Детальный обзор полей Галуа / forpes.ru

Главная
Детальный обзор полей Галуа

Детальный обзор полей Галуа +107

09.06.2025 05:30

malkovsky 27 11000 Источник

Group 1 (2).png — Эварист Галуа, умер на дуэли на 21 году жизни, его работы являются фундаментом современной алгебры, а Intel в 2021 году выпустил набор процессорных расширений для работы с полями Галуа.

"Попросите Якоби или Гаусса публично высказать своё мнение — не о истинности, а о важности этих теорем. Позже, я надеюсь, найдутся люди, которым будет выгодно разобраться во всём этом хаосе."

Этими словами заканчивалось письмо Эвариста Галуа, написанное для своего друга Огюста Шевалье за два дня до его смерти от полученных на дуэли ран на 21 году жизни. Ни Якоби, ни Гаусс в его теоремах не разобрались, зато спустя 15 лет разобрался Жозеф Лиувилль и опубликовал работы Галуа, ставшие впоследствии фундаментом современной алгебры, известные сейчас как теория Галуа. В статье расскажу про одну из частей этой теории - поля Галуа, получившая настолько повсеместное применение в криптографии и избыточном кодировании, что Intel и AMD выпустили набор процессорных расширений для эффективной реализации операций над этими полями.

Заметка! Если вам довелось использовать/реализовывать поля Галуа, то большая часть статьи для вас скорее всего будет не интересна, но возможно в последних разделах будет что-то для вас новое.

Введение
Модульная арифметика
От древней Греции до наших дней
Вклад Галуа
Rijndale, Reed-Solomon и LFSR
Особенности реализации $GF(2^{8k})$
Ссылки
Поддержать автора

Что в математике называют полем?

Простыми словами поле - это множество, элементы которого можно складывать, вычитать, умножать и делить, все операции при этом обратимые. Например полями являются рациональные, вещественные и комплексные числа, но например целые и натуральные не являются из-за невозможности деления в них (обычное деление целых чисел приводит к рациональным числам, а деление с остатком необратимо). Более формально поле - это множество $\mathbb{F}$ и две бинарные операции $+,\times:\mathbb{F}\times\mathbb{F}\rightarrow\mathbb{F}$ (каждая операции сопоставляет паре элементов множества другой элемент), удовлетворяющее следующим свойствам

Ассоциативность

$a+(b+c)=(a+b)+c \\ a \times (b\times c)=(a\times b)\times c$

Коммутативность

$a+b=b+a \\ a\times b=b\times a$

Дистрибутивность

$a \times (b+c)=a\times b + a\times c$

Существование нуля (нейтральный элемент относительно сложения)

$a+0=a, ~~ a\times 0=0 \ \forall a\in\mathbb{F}$

Существование обратного по сложению элемента

$\forall a\in\mathbb{F}~\exists b\in\mathbb{F}: a+b=0$

Существование единицы (нейтральный элемент относительно умножения)

$a\times 1=a~~\forall a\in\mathbb{F}$

Существование обратного по умножению элемента

$\forall a\neq 0\in\mathbb{F}~\exists b\in\mathbb{F}: a\times b=1$

Все эти свойства привычны нам по школьной программе для рациональных и вещественных чисел, кто-то возможно и дошел и до комплексных.

Модульная арифметика

Как я уже сказал, ни натуральные, ни целые целые числа не образуют поле из-за отсутствия корректного деления, однако на их основе поле получить можно, для этого нужно перейти к вычислению по модулю.

Лемма 1 (о делении с остатком). Для любых целых чисел существуют единственная пара целых чисел таких, что $0\leq r<b$ и

Лемма стандартная, оставлю без доказательства, с её помощью однозначно задаётся операция деления с остатком: - частное, - остаток. Стоит отметить, что такое определение принято в математике, но в программирование обычно деление немного отличается, остаток может получиться отрицательным например при делении отрицательного числа на положительное, в этом случае можно получить положительный остаток если прибавить .

Если обозначить за $a \bmod b$ остаток от деления на , то оказывается, что

$ac\bmod b=(a\bmod b)(c\bmod b)\bmod b$

ну или если проговорить это словами, то "остаток от деления произведения чисел равен остатку от деления произведения остатков этих чисел". Если всё еще не совсем понятно, то вот частный пример: последняя цифра произведения чисел такая же как у произведения последних цифр этих чисел. Доказывается довольно просто, по лемме о делении с остатком

$a=qb+r \\ c = eb+f$

и соответственно

Левое слагаемое правой части делится на , поэтому не влияет на остаток. Аналогичное свойство работает и с суммой. В итоге получается, что остатки можно складывать и умножать. А можно ли делить? Оказывается что можно, но не всегда.

Лемма 2 (тождество Безу). если взаимно простые, то существуют целые такие, что

Доказывается конструктивно через расширенный алгоритм Евклида. Что это даёт? А вот что

Следствие. Если - простое число, $0\leq a < p$ , то существует $0\leq x<p$ такое, что

$ax\bmod p=1$

Для доказательства нужно просто применить тождество Безу к . Возвращаясь к аксиомам поля это даёт нам последнее недостающее звено: обратный элемент по умножению.

