Materialien zu Studium und Lehrerfortbildung: Verschlüsseln durch Potenzieren und das Rechnen auf elliptischen Kurven

Transkript

1 Materialien zu Studium und Lehrerfortbildung: Verschlüsseln durch Potenzieren und das Rechnen auf elliptischen Kurven Ralph-Hardo Schulz Teil I: Der diskreter Logarithmus und das Verschlüsseln mit ElGamal Kenntnisse, die in diesem Teil vorausgesetzt werden: Die Begriffe Gruppe, Körper, Rest/Kongruenz modulo p, Rechnen mit Potenzen, Polynome. Zielgruppe: Dieser Artikel ist gedacht für Lehrer bzw. Studierende der Mathematik und Informatik und u.u. als Grundlage von Schüler-Facharbeiten. Kasten 1: Ausschnitt aus dem IT Grundschutzhandbuch 2004, M Einführung in kryptographische Grundbegriffe. Bundesamt für Sicherheit in der Informationstechnik [BSI] Zwei bekannte asymmetrische Verschlüsselungsverfahren sind das RSA Verfahren (benannt nach den Erfindern Rivest, Shamir, Adleman) und die Klasse der ElGamal Verfahren. Zu letzteren gehören auch die auf Elliptischen Kurven basierenden Verschlüsselungsverfahren. Mit Punkten einer Kurve kann man rechnen!? Dies mag wohl zunächst in Erstaunen zu versetzen. Doch denkt man an Ortsvektoren in der Analytischen Geometrie, so ist das Rechnen mit Punkten nicht ungewöhnlich; gerade dadurch (und mittels Methoden der Linearen Algebra) kann in der Geometrie koordinatenfrei gerechnet und argumentiert werden. Zum ersten Verstehen des Gebiets der elliptischen Kurven benötigen wir im zweiten Teil dieses Artikels lediglich Anfänge der sogenannten Algebraischen Geometrie, die wir auch bereitstellen. Beim Verschlüsseln mittels elliptischer Kurven wird meist das ElGamal- Verfahren verwendet; bei dessen Sicherheit spielt das Problem des Diskreten Logarithmus über endlichen Gruppen eine entscheidende Rolle. Daher widmen wir den ersten Teil des Artikels diesem Themenkreis. 1 Diskreter Logarithmus statt Primfaktorzerlegung 1.1 Definitionen Statt die Bildung des Produkts zweier großer Primzahlen als Einwegfunktion zu verwenden (wie beim RSA-Verfahren, s.z.b. [BSW], [BR], [Bu], [Cr], [Sch],

2 [Wä] oder [WLS]), kann man für ein öffentliches Verschlüsselungsverfahren auch das Potenzieren in einer endlichen Gruppe heranziehen, sofern die Berechnung der Umkehrung praktisch unmöglich ist. Beispiele von endlichen Gruppen liefert u.a. die Multiplikation mod p auf der Menge Zp := {1,...,p 1} für jede Primzahl p. Zu den Spezialfällen für p = 5 und p = 11 siehe Kasten 2. Diese Beispiele dienen hier zur besseren Erläuterung des Diskreten Logarithmus. Sei G eine endliche Gruppe; wir wählen (zunächst beliebig) ein g G aus und berechnen die Potenzen von g. Wichtig ist die von g auf diese Weise erzeugte Struktur, eine sogenannte zyklische Unterguppe H :=< g >:= {g i i Z}. Mann kann zeigen (siehe Kasten 3!), dass es eine kleinste natürliche Zahl 1 m mit g m = 1 gibt; für diese gilt auch: H = {g, g 2, g 3,...,g m }; Die Zahl m = o(g) heißt die Ordnung von g. Sie ist gleichzeitig die Elemente-Anzahl H (ebenfall Ordnung genannt) der von g erzeugten Gruppe H. Falls G selbst zyklisch ist, so wählt man g oft speziell als erzeugendes Element von G. Im Falle G = Zp spricht man dann von einer primitiven (p 1) ten Einheitswurzel. Beispiel: G = Z11 (mit der Multiplikation, also mit Rechnung modulo 11) und mit 2 g = 2: Für H =< 2 > ist G = H = Z11 = 11 1; dies ergibt sich aus Tabelle 1; diese ist gleichzeitig die Funktionstabelle der diskreten Exponentialfunktion auf Z11 zur Basis 2. Tabelle 1: Diskrete Exponentialfunktion auf der zyklischen Gruppe Z 11. a y = 2 a mod Allgemein liefert das Potenzieren von g die diskrete Exponentialfunktion, also die Funktion, die jeder ganzen Zahl a mit 0 a < m(:= H ) die Potenz g a zuordnet: {0, 1, 2,..., m 1} H mit a g a. Bei sehr großer Primzahl p kommen die diskreten Exponentialfunktionen als Einwegfunktionen in Frage. Beim Problem der Umkehrung sind G, g und 1 ungleich 0, falls man 0 mit zu den natürlichen Zahlen rechnet 2 Nicht jedes Element aus Z11 erzeugt Z 11 : < 4 >= {4, 5, 9, 3, 1}. 2

3 Kasten 2: Zur Multiplikation mod p. Man definiert a b := (nicht-negativer) Rest von a b bei Division durch p. Statt a b schreibt man a b mod p oder a b MOD p oder auch nur a b oder ab, sofern keine Verwechslungen zu befürchten sind. Es gilt a b mod p a b (mod p). (i) Beispiel p = 5: Es ist Z5 = {1, 2, 3, 4}. Multiplikationstafel (Gruppentafel) für : Es gilt z.b. 2 3 = 6 mod 5 = 1 (wegen 6 = ), 4 3 = 12 mod 5 = 2 (wegen 12 = ). (ii) Teil der (symmetrischen) Multiplikationstafel im Fall p = 11: z.b.: 3 10 = 30 mod 11 = 8 (wegen 30 = ). 3

