Аналог системы шифрования RSA на платформе m2(Zn) Текст научной статьи по специальности «Математика»

МАТЕМАТИКА

Вестн. Ом. ун-та. 2GG9. № 4. С. 66-73.

УДК 517 А.Н. Агеенко

Омский государственный университет им. Ф. М Достоевского

АНАЛОГ СИСТЕМЫ ШИФРОВАНИЯ КБЛ НА ПЛАТФОРМЕ М2(гп)

Строится аналог системы ЯБА на платформе М£1П). Предлагается улучшенный вариант ЯЕА' системы шифрования ЯЕА', в котором ключ дешифрования определяется не по функции Эйлера р(п), а по периоду мультипликативной группы Ъи .

Ключевые слова: система шифрования, криптосистема, дешифрование.

Введение

RSA - криптосистема, основанная на одном из первых алгоритмов шифрования с открытым ключом. Она была предложена в 1977 г. Роном Ривестом (Rivest), Ади Шамиром (Shamir) и Леном Адельманом (Adelman) и названа по первым буквам фамилий своих создателей. На протяжении уже более 30 лет система RSA остается наиболее популярной среди всех криптосистем с открытым ключом. Дадим её описание.

Алгоритм RSA

Установка. Сначала выбирается два достаточно больших различных простых числа p и q и вычисляется модуль RSA n = pq. Числа p и q - секретные, модуль n открыт. Далее вычисляется функция Эйлера ф(п) = (q-1)(p-1). Значение ф(п) также держится в секрете.

После этого выбирается произвольное число ее N, для которого должно быть выполнено свойство НОД(е, ф(п)) = 1, тогда е е ZV(n)* принадлежит мультипликативной группе ZV(n* кольца вычетов ZV(n) по модулю ф(п) и существует число d е N, такое, что ed = 1 (mod cp(n)). Элемент е называется ключом шифрования и считается открытым, а элемент d называется ключом дешифрования и является секретным.

Шифрование. В качестве платформы шифрования в RSA используется кольцо вычетов Zn. Само шифрование осуществляется по правилу:

c = me (mod n),

где m - единица исходного текста, с - единица шифрованного текста.

Дешифрование. Для дешифрования необходимо знать значение секретного ключа d. Тогда исходный текст можно получить следующим образом:

m = cd = med = m (mod n).

Криптостойкость системы RSA обеспечивается сложностью задачи разложения модуля n на множители. В настоящее время не известно ни одного алгоритма, позволяющего эффективно находить множители p и q в общем случае, однако и не доказано, что его не су-

© А.Н. Агеенко, 2009

ществует. Но если такой алгоритм будет найден, то использование системы RSA сразу прекратится. Поскольку знание множителей p и q позволяет легко вычислить значение функции Эйлера cp(n)=(p-1)(q-1), а, следовательно, по ключу шифрования e можно будет легко восстановить ключ дешифрования d, и система будет полностью раскрыта.

В настоящей работе строится аналог системы RSA на платформе M2(Zn) -

кольце матриц порядка два над кольцом вычетов Zn, где n=pq - произведение различных простых чисел. Для этого вычисляется аналог функции Эйлера Ф(п), равный порядку группы обратимых матриц GL2(Zn) - мультипликативной

группы кольца M^(Zn), и определяется, какие матрицы A є M2 (Zn) могут быть использованы в качестве единиц текста. Устанавливается, что строящаяся система, по крайней мере, так же криптостойка, как и исходная система RSA.

Кроме того, предлагается улучшенный вариант RSA' системы шифрования RSA, в котором ключ дешифрования определяется не по функции Эйлера p(n) , а по периоду мультипликативной группы Zn*. Соответствующий вариант системы предлагается также и для платформы Ms(Zn).

Система RSA на платформе M2(Zn)

Следующий результат является простым обобщением известной Китайской теоремы об остатках.

Лемма 1 (Обобщенная Китайская теорема об остатках). [2] Пусть A1 ,

... , Ak є Mm (Z ) - произвольные целочисленные матрицы порядка m. Предположим, что целые числа ni, ..., nk ^ 2 попарно взаимно просты, то есть для любых i Ф j НОД(пі,п)=1. Тогда система матричных сравнений

X = A1 (mod n1),

X = Ak (mod nk)

всегда имеет решение, т. е. существует целочисленная матрица X, удовлетворяющая системе стравнений. Более того, решением является любая целочисленная матрица Y, сравнимая с X mod N, где

N = П1 • ... • пу, и любое решение системы имеет такой вид.

Пусть выбрано некоторое n=pq -произведение двух различных простых чисел. Рассмотрим кольцо матриц M2(Zn) порядка два над кольцом вычетов ^.

Обозначим через G=GL2(Zn) мультипликативную группу кольца M2(Zn), т. е. группу обратимых матриц порядка два над кольцом вычетов ^.

Для группы G определяются её гомоморфные образы - реплики -Gp=GL2(Zp) и Gq=GL2(Zq).

Пусть Ф(п) =| ОЬ2 (ZИ) | - порядок

группы GL2(Zn), тогда для Ф(п) верно следующее утверждение.

Теорема 2. Пусть задана группа G обратимых матриц порядка два над кольцом вычетов Zn, где п = pq -произведение двух различных простых чисел р и q. Тогда порядок группы G определяется формулой

Ф(п) = пр(п)2 (2(п +1) - р(п)),

где ppn) = (p - 1)(q -1)

значение

функции Эйлера.

Доказательство. Для доказательства теоремы необходимо посчитать количество обратимых матриц порядка два над кольцом вычетов 2П.

Из леммы 1 следует, что матрица А е М 2 (Хп) обратима по модулю п тогда и только тогда, когда её реплики Ар и Ад обратима: по модулям р и q соответственно.

Таким образом, для начала необходимо посчитать количество обратимых матриц порядка два над полями 2р и 2Ч.

Пусть А е М2(2р1) - некоторая матрица порядка два над полем 2р, имеющая вид

(

A=

b Л d

(1)

Определитель матрицы А: йєї(А) =

= аё - Ьс.

Над полем 2р матрица необратима тогда и только тогда, когда её определитель равен 0: (А) = 0.

Рассмотрим все возможные варианты, когда определитель обращается в 0, и

посчитаем количество матриц в каждом случае.

1. Пусть а Ф 0 .

Равенство det(A) = ad - bc = 0 (mod p) эквивалентно ad = bc (mod p).

Поскольку элемент а обратим, то

d = a'lbc (modp).

Этому условию удовлетворяет ровно (p — 1)p2 матриц, так как элементу а можно присвоить p -1 различных значений, не равных 0 , a b и c могут принимать p различных значений.

Всего имеется (p — 1)p3 матриц, удовлетворяющих условию а Ф 0 , следовательно, обратимых матриц над полем Z? в точности

p 3( p — 1) — p 2( p — 1) =

= p 2( p — 1)(p — 1) = p 2( p — 1)2.

2. Пусть a = 0.

Тогда формула для определителя матрицы примет вид det(A) = —bc . В этом случае матрица A обратима тогда и только тогда, когда элемент bc обратим, т. е. bc Ф 0 (mod p) .

Даному условию удовлетворяет p(p — 1)2 матриц, так как элементы b и c могут принимать p —1 различных значений, значение элемента а зафиксировано, а для элемента d существует p различных значений.

Таким образом, общее количество матриц, обратимых над полем Zp, равно

p 2( p — 1)2 + p( p — 1)2 = p( p —1)2( p +1).

Аналогично, количество матриц, обратимых над полем Zq равно

q(q — 1)2(q +1).

Поскольку произвольная матрица A e M2 (Zn) однозначно определяется своими репликами Ap e M 2(Zp ) и Aq e M2 (Zq) и матрица A обратима тогда

и только тогда, когда обратимы обе её реплики, то общее количество матриц, обратимых над Zn, можно вычислить следующим образом

Ф(п) = q(q — 1)2(q +1) • p( p —1)2( p +1) =

= pq • ((p — 1)(q — 1))2 • (p+1)(q+1) =

= n •ф2(п) • (pq + (p + q) +1).

Заметим, что

р(п) = (р -1)^ -1) = pq - (р + q) +1, Следовательно, р + q = pq +1 - (р(п) = п +1 - (р(п).

Тогда формула для Ф(п) принимаем следующий вид

Ф(п) = п -р2(п) ■ (п + (п +1 - р(п)) +1) = = п ■ Р (п) ■ (2(п +1) - р(п)).

Теорема доказана.

Лемма 3. Для произвольной матрицы А порядка два и произвольного числа к >1 верно следующее равенство

Ак = г ■ Ак-1 -/■ Ак-2, где г = & (А), у = det(A).

Доказательство. Рассмотрим произвольную квадратную матрицу А порядка два. Пусть она имеет вид (1).

Посчитаем значение

a

A2 =

b Л

cd

2

a + bc ab + bd ac + cd bc + d2

Из формулы для det(A) выразим bc и подставим в матрицу, получим

a + bc ab + bd

ac + cd bc + d2

A2 =

2

a + ad -y

ab + bd

ac + cd ad -y + d2 ^(a + d)a - у (a + d)b Л (a + d)c (a + d)d - у

Таким образом,

A2 = (a +

v

/

cd = (a + d) A - yE.

Умножая одновременно левую и правую часть это равенства на Ак-2 к > 2 , получаем

где

tk-2

Ау = (а + ё) Ау-1 -уА Лемма доказана.

При построении матричного аналога системы КБЛ в качестве платформы шифрования используется кольцо матриц М2^п), где n=pq - произведение различн^іх простых чисел. Числа р и q по-прежнему держаться в секрете, модуль п открыт. В качестве открытого ключа шифрования берем число є є N е такое, что

2

НОД(e, Ф(п)) = 1, а секретный ключ дешифрования d є N определяем из равенства ed = 1 (mod Ф(п)).

Процессы шифрования и

дешифрования осуществляются так же, как и в RSA с учетом правил матричного умножения.

Далее мы определим, какие матрицы A є M2 (Zn) можно считать единицами текста.

Теорема 4. Рассмотрим аналог системы RSA с модулем n = pq на платформе M2(Zn). Пусть e - открытый ключ шифрования такой, что НОД(e, Ф(п)) = 1, а d - соответствующий ему ключ дешифрования такой, что ed = 1(modФ(n)). Тогда для любой

матрицы A є M2 (Zn), удовлетворяющей одному из следующих двух условий:

(1) A є GL2(Zn),

(2) A £ GL2 (Zn) и след tr(A) матрицы A не равен нулю по модулю p и по модулю q; верно следующее равенство:

Aed = A (modn).

Доказательство. 1. Пусть A є

є GL2 (Zn) . Тогда Aф(n)=1, где Ф(п) -

порядок группы GL2(Zn).

По условию теоремы

ed = 1(modФ(n)), что эквивалентно равенству

ed = 1 + kФ(n).

Следовательно,

Aed = A1+kф(n) = A(A^n) )k = A • 1k = A.

2. Пусть A £ GL2(Zn), т. е. матрица A необратима над кольцом вычетов Zn.

По-прежнему считаем, что матрица A имеет вид (1).

Условие необратимости матрицы над кольцом вычетов Zn означает, что НОД(n,y) Ф1.

Следовательно, возможны три

варианта:

1 y': p,yi q

2. yl p,y\q

3. y: p,y: q

Нужно показать, что если y:p и/или y:q и след матрицы r = a + d не равен О, то Aepd = Ap (modp) и Aed = Aq (modq), где

Ap, Aq - реплики матрицы A. Поскольку

по лемме 1 матрица A однозначно определяется своими репликами, верно следующее равенство:

Aed = A (mod n).

Рассмотрим реплику Ap матрицы A над полем Zp. Пусть у.p, следовательно, Y = 0 (mod p) и матрица A необратима над полем Z?.

Обозначим det(Ap) = Yp =0 .

Будем считать, что ключ шифрования e Ф 1 , так как иначе получаем

тривиальный случай. Тогда к матрице

Aepd можно применить утверждение

леммы 3. С учетом того, что Yp = 0 ,

получаем

Aed = (a + d) Ap—1.

Далее, применим утверждение леммы

3 к матрице, стоящей в правой части и получим

Aepd = (a + d )2 Aepd—2.

Проделываем это до тех пор, пока не получим

Apd = (a + d )ed—1 Ap.

Пусть a + d Ф 0. Покажем, что (a + d )ed—1=1, при условии

ed = 1(modФ(n)).

Поскольку a + d Ф 0 (mod p), то

(a + d) e Z *p, следовательно, (a + d)p—1 = 1.

Так как ed = 1(modФ(n)), это

эквивалентно ed = 1 + k Ф(п). Тогда

(a + d)ed—1 = (a + d)'+kф(n)— = (a + d)kФ(п) .

Расписывая величину Ф(п) согласно теореме 2, получим

(a + d)ed—1) = (a + d)k n( p-1)(q-1)•(2(n+1)-p(n)) =

= ((a + d) p—1 )k •n•(q-1>(2(n+1)-^(n))

Так как (a + d)p—1 =1, получаем

(a + d ) ed —1 = 1k n( q—1) • (2( n+1)—p(n)) = 1

Таким образом,

Aed = (a + d )ed—1 Ap = Ap.

Если a + d = 0, то по лемме 3

Akp =0 V k > 2.

То есть в какую бы степень d не была возведена матрица Aep, e > 2, будет верно следующее равенство Af = 0.

Следовательно, по значению Aep

невозможно восстановить матрицу Ap.

C точки зрения криптографии это означает, что произошла потеря информации, что категорически запрещено.

Аналогичные рассужения верны и для поля Zq.

Теорема доказана.

Криптостойкость

Выявленная зависимость между величиной Ф(п) (порядком группы GL2(Zn)) и значением функции Эйлера ф(п), позволяет сделать вывод о том, что построенный аналог, по крайней мере, так же криптостоек, как и RSA. Таким образом, криптостойкость предложенной системы основана на тех же сложных задачах, что и криптостойкость исходной системы RSA.

Система RSA' на платформах Zn и M2(Zn)

Допустим, рассматривается система шифрования RSA с параметрами: n=pq -открытый модуль, e - открытый ключ, d -секретный ключ. Открытый ключ e є N в системе выбирается произвольно, но только с выполнением условия НОД(e,p(n)) = 1, где p(n) = (p - 1)(q -1) -значение функции Эйлера. Тогда d є N вычисляется как единственное решение 1 < d < p(n) -1 такое, что

ed = 1 (mod p(n)) . Ключ d позволяет расшифровать любой текст c = me (modn).

Если НОД(m, n) = 1, то по теореме Эйлера из равенства

ed = 1 + p(n)k, k є Z получаем равенство

cd = med = m(mp(n))k = m Лк = m (modn).

Если m: p, m: q , то m = 0(mod n) и

равенство med = m = 0 очевидно.

Если m: p, m і q , то d также дешифрует m . Докажем это.

Доказательство [1, с. 99]. Пусть

m = ptm1, где НОД(m1, p) = 1. Тогда для mi

верно m1ed = m1 (mod n) . Остается

проверить справедливость сравнения p ed = p (mod n).

Так как n=pq - произведение различных простых чисел, это сравнение равносильно системе

ped = p (mod p), ped = p (mod q).

Здесь первое сравнение очевидно, а второе следует из того, что p и q -различные простые числа.

Расшифровка конкретного текста

Пусть m e Z* , пусть mt =1 (mod n),

причем t e N - минимальное число с

указанным свойством (порядок | m |= t

элемента m в группе Zn*). Тогда текст me может быть расшифрован ключом d1, таким, что ed1 =1(mod t). Действительно, для некоторого l e N ed1 =1 +1 • l, поэтому

med1 = m(mt )l = m • 1l = m (mod n).

Так как группа Zn* имеет порядок p(n) = (p — 1)(q — 1), то в ней есть элементы порядка t < (р{п) .

Пример.

n = 3-5 = 15, ^(n) = 2-4 = 8, но группа Zie* не циклическая, её элементы имеют порядки 2 или 4.

Зададим такой вопрос: существует ли ключ d' для системы RSA, такой, что d' < d, но в то же время d' дешифрует все возможные тексты?

Ответ.: да, существует. Определение. Периодом группы G называется наименьшее число T, такое,

что gT =1 для любого g e G.

Лемма 5. Период группы Zn*, при n = pq, равен t(n) =НОК(p — 1, q — 1) . Доказательство. Пусть для удобства

Г~¥ *

t = t(n). Докажем, что для любого m e Zn

верно mf =1(mod n). Действительно, так как t:(p — 1), то t = (p — 1)r и mt = m(p—1)r = 1r =1 (mod p), в то же время t :(q — 1), т. е. t = (q — 1)s,

и, соответственно,

m( = m(q 1)s = 1s =1(mod q).

Значит, по НОД (p, q) = 1 получаем,

что mt = 1(mod pq) = 1(mod n).

Наоборот, докажем, что найдется

ry * w

m e Z n , такой, что

| m |=НОК(p — 1, q — 1) = t. Действительно, так как группа Zp* циклическая, в ней есть элемент g порядка | g |= p — 1, т. е.

gp—1 = 1 (mod p), причем p — 1 - минималная степень с

данным свойством.

Аналогично, существует 1 < f < q — 1 с условием

fq—1 =1 (mod q), где q —1 - также минимальная степень с данным свойством.

Рассмотрим систему сравнений

ГX = g (m°d p),

IX = f (mod q),

которая имеет решение X = h (mod pq) = = h (m mod n) по Китайской теореме об остатках.

Порядок t' элемента h в группе Zn* должен делиться на его порядок в группе Zp*, т. е. на p — 1, аналогично t' должен делиться на q — 1, т. е. t' НОК(p — 1, q — 1). Но мы знаем, что t' > t. Поскольку любой элемент в степени t равен 1 (mod n) , в

частности, ht =1 (mod n). Значит в силу минимальности t'= t = НОК(p — 1, q — 1). Лемма доказана.

Замечание 6. Число t(n) (период

группы Zn*) заведомо меньше, чем (p(n).

Доказательство. Действительно, так как p — 1, q — 1:2 , имеем p — 1 =

= 2ap1 .pb , q — 1 = 2bpcl1 ...pC , тогда HOK(p — 1 q — 1) = 2“ax(a,b) pmaX(C1b1) pmax(ci ,bi)

а (p — 1)(q — 1) = 2a+bpb +C1 . pbl+Cl , тогда

a + b строго больше, чем max(a, b) .

Итак, период группы Zn* равен t (n) = НОК (p — 1, q — 1).

При построении системы шифрования RSA' ключ дешифрования d будем

находить по ключу e : НОД(e, p(n)) = 1, из равенства ed = 1 (mod t(n)).

Очевидно, что найденный таким способом ключ d также позволит расшифровать любой текст c = me (modn). И поскольку для вычисления периода группы Zn необходимо знание простых чисел p и q, то можно считать, что системма RSA' так же криптостойка, как и исходная система RSA.

Перейдем к рассмотрению матричного аналога RSA'. Пусть по-прежнему, n = pq - произведение различных простых чисел. Как и ранее, n - открытый модуль, p и q - секретные. Шифрование осуществляется на платформе M2(Zn) -кольцо квадратных матриц порядка два над кольцом вычетов Zn. Секретный ключ e є Z выбирается произвольно, но с выполнением условия НОД (e, Ф(и)) = 1.

Ключ дешифрования, как и в численном случае RSA', будем находить по e в соответствии с правилом

ed = 1(mod T(n)), где T(n) - период мультипликативной

группы GL2(Zn) кольца M2(Zn).

Легко увидеть, что и при таком выборе ключа дешифрования также верна теорема З.

Для того, чтобы обосновать криптостойкость данного варианта системы RSA' необходимо понять, как можно вычислить порядок группы GL2(Zn).

Лемма 7. Пусть а: G ^ H - гомоморфизм группы G на группу H. Тогда порядок j g j любого элемента д конечного порядка группы G делится на порядок его образа а(g) = h є H .

Доказательство. Пусть порядок j g j

элемента g є G равен к, т. е. gk =1 и к -наименьшая степень с таким свойством.

Сначала покажем, что если gk =1, то

hk =1.

Распишем hk , и с учетом того, что

k

g = 1 получим

hk = ak (g) = а( gk ) = 1. (2)

Пусть порядок элемента h в группе H равен t, т. е. t есть наименьшая степень,

для которой ht = 1.

Заметим, что к > ^. Иначе получаем противоречие тому, что ^ - порядок элемента Н в группе Н.

Докажем, что к делится на Ь

Предположим обратное. Пусть к не делится на £ Тогда разделим к на ^ с остатком

к = I -I + г, 0 < г < I.

Еще раз распишем Ик :

ик = и4+г = (И У-иг.

Так как И = 1 и Ик = 1 (из равенства

(2)), то 1 = Ик = Иг.

Следовательно,

Иг =1.

Поскольку г < ^ и И =1, получаем противоречие минимальности ^ как порядка элемента Н в группе Н.

Таким образом, порядок любого элемента д группы О делится на порядок его образа а(g) = И е Н , при гомоморфном отображении группы О на группу Н

Лемма доказана.

Лемма 8. Пусть а .О ^Н - гомоморфизм группы О на группу Н. Пусть ТО - период группы О, ТН - период группы Н. Тогда ТО делится на ТН .

Доказательство. Так как ТО -период группы О, то по определению периода группы для него верно утверждение:

Vg е О, gTo =1. (3)

Следовательно, ТО должен делиться на все возможные порядки элементов группы О и, поскольку период - это наименьшая степень, обладающая свойством (3), то

То = НОК (А, /2, ..., /к), (4)

где /1, /2, ..., /к - все возможные

порядки элементов группы О.

Аналогично,

ТН =НОК(т^ т2, ., тк),

где т1, т2, ..., тк - все возможные

порядки элементов группы Н .

Из леммы 7 следует, что = т1.1 = 1,. к. (5)

Распишем все , т{, ^ по степеням простых чисел

Па- •

р}1] для некоторых а, > 0,

1=1

тЧ в -

т1 = IIР}Ч для некоторых в > 0,

1=1

Г /

^ р I1 для некоторых > 0,

1=1

где {р1} - набор некоторых различных простых чисел, одинаковый для всех /, т1, ^, т. е. если в разложении какого-

либо числа из {/ }[^){т1 >1> 1 } отсутвует некоторое р1, то считаем что соответствующая степень равна нулю.

С учетом данных разложений формулу (4) для нахождения величины ТО можно записать в следующем виде

ПГ тах. л , (а..) р. 1=1,.,к (У).

•=1

Аналогично,

Тн = ПГ1^ в).

•=1

Для того, чтобы ТО делилось на ТН , необходимо, чтобы выполнялось

таХг (а1] ) > таХ1 (ви ), • = 1, ., Г.

Предположим сущетвует • такое, что

тах 1 (аг] ) = аа} < тах 11 ( Д, ) = Ц . (6)

Из равенства (5) следует

а- = +Уг}; 1 = 1, •••, к; • = 1, •••, г.

В частности,

аЫ = А, +Гы.

С учетом неравенства (6)

аЪ] = в, + Гь, > а а- + /Ь] > а1.

Таким образом, получаем аь, > а,, что противоречит максимальности аа,, следо-вательно, тах1 (а,) > тах 1 (в,) для

всех ] = 1, ..., г.

Лемма доказана.

Теорема 9. Рассмотрим группу Оп=ОЬ2(2п) и группы Ор=ОЬ2(2^), О^ОЬг^), Пусть Т - период группы Оп, Тр и Тч -

периоды групп Ор, О? соответственно. Тогда верно следующее равенство

T = НОК(Tp, Tq).

Доказательство. Группы Gp и Gq являются естественными гомоморфными образами группы Gn. Это следует из того, что поля Zp и Zq являются естественными гомоморфными образами кольца вычетов Zn.

Через Ap, Aq будем обозначать реплики матрицы A e Gn.

Рассмотрим величину T e Z и покажем,

что AT = E для всех A e Gn тогда и только тогда, когда T делится на Tp и на Tq .

Необходимость. Пусть AT = E для всех A e Gn, следовательно, либо T

является периодом группы Gn , либо T

кратна периоду группы Gn , т. е.

T = k^G, k = 1,2, ... (7)

n

По лемме 8 период группы Gn делится на период любой группы, являющейся гомоморфным образом группы Gn.

Следовательно, TG делится на Tp и Ta.

n

Тогда из равенства (7) следует, что T также делится на Tp и Tq .

Необходимость доказана. Достаточность. Неоходимо доказать, что если T делится на Tp и Tq, то для

произвольной матрицы A e Gn из системы App = E (mod p),

Г T (8)

AT = E (mod q)

следует, что AT = E(modn).

Так как T T и T T , следовательно,

T = x^Tp для некоторого x e Z, (9)

T = y •Tq для некоторого y e Z. (10)

Вернемся к системе сравнений (8). Возведем первую строку системы в степень x , а вторую - в степень y, получим

ApTp = Ex = E (mod p),

Г

Ayqq = Ey = E (mod q), что эквивалентно

T

Ap = E (mod p),

Г

T

Aq = E (mod q).

Поскольку матрицы Ap e Gp и Aq e Gq являются гомоморфными образами мат-рщы A e Gn, то Arp = (aT )p и Al =(aT )q. Следовательно,

(AT) p = E (mod p),

(AT)q = E (mod q),

тогда по Обобщенной Китайской теореме об остатках получаем

AT = E(mod n).

Так как матрица A e Gn произвольная, то

AT = E для всех A e Gn .

Достаточность доказана.

Поскольку по определению период группы - наименьшая степень для

которой AT = E для всех A e Gn, то для того, чтобы T было периодом группы Gn ,

необходимо и достаточно, чтобы T было наименьшим числом, обладающим свойствами (9)-(10). Следовательно,

T = НОК (Tp, Tq) есть период группы

Gn.

Теорема доказана.

Только что доказанная теорема позволяет сделать вывод о том, что матричный аналог RSA', по крайней мере, так же криптостоек, как и исходная система RSA, поскольку для нахождения периода группы GL2(Zn) необходимо знать разложение открытого модуля n в произведение двух различных простых чисел p и q, а это является сложной задачей1.

ПРИМЕЧАНИЯ

1 Работа выполнена под руководством профессора В.А. Романькова.

ЛИТЕРАТУРА

[1] Романьков В.А. Введение в криптографию: курс лекций. 2-е изд., испр. и доп. Омск: Изд-во Ом. гос. ун-та, 2009.

[2] Гордиенко В.В. Методы построения «тайных входов» в криптографии: дипломная работа. ИМИТ ОмГУ, 2008.