Эффективные методы алгебраического криптоанализа и защита от них Текст научной статьи по специальности «Математика»

УДК 003.26 Б01 10.17223/2226308X/12/36

ЭФФЕКТИВНЫЕ МЕТОДЫ АЛГЕБРАИЧЕСКОГО КРИПТОАНАЛИЗА И ЗАЩИТА ОТ НИХ1

В. А. Романьков

Работа состоит из двух частей. В первой части даётся представление авторских методов криптографического анализа алгоритмов алгебраической криптографии. Описываются основные элементы метода линейного разложения. Приводятся примеры его использования для эффективных атак на известные алгоритмы. Даётся представление об альтернативном подходе Б. Тсабана, также базирующемся на линейной алгебре и некоторых теоретико-вероятностных результатах. Кроме этого, приводится описание основных элементов метода нелинейного разложения с соответствующими примерами его применения. Вторая часть посвящена построению эффективных методов защиты от атак, использующих средства линейной алгебры. Для этого вводится новое понятие маргинального множества элементов группы относительно данного слова от порождающих элементов. Показывается, как использование маргинальных множеств позволяет уходить от проблемы нахождения сопрягающего элемента, лежащей в основе многих алгоритмов алгебраической криптографии, к значительно более сложной проблеме вхождения-сопряжённости.

Ключевые слова: алгебраическая криптография, алгебраический криптоанализ.

1. Методы криптоанализа алгебраической криптографии 1.1. Метод линейного разложения Метод введён в рассмотрение автором в [1, 2], получил дальнейшее развитие в [3-5] и ряде других публикаций, подробно освещён в монографии [6]. Метод детерминированный и доказуемый, применим как к конечным, так и к бесконечным объектам. Его отличительной особенностью является то, что построенный по этому методу алгоритм криптографического анализа находит распределяемый ключ или передаваемое сообщение, не вычисляя секретных параметров, использованных при зашифровании. Алгоритм не решает алгоритмической проблемы, лежащей в основе криптографических построений, обходя тем самым построенную авторами защиту и не преодолевая трудностей, заложенных при построении криптографической схемы.

Метод использован для криптографического анализа криптографических алгоритмов Маркова — Михалева и др., Грибова — Золотых и др., Росошека, Харли, Мегрели-швили, Шпильрайна — Ушакова, Кахроби — Шпильрайна и др., Ко — Ли и др., Ванга и др., Курта, Хехта и ряда других авторов.

Метод работает в тех случаях, когда платформа шифрования О является частью линейного пространства V, например группой матриц над некоторым конструктивным полем Е (конечным или бесконечным), рассматриваемой как подмножество линейного пространства М(п, Е) матриц размера п х п. Типичными элементами метода являются: построение базиса линейного подпространства, порождённого подмножеством из О опредёленного вида в пространстве V; использование свойств этого подпространства для определения секрета.

1 Работа поддержана грантом РФФИ, проект № 18-41-550001а.

В криптографии с открытым ключом хорошо известна проблема Диффи — Хелл-мана: для группы О и её элемента д Е О определить по двум значениям дк и д1, где к,1 — натуральные числа, значение дк1.

В алгебраической криптографии рассматриваются следующие её некоммутативные аналоги:

— Аналог с сопряжениями: для группы О и её элемента д Е О определить по двум сопряжённым к д элементам да = ада-1 и дь = ЬдЬ-1, где а,Ь Е О, аЬ = Ьа, элемент даЬ = аЬда-1Ь-1 = ЬадЬ-1 а-1.

— Аналог с двусторонними домножениями: для группы О и её элемента д Е О определить по двум элементам вида ада' и ЬдЬ', где а,Ь Е О, аЬ = Ьа, а'Ь' = Ь'а!, элемент аЬда'Ь' = ЬадЬ'а'.

— Аналог с автоморфизмами: для группы О и её элемента д Е О определить по двум элементам вида а(д) и в(д), где а, в Е Аи^О), ав = ва, элемент а(в(д)) = в(а(д)). Метод линейного разложения при некоторых естественных условиях на группу О

(прежде всего это существование эффективного вложения в конечномерное линейное пространство) эффективно решает каждую из этих проблем.

