rechnern. Mathematische Operationen mit einer derartigen Asymmetrie - eine Richtung sehr leicht, die andere sehr schwer - wirken wie Falltüren: Es ist viel leichter, in das Loch hineinzufallen als wieder herauszukommen. Sie bilden die Grundlage moderner kryptographischer Systeme, die mit sogenannten Falltürfunktionen arbeiten. Verschlüsseln muß nämlich schnell gehen, aber Entschlüsseln soll praktisch unmöglich sein. Ronald Rivest vom Massachusetts Institute of Technology in Cambridge, Adi Shamir vom Weizmann-Institut in Rehovot (Israel) und Leonard Adleman von der Universität von Südkalifornien in Los Angeles hatten 1978 auf der Grundlage der Faktorisierung das nach ihren Initialen benannte RSA-Verfahren entwickelt (siehe "Die Mathematik neuer Verschlüsselungssysteme" von Martin E. Hellmann, Spektrum der Wissenschaft, Oktober 1979, Seite 92). Auch Martin Gardner hatte mit den Faktoren der genannten 129stelligen Zahl eine (Nonsense-)Nachricht verschlüsselt: "The magic words are squeamish ossifrage." Wer mit RSA verschlüsselte Nachrichten empfangen will, wählt zwei Primzahlen p und q, also zwei natürliche Zahlen, die nur durch 1 und sich selbst teilbar sind, berechnet deren Produkt n=p q und veröffentlicht es, hält aber die Faktoren geheim. Zum Verschlüsseln muß man lediglich das Produkt n kennen. Entschlüsseln kann dagegen nur, wer die Primfaktoren p und q weiß. Aber wenn diese mehr als 150 Dezimalstellen haben, würde es selbst mit den besten bekannten Methoden auf einer modernen Workstation mehr als 2000 Jahre dauern, n zu faktorisieren. Faktorisierungsprobleme kann man also leicht erzeugen, aber für hinreichend große Primfaktoren heutzutage nicht in vertretbarer Zeit lösen.

2 Wird das immer so bleiben, oder wird es einmal wirklich schnelle Faktorisierungsverfahren geben? Um das herauszufinden, veranstaltet die Firma, die RSA vertreibt, einen weltweiten Wettbewerb. Sie veröffentlicht Produkte großer Primzahlen und lobt ein Preisgeld für deren Faktorisierung aus. Die kleinste zur Zeit noch nicht zerlegte RSA-Zahl ist Sie hat 140 Dezimalstellen, und für ihre Faktorisierung bekommt man vier Siebtel vom Inhalt eines Geldtopfes, der zur Zeit Dollar enthält und in den RSA alle drei Monate 1750 Dollar einzahlt. (Die restlichen drei Siebtel bleiben für den Faktorisierer der nächsthöheren RSA-Zahl im Topf.) Die Idee, möglichst viele Interessierte mit ihrer Denk- und Rechenkapazität auf das Problem anzusetzen, ist durchaus sinnvoll: Es ist nämlich nicht beweisbar, ob Faktorisieren prinzipiell so schwer ist oder ob die Mathematiker vielleicht auf das geschickteste Verfahren nur noch nicht gekommen sind. Das gilt allgemeiner. Man kennt kein Berechnungsproblem, das drei Bedingungen zugleich erfüllt: Es ist rasch zu erzeugen, seine Lösung ist leicht zu verifizieren, und es existiert nachweislich kein schnelles Verfahren zu seiner Lösung. So gibt es für die Sicherheit von Verschlüsselungsverfahren nur die Erfahrung, daß bisher niemand eine schnelle Methode zur Faktorisierung gefunden hat. Die Anbieter von RSA und ähnlichen Verfahren tun also gut daran, nach solchen Algorithmen zu suchen (und ihre Verfahren dagegen zu schützen), bevor ihnen Gegenspieler aus den Geheimdiensten oder der Unterwelt zuvorkommen. Das Faktorisierungsproblem hat eine ehrwürdige Tradition. Schon in der Antike haben Mathematiker bewiesen, daß jede natürliche Zahl ein Produkt von Primzahlen ist und daß die Primzahlen, die in diesem Produkt vorkommen, bis auf die Reihenfolge eindeutig bestimmt sind. So ist zum Beispiel 12= Für die weitere Untersuchung der Eigenschaften natürlicher Zahlen war es wichtig, Methoden für diese Primfaktorzerlegung zu finden. Seit der Entwicklung der Computer hat dieses Gebiet enorme Fortschritte gemacht. Darüber werde ich hier berichten. Ich versuche zu erklären, wie moderne Faktorisierungsalgorithmen funktionieren und wie sie sich in der Praxis verhalten. Stellenweise gehe ich so ins Detail, daß Sie einfache Versionen auf ihrem PC ausprobieren können; im WWW steht dafür eine Programmbibliothek namens LiDIA zur Verfügung. Schließlich werde ich Bilanz ziehen und eine subjektive Antwort auf die Frage geben, ob Faktorisieren ein schweres Problem bleibt. Fermat-Zahlen Der französische Jurist Pierre de Fermat (1601 bis 1665), der vor allem durch seine erst kürzlich bewiesene Vermutung berühmt geworden ist, glaubte ein Rezept zur Erzeugung beliebig großer Primzahlen gefunden zu haben: Zu einer natürlichen Zahl i berechne man F i =2 (2i ) +1; die Zahlen F i heißen heute Fermat-Zahlen. Die ersten unter ihnen sind F 0 =2 (20 ) +1=3, F1 =2 (21 ) +1=5, F 2 =2 (22 ) +1=17, F3 =257, F 4 = Man erkennt sofort, daß die ersten drei Fermat-Zahlen 3, 5 und 17 Primzahlen sind. Das gilt auch für F 3 und F 4. Doch nicht alle F i sind Primzahlen. Der schweizerische Mathematiker Leonhard Euler (1707 bis 1783) fand 1732 bereits heraus, daß F 5 = = , also zusammengesetzt ist. Erst 150 Jahre später stellten Landry und Le Lasseur fest, daß F 6 = Produkt der Primzahlen und ist. Michael A. Morrison und John D. Brillhart (der heute an der Universität von Arizona in Tucson arbeitet) bestimmten 1970 die beiden Primfaktoren von F 7,

3 Richard Brent und John M. Pollard von der Universität Reading (England) zerlegten 1980 die Zahl F 8 und Arjen K. Lenstra, Hendrik W. Lenstra von der Universität von Kalifornien in Berkeley sowie Mark S. Manasse vom Forschungszentrum des Computerherstellers DEC und Pollard 1990 die Zahl F 9 (Spektrum der Wissenschaft, November 1990, Seite 38). Einerseits sieht man an diesen Daten, wie schwierig das Faktorisierungsproblem ist; immerhin hat es bis 1970 gedauert, bis die 39stellige Fermat-Zahl F 7 zerlegt war. Andererseits ist die enorme Weiterentwicklung in jüngster Zeit daran zu erkennen, daß nur 20 Jahre später die 155stellige F 9 faktorisiert wurde. Lange bevor die Faktoren bekannt waren, wußte man allerdings schon, daß F 7, F 8 und F 9 keine Primzahlen sind. Man kann nämlich mit einem speziellen Test festellen, ob eine Zahl zusammengesetzt ist, ohne ihre Faktoren berechnen zu müssen (siehe "Primzahlen im Schnelltest" von Carl Pomerance, Spektrum der Wissenschaft, Februar 1983, Seite 80). Erst wenn man sich so vergewissert hat, daß sich die Mühe lohnt, wird man die aufwendige Faktorisierung in Angriff nehmen. Ein einfacher Primzahltest Wie findet man möglichst schnell heraus, ob beispielsweise n=58483 eine Primzahl ist? Eine Möglichkeit ist der sogenannte Fermat-Test. In seiner einfachsten Version überprüft er, ob n ein Teiler von 2 n-1-1 ist. Fermat hat nämlich bewiesen, daß dies für ungerade Primzahlen n (also alle außer 2) immer zutrifft. Zum Beispiel ist 3 ein Teiler von =3. Ist n also kein Teiler von 2 n-1-1, kann n keine Primzahl sein. Über ihre Primfaktoren weiß man dadurch aber noch nichts. Beispielsweise erhält man für das triviale Beispiel n=6 die Zahl 2 5-1=31. Da 6 kein Teiler von 31 ist, ist 6 keine Primzahl. Das hätte man zur Not auch ohne Fermat-Test gewußt. Nehmen wir ein etwas schwierigeres Beispiel. Wenn ich den Test etwa auf anwenden will, muß ich berechnen und prüfen, ob das Ergebnis durch teilbar ist. Das würde auf die naive Weise extrem lange dauern; die Zahl hat nämlich Dezimalstellen. Statt dessen rechnet man mit Kongruenzen [= K ] (Kasten auf dieser Seite) und verwendet einen raffinierten, sehr schnellen Algorithmus: Es ist zu überprüfen, ob ein Teiler von ist, ob also bei der Division durch den Rest 1 läßt. Diesen Rest berechnet man nun durch binäre Exponentiation. Zuerst schreibt man die Binärdarstellung des Exponenten hin: 58482= Also ist =2 2 2 (24 ) 2 (2 5 ) 2 (2 6 ) 2 (2 10 ) 2 (2 13 ) 2 (2 14 ) 2 (2 15 ). Dann berechnet man der Reihe nach die Reste von 2 2, 2 4, 2 8 und so weiter bei der Division durch 58483, indem man den jeweils vorhergehenden Rest quadriert und das Ergebnis mit Rest durch teilt (Bild 3). Jetzt braucht man nur noch die Potenzen, die in der Binärzerlegung des Exponenten vorkommen, miteinander zu multiplizieren und nach jeder Multiplikation zu reduzieren, das heißt den Rest bezüglich Division durch zu bilden. Dadurch bleiben alle Zwischenergebnisse von erträglicher Größe. Man erhält = K = K mod Also kann keine Primzahl sein, weil sonst das Ergebnis 1 gewesen wäre. Das Verfahren geht relativ schnell, liefert aber noch nicht die Primfaktorzerlegung von Probedivision Nun geht es darum, n in ein Produkt von zwei echten Teilern zu zerlegen, also solchen, die beide weder gleich 1 noch gleich n sind (die Zahlen 1 und n selbst heißen unechte Teiler von n). Zum Beispiel ist 3 ein echter Teiler von 12. Man untersucht dann, ob die Teiler Primzahlen sind. Wenn nicht, zerlegt man sie ihrerseits, und so weiter, bis alle gefundenen Teiler Primzahlen sind. Zum Beispiel ist 12=3&times4. Die 3 ist eine Primzahl. Doch 4 ist zusammengesetzt und muß weiter zerlegt werden. Die Zerlegung ist 4=2&times2. Die vollständige Zerlegung von 12 lautet also

