Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Криптографические протоколы - Lection

.pdf
Скачиваний:
36
Добавлен:
17.03.2015
Размер:
533.67 Кб
Скачать

Имитостойкость симметрических шифров

Рассмотрим вероятностную модель шифра

ΣB = (X , Y, K, E, D, P (X ), P (K)).

и возможные активные действия противника при передаче зашифрованных сообщений.

Имитация сообщения.

Эта атака может быть осуществлена противником в том случае, когда канал связи готов к работе, у отправителя A и получателя B установлены ключи, но сообщение в данный момент времени не передаётся (канал “пустой”). В этом случае противник C выбирает y Y и посылает его B от имени A. При этом противник рассчитывает, что B при расшифровании y получит некий осмысленный открытый текст x.

Подмена сообщения.

Отправитель A зашифровывает открытый текст x и посылает по открытому каналу соответствующее зашифрованное сообщение y. Противник пытается заменить y на y0 Y так, чтобы B, получив y0 и расшифровав его, получил некоторый осмысленный текст.

Имитостойкость шифра это его способность противостоять подобным атакам противника. Мерой имитостойкости являются следующие величины:

Pим = max P {Dk(y) X } - вероятность имитации сообщения,

y Y

Pподм

=

max

P {Dk

(y0)

X } - вероятность подмены сообщения,

 

y,y0 Y

 

y06=y

Pн = max{Pим, Pподм}.

Утверждение 1.

Если для шифра ΣB выполняется условие

p(k) =

1

 

 

k

K

(1)

 

 

 

|K|

(то есть все ключи равновероятны), то справедлива оценка

Pим >

|X |

.

 

 

 

(2)

 

 

 

|Y|

 

 

 

 

 

Доказательство.

 

 

 

 

 

 

 

 

 

 

Пусть K(y) = {k K: Dk(y) X }. Тогда из условия (1)

имеем

P {Dk(y) X } =

 

|K(y)|

.

 

 

 

 

 

 

 

 

|K|

 

Отсюда следует, что

y Y

|K

(y)

|

 

(3)

Pим =

 

 

max

 

 

 

 

 

|K|

11

Но из основных свойств шифра (см. определение) вытекает, что

X

|K(y)| = |X |·|K|.

y Y

 

 

 

 

 

 

Следовательно,

 

 

 

|X |·|Y|

 

 

max

|K

(y)

>

.

 

y Y

 

|Y|

 

Из последнего неравенства и соотношения (3) получаем (2).

 

Оценка (2) достигается, например, для шифров, удовлетворяющих условию

 

Ek1 (x1) 6= Ek2 (x2) при (k1, x1) 6= (k2, x2).

(4)

Этому условию удовлетворяет, в частности, шифр гаммирования с равновероятной гаммой. Для этого шифра Pим = 1.

Утверждение 2.

Если для шифра ΣB выполняется условие (2), то справедлива достижимая оценка

 

Pподм >

|X | − 1

 

 

(5)

Доказательство.

|Y| − 1

 

 

 

 

 

 

 

 

 

 

 

 

Пусть K(y, y0) = K(y) ∩ K(y0), тогда из условия (2) следует, что

 

Pподм = max

|K(y, y0)|

.

 

(6)

 

 

y,y0 Y

|K(y)|

 

 

 

y0=y

 

 

 

 

 

 

6

 

 

 

 

 

 

 

Из определения модели шифра следует справедливость соотношения

 

X

 

 

 

 

 

 

 

 

 

|K(y, y0)| = (|X | − 1) |K(y)|.

 

y,y0 Y

 

 

 

 

 

 

 

 

 

y0=y

 

 

 

 

 

 

 

 

 

6

 

 

 

 

 

 

 

 

 

Поэтому,

 

|K(y, y0)|

 

 

|X | − 1

 

 

max

 

 

>

.

