第31卷第1期
2014年1月
计算机应用研究
Application Research of Computers
Vo1.31 No.1
Jan.2014
M DS矩阵和对合M DS矩阵的新构造方法水
郭磊 ,郑浩然 ,傅增强 ,王月
(1.解放军信息工程大学三院,郑州450004;2.空军西安飞行学院,西安710300)
摘要:首先对Lacan等人给出的由Vandermonde矩阵构造MDS码的方法进行了研究,指出了其中存在的问
题,给出了由两个Vandermonde矩阵构造MDS矩阵的充要条件;然后利用矩阵乘的方法,给出了由标量乘
Vandermonde矩阵构造MDS矩阵的充要条件;最后在Sajadieh等人给出的由两个Vandermonde矩阵构造对合
MDS矩阵方法的基础之上,给出了标量乘Vandermonde矩阵构造对合MDS矩阵的方法。对标量乘矩阵来讲,可
以通过调控标量中分量的大小来调整标量乘矩阵元素大小和元素重量大小来满足其软、硬件实现性能,因此该
构造MDS矩阵及对合MDs矩阵的方法具有实用价值。
关键词:分组密码;扩散结构;分支数;MDS矩阵;Vandermonde矩阵
中图分类号:TP309.7 文献标志码:A 文章编号:1001—3695(2014)o1—0222-04
doi:10.3969/j.issn.1001-3695.2014.01.052
New construction methods for MDS matrices and involution MDS matrices
GUO Lei ,ZHENG Hap—ran ,FU Zeng—qiang ,WANG Yue
(1.Institution No.3,Information Engineering University,Zhengzhou 450004,China;2.The Air Force Xi’an Fl ht Academy,Xi’an
710300. ina1
Abstract:Firstly this paper studied the method of constructing MDS codes by Vandermonde matrices proposed by Laean et al
and point out the problems existing in this method,and proposed the necessary and sufficient conditions of constructing MDS
matrices by two Vandermonde matrices.Then,using the method of matrix muhiplication,this paper proposed the necessary
and suffieient conditions of constructing MDS matrices by scalar muhiplication Vandermonde matrices.Finally,based on the
method of constructing involution MDS matrices from two Vandermonde matrices proposed by Sajadieh et al,this paper pro—
posed the method of constructing involution MDS matrices by scalar muhiplication Vandermonde matrices.For scalar muhipli—
cation matrices,it could adjust elements size and we:【ght in scalar multiplication matrices through regulating the size of scalar
components to meet the implementation performance of software and hardware.So the methods of constructing MDS matrices
and involution MDS matrices have practical value.