4 12=2&times2&times3. Der wesentliche Schritt eines Faktorisierungsalgorithmus besteht somit darin, einen echten Teiler einer zusammengesetzten Zahl zu finden. Das nächstliegende Verfahren ist die Probedivision: Man teilt n der Reihe nach durch alle Primzahlen 2, 3, 5, 7, 11, 13, 17,..., bis eine der Divisionen aufgeht. Die Primzahlen speichert man vorher in einer Tabelle. Im Falle von n=58483 stellt man fest, daß die einundfünzigste Primzahl, nämlich 233, ein Teiler von n ist (der andere ist 251). Man muß also 51 Divisionen mit Rest durchführen, um diesen Teiler zu finden. Das ist noch zumutbar. Je größer aber der kleinste Primfaktor p von n ist, desto mehr Divisionen sind erforderlich (Bild 4), und desto größer muß die Primzahltabelle sein, mit der man arbeitet. Probedivision ist mithin nur geeignet, kleine Faktoren zu finden; für große Faktoren braucht man grundsätzlich andere Verfahren. Elliptische Kurven Hendrik W. Lenstra hat 1985 ein Verfahren gefunden, das mit elliptischen Kurven arbeitet. Das sind sehr interessante und nützliche mathematische Objekte. Der britische Mathematiker Andrew Wiles verwendete sie an entscheidender Stelle in seinem letztlich geglückten Beweis der Fermatschen Vermutung (Spektrum der Wissenschaft, August 1993, Seite 14). Sie werden auch für Verschlüsselungsverfahren eingesetzt - und eben zur Faktorisierung. Ähnlich wie beim Fermat-Test führt man bei dem Verfahren mit elliptischen Kurven (elliptic curve method, ECM) eine Berechnung aus, die gelingen würde, wenn n eine Primzahl wäre. Weil n aber zusammengesetzt ist - was man zum Beispiel aus einem vorangegangenen Fermat-Test weiß -, kann die Rechnung scheitern. Was bedeutet das? Im Verlauf der Berechnung muß man immer wieder den größten gemeinsamen Teiler (ggt) von n mit anderen Zahlen ausrechnen. Die Rechnung kann nur fortgesetzt werden, wenn der ggt gleich 1 ist, die beiden Zahlen also teilerfremd sind. Anderenfalls hat man einen Teiler von n gefunden und - wenn der Zufall es will - sogar einen echten. Damit ist man am Ziel. Der Zufall spielt bei dieser Methode wirklich mit. Es gibt nämlich sehr viele elliptische Kurven zur Auswahl, an denen man die Berechnungen durchführen kann (Bild 7). Man wählt sich eine nach dem Zufallsprinzip aus. Liefert sie keinen echten Teiler, probiert man die nächste aus. Lenstra konnte zeigen, daß es für jedes zusammengesetzte n Kurven gibt, die einen Teiler liefern. Wie bei der Probedivision hängt die Zeit, die man mit der ECM braucht, um einen Faktor zu finden, von dessen Größe ab. Allerdings sind Faktoren mit bis zu 30 Dezimalstellen in erträglicher Zeit aufzuspüren (Bild 5). Was ist nun eine elliptische Kurve? Zunächst tatsächlich eine Kurve, das heißt eine Menge von Punkten (x,y) in der Ebene, deren Koordinaten eine bestimmte Gleichung erfüllen. Im Falle der elliptischen Kurven ist es die Gleichung y 2 =x 3 +ax+b. Dabei müssen die Parameter a und b ganze Zahlen und derart gewählt sein, daß nicht gerade 4a 3 +27b 2 =0 ist (Bild 5). Ihrem Namen zum Trotz sind übrigens elliptische Kurven keine Ellipsen; sie haben mit ihnen nur sehr entfernt zu tun. Man spricht auch dann von einer Kurve, wenn die Punktmenge, wie in Bild 6, aus mehreren nicht zusammenhängenden Zweigen besteht. Interessant werden elliptische Kurven dadurch, daß man auf ihnen in einem abstrakten Sinne addieren kann: Zu je zwei Punkten P 1 und P 2 der Kurve findet man durch eine geometrische Konstruktion stets einen dritten, der ebenfalls auf der Kurve liegt und P 1 +P 2 genannt wird. Die so definierte Addition folgt den üblichen Regeln: Sie ist assoziativ, kommutativ, es gibt ein neutrales Element, also eines, das, zu einem beliebigen Punkt addiert, diesen nicht verändert, und zu jedem Punkt ein Negatives (Inverses), so daß die Summe beider Punkte aus dem neutralen Element besteht. Eine elliptische Kurve bildet also eine kommutative Gruppe bezüglich dieser Addition. Das Inverse -P eines Kurvenpunktes P ist dessen Spiegelbild an der x-achse. Die Summe P 1 +P 2 zweier Punkte P 1 und P 2 findet man im allgemeinen, indem man die Gerade durch P 1 und P 2 zieht. Sie schneidet die Kurve in einem dritten Punkt Q. Dessen Spiegelbild -Q bezüglich der x-achse ist die gesuchte Summe P 1 +P 2 (Bild 6). In dem Sonderfall P 1 =P 2 tritt an die Stelle der Geraden durch P 1 und P 2 die Tangente an

5 die Kurve im Punkt P 1 =P 2. Wenn schließlich P 1 =-P 2 ist, schneidet die Gerade durch P 1 und P 2 keinen weiteren Punkt der Kurve. Man stellt sich ersatzweise vor, daß die Gerade die Kurve im Unendlichen schneidet. Darum fügt man den Punkten der Kurve noch einen weiteren hinzu, den man sich im Unendlichen denkt, nennt ihn O und setzt P 1 -P 1 =O. Der Punkt O ist also das Nullelement (neutrale Element) der additiven Gruppe. Die geometrische Definition der Punktaddition kann in Formeln umgesetzt werden. Wenn P 1 =(x 1,y 1 ) und P 2 =(x 2,y 2 ) Punkte der elliptischen Kurve sind, dann gilt ((Formel 1)) In den anderen Fällen berechnet man ((Formel 2, erster Teil)) ((Formel 2, zweiter Teil)) Diese Formeln können nun eine Art Eigenleben gewinnen. Man darf sie anwenden, ohne sich unter x und y Koordinaten von Punkten in der Ebene vorstellen zu müssen. Die Bestandteile der Formeln müssen auch nicht unbedingt, wie bisher, reelle Zahlen sein; es genügt, wenn man mit ihnen addieren, subtrahieren, multiplizieren und dividieren kann. Wir haben beim Rechnen mit Kongruenzen (Kasten auf Seite 83) schon gesehen, daß man mit Divisionsresten addieren, subtrahieren und multiplizieren kann. Genauer: Die Reste bei der Division einer ganzen Zahl durch eine natürliche Zahl n können die Werte 0, 1, 2,..., n-1 annehmen. Man rechnet mit diesen Resten so wie gewohnt; nur wenn das Ergebnis der Rechnung über den Bereich von 0 bis n-1 hinausgeht, dividiert man es durch n und nimmt den Rest. Wenn beispielsweise n=12 ist, dann ist 10+5=3 und 1-2=11, wie man es von den Uhrzeiten gewohnt ist: 5 Stunden nach 10 Uhr ist 3 Uhr, und 2 Stunden vor 1 Uhr ist 11 Uhr. Entsprechend ist 4 5=8. Nur die Division erfordert etwas mehr Aufmerksamkeit. Dividieren ist dasselbe wie Multiplizieren mit dem Kehrwert, und der Kehrwert von x ist das Element y, das die Gleichung xy=1 erfüllt. Für n=12 ist beispielsweise 5 der Kehrwert von 5, denn 5 5=25= K 1 mod 12. Aber einen Kehrwert von 4 gibt es nicht, denn 4y ist immer 4, 8 oder 0 mod 12. Insbesondere ist 4 3=0. Nur wenn n eine Primzahl ist, kann man uneingeschränkt dividieren. Der Kehrwert läßt sich mit einer Modifikation des euklidischen Algorithmus berechnen. Zu der Menge dieser Reste mit den entsprechend umdefinierten Grundrechenarten ist nun ebenfalls eine elliptische Kurve definierbar - ganz abstrakt, aber genauso wie zu den reellen Zahlen. Am einfachsten ist es, wenn der Modul n, das heißt die Zahl, bezüglich der man die Reste bildet, eine Primzahl p ist. Die Parameter a und b der Kurve müssen dann ganze Zahlen zwischen 0 und p-1 sein und die Bedingung 4a 3 +27b 2 /= K 0 mod p erfüllen [/= K bedeutet nicht Kongruent]. Die Kurve - die mit der landläufigen Vorstellung von einer gekrümmten Linie nichts mehr gemein hat - besteht aus allen Paaren (x, y) von ganzen Zahlen zwischen 0 und p-1, welche die Kongruenz y 2 = K x 3 +ax+b mod p erfüllen. Zusätzlich gibt es noch den Punkt O. Die Formeln für die Addition bleiben unverändert; man ersetzt nur alle auftretenden Zahlen durch ihre Reste bei der Division durch p. Ein Beispiel: Für p=5, a=1 und b=-1 (= K 4 mod 5) sind P 1 =(1,1) und P 2 =(2,2) Punkte der elliptischen Kurve. Zur Berechnung von P 3 =P 1 +P 2 muß man durch 2y 1 =4 dividieren. Der Kehrwert von 4 ist 4, denn 4 4=16= K 1 mod 5. Also ist x 3 =R(-1-2+1, 5)=3 und y 3 =R(-1+1-3, 5)=2. Tatsächlich ist (3, 2) ein Punkt der Kurve. Wieder ist die Menge E(p) der Punkte auf der elliptischen Kurve modulo p eine kommutative Gruppe. Sie hat aber nur endlich viele Elemente. Ihre Anzahl liegt zwischen p-2&timessqrt(p)+1 und p+2&timessqrt(p)+1. Indem man alle Zahlenpaare, die überhaupt in Frage kommen, durchprobiert, findet man, daß für p=5 die genannte elliptische Kurve E(5) aus den Elementen (3,3), (3,2), (0,3), (0,2), (1,4), (1,1), (2,3), (2,2) und O besteht; sie hat also neun Elemente (Bild 7). Die Grundlage für ECM ist ein Satz des französischen Mathematikers Joseph Louis Lagrange (1736 bis 1813): Wenn man ein Element einer endlichen Gruppe so oft zu sich selbst addiert, wie die Gruppe Elemente hat, dann muß das neutrale Element dabei herauskommen. In unserem Falle: 9 mal ein Element von E(5) ist stets gleich O. (Man schreibt, wie sonst auch üblich, 2P für P+P, 3P für P+P+P und so weiter.) Ich rechne das für P=(1,1) vor. Modulo 5 ist 2P=(2,2), 4P=2 (2P)=(0,2), 8P=2 (4P)=(1,-1), schließlich 9P=8P+P=(1,-1)+ (1,1)=O. Man sieht, daß es nicht nötig ist, neunmal P zu addieren. Vielmehr verwendet man denselben Trick wie bei der binären Exponentiation: Man berechnet der Reihe nach 2P, 4P,..., 2 m P und addiert für das Endergebnis diejenigen Zweierpotenzen zusammen, die man braucht. So hält sich der Rechenaufwand auch dann in Grenzen, wenn an die Stelle der Neun sehr große

