В. М. Фомичёв дискретная математика и криптология курс лекций

Вид материала

Курс лекций

Содержание 18.7. Задачи и упражнения 19.4.2. Описание алгоритма 6.1. Периоды последовательностей 6.2. Граф отображения 6.3. Характеристики периодичности преобразования X и периода вектора x 6.4. Полноцикловые преобразования

Подобный материал:

• Курс лекций (28 часов) канд филос наук О. В. Аронсон Курс лекций «Математика и современная, 27.49kb.
• Джеймс А. Дискретная математика и комбинаторика [Текст] / Джеймс А. Андерсон, 42.79kb.
• Темы курсовой работы по дисциплине "дискретная математика" (Приложение к рабочей программе, 128.96kb.
• Рабочая программа дисциплины (модуля) Дискретная математика, 101.32kb.
• Рабочая программа учебной дисциплины «Дискретная математика» Направление подготовки, 139.29kb.
• Примерная программа наименование дисциплины «Дискретная математика» Рекомендуется для, 135.29kb.
• Календарный план учебных занятий по обязательной дисциплине «Дискретная математика, 109.62kb.
• Аннотация программы учебной дисциплины «Дискретная математика и математическая логика, 55.65kb.
• Методические указания к выполнению курсовой работы по дисциплине " Дискретная математика", 254.75kb.
• Программа лекций по курсу «Дискретная математика», 39.52kb.

18.7. Задачи и упражнения

Глава 19. ПРИЛОЖЕНИЯ


19.1. Алгоритм шифрования DES

19.2. Алгоритм ГОСТ 28147-89

19.3. Блочный шифр IDEA

19.4. RIJNDAEL

19.4.1. Математические операции алгоритма

19.4.2. Описание алгоритма

19.4.2.1. Состояния, ключи и число циклов шифрования

19.4.2.2. Цикловое преобразование

19.4.2.3. Ключевое расписание

19.5. Стандарт генерации ключей ANSI Х9.17

19.6. Алгоритм А5/1

19.7. Американский стандарт хэш-функции (SHS)

19.8. Криптосистема RSA

19.9. Шифрсистема Эль Гамаля

19.10. Схема цифровой подписи Эль Гамаля


Словарь терминов

Ответы и решения

Литература


Глава 6. СТРУКТУРА И ПЕРИОДЫ ПРЕОБРАЗОВАНИЙ


Многие криптографические системы используют для шифрования информации псевдослучайные последовательности, генерируемые программным способом. Качество шифрования определяется определёнными свойствами псевдослучайных последовательностей, в частности, их периодами. Так как порождение последовательностей большого периода основано на реализации многократных итераций преобразований, то для криптологии представляет интерес изучение структурных и периодических свойств преобразований конечных множеств.


6.1. Периоды последовательностей


Последовательность элементов множества X назовём последовательностью над X и обозначим X_.

Последовательность X_={x₁,x₂,…,x_i,…} над X называется периодической с предпериодом N и периодом T, если N+1 и T – наименьшие из натуральных чисел, при которых x_i=x_i+T для всех i>N. Заметим, что если для всех i>N в x_i=x_i+, то T/.

Если N=0, то последовательность X_ называется чисто периодической с периодом T.

Утверждение 6.1. Если последовательность Y_={(x_i)} над Y получена с помощью отображения :ХY из периодической последовательности X_={x_i} над Х с предпериодом N и периодом T, то Y_ - периодическая с предпериодом N’ и периодом T’, где N’N, T’ делит T.

Доказательство. Если x_i=x_i+Т, то и (x_i)=(x_i+Т), следовательно, N’N и T’/T. 

Теорема 6.1. Для последовательностей X_={x_i} и Y_={y_i} над конечной аддитивной группой X, где y_i=x₁+x₂+…+x_i, i=1,2,…, верны утверждения:

1. Если X_ - периодическая с предпериодом N>0 и периодом T, то Y_ – периодическая с предпериодом N-1 и периодом T’, где T’/dT и d есть порядок элемента y_N+T-y_N группы X.

