CC BY
101
ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА
2013 Математические методы криптографии №3(21)
МАТЕМАТИЧЕСКИЕ МЕТОДЫ КРИПТОГРАФИИ
УДК 512.5; 00326.09
КРИПТОГРАФИЧЕСКИЙ АНАЛИЗ НЕКОТОРЫХ СХЕМ ШИФРОВАНИЯ, ИСПОЛЬЗУЮЩИХ АВТОМОРФИЗМЫ1
В. А. Романьков
Омский государственный университет им. Ф. М. Достоевского,
Омский государственный технический университет, г. Омск, Россия
E-mail: romankov48@mail.ru
Приводится криптографический анализ схем шифрования и распределения ключа, базирующихся на групповых (луповых) алгебрах и градуированных алгебрах с мультипликативным базисом, предложенных в работах С. К. Росошека,
А. В. Михалева и др., А. Махалонобиса и др. Объединяет эти схемы (кроме одной из схем А. В. Михалева и др.) использование в них автоморфизмов. Приводится также криптографический анализ протокола распределения ключа Мегрелишви-ли и Джинджихадзе. Описывается оригинальный метод нахождения шифрованного сообщения или общего ключа, основанный на обычном аппарате линейной алгебры, при условии, что соответствующая платформа может быть выбрана как конечномерная алгебра, например как матричная алгебра над полем. Метод не предполагает нахождения секретных автоморфизмов, фигурирующих в указанных работах. Теоретические основы метода и ряд атак на его основе схем шифрования и распределения ключа, базирующихся на различных обобщениях задачи дискретного логарифма и идей Диффи — Хеллмана — Меркля на некоммутативные группы, изложены в других работах автора. Здесь метод находит новые применения.
Ключевые слова: схема шифрования, групповая алгебра, луповая алгебра, матричная алгебра, градуированная алгебра, дискретный логарифм, обобщения дискретного логарифма, схема Диффи — Хеллмана, протокол ЭльГамаля, автоморфизм.
Введение
Зарождение современной криптографии с открытым ключом обычно связывают с публикацией короткой заметки У. Диффи и М. Хеллмана [1]. В ней авторы не только впервые высказали замечательную идею открытой передачи секретных данных по незащищённым каналам связи без предварительного обмена корреспондентами какими-либо секретами, но также представили соответствующий алгоритм, известный как протокол Диффи — Хеллмана разделения ключа. Протокол впоследствии сыграл не только теоретическую роль, но был реализован в различных практических схемах криптографии. Его популярность в настоящее время нисколько не убавилась. Справедливости ради следует сказать, что, по словам самого М. Хеллмана [2], идея подобного
1 Исследование выполнено при поддержке Министерства образования и науки РФ, проекты № 14.В37.21.0359 и 0859.
распределения ключей принадлежала Мерклю, поэтому сам протокол следует именовать протокол Диффи — Хеллмана — Меркля.
Протокол Диффи — Хеллмана — Меркля (БИМ) работает следующим образом:
— Двое корреспондентов, скажем Алиса (А) и Боб (Б), выбирают конечную группу О и некоторый элемент д этой группы. При выборе А и Б пользуются незащищённым каналом связи, поэтому величины О и д считаются общеизвестными.
— Далее А выбирает случайным образом натуральное число к Е N вычисляет элемент дк и передаёт его по открытому каналу корреспонденту Б. Само число к считается секретным.
— Б поступает аналогично: выбирает I Е N вычисляет и передает А элемент д1. Число I считается секретным.
— Получив элемент д1, А вычисляет элемент (д1 )к = дк/.
— Б делает то же самое, получая дк и вычисляя (дк) = дк/.
— Элемент дк/ считается общим секретным ключом.
Реализация БИМ должна быть такой, чтобы вычисление по данным О, дк, д1 общего ключа дк/ было трудной вычислительной задачей. Эту задачу называют проблемой Диффи — Хеллмана (РБИ). Она тесно связана с проблемой дискретного логарифма (РБЬ): по фиксированному элементу д известной конечной группы О и его степени f = д*, Ь Е N определить число Ь, которое называется дискретным логарифмом элемента f относительно базы д и обозначается 1с^й^ При ограничении 0 ^ Ь ^о^(д), где ог^д) обозначает порядок элемента д, дискретный логарифм Ь = f определён однозначно. Обычно в качестве элемента д берется порождающий элемент конечной циклической группы О = gp(g). В этом случае 1oggf существует для любого элемента f группы О. Если в протоколе БИМ вычислить к = дк или I = д1, то легко
к/
вычисляется и д .
В оригинальной работе [1] и многих последующих работах в качестве платформ О для протокола БИМ использовались мультипликативные группы Гр* простых конечных полей Гр, р — простое, реализованных как кольца вычетов Zp = Z/pZ. Эти группы очень удобны для построения на них БИМ. Во-первых, они циклические, и поэтому при выборе в качестве д порождающего элемента группы Гр дискретный логарифм 1ogg f определён для любого элемента f Е Гр. Во-вторых, их элементы можно записывать стандартными именами вычетов 1, 2,...,р — 1, по которым трудно вычислять их дискретные логарифмы относительно д.
В качестве платформ для БИМ и других протоколов, основанных на трудности разрешимости РБЬ, стали использоваться также мультипликативные группы произвольных конечных полей Гд*, д = рг, р — простое, г — натуральное. Эти группы циклические, их элементы однозначно записываются в виде многочленов из кольца Гр [ж] степени не больше чем г — 1. Вычисления ведутся по модулю неприводимого многочлена Л,(ж) степени г, по которому построено поле Г ~ Гр[ж]/(Л,(ж)).
В дальнейшем в качестве платформ протоколов типа БИМ стали предлагаться кроме циклических и другие конечные группы, среди которых выделились группы эллиптических кривых над конечными полями. Обозначились и бесконечные группы, прежде всего — матричные (линейные) группы над полями, кольцами, алгебрами, затем стали широко использоваться полициклические группы, группы кос Артина и т. д. Кроме групп стали предлагаться полугруппы, лупы и т. п.
Оказалось [3, 4], что обычная проблема дискретного логарифма в группах матриц над полями сводится к кратной проблеме дискретного логарифма в поле, содержащем
все характеристические числа матрицы д, являющейся базой дискретного логарифма. Действительно, характеристические числа матрицы д* являются ^-степенями характеристических чисел матрицы д. Если матрица д приводится к диагональному виду, где на главной диагонали стоят эти характеристические числа, то такое сведение очевидно. В общем случае необходимо использовать более детальные рассуждения относительно жордановой формы матрицы д и её степеней. Есть и другие возможности сведения, о них см., например, в [5].
