Алгоритмические основы элиптической криптографии

MINISTERSTVO OBRAZOVANI ROSSISKO FEDERACII MOSKOVSKI NERGETIQESKI INSTITUT (Tehniqeski universitet) A A Bolotov...

Author: Болотов | Горшков | Фролов | Часовских

46 downloads 171 Views 695KB Size Report

This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!

Report copyright / DMCA form

DOWNLOAD PDF

MINISTERSTVO OBRAZOVANI ROSSISKO FEDERACII MOSKOVSKI NERGETIQESKI INSTITUT

(Tehniqeski universitet)

A A Bolotov S B Gaxkov A B Frolov A A Qasovskih .

.

,

.

.

.

,

.

.

,

.

ALGORITMIQESKIE OSNOVY LLIPTIQESKO KRIPTOGRAFII

Moskva

2000

MINISTERSTVO OBRAZOVANI ROSSISKO FEDERACII MOSKOVSKI NERGETIQESKI INSTITUT (Tehniqeski universitet)

A A Bolotov S B Gaxkov A B Frolov A A Qasovskih .

.

,

.

.

.

,

.

.

,

.

ALGORITMIQESKIE OSNOVY LLIPTIQESKO KRIPTOGRAFII

Moskva

2000

UDK 519.1 Algoritmiqeskie osnovy lliptiqesko kriptografii A.A.Bolotov, S.B.Gaxkov, A.B.Frolov, A.A.Qasovskih. Moskva: Mi, 2000. - 100 str. Uqebnoe posobie posvweno perspektivnomu napravleni kriptografii s otkrytym klqom - kriptografii lliptiqeskih krivyh. V nem otra en opyt raboty nauqnogo seminara, rabotavxego v 1998/99 uqebnom godu v MI pod rukovodstvom A.A.Bolotova i issledovavxego voprosy ffektivno realizacii operaci v koneqnyh polh i gruppah toqek lliptiqeskih krivyh dl implementacii lliptiqesko kriptografii i ee prilo eni. Posobie prednaznaqeno dl studentov AVTF, specializiruwihs po voprosam zawity informacii v vyqislitel~nyh seth

Zav. kafedro Matematiqeskogo modelirovani d.f.-m.n., prof. .A.Dubinski

c

A.A.Bolotov, S.B.Gaxkov, A.B.Frolov, A.A.Qasovskih

Posvwaets Arto Salomaa, matematiku, kriptografu i drugu

Predislovie V posledne qetverti dvadcatogo stoleti na styke teorii slonosti algoritmov, algoritmiqesko teorii qisel i komp~terno algebry zarodilos~ i v naxi dni pereivaet nastowi bum po mnogim aspektam napravlenie, izvestnoe seqas kak kriptografi s otkrytym klqom, i pozvolivxee uspexno rexat~ raznoobraznye zadaqi, svzannye s zaxito informacii v komp~ternyh seth (1, 14]). V poslednie gody intensivno razvivaets kriptografi lliptiqeskih krivyh (lliptiqeska kriptografi) (15, 16]), gde rol~ osnovno kriptografiqesko funkcii vypolnet operaci vyqisleni kratnogo toqki lliptiqesko krivo, t.e. operaci umnoeni toqki lliptiqesko krivo na skalr na osnove operacii sloeni toqek krivo. Posledn, v svo oqered~, realizuets s ispol~zovaniem operaci umnoeni, vozvedeni v stepen~ i invertirovani mnogoqlenov v pole Galua GF (2n ): Osoby interes k lliptiqesko kriptografii obuslovlen temi preimuwestvami, kotorye daet ee ispol~zovanie v besprovodnyh kommunikacih,{ bystrodestvie i nebol~xa dlina klqa. Naprimer, v postroennyh na osnove lliptiqeskih krivyh kriptosistemah binarno razmernosti v diapazone ot 150 do 350 obespeqivaets uroven~ kriptografiqesko stokosti, kotory trebuet ispol~zovani v izvestnyh kriptosistemah binarno razmernosti ot 600 do 1400 i bolee. Nastowee uqebnoe posobie i posvweno tomu sovremennomu napravleni kriptografii s otkrytym klqom - kriptografii lliptiqeskih krivyh. V nm otraen opyt raboty nauqnogo seminara na kafedre matematiqeskogo modelirovani M I pod rukovodstvom 3

4

/0%$(1+."(%

A.A.Bolotova, na kotorom issledovalis~ voprosy ffektivno realizacii arifmetiqeskih operaci v koneqnyh polh i gruppah toqek lliptiqeskih krivyh, a take problemy implementacii kriptografiqeskih protokolov lliptiqesko kriptografii i ee priloeni k zawite lektronno informacii. Pri ego podgotovke ispol~zovany nauqnye stat~i avtorov 2, 3, 4, 5, 6, 7], a take drugie istoqniki, privedennye v spiske literatury. Nardu s fundamental~nymi algebraiqeskimi aspektami kriptografii lliptiqeskih krivyh osoboe vnimanie udelets voprosam ffektivno realizacii osnovnyh operaci i osnovannyh na nih kriptografiqeskih protokolov s uqetom osobennoste i vozmonoste komp~tera, to est~ metodam ih implementacii. Uqebnoe posobie sostoit iz nastowego predislovi, qetyreh glav i dvuh priloeni. Perva glava posvwena obsudeni osnovnyh ponti i svostv koneqnyh pole i ih rasxireni, a take metodam postroeni i analiza neprivodimyh mnogoqlenov. Vo vtoro glave rassmatrivats ffektivnye algoritmy umnoeni, vozvedeni v stepen~ i invertirovani mnogoqlenov v polh Galua GF (2n ) i sposoby ih komp~terno realizacii. Tret~ glava posvwena lliptiqeskim krivym i ispol~zuemym v kriptografii ih svostvam. Opisyvats operacii v gruppe toqek i rassmatrivats osobennosti krivyh nad polem harakteristiki 2. Obsudats rezul~taty komp~ternyh ksperimentov po realizacii operaci v koneqnyh polh i abelevo gruppe toqek lliptiqesko krivo. V qetverto glave rassmatrivats nekotorye kriptografiqeskie protokoly, realizuemye v dvuh variantah - s ispol~zovaniem operacii umnoeni i vozvedeni v stepen~ v koneqnom pole i s ispol~zovaniem operacii gruppy toqek lliptiqesko krivo i umnoeni na skalr toqki tako krivo. V dvuh priloenih privedeny tablicy neprivodimyh mnogoqlenov s trem i pt~ slagaemymi.

Glava 1 Koneqnye pol 1.1

Pol

1.1.1

Osnovnye ponti

Pole i rasxireni pol

Napomnim osnovnye opredeleni i svostva pol. Polem nazyvaets mnoestvo F s operacimi sloeni i umnoeni, kotorye udovletvort associativnomu, kommutativnomu i distributivnomu zakonam, priqm imets kak additivna (0), tak i mul~tiplikativna (1) edinicy, kady lement imeet obratny lement po sloeni , krome togo kady lement, krome additivno edinicy 0 imeet i obratny lement po umnoeni. Primerami vlts Q { pole racional~nyh qisel, R { pole destvitel~nyh qisel, C { pole kompleksnyh qisel, Pole K takoe, qto F K nazyvaets rasxireniem pol F naprimer, pole C est~ rasxirenie kak pol Q tak i pol R poslednee vlets rasxireniem pol Q: Qislo k lementov pol nazyvaets pordkom pol. Razliqat beskoneqnye pol (naprimer, mnoestvo racional~nyh qisel) i koneqnye pol, naprimer, pole f0,1g s operacimi sloeni po modul dva i umnoeni (sm. primer). Koneqnye pol nazyvats polmi Galua . Pole Galua pordka k oboznaqaets GF (k ) ili Fk : Primer 1.1. Prostexim koneqnym polem vlets binarnoe pole GF (2) s operacimi sloeni po modul 2 i : umnoeni. 5

#+" 1. *.-%7-% /.+?

6

ti operacii opredelts tablicami

0 1 0 0 1 1 1 0

0 1 0 0 0 1 0 1 :

Primer 1.2. Rassmotrim otnoxenie kongruntnosti (srav-

nimosti) po modul dannogo qisla m na rasxirennom (vklqawem qislo 0) mnoestve natural~nyh qisel N+ (sm. p. 1.1). to otnoxenie vlets otnoxeniem kvivalentnosti i razbivaet mnoestvo N+ na klassy kvivalentnosti, ili smenye klassy, po modul m: V kaqestve oboznaqeni tih klassov mono vzt~ naimen~xie qisla klassov. Opredelim na tih qislah operacii sloeni i umnoeni po modul m:

Teorema 1.1. Mnoestvo smenyh klassov po modul m (ili ih oboznaqeni ) s operacimi sloeni i umnoeni po modul m na mnoestve oboznaqeni tih klassov vlets polem togda i tol~ko togda, kogda m = p gde p { prostoe qislo. Edinicami po sloeni i umnoeni togo pol GF (p) vlts klassy, soderawie qisla 0 i 1 sootvetstvenno.

Pordkom lementa nazyvaets naimen~xi poloitel~ny pokazatel~ ego stepeni, ravno 1. lement g pol nazyvaets primitivnym, ili obrazuwim, esli dl lbogo drugogo nenulevogo lementa a pol nadets neotricatel~noe qislo x takoe, qto a = g x: Kak vidim, obrazuwimi koneqnogo pol Fk vlts lementy pordka k ; 1: Rassmotrennoe pole klassov kongruntnosti celyh qisel po modul prostogo qisla p GF (p)) (oboznaqaets take Z=pZ ili F p) i nazyvaets prostym polem. Esli mnogokratnoe sloenie 1 ne pozvolet poluqit~ 0, to pole nazyvaets polem harakteristiki nol~ v tom sluqae ono soderit kopi pol racional~nyh qisel. V protivnom sluqae, esli suwestvuet prostoe qislo p takoe, qto p-kratnoe sloenie 1 dat 0, qislo p nazyvaets harakteristiko pol: V tom sluqae pole soderit kopi pol Z=pZ:

1.1. /.+?

7

Kol~co mnogoqlenov, pol razloeni mnogoqlenov, algebraiqeskie zamykani

Kol~co mnogoqlenov nad polem F vo mnoestve peremennyh X = fX1 . . . Xmg oboznaqaets F X ] obrazuets kak vsevozmonye summy proizvedeni stepene tih peremennyh s kofficientami iz F : (Napomnim, qto v otliqie ot pol ne kady otliqny ot 0 lement kol~ca imeet obratny lement po umnoeni). Polinomy v F X ] skladyvats i umnoats po tem e pravilam, qto i mnogoqleny nad destvitel~nymi peremennymi. Govort, qto mnogoqlen g delit mnogoqlen f esli suwestvuet mnogoqlen h tako, qto f = g h f g h 2 F X ]:

Naibol~xim obwim delitelem (n.o.d.) dvuh mnogoqlenov g f kol~ca F X ] nazyvaets normirovanny mnogoqlen naibol~xe

stepeni, kotory delit kady iz tih mnogoqlenov. Mnogoqlen f 2 F X ] nazyvaets neprivodimym esli f = g h tol~ko v sluqae, kogda libo g libo h vlets konstanto. Neprivodimye mnogoqleny sredi mnogoqlenov igrat tu e rol~, qto prostye qisla sredi celyh qisel. Dalee budut rassmatrivat~s tol~ko mnogoqleny odno peremeno (sluqa m = 1 X = X1): Stepen~ mnogoqlena nazyvaets naibol~xa stepen~ d peremenno X prisutstvuwa v mnogoqlene s nenulevym kofficientom ad: Pri tom mnogoqlen nazyvaets normirovannym Esli

ad = 1:

Vskoe kol~co mnogoqlenov odno ili bolee peremennyh imeet edinstvennu faktorizaci v tom smysle, qto kady mnogoqlen iz kol~ca moet byt~ predstavlen v vide proizvedeni neprivodimyh mnogoqlenov edinstvennym s toqnost~ do pordka mnoitele obrazom. Proizvodna mnogoqlena f stepeni d odno peremenno X opredelets po pravilu nX n;1 dl sostavlwih mnogoqlen stepene X n peremenno X a ne qerez pontie predela vvidu otsutstvi ponti rasstoni ili topologii v F : Polinom f odno peremenno stepeni d moet imet~ ili ne imet~ koren~ v F to est~ lement r 2 F tako, qto f (r ) = 0: V pervom sluqae mnogoqlen pervo stepeni X ; r delit f esli (X ; r)m est~ vysxa stepen~ ot (X ; r) kotora delit f govort, qto r { koren~ kratnosti m: Vvidu edinstvennosti faktorizacii obwee

8

#+" 1. *.-%7-% /.+?

qislo korne mnogoqlena f v F s uqetom kratnosti ne prevyxaet d: Esli mnogoqlen f 2 F imeet kratny koren~ r to r budet i kornem proizvodno f 0 i, sledovatel~no, n.o.d. mnogoqlenov f i f 0: Pust~ dan mnogoqlen f (X ) 2 F X ] odno peremenno i imeets rasxirenie K pol F takoe, qto f (X ) 2 KX ] razlagaets v proizvedenie linenyh mnoitele (ili, qto kvivalentno) imeet d korne v K s uqetom kratnoste, gde d { stepen~ mnogoqlena f (X ) i takoe, qto K vlets naimen~xim rasxireniem pol, soderawim ti korni. Togda K nazyvaets polem razloeni mnogoqlena f nad polem F : Takoe pole edinstvenno s toqnost~ do izomorfizma. p Primer 1.3. Pole Q( 2) vlets polem razloeni mnogoqlena f (X ) = X 2 ; 2 2 QX ]: Dl poluqeni pol razloeni mnop 3 goqlena f (X ) = X 3 ; 2 2 QX ] nado prisoedinit~ k Q kak 2 tak p i ;3: (Napomnim kornmi 1 p , qto netrivial~nymi kubiqeskimi p vlts (;1 ;3)=2 tak qto prisoedinenie ;3 kvivalentno prisoedineni vseh kubiqeskih korne 1.) Esli pole F obladaet tem svostvom, qto vski mnogoqlen s kofficientami iz F razlagaets na linenye mnoiteli, to est~ vski tako mnogoqlen imeet korni iz F to ono nazyvaets algebraiqeski zamknutym: Naimen~xee zamknutoe pole, soderawee F nazyvaets algebraiqeskim zamykaniem pol F i oboznaqaets F : Naprimer, algebraiqeskim zamykanie pol R destvitel~nyh qisel vlets pole C kompleksnyh qisel. Vektornoe prostranstvo nad polem, algebraiqeskie rasxireni pol

Vektornoe prostranstvo nad polem F opredelets tak e, kak

vektornoe prostranstvo nad polem R destvitel~nyh qisel, to est~ kak mnoestvo vektorov, lba linena kombinaci kotoryh prinadleit pol, priqem sloenie distributivno otnositel~no umnoeni na skalr. Vektornoe prostranstvo imeet bazis: Qislo lementov v bazise vektornogo prostranstva opredelet ego razmernost~. Zametim, qto vektornoe prostranstvo razmernosti d nad polem F mono poluqit~ iz kol~ca mnogoqlenov F X ] podstanovko v kady mnogoqlen korn x lbogo neprivodimogo mnogoqlena iz

1.1. /.+? togo kol~ca stepeni d: Destvitel~no, lbo lement iz vlen kak linena kombinaci

9

F x] moet

byt~ predsta-

a0 + a1x + a2x2 + . . . + ad;1xd;1 (1:1) stepene 1 x x2 . . . xd;1 : voznikawie posle podstanovki x v mnogoqlen iz kol~ca termy xd+i dolny zament~s na xd+i ; xi p(x) tak kak

(1:2) xd ; xi p(x) = xi (xd ; p(x)) = xi xd = xd+i poskol~ku x { koren~ mnogoqlena p(X ) i p(x) = 0: Takim obrazom, ti stepeni x obrazut bazis vektornogo prostranstva razmernosti d nad polem F : Rasxirenie pol F kak bo l~xee pole, soderawee F sovpadaet (kak mnoestvo) s vektornym prostranstvom nad polem F : Pri tom operaci sloeni pol to e, qto i operaci sloeni vektornogo prostranstva, a kommutativna operaci umnoeni, taka, qto kady nenulevo lement imeet obratny, moet byt~ opredelena v obwem sluqae neskol~kimi sposobami, rassmatrivaemymi nie. My nazyvaem takoe pole koneqnym rasxireniem, esli ono vlets vektornym prostranstvom koneqno razmernosti. Pri tom razmernost~ vektornogo prostranstva opredelet stepen~ koneqnogo rasxireni pol. Obwim sposobom poluqeni rasxireni pol vlets prisoedinenie novogo lementa x iz nekotorogo rasxireni H pol F k tomu pol. Budem oboznaqat~ poluqawees pri tom pole K = F (x): Ot vybora togo lementa zavisit operaci umnoeni rasxireni pol, qto budet pokazano dalee. lement x nekotorogo rasxireni K pol F nazyvaets algebraiqeskim nad F esli suwestvuet tako mnogoqlen odno peremenno f (X ) 2 F X ] qto f (x) = 0: V tom sluqae imeets edinstvenny normirovanny neprivodimy mnogoqlen p(X ) v F X ] kornem kotorogo vlets x kotory nazyvaets minimal~nym normirovannym mnogoqlenom dl x: Lbo drugo mnogoqlen, kotoromu udovletvoret x delits na tot mnogoqlen. Vski drugo koren~ x0 minimal~nogo mnogoqlena ot x nazyvaets sopreniem x nad F : Proizvedenie vseh sopreni,

10

#+" 1. *.-%7-% /.+?

vklqa sam koren~ x nazyvaets normo: Esli x0 vlets so0 preniem x to p pol F (x) i F (x ) izomorfny. p Naprimer, 2 imeet odno soprenie nad Q a imenno ; 2 p p i otobraenie a + b 2 ! a ; b 2 vlets avtomorfizmom pol p Qp( 2) obrazovannogo vsemi destvitel~nymi qislami vida a + b 2 gde a i b { racional~nye qisla. lement g delit lement f v pole F esli suwestvuet lement h tako, qto f = g h f g h 2 F : Esli minimal~ny mnogoqlen dl x imeet stepen~ d to lbo lement iz F (x) moet byt~ predstavlen kak linena kombinaci (1.1) stepene 1 x x2 . . . xd;1: Takim obrazom, ti stepeni obrazut bazis pol F (x) nad F tak qto stepen~ rasxireni, poluqawegos prisoedineniem lementa x taka e, kak i stepen~ minimal~nogo mnogoqlena ot x: Pri takom vybore lementa x estestvennym obrazom opredelets operaci umnoeni poluqawegos rasxireni pol: rezul~tatom umnoeni dvuh lementov pol, predstavlennyh mnogoqlenami vida (1.1) vlets znaqenie pri X = x rezul~tata umnoeni sootvetstvuwih mnogoqlenov kol~ca, to est~ mnogoqlenov vida a0 + a1X + a2X 2 + . . . + ad;1X d;1 (1:3) po pravilam umnoeni v kol~ce FpX ]: to e znaqenie vlets znaqeniem pri X = x ostatka ot deleni rezul~tata umnoeni takih mnogoqlenov kol~ca na minimal~ny normirovanny mnogoqlen p(X ): Destvitel~no, poskol~ku x vlets kornem togo mnogoqlena, to voznikawie v processe umnoeni i uproweni v sootvetstvii s todestvom (1.2) predstavleni i budut znaqeniem ukazannogo ostatka. Vvidu izomorfizma predstavleni (1.1) i (1.3), sohranwego rezul~taty operacii umnoeni po modul neprivodimogo mnogoqlena algoritm operacii umnoeni v rasxirenii pol mono predstavit~ neposredstvenno s ispol~zovaniem oboznaqeni vida (1.1). Pri tom dl udobstva koren~ x stepeni kotorogo obrazut bazis pol budem oboznaqat~ x i vyraeni (1.1) zapisyvat~ v

1.1. /.+?

11

vide summy

a0 + a1x + a2x2 + . . . + ad;1xd;1

stepene

(1:4)

1 x x2 . . . xd;1 sostavlwih tak nazyvaemy polinomial~ny ili standartny bazis pol F (x): Itak, dl umnoeni dvuh polinomov v standartnom bazise dostatoqno umnoit~ ih predstavleni v vide (1.1) po pravilam umnoeni v kol~ce mnogoqlenov i zatem vzt~ ostatok ot deleni na mnogoqlen f (x) po pravilam deleni v kol~ce mnogoqlenov. (Zametim, qto f (x) = 0 odnako v dannom sluqae delenie na 0 dopustimo, tak kak tot process otobraaet delenie na mnogoqlen f (X ) i posleduwu podstanovku korn x v okonqatel~ny rezul~tat.) Nie operaci umnoeni v kol~ce mnogoqlenov F X ] oboznaqaets a operaci umnoeni v pole F (x) oboznaqaets : Naibol~xim obwim delitelem (n.o.d.) dvuh lementov g f pol F (x) nazyvaets lement pol, predstavlemy normirovannym mnogoqlenom naibol~xe stepeni, kotory delit kady iz tih lementov. Oqevidno, qto on poluqaets podstanovko x v n.o.d. mnogoqlenov, g(X ) i f (X ) kol~ca mnogoqlenov F X ]: Algoritm Evklida

Naibol~xi obwi delitel~ (n.o.d.) mnogoqlenov f (X ) i g(X ) v kol~ce mnogoqlenov F X ] v qastnosti v kol~ce Fp X ] (ili mnogoqlenov f (x) i g(x) v rasxirenii Fp(x) pol Fp ) mono predstavit~ qerez ti mnogoqleny sleduwim obrazom

(f (X ) g(X )) = p(X ) f (X ) + q(X ) g(X ):

(1:5)

ili

(f (x) g(x)) = p(x) f (x) + q(x) g(x): (1:6) Dl nahodeni n.o.d. polinomov v kol~ce polinomov mono ispol~zovat~ razliqnye varianty algoritma Evklida. Pri tom mono poluqit~ i predstavlenie n.o.d. v vide (1.5) ili (1.6).

Poslednee mono ispol~zovat~ dl invertirovani dannogo mnogoqlena f (x) v pole F( x) Destvitel~no, esli g (X ) neprivodimy nad polem Fp mnogoqlen, koren~ x kotorogo ispol~zuets

#+" 1. *.-%7-% /.+?

12

dl postroeni rasxireni Fp(x) togo pol, to

(f (x) g(x)) = p(x) f (x) + q(x) g(x) = 1: No q(x) g(x) = 0 i, sledovatel~no,

to est~, p(x) = f ;1 (x):

1.1.2

p(x) f (x) = 1

Nekotorye svostva koneqnyh pole

Pust~ F q { pole s koneqnym qislom lementov q: sno, qto koneqnoe pole ne moet byt~ polem harakteristiki 0 i ego harakteristiko vlets qislo p: Togda pole Fq soderit pole Z=pZ i vlets vektornym prostranstvom koneqno razmernosti nad F p. Pust~ f oboznaqaet ego razmernost~ kak Fp-vektornogo prostranstva. Vybrav bazis, mono ustanovit~ vzaimno odnoznaqnoe sootvetstvie medu lementami togo f -razmernogo vektornogo prostranstva i mnoestvom vseh f -kortee lementov iz Fp: Otsda sleduet, qto dolno byt~ q = pf lementov v Fq : To est~ q vlets stepen~ harakteristiki p: My skoro pokaem, qto dl kado stepeni q = pf lbogo prostogo qisla p suwestvuet edinstvennoe s toqnost~ do izomorfizma pole iz q lementov. No snaqala my issleduem mul~tiplikativny pordok nenulevyh lementov iz F q : Suwestvovanie mul~tiplikativnyh obrazuwih koneqnogo pol

Imeets q ; 1 nenulevyh lementov i, po opredeleni pol, oni sostavlt abelevu gruppu po umnoeni. to oznaqaet, qto proizvedenie dvuh lbyh takih lementov ne ravno nul i vypolnts svostva gruppy. Tak po teoreme Lagrana pordok lbogo lementa a 2 F q delit q ; 1: Sleduwa teorema otraaet osnovno fakt o koneqnyh polh. Ona govorit o tom, qto nenulevye lementy lbogo koneqnogo pol sostavlt cikliqesku gruppu, to est~ vlts stepenmi odnog i togo e leienta.

Teorema 1.2. Kadoe koneqnoe pole imeet obrazuwi lement. Esli g vlets obrazuwim lementom gruppy Fq to gj

1.1. /.+?

13

take vlets obrazuwim lementom togda i tol~ko togda, kogda n.o.d. (j q ; 1) lementov j i q ; 1 raven 1: Tak obwee qislo obrazuwih gruppy Fq sostavlet '(q ; 1) gde ' { funkci lera. Spravedliva take sleduwa lemma, ispol~zuema pri dokazatel~stve to teoremy

Lemma 1.1. Dl vskogo celogo qisla N > 1 imeet mesto

djn'(d) = N: Sledstvie 1.1. Dl vskogo prostogo qisla suwestvuet celoe g takoe, qto stepeni g porodat vse nenulevye klassy po modul

p:

Primer 1.4.

My moem poluqit~ vse ostatki po modul 19 ot 1 do 18, ispol~zu podhodwie stepeni 2 posledovatel~nye stepeni 2 posle privedeni po modul 19 sleduwie:

2,4,8,16,13,7,14,9,18,17,15,11,3,6,12,5,10,1.

Suwestvovanie i edinstvennost~ koneqnyh pole s qislom lementov, ravnym stepeni prostogo qisla

Kak suwestvovanie, tak i edinstvennost~ dokazyvats demonstracie togo, qto koneqnoe pole iz q = pf lementov vlets polem razloeni mnogoqlena X q ; X: Sleduwa teorema utverdaet, qto dl kado stepeni q = pf prostogo qisla imeets odno i s toqnost~ do izomorfizma tol~ko odno koneqnoe pole s q lementami.

Teorema 1.3. Esli Fq vlets polem iz q = pf lementov, to kady ego lement udovletvoret uravneni X q ; X = 0 i to pole v toqnosti sostoit iz korne togo uravneni. Obratno, dl kado stepeni q = pf prostogo qisla pole razloeni mnogoqlena X q ; X nad F soderit q lementov. Sledstvie 1.2. Esli Fq vlets polem iz q = pf lementov, to kady ego nenulevo lement udovletvoret uravneni

X q;1 = 1:

to utverdenie vlets analogom malo teoremy Ferma.

Sledstvie 1.3. Esli Fq vlets polem iz q = pf lementov, to dl kadogo ego nenulevogo lementa a obratnym po umnoeni vlets lement aq;2:

#+" 1. *.-%7-% /.+?

14

ki

Otmetim take fundamental~ny fakt o polh harakteristi-

p:

Lemma 1.2. V lbom pole harakteristiki p vypolnets todestvo (a + b)p = ap + bp:

Takim obrazom, vozvedenie v stepen~ sohranet operacii pol. tot fakt obobwaets sleduwe teoremo.

Teorema 1.4. Pust~ Fq { koneqnoe pole iz q = pf lementov i pust~ est~ otobraenie, sopostavlwee kadomu lementu ego p- stepen~: (a) = ap: Togda vlets avtomorfizmom pol Fq : lementami, sohranemymi pri avtomorfizme, vlts lementy prostogo pol Fp i tol~ko oni. Pri tom f - stepen~ togo otobraeni, no nikaka men~xa stepen~, vlets todestvennym otobraeniem. Teorema 1.5. Podpolmi pol Fpf vlts vse pol Fpd dl d delwih f . Esli lement pol Fpf prisoedinets k Fp poluqaets odno iz takih pole. Primer

Do sih por naxi rassudeni imeli teoretiqeski harakter. praktiqeski e rassmatrivalis~ koneqnye pol vida Z=pZ: Teper~ posmotrim, kak rabotat~ s koneqnym rasxireniem Fp: Napomnim, kak v sluqae pol Qpracional~nyh qisel my rabotaem s takim rasxireniem, kak Q( 2): My poluqaem to pole, ispol~zu koren~ x uravneni X 2 ; 2 = 0 i rassmatrivaem vsevozmonye vyraeni vida a + bx kotorye skladyvats i umnoats obyqnym sposobom, priqem x2 vsegda zamenets na 2. V sluqae p3 Q( 2) my rabotaem s vyraenimi vida a + bx + cx2 zamen vsegda x3 na 2. My moem priment~ tot obwi priem i pri rabote s koneqnymi polmi. Primer 1.5. Dl postroeni F9 voz~mem lbo kvadratiqny mnogoqlen v F3X ] ne imewi korne v F3: Perebira vsevozmonye varianty takih mnogoqlenov i prover v kadom sluqae, ne vlts li lementy 0 1 2 F3 kornmi sootvetstvuwih mnogoqlenov, ubedims, qto imeets tol~ko tri neprivodimyh kvadratiqnyh mnogoqlena: X 2 +1 X 2 X ;1: Esli, naprimer, my vyberem v kaqestve x koren~ mnogoqlena X 2 +1 i i oboznaqim ego kak i to lementami pol budut vsevozmonye kombinacii

1.1. /.+?

