подобная группе экспоненцирования S2 t Sn. Стабилизатор G0 каждой не 2-транзи-тивной примитивной группы G, ASn ^ G ^ AGLn, сохраняет некоторое нетривиальное разбиение множества VX, блоками которого являются орбиты стабилизатора G0 на У,^. Все такие разбиения описаны в [2], а классификация соответствующих групп — в [3, 4]. С применением теоремы 1, утверждения 1 и классификации надгрупп группы ASn описаны классы нелинейных ф—,сь-марковских преобразований для разбиений W пространства V,, отличных от рассмотренных в теореме 1.
Очевидно, что AGL, = (AGL,)w для W e |{A0n), Vnx}, {a : a e У,}}. Утверждение 2. Если 2-транзитивная группа G < AGLn такова, что Gо примитивна на VX, то G = (AGLn)W для каждого разбиения We | {A0n), VX}, {{a} : a e Vn} j
В общем случае из ф—,сЬ-марковости преобразований bl,b2 е S(Vn) для некоторого разбиения W пространства Vn не следует ф—,сЬ-марковость преобразования blb2. Приведены условия на преобразования bl,b2, из которых вытекает ф—,сь-марковость преобразования blb2, а также условия того, что раундовая функция, задаваемая этими преобразованиями, является ф—,сь-марковской.
Пусть раундовая функция g : Vn2 м Vn задана условием g : (x,k) м (x ф k)sh, где s = (sd-l,... , s0) e S(Vm)d, h e GLn. Приведены условия на h, при которых раундовая функция g : (x, k) м (x ф k)sh является ф— сЬ-марковской для некоторого разбиения W пространства Vn.
ЛИТЕРАТУРА
1. Погорелое Б. А., Пудовкина М. А. ®—,сь-марковские преобразования // Прикладная дискретная математика. Приложение. 2015. №8. С. 17-20.
2. Музычук М. Е. Подсхемы схемы Хемминга // Исследования по алгебраической теории комбинаторных объектов. ВНИИ системных исследований. Труды семинара. 1985. С. 49-76.
3. Погорелов Б. А. Подметрики метрики Хемминга и теорема А.А. Маркова // Труды по дискретной математике. 2006. №9. С. 190-219.
4. Погорелов Б. А., Пудовкина М. А. Подметрики метрики Хемминга и преобразования, распространяющие искажения в заданное число раз // Труды по дискретной математике. 2007. № 10. С. 202-238.
УДК 510.52 Б01 10.17223/2226308X78/26
О ГЕНЕРИЧЕСКОЙ СЛОЖНОСТИ ПРОБЛЕМЫ РАСПОЗНАВАНИЯ
КВАДРАТИЧНЫХ ВЫЧЕТОВ1
А. Н. Рыбалов
Генерический подход к алгоритмическим проблемам предложен А. Мясниковым, И. Каповичем, П. Шуппом и В. Шпильрайном в 2003 г. В рамках этого подхода рассматривается поведение алгоритмов на множествах почти всех входов. В данной работе изучается генерическая сложность проблемы распознавания квадратичных вычетов в группах вычетов. Доказывается, что её естественная подпро-блема генерически трудноразрешима (то есть трудна для почти всех входов) при условии, что проблема распознавания квадратичных вычетов трудноразрешима в классическом смысле.
1 Работа поддержана грантом РФФИ №15-41-04312.
72
Прикладная дискретная математика. Приложение
Ключевые слова: венерическая сложность, квадратичный вычет, вероятностный алгоритм.
В работе [1] развита теория генерической сложности вычислений. В рамках этого подхода алгоритмическая проблема рассматривается не на всем множестве входов, а на некотором подмножестве «почти всех» входов. Такие входы образуют так называемое генерическое множество. Понятие «почти все» формализуется введением естественной меры на множестве входных данных. С точки зрения практики алгоритмы, решающие быстро проблему на генерическом множестве, так же хороши, как и быстрые алгоритмы для всех входов.
С точки зрения современной криптографии интересны такие алгоритмические проблемы, которые, являясь (гипотетически) трудными в классическом смысле, остаются трудными и в генерическом смысле, т. е. для почти всех входов. Это объясняется тем, что при случайной генерации ключей в криптографическом алгоритме происходит генерация входа некоторой трудной алгоритмической проблемы, лежащей в основе алгоритма. Если проблема является генерически легко разрешимой, то для почти всех таких входов её можно быстро решить, и ключи почти всегда будут нестойкими. Поэтому проблема должна быть генерически трудной. Например, для проблемы дискретного логарифма такие результаты получены в работе [2].
