Elementare Zahlentheorie & RSA

Transkript

1 Universität Paderborn Fakultät für Elektrotechnik, Informatik und Mathematik Institut für Mathematik Elementare Zahlentheorie & RSA Eine kurze Wiederholung im Rahmen der Vorlesung Mathematik für Informatiker I (Wintersemester 2006/2007) Kai Gehrs gehrs@mupad.de Paderborn, 14. Februar 2007

2 Inhaltsverzeichnis Vorbemerkung 2 1 Grundlagen Repeated Squaring (Effizientes Potenzieren) Der Euklidische Algorithmus Restklassenringe und modulares Rechnen Die Eulersche ϕ-funktion Einige gruppentheoretische Resultate Der Satz von Lagrange Der Satz von Euler Der kleine Satz von Fermat Das RSA-Verfahren 11 4 Ausgewählte Übungsaufgaben mit Lösungen Aufgabe 16: (Primfaktoren) Aufgabe 17: (Restklassen modulo Primpotenzen) Aufgabe 19: (Einheiten, Nullteiler und Partitionen) Aufgabe 20: (Satz von Wilson) Aufgabe 23: (Modulares Rechnen) Literaturverzeichnis 17

3 2 1 GRUNDLAGEN Vorbemerkung Bei den vorliegenden Notizen handelt es sich um einen Auszug aus einem Skript über elementare Kryptographie. Diese Notizen wurden also nicht explizit für die Vorlesung Mathematik für Informatiker I geschrieben, sondern entstammen einem teilweise allgemeineren Kontext. Die hier angeführten Argumentationen und Beweise zur Begründung der Korrektheit bestimmter Beispiele und/oder Resultate sind zum Teil von Prof. Dr. Henning Krause im Rahmen der Vorlesung in der vorliegenden Form oder Notation nicht behandelt worden. Ferner erheben diese Notizen keinen Anspruch darauf, Algorithmen wie etwas den Erweiterten Euklidischen Algorithmus oder das Wiederholte Quadriere ( Repeated Squaring ) exakt in der Form darzustellen, wie die Resultate auf den Folien der Vorlesung von Prof. Dr. Henning Krause zu finden sind. Daher ist das Studium des Inhalts dieses Kurzskripts auch nicht relevant für die anstehenden Prüfungsklausuren im eigentlichen Sinne. Es ist lediglich so, dass die vorliegenden Notizen als Ergänzung zu der Zusatzübung Elementare Zahlentheorie vom gedacht sind. Wer also gerne noch einmal bestimmte Resultate in Form eines Fließtextes wiederholen möchte, kann dieses Kurzskript (auch unter Auslassen der hier angegebenen Beweise) noch einmal zu Wiederholungszwecken nutzen. Fassen Sie diese Notizen also einfach als optionales Bonusmaterial auf. 1 Grundlagen 1.1 Repeated Squaring (Effizientes Potenzieren) In einer Reihe kryptographischer Verfahren ist es von essentieller Wichtigkeit, dass man effizient auch große Potenzen von Gruppenelementen berechnen kann. Das in diesem Abschnitt kurz vorgestellte Verfahren kann universell in einer beliebigen Gruppe G verwendet werden, um x k für ein Element x G und k N zu berechnen. Aus diesem Grund geben wir den Algorithmus zur Berechnung solcher Potenzen auch zunächst in sehr allgemeiner Form an. Algorithmus 1.1. ( Repeated Squaring ) Sei G eine Gruppe, x G und k N. Ferner sei k = n 1 i=0 k i 2 i die Binärdarstellung der Zahl k mit k n 1 = 1. (1) Setze y := x.