15

vida a + bi gde a i b prinimat znaqeni 0 1: Kak vidim, to pole po vidu pohoe na arifmetiku Gaussovyh celyh (mnoestvo kompleksnyh qisel s celymi destvitel~no i mnimo sostavlwimi) i otliqaets tem, qto kofficienty a i b beruts iz

F3:

Zametim, qto prisoedinemy lement i ne vlets obrazuwim lementom gruppy F9 tak kak imeet pordok 4, men~xi, qem q ; 1 = 8: esli e my prisoedinim koren~ x mnogoqlena X 2 ; X ; 1 my moem imet~ vse nenulevye lementy pol 9 ber posledovatel~nye stepeni x: (Napomnim, qto x2 zamenets na x + 1 poskol~ku x udovletvoret uravneni X 2 = X + 1) : x1 = x x2 =

x +1 x3 = ;x +1 x4 = ;1 x5 = ;x x6 = ;x ; 1 x7 = x ; 1 x8 = 1: O neprivodimyh mnogoqlenah

Neprivodimye mnogoqleny, vse korni kotoryh vlts obrazuwimi lementami mul~tiplikativno gruppy, nazyvats primitivnymi. Po teoreme 1:1 imeets '(8) = 4 obrazuwih gruppy F9 : dva iz nih vlts kornmi mnogoqlena X 2 ; X ; 1 i dva { kornmi mnogoqlena X 2 + X ; 1: (Vtoro koren~ mnogoqlena X 2 ; X ; 1 vlets sopreniem dl x) a imenno (x) = x3 = ;x + 1): Iz ostavxihs qetyreh nenulevyh lementov dva (i = (x + 1)) vlts kornmi mnogoqlena X 2 + 1 i drugie dva (1) { nenulevye lementy F3 (oni { korni mnogoqlenov pervo stepeni X 1:)

Teorema 1.6. Dl kadogo q = pf mnogoqlen X q ; X razlagaets v FpX ] v proizvedenie vseh neprivodimyh mnogoqlenov stepeni d delwih f: Sledstvie 1.4. Esli f { prostoe qislo, to imeets (pf ; p)=f razliqnyh normirovannyh neprivodimyh mnogoqlenov stepeni f v F ; pX ]: Zametim, qto

1.1.3

(pf ; p)=a { celoe po malo teoreme Ferma.

Upraneni

1.1. Dl p=2,3,5,7,11,13 i 17 nati naimen~xee poloitel~noe qislo, vlwees obrazuwim lementom dl gruppy Fp i opredelit~, skol~ko qisel iz 1 2 3 . . . p ; 1 vlts obrazuwimi.

#+" 1. *.-%7-% /.+?

16

1.2. Dl kadogo poloitel~nogo d 6 nati qislo neprivodimyh mnogoqlenov nad F2 stepeni d i postroit~ ti mnogoqleny. 1.3. Dl kadogo poloitel~nogo d 4 nati qislo normirovannyh neprivodimyh mnogoqlenov nad F3 stepeni d i postroit~ ti mnogoqleny. 1.4. Napisat~ i programmy dl operacii umnoeni v polh, porodaemyh prisoedineniem k GF (2) neprivodimogo polinoma, a take programmy vyqisleni obratnogo lementa.

1.2

Pol Galua GF (2

n

)

1.2.1

Ewe raz o polh Galua

1.2.2

Kol~co mnogoqlenov nad GF (2)

Kak bylo otmeqeno v pervom razdele, prostye koneqnye pol Fp gde p - prostoe qislo, i ih rasxireni Fpn nazyvats take polmi Galua i oboznaqats GF (p) i GF (pn ) sootvetstvenno. Pri tom algebraiqeskoe rasxirenie GF (pn ) obrazuets prisoedineniem k pol GF (p) korn x nekotorogo neprivodimogo mnogoqlena stepeni n nad polem GF (p) to est~ GF (pn ) = GF (p)(x): V dannom razdele my rassmatrivaem pol Galua GF (2n ) = GF (2)(x) voznikawie v rezul~tate prisoedineni k prostexemu pol Galua GF (2) korn x neprivodimogo mnogoqlena stepeni n nad tim prostexim polem. Kol~co mnogoqlenov GF (2)X ] odno peremenno X nad polem GF (2) opredelets kak mnoestvo vseh koneqnyh summ stepene peremenno X: Pri tom additivno edinice vlets nulevo mnogoqlen, a mul~tiplikativno edinice { mnogoqlen 1. Operaci sloeni vlets porazrdno operacie, pri vypolnenii kotoro stepeni peremenno, vstreqawies v oboih slagaemyh isklqats, a stepeni, vstreqawies tol~ko v odnom iz slagaemyh vklqats kak qleny mnogoqlena-proizvedeni. To est~ sloenie zaklqaets v pokomponentnom (dl kado stepeni) sloenii po modul 2. Operaci umnoeni sootvetstvuet obyqnomu umnoeni mnogoqlenov s tem otliqiem, qto vse operacii sloeni i umnoeni nad kofficientami zaments

1.2. /.+? #+3

N

GF (2

)

17

sootvetstvuwimi operacimi pol GF (2): Takim obrazom, operacii kol~ca mnogoqlenov nad GF (2) mono opisat~ sleduwim obrazom. Operaci sloeni sopostavlet dvum mnogoqlenam stepeni ne vyxe, qem n ; 1

p1(X ) =

n;1 X i=0

aiX i i p2(X ) =

ih summu

p1(X ) + p2(X ) =

n;1 X i=0

n;1 X i=0

biX i

(ai bi)X i:

Zdes~ i nie v formulah, podobnyh formule v pravo qasti, imets v vidu logiqeskie operacii sloeni i umnoeni. Rezul~tatom operacii umnoeni mnogoqlenov p1(X ) = Pn;1 Pn;1 i i i=0 ai X i p2 (X ) = i=0 bi X vlets mnogoqlen

p(X ) = p1(X ) p2(X ) = P

2n ;2 X i=0

ciX i

gde ci = t+l=i atbl : Kol~co mnogoqlenov ne vlets polem, tak kak ne dl vskogo mnogoqlena imeets obratny po umnoeni mnogoqlen. V kol~ce mnogoqlenov mono opredelit~ operaci deleni, sopostavlwu mnogoqlenam f (X ) i g (X ) mnogoqlen r(X ) stepeni men~xe stepeni mnogoqlena g (X ) tako, qto suwestvuet mnogoqlen q (X ) udovletvorwi ravenstvu f (X ) = q (X ) g (X ) +

r(X ):

Esli pri tom mnogoqlen r (X ) = 0 to govort, qto g (X ) delit f (X ) qto zapisyvat kak gjf: dvuh mnogoqlenov Naibol~xi obwi delitel~ (n.o.d.) f (X ) i g(X ) mono predstavit~ qerez ti mnogoqleny sleduwim obrazom

(f (X ) g(X )) = p(X ) f (X ) + q(X ) g(X ): Dl nahodeni n.o.d. polinomov mono ispol~zovat~ algoritm Evklida.

#+" 1. *.-%7-% /.+?

18

1.2.3

Rasxireni pol GF (2)

{ pol Galua GF (2n)

Pust~ f(X) { neprivodimy nad GF (2) mnogoqlen stepeni n i x { ego koren~ v nekotorom rasxirenii pol GF (2): Togda vse linenye kombinacii vida

1 + a1x + a2x2 + . . . + an;1xn;1 obrazut pole Galua GF (2n ) s operacie umnoeni, opredelemo neprivodimym mnogoqlenom f (X ):

ta operaci otliqaets ot operacii umnoeni mnogoqlenov nad polem GF (2) to est~ ot operacii umnoeni v kol~ce mnogoqlenov tem, qto voznikawie pri umnoenii odnoqleny xn+i zaments na xi (f (x)+ xn ) tak kak f (x)+ xn = xn a x { koren~ f (X ): ti zameny mono proizvodit~ v processe vypolneni umnoeni ili e po okonqanii processa umnoeni nad polem GF (2): Vo vseh sluqah rezul~tatom zameny budet ostatok ot deleni (v kol~ce mnogoqlenov) promeutoqnogo ili okonqatel~nogo rezul~tata operacii umnoeni nad GF (2) na f (x): Operaci sloeni ne otliqaets ot operacii sloeni mnogoqlenov nad polem GF (2): Prostexee pole Galua GF (2) sootvetstvuet v ukazannom smysle mnogoqlenu X + 1: Primer 2.1. Mnogoqlen X 2 + X + 1 porodaet pole Galua GF (22 ) s operacimi sloeni (+) i umnoeni ( ) opredelemymi tablicami (pri umnoenii lementov kak lementov kol~ca v kadom sluqae sleduet zament~ X 2 na X + 1):

+ 00 10 01 11

1.2.4

00 00 10 01 00

10 00 00 11 01

01 00 11 11 10

11 00 01 10 00

00 10 01 11

00 10 01 11

00 00 00 00

00 10 01 11

00 01 11 10

00 11 10 01

Algoritm Evklida

Algoritm Evklida vyqisleni n.o.d. dvuh mnogoqlenov tako e, kak i dl qisel. Klassiqeski variant algoritma Evklida dl qisel sleduwi

1.2. /.+? #+3

N

GF (2

)

19

Dany qisla r;2 i r;1 nati (r;2 r;1) ; ih naibol~xi obwi delitel~: Poloit~ k = 0 Poka rn 6= 0 vyqislt~ sohran ak ak = rk;2=rk;1] rk = ;ak rk;1 + rk;2 n = k GCD = rk;1 k = k + 1: Print~ k = n ; 1 Poloit~ pk = 0 qk = 1: Poka k 6= ;2 vyqislt~ pk;1 = qk qk;1 = pk ; ak qk k = k ; 1 Poluqaemye po tomu algoritmu qisla takovy, qto

GCD = rn;1 p;1 i q;1

p;1r;2 + q;1r;1 = rn;1 = (r;1 r;1): Destvitel~no, legko proverit~, qto dl vseh k vypolnets

rn;1 = qk rk + pk rk;1 : tak kak rk

= rk;2 ; akrk;1 to rk = rk;2 ; ak rk;1 i, sledovatel~no,

qkrk + pk rk;1 = qk (rk;2 ; ak rk;1) + pk rk;1 = = (pk ; akqk )rk;1 + qk rk;2: Predlagaets sformulirovat~ i dokazat~ analogiqny algoritm dl lementov pol F (x) { mnogoqlenov r(;2) r (;1) gde

r(;2)(x) =

X (;2) i

1

ri x r(;1)(x) =

X (;1)

i

ri xi:

#+" 1. *.-%7-% /.+?

20

Rexenie.

Dany mnogoqleny r(;2) i r(;1) nati (r(;2) r (;1)) ; ih naibol~xi obwi delitel~: Poloit~ k = 0 Poka r n 6= 0vyqislt~ sohran a(k) a(k) = r(k;2)=r(k;1)] r(k) = ;a(k) r(k;1) + r(k;2) n = k GCD = r(k;1) k = k + 1: Print~ k = n ; 1

Poloit~p(k) = 0 q (k) = 1:Poka k 6= ;2vyqislt~ p(k;1) = q(k) q(k;1) = p(k;1) ; a(k)q(k) k = k ; 1: Zdes~ a(k) = r (k;2)=r(k;1) ] { qastnoe ot deleni mnogoqlena rk;2 na mnogoqlen rk;1: Poluqaemye po tomu algoritmu mnogoqleny GCD = rn;1 p(;1) i q(;1) takovy, qto p(;1)r(;2) + q(;1)r(;1) = r(n;1) = (r(;1) r(;1)):(2:1) Privedem primer raboty togo algoritma s mnogoqlenami nad

F2 :

Primer 2.2. Pust~ f (x) = r(;2)(x) = x4 +x3 +x2 +1 g(x)r(;1) (x) =

x3 + 1: nadem n.o.d. i predstavim ego v vide p(x) f (x) + q(x) g(x) (2:2)

S pomow~ operacii deleni mnogoqlenov poluqaem posledovatel~nost~ ravenstv, pozvolwu zaklqit~, qto n.o.d.(f g) =

x + 1:

My imeem:

r(;2)(x) = (x + 1) r(;1)(x) + (x2 + x) t.e. a(0)(x) = x + 1 r (0) (x) = x2 + x r(;1)(x) = (x + 1) (x2 + x) + (x + 1) t.e. a(1)(x) = x + 1 r (1) (x) = x + 1 x2 + x = x (x + 1): t.e. a(2)(x) = x r (2)(x) = 0 n = 2:

1.2. /.+? #+3

N

GF (2

)

21

(r(;2) r(;1)) = r(n;1) = r(1) = x + 1: Polaga p(n;1) = p(1) = 0 q(n;1) = p(1) ; 1 i prosmatriva tu kolonku v obratnom pordke, poluqim polinomy p(;1) i q(;1) i zatem vyraenie (2.4) dl n.o.d. qerez polinomy f (x) i g (x) :

p(0) (x) = q(1)(x) = 1 q(0)(x) = p(1)(x) + a(1)(x)q(1)(x) = x + 1 p(;1)(x) = q(0)(x) = x + 1 q(;1) (x) = p(0)(x) + a(0)(x)q(0)(x) = x2 (r(;2)(x) r(;1) (x)) = (x + 1)r(;2)(x) + x2r(;1) (x): Otmetim, qto ispol~zovanny nami klassiqeski variant algoritma Evklida obladaet tem nedostatkom, qto dl poluqeni predstavleni n.o.d. qerez ishodnye mnogoqleny v vide (2:2) ne-

obhodimo sohranit~ vse promeutoqnye rezul~taty vyqisleni n.o.d.. togo nedostatka lixen rassmatrivaemy nie variant togo algoritma.

1.2.5

Algoritm Evklida (variant cepnyh drobe) dl qisel

Dany qisla r;2 i r(;1) nati (r;2 r;1) ; ih naibol~xi obwi delitel~: Poloit~ p;2 = 0 p;1 = 1 q;2 = 1 q;1 = 0 k = 0 i poka rn 6= 0 vyqislt~ rk = ;ak rk;1 + rk;2 0 rk < rk;1 pk = ak pk;1 + pk;2 qk = akqk;1 + qk;2: n = k GCD = rn;1 k = k + 1: Poluqaemye pri tom qisla rn;1 pn;1 i qn;1 udovletvort uravneni (2.4). Destvitel~no, legko proverit~, qto

qk rk+1 + qk+1rk = qk;1rk + qk rk;1 pk rk+1 + pk+1rk = pk;1 rk + pk rk;1: qk+1pk ; pk+1qk = ;(qk pk ; pk qk;1): 1

#+" 1. *.-%7-% /.+?

22

Naqina s k = ;1 i provod vyqisleni po indukcii, poluqim, qto dl vseh k ;1

qk;1rk + qk rk;1 = r;1 pk;1rk + pk rk;1 = r;2 qk pk;1 ; pk qk;1 = (;1)k : Pri k = n s uqetom rn = 0 poluqaem qnrn;1 = r;1 pnrn;1 = r;2 rn;1(qnpn;1 ; pnqn;1) = (;1)n rn;1 otkuda imeem

r;1pn;1 ; r;2qn;1 = (;1)nrn;1 = (;1)n (r;2 r;1): Predlagaets sformulirovat~ i dokazat~ analogiqnye algoritmy dl lementov pol F (x) { mnogoqlenov r(;2) r(;1) gde X X r(;2)(x) = r(;2)xi r(;1)(x) = r(;1)x :

Rexenie.

1

i

i

i

Polagaem p(;2) = 0 p(;1) = 1 q(;2) = 1 q(;1) = 0 i dl k = 0 1 . . . vyqislem p(k) = a(k)p(k;1) + p(k;2) q(k) = a(k)q(k;1) + q(k;2) : Tak e kak i dl qisel poluqaem

i

r(n) = 0 p(n)r(n;1) = r(;2) q(n)r(n;1) = r(;1) r(;1)p(n;1) ; r(;2)q(n;1) = (;1)n r(r;1): Tak kak deg a(n) > 0 to, oqevidno, (;2) (;1) deg p(n;1) < deg rr(n;1) i deg q(n;1) < deg rr(n;1) :

1.2. /.+? #+3

N

GF (2

)

23

Kak vidno iz tih vykladok, lbo obwi delitel~ mnogoqlenov r(;2) i r (;1) dolen take delit~ r(;1) p(n;1) i r (;2)q (n;1) i, sledovatel~no, lbo obwi delitel~ r(;2) i r (;1) delit r (n;1): to dokazyvaet, qto r(r;1) | naibol~xi obwi delitel~ tih polinomov. Otsda sleduet, qto naibol~xie obwie deliteli tih mnogoqlenov dolny delit~ drug druga. V sluqae qisel to vleqet edinstvennost~ n.o.d., a v sluqae mnogoqlenov ukazyvaet na to, qto n.o.d. dvuh mnogoqlenov opredelets s toqnost~ do skalrnyh mnoitele | lementov pol F: Neodnoznaqnost~ mono ustranit~ normirovaniem, to est~ putem ispol~zovani v kaqestve n.o.d. polinoma so starxim kofficientom 1. Kak vidim, neprivodimy polinom ne imeet delitele, krome skalrov i skalrnyh kratnyh samogo seb. Primeqanie. Rassmotrenny variant algoritma Evklida nazyvaets variantom cepnyh drobe, tak kak qastnoe pn =qn predstavlt sobo cepnu drob~

pn=qn = r2=r1 = a0 +

1

a1 + a + 2

1

a3 +

1

1 + a1n

a qastnye pk =qk vlts sootvetstvuwimi e naqal~nymi qastmi:

pk =qk = a0 +

1

a1 + a + 2

1

a3 +

1

:

1 + a1

k

V dannom variante algoritma na kadom xage neobhodimo zapominat~ ne bolee semi qisel ili polinomov. Primer 2.3. (Standartny podhod, vyqislenie n.o.d i kofficientov a(k)) i zatem p(k) q(k) . Pust~ (kofficienty iz binarnogo pol f0 1g) r(;2) = x5 + x2 + 1 r(;1) = x4 + x + 1: Vyqisleni a(k) i r(k) (po r(k;2) r(k;1)) predstavleny v tablice

k r(k;2) = a(k) r(k;1) +r(k) 0 x5 + x2 + 1 = x x4 + x + 1 +(x + 1) 1 x4 + x + 1 = x3 + x2 + x x + 1 +1 2 x+1 = x+1 1 +0

24

#+" 1. *.-%7-% /.+?

Poluqilos~: r;2 = x5 + x2 + 1 r(;1) = x4 + x + 1 r(0) = x + 1 a(0) = x

r(1) = 1 a(1) = x3 + x2 + x r(2) = 0 a(2) = x + 1: Mnogoqleny p(k) s ispol~zovaniem sohranennyh kofficientov a(k) (q(k) vyqislts analogiqno, no s drugimi naqal~nymi znaqenimi) k pk = a(k) p(k;1) +p(k;2) ;2 0 ;1 1 0 x= x 1 +0 4 3 2 3 2 1 x +x +x +1= x +x +x x +1 5 2 4 3 2 2 x +x +1= x + 1 x + x + x + 1 +x Poluqilos~: p(;2) = 0 p(;1) = 1 p(0) = x p(1) = x4 + x3 + x2 + 1 p(2) = x5 + x2 + 1: Primer 2.4. (Variant cepnyh drobe, sovmewennoe vyqislenie r (k) i p(k) , vyqislenie q(k) take moet byt~ sovmeweno). k r(k;2) = a(k) r(k;1) +r(k) pk = a(k) p(k ; 1)+ +p(k;2) ;2 0 ;1 1 5 2 4 0 x +x +1 = x x + x + 1 +(x + 1) x 4 3 2 4 1 x +x+1= x +x +x x+1 +1 x + x3 +x2 + x 2 x+1= x+1 1 +0 x5+ +x2 + 1 Upranenie. Ispol~zu algoritm Evklida pokazat~, qto esli neprivodimy mnogoqlen f delit proizvedenie mnogoqlenov g (1) i g(2) to f delit libo g(1) libo g(2) : Rexenie. Pust~ f ne delit g(1) togda (f g(1)) = 1 i pf +qg(1) = 1: Znaqit, pfg (2) + qg(1)g(2) = g (2): Poskol~ku f delit oba qlena levo qasti ravenstva, on delit i pravu ego qast~.

1.2. /.+? #+3

N

GF (2

)

25

Obobwa, po indukcii mono poluqit~, qto esli neprivodimy mnogoqlen f delit proizvedenie neskol~kih mnogoqlenov, to on delit hot by odin iz somnoitele. Otsda, esli f (i) i g (k) neprivodimy i i f (i) = k g (k) to kady f (i) delit nekotory f (k) a kady f (k) delit nekotory f (i) : to dokazyvaet sleduwu teoremu:

Teorema 2.1. Lbo normirovanny mnogoqlen nad polem F odnoznaqno zapisyvaets v vide proizvedeni normirovannyh neprivodimyh mnogoqlenov nad F:

1.2.6

Mul~tiplikativnoe obrawenie

Kak nati polinom p(x) stepeni < n tako, qto r(x)p(x) = 1 mod M (x) gde M (x) | neprivodimy (nerazloimy na mnoiteli) polinom stepeni n: to kvivalentno ravenstvu r(x)p(x) + M (x)q(x) = 1 dl nekotorogo polinoma q(x)? Poskol~ku M (x) neprivodim (r(x) M (x)) = 1 to mono primenit~ algoritm nahodeni n.o.d. Naqina s r(;2) = M r(;1) = r p(;2) = 0 p(;1) = 1 q(;2) = 1 q(;1) = 0 ispol~zuem algoritm opredeleni a(k) i r (k) takih qto r(k;2) = a(k)r(k;1) + r(k) deg r(k) < deg r(k;1): Zatem polagaem (k) (k) (k ; 1) q = a q + q(k;2) p(k) = a(k)p(k;1) + p(k;2) : Iteraci prodolaem poka ne poluqits r (n) = 0: Rexeniem vlets p(n;1):

Primer 2.5. Pust~ r(x) = x4 + x + 1 M (x) = x5 + x2 + 1:

Primem r (;2) = M (x) r(;1) = r(x): Vyqislenie p(x) predstavleno vyxe: (p(x) = p(1) = x4 + x3 + x2 + 1 iz posledne tablicy. Analogiqno mono vyqislit~ q(x) = q(1) = x3 + x2 + 1: Oqevidno, qto

r(x)p(x) = x8 + x7 + x6 + x5 + x4 + x2 + x + 1 M (x)q(x) = x8 + x7 + x6 + x5 + x4 + x2 + x r(x)p(x) + M (x)q(x) = 1 takim obrazom, r (x)p(x) = 1 mod M (x):

#+" 1. *.-%7-% /.+?

26

1.3

Testy neprivodimosti

V dannom razdele izuqats sposoby proverki svostva neprivodimosti mnogoqlenov.

1.3.1

Test na neprivodimost~. Algoritm Berlekmpa

Algoritm Berlekmpa opredelwi, vlets li danny mnogoqlen neprivodimym. Pust~ nuno proverit~ mnogoqlen P (x) na neprivodimost~. Snaqala vyqislim proizvodnu P 0 (x) mnogoqlena P (x): Primeqanie. Proizvodna P 0 (x) obrazuets po pravilu formal~nogo differencirovani mnogoqlena P (x): esli P (x) = n;1 a xi;1 : ni=0;1aixi to P 0 (x) = i=1 i Esli naibol~xi obwi delitel~ mnogoqlenov P (x) i P 0 (x) ne raven 1, to mnogoqlen P (x) ne vlets neprivodimym, t.k. ego razloenie na neprivodimye soderit kvadrat mnogoqlena (stepeni bol~xe 0). V protivnom sluqae, qerez Pi (x) oboznaqim ostatok ot deleni mnogoqlena x2i na P (x) i = 1 2 ::: deg(P (x));1: Dl sokraweni vremeni vyqisleni tih ostatkov oni opredelts posledovatel~no. Tak, esli vyqislen Pi(x) to Pi+1(x) raven ostatku ot deleni x2 Pi (x) na P (x): Potomu snaqala vyqislem mnogoqlen R(x) ravny ostatku ot deleni xPi (x) na P (x) a ue zatem Pi+1 (x): Netrudno videt~, qto qto R(x) = xPi (x) esli deg(Pi (x)) + 1 < deg(P (x)) i R(x) = xPi (x) + P (x) v protivnom sluqae. Mnogoqlen Pi+1 (x) raven ostatku ot deleni xR(x) na P (x): Poloim Ri(x) = Pi (x) + x + i i = 1 2 ::: deg(P (x)) ; 1: Dalee vyqislim rang matricy A = (R1(x) R2 (x) ::: Rdeg(P(x));1(x)): Esli on okazals ravnym deg(P (x)) ; 1 to mnogoqlen P (x) neprivodim, v protivnom sluqae tot mnogoqlen privodim. Primer 3.1. 1. Pust~ nuno proverit~ na neprivodimost~ mnogoqlen P (x) = x4 + x +1: Imeem P 0 (x) = 1 i naibol~xi obwi delitel~ mnogoqlenov P (x) i P 0 (x) raven 1. Potomu razloenie P (x) v proizvedenie neprivodimyh soderit tol~ko somnoiteli pervo stepeni. Dalee vyqislim ostatki P1 (x) P2 (x) P3(x) ot deleni mnogoqlenov x2 x4 x6 sootvetstvenno na P (x): Netrudno videt~. qto P1 (x) = x2 P2(x) = x2 + 1 P3 (x) = x2 P2 (x)(modP (x)) = x3 + x2: Potomu R1(x) = x2 + x R2(x) = x2 + 1 + x R3(x) =

1.3. 2%12 -%/0(".$(,.12(

27

x3 + x2 + x3 = x2: Takim obrazom neobhodimo vyqislit~ rang matricy A = (R1(x) R2(x) R2(x)) = (x2 + x x2 +1+ x x2 ): Tret~ komponenta vektora A imeet naibol~xu stepen~ (ona byla vybrana potomu, qto imeet naimen~xee qislo slagaemyh sredi mnogoqlenov s naibol~xe stepen~). Potomu posle pervo iteracii algoritma privedeni matricy A k treugol~nomu vidu poluqaem A = (x 1 + x) B = (x2 ): Teper~ v matrice A vyberem pervu stroku i prodelaem vtoru iteraci togo algoritma. Togda poluqim A = (1) B = (x2 x): Posle tret~e iteracii algoritma privedeni k treugol~nomu vidu matrica A ne soderit lementov, a dl matricy B imeem: B = (x2 x 1): Takim obrazom posle okonqani raboty rassmatrivaemogo algoritma vektor B soderit tri komponenty, t.e. ishodny mnogoqlen neprivodim.

1.3.2

Nahodenie neprivodimyh <maloqlenov>

Dl nahodeni neprivodimogo maloqlennogo polinoma q zadanno stepeni n po zadannomu prostomu modul predlagaets sleduwi algoritm. Vybiraets sluqany <maloqlen> q. Proverets, ne vlets li on privodimym. Esli da, to vybiraem sleduwi <maloqlen> q . Proverka na neprivodimost~ osuwestvlets sleduim obrazom. Vnaqale proverem mnogoqlen na naliqie kratnyh korne. Dl togo vyqislem ego proizvodnu i nahodim naibol~xi obwi delitel~ mnogoqlena i ego proizvodno. Esli on ne raven 1, to oqevidno, qto q privodim, i opt~ vybiraem sleduwi <maloqlen>. V protivnom sluqae prodolaem proverku na neprivodimost~. Dl togo stroits posledovatel~nost~ polinomov qk+1 = qkp mod q naqina s polinoma q0 = x. Oqevidno, qto qk = xpk mod q: Polinom q budet neprivodimym togda i tol~ko togda, kogda qn = x mod q i dl lbogo prostogo delitel s qisla n naibol~xi obwi delitel~ mnogoqlenov qn=s ; x i q budet raven 1. Oqevidno, qto esli dl nekotorogo s imeem qn=s = x, to mnogoqlen q privodim, i vyqislt~ posledovatel~nost~ qk dalee n=s ne nuno. Dl ocenki slonosti algoritma zametim, qto vozvedenie v stepen~ p provodits po formule f (x)p = f (xp ) mod q i imeet

28

#+" 1. *.-%7-% /.+?

slonost~ O (pkn), gde k | qislo odnoqlenov v mnogoqlene q , to est~ v naxih uslovih ta slonost~ linena. Potomu slonost~ vyqisleni posledovatel~nosti qk k = 0 . . . n v hudxem sluqae kvadratiqna. V priloenii privedeny fragmenty tablic treh- i ptiqlenov, vyqislennyh s pomow~ avtorsko programmy iz 3]. Tak naprimer, v priloenii A.2 priveden dl illstracii polny spisok (s toqnost~ do vozvratnyh) vseh neprivodimyh trehqlenov dl stepene n, gde 2000 < n 2100, (v prodolenie kak by togo spiska, kotory vstreqals avtoram v dostupno zapadno literature i kotory byl tol~ko dl n 2000). Pri predostavlenii mesta avtory gotovy opublikovat~ polnye tablicy neprivodimyh trehqlenov i ptiqlenov vysokih stepene, v tom qisle i takih, kakie ne vstreqats v dostupno literature (naprimer, polna tablica ptiqlenov stepeni n = 163, fragment kotoro priveden v priloenii B.1, sostoit iz neskol~kih destkov tysq ptiqlenov). Otmetim v zaklqenie togo razdela, qto vybrannye v prilodenih znaqeni stepeni n ispol~zuts pri implementacii kriptografiqeskih protokolov na osnove lliptiqesko kriptografii.

