GRÖBNEROVY BÁZE, ČUANG-C ŮV ALGORITMUS A ATAKY MULTIVARIAČNÍCH KRYPTOSYSTÉMŮ

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

FAKULTA STROJNÍHO INŽENÝRSTVÍ ÚSTAV MATEMATIKY FACULTY OF MECHANICAL ENGINEERING INSTITUTE OF MATHEMATICS

GRÖBNEROVY BÁZE, ČUANG-C’ŮV ALGORITMUS A ATAKY MULTIVARIAČNÍCH KRYPTOSYSTÉMŮ GRÖBNER BASIS, ZHUANG-ZI ALGORITHM AND ATTACKS OF MULTIVARIABLE CRYPTOSYSTEMS

DIPLOMOVÁ PRÁCE MASTER'S THESIS

AUTOR PRÁCE

Bc. ALICE DOKTOROVÁ

AUTHOR

VEDOUCÍ PRÁCE SUPERVISOR

BRNO 2013

doc. RNDr. MIROSLAV KUREŠ, Ph.D.

Vysoké učení technické v Brně, Fakulta strojního inženýrství Ústav matematiky Akademický rok: 2012/2013

ZADÁNÍ DIPLOMOVÉ PRÁCE student(ka): Bc. Alice Doktorová který/která studuje v magisterském navazujícím studijním programu obor: Matematické inženýrství (3901T021) Ředitel ústavu Vám v souladu se zákonem č.111/1998 o vysokých školách a se Studijním a zkušebním řádem VUT v Brně určuje následující téma diplomové práce: Gröbnerovy báze, Čuang-c’ův algoritmus a ataky multivariačních kryptosystémů v anglickém jazyce: Gröbner basis, Zhuang-Zi algorithm and attacks of multivariable cryptosystems Stručná charakteristika problematiky úkolu: Jde o téma z aplikované komutativní algebry, a sice řešení soustav polynomiálních rovnic více neurčitých speciálními algoritmy. Lze použít při útocích na multivariační kryptosystémy. Cíle diplomové práce: (1) Kvalitní přehled teoretického aparátu z komutativní algebry se zaměření na Gröbnerovy báze (2) Přehled multivariačních kryptosystémů (Matsumoto-Imai, TTM, ...) a útoků na ně (3) Diskuse těchto útoků a návrhy na vylepšení

Seznam odborné literatury: M. Roczen, First steps with Gröbner Bases, Lecture Notes J. Ding, J. E. Gover, D. S. Schmidt, Zhuang-Zi: A New Algorithm for Solving Multivariate Polynomial Equations over a Finite Field, IACR T. Sauer, Gröbner bases, H bases and interpolation, Trans. of Am. Math. Soc.

Vedoucí diplomové práce: doc. RNDr. Miroslav Kureš, Ph.D. Termín odevzdání diplomové práce je stanoven časovým plánem akademického roku 2012/2013. V Brně, dne L.S.

_______________________________ prof. RNDr. Josef Šlapal, CSc. Ředitel ústavu

_______________________________ prof. RNDr. Miroslav Doupovec, CSc., dr. h. c. Děkan fakulty

Abstrakt Tato diplomová práce je zamˇeˇrena na multivariaˇcn´ı kryptosystémy. Jej´ı souˇcást´ı je pˇrehled komutativn´ı algebry se zamˇeˇren´ım na Gröbnerovy báze. Z algoritm˚ u jsou studovány pˇredevˇs´ım ty, které vyuˇz´ıvaj´ı Gröbnerovy báze a to Buchberger˚ uv algoritmus, kter´ y je jiˇz implementován v programu Wolfram Mathematica, a F4 algoritmus, pro kter´ y byl vytvoˇren programov´ y bal´ık v prostˇred´ı Wolfram Mathematica. Jako posledn´ı je popsán ˇ Cuang-c’˚ uv algoritmus, pro kter´ y byl pro zjednoduˇsen´ı vytvoˇren program pro poˇc´ıtán´ı Lagrangeova interpolaˇcn´ıho polynomu v jazyce Python. Summary This diploma thesis is devoted to the multivariate cryptosystems. It includes an overview of commutative algebra with emphasis on Gröbner bases. Of all algorithms, especially the ones using Gröbner bases are studied, i.e. Buchberger’s algorithm, which is already implemented in Wolfram Mathematica, and F4 algorithm, for which a program package has been created in the Wolfram Mathematica environment. Also Zhuang-Zi algorithm is described. To simplify its steps a program to compute the Lagrange interpolation polynomial has been created in Python. Kl´ıˇ cov´ a slova ˇ Multivariaˇcn´ı interpolace, interpolaˇcn´ı polynom, koneˇcné pole, F4 algoritmus, Cuang-c’˚ uv algoritmus, Buchberger˚ uv algoritmus, multivariaˇcn´ı kryptosystémy Keywords Multivariable interpolation, interpolation polynomial, finite field, F4 algorithm, ZhuangZi algorithm, Buchberger algorithm, multivariable cryptosystems

´ A.Gröbnerovy báze, Cuang-c’˚ ˇ DOKTOROVA, uv algoritmus a ataky multivariaˇcn´ıch kryptosystém˚ u. Brno: Vysoké uˇcen´ı technické v Brnˇe, Fakulta strojn´ıho inˇzen´ yrstv´ı, 2013. 76 s. Vedouc´ı doc. RNDr. Miroslav Kureˇs, Ph.D.

ˇ Prohlaˇsuji, ˇze jsem diplomovou práci Gröbnerovy báze, Cuang-c’˚ uv algoritmus a ” ataky multivariaˇcn´ıch kryptosystém˚ u“ vypracovala samostatnˇe s pouˇzit´ım odborné literatury a pramen˚ u, uveden´ ych na seznamu, jenˇz je souˇca´st´ı této práce. Alice Doktorová

Dˇekuji panu doc. RNDr. Miroslavu Kureˇsovi, Ph.D. za rady, vˇenovan´ y ˇcas a odborné veden´ı pˇri tvorbˇe této diplomové práce. Alice Doktorová

OBSAH

Obsah ´ 1 Uvod

3

2 Komutativn´ı algebra 2.1 Ideály v okruz´ıch . . . . . . . . . . . . . . . . . . 2.1.1 Afinn´ı variety . . . . . . . . . . . . . . . . 2.1.2 Parametrizace afinn´ıch variet . . . . . . . 2.1.3 Ideály . . . . . . . . . . . . . . . . . . . . 2.1.4 Polynomy jedné promˇenné . . . . . . . . . 2.2 Gröbnerovy báze . . . . . . . . . . . . . . . . . . 2.2.1 Monomické uspoˇrádán´ı . . . . . . . . . . . 2.2.2 Algoritmus dˇelen´ı v k [x1 , ..., xn ] . . . . . . 2.2.3 Monomické ideály a Dicksonova vˇeta . . . 2.2.4 Vˇeta o Hilbertovˇe bázi a Gröbnerovy báze 2.2.5 Vlastnosti Gröbnerov´ ych báz´ı . . . . . . . 2.2.6 Aplikace Gröbnerov´ ych báz´ı . . . . . . . . 2.3 Eliminaˇcn´ı teorie . . . . . . . . . . . . . . . . . . 2.3.1 Vˇety o eliminaci a rozˇs´ıˇren´ı . . . . . . . . 2.3.2 Implicitizace . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

5 5 5 5 5 6 7 7 9 10 10 11 12 15 15 16

3 Kryptografie 3.1 Multivariaˇcn´ı kryptosystémy . . . . . . . . . 3.1.1 Typy multivariaˇcn´ıch kryptosystém˚ u 3.1.2 Základn´ı bezpeˇcnost . . . . . . . . . 3.1.3 Explicitn´ı systémy . . . . . . . . . . 3.1.4 Implicitn´ı systémy . . . . . . . . . . 3.2 Algoritmy . . . . . . . . . . . . . . . . . . . 3.2.1 Buchberger˚ uv algoritmus . . . . . . . 3.2.2 F4 algoritmus . . . . . . . . . . . . . ˇ 3.2.3 Cuang-c’˚ uv algoritmus . . . . . . . . 3.3 Ataky . . . . . . . . . . . . . . . . . . . . . 3.3.1 Patarin˚ uv atak . . . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

19 19 19 21 21 23 23 23 27 31 36 36

4 Implementace algoritm˚ u 4.1 Buchberger˚ uv algoritmus . . . . . 4.2 F4 algoritmus . . . . . . . . . . . 4.2.1 Implementace algoritmu . 4.2.2 Pouˇzit´ı algoritmu . . . . . ˇ 4.3 Cuang-c’˚ uv algoritmus . . . . . . 4.3.1 Popis jednotliv´ ych funkc´ı .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

43 43 44 44 44 45 46

5 Z´ avˇ er

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

51

1

OBSAH 6 Pˇ r´ıloha 6.1 Pˇr´ıklady . . . . . . . . . . . . . . . . . . 6.1.1 Ideály . . . . . . . . . . . . . . . 6.1.2 Implicitizace . . . . . . . . . . . . 6.1.3 S-polynomy . . . . . . . . . . . . 6.2 Kódy . . . . . . . . . . . . . . . . . . . . 6.2.1 F4 algoritmus . . . . . . . . . . . 6.2.2 Lagrange˚ uv interpolaˇcn´ı polynom

2

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

55 55 55 61 63 66 66 71

´ 1. UVOD

´ 1. Uvod C´ılem diplomové práce bylo sepsat pˇrehled komutativn´ı algebry se zamˇeˇren´ım na Gröbnerovy báze. Dále prostudovat vybrané multivariaˇcn´ı kryptosystémy a ataky na nˇe. Posledn´ım u ´kolem bylo implementovat dané algoritmy. Diplomová práce je rozdˇelena do tˇr´ı kapitol. Prvn´ı kapitola dává pˇrehled komutativn´ı algebry se zamˇeˇren´ım na Gröbnerovy báze. Jsou zde studovány také ideály a eliminaˇcn´ı teorie. Ve druhé kapitole jsou sepsány dané multivariaˇcn´ı kryptosystémy, vˇcetnˇe obecného u ´vodu. V této práci jsou studovány algoritmy vyuˇz´ıvaj´ıc´ı Gröbnerovy báze, a to ˇ Buchberger˚ uv algoritmus a F4 algoritmus. Z dalˇs´ıch algoritm˚ u je zde popsán Cuang-c’˚ uv algoritmus. V posledn´ı kapitole se budeme zab´ yvat implementac´ı dan´ ych algoritm˚ u. Pro Buchberger˚ uv algoritmus budeme studovat ukázkové volán´ı jiˇz implementovaného algoritmu v prostˇred´ı Wolfram Mathematica. Pro F4 algoritmus je naˇs´ım u ´kolem sepsat proˇ gramov´ y bal´ık v prostˇred´ı Wolfram Mathematica. Pro Cuang-c’˚ uv algoritmus vyuˇzijeme k implementaci programovac´ı jazyk Python, kde vytvoˇr´ıme program pro v´ ypoˇcet Lagrangeova interpolaˇcn´ıho polynomu nad dan´ ym rozˇs´ıˇren´ ym koneˇcn´ ym polem. Diplomová práce obsahuje také pˇr´ılohu s pˇr´ıklady. Pˇr´ıklady jsou zamˇeˇrené na komutativn´ı algebru a to na v´ ypoˇcet ideál˚ u, Gröbnerov´ ych báz´ı, S-polynom˚ u a také implicitizace. Dále jsou pˇriloˇzeny kódy pro F4 algoritmus a pro v´ ypoˇcet Lagrangeova interpolaˇcn´ıho polynomu.

3

4

2. KOMUTATIVNÍ ALGEBRA

2. Komutativn´ı algebra Tato kapitola je inspirována [1].

2.1. Ide´ aly v okruz´ıch 2.1.1. Afinn´ı variety Definice 1. Necht’ k je komutativn´ı pole a f1 , ..., fs jsou polynomy v k [x1 , ..., xn ]. Pak V (f1 , ..., fs ) = {(a1 , ..., an ) ∈ k n ; fi (a1 , ..., an ) = 0; ∀i : 1 ≤ i ≤ s} nazveme afinn´ı varietou generovanou f1 , ..., fs . Tedy afinn´ı varieta V (f1 , ..., fs ) ⊂ k n je mnoˇzina vˇsech ˇreˇsen´ı soustavy rovnic f1 (x1 , ..., xn ) = ... = fs (x1 , ..., xn ) = 0. Lemma 2. Jestliˇze V, W ⊂ k n jsou afinn´ı variety, pak také V ∪ W a V ∩ W jsou afinn´ı variety. Nav´ıc plat´ı V ∩ W = V (f1 , ..., fs , g1 , ..., gt ); V ∪ W = V (fi gj ), pro 1 ≤ i ≤ s, 1 ≤ j ≤ t.

2.1.2. Parametrizace afinn´ıch variet Pˇredpokládejme, ˇze je dána varieta V = V (f1 , ..., fs ) ⊂ k n . Pak racionáln´ı parametrická reprezentace V obsahuje racionáln´ı funkce r1 , ..., rn ∈ k(t1 , ..., tm ) takové, ˇze body dané vztahy x1 = r1 (t1 , ..., tm ), .. . xn = rn (t1 , ..., tm ) leˇz´ı ve V . Dále poˇzadujeme, aby V byla nejmenˇs´ı varieta obsahuj´ıc´ı tyto body. V mnoha situac´ıch máme parametrizaci variety V , kde r1 , ..., rn jsou polynomy. Takové pˇr´ıpady naz´ yváme polynomická parametrická reprezentace V . Naproti tomu, p˚ uvodn´ı rovnice f1 = ... = fs = 0 urˇcuj´ıc´ı V , naz´ yváme implicitn´ı reprezentace V .

2.1.3. Ide´ aly Definice 3. Mnoˇzina i ⊂ k [x1 , ..., xn ] je ideál, jestliˇze plat´ı i) 0 ∈ i ii) jestliˇze f, g ∈ i, pak také f + g ∈ i iii) jestliˇze f ∈ i a h ∈ k [x1 , ..., xn ], pak h · f ∈ i. Definice 4. Necht’ f1 , ..., fs jsou polynomy v k [x1 , ..., xn ], pak mnoˇzina hf1 , ..., fs i =

( s X

)

hi fi : h1 , ..., hs ∈ k [x1 , ..., xn ]

i=1

je ideál. 5

´ 2.1. IDEALY V OKRUZÍCH Lemma 5. Jestliˇze f1 , ..., fs ∈ k [x1 , ..., xn ], pak hf1 , ..., fs i je ideál v k [x1 , ..., xn ]. hf1 , ..., fs i nazveme ideál generovaný f1 , ..., fs . D˚ ukaz. 1. 0 ∈ hf1 , ..., fs i, protoˇze 0 = si=1 0fi P P 2. Necht’ f = si=1 pi fi , g = si=1 qi fi , h ∈ k [x1 , ..., xn ]. Pak dostáváme P f + g = si=1 (pi + qi )fi Ps hf = i=1 (hpi )fi . Dokázali jsme tedy, ˇze hf1 , ..., fs i je ideál. P

Ideál i ⊂ k [x1 , ..., xn ] je koneˇcnˇe generovan´ y, pokud existuj´ı f1 , ..., fs ∈ k [x1 , ..., xn ] tekové, ˇze i = hf1 , ..., fs i a f1 , ..., fs tvoˇr´ı bázi ideálu i. Tvrzen´ı 6. Jestliˇze f1 , ..., fs a g1 , ..., gt jsou báze stejného ideálu v k [x1 , ..., xn ] takové, ˇze hf1 , ..., fs i = hg1 , ..., gt i, pak V (f1 , ..., fs ) = V (g1 , ..., gt ). Pˇr´ıklad: Uvaˇzujme varietu V (2x2 +3y 2 −11, x2 −y 2 −3). Snadno se ukáˇze, ˇze 2x2 +3y 2 − 11 = 2(x2 −4)+3(y 2 −1); x2 −y 2 −3 = 1(x2 −4)−1(y 2 −1). Tedy h2x2 + 3y 2 − 11, x2 − y 2 − 3i = hx2 − 4, y 2 − 1i tak, ˇze V (2x2 + 3y 2 − 11, x2 − y 2 − 3) = V (x2 − 4, y 2 − 1) = {±2, ±1}. Definice 7. Necht’ V ⊂ k n je afinn´ı varieta. Pak mnoˇzina i(V ) = {f ∈ k [x1 , ..., xn ] : f (a1 , ..., an ) = 0, ∀(a1 , ..., an ) ∈ V } . Zásadn´ım v´ ysledkem je, ˇze i(V ) je ideál. Lemma 8. Jestliˇze V ⊂ k n je afinn´ı varieta, pak i(V ) ⊂ k [x1 , ..., xn ] je ideál. D˚ ukaz. Je zˇrejmé, ˇze 0 ∈ i(V ), protoˇze nulov´ y polynom je nulov´ y pro vˇsechna k n . Dále pˇredpokládejme, ˇze f, g ∈ i(V ) a h ∈ k [x1 , ..., xn ]. Necht’ (a1 , ..., an ) je libovoln´ y bod V . Pak f (a1 , ..., an ) + g(a1 , ..., an ) = 0 + 0 = 0 h(a1 , ..., an )f (a1 , ..., an ) = h(a1 , ..., an )0 = 0. T´ım je dokázáno, ˇze i(V ) je ideál. Definice 9. i(V ) z pˇredchoz´ıho Lemmatu budeme naz´ yvat ideál variety V . Lemma 10. Jestliˇze f1 , ..., fs ∈ k [x1 , ..., xn ], pak hf1 , ..., fs i ⊂ i(V (f1 , ..., fs )). Rovnost nastat nemus´ı. Tvrzen´ı 11. Necht’ V a W jsou afinn´ı variety v k n . Pak i) V ⊂ W právˇe tehdy, kdyˇz i(V ) ⊃ i(W ) ii) V = W právˇe tehdy, kdyˇz i(V ) = i(W ).

2.1.4. Polynomy jedn´ e promˇ enn´ e Definice 12. Mˇejme nenulov´ y polynom f ∈ k [x], necht’ f = a0 xm + a1 xm−1 + · · · + am , kde ai ∈ k a a0 6= 0, tedy deg(f ) = m. Pak ˇrekneme, ˇze a0 xm je hlavn´ı ˇclen f , znaˇc´ıme LT (f ) = a0 xm . Tvrzen´ı 13 (Algoritmus dˇ elen´ı). Necht’ k je pole a necht’ g je nenulový polynom v k [x]. Pak kaˇzdé f ∈ k [x] m˚ uˇzeme psát f = qg +r, kde q, r ∈ k [x] a r = 0 nebo deg(r) < deg(g). Nav´ıc q a r jsou jednoznaˇcné.

6

2. KOMUTATIVNÍ ALGEBRA Tvrzen´ı 14. Jestliˇze k je pole a f ∈ k [x] je nenulový polynom, pak f má nejvýˇse deg(f ) koˇren˚ u v k. Tvrzen´ı 15. Jestliˇze k je pole, pak kaˇzdý ideál v k [x] m˚ uˇze být zapsán ve tvaru hf i pro nˇejaké f ∈ k [x]. Nav´ıc f je jednoznaˇcné vzhledem k násoben´ı nenulovou konstantou v k. Ideál generovan´ y jedn´ım prvkem se naz´ yvá hlavn´ı ideál. Definice 16. Nejvˇetˇs´ı spoleˇcný dˇelitel polynom˚ u f, g ∈ k [x] je mnoˇzina polynom˚ u h s vlastnost´ı i) h dˇel´ı f a g ii) Jestliˇze p je dalˇs´ı polynom, kter´ y dˇel´ı f a g, pak p dˇel´ı h. Má-li h tyto vlastnosti, pak p´ıˇseme h = GCD(f, g). Tvrzen´ı 17. Necht’ f, g ∈ k [x]. Pak i) GCD(f, g) existuje a je neprázdná a jsou-li dva polynomy jej´ımi prvky, pak jeden je konstantn´ım násobkem druhého ii) GCD(f, g) je generátor ideálu hf, gi iii) existuje algoritmus pro nalezen´ı GCD(f, g) (Euklid˚ uv algoritmus). Pˇr´ıklad: Spoˇctˇete GCD(x4 − 1, x6 − 1). Nejprve pouˇzijeme algoritmus dˇelen´ı x − 1 = 0(x6 − 1) + x4 − 1 x6 − 1 = x2 (x4 − 1) + x2 − 1 x4 − 1 = (x2 − 1)(x2 + 1) + 0 GCD(x4 − 1, x6 − 1) = GCD(x4 − 1, x2 − 1) = GCD(x2 − 1, 0) = x2 − 1. Poznamenejme, ˇze takto spoˇc´ıtan´ y GCD je odpovˇed´ı na nalezen´ı generátoru ideálu hx4 − 1, x6 − 1i = 2 hx − 1i. 4

Definice 18. Nejvˇetˇs´ı spoleˇcný dˇelitel polynom˚ u f1 , ..., fs ∈ k [x] je mnoˇzina polynom˚ u h s vlastnost´ı i) h dˇel´ı f1 , ..., fs ii) jestliˇze p je dalˇs´ı polynom, kter´ y dˇel´ı f1 , ..., fs , pak p dˇel´ı h, a znaˇc´ıme h = GCD(f1 , ..., fs ). Tvrzen´ı 19. Necht’ f1 , ..., fs ∈ k [x], kde s ≥ 2, pak i) GCD(f1 , ..., fs ) existuje a je jednoznaˇcný vzhledem k násoben´ı nenulovou konstantou vk ii) GCD(f1 , ..., fs ) je generátor ideálu hf1 , ..., fs i iii) jestliˇze s ≥ 3, pak GCD(f1 , ..., fs ) = GCD(f1 , GCD(f2 , ..., fs )) iv) existuje algoritmus pro nalezen´ı GCD(f1 , ..., fs ). Pˇr´ıklad: Uvaˇzujme ideál hx3 − 3x + 2, x4 − 1, x6 − 1i ⊂ k [x]. V´ıme, ˇze GCD(x3 −3x+ 2, x4 − 1, x6 − 1) je generátor. Nav´ıc m˚ uˇzeme ovˇeˇrit, ˇze GCD(x3 − 3x + 2, x4 − 1, x6 − 1) = GCD(x3 − 3x + 2, GCD(x4 − 1, x6 − 1)) = GCD(x3 − 3x + 2, x2 − 1) = x − 1. Dostáváme hx3 − 3x + 2, x4 − 1, x6 − 1i = hx − 1i .

