Das Rabin-Verschlüsselungssystem. Oliver Czernik
|
|
- Jutta Stieber
- vor 6 Jahren
- Abrufe
Transkript
1 Das Rabin-Verschlüsselungssystem Oliver Czernik
2 Inhaltsverzeichnis 1 Einleitung 2 2 Funktionalität Schlüsselerzeugung Finden einer Primzahl durch zufällige Suche Erzeugung des Schlüsselpaars Verschlüsselung Entschlüsselung Das Legendre-Symbol Wurzelziehen modulo einer Primzahl Chinesischer Restsatz Mehrfache Ergebnisse Der Entschlüsselungsalgorithmus Redundanz Sicherheit Das Rabin-Verschlüsselungssystem und das Faktorisierungsproblem Chosen-ciphertext-Attacken Redundanz und ihre Auswirkungen auf die Sicherheit
3 Kapitel 1 Einleitung In der Kategorie der asymmetrischen Verschlüsselungsverfahren ist RSA der wohl bekannteste Vertreter. Zwar ndet es in der Welt der Kryptographie viel Anwendung und wird für Schlüssel, die groÿ genug gewählt werden, als zuverlässig und sicher angesehen, doch hat es einen kleinen Makel: Seine Sicherheit konnte bis heute noch nicht bewiesen werden. Diesen Fehler hat ein anderes asymmetrisches Verfahren nicht, sofern das so genannte Faktorisierungsproblem, auf dem es basiert, als schwer lösbar angesehen wird. Es handelt sich hierbei um das Rabin-Verschlüsselungsverfahren, dessen Sicherheit als erstes unter allen asymmetrischen Verschlüsselungsverfahren mathematisch bewiesen werden konnte. Hintergrund Es wurde im Januar 1979 zum ersten mal veröentlicht. Namensgeber ist sein Ernder Michael O. Rabin, der unter andern auch den Miller-Rabin- Primzahltest mitentwickelt hat. Michael O. Rabin wurde 1931 im damaligen Breslau, heute bekannt als Wroclav, geboren und arbeitet derzeit, als dieses Dokument erstellt wurde, halbjährlich an der Universität von Harvard, wo er den Titel des Thomas J. Watson Professors der Computerwissenschaft bekleidet und an der hebräischen Universität von Jerusalem, an der er den Titel des Albert Einstein Professors der Mathematik und Computerwissenschaft inne hat. Quelle: [1] Grundidee Das Rabin-Verschlüsselungssystem ist auf dem modularen Quadratwurzel Problem aufgebaut. Dieses sagt aus, dass so einfach auch es sein mag eine beliebige ganze Zahl a in einem durch eine beliebige, natürliche Zahl n denierten Gruppe Z n zu quadrieren, es sehr schwierig wird wieder die Wurzel aus dem quadrierten Wert zu ziehen, wenn n nicht zufälligerweise eine Primzahl ist. 2
4 Abbildung 1.1: Michael O. Rabin Es gibt Möglichkeiten diese Operation durchzuführen, wie wir später in Abschnitt sehen werden, wenn n eine Primzahl ist. Jedoch müssten wir, falls n keine Primzahl ist, n in Primfaktoren zerlegen, a bezüglich der aus den Primfaktoren denierten Gruppen betrachten und in diesen die Wurzel aus a ziehen. Die Zerlegung einer Zahl in Primfaktoren fällt allerdings in die Problematik des oben bereits erwähnten Faktorisierungsproblems, das auch später von uns betrachtet werden wird (Abschnitt 3.1). Auf dem Ungleichgewicht zwischen den Schwierigkeiten, Elemente einer Gruppe zu quadrieren und aus ihnen die Quadratwurzel zu ziehen, basiert das Rabin-Verschlüsselungssystem. Dies geschieht indem es einen allgemein bekannten, öentlichen Schlüssel gib, der als Grundlage zum Quadrieren dient, und einen geheimen, privaten Schlüssel, der nur seinem Besitzer ermöglicht das modulare Quadratwurzel Problem zu umgehen und ohne gröÿere Schwierigkeiten wieder die Quadratwurzel zu ziehen. 3
5 Kapitel 2 Funktionalität 2.1 Schlüsselerzeugung Ähnlich wie beim RSA-Verfahren benötigen wir zwei ungleiche Primzahlen p und q. Beide sollten möglichst groÿ sein und die gleiche Gröÿenordnung haben. Dies ist eine wichtige Bedingung, da sie aus dem eingangs erwähnten Faktorisierungsproblem stammt und direkt im Zusammenhang mit der Sicherheit des Verschlüsselungssystems steht. Diese beiden Zahlen sollen nämlich die Primfaktoren ein möglichst schwer zu zerlegenden Zahl sein. Das Faktorisierungsproblem sagt diesbezüglich aus, dass dies gegeben ist, wenn die obigen Bedingungen erfüllt sind. Im Falle eines Daten- Verschlüsselungsverfahren für einen Computer sind diese Bedingungen schon dann gut erfüllt, wenn p und q dieselbe Bitlänge L haben und diese relativ lang ist. Hierbei hat das erste Bit natürlich den Wert 1. Die erste 1 im der Bitnotation garantiert das die Werte der Primzahlen in der oberen Hälfte der so darstellbaren Zahlen liegt. Heutzutage, als dieses Dokument erstellt wurde, sollten mindestens 1024-bit Primzahlen benutzt werden, die allgemeinen Empfehlungen liegen aber schon bei einer Gröÿenordnung von 2048-bit. Diese hohen Werte werden benötigt, um die meisten Attacken durch probabilistische Algorithmen zu vereiteln, da diese sehr viel Rechenzeit benötigen würden. Jedoch müssen erst einmal Primzahlen dieser Gröÿe gefunden werden Finden einer Primzahl durch zufällige Suche Für gewöhnlich wird eine Primzahl gefunden, indem man eine zufällige ganze Zahl k im Zahlenbereich der geeigneten Gröÿenordnung auswählt und diese dann auf Primzahleigenschaften testet. Dies scheint auf den ersten Blick inef- zient zu sein. Jedoch würde jede systematische Suche nach einer Primzahl, da diese recht inhomogen auf dem Zahlenstrahl angeordnet sind, die Auswahlwahrscheinlichkeit von gewissen Primzahlen erhöhen. Dies würde wiederum dazu führen, dass ezientere, probabilistische Angrisalgorithmen, 4
6 speziel auf diese Suchform optimiert, entwickelt werden würden. Nur eine vollkommen zufällige Suche stellt sicher das es keinen Angri dieser Art geben kann. Es gibt mehrere Möglichkeiten den Kandidaten k zu prüfen. Die sicherste Methode wäre es wenn wir k einem Test unterziehen würden, der mit 100%'iger Sicherheit festellen würde, ob es sich hierbei wirklich um eine Primzahl handelt. Natürlich gibt es solche sogenannten deterministischen Primzahltests deren Laufzeit besser sind, als das brutale Durchtesten jedes möglichen Teilers von k. Der schnellste heute bekannte ist das AKS-Verfahren. Aber selbst dieser Test hat eine Laufzeit von O(L 6 ). Siehe [3](S.7) Es ist unpraktikabel jedes gewählte k mit dem AKS-Verfahren zu testen, bis endlich eine Primzahl gefunden wurde, da es schnellere Alternativen hierzu gibt. Sie heiÿen probabilistische Primzahltests. Probabilistische Primzahltests Probabilistische Primzahltests haben kleinere Laufzeiten, als die meisten deterministischen Primzahltests. Dies hat allerdings auch seinen Preis. Zwar können wir sicher sein, dass eine Zahl die als nicht-prim abgelehnt worden ist keine Primzahl ist, jedoch gilt dies, wie wir gleich sehen werden, nicht umgekehrt. Es gibt bei einer einfachen Ausführung des Tests das Risiko, dass eine gefundene Primzahl doch keine ist. Jedoch kann dieses Risiko, wie wir noch sehen werden, minimiert werden. Der derzeit ezienteste Test dieser Art ist der Miller-Rabin-Primzahltest. Dieser Test macht sich folgende mathematische Eigenschaft von Primzahlen zu nutzte: Wenn p tatsächlich eine ungerade Primzahl ist, dann gilt: (a r 1 mod p) (a 2jr 1 mod p); p 1 = 2 s r, r ist ungerade; a Z p; 0 j s 1 Siehe [2](S. 138) Leider kann die obige Bedingung auch für jedes beliebige k erfüllt werden. Sollte k eine zusammengesetzte ganze Zahl sein, was jede ganze nicht- Primzahl ist, so würden bis zu 1/4 aller Elemente a Z k, eingesetzt in die obige Bedingung, genau diese erfüllen. Somit haben wir an dieser Stelle eine Fehlerwahrscheinlichkeit von maximal bis zu 1/4, wenn k keine Primzahl ist. Die Bedingung kann aber mehrere male mit jeweils anderen a überprüft werden. Sobald sie einmal nicht erfüllt ist, haben wir die Gewissheit, das k keine Primzahl ist. Man könnte an dieser Stelle argumentieren, dass durch testen von 1/4 aller Elemente a Z k absolute Sicherheit erreicht werden würde. Dies ist zwar korrekt, würde aber bei Zahlen im 1024-bit Bereich zulange andauern. Dies ist auch nicht nötig, da die Wahrscheinlichkeit, sich bei einer zusammengesetzten Zahl zu irren, mit jedem weiteren getesteten a wieder mindestens um den Faktor 1/4 fällt. Wenn die Zahl t, im folgenden nur noch 5
