Kryptologie/Satz von Euler

Der Satz von Euler ist eine Verallgemeinerung des kleinen Satzes von Fermat. Während der kleine Satz von Fermat nur für Primzahlen gilt, kann der Satz von Euler auf beliebige natürliche Zahlen ${\displaystyle n}$ angewendet werden, die teilerfremd zur Basis ${\displaystyle a}$ sind^[1]. Der Satz von Euler ist der zentrale Satz zum Beweis der Korrektheit des RSA-Kryptosystems^[2]. Außerdem werden wir ihn nutzen, um einen weiteren Satz für die Korrektheit des RSA-Kryptosystems zu zeigen, nämlich dem chinesischen Restsatz.

Seien ${\displaystyle a,n\in \mathbb{N}}$ und ${\displaystyle \mathrm{ggT}(a,n)=1}$, dann gilt ${\displaystyle a^{\phi (n)}\equiv 1modn}$^[1][10].

Bemerkung: Für prime Moduli ${\displaystyle p}$ gilt nach Satz 1 Eigenschaft der Eulerschen ${\displaystyle \phi }$-Funktion bei Primzahlen ${\displaystyle \phi (p)=p-1}$, also geht für diese der Satz von Euler in den kleinen Satz von Fermat über^[1].

Wir zeigen zunächst die Aussage: wenn ${\displaystyle p}$ prim, dann gilt ${\displaystyle p\nmid a}$ mittels vollständiger Induktion nach ${\displaystyle k}$.

Bemerkung: Bei der vollständigen Induktion wird eine Aussage in der Regel für alle natürlichen Zahlen bewiesen. Dabei beginnt man bei einem Startwert (meist ${\displaystyle 0}$ oder ${\displaystyle 1}$) und zeigt, dass die Aussage für diesen Startwert gilt. Man nennt dies den Induktionsanfang. Anschließend wird während des Induktionsschritts gezeigt, dass wenn die Aussage für eine Zahl gilt, dann gilt sie auch für die nächstgrößere Zahl^[11][12].

Seien ${\displaystyle p}$ prim und ${\displaystyle p\nmid a}$, dann soll gelten

${\displaystyle a^{\phi (p^k)}\equiv 1{modp}^k}$ für ${\displaystyle k\in {\mathbb{N}}^{+}}$.

Wir zeigen nun durch vollständige Induktion, dass die Kongruenz ${\displaystyle a^{\phi (p^k)}\equiv 1{modp}^k}$ korrekt ist.

Induktionsanfang

Wir beginnen mit ${\displaystyle k=1}$.

${\displaystyle a^{\phi (p^k)}\equiv 1{modp}^k}$

${\displaystyle \iff a^{\phi (p)}\equiv 1modp}$, für ${\displaystyle k=1}$

${\displaystyle \iff a^{p-1}\equiv 1modp}$, nach Satz 1 der Eigenschaft für ${\displaystyle \phi }$-Funktionen ${\displaystyle p-1=\phi (p)}$

Dies ist genau der kleine Satz von Fermat, welchen wir bereits bewiesen haben.

Induktionsvoraussetzung

Wir nehmen an, dass ${\displaystyle a^{\phi (p^k)}\equiv 1{modp}^k}$ für ein festes ${\displaystyle k\in \mathbb{N}}$ mit ${\displaystyle k>0}$ gilt.

Induktionsbehauptung

Wir wollen zeigen, dass ${\displaystyle a^{\phi (p^{k+1})}\equiv 1{modp}^{k+1}}$ gilt.

Induktionsschritt

Nach der Kongruenz gilt folgende Äquivalenz der Induktionsvoraussetzung:

${\displaystyle a^{\phi (p^k)}\equiv 1{modp}^k\iff a^{\phi (p^k)}=x\cdot p^k+1}$ mit ${\displaystyle x\in \mathbb{Z}}$ und Satz 3 der eulerschen ${\displaystyle \phi }$-Funktion gilt ${\displaystyle \phi (p^k)=p^k(1-\frac{1}{p})}$.

Für ${\displaystyle p^{k+1}}$ folgt unter erneuter Verwendung von Satz 3 der eulerschen ${\displaystyle \phi }$-Funktion

${\displaystyle \phi (p^{k+1})=p^{k+1}(1-\frac{1}{p})=p\cdot \phi (p^k)}$.

Wir können ${\displaystyle a^{\phi (p^{k+1})}}$ nun umschreiben:

${\displaystyle a^{\phi (p^{k+1})}}$

${\displaystyle =a^{p\phi (p^k)}}$, da ${\displaystyle \phi (p^{k+1})=p\cdot \phi (p^k)}$

${\displaystyle =a^{\phi (p^k{)}^p}}$

${\displaystyle =(1+x\cdot p^k{)}^p}$, nach ${\displaystyle a^{\phi (p^{k+1})}=x\cdot p^k+1}$

Nun kann man den binomischen Lehrsatz anwenden, da es sich bei dem Restklassenring ${\displaystyle (\mathbb{Z}/m\mathbb{Z},\oplus ,\odot )}$ um einen kommutativen Ring handelt, wobei ${\displaystyle (\mathbb{Z}/m\mathbb{Z},\odot )}$ ein Monoid ist (siehe Lernaufgabe).