2.2. Gr¨ obnerovy b´ aze 2.2.1. Monomick´ e uspoˇ r´ ad´ an´ı Definice 20. Monomické uspoˇrádán´ı v k [x1 , ..., xn ] je libovolná relace > na Nn0 , nebo ekvivalentnˇe, kaˇzdá relace na mnoˇzinˇe monom˚ u xα , α ∈ Nn0 splˇ nuj´ıc´ı 7

¨ ´ 2.2. GROBNEROVY BAZE i) > je u ´plné (nebo lineárn´ı) uspoˇrádán´ı na Nn0 ii) jestliˇze α > β a γ ∈ Nn0 , pak α + γ > β + γ iii) > je dobré uspoˇra´dán´ı na Nn0 . To znamená, ˇze kaˇzdá neprázdná podmnoˇzina Nn0 má nejmenˇs´ı prvek. Lemma 21. Relace uspoˇrádán´ı > na Nn0 je dobré uspoˇrádán´ı právˇe tehdy, kdyˇz kaˇzdá klesaj´ıc´ı posloupnost v Nn0 je koneˇcná. Definice 22 (Lexikografick´ e uspoˇ r´ ad´ an´ı). Necht’ α = (α1 , ..., αn ), β = (β1 , ..., βn ) ∈ n ˇ y rozd´ıl α − β ∈ Zn má prvn´ı nenulovou sloˇzku N0 . Rekneme, ˇze α >lex β, jestliˇze vektorov´ kladnou. P´ıˇseme xα >lex xβ , jestliˇze α >lex β. Pˇr´ıklad: a)(3, 2, 3) >lex (1, 3, 6), protoˇze α − β = (2, −1, −3) b)(1, 4, 3) >lex (1, 4, 2), protoˇze α − β = (0, 0, 1). Tvrzen´ı 23. Lexikografické uspoˇrádán´ı na Nn0 je monomické uspoˇrádán´ı. ˇ Definice 24 (Stupˇ novan´ e lexikografick´ e uspoˇ r´ ad´ an´ı). Necht’ α, β ∈ Nn0 . Rekneme, Pn Pn n α >lex β. ˇze α >grlex β, jestliˇze |α| = i=1 αi > |β| = i=1 βi nebo |α| = |β| a zároveˇ Pˇri stupˇ novaném lexikografickém uspoˇrádán´ı nejdˇr´ıve uvaˇzujeme celkov´ y stupeˇ n monomu. Pˇr´ıklad: a)(1, 2, 3) >grlex (3, 2, 0), protoˇze |(1, 2, 3)| = 6 > |(3, 2, 0)| = 5 b)(1, 2, 4) >grlex (1, 1, 5), protoˇze |(1, 2, 4)| = |(1, 1, 5)| a zároveˇ n (1, 2, 4) >lex (1, 1, 5). Definice 25 (Stupˇ novan´ e inverzn´ı lexikografick´ e uspoˇ r´ ad´ an´ı). Necht’ α, β ∈ Nn0 . P P n n ˇ Rekneme, ˇze α >grevlex β, jestliˇze |α| = i=1 αi > |β| = i=1 βi nebo |α| = |β| a posledn´ı nenulová sloˇzka α − β ∈ Zn je záporná. Pˇr´ıklad: a)(4, 7, 1) >grevlex (4, 2, 3), protoˇze |(4, 7, 1)| = 12 > |(4, 2, 3)| = 9 b)(1, 5, 2) >grevlex (4, 1, 3), protoˇze |(1, 5, 2)| = |(4, 1, 3)| a zároveˇ n (1, 5, 2) − (4, 1, 3) = (−3, 4, −1). Rozd´ıl mezi stupˇ novan´ ym lexikografick´ ym a stupˇ novan´ ym inverzn´ım lexikografick´ ym uspoˇra´dán´ım nastává, pokud je celkov´ y stupeˇ n monom˚ u shodn´ y. Stupˇ nované lexikografické uspoˇra´dán´ı dále uplatˇ nuje lexikografické uspoˇra´dán´ı a dává pˇrednost vyˇsˇs´ı mocninˇe u nejvˇetˇs´ı promˇenné. Stupˇ nované inverzn´ı lexikografické uspoˇra´dán´ı dává pˇrednost niˇzˇs´ı mocninˇe u nejmenˇs´ı promˇenné. Pˇr´ıklad: Uvaˇzujme polynom f = 5xy 2 z 2 + 6z − 11x3 + 9x2 z 3 ∈ k [x, y, z] a) lexikografické uspoˇra´dán´ı: f = −11x3 + 9x2 z 3 + 5xy 2 z 2 + 6z b) stupˇ nované lexikografické uspoˇrádán´ı: f = 9x2 z 3 + 5xy 2 z 2 − 11x3 + 6z c) stupˇ nované inverzn´ı lexikografické uspoˇra´dán´ı: f = 5xy 2 z 2 + 9x2 z 3 − 11x3 + 6z. Definice 26. Necht’ f = α aα xα je nenulov´ y polynom v k [x1 , ..., xn ] a necht’ > je monomické uspoˇra´dán´ı i) multistupeˇ n polynomu f definujeme jako multideg(f ) = max(α ∈ Nn0 ; aα 6= 0) ii) hlavn´ı koeficient polynomu f definujeme jako LC(f ) = amultideg(f ) ∈ k iii) hlavn´ı monom polynomu f definujeme jako LM (f ) = xmultideg(f ) P

8

2. KOMUTATIVNÍ ALGEBRA Poznámka: Hlavn´ı ˇclen polynomu f vyjádˇr´ıme jako LT (f ) = LC(f )LM (f ). Pˇr´ıklad: Je dán polynom f = 5xy 2 z 2 + 6z − 11x3 + 9x2 z 3 . Uvaˇzujme lexikografické uspoˇra´dán´ı. Poté multideg(f ) = (3, 0, 0), LC(f ) = −11, LM (f ) = x3 , LT (f ) = −11x3 . Lemma 27. Necht’ f, g ∈ k [x1 , ..., xn ] jsou nenulové polynomy. Pak i) multideg(f g) = multideg(f ) + multideg(g) ii) Jestliˇze f + g 6= 0,pak multideg(f + g) ≤ max(multideg(f ), multideg(g)). Kdyˇz nav´ıc plat´ı, ˇze multideg(f ) 6= multideg(g), pak nastává rovnost.

2.2.2. Algoritmus dˇ elen´ı v k [x1 , ..., xn ] Pˇr´ıklad: Je dán polynom f = x2 y +xy 2 +y 2 . Vydˇelte jej polynomy f1 = xy −1, f2 = y 2 −1 s pouˇzit´ım lexikografick´ rádán´ı s x > y.  eho uspoˇ xy − 1 x+y x2 y + xy 2 + y 2 : = y 2 − 1 x2 y − x xy 2 + x + y 2 xy 2 − y x + y2 + y Zbytek po dˇelen´ı je x + y 2 + y. Ani LT (f1 ) ani LT (f2 ) nedˇel´ı LT (x + y 2 + y), ale x+y 2 +y nen´ı zbytek, protoˇze LT (f2 ) dˇel´ı y 2 . Tud´ıˇz x pˇresuneme do zbytku a pokraˇcujeme dále v dˇelen´ı. Obecnˇe m˚ uˇzeme ˇr´ıci, ˇze pokud nem˚ uˇzeme dˇelit ani LT (f1 ) ani LT (f2 ), pak pˇresuneme hlavn´ı ˇclen do zbytku a v dˇelen´ı pokraˇcujeme dále. Po dokonˇcen´ı dˇelen´ı v naˇsem pˇr´ıkladu dostaneme v´ ysledek x2 y + xy 2 + y 2 = (x + y)(xy − 1) + 1(y 2 − 1) + x + y + 1. Vˇ eta 28 (Algoritmus dˇ elen´ı v k [x1 , ..., xn ]). Mˇejme monomické uspoˇrádán´ı > na Nn0 a necht’ F = (f1 , ..., fs ) je s-tice polynom˚ u v k [x1 , ..., xn ]. Pak kaˇzdé f ∈ k [x1 , ..., xn ] m˚ uˇzeme zapsat jako f = a1 f1 + · · · + as fs + r, kde ai , r ∈ k [x1 , ..., xn ] a r = 0 nebo r je lineárn´ı kombinace monom˚ u s koeficienty v k, kde ˇzádný z nich nen´ı dˇelitelný ˇzádným LT (f1 ), ..., LT (fs ). r nazveme zbytek po dˇelen´ı F . Nav´ıc jestliˇze ai fi 6= 0, pak plat´ı multideg(f ) ≥ multideg(ai fi ). Pˇr´ıklad: Je dán polynom x2 y + xy 2 + y 2 . Vydˇelte jej polynomy f1 = y 2 − 1, f2 = xy − 1.  y 2 − 1 x+1 x2 y + xy 2 + y 2 :  = x xy − 1 x2 y − x xy 2 + x + y 2 xy 2 − x 2x + y 2 → 2x 2 y y2 − 1 1 → 2x + 1 0 V´ ysledkem tedy je x2 y + xy 2 + y 2 = (x + 1)(y 2 − 1) + x(xy − 1) + 2x + 1. Je tedy zˇrejmé, ˇze pˇri zámˇenˇe dˇelitel˚ u je zbytek po dˇelen´ı jin´ y. 9

¨ ´ 2.2. GROBNEROVY BAZE Algoritmus dˇelen´ı polynom˚ u v´ıce promˇenn´ ych souvis´ı s ˇreˇsen´ım problému pˇr´ısluˇsnosti k ideálu. Jestliˇze je zbytek f po dˇelen´ı F = (f1 , ..., fs ) nulov´ y, pak f ∈ hf1 , ..., fs i. Vid´ıme tedy, ˇze r = 0 je postaˇcuj´ıc´ı podm´ınka pro pˇr´ısluˇsnost k ideálu, ale nen´ı to podm´ınka nutná (viz následuj´ıc´ı pˇr´ıklad). Pˇr´ıklad: Necht’ f1 = xy + 1, f2 = y 2 − 1 ∈ k [x] s lexikografick´ ym uspoˇrádán´ım. 2 Vydˇelte polynom f = xy − x dvojic´ı polynom˚ u F = (f1 , f2 ). Obdrˇz´ıme ˇreˇsen´ı tvaru xy 2 − x = y(xy + 1) + 0(y 2 − 1) + (−x − y). Dˇelen´ı dvojic´ı F = (f2 , f1 ) vede k v´ ysledku xy 2 − x = x(y 2 − 1) + 0(xy + 1) + 0. Odtud vid´ıme, ˇze f ∈ hf1 , f2 i a pˇresto pˇri dˇelen´ı F = (f1 , f2 ) je zbytek nenulov´ y.

2.2.3. Monomick´ e ide´ aly a Dicksonova vˇ eta Definice 29. Ideál i ⊂ k [x1 , ..., xn ] nazveme monomický ideál, jestliˇze existuje podmnoˇzina A ⊂ Nn0 (i nekoneˇcná) taková, ˇze i obsahuje vˇsechny polynomy ve tvaru koneˇcného souˇctu P α r´ıpadˇe p´ıˇseme i = hxα ; α ∈ Ai. α∈A hα x , kde hα ∈ k [x1 , ..., xn ]. V tomto pˇ Pˇr´ıklad monomického ideálu je ideál i = hxy, x2 y 3 , x3 yi ⊂ k [x, y]. Pˇr´ıklad ideálu, kter´ y nen´ı monomick´ y je ideál i1 = hxy − y, x2 y + xy 2 i . Lemma 30. Necht’ i = hxα ; α ∈ Ai je monomický ideál. Pak monom xβ leˇz´ı v i právˇe tehdy, kdyˇz xβ je dˇelitelné xα pro nˇejaké α ∈ A. Lemma 31. Necht’ i je monomický ideál a necht’ f ∈ k [x1 , ..., xn ]. Pak jsou následuj´ıc´ı tvrzen´ı ekvivalentn´ı. i) f ∈ i ii) kaˇzdý ˇclen f leˇz´ı v i iii) f je lineárn´ı kombinac´ı monom˚ u v i s koeficienty z k. Tvrzen´ı 32. Dva monomické ideály jsou totoˇzné právˇe tehdy, kdyˇz obsahuj´ı stejné monomy. Kaˇzd´ y monomick´ y ideál z k [x1 , ..., xn ] je koneˇcnˇe generovan´ y. ’ i = hxα ; αE∈ Ai ⊆ k [x1 , ..., xn ] je monomický ideál. Vˇ eta 33 (Dicksonova vˇ eta). Necht D Pak m˚ uˇzeme i psát ve tvaru i = xα(1) , ..., xα(s) , kde α(1), ..., α(s) ∈ A. Ideál i má tedy koneˇcnou bázi. Tvrzen´ı 34. Necht’ > je relace na Nn0 splˇ nuj´ıc´ı n i) > je u ´plné uspoˇrádán´ı na N0 ii) jestliˇze α > β a γ ∈ Nn0 , pak α + γ > β + γ. Pak > je dobré uspoˇrádán´ı právˇe tehdy, kdyˇz α ≥ 0 pro ∀α ∈ Nn0 .

2.2.4. Vˇ eta o Hilbertovˇ e b´ azi a Gr¨ obnerovy b´ aze Definice 35. Necht’ i ⊂ k [x1 , ..., xn ] je ideál r˚ uzn´ y od {0} (tzn. obsahuje alespoˇ n jeden nenulov´ y polynom) i) Oznaˇcme LT (i) mnoˇzinu hlavn´ıch ˇclen˚ u prvk˚ u z i. Tedy LT (i) = {cxα ; ex.f ∈ i, pro které LT (f ) = cxα } ii) Oznaˇcme hLT (i)i ideál generovan´ y prvky LT (i). 10

2. KOMUTATIVNÍ ALGEBRA Pˇr´ıklad: Necht’ i = hf1 , f2 i , f1 = x3 − 2xy, f2 = x2 y − 2y 2 + x, pouˇzijeme stupˇ nované lexikografické uspoˇra´dán´ı monom˚ u v k [x, y].Potom x(x2 y − 2y 2 + x) − y(x3 − 2xy) = x2 a tud´ıˇz x2 ∈ i. LT (x2 ) ∈ hLT (i)i, ale x2 nen´ı dˇelitelné ani LT (f1 ) ani LT (f2 ) a tud´ıˇz x2 ∈ hLT (f1 ), LT (f2 )i. Tvrzen´ı 36. Necht’ i ⊂ k [x1 , ..., xn ] je ideál. i) hLT (i)i je monomický ideál ii) Existuj´ı g1 , ..., gt ∈ i takové, ˇze hLT (i)i = hLT (g1 ), ..., LT (gt )i. Vˇ eta 37 (Hilbertova vˇ eta o b´ azi). Kaˇzdý ideál i ⊂ k [x1 , ..., xn ] má koneˇcnou generuj´ıc´ı mnoˇzinu. Proto i = hg1 , ..., gt i pro nˇejaké g1 , ..., gt ∈ i. D˚ ukaz. Pokud i = {0}, pak za generuj´ıc´ı mnoˇzinu vezmeme {0}, která je urˇcitˇe koneˇcná. Jestliˇze i obsahuje nˇejak´ y nenulov´ y polynom, pak dle pˇredeˇslé vˇety a dle Dicksonovy vˇety existuj´ı g1 , ..., gt takové, ˇze hLT (i)i = hLT (g1 ), ..., LT (gt )i. Pˇredpokládejme, ˇze i = hg1 , ..., gt i. Je zˇrejmé, ˇze hg1 , ..., gt i ⊂ i, jelikoˇz kaˇzdé gi ∈ i. Vezmeme libovoln´ y polynom f ∈ i a vydˇel´ıme jej polynomy g1 , ..., gt . Poté m˚ uˇzeme psát f = a1 g1 + · · · + at gt + r, kde ˇza´dn´ y ˇclen r nen´ı dˇeliteln´ y LT (g1 ), ..., LT (gt ). Vid´ıme, ˇze r = f − a1 g1 − · · · − at gt ∈ i. Pokud je r 6= 0, pak nutnˇe LT (r) ∈ hLT (i)i = hLT (g1 ), ..., LT (gt )i, protoˇze je hLT (i)i monomick´ y, mus´ı b´ yt LT (r) dˇeliteln´ y nˇekter´ ym z generátor˚ u LT (gi ). T´ım dostáváme spor s t´ım, ˇze r je zbytek po dˇelen´ı. Proto mus´ı b´ yt r = 0. Pak f = a1 g1 +· · ·+at gt ∈ hg1 , ..., gt i. Odtud plyne i ⊂ hg1 , ..., gt i a d˚ ukaz je hotov. Definice 38. Mˇejme monomické uspoˇra´dán´ı. Koneˇcnou podmnoˇzinu G = {g1 , ..., gt } ideálu i nazveme Gröbnerova báze (nebo standartn´ı báze), jestliˇze hLT (g1 ), ..., LT (gt )i = hLT (i)i. Ekvivalentnˇe m˚ uˇzeme ˇr´ıci, ˇze {g1 , ..., gt } ⊂ i je Gröbnerova báze právˇe tehdy, kdyˇz hlavn´ı ˇclen libovolného prvku i je dˇeliteln´ y LT (gi ) pro nˇejaké i. Tvrzen´ı 39. Mˇejme monomické uspoˇrádán´ı. Pak kaˇzdý ideál i ⊂ k [x1 , ..., xn ] r˚ uzný od {0} má Gröbnerovu bázi. Nav´ıc kaˇzdá mnoˇzina polynom˚ u g1 , ..., gt ∈ i, pro kterou plat´ı hLT (i)i = hLT (g1 ), ..., LT (gt )i, je Gröbnerova báze ideálu i. Tvrzen´ı 40 (Podm´ınka vzestupn´ eˇ rady). Necht’ i1 ⊂ i2 ⊂ i3 ⊂ ... je vzestupná ˇrada ideál˚ u v k [x1 , ..., xn ]. Pak existuje N ≥ 1 tak, ˇze iN = iN +1 = iN +2 = .... Definice 41. Necht’ i ⊂ k [x1 , ..., xn ] je ideál. Oznaˇc´ıme V (i) mnoˇzinu V (i) = {(a1 , ..., an ) ∈ k n ; f (a1 , ..., an ) = 0; ∀f ∈ i} . Tvrzen´ı 42. V (i) je afinn´ı varieta. Tedy jestliˇze i = hf1 , ..., fs i, pak V (i) = V (f1 , ..., fs ).

2.2.5. Vlastnosti Gr¨ obnerov´ ych b´ az´ı Tvrzen´ı 43. Necht’ G = {g1 , ..., gt } je Gröbnerova báze ideálu i ⊂ k [x1 , ..., xn ] a necht’ f ∈ k [x1 , ..., xn ]. Pak existuje jediné r ∈ k [x1 , ..., xn ] s následuj´ıc´ımi vlastnostmi i) ˇzádný ˇclen r nen´ı dˇelitelný ˇzádným LT (g1 ), ..., LT (gt ) ii) existuje g ∈ i takové, ˇze f = g + r.