С самого начала использования некоммутативных групп появились аналоги дискретного логарифма. Наиболее популярным стало использование вместо возведения в степень сопряжения, в дальнейшем стали применяться правые и левые умножения и т. п. На этом строится целый ряд известных протоколов [6, 7]. Базовые протоколы, основанные на трудности решения так называемых проблем поиска, в большинстве своем имитировали классические криптографические схемы Диффи — Хеллмана — Меркля, ЭльГамаля, Масси — Омуры, Фиата — Шамира и т. д. [8-11].
В [5] автор предложил универсальный подход к криптоанализу схем, криптостойкость которых базируется на сложности решения проблем поиска для различных алгоритмических проблем. Оказалось, что в ряде случаев, в том числе для ряда известных протоколов, среди которых протоколы разделения ключа Ко, Ли и др. (сопряжение), протокол Стикелса (двустороннее домножение), итоговый секретный результат протокола (общий ключ или сообщение) можно получить, не решая соответствующих проблем поиска. При этом подходе применяются обычные методы линейной алгебры. Правда, такие атаки возможны, если соответствующий протокол может быть записан на платформе, представляющей из себя кольцо матриц над конечномерной алгеброй над конструктивным полем. В конечном случае это не является ограничением, поскольку можно всё перевести на платформу матриц над конечным полем. Но это часто можно сделать и в бесконечном случае, например в случае групп кос Артина, которые, как известно [12], линейны. Группы кос Артина — один из наиболее популярных объектов в криптографии [13-15]. Также линейны (см., например, [16, 17]) конечнопо-рождённые нильпотентные или, более общо, полициклические группы, которые всё чаще предлагаются в качестве платформ криптографических протоколов. Почти всегда предлагаемые для платформ алгебраические системы так или иначе представляются матрицами, что позволяет проводить атаку этим методом.
Данная работа посвящена криптографическому анализу ряда других протоколов, отличительной особенностью большинства из которых служит применение в них автоморфизмов в качестве как преобразований, так и ключей. Анализ также использует обычные методы линейной алгебры. Соответствующая атака проводится без вычисления параметров криптографической схемы, результат получается совсем другим способом.
1. Основная идея
Для представления основной общей идеи, позволяющей проводить эффективные атаки на схемы разделения ключа и шифрования в случае, когда платформой служит конечномерная алгебра над конечным полем, рассмотрим следующий достаточно простой протокол разделения ключа.
Протокол распределения ключей Мегрелишвили и Джинджихадзе [18] (см. также [19, 20])
Описание
Установка
Корреспонденты А и Б договариваются о выборе векторного пространства V = КП размерности п над полем К2. Далее фиксируется квадратная матрица A размера п х п и вектор V Є V. Эти данные открыты.
Генерация ключей
Корреспондент А выбирает случайным образом натуральное число к, вычисляет и пересылает корреспонденту Б вектор и = vAfc. В свою очередь, корреспондент Б выбирает число /, вычисляет и пересылает А вектор т = vA1.
Затем каждый из корреспондентов вычисляет общий ключ
К = иА1 = тАк = vAfc+^
К р и п т о г р а ф и ч е с к и й а н а л и з с и с т е м ы М е г р е л и ш в и л и и Джинджихадзе
Выпишем векторы V = vA0, vA, ..., vAm до максимально возможной степени т с условием линейной независимости этого набора. Ясно, что т ^ п, поэтому процесс эффективен. Данный набор является базисом линейного пространства 1іп^2 (vAfc, к Є М), порождённого всеми векторами вида vAfc, к Є N. Для этого достаточно доказать, что любой вектор vAfc, к ^ т +1, линейно выражается через данный набор. Поскольку набор V, vA,... , vAm, vAm+1 является первым линейно зависимым набором, вектор vAm+1 допускает разложение вида
т
vAm+1 = ^2 а^\ «і Є К2.
і=0
Пусть уже доказано, что вектор vAfc, к ^ т +1, представим в виде
т
vAfc = £ в^\ ві Є Кг. (1)
і=0
Умножим обе части (1) справа на матрицу A и проведём преобразование с использованием равенства (1):
т т— 1 т т
vAfc+1 = ^2 в^і+1 = ^ в^і+1 + вт Е в^і = вmвoV + Е (ві— 1 + втві^\
і=0 і=0 і=0 і=1
Утверждение о базисе v,vA,...,vAm пространства 1іп^2 (vAfc, к Є М) следует по
индукции.
Теперь можно получить разложение
и = vAfc = а^ + а1vA + ... + аmvAm, аі є . (2)
Заметим, что для получения разложения (2) не нужно знать к, а только и.
После этого подставим в правую часть полученного выражения (2), где все компоненты известны, вектор т вместо V и получим
«0т + аlwA + ... + аmwA — (аoV + аlvA + ... + аmvA )A — vA + — К.
Авторы данного протокола, анализируя его криптостойкость, рассматривали возможность нахождения числа к по уравнению вида ^Ак = и или числа I по уравнению вида -уА1 = и>. Значительное внимание они уделили способам выбора матрицы А достаточно большого порядка, при котором подобные вычисления становятся трудными. Конечно, существуют способы выбора матрицы А порядка 2П — 1. Однако при описанном выше подходе такой выбор не играет существенной роли. Данный пример достаточно хорошо иллюстрирует возможности подхода, основанного на вычислениях в линейных пространствах. В работе [5] дано описание целого ряда известных криптографических протоколов, которые также могут быть атакованы подобным образом. Конечно, конкретные реализации могут выглядеть более сложно, но основная идея проста. Она хорошо работает, если в качестве платформы выбирается конечномерная алгебра над конструктивным (например, конечным) полем. Конструктивность обеспечивает эффективную работу в соответствующем линейном пространстве, вычисление разложения по базису и т. п. В криптографии очень часто в качестве платформ шифрования предлагаются именно конечномерные алгебры над полями. Часто это алгебры матриц. Иногда это группы или полугруппы, допускающие представление матрицами над полем. Достаточно упомянуть группы кос, которые допускают точное представление матрицами над полем.