4 1.2 Der Euklidische Algorithmus 3 (2) Für i = n 2,..., 0 berechne: y := y 2 Ist k i = 1, so berechne zusätzlich y := y x. (3) Gebe y = x k aus. Anstatt eines Korrektheitsbeweises, bei dem man die Gültigkeit einer entsprechend geschickt gewählten Invariante nachweist, betrachten wir ein kleines Beispiel: Beispiel 1.2. Sei G eine Gruppe und x G. Wir wollen x 20 mit Hilfe von Algorithmus 1.1 berechnen. Es ist k 4 k 3 k 2 k 1 k 0 = die Binärdarstellung der Zahl 20. Zuerst setzen wir y := x. Wegen k 3 = 0 setzen wir y := y 2 = x 2 und verzichten auf eine zusätzliche Multiplikation mit x. Im nächsten Schritt ist k 2 = 1 zu betrachten. Wir berechnen also zuerst y := y 2 = x 4 und dann zusätzlich y := y x = x 5. Wegen k 1 = k 0 = 0 sind die nächsten beiden auszuführenden Schritte y := y 2 = x 10 und zuletzt ist der Wert von y ein weiteres Mal zu quadrieren: y := y 2 = x Der Euklidische Algorithmus Zur Erinnerung stellen wir diesem Abschnitt die folgenden beiden elementaren Definitionen voran: Definition 1.3. Sei R ein Ring. Dann heißt a ein Teiler von b, a b, falls es ein r R gibt mit b = r a. Definition 1.4. Sei R ein euklidischer Ring (d.h. ein Ring, in dem man zwei Elemente per Division mit Rest durcheinander dividieren kann). (i) Dann heißt d R ein größter gemeinsamer Teiler von a, b R, d = ggt(a, b), falls d a und d b und für alle s R mit s a und s b stets s d folgt. (ii) Ein Element k R heißt kleinstes gemeinsames Vielfaches von a und b, k = kgv(a, b), falls a k und b k und für alle l R mit a l und b l stets k l folgt. Für R = Z sprechen wir häufig von dem größten gemeinsamen Teiler und meinen damit den eindeutig bestimmten positiven größten gemeinsamen Teiler zweier ganzer Zahlen. Gleiches gilt für das kleinste gemeinsame Vielfache zweier ganzer Zahlen. Im folgenden Lemma fassen wir ohne Beweis einige der wesentlichen Eigenschaften des größten gemeinsamen Teilers ganzer Zahlen zusammen:

5 4 1 GRUNDLAGEN Lemma 1.5. Seien a, b, c Z. Dann gilt: (i) ggt(a, b) = a genau dann, wenn a b. (ii) ggt(a, a) = ggt(a, 0) = a und ggt(a, 1) = 1. (iii) Kommutativität: ggt(a, b) = ggt(b, a). (iv) Assoziativität: ggt(a, ggt(b, c)) = ggt(ggt(a, b), c). (v) Distributivität: ggt(c a, c b) = c ggt(a, b). (vi) Gilt a = b, so folgt stets ggt(a, c) = ggt(b, c). (vii) Ist g = ggt(a, b), g > 0, so existieren s, t Z mit g = s a + t b. Die Darstellung Lemma 1.5 (vii) liefert der Erweiterte Euklidische Algorithmus, der in einem beliebigen euklidischen Ring durchgeführt werden kann. Wir geben ihn der Einfachheit halber nur für ganze Zahlen an. Die hier vorgestellte Version kann aber leicht in eine Version für Polynome umgeschrieben werden, wenn man die entsprechenden Ungleichungen als Ungleichungen über den Grad der betrachteten Polynome interpretiert. Vorab aber noch ein kleines Lemma, das uns beim Beweis der Korrektheit des Algorithmus sehr nützlich sein wird: Lemma 1.6. Seien a, b Z. Dann gilt: ggt(a, b) = ggt(a mod b, b). Beweis. Division mit Rest liefert a = q b + (a mod b). Es gilt: ggt(a, b) teilt sowohl a als auch b, also auch a mod b = a q b und damit ggt(a mod b, b). Umgekehrt teilt ggt(a mod b, b) sowohl a mod b als auch b und damit auch a = q b + (a mod b). Wir erhalten also ggt(a, b) ggt(a mod b, b) und ggt(a mod b, b) ggt(a, b). Daraus folgt die Behauptung. Algorithmus 1.7. (Erweiterter Euklidischer Algorithmus (EEA)) Seien a, b Z mit a b. (1) Setze r 0 := a, r 1 := b, s 0 := 1, s 1 := 0, t 0 := 0, t 1 := 1 und i := 1. (2) Wiederhole den folgenden Schritt, bis r l+1 = 0 gilt für ein l N 0 : Berechne q i := r i 1 quot r i als ganzzahligen Quotienten von r i 1 und r i. r i+1 := r i 1 q i r i (d.h. r i+1 = r i 1 mod r i )

