Алфёров А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии

Цементы алгебры и теории чисел

дулю п. Обычно используется полная система вычетов {0, 1,... , п - \ } .

Разложение чисел на простые множители

Натуральное число а, большее 1, называется простым, если оно не имеет натуральных делителей, отличных от 1 и самого числа а.

Любое натуральное число, отличное от 1, либо является простым, либо может быть представлено в виде произведения простых чисел. Это представление определено однозначно с точностью до порядка сомножителей в произведении.

Следует отметить, что в настоящее время нет достаточно эффективных алгоритмов разложения произвольного целого числа на простые множители даже в случае, когда известно, что оно разлагается в произведение двух простых чисел. От­ сутствие эффективных алгоритмов с доказуемыми оценками сложности позволяет использовать задачу разложения нату­ ральных чисел на простые множители при обосновании стой­ кости некоторых криптографических алгоритмов.

Алгоритм Евклида нахождения наибольшего общего делителя

Наибольшее целое число, делящее одновременно целые числа а и Ъ, называется их наибольшим делителем и обозна­ чается НОД(а, Ь) или просто (<а, Ь). Если (а, Ь)=1, то а и Ь на­ зываются взаимно простыми числами.

Алгоритм Евклида нахождения наибольшего общего де­ лителя двух целых чисел заключается в проведении следую­ щей последовательности операций деления с остатком:

а = ^ . Ъ+ г, где 0 < г < Ь ,

Ъ = Я \ ' Г + Г\, г д е О < Г | < г ,

г = <?2 •г 1+ г2> где 0 < г2 < ^ ,

г\ = Ч ъ 'г2 +гЪ’ гДе О й г 3 <г2,

461

Приложение з

гк = Як+2 •гк+\ + гк+2> где 0 < гк+2 < гк+1.

Г\ ~ Яз *Г2 + ’ ГДе 0 < г3 < г2.

Корректное завершение алгоритма гарантируется тем, что остатки от делений образуют строго убывающую последова­ тельность натуральных чисел. Из приведенных равенств сле­ дует, что

(а, Ь) = (Ъ, г) = (г, г, ) = ... = (гя_, ,гп) = гп .

Поэтому наибольший делитель чисел а и Ь совпадает с гп. Как следствие из алгоритма Евклида, можно получить

утверждение, что наибольший делитель целых чисел а и Ь может быть представлен в виде линейной комбинации этих чисел, т. е. существуют целые числа и и V такие, что справед­ ливо равенство

а • и + Ь • V = гп .

Вычисление обратного элемента по заданному модулю

Если целые числа а и п взаимно просты, то существует число а \ удовлетворяющее сравнению а -а' = 1(тос1 п) . Чис­ ло а' называют обратным к а по модулю п и используют обо­

значение а '] (то й п) . Вычислить а' можно, например, вос­

пользовавшись представлением наибольшего общего делите­

обеих частей этого равенства по модулю п, получим, что ис­ комое значение а* удовлетворяет сравнению а' = и (то й п).

462

Цементы алгебры и теории чисел

Вычисление обратных величин по некоторому модулю может быть выполнено более просто, если использовать неко­ торые факты из теории чисел.

Функцией Эйлера называется функция (р(п\ определенная на множестве натуральных чисел и равная количеству целых чисел в промежутке [1, п\9взаимно простых с п.

Если известно, что п - р к{ *...• р к‘ , где р {,...,р 1 — раз­

личные простые числа, то формула вычисления функции Эй­ лера имеет вид

7=1

Справедлива малая теорема Ферма: если п — простое число и НОД(а, п) = 1, то

а п~~х = 1 (т о ё п) .

Обобщение малой теоремы Ферма, полученное Эйлером, утверждает: если НОД(а, п) = 1, то

ап~х 5=1 (т о ё п) .

Сучетом приведенных фактов получаем, что наиболее просто значение а~х (т о ё п) находится из соотношения

Китайская теорема об остатках

Любое целое неотрицательное число, не превосходящее произведения натуральных чисел т р т 2,...,т ,, можно одно­

значно восстановить, если известны его вычеты по этим мо­ дулям. Этот результат, полученной в I веке китайским мате­

463

I 1риложение 3

матиком Сун Це, носит название китайской теоремы об ос­ татках.

Математическая формулировка этого результата такова: Теорема. Пусть — попарно взаимно про­

стые числа. Тогда для любых целых чисел ах,а2,...,а( сравне­ ния

Алгебраические структуры

Множество элементов С с заданной на нем бинарной операцией называется группой, если выполнены три усло­ вия:

1) операция ” ассоциативна, то есть (а • Ь) • с = а - (Ь • с) ,

2) существует элемент е из С, такой, что для любого § из С выполняются равенства е • § = § *е = § ,

Обычно используется обозначение (Су).

Элемент е из С называют нейтральным элементом груп­ пы, а элемент — обратным элементом к Для обратного элемента обычно используется обозначение ё'= %-1. Следует

464

Элементы алгебры и теории чисел

отметить, что в группе О нейтральный элемент и элемент, об­ ратный к элементу определены однозначно.

С точки зрения решения уравнений основное свойство группы состоит в том, что в ней однозначно разрешимы урав­ нения вида

а • х = Ъ,

У’С1- Ь

при любых а . Ь е С .

Заметим, что если при всех а, Ь и с эти уравнения одно­ значно разрешимы относительно х и у, то (С, •) называется

квазигруппой. Для квазигруппы не обязательно выполняются условия 1)—3) из определения группы. Вместе с тем ассоциа­ тивная квазигруппа всегда является группой.

