УДК 519.7 Б01 10.17223/2226308Х/8/25
©^-МАРКОВОСТЬ И ИМПРИМИТИВНОСТЬ В БЛОЧНЫХ ШИФРСИСТЕМАХ
Б. А. Погорелов, М. А. Пудовкина
Рассмотрена связь между ®w,ch-марковостью итеративных алгоритмов блочного шифрования и методом гомоморфизмов. Для алгоритмов блочного шифрования и разбиений W алфавита текстов X, блоки которых являются смежными классами по некоторой подгруппе абелевой регулярной группы (X, ®), доказана эквивалентность между ®w,ch-марковостью алгоритма и существованием нетривиального гомоморфизма. Показано, что класс ®w,ch-марковских преобразований не ограничивается только упомянутыми разбиениями. Так, для разбиений W, блоки которых не являются смежными классами по подгруппе аддитивной группы (У+, ф) векторного пространства Уп, описаны классы аффинных и нелинейных ф^л-марковских преобразований. Приведены условия на разбиения W пространства Уп, при которых аффинное преобразование является ©w,ch-марковским. Получено, что для каждого разбиения W пространства Уп множество всех ф^^-марковских преобразований из ЛСЬп является группой. Приведены примеры таких групп. Тем самым показано, что для данного класса разбиений ®w,ch-марковость является обобщением рассмотренных гомоморфизмов.
Ключевые слова: импримитивная группа, метод гомоморфизмов, КБЕ-алго-ритмы блочного шифрования, сплетение групп подстановок.
Пусть (X, ®) — произвольная регулярная абелева группа на конечном множестве X с бинарной операцией ® и единичным элементом е; Xх = X\{е}; Б(X) —симметрическая группа на X; а9 = ад = д(а) —образ элемента а Е X при действии на него подстановкой д Е Б(X); АОЬп — полная аффинная группа над Оа — стабилизатор элемента а Е О ^ Б(V«); АО — аффинная подгруппы группы АОЬп при О ^ ОЬп и О = АО0. Пусть также /Оw = (Бад ^ Бг, W) —максимальная группа подстановок на X = Ш0 и ... и Шг-1, сохраняющая разбиение W = {Ш0,..., Шг-1}, где т = |Ш0| = ... = |Шг-1|. Эта группа называется сплетением группы подстановок Бад группой Бг.
Рассмотрим /-раундовый алгоритм блочного шифрования, у которого раундовая функция g : X2 м X задана условием дк : х м- (х ® к)ь, где Ь Е 5(X), к Е X. К данному классу относятся ХБЬ-алгоритмы блочного шифрования. Предположим существование такого разбиения W = {Ш0,..., Шг-1} множества X, что ди сохраняет W-разбиение для каждого к Е X, и е Е Ш0. Так как Ь Е Б(X), то — ]-й смежный класс группы (X, ®) по её подгруппе Ш0, ] = 0,... , г — 1. Справедливы включения
Ь Е ^, (ди |к Е X > ^ /Оw, {дк(1) ...д*(0 |(к(1) ,...,к(1)) Е X1 > ^ /Оw.
Очевидно, что существует бинарная операция © на {0,... , г — 1}, удовлетворяющая равенству Wi ® = WiQj для каждых г, Е {0,...,г — 1}, где г © ] — номер смежного класса, содержащего произвольный представитель в Е Wi ® Wj. Заметим, что
(а ® к) = <^(а) © (к), (а, к) Е X2.
Рассмотрим такое отображение : X м {0,...,г — 1}, что : а м г тогда и только тогда, когда а Е г Е {0,...,г — 1}. Ясно, что отображение ^^ задаёт гомоморфизм /-раундового алгоритма блочного шифрования с раундовой функцией
70
Прикладная дискретная математика. Приложение
g : X2 м X в /-раундовый алгоритм блочного шифрования с раундовой функцией g : {0,... ,r - 1}2 м {0,... , r - 1}, где
g^w(fc) (^w(а)) = ^w ((а ® k)6) = (<£w(а ® k))b = (<£w(а) © ^w(k))b (1)
для каждых (а, k) G X2. Заметим, что подстановка b G S ({0,... , r — 1}) есть гомоморфный образ подстановки b.
Доказано, что pW(g) = p(g), где p(g) = (р£,л(д)) —матрица вероятностей переходов разностей функции g; pw (g) —матрица вероятностей переходов блоков разностей разбиения W функции g.
Определения ®w,ch-марковских алгоритмов блочного шифрования и ®w,ch-мар-ковских преобразований приведены в [1].
Теорема 1. Пусть / G N, W = {W0,... , Wr-1} — разбиение множества X, e G W0, W0 < X, Wj — j-й смежный класс группы (X, ®) по её подгруппе W0, j = 0,..., r — 1. Отображение ^w, определённое равенством (1), задаёт гомоморфизм /-раундового алгоритма блочного шифрования с раундовой функцией g : X2 м X, gfc : x м (x ® k)b, в /-раундовый алгоритм блочного шифрования с раундовой функцией g : {0,... , r — 1}2 м {0,...,r — 1}, gK : в м (в © к)6 тогда и только тогда, когда алгоритм блочного шифрования с раундовой функцией g является ®w,ch-марковским.