1.2. Брад-метод Б. Тсабана В [7] (см. также [8]) Б. Тсабан и др. ввели в рассмотрение полиномиальный по времени вероятностный метод алгебраического криптоанализа, названный ими линейным зраи-методом. Метод позволяет разрабатывать способы эффективного решения вычислительных проблем в группах матриц над конечными полями, значит, и в группах, допускающих эффективные представления матрицами над конечными полями. Метод улучшает более ранние методы, описанные в [9, 10].

Как и в методе линейного разложения, ярап-метод предполагает построение базисов некоторых линейных подпространств, определяемых матричной группой О над конечным полем порядка д.

Приведём типичный пример использования метода. Допустим, нужно решить проблему поиска сопрягающего элемента X для данных матриц А и В = ХАХ-1 из группы ОЬ(п, ). Данное уравнение заменяется на систему линейных однородных уравнений, соответствующую матричному уравнению ХА = ВХ. Строится базис

Е = {е1,... ,е3} пространства решений и записывается общее решение X = ^ агег.

г=1

Теперь нужно, варьируя коэффициенты аг, г = 1,... ,э, найти среди решений невырожденную матрицу X. Нам известно, что невырожденное решение существует. Тогда можно воспользоваться следующей леммой.

Лемма 1 (лемма обратимости [7, Ьешша9]). Пусть элементы е1,...,е3 кольца

матриц М(п, Fq) таковы, что некоторая их линейная комбинация У] агег с коэффи-

г=1

циентами из Fq является обратимой матрицей. Если коэффициенты выбираются в соответствии с равномерным распределением на Fq, то вероятность получения невырожденного решения будет не меньше чем р =1 — п/д.

Метод эффективен, если п существенно мало по отношению к q.

1.3. Метод нелинейного разложения Данный метод введён автором в [11] как дополнение к методу линейного разложения. Он работает в тех случаях, когда группа не допускает представления матрицами или это представление имеет слишком большой размер для возможного использования. Конечно, здесь также предполагается выполнение ряда условий, связанных

с разрешимостью проблемы вхождения в конечно порождённые подгруппы группы, выбранной в качестве платформы для криптографической схемы. Эти условия, как правило, выполняются в конечно порождённых нильпотентных и полициклических группах, часто предлагаемых для такого применения в последние годы. Относительно соответствующей теории см. [6], приложения можно найти в [4, 5, 12].

Метод нелинейного разложения при некоторых естественных предположениях о группе G (прежде всего, они касаются эффективной разрешимости проблемы представления элемента конечно порождённой подгруппы в виде слова от её порождающих элементов) эффективно решает перечисленные выше три проблемы, аналогичные проблеме Диффи — Хеллмана.

1.4. Примеры использования методов линейного и нелинейного разложения

Рассмотрим общую схему, под которую подпадает большое число алгоритмов, использующих двусторонние домножения. Далее приведены два примера конкретных протоколов, показывающие широкую применимость методов линейного и нелинейного разложения для построения алгоритмов криптографического анализа.

Общая схема алгоритмов, использующих двусторонние домножения

Данный раздел основан на работе автора [13]. Большинство известных схем алгебраической криптографии, использующих двусторонние домножения, являются частными случаями одной общей схемы (см. описание ниже). Часто такие схемы строятся на группах, являющихся подгруппами линейных пространств, например на матричных группах. Метод линейного разложения позволяет эффективно вычислять в данном случае распределяемый ключ или передаваемое сообщение без вычисления секретных параметров [1-4, 14-17]. Далее описаны некоторые основные элементы такого вычисления и приведены примеры его использования.

Некоторые такие схемы предложены М. Андрекутом [18], Л. Гу и др. [19, 20], Б. и Т. Харли [21, 22], В. Шпильрайном и А. Ушаковым [23], Е. Стикелем [24], Х. Вангом и др. [25]. Ряд схем описан в [26, 27]. Схемы, использующие сопряжения, например известная схема Ко — Ли и др. [28], рассматриваемая как некоммутативный аналог классической схемы Диффи — Хеллмана [29], также могут анализироваться указанным способом.

Пусть G — группа, выбранная в качестве платформы для схемы распределения ключа. Предположим, что G — подмножество конечномерного линейного пространства V. Два корреспондента, Алиса и Боб, соглашаются относительно элемента h Е G и двух конечно порождённых подгрупп A и B группы G, заданных конечными множествами порождающих элементов. Предположим, что любой элемент a Е A перестановочен с любым элементом b Е B. Все эти данные открыты.

