[网络协议] 密码编码学与网络安全--原理与实现--（第八版）第5章 ------有限域

群、环和域都是数学理论中的分支——抽象代数或近世代数的基本元素。在抽象代数中，我们关心的是其元素能够进行代数运算的集合，也就是说，可以通过多种方法使得集合上的两个元素运算后得到集合中的第三个元素。这些运算方法都遵守特殊的规则，而这些规则又能确定集合的性质。根据约定，集合上元素的两种主要运算符号与普通数字的加法和乘法所用的符号相同。但要指出的是，在抽象代数中并不只限于普通的算术运算，详见后面的介绍。

5.1.1 群的性质

群G，有时记为 $\left\{ G,\cdot \right\}$ ，是定义了一个二元运算的集合，这个二元运算可表示为?? $\cdot$ ? ，G中的每个序偶(a,b)通过运算生成 $G \times G$ 中的元素 $(a \cdot b)$ ，并且满足以下公理。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?(A1)?封闭性? 若a和b都属于G，则 $a \cdot b$ 也属于G。(这里a和 $a$ 一个意思不加区分，后文也一样)? ? ? ? ?(A2)?结合律? 对于G中的任意元素a,b,c，都有 $a \cdot (b \cdot c) = (a\cdot b) \cdot c$ 。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?(A3)?单位元? G中存在一个元素e，对于G中的任意元素a，都有 $a \cdot e = e \cdot a = a$ 。? ? ? ? ? ? ? ? ? ? ? ? ?(A4)?逆元? 对于G中的任意元素a，G中都存在一个元素 $a^{'}$ ，使得 $a \cdot a^{'} = a^{'} \cdot a = e$ 。

---------------------------------------------------------------------------------------------------------------------------------书本这里举了一个置换群的例子，详细请看书

---------------------------------------------------------------------------------------------------------------------------------

若一个群的元素是有限的，则该群称为有限群，并且群的阶等于群中元素的个数。否则，称该群为无限群。

5.1.2 交换群

一个群若满足以下的条件，则称为交换群。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?(A5). 交换律? 对于G中的任意元素a,b，都有 $a \cdot b = b\cdot a$ 。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??? ?加法运算下的整数集（包括正整数、负整数和零）是一个交换群。乘法运算下的非零实数集是一个交换群。前列中的集合 $S_{n}$ (置换群)是一个群，但是对于 $n>2$ ，他不是交换群。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?群众的运算是加法时，其单位元是0；a的逆元是-a；且减法用以下规则定义：a-b=a+(-b)。

5.1.3 循环群

我们在群中将求幂运算定义为重复运用群中的运算，如 $a^{3} = a \cdot a \cdot a$ 。此外，我们定义 $a^{0 } = e$ 为单位元，并且 $a^{-n} = (a^{'})^{n}$ ，其中 $a^{'}$ 是a在群内的逆元素。若群G中的每个元素都是一个固定元素 $a(a \in G)$ 的幂 $a^{k}$ （k为整数），则称群G是循环群。我们认为元素a生成了群G，或者说a是群G的生成元。循环群总是交换群，他可能是有限群或无限群。

e.g. 整数的加群是一个无限循环群，它由1生成。在这种情况下，幂被解释为是用加法合成的，因此n是1的第n次幂。

5.2 环

环R，有时记为 $\left\{R,+,\times \right\}$ ，是有两个二元运算的集合，这两个二元运算分别称为加法和乘法，且对于R中的任意元素a,b,c，满足以下公理。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?（A1~A5）R关于加法是一个交换群；也就是说，R满足从1到5的所有原则。对于此种情况下的加法群，我们用0表示其单位元，用-a表示a的逆元。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? (M1)? 乘法封闭性? 若a和b都属于R，则ab也属于R。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? (M2)? 乘法结合律? 对于R中的任意元素a,b,c，有 $a(bc)=(ab)c$ 。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? (M3)? 分配律? 对于R中的任意元素a,b,c，总有 $a(b+c)=ab+ac$ ， $(a+b)c=ac+bc$ 。

环本质上是一个集合，可在其上进行加法、减法[a-b=a+(-b)]和乘法而不脱离该集合。

环若还满足以下条件，则被称为交换环。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? (M4)? 乘法交换律? 对于R中的任意元素a,b，有ab=ba。

下面定义整环，它是满足以下公理的交换环。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? (M5)? 乘法单位元? 在R中存在元素1，使得对R中的任意元素a，有a1=1a=a。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? (M6)? 无零因子? 若有R中的元素a,b，且ab=0，则必有a=0或b=0.

