抽象代数
参考教材:密码编码学与网络安全
AES加密的数学基础
第一遍读感觉教材上对数学基础(群环域,多项式运算)P72-P91给的莫名奇妙
然后参考了知乎回答对群环域的解释
此时第二遍读教材,发现其实教材在讲每一部分的开始都写了为什么要讲.
学习这部分一定要明确目的,在陷入定理的证明时或者公式应用时时刻想想是在干什么
引入多项式构造\(GF(p^n)\)这一想法真的太神奇了,将整数上的数论定理应用于多项式也真的太神奇了
另,教材P74页的图4.2是有错误的
抽象代数基础
图片来自代数结构入门:群、环、域、向量空间 - 知乎 (zhihu.com)
群
群
\(<G,·>\)表示一个定义了二元关系\(·\)的集合(注意这里\(·\)不一定是乘号,可以是所有二元关系的抽象表示)
如果G满足:
A1封闭性:\(\forall a,b\in G\rightarrow a·b\in b\)
A2结合律:\(\forall a,b\in G,a·(b·c)=(a·b)·c\)
A3单位元:\(\exist e\in G,\forall a\in G,e·a=a·e=a\)
A4逆元:\(\forall a\in G,\exist a^{-1},a·a^{-1}=a^{-1}·a=e\)
这里\(^{-1}\)不是一定是-1次幂,只是逆元的表示形式
集合G+A1+A2+A3+A4=群G
<Z,+>就是一个群
<N,+>就不是一个群,因为如果定义单位元是0,那么1的逆元就是-1,但是-1不在自然数范围内,满足A1A2A3但是不满足A4的代数系统被称为幺半群
变换群
设A是一非空集合,G是A到A的映射集合,如果G关于运算*构成一个群,则称\(<G,✳>\)是集合A上的一个变换群,简称变换群
置换群
设A是一非空有限集合,则A上的一个变换群就是A的一个置换群,简称置换群
交换群
A5交换律:\(\forall a,b\in G,a·b=b·a\)
群G+A5=交换群G
l
环
环
\(<R,+,\times>\)R是一个有两种二元运算的集合,这两种二元运算分别为加法\(+\)和乘法\(\times\)
已知\(<R,+>\)是交换群
如果R再满足
M1乘法封闭性:\(\forall a,b\in R,a\times b\in R\)
M2乘法结合律:\(\forall a,b,c\in R,a\times (b\times c)=(a\times b)\times c\)
M3乘法对加法的分配律:\(\forall a,b,c\in R,\begin{cases}a\times (b+c)=a\times b+a\times c\\(a+b)\times c=a\times c+b\times c\end{cases}\)
注意这里没有写\(a \times (b+c)=(b+c)\times a\)
因为这样写实际上是满足乘法交换律,而满足分配律不一定满足交换律,比如矩阵乘法
矩阵的左右乘结果一般是不一样的,但是矩阵乘法对矩阵加法是有结合律的
则称R为环
交换环
如果环R再满足
M4乘法交换律:\(\forall a,b,c\in R,(a\times b)\times c=a\times (b\times c)\)
显然\(R_n(Q)\)是环但不是交换环
则称R为交换环
整环
如果交换环R再满足
M5乘法单位元:\(\exist e,\forall a\in R,e\times a=a\times e=a\)
当\(R=S\)为整数时,\(e=1\)
当\(R=R_n(Q)\),n阶实数矩阵集合,\(e=E(n)\)n阶单位矩阵
M6无零因子,:\(\forall a,b\in R,a\times b=0\rightarrow a=0\ or\ b=0\)
则称R为整环
怎么理解"无0因子"?
