Линейные структуры групп подстановок над конечным модулем Текст научной статьи по специальности «Математика»

ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА

2008 Теоретические основы прикладной дискретной математики № 1(1)

УДК 519.7

ЛИНЕЙНЫЕ СТРУКТУРЫ ГРУПП ПОДСТАНОВОК НАД КОНЕЧНЫМ МОДУЛЕМ1

М.А. Пудовкина

Московский инженерно-физический институт (государственный университет)

E-mail: [email protected]

Описание отображений с линейными структурами важно для синтеза и анализа шифрсистем, поскольку нетривиальная линейная структура является слабостью криптографического отображения. В частности, позволяет применить дифференциальный метод криптоанализа или метод гомоморфизмов. В данной работе на групповом языке описаны все биективные отображения над конечным модулем с линейной структурой.

Ключевые слова: линейная структура, модуль, группа подстановок, импримитивная группа, сплетение групп.

Линейная структура отображений (блочных шифрсистем) рассматривалась в работах [1 - 4] и др. Некоторые свойства отображений с линейными структурами приведены, например, в работе [5]. Наличие нетривиальной линейной структуры является слабостью криптографического отображения, в частности позволяет применять метод дифференциального криптоанализа или строить фактор-системы для данной криптографической системы, используя метод гомоморфизмов в явном виде [2] . Таким образом, описание отображений, обладающих линейными структурами, важно для синтеза и анализа шифрсистем.

В данной работе на групповом языке описаны все биективные отображения над конечным модулем с линейной структурой.

Будем придерживаться следующих обозначений: N0 - множество натуральных чисел с нулем, m е N0, m > 2; R - конечное ассоциативное кольцо с единицей; p - простое число; He{GF(pm), Vm(p), Z^m , R-модуль}; a,b = a, a+1, ..., b, a < b; S(X) - симметрическая группа подстановок на множестве X; п, aeS(H); 0 -нулевой элемент H; d(n, ст) = |{aeH|an Ф аст}|; <а> - группа, порожденная элементом aeH\0. Отметим, что поле GF(pm) рассматривается как m-мерное векторное пространство над GF(p).

Напомним (см., например, [5]), что отображение п eS(H) обладает линейной структурой, если в H существует ненулевой элемент а, такой, что (Р + а)п = рп +уа для любого PeH, где уаеЯ\0 - некоторый фиксированный элемент. Элемент а называется линейным транслятором отображения п.

Пусть

Пау = { S(Н) | (в + а)п -вп =Y, Vpe Н}, a, yeH\0,

П№,№ = { S (Н) | (в + а)п-рп sW, Vpe F, Vae W},

где W - произвольный нетривиальный подмодуль R-модуля H. В частности, nW,W = Па,а, где W = <a>. Существование у отображения подмодуля W, для которого nW,W Ф e, можно рассматривать как обобщение понятия линейной структуры. Его наличие может привести, например, к применению метода гомоморфизмов.

Для He {GF(2m), Vm(2)} множества Па,т , nW,W описаны автором в работе [4].

1. Описание множества nW,W

Для произвольного подмодуля W R-модуля H приведем характеризацию множества nW,W на групповом языке.

Теорема 1. Пусть W - произвольный нетривиальный подмодуль R-модуля H, |H| = b, | W| = d. Тогда множество nW,W является импримитивной группой из S(H) с системой импримитивности {P+W|PeH}. Группа nW,W подобна группе Sd ISd-i .

Доказательство. Покажем, что nW,W является группой. Если пь n2enW,W, то для любого aeW из равенств

(Р + а)%1%2 -р711"2 = (рп +а)П2 -(р711 )П2 = рп П2 +а'-рП1П2 =а 'e W

1 Работа выполнена при поддержке гранта Президента РФ НШ №4.2008.10.

