Научная статья на тему 'Аналог системы шифрования RSA на платформе m2(Zn)'

Аналог системы шифрования RSA на платформе m2(Zn) Текст научной статьи по специальности «Математика»

CC BY
776
124
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
СИСТЕМА ШИФРОВАНИЯ / КРИПТОСИСТЕМА / ДЕШИФРОВАНИЕ. ВВЕДЕНИЕ / ENCRYPTION SYSTEM / CRYPTOSYSTEM / DECODING

Аннотация научной статьи по математике, автор научной работы — Агеенко А. Н.

Строится аналог системы RSA на платформе M2(Zn). Предлагается улучшенный вариант RSA' системы шифрования RSA', в котором ключ дешифрования определяется не по функции Эйлера ϕ (n), а по периоду мультипликативной группы Zn*.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Analog of RSA encryption system on the platform M2(Zn)

The present article is devoted to the construction of RSA encryption system on the platform M2(Zn). The author suggests RSA' improved version of RSA encryption system in which decryption key is defined by period of multiplicative group Zn*, not by Euler functionϕ (n).

Текст научной работы на тему «Аналог системы шифрования RSA на платформе m2(Zn)»

МАТЕМАТИКА

Вестн. Ом. ун-та. 2GG9. № 4. С. 66-73.

УДК 517 А.Н. Агеенко

Омский государственный университет им. Ф. М Достоевского

АНАЛОГ СИСТЕМЫ ШИФРОВАНИЯ КБЛ НА ПЛАТФОРМЕ М2(гп)

Строится аналог системы ЯБА на платформе М£1П). Предлагается улучшенный вариант ЯЕА' системы шифрования ЯЕА', в котором ключ дешифрования определяется не по функции Эйлера р(п), а по периоду мультипликативной группы Ъи .

Ключевые слова: система шифрования, криптосистема, дешифрование.

Введение

RSA - криптосистема, основанная на одном из первых алгоритмов шифрования с открытым ключом. Она была предложена в 1977 г. Роном Ривестом (Rivest), Ади Шамиром (Shamir) и Леном Адельманом (Adelman) и названа по первым буквам фамилий своих создателей. На протяжении уже более 30 лет система RSA остается наиболее популярной среди всех криптосистем с открытым ключом. Дадим её описание.

Алгоритм RSA

Установка. Сначала выбирается два достаточно больших различных простых числа p и q и вычисляется модуль RSA n = pq. Числа p и q - секретные, модуль n открыт. Далее вычисляется функция Эйлера ф(п) = (q-1)(p-1). Значение ф(п) также держится в секрете.

После этого выбирается произвольное число ее N, для которого должно быть выполнено свойство НОД(е, ф(п)) = 1, тогда е е ZV(n)* принадлежит мультипликативной группе ZV(n* кольца вычетов ZV(n) по модулю ф(п) и существует число d е N, такое, что ed = 1 (mod cp(n)). Элемент е называется ключом шифрования и считается открытым, а элемент d называется ключом дешифрования и является секретным.

Шифрование. В качестве платформы шифрования в RSA используется кольцо вычетов Zn. Само шифрование осуществляется по правилу:

c = me (mod n),

где m - единица исходного текста, с - единица шифрованного текста.

Дешифрование. Для дешифрования необходимо знать значение секретного ключа d. Тогда исходный текст можно получить следующим образом:

m = cd = med = m (mod n).

Криптостойкость системы RSA обеспечивается сложностью задачи разложения модуля n на множители. В настоящее время не известно ни одного алгоритма, позволяющего эффективно находить множители p и q в общем случае, однако и не доказано, что его не су-

© А.Н. Агеенко, 2009

ществует. Но если такой алгоритм будет найден, то использование системы RSA сразу прекратится. Поскольку знание множителей p и q позволяет легко вычислить значение функции Эйлера cp(n)=(p-1)(q-1), а, следовательно, по ключу шифрования e можно будет легко восстановить ключ дешифрования d, и система будет полностью раскрыта.

