Математические основы криптологии и криптографические методы и средс
..pdfЭто обычные школьные правила, но их надо не запоминать, а выводить из аксиом поля. Посмотрим, как это делается для второго правила. Пусть х = а/Ь и у = c/d - решения уравнений Ьх = а и dy = с.
Из этого следует dbx = da и bdy = bc |
=> bd{x + у) - da + be => |
t=x+yr= {da + + beybd - единственное |
решение уравнения bdt = |
= da + be. |
|
Подполем F поля P называется подкольцо в P, само являющееся полем.
Пример 42. Поле рациональных чисел Q - подполе поля веще ственных чисел R.
В случае Fez Р говорят также, что поле Р является расширением своего подполя F. Из определения подполя следует, что ноль и еди ница поля Р будут содержаться также в F и служить для F нулем и единицей. Если взять в Р пересечение F\ всех подполей, содержа щих F и некоторый элемент а^Р , не принадлежащий F, то Ft будет минимальным полем, содержащим множество {F,a}. Говорят, что расширение Ft поля F получено присоединением к F элемента а, и отражают этот факт в записи Fi = F(a). Аналогично можно гово рить о подполе F\ = F{a\,...a„) поля Р, полученном присоединением к F п элементов а\,...а„поля Р.
Пример 43. Небольшая проверка показывает, что {?(V2 ) совпа-
дает с множеством чисел поскольку
Поля Р и Р' называются изоморфными, если они изоморфны как кольца. По определению ДО) = 0 ' иД1) = 1' для любого изоморфного отображения f Не имеет смысла говорить о гомоморфизмах полей, так как
Кег / ф 0 =>Дя) = 0, а ф 0 =>Д1) = Д а а 1) =Да)Да ') = ОДа1) = = 0 => ДЬ) =ДЩ = ОДЬ) = О Vb => K e r/= Р.
Напротив, автоморфизмы, т.е. изоморфные отображения поля Р на себя, связаны с самыми глубокими свойствами полей и являются мощным инструментом для изучения этих свойств.
1.2.15. Поля Галуа
Ранее было построено конечное кольцо классов вычетов Zm с элементами 0,1,...т —1 и операциями сложения и умножения. Если т =st, s > 1, t > 1, то st = m = 0, т.е. s и t - делители нуля в Zm. Если т = р - простое число, то справедлива
Теорема 10. Кольцо классов вычетов Zmявляется полем тогда и только тогда, когда т = р - простое число.
Доказательство. Нам достаточно установить существование для каждого se Z p обратного элемента s' е Zp (целые числа s и s' нс должны, очевидно, делится нар).
Рассмотрим элементы s, 2 s,..., (р —1)s. Они все отличны от нуля, так как s ф 0(mod т) => ks Ф0(mod т) при к = 1,2, ..., р - 1. Здесь ис пользуется простотар. По этой же причине элементы s, 2s, ..., (p - l)s все различны: из As = Is, к<1 следовало бы ( / - k)s = 0, что неверно. Итак, последовательность элементов s,2s, ..., ( p - l) s совпадает с по следовательностью переставленных каким-то образом элементов 1,2, ..., р —1. В частности, найдется s', 1 < sr < р -1 , для которого s's = 1, т.е. s' - обратный к s элемент. Теорема доказана.
Следствие (малая теорема Ферма). Для любого целого числа
т, не делящегося на простое число р, имеет место сравнение: n f y= l(mod т).
Доказательство. Мультипликативная группа Z*p имеет порядок р - 1. Из теоремы Лагранжа, утверждающей, что порядок конечной группы делится на порядок каждой своей подгруппы, следует, что р - 1 делится на порядок любого элемента из Z*p. Таким образом, 1 = (т Г 1=m f x, т.е. п Г х- 1 = 0 . Следствие доказано.
1.2.16. Кольцо многочленов
Многочлены составляют старый и хорошо изученный раздел традиционной алгебры. На языке многочленов формулируются или
решаются самые различные задачи математики. Тому есть множест во причин, и одна из них заключается в свойстве универсальности кольца многочленов.