---------------------------------------------------------------------------------------------------------------------------------后面我会专门出一篇文章来学习环，多项式环，分圆多项式环，等。对于一些密码学方案来说是一种基本的结构

---------------------------------------------------------------------------------------------------------------------------------

5.3 域

域F，有时记为 $\left\{ F,+,\times \right\}$ ，是有两个二元运算的集合，这两个二元运算分别称为加法和乘法，且对于F中的任意元素a,b,c，满足以下公理。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?(A1~M6)? F是一个整环；也就是说，F满足从A1到A5及从M1到M6的所有原则。? ? ? ? ? ? ? ? ? ? ? ? ? ? ?(M7)? 乘法逆元? 对F中的任意元素a（除0外），F中存在一个元素 $a^{-1}$ 使得 $a a^{-1}=(a^{-1})a =1$ 。

域本质上是一个集合，可以在其上进行加法、减法、乘法和除法而不脱离该集合。除法又按规则 $a/b=a(b^{-1})$ 来定义。

深入理解这些内容后，下面这些可以替代的描述可能是有用的。域 $\left\{ F,+,\times \right\}$ 是一个集合，定义了两个二元运算——加法和乘法，满足下面的条件。

F对加法组成一个交换群。
除零外，F对乘法组成一个交换群。
分配律成立。也就是说，对F中的任意元素a,b,c，有 $a(b+c)=ab+ac$ ， $(a+b)c=ac+bc$

5.4 有限域GF(p)

有限域的阶（元素的个数）必须是一个素数的幂 $p^{n}$ ，其中n为正整数。阶为 $p^{n}$ 的有限域一般记为GF( $p^{n}$ )，GF代表Galois域，它以第一位研究有限域的数学家的名字命名。在此要关注两种特殊的情形：n=1时的有限域GF(p)，它和n>1时的有限域有着不同的结构，本节将对它进行研究。对有限域GF( $p^{n}$ )来说，有限域GF( $2^{n}$ )具有特别重要的密码学意义，详见5.6节。

5.4.1 阶为p的有限域

给定一个素数p，元素个数为p的有限域GF(p)被定义为整数 $\left\{0,1,\cdots,p-1 \right\}$ 的集合 $Z_{p}$ ，其运算为模p的算数运算。

整数 $\left\{0,1,\cdots,n-1 \right\}$ 的集合 $Z_{n}$ ，在模n的算术运算下构成一个交换环。进一步发现： $Z_{n}$ 中的任一整数有乘法逆元当且仅当该整数与n互素。若n为素数，则 $Z_{n}$ 中的所有非零整数都与n互素， $Z_{n}$ 中所有非零整数都有乘法逆元。

因为w与p互素，若用w乘以 $Z_{p}$ 的所有元素，则得出的剩余类时 $Z_{p}$ 中所有元素的另一种排列。因此，恰好只有一个剩余类值为1。于是， $Z_{p}$ 中存在这样的整数：当它乘以w，得余数1。这个整数就是w得乘法逆元，记为 $w^{-1}$ ，所以 $Z_{p}$ 其实是一个有限域。

5.4.2 在有限域GF(p)中求乘法逆元

当p值较小时，求有限域GF(p)中元素得乘法逆元很容易：只需构造一个乘法表，所要结果直接从表中读出。但是，当p值较大时，这种方法时不切实际的。

若a和b互素，则b有模a的乘法逆元。也就是说，若gcd（a,b）=1，则b有模a的乘法逆元。即对于正整数b<a，存在 $b^{-1} <a$ 使得 $b b^{-1}\equiv 1 \mod \ a$ 。若a时素数且 $0<b<a$ ，则a和b显然互素，且其最大公因式为1。运用扩展欧几里得算法容易计算 $b^{-1}$ 。

再次重复(2.7)，我们证明过该式可以用扩展欧几里得算法求解：

$ax+by=d=\gcd (a,b)$

现在，若 $\gcd(a,b) =1$ ，则有 $ax+by=1$ 。运用2.3节定义的模算术的基本公式，有

$[(ax \mod a)+(by \mod a)] \mod a =1 \mod a$

$0 + (by \mod a ) = 1$

然而，若 $by \mod a =1$ ，则 $y= b^{-1}$ 。因此，若 $\gcd(a,b) =1$ ，则通过对式（2.7）运用扩展欧几里得算法可以获得b的乘法逆元。

更一般地，对任意n，扩展欧几里得算法可用于求 $Z_{n}$ 内的乘法逆元。若对方程 $nx+ by = d$ 应用扩展欧几里得算法，并且得到 $d=1$ ，则在 $Z_{n}$ 内有 $y= b^{-1}$ 。