Корреспонденты, начиная с h, попеременно публикуют элементы вида <pa,a,' (u) = = ana1, где a, a1 Е A (Алиса), и (u) = bub1, где b,bb Е B (Боб), а u равен h или совпадает с одним из ранее построенных элементов. Алиса, как и Боб, может публиковать сразу несколько элементов. Распределённый ключ имеет вид

к = ^cl,c'l (^cl-1,c'l_1 (... (^c1,c'1 (g)))) = Cici-1... cigc[... dl-1dl,

где каждая пара (ct, cCt) совпадает либо с парой вида (a, a'), a, a' Е A, либо с парой вида (b,b'), b,b' Е B.

Криптоанализ общей схемы

Следующая лемма говорит о возможности эффективного построения базиса линейного подпространства пространства V, порожденного элементами группы G определённого вида. Различные версии этой леммы доказаны в [1-4, 13], см. также [6].

Лемма 2. Пусть A — конечно порождённая подгруппа группы G, являющейся подмножеством конечномерного пространства V над полем F, и h — фиксированный элемент из G. Предположим, что все основные операции в V, то есть сложение и умножение на скаляр, эффективно вычислимы. В этом случае эффективно строится базис E = {ei,...,es} любого линейного подпространства Lin(AhA), порождённого всеми элементами вида aha', где a, a' Е A.

Следующая лемма является ключевым утверждением для алгебраического криптоанализа схем с двусторонними домножениями. Предполагается выполнение условий, данных выше.

Лемма 3. Пусть v = pа,а' (u), где a, a' Е A — закрытые параметры Алисы. Тогда для любого элемента w = pb,b (u), где b,b' Е B (другими словами, w Е BuB), эффективно строится элемент z = раа' (w). Построение этого элемента основывается на структуре линейного пространства V.

Пример 1. Рассмотрим протокол Ванга и др. из [25]. В нём корреспонденты выбирают в качестве платформы одну из групп Bn кос Артина. В 1990 г. Р. Лоуренс описала семейство представлений групп Bn матрицами. Примерно через 10 лет С. Бигелоу [30] и Д. Краммер [31] независимо доказали линейность групп Bn. В частности, было установлено, что представления Лоуренс pn : Bn ^ GLn(n-1)/2(Z[t±1, s^1]) являются вложениями для любого n Е N. Они стали называться представлениями Лоуренс — Краммера. Образ pn(g) эффективно строится по любому g Е Bn. Более того, существует эффективная процедура восстановления косы g Е Bn по её образу pn(g). В [9] показано, что это может быть сделано за O(2m3 log dt) умножений элементов матриц pn(g). Здесь m = n(n — 1)/2 и dt — параметр, эффективно вычислимый по pn(g) (см. [9] относительно деталей).

Таким образом, можно предположить, что G является частью линейного пространства V.

Перейдём к описанию протокола. Алиса и Боб выбирают группу G и случайный элемент h Е G. Также они выбирают две конечно порождённые подгруппы A и B группы G, такие, что ab = ba для любой пары элементов a Е A и b Е B. Эти данные открыты.

Алгоритм.

1) Алиса выбирает элементы c1,c2,d1,d2 Е A, вычисляет и публикует x = d1c1hc2d2 для Боба.

2) Боб выбирает элементы f1, f2, g1, g2, g3, g4 Е B, вычисляет и публикует y = = gff g2 и w = g3f1xf2g4 для Алисы.

3) Алиса выбирает элементы d3, d4 Е A, вычисляет и публикует z = d3c1yc2d4 и u = d-1wd-1 для Боба.

4) Боб вычисляет и публикует v = g- zg- для Алисы.

5) Алиса вычисляет распределённый ключ Ka = d-1vd-1 = c1f1hf2c2.

6) Боб вычисляет распределённый ключ Kb = g-1ug-1 = c1f1hf2c2 равный Ka.

7) Распределённый ключ: K = Ka = Kb .

Криптоанализ.

Протокол использует следующие преобразования:

^й\С\,С2й2 , ф91/1,/292 , ф9з/1,/294 , ф(1зС1,С2(14 , ф91_,42 , Ф 91,92 '

Прямым вычислением получаем выражение К:

К = Фс1/1,/2С2 (К) = (фй1С1,С2й2 (Ф-1^д2 (Фд1/1,/292 (К)))).

