Подстановки, индуцированные разрядно-инъективными преобразованиями модуля над кольцом Галуа Текст научной статьи по специальности «Математика»

2013 Теоретические основы прикладной дискретной математики №4(22)

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ПРИКЛАДНОЙ ДИСКРЕТНОЙ МАТЕМАТИКИ

УДК 519.7

ПОДСТАНОВКИ, ИНДУЦИРОВАННЫЕ РАЗРЯДНОИНЪЕКТИВНЫМИ ПРЕОБРАЗОВАНИЯМИ МОДУЛЯ НАД КОЛЬЦОМ ГАЛУА

А. В. Аборнев

ООО ««Центр сертификационных исследований», г. Москва, Россия E-mail: [email protected]

Для произвольного кольца Галуа R = GR(q2,p2), q = pr, построен большой класс m х 2т-матриц над R, называемых разрядно-инъективными (РИ-матрицами), которым соответствует нелинейная подстановка п на модуле Rm. В качестве криптографической характеристики таких подстановок изучаются свойства множества £п, где £ — регулярное представление группы (Rm, +) в симметрической группе S(Rm). В случаях R = GR(q2,p2), p > 2, m = 1 и R = GR(q2, 4), m > 1 описаны классы разрядно-инъективных матриц с минимально возможным показателем 2-транзитивности множества подстановок £п равным 4. В случае R = Zp2, m = 1 показано также, что группа, порождённая множеством £п, содержит знакопеременную группу подстановок.

Ключевые слова: разрядно-инъективная матрица, РИ-матрица, подстановка, кольцо Галуа.

Введение

Пусть R = GR(q2,p2) — кольцо Галуа с полем вычетов R = R/pR = GF(q), q = pr. В частности, при r = 1 имеем R = Zp2. Подмножество P = r(R) = {a G R : aq = a} называют p-адическим координатным множеством или координатным множеством Тейхмюллера кольца R. Будем называть его также разрядным множеством.

Каждый элемент a G R однозначно представляется в виде

а = а0 + pa\, ai G P, i G {0,1},

называемом p-адическим разложением элемента a. Отображения

Yi: R ^ P, Yi(a) = ai, i G {0,1},

будем называть разрядными функциями в разрядном множестве P, а элементы ai = Yi(a) — p-адическими разрядами элемента a. Алгебра (P, ф, ■) с операцией сложения a ф b = Yo(a + b), a,b G P, является полем.

Понятия p-адического разложения и значения функции Yi естественным образом (поэлементно) распространяются на матрицы A G Rmxm, при этом используется обозначение Ai = y% (A). Так же естественным образом операции ф и ■ распространяются на матрицы и векторы над полем P, при этом операция умножения матриц обозначается через ©.

Назовём матрицу W размеров т х п над кольцом Галуа Я разрядно-инъективной (РИ-матрицей), если любая ненулевая строка а Е Ят однозначно восстанавливается по строке 71 (аW).

Каждой РИ-матрице соответствует эффективно реализуемая нелинейная подстановка на модуле яЯт, определяемая равенством

п(х) = Yl(xW )Z,

где Z = (Е | рЕ)Т — 2т х т-матрица над Я.

В работе построен большой класс РИ-матриц вида

К = и(Е | Е + 20), (1)

где и, О Е Ят,т — обратимые матрицы. Соответствующую матрице К подстановку на модуле Ят обозначим через п.

В качестве криптографического приложения изучается блочный шифр, реализующий подстановки из множества (Еп)к, где Е — регулярная подгруппа группы Б (Ят). Изучаются следующие характеристики, определяющие криптографические свойства данного шифра:

1) показатель 2-транзитивности ^2(Еп) —минимальное к, для которого множество (Еп)к 2-транзитивно;

2) группа, порождаемая множеством подстановок Еп.