Данная работа посвящена изучению генерической сложности классической проблемы распознавания квадратичных вычетов в группах вычетов. До сих пор не известно полиномиальных алгоритмов её решения. Более того, на предположении о её трудно-разрешимости основаны некоторые криптографические алгоритмы [3].
Пусть I — некоторое множество входов. На множестве I определена функция размера size : I ^ N, сопоставляющая каждому элементу a Е I его размер size(a). Допустим, что для любого n множество In элементов из I размера n конечно. Для любого подмножества S С I определим следующую последовательность:
|S n In| 1 _ _ pn(S) = |М , n =1, 2, 3,...
Величина pn(S) —это вероятность получить вход из множества S при случайной и равномерной генерации элементов из In. Асимптотической плотностью S назовём следующий предел (если он существует):
p(S) = lim pn(S).
n—y^o
Множество S называется генерическим, если p(S)= 1, и пренебрежимым, если p(S)= 0. Очевидно, что S генерическое тогда и только тогда, когда его дополнение I \ S пренебрежимо. Понятие генерического множества является некоторой формализацией интуитивного понятия множества «почти всех» элементов множества I в том смысле, что при увеличении размера элемента вероятность попасть в генерическое множество при случайной и равновероятной генерации элементов стремится к 1.
Алгоритмическая проблема распознования множества S С I генерически полиномиально разрешима, если существует множество G С I, такое, что
1) G — генерическое;
2) G — разрешимое за полиномиальное время;
3) G П S — разрешимое за полиномиальное время.
Генерический алгоритм, решающий проблему S, работает на входе x Е I следующим образом. Сначала определяет, принадлежит ли x генерическому множеству G.
Если да, то проверяет принадлежность входа S. Если нет, то отвечает НЕ ЗНАЮ. Такой алгоритм правильно решает проблему S на почти всех входах.
Пусть Z/(m) —мультипликативная группа вычетов по модулю m Е N. Напомним, что квадратичным вычетом в группе Z/(m) называется любой элемент x, для которого существует y Е Z/(m), такой, что x = y2. В противном случае элемент x называется квадратичным невычетом. Под проблемой распознавания квадратичных вычетов понимается проблема распознавания следующего множества:
QR = {(m, x) Е N2 : m = pq, где p, q — простые числа, x — квадратичный вычет в Z/ (m)}.
В настоящее время неизвестно полиномиальных алгоритмов (в том числе и вероятностных), решающих проблему распознавания квадратичных вычетов для всех таких модулей m.
Для изучения генерической сложности этой проблемы необходимо провести некоторую стратификацию на множестве входов. Рассмотрим любую бесконечную последовательность натуральных чисел ß = {mi,m2,...}, удовлетворяющую следующим условиям:
1) 2n < mn < 2n+1 для любого n;
2) mn — произведение двух различных простых чисел для любого n > 1.
Будем называть такую последовательность экспоненциальной. Из знаменитого постулата Бертрана, доказанного П. Л. Чебышевым, следует, что экспоненциальные последовательности существуют. Определим алгоритмическую проблему QR(ß) как ограничение проблемы распознавания квадратичных вычетов QR на следующее множество входных данных:
I = {(m, x) : m Е ß, x Е Z/(m)}.
Под размером входа (m, x) понимается количество бит в двоичной записи числа m минус 1. Заметим, что множество In входов проблемы QR(ß) размера n состоит из всех пар (m,x), где m — единственное число m Е ß, удовлетворяющее условию 2n < < m < 2n+1, а x — любой элемент из Z/(m).
Теорема 1. Если проблема QR(ß) генерически полиномиально разрешима, то существует полиномиальный вероятностный алгоритм, решающий QR(ß) для всех входов.
Теорема 2. Если для проблемы QR не существует полиномиального вероятностного алгоритма, то существует экспоненциальная последовательность ß, такая, что проблема QR(ß) не является генерически полиномиально разрешимой.
Более подробно полученные результаты представлены в [4].
ЛИТЕРАТУРА
1. KapovichI., Miasnikov A, Schupp P., and Shpilrain V. Generic-case complexity, decision problems in group theory and random walks //J. Algebra. 2003. V. 264. No. 2. P. 665-694.
2. Blum M. and Micali S. How to generate cryptographically strong sequences of pseudorandom bits // SIAM J. Computing. 1984. V. 13. No. 4. P. 850-864.
3. Мао В. Современная криптография: теория и практика. М.: Вильямс, 2005. 768 с.
4. Рыбалов А. Н. О генерической сложности проблемы распознавания квадратичных вычетов // Прикладная дискретная математика. 2015. №2. С. 54-58.