Key words:block cipher;diffusion structure;branch number;MDS(maximum distance separable)matrices;Vander—
monde matrices
0 引言
混乱原则和扩散原则是保证分组密码安全性的两个基本
设计原则。在分组密码中,其扩散特性往往是通过特定的扩散
结构来实现的,扩散结构的设计非常重要,直接关系到分组密
码的安全性能和实现性能…。分支数理论是分组密码扩散结
构设计的一个重要理论,设计者可以根据分支数的大小从理论
上给出最大差分特征概率和最佳线性逼迫优势的界,从而保证
分组密码对差分密码分析和线性密码分析是实际安全的 。
以分支数尽可能大的线性变换为分组密码算法的扩散结构是
设计分组密码的一种重要方法,线性变换的构造可通过可逆矩
阵的构造完成。由于MDS矩阵的分支数达到了最大,使得
MDS矩阵在分组密码扩散结构的设计中得到广泛应用,如
AESl4 J
、Khazad_5 和Shark等分组密码算法等。此外,为了保证
加脱密结构的一致性,MDS矩阵最好是对合矩阵,因此,如何
构造对合型MDS矩阵显得尤为重要。
常见的MDS矩阵构造方法主要有三种:a)利用纠错码理
论,从MDS码中提取MDS矩阵,如AES、Khazad、Shark等分组
密码就是通过分组码理论来构造它们扩散层中使用的MDS矩
阵。文献[6]给出了一种利用两个Vandermonde矩阵构造
MDS码的方法,但在其Vandermonde矩阵的定义下,文献中的
构造方法是有缺陷的;文献[7]给出了从线性分组码中搜索
MDS矩阵的三种方法。b)随机生成MDS矩阵,如:文献[8]指
出可以从循环矩阵、Hadamard矩阵以及Cauchy矩阵中搜索便
于实现的MDS矩阵;文献[9]通过限制条件在Cauchy矩阵中
搜索出了16 X 16的对合MDS矩阵。C)利用数学方法构造
MDS矩阵,如:文献[10]利用代数方法,给出了一种构造对合
Cauchy—Hadamard型MDS矩阵的方法;文献[11]给出了利用两
个Vandermonde矩阵构造对合MDS矩阵。
一般来说,由于已知的MDS码不多,并且利用方法a)构
造出的MDS矩阵,其软、硬件实现性能未必能满足要求;利用
方法b)构造出的MDS矩阵,当矩阵的阶数和n(矩阵中的元素
属于有限域GF(2 ))较大时,直接进行随机搜索显得不太现
实,此时,密码上一般在具有特定结构的矩阵中进行搜索,但是
当矩阵的阶数和n较大时,直接搜索也变得异常困难;利用方
收稿日期:2013—03.30;修回日期:2013—04.28 基金项目:国家自然科学基金资助项目(6127041)
作者简介:郭磊(1986:),男,甘肃兰州人,硕士,主要研究方向为密码学(gl200644@163.COIn);郑浩然(1968一),男,教授,博士,主要研究方向为
密码学、信息安全;傅增强(1979.),男,助理工程师,主要研究方向为信息安全;王月(1986-),男,硕士研究生,主要研究方向为密码学.
第1期 郭磊,等:MDS矩阵和对合MDS矩阵的新构造方法 ・223・
法c)构造出的MDS矩阵往往具有特定的数学结构,其软、硬
件实现性能也未必能满足要求。
本文对文献[6]中存在的问题进行了纠正,给出了正确的
利用两个Vandermonde矩阵构造MDS矩阵的方法;考虑到利
用该方法构造出的MDS矩阵的软、硬件实现性能,对标量乘
Vandermonde矩阵构造MDS矩阵进行了研究,给出了由标量乘
Vandermonde矩阵构造MDS矩阵的充要条件;在文献[11]给
出的构造对合MDS矩阵方法的基础之上,给出了特征为2的
域上标量乘Vandermonde矩阵构造对合MDS矩阵的方法。
1 基础知识
本文从矩阵角度来介绍差分分支数与线性分支数。
定义1[12] 设 =( 一, )∈GF(2 ) ,则称 --,
中非零元的个数为x的汉明重量,简称为重量,记为w( )。
定义2l12 3 令0:GF(2 ) 一 (2 ) (x)=A×x是
一个变换,x=( --, ) ∈GF(2 ) ,矩阵A=(a ) ,
a ∈GF(2 ),则称
8( )=min{w(x)+w(A×x)}
x#O
为 的分支数。
定义3[12] 令0:GF(2 ) 一 (2 ) (x)=A×x是
一个变换,.)f=( -., ) ∈GF(2 ) ,_)f =( ,…, ) E