(7)

y,y0 Y

 

|K(y)|

 

|Y| − 1

 

y0=y

 

 

 

 

 

 

 

 

 

6

 

 

 

 

 

 

 

 

 

Из (6) и (7) вытекает справедливость (5).

Достигается оценка на специальных шифрах, построенных с помощью ортогональных латинских квадратов.

Замечание. Из Утверждений 1 и 2 следует, что если шифр ΣB удовлетворяет условию (2), то Pн > |X |/|Y|. Это означает, что для надёжной защиты от имитации или подмены необходимо, чтобы количество возможных шифрованных текстов значительно превосходило количество открытых текстов.

Обеспечение имитостойкости решает задачу целостности зашифрованной информации. Участник B при расшифровывании должен получить исходный открытый текст. Но очевидно, что эта задача актуальна для любой информации, передаваемой по открытым каналам связи.

12

Протоколы контроля целостности информации

Целостность информации подразумевает выполнение следующих основных требований:

-информация получена из достоверного источника;

-содержание информации не изменилось с момента начала её передачи (создания);

-время создания и пересылки информации являются конечными.

Протоколы аутентификации позволяют контролировать целостность информации. Если источник сообщения фиксирован и взаимодействующие стороны доверяют друг другу, то процедура контроля целостности информации называется аутентифи-

кациией сообщений.

Протокол аутентификации источника данных применяется в том случае, когда партнёры не доверяют друг другу. Такой протокол, в частности, обеспечивает невозможность отказа от авторства передаваемого сообщения. Этот фактор особенно важен в современных банковских технологиях.

Протокол идентификации (взаимной аутентификации) позволяет подтверждать подлинность сторон в процессе информационного взаимодействия. Другими словами, идентификация означает проверку одной (или взаимной) из сторон подлинности другой.

Протоколы идентификации обеспечивают контроль доступа к определенным информационным ресурсам, физическим объектам, например, это могут быть

-банковские счета;

-программное обеспечение;

-базы данных;

-здания, технические и военные объекты и т.д.

Протоколы аутентификации сообщений и хэш-функции

Для проверки целостности сообщений используется процедура выработки (на основе данного сообщения) кода аутентификации сообщения (КАС) или, по-другому, имитовставки (в англоязычной литературе используется термин Message Authentication Code или MAC). Этот КАС посылается вместе с сообщением и получатель, вычислив самостоятельно свой код по полученному сообщению, сравнивает его с полученным КАС. Если сравниваемые коды совпадают, то сообщение проходит, в противном случае отвергается. Формально, КАС вырабатывается из данного сообщения при помощи специальной процедуры, называемой хэш алгоритмом, реализующим хэш-функцию.

Определение. Функция (отображение) h: {0, 1} → {0, 1}m называется хэшфункцией, если h удовлетворяет следующим условиям:

(a)однонаправленность: x {0, 1} y = h(x) вычисляется за полиномиальное время (относительно |x| );

13

(b)устойчивость к нахождению второго прообраза: a {0, 1} не существует полиномиального алгоритма, позволяющего найти хотя бы одно решение уравнения h(x) = a;

(c)устойчивость к коллизиям: не существует полиномиального алгоритма, позволяющего найти такие x1 и x2 {0, 1} , x1 6= x2, что h(x1) = h(x2).

Выполнение этих условий позволяет осуществлять контроль целостности информации, а именно защищать от угроз типа “имитация” и “подмена”.

Ключевые хэш-функции применяются для реализации протоколов аутентификации сообщений в случае доверяющих друг другу партнеров. Предполагается, что оба участника информационного взаимодействия обладают общим секретным ключом.

Как правило, хэш-функции строят на основе одношаговых сжимающих функций y = f(x1, x2), где |xi| = m, |y| = n. Для вычисления h(M) исходное сообщение M разбивается на блоки длины m : M = m1m2 . . . mN . Фиксируется набор H0 {0, 1}m синхропосылка. Далее вычисления проводятся по следующим рекуррентным соотношениям:

Hi = f(mi, Hi−1), i = 1, N,

(1)

h(M) = HN .

