Elementare Kryptographie

Transkript

1 Universität Paderborn Fakultät für Elektrotechnik, Informatik und Mathematik Institut für Mathematik Elementare Kryptographie Kai Gehrs Paderborn, 9. Juli 2007

2

3 Inhaltsverzeichnis Grundlagen: (Computer)Algebra 3. Addition und Multiplikation Repeated Squaring (Effizientes Potenzieren) Division mit Rest Der Euklidische Algorithmus Berechnung modularer Inverser Der Chinesische Restsatz Die Eulersche ϕ-funktion Die durchschnittliche Ordnung von ϕ(n) Kettenbrüche Einige gruppentheoretische Resultate Der Satz von Lagrange Der Satz von Euler und der kleine Satz von Fermat Grundlagen aus der Zahlentheorie Finden von Primzahlen und Primzahltest Faktorisierung ganzer Zahlen Die Pollard ρ-methode zur Faktorisierung ganzer Zahlen Dixon s Zufallsquadrate Diskrete Logarithmen Grundlegende Definitionen Der Baby-Schritt-Riesen-Schritt Algorithmus Der Geburtstagsangriff auf den diskreten Logarithmus Die Pollard ρ-methode Der Chinese-Remaindering Algorithmus Der Algorithmus von Pohlig & Hellman Zusammenfassung Index-Kalkül für den diskreten Logarithmus in Z p Arithmetische Schaltkreise (Deterministische) arithmetische Schaltkreise

4 3.9.2 Probabilistische arthmetische Schaltkreise Einige Kryptosysteme Vorbemerkungen Symmetrische und Asymmetrische Kryptosysteme Alice, Bob und Eve Block Ciphers und Stream Ciphers Rijndael Algebraische Grundlagen Einiges zur Spezifikation Verschlüsselung von Nachrichten mit Rijndael Das RSA-Verfahren Der Angriff von Wiener auf RSA Diffie und Hellman Schlüsselaustauschverfahren Woman-in-the-Middle Angriff Das Kryptosystem von El Gamal Secret Sharing Unterschriften (Signaturen) Zum Konzept von Unterschriftenverfahren Das Unterschriftenverfahren von ElGamal Fälschungssicherheit Die Angriffe von Mitchell auf ElGamal Unterschriften Zur unvorsichtigen Benutzung des Unterschriftenverfahrens von El- Gamal Schnorr Unterschriften Hash-Funktionen Eine spezielle Hash-Funktion Hashing von Blocknachrichten Kryptosysteme und Hash-Funktionen Zeitstempel Identifikation und Authentifikation Das Identifikationsverfahren von Schnorr Das Identifikationsverfahren von Okamoto Ein RSA-basiertes Identifikationsschema Ein sicheres Schlüsselaustauschverfahren Literaturverzeichnis 83 2

5 Kapitel Grundlagen aus Algebra und Computeralgebra In diesem Kapitel werden die grundlegenden theoretischen Hilfsmittel aus der Computeralgebra diskutiert, die nötig sind, um die Korrektheit des RSA Verfahrens 4. beweisen zu können. Ferner werden wir Algorithmen zitieren und ihre Laufzeiten analysieren, um begründen zu können, dass die vorgestellten Kryptosysteme für ihre berechtigten Benutzer effizient verwendet werden können. Laufzeiten werden wie üblich in der O-Notation angegeben: Definition.. Seien f,g : Z R Funktionen mit f (n),g(n) 0 für alle n 0. Dann gilt g O( f ), falls g(n) c f (n) für alle n N mit N N und c R. Damit bedeutet g O( f ) im wesentlichen nichts anderes, als dass g bis auf Multiplikation mit einer Konstanten c R höchstens so schnell wächst wie f.. Addition und Multiplikation Wir werden uns in der Regel auf die Addition und Multiplikation von ganzen Zahlen oder Polynomen über einem kommutativen Ring beschränken. Zur Addition zweier Polynome f,g R[x] mit f = n i=0 a i x i und g = m i=0 b i x i über einem kommutativen Ring R mit Einselement werden O(max{m, n}) Operationen in R benötigt. Für die Multiplikation von f und g benötigen wir mittels bloßem Ausmultiplizieren der Summendarstellungen O(m n) Ringoperationen in R. Jede ganze Zahl x Z können wir in Binärdarstellung in der Form x = n i=0 x i 2 i mit x i {0,} für i = 0,...,n schreiben. Die Zahl n heißt dann die Binärlänge von x. Lemma.2. Addition zweier n-bit Zahlen x, y Z ist mit O(n) Bit-Operationen durchführbar. Beweis. Wir schreiben x = n i=0 x i 2 i sowie y = n i=0 y i 2 i mit x i,y i {0,} für alle i = 0,...,n. Addition von x und y wird komponentenweise auf den Bits durchgeführt. Daraus folgt die Behauptung. 3

6 4 KAPITEL. GRUNDLAGEN: (COMPUTER)ALGEBRA Lemma.3. Multiplikation zweier n-bit Zahlen x,y Z ist mit O(n 2 ) Bit-Operationen durchführbar. Beweis. Wir schreiben x = n i=0 x i 2 i sowie y = n i=0 y i 2 i mit x i,y i {0,} für alle i = 0,...,n. Analog zur Multiplikation von Polynomen benötigt man O(n n) = O(n 2 ) Bit- Operationen. Bemerkung.4. Es sind schnellere Methoden zur Multiplikation zweier n-bit Zahlen bekannt. So benötigt z.b. ein Algorithmus, der auf Schönhage und Strassen zurückgeht, nur O(n log n log log n) Bit-Operationen..2 Repeated Squaring (Effizientes Potenzieren) In einer Reihe kryptographischer Verfahren ist es von essentieller Wichtigkeit, dass man effizient auch große Potenzen von Gruppenelementen berechnen kann. Das in diesem Abschnitt kurz vorgestellte Verfahren kann universell in einer beliebigen Gruppe G verwendet werden, um x k für ein Element x G und k N zu berechnen. Aus diesem Grund geben wir den Algorithmus zur Berechnung solcher Potenzen auch zunächst in sehr allgemeiner Form an. Algorithmus.5. ( Repeated Squaring ) Sei G eine Gruppe, x G und k N. Ferner sei k = n i=0 k i 2 i die Binärdarstellung der Zahl k mit k n =. () Setze y := x. (2) Für i = n 2,...,0 berechne: y := y 2 Ist k i =, so berechne zusätzlich y := y x. (3) Gebe y = x k aus. Anstatt eines Korrektheitsbeweises, bei dem man die Gültigkeit einer entsprechend geschickt gewählten Invariante nachweist, betrachten wir ein kleines Beispiel: Beispiel.6. Sei G eine Gruppe und x G. Wir wollen x 20 mit Hilfe von Algorithmus.5 berechnen. Es ist k 4 k 3 k 2 k k 0 = 000 die Binärdarstellung der Zahl 20. Zuerst setzen wir y := x. Wegen k 3 = 0 setzen wir y := y 2 = x 2 und verzichten auf eine zusätzliche Multiplikation mit x. Im nächsten Schritt ist k 2 = zu betrachten. Wir berechnen also zuerst y := y 2 = x 4 und dann zusätzlich y := y x = x 5. Wegen k = k 0 = 0 sind die nächsten beiden auszuführenden Schritte y := y 2 = x 0 und zuletzt ist der Wert von y ein weiteres Mal zu quadrieren: y := y 2 = x 20. In der Notation von.5 erhalten wir für die Laufzeit des Algorithmus: Korollar.7. Algorithmus.5 berechnet in Schritt (2) O(n)-mal das Quadrat des Elementes y und O(n)-mal das Produkt von y mit x. Insgesamt ergibt sich damit eine Laufzeit von O(n M G ), wobei M G die Laufzeit für eine Multiplikation zweier Elemente in G beschreibt.

