Научная статья на тему 'Анализ нелинейных автоматов с лагом 2 над конечным кольцом'

Анализ нелинейных автоматов с лагом 2 над конечным кольцом Текст научной статьи по специальности «Математика»

CC BY
162
33
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
НЕЛИНЕЙНЫЕ АВТОМАТЫ / КОНЕЧНЫЕ КОЛЬЦА / СИММЕТРИЧНЫЕ ПОТОЧНЫЕ ШИФРЫ / СИСТЕМЫ УРАВНЕНИЙ НАД КОНЕЧНЫМИ КОЛЬЦАМИ / NONLINEAR AUTOMATA / FINITE RINGS / SIMMETRIC STREAM CIPHERS / SYSTEM OF EQUATIONS OVER FINITE RINGS

Аннотация научной статьи по математике, автор научной работы — Скобелев Владимир Владимирович, Скобелев Владимир Геннадиевич

Для обратимых нелинейных одномерных автоматов с лагом 2 над кольцом Zpk = (Zpk, , о) исследована структура автоматного графа, охарактеризованы множества эквивалентных состояний, решены задачи параметрической идентификации и идентификации начального состояния, охарактеризованы множества неподвижных точек отображений, реализуемых инициальными автоматами.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

For invertible one-dimensional automata with delay 2 over the ring Zpk = (Zpk, , ○), the structure of the transition graph is investigated, the sets of equivalent states are characterized, the problems of the parametric identification and of the initial state identification are solved, the sets of fixed points of mappings realized by initial automata are characterized.

Текст научной работы на тему «Анализ нелинейных автоматов с лагом 2 над конечным кольцом»

ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА

2010 Прикладная теория автоматов №1(7)

УДК 518.6+681.3

АНАЛИЗ НЕЛИНЕЙНЫХ АВТОМАТОВ С ЛАГОМ 2 НАД КОНЕЧНЫМ КОЛЬЦОМ

В. В. Скобелев, В. Г. Скобелев

Институт прикладной математики и механики НАН Украины, г. Донецк, Украина

E-mail: [email protected]

Для обратимых нелинейных одномерных автоматов с лагом 2 над кольцом Zpk = (Zpk, ®, о) исследована структура автоматного графа, охарактеризованы множества эквивалентных состояний, решены задачи параметрической идентификации и идентификации начального состояния, охарактеризованы множества неподвижных точек отображений, реализуемых инициальными автоматами.

Ключевые слова: нелинейные автоматы, конечные кольца, симметричные поточные шифры, системы уравнений над конечными кольцами.

Введение

В [1,2] показано, что как с позиции теории автоматов, так и с позиции современной криптографии представляет интерес исследование нелинейных обратимых автоматов над кольцом Zpk = (Zpk, ф, о), где p — простое число, а операции в кольце определены равенствами а ф b = а + b mod pk и а о b = а ■ b mod pk.

Замечание 1. С позиции криптографии интерес исследования обратимых автоматов над конечным кольцом обосновывается тем, что любой такой автомат может рассматриваться в качестве математической модели симметричного поточного шифра.

При фиксации параметров а, b, c,d,e Е Zpk система уравнений

f qt+2 = а ф b о q2+1 ф c о qt ф d о xt+b (t Е z ) (1)

\yt+1 = e о qt+2,

определяет автомат Мура [3] M над кольцом Zpk, для которого переменная xt+i — входной символ в момент t +1, переменная yt+i —выходной символ в момент t + 1, а переменная qt = (qt+i,qt) —состояние автомата M в момент t, t Е Z+. При этом фиксация в автомате M начального состояния q0 = (qi,qo) Е Zpk приводит к инициальному автомату Мура (M, q0), осуществляющему отображение входной полугруппы

Z+k в себя.

pk

Замечание 2. В терминологии, принятой в [4], автомат M, определяемый системой уравнений (1), представляет собой автомат с задержкой.

Целью настоящей работы является исследование множества M всех таких автоматов M, определенных системой уравнений (1), что параметры а, b, c, d, e удовлетворяют условиям: а, с Е Zpk, b Е Zpk\{0}, d, e Е Zpikv, где Zpikv — множество всех обратимых элементов кольца Zpk.

С алгебраической точки зрения инициальный автомат (M, q0) (M Е M, q0 Е Z^k) на каждом такте своего функционирования осуществляет фиксированное преобразование (т. е. сюръективное отображение на себя) множества Zpk, представляющее собой

фиксированное линейное преобразование u = ео v линейной комбинации v = аф в фик-

и фиксированного аффинного преобразования в = а ф й о ж4+1 множества Zрк.

Замечание 3. Первое уравнение системы уравнений (1) представляет собой аналог над кольцом 2рк ряда модельных хаотических отображений, в частности отображения Эно [5]. Отсюда вытекает, что рассмотренный в [1,2, 6] автомат Эно представляет собой специальный случай автомата (1).

Автоматом, обратным автомату М Е М, является автомат Мили

определяет симметричный поточный шифр, секретным ключом которого является упорядоченный набор (а, b, c, d, e, q0) Е Zpk х (Zpk\{0}) х Zpk х (ZpkV)2 х Z^, причем параметры а, b, c, d, e — секретный ключ средней длительности, а начальное состояние q0 = (q1,q0) — секретный сеансовый ключ. Таким образом, для симметричного поточного шифра (3):

1) длина в битах секретного ключа равна 7|"k log p], из которых 5|"k log p] бит представляют секретный ключ средней длительности, а 2|"k logp] бит — секретный сеансовый ключ;

2) мощность множества секретных ключей равна p6k(pk — 1)(1 — p-1)2, мощность

множества секретных ключей средней длительности равна p4k(pk — 1)(1 — p-1)2, а при

каждом фиксированном секретном ключе средней длительности мощность множества

2k

секретных сеансовых ключей равна p .

Замечание 4. Симметричный поточный шифр (3) обладает тем свойством, что в процессе шифрование — расшифрование автоматы M и Minv движутся в пространстве состояний по одной и той же траектории в одном и том же направлении.