5.4.3 小结

本节介绍了如何构建阶为p的有限域，其中p为素数。特别地，我们用以下性质定义有限域GF(p)。

有限域GF(p)由p个元素构成。
在该集合中定义了二元运算+和 $\times$ 。加、减、乘、除可以在集合内实现。除0外，集合内的其他元素都有乘法逆元。

我们已经证明了有限域GF(p)中的元素是集合{0,1,...,p-1}中的元素，其算术运算是模p的加法和乘法。

5.5 多项式运算

?在继续讨论有限域之前，需要介绍一个有趣的问题——多项式算术。这里只讨论单变元多项式，并且将多项式运算分为三种。

使用代数基本规则的普通多项式运算。
系数运算是模p运算的多项式运算，即系数在有限域GF(p)中。
系数在有限域GF(p)中，且多项式被定义为模一个n次多项式m(x)的多项式运算。

本节讨论前两种多项式运算，下一节讨论最后一种多项式运算。

5.5.1 普通多项式运算

一个n次多项式( $n\geq 0$ )的表达形式为

$f(x)=a_{n}x^{n}+a_{n-1}x^{n-1}+ \cdots +a_{1}x +a_{0}=\sum_{i=1}^{n} a_{i}x^{i}$

式中， $a_{i}$ 是某个指定数集S中的元素，称该数集为系数集，且 $a_{n} \neq 0$ 。称 $f(x)$ 是定义在系数集S上的多项式。零次多项式被称为常数多项式，它只是系数集中的一个元素。若 $a_{n} =1$ ，则对应的n次多项式就被称为首一多项式。

在抽象代数中，一般不给多项式中的x赋一个特定值。为了强调这一点，变元x有时被称为不定元。

多项式运算包含加法、减法和乘法，这些运算是把变量x当成集合S中一个元素来定义的。除法也以类似的方式定义，但这时要求S是域。域包括实数域、有理数域、和素数域 $Z_{p}$ 。注意整数并不是域，它也不支持多项式除法运算。

加法、减法的运算规则是把相应的系数相加减。因此，若

$f(x)= \sum_{i=0}^{n} a_{i}x^{i};g(x)= \sum_{i=0}^{m}b_{i}x^{i},n \geq m$

则加法运算定义为

$f(x)+g(x)=\sum_{i=0}^{m}(a_{i}+b_{i})x^{i}+ \sum_{i=m+1}^{n}a_{i}x^{i}$

乘法运算定义为

$f(x) \times g(x) = \sum_{i=0}^{n+m} c_{i}x^{i}$

式中， $c_{k}=a_{0}b_{k} +a_{1}b_{k-1}+ \cdots +a_{k-1}b_{1} +a_{k}b_{0}$ 。在后一个公式中，当 $i>n$ 时令 $a_{i}=0$ ，当 $i>m$ 时，令 $b_{i}=0$ 。注意结果的次数等于两个多项式的次数之和。

5.5.2 系数在Zp中的多项式运算

现在考虑系数是域F中的元素的多项式，这种多项式被称为域F上的多项式。在这种情况下，容易看出这样的多项式结合是一个环，称为多项式环。也就是说，如果把每个不同的多项式视为集合中的元素，那么这个结合就是一个环。

对有限域中的多项式进行多项式运算时，除法运算是可能的。注意，这并不是说能进行整除。下面说明两者的区别。在一个域中，给定两个元素a和b，a除以b的商也是这个域中的一个元素。然而，在非域的环R中，普通除法将得到一个商式和一个余式，这并不是整除。

现在，如果试图在非域系数集上进行多项式除法，那么除法运算并不总是有定义的。

然而，如所见的那样，即使系数集是一个域，多项式除法也不一定是整除。一般来说，除法会产生一个商式和一个余式。对于有限域中的多项式，式（2.1）的除法可以重述如下：给定n次多项式f(x)和m次多项式g(x)( $m \leq n$ )，若用g(x）除f(x)，则得到一个商式q(x)和一个余式r（x），它们满足? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? $f(x) = q(x)g(x)+r(x)$ ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?(5.2)

各个多项式的次数为

$Degree \ f(x) =n ,Degree \ g(x)=m,$ ? ? $Degree \ q(x)=n-m, 0 \leq Degree \ r(x) \leq m-1$ ?