7 .3. DIVISION MIT REST 5.3 Division mit Rest Sowohl im Ring der ganzen Zahlen als auch im Polynomring über einem Körper können wir stets Division mit Rest durchführen. Division mit Rest ist essentieller Bestandteil des Euklidischen Algorithmus und von modularer Arithmetik. Es soll an dieser Stelle weniger auf algorithmische Details eingegangen werden. Als Beispiel betrachten wir hier nur die Division mit Rest für Polynome über einem Körper. Auf ähnliche, aber ein wenig kompliziertere Weise, lassen sich auch Algorithmen zur Division mit Rest von ganzen Zahlen angeben, die auf ihren Binärdarstellungen operieren. Algorithmus.8. (Division mit Rest) Seien f = n i=0 a i x i und g = m i=0 b i x i Polynome aus F[x], F ein Körper. () Setze r := f. (2) Für i = n m,...,0 wiederhole: Wenn degr = m + i, so setze q i := lc(r) b m und r := r q i x i g. Andernfalls setze q i := 0. (3) Gebe q = n m i=0 q i x i aus. Dann gilt f = q g + r mit degr < degg. Algorithmus.8 benötigt im wesentlichen (n m+) (2m) Additionen und Multiplikationen in F. Damit folgt: Lemma.9. Division mit Rest eines Polynoms f vom Grad n durch ein Polynom g vom Grad m mit n > m benötigt O(n 2 ) Operationen im zugrundeliegenden Koeffizientenring. Ähnliche Resultate lassen sich auch für ganze Zahlen angeben. Ohne Beweis geben wir an: Lemma.0. Sind a,b Z mit Binärlängen n bzw. m, so ist Division mit Rest a = q b + r mit q,r Z und 0 r < b mit O(m (n m)) Bit-Operationen durchführbar, wobei n m im wesentlichen die Binärlänge des Quotienten q beschreibt..4 Der Euklidische Algorithmus Zur Erinnerung stellen wir diesem Abschnitt die folgenden beiden elementaren Definitionen voran: Definition.. Sei R ein Ring. Dann heißt a ein Teiler von b, a b, falls es ein r R gibt mit b = r a. Definition.2. Sei R ein euklidischer Ring (d.h. ein Ring, in dem man zwei Elemente per Division mit Rest durcheinander dividieren kann).

8 6 KAPITEL. GRUNDLAGEN: (COMPUTER)ALGEBRA (i) Dann heißt d R ein größter gemeinsamer Teiler von a,b R, d = ggt(a,b), falls d a und d b und für alle s R mit s a und s b stets s d folgt. (ii) Ein Element k R heißt kleinstes gemeinsames Vielfaches von a und b, k = kgv(a,b), falls a k und b k und für alle l R mit a l und b l stets k l folgt. Für R = Z sprechen wir häufig von dem größten gemeinsamen Teiler und meinen damit den eindeutig bestimmten positiven größten gemeinsamen Teiler zweier ganzer Zahlen. Gleiches gilt für das kleinste gemeinsame Vielfache zweier ganzer Zahlen. Im folgenden Lemma fassen wir ohne Beweis einige der wesentlichen Eigenschaften des größten gemeinsamen Teilers ganzer Zahlen zusammen: Lemma.3. Seien a, b, c Z. Dann gilt: (i) ggt(a, b) = a genau dann, wenn a b. (ii) ggt(a,a) = ggt(a,0) = a und ggt(a,) =. (iii) Kommutativität: ggt(a, b) = ggt(b, a). (iv) Assoziativität: ggt(a, ggt(b, c)) = ggt(ggt(a, b), c). (v) Distributivität: ggt(c a,c b) = c ggt(a,b). (vi) Gilt a = b, so folgt stets ggt(a, c) = ggt(b, c). (vii) Ist g = ggt(a,b), g > 0, so existieren s,t Z mit g = s a +t b. Die Darstellung Lemma.3 (vii) liefert der Erweiterte Euklidische Algorithmus, der in einem beliebigen euklidischen Ring durchgeführt werden kann. Wir geben ihn der Einfachheit halber nur für ganze Zahlen an. Die hier vorgestellte Version kann aber leicht in eine Version für Polynome umgeschrieben werden, wenn man die entsprechenden Ungleichungen als Ungleichungen über den Grad der betrachteten Polynome interpretiert. Vorab aber noch ein kleines Lemma, das uns beim Beweis der Korrektheit des Algorithmus sehr nützlich sein wird: Lemma.4. Seien a, b Z. Dann gilt: ggt(a, b) = ggt(a mod b, b). Beweis. Division mit Rest liefert a = q b + (amodb). Es gilt: ggt(a,b) teilt sowohl a als auch b, also auch amodb = a q b und damit ggt(amodb,b). Umgekehrt teilt ggt(a mod b, b) sowohl a mod b als auch b und damit auch a = q b + (a mod b). Wir erhalten also ggt(a,b) ggt(amodb,b) und ggt(amodb,b) ggt(a,b). Daraus folgt die Behauptung. Algorithmus.5. (Erweiterter Euklidischer Algorithmus (EEA)) Seien a, b Z mit a b.

9 .4. DER EUKLIDISCHE ALGORITHMUS 7 () Setze r 0 := a, r := b, s 0 :=, s := 0, t 0 := 0, t := und i :=. (2) Wiederhole den folgenden Schritt, bis r l+ = 0 gilt für ein l N 0 : Berechne q i := r i divr i als ganzzahligen Quotienten von r i und r i. r i+ := r i q i r i (d.h. r i+ = r i modr i ) s i+ := s i q i s i t i+ := t i q i t i i := i + (3) Gebe r l, s l und t l aus. Dann ist r l ein größter gemeinsamer Teiler von a und b und es gilt r l = s l a +t l b. Beweis. (Korrektheit) Der Erweiterte Euklidische Algorithmus.5 terminiert, denn es gilt für r i mit i 2 die Ungleichung 0 r i = r i 2 modr i < r i a. Damit bilden die Reste r i eine streng monoton fallende Folge ganzer Zahlen, die nach unten durch 0 beschränkt ist, d.h. der Algorithmus muss terminieren. Wir zeigen nun, dass für alle i gilt: s i a +t i b = r i. Für i = 0 und i = ist die Behauptung klar per Definition von r 0,r,s 0,s,t 0,t. Sei nun i 2. Dann folgt per Induktion: s i a +t i b = (s i 2 q i s i ) a + (t i 2 q i t i ) b = (s i 2 a +t i 2 b) (q i s i a + q i t i b) = r i 2 q i (s i a +t i b) = r i 2 q i r i = r i Damit folgt für i = l mit s l a + t l b = r l die behauptete Darstellung. Es bleibt zu zeigen, dass r l in der Tat ein größter gemeinsamer Teiler von a und b ist. Mit Lemma.4 und a = (adivb) b + (amodb) = q b + r 2 folgt ggt(a,b) = ggt(amodb,b) = ggt(r 2,b) = ggt(r 2,r ). Wegen r i+ = r i modr i folgt ggt(r i,r i ) = ggt(r i modr i,r i ) = ggt(r i+,r i ). Wegen r l+ = 0 und r l = ggt(r l+,r l ) folgt per Rekursion r l = ggt(r 2,r ) = ggt(a,b). Wir betrachten ein Beispiel: Beispiel.6. Seien a = 26 und b = 35. zunächst definieren wir r 0 := 26, r := 35, s 0 :=,

10 8 KAPITEL. GRUNDLAGEN: (COMPUTER)ALGEBRA s := 0, t 0 := 0 und t :=. Dann folgen wir der Vorschrift aus.5: i = q = r 0 divr = 26div35 = 3 r 2 = r 0 q r = = 2 s 2 = s 0 q s = 3 0 = t 2 = t 0 q t = 0 3 = 3 i = 2 q 2 = r divr 2 = 35div2 = r 3 = r q 2 r 2 = 35 2 = 4 s 3 = s q 2 s 2 = 0 = t 3 = t q 2 t 2 = ( 3) = 4 i = 3 q 3 = r 2 divr 3 = 2div6 = r 4 = r 2 q 3 r 3 = 2 4 = 7 s 4 = s 2 q 3 s 3 = ( ) = 2 t 4 = t 2 q 3 t 3 = 3 4 = 7 i = 4 q 4 = r 3 divr 4 = 4div7 = 2 r 5 = r 3 q 4 r 4 = = 0 Damit folgt: ggt(26,35) = r 4 = 7 und 7 = ( 7) 35. Nun wollen wir uns überlegen, welche Kosten der Erweiterte Euklidische Algorithmus für zwei ganze Zahlen a und b beansprucht. Theorem.7. Der Erweiterte Euklidische Algorithmus.5 für zwei Zahlen a, b Z mit a b und n := log 2 a + benötigt O(n) Wiederholungen von Schritt (2) und insgesamt eine Laufzeit von O(n 2 ) Bit-Operationen. Beweis. Im folgenden setzen wir o.e. a,b 0 voraus. Es sei l die Anzahl der Schritte, die der Erweiterte Euklidische Algorithmus bei Eingabe a und b benötigt, bis er s l,t l,r l ausgibt mit r l = ggt(a,b) und r l = s l a +t l b. Dann erhalten wir in der Notation von.5 r i = q i r i + r i+ r i + r i+ > 2 r i+, da die Folge der Reste eine streng monoton fallende Folge nichtnegativer ganzer Zahlen bildet. Also folgt r i > 2 l 2 l r i+. l i=2 i=2

