Комбинаторно-геометрические подходы к построению схем предварительного распределения ключей (обзор) Текст научной статьи по специальности «Математика»

ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА

2008

Математические методы криптографии

№ 1(1)

УДК 621.394

КОМБИНАТОРНО-ГЕОМЕТРИЧЕСКИЕ ПОДХОДЫ К ПОСТРОЕНИЮ СХЕМ ПРЕДВАРИТЕЛЬНОГО РАСПРЕДЕЛЕНИЯ КЛЮЧЕЙ (ОБЗОР)1

А.В. Черемушкин

Институт криптографии, связи и информатики Академии ФСБ России, г. Москва

E-mail: avc238@mail.ru

В обзоре рассматривается одна из схем предварительного распределения ключей, называемая схемой на основе пресечений множеств или схемой на основе шаблонов. Приводятся известные результаты об их свойствах и указываются способы построения таких схем.

Ключевые слова: блок-схема, схема предварительного распределения ключей, схема пересечений множеств.

Схемы предварительного распределения ключей на основе пресечений множеств являются очень простыми в использовании, не требующими реализации сложных алгебраических операций. Вместе с тем задача их построения оказывается достаточно трудной комбинаторной задачей. Примечательно, что конструкция таких схем явилась источником для применения целого ряда комбинаторных и геометрических понятий. Ниже будут приведены различные известные подходы к построению таких схем.

Под схемой предварительного распределения ключей обычно понимают два алгоритма. Первый определяет значения распределяемых между n участниками некоторых значений, которые будем называть ключевыми материалами, а второй позволяет каждой паре (или группе) участников вычислить значение ключа для организации закрытого сеанса. При этом должно выполняться условие, гарантирующее, что никакая другая группа участников, не включающая первую в качестве подмножества, объединив свои ключевые материалы, не сможет получить никакой информации о ключе.

При n = 2 достаточно передать каждому участнику один и тот же общий ключ. Поэтому далее предполагаем, что n > 2.

Приведем более точные определения.

Пусть U = {1, ... , n} - множество участников; P, F с 2U, P n F = 0, K - множество ключей.

Определение. Схема предварительного распределения ключей (key predistribution scheme) (P, F)-KPS - это пара множеств, называемых группами привилегированных - P и непривилегированных участников - F, такая, что для любой группы P е P каждый участник i, входящий в эту группу, может вычислить ключ kp eK, но никакая группа непривилегированных участников не сможет не только восстановить значение kp, но не сможет получить никакой информации об этом ключе.

Если P состоит из всех подмножеств множества U мощности g, а F - из всех подмножеств мощности w, то будем использовать обозначение (g, w)-KPS. Это такие схемы предварительного распределения ключей, в которых каждая группа из g участников является привилегированной и может сформировать ключ kp, но ни одна группа F из w участников, отличная от P, не может получить никакой информации об этом ключе. Понятно, что должно выполняться неравенство g > w.

Эффективность (g, w)-KPS оценивается величиной, которая называется информационная скорость и определяется как

где U, - случайная величина, принимающая значения из множества возможных значений ключевых материалов, распределяемых i-му участнику, 1 < i < n, H - энтропия.

Так как основным назначением схем KPS является минимизация объема памяти, необходимого для хранения ключей, то представляют интерес также следующие параметры, измеряемые числом бит, необходимых для хранения ключей в центре и у каждого участника. Стойкость схемы можно оценивать суммарным количеством неизвестных бит, необходимых для восстановления ключа kp. Обычно схема считается стойкой, если число бит, которые остаются неизвестными для непривилегированных групп участников, не

1. Основные определения

1 Работа выполнена при поддержке гранта Президента РФ НШ № 8564.2006.10.

меньше некоторого заданного числа т. Пусть р, - суммарная длина ключевых материалов, предоставленных i-му участнику, 1 < i < n, то есть суммарное число бит в их записи (объем памяти для узла). Средний объем памяти схемы KPS в - это среднее арифметическое объемов памяти всех узлов схемы. Общий объем памяти схемы KPS - это суммарная длина всех различных ключевых элементов, хранящихся в центре.

Например, схема KPS с полной матрицей, в которой каждая пара участников обладает одним общим ключом, причем длины всех ключей одинаковы и равны m, имеет параметры

Inn / 1ч R п(п -

Р =------------ , Р = Рi = (n - 1)m , Р =- --------.

n -1 2

Данная схема является эталоном, с которым можно сравнивать другие схемы. Ее называют тривиальной, так как ее использование, фактически, равносильно отсутствию какой-либо KPS.