В случаях Я = СК(д2,р2), р > 2, т = 1 и Я = СК(д2,4), т > 1 описаны классы РИ-матриц с оптимальным значением показателя 2-транзитивности соответствующего множества подстановок Еп, то есть минимального к Е N для которого множество (Еп)к 2-транзитивно. Для кольца Я = Ър2 и циклической группы Е показано, что

группа (Еп), порождённая множеством Еп, содержит знакопеременную группу под-

становок.

1. Построение разрядно-инъективных матриц

Из определения РИ-матрицы Ктхп следует, что её размеры должны удовлетворять условию п ^ 2т. Профессором А. А. Нечаевым предложен следующий способ построения большого класса РИ-матриц размера т х 2т.

Теорема 1. Если итхт — обратимая матрица над кольцом Я, 0тхт — обратимая матрица над полем Р, то матрица Wmx2m над кольцом Я вида

W = и(Е | Е + р0) = (и | V) (2)

является разрядно-инъективной.

Доказательство. Покажем, что для любой ненулевой строки х Е Ят по строке у, равной

у = 71(^), (3)

можно однозначно восстановить строку х.

Приведём алгоритм восстановления. Подставляя (2) в (3), получаем

у = (71 (хи) | 71 (XV)) = (71 (хоио) 0Х1 © и 0хо © и | 71(хоУо) 0Х1 © Уо 0 хо © VI). (4) Так как ввиду (2) справедливы равенства Уо = ио, У1 = и1 0 ( ио © О), то из (4) имеем

71 (хУ) 0 71 (хи) = хо © ио © О.

Таким образом по строке у однозначно восстанавливается строка хо:

хо = (71 (хУ) 0 71 (хи)) © О-1 © и-1.

После этого по строке у и известным и, х0 однозначно восстанавливается из (4) строка х1: х1 = (71 (хи) 0 71(хоио) 0 х^) © и-1. ■

Расширить класс разрядно-инъективных матриц позволяет

Утверждение 1. Пусть Wmxn — разрядно-инъективная матрица над кольцом Я,

О = diag(c1,... , сп) —диагональная обратимая матрица над полем Р, П — подстановочная матрица размеров п х п. Тогда матрицы К1 и К2, заданные равенствами

К1 = WD, К2 = WП,

являются разрядно-инъективными.

Доказательство. Пусть х = (х1,..., хт) —произвольная ненулевая строка над кольцом Я. Для доказательства утверждения достаточно доказать равенства

71(хО) = 71(х) © О; (5)

71 (хП) = 71 (х) © П. (6)

Рассмотрим г-й элемент кг строки 71 (хО): кг = 71(хгсг). Воспользовавшись свойствами функции 71, получаем

кг = 71(Хг)7о(Сг) = 71 (Хг)Сг = (71 (х) © О),.

Равенство (5) доказано. Равенство (6) очевидно. ■

Следствие 1. Матрица Ктх2т = WDП над кольцом Я (W, О, П определены выше) является разрядно-инъективной.

2. Алгоритм блочного шифрования

Приведём описание криптографического примитива, построенного на основе разрядно-инъективной матрицы:

1) итхт — обратимая матрица над кольцом Я;

2) 0тхт — обратимая матрица над полем Р;

3) К = и(Е | Е + рО) — матрица размера т х 2т над кольцом Я;

4) Z = (Е | рЕ)Т, где Е — единичная матрица размера т х т1;

5) со, с1,..., сп-1 Е Ят — набор раундовых ключей;

6) х = х0 — открытый текст;

7) раундовое преобразование определим равенством п(х) = 71(хК)Z. Тогда преобразование текста на г-м шаге, г Е{0,...,п — 1}, задается формулой

х(г+1) = 71((х(г) + Сг)К )Z = п(х(г) + Сг). (7)

В качестве криптографического примитива рассматривается преобразование открытого текста х путём п-кратного применения преобразований (7).

1 Заметим, что умножение произвольного вектора х = (х' | х") Е Р2т на матрицу Z даёт вектор х' + рх" Е Ят.