显然\(R_n(Q)\)不满足M6,因为两个矩阵\(A,B\)乘积是个0矩阵并不能说明\(A\)或者\(B\)矩阵有至少一个是零矩阵
比如
\[ A=\begin{bmatrix} 0\ 0\ 0\\ 0\ 0\ 0\\ 0\ 0\ 1\\ \end{bmatrix}\ \ \ \ \ B=\begin{bmatrix} 0\ 0\ 1\\ 0\ 0\ 0\\ 0\ 0\ 0\\ \end{bmatrix} \] 又如,
令\(Z_6=\{0,1,2,3,4,5\}\),
定义\(Z_6\)上的乘法\(\otimes\)为\(a\otimes b=(a\times b\ )mod\ 6\)
定义\(Z_6\)上的加法\(\oplus\)为\(a\oplus b=(a+b)mod\ 6\)
显然\(Z_6\)满足\(A_1-A_5,M_1-M_5\)
但是\(<Z_6,+,\times>\)不满足无零因子,比如
\(2\otimes 3=(2\times 3)mod \ 6=6mod\ 6=0\)
就是说,0这个元素一定也是在集合R中存在的,并且乘法运算结果为0一定和引入这个元素0有关
域
设\(<R,+,\times>\)为一个整环,如果R再满足
M7乘法逆元:\(\forall a≠0\in R,\exist a^{-1}\in R,a\times a^{-1}=1\)则称\(a^{-1}\)为a的乘法逆元
注意乘法逆元也是\(R\)中的
定义乘法逆元的作用实际上是可以使用除法,除以一个数等于乘以该数的乘法逆元
比如对于\(<Z_7,+,\times>\),由拓展欧几里得定理可知,由于模数为7是一个质数,因此0到6都存在\(Z_7\)上的mod 7意义下的乘法逆元
再比如全体整数就不是任何元素都有乘法逆元,只有1和-1有乘法逆元,任何绝对值大于1的整数其乘法逆元应该是分数,不属于整数.
则称R为域F
有限域GF(p)
符号意义:
\(GF(p)=<Z_p,\oplus,\otimes >\)
\(GF:Galois Field\),伽罗华域
\(p\):表示一个正素数
\(\oplus:\forall a,b\in Z_p,a\oplus b=(a+b)\ mod\ p\)即模p加法
\(\otimes : \forall a,b\in Z_p,a\otimes b=(a\times b)\ mod\ p\)即模屁乘法
为什么一定要求是一个素数?
当N为一个合数的时候\(Z_N=\{1,2,3,...,N-2,N-1\}\)不满足\(M_6\)无零因子,不是整环,因此不是域
为什么不满足\(M_6\)?
由已知,N是合数,则至少存在\(n\in Z_N,1<n<N,n|N\)
如果\(n^2=N\),则有\(n\otimes n=n\times n\ mod\ N=0\)
如果\(n^2!=N\),则\(\exist n'\in (1,N),nn'=N\)那么\(n\otimes n'=nn'\ mod\ N=N\ mod \ N=0\)
故选取p为素数,就是为了保证\(M_6\)无零因子
同时,选取一个素数作为mod值,保证了\(M_7\)乘法逆元:
\(\forall a\in Z_p,a\otimes x=1\),即\(ax\equiv 1(mod\ p)\),显然当p为一个素数时有\(gcd(a,p)=1\)由2拓展欧几里得定理即可求出x的值
因此\(Z_p\)就是一个有限域,用\(GF(p)\)表示
\(Z_p\)上的数论定理
拓展欧几里得定理求乘法逆元
1 | int exgcd(const int &a, const int &b, int &x, int &y) {//拓展欧几里得算法ax+by=1=gcd(a,b) |
快速幂
1 |
|
多项式算术
为什么突然扯到"多项式算数"呢?
前面我们证明了对于整数集\(Z_N=\{0,1,2,3,...,N-1\}\),只有当\(|Z_N|=N\)为素数p时,\(Z_p\)才为一个域
如果想要得到一个元素个数为\(2^n\)的域,显然\(Z_p\)做不到.
