6. Restklassenringe und RSA. Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 1

Transkript

1 6. Restklassenringe und RSA Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 1

2 Erinnerung: Kongruenzen und Restklassen Definition Ganze Zahlen x, y P Z sind kongruent modulo m für eine natürliche Zahl m P N, falls x und y denselben Rest bei Division durch m haben und wir schreiben x y pmod mq ðñ m x y. Dies definiert eine Äquivalenzrelation und die Äquivalenzklasse rxs m : ty P Z: x y ist die Restklasse von x modulo m. pmod mqu Bemerkungen: Z r0s m Ÿ... Ÿ rm 1s m für jedes m P N Für die Menge der Restklassen (Faktormenge der Äquivalenzrelation kongruent modulo m) schreiben wir Z{mZ : r0s m, r1s m,..., rm 1s m ( Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 2

3 Erinnerung: Modulare Arithmetik mit Restklassen kann man gut rechnen x 1 y 1 pmod mq und x 2 y 2 pmod mq ñ px 1 ` x 2 q py 1 ` y 2 q pmod mq ñ rzs m rz 1 s m : rz ` z 1 s m ist wohldefinierte Addition auf Z{mZ Addition auf Z{mZ ist assoziativ und kommutativ r0s m ist neutrales Element der Addition auf Z{mZ Subtraktion kann durch rzs m a rz 1 s m : rz z 1 s m definiert werden r zs m ist invers zu rzs m, d. h. rzs m r zs m für l P t0,..., m 1u gilt rls m r ls m rm ls m x 1 y 1 pmod mq und x 2 y 2 pmod mq ñ px 1 x 2 q py 1 y 2 q pmod mq ñ rzs m d rz 1 s m : rz z 1 s m ist wohldefinierte Multiplikation auf Z{mZ Multiplikation auf Z{mZ ist assoziativ und kommutativ r1s m ist neutrales Element der Multiplikation auf Z{mZ im Allgemeinen gibt es keine inversen Elemente für die Multiplikation: r2s 4 d r0s 4 r0s 4, r2s 4 d r1s 4 r2s 4, r2s 4 d r2s 4 r4s 4 r0s 4, r2s 4 d r3s 4 r6s 4 r2s 4 ñ r2s 4 hat kein multiplikativ Inverses in Z{4Z Addition und Multiplikation erfüllen das Distributivgesetz Für jedes m P N heißt Z{mZ mit Verknüpfungen und d Restklassenring modulo m. Z{1Z tr0s 1 u tzu ist trivial (Nullring), aber Z{2Z F 2 ist sogar ein Körper Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 3

4 Wohldefiniertheit von und d in Z{mZ Definition von : rzs m rz 1 s m : rz ` z 1 s m Es ist zu zeigen, dass diese Definition unabhängig von der Wahl der Repräsentanten der Restklassen ist. D. h. wenn y kongruent zu z und y 1 kongruent zu z 1 ist, dann muss auch y ` y 1 kongruent zu z ` z 1 sein. Sei also y kongruent zu z modulo m ñ m z y und es gelte analog m z 1 y 1. ñ m ppz yq ` pz 1 y 1 qq ñ m ppz ` z 1 q py ` y 1 qq ñ y ` y 1 und z ` z 1 sind kongruent modulo m Definition von d: rzs m d rz 1 s m : rz z 1 s m Analog betrachte y und y 1 mit y kongruent z und y 1 kongruent z 1 modulo m. ñ z q z m ` r und y q y m ` r, sowie z 1 q z 1m ` r 1 und y 1 q z 1m ` r 1 mit q z, q z 1, q y, q y 1 P Z und r, r 1 P t0,..., m 1u ñ zz 1 mpq z q z 1m ` q z r 1 ` q y 1rq ` rr 1 ñ zz 1 P rrr 1 s m genauso rechnet man nach, dass yy 1 P rrr 1 s m ñ yy 1 und zz 1 sind kongruent modulo m Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 4

5 Rechenregeln in Z{mZ vererben sich von Z Exemplarisch überprüfen wir das Distributivgesetz: rxs m d `rys m rzs m `rxsm d rys m `rxsm d rzs m für alle ganzen Zahlen x, y, z P Z und m P N. Beweis: rxs m d `rys m rzs m Def. rxs m d `ry ` zs m rxsm d ry ` zs m Def.d rx py ` zqs m DG. in Z rx y ` x zs m Def. rx ys m rx zs m und zwei weitere Anwendungen der Definition von d liefern das Gewünschte: rx ys m rx zs m Def.d `rxs m d rys m `rxsm d rzs m. Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 5