7 als Sicherheitsfaktor bezeichnet, die Anzahl der verschiedenen, verwendeten Elemente a ist, dann ist die reale Wahrscheinlichkeit eines Irrtums unterhalb des Wertes (1/4) t. Der Wahrscheinlichkeit nähert sich also schon für kleinere Werte des Sicherheitsfaktors t schnell der 0. Für eine einfache Überprüfung der Bedingung, würde ein Algorithmus der genau dies umsetzt eine Laufzeit von O(L 3 ) haben. Für wiederholtes Überprüfen somit eine von O(t L 3 ). In der Praxis passieren allgemein immer wieder Fehler. Für einen ausreichend hohen Sicherheitsfaktor t läÿt sich ein solcher Irrtum, in Hinblick auf die hierdurch gewonnene Geschwindigkeit, ruhigen Gewissens in Kauf nehmen. Kombinierter Primzahltest Sollten wir dennoch eine sichere Methode benötigen, um an eine Primzahl zu gelangen, können wir eine Kombination aus verschiedenen Primzahltest anwenden. Zunächst suchen wir einen Kandidaten k zufällig aus. Dann kann dieses k durch einen probabilistischen Primzahltest, etwa dem Miller-Rabin- Test, mit niedrigem Sicherheitsfaktor t überprüft werden. Sollte k diesen oberächlichen Test bestanden haben, kann man als weiteren Test versuchen k durch kleine Primzahlen, etwa den ersten Hundert, zu teilen. Kleine Primzahlen sind hierfür geeignet, da sie in der Regel mehr zusammengesetzte Zahlen teilen als groÿe Primzahlen. Somit ist auch die Wahrscheinlichkeit, dass eine kleine Zahl k teilen kann und als nicht-primzahl identiziert höher. Die Laufzeit pro Rechnung beträgt O(L 2 ). Somit kommen wir mit der Anzahl g der verwendeten niedrigen Primzahlen auf die Laufzeit O(g L 2 ). Als letzter Schritt wird k dann mit einem Primzahltest untersucht der Gewissheit gibt. Das AKS-Verfahren ist der wohl derzeit geeignetste Kandidat hierfür. Diese Vorgehensweise hat eine Gesamtlaufzeit von O(t L 3 + g L 2 + L 6 ) = O(L 3 + L 2 + L 6 ) Erzeugung des Schlüsselpaars Wie bereits eingangs erwähnt müssen wir die zwei Primzahlen p und q erzeugen. Hierzu nden wir zwei Primzahlen auf eine der oben beschriebenen Weisen. (p, q) sind ab sofort unser privater Schlüssel. Das Produkt n = p q ist unser öentlicher Schlüssel. Ausschlieÿlich n wird veröentlicht und an all diejenigen weitergereicht, die dem Besitzer vom privaten Schlüssel (p, q) eine verschlüsselte Nachricht zukommen lassen wollen. n hat auÿerdem eine eigene Bitlänge N. 6
8 2.2 Verschlüsselung Die Verschlüsselungsfunktion E lautet: E : c = m 2 mod n (2.1) Hierbei repräsentiert m den zu verschlüsselnden Klartext und c den verschlüsselten Text. n ist, wie bereits oben erwähnt, unser öentlicher Schlüssel, der hier nun zum Einsatz kommt. Für m und c gilt: m, c Z n. Wenn Daten auf diese Weise verschlüsselt werden sollen, muÿ bei der Aufteilung der Daten in Datenpakete darauf geachtet werden, dass die Zahl m, die durch die Bitfolge des Paketes dargestellt wird, auch wirklich der Bedingung 0 m n gehorcht. Ist dies nicht der Fall können die Pakete nicht mehr richtig entschlüsselt werden. Der oensichtlichste Vorteil dieser Verschlüsselung ist eindeutig die benötigte Laufzeit. Sie beträgt nur O(N 2 ) und schlägt somit jedes andere asymmetrische Verschlüsselungsverfahren. 2.3 Entschlüsselung Die Entschlüsselungsfunktion D ist die Umkehrfunktion von E 2.1 und lautet: D : m = c mod n (2.2) Bei der Berechnung von m ergeben sich nun einige Probleme. Zu einem ist die Verschlüsselungsfunktion E nicht injektiv, so dass das Zurückrechnen mit D mehr als nur einen Wert für m liefern wird. Desweiteren stoÿen wir an dieser Stelle gegen das, in der Einleitung erwähnte, modulare Quadratwurzel Problem. Wir wissen asu der Erzeugung des Schlüsselpaars 2.1.2, dass n eine zusammengesetzte Zahl ist und somit das Wurzelziehen schwierig wird. Allerdings kennen wir als Entschlüsselungsberechtigter auch den privaten Schlüssel (p, q) und damit die Faktorzerlegung von n. An dieser Stelle können wir jedoch nichts anderes tun als die Werte c mod p und c mod q zu berechnen. Zuvor denieren wir aber noch das sogenannte Legendre-Symbol Das Legendre-Symbol Wir nehmen an p sei eine ungerade Primzahl. Dann ist die durch p denierte Gruppe Z p zyklisch. Man kann dann zwar jedes Element a Z p quadrieren, aber man kann nicht auch aus jedem a die Quadratwurzel ziehen. Sei α als der Generator der Gruppe deniert. Wir wissen, dass jedes Element a vom Generator durchlaufen wird: a = α i mod p, i {0,.., p 2} 7
9 Es ist leicht ersichtlich, dass jedes a bei dem i einen geraden Wert für α i mod p annimmt, eine Wurzel haben muÿ. Diese Elemente heiÿen quadratische Reste. Die anderen Elemente besitzen keine Quadratwurzel und heiÿen quadratische Nichtreste. Aufgrund dieser Verteilung ist auch leicht ersichtlich, dass sich alle Elemente der Gruppe in zwei gleichgroÿe Mengen von quadratischen Resten und Nichtresten aufteilt. Vergleiche [2](S.70, Fact 2.135) Das Legendre-Symbol ( a p ) ist so deniert, dass falls a in Z p ein quadratischer Rest ist, es gleich 1 ist. Falls a in Z p ein quadratischer Nichtrest ist, ist es gleich -1 ist und gleich 0, falls a trivialerweise von p geteilt wird. Praktischer Weise sagt das Euler Kriterium folgendes aus: a (p 1)/2 mod p 1, wenn a quadratischer Rest ist 1, wenn a quadratischer Richtrest ist 0, wenn p a teilt Somit läÿt sich ein ezienter Algorithmus erstellen, der das Legendre- Symbol berechnet. Siehe [2](S.137, Fact 4.14) Wurzelziehen modulo einer Primzahl Wir nehmen an p sei eine ungerade Primzahl. Dann ist die durch p denierte Gruppe Z p zyklisch und hat die Ordnung p 1. Weiter sei a eine ganze Zahl mit den Bedingungen 0 < a < p und ( a p ) = 1, also mit Quadratwurzeln in Z p. Auÿerdem denieren wir α := a mod p und β Z p mit der Bedingung β 2 = α. Folglich kann man α auch auf folgende Art sehen: α (Z p) 2. Siehe [4] (S.292, ) Bevor wir aber den allgemeinen Fall betrachten, macht es Sinn einen Blick auf den Fall zu werfen, in dem für p zusätzlich noch folgende Bedingung gilt: p 3 mod 4 Spezialfall: p ist eine Primzahl und die Bedingung p 3 mod 4 gilt Unter der Einschränkung p 3 mod 4 vereinfacht sich das Wurzelziehen im Vergleich zum allgemeinem Fall, wie wir noch sehen werden, um einiges. Hierzu benötigen wir jedoch Fermats kleinen Satz. Dieser sagt aus: a p a mod p, wenn p eine Primzahl ist. (2.3) Somit können wir die folgenden Umformungen durchführen: β 2 = β 1 β 1 = β p β 1 = β (p+1) 8
10 β 2 = α β = α 1/2 β (p+1) = α (p+1)/2 β 2 = α (p+1)/2 β = α (p+1)/4 Durch die Einschränkung für die Wahl von p ist auch gewährleistet, dass der Term (p+1)/4 nur ganze Zahlen als Wert annehmen kann. Somit können wir den Wert für die Quadratwurzel β von α aus einem gegebenem α berechnen. Natürlich ist auch der negative Wert β mod p ein gültiger Wert für die Quadratwurzel von α. [4](S.292) Die Formeln zum Errechnen der Wurzeln lautet also: Beispiel: β 1 = α (p+1)/4 mod p β 2 = β 1 mod p (2.4) p = 7, α = 4 β 1 4 8/2 mod 7 2 β 2 2 mod 7 5 Probe: 2 2 mod p mod p 4 Algorithmus: Um diese Methode eine Wurzel zu ziehen in einen Rechenalgorithmus umzusetzen, müssen wir nichts anderes tun, als die oben stehenden Formeln (2.4) in Anweisungen zu überführen: Eingabe: Primzahl p mit p = 3 mod 4, ganze Zahl a mit ( a p ) = 1 Ausgabe: Beide Quadratwurzeln β, β aus a mod p 1. Berechne β = a (p+1)/4 mod p 2. Ausgabe(β, β mod p) Laufzeit: Durch Quadrierung in Schritt 1. kommen wir auf eine Laufzeit von O(L 3 ). Vergleiche [2](S.72,Tabelle 2.5)) Allgemeiner Fall: Natürlich läÿt sich aber auch ( weiterhin unter der Bedingung, dass ( a p ) = 1 gilt) zwar relativ einfach, wenn auch nicht so simpel wie im Spezialfall, die Wurzel aus a mod p ziehen. Hierzu benötigen wir neben den schon denierten α eine weitere Gröÿe γ. γ unterliegt der Bedingung γ Z p\(z p) 2 oder anders beschrieben soll ( γ p ) = 1 gelten. Siehe [4](S.292) Als ersten Schritt schreiben wir die Formel p 1 = 2 h m, mit der Bedingung, dass m ungerade sein soll, auf. Es fällt schnell auf, dass h und 9