6 1.2 Der Euklidische Algorithmus 5 s i+1 := s i 1 q i s i t i+1 := t i 1 q i t i i := i + 1 (3) Gebe r l, s l und t l aus. Dann ist r l ein größter gemeinsamer Teiler von a und b und es gilt r l = s l a+t l b. Beweis. (Korrektheit) Der Erweiterte Euklidische Algorithmus 1.7 terminiert, denn es gilt für r i mit i 2 die Ungleichung 0 r i = r i 2 mod r i 1 < r i 1 a. Damit bilden die Reste r i eine streng monoton fallende Folge ganzer Zahlen, die nach unten durch 0 beschränkt ist, d.h. der Algorithmus muss terminieren. Wir zeigen nun, dass für alle i gilt: s i a + t i b = r i. Für i = 0 und i = 1 ist die Behauptung klar per Definition von r 0, r 1, s 0, s 1, t 0, t 1. Sei nun i 2. Dann folgt per Induktion: s i a + t i b = (s i 2 q i 1 s i 1 ) a + (t i 2 q i 1 t i 1 ) b = (s i 2 a + t i 2 b) (q i 1 s i 1 a + q i 1 t i 1 b) = r i 2 q i 1 (s i 1 a + t i 1 b) = r i 2 q i 1 r i 1 = r i Damit folgt für i = l mit s l a + t l b = r l die behauptete Darstellung. Es bleibt zu zeigen, dass r l in der Tat ein größter gemeinsamer Teiler von a und b ist. Mit Lemma 1.6 und a = (a quot b) b + (a mod b) = q 1 b + r 2 folgt ggt(a, b) = ggt(a mod b, b) = ggt(r 2, b) = ggt(r 2, r 1 ). Wegen r i+1 = r i 1 mod r i folgt ggt(r i 1, r i ) = ggt(r i 1 mod r i, r i ) = ggt(r i+1, r i ). Wegen r l+1 = 0 und r l = ggt(r l+1, r l ) folgt per Rekursion r l = ggt(r 2, r 1 ) = ggt(a, b). Wir betrachten ein Beispiel: Beispiel 1.8. Seien a = 126 und b = 35. zunächst definieren wir r 0 := 126, r 1 := 35, s 0 := 1, s 1 := 0, t 0 := 0 und t 1 := 1. Dann folgen wir der Vorschrift aus 1.7: i = 1 q 1 = r 0 quot r 1 = 126 quot 35 = 3 r 2 = r 0 q 1 r 1 = = 21 s 2 = s 0 q 1 s 1 = = 1 t 2 = t 0 q 1 t 1 = = 3

7 6 1 GRUNDLAGEN i = 2 q 2 = r 1 quot r 2 = 35 quot 21 = 1 r 3 = r 1 q 2 r 2 = = 14 s 3 = s 1 q 2 s 2 = = 1 t 3 = t 1 q 2 t 2 = 1 1 ( 3) = 4 i = 3 q 3 = r 2 quot r 3 = 21 quot 16 = 1 r 4 = r 2 q 3 r 3 = = 7 s 4 = s 2 q 3 s 3 = 1 1 ( 1) = 2 t 4 = t 2 q 3 t 3 = = 7 i = 4 q 4 = r 3 quot r 4 = 14 quot 7 = 2 r 5 = r 3 q 4 r 4 = = 0 Damit folgt: ggt(126, 35) = r 4 = 7 und 7 = ( 7) Restklassenringe und modulares Rechnen Restklassenringe ganzer Zahlen sind für uns die algebraische Struktur, in der wir später in kryptographischen Verfahren rechnen wollen. Grundlegend ist die folgende Definition. Bemerkung und Definition 1.9. Sei N N, N 2. Auf dem Ring der ganzen Zahlen Z definieren wir die Relation N vermöge a N b : N a b. Die Relation N ist eine Äquivalenzrelation, so dass wir die Äquivalenzklassen nach N betrachten können. Die Klasse von a Z modulo N definieren wir als a mod N := [a] N := {b Z b N a}.

8 1.3 Restklassenringe und modulares Rechnen 7 Als Repräsentanten für a mod N wählen wir immer die kleinste nicht-negative ganze Zahl z mit 0 z N 1 aus der Menge {b Z : N (b a)}. Die Menge der Äquivalenzklassen nach der Äquivalenzrelation N bezeichnen wir mit Z N. Wir definieren für a 1 mod N, a 2 mod N Z N eine Addition und eine Multiplikation wie folgt: a 1 mod N + a 2 mod N = (a 1 + a 2 ) mod N, a 1 mod N a 2 mod N = (a 1 a 2 ) mod N. Mit der so definierten Addition und Multiplikation wird Z N zu einem kommutativen Ring mit Nullelement 0 mod N und Einselement 1 mod N, der als Restklassenring von Z modulo N bezeichnet wird. Z N hat N Elemente. Ein bezüglich der Multiplikation invertierbares Element a mod N bezeichnen wir als Einheit modulo N. Die Menge aller Einheiten von Z N wird mit Z N bezeichnet. Beispiel Sei N = 6. Dann besteht Z N = Z 6 aus den Restklassen 0 mod 6, 1 mod 6, 2 mod 6, 3 mod 6, 4 mod 6 und 5 mod 6. Es gilt: 2 mod mod 6 = (2 + 3) mod 6 = 5 mod 6, 4 mod mod 6 = (4 + 5) mod 6 = 9 mod 6 = 3 mod 6, 2 mod 6 2 mod 6 = (2 2) mod 6 = 4 mod 6, 2 mod 6 3 mod 6 = (2 3) mod 6 = 6 mod 6 = 0 mod 6, 5 mod 6 5 mod 6 = (5 5) mod 6 = 25 mod 6 = 1 mod 6. Wir wollen uns nun ein wenig genauer mit dem Ring Z N = {k mod N k {0,..., N 1}} für ein N N beschäftigen. Unter anderem im Rahmen des RSA Verfahrens 3.1 sind wir an den Einheiten Z N modulo einer Zahl N interessiert. Es gilt: Lemma Für N N gilt Z N Worten erhalten wir: = {k mod N ggt(k, N) = 1}. Mit anderen k ist invertierbar modulo N genau dann, wenn ggt(k, N) = 1. Beweis. Es sei r Z N. Dann gibt es ein l Z N mit r l 1 mod N, d.h. r l = m N + 1 für ein m N. Folglich ist r l m N = 1 und ggt(r, N) 1. Es folgt ggt(r, N) = 1. Umgekehrt liefert für r mod N {k mod N ggt(k, N) = 1} der Erweiterte Euklidische Algorithmus 1.7 die Darstellung 1 = s r + t N mit s, t Z. Reduktion modulo N liefert s mod N als Inverses von r mod N.