следует, что nin2enWiW. Очевидно, что eeПW,W. Осталось доказать, что п :enWiW для любой nenW,W. Если

это не так, то существуют yeH, aeW и подстановка пеП^ такие, что (у + а)п -уп iW. Положим -1

Р = уп . Тогда из равенства

(у + а)п-1 - уП-1 = (рп + а)п-1 - (рп )п-1 = (р + а')™-1 - (рп )п-1 = а' е W

-1 -1

получаем противоречие с предположением, что (у + а)п -уп &W. Значит, nWW - группа.

Для любой подстановки пеП^ равенство (P+Wf = рп + W эквивалентно тому, что п: P+W-^P^+W для каждого PeH. Группа, порождаемая всеми такими подстановками, является импримитивной с системой импримитивности {P+W|PeH} и совпадает с группой Sd JSd-\ . Теорема доказана.

В шифраторах обычно используются операции и преобразования над векторным пространством Vm(p), полем Галуа GF(pm) и кольцом вычетов Zpm . В качестве следствий теоремы 1 приведем группу П^

для этих случаев.

Следствие 1. Пусть He {GF(pm), Vm(p)}. Для любого подпространства W<H, dim W = t e {1,m -1}, множество П^ является импримитивной группой из S(H) с системой импримитивности {P+W|PeH}. Группа П^ подобна группе S t jS m-t .

Следствие 2. Пусть W - идеал кольца вычетов 2, | ^ = р, г е {1, т -1}. Тогда множество П^ является импримитивной группой из 5 (2^) с системой импримитивности {р + Ж | Ре 2рГП } . Группа П^ подобна группе Бр, IБрМ-, .

2. Описание множества Па,у

Для произвольного модуля H над кольцом вычетов приведем описание множества Паа.

Теорема 2. Пусть а - произвольный ненулевой элемент Z/-модуля Н, 1Я\ = Ь, 1>2 - произвольное натуральное число, d = |<а>|. Тогда множество Па,а является импримитивной группой из S(H) с системой импримитивности {Р+<а>|РеН}. Группа Па,а подобна группе 2Л IБ^-1ь.

Доказательство. Аналогично теореме 1 показывается, что множество Па,а является группой.

Поскольку (а+Р)л = а+рп для любого элемента РеН, то справедливо равенство (ас + Р)П = а с + рп для любого элемента асе<а>, cеZl, и любого элемента РеН. Значит, (Р+ < а >)п = рп + < а > для любого элемента РеН. Следовательно, группа Па,а имеет систему импримитивности {Р+<а>|РеН}.

Рассмотрим действие группы Па,а на произвольном блоке импримитивности <а>+р. В этом случае рлер+<а>. Пусть рп = аг+р для некоторого элемента arе<a>. Тогда справедливо равенство (ас+Р)п = Р+а(с+г) для любого элемента acе<a>. Таким образом, группа Па,а подобна аддитивной группе кольца вычетов Zd по сложению. Теорема доказана.

В качестве следствий теоремы 2 приведем множество Па,а для Н е {ОГ(рт), Ут (р), 2 т}.

р

m

Следствие 1. Пусть Не {ОГ(рт), Ут(р)}. Для любого ненулевого аеН множество Па,а является импримитивной группой из S(H) с системой импримитивности {Р+<а>|РеН}. Группа Па,а подобна группе ^р ^^рт-1.

Следствие 2. Для любого ненулевого а е 2рГП , |< а >|= р , г е {1, т -1}, множество Па,а является импримитивной группой из 5 {2рМ ) с системой импримитивности |р+ < а >| Р е 2^т } .Группа Па,а подобна группе 2 , IБрт-,.

Для произвольного модуля Н над кольцом вычетов покажем, что множество Пау является правым смежным классом группы Б(Н) по подгруппе Па,а.

