Kryptologie/Chinesischer Restsatz

Bevor wir die Korrektheit der RSA-Verschlüsselungsverfahrens zeigen können, benötigen wir neben dem Satz von Euler noch den chinesischen Restsatz. Mit diesem werden wir dort für die zwei die Kongruenzen ${\displaystyle (m^e{)}^d\equiv mmodp}$ und ${\displaystyle (m^e{)}^d\equiv mmodq}$ zeigen, dass diese gelten, wenn ${\displaystyle ggT(m,N)\ne 1}$ und der Satz von Euler somit nicht anwendbar ist^[1][2]. Wir werden Satz von Euler jedoch nutzen können, um den chinesischen Restsatz zu beweisen^[3]. Den Abschnitt Finden einer Lösung werden wir benötigen, sobald wir uns mit Angriffsszenarien auf das RSA-Verschlüsselungsverfahren beschäftigen^[4].

Seien ${\displaystyle c_1,c_2,\dots ,c_v\in \mathbb{N}}$ paarweise teilerfremd in ${\displaystyle \mathbb{Z}}$, ${\displaystyle v\in \mathbb{N}}$ und ${\displaystyle a_1,a_2,\dots ,a_v\in \mathbb{Z}}$.

Dann existiert eine Lösung ${\displaystyle b\in \mathbb{Z}}$, sodass für jedes ${\displaystyle i\in \{1,2,\dots ,v\}}$ die Kongruenz ${\displaystyle b\equiv a_i{modc}_i}$ gilt.

Die Lösung ist eindeutig ${\displaystyle modc}$ mit ${\displaystyle c=c_1\cdot c_2\cdot \dots \cdot c_v}$^[3].

Bemerkung: Bevor wir den chinesischen Restsatz beweisen können, benötigen wir den nun folgenden Hilfssatz.

Seien ${\displaystyle a,b,c\in \mathbb{Z}}$.

Es gilt ${\displaystyle ggT(a,bc)=1}$ genau dann, wenn ${\displaystyle ggt(a,b)=1}$ und ${\displaystyle ggT(a,c)=1}$^[8].

Hinrichtung

Voraussetzung

Seien ${\displaystyle a,b,c\in \mathbb{Z}}$ und ${\displaystyle ggT(a,bc)=1}$

Zu zeigen

${\displaystyle ggT(a,b)=1}$ und ${\displaystyle ggT(a,c)=1}$

Beweis

Sei ${\displaystyle ggT(a,bc)=1}$.

Wir definieren ${\displaystyle d=ggT(a,b)}$ und somit gilt nach Definition ${\displaystyle ggT}$ ${\displaystyle d\mid a}$ und ${\displaystyle d\mid b}$.

Da ${\displaystyle d\mid b}$, gilt auch ${\displaystyle d\mid bc}$ und somit ist ${\displaystyle ggT(a,bc)\ge d}$.

Da nach Voraussetzung jedoch ${\displaystyle ggT(a,bc)=1}$, muss wegen ${\displaystyle ggT(a,bc)\ge d}$ auch ${\displaystyle ggT(a,b)=d=1}$ sein.

Man kann nun ein ${\displaystyle e=ggT(a,c)}$ definieren und auf analoge Weise begründen, dass ${\displaystyle ggT(a,c)=e=1}$.

Rückrichtung

Voraussetzung

Seien ${\displaystyle a,b,c\in \mathbb{Z}}$, ${\displaystyle ggT(a,b)=1}$ und ${\displaystyle ggT(a,c)=1}$

Zu zeigen

${\displaystyle ggT(a,bc)=1}$

Beweis

Wir zeigen ${\displaystyle ggT(a,bc)=1}$ durch Widerspruch.

Seien ${\displaystyle ggT(a,b)=1}$ und ${\displaystyle ggT(a,c)=1}$ und wir nehmen an, dass ${\displaystyle ggT(a,bc)=f}$ mit ${\displaystyle f>1}$.

Da ${\displaystyle ggT(a,b)=1}$ und ${\displaystyle ggT(a,c)=1}$ muss ${\displaystyle f}$ einen Primfaktor ${\displaystyle p}$ nach dem Satz Primteiler besitzen mit ${\displaystyle p\mid bc}$ (wegen ${\displaystyle f\mid bc}$).

Wie wir bereits in Satz 2 Eigenschaften von Primzahlen gezeigt haben, folgt ${\displaystyle p\mid b}$ oder ${\displaystyle p\mid c}$.

Wenn ${\displaystyle p\mid b}$ gelten würde, dann wäre ${\displaystyle 1<p\le ggT(a,b)}$, da ${\displaystyle p\mid a}$ wegen ${\displaystyle f\mid a}$ nach der Definition des ${\displaystyle ggT}$ gilt.