Пример. Поле остатков по модулю 7 состоит из элементов $\{0, 1, 2, 3, 4, 5, 6\}$ c таблицей умножения

$\begin{array}{ccccccc} \times & 0 & 1 & 2 & 3 & 4 & 5 & 6 \\ 0 & 0 & 0 & 0 & 0 & 0 & 0 & 0 \\ 1 & 0 & 1 & 2 & 3 & 4 & 5 & 6 \\ 2 & 0 & 2 & 4 & 6 & 1 & 3 & 5 \\ 3 & 0 & 3 & 6 & 2 & 5 & 1 & 4 \\ 4 & 0 & 4 & 1 & 5 & 2 & 6 & 3 \\ 5 & 0 & 5 & 3 & 1 & 6 & 4 & 2 \\ 6 & 0 & 6 & 5 & 4 & 3 & 2 & 1 \end{array}$

А обратные по умножению элементы разбиваются на $1=1\times 1=2\times 4=3\times 5=6\times 6$ . Таким образом это полноценное поле.

От древней Греции до наших дней

Считается, что описание модульной арифметики в современном виде сделал Гаусс, однако очень многие сопутствующие факты были известны задолго до него:

Расширенный алгоритм Евклида для решения диофантовых уравнений. Авторство нахождение наибольшего общего делителя однозначно отдают Евклиду, но вот с его расширенной версией не всё так понятно, но в целом справедливо будет назвать его авторами Евклида и Диофанта. Известно ровно два эффективных метода для нахождения обратного элемента в поле остатков по модулю -- расширенный алгоритм Евклида и возведение в степени на основании малой теоремы ферма и теоремы Эйлера, Евклид побеждает по производительности (пишите в комментариях это не так или если на самом деле есть алгоритмы получше).
Теоремы Сунь Цзы (китайская теорема об остатках) о том, что на интервале $[0, p_1p_2\ldots p_n)$ существует единственное решение линейной системы сравнений

$a_1\bmod p_1=b_1 \\ a_2\bmod p_2=b_2 \\ \vdots \\ a_n\bmod p_n=b_n$

Теорема датируется 13-м веком, на просторах интернета можно найти следующее применение, о достоверности которого судить не готов: у генерала батальон примерно на 1000 человек, после очередного боя есть потери, нужно их быстро оценить, пересчитывать каждого по очереди долго, вместо этого можно быстро построить солдат сначала в 3 шеренги, потом в 5, и наконец в 7, попутно запоминая сколько оставалось в последнем ряду. Если потерь было не больше $3\cdot 5\cdot 7=105$ , то этой информации достаточно для того, чтобы эти потери точно посчитать. В современности же на этой теореме основаны например системы остаточных классов: если нужно провести какие-то вычисления на больших числах, то можно сделать провести эти вычисления по модулю различных простых чисел, а потом объединить результат -- в некоторых ситуациях таким образом можно ускорить вычисления, особенно если исходный алгоритм плохо распараллелен.
Малая теорема Ферма о том, что для простого числа и не делящегося на числа выполняется равенство

$a^{p-1}\bmod p=1$

Теорема Эйлера о том, что если обозначить $\varphi(b)$ - количество натуральных чисел меньше , являющихся с взаимно простыми, то

$a^{\varphi(b)}\bmod b=1$

Все эти факты лежат в основе современной криптографии, в частности алгоритм Диффи-Хеллмана использует возведение в степени по модулю и опирается на сложность решения задачи дискретного логарифмирования в качестве гарантии надёжности шифрования, а алгоритм RSA опирается на теорему Эйлера и факт о том, что для вычисления $\varphi(b)$ для составного числа нужно уметь раскладывать его на множители -- гораздо более сложная задача, чем возведение в степень. Алгоритм Шёнхаге-Штрассена для умножения чисел основан на адаптации алгоритма Кули-Тьюки быстрого преобразования Фурье для конечных полей по модулю простых Ферма - это простые числа вида , удобство которых в существовании первообразного корня из единицы $\omega$ степени .

А что собственно придумал Галуа?

Один из вопросов, которым задался Галуа - какие еще бывают поля с конечным числом элементов кроме полей остатков по простому модулю? Во-первых, стоит отметить, что остатки по составному модулю не образуют поля, например у 2 нет обратного по модулю 4, в общем случае делители модуля (кроме единицы) не будут иметь обратного элемента. Галуа доказал, что существуют поля, состоящие из элементов, где простое, а натуральное; доказал, что других нет; и наконец доказал, что два поля, состоящие из одного числа элементов структурно идентичны. Более формально

Теорема Галуа о конечных полях. Для любого простого числа и натурального числа

Существует поле $\mathbb{F}$ , состоящее ровно из элементов
Если натуральное числа не является степенью простого числа, то не существует поля, состоящего из элементов
Для любого другого поля $\overline{\mathbb{F}}$ также состоящего из элементов существует изоморфизм $\varphi: \overline{\mathbb{F}}\rightarrow \mathbb{F}$ такой, что

$\varphi(a+b)=\varphi(a)+\varphi(b) \\ \varphi(a\times b)=\varphi(a)\times\varphi(b)$

