Квазигруппы и кольца в кодировании и построении криптосхем Текст научной статьи по специальности «Математика»

ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА

2012 Математические методы криптографии №4(18)

МАТЕМАТИЧЕСКИЕ МЕТОДЫ КРИПТОГРАФИИ

УДК 512.548.7, 512.554

КВАЗИГРУППЫ И КОЛЬЦА В КОДИРОВАНИИ И ПОСТРОЕНИИ КРИПТОСХЕМ

В. Т. Марков, А. В. Михалёв, А. В. Грибов, П. А. Золотых, С. С. Скаженик

Московский государственный университет им. М. В. Ломоносова, г. Москва, Россия E-mail: markov@mech.math.msu.su, alexey.gribov@yandex.ru, pzolotykh@gmail.com

Исследуются различные криптосхемы и коды над ассоциативными и неассоциативными структурами. Построены схема шифрования над градуированным кольцом, криптосхема над лупой Муфанг, протокол выработки общего ключа и линейно оптимальные коды.

Ключевые слова: неассоциативные алгебраические структуры, градуированное кольцо, квазигрупповое кольцо, лупа Муфанг, коммутаторные квазигруппы, схема шифрования, линейно оптимальный код.

Введение

В работе в п. 1 представлены необходимые теоретические сведения. В п. 2 построена криптосхема над градуированным кольцом с мультипликативным базисом. Это обобщает построение криптосхемы над групповым кольцом. При этом неоднозначность выбора градуировки и мультипликативного базиса расширяет множество подходящих алгебраических структур для шифрования. Похожая схема была построена в [1]. В п. 3 построен протокол выработки общего секретного ключа и сконструирована криптосхема, где все вычисления проводятся в лупе Муфанг.

В п. 4 с помощью квазигрупповых колец построены две цепочки линейно оптимальных [n, n — 3, 3]q-кодов для n = 2q и n =2q — 2. Для построения [2q, 2q — 2, 3]q-кодов используется представление кодов Рида — Соломона как идеалов группового кольца Fpn G, где G — это р-элементарная абелева группа порядка pn. В качестве иллюстрации приводятся линейно оптимальные коды, построенные с помощью коммутаторных квазигрупп для группы диэдра Dn.

1. Основные понятия

Приведём основные понятия и утверждения, необходимые для дальнейшего изложения (см., например, [2]).

Определение 1. Группоид — непустое множество с заданной бинарной операцией.

Пусть (G, •) —группоид и a — некоторый элемент из G. Рассмотрим отображения L(a) : G ^ G, R(a) : G ^ G для любого a G G. Определим их следующим образом: xL(a) = x • a, xR(a) = a • x для любых x G G.

Определение 2. Квазигруппа — такой группоид (G, •), что отображения L(a), R(a) являются биекциями для любого a G G.

Это определение эквивалентно следующему: группоид (О, •) называется квазигруппой, если для любых а,Ь Е О уравнения х • а = Ь, а • у = Ь всегда разрешимы, причём однозначно.

Определение 3. Группоид (О, •) называется лупой, если (О, •) является квазигруппой с единицей. Для любого элемента а лупы (О, •) определим элементы ах и ар условиями ах • а = 1 и а • ар = 1

Определение 4. Лупа (Ь, •) с единичным элементом 1 называется лупой Муфанг, если выполняется тождество (ху)(гх) = [х(уг)]х для любых х,у,г Е Ь.

Свойства элементов лупы Муфанг описывает

Теорема 1 [3]. Для элементов лупы Муфанг верны следующие тождества:

1) УХ = УР, что позволяет обозначить ух = ур = у-1;

2) (ху)х = х(ух);

3) (ху)^х)= х[(у^х};

4) (ху)у-1 = х;

5) [(ух)г]х = у[х(гх)};

6) [(хг)х]у = х[г(ху)};

7) (хх)у = х(ху);

8) (ху)у = х(уу).

Лемма 1 [4]. Пусть (Ь, •) —лупа Муфанг, тогда для любых х,у Е Ь

(ху)-1 = у-1х-1.

Доказательство. Ясно, что (ху)-1(ху) = 1. Тогда [(ху)-1 (ху)]у-1 = у-1 = = ((ху)-1)[(ху)у-1} = (ху)-1[х(уу-1)] = (ху)-1х, а следовательно, (ху)-1 = у-1 х-1. ■

Одной из наиболее важных является следующая теорема.

Теорема 2 [3]. Пусть (Ь, •) —лупа Муфанг. Если для х,у,г Е Ь выполняется х(уг) = (ху)г, то х,у,г порождают подгруппу в Ь.

Следствие 1. Любая лупа Муфанг (М, •) является ди-ассоциативной, т. е. любые два элемента порождают подгруппу в М.

Следствие 2. Любая лупа Муфанг (М, •) является лупой с ассоциативными степенями.

Рассмотрим класс луп, который называется лупами Пейджа.

Определение 5. Неассоциативная, конечная и простая лупа Муфанг М называется лупой Пейджа.

Следующее описание луп Пейджа представлено в работе [5]. Пусть — конечное поле. Для а, в Е определим операции •, х следующим образом:

а • в = аф1 + а%в2 + азвз, а х в = (а2вз — азв2, азв1 — а1вз, а1в2 — а2в1).

Алгеброй Цорна ^(д) называется множество (2 х 2)-матриц ^ а^ , где а,Ь Е ^ и а, в Е Ез, со следующей операцией:

а а\ (с = ( ас + а5 а7 + ¿а — в х 5

в Ь) 1 5 ¿) \св + Ь5 + а х 7 в • 1 + Ьd

Все элементы Z (д) с определителем М = аЬ — а в = 1 образуют лупу Пейджа М *(д)

( 1 (0,0,0)' с нейтральным элементом е = I (о 0 0^ 1

Л. Пейдж в [6] показал, что 1М*(д)1 = дз(д4 — 1), когда д чётное, и 1М*(д)| = = дз(д4 — 1)/2, если д нечётное.

Пусть БЬ2(д) —специальная линейная группа (2 х 2)-матриц с определителем, равным 1, над полем . Обозначим через Ь2(д) проективную группу SЬ2(д)/Z(5Ь2(д)). П. Войтеховски [7] доказал следующую теорему.

Теорема 3. Пусть S С Z — множество порядков всех элементов лупы М*(д) и Т — множество порядков элементов Ь2(д). Тогда 5' = Т и порядок элемента

(р 00^ Е М*(д) совпадает с порядком элемента ^ Е Ь2(д) при (а, в) = (0, 0) и

с порядком элемента ^ав Ь^ из Ь2(д) при а = 0.

Введём понятие квазигруппового (лупового) кольца. Пусть К — ассоциативное кольцо с единицей, Ь — лупа или квазигруппа. Рассмотрим множество КЬ, состоящее из

всех формальных сумм вида аг • I (аг Е К), в которых конечное число элементов аг

1вь

отлично от нуля. Два элемента а,Ь Е КЬ считаются равными тогда и только тогда, когда аг = вг для всех I Е Ь.

На множестве КЬ определены операции сложения и умножения следующим образом: если а = ^ аг • I и Ь = ^ вг • I — элементы КЬ, то а + Ь = ^ (аг + вг) • I,

1в1-* lвL lвL

аЬ = атвн)I. Относительно этих операций множество КЬ является неассо-

1вЬ^ га,кеЬ: '

тк = 1

циативным кольцом с единицей. Удобно отождествить I Е Ь с элементом 1 • I Е КЬ, а а Е К — с элементом а • е, где е — единица лупы, тогда К и Ь являются подмножествами в КЬ.

Пусть теперь Я — ассоциативное кольцо с единицей 1 Е Я. Рассмотрим группу О в мультипликативной записи с нейтральным элементом е Е О.

Определение 6. Кольцо Я называется О-градуированным, если существует такое семейство {Яа : а Е О} аддитивных подгрупп Яа аддитивной группы Я, что Я =0 Яа, ЯаЯТ С Яат для всех а,т Е О. Строго градуированным называется

авС

О-градуированное кольцо Я, для которого выполнено равенство ЯаЯТ = Яат для всех

а,т Е О. Однородным степени а называется элемент х Е Яа.

Будем обозначать множество обратимых по умножению элементов в кольце Я символом и (Я).

Лемма 2. Пусть Я = ф Яа — О-градуированное кольцо. Тогда

авС

1) 1 Е Яе и Яе является подкольцом кольца Я;

2) обратный элемент г-1 к обратимому однородному элементу г также однородный;

3) О-градуированное кольцо Я строго градуированно тогда и только тогда, когда 1 Е ЯаЯа-1 для любого а Е О.

Доказательство.

1. По определению ЯеЯе С Яе; поэтому достаточно показать, что 1 Е Яе. Пусть 1 = ^ га, где га Е Яа. Для любого к\ Е Я\ получаем к\ = Н\ • 1 = ^ к\га и

авС авС

к\Та Е Я\а. Поэтому для любого а = е выполнено к\Та = 0. Итак, 1 • га = 0, следовательно, га = 0 для любого а = е. Отсюда 1 = ге Е Яе.

2. Пусть г Е и (Я) П Я\. Если г-1 = ^2(г-1)а, то 1 = гг-1 = ^ т(т-1)а. Так

авС авС

как 1 Е Яе и г(г-1)а Е Я\а, то г(г-1)а = 0 для любых а = Л-1. Но из того, что г Е и (Я) —обратимый элемент, следует соотношение (г-1)а = 0 для а = Л-1, и в итоге г-1 = (г-1 )а-1 Е Я\-1 —тоже однородный элемент степени Л-1.

3. Предположим, что 1 Е ЯаЯа-1 для любого а Е О, и докажем, что градуировка строгая. В самом деле, для любых а,т Е О имеем цепочку равенств

Яат ЯеЯат (ЯаЯа-1 ')Яат Яа (Яа-1 Яат) С ЯаЯт.

Это показывает, что Яат = ЯаЯт, что означает строгость градуировки.

Обратное утверждение очевидно: 1 Е Яе = ЯаЯа-1. ■

Следствие 3. Справедливы равенства ЯеЯа = ЯаЯе = Яа, т. е. Яа есть Яе-бимо-дуль.

Пусть Я — конечномерная некоммутативная алгебра над полем Е.

Определение 7. Мультипликативным базисом конечномерной алгебры Я называется такой её базис В, что В и {0} замкнуто относительно умножения.

Пример 1. Для алгебры (п х п)-матриц Мп(¥) над полем Е естественным мультипликативным базисом является стандартный базис, состоящий из матричных единиц Е^, у которых на ]-й позиции стоит 1, а остальные элементы — нули.

Пример 2. Для любой конечномерной (полу)групповой алгебры ¥О моноида О в качестве мультипликативного базиса можно выбрать моноид О.

Для обобщения предыдущего примера рассмотрим обобщенные полугрупповые алгебры, обозначаемые Т,(А, Я) и введённые в [8]. Здесь А — некоторое конечное множество, снабжённое частичным ассоциативным умножением. В свою очередь, Т,(А, Я) — действительное векторное пространство функций из А в Я. Мультипликативная структура на Т,(А, Я) индуцируется умножением на А.

Пример 3. Любая конечномерная обобщённая полугрупповая алгебра Т.(А,Я) имеет мультипликативный базис — так называемые характеристические функции Хб, 5 Е А.

2. Криптосхемы над градуированными кольцами с мультипликативным базисом

2.1. К о н с т р у и р о в а н и е а в т о м о р ф и з м о в г р а д у и р о в а н н о г о к о л ь ц а

В [9] рассматриваются автоморфизмы лупового кольца КЬ. Из автоморфизмов р Е АиЬ(К) и ф Е АпЬ(Ь) конструируется х Е Аик(КЬ) по следующему правилу: для любого к = аг111 + ... + агп 1п, к Е КЬ, по определению полагается х(^) = = р(аг1 )ф(11) + ... + <р(а1п)ф(1п). Таким образом, если известна структура групп автоморфизмов АпЬ(К) и АпЬ(Ь) по отдельности, то есть возможность строить достаточно много автоморфизмов из Аи(КЬ). Заметим, что даже для произвольного группового кольца полного описания его группы автоморфизмов ещё не получено.

Пусть теперь Я — кольцо, градуированное конечной группой О. По лемме 2 Яе — подкольцо в Я, а по следствию 3 подгруппа Яа есть Яе-бимодуль для любого а Е О. Если описана группа автоморфизмов для подкольца Яе, то в общем случае, фиксируя

p Е Aut(Re), мы ещё не определяем однозначно автоморфизм для всего R. В самом деле, для этого необходимо распространить действие p и на модули Ra и таким образом получить X Е Aut(R). Для этого необходимо, чтобы x(rai ra2) = x(rai )x(ra2) для

vai E Rai , rи2 E Ro~2 , r<Ji r<T2 E R<Ti<T2 .

Но если у кольца R существует мультипликативный базис B над Re, то R = ReB. Поэтому автоморфизм p естественным образом продолжается до автоморфизма х всего кольца R. В силу того, что B образует полугруппу по умножению, зададим ф Е Aut (B) по аналогии с [9]. Этот автоморфизм будет перемешивать сам мультипликативный базис.

Заметим, что в случае (полу)группового кольца, рассматриваемого в естественной градуировке, такая конструкция в точности совпадает с построением его автоморфизма по отдельным автоморфизмам кольца и (полу)группы. Но даже для (по-лу)группового кольца, меняя градуировку или выбирая другой мультипликативный базис, получаем, вообще говоря, уже новые структуры для шифрования со своими автоморфизмами. Это расширяет множество подходящих для криптосхемы структур.

Пример 4. Рассмотрим Mn(F), где F = Rn(K, J) —радикальное кольцо матриц. Пусть K — ассоциативное кольцо с единицей, J — идеал в K, Mn(J) —кольцо (n х n)-матриц над идеалом J. По определению из [10]

Rn(K, J) = NTn(K) + Mn(J), где NTn(K) — нижнетреугольные матрицы над кольцом K. Тогда | Aut(Rn(Zpm, (pd)))l =

= (pm - pm-l)n-i • p(2m-d)Gn +d(n-2), где dim, d < m.

Автоморфизм ф E Aut(B) зададим по правилу ф(Еij) = Ea(i)a(j), причём a Е Sn. Так как Re = F, то Aut(Re) = Aut(F), а следовательно, количество индуцированных автоморфизмов равно

| Aut (Re) | • | Aut (B )i ^ |Sn| • |Aut(Rn(Zpm, (pd)))i = n! • (pm - pm-l)n-1 • p(2m-d>Gn +d(n-2).

Таким образом, данная структура имеет достаточно богатую индуцированную группу автоморфизмов.

2.2. П о с т р о е н и е к р и п т о с х е м ы

Участник A :

1) Выбирает градуированное кольцо R с мультипликативным базисом, такое, что группы автоморфизмов Aut(B) и Aut(Re) некоммутативны. Предполагается, что группы Aut(B) и Aut(Re) достаточно богаты некоммутирующими элементами большого порядка с нетривиальными централизаторами большого порядка. Положим | Aut (B)| ^ ^ ti, i Aut (Re)l ^ t2. Здесь и далее ti — параметры безопасности, которые по предположению экспоненциально зависят от порядка градуированного кольца R.

Фиксирует градуировку и этот базис (в случае, если кольцо допускает несколько различных базисов) с учётом вышеперечисленных условий. Эта информация объявляется по открытому каналу. Обозначим базис через B, а группу, по которой градуировано кольцо, — через G, тогда общеизвестны (yR,B,G).

2) Задает автоморфизм a Е Aut(Re) так, чтобы порядок |a| ^ t3, причём a должен иметь нетривиальный централизатор и ^(a) \ (a)| ^ t4.

Конструирует автоморфизм r Е Aut(B) так, чтобы |r|| ^ t5, причём r должен иметь нетривиальный централизатор и ^(п) \ (r)| ^ t6.

3) Случайно выбирает автоморфизм т Е C(a) \ (a).

4) Случайно выбирает ш Е С(п) \ {п).

5) По т и ш строит секретный автоморфизм р Е АпЬ(Я) так: для любого к Е Я вида к = аь1 Ь1 + ... + аЬпЬп, где аЬ1,... ,аЬп Е Яе, полагает

р(к) = т (аЬ1 )ш(Ь1) +-+ т (аЪп )ш(Ь,п).

6) Выбирает элементы а Е Я, х Е Я с нулевыми левыми аннуляторами. Это условие необходимо для последующей расшифровки.

7) Вычисляет р(х) и р(а).

Таким образом, открытым ключом участника А является

^а, п, х, р(х), а, р(а)^.

Отметим, что при должных параметрах безопасности 13,14,15,16 автоморфизмов, подходящих для открытого ключа, достаточно много. Сформированный открытый ключ участник А передает участнику В по открытому каналу.

Участник В:

1) Выбирает натуральные числа г,], к,1.

2) Используя открытый ключ участника А, получает пары автоморфизмов (аг, п3),

(ак,п1) и по ним строит автоморфизмы ф,х Е АпЬ(КЬ) таким же способом, как и участник А, т. е. для любого к Е КЬ вида к = аг111 + • • • + а\п 1п полагает ф(к) = = а^)п3(¡1)+-+ а’1(агп)п3(1п), Х(к) = ак(ак)п1(к)+------+ ак(агп)п1 (1п). Автоморфиз-

мы ф, Х будем называть сеансовыми.

3) Вычисляет х(а) • ф(х).

4) Вычисляет х(р(а)) • ф(р(х)). Так как элементы а и х были выбраны с нулевым левым аннулятором, то и у этого произведения будет нулевой левый аннулятор.

5) Записывает исходный текст, который надо передать, в виде т Е Я и вычисляет т • [х(р(а)) • ф(р(х))]. При необходимости исходный текст разбивается на блоки и каждый блок шифруется отдельно с разными секретными ключами.

6) Отправляет для А криптограмму

(х(а) •ф(x), т • [х{р(а)) • ф{р(х))]).

Получив криптограмму, участник А расшифровывает её:

1) Используя секретный автоморфизм р, вычисляет д = р(х(а) • ф(х)).

2) Расшифровывает посланный текст, пользуясь тем, что х, фи р коммутируют. Таким образом, участник А знает к = т • [х(р(а)) • ф(р(х))] и р{х(а) • ф(х)). Для расшифровки сообщения т достаточно решить линейную систему т • д = к с коэффициентами из кольца Яе.

В самом деле, так как т Е С (а) \ {а) и ш Е С (п) \ {п), то коммутируют между собой попарно автоморфизмы т и а, а также ш и п. Поэтому коммутируют и сконструированные на их основе автоморфизмы р и ф, р и х. Вследствие этого х(р(а)) • ф(р(х)) = р{х(а) • ф(х)) = д. Кроме того, элемент х(р(а)) • ф(р(х)) выбран с нулевым левым аннулятором. Поэтому система уравнений т • д = к с коэффициентами из кольца Яе имеет единственное решение.

2.3. А н а л и з а т а к н а к р и п т о с и с т е м у

Рассмотрим следующую задачу. Пусть Я — некоторая алгебраическая структура, А — некоторое подмножество автоморфизмов в Аи1 Я, а — случайно выбранный

элемент из А. Предположим, что известно некоторое множество пар (хг,а(хг)), г = 1,... ,п, где Xi Е Я. Требуется найти автоморфизм а' Е А, такой, что а'(хг) = а(х^ для всех г = 1,... ,п. Обозначим эту задачу как &п(А, Я).

Заметим, что при отсутствии существенной информации о множествах А и Я задача &п(А, Я) является вычислительно трудной, поскольку она разрешима только полным перебором всех элементов множества А и проверкой условия а'(х,1) = а(хг), г = 1,... ,п, для каждого выбранного а' Е А.

Рассмотрим некоторые атаки на криптосистему.

Атака только с криптограммой

Пусть криптоаналитик располагает открытым ключом участника А и криптограммой. Перед ним стоит следующая задача: по известным парам (а,р(а)), (х,р(х) найти такой а Е Аи^Я), индуцированный автоморфизмами (а',п'), что р(а) = а(а), р(х) = а(х). К тому же необходимо, чтобы а' Е С (а) \ {а), а п' Е С (п) \ {п).

Построим а. Положим а(а) := р(а), а(х) := р(х). Таким образом, определены а(ах) = а(а) • а(х) := р(а) • р(х) и а(ха) = а(х) • а(а) := р(х) • р(а). Но доопределить а на элемент х(а) • ф(х) можно лишь перебором его образа с последующей проверкой того, что а' Е С (а) \ {а), а п' Е С (п) \ {п). Это вычислительно не легче перебора всех автоморфизмов, индуцированных парами (а',п') Е (С(а) \ {а)) х (С(п) \ {п)), удовлетворяющих начальным условиям а(а) = р(а) и а(х) = р(х). В итоге получаем задачу &с(У, Я), где У — гто множество автоморфизмов Я, полученных с помощью пар (а', п') Е [(С(а) \{а))х (С(,/) \ (п))] , что эквивалентно полному перебору секретных ключей.

Для оценки сложности вскрытия криптосистемы злоумышленником рассмотрим мощность множества, элементы которого необходимо перебрать. Тогда сложность данной атаки равна • Ь6. Поэтому при надлежащем выборе параметров безопасности задача является вычислительно трудной.

В случае, если криптоаналитик располагает несколькими криптограммами, даже при условии фиксированных автоморфизмов а и п задача взлома всё равно сводится к полному перебору секретных ключей, так как предполагается, что они каждый раз выбираются разными.

Атака на сеансовые автоморфизмы ф и х

Другой способ) атаки — найти автоморфизмы ф и х, а затем решить относительно т уравнение т • \\{р(а)) • ф(р(х)У\ = к, где к известен из криптограммы. Пусть ф построен с помощью автоморфизмов (а1, п1), а автоморфизм х — с помощью (а2, п2). Для того чтобы найти ф и х, криптоаналитику необходимо осуществить перебор образов ф(х), х(а), таких, что х(а)ф(х) = к1, где к1 известен из криптограммы, и проверить соотношения (а1 ,п1) Е ({а), {п)) и (а2,п2) Е ({а), {п)). Это вычислительно не легче, чем перебрать пары (а1,п1) Е ({а), {п)) и (а2,щ) Е ({а), {п)) (а это полный перебор соответствующих автоморфизмов) с последующей проверкой условия х(а)ф(х) = к1. Следовательно, определённая выше сложность атаки равна Щ • Щ. При правильном выборе соответствующих параметров безопасности эта задача является вычислительно трудной.

Атака с выбранным исходным текстом

Эта атака основана на попытке криптоаналитика получить х(р(а))ф(р(х)) Е Я с последующим решением уравнения т • х(р(а))ф(р(х)) = к относительно т посредством нового сеанса связи с участником В в качестве участника А. Даже если

участник В повторяет тот же исходный текст т, он должен сконструировать новые сеансовые автоморфизмы ф' = ф и х' = х. Поэтому криптоаналитик получит не т • х(р(а))ф(р(х)), а т • х'(р(а))ф'(р(х)). И даже если он решит новое уравнение относительно х'(р(а))ф'(р(х)), никакой новой информации относительно х(р(а))ф(р(х)) он не получит.

3. Криптосхемы на основе луп

3.1. Протокол выработки общего секретного ключа

Рассмотрим протокол выработки общего ключа, построенный при помощи лупы Муфанг.

Пусть Ь — общеизвестная лупа Муфанг; а,Ь,с Е Ь — общеизвестные элементы. Пусть М, К и N — порядки элементов а, Ь и с соответственно. Протокол выработки секретного ключа выглядит следующим образом:

1. Абонент А выбирает случайные натуральные числа т < М, к < К, п < N и посылает абоненту В пару (п1,п2) = (атЬк,Ьксп).

2. Абонент В выбирает случайные натуральные числа г < М, I < К, в < N и посылает сообщение (ь1,ь2) = (агЬ1,Ь1 с3).

3. Абонент А вычисляет (amv1)Ьk и (Ьку2)сп.

4. Абонент В вычисляет (аТп1)Ь1 и (Ь1п2)с3.

Общим ключом абонентов А и В является

КАб = (ат+г Ьк+1)(ЬШ сп+3).

Непосредственно из теоремы 1 получаем

Утверждение 1. Если Ь — лупа Муфанг, а,Ь Е Ь, то

(ап(аг Ь3))Ьт = ап((аг Ь3)Ьт) = (а3(ап Ьт ))Ь3 = аг ((апЬт)Ь3) = а^Ь3^.

Таким образом, ключ абонента А: КА = ((атv1)Ьk)(Ькv2)cn) = (ат+гЬк+1 )(Ьк+1сп+3) = = КАВ; ключ абонента В: Кв = ((агп1)Ь1)((Ь[п2)с3) = КАВ; КА = Кв.

Отметим, что элементы а, Ь, с лупы Ь являются общеизвестными, а натуральные числа г, к, в,т,1,п — секретными.

Замечание 1. Покажем, что знание одного из секретных чисел достаточно для получения секретного ключа. Действительно, пусть злоумышленник каким-либо обра-гом получил число т, тогда, сделав следующие вычисления: (а-тп1) = Ьк, Ь-кп2 = сп, (y(amv1)Ьk^ (Ьк(V2сп)) = К, злоумышленник получает секретный ключ К.