Пусть К - коммутативное кольцо с единицей 1, А - некоторое его подкольцо, содержащее 1. Если t e K, то наименьшее подкольцо в К, содержащее А и/, будет, очевидно, состоять из элементов вида
a(t) = «о + a\t + а2? + ... + anf , (*),
где а, е A, n e Z , и>0. Мы обозначим его символом A\t\ и назовем кольцом, полученным из А присоединением элемента t, а выражение
(*) - многочленом от t с коэффициентами в А. Что понимать под сум мой и произведением многочленов, видно из простейшего примера.
Пример 44
a(t) + b(i) = (ад + d\t + а2?) + (bo + bit + bit1) = (во + bo) +
+ (ei + b\)t + («2 + bi)^.
a(t)b(t) = abg + (e06i + афо )t + (воb2+ афх+ афо)? +
+ (аф2+ a2bi)f + a2b21*.
Очевидно, что приведение подобных членов в A[t] основано на попарной перестановочности всех элементов a,-, bj, f
Теперь самое время вспомнить, что t —наугад взятый элемент кольца К, и поэтому внешне различные выражения (*) могут на са
мом |
деле совпадать. Если, скажем, A = Q, t — л/ 2 , то I2 =2 |
и / 3 |
= 2t - соотношения, которые никоим образом не вытекают из |
формальных правил. Чтобы прийти к привычному понятию много члена, необходимо освободится от всех таких побочных соотноше ний, для чего под t следует понимать произвольный элемент, не обя зательно содержащийся в К. Он призван играть чисто вспомогатель ную роль. Гораздо большее значение имеют правила, по которым составляются коэффициенты выражений a(t) + b(t), a(t)b(t). Имея в виду эти предварительные замечания, перейдем к точному опреде лению алгебраического объекта, называемого многочленом, и собра ния таких объектов - кольца многочленов.
Пусть А - произвольное коммутативное кольцо с единицей. По строим новое кольцо В, элементами которого являются бесконечные упорядоченные последовательности:
/ = ( / о ,/ ь Л ... ) ,/ е Л |
(1) |
такие, что все /•, кроме конечного их числа, равны нулю. Определим на множестве В операции сложения и умножения, полагая
f + g = (ftofhfb ...) + (go, gi, gb •••) = (fo +go,fi +guf:i +gb ...),
fg |
^ (K A], hi, ■■.)) |
где hk = |
A = 0,1,2,.... Ясно, что в результате сложения |
и умножения получится снова последовательность вида ( 1) с конеч ным числом отличных от нуля членов, т.е. элементов из В. Проверка всех аксиом кольца, кроме, разве, аксиомы ассоциативности, очевид на. В самом деле, поскольку сложение двух элементов из В сводится к сложению конечного числа элементов из кольца А , (В, + ) является абелевой группой с нулевым элементом (0 , 0 , ...) и элементом- / = = (-/« , ~ /ь ~ /ь обратным к произвольному/ = (fo,fi,/i, .••)• Да лее, коммутативность умножения следует непосредственно из сим метричности выражения элементов hkчерез f и g j. Это же выражение показывает, что в В выполнен закон дистрибутивности (f + g)h ~ =fh +gh. Что касается ассоциативности операции умножения, то
пусть/ = |
(U fu fb ...), g = (go, gb g2, ...), A = (A0, A„ hb ...) - |
три про |
извольных элемента множества В. Тогда fg = d = (da, d\, йъ |
•••), где |
|
dt = Z |
fig j , l = 0 ,1 ,2 ,..., a (fg)h =d h - e ={е^еьеъ...), где es = |
Td,hk = |
/+j=t |
|
I+k=s |
= I |
I fiSj |
Z figj^k Вычисление f(gh) дает тот же |
l+k=s |
|
/+j+k=s |
результат. Итак, В - коммутативное кольцо с единицей (1,0,0,...). Последовательности (а, 0 , 0 , ...) складываются и умножаются
так же, как элементы кольца А. Это позволяет отождествить такие последовательности с соответствующими элементами из А, т.е. по ложить а = (а, 0, 0, ...) для всех аеА . Тем самым А становится под кольцом кольца В. Обозначим далее (0, 1, 0, 0,...) через X и назовем X переменной (или неизвестной) над А. Используя введенную на В операцию умножения, получим
Х= (0 ,1, О, О,...),
Х2 = ф, 0,1,0,...),
Л” = (0, 0, 0, 0,...0,1, 0,...). |
|
||
Кроме того, ввиду (2) и включения А ^ В имеем |
|
||
(0, 0, ...0, а, 0 ,...) = аХ" =Х"а. |
|
||
Итак, |
если f„ ~ последний отличный от нуля член последова |
||
тельности/ = |
...f m 0 ,...), то в новых обозначениях: |
|
|
f |
= (fibfu f i t - ’fn - 1>0 ,...) + f,X ‘ = (fn,f\, fj ,.. .f,-i,0 ,...) + |
|
|
|
|
+fn-X~l +fiX =/o + fX +M2+ ... +fiX. |
(3) |
Такое |
представление элемента / однозначно, поскольку |
f 0, |
|
fi, ...ftв правой части (3) - это члены последовательности (fa f b ...fa 0,...), которая равна нулю тогда и только тогда, когда /о=/1 = ...= /я = 0.