Линейные структуры групп подстановок над конечным модулем

27

Утверждение 1. Пусть а, у - произвольные ненулевые элементы 2/-модуля Н, а Ф у, С = |<а>|, |Н\ = Ь, I > 2 - произвольное натуральное число. Тогда

п [(Па,а ) Ь = (2й ^-1Ь ) Й> еСЛИ 1< а >\=\< У >

Па,у |

[0, если |<а>И<у>|, где И - произвольное линейное отображение из Па,т, аА = у.

Доказательство. Для всех РеН, теХг справедливо равенство (аг + Р)П = рп +уг. Если Пау Ф 0 при |<а>| Ф |<у>|, то рп = рп + у^ и уС Ф 0 при т = С, что невозможно. Значит, Па,т = 0 при |<а>| Ф |<у>|.

Если |<а>| = |<у>|, то всегда существует линейное отображение ИеН, такое, что ан = у, и ИеПа,т. Следовательно, Па,т Ф 0.

Рассмотрим теперь случай, когда |<а>| = |<у>|, т.е. Па,т Ф 0. Очевидно, что Па,т п Па,а= 0 при а Ф у. Если уеПау и gе(ПаIа)s, то выполняется равенство (Р + а)5 = (Р + а)™ = (рп +а)4 = рП4 +у , где g = пу для некоторой подстановки леП„_„.

Кроме того, если 5еПа>у, то у-1еПт,а, так как равенство (Р + а)4 = р4 +у влечет (9 + у)5 = 9^ +а, где

е = р4.

Для любых подстановок у1, у2еПа,т из справедливости равенства (Р + а)^-1 =(р41 +у)5-1 = р^-1 +а следует, что у^-1 е Па а . Таким образом, Па,т = Па,аИ.

Из теоремы 2 следует, что Па,а = 2Л I-\ъ . Значит, Па у = (2Л I-\ъ) Ь . Утверждение доказано.

Следствие 1. Пусть а, у - произвольные ненулевые элементы 2/-модуля Н, а Ф у, |<у>| = С, |Н\ = Ь, I > 2 - произвольное натуральное число, С = |<а>|. Тогда

П (Пу,у ) = А (Zd ^ Бс1-1ъ ) ’ если 1<а>Н<У>1,

Па,у 1

[0, если |< а >|ф|< у >|,

где И - произвольное линейное отображение из Пау, аА = у.

Доказательство аналогично доказательству утверждения 1.

Следствие 2. Пусть выполнены условия утверждения 1. Тогда |Пау| = (Ь/d)!• dь ь л , если |<а>| = |<у>|,

и |Пау| = 0, если |<а>| Ф |<у>|.

Следствие 3. Пусть Не{ОР(рт), Ут(р)}. Для любых ненулевых элементов а, уеН множество

Па,у = Па,аИ = (2р ^)М-1)И, где И - произвольное линейное отображение из Па,т. Число подстановок из

Б(Н), обладающих линейным транслятором а, равно (рт -1) • рр • (рт-1!).

Доказательство следует из утверждения 1, следствия 2 из него и того, что |<а>| = |<у>| = р для любых не-

нулевых элементов а, уеН \0.

Следствие 4. Пусть а, у - произвольные ненулевые элементы кольца 2^т , а Ф у, |<а>| = р‘, г е {1, т -1}.

Тогда

п [(Па,а ) = (2р< 1$рт-1 ) К если |< а >|=|< у >|,

П а ,У |

[0, если |< а >|ф|< у >|,

где И - произвольное линейное отображение из Пау, аА = у.

Число подстановок из 5(2^т), обладающих линейным транслятором а, равно

г т — т——К t ■ рт г т— .ч

(Р - Р ) • Р • (Р !).

Доказательство следует из утверждения 1, следствия 2 из него и того, что число элементов уе 2рШ,

1-^1 I г-г / т—1\ т— т-1-1

удовлетворяющих равенству |<у>| = р в 2^ , равно ф(р ) = р -р .