2. Криптографическая система Росошека [21, 22]
Описание
Установка
Пусть К — конечное ассоциативное кольцо с единицей, группа автоморфизмов Аи К которого некоммутативна. Пусть О — конечная абелева группа с некоммутативной группой автоморфизмов Аи О. Через КО обозначим групповое кольцо группы О с коэффициентами из К.
Корреспондент А выбирает автоморфизм а кольца К большого порядка, а также автоморфизм V группы О также большого порядка. Через С (а) обозначим централизатор элемента а в группе Аи К, а через С (V) — централизатор автоморфизма V в Аи О. Считаем, что оба этих централизатора строго больше, чем подгруппы gp(а) и gp(v) соответственно.
Генерация ключей
Корреспондент А выбирает случайным образом автоморфизм т Е С (а), не принадлежащий gp(a), и автоморфизм ш Е С(V), не принадлежащий gp(v). Затем он задаёт автоморфизм ^ группового кольца КО следующим образом: для любого к Е КО вида к = ай1 $1 + ... + айп#п, где О = {#1,..., $„}, а91 Е К, г = 1,..., п, полагает
к^ = (ай1 ^ +...+< ^
где ^ — случайная подстановка на множестве номеров слагаемых в записи элементов группового кольца, которая в силу коммутативности сложения не меняет сам элемент к, а только форму его записи. Секретным ключом корреспондента А служит автоморфизм <^.
Далее А выбирает обратимый элемент ж Е КО и вычисляет х^ Е КО.
Открытым ключом для А служит (а, V, ж, ж^).
Шифрование
Корреспондент Б для шифрования своего сообщения, закодированного в виде элемента т группового кольца КО, выбирает упорядоченную пару случайных натураль-
ных чисел (і,І), по которым определяет сессионный автоморфизм ф группового кольца КС, полагая для любого элемента к = а51 + ... + айп«п, где а51,..., айп Є К,
л* = ««г' +...+<)«, (3)
где £ есть случайная подстановка на множестве номеров слагаемых. После этого Б вычисляет (ж-1)*, используя открытый ключ А и автоморфизм ф. Набор параметров (і,і, ф) считается секретным сессионным ключом корреспондента Б.
Зашифрованное сообщение т имеет вид
с = ((ж-1)* , т(ж^)*). (4)
Расшифрование
Корреспондент А, получив зашифрованное сообщение (4), вычисляет, пользуясь перестановочностью автоморфизмов ^ и ф, очевидной из их построения, элемент ((ж-1)*)^ = ((ж-1)^)*. Затем, умножив его справа на второй элемент набора с, вычисляет т.
Криптографический анализ системы Росошека
Обозначим через аг Л V7, і,і ^ 0, автоморфизмы алгебры КС, задаваемые указанным выше способом (3). Предположим, что К — алгебра над конечным полем ^ конечной размерности I и что любой автоморфизм кольца К является автоморфизмом К
как алгебры над К Это условие выполнено автоматически, если ^ — простое конечное
поле. Поэтому достаточно требовать, чтобы К было алгеброй над простым конечным полем. В этом случае КС также естественно является алгеброй над ^ конечной размерности т = /юг^С), где ог^С) означает порядок группы С. Любой автоморфизм вида п = А Л ^, Л Є АиіК, ^ Є АиШ, будет автоморфизмом КС как алгебры над К
Определим на группе Ф всех автоморфизмов вида аг Л V7 для произвольного г ^ 0
Г
сферу и шар радиуса г, полагая = (аг Л V7 : і + І = г} и Вг = у 5* соответственно.
*=0
При этом 50 = В0 = (а0 Л V0} = {1}.
Пусть ж — фиксированный ненулевой элемент алгебры КС, выбранный корреспондентом А. Обозначим через жф множество всех элементов алгебры КС вида жп, п Є Ф, другими словами — Ф-орбиту элемента ж. Через V = Ііп^(жф) обозначим линейное подпространство алгебры КС над полем ^, порождённое множеством жф.
Базис пространства V строим последовательно. Сначала полагаем Ь0 = {ж}. Затем расширяем Ь0 до максимального линейно независимого множества Ь1 подпространства V = Ііп^ (жВі). Для этого рассматриваем последовательно в соответствии с лексикографическим порядком элементы жст^', і + І = 1, включая в Ь1 те из них, которые не выражаются линейно через уже включенные до них элементы. Пусть уже построен базис подпространства ^ = Ііп^ (жВр). Рассматриваем последовательно только те элементы вида жст*Л^', і + І = р +1, множества жй'р+1, которые имеют предшественников, т. е. жст* или жст^' в Ьр. Если предшественники не включены в базис, зна-
чит, соответствующие им элементы линейно выражаются через уже рассмотренные элементы. Но тогда рассмотрение элемента жст*Л^', і + І = р +1, не имеет смысла, так как он также линейно выражается через уже рассмотренные элементы. Перебираем элементы последовательно в соответствии с лексикографическим порядком, каждый раз проверяя, выражается ли элемент линейно через уже построенную часть базиса Ьр+1. Если не выражается, то включаем его в Ьр+1, если выражается, то нет. Так как размерность пространства V не превышает т, то через не более чем т включений
возникнет ситуация, когда Ьр = Ьр+1, то есть на очередном (р + 1)-м шаге базис не увеличится. Очевидно, что в этом случае Ьр = Ь. Процесс построения Ь закончен.
Пусть Ь = {ж°дг Ли г : г = 1,...,з}. Вычисляем соответствующее разложение
ж^ = Е а*ж°дгЛ^г, а € ^, г = 1,..., 5. (5)
г=1
Подставим в правую часть выражения (5) вместо ж элемент ж^. Поскольку ^ является автоморфизмом алгебры (достаточно даже — линейного пространства) К О над ^ и перестановочен с любым автоморфизмом из Ф, получаем
Е Л^ = (Е «гЖстЩЛ^
г=1 \г=1
Элемента (ж^ достаточно для получения т.
Комментарий
В работе [22] есть примеры, в которых в качестве К выбирается кольцо матриц М2(^Р), р — простое. Такое кольцо может рассматриваться как алгебра над ^р размерности 4. Если выбрать в нём произвольную матрицу а, а затем применить к ней автоморфизм аг, то образ а0 можно довольно легко записать в виде линейной комбинации над единичной матрицы и матриц д0 при ] = 1, 2, 3. При этом г может быть очень большим. В общем случае предложенная атака будет эффективной, если кольцо К является алгеброй достаточно малой размерности над ^р. При этом порядок группы О должен быть сравнительно небольшим. Эти требования выглядят достаточно естественными. Действительно, работа в групповых кольцах групп большого порядка, да ещё с использованием автоморфизмов, затруднена уже при шифровании и расшифровании. Поэтому основные методы скрытия в подобных системах обычно связывают с достаточно большим кольцом коэффициентов.