11 m abhängig vom jeweiligen p immer einen eindeutigen Wert annehmen. An dieser Stelle benötigen wir Fermats kleinen Satz [4](S.27, Theorem 2.16): δ (p 1) δ p 1 mod p δ mod p, δ Z p Jedes beliebige δ m aus δ Z p hat eine multiplikative Ordnung, die den passenden Wert von 2 h teilt, da auch folgenes gilt: δ (p 1) = δ (2h m) = (δ m ) 2h 1 mod p (2.5) Desweiteren können wir auch das Euler Kriterium umformen: δ (p 1)/2 = δ 2h m/2 = δ 2h 1m = (+1 mod p) ( 1 mod p) Da α 2h 1m = 1 und γ 2h 1m = 1 gelten, hat α m eine multiplikative Ordnung, die 2 h 1 teilt. Für γ bedeutet das aber, dass es keine Ordnung besitzt, die 2 h 1 teilt. Nach Formel 2.5 lautet seine multiplikative Ordnung genau 2 h. Weil aber Z p nur eine Untergruppe der Ordnung 2 h besitzt, folgt hieraus, dass γ m der Generator dieser Gruppe ist und α m = γ xm gilt, wenn 0 x 2 h und x gerade ist. x erhalten wir, indem wir einfach nach x hin umformen: x = log γ m α m Da m ungerade ist, gibt es eine nicht negative ganze Zahl t, die die Bedingung m = 2t + 1 erfüllt. Durch intensives Umformen folgt letztendlich: β 2 = α = α m 2t = α m α 2t = γ mx α 2t = (γ mx/2 α t ) 2 Also ist somit hergeleitet worden, dass β = γ mx/2 α t eine Quadratwurzel von a in Z p ist. Der andere gesuchte Wert ist natürlich auch hier wieder β mod p. Es gilt: β 1 = γ mx/2 α t mod p β 2 = β 1 mod p (2.6) Algorithmus: Ähnlich, wie in dem Algorithmus zu dem vorhergegangenen Spezialfall 2.3.2, müssen auch dieses mal die Endformeln zur Berechnung der Quadratwurzeln aus a Z p (2.6) in diesem Algorithmus verwirklicht werden. Dies geschieht am besten dadurch, dass wir die obige Herleitung, bis zu den endgültigen Formeln, Schritt für Schritt umsetzten. Eingabe: Ungerade Primzahl p, ganze Zahl a mit ( a p ) = 1 Ausgabe: Beide Quadratwurzeln β, β aus a mod p 1. Finde ein γ, so dass ( γ p ) = 1 2. h 0, erhöhe h solange bis (p 1 = 2 h m) (m ist ungerade) gelten 3. Berechne x = log γ m α m 4. Berechne β = γ mx/2 α (m 1)/2 5. Ausgabe(β, β mod p) 10
12 Laufzeit: Eine genau Laufzeitanalyse des obigen Algorithmuses wird aufgrund des Schrittes 1. erschwert. Man könnte γ z.b. durch ein zufälliges Auswahlsystem nden. In diesem Fall ist allerdings kein Verfahren mit polynomieller Laufzeit bekannt. Auch andere nicht auf Zufall basierende Verfahren sind denkbar. Da aber die Menge der quadratischen Nichtreste genau so Mächtig ist, wie die Menge der Reste, kann angenommen werden, dass ein Nichtrest schnell gefunden wird. Weil es vollkommen egal ist, welcher Wert für γ gewählt wird, solange er der Bedingung ( γ p ) = 1 gehorcht, ist an dieser Stelle keine Gefährdung der Sicherheit des Kryptosystems durch eine eventuelle schlechte Wahl der Auswahlmethode zu befürchten. Für die weitere Analyse der Laufzeit nehmen wir eine modizierte Version des Algorithmuses an, für den einfachsten Fall, nämlich, dass γ als Eingabeparameter gegeben ist. Die Laufzeit für die in Schritt 3. angewendete Berechnung des diskreten Logarithmuses zur Bestimmung von x kann je nach Verfahren, das angewendet wird, auch O( p) betragen, wobei p dieses mal wirklich unsere Primzahl p sein soll. Die in den Schritten 2., 4. und 5. benötigte Rechenzeit, für die angewendeten Quadrierungen und Modularrechnungen, können wir gut mit einer Gesamtlaufzeit von O(L 3 ) angeben. Somit kommen wir auf eine Laufzeit von O( p + L 3 ). Allerdings ist in [2] auf Seite 100 unter Stichpunkt Algorithmus 3.34 ein Algorithmus angegeben, der die gesamte Berechnung in einer ezienten Laufzeit von O(L 4 ) schat. Dies soll unser Maÿstab sein. Wir sind zwar fähig, die Wurzel unseres Chiretextes c modular zu den Primzahlen p und q aus dem privaten Schlüssel zu ziehen, jedoch ist bei den so gewonnen Werten noch nicht der, von uns gesuchte, Klartext m mit dabei. Wir können jedoch aus den so gewonnenen Werten die Quadratwurzeln aus c modulo n berechnen, wenn wir den Chinesischen Restsatz anwenden Chinesischer Restsatz Allgemeiner Chinesischer Restsatz: Wir nehmen eine Folge m i mit l-vielen Elementen an. Also gilt: l N, i {1,.., l} Desweiteren seien alle Elemente der Folge m i positive, ganze Zahlen und untereinander teilerfremd. M sei als das Produkt all dieser Zahlen deniert: M = l i=1 m i Wir nehmen eine weitere Folge a i an. Auch diese Folge hat l-viele Elemente und für den Index i gilt auch hier i {1,.., l}. Für die Elemente der Folge a i gilt a i Z. Jedem a i sei ein m i durch den gemeinsamen Index i zugeordnet. Jedes a i werde nun von uns modulo seinem jeweiligen m i betrachtet, so dass wir eine Folge von Termen a i mod m i, i {1,.., l} erhalten. Nun muÿ eine Zahl x mod M, x Z existieren, so dass x a i mod m i, i {1,.., l} gilt. In diesem Fall haben wir eine simultane Kongruenz. 11
13 x a 1 mod m 1 x a 2 mod m 2. x a l mod m l Welchen Wert x hat, können wir durch Anwendung der Chinesischen Restsatzes herausnden. Zunächst denieren wir M i := M/m i. Somit sind m i und M i immer teilerfremd. Wir können jetzt zwei Folgen r i und s i nden, so dass gilt: r i m i + s i M i = 1, i {1,.., l} (2.7) Die passenden Werte für die Folgen r i und s i können z.b. mithilfe des erweiterten Euklidischen Algorithmus errechnet werden. Beim näheren betrachten erkennen wir, dass die folgenden Beziehungen gelten: s i M i 1 mod m i s i M i 0 mod m j ; i, j {1,.., l}, i j Nun sind alle Vorbereitungen getroen, um x zu berechnen. Hierzu setzten wir alle gefundenen Werte in folgende Formel ein und rechnen sie aus: Vergleiche [5](5.2.2) x = l a i s i M i mod M (2.8) i=1 Chinesischer Restsatz im Rabin-Verschlüsselungssystem: Um den Chinesischen Restsatz anwenden zu können, müssen wir nichts anderes tun, als für die einzelnen Variablen ihre Entsprechungen einzusetzen. Als Elemente der Folge m i, setzen wir p und q ein. Da p und q ungleiche Primzahlen sind, sind sie auch teilerfremd. Das in allen Kongruenzen identische x ist in diesem Fall das gesuchte c. Die Folge a i wird durch die bereits errechneten Quadratwurzeln aus c modulo jeweils p oder q bestimmt. Es ist wichtig hierbei darauf zu achten, dass diese Wurzeln ihren passenden Primzahlen zugeordnet werden. Folglich haben wir diese zwei Kongruenzen: c r mod p c s mod q Das Produkt M aus p und q ist einfacher weise nichts anderes als unser öentlicher Schlüssel n. Auch die Werte für die Folge M i sind trivialerweise nichts anderes als für p der Wert q und umgekehrt, was nicht weiter verwunderlich ist, da m i nur diese beiden Elemente besitzt. 12
14 Folglich ist auch die Anzahl der Elemente der Folgen r i und s i gering. Wir müssen mit Hilfe des erweiterten euklidischen Algorithmuses nur die Werte von a und b nden, so dass gilt: ap + bq = 1 (2.9) ap 1 mod q ap 0 mod p bq 1 mod p bq 0 mod q Also folgt nach der Summenformel des Chinesischen Restsatzes (2.8): c (aps + bqr) mod n (aps + bqr) c mod n Somit haben wir gezeigt, dass wir c mod n mit den uns gegebenen Werten ausrechnen können. Wir erhalten vier verschiedene Ergebnisse Mehrfache Ergebnisse Die Anwendung des Chinesischen Restsatzes sagt also aus, dass wir vier verschiedene Ergebnisse zurück bekommen. Die Frage die sich uns hier stellt lautet: Warum? Wir können den Term c mod n nicht direkt lösen und müssen erst n in seine Primfaktoren p und q zerlegen und modulo dieser die Rechnung vornehmen. Die Terme c mod p und c mod q aber liefern ihrerseits jeweils zwei Ergebnisse. Diese vier Werte werden ihrerseits zur Berechnung des Terms c mod n mithilfe des Chinesischen Restsatzes benötigt. Allerdings müssen wir bei der Berechnung darauf achten jede erlaubte Kombination durchzuprobieren. Jede Kombination führt zu genau einer gültigen Lösung. Die Anzahl aller verschiedenen Lösungen ist also abhängig davon, in wieviele Primfaktoren der anfängliche Modulwert zerlegt werden muÿ. Muÿ z.b. für den Term c mod k der Wert k in i-viele Primfaktoren zerlegt werden, so wird der Term am Ende der Rechnung 2 i verschiedene Lösungen haben. [2](S.70, Fact 2.140) Im Falle des Rabin-Verschlüsselungssystems sind es nur die beiden Primfaktoren p und q. Zu dem ursprünglichen Klartext m erhalten wir über den passenden Chiretext c die vier Ergebnisse m 1, m 2, m 3 und m 4 unter denen sich m benden muÿ Der Entschlüsselungsalgorithmus Da wir uns die Grundlagen und Vorgehensweise zum errechnen von c mod n in den obigen Abschnitte klar gemacht haben, können wir nun daran gehen einen Algorithmus aufzuschreiben, der genau nach dieser Vorgehensweise operiert [2](S.102, Algorithm 3.44): 13