9 8 1 GRUNDLAGEN Bevor wir den Algorithmus explizit angeben, betrachten wir noch ein kleines Beispiel: Beispiel Gesucht sei das modulare Inverse von 23 mod 110. Der Erweiterte Euklidische Algorithmus 1.7 liefert uns die Darstellung Reduktion modulo 110 liefert also 1 = mod 110 ( 43 mod 110) (23 mod 110) + (9 mod 110) (110 mod 110) }{{} =0 mod 110 ( 43 mod 110) (23 mod 110) (67 mod 110) (23 mod 110), also gilt (23 mod 110) 1 (67 mod 110). Der Beweis des obigen Lemmas ist konstruktiv und liefert uns unmittelbar den folgenden Algorithmus zur Berechnung modularer Inverser. In Wirklichkeit ist der folgende Algorithmus ein wenig allgemeiner formuliert. Als Eingabe werden k, N N erwartet. Ausgabe ist dann entweder das modulare Inverse von k modulo N, falls k invertierbar modulo N ist, oder k ist nicht invertierbar modulo N. Algorithmus (Berechnung des modularen Inversen) Sei N N und k Z N. (1) Berechne mit Hilfe des Erweiterten Euklidischen Algorithmus 1.7 die Darstellung g = ggt(k, N) = s k + t N. (2) Ist g = 1, so gebe s mod N aus. Andernfalls gebe k ist nicht invertierbar modulo N aus. Die Korrektheit des Algorithmus folgt aus Lemma Als weitere Folgerung aus den bisherigen Ergebnissen erhalten wir: Korollar Der Ring Z N ist ein Körper genau dann, wenn N eine Primzahl ist.

10 2 Die Eulersche ϕ-funktion und einige ihrer Eigenschaften Wir wollen in diesem Abschnitt die Eulersche ϕ-funktion einführen und einige der Eigenschaften dieser Funktion beweisen, die für uns im kryptographischen Anwednungskontext von Nutzen sein werden. Definition 2.1. Sei N N. Dann ist die Eulersche ϕ-funktion definiert durch ϕ(n) := #{1 x N ggt(x, N) = 1}. Lemma 2.2. Für jede Primzahl p N gilt: ϕ(p) = p 1. Beweis. Es gilt {1 x p ggt(x, p) = 1} = {1,..., p 1}. Dies zeigt die Behauptung. Lemma 2.3. Sei p N eine Primzahl und e N. Dann gilt: ϕ(p e ) = (p 1) p e 1. Beweis. In der Menge {1,..., p e } sind genau p e 1 Zahlen Vielfache von p. Folglich gilt ϕ(p e ) = p e p e 1 = (p 1) p e 1. Satz 2.4. Sei N = p e p er r Primpotenzen. Dann gilt: die Zerlegung von N in paarweise teilerfremde ϕ(n) = (p 1 1) p e (p r 1) p er 1 r Beweis. Nach Lemma 2.3 gilt: ϕ(p e i i ) = (p i 1) p e i 1 i für 1 i r. Da die zu N teilerfremden Elemente aus {1,..., N} gerade den invertierbaren Elementen modulo N entsprechen, liefert uns der Chinesische Restsatz wegen Z N = Z p e 1... Z p er r die Behauptung, denn ϕ(n) = #Z N = r i=1 #Z p e i i 2.1 Einige gruppentheoretische Resultate = r i=1 ϕ(pe i i ). Wir wollen in diesem Abschnitt die für uns wichtigsten gruppentheoretischen Resultate zusammenfassen. Die meisten Beweise lassen wir einfach weg und verweisen auf die im Anhang zitierte Literatur. Zur Erinnerung: Definition 2.5. Die Anzahl der Elemente einer Gruppe G bezeichnen wir stets mit #G und nennen #G die Ordnung von G. G heißt eine endliche Gruppe, wenn #G <. 9 1