Таким образом, стойкость протокола не превышает сложности нахождения одного секретного ключа.

Замечание 2. Злоумышленник для нахождения ключа может решить задачу дискретного логарифмирования в подгруппе {а,Ь) С Ь или {Ь,с) С Ь, либо перебо-

ром найти элемент лупы, который является общим ключом.

Для примера рассмотрим класс луп Пейджа.

В качестве а, Ь, с можно выбрать элементы вида

1^ , где п,@,С — примитивные элементы поля . Порядки данных элемен-

тов равны (д — 1)/2.

(С е3 {(0, 0,0) (-

I п еМ / в ^2 |

цо, о, о) п-7 , \(о, о, о) в-1)

3.2. Схема шифрования

Пусть L — конечная лупа и задана последовательность a = [A1,... , As], где Ai Е Lr для некоторого натурального числа г, т. е. Ai = (ai,1,... , ai,r), ai,j Е L. Для каждого i = 1,...,s обозначим через Ai элемент лупового кольца Гaitj Е ZA. Тогда

Л'х ■ ... ■ A's = Y ai l.

Определение 8. Последовательность a = [A1,..., As] называется [s, ^-покрытием для L, если для элемента лупового кольца ail = A1 ■... ■ As выполняются условия: al > 0 для всех l Е L и IAiI = г, i = 1,... , s.

Рассмотрим криптосхему, которая основана на [s, г]-покрытиях лупы Муфанг. Пусть L — конечная лупа Муфанг и a = (ai,j) — [s, г]-покрытие лупы L. В работе [11] показано, что сложность задачи разложения на множители g = a1,j1 ■ a2,j2 ■ a3,j3 ■... ■ as,js в конечной группе G эквивалентна сложности задачи дискретного логарифмирования в группе G. Тогда, в общем случае, задача разложения элемента лупы l Е L на множители l = (a1,j1 ■ (a2,j2 ■ (a3,j3 ■ ... ■ as,js ) с неизвестной расстановкой скобок имеет не меньшую сложность, чем аналогичная задача в конечной группе.

Участник A:

1) Выбирает две лупы Муфанг L, M с достаточно большим количеством порождающих. Генерирует случайное [s, г]-покрытие a = (ai,j) для L.

2) Выбирает эпиморфизм f : L ^ M, который он хранит в секрете, и вычисляет в = (bi,j ) = f (a) = f (ai,j ). Заметим, что в является [s, г]-покрытием для лупы M.

Открытым ключом является

({a}, {в}).

Участник B:

1) Формирует сообщение х Е M.

2) Выбирает произвольное у1 из покрытия a, причём расстановка скобок осуществляется произвольным способом. Таким образом, у\ = a1,j1 ■ (a2,j2 ■ (a3,j3 ■ ... ■ as,js).

3) Образует y2 Е в с аналогичной п. 2 расстановкой скобок.

4) Формирует у3 = xy2.

5) Посылает участнику A криптограмму (у\,у3).

Участник A, получив пару (у1,у3), вычисляет f (у1) = у2 и у3у—х. Так как M — лупа Муфанг, то узу-1 = (ху2)у-1 = x.

Замечание 1. С практической точки зрения участнику А лучше заранее составить таблицу значений для эпиморфизма f.

Замечание 2. Конструкция легко может быть обобщена на произвольную квазигруппу, если умножение на у-1 справа в алгоритме расшифрования заменить на правое деление.

Замечание 3. Любое [s, г]-покрытие можно представить в виде матрицы a = (ai,j), где ai,j Е L, 1 ^ i ^ s, 1 ^ j ^ г. Тогда с практической точки зрения [s, г]-покрытие удобно задавать случайной (s х г)-матрицей с проверкой необходимых условий.

4. Линейно оптимальные коды в квазигрупповых кольцах

4.1. Предварительные сведения

Кодом длины n над алфавитом Q называется подмножество C Ç Q n. Пусть ICI = q k, тогда k = logq ICI называется (комбинаторной) размерностью кода C. На множестве C

определим метрику (расстояние Хэмминга)

¿(а, Ь) = |{г Е {1, 2,... ,п} : ai = Ь} ,

где а = (а1,..., ап), Ь = (Ь1,... ,Ьп).

Теперь определим расстояние кода:

d = ¿(С) = шт{ё(а, Ь) : а,Ь Е С,а = Ь}.

Код с определёнными выше параметрами д,п,к^ называется [а,к,в\я-кодом (подробнее см. [12, 13]).

Одной из задач алгебраической теории кодов является конструирование кодов, оптимизирующих один из параметров п, к^ при фиксированных значениях остальных

Теорема 4 (граница Синглтона [12, 13]). Для любого [п,к^]я-кода выполнено неравенство к ^ п — d + 1.

Определение 9. [п, к, -Код С называется МДР-кодом, если к = п — d +1.

Важный класс МДР-кодов исследуется в [14].

Если множество П снабжено алгебраической структурой (например, конечного поля, кольца или модуля) и код С согласован с этой структурой (например, если П = —

конечное поле, то С должен быть подпространством в П = Еп), то код С называют линейным кодом над П.

Определение 10. Линейный [п, к, в\д-код называется линейно оптимальным, если к — максимально возможная размерность линейного над полем П = кода длины п с расстоянием d.

Очевидно, что любой МДР-код оптимален. Сверх того, можно указать следующий признак линейной оптимальности.

Обозначим через п(к,д) (соответственно, т(к,д)) максимальную длину МДР-кода комбинаторной размерности к над алфавитом из д элементов (соответственно, линейного МДР-кода над полем для примарного числа д). Ясно, что т(к, д) ^ п(к, д).

Утверждение 2. Пусть п,к — натуральные числа, д — такое примарное число, что п > т(к + 1,д). Тогда любой линейный [п, п — к, к]д-код линейно оптимален.

Доказательство. Действительно, в противном случае существует линейный [п,к +1, п — к]д-код. Но такой код является МДР-кодом, следовательно, п ^ т(к +1, д). Получаем противоречие. ■

Одним из способом получения линейных над полем кодов с экстремальными свойствами является следующая конструкция. Для конечной лупы Ь = {11,...,1п} сформируем луповую алгебру А = Ь и для каждого левого идеала I ^ аА определим код С = С(I) как набор всех слов (а-\^,... ,ап) Е Fn, таких, что аili Е I. Такие коды называются луповыми [15]. Каждая луповая алгебра (и даже квазигрупповая алгебра) содержит 2 тривиальных МДР-кода: [п, 1,п]-код С(10), соответствующий левому идеалу Fq(^2геЬ I), и [п,п — 1, 2]-код С(А), соответствующий фундаментальному идеалу

двух и д.

который является левым и правым аннулятором идеала 10.

Компьютерные вычисления в [15] в случае луповых алгебр маленьких порядков (д ^ 5, 1Ь ^ 7) показали, что в большинстве случаев, когда лупа Ь неассоциативна, её решётка левых идеалов тривиальна, и поэтому она не содержит интересных луповых кодов. Исключение составляют линейно оптимальные [6, 2, 4]д-коды для д Е {2, 3}, а также [6, 3, 3]д-коды для д Е {3, 4}.

В данной работе строятся цепочки линейных [п, п — 3, 3]д-кодов над Fq для п = 2д и п = 2д — 2. Эти коды являются линейно оптимальными, что следует из утверждения 2, а также из того, что п(к, д) = к + 1 при д ^ к (см. [12, 13]).

Заметим, что линейный [п,п — 3, 3]д-код над Fq может быть легко построен с помощью укорочения [М, N — 3, 3]д-кода Хэмминга ([16, 17]), где N = д2 + д +1. Основной результат заключается в построении таких кодов как луповых кодов.

4.2. Коды Рида - Соломона как групповые коды Пусть д = р1 > 2, Р = Fq, С — конечная группа. Единичный элемент поля Р обозначим 1, единичный элемент группы С (он же единичный элемент группового кольца РС) обозначим е.

Следующее представление кодов Рида — Соломона как групповых кодов, впервые описанное в [18], играет ключевую роль в построении линейных луповых [2д, 2д — 3, 3]д-кодов.

Теорема 5. Пусть (Н, •) — р-элементарная абелева группа порядка д = р1. Фиксируем изоморфизм абелевых групп р : (Н, •) ^ (Р, +) и рассмотрим следующие элементы:

и = ^ р(к)3к Е PH, в = 0,... ,д — 2. (1)

нен

Тогда для каждого г, 1 ^ г ^ д — 1, подпространство ^ = Ри0 + ... + Ри^ ^ РPH

является [д,г,д +1 — г]д-МДР кодом Рида — Соломона и идеалом в РН. В частности,

П— = А(РН). (2)

Если в = рс для некоторого 1 ^ с ^ п — 1, то

^ = PHUs-1 (3)

является главным идеалом.