Glava 2 Implementaci operaci v GF (2n) 2.1

2.1.1

Klassiqeski algoritm umnoeni nad GF (2) Postanovka zadaqi

Rassmatrivaemye v dannom razdele operacii sloeni i umnoeni mnogoqlenov nad GF (2) opredelts sleduwim obrazom. Operaci sloeni i umnoeni mnogoqlenov p1(x) = Pn;1 Pn;1 i i i=0 ai x i p2 (x) = i=0 bi x opredelts formulami (2.1) i (2.2) iz predyduwe lekcii. Rassmatrivats klassiqeski metod umnoeni i ego modifikacii. Pri realizacii sootvetstvuwih algoritmov priments programmnye vristiki, uqityvawie, qto vozmonosti odnovremennogo vypolneni odnotipnyh porazrdnyh operaci ograniqivats predelami maxinnogo slova, no v to e vrem dostatoqno bol~xo dostupny obem operativno pamti pozvolet rasxirit~ parallelizm za sqet tabliqno realizacii gruppovyh operaci. P ;1 Esli mnogoqlen f (x) = ni=0 aixi predstavlen posledovatel~nost~ kofficientov

a0 a1 . . . an

to ego mono predstavit~ posledovatel~nost~

A(0) A(1) . . . A(k;1) iz k =] ns s-razrdnyh maxinnyh slov

A(0) = a0 a1 . . . as;1 29

30

#+" 2. (,/+%,%-26(? ./%06() "

N

GF (2

)

A(1) = as as+1 . . . a2s;1 ... A(k;1) = a(k;1)s a(k;1)s+1 . . . ans;1: V sluqae, kogda n ne delits na s starxie ks ; n bit slova A(k;1) dopolnts nulmi. V danno i sleduwe lekcih vektory kofficientov, razmewaemye v odnom maxinnom slove, nazyvats celymi qislami (im sootvetstvuet, naprimer, tip dannyh long). Maxinnye slova mogut razbivat~s na bolee melkie sostavnye qasti, naprimer, 32-razrdnoe celoe qislo A predstavlets qetyr~m batami

A0] A1] A2] A3]:

Ispol~zovanie dannyh odnovremenno i kak maxinnyh slov i kak bat obespeqivaets, naprimer, tipom dannyh "union," a predstavlenie mnogoqlenov kak posledovatel~noste maxinnyh dannyh osuwestvlets v vide klassov. ti osobennosti predopredelt strukturu dekompozicii operacii kak funkcii nad operandami, svodwe ee k operacim nad maxinnymi slovami, na kotorye razbivats ti operandy. V svo oqered~, operacii nad maxinnymi slovami mogut razlagat~s v posledovatel~nost~ operaci nad ih qastmi, dopuskawih, kak pravilo, tabliqnu realizaci. Prostexim sluqaem tako dekompozicii vlets razloenie operacii sloeni mnogoqlenov stepeni n na k =] ns operaci porazrdnogo sloeni soderimogo maxinnyh slov dliny s bit. Dekompozici umnoeni trebuet bolee tonkogo analiza. Umnoenie nad GF (2) tol~ko v prostexih sluqah svodits k rasparallelivani standartnogo metoda umnoeni <stolbikom>. Odin iz vozmonyh variantov takogo roda okazyvaets ffektivnym pri dostatoqno malom koliqestve nenulevyh kofficientov odnogo iz somnoitele. Cel~ danno lekcii vlets, takim obrazom, izuqenie ffektivnyh implementaci operacii umnoeni mnogoqlenov nad GF (2) klassiqeskim metodom s vyborom modifikacii metoda v zavisimosti ot slonosti operandov.

2.1. *+11(7%1*() +#.0(2, 3,-.&%-(? -$

2.1.2

GF (2)

31

lementarnye mnogoqleny. Tablica umnoeni

Budem rassmatrivat~ mnoestvo E2x] mnogoqlenov peremenno x s kofficientami iz pol E2 iz dvuh lementov. Stepen~ mnogoqlena P (x) oboznaqaets deg P (x). Mnogoqleny stepeni ne vyxe k ; 1 budem nazyvat~ lementarnymi. Qislo k vlets parametrom i ispol~zuets v dal~nexem dl optimizacii vremeni raboty algoritmov. Vozmonye znaqeni dl k :

1,2,4,8,16,32.

Togda mnogoqlen

P (x) zadaets summo s X i=0

Qi(x)xik

gde Qi (x) - lementarnye mnogoqleny. Naibol~xee i, qto Qi (x) 6= 0, oboznaqim degk P (x). Dl raznyh algoritmov predpolagaets ispol~zovat~ voobwe govor razliqnye znaqeni parametra k . Tak dl vyqisleni summy P1 (x) + P2 (x) mnogoqlenov P1(x) i P2 (x) razumno poloit~ k = 32. Togda lementarny mnogoqlen opredelets v pamti PK maxinnym slovom, a operaci sloeni mnogoqlenov svodits k logiqeskomu summirovani sootvetstvuwih lementarnyh mnogoqlenov. Proizvedenie dvuh mnogoqlenov P1 P2 vyqislets putem nahodeni lementarnyh mnogoqlenov Zi (x), vlwihs kofficientami pri xik 1 = 0 1 . . . degk P1x + degk P2 (x): Peremnoa dva lementarnyh mnogoqlena, poluqaem mnogoqlen stepeni ne vyxe 2k ; 2, kotory zadaets summo

Q1(x) + Q2(x)xk gde Qi (x) - lementarny mnogoqlen, i = 1 2. Takim obrazom, proizvedenie lementarnyh mnogoqlenov P1(x)P2 (x) predstavlets paro lementarnyh mnogoqlenov i moet byt~ vyqisleno, naprimer, po metodu BerlekempaPetersona: umnoat~ lementarnye mnogoqleny P1 (x) i P2 (x), P2 (x) =

k;1 X i=0

aixi

#+" 2. (,/+%,%-26(? ./%06() "

32

N

GF (2

)

predlagaets putem vyqisleni proizvedeni P1(x)xi dl kadogo i i = 0 1 . . . k ; 1, dl kotorogo ai 6= 0, i ih summirovani. lementarnye mnogoqleny Q1(x) i Q2 (x) takie, qto

P1 (x)xi = Q1(x) + Q2(x)xk;1 opredelts formulami

Q1(x) = P1(x)xi (mod xk ) Q2(x) = (P1(x)(mod xk;i) + P1(x)): Primer. Pust~ P1(x) = 1 + x + x2 k = 3 i = 2: P1(x)xi = (1 + x + x2)x2 = x2 + x3 + x4) gde

Q1(x) = P1(x)x2 (mod x3) = x2 Q2 (x) = P1(x)(mod x3;2) + P1(x) = x + x2:

Rassmotrim algoritm umnoeni lementarnogo mnogoqlena P( x) na lementarny mnogoqlen P2(x): Dany vektory U i V dliny k kofficientov lementarnyh mnogoqlenov P1 (x) i P2 (x) v pordke vozrastani stepene sootvetstvuwih termov mnogoqlenov, dl formirovani rezul~tata ispol~zuets vektor Z dliny 2k on obrazuets dvum vektorami Z1 i Z2 dliny k (Z1 sootvetstvuet mladxim, a Z2 { starxim razrdam vektora Z ) Trebuets vyqislit~ proizvedenie Z = U :V:

1: Z = 0

2: Vypolnit~ k raz Esli]V = 1 to Z2 = Z2 + U Z = Z ] V = V ]: ]V oznaqaet mladxi razrd vektora V , ] { operaci sdviga v storonu mladxih razrdov. lementy vektorov Z1 i Z2 opredelt kofficienty lementarnyh mnogoqlenov Q1 (x) i Q2 (x): Pri nebol~xih znaqeni k (naprimer k 8) operaci umnoeni lementarnyh mnogoqlenov moet vypolnt~s s pomow~

2.1. *+11(7%1*() +#.0(2, 3,-.&%-(? -$

GF (2)

33

zaranee sostavlenno tablicy TM umnoeni. E stroki i stolbcy sootvetstvut razliqnym lementarnym mnogoqlenam, a lementy { proizvedenim lementarnyh mnogoqlenov (nabory binarnyh kofficientov zapisyvats v pordke vozrastani stepene sootvetstvuwih termov), qto pozvolet otkazat~s ot porazrdnyh operaci i rabotat~ s batami kak s minimal~nymi nedelimymi blokami dannyh. Primer. Tablica umnoeni pri k = 2 imeet vid:

00 10 01 11 00 0000 0000 0000 0000 10 0000 1000 0100 1100 01 0000 0100 0010 0110 11 0000 1100 0110 1010 Primeqanie. Pri k = 8 tablica umnoeni zanimaet 28 28 21 = 217 bat, ili 27 = 128 Kbat.

2.1.3

Umnoenie mnogoqlenov s ispol~zovaniem tablicy umnoeni

Pust~

P1(x) =

s X

Ui(x)xik

i=0 s+p X

P (x)

r=0

P2(x) =

p X j=0

Vj (x)xjk :

Zr (x)xrk = P1(x) P2(x):

Rassmotrim algoritm vyqisleni "kofficientov" Zr (x) proizvedeni P (x) mnogoqlenov P1(x) i P2 (x): Pust~ degk P1(x) = s i degk P2 = p: "Kofficienty" Ui (x) i Vj (x) budem zapisyvat~ v vide binarnyh vektorov dliny k obrazuwih lementy massivov U s + 1] i V p + 1] "kofficienty" Zr (x) proizvedeni P (x) budem vyqislt~ kak lementy massiva Z s+p+1]: Budem oboznaqat~ fU i]V j ]g1 k mladxih razrdov vektora, predstavlwego proizvedenie lementarnyh mnogoqlenov Ui i Vj a fU i] V j ]g2 ; k starxih razrdov togo proizvedeni (ti vektory mono brat~ neposredstvenno iz zaranee sostavlenno tablicy umnoeni). Algoritm umnoeni mono opisat~

#+" 2. (,/+%,%-26(? ./%06() "

34

N

GF (2

)

teper~ sleduwim obrazom

1:Z = 0 2: Dl i = 0 s Dl j = 0 p Zi+j = Zi+j + fU i] V j ]g1 Zi+j+1 = Zi+j+1 + fU i] V j ]g2 Primer. Pust~ k = 8 i nuno peremnoit~ mnogoqleny P1(x) = (1 + x2)x8 + (x3 + 1) i P2(x) = (1 + x + x7)x16 + x6: Togda

P1 (x)P2 (x) = = (1+ x2)(1+ x + x7)x24 +(x3 +1)(1+ x + x7 )x16 +(1+ x2 )x6x8 +(x3 +1)x6: Obrawas~ k zaranee vyqislenno tablice proizvedeni lementarnyh mnogoqlenov, poluqaem (1 + x2)(1 + x + x7) = xx8 + (1 + x + x2 + x3 + x7) (x3 + 1)(1 + x + x7) = x2x8 + (1 + x + x3 + x4 + x7) (1 + x2)x6 = x8 + x6 (x3 + 1)x6 = xx8 + x6: Otkuda

P1(x)P2 (x) = xx32 + (1 + x + x2 + x3 + x7)x24 + x2x24+ +(1 + x + x3 + x4 + x7)x16 + x16 + x6x8 + xx8 + x6 = = xx32 + (1 + x + x3 + x7)x24 + (x + x3 + x4 + x7)x16 + (x + x6)x8 + x6: Predstavim ti vyqisleni v vide tablicy. Primeqani. 1. V kruglyh skobkah (1) . . . (5) ukazany nomera lementov massiva Z v kotoryh nakaplivats sootvetstvuwie "kofficienty" proizvedeni. 2. irnym xriftom pokazany okonqatel~nye summy "kofficientov," poluqawies v rezul~tate vypolneni algoritma i "nakoplennye" v sootvetstvuwih lementah massiva Z: 3. Kantorovski pordok par lementarnyh mnogoqlenov vybran dl udobstva tabliqnogo predstavleni. On moet byt~ realizovan pri neznaqitel~nom izmenenii opisani algoritma.

2.1. *+11(7%1*() +#.0(2, 3,-.&%-(? -$

i

j

Ui

=

=

Vj

Z i

U i]

V j ]

10010000

00000010

Z i

GF (2)

+ j]

Z i

35

+ j + 1]

+ j]

+Z i + j + 1]x8 = 0

(1 + x3 ): x6 =

0

=

6

x

+ x: x8

(0)

(1)

00000010

01000000

00000010

0 1

3

1

:

(1 + x ) 0 = 0 2

0

(1 + x )

:

=

6

x

6

x

=

+ x: x8

(2)

(1)

10010000

00000000

00000000

00000000

10100000

00000010

01000000

00000010 01000010

0

2

(1 + x3 )

(1 + x + x7 ) =

(2)

(3)

10010000

11000001

11011001

00100000

10100000

00000000

00000000

00000000

(1 + x + x3+ +x4 + x7)+ +x2:x8

1

(1 + x2 ): 0 = 0

1

10011001

1

2

1

2

(1 + x2 )

(1 + x + x7 ) =

10100000

11000001

(4)

(3)

01000000

11110001

0100000

11010001

(1 + x + x2+ +x3 + x7)+ +x:x8

Preimuwestva takogo algoritma sostot v sleduwem. Ocenim obem pamti, ispol~zuemo dl hraneni matricy T pri k = 8. Tablica T soderit 216 lementov, kady iz kotoryh zanimaet 2 bata. Potomu dl hraneni matricy T nuno 217 bat ili 128 Kb, qto sostavlet vpolne razumny obem pamti dl sovremennyh vyqislitel~nyh sredstv. S drugo storony, realizaci umnoeni dvuh mnogoqlenov stepeni ne vyxe 28 ; 1 = 255 obyqnym "xkol~nym" algoritmom 8 privedet k ne bolee qem ( 2k )2 = 210 obrawenim k tablice T i ne bolee qem 210 batovym logiqeskim sloenim, v to vrem, kak qislo operaci bez ispol~zovani matricy T ocenivaets kak

(28)2 = 216.

#+" 2. (,/+%,%-26(? ./%06() "

36

2.1.4

N

GF (2

)

Modifikaci klassiqeskogo algoritma i gibridny algoritm umnoeni

Rassmatrivaemy v nastowem paragrafe algoritm igraet vspomogatel~nu rol~ v postroenno nami sheme vyqisleni. On ispol~zuets lix~ kogda odin iz peremnoaemyh mnogoqlenov soderit nebol~xoe qislo (ne bolee treti) ediniqnyh kofficientov. Sdvigom vektora (cn ;1 cn ;2 . . . c1 c0) budem nazyvat~ vektor (cn ;1 cn ;2 . . . c1 c0 0). Rassmotrim dva mnogoqlena f (x) i g (x) v standartnom (polinomial~nom) bazise: 0

0

0

0

f ( x) =

n;1 X i=0

aixi

g(x) =

n;1 X i=0

bixi:

Pust~ vektory

A = (an;1 an;2 . . . a1 a0) i B = (bn;1 bn;2 . . . b1 b0) ih kofficientov zadany posledovatel~nostmi maxinnyh slov

C (k;1) C (k;2) . . . C (1) C (0)iD(k;1) D(k;2) . . . D(1) D(0) dliny s sootvetstvenno. Opredelim posledovatel~nost~ vektorov Vi i = 0 1 . . . s ; 1 tak, qto V0 = A, i dl lbogo i i = 1 2 . . . n ; 1, vektor Vi poluqaets sdvigom vektora Vi;1. Iz vektora Vi dobavleniem sleva (k + 1)s ; n ; i nule poluqim vektor Vi0 , c (k + 1)s komponentami, i = 0 1 . . . s ; 1 . Vi0 moet byt~ zadan posledovatel~nost~ Ei = Ei(k) Ei(k;1) . . . Ei(1) Ei(0) iz k + 1 maxinnogo slova. Pust~ nuno peremnoit~ mnogoqleny f (x) i g(x). Snaqala postroim posledovatel~nosti Ei maxinnyh slov i = 0 1 . . . s ; 1. Dalee opredelim indeksy t0 t1 . . . tm komponent vektora B , ravnyh edinice, 0 t0 < t1 < . . . < tm n ; 1. Dl kadogo j j = 0 1 . . . m opredelim qastnoe qj i ostatok rj ot deleni qisla tj na s. Posledovatel~nost~ iz 2n nulevyh maxinnyh slov oboznaqim P . Takim obrazom, P = L0 L1 . . . L2n;1 i Li = 0 i = 0 1 . . . 2n ; 1.

2.1. *+11(7%1*() +#.0(2, 3,-.&%-(? -$

GF (2)

37

j j = 0 1 . . . m poloim Lqj +i := Lqj+i + Er(i)j i = 0 1 . . . k:

Dalee dl kadogo

Poluqenna v rezul~tate opisannyh vyxe destvi posledovatel~nost~ P maxinnyh slov zadaet vektor kofficientov proizvedeni mnogoqlenov f (x) i g (x). Teper~ posnim, kak uskorit~ poisk indeksov ediniqnyh lementov vektora B . Predvaritel~no (do naqala vypolneni algoritma umnoeni mnogoqlenov) sostavim odnomernu tablicu T , s pomow~ kotoro po zadannomu batu b opredelts mesta ediniqnyh bit v tom bate. Peremnoa mnogoqleny f (x) i g(x), dl kadogo j -go bata maxinnogo slova D(i) iz posledovatel~nosti D (k;1) D(k;2) . . . D (1) D (0) po tablice T opredelim spisok nomerov mest ediniqnyh bit. Po tim nomeram i qislam i j opredelets oqeredna porci indeksov ediniqnyh lementov vektora B . Tak, esli ! { odin iz nomerov v spiske ediniqnyh bit j -go bata maxinnogo slova D (i) , to emu sootvetstvuet indeks

si + 8j + !.

Primer. Pust~ trebuets peremnoit~ mnogoqleny f (x) =

x10 + x8 + x7 + x5 + x3 + x2 + 1 i

g(x) = x8 + x7 + x5 + x. V demonstracionnyh celh predpoloim, qto s = 4. Togda mnogoqleny f (x) i g(x) zadats vektorami A = (1 0 1 1 0 1 0 1 1 0 1) B = (0 0 1 1 0 1 0 0 0 1 0) sootvetstvenno, ili posledovatel~nostmi maxinnyh slov C = 5 10 13 D = 1 10 2: Snaqala opredelim posledovatel~nost~ vektorov V0 V1 V2 V3, poluqaemyh sdvigami iz vektora A i dalee dopolnem sleva ti vektory nulmi tak, qtoby poluqaemye vektora sostoli iz 16 komponent. (16 { naimen~xee qislo, delwees na 4 i ne men~xee koliqestva komponent v vektore V3) : V00 = (0 0 0 0 0 1 0 1 1 0 1 0 1 1 0 1) V10 = (0 0 0 0 1 0 1 1 0 1 0 1 1 0 1 0) V20 = (0 0 0 1 0 1 1 0 1 0 1 1 0 1 0 0)

#+" 2. (,/+%,%-26(? ./%06() "

38

N

GF (2

)

V30 = (0 0 1 0 1 1 0 1 0 1 1 0 1 0 0 0)

Poluqennye vektory zadat sootvetstvenno sleduwie posledovatel~nosti maxinnyh slov:

E0 = 0 5 10 13 E1 = 0 11 5 10 E2 = 1 6 11 4 E3 = 2 13 6 8:

ti posledovatel~nosti zadat tablicu sdvigov. V vektore B edinicy raspoloeny na mestah s nomerami 7, 8. Del ti qisla na 4 s ostatkom, poluqaem:

1, 5,

q0 = 0 r0 = 1 q1 = 1 r1 = 1 q2 = 1 r2 = 3 q3 = 2 r3 = 0:

V zaklqenie vyqislem rezul~tat umnoeni s ispol~zovaniem tablicy sdvigov: L

0 0 0 0 0

0 0 2 5 7

0 11 13 10 12

11 5 6 13 5

5 10 8 0 7

10 0 0 0 10

Posledovatel~nost~ maxinnyh slov, zapisanna pod qerto, sootvetstvuet vektoru kofficientov

(111:1100:0101:0111:1010) i zadaet mnogoqlen

x18 + x17 + x16 + x15 + x14 + x10 + x8 + x6 + x5 + x4 + x3 + x kotory i vlets proizvedeniem rassmatrivaemyh v nastowem primere mnogoqlenov f (x) i g (x). Pri peremnoenii nekotoryh zadannyh mnogoqlenov f (x) i g(x) snaqala vybiraets odin iz rassmotrennyh algoritmov. Esli sredi peremnoaemyh mnogoqlenov est~ soderawi nebol~xoe qislo ediniqnyh kofficientov (menee nekotorogo poroga P), to bystree budet rabotat~ modificirovanny klassiqeski algoritm. V protivnom sluqae sleduet ispol~zovat~ drugie metody, v qastnosti, original~nu shemu, rassmatrivaemu

2.2. ./2(,('6(? 3,-.&%-(? ,-.#.7+%-."

39

v sleduwem razdele. Konkretnoe znaqenie poroga P opredelets ksperimental~no pri mnogokratno aprobacii oboih rassmatrivaemyh algoritmov. Dalee privodits sposob bystrogo podsqeta qisla ediniqnyh kofficientov mnogoqlena f (x). Zaranee stroits odnomerny massiv M s 216 = 64768 lementami: M 0] M 1] . . . M 64767] tako, qto M i] raven qislu edinic v dvoiqnom razloenii qisla i. Naprimer,

M 1234] = M 010010110012] = 5: Pust~ mnogoqlen f (x) zadan posledovatel~nost~ A0 A1 . . . Ak dvuhbatovyh qisel. Togda summa M A0] + M A1] + . . . + M Ak] ravna qislu ediniqnyh kofficientov mnogoqlena f (x).

2.2

Optimizaci umnoeni mnogoqlenov

2.2.1

Vvedenie

Danny razdel posvwen izuqeni metodov vypolneni umnoeni mnogoqlenov nad polem GF (2) osnovannyh na dekompozicii po metodu Karacuby 8]. Pokazana ffektivnost~ dekompozicionnogo podhoda k realizacii to operaci pri stepenh polinomov v diapazone ot 100 do 1000, harakternom dl kriptosistem s otkrytym klqom. ffektivnost~ vypolneni operaci umnoeni dostigaets za sqet primeneni original~no dekompozicionno shemy umnoeni po metodu Karacuby i uqeta specifiki operandov pri modifikacii klassiqeskogo algoritma. Ispol~zuts oboznaqeni iz predyduwe lekcii.

2.2.2

Umnoenie mnogoqlenov po metodu Karacuby

V 1962 godu student MGU Karacuba A.A. (nyne izvestny specialist po teorii qisel, professor MGU) predloil metod umnoeni mnogoznaqnyh qisel, bolee ffektivny, qem izvestny klassiqeski metod umnoeni <stolbikom>.

#+" 2. (,/+%,%-26(? ./%06() "

40

N

GF (2

)

Umnoenie dvuh 2n-znaqnyh qisel legko svodits k qetyrem umnoenim dvuh n-znaqnyh qisel. Po metodu Karacuby dostatoqno treh takih umnoeni. Zapixem 2n-znaqnoe qislo v vide

An + 10n Bn: Legko proverets todestvo

(An + 10n Bn) (Cn + 10n Dn) = An Cn(10n + 1) + (Dn ; Cn) (An ; Bn ) 10n + Bn Dn (102n + 10n): Podobnym obrazom mono postupit~ i pri umnoenii dvuh mnogoqlenov stepeni 2n v kol~ce polinomov nad polem Galua

GF (2): vide

Pust~ mnogoqleny

p(x)

i

q(x)

stepeni

2n-1

predstavleny v

p(x) = p1(x) + xn p2(x) q(x) = q1(x) + xn q2(x) gde p1 p2 q1 q2 { mnogoqleny stepeni n ; 1: Togda proizvedenie

p(x) q(x)

mono predstavit~ v forme

p(x) q(x) = = p1(x) q1(x)+ +(p1 (x) + p2(x)) (q1(x) + q2(x))xn + +p2(x) q2(x)x2n+ +(p1 (x) q1(x))xn + (p2 (x) q2(x))n :

Kak vidno, ispol~zovano tol~ko tri umnoeni vmesto qetyreh umnoeni mnogoqlenov stepeni n: Sistematiqeskoe primenenie togo priema sootvetstvuet rekursivno sheme, kotoro pri razliqnyh bazisah rekursii mono poluqit~ vnye shemy umnoeni, kotorye rassmatrivats v sleduwem paragrafe.

2.2. ./2(,('6(? 3,-.&%-(? ,-.#.7+%-."

2.2.3

41

Optimizaci operaci umnoeni mnogoqlenov i deleni mnogoqlenov s ostatkom. Metod Karacuby. P

Budem rassmatrivat~ mnogoqleny v vide si=0 Qi (x)xik , gde Qi (x) - lementarnye mnogoqleny stepeni ne vyxe k ; 1. Rassmotrim matricu T s 2k strokami i 2k stolbcami, v kotoro lement tij , nahodwis na pereseqenii i- stroki i j -go stolbca opredelets sleduwim obrazomP . Pust~ a0a1 . . . ak;1 - dvoiqnoe razloenie ;1 a 2r , a b b . . . b - dvoiqnoe razloeqisla i ; 1, t.e. i ; 1 = kr=0 r 0 1 k;1 nie qisla j ;P1. Togda proizvedenie lementarnyh mnogoqlenov Pk;1 k ; 1 (1) (1) r (2) Q Q = r=0 arx i Q = r=0 brxr ravno P (x) = Q(3)xk + Q(4) dl nekotoryh lementarnyh mnogoqlenov Q(3) i Q(4). Polagaem

tij = P (x).

Esli vyqislit~ matricu T zaranee, to umnoenie lementarnyh mnogoqlenov svodits k otyskani nunogo lementa matricy T , qto uskoret proceduru umnoeni mnogoqlenov. Primer. Pust~ k = 8 i nuno peremnoit~ mnogoqleny P1 (x) = (1 + x2 )x8 + (x3 + 1) i P2(x) = (1 + x + x7 )x16 + x6 . Togda P1(x)P2 (x) =

(1 + x2)(1 + x + x7)x24 + (x3 + 1)(1 + x + x7)x16 + (1 + x2)x6 x8 + (x3 + 1)x6. Obrawas~ k zaranee vyqislenno tablice proizvedeni lementarnyh mnogoqlenov, poluqaem (1 + x2)(1 + x + x7) = xx8 + (1 + x + x2 + x3 + x7) (x3 + 1)(1 + x + x7) = x2x8 + (1 + x + x3 + x4 + x7) (1 + x2)x6 = x8 + x6 (x3 + 1)x6 = xx8 + x6 Otkuda

P1(x)P2 (x) = xx32 + (1 + x + x2 + x3 + x7)x24 + x2x24 + (1 + x + x3 + x4 + x7)x16 + x16 + x6x8 + xx8 + x6 = xx32 + (1 + x + x3 + x7)x24 + (x + x3 + x4 + x7)x16 + (x + x6)x8 + x6. Ocenim obem pamti, ispol~zuemo dl hraneni matricy T pri k = 8. Tablica T soderit 216 lementov, kady iz kotoryh zanimaet 2 bata. Potomu dl hraneni matricy T nuno 217 bat ili 128 Kb, qto sostavlet vpolne razumny obem pamti dl sovremennyh vyqislitel~nyh sredstv. S drugo storony, realizaci umnoeni dvuh mnogoqlenov stepeni ne vyxe

#+" 2. (,/+%,%-26(? ./%06() "

42

N

GF (2

)

28 ; 1 = 255 obyqnym "xkol~nym" algoritmom privedet k ne bolee qem ( 2k )2 = 210 obrawenim k tablice T i ne bolee qem 210 batovym logiqeskim sloenim, v to vrem, kak qislo operaci bez ispol~zovani matricy T ocenivaets kak (28)2 = 216. S ispol~zovaniem predvaritel~nyh vyqisleni mono umen~xit~ vrem raboty algoritma deleni s ostatkom mnogoqlena P1(x) na P2 (x) sleduwim obrazom. Qerez di oboznaqim deg Pi (x) i = 1 2. Pust~ d1 d2. Nadem lementarny mnogoqlen Q(x) tako, qto deg(P1(x)+ Q(x)P2 (x))xn ;n ;k+1 d1 ; k pri d1 ; d2 k ili deg(P1 (x) + Q(x)P2 (x)) < d2, d1 ; d2 < k. Dl togo v sluqae d1 ; d2 k (pri di k ) predstavim mnogoqlen Pi (x) v vide Q(i) (x)xdi;k+1 + P (i) (x) deg P (x) di ; k ili (pri di < k) poloim Q(i) (x) = Pi (x) i = 1 2. V sluqae d1 ; d2 < k predstavim mnogoqlen P1(x) v vide Q1 (x)xd + P (1) (x) s deg P (1) (x) < d2 i P2(x) v vide Q2(x)x2d ;d + P (2) (x) deg P (2) (x) < 2d2 ; d1 (pri 2d2 ; d1 0) ili poloim Q2(x) = P2 (x) (pri 2d2 ; d1 < 0). sno, qto mnogoqlen Q(x) odnoznaqno opredelets po pare lementarnyh mnogoqlenov Q(i)(x) i = 1 2. Takim obrazom, mono zaranee vyqislit~ 8

1

2

2

2

1

tablicu takogo sootvetstvi i ispol~zovat~ ee pri realizacii algoritma deleni mnogoqlenov s ostatkom. P Mnogoqlen P (x) P (x) = ri=0 ai (x)xik , gde ai -lementarnye P mnogoqleny v dal~nexem budem oboznaqat~ qerez ri=0 ai y i , ispol~zu vmesto xk peremennu y . Pust~ zadany dva mnogoqlena Pi (y) i = 1 2 stepeni (po peremenno y) ne bol~xe 2t + 1. Togda naduts mnogoqleny Pi(j) (y ) j = 1 2 i = 1 2, stepen~ kadogo iz kotoryh ne prevoshodit t i Pi (y ) = Pi(1) (y) + y t+1Pi(2) (y ). Pust~ nuno vyqislit~ proizvedenie P1(y)P2 (y ). Algoritm Karacuby sostoit v sleduwem. Vyqislim tri proizvedeni: A(y ) =

P1(1) (y)P2(1) (y) B (y) = P1(2) (y)P2(2) (y) C (y) = (P1(1) + P1(2) )(P2(1) + P2(2) ), a zatem vospol~zuems todestvom P1(y)P2 (y) = A(y)+(C (y)+ A(y) + B (y))yt+1 + B (y)y2t+2 . Takim obrazom, my sveli umnoenie dvuh mnogoqlenov k trem umnoenim mnogoqlenov, imewih "poqti" v dva raza men~xu stepen~. Primenim tu proceduru dalee k poluqennym trem proizvedenim, poka ne svedem zadaqu k umnoeni lementarnyh mnogoqlenov. Slonost~ po vremeni algoritma Karacuby sostavlet O(nlog 3), qto po pordku men~xe, qem slonost~ "xkol~nogo" algoritma umnoeni (O (n2 )). 2

2.2. ./2(,('6(? 3,-.&%-(? ,-.#.7+%-."