4 Kasten 3: Zur Ordnung eines Gruppenelementes Jedes Element g einer endlichen Grupe G hat eine endliche Ordnung Beweis und Definition: Da G endlich ist, können in < g >:= {g i i Z} ebenfalls nur endlich viele Elemente sein. Es gibt daher ganze Zahlen k und l mit g k = g l und o.b.d.a. k > l, also g k l = g k /g l = 1 und k l > 0. Unter allen Elementen s N mit g s = 1 gibt es ein kleinstes Element, also eine kleinste natürliche Zahl m mit g m = 1, die Ordnung von g. Anmerkung: Mit g m+1 = g, g m+2 = g 2,... beginnt die Reihe g, g 2, g 3,..., g m (= 1) von neuem. Die negativen Potenzen erhält man mittels der Gleichung g i = 1 g i = g m k i für m k > i. Es folgt < g >= {1, g, g 2,...g m 1 } und < g > = m. der Wert von g a G gegeben, und a ist gesucht. Die zugehörige Funktion heißt diskrete Logarithmusfunktion und wird mit log g bezeichnet 3 ; also log g (y) := x (g x = y und 0 x o(g) 1). Anmerkung: Ist G H =< g >, so ist log g y für y G genau dann definiert, wenn y H gilt. Beispiel (Fortsetzung): Tabelle 2 zeigt die Wertetabelle der Logarithmusfunktion im Fall G = Z11 = H und g = 2. Sie erhält man, indem man Tabelle 1 von unten nach oben liest. Tabelle 2: Wertetabelle der diskreten Logarithmusfunktion log 2 auf Z 11 y = 2 a (mod 11) a = log 2 (y) (Ein weiteres Beispiel, mit p = 19, findet man in [Ba] Seite 58, Bild 2. Für von Zp verschiedene Gruppen siehe Abschnitt 3 des vorliegenden Artikels!) Die Berechnung des diskreten Logarithmus bei geeigneter Wahl von G und g ist viel schwieriger als das Potenzieren von g in G. Es gibt zwar Verfahren, 3 Die diskreten Exponential- und Logarithmusfunktionen haben endlichen Definitionsund Wertebereich; ansonsten werden sie analog zur reellen Exponential- und Logarithmusfunktion verwendet; das Adjektiv diskret benutzt man zur besseren Unterscheidung von diesen reellen Funktionen. 4

5 die effizienter sind als einfaches Durchprobieren( s.u.); aber auch sie versagen oft wegen zu langer Rechenzeit. 1.2 Babystep Giantstep Algorithmus Aus den vielen Algorithmen zur Berechnung des Diskreten Logarithmus wählen wir den Babystep Giantstep Algorithmus von Shanks aus (vgl. [ST] oder [Wä]) und beschreiben hier in Kasten 4 kurz die mathematischen Grundlagen. In Kasten 5 folgt ein einfaches Beispiel. Kasten 4: Aufgabe, Heuristik und Beschreibung des Babystep- Giantstep-Algorithmus Aufgabenstellung: Wie im vorigen Abschnitt seien G eine endliche Gruppe, g G und h H :=< g >. Gesucht ist a =log g h. Heuristik: Sei o(g) =: m; die natürliche Zahl w mit w 1 < m w erfüllt die Gleichung w 2 m. Daher lässt sich jede natürliche Zahl a mit 0 a m 1 (durch Division mit Rest) in der folgenden Form darstellen: a = j w + r mit j, r {0,...,w 1}; folglich gilt für h = g a mit a {1, 2,..., m 1} auch h = g a = g j w+r, was zu h g r = g j w äquivalent ist. (Alle Potenzen g a sind auch erfasst.) Beschreibung des Vorgehens: Bei der Bestimmung von a sind r und j unbekannt. Von diesen beiden Zahlen steht eine auf der linken und die andere auf der rechten Seite der in der Heuristik hergeleiteten Gleichung h g r = g j w ; daher betrachtet man eine der Seiten zunächst gesondert. Fortsetzung s.u. Die linke Seite legt die Berechnung der Babystep Liste B = {h (g 1 ) r r = 0,...,w 1} nahe; bei der Bestimmung der Elemente der Giantstep Liste {1, g w,...,(g w ) (w 1) } vergleicht man in jedem Schritt, ob (g w ) j in B vorkommt. In diesem Fall, also für (g w ) j = h g r, ist h = g wj+r und damit a = log g h mittels j und r als a = wj + r bestimmt. (Die Effizienz des viel Speicher verbrauchenden Verfahrens lässt sich durch Anwendung einer Hash-Funktion auf die Einträge der Babystep-Liste verbessern.) 4 Das einfache Beispiel dient nur zur Erläuterung des Algorithmus. Im angeführten Fall könnte man das Ergebnis sofort aus der Tabelle ablesen. 5

6 Kasten 5: Beispiel zum Babystep-Giantstep-Algorithmus Wie im Beispiel der Tabelle 1 sei G = H = Z11 und g = 2 gewählt. Wir wollen log 2 9 (zu h = 9) berechnen 4. Im vorliegenden Fall ist w = 4 (wegen w 1 < H = 10 w). Die Babystep Liste ist dann (bei Rechnung mod 11 und wegen 9 2 r = r = r ) : r = mod 11 = 9 r = mod 11 = 9 6 mod 11 = 54 mod 11 = 10 r = mod 11 = 9 3 mod 11 = 27 mod 11 = 5 r = mod 11 = 9 7 mod 11 = 63 mod 11 = 8 Die Giantstep Liste {g jw j = 0,...w 1} beginnt mit j = mod 11 = 1 j = mod 11 = Bei j = 1 tritt also eine Überschneidung mit der Babystep Liste auf. Es ergibt sich r = 2 und mit j = 1 daher log 2 9 = j w + r = = 6 (in Z 11 ). Komplexität des Algorithmus Wieviele Gruppenoperationen und Vergleiche benötigt man bei diesem Algorithmus maximal? Für die Berechnung der Babystep-Liste sind eine Invertierung (von g) und w (mit w m) Multiplikationen nötig; für die Giantstep-Liste braucht man weniger als w Multiplikationen zur Berechnung von g w und höchstens w Gruppenoperationen bis zum letzten Element der Liste. In manchen Fällen (z.b. bei elliptischen Kurven, s. Abschnitt 3) ist die Invertierung sehr einfach, sodass dann etwa 3w Gruppenoperationen nötig 5 sind. Weiter sind die Vergleiche (mittels Hashliste als konstant bewertet) und Speicherschritte zu berücksichtigen. Wenn die auftretenden Zahlen eine Länge von etwa 1000 Bits haben, so braucht man bei der Berechnung der diskreten Exponentialfunktion, also von g a, (mittels Square and Multiply ) ca 2000 Multiplikationen, zur Berechnung des diskreten Logarithmus mittels des Babystep-Giantstep-Algorithmus aber ca = Operationen (s. Cryptool [Cr]). Dies ist Ausdruck der Erfahrungstatsache, dass für große Parameter die diskreten Exponentialfunktionen als Einwegfunktionen aufgefasst werden können. Dies gilt auch für die anderen bisher bekannten Algorithmen. 5 also O( H ) Operationen 6