Заметим, что в общем случае не обязательно пытаться получить базис Ь полностью. Можно организовать процесс параллельного построения базиса и проверки выразимости через уже построенную часть элемента ж^.
3. Протокол выработки общего секретного ключа Маркова, Михалева, Грибова, Золотых и Скаженика на платформе лупы Муфанг [23]
Напомним вкратце некоторые определения [24-26].
Группоид — непустое множество О с заданной бинарной операцией •. Квазигруппой называется группоид, в котором для любой пары элементов д, / € О однозначно разрешимы уравнения жд = / и дж = /. Лупой называется квазигруппа с единицей. Лупа называется лупой Муфанг, если на ней выполняется тождество (жу)(гж) = (ж(уг))ж.
Приведём некоторые свойства лупы Муфанг [24 - 26]:
1) в лупе Муфанг любые два элемента порождают подгруппу, в частности, лупа Муфанг является лупой с ассоциативными степенями;
2) если для элементов а, Ь, с € О выполнено равенство а(Ьс) = (аЬ)с, то эти элементы порождают в О подгруппу.
Описание
Установка
Пусть О — лупа Муфанг, а,Ь,с € О — её элементы. Эти данные считаются известными.
\ = (ж^ = (ж^.
Алгоритм
1) Корреспондент А выбирает тройку случайных натуральных чисел (т,к,п), затем вычисляет и посылает Б сообщение вида
(М1,М2) = (атЬк ,Ьк сп).
2) Корреспондент Б выбирает тройку случайных чисел (г, 1, 5), вычисляет и посылает А сообщение
Сч г>2) = (аГЬ1, Ьгс5).
3) Получив сообщение от Б, корреспондент А вычисляет элементы
(ат^)Ьк, (Ьк^)сга
4) Подобным же образом Б получает элементы
(аГи1)Ь1, (Ьги2)с5.
Общим ключом корреспондентов А и Б служит
Кав = (ат+Г Ьк+1)(Ьк+1 сга+5).
Объяснение
Утверждение 1 [23]. Если О — лупа Муфанг, а, Ь € О, то для любых показателей к, / , т, п, г, 5 ^ 0 выполнено равенство
(ат (аГ Ь5))ЬП = ат((аГ Ь5 )ЬП) = (аГ (атЬга))Ь5 = аГ ((атЬт)Ь5) = ат+Г Ьп+
Корреспондент А получает ключ Кав с помощью следующих вычислений: (ат^)Ьк = ат+ГЬк+1, (Ьк^2)с5 = Ьк+ сп+5,Кав = (ат+ГЬк+1) ■ (Ьк+ сп+5).
Корреспондент Б получает ключ Кав совершенно аналогично.
К р и п т о г р а ф и ч е с к и й а н а л и з п р о т о к о л а в ы р а б о т к и общего секретного ключа Маркова, Михалева, Грибова, Золотых и Скаженика на платформе лупы Муфанг
Предположим, что лупа Муфанг О содержится в конечномерной алгебре размерности т над полем К В работе [23], например, рассматриваются в качестве возможных платформ для протокола неассоциативные, конечные и простые лупы Муфанг, которые называются лупами Пейджа. Они могут быть вложены в алгебры Цорна размерности 8 над конечным полем.
Возьмём элементы а,Ь,с, фигурирующие в протоколе. Пусть т, к,п, г,/,з — параметры из протокола. Достаточно по известным элементам и1 = атЬк, и2 = Ьксп, ^1 = аГЬ1, ^2 = Ь1 с5 вычислить ат+ГЬк+ и Ьк+ сп+5.
Сначала определим базисы подпространств V! = Нп^(агЬ7 : г,^ ^ 0) и = = Нп^ (Ьрс9 : р, д ^ 0) соответственно. Опишем построение базиса пространства У1. (Базис пространства V2 строится аналогично.) Для этого на множестве {агЬ7} для произвольного г ^ 0 определим сферу радиуса г, полагая = {агЬ7 : г + ] = г}, и
Г
шар радиуса г формулой Вг = у 5*. По определению, 50 = В0 = {1}. Пусть Ь0 = {1}.
*=0
Далее расширяем Ь0 до Ь1 = Нп^В1, просматривая последовательно по лексикографическому порядку элементы из 51, включая в Ь1 те из них, которые не выражаются
линейно через уже включенные. Если базис Ь пространства Нп^(В) уже определён, просматриваем последовательно элементы 5^+1, имеющие уже включенных в базис предшественников. У элемента агЬ7 предшественниками считаются аі-1Ь7 (если і = 0) и аг67-1 (если і = 0). Включаем в базис Ьі+1 те из них, которые не выражаются линейно через уже включенные. Если на некотором этапе Ь = Ьі+1, то Ь = Ь.
Пусть Ь = {аРіЬ9і : і = 1,... , і}. Вычисляем соответствующее разложение
атЬк = Е Ь9і , а Є ^, і = 1,..., і. (6)
і=1
Используя правую часть (6), где все параметры известны, и элемент агЬ1, получим X аі(аРі(агЬг))Ь9і = X) аРіЬ9і^ Ь1 = (аг(атЬк))Ь = ат+гЬк+1.
Точно так же получаем элемент Ьк+1 сп+8. Затем вычисляем искомое произведение КАВ = (ат+г Ьк+1 )(Ьк+1 сга+").
4. Криптографическая система Грибова, Золотых и Михалева [27]
Описание
Установка
Пусть К — ассоциативное кольцо с единицей 1, С — лупа, КС — луповое кольцо.
Корреспондент А выбирает автоморфизм а кольца К большого порядка, а также автоморфизм V лупы С также большого порядка. Через С (а) обозначим централизатор элемента а в группе Ли К, а через С(V) —централизатор автоморфизма V в Ли С. Считаем, что оба этих централизатора строго больше, чем подгруппы £р(а) и gp(v) соответственно.
Генерация ключей
Корреспондент А выбирает случайным образом автоморфизм т Є С (а), не принадлежащий gp(а), и автоморфизм ш Є С(V), не принадлежащий gp(v). Затем он задаёт автоморфизм ^ лупового кольца КС следующим образом: для любого к Є КС вида Н = а51 д1 + ... + айп#п, где # Є С, айі Є К, і = 1,..., п, определяет значение формулой
= ааі #1 + ... + < .