Доказательство. Занумеруем элементы группы Н: Н = {к1,..., кд}, и положим

д

,шг = р(Ьг), 1 ^ г ^ д. Тогда Р = {/ш1,... , /шд} и элементы (1) имеют вид и3 = ^ /ш1Нг.

Г=1

Теперь легко видеть, что код К(^,г) ^ рРН, соответствующий пространству ^„1, имеет порождающую матрицу

т. е. является [д,г,д — г + 1}д-кодом Рида — Соломона [12, 13]. Заметим, что пока использована только биективность р.

С учётом того, что р является изоморфизмом групп, докажем, что ^3, 1 ^ в ^ д —1, является идеалом в кольце К = РН. Достаточно показать, что а'Я,3 С ^ для любого а Е Н. Докажем это индукцией по в. При в = 1 имеем

а'Я.1 = Раи0 = Ра ^2 р(к)°к = Р ^ ак = Р ^2 Ь = Ри0 = 'Я1. нен нен нен

При s > 0

aus = E p(h)sah = E p(ha 1)s h,

keH

keH

и, поскольку p — гомоморфизм,

t=i

aus = E [p(h)— p(a)Y h = E

keH keH

s /Sx __

\t I S \ ,„f „\t ,„SU\s-t

h

E p(h)sh + E(—^ t)p(a) E p(h)s th.

keH t=i W keH

Окончательно получаем

t=i

au s = Us + E(— 1) ( , ) p(a)tUs-t Є Us + Rs С Rs+1.

(4)

Итак, aR1 Ç R1, и, учитывая, что по предположению индукции aRs Ç Rs, получаем aRs+1 = Paus + aRs Ç Pus + Rs + aRs = Rs+1,

что и требовалось.

Чтобы доказать равенство (2), покажем, что Е шs = 0 для s = 0,... ,q — 2. Пусть

шЄР

a Є P : {a} = P*, тогда as ( E = E ^, s = 0,... ,q — 2, откуда получаем

\шЄР ) шЄР

требуемое, так как as = 1 при s < q — 1. Таким образом, Rq-1 Ç A(PH). С другой стороны, dimP Rq-1 = q — 1 = dimP A(PH), следовательно, Rq-1 = A(PH).

Доказательство равенства (3) основывается на хорошо известном результате Лу-

s

каса (см., например, [12]). Пусть rts — остаток по модулю p числа (—1)*

и

so + ps1 + . . . + p1 lsn-1, t = to + pt1 + ... + P 1tn-1, где Pi,tj Є {0,... ,p — 1}

причём si ^ ti. Тогда

rts = (—1)

sn-1 tn-1

(mod p).

Тем самым доказано следующее утверждение.

Лемма 3. Если в = рс, то Т18—1 Є Р* для любого 1 ^ і ^ 5 — 1.

Теперь перепишем (4) в виде

8— 1

Е П8—1р{аУп8—1—г = (а — е)щ—і. г=1

Выберем в — 1 различных элементов а1,... , а8—1 Є Н \ {е} и положим /ші = р(аі), і = 1,... , в — 1. Тогда, имея п8—1, можем построить систему уравнений относительно неизвестных параметров по,..., п8—2:

( r1,s-1 W1 r2,s-1W%

2

T'1,s-1W2 r2,s-1W2

rs-1,s-1Wsl Л ÎUs-2\

s1 T's-1,s-1W2

Us-3

( (a1 — e)Us-1 \ (a2 — e)Us-1

\Ті8—^8—1 Г28—1'Ш23—1 ... Г8—1,8—1'ШІ—1) \п0 ) \(а8—1 — е)щ—і/

Если в = рс, то по лемме 3 матрица в левой части системы (5) обратима (и, следовательно, система имеет единственное решение). Это означает, что п0, ...,п8—2 Є РНп8—1. Таким образом, (3) верно. ■

Близкие описания кодов Рида — Соломона получены в [19, 20].

t

s

to

o

4.3. Линейно оптимальные [2д, 2д — 3, 3]д -коды

Как и выше, р — простое, д = рп > 2 и Р = ^.

Сформулируем основной результат этого пункта.

Теорема 6. Пусть Ь — лупа порядка 2д, содержащая р-элементарную абелеву группу Н порядка д. Пусть также существует элемент Ь Є Ь \ Н, обладающий следующими свойствами:

1) Зк Є {1,... ,р — 1} VI Є Ь \ Н ЗІц Є Н УЬ Є Н 11 = Ь(Ііі1к);

2) Зк Є{1,...,р — 1} VI Є Ь \ Н ЗЇі Є Н VI Є Н 1{Ь1) = Ы 1к;

3) Уа Є Н 31 а Є Н VI Є Н а(Ь1) = Ь(1а 1).

Тогда, если степень расширения п чётная или если Р = ^ и

Зк Є Р к2 = к—1 к, (6)

то в решётке левых идеалов РЬ содержится структура, изображенная на рис. 1.

• 2д-1,2 ^>2q-2r2 ÍЬ2q-3,3 "2q-4,3

2q-1,2

2q-3,3

2q-1,2

2q-3,3 (

4,q-1 3,q 2,q 1,2 q

Рис. 1. Решётка идеалов PL при char P = 2 (слева) и при char P = 2 (справа). Каждый круг обозначает левый идеал PL, а k,d — сопровождающие числа, где k обозначает размерность, d — расстояние соответствующего кода. Любые два идеала соединены линией тогда и только тогда, когда нижний содержится в верхнем

Выделенные на рис. 1 идеалы соответствуют линейно оптимальным [2q, 2q — 3, 3]q-кодам.

Доказательство. Сохраним старые обозначения: пусть у : (H, •) ^ (P, +) — изоморфизм абелевых групп; R = Pu0 + ... + Pui-1 ^ PPH, 1 ^ i ^ q — 1.

Заметим, что если n чётное, то условие (6) выполнено, так как многочлен x2 — k-1 k Е Fp[x] раскладывается в Fp2 на линейные множители. Обозначим ±ki квадратные корни из (k-1 k)1.

С помощью V* Е Ri+1 \ R* построим

a+ = eVi + b(kiVi), a- = eVi — b(kiVi),

если char P = 2, то a+ = a*.

Тогда искомые идеалы имеют вид

С* = eRi + bRi < PL,

= eRi + bRi + Pa+ < PL, = eRi + bRi + Pa- < PL,

если char P = 2, то M+ = Mi.

Этим идеалам соответствуют луповые коды: C(С*) есть [2q, 2i,q +1 — i]q-код; C(M+) — [2q, 2i + 1,q + 1 — i]q-код; C(M-) — [2q, 2i + 1,q + 1 — i]q-код.

Так как b Е L \ H, то L = H U bH и, следовательно, PL = PH + bPH. Значит, Сi = eRi + bRi имеет размерность 2i и расстояние q +1 — i.

Далее, так как M+ = С* + Pa+, где a* = eVi + b(kiVi) и v* Е R*+i \ Ri, то a* Е С

и, следовательно, dim(Ci) = 2i + 1. Аналогично для M-.

Теперь определим расстояние M+. Так как M+ ^ eRi, то d(M+) ^ d^) = q +1 — i.

С другой стороны, включение Vi Е Ri+1 \ Ri влечёт неравенство

d(vi, Rj) = min{d(vi, u) : u Е Ri} ^ q + 1 — (i + 1) = q — i. (7)

Рассмотрим произвольный элемент x Е M+ \ {0}, x = ex1 + bx2 + aa+, где x1,x2 Е Ri, a Е P. Очевидно, что ||x|| = |^ + av^l + l\b(x2 + avi)H = |^ + (aki)vill + Hx2 + (aki)vill. Если a = 0, то x Е С* и ||x|| ^ q + 1 — i. Иначе |^ + av1H ^ q — i и llx2 + (aki)v2ll ^ q — i согласно (7). Таким образом, ||x|| ^ 2(q — i) ^ q +1 — i, если i ^ q — 1. Окончательно, d(M+) = q +1 — i.

Аналогично доказывается, что d(M-) = q + 1 — i.

Осталось показать, что С*, M+, M+ являются L-кодами, т. е. левыми иделами PL. Сначала покажем, что С* < PL. Достаточно проверить, что a С* С С*, a Е H, и 1С* С С*, l Е L \ H. Учитывая свойство 3 из условия теоремы и то, что R* < PH, получаем

aCi = a(eRi + bR*) = aR* + a(bR*) = aR* + b(haRi) CR* + b(R*) = С*.