Здесь я ограничусь только частичным доказательством первого пункта, так как он нам позже понадобится. Итак, для мы знаем, что поле существует - поле остатков по модулю, обозначим его . Теперь допустим , давайте посмотрим на множество многочленов степени меньше

$F_n[x]=\{a_0+a_1x+a_2x^2+\ldots +a_{n-1}x^{n-1}~|~a_i\in F\}$

Определим сумму как обычно, т.е. отдельно по коэффициентам

$\sum_{i=0}^{n-1}a_ix^i+\sum_{i=0}^{n-1}b_ix^i=\sum_{i=0}^{n-1}(a_i+b_i)x^i$

А вот для умножения в сделаем хитрость: возьмем некоторый многочлен степени ровно и при умножении в будем делать обычное умножение многочленов, после чего брать остаток при делении на

$\sum_{i=0}^{n-1}a_ix^i\times \sum_{i=0}^{n-1}b_ix^i=\sum_{i=0}^{n-1}\sum_{j=0}^{n-1}a_ib_jx^{i+j}\bmod g(x).$

По аналогии с числами, остаток при делении на - это единственный многочлен степени меньше такой, что для некоторого

Так как остаток при делении на многочлен степени будет иметь степени меньше , то результат такого умножения остается в множестве . Корректность всех свойств поля кроме существования обратного элемента легко проверяется, давайте разбираться с ним.

Возьмем произвольный элемент $a\in F_n[x]$ и посмотрим на последовательность степеней $a: 1, a, a^2, a^3, \ldots$ В этой последовательности рано или поздно должно произойти одно из трёх:

Очередная степень станет равной нулю и все последующие тоже обнуляться
Очередная степень станет равной единице и дальше последовательность зациклится
Очередной степень будет равна другой уже присутствующей ранее, но не единице, последовательность зациклица, единица будет только на первом месте

Сначала посмотрим на последнюю ситуацию. Допустим повторилась степень , раз это первое повторение, то значит, что $a^{l-k}\neq 1$ , и при этом $a^ka^{l-k}=a^k$ или $a^k(a^{l-k}-1)=0$ . Оставим это пока и посмотрим на первую ситуацию, допустим оказалось, что , т.е. в частности получается, что $a\times a^{k-1}=0$ . В обоих случаях мы получаем обычное произведение двух многочленов степени меньше делится на . А теперь давайте представим, что изначально мы выбрали таким образом, что у него нет делителей в , тогда вышеописанные ситуации становятся невозможными. Остаётся второй случай когда очередная степени равна единице, т.е. или $a\times a^{k-1}=1$ , т.е. $a^{k-1}$ - обратный элемент к a. Таким образом, чтобы конструкция образовывала поле нужен многочлен , не имеющий делителей в - оказывается, что такой многочлен всегда существует, доказательство этого факта приводить не буду.

Конечные поля из элементов часто обозначают как от Galois field.

Поля Галуа в современности: Rijndael, Reed-Solomon и LFSR

Есть два крупных распространённых применения полей Галуа, которые сводятся к тому, что естественные для компьютера единицы информации - последовательности из байт - можно интерпретировать в виде элемента $GF(2^{8k})$ и проводить над ним какие-то преобразования, которые можно делать только в поле.

Advanced Encryption Standard (AES). Принятый NIST стандарт шифрования, основанный на методе Rijndale, особо ничего про него сказать не могу кроме того, что одна из его составных частей - это несколько побайтовых умножений в . Проконсультировался с коллегами алгебраистами, так если честно и не понял почему и зачем именно такое преобразование используется, напишите в комментариях если знаете зачем. И тем не менее факт в том, что часть AVX-512 сделана специально под этот стандарт для работы с .

UPD. Из комментария @vened"Но, если чуть ближе к вычислительной реальности, то предположение о стойкости AES основывается лишь на том, что не удалось найти методов, позволяющих на практике использовать внутреннюю структуру шифра для того, чтобы отличить выдачу для конкретного открытого текста (и неизвестного ключа) от случайной последовательности той же длины, что и блок. Ну или есть другие варианты моделирования стойкости, но они похожи - смысл всё тот же: повторное комбинаторное перемешивание стирает "все" следы структуры шифра (и поля, кстати). Но строго это не доказано, конечно. "

Reed-Solomon error correction. Общая идея довольно простая. Представьте, что ваши данные можно представить в виде прямой на плоскости, и вы хотите эти данные передать по ненадёжной сети, где время данные могут потеряться. Чтобы передать вашу прямую достаточно двух точек на этой прямой - из них саму прямую можно однозначно восстановить. Но так как у нас могут потеряться данные, то можно вместо двух точек взять скажем 5 (разных разумеется), тогда чтобы восстановить прямую достаточно, чтобы не потерялись любые две из них. Аналогично например с кругом, который однозначно задаётся тремя точками.

Любые две точки на прямой однозначно задают эту прямую, так как через любые две точки проходит ровно одна прямая. Аналогично любые три из пяти точек на окружности однозначно задают эту окружность, так как через 3 точки может проходить только одна окружность.