Введенное таким образом кольцо В обозначается через А[Х\ и называется кольцом многочленов над А от одной переменной X , а его элементы - многочленами (или полиномами).
Введение заглавной буквы X - намеренное, чтобы отличить наш специально выделенный многочлен f = X от теоретико-функциона льной переменной х , пробегающей какое-то множество значений. Это чисто временное соглашение, придерживаться которого в будущем не обязательно. Более привычной является запись многочлена/ в виде
Д X) = а0 + а{х 1+ а2х 2+ ... + а„хп,
или
f(X) = а<ьхп+ а\Хп~1+ aixn~2+ ... + ал_\Х + а„.
Элементы а-,называются коэффициентами многочлена f. Много член / - нулевой, когда все его коэффициенты равны нулю. Коэффи циент при х в нулевой степени называется еще постоянным членом. Если апф 0 (а0ф 0), то ап (а0) называют старшим коэффициентом, а /I - степенью многочлена и пишут п = deg / Нулевому многочлену приписывают степень -оо.
Роль единицы кольца А[Х\ играет единичный элемент 1 кольца А , рассматриваемый как многочлен нулевой степени. Непосредст-
венно из определения операций сложения и умножения в А[Х] следу ет, что для любых двух многочленов
/= /о +f\x' +fycl + ... + /У , g = g + g ixl +gix2 + ... +gny , |
(4) |
степеней п и т соответственно имеют место неравенства: |
|
degi f +g) < m ax(degf deg g), deg(fg) < deg/ + deg g. |
(5) |
Второе из неравенств (5) заменяется равенством |
|
deg(/g) = d eg /+ deg# |
|
всякий раз, когда произведение f„gmстарших многочленов (4) отлично от нуля, поскольку
fg ~f>gO + (fogl +flgo)X + ... + (fngm)Xn+m.
Но это значит, что верна
Теорема 11. Если А - целостное кольцо, то и А [XI является це лостным.
1.2.17.Алгоитрм деления в А[Х\
ВА[Х\ над целостным кольцом А имеет место алгоритм деления
состатком.
Теорема 12. Пусть А - целостное кольцо и g - многочлен в А[Х\ со старшим коэффициентом, обратимым в А. Тогда каждому много членуf^A [X \ сопоставляется одна и только одна пара многочленов q,
г е А [Х\, для которых |
|
|
/ = ЧШ+ г, deg г < deg g. |
(6) |
|
Доказательство. Пусть |
|
|
f —аох" + а\ хГ~' + а%}?~г + ... + а„, |
|
|
g — ЬохГ + |
+ Ь г У 1+ ... + Ь„, |
|
где афоф0 и А0|1. Применим индукцию по п. Если п - 0 и т = degg >■ > deg / = 0, то положим <7 = 0 , r = f а если п = т ~ 0, то г = 0 и q = aobo~l. Допустим, что теорема доказана для всех полиномов стС' пени меньшей п (п > 0). Без ограничения общности считаем, что т < ft, поскольку в противном случае возьмем q = 0 и г = / Раз это так, то
f= a 0b0-'xH-mg + f ,
где deg У7 < п. По индукции мы можем найти q' и г', для которых f = q'g + г, причем deg г< т . Положив
q = a ifib 'x ^ g + q',
мы придем к паре многочленов с нужными свойствами.