2. Схемы распределения ключей, основанные на схемах пересечений множеств

Определение. Пусть n > 2. Схема распределения ключей на основе шаблонов KDP(n, k) (key distribution patterns) [1], или схема пересечений множеств SIS (set intersection scheme) [3] в простейшем случае определяется как набор множеств {Si, ..., Sn}, являющихся подмножествами множества {1, ..., k} и удовлетворяющих условию:

(1) если при i, j, r е {1, ..., n} выполнено включение S; n Sj с Sr, то либо i = r, либо j = r.

По KDP(n, ^-схеме легко построить схему (2,1)-KPS. Для этого надо сформировать множество из k секретных ключей и присвоить им номера 1, ..., k. Распределение ключевых материалов осуществляется путем передачи заранее секретным образом каждому абоненту Р, всех ключей с номерами из множества S,. Теперь для формирования общего ключа участники i и j выбирают ключи, номера которых лежат в пересечении Si nSj, а затем вычисляют общий ключ как сумму или как значение хеш-функции от строки, составленной из этих ключей.

Заметим, что при таком подходе информация о номерах ключей каждого участника не является секретной и может передаваться по сети открытым способом.

Определение [1]. Пусть w >1. Устойчивая к сговору w участников, или устойчивая к w-кратной компрометации схема w-CRKDP(n, k) (collusion-resistant KDP) определяется как набор множеств {S1, ..., Sn}, являющихся подмножествами множества {1, ., k} и удовлетворяющих условию:

w

(2) если при i, j, r1, ..., rw e{1, ..., n} выполнено включение St П Sj с ^ St , то либо i e{r1, ..., rw}, либо

t=1

j e{ri, ..., rw}.

Пусть g > 2. Определим теперь групповую схему предварительного распределения ключей.

Определение [1]. w-Устойчивая к сговору схема для групп из gучастников (g, w)-CRKDP(n, k) определяется как набор множеств {S1, ..., Sn}, являющихся подмножествами множества {1, ..., k} и удовлетворяющих условию:

g w

(3) если при i1, ..., ig,p1, ...,pw e {1, ..., n} выполнено включение ^Sj,с ^Sp, , то {ib ..., ig}n{p1, ...,pw} Ф 0.

j=\ 1 j=i J

3. Связь схем KDP и KPS

Пусть B = {B1, ., Bb} - множество подмножеств множества U, называемых блоками, P, F с 2U, P n F = 0. Схему предварительного распределения ключей на основе пересечений множеств (P, F )-KDP можно также определить как систему инцидентности (U, B), удовлетворяющую условию: для всех FeF, таких, что PnF = 0, выполнено

{Bj : P с Bj л F n Bj =0} ^0 .

Последнее условие означает, что для каждой непривилегированной группы участников F найдется блок Bj, включающий всех участников привилегированной группы P, не пересекающийся с F. Данное определение является дуальным к приведенному выше определению KDP(n,q)-схемы. Множество Sj номеров ключей каждого участника в данном случае совпадает с множеством номеров блоков, в которые входит участник j.

Для каждого участника ie U обозначим r = | {{ : i е Bj } ,1 < i < n.

Теорема [6]. Пусть (U, B) - (P, F)-KDP и q - степень простого числа. Тогда существует (P, F)-KPS с ключевым множеством K = GF(q) и информационной скоростью

__________1________

max {r; :1 < i < n}

В данном случае ключ кр для каждой группы P привилегированных участников вычисляется по формуле kP = ^ si , где SjeGF(q) - случайное число, распределяемое каждому участнику, входящему в блок Д (по-

i:P <^Bj

этому каждый участник получает r случайных чисел в качестве своих ключевых материалов).

Можно построить (P, F)-KPS с более высоким значением информационной скорости. Для каждого P е P обозначим

CP =| {Bj : P с Bj }| и DP = max{| {Bj : B с Bj л F n Bj Ф 0} : F n P = 0}.

В результате каждый участник группы P имеет CP общих секретных значений, из которых каждой группе непривилегированных участников известно не более DP.

Теорема [6]. Пусть (U, B) - (P, F)-KDP и m = min{ CP -DP}, P е P. Пусть q - степень простого числа, q > max{CP} -1, P е P. Тогда существует (P, F)-KPS с ключевым множеством K = GF(q)m и информационной скоростью

m

Р =

Доказательство этой теоремы использует понятие (n, m, t, q)-устойчивой (resilent) функции f: GF(q)n ^ GF(q)m , которая остается сбалансированной при фиксации t аргументов, и основано на следующем факте: для любого примарного числа q, q > n - 1, существует (n, т —1, t, q)-устойчивая функция.