6 Restklassenringe Satz Für alle natürlichen Zahlen m P N sind die Operationen : Z{mZ ˆ Z{mZ Ñ Z{mZ definiert durch ras m rbs m : ra ` bs m, d: Z{mZ ˆ Z{mZ Ñ Z{mZ definiert durch ras m d rbs m : ra bs m wohldefiniert und für alle ras m, rbs m, rcs m P Z{mZ gelten die Assoziativgesetze: ras m prbs m rcs m q pras m rbs m q rcs m und ras m d prbs m d rcs m q pras m d rbs m q d rcs m, die Kommutativgesetze: ras m rbs m rbs m ras m und ras m d rbs m rbs m d ras m, das Distributivgesetz: ras m d prbs m rcs m q pras m d rbs m q pras m d rcs m q, die Existenz neutraler Elemente: ras m r0s m ras m und r1s m d ras m ras m und die Existenz inverser Elemente für : ras m r as m r0s m. Wir benutzen vereinfachend von nun an ` und an Stelle von und d. Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 6

7 Prime Restklassengruppe Definition Für m ě 2 heißt eine Restklasse ras m P Z{mZ multiplikativ invertierbar, falls es ein rbs m P Z{mZ gibt, sodass ras m rbs m r1s m und rbs m heißt (multiplikativ) Inverses von ras m. Die Menge invertierbarer Elemente pz{mzqˆ : ras m P Z{mZ: ras m ist multiplikativ invertierbar ( heißt prime Restklassengruppe und die Elemente heißen Einheiten. Bemerkungen: Es gibt höchstens ein multiplikativ Inverses für jedes ras m P Z{mZ: Falls ras m rbs m r1s m und ras m rb 1 s m r1s m, dann gilt rbs m rbs m r1s m rbs m pras m rb 1 s m q prbs m ras m q rb 1 s m r1s m rb 1 s m rb 1 s m, d. h. rbs m rb 1 s m. Wir bezeichnen somit das Inverse von ras m (falls es existiert) mit ras 1 m. Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 7

8 Bemerkungen zu pz{mzqˆ r0s m ist nicht multiplikativ invertierbar, da für alle m ě 2 und z P Z gilt 0 z 0 ı 1 pmod mq. ñ ˇˇpZ{mZqˆˇˇ ď m 1 pz{mzqˆ ist unter Multiplikation abgeschlossen, d. h. ras m, rbs m P pz{mzqˆ ùñ ras m rbs m P pz{mzqˆ Beweis: Da ras m und rbs m multiplaktiv invertierbar sind, gibt es rys m : rbs 1 m ras 1 m P Z{mZ und es gilt pras m rbs m `rbs 1 m ras 1 m rasm `rbs m rbs 1 ras 1 m m ras m r1s m ras 1 m r1s m. und somit hat ras m rbs m multiplikativ Inverses rys m und ist in pz{mzqˆ. Für alle ras m P pz{mzqˆ ist rxs m ÞÑ ras m rxs m eine Bijektion auf pz{mzqˆ: Injektivität: ras m rxs m ras m rys m ñ ras 1 m ras m rxs m ras 1 m ras m rys m ñ rxs m rys m Surjektivität: rzs m P pz{mzqˆ ñ rys m : ras 1 m rzs m P pz{mzqˆ ñ ras m rys m rzs m, d. h. rzs m ist im Bild der Abbildung Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 8

9 Multiplikative Inverse Beispiele: Satz Wir hatten bereits gesehen, dass r2s 4 kein multiplikativ Inverses hat. r2s 1 5 r3s 5, da r2s 5 r3s 5 r6s 5 r1s 5 r3s 4 ist selbstinvers, da d. h. r3s 1 4 r3s 4 r3s 4 r3s 4 r9s 4 r1s 4, Ein Element ras m P Z{mZ ist genau dann multiplikativ invertierbar/eine Einheit, wenn ggtpa, mq 1 (d. h. wenn a und m teilerfremd sind). Korollar pz{pz, `,, r0s p, r1s p q ist genau dann ein Körper, wenn p eine Primzahl ist. Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 9

10 ras m multiplikativ invertierbar ðñ ggtpa, mq 1 Beweis: ùñ Sei ras m multiplikativ invertierbar und rbs m ras 1 m. ñ a b 1 pmod mq (Welches?) ñ es existiert q P Z mit a b q m ` 1 ñ a b q m 1 ñ d. h. jeder Teiler von a und m teilt auch 1 ñ ggtpa, mq 1 ðù Sei ggtpa, mq 1. Wegen dem Lemma von Bézout (siehe Elementare Zahlentheorie) gibt es s, t P Z, sodass s a ` t m ggtpa, mq 1 ùñ s a p tq m ` 1. ñ s a 1 pmod mq ñ rss m ist multiplikativ Inverses von ras m Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 10