2. Если X_ - чисто периодическая с периодом T, то Y_ – чисто периодическая с периодом T’, где T’/dT и d есть порядок элемента y_T группы X, при этом y_rdT=0 при r=1,2,…

Доказательство. Из соотношения между членами последовательностей X_ и Y_ имеем:


y_i+dT = y_i+x_i+1+x_i+2+…+x_i+dT.


В условиях утверждения 1 в силу периодичности X_ при всех iN выполнено x_i+1+x_i+2+…+x_i+T=y_N+T -y_N, и как следствие


y_i+dT = y_i+d(y_N+T-y_N) = y_i.


Значит, N’<N и T’/dT. Если N’<N-1, то y_N-1+dT=y_N-1 и, следовательно, х_N-1+dT=х_N-1, что противоречит условию.

В условиях утверждения 2 порядок d элемента y_T совпадает при всех i с порядками элементов x_i+1+x_i+2+…+x_i+T. Поэтому при всех i выполнено y_i+dT=y_i, значит T’/dT. При натуральных r имеем


y_rdT = rd(x₁+x₂+…+x_T) = rdy_T = 0. 


Рассмотрим последовательность X_ над X=Х₁…X_п, в которой каждый член состоит из п компонент. Выделим в X_ последовательность (над Х_j) j-х компонент её членов. Обозначим её X^j_ и назовём j-й координатной последовательностью последовательности X_, j=1,2,…,n.

С другой стороны, из последовательностей X_j={x_ij} - над Х_j, j=1,2,…,n, можно образовать последовательность X_={x_i} над Х₁…X_п, где x_i=(x_i1,…,x_in), i=1,2,… Последовательность X_ назовём сопряжением последовательностей Х_1,…,X_п (обозначается X_=Х_1*…*X_п).

Очевидно, любая последовательность X_ над X=Х₁…X_п является сопряжением п координатных последовательностей. Из данных определений следует утверждение.

Утверждение 6.2. Последовательность X_ над X=Х₁…X_п является периодической с предпериодом N и периодом T тогда и только тогда, когда X^j_ – периодическая последовательность с предпериодом N_j и периодом T_j, где N=max{N₁,…,N_n}, T=НОК(T₁,…,T_n).

Теорема 6.2. Если последовательность Y_={(x_i,1,…,x_i,n)} периода T получена с помощью отображения :Х₁…X_пY из периодических последовательностей X_j={x_ij} над Х_j с периодами T_j, j=1,…,n, то T делит НОК(T₁,…,T_n). Если при этом отображение  биективно по всем переменным, то

T  НОК(T₁,…,T_n)/НОД(T₁,…,T_n).


Доказательство. Делимость НОК(T₁,…,T_n) на T следует из утверждений 6.1 и 6.2. Без ущерба для общности докажем нижнюю оценку для п=2.

Пусть T₁=t, T₂=, НОД(t,)=d. Тогда t=pd, =qd, НОК(t,)=pqd, где (p,q)=1.

Предположим, что (x_i,1,x_i,2)=(x_i+T,1,x_i+T,2) для всех i, где T<pq. Так как T/pqd, то при сделанном предположении T=, где /p, /q, /d, причём, равенства =p и =q не выполнены одновременно, иначе было бы Tpq.

Пусть для определённости . Тогда в последовательности Y_ имеют место повторы через каждые  членов, где =qd (так как T/). Следовательно, для всех натуральных i

(x_i,1,x_i,2)=(x_i+,1,x_i+,2).


Так как /, то для всех i верно x_i+,2=x_i,2, и последнее равенство принимает вид:

(x_i,1,x_i,2)=(x_i+,1,x_i,2). (6.1)


По условию (p,q)=1, значит и (,q)=1. Поэтому t не делит , то есть, x_i,1x_i+,1 для некоторых i. Последнее неравенство несовместимо с (6.1) при биективности отображения  по первой переменной. Следовательно, Tpq. 


6.2. Граф отображения


Пусть имеется отображение :XY, где X и Y - конечные множества мощности n и m соответственно, n,m>1. Отображению  поставим в соответствие ориентированный двудольный граф G()=(XY,U), где XY - множество вершин, U - множество дуг, и пара (x,y)U  xX, y=(x)Y. Граф G() называют графом отображения .

