Читаем Криптография и свобода полностью

– Работайте дома. Если Вы будете часто здесь появляться, то диссертации не напишите.

Так напутствовал меня мой научный руководитель Б.А., который сам заканчивал 4 факультет в числе первых его выпускников, а сейчас уже защитил докторскую диссертацию и жил в мире групп, колец и полей. Это был бальзам на мою душу! Нет этого бессмысленного высиживания до 6 часов вечера, пустых разговоров ни о чем, нет смертельно опасной столовой-травиловки. Мысли раскрепощены, нет интеллектуального насилия, все проблемы, казавшиеся неразрешимыми, вдруг как-то сами стали успешно разрешаться. А что за проблемы?

Итак, мои творческие планы связаны с шифрами на новой элементной базе. Это новая тема и непаханое поле для деятельности. Основное отличие этих шифров от традиционных балалаек – наличие в них подстановки (или даже нескольких подстановок) из S₂₅₆. Эти подстановки определяют криптографические качества шифров, они же дают возможность строить очень простые и высокоскоростные схемы, поэтому фундаментальные исследования шифров на новой элементной базе нужно начинать с изучения подстановок. Нужно постараться получить наиболее полную картину их свойств, ответить на типовые вопросы, например:

– какие подстановки считать приемлемыми, а какие неприемлемыми для использования в шифрах на новой элементной базе и почему;

– как описать какие-то особенные классы подстановок и в чем будет их особенность;

– как лучше использовать подстановку в схеме, где ее целесообразнее расположить и почему;

И, наконец, надо попробовать дать ответ на конкретный практический вопрос: а что же делать со схемой «Ангстрем-3»? Как ее модернизировать, чтобы, сохранив простоту и высокую скорость реализации, обеспечить гарантированную стойкость?

Когда я поведал о своих замыслах Б.А., он сразу же стал пытаться приделывать к подстановкам теорию групп. Он витал в групповых облаках, а моей задачей было приземлять его фантазии на грешную подстановочную землю. И, в общем, такой дуэт оказался достаточно успешным.

Для начала мы попытались описать какой-нибудь класс подстановок π, для которого было бы гарантировано, что показатель 2-транзитивности множества Gπ минимален и равен 3. Я надеюсь, что читатель припоминает упоминавшуюся ранее в этой книге матрицу частот встречаемости разностей переходов ненулевых биграмм P(π) и условие достижения 2-транзитивности за 3 шага: эта матрица, возведенная в квадрат, не должна содержать нулей. Я пытался описать класс подстановок, у которых полностью ненулевые средние строка и столбец, наличие такого «креста» дает гарантию того, что квадрат матрицы будет полностью положительным, без нулей. Б.А. сразу же стал пытаться найти и пристроить к этой ситуации какие-то аналогии из известных ему экзотических групп. Несколько попыток оказались безрезультатными и моей задачей было обоснование того, что этот класс групп совсем непригоден. Своего рода тотальное опробование всех подстановок, каким-то пусть даже косвенным образом связанных с изначальными. Б.А., как умудренный опытом рыболов, выискивал места, где могли водиться хорошие подстановки, а я закидывал в этих местах свою блесну.

И вот однажды клюнула такая подстановка, о которой даже сейчас, спустя 20 лет, я вспоминаю с нескрываемым удовольствием. Читатель, наверное, помнит про мое обещание привести один очень красивый результат про подстановки с минимальным числом нулей в матрице P(π). Настало время исполнить обещанное.

Пусть N – такое число, что N+1 – простое, θ - примитивный элемент в поле Галуа GF(N+1), т.е. образующий элемент циклической мультипликативной группы этого поля.

Пусть π - преобразование множества Z/N вида:

π(х) = log_θ(θ^x+r⊕ρ), если θ^x+r⊕ρ≠0,

π(х) = log_θρ, если θ^x+r⊕ρ=0,

где ρ - произвольный ненулевой элемент поля GF(N+1), r – произвольный элемент из Z/N, ⊕ - операция сложения в поле GF(N+1). Тогда преобразование π является взаимно-однозначным на множестве Z/N, т.е. является подстановкой из симметрической группы S_N.

Это утверждение достаточно очевидно, поскольку θ - примитивный элемент поля GF(N+1), т.е. множество значений θ,θ²,…,θ^N совпадает со множеством {1,2,…,N} – мультипликативной группой поля GF(N+1), а логарифмирование – операция, обратная возведению в степень. Все проблемы с нулем подправляются вторым условием: π(х) = log_θρ, если θ^x+r⊕ρ=0.

Такие подстановки естественно назвать логарифмическими, а точку х₀, при которой π(х₀) = log_θρ – выколотой точкой логарифмической подстановки π.

Здесь и всюду далее нам будут встречаться два разных типа арифметических операций сложения и вычитания: в кольце Z/N и в поле GF(N+1). Операции в кольце Z/N будем обозначать обычными символами “+” и “-“, а операции в поле GF(N+1) – ⊕ и ⊖ соответственно.

Теорема 1.

Пусть π – логарифмическая подстановка, х₁≠х₂, х₁,х₂∈ Z/N, i – произвольный ненулевой элемент кольца Z/N.

Тогда если ни одна из точек х₁+i,x₁,х₂+i,x₂ не является выколотой, то π(х₁+i)- π(x₁)≠ π(х₂+i)- π(x₂).

Доказательство.