CC BY
9Математика А Математическое
моделирование
ХДК 519.40
Ссылка на статью:
// Математика и математическое моделирование. МГТУ им. Н.Э. Баумана. Электрон. журн. 2015. №5. С. 43-63.
Б01:10.7463/шаШш.0515.0820675
Представлена в редакцию: 01.11.2015 © МГТУ им. Н.Э. Баумана
Односторонние функции и композиция проблем сопряженности и дискретного логарифмирования в С(3)-Т(в)-группах
Безверхний Н. В.1'* *nbezv@mail.ru
1МГТУ им. Н.Э. Баумана, Москва, Россия
В данной работе рассматривается возможность построения односторонней функции для схемы открытого распределения ключей на основе композиции задач о дискретном логарифмировании и сопряжённости в группах с условиями С(3) -Т (6). При этом используются следующие алгоритмы: алгоритм, решающий проблему вхождения в циклическую подгруппу, известную также как проблема дискретного логарифмирования, алгоритм, решающий проблему равенства слов в данном классе групп, и алгоритм, решающий проблему сопряжённости слов. Исследование проводится с использованием геометрических методов комбинаторной теории групп (метода диаграмм над группами). Нашей задачей было построить алгоритм, вычисляющий значение обратной функции в композиции проблем сопряжённости и дискретного логарифмирования на группе с условиями малого сокращения С(3)-Т(6). Исследования показывают, что процедура вычисления обратной функции реализуема при условии, что прямая функция применяется к словам специального вида. В общем случае задача вычисления обратной функции остаётся открытой. Тем не менее, поскольку при обмене ключами по открытому каналу абоненты выбирают аргументы функции на своё усмотрение, то упомянутое ограничение множества слов не влияет на вычислительную сложность алгоритмов и их применимость в криптографии.
Ключевые слова: односторонняя функция; условия малого сокращения; диаграмма над группой; проблема вхождения в циклическую подгруппу
Введение
В криптографии при построении системы обмена конфиденциальной информацией по открытому каналу связи используют так называемые односторонние функции, вычисление которых оказывается существенно менее трудоемкой задачей по сравнению с вычислением
обратных к ним функций. Для построения таких функций можно использовать алгоритмы, предназначенные для решения тех или иных задач, изучаемых в комбинаторной теории групп. Нередко при решении алгоритмических проблем в комбинаторной теории групп строятся достаточно сложные алгоритмы. Их и используют для построения односторонних функций.
Широко известными являются алгоритмы, решающие проблему вхождения в циклическую подгруппу и проблему сопряженности элементов данной группы. В результате комбинирования этих двух проблем возникает задача о сопряженном вхождении в циклическую подгруппу. На ее основе в данной статье будет построен алгоритм, который можно брать за основу при исследовании односторонней функции на пригодность к решению задачи открытого распределения ключей.
Как принято в комбинаторной теории групп, для задания группы С используем копред-ставление С = (X; Я), где множество X — образующие элементы группы С, а множество Я — определяющие соотношения на этих образующих. Из этих соотношений может быть выведено любое соотношение, верное в группе С [1].
В этой работе рассматриваются группы, обладающим копредставлением с условиями малого сокращения С(3)-Т(6). Этот класс групп является одним из трех известных в комбинаторной теории групп классов с неметрическим условиями малого сокращения С(р)-Т(д), (р, д) € {(3, 6), (4,4), (6, 3)}. Указанные неметрические условия малого сокращения характеризуются тем, что два разных определяющих соотношения в копредставлении (X; Я) не могут иметь общее начало, с длиной, превышающей определенную часть длин обоих соотношений. С метрическими условиями малого сокращения С'(р) можно познакомиться в книгах [1, 2, 3].
Разрешимость проблемы сопряженного вхождения в циклическую подгруппу в классе групп с условиями С(3)-Т(6) доказана в статье [7]. А именно, доказана алгоритмическая разрешимость следующей задачи: по данным словам V, т в алфавите X группы С = (X, Я) с условиями С(3)-Т(6) выяснить, существуют ли целое число п и слово г в алфавите X, для которых в группе С выполнено равенство V = г-1и>пг. При этом предъявляется алгоритм нахождения числа п, а существование слова г только проверяется. Задача нахождения слова г в статье [7] не ставилась.
При построении открытой схемы распределения ключей на основе проблемы сопряженного вхождения в циклическую подгруппу оказывается необходимым уметь вычислять не только показатель п, но и слово г. Этому и посвящена данная работа. При решении поставленной задачи используется диаграммный метод комбинаторной теории групп. Интерес представляют также выводы о строении кольцевых диаграмм. В частности, доказывается их послойная периодичность.
Рассмотрим следующую схему распределение ключей по открытому каналу связи. Абоненты А и В обмениваются открытой информацией о группе С = (X, Я), словах т, х в алфавите X, где слова т, х имеют бесконечный порядок в С. После этого абонент А придумывает секретные числа т1, п1 € Ъ и отправляет абоненту В по открытому каналу слово и а = х-т1 тп1 хт1, преобразованное таким образом, чтобы без специальных вычислений невозможно было определить значения т1, п1.
Точно также абонент В придумывает секретные числа т2, п2 и отправляет абоненту А преобразованное слово ив = х-т2 тп2 хт2.
Полученное слово uA абонент B преобразует следующим образом: vв = х т2uA2хт2. Аналогично поступает со словом uв абонент A: VA = х-т1 uB1 хт1.
Легко убедиться в том, что слова VA, vв равны в группе С. Представляемый ими элемент этой группы и является общим секретным ключом, известным только А и В.
В такой схеме распределения ключей прямым вычислением односторонней функции ^ является построение слов UA, uв по известным т, х, п^, т^, I = 1, 2. Методика вычисления ^ подробно изложена в статье [12]. Обратная функция ^-1 должна по словам uA, uв восстановить числа п^, т^. Для восстановления этих чисел мы воспользуемся структурой кольцевых диаграмм над группами с условиями С(3)-Т(6).
Отметим, что проблема сопряженности слов в матричных группах и группах кос была использована в качестве основы для построения систем открытого распределения ключей в работах [16, 17, 18, 19].
Проблема дискретного логарифмирования в группах внутренних автоморфизмов полупрямых произведений групп 5Х(2, Ър) и Ър, СЬ(2, Ър) и Ър была изучена в рассматриваемом контексте в работах [20, 21], а в группах с условиями С(3)-Т(6) — в работе [12]. Подробный анализ криптосистем, предложенных в перечисленных работах, кроме [12], можно найти в статье [15].
Исследования в данной статье проводятся с использованием геометрических методов комбинаторной теории групп, а именно, метода диаграмм над группами, базирующегося на следующих двух теоремах [1, 2, 3].
Первая — лемма Ван Кампена, утверждающая, что слово равно единице в группе тогда и только тогда, когда существует односвязная диаграмма с граничной меткой, равной этому слову.
Вторая — лемма о сопряженных элементах группы, утверждающая, что слова ^ V представляют сопряженные элементы данной группы тогда и только тогда, когда существует кольцевая диаграмма с граничными метками, равными ^ V 1.
Как и при решении проблемы сопряженного вхождения в циклическую подгруппу в классе С(3)-Т(6)-групп, в данной работе используются свойства кольцевых диаграмм над С (3)-Т (6)-группой.