43

Primer. Proillstriruem algoritm Karacuby na primere mnogoqlenov peremenno x. Pust~ nuno peremnoit~ mnogoqleny P1(x) = 1 + x + x3 i P2(x) = 1 + x2 + x3. Poloim P1(1) (x) = 1 + x P1(2) (x) = x P2(1) (x) = 1 P2(2) (x) = 1 + x. Togda Pi (x) = Pi(1) (x) + x2Pi(2) (x) i = 1 2, Potomu P1 (x)P2(x) =

(1 + x)(1) + ((1 + x + x)(1 + 1 + x) + (1 + x)(1) + x(1 + x))x2 + x(1 + x)x4. Iz treh poluqennyh proizvedeni (1 + x)1 1x x(1 + x) v dal~nexem rassmotrenii nudaets tol~ko x(1 + x), kotoroe po algoritmu Karacuby predstavlets v vide 0 1 + ((0 + 1)(1 + 1) + 0 1 + 1 1)x + 1 1x2.

2.2.4

Umnoenie celyh qisel

Rassmotrim sposob umnoeni celyh qisel, kotory predusmatrivaet razbienie somnoitele na baty i ispol~zovanie tablic umnoeni bat. Pust~ celoe qislo L sostoit iz 32-h bit, t.e. iz qetyreh bat. Na tape, predxestvuwem vypolneni umnoeni celyh qisel, stroits tablica T sostowa iz 28 = 256 strok i takogo e koliqestva stolbcov. lement tij tablicy T nahodwis v i-o stroke i j -om stolbce to tablicy, i = 0 1 . . . 255 j = 0 1 . . . 255 predstavletPsobo dva 7 a 2k i bata , opredelemyh sleduwim obrazom . Pust~ i = k=0 k P7 k j = k=0 bk2 ak bk 2 f0 1g dvoiqnye razloeni qisel i i j sootvetstvenno. P k { rezul~tat umnoeni mnogoqlena P7 a xk Pust~ 15 c x k k=0 P7 k=0 k k na mnogoqlen k=0 bk x . Togda para bat C0 = c0c1 . . . c7 i C1 = c8c9 . . . c15 sostavlet lement tij . Pust~ zadany dva celyh qisla A i B, kadoe iz kotoryh sostoit iz qetyreh bat:

A = A0]A1]A2]A3] B = B 0]B 1]B 2]B 3]: Ispol~zu tablicu

T

postroennu nami dl umnoeni bat,

44

#+" 2. (,/+%,%-26(? ./%06() "

N

GF (2

)

snaqala nadem sleduwie qisla:

Oi = Ai] B i] i = 0 1 2 3 Ti1 = (A2i] + A2i + 1]) (B 2i] + B 2i + 1]) i = 0 1 Ti2 = (Ai] + Ai + 2]) (B i] + B i + 2]) i = 0 1 F = (A0] + A1] + A2] + A3]) (B 0] + B 1] + B 2] + B 3]) : Kadoe iz qisel Oi i = 0 1 2 3 Ti1 Ti2 i = 0 1 F zadaets paro bat. Takim obrazom, privedennye formuly opredelt znaqeni bat

Oi0] Oi1] i = 0 1 2 3

Ti10] Ti11] Ti20] Ti21] i = 0 1 F 0] F 1]: Ispol~zu ti qisla, nahodim sleduwie veliqiny:

D1] = O10] + O01] S 1] = O00] + D1] Di] = Oi(mod4)0] + Oi;1(mod4)1] S i] = S i ; 1] + Di] i = 2 3 . . . 6: Esli posledovatel~nost~ bat

P 0]P 1]P 2]P 3]P 4]P 5]P 6]P 7] zadaet iskomoe proizvedenie P mnogoqlenov, to

P 0] = O00] P 1] = S 1] + T010] P 2] = S 2] + T011] + T020] P 3] = S 3]+ +T010] + T110] + T020] + T021] + T120] + F 0] P 4] = S 4]+ +T011] + T111] + T021] + T120] + T121] + F 1] P 5] = S 5] + T110] + T121] P 6] = S 6] + T111] P 7] = O31]:

2.2. ./2(,('6(? 3,-.&%-(? ,-.#.7+%-."

2.2.5

45

Dekompozicionna shema umnoeni mnogoqlenov

Rassmotrim sposob postroeni shem umnoeni, s uqetom razmernoste somnoitele pri tom budem ispol~zovat~ funkci umnoeni (s-razrdnyh) celyh qisel, realizaci kotoro opisana v predyduwem paragrafe. Takim obrazom, predpolagaem, qto dl lbyh dvuh celyh qisel A i B opredelen rezul~tat ih umnoeni S = A B kofficienty kotorogo zadats posledovatel~nost~ iz dvuh celyh qisel

S (0) S (1).

Na vhod algoritma postupat dve posledovatel~nosti, kada iz kotoryh sostoit iz k celyh qisel, koliqestvo razrdov s kotoryh sovpadaet s razrdnost~ ispol~zuemogo dl vyqisleni processora. Shema vyqisleni po rassmatrivaemomu algoritmu soderit dva vspomogatel~nyh urovn i uroven~ vyqisleni rezul~tata. Na pervom vspomogatel~nom urovne vyqislts nekotorye summy celyh qisel, postupawih na vhod algoritma. Poluqats novye celye qisla, kotorye peremnoats na tom urovne opredelennym obrazom. Kadoe iz poluqennyh qisel mnogokratno ispol~zuets pri dal~nexih vyqislenih. Rezul~taty umnoeni postupat na vhod sleduwego urovn shemy, gde putem racional~nyh summirovani nahodts novye celye qisla. Na poslednem urovne vypolnts take tol~ko sloeni takih qisel. Takim obrazom, dekompozici operacii umnoeni imeet vid () to est~ snaqala vypolnts predvaritel~nye sloeni, potom { umnoeni dlinnyh cepoqek, dalee { sloeni s cel~ optimizacii vyqisleni s mnogokratno ispol~zuemymi qislami i, nakonec, { vyqisleni rezul~tata, ispol~zuwie tol~ko sloeni.

Primer. Sluqa n = 6 i s = 32.

Rassmatrivaemy pri vybrannyh znaqenih n i s variant shemy umnoeni pozvolet peremnoit~ mnogoqleny stepeni ne bol~xe n s ; 1 = 191. Pust~ na vhod algoritma podats dve posledovatel~nosti iz

#+" 2. (,/+%,%-26(? ./%06() "

46

N

GF (2

)

xesti celyh qisel:

A(0) A(1) A(2) A(3) A(4) A(5) B (0) B (1) B (2) B (3) B (4) B (5) zadawih sootvetstvenno mnogoqleny f (x) i g (x). Snaqala opredelim sleduwie proizvedeni celyh qisel (tapy v strukturno sheme ())

A(i) B (i) i B i 2 T A A B T A A B B i T A A B B i F A A A A B B B B F A A A A B B B B F A A A B B B i E A A A A A A B +B +B +B +B +B : O

= = 0 1 . . . 5 ; (2i) i ; (2i) + (2i+1) (2i+1) =0 1 1i = ; + ; (i) (i+2) (i) (i+2) + + =0 1 2i = ; ; (i) + (i+4) (i) + (i+4) 3i = ; (0) =0 1 (1) (2) (3) + + + 10;= (0) + (1) + (2) + (3) ; (0) + (1) + (4) + (5) 20;= (0) + (1) + (4) + (5) ; (i) (i+2) + (i+4) = + 3i ; (i) (i+2) + (i+4) + =0 1 ; (0) (1) (2) (3) (4) (5) ;= (0) +(1) +(2) + (3) + (4) + (5)

Tak kak kadoe iz qisel

Oi T1i T2i T3i F10 F20 F3i E zadaets posledovatel~nost~ iz dvuh celyh s-razrdnyh qisel, to opredeleny celye qisla

Oi(0) Oi(1) i = 0 1 2 . . . 5 T1i(0) T1i(1) i = 0 1 2 Tji(0) Tji(1) j = 2 3 i = 0 1 Fj0(0) Fj0(1) j = 1 2 F3i(0) F3i(1) i = 0 1 E (0) E (1):

2.2. ./2(,('6(? 3,-.&%-(? ,-.#.7+%-."

47

Ispol~zu ti qisla, nahodim sleduwie veliqiny:

S (1) = O0(0) + O1(0) + O0(1) S (i) = S (i;1) + Oi(0) + Oi(1);1 i = 2 3 . . . 5 S (6) = S (5) + O2(0) + O4(0) + O5(1) S (7) = S (6) + O3(0) + O5(0) + O2(1) + O4(1) S (8) = O0(1) + O1(1) + O1(0) + O4(0) S (9) = O1(1) + O4(1) + O4(0) + O5(0) S (10) = O4(1) + O5(1) + O5(0) (0) (0) R(3) = T10 + T11 (1) (1) R(4) = T10 + T11 (0) R(5) = R(3) + T12 (1) (6) (4) R = R + T12

(1) (0) (0) K (3) = K (7) = T20 + T20 + T21 (1) (0) (1) K (4) = K (8) = T20 + T21 + T21

(0) (0) (0) (0) (1) C (7) = F10 + F20 + F30 + F31 + F30 (1) (0) (1) (1) (1) C (8) = F10 + F20 + F30 + F31 + F31

(0) (1) (0) W (5) = T30 + T30 + T31 (1) W (6) = W (5) + T31 W (7) = W (6) (0) W (8) = W (7) + T30

Nakonec, opredelem posledovatel~nost~

P (0) P (1) P (2) . . . P (11)

48

#+" 2. (,/+%,%-26(? ./%06() "

celyh qisel, zadawu proizvedenie mnogoqlenov f (x) i

N

GF (2

)

g(x).

P (0) = O0(0) (0) P (1) = S (1) + T10 (1) (0) P (2) = S (2) + T10 + T20 (0) P (3) = S (3) + R(3) + K (3) + F10 (1) (0) P (4) = S (4) + R(4) + K (4) + F10 + T30 (1) (0) P (5) = S (5) + R(5) + T21 + F20 + W (5) (0) (1) (0) P (6) = S (6) + R(6) + T20 + F20 + F30 + W (6) (0) P (7) = S (7) + T10 + K (7) + C (7) + W (7) + E (0) (1) P (8) = S (8) + T10 + K (8) + C (8) + W (8) + E (1) (0) (1) (1) (1) P (9) = S (9) + T12 + T21 + T31 + F31 (1) P (10) = S (10) + T12 P (11) = O5(1) Takim obrazom, nami postroena shema umnoeni mnogoqlenov pri n = 6 s = 32. Kak vidim, izvestna shema umnoeni mnogoqlenov po metodu Karacuby predstavlena nami ne v rekurrentnom, a v vnom vide. Pri tom razrabotanna shema vyqisleni, kak ue bylo ukazano vyxe, imeet strukturu () i soderit programmnye vristiki. Privedenny sposob umnoeni mnogoqlenov dopuskaet, oqevidno, rasparallelivanie vyqisleni kak vnutri urovne, tak i v celom. Podobnye vnye shemy procedurno strots i pri bol~xih parametrah operandov.

2.2.6

Rezul~taty ksperimentov

Osuwestvlena testova proverka sleduwih sposobov umnoeni mnogoqlenov v standartnom bazise: C { klassiqeski metod umnoeni na urovne otdel~nyh kofficientov CT { metod umnoeni na urovne lementarnyh mnogoqlenov stepeni 7 (k = 8) s ispol~zovaniem zaranee vyqislemo tablicy umnoeni lementarnyh mnogoqlenov

2.2. ./2(,('6(? 3,-.&%-(? ,-.#.7+%-."

49

CM { opisanna v predyduwem paragrafe modifikaci klassiqeskogo metoda, minimiziruwa qislo operaci sdviga i sloeni. K { umnoenie mnogoqlenov po metodu Karacuby (dekompozicionna shema ne ispol~zuets). KS { umnoenie mnogoqlenov po dekompozicionno sheme. Dl poluqeni vremennyh ksperimental~nyh ocenok proizvodilis~ po 10 000 ciklov umnoeni (s privedeniem rezul~tata po modul ptiqlena) s opredeleniem minimal~nogo, maksimal~nogo i srednego po 10 takim ispytanim vremeni vypolneni tih ciklov. V kadom cikle osuwestvllos~ privedenie rezul~tata umnoeni k standartnomu bazisu pol Galua putem nahodeni ostatka ot deleni na neprivodimy ptiqlen sootvetstvuwe stepeni. Rezul~taty ispytani s ispol~zovaniem processora Pentium MMX, 233 Mgc privedeny v tablice (vrem ukazano v sekundah). Privedennye dannye poluqeny s ispol~zovaniem ksperimental~no biblioteki arifmetiqeskih operaci v koneqnyh polh, opisanno nie v paragrafe 3.3.1. 173

191

239

Min. Sr. Maks. Min. Sr. Maks. Min. Sr. Maks.

Metod

1.26

1.40

1.56

1.42

1.56

1.71

1.76

1.97

2.11

C

0.53

0.62

0.68

0.61

0.69

0.78

0.81

0.95

1.05

CT

0.71

0.74

0.76

0.73

0.76

0.78

0.80

0.83

0.88

CM

0.45

0.46

0.48

0.47

0.49

0.51

0.50

0.52

0.55

K

0.17

0.18

0.18

0.22

0.23

026

0.36

0.37

0.39

KC

Takim obrazom, vyvlennye sravneniem teoretiqeskih ocenok slonosti preimuwestva umnoeni po predloenno v danno rabote sheme pered klassiqeskim metodom i bazovym metodom Karacuby podtverdats ksperimental~no. Otmetim, qto vyqisleni v sootvetstvii s takimi shemami mono osuwestvit~ take posredstvom logiqeskih shem.

#+" 2. (,/+%,%-26(? ./%06() "

50

2.3

N

GF (2

)

Delenie i privedenie mnogoqlenov

V danno lekcii izuqats sposoby realizacii operacii deleni dl privedeni mnogoqlenov po modul neprivodimogo mnogoqlena.

2.3.1 <Xkol~ny>

algoritm deleni mnogoqlenov v standartnom bazise

S ispol~zovaniem operaci sloeni i umnoeni mnogoqlenov realizuets algoritm nahodeni qastnogo i ostatka pri delenii odnogo mnogoqlena (P1 (x)) na drugo (P2 (x)), t.e. nahodenie takih mnogoqlenov S (x) i R(x), qto

P1(x) = S (x)P2 (x) + R(x) i

Primer. Pust~

deg R(x) < deg P2(x):

P1(x) = x5 + x2 + x + 1 i P2 (x) = x3 + x2:

Togda

P1(x) = x2P2(x) + x4 + x2 + x + 1 = x2P2(x) + xP2 (x) + x3 + x2 + x + 1 = = x2P2(x) + xP2(x) + P2(x) + x + 1 = (x2 + x + 1)P2 (x) + x + 1: Potomu v nastowem primere qastnoe i ostatok ot deleni mnogoqlena P1 (x) na mnogoqlen P2(x) ravny sootvetstvenno S (x) = x2 + x + 1 i R(x) = x + 1. Rassmotrim odin iz algoritmov deleni mnogoqlena P1 (x) na mnogoqlen P2(x). Dany vektory U dliny p i V dliny s s p kofficientov mnogoqlenov P1(x) stepeni deg P1(x) p ; 1 i P2 (x) stepeni s ; 1 v pordke vozrastani stepene sootvetstvuwih termov mnogoqlenov, vektor U obrazuets dvum vektorami U1 dliny p ; s (sootvetstvuet mladxim razrdam i U2 dliny s dl formirovani qastnogo ispol~zuets vektor Z dliny p ; s + 1 on obrazuets dvum vektorami Z1 dliny 1 i Z2 dliny p ; s (Z1 sootvetstvuet mladxemu, a Z2 - starxim razrdam vektora Z )

2.3. $%+%-(% ( /0("%$%-(% ,-.#.7+%-."

51

Trebuets vyqislit~ qastnoe i ostatok ot deleni mnogoqlena P1(x) na mnogoqlen P2(x): Algoritm (tak nazyvaemy "xkol~ny" algoritm deleni) opisyvaets sleduwim obrazom.

1: Z = 0 Esli U = 1 to fZ2 = 1 U2 = U2 + V 2: Vypolnit~ p ; s raz U = U !] Z = Z !] Esli U = 1 to Z2 = 1 U2 = U2 + V: Zdes~ U { starxi lement vektora U !] { operaci sdviga na odnu pozici v storonu starxih razrdov (umnoenie na 2, ili na polinom x). lementy vektora U2 opredelt kofficienty mnogoqlena-ostatka lementy vektora Z vlts kofficientami mnogoqlena-qastnogo. Primer. Pust~ p = 8 s = 5 P1(x) = 1 + x + x2 + x5 P2(x) = x2 + x3: Oqevidno (sm. vyxe), qto S (x) = 1 + x + x2 R(x) = 1 + x: Vyqisleni predstavleny v sleduwe tablice

U1 U2 V Z1 Z2 0 11 1001 0011 0 00 0011 1 00

xag

1 2

11 1010

1 00

01 1110

1 10

01 1101 0011

00 1111 0011 00 1100

0 10 1 10 0 11 1 11

1 11

irnym xriftom ukazany rezul~taty kadogo xaga. Slonost~ togo algoritma taka e, kak slonost~ klassiqeskogo algoritma umnoeni.

#+" 2. (,/+%,%-26(? ./%06() "

52

2.3.2

N

GF (2

)

Privedenie mnogoqlenov po neprivodimomu <maloqlenu>.

P ;1 Pust~ mnogoqlenPp1(x) = ni=0 ui xi neobhodimo razdelit~ na ;1 v xi : Qastnoe predstavim mnogoqlenom mnogoqlen p2(x) = m i j=0 Pn ;1 P s(x) = i=0 zi xi a ostatok { mnogoqlenom r(x) = ni=0;1 ui0 xi : Polagaem, qto mnogoqlen p2(x) imeet maloe qislo nenulevyh kofficientov (vlets <maloqlenom>), priqem kofficienty vdeg p2;1 . . . vdeg p2;s+1 { nulevye. Obrazuem spisok L = r1 r2 . . . rl ] stepene nenulevyh kofficientov mnogoqlena p2 krome starxe. Oboznaqim 0

00

p = degsp1 q = degs p2

lri = sp ; degs p2 + ri i = 1 . . . l tri = rest(sp ; deg p2 + ri s) i = 1 . . . l: Predpolagaets, qto ti znaqeni dl kadogo lementa spiska L vyqislts zaranee.

Dvoiqnye posledovatel~nosti kofficientov mnogoqlenov p1(x) p2(x) s(x) i r(x) budem oboznaqat~ U V Z i U 0 sootvetstvenno, a ih qasti, sootvetstvuwie razbieni na maxinnye slova ( celye qisla) budem oboznaqat~ kak opisano v paragrafe 1. Algoritm vyqisleni mnogoqlena-ostatka r(x) opisyvaets sleduwim obrazom. 1.Poka p > q a) Esli U (p) 6= 0 to dl kadogo lementa ri spiska L vypolnit~ sleduxee: print~ U (lri ) = U (lri ) + U (p0) U (lri +1) = U (lri +1) + U (p1) gde U p0 poluqaets iz U (p) udaleniem tri starxih razrdov i dobavleniem tri nulevyh mladxih razrdov. U p1 poluqaets iz U (p) udaleniem s ; tri mladxih razrdov i dobavleniem s ; tri nulevyh starxih razrdov. b) Poloit~ U (p) = 0 p = p ; 1 i dl kadogo lementa ri spicka L print~ lri = lri ; 1:

2.3. $%+%-(% ( /0("%$%-(% ,-.#.7+%-."

2.

Esli p = q i deg U (p)

53

deg V (q)

dl kadogo lementa ri spiska

L vypolnit~:

iz vektora U (p) obrazovat~ vektor W putem "obnuleni" degV (q) mladxih razrdov, vypolnit~ destvi, podobnye opisannym v p.1 s ispol~zovaniem vektora W vmesto vektora U (p) s tem otliqiem, qto v sluqae lri < 0 izmenets tol~ko vektor

U (lri +1)

"obnulit~" starxie s ; deg V (p) razrdov vektora U (p): Rassmatrivaemye pri kado iteracii celye qisla U (p) p > q vlts qislami Z (p;q) sostavlwimi vektor kofficientov qastnogo, pri tom qislo Z (0) poslednego ravno vektoru W poluqawemus pri vypolnenii p. 2 algoritma. celye qisla U (j) j = 0 . . . q po okonqanii algoritma obrazut posledovatel~nost~ U 0 kofficientov mnogoqlena-ostatka r(x): Danny variant deleni realizuets nailuqxim sposobom pri s ravnom dline maxinnogo slova s = 32 64 ili 128. Dl <maloqlena> bolee obwego sluqa (dopuskaets odin nenulevo kofficient sredi vdeg p2;1 . . . vdeg p2 ;s+1 ) pri vypolnenii algoritma vmesto vektora U (p) neobhodimo ispol~zovat~ celu qast~ ot deleni mnogoqlena U (p)(x)x deg p2 ;t na dvuqlen xdeg p2;t +1 gde t stepen~ vtorogo posle starxego nenulevogo slagaemogo <maloqlena>, U (p)(x) { mnogoqlen s posledovatel~nost~ kofficientov U (p). Estestvenno, imeets variant algoritma, sootvetstvuwi razbieni posledovatel~noste kofficientov mnogoqlenov na baty. Opisannye v tom paragrafe algoritmy obespeqivat privedenie po modul modulrnogo <maloqlena> za vrem, sostavlwee malu (okolo 10 procentov) dol vremeni umnoeni.

#+" 2. (,/+%,%-26(? ./%06() "

54

N

GF (2

)

2.4

Vozvedenie v stepen~ i invertirovanie v GF (2 )

2.4.1

Vozvedenie celogo qisla v stepen~ po zadannomu modul. Diskretny logarifm

n

Prototipom rassmatrivaemogo nie algoritma modul~nogo vozvedeni mnogoqlenov v stepen~ vlets sootvetstvuwi qislovo algoritm. Vozvedenie qisla a v stepen~ e po modul qisla m mono osuwestvit~ s ispol~zovaniem sleduwego algoritma, izbega mnogokratnogo (e ; 1 raz) umnoeni: 1. Predstavit~ pokazatel~ e v dvoiqno sisteme sqisleni

e = e02r + . . . + er;120 + er e0 = 1 ei 2 f0 1g i = 1 . . . r: 2.

Poloit~ a0 = a i zatem dl i = 1

. . . r vyqislit~

ai a2i;1 aei (mod m): 3.

Konec. Rezul~tatom vlets qislo ar :

Primer 3.

Vyqislim c157 qaem

(mod 2773) dl c = 1644: Posledovatel~no polu-

c2 = 1834 c4 = 2680 c8 = 330 c16 = 753 c32 = 1317 c64 = 1364 c128 = 2586 c144 = 612 c152 = 1304 c156 = 2022 c157 = 2114: Zdes~ pri vyqislenii poslednih qetyreh znaqeni v kaqestve operandov modul~nogo umnoeni ispol~zovany ranee vyqislennye stepeni c128 i c16 s144 i c8 c152 i c4 po modul 2773 qisla c = 1644: Nakonec, modul~na stepen~ c157 poluqena umnoeniem c = 1644 i c156 = 2022 po modul 2773. Slonost~ algoritma ocenivaets veliqino O (ln m): V otliqie ot togo polinomial~ny algoritm rexeni sravneni,

bx a(mod m)

to est~ vyqisleni diskretnogo logarifma izvesten.

x pri osnovanii b, ne

2.4. ".'"%$%-(% " 12%/%-< ( (-"%02(0."-(% "

2.4.2

N

GF (2

)

55

Implementaci vozvedeni mnogoqlenov v stepen~ i ih invertirovani

Implementaci vozvedeni v stepen~

2n :

Dl nas osoby interes predstavlt algoritmy invertirovani i algoritmy vozvedeni v stepen~. Dl uskoreni vypolneni operacii vozvedeni v kvadrat v standartnom bazise my zaranee sostavlem tablicu, v kotoryh dl kadogo bata imets dvuhbatovye slova, poluqennye vstavko dopolnitel~nyh nule medu bitami Pri vozvedeni v kvadrat s ispol~zovaniem postroenno tablicy my vstavlem medu bitami, zadawimi lement pol (t.e. mnogoqlen), nuli i zatem privodim poluqenny rezul~tat po modul neprivodimogo mnogoqlena, kotory porodaet dannoe pole. Otmetim, qto vozvedenie v kvadrat v normal~nom bazise osuwestvlets prosto cikliqeskim sdvigom kofficientov polinoma. Mnogokratnym povtoreniem podobnogo preobrazovani polum qat stepen~ f (x)2 dannogo mnogoqlena. Implementaci invertirovani v standartnom ili normal~nom bazisah

Rassmotrim modifikaci metoda vozvedeni mnogoqlenov v stepen~ i ih invertirovani v standartnom ili normal~nom bazisah, otliqawus tem, qto ispol~zuets ne rekursi, a vnye vyqisleni, osnovannye na dvoiqnom razloenii stepeni i maxinnom predstavlenii mnogoqlenov. Opisanna zdes~ realizaci ispol~zuet take nekotorye programmnye vristiki. Pust~ mnogoqlen f (x) stepeni men~xe t zadan v standartnom S ili normal~nom N bazise. Trebuets poluqit~ predstavlenie mnogoqlena f ;1 (x) v zadannom bazise B B = S ili B = N . Iz ravenstv

f ;1 (x) = f 2t ;2(x) =

t 1 ;1 2 2 f (x) ;

sleduet, qto dl vyqisleni f ;1 (x) mono snaqala nati g (x) f 2t 1;1, a zatem vozvesti poluqenny mnogoqlen g(x) v kvadrat. ;

=

#+" 2. (,/+%,%-26(? ./%06() "

56

N

GF (2

)

Opixem qast~ algoritma, kasawus vozvedeni mnogoqlena f (x) v stepen~ 2t ; 1, gde t - natural~noe. Vospol~zuems ravenstvom ; 8;

2t=2 ; 1 2t=2 + 1 t qtno, ; ; (t;1)=2 2t ; 1 = > esli t ; 1 (t;1)=2 + 1 2 + 2 ; 1 2 > : esli t neqetno: > > <

Otsda

8 ; t=2 2 > > <

;

; 1 2t=2 + 2t=2 ; 1

t qtno, 2t ; 1 = > 2esli t;1 + ;2(t;1)=2 ; 1 2(t;1)=2 + ;2(t;1)=2 ; 1 > : esli t neqetno: t Takim obrazom, dl f 2 ;1 poluqaem razloenie

8 t=2 t=2;1 2 > 2t=2 ;1 2 > > > > < esli qtno, (t t 1 (t 1)=2;1 2 > 2 2 > > > > :

f

f

f 2t;1 =

t f f esli t

1)=2

;

;

;

neqetno:

f2 t (

1)=2

;

;1

Pokaem, kak s ispol~zovaniem privedennyh vyxe razloeni t vyqislit~ f 2 ;1, esli

t=

s X i=0

ai2i:

Starxi razrd as qisla t raven s0 s0 < s, ue vyqislen mnogoqlen

1.

f 2t ;1 0

gde

s X 0

t0 =

as;s +i 2i: 0

i=0

t Nadem mnogoqlen f 2 ;1 dl 00

t00 =

s +1 X 0

as;s ;1+i 2i: 0

i=0

Pust~ dl nekotorogo

2.4. ".'"%$%-(% " 12%/%-< ( (-"%02(0."-(% " Dl togo rassmotrim dva sluqa. Sluqa 1. Pust~ as;s ;1 = 0. Togda t00 dennoe vyxe razloenie, poluqaem 0

f

2t00 ;1

= f

2t0 ;1

2t

0

N

GF (2

)

57

= 2t0 i, uqityva prive-

f 2t ;1: 0

Takim obrazom, nuno ispol~zovat~ odin raz algoritm vozvede t t ;1 2 2 ni v stepen~ dl vyqisleni f i odin raz algoritm umnoeni. Sluqa 2. Pust~ as;s ;1 = 1. Togda t00 = 2t0 + 1 i, ispol~zu privedennoe vyxe razloenie, poluqaem 0

0

0

f 2t ;1 00

=

t t ;1 2 2 f

0

0

f 2t ;1 f 2 t : 0

2

0

Sledovatel~no, nuno ispol~zovat~ dva raza algoritm vozvede t t ;1 2 2 ni v stepen~ dl vyqisleni mnogoqlenov f f 22t , a zatem dva raza algoritm umnoeni. Vypoln opisannye vyxe destvi, naqina s s0 = 0, qet mu sootvetstvuet t0 = as my vyqislim f 2 ;1 s ispol~zovaniem n(t) + b(t) ; 2 umnoeni, gde b(t), kak ukazyvalos~ vyxe, - qislo razrdov v dvoiqnom razloenii qisla t, a n(t) - qislo ediniqnyh razrdov v tom razloenii. Takim obrazom pordok qisla umnoeni raven O(log t). Krome togo, ponadobits n(t) + b(t) ; 2 raz ispol~zovat~ algoritm vozvedeni v stepen~. Rassmotrenny vyxe sposob vozvedeni mnogoqlena f v stepen~ 2t ; 1 s ispol~zovaniem dvoiqnogo predstavleni qisla t t = (as . . . a1 a0) as = 1 s > 0: mono oformit~ v vide sleduwego algoritma. 1.Print~ ' = f: 0 = 0 s ; 1 vyqislit~ 2.Dl s P t0 = si=0 as;s ;i 2i : Esli as;s ;1 = 0 print~ 0

0

0

0

0

0

' = '2t

0

'

inaqe print~

' = '2t ' f 2t : 0

0

Algoritm rabotaet kak v standartnom, tak i v normal~nom bazisah.

