2021 Прикладная теория кодирования №53
ПРИКЛАДНАЯ ТЕОРИЯ КОДИРОВАНИЯ
УДК 519.7
О ГРАНИЦАХ МОЩНОСТИ ЗЛОУМЫШЛЕННИКОВ ДЛЯ ИДЕНТИФИЦИРУЮЩИХ АЛГЕБРОГЕОМЕТРИЧЕСКИХ КОДОВ
НА СПЕЦИАЛЬНЫХ КРИВЫХ1
В.М. Деундяк*'**, Д. В. Загуменнов**
* ФГАНУ НИИ «Спецвузавтоматика», г. Ростов-на-Дону, Россия **Южный федеральный университет, г. Ростов-на-Дону, Россия
Под схемами широковещательного шифрования понимают такие протоколы распространения легально тиражируемой цифровой продукции, которые способны предотвратить несанкционированный доступ к распространяемым данным. Эти схемы широко используются как для распределённого хранения данных, так и для защиты данных при передаче по каналам связи, и исследование таких схем представляется актуальной задачей. Для предотвращения коалиционных атак в схемах широковещательного шифрования используются классы помехоустойчивых кодов со специальными свойствами, в частности c-FP- и c-TA-свойствами. Рассматривается задача оценки нижней и верхней границ мощности коалиции злоумышленников, в пределах которых алгеброгеометрические коды обладают этими свойствами. Ранее были получены границы для одноточечных алгеброгеометриче-ских кодов на кривых общего вида. В работе эти границы уточняются для одноточечных кодов на кривых специального вида; в частности, для кодов на кривых, на которых имеется достаточно много классов эквивалентности после факторизации множества точек кривой по отношению равенства соответствующих координат.
Ключевые слова: помехоустойчивое кодирование, схемы специального широковещательного шифрования, алгеброгеометрические коды.
DOI 10.17223/20710410/53/4
THE ATTACKERS POWER BOUNDARIES FOR TRACEABILITY OF ALGEBRAIC GEOMETRIC CODES ON SPECIAL CURVES
V. M. Deundyak*'**, D. V. Zagumennov**
*FGANU NII "Specvuzavtomatika", Rostov-on-Don, Russia **Southern Federal University, Rostov-on-Don, Russia
E-mail: [email protected], [email protected]
Broadcast encryption is a data distribution protocol which can prevent malefactor parties from unauthorized accessing or copying the distributed data. It is widely used in distributed storage and network data protection schemes. To block the so-called coalition attacks on the protocol, classes of error-correcting codes with special
Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта №20-31-90098.
properties are used, namely c-FP and c-TA properties. We study the problem of evaluating the lower and the upper boundaries on coalition power, within which the algebraic geometry codes possess these properties. Earlier, these boundaries were calculated for single-point algebraic-geometric codes on curves of the general form. Now, we clarified these boundaries for single-point codes on curves of a special form; in particular, for codes on curves on which there are many equivalence classes after factorization by equality of the corresponding points coordinates relation.
Keywords: traceability codes, frameproof codes, algebraic geometry codes, broadcast encryption.
Введение
В [1, 2] представлена криптографическая схема широковещательного шифрования, способная обеспечивать защиту легально тиражируемой цифровой продукции от несанкционированного доступа. В этой схеме дистрибьютор распространяет данные свободно в зашифрованном виде, а для обеспечения доступа к этим данным со стороны легальных пользователей он должен выдать каждому из них уникальный набор ключей. Далее пользователи применяют свои ключи для расшифрования и получения доступа к информации. В случае обнаружения нелегального использования ключей их владелец может быть идентифицирован контролёром. Тем не менее допускаются так называемые коалиционные атаки, при которых легальные пользователи объединяются в коалиции злоумышленников и, комбинируя свои ключи, генерируют «пиратские» наборы ключей, которые могут быть использованы с целью выполнения несанкционированного доступа к данным. Если в качестве «пиратского» набора коалиции удается реплицировать набор ключей законопослушного пользователя схемы, не входящего в коалицию, то говорят, что этот набор скомпрометирован.
Для борьбы с коалиционными атаками в [3] предложено усиление этих схем, найденное в использовании специальных классов помехоустойчивых кодов, называемых идентифицирующими кодами (в частности, c-FP- и c-TA-кодов [4, 5]), а также быстрых алгоритмов списочного декодирования для них. Векторы идентифицирующих кодов используются в алгоритме раздачи ключей легальным пользователям, а списочный декодер может использоваться в алгоритме определения злоумышленников из коалиции в случае, если это возможно [1-3; 6, разд. 1]. Так, использование c-TA-кодов гарантирует успешность определения злоумышленника из коалиции мощности максимум c £ N [7, п. 1.3]. Использование списочных декодеров позволяет делать это достаточно быстро [3, п. III]. Использование c-FP-кодов не гарантирует успешность нахождения злоумышленников, но c-FP-коды, наряду с c-TA-кодами, гарантируют невозможность компрометации наборов ключей законопослушных пользователей со стороны коалиций мощности максимум c £ N [7, п. 1.3], что также может являться важным преимуществом схемы.
Таким образом, для построения корректной и быстрой схемы широковещательного шифрования достаточно найти и рассмотреть классы линейных кодов, такие, чтобы, во-первых, они обладали идентифицирующими свойствами, и, во-вторых, для них существовали полиномиальные списочные декодеры. В [7, 8] рассмотрены коды Рида — Соломона и списочный декодер Судана — Гурусвами [9]; в [10] вместе с кодами Рида — Соломона исследуются циклические коды; в [11] исследуются коды Рида — Маллера, для которых также разработаны методы списочного декодирования, например [12]; в [6, 13] рассматриваются алгеброгеометрические коды, для списочного декодирова-
ния которых применим списочный декодер из [9]. В [14] построены коды, обладающие идентифицирующим c-IPP-свойством, для которых существует алгоритм определения злоумышленника из коалиции мощности c, основанный на списочном декодере из [9].
Говоря об иных исследованиях идентифицирующих свойств линейных кодов и их приложениях в широковещательном шифровании, отметим следующие работы. В [15] вместе с постановкой задачи, представленной выше, приведён краткий обзор применений широковещательного шифрования в конкретных телекоммуникационных сетях и распределённых хранилищах. Описание и анализ эффективности схем широковещательного шифрования, основанных на применении идентифицирующих кодов, даны в [16]. В [3, п. IV, Question 11, 12] поставлены вопросы об эквивалентности идентифицирующих c-TA- и c-IPP-свойств, обсуждение которых ведётся в [17, 18]. Отметим, что зачастую в литературе рассматривается задача, отличная от предложенной авторами: сначала фиксируется мощность коалиции злоумышленников, а оценки для длины, размерности или мощности кода получают через значение мощности коалиции, не рассматривая возможности списочного декодирования [19-22]. Наконец, схемы широковещательного шифрования могут рассматриваться и без явного использования линейных кодов [23].
В настоящей работе уточняются условия наличия идентифицирующих свойств c-FP и c-TA для алгеброгеометрических кодов на кривых специального вида; в частности, для алгеброгеометрических кодов на кривых, на которых найдётся достаточно много классов эквивалентности после факторизации множества точек кривой по отношению равенства соответствующих координат. Заметим, что доказательство теоремы о границах основано на ключевой конструктивной технической лемме, которая фактически анализирует действия злоумышленников.
Структура статьи организована следующим образом: в п. 1 приводятся необходимые сведения об идентифицирующих кодах, а в п. 2 — об алгеброгеометрических кодах. В п. 3 формулируются основные результаты о границах и приводятся иллюстративные примеры, а в п. 4 доказываются основные результаты.
