About one problem from NSUCRYPTO'2017 and the image of cubic function over binary fields
aa r X i v : . [ m a t h . HO ] J u l О решении одной задачи олимпиадыNSUCrypto’2017 и образах кубическихотображений в двоичных полях
Чиликов А. А. ∗†‡
16 декабря 2019 г.
Аннотация
Задача об описании образа нелинейной функции f ( x ) = x + x надпроизвольным конечным полем характеристики была предложенана олимпиаде NSUCrypto в 2017 году, и обозначена организаторамикак нерешенная. В данной работе предложено полное решение ука-занной задачи. Ключевые слова: конечные поля, нелинейные отображения, крип-тография, теория кодирования.
УДК 519.7
Международная Олимпиада по криптографии NSUCrypto проводится с2014 года, и стала одним из интереснейших мероприятий в мире крипто-графии. Идея ее появилась в Новосибирском Государственном Универси-тете, который и по сей день является главной площадкой и организато-ром олимпиады. В состав жюри входят многие авторитетные специалисты-криптографы из России, стран ближнего и дальнего зарубежья. Хотя олим-пиада позиционируется как студенческая, в ней могут принять участиевсе интересующиеся криптографией – от школьников до профессионалов-криптографов (разумеется, призовой зачет в этих категориях раздельный).Для решения участникам предлагаются задачи различного уровнясложности, в том числе и открытые математические проблемы. За пер-вые четыре года участникам было предложено десять задач, отмеченныхорганизаторами как нерешенные. Одна из них была решена участником в ∗ Московский Государственный Технический Университет им. Н.Э. Баумана, факуль-тет Информатика и системы управления, кафедра ИУ-8 Информационная безопасность † Московский Физико-Технический Институт, факультет инноваций и высоких техно-логий, лаборатория продвинутой комбинаторики и сетевых приложений ‡ Passware, Research Department, [email protected] f ( x ) = x + x над конечнымполем F n («The image set»). Эта задача была отмечена как нерешенная.В итоговом отчете ([1]) организаторы отметили продвижения, достигнутыедвумя командами. Однако полного решения так и не было предложено. Втом же отчете было отмечено несколько ранее опубликованных результатов,которые, по мнению организаторов, могут помочь в решении задачи.Таким образом, насколько нам известно, данная задача считается нере-шенной. В рамках данной работы мы предлагаем полное решение указаннойзадачи.Далее в тексте мы будем использовать следующие обозначения: • Im( h ) = { y | ∃ x, h ( x ) = y } – образ отображения h • T r ( x ) = n − P i =0 x i – след элемента x ∈ F n • gcd( g, h ) – наибольший общий делитель g и h • U d = { x | x d = 1 } – группа корней степени d из Данная работа была проведена с помощью Российского Научного ФондаГрант N 17-11-01377.