В настоящей работе строится аналог системы RSA на платформе M2(Zn) -

кольце матриц порядка два над кольцом вычетов Zn, где n=pq - произведение различных простых чисел. Для этого вычисляется аналог функции Эйлера Ф(п), равный порядку группы обратимых матриц GL2(Zn) - мультипликативной

группы кольца M^(Zn), и определяется, какие матрицы A є M2 (Zn) могут быть использованы в качестве единиц текста. Устанавливается, что строящаяся система, по крайней мере, так же криптостойка, как и исходная система RSA.

Кроме того, предлагается улучшенный вариант RSA' системы шифрования RSA, в котором ключ дешифрования определяется не по функции Эйлера p(n) , а по периоду мультипликативной группы Zn*. Соответствующий вариант системы предлагается также и для платформы Ms(Zn).

Система RSA на платформе M2(Zn)

Следующий результат является простым обобщением известной Китайской теоремы об остатках.

Лемма 1 (Обобщенная Китайская теорема об остатках). [2] Пусть A1 ,

... , Ak є Mm (Z ) - произвольные целочисленные матрицы порядка m. Предположим, что целые числа ni, ..., nk ^ 2 попарно взаимно просты, то есть для любых i Ф j НОД(пі,п)=1. Тогда система матричных сравнений

X = A1 (mod n1),

X = Ak (mod nk)

всегда имеет решение, т. е. существует целочисленная матрица X, удовлетворяющая системе стравнений. Более того, решением является любая целочисленная матрица Y, сравнимая с X mod N, где

N = П1 • ... • пу, и любое решение системы имеет такой вид.

Пусть выбрано некоторое n=pq -произведение двух различных простых чисел. Рассмотрим кольцо матриц M2(Zn) порядка два над кольцом вычетов ^.

Обозначим через G=GL2(Zn) мультипликативную группу кольца M2(Zn), т. е. группу обратимых матриц порядка два над кольцом вычетов ^.

Для группы G определяются её гомоморфные образы - реплики -Gp=GL2(Zp) и Gq=GL2(Zq).

Пусть Ф(п) =| ОЬ2 (ZИ) | - порядок

группы GL2(Zn), тогда для Ф(п) верно следующее утверждение.

Теорема 2. Пусть задана группа G обратимых матриц порядка два над кольцом вычетов Zn, где п = pq -произведение двух различных простых чисел р и q. Тогда порядок группы G определяется формулой

Ф(п) = пр(п)2 (2(п +1) - р(п)),

где ppn) = (p - 1)(q -1)

значение

функции Эйлера.

Доказательство. Для доказательства теоремы необходимо посчитать количество обратимых матриц порядка два над кольцом вычетов 2П.

Из леммы 1 следует, что матрица А е М 2 (Хп) обратима по модулю п тогда и только тогда, когда её реплики Ар и Ад обратима: по модулям р и q соответственно.

Таким образом, для начала необходимо посчитать количество обратимых матриц порядка два над полями 2р и 2Ч.

Пусть А е М2(2р1) - некоторая матрица порядка два над полем 2р, имеющая вид

(

A=

b Л d

(1)

Определитель матрицы А: йєї(А) =

= аё - Ьс.

Над полем 2р матрица необратима тогда и только тогда, когда её определитель равен 0: (А) = 0.

Рассмотрим все возможные варианты, когда определитель обращается в 0, и

посчитаем количество матриц в каждом случае.

1. Пусть а Ф 0 .

Равенство det(A) = ad - bc = 0 (mod p) эквивалентно ad = bc (mod p).

Поскольку элемент а обратим, то

d = a'lbc (modp).

Этому условию удовлетворяет ровно (p — 1)p2 матриц, так как элементу а можно присвоить p -1 различных значений, не равных 0 , a b и c могут принимать p различных значений.

Всего имеется (p — 1)p3 матриц, удовлетворяющих условию а Ф 0 , следовательно, обратимых матриц над полем Z? в точности

p 3( p — 1) — p 2( p — 1) =

= p 2( p — 1)(p — 1) = p 2( p — 1)2.

2. Пусть a = 0.