7 1.3 Anwendung der Exponentialfunktion beim Diffie- Hellman Schlüsselaustausch Erstaunlicher Weise kann man einen geheimen Schlüssel über öffentliche Kanäle vereinbaren. Das Verfahren von Diffie und Hellman (mit dem das weiter unten behandelte ElGamal-System in engem Zusammenhang steht) erlaubt dies unter Verwendung der diskreten Exponentialfunktion. Alice und Bob wollen einen geheimen Schlüssel vereinbaren. Sie gehen nach Festlegung von öffentlichen Parametern p, einer Primzahl, und g Zp wie in Tabelle 3 beschrieben vor. Sind die Werte log g α und log g β des diskreten Logarithmus nicht berechenbar, so ist der erzeugte Schlüssel sicher. Tabelle 3: Diffie-Hellman Schlüssel-Austausch 1. Alice wählt eine geheime Zahl a und Bob eine geheime Zahl b. Beispiel 6 : p = 11, g = 2, a = 3, b = Alice bildet α := g a und sendet diesen Wert an Bob, und Bob bildet β := g b und sendet diese Zahl an Alice. Beispiel (Fortsetzung): α = 2 3 mod 11 = 8, β = 2 8 mod 11 = Alice bildet β a und Bob α b. Beispiel (Fortsetzung): β a = 3 3 mod 11 = 5 und α b = 8 8 mod 11 = 64 4 mod 11 = 9 4 mod 11 = 81 2 mod 11 = 4 2 mod 11 = 5. Wegen β a = (g b ) a = g ba = g ab = (g a ) b = α b haben dann beide den gleichen Schlüssel. Man vergleiche auch die Vorschläge für den Unterricht von R. Baumann in [Ba]. 2 Das ElGamal Verfahren 2.1 Ver und Entschlüsselung nach ElGamal Das ElGamal Verfahren ist wie das RSA System ein öffentliches Verfahren, dessen Sicherheit aber darauf beruht, dass der diskrete Logarithmus im 6 Wieder dient das Beispiel nur der rechnerischen Veranschaulichung; natürlich lassen sich a und b und damit der geheime Schlüssel leicht bestimmen, z.b. mit den Tabellen 1 und 2. 7

8 gegebenen Szenario nicht in vernünftiger Zeit berechenbar ist. Das ElGamal- Verfahren im engeren Sinne benutzt die multiplikative Gruppe eines endlichen Körpers. Stattdessen kann man aber eine beliebige endliche zyklische Gruppe verwenden. Wir behandeln hier im Hinblick auf Abschnitt 3 diese allgemeinere Form. Voraussetzungen: Seien G eine endliche Gruppe und g G derart, dass die Berechnung des diskreten Logarithmus log g in H :=< g > (außer in speziellen Fällen wie log g 1, log g g,...) praktische unmöglich ist, a eine natürliche Zahl mit 1 < a < H und h := g a. Die Ver- bzw. Entschlüsselung erfolgt wie in Tabelle 4 angegeben. Tabelle 4: Verallgemeinertes ElGamal-System Öffentlicher Schlüssel (g, h) (für h := g a ) Privater Schlüssel a (= log g h) (hoffentlich nicht berechenbar) Verschlüsselung des Klartextes m E(m) := (g k, h k m) (m G) für ein zufällig 7 gewähltes k mit 2 < k < H 1 und hoffentlich nicht berechenbarem Wert log g (g k ) Entschlüsselung (bei Kenntnis des privaten Schlüssels) Anmerkungen : D(x, y) := (x a ) 1 y (i) Verifizierung: Es gilt D(E(m)) = D(g k, h k m) = ((g k ) a ) 1 h k m = g ak (g a ) k m = m. Die Entschlüsselung führt also tatsächlich zum ursprünglichen Klartext. (ii) Die Sicherheit des Systems beruht darauf, dass aus h = g a und g k weder a(= log g h) (und damit (x a ) 1 ) noch k (= log g g k ) (und damit (h k ) 1 h k m berechnet werden kann. Im weiteren Verlauf dieses Paragraphen behandeln wir Beispiele zur ElGamal- Verschlüsselung im engeren Sinne, wie sie z.b. in [Ba] Seite 56 ff mit Blick auf 7 Der Algorithmus ist also nicht deterministisch. Selbst bei gleichen Schlüsseln führt die Verschlüsselung des gleichen Klartextes nur zufällig zu gleichen Chiffraten. 8

9 den Schulunterricht beschrieben ist. Im nächsten Abschnitt gehen wir dann auf diejenigen Gruppentypen ein, die in der Kryptographie der elliptischen Kurven benutzt werden. 2.2 Beispiel zur ElGamal-Verschlüsselung über Z p Wieder nur zur Erläuterung des Verfahrens wollen wir exemplarisch die Nachricht ElGamal mit dem ElGamal Verfahren (unter Verwendung des Programmpakets Derive 5.0 und der Gruppe Zp für ein spezielles p, hier p = ) verschlüsseln (s. Kasten 6); die Stellenzahl der gewählte Primzahl weicht aber noch weit von der für einen realistischen Sicherheitsstandard geforderten ab. Zunächst wandeln wir die Nachricht ElGamal um in ein Element oder Wort über dem Alphabet Zp. Dazu ersetzem wir (z.b.) jeden Buchstaben durch die (zwei-ziffrige) Stellung im Alphabet, wie in Tabelle 5 angegeben. Tabelle 5: Umwandlung der Nachricht in ein Gruppenelement (Beispiel). E l G a m a l Das ergibt als Botschaft Diese verschlüsseln wir nun nach dem ElGamal Verfahren wie in Kasten 6. 8 Computeralgebra-Systeme besitzen meist eine Funktion, die Primzahlen in einem bestimmten Größenbereich bestimmt. Mit Derive findet man die angegebene Primzahl z.b. mittels des Befehls: Select(Prime?(n), n, , ) 9 Nach dem kleinen Satz von FERMAT (s.z.b. [Sch], Seite 223) gilt für a Z und jede a nicht teilende Primzahl p die Gleichung a p 1 1(mod p). Es ist daher g p 1 mod p = 1 und damit o(g) ein Teiler von G = p 1, eine Tatsache, die auch aus dem Gruppentheorie- Satz von LAGRANGE folgt. 10 (p 1) Vereinfachen Faktorisieren 11 Den Rest von x modulo p liefert der Befehl MOD(x, p). 12 Gilt g s = 1, so ist o(g) ein Teiler von s. (Beweisskizze: Aus g s = 1 mit s = l o(g) + r und 0 r < o(g) folgt 1 = g s = g l o(g) g r = g r und wegen der Minimalität von o(g) damit r = 0, also s = l o(g).) Ist g s = 1 und t Primfaktor von s mit g s/t 1 = g s, so ist t Primfaktor von o(g). (Beweisskizze: Wie eben folgt s = l o(g) und damit s/t = (l o(g))/t; wegen der Voraussetzung g s/t 1 kann o(g) kein Teiler von s/t sein. Daher ist t nicht Primteiler von l, folglich Teiler von o(g). ) 13 etwa mit dem Befehl RANDOM( ). 9