为什么要得到一个元素个数为\(2^n\)的域?计算机使用二进制编码,AES加密算法就用到了\(GF(2^8)\)
一个3位二进制数可以表示8中状态,明文和密码就在这八种状态之中
| 模8乘法 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 |
|---|---|---|---|---|---|---|---|---|
| 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 1 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 2 | 0 | 2 | 4 | 6 | 0 | 2 | 4 | 6 |
| 3 | 0 | 3 | 6 | 1 | 4 | 7 | 2 | 5 |
| 4 | 0 | 4 | 0 | 4 | 0 | 4 | 4 | 3 |
| 5 | 0 | 5 | 2 | 7 | 4 | 1 | 6 | 3 |
| 6 | 0 | 6 | 4 | 2 | 4 | 3 | 4 | 2 |
| 7 | 0 | 7 | 6 | 5 | 3 | 3 | 2 | 1 |
在\(Z_8\)中的数字乘法,其结果中个数字的出现次数显然是不均匀的,比如1出现了4次,2就出现了8次
而一个理想的密码是不能暴露词频信息的,显然用\(Z_8\)上的变换进行加密不理想,于是想一种乘法和除法的构造方法, 使得有8个元素的域其乘法或者加法的结果的频率相等
而使用多项式运算就可以解决这个问题,因此引入了多项式运算
首先要研究的是==如何构造一个有8个元素(\(p^n\))的域==
==将数的性质拓展到多项式式上==
我们使用的一般是代数基本规则的普通多项式运算
然后拓展到系数在\(GF(p)\)中的多项式运算
然后再拓展到系数在\(GF(p)\),模一个\(n\)次多项式\(m(x)\)的多项式运算
最终目标是理解并应用最后一种多项式
普通多项式运算
多项式次数:最高次项的次数
多项式的表示: \[ f(x)=a_nx^n+a_{n-1}x^{n-1}+...+a_1x+a_0=\sum_{i=0}^na_ix^i,a_n≠0 \] 如果\(\forall a_i\in S\)则称\(f(x)\)是系数集\(S\)上的多项式,令\(<A,+,\times >\)表示S上的所有多项式以及加法和乘法二元关系
当\(S=Z\)表示整数集的时候,显然A是满足\(A_1-A_5,M_1-M_6\),是个整环,
但是不满足乘法逆元,比如\(x\)的乘法逆元\(x^{-1}\),是一个指数为负的多项式,显然不在\(A\)
设 \[ f(x)=\sum_{i=0}^na_ix^i\\ g(x)=\sum_{i=0}^mb_ix^i\\ a_nb_m≠0,n\ge m \] 则普通多项式的加法运算 \[ f(x)+g(x)=\sum_{i=0}^m(a_i+b_i)x^i+\sum_{i=m+1}^na_i x^i \] 普通多项式乘法 \[ f(x)g(x)=\sum_{i=0}^{n+m}c_ix^i\\ c_i=a_0b_i+a_1b_{i-1}+...+a_ib_0 \]
系数在\(Z_p\)中的多项式运算
当系数集是全体整数的时候,由于系数不都有乘法逆元,因此无法进行多项式除法
当系数集是一个域的时候,系数都有了乘法逆元,可以对多项式引入除法(带余除法)
可以类比整数的除法,求余数用\(\%\),求商用\(/\)
那么在\(Z_p\)中的多项式,求余式用\(\%\),求商式用\(/\)
比如对于\(Z_2\)上的多项式\(f(x)=x^4+1=(x+1)(x^3+x^2+x+1)\),则\(f(x)/(x+1)=x^3+x^2+x+1\)
设系数域为\(<Z_p,\oplus,\otimes >\)
设\(Z_p\)上的两个多项式 \[ f(x)=\sum_{i=0}^na_ix^i\\ g(x)=\sum_{i=0}^mb_ix^i\\ a_n,b_m≠0,n\ge m \]
\(Z_p\)多项式的四则运算
则\(Z_p\)上的多项式加法(减法类似)为 \[ f(x)+g(x)=\sum_{i=0}^m(a_i\oplus b_i)x^i+\sum_{i=m+1}^na_i x^i\\ =\sum_{i=0}^m(a_i+ b_i)mod\ p\ \times x^i+\sum_{i=m+1}^na_i x^i \]