Тогда формула для определителя матрицы примет вид det(A) = —bc . В этом случае матрица A обратима тогда и только тогда, когда элемент bc обратим, т. е. bc Ф 0 (mod p) .

Даному условию удовлетворяет p(p — 1)2 матриц, так как элементы b и c могут принимать p —1 различных значений, значение элемента а зафиксировано, а для элемента d существует p различных значений.

Таким образом, общее количество матриц, обратимых над полем Zp, равно

p 2( p — 1)2 + p( p — 1)2 = p( p —1)2( p +1).

Аналогично, количество матриц, обратимых над полем Zq равно

q(q — 1)2(q +1).

Поскольку произвольная матрица A e M2 (Zn) однозначно определяется своими репликами Ap e M 2(Zp ) и Aq e M2 (Zq) и матрица A обратима тогда

и только тогда, когда обратимы обе её реплики, то общее количество матриц, обратимых над Zn, можно вычислить следующим образом

Ф(п) = q(q — 1)2(q +1) • p( p —1)2( p +1) =

= pq • ((p — 1)(q — 1))2 • (p+1)(q+1) =

= n •ф2(п) • (pq + (p + q) +1).

Заметим, что

р(п) = (р -1)^ -1) = pq - (р + q) +1, Следовательно, р + q = pq +1 - (р(п) = п +1 - (р(п).

Тогда формула для Ф(п) принимаем следующий вид

Ф(п) = п -р2(п) ■ (п + (п +1 - р(п)) +1) = = п ■ Р (п) ■ (2(п +1) - р(п)).

Теорема доказана.

Лемма 3. Для произвольной матрицы А порядка два и произвольного числа к >1 верно следующее равенство

Ак = г ■ Ак-1 -/■ Ак-2, где г = & (А), у = det(A).

Доказательство. Рассмотрим произвольную квадратную матрицу А порядка два. Пусть она имеет вид (1).

Посчитаем значение

a

A2 =

b Л

cd

2

a + bc ab + bd ac + cd bc + d2

Из формулы для det(A) выразим bc и подставим в матрицу, получим

a + bc ab + bd

ac + cd bc + d2

A2 =

2

a + ad -y

ab + bd

ac + cd ad -y + d2 ^(a + d)a - у (a + d)b Л (a + d)c (a + d)d - у

Таким образом,

A2 = (a +

v

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

/

cd = (a + d) A - yE.

Умножая одновременно левую и правую часть это равенства на Ак-2 к > 2 , получаем

где

tk-2

Ау = (а + ё) Ау-1 -уА Лемма доказана.

При построении матричного аналога системы КБЛ в качестве платформы шифрования используется кольцо матриц М2^п), где n=pq - произведение различн^іх простых чисел. Числа р и q по-прежнему держаться в секрете, модуль п открыт. В качестве открытого ключа шифрования берем число є є N е такое, что

2

НОД(e, Ф(п)) = 1, а секретный ключ дешифрования d є N определяем из равенства ed = 1 (mod Ф(п)).

Процессы шифрования и

дешифрования осуществляются так же, как и в RSA с учетом правил матричного умножения.

Далее мы определим, какие матрицы A є M2 (Zn) можно считать единицами текста.

Теорема 4. Рассмотрим аналог системы RSA с модулем n = pq на платформе M2(Zn). Пусть e - открытый ключ шифрования такой, что НОД(e, Ф(п)) = 1, а d - соответствующий ему ключ дешифрования такой, что ed = 1(modФ(n)). Тогда для любой

матрицы A є M2 (Zn), удовлетворяющей одному из следующих двух условий:

(1) A є GL2(Zn),

(2) A £ GL2 (Zn) и след tr(A) матрицы A не равен нулю по модулю p и по модулю q; верно следующее равенство:

Aed = A (modn).

Доказательство. 1. Пусть A є

є GL2 (Zn) . Тогда Aф(n)=1, где Ф(п) -

порядок группы GL2(Zn).

По условию теоремы

ed = 1(modФ(n)), что эквивалентно равенству

ed = 1 + kФ(n).

Следовательно,

Aed = A1+kф(n) = A(A^n) )k = A • 1k = A.