11

¨ ´ 2.2. GROBNEROVY BAZE Tvrzen´ı 44. Necht’ G = {g1 , ..., gt } je Gröbnerova báze ideálu i ⊂ k [x1 , ..., xn ] a necht’ f ∈ k [x1 , ..., xn ]. Pak f ∈ i právˇe tehdy, kdyˇz zbytek po dˇelen´ı f mnoˇzinou G je nulový. Toto tvrzen´ı je nˇekdy pouˇzito jako definice Gröbnerovy báze, protoˇze je ekvivalentn´ı s podm´ınkou hLT (g1 ), ..., LT (gt )i = hLT (i)i. F

Definice 45. Oznaˇcme f zbytek po dˇelen´ı f uspoˇra´dánou s-tic´ı F = (f1 , ..., fs ). Jeli F Gröbnerova báze pro (f1 , ..., fs ), pak se na F m˚ uˇzeme d´ıvat jako na mnoˇzinu (bez uspoˇra´dán´ı). Pˇr´ıklad: Mˇejme polynom x5 y. Je dána F = (x2 y − y 2 , x4 y 2 − y 2 ) ⊂ k [x, y]. Pouˇzijeme lexikografické uspoˇra´dán´ı. Podle algebraického dˇelen´ı dostaneme x5 y = (x3 + xy)(x2 y − y 2 ) + 0(x4 y 2 − y 2 ) + xy 3 a F p´ıˇseme x5 y = xy 3 . Definice 46. Necht’ f, g ∈ k [x1 , ..., xn ] jsou nenulové polynomy. i) Jestliˇze multideg(f ) = α a multideg(g) = β, pak zaved’me γ = (γ1 , ..., γn ), kde γi = max(αi βi ); ∀i. xγ nazveme nejmenˇs´ı spoleˇcný násobek LM (f ), LM (g), p´ıˇseme xγ = LCM (LM (f ), LM (g)). γ γ ii) Zaved’me S-polynom f, g pˇredpisem S(f, g) = LTx(f ) f − LTx (g) g. Pˇr´ıklad: Jsou dány polynomy f = x3 y 2 − x2 y 3 + x, g = 3x4 y + y 2 ∈ R [x, y], uvaˇzujme stupˇ nované lexikografické uspoˇra´dán´ı. Potom γ = (4, 2) a 4 2 x4 y 2 1 3 4 2 3 3 2 S(f, g) = xx3 yy2 (x3 y 2 − x2 y 3 + x) − 3x 4 y (3x y + y ) = −x y + x − 3 y . Lemma 47. Pˇredpokládejme, ˇze máme souˇcet si=1 ci fi , kde ci ∈ k a multideg(fi ) = P P δ ∈ Nn0 , ∀i. Jestliˇze multideg( si=1 ci fi ) < δ, pak si=1 ci fi je lineárn´ı kombinace S- polynom˚ u S(fj , fk ) pro 1 ≤ j, k ≥ s s koeficienty v k. Nav´ıc kaˇzdý S(fi , fk ) má maximáln´ı stupeˇ n menˇs´ı neˇz δ. P

Vˇ eta 48 (Buchbergerovo krit´ erium). Necht’ i je polynomický ideál. Pak báze G = {g1 , ..., gt } je Gröbnerova báze i právˇe tehdy, kdyˇz pro vˇsechny dvojice i, j; i 6= j je zbytek po dˇelen´ı S(gi , gj ) báz´ı G nulový. Pˇr´ıklad: Mˇejme ideál i = hy − x2 , z − x3 i a ukaˇzme, ˇze G = {y − x2 , z − x3 } je Gröbnerova báze vzhledem k lexikografickému uspoˇrádán´ı pro y > z > x. Báze G má pouze dva ˇcleny, tud´ıˇz staˇc´ı ovˇeˇrit, ˇze zbytek po dˇelen´ı S- polynomu prvky báze G je nulov´ y. S(y − x2 , z − x3 ) = yz (y − x2 ) − yz (z − x3 ) = yx3 − zx2 . Provey z deme algebraické dˇelen´ı a dostaneme yx3 − zx2 = x3 (y − x2 ) + (−x2 )(z − x3 ) + 0 a tedy G S(y − x2 , z − x3 ) = 0. Zjistili jsme tedy, ˇze G je Gröbnerova báze.

2.2.6. Aplikace Gr¨ obnerov´ ych b´ az´ı Probl´ em pˇ r´ısluˇ snosti k ide´ alu Jestliˇze zkombinujeme Gröbnerovy báze s algoritmem dˇelen´ı, dostaneme následuj´ıc´ı algoritmus pˇr´ısluˇsnosti k ideálu: je dán ideál i = hf1 , ..., fs i. M˚ uˇzeme rozhodnout, zda dan´ y polynom f leˇz´ı v ideálu i následovnˇe. Nejdˇr´ıve pouˇzijeme algoritmus podobn´ y Buchbergerovu algoritmu a najdeme Gröbnerovu bázi G = {g1 , ..., gt } ideálu i. Poté tvrzen´ı 44 nám G dává f ∈ i právˇe tehdy, kdyˇz f = 0. 12

2. KOMUTATIVNÍ ALGEBRA Pˇr´ıklad: Necht’ i = hf1 , f2 i = hxz − y 2 , x3 − y 2 i ∈ C [x, y, z]. Pouˇzijeme stupˇ nované lexikografické uspoˇra´dán´ı. Necht’ f = −4x2 y 2 z 2 + y 6 + 3z 5 . Plat´ı, ˇze f ∈ i? Daná generuj´ıc´ı mnoˇzina nen´ı Gröbnerova báze i, protoˇze LT (i) obsahuje polynomy takové, ˇze LT (S(f1 , f2 )) = LT (−x2 y 2 + z 3 ) = −x2 y 2 nejsou obsaˇzeny v ideálu hLT (f1 ), LT (f2 )i = hxz, x3 i. Tedy mus´ıme spoˇc´ıtat Gröbnerovu bázi ideálu i. G = (f1 , ..., f5 ) = (xz − y 2 , x3 − z 2 , x2 y 2 − z 3 , xy 4 − z 4 , y 6 − z 5 ). Poznamenejme, ˇze máme redukovanou Gröbnerovu bázi. Nyn´ı m˚ uˇzeme testovat, zda polynom patˇr´ı do i. Napˇr´ıklad dˇelen´ım f báz´ı G dostáváme f = (−4xy 2 z − 4y 4 )f1 + 0f2 + 0f3 + 0f4 + (−3)f5 + 0. Zbytek po dˇelen´ı je nulov´ y, tedy f ∈ i. Probl´ em ˇ reˇ sen´ı polynomick´ ych rovnic Dále budeme vyˇsetˇrovat, jak m˚ uˇzeme pouˇz´ıt Gröbnerovu bázi k ˇreˇsen´ı soustavy polynomick´ ych rovnic ve v´ıce promˇenn´ ych. Pˇr´ıklad: Uvaˇzujme soustavu rovnic x2 + y 2 + z 2 = 1 x2 + z 2 = y x=z v C3 . Tyto rovnice udávaj´ı i = hx2 + y 2 + z 2 − 1, x2 + z 2 − y, x − zi ⊂ C [x, y, z]. C´ılem je naj´ıt vˇsechny body leˇz´ıc´ı ve V (i). Spoˇc´ıtáme V (i) uˇzit´ım libovolné báze i. Zkusme pouˇz´ıt Gröbnerovu bázi. Pouˇzijeme Lexikografick´ e uspoˇrádán´ı a dostaneme o n 1 1 2 2 4 G = x − z, −y + 2z , z + 2 z − 4 . Polynom g3 závis´ı pouze na z a tud´ıˇz nejdˇr´ıve q √ spoˇc´ıtáme jeho koˇreny. z = ± 12 ± 5 − 1, tedy máme 4 hodnoty pro z. Dosazen´ım do zb´ yvaj´ıc´ıch rovnic g1 = g2 = 0, z´ıskáme ˇreˇsen´ı pro y, x. T´ım jsme naˇsli vˇsechna ˇreˇsen´ı pro zadan´ y systém rovnic. Pˇr´ıklad: Najdˇete minimáln´ı a maximáln´ı hodnoty x3 + 2xyz − z 2 vzhledem k omezen´ı x + y 2 + z 2 = 1. K ˇreˇsen´ı pouˇzijeme Lagrangeovy multiplikátory 2

3x2 + 2yz − 2xλ = 0 2xz − 2yλ = 0 2 2x − 2z − 2zλ = 0 x2 + y 2 + z 2 − 1 = 0

Vypoˇc´ıtáme Gröbnerovu bázi pro ideál v R [x, y, z, λ] generovan´ y lev´ ymi stranami rovnic. Pouˇzijeme lexikografické uspoˇrádán´ı λ > x > y > z. Gröbnerova báze je velice sloˇzitá, ale posledn´ı polynom závis´ı pouze na promˇenné z. Ostatn´ı promˇenné tedy m˚ uˇzeme vyeliminovat v procesu hledán´ı Gröbnerovy báze.√ Rovnice obdrˇzené kladen´ım polynom˚ u 11 2 √ rovn´ ych nule dostáváme koˇreny z = 0, ±1, ± 3 , ± 8 2 . Jestliˇze poloˇz´ıme z rovno kaˇzdé z tˇechto hodnot, m˚ uˇzeme ˇreˇsit zbytek rovnic pro x, y. Dostaneme následuj´ıc´ı ˇreˇsen´ı z = 0, y = 0, x = ±1 13

¨ ´ 2.2. GROBNEROVY BAZE z z z z z

= 0, y = ±1, x = 0 = ±1, y = 0, x = 0 = 23 , y = 13 , x = − 23 2 =− , y = − 13 ,√x = − 23 √3 = 8√112 , y = − 38√11 , x = − 83 2 √

z = − 8√112 , y =

√ 3 √11 ,x 8 2

= − 83

Odtud je jiˇz snadné ˇr´ıci, která hodnota udává maximum a která minimum. Probl´ em implicitizace Uvaˇzujme, ˇze parametrické rovnice

x1 = f1 (t1 , ..., tm ), .. . xn = fn (t1 , ..., tm ) definuj´ı podmnoˇzinu algebraické variety V v k n . Napˇr. to je vˇzdy pˇr´ıpad, kdy fi jsou racionáln´ı funkce v promˇenn´ ych t1 , ..., tm . Pro jednoduchost se omez´ıme pouze na pˇr´ıpad, kdy fi jsou polynomy. Mˇejme afinn´ı varietu v k m+n definovanou rovnicemi x1 − f1 (t1 , ..., tm ) = 0, .. . xn − fn (t1 , ..., tm ) = 0. Základn´ı myˇslenkou je eliminace promˇenn´ ych t1 , ..., tm z tˇechto rovnic. Toto nám má dát rovnice pro V . Pouˇzijeme lexikografické uspoˇrádán´ı v k [t1 , ..., tm , x1 , ..., xn ] definované uspoˇrádán´ım promˇenn´ ych t1 > ... > tm > x1 > ... > xn . Nyn´ı pˇredpokládejme, ˇze máme Gröbnerovu bázi ideálu ei = hx1 − f1 , ..., xn − fn i. Protoˇze pouˇz´ıváme lexikografické uspoˇrádán´ı, oˇcekáváme, ˇze Gröbnerova báze má polynomy eliminuj´ıc´ı promˇenné a t1 , ..., tm jsou eliminovány nejdˇr´ıve, protoˇze jsou nejvˇetˇs´ı v naˇsem uspoˇra´dán´ı. Tedy Gröbnerova báze ei obsahuje polynomy, kter´ e obsahuj´ı pouze x1 , ..., xn . Tedy tyto polynomy jsou kandidáty na rovnice V . Pˇr´ıklad: Uvaˇzujme parametrickou kˇrivku V : x = t4 , y = t3 , z = t2 v C3 . Spoˇc´ıtejme Gröbnerovu bázi G ideálu i = ht4 − x, t3 − y, t2 − zi s ohledem na lexikografické uspoˇrádán´ı v C [t, x, y, z] a najdeme G = {−t2 + z, ty − z 2 , tz − y, x − z 2 , y 2 − z 3 }. Posledn´ı dva polynomy závis´ı pouze na x, y, z, tud´ıˇz definuj´ı afinn´ı varietu C3 obsahuj´ıc´ı naˇsi varietu V . Zb´ yvá ovˇeˇrit, ˇze V je pr˚ unikem dvou prostor˚ u x − z 2 = 0, y 2 − z 3 = 0.

14

2. KOMUTATIVNÍ ALGEBRA

2.3. Eliminaˇ cn´ı teorie 2.3.1. Vˇ ety o eliminaci a rozˇ s´ıˇ ren´ı Abychom ukázali, jak eliminace funguje, pod´ıvejme se na následuj´ıc´ı pˇr´ıklad. Pˇr´ıklad: Vyˇreˇste systém rovnic x2 + y + z = 0 x + y2 + z = 0 x + y + z2 = 0 Jestliˇze ideál i = hx2 + y + z − 1, x + y 2 + z − 1, x + y + z 2 − 1i, pak Gröbnerova báze i s ohledem na lexikografické uspoˇra´dán´ı je dána polynomy g1 = x + y + z 2 − 1, g2 = y 2 − y − z 2 + z, g3 = 2yz 2 + z 4 − z 2 , g4 = z 6 − 4z 4 + 4z 3 − z 2 . Rovnice g4 = z 6 − 4z 4 + 2 2 4z 3 − z 2 √ = z 2 (z ysledky z jsou √ − 1) (z + 2z − 1) obsahuje pouze z. Vid´ıme, ˇze moˇzné v´ 0, 1, −1, 2, − 2. Dosazen´ım tˇechto hodnot do g2 = 0, g3 = 0 spoˇc´ıtáme moˇzné hodnoty y a z rovnice g1 = 0 dále vypoˇc´ıt´ ame x. Dostaneme, ˇz√e soustava rovnic má √ právˇe pˇet ˇ√ reˇsen´ı √ √ √ (1, 0, 0), (0, 1, 0), (0, 0, 1), (−1 + 2, −1 + 2, −1 + 2), (−1 − 2, −1 − 2, −1 − 2). Definice 49. Je dáno i = hf1 , ..., fs i ⊂ k [x1 , ..., xn ], l-t´ y eliminaˇcn´ı ideál il je ideál nad k [xl+1 , ..., xn ] definovan´ y il = i ∩ k [xl+1 , ..., xn ]. Intuitivnˇe se zdá, ˇze il obsahuje vˇsechny prvky Gröbnerovy báze, ve kter´ ych se vyskytuj´ı pouze promˇenné xl+1 , ..., xn . Eliminace promˇenn´ ych znamená naj´ıt nenulové polynomy definuj´ıc´ı eliminaˇcn´ı ideál il . Vˇ eta 50 (Eliminaˇ cn´ı teor´ em). Necht’ i ⊂ k [x1 , ..., xn ] je ideál a dále necht’ G je Gröbnerova báze i respektuj´ıc´ı lexikografické uspoˇrádán´ı x1 > x2 > · · · > xn . Pak pro kaˇzdé 0 ≤ ≤ l ≤ n mnoˇzina Gl = G ∩ k [xl+1 , ..., xn ] je Gröbnerova báze l-tého eliminaˇcn´ıho ide´ alu il . Pro ukázán´ı, jak eliminaˇcn´ı teorém funguje, pouˇzijeme následuj´ıc´ı pˇr´ıklad. Pˇr´ıklad: Vezmˇeme si pˇr´ıklad ze zaˇcátku této kapitoly. i = hx2 + y + z − 1, x + y 2 + z − 1, x + y + z 2 − 1i. Dle eliminaˇcn´ıho teorému dostáváme i1 = i ∩ C [y, z] = hy 2 − y − z 2 + z, 2yz 2 + z 4 − z 2 , z 6 − 4z 4 + 4z 3 − z 2 i i2 = i ∩ C [z] = hz 6 − 4z 4 + 4z 3 − z 2 i. Je zˇrejmé, ˇze Gröbnerova báze pˇri uˇzit´ı lexikografického uspoˇrádán´ı vyeliminuje nejen prvn´ı promˇennou, ale dokonce prvn´ı dvˇe, prvn´ı tˇri promˇenné, atd. Nev´ yhodou ale je znaˇcná ˇcasová nároˇcnost v´ ypoˇctu Gröbnerovy báze pˇri lexikografickém uspoˇra´dán´ı. Nyn´ı prodiskutujeme krok rozˇs´ıˇren´ı. Pˇredpokládejme, ˇze máme ideál i ⊂ k [x1 , ..., xn ]. Máme afinn´ı varietu V (i) = {(a1 , ..., an ) ∈ k n ; f (a1 , ..., an ) = 0; ∀f ∈ i}. K popisu bod˚ u afinn´ı variety mus´ıme nejdˇr´ıve vyˇreˇsit rovnici v jedné promˇenné, kterou z´ıskáme eliminac´ı zb´ yvaj´ıc´ıch promˇenn´ ych. Poté ˇreˇsen´ı postupnˇe rozˇsiˇrujeme pˇridán´ım dalˇs´ıch promˇenn´ ych. Mˇejme nˇejaké l mezi 1 a n. Dostáváme eliminaˇcn´ı ideál il a ˇreˇsen´ı (al+1 , ..., an ) ∈ V (il ) oznaˇc´ıme jako parciáln´ı ˇreˇsen´ı p˚ uvodn´ıho systému rovnic. K rozˇs´ıˇren´ı na u ´plné ˇreˇsen´ı ve 15

ˇ Í TEORIE 2.3. ELIMINACN V (i) nejdˇr´ıve potˇrebujeme pˇridat k ˇreˇsen´ı jednu dalˇs´ı promˇennou. To znamená naj´ıt al tak, ˇze (al , al+1 , ..., an ) leˇz´ı ve varietˇe V (il−1 ) dalˇs´ıho eliminaˇcn´ıho ideálu. Konkrétnˇeji pˇredpokládejme, ˇze il−1 = hg1 , ..., gr i v k [xl , xl+1 , ..., xn ]. Chceme naj´ıt ˇreˇsen´ı xl = al rovnic g1 (xl , xl+1 , ..., xn ) = · · · = gr (xl , xl+1 , ..., xn ) = 0. Pracujeme s polynomy jedné promˇenné xl , tzn. ˇze ˇreˇsen´ı al jsou právˇe koˇreny nejvˇetˇs´ıho spoleˇcného dˇelitele g1 , ..., gr . Základn´ım problémem je, kdyˇz polynomy ˇza´dn´ y spoleˇcn´ y koˇren nemaj´ı, tzn existuj´ı parciáln´ı ˇreˇsen´ı, která nem˚ uˇzeme rozˇs´ıˇrit na u ´plné ˇreˇsen´ı. Napˇr. uvaˇzujme rovnice xy = 1, xz = 1, i = hxy − 1, xz − 1i a jednoduchá aplikace eliminaˇcn´ıho teorému nám dává, ˇze y − z generuje prvn´ı eliminaˇcn´ı ideál i1 . Tedy parciáln´ı ˇreˇsen´ı je tvaru (a, a) a rozˇs´ıˇren´ı (1, a, a) s v´ yjimkou bodu (0, 0). Následuj´ıc´ı vˇeta se zab´ yvá problémem, kdy lze dané parciáln´ı ˇreˇsen´ı rozˇs´ıˇrit na u ´plné ˇreˇsen´ı. Vˇ eta 51 (Teor´ em rozˇ s´ıˇ ren´ı). Necht’ i = hf1 , ..., fs i ⊂ C [x1 , ..., xn ] a necht’ i1 je prvn´ı i eliminaˇcn´ı ideál i. Pro kaˇzdé i; 1 ≤ i ≤ s p´ıˇseme fi ve tvaru fi = gi (x2 , ..., xn )xN yrazy, 1 + v´ kde x1 má stupeˇ n < Ni , kde Ni ≥ 0, gi ∈ C [x2 , ..., xn ] je nenulový. Pˇredpokládejme, ˇze máme parciáln´ı ˇreˇsen´ı (a2 , ..., an ) ∈ V (i1 ). Jestliˇze (a2 , ..., an ) ∈ / V (g1 , ..., gs ), pak existuje a1 ∈ C tak, ˇze (a1 , ..., an ) ∈ V (i). Vˇeta je definována pro k = C. Ukaˇzme si následuj´ıc´ı pˇr´ıklad. Pˇr´ıklad: Necht’ k = R. Mˇejme soustavu rovnic x2 = y, x2 = z. Eliminujeme x a dostaneme rovnici y = z a tedy parciáln´ı ˇreˇsen´ı jsou (a, a); ∀a ∈ R. Pokud k = C, pak m˚ uˇzeme z rovnic ihned dopoˇc´ıtat u ´plná ˇreˇsen´ı soustavy. Rozˇs´ıˇrit ˇreˇsen´ı na u ´plná ˇreˇsen´ı nad R nˇekdy nelze. V naˇsem pˇr´ıpadˇe x = a2 nastává problém pro a < 0, kdy rovnice nemá ˇreˇsen´ı. Odtud vid´ıme, ˇze pˇredchoz´ı vˇeta neplat´ı pro k = R. Tvrzen´ı 52. Necht’ i = hf1 , ..., fs i ⊂ C [x1 , ..., xn ] a pˇredpokládejme, ˇze pro nˇejaké i je fi tvaru fi = cxN yraz, kde x1 má stupeˇ n < N , kde c ∈ C je nenulové a N > 0. 1 + v´ Jestliˇze i1 je prvn´ı eliminaˇcn´ı ideál i a (a2 , ..., an ) ∈ V (i1 ), pak existuje a1 ∈ C tak, ˇze (a1 , ..., an ) ∈ V (i). Pˇr´ıklad: Mˇejme soustavu rovnic x2 + 2y 2 = 3 x2 + xy + y 2 = 3 Redukovaná Gröbnerova báze ideálu i = hx2 + 2y 2 − 3, x2 + xy + y 2 − 3i vzhledem k lexikografickému uspoˇra´dán´ı pro x > y je G = {y 3 − y, xy − y 2 , x2 + 2y 2 − 3}. Prvn´ı eliminaˇcn´ı ideál i1 = i ∩ k [x] = hg1 i = hy 3 − yi. Koˇreny g1h jsou y1i=h 0, y2 = 1, y3 = −1. Po√ i √ stupnˇe dosad´ıme do zadán´ı a z´ıskáme tak u ´plná ˇreˇsen´ı − 3, 0 , 3, 0 , [1, 1] , [−1, −1]. T´ımto jsme z´ıskali ˇctyˇri pˇresná ˇreˇsen´ı soustavy rovnic.