1. Структура автоматного графа исследуемой модели

В соответствии с [4,7] считаем, что автоматный граф Gm автомата Мура M Е M —это размеченный орграф с петлями [8], содержащий p2k вершин. Вершины графа Gm отмечены парами (q, у), где q = (q1, q0) Е Zpk; y = e о q1 — выходной символ, вырабатываемый автоматом M при переходе в состояние q (т. е. имеется взаимнооднозначное соответствие между вершинами графа Gm и состояниями автомата M). Из вершины с отметкой (q,y) (q = (q1,q0)) в вершину с отметкой (q,y) (q = (д!, §0)) идет дуга тогда и только тогда, когда §0) = q1 и существует такой входной символ х Е Zpk, что §1 = а ф b о q2 ф cо q0 ф dо х. Эта дуга отмечена множеством всех входных символов, при которых автомат M переходит из состояния q в состояние q.

Замечание 5. Так как M Е M —обратимый автомат Мура, то каждая дуга автоматного графа Gm отмечена единственным входным символом х Е Zpk.

Охарактеризуем структуру автоматного графа Gm (M Е M).

Теорема 1. Любой автомат M Е M является сильно связным автоматом, причем диаметр его автоматного графа Gm равен 2.

сированной квадратичной формы а = b о q2+1 ф c о qt текущего состояния автомата M

о xt+1 © а © b о qt2+1 © c о qt),

где © — операция, обратная операции ф.

Упорядоченная пара

(2)

((M, q0), (Mlnv, q,)) (M Є M, q0 Є Zjk)

(З)

Доказательство. Пусть q = (д1, до) Е 2^ и я = (д1, д) Е —любые состояния автомата М Е М.

Входной символ

Х1 = й-1 о (до 0 а 0 Ь о 0 с о до) (4)

переводит состояние q автомата М Е М в состояние q1 = (д0,д1) Е 2^, а входной символ

Х2 = й-1 о (д1 0 а 0 Ь о д0 0 с о д^ (5)

переводит состояние q1 автомата М Е М в состояние q2 = д. Следовательно, входное слово х1 х2, определяемое равенствами (4) и (5), переводит любое состояние q = (д1 ,д0) Е автомата М Е М в любое состояние q = (д^до) Е 2^, т. е. М Е М —

сильно связный автомат, что и требовалось доказать.

Так как входное слово ж1ж2, определяемое равенствами (4) и (5), переводит любое состояние q = (д1 ,до) Е автомата М Е М в любое состояние <д = (д1, до) Е , то в автоматном графе См (М Е М) расстояние между любыми двумя вершинами не превосходит 2.

Пусть q = (д1, до) Е и <| = (д1, до) Е — такие два состояния автомата М Е М,

что д1 = до.

Входной символ х1 Е 2рк переводит состояние q = (д1,до) Е автомата М в состояние ql = (д2,д1) Е , где

д2 = а ф Ь о д2 ф с о до ф й о хь

Так как д1 = до, то q1 = Ч для любого входного символа х1 Е 2рк. Следовательно, входное слово ж1ж2 Е 2^, определяемое равенствами (4) и (5), является минимальным входным словом, переводящим состояние q = (д1,до) Е автомата М в состояние

Ч = (д1, до) Е 2^ (д1 = д). Это означает, что в автоматном графе См (М Е М) расстояние от вершины с отметкой (я, у) (q = (д1,до) Е , у = е о д1) до вершины с отметкой (я, у) (ч = (д1, Чо) Е 2^, у = е о д1) равно 2, если д1 = до.

Отсюда вытекает, что диаметр автоматного графа См (М Е М) равен 2, что и требовалось доказать. ■

Следствие 1. В автоматном графе См (М Е М) существует петля в вершине с отметкой (я, у) (я = (д1, до) Е , у = е о д1) тогда и только тогда, когда д1 = до. Эта петля отмечена входным символом

X = й-1 о (до 0 а 0 Ь о до 0 с о до). (6)

Доказательство. Автомат М Е М из состояния я = (д1, до) Е 2^ под действием входного символа х Е 2рк переходит в состояние я1 = (д2, д1), где

д2 = а ф Ь о д2 ф с о до ф й о X. (7)

Равенство я = я1 истинно тогда и только тогда, когда д1 = до и д2 = д1 (= до).

Положив д1 = до и д2 = до в равенстве (7), получим, что единственный входной символ х Е 2рк, отмечающий петлю в вершине отметкой ((до,до),е о до) (до е 2рк), определяется равенством (6). ■

Из доказательства теоремы 1 и из следствия 1 непосредственно вытекает, что истинны следующие два следствия.

Следствие 2. В автоматном графе См (М Е М) множество вершин, находящихся на расстоянии 1 от вершины с отметкой (я, у) (я = (д1,до) Е 2^, у = е о д1), состоит из — 1 вершин, отметки которых имеют вид ((д2, д1), е о д2) (д2 е 2рк\{до}), если д1 = до, и из вершин, отметки которых имеют вид ((д2,д1),е о д2) (д2 е 2рк), если

д1 = до.

Следствие 3. В автоматном графе См (М Е М) множество вершин, от которых вершина с отметкой (я, у) (я = (д1,до) Е , у = е о д1) находится на расстоянии 1, состоит из — 1 вершин, отметки которых имеют вид ((до, до), е о до) (до Е 2рк\{до}), если д1 = до, и из вершин, отметки которых имеют вид ((до, до),е о до) (до е 2рк), если д1 = до.

Теорема 2. Для любых двух фиксированных вершин автоматного графа См (М Е М) либо исходящие из них дуги, отмеченные любым входным символом X Е 2рк , ведут в различные вершины графа См, либо исходящие из них дуги, отмеченные любым входным символом х Е 2рк, ведут в одну и ту же вершину графа См.

Доказательство. Предположим, что в автоматном графе См (М Е М) дуги, отмеченные входным символом д (X" Е 2рк), ведут из двух фиксированных вершин с отметками соответственно (я(1),у(1)) (я(1) = (д^^^) Е , у(1) = еод(1)) и (я(2),у(2)) (я(2) = (д(2), до2)) Е 2^, у(2) = е о д(2)) в одну и ту же вершину с отметкой (",")

(" = ("1, "о) Е " = е о д1). Тогда д21} = д2^ (= "1), т.е.