10 Kasten 6: Ein Beispiel zur ElGamal Verschlüsselung Schlüsselwahl: Wählt man als Modul die Primzahl 8 p = und als Gruppe die von g = 2 in G = Zp erzeugte Untergruppe H, so ist es instruktiv, zunächst die Ordnung von H zu berechnen. Man erhält 9 (mit einem Faktorisierungsalgorithmus 10 ) p 1 = ; dann sieht man 11 bei Rechnung mod p Weglassen eines Faktors im Exponenten des linken Terms der letzten Gleichung führt jeweils zu einem Ergebnis ungleich 1. Somit 12 ist H = o(g) = = G 2. Es ist g also kein erzeugendes Element von G (wie eigentlich erstrebenswert), aber die Größenordnung von H ist nicht wesentlich von der von G verschieden. Als geheimen Schlüssel wählen wir nun a = und damit (wegen h := ) als öffentlichen Schlüsssel (g, h) = (2, ). Nachricht: Die zu übermittelnde Botschaft m = ist kleiner als p und damit als Element von Z p auffassbar. Verschlüsselung: Zunächst ist nun eine Zufallszahl k zu bestimmen 13. Wir gehen hier z.b. von k = aus. Damit erhalten wir: E(m) = (x, y) = (2 k, h k m) = ( , m) = ( , ). Entschlüsselung bei Kenntnis der Geheimzahl: m = x o(g) a y = y mod p = mod p =

11 Teil II: Elliptische Kurven in affinen Ebenen Kenntnisse, die in diesem Teil vorausgesetzt werden: die Begrifffe Gruppe, Körper, insbesondere Z p, einige elementare geometrische Vorkenntnisse, z.b. Geradengleichungen, Division von Polynomen/Zerlegung in Faktoren. Kenntnisse, die von Vorteil sind, aber ohne die man hier auskommt: homogene Punktkoordinaten in der projektiven Geometrie, Zerfällungskörper eines Polynoms. 3 Elliptische Kurven in affinen Ebenen 3.1 Elliptische Kurven Für das ElGamal Verschlüsselungsverfahren kann als zugrunde liegende Gruppe, wie schon erwähnt, die Gruppe G = Zp oder allgemeiner die multiplikative Gruppe eines endlichen Körpers gewählt werden. Aber diese Verschlüsselungs und auch die daraus abgeleiteten Signaturverfahren lassen sich auch mit anderen Gruppen realisieren. Für die Sicherheit des Systems ist es dabei wieder wichtig, dass die Berechnung des diskreten Logarithmus äußerst schwierig ist. Für die Anwendungen wichtige Darstellungen von Gruppen stehen im Zusammenhang mit elliptischen Kurven (elliptic curves); die Publickey-Verfahren, die solche Kurven (in der sogenannten EC-Kryptographie, ecc) benutzen, liefern Alternativen zum RSA-Verfahren; sie kommen mit Primzahlen p wesentlich geringerer Länge als RSA aus und können damit hardware-mäßig (in Smart Cards ohne Koprozessoren) billiger implementiert werden. Laut Cryptool [Cr](2003) ist eine gute Elliptische Kurve mit dem Parameter p einer Bitlänge von über 200 Bit 14 genau so sicher wie ein RSA Modul von über 1024 Bit Länge 15 zumindestens nach dem gegenwärtigen Forschungsstand. Wir führen in diesem Artikel kurz in die Theorie der elliptischen Kurven ein Affine Ebenen über Körpern Um elliptische Kurven betrachten zu können, erinnern wir zunächst an die Geometrie, in der solche Kurven leben, die affinen Ebenen. Die reelle euklidische Ebene kennt man als Modell der Zeichenebene. Die zugrundeliegende affine Ebene erhält man daraus durch Beschränkung auf die Begriffe Punkt, Gerade, (ein Punkt) liegt auf (einer Geraden) und Parallelität. Jeder 14 nach anderen Quellen von für die Größenordnung des erzeugenden Punktes P aus einer elliptischen Kurve. 15 Wie schon in Teil I erwähnt, sind laut Bundesamt für Sicherheit in der Informationstechnik [BSI] 1024 Bit die Mindestgröße für zur Zeit als sicher angesehene RSA-Schlüssel (bis Ende 2007); empfohlen sind aber 2048 Bit. 16 Diese lassen sich durch sogenannte elliptische Funktionen parametrisieren, daher der Name. 11

