Неархимедов анализ, компьютеры и криптография

реклама
Неархимедов анализ, компьютеры
и криптография
В. С. Анашин
Российский государственный гуманитарный университет
Институт информационных наук и технологий безопасности
Факультет защиты информации
Неархимедов анализ, компьютеры и криптография – p. 1/34
Задача и мотивировка
Математическая часть доклада состоит в
характеризации сохраняющих меру Хаара (в
частности, эргодических) преобразований f
пространства Zp целых p-адических чисел в классе
всех отображений f : Zp → Zp , удовлетворяющих
условию Липшица с константой 1:
kf (a) − f (b)kp ≤ ka − bkp
для всех a, b ∈ Zp .
Неархимедов анализ, компьютеры и криптография – p. 2/34
Задача и мотивировка
Математическая часть доклада состоит в
характеризации сохраняющих меру Хаара (в
частности, эргодических) преобразований f
пространства Zp целых p-адических чисел в классе
всех отображений f : Zp → Zp , удовлетворяющих
условию Липшица с константой 1:
kf (a) − f (b)kp ≤ ka − bkp
для всех a, b ∈ Zp .
Случай p = 2 представляет особый интерес ввиду
приложений к криптографии; для него получено
полное (в виде явных формул) описание
эргодических изометрий пространства Z2 .
Неархимедов анализ, компьютеры и криптография – p. 2/34
Задача и мотивировка
В целом задача мотивирована проблемой построения
псевдослучайных генераторов для
криптографических целей.
Именно, речь идет о построении быстрых поточных
шифраторов, ориентированных на программную
реализацию.
Неархимедов анализ, компьютеры и криптография – p. 2/34
Поточное шифрование
Шифруем:
открытый текст
α0
α1
α2
...
Неархимедов анализ, компьютеры и криптография – p. 3/34
Поточное шифрование
Шифруем:
открытый текст
α0
складываем по mod2 ⊕
α1
α2
...
Неархимедов анализ, компьютеры и криптография – p. 3/34
Поточное шифрование
Шифруем:
открытый текст
α0
складываем по mod2 ⊕
с гаммой
γ0
α1
α2
...
γ1
γ2
...
Неархимедов анализ, компьютеры и криптография – p. 3/34
Поточное шифрование
Шифруем:
открытый текст
α0
складываем по mod2 ⊕
с гаммой
γ0
и получаем
α1
α2
...
γ1
γ2
...
Неархимедов анализ, компьютеры и криптография – p. 3/34
Поточное шифрование
Шифруем:
открытый текст
α0
складываем по mod2 ⊕
с гаммой
γ0
и получаем
шифртекст
ζ0
α1
α2
...
γ1
γ2
...
ζ1
ζ2
...
Неархимедов анализ, компьютеры и криптография – p. 3/34
Поточное шифрование
Расшифровываем:
шифртекст
ζ0
ζ1
ζ2
...
Неархимедов анализ, компьютеры и криптография – p. 4/34
Поточное шифрование
Расшифровываем:
шифртекст
ζ0
складываем по mod2 ⊕
ζ1
ζ2
...
Неархимедов анализ, компьютеры и криптография – p. 4/34
Поточное шифрование
Расшифровываем:
шифртекст
ζ0
складываем по mod2 ⊕
с гаммой
γ0
ζ1
ζ2
...
γ1
γ2
...
Неархимедов анализ, компьютеры и криптография – p. 4/34
Поточное шифрование
Расшифровываем:
шифртекст
ζ0
складываем по mod2 ⊕
с гаммой
γ0
и получаем
ζ1
ζ2
...
γ1
γ2
...
Неархимедов анализ, компьютеры и криптография – p. 4/34
Поточное шифрование
Расшифровываем:
шифртекст
ζ0
складываем по mod2 ⊕
с гаммой
γ0
и получаем
открытый текст
α0
ζ1
ζ2
...
γ1
γ2
...
α1
α2
...
Неархимедов анализ, компьютеры и криптография – p. 4/34
Псевдослучайный генератор
В криптографии поточный шифратор – это
псевдослучайный генератор, который вырабатывает
гамму.
В приложениях под псевдослучайным генератором
(ПСГ) обычно понимают алгоритм, который
растягивает короткую случайную двоичную
последовательность (начальное состояние, или ключ)
до очень длинной двоичной последовательности,
которая в каком-то смысле похожа на случайную.
Неархимедов анализ, компьютеры и криптография – p. 5/34
Псевдослучайный генератор
ПСГ удобно представлять в виде конечного автомата
xi
Неархимедов анализ, компьютеры и криптография – p. 5/34
Псевдослучайный генератор
ПСГ удобно представлять в виде конечного автомата
переход
xi+1 = f (xi )
f
xi
f : A → A функция перехода,
Неархимедов анализ, компьютеры и криптография – p. 5/34
Псевдослучайный генератор
ПСГ удобно представлять в виде конечного автомата
xi+1 = f (xi )
переход
f
xi
выход
G
yi = G(xi )
f : A → A функция перехода, G : A → B функция выхода .
Неархимедов анализ, компьютеры и криптография – p. 5/34
ПСГ как динамическая система
Последовательнось внутренних состояний {xi ∈ A}
ПСГ — это последовательность
x0 , x1 = f (x0 ), . . . , xi+1 = f (xi ) = f i+1 (x0 ), . . . ,
которая может рассматриваться как траектория
динамической системы.
Неархимедов анализ, компьютеры и криптография – p. 6/34
ПСГ как динамическая система
Последовательнось внутренних состояний {xi ∈ A}
ПСГ — это последовательность
x0 , x1 = f (x0 ), . . . , xi+1 = f (xi ) = f i+1 (x0 ), . . . ,
которая может рассматриваться как траектория
динамической системы.
С этой точки зрения выходная последовательность
yi = G(xi ) может рассматриваться как
последовательность значений наблюдаемой
величины.
Неархимедов анализ, компьютеры и криптография – p. 6/34
ПСГ как динамическая система
Последовательнось внутренних состояний {xi ∈ A}
ПСГ — это последовательность
x0 , x1 = f (x0 ), . . . , xi+1 = f (xi ) = f i+1 (x0 ), . . . ,
которая может рассматриваться как траектория
динамической системы.
В такой постановке доклад представляет собой
изложение некоторых результатов из теории
динамических систем на фазовом пространстве Zp .
Неархимедов анализ, компьютеры и криптография – p. 6/34
ПСГ как динамическая система
Последовательнось внутренних состояний {xi ∈ A}
ПСГ — это последовательность
x0 , x1 = f (x0 ), . . . , xi+1 = f (xi ) = f i+1 (x0 ), . . . ,
которая может рассматриваться как траектория
динамической системы.
В такой постановке доклад представляет собой
изложение некоторых результатов из теории
динамических систем на фазовом пространстве Zp .
Эти системы могут быть единственным образом
продолжены до систем с непрерывным p-адическим
временем.
Неархимедов анализ, компьютеры и криптография – p. 6/34
Обозначения
Как правило, в рассматриваемых приложениях
множество внутренних состояний (внутренний
алфавит) A — это множество Bn всех двоичных слов
длины n, а выходной алфавит B — это множество
Bm .
Неархимедов анализ, компьютеры и криптография – p. 7/34
Обозначения
Элементы множества Bn удобно отождествить с
элементам кольца вычетов Z/2n с помощью
естественного взаимно-однозначного соответствия:
каждому элементу z ∈ Z/2n = {0, 1, 2, . . . , 2n − 1}
соответствует одно и только одно двоичное слово
длины n из множества Bn , которое является
представлением числа z в системе счисления с
основанием 2.