Оказывается, что есть обобщение такого подхода: кривая задаётся уравнением $y=a_0+a_1x+a_2x^2+\ldots a_{n-1}x^{n-1}$ , то из интерполяционной теоремы мы знаем что любые точек на этой кривой однозначно выделят её среди других кривых в этом классе. Соответственно алгоритм передачи данных будет выглядеть следующим образом

Хотим передать последовательность $a_0, a_1, \ldots, a_{n-1}$
Строим многочлен $P(x)=a_0+a_1x+\ldots+a_{n-1}x^{n-1}$
Вычисляем и отправляем $P(1), P(2), \ldots, P(n+k)$
На стороне получателя получили величины с предыдущего шага, что-то потерялось
Если получили хотя бы n из значений, то проводим интерполяцию и получаем , его коэффициенты - это передаваемое сообщение
Замечание! Так как передаём мы только , но не сами , то чтобы провести интерполяцию на последнем шаге необходимо знать соответствие $i\rightarrow P(i)$ , которое обычно известно косвенно из протокола.

Вышеописанная схема почти соответствует простейшей схеме алгоритма Рида-Соломона. Проблема заключается в том, что если всё вышеперечисленное мы делаем над обычными вещественными числами, то из-за ошибок округления эту схему практически нигде не применить. Последний кусочек пазла заключается в том, что всё это можно проделывать в конечном поле, где проблемы ошибок округления нет. В частности последовательность из байт может быть однозначно интерпретирована как коэффициенты многочлена степени меньше , является элементом поля и соответственно также легко представляется в виде байта. Итоге мы получаем протокол, который берёт последовательность из байт, превращает её в последовательность из байт, передаёт её по сети и восстанавливает исходную последовательность если дошли любые из переданных байт.

UPD. @mayorovp указал, что я упустил применение полей Галуа для построения Регистров сдвига с линейной обратной связью (LFSR, Linear feedback shift register). LFSR в конфигурации Галуа представляет собой поле построенная неприводимым многочленом степени и некий ненулевой начальный элемент $a \in GF(2^n)$ . Работа регистра заключается в последовательном домножении на в поле. Интересовать нас будет самый младший бит чисел в получившейся последовательности. Если является примитивным полиномом при построении поля через , то последовательность имеет период и может быть использована для генерации псевдослучайной последовательности. Seed в данной конструкции - это элемент .

Особенности реализации полей размера 8k

В основном я буду писать про наиболее распространённое , но обычно верно и для других полей, какие-то уточняющие моменты буду подсвечивать отдельно.

Итак, для построения поля будем использовать представление через многочлены, описанное два раздела назад. Нам понадобится

1. Выбрать способ представления байта в виде элемента GF(256)

Напомню, что элементы - это многочлены степени меньше 8 с коэффициентами 0 или 1, так это же просто 8 битов, давайте хранить коэффициент перед степенью i в i-ом бите байта, например

uint8_t element = 0b00110101; // x^5+x^4+x^2+1

2. Научиться складывать и вычитать

uint8_t Add(uint8_t a, uint8_t b) {
  return a ^ b;
}

uint8_t Subtract(uint8_t a, uint8_t b) {
  return a ^ b;
}

Так, сложение и вычитание у нас определялось просто как обычное сложение и вычитание для многочленов, т.е. по каждой степени по отдельности, а в это просто XOR, соответственно реализация сложения/вычитания очень проста

Ну и сразу отметим, что в 0 является нейтральным по отношению с сложению, а любой элемент является обратным к самому себе по сложению так как x ^ x = 0.

3. Научиться умножать

Так, вот здесь немного хитрее, для начала нам нужен неприводимый в многочлен степени 8. За нас их уже посчитали добрые алгебраисты, их всего 30 выбирайте любой, я возьму вот этот , обозначим его младшие степени в виде отдельного элемента.

const uint8_t irreducible_poly = 0x1b; // x^4+x^3+x+1

Умножение - это у нас обычное умножение многочленов, но с взятием по модулю, который мы только что выбрали. Не хочется очень подробно разжёвывать, вот код умножения в столбик для многочленов

uint8_t Multiply(uint8_t a, uint8_t b) {
  uint8_t result = 0;
  while (a) {
    result ^= b * (a & 1);
    a >>= 1;
    // b << 1 соответствует домножению на многочлена на x
    // (b >> 7) соответветствует проверки, что b
    // многочлен степени 7.
    // ^ (irreducible_poly * (b >> 7)) соответствует
    // взятию по модулю в этом случае. В противном случаем
    // для взятия по модулю ничего не нужно делать
    b = (b << 1) ^ (irreducible_poly * (b >> 7));
  }
  return result;
}

Здесь хочется отметить, что все вычисления производятся над 8 битами, стоит отметить, что b<<1 в реальности вылезет на один бит, но он обрубится при присвоении. Если не совсем понятно почему этот код делает ровно то, что заявлено, добавлю еще аналогичный код обычного умножения в столбик двух чисел по модулю

int MultiplyMod(int a, int b, int mod) {
  int result = 0;
  while (a) {
    result += b * (a & 1);
    a >>= 1;
    b = b << 1; // b <-- 2b
    // До предыдущей операции выполнялось 
    // b < mod, а значит 2b < 2mod-1
    // и для mod достаточно одного вычитания
    if (b > mod)
      b -= mod;
  }
  return result;
}

4. Научиться находить обратный элемент и делить

Так, вот тут нам понадобится еще немножко знаний из алгебры. Следующее утверждение оставлю без доказательства

Лемма 3 (следствия из теоремы Лагранжа для групп). Для любого ненулевого элемента поля $a\in F_{p^n}$ выполняется

$a^{p^n-1}=1$

Более того, существует элемент $\alpha$ такой, что степени $1, \alpha, \alpha^2, \ldots, \alpha^{p^n-2}$ различны и соответствуют всем элементам поля $F_{p^n}$ кроме нуля (такой элемент принято называть примитивным элементом поля).