#+" 2. (,/+%,%-26(? ./%06() "

58

N

GF (2

)

Primer. V pole GF (23) mnogoqlenov, rassmatrivaemyh po mo-

dul neprivodimogo mnogoqlena p(x) = 1 + x2 + x3 vyqislim mno5 goqlen f 2 ;1(x), esli f (x) = 1 + x. Zdes~ t = 5 i dvoiqnoe razloenie togo qisla est~ t =

(a2 a1 a0) = (1 0 1): 1. Primem ' = f = (1 + x) 2.1 Dl s0 = 0 imeem t0 = a2 = 1 as;s ;1 = a2;0;1 = a1 = 0 potomu ' = '2 ' = '2 ' = (1 + x2)(1 + x) = 1 + x + x2 + x3 = x: 2.2 Pri s0 = 1 poluqaem t0 = a2;1;020 + a2;1;121 = a120 + a021 = 2: as;s ;1 = a2;1;1 = a0 = 1 potomu ' = '2t ' f 2 t = = x2 x f 2 = x4 x (1 + x)2 = (1 + x + x2) x 1 + x = (1 + x2)(1 + x) = x: 0

1

0

2

0

2

0

22

4

Pust~ v rassmotrennom vyxe pole nuno vyqislit~ mnogoqlen ; 1 f (x), gde, kak i prede, f (x) = 1 + x. Togda

f ;1 (x) = f 23;2 (x) =

2 2 ;1 2 f (x) :

(dl vyqisleni f 2 ;1 (x) prinimaem ' = f = (1 + x) dalee dl s0 = 0 nahodim t0 = 1 a1;0;1 = a0 = 0 qto vleqet '2 ' = '2'_ = (1 + x)2 (1 + x) = x: Takim obrazom, f ;1 (x) = '2 = x2 : 2

1

2.4.3

Bystry algoritm vozvedeni v stepen~ v koneqnom pole malo harakteristiki v sluqae ispol~zovani standartnogo bazisa

Dl vozvedeni mnogoqlena s kofficientami iz pol

GF (2)

f (x) = a0 + a1x + . . . + ak;1xk;1 v stepen~ 2m po modul zadannogo neprivodimogo nad GF (2) mnogoqlena q(x) mono vospol~zovat~s formulo

f (x)2m = a0 + a1x2m + . . . + ak;1x(k;1)2m

2.4. ".'"%$%-(% " 12%/%-< ( (-"%02(0."-(% "

N

GF (2

)

59

v kotoro nado zamenit~ kadu stepen~ x2 i i = 0 . . . k ; 1 na ee ostatok po modul mnogoqlena q (x) stepeni k: Sostavim iz kofficientov tih mnogoqlenov k k matricu Qm . tu matricu mono vyqislit~ so slonost~ O(mk2) edinstvenny raz, tak kak ona ne zavisit ot f (x). Umnoa vektor a kofficientov mnogoqlena f (x) na transponirovannu matricu Qm , qto mono sdelat~ metodom Lupanova 10, 12] so slonost~ O(k2= log k ), pom luqaem kofficienty mnogoqlena f (x)2 . Posledovatel~no vozn vod v kvadrat, mono vyqislit~ f (x)2 so slonost~ O(nk ). No esli vybrat~ m = pO(k) logk s = dn=me r = n ; sm < m to mo m no s pomow~ ukazannogo vyxe sposoba vozvesti f v stepen~ 2 , ms vypolnit~ to s raz, poluqiv f 2 , a potom vozved tem e sposobom, no s pomow~ matricy Qr , v stepen~ 2s poluqaem v itoge (f 2ms )2r = f2n so slonost~ O(sk2= log k) = pO(nk) logk priqem to mono sdelat~ dl lbogo n > m, esli predvaritel~no vyqislit~ vse matricy Qr r = 1 . . . m Zametim teper~, qto pri n pordka 200 vmesto metoda Lupanova luqxe ispol~zovat~ standartny metod umnoeni matricy na vektor, razbiva matricu na polosy po 32 stroki i zamen bulevu n na n matricu na matricu razmera n=32 na n, sostowu iz long-ov, i umnoa posledn matricu na vektor, ispol~zu operacii s 32-bitovymi qislami. Togda slonost~ umnoeni budet ravna n2 =16: Tak kak slonost~ vozvedeni v kvadrat v standartnom polinomial~nom bazise ravna 3n=8, to pri vyqislenii obratnogo lementa v pole GF (2n ) posledn operaci vozvedeni v 2(n;1)=2 stepen~ vygodnee vypolnit~ opisannym vyxe metodom (moet byt~ i predposledn toe). Privedem detal~noe opisanie rassmotrennogo algoritma. V nem budet ispol~zovany operacii nad matricami, lementami kotoryh vlts celye qisla, i operaci umnoeni vektora na matricu, opisyvaemye sleduwim obrazom. Pust~ zadana tablica T s k stroqkami i n stolbcami, na pereseqenii i-o stroki i j -go stolbca kotoro nahodits celoe neotricatel~noe qislo tij , ne prevoshodwie 2s ; 1 (n ; 1)s < k ns. Takim obrazom, tablica T zadaet kvadratnu binarnu matricu M s k strokami i k stolbcami, na pereseqenii i-o stroki i j -go stolbca kotoro nahodits qislo aij . Vvedem m

60

#+" 2. (,/+%,%-26(? ./%06() "

N

GF (2

)

operaci "U" nad tablicami. Rezul~tatami primeneni to operacii k tablice T vlts tablica U (T ), imewa n strok i k stolbcov. Soderatel~no my preobrazuem snaqala tablicu T k matrice M i tem samym opredelem lementy aij . Qerez q i r oboznaqim sootvetstvenno qisla ]j=s i j ; (q ; 1)s. Togda qislo aij ravno ostatku ot deleni tiq =2r;1] na 2. Opredelim tablicu U (T ), na pereseqenii i-o stroki i j -go stolbca kotoro nahodits celoe neotricatel~noe qislo uij , dl kadogo j 1 j k i dl kadogo i 1 i n polaga

uij =

min(is ;1k) X

ai j 2i ;(i;1)s : 0

0

i =(i;1)s 0

Dalee, pust~ v = (t1 t2 . . . tn), gde ti qislo ne prevoshodwee 2s ; 1 i = j j = 1 2 . . . k poloim

v0

j

=

n X i=1

- celoe neotricatel~noe 1 2 . . . n. Dl kadogo

tiuij

gde proizvedenie celyh neotricatel~nyh qisel t i u osuPs;1 i i ij 1 westvlets pokomponentno, t.e. esli ti = i1 =0 ai1 2 uij = Ps;1 P s;1 i1 i1 i1 =0 bi1 2 , to ti uij = i1 =0 ai1 bi1 2 summiruts tih proizvedeni proizvodits take pokomponentno po modul 2. V poluqennom vektore v0 = (v10 v20 . . . vk0 ) kada komponenta vj0 vlets celym neotricatel~nym qislom ne prevoshodwim 2s ; 1. Poloim cj = 0, esli qislo edinic v dvoiqnom razloenii vj0 qetno i cj = 1 v protivnom sluqae. Vektor c = (c1 c2 . . . ck) preobrazuem v vektor u = (u1 u2 . . . un), poloiv

uj =

min(sjk) X i1 =s(j ;1)+1

ci 2i ;s(j;1);1 : 1

1

Poluqenny vektor u vlets rezul~tatom umnoeni vektorstroki v na tablicu T: Vozvedenie mnogoqlena f (x) v stepen~ 2m neposredstvenno v standartnom bazise mono vypolnit~ sleduwim obrazom.

2.4. ".'"%$%-(% " 12%/%-< ( (-"%02(0."-(% "

N

GF (2

)

61

1. Posledovatel~no dl i = 0 1 . . . k ; 1 nati razloenie mnom i2 goqlena x v standartnom bazise. Tak, esli razloenie gim;1(x) dl xi2m ue nadeno, to iskomoe razloenie v stanm i2 2 dartnom bazise dl odnoqlena x = gim;1 (x) poluqaem, vy2 qisliv ostatok ot deleni mnogoqlena gim ;1 (x) na mnogoqlen p(x). 2. Postroit~ k k-matricu M iz nule i edinic, i- stroka 1

;

kotoro sovpadaet s naborom

ai;1k;1 ai;1k;2 . . . ai;11 ai;10 kofficientov mnogoqlena gi;1m (x), gi;1m(x) =

k;1 X j=0

ai;1j xj :

3. Po matrice M postroit~ tablicy Tm i Um = U (Tm). 4. Dl togo, qtoby poluqit~ nabor kofficientov mnogoqlena m 2 f (x) v standartnom bazise, nuno, predstaviv nabor kofficientov mnogoqlena f (x) v vide ] ks -vektora s lementami iz mnoestva f0 1 . . . 2s ; 1g i umnoit~ ego na tablicu Um . Dl realizacii to posledovatel~nosti destvi ponadobit-

s:

1. Asimptotiqeski C1k2m operaci dl postroeni matricy M , gde C1 - nekotora konstanta. 2. Asimptotiqeski C2k2 operaci dl postroeni tablicy Um po izvestno matrice M , gde C2 - konstanta. 3. Asimptotiqeski C3 ks operaci nad s - razrdnymi qislami dl umnoeni vektor-stroki na tablicu Um . Takim obrazom, vsego ponadobits vypolnit~ asimptotiqeski 2 k 2 2 C1k m + C2k + C3 s operaci. 2

62

#+" 2. (,/+%,%-26(? ./%06() "

N

GF (2

)

Esli zaranee vyqislit~ tablicu Um , to koliqestvo operaci 2 vo vrem vyqisleni snizits do C3 ks , pravda neobhodimo budet pomnit~ tablicy Um m = 1 2 . . . k ; 1, qto potrebuet sohraneni asimptotiqeski k3=s qisel. Nie my pokaem, kak mono sokratit~ obem trebuemo pamti, umen~xiv skorost~ raboty algoritma. ta skorost~ vse e budet bol~xe, qem v sluqae, kogda vyqisleni kady raz naqinats s postroeni tablicy U (T ). Pust~ c { nekotoroe natural~noe qislo (parametr), znaqenie kotorogo budet vybrano poze. Qerez m0 oboznaqim qislo ]k=c. Zaranee vyqislim tablicy Um m = 1 2 . . . m0 . Obem trebuemo pamti dl zapominani massiva Um m = 1 2 . . . m0 asimptotiqeski v c raz men~xe, qem dl zapominani massiva

Um m = 1 2 . . . k ; 1.

n

Pust~ nuno vyqislit~ x2 v standartnom bazise. Esli to nadem ostatok n1 ot deleni n na k ,

n k,

n = qk + n1 0 n1 < k: n n n Vvidu ravenstva x2 = x2 , nuno vyqislit~ x2 . Takim obrazom, v dal~nexem dostatoqno ukazat~ sposob vyn qisleni mnogoqlena x2 pri n < k. Esli n m0 , to iskomy mnogoqlen poluqim umnoa vektorstroku, sootvetstvuwu f (x) na Un. Pri tom budet ispol~zovano asimptotiqeski C3 ks operaci. V protivnom sluqae qerez r oboznaqim ostatok ot deleni qisla n na m0 . Dl nekotorogo natural~nogo qisla q1 vypolneno n = q1m0 + r. Pust~ fi (x) i = 0 1 . . . q1 q1 + 1 { posledovatel~nost~ mnogoqlenov, predstavlennyh v standartnom bazise i poluqennyh po sleduwe sheme. f0(x) = f (x) fi (x) = fi2;m1 (x) i = 1 2 . . . q1: fq +1(x) = fq2r (x): n Ispol~zu tu shemu, mnogoqlen f 2 (x) = fq +1 (x) mono poluqit~, 1

1

2

0

1

1

vypolniv asimptotiqeski ne bolee

1

2 2 k n k C3(q1 + 1) s C3 m + 1 s C3 nkc s 0

2.4. ".'"%$%-(% " 12%/%-< ( (-"%02(0."-(% "

N

GF (2

)

63

operaci. p Sledovatel~no, vybrav znaqenie parametra c = s], poluqaem, qto dl vozvedeni mnogoqlena f (x) v stepen~ 2n potrebuets asimptotiqeski C3 pnks operaci. Primer. Pust~ k = 5 p(x) = x4 +x+1 f (x) = x3 +1 m0 = 2 3 i trebuets nati f 2 (x), vyraziv ego v standartnom bazise. Snaqala predstavim v standartnom bazise odnoqleny f1 x2 x4 x6g. Pervye dva odnoqlena iz togo mnoestva preobrazovyvat~ ne nuno

x4 = 1 + x x6 = x2 + x3 potomu binarnu matricu M1, sootvetstvuwu U1, predstavit~ v vide tabl.1 Tablica

x3 0 0 0 1 Dalee

predstavim

f1 x4 x8 x12g. Odnoqlen x4 preobrazovan ranee. ;

Otsda tabl.2.

v

1

x2 0 1 0 1

x 0 0 1 0

mono

1.

x0 1 0 1 0

x0 x2 x4 x6

standartnom bazise odnoqlenny preobrazovyvat~ ne nuno, odnoqlen

x8 = x4 2 (1 + x)2 (mod p(x)) = 1 + x2 ; ; x12 = x6 2 x2 + x3 2 (mod p(x)) = = x4 + x6 x3 + x2 + x + 1(mod p(x)): binarna matrica M2, sootvetstvuwa U2, Tablica

x3 0 0 0 1

x2 0 0 1 1

x 0 1 0 1

2.

x0 1 1 1 1

x0 x4 x8 x12

imeet vid

64

#+" 2. (,/+%,%-26(? ./%06() "

N

GF (2

)

Tak kak 3 = 1 m0 + 1, to vektor (1 0 0 1) kofficientov mnogoqlena f (x) nuno snaqala umnoit~ na matricu M1. Poluqits vektor (1 1 1 0), kotory sootvetstvuet mnogoqlenu x3 +x2+x. Potomu dl togo, qtoby poluqit~ iskomy rezul~tat, nuno vektor (0 1 1 1) (poluqenny vektor "perevoraqivaets") umnoit~ na matricu M1 . Poluqim vektor (1 0 1 1), kotory sootvetstvuet mnogoqlenu 1 + x + x3 . Takim obrazom,

f 2 (x) 1 + x + x3(mod p(x)): 3

2.4.4

Bystroe invertirovanie v koneqnom pole malo harakteristiki s ispol~zovaniem standartnogo bazisa

Kak izvestno, mono ispol~zovat~ dl vyqisleni mul~tiplikativnogo obratnogo v pole GF (pn ) rasxirenny algoritm Evklida. Vrem ego raboty vozmono budet sil~no zaviset~ ot vybrannogo dl obraweni mnogoqlena. Mono ispol~zovat~ take teoretiqeski bolee bystry variant Xenhage-Moenka algoritma Evklida, kotory daet v naihudxem sluqae ocenku O(M (n) log n), gde M (n) | slonost~ umnoeni mnogoqlenov stepeni n Izvestno take, qto mono vypolnt~ invertirovanie v pon le GF (pn ) s pomow~ todestva Ferma f ;1 mod q = f p ;2 mod q: Ispol~zu dl vozvedeni v stepen~ ukazannye vyxe soobraeni, mono poluqit~ dl togo algoritma ocenku slonosti O(M (n) log n + n2): Ostatoqny qlen O(n2 ) mono neskol~ko umen~p xit~, zameniv ego na O (n2= log n) pri uslovii predvaritel~nogo vyqisleni nekotoryh matric. Dl togo zametim, qto dl vozvedenii f v pn ; 2- stepen~ prihodits vozvodit~ v samom konce srazu v stepen~ pn=2+O(1), do togo | v stepen~ pn=4+O(1), i tak dalee. Esli vypolnt~ ti operacii tak kak ukazano v predyduwem2 punkte, to summarna slonost~ ) tih operaci budet ravna pO(n log n (slonost~ predvaritel~nyh vyqisleni ne uqityvaem), slonost~ ostavxihs umnoeni ocenivaets take, kak i ran~xe.

Glava 3 lliptiqeskie krivye i operacii 3.1

lliptiqeskie krivye

3.1.1

Vvedenie. Pontie lliptiqesko krivo

lliptiqeskie krivye priments v kriptografii s 1985 goda, priqem kak dl faktorizacii qisel i proverki prostoty, tak i dl postroeni kriptografiqeskih protokolov. Interes k nim obuslovlen, s odno storony, tem, qto oni vlts bogatym istoqnikom koneqnyh abelevyh grupp, obladawih poleznymi strukturnymi svostvami, tak i tem, qto na ih osnove obespeqivats te e kriptografiqeskie svostva, kotorymi obladat qislovye ili polinomial~nye kriptosistemy, no pri suwestvenno men~xem razmere klqa. lliptiqesko krivo E nad polem F nazyvaets gladka kriva, zadavaema uravneniem vida

Y 2 + a1XY + a3Y = X 3 + a2X 2 + a4X + a6 ai 2 F :

(3:1)

Budem oboznaqat~ EF mnoestvo toqek (x y ) 2 F 2 udovletvorwih tomu uravneni i soderawee krome togo toqku, oboznaqaemu O: Esli K { rasxirenie pol F to EK oboznaqaet mnoestvo toqek (x y) 2K2 udovletvorwih (3.1) vmeste s toqko O: Qtoby kriva (3.1) byla lliptiqesko krivo v F 2 ili v K2, ona dolna byt~ gladko. to oznaqaet, qto v F 2 ili v K2 ne dolno byt~ toqek, v kotoryh ravny 0 obe qastnye proizvodnye. Inymi slovami dva uravneni 65

66

#+" 3. =++(/2(7%1*(% *0("% ( ./%06((

a1Y = 3X 2 + 2a2X + a4 2Y + a1X + a3 = 0 ne dolny udovletvort~s ni v odno toqke

(x y) 2 E (F 2 ) ili

(x y) 2 E (K2) C uravneniem (3.1) lliptiqesko krivo mono svzat~ diskriminant ! = ;16(4a3 + 27b2): lliptiqeska kriva nad polem R s nenulevym diskriminantom, ! 6= 0, predstavlet sobo gladku krivu, v kado toqke kotoro mono provesti kasatel~nu. Esli F ne vlets polem harakteristiki 2, to bez poteri obwnosti mono polagat~, qto a1 = a3 = 0: V vanom sluqae harakteristiki 2 imeets dve raznovidnosti lliptiqeskih krivyh a) <supersingulrnye> lliptiqeskie krivye, kogda leva qast~ (3.1) imeet vid Y 2 + a3Y i b) lliptiqeskie krivye s levo qast~ Y 2 + a1XY a1 6= 0 togo uravneni. Dl pole harakteristiki 2 mono take poloit~ a2 = 0 v supersingulrnom sluqae i a4 = 0 v nesupersingulrnom sluqae. Esli harakteristika pol ne ravna ni 2, ni 3, to posle uproweni levo qasti (3.1), lineno zameno peremenno (a imenno, X ! X ; 1=3a2) mono take udalit~ term X 2: To est~ bez poteri obwnosti mono polagat~, qto kriva zadana uravnenimi vida Y 2 = X 3 + aX + b a b 2 F charF 6= 2 3 (3:2) V tom sluqae uslovie gladkosti krivo sostoit v trebovanii, qto kubiqeski mnogoqlen sprava ne imeet kratnyh korne. A to vypolnets togda i tol~ko togda, kogda ego diskriminant ne raven nul. Dl geometriqesko interpretacii termina "lliptiqeska kriva" i operaci nad ee toqkami polezno postroit~ grafik lliptiqesko krivo

Y 2 = X 3 ; X

rassmatrivaemo nad polem R destvitel~nyh qisel. Zametim, qto pri bol~xih X kriva vedet seb kak funkci

Y = X 3=2.

3.1. =++(/2(7%1*(% *0("%

67

Otmetim ewe, qto lliptiqesko krivo stvuet lliptiqeski integral Z

Y 2 = f (X )

sootvet-

dX f (X )

p

ne beruwis v lementarnyh funkcih. lliptiqeskie integraly, v svo oqered~, voznikat pri vyqislenii dlin dug llipsov. Naprimer, krivo Y 2 = X 3 ; X sootvetstvuet lliptiqeski

integral

3.1.2

Z

p dX : X3 ; X

Zakon sloeni

Dl nekotorogo rasxireni K pol F mnoestvo EK obrazuet abelevu gruppu s todestvennym lementom (edinice) O: Qtoby obsnit~ pravilo sloeni toqek lliptiqesko krivo, snaqala luqxe rassmotret~ abelevu gruppu lliptiqesko krivo, opredelenno nad polem R: destvitel~nyh qisel. Pust~ E lliptiqeska kriva nad polem destvitel~nyh qisel, zadanna uravneniem (3.2), i pust~ P i Q { dve toqki na E: Opredelim protivopolony lement k P (to est~ obratny lement) i summu P + Q po sleduwemu pravilu: 1) esli P est~ toqka O my opredelem ;P kak O: Dl kado toqki Q my polagaem, qto Q + O = Q to est~ toqka O vypolnet rol~ edinicy po sloeni ( lementa gruppy toqek). 2) Otricanie ;P est~ toqka s to e x-koordinato, no s otricaniem y-koordinaty, to est~ ;(x y ) = (x ;y ): Oqevidno iz uravneni (3.2), qto (x ;y) nahodits na to e qasti krivo, qto i toqka x y: Esli Q = ;P to my opredelem summu Q + P kak toqku beskoneqnosti O . 3)Esli P i Q imet razliqnye x-koordinaty, to mono poka peresekaet krivu toqno v odno toqke zat~, qto lini L=PQ R: ( ta toqka moet sovpast~ s toqko P ili Q togda prma L vlets kasatel~no k krivo v toqke P ili Q i togda my polagaem R = P ili R = Q sootvetstvenno). Zatem my opredelem P + Q

68

#+" 3. =++(/2(7%1*(% *0("% ( ./%06((

kak ;R to est~ kak zerkal~noe otnositel~no osi x otobraenie tret~e toqki pereseqeni R: 4) Posledn vozmonost~ { to P = Q: Pust~ L vlets kasatel~no k krivo v toqke P i pust~ R { edinstvenna toqka pereseqeni prmo s lliptiqesko krivo, togda my polagaem, qto 2P = ;R: (V tom sluqae toqka P vlets toqko "dublirovannogo kasani", ili toqko inflekcii). Esli prma prohodit qerez toqku O beskoneqnosti, to to otnoxenie predstavlets v forme P + P~ + O = O gde P i P~ { simmetriqnye toqki, t.e. P~ = ;P: V protivnom sluqae ono imeet vid P + Q + R = O gde P Q i R { tri toqki krivo na prmo L sootvetstvuwie pravilu 3) ili 4). Takim obrazom, summa lbyh treh toqek lliptiqesko krivo, leawih na odno prmo, ravna O: Teper~ my pokaem, qto imeets toqno odna dopolnitel~na toqka pereseqeni lliptiqesko krivo prmo, prohodwe qerez dve zadannye toqki P i Q krivo, i odnovremenno dl krivo (3.2) vyvedem formuly dl koordinat to toqki, a tem samym i toqki P + Q: Pust~ (x1 y1) (x2 y2) i (x3 y3) { oboznaqeni koordinat toqek P Q i P + Q sootvetstvenno. Pust~ imeets sluqa 3) opredeleni P + Q i pust~ y = x + { uravnenie prmo, prohodwe qerez toqki P i Q (kotora ne vlets v sluqae 3) vertikal~no linie). Togda = (y2 ; y1)=(x2 ; x1) i = y1 ; x1: Toqka (x x + ) 2 L leit na lliptiqesko krivo tol~ko v tom sluqae, kogda ( x + )2 +2 = x3 + ax + b: Takim obrazom, imeets tol~ko odna toqka pereseqeni dl kadogo korn kubiqeskogo uravneni x3 ; ( x + )2 + ax + b: Dva korn x1 i x2 my ue znaem, tak kak (x1 x1 + ) i x2 x2 + vlts toqkami P i Q krivo. Tak kak summa korne normirovannogo mnogoqlena ravna vztomu so znakom minus kofficientu pri stepeni, predxestvuwe starxe stepeni, my moem zaklqit~, qto treti koren~ v tom sluqae opredelets kak

x3 = 2 ; x1 ; x2:

to pozvolet poluqit~ vyraenie dl x3 i, sledovatel~no, dl obeih koordinat summy P + Q = (x3 ;( x3 + )) qerez koor-

3.1. =++(/2(7%1*(% *0("% dinaty x1 x2 y1 y2 :

69

2 y 2 ;y1 x3 = x2;x1 ; x1; x2 y3 = ;y1 + xy22;;yx11 (x1 ; x3):

Sluqa, kogda P = Q podoben rassmotrennomu, za isklqeniem togo, qto teper~ est~ proizvodna dy=dx v toqke P:

vnoe differencirovanie uravneni (3.2) daet formulu = (3x21 + a)=2y1 i my poluqaem koordinaty toqki 2P pri udvoenii toqki P : 2

x3 = 3x2y+a ; 2x1 y3 = ;y1 + 3x2y+a (x1 ; x3): Primer 1.1. . Pust~ P = (0 0) na lliptiqesko krivo Y 2 + Y = X 3 ; X 2: Nati 2P = P + P i 3P = P + 2P: 2 1

1

2 1

1

Rexenie. Prede vsego preobrazuem uravnenie putem zameny

peremennyh Y

! Y ; 1=2 X ! X + 1=3 k vidu

2 : Y 2 = X 3 ; 31 x + 14 ; 27 Na to krivo toqka P stanovits toqko Q = (;1=3 1=2): Ispol~zu formuly udvoeni, poluqim 2Q = (2=3 ;1=2): Dalee vyqislem 3Q = 2Q + Q = (2=3 1=2): Zametim, qto 3Q = ;(2Q) i sledovatel~no Q vlets toqko pordka 5, to est~ 5Q = O: Vozvrawas~ k ishodno krivo, imeem 2P = (1 ;1) 3P = (1 0) = ;2P: Mono dokazat~, qto operaci sloeni toqek lliptiqesko krivo kommutativna i associativna, to est~ mnoestvo toqek v meste s toqko beskoneqnosti O obrazuet abelevu gruppu. Takoe dokazatel~stvo poluqat v proektivno geometrii s ispol~zovaniem sleduwego utverdeni: Utverdenie 1.1. Pust~ tri prmye L1 L2 L3 peresekat kubiqesku krivu v devti toqkah P1 P2 . . . P9 s vozmonymi sovpadenimi i pust~ L01 L02 L03 { tri prmye, peresekawie krivu v toqkah Q1 Q2 . . . Q9: Esli Pi = Qi dl i = 1 . . .8 to take P9 = Q9:

#+" 3. =++(/2(7%1*(% *0("% ( ./%06((

70

Kak v lbo abelevo gruppe budem ispol~zovat~ oboznaqenie kP dl toqki, poluqenno k-kratnym sloeniem toqki P samo s sobo (P +. . .+ P k raz) i oboznaqenie ;kP dl (;P )+. . .+(;P ) k raz. Poka qto my ograniqivaems predstavlenie o toqke beskoneqnosti O kak o toqke, raspoloenno beskoneqno daleko v poloitel~nom napravlenii osi y i rassmatrivaemo v kaqestve tret~e toqki pereseqeni lliptiqesko krivo lbo vertikal~no linie, vska taka lini peresekaet krivu v toqkah

(x1 y1) (x2 y2) O:

Bolee estestvenno toqka beskoneqnosti opredelets v proektivnyh koordinatah.