\(Z_p\)上的多项式乘法为 \[ f(x)g(x)=\sum_{i=0}^{n+m}c_ix^i\\ c_i=(a_0b_i+a_1b_{i-1}+...+a_ib_0)mod\ p \] \(Z_p\)上的带余式除法 \[ f(x)=q(x)g(x)+r(x) \] 意思是\(f(x)\div g(x)=q(x)...r(x)\)
以\(Degree(f)\)表示多项式f的阶,并且\(Degree(f)=n,\\ Degree(g)=m,\\\)则有\(Degree(q)=n-m\\ Degree(r)\le m-1\)
\(Z_p\)多项式的欧几里得定理
定义\(d(x)\)是\(a(x),b(x)\)的最大公因式,即\(d(x)\)是能够整除\(a(x),b(x)\)的所有多项式中次数最高的 \[ gcd(a(x),b(x))=gcd[b(x),a(x)\%b(x)] \]
\(Z_p\)上多项式再mod n次素多项式
对于\(Z_p\)上次数高于n-1的多项式\(f(x)\),需要mod一个\(Z_p\)上的n次素多项式\(m(x)\),如此限制\(f(x)\)的次数在\([0,n-1]\)
什么是"素多项式"?\(Z_p\)上的素多项式\(m(x)\)无法被\(Z_p\)上的任意多项式整除
当\(m(x)\)的次数为n,则\(Z_p\)上的多项式\(mod\ m(x)\)都会落在次数小于等于n-1的多项式集\(F\)中
显然\(F\)中的多项式都可以表示为 \[ \forall f(x)\in F,f(x)=a_0+a_1x+...+a_{n-1}x^{n-1},\forall a_i\in Z_p \] 那么这样的多项式一共有\(p^n\)个(系数的乘法原理),即模\(m(x)\)构成的剩余类
现在类比\(Z_p\),证明\(F\)是一个域
显然加减乘封闭且结合律分配律交换律均满足,\(F\)容易判定为交换环
由于1也是\(F\)中的多项式,因此存在乘法单位元1,
下面证明M6无零因子
由于k阶多项式的k次项系数不为零,假设有两个非零多项式,其最高次项分别为\(a_ix^i,b_jx^j\)
乘积多项式的最高次项为\(a_ib_jx^{i+j}\)如果指数\(i+j\ge n\)则对\(m(x)\)取模,如果系数\(a_ib_j\ge p\)则对\(p\)取模
显然p是一个素数,\(a_ib_j=a_i\times b_j\)是一个合数,合数对素数取模显然不为0
因此任何两个非零多项式乘积一定非零,M6无零因子得证
到此F被证明是整环
无零因子就是\(GF(2^3)\)是域但是\(Z_8\)不是域的本质原因
下面证明任意F中的非0多项式都在F中有乘法逆元
\(f(x)g(x)\equiv 1(mod\ m(x))\)
\(g(x)f(x)+k(x)m(x)=1\)
又\(m(x)\)为素因式,有欧几里得定理知上式有解
因此M7乘法逆元得证
因此\(F\)是域
\(F\)和\(Z_p\)的不同
我们在证明\(Z_p\)是域的时候发现,对于整数集\(Z_N=\{0,1,2,3,...,N-1\}\),只有当\(|Z_N|=N\)为素数p时,\(Z_p\)才为一个域
而现在\(|F|=p^n\)显然当\(n>1\)时是一个合数,但是\(F\)仍然是一个域
将\(F\)记作\(GF(p^n)\)表示伽罗华域
\(F=GF(p^n)\)上的乘法逆元
\[ f(x)g(x)\equiv 1(mod \ m(x))\\ g(x)f(x)+k(x)m(x)=1\\ gcd(f(x),m(x))=1 \]
显然可以将整数上的拓展欧几里得推广到F上
\(GF(2^n)\)上构造结果分布均匀的二元运算
\(GF(2^n)\)上的多项式各项的系数要么是0,要么是1,可以用二进制数表示
比如\(x^3+x^2+1\)就可以表示为1101
加法
由于系数要么是0要么是1,即系数要自动对2取模
那么多项式的加法就是二进制数按位异或
比如\((x^3+x^2+x)+(x^4+x+1)=x^4+x^3+x^2+2x+1=x^4+x^3+x^2+1\)
\(01110\oplus 10011=11101\)
乘法
教材上一本正经地写了一堆用字母表示的多项式,看上去头大.