Таким образом, найти $a^{-1}$ в поле можно например как $a^{254}$ .

uint8_t Inverse(uint8_t a) {
  uint8_t result = 1;
  uint8_t pow = 254;
  while (pow) {
    if (pow & 1)
      result = Multiply(result, a);
    a = Multiply(a, a);
    pow >>= 1;
  }
  return result;
}

На этом базовая реализация заканчивается …

LUT для умножения и обращения

Для начала стоит отметить, что таблицу умножения для $GF(2^{8k})$ можно просто посчитать в виде двумерного массива размера $2^{16k}$ , что в целом годится для , но для уже неприменимо. Но есть более элегантный способ, у нас есть примитивный элемент $\alpha$ , для с порождающим многочленом это например (3 в битовой записи), любой элемент представим в виде степени примитивного, соответственно если $a=\alpha^n, b=\alpha^m$ , то $a\times b=\alpha^{n+m}$ . И при этом мы знаем, что $\alpha^{255}=1$ . Из этих свойств возникает следующая идея

Подсчитаем таблицу степеней $\alpha$ , т.е. $\exp[i]=\alpha^i$
Подсчитаем таблицу логарифмов $\alpha$ , т.е. $\alpha^{\log[x]}=x$ .
Получаем $a\times b=\exp[\log[a]+\log[b]\bmod255]$

uint8_t exp[256];
uint8_t log[255];
const uint8_t primitive_element = 3;

uint8_t InitTables() {
  uint8_t x = 1;
  for (size_t i = 0; i < 255; i++) {
    exp[i] = x;
    log[x] = i;
    x = Multiply(x, primitive_element);
  }
  exp[255] = 1;
}

uint8_t MultiplyLUT(uint8_t a, uint8_t b) {
  if (a == 0 || b == 0)
    return 0;
  auto p = log[a] + log[b];
  // Во всех случаях кроме log[a]+log[b]=255
  // получаем эквивалент p % 255, если же
  // log[a]+log[b]=255, то пользуемся тем, что
  // exp[255] = 1
  return exp[(p & 255) + (p >> 8)];
}

Такие таблицы занимают $2\times 255$ байт, аналогичные для $GF(2^{16})$ занимала бы $2\times 2\times (2^{16}-1)$ байт.

Наконец стоит отметить, что для обращения эти таблица тоже можно использовать

uint8_t InverseLUT(uint8_t a) {
  if (a == 0)
    return 0;
  return exp[255 - log[a]];
}

Построение через башни

Указанная выше конструкция с построением через многочлены работает для любого базового поля. Мы делали расширение до , но так же например можно делать расширение до $GF(2^{8k})$ , для этого нужно проделать аналогичную конструкцию с многочленами степени меньше с коэффициентами из . Технически удобно строить поля последовательностью расширений, например каждое из полей $GF(2), GF(2^2), GF(2^4), GF(2^8), GF(2^{16})$ можно получить из предыдущего расширением многочленами первой степени. Вот пример как можно получить последнее расширение. Нам понадобится неприводимый многочлен степени 2 над , например многочлен вида

$x^2+x+\delta$

в половине случае является неприводимым (верно для ), возьмём $\delta=32$ . Элементы нашего расширения имеют вид

$a_0+a_1x\in GF(2^{16}), ~a_0,a_1\in GF(2^8)$

Со сложением как и раньше все просто - это побитовый XOR. А что с умножением? Допустим пытаемся умножить a на b, для этого как и раньше умножить многочлены как обычно, а потом поделить с остатком на $x^2+x+\delta$ , здесь удобно использовать трюк, что это деление эквивалентно замене $x^2=x+\delta$ .

$\begin{array}{rl} (a_0+a_1x)(b_0+b_1x)&=a_0b_0+(a_0b_1+a_1b_0)x+a_1b_1x^2\\&=a_0b_0+(a_0b_1+a_1b_0)x+a_1x_1(x+\delta) \\&=a_0b_0+a_1b_1\delta+(a_0b_1+a_1b_0+a_1b_1)x \end{array}$

А вот как это будет выглядеть в коде

uint16_t Multiply(uint16_t a, uint16_t b) {
  // a = a_0 + a_1x, b = b_0 + b_1x
  // все отдельные элементы из GF(256)
  uint8_t a_0 = a & 255;
  uint8_t a_1 = a >> 8;
  uint8_t b_0 = b & 255;
  uint8_t b_1 = b >> 8;

  auto t = gf_2_8::MultiplyLUT(a_1, b_1);
  auto low_bits =
      gf_2_8::Add(gf_2_8::MultiplyLUT(a_0, b_0), gf_2_8::MultiplyLUT(t, delta));
  auto high_bits = gf_2_8::Add(
      gf_2_8::Add(gf_2_8::MultiplyLUT(a_0, b_1), gf_2_8::MultiplyLUT(a_1, b_0)),
      t);
  return low_bits + (high_bits << 8);
}