Z/2n 3 z = ζ0 + ζ1 ∙ 2 + ζ2 ∙ 22 + ∙ ∙ ∙ ←→ ζ0 ζ1 ζ2 . . . ∈ Bn
Неархимедов анализ, компьютеры и криптография – p. 7/34
Что значит «хороший ПСГ»?
Хороший ПСГ должен удовлетворять следующим
условиям:
Выходная последовательность должна быть
псевдослучайной (т.е. не должна отличаться от
случайной некоторым множеством
статистических тестов T ).
Неархимедов анализ, компьютеры и криптография – p. 8/34
Что значит «хороший ПСГ»?
Хороший ПСГ должен удовлетворять следующим
условиям:
Выходная последовательность должна быть
псевдослучайной (т.е. не должна отличаться от
случайной некоторым множеством
статистических тестов T ).
Восстановление по данному отрезку
yj , yj+1 , . . . , yj+s−1 выходной последовательности
соответствующего начального состояния должно
быть вычислительно трудной задачей.
Неархимедов анализ, компьютеры и криптография – p. 8/34
Что значит «хороший ПСГ»?
Хороший ПСГ должен удовлетворять следующим
условиям:
Выходная последовательность должна быть
псевдослучайной (т.е. не должна отличаться от
случайной некоторым множеством
статистических тестов T ).
Восстановление по данному отрезку
yj , yj+1 , . . . , yj+s−1 выходной последовательности
соответствующего начального состояния должно
быть вычислительно трудной задачей.
ПСГ должен быть удобен для реализации в виде
программы (или микросхемы) и иметь высокое
быстродействие.
Неархимедов анализ, компьютеры и криптография – p. 8/34
Общие требования к ПСГ
Функция перехода f должна обеспечить
псевдослучайность; в частности, гарантировать
равномерность распределения и длинный
период последовательности состояний {xi }.
Неархимедов анализ, компьютеры и криптография – p. 9/34
Общие требования к ПСГ
Функция перехода f должна обеспечить
псевдослучайность
Функция выхода G должна не ухудшить качество
последовательности (в частности, выходная
последовательность {yi } должна быть
равномерно распределенной и иметь длинный
период);
более того, G должна обеспечить стойкость
шифратора (в частности, при данном yi ,
нахождение xi из уравнения yi = G(xi )) должно
быть вычислительно сложной задачей.
Неархимедов анализ, компьютеры и криптография – p. 9/34
Общие требования к ПСГ
Функция перехода f должна обеспечить
псевдослучайность
Функция выхода G должна не ухудшить качество
последовательности ;
более того, G должна обеспечить стойкость
шифратора
Чтобы шифратор было удобно реализовать в виде
программы, обе функции f и G должны быть
композициями базисных команд процессора.
Неархимедов анализ, компьютеры и криптография – p. 9/34
Детализация требований
Условие 1 (из 3), которым должен удовлетворять ПСГ
будет (в какой-то мере) выполнено, если
f : Z/2n → Z/2n — это одноцикловая перестановка;
т.е. f циклически переставляет элементы из Z/2n .
Последовательность внутренних состояний
x0 , x1 = f (x0 ), . . . , xi+1 = f (xi ) = f i+1 (x0 ), . . .
будет иметь тогда максимально длинный период
(именно, 2n ) и строго равномерное распределение;
т.е., каждое n-битное слово встретится на периоде в
точности один раз.
Неархимедов анализ, компьютеры и криптография – p. 10/34
Детализация требований
Для выполнения первой части условия 2, достаточно
чтобы отображение G : Z/2n → Z/2m было
уравновешенным.
Иными словами, в каждое m-битное слово G
отображает одно и то же число n-битных слов
(следовательно; m ≤ n). В случае m = n
уравновешенные отображения суть просто
обратимые (т.е., биективные, взаимно-однозначные)
отображения.
При m n уравновешенные отображения помогают
выполнить вторую часть условия 2, поскольку тогда
уравнение yi = G(xi ) имеет много решений, 2n−m .
Неархимедов анализ, компьютеры и криптография – p. 10/34
Детализация требований
Чтобы выполнить условие 3, нужно уметь строить
одноцикловые (соответственно, уравновешенные)
отображения из базисных операций процессора,
которые включают:
Арифметические операции — сложение и
умножение неотрицательных целых чисел
(результат автоматически приводится по
модулю 2n , где n – длина регистра)
Поразрядные логические операции (XOR, AND, OR,
NOT)
Некоторые другие (сдвиги, наложение маски,...)
Неархимедов анализ, компьютеры и криптография – p. 10/34
Детализация требований
Чтобы выполнить условие 3, нужно уметь строить
одноцикловые (соответственно, уравновешенные)
отображения из базисных операций процессора,
которые включают:
Арифметические операции — сложение и
умножение неотрицательных целых чисел
(результат автоматически приводится по
модулю 2n , где n – длина регистра)
Поразрядные логические операции (XOR, AND, OR,
NOT)
Некоторые другие (сдвиги, наложение маски,...)
Здесь и применяется 2-адический анализ.
Неархимедов анализ, компьютеры и криптография – p. 10/34
Базисные команды процессора
z = δ0 (z) + δ1 (z) ∙ 2 + δ2 (z) ∙ 22 + δ3 (z) ∙ 23 + ∙ ∙ ∙ –
представление z ∈ N0 в двоичной системе счисления
Неархимедов анализ, компьютеры и криптография – p. 11/34
Базисные команды процессора
z = δ0 (z) + δ1 (z) ∙ 2 + δ2 (z) ∙ 22 + δ3 (z) ∙ 23 + ∙ ∙ ∙ –
представление z ∈ N0 в двоичной системе счисления
y XOR z = y ⊕ z — поразрядное сложение по
модулю 2: δj (y XOR z) ≡ δj (y) + δj (z) (mod 2);
Пример: 5 ⊕ 3 = 1012 ⊕ 0112 = 1102 = 6
Неархимедов анализ, компьютеры и криптография – p. 11/34
Базисные команды процессора
z = δ0 (z) + δ1 (z) ∙ 2 + δ2 (z) ∙ 22 + δ3 (z) ∙ 23 + ∙ ∙ ∙ –
представление z ∈ N0 в двоичной системе счисления
y XOR z = y ⊕ z — поразрядное сложение по
модулю 2: δj (y XOR z) ≡ δj (y) + δj (z) (mod 2);
y AND z = y z – поразрядное умножение по
модулю 2: δj (y AND z) ≡ δj (y) ∙ δj (z) (mod 2);
Пример: 5 3 = 1012 0112 = 0012 = 1
Аналогично: 5 OR 3 = 1012 OR 0112 = 1112 = 7
Неархимедов анализ, компьютеры и криптография – p. 11/34
Базисные команды процессора
z = δ0 (z) + δ1 (z) ∙ 2 + δ2 (z) ∙ 22 + δ3 (z) ∙ 23 + ∙ ∙ ∙ –
представление z ∈ N0 в двоичной системе счисления
y XOR z = y ⊕ z — поразрядное сложение по
модулю 2: δj (y XOR z) ≡ δj (y) + δj (z) (mod 2);
y AND z = y z – поразрядное умножение по
модулю 2: δj (y AND z) ≡ δj (y) ∙ δj (z) (mod 2);
b z2 c – сдвиг в сторону младших разрядов
Неархимедов анализ, компьютеры и криптография – p. 11/34
Базисные команды процессора
z = δ0 (z) + δ1 (z) ∙ 2 + δ2 (z) ∙ 22 + δ3 (z) ∙ 23 + ∙ ∙ ∙ –
представление z ∈ N0 в двоичной системе счисления
y XOR z = y ⊕ z — поразрядное сложение по
модулю 2: δj (y XOR z) ≡ δj (y) + δj (z) (mod 2);
y AND z = y z – поразрядное умножение по
модулю 2: δj (y AND z) ≡ δj (y) ∙ δj (z) (mod 2);
b z2 c – сдвиг в сторону младших разрядов
2 ∙ z – сдвиг в сторону старших разрядов
Неархимедов анализ, компьютеры и криптография – p. 11/34
Базисные команды процессора
z = δ0 (z) + δ1 (z) ∙ 2 + δ2 (z) ∙ 22 + δ3 (z) ∙ 23 + ∙ ∙ ∙ –
представление z ∈ N0 в двоичной системе счисления
y XOR z = y ⊕ z — поразрядное сложение по
модулю 2: δj (y XOR z) ≡ δj (y) + δj (z) (mod 2);
y AND z = y z – поразрядное умножение по
модулю 2: δj (y AND z) ≡ δj (y) ∙ δj (z) (mod 2);
b z2 c – сдвиг в сторону младших разрядов
2 ∙ z – сдвиг в сторону старших разрядов
y AND z – наложение на z маски y;
Неархимедов анализ, компьютеры и криптография – p. 11/34
Базисные команды процессора
z = δ0 (z) + δ1 (z) ∙ 2 + δ2 (z) ∙ 22 + δ3 (z) ∙ 23 + ∙ ∙ ∙ –
представление z ∈ N0 в двоичной системе счисления
y XOR z = y ⊕ z — поразрядное сложение по
модулю 2: δj (y XOR z) ≡ δj (y) + δj (z) (mod 2);
y AND z = y z – поразрядное умножение по
модулю 2: δj (y AND z) ≡ δj (y) ∙ δj (z) (mod 2);
b z2 c – сдвиг в сторону младших разрядов
2 ∙ z – сдвиг в сторону старших разрядов
y AND z – наложение на z маски y;
z mod 2k = z AND(2k − 1) — редукция z по
модулю 2k
Неархимедов анализ, компьютеры и криптография – p. 11/34
Важное наблюдение
Все базисные операции процессора корректно
определены на кольце Z2 целых 2-адических чисел.