从一个例子入手可能比较容易理解:
考虑AES加密算法使用到的\(GF(2^8)\),取\(m(x)=x^8+x^4+x^3+x+1\)为模.
\(f(x)=x^6+x^4+x^2+x+1\)
\(g(x)=x^7+x+1\)
求\(f(x)\otimes g(x)=f(x)\times g(x)\mod m(x)\)
拆分成项
容易想到的是把\(g(x)\)按幂次拆分成项然后用f(x)与g(x)的各项相乘之后相加,而相加在"加法"中我们已经认识到可以通过两个多项式异或这种简洁的方式实现,因此我们现在把精力放在\(f(x)\)如何和一个\(x^k\)项相乘上 \[ f(x)\times g(x)\mod m(x)\\ =f(x)\times(1+x+x^7)\mod m(x)\\ =f(x)\times 1\mod m(x)+f(x)\times x\mod m(x)+f(x)\times x^7\mod m(x) \] 问题转化为如何求\(f(x)\times x^k\mod m(x)\)
求\(f(x)\times x^k\mod m(x)\)
由于 \[ f(x)\times x^k\mod m(x)\\ =\{[(f(x)\times x\mod m(x))\times x\mod m(x)]\times ...\times x\mod m(x)\}\times x\mod m(x) \] 因此问题又可以转换为怎么跨出求\(f(x)\)到\(f(x)\times x\mod m(x)\)这第一步
求\(f(x)\times x\mod m(x)\)
假设\(f(x)=a_7x^7+a_6x^6+...+a_1x+a_0\)表示\(GF(2^8)\)上的任意多项式
则\(x\times f(x)=a_7x^8+a_6x^7+...+a_0x\)
如果用二进制表示,那么 \[ f(x)=&a_7&a_6&a_5&a_4&a_3&a_2&a_1&a_0\\ x\times f(x)=a_7&a_6&a_5&a_4&a_3&a_2&a_1&a_0&0 \] 在还没有取模时,我们可以发现\(f(x)\)到\(x\times f(x)\)只需要将\(f(x)\)的二进制表示左移一位,下面考虑如何取模
如果\(a_7=0\)则\(x\times f(x)\)顶多是一个7次多项式,如果有\(a_6=0\)则顶多是一个6次多项式,一个七次多项式\(x\times f(x)\)去mod一个8次多项式\(m(x)\)实乃以卵击石,直接被8次多项式劝返
如果\(a_7=1\)则\(x\times f(x)\)与\(m(x)\)都是8次多项式,算是旗鼓相当,可以一战
此时\(x\times f(x)\)可以分成精锐的头部\(x^8\)与累赘的尾部\(a_6x^7+a_5x^6+...+a_0x\),
这个尾部对\(m(x)\)取模还是被劝返,只留下精锐的头部\(x^8\)独自抗衡\(m(x)\)
那么问题转化为\(x^8\)对\(m(x)=x^8+x^4+x^3+x+1\)取模,考虑如何取模?
