CC BY
11
Значения Num_Trans, Num_Best являются параметрами алгоритма. Вычислительные эксперименты показали, что при Num_Best = 10, Num_Trans = 500 на первой итерации и Num_Trans = 100 на последующих за приемлемое число итераций можно получить 8-битовые подстановки с характеристиками (3) и алгебраической степенью 7.
Наиболее трудоёмким этапом алгоритма является вычисление tf , Sf , линейного и разностного спектров. С целью оптимизации этих вычислений теория из работы [9] применена для определения ячеек в DDT и LAT, в которых возникают изменения значений при умножении на транспозицию только 4-битовой подстановки тг\ или 7Г2. Асимптотические оценки трудоёмкости нахождения разностного спектра, дифференциальной равномерности, линейного спектра и линейности совпадают с приведёнными в [9]. Так, алгоритм вычисления разностного спектра и показателя дифференциальной равномерности примерно в 22m раз быстрее по сравнению с алгоритмом их вычисления для произвольной подстановки, а трудоёмкость алгоритма пересчёта линейного спектра и линейности примерно в 2m раз меньше трудоёмкости их нахождения для произвольной подстановки. По сравнению с [9] при вычислении криптографических характеристик можно получить выигрыш по памяти за счёт уменьшения числа хранимых ячеек в DDT и LAT в силу особенностей обобщённой конструкции.
ЛИТЕРАТУРА
1. Menyachikhin A. V. Spectral-linear and spectral-differential methods for generating S-boxes having almost optimal cryptographic parameters // Матем. вопр. криптогр. 2017. Т. 8. Вып. 2. С.97-116.
2. Фомин Д. Б. О подходах к построению низкоресурсных нелинейных преобразований // Обозрение прикладной и промышленной математики. 2018. Т. 25. Вып. 4. С. 379-381.
3. Фомин Д. Б. Об алгебраической степени и дифференциальной равномерности подстановок пространства V2m, построенных с использованием (2m, т)-функций // Матем. вопр. криптогр. 2020. Т. 11. №4. С. 133-149.
4. Кострикин А. И. Введение в алгебру. Ч. I. Основы алгебры: учебник для вузов. 3-е изд. М.: Физматлит, 2004. 272 с.
5. O'Connor L. Properties of linear approximation tables // LNCS. 1995. V. 1008. P. 131-136.
6. Biryukov A., Perrin L., and Udovenko A. Reverse-engineering the s-box of Streebog, Kuznyechik and STRIBOBr1 // LNCS. 2016. V.9665. P. 372-402.
7. Browning K. A., Dillon J. F., McQuistan M. T., and Wolfe A. J. An APN permutation in dimension six // 9th Int. Conf. Finite Fields Appl. 2009. Contemp. Math. 2010. V. 518. P. 33-42.
8. Canteaut A. and Perrin L. On CCZ-Equivalence, Extended-Affine Equivalence, and Function Twisting. Cryptology ePrint Archive, Report 2018/713. https://eprint.iacr.org/2018/713.
9. Menyachikhin A. V. The change in linear and differential characteristics of substitution after the multiplication by transposition // Матем. вопр. криптогр. 2020. Т. 11. №2. С. 111-123.
УДК 519.688 DOI 10.17223/2226308X/14/43
О НЕКОТОРЫХ ПОДГРУППАХ БЕРНСАЙДОВОЙ ГРУППЫ B0(2, 5)
А. А. Кузнецов, А. С. Кузнецова
Пусть B0(2, 5) = {x,y} — наибольшая конечная двупорождённая бернсайдова группа периода 5, порядок которой равен 534. В работе изучена серия подгрупп Hi = {ai,bi} группы Bo(2, 5), где ao = x, bo = y, a = ai-ib— и bi = hi-ia—
Вычислительные методы в дискретной математике
185
для i G N. Получено, что группа H4 является абелевой, поэтому H5 — циклическая группа, и серия подгрупп прерывается. Показано, что элементы 04 = = xy2xyx2y2x2yxy2x и b4 = yx2yxy2x2y2xyx2y длины 16 порождают в В0(2, 5) абелеву подгруппу порядка 25, и никакие другие два групповых слова, длины которых меньше 16, не порождают нециклическую абелеву подгруппу в Во(2, 5).
Ключевые слова: некоммутативная криптография, группа Бернсайда.
Наиболее распространённые в настоящее время криптографические алгоритмы, такие, как RSA, Диффи — Хеллмана, на эллиптических кривых и др., зависят от структуры коммутативных групп и связаны со сложностью решения задачи факторизации целых чисел и дискретного логарифмирования. Однако в 1994 г. П. Шор представил квантовый алгоритм полиномиальной сложности, решающий эти проблемы [1]. Данный факт побудил исследователей к поиску альтернативных методов построения криптосистем. В последние два десятилетия были разработаны новые криптосистемы и протоколы обмена ключами, основанные на различных некоммутативных алгебраических системах (группы кос, полициклические группы, линейные группы и др.).
Пусть В(m, n) = (xi,... , xm) — свободная бернсайдова группа периода n, в которой для любого элемента группы g выполняется тождество дп = 1. В работах [2-4] в качестве криптографических примитивов предложено использовать бернсайдовы группы периода n = 3. Для n > 3 вопрос пока не рассматривался. Заметим, что, помимо прикладного интереса, изучение бернсайдовых групп имеет большое значение и для алгебры, поскольку там до сих пор остаётся ряд нерешённых проблем. Например, неизвестно, конечна ли группа B(2, 5).
Пусть Во(2, 5) = (x, y) —наибольшая конечная двупорождённая бернсайдова группа периода 5, порядок которой равен 534 [5]. Если группа В(2,5) конечна, то В0(2, 5) = = В(2, 5).
Рассмотрим подгруппы Hi группы В0(2, 5) следующего вида:
H = (ai,bi),
где ао = x, bo = y, ai = щ-ф— и bi = bi-ia— для i G N.
Обозначим Ni и Ei — класс нильпотентности и энгелев индекс подгруппы Hi соответственно. В таблице представлены свойства групп Hi, полученные при помощи компьютерных вычислений.
i ai, bi |Hi| Ni Ei Hi абелева?
1 xy, yx 514 6 5 Нет
2 2 2 xy2x, yx2y 56 4 4 Нет
3 2 2 2 2 xy2xyx2y, yx2yxy2x 53 2 2 Нет
4 2 2 2 2 2 2 2 2 2 2 xy2xyx2y2x2yxy2x, yx2yxy2x2y2xyx2y 52 1 1 Да
Заметим, что группа H уже изучена ранее [6].
Поскольку группа H4 является абелевой, то H5 — циклическая группа порядка 5, и серия подгрупп прерывается.
В качестве примера далее представлено коммутаторное представление (power commutator presentation) подгруппы H2 = (a2,b2) = (xy2x,yx2y).
Для каждого элемента данной группы H2 существует уникальное коммутаторное представление вида c^1 ... c^6, где a G Z5, i = 1, 2,... , 6. Здесь ci = а2 и c2 = b2 — порождающие элементы H2; c3,c4,c5,c6 — коммутаторы, которые вычисляются рекурсивно через ci и c2:
С5 = 1 (1 ^ i ^ 6), [c2,ci] = С3, [c3,ci] = С4, [С3,С2] = С5, [c4,ci]
С6,
[С4,С2] = 1, [С4,Сз] = 1, [C5,Ci] = 1, [С5,С2] [c6,ci] = 1, [С6,С2] = 1, [Сб,Сз] = 1, [с6, С4]
С
,4, [С5,С3] 1, [С6,С5] =
1, 1.
[С5,С4] = 1,
Для быстрого умножения элементов на основе алгоритма из [7] вычислены полиномы Холла группы Н2.
Пусть оЧ1 ... о%6 и о^1 ... о^6 —два произвольных элемента из Н2. Тогда
г.a 6
Jl
Л
„71
с66 , a.i,fii,Yi е Z5,
где
Yi = « + ^1,
72 = a2 + в2,
Y3 = «3 + в3 + «2 в1,
74 = «4 + в4 + ^^ «2 +
( «2^
75 = «5 + в5 + ( 2 ) Pi + «3^2 +
в 2
«3въ
76 = «6 + в6 + (^ «3 + («2 + 4 ( Oj2) ei + 4 ( ^2) «3 + «4 ei + 4«5в2 + 4 ( «22) в! в2 + Заслуживает внимания также тот факт, что элементы
2 222 2 J 2 222 2
a4 = xy xyx y x yxy x, b4 = yx yxy x y xyx y
порождают в Bo(2,5) абелеву подгруппу порядка 25. Длина каждого из этих элементов равна 16. При помощи компьютерных вычислений проведена проверка, которая
показала, что никакие другие два групповых слова, длины которых меньше 16, не
порождают нециклическую абелеву подгруппу в B0(2, 5).
ЛИТЕРАТУРА
1. Shor P. Algorithms for quantum computation: Discrete logarithms and factoring // Proc. 35th Ann. Symp. Foundations Comput. Sci. 1994. P. 124-134.
2. Baumslag G., Fazio N., Nicolosi A. R., et al. Generalized learning problems and applications to non-commutative cryptography // LNCS. 2011. V.6980. P. 324—339.
3. Fazio N., Iga K., Nicolosi A. R., et al. Hardness of learning problems over Burnside groups of exponent 3 // Designs, Codes Cryptogr. 2015. V. 75(1). P. 59—70.
4. Kahrobaei D. and Noce M. Algorithmic problems in Engel groups and cryptographic applications // Intern. J. Group Theory. 2020. V.9(4). P. 231—250.
5. Havas G., Wall G., and Wamsley J. The two generator restricted Burnside group of exponent five // Bull. Austral. Math. Soc. 1974. No. 10. P. 459—470.
6. Кузнецов А. А. Об одной подгруппе бернсайдовой групы B0(2, 5) // Тр. Института математики и механики УрО РАН. 2011. Т. 17. №4. C. 176-180.
7. Кузнецов А. А., Кузнецова А. С. Быстрое умножение элементов в конечных двупорож-дённых группах периода пять // Прикладная дискретная математика. 2013. №1(19). C. 110-116.
i
6
i
6
i