Неархимедов анализ, компьютеры и криптография – p. 12/34
Важное наблюдение
Все базисные операции процессора корректно
определены на кольце Z2 целых 2-адических чисел.
Кольцо Z2 можно мыслить как множество всех
бесконечных двоичных последовательностей с
операциями сложения и умножения, задаваемыми
стандартными «школьными» алгоритмами «в
столбик».
Неархимедов анализ, компьютеры и криптография – p. 12/34
Важное наблюдение
Все базисные операции процессора корректно
определены на кольце Z2 целых 2-адических чисел.
Пример, показывающий, что . . . 11111 = −1.
...1
1
1
1
...0
0
0
1
...0
0
0
0
+
Неархимедов анализ, компьютеры и криптография – p. 12/34
. . . 1010101 =
×
1
−3
в кольце Z2
...0
1
0
1
0
1
...0
0
0
0
1
1
...0
1
0
1
0
1
...1
0
1
0
1
...1
1
1
1Неархимедов анализ,
1 компьютеры и1криптография – p. 13/34
+
. . . 1010101 =
1
−3
в кольце Z2
Это можно сосчитать даже на
калькуляторе!
Неархимедов анализ, компьютеры и криптография – p. 13/34
Метрическое пространство Z2
Множество Z2 можно отождествить со множеством
всех бесконечных последовательностей из 0 и 1.
Последовательностям, содержащим лишь конечное
число 1-ц, соответствуют неотрицательные
рациональные целые числа, представленные в
системе счисления с основанием 2:
. . . 00011 = 3
Неархимедов анализ, компьютеры и криптография – p. 14/34
Метрическое пространство Z2
Множество Z2 можно отождествить со множеством
всех бесконечных последовательностей из 0 и 1.
Последовательностям, содержащим лишь конечное
0-лей, соответствуют отрицательные рациональные
целые числа:
. . . 111100 = −4
Отметим, что для всех z ∈ Z2 выполняется
тождество:
z + NOT z = −1
Неархимедов анализ, компьютеры и криптография – p. 14/34
Метрическое пространство Z2
Множество Z2 можно отождествить со множеством
всех бесконечных последовательностей из 0 и 1.
Последовательностям, которые являются
периодическими (начиная с некоторого номера)
соответствуют рациональные числа, которые можно
представить в виде несократимых дробей с
нечетными знаменателями:
1
. . . 1010101 = −
3
Неархимедов анализ, компьютеры и криптография – p. 14/34
Метрическое пространство Z2
Множество Z2 можно отождествить со множеством
всех бесконечных последовательностей из 0 и 1.
Последовательностям, которые не являются
периодическими, не соответствует ни одно
рациональное число.
Неархимедов анализ, компьютеры и криптография – p. 14/34
Метрическое пространство Z2
Множество Z2 можно отождествить со множеством
всех бесконечных последовательностей из 0 и 1.
Метрика: полагаем, что расстояние d2 (u, v) между
последовательностями u, v ∈ Z2 равно 2−k если
максимальная длина совпадающих начальных
отрезков у u и у v равна k.
Норма: kuk2 = d2 (u, 0); d2 (u, v) = ku − vk2 .

1
1
1
1
. . . 101010101 = −
3 =⇒ d2 − , 5 = 4 =
3
2
16
. . . 000000101 = 5 
т.е. − 13 ≡ 5 (mod 16); − 13 6≡ 5 (mod 32).
Неархимедов анализ, компьютеры и криптография – p. 14/34
Метрическое пространство Z2
Множество Z2 можно отождествить со множеством
всех бесконечных последовательностей из 0 и 1.
Кольцо Z2 есть нормированное кольцо относительно
нормы k ∙ k2 , полное относительно этого
нормирования, компактное и сепарабельное
метрическое пространство. Множество N0 всех
неотрицательных рациональных целых чисел всюду
плотно в Z2 .
Неархимедов анализ, компьютеры и криптография – p. 14/34
Метрическое пространство Z2
Поскольку метрика (норма) уже определены, можно
говорить о сходимости, пределах, непрерывных
функциях, производных,...
2
lim n! = 0
n→∞
(x2 XOR(−7))0 = −2x
ln(−1) = −
∞
X
2i
i=1
i
=0
Неархимедов анализ, компьютеры и криптография – p. 14/34
Важные замечания
Базисные операции процессора являются корректно
определенными и непрерывными функциями целых
2-адических аргументов, принимающими значения в
пространстве Z2 .
Неархимедов анализ, компьютеры и криптография – p. 15/34
Важные замечания
Базисные операции процессора являются корректно
определенными и непрерывными функциями целых
2-адических аргументов, принимающими значения в
пространстве Z2 .
Все эти функции, за исключением сдвигов в сторону
младших разрядов и циклических сдвигов,
удовлетворяют условию Липшица с константой 1.
Неархимедов анализ, компьютеры и криптография – p. 15/34
Важные замечания
Базисные операции процессора являются корректно
определенными и непрерывными функциями целых
2-адических аргументов, принимающими значения в
пространстве Z2 .
Все композиции F базисных операций процессора
(за исключением сдвигов в сторону младших
разрядов и циклических сдвигов) удовлетворяют
условию Липшица с константой 1:
kF (u) − F (v)k2 6 ku − vk2 ,
для любых u, v ∈ Z2 . Это же верно и для функций
нескольких переменных.