4. Построение схем KDP на основе блок-схем

Приведенные выше определения удобно интерпретировать в терминах схем отношений. Напомним, что

конечной структурой инцидентности (P, B, I) называется пара конечных множеств P и B (элементы кото-

рых называются точками и блоками), связанных некоторым бинарным отношением инцидентности I с P х B. Определим t-(v, k, Х)-схему (или t-схему) как структуру инцидентности (P, B, I) с | P | = v, | B | = b, в которой каждый блок имеет мощность k и каждые t точек инцидентны X блокам [14]. Если при 1 < i < t символом X, обозначить число блоков, инцидентных произвольным i точкам, то для таких схем выполняются соотношения

bk = vr, (r = ^i),

f k - i Л ( v - i ^

[ t - i J = lt - i JX, 1 < '■ < ^

В случае схем KDP можно положить P = U = {1, ..., n} и B = {1, ..., k} либо рассматривать дуальное представление, рассматривая номера ключей 1, ..., k как точки, а множества S1, ..., Sn - как блоки. Рассмотрим примеры.

Пример 1. Схема распределения ключей с полной матрицей является KDP(v, b) при v = n и b = f ^ j = 1. Это случай 2-(v, 2, 1)-схемы, соответствующий тривиальной KPS.

Пример 2. KDP(n, n) получается при выборе в качестве S1, ..., Sn всех подмножеств мощности n — 1. Это случай тривиальной 2-(n, n - 1, n - 2)-схемы.

Более сложный пример можно получить на основе биплоскостей. Напомним, что биплоскостью называется симметричная (т. е. b = v и r = k) 2-(v, k, 2)-схема.

Пример 3 [1]. Каждой биплоскости с b = v = ^(r2 — r + 2) блоками соответствует симметричная схема KDP(n, k) с n = k = ’/2(r2 — r + 2), в которой каждое из множеств S1, ..., Sn имеет мощность r. Действительно, каждым двум блокам инцидентны ровно X = 2 точки, а каждым двум точкам инцидентны ровно два блока. Поэтому пересечение каждых двух множеств S, и Sj содержит два номера ключа, причем эта пара номеров ключей лежит только в двух множествах, а именно S, и Sj.

5. Связь с семействами Шпернера

Множество подмножеств множества U = {1, ..., n} называется семейством Шпернера, если ни одно из них не является подмножеством другого. Легко доказывается следующая

Лемма [1]. Семейство {S1, ..., Sn} подмножеств множества U, I U I = k, образует KDP(n, ^-схему в том и только в том случае, если множество {S, n Sj | 1 < i < j < n} образует семейство Шпернера.

Воспользуемся известным результатом Шпернера для доказательства нижней оценки на объем ключевых материалов.

Теорема (Sperner, 1928). Если подмножества Sb ..., Sn множества U, I U I = к, образуют семейство Шпер-

нера, то n <

. Равенство достигается только в случаях, если Sb ..., Sn - все m-элементные подмножест-

ва множества и, где т = к/2 при четном к и т = (к + 1)/2 или (к - 1)/2 при нечетном к.

(п Л ( к

Следствие 1 [1]. Для любой схемы KDP(n, к) выполняется неравенство ^^J ^ ^|_к/2_|,)'

Следствие 2 [1]. Для любой схемы KDP(n, к) каждый абонент должен иметь менее 1о§2 п ключей. Если п > 4, то к > 2 1о§2 п.

Следствие 3 [1]. Для любой схемы KDP(n, к) и любого i выполняется неравенство n-1 <| |, где

rt = | Si |, 1 < i < n.

Из этих оценок получаются следующие минимальные значения min b и min r, для маленьких значений п:

n 3 4 5 6 7 8 9

min b 3 4 5 6 7 7 8

min г,- 2 3 4 4 4 5 5

Еще один тип оценок вытекает из известных комбинаторных соотношений на параметры конфигураций в случае, когда схеме KDP(n, к) соответствует 1-схема, то есть все множества Я, имеют одинаковую мощность, и каждый элемент у, 1 < у < п , входит в одинаковое число г множеств Я,, 1 < г < п. Так, например, из

обобщенного неравенства Фишера вытекает оценка к > п, а также можно показать, что для нетривиальной схемы KDP(n, к) выполняются неравенства г > 3 , | 1 > 3 и | Б п Б^ | > 2 , 1 < г , у < п.