Операция называется коммутативной, если для любых двух элементов а и Ь из С выполнено равенство а • Ъ = Ъ - а. В этом случае группа О называется коммутативной или абе­ левой.

Примером группы является множество комплексных кор­ ней степени п из 1 с операцией умножения корней как ком­ плексных чисел.

Множество К с двумя бинарными ассоциативными опе­

Примером кольца является множество 2„, образующее полную систему вычетов целых чисел по модулю п с опера­ циями сложения и умножения по модулю п, причем это коль­ цо является коммутативным.

465

I филожение 3

Нейтральный элемент кольца относительно операции “+” называют нулем кольца и обозначают через 0. При умноже­ нии на 0 любого элемента кольца будет получаться 0.

Можно отдельно рассмотреть множество всех ненулевых элементов кольца с операцией умножения Для этого множества можно ввести понятия нейтрального и обратного

единицей кольца и обозначают через 1 .

Единица существует не в любом кольце. Например, в кольце четных целых чисел единица отсутствует. Если в кольце существует единица, то в общем случае обратные эле­ менты определены не для всех элементов кольца.

Полем называется коммутативное кольцо с единицей, от­ личной от нуля, в котором любой ненулевой элемент обратим.

Кольцо вычетов целых чисел по модулю п является полем в том и только в том случае, когда п — простое число. Други­ ми примерами полей являются хорошо известные множества рациональных, действительных и комплексных чисел с обыч­ ными операциями сложения и умножения.

Группы подстановок

Подстановкой непустого множества М называют любое биективное (взаимно однозначное) отображение множества М в себя. Множество всех подстановок на множестве М обо­ значают через 8(М).

Множество 8(М) относительно операции суперпозиции отображений образует группу. Если М — конечное множест­ во мощности и, то говорят, что 8(М) — симметрическая группа подстановок степени п.

Группа 8(М) является коммутативной только в случае

п < 2.

Заметим, что, перенумеровав элементы множества М не­ которым фиксированным образом: М = { х }9х 29...,хп } и ото-

466

Элементы алгеЬры и теории чисел

ждествив элементы х, с их номерами /, вместо группы 8(М) можно рассматривать группу 8(0), где О = { 1 , 2 Обыч­ но группу 8(0 ) обозначают через 8„.

Любая подгруппа О группы 8„ (подмножество группы 8„, которое само является группой) называется группой подста­ новок степени п.

Конечные поля

Число элементов конечного поля равно р для некоторого простого числа р и натурального числа I. Обычно поле из р 1 элементов обозначается ОР{р1). Пусть ц ~ р 1.

Сформулируем основные свойства конечных полей.

1. Все элементы поля ОР(д) являются корнями многочлена

х ч - X .

2. Любой многочлен / (х) степени т. неприводимый над по-

т

лем СР(д\ является делителем многочлена х ч - х . (В частности, все корни многочлена Дх) содержатся в поле СР{дт\ то есть оно является полем разложения этого многочлена.)

полем ОР(д), имеет степень, делящую значение т.

4.В поле ОР(д) существует примитивный элемент а такой, что все ненулевые элементы поля представляются в виде его степеней, то есть мультипликативная группа конечно­ го поля является циклической.

Вприкладных целях обычно используются задания ко­ нечных полей в виде кольца вычетов целых чисел по просто­ му модулю р (поле ОР{р)) либо в виде фактор-кольца кольца многочленов над полем ОР(р) по модулю неприводимого многочлена (поля СР(р% 1> 1).

Впоследнем случае для задания поля ОР{р1) рассматри­ ваются многочлены над полем СР(р). Для них вводится поня-

467

Iфипожение 3

тие деления с остатком: разделить многочлен а{х) на много­ член Ь(х) степени 5 — это значит представить многочлен а{х) в виде

а(х) = д(х) • Ь(х) + г(х%

где степень многочлена г(х) строго меньше 8.

По аналогии с целыми числами вводятся понятия вычета по модулю многочлена Ь(х), сравнимости многочленов и операции сложения и умножения по модулю многочлена.

Роль полной системы вычетов по модулю многочлена р(х) выполняет множество всех возможных остатков от деле­ ния многочленов над полем СР(р) на р(х). Другими словами, полную систему вычетов по модулю многочлена р(х) степени я образует множество многочленов

{г(х) = г0 +г,х + ... + г5_1л;'~| , г0, . е О Р ( р ) } .

Множество вычетов по модулю фиксированного много­ члена р(х) степени 8 с операциями сложения и умножения об­ разует коммутативное кольцо. Это кольцо является полем в том и только в том случае, когда многочлен р(х) неприводим (т.е. не раскладывается над ОР{р) в произведение многочле­ нов меньших степеней).

Наличие в конечном поле примитивного элемента а по­ зволяет ввести понятие логарифма для ненулевых элементов этого поля. Логарифм элемента (3 по основанию а определя­ ется как наименьшее целое неотрицательное число к, удовле­ творяющее равенству (3 = о/*. В настоящее время задача вы­ числения логарифма в конечном поле в общем случае не име­ ет достаточно эффективных алгоритмов решения и по этой причине, наряду с задачей разложения на множители, исполь­ зуется при построении стойких криптографических алгорит­ мов и протоколов.

468

Литература

469

Мир, 1993.

[Мэс88] Мэсси Дж. Л. Современная криптология: введе­ ние // ТИИЭР. — 1988. — Т. 76. — № 5.

470