CC BY
23
УДК 519.7
О РАСШИРЕНИЯХ ОТОБРАЖЕНИЙ, СОХРАНЯЮЩИХ СВОЙСТВО ИДЕНТИФИЦИРУЕМОСТИ1
Л. Н. Андреева
Пусть А = {0,1,...,к — 1}, к ^ 2, п — натуральное число, Q — множество всех отображений д: Ап ^ Ап и для каждого отображения д в Q определены функции д^: Ап ^ А, г = 1, 2,...,п, так, что д(х) = д^х)д2(х)... дп (х) для всех х в Ап, т. е. д = д1д2 ...дга. Пусть также В = {гь г2,... , г|в|} С {1,...,п}, г1 < г2 < ... < г|в| и а [В] = а^ а^2 ... а^в| для любого вектора а = а1а2 ... ап.
Говорят, что отображение д в Q идентифицируется на В, если для любого отображения £ € Q из д[В] = ¿[В] следует д = ¿.
По определению, если отображение д в Q идентифицируется на В, то оно идентифицируется и на любом множестве Б С {1,..., п}, таком, что В С Б.
Построим отображение д: Ага+1 ^ Ага+1 как расширение отображения д следующим образом. Возьмём произвольную функцию а: А ^ А и элемент ] € {1,..., п + 1} \ В и положим д^(х1,...,х^-,...,хга+1) = а(х^), д^(х1,...,х^-,...,хга+1) = = д»(х1,... , х^-1, х^+1,... , хга+1) для всех г = ^. Пусть наконец Б = В и {?'}.
Теорема 1. Отображение д идентифицируется на В, если и только если отображение д идентифицируется на Б. Отображение д не идентифицируется на множестве
{1,...,п + 1} —О}.
Доказательство. Пусть отображение д идентифицируется на В. Предположим, что его расширение д не идентифицируется на Б. Тогда найдётся такое отображение ¿' : Ага+1 ^ Ага+1, что ¿'[Б] = д[Б] и д = ¿', и для £ € Q, полученного из ¿' вычёркиванием ^-й компоненты, будет д[В] = ¿[В] и д = ¿, что противоречит идентифицируемости д на В. Следовательно, д идентифицируется на Б.
Обратно, пусть отображение д идентифицируется на Б. Предположим, что д не идентифицируется на В. Тогда найдётся такое отображение £: Ап ^ Ап, что ¿[В] = = д[В] и д = ¿. Построим расширение ¿' для ¿, положив ¿' = д^-, и как результат получим д[Б] = ¿'[Б] и д = ¿', что противоречит идентифицируемости д на Б. Следовательно, д идентифицируется на В.
Пусть д' — такое расширение отображения д, что д'(х) = а'(х^) = а(х^) = д^(х).
Тогда д1д2... д^-1д^+1... д«+1 = д1 д2... +1... дП+1 и д = g', т.е. отображение д не
идентифицируется на множестве {1,... , п + 1} — {_?'}.■
Пусть далее V С Q есть множество всех инволюций на Ап, т. е. подстановок д: Ап ^ Ап со свойством инволютивности: Ух, у € Ап(д(х) = у ^ д(у) = х). Непосредственно проверяется, что если расширение д инволюции д € V построено с помощью подстановки а: А ^ А, то д € V, т. е. расширение инволюции по подстановке является инволюцией; в этом случае теорема 1 остаётся в силе, если в её формулировке вместо отображений в Q рассматриваются инволюции в V. Таким образом, для любой инволюции д € V можно построить к!(п + 1) различных инволюций, являющихся расширениями инволюции д, сохраняющими свойство идентифицируемости последней.
Эти результаты могут быть использованы в инволюционных схемах разделения секрета [1], когда в множество участников схемы вводится новый участник и требуется,
1 Работа выполнена в рамках реализации ФЦП «Научные и научно-педагогические кадры инновационной России» на 2009-2013 гг. (гос. контракт № П1010).
чтобы неавторизованные множества новой схемы включали в себя неавторизованные множества прежней схемы.
В этой связи, а также в связи с криптоанализом инволюционных шифров [2, 3] представляет интерес следующий тест идентифицируемости произвольной инволюции.
Теорема 2. Инволюция д € V идентифицируется на В, если и только если для любых х и у в Ап, х = у, выполняется д(х)[В] = д(у)[В].
Доказательство. Необходимость. Пусть инволюция д идентифицируется на В. Предположим, что в Ап найдутся такие х и у, что х = у и д(х)[В] = д(у)[В]. Построим инволюцию ¿ € V, ¿ = д, такую, что д(х) = ¿(у) и д(у) = ¿(х), а на остальных элементах в Ап инволюции ¿ и д совпадают. Тогда ¿(у)[В] = д(х)[В] = д(у)[В] = ¿(х)[В]. Имеем ¿[В] = д[В] и ¿ = д, что противоречит идентифицируемости д на В.
Достаточность. Пусть для любых х и у в Ап, где х = у, выполняется д(х)[В] = = д(у)[В]. Предположим, что инволюция д не идентифицируется на В. Тогда в Q найдется инволюция ¿, что ¿ = д и д[В] = ¿[В]. Если же ¿ = д, то в Ап найдутся такие х и у, что х = у, д(х) = ¿(у) и д(у) = ¿(х). Следовательно, д(х)[В] = ¿(х)[В] = д(у)[В] = = ¿(у)[В], что противоречит условию. ■
ЛИТЕРАТУРА
1. Андреева Л. Н. Инволюционные схемы разделения секрета // Вестник Томского госуни-верситета. Приложение. 2007. №23. С. 99.
2. Андреева Л. Н. К криптоанализу шифров инволюциционной подстановки // Вестник Томского госуниверситета. Приложение. 2005. №14. С. 43-44.
3. Андреева Л. Н. К криптоанализу инволютивных шифров с частично известными инволюциями // Вестник Томского госуниверситета. Приложение. 2006. №17. С. 109-112.
УДК 004.056.55
ДОКАЗУЕМО БЕЗОПАСНАЯ ДИНАМИЧЕСКАЯ СХЕМА ГРУППОВОЙ ПОДПИСИ
А. В. Артамонов, П. Н. Васильев, Е. Б. Маховенко
В ряде прикладных задач для защиты сообщений от фальсификации требуется выполнение следующих условий:
— возможности создания электронной цифровой подписи одним лицом от имени группы лиц;
— невозможности идентификации автора такой подписи проверяющей стороной;
— возможности раскрытия автора подписи уполномоченным лицом.
Этим условиям удовлетворяют схемы групповой подписи. В зависимости от решаемой прикладной задачи к ним могут быть предъявлены дополнительные требования:
— возможность добавления новых членов в группу без необходимости изменения открытого ключа группы;
— возможность отзыва права подписи у определенных членов группы.
Анализ современных схем групповой подписи позволил выделить признаки, по которым такие схемы можно классифицировать и сравнивать, а на их основе построить обобщенную классификационную схему схем групповой подписи [1]. По совокупности этих признаков, в частности свойств безопасности, обеспечиваемых схемой, эффективности процедур формирования, проверки и раскрытия подписи, ее длины, а также