Неархимедов анализ, компьютеры и криптография – p. 15/34
Пример «дикой» функции
x AND x2 + x3 OR x4
(1 + x) XOR 4 ∙ 1 − 2 ∙
6 XOR x7
5
x
3 − 4 ∙ (5 + 6x )
!7−
8x8
9+10x9
Неархимедов анализ, компьютеры и криптография – p. 16/34
Пример «дикой» функции
x AND x2 + x3 OR x4
(1 + x) XOR 4 ∙ 1 − 2 ∙
6 XOR x7
5
x
3 − 4 ∙ (5 + 6x )
!7−
8x8
9+10x9
Любой цифровой компьютер вычислит значения этой
функции с 2-адической точностью, которая
определяется лишь длиной его регистра:
эта функция непрерывна на пространстве целых
2-адических чисел.
Неархимедов анализ, компьютеры и криптография – p. 16/34
Тезис
Виртуальный мир неархимедов!
Неархимедов анализ, компьютеры и криптография – p. 17/34
Тезис
Виртуальный мир неархимедов!
Наши цифровые компьютеры есть ни что иное как
аналоговые компьютеры для этого виртуального
мира.
Неархимедов анализ, компьютеры и криптография – p. 17/34
Тезис
Виртуальный мир неархимедов!
Наши цифровые компьютеры есть ни что иное как
аналоговые компьютеры для этого виртуального
мира.
Они конструктивно предназначены для корректной
работы с целыми 2-адическими числами.
Неархимедов анализ, компьютеры и криптография – p. 17/34
Тезис
Виртуальный мир неархимедов!
Наши цифровые компьютеры есть ни что иное как
аналоговые компьютеры для этого виртуального
мира.
Они конструктивно предназначены для корректной
работы с целыми 2-адическими числами.
Компьютеры работают с приближениями этих чисел
относительно 2-адической метрики, причем точность
приближения ограничена исключительно
конструктивными особенностями компьютеров,
именно, длинами регистров, куда они записывают
числа.
Неархимедов анализ, компьютеры и криптография – p. 17/34
Терминология
Условие
F (a) ≡ F (b) (mod 2k ) как только a ≡ b
эквивалентно условию
(mod 2k )
kF (a) − F (b)k2 ≤ ka − bk2
То-есть, F удовлетворяет условию Липшица с
константой 1 тогда и только тогда, когда F — это
совместимое отображение кольца Z2 в себя.
Неархимедов анализ, компьютеры и криптография – p. 18/34
Терминология
Условие
F (a) ≡ F (b) (mod 2k ) как только a ≡ b
эквивалентно условию
(mod 2k )
kF (a) − F (b)k2 ≤ ka − bk2
То-есть, F удовлетворяет условию Липшица с
константой 1 тогда и только тогда, когда F — это
совместимое отображение кольца Z2 в себя.
«Совместимость » — алгебраический термин. В 2002
году израильские криптографы Klimov и Shamir
изобрели термин «Т-функции на n-битных словах»
Неархимедов анализ, компьютеры и криптография – p. 18/34
Терминология
Отображения, которые Klimov and Shamir назвали
Т-функциями, изучались в математике задолго до
появления этого термина в 2002 году.
Например, в теории булевых функций они изучались
с начала 1970-х под названием «отображения
треугольного типа».
В теории автоматов они появились в работах
С.В.Яблонского, который изучал т.н.
детерминированные функции.
В алгебре совместимые функции изучались многими
авторами, библиография – в монографии Lausch and
Nöbauer, 1974.
Неархимедов анализ, компьютеры и криптография – p. 18/34
Терминология
Т-функция F на n-битных словах (от одного
переменного) есть ни что иное как совместимое
отображение кольца вычетов Z/2n в себя, т.е. если
a, b ∈ Z/2n таковы, что a ≡ b (mod 2k ) для какого-то
k ∈ {1, 2, . . . , n − 1}, то и F (a) ≡ F (b) (mod 2k ).
Следовательно, Т-функции на n-битных словах
(=отображения треугольного типа, =
детерминированные двоичные функции) суть просто
аппроксимации 2-адических функций,
удовлетворяющих условию Липшица с константой 1
(т.е., совместимых на кольце Z2 ) с точностью
приближения, равной 21n .
Неархимедов анализ, компьютеры и криптография – p. 18/34
Основное:
Существует тесная связь между
свойствами уравновешенности,
обратимости, одноцикловости
Т-функций и метрическими
свойствами соответствующих
2-адических функций.
Неархимедов анализ, компьютеры и криптография – p. 19/34
Мера на Z2
Пространстве Z2 снабжено естественной
вероятностной мерой, в качестве которой выступает
нормализованная мера Хаара μ2 .
Неархимедов анализ, компьютеры и криптография – p. 20/34
Мера на Z2
Пространстве Z2 снабжено естественной
вероятностной мерой, в качестве которой выступает
нормализованная мера Хаара μ2 .
Именно, множество a + 2k Z2 , т.е. множество всех
2-адических целых чисел, сравнимых с a по модулю
2k , есть шар радиуса 2−k .
По определению, мера этого шара есть
μ2 (a + 2k Z2 ) = 2−k .
Неархимедов анализ, компьютеры и криптография – p. 20/34
Мера на Z2
Пространстве Z2 снабжено естественной
вероятностной мерой, в качестве которой выступает
нормализованная мера Хаара μ2 .
Напомним определения из эргодической теории.
Говорят, что отображение F : S → S пространства S с
вероятностной мерой μ сохраняет меру μ, если
μ(F −1 (S)) = μ(S) для каждого измеримого
подмножества S ⊂ S.
Неархимедов анализ, компьютеры и криптография – p. 20/34
Мера на Z2
Пространстве Z2 снабжено естественной
вероятностной мерой, в качестве которой выступает
нормализованная мера Хаара μ2 .
Напомним определения из эргодической теории.
Говорят, что отображение F : S → S пространства S с
вероятностной мерой μ сохраняет меру μ, если
μ(F −1 (S)) = μ(S) для каждого измеримого
подмножества S ⊂ S. Сохраняющее меру μ
отображение F называется эргодическим, если для
любого измеримого подмножества S, такого что
F −1 (S) = S, выполняется либо μ(S) = 1, либо
μ(S) = 0.
Неархимедов анализ, компьютеры и криптография – p. 20/34
Применение p-адического анализа
Определение 1. Совместимое отображение
F : Zp → Zp будем называть биективным (соотв.,
транзитивным) по модулю pk , если индуцированное
отображение x 7→ F (x) (mod pk ) есть
(одноцикловая) перестановка элементов кольца Z/pk .
Уравновешенность по модулю pk определяется
аналогично.
Неархимедов анализ, компьютеры и криптография – p. 21/34
Применение p-адического анализа
Теорема 1. При m = n = 1 совместимое
отображение F : Znp → Zm
p сохраняет
нормализованную меру Хаара μp на Zp (соотв.,
эргодично относительно μp ) тогда и только тогда,
когда оно биективно (соотв., транзитивно) по
модулю pk для всех k = 1, 2, 3, . . . .
При n > m отображение F сохраняет меру μp
тогда и только тогда, когда оно индуцирует
уравновешенное отображение (Z/pk )n на (Z/pk )m
для всех k = 1, 2, 3, . . ..
Неархимедов анализ, компьютеры и криптография – p. 21/34
Применение p-адического анализа
В частности, для p = 2 мы имеем:
сохранение меры =обратимость по модулю 2k
для всех k ∈ N
в размерностях > 1, т.е. для F : Zn2 → Zm
2
сохранение меры=уравновешенность по модулю
2k для всех k ∈ N ,
эргодичность=одноцикловость по модулю 2k для
всех k ∈ N
Неархимедов анализ, компьютеры и криптография – p. 21/34
Актуально:
В качестве функций перехода в псевдослучайном
генераторе можно брать совместимые эргодические
функции, а в качестве функций выхода —
совместимые функции, сохраняющие меру Хаара.
Приведение по модулю 2n компьютер выполнит
автоматически.