Dies ist ein Widerspruch zur Voraussetzung ${\displaystyle ggT(a,b)=1}$.

Analog gilt, unter der Annahme ${\displaystyle p\mid c}$, ${\displaystyle 1<p\le ggT(a,c)}$ und erhalten einen Widerspruch zur Voraussetzung ${\displaystyle ggT(a,c)=1}$.

Wir haben also gezeigt, dass ${\displaystyle f=1}$ gelten muss. Somit ist ${\displaystyle ggT(a,bc)=f=1}$■^[8]

Voraussetzungen

Seien ${\displaystyle c_1,c_2,\dots ,c_v\in \mathbb{N}}$ paarweise teilerfremd und ${\displaystyle a_1,a_2,\dots ,a_v\in \mathbb{Z}}$ mit je ${\displaystyle v\in \mathbb{N}}$.

Zu zeigen

Das System aus den Kongruenzen

${\displaystyle b\equiv a_1{modc}_1}$

${\displaystyle ⋮}$

${\displaystyle b\equiv a_v{modc}_v}$

hat eine Lösung ${\displaystyle b\equiv a_i{modc}_i}$ und alle ${\displaystyle g\in \mathbb{Z}}$ mit ${\displaystyle g\equiv bmodc}$ sind ebenfalls Lösungen der Kongruenz

Beweis

Wir zeigen zunächst, dass wenn man ${\displaystyle c=c_1{c}_2\dots c_v}$ und ${\displaystyle C_i=c/c_i}$ mit ${\displaystyle i\in \{1,2,\dots ,v\}}$ definiert,

dann gilt für ${\displaystyle b=a_1{C}_1^{\phi (c_1)}+a_2{C}_2^{\phi (c_2)}+\dots +a_v{C}_v^{\phi (c_v)}}$genau

${\displaystyle b\equiv a_i{modc}_i}$ mit ${\displaystyle i\in \{1,2,\dots ,v\}}$.

Betrachten wir hierfür ${\displaystyle C_j}$ mit ${\displaystyle i\ne j}$.

Da ${\displaystyle C_j=c/c_j=\frac{c_1{c}_2\dots c_v}{c_j}}$ und ${\displaystyle i\ne j}$, kann ${\displaystyle c_i}$ nicht aus dem Produkt gekürzt werden und somit gilt

${\displaystyle C_j\equiv 0{modc}_i}$.

Es gilt also auch ${\displaystyle a_j{C}_j^{\phi (c_j)}\equiv 0{modc}_i}$ im Restklassenring ${\displaystyle (\mathbb{Z}/c_i\mathbb{Z},\oplus ,\odot )}$

Es sind daher alle Summanden von

${\displaystyle b\equiv a_1{C}_1^{\phi (c_1)}+a_2{C}_2^{\phi (c_2)}+\dots +a_v{C}_v^{\phi (c_v)}{modc}_i}$

Es sind alle Summanden Null, bis auf den Summanden ${\displaystyle a_i{C}_i^{\phi (c_i)}}$ und man kann schreiben

${\displaystyle b\equiv a_i{C}_i^{\phi (c_i)}{modc}_i(*)}$ mit ${\displaystyle i\in \{1,2,\dots ,v\}}$.

Da nach Voraussetzung ${\displaystyle c_1,c_2,\dots ,c_v\in \mathbb{N}}$ paarweise teilerfremd sind, gilt ${\displaystyle ggT(c_i,c_j)=1}$ mit ${\displaystyle i\ne j}$.

Nach Hilfssatz zum chinesischen Restsatz ist auch ${\displaystyle ggT(c_i,C_i)=1}$.

Somit sind die Voraussetzungen für den Satz von Euler erfüllt und wir können diesen anwenden:

${\displaystyle C_i^{\phi (c_i)}\equiv 1{modc}_i(**)}$ mit ${\displaystyle i\in \{1,2,\dots ,v\}}$.

Wir können die Kongruenz ${\displaystyle (**)}$ nutzen, um die Kongruenz ${\displaystyle (*)}$ zu vereinfachen und erhalten:

${\displaystyle b\equiv a_i{modc}_i}$ mit ${\displaystyle i\in \{1,2,\dots ,v\}}$.

Somit ist ${\displaystyle b=a_1{C}_1^{\phi (c_1)}+a_2{C}_2^{\phi (c_2)}+\dots +a_v{C}_v^{\phi (c_v)}}$ eine Lösung des Systems der Kongruenzen^[14].

Nun müssen wir noch die Eindeutigkeit ${\displaystyle modc}$ zeigen:

Angenommen es gibt eine weitere Lösung ${\displaystyle g}$ des Systems der Kongruenzen, dann gilt

${\displaystyle g\equiv a_i{modc}_i}$.

Da jedoch auch ${\displaystyle b\equiv a_i{modc}_i}$, folgt aus der Transitivität der Kongruenz

${\displaystyle g\equiv b{modc}_i}$.