11 .5. BERECHNUNG MODULARER INVERSER 9 Mit Hilfe dieser Abschätzung gewinnen wir aber eine Abschätzung für die Anzahl l der vom Erweiterten Euklidischen Algorithmus benötigten Schritte: 2 l 2 < l i=2 r i l i=2 r = r r 2 < r2 i+ r l r l 2 = 2l < 2 r 2 Anwendung von log 2 auf die letzte Ungleichung liefert l < log 2 (2 r 2 ) = +2 log 2 r. Wegen r = b a ergibt sich das zentrale Resultat l + 2 log 2 a und somit l O(log 2 a) = O(n). Den wesentlichen Aufwand in.5 machen die Multiplikationen in Schritt (2) aus. Der Aufwand zur Berechnung von r i+ = r i q i r i ist also im wesentlichen durch log 2 q i log 2 r i gegeben. Der Gesamtaufwand zur Berechnung aller solcher Werte beläuft sich damit im wesentlichen auf l i= log 2 q i log 2 r i l i= = log 2 a log 2 q i log 2 a l i= = log 2 a log 2 l log 2 q i q i i= log 2 a O(log 2 a) O((log 2 a) 2 ) = O(n 2 ) Man kann zeigen, dass stets gilt s i a r i und t i b r i. Es folgt s i a und t i a falls a > 0 mit a > b. Da für die Werte s i und t i also ähnliche Abschätzungen gelten ergibt sich damit eine Gesamtlaufzeit von O(n 2 ), denn wir können uns in der obigen Abschätzung für r i einfach s i oder auch t i denken. Analoge Betrachtungen liefern im Fall des Erweiterten Euklidischen Algorithmus für Polynome: Theorem.8. Seien F ein Körper und f,g F[x] Polynome mit deg f = n, degg = m sowie n m. Dann benötigt der Erweiterte Euklidische Algorithmus bei Eingabe f und g O(n 2 ) Additionen und Multiplikationen in F. Beweis. Siehe [8], Seite 38, Theorem Berechnung modularer Inverser Restklassenringe ganzer Zahlen sind für uns die algebraische Struktur, in der wir später in kryptographischen Verfahren rechnen wollen. Grundlegend ist die folgende Definition.

12 0 KAPITEL. GRUNDLAGEN: (COMPUTER)ALGEBRA Bemerkung und Definition.9. Sei N N, N 2. Auf dem Ring der ganzen Zahlen Z definieren wir die Relation N vermöge a N b : N a b. Die Relation N ist eine Äquivalenzrelation, so dass wir die Äquivalenzklassen nach N betrachten können. Die Klasse von a Z modulo N definieren wir als amodn := [a] N := {b Z b N a}. Als Repräsentanten für a mod N wählen wir immer die kleinste nicht-negative ganze Zahl z mit 0 z N aus der Menge {b Z : N (b a)}. Die Menge der Äquivalenzklassen nach der Äquivalenzrelation N bezeichnen wir mit Z N. Wir definieren für a modn,a 2 modn Z N eine Addition und eine Multiplikation wie folgt: a modn + a 2 modn = (a + a 2 )modn, a modn a 2 modn = (a a 2 )modn. Mit der so definierten Addition und Multiplikation wird Z N zu einem kommutativen Ring mit Nullelement 0modN und Einselement modn, der als Restklassenring von Z modulo N bezeichnet wird. Z N hat N Elemente. Ein bezüglich der Multiplikation invertierbares Element amodn bezeichnen wir als Einheit modulo N. Die Menge aller Einheiten von Z N wird mit Z N bezeichnet. Beispiel.20. Sei N = 6. Dann besteht Z N = Z 6 aus den Restklassen 0mod6, mod6, 2mod6, 3mod6, 4mod6 und 5mod6. Es gilt: 2mod6 + 3mod6 = (2 + 3)mod6 = 5mod6, 4mod6 + 5mod6 = (4 + 5)mod6 = 9mod6 = 3mod6, 2mod6 2mod6 = (2 2)mod6 = 4mod6, 2mod6 3mod6 = (2 3)mod6 = 6mod6 = 0mod6, 5mod6 5mod6 = (5 5)mod6 = 25mod6 = mod6. Wir wollen uns nun ein wenig genauer mit dem Ring Z N = {k modn k {0,...,N }} für ein N N beschäftigen. Unter anderem im Rahmen des RSA Verfahrens 4. sind wir an den Einheiten Z N modulo einer Zahl N interessiert. Es gilt: Lemma.2. Für N N gilt Z N = {k modn ggt(k,n) = }. Mit anderen Worten erhalten wir: k ist invertierbar modulo N genau dann, wenn ggt(k, N) =.

13 .5. BERECHNUNG MODULARER INVERSER Beweis. Es sei r Z N. Dann gibt es ein l Z N mit r l modn, d.h. r l = m N + für ein m N. Folglich ist r l m N = und ggt(r,n). Es folgt ggt(r,n) =. Umgekehrt liefert für r mod N {k mod N ggt(k, N) = } der Erweiterte Euklidische Algorithmus.5 die Darstellung = s r +t N mit s,t Z. Reduktion modulo N liefert smodn als Inverses von r modn. Bevor wir den Algorithmus explizit angeben, betrachten wir noch ein kleines Beispiel: Beispiel.22. Gesucht sei das modulare Inverse von 23 mod 0. Der Erweiterte Euklidische Algorithmus.5 liefert uns die Darstellung Reduktion modulo 0 liefert also = mod0 ( 43mod0) (23mod0) + (9mod0) (0mod0) } {{ } =0mod0 ( 43mod0) (23mod0) (67mod0) (23mod0), also gilt (23mod0) (67mod0). Der Beweis des obigen Lemmas ist konstruktiv und liefert uns unmittelbar den folgenden Algorithmus zur Berechnung modularer Inverser. In Wirklichkeit ist der folgende Algorithmus ein wenig allgemeiner formuliert. Als Eingabe werden k, N N erwartet. Ausgabe ist dann entweder das modulare Inverse von k modulo N, falls k invertierbar modulo N ist, oder k ist nicht invertierbar modulo N. Algorithmus.23. (Berechnung des modularen Inversen) Sei N N und k Z N. () Berechne mit Hilfe des Erweiterten Euklidischen Algorithmus.5 die Darstellung g = ggt(k,n) = s k +t N. (2) Ist g =, so gebe smodn aus. Andernfalls gebe k ist nicht invertierbar modulo N aus. Die Korrektheit des Algorithmus folgt aus Lemma.2. Setzen wir k N voraus, so folgt nach Theorem.7, dass das modulare Inverse von k modn mit O(n 2 ) Bit-Operationen berechnet werden kann, wobei n = log 2 N +. Damit erhalten wir die folgenden Laufzeiten für modulare Arithmetik: Korollar.24. Sei N N und n := log 2 N + die Bit-Länge der Zahl N. Die Summe zweier Elemente aus Z N läßt sich mit O(n) Bit-Operationen berechnen. Für die Multiplikation zweier Elemente (nach der klassischen Methode) erhalten wir eine Laufzeit von O(n 2 ) Bit- Operationen. Berechnung des Inversen eines Elementes aus Z N ist mit O(n2 ) Bit-Operationen durchführbar. Ferner hat Algorithmus.5 zum effizienten Potenzieren eine Laufzeit von O(n 3 ) (wenn man zur Multiplikation die klassische Methode verwendet und voraussetzt, dass der Exponent N ist).