 

Для построения ключевых хэш-функций всегда можно использовать стойкий (практически) алгоритм шифрования, то есть положить, например, f(x1, x2) = Ek(x1 x2). Тогда система (1) примет вид:

H = Ek(mi

Hi

1), i = 1, N,

h(iM) = HN ,

(2)

H0 синхропосылка.

Бесключевые хэш-функции используются для обеспечения контроля целостности в случае, когда участники информационного взаимодействия не доверяют друг другу. В этой ситуации необходимо провести и аутентификацию сообщения и идентификацию источника сообщения. Эту задачу решают протоколы электронно-цифровой подписи (ЭЦП).

Бесключевые хэш-функции можно построить на основе одношаговой сжимающей функции вида

fα(u, v) = gαu

αv(

 

 

 

 

(3)

αu αv) αu αv,

здесь α {0, 1}, gw(x) однопараметрическое семейство функций.

В качестве gw(x) можно взять функцию шифрования некоторой криптосистемы,

то есть положить gw(x) = Ew(x). В этом случае, полагая в (3)

α = 0 и α = 1,

соответственно получим

 

f0(u, v) = Ev(u) u,

(4)

f1(u, v) = Eu(v) v.

(5)

Для хэш функций, построенных на основе формул (1) справедливы следующие очевидные утверждения.

Утверждение 1. Если f устойчива к коллизиям, то и хэш-функция h также устойчива к коллизиям.

14

Утверждение 2. Если хэш-функция устойчива к коллизиям, то она устойчива и к нахождению второго прообраза.

Утверждение 3. Из устойчивости к коллизиям хэш-функции не следует её однонаправленность.

Утверждение 4. Пусть h: X → Y хэш-функция и |X| > 2|Y |. Тогда, если существует эффективный алгоритм обращения h, то существует вероятностный алгоритм нахождения коллизий функции h с вероятностью, большей 1/2.

Эллиптические кривые над конечным полем

Группа точек эллиптической кривой

Пусть F конечное поле характеристики p > 3. Рассмотрим уравнение

y2 = x3 + ax + b.

(1)

В пространстве R это уравнение определяет эллиптическую кривую. Обозначим че-

рез E(a, b) множество (точек) всех решений уравнения (1)

над полем F, дополненное

бесконечно удалённой точкой Θ.

 

Пример. F = Z7, a = 1, b = 0. Уравнение (1) примет вид: y2 = x3+x. Подставляя в левую часть этого уравнения элементы из Z7, получим:

E(1, 0) = {(0; 0), (1; ±3), (3; ±3), (−2; ±2), Θ}.

Пример. F = Z7, a = b = 1. Уравнение (1) примет вид: y2 = x3 + x + 1.

E(1, 1) = {(0; ±1), (2; ±2), Θ}.

На множестве E(a, b) введём бинарную операцию “сложения” точек эллиптической кривой следующим образом:

1. Для любой точки P E(a, b) Θ + P = P + Θ = P.

2. Если P = (x; y), Q = (x; −y), то P + Q = Θ, то есть −P = (x; −y).

3. Если P = (x1; y1), Q = (x2; y2) и x1 6= x2, то P + Q = R = (x3; y3), где

y3

= λ(x1 − x3) − y1,

 

x2

− x1

 

x3

= λ2

− x1 − x2

,

λ =

y2

− y1

.

(2)

 

 

 

 

 

4. Если P = (x1; y1), Q = (x2; y2),

x1 = x2

и y1 6= 0 то P + Q = R = (x3; y3), где

 

x3

= λ2 − 2x1,

 

λ =

3x12 + a

.

(3)

 

 

 

y3 = λ(x1 − x3) − y1,

 

2y1

 

15

Замечание. Если P, Q E(a, b) и x1 = x2, то либо y1 = y2, либо y1 = −y2.