1. Идентифицирующие коды
Пусть q = pr, где p — простое число; r £ N. Рассмотрим линейное подпространство C размерности k в линейном пространстве F^", которое будем называть линейным кодом, k — размерностью кода, n — длиной кода.
Рассмотрим отображение р : F^ х F^ ^ NU{0}, определяемое следующим образом:
p(x,y) = |{i £ N : 1 ^ i ^ n, Xi = yi}|.
Через d обозначим величину
d = min{p(x, y) : x, y £ C, x = y};
будем называть её минимальным кодовым расстоянием кода C. Код C над полем Fq длины n, размерности k и с минимальным кодовым расстоянием d будем называть [n, k, d]q-кодом, или просто [n, k, dj-кодом.
Пусть C — линейный [n, k,d]q код, x,y £ C,
I(x, y) = {i £ N : i £ {1,... , n}, xi = yi};
ясно, что |1 (x, y)| = n — p(x, y).
Пусть с € N \ {1}. Коалицией кода С называется множество
Со = {(М1,М2, . . . ,Щ) : Щ € С, Щ = (Иг,1,«г,2, . . . , «г,«)}.
Число с называется мощностью коалиции, а множество коалиций мощности не более с обозначается как соа1с(С). Множеством потомков коалиции С0 называется множество
ае8с(Со) = {(У1,У2,... ,Уп) € Fn : Зг € {1,..., с} € {1,..., п} (у, = щ,3)}.
Линейный код С будем называть с-ЕР-кодом [5, определение 1.1.1], если выполняется следующее условие:
VСо € соа1с(С) Уг € С \ Со (г € аевс(Со) \ Со).
Множеством ЕР-компрометации для кода С [11, с. 101] называется множество
Прр(с) = {с € N \ {1} : ЗСо € соа1с(С) Зг € С \ Со (г € аевс(Со) \ Со)}.
Линейный код С называется с-ТА-кодом [5, определение 1.1.4], если
УСо € соа1с(С) Уу € С \ Со Уу € desc(C0) Зш € Со (р(^,у) < р(у,у)).
Множеством ТА-компрометации для кода С [11, с. 101] называется множество
Пхл(С) = {с € N \ {1} : Зу € С ЗСо € соа1с(С \ {у}) Зш € desc(Cо) \ Со Уи € Со
(р(у,ш) ^ р(Щ,ш))}.
Множества Птл(С) и Прр(С) есть целочисленные лучи:
Птл(С) = {Дтл(С), Дтл(С) + 1,... }, Прр(С) = {Ярр(С), Ярр(С) + 1,... }.
Величины Ятл(С) и Ярр(С) называются рубежами множеств компрометации. Из определений вытекает, что
Прр(с) С Птл(С), Дтл(С) ^ дрр(с).
2. Алгеброгеометрические коды
Рассмотрим конечное поле . Пусть [ж1,ж2] и [Х^Х2,Х3] —кольца многочленов от двух и трёх переменных над Fq соответственно; [Х1, Х2, Х3] —множество однородных многочленов из [Х1, Х2, Х3].
Отметим, что между многочленами f из [х1, ж2] и однородными многочленами ^ из Х2, Х3] существует взаимно-однозначное соответствие [24, с. 106-107], опре-
деляемое по следующему правилу: если d — максимальная степень одночлена в многочлене f € Fq [х1 , ж2], то ^ получается из f заменой каждого одночлена вида ж^Х на одночлен вида Х|Х2Х^ г ^. Это соответствие называется проективизацией.
Далее будем рассматривать аффинное А3 и проективное Р2 пространства, а также естественное вложение аффинного пространства в проективное [24, с. 106]. В частности, если точка Р имеет аффинные координаты (а1,а2), то проективные координаты соответствующей точки из Р2 будем записывать (а1 : а2 : 1); в случае так называемых точек на бесконечности третья проективная координата равна нулю [25, с. 7-8].
Пусть Е £ [Х1, Х2, Х3] —неприводимый однородный многочлен, а X =
= X (Е, ) —плоская гладкая проективная кривая над , заданная корнями Е £ ^ ^°т[Х!, Х2, Х3] [24, п. 2.1.2]. Каждая такая кривая имеет неотрицательный целочисленный параметр д, который называется родом. В случае плоской гладкой кривой он может быть легко вычислен [24, следствие 2.2.8].
Рассмотрим поле рациональных функций над X; обозначим его (X). Это поле содержит рациональные функции, где числитель и знаменатель — однородные многочлены из [Х^Х2,Х3] одной степени. Две такие функции определяют один и тот же элемент поля (X), если они аддитивно отличаются на рациональную функцию, делящуюся на Е [24, п. 2.5.4].
Согласно [24, п. 2.5.2], для любой функции Н £ (X) и любой точки М £ X можно задать целочисленный параметр, называемый порядком и обозначаемый о^м(Н). Дивизором О на кривой X называют формальную взвешенную сумму точек:
О = £ амМ, ам £ м ех
Множество вирр(О) = {М £ X : ам = 0} называется носителем О; deg(D) = £ ам — степенью О. Иногда, если deg(D) = а, вместо О будем писать Говорят, что О эффективен, если все ам ^ 0. Если О эффективен, то пишут О ^ 0.
Для Н £ (X) определим дивизор функции (Н) следующим образом:
(Н) = £ о^м(Н)М.
м ех
Для любой точки М £ X рассмотрим произвольный линейный однородный многочлен Ь £ ^°т[ХьХ2,Х3], такой, что Ь(М) = 0, и многочлен С £ [X,Х2,Х3], у которого deg(С) = г. Пусть I(М; X; С) = о^м(С/Ьг) [25, определение 2.22]. Дивизором пересечения С и X называется дивизор вида
X- С = £ 1(М; X; С)М.
м ех
Пусть О —дивизор на плоской гладкой проективной кривой X (Е, ). Тогда множество
Ь(О) = {Н £ (X) : (Н) + О ^ 0}
называется пространством Римана — Роха, ассоциированным с О. Известно, что Ь(О) является конечномерным векторным пространством [25, теорема 2.37].
Пусть Р = {Рь ... , Рп} С X, deg(D) = а и вирр(О) П Р = 0. Определим алгебро-геометрический код Ь-конструкции как образ отображения
Е^р : Ь(О) ^ Щ^, Е^Р(Н) = (Н(Р1), Н(Р2),... , Н(Рга)),
и обозначим его как С(X, Р, О). Дивизор О = называется дивизором кода С.
Утверждение 1 [24, теорема 4.1.1]. Пусть X(Е, ) —плоская гладкая проективная кривая рода д, 0 < а < п. Тогда С(X, Р, Оа) является [п, к, -кодом, где
к ^ а — д + 1, d ^ п — а.
Если а > 2д — 2, то к = а — д + 1.
Отметим, что если д = 0, deg(F) = 1, Р — множество всех конечных точек кривой, то С(X, Р, Оа) является [д, а + 1, д — а]д-кодом Рида — Соломона [24, с. 60, с. 263-264].
3. Формулировка основных результатов об улучшении границ для кодов
на алгебраических кривых со специальными свойствами 3.1. Алгебраические кривые со специальными свойствами Пусть X = X(F,Fq) —плоская гладкая проективная кривая; P = {Pi,...,Pn} — множество всех точек вида Pi = (P¿,i : P¿,2 : 1) на кривой. Назовём это множество множеством конечных точек кривой.
Введём на нём два отношения эквивалентности:
Pi -i Pj ^ Pi,i = Pj,i, Pi ~2 Pj ^ Pi,2 = Pj,2.
