Opgaven Getaltheorie en Cryptografie (deel 4) Inleverdatum: 13 mei 2002

Vergelijkbare documenten
Opgaven Getaltheorie en Cryptografie (deel 1) Inleverdatum: 28 februari 2002

7.1 Het aantal inverteerbare restklassen

Hoofdstuk 6. Congruentierekening. 6.1 Congruenties

Getaltheorie groep 3: Primitieve wortels

OPLOSSINGEN VAN DE OEFENINGEN

3 Modulorekenen. 3.1 De eulerfunctie en de kleine stelling van Fermat. Oefening 3.1. Bepaal Φ(1992), Φ(2011) en Φ(2048) (83 en 2011 zijn priem).

RSA. F.A. Grootjen. 8 maart 2002

PROEFEXAMEN LINEAIRE ALGEBRA donderdag 17 november 2011

Getaltheorie II. ax + by = c, a, b, c Z (1)

Enkele valkuilen om te vermijden

Oefening 4.3. Zoek een positief natuurlijk getal zodanig dat de helft een kwadraat is, een derde is een derdemacht en een vijfde is een vijfdemacht.

Universiteit Gent. Academiejaar Discrete Wiskunde. 1ste kandidatuur Informatica. Collegenota s. Prof. Dr.

boek Getallen 2009, errata (8 oktober 2011)

Uitwerkingen toets 9 juni 2012

Tweede Huiswerk Security 26 of 28 oktober, 11.00, Nabespreken op Werkcollege.

2 n 1. OPGAVEN 1 Hoeveel cijfers heeft het grootste bekende Mersenne-priemgetal? Met dit getal vult men 320 krantenpagina s.

FACTORISATIE EN CRYPTOGRAFIE

Stelsels Vergelijkingen

Opgaven Eigenschappen van Getallen Security, 2018, Werkgroep.

Getallenleer Inleiding op codeertheorie. Cursus voor de vrije ruimte

Tentamen Lineaire Algebra 1 (Wiskundigen)

Worteltrekken modulo een priemgetal: van klok tot cutting edge. Roland van der Veen

Hoofdstuk 1. Inleiding. Lichamen

Selectietoets vrijdag 22 maart 2019

slides10.pdf December 5,

Oefening 4.3. Zoek een positief natuurlijk getal zodanig dat de helft een kwadraat is, een derde is een derdemacht en een vijfde is een vijfdemacht.

Hoe je het cryptosysteem RSA soms kunt kraken. Benne de Weger

Public Key Cryptography. Wieb Bosma

Ter Leering ende Vermaeck

Getallen, 2e druk, extra opgaven

Uitwerkingen toets 12 juni 2010

3 Wat is een stelsel lineaire vergelijkingen?

Opgeloste en onopgeloste mysteries in de getaltheorie

Algebra. Oefeningen op hoofdstuk Groepentheorie Cayleytabellen van groepen van orde Cyclische groepen

UITWERKINGEN d. Eliminatie van a geeft d. Eliminatie van b,

FACTORISATIE EN CRYPTOGRAFIE

ONBETWIST ONderwijs verbeteren met WISkunde Toetsen Voorbeeldtoetsen Lineaire Algebra Deliverable 3.10 Henk van der Kooij ONBETWIST Deliverable 3.

Examenvragen Hogere Wiskunde I

1 Delers 1. 3 Grootste gemene deler en kleinste gemene veelvoud 12

Uitwerkingen huiswerk week 6

5.2.4 Varia in groepentheorie

Getaltheorie I. c = c 1 = 1 c (1)

Vierde huiswerkopdracht Lineaire algebra 1

OF (vermits y = dy. dx ) P (x, y) dy + Q(x, y) dx = 0

niet: achterop een ansichtkaart schrijven postbode (en wie al niet meer) leest mee

Lineaire Algebra C 2WF09

Bekijk nog een keer het stelsel van twee vergelijkingen met twee onbekenden x en y: { De tweede vergelijking van de eerste aftrekken geeft:

Eerste deeltentamen Lineaire Algebra A

Je hebt twee uur de tijd voor het oplossen van de vraagstukken. µkw uitwerkingen. 12 juni 2015

2E HUISWERKOPDRACHT CONTINUE WISKUNDE

Oefenopgaven Grondslagen van de Wiskunde A

Tentamenset A. 2. Welke van de volgende beweringen is waar? c. N R N d. R Z R

HERTENTAMEN WISKUNDIGE BEELDVERWERKINGSTECHNIEKEN

Discrete Wiskunde 2WC15, Lente Jan Draisma

De cryptografie achter Bitcoin

Basiskennis lineaire algebra

Cryptografie: de wetenschap van geheimen

IMO-selectietoets I donderdag 2 juni 2016

Kansrekening en statistiek WI2105IN deel I 4 november 2011, uur

6 Ringen, lichamen, velden

College WisCKI. Albert Visser. 16 januari, Department of Philosophy, Faculty Humanities, Utrecht University. Loodrechte Projectie

Het is niet toegestaan om een formulekaart of rekenmachine te gebruiken. f(x) = 9x(x 1) en g(x) = 9x 5. Figuur 1: De grafieken van de functies f en g.