12 Punkt der Zeichenebene lässt sich nach Festlegung eines Koordinatensystems durch zwei reelle Koordinaten (x 1, y 1 ), also als Element von R 2 beschreiben. In Verallgemeinerung lassen wir nun einen beliebigen Körper K zu: Punkte der affinen Ebene A =AG(2, K) über dem Körper K sind definitionsgemäß die Paare (x, y) K 2. Die Geraden sind definiert als die 1- dimensionalen linearen Mannigfaltigkeiten von K 2, also als die Punktmengen der Form g = {(q 1, q 2 ) + k(m 1, m 2 ) k K} für einen (nicht eindeutig bestimmten Aufpunkt (q 1, q 2 ) K 2 und die eindeutig bestimmte Richtung K(m 1, m 2 ) := {k(m 1, m 2 ) k K} mit (m 1, m 2 ) (0, 0). (Man vergleiche dazu die Punkt-Richtungsform der Geradengleichung in der reellen affinen Ebene.) Zwei Geraden heißen parallel, wenn sie sich nicht schneiden (bzw. die gleiche Richtung haben). Ein Beispiel einer affinen Ebene, nämlich derjenigen über dem endlichen Körper Z 3, ist in Kasten 8 angegeben. 3.3 Definitionen Wir betrachten als Zahlbereich K = (Z p, +, ) für p prim 17, p 2, K = R oder K = Q. Eine elliptische Kurve (eine ebene kubische Kurve) ist definiert als die Menge C = C(K) der Lösungen (x, y) K 2 einer kubischen Gleichung in zwei Variablen x und y, z. B. die Kurve der Gleichung ( ) y 2 = x 3 + bx + c mit festen b, c K. Diese Kurve heißt nicht-singulär, falls D 0 für die Diskriminante D = 4b 3 27c 2 gilt 18. Wir beschränken uns hier auf nicht singuläre Kurven der Gleichung ( ). Beispiele mit K = R veranschaulicht Abbildung 2. Im reellen Fall heißt C(Q) := C(R) Q 2 die Menge der rationalen Punkte der Kurve C. Auch die Punkte einer elliptischen Kurve über Z p mit p prim 19 nennen wir rational. 3.4 Beispiel einer elliptischen Kurve über Z 5 Sei C die Kurve mit Gleichung ( 1 ) y 2 = x 3 + x Zur Behandlung des Falles eines Körpers mit 2 m Elementen siehe z.b. Cryptool [Cr]! 18 Für eine nicht-singuläre Kurve gibt es selbst für jeden Erweiterungskörper keinen Punkt der Kurve, bei dem für f(x, y) := y 2 x 3 bx c neben f(x, y) auch die beiden = 3x 2 b und f(x,y) y formalen Ableitungen f(x,y) x solchen Punkt folgte aus f(x, y) = f(x,y) x = 2y gleich 0 sind. Denn für einen = f(x,y) y = 0 nach kurzer Rechnung D = Sie sind Teil einer elliptischen Kurve über jedem Oberkörper von Z p. 12

13 Kasten 8: Beispiel einer endlichen affinen Ebene Sei K = Z 3. Die Punkte von A := AG(2, Z 3 ) sind die folgenden 9 Paare: (0, 0), (0, 1), (0, 2), (1, 0), (1, 1), (1, 2), (2, 0), (2, 1), (2, 2). Geraden von A sind die folgenden 12 Punktmengen: (0, 0) + K(1, 0) = {(0, 0), (1, 0), (2, 0)} (x-achse) (0, 1) + K(1, 0) = {(0, 1), (1, 1), (2, 1)} (Parallele zur x-achse) (0, 2) + K(1, 0) = {(0, 2), (1, 2), (2, 2)} (Parallele zur x-achse) (0, 0) + K(0, 1) = {(0, 0), (0, 1), (0, 2)} (y-achse) (1, 0) + K(0, 1) = {(1, 0), (1, 1), (1, 2)} (Parallele zur y-achse) (2, 0) + K(0, 1) = {(2, 0), (2, 1), (2, 2)} (Parallele zur y-achse) (0, 0) + K(1, 1) = {(0, 0), (1, 1), (2, 2)} (1, 0) + K(1, 1) = {(1, 0), (2, 1), (0, 2)} (2, 0) + K(1, 1) = {(2, 0), (0, 1), (1, 2)} (0, 0) + K(2, 1) = {(0, 0), (2, 1), (1, 2)} (1, 0) + K(2, 1) = {(1, 0), (0, 1), (2, 2)} (2, 0) + K(2, 1) = {(2, 0), (1, 1), (0, 2)}. Darstellung als Punkte und Linien in der Zeichenebene: (0,2) (1,2) (2,2) (0,1) (1,1) (2,1) (0,0) (1,0) (2,0) Abbildung 1: Die affine Ebene AG(2, 3). 13

14 Abbildung 2: Beispiele kubischer Kurven im Reellen mit Gleichung y 2 = f(x), wobei f(x) ein Polynom vom Grad 3 mit a) einer reellen Nullstelle b) drei reellen Nullstellen ist in der affinen Ebene über K = Z 5. Wir wollen die Punkte von C bestimmen: Dazu vergleichen wir die Tabellen 6a) und 6b) auf Übereinstimmung: Ist g(x) := x 3 + x + 1 (s. untere Zeile von Tabelle 6b) für x K ein Quadrat in K ( kommt also in der unteren Zeile von Tabelle 6a) vor, so erhält man rationale Punkte der Form (x, y) aus C (d.h. mit x, y Z 5 und y 2 = g(x)). Da g(1) = 3 kein Quadrat in Z 5 ist, folgt: C = {(0, ±1), (2, ±1), (3, ±1), (4, ±2)} = {(0, 1), (0, 4), (2, 1), (2, 4), (3, 1), (3, 4), (4,2), (4,3)}. Tabelle 6: a) Quadrate in Z 5 b) Werte von g(x) := x 3 + x + 1 in Z 5 y y 2 ( mod 5) x g(x)( mod 5) Symmetrie von C Wegen ( y) 2 = y 2 ist mit jedem Punkt Q = (x, y) aus C auch Q = (x, y) ein Punkt von C. Letzterer liegt in gewissem Sinne symmetrisch zur x Achse (bzw. zu einer gedachten Parallelen zur x Achse, wenn mod p reduziert 14

15 wird): Die x Koordinaten von Q und Q sind gleich, die y Koordinate von Q wird zu y ( d.h. im Fall K = Z p zu p y) bei Q. 3.6 Der uneigentliche Punkt von C Es ist zweckmäßig, noch einen (gedachten) Punkt O zu C hinzuzunehmen, der nicht in A liegt und um den wir A erweitern: C := C {O}. Dieser Punkt ist der uneignetliche Punkt in Richtung der y Achse : Analog zum fiktiven Schnittpunkt von parallelen Geraden auf der Horizontlinie nimmt man im vorliegenden Fall an, dass alle Parallelen zur y Achse aus A durch diesen im Unendlichen liegenden Punkt O gehen. (Siehe dazu das Beispiel zu AG(2, 3) in Abbildung 3.) O Abbildung 3: AG(2, 3) mit uneigentlichem Punkt O in y-richtung. Mit Mitteln der Projektiven Geometrie kann man zeigen, dass die Hinzunahme von O zu A und C nicht willkürlich ist, sondern sich auf natürliche Weise aus der vorliegenden Situation ergibt Für den Leser, der sich etwas mit projektiver Geometrie, insbesondere mit projektiven 15