а ф Ь о (д11))2 ф с о до1) ф й о д = а ф Ь о (д12))2 ф с о д^ ф й о д,

и д11} = д12) (= "о^ т.е. я(1) = (до,до1)) и я(2) = (до,до2)).

Следовательно,

а ф Ь о " ф с о д(1) ф й о д = а ф Ь о " ф с о д(2) ф й о д ^

^ а ф Ь о д° ф с о до1) = а ф Ь о до ф с о до2) ^

^ (Ух Е 2рк )(а ф Ь о до ф с о до1) ф й о х = а ф Ь о " ф с о до2) ф й о х).

Последнее утверждение означает, что дуги, отмеченные любым входным символом х Е 2рк, ведут из вершин с отметками (я(1),у(1)) и (я(2) ,у(2)) в вершину с отметкой

(я,у) (я = (дъу =е о дl), где

д1 = а ф Ь о "0 ф с о до1) ф й о х (= а ф Ь о "0 ф с о до2) ф й о х)), что и требовалось доказать. ■

2. Критерий эквивалентности состояний исследуемой модели

Два различных состояния автомата называются близнецами [9], если по любому входному символу они переходят в одно и то же состояние. Из теоремы 2 вытекает, что истинно следующее следствие.

Следствие 4. В любом автомате М Е М любые два состояния я, я Е 2рк (я = я) либо являются близнецами, либо по любому входному символу х Е 2рк переходят в различные состояния автомата М.

Так как М Е М — автомат Мура, то эквивалентны любые состояния-близнецы я, Ч Е 2^ автомата М Е М. Следующая теорема показывает, что понятие «состояния-близнецы» дает возможность полностью охарактеризовать эквивалентные состояния автомата М М .

Теорема 3. Состояния я = (д1,до) Е 2рк и " = (д1,до) Е 2рк (я = я) автомата

М Е М эквивалентны тогда и только тогда, когда либо д1 = "1, а состояния я и я —

близнецы, либо когда д1 = "1, а состояния я и я по любому входному символу переходят в состояния-близнецы.

Доказательство. Пусть я = (дьдо) Е 2рк и я = ("1, до) Е ^ (я = я) —

эквивалентные состояния автомата М Е М.

Под действием входного символа х1 Е 2рк состояния я и я автомата М переходят соответственно в состояния я1 = (д2, д1) и д1 = (д2, д1), где

д2 = а ф Ь о д° ф с о до ф й о х1, (8)

"2 = а ф Ь о д2 ф с о до ф й о хь (9)

Так как я и я — эквивалентные состояния автомата М, то у1 = д1 для любого входного символа х1 Е 2рк. Следовательно,

у1 = "1 ^ е о "2 = е о д2 ^ д = д2 (10)

для любого входного символа х1 Е 2рк.

Из (10) вытекает, что для любого входного символа х1 Е 2рк истинно равенство я1 = Ч1 тогда и только тогда, когда д1 = д1 и, кроме того, для любого входного

символа х1 Е 2рк истинно равенство д2 = д2.

Таким образом, я и я — такие эквивалентные состояния автомата М Е М, что "1 = д1 тогда и только тогда, когда я и я — близнецы, что и требовалось доказать.

Пусть "1 = д1. Тогда я1 и я1 — такие эквивалентные состояния автомата М Е М, что я1 = Ч1. Из равенства д2 = д2 вытекает, что под действием входного символа х2 Е 2рк состояния я1 и я1 автомата М переходят соответственно в состояния я2 = (дз,д2) и

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

д2 = где

дз = а ф Ь о д° ф с о д1 ф й о х2, (11)

дз = а ф Ь о д22 ф с о д1 ф й о х2. (12)

Так как я1 и "1 —эквивалентные состояния автомата М, то у2 = д2 для любого входного символа х2 Е 2рк. Следовательно,

у2 = "2 ^ е о дз = е о дз ^ дз = дз (13)

для любого входного символа х2 Е 2рк.

Из равенства д2 = д2 и из (13) вытекает, что я2 = д2 для любого входного символа х2 Е 2рк, т. е. что состояния я1 и д1 — близнецы, что и требовалось доказать. ■

Из доказательства теоремы 3 вытекает, что истинно следующее следствие. Следствие 5. Если я, я Е (я = я) —неэквивалентные состояния автомата

М Е М, то существует входное слово х1х2 Е 2рк, различающее состояния я и я.

Следствие 6. Состояния я = (д1, до) Е и " = (д1, до) Е (я = ") автомата М Е М эквивалентны тогда и только тогда, когда либо

"1 = дъ

с о (до 0 до) = 0,

либо

дд1 = д1,

Ь о (" 0 д°) ф с о (до 0 до) = 0, (15)

.с о (д1 0 д1) = 0.

Доказательство. Пусть эквивалентные состояния я и яд — близнецы. Тогда д = д1, а из (10) вытекает, что д2 = д2.

Подставив дд1 = д1 и дд2 = д2 в равенства (8) и (9) и вычитая равенство (9) из

равенства (8), получим

с о (до 0 до) = 0,

что и требовалось доказать.

Пусть эквивалентные состояния я и яд не являются близнецами. Тогда дд1 = д1 и, в силу (10), "2 = д2.

Подставив д2 = д2 в равенства (8) и (9) и вычитая равенство (9) из равенства (8), получим

Ь о (" 0 д°) ф с о (до 0 до) = 0.

Из (13) вытекает, что дз = дз. Подставив дз = дз в равенства (11) и (12) и вычитая равенство (12) из равенства (11), получим

с о ("1 0 д1) = 0,

что и требовалось доказать. ■

3. Вспомогательные результаты

Положив в равенствах (14)

"о 0 до = и, (16)

а в равенствах (15)

^ 0 д1 = и,

"1 ф д1 = V, (17)

До 0 до = т,

получим, что для того чтобы охарактеризовать структуру множества состояний, эквивалентных фиксированному состоянию я = (д1, до) Е автомата М Е М, достаточно охарактеризовать структуру множества $1 решений и уравнения

с о и = 0 (18)

и структуру множества $2 решений (и,"У,т) системы уравнений

Ь о и о V ф с о т = 0, с о и = 0.

В соответствии с [1] определим р-тип 'Ц(г) элемента г Е 2рк равенством к, если г = 0

Г19)

tp(z) = <( 0, если z е ; (20)

r (1 ^ r ^ к — 1), если z = 0 (mod pr) и z = 0 (mod pr+1).