14 2 KAPITEL. GRUNDLAGEN: (COMPUTER)ALGEBRA Beweis. Die Aussagen über die Laufzeit von Multiplikation und Division sind klar. Nicht so offensichtlich ist die Tatsache, dass die Summe zweier Elemente k modn und l modn tatsächlich nur lineare Laufzeit benötigt, denn wir berechnen zunächst k + l (was sicherlich nur Zeit O(n) benötigt) und müssen anschließend k + l unter Umständen modulo N reduzieren. Zur Reduktion von k + l modulo N müssen wir aber nicht wirklich Division mit Rest ausführen, denn es gilt k + l < 2 N. Ist also k + l > N, so wählen wir schlicht k + l N als Repräsentanten von k + l modn. Dies erfordert nur eine weitere Addition. Die Aussage über die Laufzeit von Algorithmus.5 zum effizienten Potenzieren ergibt sich wie folgt: Zur Berechnung von x k modn können wir (wie wir später sehen werden) ohne Einschränkung 0 k N voraussetzen. Damit hat k höchstens eine so große Binärlänge wie die Zahl N selbst. Algorithmus.5 führt nun O(log 2 k) = O(log 2 N) = O(n) Schleifendurchläufe durch. In jedem Schleifendurchlauf werden entweder eine oder zwei Multiplikationen ausgeführt, die jeweils nach der klassischen Methode eine Laufzeit von O(n 2 ) haben. Insgesamt ergibt sich damit die behauptete Laufzeit. Als weitere Folgerung aus den bisherigen Ergebnissen erhalten wir: Korollar.25. Der Ring Z N ist ein Körper genau dann, wenn N eine Primzahl ist. Später widmen wir uns auch der Frage, wie groß die Wahrscheinlichkeit ist, dass zwei zufällig gewählte Zahlen k,l R {0,...,N} teilerfremd sind. Es gilt im wesentlichen: #{ x,y N ggt(x,y) = } N 2 6 ( ) ( ) lnn lnn π 2 + O O N N Wir kommen auf diese Aussage in Abschnitt.7. auf Seite 5 zurück..6 Der Chinesische Restsatz Wir betrachten wieder den Ring Z N. Ist N = p e... pe r r die Zerlegung von N in paarweise teilerfremde Primpotenzen, so ist es unser Ziel zu beweisen, dass Z N isomorph zu Z e p... Z p er ist. Eine solche Zerlegung von Z r N ist nützlich, da man Berechnungen modulo N auf Berechnungen modulo der teilerfremden Primpotenzen von N reduzieren kann. In Wirklichkeit gilt der Chinesische Restsatz sogar allgemeiner. Man muss nur verlangen, dass N in paarweise teilerfremde Faktoren zerfällt und kann entsprechende Berechnungen dann auf Berechnungen modulo dieser paarweise teilerfemden Faktoren reduzieren. Bevor wir den Chinesischen Restsatz jedoch beweisen können, zunächst ein vorbereitendes Lemma: Lemma.26. Seien m,n N mit n > m. Gilt m n, so ist die Abbildung f : Z n Z m, k mod n k mod m ein Ringhomomorphismus. Beweis. Es gelte m n. Dann folgt unmittelbar f (0modn) = 0modm und f (modn) = modm. Wir müssen zeigen, dass für a,b {0,...,n } die Bedingungen f (a + b) = f (a) + f (b) und f (a b) = f (a) f (b) gelten. Wir zeigen nur die erste Gleichung. Die

15 .6. DER CHINESISCHE RESTSATZ 3 zweite folgt ganz analog. Es gilt f (a + b) = ((a + b) mod n)modm und f (a) + f (b) = (amodm + bmodm)modm. Setze r := (a + b) mod n, s := amodm und t := bmodm. Dann müssen wir zeigen, dass gilt: r s + t modm. Schreibe a + b = q n + r, a = q 2 m + s und b = q 3 m+t. Dann gilt: r s t = a+b q n a+q 2 m b+q 3 m = q n+(q 2 +q 3 ) m. Wegen m n und m m folgt m r s t, also r s +t modm. Theorem.27. (Chinesischer Restsatz) Sei N N und N = q... q r die Zerlegung in paarweise teilerfremde Faktoren q,...,q r. Dann gilt: Z N = Zq... Z qr. Mit anderen Worten: Zu a,...,a r Z existiert stets ein x Z mit x a i modq i für i =,...,r und jedes solche x ist modulo N eindeutig bestimmt. Beweis. Mit Hilfe von Lemma.26 folgt, dass xmodn (xmodq,...,xmodq r ) ein Homomorphismus ist ( komponentenweise Anwendung von.26 liefert hier die Behauptung). Dass diese Abbildung tatsächlich ein Isomorphismus ist, folgt, wenn wir die Behauptung über die Kongruenzen des Theorems nachweisen. Setze zunächst l i := j i q j. Dann gilt l i mod q j = 0 für alle j i und l i ist invertierbar modulo q i, da q,...,q r als paarweise teilerfremd vorausgesetzt sind. Sei k i := li modq i. Dann folgt k i l i = 0modq j für alle j i und k i l i = modq i. Setze nun x := r i= a i k i l i. Dann folgt xmodq j = r i= a i k i l i modq j = a j k j l j modq j = a j modq j. Damit erfüllt also der gewählte Wert x die gewünschten Kongruenzen. Zur Eindeutigkeit modulo N sei x mit x a i modq i für i =,...,r. Dann gilt x x modq i für i =,...,r. Mit anderen Worten: q i x x für i =,...,r. Da q,...,q r paarweise teilerfremd sind, folgt N x x, also die Behauptung. Der Beweis des Chinesischen Restsatzes liefert den folgenden effizienten Algorithmus. Algorithmus.28. ( Chinese Remaindering ) Seien q,...,q r N paarweise teilerfremd und a,...,a r Z. Dann können wir wie folgt eine Lösung der Gleichungen x a i modq i für i =,...,r bestimmen: () Berechne l i := j i q j für i =,...,r. (2) Berechne k i := li modq i für i =,...,r. (3) Gebe x = r i= a i k i l i mod r j= q j aus. Die Korrektheit des Algorithmus folgt sofort aus dem Beweis des Chinesischen Restsatzes.27. Für die Laufzeit des Algorithmus erhalten wir: Korollar.29. In der Notation von.28 sei N = q... q r und n = log 2 N + die Binärlänge der Zahl N. Dann kann x mit O(r n 2 ) Bit-Operationen berechnet werden. Beweis. Die Berechnung des Wertes l = j q j = q 2 q 3... q r benötigt im wesentlichen Zeit log 2 N r i=3 log 2 q i = log 2 N log 2 r i=3 q i O(log 2 N log 2 N) = O(n 2 ) Operationen. Die Berechnung der Werte l 2,...,l r benötigt dann nur noch jeweils ein weitere Multiplikation und eine Division. Damit beläuft sich der Gesamtaufwand für Schritt () auf O(r n 2 ). Die Berechnung von k i als Inverses von l i modulo q i benötigt nach Korollar.24 etwa (log 2 q i ) 2