16 3.7 Schnitt von C mit Geraden Will man Schnittpunkte einer Geraden g mit der Kurve C berechnen, so kann man die Gleichung y = mx + d bzw. x = k von g in die Gleichung ( ) der Kurve einsetzen. Man erhält dann im ersten Fall eine Gleichung der Form ( ) x 3 + g x 2 + hx + e = 0 (mit g = m 2, h = b 2md, e = c d 2 ); deren Lösungen (in K) sind die x Koordinaten der Schnittpunkte von g mit C. Als Gleichung dritten Grades besitzt ( ) höchstens 3 Lösungen; zu jeder Lösung a ist (x a) ein Teiler der linken Seite. Ist keine höhere Potenz von (x a) Teiler, so handelt es sich um einen einfachen Schnittpunkt; wenn aber auch (x a) 2 Teiler ist, so spricht man von einem mehrfachen Schnittpunkt oder von einem Tangentialpunkt von g und von g als lokaler Tangente 21 an C; existieren zwei verschiedene Schnittpunkte P, Q (mit dann auch verschiedenen x Koordinaten) oder ein doppelter Schnittpunkt R von g mit C, so gibt es noch einen dritten Schnittpunkt, der ( unter Berücksichtigung der Vielfachheiten) mit P, Q oder R übereinstimmen kann 22. Zu vermerken ist noch, dass keine der Geraden mit Gleichung y = mx + b durch O geht. Setzt man die Gleichung x = d einer Parallelen zur y Achse in ( ) ein, so erhält man y 2 = l mit l = d 3 + bd + c; wenn l ein Quadrat ist, so ergeben sich zwei Lösungen 23, andernfalls keine. Die fraglichen Geraden gehen alle durch den uneigentlichen Punkt O. Koordinaten auskennt, zeigen wir dies hier: Seien ξ 0, ξ 1, ξ 2 die homogenen Koordinaten des Punktes (x, y) mit x = ξ 1 ξ 0 und y = ξ 2 ξ 0 mit ξ 0 0 für eigentliche Punkte. Einsetzen von x und y in ( ), die Gleichung von C, und Multiplikation mit ξ0 3 ergibt die Gleichung ( ) ξ2 2 ξ 0 = ξ1 3 + b ξ 1 ξ0 2 + c ξ 0 3, die für die affinen Punkte äquivalent zu ( ) ist. Für einen uneigentlichen Punkt, also solchen mit Koordinate ξ 0 = 0, ist ( ) genau dann erfüllt, wenn ξ 1 = 0 ist, d.h. für den uneigentlichen Punkt K(0, 0, 1), den wir mit O bezeichnen. O liegt auf den Geraden der Gleichungen ξ 1 cξ 0 = 0, also den Geraden mit affinen Gleichungen x = c, den Parallelen zur y Achse von A. Daher ist O der Fernpunkt in y Richtung und erfüllt ( ), die projektive Version der Gleichung ( ). 21 Oft wird die Tangente in einem Punkt P auch mittels der (formalen) Ableitung der Kurve im Punkt P definiert ( der Gradient in P als homogene Geraden-Koordinaten der Tangente in P ); diese Definition führt aber zum gleichen Ergebnis. 22 Beweisskizze: In einem geeigneten Oberkörper von K zerfällt das Polynom der linken Seite von ( ) in (x a 1 )(x a 2 )(x a 3 ). Sind nun a 1 und a 2 aus K, so muss wegen der rationalen Koeffizienten des Polynoms auch a 3 aus K sein. 23 möglicher Weise ein Doppelpunkt 16

17 Damit können wir festhalten : Die Verbindungsgerade zweier Punkte P, Q C ( bzw. eine lokale Tangente in R C) schneidet die Kurve in einem dritten Punkt. (Dieser kann bei entsprechender Vielfachheit des Punktes gleich P, Q oder R sein.) Man kann zeigen: In jedem Punkt von C existiert eine lokale Tangente. 3.8 Beispiel (Fortsetzung) Wieder sei C die Kurve mit Gleichung ( 1 ) y 2 = x 3 + x + 1 in der affinen Ebene A über K = Z 5, s In den Tabellen 7 und 8 listen wir die Schnittpunkte der Geraden von A mit C. (Die Geraden mit den Gleichungen y = 0, y = x, bzw. y = 4x schneiden C nicht; sie sind Passanten.) In Abbildung 4 haben wir die Geraden und ihre Schnittpunkte mit C aus Tabelle 7 und einige Geraden aus Tabelle 8 dargestellt; dabei sind Punkte von C zum Teil mehrfach eingezeichnet (z.b. vor der Reduktion mod 5 und danach); die entsprechenden Punkte muss man dann noch identifizieren. 3.9 Addition von rationalen Punkten Wir betrachten elliptische Kurven über R oder Z p für p > 3. Sei C die Menge der rationalen Punkte der nicht-singulären Kurve der Gleichung y 2 = x 3 + bx + c einschließlich des uneigentlichen Punktes O in y Richtung. Dann kann man auf C eine Addition definieren. Wir beschreiben das Verfahren zunächst anschaulich geometrisch, danach geben wir Formeln und Beispiele an. a) Geometrische Beschreibung Wir führen eine Verknüpfung + wie folgt ein: Sind P und Q mit P Q Punkte der Kurve C, so schneiden wir zunächst die Gerade g = PQ mit der Kurve; den nach 3.7 existierenden 24 Einsetzen von y = 2 in ( 1 ) ergibt 4 = x 3 +x+1. Division von x 3 +x+2 durch (x 4) liefert x 2 + 4x + 2, sodass ( 1 ) zu (x 2 + 4x + 2)(x 4) = 0 führt. Da für jedes x Z 5 der quadratische Term ungleich 0 ist ( d.h. x 2 + 4x + 2 irreduzibel), gibt es außer x = 4 keine Nullstelle. 25 (x + 1) 2 = x 3 + x + 1 ist äquivalent zu x 3 x 2 x = 0; das Polynom der linken Seite hat die einfache Nullstelle x = 0 und die doppelte Nullstelle x = (2x + 1) 2 = x 3 + x + 1 ergibt x 3 + x 2 + 2x = 0; es ist wieder x = 0 einfache Nullstelle; Einsetzen aller x Z 5 in x 2 + x + 2 zeigt, dass es keine weitere Nullstelle gibt. 17