15 Eingabe: Privater Schlüssel p und q, Ciphertext c Ausgabe: Alle Quadratwurzeln m 1, m 2, m 3, m 4 aus c mod n 1. Berechne r = c mod p 2. Berechne s = c mod q 3. Berechne a, b mit erw. euk. Algorithmus, so dass ap + bq = 1 gilt 4. Berechne x = (aps + bqr) mod n 5. Berechne y = (aps bqr) mod n 6. Ausgabe(x, x mod n, y, y mod n) Die Berechnungen in den Schritten 1. und 2. erfolgen, wie in Abschnitt beschrieben. Es gilt also auch die gleiche Laufzeit O(L 4 ) für den allgemeinen Fall einer Primzahl ohne eine Nebenbedingung. Aber gerade hier kann die Laufzeit gut reduziert werden, wenn man ganz am Anfang bei der Erzeugung der beiden Primzahlen p und q darauf geachtet hat, dass sie die Kongruenzbedingungen 3 mod 4 erfüllen. Hierdurch wird die Laufzeit auf O(L 3 ) gesenkt. An dieser Stelle kann man argumentieren, dass die Sicherheit der Verschlüsselung durch die Einschränkung der möglichen, zur Auswahl stehenden Primzahlen gesenkt wird. Dies ist sicherlich richtig, doch bleiben bei einer genügend hohen Gröÿenordnung (anders gesagt: bei einer genügend groÿen Bitlänge) aus der die Primzahl gewählt werden soll, noch so viele mögliche Kandidaten übrig, dass dieses Argument keine Relevanz mehr besitzt. Schritt 3. ist mit der Gleichung (2.9) gleichzusetzen. Die Laufzeit, die der erweiterte euklidische Algorithmus benötigt, um diese Berechnung durchzuführen lautet O(L 2 ). Auch wenn Schritt 4., 5. und 6. auf den ersten Blick etwas befremdlich wirken, so stellen sie doch die aus dem chinesischen Restsatz hergeleiteten Berechnungen dar. Bei den Schritten 4. und 5. ist besonders auf den Unterschied bezüglich des Plus- und Minus-Zeichens zu achten. In beide Termen werden jeweils nur ein vorher ausgesuchter Quadratwurzelwert für r und s eingesetzt. Die Änderung des Vorzeichens des Termes bqs in Schritt 5. läÿt sich auf die Verkehrung des Vorzeichens von s in s reduzieren. Ähnliches geschieht in Schritt 6. durch die Verkehrung von x und y in ihre Negativwerte x mod n und y mod n. Diese Vorgehensweise ist äquivalent zum durchprobieren aller Kombinationen von r, r, s und s im Term aus Schritt 4. oder 5. Beide Vorgehensweisen liefern die selben Ergebnisse. Die Laufzeit dieser Schritte beträgt insgesamt O(N 2 ) wobei N die Bitlänge von n ist Redundanz Aufgrund der fehlenden Injektivität lassen sich mehrere Ergebnisse nicht ausschlieÿen. Im Falle des Rabin-Verschlüsselungssystems sind es genau vier. Wir wissen, dass der ursprüngliche Wert m, der den Klartext repräsentiert, 14
16 unter den Ergebnissen sein muÿ. Das Problem besteht nun darin, herauszunden, welcher er ist, da wir als Empfänger die ursprüngliche Nachricht nicht kennen werden. Eine Möglichkeit ist es den Klartext schon vor dem Verschlüsseln zu markieren. Dies kann geschehen, indem wir der zu codierenden Bitzahl einige Bit mit einem speziellen Muster hinzufügen. Diese Extrabits sind die Redundanz, die wir hinzugefügt haben. Dieses so veränderte Zahl wird dann codiert. Wenn sie dann wieder decodiert wird, erhalten wir wieder verschiedene mögliche Ergebnisse, jedoch sollte idealerweise nur einer der Werte die oben eingefügten Bits im speziellen Muster enthalten. Natürlich kann es passieren, dass zwei oder sogar mehr Werte diese Bits enthalten. Allerdings ist die Wahrscheinlichkeit hierfür, mit ausreichen groÿer Redundanz, astronomisch gering. Letztendlich wir die Redundanz entfernt und wir erhalten den ursprünglichen Wert. 15
17 Kapitel 3 Sicherheit 3.1 Das Rabin-Verschlüsselungssystem und das Faktorisierungsproblem Wie wir schon in der Einleitung gesehen haben basiert das Rabin-Verschlüsselungssystem auf dem modularen Quadratwurzel Problem. Wenn k eine Primzahl ist, kann man versuchen, die Wurzel aus einem a Z k zu ziehen. Ist k allerdings eine zusammengesetzte ganze Zahl, so wird dies schwierig. Wir können in diesem Fall versuchen k in seine Primfaktoren zu zerlegen. Diese Operation und die Zerlegung vom öentlichen Schlüssel n in seine Primfaktoren p und q durch einen Angreifer, der so das Rabin-Verschlüsselungssystem brechen möchte, fallen in den Bereich des Faktorisierungsproblems. Wenn ein Angreifer das modulare Quadratwurzel Problem ezient umgehen möchte, so braucht er den privaten Schlüssel (p, q). Diesen könnte er erhalten, sollte es ihm gelingen n in p und q zu faktorisieren. Das Faktorisierungsproblem sagt aber aus, dass genau dies sehr schwierig ist und, wenn der Angreifer nicht gerade Glück hat und das Ergebnis zufällig früh ndet, eine groÿe Menge Zeit und Rechenkapazität in Anspruch nimmt. Je gröÿer die gesuchten Primfaktoren sind desto schwieriger wird dies. Deswegen sollten die beiden Primfaktoren p und q am Anfang auch in der gleichen Gröÿenordnung gewählt werden, so dass sie praktischerweise nicht nur die gleiche Bitlänge haben sollten, sondern so auch beide gleichzeitig den gröÿtmöglichen Wert haben. Wäre einer der Werte zu niedrig, würde hierdurch die Faktorisierung von n unter Umständen erleichtert worden. Selbiges gilt allerdings auch wenn p und q zu nahe bei einander liegen würden. Somit ist klar, dass das Rabin- Verschlüsselungssystem genauso wie z.b. das RSA-Verschlüsselungssystem mit dem Faktorisierungsproblem steht und fällt. Dennoch haben wir noch nicht bewiesen, dass das Rabin-Verschlüsselungssystem sicher ist. Es ist noch der theoretische Fall denkbar, dass es ein Verfahren gibt, das Rabin-Verschlüsselungssystem zu brechen, ohne über das Faktorisierungsproblem zu stolpern. Genau unter diesem Problem lei- 16
18 det auch das RSA-Verschlüsselungssystem. Jedoch können wir beim Rabin- Verschlüsselungssystem mathematisch zeigen, dass man am Faktorisierungsproblem nicht vorbei kann, worauf auch unser Beweis der Sicherheit basiert. Wir versuchen den Beweis durch eine Turingreduktion zu erbringen. Wir nehmen an es existiert ein Algorithmus LRabin, der mit der Eingabe eines Ciphertextes c und des öentlichen Schlüssels n in polynomieller Laufzeit alle Quadratwurzeln m 1, m 2, m 3, m 4 aus c ausgeben kann, bei dem auch der Klartext dabei sein muÿ. Ein Angreifer könnte einen eigenen Klartext r verschlüsseln und den so erhaltenen Ciphertext c mithilfe von LRabin in seine Quadratwurzeln zurückrechnen. Er würde die Werte r, r mod n, r alt und r alt mod n erhalten, wobei ±r ±r alt mod n gilt. r und r allein sind uninteressant für ihn, in Kombination mit r alt und r alt mod n kann man damit aber arbeiten. Die Summe aus dem Klartext r und r alt ergibt einen Wert, der durch eine der beiden Primzahlen p, q teilbar ist: p (r + r alt ) q (r + r alt ) Dieser Fakt läÿt sich leicht beweisen. Siehe [6](S.4) Zunächst gilt: r 2 ( r) 2 r 2 alt ( r alt) 2 c mod n Hieraus folgt: r 2 r 2 alt 0 mod n (r + r alt )(r r alt ) 0 mod n (r + r alt ) 0 mod n (r r alt ) 0 mod n Dies kann weiter aufgegliedert werden, da n das Produkt aus p und q ist. Hätten wir nur ±r oder nur ±r alt verwendet, hätte einer der beiden veränderten Terme eine der folgenden Formen: (r r), (r +( r)), (r alt r alt ) oder (r alt + ( r alt )) und somit eine sehr triviale Lösung. p und q würden diesen Term beide teilen. Die Terme (r + r alt ) und (r r alt ) aber werden von jeweils einer Primzahl geteilt: (r + r alt ) 0 mod p (r r alt ) 0 mod q (r r alt ) 0 mod p (r + r alt ) 0 mod q Da wir keine konkreten Bedingungen an p und q gebunden haben, auÿer dass sie Primzahlen und ungleich sind, können wir an dieser Stelle eine Bindung an die Terme willkürlich festlegen. Es soll gelten: p (r + r alt ) q (r r alt ) Somit folgt: p = ggt (r + r alt, n), da p auch n teilt und trivialerweise q = n/p. Alle in diesem Absatz verwendeten Rechenschritte sind in polynomieller Laufzeit durchführbar, so dass auch ein Algorithmus geschrieben werden 17