Поэтому либо P + Q = Θ, либо P + Q = P + P = 2P. Таким образом, формулы (3) позволяют находить координаты “удвоенной” точки.

Утверждение 1.

Относительно введённой операции сложения точек множество E(a, b) является аддитивной абелевой группой.

Доказательство.

1. Покажем корректность введённой операции, то есть что в результате сложения решений P = (x1; y1) и Q = (x2; y2) уравнения (1) мы снова получим некоторое решение (1) (либо Θ ).

Рассмотрим случай x1 6= x2. Пусть L(P, Q) множество точек из F × F, удовле-

творяющих уравнению

 

 

 

 

 

 

y = λx + d, λ =

y2

− y1

, d = y

1

λx

 

(4)

 

1

x2

− x1

 

 

Геометрически при F = R условия (4) определяют прямую, проходящую через точки P и Q. Покажем, что существует точка R0 = (x0; y0) E(a, b) ∩ L(P, Q), причём R0 6= P и R0 6= Q. Подставляя координаты точки R = (x; λx + d) в (1) получим уравнение

x3 − λ2x2 + (a − 2λd)x + b − d2 = 0.

(5)

Так как P и Q принадлежат пересечению L(P, Q) и E(a, b), то x1 и x2

являют-

ся корнями уравнения (5). Но над полем уравнение третьей степени имеет три корня

и по теореме Виета из сумма равна

λ2.

Поэтому существует корень

x3

F такой,

что x3 + x1 + x2

= λ2. Таким образом,

R0 = (x3; y30 ) E(a, b),

x3

 

= λ2 − x1 − x2,

y0

= λx

 

+ y

1

λx

.

Следовательно и точка

R = (x

;

y0 ) = (x

; y

)

также при-

3

 

3

 

1

 

 

 

 

3

 

3

3

 

3

 

надлежит

E(a, b), и тем самым установлена корректность операции сложения точек

эллиптической кривой E(a, b).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Свойство коммутативности введённой операции сложения следует из тождества

 

 

 

 

 

 

 

y2 − y1

x

 

y

 

=

y2 − y1

x

2

y

.

 

 

 

 

 

 

 

 

 

 

 

 

 

x2 − x1

1

 

1

x2 − x1

 

2

 

 

 

 

 

 

 

3.Существование нейтрального элемента и противоположной точки для каждой точки из E(a, b) вытекает непосредственно из определения операции сложения точек.

4.Осталось проверить свойство ассоциативности операции сложения точек эллиптической кривой. Предоставляем это сделать читателю самостоятельно в качестве упраж-

нения.

Строение некоторых классов групп Ep(a, 0) и Ep(0, b)

Далее будем рассматривать группу E(a, b) над полем Zp, p простое, p > 3. Один из основных вопросов, возникающих в криптографических приложениях группы E(a, b) это определение (оценка) её порядка. Эля некоторых p эта задача решается весьма просто. Воспользуемся следующей теоремой о строение группы E(a, b) над полем Zp.

16

Теорема 1. Над полем Zp группа

E(a, b)

либо циклическая, либо

E(a, b) =

×ZN2

,

 

ZN1

 

где N2 | N1 и N2 | p − 1.

Теорема 2.

Если p простое и p ≡ 2 (mod 3), то при любом b = 1, p − 1 порядок группы E(0, b) равен p + 1 и эта группа циклическая.

Доказательство.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1

Так как по условию теоремы

p

= 3t + 2,

то из

x13 ≡ x23

(mod p)

следует, что

2

 

 

1

 

 

1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1 (mod p) ) сле-

x3t

 

x3t (mod p). Из последнего следствия и теоремы Ферма ( xp−1

 

 

 

дует, что3

x

 

x

 

(mod p),

то есть

x1

x2 (mod p).