3. Криптографические свойства примитива

Пусть Е = (П, •) —регулярное представление группы (Ят, +), |П| = N и подстановка п : Ят ^ Ят задана равенством

п(х) = 71 (хК )Z. (8)

Далее считается, что раундовые ключи Со,... , сп-1 выбираются независимо, случайно и равновероятно. Тогда с помощью описанного выше криптографического примитива нетрудно реализовать подстановки из множества (Еп)к. Свойства данного множества, согласно [1], определяют криптографические характеристики изучаемого примитива.

Показателем 2-транзитивности й2(Еп) называют минимальную степень к, в которой множество (Еп)к является 2-транзитивным. Интерес представляют подстановки с минимальным значением данного параметра. Известно [1, 2], что для произвольной подстановки д Е Б(П) верна оценка ^(Ед) ^ 3. Заметим, что подстановочная матрица Р2(п) не влияет на показатель 2-транзитивности и скорость сходимости последовательности степеней матриц переходных вероятностей биграмм к предельной.

Согласно [1], достаточно рассмотреть матрицу Qп переходов ненулевых разностей биграмм вида

(Qп—1хМ—1 N (^аЬ)а,ЬбДт\0;

где иаъ = |{х Е Ят : п(х + а) — п(х) = Ь}|. Заметим, что для нахождения показателя 2-транзитивности достаточно описать степени матрицы Qп, поскольку ^2(Еп) = к тогда и только тогда, когда QП—1 > 0.

Для оценки элементов иаь матрицы Qп используем

Утверждение 2. Элемент иаь для матрицы Qп равен числу решений системы нелинейных уравнений

Ьо = 71 (аи) 0 71 (хо + 7о(аи)),

1 Ь1 = 7о(аи) © О 0 Ьо 0 71 (х1 + Ьо)

относительно хо, х1 Е Рт.

Доказательство. Для произвольной матрицы К из (1), по определению, элемент иа,ь есть число решений уравнения

Ь = п(у + а) — п(у) = 71 (у К + аК )Z — 71 (у К )Z (9)

относительно у Е Ят.

Пусть у К = (у' | у"), аК = (а' | а"). Пользуясь определением матрицы Z, из (9)

для нулевого и первого разрядов Ьо, Ь1 строки Ь получаем равенства

Ьо = 7о (71 (у' + а' | у'' + а"^ — 71 (у' | у"^) =

= 7о ((71 (у' + а') + Р71(у'' + а'')) — (71(у') + Р71(у'')) =

= 71 (у' + а') 0 71(у') = 71(уо + ао) 0 у1 0 а10 у1;

Ь1 = 71 (71 (у' + а') + Р71(у'' + а'') — 71(у') — Р71(у'')) =

= 7о(у1 0 а1' 0 71(уо; + ао;) 0 у1) 0 71((у1 0 Ьо) — у1).

Окончательно получаем

Ьо = 71(уо + ао) 0 а1>

Ь1 = а1' 0 71(уо; + ао7) 0 71((у1 0 Ьо) — у1).

Заметим, что у' = у о7 и ао = ао;, откуда

Ьо = а1 0 71(уо + ао),

Ь1 = а1 0 а1' 0 Ьо 0 71((у1 0 Ьо) — у1).

Преобразуем второе равенство. Пусть а, Ь Е Г(Я), тогда значение 71((а 0 Ь) — а) можно получить, используя равенство а + Ь = (а 0 Ь) + Р71(а + Ь). Имеем а 0 Ь — а = = Ь—р71(а+Ь), откуда 71((а0Ь) — а) = 71(Ь)071(а+Ь). Заметим также, что а10а'/ = а'оО. Следовательно,

Ьо = а1 0 71(уо + ао),

Ь1 = аоО 0 Ьо 0 71(у1 + Ьо).

Подставим значение а' = аи и сделаем замену х = у' = уи. Получим искомую систему уравнений. ■

Приведём оценку снизу показателя 2-транзитивности ^2(Еп) для класса подстановок п вида (8).