6. Вероятностный алгоритм построения ХБГ

Теорема [3]. Существуют KDP(n, к)-схемы с к< [13 1о§2 п].

Доказательство проводится с помощью вероятностного метода в комбинаторике. В нем множество Б,-строится поэлементно в результате реализации последовательности независимых случайных испытаний по схеме Бернулли с вероятностью успеха р. При таком подходе, в общем случае, множества Б,- имеют различную мощность. При выборе значенияр = 2/3 и к = 13 1о§2 п получаем вероятность успеха не менее 1/2.

Если изменить вероятностную схему и потребовать, чтобы множества Б,- выбирались случайным образом из множества всех подмножеств фиксированной мощности | Б, I = г, то в результате получаются, как правило, более эффективные схемы, содержащие меньшее число ключей. В качестве значения г нужно выбирать то, которое минимизирует вероятность появления «плохих» троек в смысле предыдущей теоремы. В табл. 1 из работы [3] приведены практически вычисленные значения числа ключей для обеих схем.

Таблица 1

Число участников Число ключей (k)

(и) 1 способ 2 способ

50 73 48

75 80 53

100 86 56

200 99 64

500 116 75

Число участников Число ключей (k)

(и) 1 способ 2 способ

103 129 83

104 172 111

105 215 138

106 258 165

108 344 220

Поскольку алгоритм построения схемы KDP(n, к) носит вероятностный характер, то после построения требуется проверить, выполняется ли условие (1). Для этого требуется не более О(п3к) операций. В то же время при очень больших значениях п можно отказаться от этой проверки, так как вероятность построения такой схемы очень мала. Например, при п = 108 и к = 399 она не превышает 1 О-20. В табл. 2 приведены зна-

чения к, при которых выполняются заданные ограничения на величину в вероятности риска построения первым способом схемы с невыполненным условием (1).

Таблица 2

Число абонентов Число ключей (к)

(и) в < 10 10 в < 10 20

500 163 254

103 171 262

104 199 290

105 226 317

106 253 344

108 308 399

Вероятностный алгоритм из предыдущей теоремы можно преобразовать в детерминированный.

Теорема [3]. Схема KDP(n, к) с к < 2 1о§2 п может быть построена детерминированным алгоритмом за О(п3к) операций при использовании памяти объема О(п3).

Как отмечают авторы, полученный детерминированный алгоритм имеет такую же трудоемкость, как и вероятностный, но он не может быть эффективно распараллелен.

7. Схемы КБР, устойчивые к сговору

Рассмотрим теперь примеры схем ш-СЯКОР(п, к).

Схема из примера 1, очевидно, является ш-СЯХВР при всех ш, 1 < ш < п.

Пример 4 [1]. Предположим, имеется 3-(у, к, Х)-схема, параметры которой удовлетворяют неравенству Х2 > ^Х3 (здесь X = Х3). Тогда ей соответствует ш-СИКВР(Ь, у). Действительно, если при і,ує{1, ..., п} и

Т\, ..., г№є{1, ..., п} \ {і, у} выполнено включение Бі п Б}- с ^Б(, то в силу равенств | S¡ пSj | = Х2 и

ї=і

| Бг- п Б^ п Бг | = Х3 при всех 1 < г, < ш получаем противоречие с неравенством Х2 > ^Х3.

Лемма [1]. Пусть ш > 1. Семейство {Бь ..., Бп} подмножеств множества и, I и I = к, образует (ш+1)-

СЯКОР(п, к)-схему в том и только в том случае, если для любой точки у остаточная KDP(n1, к - 1)-схема, полученная из нее удалением одной точки у и оставлением только тех множеств 51, ..., Бпі, которые содержат эту точку, является ш-СИКВР-схемой.

Так как остаточная схема любой г-схемы является (г - 1)-схемой, то из этой леммы вытекает Следствие [1]. Пусть ш > 1. Любая (ш + 2)-схема является схемой ш-СЯКОР.

В качестве общих результатов можно привести следующие оценки.

Теорема [3]. Для любой схемы w-KDP(n, к) выполняется неравенство к > ш(1о§2 п - 1о§2 ш - 1).

Теорема [3]. Существует схема w-KDP(n, к), у которой к < Г((ш+2)и'+3/ 4ш™ 1о§2 п )!.

Следствие [3]. Существует схема w-KDP(n, к), имеющая Г2(ш+2)3 1п п! ключей.

Аналогично рассмотренным выше алгоритмам построения схем KDP может быть предложен алгоритм построения схем w-KDP.