11 10 2 DIE EULERSCHE ϕ-funktion Der Satz von Lagrange. Der Satz von Lagrange macht eine wichtige Aussage über die möglichen Ordnungen von Untergruppen einer gegebenen endlichen Gruppe. Satz 2.6. (Satz von Lagrange) Sei G eine endliche Gruppe. Dann gilt: (i) Die Ordnung jeder Untergruppe H von G teilt die Ordnung von G, d.h. #H #G. (ii) Für jedes Element x G gilt: x #G = 1. Dabei bezeichnet 1 in (ii) das neutrale Element bezüglich der Verknüpfung auf G Der Satz von Euler. Wir erinnern uns, dass für N N der Wert der Eulerschen ϕ-funktion an der Stelle N gerade die Anzahl der zu N teilerfremden Zahlen aus {1,..., N} ist. Die in Z N bezüglich der Multiplikation invertierbaren Elemente sind genau durch diejenigen Restklassen gegeben, deren Repräsentanten teilerfremd zu N sind. Folglich besteht die Gruppe Z N aus genau ϕ(n) Elementen. Mit anderen Worten: Lemma 2.7. Für N N gilt: #Z N = ϕ(n). Unmittelbar aus diesem Resultat und dem Satz von Lagrange 2.6 folgt das nächste Theorem, das auf Leonard Euler zurückgeht: Satz 2.8. (Satz von Euler) Für jedes x Z N gilt xϕ(n) = 1. = ϕ(n) und dem Satz von La- Beweis. Die Behautpung folgt sofort aus #Z N grange 2.6 (ii) Der kleine Satz von Fermat. Aus dem Satz von Euler wiederum ergibt sich unmittelbar das nächste Resultat: Satz 2.9. (Kleiner Satz von Fermat) Sei p eine Primzahl. Dann gilt für alle x Z p \ {0}: x p 1 = 1. Beweis. Es ist ϕ(p) = p 1 nach 2.2. Da p prim ist, gilt Z p = Z p \ {0}. Nach dem Satz von Euler 2.8 erhalten wir daher für alle x 0: 1 = x ϕ(p) = x p 1.

12 11 3 Das RSA-Verfahren Sender und Empfänger werden traditioneller Weise stets mit den Namen Alice und Bob versehen. Alice und Bob kommunizieren über einen offenen Kanal (z.b. das Internet) und Bob möchte Alice eine Nachricht übersenden derart, dass eine dritte, böswillige Person Eve, die den Kanal abhört, die Nachricht nicht verstehen kann. Die bezeichnende Vorgehensweise ist dann die folgende: Bob möchte Alice eine Nachricht x schicken. Dazu benutzt Bob eine Verschlüsselungsfunktion enc K (Encryption), mit deren Hilfe er ein y := enc K (x) erzeugt. K bezeichne dabei den Schlüssel, den Bob zum Verschlüsseln der Nachricht benutzt. Dann schickt Bob y an Alice und (vorausgesetzt die Nachricht y wird bei der bloßen Übermittlung nicht verfälscht) Alice kann dann mit Hilfe einer Funktion dec S (Decryption) aus y den Klartext x = dec S (y) berechnen, wobei S ihren privaten Schlüssel zum Entschlüsseln von Nachrichten bezeichnet. Schematisch ergibt sich also der folgende Ablauf: Bob berechnet y = enc K (x) Bob sendet y Eve hört mit Alice berechnet x = dec S (y) Folgende Voraussetzungen sollte man vernünftigerweise verlangen: 1. Bob kann die Nachricht effizient (d.h. in polynomieller Zeit in der Codierungslänge der Eingabe für seine Verschlüsselungsfunktion dec K ) verschlüsseln 2. Eve kann den Wert von y = enc K (x) zwar abhören, sollte jedoch nicht in der Lage sein, ohne Kenntnis der Funktion dec S (die von Alice geheim gehalten werden muss genauer gesagt muss Alice ihren privaten Schlüssel S geheim halten) x aus y in polynomieller Zeit berechnen zu können 3. Alice kann mit Hilfe von dec S effizient aus y den Wert x berechnen Das RSA-Kryptosystem ist nach seinen Erfindern R. L. Rivest, A. Shamir und L. M. Adleman benannt. Es handelt sich bei diesem Verfahren um ein asymmetrisches oder Public-Key-Kryptosystem. Der Ablauf des RSA-Verfahrens wird wieder in unserem Model als Kommunikation zwischen Alice und Bob formuliert. Wenn Bob an Alice eine mit RSA verschlüsselte Nachricht, die wir uns als natürliche Zahl vorstellen, schicken möchte gehen beide nach dem folgenden Protokoll vor: Protokoll 3.1. (Das RSA-Verfahren) Gegeben sei ein Sicherheitsparameter n N. Bevor Alice und Bob miteinander kommunizieren können, trifft Alice die folgenden Vorbereitungen:

13 12 3 DAS RSA-VERFAHREN (1) Alice wählt zufällig zwei verschiedene Primzahlen p und q im Intervall [ 2 n 1 2, 2 n 2 ]. (2) Sie berechnet N := p q und ϕ(n) = (p 1) (q 1). (3) Dann wählt sie e R {2,..., ϕ(n) 2} mit ggt(e, ϕ(n)) = 1. (4) Alice bestimmt d mit e d 1 mod ϕ(n). (5) Schließlich veröffentlicht sie K := (N, e) als ihren öffentlichen Schlüssel und hält das Paar S := (N, d) geheim. (6) Die Werte p, q und ϕ(n) löscht Alice. Angenommen Bob möchte an Alice die Nachricht x mit x {0,..., N 1} schicken: (7) Bob berechnet y := x e mod N und schickt y an Alice. Alice kann dann die Nachricht y wie folgt entschlüsseln: (8) Alice berechnet x := y d mod N. Dann gilt x = x. Beweis. (Korrektheit) Wir müssen x = x zeigen. Ist x Z N, so folgt die Behauptung unmittelbar aus dem Satz von Euler 2.8 und e d 1 mod ϕ(n), denn ist e d 1 = k ϕ(n) für ein k N, so folgt: x x e d x e d 1 x (x ϕ(n) ) k x 1 x x mod N. Für ein allgemeines x Z N gilt ebenso x e d x e d 1 x x k ϕ(n) x x k (p 1) (q 1) x mod N. Wir erhalten also x e d (x (p 1) ) k (q 1) x x mod p und x e d (x (q 1) ) k (p 1) x x mod q, wobei die Identitäten für x 0 mod p und x 0 mod q trivialerweise richtig sind und für x 0 mod p und x 0 mod q aus dem kleinen Satz von Fermat 2.9 folgen. Da p und q teilerfremd sind und beide x e d x teilen, folgt auch N x e d x, also x e d x 0 mod N und damit die Behauptung. Beispiel 3.2. Betrachten wir die Primzahlen p = 13 und q = 7, so ergibt sich in der Notation von oben: N = 91.

14 13 Wegen ϕ(p q) = (p 1) (q 1) folgt Geben wir uns ϕ(n) = 72. e = 47 als Bestandteil des öffentlichen Schlüssels vor, so ergibt sich der private Schlüssel d als modulares Inverses von e modulo ϕ(n), also als Inverses von 47 modulo 72. Zur Berechnung von d verwenden wir daher den Erweiterten Euklidischen Algorithmus 1.7. Dieser liefert bei Eingabe von a = 72 und b = 47 die Elemente 1, 15, 23, d.h. 1 = ggt(72, 47) = ( 15) Reduktion der gesamten Gleichung modulo ϕ(n) = 72 liefert also d.h. 1 mod 72 ( 15 mod 72) (72 mod 72) +(23 mod 72) (47 mod 72), }{{} 0 mod 72 ist der gesuchte private Schlüssel. 1 mod 72 (23 mod 72) (47 mod 72), d = 23 Nehmen wir nun an, wir hätten die verschlüsselte Botschaft x = 32 empfangen und sollten diese entschlüssel. Dann berechnen wir x (x ) d (32 mod 91) mod 91 mit Hilfe des Algorithmus 1.1 für Repeated Squaring (die Binärdarstellung von d für das Repeated Squaring ist ). 4 Ausgewählte Übungsaufgaben mit Lösungen In der Nummerierung der Aufgaben auf den schriftlichen Übungsblättern diskutieren wir noch einmal einige ausgewählte Aufgaben zu dem Themenkomplex Elementare Zahlentheorie :

