CC BY
11
Владикавказский математический журнал 2014, Том 16, Выпуск 2, С. 38-45
УДК 004.056
УСЛОВИЯ ПРИМЕНЕНИЯ <?-ИЧНЫХ КОДОВ РИДА - МАЛЛЕРА В СПЕЦИАЛЬНЫХ СХЕМАХ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
С. А. Евпак, В. В. Мкртичян
В работе исследуется специальная схема защиты легально тиражируемых данных от несанкционированного доступа. Для д-ичных кодов Рида — Маллера получены условия, при которых их применение в схемах специального широковещательного шифрования (ССШШ) оправдано и не оправдано с точки зрения задачи поиска злоумышленников, объединяющихся в коалицию для создания пиратских ключей.
Ключевые слова: помехоустойчивые коды, схема специального широковещательного шифрования, коалиция, потомки, ТА-коды, 1РР-коды, д-ичные коды Рида — Маллера.
Проблема защиты легально тиражируемых цифровых данных от несанкционированного доступа является актуальной. Будем рассматривать ситуацию, в которой поставщик распространяет цифровую продукцию. При этом доступ к распространяемой продукции должны получать только покупающие ее легальные пользователи. Для решения этой задачи в [1] рассмотрена схема специального широковещательного шифрования (ССШШ).
1. Схема специального широковещательного шифрования, постановка задачи. В этой схеме защищаемые данные тиражируются свободно в зашифрованном виде, а каждому легальному пользователю выдается уникальный набор ключей, причем в случае обнаружения нелегального использования такого набора его владелец может быть идентифицирован контроллером. Однако ССШШ допускает атаки следующего вида: злоумышленники, являющиеся легальными пользователями, могут объединяться в коалиции мощности с и, комбинируя специальным образом ключи из своих наборов, конструировать новые (пиратские) наборы, которые можно использовать для расшифрования данных, причем эти пиратские наборы злоумышленники могут нелегально распространять, уклоняясь от обнаружения. Для борьбы с такими коалиционными атаками в [2] предложен основанный на помехоустойчивом кодировании метод обнаружения членов коалиций. В частности, доказано, что для эффективного поиска всей коалиции мощ-
с
с
Целью настоящей работы является исследование условий возможности применения д-ичных кодов Рида — Маллера в схемах специального широковещательного шифрования.
2. Сведения о кодах, применяемых в схемах специального широковещательного шифрования. Пусть N — множество натуральных чисел, N1 = Н\{1|, |А| — мощность произвольного конечного множества А, С^ — количество сочетаний из т по п.
© 2014 Евпак С. А., Мкртичян В. В.
Далее г-ую координату произвольного вектора х будем обозначать хг, а линейное п-мерное пространство Хемминга над полем Галуа Е? обозначим через Е", где д = р1, р простое число, I £ N Пусть С (С Е") — произвольный код длины п с минимальным расстоянием й над полем Ед. Множеством с-коалиций соа1с(С) кода С, где с £ N назовем множество всех его непустых подмножеств мощности не более с. Очевидно, что
с
|еоа1с(С )| = £ С,С|.
¿=1
Под множеством потомков коалиции Со £ соа1с(С) будем понимать
ёе8с(С0) = ^ £ Е" : w¿ £ {аг : а £ С0} Vг £ {1,... ,п}}.
Для потомка ^ ^^^отцию Со будем называть порождающей. Пиратским вектор-номером коалиции Со £ соа1с(С) назовем элемент множества ёезе(Со) \ Со. Под множеством с-по-С
ёезес(С) = ёе8о(Сг).
С €соа1с(С)
Через ^с(С) будем обозначать максимальное число нулей в пиратском вектор-номере, который может быть порожден коалицией размера с из множества С \ {0}. Для величины ^с(С) выполняются неравенства
п - й < ^с(С) < ш1п{с(п - й),п}. (1)
Действительно, ввиду того, что минимальный вес слова кода С равен й, произвольная коалиция мощности 1 из соа1с(С) может породить пиратский вектор-номер, содержащий не более чем п — й нулей. Значит, произвольная коалиция мощности с из соа1с(С) может породить пиратский вектор-номер, содержащий не более чем с(п — й) нулей. При этом
п
может.
Пусть с £ N1, С — произвольный код. Код С является с-ТА-кодом тогда и только тогда, когда
(VСг £ соа1с(С)) (Vw £ ёе8е(Сг)) (Vz £ С \ С») (3 у £ С») й^, у) < й(w,z). с
словом к любому потомку является элемент породившей его коалиции [3].
Пусть с £ N1, С — произвольный код. Код является с-1РР-кодом тогда и только тогда, когда
(VW £ ёе80с(С)) р| С = 0.
{С(€соа1с(С)): w€desc(C¿)}
с
пересечение всех порождающих коалиций не пусто [3]. Сформулируем лемму, содержа-
сс
Лемма 1 [3, раздел 1.3]. Пусть с £ N1, С — произвольный код длины п с минимальным расстоянием й и мощностью N над полем Галуа Е?. Тогда
1) если для кода С выполняется условие (I > п — то код С является с-ТА-кодом;
2) если выполняется условие д ^ с < N то код С не является с-1РР-кодом;
3) если код является с-ТА-кодом, то код является е-1РР-кодом.
Для построения математической модели эффективной ССШШ удобно использовать
с
Теорема 1 [5, раздел 3.1]. Пусть с £ N1, С (С Е^) — линейный код длины п с минимальным расстоянием й над иол ем Еq. И пусть выполняется неравенство
п - ^с(С) + 1 <д. (2)
Сс
п
Из раздела 3.2 работы [5] вытекает
Следствие. Пусть с £ N1, С (С Еп) — циклический код длины п с минимальным расстоянием й над пол ем Е Тогда для кода С выполняется условие
^с(С) = шш{с(п — й), п}.
Далее определим д-ичные коды Рида — Маллера. Пусть Ед [Х1, Х2,..., Хт] — кольцо полиномов т переменных с коэффициентами из поля Галуа Ед, Е^ [Х1, Х2,..., Хт] — подпространство полиномов степени не выше г кольца Ед [Х1, Х2,..., Хт], степень монома
Х11 Х22 ... хт (£ Е?[Х1, Х2,..., Хт])
есть ^¿=1 ¿г, а степень deg(/) полинома / £ Е? [Х1;Х2, ...,Хт ] есть максимальная из степеней входящих в него мономов. Пусть, кроме того, Рх, Р2,..., Рп — фиксированное упорядочение элементов пространства Хемминга Е^ = Ед х ... х Ед, где п = дт. Тогда д-ичный код Рида — Маллера ИМд (г, т) порядка г определяется следующим образом [6]:
ЯМ^(г, т) = {(/(Рх), /(Р2),..., /(Рп)) : / £ Е£[ХЬ Х2,..., Хт]}.
Из леммы 2 работы [7] вытекает, что для произвольного набора параметров г 9 и т код ИМд(г, т) совпадает с кодом ИМд(г',т), для порядка г' которого выполняется условие г' ^ т(д — 1). Таким образом, не теряя общности, можно считать, что для кода КМд (г, т) выполняется оценка
г ^ т(д — 1). (4)
3. Основные результаты. В работе [7] представлена следующая
Теорема 2. Пусть с £ N1, г, т(£ N такие, что выполняется условие г < д, а С — КМд(г,т)-код над полем Е?. Если выполняется условие с < то код С является с
Доказательство теоремы 2 опубликовано в [7] и основывается, в частности, на лемме 1 и результатах работы [6]. Из леммы 1 вытекает, что при д ^ с < N код не является с-ТА-кодом. Таким образом, открытым остается вопрос о том, будет ли код ИМд (г, т)
являться либо не являться с-ТА-кодом в случае с £ • • • > Ч ~ 1} Для параметров д
и г, удовлетворяющих условию г < д, и будет ли код ИМд(г, т) являться либо не являться с-ТА-кодом в случае с £ {2, 3,... , д — 1} для параметров д и г, удовлетворяющих условию г ^ д. В теореме 3 представлен ответ на этот вопрос для случая г ^ д. В теореме 4
представлен ответ для случая г < д при с £ — 1}. Сформулируем леммы,
содержащие необходимые далее результаты.
Лемма 2. Пусть с £ N1, г, ш(£ Н) С — ИМ?(г, ш)-код над полем Е?. Тогда для кода С выполняется условие
^с(С) = шш{с(п — С), п}.
< В соответствии с работо й [6] код С является расширением циклического кода С * = ИМ* (г, ш), где
ИМ* (г, ш) = {(/(Р2),..., /(Рп)) : / £ П[Х1,Х2,..., Хт] },
а Рх, Р2,..., Рп — фиксированное упорядочение элементов пространства Хемминга Е^ такое, что Рх = (0,0,..., 0) £ Е^, п = дт. Из следствия теоремы 1 для кода С *
выполняется равенство ^с(С *) = шш{с(п — С),п}, где п — длина кода С *, ас? — его
С С*
координаты, равной /(Рх) £ Е?. Отсюда вытекает, что п = п + 1. Кроме того, из [6] следует, что для кода С минимальное расстояние С равно С+1. В общем случае величина /(Рх) может быть равной или не равной 0 (например, для /(Х1,..., Хт) = Х1+Х2 + ... + Хт таи /(Х1,...,Хт) = 2 соответственно). Тогда выполняются неравенство ^с(С) ^ ^с(С*) и равенство
^с(С *) = шш { с(п — С),п} = шш { с(п — 1 — (С — 1)),п — 1} = шш { с(п — С),п — 1}.
Кроме того, в силу (1) выполняется оценка ^с(С) ^ ш1п{с(п — С),п}. Рассмотрим случай, при котором выполняется равенство шш{с(п — С),п — 1} = с(п — С). Тогда, во-первых, выполняется неравенство ^с(С) ^ с(п — С), а, во-вторых, выполняется неравенство ^с(С) ^ с(п — С). Значит, если выполняется равенство шш{с(п — С),п — 1} = с(п — С), то выполняется равенство
^с(С) = с(п — С).
Рассмотрим случай, при котором выполняется равенство шш{с(п — С), п — 1} = п — 1. Пусть : Е^[Х1 ,Х2,...,Хт] ^ Е^"-1 является кодируюпщм отображением кода С*, а ^ : Е^ [Х1,Х2,... ,Хт ] ^ Е^ является кодирующим отображе нием кода С, т. е.
¥>*(/) = (/(Р2), . . . , /(Рп)), *>(/) = (/(Р1), . . . , /(Рп)).
Пусть Со = {VI,..., vc}(£ соа1с(С*)) — такая коалиция кода С*, что максимальное число нулей в порождаемом ей пиратском вектор-номере равно п — 1, где VI = (/¿), / £ Е^[Х1;Х2,... ,Хт], г £ {1,..., с} В коде С рассмотрим коалицию С1 = {их,..., ис}(£ соа1с(С)) следующего вида:
и = ^(Х1 / шоё Х1),
где г £ {1,... , с} Тогда выполняются равенства их,о = 0,..., ис,о = 0. Значит, если выполняется равенство ^с(С*) = шш{с (п — С), п — 1} = п — 1, то выполняется равенство ^с(С) = п.
Если с(п—С) ^ п, то выполняется равенство шш{с (п—С), п} = п, а, значит, шш{с (п— С), п — 1} = п — 1. Тогда выполняется равенство ^с(С) = п. Если же с (п — С) < п, то выполняется равенство шш{с (п — С),п} = с (п — С) и, в то же время, выполняется равенство шш{с (п — С),п — 1} = с(п — С). Тогда выполняется равенство ^с(С) = с (п — С). Таким образом, имеет место равенство ^с(С) = шш{с (п — С),п}. >
Лемма 3. Пусть г, т(£ С — ИМ?(г, т)-код над полем Е? с минимальным расстоянием й. Тогда
1) если г < д, то выполняется условие й = дт — гдт-1;
2) если г ^ д, то выполняется оценка й ^ (д — 1) дт-2.
< Согласно [6] минимальное расстояние д-ичного кода Рида — Маллера ИМд (г, т)
можно вычислить следующим образом:
й = (п + 1) дм, (5)
где п — остаток от деления т(д — 1) — г на д — 1 с частным т. е. т(д — 1) — г = ^(д — 1)+п, где п < д — 1г < д
делении т(д — 1) — гнад — 1с остатком пол учим т(д — 1) — г = (т — 1)(д — 1) + д — 1 — г. Значит, п = д — 1 — г = т — 1 и, соответственно,
й = (д — г) дт-1 = дт — гдт-1.
Пусть г ^ д. Тогда в силу (4) получим
д ^ г ^ т(д — 1),
(д — 1) + 1 ^ г ^ (т — 1)(д — 1) + д — 1, Так как г ^ д, то г пред ставимо в виде г = ж(д — 1) + у. Тогда
(д — 1) + 1 ^ ж(д — 1) + у ^ (т — 1)(д — 1) + д — 1,
где ж и у такие, что выполняются неравенства
1 ^ ж ^ т — 1, 1 ^ у ^ д — 1.
Так как г = ж(д — 1) + у, то
т(д — 1) — г = (т — ж — 1)(д — 1) + д — 1 — у.
Пусть а = т — ж — 1 в = д — 1 — у- Так как выполняется 1 ^ у ^ д — 1, то в £ {0,..., д — 2},
а, значит, в — остаток от деления т(д — 1) — гнад — 1 с частным а. Таким образом, в силу (5) минимальное расстояние кода вычисляется по формуле
й = (д — у) дт-х-1. В силу неравенств 1 ^ ж ^ т — 1 и 1 ^ у ^ д — 1 получим
й < (д — 1) дт-2. >
Теорема 3. Пусть с £ г ^ д, С = ИМ?(г,т)-код над нолем Е?. Тогда код С не с
< Согласно лемме 3 для минимального расстояния й кода С в случае г ^ д выполняется оценка
й < (д — 1) дт-2.
Отсюда следует
с(дт — дт-1 + дт-2) < с(п — й). (6)
Оценим величину п — ^с(С) + 1.
По лемме 2 для кода С выполняется равенство
^с(С) = шш{с(п — й), п}.
В случае ^с(С) = п выполняется равенство п — ^с(С) + 1 = 1, а значит, по теореме 1 код С те является с-ТА-кодом.
Рассмотрим случай, когда выполняется равенство ^с(С) = с(п — й). Ввиду (6) получим равенство
п — ^(С) + 1 = дт — с(п — й) + 1 < дт — с(дт — дт-1 + дт-2) + 1. (7)
Проверим выполнение неравенства
д™ — с(д™ — д™-1 + д™-2) + 1 < д.
Последнее эквивалентно
11 ( 11 \
1<-Г--+ с (1-- + — . 8
д
значение равно 1,5 при д = 2, и так как второе слагаемое меньше первого, то неравенство (8) выполняется при любых с £ N1, д ^ 2 и т £ N. Тогда из оценок (7) и (8) следует, что для любых с £ N1, д ^ 2 и т £ N выполняется неравенство (2). Из теоремы 2 раС
теореме 1 код С не является с-ТА-кодом. >
Теорема 4. Пусть с £ N1, г < д, С = ИМ?(г, т)-код над полем Е?. Если выполняется условие с ^ то код С не является с-ТА-кодом.
< Согласно лемме 3 минимальное расстояние й кода С при г < д вычисляется по формуле й = д™ — гд™-1. Тогда п — й = гд™-1, где ^^^а кода С. Аналогично доказательству теоремы 3 рассмотрим два случая:
(Яс(С) = п) Л (Яс(С) = с(п — й)).
Очевидно, что для случая ^с(С) = п по теореме 1 код С те является с-ТА-кодом.
Рассмотрим случай, при котором выполняется равенство ^с(С) = с(п — й). Тогда выполняется равенство
п — ^с(С) + 1 = д™ — с(п — й) + 1 = д™ — сгд™-1 + 1. (9)
Поставив формулу (9) в формулу (2), получим:
д™ — сгд™-1 + 1 < д.
Последнее неравенство эквивалентно
1 1 сг
1 <-г---Ь —,
д™-1 д™ д
которое выполняется для любого с £ N1, удовлетворяющего условию с ^ и фиксированного д ^ 2, то £ N. Значит, для с(£ N1) ^ - условие (2) выполняется.
Пусть для с(е N1) ^ ^ выполняется и условие (3). Тогда из равенства для Zc(C) следует, что
п
Так как выполняется условие с ^ то из (10) следует
q / n
4 < с < 1
r у n — d
Однако по условию теоремы выполняется условие r < q, значит,
qn
< 1
г V п — ё \ г
чего быть не может. Следовательно, для с(£ N1) ^ | условие (3) не выполняется. Таким образом, при с(£ N1) ^ ^ для любых значений Zc(C) кода С условие (2) выполняется, а условие (3) не выполняется, а, значит, по теореме 1 код С те является с-ТА-кодом. > Таким образом, найдены условия, при которых д-ичные коды Рида — Маллера являются с-ТА-кодами, и условия, при которых д-ичные коды Рида — Маллера не являются с
в работе [8] опубликованы ключевые теоремы настоящей работы без доказательств.
г<£?
_- ~ является с-ТА-кодом
£ 1 г г
r>q
- не является с-ТА-кодом
q С
Рис. 1. Условия наличия е-ТА-свойства.
Литература
1. СЬог В., Fiat A., Naor М. Tracing Traitors // Advances in Cryptologv — Crypto 1994.—1994.—P. 257 270.—(Lecture Notes in Computer Science. Vol. 839).
2. Silverberg A., Staddon ,J., Walker ,J. Application of list decoding to tracing traitors // Advances in Cryptolo — Asiacrypt 2001.—2001.—P. 175 192.—(Lecture Notes in Computer Science. Vol. 2248).
3. Staddon J. N., Stinson D. R., Wei R. Combinatorial properties of frameproof and traceability codes // IEEE Trans. Inf. Theory.-2001.-Vol. 47—P. 1042 1049.
4. Деундяк В. M., Мкртичян В. В. Математическая модель эффективной схемы специального широковещательного шифрования и исследование границ ее применения // Изв. вузов. Сев.-Кавк. регион. Естественные науки.—2009.—.№ 1.—С. 5 8.
5. Fernandez М., Cotrina J., Sorario М., Domingo N. A note about the traceability properties of linear codes // Information Security and Cryptologv — ICISC 2007.—2007.—P. 251 258.—(Lecture Notes in Computer Science. Vol. 4817).
6. Pellikaan R., Wu X.-W. List decoding of q-ary Reed-Muller Codes // IEEE Trans. On Information Theorv.-2004.-Vol. 50(4).-P. 679 682.
7. Еннак С. А., Мкртичян В. В. Исследование возможности применения q-ичных кодов Рида Маллера в схемах специального широковещательного шифрования // Изв. вузов. Сев.-Кавк. регион. Естественные науки.—2011.—.№ 5.—С. 11 15.
8. Евпак С. А., Мкртичян В. В. Об исследовании возможности применения q-ичных кодов Рида — Маллера в специальных схемах защиты информации от НСД // Обозрение прикладной и промышленной математики.—2011.—Т. 18, вып. 2.—С. 268 269.
Статья поступила 16 апреля 2013 г.
Евпак Сергей Александрович Южный федеральный университет, аспирант кафедры алгебры и дискретной математики факультета математики, механики и компьютерных наук РОССИЯ, 344090, Ростов-на-Дону, ул. Мильчакова, 8 а E-mail: sergej-evpak@yandex.ru
Мкртичян Вячеслав Виталиевич ФГАНУ НИИ «Спецвузавтоматика», старший научный сотрудник
РОССИЯ, 344002, Ростов-на-Дону, пер. Газетный, 51 E-mail: realdeal@bk.ru
APPLICABILITY CONDITIONS FOR q-ARY REED-MULLER CODES
IN TRAITOR TRACING
Yevpak S. A., Mkrtichan V. V.
The special information protection scheme is investigated. The scheme prevents unauthorized distribution to digital products. The paper introduces the applicability conditions for q-ary Reed-Muller codes in the scheme. These codes help to search malefactors who attack the scheme.
Key words: noise-resistant code, traitor tracing, traceability codes (TA-codes), identifiable parent property (IPP), coalition, descendants, q-ary Reed-Muller codes.