Из однозначности отображения  следует, то полустепень исхода любой вершины xX равна 1 и U=X=n. Полустепень захода p_y вершины y графа G() равна числу прообразов элемента y относительно отображения , 0p_yп. При этом =п.

Если  - преобразование п-множества X, то графом преобразования  называют ориентированный граф G()=(X,U) с множеством вершин X и множеством дуг U, где (x,y)U  y=(x).

Полустепень захода p_x равна 1 для всех xX тогда и только тогда, когда  биективно.

Граф G() преобразования  состоит из r компонент связности, 1r<n, каждая из которых представляет собой простой цикл и, в случае небиективного преобразования, возможно, несколько подходов к этому циклу.

Структурными характеристиками графа G() являются число компонент связности, число циклических вершин, число циклов и число подходов к циклам заданной длины и др. Неподвижный элемент преобразования  образует петлю в графе G().

Граф G() биективного преобразования  (подстановки на множестве Х) состоит из r независимых циклов, 1rn. Если k_i - число циклов длины i в графе G(), i{1,2,...,n}, то:


,


где 0k_in. Цикловая структура такого графа записывается в виде набора символов , в котором опускаются все компоненты , для которых k_i=0.

Преобразования  и  множества X называются подобными, если найдётся биективное преобразование  того же множества, при котором  = ^-1.

Отношение подобия на множестве преобразований есть отношение эквивалентности.

Теорема 6.3. Преобразования  и  множества X подобны тогда и только тогда, когда графы G() и G() изоморфны.

Доказательство. Если преобразования  и  множества X подобны, то у=(х) тогда и только тогда, когда (у)=((х)). Следовательно, графы G() и G() изоморфны, так как отличаются лишь переобозначением вершин с помощью подстановки . Обратное утверждение доказывается рассуждениями в обратном порядке. 


6.3. Характеристики периодичности преобразования


Преобразованию  конечного множества X и элементу xX поставим в соответствие последовательность ={ⁱ} i=0,1,2,… над полугруппой всех преобразований множества X и последовательность _х над X:


_х = {ⁱ(х)} i=0,1,2,…


В силу конечности множества X обе последовательности содержат конечное число элементов, при этом если i–й и j–й члены любой из этих последовательностей совпадают, i<j, то совпадают их (i+r)–й и (j+r)–й члены, r=1,2,… Следовательно, обе эти последовательности являются периодическими.

Периодом (предпериодом) элемента x относительно преобразования  называется период (предпериод) последовательности _х. Обозначим их t_x, и п_x, соответственно (или t_x и п_x, если преобразование  фиксировано).

Утверждение 6.3. 1) Если x – циклическая вершина графа G(), то п_x=0 и t_x равен длине цикла, которому принадлежит вершина x.

2) Если x – ациклическая вершина графа G(), то п_x равен длине подхода к циклу в графе G(), начинающегося из вершины x, и t_x равен длине цикла той компоненты связности, которой принадлежит вершина x.

Доказательство. Из определения предпериода п_x следует, что повторы в последовательности _х имеют место лишь для членов с порядковым номером п_x+1 и больше. Следовательно, первые п_x членов не могут быть циклическими вершинами графа G().

Из определения периода t_x следует, что периодический отрезок последовательности _х образует цикл графа G(). 

Периодом (предпериодом) преобразования  называется период (предпериод) последовательности , обозначим их t_ и п_.

Утверждение 6.4. Пусть l₁,l₂, ... ,l_r - все различные длины циклов графа G() преобразования . Тогда


t_ = НОК(l₁,l₂, ... ,l_m).


Если  - обратимое преобразование, то п_=0, в противном случае п_ равен наибольшей из длин подходов к циклам графа G().

Доказательство. Из определения периода преобразования и утверждения 6.3 следует, что


t_=НОК(t_x /xX)=НОК(l₁,l₂, ... ,l_m); п_=max{п_x/xX}. 


Если  биективно, то первые t_ членов последовательности  образуют циклическую группу  порядка t_.

Для периода преобразования  п-множества X и периода вектора xX относительно преобразования  верны оценки:


1t_xп; 1t_п!.