Also

${\displaystyle (1+x\cdot p^k{)}^p=1+{\displaystyle (\genfrac{}{}{0ex}{}{p}{1})}(x{p}^k)+{\displaystyle (\genfrac{}{}{0ex}{}{p}{2})}(x{p}^k{)}^2+\dots +{\displaystyle (\genfrac{}{}{0ex}{}{p}{p-1})}(x{p}^k{)}^{p-1}+(q{p}^k{)}^p}$

Betrachten wir nun die Summen

${\displaystyle {\displaystyle (\genfrac{}{}{0ex}{}{p}{2})}(x{p}^k{)}^2+\dots +{\displaystyle (\genfrac{}{}{0ex}{}{p}{p-1})}(x{p}^k{)}^{p-1}+(q{p}^k{)}^p}$, ${\displaystyle {\displaystyle (\genfrac{}{}{0ex}{}{p}{1})}(x{p}^k)}$ und ${\displaystyle 1}$ getrennt voneinander.

Es gilt

${\displaystyle {\displaystyle (\genfrac{}{}{0ex}{}{p}{2})}(x{p}^k{)}^2+\dots +{\displaystyle (\genfrac{}{}{0ex}{}{p}{p-1})}(x{p}^k{)}^{p-1}+(q{p}^k{)}^p\equiv 0{modp}^{k+1}}$, da jeder der Summanden aus einem Faktoren ${\displaystyle (x{p}^k{)}^i}$ mit ${\displaystyle i\in \{2,3,...p\}}$ und einem Binomialkoeffizienten besteht und der Faktor ${\displaystyle (x{p}^k{)}^i}$ immer von ${\displaystyle p^{k+1}}$ teilbar ist und lediglich mit einer natürlichen Zahl (dem zugehörigen Binomialkoeffizienten) multipliziert wird.

Wir müssen nun also nur noch die beiden Summanden ${\displaystyle {\displaystyle (\genfrac{}{}{0ex}{}{p}{1})}(x{p}^k)}$ und ${\displaystyle 1}$ betrachten.

Da ${\displaystyle {\displaystyle (\genfrac{}{}{0ex}{}{p}{1})}=\left(\frac{p!}{(p-1)!\cdot 1!}\right)=p}$, ist ${\displaystyle {\displaystyle (\genfrac{}{}{0ex}{}{p}{1})}(x{p}^k)=x{p}^{k+1}}$ .

Es gilt: ${\displaystyle p^{k+1}\mid q{p}^{k+1}}$.

Wir wissen nun also, dass

${\displaystyle {\displaystyle (\genfrac{}{}{0ex}{}{p}{1})}(x{p}^k)+{\displaystyle (\genfrac{}{}{0ex}{}{p}{2})}(x{p}^k{)}^2+\dots +{\displaystyle (\genfrac{}{}{0ex}{}{p}{p-1})}(x{p}^k{)}^{p-1}+(q{p}^k{)}^p\equiv 0{modp}^{k+1}}$

und nach hinzufügen des Summanden ${\displaystyle 1}$:

${\displaystyle 1+{\displaystyle (\genfrac{}{}{0ex}{}{p}{1})}(x{p}^k)+{\displaystyle (\genfrac{}{}{0ex}{}{p}{2})}(x{p}^k{)}^2+\dots +{\displaystyle (\genfrac{}{}{0ex}{}{p}{p-1})}(x{p}^k{)}^{p-1}+(q{p}^k{)}^p\equiv 1{modp}^{k+1}}$.

Wir haben also gezeigt, dass gilt:

${\displaystyle a^{\phi (p^{k+1})}\equiv 1{modp}^{k+1}}$

und die vollständige Induktion ist abgeschlossen.

Nun wählen wir eine Zahl ${\displaystyle n\in N}$ mit ${\displaystyle ggT(a,n)=1}$ und folgender Primfaktorzerlegung:

${\displaystyle n=p_1^{k_1}\cdot p_2^{k_2}\cdot ...\cdot p_s^{k_s}}$.

Da ${\displaystyle a}$ und ${\displaystyle n}$ teilerfremd sind, kann auch keiner der Primfaktoren ${\displaystyle p_j}$ mit ${\displaystyle j\in \{1,2,\dots ,s\}}$ ein Teiler von ${\displaystyle a}$ sein.

Wir erhalten die Kongruenz:

${\displaystyle a^{\phi (p_j^{k_j})}\equiv 1{modp}_j^{k_j}}$ mit ${\displaystyle j\in \{1,2,\dots ,s\}}$.

Nun nutzen wir die Multiplikativität der eulerschen ${\displaystyle \phi }$-Funktion:

${\displaystyle \phi (n)=\phi (p_1^{k_1})\cdot \phi (p_2^{k_2})\cdot ...\cdot \phi (p_s^{k_s})}$, also ist jeder Faktor ${\displaystyle \phi (p_j^{k_j})}$ ein Teiler von ${\displaystyle \phi (n)}$.

Daher gilt nicht nur ${\displaystyle a^{\phi (p_j^{k_j})}\equiv 1{modp}_j^{k_j}}$, sondern auch

${\displaystyle a^{\phi (n)}\equiv 1{modp}_j^{k_j}}$ mit ${\displaystyle j\in \{1,2,\dots ,s\}}$.

Da die Primfaktorpotenzen ${\displaystyle p_j^{k_j}}$ paarweise teilerfremd sind, gilt nach der Folgerung aus Lemma 4 des ggT :

${\displaystyle a^{\phi (n)}\equiv 1{modp}_1^{k_1}{p}_2^{k_2}\cdots p_s^{k_s}}$,

und da

${\displaystyle n=p_1^{k_1}\cdot p_2^{k_2}\cdot ...\cdot p_s^{k_s}}$

die Primfaktorzerlegung von ${\displaystyle n}$ ist, gilt

${\displaystyle a^{\phi (n)}\equiv 1modn}$.

Wir haben somit den Satz von Euler bewiesen■^[21]