求\(x^8 \mod m(x)\)
\(x^8\)形单影只,只能单挑\(m(x)\)的\(x^8\)项,无暇处理\(m(x)\)的一伙子小弟,
于是\(x^8\)利用其系数都在\(GF(2)\)上,无中生有搬来了一伙子小弟: \[ x^8\equiv x^8+2x^7+2x^6+...+2x+2(系数mod 2) \] 此时用\(x^8+2x^7+2x^6+...+2x+2\)去\(\mod m(x)\)终于可以大干一场了,还得是门当户对地干,次数相同的项单挑
\(x^8\equiv x^8+2x^7+2x^6+...+2x+2(系数mod 2)\)作为被除数,\(m(x)\)作为除数,余数即为所求结果
战争一开始,商1之后被除数减去除数得到\(2x^7+2x^6+2x^5+x^4+x^3+2x^2+x+1\equiv x^4+x^3+x+1(系数mod2)\)
立刻发现刚才"精锐的头部"那个\(x^8\)在和\(m(x)\)的8次项的决斗中阵亡了,剩下的小弟都是7次方以下的项,无力与\(m(x)\)抗衡,直接作为余数
即刚才的"战争"可以写为: \[ x^8\equiv x^4+x^3+x+1 \mod m(x)\&系数mod2\\ 其中m(x)=x^8+x^4+x^3+x+1 \] 突然发现\(x^8\mod m(x)=m(x)-x^8=x^4+x^3+x+1\)
这是巧合吗?
这是系数mod2的必然结果,并且可以从8次推广到n次:
\(m(x)\)为n次多项式 \[ x^n\mod m(x)=m(x)-x^n(系数mod2) \] \(x^8\)独自面对\(m(x)\),最终壮烈牺牲但是换回\(x^4+x^3+x+1\)颇有"将军百战死,壮士十年归"的感觉
在战争之前我们把"累赘的尾部\(a_6x^7+a_5x^6+...+a_0x\)"留下不参战,原因是他们参战也会被敌人\(m(x)\)直接劝返
现在我们知道了精锐的头部\(x^8\)和累赘的尾部\(a_6x^7+a_5x^6+...+a_0x\)各自参战的结果了,此时可以总结一支部队\(x\times f(x)=x^8+a_6x^7+a_5x^6+...+a_0x\)参战的结果了: \[ x\times f(x)\mod m(x)=[m(x)-x^8]+a_6x^7+a_5x^6+...+a_0x \] 比如当\(f(x)=x^7+x^4+x^2+x+1,m(x)=x^8+x^4+x^3+x+1\)时 \[ \begin{aligned} &x\times f(x)\mod m(x)\\ &=(x^8+x^5+x^3+x^2+x)\mod (x^8+x^4+x^3+x+1)\\ &=[x^4+x^3+x+1]+[x^5+x^3+x^2+x]\\ &=011011\oplus 101110\\ &=110101 \end{aligned} \] 到此我们知道\(x\times f(x)\mod m(x)\)如何计算了,
那么\(x^2\times f(x)\mod m(x)=x\times (x\times f(x)\mod m(x))\mod m(x)\)
以此类推可以得到\(x^k\times f(x)\mod m(x)\)如何计算了
回到求\(f(x)\times g(x)\mod m(x)\)
不管你\(g(x)\)长什么样,我先预处理出\(f(x)\times x\mod x,f(x)\times x^2\mod m(x),f(x)\times x^k\mod m(x)\)等等情况
如果你\(g(x)=1+x+x^2\)长得很虚,那么 \[ f(x)\times g(x)\mod m(x)\\ =f(x)\times (1+x+x^2)\mod m(x)\\ =(f(x)+x\times f(x)+x^2\times f(x))\mod m(x)\\ =f(x)+x\times f(x)\mod m(x)+x^2\times f(x)\mod m(x) \] 直接利用预处理得出的结果,然后计算加法直接用二进制异或
总结
到此我们构造出了\(GF(2^n)\),即有\(2^n\)个元素的伽罗华域
怎么构造出的?由系数在\(GF(2)\)上的多项式模一个\(2^n\)次的素多项式拓展出的
多项式和这\(2^n\)个数怎么产生联系?每一个多项式都对应一个二进制数
这\(2^n\)个数的加减乘除运算怎么定义的?还是通过多项式的运算得到的
下一步可以向AES加密算法进军了