2. Пусть A £ GL2(Zn), т. е. матрица A необратима над кольцом вычетов Zn.

По-прежнему считаем, что матрица A имеет вид (1).

Условие необратимости матрицы над кольцом вычетов Zn означает, что НОД(n,y) Ф1.

Следовательно, возможны три

варианта:

1 y': p,yi q

2. yl p,y\q

3. y: p,y: q

Нужно показать, что если y:p и/или y:q и след матрицы r = a + d не равен О, то Aepd = Ap (modp) и Aed = Aq (modq), где

Ap, Aq - реплики матрицы A. Поскольку

по лемме 1 матрица A однозначно определяется своими репликами, верно следующее равенство:

Aed = A (mod n).

Рассмотрим реплику Ap матрицы A над полем Zp. Пусть у.p, следовательно, Y = 0 (mod p) и матрица A необратима над полем Z?.

Обозначим det(Ap) = Yp =0 .

Будем считать, что ключ шифрования e Ф 1 , так как иначе получаем

тривиальный случай. Тогда к матрице

Aepd можно применить утверждение

леммы 3. С учетом того, что Yp = 0 ,

получаем

Aed = (a + d) Ap—1.

Далее, применим утверждение леммы

3 к матрице, стоящей в правой части и получим

Aepd = (a + d )2 Aepd—2.

Проделываем это до тех пор, пока не получим

Apd = (a + d )ed—1 Ap.

Пусть a + d Ф 0. Покажем, что (a + d )ed—1=1, при условии

ed = 1(modФ(n)).

Поскольку a + d Ф 0 (mod p), то

(a + d) e Z *p, следовательно, (a + d)p—1 = 1.

Так как ed = 1(modФ(n)), это

эквивалентно ed = 1 + k Ф(п). Тогда

(a + d)ed—1 = (a + d)'+kф(n)— = (a + d)kФ(п) .

Расписывая величину Ф(п) согласно теореме 2, получим

(a + d)ed—1) = (a + d)k n( p-1)(q-1)•(2(n+1)-p(n)) =

= ((a + d) p—1 )k •n•(q-1>(2(n+1)-^(n))

Так как (a + d)p—1 =1, получаем

(a + d ) ed —1 = 1k n( q—1) • (2( n+1)—p(n)) = 1

Таким образом,

Aed = (a + d )ed—1 Ap = Ap.

Если a + d = 0, то по лемме 3

Akp =0 V k > 2.

То есть в какую бы степень d не была возведена матрица Aep, e > 2, будет верно следующее равенство Af = 0.

Следовательно, по значению Aep

невозможно восстановить матрицу Ap.

C точки зрения криптографии это означает, что произошла потеря информации, что категорически запрещено.

Аналогичные рассужения верны и для поля Zq.

Теорема доказана.

Криптостойкость

Выявленная зависимость между величиной Ф(п) (порядком группы GL2(Zn)) и значением функции Эйлера ф(п), позволяет сделать вывод о том, что построенный аналог, по крайней мере, так же криптостоек, как и RSA. Таким образом, криптостойкость предложенной системы основана на тех же сложных задачах, что и криптостойкость исходной системы RSA.

Система RSA' на платформах Zn и M2(Zn)

Допустим, рассматривается система шифрования RSA с параметрами: n=pq -открытый модуль, e - открытый ключ, d -секретный ключ. Открытый ключ e є N в системе выбирается произвольно, но только с выполнением условия НОД(e,p(n)) = 1, где p(n) = (p - 1)(q -1) -значение функции Эйлера. Тогда d є N вычисляется как единственное решение 1 < d < p(n) -1 такое, что

ed = 1 (mod p(n)) . Ключ d позволяет расшифровать любой текст c = me (modn).

Если НОД(m, n) = 1, то по теореме Эйлера из равенства

ed = 1 + p(n)k, k є Z получаем равенство

cd = med = m(mp(n))k = m Лк = m (modn).

Если m: p, m: q , то m = 0(mod n) и

равенство med = m = 0 очевидно.

Если m: p, m і q , то d также дешифрует m . Докажем это.