Лемма 4. Пусть v = a(h)h Е R*. Определим фк(v) = a(h)hk Е R*, где

hen hen

k Е Z, p \ k. Пусть ^ таково, что ^p = 1 (mod p). Тогда

фк(v) = rf-1v (mod Ri-i). (8)

В частности,

фк (Ri) C Ri. (9)

Доказательство. Напомним, что R* = Pu0 + .. . + Pui-1. Заметим, что отображение фк линейное. Рассмотрим фк(us) = фк ( Е у(h)sh\ = Е y(h)shk = Е y(h^)sh

\heH ) heH heH

(это следует из того, что все элементы из H \ {e} имеют порядок p). Так как у —

гомоморфизм, то фк(us) = Y1 (^y(h))sh = ^sus, откуда получаем (8) и (9). ■

heH

Теперь можно показать, что 1C* С С* :

1C* = l(eRi + bR*) = Нф(Ri) + ^Ыфк(Ri)) С hiRi + b(h{Ri) CR* + bR* = С*.

Мы воспользовались свойством (9), свойствами 1, 2 из условия и тем, что R* < PH.

Рассмотрим M+ ^ рPL. Так как уже доказано, что С* < PL, то достаточно проверить, что aa+ С M+, a Е H, и la+ С M+, l Е L \ H. Справедливы равенства

aa* = a(eVi + b(k*v*)) = av* + b(hakiVi) =

= (a — e)vi + eVi + b((ha — e)k*Vi + e(k*v*)) = a+ + (a — e)v* + b((ha — e)k*v*).

Заметим, что из (4) следует соотношение hv* = V* (mod Ri-1) для всех v* Е R*, h Е H, значит, (a — e)vi + b((ha — e)kivi) Е С*.

Далее, по свойствам 1, 2 и лемме 4 получим

la+ = l(eVi + b(kiVi)) = b(h^ (Vi)) + Ыф-к (kiVi) =

= kihiфк(Vi) + ^^фк(Vi)) = ki^Vi + b(jjj%Vi) (mod С*),

где ¡1 k = jjk = 1 (mod p). Остаётся заметить, что kip,ivi + b(jiivi) = kip,iai+, так как k2 = (i¡-l)% (mod p).

Доказательство для M- аналогично.

Неравенство M+ = M- следует из того, что M+ + M- = Ci+1, а dim(Ci+1) > > dim(M+) = dim(M-).

Таким образом, мы построили всю решётку идеалов, за исключением идеалов размерности 1. Построим их:

M+ = p(t.i), M- = Иен —£ l

\leL / \heH leL\H

Теорема доказана. ■

Замечание. Если существует элемент b Е L \ H, удовлетворяющий условию теоремы 6, то и любой другой элемент из L \ H тоже удовлетворяет этому условию.

4.4. Линейно оптимальные [2q — 2, 2q — 5, 3]q -коды Сохраним обозначения P = Fq, q = pn.

Теорема 7. Пусть L — лупа порядка 2q — 2, содержащая циклическую абелеву группу H порядка q — 1. Пусть также существует элемент b Е L \ H, обладающий следующими тремя свойствами:

1) yl Е L \ H ЭН Е H УН Е H lh = b(hih);

2) yl Е L \ H ЭН1 Е H УН Е H l(bh) = hlh;

3) ya Е H ЭНа Е H yh Е H a(bh) = hah.

Тогда если char P = 2, то в решётке левых идеалов PL содержится y(q — 1) (у —

функция Эйлера) структур следующего вида (все идеалы, участвующие в структурах, попарно различны):

Ci С M-, M+ С Яг, i =1, 2,... ,q — 1,

причём C(M±) являются линейно оптимальными [2q — 5, 2q — 3, 3]q-кодами.

Если char P = 2, то в решётке левых идеалов PL содержится y(q — 1) цепочек следующего вида (все идеалы, участвующие в цепочках, попарно различны):

С* С Mi С№, i =1, 2,... ,q — 1,

причём C(Mi) являются линейно оптимальными [2q — 5, 2q — 3, 3]q-кодами.

Доказательство. По условию H = {a)q-1, поэтому PH = Fp[x}/(xq-1 — 1) и все идеалы PH имеют вид ([g(x)]), где g(x) | xq-1 — 1. Заметим, что так как |P*| = q — 1, то многочлен xq-1 — 1 раскладывается в P на (различные) линейные множители.

Для каждого примитивного a* Е P, i = 1,... , y(q — 1), определим

Vi = ([(x — 1)(x — a*)]) < PH, Wi = ([(x — a*)]) < PH.

Ясно, что dim(V*) = q — 1 — 2 = q — 3, dim(Wi) = q — 1 — 1 = q — 2. Найдём теперь

расстояния. Очевидно, что d(C(W*)) = 2. Чтобы определить расстояние C(V*), заметим, что вектор v принадлежит C(V*) тогда и только тогда, когда

(1 1 12 .. U) V = 0. (10)

\1 ai a2 ... aq J

Так как ord (a*) = q—1, то гарантированный ранг проверочной матрицы из (10) равен 2, оледовательно, d(C(V*)) = 3.

С помощью Vi и Wi построим

Ci = eVi + bVi, N* = eWi + bWi.

По свойствам 1,2,3 легко проверяется, что С* и N* являются идеалами в PL. Далее, так как b Е L \ H, то L = H U bH, а значит, PL = PH + bPH. Поэтому dim(C*) = 2(q — 3) = = 2q — 6, dim(Ni) = 2(q — 2) = 2q — 4, d(C(С*)) = d(C(V*)) = 3, d(C(N*)) = d(C(W*)) = 2.

Обозначим a* = ev* + bv*, a- = ev* — bv*, где v* Е W* \ V* (если char P = 2, то a* = a-), и построим M*, M- ^ PPL (если char P = 2, то M* = M- = M):

M* = C* + Pa*, = C* + Pa- .

Размерность M± равна 2q — 5, так как a± = Ci. Поскольку d(vi, V*) ^ 2, то d(a±, Ci) ^ ^ 4 > d(C(С*)) = 3. Следовательно, d(C(M*)) = d(C(С*)) = 3. Далее нам понадобится следующее утверждение.

Лемма 5. Если v* Е W*, то (a — e)vi Е V* для всех a Е H.

Доказательство. Вектору v* соответствует [v^x)} Е Fq[x]/(xq~l — 1). Пусть

a = ак, тогда (a — e) соответствует [xк — 1]. Остаётся заметить, что [v^x)^ — 1)] Е

Е ([(x — 1)(x — a*)]) = V*, так как (x — 1) | (xii — 1). ■

Покажем, что M* < PL. Так как С* < PL, то достаточно показать, что aa* Е M*, la* Е Mi для всех a Е H, l Е L \ H. Действительно, по лемме 5 и свойству 3 из условия получим

aa* = a(evi + bv*) = av* + b(haVi) =

= (a — e)vi + ev* + b((ha — e)vi + ev*) = a* + (a — e)v* + b((ha — e)v*) = a* (mod С*),

а по лемме 5 и свойствам 1, 2

la* = l(evi + bv*) = hi Vi + b(hi)Vi = ev* + bv* (mod С*).

При рассмотрении ai- получим, что

aa- = a- (mod Ci), la- = —a- (mod С*), a Е H, l Е L \ H.

Покажем, что все идеалы M± различны. Действительно, M* + M- = N*, а

M± + M± D С* + Cj = eS + bS, где S = (a — e) < PH, dim(S) = q — 2. Таким

образом, dim(N*) = dim(C* + Cj) = 2q — 4 > dim(M±), что доказывает требуемое. ■

4.5. Коммутаторные квазигруппы

Примеры неассоциативных луп, рассматриваемых в теоремах 6 и 7, можно построить с помощью коммутаторных квазигрупп, конструкция которых описывается ниже.

Конструкция и алгебраические свойства коммутаторных квазигрупп

Пусть G — конечная группа. Зафиксируем целые числа c,d и определим новое умножение на элементах G по следующему правилу:

x *c,d У = x1~dycxdy1~c = x[x-d, yc]y, x,y Е G.

Получившийся группоид обозначается (G)c,d и называется коммутаторным группоидом (или коммутаторной квазигруппой, если он удовлетворяет определению квазигруппы) для группы G c параметрами c, d.

Утверждение 3. Обозначим через e единичный элемент G, Z(G) —центр группы и m = exp(G/Z(G)).