3.1.3

Proektivnye koordinaty

Proektivno ploskost~ nad polem F nazyvaets mnoestvo

klassov kvivalentnosti troek (X Y Z ) v kotoryh hot vy odin lement nenulevo. kvivalentnymi sqitats troki, esli lementy odno iz nih poluqats umnoeniem na skalr lementov drugo: (X 0 Y 0 Z 0 ) (X Y Z ) esli dl nekotorogo lementa 2 F ( X 0 Y 0 Z 0 ) = (X Y Z ): takie klassy kvivalentnosti nazyvats proektivnymi toqkami. Proektivnye toqki s nenulevym lementom Z prinadleat klassu kvivalentnosti, soderawemu edinstvennu toqku vida (x y 1) : ona prosto vyqislets x = X=Z y = Y=Z: Takim obrazom, proektivna ploskost~ moet byt~ opredelena kak mnoestvo vseh toqek (x y) obyqno ("afinno") ploskosti s dopolneniem toqek, dl kotoryh Z = 0: ti toqki mono interpretirovat~ kak lini v beskoneqnosti i rassmatrivat~ ee kak "gorizont" ploskosti. Vskoe uravnenie F (X Y ) = 0 krivo v afinno ploskosti sootvetstvuet odnorodnomu uravneni F~ (X Y Z ) = 0 vypolnemoe dl sootvetstvuwih proektivnyh toqek: prosto zamenim X na X=Z y = Y=Z i umnoim na stepen~ Z qtoby izbavit~s ot znamenatele. Naprimer, esli primenit~ tu proceduru k k afinnomu uravneni Y 2 = X 3 + aX + b lliptiqesko krivo, to poluqits " proektivnoe uravnenie" Y 2 Z = X 3+aXZ 2+bZ 3: to uravnenie vypolnets dl proektivno troki (X Y Z ) Z 6= 0 togda i tol~ko togda, ko-

3.1. =++(/2(7%1*(% *0("%

71

gda sootvetstvuwa afinna toqka (x y ) gde x = X=Z y = Y=Z udovletvoret uravneni (3.2). Kakie ew proektivnye toqki (X Y Z ), krome toqek s Z 6= 0 udovletvort uravneni F~ = 0? Podstavl Z = 0 v uravnenie, poluqaem 0 = X 3 to oznaqaet, qto X = 0: No imeets tol~ko odin klass kvivalentnosti troek (X Y Z ) gde oba lementa X i Z nulevye { klass, soderawi (0 1 0): to i est~ toqka, kotoru my oboznaqaem O: to toqka pereseqeni osi y s linie beskoneqnosti.

3.1.4

lliptiqeskie krivye nad polmi harakteristiki 2 i3

Esli char(F ) = 2 to lliptiqesku krivu nel~z predstavit~ v forme (3.2) { destvitel~no, kriva (3.2) ne moet byt~ gladko nad polem harakteristiki 2. V sluqae harakteristiki 3 nel~z udalit~ term a2X 2 esli on sam po sebe ne nulevo. Takim obrazom i formuly sloeni iz predyduwego paragrafa my ne moem ispol~zovat~ neposredstvenno. Koneqno, mono vyvesti analogiqnye formuly primenitel~no k lliptiqeskim krivym, uravneni kotoryh imet bolee obwu formu (3.2), prigodnu dl ispol~zovani pri lbo harakteristike. Odnako ti formuly vygldt gromozdko. No dl harakteristik 3 i 2 vse e mono poluqit~ udobnye formuly. 1) Esli a1 = a3 = 0 v (3.1), a a2 ne obzatel~no raven nul, poluqim dl charF =3:

2 y 2 ;y1 x3 = x2;x1 ; a2; x1 ; x2 y3 = ;y1 + xy22;;yx11 (x1 ; x3):

pri sloenii raznyh toqek i

2 2+2a x;1+a 3x 2 4 1 x3 = ; a2 ; 2x1 2y 1 2 y3 = ;y1 + 3x1+2a2y21x1+a4 (x1 ; x3)

pri udvoenii.

#+" 3. =++(/2(7%1*(% *0("% ( ./%06((

72

Esli a3 = a4 = 0 v (1:1) a a2 nenulevo i predpolagaets ravnym 1, to pri charF = 2 v nesupersingulrnom sluqae imeem

2)

2 y +y 2 1 2 x3 = xy11+y +x2 + x1+x2 + x1 + x2 + a2 2 y3 = xy11+y +x2 (x1 + x3 ) + x3 + y1

pri sloenii razliqnyh toqek i

x3 = x21 + a6=x21 y3 = ;x21 + x x+y x3 + x3 1

1

1

pri udvoenii. 3)Esli a1 = a2 = 0 v (3.2), a a3 6= 0 i charF =2 (supersingulrny sluqa) 2

x3 = xy +y +x + x1 + x2 y3 = xy +y +x (x1 + x3 ) + y1 + a3 1 1

2 2

1 1

2 2

pri sloenii razliqnyh toqek i

x3 = x a+a y3 = x a+a (x1 + x3) + y1 + a3 4 1

2 3 2 1

2 4

4

3

pri udvoenii. Vo vseh sluqah pravila pribavleni toqki P1 = (x1 y1 ) k toqke P2 = (x2 y2 ) dl poluqeni toqki P3 = P1 + P 2 = (x3 y3 ) mogut byt~ zapisany v vide vyraeni dl x3 i y3 s ispol~zovaniem x1 x2 y1 y4 i kofficientov ai:

3.2

lliptiqeskie krivye nad polem GF (2

n

)

V tom razdele privodts nekotorye fakty o lliptiqeskih krivyh nad polem GF (2n ) i algoritmy, imewie kriptografiqeskoe znaqenie.

3.2.1

Supersingulrnye krivye

Osnovnoe razliqie medu dvum tipami lliptiqeskih krivyh { nesupersingulrnymi i supersingulrnymi { to to, qto

3.2. =++(/2(7%1*(% *0("% -$ /.+%,

N

GF (2

)

73

dl supersingulrnyh krivyh izvesten pordok (koliqestvo toqek) sootvetstvuwe gruppy EK (zdes~ K = GF (2n )). Pri neqetnom n imeets 3 klassa neizomorfnyh supersingulrnyh lliptiqeskih krivyh (otmetim, qto pri qetnom n imeets 7 klassov), standartnymi predstavitelmi kotoryh vlts krivye

E1 : y2 + y = x3 E2 : y2 + y = x3 + x i

E3 : y2 + y = x3 + x + 1: Pripneqetnom n qislo toqek dl pervo krivo ravno 2n + 1 i 2n 2n+1 + 1 dl vtoro i tret~e (znak + ili ; vybiraets v zavisimosti ot krivo i ot sravneni n po modul 8). Ukazannye znaqeni legko vyqislts s ispol~zovaniem teoremy Vel (sm. paragraf 3.2.5). Otmetim, qto gruppy tih krivyh pri neqetnom n vlts cikliqeskimi. V obwem sluqae, gruppa EK | ili cikliqeska (izomorfna Zm (pri nekotorom m), ili prma summa dvuh cikliqeskih grupp, EK = Zm1 Zm2 , gde m2 delit m1 i m2 delit q ; 1 q = 2n. Nas budut interesovat~ krivye E2 i E3 (krivu E1 my ispol~zovat~ ne budem), a dl nih osoby interes budut predstavlt~ takie n, dl kotoryh sootvetstvuwi pordok gruppy EK pri razloenii na prostye mnoiteli soderit bol~xoe prostoe qislo (kstati, bol~xoe prostoe s N ciframi v destiqnom predstavlenii budem zapisyvat~ kak PN ). Nie privedeny nekotorye konkretnye znaqeni, kotorye mono ispol~zovat~ dl implementacii. Dl n=173 neprivodimye trhqleny ili ptiqleny mono vzt~ iz priloenii.

#+" 3. =++(/2(7%1*(% *0("% ( ./%06((

74

n

173 173 191 191 239 239 323

3.2.2

Kriva

E2 E3 E2 E3 E2 E3 E3

Pordok gruppy

5 13625405957 P 42 7152893721041 P 40 5 3821 89618875387061 P 40 25212001 5972216269 P 41 5 77852679293 P 61 P 72 137 953 525313 P 87

Formuly sloeni

Sloenie toqek v sluqae supersingulrnyh lliptiqeskih krivyh proizvodits po privedennym v paragrafe 3.1.4 formulam. Zametim, qto pri sloenii toqek vypolnets odna inversi, kotora vlets samo trudoemko operacie v arifmetike koneqnogo pol. Dl koordinatnogo predstavleni nulevogo lementa O gruppy EK fiksiruem kakoe-nibud~ koordinatnoe predstavlenie, zadawu toqku, ne leawu na krivo, naprimer, (1 1) dl E2 ili (0 0) dl E3.

3.2.3

Algoritmy vyqisleni kP

Algoritmy vyqisleni kP vlts osnovnymi v arifmetike lliptiqeskih krivyh. Hot oni vpolne analogiqny ue rassmotrennym algoritmam vozvedeni v stepen~ v standartnyh bazisah koneqnyh pole, my rassmotrim ih popodrobnee. Krome vydeleni sluqa, kogda toqka P izvestna zaranee, uskoreni vyqisleni mono dostiq~, vybira k (to budet v naxe vlasti) s qislom edinic v diapazone 40{60. Al~ternativny podhod k uskoreni vyqisleni svzan s ispol~zovaniem proektivnyh koordinat. Vyqislenie

kP {

pervy sposob

Itak, rassmotrim algoritm vyqisleni koordinat toqki

kP ,

3.2. =++(/2(7%1*(% *0("% -$ /.+%,

N

GF (2

)

75

gde k { natural~noe qislo, (nazyvaemoe klqom), a P { toqka ploskosti, zadavaema paro koordinat (x0 y0 ). Zdes~ x0 i y0 { mnogoqleny iz pol Galua GF (2n ). My predpolagaem, qto P 6= 0, t.k. v protivnom sluqae kP = 0 i vyqislt~ niqego ne nado. Predvaritel~no qislo k razloim v dvoiqno sisteme: m ;1 X

k=

i=0

ai 2 f0 1g

ai2i

gde m = ]log2(k + 1). Kak ukazyvalos~ ranee, v naxe vlasti vybrat~ qislo k, dvoiqnoe razloenie kotorogo soderit 40-60 edinic. Takim obrazom, sredi qisel a0 a1 . . . am;1 soderits 40-60 edinic. Pust~ i1 i2 . . . it { indeksy ediniqnyh komponent v nabore

a0 a1 . . . am;1 i1 < i2 < . . . < it;1: Togda

kP =

t X j=1

!

2ij P:

Vyxe byli privedeny formuly dl vyqisleni proizvedeni 2P . Ispol~zu n raz tu formulu, mono poluqit~ 2nP . Dalee nadem posledovatel~nost~ Aj = 2ij P i = 1 2 . . . t po sleduwe sheme

A1 = 2i P Aj = 2ij ;ij Aj;1 j = 2 3 . . . t: Sloiv vse poluqennye Aj j = 1 2 . . . t, poluqim iskomoe proizvedenie kP : t X kP = Aj : 1

1

;

j=1

tot algoritm ispol~zuet ne bolee log2 t umnoeni mnogoqlenov na dvoku i ne bolee 40-60 operaci sloeni mnogoqlenov. Primer. Pust~ v pole GF (4) s modulrnym mnogoqlenom f; (x) = x4 + x + 1 trebuets vyqislit~ 10P , esli P = (x0 y0) = x3 + x + 1 x + 1 . Imeem sleduwee razloenie qisla 10 v dvoiqno sisteme sqisleni

10 = 23 + 21 = 10102:

#+" 3. =++(/2(7%1*(% *0("% ( ./%06((

76

Potomu t = 2, i1 = 1 i2 = 3: Vyqislim A1, A1 = 2P . Oboznaqim qerez (x1 y1) koordinaty toqki A1. Togda, ispol~zu rassmotrennye vyxe formuly, poluqaem ;

x1 = x40 + 1 = x3 + x + 1 4 + 1 = x3 + x2 y1 = x40 + 1 + y04 = x3 + x2 + (x + 1)4 = x3 + x2 + x: Dalee nadem koordinaty (x2 y2 ) toqki A2 = 22A1 Dl togo vyqislem

x01 = x41 + 1 = x3 + x + 1 y10 = x01 + y14 = x3 + x + 1 + x3 + 1 = x

otkuda

;

x2 = (x01)4 + 1 = x3 + 1 2 + 1 = x3 + x2 y2 = x2 + (y10 )4 = x3 + x2 + x + 1: Takim obrazom, ; ; 10P = A1 + A2 = x3 + x2 x3 + x2 + x + x3 + x2 x3 + x2 + x + 1 Sledu pravilam sloeni toqek, poluqaem 10P = 0, t.k. toqki A1 i A2 imet ravnye abscissy, no raznye ordinaty. O

vyqislenii

kP

metodom additivnyh cepoqek

Vyqislenie kratnyh zadanno toqki lliptiqesko krivo mono vypolnt~ tem e sposobom, qto i vozvedenie v stepen~ v koneqnom pole. Opixem tot metod 2], ispol~zu additivnu simvoliku. Qtoby vyqislit~ toqku k P , razloim k v sisteme sqisleni po osnovani 2m , imenno bX n=mc

k=

i=0

ai2mi

vyqislim zaranee vse kratnye aiP (v hudxem sluqae dl togo nado budet vyqislit~ vse kratnye P 2P . . . (2m ; 1)P c pomow~ pooqerednyh udvoeni i pribavleni P , qto trebuet 2m;1 i teh i drugih operaci), a potom vyqislem kP po sheme Gornera

kP = (. . . (as;1 2m + as;2)2m + . . . + a1)2m ) + a0)P

3.2. =++(/2(7%1*(% *0("% -$ /.+%,

N

GF (2

)

77

ispol~zu s = bn=mc sloeni s ue vyqislennymi toqkami ai P i stol~ko e umnoeni na 2m. V obwem sluqae ocenka slonosti imeet vid 2m;1 (M + K ) + Mn=m + nK

gde M i K | slonosti sloeni i udvoeni toqek sootvetstvenno. Vybira

m = blog2 n ; log2 log2 n ; log2 log2 log2 nc

poluqaem asimptotiqeski toqnu v obwem sluqae ocenku slonosti

nK + Mn=m + o((M + K )n=m): Dl konkretnyh k ee mono uluqxit~, uveliqiva m, no pri tom bolee akkuratno vyqisl aiP , kotoryh pri udaqnom vybore m moet okazat~s gorazdo men~xe, qem 2m . Mono napisat~ programmu vybora m c minimizacie koliqestva razliqnyh ai, priqem za sqet sdviga mono vsegda sqitat~, qto dvoiqnye zapisi qisel ai vsegda naqinats s edinicy. Privedm ew odin sposob vyqisleni kP: Razbiva vse qisla ai na gruppy odinakovyh, mono predstavit~ kP v vide d X j=1

aij

X

i2Mj

2i

=

d X j=1

2mj aij bj

otkuda primen shemu Gornera, poluqaem, qto slonost~ kP ocenivaets sverhu kak dM + Kn pls slonost~ sistemy vseh razliqnyh toqek aiP pls summa slonoste vyqisleni toqek bj Pj . Dalee provodim minimizaci po parametru m: Slonost~ vyqisleni kado iz toqek bj Pj vyqislets rekursivno, take rekursivno vyqislets slonost~ vyqisleni sistemy toqek aiP , esli razloit~ vse ti qisla po sheme Gornera s odnim i tem e parametrom m. Nas interesuet sluqa n pordka 200, togda m mono vybirat~ 6,7,8 v hudxem sluqae. Esli e toqka P vybiraets zaranee, vse ee kratnye P 2P . . . (2m ; 1)P mono zaranee zanesti v pamt~, i ukazanna vyxe problema minimizacii isqezaet, togda m mono vybrat~ pordka 16 (qtoby upomnutye vyxe toqki umestilis~ v bystru kx-pamt~).

78

#+" 3. =++(/2(7%1*(% *0("% ( ./%06((

Primenenie dl lliptiqeskih krivyh bystrogo algoritma vozvedeni mnogoqlena v stepen~ v sluqae ispol~zovani standartnogo bazisa

K vyqisleni kratnyh toqek dl lliptiqeskih krivyh. mono primenit~ i algoritm iz paragrafa 2.4.3 Operaci udvoeni toqki P = (x y ) lliptiqesko krivo E2 i E3 vypolnets po formule

2P = (x4 + 1 x4 + y4 + 1) i potomu svodits k vozvedeni v kvadrat v koneqnom pole. Bolee togo, vyqislenie 22n P mono vypolnit~ po formule

22nP = (x2 n y2 n + 1): 4

4

Potomu vyqislenie toqki 2nP mono vypolnit~ bystro s ispol~zovaniem opisannyh vyxe procedur.

3.2.4

Ispol~zovanie proektivnyh koordinat

Isklqit~ operaci inversii za sqet uveliqeni obwego qisla umnoeni mono, perehod k proektivno ploskosti. Putem podstanovki

x = xz

y = yz

v uravneni, zadawie lliptiqeskie krivye E2 i E3 my prihodim k sleduwim odnorodnymi uravnenimi otnositel~no x, y i

z:

E2 : y2z + yz 2 = x3 + xz 2 E3 : y2 z + yz 2 = x3 + xz 2 + z 3: Nardu s obyqnymi (affinnymi) koordinatami my moem teper~ rassmatrivat~ proektivnye koordinaty | nenulevye troki iz K 3. Proektivnye koordinaty (x y z ) i (x0 y 0 z 0) sqitats kvivalentnymi, esli dl nekotorogo nenulevogo t iz K , vypolnets

x0 = tx y0 = ty z 0 = tz: Klass kvivalentnoste (a take ego predstavitel~), porodenny troko (x y z ) oboznaqaem (x : y : z ). Mnoestvo vseh

3.2. =++(/2(7%1*(% *0("% -$ /.+%,

N

GF (2

)

79

klassov kvivalentnoste i nazyvaem proektivnymi koordinatami. Geometriqeski (dvumernoe) proektivnoe prostranstvo mono predstavlt~ sebe kak mnoestvo prmyh v obyqnom trehmernom prostranstve, prohodwih qerez naqalo koordinat. Teper~ lliptiqesku krivu mono rassmatrivat~ na proektivno ploskosti kak mnoestvo proektivnyh toqek, udovletvorwih sootvetstvuwemu odnorodnomu uravneni. Zametim, qto edinstvenno proektivno toqko s nulevo z koordinato, leawe na lliptiqesko krivo, budet toqka (0 : 1 : 0), kotora sootvetstvuet beskoneqno udalenno toqke O . Dl ostal~nyh toqek krivo (x : y : z ) (x=z : y=z : 1), tak qto proektivna toqka (x : y : z ) odnoznaqno sootvetstvuet affinno toqke (x=z y=z ). My hotim teper~ poluqit~ formuly dl sloeni proektivnyh toqek P i Q. Pust~ P = (x1 : y1 : 1) 2 E2(E3 ) (takim obrazom, odna toqka u nas faktiqeski zadana obyqnymi koordinatami) i Q = (x2 : y2 : z2) 2 E2(E3). Predpoloim, qto P Q 6= O i P 6= Q (nas interesuet osnovno sluqa v sloenii toqek). Dl toqki R = P + Q, R = (x03 : y30 : 1) my moem ispol~zovat~ formuly sloeni v affinnom sluqae, posle primeneni kotoryh poluqim: 2 a x2 = + x + 1 3 b2 z2

x0

2 x a a 2 3 = 1 + y1 + b ( b2 + z ) 2

y0 gde

a = y1 z2 + y2 b = x1x2 + x2:

Polaga

z3 = b3z2 x3 = x03z3 y3 = y30 z3 my poluqim R = (x3 : y3 : z3) , gde x3 = a2bz2 + b4 y3 = (1 + y1 )z3 + a3z2 + ab2x2 z3 = b3z2:

80

#+" 3. =++(/2(7%1*(% *0("% ( ./%06((

Vidno, qto ne sqita sloeni i vozvedeni v stepen~, nam dl sloeni toqek v proektivnyh koordinatah neobhodimo vypolnit~ 9 umnoeni (v affinnyh koordinatah tol~ko 2), no zato ni odnogo obraweni. Pri vyqislenii kP my posledovatel~no udvaivaem toqki (qto ne trebuet inversi), a zatem skladyvaem nekotorye iz nih, nakapliva rezul~tat v Q. Okonqatel~ny rezul~tat, poluqenny v proektivnyh koordinatah, preobrazuem v affinnye deleniem na z3;1 (odna inversi v samom konce).

3.2.5

Nesupersingulrnye krivye

Voobwe govor, nesupersingulrnye lliptiqeskie krivye predstavlt bol~xi interes s kriptografiqesko toqki zreni, po sravneni s supersingulrnymi. to svzano s tem, qto dl supersingulrnyh krivyh izvestno 14] svedenie zadaqi vyqisleni diskretnogo logarifma k analogiqno zadaqe dl koneqnyh pole (s povyxeniem razmernosti pol), a dl nesupersingulrnyh lliptiqeskih krivyh takogo svedeni poka net. Tak dl supersingulrno lliptiqesko krivo E1 zadanno nad polem pordka q zadaqa vyqisleni diskretnogo logarifma v gruppe to lliptiqesko krivo svodits k sootvetstvuwe zalaqe vyqisleni v pole pordka 2q: Dl krivyh E2 i E3 takoe svedenie privodit ue k polm pordka 4q: Nesmotr na to, qto dl nekotoryh pole v sluqae harakteristiki 2 GF (2n ) izvestny special~nye algoritmy vyqisleni diskretnyh logarifmov (algoritm Kupersmita i dr.), tem ne menee oni ostats praktiqeski neosuwestvimymi lo pole 5001000 i bolee. to opravdyvaet ispol~zovanie na praktike krivyh E2 i E3: Odnako dl nesupersingulrnyh krivyh okazyvaets dovol~no slono vyqislit~ pordok sootvetstvuwe gruppy. Pordok e gruppy my dolny znat~, qtoby umet~ nahodit~ na krivo toqki dostatoqno vysokogo pordka. V prostexih sluqah pordok gruppy lliptiqesko krivo mono nati s ispol~zovaniem teoremy Vel.

Teorema 2.1. Pust~ E { lliptiqeska kriva nad polem Fq i m { pordok e gruppy. Togda dl pordka M (n) gruppy lliptiqe-

3.2. =++(/2(7%1*(% *0("% -$ /.+%,

N

GF (2

)

81

sko krivo EF qn nad lbym polem Fqn vlwems rasxireniem pol Fq spravedliva formula

M (n) = qn + 1 ; n ; n gde i { korni kvadratnogo uravneni x2 ; tx + q = 0 v kotorom kofficient t = q + 1 + m: Zametim, qto po teoreme Hasse vypolnets neraventsvo t2 4q i v sluqae strogogo neravenstva korni kvadratnogo uravneni

i budut kompleksnymi. Primer 2.1. Nadem pordok gruppy lliptiqesko krivo v sluqae E2 : Rassmatriva E2 nad polem GF (2) imeem na ne toqki (0,0),(0,1),(1,0),(1,1) i ew nulevo lement O { vsego pt~ lementov. cikliqesko gruppy. Tukam obrazom, q = 2 m = 5 t = ;2 i my nahodim korni kvadratnogo uravneni

x2 + 2x + 2 = 0 : p p

= ;1 + i i = ;1 ; i ili v trigonometriqesko zapisi

koipleksnyh qisel i

p

p

= 2 cos 34 + i sin 34

= 2 cos 54 + i sin 54 :

Po teoreme Vel poluqim

3 n ; + i sin cos 3 n 4 4

n 5

n 5

n 2 cos 4 + i sin 4 2n + 1 ; 2 2 n cos 3 n 4

M (n) = 2n ; 2 n2 2

2

poskol~ku

sin 54 = sin ; 34 = ; sin 34 : p 3n = ; 2 , esli n = 1 mod8 i n = 7 mod8 imeem cos Dl cos 3n 4 2 p4 2 , esli n = 3 mod8 i n = 5 mod8 (napomnim, qto n i cos 3n = 4 2 { neqetnoe).

#+" 3. =++(/2(7%1*(% *0("% ( ./%06((

82

Okonqatel~no poluqaem

M (n) = 2n +

p n+1 2 + 1 p n+1

M (n) = 2n ; 2

+ 1

esli

n = 1 ili 7 mod8

esli

n = 3 ili 5 mod8

Dl opredeleni pordka gruppy lliptiqesko krivo est~ ew CM (complex multiplication) metod, a take algoroitm Skufa (R.Schoof) i ego varianty, odnako tot algoritm, po obweprintomu mneni, vlets dovol~no gromozdkim (hot i polinomial~nym). Opredeliv pordok gruppy lliptiqesko krivo, my dolny ew ubedit~s, qto v ego razloenii na prostye mnoiteli soderats bol~xie prostye qisla (qtoby izbeat~ izvestnyh qastnyh sluqaev vyqisleni diskretnogo logarifma). Sredi nesupersingulrnyh krivyh dl praktiqesko implementacii mono brat~ krivye

E4 = y2 + xy = x3 + x2 + 1 ili semestvo krivyh

E5 = Y 2 + xy = x3 + x2 + gde 3 = + 1 2 GF (2n ): Tak kriva E4 nad polem GF (2163) imeet pordok 2 P 49 a kriva E5 nad GF (2177) imeet pordok 10 P 53: Otmetim take, qto kriva E4 imeet pordki s bol~xim prostym qislom i dl sluqaev n = 283 311 331 347 i 359. Fragment tablicy dl ptiqlenov stepeni 163 priveden v priloenii.

3.3

3.3.1

O realizacii algoritmov Biblioteka programmnyh funkci

Na osnove predloennyh v nastowem uqebnom posobii algoritmov na zyke programmirovani C++ byla realizovana biblioteka ECCMSUMPEI ffektivnyh programm dl arifmetiki lliptiqeskih krivyh v koneqnyh polh. ti algoritmy mogut sostavit~ osnovu dl mnogih programm kommunikaci, vklqawih osnovnye protokoly kriptografii s otkrytym klqom:

3.3. . 0%+('6(( +#.0(2,."

83

peredaqa dannyh, klqevo obmen, autotentifikaci, golosovanie, lektronnye platei i t.d. V biblioteke realizovany funkcii, otnoswies k arifmetike koneqnyh pole: umnoenie ECC Product, vyqislenie obratnogo mnogoqlena ECC Invert, vozvedenie v stepen~ ECC Square. Algoritm umnoeni osnovan na metode Karacuby, ispol~zuet specifiku hraneni informacii v VM, a take tabliqnoe umnoenie mnogoqlenov nebol~xih stepene. Provedeno sravnenie razrabotannogo algoritma umnoeni s izvestnymi, v tom qisle i nedavno izobretennymi v teqenie poslednih 10-ti let, algoritmami umnoeni. Naxi shemy umnoeni bolee ffektivny. Algoritmy vozvedeni mnogoqlenov v stepen~ i vyqisleni obratnogo mnogoqlena osnovany na izvestnyh optimal~nyh algoritmah s ispol~zovaniem zaranee zagotovlennyh tablic i bloqnogo predstavleni kofficientov mnogoqlenov. Optimal~nost~ algoritmov dl arifmetiki koneqnyh pole pozvolilo razrabotat~ ffektivnye funkcii vyqisleni kP po natural~nomu qislu k i toqke P na lliptiqesko krivo. ta funkci realizovana v dvuh variantah. Odna iz nih ECC kP 8 sluit dl mnogokratnogo vyqisleni kP pri fiksirovannom P i variacih qisla k. Za sqet predvaritel~nyh vyqisleni ta funkci znaqitel~no sokrawaet vrem vyqisleni po sravneni s funkcie ECC kP odnokratnogo vyqisleni kP. Biblioteka realizovana pod rukovodstvom avtorov nastowego uqebnogo posobi studentami M I A.V. Kovalevym i O.V. Alekseevo po opisannym v nm algoritmam.

3.3.2

Rezul~taty ksperimentov

S cel~ podtverdeni ffektivnosti predloennyh v nastowem uqebnom posobii algoritmov byl~ provedeny komp~ternye ksperimenty. Analizirovalas~ rabota sootvetstvuwih programm pri realizacii operaci v pole GF (2173 ) porodaemom neprivodimym ptiqlenom

x173 + x8 + x5 + x2 + 1: tabl. 3 privedeny minimal~noe,

stepeni 173. V usrednennoe i maksimal~noe vrem po desti ciklam vypolneni ukazannogo v tablice koliqestva operaci (Pentium MMX, 233 Mgc) togo ili

84

#+" 3. =++(/2(7%1*(% *0("% ( ./%06((

inogo vida. Mono videt~, qto vrem vypolneni inversii mnogoqlena primerno na dva pordka bol~xe vremeni umnoeni i na tri pordka bol~xe vozvedeni mnogoqlena v kvadrat, qto, s odno storony, podtverdaet ffektivnost~ ispol~zovannogo algoritma vozvedeni v kvadrat (na pordok bystree umnoeni), s drugo storony ffektivnost~ algoritma vozvedeni v stepen~, poskol~ku dl vozvedeni v stepen~ 2n ; 2 n = 173 ispol~zuets ne bolee 1000 umnoeni. Ispol~zovanie razrabotannyh programm dl osuwestvleni arifmetiqeskih operaci v abelevo gruppe toqek lliptiqesko krivo pozvolilo realizovat~ vanu prikladnu operaci umnoeni toqki krivo na skalr v kriptosisteme lliptiqeskih krivyh za doli sekundy, qto rezko uluqxilo bystrodestvie mnogih kriptografiqeskih protokolov, naprimer, protokola raspredeleni klqe dl klassiqesko kriptosistemy. Dannye v tablice poluqeny s ispol~zovaniem ksperimental~no biblioteki funkci, opisanno vyxe. Operaci Qislo operaci Min Umno enie 10 000 0.170 Invertirovanie 100 0.12 Vozvedenie v kvadrat 100 000 0.44

Sr.