Доказательство [1, с. 99]. Пусть

m = ptm1, где НОД(m1, p) = 1. Тогда для mi

верно m1ed = m1 (mod n) . Остается

проверить справедливость сравнения p ed = p (mod n).

Так как n=pq - произведение различных простых чисел, это сравнение равносильно системе

ped = p (mod p), ped = p (mod q).

Здесь первое сравнение очевидно, а второе следует из того, что p и q -различные простые числа.

Расшифровка конкретного текста

Пусть m e Z* , пусть mt =1 (mod n),

причем t e N - минимальное число с

указанным свойством (порядок | m |= t

элемента m в группе Zn*). Тогда текст me может быть расшифрован ключом d1, таким, что ed1 =1(mod t). Действительно, для некоторого l e N ed1 =1 +1 • l, поэтому

med1 = m(mt )l = m • 1l = m (mod n).

Так как группа Zn* имеет порядок p(n) = (p — 1)(q — 1), то в ней есть элементы порядка t < (р{п) .

Пример.

n = 3-5 = 15, ^(n) = 2-4 = 8, но группа Zie* не циклическая, её элементы имеют порядки 2 или 4.

Зададим такой вопрос: существует ли ключ d' для системы RSA, такой, что d' < d, но в то же время d' дешифрует все возможные тексты?

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Ответ.: да, существует. Определение. Периодом группы G называется наименьшее число T, такое,

что gT =1 для любого g e G.

Лемма 5. Период группы Zn*, при n = pq, равен t(n) =НОК(p — 1, q — 1) . Доказательство. Пусть для удобства

Г~¥ *

t = t(n). Докажем, что для любого m e Zn

верно mf =1(mod n). Действительно, так как t:(p — 1), то t = (p — 1)r и mt = m(p—1)r = 1r =1 (mod p), в то же время t :(q — 1), т. е. t = (q — 1)s,

и, соответственно,

m( = m(q 1)s = 1s =1(mod q).

Значит, по НОД (p, q) = 1 получаем,

что mt = 1(mod pq) = 1(mod n).

Наоборот, докажем, что найдется

ry * w

m e Z n , такой, что

| m |=НОК(p — 1, q — 1) = t. Действительно, так как группа Zp* циклическая, в ней есть элемент g порядка | g |= p — 1, т. е.

gp—1 = 1 (mod p), причем p — 1 - минималная степень с

данным свойством.

Аналогично, существует 1 < f < q — 1 с условием

fq—1 =1 (mod q), где q —1 - также минимальная степень с данным свойством.

Рассмотрим систему сравнений

ГX = g (m°d p),

IX = f (mod q),

которая имеет решение X = h (mod pq) = = h (m mod n) по Китайской теореме об остатках.

Порядок t' элемента h в группе Zn* должен делиться на его порядок в группе Zp*, т. е. на p — 1, аналогично t' должен делиться на q — 1, т. е. t' НОК(p — 1, q — 1). Но мы знаем, что t' > t. Поскольку любой элемент в степени t равен 1 (mod n) , в

частности, ht =1 (mod n). Значит в силу минимальности t'= t = НОК(p — 1, q — 1). Лемма доказана.

Замечание 6. Число t(n) (период

группы Zn*) заведомо меньше, чем (p(n).

Доказательство. Действительно, так как p — 1, q — 1:2 , имеем p — 1 =

= 2ap1 .pb , q — 1 = 2bpcl1 ...pC , тогда HOK(p — 1 q — 1) = 2“ax(a,b) pmaX(C1b1) pmax(ci ,bi)

а (p — 1)(q — 1) = 2a+bpb +C1 . pbl+Cl , тогда

a + b строго больше, чем max(a, b) .

Итак, период группы Zn* равен t (n) = НОК (p — 1, q — 1).

При построении системы шифрования RSA' ключ дешифрования d будем

находить по ключу e : НОД(e, p(n)) = 1, из равенства ed = 1 (mod t(n)).