GF(2 ) ,矩阵A=(a ) 一a∈GF(2 ),则称
B ( ):min{ (x①x )+ (A×x① (A xx ))}
x ≠
为A的差分分支数。
定义4【izl 令0:GF(2 ) 一 (2 ) (x)=A×x是
一个变换,.)(=( .., ) ∈GF(2 ) ,p=(卢 一,卢m) ∈GF
(2 ) ,矩阵A=(a ) ,a GF(2 ),则称
Bf(A)=min{w(p)+ (A xp)},
b U
为A的线性分支数(A 表示矩阵A的转置矩阵)。
对任意矩阵A,由于Axa①A xb=A x(a①b),因此差分
分支数与分支数是一致的,而线性分支数与分支数不一定相等。
但对于MDS矩阵来讲,其差分分支数与线性分支数是相等的。
由于密码学中应用的MDS矩阵与分组码理论中的MDS
码是相对应的,因此本文简要介绍有关分组码的基础知识:有
限域GF(q)上的一个[n,k,d]一线性码是向量空间GF(q) 一
个k维子空间,两个n维向量的最小汉明距离即两个码字的最
小汉明距离为d。一个[n,k,d]一线性码C的生成矩阵G是一
个由C的一组基作为矩阵的行而形成的一个 ×n矩阵。若一
个[n,k,d]一线性码的生成矩阵G=[ I A],其中, 为
k× 的单位矩阵, 是一k x(n—k)矩阵,那么生成矩阵G称
为[n,k,d]一线性码的标准生成矩阵。[n,k,d]一线性码遵循
Singleton界,d≤n—k+1,本文把d=n—k+1的[n,k,d]一线性
码称为极大最小距离可分码(maximum distance separable
codes,MDS) 。分组密码设计中应用的MDS矩阵即为MDS
码的标准生成矩阵G=[ IA]中的矩阵A,一般取n=2k,因
此有关MDS码的相关结论直接应用到MDS矩阵的证明中。
引理1“ 设A为有限域GF(q)上的n阶方阵,以下三个
条件是等价的:a)A是MDS矩阵Ib)矩阵[ IA]中任意的n列
是线性无关的;c)矩阵[一A IE]中任意的n列是线性无关的。
引理2 13]有限域GF(q)上的n阶方阵A是MDS矩阵的
充要条件是矩阵月的任意阶子方阵都是非奇异的。
定义5 13]设a ∈GF(q),i=1,…,m,q为素数或素数的
方幂,则由CF(q) 中的向量(a 一,a )决定的Vandermonde
方阵
f 1 1 … 1 1
。 一,。 ):( 一-) : =1 … 。 I。
【n 一 n 一 … n:一 J
VandeFin。nde方阵的z…-10式det( (口 。。,。 ))
(aj—a ),其中m≥2。
若可逆矩阵
显然矩阵
B=( )m :l=
bl ・
b2 ・
:
●
b ・
中存在奇异的m阶子方阵,如其前m一1列和第m+1构成的
m阶子方阵
a1 ‘‘
a2 ‘
●
:
口m 一
就是奇异的。那么矩阵A (Al B)=(El A B)中存在奇异
的m阶子方阵,根据引理1知矩阵A B非MDS矩阵,进而根
据引理2知矩阵A B中存在奇异的子方阵。而文献[6]中的
Vandermonde矩阵的定义即为
V(。 一,0 )=( ) mJ:1=
0l 。。
a2 ’
●
:
0m 一
这种形式,因此文献[6]中的定理1、2是有问题的。
定理1[6 J 记V(al,…,a )为Vandermonde矩阵
( )m : ,则对(Fq) 上的任意两个向量(。。,…,o,)和
(b 一,b,),若a ,bj是2r个互不相同的元,那么矩阵
a 一,a ) b 一,b )
中的任意一个子方阵都是非奇异的。
定理2 记 a -., )为 ×k的非奇异Vandermonde
矩阵, b 一,b 一 )为k x(n—k)矩阵( ) : 一 ,则由生
成矩阵G=[E I o 一 )^1 (b 一,b 一 )]定义的码为MDS
码的充要条件为a .是n个互不相同的元。
2 由Vandermonde矩阵构造MDS矩阵
下面给出正确的由两个Vandermonde矩阵构造MDS矩阵
的充要条件:
定理3设有限域GF(q)上的Vandermonde方阵
o 一,n )=(n; )0: , b 一,b )=( ) 。,则矩阵
。 一,o ) b 一,b )是MDS矩阵的充要条件是。 ,6
为GF( )中2m互不相同的元。
证明必要性。证明若GF(q)上的矩阵V(a 一,a )I1
一 一 一 _ 一 一 ;
以 眈
、●●●●●●rft●●●●●●●J
一 一
...