Неархимедов анализ, компьютеры и криптография – p. 22/34
Актуально:
В качестве функций перехода в псевдослучайном
генераторе можно брать совместимые эргодические
функции, а в качестве функций выхода —
совместимые функции, сохраняющие меру Хаара.
Приведение по модулю 2n компьютер выполнит
автоматически.
Какие композиции базисных операций процессора
будут эргодическими? сохраняющими меру?
Неархимедов анализ, компьютеры и криптография – p. 22/34
Актуально:
В качестве функций перехода в псевдослучайном
генераторе можно брать совместимые эргодические
функции, а в качестве функций выхода —
совместимые функции, сохраняющие меру Хаара.
Приведение по модулю 2n компьютер выполнит
автоматически.
Какие композиции базисных операций процессора
будут эргодическими? сохраняющими меру?
Как по данной композиции базисных операций
процессора узнать, является ли она эргодической?
сохраняет ли она меру?
Неархимедов анализ, компьютеры и криптография – p. 22/34
Феномен
Было замечено, что поведение некоторых
отображений по модулю pN , где N БОЛЬШОЕ,
полностью определяется их поведением по модулю
pn , где n маленькое.
Неархимедов анализ, компьютеры и криптография – p. 23/34
Феномен
Линейный конгруэнтный генератор
(Hull and Dobell, 1962)
Отображение
x 7→ a ∙ x + b
(mod pN ),
где a, b ∈ Z, есть одноцикловая перестановка для
N ≥ 2 тогда и только тогда, когда отображение
x 7→ a ∙ x + b (mod pn ) есть одноцикловая
перестановка при n = 1 в случае нечетного p, или
при n = 2, в случае p = 2.
Неархимедов анализ, компьютеры и криптография – p. 23/34
Феномен
Критерий биективности для полиномов с целыми
коэффициентами
(Доказывался и передоказывался многими авторами.
Известен самое позднее с 1960-х. )
Отображение
x 7→ f (x) (mod pN ),
где f есть полином с рациональными целыми
коэффициентами, биективно при N > 2 тогда и
только тогда, когда отображение x 7→ f (x)
(mod pn ) биективно при n = 2.
Неархимедов анализ, компьютеры и криптография – p. 23/34
Феномен
Квадратичный генератор
(Coveyou, 1969)
Отображение
x 7→ f (x) (mod pN ),
где f — квадратичный полином с рациональными
целыми коэффициентами, есть одноцикловая
перестановка при N > 3 тогда и только тогда,
когда отображение x 7→ f (x) (mod pn ) есть
одноцикловая перестановка при n = 3 в случае, когда
p ∈ {2, 3} , или при n = 2, если p > 3. В 1980-х
М.В.Ларин показал, что условие квадратичности
излишне.
Неархимедов анализ, компьютеры и криптография – p. 23/34
Феномен
В чем причина?
Неархимедов анализ, компьютеры и криптография – p. 23/34
Объяснение феномена
Теорема 2. Пусть совместимая функция
F : Z2 → Z2 равномерно дифференцируема всюду на
Z2 . Отображение F эргодично в том и только в том
случае, когда оно транзитивно по модулю 2N2 (F )+2 ,
где N2 (F ) таково, что
F (x + h) − F (x)
1
0
≤
(x)
−
F
h
4
2
как только khk2 ≤ 2−N2 (F ) .
Неархимедов анализ, компьютеры и криптография – p. 24/34
Объяснение феномена
Пример. (Klimov and Shamir, 2002)
Отображение x 7→ x + (x2 OR 5) mod 2n есть
одноцикловая перестановка.
Неархимедов анализ, компьютеры и криптография – p. 24/34
Объяснение феномена
Пример. (Klimov and Shamir, 2002)
Отображение x 7→ x + (x2 OR 5) mod 2n есть
одноцикловая перестановка.
В своей статье Klimov and Shamir, сделав ссылку на
мою публикацию 1993 года, пишут, что
“...neither the invertibility nor the cycle
structure of x + (x2 OR 5) could be determined
by his (т.е. моей) techniques.”
На самом деле их результат легко выводится из
приведенной выше моей теоремы 2, которая и
содержится в цитированной ими работе.
Неархимедов анализ, компьютеры и криптография – p. 24/34
Объяснение феномена
Пример. (Klimov and Shamir, 2002)
Отображение x 7→ x + (x2 OR 5) mod 2n есть
одноцикловая перестановка.
Доказательство. Функция F (x) = x + (x2 OR 5)
равномерно дифференцируема на Z2 :
F 0 (x) = 1 + 2x ∙ (x OR 5)0 = 1 + 2x, и N2 (F ) = 3, т.к.
(x + h) OR 5 = (x OR 5) + h как только h ≡ 0 (mod 8)
(последнее равенство очевидно ввиду того, что
5 = . . . 0000101). Теперь для доказательства
эргодичности F ввиду теоремы 2 достаточно
убедиться, что F индуцирует одноцикловую
перестановку на Z/32, что и делается прямыми
вычислениями F (0), F (F (0)), . . . в кольце Z/32.
Неархимедов анализ, компьютеры и криптография – p. 24/34
Дифференцируемость modp
k
Для a = (a1 , . . . , an ), b = (b1 , . . . , bn ) ∈ Qnp запись
a ≡ b (mod ps ) обозначает, что kai − bi kp 6 p−s .
Определение 2. Ф-я F = (f1 , . . . , fm ) : Znp → Zm
p наз.
дифференцируемой по модулю pk в точке
u = (u1 , . . . , un ) ∈ Znp если ∃N ∈ N и матрица Fk0 (u)
над Qp размера n × m (матрица Якоби по модулю pk )
такая, что для всех K ≥ N и h = (h1 , . . . , hn ) ∈ Znp ,
таких, что khkp = p−K , справедливо
F (u + h) ≡ F (u) + h ∙ Fk0 (u) (mod pk+K ).
(1)
Неархимедов анализ, компьютеры и криптография – p. 25/34
Дифференцируемость modp
k
Для сравнения: F дифференцируема ⇔
F (u + h) ≡ F (u) + h ∙ Fk0 (u) (mod pΨ(K) ),
где Ψ(K) стремится к ∞ быстрее, чем K.
Неархимедов анализ, компьютеры и криптография – p. 25/34
Дифференцируемость modp
k
Например, для функции F одной переменной имеем:
F (u + h) − F (u)
≈ Fk0 (u)
h
≈ с любой заданной точностью ⇒ дифференцируемость
≈ с точностью > p−k ⇒ дифференцируемость mod pk
Неархимедов анализ, компьютеры и криптография – p. 25/34
Дифференцируемость modp
k
Правила дифференцирования по модулю pk похожи
на классические, только вместо = стоит ≡ (mod pk ).
F (x, y) = x XOR y дифференцируема не везде на
Z22 ; однако она равномерно дифференцируема по
1
0
модулю 2, F1 (x, y) ≡
(mod 2), т.е.
1
d1 F (x, y) ≡ d1 x + d1 y (mod 2)
F (x, y) = x OR y не дифференцируема по модулю
(2)
2 ни в одной точке из Z2 . Она равномерно
дифференцируема по x при каждом y ∈ Z; ее
частная производная равна 1 при y > 0, и равна 0
при y < 0.
Неархимедов анализ, компьютеры и криптография – p. 25/34
Равномерная дифф-ть modp
k
Теперь обычным образом определяем равномерную
дифференцируемость по модулю pk на Znp и
обозначаем Nk (F ) = min K такое, что (1)
выполняется сразу для всех u, h ∈ Znp , как только
khkp 6 p−K . Ниже следует общая форма Теоремы 2.
Теорема 3. Пусть совместимая функция F : Zp → Zp
равномерно дифференцируема по модулю p2 .