Далее А выбирает элементы ж, а Є КС и вычисляет ж^, а^ Є КС.
Открытым ключом для А служит (а, V, ж, ж^, а, а^).
Шифрование
Корреспондент Б для шифрования своего сообщения, закодированного в виде элемента т групповой алгебры КС, выбирает две упорядоченные пары случайных натуральных чисел (і,і) и (к,1), по которым определяет сессионные автоморфизмы ф и х группового кольца КС, полагая для любого элемента Н = а51 #1 +... + айп#п, где #і Є С, айі Є К, і = 1,..., п,
н* = а;;+... + <, нх = а£ +... + а»; .
После этого Б вычисляет ж*, ах, используя открытый ключ корреспондента А и автоморфизмы ф и х. Набор параметров (і,і, к,/,ф, х) считается секретным сессионным ключом.
Зашифрованное сообщение т имеет вид
с = (ахж* ,т(Юх(ж^)*)). (7)
Б вычисляет также левый аннулятор Лпп((а^)х(ж^)*). Если полученный аннулятор ненулевой, то проводится новая сессия с выбором других элементов а и ж или же выбираются новые сессионные автоморфизмы ф, х.
Расшифрование
Корреспондент А, получив зашифрованное сообщение (7), вычисляет, пользуясь перестановочностью автоморфизмов <^, ф и х, очевидной из их построения, элемент (ах ж* )^ = (а^)х(ж^)*.
Для получения сообщения т корреспонденту А достаточно решить систему линейных уравнений с коэффициентами из кольца К. Однозначность решения обеспечивается тривиальностью левого аннулятора элемента (а^)х(ж^)*.
К р и п т о г р а ф и ч е с к и й а н а л и з к р и п т о г р а ф и ч е с к о й системы Грибова, Золотых и Михалева
Как и в криптографическом анализе протокола выработки общего секретного ключа Маркова, Михалева, Грибова, Золотых и Скаженика на платформе лупы Муфанг, обозначим через аі Л V7, і,і ^ 0, автоморфизмы кольца КС, задаваемые указанным выше способом. Предположим, что КС — алгебра над конечным полем ^ конечной размерности т. Также предполагаем, что любой из рассматриваемых автоморфизм кольца К будет автоморфизмом К как алгебры над К Это условие выполнено автоматически, если ^ — простое конечное поле. Поэтому достаточно требовать, чтобы К было алгеброй над простым конечным полем. Определим на группе Ф всех автоморфизмов вида аі Л V7, і,і ^ 0, для произвольного г ^ 0 сферу и шар Вг радиуса г, как это было сделано в криптоанализе протокола Росошека, описанном выше.
Пусть г — некоторый фиксированный ненулевой элемент алгебры КС. Обозначим через гф множество всех элементов алгебры К С вида гп, п Є Ф, другими словами — Ф-орбиту элемента г. Пусть теперь а, ж — элементы из протокола, аф,жф —их Ф-орби-ты, аф • жф —произведение Ф-орбит.Через V = Ііп^(аф • жф) обозначим линейное подпространство алгебры КС над полем ^, порождённое множеством аф • жф.
Базис Ь пространства V строим последовательно. Сначала полагаем Ь0 = {а • ж}, затем расширяем Ь0 до максимального линейно независимого множества Ь1 подпространства V! = Ііп^(а • жВі и аВі • ж). Для этого рассматриваем последовательно в соответствии с лексикографическим порядком элементы а • ж°іЛ^3, і + і = 1, и а°іЛ^3 • ж, і + і = 1, включая в Ь1 те из них, которые не выражаются линейно через уже включенные до них элементы. Пусть уже построен базис Ьг подпространства V = = Ііп^(аБд • жВр : р + ^ = г). Рассматриваем последовательно только те элементы вида а0 Л^ • ж°іЛ"3, к + I + і + і = г + 1, которые имеют предшественников в Ьг, т. е. либо элемент а0 Лі/ • ж°^3, либо элементы указанного вида, отвечающие наборам индексов (к, I — 1, і,і), (к, /, і — 1,і) или (к, /, і,і — 1). Перебираем их последовательно в соответствии с лексикографическим порядком, каждый раз проверяя, выражается ли элемент линейно через уже построенную часть базиса Ьг+1. Если не выражается, то включаем его в Ьг+1, если выражается, то нет. Так как размерность пространства V не превышает т, то через не более чем т включений возникнет ситуация, когда Ьг = Ьг+1, то есть на очередном (г + 1)-м шаге базис не увеличится. Очевидно, что в этом случае Ьг = Ь. Процесс построения Ь закончен.
Пусть L = {a°Piл^ • ж°ЧгAv<i : i = 1,...,s}. Вычисляем соответствующее разложение
ax • ж^ = Е aaoPiЛ^ • ж°щл^, ai G F, i = 1,..., s. (8)
i=1
Подставим в правую часть выражения (8) a^ вместо a и ж^ вместо ж. Поскольку ^ перестановочен с любым автоморфизмом из Ф, получаем
Е ai(a^)CTPiЛ^ri • (ж^)°щл^ = (Е a
i=1 \i=1
Остаётся, решив систему линейных уравнений, получить m.
Как отмечается в [27], «это нетрудно сделать, если в качестве K взять конечномерную алгебру над полем. Можно в качестве K брать и другие кольца, главное, чтобы можно было решать систему линейных уравнений с коэффициентами из этого кольца».
5. Криптографическая система Маркова, Михалева, Грибова, Золотых и Скаженика на платформе градуированного кольца с мультипликативным базисом [23]
Предварительные сведения
Пусть R — ассоциативное кольцо с единицей 1 G R, G — группа в мультипликативной записи с нейтральным элементом (единицей) e G G. Кольцо R называется G- градуированным, если существует такое семейство аддитивных подгрупп {R0,
а G G} аддитивной группы R, что R = ф R0, R0RT С ROT для всех а, т G G. Ясно,
о-ес
что Re — подкольцо R, а произвольная подгруппа R0 — бимодуль над Re для любого a G G.
Мультипликативным базисом конечномерной алгебры называется такой её базис B, что B U {0} замкнуто относительно умножения.