16 4 KAPITEL. GRUNDLAGEN: (COMPUTER)ALGEBRA Bit-Operationen. Die Berechnung aller Inverser k i für i =,...,r benötigt daher im wesentlichen Laufzeit r i= (log 2 q i) 2 ( r i= log 2 q i) 2 = (log 2 r i= q i) 2 = (log 2 N) 2 O(n 2 ). Analoge Schlüsse zeigen, dass auch die Berechnungen in Schritt (3) diese Laufzeit nicht überschreiten, weshalb sich insgesamt die Behauptung ergibt. Eine nützliche Folgerung aus dem Chinesischen Restsatz.27 ist die folgende: Korollar.30. Sei N N und N = q... q r die Zerlegung in paarweise teilerfremde Faktoren q,...,q r. Dann gilt auch Z N = Z q... Z q r. Die Behauptung folgt mit der Beobachtung, dass eine Zahl x genau dann teilerfremd zu N = q... q r ist, wenn sie zu jedem der paarweise teilerfremden Faktoren q,...,q r teilerfremd ist..7 Die Eulersche ϕ-funktion und einige ihrer Eigenschaften Wir wollen in diesem Abschnitt die Eulersche ϕ-funktion einführen und einige der Eigenschaften dieser Funktion beweisen, die für uns im kryptographischen Anwednungskontext von Nutzen sein werden. Definition.3. Sei N N. Dann ist die Eulersche ϕ-funktion definiert durch ϕ(n) := #{ x N ggt(x,n) = }. Lemma.32. Für jede Primzahl p N gilt: ϕ(p) = p. Beweis. Es gilt { x p ggt(x, p) = } = {,..., p }. Dies zeigt die Behauptung. Lemma.33. Sei p N eine Primzahl und e N. Dann gilt: ϕ(p e ) = (p ) p e. Beweis. In der Menge {,..., p e } sind genau p e Zahlen Vielfache von p. Folglich gilt ϕ(p e ) = p e p e = (p ) p e. Satz.34. Sei N = p e... pe r r die Zerlegung von N in paarweise teilerfremde Primpotenzen. Dann gilt: ϕ(n) = (p ) p e... (p r ) p e r r Beweis. Nach Lemma.33 gilt: ϕ(p e i i ) = (p i ) p e i i für i r. Da die zu N teilerfremden Elemente aus {,...,N} gerade den invertierbaren Elementen modulo N entsprechen, liefert uns der Chinesische Restsatz wegen Z N = Z p e... Z p er die Behauptung, r denn ϕ(n) = #Z N = r i= #Z p e i i = r i= ϕ(pe i i ). Wir erhalten nun auch eine Formel für die Wahrscheinlichkeit, dass eine zufällig aus {,...,N} gewählte Zahl teilerfremd zu N (d.h. modulo N invertierbar):

17 .7. DIE EULERSCHE ϕ-funktion 5 Satz.35. Sei N N. Dann gilt für x R {,...,N}: P(ggT(x,N) = ) = p N p prim ( ). p Beweis. Sei N = r i= pe i i die Zerlegung von N in paarweise teilerfremde Primpotenzen. Dann gilt nach Satz.34 gerade ϕ(n) = r i= (p i ) p e i i. Es folgt: also die Behauptung. P(ggT(x,N) = ) = ϕ(n) N = r i= (p i ) p e i i = = r i= r i= r i= pe i i (p i ) p ( pi ) Satz.35 gibt einen exakten Wert für die Wahrscheinlichkeit an, dass ein zufällig gewähltes xmodn ein Element von Z N ist. Ist N also eine Zahl mit großen Primteilern p, so sind die Faktoren p sehr nah bei dem Wert. Die Chance durch zufällige Wahl eines Elementes xmodn eine Einheit zu erhalten, ist also sehr groß. Der folgende Satz findet sich z.b. in [0] und macht eine stärkere Aussage: Satz.36. (Durchschnittliche Ordnung von ϕ(n)) Die durchschnittliche Größenordnung von ϕ(n) für ein n N ist 6 n. Die Wahrscheinlichkeit, dass zwei zufällig gewählte Zahlen π 2 n teilerfremd sind, ist damit näherungsweise 6 Der folgende Abschnitt ist dem Beweis dieses Resultates gewidmet. π Die durchschnittliche Ordnung von ϕ(n) Ziel dieses Abschnitts soll der Beweis der Aussage n ϕ(k) n k= k = 6 π 2 + O ( logn n i ) (.7.) sein. Daraus folgt dann die Aussage von Satz.36. Diese Aussage ist u.a. im Kontext des RSA-Verfahrens von Bedeutung, denn sie liefert eine Abschätzung für die Wahrscheinlichkeit, dass man durch zufällige Wahl aus der Menge {,2,...,n } eine Einheit modulo n, also ein Element von Z n, findet. Für großes n besagt (.7.), dass diese Wahrscheinlichkeit π % beträgt. Man kann also guten Gewissens zum Auffinden von Einheiten modulo n wie folgt vorgehen:

18 6 KAPITEL. GRUNDLAGEN: (COMPUTER)ALGEBRA Algorithmus.37. (Finden von Einheiten in Z n ) Gegeben n N. () Wähle e {,2,...,n } zufällig. (2) Wende den Euklidischen Algorithmus zur Berechnung von g := ggt(e,n) an. Ist g =, so gebe e aus. Ist g >, so gehe zurück zu Schritt (). Mit e ist im letzten Schritt des Algorithmus eine Einheit modulo n gefunden. Der zufälligen Wahl in Schritt () liegt also erwartungsgemäß eine Trefferwahrscheinlichkeit von etwa 60% zugrunde, d.h. der Algorithmus liefert erwartungsgemäß bereits nach 2 Durchläufen ein Ergebnis. Da der Euklidische Algorithmus effizient ist (Laufzeit im wesentlichen O(log 2 n)), kann auch Schritt (2) bedenkenlos mehrfach hintereinander ausgeführt werden. Zum Beweis von (.7.) sind einige Vorbereitungen zu treffen. Einen Eindruck von den zu erbringen Vorleistungen erhalten wir, wenn wir die rechte Seite von (.7.) wie folgt verkomplifizieren : 6 π 2 + O ( ) logn n = = n= +O n } {{ 2 } Euler s Basel Problem +O ζ (2) } {{ } Riemann sche ζ -Funktion ( ) logn n ( logn n ). Es gibt also Zusammehänge zwischen (.7.), der Riemann schen ζ -Funktion sowie Euler s Basel Problem. Wir beginnen mit den grundlegenden Definitionen, die im Rahmen des Bweises vom (.7.) von Relevanz sind. Definition.38. (Möbius Funktion, Riemannsche ζ -Funktion) Es seien n N und s R, s >. (i) Die Möbius Funktion µ ist definiert durch falls n =, µ(n) := ( ) r falls n quadratfrei mit r verschiedenen Primfaktoren ist, 0 falls n nicht quadratfrei ist. (ii) Die Riemannsche ζ -Funktion ist für s R, s > definiert durch ζ (s) := n= n s.

19 .7. DIE EULERSCHE ϕ-funktion 7 Zwischen der Möbius-Funktion und der Riemann schen ζ -Funktion gibt es folgenden für uns später relevanten Zusammenhang: Lemma.39. (Darstellungen für ζ (s) und ) Sei s R, s >. Dann gilt: ζ (s) (i) Bezeichnet p k für jedes k N die k-te Primzahl, so gilt: ζ (s) = k= p s k (ii) Einen Zusammenhang zwischen Möbius-Funktion und der Riemann schen ζ -Funktion liefert: ζ (s) = µ(n) n= n s. Beweis. (i) Mit Hilfe geometrischer Reihenentwicklung gilt:, k= p s k = = p s p s 2 p s 3 ( ( ( k=0 ( = + p s = + i>0 p s i p s ) k) ( k=0 + p 2s + j>i>0 + p 3s + p s i ps j p s 2 ) k) ( k=0 ) ( + p s 2 + k> j>i>0 = + 2 s + 3 s + 4 s +... = n= n s = ζ (s). ( ) ) k p s 3 + p 2s 2 p s i ps j +... ps k + ) p 3s + 2 (ii) Wir verwenden direkt die unter (i) bewiesene Darstellung für ζ (s). Dies liefert: ) (i) = ζ (s) l= ( p s l ( = p s + p s 2 = i>0 p s i µ(p i ) = + i>0 p s i = µ(n) n= n s. + j>i>0 ) ( p s ps 2 p s ps 3 p s i ps j p s i ps j +... ps k k> j>i>0 + ) p s ps 3 µ(p i p j ) µ(p i p j p k ) + j>i>0 p s i + ps j k> j>i>0 p s i ps j +... ps k