Обозначим искомый образ
Im( x + x ) через Y ( n ) . Множество Y ( n ) состоитиз тех и только тех точек ξ , для которых уравнение x + x − ξ = 0 имеетрешения в F n . Лемма 1
Пусть h ( x ) ∈ F q [ x ] . Тогда уравнение h ( x ) = 0 имеет решения в F q в том и только том случае, когда deg gcd( h, x q − x ) > . ✄ Обозначим общий делитель gcd( h, x q − x ) через g ( x ) . Пусть h ( x ) имееткорень α ∈ F n . По теореме Безу отсюда следует, что x − α делит h ( x ) .Кроме того, x − α делит x q − x . Следовательно, g ( x ) также делится на x − α ,а значит, его степень больше нуля.Обратно, пусть deg g > . Следовательно, он отличен от константы.Поскольку x q − x разлагается на линейные сомножители, то и g такжеявляется произведением некоторых из этих сомножителей (и их количествобольше нуля). Возьмем любой из этих делителей x − α . По теореме Безуполучаем g ( α ) = 0 . Следовательно h ( α ) = 0 . ✷ f ( x ) − ξ = x + x − ξ равна . Поэтому он заведомоимеет не более трех корней в поле F n (с учетом возможной кратности). Бо-лее того, общее число корней в соотвествующем поле разложения (с учетомкратности) в точности равно трем. Все они лежат в некотором конечномрасширении F n . Возможные следующие случаи:1. Многочлен f ( x ) − ξ имеет кратные корни2. Все корни многочлена f ( x ) − ξ различны, ни один из них не лежит в F n
3. Все корни многочлена f ( x ) − ξ различны, один из них лежит в F n
4. Все корни многочлена f ( x ) − ξ различны, и все три лежит в F n Вариант, когда все корни различны, и ровно два из них принадлежат F n ,невозможен в силу теоремы Виета.Обозначим теперь через Y ( n ) i множество значений ξ , для которых числоразличных корней f ( x ) − ξ , лежащих в F n в точности равно i .Начнем с рассмотрения первого случая. Из общей теории (например, [4])известно, что кратные корни произвольного многочлена h являются такжекорнями его производной h ′ . В нашем случае производная не зависит от ξ и равна x + 1 . У нее имеется единственный корень x = 1 . f (1) = 0 , поэтомукратные корни возникают только при ξ = 0 . Во всех остальных случаяхкорни различны.Вышеприведенное рассуждение доказывает следующий факт: Лемма 2
В ранее введенных обозначениях имеют место следующие раз-биения множеств:1. F n \ { } = Y ( n )0 ⊔ Y ( n )1 ⊔ Y ( n )3 Y ( n ) = { } ⊔ Y ( n )1 ⊔ Y ( n )3 Таким образом, задача сводится к описанию множеств Y ( n ) i при i ∈{ , , } .Имеет место следующий результат ([3],[1]): Теорема 1 (K. Williams)
Полином X + aX + b над F n • раскладывается в произведение трех линейных сомножителей, если T r ( a /b ) = T r (1) и корни квадратного уравнения t + bt + a = 0 являются кубами в F n (при четном n ) или же в F n (при нечетном n ) • раскладывается в произведение одного линейного и одного квадратич-ного сомножителей, если T r ( a /b ) = T r (1) • неприводим, если T r ( a /b ) = T r (1) и корни квадратного уравнения t + bt + a = 0 не являются кубами в F n (при четном n ) или же в F n (при нечетном n ) X + X + ξ . Поэтому T r ( a /b ) = T r ( ξ − ) = T r ( ξ − ) . Применяя Теорему 1 непосредственно кнашей задаче, получаем следующее утверждение: Теорема 2