11 Berechnung von multiplikativen Inversen Zur Erinnerung: Der erweiterterte Euklidische Algorithmus lieferte einen algorithmischen Beweis des Lemmas von Bézout. ñ s, t P Z mit s a ` t m ggtpa, mq können mit dem erweiterterten Euklidischen Algorithmus effizient berechnet werden ñ Repräsentant s P ras 1 m kann effizient berechnet werden, falls ein multipliaktiv Inverses von ras m existiert (d. h. genau dann, wenn ggtpa, mq 1) Beispiel: r13s 2412 invertierbar? ` ` ` 1 ñ ggtp13, 2412q 1 und Rückwärtseinsetzen ergibt: p13 1 7q p q 1 13 ñ ` ñ r 371s 2412 r2041s 2412 r13s Probe: ` 1 ñ pmod 2412q Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 11

12 Kleiner Satz von Fermat Satz (Fermat 1640) Sei a P N und p eine Primzahl mit p ffl a. Dann gilt und somit ra p 1 s p ras 1 p. a p 1 1 pmod pq Beweis: Mit Induktion über a für eine feste Primzahl p zeigen wir a p a pmod pq für alle a P N. Der Satz folgt dann, da wir wegen der Voraussetzung (ggtpa, pq 1) auf beiden Seiten mit b P ras 1 p kürzen können. Induktionsanfang für a 1: klar, da 1 p 1 1 pmod pq für p ě 2 Induktionsschritt a Ñ a ` 1: Mit dem binomischen Lehrsatz folgt p 1 ÿ pa ` 1q p a p p ` 1 i a p i ` 1 p. i `p i Da jeder der Summanden in ř p 1 i 1 durch p teilbar ist (p Primzahl ñ ggtpi!pp iq!, pq 1 für 0 ă i ă p), gilt i 1 1i a p i wegen dem Binomialkoeffizienten `p i pa ` 1q p a p ` 1 pmod pq. Nach der Induktionsvoraussetzung gilt a p a pmod pq ñ pa ` 1q p a ` 1 pmod pq Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 12

13 Bemerkungen zum kleinen Satz von Fermat Für a, p wie in dem Satz können wir für große x bei Berechnungen der Form a x pmod pq die Rechnung vereinfachen, da a p 1 1 pmod pq ùñ a x a x pp 1q pmod pq a r pmod pq für den Rest r modpx, p 1q der ganzzahligen Division x durch p 1. Satz (Fermat und Euler) Seien a, m P N teilerfremd und sei ϕpmq die Anzahl der zu m teilerfremden natürlichen Zahlen kleiner m. Dann gilt a ϕpmq 1 pmod mq, Bemerkungen: ϕ: N Ñ N heißt eulersche ϕ-funktion für Primzahlen p ist ϕppq p 1 ñ Satz von Fermat und Euler verallgemeinert den kleinen Satz von Fermat Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 13

14 Beweis von Fermat Euler Beweis: Sei ggtpa, mq 1 und seien x 1,..., x ϕpmq P N die zu m teilerfremden natürlichen Zahlen kleiner m. ñ pz{mzqˆ rx 1 s m,..., rx ϕpmq s m ( und rasm P pz{mzqˆ wir hatten bereits gesehen, dass rxs m ÞÑ ras m rxs m eine Bijektion auf pz{mzqˆ ist, d. h. rax1 s m,..., rax ϕpmq s m ( rx1 s m,..., rx ϕpmq s m ( ñ ϕpmq ź rx i s m ϕpmq ź i 1 i 1 rax i s m a ϕpmq ϕpmq ź i 1 x i ım raϕpmq s m ϕpmq ź i 1 rx i s m da rx 1 s m,..., rx ϕpmq s m Einheiten sind, können wir auf beiden Seiten mit ś ϕpmq i 1 rxis 1 m multiplizieren und erhalten r1s m ra ϕpmq s m ùñ a ϕpmq 1 pmod mq. Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 14