15 14 4 AUSGEWÄHLTE ÜBUNGSAUFGABEN MIT LÖSUNGEN 4.1 Aufgabe 16: (Primfaktoren) Es sei n N keine Primzahl. Zeigen Sie, dass es eine Primzahl p gibt mit p n und p n. Dabei bezeichnet a für eine beliebige reelle Zahl a die kleinste ganze Zahl g, so dass g a gilt ( Aufrunden auf die nächst größere ganze Zahl). Musterlösung: Da n keine Primzahl ist, gibt es a und b mit 1 < a, b < n und n = a b. Nach dem Satz über die Primfaktorzerlegung gibt es Primzahlen p 1 und p 2 mit p 1 a und p 2 b. Wären p 1, p 2 > n, so folgte n 2 < p 1 p 2 a b = n. Andererseits ist aber n 2 n 2, was einen Widerspruch ergibt. Also ist p 1 oder p 2 kleiner oder gleich n. 4.2 Aufgabe 17: (Restklassen modulo Primpotenzen) Es sei p eine Primzahl und k N. Wir betrachten die Menge der Restklassen Z p k. Zu a {0, 1, 2,..., p k 1} sei α 0 + α 1 p α k 1 p k 1 die p-adische Darstellung der Zahl a (also insbesondere α i {0, 1, 2,..., p 1} für alle i). Man nennt a eine Einheit modulo p k, wenn a und p k teilerfremd sind, d.h. wenn ggt(a, p k ) = 1 gilt. (i) Zeigen Sie, dass a genau dann eine Einheit modulo p k ist, wenn α 0 0 gilt. (ii) Wie viele solcher Einheiten gibt es in Z p k? Begründen Sie Ihre Antwort schlüssig. Musterlösung: (i) Es ist a genau dann eine Einheit modulo p, wenn ggt(a, p) p. Dies ist aber genau dann der Fall, wenn für a = α 0 + α 1 p α k 1 p k 1 gilt, dass α 0 0 ist. (ii) Nach Teil (i) wissen wir, dass a genau dann eine Einheit modulo p ist, wenn α 0 0 gilt. Die Zahlen α 1,..., α k 1 aus der p-adischen Zahldarstellung von a können wir also beliebig aus der Menge {0, 1, 2,..., p 1} wählen und erhalten mit α 0 + α 1 p α k 1 p k 1 immer eine Einheit modulo p, sofern nur α 0 0 gilt. Daher gibt es genau (p 1) p... p = (p 1) p k 1 }{{} (k 1)-mal

16 4.3 Aufgabe 19: (Einheiten, Nullteiler und Partitionen) 15 Einheiten. Diese Zahl stimmt natürlich mit ϕ(p k ) überein, d.h. mit anderen Worten haben wir gezeigt, dass gilt: ϕ(p k ) = (p 1) p k Aufgabe 19: (Einheiten, Nullteiler und Partitionen) Sei m N, m 2. Es sei ferner N (Z m ) die Menge aller Nullteiler von Z m. Zeigen Sie, dass {N (Z m ), Z m} eine Partition von Z m ist. Musterlösung: Wäre Z m N (Z m ), so gäbe es ein Element [a] m Z m mit [a] m Z m und [a] m N (Z m ). Dann ist dieses Element verschieden von [0] m, da [0] m / Z m. Wegen [a] m Z m gibt es ein [b] m Z m mit [1] m = [a] m [b] m. Ferner gibt es wegen [a] m N (Z m ) ein [n] m N (Z m ), [n] m [0] m, mit 0 = [n] m [a] m. Multiplikation von [1] m = [a] m [b] m mit [n] m liefert: [n] m = [n] m [a] m [b] m = ([n] m [a] m }{{} =[0] m ) [b] m = [0] m. Widerspruch zu [n] m [0] m. Also folgt Z m N (Z m ) =. Um zu zeigen, dass Z m = Z m N (Z m ) gilt, genügt es zu zeigen, dass jedes bezüglich der Multiplikation in Z m nicht invertierbare Element ein Nullteiler von Z m ist. Sei [x] m Z m \ Z m, 0 x m 1. Ist [x] m = [0] m, so ist [x] m ein Nullteiler. Ist [x] m [0] m, so gibt es einen echten Teiler g > 1 mit g x und g m (wäre ggt(x, m) = 1, so wäre [x] m ja invertierbar, also ein Element von Z m). Dann gibt es k, l {2,..., m 1} mit m = k g und x = l g. Es folgt: k x m k (l g) m (k g) l }{{} m m l m 0. =m Wegen k {2,..., m 1}, folgt [k] m [0] m. Damit ist aber [x] m ein Nullteiler von Z m. Dies zeigt die Behauptung. 4.4 Aufgabe 20: (Satz von Wilson) Sei p eine Primzahl. (i) Bestimmen Sie alle x {0, 1, 2,..., p 1} für die p ein Teiler von x 2 1 ist.