Теорема [3]. Схема w-KDP(n, к) с к < Гш3 1п к! может быть построена детерминированным алгоритмом за О(п3к) операций.

Заметим, что семейства множеств, в которых ни одно из множеств не содержится в объединении ш других, подробно изучались в комбинаторике (см., например, работы [11, 13]).

В работе [5] описаны примеры использования циклических геометрий для построения w-KDP-схем. Ниже будут построены w-KDP-схемы, полученные из инверсных плоскостей и плоскостей Минковского. Отметим, что имеются и другие примеры построения w-KDP-схем, например, на основе плоскостей Лагерра ^а§иегге) [4].

Напомним, что инверсная плоскость (плоскость Мебиуса) является 3-( я2 +1, я +1, 1)-схемой с параметрами V = я2 +1, к = 5 +1, Ь = я( я2 +1), г = я (я +1), Х = я +1 и представляет собой структуру инцидентности, имеющую точки и блоки, называемые окружностями, такую, что выполняются аксиомы:

С1: любая окружность содержит по крайней мере три точки;

С2: для каждых трех различных точек существует единственная окружность, им инцидентная;

С3: если р и д точки, а С - окружность, содержащая р, но не содержащая д, то существует только одна окружность С, содержащая р и д и имеющая с окружностью С одну общую точку р;

С3: существует четыре точки, не принадлежащие одной окружности.

Пример 5 [5]. Рассмотрим структуру инцидентности (Р, В, I) на основе инверсной плоскости порядка й, которая определяется так: множеством точек Р (участников) служит множество всех й2 + 1 точек инверсной

плоскости, а множеством блоков В (ключей) - множество всех s +1) окружностей. Пусть (і) обозначает множество блоков, инцидентных точке і. Тогда каждой паре абонентов і и у соответствует множество (і) п (у), состоящее из окружностей, проходящих через две точки і и]. Если при этом выполнено включение

(і) п 0) с и (г) ,

то так как через три различные точки проходит не более одной окружности, в объединении справа должно быть, по крайней мере, | (і) п (/') | = й + 1 окружностей. Значит, данная структура образует w-KDP-схему при всех ш < й. Для этой схемы ві = (я2 +1) I, где длину ключевого материала I можно положить равной

. В этом случае будет выполнено условие стойкости w-KDP-схемы, которое означает, что после

X - + 1

того, как участников (гь ..., гк] объединят свои ключевые материалы с целью восстановления общего ключа участников г и у, неизвестными останутся по крайней мере т бит. Средний и общий объем памяти схемы будут равны соответственно

в = (б2 +1)

т

б - w +1

в = X1 (X) = (*3 + х)

хеБ

т

Пример 6 [5]. Рассмотрим остаточную структуру инцидентности (Р', В', I), полученную из инверсной плоскости порядка й удалением одной точки и всех окружностей, содержащих эту точку. Тогда, очевидно, она также будет w-KDP-схемой при всех ш < й - 1. Для этой схемы ві = (я2 -1) I , где в качестве длины ключевого материала I можно выбрать величину \ш / (й - ш)!. В этом случае также будет выполнено условие стойкости w-KDP-схемы. Средний и общий объем памяти схемы будут равны соответственно

| В1

р =(*2-1)

т

в = X в; =(*3 -/= 1

б2)

т

б - w

так как число слагаемых в последней сумме равно (я3 + я) - (я2 + я) = я3 - я2 .

Конечной плоскостью Минковского ([14]) называется структура инцидентности с точками, прямыми и окружностями, в которой множество всех прямых разбивается на два класса Ь\ и Ь2 так, что выполняются аксиомы:

М1: каждая точка лежит на единственной прямой из каждого класса Ь\ и Ь2 , каждая прямая класса Ь\ пересекается с каждой прямой класса Ь2 в единственной точке и прямые и окружности пересекаются в единственной общей точке;

М2: любые три точки, из которых никакие две не коллинеарны, инцидентны одной единственной окружности;

М3: если р и д - неколлинеарные точки и если С - окружность, содержащая р, но не содержащая д, то существует только одна окружность С', содержащаяр и д и имеющая с окружностью С одну общую точку р;

М4: существует окружность, содержащая по крайней мере три точки.

