О разрешимости задачи дискретного логарифмирования Текст научной статьи по специальности «Математика»

Математика

УДК 511.172

О РАЗРЕШИМОСТИ ЗАДАЧИ ДИСКРЕТНОГО ЛОГАРИФМИРОВАНИЯ

А. В. Маркелова

Ранее задача разрешимости показательного сравнения рассматривалась О.Н. Василенко [1]. Результаты, приведенные в настоящей статье, применимы в более общих случаях. Например, О.Н. Василенко допускает существенные ограничения (отсутствующие в данной статье) на простые делители модуля и на порядок основания степени. Результаты, полученные нами для случая ра, отчасти перекликаются с результатами В.М. Сидельникова [2]. Составной модуль, не являющийся степенью простого числа, рассмотрен В.М. Сидельниковым только в случае, когда порядок основания степени — простое число, а в данной статье основание произвольное.

Пусть M = pО*1 • ... • p<ak, a,b Е (Z/MZ)*. Рассмотрим сравнение

ax = b (mod M). (1)

Лемма 1. Если M Е {2, 4,pa, 2pa} (p = 2,a Е N), то сравнение (1) разрешимо тогда и только тогда, когда ordMb | ordMa.

Утверждение леммы следует из цикличности мультипликативной группы (Z/MZ)* при данных M (см. [3, гл. 6]).

Напомним, что Q(a, г) = а <т.)~1 (mod г) — частное Ферма, где А(г) — функция Кармайкла, (а, г) = 1.

Лемма 2. 1) Если a и b таковы, что (a,r) = (b,r) = 1, то Q(ab,r) = Q(a,r) + Q(b,r) (mod r)

(показательное свойство частного Ферма). 2

2) Число R = ^^ ^ является периодом Q(x,r) по первому аргументу. Эти свойства частного Ферма доказаны, например, в [4, с. 146, леммы 5.12 и 5.15]. Лемма 3. Пусть p простое, нечетное, а > 1, ordp«a = 5 = pß¿1, где ¿1 = (ö,p — 1), 0 < ß < a — 1. Тогда если ß = 0, то Q(a,pa-i) = 0 (mod pa-i), а иначе pa-ß-1\\Q(a,pa-1) (в точности делит).

Доказательство. Пусть a01 = 1 + pYq1, где q1 =0 или (p,q1) = 1, Y > 1. Если q1 = 0, то ß = 0 и Q(a,pa-i) = 0 (mod pa-1), т.е. утверждение леммы доказано.

Пусть q1 = 0. По биному Ньютона ap-1 = 1+ pYq2, где (p, q2) = 1. Далее, опять же по биному Ньютона

получаем, что ар" 2(p_1) = 1 + p1+a~2qs, где (р, qs) = 1, откуда Q(a,pa~1) = l+pl+pa-iq3~l =p1~lq:i-

Если ß = 0, то y ^ а, поэтому Q(a,pa-1) = 0 (mod pa-1). При ß = 0 получим, что apß01 = 1 + pY+ßq4, где (p, q^) = 1. Таким образом, а = 7 + ß, откуда 7 = а — ß, т.е. pa~ß~l\\Q(a,pa~l). □

Теорема 1. Пусть р — простое нечетное число, а > 1. Тогда сравнение

ax = b (mod pa) (2)

равносильно системе

(Q(a,pa-1)x = Q(b,pa-1) (mod pa-1), I ax = b (mod p).

Доказательство. По лемме 2 решение исходного сравнения удовлетворяет системе. Значит, достаточно доказать, что, во-первых, исходное сравнение и система неразрешимы одновременно, а во-вторых, в случае разрешимости система имеет единственное по модулю ordp« a решение.

Пусть ordp«a = pni51 и ordp«b = pn252 ((51 ,p) = (52,p) = 1,n1 ,n2 > 0). По лемме 1 сравнение (2) разрешимо тогда и только тогда, когда ¿21 ¿1 и П2 < П1.

