CC BY
39
УДК 512.624
МЕТОД ВОССТАНОВЛЕНИЯ НАЧАЛЬНОГО СОСТОЯНИЯ ЛИНЕЙНОГО ГЕНЕРАТОРА НАД КОНЕЧНЫМ ПОЛЕМ, УСЛОЖНЁННОГО НАЛОЖЕНИЕМ МАСКИ
А. В. Волгин, А. В. Иванов
Рассматривается линейный генератор [1], который определяется как последовательность {un}^=0 над полем P = (GF(q), +, •), q = ps, удовлетворяющая линейному соотношению
un+1 = aun + b, a, b Е GF(q), a = 0, n = 0,1,...
Пусть а = (a1,... , as) —фиксированный базис поля P, e0,... , es — некоторые элементы поля P, которые имеют представление в базисе а:
£i = ei1)ai + ... + £(is')as, Е GF(p), i = 0,..., s, j = 1,..., s.
(j)
Зафиксируем k Е N, k < s. Будем считать, что ei ) = 0 для всех i = 0,...,s, j = = k + 1,... , s.
Пусть задано некоторое натуральное число t, k +1 ^ t > 2, известны параметры a, b и элементы w0,... , wt-1 поля P вида
wi = ui — ei, i = 0,..., t — 1. (1)
Пусть также известно, что a Е F, где F — фиксированное подмножество P,
|F| < 2p5t + ^ 2^P2k-i+2, где & — наибольший из делителей s, которые меньше t.
В [1] предложен метод, позволяющий при данных условиях восстанавливать значение u0 с полиномиальной сложностью. В докладе предлагается метод, позволяющий восстанавливать u0 при условии, когда параметр b неизвестен.
Теорема 1. Пусть известны w0,...,wt-1 из соотношения (1), известен мультипликативный множитель a, a Е F С P, F — фиксированное множество, |F | < 2рг‘ +
+ (i k 2^P2fc-t+2’ k + 1 ^ t > 2, ^ — наибольший из делителей s, которые меньше t, и
неизвестна аддитивная константа b. Тогда существует алгоритм, который при определённых условиях с полиномиальной сложностью находит начальное значение u0.
ЛИТЕРАТУРА
1. Gutierrez J., Ibeas A., Gomez-Perez D., and Shparlinski I. E. Predicting masked linear pseudorandom number generators over finite fields. Berlin: Springer, 2012.
УДК 003.26.09
О СИСТЕМЕ МАК-ЭЛИСА НА НЕКОТОРЫХ АЛГЕБРО-ГЕОМЕТРИЧЕСКИХ КОДАХ1
М. М. Глухов-мл.
В последние годы внимание многих специалистов в области криптографии с открытым ключом уделено развитию кодовых криптосистем, в частности схем Мак-Элиса и
хРабота поддержана грантом РФФИ, проект №6260.2012.10.
Нидеррайтера. Их стойкость основана на вычислительной сложности задачи декодирования кода, порождающая (или проверочная) матрица которого выглядит как некая случайная матрица.
С точки зрения стойкости такой системы крайне важен выбор семейства кодов. В «оригинальной» системе Мак-Элиса используется классический двоичный код Гоп-пы. В работе [1] рассматривается возможность применения [961, 771]з1-кодов Гоппы, который, при одинаковой стойкости по сравнению с двоичным кодом Гоппы, дает существенно меньшую длину открытого ключа. Продолжение исследований, связанных с обоснованием преимуществ недвоичных кодов Гоппы, содержится в работе [2].
Долгое время считался удачным выбор В. М. Сидельниковым [3] двоичного кода Рида — Маллера. Однако в работе [4] предложен субэкспоненциальный алгоритм атаки на такую систему. При этом используется возможность нахождения кодового слова минимального веса кода И,М(г, т) как произведения г слов (функций) минимального веса из И,М(1,т). Этот алгоритм оказался эффективен для кода Рида — Маллера третьего порядка длины 2048.
Как показано в [5], к нестойкой системе приводит использование кодов Рида — Соломона в системе Нидеррайтера. На первом этапе полиномиального алгоритма вскрытия системы использована трижды транзитивность группы обобщённых автоморфизмов указанных кодов.
Ранее автором (см. [6]) найдена конструкция классов алгебро-геометрических кодов над различными конечными полями с очень хорошим соотношением скорости и относительного расстояния, в частности семейство {Сг : [768, 3г — 57, 768 — 3г]256}2=539 кодов на кривой над Р = ОЕ(28), заданной уравнением у3 = ж60 + ж57 + ж54 +... + х3 +1.
Каждый из построенных кодов Сг = С(Б, С) определяется дивизорами Б и С, где Б — формальная сумма всех Р-рациональных точек ^1,... , ^768 кривой, а С = г • ^те. Векторами кода С являются векторы значений функций от двух переменных х и у из некоторого класса Ф0, который, при условии 114 < deg С = 3г < 768, образует линейное подпространство размерности 3г — 57 над полем Р с базисом В = = {хгу^' : ] = 0,1, 2, г = 0,1,... , г — 20^'} пространства Ф всех функций от х, у над Р.
Из данного кода методом, основанным на проектировании кодов, получаются семейства кодов С1гт = С(Б;,С), где Б есть сумма т произвольных Р-рациональных точек кривой при условии 114 < deg С = 3г < т ^ 768. При выполнении указанных условий размерности полученных кодов совпадают с размерностью «исходного» кода Сг. Таким образом, при фиксированном т получается до ( ) кодов длины т
т
и размерности 3г — 57. При этом кодовое расстояние d любого из кодов С/гт равно d = т — 3г.
Нетрудно оценить величину числа т, обеспечивающую стойкость кодовой системы
к перебору всех 768 сочетаний вошедших в дивизор точек кривой, а также к пере-т
бору всех возможных векторов-ошибок.
С другой стороны, мы получаем возможность варьировать длину и размерность кодов для получения оптимальных параметров системы.
Таким образом были выделены семейства кодов СГ: [т, 3г — 57, т — 3г]256-коды при т = 150, 739, г = 39, 235.
Порождающая матрица каждого из этих кодов С; получается из порождающей матрицы кода С удалением 768 — т столбцов, соответствующих точкам кривой, удалённым из дивизора Б при переходе к дивизору Б;.
Для рассматриваемых кодов и во введённых обозначениях справедлива следующая теорема.
Теорема 1. Пусть Cr = С(D, G) —код, в котором дивизор D = Q1 + ... + Q768 есть сумма всех P-рациональных точек кривой, заданной уравнением у3 = x60 + x57 + +x54 +... + x3 + 1. Тогда в порождающей матрице этого кода нет одинаковых столбцов. Для каждого фиксированного кода из рассматриваемых семейств СГ m при r ^ 127 и
фиксированном m получается — ( ) различных кодов.
18 \ m )
Доказательство теоремы конструктивно и даёт возможность выбора точек дивизора D’ так, чтобы все полученные коды были различны.
Код С при указанных выше значениях r изоморфен пространству Ф0. Описание автоморфизмов алгебры Ф, оставляющих на месте Ф0, дает следующая теорема.
Теорема 2. В указанных выше обозначениях при 39 ^ r ^ 127 каждый автоморфизм линейной алгебры Ф, отображающий Ф0 на себя, задается образами х, у: <^(x) = ax + 6; <^(у) = dy, где a, d, 6 Е P и a3 = d3 = 1, 6 Е {0,1} в поле P.
Из этой теоремы выводятся достаточные условия на выбор точек дивизора D' для получения кодов С(D;, G) с тривиальной группой автоморфизмов.
Обобщёнными автоморфизмами кода длины N называют композицию его автоморфизма и преобразования, заключающегося в умножении i-й координаты всех его векторов на один и тот же элемент ki поля (зависящий от i), i = 1,... , N. Условимся последнее преобразование называть мультипликативным сдвигом на вектор (k1, k2,... , kn). При k1 = ... = kN будем называть его тривиальным сдвигом на k1.
Теорема 3. Код С(D;, G) имеет только тривиальные мультипликативные сдвиги на любые элементы из P.
ЛИТЕРАТУРА
1. Peters Chr. Information-set decoding for linear codes over Fq // LNCS. 2010. V. 6061. P. 81-94.
2. Bernstein D. J., Lange T, and Peters Chr. Wild McEliece // http://eprint.iacr.org/2010/ 410.
3. Сидельников В. М. Открытое шифрование на основе двоичных кодов Рида — Маллера // Дискретная математика. 1994. T. 6. Вып. 3. C.3-20.
4. Minder L. and Shokrollahi A. Cryptanalysis of the Sidelnikov cryptosystem // LNCS. 2007. V. 4515. P. 347-360.
5. Сидельников В. М., Шестаков С. О. О системе шифрования, построенной на основе обобщённых кодов Рида — Соломона // Дискретная математика. 1994. T. 4. Вып. 3. C. 57-63.
6. Глухов М. М. О кодах Гоппы на одном семействе полей алгебраических функций // Дискретная математика. 2001. T. 13. Вып. 2. C. 14-34.
УДК 519.7, 004.056.2, 004.056.53
УСЕЧЁННЫЕ ДИФФЕРЕНЦИАЛЬНЫЕ ХАРАКТЕРИСТИКИ С МИНИМАЛЬНЫМ КОЛИЧЕСТВОМ АКТИВНЫХ БАЙТ ДЛЯ УПРОЩЁННОЙ ХЭШ-ФУНКЦИИ WHIRLPOOL
А. А. Камаева
Хэш-функция Whir/poo/ (далее W) разработана Винсентом Риджменом (Vincent Rijmen) и Пауло Баррето (Paolo Barreto) и опубликована в 2000 г. [1]. Претерпев ряд