20 8 KAPITEL. GRUNDLAGEN: (COMPUTER)ALGEBRA Ferner benötigen wir das folgende als Basel Problem bekanntes und erstmals von Leonard Euler gelöste Resultat: Lemma.40. (Basel Problem) Der Grenzwert lim m m n= n 2 n= = π2 π2 n 2 6. Mit anderen Worten: ζ (2) = 6. existiert und es gilt Auf einen strikt formalen Beweis verzichten wir und geben stattdessen die intuitve Herleitung des Resultats an so wie sie schon von Euler durchgeführt wurde: Beweis. Die Taylorentwicklung der Sinus-Funktion liefert sin(x) x = x2 3! + x4 5! x6 7! +. Alle Nullstellen von sin(x) x sind gegeben durch x = l π für l = ±,±2,±3,... Schreiben wir also formal sin(x) x als Produkt von Linearfaktoren wie im endlichen Fall bei Polynomen üblich, so erhalten wir sin(x) x Die Koeffizienten von x 2 sind also gegeben durch = = ( x ) ( + x ) ( 2 x ) ( 2 + x ) π π π π ) ) ( ( x2 π 2 x2 4π 2 π 2 4π 2 9π 2 = π 2 n= Der Koeffizient von x 2 in der Taylorreihentwicklung von sin(x) x n= = π2 n 2 6. n 2. ist 3!. Gleichsetzen ergibt Mit den oben zusammengefassten Definitionen und Resultaten können wir nun den folgenden Satz beweisen: Satz.4. (Durchschnittliche Ordnung von ϕ(n)) Die durchschnittliche Ordnung von ϕ(n) ist gegeben durch n ϕ(k) n = 6 ( ) logn k= k π 2 + O. n Beweis. Der Beweis wird in 4 Schritten geführt. Schritt. Zeige, dass gilt: n ϕ(k) k= k = n µ(k) n. (.7.2) k= k k

21 .7. DIE EULERSCHE ϕ-funktion 9 Beweis per Induktion. Für n = gilt ϕ() = = µ(). Für den Induktionsschritt gelte (.7.2). Wir zeigen: n ( ϕ(n + ) µ(k) n + n ) µ(n + ) = n + + k= k k k n +, (.7.3) wobei die Induktionsvoraussetzung (.7.2) bereits in die rechte Seite eingegangen ist. Wegen { n + n falls k (n + ), = k k 0 sonst, folgt, dass die rechte Seite von (.7.3) gegeben ist durch Es bleibt also zu zeigen, dass µ(k) µ(n + ) µ(k) + = k (n+) k n + k. k (n+) k<n+ µ(k) ϕ(n + ) = k n +. k (n+) Sei dazu n + = p e... pe r r mit paarweise verschiedenen Primzahlen p,..., p r und e,...,e r N die Faktorisierung von n +. Dann gilt: ϕ(n + ) n + = (p ) p e... (p r ) p e r r p e... pe r r = r l= ( pl ) ( = + ) ( p p 2 = + i>0 p i j>i>0 p i p j µ(k) = k. k (n+) p p p p 3 + p 2 p k> j>i>0 p i p j p k +... )... Dies zeigt (.7.2). Schritt 2. Untere und obere Schranken für n n k= ϕ(k) k n k n k n k finden. Wegen

22 20 KAPITEL. GRUNDLAGEN: (COMPUTER)ALGEBRA folgt mit Hilfe von (.7.2) gerade n µ(k) ( n ) n k= k k n n ϕ(k) k= k n n µ(k) n k= k k. Damit ist eine obere Schranke für n n k= Es gilt weiter U n := n µ(k) ( n ) n k= k k wobei im letzten Schritt die Abschätzung verwendet wurde. Damit ist eine untere Schranke für n n k= ϕ(k) k n k= = gegeben durch µ(k) k 2. n µ(k) k= k 2 = U n n > U n n n n k= n k= n µ(k) k= k µ(k) k k > U n (log(n) + ), n n n k= k < logn dx = lnn < x loge < logn + n L n := U n (log(n) + ) n ϕ(k) k. Wir haben also gezeigt: ( logn n ϕ(k) = U n + O k= k Schritt 3. Der Grenzwert lim n U n existiert. Diese Aussage folgt mit Hilfe der Dreiecksungleichung aus n U n µ(k) n k 2 k= k 2, k= da insbesondere die Konvergenz von k= nach Lemma.40 sichergestellt ist. Damit k 2 ist k= konvergente Majorante zu k 2 k= µ(k) k und aus absoluter Konvergenz folgt 2 Konvergenz. n ).

23 .8. KETTENBRÜCHE 2 Schritt 4. Zeige, dass U n von der Ordnung π2 6 ist. Es gilt: Damit ist das Theorem bewiesen. lim U µ(k) Lemma.39 (ii) n = n k k 2 = Lemma.40 = ζ (2) 6 π 2..8 Kettenbrüche Ein bekannter Angriff auf das RSA-Verfahren, wenn der private Schlüssel sehr klein gewählt wird, basiert auf der sogenannten Kettenbruchentwicklung einer rationalen Zahl. Die Grundlagen zum Verständnis des Angriffs von Wiener sollen hier bereitgestellt werden. Die hier gewählte Darstellung der Theorie ist [2] entnommen (siehe Kapitel 2). Definition.42. Ein Kettenbruch ist ein Ausdruck der Form [a 0,a,...,a n ] = a 0 + a + a an + a n mit a 0 Q und a,...,a n Q \ {0}. Das folgende Lemma faßt einige offensichtliche Rechenregeln für Kettenbrüche zusammen: Lemma.43. Seien a 0 Q und a,...,a n Q\{0}. Dann gelten die folgenden Rechenregeln für Kettenbrüche: (i) [a 0,a,...,a n,a n ] = [a 0,a,...,a n,a n,] (ii) [a 0,a,...,a n,a n ] = [a 0,a,...,a n + a n ] (iii) [a 0,a,...,a n,a n ] = a 0 + [a,...,a n,a n ] Im folgenden werden wir nur Kettenbrüche betrachten, für die a i N gilt für alle i = 0,...,n. Auch wenn Lemma.43 (i) besagt, dass verschiedene Kettenbrüche die gleiche Zahl darstellen können, so ist diese eine Mehrdeutigkeit auch die einzige Möglichkeit zwei verschiedene Kettenbrüche für ein- und dieselbe rationale Zahl anzugeben vorausgesetzt alle a i sind natürliche Zahlen. Im folgenden wird diese Mehrdeutigkeit ignoriert. Die im folgenden Satz über die Existenz einer Kettenbruchentwicklung für rationale Zahlen vorgenommene Einschränkung auf positive rationale Zahlen, ist keine wirkliche Einschränkung. Man muss nur a 0 Z erlauben und es lassen sich auch negative rationale Zahlen

24 22 KAPITEL. GRUNDLAGEN: (COMPUTER)ALGEBRA als Kettenbrüche darstellen (soll die Kettenbruchentwicklung von q für eine positive rationale Zahl q berechnet werden, so betrachte q +( q q), setze a 0 := q und bestimme die Kettenbruchentwicklung der positiven rationalen Zahl q q). Satz.44. Jede positive rationale Zahl m 0 m besitzt eine Kettenbruchentwicklung, d.h. es gibt Elemente a 0,...,a n N mit [a 0,...,a n ] = m 0 m. Der Beweis ist konstruktiv und liefert uns zugleich einen Algorithmus zur Berechnung der Kettenbruchentwicklung einer positiven rationalen Zahl mit Hilfe des Euklidischen Algorithmus.5. Wir benötigen in diesem Fall allerdings nicht einmal die Werte s i und t i die in.5 automatisch mitberechnet werden. Sie müssen für die Korrektheit des folgenden Algorithmus nicht mitberechnet werden. Algorithmus.45. (Kettenbruchentwicklung einer rationalen Zahl) Sei m 0 m rationale Zahl. eine positive () Wende den Euklidischen Algorithmus.5 auf die Eingabe a = m 0 und b = m an. (2) In der Notation von.5 wähle a 0,...,a n als Folge der auftretenden (nichtnegativen ganzzahligen) Quotienten q,...,q n,q n+. (3) Gebe [a 0,...,a n ] aus. Beweis. (Korrektheit) Der Euklidische Algorithmus liefert uns mit a i := q i+ die Darstellungen m 0 = a 0 m + m 2 0 < m 2 < m,a 0 0 m = a m 2 + m 3 0 < m 3 < m 2,a > 0.. m i = a i m i + m i+ 0 < m i+ < m i,a i > 0.. m n = a n m n+ a n > 0 Wir führen den Korrektheitsbeweis per Induktion über n (Anzahl der vom Euklidischen Algorithmus benötigten Schritte). Ist n =, so gilt m 0 = a 0 m + m 2 und m = a m 2. Damit erhalten wir a 0 + = m 0 m 2 + m a m = m 0 m 2 + m 2 = m 0, m 2 m m m also die Behauptung. Wegen m 0 = a 0 m + m 2 folgt m 0 = a 0 + m 2 = a 0 + m m m = a 0 + m 2 [a,...,a n ] = [a 0,a,...,a n ], wobei wir bei der letzten Identität die Induktionsvoraussetzung auf m m 2 anwenden konnten...