17 16 4 AUSGEWÄHLTE ÜBUNGSAUFGABEN MIT LÖSUNGEN (ii) Verwenden Sie (i), um zu zeigen, dass für eine beliebige Primzahl p stets gilt: (p 1) p 0. Musterlösung: (i) Sei x {1,..., p 1}. Wir müssen zeigen, dass aus x 2 p 1 bereits folgt: x = 1 oder x = p 1. Es gilt x 2 p 1 genau dann, wenn x 2 1 p 0 genau dann, wenn p ein Teiler von x 2 1 = (x 1) (x + 1) ist. Wegen der Eindeutigkeit der Primfaktorzerlegung und da p eine Primzahl ist, muss p ein Teiler von x 1 oder x + 1 sein. Wegen x {1,..., p 1} ist dies nur möglich für x = 1 oder x = p 1. Also sind nur [1] p und [p 1] p in Z p bezüglich der Multiplikation zu sich selbst invers. (ii) Für p = 2 ist Behauptung richtig, denn 2 1 i i=1 Sei also nun p 3. Wir definieren die Menge M := { a {1,..., p 1} [a] p ist in Z p nicht zu sich selbst invers }. Nach Teil (i) gilt: Z p = {[1] p, [p 1] p } {[a] p a M}. Da in Z p bezüglich der Multiplikation jedes Element ein Inverses besitzt (Z p = Z p {[0] p } ist ein Körper), gibt es zu jedem [a] p Z p \ {[1] p, [p 1] p } ein b M, so dass [b] p bezüglich der Multiplikation invers zu [a] p ist. Folglich ist das Produkt über alle Elemente von M kongruent 1 modulo p, d.h. m p 1. Damit folgt: p 1 m M i p 1 (p 1) i=1 Dies zeigt die Behauptung. m M m p p 1 p Aufgabe 23: (Modulares Rechnen) Sei p 2 eine Primzahl. Zeigen Sie, dass für ein beliebiges Element a {1,..., p 1} gilt: a p 1 2 p 1 oder a p 1 2 p 1.

18 LITERATUR 17 Musterlösung: Sei a {1,..., p 1}. Wir setzen y := a p 1 2 und müssen zeigen, dass y p 1 oder y p 1. Nach dem Kleinen Satz von Fermat folgt: y 2 = (a p 1 2 ) 2 = a p 1 p 1. Also ist y eine der Lösungen der Gleichung z 2 p 1. Da Z p ein Körper ist, hat die Gleichung z 2 p 1 maximal zwei verschiedene Lösungen. Da sowohl 1 als auch p 1 Lösungen der Gleichung sind, folgt y = 1 oder y = p 1. Damit gilt aber y p 1 oder y p p 1 p 1. Literatur [1] J. A. Buchmann, Introduction to Cryptography, Undergraduate Texts in Mathematics, second edition, Springer-Verlag, 2001 [2] J. Blömer, Vorlesungen zum RSA-Verfahren, Universität Paderborn, 2002 [3] J. Blömer, Vorlesungen zu Algorithmen in der Zahlentheorie, Universität Paderborn, 2002 [4] S. Bosch, Algebra, Springer Lehrbuch, 3. Auflage, Springer-Verlag, 1999 [5] P. Bundschuh, Zahlentheorie, Springer Lehrbuch, 2. Auflage, Springer- Verlag, 1992 [6] H. Cohen, A Course in Computational Algebraic Number Theory, Graduate Texts in Mathematics 138, Springer-Verlag, 1993 [7] J. Daemen, V. Rijmen, AES Proposal: The Rijndael Block Cipher, Document version 2 vom , erhältlich im Web [8] J. von zur Gathen, Cryptography I, Skript zu den Vorlesungen zur Kryptographie, Universität Paderborn, Version vom März 2002 [9] J. von zur Gathen & J. Gerhard, Modern Computer Algebra, Cambridge University Press 1999 [10] G. Hardy, E. Wright, Zahlentheorie, R. Oldenbourg, München, 1958, Übersetzung ins Deutsche des Orginaltitels An Introduction to the Theory of Numbers erschienen bei Cambridge University Press

19 18 LITERATUR [11] K. Ireland, M. Rosen, A Classical Introduction to Modern Number Theorie, Graduate Texts in Mathematics 84, Second Edition, Springer-Verlag, 1990 [12] K.-H. Kiyek, F. Schwarz, Lineare Algebra, Teubner Studienbücher Mathematik, B. G. Teubner, 1999 [13] N. Koblitz, A Course in Number Theory and Cryptograpy, Graduate Texts in Mathematics 114, Second Edition, Springer-Verlag, 1994 [14] U. Krengel, Einführung in die Wahrscheinlichkeitstheorie und Statistik, Vieweg Studium Aufbaukurs Mathematik, 5. Auflage, Vieweg Verlag, 2000 [15] H. Kurzweil, B. Stellmacher, Theorie der endlichen Gruppen Eine Einführung, Springer Lehrbuch, 1. Auflage, Springer-Verlag, 1998 [16] A. J. Menezes, P. C. van Oorschot, S. A. Vanstone, Handbook of Applied Cryptography, CRC Press, Boca Raton, Florida, 1997 [17] G. Scheja, U. Storch, Lehrbuch der Algebra (Unter Einschluß der Linearen Algebra) Teil 1, Mathematische Leitfäden, B. G. Teubner, 1994 [18] G. Scheja, U. Storch, Lehrbuch der Algebra Teil 2, Mathematische Leitfäden, B. G. Teubner, 1994 [19] A. Weil, Basic Number Theory, Die Grundlehren der Mathematischen Wissenschaften in Einzeldarstellungen Vol. 144, Springer-Verlag, 1973