Замечание 6. Из (20) вытекает, что множество всех элементов кольца Zpk, р-тип которых равен г (0 ^ г ^ к — 1), представляет собой множество всех тех элементов г Е 2рк, которые единственным образом представимы в виде г = а о рг, где а Е 2

1ПУ

к —г *

Отсюда, в частности, вытекает, что для любых и,г> Е 2рк

■Ц(и о V) = шт{к, ^(и) + ^(-у)}, гр(и ф у) ^ ш1п{гр(и), tp(v)},

причем

гр(и ф у) = 0,

если tp(u) > 0 и ^(у) = 0 Так как М Е М, то

■Ц(Ь) Е {0,1,... , к — 1}, ^(с) Е {0,1,... , к}.

Исследуем структуру множеств $1 и $2 при этих предположениях. Случай 1. Пусть ^(с) = 0, т. е. с Е .

Для уравнения (18) получим

с о и = 0 ^ и = 0 ^ $1 = {0}.

Для системы уравнений (19) получим

(21)

.и = 0,

Ь о и о у ф с о т = 0, с о и = 0, .

с о т = 0,

и = 0,

^ ^ V Е 2рк, ^ $2 = {(0,у, 0)|V Е 2рк}.

т = 0,

(22)

Случай 2. Пусть ^(с) = к, т. е. с = 0.

Для уравнения (18) получим

0 о и = 0 ^ $1 = 2рк. Для системы уравнений (19) получим

(23)

Ь о и о V ф 0 о т 0 о и = 0,

0,

и Е 2рк ,

Ь о и о V = 0, т Е 2рк,

^ $2 = {(и, V, т) Е 2рк |tp(v) ^ к — гр(Ь) — ^р(и)}.

Случай 3. Пусть ^(с) Е {1,... , к — 1}, т. е. с = а о р*р(с), где а Е 2рк— * Для уравнения (18) получим

а о р*р(с) о и = 0 ^ р*р(с) о и = 0 ^

к — ЪР (с) '

к-1

^ $1 = {0}и и № о р11 № Е 2р1к—ц }.

11=Й^р(с)

Рассмотрим систему уравнений (19). Из (25) вытекает, что

$2 = $2 и $2',

(25)

(26)

где $2 — множество решений системы уравнений (19) при и = 0, а $2 —множество решений системы уравнений (19) при условии, что

к-1

и є и № ◦ р |£і є }.

1і=к^р(с)

Отметим, что

52 п 52 = 0.

Найдем множество 52:

Ь о и о V ф а о р*р(с) о ш = 0, а о р*р(с) о и = 0, и = 0,

и = 0,

^ V є

а о р*р(с) о ш = 0,

^ 52 = {(0,г>,ш)|г>,ш є 21рк, 'Ц(ш) ^ к — 'Ц(с)}.

(27)

Найдем множество Б2.

Положим

$2'(£1 ор11) = {(и, V, т) Е $2|и = £1 ор11 (/1 Е {к — гр(с),..., к — 1}; £1 Е 2Т— г1)}.

Так как множества $2'(£1 о р11) (/1 Е {к — tp(с),... , к — 1}; £1 Е 2^—^) попарно не

пересекаются, причем

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

к-1

^2= и и 52'№ ор11 ),

(28)

/і=к їр(с) ^і€^1гЦУ_і рк (1

то для того, чтобы найти множество $2', необходимо и достаточно найти множества

$2'(£1 ор11) (/1 е {к — гр(с),..., к — 1}; £1 Е 2рГ— г1).

Найдем эти множества.

Так как

Ь о и о V ф а о р*р(с) о ш = 0, и = ^1 о рІ!,

и = ^1 о рІ!,

Ь о ^1 о рІ! о V ф а о р*р(с) о ш = 0

(29)

И гр(Ь) є {0,1,..., к — 1}, то Ь = в о р^(ь), где в є

к—Ър(Ь) *

Следовательно, система уравнений (29) имеет вид

и = ^1 о рІ!,

(в о ^1) о р1р(ь)+1! о V ф а о р*р(с) о ш = 0.

Возможны следующие три случая. Случай 3.1. Пусть /1 < 'Ц(с) — ^(Ь).

Замечание 7. Так как /1 ^ к — ^(с), то случай 3.1 имеет место тогда и только тогда, когда ^(с) > 0,5 ■ (к + 'Ц(Ь)).

Представим систему уравнений (30) в следующей эквивалентной форме:

и = £1о р11 ■ (31)

^р(ь)+г1 о (V ф а о (в о £1)-1 о р*р(е)-*р(ь)-11 о т) = 0.

Из второго уравнения системы (31) вытекает, что либо

V ф а о (в о £1)-1 о р*Р(с)-*Р(ь)-11 о т = 0,

либо

V ф а о (в о £1)-1 о р%(с)-%(ь)-11 о т = £2 о р12 (к — гр(Ь) — /1 ^ /2 ^ к — 1, £2 Е 2рТ12). Таким образом, если /1 < tp(c) — Ьр(Ь), то

5'2 (£1 о р1) = {(£1 о р1, 0а о (в о £1) - о р”

Б2 (£1 ор11 ) = {(£1 ор11, 0а о (в о £1) 1 ор*р(с) *р(ь) 11 о т,т)|т Е 2рк}и

к—1

и и и {(£1 ор11, £2 ор12 0 а о (в о £1)-1 орх’р(с)-х’р(ь)-11 о т,т)|£2 Е 12}. (32)

^2=к-^р(Ь)-^1 ад^^рк

Случай 3.2. Пусть /1 = tp(c) — ^(Ь).

Замечание 8. Так как /1 ^ к — ^(с), то случай 3.2 имеет место тогда и только тогда, когда ^(с) ^ 0,5(к + ^(Ь)).

Представим систему уравнений (30) в следующей эквивалентной форме:

и = £1 о р11,

^р%(с) о (V ф а о (в о £1)-1 о т) = 0. Из второго уравнения системы (33) вытекает, что либо

V ф а о (в о £1)-1 о т = 0,

либо

(33)

V ф а о (в о £1) 1 о т = £з о р13 (к — гр(с) ^ /з ^ к — 1, £з Е 2Т— г3).