Очевидно, что найденный таким способом ключ d также позволит расшифровать любой текст c = me (modn). И поскольку для вычисления периода группы Zn необходимо знание простых чисел p и q, то можно считать, что системма RSA' так же криптостойка, как и исходная система RSA.

Перейдем к рассмотрению матричного аналога RSA'. Пусть по-прежнему, n = pq - произведение различных простых чисел. Как и ранее, n - открытый модуль, p и q - секретные. Шифрование осуществляется на платформе M2(Zn) -кольцо квадратных матриц порядка два над кольцом вычетов Zn. Секретный ключ e є Z выбирается произвольно, но с выполнением условия НОД (e, Ф(и)) = 1.

Ключ дешифрования, как и в численном случае RSA', будем находить по e в соответствии с правилом

ed = 1(mod T(n)), где T(n) - период мультипликативной

группы GL2(Zn) кольца M2(Zn).

Легко увидеть, что и при таком выборе ключа дешифрования также верна теорема З.

Для того, чтобы обосновать криптостойкость данного варианта системы RSA' необходимо понять, как можно вычислить порядок группы GL2(Zn).

Лемма 7. Пусть а: G ^ H - гомоморфизм группы G на группу H. Тогда порядок j g j любого элемента д конечного порядка группы G делится на порядок его образа а(g) = h є H .

Доказательство. Пусть порядок j g j

элемента g є G равен к, т. е. gk =1 и к -наименьшая степень с таким свойством.

Сначала покажем, что если gk =1, то

hk =1.

Распишем hk , и с учетом того, что

k

g = 1 получим

hk = ak (g) = а( gk ) = 1. (2)

Пусть порядок элемента h в группе H равен t, т. е. t есть наименьшая степень,

для которой ht = 1.

Заметим, что к > ^. Иначе получаем противоречие тому, что ^ - порядок элемента Н в группе Н.

Докажем, что к делится на Ь

Предположим обратное. Пусть к не делится на £ Тогда разделим к на ^ с остатком

к = I -I + г, 0 < г < I.

Еще раз распишем Ик :

ик = и4+г = (И У-иг.

Так как И = 1 и Ик = 1 (из равенства

(2)), то 1 = Ик = Иг.

Следовательно,

Иг =1.

Поскольку г < ^ и И =1, получаем противоречие минимальности ^ как порядка элемента Н в группе Н.

Таким образом, порядок любого элемента д группы О делится на порядок его образа а(g) = И е Н , при гомоморфном отображении группы О на группу Н

Лемма доказана.

Лемма 8. Пусть а .О ^Н - гомоморфизм группы О на группу Н. Пусть ТО - период группы О, ТН - период группы Н. Тогда ТО делится на ТН .

Доказательство. Так как ТО -период группы О, то по определению периода группы для него верно утверждение:

Vg е О, gTo =1. (3)

Следовательно, ТО должен делиться на все возможные порядки элементов группы О и, поскольку период - это наименьшая степень, обладающая свойством (3), то

То = НОК (А, /2, ..., /к), (4)

где /1, /2, ..., /к - все возможные

порядки элементов группы О.

Аналогично,

ТН =НОК(т^ т2, ., тк),

где т1, т2, ..., тк - все возможные

порядки элементов группы Н .

Из леммы 7 следует, что = т1.1 = 1,. к. (5)

Распишем все , т{, ^ по степеням простых чисел

Па- •

р}1] для некоторых а, > 0,

1=1

тЧ в -

т1 = IIР}Ч для некоторых в > 0,

1=1

Г /

^ р I1 для некоторых > 0,

1=1

где {р1} - набор некоторых различных простых чисел, одинаковый для всех /, т1, ^, т. е. если в разложении какого-

либо числа из {/ }[^){т1 >1> 1 } отсутвует некоторое р1, то считаем что соответствующая степень равна нулю.

С учетом данных разложений формулу (4) для нахождения величины ТО можно записать в следующем виде

ПГ тах. л , (а..) р. 1=1,.,к (У).

•=1

Аналогично,

Тн = ПГ1^ в).

•=1

Для того, чтобы ТО делилось на ТН , необходимо, чтобы выполнялось

таХг (а1] ) > таХ1 (ви ), • = 1, ., Г.