19 kann, der diese Schritte, inklusive des Aufrufes von LRabin, in polynomieller Laufzeit nachvollziehen kann. Somit hat dieser Angreifer mithilfe von LRabin n, auf eziente Art und Weise, in seine Primfaktoren p und q zerlegt, womit das Faktorisierungsproblem zu Fall gebracht worden ist. Hiermit haben wir gezeigt, dass wenn es tatsächlich eine Möglichkeit geben würde das Rabin-Verschlüsselungssystem ef- zient zu brechen, folgerichtig auch das Faktorisierungsproblem fallen würde. Die Sicherheit des Rabin-Verschlüsselungssystem und des Faktorisierungsproblems sind also äquivalent und da das Faktorisierungsproblem im allgemeinen als schwer lösbar angesehen wird, ist hiermit auch die Sicherheit des Verschlüsselungssystems bewiesen. 3.2 Chosen-ciphertext-Attacken Wir haben schon gezeigt, dass das Verschlüsselungssystem durch passive Attacken nur schwer zu brechen ist. Es hat allerdings eine schwäche gegenüber Chosen-ciphertext-Attacken. In dieser Form von Angrief, hat ein Angreifer die Möglichkeit, einen von ihm gewählten Chiretext ohne Kenntnis des privaten Schlüssels decodieren zu lassen. Sobald ein Angreifer z.b. die Möglichkeit hat einige Operationen an einer Entschlüsselungsmaschine, etwa einem unbewachten Notebook, auf dem ein Decodierungsprogramm läuft, zu tätigen, hat er alles was er braucht um den privaten Schlüssel (p, q) zu berechnen. Er braucht nur die vier korrekten Quadratwurzeln r, r mod n, r alt und r alt aus einem von ihm vorgegebenem Ciphertext c berechnen zu lassen, den er zuvor aus r verschlüsselt haben kann. Dies sollte er getan haben, um sicher zu gehen, dass das von ihm gewählte c auch wirklich Quadratwurzeln in Z n hat. Dieser Angri ersetzt die theoretische Funktion LRabin aus dem vorherigen Abschnitt /refrabinfakt. Nun ist die Vorgehensweise identisch. Er berechnet p = ggt (r + r alt, n) und q = n/p und hat somit den geheimen Schlüssel. 3.3 Redundanz und ihre Auswirkungen auf die Sicherheit Die schon in Abschnitt besprochene Redundanz hat in Bezug auf die Sicherheit des Rabin-Verschlüsselungssystems einige interessante Nebeneffekte. Da das richtige Ergebnis aus den vier Quadratwurzel durch die Redundanz nun von Algorithmen identiziert werden kann, ist es nicht nötig alle Wurzeln auszugeben, sondern nur den verizierten Klartext. Ein Angreifer an einer Entschlüsselungsmaschine würde dann nur den von ihn selbst verschlüsselten Klartext r zurückbekommen, womit ihm die wichtige alternative Quadratwurzel r alt fehlen würde. Somit könnte er keine der 18
20 beiden Primzahlen p oder q errechnen. Dies gilt auch generell für Chosenciphertext-Attacken, unter der Voraussetzung, dass das gebrauchte Orakel immer nur einen Wert ausgibt. Somit wurde durch einführen von Redundanz das Rabin-Verschlüsselungssystem resistent gegen Chosen-ciphertext- Attacken gemacht. Allerdings war genau dieser Aspekt auch wichtig für den Beweis der Äquivalenz zwischen dem Verschlüsselungssystem und dem Faktorisierungsproblem. Da ein theoretischer Algorithmus LRabin red bei Eingabe von einem Ciphertext c und dem Schlüssel n in polynomieller Laufzeit nur die einzige relevante Wurzel ausgeben soll, besteht keine Möglichkeit n ezient in p und q zu zerlegen. Somit ist in diesem Fall die Sicherheit des Rabin- Verschlüsselungssystem nicht beweisbar. 19
21 Literaturverzeichnis [1] [2] Scott A. Vanstone Alfred J. Menezes, Paul C. van Oorschot. Handbook of applied cryptography. CRC Press, [3] PRIMES is in P: Scientic paper describing AKS primality test [4] Victor Shoup. A Computational Introduction to Number Theory and Algebra. Cambridge University Press. [5] Stinson. Cryptograpy: Theory and Practice. CRC Press, [6] Lecture 7: Number Theory and Candidate One Way Functions. tal/4995/lect_notes/itc7.pdf,
Vortrag zum Proseminar: Kryptographie
Vortrag zum Proseminar: Kryptographie Thema: Oliver Czernik 6.12.2005 Historie Michael Rabin Professor für Computerwissenschaft Miller-Rabin-Primzahltest Januar 1979 April 1977: RSA Asymmetrisches Verschlüsselungssystem
Mehr3 Public-Key-Kryptosysteme
Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 3 Public-Key-Kryptosysteme 3.1 Verschlüsselung von Nachrichten Wir betrachten ganz einfache Kommunikationsszenarien.
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.4 Semantische Sicherheit 1. Sicherheit partieller Informationen 2. Das Verfahren von Rabin 3. Sicherheit durch Randomisierung Semantische Sicherheit Mehr als nur
Mehr4 Kryptologie. Übersicht
4 Kryptologie Übersicht 4.1 Der erweiterte euklidische Algorithmus................................ 38 4.2 Rechnen mit Restklassen modulo p................................... 39 4.3 Der kleine Satz von
MehrProbabilistische Primzahltests
23.01.2006 Motivation und Überblick Grundsätzliches Vorgehen Motivation und Überblick Als Primzahltest bezeichnet man ein mathematisches Verfahren, mit dem ermittelt wird, ob eine gegebene Zahl eine Primzahl
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.2 Primzahltests 1. Deterministische Primzahltests 2. Der Primzahltest von Solovay-Strassen 3. Der Milner-Rabin Test Wozu Primzahltests? RSA Schlüssel benötigen sehr
Mehr$Id: ring.tex,v /05/03 15:13:26 hk Exp $
$Id: ring.tex,v 1.13 2012/05/03 15:13:26 hk Exp $ 3 Ringe 3.1 Der Ring Z m In der letzten Sitzung hatten wir die sogenannten Ringe eingeführt, dies waren Mengen A versehen mit einer Addition + und einer
MehrRSA Verfahren. Kapitel 7 p. 103
RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen
MehrDer RSA-Algorithmus. 2. Anschließend ist n = p q und ϕ (n) = (p 1) (q 1) zu berechnen.
Kapitel 4 Der RSA-Algorithmus Der RSA-Algorithmus ist das heute bekannteste Verfahren aus der Familie der Public-Key-Kryptosysteme. Es wurde 1978 der Öffentlichkeit vorgestellt und gilt bis heute als der
MehrKryptographie. Teilnehmer: Gruppenleiter: Humboldt-Universität zu Berlin.
Kryptographie Teilnehmer: Kevin Huber Philippe Gruse Vera Koldewitz Philipp Jakubahs Julian Zimmert Maximilian Werk Hermann-Hesse-Oberschule Heinrich-Hertz-Oberschule Gruppenleiter: Ulf Kühn Humboldt-Universität
Mehr3: Zahlentheorie / Primzahlen
Stefan Lucks Diskrete Strukturen (WS 2009/10) 96 3: Zahlentheorie / Primzahlen 3: Zahlentheorie / Primzahlen Stefan Lucks Diskrete Strukturen (WS 2009/10) 97 Definition 37 (Teiler, Vielfache, Primzahlen,
MehrDer chinesische Restsatz mit Anwendung
Der chinesische Restsatz mit Anwendung Nike Garath n.garath@gmx.de Martrikelnummer: 423072 Seminar: Verschlüsslungs- und Codierungstheorie Dozent: Dr. Thomas Timmermann Sommersemester 2017 Inhaltsverzeichnis
MehrPublic-Key-Verschlüsselung und Diskrete Logarithmen
Public-Key-Verschlüsselung und Diskrete Logarithmen Carsten Baum Institut für Informatik Universität Potsdam 10. Juni 2009 1 / 30 Inhaltsverzeichnis 1 Mathematische Grundlagen Gruppen, Ordnung, Primitivwurzeln
MehrPrimzahlen. Herbert Koch Mathematisches Institut Universität Bonn Die Primfaktorzerlegung. a = st
Primzahlen Herbert Koch Mathematisches Institut Universität Bonn 12.08.2010 1 Die Primfaktorzerlegung Wir kennen die natürlichen Zahlen N = 1, 2,..., die ganzen Zahlen Z, die rationalen Zahlen (Brüche
MehrDigitale Signaturen. Einführung und das Schnorr Signatur Schema. 1 Digitale Signaturen Einführung & das Schnorr Signatur Schema.
