Kryptologie/Chinesischer Restsatz

Bevor wir die Korrektheit der RSA-Verschlüsselungsverfahrens zeigen können, benötigen wir neben dem Satz von Euler noch den chinesischen Restsatz. Mit diesem werden wir dort für die zwei die Kongruenzen ${\displaystyle (m^{e})^{d}\equiv m{\bmod {p}}}$  und ${\displaystyle (m^{e})^{d}\equiv m{\bmod {q}}}$  zeigen, dass diese gelten, wenn ${\displaystyle ggT(m,N)\neq 1}$  und der Satz von Euler somit nicht anwendbar ist^[1][2]. Wir werden Satz von Euler jedoch nutzen können, um den chinesischen Restsatz zu beweisen^[3]. Den Abschnitt Finden einer Lösung werden wir benötigen, sobald wir uns mit Angriffsszenarien auf das RSA-Verschlüsselungsverfahren beschäftigen^[4].

Chinesischer Restsatz

Seien ${\displaystyle c_{1},c_{2},\dots ,c_{v}\in \mathbb {N} }$  paarweise teilerfremd in ${\displaystyle \mathbb {Z} }$ , ${\displaystyle v\in \mathbb {N} }$  und ${\displaystyle a_{1},a_{2},\dots ,a_{v}\in \mathbb {Z} }$ .

Dann existiert eine Lösung ${\displaystyle b\in \mathbb {Z} }$ , sodass für jedes ${\displaystyle i\in \{1,2,\dots ,v\}}$  die Kongruenz ${\displaystyle b\equiv a_{i}{\bmod {c}}_{i}}$  gilt.

Die Lösung ist eindeutig ${\displaystyle {\bmod {c}}}$  mit ${\displaystyle c=c_{1}\cdot c_{2}\cdot \dots \cdot c_{v}}$ ^[3].

Bemerkung: Bevor wir den chinesischen Restsatz beweisen können, benötigen wir den nun folgenden Hilfssatz.

Hilfssatz zum chinesischen Restsatz

Seien ${\displaystyle a,b,c\in \mathbb {Z} }$ .

Es gilt ${\displaystyle ggT(a,bc)=1}$  genau dann, wenn ${\displaystyle ggt(a,b)=1}$  und ${\displaystyle ggT(a,c)=1}$ ^[8].

Beweis Hilfssatz zum chinesischen Restsatz

Hinrichtung

Voraussetzung

Seien ${\displaystyle a,b,c\in \mathbb {Z} }$  und ${\displaystyle ggT(a,bc)=1}$ 

Zu zeigen

${\displaystyle ggT(a,b)=1}$  und ${\displaystyle ggT(a,c)=1}$ 

Beweis

Sei ${\displaystyle ggT(a,bc)=1}$ .

Wir definieren ${\displaystyle d=ggT(a,b)}$  und somit gilt nach Definition ${\displaystyle ggT}$  ${\displaystyle d\mid a}$  und ${\displaystyle d\mid b}$ .

Da ${\displaystyle d\mid b}$ , gilt auch ${\displaystyle d\mid bc}$  und somit ist ${\displaystyle ggT(a,bc)\geq d}$ .

Da nach Voraussetzung jedoch ${\displaystyle ggT(a,bc)=1}$ , muss wegen ${\displaystyle ggT(a,bc)\geq d}$  auch ${\displaystyle ggT(a,b)=d=1}$  sein.

Man kann nun ein ${\displaystyle e=ggT(a,c)}$  definieren und auf analoge Weise begründen, dass ${\displaystyle ggT(a,c)=e=1}$ .

Rückrichtung

Voraussetzung

Seien ${\displaystyle a,b,c\in \mathbb {Z} }$ , ${\displaystyle ggT(a,b)=1}$  und ${\displaystyle ggT(a,c)=1}$ 

Zu zeigen

${\displaystyle ggT(a,bc)=1}$ 

Beweis

Wir zeigen ${\displaystyle ggT(a,bc)=1}$  durch Widerspruch.

Seien ${\displaystyle ggT(a,b)=1}$  und ${\displaystyle ggT(a,c)=1}$  und wir nehmen an, dass ${\displaystyle ggT(a,bc)=f}$  mit ${\displaystyle f>1}$ .

Da ${\displaystyle ggT(a,b)=1}$  und ${\displaystyle ggT(a,c)=1}$  muss ${\displaystyle f}$  einen Primfaktor ${\displaystyle p}$  nach dem Satz Primteiler besitzen mit ${\displaystyle p\mid bc}$  (wegen ${\displaystyle f\mid bc}$ ).

Wie wir bereits in Satz 2 Eigenschaften von Primzahlen gezeigt haben, folgt ${\displaystyle p\mid b}$  oder ${\displaystyle p\mid c}$ .

Wenn ${\displaystyle p\mid b}$  gelten würde, dann wäre ${\displaystyle 1<p\leq ggT(a,b)}$ , da ${\displaystyle p\mid a}$  wegen ${\displaystyle f\mid a}$  nach der Definition des ${\displaystyle ggT}$  gilt.

Dies ist ein Widerspruch zur Voraussetzung ${\displaystyle ggT(a,b)=1}$ .

Analog gilt, unter der Annahme ${\displaystyle p\mid c}$ , ${\displaystyle 1<p\leq ggT(a,c)}$  und erhalten einen Widerspruch zur Voraussetzung ${\displaystyle ggT(a,c)=1}$ .

Wir haben also gezeigt, dass ${\displaystyle f=1}$  gelten muss. Somit ist ${\displaystyle ggT(a,bc)=f=1}$ ■^[8]

Beweis Chinesischer Restsatz

Voraussetzungen

Seien ${\displaystyle c_{1},c_{2},\dots ,c_{v}\in \mathbb {N} }$  paarweise teilerfremd und ${\displaystyle a_{1},a_{2},\dots ,a_{v}\in \mathbb {Z} }$  mit je ${\displaystyle v\in \mathbb {N} }$ .

Zu zeigen

Das System aus den Kongruenzen

${\displaystyle b\equiv a_{1}{\bmod {c}}_{1}}$ 

${\displaystyle \vdots }$ 

${\displaystyle b\equiv a_{v}{\bmod {c}}_{v}}$ 

hat eine Lösung ${\displaystyle b\equiv a_{i}{\bmod {c}}_{i}}$  und alle ${\displaystyle g\in \mathbb {Z} }$  mit ${\displaystyle g\equiv b{\bmod {c}}}$  sind ebenfalls Lösungen der Kongruenz

Beweis

Wir zeigen zunächst, dass wenn man ${\displaystyle c=c_{1}c_{2}\dots c_{v}}$  und ${\displaystyle C_{i}=c/c_{i}}$  mit ${\displaystyle i\in \{1,2,\dots ,v\}}$  definiert,

dann gilt für ${\displaystyle b=a_{1}C_{1}^{\varphi {(c_{1})}}+a_{2}C_{2}^{\varphi {(c_{2})}}+\dots +a_{v}C_{v}^{\varphi {(c_{v})}}}$ genau

${\displaystyle b\equiv a_{i}{\bmod {c}}_{i}}$  mit ${\displaystyle i\in \{1,2,\dots ,v\}}$ .

Betrachten wir hierfür ${\displaystyle C_{j}}$  mit ${\displaystyle i\neq j}$ .

Da ${\displaystyle C_{j}=c/c_{j}={\frac {c_{1}c_{2}\dots c_{v}}{c_{j}}}}$  und ${\displaystyle i\neq j}$ , kann ${\displaystyle c_{i}}$  nicht aus dem Produkt gekürzt werden und somit gilt

${\displaystyle C_{j}\equiv 0{\bmod {c}}_{i}}$ .

Es gilt also auch ${\displaystyle a_{j}C_{j}^{\varphi (c_{j})}\equiv 0{\bmod {c}}_{i}}$  im Restklassenring ${\displaystyle (\mathbb {Z} /c_{i}\mathbb {Z} ,\oplus ,\odot )}$ 

Es sind daher alle Summanden von

${\displaystyle b\equiv a_{1}C_{1}^{\varphi {(c_{1})}}+a_{2}C_{2}^{\varphi {(c_{2})}}+\dots +a_{v}C_{v}^{\varphi {(c_{v})}}{\bmod {c}}_{i}}$ 

Es sind alle Summanden Null, bis auf den Summanden ${\displaystyle a_{i}C_{i}^{\varphi (c_{i})}}$  und man kann schreiben

${\displaystyle b\equiv a_{i}C_{i}^{\varphi (c_{i})}{\bmod {c}}_{i}\quad (*)}$  mit ${\displaystyle i\in \{1,2,\dots ,v\}}$ .

Da nach Voraussetzung ${\displaystyle c_{1},c_{2},\dots ,c_{v}\in \mathbb {N} }$  paarweise teilerfremd sind, gilt ${\displaystyle ggT(c_{i},c_{j})=1}$  mit ${\displaystyle i\neq j}$ .

Nach Hilfssatz zum chinesischen Restsatz ist auch ${\displaystyle ggT(c_{i},C_{i})=1}$ .

Somit sind die Voraussetzungen für den Satz von Euler erfüllt und wir können diesen anwenden:

${\displaystyle C_{i}^{\varphi (c_{i})}\equiv 1{\bmod {c}}_{i}\quad (**)}$  mit ${\displaystyle i\in \{1,2,\dots ,v\}}$ .

Wir können die Kongruenz ${\displaystyle (**)}$  nutzen, um die Kongruenz ${\displaystyle (*)}$  zu vereinfachen und erhalten:

${\displaystyle b\equiv a_{i}{\bmod {c}}_{i}}$  mit ${\displaystyle i\in \{1,2,\dots ,v\}}$ .

Somit ist ${\displaystyle b=a_{1}C_{1}^{\varphi {(c_{1})}}+a_{2}C_{2}^{\varphi {(c_{2})}}+\dots +a_{v}C_{v}^{\varphi {(c_{v})}}}$  eine Lösung des Systems der Kongruenzen^[14].

Nun müssen wir noch die Eindeutigkeit ${\displaystyle {\bmod {c}}}$  zeigen:

Angenommen es gibt eine weitere Lösung ${\displaystyle g}$  des Systems der Kongruenzen, dann gilt

${\displaystyle g\equiv a_{i}{\bmod {c}}_{i}}$ .

Da jedoch auch ${\displaystyle b\equiv a_{i}{\bmod {c}}_{i}}$ , folgt aus der Transitivität der Kongruenz

${\displaystyle g\equiv b{\bmod {c}}_{i}}$ .

Nun gilt nach Definition der Kongruenz für alle ${\displaystyle i\in \{1,2,\dots ,v\}}$ 

${\displaystyle c_{i}\mid (g-b)}$ .

Wegen ${\displaystyle c_{1},c_{2},\dots ,c_{v}\in \mathbb {N} }$  paarweise teilerfremd in ${\displaystyle \mathbb {Z} }$ , gilt sogar

${\displaystyle c\mid (g-b)}$  mit ${\displaystyle c=c_{1}\cdot c_{2}\cdot \dots \cdot c_{v}}$ .

Nach Definition der Kongruenz gilt also

${\displaystyle g\equiv b{\bmod {c}}}$  .

Die Lösung ist eindeutig ${\displaystyle {\bmod {c}}}$  ■^[14][3]

Eine Lösung ${\displaystyle b}$  kann wie folgt ermittelt werden: Für jedes ${\displaystyle i}$  sind die Zahlen ${\displaystyle c_{i}}$  und ${\displaystyle C_{i}:=C/c_{i}}$  teilerfremd, also kann man z. B. mit dem erweiterten euklidischen Algorithmus zwei ganze Zahlen ${\displaystyle r_{i}}$  und ${\displaystyle s_{i}}$  finden, so dass

${\displaystyle r_{i}\cdot c_{i}+s_{i}\cdot C_{i}=1}$ .

Setze ${\displaystyle e_{i}:=s_{i}\cdot C_{i}}$ , dann gilt

${\displaystyle e_{i}\equiv 1\mod c_{i}}$ , wegen ${\displaystyle r_{i}\cdot c_{i}+s_{i}\cdot C_{i}=1}$ ,

${\displaystyle e_{i}\equiv 0\mod c_{j},\ j\neq i}$  und analog zur Argumentation im Beweis.

Die Zahl

${\displaystyle b:=\sum _{i=1}^{v}a_{i}e_{i}}$ 

ist dann eine Lösung der simultanen Kongruenz^[19]. Wir können dies nutzen, um in einer anderen Lerneinheit einen Angriff auf eine Anwendungssituation des RSA-Algorithmus durchzuführen.

Wir betrachten folgendes System:

${\displaystyle b\equiv 2{\bmod {3}}}$ 

${\displaystyle b\equiv 3{\bmod {5}}}$ 

${\displaystyle b\equiv 2{\bmod {7}}}$ 

Da ${\displaystyle ggT(2,5)=ggT(2,7)=ggT(7,5)=1}$  und ${\displaystyle 2,3\in \mathbb {Z} }$ , können wir den chinesischen Restsatz anwenden:

Wir stellen die Gleichungen aus dem Abschnitt Finden einer Lösung auf:

${\displaystyle r_{1}\cdot 3+s_{1}\cdot 35=1}$ , da ${\displaystyle C_{1}=5\cdot 7}$ 

${\displaystyle r_{2}\cdot 5+s_{2}\cdot 21=1}$ , da ${\displaystyle C_{2}=3\cdot 7}$ 

${\displaystyle r_{3}\cdot 7+s_{3}\cdot 15=1}$ , da ${\displaystyle C_{3}=3\cdot 5}$ 

Nun wenden wir den erweiterten euklidischen Algorithmus an (siehe Lernaufgabe) und erhalten

Zu ${\displaystyle r_{1}\cdot 3+s_{1}\cdot 35=1}$ :

${\displaystyle r_{1}=12}$ , ${\displaystyle s_{1}=-1}$  und ${\displaystyle e_{1}=-1\cdot 35=-35}$ 

Zu ${\displaystyle r_{2}\cdot 5+s_{2}\cdot 21=1}$ :

${\displaystyle r_{2}=-4}$ , ${\displaystyle s_{2}=1}$  und ${\displaystyle e_{2}=1\cdot 21=21}$ 

Zu ${\displaystyle r_{3}\cdot 7+s_{3}\cdot 15=1}$ :

${\displaystyle r_{3}=-2}$ , ${\displaystyle s_{2}=1}$  und ${\displaystyle e_{3}=1\cdot 15=15}$ 

Nun können wir ${\displaystyle b:=\sum _{i=1}^{v}a_{i}e_{i}}$  berechnen:

${\displaystyle b:=\sum _{i=1}^{3}a_{i}e_{i}=2\cdot (-35)+3\cdot 21+2\cdot 15=23}$ .

Zur Veranschaulichung führen wir nun noch die Probe durch:

${\displaystyle 23\equiv 2{\bmod {3}}}$ , wegen ${\displaystyle 23=7\cdot 3+2}$ ,

${\displaystyle 23\equiv 3{\bmod {5}}}$ , wegen ${\displaystyle 23=4\cdot 5+3}$ ,

${\displaystyle 23\equiv 2{\bmod {7}}}$ , wegen ${\displaystyle 23=3\cdot 7+2}$ .

Aufgabe

Berechnen Sie mit dem erweiterten euklidischen Algorithmus ${\displaystyle r_{i}}$  und ${\displaystyle s_{i}}$  mit ${\displaystyle i\in \{1,2,3\}}$  für das Beispiel zum chinesischen Restsatz, also

${\displaystyle r_{1}\cdot 3+s_{1}\cdot 35=1}$ ,

${\displaystyle r_{2}\cdot 5+s_{2}\cdot 21=1}$ 

und

${\displaystyle r_{3}\cdot 7+s_{3}\cdot 15=1}$ .