Покажем, что ключ К эффективно вычислим по леммам 2 и 3. Выход первого преобразования у = фд1/1,/292 (К) открыт. Выход второго преобразования ф"д2 (у) эффективно вычислим:

Ь = Ф~91,92 (г) & У е ^ Ф—1 ^92 (у) = /1К/2. Выход третьего преобразования эффективно вычислим:

X = Ф<11С1,С2<12 (К) & !\К!2 е ВНЕ ^ Ф^СЬС2^2 (№/2) = й!в 1/^/2^2. Выход четвёртого преобразования эффективно вычислим:

и = Ф"142 (т) & й 1е 1/\hf2C2d2 е ВтВ ^ (й 1С 1/^/2^2) = с 1/^/202 = К.

Таким образом вычислен К.

Пример 2. Следующий протокол Махалонобиса [32] можно рассматривать как некоммутативный аналог классического протокола Масси — Омуры. Естественно предположить, что в группе О эффективно выполнимы основные операции умножения и взятие обратного, а также что эффективно задаются автоморфизмы группы О, для которых эффективно вычисляются обратные элементы. Также необходимо считать, что в группе эффективно разрешима проблема равенства.

Алиса и Боб выбирают группу О и конечно порождённую абелеву подгруппу Б её группы автоморфизмов Аи^О). Алгоритм.

1) Алиса выбирает (случайным образом) автоморфизм а е Б, вычисляет и публикует элемент а(К) для Боба.

2) Боб выбирает случайным образом автоморфизм в е Б, вычисляет и публикует элемент в(а (К)) для Алисы.

3) Алиса вычисляет элемент а-1(в(а(К))) = в(К), затем выбирает случайным образом автоморфизм 7 е Б, вычисляет и публикует элемент 7(в(К)) для Боба.

4) Боб вычисляет элемент в_1(7(в(К))) = 7(К), являющийся переданным ему ключом.

Криптоанализ.

Предположим, что можно эффективно выбрать из элементов вида в(/), в е Б, где / е О — фиксированный элемент, конечное множество порождающих элементов {Хг(/) : Хг е Б, г = 1,... ,к} подгруппы Б/ = gp(sf : в е Б), а также эффективно записать через эти порождающие элементы любой элемент группы Б/.

Пусть / = в (а(Н)). Тогда можно найти выражение открытого элемента в (К)) = = в(1(И)) в виде значения некоторого слова и(\1(/),... , Хк(/)). Вынося за значение слова и автоморфизм в и сокращая на него обе части, получим требуемое значение 7(К) = и(Х1(а(К)),... , Хк(а(К)). Значит, это значение можно вычислить по слову и, автоморфизмам Хг, г = 1,... , к, и открытому элементу а(К).

2. Способы защиты от атак, использующих линейную алгебру

Данный раздел основан на работе автора [33]. Далее введено понятие множества маргинальных наборов, соответствующих выражению и значению группового слова и в группе О, существенно обобщающему понятие маргинальной подгруппы и)*(О), определяемой и в О. На основе этого понятия вводится новая улучшенная версия знаменитого ААО-протокола Аншель — Аншеля — Гольдфельда [34]. Улучшенная версия, в отличие от оригинальной, оказывается защищённой относительно ярап-метода. Она основана на смешанной проблеме вхождения-сопряжённости, в то время как оригинальная версия базируется на трудной разрешимости проблемы поиска сопрягающего элемента.

Дадим краткое описание оригинальной версии ААО -протокола. Рассматривается группа О, для которой фиксируются открытые наборы элементов а = (а1,... ,ак) и Ь = (Ь1,... ,Ь). Алиса выбирает закрытый элемент и Е gp(a ]^,...,ак) и публикует набор Ьи = (Ьи,... ,Ьи). Боб выбирает закрытый элемент V Е gp(Ь1,... ,Ь) и публикует набор а" = (а\,... , ак). Затем каждый из корреспондентов вычисляет элемент

и- 1 и(а\,... ,а"к ) = v(Ьu1,...,Ь'¡l)- 1V = [и,ь\,

являющийся распределённым ключом.