Для каждой плоскости Минковского существует целое число й, которое называется порядком плоскости (в этом случае саму плоскость обозначают через М(й)), такое, что:

1) каждая окружность имеет (й + 1) точку;

2) плоскость М(й) имеет (й + 1)2 точек, (й + 1) прямую в каждом из двух классов и й(й2 - 1) окружностей;

3) каждая прямая имеет (й + 1) точку;

4) каждая точка лежит на двух прямых и й(й - 1) окружностях;

5) каждые две неколлинеарные точки лежат на (й - 1) окружностях.

Пример 7 [5]. Пусть 2 < и < й. Рассмотрим структуру инцидентности (Р, В, I) на основе инверсной плоскости Минковского порядка й. Для этого зафиксируем и точек Ль ..., Яи, лежащих на одной прямой. Пусть множеством точек Р (абонентов) служит множество всех точек плоскости Минковского, не лежащих на прямой, содержащих данные точки, а множеством блоков В (ключей) - множество всех окружностей, проходящих через точки [г\, ..., ги}, и некоторую пару точек г и у, лежащих на одной прямой. Тогда паре абонентов г и у соответствует множество окружностей, проходящих через точки г, у и Т\, ..., ги. Данная структура имеет я2 + я точек и и (я3 + я) + (я2 + у)(2у -1)/2 блоков (ключей). При этом имеется ий точек, инцидентных (и - 1)(я -1) + 2э -1 ключам, и я2 + я - ия точек, инцидентных и (я -1) + -1 ключам. Полагаем длину ключевого материала равной I = Гт / (и - - 2 )!, если блок является окружностью, и т в противном случае. При

таком выборе будет выполнено условие стойкости w-KDP-схемы, и она будет иметь следующие параметры:

і=1

и

в =

u(m - 1)s(s -1) + (s + s + us)u(s -1)

m

u - w - 2

+ (2s - 1)m ,

P = u(s - s)

m

u - w

(s + s)(2s - 1)m 2

8. Групповые схемы KDP, устойчивые к сговору

Для групповых схем известны следующие примеры.

Лемма [1]. Пусть g > 1, w > 1. Семейство (Si, ..., Sn} подмножеств множества U, I U I = к, образует (g, w+1)-CRKDP(n, к)-схему в том и только в том случае, если для любой точки j остаточная KDP(n1, k - 1)-схема, полученная из нее удалением одной точки j и оставлением только тех множеств S1, ..., Sn1 , которые содержат эту точку, является (g, w^CRKDP-схемой.

Следствие [1]. Пусть g > 1, w > 1. Любая (g + w)-схема является схемой (g, w)-CRKDP.

Теорема [1]. Число ключей любой (g, w)-KDP(n, к)-схемы удовлетворяет неравенству

к > w(g log2n - log2w - g logzg).

Теорема [1]. Существует (g, w)-KDP(n, к)-схема, у которой k < Г((w + g)w+g+1/ g^w'* log2n )!.

Заметим, что изучаемый в комбинаторике тип (г, j)-семейств без перекрытий, по сути, совпадает с понятием схемы (g, w)-KDP.

Определение. Если X - множество из v элементов, | X | = v, а F - множество его подмножеств (блоков),

I F | = b, то (X, F) называется (г, j)-семейством без перекрытий (cover-free family) и обозначается (г, j)-CFF(v, b), если для любых i блоков B1,..., B; е F и любых j блоков Aj е F выполняется условие

m .

k=1 s=1

Такие семейства были введены в рамках теории кодирования в [9] (см. также [10]).

В работе [8] для построения семейств (i, j)-CFF(v, b) используются системы (i, j)-SS(v,b).

Определение [13]. (i, jypa-зделенная система (separating system) - это пара множеств (X, B), такая, что для всех P, Q с X с условием | P | < i, | Q | < j и P n Q = 0, существует блок B е B, такой, что либо P с B и Q n B = 0, либо Q с B и P n B = 0. Если | X | = v и | B | = b, то используется обозначение (i, j)-SS(v, b).

Определение [8]. (N, n, m, (i,]\)-разделенное семейство хеш-функций (separating hash family) (обозначается как SHF(N; n, m, (i, j}) ) - это множество из N функцийf: Y ^ X, | Y | = n, | X | = m, такое, что для всех f и для любых подмножеств Ci, C2 с (1, 2, ..., n}, | Ci | = i, | C2 | = j и Ci n C2 = 0, существует функция f, такая, что

(f (У) : У е Ci } n (f (У) : У е C2 } = 0.

Лемма [7]. Каждая схема (i, j)-SS(v, b) эквивалентна семейству SHF(b; v, 2, (i, j}).

Теорема [7]. Если существует система (i, j)-SS(v, b), то существует (i, j)-CFF(2v, b).