2.3.2. Implicitizace Implicitizace znamená pˇrevod parametrického vyjádˇren´ı afinn´ıch variet na implicitn´ı vyjádˇren´ı. Implicitizaci m˚ uˇzeme ˇreˇsit pomoc´ı Gröbnerov´ ych báz´ı pˇri pouˇzit´ı lexikografického uspoˇra´dán´ı. 16

2. KOMUTATIVNÍ ALGEBRA Nejdˇr´ıve uved’me parametrizaci zadanou pomoc´ı polynom˚ u, tzv. polynomickou parametrizaci. M˚ uˇzeme ji vyjádˇrit ve tvaru

x1 = f1 (t1 , ..., tm ), .. . xn = fn (t1 , ..., tm ), kde f1 , ..., fn jsou polynomy v k [t1 , ..., tm ]. Geometricky pˇredstavuje soustava zobrazen´ı F : k m → k n definované F (t1 , ..., tm ) = (f1 (t1 , ..., tm ), ..., fn (t1 , ..., tm )). Poté F (k m ) ⊂ k n . Jelikoˇz F (k m ) nemus´ı b´ yt afinn´ı varietou, ˇreˇsen´ım pˇrevodu parciáln´ıho vyjádˇren´ı na implicitn´ı je nalézt nejmenˇs´ı variety obsahuj´ıc´ı F (k m ). ´ Ukol implicitizace tedy spoˇc´ıvá ve vylouˇcen´ı parametr˚ u z parametrického vyjádˇren´ı. V´ ysledné rovnice pak obsahuj´ı pouze promˇenné x1 , ..., xn . Eliminaci m˚ uˇzeme provést pomoc´ı v´ ypoˇctu redukované Gröbnerovy báze ideálu i = hx1 − f1 , .., xn − fn i. Vˇ eta 53 (Polynomick´ a implicitizace). Necht’ k je nekoneˇcné pole a F : k m → k n je funkce definovaná polynomickou parametrizac´ı. Necht’ i je ideál i = hx1 − f1 , ..., xn − fn i ⊂ k [t1 , ..., tm , x1 , ..., xn ] a necht’ im = i ∩ k [x1 , ..., xn ] je m-tý eliminaˇcn´ı ideál. Pak V (im ) je nejmenˇs´ı varieta v k n obsahuj´ıc´ı F (k m ). Pˇr´ıklad: Uvaˇzujme kˇrivku zadanou parametricky x = t, y = t2 , z = t3 . Plochu teˇcen kˇrivky pak m˚ uˇzeme vyjádˇrit ve tvaru x = t + u, y = t2 + 2tu, z = t3 + 3t2 u. Pouˇzijeme algoritmus na pˇrevod na implicitn´ı vyjádˇren´ı. Dostaneme tak redukovanou Gröbnerovu bázi, z které vybereme takov´ y prvek, kter´ y neobsahuje ani t ani u. V naˇsem pˇr´ıpadˇe je tvaru x3 z − 43 x2 y 2 − 23 xyz + y 3 + 14 z 2 = 0, coˇz je implicitn´ı vyjádˇren´ı dané plochy. Druh´ ym pˇr´ıpadem je racionáln´ı implicitizace. Zde m˚ uˇze nastat pár problém˚ u. 2

2

Pˇr´ıklad: Mˇejme racionáln´ı parametrizaci plochy x = uv , y = vu , z = u. Snadno ovˇeˇr´ıme, ˇze libovoln´ y bod (x, y, z) splˇ nuj´ıc´ı zadán´ı, leˇz´ı na ploˇse x2 y = z 3 . Odstran´ıme zlomky a pˇrevedeme na implicitn´ı vyjádˇren´ı pro ideál i = hvx − u2 , uy − v 2 , z − ui ⊂ k [u, v, x, y, z]. Vyjádˇr´ıme druh´ y eliminaˇcn´ı ideál i2 = i ∩ k [x, y, z] = hz(x2 y − z 3 )i a tedy V (i) = V (x2 y − z 3 ) ∪ V (z). Odtud vid´ıme, ˇze do v´ ysledku se pˇridala celá rovina z = 0 a tedy V (i2 ) nen´ı nejmenˇs´ı varietou obsahuj´ıc´ı danou parametrizaci. Tento problém nastává kv˚ uli odstranˇen´ı zlomk˚ u, které mus´ıme provést lépe, zajiˇstˇen´ım nenulovosti jmenovatel˚ u. Ideál i m˚ uˇzeme upravit tak, ˇze do nˇej pˇridáme jednu promˇennou a jednu rovnici, která zajist´ı nenulovost jmenovatel˚ u. Ideál i tedy nahrad´ıme ideálem j = hvx − u2 , uy − v 2 , z − u, 1 − w(uv)i ⊂ k [w, u, v, x, y, z], kde rovnice 1 − w(uv) = 0 zajiˇst’uje nenulovost u, v ve vˇsech bodech V (j). Tˇret´ı eliminaˇcn´ı ideál je tvaru j3 = j ∩ k [x, y, z] = hx2 y − z 3 i.

17

ˇ Í TEORIE 2.3. ELIMINACN Racionáln´ı parametrizaci m˚ uˇzeme obecnˇe vyjádˇrit ve tvaru x1 =

f1 (t1 , ..., tm ) , g1 (t1 , ..., tm )

.. . xn =

fn (t1 , ..., tm ) , gn (t1 , ..., tm )

kde f1 , g1 , ..., fn , gn jsou polynomy v k [t1 , ..., tm ]. Zobrazen´ı F : k m → k n ale nem˚ uˇzeme dem finovat na celém k , protoˇze mus´ıme vyjmout ty body (t1 , ..., tm ), pro které gi (t1 , ..., tm ) = (t1 ,...,tm ) 0 pro nˇejaké i. Oznaˇc´ıme W = V (g1 , ..., gn ) ⊂ k m , pak F (t1 , ..., tm ) = ( fg11 (t ,··· , 1 ,...,tm ) fn (t1 ,...,tm ) ) gn (t1 ,...,tm )

definuje zobrazen´ı F : k m − W → k n . C´ıl je nalézt nejmenˇs´ı varietu v k n obsahuj´ıc´ı F (k m − W ). Vˇ eta 54 (Racion´ aln´ı implicitizace). Necht’ k je nekoneˇcné pole a F : k m − W → k n je funkce definovaná racionáln´ı parametrizac´ı. Necht’ j je ideál j = hg1 x1 − f1 , ..., gn xn − fn , 1 − gyi ⊂ k [y, t1 , ..., tm , x1 , ..., xn ], kde g = g1 g2 ...gn , necht’ jm+1 = j ∩ k [x1 , ..., xn ] je (m + 1)-n´ı eliminaˇcn´ı ideál. Pak V (jm+1 ) je nejmenˇs´ı varieta v k n obsahuj´ıc´ı F (k m − W ). Tato vˇeta ukazuje, jak se racionáln´ı parametrizace pˇrevede na implicitn´ı vyjádˇren´ı. Odstran´ıme zlomky vynásoben´ım i-té rovnice funkc´ı gi a t´ım, ˇze pˇridáme rovnici 1 − g1 ...gn y = 0 zajist´ıme nenulovost g1 , ..., gn na dané varietˇe. Poté vypoˇcteme redukovanou Gröbnerovu bázi ideálu j vzhledem k lexikografickému uspoˇra´dán´ı pro y > t1 > ˇ · · · > tm > x1 > · · · > xn . Cleny Gröbnerovy báze neobsahuj´ıc´ı ˇzádnou z promˇenn´ ych tj , ti definuj´ı implicitn´ı vyjádˇren´ı afinn´ı variety. 2

3at 3at redcházePˇr´ıklad: Mˇejme parametrické vyjádˇren´ı Descartova listu x = 1+t 3 , y = 1+t3 . Pˇ j´ıc´ım algoritmem dostaneme ideál i = hx(1 + t3 ) − 3at, y(1 + t3 ) − 3at2 .1 − w(1 + t3 )i ⊂ k [w, t, x, y]. Prvek redukované Gröbnerovy báze neobsahuj´ıc´ı promˇennou w ani promˇennou t je tvaru x3 − 3axy + y 3 = 0, coˇz je implicitn´ı vyjádˇren´ı Descartova listu.

Nyn´ı se pod´ıvejme na dalˇs´ı moˇznosti parametrizace. Po jist´ ych u ´pravách totiˇz m˚ uˇzeme pouˇz´ıt Gröbnerovy báze i pro nalezen´ı implicitn´ıho vyjádˇren´ı nˇekter´ ych afinn´ıch variet, které jsou parametrizovány pomoc´ı goniometrick´ ych funkc´ı. Mus´ıme zavést oznaˇcen´ı pˇr´ısluˇsn´ ych funkc´ı, napˇr. ct = cos t, st = sin t, z ˇcehoˇz vid´ıme, ˇze dostaneme polynomy v promˇenn´ ych ct , st . Dále mus´ıme pˇridat identitu c2t + s2t = 1, jinak bychom mˇeli málo rovnic a nemohli bychom eliminovat vˇsechny parametry. dále uˇz postupujeme stejnˇe jako v pˇredchoz´ıch pˇr´ıkladech. a cos t Pˇr´ıklad: Parametrické vyjádˇren´ı Bernoulliovy lemniskáty je tvaru x = 1+sin 2 t, a cos t sin t y = 1+sin2 t . Necht’ ct = cos t, st = sin t. Poté dostáváme rovnice tvaru x(1 + s2t ) − act = 0, y(1 + s2t ) − act st = 0. K tˇemto rovnic´ım pˇridáme identitu c2t + s2t = 1. Nyn´ı pouˇzijeme algebraického pˇrevodu polynomické parametrizace na implicitn´ı vyjádˇren´ı, jelikoˇz jmenovatel nen´ı nikdy roven nule. Spoˇc´ıtáme redukovanou Gröbnerovu bázi a vybereme opˇet ten prvek, kter´ y neobsahuje ani promˇennou ct ani promˇennou st . V naˇsem pˇr´ıpadˇe je tvaru x4 + 2x2 y 2 − a2 x2 + y 4 + a2 y 2 = 0. Tuto rovnici m˚ uˇzeme pˇrepsat do tvaru 2 2 2 2 2 2 2 (x + y ) − a (x − y ) = 0, coˇz je implicitn´ı vyjádˇren´ı Bernoulliovy lemniskáty.

18

3. KRYPTOGRAFIE

3. Kryptografie 3.1. Multivariaˇ cn´ı kryptosyst´ emy Tato kapitola je inspirována [6]. Podstatnou zmˇenou modern´ıho komunikaˇcn´ıho systému byla revoluˇcn´ı myˇslenka kryptosystému s veˇrejn´ ym kl´ıˇcem. Ta byla poprvé uvedena Diffiem a Hellmanem. Prvn´ı praktická realizace veˇrejného kryptosystému je znám´ y RSA kryptosystém od Rivesta, Shamira a Adlemana. V kryptosystémech s veˇrejn´ ym kl´ıˇcem se kl´ıˇc skládá ze 2 r˚ uzn´ ych ˇcást´ı, veˇrejné a tajné. Veˇrejn´ y kl´ıˇc je dostupn´ y vˇsem a je pouˇz´ıván k zaˇsifrován´ı zprávy nebo k ovˇeˇren´ı autentiˇcnosti elektronického podpisu. Tajn´ y kl´ıˇc je pouˇz´ıván k rozˇsifrován´ı zaˇsifrované zprávy nebo k tvorbˇe elektronického podpisu. Tato asymetrie nám umoˇzn ˇuje bezpeˇcnˇe komunikovat skrz veˇrejn´ y komunikaˇcn´ı kanál bez pˇredchoz´ı zmˇeny tajného kl´ıˇce. Pro symetrické kryptosystémy mus´ı dva lidé, kteˇr´ı spolu chtˇej´ı bezpeˇcnˇe komunikovat, m´ıt stejn´ y (symetrick´ y) kl´ıˇc a oba se mus´ı na tomto kl´ıˇci dohodnout dˇr´ıve, nebo pouˇz´ıvaj´ı protokol na zmˇenu veˇrejn´ ych kl´ıˇc˚ u.

3.1.1. Typy multivariaˇ cn´ıch kryptosyst´ em˚ u Existuj´ıc´ı multivariaˇcn´ı kryptosystémy m˚ uˇzeme rozdˇelit na explicitn´ı kryptosystémy a implicitn´ı kryptosystémy. Oba typy m˚ uˇzeme pouˇz´ıt pro zakódován´ı i pro elektronick´ y podpis. Pro zaˇsifrován´ı mus´ı b´ yt vˇsechna zobrazen´ı invertibiln´ı, abychom z dané zaˇsifrované zprávy mohli jednoznaˇcnˇe naj´ıt zprávu p˚ uvodn´ı. U podpisu hledáme, zda se shoduje s nˇekter´ ym z nˇekolika moˇzn´ ych vzor˚ u. M˚ uˇzeme pouˇz´ıt X = (x1 , ..., xn ) k oznaˇcen´ı klasického souˇradnicového systému v k n , Y = (y1 , ..., ym ) v k m , kde k je vhodné koneˇcné pole. Pro zaˇsifrován´ı pouˇzijeme ´ = (´ X x1 , ..., xń ) k oznaˇcen´ı prvku v k n , kter´ y budeme oznaˇcovat jako neˇsifrovan´ y text m ´ (neˇsifrovaná tajná zpráva) a Y = (´ y1 , ..., y´m ) oznaˇc´ıme prvek v k a nazveme ho zaˇsifrovan´ y text (zaˇsifrovaná tajná zpráva). V pˇr´ıpadˇe elektronického podpisu pouˇzijeme ´ = (´ Y´ = (´ y1 , ..., y´m ) k oznaˇcen´ı prvku v k m jako zprávy a X x1 , ..., xń ) k oznaˇcen´ı prvku n ´ v k , coˇz je elektronick´ y podpis zprávy Y . Explicitn´ı syst´ emy V explicitn´ım multivariaˇcn´ım kryptosystému s veˇrejn´ ym kl´ıˇcem máme zobrazen´ı n m F : k → k takové, ˇze F (x1 , .., xn ) = (F1 (x1 , ..., xn ), ..., Fm (x1 , ..., xn )) = (y1 , ..., ym ) = Y, kde Fi (x1 , ..., xn ) je polynom v x1 , ..., xn . Konstrukce kl´ıˇce pro tento typ systému je následuj´ıc´ı. Nejprve vytvoˇr´ıme zobrazen´ı f : k n → k m takové, ˇze f (x1 , ..., xn ) = (f1 (x1 , ..., xn ), ..., fm (x1 , ..., xn ), kde fi (x1 , ..., xn ) je polynom v x1 , ..., xn a rovnice f (x1 , ..., xn ) = (f1 (x1 , ..., xn ), ..., fm (x1 , ..., xn )) = (a1 , ..., am ) 19

ˇ Í KRYPTOSYSTEMY ´ 3.1. MULTIVARIACN je jednoduˇse ˇreˇsitelná. Jin´ ymy slovy snadno najdeme pˇredobraz f . Oznaˇcme f −1 hledán´ı pˇredobrazu. Pak F zkonstruujeme jako F = L1 ◦ f ◦ L2 ,

(3.1)

kde L1 je náhodnˇe vybrané afinn´ı invertibiln´ı lineárn´ı zobrazen´ı z k m do k m , L1 (x1 , ..., xm ) = X × A1 + C1 , A1 je m × m invertibiln´ı matice a C1 ∈ k m , L2 je (afinn´ı) invertibiln´ı lineárn´ı zobrazen´ı z k n do k n , L2 (x1 , ..., xn ) = X × A2 + C2 , A2 je n × n invertibiln´ı matice a C2 ∈ k n . V tomto pˇr´ıpadˇe se veˇrejn´ y kl´ıˇc skládá z m polynom˚ u F a struktury pole k. Tajn´ y kl´ıˇc se skládá pˇreváˇznˇe z L1 a L2 . Idea kl´ıˇce je, ˇze L1 , L2 slouˇz´ı ke skryt´ı zobrazen´ı f , které je snadno ˇreˇsitelné. V nˇekter´ ych systémech m˚ uˇze b´ yt funkce f známá, kdeˇzto v ostatn´ıch ´ spoˇc´ıtáme F (X). ´ K rozˇsifrován´ı systémech je f tajná. Za u ´ˇcelem zaˇsifrován´ı zprávy X zprávy Y´ mus´ıme vyˇreˇsit rovnici F (x1 , ..., xn ) = Y´ .

(3.2)

V pˇr´ıpadˇe elektronického podpisu, k podepsán´ı zprávy Y´ mus´ıme vyˇreˇsit rovnici (3.2), ´ K ovˇeˇren´ı legitimity podpisu potˇrebujeme zkontrolovat, zda je jej´ıˇz ˇreˇsen´ı oznaˇc´ıme X. splnˇeno F (´ x1 , ..., xń ) = Y´ . Dle tohoto postupu vid´ıme, ˇze m˚ uˇzeme naj´ıt pˇredobraz Y´ aplikac´ı (L1 )−1 , f −1 , (L2 )−1 . Implicitn´ı syst´ emy V implicitn´ım multivariaˇcn´ım kryptosystému s veˇrejn´ ym kl´ıˇcem máme mnoˇzinu l polynom˚ u tvaru H(X, Y ) = H(x1 , ..., xn , y1 , ..., ym ) = (H1 (x1 , ..., xn , y1 , ..., ym ), ..., Hl (x1 , ..., xn , y1 , ..., ym )) = (0, ..., 0),

(3.3)

kde Hi (x1 , ..., xn , y1 , ..., ym ) je polynom v x1 , ..., xn , y1 , ..., ym . Pˇri konstrukci kl´ıˇce nejdˇr´ıve zkonstruujeme rovnice tvaru h(X, Y ) = h(x1 , ..., xn , y1 , ..., ym ) = (h1 (x1 , ..., ym ), ..., hl (x1 , ..., ym )) = (0, ..., 0), kde hi (x1 , ..., ym ) je polynom v x1 , ..., ym . Mus´ıme splnit následuj´ıc´ı dva poˇzadavky ´ lze snadno vyˇreˇsit rovnice • Pro dan´ y prvek X h(´ x1 , ..., xń , y1 , ..., ym ) = (0, ..., 0),

(3.4)

jej´ıˇz ˇreˇsen´ı oznaˇc´ıme Y´ = (´ y1 , ..., y´m ) a • pro dan´ y prvek Y´ lze snadno vyˇreˇsit rovnice h(x1 , ..., xn , y´1 , ..., y´m ) = (0, ..., 0),

(3.5)

´ = (´ jej´ıˇz ˇreˇsen´ı oznaˇc´ıme X x1 , ..., xń ). Ve vˇetˇsinˇe pˇr´ıpadech je (3.4) ve skuteˇcnosti mnoˇzina lineárn´ıch rovnic a (3.5) je mnoˇzina speciálnˇe zkonstruovan´ ych nelineárn´ıch rovnic. Rovnici H poté zkonstruujeme jako H = L3 ◦ h(L2 (X), L1 (Y )) = (0, ..., 0), 20

3. KRYPTOGRAFIE ke L1 , L2 jsou definovány stejnˇe jako v explicitn´ım pˇr´ıpadˇe a L3 je invertibiln´ı lineárn´ı zobrazen´ı z k l do k l . ´ X ´ vstupuje do rovnic (3.4). Pak ˇreˇs´ıme rovnici Pro ˇsifrován´ı zprávy X, ´ Y ) = H(x1 , ..., xn , y1 , ..., yn ) = (0, ..., 0), H(X, a ˇreˇsen´ı oznaˇc´ıme Y´ , coˇz je zaˇsifrovaná zpráva, tedy ˇsifrovan´ y text. ´ ´ ¯ ´ Pˇri rozˇsifrován´ı zprávy Y mus´ıme nejdˇr´ıve spoˇc´ıtat Y = L−1 ridáme Y¯´ do 2 (Y ), pak pˇ rovnic (3.5). Následnˇe ˇreˇs´ıme rovnici h(X, Y´¯ ) = h(x1 , ..., xn , y´¯1 , ..., y´¯m ) = (0, ..., 0), ˇreˇsen´ı oznaˇc´ıme y´¯. Neˇsifrovan´ y text je dán Y´ = (L2 )−1 (y´¯). Pro elektronick´ y podpis, tedy k podepsán´ı zprávy Y´ mus´ıme proj´ıt deˇsifrovac´ım procesem, abychom naˇsli prvek x´ v k n . K ovˇeˇren´ı pravosti podpisu potˇrebujeme ovˇeˇrit, ˇze H(´ x1 , ..., xń , y´1 , ..., y´m ) = (0, ..., 0). V tomto pˇr´ıpadˇe se veˇrejn´ y kl´ıˇc skládá z polynom˚ u v H a struktury pole k. Tajn´ y kl´ıˇc se skládá pˇredevˇs´ım z L1 , L2 , L3 . Myˇslenkou kl´ıˇce je opˇet ukryt´ı rovnice h(X, Y ) = 0, která m˚ uˇze b´ yt snadno ˇreˇsitelná pro danou hodnotu Y . Ukryt´ı realizujeme pomoc´ı L1 , L2 , L3 .

3.1.2. Z´ akladn´ı bezpeˇ cnost Nejd˚ uleˇzitˇejˇs´ım faktorem pro multivariaˇcn´ı kryptosystémy je jejich bezpeˇcnost a efektivita. Prodiskutujeme základn´ı aspekty tˇechto poˇzadavk˚ u v kontextu zaˇsifrovac´ıch systém˚ u. n m n V kaˇzdém ˇsifrovac´ım procesu pouˇz´ıváme zobrazen´ı z k do k na prvek v k . V rozˇsifrovac´ım procesu hledáme jeho “inverzi”, tedy ˇreˇs´ıme rovnici (3.2). To znamená, ˇze rovnice (3.2) mus´ı b´ yt obt´ıˇznˇe ˇreˇsitelná. Má-li zaˇsifrován´ı inverzi, kterou m˚ uˇzeme vyjádˇrit jako polynomické zobrazen´ı, pak mus´ıme zabezpeˇcit, aby toto inverzn´ı zobrazen´ı bylo velmi vysokého stupnˇe, jinak by kdokoli mohl pouˇz´ıt veˇrejn´ y kl´ıˇc ke generován´ı dostateˇcného poˇctu pár˚ u ˇsifrovan´ ych a neˇsifrovan´ ych text˚ u a naj´ıt tak lehce inverzi. Ze samotné konstrukce mus´ıme zajistit, abychom pouze obt´ıˇznˇe faktorizovali zaˇsifrovac´ı zobrazen´ı ve tvaru (3.1). To je obecnˇe obt´ıˇzné, protoˇze faktorizace multivariaˇcn´ıch zobrazen´ı je extrémnˇe tˇeˇzká. Jistˇe je kaˇzd´ y kryptosystém s veˇrejn´ ym kl´ıˇcem urˇcen pro praktické aplikace. To vyˇzaduje, aby byl proces ˇsifrován´ı a deˇsifrován´ı uˇcinn´ y. Veˇrejn´ ym kl´ıˇcem je mnoˇzina multivariaˇcn´ıch polynom˚ u, která mus´ı b´ yt nejprve pˇrenesena a uloˇzena a pak mus´ı b´ yt spoˇcteny hodnoty tˇechto polynom˚ u. Tedy tyto polynomy Fi mus´ı b´ yt malého stupnˇe (ale ne lineárn´ı, jinak by byl systém nepouˇziteln´ y). Tedy nejlepˇs´ı volbou jsou kvadratické polynomy.

3.1.3. Explicitn´ı syst´ emy Triangul´ arn´ı kryptosyst´ emy Triangulárn´ı kryptosystémy vynalezli Diffie a Fell. Jejich myˇslenka byla vytvoˇrit kryptosystém uˇzit´ım skládán´ı mnoha invertibiln´ıch lineárn´ıch zobrazen´ı a triangulárn´ıch zobrazen´ı tvaru T (x1 , ..., xn ) = (x1 + g(x2 , ..., xn ), x2 , ..., xn ), (3.6)

21

ˇ Í KRYPTOSYSTEMY ´ 3.1. MULTIVARIACN kde gi je polynom. Zˇrejmˇe T je invertibiln´ı a nav´ıc m˚ uˇze b´ yt aplikován proces rozˇsifrován´ı. Vid´ıme, ˇze nen´ı ˇza´dn´ y zp˚ usob, jak zkonstruovat systém takov´ y, ˇze je bezpeˇcn´ y a má veˇrejn´ y kl´ıˇc praktické velikosti. Triangulárn´ı zobrazen´ı patˇr´ı k tˇr´ıdˇe de Jonquierèov´ ych zobrazen´ı J(x1 , ..., xn ) = (x1 + g1 (x2 , ..., xn ), x2 + g2 (x3 , ..., xn ), ..., xn−1 + gn−1 (xn ), xn ),

(3.7)

kde gi jsou polynomické funkce. Zˇrejmˇe J je snadno invertovatelná. Vˇsechna invertibiln´ı afinn´ı lineárn´ı zobrazen´ı nad n k a de Jonquierèova zobrazen´ı jsou v algebraické geometrii nazvána krotkou transformac´ı. Krotké transformace jsou prvky grupy automorfismu polynomického okruhu k[x1 , ..., xn ]. Prvky, které jsou v této grupˇe a nejsou krotké, jsou oznaˇceny jako divoké. Vid´ıme, ˇze de Jonquierèova zobrazen´ı jsou dvoj´ıho typu, horn´ı triangulace a doln´ı triangulace. Konstrukce kvadratického zobrazen´ı f je dána f = Ju ◦ Jl ◦ I(x1 , ..., xn ).

(3.8)

Zde Ju je horn´ı triangulárn´ı de Jonquierèovo zobrazen´ı v k m a Jl doln´ı triangulárn´ı de Jonquierèovo zobrazen´ı v k m a lineárn´ı zobrazen´ı I je vnoˇren´ı k n do k m : I(x1 , ..., xn ) = (x1 , ..., xn , 0, ..., 0). Nejvˇetˇs´ı pˇr´ınos této konstrukce je, ˇze f je kvadratická funkce a ˇze kaˇzdá lineárn´ı kombinace sloˇzek f neprodukuje lineárn´ı funkci. Trik této konstrukce je uˇzit´ı zobrazen´ı I. Vid´ıme, ˇze Jl ◦I(x1 , ..., xn ) = (x1 , x2 +g1 (x1 ), ..., xn +gn−1 (x1 , ..., xn−1 ), gn (x1 , ..., xn ), ..., gm−1 (x1 , ..., xn )), coˇz nám dává volnost ve v´ ybˇeru vˇsech gi , i = n, ..., m−1. Tato metoda je nazvána krotkou transformaˇcn´ı metodou (TTM). Navzdory tomu, ˇze autor tvrdil, ˇze TTM systémy jsou velmi bezpeˇcné pro vˇsechny obvyklé u ´toky, krátce na to Curtois a Goubin uˇzili Minrank metodu na u ´tok na tento systém. Tato metoda vyhledává matice nejniˇzˇs´ı hodnosti z prostoru lineárn´ıho z nˇekolika dan´ ych matic. Na TTM kryptosystémy m˚ uˇzeme také pouˇz´ıt Patarinovu linearizaˇcn´ı metodu. Matsumoto-Imai syst´ emy Dalˇs´ı myˇslenku, jak zkonstruovat multivariaˇcn´ı kryptosystémy, pˇredloˇzili Matsumoto ¯ stupnˇe rozˇs´ıˇren´ı a Imai. Zde ideou kl´ıˇce je uˇz´ıt zobrazen´ı f¯ nad rozˇs´ıˇren´ ym polem K ¯ jako k n , poté idenn koneˇcného pole k (s charakteristikou 2). Zobrazen´ı φ identifikuje K tifikuje toto zobrazen´ı jako multivariaˇcn´ı polynomické zobrazen´ı f : k n → k n : f = φ ◦ f¯ ◦ φ−1 .

(3.9)

Pak m˚ uˇzeme “skr´ yt” toto zobrazen´ı f skládán´ım obou stran rovnice dvˇema invertibiln´ımi afinn´ımi lineárn´ımi zobrazen´ımi L1 , L2 v k n . Zobrazen´ı f¯ je navrˇzeno Matsumotem a Imaiem jako zobrazen´ı i f : X 7→ X 1+q , (3.10) ¯ k je charakteristiky 2 tak, ˇze GCD(1−q i , q n −1) = kde q je poˇcet prvk˚ u v k, X je prvek K, 1. Posledn´ı podm´ınka zajist´ı, ˇze zobrazen´ı f¯ lze jednoduˇse invertovat. Inverze zobrazen´ı f¯ je dána f¯−1 (X) = X t , (3.11)

22

3. KRYPTOGRAFIE kde t(1 + q i ) = 1 mod (q n − 1). To zajist´ı, ˇze m˚ uˇzeme rozˇsifrovat kaˇzdou tajnou zprávu jednoduˇse pomoc´ı inverze. D˚ uleˇzité je, ˇze f je kvadratické, dle vlastnosti Frobeniova zobi razen´ı X 7→ X q . Metoda skryt´ eho pole rovnic (HFE) Tato metoda je navrˇzena Patarinem jako nejsilnˇejˇs´ı metoda. V tomto pˇr´ıpadˇe je rozd´ıl oproti p˚ uvodn´ımu Matsumoto-Imai systému ten, ˇze f¯ je nahrazeno obecnˇejˇs´ım zobrazen´ım f¯ : X 7→

A X

i

j

aij X q +q +

i,j

A X

i

bi X q + C,

(3.12)

i

kde koeficienty jsou vybrány náhodnˇe. Proces rozˇsifrován´ı zahrnuje ˇreˇsen´ı rovnic f¯ = Y´ pro X.

3.1.4. Implicitn´ı syst´ emy Implicitn´ı systémy nejsou tak rozˇs´ıˇrené jako explicitn´ı. Existuj´ı dvˇe tˇr´ıdy implicitn´ıch systém˚ u nazvané Mal´ y drak a Drak. Mal´ y drak je zjednoduˇsená verze draka. Tyto konstrukce jsou inspirovány linearizac´ı rovnic a kryptosystémy Matsumoto-Imai jsou v podstatˇe kombinac´ı tˇechto dvou myˇslenek.

3.2. Algoritmy 3.2.1. Buchberger˚ uv algoritmus Buchberger˚ uv algoritmus Pˇr´ıklad: Uvaˇzujme pole k [x, y] se stupˇ novan´ ym lexikografick´ ym uspoˇrádán´ım a necht’ 3 2 2 i = hf1 , f2 i = hx − 2xy, x y − 2y + xi. Poznamenejme, ˇze {f1 , f2 } nen´ı Gröbnerova báze i, protoˇze LT (S(f1 , f2 )) = −x2 ∈ / hLT (f1 ), LT (f2 )i. Pro vytvoˇren´ı Gröbnerovy báze vyvstává pˇrirozená myˇslenka zkusit nejdˇr´ıve rozˇs´ıˇrit p˚ uvodn´ı generuj´ıc´ı mnoˇzinu pˇridán´ım v´ıce polynom˚ u do i. V urˇcitém smyslu nám to nedá nic nového, pouze to pˇrináˇs´ı redundanci do báze i. Otázkou je, které dalˇs´ı generátory mus´ıme do generuj´ıc´ı mnoˇziny pˇridat. Pro S-polynom S(f1 , f2 ) = −x2 ∈ / i je zbytek po dˇelen´ı F = {f1 , f2 } roven −x2 , coˇz nen´ı rovno nule a tud´ıˇz ho pˇridáme do generuj´ıc´ı mnoˇziny a oznaˇc´ıme ho f3 . Poté ovˇeˇr´ıme, zda F = {f1 , f2 , f3 } je jiˇz Gröbnerova báze. Tedy spoˇc´ıtáme vˇsechny S-polynomy. F S(f1 , f2 ) = f3 ⇒ S(f1 , f2 ) = 0 F S(f1 , f3 ) = (x3 − 2xy) − (−x)(−x2 ) = −2xy ⇒ S(f1 , f3 ) = −2xy 6= 0. Do generuj´ıc´ı mnoˇziny tedy pˇridáme f4 = −2xy. Pokraˇcujeme dále v ovˇeˇren´ı F F S(f1 , f2 ) = S(f1 , f3 ) = 0 F S(f1 , f4 ) = −2xy 2 = yf4 ⇒ S(f1 , f4 ) = 0 F S(f2 , f3 ) = −2y 2 + x ⇒ S(f2 , f3 ) = −2y 2 + x 6= 0. Mus´ıme tedy opˇet rozˇs´ıˇrit generuj´ıc´ı mnoˇzinu o f5 = −2y 2 + x a nyn´ı se jiˇz snadno ovˇeˇr´ı, ˇze {f1 , ..., f5 } = {x3 − 2xy, x2 y − 2y 2 + x, −x2 , −2xy, −2y 2 + x} je Gröbnerova báze pro ideál i. 23

3.2. ALGORITMY Vˇ eta 55 (Buchberger˚ uv algoritmus). Necht’ i = hf1 , ..., fs i = 6 {0} je polynomický ideál. Pak Gröbnerova báze pro i m˚ uˇze být zkonstruována v koneˇcném poˇctu krok˚ u následuj´ıc´ıho algoritmu INPUT: F = hf1 , ..., fs i OUTPUT: Gröbnerova báze G = (g1 , ..., gt ) ideálu i, kde F ⊂ G G := F REPEAT e := G G e DO FOR kaˇzdou dvojici {p, q} ; p 6= q v G e G

S := S(p, q) IF S 6= 0 THEN G := G ∪ {S} e UNTIL G = G Gröbnerova báze spoˇc´ıtaná uˇzit´ım Buchbergerova algoritmu je ˇcasto vˇetˇs´ı, neˇz je nezbytné. Pˇrebyteˇcné generátory m˚ uˇzeme eliminovat uˇzit´ım následuj´ıc´ıho faktu. Lemma 56. Necht’ G je Gröbnerova báze polynomického ideálu i. Necht’ p ∈ G je polynom splˇ nuj´ıc´ı hLT (p)i ∈ hLT (G − {p})i. Pak G − {p} je také Gröbnerova báze ideálu i. D˚ ukaz. V´ıme, ˇze hLT (G)i = hLT (i)i. Jestliˇze LT (p) ∈ hLT (G − {p})i, pak dostáváme hLT (G − {p})i = hLT (G)i. Podle definice plyne, ˇze G−p je také Gröbnerova báze ideálu i. Definice 57. Minimáln´ı Gröbnerova báze polynomického ideálu i je Gröbnerova báze G splˇ nuj´ıc´ı i) LC(p) = 1; ∀p ∈ G ii) ∀p ∈ G; LT (p) ∈ / hLT (G − {p})i. Minimáln´ı Gröbnerovu bázi daného nenulového ideálu tedy sestroj´ıme uˇzit´ım Buchbergerova algoritmu a následn´ ym pouˇzit´ım pˇredeˇslého lemmatu. Pˇr´ıklad: Vzhledem ke stupˇ novanému lexikografickému uspoˇra´dán´ı jsme jiˇz spoˇcetli, ˇze Gröbnerova báze {f1 , ..., f5 } = {x3 − 2xy, x2 y − 2y 2 + x, −x2 , −2xy, −2y 2 + x}. Vid´ıme, ˇze nˇekteré hlavn´ı koeficienty jsou r˚ uzné od 1, tud´ıˇz mus´ıme generátory vynásobit vhodn´ ymi konstantami. Do minimáln´ı Gröbnerovy báze pak nezaˇrad´ıme polynom f1 , jelikoˇz LT (f1 ) = x3 = −xLT (f3 ). Podobnˇe ani f2 nebude ˇclenem Gröbnerovy báze, jelikoˇz LT (f2 ) = x2 y = y pˇr´ıpad, kdy hlavn´ı ˇclen generátoru dˇel´ı − 21 xLT (f4 ). Dále jiˇz nenalezneme dalˇs´ı podobn´ hlavn´ı ˇclen jiného generátoru. Dostáváme tak minimáln´ı Gröbnerovu bázi tvoˇrenou polynomy fc3 = x2 , fc4 = xy, fc5 = y 2 − 21 x. Ideál uveden´ y v pˇredchoz´ım pˇr´ıpadˇe m˚ uˇze m´ıt v´ıce minimáln´ıch Gröbnerov´ ych báz´ı 2 f f c f c (napˇr. f3 = x +axy, f4 = f4 , f5 = f5 ). Tedy m˚ uˇze existovat i nekoneˇcn´ y poˇcet minimáln´ıch Gröbnerov´ ych báz´ı. Um´ıme ale vybrat takovou bázi, která je v urˇcitém smysle lepˇs´ı, neˇz báze zb´ yvaj´ıc´ı. Definice 58. Redukovaná Gröbnerova báze polynomického ideálu i je Gröbnerova báze G taková, ˇze i) LC(p) = 1; ∀p ∈ G ii) ∀p ∈ G, ˇza´dn´ y monom p neleˇz´ı v hLT (G − {p})i. 24

3. KRYPTOGRAFIE Tvrzen´ı 59. Necht’ i 6= {0} je polynomický ideál. Pak pro dané monomické uspoˇrád´ an´ı má i jedinou redukovanou Gröbnerovu bázi. Uved’me nyn´ı pˇr´ıklad, kter´ y demonstruje souvislost Buchbergerova algoritmu a Gaussovy eliminaˇcn´ı metody. Pˇr´ıklad: Mˇejme soustavu rovnic 3x − 6y − 2z = 0 2x − 4y + 4w = 0 x − 2y − z − w = 0 Pouˇzijeme Gaussovu eliminaci na matici koeficient˚ u soustavy a dostaneme tvar 



1 −2 −1 −1  0 0 1 3    0 0 0 0 Abychom z´ıskali redukovanou matici, mus´ı b´ yt kaˇzdá hlavn´ı jedniˇcka jedinou nenulovou hodnotou ve sloupci. Tedy dostáváme matici 



1 −2 0 2    0 0 1 3  0 0 0 0 Necht’ i = h3x − 6y − 2z, 2x − 4y + 4w, x − 2y − z − wi ⊂ k [x, y, z, w] je ideál odpov´ıdaj´ıc´ı zadané soustavˇe lineárn´ıch rovnic. Minimáln´ı gröbnerova báze vzhledem k lexikografickému uspoˇrádán´ı x > y > z > w je tvaru i = hx − 2y − z − w, z + 3wi, coˇz odpov´ıdá prvn´ı matici. Redukovaná Gröbnerova báze ideálu i je tvaru i = hx − 2y + 2w, z + 3wi, coˇz odpov´ıdá druhé matici. Vylepˇ sen´ı Buchbergerova algoritmu Základn´ı Buchberger˚ uv algoritmus je poˇcetnˇe dosti nároˇcn´ y a to pˇredevˇs´ım v´ ypoˇcet ’ S-polynomu a následné dˇelen´ı, pˇri kterém zjiˇst ujeme zbytek po dˇelen´ı prvky báze. Proto se nyn´ı budeme vˇenovat tomu, jak tento algoritmus vylepˇsit a zkrátit tak dobu v´ ypoˇctu. Snahou je naj´ıt takové S-polynomy, které nemus´ıme pˇri dˇelen´ı uvaˇzovat. Definice 60. Mˇejme monomické uspoˇra´dán´ı a necht’ G = {g1 , ..., gt } ⊂ k [x1 , ..., xn ]. Je dán f ∈ k [x1 , ..., xn ], ˇrekneme, ˇze f se redukuje na nulu modulo G a znaˇc´ıme f − → 0, G pokud f m˚ uˇzeme zapsat ve tvaru f = a1 g1 + · · · + at gt , jeli ai gi 6= 0, pak máme multideg(f ) ≥ multideg(ai gi ). Vztah mezi redukc´ı na nulu modulo G a algoritmem dˇelen´ı mnoˇzinou polynom˚ u G popisuje následuj´ıc´ı lemma. Lemma 61. Necht’ G = (g1 , ..., gt ) je uspoˇrádaná mnoˇzina prvk˚ u k [x1 , ..., xn ] a je d´ an G f ∈ k [x1 , ..., xn ]. Pak f = 0 ⇒ f − → 0. Obrácené tvrzen´ı obecnˇe neplat´ı. G

25

3.2. ALGORITMY Vˇ eta 62. Báze G = {g1 , ..., gt } ideálu i je Gröbnerova báze právˇe tehdy, kdyˇz S(gi , gj ) − →0 G pro ∀i, j; i 6= j. Tvrzen´ı 63. Je dána koneˇcná mnoˇzina G ⊂ k [x1 , ..., xn ], pˇredpokládejme, ˇze máme f, g ∈ G tak, ˇze LCM (LM (f ), LM (g)) = LM (f )LM (g). Potom S(f, g) − → 0. G

Pˇr´ıklad: Mˇejme G = hyz + y, x3 + y, z 4 i se stupˇ novan´ ym lexikografick´ ym uspoˇrádán´ım na k [x, y, z]. Pak S(x3 + y, z 4 ) − → 0 podle pˇredchoz´ıho tvrzen´ı. Avˇsak uˇzit´ım algoritmu G

dˇelen´ı, je jednoduché ukázat, ˇze S(x3 + y, z 4 ) = yz 4 = (z 2 − z 2 + z − 1)(yz + y) + y takˇze G S(x3 + y, z 4 ) = y 6= 0. Definice 64. Necht’ F = (f1 , ..., fs ). Spˇraˇzen´ı hlavn´ıch ˇclen˚ u LT (f1 ), ..., LT (fs ) je s-tice P polynom˚ u S = (h1 , ..., hs ) ∈ (k [x1 , ..., xn ])s taková, ˇze si=1 hi LT (fi ) = 0. Necht’ S(F ) je podmnoˇzina (k [x1 , ..., xn ])s obsahuj´ıc´ı vˇsechna spˇraˇzen´ı hlavn´ıch ˇclen˚ u F. Napˇr´ıklad pro F = (x, x2 + z, y + z) definuje trojice S = (−x + y, 1, −x) jedno moˇzné spˇraˇzen´ı ze S(F ), jelikoˇz plat´ı (−x + y)LT (x) + 1LT (x2 + z) + (−x)LT (y + z) = 0 Necht’ ei = (0, ..., 0, 1, 0, ..., 0) jsou vektory, které maj´ı jedniˇcku na i-tém m´ıstˇe. Potom P spˇraˇzen´ı S ∈ S(F ) m˚ uˇzeme zapsat ve tvaru S = si=1 hi ei . Jako pˇr´ıklad m˚ uˇzeme uvaˇzovat spˇraˇzen´ı pro S-polynomy. Pro kaˇzdou dvojici {fi , fj } ⊂ F , kde i < j a xγ je nejmenˇs´ı γ γ spoleˇcn´ y násobek hlavn´ıch ˇclen˚ u polynom˚ u fi , fj . Oznaˇcme Sij = LTx(fi ) ei − LTx(fj ) ej . Potom Sij patˇr´ı do S(F ). Jelikoˇz S(F ) má koneˇcnou bázi, kaˇzdé S ∈ S(F ) m˚ uˇzeme vyjádˇrit jako lineárn´ı kombinaci bázov´ ych spˇraˇzen´ı s polynomick´ ymi koeficienty. Definice 65. Prvek S ∈ S(F ) je homogenn´ı stupnˇe α, kde α ∈ Nn0 , pokud S = (c1 xα(1) , ..., cs xα(s) ), kde ci ∈ k a α(i) + multideg(fi ) = α pro i taková, ˇze ci 6= 0. Lemma 66. Kaˇzdý prvek S(F ) lze vyjádˇrit jednoznaˇcnˇe jako sumu homogenn´ıch prvk˚ u z S(F ). Tvrzen´ı 67. Dáno F = (f1 , ..., fs ), kaˇzdé spˇraˇzen´ı S ∈ S(F ) m˚ uˇzeme zapsat jako S = P raˇzen´ı Sij je definováno jako dˇr´ıve. i<j uij Sij , kde uij ∈ k [x1 , ..., xn ] a spˇ Pˇr´ıklad: F = (x2 y 2 +z, xy 2 −y, x2 y+yz), pouˇzijeme lexikografické uspoˇrádán´ı s x > y > z. Dostaneme S12 = (1, −x, 0), S13 = (1, 0, −y), S23 = (0, x, −y). Je vidˇet, ˇze S23 = S13 − S12 . Spˇraˇzen´ı S23 je tedy nadbyteˇcné, jelikoˇz ho m˚ uˇzeme z´ıskat jako lineárn´ı kombinaci S12 a S13 . Bázi spˇraˇzen´ı tedy tvoˇr´ı {S12 , S13 }. Vˇ eta 68. Báze G = (g1 , ..., gt ) ideálu i je Gröbnerova báze právˇe tehdy, kdyˇz pro kaˇzdý P prvek S = (h1 , ..., ht ) v homogenn´ı bázi pro spˇraˇzen´ı S(G), máme SG = ti=1 hi gi − → 0. G

Tvrzen´ı 69. Je dáno G = (g1 , ..., gt ), pˇredpokládejme, ˇze S ⊂ {Sij ; 1 ≤ i < j ≤ t} je báze S(G). Nav´ıc pˇredpokládejme, ˇze máme r˚ uzné prvky gi , gj , gk ∈ G takové, ˇze LT (gk ) dˇel´ı LCM (LT (gi ), LT (gj )). Jestliˇze Sik , Sjk ∈ S, pak S − {Sij } je také báze S(G). Zavedeme znaˇcen´ı [i, j]

26

 (i, j)

pro i < j (j, i) pro i > j

3. KRYPTOGRAFIE Vˇ eta 70. Necht’ i = hf1 , ..., fs i je polynomický ideál. Pak Gröbnerova báze pro i m˚ uˇze být zkonstruována v koneˇcnˇe mnoha kroc´ıch dle následuj´ıc´ıho algoritmu INPUT: F = hf1 , ..., fs i OUTPUT: Gröbnerova báze G = (g1 , ..., gt ) ideálu i = hf1 , ..., fs i {inicializace} B := {(i, j); 1 ≤ i < j ≤ s} G := F t := s {iterace} WHILE B 6= 0 DO Vyber (i, j) ∈ B IF LCM (LT (fi ), LT (fj )) 6= LT (fi )LT (fj ) AND NOT Test (fi , fj , B) THEN G S := S(fi , fj ) IF S 6= 0 THEN t := t + 1, ft := S G := G ∪ {ft } B := B ∪ {(i, t); 1 ≤ i ≤ t − 1} B := B − {(i, j)}, kde Test (fi , fj , B) nabývá hodnoty TRUE právˇe tehdy, kdyˇz existuje k ∈ / {i, j} tak, ˇze [i, k] a [j, k] nejsou v B a souˇcasnˇe LT (fk ) dˇel´ı LCM (LT (fi ), LT (fj )).