Описание
Установка
Корреспондент А выбирает градуированное кольцо R относительно конечной группы G с конечным мультипликативным базисом B = {b1,... , bn}. Предполагается, что группы автоморфизмов Aut B и Aut Re достаточно богаты некоммутирующими элементами большого порядка с нетривиальными централизаторами большого порядка. Все эти величины R, G, B, а также градуировка открыты.
Корреспондент А выбирает автоморфизм а кольца Re большого порядка, а также автоморфизм v базиса B также большого порядка. Через C(а) обозначим централизатор элемента а в группе Aut Re, а через C(v) —централизатор автоморфизма v в Aut B. Считаем, что оба этих централизатора строго больше, чем подгруппы gp(a) и gp(v) соответственно.
Генерация ключей
Корреспондент А выбирает случайным образом автоморфизм т G C(а), не принадлежащий gp(a), и автоморфизм ш G C(v), не принадлежащий gp(v). Затем он задаёт автоморфизм ^ алгебры R следующим образом: для любого h G R вида h = abl b1 + ... + abn bn, где abi G Re, i = 1,..., n, определяет
h^ = aT1 bl + ... + abn bra.
Далее А выбирает элементы ж, a G R с нулевыми левыми аннуляторами и вычисляет ж^, a^ G R.
-,ОргЛ Vr
x
,OqiA
(ax • x^)V = (aV)x • (xV)^.
V
Открытым ключом для А служит (а, v, ж, ж^, a, a^).
Шифрование
Корреспондент Б для шифрования своего сообщения, закодированного в виде элемента m кольца R, выбирает две упорядоченные пары случайных натуральных чисел (i,j) и (k,l), по которым определяет сессионные автоморфизмы ф и х кольца R, полагая для любого элемента h = abl 61 + ... + abn6n, где abi G Re, i = 1,..., n,
h* = aj61* + ... + aji, hx = aj‘6? + ... + a£6П‘.
После этого Б вычисляет ж* ,ax, используя открытый ключ А. Набор параметров (i, j, k,/, ф, х) считается секретным сессионным ключом.
Зашифрованное сообщение m имеет вид
c = (ax • ж*, m • (Юх • (ж^)*)). (9)
Расшифрование
Корреспондент А, получив зашифрованное сообщение (9), вычисляет, пользуясь перестановочностью автоморфизмов <^, ф и х, очевидной из их построения, элемент (ax • ж*)^ = (a^)x • (ж^)*.
Для прочтения сообщения m корреспонденту А достаточно решить систему линейных уравнений с коэффициентами из кольца Re. Однозначность решения обеспечивается тривиальностью левого аннулятора элемента (a^)x • (ж^)*, вытекающей из тривиальности левых аннуляторов его сомножителей.
К р и п т о г р а ф и ч е с к и й а н а л и з с и с т е м ы М а р к о в а, Михалева, Грибова, Золотых и Скаженика
Обозначим через аг Л vj, i, j ^ 0, автоморфизмы кольца R, задаваемые указанным выше способом. Предположим, что R — алгебра над конечным полем F конечной размерности m. Также предполагаем, что любой автоморфизм R будет автоморфизмом R как алгебры над F. Это условие выполнено автоматически, если F — простое конечное поле. Поэтому достаточно требовать, чтобы R было алгеброй над простым конечным полем.
Определим на группе Ф всех автоморфизмов вида аг Л vj, i, j ^ 0, для произвольного г ^ 0 сферу и шар радиуса г, как это было сделано в криптоанализе протокола Росошека и системы Грибова, Золотых и Михалева, описанных выше.
Дальнейший анализ буквально повторяет рассуждения из криптоанализа системы Грибова, Золотых и Михалева. Для элементов a, ж G R вычисляется базис подпространства V = linF(a$ • жф): L = {ajPiЛ^г • ж°Чгл^г : i = 1,...,s}. Далее вычисляем соответствующее разложение вида (8). После подстановки в правую часть этого разложения элементов ж^ вместо ж и a^ вместо a и аналогичных вычислений получаем элемент (a^)x • (ж^)*. Затем решаем систему линейных уравнений, получая в итоге m.
6. Протоколы обмена ключом Махалабониса [28]
6.1. Протокол обмена ключом Махалабониса 1
Описание
Установка
Пусть G — группа, g — элемент в G. Пусть Ф и Ф — две подгруппы группы автоморфизмов Aut (G) группы G, элементы которых попарно коммутируют друг с другом, т. е. для любых ^ G Ф, ф G Ф выполняется ^ • ф = ф • <^. Эти данные являются открытыми.
Генерация ключей
1) Корреспондент А случайным образом выбирает автоморфизм ^ Є Ф. Затем вычисляет д^ и посылает этот результат по незащищённому каналу связи корреспонденту Б.
2) Корреспондент Б случайным образом выбирает автоморфизм ф Є Ф. Затем вычисляет д^ и посылает результат по незащищённому каналу связи корреспонденту А.
Распределение ключей
Корреспондент А вычисляет Ка = (д^)^. Корреспондент Б вычисляет Кв =
= (д*Г = (д^ Г
Общий ключ есть К = Ка = Кв = (д^)^.
Криптографический анализ протокола обмена ключом Махалабониса 1
Пусть О — подгруппа группы всех обратимых матриц ОЬга(А) над алгеброй А конечной размерности I над полем К Тогда размерность алгебры МП(А) над полем ^ равна т = I ■ п.
Для простоты считаем, что подгруппы Ф и Ф группы автоморфизмов Аи(О), фигурирующие в протоколе, конечно порождены. Пусть Ф = gp(^1,...,^fc) и Ф = = gp(фl,...,фг). Предположим также, что автоморфизмы подгруппы Ф естественно продолжаются до линейных преобразований линейного пространства Ііп^(О), порождённого группой О в линейном пространстве алгебры МП(А) над К
Тогда для любого г Є N определим сферу (Ф) радиуса г, состоящую из всех групповых слов от порождающих элементов подгруппы Ф длины г. Шар Вг (Ф) ра-
Г
диуса г определяется как у 5ДФ). Как и раньше, 5о(Ф) = {1}, т. е. сфера радиуса 0
і=0
состоит из пустого слова, записывающего единицу группы. Аналогично определяются сферы (Ф) и шары Вг (Ф) подгруппы Ф.
Обозначим через дф множество всех элементов группы О вида дп , п Є Ф, другими словами — это Ф-орбита элемента д. Через V = Ііп^(дф) обозначим линейное подпространство алгебры Мга(^) над полем порождённое множеством дф.