9. Построение больших схем KDP из малых

В работе [1] указано три способа построения новых KDP(и, к) на основе уже построенных ранее. Не углубляясь в детали, отметим только, что по двум схемам KDP(иl, к]) и KDP(и2, к2) можно построить схему KDP(и, к) с параметрами:

(a) п = п1 х п2, к = к1 + к2;

(b) п = п1 + г1( п2 - 1), к = к1 + к2 - 1;

(c) п = п1 + п2 + (г1 - 1)(г2 - 1) - 1, к = к1 + к2 - 2,

где г1 и г2 - число множеств первой и второй схем соответственно, содержащих произвольную точку (номер ключа). Например, начиная с двух KDP(7, 7), соответствующих двум биплоскостям, каждая из которых является 2-(7, 4, 2)-схемой, с применением этих конструкций можно соответственно построить:

(a) KDP(49, 14), в которой множества Я,- имеют мощность 8;

(b) KDP(31, 13), в которой множества Я, имеют мощность 9;

(c) KDP(22, 12), в которой множества Я, имеют мощность 10.

Утверждение [1]. Если схемы KDP(n1, к1) и KDP(n2, к2) являются w-CRKDP-схемами, то схема KDP(n, к), построенная из них с помощью конструкций (а), (Ь) и (с), также является w-CRKDP-схемой.

В заключение приведем еще один простой и эффективный индуктивный способ построения KDP(n, к)-схем, предложенный Д.Б. Тишуриным и Р.В. Шпаком. Определим матрицу инцидентности KDP(n, к)-схемы

как (0, 1)-матрицу размера пхк, в которой столбцы соответствуют элементам множества Я, а строки - подмножествам 51, ..., 5п, причем единицы стоят на пересечении со столбцами, помеченными элементами подмножества, соответствующего строке. Например, KDP(n, п)-схеме из примера 2 соответствует матрица инцидентности

Г11...10 ^ 11...01 \01--11/

Заметим, что любая перестановка строк и столбцов матрицы инцидентности KDP(n, д)-схемы преобразует ее в матрицу KDP(n, к)-схемы.

Лемма. (0, 1)-матрица размера п х д задает схему KDP(n, к) в том и только в том случае, если для любых трех ее строк найдутся три столбца, на пересечении которых стоит матрица инцидентности схемы KDP(3, 3).

Доказательство. Пусть строкам матрицы соответствуют множества 51, ..., 5п. Тогда утверждение леммы вытекает из следующего очевидного замечания: для любых трех строк г, у, г существование столбца, на пересечении с которым в этих строках стоят элементы 1, 1 и 0 соответственно эквивалентно условию 5, п 5/ Ч 5Г.

Теорема. Если существует KDP(n, к)-схема, то существует и KDP(n2, 3д)-схема.

Доказательство. Пусть имеется KDP(n, к)-схема с матрицей инцидентности А. Для 1 < г < п определим матрицы А, и В,, первая из которых получается из А циклической перестановкой строк вверх на г - 1 шагов, а вторая составлена из одинаковых строк, каждая из которых совпадает с г-й строкой матрицы А. Рассмотрим матрицу

А А в > Г С ]

А А2 В2 = С2

А Ап Вп У V Сп У

Покажем, что эта матрица является матрицей инцидентности KDP(и , 3д)-схемы. В силу леммы достаточно показать, что для произвольных трех строк этой матрицы найдутся три столбца, на пересечении которых стоит матрица инцидентности KDP(3, 3)-схемы.

Если три строки лежат в одной подматрице С, = (А, А,-, Б,), то такие столбцы найдутся в ее первой подматрице, совпадающей с матрицей А. Если три строки лежат в разных подматрицах С,, Су, Ск, то такие столбцы найдутся в подматрицах Б,, Бу, Бк.

Пусть теперь три строки лежат в двух подматрицах С, = (А, А,-, Бг) и Су = (А, А,, Бу). Пусть две строки лежат в подматрице С,, а одна в подматрице Су. Покажем, что найдутся три столбца, на пересечении которых стоит одна из матриц вида

(0 11 ^ (10 1 'І

или

Для удобства будем называть матрицы А, Ai и В, первой, второй и третьей колонками матрицы С,. Если в первой колонке все три строки разные, то такие столбцы найдутся уже в первой колонке. Пусть теперь среди двух строк первой колонки две совпадают. Аналогично, если во второй колонке строки различны, то такие столбцы найдутся во второй колонке. Поэтому предположим, что во второй колонке также две строки совпадают. При этом совпадать может только третья строка с одной из двух первых, причем в первой и второй колонках совпадают разные строки. В третьей колонке всегда совпадают первые две строки, так как они берутся из одной матрицы В,.