Поскольку порядки a и b по модулю p — это соответственно ¿1 и ¿2, то, согласно лемме 1, второе сравнение системы (3) разрешимо тогда и только тогда, когда ¿21¿1. В этом случае его решение будет единственным по модулю ¿1. Осталось доказать, что первое сравнение разрешимо тогда и только тогда, когда 0 < П2 < П1, и при этом его решение будет единственным по модулю pni.

Если и\ = 0 и П2 = 0, то по лемме 3 из первого сравнения системы (3) получаем сравнение 0 = pa~n2-iqi (mod pa-1), которое не имеет решений.

Если Ui =0 и U2 = 0, то по лемме 3 получаем 0 • x = 0 (mod pa-i), и этому сравнению удовлетворяет любое целое число x.

Если Ui =0, U2 = 0, то первое сравнение системы (3) по лемме 3 имеет вид pa-ni-iq'x = 0 (mod pa-1), т.е. разрешимо, а решение будет единственным по модулю pni (x = 0 (mod pni)).

Пусть теперь Ui =0, U2 = 0. Согласно лемме 3, первое сравнение системы (3) можно записать как pa-ni-1q'x = pa-n2-1q'' (mod pa-i), где (q",p) = (q',p) = 1. Это сравнение разрешимо тогда и только тогда, когда а — Ui — 1 < а — U2 — 1, т.е. Ui > U2, причем его решение является единственным по модулю

pa-1-(a-ni-i) = pni д

Теорема 2. Пусть p = 2, а > 5. Сравнение ax = b (mod 2а) равносильно системе

(xQ(a, 2а-2) = Q(b, 2а-2) (mod 2а-2), \ax = b (mod 4).

(4)

Доказательство. Пусть a = (—1)йа57а (mod 2а), b = (—1)йь57ь (mod 2а) (см. [3, гл. 6]). По лемме 2 имеем Q(a, 2а-2) = jaQ(5, 2а-2) (mod 2а-2). Следовательно, первое сравнение системы (4) перепишется в виде YaQ(5, 2а-2)x = YbQ(5, 2а-2) (mod 2а-2).

получаем систему, равносильную (4):

а —4

Учитывая, что Q(5,2a 2) = 5 1 (mod 2а 2) — нечетное число (см. [4, с. 148, теорема 5.20]),

Yax = Yb (mod 2a-2), Sax = Sb (mod 2),

которая, очевидно, равносильна исходному сравнению. □

Теоремы 1 и 2 помогают осуществить подъем решений показательного сравнения. То есть если у нас есть решение показательного сравнения в кольце вычетов по модулю p, то мы можем получить решение в кольце вычетов по модулю pa. На это потребуется не более 0(log p) операций. Кроме того, данные теоремы помогают решить задачу дискретного логарифмирования в некоторых случаях. При p = 2 данная задача решается по теореме 2. А при нечетных p, если порядок a является степенью числа p, решение может быть найдено по теореме 1.

Рассмотрим теперь сравнение в общем виде:

ax = b (mod M), (5)

где M = 'f^1 •... • p°ak ,k > 2. Пусть Si = pjij Sij — порядок элемента a по модулю pai, (pj, Sij) = 1. Обозначим через Ci решение сравнения ax = b (mod pai) по модулю Si, а через cii — его вычет по модулю p7m (Ci можно легко найти с помощью частного Ферма по теоремам 1 и 2 или при pi = 2,ai < 5 путем перебора).

Теорема 3. Сравнение (5) разрешимо тогда и только тогда, когда выполнены следующие условия:

1) при любом i сравнение ax = b (mod pai) разрешимо;

2) при любых i = j сравнение ax = b (mod pipj) разрешимо;

_ . max{Yij —Yjj,0}

3) если pj | Si; то (ba-cj) ijPj = 1 (mod pi).

Доказательство. ^ Если сравнение разрешимо по модулю M, то оно разрешимо и по модулям pai и pipj, т.е. два первых утверждения доказаны. Из разрешимости (5) следует, что соответствующие сравнения по модулям pai и p"j совместны, т.е. Ci = Cj (mod (Si,Sj)); в частности, если pj | Si, то Ci =

Cj (mod pfin{lijj}).

Если Yij ^ Yjj, то получаем Ci = Cj = cj (mod p"Ylj). Так как ordpi a^ij = pj, то a^ij Cj = a^ij Ci = b&ij (mod p<ai), т.е.

„ max{Yij„

(ba-cj )Sij pj = (ba-cj fj = 1 (mod pai).

Если же Yij > Yjj, то Ci = Cj = cj (mod pjjj), т.е. Ci = Cj + upjjj. Получается, что a(cj+upY = b^ij (mod pai), следовательно,

(ba-c'j fj = aupj Sj (mod pai).

Поскольку (aupj Sj j ^ = auSi> j = auSi = 1 (mod pai), то

„ max{Yij-Yjj,0} „ Yij -Yjj

(ba-cj fj pj = (ba-cj fj pj = 1 (mod pai).

Так как из выполнимости сравнения по модулю p0ai следует его выполнимость по модулю pi, то утверждение 3 доказано.

^ Сравнение (5) равносильно системе аналогичных сравнений по модулям pa, из которой в соответствии с условием 1 получаем систему

x = Ci (mod ¿i), x = ck (mod 5k).

Нам необходимо проверить, совместна ли эта система, т.е. для всех ли i = j выполнено Ci = Cj (mod (Si, Sj)). Если это так, то далее решение находится по китайской теореме об остатках (см. [3, гл. 4]).

Пусть pi > pj. Напомним, что Si = p'JiiSii = pjijSj и Sj = pY33Sjj, причем Sii | (pi — 1), Sjj | (pj — 1). Тогда (Si,Sj) = (pYij Sij ,pYjj Sjj) = (Sij ,Sjj)(pj ,pYjj) = (Sii,Sjj)(pj ,pYjj) (так как pipj не делит Sjj | (pj — 1)).

Из условия 2, учитывая, что порядок a по модулям pi и pj соответственно равен Sii и Sjj, получаем,

(x = Ci (mod Sii), _ / л /г г \\

что система < , . _ . совместна, т.е. Ci = Cj (mod {оц,дц)).

= Cj (mod Sjj) J JJ

Осталось доказать, что Ci = Cj (mod (pYij ,pY33 ) = p™™^3 'Yjjj).

Если Yij ^ Yjj, то для решения необходимо и достаточно, чтобы Ci = Cj (mod p"Ylj). Поскольку Cj = Cj (mod p"Ylj), то необходимо и достаточно, чтобы выполнялось условие

a8jс'з = bSij (mod pai). (6)

Если ai = 1, то все доказано по условию 3 теоремы. Иначе заметим, что pi > pj > 2, т.е. pi нечетное. По лемме 3 получаем

Q(aSjp-i) = Q(b8ij,p*i-i) = 0 (mod p*i-i), (7)

поскольку pi не делит ord(p«iy/ij = p"Ylj и ord(p«i) b8ij | ord(p«i y/ij.

Теперь по теореме 1 из условия 3 теоремы и условия (7) следует условие (6), что и требовалось доказать.

При Yij > Yjj необходимо и достаточно, чтобы Ci = Cj (mod p"Yjj), т.е. чтобы существовало число u £ Z,

такое, что Ci = Cj +upYjj. Это выполнено тогда и только тогда, когда сравнение a8ij (cj +upY ^ = b8ij (mod p^) разрешимо относительно u £ Z, т.е.

(a8jpj )u = bSij a-Sijcj (mod pai). (8)

Так как pi не делит ord p«i (a8ijpY ) = pYij Yjljl и ord p«i (b8ij a-8ijCj) | pYij, то по лемме 3

pi pi

Q(a8ijpj ,pai-i) = Q(b&ja-Sij,pai-i) = 0 (mod pai-i). (9)

Поскольку, как уже было сказано, pi нечетное, то по теореме 1 и в силу (9) сравнение (8) равносильно

8'' Yjj Л 8 ~

сравнению (a ijpj )u = b8ija-8ijCj (mod pi), а по лемме 1 данное сравнение разрешимо тогда и только тогда, t- t- Yij ~Yjj

когда (b ija~ ijCj)pi = 1 (mod Pi). Последнее верно в силу условия 3 теоремы. ц

Свойства 1 и 3 теоремы легко проверяются: свойство 1 — по лемме 1, свойство 3 — непосредственным вычислением. Значит, осталось научиться проверять разрешимость сравнения

ax = b (mod pq), (10)

где p и q — различные простые нечетные числа (если одно из них четное, см. лемму 1). Сформулируем простую лемму.

Лемма 4. Если (оМра, огёда) = 1, то сравнение (10) разрешимо тогда и только тогда, когда разрешимы соответствующие сравнения по модулям р и д. Рассмотрим чуть более сложный случай.

Теорема 4. Пусть р = 2г + 1, д = 2в + 1, где (г, в) = 1, г,в нечетные. Сравнение (10) разрешимо тогда и только тогда, когда:

1) ах = Ь разрешимо по модулям р и д;

2) выполнено одно из следующих условий:

г) ordpa | г; ii) ordga | s; Hi) ordpa = 25\, ordga = 262, (^J^J = 1-

Доказательство. Если условие 1 не выполнено, то сравнение (10) неразрешимо. Предположим, что условие 1 выполнено. Тогда если справедливо условие i или ii, то по лемме 4 сравнение (10) разрешимо (поскольку (ordpa, ordga) = 1).

Теперь пусть условие 1 выполнено, а условия i и ii не выполнены. В этом случае (ordpa, ordga) =2 и a — квадратичный невычет по обоим модулям p и q. Необходимо доказать, что сравнение (10) разрешимо тогда и только тогда, когда выполнено условие iii.

Обозначим через Ci и C2 решения сравнений ax = b (mod p) и ax = b (mod q) соответственно. Они определены по модулям ordpa и ordga.

Сравнение ax = b (mod pq) разрешимо тогда и только тогда, когда Ci = C2 (mod (ordpa, ordga) = 2).

Если Ci и C2 четные, то b — квадратичный вычет по обоим модулям; если оба нечетные, то соответственно b — невычет. То есть условие совместности ( Ci = C2 (mod 2)) выполнено тогда и только тогда,

когда ^ = (?)' а именно = L □

Автор приносит благодарность М. А. Черепневу за помощь в работе над статьей.

СПИСОК ЛИТЕРАТУРЫ

1. Василенко О.Н. О разрешимости задачи дискретного логарифмирования в кольцах вычетов // Фунд. и прикл. матем. 2002. 8, № 3. 647-653.

2. С'идельников В.М. Частные Ферма и логарифмирование в мультипликативной группе кольца вычетов по при-марному модулю // Математические вопросы кибернетики. 1999. 8. 55-62.

3. Виноградов И.М. Основы теории чисел. М.: Наука, 1972.

4. Василенко О.Н. Теоретико-числовые алгоритмы в криптографии. М.: МЦНМО, 2003.

Поступила в редакцию 30.03.2006

УДК 517.9

ХАРАКТЕРИСТИКА ЧЕБЫШЕВСКИХ КОНУСОВ КОНЕЧНОЙ РАЗМЕРНОСТИ

И КОНЕЧНОЙ КОРАЗМЕРНОСТИ

В.М. Федоров

1. Общие определения и результаты. Мы будем рассматривать банахово пространство Е, а также его сопряженное пространство Е* над полем F действительных или комплексных чисел. Однако для сокращения записи линейная независимость, линейная оболочка, линейное подпространство и размерность всюду, где точно не указано, рассматриваются над полем действительных чисел. Замкнутый единичный шар пространства Е и сопряженного пространства Е* обозначается соответственно через

5 = {х е Е | ||ж|| < 1} , 5* = {а е Е* | \\а\\ < 1} .

Определение. Множество М С Е называется коническим, если для всех х е М и для всех чисел а > 0 имеет место включение ах е М. Выпуклое коническое множество К С Е, не совпадающее с пространством Е, называется клином. Замкнутый клин будем называть конусом.