6 Zahlen treten. Wie verwendet man nun elliptische Kurven, um Teiler zusammengesetzter Zahlen zu finden? Das will ich am Beispiel n=35 zeigen. Man wählt zuerst eine elliptische Kurve modulo n, das heißt zwei ganze Zahlen a und b mit 4a 3 +27b 2 /= K 0 mod n, und einen Punkt auf der Kurve, also eine Lösung P=(x,y) der Kongruenz y 2 = K x 3 +ax+b mod n. Für n=35 wähle ich wieder a=1, b=-1, x=1 und y=1. Das ergibt zwar eine elliptische Kurve, aber man kann ihre Punkte nicht immer addieren. Nach den Formeln muß man nämlich einen Kehrwert modulo n bilden, und den gibt es nicht immer, weil n zusammengesetzt ist. Die Idee ist: Man versucht es trotzdem; die Berechnung scheitert, aber die Art des Scheiterns gibt einem die Information, die man eigentlich haben will. Man wählt sich eine natürliche Zahl k - wie, beschreibe ich unten. Im Beispiel nehme ich k=9. Den Punkt P versucht man k-mal zu sich selbst zu addieren, und zwar nach der Methode, die ich oben für E(5) beschrieben habe. Im Beispiel berechne ich das Neunfache von P=(1,1) modulo 35. Es ergibt sich 2P=(2,2), 4P=(0,22), 8P=(16,19). Will man nun 9P=8P+P= (16,-16) +(1,1) berechnen, muß man zuerst l bestimmen und dazu durch 16-1=15 mod 35 dividieren. Das geht aber nicht. Es gibt keinen Kehrwert von 15 mod 35, weil der größte gemeinsame Teiler von 15 und 35 nicht 1, sondern 5 ist. Aber bei dem Versuch, den Kehrwert zu finden, hat man mit dem euklidischen Algorithmus den echten Teiler 5 von 35 gefunden, den man eigentlich haben wollte. Die Berechnung ist nun gerade bei k=9 gescheitert, weil 5 ein Teiler von n ist und 9 die Anzahl der Elemente dieser Realisierung von E(5). Das liegt am Satz von Lagrange. Sie wäre bei jedem Vielfachen von 9 ebenfalls gescheitert. Wenn man etwa nach sechsstelligen Primfaktoren sucht, wählt man die Testzahl k so, daß sie Vielfaches möglichst vieler sechsstelliger Zahlen ist, die ihrerseits nicht allzugroße Primfaktoren haben. Dann hat man eine gute Chance, daß k ein Vielfaches der Elementeanzahl von E(p) ist (die wir nicht kennen). Indem man das k-fache eines Elements von E(n) zu berechnen versucht, testet man die Teilbarkeit von n durch alle diese Primzahlen in einem Aufwasch. Um ein geeignetes k zu finden, wählt man eine Zahl B und berechnet k als Produkt aller Primzahlpotenzen, die nicht größer als B sind. Sucht man zum Beispiel nach Faktoren mit höchstens sechs Dezimalstellen, wählt man B=147. Dann ist k= Im allgemeinen hat ECM mit der ersten Kurve keinen Erfolg. Man probiert mehrere Kurven, das heißt mehrere Paare von Parametern a und b. Je größer B ist, desto mehr Kurven muß man durchprobieren (Bild 8). Hat ECM dann immer noch keinen Teiler gefunden, so ist man ziemlich sicher, daß die untersuchte Zahl n in der entsprechenden Größenordung auch keinen Teiler hat. Die Rechenzeit von ECM hängt also hauptsächlich von der Größe des gesuchten Primteilers und kaum von der zu faktorisierenden Zahl ab. Wenn eine Zahl mit 1000 Dezimalstellen einen 20stelligen Teiler hat, kann man ihn mit ECM finden. Andererseits wächst die Rechenzeit beträchtlich mit der Größe des kleinsten Faktors. ECM ist für Faktoren mit bis zu 30 Dezimalstellen geeignet. Der größte bisher mit diesem Verfahren gefundene Primfaktor hat 47 Dezimalstellen und wurde von Peter Montgomery am Zentrum für Mathematik und Informatik (CWI) in Amsterdam entdeckt. Das quadratische Sieb Für die Suche nach noch größeren Teilern einer Zahl n verwendet man ein anderes Verfahren. Die Idee ist: Man finde natürliche Zahlen X und Y mit der Eigenschaft, daß n ein Teiler von X 2 -Y 2 ist. Nach der dritten binomischen Formel ist nämlich X 2 -Y 2 =(X-Y)(X+Y). Die Zahl n muß also in (X-Y)(X+Y) aufgehen. Wenn n nicht selbst Teiler von X-Y oder X+Y ist, muß ein echter Teiler von n in X-Y und ein anderer in X+Y aufgehen. Also ist zum Beispiel der größte gemeinsame Teiler von X-Y und n größer als 1, und so einen hatte man ja gesucht. Wählt man zum Beispiel n=7429, X=227 und Y=210, so ist X 2 -Y 2 =7429. Also ist 7429 ein Teiler von X 2 -Y 2. Die Zahl 7429 ist aber kein Teiler von X-Y=17 und auch kein Teiler von X+Y=437; das geht gar nicht, sie ist ja größer als die beiden anderen Zahlen. Tatsächlich ist ggt(17,7429)=17 ein echter Teiler von Wie aber findet man X und Y? Zunächst stellt man ein lineares Gleichungssystem auf; dann bestimmt man X und Y aus den Lösungen dieses Systems. Die

7 Anzahl der Gleichungen hängt von der Größe der zu faktorisierenden Zahl ab; für 120stellige Zahlen ergeben sich ungefähr Gleichungen für ebensoviele Unbekannte (Bild 9). Anders als bei ECM ist also die Größe der zu faktorisierenden Zahl und nicht die des gesuchten Primfaktors maßgebend für den Rechenaufwand. Man bestimmt zunächst eine Reihe von Quadratzahlen mit zwei Eigenschaften: Sie liegen in der Nähe von n, und ihre Differenz zu n ist bis auf das Vorzeichen ein Produkt kleiner Primzahlen. Für n=7429 wären geeignete Quadratzahlen 83 2, 87 2, und 88 2, denn die Differenzen sind sämtlich Produkte der kleinsten Primzahlen 2, 3, 5 und 7: =-540 =(-1) = 140 = = 315 = Die Zeilen dieser Tabelle heißen Relationen. Wenn man einige dieser Zeilen miteinander multipliziert, addieren sich die Exponenten in der Zerlegung. Ist die Summe der Exponenten jedes Primfaktors gerade, so ist das Produkt ein Quadrat. Beispielsweise ist ( ) ( )= = ( ) 2 = Um X und Y zu finden, braucht man jetzt nur noch die Regeln der Kongruenzrechnung anzuwenden. Danach gilt (87 88)2= K ( ) ( ) mod Also gilt (87 88)2= K mod Hierin kann man auch noch durch seinen Rest bei der Division durch 7429 ersetzen und erhält = K mod 7429, das heißt, 7429 ist ein Teiler von Man kann also X=227 und Y=210 wählen. Diese Werte für X und Y liefern, wie oben gezeigt, den Teiler 17 von Unter typischerweise sehr vielen Relationen sind also solche auszusuchen, die sich in der dargestellten Weise zu einem Quadrat kombinieren lassen. Zu diesem Zweck stellt man das erwähnte lineare Gleichungssytem auf. Für jede Relation gibt es eine Unbekannte, deren Wert 1 ist, wenn die Relation zur Bildung des Quadrats verwendet wird, und 0 im anderen Fall. Im Beispiel hat das System also drei Unbekannte, nämlich l 1, l 2 und l 3. Das Produkt aller Relationen, die verwendet werden, kann man dann allgemein so schreiben: (((Formel 3))) oder umgeformt unter Verwendung der Potenzgesetze: (((Formel 4))) Die Bedingung, daß dieses Produkt ein Quadrat sein soll und damit alle Exponenten gerade sein müssen, liefert das lineare Gleichungssystem l 1 = K 0 mod 2 l 1 + l 2 + l 3 = K 0 mod 2 l 2 + l 3 = K 0 mod 2. Dabei ist die erste Gleichung für den Faktor -1 zuständig, die zweite für 5 und die dritte für 7. Die Exponenten zu den Faktoren 2 und 3 sind in jedem Falle gerade und benötigen deshalb keine eigene Gleichung. Das Gleichungssystem kann man mit einem üblichen Verfahren, zum Beispiel dem Gaußschen Eliminationsverfahren, lösen, wobei man modulo 2 rechnen muß. Das funktioniert, denn das Eliminationsverfahren besteht nur aus Anwendung der vier Grundrechenarten, und modulo 2 kann man immer dividieren, weil 2 eine Primzahl ist. Als Lösung erhält man l 1 =0, l 2 =l 3 =1 und damit die oben angegebenen Werte für X und Y. Es bleibt zu klären, wie die Relationen selbst gefunden werden. Das geschieht mit Hilfe eines Siebverfahrens, dem der Algorithmus seinen Namen "Quadratisches Sieb" verdankt. Gesucht sind Quadratzahlen, die um n vermindert nur in kleine Primfaktoren zerfallen. Man legt zuerst fest, welche Primzahlen in den Relationen vorkommen dürfen. Im Beispiel sind das 2, 3, 5 und 7. Zur Behandlung des Vorzeichens nimmt man noch die Zahl -1 hinzu. Die Menge dieser Primzahlen heißt Faktorbasis. Als nächstes berechnet man Quadratzahlen, die in der Nähe von n liegen. Man bestimmt dazu die größte ganze Zahl m, die noch unterhalb von SQRT-n liegt. Im Beispiel ist m=86. Quadratzahlen in der Nähe von n sind dann zum Beispiel (m-3) 2 = 83 2, (m-2) 2 = 84 2, (m-1) 2 =85 2, m 2 =86 2, (m+1) 2 =87 2, (m+2) 2 =88 2,..., also allgemeiner (m+u) 2, wobei u eine - positive oder negative - ganze Zahl ist, die klein ist im Vergleich zu m. Schließlich legt man das Siebintervall fest, also den Bereich der u, die man bearbeiten will. Die Differenzen der Quadratzahlen zu n (man nennt sie die reduzierten Quadratzahlen) schreibt man in eine Liste (Bild 10). Es sind nun diejenigen reduzierten Quadrate zu bestimmen, deren sämtliche Primfaktoren in der Faktorbasis liegen. Das könnte man mittels Probedivision machen. Schneller geht ein Siebverfahren. Um herauszufinden, welche reduzierten Quadrate durch eine Primzahl p teilbar sind, bestimmt man alle u zwischen 0 und p-1, für die (m+u) 2 -n durch p teilbar ist. Geht man von diesen u-werten in Schritten der Länge p nach rechts und links durch die Liste der u, erhält man alle reduzierten Quadrate, die durch p teilbar sind. Im