Осталось заметить, что в силу основного свойства KDP-схемы в ее матрице инцидентности для любых трех строк, две из которых совпадают, всегда найдется столбец, на пересечении которого с совпадающими строками стоят единицы, а на пересечении с третьей строкой - ноль.

Следствие. Если существует KDP(no, ко)-схема, то для любого натурального г существует KDP(n, к)-

схема с параметрами п = п02 , д = 3‘к0 и к = к0 (10 п)1оЁ2 3.

Доказательство получается применением теоремы г раз. В результате строится схема KDP(n,g) с п = п0 и к = 3( к0. Выражая из этих равенств г и приравнивая выражения, получаем равенство 1п к = 1о§2 3 1п 1о§2 (10 п) + 1п к0, откуда и вытекает требуемое равенство.

Например, начиная со схем KDP(3, 3), KDP(4, 4) и KDP(5, 5), можно построить схемы со следующими параметрами:

n к

81 27

256 36

625 45

6561 81

65536 108

390625 135

43046721 243

4294967296 324

152587890625 405

Оценим объем ключевых материалов, получаемых каждым участником. Если в исходной KDP(и, к)-схеме все множества 51, ..., 5П имеют одинаковое число элементов, равное т, 2 < т < к, то для схемы KDP(и2, 3к) имеем в = ві = 3т, в = 3 к.

Заметим также, что если к матрице инцидентности KDP(и2, 3к)-схемы, построенной из KDP(и, к)-схемы с

использованием предыдущей теоремы, добавить три строки вида (0____________________________01...11...1), (1...10...01...1) и

(1...11...10...0), то получится KDP(и2+3, 3к)-схема. С использованием этого факта можно построить, например, KDP(и, к)-схемы с параметрами _________________________________________

n к

147 27

364 36

787 45

21612 81

132499 108

619372 135

467078547 243

17555985004 324

383621674387 405

ЛИТЕРАТУРА

1. Mitchell C.J., Piper С. Key storage in Secure Networks // Discrete and Applied Math. 1988. 21. P. 215 - 228.

2. Mitchell C.J. Combinatorial techniques for key storage reduction in secure networks // Technical memo. Hewlett-Packard Laboratories. Bristol, 1988.

3. Dyer M., Fenner T., Frieze A., Thomason A. On key storage in secure networks // J. Cryptology. 1995. V. 8. P. 189 - 200.

4. O'Keefe C.M. Applications за finite geometries in information security // Australas. J. Combin. 1993. V. 7. P. 195 - 212.

5. O'Keefe C.M. Key distribution patterns using Minkowski planes // Design, Codes and Cryptography. 1995. V. 5. No. 3. P. 261 - 267.

6. Stinson D.R., van Trung T. Some new results on key distribution patterns and broadcast encryption // Designs, Codes and Cryptography. 1998. V. 14. P. 261 - 279.

7. Stinson D.R., van Trung T, Wei R. Secure frameproof codes, key distribution patterns, group testing algorithms and related structures // J. Statist. Plan. Infer. May 2000. V. 86. No. 2. P. 595 - 617.

8. Stinson D.R., Wei R., Zhu L. New constructions for perfect hash families and related structures using combinatorial designs and codes // J. Combinatorial Designs. 2000.V. 8. No. 3. P. 189 - 200.

9. Kautz W.H., Singleton R.S. Nonrandom binary superimposed codes // IEEE Trans. Inform. Theory. 1964. V. 10. P. 363 - 377.

10. DyachkovA.G., Rykov V.V., RashadA.M. Superimposed distance codes // Problems of Control and Information Theory. 1989. V. 18. P. 237 - 250.

11. Erdosh P., Frankl P., Fiiredi Z. Families of finite sets in which no set is covered by the union of two others // J. Combinatorial Theory. 1982. V. A33. P. 158 - 166.

12. Erdosh P., Frankl P., Fiiredi Z. Families of finite sets in which no set is covered by the union of r others // Israel J. Mathematics. 1985. V. 51. P. 75 - 89.

13. Friedeman A.D., Graham R.L., Ullman J.D. Universal single transition time asynchronous state assignments // IEEE Trans. Comput. 1969. V. 18. P. 541 - 547.

14. Dembovski P. Finite geometries. Berlin; Heidelberg: Springer Verlag, 1968.