1) Если группа G удовлетворяет тождеству [xc,yd-1] = e (соответственно,

[xc-1,yd] = e), то операции в (G)c,d и (G)c,1 (соответственно, в (G)c,d и (G)1,d) совпадают.

2) (G)o,d = (G)c,o = G Ус, d Е Z.

3) (G)11 = Gop, где Gop — инверсная группа.

4) (GU = (G)0Pd yc,d Е Z.

5) Если [x,y] = e в G, то x * y = xy.

6) Если u = с (mod m), v = d (mod m), то (G)u,v = (G)c,d.

7) Пусть m1,... , тк — список всех различных порядков элементов группы G. Если с = iк (mod mj,), d = ]к (mod m*), где ifк,]к Е {0,1}, то группоид Gc,d является лупой.

Доказательство. Пункты 1-5 доказываются простой проверкой. Докажем п. 6 и 7.

6. Пусть u = с + kn, v = d + nm. Тогда

[x-v ,yu] = x^x-^y^x'1 x^y^y-^ = x-dycxdx-nmykmxnmy-km = [x-d,yc],

так как xnm)yhm Е Z(G).

7. Покажем, что уравнения x * a = b, a * y = b разрешимы при любых a,b Е G. Рассмотрим первое уравнение (второе рассматривается аналогично). Из условия следует, что x * y Е {xy,yx}, причём если ord(x) = ord(x), ord(y) = ord(y) и x * y = xy (соответственно, x * y = yx), то и x * y = xy (соответственно, x * y = yx). Если ba-1 * a = b, то положим x = ba-1, иначе положим x = a-1b. Получили, что (G)c,d является квазигруппой. Остаётся заметить, что e — её единица. ■

Пункт 6 показывает, что количество неизоморфных группоидов в множестве (G)c,d, c,d Е Z, есть мера некоммутативности группы G.

Группоид (G)c,d всегда содержит единичный элемент, но не всегда является лупой. В общем случае условия на G, с, d, которые гарантируют, что (G)cd является лупой, неизвестны, но в некоторых случаях у нас есть ответ.

Коммутаторные квазигруппы для группы диэдра Dn

В табл. 1 приведены явные формулы умножения в (Dn)c,d, которые зависят только от чётности с, d.

Таблица 1 Формулы умножения в (Dn)c,d

Варианты н - -в н, - о н - "в ч, - о ч - н, - о

ак * а1 ак+‘ ак+‘ ак+‘

ак * Ъа1 bak(2d-i)+i Ъа1-к Ъак(2а-1)+1

Ъ £ ?Г * а_ Ъак+г(1-2с) Ъак+1(1-2с) Ъак+1

Ъак * Ъа1 ак-1 а!'-к а1-к

Утверждение 4. Табл. 2 показывает, при каких с и d группоид (Дга)с,^ является лупой.

Таблица 2

c\d ч , 2d — 1 Е Zn ч, 2d — 1 Е Zn н , 2d — 1 Е Zn н, 2d — 1 Е Zn

ч , 2с — 1 Е Zn + + + +

ч, 2с — 1 Е Zn + + — —

* si N ш 1 — c 2 н, + — + —

н, 2с — 1 Е Zn + — — —

Примечание. «+» - лупа, « —» - не лупа.

Утверждение 5. Если с, d Е {1,..., exp(Dn/Z (Dn)) — 1}, то (Dn)c,d — полугруппа тогда и только тогда, когда c = d =1 (в этом случае (Dn)c,d = (Dn)op = Dn) или когда с и d оба чётные (в этом случае (Dn)c,d = Dn).

Утверждение 6. При различных парах с, d Е {1,... , exp(Dn/Z(Dn)) — 1}, таких, что с, d оба нечётные и 2с — 1, 2d — 1 Е Zn, соответствующие им лупы (Dn)c,d неизоморфны.

Доказательство. Пусть это не так и (Dn)ci,dl = (Dn)c2,d2, (ci,di) = (c2,d2), а у — соответствующий изоморфизм. Пусть для определённости с1 = с2 (случай d1 = d2 рассматривается аналогично). Так как (Dn)ci,d1, (Dn)c2, d2 — лупы с ассоциативными степенями, то порядки элементов при изоморфизме сохраняются. Можно считать, что n > 2 (иначе группа Dn коммутативная и доказывать нечего). При n > 2 имеем

y(a) = am, y(ak) = amk, у(6) = 6a1 (m, n) = 1.

Далее,

y(6ak) = у(6 *ci,di ak(1-2ci)-1) = у(6) *c2,d2 y(ak(1-2ci)-1) = ba1+m(1-2ci)-1(1-2c2)k, где *ci,di (*c2,d2)—умножение в группоиде (Dn)ci,di ((Dn)c2,d2), откуда

y(6aki *c1,d1 bak) = am(1-2ci)-1(1-2c2)(ki-k2).

С другой стороны,

6aki *c1,d1 6ak2 = aki-k2,

поэтому

Vfc1,fc2 Е Zn, m Е zn am(1-2c1)-1(1-2c2)(ki-k2) = am(ki-k2),

значит, 1 — 2c1 = 1 — 2c2 (mod n). Если n нечётное, то c1 = c2 (mod n), откуда c1 = c2, так как оба нечётные и не превосходят 2n — 1. Если n чётное, но 4 { n, то

с1 = с2 (mod n/2). Так как n/2 нечётное, а exp(Dn/Z(Dn)) — 1 = n — 1, то c1 = с2. Наконец, если 4 | n, то с1 = с2 (mod n/2), и так как с1, с2 ^ n/2 — 1, то с1 = с2. ■

Линейно оптимальные (Dn)c,d-KOAbl

Следующая лемма показывает, при каких значениях с и d группоид (Dn)c,d удовлетворяет условиям теорем 6 и 7.

Лемма 6. Пусть группоид (Dn)c,d является неассоциативной лупой и n — простое число. Тогда эта лупа удовлетворяет условиям 1, 2, 3 из теоремы 6.

Пусть группоид (Dn)c,d = (Dpi-1)c,d является неассоциативной лупой и n = pl — 1. Эта лупа удовлетворяет условиям 1, 2, 3 из теоремы 7, если и только если выполнено одно из следующих условий:

— с нечётное, d нечётное, 2с = 2 (mod n);

— с чётное, d нечётное 2с = 0 (mod n);

— с нечётное, d чётное.

Доказательство. Из утверждения 5 известно, что если с и d оба чётные, то группоид (Dn)c,d является полугруппой, поэтому такие с и d не подходят по условию.

Пользуясь формулами из табл. 1, рассмотрим оставшиеся три случая, в каждом из

которых проверим выполнение условий 1, 2, 3.

1) с — нечётное, d — нечётное. По утверждению 4 имеем 2с — 1, 2d — 1 Е Zn. Тогда

а) 6ak * al = 6ak+l(1-2c) = 6 * (ak(1-2c) 1 * al);

б) 6ak * (6 * al) = 6ak * 6al(1-2c) = ak-l(1-2c) = ak * al(2c-1);

в) ak*(6*al)=ak*(6al(1-2c))=6ak(2d-1)+l(1-2c)=6*ak(2d-1)(1-2c)+l=6*(ak(2d-1)(1-2c) *al). Видно, что условия теоремы 7 выполнены тогда и только тогда, когда 2с — 1 = 1 (mod n), а условия теоремы 6 выполнены всегда (k = 1, fc = 2с — 1).

2) с — чётное, d — нечётное. Согласно утверждению 4, 2с — 1 Е Zn. Тогда

а) 6ak * al = 6ak+l(1-2c) = 6 * (ak(1-2c) 1 * al);

б) 6ak * (6 * al) = 6ak * 6al(1-2c) = al(1-2c)-k = a-k * al(1-2c);

в) ak * (6 * al) = ak * (6al(1-2c)) = 6al(1-2c)-k = 6 * al-k(1-2c) 1 = 6 * (ak(2c-1) * al).

Условия теоремы 7 выполнены тогда и только тогда, когда 1 — 2с = 1 (mod n), а условия теоремы 6 выполнены всегда (fc = 1, fc = 1 — 2с).

3) с — нечётное, d — чётное:

а) 6ak * al = 6ak+l = 6 * (ak * al);

б) 6ak * (6 * al) = 6ak * 6al = al-k = a-k * al;

в) ak * (6 * al) = ak * (6al) = 6ak(2d-1)+l = 6 * ak(2d-1)+l = 6 * (ak(2d-1) * al).

Лемма доказана. ■

Пусть p простое, p > 2, P = Fp.