Предположим сущетвует • такое, что

тах 1 (аг] ) = аа} < тах 11 ( Д, ) = Ц . (6)

Из равенства (5) следует

а- = +Уг}; 1 = 1, •••, к; • = 1, •••, г.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

В частности,

аЫ = А, +Гы.

С учетом неравенства (6)

аЪ] = в, + Гь, > а а- + /Ь] > а1.

Таким образом, получаем аь, > а,, что противоречит максимальности аа,, следо-вательно, тах1 (а,) > тах 1 (в,) для

всех ] = 1, ..., г.

Лемма доказана.

Теорема 9. Рассмотрим группу Оп=ОЬ2(2п) и группы Ор=ОЬ2(2^), О^ОЬг^), Пусть Т - период группы Оп, Тр и Тч -

периоды групп Ор, О? соответственно. Тогда верно следующее равенство

T = НОК(Tp, Tq).

Доказательство. Группы Gp и Gq являются естественными гомоморфными образами группы Gn. Это следует из того, что поля Zp и Zq являются естественными гомоморфными образами кольца вычетов Zn.

Через Ap, Aq будем обозначать реплики матрицы A e Gn.

Рассмотрим величину T e Z и покажем,

что AT = E для всех A e Gn тогда и только тогда, когда T делится на Tp и на Tq .

Необходимость. Пусть AT = E для всех A e Gn, следовательно, либо T

является периодом группы Gn , либо T

кратна периоду группы Gn , т. е.

T = k^G, k = 1,2, ... (7)

n

По лемме 8 период группы Gn делится на период любой группы, являющейся гомоморфным образом группы Gn.

Следовательно, TG делится на Tp и Ta.

n

Тогда из равенства (7) следует, что T также делится на Tp и Tq .

Необходимость доказана. Достаточность. Неоходимо доказать, что если T делится на Tp и Tq, то для

произвольной матрицы A e Gn из системы App = E (mod p),

Г T (8)

AT = E (mod q)

следует, что AT = E(modn).

Так как T T и T T , следовательно,

T = x^Tp для некоторого x e Z, (9)

T = y •Tq для некоторого y e Z. (10)

Вернемся к системе сравнений (8). Возведем первую строку системы в степень x , а вторую - в степень y, получим

ApTp = Ex = E (mod p),

Г

Ayqq = Ey = E (mod q), что эквивалентно

T

Ap = E (mod p),

Г

T

Aq = E (mod q).

Поскольку матрицы Ap e Gp и Aq e Gq являются гомоморфными образами мат-рщы A e Gn, то Arp = (aT )p и Al =(aT )q. Следовательно,

(AT) p = E (mod p),

(AT)q = E (mod q),

тогда по Обобщенной Китайской теореме об остатках получаем

AT = E(mod n).

Так как матрица A e Gn произвольная, то

AT = E для всех A e Gn .

Достаточность доказана.

Поскольку по определению период группы - наименьшая степень для

которой AT = E для всех A e Gn, то для того, чтобы T было периодом группы Gn ,

необходимо и достаточно, чтобы T было наименьшим числом, обладающим свойствами (9)-(10). Следовательно,

T = НОК (Tp, Tq) есть период группы

Gn.

Теорема доказана.

Только что доказанная теорема позволяет сделать вывод о том, что матричный аналог RSA', по крайней мере, так же криптостоек, как и исходная система RSA, поскольку для нахождения периода группы GL2(Zn) необходимо знать разложение открытого модуля n в произведение двух различных простых чисел p и q, а это является сложной задачей1.

ПРИМЕЧАНИЯ

1 Работа выполнена под руководством профессора В.А. Романькова.

ЛИТЕРАТУРА

[1] Романьков В.А. Введение в криптографию: курс лекций. 2-е изд., испр. и доп. Омск: Изд-во Ом. гос. ун-та, 2009.

[2] Гордиенко В.В. Методы построения «тайных входов» в криптографии: дипломная работа. ИМИТ ОмГУ, 2008.

i Надоели баннеры? Вы всегда можете отключить рекламу.