В дальнейшем мы будем использовать следующие обозначения:
т1 = т2 — слово т1 графически равно слову т2;
т1 = т2 — слова т1 и т2 представляют один и тот же элемент группы;
т ~ V — слова представляют сопряженные элементы группы;
|т| — длина слова т; — граница области Д;
5М — граница карты М; — степень вершины V;
¿(О) — степень области О; г (О) — число внутренних ребер области О.
Основные понятия теории групп с малыми сокращениями и метода групповых диаграмм будем считать известными [1, 2, 3, 12].
1. Кольцевые диаграммы с несократимыми граничными метками
Диаграммы и карты. Пусть Е2 — евклидова плоскость. Вершина — это некоторая точка из Е2. Ребро — ограниченное подмножество из Е2, гомеоморфное открытому единичному интервалу. Область — ограниченное множество, гомеоморфное открытому единичному кругу. Карта М — конечный набор попарно непересекающихся вершин, ребер и областей, удовлетворяющих следующим условиям:
1) если е — ребро из М, то имеются вершины а и Ь (не обязательно различные), такие,
что е = е и {а} и {Ь};
2) граница дО каждой области О из М связна, причем для некоторых ребер е1, ..., еп Е М имеем дО = ее1 и ... и еп.
Буква М будет использоваться также для обозначения теоретико-множественного объединения своих вершин, ребер и областей. Граница для М будет обозначаться символом дМ. Если е = е и {а} и {Ь}, то говорят, что а и Ь — концы ребра е.
Если е — ориентированное ребро, направленное от концевой точки к концевой точке у2, то — начальная вершина этого ребра, а у2 — конечная вершина. Противоположным образом ориентированное ребро, обратное к ребру е, обозначается через е-1 и направлено от У2 к .
Путь — это последовательность ориентированных замкнутых ребер е1, .. ., еп, такая, что начальная вершина ребра ег+1 — это конечная вершина ребра ег, 1 < г < п — 1. Концы пути — это начальная вершина ребра е1 и конечная вершина ребра еп.
Замкнутый путь, или цикл, — это такой путь, в котором начальная вершина ребра е1 является конечной вершиной ребра еп.
Путь называется приведенным, если он не содержит последовательной пары ребер вида ее-1. Приведенный путь е1... еп называется простым, если при г = ] начальные точки ребер ег и е^ различны.
Если О — область из М с данной ориентацией, то любой цикл минимальной длины, включающий в себя все ребра из дО, в котором все ребра ориентированы в соответствии с ориентацией области О, называется граничным циклом этой области. Если М связна и односвязна, то граничный цикл для М — это цикл а минимальной длины, содержащий все ребра из границы дМ и не имеющий самопересечений.
Для кольцевой карты М граница дМ = о и т — пара граничных циклов: внешний и внутренний.
Будем считать, что граничная метка области читается по часовой стрелке, граничная метка связной односвязной диаграммы — против, внешняя граница кольцевой диаграммы ориентирована против часовой стрелки, а внутренняя — по часовой стрелке.
Подпуть дД П дМ = р в граничных циклах области Д и диаграммы М называется последовательной частью границы карты М [2].
Граничной вершиной в карте М называется любая вершина, принадлежащая граничному циклу карты М. Вершины, не являющиеся граничными, называются внутренними. Внутренним ребром в карте будем считать общую часть граничных циклов двух областей, гомеоморфную отрезку и являющуюся последовательной частью границы обеих областей. Остальные ребра называются внутренними. Область Д называется граничной в карте М, если в ее граничном цикле дД есть граничные вершины карты М, т.е. дД П дМ = 0.
Диаграммой над группой ^ называется ориентированная карта М вместе с функцией метки сопоставляющей каждому ориентированному ребру е карты М метку <^(е) из ^ таким образом, что если е — ориентированное ребро из М, а е-1 — противоположным образом ориентированное ребро, то ^(е-1) = ^(е)-1.
Если а — путь в М, а = е1... ек, то положим <^(а) = ^(е1)... ^(ек). Если Д — область из М, то ее меткой называется элемент <^(а), где а — граничный цикл области Д.
Пара областей (Д1, Д2) с общим ребром е в диаграмме М называется сократимой, если граничная метка односвязной поддиаграммы и Д2 равна единице в свободной группе ^. Если в диаграмме М нет сократимых пар областей, то диаграмма М называется приведенной. Можно определить сократимую пару и в случае многосвязной поддиаграммы и Д2 [2].
Подмножество Я свободной группы ^ называется симметризованным, если все элементы из Я приведены и из г € Я следует, что все циклические перестановки элементов г±1 также лежат в Я.
Пусть Я — симметризованное подмножество элементов группы ^. Диаграмма М называется Я-диаграммой, если для любого граничного цикла 5 любой области Д из М имеем
р(5) € Я.
Пусть Я — симметризованное подмножество свободной группы ^ и N — нормальное замыкание в ^ множества Я. Если т — произвольный элемент из ^, то т € N тогда и только тогда, когда существует связная односвязная Я-диаграмма М, такая, что метка на границе карты М равна т.
Поскольку слово т представляет единичный элемент группы С = тогда и только тогда, когда т € N, то последнее утверждение является переформулировкой приведенной выше леммы Ван Кампена.
Группы с условиями малого сокращения. Пусть группа С задана копредставлением С = (X; Я). Предположим, что г1 и г2 — различные элементы из Я, такие, что г1 = Ьс1 и г2 = Ьс2. В этом случае элемент Ь называется куском относительно множества Я.
Предположения о малом сокращении состоят в том, что куски — относительно малые части элементов из Д.
Условие С(р) состоит в том, что никакой элемент из Д не является произведением менее чем р кусков.
Сформулируем условие Т(д). Пусть 3 < Л < д. Предположим, что г1,.. ., г^ — элементы из Д, такие, что последовательные элементы гг, гг+1 не являются взаимно обратными. Тогда по крайней мере одно из произведений г1г2, ..., г^-1г^, г^г1 приведено.
Если V — вершина карты М, то степень ¿(V) вершины V есть число неориентированных ребер, инцидентных вершине V. Если оба конца некоторого ребра е совпадают с V, мы считаем е дважды. Если О — область из М, то ¿(О) — степень области О — есть число ребер в граничном цикле для О. Символ г (О) обозначает число внутренних ребер из О, причем снова ребро, встречающееся в граничном цикле для О дважды, считается два раза.
Ребро е называется шипом в карте М, если его концы и, V не совпадают, и для одного из них, например и, ¿(и) = 1, а для другого ¿(V) > 1. Наличие шипа в диаграмме означает, что граничная метка ^(дМ) содержит подслово вида хх-1. Будем считать, что рассматриваемые в данной статье карты (диаграммы) не содержат шипов и вершин нулевой степени.
Пусть М — связная односвязная карта, не содержащая шипов. Граничный слой карты М состоит из всех граничных вершин, граничных ребер и граничных областей карты М вместе с их границами. Для многосвязных карт граничных слоев будет столько, какова степень их связности. Например, для кольцевой карты граничных слоев всегда два (в некоторых специальных случаях, которые будут рассмотрены ниже при классификации кольцевых диаграмм, граничный слой может оказаться единственным, или не содержащим областей).
Следующая теорема дает геометрическую интерпретацию условий С(р) и Т(д).
Теорема 1 ([2]). Пусть Д — симметризованное множество элементов свободной группы ^ и М — приведенная Д-диаграмма.
1. Если Д удовлетворяет условию С (к), то каждая область О из М, такая, что дО и дМ не содержит ребер, имеет степень ¿(О) > к.