2.1. Маргинальные множества

Определение 1. Пусть и = и(х 1,...,хп) обозначает групповое слово от п переменных, О — группа и д = (д1,...,дп) — набор её элементов. Говорим, что набор с = (с1,...,сп) Е Оп является маргинальным набором, определяемым и и д, если имеет место равенство

и(с1д1,... ,спдп) = и(д1,... ,дп).

Будем писать с ^ и(д) в этом случае. Множество С С Оп называется маргинальным по отношению к и и д (С ± и(д)), если с ± и(д) для любого набора с Е С.

В общем случае маргинальное множество С, С ^ и, не является подгруппой. Оно может быть выбрано как множество без всякой структуры, в случае бесконечной группы оно может быть выбрано нерекурсивным.

Дадим простой и эффективный способ построения маргинального множества С по слову и. Этот способ универсален, так как он не зависит от структуры группы О.

Пусть и = и(а1,..., ак) = а1 а2 ... ак, аг Е О, % = 1,... ,к, —выражение через произведение элементов произвольного слова f Е О, при этом допускаются равенства аг = а^ или аг = а-1 для % = ]. Выражение не обязано быть редуцированным. Рассмотрим уравнение

Х1а1Х2а2 ...хк ак = f. (1)

Любое решение этого уравнения может быть включено в маргинальное множество С, С ^ и. Зафиксировав какое-то % и выбрав произвольные значения х^ = с^, ] = %, с^ Е О, можно получить решение уравнения (1), полагая

Хг = а-- 1с--1 . . . а- с- ,[а- ск ... а—1сг-+1. (2)

Улучшенная версия ЛЛО-протокола

Предположим, что два корреспондента, Алиса и Боб, хотят распределить между собой ключ. Они выбирают открытую группу О, эффективно заданную порождающими элементами и определяющими соотношениями. Группа О используется как платформа

для распределения ключа. Как обычно, предполагаем, что операции в группе вычисляются эффективно и что в группе О эффективно разрешима проблема равенства.

Для распределения ключа корреспонденты действуют следующим образом.

Алиса выбирает натуральное число к и набор элементов а = (а1,... , ак). Эти данные открыты. Затем она выбирает секретное групповое слово и = и(х1 ,...,Хк) и вычисляет его значение и(а) = и(а1,...,ак) в группе О. Она строит также маргинальное множество С С Ок, С ^ и(а). Боб фиксирует натуральное число I и выбирает открытый набор элементов Ь = (Ь1,... ). Затем он выбирает секретное слово V = v(y1,... ,у1) и вычисляет его значение v(Ь) = v(Ь1,... ,Ь) в группе О. Далее он строит открытое маргинальное множество й С О1, й ^ v(Ь). Всё это составляет установку системы для распределения секретного ключа между корреспондентами. Впрочем, она может быть измененена, как объясняется далее.

Замечание 1. Алиса публикует элементы а1,... ,ак как ап(1),..., ап(к), где п Е Е §к — случайная подстановка. Та же самая подстановка применяется к элементам набора с Е С. Боб действует аналогичным образом.

Виртуальные и скрытые элементы. Алиса может ввести виртуальные элементы Н, не задействованные в записи и(а). Затем она может присоединить соответствующие виртуальные компоненты к с Е С, С ^ и. Например, она может присоединить ряд виртуальных элементов и соответствующих компонент с целью скрыть длину слова и, или завуалировать уравнение (2), или выбрать элемент Н с большим централизатором, или, наоборот, с малым централизатором, чтобы сделать решение проблемы более затруднительным для потенциального взломщика систем. Боб действует аналогично.

Алиса может также скрыть некоторые элементы аг следующим образом. Пусть аг = а^ и соответствующие им компоненты любого из элементов маргинального множества равны между собой, то есть сг = с^ для всех с Е С. Тогда Алиса может не публиковать некоторые а^, исключая соответствующие ]-компоненты из с. Необходимая информация восстанавливается очевидным образом. Боб может действовать аналогично.

Эти операции рекомендуются. После их выполнения параметры к и I заменяются на новые параметры к' и I'.

Алгоритм.

1) Алиса выбирает набор с1 = (¿1,... ,¿¡1) Е й и вычисляет ¿Ь = (¿1Ь1,..., ¿уЬу). Затем она посылает набор dЬ= ((¿1Ь1)и(а"),..., (¿уЬу)и(а)) Бобу.