Пусть ξ ∈ F n \ { } . Тогда • ξ ∈ Y ( n )1 , если T r ( ξ − ) = T r (1) • ξ ∈ Y ( n )3 , если T r ( ξ − ) = T r (1) и корни квадратного уравнения t + ξt + 1 = 0 являются кубами в F n (при четном n ) или же в F n (принечетном n ) • ξ ∈ Y ( n )0 , если T r ( ξ − ) = T r (1) и корни квадратного уравнения t + ξt + 1 = 0 не являются кубами в F n (при четном n ) или же в F n (при нечетном n ) Легко заметить, что полученная классификация допускает разбиение надва частных случая: n четно и n нечетно. Рассмотрение этих случаев поотдельности позволяет несколько упростить ситуацию. n Итак, пусть n четно. Тогда T r (1) = 0 . Следовательно, Y ( n )1 состоит в точно-сти из тех ξ , для которых T r ( ξ − ) = 0 , т.е. T r ( ξ − ) = 1 . Множество точек ν = ξ − , таким образом, образует аффинную гиперплоскость T r ( ν ) = 1 .Рассмотрим теперь множество Y ( n )3 . Оно состоит из точек, таких что T r ( ξ − ) = 0 и при этом корни уравнения t + ξt + 1 = 0 являются кубамив F n . В силу теоремы Виета корни уравнения взаимно обратны, поэтомуесли один из них – куб, то и второй тоже. Обозначим один из корней через r . Тогда второй равен r − и, в силу теоремы Виета, ξ = r + r − .При любом выборе r ∈ F n \ { } полученное значение ξ будет лежать в Y ( n )3 . Кроме того, в этом случае заведомо выполнено условие T r ( ξ − ) = 0 .Также верно и то, что каждое значение из Y ( n )3 будет получено при неко-тором выборе r . Более того, каждому значению ξ будет соответствовать возможных значений: r , rw , rw , r − , r − w , r − w , где w есть некоторыйфиксированный корень уравнения w + w + 1 = 0 (т.е. кубический кореньиз , не равный ). Очевидно, w ∈ F n при четном n . Замечание 1
В некоторых случаях (при ξ ∈ { , w, w } ) некоторые из пе-речисленных значений могут совпадать. В этом случае допустимых зна-чений будет в точности , что легко проверяется прямым подсчетом. Таким образом, нами построена полная параметризация для множества Y ( n )3 при четном n . Его можно несколько упростить, если заметить, что r является корнем степени n − из (и пробегает все возможные значенияиз группы U (2 n − / ).Зафиксируем итоговый результат данного раздела в виде следующегоутверждения: 4 еорема 3 Пусть n четно. Тогда Im( x + x ) = Y ( n ) = { } ⊔ Y ( n )1 ⊔ Y ( n )3 где Y ( n )1 = { ξ | T r ( ξ − ) = 1 } , Y ( n )3 = { r + r − | r ∈ F n , r = 0 } = { s + s − | s ∈ U (2 n − / } . n Пусть теперь n нечетно. Тогда T r (1) = 1 . Следовательно, Y ( n )1 состоит вточности из тех ξ , для которых T r ( ξ − ) = 1 , т.е. T r ( ξ − ) = 0 . Множествоточек ν = ξ − таким образом, образует аффинную гиперплоскость T r ( ν ) =0 с выколотой нулевой точкой.Рассмотрим теперь множество Y ( n )3 . Оно состоит из точек, таких что T r ( ξ − ) = 1 и при этом корни уравнения t + ξt + 1 = 0 являются кубамив расширенном поле F n . Как и ранее, корни уравнения взаимно обратны.Обозначим один из них через r . Тогда второй равен r − и ξ = r + r − .Как и раньше, каждое значение ξ будет получено при некотором выборе r . Однако в этом случае уже нельзя гарантировать, что при любом выборе r результат попадет в основное поле. Очевидно, что вариантов выбора r го-раздо больше, чем вариантов выбора ξ , и подходящими будут далеко не все.Для завершения решения задачи нужно научиться отличать «подходящие»значения r от «неподходящих».Здесь нам поможет следующее вспомогательное утверждение: Лемма 3
Пусть f – неприводимый многочлен над конечным полем F q и ϑ – некоторый его корень в соответствующем алгебраическим расширении.Тогда ϑ q также является корнем f . ✄ Указанное утверждение легко проверяется прямым подсчетом. В самомделе, пусть f ( x ) = d P i =0 a i x i . Тогда d P i =0 a i ϑ i = f ( ϑ ) = 0 и следовательно d X i =0 a i ϑ i ! q = d X i =0 a i ( ϑ q ) i = f ( ϑ q ) ✷ Дальнейшее рассуждение несложно. Значение r является «подходящим»тогда и только тогда, когда r – корень уравнения t + ξt +1 . Вторым корнемявляется, очевидно, r − .Если r = 1 , то корни различны.