Таким

образом, отображение

1

 

2

 

 

 

 

 

 

 

 

 

 

 

3

+ b: x Zp, b 6= 0}

ψ: x → x

биективно на Zp. Поэтому среди элементов множества {x

 

 

половина, то есть

(p − 1)/2,

является квадратичными вычетами. Это означает, что

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

соответствующие точки x; ±

x

3

+ b Ep(0, b). Очевидно, что число таких точек

равно

p

 

1.

Из

биективности отображения ψ следует, что точка

 

3

 

 

 

также при-

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Θ

 

 

 

 

 

 

 

 

 

 

надлежит

Ep(0, b).

Следовательно, с учётом точки

порядок

группы Ep(0, b) равен

 

 

 

 

 

 

 

 

 

 

 

 

 

 

p − 1 + 1 + 1 = p + 1. Первая часть утверждения теоремы доказана.

 

 

 

 

 

 

 

Докажем цикличность группы

 

Ep(0, b). Допустим обратное, то есть, что груп-

па

Ep(0, b) не является цикличной. Тогда из теоремы о строении группы Ep(a, b)

следует, что

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

E (a, b) =

 

 

 

,

 

p

1 = N

t, N

1

= N

s,

N

 

= 1.

(6)

 

 

 

 

 

 

 

p

 

ZN1 × ZN2

 

 

 

 

2

 

 

 

2

 

 

2 6

 

 

 

Отсюда получаем N1N2 = p+1 = N2t+2. Следовательно, справедливо соотношение:

N2(N1 − t) = 2.

(7)

Поскольку N2 6= 1, то из (7) следует, что

 

N2 = 2 и N1 = 2s.

(8)

Отсюда и из (6) вытекает, что группа Ep(0, b) должна содержать подгруппу четвёртого порядка, изоморфную группе Z2 × Z2, то есть в этой группе имеются, по крайней мере, три элемента порядка 2. Но из первой части доказательства теоремы следует,

ним, что если Q = (x; y) 6= Θ, и Q = −Q, то y = −y, то есть y

 

 

 

Пришли к

=0. )

что Ep(0, b) содержит единственную точку второго порядка P =

3 b; 0

. (Напом-

противоречию. Теорема полностью доказана.

Теорема 3.

Если p простое, p ≡ 3 (mod 4), то при любом a Zp порядок группы Ep(a, 0) равен p + 1. Более того,

 

p

Zp+1, если

p

 

 

и

E (a, 0)

=

 

 

a

= 1

 

 

 

 

 

p

Z 2

× Z2, если p

 

E (a, 0) =

 

 

 

 

 

a

= 1.

 

 

p+1

 

 

 

 

 

 

 

17

Доказательство.

Из

того, что

p ≡ 3 (mod 4) следует,

что

−1

= −1. Это означает, что од-

p

но из чисел любой пары

(x;

y),

y

Zp

будет являться квадратичным вычетом.

 

 

 

 

 

 

 

 

 

 

 

 

 

Далее, если

a

= 1, то для любой пары (x; ±x),

x Zp одно из чисел f(x)

p

или f(

x) =

 

будет квадратичным вычетом. Этой паре соответствуют две

 

f(x)

но · −

 

p

 

 

 

 

 

−x; ±

p

 

 

 

 

 

 

 

 

 

 

точки либо

x; ±

f(x) , либо

 

 

−f(x) .

Число таких точек будет рав-

2 (p

 

 

1)/2 = p

1. Заметим, что условие f(x) = f(

 

x) будет выполняться только

при x = 0. Поэтому единственной точкой второго порядка будет точка (0; 0). Следовательно, как и в Теореме 2 группа Ep(a, 0) будет циклической группой порядка p + 1

и, следовательно,

E

(a, 0) =

 

 

.

 

 

 

 

 

 

 

 

 

 

p

 

Zp+1

 

 

 

 

 

 

 

 

 

 

 

 

Если

a

−1,

то уравнение f(x) = 0 будет иметь три решения 0

 

 

1

 

 

p =

и ±qa .