Обращаясь к свойству единственности частного q и остатка г, предположим, что qg 4-г = / = q rg + г9.
Тогда (q' - q)g = г - r f’. По теореме 11 имеем deg (г - г*) = deg (qr- q) + deg g, что в наших условиях возможно только при г' = г
и qf = q-
Наконец, приведенные рассуждения показывают, что коэффи циенты частного q и остатка г принадлежат тому же целостному кольцу А, т.е./, g^A[X]. Теорема полностью доказана.
Замечание. Процесс евклидова деления многочлена / на g уп рощается, если унитарный многочлен, т.е. его старший коэффи циент равен единице. Делимость / на унитарный многочлен g экви валентна равенству нулю остатка г при евклидовом делениии/ на g.
Следствие. Все идеалы кольца многочленов Р[Х\ над полем Р - главные.
Доказательство. Пусть Г-какой-то ненулевой идеал в Р[Х\.
Выберем многочлен |
t-t{X ) минимальной степени, |
содержащийся |
в Т. Если / - любой |
многочлен из Г, то деление |
с остатком на |
t (Р - поле, поэтому нет нужды заботится об обратимости старшего коэффициента у i(X)) даст нам равенство / = qt + г, deg г < deg t. Из него следует, что г^Т , поскольку/ , t, q t- элементы идеала. Ввиду выбора t нам остается заключить, что г = 0. Значит, ДХ) делится на t(X) иТ = /JP[ATJ, т.е. Т состоит из многочленов, делящихся на t(X), что и требовалось доказать.
1.2.18.Разложение в кольце многочленов
Впроизвольном целостном кольце К обратимые элементы на зываются делителями единицы, или регулярными элементами. Со
вершенно очевидно, что многочлен / G А [Х\ обратим (регулярен) в точности тогда, когда deg / = 0 и /= /о ~ обратимый элемент кольца А , поскольку fg = 1 =S> deg/ + deg g = deg 1 = 0 .
Говорят, что элемент Ье К делится на а € Л" (или Ь кратен а), ес ли существует такой элемент с е ЛТ, что Ь = ас (обозначается а\Ь). Ес ли а\Ь и Ь\а, то а и b называются ассоциированными элементами. То гда Ь = иа, где и|1. В силу сделанного выше замечания ассоцииро ванность многочленов/ g€A[X] означает, что они отличаются обра тимым множителем из А.
Элемент р е К называется простым (или неразложимым), если р необратим и его нельзя представить в виде р —ab, где а, Ь - необратимые элементы. В поле Р каждый ненулевой элемент обра тим, и в Р нет простых элементов. Простой элемент кольца А[Х] на зывается чаще неприводимым многочленом.
Отмстим следующие основные свойства отношения делимости
вцелостном кольце К.
1.Если а\Ь и Ь\с, то а\с. Действительно, мы имеем b = ab', с =Ьс',
где Ь',с' е К. Поэтому с = (ab'ус' = а(Ь'с').
2. Если с\а и с\Ь, то с\{а ± Ь). В самом деле, по условию а = са\ b - c b ' для некоторых a',b’G К, и ввиду дистрибутивности а ± Ь -
= с(а'±Ь г).
3. Если а\Ь, то а\Ьс. Ясно, что b = ab' => b e - (ab'yc = а(Ь'с).
4. Комбинируя 2 и 3, получаем, что если каждый из элементов b\,b2,..., bmG К делится на а е К, то на а будет делиться также элемент b{Cf + b2c2+ ... + Ьтст, где сьсг,...ст- произвольные элементы.
Теперь введем понятие, которое нам понадобится в дальнейшем. Говорят, что целостное кольцо К - кольцо с однозначным разложе нием на простые множители (или К - факториальное кольцо), если любой элемент а ф0 из К можно представить в виде
a = uptp2...p„
где «-обратимый элемент, а РьРъ---Рг~ простые элементы (не обя зательно попарно различные), причем из существования другого та кого разложения a = v q\q2...qsследует, что r =s, и при надлежащей нумерации элементов р, и qj будет q\ = U\pu ...qr = u,pn где «1,«2,...Игобратимые элементы.