_ "
一 一 一
;
吼
;..1
,,
≈
一 一 一
;
・224・ 计算机应用研究 第31卷
b 一,b )是MDS矩阵,那么Ⅱ 、bj为GF(q)中2m互不相
同的元。
根据引理1可知,若 a 一,a ) V(b 一,b )是MDS
矩阵,那么矩阵【El a 一,。 ) b 一,b )]中任意的m
阶子方阵是非奇异的,而矩阵
al,…,a )[EI a 一,a ) b1,…,b ))=
[ a1,…,a )l (b 一,b )]
因此矩阵[ a 一,。 )I b 一,b )]中任意的m阶子方阵
也是非奇异的,而矩阵[V(a --,a )l V(b 一,b )]中任意
的m阶子方阵正好也是一个Vandermonde方阵,由Vander—
monde方阵的行列式知Vandermonde方阵的行列式不等于零
当且仅当Vandermonde方阵的生成向量中的元互不相等,因此
a 、6
,为GF(q)中2m互不相同的元。
充分性。即证明若。 、bj为GF(q)中2m互不相同的元,
那么矩阵 a --,a ) b 一,b )是MDS矩阵。
显然矩阵[ a --,a )l b ,…,b )]中任意的m阶子
方阵仍为一个Vandermonde方阵,由a 、b 为GF(q)中2m互不
相同的元知[ 。 一,n )l I/(b --,b )]中任意的m阶子方
阵都是非奇异,则矩阵
a 一,a ) [ al,…,a )I bl,…,b )]=
[El n 一,a ) b 一,b )]
中任意的m阶子方阵也是非奇异的,根据引理1知矩阵 a。,
…
,a ) b 一,b )为MDS矩阵。证毕。
由定理l和文献[6]中的定理2知:
若GF(g)上的矩阵 o .-,n )=(oj ) m ,V(b 一,
b )=( ) m 。,则矩阵 。 一,。 ) b 一,b )为MDS
矩阵充要条件是a 、6 为GF(q)中2m互不相同的元;
若GF(q)上的矩阵 o。,…,o ):( )m .川,
V(b ,…,
b )=( ) ,则矩阵V(。 一,0 )V(b 一,b ) 为MDS
矩阵充要条件是。 、bj为GF(q)中2m互不相同的元。
3 标量乘Vanderm onde矩阵构造MDS矩阵
在有限域GF(q)上,记
f oL1aI,l… a1, 1 4‘ t m l . , … , j
为标量( 一,ot )乘矩阵
f a1,1… 1 A
=(n )m[1J:1=I: l
【am,1…。 , J
的标量乘矩阵,记
f al。lI1…0/1 0,l,m 1
A( , :l : f
I 。 ,, … 。 , j
为了研究标量乘Vandermonde方阵构造MDS矩阵的方法,下
面首先分别由定理1给出标量乘矩阵逆的结构特点,由定理2给
出两个矩阵相乘与它们的标量乘矩阵相乘的关系,再由定理4给
出由两个标量乘Vandermonde方阵构造MDS的充要条件。
定理4(A‘ … )~:(A一 )‘“r , 。
证明设A。。=T=(t ) m: ,由
f l’1…ti, 1f 01.1…aI. 1
A A=【 ; ll; ; l=E
l tm,1 。一tm,m Jl am,1 … am,m J
[ ’ ::: 。1 tl,m ]j(1 Otl a l, :::: 二]=E
=
al
,
E
a 1 a t 1 t
AA~= ll;
,
…
m,m Jl m, ‘一 , J
_ mam,m Otmlt m ,篓
f I’】… 1
l a £ …n £ . 』
定理5若A=(ai
,j
) : ,B=(bi
,
j) m。,则
证明设A~:T:(t ) : ,则由定理1知
矩阵(A一’)‘ ,一 B‘B1.“ 中第i行第 列的元为主
a -1t 6
J。
显然肖-1 B中第i行第 列的元为 m b ,那么((肖I1
8)‘ r ・, )‘p1,'pm’中第 行第 列的元为 i’ ̄J
k =l
6 ,
这与矩阵( 一 (al-l,...,an7I)T B‘ m 中第i行第 列的元砉
1t
,
6
,
相等,即与(A‘ ) B‘ 第i行第 列的
元 -1£ 岛6 相等,由 、 的任意性知(4‘ 。。 )
B‘ , =((A一 B)‘叮 ,, )‘ ”t 。证毕。
。 )=( ) :。, (b ,…,b )=( I1) m:。,贝0矩阵( (n。,・--,
n 、6,为GF(q)中2m互不相同的元且o/ 都为非零元。
证明根据引理2知矩阵(V(0 ,…,a )(al'' ) V
(b 一,b ) ’, 是MDS矩阵的充要条件是其任意阶子方
(( 。I,…, m)一 (6l,…,bm))‘ 广 , , T)‘ l, , m