Алгоритм нахождения обратного элемента Itoh–Tsujii

Можно нахождение обратного элемента можно сделать через возведение в степень, но есть алгоритм, позволяющий сократить количество умножений. В общем виде идея выглядит так: в поле . Если обозначить , то

$1=a^{q^n-1}=a\cdot \underbrace{a^{r-1}a^{r(q-2)}}_{a^{-1}}$

Вот здесь есть два интересных момента:

$a^r \in GF(q)$ . Без доказательства
Так как $a^r \in GF(q)$ , то $a^{r(q-2)}=(a^r)^{-1}$ , инверсия происходит в поле

Применительно к полям и $GF(2^{16})$ получаем следующий алгоритм

$2^{16}-1=255\cdot 257, r=257$
Вычисляем $a^{256}$ и $a^{257}$ в $GF(2^{16})$
Вычисляем $(a^{257})^{-1}$ в
$a^{-1}=a^{256}\cdot (a^{257})^{-1}$

Конкретно в данном случае мы уменьшили количество умножений в $GF(2^{16})$ почти в 4 раза: вычисление влоб

$a^{2^{16}-2}=\underbrace{a^{2^1}\cdot a^{2^2}\cdot \ldots\cdot a^{2^{15}}}_{14+15~умножений}$

А алгоритму Itoh-Tsujii нужно 8 умножений для подсчета $a^{2^8}$ и еще одно для $a^{257}$ .

uint16_t InvIT(uint16_t a) {
  uint16_t a_r = a;
  for (size_t i = 0; i < 8; ++i) {
    a_r = Multiply(a_r, a_r);
  }
  uint8_t a_r1 = Multiply(a_r, a);
  // Подсчет обратного элемента из GF(256)
  return Multiply(a_r, gf_2_8::Inv(a_r1));
}

Intel Galois Field New Instruction (GFNI)

Из-за популярности и важности интел выпустили набор расширений для вычислений в этом поле, произошло это кстати не так давно, в 2021 году. Общий принцип этого расширения заключается в следующем. Поле в том числе является линейных пространством размера 8 над полем , функция умножения на элемент a

$f_a(x)=a\times x$

линейна по свойству поля. Из этого следует, что эта функция может быть представлена в виде домножения на матрицу размера $8\times 8$ . Столбцы этой матрицы можно получить например домножением на базис . Следующий код демонстрирует сам концепт, но подобная реализация средствами С++ не будет также быстра как GFNI

void InitGFNI(void) {
  for (int16_t y = 0; y < 256; ++y) {
    gfni_matrix[y] = 0;
    element_t row = y;
    for (size_t i = 0, shift = 0; i < 8; ++i, shift += 8) {
      gfni_matrix[y] |= ((uint64_t)row << shift);
      row = (row << 1) ^ ((row >> 7) * irreducible_poly);
    }
  }
}

element_t MultiplyGFNI(element_t a, element_t b) {
  return ((a & 1) * (gfni_matrix[b] & 255)) ^
         (((a >> 1) & 1) * ((gfni_matrix[b] >> 8) & 255)) ^
         (((a >> 2) & 1) * ((gfni_matrix[b] >> 16) & 255)) ^
         (((a >> 3) & 1) * ((gfni_matrix[b] >> 24) & 255)) ^
         (((a >> 4) & 1) * ((gfni_matrix[b] >> 32) & 255)) ^
         (((a >> 5) & 1) * ((gfni_matrix[b] >> 40) & 255)) ^
         (((a >> 6) & 1) * ((gfni_matrix[b] >> 48) & 255)) ^
         (((a >> 7) & 1) * ((gfni_matrix[b] >> 56) & 255));
}

Интересно, что сами разработчики Intel в технической документации предлагают в качестве применения для такого подхода например перетасовывание битов в числе. Забавно, что эту идею реализовали в Clang 19 где __builtin_bitreverse64 компилируется в инструкцию vgf2p8affineqb в случае её доступности.

Ссылки

Весь код в вместе Malkovsky/galois
Личная рекомендация по и кодам Рида-Соломона, которые можно найти на гитхабе https://github.com/catid/leopard
Просто отдельное спасибо за наводку по bitreverse
Репозиторий с построением расширений https://github.com/robdockins/large-gf
Все 30 неприводимых многочленов степени 8 над и соответствующие примитивные элементы

Друзья и коллеги! С удовольствием хотел бы прорекламировать CS Space — открытый научный клуб по CS-related темам; идейных последователей питерского Computer Science Club (и CS Center), расформировавшегося после известных событий. Ребята организуют крутые лекции и курсы по CS от профессионалов своего дела, да еще и помогают мне с написанием научно-популярных статей!