2. Если Д удовлетворяет Т (т), то каждая внутренняя вершина V карты М имеет степень
¿(V) > т.
Сокращения в С(3)-Т(б)-группах. В группах с условиями С(р) — Т(д) длина произвольного куска может быть отлична от единицы. Но если выполнено условие д > 4, то все куски имеют единичную длину [23].
Действительно, предположив, что г1 = аЬг^, г2 = аЬг2 — различные определяющие соотношения, где а, Ь, г1, г2 — непустые слова в алфавите X, рассмотрим слова из Д, обратные к г1, г2 и их циклические перестановки: и1 = Ьг^а, и2 = а-1(г2)-1Ь-1, и3 = Ьг^а, и4 = а-1(г2)-1Ь-1. Последовательность и1, и2, и3, и4, и1 противоречит условию Т(6). Значит, общее начало аЬ двух определяющих соотношений из Д имеет единичную длину.
Будем говорить, что в слове w есть R-сокращение [5, 6, 7], если существует элемент r G R такой, что:
1) r = Г1Г2;
2) w = w1w2w3;
3) ri = w2:
4) слово r2 либо пусто, либо является куском;
5) слова w1r-1, r-1w3 несократимы в свободной группе.
В случае замены слова w равным ему в группе G словом w1r_1w3 будем говорить, что в w выполнено R-сокращение;
R-сокращение в слове w, являющемся степенью некоторого слова v: w = vs, называется длинным, если |w2| > |v|. Если же |w2| < |v|, то R-сокращение называется коротким.
Если не требуется перечисления всех образующих и определяющих слов, будем писать X = {x1, ..., xn} и R = {r1, ..., rm}, подразумевая при этом, что в X содержатся также x-1, ..., x-1, а в R — все циклические перестановки и инверсии слов r1, .. ., rm.
Приведем два примера.
Пусть у нас имеется группа G = (X; R), где X = {a, b, c}, а R = {abc, acb}. Рассмотрим слово w = abb. Используя определяющее соотношение r1 = abc, заменяем в слове w подслово ab куском с-1. Получаем w = c-1b. Таким образом, мы выполнили в слове w короткое R-сокращение.
Рассмотрим теперь слово w = v2, где v = acb, то есть w = acbacb. Используя определяющее соотношение r2 = acb, заменяем первое вхождение acb в w пустым словом. В данном случае мы выполнили длинное R-сокращение в слове w, так как |acb| = |v|.
Если в любой циклической перестановке слова w нет R-сокращений, то слово w называется циклически R-несократимым.
Определим понятие R-сокращения с использованием диаграмм. Также дадим геометрическое определение R-сокращения.
Область D С M называется дэновской [8], если
1) dD П dM — последовательная часть границы dM (т.е. dD П dM = p — подпуть в граничных циклах области D и диаграммы M);
2) i(D) G {0, 1}.
fc
Полосой [8] в диаграмме M называется поддиаграмма П = |J D^ со свойствами:
i=1
1) ôDi П ÔM = p — последовательная часть границы ÔM;
2) 5П П ÔM = p — последовательная часть границы ÔM;
3) при k = 3 i(D1 ) = i(D2) = i(D3) = 2, причем соседние области имеют общее ребро, а все три области полосы имеют общую вершину; при k > 3, k = 2/ + 1 i(D1) = i(D2) = i(D2i) = ¿(D2Î+1) = 2, ¿(D3) = ¿(D5) = ... = *(D21_3) = ¿(Da_1) = 3, *(D4) = ¿(De) = i(D2i-4) = ¿(D21-2) = 2;
4) dDi П dDi+1, i = 1, ..., k - 1, — ребро.
Пусть П — полоса в диаграмме М. Граничным словом области Ог С П называется метка пути дОг П дМ, прочитанная в соответствии с ориентацией области Ог. Граничным словом полосы П называется метка пути дП П дМ, прочитанная в направлении, противоположном ориентации границы дМ. Аналогично определяется граничное слово дэновской области.
Будем говорить, что в слове V есть Д-сокращение, если существует связная односвязная диаграмма М над копредставлением С = (X; Д), в которой существует дэновская область, граничное слово которой является подсловом в V-1. В слове V есть Д-сокращение, если существует связная односвязная диаграмма М над копредставлением С = (X; Д), в которой существует полоса П, граничное слово которой является подсловом в V-1.
Заметим, что полоса в диаграмме М с циклически несократимой в свободной группе, циклически Д-несократимой граничной меткой ^(дМ) является приведенной диаграммой [13].
Для любого циклически несократимого в свободной группе слова т, не равного единице в группе С, существует циклически Д-, Д-несократимое слово т0, сопряженное с т в С [13].
Нормальные формы элементов в С(3)-Т(6)-группах. Легко проверить, исходя из определений Д, Д-сокращений, что при выполнении любого из этих сокращений, длина слова строго уменьшается. Поэтому любое кратчайшее слово является Д, Д-несократимым. Обратное, к сожалению, неверно. И тем не менее, большой интерес представляют Д, Д-не-сократимые слова. Ниже будет показано, как эффективно используются слова такого типа при исследовании диаграмм над С(3)-Т(б)-группами.
Слово т0, сопряженное некоторой степени слова т в группе С и обладающее свойством Д, Д-несократимости всех своих степеней, называется нормальной формой слова т.
Следующие теоремы гарантируют существование нормальных форм, но не обеспечивают их единственности.
Теорема 2 ([6]). Пусть слово т представляет в группе С = (X; Д), удовлетворяющей условиям С(3)-Т(6), элемент бесконечного порядка, причем само слово т циклически несократимо в свободной группе и циклически Д, Д-несократимо. Пусть т = тах |г|.
1. Если для некоторого п' Е N слово тп' Д-сократимо, то существует п € N п < т, для которого слово тп Д-сократимо.
2. Если число т' удовлетворяет неравенствам 1 < т' < т и для некоторой циклической перестановки т* слово (т*)™' Д-сократимо, причем ни при каком т'' < т' в слове (т*)™'' нет Д-сокращений, то в результате выполнения этого сокращения получается слово т0 = (т*)™' (равенство в группе С), любая степень которого Д-несократима.
Теорема 3 ([6]). Пусть слово т представляет в группе С = (X; Д), удовлетворяющей условиям С(3)-Т(6), элемент бесконечного порядка, причем само слово т циклически Д-несократимо, а все его степени тп Д-несократимы. Если слово т2 Д-несократимо, то любая степень тп Д-несократима. Если же в слове т2 есть Д-сокращение, то верно одно из двух утверждений:
1) все степени слова w1 = w2 (равенство в группе G), полученного из w2 в результате этого Д-сокращения, Д, Д-несократимыц
2) существует конечный алгоритм, строящий последовательность сопряженный в группе G слов w, wi, .. ., wt, для которой t < |w| и слово wt Д, Д-несократимо вместе со своими степенями.
Классификация кольцевых диаграмм с несократимыми граничными метками. Рассмотрим кольцевую диаграмму M с границей dM = о П т. Предположим, что о П т = 0. Рассмотрим поддиаграмму Ka, состоящую из областей D, граничные циклы который содержат вершины из о. Назовем эту поддиаграмму Ka-слоем диаграммы M. По сути Ka-слой является одним из двух граничнык слоев кольцевой диаграммы. Рассмотрим диаграмму M1 = M \ Ka, полученную из M удалением слоя Ka. Обозначим граничные циклы диаграммы M1 через о1, т. Слой Ka является кольцевой диаграммой с непересекающимися граничными циклами о, о1.
Если о1 П т = 0, то аналогично определяется слой Kai с граничными циклами о1, о2. Слои Ka. определяются и так далее до тех пор, пока о^ П т = 0.
Пусть M кольцевая диаграмма с границей dM = о U т и слова <^(о), <^(т) циклически Д, Д-несократимы.
В статье [8] приводится следующая классификация кольцевых диаграмм над C(p) — T(q)-группами при (p, q) G {(3, 6), (4, 4), (6, 3)};
1) вырожденная кольцевая диаграмма M, удовлетворяющая условию |M | = 0;
2) простая кольцевая диаграмма M, для которой |M| > 0 (т.е. M содержит хотя бы одну область), а ее граничные циклы о и т имеют непустое пересечение;
3) k-слойная кольцевая диаграмма M, у которой после удаления k граничных слоев Ka, Kai, .. ., Kak-1 получается вырожденная диаграмма;
4) (C-к)-слойная кольцевая диаграмма M, у которой после удаления k граничнык слоев получается простая кольцевая диаграмма (таким образом, (C-к)-слойная кольцевая диаграмма является объединением простой и k-слойной диаграмм, имеющих общий граничный цикл).
Следует отметить, что данная классификация имеет место только для кольцевых диаграмм с несократимыми граничными метками. Снятие требования несократимости граничнык меток значительно усложнило бы структуру кольцевых диаграмм. Это видно из приводимых ниже определений и леммы 1.
Определение 1. Область D С M называется простой, если множество ÔD П ÔM связно и является последовательной частью границы области D.
Определение 2. Связная односвязная карта M с границей ÔM = о U т называется простым диском, если о П т = {A, B} — две вершины и все области в M простые.
Определение 3. Связная односвязная подкарта M1 карты M называется островом в M, если M = M1 U M2 U p, где p — простой подпуть в ÔM, возможно нулевой длины, не
имеющий ребер в граничных циклах областей карт М1 и М2 и имеющий по одной вершине в циклах дМ1 и в дМ2, |М1| > 0, |М2| > 0. Будем говорить, что М1 — остров на участке 5 границы карты М, если граничный цикл дМ1 является подпутем в
Определение 4. Связная односвязная подкарта М1 карты М называется полуостровом в М, если существует область Д0 С М: М = М0 и Д0 и М1, |М1| > 0, |М21 > 0, причем карта М1 и М0 не является связной. Будем говорить, что М1 — полуостров на участке 5 границы карты М, если граничный цикл дМ1 является подпутем в
Лемма 1 ([7]). Пусть М — связная односвязная или кольцевая карта. Пусть 5 — подпуть в граничном цикле дМ для односвязной карты М или в одном из граничных циклов а, т для кольцевой карты М с границей дМ = а и т. Тогда если в карте М нет полос П и дэновских областей Д, для которых дП П дМ — подпуть в 5 и дД П дМ — подпуть в то в М нет островов и полуостровов на участке границы
Так же, как это было сделано для кольцевой диаграммы, можно определить граничные слои К, Кт для простого диска М с границей дМ = а и т.
Определение 5. Пару областей в слое К (Кт) диаграммы М, имеющих внутреннюю степень г и общее внутреннее ребро, будем называть ¿-парой. При различных г, ] ¿-пару и ^'-пару будем называть разноименными. Область внутренней степени г будем называть г-областью.
Лемма 2 ([7]). Пусть М — простой диск. Если М — диаграмма над С(3)-Т(6)-группой и граничные слои К, Кт не содержат полос и дэновских областей, то верно следующее:
1) для каждой из вершин А, В в М существует единственная область Да, Дв соответственно, такая, что А € дДА, В € дДв;
2) ¿(Да) = г(Дв) = 2;
3) слои К, Кт содержат только области внутренней степени 2 и 3, причем в каждой из поддиаграмм К \ (Дв и Да), Кт \ (Дв и Да) областей первого типа на две больше, чем второго;
4) в слоях К, Кт могут встречаться только 2-пары и 3-пары и нет 2-троек, 3-троек, и т.д., причем в каждом из слоев число 2-пар на удиницу больше, чем 3-пар, а разноименные пары чередуются в каждом из слоев К, Кт. То же верно и для областей: в К, Кт могут встречаться только 2- и 3-области.
Из леммы 2 получаем вывод о строении простой кольцевой диаграммы с Я, Я-несокра-тимыми граничными метками: она является объединением простых дисков, граничные слои которых устроены, как в лемме 2.
Следующая лемма очень важна. Она разделяет множество всех п-слойных диаграмм с Я, Я-несократимыми граничными метками на два класса: содержащие 2-пары и 3-пары областей в своих граничных слоях и не содержащие таких 2-пар. Ниже будет доказана периодичность диаграмм, принадлежащих первому из двух классов.
Лемма 3 ([13]). Пусть М — кольцевая п-слойная диаграмма при п > 1 с границей дМ = а и т и граничными слоями К, Кт, не содержащими полос и дэновских областей (что эквивалентно несократимости граничных метов).
Тогда либо в граничных слоях карты М есть только отдельные 2-области и 3-области, причем они чередуются между собой, либо в граничных слоях М есть 2- и 3-пары, которые чередуются между собой, а между ними могут встречаться отдельные 2-и 3-области. При этом граничные слои не содержат 2-троек и 3-троек, 2-четверок и 3-четверок, и так далее.
Следующая лемма уточняет приведенную выше классификацию кольцевых диаграмм с несократимыми граничными метками: оказывается, что множество таких диаграмм содержит на один тип диаграмм меньше, если ограничиться диаграммами над С(3)-Т(6)-груп-пами.
Лемма 4 ([13]). Не существует приведенных кольцевых (С-п)-слойных диаграмм, граничные метки которых Я, Я-несократимы.
2. Кольцевые диаграммы с периодическими метками
Определение 6. Пусть М — к-слойная кольцевая диаграмма над группой С = (X; Я) с периодической меткой граничного цикла <^(а) = Будем говорить, что граничный слой К является периодическим в соответствии с периодичностью граничной метки с основанием т, если он состоит из пт областей Д1, .. ., Дпт, граничные метки которых удовлетворяют условиям:
^(д^1) = ^(дДт+1) = ^(д^2т+1) = ... = ^(дД(„-1)т+1);
<Р(дДг) = ^(дДт+2) = ^(д^2т+2) = ... = ^(дД(„-1)т+2), . . .
^(дДт) = ^(д^2т) = ^(д^Эт) = ... = ^(дДгат)
весь слой К является объединением п односвязных поддиаграмм, каждая из которых является копией односвязной поддиаграммы, состоящей из областей Д1, ..., Дт.
Очевидно, метка внутреннего граничного цикла ^(а1) кольцевой диаграммы К тоже является степенью некоторого слова т1: ^(а1) = т-п. Здесь показатель степени равен —п, поскольку внутренняя граница кольца всегда имеет ориентацию, противоположную внешней.
Лемма 5 ([13]). Если приведенная диаграмма М над С(3)-Т(6)-группой С = (X; Я) с границей дМ = а и т является к-слойной, граничные метки <^(а) = т-2п, <^(т) = v2m являются Я, Я-несократимыми и граничный слой К содержит 2-пары областей, то все слои диаграммы М являются периодическими в соответствии с периодичностью граничной метки <^(а) с основанием т2.
Такая структура слоев позволяет вырезать большую часть диаграммы М, удалив из каждого слоя К, , ..., по 2(п — 1)^ областей и замкнув оставшиеся 2^ областей
в кольцо, что возможно благодаря периодичности слоев. Из k таких кольцевык слоев, содержащих по 2d областей склеивается кольцевая k-слойная диаграмма M2d.
Приведенные рассуждения позволяют доказать следующую теорему о степенной сопряженности слов.
Теорема 4 ([13]). Предположим, что слова wn и vm сопряжены в группе G с условиями C(3)-T(6). Пусть при этом диаграмма сопряженности M с границей dM = о U т над C(3)-T(6)-группой G = (X; Д) является k-слойной при некотором целом k, а ее граничные метки, не теряя общности рассуждений, можно считать четными степенями слов w,v: <^(о) = w-2n, <^(т) = v2m. Если, кроме того, эти метки являются Д, Д-несокра-тимыми, и граничный слой Ka содержит 2-пары областей, то существуют целые числа a, b < C = 2(max(|w2|, |v2|))2, для который wa ~ vb в группе G, и проверка сопряженности степеней слов w, v сводится к конечному числу применений алгоритма, проверяющего сопряженность в C(3)-T(6)-группах [2].
Доказательство этой теоремы опирается на предположение о том, что граничные слои диаграммы M сопряженности слов wn и vm содержат 2-пары областей. Предполагая Д, Д-не-сократимость этих слов, с помощью леммы 3 приходим к выводу о том, что все слои диаграммы M содержат чередующиеся между собой 2-пары и 3-пары областей. Лемма 4 гарантирует, что диаграмма M не является (C-^-слойной.
Определение 7. Предположим, что слово w обладает следующими свойствами: все его степени Д, Д-несократимы, и при некотором n существует n-слойная кольцевая диаграмма с граничной меткой, являющейся степенью слова w, причем граничный слой с такой меткой содержит 2-пары и 3-пары областей. Указанное свойство слова w будем называть кольцевым свойством этого слова.
Сделанное предположение о слове w обеспечивает выполнение следующего свойства кольцевык диаграмм, одна из граничных меток которык равна wk : любая приведенная диаграмма сопряженности слова wk и любого другого Д, Д-несократимого слова v1 является n-слойной, все ее слои содержат 2-пары и 3-пары областей, и диаграмма M является периодической как вдоль границы, так и по слоям.
Действительно, диаграмма M с периодическими граничными метками содержащая в своих слоях 2-пары и 3-пары областей, обладает свойством периодичности по слоям.
Лемма 6. Если приведенная кольцевая диаграмма M с границей dM = о U т над C(3)-T(6)-группой G = (X; Д) является k-слойной, граничные метки <^(о) = w-n, <^(т) = = vm являются Д, Д-несократимыми и граничный слой Ka содержит 2-пары областей, то слои диаграммы M периодически повторяются при движении от граничного цикла о к граничному циклу т.
Доказательство. Пусть K1,.. ., Kk — все слои диаграммы M. При этом граничный цикл о является общим для диаграммы M и для слоя K1. Как мы знаем (лемма 5), каждый из
слоев диаграммы M является периодическим, причем повторяющаяся часть — основание слоя для каждого Kj, i = 1, ..., k, содержит одно и то же число областей.
Исходя из условий C(3)-T(6) и вытекающих из них свойств диаграммы M легко доказать, что если слои с номерами ib i2, i3 имеют общую граничную метку, то хотя бы два из них являются точными копиями друг друга.
Действительно, предположим, что слои Ki1, Ki2 различны. Склеим их в 2-слойную кольцевую диаграмму Mi1i2. Так как каждый слой диаграммы M содержит 2-пары и 3-пары областей, то для соблюдения условий C(3)-T(6) каждая 2-пара слоя Ki1 должна иметь единственную общую вершину с некоторой 2-парой слоя Ki2, то же верно для 3-пар. Такое соответствие областей в диаграмме Mili2 является единственным способом склейки двух слоев в приведенную 2-слойную диаграмму.
Если в 3-мерном пространстве приклеить к общей границе слоев диаграммы Mi1i2 слой Ki3, то в 2-слойных диаграммах Mi1i3, Mi2i3 2-парам областей из Ki3 должны соответствовать либо 3-пары из Ki1, либо 3-пары из Ki2, а 3-парам из Ki3 должны соответствовать 2-пары из Ki1, либо 2-пары из Ki2.
Предположим, что диаграммы Mi1i3 является приведенной. Рассмотрим вершину A, общую для 2-пары из Ki3 и для 3-пары из Ki1. В диаграмме Mi1i2 вершина A является общей для той же 3-пары из Ki1 и некоторой 2-пары из Ki2. Рассмотрим две указанные 2-пары в диаграмме Mi2i3. Вершина A является общей для этих 2-пар. Значит, либо в этой вершине нарушается условие T(6), так как ее степень в диаграмме Mi2i3 равна 4, либо области указанных 2-пар являются зеркальными копиями друг друга. Теперь нетрудно убедиться в том, что и все остальные области слоев Ki2, Ki3 попарно совпадают, то есть слои Ki2, Ki3 совпадают.
Остается доказать периодичность диаграммы M по слоям. Во-первых, заметим, что все слои в M содержат одинаковое количество T областей, кратное показателю n граничной метки ^(а): t = T/n. Из конечности множества определяющих соотношений R следует, что существует не более, чем |R|4 различных слоев в диаграмме M. На самом деле приведенная оценка является слишком грубой, и число разных слоев гораздо меньше, ведь граничные метки областей, соседних в слое, должны иметь общие подслова, являющиеся кусками (а каждый кусок, как известно для C(3)-T(6)-групп, является буквой).
Во-вторых, из первой части доказательства данной леммы следует, что слои в диаграмме M могут следовать друг за другом лишь в строго определенном порядке. Поэтому M периодична по слоям, и ее толщина (число слоев) может быть уменьшена за счет удаления периодически повторяющихся кольцевых поддиаграмм.
Из леммы 6 следует, что можно не рассматривать k-слойные диаграммы сопряженности слов wn и vm c 2-парами областей при k > |R|4. А поскольку слова w, v в рассматриваемой задаче равноправны, то аналогичную оценку для k можно получить в виде k < |R|s, где s = T/m.
3. Построение алгоритма, вычисляющего обратную функцию в комбинации проблем сопряженности и дискретного логарифмирования
Вернемся к абонентам А и В, обменивающимся информацией по открытому каналу. Как уже говорилось во введении, для восстановления секретного ключа достаточно знать показатели п1, т1, удовлетворяющие соотношению и а = х-т1 тП1 хт1.
Далее в этой статье будем считать, что для слова т верно кольцевое свойство, определенное перед формулировкой леммы 6.
Вернемся к рассмотренному во введении протоколу открытого распределения ключей. Вычисление обратной функции Д-1 состоит в нахождении по слову и = ж-ттгахт чисел п, т.
Восстановление показателя п. Сначала слово и надо привести к циклически Я, Я-несократимому виду и0 ~ и. Для этого в слове и надо выполнить все Я, Я-сокращения.
Затем надо рассмотреть приведенную кольцевую диаграмму М сопряженности слов и0, Эти слова являются циклически Я, Я-несократимыми. Поэтому к диаграмме М применима следующая лемма 7.
Лемма 7 ([7]). Предположим, что М — п-слойная приведенная кольцеая диаграмма над С(3)-Т(6)-группой С = (X; Я) (п > 1) с границей дМ = а и т и граничными слоями К, Кт, которые не содержат полос и дэновских областей. Тогда число областей в К, имеющих ребра в цикле а, не более, чем в 9 раз превышает число областей в Кт, имеющих ребра в цикле т, и наоборот.
Пусть г0 — самое длинное слово в множестве соотношений Я. Тогда можно записать цепочку неравенств:
п < К| < |Г0||к| < Ы9|Кт| < Ы9Ы.
Значит, число п можно найти за конечное число проверок сопряженности слов вида и0 ~ т1
при I < |Г0|9|и01.
Выполнение для слова т кольцевого свойства позволяет уточнить оценку леммы 7. Действительно, приведенная диаграмма сопряженности слова т, обладающего кольцевым свойством, состоит из слоев с 2-парами и 3-парами областей, эти слои являются периодическими вдоль границы и содержат одинаковое число областей. Обозначим граничные слои рассматриваемой диаграммы К, Кт. Тогда | = |Кт |. Это уточнение позволяет улучшить оценку и для показателя п:
п <К|< (|Г0| — 2)|К| = (|Г0| — 2)|Кт|.
В этих неравенствах длина |г0| уменьшена на 2, поскольку каждая граничная область имеет не менее двух внутренних ребер в диаграммах рассматриваемого типа, а каждое внутреннее ребро имеет метку — букву из X. Поэтому для любой области Д € граничное
подслово ^(дД П а) как минимум на 2 короче соответствующего определяющего соотношения <^(дД).
Кроме того, при нахождении показателя п возникает проблема: приведенным выше оценкам для п могут удовлетворять несколько чисел. Разберем подробно эту ситуацию, ссылаясь на наличие у слова т кольцевого свойства.
Итак, предположим, что п = к, т" ~ и^. Пусть М — приведенная диаграмма сопряженности этих слов. Свойство слова т гарантирует наличие 2-пар областей и 3-пар областей в М и то, что М не является простой, а значит, М обладает остальными свойствами диаграмм с 2-парами, 3-парами и Я, Я-несократимыми граничными метками т", . Из леммы 6 следует, что на внутреннюю границу т диаграммы М можно приклеить слой К, отличающийся от слоя К только числом периодически повторяющихся оснований, соответствующих слову т. Но это означает, что в полученной диаграмме М и К количества областей во внешнем слое К и во внутреннем слое К не совпадают, что невозможно.
Значит, для слова т, обладающего кольцевым свойством, из соотношения т" ~ при условии, что диаграмма сопряженности является /-слойной, вытекает равенство п = к.
Как мы знаем, диаграмма сопряженности может оказаться простой. Будем исходить из следующей постановки проблемы: единственно ли решение уравнения т" ~ и относительно п при известных т, и в предположении, что диаграмма сопряженности, отвечающая рассматриваемому соотношению, является простой. Положительный ответ получаем и в этом случае.
Действительно, вместо простой кольцевой диаграммы сопряженности слов т", и можно рассмотреть односвязную диаграмму равенства слов (т*)" = и*, полученную разрезанием кольцевой диаграммы в любой из точек пересечения внешнего и внутреннего граничных циклов а, т, которая существует по определению простой кольцевой диаграммы: а П т = 0. Здесь т*, и* — циклические перестановки слов т, и.
Таким образом, вместо задачи о сопряженном вхождении слова и в циклическую подгруппу бесконечного порядка приходим к задаче о вхождении слова и* в (т*А последняя имеет единственное решение, поскольку из предположения (т*)"1 = (т*)"2 вытекает равенство (т*)"1-"2 = 1, означающее конечность порядка элемента т*, что противоречит постановке задачи.
Теперь для нахождения показателя п достаточно применить алгоритм, решающий проблему вхождения в циклическую подгруппу в С(3)-Т(6)-группах [14], сводящийся по сути к конечному числу применений алгоритма, проверяющего равенство слов в том же классе групп [2].
Таким образом, приведенная выше оценка искомого показателя п вместе с известными алгоритмами, решающими проблемы сопряженности и равенства слов в С(3)-Т(6)-группах [2], позволяют найти неизвестный показатель п.
Остается найти показатель т при известном п : и = ж-тт"жт. Поскольку слово т обладает кольцевым свойством, то диаграмма сопряженности слов и = х-т1 т"1 хт1 и т"1
является к-слойной. Доказанная выше периодичность таких диаграмм как вдоль границ, так и по слоям, позволяет ограничить число слоев в такой диаграмме. Будем считать, что оно не превышает некоторой константы Б. Тогда легко найти сопрягающий элемент г, для которого выполнены два условия: и = г-1тп1 г, |г| < 5 + |т|.
Здесь длину слова г можно оценивать с помощью константы Б, так как все внутренние ребра диаграммы над группой с условиями С(3)-Т(6) имеют в качестве меток однобуквенные слова. Слагаемое |т| позволяет сделать сдвиг вдоль границы кольцевой диаграммы с меткой тп1 до вершины, с которой начинается слово т. Дальнейший поиск слова г сводится к конечному числу проверок равенства слова и и слов вида и = г-1тп1 г для конечного множества слов г : | < Б + |т|. Эти проверки осуществляются с помощью алгоритма, решающего проблему тождества в С(3)-Т(6)-группах [2].
На последнем шаге поиска показателя т1 можно поступить следующим образом: попытаться найти такое т1, для которого выполнено равенство ж™1 = г для уже известного г, то есть решить задачу о вхождении элемента с представителем г в циклическую подгруппу, порожденную элементом с представителем ж. Алгоритм решения этой задачи приводится в работе [12]. Может оказаться, что эта задача не имеет решения, поскольку не для любых г, ж существует соответствующее т1. В этом случае приходится искать показатель т1, удовлетворяющий соотношению и = ж-™1 тп1 ж™1, пользуясь алгоритмом проверки равенства слов в С(3)-Т(6)-группах и следующей оценкой, сужающей область поиска:
(|и| - Сп1|т|)
т1 2ОД-•
Эта оценка может быть получена следующим образом. Предполагая слово и Д, Д-несократимым, рассматриваем равенство слов и = ж-™1 тп1 ж™1. Поскольку слово и несократимо, а в слове ж-™1 тп1 ж™1 возможны Д, Д-сокращения, которые, как мы знаем, уменьшают длину слова, то заменив это слово несократимым представителем Ж0, равным ему в группе С, приходим к равенству двух несократимых слов и, Ж0. Для их длин выполнено неравенство |и| < С|Ж0|, где константа С определяется только видом копредставления С = (X; Д), а точнее, длинами определяющих соотношений из множества Д [12]. А поскольку |Ж0| < [ж-™1 тп1 ж™1 |,то т1 > (|и| — Сп1 |т|)/2С|ж|.
При известных т, п секретный ключ восстанавливается следующим образом.
Слово и отравлено абоненту В по открытому каналу связи. Значит, при некоторых п1, т1 в группе С выполнено равенство и = ж-™1 тп1 ж™1. Предполагая решенной задачу нахождения показателей п1, т1, рассуждаем далее так. Абонент В отправляет по открытому каналу связи слово V = ж-™2 тп2 ж™2. Для восстановления секретного ключа остается проделать со словом V две операции: 1) возведение в степень п1; 2) сопряжение полученного в результате первой операции слова V"4 словом ж™1. В итоге секретный ключ найден: К = ж-™1 vnl ж™1.
Заключение
Итак, для слова т с кольцевым свойством показатель п восстанавливается однозначно. Если слово т не обладает кольцевым свойством, то для него вопрос восстановления показателя п остается открытым. Тем не менее важно, что при построении протокола обмена ключами слово т выбирается абонентами А и В заранее, и поэтому оно может быть выбрано на их усмотрение, например, с кольцевым свойством.
Полученная оценка снизу для показателя т1 позволяет определить нижнюю границу сложности вычисления обратной функции при восстановлении секретного ключа. Задача вычисления сложности прямой и обратной функций в этой работе не ставилась.
Список литературы
1. Магнус Д., Каррас А., Солитэр Д. Комбинаторная теория групп. Пер. с англ. М.: Наука, 1974.
2. Линдон Р., Шупп П. Комбинаторная теория групп. Пер. с англ. М.: Мир, 1980.
3. Ольшанский А.Ю. Геометрия определяющих соотношений в группах. М: Наука, 1989.
4. Новиков П С. Труды Математического ин-та АН СССР. 1955. Т. 44. С. 1-444.
5. Безверхний Н.В. Разрешимость проблемы вхождения в циклическую подгруппу в группах с условием С(6) // Фундаментальная и прикладная математика. 1999. Т. 5, №1. С. 39-46.
6. Безверхний Н.В. Нормальные формы для элементов бесконечного порядка в группах с условиями С(3)-Т(6) //Известия ТулГУ Естественные науки. 2010. Вып. 1. С. 6-25.
7. Безверхний Н.В. Проблема сопряженного вхождения в циклическую подгруппу в группах с условиями С(3)-Т(6) // Дискретная математика. 2012. Т. 24. вып. 4. С. 27-46.
8. Безверхний В.Н. О нормализаторах элементов в С(р)-Т(д)-группах // Алгоритмические проблемы теории групп и полугрупп. Межвузовский сборник научных трудов. Тула: Изд-во Тул. гос. пед. ун-та им. Л.Н. Толстого, 1994. С. 4-58.
9. Безверхний В.Н., Паршикова Е.В. Решение проблемы вхождения в циклическую подгруппу в группах с условиями С(4)-Т(4) // Алгоритмические проблемы теории групп и полугрупп. Межвузовский сборник научных трудов. Тула: Изд-во ТГПУ им. Л.Н. Толстого, 2001. С. 120-139.
10. Паршикова Е.В. Проблема слабой степенной сопряженности в группах с условием С(4)-Т(4) // Алгоритмические проблемы теории групп и полугрупп. Межвузовский сборник научных трудов. Тула: Изд-во Тул. гос. пед. ун-та им. Л.Н. Толстого, 2001. С. 179-185.
11. Безверхний Н.В. О кручении о и разрешимости проблемы вхождения в циклическую подгруппу в группах с условием С(6) // Деп. ВИНИТИ, 1995, 2033-В95.
12. Безверхний Н.В., Чернышева О.А. Односторонние функции, основанные на проблеме дискретного логарифмирования в группах с условиями C(3)-T(6) //Наука и образование 2014.
13. Безверхний Н.В. Кольцевые диаграммы с периодическими метками и проблема степенной сопряженности в группах с условиями C(3)-T(6) // Наука и образование 2014.
14. Безверхний Н.В. Проблема вхождения в циклическую подгруппу в группах с условиями C(3)-T(6) // Наука и образование 2011.
15. Глухов М.М. К анализу некоторых систем открытого распределения ключей, основанных на неабелевых группах//Математические вопросы криптографии. 2010. T. 1, №4. С. 522.
16. Anshel I., Anshel M., Goldfeld D. An algebraic method for public-key cryptography // Math. Res. Lett. 1999. Vol. 6, no. 3. P. 287-291. DOI: 10.4310/MRL.1999.v6.n3.a3
17. Ko K.H., Lee S.J., Cheon J.H., Han J.W., Kang J., Park C. New Public-Key Cryptosystem Using Braid Groups // Advances in Cryptology — CRYPTO 2000. Springer Berlin Heidelberg, 2000, pp. 166-183. (Ser. Lecture Notes in Computer Science; vol. 1880). DOI: 10.1007/3-540-44598-6_10
18. Yamamura A. Public-key cryptosystems using the modular group // Public Key Cryptography. Springer Berlin Heidelberg, 1998, pp. 203-216. (Ser. Lecture Notes in Computer Science; vol. 1431). DOI: 10.1007/BFb0054026
19. Yamamura A. A Functional Cryptosystem Using a Group Action // Information Security and Privacy. Springer Berlin Heidelberg, 1999, pp. 314-325. (Ser. Lecture Notes in Computer Science; vol. 1587). DOI: 10.1007/3-540-48970-3_26
20. Paeng S.H., Ha K.C., Kim J.H., Chee S., Park C. New Public Key Cryptosystem Using Finite Non Abelian Groups // Advances in Cryptology — CRYPTO 2001. Springer Berlin Heidelberg, 2001, pp. 470-485. (Ser. Lecture Notes in Computer Science; vol.2139). DOI: 10.1007/3-540-44647-8_28
21. Paeng S.H., Kwon D., Ha K., Kim J.H. Improved public key cryptosystem using non abelian groups. Cryptology ePrint Archive: Report 2001/066. Режим доступа: http://eprint.iacr.org/2001/066 (дата обращения 01.09.2014).
22. Bogley W.A., Pride S.J. Aspherical relative presentations // Proa of the Edinburg Math. Soc. 1992. Vol. 35. P. 1-39. DOI: 10.1017/S0013091500005290
23. Gersten Sh. Small cancellation theory and automatic groups // Invent. math. 1990. Vol. 102. P. 305-334.
Mathematics i Mathematical Modelling
Electronic journal of the Bauman MSTU
Mathematics and Mathematical Modelling of the Bauman MSTU, 2015, no. 5, pp. 43-63.
DOI: 10.7463/mathm.0515.0820675
Received: 01.11.2015
© Bauman Moscow State Technical University
http://mathmjournal.ru
One-Way Functions and Composition of Conjugacy and Discrete Logarithm Problems in the Small Cancellation Groups
Bezverkhniy N. V.1
nbezv@mail.ru
1 Bauman Moscow State Technical University, Russia
Keywords: one-way functions, small cancellation conditions, diagrams in groups, membership problem for cyclic subgroups
The paper considers the possibility for building a one-way function in the small cancellation group. Thus, it uses the algorithm to solve the problem for a cyclic subgroup, also known as a discrete logarithm problem, and the algorithm to solve the word problem in this class of groups.
Research is conducted using geometric methods of combinatorial group theory (the method of diagrams in groups).
In public channel exchange of information are used one-way functions, direct calculation of which should be much less complicated than the calculation of the inverse function. The paper considers the combination of two problems: discrete logarithms and conjugacy. This leads to the problem of conjugate membership for a cyclic subgroup. The work proposes an algorithm based on this problem, which can be used as a basis in investigation of the appropriate one-way function for its fitness to build a public key distribution scheme.
The study used doughnut charts of word conjugacy, and for one special class of such charts has been proven a property of the layer-based periodicity. The presence of such properties is obviously leads to a solution of the power conjugacy of words in the considered class of groups. Unfortunately, this study failed to show any periodicity of a doughnut chart, but for one of two possible classes this periodicity has been proven.
The building process of one-way function considered in the paper was studied in terms of possibility to calculate both direct and inverse mappings. The computational complexity was not considered. Thus, the following two tasks were yet unresolved: determining the quality of one-way function in the above protocol of the public key distribution and completing the study of the periodicity of doughnut charts of word conjugacy, leading to a positive solution of the power conjugacy of words in the class groups under consideration.
References
1. Magnus W., Karras A., Solitar D. Combinatorial Group Theory: Presentations of Groups in Terms of Generators and Relations. John Wiley and Sons, Inc., New York-London-Sydney, 1966. 444 p. (Russ. ed.: Magnus W., Karras A., Solitar D. Kombinatornaja teorija grupp. Moscow, Nauka, 1974. 456 p).
2. Lyndon R., Schupp P. Combinatorial group theory. Springer-Verlag, Berlin, 1977. (Russ. ed.: Lyndon R., Schupp P. Kombinatornaja teorija grupp. Moscow, Mir publ., 1980. 448 p.).
3. Ol'shanskij A.Ju. Geometrija opredeljajushhih sootnoshenij v gruppah [Geometry of defining relations in groups]. Moscow, Nauka publ., 1989. 448 p. (in Russian).
4. Novikov P.S. On the algorithmic unsolvability of word identity problem in group theory. Tr. Matematicheskogo in-ta AN SSSR = Proc. of Mathematical Institute of the USSR Academy of Sciences, 1955, vol. 44, pp. 1-144. (in Russian).
5. Bezverhnij N.V. On the solvability of the general word problem for a cyclic subgroup of a group with condition C(6)]. Fundamental'naia i prikladnaia matematika = Fundamental and applied mathematics, 1999, vol. 5, no. 1, pp. 39-46. (in Russian).
6. Bezverhnij N.V. Normal forms for elements of infinite order in group with C (3)-T (6) condition. Izvestija TulGU. Estestvennye nauki = Proceedings of TSU. Natural Sciences, 2010, iss. 1, pp. 6-25. (in Russian).
7. Bezverhnij N.V. The power conjugacy search problem in a cyclic subgroup in groups with the condition C(3)-T(6). Diskretnaja matematika, 2012, vol.24, iss.4, pp. 27-46. (English Translation: Discrete Mathematics and Applications, 2012, vol. 22, iss. 5-6, pp. 521-544. DOI: 10.1515/dma-2012-036).
8. Ee3BepxHHH B.H. On normalizers of elements in C (p) -T (q) -groups. Algoritmicheskie problemy teorii grupp i polugrupp: mezhvuz. sb. nauch. trudov [Algorithmic problems of the theory of groups and semigroups: interuniversity collection of scientific papers]. Tula, Tolstoi TSPU Publ., 1994, pp. 4-58. (in Russian).
9. Bezverhnij V.N., Parshikova E.V. The solution of problems of integration in a cyclic subgroup of a group with condition C(4)-T(4). Algoritmicheskie problemy teorii grupp i polugrupp: mezhvuz. sb. nauch. trudov [Algorithmic problems of the theory of groups and semigroups: interuniversity collection of scientific papers]. Tula, Tolstoi TSPU Publ., 2001, pp. 120-139. (in Russian).
10. Parshikova E.V. The problem of weak power conjugacy in groups with condition C (4)-T (4). Algoritmicheskie problemy teorii grupp i polugrupp: mezhvuz. sb. nauch. trudov [Algorithmic problems of the theory of groups and semigroups: interuniversity collection of scientific papers]. Tula, Tolstoi TSPU Publ., 2001, pp. 179-185. (in Russian).
11. Bezverhnij N.V. O kruchenii o i razreshimostiproblemy vhozhdenija v ciklicheskujupodgruppu v gruppah s usloviem C(6) [Torsion and solvability of the general word problem for a cyclic
subgroup of a group with condition C(6)]. Moscow, 1995. Dep. VINITI no. 2033-V95. (in Russian).
12. Bezverhnii N.V., Chernisheva O.A. One-way functions based on the discrete logarithm problem in the groups meeting conditions C(3)-T(6). Nauka i obrazovanie MGTU im. N.E. Baumana = Science and Education of the Bauman MSTU, 2014, no. 10. pp. 70-101. DOI: 10.7463/1014.0729483 (in Russian).
13. Bezverhnii N.V. Ring Diagrams with Periodic Labels and Power Conjugacy Problem in Groups with Small Cancellation Conditions C(3)-T(6). Nauka i obrazovanie MGTU im. N.E. Baumana = Science and Education of the Bauman MSTU, 2014, no. 11. pp. 238-256. DOI: 10.7463/1114.0740512 (in Russian).
14. Bezverhnii N.V. Occurrence problem in a cyclic subgroup in groups with conditions C(3)-T (6) Nauka i obrazovanie MGTU im. N.E. Baumana = Science and Education of the Bauman MSTU, 2013, no. 11. pp. 119-128. DOI: 10.7463/1113.0622536 (in Russian).
15. Glukhov M.M. An analysis of some key distribution public systems based on non-abelian groups. Matematicheskie voprosy kriptografii = Mathematicalproblems of cryptography, 2010, vol. 1, no. 4, pp. 5-22. (in Russian).
16. Anshel I., Anshel M., Goldfeld D. An algebraic method for public-key cryptography. Math. Res. Lett., 1999, vol. 6, no. 3, pp. 287-291. DOI: 10.4310/MRL.1999.v6.n3.a3
17. Ko K.H., Lee S.J., Cheon J.H., Han J.W., Kang J., Park C. New Public-Key Cryptosystem Using Braid Groups. In: Advances in Cryptology — CRYPTO 2000. Springer Berlin Heidelberg, 2000, pp. 166-183. (Ser. Lecture Notes in Computer Science; vol. 1880). DOI: 10.1007/3-540-44598-6_10
18. Yamamura A. Public-key cryptosystems using the modular group. In: Public Key Cryptography. Springer Berlin Heidelberg, 1998, pp. 203-216. (Ser. Lecture Notes in Computer Science; vol. 1431). DOI: 10.1007/BFb0054026
19. Yamamura A. A Functional Cryptosystem Using a Group Action. In: Information Security andPrivacy. Springer Berlin Heidelberg, 1999, pp. 314-325. (Ser. Lecture Notes in Computer Science; vol. 1587). DOI: 10.1007/3-540-48970-3,26
20. Paeng S.H., Ha K.C., Kim J.H., Chee S., Park C. New Public Key Cryptosystem Using Finite Non Abelian Groups. In: Advances in Cryptology — CRYPTO 2001. Springer Berlin Heidelberg, 2001, pp. 470-485. (Ser. Lecture Notes in Computer Science; vol.2139). DOI: 10.1007/3-540-44647-8,28
21. Paeng S.H., Kwon D., Ha K., Kim J.H. Improved public key cryptosystem using non abelian groups. Cryptology ePrint Archive: Report 2001/066. Available at: http://eprint. iacr.org/2001/066, accessed 01.09.2014.
22. Bogley W.A., Pride S.J. Aspherical relative presentations. Proc. of EdinburgMath. Soc. Ser. 2, 1992, vol. 35, no. 1, pp. 1-39. DOI: 10.1017/S0013091500005290
23. Gersten S., Short H. Small cancellation theory and automatic groups. Invent. Math., 1990, vol. 102, no. 1, pp. 305-334. DOI: 10.1007/BF01233430