Обе нижние оценки достигаются для тождественного преобразования. Первая верхняя оценка достижима при любом множестве X, вторая достигается лишь при множествах X мощности не более 2.

Пример 6.1. Определим период и цикловую структуру преобразования  множества V₃ регистра правого сдвига с одной обратной связью f(x₁,x₂,x₃) = x₁x₂x₃.

Из следствия 1 теоремы 5.4. имеем, что  – биективное преобразование. Построим независимые циклы графа G(). При построении очередного цикла выбираем в качестве начальной вершины x ту, которая не фигурировала при предыдущих вычислениях, и вычисляем элементы последовательности _х до тех пор, пока впервые не выполнится равенство ^l(x)=x, означающее, что элемент x принадлежит циклу длины l.

В нашем примере вычисления дают следующие результаты:

1) (0,0,0)=(0,0,0), значит t_(0,0,0)=1;

2) (0,0,1)=(1,0,0), (1,0,0)=(1,1,0), (1,1,0)=(0,1,1), (0,1,1)=(0,0,1), значит t_(0,0,1)= t_(1,0,0)= t_(1,1,0)= t_(0,1,1)=4;

3) (0,1,0)=(1,0,1), (1,0,1)=(0,1,0), значит t_(0,1,0)=t_(1,0,1)=2;

4) (1,1,1)=(1,1,1), значит t_(1,1,1)=1.

Таким образом, цикловая структура преобразования  имеет вид (1^[2],2^[1],4^[1]); период t_ преобразования  равен НОК(1,2,4)=4.


6.4. Полноцикловые преобразования


Особый интерес для криптографических приложений представляют преобразования с экстремальными периодическими свойствами.

Преобразование  п-множества называется полноцикловым (п.ц.), если граф G() представляет собой цикл длины п. Всякое п.ц. преобразование  биективно, и t_x,=t_=п для всех xX.

Теорема 6.4. Число различных п.ц. преобразований n-множества равно (n1)!.

Доказательство. Построение полного цикла из элементов n-множества X можно рассматривать как размещение на n свободных позициях окружности всех n различных элементов множества X. Число различных таких размещений равно числу различных перестановок элементов n-множества, то есть, равно п!.

В то же время, перестановки элементов эквивалентны, если отличаются лишь параллельным сдвигом, так как представляют один и тот же цикл преобразования. Следовательно, множество всех построенных циклов разбивается на классы эквивалентных циклов, где в каждом классе содержится по п циклов. Таким образом, число п.ц. преобразований п-множества равно числу неэквивалентных циклов, то есть (п-1)!. 

Пример 6.2. Линейный конгруэнтный генератор (ЛКГ).

Пусть Е_k - кольцо вычетов по модулю k,  - преобразование ЛКГ множества Е_k, если для любого хЕ_k:


(x)=(ax+b)modk,


где a, b и k – константы из Е_k, называемые множителем, сдвигом, и модулем соответственно.

ЛКГ имеет период не более k. Для любых k и x имеются константы a и b, при которых t_=k. Такие генераторы называют ЛКГ полного (или максимального) периода. Приведём без доказательства следующую теорему [61].

Теорема 6.5. Преобразование ЛКГ имеет период k :

1. (b,k)=1;
   
2. a-1 кратно любому простому делителю числа k;
   
3. a-1 кратно 4, если k кратно 4.
   

В частности, если k=2^r, то t_=2^r тогда и только тогда, когда b - нечётное число и а1(mod4).

Теорема 6.6. Биективное преобразование  n-множества X является п.ц. тогда и только тогда, когда для любого отличного от константы отображения :XY, где Y2, отображения  и  различны.

Доказательство. Пусть для п.ц. преобразования  множества X, для любого xX и указанного отображения :


(х)=(х). (6.2)


Тогда для любого натурального t и любого xX:


^t(х) = (х),


а это с учётом полноцикловости преобразования  означает, что отображение  - константа. Имеем противоречие, из которого вытекает, что отображения  и  различны.

Пусть теперь  - неполноцикловое биективное преобразование множества X, и X’ – подмножество множества X, образующее некоторый цикл графа G(). Определим отличное от константы отображение :XY, где Y={y₁,y₂,…}: (х)=y₁ для всех хX’ и (х)=y₂ для всех хX\X’. При таком  для любого xX выполняется равенство (6.2). Следовательно, отображения  и  совпадают. 