Функция F эргодична тогда и только тогда, когда
она транзитивна по модулю pN2 (F )+1 для p > 2 или,
соответственно, по модулю 2N2 (F )+2 при p = 2.
Неархимедов анализ, компьютеры и криптография – p. 26/34
Равномерная дифф-ть modp
k
Теорема НЕсуществования в высших размерностях
совместимых эргодических отображений, которые
хоть в какой-то мере можно считать гладкими.
Теорема 4. Если функция F = (f1 , . . . , fn ) : Znp → Znp
совместима, эргодична, и равномерно
дифференцируема по модулю p на Zp , то n = 1.
Замечание. НЕдифференцируемые по модулю p
совместимые эргодические функции существуют и
при n > 1
Неархимедов анализ, компьютеры и криптография – p. 26/34
Равномерная дифф-ть modp
k
Следующая теорема используется при построении
уравновешенных функций, которые можно
использовать в качестве функций выхода для
псевдослучайного генератора.
Теорема 5. Пусть совместимая функция
F : Znp → Zm
p равномерно дифференцируема по
модулю p. Функция F сохраняет меру, если она
уравновешена по модулю pk для некоторого
k > N1 (F ), и ранг ее матрицы Якоби F10 (u) по
модулю p равен m во всех точках
u = (u1 , . . . , un ) ∈ (Z/pk )n . При m = n эти условия
являются и необходимыми.
Неархимедов анализ, компьютеры и криптография – p. 26/34
Ряды Малера
Напомним, что любая равномерно непрерывная на Zp
функция F : Zp → Zp может быть задана
интерполяционным рядом Малера
∞
X
x
,
F (x) =
cj
j
j=0
где cj ∈ Zp и

 x(x − 1) ∙ ∙ ∙ (x − i + 1)
x
,
=
i!

i
1,
при i = 1, 2, . . .;
при i = 0.
Неархимедов анализ, компьютеры и криптография – p. 27/34
Ряды Малера
Теорема 6. При p = 2 функция F : Zp → Zp является
совместимой и сохраняющей меру тогда и только
тогда, когда
∞
X
blogp ic+1 x
,
F (x) = c0 + x +
ci ∙ p
i
i=1
для подходящих ci ∈ Zp .
(При p 6= 2 эти условия достаточны, но НЕ
необходимы. ).
Неархимедов анализ, компьютеры и криптография – p. 27/34
Ряды Малера
Теорема 7. При p = 2 функция F : Zp → Zp является
совместимой и эргодической тогда и только тогда,
когда
∞
X
blogp (i+1)c+1 x
F (x) = 1 + x +
ci ∙ p
,
i
i=1
для подходящих ci ∈ Zp .
(При p 6= 2 эти условия достаточны, но НЕ
необходимы. ).
Неархимедов анализ, компьютеры и криптография – p. 27/34
Компактные формулы
С помощью предыдущих теорем получаются
следующие формулы, удобные при построении в
явном виде функций перехода/выхода
псевдослучайного генератора.
Неархимедов анализ, компьютеры и криптография – p. 28/34
Компактные формулы
С помощью предыдущих теорем получаются
следующие формулы, удобные при построении в
явном виде функций перехода/выхода
псевдослучайного генератора.
Теорема 8. При p = 2 функция F : Zp → Zp
совместима и сохраняет меру тогда и только тогда,
когда
F (x) = c + x + p ∙ U (x),
где c ∈ Zp , U : Zp → Zp — произвольная совместимая
функция.
Неархимедов анализ, компьютеры и криптография – p. 28/34
Компактные формулы
С помощью предыдущих теорем получаются
следующие формулы, удобные при построении в
явном виде функций перехода/выхода
псевдослучайного генератора.
Теорема 9. При p = 2 функция F : Zp → Zp
совместима и эргодична тогда и только тогда, когда
F (x) = 1 + x + p ∙ ΔU (x),
где U : Zp → Zp — произвольная совместимая
функция, Δ – оператор разности:
ΔU (x) = U (x + 1) − U (x)
Неархимедов анализ, компьютеры и криптография – p. 28/34
Компактные формулы
Замечание. При p 6= 2 условия этих теорем
достаточны, но НЕ необходимы.
Неархимедов анализ, компьютеры и криптография – p. 28/34
Частные случаи
При произвольной совместимой функции v : Z2 → Z2
и произвольной совместимой эргодической функции
f : Z2 → Z2 следующие функции эргодичны:
f (x) + 4 ∙ v(x)
f (x + 4 ∙ v(x))
f (x) ⊕ 4 ∙ v(x)
f (x ⊕ 4 ∙ v(x))
Доказательство. Использует теоремы 7 и 9.
Замечание. Так была построена «дикая функция».
Неархимедов анализ, компьютеры и криптография – p. 29/34
Частные случаи
Полином f (x) ∈ Qp [x] степени d целозначен (т.е.
f (Zp ) ⊂ Zp )), совместим и эргодичен одновременно
тогда и только тогда, когда f принимает целые
p-адические значения в точках 0, 1, . . . , pblogp dc+3 − 1,
а отображение z 7→ f (z) mod pblogp dc+3 , совместимо
blog dc+3
.
и транзитивно на кольце Z p p
(Для проверки нужно вычислить всего ≈ dp3
значений полинома f .)
Доказательство. Длинное, техническое, и «очень
p-адическое». Дальнейшее развитие метода
доказательства Теоремы 3.
Неархимедов анализ, компьютеры и криптография – p. 29/34
Частные случаи
Функция F (x) = a ∙ x + ax эргодична на Z2 тогда и
только тогда, когда a нечетно.
Доказательство. Непосредственное применение
Теоремы 7.
Неархимедов анализ, компьютеры и криптография – p. 29/34
Частные случаи
Функция
F (x) = a0 + b1 ∙ (x ⊕ a1 ) + b2 ∙ (x ⊕ a2 ) + ∙ ∙ ∙
эргодична на Z2 тогда и только тогда, когда она
транзитивна по модулю 4.
Доказательство. Опосредованное применение
Теоремы 7. Сначала нужно представить x ⊕ a в виде
интерполяционного ряда Малера.
Неархимедов анализ, компьютеры и криптография – p. 29/34
Частные случаи
Функция F (x) = a + a0 ∙ δ0 (x) + a1 ∙ δ1 (x) + ∙ ∙ ∙
является совместимой и сохраняющей меру на Z2
тогда и только тогда, когда kaj k2 = 2−j для всех
j = 1, 2, . . ..
Напомним: δj (x) = 21j (x AND 2j ) — значение j-го
разряда числа x в двоичном представлении
(нумерация разрядов начинается с j = 0).
Доказательство. Опосредованное применение
Теоремы 6. Сначала нужно представить δj (x) в виде
интерполяционного ряда Малера.
Замечание. Отсюда вытекает комбинаторная теорема DeBruijn
(1950-е) о бинарных базисах.
Неархимедов анализ, компьютеры и криптография – p. 29/34
Частные случаи
При произвольных полиномах u(x), v(x) ∈ Zp [x]
функция
v(x)
F (x) =
p ∙ u(x) + 1
эргодична тогда и только тогда,когда она
транзитивна по модулю p3 , если p ∈ {2, 3}, или по
модулю p2 , если p > 3.
Доказательство. Немедленно следует из общего
результата о функциях, равномерно
аппроксимируемых полиномами с целыми
p-адическими коэффициентами, см. далее.
Неархимедов анализ, компьютеры и криптография – p. 29/34
Аппроксимации полиномами
Очень наивно: Аналитические функции — это
«бесконечно длинные полиномы».
Неархимедов анализ, компьютеры и криптография – p. 30/34
Аппроксимации полиномами
Очень наивно: Аналитические функции — это
«бесконечно длинные полиномы».