С другой стороны, по Лемме 3, второй корень равен r · n . Следовательно r − = r · n и r · (2 n +1) . Таким образом, подходящее значение r должнобыть корнем степени · (2 n + 1) из (и при этом не лежать в F n ).5усть теперь α – примитивный элемент поля F n . Тогда r = α k . Условие r · (2 n +1) влечет · (2 n + 1) · k = 0 mod 2 n − , и следовательно k =0 mod 2 n − . Поскольку n нечетно, n − не делится на . Значит n − | k .Это означает, что r ∈ U n +1 . Ни одно из значений r , кроме , не лежит в F n (иначе r n +1 = 1 и r n − = 1 , что влечет r = 1 и r = 1 ). Таким образом,все такие r являются «подходящими».Поскольку значение ξ зависит только от r , можно сразу рассматривать s = r . Очевидно, s (2 n +1) / = r n +1 = 1 (при нечетном n число (2 n + 1) / –целое).Таким образом, ξ = s + s − , где s – некоторый корень из степени (2 n + 1) / . Также ясно, что одному и тому же ξ будут соответствовать двазначения ( s и s − ), а каждому s – три кубических корня r .Таким образом, нами построена полная параметризация для множества Y ( n )3 при нечетном n .Зафиксируем итоговый результат данного раздела в виде следующегоутверждения: Теорема 4
Пусть n нечетно. Тогда Im( x + x ) = Y ( n ) = { } ⊔ Y ( n )1 ⊔ Y ( n )3 где Y ( n )1 = { ξ | T r ( ξ − ) = 0 } , Y ( n )3 = { s + s − | s ∈ U (2 n +1) / , s = 1 } . Таким образом, получено описание образа
Im( x + x ) для произвольного n . Замечание 2
Решение задачи об описании
Im( x + x ) сразу приводит крешению задачи об описании образа произвольного кубического отображе-ния Im( ax + bx + cx + d ) . ✄ При помощи подходящей линейной замены аргумента z = ux + v можно преобразовать выражение ax + bx + cx + d к виду a ( z + z ) + d ′ ,либо к виду az + d ′ . Во втором случае описание образа тривиально,поэтому ограничимся рассмотрением первого. Поскольку преобразованиебиективно, Im( ax + bx + cx + d ) = Im( a ( z + z ) + d ′ ) . В свою очередь Im( a ( z + z ) + d ′ ) получается из образа Im( x + x ) аналогичной линейнойзаменой выходного значения. ✷ В работе сформулированы и доказаны результаты, позволяющие описатьстроение образа кубического отображения x → x + x в произвольном конеч-ном поле характеристики . Теоремы 3 и 4 дают полное описание указанно-го образа. При помощи несложных преобразований указанные результатыобобщаются на случай произвольного кубического отображения.Полученные результаты представляют интерес в теории конечных по-лей, криптографии и алгебраической теории кодирования.6 BOUT ONE PROBLEM FROM NSUCRYPTO’2017 AND THEIMAGE OF CUBIC FUNCTION OVER BINARY FIELDS.Chilikov A. A. Abstract:
The description of the image of cubic function f ( x ) = x + x over finite field F n was stated as a problem in the NSUCrypto olympiad in 2017. Thisproblem was marked by organizers as «unsolved». In this work we propose thefull solution of this problem. Keywords: finite fields, non-linear transformations, cryptography, codingtheory.
Список литературы [1]
A. Gorodilova, S. Agievich, C. Carlet, E. Gorkunov, V. Idrisova,N. Kolomeec, A. Kutsenko, S. Nikova, A. Oblaukhov, S. Picek, B. Preneel,V. Rijmen, N. Tokareva
Problems and solutions of the Fourth International Students’ Olympiad inCryptography NSUCRYPTO.https://arxiv.org/abs/1806.02059.[2]
N. Tokareva, A. Gorodilova, S. Agievich, V. Idrisova, N. Kolomeec,A. Kutsenko, A. Oblaukhov, G. Shushuev
Mathematical methods in solutions of the problems presented at the ThirdInternational Students’ Olympiad in Cryptography.Прикладная дискретная математика, 2018, № 40, с. 34-58.[3]
Williams K.
Note on cubics over GF (2 n ) and GF (3 n ) .Journal of Number Theory. 1975. V. 7. P. 361–365.[4] Р. Лидл, Г. Нидеррайтер