) 1 о т = £з о р13 Таким образом, если /1 = ^(с) — tp(Ь), то

Б2 (£1 о р11) = {(£1 о р11, 0а о (в о £1) 1 о т, т)|т Е 2р к }и

2

к— 1

1

и и и {(£1 о р11 ,£з о р13 0 а о (в о £1) 1 о т,т)|£з Е г3}.

13=к^р(с)

(34)

Случай 3.3. Пусть ^(с) — tp(Ь) < /1 ^ к — 1. Представим систему уравнений (30) в следующей эквивалентной форме:

“ = £1о р’1 • (ЗМ

р*р(с) о (в о £1 о а 1 о р*р(ь) *р(с)+г1 о V ф т) = 0.

Из второго уравнения системы (35) вытекает, что либо

в о £1 о а-1 о р*р(ь)-*р(с)+11 о V ф т = 0,

либо

в о £1 о а-1 о р*р(ь)-*р(с)+г1 о V ф т = £4 о р14 (к — гр(с) ^ /4 ^ к — 1, £4 Е 2пк1г4).

Таким образом, если 'Ц(с) — tp(Ь) < /1 ^ к — 1, то

$2 (£1 о р11) = {(£1 о р11, V, 0в о £1 о а-1 о р*р(ь)-*р(с)+11 о v)|v Е 2рк}и

к-1 . (36)

и и и {(£1 о р11 ,v,£4 о р14 0 в о £1 о а-1 о р*р(ь)-*р(с)+г1 о v)|£4 Е 2уУг4}.

Ц=к-Ър(с) ^€2р^

4. Структура множеств эквивалентных состояний исследуемой модели

В соответствии с [10] автомат М Е М назовем приведенным, если все его состояния попарно неэквивалентные.

Теорема 4. Автомат М Е М является приведенным автоматом тогда и только тогда, когда с Е 2]".

Доказательство. Из следствия 6 вытекает, что состояния я = (^1,^о) Е 2рк и

Ч = (Чъ Ч0) Е 2рк (я = я) автомата М Е М являются близнецами тогда и только тогда, когда они удовлетворяют равенствам (14).

Пусть с Е 2]". Из (21) вытекает, что уравнение (18) имеет единственное решение и = 0. Подставив это значение и в (16), получим, что Ч0 = 00. Отсюда вытекает, что состояния я = (д1, д0) Е 2^ и <Ч = (Чь Ч0) Е 2^ автомата М Е М удовлетворяют равенствам (14) тогда и только тогда, когда я = я. Следовательно, никакие два различных состояния я и <Ч автомата М Е М не являются близнецами.

Отсюда (в силу теоремы 3) вытекает, что никакие два различных состояния я и я автомата М Е М не являются эквивалентными состояниями, т. е. М Е М —приведенный автомат, что и требовалось доказать.

Пусть с Е 2]". Из (23) и (25) вытекает, что уравнение (18) имеет решение и0 = 0. Подставив это решение в (16), получим Ч0 = 00 ф и0. Так как и0 — решение уравнения (18) и и0 = 0, то я = (д1, д0) Е 2рк и <| = ((д1, д0 ф и0) Е 2рк — различные состояния автомата М Е М, удовлетворяющие равенствам (14), т. е. состояния я и я являются близнецами.

Отсюда (в силу теоремы 3) вытекает, что я и я (я = я) — эквивалентные состояния автомата М Е М, т. е. автомат М Е М не является приведенным автоматом, что и требовалось доказать. ■

Обозначим через М^я множество всех автоматов М Е М, не являющихся приведенными автоматами.

Замечание 9. Так как |М| = р4к(рк — 1)(1 — р-1)2 и |Ммя| = р4к(рк — 1)(1 — р-1^,

то |М^я| ■ |М|-1 = 1 — р-1. Значит, |М^я| ■ |М|-1 -----> 1 , т. е. при р ^ то почти все

р^^

автоматы М Е М не являются приведенными автоматами.

Обозначим через См (я) (я = (?1, ?0) Е 2рк, М Е М^я) множество всех состояний автомата М, эквивалентных состоянию я.

Из теоремы 3 вытекает, что множество См (я) может быть представлено в виде

См(я) = {я}и См(я) и (37)

где С^ (я) —множество всех таких состояний q = (дьдо) Є (до = до), что состоя-

ния q и я — близнецы, а С(^)(я) —множество всех таких состояний я = (®і,qо) Є ^рк (ді = ql), что состояния я и q по любому входному символу переходят в состояния-близнецы.

Из (14), (16), (23) и (25) вытекает, что

См (я) = {я = (5і, до Ф и)|и Є 5Д{0}}, (38)

а из (15), (17), (24)и (26) вытекает, что

С (2) ( )=Г {(®і,®о)|®і = ді & (ql © діДі Ф діДо © до) є 52}, если гр(с) = к;

\{(®і,®о)і®і = ді & (®і © ді, ®і ф ді,Ф) © до) є ^}, если 1 ^ гр(с) ^ к - 1.

Замечание 10. Из (23), (25) и (38) вытекает, что

|СЦ)(я)| = р*'(‘) - 1.

(2)

В то же время из (24), (28), (32), (34) и (36) вытекает, что значение числа |С(/(я)| представляется достаточно громоздкими суммами, вид которых существенно зависит от элемента ді Є ^рк кольца, а также от значений чисел ^(6) и 'Ц(с). В настоящее время авторам не удалось получить простые оценки числа |С(2)(я)|.

5. Задачи идентификации исследуемой модели

Рассмотрим задачу идентификации начального состояния яо = (ді,до) Є ^рк автомата М Є М.

Теорема 5. Для любого автомата М Є М, если экспериментатору известен набор значений параметров (а, 6, с, а, е) Є ^р& х ^рк\{0}) х Zpfc х (^ркУ)2, то:

1) если с Є ^р1]", то для любого входного слова жіж2 Є ^рк начальное состояние яо = (ді, до) Є может быть вычислено по формулам

ді = c-1 о (e-1 о У2 © а © 6 о е-2 о У2 © (1 о Х2),

і / _і і 2 і \ (39)

до = с о (е о уі © а © 6 о д1 © а о хі);

2) если с Є ^рк\^р1]", то множество См(яо) (яо = (ді,до) Є ^рк) всех состояний автомата М, эквивалентных начальному состоянию яо, может быть вычислено по формуле

См (Яо) = П , (40)

Ж1Ж2Є22,

где $Х1Х2 (хіх2 Є ) —множество всех решений (ді, до) системы уравнений

с о ді = е і о у2 © а © 6 о е 2 о у2 © а о х2,

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

с о до = е-і о уі © а © 6 о д2 © а о хі.

(41)

Доказательство. Из системы уравнений (1) вытекает, что

Уі+і = е о (а Ф 6 о д42+і Ф с о д4 ф а о жт) (і Є Z+). (42)

Полагая £ = 0 и 1 в (42), получим, что для любого входного слова Ж1Ж2 € истинны равенства

уі = а о е Ф 6 о е о д2 Ф с о е о до ф а о е о хі, у2 = а о е Ф 6 о е о д| Ф с о е о ді Ф а о е о х2,

уі = а о е Ф 6 о е о д2 Ф с о е о до Ф а о е о хі, у2 = а о е Ф 6 о е-і о у2 Ф с о е о ді Ф а о е о х2,

с о ді = е і о у2 © а © 6 о е 2 о у2 © а о х2

с о до = е-і о уі © а © 6 о д2 © а о хі.

(43)

Если с € 2^, то из (43) вытекает, что истинны равенства (39), что и требовалось доказать.

Если с € \ZpnV, то из (43) и следствия 5 вытекает, что истинны равенства (40),

что и требовалось доказать. ■

Из теоремы 5 вытекает, что истинно следующее следствие.

Следствие 7. Для любого автомата М € М, если экспериментатору известен набор значений параметров (а,Ь, с, ^, е) € х (2рк\{0}) х 2рк х (^рПГ)2, то

1) если с € 2^, то идентификация начального состояния автомата М осуществима посредством простого эксперимента длины 2;

2) если с € 2рк \ZpnV, то идентификация множества всех состояний, эквивалентных начальному состоянию автомата М, осуществима посредством кратного эксперимента

2^ г\

кратности р и высоты 2.

Замечание 11. Если с = 0, то система уравнений (41) принимает вид

е і о у2 © а © 6 о е 2 о у2 © а о х2 = 0, е-і о уі © а © 6 о д2 © а о хі = 0,

е і о у2 © а © 6 о е 2 о у2 © а о х2 = 0,

6 о д2 = е-і о уі © а © а о хі,

где равенство

е і о у2 © а © 6 о е 2 о у2 © а о х2 = 0

22

не содержит переменных и является истинным равенством в кольце Ерк. Следовательно, если с = 0, то для любого входного слова ж1ж2 € множество $Х1Х2 всех решений системы уравнений (41) состоит из всех таких пар (д1,^о), что д0 € 2рк, а д1 является решением квадратного уравнения

Ь о = е-1 о у1 0 а 0 d о х1.

Рассмотрим задачу параметрической идентификации автомата М € М в предположении, что экспериментатор может проводить с автоматом М кратный эксперимент любой кратности.

Возможны следующие два случая.

Случай 1. Начальное состояние q0 = (д1 ,д0) € 2^ автомата М известно экспериментатору.

Возможны следующие два случая.

Случай 1.1. Пусть q0 = (51,50) = (0,0). Полагая £ = 0,1,...,/ (/ ^ 6) в (42) получим, что для любого входного слова х1... х Е 2^ истинны равенства

а о е ф d о е о х1 = у1,

а о е

" 1 о У1 с о У1 ф d о е о Хз = Уз,

а о е ф Ь о е 1 о у1 ф d о е о х2 = У2,

11

Ь о е о у2

(44)

а о е ф Ь о е 1 о у12_1 ф с о уг _ 2 ф d о е о хг = Уг.

Матрица А совместной системы уравнений (44) имеет следующий вид:

А

аое Ьое 1 с dоe

1 0 0 х1 N

1 У12 0 Х2

1 У122 У1 Хз

^1 Уг2_ 1 Уг _ 2 хг У

Найдем такое входное слово х1... Хг Е 2^ заранее неизвестной длины / ^ 4, что матрица А содержит обратимую подматрицу В 4-го порядка. Четыре уравнения системы уравнений (44), определяемые подматрицей В, образуют систему линейных уравнений, имеющую единственное решение:

а о е = а1, Ьое _1 = а2,

с = а3,

dоe = а4.

(45)

Из (44) вытекает, что даже при отсутствии информации об истинном значении набора параметров (а, Ь, с, d, е) Е х (2рк\{0}) х 2рк х (2^)2 решение (45) дает возможность моделировать работу автомата М на любом входном слове х1... Хг Е 2^, / Е М, так как

У1 = «1 У2 = «1 Уз = «1

а4 о х1, «2 о у2 а2 о У2

а4 о х2,

аз о У1 ф «4 о хз,

(46)

Уг = «1 ф «2 о уг _1 ф аз о У1 _ 2 ф «4 о хг.

А так как а4 = dо е Е 2]", то решение (45) дает возможность по любому выходному слову у1 ^ 7771

Х1.. .хг Е .

. Уг Е однозначно вычислить поданное на автомат М входное слово

Случай 1.2. Пусть q0 = (51,50) = (0,0). Полагая £ = 0,1,...,/ (/ ^ 6) в (42) получим, что для любого входного слова х1... х Е истинны равенства

а о е ф Ь о е о 5^ ф с о е о 50 ф d о е о ж1

а о е ф Ь о е-1 о у2 ф с о е о 5: ф d о е о ж2

Ь о е-1 о у2 ф с о у1 ф d о е о Ж3

ае

Уl, У2, Уз,

(47)

а О е ф Ь о е 1 О у12_1 ф С О уг_2 ф й о е О х = уг.

Матрица С совместной системы уравнений (47) имеет следующий вид:

аое Ьое Ьое-1 сое с dоe

1 1 52 0 50 0 Ж1 \

2 1 0 у12 51 0 Ж2

3 1 0 у122 0 У1 Жз

1 \ 1 0 У2-1 0 Уг—2 Жг у

С

Найдем такое входное слово ж1 ... Жг Е 2^ заранее неизвестной длины / ^ 6, что матрица С содержит обратимую подматрицу Д 6-го порядка. Шесть уравнений системы уравнений (47), определяемые подматрицей Д, образуют систему линейных уравнений, имеющую единственное решение:

а о е = в1,

ЬОе = в2,

Ьое-1 = вз, сое = в4,

С = вб,

Дое = вб.

Из (47) вытекает, что даже при отсутствии информации об истинном набора параметров (а, Ь, с, й, е) Е 2рк х (2рк\{0}) х 2рк х (2^)2 решение возможность моделировать работу автомата М на любом входном слове ж1 .

(/ Е М), так как

У1 = в1 Ф в2 о 52 ф в4 о 50 ф вб о Ж1,

У2 = в1 ф вз о у2 ф в4 о 51 ф вб о Ж2,

Уз = в1 ф вз о у2 ф вб о у1 ф вб о Жз,

(48)

значении (48) дает . Жг Е

(49)

уг = в1 ф вз о уг2_1 ф вб о уг_2 ф вб о Жг.

А так как вб = йо е Е 2^, то решение (48) дает возможность по любому выходному слову у1 г

. уг Е однозначно вычислить поданное на автомат М входное слово

Ж1.. .Жг Е .

Замечание 12. Ясно, что равенства (46) представляют собой специальный случай равенств (49). Действительно, если в (49)положить 51 = 50 = 0 и (в силу равенств (45) и (48)) в1 = а1, вз = а2, вб = аз и вб = а4, то получим равенства (46).

_1 е о Ь с dоe

у22 у1

у;2_1 у;_2 X; У

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Случай 2. Начальное состояние qQ = (51,50) Е автомата М не известно экспериментатору.

Отбросив в системе (47) первые два уравнения, получим, что для любого входного слова х1... X; Е 2^ (/ ^ 6) истинны равенства

а о е ф Ь о е-1 о у2 ф с о у1 ф d о е о х3 = уз,

......................................... (50)

а о е ф Ь о е-1 о у,2_1 ф с о у;_2 ф (I о е о X; = у;.

Матрица Е совместной системы уравнений (50) имеет следующий вид:

1 ( 1

Е =

Найдем такое входное слово х1... X; Е 2^ заранее неизвестной длины I ^ 6, что матрица Е содержит обратимую подматрицу Е 4-го порядка. Четыре уравнения системы уравнений (50), определяемые подматрицей Е, образуют систему линейных уравнений, имеющую единственное решение:

а о е = 71,

< Ьое_‘ = 72' (51)

с = 73,

Дое = 74.

Из (50) вытекает, что даже при отсутствии информации об истинном значении набора параметров (а, Ь, с, d, е) Е 2рк х (2р,\{0}) х 2р, х (2^)2 решение (51) дает

возможность при известных значениях у1 и у2 моделировать работу автомата М на финальном отрезке х3 ... X; любого входного слова х1... X; Е 2^ (/ Е М) (/ ^ 3), так как

Уз = 71 ф 72 о у2 ф 7з о У1 ф 74 о Хз,

2

у; = 71 ф 72 о у;_1 ф 7з о у;_2 ф 74 о X;.

А так как 74 = d о е Е 2^, то решение (51) дает возможность по любому выходному слову у1 ... у; Е 2^ однозначно вычислить финальный отрезок жз ... X; Е 2_2 поданного на автомат М входного слова ж1... X; Е 2^.

6. Неподвижные точки исследуемой модели

Неподвижной точкой словарной функции / : X + —— X+ называется любое такое слово и Е X + , что /(и) = и.

Обозначим через $£ха(М, qQ) (М Е М, qQ = (51,50) Е 2^) множество всех неподвижных точек словарной функции /(м,я0) : 2+ — 2+,, реализуемой инициальным автоматом (М, qQ).

Ясно, что

йы(М, qQ) = 0 5ы(М. qQ),

;=1

где 5^(М, qo) —множество всех неподвижных точек длины /.

Так как множества б^^М, q0) (I Е М) попарно не пересекаются, то для исследования структуры множества $£Х^(М, q0) достаточно охарактеризовать общий член последовательности (М, q0)}^eN.

Теорема 6. Для любого автомата М Е М при любом начальном состоянии q0 = (51, 50) Е множество 5^(М, q0) (/ Е М) состоит из всех таких входных слов х1... Хг Е , что (х1, ... , Хг) —решение системы уравнений

(1 0 вб) ° Х1 = в1 0 в2 ° 52 0 в4 ° 50,

(1 0 вб) ° Х2 0 вз ° = в1 0 в4 ° 51,

(1 0 вб) ° Хз 0 вз ° 0 в5 ° Х1 = вl, (52)

(1 0 вб) ° Хг 0 вз ° х2—1 0 в5 ° хг-2 = в1,

где набор значений (в1,... , вб) определен равенствами (48).

Доказательство. Реакцией инициального автомата (М, q0) на входное слово х1... Хг Е ^^(М, q0) является такое выходное слово у1... уг Е , что

У1.. .уг = Х1.. .хг.

Положив уг = хг (г = 1,..., /) в равенствах (49), получим

Х1 = в1 0 в2 ° 52 0 в4 ° 50 0 вб ° Х1,

Х2 = в1 0 вз ° Х2 0 в4 ° 51 0 вб ° Х2,

Хз = в1 0 вз ° х2 0 в5 ° Х1 0 вб ° Хз, ^

Хг = ві 0 вз ° Х2-1 0 вб ° хг-2 0 вб ° Хг,

(1 0 вб) ° Хі = ві 0 в2 ° 52 0 в4 ° 50,

(1 0 вб) ° Х2 0 вз ° хі = ві 0 в4 ° 51,

^ (1 0 вб) ° Хз 0 вз ° х2 0 вб ° Хі = ві,

(1 0 вб) ° Хг 0 вз ° Хг2_і 0 вб ° Хг-2 = ві

что и требовалось доказать. ■

Следствие 8. Для любого автомата М Е М при любом начальном состоянии qo = (51, 50) Е Zpfc, если 1 0 вб Е ^^, то ^^(М, qo)| = 1 для всех I Е N.