Базис подпространства V строим последовательно. Сначала полагаем Ь0 = {д}. Затем расширяем Ь0 до базиса Ь подпространства VI = Ііп^ (дВі). Для этого рассматриваем последовательно в соответствии с лексикографическим порядком элементы дЛ, Л Є 51 (Ф), включая в Ь1 те из них, которые не выражаются линейно через уже включенные до них элементы. Пусть уже построен базис Ьр подпространства ^ = Ііп^ (дВр). Рассматриваем последовательно только те элементы вида дЛ, Л Є 5р+1(Ф), которые имеют предшественников в Ьр, т. е. если в Л подслово (начиная со второй буквы) Л1 длины р определяет элемент дЛі Є Ьр. Перебираем их последовательно в соответствии с лексикографическим порядком, каждый раз проверяя, выражается ли элемент линейно через уже построенную часть базиса Ьр+1. Если не выражается, то включаем его в Ьр+1, если выражается, то нет. Так как размерность пространства V не превышает т, то через не более чем т включений возникнет ситуация, когда Ьр = Ьр+1, то есть на очередном (р + 1)-м шаге базис не увеличится. Очевидно, что в этом случае Ьр = Ь. Процесс построения Ь закончен.
Пусть Ь = {дЛі, Л^ Є Ф, і = 1,... , в}. Вычисляем соответствующее разложение
£
д^ = Е агдЛі, а є і = 1,..., 8.
і=1
Подставим в правую часть выражения (10) вместо д элемент д^. Поскольку ф перестановочен с любым автоморфизмом из Ф и по предположению продолжается до линейного преобразования пространства Нп^(С), получаем
5 ( *
Е )Л = Е агдлЧ = (д^ = (д^Г
г=1 \г=1 /
Таким образом получен общий ключ протокола.
Комментарий
Предлагаемый криптоанализ, более точно — атака на протокол возможна при двух условиях: точной представимости группы С матрицами над конечномерной алгеброй над полем и возможности расширения хотя бы одной из групп Ф или Ф до группы линейных преобразований подпространства Нп^ (С) пространства МП(А). Это условие не является ограничительным, если С — конечная группа. Действительно, тогда голоморф Но1(С) (полупрямое расширение группы С с помощью её группы автоморфизмов Аи (С)) также конечен и поэтому допускает точное представление матрицами над конечным полем. Все автоморфизмы группы С индуцируются внутренними автоморфизмами группы Но1(С), т. е. сопряжениями. Но любое сопряжение определяет не только линейное преобразование, но и автоморфизм соответствующей алгебры матриц.
Автор [28] предлагает использовать в качестве С конечно порождённую нильпо-тентную группу, ограничиваясь, впрочем, конечными группами в более детальных рекомендациях. Однако, если С — конечно порождённая нильпотентная (или даже более общо — полициклическая) группа, то ее голоморф Но1(С) представим матрицами над кольцом целых чисел Z (значит, и над полем рациональных чисел Q) по теореме Мерз-лякова [29]. Это также снимает ограничение на возможность использования описанной атаки.
6.2. Протокол обмена ключом Махалабониса 2
Описание
Установка
Пусть С — группа, д — элемент в С. Пусть Ф и Ф — две подгруппы группы автоморфизмов Аи (С) группы С, элементы которых попарно коммутируют друг с другом. Данные С, Ф, Ф являются открытыми. Элемент д — секретный.
Алгоритм
1) Корреспондент А случайным образом выбирает автоморфизм ^ Е Ф. Затем вычисляет д^ и посылает этот результат по незащищённому каналу связи корреспонденту Б.
2) Корреспондент Б случайным образом выбирает автоморфизм ф Е Ф. Затем вычисляет (д^)^ и посылает результат корреспонденту А.
3) А вычисляет обратный автоморфизм ^-1 и применяет его к последнему сообщению, получая ((д^)^ = д^. Затем А берёт другой автоморфизм £ Е Ф, вычисляет
(д^)^ и посылает результат корреспонденту Б.
Распределение ключа
Корреспондент Б вычисляет ф-1 и применяет его к последнему сообщению, получая в итоге ((д^)?)^ 1 = д?.
Это и есть общий ключ.
Криптографический анализ протокола обмена ключом Махалабониса 2
Пусть О — подгруппа группы всех обратимых матриц ОЬга(А) над алгеброй А конечной размерности I над полем К Тогда размерность алгебры МП(А) над полем ^ равна т = I ■ п.
Для простоты считаем, что подгруппы Ф и Ф группы автоморфизмов Аи(О), фигурирующие в протоколе, конечно порождены. Пусть Ф = gp(^1,...,^fc) и Ф = = gp(^l,...,^г). Предположим также, что автоморфизмы подгруппы Ф естественно продолжаются до линейных преобразований линейного пространства Ііп^(О), порождённого группой О в линейном пространстве алгебры МП(А) над К
Строим базис Ь подпространства Ііп^((д^)^)Ф точно так же, как в криптоанализе предыдущего протокола. Пусть Ь = |((д^)^)Лі : А* Є Ф, і = 1,... , в}. Получим выражение
8 /в \'Ф
)? = Е «г((д^)Лі = Е «г(д^)ЛЧ , «і Є (11)
і=1 \г=1 /
Отсюда следует равенство
д? = Е аДд^)Л.
і=1
Значит, общий ключ д^ получается подстановкой элемента д^ вместо (д^)^ в правую часть выражения (11).
Заключение
Итак, в работе представлен подход, позволяющий находить передаваемое сообщение или общий ключ в целом ряде криптографических протоколов, базирующихся на конечномерных алгебрах. В ряде случаев протокол, не использующий конечномерной алгебры, можно превратить в протокол, базирующийся на конечномерной алгебре. Например, протокол, основанный на группе кос, можно с помощью известного представления группы кос матрицами превратить в протокол, базирующийся на матричной алгебре над полем. Подобный перевод на матричную платформу почти всегда возможен, если используются конечные алгебраические структуры.
Отличительной особенностью подхода является то, что в нём не вычисляются некоторые ключевые параметры протокола, не решаются соответствующие задачи поиска. Обычное представление о необходимости, а не только достаточности их решения оказывается в целом ряде случаев неверным.