Теорема 2. Пусть п — подстановка на Ят, определённая равенством (8). Тогда ^(Еп) ^ 4.

Доказательство. Достаточно показать, что матрица QП содержит нулевые элементы. Элементы ^ матрицы QП опишем, используя утверждение 2. Заметим, что

^ = “^2 ^ ^аЬ^Ье

N Ьеят

и, согласно утверждению 2, произведение ^аЬ^Ье равно числу решений (хо, х1; уо, у1) Е Е (Рт )4 системы

Ьо = 71 (аи) 0 71 (хо + 7о(аи)),

Ь1 = 7о(аи) © О 0 Ьо 0 71(х1 + Ьо), (10)

со = 71 (Ьи) 0 71 (уо + 7о(Ьи)), ( )

С1 = 7о(Ьи) © О 0 со 0 71 (у 1 + со),

а ^ равно числу решений системы (10) относительно системы независимых переменных (хо, х1; уо, у1; Ьо, Ь1) Е (Рт)6. При этом условие ^ > 0 равносильно совместности системы (10) относительно последнего набора неизвестных.

Покажем, что в матрице QП всегда есть нулевые элементы. Пусть ао = со = 0. Заметим, что 7о(Ьи) = Ьо © ио. Первое и последнее уравнения системы (10) примут вид

Ьо = 71 (аи),

с1 = Ьо © ио © О.

Следствием данной системы является уравнение с1 = а1 © ио2 © О. Пусть а1, с1 Е Рт выбраны так, что последнее равенство не выполняется. Тогда для а = ра1; с = рс1 элемент ^ае^ равен нулю. ■

Далее показано, что в ряде случаев указанная оценка достижима.

4. Примитив над кольцом Я = ОИ,(д2,р2) на основе разрядно-инъективной

матрицы К размера 1 х 2

Пусть Я = ОИ,(д2,р2), Р = Г(Я), д = рг, т = 1, р > 2. В этом случае преобразование одного раунда шифрования будем записывать в виде

п(х) = 71(жм(е | е + рд)^ = 71 (хи) + р(71(жи) 0 Жо«одо), (11)

где и Е Я*; д Е Г(Я).

Заметим, что всегда справедливо включение {71(а + е) 0 71(Ь + е) : а,Ь Е Р} С Р. Следующая теорема описывает кольца Галуа при р > 2, для которых любая нетривиальная РИ-матрица индуцирует 2-транзитивное множество подстановок с минимально возможным показателем 2-транзитивности.

Теорема 3. Пусть для кольца Галуа Я = ОИ,(д2,р2), р > 2, выполнено условие

{71 (а + е) 0 71 (Ь + е) : а, Ь Е Р} = Р. (12)

Тогда для любой подстановки п вида (11) выполнено равенство ^2(Еп) = 4.

Доказательство. Как было замечено в п. 3, достаточно доказать, что QП > 0. Опишем элементы матрицы QП, используя утверждение 2. Заметим, что

(з) 1

— Ъ,с€Я

и, согласно утверждению 2, произведение ^аЪиЪсис] равно числу решений (хо, х1; уо, у1; го,г1) Е Р6 системы

Ьо = 71 (аи) 0 71 (хо + 7о(аи)),

Ь1 = 7о(аи)д 0 Ьо 0 71 (х + Ьо),

со = 71(Ьи) 0 71(уо + 7о(Ьи)), (13)

С1 = 7о(Ьи)д 0 со 0 71 (у1 + со),

^о = 71 (си) 0 71 (го + 7о(си)),

.^1 = 7о(си)д 0 ^о 0 71(21 + ^о),

а ^ равно числу решений системы (13) относительно системы независимых переменных (хо, х1, уо, у1, 2о, г1, Ьо,Ь1,со,с1) Е Р1о. При этом условие > 0 равносильно совместности системы (13) относительно последнего набора неизвестных. Покажем,

(3)

что при условии (12) неравенство ууа] > 0 выполняется при всех а, ^ Е Я \ {0}.