Отношение ~1 разбивает P на классы эквивалентности
P/~i = {R1,..., Rk1}, Ri = {Rj = (Rj,i: Rj,2: 1) e P, j = 1,..., li}, (1)
отношение ~2 разбивает P на классы эквивалентности
P/^2 = {S1 ,...,Sk2}, Si = {Sj = (Sj,1 : Sj,2 : 1) e P, i = 1,...,mi}, (2)
где li,mi — мощности смежных классов Ri и Si соответственно.
Значение k1 назовём индексом множества P по первой координате; k2 —индексом множества P по второй координате. Очевидно, что k1 ^ n, k2 ^ n. Легко проверить, что если оба индекса равны 1, то множество P состоит из одной точки. Таким образом, если |P | > 1, то один из индексов k1, k2 также больше 1. Рассмотрим некоторые примеры.
Пример 1. Рассмотрим в качестве X проективную прямую, имеющую род 0 и заданную многочленом F = X2-X3 над произвольным полем Fq. Множество P (см. (1), (2)) для такой кривой состоит из точек вида (aj : 1 : 1), aj e Fq. Таким образом, на этой кривой есть q классов Ri мощности deg(F) = 1.
Пример 2. Рассмотрим в качестве X проективную прямую, имеющую род 1 и заданную многочленом
F(ХЪ X3) = X|X3 + X1X2X3 + X2X3 — Xi — X3
над полем Fg = F2 [£]/(£3 + £ + 1). Выпишем все точки кривой:
Q = (0 : 1 : 0), Pi = (1 : 0 : 1), P2 = (£ : £ : 1), P3 = (£2 : £2 : 1), P4 = (£3 : £4 : 1), P5 = (£4 : £4 : 1), Pe = (£5 : £ : 1), P7 = (£6 : £ : 1), Pg = (£4 : 1 : 1), P9 = (£5 : £2 : 1), P10 = (£6 : £4 : 1), P11 = (£2 : 1 : 1), P12 = (£3 : £2 : 1), P13 = (£ : 1 : 1).
Построим классы Si:
S0 = {(1:0:1)},
51 = {(£4 : 1 : 1),(£2 : 1 : 1),(£ : 1 : 1)},
52 = {(£ : £ : 1),(£5 : £ : 1),(£6 : £ : 1)},
53 = {(£2 : £2 : 1),(£5 : £2 : 1),(£3 : £2 : 1)},
54 = {(£3 : £4 : 1),(£4 : £4 : 1),(£6 : £4 : 1)}.
Пример 3. Рассмотрим кривую, имеющую род 6 и заданную многочленом
X5 + Y4Z + YZ4 = 0
над полем F16. Можно проверить, что это максимальная кривая, содержащая 65 точек и 12 классов Si мощности deg(F) = 5.
3.2. Улучшение границ Теорема 1. Пусть X(Р, ) —плоская гладкая проективная кривая, Q — её единственная точка на бесконечности. Рассмотрим код С = С(X(Р, ), Р, Да), где Д = аQ. Пусть |Р| = п > 1, к — меньший из индексов кьк2, к > 1, 5 = [а/deg(Р)]. Предположим, что на кривой X существует 5• тах{2, [к/5]} классов эквивалентности мощности deg(P), соответствующих индексу к (если к = к1, то классов Рг, иначе — 5"г). Тогда
Уп/а ^ Рхл(С) ^ Втл(С) = тт
^ Врр (С) = тт
п + а п
к
I
^ ррр(с) ^
(3)
Lа/deg(P)] deg(P)
Замечание 1. Ранее в [13, теоремы 3 и 4] получены оценки для рубежей Ртл и Ррр для более широкого класса кривых. Для кривых с рассматриваемыми специальными свойствами эти оценки усилены, при этом новая верхняя оценка для Ртл не превосходит новой нижней оценки для Ррр.
Замечание 2. Рассмотрим код С = (X(Р, ), Р, Да). Если род д кривой X равен нулю, deg(F) = 1 и Д = aQ, где Q — единственная точка на бесконечности, то код С является кодом Рида — Соломона, а его размерность к в силу утверждения 1 равна а + 1. В таком случае неравенства (3) имеют вид
п + к — 1
п к - 1
^ Ртл ^ Втл(С)
^ Ррр = Вер (С)
п
к1
2(к — 1)
и совпадают по существу с оценками, полученными для кодов Рида — Соломона в [7].
3.3. Примеры вычисления параметров кодов Пример 4. На каждой из рассмотренных в примерах 1-3 кривых находится одна и только одна точка на бесконечности. На первой кривой имеется д классов эквивалентности мощности, равной степени задающего её многочлена, на второй — 4 таких класса, а на третьей—12. Поэтому эти кривые удовлетворяют условиям теоремы 1 при 5 ^ [д/2], 5 ^ 2 и 5 ^ 6 соответственно.
Пример 5. Рассмотрим кривую из примера 1 над полем Е16 и дивизор Д = = 2 • (0:1:0) на ней. Выше отмечено, что эта кривая удовлетворяет условиям теоремы 1 при 5 ^ 8. В качестве множества Р возьмём всё множество конечных точек кривой. Согласно утверждению 1, на рассмотренной кривой можно построить алгеб-рогеометрический [16, 3,^]16-код ¿-конструкции С, где d ^ 14; в силу неравенства Синглтона d = 14. Известно, что этот код является кодом Рида — Соломона. В этом случае к = п =16, а = 2, 5 = |2/11 = 2. Для кода С выполняются все условия теоремы 1, следовательно
3 ^ Ртл(С) ^ 5 ^ Ррр(С) = 8
(см. также замечание 2).
Пример 6. Рассмотрим кривую над полем из примера 2 и дивизор Д = 3Q на ней. В примере 4 отмечено, что эта кривая удовлетворяет условиям теоремы 1 при 5 ^ 2. В качестве множества Р возьмём всё множество конечных точек кривой. Согласно утверждению 1, на этой кривой можно построить алгеброгеометрический [13, 3^]8-код ¿-конструкции С, где d ^ 10. В этом случае п =13, к = 5, а = 3, 5 = [3/3] = 1. Для кода С выполняются все условия теоремы 1, следовательно
Ртл(С) = 3, Ррр(С) = 5.
Пример 7. Рассмотрим кривую над полем Fi6 из примера 3 и дивизор D = = 9 • (0 : 1:0) на ней. В примере 4 показано, что эта кривая удовлетворяет условиям теоремы 1 при 8 ^ 6. В качестве множества P возьмём всё множество конечных точек кривой, общее количество которых, как показано в примере 3, равно 64. Тогда, согласно утверждению 1, на этой кривой можно построить алгеброгеометрический [64, k, dj^-код L-конструкции C, где k ^ 4, d ^ 55 и, как следует из неравенства Син-глтона, k + d ^ 65. В этом случае n = 64, к =12, a = 9, 8 = |_9/5J = 1. Таким образом, для кода C выполняются все условия теоремы 1, значит,
3 ^ rta(c) ^ 8 ^ rfp(c) ^ 12.