3.2.2. F4 algoritmus F4 algoritmus se pouˇz´ıvá pro v´ ypoˇcet Gröbnerov´ ych báz´ı. Nahrazuje klasickou polynomickou redukci z Buchbergerova algoritmu soubˇeˇznou redukc´ı nˇekolika polynom˚ u. Tento algoritmus je funkˇcn´ı pro vˇsechna pˇr´ıpustná uspoˇrádán´ı, ale je vhodn´ y pˇredevˇs´ım pro stupˇ nované inverzn´ı lexikografické uspoˇrádán´ı. Matematick´ e znaˇ cen´ı ’ Necht R [x] = R [x1 , ..., xn ] je okruh polynom˚ u. Polynom v n neurˇcit´ ych nad okruhem R je definován jako zobrazen´ı f : Nn0 → R s koneˇcn´ ym nosiˇcem (monom je restrikc´ı yvány ˇcleny f a jepolynomu a má jednoprvkov´ y nosiˇc). Prvky supp f ⊆ Nn0 jsou naz´ jich obrazy v R jsou naz´ yvány koeficienty f . Oznaˇcme M (x1 , ..., xn ) nebo zkrácenˇe M , mnoˇzinu vˇsech monom˚ u v tˇechto promˇenn´ ych. Zvol´ıme monomické uspoˇra´dán´ı < na M . α1 αn Je-li m = x1 ...xn ∈ M , pak maximáln´ı stupeˇ n m je definován jako multideg(m) = Pn ’ α . Necht f ∈ R [x] , f = 6 0, pak T (f ) oznaˇ c ´ ıme mnoˇzinu ˇclen˚ u f . Maximáln´ı stupeˇ n i=1 i f 6= 0 je definován multideg(f ) = max {multideg(m); m ∈ M (f )}. Definujeme hlavn´ı ˇclen LT (f ), hlavn´ı monom LM (f ), hlavn´ı koeficient LC(f ) s ohledem na uspoˇrádán´ı následovnˇe: LT (f ) = max(T (f )), LM (f ) = max(M (f ))), LC(f ) = koeficient u LT (f ). Je-li F podmnoˇzina R [x], pak m˚ uˇzeme definici rozˇs´ıˇrit: LT (F ) = {LT (f ); f ∈ F }, LM (F ) = {LM (f ); f ∈ F }, M (F ) = {M (f ); f ∈ F }. hF i oznaˇcuje ideál generovan´ y F. Necht’ f, g, p ∈ R [x], kde p 6= 0 a necht’ F je koneˇcná podmnoˇzina R [x], pak ˇrekneme, ˇze: • f se redukuje na g modulo p (f ≡ g(mod p)), jestliˇze ∃m ∈ M (f ), ∃s ∈ M takové, a s.p, kde a je koeficient u m v f ˇze s.LM (p) = m, g = f − LC(p)

27

3.2. ALGORITMY • f se redukuje na g modulo P (f ≡ g(mod P )), jestliˇze f ≡ g(mod p) pro nˇejaké p∈P • f je redukovatelné modulo p, jestliˇze existuje g ∈ R [x] tak, ˇze f ≡ g(mod p) • f je redukovatelné modulo P , jestliˇze existuje g ∈ R [x] tak, ˇze f ≡ g(mod P ) • f je top-redukovatelné modulo P , jestliˇze existuje g ∈ R [x] tak, ˇze f ≡ g(mod P ) a LM (g) < LM (f ) ∗

• f = g(mod P ) je reflexivn´ı a tranzitivn´ı uzávˇer f ≡ g(mod P ) • S−polynom f a g je definován: S(f, g) = LC(g)

LCM (LM (f ), LM (g)) LCM (LM (f ), LM (g)) f − LC(f ) g LM (f ) LM (g)

Pˇr´ıklad 1: f = 2x4 + x2 + 2x + 1 ⇒ M (f ) = {x4 , x2 , x, 1} p = x2 + 1 ⇒ LM (p) = x2 , LC(p) = 1 f se redukuje napˇr. na −x2 + 2x + 1, protoˇze: m = x4 , s = x2 , a = 2, coˇz zaruˇc´ı splnˇen´ı podm´ınek x2 .x2 = x4 −x2 + 2x + 1 = 2x4 + x2 + 2x + 1 − 12 x2 (x2 + 1) Najdˇete f, p tak, aby f byl redukovatelný modulo p, ale nebyl top-redukovatelný modulo p. Pˇr´ıklad 2: f = x5 + x3 + 2x + 2 ⇒ M (f ) = {x5 , x3 , x, 1} p = x ⇒ LM (p) = x, LC(p) = 1 s.LM (p) = m 1.x = x ⇒ a = 2 g = x5 + x3 + 2x + 2 − 12 x = x5 + x3 + 2 V´ıcerozmˇerné pˇr´ıklady: Pˇr´ıklad 3: f = 2x2 y 2 z 2 − 2x2 yz 2 + 3x2 yz + 4xyz − 2xy + 4xz + 5x + 2y + 3z + 2 ⇒ M (f ) = {x2 y 2 z 2 , x2 yz 2 , x2 yz, xyz, xy, xz, x, y, z, 1} p = 2xyz + xy + z + 2 ⇒ LM (p) = xyz, LC(p) = 2 s.LM (p) = m xyz.xyz = x2 y 2 z 2 ⇒ a = 2 g = 2x2 y 2 z 2 −2x2 yz 2 +3x2 yz+4xyz−2xy+4xz+5x+2y+3z+2− 22 xyz.(2xyz+xy+z+2) = −x2 y 2 z − 2x2 yz 2 + 3x2 yz − xyz 2 + 2xyz − 2xy + 4xz + 5x + 2y + 3z + 2 Pˇr´ıklad 4: f = 2x2 y 2 z 2 − 2x2 yz 2 + 3x2 yz + 4xyz − 2xy + 4xz + 5x + 2y + 3z + 2 ⇒ M (f ) = {x2 y 2 z 2 , x2 yz 2 , x2 yz, xyz, xy, xz, x, y, z, 1} p = 2xyz + xy + z + 2 ⇒ LM (p) = xyz, LC(p) = 2 s.LM (p) = m 1.xyz = xyz ⇒ a = 4 g = 2x2 y 2 z 2 −2x2 yz 2 +3x2 yz +4xyz −2xy +4xz +5x+2y +3z +2− 24 (2xyz +xy +z +2) = 2x2 y 2 z 2 − 2x2 yz 2 + 3x2 yz − 4xy + 4xz + 5x + 2y + z − 2 28

3. KRYPTOGRAFIE Definice 71. Mˇejme matici M typu s × m. Oznaˇcme mij prvek v i-tém ˇrádku a j-tém sloupci matice M . Mˇejme monomy m1 , ..., mm uspoˇrádané lexikograficky, kde m1 > m2 > m · · · > mm . Dále oznaˇc´ıme MM = [m1 , ..., mm ]. Necht’ R = R {z ⊕ · · · ⊕ R} je R-modulem, | m−krat

pak (i )i=1,...,m je kanonická báze Rm . Uvaˇzujme lineárn´ı zobrazen´ı ϕMM : VMM → Rm (kde VMM je podmodul R [x] generovan´ y aditivnˇe VMM ) takové, ˇze ϕMM (mi ) = i . Inverzn´ı funkci oznaˇc´ıme ψMM . Aplikace ψMM umoˇzn ˇuje interpretovat vektory Rm jako polynomy. Oznaˇc´ıme (M, MM ) matici s interpretac´ı. Definice 72. Necht’ (M, MM ) je matice typu s × m s interpretac´ı, pak zkonstruujeme mnoˇzinu polynom˚ u radky(M, MM ) := {ψMM (radek(M, i); i = 1, ..., s} − {0} , kde radek(M, i) je i-t´ y ˇra´dek M (prvek Rm ). Opaˇcnˇe necht’ l = l1 , ..., ls je seznam polynom˚ u a Ml = [m1 , ..., mm ] je mnoˇzina monom˚ u uspoˇrádána lexikograficky, kde m1 > m2 > · · · > mm . Nyn´ı zkonstruujeme matici A typu s × m (s = vel(l), m = vel(Ml ) tak, aby aij := koef (li , Ml ; i = 1, ..., s; j = 1, ..., m). Matici (aij ) oznaˇc´ıme A(l,Ml ) . Definice 73. Mˇejme matici s interpretac´ı (M, MM ). Oznaˇc´ıme F = radky(M, MM ). Spoˇc´ıtáme Fe jako redukovanou Gröbnerovu bázi F pro lexikografické uspoˇra´dán´ı m1 > f = A(Fe,MM ) . M f nazveme m2 > · · · > mm . Z této báze m˚ uˇzeme rekonstruovat matici M jedin´ y ˇra´dkovˇe schodovit´ y tvar matice M s ohledem na lexikografické uspoˇra´dán´ı m1 > m2 > · · · > mm . Také m˚ uˇzeme ˇr´ıci, ˇze Fe je ˇra´dkovˇe schodovitá báze F s ohledem na lexikografické uspoˇra´dán´ı m1 > m2 > · · · > mm . F4 algoritmus V´ıme, ˇze pˇri v´ ypoˇctu Buchbergerova algoritmu máme v´ıce voleb: • vybrat kritick´ y pár ze seznamu kritick´ ych pár˚ u • vybrat jeden reduktor ze seznamu reduktor˚ u Buchberger dokázal, ˇze tyto volby nemaj´ı vliv na správnost algoritmu, ale je známo, ˇze jsou zásadn´ı pro celkov´ y ˇcas v´ ypoˇctu. Nejlepˇs´ı strategi´ı je vyˇsetˇrovat pouze hlavn´ı monomy polynom˚ u k vybrán´ı volby. Uvaˇzujme, ˇze vˇsechny vstupn´ı polynomy maj´ı stejné hlavn´ı monomy. V tomto pˇr´ıpadˇe jsou vˇsechny kritické páry shodné a nen´ı moˇzné o volbˇe rozhodnout. Tento problém vyˇreˇs´ıme jednoduˇse. Neudˇeláme ˇza´dnou volbu. Pˇresnˇeji, m´ısto volby jednoho kritického páru v kaˇzdém kroku vybereme podmnoˇzinu kritick´ ych pár˚ u najednou. Definice 74. Kritický pár polynom˚ u (fi , fj ) je prvek M 2 × R[x] × M × R[x], P ar(fi , fj ) := (LCMij , mi , fi , mj , fj ) takové, ˇze LCM (P ar(fi , fj )) = LCMij = LM (mi fi ) = LM (mj fj ) = LCM (LM (fi ), LM (fj )). 29

3.2. ALGORITMY Definice 75. Stupeˇ n kritického páru pi,j = P ar(fi , fj ), deg(pi,j ) je deg(LCMi,j ). Definujeme dvˇe projekce Leva(pi,j ) := (mi , fi ), P rava(pi,j ) := (mj , fj ). Pokud (m, p) ∈ M ×R[x], pak oznaˇc´ıme mult((m, p)) vyhodnocen´ı souˇcinu m × p. Algoritmus pˇrevzat z [2].  F-

koneˇcná podmnoˇzina R[x] Sel- funkce: Seznam(Paru) → Seznam(Paru) tak, ˇ ze Sel(l) 6= 0, jestliˇze l 6= 0 OUTPUT: koneˇcná podmnoˇzina R[x] G := F, Fe0+ := F, d := 0 P := {P ar(f, g); f, g ∈ G, f 6= g} WHILE P 6= 0 DO d := d + 1 Pd := Sel(P ) P := P \Pd Ld := Leva(Pd ) ∪ P rava(Pd ) Fed+ := Redukce(Ld , G) FOR h ∈ Fed+ DO P := P ∪ {P ar(h, g); g ∈ G} G := G ∪ {h} RETURN G INPUT:

Redukce  L-

koneˇcná podmnoˇzina M × R[x] G- koneˇ cná podmnoˇzina R[x] OUTPUT: koneˇcná podmnoˇzina R[x] (moˇzné také prázdná mnoˇzina) F :=Symbolicke-prepocesovani(L, G) Fe := redukce na ˇra´dkovˇe schodovit´ y tvar z F s ohledem na uspoˇra´dán´ı Fe + := {f ∈ Fe ; LM (f ) ∈ / LM (F )} RETURN Fe + INPUT:

Pozn. : Ekvivalentn´ı definice Fe + je Fe + := {f ∈ Fe ; f top ireducibilni G} Nyn´ı pop´ıˇseme hlavn´ı funkci tohoto algoritmu, tedy konstrukci matice F . na tento subalgoritmus se m˚ uˇzeme d´ıvat jako na klasickou redukci vˇsech uvaˇzovan´ ych polynom˚ u, pokud nahrad´ıme standartn´ı aritmetiku následovnˇe: necht’ 0 6= x, 0 6= y ∈ R, pak x + y = 1, x ∗ y = 1, x ∗ 0 = 0, x + 0 = 1. Tedy jedná se opravdu o symbolické pˇreprocesován´ı. Symbolicke-prepocesovani  L-

koneˇcná podmnoˇzina M × R[x] koneˇcná podmnoˇzina R[x] OUTPUT: koneˇcná podmnoˇzina R[x] F := {m × f ; (m, f ) ∈ L} Done := LM (F ) WHILE M (F ) 6= Done DO m ∈ M (F )\Done INPUT:

30

G-

3. KRYPTOGRAFIE Done := Done ∪ {m} IF m je top reducibiln´ı modulo G THEN m := mLM ´ (F ) pro nˇejaké f ∈ G, m ´ ∈M F := F ∪ {mf ´ } RETURN F Pozn. : Jestliˇze size(Sel(l)) = 1 pro vˇsechna l 6= 0, pak F4 algoritmus je Buchbergerov´ ym algoritmem. V tomto pˇr´ıpadˇe funkce Sel odpov´ıdá strategii v´ ybˇeru v Buchbergerovˇe algoritmu.

ˇ 3.2.3. Cuang-c’˚ uv algoritmus Algoritmus pro v´ ypoˇcet polynomick´ ych rovnic v´ıce promˇenn´ ych nad koneˇcn´ ymi poli. Nejdˇr´ıve se v této kapitole seznám´ıme se samotn´ ym algoritmem a ilustrujeme ho na pˇr´ıkladech. Algebraick´ e pozad´ı Necht’ k je pole s q prvky. Mˇejme m polynom˚ u f0 , ..., fn−1 ∈ k[x0 , ..., xn−1 ]. Naˇs´ım c´ılem n je naj´ıt vˇsechny n-tice (a0 , ..., an−1 ) ∈ k takové, ˇze f0 (a0 , ..., an−1 ) = 0 .. . fn−1 (a0 , ..., an−1 ) = 0 Pracujeme s polem, kde xqi = xi . Kl´ıˇcovou myˇslenkou tohoto algoritmu je posunout se z prostoru polynom˚ u k[x0 , ..., xn−1 ] s koeficienty v k do prostoru polynomu K[X] s koeficienty ve vhodnˇe vybraném rozˇs´ıˇreném poli K. Pro názornost dále pˇredpokládejme, ˇze m = n. Vybereme ireducibiln´ı polynom g(y) ∈ k[y] stupnˇe n. Pak K = k[y]/(g(y)) je rozˇs´ıˇren´ı k stupnˇe n. Necht’ φ je k-lineárn´ı zobrazen´ı takové, ˇze ztotoˇzn ˇuje K s n-rozmˇern´ ym vektorov´ ym prostorem k n , tj. φ : k n → K definované φ(a0 , ..., an−1 ) = a0 + a1 y + · · · + an−1 y n−1 . Necht’ f : k n → k n je polynomické zobrazen´ı definované f = (f0 , ..., fn−1 ). Pˇrevedeme f do rozˇs´ıˇreného pole K uˇzit´ım φ a vytvoˇren´ım zobrazen´ı F : K → K definovaného F = φ ◦ f ◦ φ−1 . Uˇzit´ım Lagrangeovy interpolaˇcn´ı formule m˚ uˇzeme povaˇzovat F za polynom v K[X]. Opravdu F má jedinou n reprezentaci v pod´ılovém okruhu K[X]/(X q − X). Pro dané f dostaneme odpov´ıdaj´ıc´ı F vyˇreˇsen´ım soustavy lineárn´ıch rovnic. Následuj´ıc´ı teorém nám ukazuje pˇresn´ y tvar této reprezentace. Teor´ em 76. Uˇzit´ım notace zavedené výˇse, pro lineárn´ı polynomické zobrazen´ı f = (f0 , ..., fn−1 ) máme F (X) =

n−1 X

i

n

βi X q + α mod (X q − X),

i=0

pro nˇejaké βi , α ∈ K. Jestliˇze f je kvadratické polynomické zobrazen´ı, pak F (X) =

n−1 X n−1 X

i

j

i

n

γij X q +q + βi X q + α mod (X q − X),

i=0 j=i

31

3.2. ALGORITMY pro nˇejaké γij , βi , α ∈ K. Nyn´ı je zˇrejmé, ˇze se m˚ uˇzeme volnˇeji pohybovat mezi funkcemi s v´ıce promˇenn´ ymi a funkcemi s jednou promˇennou. Máme-li systém rovnic, základn´ı strategi´ı je pˇrevést polynomické zobrazen´ı f na F v rozˇs´ıˇreném poli K. Koˇreny F , kter´ y je dán Teorémem 77, pˇresnˇe odpov´ıdaj´ı ˇreˇsen´ı p˚ uvodn´ı soustavy rovnic definovan´ ych nad k. Tedy máme-li koˇreny v K, pˇrevedeme je do k n pomoc´ı φ−1 . Zd˚ uraznˇeme základn´ı rozd´ıl mezi t´ımto algoritmem a ostatn´ımi algoritmy. Tento algoritmus lze pouˇz´ıt pouze nad koneˇcn´ ymi poli. ˇ Algoritmus byl pojmenován po antickém ˇc´ınském filosofovi Cuang-c’ovi. ”Jednou se ˇ ’ Cuang-c’ovi zdálo, ˇze je mot´ yl. Mot´ yl poletuj´ıc´ı kolem. Byl ˇst astn´ y a dˇelal, co se mu zaˇ chtˇelo. Nevˇedˇel, ˇze je Cuang-c’em. Náhle se probudil a byl opˇet pevn´ ym a nezamˇeniteln´ ym ˇ ˇ Cuang-c’em. Nevˇedˇel ale, zda to byl Cuang-c, kter´ y snil o tom, ˇze je mot´ yl, nebo mot´ yl ˇ ˇ sn´ıc´ı o tom, ˇze je Cuang-c’em. Mezi Cuang-c’em a mot´ ylem mus´ı b´ yt pˇreci nˇejak´ y rozd´ıl.” Toto se naz´ yvá transformace vˇec´ı. Algoritmus Algoritmus pˇrevzat z [4]. Zaˇcnˇeme pˇr´ıpadem, kdy m = n, tedy kdy máme stejn´ y poˇcet rovnic a promˇenn´ ych. ˇ Cuang-c’˚ uv algoritmus má na vstupu polynomy f0 , ..., fn−1 ∈ k[x0 , ..., xn−1 ] a kladné ˇc´ıslo D. D je horn´ı hranice stupnˇe polynomick´ ych rovnic, které máme vyˇreˇsit. V´ ysledkem n algoritmu je n-tice (a0 , ..., an−1 ) ∈ k taková, ˇze fi (a0 , ..., an−1 ) = 0 pro i = 0, ..., n − 1. • Krok 1: Vybereme ireducibiln´ı polynom g(y) ∈ k[y] stupnˇe n a definujeme K = k[y]/(g(y)). Necht’ φ : k n → K je definováno jako v pˇredchoz´ım. Pˇrevedeme f = (f0 , ..., fn−1 ) do K na F = φ ◦ f ◦ φ−1 a spoˇcteme polynomickou reprezentaci F (X) n modulo xq − X. Je-li deg(F (X)) ≤ D, pak pˇrejdeme k posledn´ımu kroku, jinak postupujeme následovnˇe. • Krok 2: Necht’ G = Gal(K/k) je Galoisovo pole K nad k skládaj´ıc´ı se z Frobei niov´ ych zobrazen´ı Gi (X) = X q , pro i = 0, ..., n−1. Poˇc´ıtejme Fi (X) = Gi ◦F (X) = i n F (X)q mod(X q − X), pro i = 0, ..., n − 1. Poznamenejme, ˇze F0 (X) = F (X). Existuje-li Fi takové, ˇze deg(Fi (X)) ≤ D, pak pˇrejdeme na posledn´ı krok, jinak postupujeme následovnˇe. • Krok 3: Necht’ N je poˇcet monom˚ u, které se vyskytuj´ı v nˇejakém Fi (X). Pro kaˇzdé Fi (X) vytvoˇr´ıme ˇrádkov´ y vektor v K N , kde vstupem jsou koeficienty z Fi (X) seˇrazené v sestupném poˇrad´ı. Dále zkonstruujeme n × N matici uˇzit´ım tˇechto vektor˚ u. Pouˇzijeme Gaussovu eliminaci k z´ıskán´ı nové mnoˇziny t báz´ı polynom˚ uS = S0 (X), ..., St−1 (X). Jin´ ymi slovy eliminujeme monomy nejprve niˇzˇs´ıch stupˇ n˚ u. Oznaˇc´ıme prvky S tak, ˇze St−1 (X) je prvek s nejniˇzˇs´ım stupnˇem. Jestliˇze deg(St−1 (X)) ≤ ≤ D, pak pˇrejdeme na posledn´ı krok, jinak postupujeme následovnˇe. • Krok 4: Mus´ı platit, ˇze polynom z S s nejmenˇs´ım stupnˇem má stupeˇ n vˇetˇs´ı neˇz D. j n Pro kaˇzdé i = 0, ..., t − 1 a j = 0, ..., n − 1 spoˇc´ıtáme X q Si (X) mod(X q − X). Jako v pˇredchoz´ım pouˇzijeme Gaussovu eliminaci na matici sestavenou ze sou´ Necht’ S´t´−1 (X) je polynom stavy polynom˚ u. T´ım z´ıskáme novou bázi polynom˚ u S. 32