25 .8. KETTENBRÜCHE 23 Mit Hilfe der Laufzeitabschätzung für den Erweiterten Euklidischen Algorithmus in Theorem.7 folgt sofort: Korollar.46. Ist m 0 m eine positive rationale Zahl, so berechnet Algorithmus.45 mit einem Aufwand von O(n 2 ) Bit-Operationen die Kettenbruchentwicklung von m 0 m, wobei n das Maximum der Binärlängen von m 0 und m ist. Definition.47. Sei [a 0,...,a n ] die Kettenbruchentwicklung der positiven rationalen Zahl m 0 m. Dann heißen die rationalen Zahlen p l q l = [a 0,...,a l ], l = 0,...,n die Konvergenten der Kettenbruchentwicklung von m 0 m. Für die Konvergenten der Kettenbruchentwicklung einer positiven rationalen Zahl können wir die folgenden Rekursionsformeln angeben, die ihre Berechnung effizient möglich machen: = [a 0,...,a l ], l = 0,...,n einer Kettenbruchentwick- Lemma.48. Für die Konvergenten p l q l lung von m 0 m gelten: p 0 = a 0 q 0 = p = + a p 0 q = a p l = p l 2 + a l p l q l = q l 2 + a l q l, l 2. Beweis. Wir führen den Beweis per Induktion nach l. Für l = 0 und l = rechnen wir die Formeln explizit nach. Für l = 0 erhalten wir p 0 q 0 = [a 0 ] = a 0, also p 0 = a 0 und q 0 =. Für l = gilt p q = [a 0,a ] = a 0 + a = a a 0 + a, also p = a a 0 + = a p 0 + sowie q = a. Nach Lemma.43 (ii) gilt p l+ q l+ = [a 0,...,a l,a l+ ] = [a 0,...,a l + a l+ ]. Nach Induktionsvoraussetzung erhalten wir Damit folgt dann: p l+ [ a 0,...,a l + ] = a l+ ( ) a l + a l+ ( a l + a l+ ) p l + p l 2 ( ). a l + a l+ q l + q l 2 [ a 0,...,a l + ] a l+ = [a 0,...,a l,a l+ ] = q l+ ( ) a l + a l+ p l + p l 2 = = a l+ ( q l + q a l 2 l+ (a l q l + q l 2 = a l+ p l + p l a l+ q l + q l =p l { }} { a l p l + p l 2 ) + p l } {{ } =q l ) + q l Das folgende Lemma geben wir ohne Beweis an:

26 24 KAPITEL. GRUNDLAGEN: (COMPUTER)ALGEBRA Lemma.49. Werden die natürlichen Zahlen p l und q l wie in Lemma.48 berechnet, so sind sie teilerfremd. Auf dem folgenden Theorem beruht der Angriff von Wiener auf RSA für kleine private Schlüssel. Wir geben ihn hier ohne Beweis an. Ein Beweis findet sich in [6], Lemma 5.7.6, Seite 275. Theorem.50. Sind m 0 m und p q rationale Zahlen mit m 0 p m q < 2 q 2, so ist p q eine Konvergente der Kettenbruchentwicklung von m 0 m..9 Einige gruppentheoretische Resultate Wir wollen in diesem Abschnitt die für uns wichtigsten gruppentheoretischen Resultate zusammenfassen. Zur Erinnerung: Definition.5. Die Anzahl der Elemente einer Gruppe G bezeichnen wir stets mit #G und nennen #G die Ordnung von G. G heißt eine endliche Gruppe, wenn #G <. Sie heißt zyklisch, wenn es ein z G mit G = z. Dabei bezeichnet z die Menge {z j j Z} aller Potenzen von z mit ganzzahligen Exponenten. Für ein beliebiges x G ist x zumindest stets immer eine Untergruppe von G. Diese Untergruppe ist dann im Sinne der obigen Definition eine zyklische Untergruppe von G. Die Ordnung eines Elementes x G, geschrieben ord(x), ist die Ordnung der von x erzeugten zyklischen Untergruppe x von G..9. Der Satz von Lagrange Der Satz von Lagrange macht eine wichtige Aussage über die möglichen Ordnungen von Untergruppen einer gegebenen endlichen Gruppe. Theorem.52. (Satz von Lagrange) Sei G eine endliche Gruppe. Dann gilt: (i) Die Ordnung jeder Untergruppe H von G teilt die Ordnung von G, d.h. #H #G. (ii) Für jedes Element x G gilt: x #G =. Dabei bezeichnet in (ii) das neutrale Element bezüglich der Verknüpfung auf G. Beweis. (i) Betrachte die Nebenklassen xh := {x y y H} G von H für ein beliebiges x G. Es gilt #(xh) = #H, denn die Abbildung ψ : H xh, ψ(y) := x y ist bijektiv, denn ψ ist sicherlich surjektiv (per Definition von xh) und aus ψ(y) = ψ(z) folgt x y = x z, also y = z

27 .9. EINIGE GRUPPENTHEORETISCHE RESULTATE 25 und damit die Injektivität von ψ. Sind außerdem x,x 2 G, so gilt entweder x H = x 2 H oder x H x 2 H =. Gilt nämlich x y = x 2 z x H x 2 H, so folgt wegen x = x 2 (z y ) gerade x x 2 H. Aus x x 2 H folgt für jedes x H gerade x x = x 2 (z y x) x 2 H. Dies zeigt x H x 2 H. Aus Symmetriegründen folgt daraus aber bereits x H = x 2 H. Insgesamt bilden damit die Nebenklassen xh eine Partition von G, denn ein Element x G ist stets in der Nebenklasse xh enthalten (da H als Untergruppe von G insbesondere das neutrale Element von G enthalten muss) und G läßt sich damit als disjunkte Vereinigung der Nebenklassen schreiben. Gibt es k solcher verschiedener Nebenklassen, so folgt: #G = k #H. (ii) Betrachte H := x. Wegen x H und x xh folgt nach Teil (i) bereits H = xh. Wir erhalten also wegen y H y = y xh y gerade x #H y H y = y H x y = y = x #H = y H und da #G ein Vielfaches von #H ist, folgt daraus die Behauptung. Korollar.53. Sei G eine Gruppe und x G mit x ist endlich. Dann gilt: (i) {i Z x i = } ist das von ord(x) in Z erzeugte Hauptideal. (ii) ord(x) = min{i > 0 x i = } (iii) ord(x) #G Beweis. Sei k der kleinste positive Wert mit x k =. Ein solches k existiert, da x endlich ist. Sei i Z. Schreibe i = q k+r mit 0 r < k. Dann gilt: x i = x q k+r = (x k ) q x r = x r. Dies zeigt x {,x,x 2,...,x k }. Die umgekehrte Inklusion ist klar, d.h. x = {,x,x 2,...,x k }. Alle Elemente,x,x 2,...,x k sind verschieden, da aus x i = x j mit i > j sofort x i j = und damit ein Widerspruch zur Minimalität von k folgt. Insgesamt erhalten wir also ord(x) = # x = k. Für alle i Z folgt damit x i = x (idivk) k+imodk = x imodk = imodk = 0 k i. Daraus folgen (i) und (ii). Teil (iii) folgt aus dem Satz von Lagrange Der Satz von Euler und der kleine Satz von Fermat Wir erinnern uns, dass für N N der Wert der Eulerschen ϕ-funktion an der Stelle N gerade die Anzahl der zu N teilerfremden Zahlen aus {,...,N} ist. Die in Z N bezüglich der Multiplikation invertierbaren Elemente sind genau durch diejenigen Restklassen gegeben, deren Repräsentanten teilerfremd zu N sind. Folglich besteht die Gruppe Z N aus genau ϕ(n) Elementen. Mit anderen Worten: Lemma.54. Für N N gilt: #Z N = ϕ(n).