3.4. Применимость к схемам широковещательного
шифрования
В работе рассмотрены идентифицирующие свойства алгеброгеометрических кодов в следующей постановке. Пусть выбран алгеброгеометрический код, для которого выполнены условия теоремы 1, и зафиксированы его основные параметры. Возникает вопрос, какое значение может принимать с, чтобы код сохранял с-FP- или с-ТА-свой-ства? Ответ на этот вопрос дан в теореме 1. Таким образом, можно выбрать алгеброгеометрический код C со специальными свойствами (теорема 1), списочный декодер Судана — Гурусвами [9] и, проверив условия применимости этого списочного декодера к C [3, теорема 5; 6, следствие 1], построить:
1) устойчивую схему широковещательного шифрования, способную гарантировать невозможность прямой компрометации ключей законопослушных пользователей со стороны коалиций мощности вплоть до с1 = [n/a] — 1 < [n/a] ^ RFP(C);
2) отслеживаюущую схему широковещательного шифрования, способную находить участников коалиций мощности вплоть до с2 = |~\/n/a — 1] < \/n/a ^
^ rta(c);
3) устойчивую и отслеживаюущую схему широковещательного шифрования, способную гарантировать как невозможность прямой компрометации ключей законопослушных пользователей со стороны коалиций мощности вплоть до с1 = = [n/a] — 1 < [n/a] ^ rfp(c), так и находить при этом злоумышленников из коалиций мощности вплоть до с2 = [\/n/a — 1] < \/n/a ^ rta(c).
Возможность построения схем с такими свойствами обоснована в [7, п. 1.3]. Максимальное число пользователей такой схемы ограничено сверху мощностью кода [6, утверждение 2]. Сформулируем и докажем следующее утверждение:
Теорема 2. Пусть выполняются условия теоремы 1, с Е N \ {1}. Тогда
1) если с < т/n/a, то
max |C| = qKe2-1!-^1.
a
2) если с < [n/a], то
max |C| = qKic-e)-1!-^1,
a
где e = [n/a] — n/a.
Доказательство. Если C — линейный [n,k,d]q-код, то |C| = .
1) Если с < т/n/a, то a < n/с2, тогда
max{a : a < n/с2} = [n/с2 — 1].
a
Из утверждения 1 получим, что max k = [n/c2 — 1] — g + 1. Следовательно, max |C| =
a a
= qKc2 -11-5+1.
2) Аналогично, так как с < [n/a] = n/a + e, то a < n/(c — e). Тогда max{a : a < n/(c — e)} = [n/(c — e) — 1],
a
значит, max k = [n/(c — e) — 1] — g + 1 и max |C| = дГга/(с-£)-11-й+1. щ
aa
Справедливость утверждения означает, что максимальное число пользователей устойчивой схемы равно дГга/(с1-е)-11-й+1, так как c1 < [n/a], а для отслеживающей q[n/C2-1l-g+1, так как c2 < ^/n/a. Для усточивой и одновременно отслеживающей схемы число пользователей равно min{q^ra/c2-1l-g+1, дГга/(с2-е)-11-й+1}, так как в такой схеме c1 < [n/a] и c2 < \/n/a одновременно.
Пример 8. Используя код из примера 5, можно построить устойчивую схему для c1 = 4, отслеживающую схему для c2 = 2 или устойчивую и отслеживающую для c1 = 4, c2 = 2. Для устойчивой схемы максимальное число пользователей равно 16Г16/(4-0)-11+1 = 164 = 216, так как e = [16/4] — 16/4 = 0; для отслеживающей схемы максимальное число пользователей также равно 16Г16/4-11+1 = 164 = 216; для устойчивой и отслеживающей схемы максимальное число пользователей равно min{216, 216} = 216.
Пример 9. Используя код из примера 6, можно построить устойчивую схему для c1 = 4, отслеживающую схему для c2 = 2, устойчивую и одновременно отслеживающую схему для c1 = 4, c2 = 2. Для устойчивой схемы максимальное число пользователей равно 8Г13/(4-2/3)-11-1+1 = 83 = 29, так как e = [13/3] — 13/3 = 2/3; для отслеживающей схемы также равно 8Г13/4-11-1+1 = 83 = 29; для усточивой и отслеживающей схемы равно min{29, 29} = 29.
Пример 10. Используя код из примера 7, можно построить устойчивую схему для c1 = 7, отслеживающую схему для c2 = 2, устойчивую и одновременно отслеживающую для c1 = 7, c2 = 2. Максимальное число пользователей для устойчивой
18
схемы равно 16Г64/(7-8/9)-11-6+1 = 165 = 220, так как e = 8 — 7- = —; для отслеживающей схемы максимальное число пользователей равно 16Г64/4-11-6+1 = 1610 = 240; для устойчивой и отслеживающей — min{240 , 220} = 220.
Рассмотрим иную постановку задачи. Предположим, что известна максимально возможная мощность коалиции злоумышленников с. Возникает вопрос, какой код (в частности, какой алгеброгеометрический код) выбрать, чтобы построить схему широковещательного шифрования при заданном с? Возможно ли использование списочного декодирования в этом случае? Эти задачи выходят за рамки данной работы и представляются темой отдельного исследования. При их решении может возникать необходимость перебора кодов; формализация такого перебора для одноточечных ал-геброгеометрических кодов общего вида рассмотрена в [6, алгоритм 1].
4. Доказательство основного результата 4.1. Вспомогательные леммы
Следующая конструктивная техническая лемма является ключевой для доказательства теоремы 1. В её доказательстве, фактически имитирующем действия злоумышленников, явно показан способ построения коалиции и её потомка, на которых достигаются представленные в утверждении леммы оценки и равенства.
Лемма 1. Пусть X(Р, ) —плоская гладкая проективная кривая, Q — её единственная точка на бесконечности. Рассмотрим код С = (X(Р, ),Р, Да), где Д = аQ. Пусть |Р| > 1, к — меньший из индексов ^1,^2, к > 1, 5 = [а/ deg(F)_|. Предположим, что на кривой X существует 5• тах{2, [к/5|} классов эквивалентности мощности deg(F), соответствующих индексу к (если к = к1, то классов Рг, иначе — Бг). Тогда
— для всех с, таких, что 2 ^ с ^ к/5
Уу е С ЗСо е соа1с(С \ {у}) Зш е desc(Co) \ Со (|/(ш,у)| ^ т1п{с5deg(Р),п}), (4)
— для всех с, таких, что с > к/5
Уу е С ЗСо е соа1с(С \ {у}) Зш е desc(Co) \ Со (|/(ш,у)| = п). (5)
Доказательство. Предположим, что лемма доказана для у = 0, т.е. можно построить коалицию Со = {и1,..., ис}, такую, что при у = 0 выполняются (4) и (5). Рассмотрим произвольный вектор у е С, коалицию Со = {и1 + у, ... , ис + у} и вектор ш = Ш + у. Так как С — линейный код, Со е соа1с(С \ {у}), ш е desc(C0) \ Со, и (4), (5) выполняются для произвольного у. Таким образом, если лемма справедлива для у = 0, то она справедлива и для любых других у е С.
Докажем теперь лемму в предположении, что у = 0.
Рассмотрим сначала случай, когда с5 < п, и разобьём доказательство на несколько шагов.
I. Рассмотрим множество Р С X. Так как по построению АГ-кода вирр(Д) П Р = 0, вирр(Д) = и Q — единственная бесконечная точка на кривой X, то в Р нет бесконечных точек, т.е. точек вида (Х1 : Х2 : 0). Значит, множество Р является подмножеством множества конечных точек кривой, причём, так как | Р| > 1, один из индексов Р больше единицы (см. (1), (2)). Не нарушая общности, будем считать, что к = к2 > 1, и рассмотрим классы эквивалентности Бг. Перенумеруем множество Р так, чтобы для первых к точек из Р выполнялось условие Рг е Бг, г е {1,..., к}.
II. Так как коалиция является набором кодовых векторов, каждый из которых является образом некоторой рациональной функции из пространства Римана — Роха Р(Д) при кодирующем отображении, для построения искомой коалиции необходимо сначала предъявить соответствующий набор рациональных функций.