8 Beispiel ist (m+1) 2 -n durch 2 teilbar. Also sind auch (m-1) 2 -n, (m-3) 2 -n und (m+3) 2 -n gerade. (Das folgt mit einigen Umrechnungen aus der dritten binomischen Formel.) Diese Zahlen dividiert man so lange durch 2, bis sich eine ungerade Zahl ergibt. Das nennt man das Sieb mit 2, denn es hat eine Verwandtschaft mit dem Sieb des Eratosthenes, dem Standardverfahren für das Auslesen von Primzahlen. Das Sieb mit 3 funktioniert genauso: Man stellt fest, daß m 2 -n und (m+2) 2 -n durch 3 teilbar sind. Ausgehend von u=0 und u=2 geht man in Schritten der Länge 3 nach rechts und links und teilt an den entsprechenden Stellen, solange es geht, durch 3. Entsprechend siebt man mit den anderen Primzahlen der Faktorbasis (Bild 8). Überall, wo in der entstehenden Liste am Schluß eine Eins steht, kann man das entsprechende reduzierte Quadrat über der Faktorbasis zerlegen. Die Zerlegung rekonstruiert man durch Probedivision. Hier wurde nur die allereinfachste Version des quadratischen Siebs beschrieben. Die Technik selbst ist deutlich älter als der Computer: Der französische Offizier Eugène Olivier Carissan (1880 bis 1925) hat ein mechanisches Gerät gebaut, mit dem man das Aussieben mit mehreren Primzahlen auf einmal durchführen kann (Bilder 1 und 2). Um eine Zahl mit 100 Dezimalstellen zu zerlegen, muß man noch viele Verbesserungen anbringen. Faktorbasis und Siebintervall werden riesig (Bild 11). Ich gebe noch die Parameter an, die bei der Faktorisierung von RSA-120 verwendet wurden, der 120stelligen Zahl, die RSA zur Faktorisierung ausgeschrieben hatte. Arjen K. Lenstra, B. Dodson von der Lehigh University, Mark S. Manasse und Thomas Denny von der Universität Saarbrücken hatten Mitte 1993 mit der erfolgreichen Faktorisierung dieser Zahl einen Weltrekord erzielt. Die Faktorbasis enthielt Elemente, und das Gleichungssystem, das am Schluß gelöst werden mußte, hatte Unbekannte und Gleichungen. Die Berechnung hätte auf einem einzelnen Rechner etwa 50 Jahre gedauert. Auch die Faktorisierer der eingangs genannten 129stelligen Zahl haben das quadratische Sieb verwendet. Parallelisierung Außer der Verbesserung der Algorithmen ist der gleichzeitige Einsatz vieler Rechner ein wichtiges Mittel zur Beschleunigung der Faktorisierung. Man kann entweder Parallelrechner verwenden, die aber sehr teuer sind, oder verteilte Systeme, zum Beispiel Netze von Arbeitsplatzrechnern, die ohnehin vorhanden und nachts und am Wochenende oft sehr wenig ausgelastet sind. In Saarbrücken verwenden wir für ECM und quadratische Siebe ein Netz von 250 Workstations, die überall auf dem Campus stehen. Das System LiPS (Library for parallel systems), das in meiner Saarbrücker Arbeitsgruppe innerhalb eines Projekts des Sonderforschungsbereichs "VLSI- Entwurf und Parallelität" unter der Leitung von Thomas Setz entwickelt wird, erkennt automatisch, wenn einer der Rechner nicht von seinem Hauptnutzer gebraucht wird. Es startet dann zum Beispiel eine Faktorisierung. Will der Hauptnutzer wieder an seinem Rechner arbeiten, legt LiPS das Faktorisierungsprogramm schlafen und weckt es erst wieder auf, sobald der Rechner frei ist. LiPS ist auch dafür zuständig, Berechnungsergebnisse an den Computer zu schicken, der die Resultate auswertet (vergleiche Spektrum der Wissenschaft, Februar 1990, Seite 24). Perspektiven Selbst auf unserem verteilten System braucht das quadratische Sieb für die Faktorisierung einer Zahl mit 130 Dezimalstellen mehrere Wochen. Die Rechenzeit verdoppelt sich bei drei zusätzlichen Dezimalstellen. Das liegt daran, daß die reduzierten Quadrate, die gesiebt werden, etwa von der Größe SQRT-n sind. Algorithmen, die auf demselben Prinzip beruhen wie das quadratische Sieb, aber beträchtlich schneller sein sollen, müssen Relationen durch Zerlegung wesentlich kleinerer Zahlen gewinnen. Der einzige Algorithmus, der in dieser Hinsicht dem

9 quadratischen Sieb deutlich überlegen ist, ist das Zahlkörpersieb, das John Pollard erfunden und unter anderem für die Zerlegung der Fermat-Zahl F 9 eingesetzt hat. Mit dem Zahlkörpersieb gelang am 11. April dieses Jahres in einer Gemeinschaftsanstrengung, an der auch unsere Saarbrücker Arbeitsgruppe beteiligt war, die Zerlegung einer 130stelligen Zahl, für die RSA zu diesem Zeitpunkt ein Preisgeld von etwa 6600 Dollar ausgelobt hatte: Die Fachleute erwarten, daß ein weiterentwickeltes Zahlkörpersieb in fünf Jahren beliebige Zahlen mit 160 Dezimalstellen faktorisieren kann. Dies ist insofern bedeutsam, als die zusammengesetzten Zahlen, die zur Zeit im RSA-Kryptosystem meist verwendet werden, weniger als 160 Dezimalstellen haben. Solche RSA-Anwendungen werden also bald nicht mehr sicher sein. Ist Faktorisieren natürlicher Zahlen also ein schwieriges Problem? Zur Zeit ja. Noch kann kein Algorithmus der Welt aus dem Produkt zweier Primzahlen mit je 150 Dezimalstellen die Faktoren rekonstruieren. Vorerst bilden solche Produkte also eine gute Basis für die Sicherheit kryptographischer Verfahren. Aber wie geht es weiter? Eines stimmt gewiß nicht, was immer wieder in diesem Zusammenhang zu hören ist: Weil Mathematiker seit Jahrhunderten nach Faktorisierungsalgorithmen suchen und bislang keine wirklich schnellen gefunden haben, müsse man das Problem als schwer ansehen. Erst seit es Computer gibt, werden Algorithmen erfunden, die deren Stärken nutzen; vorher gab es nur Verfahren zur Beschleunigung von Berechnungen mit Stift und Papier. Es gibt keinen Grund anzunehmen, daß der dramatische Fortschritt der letzten zwanzig Jahre schon an seinem Ende angelangt sei. Literaturhinweise - Factorizations and Primality Testing. Von D. M. Bressoud. Springer, Heidelberg A Course in Computational Algebraic Number Theory. Von H. Cohen. Springer, Heidelberg The Development of the Number Field Sieve. Von Arjen K. Lenstra und Hendrik W. Lenstra Jr. Springer Lecture Notes in Mathematics, Band Springer, Heidelberg The Book of Prime Number Records. Von P. Ribenboim. Springer, Heidelberg Prime Numbers and Computer Methods for Factorization. Von Hans Riesel. 2. Auflage, Birkhäuser, Basel Die Programmbibliotheken LiDIA und LiPS sind erhältlich über Aus: Spektrum der Wissenschaft 9 / 1996, Seite 80 Spektrum der Wissenschaft Verlagsgesellschaft mbh

Mathematische Grundlagen der Kryptographie. 1. Ganze Zahlen 2. Kongruenzen und Restklassenringe. Stefan Brandstädter Jennifer Karstens

Mathematische Grundlagen der Kryptographie. 1. Ganze Zahlen 2. Kongruenzen und Restklassenringe. Stefan Brandstädter Jennifer Karstens Mathematische Grundlagen der Kryptographie 1. Ganze Zahlen 2. Kongruenzen und Restklassenringe Stefan Brandstädter Jennifer Karstens 18. Januar 2005 Inhaltsverzeichnis 1 Ganze Zahlen 1 1.1 Grundlagen............................