为了证明方便不妨记矩阵V(Ⅱ 一,a ) V(b 一,b )
中任意的k阶子方阵为了-=(£ )
,
,那么矩阵( (。 一,
。 )‘ … ) b 一,b )‘ ,t m’中任意的k阶子式即为
l
til l o ̄i-
] 岛2ti1,,2…(xi- ̄ 岛 til,¨J
1 a 1£ 』l a £ 2 …a 岛 f 2m 5
; l
£
l
£ 也 … a -。
k f‰“ j
第1期 郭磊,等:MDS矩阵和对合MDS矩阵的新构造方法 ・225・
而
根据行列式的性质知
a 岛lt 1J1 【1I圯 … d 。 ff1J
l
。
1
t 2Jl otl2 £f2
,
』2…d t 2
,n
i ;
d ‘咄Jl I ̄j2t 以…Oti—k。 f
¨
O/ii … t 8n。-‘B|k
Oti
、
… t 、9n…pik
tilJ1
ti2Jl
:
●
ti J1
ti1√l
t‘2Jl
:
●
f √1
当且仅当 是非零元 ,l=1,…, ,且
根据引理2知
til
,』1
2 l
●
:
tik
,jl
tilJ1
ti2
,j1
●
:
ti Jl
≠0
≠0
≠0
当且仅当 a 一,a ) b 一,b )是MDS矩阵,再根据定理1
知矩阵 a “,a ) b 一,b )是MDS矩阵的充要条件为
a 、 为GF(q)中2 互不相同的元。因此(V(a。,…,
a )‘ … ) b -.,b )‘ , m 是MDS矩阵的充要条件是
,
为GF(q)中2m互不相同的元且 、 都为非零元。证毕。
4 标量乘Vanderm onde矩阵构造对合MDS矩阵
本章在文献[11]给出的由两个Vandermonde矩阵构造对
合MDS矩阵方法的基础之上,给出有限域GF(2 )上由两个标
量乘Vandermonde矩阵构造对合MDS矩阵的方法。
引理3[ii 设有限域GF(2 )上的Vandermonde方阵
。 一,口 )=(n; )【’Jm:l, b 一,b )=( )f.m
若b =a +△,则矩阵V(a 一,a ) V(b 一,b )为对合矩
阵。
引理4 ul设有限域 (2 )上的Vandermonde方阵
。 一,n ):(Ⅱ; ) m:l, b .-,b )=( )Ⅵm:l
若b =0 +△,且0 ,bj为cF(2 )中2m互不相同的元,则矩阵
a 一,a ) b 一,b )为对合MDS矩阵。
定理7设有限域GF(2 )上的Vandermonde方阵
a1,…,a )=( ) m 1, bl,…,b )=(6j ) m l,(Ot1,
…
, )∈GF(2 ) ,若b =a +△且a ,6 为 (2“)中2m互
不相同的元,ot ≠0,则矩阵(V(a ,…,a ) -・… m ) V(b ,
…
,b ) … 为对合MDS矩阵。
证明 根据定理6知矩阵(A ・’… ) 8 -’“ m’为MDS
矩阵,下面证明其对合性质。
根据引理3知 a .-,a ) b 一,b )为对合矩阵,
不妨设 。 一,n ) b 一,b ):T=(tl
,
j) m:l,则
( a1,…,a ) 1’’ m )I1 b1,…,b ) ’’ m =
(( 口I,…,口m)一 v(bI,-一,b ))‘ar ,…,a )T)(。l,…, m)=
(a ajtl,j) m :1,
那么矩阵(eli- ajt ) : 的第i行乘第 列后得到的元为
m
~
=
m
l
ti
,
ktk
,
j={
因此矩阵( 口 ”,am)‘ “,“m ) b 一,b )‘ …, 为对
合矩阵。
综上所述,若b =a +△且a 、bj为GF(2 )中2m互不相
同的元, ≠0,则矩阵(V(。 ”,。 ) … )I1 V(b 一,
b ) ,’’ ’为对合MDS矩阵。证毕。
5 结束语
本文对Lacan等人给出的由Vandermonde矩阵构造MDS
码的方法进行了研究,指出了其中存在的问题,给出了由两个
Vandermonde矩阵构造MDS矩阵的充要条件。进而对标量乘
Vandermonde矩阵的结构特点进行了研究,给出了由标量乘
Vandermonde矩阵构造MDS矩阵的充要条件。最后在Sajadieh
等人给出的由两个Vandermonde矩阵构造对合MDS矩阵方法
的基础之上,给出了标量乘Vandermonde矩阵构造对合MDS
矩阵的方法。对由标量乘Vandermonde矩阵构造的MDS矩阵
及对合MDS矩阵来讲,可以通过调控标量中分量的大小来调
整构造出来的MDS矩阵及对合MDS矩阵元素大小和元素重
量大小来满足其软、硬件实现性能,因此本文给出的构造MDS
矩阵及对合MDS矩阵的方法具有实用价值。
参考文献:
[1]DAEMEN J,RUMEN V.11I1e wide trail design strategy[C]//Proc of
the 8th IAM International Conference Cirencester.Berlin:Springer—
Verlag,2ool:222-238.
[2]RIJMEN V,DAEMEN J,PRENEEL B,et a1.The cipher SHARK
[C]//Proc of Fast Software Eneryption・FSE.[s.1.]:Springer-Ver-
lag,1996:99-l11.
[3]Ju s K,SEOKHIE H,SANGJIN L,et a1.Practical and pro. ̄able se.
curity against differential and linear eryptanalysis for substitution.per-
mutation networks[J].ETRl Joumal,2001,23(4):158.167.
[4]DAEMEN J,RIJMEN V.The design of Rijndael:AES—the advanced
eneryption standard[M].Berlin:Springer-Verlag,2002.
[5] BARRETO P,。RUMEN V.The Khazad legacy—level block cipher
[EB/OL].(2000)[2006-12-03].http://www.cryptonessie.0强
[6] JEROME L,JEROME F.Systematic MDS erasure codes based on
vandermonde matrices[J].IEEE Communications Letters,2004,
8(9):570-572.
[7]MATHUR C—N,NARAYNA K,SUBBALAKSHMI K P.High difusion
cipher:encryption and error correction in a single cryptographic pn‘mi-
tive[C]//LNCS,vol 3989.Berlin:Springer—Verlag,2006:309—324.
[8]XIAO L,HEYS H M.Hardware design and analysis ofblock cipher com-
ponents1 Cl//Proc ofthe 5thIntemational Conference onInformation Se-
cuffty and Cryptology-ICISC.Berlin:Springer-Verlag,20O3:164・181.
[9]JORGE N J,6LCIO A.A new involutory MDS matrix for the AES『J].
International Journal of Net Work Security,2009.9(2):109-116.
[1O]崔霆,金展辉.对合Cauchy'Hadamard型MDS矩阵的构造[J].电
子与信息学报,2010,32(2):500-503.
【l1 J SAJADIEH M,DAKHILAuAN M,MALA H.et a1.On construction of
involutory MDS matrices from Vandermonde Matrices in CF(2q)[J].
Designs,Codes and Cryptography,2012,64(3):287—308.
[12]昊文玲,冯登国,张文涛.分组密码的设计与分析[M].2版.北
京:清华大学出版社.2009.
[13]McwILLIAMS F J,SLOANE N J A.The theory of error—correcting
codesl M 1.The Netherlands:North Holland,1977.
:
:
£
:
:
儿
£ t £
三=
;
圯 彪
;
本文发布于:2023-03-09 07:42:37,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/zhishi/a/167831895720024.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:对合.doc
本文 PDF 下载地址:对合.pdf
| 留言与评论(共有 0 条评论) |