Digitale Signaturen Einführung und das Schnorr Signatur Schema 1 Übersicht 1. Prinzip der digitalen Signatur 2. Grundlagen Hash Funktionen Diskreter Logarithmus 3. ElGamal Signatur Schema 4. Schnorr Signatur
MehrKapitel 6: Das quadratische Reziprozitätsgesetz
Kapitel 6: Das quadratische Reziprozitätsgesetz Ziel dieses Kapitels: die Untersuchung der Lösbarkeit der Kongruenzgleichung X also die Frage, ob die ganze Zahl Z eine Quadratwurzel modulo P besitzt. Im
MehrAufgabe der Kryptografie
Aufgabe der Kryptografie Eve möchte die Unterhaltung mithören und/oder ausgetauschte Informationen ändern. Alice & Bob kommunzieren über einen unsicheren Kanal. Alice & Bob nutzen Verschlüsselung und digitale
MehrSeminar zum Thema Kryptographie
Seminar zum Thema Kryptographie Michael Hampton 11. Mai 2017 Inhaltsverzeichnis 1 Einleitung 3 1.1 Konventionen.................................. 3 1.2 Wiederholung.................................. 3
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4 Public Key Kryptographie mit RSA 1. Ver- und Entschlüsselung 2. Schlüsselerzeugung und Primzahltests 3. Angriffe auf das RSA Verfahren 4. Sicherheit von RSA Probleme
MehrDigitale Unterschriften mit ElGamal
Digitale Unterschriften mit ElGamal Seminar Kryptographie und Datensicherheit Institut für Informatik Andreas Havenstein Inhalt Einführung RSA Angriffe auf Signaturen und Verschlüsselung ElGamal Ausblick
MehrProseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren
Proseminar Datensicherheit & Versicherungsmathematik RSA-Verfahren Herwig Stütz 2007-11-23 1 Inhaltsverzeichnis 1 Einführung 2 2 Das RSA-Verfahren 2 2.1 Schlüsselerzeugung.................................
MehrPublic-Key Kryptographie mit dem RSA Schema. Torsten Büchner
Public-Key Kryptographie mit dem RSA Schema Torsten Büchner 7.12.2004 1.Einleitung 1. symmetrische-, asymmetrische Verschlüsselung 2. RSA als asymmetrisches Verfahren 2.Definition von Begriffen 1. Einwegfunktionen
MehrPublic Key Kryptographie
3. Juni 2006 1 Algorithmen für Langzahlen 1 RSA 1 Das Rabin-Kryptosystem 1 Diskrete Logarithmen Grundlagen der PK Kryptographie Bisher: Ein Schlüssel für Sender und Empfänger ( Secret-Key oder symmetrische
MehrDr. Ing. Wilfried Dankmeier Eppstein im Taunus,
Modulare Quadratwurzeln beim Fiat-Shamir-Verfahren zur Authentikation (zu Grundkurs Codierung, 3. Auflage 2006, Vieweg Verlag, ISBN 3-528-25399-1, Unterkapitel 5.10, Seiten 303 ff) update vom 20.03.1996
MehrDr. Ing. Wilfried Dankmeier Eppstein im Taunus,
Modulare Quadratwurzeln beim Fiat-Shamir-Verfahren zur Authentikation (zu Grundkurs Codierung, 3. Auflage 2006, Vieweg Verlag, ISBN 3-528-25399-1, Unterkapitel 5.10, Seiten 303 ff) update vom 20.03.1996
MehrRSA-Verfahren Schnelle Ver- / Entschlüsselung Zusammenhang mit dem Faktorisierungsproblem. RSA-Verfahren. Herwig Stütz
2007-11-23 Überblick 1 2 Schnelle modulare Exponentiation Chinesischer Restsatz 3 Allgemeines Public-Key Methode Rivest, Shamir und Adleman 1977 Sicherheit des Verfahrens beruht auf Schwierigkeit der Primfaktorenzerlegung
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5.2 ElGamal Systeme 1. Verschlüsselungsverfahren 2. Korrektheit und Komplexität 3. Sicherheitsaspekte Das ElGamal Verschlüsselungsverfahren Public-Key Verfahren von
Mehrn ϕ n
1 3. Teiler und teilerfremde Zahlen Euler (1707-1783, Gymnasium und Universität in Basel, Professor für Physik und Mathematik in Petersburg und Berlin) war nicht nur einer der produktivsten Mathematiker
MehrRegine Schreier
Regine Schreier 20.04.2016 Kryptographie Verschlüsselungsverfahren Private-Key-Verfahren und Public-Key-Verfahren RSA-Verfahren Schlüsselerzeugung Verschlüsselung Entschlüsselung Digitale Signatur mit
MehrDer kleine Satz von Fermat
Der kleine Satz von Fermat Luisa-Marie Hartmann 5. Mai 2017 Inhaltsverzeichnis 1 Einleitung 3 2 Hauptteil 4 2.1 Prime Restklassengruppen............................ 4 2.2 Ordnung von Gruppenelementen........................
Mehr= 1. Falls ( a n. ) r i. i=1 ( b p i
Das Jacobi-Symbol Definition Jacobi-Symbol Sei n N ungerade mit Primfaktorzerlegung n = s definieren das Jacobi-Symbol ( a ( ) ri n) := s a i=1 p i. i=1 pr i i. Wir Anmerkungen: Falls a quadratischer Rest
Mehr5 Harte zahlentheoretische Probleme
5 Harte zahlentheoretische Probleme Die folgende Tabelle gibt einen Überblick über kryptologisch relevante zahlentheoretische Berechnungsprobleme. Effizient bedeutet dabei mit polynomialem Aufwand lösbar.
Mehr1 Zahlentheorie. 1.1 Kongruenzen
3 Zahlentheorie. Kongruenzen Der letzte Abschnitt zeigte, daß es sinnvoll ist, mit großen Zahlen möglichst einfach rechnen zu können. Oft kommt es nicht darauf, an eine Zahl im Detail zu kennen, sondern
MehrMathematische Grundlagen der Kryptografie (1321) SoSe 06
Mathematische Grundlagen der Kryptografie (1321) SoSe 06 Klausur am 19.08.2006: Lösungsvorschläge zu den Aufgaben zu Aufgabe I.1 (a) Das numerische Äquivalent zu KLAUSUR ist die Folge [10, 11, 0, 20, 18,
Mehr3. Vortrag: Das RSA-Verschlüsselungsverfahren
Westfälische Wilhelms-Universität Münster Mathematik Sommersemester 2017 Seminar: Verschlüsselungs- und Codierungstheorie Leitung: Thomas Timmermann 3. Vortrag: Das RSA-Verschlüsselungsverfahren Hendrik
MehrMathematisches Kaleidoskop 2014 Materialien Teil 2. Dr. Hermann Dürkop
Mathematisches Kaleidoskop 2014 Materialien Teil 2 Dr. Hermann Dürkop 1 1.6 Quadratische Reste und das Legendre-Symbol Im folgenden seien die Moduln p immer Primzahlen. Wir haben bisher gesehen, ob und
MehrDas Quadratische Reziprozitätsgesetz. Stefanie Beule Sebastian Schrage
Das Quadratische Rezirozitätsgesetz Stefanie Beule Sebastian Schrage 06. November 007 Inhaltsverzeichnis 3 Das Quadratische Rezirozitätsgesetz Notation.............................................. A Das
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 5 Kryptosysteme auf der Basis diskreter Logarithmen 1. Diffie Hellman Schlüsselaustausch 2. El Gamal Systeme 3. Angriffe auf Diskrete Logarithmen 4. Elliptische Kurven
MehrKryptographie - eine mathematische Einführung
Kryptographie - eine mathematische Einführung Rosa Freund 28. Dezember 2004 Überblick Grundlegende Fragestellungen Symmetrische Verschlüsselung: Blockchiffren, Hashfunktionen
MehrVorlesung Mathematik 2 für Informatik
Vorlesung Mathematik 2 für Informatik Inhalt: Modulare Arithmetik Lineare Algebra Vektoren und Matrizen Lineare Gleichungssysteme Vektorräume, lineare Abbildungen Orthogonalität Eigenwerte und Eigenvektoren
MehrDiskrete Mathematik 1
Ruhr-Universität Bochum Lehrstuhl für Kryptologie und IT-Sicherheit Prof. Dr. Alexander May M. Ritzenhofen, M. Mansour Al Sawadi, A. Meurer Lösungsblatt zur Vorlesung Diskrete Mathematik 1 WS 008/09 Blatt
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 12.05.2014 1 / 26 Überblick 1 Hashfunktionen Erinnerung Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel:
MehrKleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA
Kleiner Fermatscher Satz, Chinesischer Restsatz, Eulersche '-Funktion, RSA Manfred Gruber http://www.lrz-muenchen.de/~gruber SS 2009, KW 15 Kleiner Fermatscher Satz Satz 1. Sei p prim und a 2 Z p. Dann
Mehr8. Woche Quadratische Reste und Anwendungen. 8. Woche: Quadratische Reste und Anwendungen 163/ 238
8 Woche Quadratische Reste und Anwendungen 8 Woche: Quadratische Reste und Anwendungen 163/ 238 Quadratische Reste Ḋefinition Quadratischer Rest Sei n N Ein Element a Z n heißt quadratischer Rest in Z
MehrEinführung in Algebra und Zahlentheorie Lösungsvorschlag zur Klausur am 16. Februar 2016
Fakultät für Mathematik Institut für Algebra und Geometrie PD Dr. Stefan Kühnlein Dipl.-Math. oec. Anja Randecker Einführung in Algebra und Zahlentheorie Lösungsvorschlag zur Klausur am 16. Februar 016
MehrAlgebra. 1 = a u + b,
Fachbereich Mathematik Prof. Dr. Nils Scheithauer Walter Reußwig TECHNISCHE UNIVERSITÄT DARMSTADT WS 08/09 11. November 2008 Algebra 5. Übung mit Lösungshinweisen Aufgabe 23 Es sei R ein euklidischer Integritätsbereich.
Mehr11. Das RSA Verfahren
Chr.Nelius: Zahlentheorie (SoSe 2017) 53 11. Das RSA Verfahren Bei einer asymmetrischen Verschlüsselung lässt sich der Schlüssel zum Entschlüsseln nicht aus dem Schlüssel zum Verschlüsseln bestimmen und
MehrVorlesung Sicherheit
Vorlesung Sicherheit Dennis Hofheinz ITI, KIT 15.05.2017 1 / 25 Überblick 1 Hashfunktionen Angriffe auf Hashfunktionen Zusammenfassung Hashfunktionen 2 Asymmetrische Verschlüsselung Idee Beispiel: RSA
MehrGruppenbasierte Kryptographie. ElGamal Sicherheit. Drei Probleme. ElGamal Verschlüsselung. Benutzt zyklische Gruppen von (fast) Primzahlordnung:
Gruppenbasierte Kryptographie Benutzt zyklische Gruppen von (fast) Primzahlordnung: G = g und #G = l = cl 0 mit c klein und l 0 prim. b G : x Z : b = g x. Das Element x heißt diskreter Logarithmus von
Mehr7 Asymmetrische Kryptosysteme
10 7 Asymmetrische Kryptosysteme 7 Asymmetrische Kryptosysteme Diffie und Hellman kamen 1976 auf die Idee, dass die Geheimhaltung des Chiffrierschlüssels keine notwendige Voraussetzung für die Sicherheit
MehrLösung zur Klausur zu Krypographie Sommersemester 2005
Lösung zur Klausur zu Krypographie Sommersemester 2005 1. Bestimmen Sie die zwei letzten Ziffern der Dezimaldarstellung von 12 34 Es gilt: 12 34 = 12 32+2 = 12 32 12 2 = 12 (25) 12 2 = ((((12 2 ) 2 ) 2
MehrDiskreter Logarithmus und Primkörper
Diskreter Logarithmus und Primkörper Neben dem RSA-Verfahren ist die ElGamal-Verschlüsselung 8 ein weiteres klassische Public-Key-Verfahren, welches von Taher ElGamal auf der Konferenz CRYPTO 84 vorgestellt
MehrCryptanalytic Attacks on RSA
Seminararbeit Cryptanalytic Attacks on RSA Quantum Computing Attack Eingereicht am: 5. Juni 2016 Eingereicht von: Rimbert Fischer Matrikelnummer: inf100606 E-Mail: inf100606 (at) fh-wedel.de Referent:
Mehr4 Diskrete Logarithmen und Anwendungen
Stand: 05.11.2013 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 4 Diskrete Logarithmen und Anwendungen 4.1 Diskrete Logarithmen Wir betrachten eine endliche zyklische Gruppe (G,, e)
Mehr1 Vorbereitung: Potenzen 2. 2 Einstieg und typische Probleme 3
Das vorliegende Skript beschäftigt sich mit dem Thema Rechnen mit Kongruenzen. Das Skript entsteht entlang einer Unterrichtsreihe in der Mathematischen Schülergesellschaft (MSG) im Jahr 2013. Die vorliegende
Mehr3.5 Kryptographie - eine Anwendung der Kongruenzrechnung
1 3.5 Kryptographie - eine Anwendung der Kongruenzrechnung Das Wort Kryptographie leitet sich aus der griechischen Sprache ab, nämlich aus den beiden Worten κρυπτ oς(kryptos)=versteckt, geheim und γραϕɛιν(grafein)=schreiben.
MehrGrundlagen der Arithmetik und Zahlentheorie
Grundlagen der Arithmetik und Zahlentheorie 1.0 Teilbarkeit In diesem Abschnitt werden wir einerseits die ganzen Zahlen an sich studieren und dabei besonders wichtige Zahlen, die Primzahlen, entsprechend
MehrÜbungsblatt 3. Stammvorlesung Sicherheit im Sommersemester Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade
Institut für Theoretische Informatik Prof. Dr. J. Müller-Quade Stammvorlesung Sicherheit im Sommersemester 2015 Übungsblatt 3 Aufgabe 1. Beurteilen Sie für die folgenden Konstruktionen jeweils, ob es sich
Mehr10. Public-Key Kryptographie
Stefan Lucks 10. PK-Krypto 274 orlesung Kryptographie (SS06) 10. Public-Key Kryptographie Analyse der Sicherheit von PK Kryptosystemen: Angreifer kennt öffentlichen Schlüssel Chosen Plaintext Angriffe
Mehr4 Diskrete Logarithmen und Anwendungen
Stand: 19.1.2015 Vorlesung Grundlagen und Methoden der Kryptographie Dietzfelbinger 4 Diskrete Logarithmen und Anwendungen 4.1 Diskrete Logarithmen Wir betrachten eine endliche zyklische Gruppe (G,, e)
MehrBetriebssysteme und Sicherheit
Betriebssysteme und Sicherheit Asymmetrische Kryptographie WS 2012/2012 Dr.-Ing. Elke Franz Elke.Franz@tu-dresden.de 1 Überblick 1 Prinzip asymmetrischer (Konzelations-)Systeme 2 Mathematische Grundlagen
MehrInstitut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz. Klausur Hinweise
Institut für Theoretische Informatik Jun.-Prof. Dr. D. Hofheinz Stammvorlesung Sicherheit im Sommersemester 2014 Klausur 22.07.2014 Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen
MehrRSA (Rivest, Shamir, Adleman)
Juli 2012 LB 3 Kryptographie F. Kaden 1/11 1977 von Rivest, Shamir, Adleman am MIT (Massachusetts Institut of Technology) entwickelt asymmetrisches Verschlüsselungsverfahren Ziel: email-verschlüsselung,
MehrMathematische Grundlagen der Kryptographie. 1. Ganze Zahlen 2. Kongruenzen und Restklassenringe. Stefan Brandstädter Jennifer Karstens
Mathematische Grundlagen der Kryptographie 1. Ganze Zahlen 2. Kongruenzen und Restklassenringe Stefan Brandstädter Jennifer Karstens 18. Januar 2005 Inhaltsverzeichnis 1 Ganze Zahlen 1 1.1 Grundlagen............................
MehrZahlentheorie, Arithmetik und Algebra
Zahlentheorie, Arithmetik und Algebra Seminar Hallo Welt für Fortgeschrittene 2008 Matthias Niessner June 20, 2008 Erlangen 1 von 29 Matthias Niessner Zahlentheorie, Arithmetik und Algebra Übersicht 1
MehrEinführung in die asymmetrische Kryptographie
!"#$$% Einführung in die asymmetrische Kryptographie Dipl.-Inform. Mel Wahl Prof. Dr. Christoph Ruland Universität Siegen Institut für digitale Kommunikationssysteme Grundlagen Verschlüsselung Digitale
MehrKapitel 3 Elementare Zahletheorie
Kapitel 3 Elementare Zahletheorie 89 Kapitel 3.1 Ganze Zahlen, Gruppen und Ringe 90 Die ganzen Zahlen Menge der ganzen Zahlen Z={..., 3, 2, 1,0,1,2,3,...} Es gibt zwei Operationen Addition: Z Z Z, (a,b)
MehrPRIMZAHLEN PATRICK WEGENER
PRIMZAHLEN PATRICK WEGENER 1. Einführung: Was sind Primzahlen? Eine ganze Zahl p, welche größer als 1 ist, heißt Primzahl, wenn sie nur durch 1 und sich selbst teilbar ist. Mit teilbar meinen wir hier
MehrMusterlösung zur Probeklausur zur Angewandten Diskreten Mathematik
UNIVERSITÄT ULM Institut für Zahlentheorie und Wahrscheinlichkeitstheorie Musterlösung zur Probeklausur zur Angewandten Diskreten Mathematik Prof. Dr. Helmut Maier, Hans- Peter Reck Gesamtpunktzahl: 100
MehrDas RSA-Verfahren. Proseminar Kryptographische Protokolle SS Armin Litzel
in der Praxis Proseminar Kryptographische Protokolle SS 2009 5.5.2009 in der Praxis Gliederung 1 Grundlegendes über RSA 2 in der Praxis Allgemeine Vorgehensweise zur Verschlüsselung Signieren mit RSA 3
Mehr7. Kongruenzrechnung Definition: Proposition: Korollar: Beispiel: b ( a kongruent b modulo n ) auf Z, definiert durch:
7. Kongruenzrechnung 7. 1. Definition: Für n N sei die Relation: n a n b ( a kongruent b modulo n ) auf Z, definiert durch: a n b : n ( a b) a b ( mod n) Dies ist eine Äquivalenzrelation auf Z. Die Menge
MehrQuadrate und Wurzelziehen modulo p
Quadrate und Wurzelziehen modulo p Sei im Folgenden p eine Primzahl größer als. Wir möchten im Körper Z p Quadratwurzeln ziehen. Die Quadrierabbildung Q :Z p Z p ist aber nicht surjektiv, daher gibt es
MehrPseudo-Zufallsgeneratoren basierend auf dem DLP
Seminar Codes und Kryptografie SS 2004 Struktur des Vortrags Struktur des Vortrags Ziel Motivation 1 Einleitung Ziel Motivation 2 Grundlegende Definitionen Zufallsgeneratoren 3 Generator Sicherheit 4 Generator
MehrZahlentheorie I. smo osm. Thomas Huber. Inhaltsverzeichnis. Aktualisiert: 1. August 2016 vers Teilbarkeit 2.