Mehr

Lenstras Algorithmus für Faktorisierung

Lenstras Algorithmus für Faktorisierung Lenstras Algorithmus für Faktorisierung Bertil Nestorius 9 März 2010 1 Motivation Die schnelle Faktorisierung von Zahlen ist heutzutage ein sehr wichtigen Thema, zb gibt es in der Kryptographie viele weit

Mehr

Primzahlen und RSA-Verschlüsselung

Primzahlen und RSA-Verschlüsselung Primzahlen und RSA-Verschlüsselung Michael Fütterer und Jonathan Zachhuber 1 Einiges zu Primzahlen Ein paar Definitionen: Wir bezeichnen mit Z die Menge der positiven und negativen ganzen Zahlen, also

Mehr

Ferienakademie 2001: Kryptographie und Sicherheit offener Systeme. Faktorisierung. Stefan Büttcher stefan@buettcher.org

Ferienakademie 2001: Kryptographie und Sicherheit offener Systeme. Faktorisierung. Stefan Büttcher stefan@buettcher.org Ferienakademie 2001: Kryptographie und Sicherheit offener Systeme Faktorisierung Stefan Büttcher stefan@buettcher.org 1 Definition. (RSA-Problem) Gegeben: Ò ÔÕ, ein RSA-Modul mit unbekannten Primfaktoren

Mehr

RSA-Verschlüsselung. von Johannes Becker Gießen 2006/2008

RSA-Verschlüsselung. von Johannes Becker Gießen 2006/2008 RSA-Verschlüsselung von Johannes Becker Gießen 2006/2008 Zusammenfassung Es wird gezeigt, wieso das nach Ronald L. Rivest, Adi Shamir und Leonard Adleman genannte RSA-Krptosstem funktioniert, das mittlerweile

Mehr

n ϕ n

n ϕ n 1 3. Teiler und teilerfremde Zahlen Euler (1707-1783, Gymnasium und Universität in Basel, Professor für Physik und Mathematik in Petersburg und Berlin) war nicht nur einer der produktivsten Mathematiker

Mehr

RSA Verfahren. Kapitel 7 p. 103

RSA Verfahren. Kapitel 7 p. 103 RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen

Mehr

Probabilistische Primzahltests

Probabilistische Primzahltests Probabilistische Primzahltests Daniel Tanke 11. Dezember 2007 In dieser Arbeit wird ein Verfahren vorgestellt, mit welchem man relativ schnell testen kann, ob eine ganze Zahl eine Primzahl ist. Für einen

Mehr

Computeralgebra in der Lehre am Beispiel Kryptografie

Computeralgebra in der Lehre am Beispiel Kryptografie Kryptografie Grundlagen RSA KASH Computeralgebra in der Lehre am Beispiel Kryptografie Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA KASH Überblick Kryptografie mit

Mehr

Mathematik und Logik

Mathematik und Logik Mathematik und Logik 6. Übungsaufgaben 2006-01-24, Lösung 1. Berechnen Sie für das Konto 204938716 bei der Bank mit der Bankleitzahl 54000 den IBAN. Das Verfahren ist z.b. auf http:// de.wikipedia.org/wiki/international_bank_account_number

Mehr

RSA Verfahren. Ghazwan Al Hayek Hochschule für Technik Stuttgart. 2. November 2008

RSA Verfahren. Ghazwan Al Hayek Hochschule für Technik Stuttgart. 2. November 2008 RSA Verfahren Ghazwan Al Hayek Hochschule für Technik Stuttgart 2. November 2008 1 Inhaltsverzeichnis 1. Einleitung 1.1. Übersicht 1.2. Private-Key-Verfahren 1.3. Public-Key-Verfahren 1.4. Vor/ Nachteile

Mehr

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer Allgemein: Das RSA-Verschlüsselungsverfahren ist ein häufig benutztes Verschlüsselungsverfahren, weil es sehr sicher ist. Es gehört zu der Klasse der

Mehr

Der Zwei-Quadrate-Satz von Fermat

Der Zwei-Quadrate-Satz von Fermat Der Zwei-Quadrate-Satz von Fermat Proseminar: Das BUCH der Beweise Fridtjof Schulte Steinberg Institut für Informatik Humboldt-Universität zu Berlin 29.November 2012 1 / 20 Allgemeines Pierre de Fermat

Mehr

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009

Das RSA-Verfahren. Armin Litzel. Proseminar Kryptographische Protokolle SS 2009 Das RSA-Verfahren Armin Litzel Proseminar Kryptographische Protokolle SS 2009 1 Einleitung RSA steht für die drei Namen Ronald L. Rivest, Adi Shamir und Leonard Adleman und bezeichnet ein von diesen Personen

Mehr

RSA-Verschlüsselung. Verfahren zur Erzeugung der beiden Schlüssel:

RSA-Verschlüsselung. Verfahren zur Erzeugung der beiden Schlüssel: RSA-Verschlüsselung Das RSA-Verfahren ist ein asymmetrisches Verschlüsselungsverfahren, das nach seinen Erfindern Ronald Linn Rivest, Adi Shamir und Leonard Adlemann benannt ist. RSA verwendet ein Schlüsselpaar

Mehr

27. Algorithmus der Woche Public-Key-Kryptographie Verschlüsseln mit öffentlichen Schlüsseln

27. Algorithmus der Woche Public-Key-Kryptographie Verschlüsseln mit öffentlichen Schlüsseln 27. Algorithmus der Woche Public-Key-Kryptographie Verschlüsseln mit öffentlichen Schlüsseln Autor Dirk Bongartz, RWTH Aachen Walter Unger, RWTH Aachen Wer wollte nicht schon mal eine Geheimnachricht übermitteln?

Mehr

Seminar der WE AlZAGK. Glatte Zahlen

Seminar der WE AlZAGK. Glatte Zahlen Seminar der WE AlZAGK WiSe 200/ Glatte Zahlen von Sonja Riedel Mail: sriedel@math.uni-bremen.de Motivation Glatte Zahlen sind, grob gesagt, Zahlen, die nur kleine Primfaktoren besitzen. Sie werden in vielen

Mehr

$Id: ring.tex,v /05/03 15:13:26 hk Exp $

$Id: ring.tex,v /05/03 15:13:26 hk Exp $ $Id: ring.tex,v 1.13 2012/05/03 15:13:26 hk Exp $ 3 Ringe 3.1 Der Ring Z m In der letzten Sitzung hatten wir die sogenannten Ringe eingeführt, dies waren Mengen A versehen mit einer Addition + und einer

Mehr

Primzahlzertifikat von Pratt

Primzahlzertifikat von Pratt Primzahlzertifikat von Pratt Daniela Steidl TU München 17. 04. 2008 Primzahltests in der Informatik "Dass das Problem, die Primzahlen von den Zusammengesetzten zu unterscheiden und letztere in ihre Primfaktoren

Mehr

U. Rausch, 2010 Ganze Zahlen 1

U. Rausch, 2010 Ganze Zahlen 1 U. Rausch, 2010 Ganze Zahlen 1 Ganze Zahlen 1 Einleitung Als ganze Zahlen bezeichnet man die natürlichen Zahlen 1, 2,, 4,..., die Null 0 und die negativen ganzen Zahlen 1, 2,, 4,... Wir verabreden die

Mehr

Teilbarkeit von natürlichen Zahlen

Teilbarkeit von natürlichen Zahlen Teilbarkeit von natürlichen Zahlen Teilbarkeitsregeln: Die Teilbarkeitsregeln beruhen alle darauf, dass man von einer Zahl einen grossen Teil wegschneiden kann, von dem man weiss, dass er sicher durch

Mehr

11. Das RSA Verfahren und andere Verfahren

11. Das RSA Verfahren und andere Verfahren Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern

Mehr

3 Das RSA-Kryptosystem

3 Das RSA-Kryptosystem Stand: 15.12.2014 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Das RSA-Kryptosystem RSA: Erfunden von Ronald L. Rivest, Adi Shamir und Leonard Adleman, 1977. (Ein ähnliches Verfahren

Mehr

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne

Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Wiederholung Symmetrische Verschlüsselung klassische Verfahren: Substitutionschiffren Transpositionschiffren Vigenère-Chiffre One-Time-Pad moderne Verfahren: DES (Feistel-Chiffre) mehrfache Wiederholung

Mehr

Die Gleichung A x = a hat für A 0 die eindeutig bestimmte Lösung. Für A=0 und a 0 existiert keine Lösung.