Теорема 8. Пусть (Dp)c,d является неассоциативной лупой и выполнено одно из следующих условий:

— с нечётное, d нечётное, существует х Е Z, такой, что х2 = 2с — 1 (mod p);

— с чётное, d нечётное, существует x Е Z, такой, что х2 = 1 — 2с (mod p);

— с нечётное, d чётное.

Тогда луповая алгебра P(Dp)c,d содержит по крайней мере два идеала, отвечающих линейно оптимальным [2p, 2p — 3, 3]р-кодам.

Доказательство. Следует из леммы 6 и теоремы 6. ■

Пусть q = pl > 2, P = Fq.

Теорема 9. Пусть (Dq-1)c,d является неассоциативной лупой и выполнено одно из следующих условий:

— с нечётное, d нечётное, 2с = 2 (mod n);

— с чётное, d нечётное, 2с = 0 (mod n);

— с нечётное, d чётное.

Тогда если p > 2 (соответственно, p = 2), то луповая алгебра P(Dq-1)c,d содержит по крайней мере 2y(q — 1) (соответственно, y(q — 1)) идеалов, отвечающих линейно оптимальным [2q — 2, 2q — 5, 3]q-кодам.

Доказательство. Следует из леммы 6 и теоремы 7. ■

В качестве иллюстрации к теореме 8 рассмотрим F5(D5)c,d, с, d Е {1,... , 9}. Табл. 3 показывает, при каких парах с и d группоиды (Dn)c,d являются лупами и когда эти лупы изоморфны.

Таблица 3

c\d 1 2 3 4 5 6 7 8 9

1 0 1 — 2 3 3 2 — 1

2 4 0 4 0 4 0 4 0 4

3 — 1 — 2 — 3 — — —

4 5 0 5 0 5 0 5 0 5

5 6 1 — 2 7 3 8 — 9

6 6 0 6 0 6 0 6 0 6

7 5 1 — 2 10 3 11 — 12

8 — 0 — 0 — 0 — 0 —

9 4 1 — 2 13 3 14 — 15

Примечание. « — » — не лупа; 0 — D5; 1-15 — неассоциативные лупы.

Учитывая, что х2 = ±1 при х Е Fg, получаем, что условию теоремы 8 удовлетворяют только F5(D5) 1,2, F5(D5) 1,4, F5(D5) 1,5, F5(D5^,b F5(D5)5^ F5(D5)5^ F5(D5)5,9.

Компьютерные вычисления показали, что среди F5(D5)c,d только эти алгебры содержат линейно оптимальные коды. Более того, их решётка идеалов в точности совпадает с решёткой, представленной на рис. 1 (слева).

Отметим, что здесь не приведены примеры луп, порождающих [2q, q — 3, 3]q-коды, когда поле Fq не простое. Если p = char Fq > 2, то такие примеры легко построить с помощью Gc,d, где G = (6)2 X H, а H = Zp, — p-элементарная группа, 6h6 = h-1 для всех h Е H. Из того, что для всех g1, g2 Е G либо [g1, g2] = e, либо (g1, g2) = Dp, следует, что свойства таких группоидов полностью аналогичны (Dp)c,d. В частности, для FqGc,d верен аналог теоремы 8.

В заключение заметим, что существуют лупы с неассоциативными степенями (а значит, не являющиеся коммутаторными квазигруппами), удовлетворяющие условиям теорем 6 или 7. Такие лупы можно построить с помощью следующей конструкции (рассматриваем теорему 6, для теоремы 7 всё аналогично). Пусть

H = {e, hb ... , hq-1} = ^, q = pl,

а L = {e, h1,... , hq-1, 6,... , 6hq-1} —расширение H, умножение * в котором определено следующим образом:

hi * hj = h^hj, 6 * hi = 6hj, 6e = e, 6hi * hj = 6 * (hihj),

6hi * 6hj = a(hi)hj, hi * 6hj = 6 * (t(hi)hj),

где a, t — произвольные перестановки на множестве H. При таком определении группоид (L, *) является квазигруппой, а если ещё добавить условие т(e) = e, то он будет лупой, которая очевидно удовлетворяет теореме 6. Рассмотрим (6 * 6) * 6 и 6 * (6 * 6):

(6 * 6) * 6 = a(e) * 6 = 6 * (т(a(e))), 6 * (6 * 6) = 6 * a(e).

Если a(e) = e и т(a(e)) = a(e), то (6 * 6) * 6 = 6 * (6 * 6) и лупа L является лупой с неассоциативными степенями. Кроме того, поскольку к = к = 1, в FqL содержится идеал, отвечающий линейно оптимальному [2q, 2q — 3, 3]q-коду.

Интересно, что при q = 3 существуют четыре неассоциативные неизоморфные лупы, удовлетворяющие теореме 6, они же удовлетворяют и теореме 7, а следовательно, доставляют линейно оптимальные [6, 3, 3]3- и [6, 3, 3]4-коды. Согласно [15], этими четырьмя лупами исчерпываются все неассоциативные лупы порядка 6, доставляющие линейно оптимальные коды. Лишь одна из этих луп является коммутаторной квазигруппой, а именно (D3)13.

Авторы выражают благодарность М. М. Глухову за конструктивные предложения, а также А. М. Зубкову и А. А. Нечаеву за критические замечания, способствующие улучшению изложения.

ЛИТЕРАТУРА

1. Росошек С. К. Криптосистемы групповых колец // Вестник Томского госуниверситета. Приложение. 2003. №6. С. 57-62.

2. Белоусов В. Д. Основы теории квазигрупп и луп. М.: Наука, 1967. 223с.

3. Pflugfelder H. O. Quasigroups and Loops: Introduction. Berlin: Heldermann, 1990.

4. Smith J. D. H. An Introduction to Quasigroups and their Representations. Boca Raton: Chapman&Hall/CRC, 2007.

5. Vojtechovsky P. Generators for finite simple Moufang loops // J. Group Theory. 2003. No. 6. P. 169-174.

6. Paige L. J. A class of simple Moufang loops // Proc. Amer. Math. Soc. 1956. V. 7. No. 3. P. 471-482.

7. Vojtechovsky P. Finite simple Moufang loops // PhD thesis. Department of Mathematics, Iowa State University, Ames, 2001.

8. Conrad P. Generalized semigroup rings // J. Indian Math. Soc. 1957. V. 21. P. 73-95.

9. Грибов А. В., Золотых П. А., Михалёв А. В. Построение алгебраической криптосистемы над квазигрупповым кольцом // Математические вопросы криптографии. 2010. Т. 1. №4.

С. 23-33.

10. Kuzucuoglu F. and Levchuk V. M. The automorphism group of certain radical matrix rings // J. Algebra. 2001. V.243. No. 2. P. 473-485.

11. Magliveras S. S., Stinson D. R., and Tran van Trung. New approaches to designing public key cryptosystem using one-way functions and trap-doors in finite groups // J. Cryptology. 2008. V. 15. No. 4. P. 285-297.

12. МакВилльямс Ф. Дж., СлоэнН.Дж.А. Теория кодов, исправляющих ошибки. М.: Связь, 1979.

13. Heise W. and Quattrocci P. Informations und Codierungstheorie. Berlin; Heidelberg: Springer, 1995.

14. Гонсалес С., Коусело Е., Марков В. Т., Нечаев А. А. Рекурсивные МДР-коды и рекурсивно дифференцируемые квазигруппы // Дискретная математика. 1998. Т. 10. №2. С. 3-29.

15. Гонсалес С., Коусело Е., Марков В. Т., Нечаев А. А. Групповые коды и их неассоциативные обобщения // Дискретная математика. 2004. Т. 14. №1. С. 146-156.

16. Brouwer A. E. Bounds on linear codes // Handbook of Coding Theory. Amsterdam: Elsevier, 1998. P. 295-461.

17. Grassl M. Searching for linear codes with large minimum distance // Discovering Mathematics with Magma. Berlin; Heidelberg: Springer, 2006. V. 19. P. 287-313.

18. Couselo E., Gonzalez S., Markov V., et al. Some constructions of linearly optimal group codes // Linear Algebra and its Applications. 2010. No. 433. P. 356-364.

19. Charpin P. Les codes e Reed-Solomon en tant qu’id^eaux d’une alg‘ebre modulaire (French. English summary) // C. R. Acad. Sci. Paris. 1982. V. 294. No. 17. P. 597-600.

20. Landrock P. and Manz O. Classical codes as ideals in group algebras // Designs, Codes and Cryptography. 1992. No. 2. P. 273-285.