к

Для Не{ОГ(рт), ¥т(р)} покажем, что множества ^П<а.><а.> , где {а1, .„, ак}сЯ\0, к>1, также являют-

/=1

ся сплетениями групп подстановок. Кроме того, подобные группы возникают при описании силовских р-подгрупп группы 5(Н) .

Теорема 3. Пусть Ие{ОГ(рт), Ут(р)}. Для любого подмножества {а1, ..., ак} с Н, к € {1,рт},

к

ё1ш<а1, ..., а^> = г > 1, имеет место равенство П П <а >,<аг- > = Бр I... IБр 15 ,.

г=1 '---V--------'

I

к

Доказательство. Обозначим G(1) = П П <а, >.<* > . Аналогично доказательству теоремы 1 показывается,

/=1

что G(1) является группой.

Предположим, что элементы а1, ..., а(еЯ линейно независимы. Пусть уеЯ\0. Для произвольного множества X = {х1, ..., хг}, г>1, обозначим Х+у = {х1+у, ..., х+у}.

Положим х/0) = у , X® =у+<а1,..., а, > для уе Н, [Х(1)] = (X® | уе Н}, х(2) = у+ < а2,..., а, > для

УЕ X® , [Х(2) ] = {Х.(2)|уе Х«}, ..., Х<'-1) = у+<а, > для уе Х^-2), [Х(^ ] = (Х^уе Х^-2)},

XV} = у для у е X0'-1).

Непересекающиеся множества вида X^, уеН\0, образуют максимальную систему импримитивности группы G(1), а X^ , у е X07-1) - максимальную систему импримитивности группы G(1) при ограничении ее

действия на множество X0j 1, j = 2, t -1.

Для у = 1, г -1 рассмотрим естественный гомоморфизм ф' : G' ^ импримитивной группы Gj с блоками импримитивности X^с Кег ф , = G(/Ч1). Нетрудно убедиться, что 1т ф , = Б([X]) и

G(= G(j+1) jG(. Кроме того, S([X(]) = S m-t при j = 1 и S([X(]) = Sp при j > 2, G(t^ = Sp . Значит,

G(1) = G(2) j -, = G(3) j Sp j S^m-( =... = Sp j... j Sp j Spm-t. Теорема доказана.

Теорема 4. Пусть He{GF{pm), Vm(p)}. Для любого подмножества {аь ..., ак}сЯ, k е {1,рт},

к

dim <аь ..., а^> = t > 1, имеет место равенство Q Па. ,а. = Zp j... j Zp j S m-t.

i=1 '------------*------'

t

Доказательство аналогично доказательству теоремы 3.

Утверждение 2. Пусть W1 - произвольный нетривиальный подмодуль R-модуля H, W1= <ai, ..., а> t > 1, I = W1+a, аeH\W1, |H| = b, |W1| = d1. Пусть также W2 = <а1, ..., а,, а>, |W2| = d2. Тогда множество Цц является импримитивной группой из S(H) с системой импримитивности {P+W2| PeH}. Группа Цу подобна

группе sdi 1 Vd21 Sd-2ib.

Доказательство следует из теоремы 1.

ЛИТЕРАТУРА

1. Evertse J.H. Linear structures in block ciphers // EUROCRYPT '87. Springer Verlag,1987.

2. Chaum D., Evertse J.H. Cryptanalysis of DES with a reduced number of rounds sequences of linear factors in block ciphers // Crypto '85. Springer Verlag, 1985.

3. Meier W., Staffelbach O. Nonlinearity criteria for cryptographic functions // EUROCRYPT’89. Springer Verlag, 1989.

4. Погорелов Б.А., Пудовкина М.А. Линейные структуры групп подстановок векторных пространств // Труды 3-й Меж-дунар. конф. «Проблемы безопасности и противодействия терроризму, 2007». М.: МЦНМО, 2008.

5. Логачев О.А., Cальников А.А., Ященко В.В. Булевы функции в теории кодирования и криптологии. М.: МЦНМО, 2004.