Die Gleichung A x = a hat für A 0 die eindeutig bestimmte Lösung. Für A=0 und a 0 existiert keine Lösung. Lineare Gleichungen mit einer Unbekannten Die Grundform der linearen Gleichung mit einer Unbekannten x lautet A x = a Dabei sind A, a reelle Zahlen. Die Gleichung lösen heißt, alle reellen Zahlen anzugeben,

Mehr

Kryptographie Reine Mathematik in den Geheimdiensten

Kryptographie Reine Mathematik in den Geheimdiensten Kryptographie Reine Mathematik in den Geheimdiensten Priska Jahnke 10. Juli 2006 Kryptographie Reine Mathematik in den Geheimdiensten Kryptographie (Kryptologie) = Lehre von den Geheimschriften Kaufleute,

Mehr

5. Übung zum G8-Vorkurs Mathematik (WiSe 2011/12)

5. Übung zum G8-Vorkurs Mathematik (WiSe 2011/12) Technische Universität München Zentrum Mathematik PD Dr. hristian Karpfinger http://www.ma.tum.de/mathematik/g8vorkurs 5. Übung zum G8-Vorkurs Mathematik (WiSe 2011/12) Aufgabe 5.1: In einer Implementierung

Mehr

Das RSA Kryptosystem

Das RSA Kryptosystem Kryptografie Grundlagen RSA Institut für Mathematik Technische Universität Berlin Kryptografie Grundlagen RSA mit geheimem mit öffentlichem Schlüssel Realisierung Kryptografie mit geheimem Schlüssel Alice

Mehr

Vorkurs für. Studierende in Mathematik und Physik. Einführung in Kryptographie Kurzskript 2015

Vorkurs für. Studierende in Mathematik und Physik. Einführung in Kryptographie Kurzskript 2015 Vorkurs für Studierende in Mathematik und Physik Einführung in Kryptographie Kurzskript 2015 Felix Fontein Institut für Mathematik Universität Zürich Winterthurerstrasse 190 8057 Zürich 11. September 2015

Mehr

Pollards Rho-Methode zur Faktorisierung

Pollards Rho-Methode zur Faktorisierung C A R L V O N O S S I E T Z K Y Pollards Rho-Methode zur Faktorisierung Abschlusspräsentation Bachelorarbeit Janosch Döcker Carl von Ossietzky Universität Oldenburg Department für Informatik Abteilung

Mehr

Einleitung Shor s Algorithmus Anhang. Thomas Neder. 19. Mai 2009

Einleitung Shor s Algorithmus Anhang. Thomas Neder. 19. Mai 2009 19. Mai 2009 Einleitung Problemstellung Beispiel: RSA Teiler von Zahlen und Periode von Funktionen Klassischer Teil Quantenmechanischer Teil Quantenfouriertransformation Algorithmus zur Suche nach Perioden

Mehr

1. Asymmetrische Verschlüsselung einfach erklärt

1. Asymmetrische Verschlüsselung einfach erklärt 1. Asymmetrische Verschlüsselung einfach erklärt Das Prinzip der asymmetrischen Verschlüsselung beruht im Wesentlichen darauf, dass sich jeder Kommunikationspartner jeweils ein Schlüsselpaar (bestehend

Mehr

Primzahlen. Herbert Koch Mathematisches Institut Universität Bonn Die Primfaktorzerlegung. a = st

Primzahlen. Herbert Koch Mathematisches Institut Universität Bonn Die Primfaktorzerlegung. a = st Primzahlen Herbert Koch Mathematisches Institut Universität Bonn 12.08.2010 1 Die Primfaktorzerlegung Wir kennen die natürlichen Zahlen N = 1, 2,..., die ganzen Zahlen Z, die rationalen Zahlen (Brüche

Mehr

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren Lineargleichungssysteme: Additions-/ Subtraktionsverfahren W. Kippels 22. Februar 2014 Inhaltsverzeichnis 1 Einleitung 2 2 Lineargleichungssysteme zweiten Grades 2 3 Lineargleichungssysteme höheren als

Mehr

Kryptographie mit elliptischen Kurven

Kryptographie mit elliptischen Kurven Kryptographie mit elliptischen Kurven Gabor Wiese Universität Regensburg Kryptographie mit elliptischen Kurven p. 1 Problemstellung Kryptographie mit elliptischen Kurven p. 2 Problemstellung Caesar Kryptographie

Mehr

Faktorisierung. Sebastian Roekens

Faktorisierung. Sebastian Roekens Westfälische Wilhelms-Universität Münster Ausarbeitung Faktorisierung im Rahmen des Seminars Multimedia Sebastian Roekens Themensteller: Prof. Dr. Herbert Kuchen Betreuer: Dipl.-Wirt.Inform. Michael Poldner

Mehr

Faktorisierung ganzer Zahlen mittels Pollards ρ-methode (1975)

Faktorisierung ganzer Zahlen mittels Pollards ρ-methode (1975) Dass das Problem, die Primzahlen von den zusammengesetzten zu unterscheiden und letztere in ihre Primfaktoren zu zerlegen zu den wichtigsten und nützlichsten der ganzen Arithmetik gehört und den Fleiss

Mehr

Faktorisieren mit dem Quadratischen Sieb

Faktorisieren mit dem Quadratischen Sieb Faktorisieren mit dem Quadratischen Sieb Ein Beitrag zur Didaktik der Algebra und Kryptologie Ralph-Hardo Schulz und Helmut Witten Eines der zur Zeit schnellsten Verfahren zur Faktorisierung ganzer Zahlen

Mehr

Probabilistische Primzahlensuche. Marco Berger

Probabilistische Primzahlensuche. Marco Berger Probabilistische Primzahlensuche Marco Berger April 2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 4 1.1 Definition Primzahl................................ 4 1.2 Primzahltest...................................

Mehr

Zur Sicherheit von RSA

Zur Sicherheit von RSA Zur Sicherheit von RSA Sebastian Petersen 19. Dezember 2011 RSA Schlüsselerzeugung Der Empfänger (E) wählt große Primzahlen p und q. E berechnet N := pq und ϕ := (p 1)(q 1). E wählt e teilerfremd zu ϕ.

Mehr

GF(2 2 ) Beispiel eines Erweiterungskörpers (1)

GF(2 2 ) Beispiel eines Erweiterungskörpers (1) GF(2 2 ) Beispiel eines Erweiterungskörpers (1) Im Kapitel 2.1 wurde bereits gezeigt, dass die endliche Zahlenmenge {0, 1, 2, 3} q = 4 nicht die Eigenschaften eines Galoisfeldes GF(4) erfüllt. Vielmehr

Mehr

Modul Diskrete Mathematik WiSe 2011/12

Modul Diskrete Mathematik WiSe 2011/12 1 Modul Diskrete Mathematik WiSe 2011/12 Ergänzungsskript zum Kapitel 4.2. Hinweis: Dieses Manuskript ist nur verständlich und von Nutzen für Personen, die regelmäßig und aktiv die zugehörige Vorlesung

Mehr

Q(n) = n 0 +n 1 +n 2 +...+n k.

Q(n) = n 0 +n 1 +n 2 +...+n k. 25 2 Kongruenzen Mit Hilfe der hier definierten Kongruenz können Aussagen über Teilbarkeit einfacher formuliert und bewiesen werden, und man erhält eine Differenzierung der Zahlen, die bezüglich einer

Mehr

Komplexe Zahlen. 1) Motivierende Aufgabe. 2) Historisches

Komplexe Zahlen. 1) Motivierende Aufgabe. 2) Historisches Annelie Heuser, Jean-Luc Landvogt und Ditlef Meins im 1. Semester Komplexe Zahlen Will man nur addieren und subtrahieren, multiplizieren und dividieren, kommt man uneingeschränkt mit reellen Zahlen aus.

Mehr

Lineare Gleichungssysteme

Lineare Gleichungssysteme Brückenkurs Mathematik TU Dresden 2015 Lineare Gleichungssysteme Schwerpunkte: Modellbildung geometrische Interpretation Lösungsmethoden Prof. Dr. F. Schuricht TU Dresden, Fachbereich Mathematik auf der

Mehr

Kryptographie und Codierungstheorie

Kryptographie und Codierungstheorie Proseminar zur Linearen Algebra Kryptographie und Codierungstheorie Thema: Faktorisierungsalgorithmen (nach der Fermat'schen Faktorisierungsmethode) Kettenbruchalgorithmus (Continued Fraction Method) Quadratisches

Mehr

Vorlesung Diskrete Strukturen Gruppe und Ring

Vorlesung Diskrete Strukturen Gruppe und Ring Vorlesung Diskrete Strukturen Gruppe und Ring Bernhard Ganter Institut für Algebra TU Dresden D-01062 Dresden bernhard.ganter@tu-dresden.de WS 2009/10 1 Bernhard Ganter, TU Dresden Modul Einführung in

Mehr

IT-Sicherheitsmanagement. Teil 12: Asymmetrische Verschlüsselung

IT-Sicherheitsmanagement. Teil 12: Asymmetrische Verschlüsselung IT-Sicherheitsmanagement Teil 12: Asymmetrische Verschlüsselung 10.12.15 1 Literatur [12-1] Beutelspacher, A.; Schwenk, J.; Wolfenstetter, K.-D.: Moderne Verfahren der Kryptographie. 4. Auflage, Vieweg

Mehr

DLP. Adolphe Kankeu Tamghe papibobo@informatik.uni-bremen.de ALZAGK SEMINAR. Bremen, den 18. Januar 2011. Fachbereich Mathematik und Informatik 1 / 27

DLP. Adolphe Kankeu Tamghe papibobo@informatik.uni-bremen.de ALZAGK SEMINAR. Bremen, den 18. Januar 2011. Fachbereich Mathematik und Informatik 1 / 27 DLP Adolphe Kankeu Tamghe papibobo@informatik.uni-bremen.de Fachbereich Mathematik und Informatik ALZAGK SEMINAR Bremen, den 18. Januar 2011 1 / 27 Inhaltsverzeichnis 1 Der diskrete Logarithmus Definition

Mehr

5.1 Drei wichtige Beweistechniken... 55 5.2 Erklärungen zu den Beweistechniken... 56

5.1 Drei wichtige Beweistechniken... 55 5.2 Erklärungen zu den Beweistechniken... 56 5 Beweistechniken Übersicht 5.1 Drei wichtige Beweistechniken................................. 55 5. Erklärungen zu den Beweistechniken............................ 56 Dieses Kapitel ist den drei wichtigsten

Mehr

Einführung in Computer Microsystems

Einführung in Computer Microsystems Einführung in Computer Microsystems Kapitel 9 Entwurf eines eingebetteten Systems für Anwendungen in der IT-Sicherheit Prof. Dr.-Ing. Sorin A. Huss Fachbereich Informatik Integrierte Schaltungen und Systeme

Mehr

4 RSA und PGP. Die Mathematik von RSA an einem Beispiel

4 RSA und PGP. Die Mathematik von RSA an einem Beispiel 4 RSA und PGP Im Juni 1991 wurde das Programm PGP (für pretty good privacy ) von Phil Zimmermann ins Internet gestellt. Es ermöglichte jedermann, e-mails derart gut zu verschlüsseln, dass nicht einmal

Mehr

Randomisierte Primzahltests Paul Gamper

Randomisierte Primzahltests Paul Gamper Randomisierte Primzahltests Paul Gamper Seminar im Wintersemester 2006/07 Probability and Randomization in Computer Science 07.02.2007, Aachen 1 Abstract Nach einer Einführung, in der ich kurz auf die

Mehr

1 Zahlentheorie. 1.1 Kongruenzen

1 Zahlentheorie. 1.1 Kongruenzen 3 Zahlentheorie. Kongruenzen Der letzte Abschnitt zeigte, daß es sinnvoll ist, mit großen Zahlen möglichst einfach rechnen zu können. Oft kommt es nicht darauf, an eine Zahl im Detail zu kennen, sondern

Mehr

Primzahlen im Schulunterricht wozu?