若允许有余数，则我们说有限域中的多项式除法是可能的。与整数的长除法相同，长除法也适用于多项式除法。后面会给出一些例子。

与整数运算相似，我们可以把余式r(x)写成f(x) mod g(x)，即 $r(x) = f(x) \mod g(x)$ 。若这里没有余式，则说g(x)整除f(x)，并写为 $g(x)|f(x)$ ；等价地，可以说g(x)是f(x)的一个因式或除式。

有限域GF(2)中的多项式对我们而言式有意义的。在有限域GF(2)中加法等价于异或（XOR）运算，乘法等价于逻辑与（AND）运算。

域F中的多项式f(x)被称为不可约的（即约的），当且仅当f(x)不能表示为两个多项式的积（两个多项式都在F上，次数都低于f（x）的次数）。与整数相似，一个不可约多项式也被称为素多项式。

5.5.3 求最大公因式

通过定义最大公因式，可以扩展有限域中多项式运算和整数运算之间的相似性。如果：

c(x)能同时整除a(x)和b(x)，
a(x)和b(x)的任何因式都是c(x)的因式。

那么多项式c(x)为a(x)和b(x)的最大公因式。下面是一个等价的定义：gcd[a(x),b(x)]是能同时整除a(x)和b(x)的多项式中次数最高的一个。

$\gcd[a(x),b(X)] = \gcd [b(x) , a(x) \mod b(x)]$ ? ? ? ? ? ? ? ? ? ? ? ? ?(5.3)

上式假设a(x)的次数大于b(x)的次数，可以重复使用(5.3)来求最大公因式。将下列方案和用于整数的欧几里得算法的定义进行比较。

每个循环中都有 $d(x) = gcd(r_{i+1}(x),r_{i} (x))$ ，直至最后 $d(x)=gcd(r_{n}(x),0)=r_{n}(x)$ ?。因此，通过重复应用除法，我们得到了两个多项式的最大公因式。这就是用于多项式的欧几里得算法。

5.5.4 小结

本节首先讨论了一般多项式的算术运算。在一般多项式算术运算中，变量不被计算，即不给多项式的变量赋值。相反，运用代数的一般规则对多项式进行算术运算（加、减、乘、除）。除非系数是域的元素，否则多项式的除法是不允许的。

接着讨论了有限域GF(p)中的多项式算术运算：加、减、乘、除。然而，除法不是整除，即除法的结果通常是商和余数。

最后，本节说明了使用欧几里得算法可以求有限域中的两个多项式的最大公因式。

本节论述的知识为下一节的学习奠定了基础。下一节中将用多项式来构建阶为 $p^{n}$ 的有限域。

5.6 有限域GF(2^n)

前几节中提到过有限域的元素个数必须为 $p^{n}$ ，其中p为素数，n为正整数。5.4节中讨论了元素个数为p的有限域这一特殊情况。我们发现在使用 $Z_{p}$ 上的模运算时，它满足域的所有条件。当n>1时， $p^{n}$ 上的多项式在模 $p^{n}$ 运算时并不能产生一个域。本节介绍在一个具有 $p^{n}$ 个元素的集合中，什么样的结构满足域的所有条件，并集中讨论有限域GF( $2^{n}$ )。

5.6.1 动机

实际上所有的加密算法(包括对称密钥和公开密钥算法)都涉及整数集上的算术运算。如果某种算法使用的运算之一是除法，那么就使用定义在有限域中的运算。为了方便使用和提高效率，我们希望这个整数集中的数与给定的二进制位数所能表达的信息一一对应而不应出现浪费。也就是说，我们希望这个整数集的范围是从0到 $2^{n}-1$ ，以便正好对应一个n位的字。?

?5.6.2 多项式模运算

设集合S由域 $Z_{p}$ 上次数小于等于n-1的所有多项式组成。每个多项式的形式如下：

$f(x)=a_{n-1}x^{n-1}+a_{n-2}x^{n-2}+ \cdots +a_{1}x +a_{0}=\sum_{i=1}^{n-1} a_{i}x^{i}$

?式中， $a_{i}$ 在集合{0,1,....,p-1}上取值。S中共有 $p^{n}$ 个不同的多项式。

如果定义了合适的运算，那么每个这样的集合S就是一个有限域。定义由如下几条组成。

该运算遵循代数基本规则中的普通多项式运算规则以及如下两条限制。
系数运算以p为模，即遵循有限域 $Z_{p}$ 上的运算规则。
如果乘法运算的结果是次数大于n-1的多项式，那么须将其除以某个次数为n的即约多项式m(x)并取余式。对于多项式f(x)，这个余数可表示为 $r(x)=f(x) \mod m(x)$ 。