Покажем, что из пятого и шестого уравнений системы (13) можно выразить переменные с1,со соответственно через остальные переменные.

Поскольку т =1, справедливо равенство 71(си) = сои1 0 с1ио, и пятое уравнение системы (13) равносильно уравнению

с1 = (4 0 71(го + соио)) 0 сои1)ио 1. (14)

Заметим, что последнее уравнение системы (13) имеет вид

^1 = Со иод 0 ^о 0 71(2:1 + ^о), откуда со = (^1 0 ^о 0 71(21 + ^о))д—1 и—1.

Преобразуем (13) следующим образом. Заметим, что третье уравнение системы имеет вид

со = Ьои 0 Ь1ио 0 71 (уо + 7о(Ьи)).

Подставив в него выражение для Ь1 из второго уравнения системы (13), получим

со 0 Ьо(ио 0 и1) 0 7о(аиди) = 71 (уо + Ьоио) 0 71(^1 + Ьо)ио.

Подставив выражение для с1 из (14) в четвёртое уравнение системы (13), получим

йо 0 со(ио 0 и1) 0 7о(Ьиди) = 71 (го + соио) 0 71(^1 + со)ио.

Из приведённых рассуждений следует, что система (13) равносильна системе уравнений

71 (Уо + Ьоио) 0 71 (х1 + Ьо)ио = со 0 Ьо(ио 0 и1) 0 7о(аиди),

71 (2о + соио) 0 71 (у1 + со)ио = 4 0 со(ио 0 и1) 0 7о(Ьиди),

Ьо = 71 (аи) 0 71 (хо + 7о(аи)), (15)

со = (^1 0 йо 0 71(21 + йо))д—1и—1, ( )

Ь1 = 7о(аи)д 0 Ьо 0 71 (х1 + Ьо), с1 = (^ 0 71 (2о + соио)) 0 сои1)и—1 и совместна тогда и только тогда, когда совместна система из первых четырёх уравнений системы (15).

Лемма 1. Пусть а Е Я \ {0} — произвольный элемент. Тогда в уравнении

Ьо = 71 (аи) 0 71 (хо + 7о(аи))

найдётся хо Е Р, при котором Ьо = 0.

Доказательство. Для доказательства рассмотрим два случая. Пусть ао = 0, тогда Ьо = 71(аи) = 0, так как а = 0.

Если же ао = 0, то существование искомого хо следует из того, что функция 71 не является константой. ■

Лемма 2. Пусть й Е Я \ {0} —произвольный элемент. Тогда в уравнении

со = (й1 0 йо 0 71 (21 + йо))д 1ио 1

найдётся 21 Е Р, при котором со = 0.

Доказательство. Лемма 2 доказывается аналогично лемме 1. ■

Зафиксируем произвольные а,й Е Я \{0}. По леммам 1 и 2 элементы хо,21 Е Р выберем так, чтобы выполнялось условие Ьо = 0, со = 0.

Нам понадобятся свойства функции переноса 71. Известно [3], что для х, у Е Г(Я) она имеет вид

р—1 1

71 (х + у) = ^ —-— хгуг(р—3) (шоа р).

3=1 3 !(р — 3)!

Данный многочлен является однородным, поэтому при у = 0 верно сравнение

71 (х + у) = у71(х/у + е) (шоа р).

тз / уо / х1 / 2о , у1

В системе (15) сделаем замену переменных уо = -------,х1 = —, 2о = ------,у1 = —.