Primzahlen im Schulunterricht wozu? Primzahlen im Schulunterricht wozu? FRANZ PAUER, FLORIAN STAMPFER (UNIVERSITÄT INNSBRUCK) 1. Einleitung Eine natürliche Zahl heißt Primzahl, wenn sie genau zwei Teiler hat. Im Lehrplan der Seundarstufe

Mehr

Lösungen der Aufgaben

Lösungen der Aufgaben Lösungen der Aufgaben Aufgabe 1.3.1 Es gibt 42 mögliche Verschlüsselungen. Aufgabe 2.3.4 Ergebnisse sind 0, 4 und 4 1 = 4. Aufgabe 2.3.6 Da in Z 9 10 = 1 ist, erhalten wir x = c 0 + + c m = c 0 + + c m.

Mehr

Aufgaben des MSG-Zirkels 10b Schuljahr 2007/2008

Aufgaben des MSG-Zirkels 10b Schuljahr 2007/2008 Aufgaben des MSG-Zirkels 10b Schuljahr 2007/2008 Alexander Bobenko und Ivan Izmestiev Technische Universität Berlin 1 Hausaufgaben vom 12.09.2007 Zahlentheorie 1 Aufgabe 1.1 Berechne die (quadratischen)

Mehr

3. Diskrete Mathematik

3. Diskrete Mathematik Diophantos von Alexandria um 250 Georg Cantor 1845-1918 Pythagoras um 570 v. Chr Pierre de Fermat 1607/8-1665 Seite 1 Inhalt der Vorlesung Teil 3: Diskrete Mathematik 3.1 Zahlentheorie: Abzählbarkeit,

Mehr

Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit Grundlagen: Asymmetrische Verschlüsslung, Digitale Signatur

Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit Grundlagen: Asymmetrische Verschlüsslung, Digitale Signatur Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit Grundlagen: Asymmetrische Verschlüsslung, Digitale Signatur Rudi Pfister Rudi.Pfister@informatik.stud.uni-erlangen.de Public-Key-Verfahren

Mehr

Grundlagen der Arithmetik und Zahlentheorie

Grundlagen der Arithmetik und Zahlentheorie Grundlagen der Arithmetik und Zahlentheorie 1.0 Teilbarkeit In diesem Abschnitt werden wir einerseits die ganzen Zahlen an sich studieren und dabei besonders wichtige Zahlen, die Primzahlen, entsprechend

Mehr

Man weiß, dass zwischen zwei aufeinanderfolgenden Quadratzahlen immer mindestens eine Primzahl liegt:

Man weiß, dass zwischen zwei aufeinanderfolgenden Quadratzahlen immer mindestens eine Primzahl liegt: Primzahlgeheimnis 1 Man weiß, dass zwischen zwei aufeinanderfolgenden Quadratzahlen immer mindestens eine Primzahl liegt: Vervollständige die Quadrate und kringele alle Primzahlen ein: 1 2 5 10 17 26 37

Mehr

2: Zahlentheorie / Restklassen 2.1: Modulare Arithmetik

2: Zahlentheorie / Restklassen 2.1: Modulare Arithmetik Stefan Lucks Diskrete Strukturen (WS 2009/10) 57 2: Zahlentheorie / Restklassen 2.1: Modulare Arithmetik Uhr: Stunden mod 24, Minuten mod 60, Sekunden mod 60,... Rechnerarithmetik: mod 2 w, w {8, 16, 32,

Mehr

Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren

Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Herwig Stütz 2007-11-23 1 Inhaltsverzeichnis 1 Einführung 2 2 Das RSA-Verfahren 2 2.1 Schlüsselerzeugung.................................

Mehr

Kanonische Primfaktorzerlegung

Kanonische Primfaktorzerlegung Mathematik I für Informatiker Zahlen p. 1 Kanonische Primfaktorzerlegung Jede natürliche Zahl n kann auf eindeutige Weise in der Form n = p α 1 1 pα 2 2... pα k k geschrieben werden, wobei k N 0, α i N

Mehr

Lösungsvorschlag für die Probeklausuren und Klausuren zu Algebra für Informations- und Kommunikationstechniker bei Prof. Dr.

Lösungsvorschlag für die Probeklausuren und Klausuren zu Algebra für Informations- und Kommunikationstechniker bei Prof. Dr. Lösungsvorschlag für die Probeklausuren und Klausuren zu Algebra für Informations- und Kommunikationstechniker bei Prof. Dr. Kurzweil Florian Franzmann André Diehl Kompiliert am 10. April 2006 um 18:33

Mehr

Hast du auch wirklich versucht, die Aufgaben einmal selbständig zu lösen? Wenn nicht, tue es, bevor du dir die Lösungen anschaust!

Hast du auch wirklich versucht, die Aufgaben einmal selbständig zu lösen? Wenn nicht, tue es, bevor du dir die Lösungen anschaust! Chr.Nelius: Zahlentheorie (SoSe 2016) 1 14. Aufgabenblatt ZAHLENTHEORIE (für Master G und HRG) Lösungen Hast du auch wirklich versucht, die Aufgaben einmal selbständig zu lösen? Wenn nicht, tue es, bevor

Mehr

Mathematik für Studierende der Biologie und des Lehramtes Chemie Wintersemester 2013/14. Auswahl vorausgesetzter Vorkenntnisse

Mathematik für Studierende der Biologie und des Lehramtes Chemie Wintersemester 2013/14. Auswahl vorausgesetzter Vorkenntnisse UNIVERSITÄT DES SAARLANDES FACHRICHTUNG 6.1 MATHEMATIK Dipl.-Math. Kevin Everard Mathematik für Studierende der Biologie und des Lehramtes Chemie Wintersemester 2013/14 Auswahl vorausgesetzter Vorkenntnisse

Mehr

Entwicklung der Asymmetrischen Kryptographie und deren Einsatz

Entwicklung der Asymmetrischen Kryptographie und deren Einsatz Entwicklung der Asymmetrischen Kryptographie und deren Einsatz Peter Kraml, 5a hlw Facharbeit Mathematik Schuljahr 2013/14 Caesar-Verschlüsselung Beispiel Verschiebung der Buchstaben im Alphabet sehr leicht

Mehr

Kongruenzrechnung. 2 Kongruenzrechnung 7 2.1 Rechnenregeln Addition und Multiplikation... 7 2.2 Rechenregeln bzgl. verschiedener Moduln...

Kongruenzrechnung. 2 Kongruenzrechnung 7 2.1 Rechnenregeln Addition und Multiplikation... 7 2.2 Rechenregeln bzgl. verschiedener Moduln... Kongruenzrechnung Inhaltsverzeichnis 1 Einführung und Definitionen 2 1.1 Einige Beispiele aus dem Alltag..................... 2 1.2 Kongruenzrechnung im Alltag und Rechenproben........... 3 1.3 Kongruenzen

Mehr

Was sind die kleinstmöglichen magischen Quadrate? Zwölf Rätsel zum Gewinn von 8.000 und zwölf Flaschen Champagner!

Was sind die kleinstmöglichen magischen Quadrate? Zwölf Rätsel zum Gewinn von 8.000 und zwölf Flaschen Champagner! Was sind die kleinstmöglichen magischen Quadrate? Zwölf Rätsel zum Gewinn von 8.000 und zwölf Flaschen Champagner! Presse Veröffentlichung, 06. April 2010, Frankreich Obwohl magische Quadrate jahrhundertelang

Mehr

Datensicherheit durch Kryptographie

Datensicherheit durch Kryptographie Datensicherheit durch Kryptographie Dr. Michael Hortmann Fachbereich Mathematik, Universität Bremen T-Systems Michael.Hortmann@gmx.de 1 Kryptographie: Klassisch: Wissenschaft und Praxis der Datenverschlüsselung

Mehr

5 Eigenwerte und die Jordansche Normalform

5 Eigenwerte und die Jordansche Normalform Mathematik für Physiker II, SS Mittwoch 8.6 $Id: jordan.tex,v.6 /6/7 8:5:3 hk Exp hk $ 5 Eigenwerte und die Jordansche Normalform 5.4 Die Jordansche Normalform Wir hatten bereits erwähnt, dass eine n n

Mehr

x 2 2x + = 3 + Es gibt genau ein x R mit ax + b = 0, denn es gilt

x 2 2x + = 3 + Es gibt genau ein x R mit ax + b = 0, denn es gilt - 17 - Die Frage ist hier also: Für welche x R gilt x = x + 1? Das ist eine quadratische Gleichung für x. Es gilt x = x + 1 x x 3 = 0, und man kann quadratische Ergänzung machen:... ( ) ( ) x x + = 3 +

Mehr

Public-Key-Kryptosystem

Public-Key-Kryptosystem Public-Key-Kryptosystem Zolbayasakh Tsoggerel 29. Dezember 2008 Inhaltsverzeichnis 1 Wiederholung einiger Begriffe 2 2 Einführung 2 3 Public-Key-Verfahren 3 4 Unterschiede zwischen symmetrischen und asymmetrischen

Mehr

Mit Python von Caesar zur Public-Key Kryptographie

Mit Python von Caesar zur Public-Key Kryptographie Mit Python von Caesar zur Public-Key Kryptographie Thomas Grischott KSS 30. Juni 2008 1 Die Caesarverschiebung Caesar hat Nachrichten an seine Feldherren verschlüsselt, indem er jeden Buchstaben um drei

Mehr

Das RSA Verfahren. Die Mathematik von RSA. Ganzzahl Arithmetik. Die Mathematik des RSA-Verfahrens

Das RSA Verfahren. Die Mathematik von RSA. Ganzzahl Arithmetik. Die Mathematik des RSA-Verfahrens Das RSA Verfahren Das RSA-Verfahren beruht auf Modulo-Arithmetik mit riesigen ganzen Zahlen und der Berechnung modularer Potenzen bei der Verschlüsselung. Die genaue Mathematik wird in den folgenden Kapiteln