Полиномы можно представлять в разных базисах:
через обычные степени
1, x, x2 , x3 , . . . ,
или, например, через убывающие
факториальные степени:
x0 = 1, x1 = x, x2 = x∙(x−1), x3 = x∙(x−1)∙(x−2), . . .
Неархимедов анализ, компьютеры и криптография – p. 30/34
Аппроксимации полиномами
B=
P∞
i
a
∙
x
: a i ∈ Zp
i=0 i
(i = 0, 1, 2, . . .) .
Неархимедов анализ, компьютеры и криптография – p. 30/34
Аппроксимации полиномами
B=
P∞
i
a
∙
x
: a i ∈ Zp
i=0 i
(i = 0, 1, 2, . . .) .
Ряды из B сходятся всюду на Zp и задают совместимые
функции, дифференцируемые всюду на Zp
Класс B замкнут относительно композиций и
дифференцирований; он содержит все аналитические на Zp
функции с коэффициентами из Zp
B – это кольцо; оно сепарабельно и полно относительно
метрики Dp (f, g) = max{kf (z) − g(z)kp : z ∈ Zp }.
Множество P всех полиномов над Z всюду плотно в B.
Неархимедов анализ, компьютеры и криптография – p. 30/34
Аппроксимации полиномами
B=
P∞
i
a
∙
x
: a i ∈ Zp
i=0 i
(i = 0, 1, 2, . . .) .
Класс B замкнут относительно экспоненцирований:
если w, v ∈ B, то f = (1 + p ∙ w)v ∈ B.
Неархимедов анализ, компьютеры и криптография – p. 30/34
Аппроксимации полиномами
B=
P∞
i
a
∙
x
: a i ∈ Zp
i=0 i
(i = 0, 1, 2, . . .) .
Теорема 10. Функция f ∈ B сохраняет меру тогда и
только тогда, когда она биективна по модулю p2 .
Функция f эргодична тогда и только тогда, когда
она транзитивна по модулю p3 , если p ∈ {2, 3}, или
по модулю p2 , если p > 3.
Неархимедов анализ, компьютеры и криптография – p. 30/34
Эргодичность на сферах и шарах
Изучение динамики липшицевых преобразований
фазового пространства Zp , как и формулировки
соответствующих задач, были обусловлены в первую
очередь прикладными вопросами.
Однако и в математической литературе p-адической
динамике уделяется заметное внимание.
С помощью техники, разработанной для решения
прикладных вопросов, оказалось возможным решить
некоторые задачи, поставленные в рамках
математических исследований по p-адической
динамике.
Неархимедов анализ, компьютеры и криптография – p. 31/34
Эргодичность на сферах и шарах
Обозначим Sp−r (a) сферу радиуса p1r с центром в
точке 1:
1
Sp−r (a) = z ∈ Zp : kz − akp = r .
p
Эта сфера есть объединение непересекающихся
1
шаров Bp−(r+1) (a + pr s) радиуса pr+1
каждый:
Sp−r (a) =
p−1
[
(a + pr s + pr+1 Zp )
s=1
Неархимедов анализ, компьютеры и криптография – p. 31/34
Эргодичность на сферах и шарах
Обозначим Sp−r (a) сферу радиуса p1r с центром в
точке 1:
1
Sp−r (a) = z ∈ Zp : kz − akp = r .
p
В ряде работ А.Ю.Хренникова et al. (2000–2005)
изучалась мономиальная динамика x 7→ x` на сфере
Sp−r (1). В этих работах было показано, что
соответствующая динамическая система эргодична
тогда и только тогда, когда ` есть образующий
мультипликативной группы (=группы единиц)
(Z/p2 )∗ кольца вычетов Z/p2 по модулю p2 .
Неархимедов анализ, компьютеры и криптография – p. 31/34
Эргодичность на сферах и шарах
Обозначим Sp−r (a) сферу радиуса p1r с центром в
точке 1:
1
Sp−r (a) = z ∈ Zp : kz − akp = r .
p
А.Ю.Хренниковым была поставлена следующая
проблема: будет ли возмущенная мономиальная
динамика x 7→ x` + q(x) эргодической на сфере
Sp−r (1), если q(x) — малое возмущение; именно, если
q(x) = p`+1 v(x), где v(x) ∈ Zp [x] — полином с
целыми p-адическими коэффициентами?
Неархимедов анализ, компьютеры и криптография – p. 31/34
Эргодичность на сферах и шарах
Обозначим Sp−r (a) сферу радиуса p1r с центром в
точке 1:
1
Sp−r (a) = z ∈ Zp : kz − akp = r .
p
Теорема 11. Возмущенное мономиальное
отображение f : x 7→ x` + q(x), где q(x) = pr+1 v(x),
v(x) ∈ Zp [x], эргодично на сфере Sp−r (1) (при r > 1
для p > 3, и при r > 2 для p = 3) тогда и только
тогда, когда ` есть образующий группы (Z/p2 )∗ .
Неархимедов анализ, компьютеры и криптография – p. 31/34
Эргодичность на сферах и шарах
Обозначим Sp−r (a) сферу радиуса p1r с центром в
точке 1:
1
Sp−r (a) = z ∈ Zp : kz − akp = r .
p
Отметим, что, если мономиальное отображение
x 7→ x` эргодично на какой-то сфере Sp−r (1), то оно
эргодично и на всех сферах меньшего радиуса. Ввиду
этого появляется еще одна формулировка проблемы:
когда возмущенное мономиальное отображение
x 7→ x` + q(x) эргодично на всех сферах вокруг 1,
имеющих достаточно малые радиусы?
Неархимедов анализ, компьютеры и криптография – p. 31/34
Эргодичность на сферах и шарах
Теорема 12. Пусть f (x) ∈ Zp [x] – полином от
переменной x над кольцом Zp . Если p > 2, то
отображение z 7→ f (z) эргодично на каждой
достаточно малой сфере с центром в точке a тогда
и только тогда, когда одновременно выполняются
два условия:
f (a) = a, и
производная f 0 (a) полинома f в точке a
порождает по модулю p2 всю группу единиц
(Z/p2 )∗ кольца Z/p2 .
В случае p = 2 таких отображений нет.
Неархимедов анализ, компьютеры и криптография – p. 31/34
Эргодичность на сферах и шарах
Замечание 1. Утверждение Теоремы 12 остается
верным, если в качестве f брать совместимые
аналитические на Zp функции, и даже еще более
общие функции из класса B.
Более того, в качестве f можно брать совместимые
целозначные полиномы над полем Qp , т.е. полиномы
с не обязательно целыми p-адическими
коэффициентами, и даже шире — совместимые
функции из некоторого более широкого класса, не
обязательно даже дифференцируемые, но
равномерно дифференцируемые по модулю p2 , см.
Определение 2.
Это же, с некоторыми оговорками, относится и к
Теореме 11.
Неархимедов анализ, компьютеры и криптография – p. 31/34
Эргодичность на сферах и шарах
В работе Z.Coelho and W.Parry (2001) показано, что
отображение x 7→ λ ∙ x эргодично на группе единиц
кольца Zp (которая есть на самом деле сфера S1 (0))
тогда и только тогда, когда λ есть образующий
мультипликативной группы (Z/p2 )∗ .
В работе J.Bryk and C.E.Silva (2005) получены
критерии эргодичности отображений вида
x 7→ ax + b и x 7→ axn на некоторых шарах (сферах).
Эти критерии имеют похожие на приведенные выше
формулировки.
Неархимедов анализ, компьютеры и криптография – p. 31/34
Эргодичность на сферах и шарах
Отметим, что как Теорема 12 , так и (после
соответствующих переформулировок) Теорема 11
справедливы и для рассмотренных этими авторами
шаров (сфер).