1. ↑ Beweisarchiv: Kryptografie: Kryptosysteme: Korrektheit des RSA-Kryptosystems. (16. Juni 2013). Wikibooks, Die freie Bibliothek. Abgerufen am 10. Januar 2020, 12:20 von https://de.wikibooks.org/w/index.php?title=Beweisarchiv:_Kryptografie:_Kryptosysteme:_Korrektheit_des_RSA-Kryptosystems&oldid=674922. (Formulierung verändert)
2. ↑ Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2) (S. 120–126). S. 123.
3. ↑ ^{3,0 3,1 3,2} Shoup, V. (2008). A Computational Introduction to Number Theory and Algebra (2. Aufl.). S. 23.
4. ↑ Buchmann, J. (2016). Einführung in die Kryptographie (6. Aufl.). Springer. S. 175.
5. ↑ ^{5,0 5,1 5,2 5,3 5,4 5,5} Burton, D. M., & Dalkowski, H. (2005). Handbuch der elementaren Zahlentheorie mit über 1000 Übungsaufgaben und ihren Lösungen. Heldermann Verlag. S. 26.
6. ↑ ^{6,0 6,1 6,2 6,3} Seite „Teilerfremdheit“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 26. September 2019, 13:33 UTC. URL: https://de.wikipedia.org/w/index.php?title=Teilerfremdheit&oldid=192615323 (Abgerufen: 10. Januar 2020, 13:56 UTC; Formulierung verändert)
7. ↑ ^{7,0 7,1 7,2} Buchmann, J. (2016). Einführung in die Kryptographie (6. Aufl.). Berlin, Heidelberg: Springer. S. 37.
8. ↑ ^{8,0 8,1 8,2} Burton, D. M., & Dalkowski, H. (2005). Handbuch der elementaren Zahlentheorie mit über 1000 Übungsaufgaben und ihren Lösungen. Heldermann Verlag. S. 146.
9. ↑ ^{9,0 9,1} Burton, D. M., & Dalkowski, H. (2005). Handbuch der elementaren Zahlentheorie mit über 1000 Übungsaufgaben und ihren Lösungen. Lemgo: Heldermann Verlag. S. 24.
10. ↑ Buchmann, J. (2016). Einführung in die Kryptographie (6. Aufl.). Berlin, Heidelberg: Springer. S. 10.
11. ↑ Burton, D. M., & Dalkowski, H. (2005). Handbuch der elementaren Zahlentheorie mit über 1000 Übungsaufgaben und ihren Lösungen. Lemgo: Heldermann Verlag. S. 48.
12. ↑ „Satz von Euler“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 27. März 2019, 10:16 UTC. URL: https://de.wikipedia.org/w/index.php?title=Satz_von_Euler&oldid=186980132 (Abgerufen: 25. November 2019, 10:25 UTC; Formulierung verändert)
13. ↑ Euler, L. (1763). Theoremata arithmetica nova methodo demonstrata. 8 (S. 74–104). S. 102.
14. ↑ ^{14,0 14,1} Burton, D. M., & Dalkowski, H. (2005). Handbuch der elementaren Zahlentheorie mit über 1000 Übungsaufgaben und ihren Lösungen. Heldermann Verlag. S. 154f.
15. ↑ Reiss, K., & Schmieder, G. (2014). Basiswissen Zahlentheorie: Eine Einführung in Zahlen und Zahlbereiche (3. Aufl.). Springer Spektrum. S. 157.
16. ↑ ^{16,0 16,1} Burton, D. M., & Dalkowski, H. (2005). Handbuch der elementaren Zahlentheorie mit über 1000 Übungsaufgaben und ihren Lösungen. Lemgo: Heldermann Verlag. S. 26.
17. ↑ ^{17,0 17,1 17,2} Lehman, E., Leighton, T., & Meyer, A. R. (2010). Mathematics for computer science. Technical report, 2006. Lecture notes. S. 249.
18. ↑ ^{18,0 18,1 18,2} Kurzweil, H. (2008). Endliche Körper: Verstehen, rechnen, anwenden (2., überarb. Aufl). Springer. S. 57.
19. ↑ Seite „Chinesischer Restsatz“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 11. November 2019, 11:56 UTC. URL: https://de.wikipedia.org/w/index.php?title=Chinesischer_Restsatz&oldid=193949389 (Abgerufen: 23. Januar 2020, 14:56 UTC)