Mehr

Public-Key Kryptographie mit dem RSA Schema. Torsten Büchner

Public-Key Kryptographie mit dem RSA Schema. Torsten Büchner Public-Key Kryptographie mit dem RSA Schema Torsten Büchner 7.12.2004 1.Einleitung 1. symmetrische-, asymmetrische Verschlüsselung 2. RSA als asymmetrisches Verfahren 2.Definition von Begriffen 1. Einwegfunktionen

Mehr

Vorlesung Analysis I / Lehramt

Vorlesung Analysis I / Lehramt Vorlesung Analysis I / Lehramt TU Dortmund, Wintersemester 2012/ 13 Winfried Kaballo Die Vorlesung Analysis I für Lehramtsstudiengänge im Wintersemester 2012/13 an der TU Dortmund basiert auf meinem Buch

Mehr

5 Grundlagen der Zahlentheorie

5 Grundlagen der Zahlentheorie 5 Grundlagen der Zahlentheorie 1 Primfaktorzerlegung Seienm, n N + := {k N k > 0} Man schreibt n n, gesprochen m teilt n oder m ist ein Teiler von n, wenn es eine positive natürliche Zahl k gibt mit mk

Mehr

mit ganzen Zahlen 1.4 Berechnen Sie: a b c d e

mit ganzen Zahlen 1.4 Berechnen Sie: a b c d e 1 Rechnen mit ganzen Zahlen Führen Sie die nachfolgenden Berechnungen aus: 1.1 a. 873 112 1718 157 3461 + b. 1578 9553 7218 212 4139 + 1.3 Berechnen Sie: a. 34 89 b. 67 46 c. 61 93 d. 55 11 e. 78 38 1.2

Mehr

Tourist Town. wenn Computer ins Schwitzen geraten. Prof. Dr. Isolde Adler IT-Girls Night 28.11.2014 29.11.2014

Tourist Town. wenn Computer ins Schwitzen geraten. Prof. Dr. Isolde Adler IT-Girls Night 28.11.2014 29.11.2014 Tourist Town wenn Computer ins Schwitzen geraten Prof. Dr. Isolde Adler IT-Girls Night 28.11.2014 29.11.2014 Inhalt 1. Was kommt jetzt? 2. Tourist Town Dominierende Mengen 3. Ausblick Isolde Adler Tourist

Mehr

Terme und Gleichungen

Terme und Gleichungen Terme und Gleichungen Rainer Hauser November 00 Terme. Rekursive Definition der Terme Welche Objekte Terme genannt werden, wird rekursiv definiert. Die rekursive Definition legt zuerst als Basis fest,

Mehr

Bin Packing oder Wie bekomme ich die Klamotten in die Kisten?

Bin Packing oder Wie bekomme ich die Klamotten in die Kisten? Bin Packing oder Wie bekomme ich die Klamotten in die Kisten? Ich habe diesen Sommer mein Abi gemacht und möchte zum Herbst mit dem Studium beginnen Informatik natürlich! Da es in meinem kleinen Ort keine

Mehr

Mathematik: Mag. Schmid Wolfgang Arbeitsblatt 5 1. Semester ARBEITSBLATT 5 RECHNEN MIT BRÜCHEN. 1. Arten von Brüchen und Definition

Mathematik: Mag. Schmid Wolfgang Arbeitsblatt 5 1. Semester ARBEITSBLATT 5 RECHNEN MIT BRÜCHEN. 1. Arten von Brüchen und Definition ARBEITSBLATT 5 RECHNEN MIT BRÜCHEN 1. Arten von Brüchen und Definition Beispiel: 3 5 Zähler Bruchstrich Nenner Definition: Jeder Bruch hat folgendes Aussehen: Zähler. Der Nenner gibt an, Nenner in wie

Mehr

Lineare Gleichungssysteme

Lineare Gleichungssysteme Lineare Gleichungssysteme 1 Zwei Gleichungen mit zwei Unbekannten Es kommt häufig vor, dass man nicht mit einer Variablen alleine auskommt, um ein Problem zu lösen. Das folgende Beispiel soll dies verdeutlichen

Mehr

Zahlentheorie für den Landeswettbewerb für Anfängerinnen und Anfänger der Österreichischen Mathematik-Olympiade

Zahlentheorie für den Landeswettbewerb für Anfängerinnen und Anfänger der Österreichischen Mathematik-Olympiade Zahlentheorie für den Landeswettbewerb für Anfängerinnen und Anfänger der Österreichischen Mathematik-Olympiade Clemens Heuberger 22. September 2014 Inhaltsverzeichnis 1 Dezimaldarstellung 1 2 Teilbarkeit

Mehr

Pratts Primzahlzertifikate

Pratts Primzahlzertifikate Pratts Primzahlzertifikate Markus Englert 16.04.2009 Technische Universität München Fakultät für Informatik Proseminar: Perlen der Informatik 2 SoSe 2009 Leiter: Prof. Dr. Nipkow 1 Primzahltest Ein Primzahltest

Mehr

Kommentiertes Beispiel für das Gaußsche Eliminationsverfahren

Kommentiertes Beispiel für das Gaußsche Eliminationsverfahren Kommentiertes Beispiel für das Gaußsche Eliminationsverfahren oder: Wie rechnet eigentlich der TI 84, wenn lineare Gleichungssysteme gelöst werden? Hier wird an einem Beispiel das Gaußsche Verfahren zum

Mehr

Faktorisierung bei Brüchen und Bruchtermen

Faktorisierung bei Brüchen und Bruchtermen Faktorisierung bei Brüchen und Bruchtermen Rainer Hauser Mai 2016 1 Einleitung 1.1 Rationale Zahlen Teilt man einen Gegenstand in eine Anzahl gleich grosse Stücke, so bekommt man gebrochene Zahlen, die

Mehr

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur

Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit. Asymmetrische Verschlüsselung, Digitale Signatur Konzepte von Betriebssystemkomponenten: Schwerpunkt Sicherheit Thema: Asymmetrische Verschlüsselung, Digitale Signatur Vortragender: Rudi Pfister Überblick: Asymmetrische Verschlüsselungsverfahren - Prinzip

Mehr

1 3 Z 1. x 3. x a b b. a weil a 0 0. a 1 a weil a 1. a ist nicht erlaubt! 5.1 Einführung Die Gleichung 3 x 9 hat die Lösung 3.

1 3 Z 1. x 3. x a b b. a weil a 0 0. a 1 a weil a 1. a ist nicht erlaubt! 5.1 Einführung Die Gleichung 3 x 9 hat die Lösung 3. 5 5.1 Einführung Die Gleichung 3x 9 hat die Lösung 3. 3x 9 3Z 9 x 3 3 Die Gleichung 3x 1 hat die Lösung 1 3. 3x 1 1 3 Z 1 x 3 Definition Die Gleichung bx a, mit a, b Z und b 0, hat die Lösung: b x a a

Mehr

Eine kurze Tabelle soll uns erste Einsichten erleichtern. Der Strich heißt, dass es eine solche Darstellung nicht gibt.

Eine kurze Tabelle soll uns erste Einsichten erleichtern. Der Strich heißt, dass es eine solche Darstellung nicht gibt. Summen von Quadraten 1 Physikalische Motivation Eine schwingende Saite hat eine Grundfrequenz F, die von Länge, Dicke, Beschaffenheit der Saite und so fort abhängt Neben dieser Grundfrequenz gibt es auch

Mehr

Zeichen bei Zahlen entschlüsseln

Zeichen bei Zahlen entschlüsseln Zeichen bei Zahlen entschlüsseln In diesem Kapitel... Verwendung des Zahlenstrahls Absolut richtige Bestimmung von absoluten Werten Operationen bei Zahlen mit Vorzeichen: Addieren, Subtrahieren, Multiplizieren

Mehr

Zahlentheorie I. smo osm. Thomas Huber. Inhaltsverzeichnis. Aktualisiert: 1. August 2016 vers Teilbarkeit 2.

Zahlentheorie I. smo osm. Thomas Huber. Inhaltsverzeichnis. Aktualisiert: 1. August 2016 vers Teilbarkeit 2. Schweizer Mathematik-Olympiade smo osm Zahlentheorie I Thomas Huber Aktualisiert: 1. August 2016 vers. 1.0.0 Inhaltsverzeichnis 1 Teilbarkeit 2 2 ggt und kgv 3 3 Abschätzungen 6 1 Teilbarkeit Im Folgenden

Mehr

Public Key Infrastrukturen

Public Key Infrastrukturen Public Key Infrastrukturen V1. Public Key Techniken und Dienste Prof. J. Buchmann FG Theoretische Informatik TU Darmstadt Beispiel: Zintl-Umbau 2 Beispiel: Zintl-Umbau Ausschreibung Einsendeschluss: 24.12.2004

Mehr

Über Polynome mit Arithmetik modulo m

Über Polynome mit Arithmetik modulo m Über Polynome mit Arithmetik modulo m Um den Fingerprinting-Satz über die Fingerabdrücke verschiedener Texte aus dem 37. Algorithmus der Woche ( http://www-i1.informatik.rwth-aachen.de/~algorithmus/algo37.php

Mehr

1. Modulare Arithmetik

1. Modulare Arithmetik 1. Modulare Arithmetik Dreizehn Jahre lang hatten die Briten und Franzosen geglaubt, die Enigma- Verschlüsselung sei nicht zu knacken, doch nun schöpften sie Hoffnung. Die polnischen Erfolge hatten bewiesen,

Mehr

11. Primfaktorzerlegungen

11. Primfaktorzerlegungen 78 Andreas Gathmann 11 Primfaktorzerlegungen Euch ist sicher aus der Schule bekannt, dass sich jede positive ganze Zahl a als Produkt a = p 1 p n von Primzahlen schreiben lässt, und dass diese Darstellung

Mehr

3: Zahlentheorie / Primzahlen

3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,

Mehr

9.2 Invertierbare Matrizen

9.2 Invertierbare Matrizen 34 9.2 Invertierbare Matrizen Die Division ist als Umkehroperation der Multiplikation definiert. Das heisst, für reelle Zahlen a 0 und b gilt b = a genau dann, wenn a b =. Übertragen wir dies von den reellen

Mehr