Kwantummechanica Donderdag, 13 oktober 2016 OPGAVEN SET HOOFDSTUK 4. Bestudeer Appendix A, bladzijden van het dictaat.

Zwakke sleutels voor RSA

Combinatoriek groep 1 & 2: Recursie

Het RSA Algoritme. Erik Aarts - 1 -

De pariteitstestmatrix van de (6,4) Hamming-code over GF(5) is de volgende: [ H =

College WisCKI. Albert Visser. 21 november, Department of Philosophy, Faculty Humanities, Utrecht University. Vectorruimte

1.5.1 Natuurlijke, gehele en rationale getallen

PG blok 4 werkboek bijeenkomst 4 en 5

Combinatoriek en rekenregels

Discrete Structuren voor Informatici

We beginnen met de eigenschappen van de gehele getallen.

PROEFEXAMEN LINEAIRE ALGEBRA dinsdag 22 november 2016

Hoofdstuk 1 : Vectoren (A5D)

IMO-selectietoets III zaterdag 3 juni 2017

TENTAMEN LINEAIRE ALGEBRA 1 donderdag 23 december 2004,

Toegepaste Wiskunde 2: Het Kalman-filter

Lineaire algebra I (wiskundigen)

3. Stelsels van vergelijkingen

Discrete Wiskunde 2WC15, Lente Jan Draisma

Bijzondere kettingbreuken

De complexiteit van het Discrete Logaritme Probleem

3.2 Vectoren and matrices

2. Ga voor volgende relaties na of het al dan niet functies, afbeeldingen, bijecties, injecties, surjecties zijn :

Antwoorden. Magische vierkanten Vierkant voor Wiskunde Doeboek 8

Radboud Universiteit Nijmegen Tentamen Analyse 1 WP001B 26 augustus 2010, , Examenzaal

Tentamen lineaire algebra voor BWI maandag 15 december 2008, uur.

Het karakteristieke polynoom

II.3 Equivalentierelaties en quotiënten

Bewijs door inductie

De index calculus methode

Meetkunde en Lineaire Algebra

Kies voor i een willekeurige index tussen 1 en r. Neem het inproduct van v i met de relatie. We krijgen

Tentamen Grondslagen van de Wiskunde A Met beknopte uitwerking

Tentamen Kansrekening en Statistiek MST 14 januari 2016, uur

Uitwerking Puzzel 93-1, Doelloos

Priemontbinding in kwadratische lichamen

Tentamen Inleiding Statistiek (WI2615) 10 april 2013, 9:00-12:00u

Uitwerkingen tentamen lineaire algebra 2 13 januari 2017, 10:00 13:00

Transcriptie:

Opgaven Getaltheorie en Cryptografie (deel 4) Inleverdatum: 13 mei 2002 19.a) Laat zien dat 5 een voortbrenger is van F 37. b) In het sleuteldistributiesysteem van Diffie en Hellman (met G = F 37, α = 5) gebruikt A de publieke sleutel k A = 17 en B de publieke sleutel k B = 23. Bepaal de gemeenschappelijke sleutel k AB van A en B. c) Zij G = F 37, α = 5 en definieer de functie f : G Z/36Z : f(x mod 37) = x als 1 x 35, f(36 mod 37) = 0. In het digitale handtekeningensysteem van El-Gamal gebruikt A de publieke sleutel k A = 17. Bepaal een digitale handtekening van A bij de boodschap m = 19, dat wil zeggen bepaal a, b zodat (α m k f(a) A )b a (mod 37). 20. Gevraagd wordt (een speciaal geval van de) Pollard-rho methode voor het berekenen van discrete logaritmen uit te werken. Zij G een efficiënt berekenbare groep, α G, β < α > en zij p een priemgetal met α p = 1. We willen x bepalen met β = α x. Verdeel G in drie deelverzamelingen S 1, S 2, S 3 met 1 S 2. Definieer de rijen {x k } k=0, {a k} k=0, {b k} k=0 door βx k als x k S 1, x 0 = 1, x k+1 = x 2 k als x k S 2, αx k als x k S 3 a k als x k S 1, a 0 = 0, a k+1 = 2a k (mod p) als x k S 2, a k + 1 (mod p) als x k S 3 b k + 1 (mod p) als x k S 1, b 0 = 0, b k+1 = 2b k (mod p) als x k S 2, b k als x k S 3 1

a) Bewijs dat x k = α a k β b k voor k = 0, 1, 2,.... b) Maak aannemelijk dat er indices i, j zijn met 0 i < j O( p) zodat x i = x j (vat de rij {x k } k=0 op als elementen van < α > die aselect worden gekozen en weer teruggelegd). c) Maak aannemelijk dat er een index l is met l O( p) zodat x 2l = x l. Leg uit hoe x kan worden gevonden als b 2l b l niet deelbaar is door p. 21. In het standaard Gauss-eliminatiealgoritme voor het oplossen van stelsels lineaire vergelijkingen over lichamen wordt gebruik gemaakt van een veegprocedure die als volgt werkt. Neem aan dat er onder het stelsel twee vergelijkingen zijn waarvan de coëfficiënt van x j niet gelijk is aan 0, zeg L := c 11 x 1 + + c 1j x j + + c 1n x n + d 1 = 0 M := c 21 x 1 + + c 2j x j + + c 2n x n + d 2 = 0 met c 1j 0, c 2j 0. Zij M := M (c 2j /c 1j )L. Als we nu in het oorspronkelijke stelsel M door M vervangen verandert de oplossingsverzameling van het stelsel niet terwijl de coëfficiënt van x j in M gelijk is aan 0. Merk op dat we moeten delen door c 1j ; daarom is bovengenoemde veegprocedure niet te generaliseren naar stelsels lineaire vergelijkingen over willekeurige ringen in plaats van lichamen. Door de veegprocedure herhaaldelijk toe te passen kunnen we een gegeven stelsel lineaire vergelijkingen omzetten in een stelsel in driehoeksvorm a 11 x 1 + a 12 x 2 + a 13 x 3 + = 0 a 22 x 2 + a 23 x 3 + = 0 a 33 x 3 + = 0... waarvan eenvoudig de oplossingsverzameling kan worden bepaald. In plaats van stelsels lineaire vergelijkingen over een lichaam bekijken we stelsels lineaire vergelijkingen van de vorm L 1 := a 11 x 1 + + a 1n x n + b 1 0 (mod N) L 2 := a 21 x 1 + + a 2n x n + b 2 0 (mod N) ( ).. L m := a m1 x 1 + + a mn x n + b m 0 (mod N) die we willen oplossen in congruentieklassen x 1,..., x n (mod N). Hier is N een geheel getal > 1 en zijn de coëfficiënten a ij gehele getallen met 0 a ij < N. 2

De bovengenoemde veegprocedure voor de lineaire vormen L, M werkt niet altijd omdat de optredende coëfficiënten niet inverteerbaar hoeven te zijn in de ring Z/nZ. Daarom geven we een alternatieve veegprocedure. a) Bewijs dat de oplossingsverzameling van (*) onveranderd blijft als: (i) voor zekere i {1,..., m} L i wordt vervangen door L i + r j=1 λ j L j met λ j Z; j i (ii) voor zekere i {1,..., m} L i wordt vervangen door µ i L i met ggd(µ i, N) = 1. Laat aan de hand van een voorbeeld zien dat de oplossingsverzameling van (*) kan veranderen wanneer we een lineaire vorm L i vervangen door µ i L i waarbij µ i 0 en ggd(µ i, N) > 1. b) Zijn L := c 11 x 1 + + c 1j x j + + c 1n x n + d 1 0 (mod N) M := c 21 x 1 + + c 2j x j + + c 2n x n + d 2 0 (mod N) twee congruentievergelijkingen uit (*) waarvan de coëfficiënt van x j ongelijk is aan 0. Door zonodig deze vergelijkingen te verwisselen of met 1 te vermenigvuldigen (wat de oplossingsverzameling niet verandert) mogen we aannemen dat c 1j c 2j > 0. Definieer: r 2 := c 1j, r 1 := c 2j, M 2 := L, M 1 := M. Voor i = 0, 1, 2,... bereken q i, r i, M i door: r i 2 = q i r i 1 + r i met q i, r i Z, 0 r i < r i 1, M i M i 2 q i M i 1 (mod N) (dat wil zeggen van de coëfficienten van M i 2 q i M i 1 wordt de rest bij deling door N genomen). Bewijs het volgende: (i) voor i = 0, 1, 2,... geldt dat de coëfficiënt van x j in M i gelijk aan r i (mod N); (ii) voor i = 0, 1, 2,... geldt dat de oplossingsverzameling van stelsel (*) niet verandert wanneer L, M worden vervangen door M i 1, M i ; (iii) er is een index i zodat de coëfficiënt van x j in M i gelijk is aan 0. Dus door deze procedure kunnen we L, M vervangen door een paar vergelijkingen zodat van minstens één ervan de coëfficiënt van x j gelijk is aan 0. 3