Пусть  и  - преобразования множеств Х⁽ⁿ⁾ и Х^(n-1) соответственно, где Х=k и  задано подсистемой системы :


 = {f₁(x₁,x₂,...,x_n-1),...,f_п-1(x₁,x₂,...,x_n-1),f_п(x₁,x₂,...,x_n)},


 = {f₁(x₁,x₂,...,x_n-1),...,f_п-1(x₁,x₂,...,x_n-1)}.


Рассмотрим критерий полноцикловости преобразования . Каждому пути s=(s₁,s₂,…,s_t) в графе G() поставим в соответствие преобразование (s):


(s)=, (6.3)


где для вершины а=(а₁,а₂,…,а_п-1)Х^(n-1) графа G() под f_n(a,x_n) понимается подфункция f_n(а₁,а₂,…,а_п-1,x_n), реализующая преобразование множества Х.

Теорема 6.7. Преобразование  является п.ц. тогда и только тогда, когда  - п.ц. преобразование множества Х^(n-1) и (s) – п.ц. преобразование множества Х, где s - цикл в G().

Доказательство. Покажем корректность формулировки теоремы, ведь при п.ц. преобразовании  в качестве преобразования (s) множества Х может быть рассмотрено k^n-1 различных преобразований в зависимости от начала отсчёта вершин цикла s. Для этого убедимся, что при п.ц. преобразовании  все эти преобразования подобны.

Действительно, если s=(s₁,s₂,…,s_t-1,s_t), s’=(s₂,s₃,…,s_t,s₁), где t=k^n-1, и (s) – п.ц. преобразование множества Х, то из этого следует, что (s) - биективно и в силу (6.3) подфункция f_n(a,x_n) при любом аХ^(n-1) реализует также биективное преобразование. Следовательно, биективно и преобразование (s’) как композиция биективных преобразований, где


(s’) = f_n(s₂,x_n)f_n(s₃,x_n) …f_n(s_t,x_n)f_n(s₁,x_n).


Отсюда и из (6.3) следует подобие преобразований (s) и (s’):


(s’) = f_n(s₁,x_n)^-1f_n(s₁,x_n)(s’) = f_n(s₁,x_n)^-1(s)f_n(s₁,x_n).


То есть, независимо от начала отсчёта вершин цикла s графа G() преобразование (s) является п.ц.

Пусть _х[kⁿ] - отрезок последовательности _х, состоящий из её первых kⁿ членов, хХ⁽ⁿ⁾. Разобьём _х[kⁿ] на k последовательных отрезков _х[kⁿ]₁, …, _х[kⁿ]_k по k^n-1 членов.

Если преобразования  и (s) п.ц., то, судя по первым п-1 координатам, все члены отрезка _х[kⁿ]_i различны в силу полноцикловости преобразования , i=1,2,…k. В то же время, судя по п-й координате, последние члены отрезков _х[kⁿ]₁, …,_х[kⁿ]_k различны в силу полноцикловости преобразования (s). Следовательно, все члены отрезка _х[kⁿ] различны, и  - п.ц. преобразование.

Если  - п.ц. преобразование множества Х⁽ⁿ⁾, то  - п.ц. преобразование множества Х^(n-1), так как в этом случае для периодов t_ и t_ выполняются соотношения:


t_k^n-1, kⁿ=t_  t_k.


Далее, если  и  - п.ц. преобразования множеств Х⁽ⁿ⁾ и Х^(n-1) соответственно, то для периода t_(s) преобразования (s) выполняются равенства:


kⁿ = t_ = t_t_(s) = k^n-1t_(s).


Следовательно, (s) – п.ц. преобразование множества Х. 

Следствие 1. Пусть _i - биективное треугольное преобразование множества Х⁽ⁱ⁾, задаваемое системой координатных функций


_i = {f₁(x₁), f₂(x₁,x₂), ... , f_i(x₁,x₂,...,x_i)}, i=1,2,… (6.4)


Преобразование _п является п.ц. тогда и только тогда, когда для всех i=1,2,…,п преобразования ⁱ(s^i-1) множества Х - п.ц., где при i>1 путь s^i-1= - цикл в графе G(_i-1) и ⁱ(s^i-1) = , ¹(s⁰)=₁=f₁(x₁).