Maks

0.179

0.180

0.12

0.13

0.44

0.45

Glava 4 Protokoly lliptiqesko kriptografii 4.1

Raspredelenie klqe

4.1.1

Vvedenie

V to lekcii my rassmotrim dva protokola, kriptografiqeska stokost~ kotoryh osnovana na trudnosti rexeni problemy diskretnogo logarifma. ta problema imeet mesto v kadom sluqae, kogda zadana nekotora koneqno gruppa Izvestna stepen~ y = gx nekotorogo e lementa i trebuets nati znaqenie pokazatel stepeni x { diskretny logarifm lementa y: V odnih sluqah, naprimer dl additivno gruppy, zadanno na mnoestve vyqetov mnoestva Z celyh qisel po modul prostogo qisla ta problema legko rexaets s ispol~zovaniem algoritma, podobnogo algoritmu Evklida, v drugih sluqah, naprimer, dl mul~tiplikativno gruppy na mnoestve klassov vyqetov poloitel~nyh celyh qisel po modul prostogo qisla subpolinomial~nye algoritmy dl to problemy neizvestny. Dl gruppy toqek lliptiqesko krivo slonost~ problemy diskretnogo logarifma ne men~xe slonosti to problemy v obwe postanovke dl proizvol~no gruppy. Isklqenie sostavlt supersingulrnye lliptiqeskie krivye, dl nekotoryh iz kotoryh problema diskretnogo logarifma rexaets ffektivno. 85

86

4.1.2

#+" 4. /0.2.*.+ =++(/2(7%1*.) *0(/2.#04(( Raspredelenie klqe dl klassiqesko kriptosistemy (protokol Diffi-Hellmana)

Ispol~zovanie gruppy

F

p

Alisa A i Bob B dolny uslovit~s ob ispol~zovanii nekotorogo bol~xogo celogo qisla v kaqestve klqa dl klassiqesko kriptosistemy, pri tom oni dolny ispol~zovat~ tol~ko otkrytye kanaly: lbo postoronni nabldatel~, naprimer Ktrin (C ) moet znat~ soobweni, posylaemye imi drug drugu. Alisa i Bob prede vsego dogovarivats ob ispol~zovanii prostogo qisla p i o bazovom lemente g 2 F p: to predpolagaets izvestnym Ktrin, poskol~ku to soglasovanie osuwestvlets po otkrytym kanalam. Dalee Alisa vybiraet sluqano nekotoroe poloitel~noe qislo kA < p (primerno takoe e po pordku, kak p), vyqislet naimen~xi poloitel~ny ostatok po modul p ot qisla gkA i posylaet ego Bobu, take po otkrytomu kanalu. Analogiqno postupaet i Bob, v itoge i Alisa imeet qislo gkB : Zametim, qto vybrannye qisla kA i kB kak Alisa, tak i Bob sohrant v sekrete, oni neizvestny Ktrin. Soglaxeniem o klqe dl Boba budet qislo gkAkB 2 F = f0 1 2 . . . p ; 1g p

kotoroe vyqislet Bob, vozvod v stepen~ kB svoego sekretnogo klqa soobwenie gkA poluqennoe ot Alisy, analogiqno soglaxeniem o klqe dl Alisy budet qislo gkB kA 2 F p

kotoroe vyqislet Alisa, vozvod v stepen~ kA svoego sekretnogo klqa soobwenie gkB poluqennoe ot Boba. Netrudno proverit~, qto poluqennye po opisannomu protokolu qisla odinakovy, tak kak

gkAkB = gkB kA = gkAkB = gkB kA : Problema, stowa pered Ktrin, imewe namerenie raskryt~ sekretny klq, vyrabotanny Aliso i Bobom, nazyvaets problemo Diffi-Hellmana i zaklqaets v vyqislenii gkAkB po izvestnym g gkA gkB 2 Fp: sno, qto vski, kto znaet,

4.1. 01/0%$%+%-(% *+>7%)

87

kak ffektivno vyqislt~ diskretny logarifm bez truda rexit i tu problemu. Odnako nikto ne dokazal, qto ta problema ne moet byt~ rexena kakim-to drugim sposobom, hot i suwestvuet gipoteza ob kvivalentnosti tih problem. Itak, predpolagaets, qto sekretnost~ protokola Diffi-Hellmana osnovana na trudno rexaemosti problemy diskretnogo logarifma. Ispol~zovanie gruppy toqek lliptiqesko krivo

Rassmotrenny protokol mono adaptirovat~ primenitel~no k gruppe toqek lliptiqesko krivo sleduwim obrazom. Prede vsego zametim, qto v kaqestve klqa klassiqesko kriptosistemy mono ispol~zovat~ sluqanu toqku (x y ) lliptiqesko krivo, esli Alisa i Bob uslovts, kak konvertirovat~ ee v natural~noe qislo. Naprimer dl togo mono vzt~ odnu iz e koordinat, naprimer, x i otobrazit~ ee opredelennym obrazom, uslovivxis~ ob ispol~zovanii nekotorogo otobraeni iz F q vo mnoestvo natural~nyh qisel. Dl poluqeni tako sekretno toqki na dvuh terminalah otkrytogo kanala svzi mono ispol~zovat~ sleduwu modifikaci protokola Diffi-Hellmana. Dopustim, qto E { lliptiqeska kriva i Q { predvaritel~no soglasovanna i opublikovanna toqka to krivo. Alisa vybiraet, sohran v sekrete, sluqanoe qislo kA vyqislet koordinaty toqki kA Q i peresylaet ih Bobu. Analogiqno Bob vybiraet kB vyqislet i peresylaet Alise kB Q: Obwim klqom vlets toqka P = kAkB Q: Alisa vyqislet ee umnoa na svo sekretny klq kA soobwenie, postupivxee ot Boba, a Bob vyqislet ee, umnoa soobwenie, postupivxee ot Alisy na svo sekretny klq kB : Vvidu togo, qto gruppa toqek lliptiqesko krivo abeleva, rezul~tat ne zavisit ot pordka vyqisleni i, sledovatel~no, Alisa i Bob imet odinakovye toqki:

kA(kB Q) = kB (kA Q) = kAkB Q: Teper~ Alisa i Bob imet odinakovye kopii iskomo sekretno toqki lliptiqesko krivo. Problema, stowa pered postoronnim nabldatelem, imewim namerenie uznat~ sekretny klq, zaklqaets v vyqisle-

88

#+" 4. /0.2.*.+ =++(/2(7%1*.) *0(/2.#04((

nii kAkB po izvestnym Q kA Q kB Q no pri neizvestnyh kA kB : Ona nazyvaets problemo Diffi-Hellmana dl lliptiqeskih krivyh. Problema diskretnogo logarifma dl lliptiqeskih krivyh zaklqaets v vyqislenii qisla x takogo, qto P = xQ gde P i Q - izvestnye toqki zadanno lliptiqesko krivo. sno, qto esli ta problema imeet ffektivnoe rexenie, to i problema Diffi-Hellmana dl lliptiqeskih take legko rexaema, i rassmotrenny protokol ne imeet smysla. V to e vrem gipoteza ob kvivalentnosti problem diskretnogo logarifma i problemy Diffi-Hellmana dl lliptiqeskih krivyh ne dokazana.

4.1.3

Raspredelenie klqe dl klassiqesko kriptosistemy (protokol Massey-Omura)

Pust~ E { lliptiqeska kriva pordka n e { celoe, 1 < e < n vzaimno prostoe s n: Ispol~zu algoritm invertirovani, nadm d = e;1(mod n): (4:1) Budem ispol~zovat~ to obstotel~stvo, qto svostva modul~no arifmetiki nad celymi qislami i nad toqkami lliptiqesko krivo identiqny. Ispol~zu e i d iz (4.1), i lbu toqku P lliptiqesko krivo, mono vyqislit~

Q = eP R = dQ: Oqevidno, qto Q = P: Protokol Massey-Omura osnovan na to idee, realizuemo s uqetom trudno rexaemosti problemy opredeleni skalrnogo mnoitel, sootvetstvuwego danno toqke lliptiqesko krivo otnositel~no bazovo toqki, umnoaemo na tot skalr, to est~ na probleme diskretnogo logarifma dl lliptiqeskih krivyh. Alisa vybiraet qislo eA i vyqislet po (1.1) qislo dA: Analogiqno Bob vybiraet eB i vyqislet dB : Dl kadogo iz nih e { klq xifrovani, a d { klq dexifrovani, poskol~ku ed = 1( mod n).

4.1. 01/0%$%+%-(% *+>7%)

89

Alisa pomewaet svoe soobwenie m v nekotoru toqku Pm lliptiqesko krivo i, umnoa e na svoe sekretnoe znaqenie eA poluqaet toqku

p1 = eAPm : tu toqku Alisa posylaet Bobu. Bob vyqislet

P2 = eB P1 i posylaet rezul~tat Alise. Alisa vyqislet

P3 = dAP2 i vozvrawaet poluqennu toqku Bobu. Umnoa poluqennu toqku na svo sekretny klq dexifrovani, Bob poluqaet toqku Pm sootvetstvuwu soobweni m Alisy:

Pm = dB P3:

Destvitel~no, vyqisl P3 Alisa snimaet destvie svoego klqa xifrovani:

P3 = dA P2 = dA (eB P1 ) = dA(eB (eAPm )) = eB (dA(eAPm )) = eB Pm : Sledovatel~no, Bob poluqaet

dB P3 = dB (dAPm ) = Pm : Soobwenie m moet byt~ ispol~zovano v kaqestve klqa simmetriqno kriptosistemy. Zametim, qto v dannom sluqae ne trebuets opublikovani nikako informacii o parametrah protokola, krome samo lliptiqesko krivo. Plato za to vlets neobhodimost~ trhkratno peredaqi po otkrytym kanalam. Analogiqny protokol s ispol~zovaniem gruppy Fp qitatel~ moet postroit~ v kaqestve upraneni.

#+" 4. /0.2.*.+ =++(/2(7%1*.) *0(/2.#04((

90

4.1.4

Peredaqa sekretnyh soobweni po otkrytym kanalam s ispol~zovaniem otkrytogo klqa (modifikaci l~-Gamal)

Ispol~zovanie gruppy

F

p

Vybiraets prostoe qislo p i dva sluqanyh qisla men~xie, qem p: Vyqislets

g i x oba

y = gx(mod p): Qisla y g i p publikuts kak otkryty klq, x sohrants kak sekretny klq. Dl togo, qtoby zaxifrovat~ soobwenie m vybiraets sluqanoe qislo k vzaimno prostoe s qislom p: Zatem vyqislt a = gk (mod p) i

b = yk m(mod p):

Para qisel (a b) obrazuet kriptotekst. Dl rasxifrovani soobweni vyqislt

m = b=ax(mod p): Poskol~ku ax gkx(mod p) i b=ax y k m=ax gxk m=g : xk m(mod p) = m tot protokol mono ispol~zovat~ dl peredaqi soobweni. Ispol~zovanie gruppy toqek lliptiqesko krivo

Rassmotrenny vyxe protokol Diffi-Hellmana s ispol~zovaniem lliptiqeskih krivyh mono prisposobit~ dl peredaqi soobweni po sheme l~ Gamal. Dopustim, qto mnoestvo soobweni predstavlets toqkami lliptiqesko krivo E ("uloeno" v tu krivu uslovlennym sposobom) i pust~ Bob nameren pereslat~ Alise sekretnoe soobwenie M 2 E . Dopustim, Alisa i Bob ue obmenlis~ "polovinkami" klqa kAQ i kB Q, kak v protokole Diffi-Hellmana. Teper~ Bob vybiraet drugoe sekretnoe qislo l vyqislet i posylaet Alise v kaqestve kriptogrammy paru toqek lliptiqesko krivo (lQ M + l(kA Q)):

4.1. 01/0%$%+%-(% *+>7%)

91

Dl rasxifrovki soobweni Alisa umnoaet pervu toqku pary na svo sekretny klq kA i zatem vyqitaet rezul~tat kAlQ = lkAQ iz vtoro toqki pary, poluqa toqku M lliptiqesko krivo, ih kotoro izvlekaet soobwenie m.

4.1.5

Protokol raspredeleni klqe Menezesa-K~Vanstona (MQV-protokol)

Rassmotrennye vyxe protokoly obladat tem nedostatkom, qto nekotoroe tret~e lico (Ktrin) moet vzt~ na seb funkcii posrednika v peredaqe soobweni medu dvum abonentami i obladat~ pri tom ih sekretom. Destvitel~no, esli Alisa i Bob vzaimodestvut, naprimer, po protokolu Diffi-Hellmana, to Ktrin, perehvativ peredaqu otkrytogo klqa kAP Alisy, peredast Bobu svo otkryty klq kC P Bob peredast e svo otkryty klq kB P posle qego Bob i Ktrin budut imet~ obwi zakryty klq kSkB P . Dalee Esli Ktrin peredast svo otkryty klq take Alise, to Ktrin i Alisa budut imet~ obwi sekretny klq kA kC P (on moet otliqat~s ot klqa Ktrin i Boba). Pri akkuratnyh destvih Ktrin Bob i Alisa ne budut znat~, qto imeets posrednik, kotory, poluqa soobwenie odnogo abonenta, sposoben ego rasxifrovat~ i vnov~ zaxifrovat~ s ispol~zovaniem drugogo zakrytogo klqa. Dl predotvraweni takih destvi aktivnogo kriptoanalitika (ego ewe nazyvaat man in between) neobhodima autentifikaci (avtorizaci) tih kratkovremennyh klqe kA P i kB P (klqe odnorazovogo ispol~zovani), dl qego ispol~zuts publikuemye dolgovremennye klqi dA P i dB P (klqi mnogorazovogo ispol~zovani). Pri tom protokol organizuets takim obrazom, qto kratkovremenny otkryty klq funkcional~no svzyvaets s dolgovremennym i potomu tret~e lico, ne smoet stat~ posrednikom kommunikaci medu dvum abonentami. Bolee toqno, dl uspeha emu neobhodimo vmexat~s v processy peredaqi kak dolgovremennyh, tak i kratkovremennyh klqe i bolee togo vospreptstvovat~ vozmonosti Alisy i Boba proverit~ pravil~nost~ peredaqi dolgovremennyh klqe (na to u

92

#+" 4. /0.2.*.+ =++(/2(7%1*.) *0(/2.#04((

tih abonentov nadets vrem: dolgovremennye klqi peredats redko). Ispol~zovanie kratkovremennogo klqa obespeqivaet nevozmonost~ ispol~zovani raskrytogo pri odno iz peredaq sekreta dl raskryti sekreta, vyrabatyvaemogo pri posleduwih peredaqah. Matematiqeskoe obosnovanie togo protokola prowe poluqaets s ispol~zovaniem modul~no arifmetiki celyh qisel, hot implementaci moet byt~ osuwestvlena s ispol~zovaniem cikliqeskogo svostva podgruppy toqek lliptiqesko krivo, kak budet pokazano nie. V oboih sluqah ispol~zuets dvoka traktovka koordinat toqek lliptiqesko krivo - 1) kak lementov rasxireni pol, nad kotorym stroits kriva, 2) kak kodov celyh qisel. V sluqae ispol~zovani modul~no arifmetiki nad takimi qislami mogut vypolnt~s operacii sloeni i umnoeni po modul n pordka lliptiqesko krivo, v sluqae ispol~zovani arifmetiki lliptiqesko krivo na takie qisla mogut umnoat~s toqki lliptiqesko krivo (togda cikliqnost~ opredelets pordkom podgruppy toqek lliptiqesko krivo i znanie pordka lliptiqesko krivo ili to podgruppy dl vypolneni operaci ne trebuets). Vo vseh sluqah Alisa i Bob raspolagat toqko P lliptiqesko krivo pordka n nad kotoro i osuwestvlts vse vyqisleni. Krome togo oni znat dolgovremennye i kratkovremennye klqi drug druga: klqi Boba

QB = dB P = (aB bB ) RB = kB P = (xB yB )

izvestny Alise, a e klqi

QA = dAP = (aA bA) RA = kA P = (xA yA)

izvestny Bobu. Rassmotrim opisanie i obosnovanie protokola s ispol~zovaniem modul~no arifmetiki.

4.1. 01/0%$%+%-(% *+>7%)

93

Protokolom predusmatrivats tri tapa, simmetriqno vypolnemyh kado iz storon. Na pervom tape Alisa i Bob vyqislt qisla

sA = kA + xA aAdA (mod n) (sB = kB + xB aB dB (mod n)) (pri tom oni ispol~zut svoi sekretnye dannye kA dA i kB dB sootvetstvenno.) Na vtorom tape oni vyqislt toqki lliptiqesko krivo

UA = RB + xB aB QB UB = RA + xA aAQA: Na tret~em tape Alisa i Bob vyqislt toqku lliptiqesko krivo

W = sA UA W = sB UB :

Odno i to e oboznaqenie zdes~ vybrano ne sluqano, tak kak rezul~taty vyqisleni sovpadut:

sAUA = sB UB : Destvitel~no, v sootvetstvii s ispol~zovannymi oboznaqenimi, poluqim

sAUA = (kA + xAaAdA (mod n))(RB + xB aB QB ) = (kA + xAaAdA (mod n))(kB P + aB xB dB P ) = (kA + xAaAdA (mod n))(kB + xB aB dB )P = (kA + xAaAdA)(kB + xB aB dB ) (mod n)P: Analogiqno poluqim dl Boba: sB UB = (kB + xB aB dB (mod n))(RA + xA aAQA ) = (kB + xB aB dB (mod n))(kAP + aAxAdA P ) = (kB + xB aB dB (modn))(kA + xAaAdA)P = (kB + xB aB dB )(kA + xAaAdA) (mod n)P:

94

#+" 4. /0.2.*.+ =++(/2(7%1*.) *0(/2.#04((

Kak vidim, v rassmotrenno interpretacii protokola modul~na qislova arifmetika soqetaets s arifmetiko lliptiqesko krivo. Rassmotrim teper~ interpretaci, v kotoro modul~na qislova arifmetika ne ispol~zuets i qisla sA sB zaranee ne vyqislts. Zametim, qto Alisa moet vyqislit~ toqku UA lliptiqesko krivo, vypolniv umnoenie toqki QB na konstantu aB i umnoiv zatem rezul~tat na konstantu xB i, nakonec, sloiv poluqennu toqku s toqko RB : Analogiqnym obrazom Bob moet poluqit~ toqku UB : Dl poluqeni toqki W Alisa i Bob, ime v vidu, qto nado umnoit~ poluqennye toqki na konstanty sA i sB mogut prodelat~ to po sleduwemu algoritmu (opisyvats destvi Alisy): 1) Vyqislit~ kAUA (umnoa toqku lliptiqesko krivo na konstantu), 2) Vyqislit~ xA (aA(dAUA)) (posledovatel~no umnoa toqku UA na konstantu dA zatem rezul~tat - na konstantu aA i poluqennu toqku - na konstantu xA ), 3) Sloit~ dve toqki lliptiqesko krivo, poluqennye v p.p. 1) i 2). Destvi Boba analogiqny. Po okonqanii ispolneni protokola Alisa i Bob raspolagat sekretno toqko W lliptiqesko krivo, koordinaty kotoro mogut byt~ ispol~zovany dl postroeni binarnogo koda sekretnogo klqa simmetriqno sistemy.

4.2

lektronna podpis~

4.2.1

Standart

DSS, algoritm DSA

V 1991 godu pravitel~stvenny nacional~ny institut standartov i tehnologii SXA utverdil standart cifrovo podpisi DSS (Digital Signature Stundard), osnovanny na special~nom algoritme cifrovo podpisi DSA (Digital Signature Algorithm) dl ispol~zovani v pravitel~stvennyh i kommerqeskih organizaci-

4.2. =+%*20.--? /.$/(1<

95

h. Algoritm osnovan na trudnosti problemy diskretnogo logarifma mul~tiplikativno gruppy pol F p : Dl inicializacii, to est~ dl podgotovki k posleduwemu ispol~zovani shemy cifrovo podpisi kady pol~zovatel~, nazovem ee Alisa, dolen prodelat~ sleduwee: 1) vybrat~ prostoe qislo q iz primerno 160 bit, dl togo ispol~zuets generator sluqanyh qisel i testy prostoty 2) vybrat~ vtoroe sluqanoe qislo p takoe, qto q vlets delitelem qisla p ; 1 i kotore sostoit iz primerno 500 bit (bolee toqno, rekomenduets vybirat~ qislo, kratnoe 64 medu 512 i

1024) 3) vybrat~ obrazuwi lement edinstvenno cikliqesko podgruppy gruppy F p pordka q (to delaets vyqisleniem = g(p;1)=q (mod p) dl sluqano vybiraemogo celogo g esli v rezul~tate poluqaets qislo, otliqnoe ot edinicy, to vlets obrazuwim lementom) 4) vybrat~ sluqanoe celoe qislo a v intervale 0 < a < q v kaqestve sekretnogo klqa i obrazovat~ otkryty klq y =

a(mod p): Teper~ Alisa moet podpisyvat~ soobweni. Snaqala ona primenet k otkrytomu tekstu m hex-funkci, poluqa celoe h(m) v intervale 0 < h(m) < q: Zatem ona vybiraet sluqanoe celoe k v tom e intervale, vyqislet r = k (mod p) (mod q) (to est~ k vyqislets po modul p i zatem rezul~tat privodits po modul men~xego prostogo qisla q). V zaklqenie Alisa nahodit celoe s takoe, qto s = k;1 fh(m) + arg (mod q): Ee podpis~ dl soobweni m obrazuets paro qisel (r s) po modul q: Qtoby proverit~ podpis~, Bob, poluqiv autentificirovanny otkryty klq Alisy (p q y ) a) proveret, vypolnts li 0 < r < q i 0 < s < q esli net, to otklonet podpis~, b) vyqislet w = s;1 mod q i h(m) v) vyqislet u1 = s;1 h(mod q) i u2 = rw(mod q ) g) vyqislet v = u y u (mod p) (mod q) d) prinimaet podpis~, esli v = r, inaqe podpis~ otklonets. Dostoinstvom to shemy vlets to, qto podpis~ vlets korotko (dva qisla primerno po 160 bit kadoe). S drugo sto1

2

96

#+" 4. /0.2.*.+ =++(/2(7%1*.) *0(/2.#04((

rony uroven~ sekretnosti opredelets slonost~ problemy diskretnogo logarifma. Opixem teper~ lliptiqeski analog DSA { algoritm ECDSA. Porodenie klqa dl ECDSA. Dl prostoty budem rassmatrivat~ lliptiqeskie krivye nad polem F p hot konstrukci mono legko adaptirovat~ dl lliptiqeskih krivyh nad drugim koneqnym polem. Pust~ E { lliptiqeska kriva, opredelenna nad F p i pust~ P { toqka prostogo pordka q krivo E (F p) ti kriva i toqka na ne vlts sistemnymi parametrami. Napomnim, qto kak i v klassiqeskom sluqae qisla q i p { prostye. V otliqie ot DSA gde q namnogo men~xe p v ECDSA qislo q imeet primerno tako e pordok, qto i qislo p: Kady pol~zovatel~, skaem Alisa, vybiraet sluqanoe qislo a v intervale 1 < a < q ; 1 i vyqislet Q = aP { svo otkryty klq. On publikuets pri sohranenii qisla a v kaqestve sekretnogo klqa Alisy. ECDSA dl vyqisleni cifrovo podpisi. Qtoby podpisat~ svo soobwenie, Alisa prodelyvaet sleduwee: 1)Vybiraet sluqanoe celoe k v intervale 1 < k < q ; 1: 2)Vyqislet kP = (x1 y1) i r = x1(mod q) (to est~ x1 poluqaets iz celogo qisla medu 0 i p ; 1 privedeniem po modul q ): Esli r = 0 to vozvrat k p. 1). (Esli r = 0 to uravnenie podpisi s = k;1(h(m) + ar )(mod q ) ne zavisit ot sekretnogo klqa a sledovatel~no, 0 ne podhodit v kaqestve znaqeni dl a:) 3)Vyqislet k;1(mod q): 4) Vyqislet s = k;1 (h(m)+ xr)(modq) gde h(m) { hx-znaqenie soobweni m: Esli s = 0 to vozvrawenie k p.1) (Esli s = 0 to znaqenie s;1 (mod q ) trebuemoe na xage 3) verifikacii podpisi, ne suwestvuet. Zametim, qto esli k vybiraets sluqano, to verotnost~ togo, qto libo r = 0 libo s = 0 isqezawe mala.) 5) Podpis~ dl soobweni m vlets para qisel (r s): ECDSA dl verifikacii podpisi. Dl proverki (verifikacii) podpisi Alisy Bob dolen vypolnit~ sleduwie destvi: 1) Poluqit~ avtorizirovannu kopi otkrytogo klqa Q Alisy. 2) Proverit~, qto r i s vlts celymi qislami v intervale

4.2. =+%*20.--? /.$/(1<

97

1 q ; 1]: 3) Vyqislit~ w = s;1(mod q) i h(m): 4) Vyqislit~ u1 = h(m)w(mod q) i u2 = kw(mod q): 5)Vyqislit~ (x0 y0) = u1P + u2Q i v = x0(mod q): 6) Print~ podpis~ tol~ko v tom sluqae, esli v = r: Osnovnoe razliqie medu ECDSA i DSA sostoit v sposobe obrazovani r: DSA vyqislet r kak sluqanu stepen~ k (mod p) privedennu po modul q poluqa tem samym celoe v intervale 1 q ; 1]: (Napomnim, qto v DSA q vlets 160-bitovym delitelem qisla p ; 1 i vlets lementom pordka q gruppy F p:) ECDSA formiruet celoe r vztiem x-koordinaty toqki kP i privedeniem ee po modul q: Dl poluqeni togo e urovn sekretnosti, qto i pri primenenii DSA, parametr q dolen byt~ 160-bitovym. V tom sluqae DSA i ECDSA imet odinakovu dlinu v bitah (320 bit). Vmesto ispol~zovani E i P v kaqestve global~nyh sistemnyh parametrov, mono fiksirovat~ tol~ko pole F p dl vseh pol~zovatele i pozvolit~ kadomu pol~zovatel vybirat~ svo sobstvennu lliptiqesku krivu E i toqku P 2 E (F p): V tom sluqae opredelennoe uravnenie krivo E koordinaty toqki P a take pordok q to toqki P dolny byt~ vklqeny v otkryty klq pol~zovatel. Esli pole F p fiksirovano, to apparatna i programmnye sostavlwie mogut byt~ postroeny tak, qtoby optimizirovat~ vyqisleni v tom pole. V to e vrem imeets ogromnoe koliqestvo variantov vybora lliptiqesko krivo nad polem F p :

4.2.2

Obobwenna shema lektronno podpisi l~ Gamal

Obobwenna shema lektronno podpisi l~ Gamal rabotaet v lbo abelevo gruppe. Dl raboty po to sheme kady uqastnik 1. Vybiraet podhodwu cikliqesku gruppu G pordka n e obrazuwi lement (nie ispol~zuets mul~tiplikativnoe predstavlenie gruppy). 2. Vybiraet sluqanoe celoe qislo a 1 a n;1 i vyqislet lement y = a :

#+" 4. /0.2.*.+ =++(/2(7%1*.) *0(/2.#04((

98

Otkrytym klqom Alisy vlets para ( y ) i opisanie operacii umnoeni ee gruppy, e sekretny klq est~ a: Opixem kak Alisa podpisyvaet dokument i kak Bob proveret podpis~. Dl formirovani podpisi, soprovodawe dokument m Alisa dolna vypolnit~ sleduwie destvi a) Vybrat~ sluqanoe sekretnoe celoe k 1 k n ; 1 vzaimno prostoe s n : (k n) = 1: b) Vyqislit~ lement r = k gruppy. v) Vyqislit~ k;1(mod n): g) Vyqislit~ h(m) i h(r ) gde h { ispol~zuema hex-funkci. d) Vyqislet s = k;1fh(m) ; ah(r )g(mod n): e) Cifrovo podpis~ vlets para (r s): Dl proverki cifrovo podpisi Alisy na dokumente m Bob dolen prodelat~ sleduwie destvi: a) Poluqit~ avtorizirovannu versi otkrytogo klqa Alisy ( y ): b) Vyqislit~ h(m) i h(r ): v) Vyqislit~ v1 = yh(r) rs : g) Vyqislit~ v2 = h(m) : d) Print~ podpis~, esli v1 = v2 i otklonit~ e v protivnom sluqae. Zametim, qto generaci podpisi trebuet vyqisleni kak v gruppe G tak i v gruppe Zn v e vrem proverka podpisi svzana s vyqislenimi tol~ko v gruppe G: Rassmotrenny algoritm naibolee udaqno moet byt~ realizovan pri ispol~zovanii v kaqestve gruppy G gruppy toqek lliptiqesko krivo nad koneqnym polem Fq : Problema diskretnogo logarifma v to gruppe gorazdo slonee, qem v mul~tiplikativno gruppe koneqnogo pol Fq : Otsda sleduet, qto moet byt~ vybrano men~xee q qem v sluqae implementacii v gruppe Fq:

3.