2) Боб выбирает набор с= (с1,... , ск) Е С и вычисляет са = (с1а1,... , скак). Затем он посылает набор са"(Ь = ((с1а1)"(ь'1,..., (ск/ак)"(ь)) Алисе.

3) Алиса, используя скрытые компоненты, вычисляет значение

и(а)-1и((с1а1)"(Ь),..., (ск ак)"(Ь) = и(а)-1и(с1а1,..., ск ак )"(Ь) = [и(а)^ф)\.

4) Боб аналогично вычисляет

v((dlЬl)u(a),..., (¿Ь )и(а))-^ф) = ^(¿1Ь1,...,йЬ1)и(а))-^(Ь) = [и(а)^ф)\.

Коммутатор К = [и(а)^(Ь)\ является секретным распределённым ключом.

Криптоанализ.

Определение 2. Проблема вхождения-сопряжённости разрешима в О по отношению к С С Ок, если существует алгоритм, решающий для двух любых наборов

a = (ay,... , ) и f = (fy,... , fk) элементов группы G, существует или нет элемент y Е G, такой, что (fy a-1,... , fk a-1) Е C. Короче говоря, существует ли y Е G, для которого fy a-1 Е C ? Соответствующая проблема поиска — это вопрос о существовании алгоритма, находящего решение указанной проблемы, если такое решение существует.

Предложенная версия AAG-протокола основывается на трудной разрешимости поисковой проблемы вхождения-сопряжённости в случае, когда C — маргинальное множество, C ^ u(ai,... , ak), для неизвестного слова u(xy,... ,xn) (или аналогично, когда D — маргинальное множество, D ^ v(by,... , b¡)). В самом деле, предположим, что взломщик находит с' Е C и y Е G, такие, что cav(b) = cCay, и аналогично находит d' Е D и x Е G, такие, что dbu(a = d/bx. Тогда он может вычислить распределяемый ключ K = [x,y] = [u(a),v(b)], как в оригинальной версии AAG.

Существуют также другие проблемы, которые следует решить перед тем, как пытаться взломать предложенный алгоритм. Присутствие виртуальных и скрытых элементов не позволяет вычислить длины слов u и v. Заметим, что каждое решение уравнения (1) является решением уравнения вида aiai+i... ak ai... ai-i = f, i = 2,... ,k, а также ряда других уравнений. Следовательно, открытые данные не позволяют определить f v(b\ даже если взломщик знает длину v и все буквы v(b) вместе с их кратностью.

ЛИТЕРАТУРА

1. Романьков В. А. Криптографический анализ некоторых схем шифрования, использующих автоморфизмы // Прикладная дискретная математика. 2013. №3(21). С. 35-51.

2. Романьков В. А. Алгебраическая криптография. Омск: ОмГУ, 2013.

3. Myasnikov A. and Roman'kov V. A linear decomposition attack // Groups, Complexity, Cryptology. 2015. V.7. P. 81-94.

4. Романьков В. А., Обзор А. А. Общая алгебраическая схема распределения криптографических ключей и её криптоанализ // Прикладная дискретная математика. 2017. №37. С.52-61.

5. Романьков В. А., Обзор А А. Метод нелинейного разложения для анализа криптографических схем, использующих автоморфизмы групп // Прикладная дискретная математика. 2018. №41. С. 38-45.

6. Roman'kov V. A. Essays in Algebra and Cryptology. Algebraic Cryptanalysis. Omsk: OmSU, 2018.

7. Tsaban B. Polynomial-time solutions of computational problems in noncommutative-algebraic cryptography // J. Cryptology. 2015. V.28. P. 601-622.

8. Ben-Zvi A., KalkaA., and Tsaban B. Cryptanalysis via algebraic spans // CRYPTO 2018. LNCS. 2018. V. 10991. P. 1-20.

9. Cheon J. H. and Jun B. A polynomial time algorithm for the braid Diffie — Hellman Conjugacy Problem // CRYPT0-2003. LNCS. 2003. V. 2729. P. 212-225.

10. Tsaban B. The Conjugacy Problem: Cryptoanalytic Approaches to a Problem of Dehn. Minicourse, Dusseldorf University, Germany, July-August 2012. http://reh.math. uni-duesseldorf.de/gagta/slides/Tsabanminicourses.pdf.