Доказательство. Если преобразование _п множества Х⁽ⁿ⁾ является п.ц., то, применяя п-1 раз прямое утверждение теоремы 6.7 для i=n, n-1,…, 2, получаем, что преобразование _i-1 множества Х^(i-1) и преобразование ⁱ(s^i-1) множества Х также являются п.ц. Следовательно, для i=1,2,…,п преобразования ⁱ(s^i-1) множества Х являются п.ц.

Если для i=1,2,…,п преобразования ⁱ(s^i-1) множества Х являются п.ц., то, применяя п-1 раз обратное утверждение теоремы 6.7 для i=2, 3,…, n, получаем, что из полноцикловости преобразований _i-1 и ⁱ(s^i-1) следует полноцикловость преобразования _i множества Х⁽ⁱ⁾. 

Следствие 2. Пусть в условиях теоремы 6.7  и  - преобразования множеств V_n и V_n-1 соответственно. Преобразование  является п.ц. тогда и только тогда, когда  - п.ц. преобразование множества V_n-1 и


f_п(x₁,x₂,...,x_n)=g(x₁,x₂,...,x_n-1)x_n,


где вес функции g(x₁,x₂,...,x_n-1) нечётен.

Доказательство. В данных условиях (s) есть преобразование множества {0,1}, поэтому если s - цикл в графе G(_п-1), то для любого х{0,1}


(s)(х) = х  = х  .


Очевидно, преобразование (s) п.ц  нечётен. 

Следствие 3. Пусть биективное треугольное преобразование _п множества V_п задано системой функций (6.4), где f_i(x₁,x₂,...,x_i)=g_i(x₁,x₂,...,x_i-1)x_i, i=1,2,…,п, и g₁ =1.

Преобразование _п является п.ц. тогда и только тогда, когда вес каждой из функций g₂,…,g_п нечётен.

Доказательство - индукция по п с использованием следствия 2. 

Известно, что число п.ц. регистров сдвига длины п равно , однако удобные критерии полноцикловости для регистровых преобразований не известны. Приведём принцип «склеивания-расклеивания», позволяющий строить п.ц. двоичные регистры сдвига небольших длин.

Теорема 6.8. Пусть  и  - биективные двоичные регистры сдвига длины n с обратными связями f(x₁,x₂,...,x_n) и f(x₁,x₂,...,x_n) соответственно, где а₂,…,а_п{0,1}. Тогда граф G() отличается от графа G() тем, что либо один цикл графа G() распадается на два цикла графа G(), либо два цикла графа G() объединяются в один цикл графа G().

Доказательство. Так как  и  биективны, то f(x₁,x₂,...,x_n)=x₁g(x₂,...,x_п). Отсюда следует, что


(0,а₂,…,а_п)=(а₂,…,а_п,g(а₂,…,а_п)),


(1,а₂,…,а_п)=(а₂,…,а_п,g(а₂,…,а_п)1),


(0,а₂,…,а_п)=(а₂,…,а_п,g(а₂,…,а_п)1),


(1,а₂,…,а_п)=(а₂,…,а_п,g(а₂,…,а_п)).


Таким образом, если вершины (0,а₂,…,а_п) и (1,а₂,…,а_п) лежат на одном цикле графа G(), то в графе G() они лежат на разных циклах. И наоборот, если вершины (0,а₂,…,а_п) и (1,а₂,…,а_п) лежат на разных циклах графа G(), то в графе G() они лежат на одном цикле. На остальных вершинах из V_n преобразования  и  совпадают. 

Для построения п.ц. регистрового преобразования из исходного биективного двоичного регистра сдвига путём «склеивания» циклов нужно находить пары соседних по 1-й координате вершин (0,а₂,…,а_п) и (1,а₂,…,а_п), лежащих на разных циклах, и изменять функцию обратной связи посредством добавления конъюнкции . Если граф исходного регистра состоит из r циклов, то для построения п.ц. регистра требуется выполнить r-1 таких шагов.