Volker Kaatz. Faktorisierung. Faktorisierung. Problem und Algorithmen. Relevanz in der Kryptographie

Transkript

1 Faktorisierung Problem und Algorithmen Relevanz in der Kryptographie

2 Inhalt Begriff Faktorisierung Algorithmen (Übersicht) Strategie und Komplexität Pollard p-1 Algorithmus Pseudocode, mathematische Basis, Beispiel Random Square -Verfahren und Quadratisches Sieb Mathematik und Zusammenhang Faktorisierung und Sicherheit von Kryptosystemen Literatur

3 Faktorisierung Definition [1] : Faktorisierung ist die Zerlegung einer natürlichen Zahl n in ihre Primfaktoren, also in die Darstellung wobei p i paarweise unterschiedlich sind und e i 1 gilt. Definition [1] : n=p 1 e 1 p2 e 2 pk e k Nicht-triviale Faktorisierung (splitting) ist die Zerlegung von n in n=ab mit 1<a<n und 1<b<n

4 Algorithmen [5],[2],[1] Probedivision (trial division) Pollard rho-algorithmus Pollard p-1-algorithmus Williams p+1-algorithmus Elliptische Kurven (elliptic curve) Quadratisches Sieb (quadratic sieve) Zahlkörpersieb (number field sieve) Kettenbruchmethode (continued fraction)

5 Algorithmen [1] Spezialalgorithmen vs. Allzweckalgorithmen Einige Algorithmen sind effizient für Faktoren mit bestimmten Eigenschaften, z.b.: Probedivision für kleine Faktoren Pollard p-1, wenn p-1 glatt bezüglich einer Grenze B ist Es gibt Algorithmen, deren Effizienz nur von der Größe der Zahl n abhängt, z.b.: Zahlkörpersieb

6 Faktorisierungsstrategie [1] für n Teste n mit Probedivision auf kleine Faktoren (d.h. p i b 1 ) Teste n mit Pollard rho (um Faktoren b 1 <p i b 2 zu finden) Teste n mit Methode der elliptischen Kurven (um Faktoren b 2 <p i b 3 zu finden) Teste n mit Zahlkörpersieb (ohne Grenze, d.h. alle übrigen Faktoren)

7 Komplexität Exponentiell Probedivision, Pollard rho, Pollard p-1 Subexponentiell [2] Elliptische Kurven Quadratisches Sieb Zahlkörpersieb Polynomiell [3],[5] O e 1 o 1 2ln p lnln p O e 1 o 1 lnnlnlnn O e 1,92 o 1 lnn 3 lnlnn Shor's Algorithmus für Quantencomputer

8 Pollard p-1 Algorithmus [2] Algorithmus (n, B): n: zusammengesetzte Zahl, B: Grenze a 2 for j 2 tob doa a j mod n d ggt a 1,n if 1 d n then return d else return "nicht gefunden"

9 Pollard p-1 Algorithmus [2] Algorithmus: for-schleife berechnet Mathematisches Vorgehen: a 2 B! mod n (a) Voraussetzung: p n und p ist prim (b) Voraussetzung: q p 1 für alle Primpotenzen q B (1) mit p n gilt: a 2 B! mod p (2) Fermat: 2 p 1 1 mod p (aus (a): p ist prim) (3) Aus (a) und (b): p 1 B! (4) Aus (1) bis (3): a 1 mod p,d.h. p a 1 Aus (4) und (a): p d d=ggt a 1, n Für 1 d n ist d ein nichttrivialer Teiler von n

10 Pollard p-1 Algorithmus [2] Beispiel: n = , B = 180 a=2 180! mod = d=ggt , =135979=p n= erfolgreich, da p 1=135978= Komplexität: O B logb logn 2 logn 3 ggt: Multiplikationen für a 2 B! mod n : in der Praxis [1] : 10 5 B 10 6 O logn 3 B 1 2log 2 B

11 Random square -Faktorisierung [1] Idee: x 2 y 2 mod n mit x ±y mod n Dann gilt: n x 2 y 2 = x y x y n x y ; n x y Dann ist ggt x y,n ein nichttrivialer Faktor von n Faktorbasis: S = {p 1,p 2,...,p t } Bestimme Paare b i sei p t -glatt a i,b i mit a i 2 b i mod n

12 Random square -Faktorisierung [1] x 2 a 2 mod n hat 2 k Lösungen, wenn n teilbar durch k ungerade Primzahlen t b = i j=1 p j e ij,eij 0 v i = v i1,v i2,...,v it,v i n =e i n mod 2 Bestimmung linear abhängiger v i liefert Menge T von Indizes i mit: i T b i ist ein Quadrat Setze: x= i T a i ; y= i T b i

13 Quadratisches Sieb [1] Frage: Wie werden die Paare (a i, b i ) bestimmt? 1. Variante: zufällig (Dixon) 2. Variante: Algorithmus mit Sieb Quadratisches Sieb Zahlkörpersieb Frage: Wie wird S gewählt? Größe der Faktorbasis Gibt es nicht benötigte Elemente?

14 Quadratisches Sieb [1] Bestimmung der Paare: n soll faktorisiert werden, m= n q x = x m 2 n=x 2 2mx m 2 n x 2 2mx a i = x m,b i = x m 2 n (teste, ob b i p t -glatt ist) Da a 2 i = x m 2 b i mod n ist n ein quadratischer Rest modulo p, wenn p b i. n p =1 S enthält nur Primzahlen, für die gilt, sowie die Zahl -1.

15 Quadratisches Sieb Größe der Faktorbasis (Schranke) in der Größenordung [6] 1 2 e lnn lnlnn effizient bis etwa Dezimalstellen [1] Verallgemeinerung durch Zahlkörpersieb [2]

16 Faktorisierung und Sicherheit Problem ist schwer zu lösen (NP) Anwendung in Public Key Verfahren RSA-576 (174 Dezimalstellen) am 3. Dezember 2003 als faktorisiert gemeldet [7] Länge von n ist entscheidend Gefahr für kryptografische Verfahren: Quantencomputer (Shor's Polynomialzeitalgorithmus) bisher: Bau ausreichend großer Computer nicht möglich [4]

17 Literatur [1]: A. Menezes, P. Van Oorschot, S. Vanstone: Handbook of Applied Cryptography; 1996 [2]: D. R. Stinson: Cryptography: Theory and Practice, Second Edition; Chapman & Hall/CRC, 2002 [3]: D. Wätjen: Kryptographie: Grundlagen, Algorithmen, Protokolle; Spektrum Akademischer Verlag Heidelberg, Berlin, 2004 [4]: P. W. Shor: Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer; 1996 in: [5]: [6]: [7]: