CC BY
31
3. Kleiman E. The XL and XSL attacks on Baby Rijndael // Ms. Thesis. Iowa SU, USA, 2005.
4. Бабенко Л. К., Маро Е. А. Алгебраический анализ упрощенного алгоритма шифрования
Rijndael // Известия ЮФУ. Технические науки. Тематический выпуск «Информационная
безопасность». Таганрог: Изд-во ТТИ ЮФУ, 2009. №11 (100). С. 187-199.
УДК 512.62
ДИОФАНТОВОСТЬ ДИСКРЕТНОГО ЛОГАРИФМА
С. Ю. Ерофеев
Дискретный логарифм является важным математическим понятием в криптографии. Существует множество криптографических протоколов, основанных на трудности его нахождения. Достаточно упомянуть протокол разделения секретного ключа Диффи и Хеллмана, протоколы Масси — Омуры и Эль Гамаля. Многие протоколы аутентификации и цифровые подписи также имеют в основе дискретный логарифм.
Цель данной работы — дать представление дискретного логарифма в Zp как ди-офантова множества, а также выписать явное представление соответствующего дио-фантова многочлена. Тогда проблема нахождения дискретного логарифма будет эквивалентна проблеме нахождения решения диофантова многочлена. Поскольку по знаменитой теореме Ю. В. Матиясевича (решение 10-й проблемы Гильберта) проблема существования решения произвольного диофантова уравнения алгоритмически неразрешима [1-3], указанная задача вычислительно трудна.
Определение 1. Множество S Ç Zn является диофантовым, если существует многочлен D с целыми коэффициентами, такой, что
(ai, ...,an)e S 3xi,... ,xm {D(ai,...,an,xi,... ,xm) = 0}.
Определение 2. Функция f : Zn ^ Z является диофантовой, если ее график Г/ = {(f(bl,... ,bn),bl,... ,bn) : (bl,... ,bn) E dom f} является диофантовым множеством.
Теорема 1. Пусть даны i,p,n E N, p простое. Тогда если следующая система уравнений имеет решение в натуральных числах в оставшихся аргументах, то nk = i (mod p):
x2 — (a2 — 1)y2 = 1,
u2 — (a2 — 1)v2 = 1,
s2 — (b2 — 1)t2 = 1,
v2 2 = rУ2,
b = 1 + 4yo = a + qu, s = x + cu,
< t = k + 4(d — 1)y, y = k + e — 1,
(x — y (a — n) — m)2 = (f — 1)2(2an — n2 — 1)2,
m + g = 2an — n2 — 1,
w = n + h = k + l,
a2 — (w2 — 1)(w — 1)2z2 = 1,
^m = i + pj.
Верно и обратное: если nk' = i (mod p) для некоторого k' E N, то эта система уравнений имеет решение в натуральных числах, причем k = k' (mod p — 1).
Следствие 1. Дискретный логарифм в Zp является диофантовой функцией.
Заметим, что данное представление может быть основанием протоколов разделения ключа, аутентификации, цифровой подписи и т. п. Кроме того, оно может быть использовано с целью организации атаки на дискретный логарифм.
ЛИТЕРАТУРА
1. Матиясевич Ю. В. Диофантовость перечислимых множеств // Докл. АН СССР. 1970.
Т. 191. №2. С. 279-282.
2. Матиясевич Ю. В. Диофантово представление перечислимых предикатов // Изв. АН
СССР. Сер. математ. 1971. №35. С.3-30.
3. Davis M. Hilbert’s Tenth Problem is Unsolvable // Amer. Math. Monthly. 1973. V. 80. No.3.
P. 233-270.
УДК 512.54, 512.62, 519.7
ПОСТРОЕНИЕ ОДНОСТОРОННИХ ФУНКЦИЙ НА ОСНОВЕ НЕРАЗРЕШИМОСТИ ПРОБЛЕМЫ ЭНДОМОРФНОЙ СВОДИМОСТИ В ГРУППАХ
С. Ю. Ерофеев, В. А. Романьков
Односторонние функции — неотъемлемая часть криптографических схем и протоколов. Теоретически их существование до сих пор не установлено. В работах Л. А. Левина [1, 2] представлена универсальная функция, являющаяся односторонней, если существует хотя бы одна односторонняя функция.
Предлагается схема построения односторонней функции в группе с разрешимой проблемой равенства и неразрешимой проблемой эндоморфной сводимости, а также протокол аутентификации на ее основе.
Говорят, что в эффективно заданной группе G разрешима проблема эндоморфной сводимости, если существует алгоритм, определяющий по любой паре элементов g, f E G, является ли f эндоморфным образом элемента g.
Существование группы G с разрешимой проблемой равенства и неразрешимой проблемой эндоморфной сводимости установлено в работах В. А. Романькова [3, 4]. А именно доказано, что указанным свойством обладают свободные метабелевы группы Mn достаточно большого ранга n и свободные нильпотентные группы Nrc достаточно большого ранга r и ступени нильпотентности с ^ 9.
В общих чертах схема выглядит следующим образом. В группе G выбирается элемент g, эндоморфные значения которого в фиксированной циклической подгруппе (f ) кодируются наборами целых чисел a E Zm. Это позволяет определить функцию p : Zm ^ Z. Свойства группы G позволяют рассматривать p как одностороннюю. Для аутентификации фиксируется открытое значение g E Mn и публикуется значение p(g) для секретного p E End G, p О a E Zm. Сессионная аутентификация заключается в выборе ф E End G и публикации h = ф(р(д)). При ответе «0» объявляется ф и проверяется равенство для p(g). При ответе «1» объявляется p о ф и проверяется равенство для g.
Однако в указанной схеме, предложенной в работе Д. Григорьева и В. Шпиль-райна [5] и основанной на идее В. A. Романькова, имеется существенная слабость.