Сайт сообщества: csspace.io
Telegram-канал: t.me/csspace

Если вам понравилась статья — поставьте плюс, автору всегда приятно когда его работу ценят. Возможно вас также заинтересует мой канал А зачем это нужно? где я рассказываю о том, что математику и алгоритмы придумали не только для собеседований в бигтехи.

Комментарии (27)

vened
09.06.2025 09:49
#28415248
поле - это множество чисел

Всё ж, наверное, не "множество чисел".

(AES) [...] Проконсультировался с коллегами алгебраистами, так если честно и не понял почему и зачем именно такое преобразование используется, напишите в комментариях если знаете зачем.

В AES конечное поле используется потому, что это относительно простой способ задать строгую структуру с нужными свойствами на конечном наборе элементов. То есть, когда отображения внутри множества гарантированно будут взаимно однозначными (биекция), а поэтому можно получить для зафиксированного элемента a "равномерное" отображение $x \mapsto x + a$ на той же структуре, что и делается в AES, но при помощи умножения (шаг MixColumns базового преобразования). Конкретно в AES - схема используется для перемешивания значений, с некоторой гарантией отсутствия наложения результатов; то есть, наблюдая статистику на выходе преобразования - сложно различить входные значения (это прямо следует из того, что используемые операции биективны). Собственно, по этим же причинам конечные поля используются в прикладной криптографии вообще.

(Естественно, есть и обратный эффект: если структуры "слишком много", то, зная некоторый секрет, можно построить разбиение входных значений по выходным. Это одно из направлений поиска "закладок" алгебраическими методами. Поле - не всегда хорошо для криптосистемы. Группа - лучше.)
1. malkovsky Автор
  09.06.2025 09:49
  #28415362
  Если уж докапываться до мелочей, то не хорошо обрубать контекст ;)
  
  Простыми словами поле - это множество чисел
  
  Я согласен, что в общем виде это не числа, но для человека незнакомого с концепцией проще её понять если использовать простые и знакомые термины, поэтому написал как написал. Точно также не считаю зазорным объясняя понятие "матрицы" для человека не знакомого с линейной алгеброй использовать описание "прямоугольная таблица с числами".
  
  За пояснения по AES спасибо! А вообще можете объяснить на чем там криптостойкость основана? Не на GF же? А то закрадываются мысли о том, что "рекомендовано NIST" можно трактовать как любят спецслужбы: обыватель не сможет взломать, а мы сможем.
  1. vened
    09.06.2025 09:49
    #28415592
    Я согласен, что в общем виде это не числа, но для человека незнакомого с концепцией проще её понять если использовать простые и знакомые термины, поэтому написал как написал.
    
    Так главное - не перевернуть обобщение: рациональные числа образуют поле, но не очень хорошо писать, упрощая в другую сторону, что "поле - это рациональные числа".
    
    Точно также не считаю зазорным объясняя понятие "матрицы" для человека не знакомого с линейной алгеброй использовать описание "прямоугольная таблица с числами".
    
    А вот это обобщение лучше. Потому что "прямоугольные таблицы с числами" - это заведомо шире определение, чем матрицы. А "поля - числа" - наоборот.
    
    А вообще можете объяснить на чем там криптостойкость основана? Не на GF же?
    
    Так весь AES можно переписать "в GF" - так и называется: Rijndael-GF. Поэтому, в каком-то смысле, практическая стойкость прямо связана с арифметикой в конечном поле, да. Но, если чуть ближе к вычислительной реальности, то предположение о стойкости AES основывается лишь на том, что не удалось найти методов, позволяющих на практике использовать внутреннюю структуру шифра для того, чтобы отличить выдачу для конкретного открытого текста (и неизвестного ключа) от случайной последовательности той же длины, что и блок. Ну или есть другие варианты моделирования стойкости, но они похожи - смысл всё тот же: повторное комбинаторное перемешивание стирает "все" следы структуры шифра (и поля, кстати). Но строго это не доказано, конечно.
    
    А то закрадываются мысли о том, что "рекомендовано NIST" можно трактовать как любят спецслужбы: обыватель не сможет взломать, а мы сможем.
    
    Есть и такое мнение, факт. И алгебраичность AES только способствует "закрадыванию" таких мыслей. Но, скорее, если уж и взломать, то через ошибки реализации и утечки по побочным каналам.
    
    malkovsky Автор
    09.06.2025 09:49
    #28415642
    Сделаю небольшую пометку по поводу полей и чисел. По AES дополню статью вашим комментарием, спасибо!