28 26 KAPITEL. GRUNDLAGEN: (COMPUTER)ALGEBRA Unmittelbar aus diesem Resultat und dem Satz von Lagrange.52 folgt das nächste Theorem, das auf Leonard Euler zurückgeht: Theorem.55. (Satz von Euler) Für jedes x Z N gilt xϕ(n) =. Beweis. Die Behautpung folgt sofort aus #Z N = ϕ(n) und dem Satz von Lagrange.52 (ii). Aus dem Satz von Euler wiederum ergibt sich unmittelbar das nächste Resultat: Theorem.56. (Kleiner Satz von Fermat) Sei p eine Primzahl. Dann gilt für alle x Z p \ {0}: x p =. Beweis. Es ist ϕ(p) = p nach.32. Da p prim ist, gilt Z p = Z p \ {0}. Nach dem Satz von Euler.55 erhalten wir daher für alle x 0: = x ϕ(p) = x p. Fassen wir die Resultate von.52,.55 und.56 zusammen, so erhalten wir: Satz.57. Sei G eine endliche Gruppe und x G. Dann gilt: (i) ord(x) teilt #G und für jedes Vielfache m von #G gilt x m =. (ii) Sei N N und x Z N. Dann ist ord(x) ein Teiler von ϕ(n) und für jedes Vielfache m von ϕ(n) gilt x m =. (iii) Sei p eine Primzahl und x Z p. Dann ist ord(x) ein Teiler von p und für jedes Vielfache m von p gilt x m =. Ferner gilt in dieser Situation x m+ = x. Insbesondere folgt also x p = x für alle x Z p. Äußerst nützlich ist das folgende Korollar, dass es erlaubt von einem Gruppenelement die Ordnung zu bestimmen: Korollar.58. Sei G eine endliche Gruppe und x G. Ist n N mit x n =, so gilt ord(x) = n genau dann, wenn x n p für alle Primteiler p von n. Beweis. Ist ord(x) = n, so folgt x n p, da ord(x) nach Korollar.53 (ii) die minimale positive Zahl i ist mit x i = und < n p < n = ord(x). Umgekehrt gelte xn = und x n p für alle Primteiler p von n. Wegen x n = folgt ord(x) n, also gibt es ein k N mit n = k ord(x). Angenommen k wäre echt größer. Dann besitzt k einen Primteiler p, der zugleich ein Primteiler von n ist und x n p = (x ord(x) ) k p = k p =. Widerspruch! Korollar.59. Sei G eine Gruppe und x G sowie a N. Dann gilt: ord(x a ) = ord(x) ggt(ord(x),a). Beweis. Es gilt: (x a ) ord(x)/ggt(ord(x),a) = (x ord(x) ) a/ggt(ord(x),a) = a/ggt(ord(x),a) =. Seien s,t Z mit s a + t ord(x) = g = ggt(ord(x),a). Sei p ein Primteiler von ord(x) g. Setze y := (x a ) (ord(x)/g)/p. Wäre y =, so folgte aber = y s = (x s a/g ) ord(x)/p = (x (g t ord(x))/g ) ord(x)/p = x ord(x)/p x t ord(x)2 /g p = x ord(x)/p (x ord(x) ) t ord(x)/g p = x ord(x)/p, was im Widerspruch zur Aussage des obigen Korollars steht.

29 Kapitel 2 Grundlagen aus der Zahlentheorie In diesem Kapitel wollen wir die Grundlagen aus der Zahlentheorie erarbeiten, die im Anwendungskontext elementarer Kryptographie von Interesse sind. Wie auch schon im Kapitel Grundlagen aus Algebra und Computeralgebra werden wir uns auch hier immer wieder für Algorithmen bzw. ihre Komplexität interessieren. Die wesentlichen hier betrachteten Algorithmen sind einerseits Algorithmen zum Auffinden von Primzahlen und andererseits Algorithmen zur Faktorisierung ganzer Zahlen. 2. Finden von Primzahlen und Primzahltest Folgendes grundlegendes Problem wollen wir uns stellen: Finde einen Algorithmus, der bei Eingabe eines Intervalls [B,2 B ] eine Primzahl aus diesem Intervall liefert. Wir werden keinen deterministischen Algorithmus angeben, sondern lediglich ein Verfahren, das im wesentlichen einfach zufällig eine Zahl aus dem Intervall [B,2 B ] wählt und anschließend prüft, ob die gewählte Zahl prim ist. Zunächst müssen wir sicherstellen, dass es genügend Primzahlen in [B,2 B ] für B 0 gibt. Die notwendige Aussage, die wir benötigen, liefert der sogenannte Primzahlsatz: Theorem 2.. (Primzahlsatz) Sei x N und es bezeichne π(x) die Anzahl aller Primzahlen in [0,x]. Dann gilt: π(x) x lnx bzw. genauer ( x lnx + ) π(x) x ( 2 lnx lnx + 3 ) 2 lnx für x 59. Der Primzahlsatz garantiert uns für hinreichend großes B die Existenz von mindestens vielen Primzahlen im Intervall [B,2 B ] (siehe [8], Seite 64). B 2 lnb 27

30 28 KAPITEL 2. GRUNDLAGEN AUS DER ZAHLENTHEORIE Wir haben oben bereits erwähnt, dass der Algorithmus zum Auffinden von Primzahlen von einer zufällig gewählten Zahl testen soll, ob sie prim ist. Ein möglicher Primzahltest ist der Fermat-Test: Algorithmus 2.2. (Fermat-Test) Sei M Z und t N ein Konfidenzparameter (t ist im wesentlichen nichts anderes als die Anzahl der Runden, die der Algorithmus durchführt). () Setze i :=. (2) Solange i t und die Berechnung nicht abgebrochen wurde, wiederhole die folgenden Schritte: (i) Wähle a R Z M \ {0}. (ii) Berechne g := ggt(a,m). Falls g, so breche die Berechnung ab und gebe M ist zusammengesetzt aus. (iii) Berechne k := a M modm. Falls k modm, so breche die Berechnung ab und gebe M ist zusammengesetzt aus. Setze i := i +. (3) Gebe M ist wahrscheinlich prim aus. Beweis. (Korrektheit) Ist M prim, so ist jedes a Z M, a 0 teilerfremd zu M. Ferner gilt dann stets a M modm, denn dies ist gerade die Aussage von Fermat s Kleinem Satz.56. Damit wird der Algorithmus bei Eingabe eine Primzahl stets die Ausgabe M ist wahrscheinlich prim liefern. Wir wollen uns nun über die Situationen Gedanken machen, in denen Algorithmus 2.2 versagt. Dann waren alle Zahlen a teilerfremd zu M und es galt stets a M modm. Definition 2.3. Ist M eine zusammengesetzte Zahl und a Z M mit a M modm, so heißt a ein Fermat-Lügner (a erfüllt Fermat s Kleinen Satz.56, aber M ist nicht prim). Gilt dagegen a M modm, so heißt a ein Fermat-Zeuge. Lemma 2.4. Sei M eine zusammengesetzte Zahl und a Z M ein Fermat-Zeuge. Dann besteht höchstens die Hälfte aller Elemente von Z M aus Fermat-Lügnern. Beweis. Die Menge der Fermat-Lügner ist eine Untergruppe von Z M. Als Untergruppe muss ihre Ordnung die Ordnung von Z M teilen. Gibt es mindestens einen Fermat-Zeugen, so kann die Anzahl der Fermat-Lügner nicht gleicher der Ordnung von Z M, und damit nur halb so groß, sein. Es gilt also: Die Wahrscheinlichkeit dafür, dass eine Zahl M zusammengesetzt ist unter der Voraussetzung, dass Algorithmus 2.2 die Ausgabe M ist wahrscheinlich prim liefert, ist, sofern es für M mindestens einen Fermat-Zeugen gibt, höchstens 2. Im allgemeinen beläuft sich die bedingte Wahrscheinlichkeit für einen allgemeinen Wert von t auf höchstens 2 t. Somit ist die Wahrscheinlichkeit dafür, dass eine Zahl M tatsächlich prim ist unter der Voraussetzung, dass Algorithmus 2.2 die Ausgabe M ist wahrscheinlich prim liefert, mindestens 2 t.