Ьоио Ьо соио со

Тогда условие ^((]) > 0 выполняется в том и только в том случае, когда для данных

а, й, Ьо, со, хо, 21 существует решение (х1,уо,у', ^о) Е Р4 системы уравнений

Г 71 (уо + е) 0 71 (х1 + е) = (со 0 Ьо(ио 0 и1) 0 7о(аиди))и—1Ь—1, (1б)

\ 71 (го + е) 0 71 (у1 + е) = (йо 0 со(ио 0 и1) 0 7о(Ьиди))и—1с—1. ( )

Если выполнено условие (12), то очевидно, что система (16) совместна. Таким образом, доказано, что все элементы матрицы QП положительны. ■

Замечание. Экспериментально подтверждено, что равенство (12) справедливо для Zp2, где p ^ 283, а также для колец Галуа GR(92, 32), GR(272, 32). Описание колец Галуа, для которых выполнено условие (12), остаётся открытой задачей. Примеров, когда оно не выполняется, не найдено.

Утверждение 3. Пусть p = 3, R = GR(q2,p2). Тогда выполнено (12).

Доказательство. Функция переноса в первый разряд имеет вид

p-i (-l)j .

Yl(x + e) = Y, —:— .

j=1 j

Отсюда 7i(a+e)07i(b+e) = ^^ ^"22 © = 2-1((a © e)20(6 0 e)2). Достаточно

показать, что при любом с Е P уравнение

x2 0 y2 = с (17)

имеет решение в P. Пусть y = x © e. Тогда x2 0 (x 0 e)2 = 2x 0 e, и решением уравне-

,1_, . (с Ф e с 0 e

ния (17) будет пара I - , —

В предположении, что верна S-гипотеза (все конечные простые группы известны [4]), удаётся описать свойства группы (Еп).

Утверждение 4. Пусть верна S-гипотеза, R = Zp2. Если множество Е содержит полный цикл t(x) = x +1 (mod p2), то (Еп) D Ap2.

Доказательство. Из теоремы 3 следует 2-транзитивность группы (Еп). Из справедливости S-гипотезы следует, что все 2-транзитивные группы известны, и поэтому список таких групп в [4, 5] является исчерпывающим. Так как группа (Еп) примарна, то либо она подгруппа аффинной группы, либо содержит знакопеременную.

Однако известно, что t Е AGL(2,p). Тогда, согласно списку 2-транзитивных групп, (Еп) D Ap2. ■

5. Примитив над кольцом R = GR(q2, 4) на основе разрядно-инъективной m х 2т-матрицы

Пусть далее R = GR(q2,4), P = r(R).

Теорема 4. Пусть R = GR(q2,4), P = r(R), m Е N, подстановка п вида (8) выбрана так, что все миноры матрицы U0 отличны от нуля. Тогда ^2(Еп) = 4.

Доказательство. Достаточно доказать, что Qn > 0. Опишем элементы

a d Е Rm матрицы Qn, используя утверждение 2. Заметим, что

(3) 1 v''

Vad = N3 Е vab vbc vcd

N b,c€Rm

и, согласно утверждению 2, произведение ^аь^ьс^са равно числу решений (хо, х1, уо, у1,

2о, 71) Е (Рт)6 системы

Ьо = 71 (аи) 0 71 (хо + 7о(аЦ)),

Ь1 = 7о(аи) © О 0 Ьо 0 71(х1 + Ьо),

со = 71(Ьи) 0 71(уо + 7о(ЬU)), (18)

с1 = 7о(Ьи) © О 0 со 0 71(у1 + со^ во = 71 (си) 0 71 (7о + 7о(си)),

Й1 = 7о(си) © О 0 во 0 71(21 + во),

а *2 равно числу решений системы (18) относительно системы независимых переменных (хо, х1, уо, у1, 2о, 71, Ьо, Ь1, со, с1) Е (Рт)1С1. При этом условие > 0 равносильно совместности системы (18) относительно последнего набора неизвестных. Покажем,

/о)

что при условии теоремы неравенство ^ > 0 выполняется при всех а, в Е Ят \ {0}.

Покажем, что из пятого и шестого уравнений системы (18) можно выразить переменные с1 , со соответственно через остальные переменные.