NeoNN
09.06.2025 09:49
#28415506
Прекрасная статья, почти введение в основы криптографии, узнаю старый добрый Хабр. Побольше бы такого, вместо однообразного потока бреда про ИИ, найм и прочее.
1. malkovsky Автор
  09.06.2025 09:49
  #28416290
  Благодарю! Будет еще. А так like, subscribe, repost - джентельменский набор для поддержки автора ;)

Komrus
09.06.2025 09:49
#28415582
Вспомнились студенческие времена...
Подумалось, что с теми годами у меня ассоциируются "Поля Галуа" и "Земляничные поля" :)

mayorovp
09.06.2025 09:49
#28416230
Забыли про такое применение полей Галуа, как сдвиговые регистры с линейной обратной связью (Linear-feedback shift register, LFSR).
1. malkovsky Автор
  09.06.2025 09:49
  #28416280
  Честно говоря, я их просто не особо озознал и переварил. Они используются как-нибудь кроме генерации псевдослучайных чисел?
  1. mayorovp
    09.06.2025 09:49
    #28416322
    А генерации псевдослучайных чисел недостаточно?
    
    malkovsky Автор
    09.06.2025 09:49
    #28416388
    Добавлю
    
    mayorovp
    09.06.2025 09:49
    #28418574
    Linear shift feedback register
    
    Ну как так? Регистр вообще- то с линейной обратной связью (linear feedback), а у вас почему-то линейный сдвиг вышел...
    
    malkovsky Автор
    09.06.2025 09:49
    #28418590
    Посыпаю голову пеплом ... поправил
  1. mrhru2
    09.06.2025 09:49
    #28417542
    М-последовательности (последовательности максимальной длины) используются в некоторых видах локации. Например, при картографировании Венеры использовали последовательность длиной 127, если я правильно ошибаюсь. Еще могут использоваться и в гидролокации.
    
    Основное свойство таких последовательностей длины 2^m-1=N, это то, что их автокорреляционная функция имеет пик равный N и -1 в остальных позициях..
  1. Refridgerator
    09.06.2025 09:49
    #28423756
    LFSR по модулю 2 используются в цифровой обработке сигналов для задач измерения, потому что дискретный амплитудный спектр по максимальной длине периода - константный, а сама амплитуда сигнала минимально возможная и не теряет точности при масштабировании (в отличие от ЛЧМ).

andrettv
09.06.2025 09:49
#28417578
Так здОрово, что напрашивается продолжение) Например, про применение теории решёток (ML-KEM, ML-DSS и прочие, устойчивые к алгоритму Шора) и про легковесную криптографию (Ascon и пр.)
1. malkovsky Автор
  09.06.2025 09:49
  #28417608
  Ух, поизучаю, но на текущий момент у меня 0 знаний по указанным темам.
  1. andrettv
    09.06.2025 09:49
    #28424808
    Посмотрите, например, https://eprint.iacr.org/2024/1287.pdf

cher-nov
09.06.2025 09:49
#28420354
а деление с остатком необратимо

А если представить элементы поля не в виде чисел, а в виде кортежей $\langle mag; rem \rangle$ (величина и остаток), где у "обычных" целых чисел остаток по умолчанию будет равен ?
1. malkovsky Автор
  09.06.2025 09:49
  #28420454
  Как будто в этом кортеже не будет хватать информации о делителе, т.е. вот вы поделили (a, 0) на (b, 0) и получили (q, r). Как потом (q, r) умножить на (с, 0)?
  
  Также стоит отметить, что рациональные числа -- это пары (a, b), где a, b - целые, gcd(a, b)=1 и b!=0 умножение (a, b) * (c, d)=(ac/gcd(ac, bd), bd/gcd(ac, bd)), обратный элемент (a, b)^{-1}=(b, a)
  1. cher-nov
    09.06.2025 09:49
    #28422108
    Как потом (q, r) умножить на (с, 0)?
    
    , разве нет?
    
    malkovsky Автор
    09.06.2025 09:49
    #28422198
    Мне не особо понятна какая тут арифметика получается. Надо тогда полностью правила умножения/обращения для таких пар, чтобы предметно обсуждать.
1. Readme
  09.06.2025 09:49
  #28427014
  если представить элементы поля не в виде чисел, а в виде кортежей
  
  Тогда это уже будет не поле целых чисел, а поле таких "кортежей" (кажется, полностью идентичное полю рациональных чисел). Вопрос просто в определении: по определению поля, множество целых чисел не является полем, так как частное от деления целых чисел может не принадлежать множеству целых чисел.

jury-churkin
09.06.2025 09:49
#28423478
Так как остаток при делении на многочлен степени будет иметь степени меньше

Разве это справедливо? Например, остаток от деления x³+x на x³+x²?
1. malkovsky Автор
  09.06.2025 09:49
  #28424080
  Да, остаток x^2+x, степень 2
  1. mayorovp
    09.06.2025 09:49
    #28424338
    Только всё-таки -x² + x
  1. jury-churkin
    09.06.2025 09:49
    #28426584
    Спасибо, разобрался.

Детальный обзор полей Галуа +107

Что в математике называют полем?

Модульная арифметика

От древней Греции до наших дней

А что собственно придумал Галуа?

Поля Галуа в современности: Rijndael, Reed-Solomon и LFSR

Особенности реализации полей размера 8k

1. Выбрать способ представления байта в виде элемента GF(256)

2. Научиться складывать и вычитать

3. Научиться умножать

4. Научиться находить обратный элемент и делить

LUT для умножения и обращения

Построение через башни

Алгоритм нахождения обратного элемента Itoh–Tsujii

Intel Galois Field New Instruction (GFNI)

Ссылки

Комментарии (27)

malkovsky Автор

malkovsky Автор

malkovsky Автор

malkovsky Автор

malkovsky Автор

malkovsky Автор

malkovsky Автор

malkovsky Автор

malkovsky Автор

malkovsky Автор