Заметим, что теорема 1 устанавливает соответствие между Qw^h-марковостью и существованием гомоморфизма ^w только для таких разбиений W = {W0,... , Wr-1}, для которых Wj — j-й смежный класс группы (X, ®) по её подгруппе W0, W0 < X. Однако класс Qw^h-марковских алгоритмов шифрования и преобразований не ограничивается только такими разбиениями. Так, в [1] приведены +w,ch-марковские преобразования для аддитивной группы кольца вычетов Z2n для разбиений, отличных от приведённых в теореме 1.
Опишем ещё классы Qw^h-марковских преобразований, не удовлетворяющих теореме 1. Для этого рассмотрим сначала классы Qw^h-марковских аффинных преобразований для разбиений W Z2m -модуля Z^m.
Для a G Z через a(d) обозначим такой наименьший элемент a(d) G {0,... ,d — 1}, что a(d) = a (modd). Для m, d G N и а = (а^_1,... ,а0) G Zi,m, в = (в^-ъ ... ,в0) G ZiL положим
а + 2т в = ((а^_1 + в^_1)(2т), . . . , (а0 + в0)(2т^ ,
т. е. +2m —операция покоординатного сложения в Z2m-модуле ZiL. Ясно, что при m = 1 выполняются равенства d = n, ф = +2 и Vn = Z^.
Утверждение 1. Пусть n = md, m, d G N. Аффинное преобразование h G G AGLd(Z2m), где h = (h0,A); h : а м- +2mA; h0 G GLd (Z2m); Л G ZiL, является +2m w,ch-марковским для разбиения W Z2m -модуля Z^m тогда и только тогда, когда h0 сохраняет W.
Из утверждения 1 следует, что преобразование h может являться Фw,ch-марков-ским и для разбиений W пространства Vn, блоки которых не являются смежными классами по некоторой подгруппе аддитивной группы V+ векторного пространства Vn.
Приведём примеры примитивных групп (AGLn)w и соответствующих разбиений W. Пусть Ajn) — множество всех векторов веса Хемминга j G {0,... , n} из Vn; Sn — группа подстановочных (n х п)-матриц; ASn — аффинная подгруппа группы AGLn,
подобная группе экспоненцирования S2 " Sn. Стабилизатор G0 каждой не 2-транзи-тивной примитивной группы G, ASn ^ G ^ AGLn, сохраняет некоторое нетривиальное разбиение множества Vnx, блоками которого являются орбиты стабилизатора G0 на Vn. Все такие разбиения описаны в [2], а классификация соответствующих групп — в [3, 4]. С применением теоремы 1, утверждения 1 и классификации надгрупп группы ASn описаны классы нелинейных ф—,сь-марковских преобразований для разбиений W пространства Vn, отличных от рассмотренных в теореме 1.
Очевидно, что AGL„ = (AGL„)w для W е |{A0n), Vnx}, {а : а е К}}. Утверждение 2. Если 2-транзитивная группа G < AGLn такова, что Go примитивна на VX, то G = (AGLn)W для каждого разбиения We |{A0n), VX}, {{а} : а е V„} j
В общем случае из ф—,сЬ-марковости преобразований bi,62 е S(Vn) для некоторого разбиения W пространства Vn не следует ф—,сЬ-марковость преобразования b1b2. Приведены условия на преобразования b1,b2, из которых вытекает ф—,сь-марковость преобразования b1b2, а также условия того, что раундовая функция, задаваемая этими преобразованиями, является ф—,сь-марковской.
Пусть раундовая функция g : V^ м Vn задана условием g : (ж, k) м (ж ф k)sh, где s = (sd-1,... , s0) е S(Vm)d, h e GLn. Приведены условия на h, при которых раундовая функция g : (ж, k) м- (ж ф k)sh является ф— сЬ-марковской для некоторого разбиения W пространства Vn.
ЛИТЕРАТУРА
1. Погорелое Б. А., Пудовкина М. А. ®—,сь-марковские преобразования // Прикладная дискретная математика. Приложение. 2015. №8. С. 17-20.
2. Музычук М. Е. Подсхемы схемы Хемминга // Исследования по алгебраической теории комбинаторных объектов. ВНИИ системных исследований. Труды семинара. 1985. С. 49-76.
3. Погорелов Б. А. Подметрики метрики Хемминга и теорема А.А. Маркова // Труды по дискретной математике. 2006. №9. С. 190-219.
4. Погорелов Б. А., Пудовкина М. А. Подметрики метрики Хемминга и преобразования, распространяющие искажения в заданное число раз // Труды по дискретной математике. 2007. № 10. С. 202-238.
УДК 510.52 Б01 10.17223/2226308X78/26
О ГЕНЕРИЧЕСКОЙ СЛОЖНОСТИ ПРОБЛЕМЫ РАСПОЗНАВАНИЯ
КВАДРАТИЧНЫХ ВЫЧЕТОВ1
А. Н. Рыбалов
Генерический подход к алгоритмическим проблемам предложен А. Мясниковым, И. Каповичем, П. Шуппом и В. Шпильрайном в 2003 г. В рамках этого подхода рассматривается поведение алгоритмов на множествах почти всех входов. В данной работе изучается генерическая сложность проблемы распознавания квадратичных вычетов в группах вычетов. Доказывается, что её естественная подпро-блема генерически трудноразрешима (то есть трудна для почти всех входов) при условии, что проблема распознавания квадратичных вычетов трудноразрешима в классическом смысле.
1 Работа поддержана грантом РФФИ №15-41-04312.