18 O 0 y=4x+4 4 y=4x (4,3) (4,2) y=4x+2 y=4x+1 1 (3,1) 0 4 (3,4) 3 (4,3) y=3x (2,1) (4,2) y=2x+3 0 y=2x (2,4) (3,4) (4,3) y=2x+1 y=2x (2,1) (3,1) (4,2) y=x+3 y=x+2 y=x+1 4 y=x y=4 3 y=3 2 y=2 1 y=1 0 y=0 x=0 x=1 x=2 x=3 x=4 Abbildung 4: Schnitte von Geraden mit der Kurve C über Z 5 Die Geraden aus Tabelle 7 sind durch dickere Linien dargestellt und einige gespiegelte Geraden (s. Tabelle 8) durch dünnere Linien. Punkte von C sind dick eingezeichnet, zum Teil (mit dünner gezeichneten Punkte) mehrfach dargestellt und zu identifizieren. 18

19 Tabelle 7: Schnittpunkte der Geraden mit der Kurve C über Z 5 (1.Teil) (Unterstrichen sind die jeweiligen Tangentialpunkte) Geradengleichung Schnittpunkte mit C Bemerkungen (Rechnungen mod 5) y = 1 (0, 1), (2, 1), (3, 1) y = 2 (4, 2) 4 ist einfache Nullstelle 24, die Gerade y = 2 keine Tangente. y = x + 1 (0, 1), (3, 4) Tangente in (3, 4) wegen 25 x 3 x 2 x = x(x 3) 2 y = x + 2 (2, 4) dreifache Nullstelle wegen x 3 + 4x 2 + 2x + 2 = (x 2) 3 y = x + 3 (3, 1), (4, 2) Tangente in (4, 2) wegen x 3 + 4x = (x 4) 2 (x 3) y = 2x (2, 4), (3, 1), (4, 3) y = 2x + 1 (0, 1) einfach 26, da x 2 + x + 2 ohne Nullstelle in Z 5 y = 2x + 2 (2, 1) einfach, da x 2 + 3x + 4 ohne Nullstelle in Z 5 y = 2x + 3 (3, 4) einfach, da x 2 + 4x + 1 irreduzibel y = 3x + 1 (4, 3), (0, 1) Tangente in (0, 1) y = 4x + 1 (0, 1), (2, 4), (4, 2) x = 0 (0, 1), (0, 4), O y Achse x = 1 O Parallele zur y Achse x = 2 (2, 1), (2, 4), O Parallele zur y Achse x = 3 (3, 1), (3, 4), O Parallele zur y Achse x = 4 (4, 2), (4, 3), O Parallele zur y Achse y = 0 kein Schnittpunkt Passante y = x kein Schnittpunkt Passante 19

20 Tabelle 8: Schnittpunkte der Geraden mit der Kurve C über Z 5 (2.Teil): Gespiegelte Geraden aus Tabelle 7 und deren Schnittpunkte mit C. (Unterstrichen sind die jeweiligen Tangentialpunkte.) Geradengleichung Schnittpunkte mit C y = 4 (0, 4), (2, 4), (3, 4) y = 3 (4, 3) y = 4x + 4 (0, 4), (3, 1) y = 4x + 3 (2, 1) y = 4x + 2 (3, 4), (4, 3) y = 3x (2, 1), (3, 4), (4, 2) y = 3x + 4 (0, 4) y = 3x + 3 (2, 4) y = 3x + 2 (3, 1) y = 2x + 4 (4, 2), (0, 4) y = x + 4 (0, 4), (2, 1), (4, 3) y = 4x keiner (Passante) dritten Schnittpunkt 27 von g mit C spiegeln wir dann an der x Achse 28 ; den so erhaltenen Punkt definiert man als P + Q (vgl. Abbildung 5 a). Ist R C, so erhält man R + R, indem man die (lokale) Tangente in R an die Kurve, d.h. die Gerade, die R als Schnittpunkt mindestens doppelter Vielfachheit besitzt (s.o.), mit der Kurve C schneidet und den erhaltenen Punkt an der x Achse spiegelt (siehe Abbildung 5 b) Schließlich definiert man O + O = O. Es stellt sich heraus: ( C, +) ist eine kommutative Gruppe. Beweis-Andeutung: O ist das neutrale Element, denn nach Konstruktion ist der dritte Punkt der Geraden OP spiegelsymmetrisch zu P; daher gilt: P + O = P = O + P für jeden Punkt P C; das Kommutativgesetz ist klar, da für die Verbindungsgerade zweier Punkte P, Q gilt: PQ = QP ; die Inverse zu S erhält man durch Spiegelung von S wie in Abbildung 6 veranschaulicht. Der Beweis des Assoziativgesetzes ist etwas aufwändig. 27 Ist P oder Q ein doppelter Schnittpunkt, so versteht man diesen Punkt als dritten, s.o. 28 Es wird (x 1, y 1 ) bei der Spiegelung auf ( x 1, y 1 ) abgebildet und O auf O. 20

21 Abbildung 5: Zur Verknüpfung rationaler Punkte von elliptischen Kurven In der Kryptographie mit elliptischen Kurven (EC-Kryptographie) benutzt man Gruppen aus Punkten einer elliptischen Kurve für ein verallgemeinertes ElGamal Verfahren. b) Algebraische Beschreibung Jetzt kommen wir zur algebraischen Darstellung, die man durch Einsetzen der entsprechenden Geradengleichung in die Kurvengleichung erhält; alternativ kann man das Folgende auch als Definition nehmen : (x, y) + (x, y) := O P + O := P =: O + P und für alle Punkte (x, y) und P aus C. Sind P, Q C mit Q P, und gilt P = (p 1, p 2 ), Q = (q 1, q 2 ), so setzt man für P + Q := (s 1, s 2 ) mit s 1 = λ 2 p 1 q 1 und s 2 = λp 1 p 2 λs 1 λ = { q2 p 2 q 1 p 1 falls P Q, Q 3p 2 1 +b 2p 2 falls 29 P = Q. (Hierbei ist y = λx + (p 2 λp 1 ) die Gleichung der Geraden PQ durch P und Q und (s 1, s 2 ) PQ bzw. die Gleichung der Tangenten in P = Q für p 2 0.) 3.10 Beispiel (Fortsetzung) Im Fall der Kurve der Gleichung y 2 = x 3 +x+1 über K = Z 5 (s. Abschnitte 3.4 und 3.8 ) erhält man aus C ( einschließlich des uneigentlichen Punktes O 29 mit dem b aus Gleichung ( ) 21