Schweizer Mathematik-Olympiade smo osm Zahlentheorie I Thomas Huber Aktualisiert: 1. August 2016 vers. 1.0.0 Inhaltsverzeichnis 1 Teilbarkeit 2 2 ggt und kgv 3 3 Abschätzungen 6 1 Teilbarkeit Im Folgenden
Mehrχ a : N + {0, 1, 1} {( a χ a (n) = χ a (n ). ψ(mn) < ψ(m)ψ(n).
September 007, Zahlentheorie 1 a) Formulieren Sie das quadratische Reziprozitätsgesetz einschließlich der Definitionen der Legendre- und Jacobi-Symbole. b) Für a Z \ {0} definieren wir durch χ a (n) =
MehrPrimzahlzertifikat von Pratt
Primzahlzertifikat von Pratt Daniela Steidl TU München 17. 04. 2008 Primzahltests in der Informatik "Dass das Problem, die Primzahlen von den Zusammengesetzten zu unterscheiden und letztere in ihre Primfaktoren
MehrDer Primzahltest von Agrawal, Kayal und Saxena. Dr. Gerold Jäger
Der Primzahltest von Agrawal, Kayal und Saxena Dr. Gerold Jäger Habilitationsvortrag Christian-Albrechts-Universität zu Kiel Institut für Informatik 19. Januar 2011 Dr. Gerold Jäger Habilitationsvortrag
MehrRabin Verschlüsselung 1979
Rabin Verschlüsselung 1979 Idee: Rabin Verschlüsselung Beobachtung: Berechnen von Wurzeln in Z p ist effizient möglich. Ziehen von Quadratwurzeln in Z N ist äquivalent zum Faktorisieren. Vorteil: CPA-Sicherheit
MehrKapitel 3: Die Sätze von Euler, Fermat und Wilson. 8 Der Satz von Euler
Kapitel 3: Die Sätze von Euler, Fermat und Wilson In diesem Kapitel wollen wir nun die eulersche -Funktion verwenden, um einen berühmten Satz von Euler zu formulieren, aus dem wir dann mehrere interessante
Mehrggt mit Euklid Satz: Um ggt(k, l) mit dem Euklidischen Algorithmus zu berechnen, braucht man höchstens log Φ k < 3 2 log 2 k rekursive Aufrufe.
ggt mit Euklid Satz: Um ggt(k, l) mit dem Euklidischen Algorithmus zu berechnen, braucht man höchstens log Φ k < 3 2 log 2 k rekursive Aufrufe. Das heißt, um den ggt von zwei 1000-Bit-Zahlen zu ermitteln,
MehrFolien der 15. Vorlesungswoche
Folien der 15. Vorlesungswoche Mathematische Analyse von RSA I (1) Wir wählen zwei große Primzahlen p und q (p q) und setzen n = p q. Wir arbeiten von nun an in Z n und berücksichtigen, dass wie später
MehrEl. Zahlentheorie I: Der kleine Satz von Fermat
Vorlesung 7 Universität Münster 25. September 2007 El. In Vorlesung 4 haben wir Modulo-Arithmetik behandelt. Definition Sei n N 1. Auf Z ist eine Äquivalenzrelation Kongruenz modulo n definiert durch x
MehrVorlesung 7. Tilman Bauer. 25. September 2007
Vorlesung 7 Universität Münster 25. September 2007 El. In Vorlesung 4 haben wir Modulo-Arithmetik behandelt. Definition Sei n N 1. Auf Z ist eine Äquivalenzrelation Kongruenz modulo n definiert durch x
MehrKryptographie und Komplexität
Kryptographie und Komplexität Einheit 4.3 Angriffe auf das RSA Verfahren 1. Faktorisierungsangriffe 2. Andere Angriffe 3. Richtlinien für die Schlüsselauswahl Sicherheit des RSA Verfahrens Sicherheit des
MehrEinführung in die Zahlentheorie
Einführung in die Zahlentheorie von Peter Hellekalek Institut für Mathematik Universität Salzburg Hellbrunner Straße 34 A-5020 Salzburg, Austria Tel: +43-(0)662-8044-5310 Fax: +43-(0)662-8044-137 e-mail:
MehrPrimzahltests und Faktorisierung. Primzahltests. Nuria Brede Universität Potsdam - Kryptographie SoSe 2005 Seite 1
Primzahltests und Faktorisierung Primzahltests Primzahltests Nuria Brede 16.06.2005 16.06.2005 Universität Potsdam - Kryptographie SoSe 2005 Seite 1 Primzahltests und Faktorisierung Primzahltests Inhalt
MehrEin RSA verwandtes, randomisiertes Public Key Kryptosystem
Seminar Codes und Kryptographie WS 2003 Ein RSA verwandtes, randomisiertes Public Key Kryptosystem Kai Gehrs Übersicht 1. Motivation 2. Das Public Key Kryptosystem 2.1 p-sylow Untergruppen und eine spezielle
MehrVorlesung Diskrete Strukturen Gruppe und Ring
Vorlesung Diskrete Strukturen Gruppe und Ring Bernhard Ganter Institut für Algebra TU Dresden D-01062 Dresden bernhard.ganter@tu-dresden.de WS 2009/10 1 Bernhard Ganter, TU Dresden Modul Einführung in
MehrMusterlösung zur Probeklausur zur Angewandten Diskreten Mathematik Dr. Hartmut Lanzinger, Hans- Peter Reck
Musterlösung zur Probeklausur zur Angewandten Diskreten Mathematik Dr. Hartmut Lanzinger, Hans- Peter Reck Gesamtpunktzahl: 114 Punkte, 100 Punkte= 100 %, keine Abgabe 1. Es seien m = 1155 und n = 1280.
MehrLösungen der Aufgaben
Lösungen der Aufgaben Aufgabe 1.3.1 Es gibt 42 mögliche Verschlüsselungen. Aufgabe 2.3.4 Ergebnisse sind 0, 4 und 4 1 = 4. Aufgabe 2.3.6 Da in Z 9 10 = 1 ist, erhalten wir x = c 0 + + c m = c 0 + + c m.
MehrElliptische Kurven in der Kryptographie, Teil III. 1 Supersingularität
Elliptische Kurven in der Kryptographie, Teil III Vortrag zum Seminar zur Funktionentheorie, 03.1.007 Julia Baumgartner In diesem Vortrag wollen wir supersinguläre elliptische Kurven betrachten und dann
MehrÜbung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen
Übung GSS Blatt 6 SVS Sicherheit in Verteilten Systemen 1 Einladung zum SVS-Sommerfest SVS-Sommerfest am 12.07.16 ab 17 Uhr Ihr seid eingeladen! :-) Es gibt Thüringer Bratwürste im Brötchen oder Grillkäse
MehrProbabilistische Primzahltests
Probabilistische Primzahltests Daniel Tanke 11. Dezember 2007 In dieser Arbeit wird ein Verfahren vorgestellt, mit welchem man relativ schnell testen kann, ob eine ganze Zahl eine Primzahl ist. Für einen
MehrAnwendungen der Linearen Algebra: Kryptologie
Anwendungen der Linearen Algebra: Kryptologie Philip Herrmann Universität Hamburg 5.12.2012 Philip Herrmann (Universität Hamburg) AnwLA: Kryptologie 1 / 28 No one has yet discovered any warlike purpose
MehrMathematisches Institut II Universität Karlsruhe Priv.-Doz. Dr. N. Grinberg
1 Mathematisches Institut II 06.07.004 Universität Karlsruhe Priv.-Doz. Dr. N. Grinberg SS 05 Schnupperkurs: Ausgewählte Methoden zur Aufgabenlösung Vorlesung 5: Elementare Zahlentheorie: Teilbarkeit Primfaktorzerlegung
MehrPRIMHEITSZERTIFIKATE UND TEST VON PROTH Seminar Primzahltests von zur Gathen & Müller & Krummel
PRIMHEITSZERTIFIKATE UND TEST VON PROTH Seminar Primzahltests von zur Gathen & Müller & Krummel Christian Viergutz Sommersemester 2003 Zusammenfassung. Dieser Artikel befasst sich mit Beweisen für die
MehrVorkurs für. Studierende in Mathematik und Physik. Einführung in Kryptographie Kurzskript 2015
Vorkurs für Studierende in Mathematik und Physik Einführung in Kryptographie Kurzskript 2015 Felix Fontein Institut für Mathematik Universität Zürich Winterthurerstrasse 190 8057 Zürich 11. September 2015
Mehr6.2 Asymmetrische Verschlüsselung
6.2 Asymmetrische Verschlüsselung (asymmetric encryption, public-key encryption) Prinzip (Diffie, Hellman, Merkle 1976-78): Statt eines Schlüssels K gibt es ein Schlüsselpaar K E, K D zum Verschlüsseln
MehrLauschen zwecklos! Teilnehmer: Gruppenleiter: Mitglied im DFG-Forschungszentrum Matheon Mathematik für Schlüsseltechnologien
Lauschen zwecklos! Teilnehmer: Andrea Birth Nikolai Bobenko Jonas Gätjen Holger Hesse Julian Risch Sophie Spirkl Gruppenleiter: Jürg Kramer Anna v. Pippich Andreas-Oberschule Herder-Oberschule Immanuel-Kant-Oberschule
MehrHast du auch wirklich versucht, die Aufgaben einmal selbständig zu lösen? Wenn nicht, tue es, bevor du dir die Lösungen anschaust!
Chr.Nelius: Zahlentheorie (SoSe 2016) 1 14. Aufgabenblatt ZAHLENTHEORIE (für Master G und HRG) Lösungen Hast du auch wirklich versucht, die Aufgaben einmal selbständig zu lösen? Wenn nicht, tue es, bevor
Mehr