Алгебра

Кольца и поля

AES шифрует интернет-трафик прямо сейчас, а QR-коды в кафе читаются даже повреждёнными-всё благодаря конечным полям. GF(2⁸) лежит в основе AES S-box, а коды Рида-Соломона над GF(2⁸) исправляют ошибки в QR-кодах. Кольца и поля-это математика, зашитая в каждый чип безопасности.

**AES-128/256:** каждый байт данных-элемент GF(2⁸); ShiftRows и MixColumns-операции над этим полем; весь стандарт построен на алгебре конечного поля
**QR-коды и Reed-Solomon:** избыточность QR позволяет восстановить до 30% повреждённых данных-благодаря RS-кодам над GF(2⁸)
**Эллиптические кривые в TLS:** шифрование ECDSA и ECDH использует кривые над GF(p) и GF(2ⁿ)-конечные поля снова в деле

Предварительные знания

Groups

Кольца

Кольцо (R, +, ·)-множество с двумя операциями: (R,+)-абелева группа; умножение ассоциативно и дистрибутивно над сложением: a(b+c) = ab+ac, (a+b)c = ac+bc. Если умножение коммутативно-коммутативное кольцо. Если есть единица 1-кольцо с единицей.

Кольцо	Комм.?	Обл. цел.?	Пример нулевого делителя
ℤ (целые числа)	Да	Да	Нет
ℤ/6ℤ	Да	Нет	2·3 = 6 ≡ 0
Матрицы Mₙ(ℝ)	Нет	Нет	AB=0 при A,B≠0
ℤ[x] (полиномы)	Да	Да	Нет
ℤ/pℤ (p прост.)	Да	Да (поле!)	Нет

**Область целостности (integral domain):** коммутативное кольцо без нулевых делителей. Если ab = 0, то a = 0 или b = 0. Полиномы F[x] над полем F образуют область целостности.

В кольце ℤ/6ℤ элемент 2 является нулевым делителем. Почему?

Поля

Поле F-коммутативное кольцо с единицей, в котором каждый ненулевой элемент обратим: для каждого a ≠ 0 существует a⁻¹ с a·a⁻¹ = 1. Примеры: ℚ, ℝ, ℂ-бесконечные поля. ℤ/pℤ при простом p-конечное поле из p элементов. Матрицы Mₙ(ℝ)-не поле (умножение некоммутативно).

**Характеристика поля:** наименьшее n > 0 такое, что n·1 = 0. Для ℚ, ℝ, ℂ-характеристика 0. Для GF(p)-характеристика p. Поле характеристики 2 особенно удобно для компьютерных реализаций: сложение = XOR.

Почему ℤ/6ℤ не является полем?

Конечные поля GF(pⁿ)

Конечные поля Галуа GF(pⁿ) существуют для любой простой p и n ≥ 1. GF(p) = ℤ/pℤ-поле из p элементов. GF(pⁿ) строится как факторкольцо GF(p)[x]/(f(x)), где f-неприводимый полином степени n над GF(p). Элементы GF(2⁸)-полиномы степени ≤ 7 с коэффициентами в {0,1}.

**GF(2⁸) в AES:** каждый байт-элемент поля GF(2⁸). S-box AES-умножение на 0x63 и аффинное преобразование над GF(2⁸). ShiftRows, MixColumns-линейные операции над GF(2⁸). Безопасность AES опирается на алгебраическую структуру конечного поля.

В GF(2) (поле из двух элементов {0,1}) что равно 1+1?

Коды Рида-Соломона и AES

Коды Рида-Соломона (Reed-Solomon)-коды исправления ошибок, работающие над GF(pⁿ). Информационные символы-коэффициенты полинома над конечным полем; кодовые слова-значения полинома в фиксированных точках. Используются в QR-кодах, CD/DVD, дисках RAID, космических миссиях.

Реальные коды Рида-Соломона работают над GF(2⁸), не над ℝ. Над конечными полями нет проблем округления и все операции точны. Библиотека galois в Python предоставляет реализацию GF(2⁸) и RS-кодов.

Почему QR-коды используют конечные поля, а не обычную арифметику?

Ключевые идеи

**Кольцо:** (R,+) абелева группа + ассоциативное дистрибутивное умножение; нулевые делители мешают сокращению
**Поле:** кольцо с обратными для всех ненулевых элементов; GF(p) = ℤ/pℤ при простом p
**GF(pⁿ):** расширение GF(p) через неприводимый полином; GF(2⁸)-256 байт с точной алгеброй
**Коды Рида-Соломона:** полиномы над GF(pⁿ) дают коды с доказуемыми гарантиями исправления ошибок

Связанные темы

Кольца и поля-мост между абстрактной алгеброй и прикладной математикой:

Группы — Аддитивная группа кольца-основная алгебраическая структура
Теория Галуа — Расширения полей и группы Галуа-центр теории Галуа
Полиномы — F[x]-кольцо полиномов; GCD полиномов над GF(2)-основа CRC и RS-кодов

Вопросы для размышления

Почему в GF(2) сложение = XOR, а умножение = AND? Как это делает реализацию AES эффективной на железе?
Эллиптические кривые над GF(p) используются в криптографии. Что делает задачу дискретного логарифма на эллиптической кривой такой сложной?
Шифр AES теоретически полностью описывается алгеброй GF(2⁸). Почему тогда нельзя 'решить' AES аналитически?

Связанные уроки

la-01-vectors-intro

Кольца

Кольцо

Комм.?

Обл. цел.?

Пример нулевого делителя

ℤ (целые числа)

Да

Нет

ℤ/6ℤ

Да

Нет

2·3 = 6 ≡ 0

Матрицы Mₙ(ℝ)

Нет

AB=0 при A,B≠0

ℤ[x] (полиномы)

Да

Нет

ℤ/pℤ (p прост.)

Да

Да (поле!)

Нет

В кольце ℤ/6ℤ элемент 2 является нулевым делителем. Почему?

Поля

Почему ℤ/6ℤ не является полем?

Конечные поля GF(pⁿ)

В GF(2) (поле из двух элементов {0,1}) что равно 1+1?

Коды Рида-Соломона и AES

Почему QR-коды используют конечные поля, а не обычную арифметику?

Ключевые идеи

**Кольцо:** (R,+) абелева группа + ассоциативное дистрибутивное умножение; нулевые делители мешают сокращению

**Поле:** кольцо с обратными для всех ненулевых элементов; GF(p) = ℤ/pℤ при простом p

**GF(pⁿ):** расширение GF(p) через неприводимый полином; GF(2⁸)-256 байт с точной алгеброй

**Коды Рида-Соломона:** полиномы над GF(pⁿ) дают коды с доказуемыми гарантиями исправления ошибок