22 Abbildung 6: Zur Inversenbildung ) eine Gruppe mit 9 Elementen. Ist diese zyklisch (also von einem Element erzeugt)? Wir zeigen, dass die Potenzen des Punkt P = (0, 1) alle Elemente von C ergeben: Aus den Abbildungen 7 und 8 sowie Tabelle 7 sieht man 2P := P + P = (4, 2) und 3P := 2P + P = (2, 1). Dies lässt sich auch aus den zitierten Formeln herleiten: Mit λ = (mod 5)) erhält man wieder P + P = (4, 2) P sowie (mit λ = (mod 5)) die Beziehung 2P + P = 3P = (2, 1) O und 4P = (3, 1) ; damit erzeugt P eine Untergruppe mit mehr als 3 Punkten; ( C, +) ist daher nach einem gruppentheoretischen Satz 30 eine zyklische Gruppe mit 9 Elementen. Dies sieht man auch aus den Werten der Logarithmusfunktion, die in Tabelle 9 (mit Q = ap) angegeben sind: Tabelle 9: Die Logarithmusfunktion log P Q des Beispiels 3.10 Q (0, 1) (0, 4) (2, 1) (2, 4) (3, 1) (3, 4) (4, 2) (4, 3) O a = log P Q Anmerkungen 1. Bei der Anwendung der Gruppe der rationalen Punkte einer elliptischer Kurve in der Kryptologie ist nicht so sehr die abstrakte Gruppe selbst, 30 Die Ordnung jeder Untergruppe U einer endlichen Gruppe G teilt die Ordnung von G, also U ist Teiler von G. 22

23 O 4 3 (4,3) y=3x P=(0,1) (4,3) (4,2)=2P x=0 x=4 Abbildung 7: Bestimmung von P + P (Beispiel): Die Tangente an C durch P = (0, 1) hat die Gleichung y = 3x + 1 (s. Tabelle 7 ); der weitere Schnittpunkt ist (4, 3), sein Spiegelbild P +P = (4, 2). (Dick eingezeichnete Punkte sind die Elemente von C). sondern ihre Darstellung von Bedeutung. Im Gegensatz zur ebenfalls zyklischen Gruppe (Z p, +), in der die Gleichung xg = m durch Division zu lösen ist (x = m/g), entspricht die Lösung der entsprechenden Gleichung über ( C, +) dem Auffinden des diskreten Logarithmus und ist daher schwerer oder praktisch gar nicht zu berechnen. 2. Ohne die verwendeten Begriffe definieren zu können, zitieren wir den Satz von HASSE: Ist C eine nicht-singuläre irreduzible Kurve definiert über GF(p), dann ist die Anzahl der Punkte auf C mit Koordinaten in GF(p) gleich p+ε mit ε 2 p. Der Satz stellt damit für große p sicher, dass die Anzahl der Punkte einer elliptischen Kurve über GF(p) in der Größenordnung von p liegt. 3. H. W. Lenstra hat 1987 einen Algorithmus zur Faktorisierung von ganzen Zahlen vorgeschlagen, der elliptische Kurven benutzt, insbesondere die Addition auf deren Punkten. Bis zu welcher Größe man natürliche Zahlen faktorisieren kann, ist eine wichtige Frage für die Kryptoanalyse, z. B. des RSA-Systems. 23

24 O (4,2)=2P y=4x (2,4) (2,4) x=0 (0,1)=P x=2 3P x=4 (4,2)=2P Abbildung 8: Bestimmung von 3P (Beispiel): Die Gerade durch P = (0, 1) und 2P = (4, 2) hat die Gleichung y = 4x+1 (s. Tabelle 7) und schneidet C auch in (2, 4); durch Spiegelung von (2, 4) ergibt sich 3P = (2, 1). (Dick eingezeichnete Punkte sind die Elemente von C.) Literatur [Ba ] Baumann, Rüdiger: Informationssicherheit durch kryptologische Verfahren. Vorschläge für den Unterricht. LogIn 16 (1996) 5/6 p [BR ]Berlin, Julia & Nicole Roth-Sonnen: Von Cäsar zum Internet. Mit Max und Lisa durch die Welt der Kryptographie. Mathematik lehren 129 (April 2005) p [BSW ] Beutelspacher, Albrecht, J. Schwenk & K.-D. Wolfenstetter: Moderne Verfahren der Kryptographie. Von RSA zu Zero Knowledge. Vieweg Verlag, Wiesbaden, 1995, [ BSI ] Bundesamt für Sicherheit in der Informationstechnik:IT Grundschutzhandbuch [ Bu ] Buchmann, Johannes: Einführung in die Kryptographie. Springer V., [ Ch ] Churchhouse, Robert F.: Codes and ciphers. Julius Caesar, the Enigma and the Internet. Cambridge Univ.Press

25 [ Co ] Cohen, H.: Zahlentheoretische Apekte der Kryptographie. Informatik Spektrum, 24. Juni 2001, p [ Cr ] CrypTool :Skript Mathematik und Kryptographie, Frankfurt/M [ Mo ] Moreno, Carlos J.: Curves over Finite Fields. Cambridge, [Sch ] Schulz, Ralph-Hardo: Codierungstheorie. Eine Einführung. Vieweg V., Wiesbaden, 2.Aufl., [ ST ] Silverman, J. H. & J. Tate: Rational Points on elliptic Curves. Springer V., New York, [Wä ] Wätjen, Dietmar : Kryptographie. Grundlagen, Algorithmen, Protokolle. Spektrum Akad.Verlag, Heidelberg, Berlin, [ We ] Werner, Annette: Elliptische Kurven in der Kryptographie. Springer V., Berlin, Heidelberg, [WLS ] Witten, Helmut, Ingrid Letzner & Ralph-Hardo Schulz: RSA & Co. in der Schule. Teil 1: LogIn 18 3/4 p.57-65, 1998; Teil 2: LogIn 18/5 p.31-39, 1998; Teil 3: LogIn 19/2 p , Adresse des Autors: schulz@math.fu-berlin.de 28. Dezember