Другими словами, все эти результаты могут быть
получены в гораздо более общем виде, для
полиномиальных (и более общих, см. Замечание 1)
отображений x 7→ f (x).
Неархимедов анализ, компьютеры и криптография – p. 31/34
Эргодичность на сферах и шарах
Замечание 2. Ключевым при получении вышеупомянутых
обобщений является использование Теоремы 1 (и ее аналогов
для шаров/сфер), которая устанавливает эквивалентность
между эргодическими свойствами отображения и поведением
его на кольцах вычетов.
С точностью до этой эквивалентности,
критерии эргодичности отображений x 7→ ax + b и
x 7→ axn на шарах/сферах есть критерий максимальности
периода линейного конгруэнтного генератора (Hull and
Dobell, 1962), а
критерий эргодичности отображения x 7→ λx — это
результат Гаусса (1801)
Неархимедов анализ, компьютеры и криптография – p. 31/34
Приложения к криптографии
Полученные результаты о сохраняющих меру (соотв.,
эргодческих) преобразованиях пространства Z2
могут быть немедленно использованы для
построения высокоскоростных поточных
шифраторов (в виде упомянутых псевдослучайных
генераторов,) вырабатывающих двоичную гамму
периода n2n , где n-длина машинного слова.
Однако, при n = 32 получается период длины 237 , что
НЕ удовлетворяет современным требованиям к
стойкости шифратора!
Поэтому реально приходится использовать другие,
более сложные генераторы для выработки гаммы,
которые позволяют увеличивать длину периода.
Неархимедов анализ, компьютеры и криптография – p. 32/34
Приложения к криптографии
Эти более сложные генераторы суть генераторы с
изменяющимся законом. Ср. с обычным ПСГ!
xi+1 = fi (xi )
переход
fi
xi
выход
Gi
yi = Gi (xi )
Неархимедов анализ, компьютеры и криптография – p. 32/34
Приложения к криптографии
Эти более сложные генераторы суть генераторы с
изменяющимся законом. Ср. с обычным ПСГ!
xi+1 = fi (xi )
Отличие
переход
fi
xi
выход
Gi
yi = Gi (xi )
Неархимедов анализ, компьютеры и криптография – p. 32/34
Приложения к криптографии
Эти более сложные генераторы суть генераторы с
изменяющимся законом. Ср. с обычным ПСГ!
xi+1 = fi (xi )
Отличие
Отличие
переход
fi
xi
выход
Gi
yi = Gi (xi )
Неархимедов анализ, компьютеры и криптография – p. 32/34
Еще о динамических системах
Обычный псевдослучайный генератор можно
рассматривать как автономную динамическую
систему.
Неархимедов анализ, компьютеры и криптография – p. 33/34
Еще о динамических системах
Обычный псевдослучайный генератор можно
рассматривать как автономную динамическую
систему.
Генератор с изменяющимся законом — это
НЕавтономная динамическая система.
Неархимедов анализ, компьютеры и криптография – p. 33/34
Еще о динамических системах
Обычный псевдослучайный генератор можно
рассматривать как автономную динамическую
систему.
Генератор с изменяющимся законом — это
НЕавтономная динамическая система.
Неавтономную динамическую систему можно
построить как динамическую систему, управляемую
другой динамической системой, уже автономной.
Такое построение можно осуществить, используя
конструкцию из эргодической теории – так
называемое косое произведение, или косой сдвиг,
известный в алгебре и теории автоматов также как
сплетение.
Неархимедов анализ, компьютеры и криптография – p. 33/34
Еще о динамических системах
Обычный псевдослучайный генератор можно
рассматривать как автономную динамическую
систему.
Генератор с изменяющимся законом — это
НЕавтономная динамическая система.
При исследовании таких динамических систем
возникают вопросы (и получаются результаты)
аналогичные случаю автономных динамических
систем на фазовом пространстве Zp . Здесь также
приходится изучать (и строить) сохраняющие меру (или
эргодические) динамические системы, чтобы генерировать
псевдослучайные последовательности с гарантированными
криптографическими свойствами. Подсистемы этих систем
строятся с использованием изложенных в докладе результатов.
Неархимедов анализ, компьютеры и криптография – p. 33/34
Еще о динамических системах
Обычный псевдослучайный генератор можно
рассматривать как автономную динамическую
систему.
Генератор с изменяющимся законом — это
НЕавтономная динамическая система.
При исследовании таких динамических систем
возникают вопросы (и получаются результаты)
аналогичные случаю автономных динамических
систем на фазовом пространстве Zp . При изучении
более тонких свойств (например, линейной
сложности, сложности статистических аналогов,
свойств координатных подпоследовательностей) этих
псевдослучайных последовательностей также
используется аппарат неархимедова анализа.
Неархимедов анализ, компьютеры и криптография – p. 33/34
Еще о динамических системах
Обычный псевдослучайный генератор можно
рассматривать как автономную динамическую
систему.
Генератор с изменяющимся законом — это
НЕавтономная динамическая система.
При исследовании таких динамических систем
возникают вопросы (и получаются результаты)
аналогичные случаю автономных динамических
систем на фазовом пространстве Zp . На основе
полученных результатов удалось построить
поточный шифратор АВС, достигающий скорости ок.
7 Гбит/сек на стандартном процессоре 3,2 Ghz
Pentium 4 . Алгоритм, С-код и обоснование — на
http://crypto.rsuh.ru.
Неархимедов анализ, компьютеры и криптография – p. 33/34
Еще о динамических системах
Обычный псевдослучайный генератор можно
рассматривать как автономную динамическую
систему.
Генератор с изменяющимся законом — это
НЕавтономная динамическая система.
При исследовании таких динамических систем
возникают вопросы (и получаются результаты)
аналогичные случаю автономных динамических
систем на фазовом пространстве Zp .
И последнее — изложенную теорию возможно
перенести на некоммутативный случай, когда вместо
кольца Z2 в качестве фазового пространства
рассматривается про-2-группа или ее разрешимое
расширение.
Неархимедов анализ, компьютеры и криптография – p. 33/34
Статьи
[1] В. С. Анашин ‘Равномерно распределенные
последовательности целых p-адических чисел’, Мат. заметки,
55 (1994), No 2, 3–46 (English transl. in Mathematical Notes,
55,(1994), No 2, 109–133.)
[2] V. S. Anashin ‘Uniformly distributed sequences over p-adic
integers’, Number theoretic and algebraic methods in computer
science. Proceedings of the Int’l Conference (Moscow, June–July,
1993) (A. J. van der Poorten, I. Shparlinsky and H. G. Zimmer, eds.),
World Scientific, 1995, 1–18.
[3] V. S. Anashin ‘Uniformly distributed sequences in computer
algebra, or how to construct program generators of random
numbers’, J. Math. Sci. (Plenum Publishing Corp., New York), 89
(1998), No 4, 1355 – 1390.
Неархимедов анализ, компьютеры и криптография – p. 34/34
Статьи
[4] В. С. Анашин. ‘Равномерно распределенные
последовательности целых p-адических чисел, II’, Дискретная
математика 14 (2002), no. 4, 3–64; English translation in Discrete
Math. Appl. 12 (2002), no. 6, 527–590. A preprint in English
available from http://arXiv.org/math.NT/0209407
[5] V. Anashin. Pseudorandom Number Generation by p-adic
Ergodic Transformations, 2004. (A preprint). Available from
http://arXiv.org/abs/cs.CR/0401030
[6] V. Anashin. Pseudorandom Number Generation by p-adic
Ergodic Transformations: An addendum, 2004. (A preprint).
Available from http://arXiv.org/abs/cs.CR/0402060
E-mail: [email protected],
[email protected]
Неархимедов анализ, компьютеры и криптография – p. 34/34
Скачать