3. KRYPTOGRAFIE v S´ s nejniˇzˇs´ım stupnˇem. Jestliˇze deg(S´t´−1 (X)) ≤ D, pak pˇrejdeme k posledn´ımu kroku, jinak S nahrad´ıme S´ a opakujeme tento krok. • Krok 5: V tomto bodˇe máme polynom G(X), kde deg(G(X)) ≤ D. Vyˇreˇs´ıme G(X) = 0 pomoc´ı vhodnˇe vybraného rychlého ˇreˇsiˇce polynomick´ ych rovnic ˇci fakˇ sen´ı F (X) = 0 torizaˇcn´ım algoritmem a t´ım obdrˇz´ıme W = {α ∈ K; G(α) = 0}. Reˇ je podmnoˇzina {α ∈ W ; F (α) = 0}. ˇ Pozn. 1: Cuang-c’˚ uv algoritmus m˚ uˇzeme modifikovat v pˇr´ıpadˇe, kdy máme ménˇe rovnic neˇz promˇenn´ ych, tedy kdyˇz m < n. Necht’ π : k m → k n je injektivn´ı zobrazen´ı definované π(a0 , ..., am−1 ) = (a0 , ..., am−1 , 0, ..., 0). f = (f0 , ..., fm−1 ) nahrad´ıme π ◦ f a dále postupujeme jako v pˇredchoz´ım. Mus´ıme poznamenat, ˇze pokud je m pˇr´ıliˇs malé, pak existuje velk´ y poˇcet ˇreˇsen´ı (pˇresnˇeji q n−m−1 ) a nav´ıc polynomy v ideálu generovaném Fi (X) budou velkého stupnˇe. ˇ Pozn. 2: Pokud máme v´ıce rovnic neˇz promˇenn´ ych, tedy m > n, pak mus´ıme Cuangc’˚ uv algoritmus opˇet modifikovat. Pˇredpokládejme, ˇze m = nr + l, pro nˇejaké 0 ≤ l < n a rozdˇelme f0 , ..., fm−1 na r mnoˇzin po n polynomech a jednu mnoˇzinu o l polynomech. Je-li m násobek n, pak pˇrevedeme vˇsech r mnoˇzin polynom˚ u na polynom v K[X] jako v pˇredchoz´ım. Jestliˇze l 6= 0, pˇrevedeme posledn´ı mnoˇzinu l polynom˚ u. Pˇ r´ıklady Pˇ r´ıklad 1 Necht’ k = GF (22 ). Definujeme polynomické zobrazen´ı f : k 2 → k 2 . Jeho sloˇzky jsou f0 (x0 , x1 ) = x20 + x1 + 1 f1 (x0 , x1 ) = x21 + x0 x1 + 1 v k[x0 , x1 ]. Tabulka pro sˇc´ıtán´ı a násoben´ı v GF (4) + 0 1 2 3

0 0 1 2 3

1 1 0 3 2

2 2 3 0 1

3 3 2 1 0

* 0 1 2 3

0 0 0 0 0

1 0 1 2 3

2 0 2 3 1

3 0 3 1 2

Vybereme ireducibiln´ı polynom stupnˇe 2 s koeficienty v k: g(y) = y 2 + y + 3. Zobrazen´ı φ : k 2 → K je definováno následovnˇe φ(x0 , x1 ) = x0 + x1 y = X ˇ sen´ı: Reˇ a)Pouˇ zit´ı Teor´ emu 77: Jestliˇze f = (f0 , f1 , ..., fn−1 ) je kvadratické polynomické zobrazen´ı, pak F (X) =

n−1 X n−1 X i=0 j=i

i

j

γij X q +q +

n−1 X

i

n


i=0

33

3.2. ALGORITMY kde γij , βi , α ∈ K. Dle tohoto teorému máme F (X) = γ11 X 8 + γ01 X 5 + β1 X 4 + γ00 X 2 + β0 X + α Nyn´ı jiˇz zb´ yvá dopoˇc´ıtat pouze koeficienty. V´ıme, ˇze F (x0 + x1 y) = x20 + x1 + 1 + (x21 + x0 x1 + 1)y tedy napˇr. 7 = y + 3 ⇒ F (3 + 1y) = 32 + 1 + 1 + (12 + 3.1 + 1)y = 2 + 3y = 14. Vyp´ıˇseme potˇrebn´ y poˇcet bod˚ u 0 7→ 5 1 7→ 4 2 7→ 6 3 7→ 7 4 7→ 0 5 7→ 5 6 7→ 11 7 7→ 14 8 7→ 11 Nyn´ı dosad´ıme tyto hodnoty do dané rovnice a vyˇreˇs´ıme soustavu rovnic. T´ım z´ıskáme v´ ysledné polynomické zobrazen´ı F (X) = 4X 8 + 4X 5 + X 4 + X 2 + X + 5. b)Pˇ r´ım´ y v´ ypoˇ cet Lagrangeova interpolaˇ cn´ıho polynomu Lagrange˚ uv interpolaˇcn´ı polynom je dán vztahem Ln (x) =

n X

yk ln,k (x),

ln,k (x) =

k=0

n Y

X − xk k=0,k6=n xn − xk

Nejdˇr´ıve potˇrebujeme sestavit tabulku hodnot x 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 y 5 4 6 7 0 5 11 14 11 2 4 13 14 3 9

15 4

Nyn´ı jiˇz m˚ uˇzeme dosadit do daného vzorce. Napˇr. l15,6 =

(X − 0)(X − 1) · · · (X − 5)(X − 7) · · · (X − 15) (6 − 0)(6 − 1) · · · (6 − 5)(6 − 7) · · · (6 − 15)

Z d˚ uvodu rozˇs´ıˇren´ı pole na GF (16) mus´ıme sˇc´ıtat i násobit v tomto poli. Pˇri násoben´ı odeˇc´ıtáme dan´ y ireducibiln´ı polynom, tedy napˇr. 11.12 = (2y + 3)3y = y 2 + 2y a po odeˇcten´ı y 2 + y + 3 dostáváme v´ ysledek 3y + 3 = 15. 34

3. KRYPTOGRAFIE Stejn´ ym zp˚ usobem pokraˇcujeme ve v´ ypoˇctech dále aˇz k v´ yslednému Lagrangeovu interpolaˇcn´ımu polynomu L(X) = 4X 8 + 4X 5 + X 4 + X 2 + X + 5. Pˇ r´ıklad 2 Necht’ k = GF (22 ). Definujeme polynomické zobrazen´ı f : k 2 → k 2 . Jeho sloˇzky jsou f0 (x0 , x1 ) = 2x30 + 3x21 x0 + 1 f1 (x0 , x1 ) = x31 + 2x20 x1 + 2 v k[x0 , x1 ]. Mˇejme stejn´ y ireducibiln´ı polynom jako v pˇredchoz´ım pˇr´ıkladˇe. ˇ sen´ı: Reˇ a)Pouˇ zit´ı Teor´ emu 77: Nyn´ı je f = (f0 , f1 , ..., fn−1 ) jiˇz kubické polynomické zobrazen´ı, tedy F (X) =

n−1 X n−1 X n−1 X i=0 j=i k=j

i

δijk X q +q

j +q k

+

n−1 X n−1 X

i

j

γij X q +q +

i=0 j=i

n−1 X

i

n


i=0

kde γij , βi , α ∈ K. Tedy po pˇreznaˇcen´ı koeficient˚ u máme F (X) = aX 12 + bX 9 + cX 8 + dX 6 + eX 5 + f X 4 + gX 3 + hX 2 + iX + j Nyn´ı jiˇz zb´ yvá dopoˇc´ıtat pouze koeficienty. V´ıme, ˇze F (x0 + x1 y) = 2x30 + 3x21 x0 + 1 + (x31 + 2x20 x1 + 2)y Nyn´ı mus´ıme sestavit tabulku hodnot x 0 1 2 3 4 5 6 7 8 9 10 11 y 9 11 11 11 13 4 10 1 13 1 4 10

12 13 14 15 13 10 1 4

Tyto hodnoty dosad´ıme do polynomické rovnice. T´ım z´ıskáme soustavu lineárn´ı rovnic, kterou vyˇreˇs´ıme. V´ ysledné polynomické zobrazen´ı je pak dáno vztahem F (X) = 8X 12 + 2X 9 + 8X 6 + 9. b)Pˇ r´ım´ y v´ ypoˇ cet Lagrangeova interpolaˇ cn´ıho polynomu Zde je postup naprosto totoˇzn´ y jako u pˇredchoz´ıho pˇr´ıkladu, pouze pouˇzijeme pˇr´ısluˇsnou tabulku hodnot. V´ ysledn´ y Lagrange˚ uv interpolaˇcn´ı polynom je tedy dán vztahem L(X) = 8X 12 + 2X 9 + 8X 6 + 9. Z´ avˇ er ˇ Poznamenejme, ˇze Cuang-c’˚ uv algoritmus nen´ı nov´ ym algoritmem, ale nov´ ym zp˚ usobem, jak nahl´ıˇzet na problém ˇreˇsit polynomické rovnice ve v´ıce promˇenn´ ych nad koneˇcn´ ymi poli. Náˇs problém pˇrevedeme na rozˇs´ıˇrené pole, kde se z nˇej stává problém o jedné promˇenné. Poté pouˇzijeme jiˇz existuj´ıc´ı vhodné postupy pro ˇreˇsen´ı polynomické rovnice v jedné promˇenné nad koneˇcn´ ym polem. Tedy vlastnˇe ztotoˇzn ˇujeme v´ıcerozmˇern´ y a jednorozmˇern´ y pˇr´ıpad. To také znamená, ˇze nˇekdy m˚ uˇze b´ yt prospˇeˇsné se na jednorozmˇern´ y pˇr´ıpad nad dan´ ym koneˇcn´ ym polem d´ıvat jako na mnoˇzinu v´ıcerozmˇern´ ych polynomick´ ych rovnic nad menˇs´ım koneˇcn´ ym polem. 35

3.3. ATAKY

3.3. Ataky Tato kapitola je inspirována [3], [5].

3.3.1. Patarin˚ uv atak Multivariaˇ cn´ı kryptosyst´ emy s veˇ rejn´ ym kl´ıˇ cem Bezpeˇcnost multivariaˇcn´ıch kryptosystém˚ u s veˇrejn´ ym kl´ıˇcem (MPKC) spoléhá na nároˇcnost ˇreˇsen´ı systému nelineárn´ıch polynomick´ ych rovnic s mnoha promˇenn´ ymi. Veˇrejn´ y kl´ıˇc MPKC je vˇetˇsinou mnoˇzina kvadratick´ ych polynom˚ u, které jsou odvozeny ze skládán´ı zobrazen´ı. Kr´ atk´ y popis Matsumoto-Imai algoritmu Matematick´ e vlastnosti ’ Necht k je koneˇcné pole charakteristiky 2 a necht’ q = 2m je poˇcet prvk˚ u k. Obecn´ y tvar MPKC je tvaru Y = (y1 , ..., ym ) = F (x1 , ..., xn ) = J2 ◦ φ ◦ J1 (x1 , ..., xn ), kde F : k n → k m ; J1 : k n → k n , J2 : k m → k m jsou afinn´ı transformace. Necht’ Ln je rozˇs´ıˇren´ı mθ k stupnˇe N a necht’ θ je celé ˇc´ıslo. Pak funkce f : LN → LN : x 7→ x1+2 je bijekce, jestliˇze 1 + 2mθ je nesoudˇelné s 2mN − 1. Tedy je-li f bijekce, lze jednoduˇse invertovat a existuje inverzn´ı funkce f −1 taková, ˇze f −1 (x) = xh , kde h je multiplikativn´ı inverze 1 + 2mθ modulo 2mN − 1. Zobrazen´ı π : k → LN je N - lineárn´ı izomorfismus. Zobrazen´ı φ naz´ yváme centráln´ı zobrazen´ı, které je definováno φ = π ◦ φ˜ ◦ π −1 . Zobrazen´ı φ˜ nad LN je rozd´ılné pro r˚ uzné MPKC. Jedna z hlavn´ıch myˇslenek, jak zkonstruovat tento systém byla zapoˇcata Matsumotem a Imaiem. Popis Matsumoto-Imai algoritmu Pole k s 2m prvky je veˇrejné. Kaˇzdá zpráva má nm bit˚ u, kde n je dalˇs´ı veˇrejné celé ˇc´ıslo. n je rozdˇeleno následovnˇe n = n1 + · · · + nd , kde n1 , ..., nd jsou opˇet celá ˇc´ısla. Poté vytvoˇr´ıme d rozˇs´ıˇren´ı k, Ln1 , ..., Lnd stupnˇe n1 , ..., nd . Hodnotu reprezentovanou prvky k nauˇze b´ yt slovo délky ne . Pouˇzijeme kvadratické zveme slovo. Napˇr. prvek Lne ; 1 ≤ e ≤ d, m˚ funkce f1 , ..., fd dávaj´ıc´ı d slov. Tˇechto d slov pak pˇrekombinujeme na slovo délky n. Tajné poloˇzky jsou: 1. Dvˇe afinn´ı bijekce s, t : k n → k n (mohou b´ yt reprezentovány báz´ı polynom˚ u celkového stupnˇe 1 a koeficienty polynom˚ u jsou prvky k). 2. Dˇelen´ı n na d cel´ ych ˇc´ısel n = n1 + · · · + nd . 3. Reprezentace pol´ı Ln1 , ..., Lnd . Tyto reprezentace jsou dány volbou d ireducibiln´ıch polynom˚ u. Oznaˇcme ψl izomorfismus z k nl do Lne dan´ y tˇemito reprezentacemi, 1 ≤ ≤ e ≤ d. 4. Celá ˇc´ısla θ1 , ..., θd taková, ˇze 1 ≤ θe ≤ ne a GCD(2θe + 1, 2mne − 1) = 1, 1 ≤ e ≤ d. Tato celá ˇc´ısla θe udávaj´ı kvadratické funkce f1 , ..., fd .

36

3. KRYPTOGRAFIE D˚ uleˇzit´ y bod je, ˇze skládán´ı vˇsech tˇechto operac´ı je kvadratická funkce s prvky v bázi. Takˇze tato funkce m˚ uˇze b´ yt dána n polynomy nad k, (y1 , ..., yn ) (tyto polynomy dávaj´ı ˇsifrovan´ y text y z p˚ uvodn´ıho textu x). Veˇrejné poloˇzky jsou: 1. Pole k délky 2m , délka zpráv n. 2. n polynom˚ u (y1 , ..., yn ) v n promˇenn´ ych nad k. Tud´ıˇz kaˇzd´ y m˚ uˇze zaˇsifrovat zprávu. Znaˇ cen´ı m je stupeˇ n pole k, n je poˇcet prvk˚ u v k v kaˇzdé zprávˇe, d je poˇcet cel´ ych ˇc´ısel v tajném ’ dˇelen´ı n : n = n1 + · · · + nd . Necht e je index, 1 ≤ e ≤ d a x je p˚ uvodn´ı text a y ˇsifrovan´ y text. Oznaˇcme Lne rozˇs´ıˇren´ı k stupnˇe ne . ae je prvek Lne afinn´ı v x, be je prvek Lne afinn´ı v y, θe je tajn´ y parametr takov´ y, ˇze mθe

be = a1+2 e

(3.13)

Nav´ıc pro jednoduchost oznaˇc´ıme θe = θ, ae = a, be = b. Skupina slab´ ych kl´ıˇ c˚ u Ukáˇzeme, ˇze existuje mnoho slab´ ych kl´ıˇc˚ u v algoritmu MI. Je vˇsak velmi lehké se jim vyhnout a tud´ıˇz to nepovaˇzujeme za závaˇzn´ y problém tohoto algoritmu. Rovnici (3.13) m˚ uˇzeme zapsat ve tvaru a = bhe , kde he je multiplikativn´ı inverze mθe mne − 1. 1+2 modulo 2 Necht’ α je celé ˇc´ıslo, oznaˇc´ıme HW (α) poˇcet 1 ve v´ yrazu α v bázi 2 (HW zastupuje ’ Haminngovu váhu v bázi 2). Necht xi je bit x a yi je bit y(1 ≤ i ≤ mn). Kaˇzdá hodnota yj , 1 ≤ j ≤ n má kvadratick´ y v´ yraz v hodnotˇe xi , 1 ≤ i ≤ n. Jednoduˇse kaˇzdá hodnota xj má v´ yraz jako polynom stupnˇe supe,1≤e≤d HW (he ) v hodnotách yi . Je dobré, kdyˇz HW (he ) nen´ı pˇr´ıliˇs malé pro neznámé e. Pˇredpokládejme, ˇze nemáme tento pˇr´ıpad, tedy pro jednu neznámou e, 1 ≤ e ≤ d je HW (he ) velmi malé a a = bhe

(3.14)

Jestliˇze a je afinn´ı v x, existuj´ı hodnoty α1i , 0 ≤ i ≤ mn takové, ˇze a1 = α10 + mn i=1 α1i xi . Z (3.14) v´ıme, ˇze a1 má polynomiáln´ı v´ yraz celkového stupnˇe HW (he ) v b1 , ..., bne m . Tedy vˇsechny hodnoty b1 , ..., bne m jsou afinn´ı v y1 , ..., ynm , tud´ıˇz a1 má polynomick´ y v´ yraz celkového stupnˇe HW (he ) v y1 , ..., ynm . Takˇze máme polynom P celkového stupnˇe HW (he ) tak, ˇze P

α10 +

mn X

α1i xi = P (y1 , ..., ymn )

(3.15)

i=1

Podobnˇe pro a2 , a3 , ..., ane m . Tedy máme nejménˇe ne m rovnic podobn´ ych (3.15), stupnˇe 1 v xi a celkového stupnˇe HW (he ) v yi . Takˇze jestliˇze pro urˇcité e, HW (he ) je velmi malé (napˇr. ≤ 4), chceme naj´ıt ne m rovnic podobn´ ych (3.15) (a to i dokonce kdyˇz existuje f tak, 37

3.3. ATAKY ˇze HW (he ) je velmi velké). Pˇri hledán´ı tˇechto rovnic budeme jednoduˇse psát nejobecnˇejˇs´ı tvar rovnic stupnˇe HW (he ). Generován´ım nˇejak´ ych hodnot pro x a y z veˇrejného tvaru obdrˇz´ıme rovnice stupnˇe 1 s koeficienty polynom˚ u. Po nasb´ırán´ı dostateˇcného poˇctu rovnic, Gaussovou redukc´ı na tyto rovnice, najdeme vektorov´ y prostor ˇreˇsen´ı pro koeficienty polynom˚ u. Tud´ıˇz najdeme nejménˇe ne m nezávisl´ ych rovnic podobn´ ych (3.15). Nyn´ı z tˇechto rovnic, kdyˇz je dáno y, máme okamˇzitˇe ne m rovnic stupnˇe 1 bit˚ u xi p˚ uvodn´ıho textu. To m˚ uˇze b´ yt velmi nebezpeˇcné. Z´ avˇ er: Vˇsechny hodnoty ne , θe mus´ı b´ yt vybrány tak, aby ˇrád HW (he ) nebyl pˇr´ıliˇs mal´ y (napˇr. ≥ 6). Prvn´ı obecn´ yu ´ tok na vˇ sechny kl´ıˇ ce Pˇ r´ıklad Pˇredpokládejme, ˇze m = 1, θ = 1. b = a3