Из равенства 71(с^) = со © Ц 0 с1 © Цо 0 71(соЦо) следует, что пятое уравнение системы (18) равносильно уравнению

с1 = (во 0 71(2о + со © Цо)) 0 со © Ц 0 71 (соЦо)) © Ц 1. (19)

Заметим, что последнее уравнение системы (18) имеет вид

Й1 = со © Ц © О 0 во 0 71(21 + во),

откуда

со = (в1 0 во 0 71(г1 + во)) © О 1 © Цо 1.

Преобразуем систему (18) следующим образом. Заметим, что третье уравнение системы имеет вид

со = Ьо © Ц1 0 Ь1 © Цо 0 71(ЬоЦо) 0 71(уо + 7о(ЬЦ)).

Подставив в него выражение для Ь1 из второго уравнения, получим

со 0 Ьо © (Ц 0 ^1) 0 7о(аЦОЦ) 0 71(ЬоЦо) = 71 (уо + Ьо © Цо) 0 71 (х1 + Ьо) © Цо. Подставив выражение для с1 из (19) в четвёртое уравнение системы, получим во 0 со © (Ц 0 ^1) 0 7о(ЬЦОЦ) 0 71(соЦо) = 71(2о + со © Цо) 0 71 (у 1 + со) © Цо.

Из приведённых рассуждений следует, что система (18) равносильна системе уравнений

Ч1 (уо+Ьо©Цо)071(х1+Ьо)©Цо = со0Ьо©(Цо0Ц1 )07о(аЦОЦ )071(ЬоЦо),

71 (7о+со©Цо)071(у1+со)©Цо = во0Cо©(Uо0Ul)07о(ЬUОU )071(соЦо),

Ьо = 71 (аЦ) 0 71 (хо + 7о(аЦ)),

со = (в1 0 во 0 71(г1 + во)) © О 1 © Цо Ь1 = 7о(аЦ) © О 0 Ьо 0 71 (х1 + Ьо), с1 = (во 0 71(2о + со © Ц)) 0 со © Ц 0 71(соЦо)) © Ц

(20)

-1

о

и совместна тогда и только тогда, когда совместна система из первых четырёх уравнений системы (20).

Лемма 3. Пусть а Є Ят \ {0} —произвольный вектор. Тогда в уравнении

Ьо = 7і (аи) 0 7і (хо + 70 (аЦ)) найдётся х0 Є Рт, при котором Ь0 = 0.

Доказательство. Для доказательства рассмотрим два случая. Пусть а0 = 0, тогда Ь0 = 71(аи) = 0, так как а = 0.

Если же а0 = 0, то существование искомого х0 следует из того, что функция 71 не является константой. ■

Лемма 4. Пусть в Є Ят \ {0} —произвольный вектор. Тогда в уравнении

l

со = (в1 0 во 0 71(21 + во)) © О © Ц найдётся 21 Е Рт, при котором со = 0.

Доказательство. Лемма 4 доказывается аналогично лемме 3. ■

Зафиксируем произвольные а, в Е Ят \ {0}. По леммам 3 и 4 векторы хо, 21 Е Рт выберем так, чтобы выполнялось условие Ь0 = 0, с0 = 0.

Следовательно, достаточно показать, что для произвольных а, в и произвольных ненулевых Ь0, с0 при условии теоремы система уравнений

f7i(yo+bo °Uo)07i(xi+bo)°Uo = Co0boo(UoеUl)07o(aUGU )07l(boUo), ^7l(zo+CoОUo)07l(yl+Co)ОUo = do0CoО(UoеUl)07o(bUGU )07i(coUo)

(21)

относительно неизвестных (у0, Хі, 70, Уі) совместна.

Поскольку правые части уравнений системы (21) при фиксированных а, в, Ь0, с0 являются постоянными векторами, преобразуем отдельно левые части.