В некоторых достаточно простых случаях эта идея уже высказывалась. Так, анализируя протокол распределения ключей, предложенный У. Романчук и В. Устименко [30], авторы [31] предложили атаку, похожую на описанные выше, а именно: в протоколе из [30] берётся в качестве платформы группа ОЬга(^) над конечным полем К Затем выбираются две коммутирующие матрицы С, О Є ОЬга(^). Пусть д Є — фиксированный вектор. Эти данные открыты.
Корреспондент А выбирает многочлен Р = Р(С, О) Є ^[ж, у], вычисляет и посылает вектор дР корреспонденту Б, который в свою очередь выбирает многочлен Q = ^(С, О) Є ^[ж, у], вычисляет вектор д^ и посылает его А. Корреспондент А вычисляет ключ Ка = (gQ)P = gQP, Б делает то же самое, получая Кв = (дР^ = gPQ. Так как С и О коммутируют, их общим ключом будет вектор К = Ка = Кв.
Потенциальный взломщик, подсмотрев по открытой сети дР, gQ и открытые данные С, О и д, вычисляет матрицу X, такую, что X коммутирует с А и О и, кроме
этого, выполняется равенство gQ = gX. Так как условия на X линейны, такая матрица легко вычислима. Далее легко получить ключ: (gP)X = gXP = gQP = K.
ЛИТЕРАТУРА
1. Diffie W. and Heilman M. E. New directions in cryptography // IEEE Trans. Inform. Theory. 1976. V. 22. P. 644-654.
2. Heilman M. E. An overview of public key cryptography // IEEE Communication Magazine. 2002. Iss. 50. P. 42-49.
3. Menezes A. and Vanstone S. A note on cyclic groups, finite fields, and the discrete logarithm problem // Applicable algebra in Engineering, Communication and Computing. 1992. V. 3. P. 67-74.
4. Menezes A. J. and Wu Y.-H. The discrete logarithm problem in GL(n, q) // Ars Combinatoria. 1997. V.47. P. 23-32.
5. Романьков В. А. Алгебраическая криптография. Омск: Изд-во Ом. ун-та, 2013. 207с.
6. Myasnikov A., Shpilrain V., and Ushakov A. Group-based cryptography. (Advances courses in Math., CRM, Barselona). Basel, Berlin, New York: Birkhauser Verlag, 2008. 183 p.
7. Myasnikov A., Shpilrain V., and Ushakov A. Non-commutative cryptography and complexity of group-theoretic problems. (Amer. Math. Soc. Surveys and Monographs). Providence, RI: Amer. Math. Soc., 2011. 385 p.
8. ElGamal T. A public key cryptosystem and a signature scheme based on discrete logarithms // IEEE Trans. Inform. Theory. 1985. V. IT-31. No. 4. P. 469-472.
9. Menezes A. J., van Oorschot P. C., and Vanstone S. A. Handbook of Applied Cryptography. CRC Press, 1996. 816 p.
10. Koblitz N. A Course in Number Theory and Cryptology. New York, Heidelberg, Berlin: Springer Verlag, 1994.
11. Романьков В. А. Введение в криптографию. Курс лекций. М.: Форум, 2012. 240 с.
12. Krammer D. Braid groups are linear // Ann. Math. 2002. V. 151. P. 131-156.
13. Dehornoy P. Braid-based cryptography // Contemp. Math. 2004. V. 360. P. 5-33.
14. Garber D. Braid group cryptography. Lecture notes of Tutorials given at Braids PRIMA Summer School at Singapore, June 2007. arXivmath.:0711.3941v2[cs.CR] 27 Sep. 2008. P. 1-39.
15. Mahlburg K. An overview of braid groups cryptography // www.math.wisc.edu/~boston/ mahlburg.pdf, 2004.
16. Каргаполов М. И., Мерзляков Ю. И. Основы теории групп. М.: Наука, 1972.
17. Lennox J. C. and Robinson D. J. S. The Theory of Infinite Soluble Groups. Oxford Math. Monographs. Oxford: Oxford Science Publications, 2004.
18. Мегрелишвили Р. П., Джинджихадзе М. В. Однонаправленная матричная функция для обмена криптографическими ключами, метод генерации мультипликативных матричных групп // Proc. Intern. Conf. SAIT 2011, May 23-28, Kyiv, Ukraine. P. 472.
19. Megrelishvili R., Chelidze M., and Chelidze K. On the construction of secret and public-key cryptosystems // Appl. Math., Inform. Mech. 2006. V. 11. No. 2. P. 29-36.
20. Megrelishvili R., Chelidze M., and Besiashvili G. One-way matrix function — analogy of Diffie
— Hellman protocol // Proc. Seventh Intern. Conf. IES-2010, 28 Sept.-3 Oct., Vinnytsia, Ukraine, 2010. P. 341-344.
21. Росошек С. К. Криптосистемы групповых колец // Вестник Томского госуниверситета. Приложение. 2003. №6. С. 57-62.
22. Росошек С. К. Криптосистемы в группах автоморфизмов групповых колец абелевых групп // Фундаментальная и прикладная математика. 2007. Т. 13. №3. С. 157-164.
23. Марков В. Т., Михалев А. В., Грибов А. В. и др. Квазигруппы и кольца в кодировании и построении криптосхем // Прикладная дискретная математика. 2012. №4(18). С. 32-52.
24. Белоусов В. Д. Основы теории квазигрупп и луп. М.: Наука, 1967.
25. Pflugfelder H. O. Quasigroups and Loops: Introduction. Berlin: Heldermann Verlag, 1990.
26. Smith J. D. H. An Introduction to Quasigroups and their representations. Boca Raton, FL: Chapman & Hall/CRC, 2007.
27. Грибов А. В., Золотых П. А., Михалев А. В. Построение алгебраической криптосистемы над квазигрупповым кольцом // Математические вопросы криптографии. 2010. Т. 1. № 4.
С.23-33.
28. Mahalanobis A. The Diffie-Hellman key exchange protocol and non-abelian nilpotent groups // Israel J. Math. 2008. V. 165. P. 161-187.
29. Мерзляков Ю. И. Целочисленное представление голоморфов полициклических групп // Алгебра и логика. 1970. Т. 9. №5. С. 539-558.
30. Romanczuk U. and Ustimenko V. On the PSL2(q), Ramanujan graphs and key exchange protocols // http://aca2010.info/index.php/aca2010/aca2010/paper/viewFile/80/3.
31. Blackburn S. R., Cid C., and Mullan C. Cryptanalysis of three matrix-based key establishment protocols // J. Mathematical Cryptology. 2011. V. 5. P. 159-168.