?5.6.3 求乘法逆元

如欧几里得算法可以用来求两个多项式的最大公因式那样，扩展欧几里得算法可以用来求一个多项式的乘法逆元。若多项式b(x)的次数小于a(x)的次数且 $\gcd [a(x),b(x)] =1$ ，则该算法能求出b(x)以a(x)为模的乘法逆元。若a(x)为即约多项式，即除了本身与1外没有其他因式，则始终有gcd[a(x),b(x)]=1。算法的描述方式和整数情形的扩展欧几里得算法一样。给定两个多项式a(x)和b(x)，其中a(x)的次数大于b(x)的次数。我们希望解如下方程得到v(x)、w(x)和d(x)，其中d(x) = gcd[a(x),b(x)]:

$a(x)v(x)+b(x)w(x)=d(x)$

如果d(x)=1，那么w(x)是b(x)模a(x)的乘法逆元。计算过程如下：

?5.6.4 计算上的考虑

有限域GF( $2^{n}$ )中的多项式

$f(x)=a_{n-1}x^{n-1}+a_{n-2}x^{n-2}+ \cdots +a_{1}x +a_{0}=\sum_{i=1}^{n-1} a_{i}x^{i}$

可以由它的n个二进制系数 $(a_{n-1},a_{n-2}, \cdots ,a_{0})$ 唯一地表示。因此，有限域GF( $2^{n}$ )中的每个多项式都可以表示一个n位的二进制数。

加法? ? ?我们发现这里的多项式加法是对应系数分别相加，而对于 $Z_{2}$ 上的多项式，加法其实就是异或(XOR)运算。所以，有限域?GF( $2^{n}$ )中的两个多项式的加法等同于按位异或运算。

乘法? ? ?简单的异或运算不能完成有限域?GF( $2^{n}$ )中的乘法，但是可以使用一种相当直观且容易实现的技巧。以 $m(x)=x^{8}+x^{4}+ x^{3} +x +1$ 为多项式的有限域?GF( $2^{8}$ )是AES中使用到的有限域，我们将参照该域来讨论这个技巧。这个技巧容易推广到有限域?GF( $2^{n}$ )。

这个技巧基于下面的等式：

$x^{8} \mod m(x) =[m(x) - x^{8} ]=x^{4} + x^{3} + x+1$ ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?(5.4)

稍作思考就不难证明式(5.4)是正确的。如果不确定，可以除一下。一般来说，在有限域?GF( $2^{n}$ )中对n次多项式p(x)，有 $x^{n} \mod p(x) =[p(x) - x^{x}]$ 。

?5.6.5 使用生成元

定义有限域GF( $2^{n}$ )的另一种等价方式有时更方便，它使用相同的不可约多项式。首先，需要两个定义：阶位q的有限域F的生成元是一个元素，记为g，该元素的前q-1个幂构成了F的所有非零元素，即域F的元素是0, $g^{0},\cdots ,g^{q-2}$ 。

回顾第2章的讨论可知，若a是n的一个本原根，则其幂 $a,a^{2},\cdots , a^{\phi (n)}$ 是不同的(mod p)。且他们与n是互素的。特别地，对于素数p，若a是p的一个本原根，则其幂 $a,a^{2},\cdots , a^{p-1}$ 是不同的(mod p)。考虑由多项式f(x)定义的域F，若F内的一个元素b满足 $f(b)=0$ ，则称b为多项式f(x)的根。包含于F的元素b称为多项式的一个根，前提是 $f(b)=0$ 。

首一多项式f(x)是有限域GF(p)上的n次本原多项式，当且仅当其根是有限域GF( $p^{n}$ )的非零元素的生成元。特别地，可以证明，f(x)满足

$x^{p^{n}-1} \equiv 1 (\mod (f(x)))$

此外，上述方程为真时的最小正整数是 $(p^{n-1})$ 。也就是说，不存在整数 $m<(p^{n-1})$ 使得f(x)整除 $(x^{m}-1)$ 。

所有本原多项式都是不可约的，反之则不成立。对于不是本原多项式的不可约多项式i，我们可以找到一个正整数 $m<(p^{n-1})$ 。

最后，可以证明一个不可约多项式的根g是这个不可约多项式定义的有限域的生成元。

?通常，对于由不可约多项式f(x)生成的有限域GF( $2^{n}$ )，有 $g^{n}=f(g) - g^{n}$ 。计算 $g^{n+1}$ 到 $g^{2^{n}-2}$ 的值。域的元素对应g的幂： $g^{0}$ 到 $g^{2^{n}-2}$ ，另外再加上零元素。域元素的乘法用公式 $g^{k}= g^{k \mod (2^{n}-1)}$ 实现，其中k为任意整数。