 

 

 

 

1Ep(a, 0)

будет1 содержать p − 2 точки вида

±x; ±

p

 

 

 

 

 

 

 

Поэтому группа

 

±f(x) и точ-

пы

 

q

 

 

 

q

 

 

 

 

 

 

 

 

 

 

 

 

 

ки

(0; 0),

a ; 0

,

a ; 0 . Таким образом, и в этом случае порядок груп-

 

Ep(a, 0) равен p + 1. Поэтому верны соотношения (7) и (8). И поскольку число

элементов второго порядка равно, по крайней мере, трём, то

E

(a, 0)

=

 

2

× Z2

.

 

 

p

 

Z

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

p+1

 

 

 

 

 

Порядок группы Ep(a, b) с нулевым дискриминантом

Следующая лемма справедлива для любого поля F характеристики p 6= 2, p 6= 3.

Лемма 1.

Если 4a3 + 27b2 = 0 , то многочлен f(x) = x3 + ax + b имеет корень в F кратности не менее 2.

Доказательство.

Если a = 0 ( b = 0 ), то из условия леммы следует, что b = 0 ( a = 0 ) и справедливость утверждения леммы очевидна.

Таким образом, будем считать, что a 6= 0 и b 6= 0. Тогда из условия леммы следует, что

a = 9b2 .

3 4a2

То есть, −a/3 является квадратичным вычетом. Поэтому многочлен f0(x) = 3x2 + a

имеет корни

 

 

 

 

 

 

 

 

 

 

x = ±r

 

 

 

= ±

2a.

3

 

 

 

 

a

 

3b

 

Покажем, что

= a = r

 

 

 

 

x0

3

 

 

 

 

3b

a

является корнем многочлена f(x). В самом деле,

 

 

27b3

b(27b2 + 4a3)

 

f(x0) =

 

+ 3b + b =

 

 

= 0.

a3

a3

18

Итак, f(x0) = f0(x0) = 0. Это означает, что кратность корня x0 многочлена f(x)

не менее 2.

 

Теорема 4.

 

Если 4a3 + 27b2 = 0, то порядок группы Ep(a, b) равен одному из чисел p,

p + 1

или p + 2.

 

Доказательство.

 

Из леммы следует, что уравнение (1) будет иметь вид:

 

y2 = (x − x0)2(x − x1).

(8)

Очевидно, что точки M0 = (x0; 0), M1 = (x1; 0) принадлежат группе Ep(a, b). Подсчитаем число остальных точек.

В случае, когда x0 = x1, число точек Ep(a, b), отличных от M0, равно числу решений уравнения

u2 = x − x0, x Zp\{x0}.

(9)

Поскольку число квадратичных вычетов в Zp равно (p − 1)/2, то уравнение

(9)

будет иметь p − 1 решений, отличных от M0. Таким образом, общее число точек группы Ep(a, b) в этом случае равно p − 1 + 1 + 1 = p + 1.

Если x1 6= x0, то число решений уравнения (8), отличных от M0 и M1, равно

числу решений уравнения

 

u2 = x − x1, x Zp\{x0, x1}.

(10)

Если

x0−x1

= 1, то есть

x0 − x1

квадратичный вычет, то число решений урав-

p

нения (10)

равно

 

 

 

p − 1

 

 

 

 

 

 

 

 

2

·

(

 

1) = p

3,

 

 

 

 

 

 

2

 

 

 

и, следовательно, порядок группы Ep(a, b) равен p − 3 + 2 + 1 = p.

И наконец, если

x0−x1

= −1, то есть

x0 − x1 квадратичный невычет, то число

p

 

решений уравнения (10)

равно

p − 1

 

 

 

 

 

 

 

2

 

= p

1.

 

 

 

·

2

 

 

 

Поэтому порядок группы Ep(a, b) будет равен p − 1 + 2 + 1 = p + 2.

Элементарные верхние и нижние оценки порядка группы Ep(a, b)

Пусть как и раньше p > 3 и N(p) число решений уравнения (1). Справедливы следующие оценки:

Теорема 5 (Постников).

 

 

 

 

Если 4a3 + 27b2 6= 0, то

 

p − 3

 

 

 

3p + 3

> N(p) >

.

(11)

 

2

 

 

 

2

 

 

19

Доказательство.

Пусть f(x) = x3 + ax + b. Рассмотрим многочлен

 

 

 

p−1

 

 

 

 

 

p

− x).

 

 

 

 

 

 

F (x) = 2f(x)(f 2 (x) + 1) + f0(x)(x

 

 

 

 

 

 

Заметим, что

f0(x) = 3x2

+ a = 0,

поскольку

4a3

+ 27b2 = 0.

 

Степень многочле-

 

6

 

 

 

 

 

 

 

6

 

 

на F (x) равна

 

 

p − 1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3 + 3

=

3(p + 1)

.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Далее заметим, что

·

 

 

2

 

 

 

2

 

 

 

 

 

 

 

 

 

 

 

Zp = M0 M1 M−1,

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

где M0 = {γ: f(γ) = 0} , M1 = α:

f(α)

= 1 ,

 

M−1 = α:

f(α)

= −1 .

p

 

p

Очевидно, что |M0| + |M1| + |M−1| = p. Поэтому

 

 

 

 

 

 

 

 

 

 

N(p) = 2|M1| + |M0| = 2p − (2|M−1| + |M0|).

 

 

(12)

Вычислим производную многочлена F (x) :

 

 

 

 

 

 

 

 

 

 

 

 

 

p−1

 

 

 

 

 

 

 

p−3

 

 

 

 

 

 

 

 

p

− x) − f0(x) =

F 0(x) = 2f0(x)(f 2 (x) + 1) + (p −

1)f(x)f 2 (x)f0(x) + f00(x)(x

 

 

p−2

 

p−1

− f0(x) + f00(x)(x

p

− x) =

= 2f0(x)(f 2 (x) + 1) − f 2 (x)f0(x)

 

 

= f0

p−1

 

 

 

 

 

 

 

 

 

p

− x).

 

 

 

 

 

 

(x)(f 2 (x) + 1) + f00(x)(x

 

 

 

 

 

 

Заметим, что для β M−1, f0(β) = 0. Следовательно, каждый элемент β M−1 является корнем многочлена F (x) кратности не менее двух. С другой стороны, каждый корень γ M0 имеет кратной 1. И только элементы из M−1 и M0 являются корнями многочлена F (x). Поэтому имеем:

2|M−1| + |M0| 6

3(p + 1)

 

 

 

 

 

.

 

(13)

 

 

2

 

Из (12) и (13) следует, что

 

 

 

 

 

 

 

 

 

 

 

N(p)

>

2p

3(p + 1)

=

p − 3

.

 

2

 

 

2

 

 

 

 

 

 

 

 

Нижняя оценка установлена. Для доказательства верхней оценки рассмотрим многочлен

 

p−1

− 1)

− f0

(x)(x

p

− x).

H(x) = 2f(x)(f 2 (x)

 

 

Найдём производную многочлена H(x) :

 

 

 

 

 

 

 

H0(x) = f0

p−2

− 1)

− f00(x)(x

p

− x).

(x)(f 2 (x)

 

Так как для любого α M1

H0(α) = 0, то α является корнем многочлена H(x)

кратности не менее двух. С другой стороны, любой элемент γ M0 также является

корнем многочлена H(x). Поэтому из (12)

следует, что

 

 

 

N(p) = 2|M1| + |M0| 6

3(p + 1)

 

 

 

.

 

 

2

 

Таким образом, теорема полностью доказана.

20