11. Roman'kov V. A non-linear decomposition attack // Groups, Complexity, Cryptology. 2015. V. 8. P. 197-207.

12. Романьков В. А. Криптографический анализ модифицированной матричной модулярной криптосистемы // Вестник Омского ун-та. 2018. Т. 23. С. 44-50.

13. Roman'kov V. Two general schemes of algebraic cryptography // Groups, Complexity, Cryptology. 2018. V. 10. P. 83-98.

14. Roman'kov V. A. A Polynomial Time Algorithm for the Braid Double Shielded Public Key Cryptosystems. Bulletin of the Karaganda University. Mathematics Ser. 2016. No. 4(84). P. 110-115. arXiv math.:1412.5277v1 [math.GR], 17 Dec. 2014. 7p.

15. Горнова М. Н., Кукина Е. Г., Романьков В. А. Криптографический анализ протокола аутентификации Ушакова — Шпильрайна, основанного на проблеме бинарно скрученной сопряжённости // Прикладная дискретная математика. 2015. №2(28). С. 46-53.

16. Романьков В. А. Метод линейного разложения анализа протоколов скрытой информации на алгебраических платформах // Алгебра и логика. 2015. Т. 54. №1. С. 119-128.

17. Roman'kov V. A. and Menshov A. V. Cryptanalysis of Andrecut's Public Key Cryptosystem. arXiv math.: 1507.01496v1 [math.GR], 6 Jul 2015, 5p.

18. Andrecut M. A Matrix Public Key Cryptosystem. arXiv math.:1506.00277v1 [cs.CR], 31 May 2015. 11 p.

19. Gu L., Wang L., Ota K., et al. New public key cryptosystems based on non-abelian factorization problems // Security and Communication Networks. 2013. V. 6. P. 912-922.

20. Gu L. and Zheng S. Conjugacy systems based on nonabelian factorization problems and their applications in cryptography //J. Appl. Math. 2014. Article ID 630607. 10 p.

21. Hurley B. and Hurley T. Group Ring Cryptography. arXiv math.: 1104.17.24v1 [math.GR] 9 Apr 2011. 20 p.

22. Hurley T. Cryptographic schemes, key exchange, public key. arXiv math.: 1305.4063v1 [cs.CR] May 2013. 19 p.

23. Shpilrain V. and Ushakov A. A new key exchange protocol based on the decomposition problem // Algebraic Methods in Cryptography. Contemp. Math. 2006. V. 418. P. 161-167.

24. Stickel E. A new method for exchanging secret keys // Proc. Third Intern. Conf. ICITA 05. Contemp. Math. 2005. V. 2. P. 426-430.

25. Wang X., Xu C., Li G., et al. Double shielded public key cryptosystems. Cryptology ePrint Archive. Report 2014/558. Version 20140718:185200, 2014. P. 1-14. https://eprint.iacr. org/2014/558.

26. Myasnikov A., Shpilrain V., and Ushakov A. Group-Based Cryptography. Barselona, Basel: CRM, 2008 (Advances Courses in Math.).

27. Myasnikov A., Shpilrain V., and Ushakov A. Non-Commutative Cryptography and Complexity of Group-Theoretic Problems. Math. Surveys and Monographs. V. 177. Providence RI: AMS, 2011.

28. Ko K. H., Lee S. J., Cheon J. H., et al. New public-key cryptosystem using braid groups // CRYPTO 2000. LNCS. 2000. V. 1880. P. 166-183.

29. Романьков В. А. Введение в криптографию. М.: Форум, 2012.

30. Bigelow S. Braid groups are linear //J. Amer. Math. Soc. 2001. V. 14. P. 471-486.

31. Krammer D. Braid groups are linear // Ann. Math. 2002. V. 155. P. 131-156.

32. Mahalanobis A. The Diffie — Hellman key exchange protocol and non-abelian nilpotent groups // Israel J. Math. 2008. V. 165. P. 161-187.

33. Roman'kov V. A. An improved version of the AAG cryptographic protocol // Groups, Complexity, Cryptology. 2019. V. 11.

34. AnshelI., AnshelM., and Goldfeld D. An algebraic method for public-key cryptography // Math. Res. Lett. 1999. V. 6. P. 287-291.