Доказательство. Если 1 0 вб Е 2у7, то для всех I Е N система уравнений (52) имеет единственное решение (х1, . . . , Хг), где

Х1 = (1 0 вб)-1 ° (в1 0 в2 ° 52 0 в4 ° 50),

Х2 = (1 0 вб)-1 ° (вз ° Х2 0 в1 0 в4 ° 51),

Хз = (1 0 вб)-1 ° (вз ° Х2 0 в5 ° Х1 0 в1),

Хг = (1 0 вб) і ° 0вз ° Х2—і 0 вб ° Хг-2 0 ві)

что и требовалось доказать.

Следствие 9. Для любого автомата М Е М при любом начальном состоянии qo = (51, 50) Е 2рк, если а Е 2р7, Ър(Ь)>0, Ър(с)>0 и гр(1 0 d ° е)>0, то ^(М, qo) = 0.

Доказательство. Рассмотрим первое уравнение системы уравнений (52):

(1 0 вб) ° Х1 = в1 0 в2 ° 52 0 в4 ° 50. (53)

Так как Ър(1 0 d ° е) > 0, Ър(Ь) > 0 и Ър(с) > 0, то

Ър(1 0 вб) = Ър(1 0 d ° е) > 0,

Ър(в2) = ^р(Ь ° е) > 0, гр(в4) = tp(c ° е) > 0.

А так как а, е Е 2у7, то

Ч(в0 = Ър(а ° е) = 0.

Следовательно, для любых Х1,51,50 Е 2рк

Ър((1 0 вб) ° Х1) > 0, (54)

Ър(в1 0 в2 ° 52 0 в4 ° 50) = 0. (55)

Из (54) и (55) вытекает, что уравнение (53) не имеет решений, т. е.

5(11 (М, сц,) = 0.

А так как

5(Х+1)(М С0) с {их|и Е qo), Х Е ^рк} (1 Е N)),

то

^ (м, Ч0>=0

для всех I Е N.

Отсюда вытекает, что ^^(М, с0) = 0, что и требовалось доказать. ■

Заключение

В работе исследован класс М обратимых нелинейных одномерных автоматов Мура, определенных системой уравнений с лагом 2 над кольцом Zpk, которые на каждом такте своего функционирования осуществляют линейное преобразование линейной комбинации квадратичной формы текущего состояния автомата и аффинного преобразования входного символа. Для исследуемой модели охарактеризованы структура автоматного графа и множества эквивалентных состояний, решены задачи параметрической идентификации и идентификации начального состояния, охарактеризованы множества неподвижных точек отображений, реализуемых инициальными автоматами.

Полученные результаты следующим образом характеризуют симметричный поточный шифр (3).

В п. 6 (следствие 9) выделены значения ключей (а, Ь, с, d, е) средней длительности, при которых отображение /м,Чо) : 2+ ^ 2+ не имеет неподвижных точек. Систематический анализ вариации таких отображений при вариации секретного сеансового ключа с0 Е 2рк является одним из возможных направлений дальнейших исследований.

Если с Е ZpV, то любые сеансовые ключи неэквивалентны (теорема 4), т. е. не возникает задача выбора нового секретного сеансового ключа, неэквивалентного предыдущему секретному сеансовому ключу. Однако, если криптоаналитик располагает секретным ключом средней длительности (a,b, с, d,e), то он без труда идентифицирует секретный сеансовый ключ (теорема 5 и следствие 7). Если же с Е ZpV, то, даже располагая секретным ключом средней длительности (a, b, с, d, e), для идентификации секретного сеансового ключа (с точностью до множества эквивалентных состояний) криптоаналитик вынужден решать совокупность систем квадратных уравнений над

Г7 2 k

кольцом Zpk, полученных посредством кратного эксперимента кратности p и высоты 2 (теорема 5 и следствие 7). Однако при этом возникает задача выбора нового секретного сеансового ключа, неэквивалентного предыдущему секретному сеансовому ключу. Эта задача решается посредством кратного эксперимента кратности не более p2k и высоты не более 2 (теорема 5).

В п. 5 показано, что вычислительная стойкость симметричного поточного шифра (3) полностью определяется сложностью поиска решения (51) (а не сложностью идентификации набора параметров (a, b, с, d, e)). Поэтому вторым из возможных направлений исследований является анализ с позиции криптографии подклассов автоматов, принадлежащих классу M и определяемых четверкой (a о e, boe-1, с, doe) ((a,b, с, d, e) Е Zpk х (Zpk\{0}) x Zpk x (Zpkv)2) элементов кольца Zpk = (Zpk, ®, o).

Третьим возможным направлением исследований является анализ изменения вычислительной стойкости симметричного поточного шифра при сохранении функции переходов и замене линейной функции выхода на нелинейную функцию выхода, а также при переходе к автомату Мили.

ЛИТЕРАТУРА

1. Скобелев В. В., Скобелев В. Г. Анализ шифрсистем. Донецк: ИПММ НАН Украины, 2009. 479 с.

2. Скобелев В. Г. Комбинаторно-алгебраические модели в криптографии // Прикладная дискретная математика. Приложение. 2009. №2. С. 74-114.

3. Глушков В. М. Синтез цифровых автоматов. М.: Физматлит, 1962. 476 с.

4. Трахтенброт Б. А., Барздинь Я. М. Конечные автоматы (поведение и синтез). М.: Наука, 1970. 400 с.

5. Кузнецов С. П. Динамический хаос. М.: Физматлит, 2001. 296 с.

6. Скобелев В. Г., Тубольцева О. В. Шифр на основе отображения Эно // Вестник Томского госуниверситета. Приложение. 2005. №14. С. 74-78.

7. Гилл А. Введение в теорию конечных автоматов. М.: Наука, 1966. 272 с.

8. Bollobas B. Modern graph theory. NY: Springer Verlag, 1998. 394 p.

9. Коршунов А. Д. О перечислении конечных автоматов // Проблемы кибернетики. Вып. 34. М.: Наука, 1978. С. 5-82.

10. Кудрявцев В. Б., Алешин С. В., Подколзин А.С. Введение в теорию конечных автоматов. М.: Наука, 1985. 320 с.

i Надоели баннеры? Вы всегда можете отключить рекламу.