Пусть Ц = (Щу), Ь = (&10),... , Ьт) и У0 = (у(0),... ^т?), Хі = (ж(11),... ,хт). Заметим, что первое уравнение системы (21) равносильно системе уравнений относительно независимых переменных (у

(o)

і

J°) x(1)

, ym , x 1 ,

Xm) Є P с матрицей

m

1Е 4%

i=1

M

V

О

О

О

(o)

b10)sii

b(0)s1 bi s1m

b

(o)

sm1

ь(0) с bm s

m mm

i=1

\

/

Покажем, что если все миноры матрицы U0 ненулевые, то rank M = m при любом ненулевом векторе b0.

Из определения максимально-рассеивающей матрицы U0 G Pm,m следует, что если вектор b0 G Pm имеет вес k, то ||b0U0|| ^ m — k + 1.

Пусть ||b01 = k. Можно считать, что b0 = (b(0),... , &k0), 0,... , 0). Тогда последние m — k столбцов матрицы M ненулевые и все миноры, соответствующие подматрицам, содержащимся в этих столбцах, также ненулевые. Следовательно, ||b0U0|| ^ m — k + 1. Это означает, что

(Е ь‘0)8«,---^ь;

i=i i=i

Получаем, что все строки матрицы M линейно независимы, т. е. rank M = m. Аналогичные рассуждения справедливы и для второго уравнения системы (21).

(3)

Поэтому система (21) совместна относительно неизвестных (y0, xi, z0, yi), т. е. > 0 при всех a, d G Rm \ {0}. ■

(o)

)

О

О

6. Реализация

Опишем представление элементов кольца Галуа R = GR(q2,p2), q = pr, операции сложения и умножения, а также способ вычисления разрядной функции Yi в разрядном множестве r(R).

Имеет место изоморфизм R = Zp2[x]/(F(x)), где F(x) —многочлен Галуа над Zp2, в соответствии с которым элементу a G R сопоставлен многочлен a(x) G Zp2 [x] степени r — 1.

Сумма c = a + b и произведение d = ab реализуются с помощью равенств

c(x) = a(x) + b(x), d(x) = a(x)b(x) (mod F(x)).

Из описания разрядных функций, приведённых в работе [3], следует, что Y0(a) = aq. Поэтому для нахождения первого разряда Yi(a) вычислим многочлен t(x) из равенства a(x) — a(x)q = pt(x) (mod F(x)). Тогда t(x)q (mod F(x)) есть многочлен, соответствующий элементу Yi(a) кольца R.

Заметим, что возведение в степень q = pr реализуется с помощью не более чем log2 q возведений многочлена в квадрат по модулю многочлена F(x) степени г.

Заключение

Полученные в работе результаты показывают, что, используя только линейные преобразования модуля и разрядные функции кольца Галуа, можно строить эффективно реализуемые нелинейные подстановки большой степени, которые порождают множество с малым показателем 2-транзитивности. В дальнейшем представляет интерес изучение других криптографических свойств описанных примитивов и построение новых классов РИ-матриц.

Автор выражает искреннюю благодарность профессору А. А. Нечаеву за постановку задачи и внимание к проводимым исследованиям.

ЛИТЕРАТУРА

1. Глухов М. М. О 2-транзитивности произведения регулярных групп подстановок // Труды по дискретной математике. М.: Физматлит, 2000. С. 37-52.

2. Глухов М. М., Зубов А. Ю. О длинах симметрических и знакопеременных групп подстановок в различных системах образующих (обзор) // Математические вопросы кибернетики. 1999. Вып. 8. С. 2-32.

3. Кузьмин А. С., Нечаев А. А. Линейные рекуррентные последовательности над кольцами Галуа // Алгебра и логика. 1995. Т. 34. №2. С. 169-189.

4. Cameron P. J. Finite permutation groups and finite simple groups // Bull. London Math. Soc. 1981. V. 13. No. 1. P. 1-22.

5. Погорелов Б. А. Основы теории групп подстановок. Ч. I. Общие вопросы. М., 1986. 316 с.