Для искомых функций построим вспомогательные многочлены. Рассмотрим несколько случаев:
а) Пусть с5 ^ к. Предположим, что Р является проективизацией некоторого многочлена / е [х1,х2]. По условию существует тах{25, [к/5|5} классов Бг, мощность которых равна deg(F). Так как 2 ^ с ^ к/5, это означает, что существует как минимум с5 классов Бг, каждый из которых имеет мощность deg(F). Следовательно, существуют в1,... ,всй, вг е (в соответствует классу Бг), такие, что /(ж1,вг) имеет deg(F) различных корней. Обозначим корни /(х1, вг) как а^-, I = 1,... , deg(F), 3 = 1,... , с5. Каждому такому корню соответствует точка (а^ : вг : 1) е Бг.
Тогда многочлены гг будем строить следующим образом:
Гг(х1,Х2) = (Х2 - в(г-1)й+1) ... (X - в«), г = 1, . . . , С. (6)
Каждый одночлен в гг(ж1,ж2) имеет deg(F) корней вида
К" ,в,-), I = 1,..., deg(F), з е {(г - 1)5 + 1,...,г5},
значит, у Гг(ж1, х2) всего 8 deg(F) корней вида
К- ), I = 1,..., deg(F), з = (г - 1)8 + 1,...,г8.
Для каждого г и точки Р = Рг/+1 = (рд : Рг,2 : 1) выполняется: гДрд, Рг,2) = 0. Степень каждого г равна 8.
б) Пусть теперь с8 > к, причём к ^ 8 и к < с. Тогда в кольце [х1, х2] рассмотрим следующие многочлены:
Гг(ж1,Ж2) = (Х2 - ^1,1), г €{1,..., к}. (7)
Для каждого г1 и точки Р = 51+1 = (рд : Рг,2 : 1) выполняется: гДрд, Рг,2) = 0. Степень каждого г1 не превышает 8. Рассмотрим множество ненулевых многочленов степени не выше 8, не совпадающих с г1, г € {1,... , к}. Таких многочленов — к — 1 штук. Тогда в качестве г,, 3 € {к + 1,... , с}, возьмём многочлены из этого множества, такие, что г, (Рд, Р,2) = 0 для некоторой р = (рд : р,2 : 1) € Р.
в) Пусть теперь с8 > к, причём к ^ 8, но к ^ с. Тогда в кольце [х1 , х2] можно рассмотреть следующие многочлены:
Г1(Х1,Х2) = (Х2 — ^1,1), г € {1,..., с — 1}, ГС(Ж1,Ж2) = (Х2 — ^д)... (х — б^д). (8)
Для каждого такого г1 найдётся точка Р = (рд : р,2 : 1), для которой г1(Р1,1, р,2) = 0. Для г < с такой точкой, например, является 51+1, а для г = с — точка 51-1. Так как к — с +1 ^ 8 — с +1 ^ 8, степень каждого г1 не превышает 8.
г) Пусть с8 > к и к >8. Тогда в кольце [х1 , х2] можно рассмотреть следующие многочлены:
Г1 = (Х1 — 5(:-1)г+1)... (Х1 — Я*), г € {1,..., [к/8] — 1},
ГГк/,1 =(Х2 — ^1к/г1-1)г+1) ... (Х2 — 5,1). ( )
Для каждого такого г1 найдётся точка Р = (Ри : р2 : 1), такая, что г1(Р^1,Рг2) = 0. Для г ^ [к/8] — 1 такой точкой, например, является 51г+1, а для г = [к/8] —точка ^к/г1-1)г. Так как
к — (([к/8] — 1)8 + 1) + 1 < с8 — ([с8/8] — 1)8 ^ с8 — (с — 1)8 ^ 8,
то степень каждого г1 не превышает 8. В качестве г,, 3 € {[к/8] + 1,... ,с}, возьмём произвольные ненулевые многочлены степени не выше 8, не совпадающие с г1, г € € {1,..., [к/8]}, такие, что для них существует точка (рд : р,2 : 1) € Р, такая, что Г1(Рг,1,Рг,2) = 0.
Во всех случаях а-г степень каждого из многочленов г1 не превышает 8, все многочлены различны и для каждого г1 найдётся такая точка р = (рд : р,2 : 1) € Р, что Г1(Рг,1,Рг,2) = 0.
Рассмотрим проективизацию многочленов г1(х1 ,х2) и получим однородные многочлены Р1(Х1,Х2,Хз) степени не выше 8.
В случае II, а однородные многочлены Р1(Х1, Х2, Х3), являющиеся проективизаци-ей г1(ж1,ж2), обращаются в нуль на точках проективного пространства вида
Р,А = К : в : 1), 3 = 1,... , deg(F), I = (г — 1)8 + 1,... ,¿8.
Легко проверить, что эти точки лежат на кривой X, так как /(а^, вг) = 0, а значит, Р(аг^-,вг, 1) = 0. Таким образом, в случае II, а Дг(Х1,Х2,Х3) обращаются в нуль на 5 deg(F) точках кривой X, причём для разных наборы таких точек не пересекаются. Построим рациональные функции:
Щ = Дг(Х1 ,Х2,Х3) , (10)
Хз
deg(Ri)
являющиеся элементами поля Fq(X). Покажем, что H принадлежит пространству Римана — Роха L(D), ассоциированному с дивизором D. Действительно, согласно [6, замечание 2], дивизор построенной функции H имеет вид
(Hi) = X ■ Ri(Xi,Х2,Хз) - X ■ X3deg(Ri). В силу замечания к теореме 2.23 [25],
Е I(M; X(F, F,); G) ^ deg(G) deg(F),
м ex (F,Fq)
поэтому
X-X3deg(Ri) = £ I (M; X (F, Fq); X3deg(Ri)) M = I(Q; X (F, F,); X3deg(Ri))Q ^
м ex (F,Fq) ^ '
^ deg (X3deg(ßi^ deg(F)Q = deg(Rt) deg(F)Q.
Тогда
(Hi) = X-^¿(Х1,Х2,Хз)-X-X3deg(Ri) ^ £ I(Pj ,Х,Дг)Р,- - deg(Rt) deg(F)Q,
p ep
(Hi) + D > £ I(Pj, X, Ri)Pj - deg(Ri) deg(F)Q + aQ = Pj eP
¿i
= £ I(P, X, P)Pj + (a - deg(Ri) deg(F))Q. Pj eP
Так как deg(Ri) ^ 5 = |_a/ deg(F)J, то
(Hi) + D ^ £ I (Pj, X, P )Pj + (a -La/ deg(F )J deg(F ))Q ^ 0, Pj eP
значит, H G L(D).
III. Построим теперь искомую коалицию C0 = {ui;...; uc} следующим образом:
ui = Evp(Hi) = (Hi(Pi),..., Hi(Pra)). (11)
Все многочлены ri различны, поэтому и все Ri, а также H тоже различны. Для каждого ri существует точка P = (Pl,1 : P^,2 : 1) G P, такая, что ri(Pl,1,Pl,2) = 0, следовательно, и Hi(Pi,i : Pi,2 : 1) = 0. Таким образом, в коалиции ровно c различных ненулевых векторов.
IV. Теперь для каждого из рассмотренных на шаге II случаев а-г построим искомого потомка ш.
В случае а коалиция С0 (см. (11)) в силу (6) и (10) выглядит следующим образом: '«1 = (0,..., 0, Н(Рйа^)+1),..., Н(Рга)),
< «1 = (Н(Р1), . . . , Н(Рйае§(р)(1-1)), 0, . . . , 0, Н(Рйdeg(F)l+l), ..., Н(Рга)),
= (Н(Р1), . . . , Н(Рйае^)(С-1)), 0, ..., 0, Н(Рйdeg(F)c+l), ..., Н(Рга)). Рассмотрим потомка коалиции С0
Ш = (0, . . . , ° deg(F)с+1, . . . , ^^
где для каждого 3 € {8с + 1,... , п} значение ш, задаётся как произвольный элемент из {и1,,,..., «с,}. Ясно, что ш € desc(C0) \ С0. По построению
|1 (ш, 0)| ^ с8deg(F) = с [а/deg(F)] deg(F). В случае б коалиция в силу (7) и (10) выглядит следующим образом: '«1 = (0,...,Н (Р1),...,Н (Рга)),
«1 = (Н(Р1),..., Н(Р1-1), 0, Н(Р1+1),..., Н(Рга)),
< «к = (Н(Р1),..., Н(Рк-1),0, Н(Рк+1),...,Н(Рга)),
и, = (Н(Р1),..., Н(Р,-1), Н(Р,), Н(Р,+1),..., Н(Рп)), «с = (Н(Р1),..., Н(Рс-1), Н(Рс+1),..., Н(Р„)).
V
Построим потомка ш следующим образом. В качестве ш1, где 1 ^ г ^ к, из вектора «1 возьмём нуль, стоящий там на г-й позиции. Заметим, что для любой позиции 3, такой, что з > к, точка Р, лежит в каком-либо классе эквивалентности 5т. Тогда «т, = 0, так как по построению значение Нт равно нулю на любой точке из Бт, в том числе на Р,. Значит, для любой такой позиции 3 мы можем выбрать ш, = «т, = 0. Таким образом, комбинированием только первых к векторов можно выбрать потомка ш, совпадающего с нулевым вектором. Тогда
|1 (ш, 0)| = п.
В случае в коалиция в силу (8) и (10) выглядит следующим образом: '«1 = (0,..., Н (Р),...,Н (Р„)),
< «1 = (Н(Р1),..., Н(Р1-1), 0, Н(Р1+1),..., Н(Р„)),
= (Н(Р1),..., Н(Рс-1), 0,..., 0, Н(Рк+1),..., Н(Р„)).
Построим потомка ш. В качестве ш1, где 1 ^ г ^ с, из вектора «1 возьмём нуль, стоящий там на г-й позиции. Если с ^ г ^ к, то в качестве элемента на позиции г возьмём нуль из вектора «с, также стоящий там на г-й позиции. Аналогично предыдущему случаю, для любой позиции 3 , такой, что 3 > к, точка Р, лежит в одном из классов эквивалентности Бт. Тогда «т, = 0, так как значение Нт равно нулю на любой точке из Бт. Значит, для любой такой позиции 3 мы можем выбрать ш, = «т, = 0. Комбинированием всех с векторов можно выбрать потомка ш, совпадающего с нулевым вектором:
|1 (ш, 0)| = п.
В случае г коалиция в силу (9) и (10) выглядит следующим образом: '«1 = (0,..., 0, Н (Рг+1),..., Н (Рга)),
«1 = (Н(Р1),..., Н(Рг(1-1)), 0,..., 0, Н(Рг1+1),..., Н(Рга)), ...
«Г^ = (Н(Р1),..., Н(Р(Гк/г!-1)г,1), 0,..., 0, Н(Р*),..., Н(Рга)),
= (Н(Р1),..., Н(Рс-1), Н(Рс+1),..., Н(Рга)).
Построим потомка ш в этом случае. В качестве ш1, где 1 ^ г ^ [к/8], из вектора «1 возьмём нуль, стоящий там на г-й позиции. Если [к/8] ^ г ^ к, то в качестве элемента на позиции г возьмём нуль из вектора «Гк/г1, также стоящий там на г-й позиции. Аналогично предыдущему случаю, для любой позиции 3 , такой, что 3 > к, существует номер т, такой, что «т, = 0. Значит, для любой такой позиции 3 мы можем выбрать ш, = «т, = 0. Тогда комбинированием первых [к/8] векторов можно выбрать потомка ш, совпадающего с нулевым вектором:
|1 (ш, 0)| = п.
Итак, при с8 < п, если с8 ^ к, найдётся такой потомок ш коалиции С0, что |1 (ш, 0)| ^ с8 deg(F), а если с8 > к, то найдется потомок ш, такой, что |1 (ш, 0)| = п.
Таким образом, лемма в случае с8 < п доказана. Теперь рассмотрим случай, когда с8 ^ п. Для доказательства необходимо показать, что при условиях леммы можно построить коалицию, способную породить нулевого потомка.
Построим коалицию С0 в этом случае. Пусть с = [п/8], тогда с8 < п. Набор многочленов г1, г € {1,... , с}, и первые с элементов коалиции построим так же, как для случая с8 < п на шагах II и III. Теперь нужно достроить коалицию до необходимой мощности с.
Если на шаге II для с реализовались случаи б, в или г, то, как показано на шаге IV, в качестве потомка построенной коалиции мощности сс уже может быть выбран нулевой вектор. Поэтому в качестве остальных с — с членов коалиции можно взять любые из оставшихся ненулевых кодовых векторов.
Предположим, что на шаге II для с реализовался случай а. Тогда мы можем построить потомка ш с с8 deg(F) нулями. Если с8 deg(F) ^ п, то дополнительных построений проводить не нужно, так как в качестве потомка коалиции мощности сс уже может быть выбран нулевой вектор, а в качестве остальных членов коалиции можно взять любые из оставшихся ненулевых кодовых векторов. Иначе, если с8 deg(F) < п, то существуют к — с8 > 0 классов Б-7, таких, что ни один из многочленов Д1 не имеет
корней ни на одной точке — представителе каждого из этих классов. Тогда построим элемент коалиции с номером Гп/5] следующим образом. Возьмём проективизацию Л|"п/г1 многочлена г^/й] = (х2 — $( г^1 1)г+1)... (х2 — $К2) и поделим на , получив рациональную функцию . Степень Я|"п/г] не превышает так как
к — (Гп/5] — 1)5 — 1 + 1 ^ п — (Гте/51 — 1)5 ^ п — Гп/5] 5 + 5 ^ 5.
Очевидно, что значение на всех точках из классов 5(Гп/й1-1)й+1, ... , рав-
но нулю. Аналогично показанному на шаге II в случае с5 < п проверяется, что Н|"п/г1 Е Р(^). Тогда можно построить очередной член коалиции м^/г], являющийся образом функции Н^/г]. На позициях (Гп/5] — 1)5 + 1,...,п в м^/г] находятся нули. В этом случае оставшиеся с — Гп/5] членов коалиции выберем как произвольные кодовые ненулевые слова, не совпадающие с построенными ранее членами коалиции. В качестве потомка построенной коалиции может быть выбран нулевой вектор. Действительно, первые с5 deg(Р) позиций могут быть заполнены нулями согласно построению из пункта II, а, а остальные п — с5 deg(Р) позиций можно заполнить нулями, стоящими на соответствующих позициях в векторе м |-га/г].
Таким образом, построена коалиция С0 € соа1с(С\{0}). В качестве ш € desc(Co)\С0 можно выбрать нулевой вектор. ■
Лемма 2.
п + а
2 [а/deg(Р)] deg Доказательство. Действительно,
2п
(Р)
п+а
<
гп 1
а
п
2 [а/deg(Р)J deg(Р) 2 [а^(Р^ deg(Р) [а/ deg(Р)J deg(Р) так как а < п, и, далее, так как [а/ deg(Р)J deg(Р) ^ а, то
п
п ^ -,
значит, и
[а/deg(Р)J deg(Р) а'
п+а
гп1
а
Лемма доказана.
4.2. Доказательство теоремы 1 1. Докажем сначала справедливость неравенства
Ярр(С) ^ Вер (С) = ш1п
п
[а/ deg(Р)J deg(Р)
Г12)
Пусть с — произвольное целое, такое, что с ^ В^р. Чтобы доказать (12), достаточно показать, что при числе злоумышленников, равном как минимум с, ЕР-свойство не выполнено.
Сначала пусть
ВрР = шт
п "К" = = п
5 deg(F) 5 5 deg(Р)
Тогда в силу (4) из леммы 1
Vv G C 3Co G coale(C \ {v}) Зш G desc(Co) \ Co (|/(<j,v)| ^ min{cS deg(F),n}).
По предположению c ^ Bfp , поэтому
|1 (w,v)| ^ min{cS deg(F),n} = n,
т. е. |1 (ш, v)| = n. Значит, ш = v G desc(C0) \ C0. Следовательно, FP-свойство не выполняется, и Rfp(C) ^ BFP(C). Пусть теперь
BFP = min
Тогда в силу (5) из леммы 1
Vv G C 3Co G coale(C \ {v}) Зш G desc(Co) \ Co (|/(ш, v)| = n
что также означает, что FP-свойство не выполняется. Итак, неравенство (12) доказано. 2. Докажем неравенство
n "К" \ = "К"
S deg(F) , I = 7
Rta(C) ^ Bta(C) = min
n + а "К"
2S deg(F) , 7
f13)
Для этого достаточно показать, что если с — произвольное целое число, такое, что с ^ В?тл(С), то С не является с-ТА-кодом. Пусть сначала
BTA = min
n + а "К" n + а
2Sdeg(F) , S = = 2S deg(F)
Тогда, так как c ^ Bta(C), получаем
cS deg(F) ^ (n + а)/2.
f14)
Пусть V € С — произвольное кодовое слово. Согласно определению свойства с-ТА, для того чтобы показать, что оно не выполнено при с = с, достаточно доказать следующее:
ЗС0 € еоа1с(С) Зш € desc(Cо) Уг € {1,...,с} (|/(ш,«1)| ^ |1 (ш^)|).
В качестве С0 и ш рассмотрим построенные в лемме 1 для случая II, а коалицию С0 и её потомка ш и докажем, что выполняются искомые условия.
Если с8 ^ к, то из (4) в лемме 1 легко показать, что С не является с-ЕР, а значит, и с-ТА кодом, и (13) доказано.
Пусть с8 ^ к. Тогда в силу (4) из леммы 1
|1 (ш,v)| ^ min{cS deg(F),n}.
f15)
Если |1 (ш^)| ^ шт{с8deg(F),п} = п, то легко показать, что С не является с-ЕР-, а значит, и с-ТА-кодом, и (13) доказано. Поэтому далее |1 (ш^)| ^ с8deg(F).
Для произвольного Б С {1,...,п} определим /^(м,г) = {г € Б : мг = гг}. Пусть А = {1,... , с5 deg(F)}. Докажем, что
Уг € {1,...,с} (|/А(ш,мг)| ^ а).
Г16)
Предположим противное: найдётся такой номер г0, что |/д(ш,мг0)| > а. Тогда существует г > а позиций из А, таких, что в каждой позиции к выполняется иг0,& = . Согласно построению коалиции из леммы 1, ш^- = 1 для всех ^ Е А, поэтому мг0,к = г^. Значит, |/(г,Мг0)| = г > а. Тогда
р(г,Мг0) = п — |/(г,Мг0)| < п — а,
чего в силу утверждения 1 быть не может, значит, (16) выполнено. Докажем неравенство
|/(ш, Мг)| ^ п — с5 deg(F) + а.
Ввиду того, что
/(ш,Мг) = /А(ш,Мг) и /{1,...,п}\А(ш, Мг), и неравенства (16) получаем
|/(ш,Мг)| = |/а(ш,Мг)| + |/{1,...,п}\а(ш,Мг)| ^ а + п — с5deg(F).
Из (14) следует, что
п — с5 deg(F) + а ^ с5 deg(F). Тогда, учитывая (15) и (17), получаем
|/(ш,мг)| ^ п — с5 + а ^ с5 ^ |/(ш,г)|.
Это означает, что С не является с-ТА-кодом. Пусть теперь
£>та = шт
С17)
п+а "К" 1 = "К1
25 deg(F) , I = I
В этом случае, если с ^ -£>та, то с помощью (4) из леммы 1 легко показать, что С не является с-ЕР-, а значит, и с-ТА-кодом. Неравенство (13) доказано. 3. Теперь, согласно лемме 2, получаем, что
вта(с )
Справедливость неравенства
п+а
2 [а/ deg(F)J deg(F)
"п1
а
ята(с) ^ л/п/а доказана в [6, теорема 1], а справедливость
яер(с) ^
показана в [13, теоремаЗ].
Таким образом, доказана вся цепочка неравенств (3), а вместе с тем и теорема 1.
Заключение
В работе представлен специальный класс алгебраических кривых, на которых возможно уточнение рубежей множеств компрометации для идентифицирующих c-TA-и c-FP-свойств применительно к одноточечным алгеброгеометрическим кодам. Полученные для этих рубежей оценки даны в основной теореме; приведены примеры таких кривых и вычисления рубежей. Результаты работы представляют самостоятельный теоретичекий интерес, а также могут быть использованы в практических реализациях протоколов широковещательного шифрования.
ЛИТЕРАТУРА
1. FiatA. and Naor M. Broadcast encryption // LNCS. 1994. V. 773. P. 480-491.
2. ChorB., FiatA., and Naor M. Tracing traitors // LNCS. 1994. V.839. P. 257-270.
3. Silverberg A., Staddon J., and Walker J. Applications of list decoding to tracing traitors // IEEE Trans. Inform. Theory. 2003. V. 49. No. 5. P. 1312-1318.
4. Stinson D. R. and Wei R. Combinatorial properties and constructions of traceability schemes and frameproof codes // SIAM J. Discr. Math. 1998. V. 11. Iss. 1. P. 41-53.
5. Staddon J. N., Stinson D. R., and Wei R. Combinatorial properties of frameproof and traceability codes // IEEE Trans. Inform. Theory. 2001. V. 47. No.3. P. 1042-1049.
6. Загуменнов Д. В., Мкртичян В. В. О применимости алгеброгеометрических кодов ¿-конструкции как кодов защиты от копирования // Прикладная дискретная математика. 2019. №44. С. 67-93.
7. Деундяк В. М., Мкртичян В. В. Исследование границ применения схемы защиты информации, основанной на PC-кодах // Дискретный анализ и исследование операций. 2011. Т. 18. №3. С. 21-38.
8. Ma Y. and Ding Y. Reed — Solomon codes as traceability codes with an efficient tracing algorithm // 8th Intern. Conf. Signal Processing. Guilin, China, 2006. V. 4. https:// ieeexplore.ieee.org/document/4129649.
9. Guruswami V. and Sudan M. Improved decoding of Reed-Solomon and algebraic-geometric codes // Foundations of Computer Science. Palo Alto: IEEE, 1998. P. 28-37.
10. Fernandez M., Cotrina J., Soriano M., and Domingo N. A note about the traceability properties of linear codes // LNCS. 2007. V. 4817. P. 251-258.
11. Деундяк В.М., Евпак C. А., Мкртичян В. В. Исследование свойств q-ичных помехоустойчивых кодов Рида — Маллера как кодов для защиты от копирования // Проблемы передачи информации. 2015. Т. 51. №4. С. 99-111.
12. Pellikaan R. and WuX-W. List decoding of q-ary Reed — Muller codes // IEEE Trans. Inform. Theory. 2004. V. 50. No. 4. P. 679-682.
13. Деундяк В. М., Загуменнов Д. В. Исследование свойств АГ-кодов как кодов для защиты от копирования // Моделирование и анализ информационных систем. 2020. Т. 27. № 1. С.22-38.
14. Barg A. and Kabatiansky G. A class of I.P.P. codes with efficient identification // J. Complexity. 2004. V. 20. Iss. 2-3. P. 137-147.
15. Zagumennov D., DeundyakV., GufanA., and Mkrtichan V. Algebraic geometry codes for special broadcast encryption schemes in telecommunication nets // Proc. MWENT. Moscow, Russia, 2020. P. 1-6.
16. Кабатянский Г. A. Идентифицирующие коды и их обобщения // Проблемы передачи информации. 2019. Т. 55. №3. С. 93-105.
17. Moreira J., Fernandez M., and Soriano M. On the relationship between the traceability properties of Reed — Solomon codes // Adv. Math. Commun. 2012. V. 6. No. 4. P. 467-478.
18. Fernandez M. Codes with traceability properties and the Silverberg — Staddon — Walker conjecture // XVI Intern. Symp. "Problems of Redundancy in Information and Control Systems". Moscow, Russia, 2019. Plenary lecture.
19. Safavi-Naini R. and Wang Y. New results on frame-proof codes and traceability schemes // IEEE Trans. Inform. Theory. 2001. V. 47. No. 7. P. 3029-3033.
20. Ge G. and Shangguan Ch. Good traceability codes do exist. https://arxiv.org/abs/1601. 04810v1.
21. Ge G., Ma J., and Shangguan Ch. New results for traitor tracing schemes. https://arxiv. org/abs/1610.07719.
22. Chee Y. M. and Zhang X. Improved constructions of frameproof codes // IEEE Trans. Inform. Theory. 2012. V. 58. No. 8. P. 5449-5453.
23. Noskov I. and Bezzateev S. Traceability schemes usings finite geometry // 10th Intern. Congress ICUMT. Moscow, Russia, 2018. P. 1-5.
24. Цфасман М. А, Влэдуц С. Г., Ногин Д. Ю. Алгеброгеометрические коды. Основные понятия. М.: МЦНМО, 2003.
25. HoholdtT., van Lint J. H., and Pellikaan R. Algebraic geometry codes // Handbook of Coding Theory / V.S. Pless, W.C.Huffman, and R.A. Brualdi (eds.). V. 1. Amsterdam: Elsevier, 1998. P. 871-961.
REFERENCES
1. Fiat A. and Naor M. Broadcast encryption. LNCS, 1994, vol.773, pp. 480-491.
2. Chor B., Fiat A., and Naor M. Tracing traitors. LNCS, 1994, vol. 839, pp. 257-270.
3. Silverberg A., Staddon J., and Walker J. Applications of list decoding to tracing traitors. IEEE Trans. Inform. Theory, 2003, vol. 49, no. 5, pp. 1312-1318.
4. Stinson D. R. and Wei R. Combinatorial properties and constructions of traceability schemes and frameproof codes. SIAM J. Discr. Math., 1998, vol. 11, iss. 1, pp. 41-53
5. Staddon J. N., Stinson D. R., and Wei R. Combinatorial properties of frameproof and traceability codes. IEEE Trans. Inform. Theory, 2001, vol.47, no.3, pp. 1042-1049
6. Zagumennov D. V. and Mkrtichyan V. V. O primenimosti algebrogeometricheskikh kodov L-konstruktsii kak kodov zashchity ot kopirovaniya [On application of algebraic geometry codes of L-construction in copy protection]. Prikladnaya Diskretnaya Matematika, 2019, no. 44, pp. 67-93. (in Russian)
7. Deundyak V. M. and Mkrtichyan V. V. Issledovaniye granits primeneniya skhemy zashchity informatsii, osnovannoy na RS-kodakh [Research of applying bounds of the information protection scheme based on PS-codes]. Diskretn. Anal. Issled. Oper., 2011, vol.18, iss.3, pp. 21-38 (in Russian)
8. Ma Y. and Ding Y. Reed — Solomon codes as traceability codes with an efficient tracing algorithm. 8th Intern. Conf. Signal Processing, Guilin, China, 2006, vol.4. https:// ieeexplore.ieee.org/document/4129649.
9. Guruswami V. and Sudan M. Improved decoding of Reed — Solomon and algebraic-geometric codes. Foundations of Computer Science. Palo Alto, IEEE, 1998, pp. 28-37.
10. Fernandez M., Cotrina J., Soriano M., and Domingo N. A note about the traceability properties of linear codes. LNCS, 2007, vol.4817, pp.251-258.
11. Deundyak V.M., EvpakS.A., and Mkrtichyan V. V. Analysis of properties of q-ary Reed — Muller error-correcting codes viewed as codes for copyright protection. Problems Inform. Transmission, 2015, vol.51, no. 4, pp. 398-408.
12. Pellikaan R. and Wu X-W. List decoding of q-ary Reed — Muller codes. IEEE Trans. Inform. Theory, 2004, vol. 50, no. 4, pp. 679-682.
74
В. М. fleyHgxK, fl. B. 3aryMeHH0B
13. Deundyak V. M. and Zagumennov D. V. Issledovanie svoystv AG-kodov kak kodov dlya zashchity ot kopirovaniya [On the properties of algebraic geometric codes as copy protection codes]. Modelirovanie i Analiz Informatsionnykh Sistem, 2020, vol.27, no. 1, pp.22-38. (in Russian)
14. Barg A. and Kabatiansky G. A class of I.P.P. codes with efficient identification. J. Complexity, 2004, vol. 20, iss. 2-3, pp. 137-147.
15. Zagumennov D., Deundyak V., GufanA., and Mkrtichan V. Algebraic geometry codes for special broadcast encryption schemes in telecommunication nets. Proc. MWENT, Moscow, Russia, 2020, pp. 1-6.
16. Kabatyansky G. A. Traceability codes and their generalizations. Problems Inform. Transmission, 2019, vol. 55, no. 3, pp. 283-294.
17. Moreira J., Fernandez M., and Soriano M. On the relationship between the traceability properties of Reed — Solomon codes. Adv. Math. Commun., 2012, vol.6, no.4, pp.467-478.
18. Fernandez M. Codes with traceability properties and the Silverberg — Staddon — Walker conjecture. XVI Intern. Symp. "Problems of Redundancy in Information and Control Systems", Moscow, Russia, 2019, Plenary lecture.
19. Safavi-Naini R. and Wang Y. New results on frame-proof codes and traceability schemes. IEEE Trans. Inform. Theory, 2001, vol.47, no. 7, pp. 3029-3033.
20. Ge G. and Shangguan Ch. Good traceability codes do exist. https://arxiv.org/abs/1601. 04810v1.
21. Ge G., Ma J., and Shangguan Ch. New results for traitor tracing schemes. https://arxiv. org/abs/1610.07719.
22. Chee Y. M. and Zhang X. Improved constructions of frameproof codes. IEEE Trans. Inform. Theory, 2012, vol. 58, no. 8, pp. 5449-5453.
23. Noskov I. and Bezzateev S. Traceability schemes usings finite geometry. 10th Intern. Congress ICUMT, Moscow, Russia, 2018, pp. 1-5.
24. Tsfasman M. A, Vleduts S. G., and Nogin D. Yu. Algebrogeometricheskie kody. Osnovnye ponyatiya [Algebraic Geometric Codes. Basic Notions]. Moscow, MCCME Publ., 2003. (in Russian)
25. Hoholdt T., van Lint J. H., and Pellikaan R. Algebraic geometry codes. Handbook of Coding Theory, V. S. Pless, W.C.Huffman, and R.A. Brualdi (eds.), vol.1, Amsterdam, Elsevier, 1998, pp. 871-961.