Допуская в равенстве а = и р\р2... р гзначение г = 0, мы прини маем соглашение, что обратимые элементы в К тоже имеют разложе ние на простые множители. Ясно, что если р - простой, а и - обратимый элемент, то ассоциированный с р элемент up - тоже про стой. В кольце Z с обратимыми элементами 1 и -1 отношение поряд ка (а < Ь) дает возможность выделить положительное простое число р из двух возможных простых элементов ±р. В кольце Р[Х\ удобно рассматривать унитарные (с равным единице старшим коэффициен том) неприводимые многочлены.
Справедлива следующая общая Теорема 13. Пусть К - произвольное целостное кольцо с разло
жением на простые множители. Однозначность разложения в К (факториальность К) имеет место тогда и только тогда, когда любой про стой элемент р е К, делящий произведение ab е К, делит по крайней мере один из множителей а, Ь.
Без доказательства.
В произвольном целостном кольце К элемент а Ф0 вообще не обязан допускать разложение типа а = ир\р2...рт.Что более интерес но, имеются целостные кольца, в которых разложение на простые множители хотя и возможно, но не является однозначным, т.е. усло вие теоремы 13, кажущееся тривиальным, не всегда выполняется.
Пример 45. Рассмотрим мнимое квадратичное поле Q
в нем - целостное кольцо |
К = {а + Ь |
|a, b e Z ). Норма N(a+b |
|
V-5 ) = а2+ 5Ь2 каждого отличного от нуля элемента %е К - целое |
|||
положительное число. Если % в К, то |
7V(%)~' =Аг(х_1) е Z, откуда |
||
а д |
= 1. Это возможно лишь при b = 0, а = ±1 . Таким образом, в К, |
||
как |
и Z, обратимыми |
элементами |
являются только ±1. Если |
Х= «Х1Х2---Xr# о , в = ±1, тоN(y) =N(xl)...N(ys). Поскольку 1 <N(yJ) eZ, то при заданном х число множителей г не может неограниченно расти. Стало быть, разложение на простые множители в К возможно.
Вместе с тем число 9 (да и не только оно) допускает два сущест венно различных разложения на простые множители:
9 = З'З = (2 + л/-5 )*(2- л П ) . Неассоциированность элементов 3 и 2± у/—5 очевидна. Далее
N(3) = N(2± -/-5 ) = 9. Поэтому из разложения %= Для X = 3 или
с необратимыми ХьХгследовало бы 9 = 7V(x) = Л'СсОМХг)» т.е. 7V(x,) = 3, i = 1,2, что невозможно, поскольку уравнение х2 + 5у 2 = 3 с
x,y&Z неразрешимо. Этим доказана простота элементов 3 и 2±V—5 .
1.2.19. Факториальность евклидовых колец
Алгоритм деления с остатком в Z и £[А] делает естественным рассмотрение целостного кольца К в котором каждому элементу аф 0 поставлено в соответствие неотрицательное целое число 6 (a), т.е. определено отображение
6:A\{0}=A*->iVu {0} |
|
так, что при этом выполняются условия: |
|
(£1 ) b(ab) > 6 (a) для всех а,Ь Ф0 из 1ST; |
|
(Е2) Каковы бы ни были а,Ь е К, Ьф 0, найдутся q,r е. К |
{q - |
частное, г - остаток), для которых |
|
a = qb+ г; 6 (г) < 6 (6 ) или г = 0. |
(7) |
Целостное кольцо К с этими свойствами называется евклидовым |
|
кольцом. |
|
Пример 46. Полагая 6 (a) = |а| для а е Z и 8 (a) = deg а |
для |
а*Р\Х\, мы приходим к выводу, что ги Р [Х \ - евклидовы кольца.
В евклидовых кольцах существует способ нахождения НОД(а,6 ), называемый алгоритмом последовательного деления или алгоритмом Евклида и заключающийся в следующем. Пусть даны ненулевые элементы а,Ь евклидова кольца К. Применяя достаточно большое (но конечное) число раз предписание (£2 ), мы получим систему равенств типа (7) с последним нулевым остатком:
a = q\b + гь 8 (г,) < 6 (6 )