15 Eulersche ϕ-funktion Für jede natürliche Zahl m P N definiert durch ϕpmq ˇˇtx P N: ggtpx, mq 1 und 1 ď x ă muˇˇ. ϕpmq ˇˇpZ{mZqˆˇˇ ď m 1 ϕppq p 1 für Primzahlen p ϕpp qq pp 1qpq 1q ϕppqϕpqq für Primzahlen p q: Beweis: Neben den trivialen Teilern teilen nur p und q das Produkt pq. ñ alle x ă pq nicht teilerfremd zu pq sind Vielfache von p oder q diese Vielfachen sind: p, 2p,..., pq 1qp und q, 2q,..., pp 1qq ñ ϕppqq pq 1 pq 1q pp 1q pp 1qpq 1q Aber: Berechnung von ϕpnq für n pq mit Primzahlen p q ohne Kenntnis von p und q ist schwer ÝÑ so schwer, wie Berechnung der Primfaktorzerlegung von n als n pq Beweis: ϕpnq pp 1qpq 1q pq ` 1 pp ` qq n ` 1 pp ` qq ñ bekanntes ϕpnq liefert die Summe p ` q n ` 1 ϕpnq ñ mit p n{q erhält man quadratische Gleichung in einer Variable (in q) ñ Lösung der quadratischen Gleichung ergibt q und dann p l kein effizienter Algorithmus bekannt ÝÑ eine Grundlage des RSA-Verfahrens Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 15

16 Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 16

17 RSA-Verfahren benannt nach den Erfindern Rivest, Shamir und Adleman Public-Key-Verschlüsselungverfahren von 1977 basiert auf öffentlichen und (geheimen) privaten Schlüssel des Empfängers Sender verschlüsselt (engl. encrypt) Nachricht M mit öffentlichem Schlüssel verschlüsselte Nachricht C wird an den Empfänger geschickt Empfänger entschlüsselt (engl. decrypt) C und rekonstruiert so M Nachrichten werden hierbei als Zahlen codiert, d. h. o. B. d. A. ist M P N RSA-Verfahren 1 Schlüsselgenerierung: Empfänger wählt zwei große Primzahlen p und q berechnet N pq und ϕpnq pp 1qpq 1q wählt e teilerfremd zu ϕpnq mit 1 ă e ă ϕpnq berechnet d P res 1, d. h. ed rϕpnq ` 1 für ein r P Z ϕpnq veröffentlicht pe, Nq und speichert geheim pd, Nq 2 Verschlüsselung: Sender berechnet C M e pmod Nq für Nachricht M ă N und schickt Nachricht C an Empfänger 3 Entschlüsselung: Empfänger berechnet kanonisches M 1 C d pmod Nq Fermat Euler: M 1 C d pm e q d M rϕpnq`1 pm ϕpnq q r M 1 r M M pmod Nq Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 17

18 Korrektheit des RSA-Verfahrens Wieso? die Kongruenz M 1 M auf der letzten Folie verwendete den Satz von Fermat und Euler für M ϕpnq 1 pmod Nq der Satz benötigt aber auf der Annahme ggtpm, Nq 1 da N pq, müssen wir die Fälle p M bzw. q M gesondert betrachten: Sei also p M ñ M 0 pmod pq ùñ M rϕpnq`1 M pmod pq wegen p M und M ă pq gilt in diesem Fall q ffl M ùñ M q 1 1 pmod qq, wegen dem kleinen Satz von Fermat ùñ M rϕpnq`1 pm q 1 q rpp 1q M 1 rpp 1q M pmod qq M pmod qq Schließlich zeigt man (Übung), dass für Primzahlen p q und x, y P Z gilt: x y pmod pq und x y pmod qq ùñ x y pmod pqq. Somit folgt für x M rϕpnq`1 und y M auch das gewünschte M rϕpnq`1 M pmod Nq. Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 18

19 Beispiel: RSA-Verfahren 1 Bob wählt Primzahlen p 3 und q 11, berechnet N , ϕpnq , wählt e 7 (teilerfremd zu ϕpnq 20) und berechnet mit erw. Euklidischem Algorithmus d 3 ñ öffentlicher Schlüssel: p7, 33q und privater Schlüssel: p3, 33q 2 Alice möchte M 4 senden und berechnet ñ C pmod 33q 3 Bob empfängt C 16 und berechnet ñ M 1 M ` ` 4 Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 19

20 Beispiel aus dem Originalartikel Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 20

21 Sicherheit von RSA Nachricht M kann nur schwer aus C M e pmod Nq mithilfe des öffentlichen Schlüssels pe, Nq berechnet werden, da Aber: in Z{NZ kein effizientes Verfahren zum Wurzelziehen bekannt ist ÝÑ diskreter Logarithmus kein effizientes Verfahren zur Berechnung von ϕpnq bekannt ist ÝÑ so schwer wie Primfaktorisierung von N für die praktische Anwendung sollten wichtige Nebenbedingungen für die Wahl von p, q und e beachtet werden vollständige Sicherheit gibt es nicht mit sehr großer Rechenleistung kann jede RSA-verschlüsselte Nachricht entschlüsselt werden Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 21

22 RSA-Factoring Challenge Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 22

23 RSA-Factoring Challenge Mathias Schacht Mathematik I für Informatiker WiSe 2016/17 6. Restklassen & RSA / 22