c) Bepaal alle oplossingen van het onderstaande stelsel lineaire congruentievergelijkingen: 2x 1 + 3x 2 + 5x 3 + 6 0 (mod 30) 5x 1 4x 2 2x 3 1 0 (mod 30) 3x 1 15x 2 + 8x 3 + 2 0 (mod 30) 22. Zij n = pq waarbij p, q twee verschillende priemgetallen zijn van orde van grootte 10 150 en zij e Z, e 3. Zij v (Z/nZ) = {a Z : 1 a n 1, ggd(a, n) = 1}. Geef een protocol waarmee A B ervan kan overtuigen dat hij een oplossing kent van x e v (mod n) zonder iets over die oplossing prijs te geven aan B. Maak aannemelijk dat A slechts met heel kleine kans de controles van B kan passeren als hij geen oplossing kent van x e v (mod n). Maak verder aannemelijk dat B uit het protocol geen enkele informatie over x af kan leiden. 23. A en B willen op een eerlijke manier met een dobbelsteen gooien over de telefoon. Daartoe kiezen A en B aselect b 1, b 2 {0, 1, 2, 3, 4, 5} die ze naar elkaar sturen. De uitkomst van het protocol is b b 1 + b 2 (mod 6). In het onderstaande protocol stuurt A een codering s van b 1 naar B waarmee hij b 1 vastlegt maar waarmee hij zijn keuze voor b 1 geheimhoudt voor B. Daarna stuurt B zijn keuze b 2 naar A. 1) B kiest twee verschillende priemgetallen p, q van orde van grootte 10 150 en berekent n = pq. Verder kiest B x 0, x 1, x 2, x 3, x 4, x 5 (Z/nZ) en berekent y i x 2 i (mod n) voor i = 0,..., 5. Neem aan dat y 0,..., y 5 verschillend zijn. B stuurt n, y 0,..., y 5 naar A en houdt p, q, x 0,..., x 5 geheim. 2) A kiest aselect b 1 {0, 1, 2, 3, 4, 5}. A kiest aselect en onafhankelijk van b 1 r (Z/nZ). A berekent s y b1 r 2 (mod n). A stuurt s naar B. 3) B kiest aselect b 2 {0, 1, 2, 3, 4, 5} en stuurt b 2 naar A. 4) A stuurt (b 1, r) naar B. 5) B controleert dat s y b1 r 2 (mod n). 6) B stuurt x 0,..., x 5, p, q naar A. 7) A controleert dat n = pq en dat x 2 i y i (mod n) voor i = 0, 1, 2, 3, 4, 5. 8) A en B berekenen b b 1 + b 2 (mod 6). 4

a) Neem aan dat A niet in staat is getallen van orde van grootte 10 300 te factoriseren. Vat y 0,..., y 5 op als aselect gekozen kwadraatrestklassen modulo n. Laat zien dat A zich met zijn codering s vastlegt op b 1, d.w.z. A is niet in staat bij gegeven s twee paren (b 1, r ), (b 1, r ) te vinden met b 1, b 1 {0, 1, 2, 3, 4, 5}, b 1 b 1 en s y b 1 (r 1) 2 y b (r 1 1 ) 2 (mod n). b) Laat zien dat s geen informatie over b 1 bevat. Preciezer geformuleerd, vat y b1, r, s op als waarden van stochastische grootheden respectievelijk U, R, S op een kansruimte met kansmaat P. Veronderstel dat U uniform verdeeld is op {y 0,..., y 5 }, dat R uniform verdeeld is op (Z/nZ), en dat U en R onderling onafhankelijk zijn, dat wil zeggen P (U = y i ) = 1/6 voor i = 0, 1, 2, 3, 4, 5, P (R = r) = 1/ϕ(n) voor r (Z/nZ), P (U = u, R = r) = P (U = u)p (R = r) voor u {y 0,..., y 5 }, r (Z/nZ). Bewijs dan dat U en S onderling onafhankelijk zijn, d.w.z. P (U = u, S = s) = P (U = u)p (S = s) voor u {y 0,..., y 5 } en voor elke kwadraatrestklasse s (mod n). 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback