CC BY
15
2) если p = 5 (mod 8) и r = , то при r = 0 (mod p) кривая имеет
p-ранг 1. В этом случае многочлен Фробениуса по модулю p равен
x(A) = A2g + rA2g-1 (mod p).
Теорема 7. Пусть группа автоморфизмов G кривой C равна D8 х C2. Тогда кривая имеет модель y2 = x8 + ax4 + 1, где a G K. Пусть a = P(p-1)/4(p), b = P(p-3)/4 (p), c = P(p-1)/2(p), где p = -a/2. Тогда
1) если p = 1 (mod 4), то р-ранг кривой равен 1 при a = 0, c = 0 (mod p). В этом случае многочлен Фробениуса по модулю p равен
2) если p = 3 (mod 4), то p-ранг кривой равен 1 при b = 0, c = 0 (mod p). В этом случае многочлен Фробениуса по модулю p равен
В работе получены характеристические многочлены (mod p) гиперэллиптических кривых рода 2, 3 и p-ранга 1 для кривых с автоморфизмами.
В дальнейшем на основе полученных результатов планируется построить алгоритм подсчёта числа точек на кривых, изоморфных кривым с автоморфизмами над расширением конечного поля, по аналогии с работой [5] и исследовать их степени вложения с целью анализа возможности применения таких кривых как в классических криптосистемах, так и в криптосистемах на основе билинейных спариваний и изогений.
1. Singh V., Zatysev A., and McGuire G. On the Characteristic Polynomial of Frobenius of Supersingular Abelian Varieties of Dimension up to 7 over Finite Fields. arXiv preprint arXiv:1011.2257. 2010.
2. Novoselov S. A. Hyperelliptic curves, Cartier — Manin matrices and Legendre polynomials // Прикладная дискретная математика. 2017. №37. С. 20-31.
3. Мельничук Е. М., Новоселов С. А. p-Ранги гиперэллиптических кривых рода 3 с нетривиальной группой автоморфизмов // Труды математического центра имени Н. И. Лобачевского. 2018. Т. 56. C. 188-192.
4. Bouw 1.1., Diem C., and Scholten J. Ordinary elliptic curves of high rank over with constant j-invariant // Manuscripta Mathematica. 2004. V. 114. No. 4. P. 487-501.
5. Novoselov S. A. Counting points on hyperelliptic curves of type y2 = x2g+1 + ax9+1 + bx. https://arxiv.org/abs/1902.05992. 2019.
x(A) = A2g + cA2g-1 (mod p);
X(A) = A2g + cA2g-1 (mod p).
Заключение
ЛИТЕРАТУРА
УДК 519.7
DOI 10.17223/2226308X/12/6
ВАРИАЦИИ ОРТОМОРФИЗМОВ И ПСЕВДОАДАМАРОВЫХ ПРЕОБРАЗОВАНИЙ НА НЕАБЕЛЕВОЙ ГРУППЕ
Б. А. Погорелов, М. А. Пудовкина
В криптографии ортоморфизмы на абелевой группе используются как S-боксы в схемах Лея — Месси, квази-Фейстеля, в блочной шифрсистеме FOX, в режиме
блочного шифрования Дэвиса — Мейера, а также в кодах аутентификации. В работе рассматриваются ортоморфизмы, полные преобразования и их вариации на конечной неабелевой группе (X, ■) наложения ключа. В алгоритме блочного шифрования SAFER для обеспечения принципа рассеивания используется псевдоада-марово преобразование. Предложено десять аналогов псевдоадамарова преобразования, задаваемых подстановкой s на неабелевой группе (X, ■). Доказано, что биективность аналогов псевдоадамарова преобразования равносильна справедливости следующего условия: подстановка s является ортоморфизмом, полным преобразованием или их вариацией.
Ключевые слова: ортоморфизм, полное преобразование, конечная неабеле-ва группа, псевдоадамарово преобразование, алгоритм блочного шифрования SAFER.
Пусть S(X) —симметрическая группа на конечном множестве X, g(a) —образ элемента a Е X при действии на него подстановкой g Е S(X), ag = ag = g(a). Рассмотрим произвольную конечную неабелеву группу (X, ■). Каждой подстановке s Е S(X) поставим в соответствие преобразования n(s) : X M X, i = 1,... , 4, заданные условиями
(s) — 1 s (s) s (s) s —1 (s) s
П : a M a a , п2 : a M aa , : a M a a , щ : a M a a.
Определение 1. Пусть s Е S(X), тогда
1) если n(s) Е S(X), то s называется ортоморфизмом [1];
2) если n2s) Е S(X), то s называется полным преобразованием [1];
3) если n^s) Е S(X), то s называется левым ортоморфизмом;
4) если n^s) Е S(X), то s называется полным левым преобразованием.
Очевидно, что для коммутативной группы n(s) = n(s), = n^s). В этом случае говорят, что n(s) —ортоморфизм, а n(s) —полное преобразование. Заметим, что для неабелевой группы n(s) можно называть правым ортоморфизм, а n^s) — полным правым преобразованием.
В дискретной математике ортоморфизмы и полные преобразования находят применение, например, при построении систем ортогональных латинских квадратов, квазигрупп [2-4]. В настоящее время открытым является вопрос полной классификации всех ортоморфизмов и полных преобразований на произвольной конечной группе. В криптографии ортоморфизмы используются как S-боксы [5], компоненты функции шифрования в схемах Лея — Месси [6], квази-Фейстеля [7], в алгоритме блочного шифрования FOX [8], в режиме блочного шифрования Дэвиса — Мейера [9], а также в кодах аутентификации.
Известно [1], что каждому ортоморфизму s Е S (X) соответствует полное преобразование n(s). Наоборот, каждому полному преобразованию s Е S(X) соответствует ортоморфизм n(s). Аналогичная связь существует между левым ортоморфизмом и полным левым преобразованием.
В алгоритме блочного шифрования SAFER [10] для обеспечения принципа рассеивания используется псевдоадамарово преобразование h : Z>56 M Z>56, заданное условием
h : (ai, a2) M (2ai + a2, ai + a2), (ai, a2) Е Z256.
Очевидно, что h — подстановка на Z|56. При этом преобразование x M 2x mod 256 не является биективным ортоморфизмом.
Для подстановки в Е Б (X) и каждого а Е X положим
А(5)(а) = {а, а-1, а5, (а5)-1} .
Пусть d = , , , —набор отображений, удовлетворяющих условиям
^ : X2 ^ X, dj)(а1, а2) Е А(5)(а1)иА(5)(а2) для каждой пары (а1 ,а2) Е X2, г,] = 1, 2. Обозначим через множество всех таких наборов отображений.
Для алгоритма блочного шифрования с неабелевой группой наложения ключа (X, •) рассмотрим аналог псевдоадамарова преобразования : X2 ^ X2, d Е заданного условием
: (а1,а2) м- ^11)(а1, а2^1)(а1, а2), d(L2)(а1, а2^22)(а1 , а2)^ .
X2 ^ X2 при г = 1,..., 10, заданные
(s)
Для в Е Б (X) рассмотрим преобразования К условиями
К(1 КЗ
К5
Очевидно, что к^ Е {к(м) : d Е для г = 1,
(s) : («1,^2) M (aS«2, a^), h2s) : (a1,«2) M (a^a-1, a2a1),
(s) 3 : («1,^2) M (aSa2, a1a-1), h4s) : (a1,«2) M (a^a-1, a1a-1),
(s) 5 : («1,^2) M ((aS)-1«2, «1«2), h6s) : (a1,«2) M ((a1)-1a-1, a1a-1),
(s) 7 : («1,^2) M (a1a2, a1a2), h8s) : (a1,«2) M (a1(a2)-1, a1a2),
(s) 9 : («1,^2) M (a1a2, a1a-1), ho1 : (a1,«2) M (a1(a2)-1, a1a-1).
10.
Получен критерий биективности преобразования для каждого Е {1,..., 10} Теорема 1. Пусть в Е Б (X).
1. Для каждого j Е {1, 4} тогда и только тогда hjs) Е S(X2), когда Е S(X).
.(s)
2. Для каждого j Е {2, 3, 8} тогда и только тогда hjs) Е S(X2), когда Е S(X).
(s)
3. Для каждого j Е {5, 6, 9} тогда и только тогда hjs) Е S(X2), когда n(s) Е S(X).
(s)
4. Для каждого j Е {7,10} тогда и только тогда h(s) Е S(X2), когда n(s) Е S(X).
Кроме того, пусть Aut(X) —группа автоморфизмов. Доказано, что если s Е Aut(X), то для каждого {г, j} Е {{1, 3}, {2, 4}} условия n(s) Е S(X) и njs) Е S(X) равносильны.
ЛИТЕРАТУРА
1. Evans A. Orthomorphisms Graphs and Groups. Berlin: Springer Verlag, 1992.
2. Johnson D. M., DulmageA.L., and Mendelsohn N. S. Orthomorphisms of groups and orthogonal Latin squares // Canad. J. Math. 1961. V. 13. P. 356-372.
3. Глухов М. М. О применениях квазигрупп в криптографии // Прикладная дискретная математика. 2008. Т. 2. №2. С. 28-32.
4. Глухов М. М. О методах построения систем ортогональных квазигрупп с использованием групп // Математические вопросы криптографии. 2011. Т. 2. №4. С. 5-24.
5. Mittenthal L. Block substitutions using orthomorphic mappings // Adv. Appl. Math. 1995. V. 16. No. 1. P. 59-71.
6. Vaudenay S. On the Lai - Massey schemes // ASIACRYPT'99. LNCS. 1999. V. 1716. P. 8-19.
7. YunA., ParkJ., and Lee J. On Lai — Massey and quasi-Feistel ciphers // Des. Codes Cryptogr. 2011. V. 58. P. 45-72.
(s)
8. Junod P. and Vaudenay S. FOX: A new family of block ciphers // Selected Areas in Cryptography'04. LNCS. 2005. V.3357. P. 114-129.
9. Gilboa S. and Gueron S. Balanced permutations Even-Mansour ciphers // Cryptology ePrint Archive. 2014. Report 2014/642.
10. Massey J. L. SAFER K-64: a byte-oriented block-ciphering algorithm // FSE'94. LNCS. 1994. V. 809. P. 1-17.
УДК 519.7 DOI 10.17223/2226308X/12/7
О КЛАССЕ СТЕПЕННЫХ КУСОЧНО-АФФИННЫХ ПОДСТАНОВОК НА НЕАБЕЛЕВОЙ ГРУППЕ ПОРЯДКА 2m, ОБЛАДАЮЩЕЙ ЦИКЛИЧЕСКОЙ ПОДГРУППОЙ ИНДЕКСА ДВА
Б. А. Погорелов, М. А. Пудовкина
Четыре неабелевы группы порядка 2m, m ^ 4, имеют циклические подгруппы индекса два. Примерами являются широко известная группа диэдра и обобщённая группа кватернионов. Произвольная неабелева группа G порядка 2m, обладающая циклической подгруппой индекса два, в определённом смысле близка к встречающейся в качестве группы наложения ключа аддитивной абелевой группе кольца вычетов Z2m. В данной работе на группе G задаются два класса преобразований, названных степенными кусочно-аффинными, для которых доказаны критерии би-ективности. Они позволят далее провести полную классификацию ортоморфизмов, полных преобразований и их вариаций во множестве всех степенных кусочно-аффинных подстановок.
Ключевые слова: неабелева группа, группа диэдра, обобщённая группа кватернионов, критерий биективности, ортоморфизм.
В ARX-шифрсистемах используются просто реализуемые операции сложения в кольце вычетов, в векторном пространстве над полем GF(2), а также циклический сдвиг. Возникает вопрос о переходе к просто реализуемой группе наложения ключа, относительно которой вместе с некоторым преобразованием g могут эффективно обеспечиваться перемешивающие и рассеивающие свойства.
Неабелевы группы порядка 2m, обладающие циклической подгруппой индекса два, в определенном смысле преемственны широко встречающимся в качестве групп наложения ключа аддитивным абелевым группами m-мерного векторного пространства Vm(2) над полем GF(2) и кольца вычетов Z2m. В [1] описана связь между неабелевостью группы наложения ключа и свойством марковости алгоритмов блочного шифрования.
Из теоремы 12.5.1 [2] следует, что неабелевыми группами порядка 2m, имеющими циклическую подгруппу индекса два, являются только четыре группы с двумя образующим a, u, удовлетворяющими следующим определяющим соотношениям:
1) обобщённая группа кватернионов Q2m, m ^ 3,
2m—1 2 2m—2 -1 a = e, u = a , ua = a u;
2) группа диэдра D2m-i, m ^ 3,
2m—1 2 -1 a = e, u = e, ua = a- u;
3) m ^ 4,
2m—1 2 1+2m—2 a = e, u = e, ua = a + u;