Nun gilt nach Definition der Kongruenz für alle ${\displaystyle i\in \{1,2,\dots ,v\}}$

${\displaystyle c_i\mid (g-b)}$.

Wegen ${\displaystyle c_1,c_2,\dots ,c_v\in \mathbb{N}}$ paarweise teilerfremd in ${\displaystyle \mathbb{Z}}$, gilt sogar

${\displaystyle c\mid (g-b)}$ mit ${\displaystyle c=c_1\cdot c_2\cdot \dots \cdot c_v}$.

Nach Definition der Kongruenz gilt also

${\displaystyle g\equiv bmodc}$ .

Die Lösung ist eindeutig ${\displaystyle modc}$ ■^[14][3]

Eine Lösung

kann wie folgt ermittelt werden: Für jedes

sind die Zahlen

und

teilerfremd, also kann man z. B. mit dem erweiterten euklidischen Algorithmus zwei ganze Zahlen

und

finden, so dass

${\displaystyle r_i\cdot c_i+s_i\cdot C_i=1}$.

Setze ${\displaystyle e_i:=s_i\cdot C_i}$, dann gilt

${\displaystyle e_i\equiv 1mod{c}_i}$, wegen ${\displaystyle r_i\cdot c_i+s_i\cdot C_i=1}$,

${\displaystyle e_i\equiv 0mod{c}_j,j\ne i}$ und analog zur Argumentation im Beweis.

Die Zahl

${\displaystyle b:={\displaystyle \sum _{i=1}^v}{a}_i{e}_i}$

ist dann eine Lösung der simultanen Kongruenz^[19]. Wir können dies nutzen, um in einer anderen Lerneinheit einen Angriff auf eine Anwendungssituation des RSA-Algorithmus durchzuführen.

Wir betrachten folgendes System:

${\displaystyle b\equiv 2mod3}$

${\displaystyle b\equiv 3mod5}$

${\displaystyle b\equiv 2mod7}$

Da ${\displaystyle ggT(2,5)=ggT(2,7)=ggT(7,5)=1}$ und ${\displaystyle 2,3\in \mathbb{Z}}$, können wir den chinesischen Restsatz anwenden:

Wir stellen die Gleichungen aus dem Abschnitt Finden einer Lösung auf:

${\displaystyle r_1\cdot 3+s_1\cdot 35=1}$, da ${\displaystyle C_1=5\cdot 7}$

${\displaystyle r_2\cdot 5+s_2\cdot 21=1}$, da ${\displaystyle C_2=3\cdot 7}$

${\displaystyle r_3\cdot 7+s_3\cdot 15=1}$, da ${\displaystyle C_3=3\cdot 5}$

Nun wenden wir den erweiterten euklidischen Algorithmus an (siehe Lernaufgabe) und erhalten

Zu ${\displaystyle r_1\cdot 3+s_1\cdot 35=1}$:

${\displaystyle r_1=12}$, ${\displaystyle s_1=-1}$ und ${\displaystyle e_1=-1\cdot 35=-35}$

Zu ${\displaystyle r_2\cdot 5+s_2\cdot 21=1}$:

${\displaystyle r_2=-4}$, ${\displaystyle s_2=1}$ und ${\displaystyle e_2=1\cdot 21=21}$

Zu ${\displaystyle r_3\cdot 7+s_3\cdot 15=1}$:

${\displaystyle r_3=-2}$, ${\displaystyle s_2=1}$ und ${\displaystyle e_3=1\cdot 15=15}$

Nun können wir ${\displaystyle b:={\displaystyle \sum _{i=1}^v}{a}_i{e}_i}$ berechnen:

${\displaystyle b:={\displaystyle \sum _{i=1}^3}{a}_i{e}_i=2\cdot (-35)+3\cdot 21+2\cdot 15=23}$.

Zur Veranschaulichung führen wir nun noch die Probe durch:

${\displaystyle 23\equiv 2mod3}$, wegen ${\displaystyle 23=7\cdot 3+2}$,

${\displaystyle 23\equiv 3mod5}$, wegen ${\displaystyle 23=4\cdot 5+3}$,

${\displaystyle 23\equiv 2mod7}$, wegen ${\displaystyle 23=3\cdot 7+2}$.

Berechnen Sie mit dem erweiterten euklidischen Algorithmus ${\displaystyle r_i}$ und ${\displaystyle s_i}$ mit ${\displaystyle i\in \{1,2,3\}}$ für das Beispiel zum chinesischen Restsatz, also

${\displaystyle r_1\cdot 3+s_1\cdot 35=1}$,

${\displaystyle r_2\cdot 5+s_2\cdot 21=1}$

und

${\displaystyle r_3\cdot 7+s_3\cdot 15=1}$.