4.2.3

Shema lektronno podpisi l~ Gamal s vozvratom soobweni (Nyberg-Rueppel algoritm)

Vo vseh rassmotrennyh vyxe shemah lektronno podpisi dl verifikacii podpisi trebovalos~ samo soobwenie. Privodima

4.2. =+%*20.--? /.$/(1<

99

nie shema ne ispol~zuet tekst soobweni pri verifikacii podpisi, a naprotiv, vydaet podpisannoe soobwenie pri poloitel~nom rezul~tate verifikacii. Pri tom soobwenie pered generacie podpisi dolno byt~ preobrazovano tak, qtoby v nego byla vklqena izbytoqna informaci. Prostranstvom soobweni zdes~ vlets M = Zp gde p { prostoe, v kaqestve prostranstva MS podgotovlennyh k podpisani soobweni ispol~zuets dekartovo proizvedenie MS = Zp Zq gde q { prostoe, vlwees delitelem (p ; 1): Pust~ R { izbytoqna funkci (inekci) iz prostranstva soobweni M v prostranstvo podpisannyh soobweni MS : Naprimer, znaqenie R(m) moet byt~ (m m(mod q): Qerez R;1 oboznaqaets funkci iz obraza funkcii R v e oblast~ opredeleni: R;1 : Im(R) ! M naprimer, R;1 (m m(mod q ) = m: Algoritm generacii klqa tot e, qto i v algoritme DSA s tem otliqiem, qto na razliqie razmerov p i q ne nakladyvaets ograniqeni (to est~ q moet byt~ togo e pordka, qto i p). Algoritm generacii podpisi na soobwenii m (destvi Alisy) sleduwi: a) Vyqislit~ m ~ = R(m) b) Vybrat~ sluqanoe sekretnoe celoe qislo k 1 k q ; 1 i vyqislit~ r = ;k (mod p): v) Vyqislit~ e = mr ~ (mod p): g) Vyqislit~ s = (ae + k) (mod q): d) Obvit~ paru (e s) kak podpis~ na soobwenii m: Algoritm verifikacii podpisi (destvi Boba) sleduwi: a) Poluqit~ avtorizirovannu kopi otkrytogo klqa Alisy. b) Proverit~, qto 0 < e < p i 0 < s < p esli net, to otklonit~ podpis~. g) Vyqislit~ v = s y;e (mod p) i m ~ = ve (mod p): d) Proverit~, qto m ~ 2 MR esli net, to otklonit~ podpis~. e) Izvleq~ (vosstanovit~) soobwenie m = R;1 (m ~ ): Dokazatel~stvo korrektnosti algoritma ves~ma korotko: Po algoritmu generacii podpisi

v s y;e s;ae k (mod p):

100

#+" 4. /0.2.*.+ =++(/2(7%1*.) *0(/2.#04((

Takim obrazom, qto i trebuets.

4.2.4

ve k m

~ ;k m~ (mod p)

Shema Nyberg-Rueppel lektronno podpisi s ispol~zovaniem gruppy toqek lliptiqesko krivo

Pust~ e = h(m) - znaqenie hex-funkcii h dl dokumenta m: pust~ E toqka iz gruppy toqek lliptiqesko krivo, P { bazova toqka otkrytogo klqa, n { pordok to toqki, s { sekretny klq podpisyvawego dokument uqastnika. Otkrytym klqom poslednego vlets toqka

Q = sP: Predpolagaets, qto pordok toqki P raven n: Algoritm generacii podpisi sleduwi: 1) Obrazovat~ sluqanu bitovu stroku k i vyqislit~

R = kP: 2) Ispol~zu x-komponentu toqki R kak celoe qislo, vyqislit~ c = x + e (mod n) (4:2) d = k ; sc(mod n): (4:3) Para (c d) vlets podpis~ dl dokumenta m takogo, qto h(m) = e: Dl proverki, qto h(m) vlets korrektnym hex-znaqeniem, vypolnets sleduwi algoritm: 1) Vyqislit~ R0 = dP + cQ: (4:4) 2) ispol~zu x-komponentu R0 vyqislit~ (4:5) e0 = c ; x0 ( mod n): 3) esli poluqennoe znaqenie sovpadaet s hex-znaqeniem h(m) to poslednee udostoverets.

4.2. =+%*20.--? /.$/(1<

101

Rassmotrim tu shemu bolee podrobno. Toqka P umnoaets na sluqanoe qislo k i poluqaets toqka R x-komponenta to toqki R take vlets sluqanym qislom. Pribavlenie to toqki k hex-znaqeni e = h(m) po modul n (pordka toqki P ) ffektivno maskiruet to hex-znaqenie. tap verifikacii pozvolet vosstanovit~ to zamaskirovannoe hex-znaqenie, ne dopuska nikako uteqki informacii, kotora pozvolila by aktivnomu kriptoanalitiku izmenit~ dokument i hex-znaqenie tak, qtoby izmenenny dokument vosprinimals by kak korrektny. Pri vyqislenii R soedints sluqanye dannye s sekretnym klqom, tak e s ispol~zovaniem modul~no arifmetiki. Poskol~ku modul~ raven pordku toqki lliptiqesko krivo, to e samoe mono delat~ s toqkami lliptiqesko krivo. Destvitel~no, vmesto vyqisleni c po (4.2) vyqislim

cP = xP + eP (4:6) nad krivo E: Dalee, vmesto (4.3) mono ispol~zovat~ uravnenie dP = kP ; s(cP ): (4:7) Teper~ mono ispol~zovat~ vyraenie (4.2), podstavl v nego vyqislennye toqki cP i dP: Pri tom (4.4) umnoaets na s sekretny klq podpisyvawego soobwenie uqastnika. No publiqno izvestna tol~ko toqka Q zamaskirovanna versi sekretnogo klqa. to oznaqaet, qto posle pribavleni k (4.5) vtorogo terma iz vyraeni (4.2), a imenno

cQ = c(sP ) poluqaets (vozvrawaets) ishodna toqka R lliptiqesko krivo. Esli teper~ x-komponentu to toqki vyqest~ iz znaqeni c vhodwego v podpis~, to vosstanovits hex-znaqenie e = h(m): Esli to vosstanovlennoe znaqenie sovpadaet s hex-znaqeniem h(m0 ), vyqislennym po poluqennomu soobweni m0 to mono sqitat~, qto poslednee mog podpisat~ tol~ko obladatel~ sekretnogo

102

#+" 4. /0.2.*.+ =++(/2(7%1*.) *0(/2.#04((

klqa s i qto ni soobwenie, ni ego hex-znaqenie ne bylo izmeneno aktivnym kriptoanalitikom ili vsledstvie oxibok pri peredaqe ili hranenii.

Spisok literatury 1] Salomaa A. Public Key Cryptograhy. Springer-Verlag, 1990 (second edition { SpringerVerlag, 1997). Russki perevod: Salomaa A. Kriptografi s otkrytym klqom. M., Mir, 1996. 2]

Alekseeva O.V., Bolotov A.A., Gaxkov S.B., Lissuk M. O metodah vyqisleni kratnyh dl toqek lliptiqeskih krivyh// Vestnik MI, vyp.4. 2000 g.

3]

Bolotov A.A., Gaxkov S.B., Hohlov R.A. O slonosti algoritmov postroeni neprivodimyh trehqlenov i ptiqlenov nad koneqnymi polmi// Intellektual~nye sistemy, t.4. vyp.3-4, 1999.

4]

Bolotov A.A., Gaxkov S.B., Frolov A.B., Qasovskih A.B. O metodah realizacii umnoeni mnogoqlenov nad koneqnymi polmi// Vestnik MI, vyp.3, 2000.

5]

Bolotov A.A., Gaxkov S.B., Frolov A.B., Qasovskih A.A. O metodah implementacii arifmetiqeskih operaci v koneqnyh polh// Vestnik MI, vyp.4, 2000.

6]

Bolotov A.A., Gaxkov S.B., Frolov A.B., Qasovskih A.B. Programmnye i shemnye metody umnoeni mnogoqlenov dl lliptiqesko kriptografii// Izvesti RAN. Teori i sistemy upravleni, N5, 2000.

7]

Bolotov A.A, Gaxkov S.B., Frolov A.B., Qasovskih A.A. O metodah implementacii arifmetiqeskih operaci v kriptografiqeskih sistemah// Izvesti RAN. Teori i sistemy upravleni, N6, 2000.

8]

Karacuba A.A., Ofman .P., Umnoenie mnogoznaqnyh qisel na avtoma- tah// DAN SSSR, t.145, N2, 1962

9]

Berlekemp E. Algebraiqeska teori kodirovani. M., Mir,

10]

1971.

Gaxkov S.B., Qubarikov V.N. Arifmetika. Algoritmy. Slonost~ vyqisleni. M., Nauka, 1996 (2-e izd. { M., Vysx. xk., 2000) .

11] Knut D. The Art of computer programming, v.2. Addison-Wesley Publ., 1981. Russki perevod: Knut D. Iskusstvo programmirovani na VM. t.2. M., Mir, 1976. 12]

Lupanov O.B. Asimptotiqeskie ocenki slonosti upravlwih sistem. M., Izdvo MGU, 1987.

13] Koblitz N. Algebraic Aspects of Cryptography. Springer-Verlag, 1998. 14] Menezes A., van Oorschot P., Vanstone S. Handbook of Applied Cryptography. CRC Press, 1997. 103

104

1/(1.* +(2%0230

15] Menezes A. Elliptic Curve Public Key Cryptosystems. Kluwer, 1993. 16] Rosing M. Implementing Elliptic Curve Cryptography. Manning, 1999.

Priloenie A Tablicy neprivodimyh trehqlenov A.1

Neprivodimye trehqleny stepeni 1 + x3 + x151 1 + x9 + x151 1 + x15 + x151 1 + x31 + x151 1 + x39 + x151 1 + x43 + x151 1 + x46 + x151 1 + x51 + x151 1 + x63 + x151 1 + x66 + x151 1 + x67 + x151 1 + x70 + x151 1 + x81 + x151 1 + x84 + x151 1 + x85 + x151 1 + x88 + x151 1 + x100 + x151 1 + x105 + x151 1 + x108 + x151 1 + x112 + x151 1 + x120 + x151 1 + x136 + x151 1 + x142 + x151 1 + x148 + x151 1 + x1 + x153

1 + x8 + x153 1 + x145 + x153 1 + x152 + x153 1 + x15 + x154 1 + x139 + x154 1 + x62 + x155 1 + x93 + x155 1 + x9 + x156 1 + x11 + x156 1 + x21 + x156 1 + x39 + x156 1 + x57 + x156 1 + x61 + x156 1 + x63 + x156 1 + x65 + x156 1 + x91 + x156 1 + x93 + x156 1 + x95 + x156 1 + x99 + x156 1 + x117 + x156 1 + x135 + x156 1 + x145 + x156 1 + x147 + x156 1 + x31 + x159 1 + x34 + x159

1 + x40 + x159 1 + x119 + x159 1 + x125 + x159 1 + x128 + x159 1 + x5 + x160 1 + x155 + x160 1 + x18 + x161 1 + x39 + x161 1 + x60 + x161 1 + x101 + x161 1 + x122 + x161 1 + x143 + x161 1 + x27 + x162 1 + x63 + x162 1 + x81 + x162 1 + x99 + x162 1 + x135 + x162 1 + x37 + x166 1 + x129 + x166 1 + x6 + x167 1 + x35 + x167 1 + x59 + x167 1 + x77 + x167 1 + x90 + x167 1 + x108 + x167 105

151- 175

1 + x132 + x167 1 + x161 + x167 1 + x34 + x169 1 + x42 + x169 1 + x57 + x169 1 + x84 + x169 1 + x85 + x169 1 + x112 + x169 1 + x127 + x169 1 + x135 + x169 1 + x11 + x170 1 + x23 + x170 1 + x147 + x170 1 + x159 + x170 1 + x1 + x172 1 + x7 + x172 1 + x81 + x172 1 + x91 + x172 1 + x165 + x172 1 + x171 + x172 1 + x13 + x174 1 + x57 + x174 1 + x117 + x174 1 + x161 + x174 1 + x6 + x175

106

A.2

/0(+.&%-(% A. 2!+(6 -%/0(".$(,5 20%57+%-."

Neprivodimye trehqleny stepeni 2000-2100 1 + x169 + x2001 1 + x475 + x2001 1 + x511 + x2001 1 + x752 + x2001 1 + x860 + x2001 1 + x441 + x2004 1 + x533 + x2004 1 + x917 + x2006 1 + x205 + x2007 1 + x314 + x2007 1 + x427 + x2007 1 + x523 + x2007 1 + x737 + x2007 1 + x859 + x2007 1 + x889 + x2007 1 + x54 + x2009 1 + x150 + x2009 1 + x710 + x2009 1 + x771 + x2009 1 + x849 + x2009 1 + x459 + x2010 1 + x819 + x2010 1 + x42 + x2015 1 + x344 + x2015 1 + x558 + x2015 1 + x714 + x2015 1 + x992 + x2015 1 + x330 + x2017 1 + x540 + x2017 1 + x589 + x2017 1 + x81 + x2020 1 + x325 + x2020 1 + x543 + x2020 1 + x945 + x2020 1 + x349 + x2022 1 + x409 + x2022 1 + x165 + x2023 1 + x430 + x2023 1 + x549 + x2023 1 + x751 + x2023 1 + x274 + x2025 1 + x289 + x2025 1 + x859 + x2025 1 + x1001 + x2025

1 + x1003 + x2025 1 + x475 + x2026 1 + x93 + x2028 1 + x301 + x2028 1 + x723 + x2028 1 + x793 + x2028 1 + x831 + x2028 1 + x845 + x2028 1 + x847 + x2028 1 + x881 + x2028 1 + x386 + x2031 1 + x400 + x2031 1 + x881 + x2033 1 + x909 + x2033 1 + x143 + x2034 1 + x71 + x2036 1 + x195 + x2036 1 + x783 + x2036 1 + x857 + x2036 1 + x155 + x2039 1 + x651 + x2039 1 + x840 + x2039 1 + x947 + x2039 1 + x735 + x2041 1 + x771 + x2041 1 + x45 + x2044 1 + x85 + x2044 1 + x289 + x2044 1 + x639 + x2044 1 + x655 + x2044 1 + x789 + x2044 1 + x3 + x2047 1 + x66 + x2047 1 + x165 + x2047 1 + x411 + x2047 1 + x495 + x2047 1 + x511 + x2047 1 + x817 + x2047 1 + x124 + x2049 1 + x140 + x2049 1 + x433 + x2049 1 + x523 + x2049 1 + x934 + x2049

1 + x323 + x2052 1 + x589 + x2052 1 + x627 + x2052 1 + x201 + x2054 1 + x497 + x2054 1 + x11 + x2055 1 + x392 + x2055 1 + x245 + x2057 1 + x633 + x2057 1 + x343 + x2058 1 + x427 + x2058 1 + x591 + x2058 1 + x667 + x2058 1 + x387 + x2060 1 + x735 + x2060 1 + x981 + x2060 1 + x987 + x2060 1 + x48 + x2063 1 + x353 + x2063 1 + x570 + x2063 1 + x674 + x2063 1 + x719 + x2063 1 + x770 + x2063 1 + x97 + x2065 1 + x382 + x2065 1 + x918 + x2065 1 + x71 + x2066 1 + x237 + x2070 1 + x253 + x2073 1 + x557 + x2073 1 + x231 + x2074 1 + x583 + x2074 1 + x851 + x2076 1 + x897 + x2076 1 + x933 + x2076 1 + x35 + x2079 1 + x134 + x2079 1 + x283 + x2079 1 + x581 + x2079 1 + x590 + x2079 1 + x721 + x2079 1 + x755 + x2079 1 + x796 + x2079

1 + x854 + x2079 1 + x928 + x2079 1 + x959 + x2079 1 + x998 + x2079 1 + x467 + x2081 1 + x662 + x2081 1 + x980 + x2081 1 + x523 + x2082 1 + x261 + x2086 1 + x673 + x2086 1 + x141 + x2087 1 + x225 + x2087 1 + x569 + x2087 1 + x737 + x2087 1 + x150 + x2089 1 + x349 + x2089 1 + x357 + x2089 1 + x846 + x2089 1 + x853 + x2089 1 + x909 + x2089 1 + x645 + x2094 1 + x933 + x2094 1 + x256 + x2095 1 + x457 + x2095 1 + x607 + x2095 1 + x691 + x2095 1 + x119 + x2097 1 + x19 + x2098 1 + x35 + x2100 1 + x49 + x2100 1 + x61 + x2100 1 + x193 + x2100 1 + x225 + x2100 1 + x325 + x2100 1 + x385 + x2100 1 + x435 + x2100 1 + x511 + x2100 1 + x583 + x2100 1 + x635 + x2100 1 + x637 + x2100 1 + x675 + x2100 1 + x923 + x2100 1 + x975 + x2100 1 + x1009 + x2100

Priloenie B Fragmenty tablic neprivodimyh ptiqlenov B.1

Neprivodimye ptiqleny stepeni

163

1 + x2 + x9 + x137 + x163 1 + x115 + x137 + x143 + x163 1 + x117 + x137 + x143 + x163 1 + x81 + x85 + x144 + x163 1 + x25 + x86 + x144 + x163 1 + x10 + x87 + x144 + x163 1 + x2 + x38 + x145 + x163 1 + x26 + x54 + x145 + x163 1 + x9 + x65 + x145 + x163 1 + x17 + x65 + x145 + x163 1 + x5 + x58 + x153 + x163 1 + x33 + x58 + x153 + x163 1 + x119 + x154 + x156 + x163 1 + x104 + x114 + x157 + x163 1 + x135 + x146 + x157 + x163 1 + x4 + x63 + x158 + x163 1 + x21 + x157 + x162 + x163 1 + x56 + x157 + x162 + x163 1 + x81 + x157 + x162 + x163 1 + x17 + x158 + x162 + x163 1 + x23 + x158 + x162 + x163 1 + x12 + x159 + x162 + x163 1 + x77 + x161 + x162 + x163 1 + x155 + x161 + x162 + x163

1 + x3 + x6 + x7 + x163 1 + x4 + x58 + x79 + x163 1 + x2 + x27 + x83 + x163 1 + x42 + x51 + x85 + x163 1 + x2 + x82 + x86 + x163 1 + x15 + x54 + x88 + x163 1 + x10 + x41 + x89 + x163 1 + x7 + x68 + x90 + x163 1 + x8 + x22 + x92 + x163 1 + x86 + x91 + x92 + x163 1 + x2 + x11 + x93 + x163 1 + x25 + x95 + x96 + x163 1 + x2 + x8 + x97 + x163 1 + x17 + x97 + x98 + x163 1 + x6 + x10 + x99 + x163 1 + x6 + x18 + x99 + x163 1 + x8 + x26 + x99 + x163 1 + x6 + x58 + x99 + x163 1 + x14 + x77 + x100 + x163 1 + x21 + x77 + x100 + x163 1 + x23 + x77 + x102 + x163 1 + x24 + x49 + x104 + x163 1 + x101 + x114 + x124 + x163 1 + x94 + x135 + x136 + x163 107

/0(+.&%-(% B. 40#,%-2 2!+(6 -%/0(".$(,5 /?2(7+%-."

108

B.2

Neprivodimye ptiqleny stepeni 1 + x2 + x5 + x8 + x173 1 + x5 + x7 + x10 + x173 1 + x10 + x11 + x16 + x173 1 + x15 + x16 + x17 + x173 1 + x20 + x21 + x23 + x173 1 + x20 + x23 + x29 + x173 1 + x25 + x26 + x30 + x173 1 + x30 + x31 + x34 + x173 1 + x30 + x33 + x35 + x173 1 + x32 + x36 + x38 + x173 1 + x32 + x38 + x41 + x173 1 + x36 + x38 + x44 + x173 1 + x36 + x42 + x45 + x173 1 + x41 + x42 + x46 + x173 1 + x43 + x47 + x48 + x173 1 + x48 + x50 + x51 + x173 1 + x51 + x52 + x55 + x173 1 + x51 + x56 + x63 + x173 1 + x55 + x59 + x66 + x173 1 + x55 + x59 + x67 + x173 1 + x63 + x68 + x69 + x173 1 + x63 + x70 + x73 + x173 1 + x67 + x74 + x75 + x173 1 + x72 + x75 + x77 + x173

1 + x74 + x75 + x79 + x173 1 + x76 + x79 + x80 + x173 1 + x76 + x83 + x84 + x173 1 + x76 + x85 + x86 + x173 1 + x83 + x87 + x89 + x173 1 + x83 + x87 + x94 + x173 1 + x87 + x88 + x97 + x173 1 + x87 + x89 + x98 + x173 1 + x88 + x91 + x99 + x173 1 + x96 + x98 + x101 + x173 1 + x98 + x99 + x106 + x173 1 + x100 + x102 + x109 + x173 1 + x100 + x103 + x110 + x173 1 + x106 + x109 + x111 + x173 1 + x107 + x113 + x116 + x173 1 + x110 + x114 + x117 + x173 1 + x110 + x117 + x122 + x173 1 + x116 + x122 + x123 + x173 1 + x122 + x123 + x125 + x173 1 + x125 + x126 + x130 + x173 1 + x127 + x131 + x132 + x173 1 + x128 + x131 + x137 + x173 1 + x132 + x135 + x141 + x173 1 + x134 + x139 + x142 + x173

173

Soderanie 3 5

Predislovie

1

Koneqnye pol

1.1

1.2

Pol

1.1.1 1.1.2 1.1.3

: : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : :

Osnovnye ponti : : : : : : : : : : : : : : : : : : : : : : : Nekotorye svostva koneqnyh pole : : : : : : : : : : : : Upraneni : : : : : : : : : : : : : : : : : : : : : : : : : : Pol Galua GF (2 ) : : : : : : : : : : : : : : : : : : : : : : : : : : 1.2.1 Ewe raz o polh Galua : : : : : : : : : : : : : : : : : : : : 1.2.2 Kol~co mnogoqlenov nad GF (2) : : : : : : : : : : : : : : : 1.2.3 Rasxireni pol GF (2) { pol Galua GF (2 ) : : : : : : 1.2.4 Algoritm Evklida : : : : : : : : : : : : : : : : : : : : : : : 1.2.5 Algoritm Evklida (variant cepnyh drobe) dl qisel 1.2.6 Mul~tiplikativnoe obrawenie : : : : : : : : : : : : : : : Testy neprivodimosti : : : : : : : : : : : : : : : : : : : : : : : : 1.3.1 Test na neprivodimost~. Algoritm Berlekmpa : : : : 1.3.2 Nahodenie neprivodimyh <maloqlenov> : : : : : : : : : n

n

1.3

2

Implementaci operaci v

2.1

2.2

2.3 2.4

GF

(2 )

: : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : :

n

Klassiqeski algoritm umnoeni nad GF (2) : : : : : : : : : : : : : : : : : 2.1.1 Postanovka zadaqi : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 2.1.2 lementarnye mnogoqleny. Tablica umnoeni : : : : : : : : : : : 2.1.3 Umnoenie mnogoqlenov s ispol~zovaniem tablicy umnoeni : : 2.1.4 Modifikaci klassiqeskogo algoritma i gibridny algoritm umnoeni : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Optimizaci umnoeni mnogoqlenov : : : : : : : : : : : : : : : : : : : : : : 2.2.1 Vvedenie : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 2.2.2 Umnoenie mnogoqlenov po metodu Karacuby : : : : : : : : : : : : : 2.2.3 Optimizaci operaci umnoeni mnogoqlenov i deleni mnogoqlenov s ostatkom. Metod Karacuby. : : : : : : : : : : : : : : : : : : 2.2.4 Umnoenie celyh qisel : : : : : : : : : : : : : : : : : : : : 2.2.5 Dekompozicionna shema umnoeni mnogoqlenov : : : : : : : : : : 2.2.6 Rezul~taty ksperimentov : : : : : : : : : : : : : : : : : : : : : : : : : Delenie i privedenie mnogoqlenov : : : : : : : : : : : : : : : : : : : : : : : 2.3.1 <Xkol~ny> algoritm deleni mnogoqlenov v standartnom bazise 2.3.2 Privedenie mnogoqlenov po neprivodimomu <maloqlenu>. : : : : : : Vozvedenie v stepen~ i invertirovanie v GF (2 ) : : : : : : : : : : : : : : : 2.4.1 Vozvedenie celogo qisla v stepen~ po zadannomu modul. Diskretny logarifm : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : n

109

5 5 12 15 16 16 16 18 18 21 25 26 26 27

29

29 29 31 33 36 39 39 39

41 43 45 48 50 50 52 54 54

1.$%0&-(%

110

2.4.2 2.4.3 2.4.4

3

3.1

3.3

lliptiqeskie krivye : : : : : : : : : : : : : : : : : : : : : : : : : 3.1.1 Vvedenie. Pontie lliptiqesko krivo : : : : : : : : : 3.1.2 Zakon sloeni : : : : : : : : : : : : : : : : : : : : : : : : : : 3.1.3 Proektivnye koordinaty : : : : : : : : : : : : : : : : : : : 3.1.4 lliptiqeskie krivye nad polmi harakteristiki 2 i 3 lliptiqeskie krivye nad polem GF (2 ) : : : : : : : : : : : : : : 3.2.1 Supersingulrnye krivye : : : : : : : : : : : : : : : : : : : 3.2.2 Formuly sloeni : : : : : : : : : : : : : : : : : : : : : : : 3.2.3 Algoritmy vyqisleni kP : : : : : : : : : : : : : : : : : : 3.2.4 Ispol~zovanie proektivnyh koordinat : : : : : : : : : : : 3.2.5 Nesupersingulrnye krivye : : : : : : : : : : : : : : : : : O realizacii algoritmov : : : : : : : : : : : : : : : : : : : : : : : 3.3.1 Biblioteka programmnyh funkci : : : : : : : : : : : : : : 3.3.2 Rezul~taty ksperimentov : : : : : : : : : : : : : : : : : : : n

: : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : :

Protokoly lliptiqesko kriptografii

4.1

4.2

Raspredelenie klqe : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 4.1.1 Vvedenie : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 4.1.2 Raspredelenie klqe dl klassiqesko kriptosistemy (protokol Diffi-Hellmana) : : : : : : : : : : : : : : : : : : : : : : : : : : : : 4.1.3 Raspredelenie klqe dl klassiqesko kriptosistemy (protokol Massey-Omura) : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 4.1.4 Peredaqa sekretnyh soobweni po otkrytym kanalam s ispol~zovaniem otkrytogo klqa (modifikaci l~-Gamal) : : : : : : : : 4.1.5 Protokol raspredeleni klqe Menezesa-K~-Vanstona (MQVprotokol) : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : lektronna podpis~ : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : 4.2.1 Standart DSS, algoritm DSA : : : : : : : : : : : : : : : : : : : : : : : 4.2.2 Obobwenna shema lektronno podpisi l~ Gamal : : : : : : : : 4.2.3 Shema lektronno podpisi l~ Gamal s vozvratom soobweni (Nyberg-Rueppel algoritm) : : : : : : : : : : : : : : : : : : : : : : : : : 4.2.4 Shema Nyberg-Rueppel lektronno podpisi s ispol~zovaniem gruppy toqek lliptiqesko krivo : : : : : : : : : : : : : : : : : : :

Tablicy neprivodimyh trehqlenov

A.1 A.2

Neprivodimye trehqleny stepeni Neprivodimye trehqleny stepeni

151- 175 : 2000-2100

58 64 65 65 67 70 71 72 72 74 74 78 80 82 82 83

85

85 85 86 88 90 91 94 94 97 98

100

103 105

Spisok literatury

A

55

65

lliptiqeskie krivye i operacii

3.2

4

Implementaci vozvedeni mnogoqlenov v stepen~ i ih invertirovani : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : Bystry algoritm vozvedeni v stepen~ v koneqnom pole malo harakteristiki v sluqae ispol~zovani standartnogo bazisa : : : Bystroe invertirovanie v koneqnom pole malo harakteristiki s ispol~zovaniem standartnogo bazisa : : : : : : : : : : : : : : : : :

: : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : :

105 106

1.$%0&-(%

B

111

Fragmenty tablic neprivodimyh ptiqlenov

B.1 B.2

Neprivodimye ptiqleny stepeni Neprivodimye ptiqleny stepeni

163 173

: : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : :

107

107 108

Anatoli Aleksandroviq Bolotov Serge Borisoviq Gaxkov Aleksandr Borisoviq Frolov Anatoli Aleksandroviq Qasovskih

Algoritmiqeskie osnovy lliptiqesko kriptografii

Moskva, 107207, Krasnokazarmenna ul., dom 14, Moskovski nergetiqeski institut (tehniqeski universitet)

Алгоритмические основы элиптической криптографии

Recommend Documents