(3.16)

Necht’ (b1 , ..., bne ) je reprezentace b v Lne a necht’ (a1 , ..., ane ) je reprezentace a v Lne . Z (3.16) vid´ıme, ˇze ∀bj , 1 ≤ j ≤ ne máme kvadratick´ y v´ yraz v (a1 , ..., ane ), protoˇze 2 2 b = aa , a je lineárn´ı (protoˇze m = 1). Avˇsak rádi bychom naˇsli v´ yraz, kter´ y dává hodnoty aj z bj (nam´ısto bj z aj ). Prvn´ı myˇslenka je samozˇrejmˇe napsat a = bh

(3.17)

ale v nejv´ıce pˇr´ıpadech HW (h) je velké, tud´ıˇz (3.17) dává u ´porn´ y v´ yraz pro hodnoty aj . Zaˇcnˇeme opˇet z (3.16) a vynásobme oba v´ yrazy z (3.16) a. Obdrˇz´ıme ba = a4

(3.18)

Rovnice (3.18) dává ne rovnic stupnˇe 1 na bj hodnot, stupnˇe 1 na aj hodnot. (Protoˇze a4 je lineárn´ı v a, protoˇze m = 1.) Nav´ıc ∀b 6= 0 jsou zde právˇe 2 ˇreˇsen´ı (3.18): a = 0, a = bh . Z rovnice (3.18) v´ıme, ˇze existuje rovnice tvaru n X n X i=1 j=1

γij xi yj +

n X i=1

αi xi +

n X

βi yi + δ0 = 0

(3.19)

i=1

Tyto rovnice plat´ı ∀x, y, pak x je p˚ uvodn´ı text k y. Nav´ıc jestliˇze b = 0, existuje jenom jedno ˇreˇsen´ı pro a z (3.18). Nutnˇe mus´ıme m´ıt nejménˇe ne formálnˇe nezávisl´ ych rovnic (3.19). Avˇsak pro danou hodnotu y m˚ uˇzeme ˇr´ıci, ˇze budeme m´ıt nejménˇe ne − 1 nezávisl´ ych rovnic (3.19) (a ne ne ), protoˇze (3.18) má 2 ˇreˇsen´ı pro a, kdyˇz b 6= 0. Vybrán´ım nˇekolika hodnot pro x a spoˇc´ıtán´ım hodnot y z x z veˇrejného tvaru, dále nahrazen´ım tˇechto hodnot xi , yi , 1 ≤ i ≤ n ve (3.19), obdrˇz´ıme rovnice stupnˇe 1 ve n2 + n + n + 1 = (n + 1)2 promˇenn´ ych γij , αi , βi , δ0 . Rychle najdeme vˇsechny rovnice (3.19) (Gaussovou redukc´ı). Pak z daného y, pro které hledáme x, dostáváme rovnice (nejménˇe ne − 1 nezávisl´ ych rovnic) stupnˇe 1 v hodnotách x1 , ..., xn . Dle Gaussovy redukce najdeme ne − 1 neznám´ ych x1 , ..., xn z ostatn´ıch rovnic. Nyn´ı si ukaˇzme obecn´ y pˇr´ıpad. 38

3. KRYPTOGRAFIE Obecn´ y pˇ r´ıpad Mˇejme mθ

b = a1+2

(3.20)

mθ

Sloˇzen´ım obou stran této rovnice s q : x 7→ x2 −1 , obdrˇz´ıme b2 kaˇzdou stranu ab mθ 2mθ ab2 = ba2

mθ −1

2mθ

= a2

−1

. Vynásob´ıme (3.21)

Necht’ (a1 , ..., ane ) je reprezentace a v Lne , (b1 , ..., bne ) je reprezentace b v Lne . (∀ai , bi , 1 ≤ ≤ i ≤ ne jsou prvky v k). Rovnice (3.21) dává ne rovnic (ne nutnˇe nezávisl´ ych) stupnˇe 1 mθ 2mθ 22 na bj hodnot a stupnˇe 1 na aj hodnot. (protoˇze b 7→ b je lineárn´ı, a 7→ a je lineárn´ı) Nav´ıc a je afinn´ı v x, b je afinn´ı v y. Tedy tˇechto ne rovnic ((3.21) je báze) pak p´ıˇseme ve sloˇzkách (x1 , ..., xn ), (y1 , ..., yn ). x, y dává ne rovnic tvaru n X n X i=1 j=1

γij xi yj +

n X i=1

α i xi +

n X

β i y i + δ0 = 0

(3.22)

i=1

Tyto rovnice plat´ı ∀x, y, kde x je p˚ uvodn´ı text y. Tedy vybrán´ım hodnot pro x a spoˇc´ıtán´ım hodnot y z x a veˇrejného tvaru a pak nahrazen´ım tˇechto hodnot xi , yi , 1 ≤ i ≤ ≤ n v (3.22) obdrˇz´ıme rovnice stupnˇe 1 v (n + 1)2 promˇenn´ ych GF (2m ) : γij , αi , βi , δ0 . T´ımto zp˚ usobem najdeme rychle vˇsechny rovnice (3.22). To je prvn´ı ˇcást naˇseho u ´toku. Moˇzná najdeme nˇekteré rovnice (3.22), které nevycház´ı z (3.21) (protoˇze jsme naˇsli vˇsechny rovnice, které máme v obecném tvaru (3.22)), ale d˚ uleˇzité je, ˇze najdeme pˇrinejmenˇs´ım vˇsechny rovnice (3.22), které vycház´ı z (3.21). ˇ ast 2 naˇseho u C´ ´toku: Z dan´ ych y, pro které najdeme x, nám tyto rovnice dávaj´ı rovnice stupnˇe 1 v neznám´ ych x1 , ..., xn . Gaussovou redukc´ı tˇechto rovnic najdeme λ neznám´ ych x1 , ..., xn z ostatn´ıch, kde λ je poˇcet nezávisl´ ych rovnic (3.22) v x1 , ..., xn , kdyˇz y1 , .., yn jsou nahrazeny hodnotami. Abychom vyˇc´ıslili ˇrád tohoto u ´toku, mus´ıme vyˇc´ıslit λ. To udˇeláme nyn´ı. Pozn´ amka: Jestliˇze m = 1, θe = 1, kdyˇz najdeme vˇsechny rovnice (3.22), najdeme vˇsechny rovnice, které vycház´ı z b2 a = ba4 a vˇsechny rovnice, které vycház´ı z ba = a4 . Tyto rovnice nejsou formálnˇe stejné (protoˇze jestliˇze b = 0, prvn´ı se zruˇs´ı, druhá ne). Napˇr. kdyˇz m = 1, θ = 1, ne = 5, máme explicitnˇe naj´ıt vˇsechny rovnice (3.22). V tomto pˇr´ıpadˇe máme naj´ıt vektorov´ y prostor ˇreˇsen´ı pro koeficienty γij , αi , βi , δ0 dimenze pˇresnˇe 10. V tomto pˇr´ıpadˇe b2 a = ba4 a ba = a4 dané 10 rovnicemi. Pak vybereme pro y danou hodnotu. Tˇechto 10 rovnic nám samozˇrejmˇe dá nejv´ yˇse 5 neznám´ ych rovnic a jestliˇze pro toto y máme b 6= 0, pak nám dá pˇresnˇe 4 nezávislé rovnice (protoˇze máme pˇresnˇe 2 ˇreˇsen´ı pro a). V´ ypoˇ cet λ Teor´ em 77. Pro vˇsechny u ´ˇcinné kl´ıˇce a pro vˇetˇsinu ˇsifrovaných text˚ u y, poˇcet λ nezávislých rovnic stupnˇe 1 v x1 , ..., xn tak, ˇze obdrˇz´ıme z rovnic (3.22) pro toto dané y máme P . Nav´ıc nám to ukazuje, ˇze pro mnoho tajných kl´ıˇc˚ ua λ ≥ de=1 (ne − GCD(ne , θe )) ≥ 2n 3 pro vˇetˇsinu ˇsifrovaných text˚ u máme λ ≥ n − d. Lemma 78. Necht’ L je koneˇcné pole s q prvky. Necht’ p je clé ˇc´ıslo a necht’ y je prvek L. Pak rovnice xp = y má nejvýˇse GCD(p, q − 1) ˇreˇsen´ı x. 39

3.3. ATAKY D˚ ukaz. Jestliˇze y = 0, pak x = 0 je jediné ˇreˇsen´ı a Lemma 78 plat´ı. Pˇredpokládejme, ˇze y 6= 0, pak x = 0 nen´ı ˇreˇsen´ı. Pˇredpokládejme také, ˇze x 6= 0, takˇze xq−1 = 1. Necht’ µ = GCD(p, q − 1). Z Bezoutova teorému v´ıme, ˇze jsou 2 celá ˇc´ısla α, β taková, ˇze αp − β(q − 1) = µ. Tedy xp = y ⇒ xαp = y α ⇒ xµ (xq−1 )β = y α ⇒ xµ = y α . Tedy v poli kaˇzdá rovnice stupnˇe k má nejv´ yˇse k ˇreˇsen´ı. Existuje nejv´ yˇse µ ˇreˇsen´ı xµ = y α a je nejv´ yˇse µ ˇreˇsen´ı xp = y, jak jsme tvrdili. Lemma 79. Pro vˇsechna celá ˇc´ısla m, α, β máme GCD(2mα −1, 2mβ −1) = 2mGCD(α,β) −1. D˚ ukaz. • Jasnˇe GCD(2mα − 1, 2mβ − 1) ≥ 2mGCD(α,β) − 1, protoˇze 2mα − 1 a 2mβ − 1 m˚ uˇzeme vz´ıt jako 2mGCD(α,β) − 1 faktor (pouˇzijeme formuli xk − 1 = (x − 1)(xk−1 + k−2 x + · · · + x + 1). • Jasnˇe také m˚ uˇzeme pˇredpokládat, ˇze α > β. Jelikoˇz Lemma 79 je symetrická, máme α = β. Lemma 79 je zˇrejmá. • Nyn´ı jestliˇze x, y jsou 2 celá ˇc´ısla a jestliˇze µ je celé ˇc´ıslo takové, ˇze x − y2µ > 0, máme GCD(x, y) = GCD(y, x − y2µ ). Tedy s x = 2mα − 1, y = 2mβ − 1, 2µ = 2m(α−β) máme GCD(2mα − 1, 2mβ − 1) = GCD(2mβ − 1, 2m(α−β) − 1)

(3.23)

Iterac´ı této techniky GCD(α, β) objev´ıme zp˚ usob podobn´ y Euklidovˇe algoritmu. Takˇze obdrˇz´ıme GCD(2mα − 1, 2mβ − 1) ≤ 2mGCD(α,β) − 1 Lemma 80. V Lne (pole s 2mne prvky) rovnice (3.21), jak máme napsáno dˇr´ıve, má nejvýˇse 2mGCD(θ,ne ) ˇreˇsen´ı v a, pro kaˇzdé dané b 6= 0. D˚ ukaz. Jestliˇze b 6= 0, pak tato rovnice (3.21) má 2 skupiny ˇreˇsen´ı pro a: 1)a = 0, 2)a tak, ˇze mθ mθ mθ (a2 − 1)2 +1 = b2 −1 (3.24) mθ

V´ıme, ˇze funkce g : z 7→ z 2 +1 je bijekce v Lne (protoˇze dle konstrukce MI algoritmu, θ, ne jsou vybrány tak, aby byla splnˇena daná vlastnost). Pak a je ˇreˇsen´ı rovnice (3.24)⇔ mθ

a2

− 1 = g −1 (b2

mθ

− 1)

(3.25)

Nyn´ı z Lemmatu 78 v´ıme, ˇze tato rovnice (3.25) má pro dané b nejv´ıce GCD(2mθ −1, 2mne − 1) ˇreˇsen´ı a. Takˇze z Lemmatu 79 obdrˇz´ıme, ˇze rovnice (3.24) má nejv´ıce 2mGCD(θ,ne ) − 1 ˇreˇsen´ı v a. Takˇze pˇridán´ım ˇreˇsen´ı a = 0 obdrˇz´ıme, ˇze kdyˇz b 6= 0, rovnice (3.21) má nejv´ıce 2mGCD(θ,ne ) ˇreˇsen´ı v a, jak bylo odvozeno. D˚ usledek 81. Pro dané b 6= 0, jestliˇze nap´ıˇseme rovnici (3.21) v bázi prvk˚ u (s reprem zentac´ı Lne jako rozˇs´ıˇren´ı GF (2 ) stupnˇe ne ), pak obdrˇz´ıme nejménˇe ne − GCD(θ, ne ) nezávislých rovnic stupnˇe 1 v prvc´ıch a. D˚ ukaz. V´ıme, ˇze obdrˇzené rovnice jsou stupnˇe 1 v prvc´ıch a. Nav´ıc tyto rovnice maj´ı nejménˇe jedno ˇreˇsen´ı a = 0, takˇze nedocház´ı ke sporu. Jestliˇze λe je poˇcet nezávisl´ ych rovnic, máme pˇresnˇe 2m(ne −λe ) ˇreˇsen´ı. Avˇsak z Lemmatu 80 v´ıme, ˇze máme nejv´ yˇse 2mGCD(θ,ne ) ˇreˇsen´ı, takˇze λe ≥ ne − GCD(θ, ne ), jak jsme tvrdili. 40

3. KRYPTOGRAFIE D˚ ukaz. Teorému 77: Necht’ y je ˇsifrovan´ y text takov´ y,ˇze pro toto y máme: ∀e, 1 ≤ e ≤ mθe ≤ d, be 6= 0. (Takˇze ae 6= 0, protoˇze be = a1+2 .) e 1 ze jestliˇze mne Pozn´ amka: Pro dané e je pravdˇepodobnost, ˇze be = 0 rovna 2mn e . Takˇ je velmi malé, tato pravdˇepodobnost nen´ı zanedbatelná. Avˇsak jesliˇze mne je velmi malé (napˇr. m = 1, ne = 3), pak ae = bhe e s velmi mal´ ym he , takˇze s velmi mal´ ym HW (he ). To nám dává velmi slabé kl´ıˇce. M˚ uˇzeme pˇredpokládat, ˇze mne nen´ı tak malé, takˇze vˇetˇsina ˇsifrovan´ ych text˚ u y bude taková, ˇze ∀e, 1 ≤ e ≤ d, be 6= 0. (Pro velmi velké d nem˚ uˇze b´ yt, ale jestliˇze n je pˇrijatelné velikosti, pak d nem˚ uˇze b´ yt pˇr´ıliˇs velké a pro vˇetˇsinu ˇsifrovan´ ych text˚ u y, ∀e, 1 ≤ e ≤ d, be 6= 0 jak jsme tvrdili.) Z d˚ usledku Lemmatu 80 v´ıme, ˇze obdrˇz´ıme P ych rovnic stupnˇe 1 v prvc´ıch x (pro dané y nejménˇe de=1 (ne − GCD(θe , ne )) nezávisl´ takové, ˇze ∀e, be 6= 0). Lemma 82. ∀e, 1 ≤ e ≤ d, necht’ δe = GCD(θe , ne ) a necht’ ke = nδee (ke je celé ˇc´ıslo, protoˇze δe dˇel´ı ne ). Pak ke je vˇzdy liché a ke ≥ 3.

Dokázali jsme, ˇze λ ≥ de=1 (ne − GCD(θe , ne )). Takˇze z Lemmatu 82 plyne P P λ ≥ de=1 (ne − n3e ) = 23 de=1 ne = 2n . Nav´ıc pro mnoho tajn´ ych kl´ıˇc˚ u GCD(θe , ne ) = 1 a 3 Pd jestliˇze toto nastane, máme e=1 (ne − 1) = n − d, takˇze λ ≥ n − d. Vylepˇ sen´ a Gaussova eliminace Náˇs u ´tok, jak jsme ho popsali, pˇrecház´ı na 2 ˇca´sti: P

1. Najdeme vˇsechny rovnice (3.22) a to je udˇeláno jednou a pro vˇsechny. 2. Pro urˇcit´ y ˇsifrovan´ y text y se pokus´ıme naj´ıt x pomoc´ı rovnic (3.22). Takˇze to mus´ıme udˇelat pro kaˇzdé x z r˚ uzn´ ych y. Druh´ y obecn´ yu ´ tok mθ

mθ

V odstavci 3.3.1 byl náˇs u ´tok zaloˇzen na myˇslence, ˇze jestliˇze b = a1+2 , pak ab2 = mθ 2 ba2 . V této rovnici jsou a, b na obou stranách. Nyn´ı se budeme snaˇzit naj´ıt nˇejaké rovnice obecného tvaru a2 bu = bv , kde HW (u), HW (v) jsou malé. Pro tento zámˇer nezaˇcneme mθ z b = a1+2 , ale zaˇcneme z a = bhe . Takˇze mus´ıme spoˇc´ıtat hodnotu he . Teor´ em 83. Necht’ δ = mGCD(θe , ne ) a necht’ α, k jsou celá ˇc´ısla taková, ˇze αδ = mθe a kδ = mne . Necht’ he je, jako obvykle, multiplikativn´ı inverze 1 + 2mθe modulo 2mne − 1. Pak 1. k je liché a k ≥ 3 2. he = 2kδ−1 +

Pk−1

i=1 (−1)

i αδi −1

2

.

Pozn´ amka: Nejobt´ıˇznˇejˇs´ı kl´ıˇce v odstavci 3.3.1 jsou kl´ıˇce s mal´ ym k. Tyto kl´ıˇce jsou nyn´ı nejlehˇc´ı. Napˇr. kdyˇz k = 3, obdrˇz´ıme ne rovnic v obecném tvaru n X n X

γij x2i yj +

i=1 j=1

n X n X i=1 j=i+1

ηij yi yj +

n X i=1

α i xi +

n X

β i y i + δ0 = 0

(3.26)

i=1

Náˇs u ´tok má stále dvˇe ˇcásti: 1. Naj´ıt vˇsechny rovnice (3.22) z odstavce 3.3.1 a také vˇsechny rovnice (3.26). 2. Pro dané y poloˇzme mocninu 2m−1 nalezen´ ych rovnic (3.26). Jelikoˇz v k máme m−1 m−1 m−1 m (α + β)2 = α2 + β2 a tedy x2i = xi , rovnice (3.26) dává podobné rovnice stupnˇe 1 v xi . Proto pouˇzijeme obˇe rovnice (3.22) a (3.26). 41

3.3. ATAKY

42

˚ 4. IMPLEMENTACE ALGORITMU

4. Implementace algoritm˚ u Pˇri implementaci v prostˇred´ı Wolfram Mathematica bylo ˇcerpáno z [7].

4.1. Buchberger˚ uv algoritmus Tento algoritmus se pouˇz´ıvá pro v´ ypoˇcet Gröbnerov´ ych báz´ı a je v prostˇred´ı Wolfram Mathematica jiˇz implementován. Ukáˇzeme si tedy, jak dan´ y algoritmus spustit. Pˇri poˇc´ıtán´ı nad reáln´ ymi ˇc´ısly postupujeme následovnˇe. Zadáme mnoˇzinu polynom˚ u Poly={x^2 y - y, 2 x y + y, -5 + x z} Zavoláme funkci “GroebnerBasis“ a vyp´ıˇseme promˇenné obsaˇzené v polynomech. Pro náˇs pˇr´ıklad GroebnerBasis[Poly,{x,y,z}] V´ ystupem bude opˇet mnoˇzina polynom˚ u, a to redukovaná Gröbnerova báze. Pokud nezadáme ˇzádné dalˇs´ı parametry, je v´ ysledná redukovaná Gröbnerova báze spoˇctena pro lexikografické uspoˇra´dán´ı. Pokud bychom poˇzadovali jiné uspoˇrádán´ı, napˇr. stupˇ nované inverzn´ı lexikografické uspoˇra´dán´ı, mus´ıme zmˇenit volán´ı následovnˇe GroebnerBasis[Poly,{x,y,z},MonomialOrder->DegreeReverseLexicographic] Pˇri v´ ypoˇctu Buchbergerova algoritmu nad koneˇcn´ ymi poli mus´ıme postupovat následovnˇe. Nejdˇr´ıve naˇcteme bal´ık s koneˇcn´ ymi poli << FiniteFields‘FiniteFields‘ Dále mus´ıme definovat námi vybrané pole vˇcetnˇe ireducibiln´ıho polynomu. Ten zap´ıˇseme pomoc´ı koeficient˚ u. Napˇr pro pole F8 a pro ireducibiln´ı polynom [1,0,1,1] zadáme SetFieldFormat[GF[2,{1,0,1,1}],FormatType->FunctionOfCode[k]] Nyn´ı jiˇz m˚ uˇzeme zadat mnoˇzinu polynom˚ u jen s t´ım rozd´ılem, ˇze m´ısto kaˇzdého koeficientu i p´ıˇseme k[i]. Pˇrep´ıˇseme tedy náˇs pˇr´ıklad Poly = {x^2 y - y, k[2] x y + y, k[-5] + x z} Nyn´ı jiˇz zavoláme funkci ”GroebnerBasis“ jako v pˇredchoz´ım GroebnerBasis[Poly,{x,y,z}] Zdá se tedy, ˇze pro Gröbnerovy báze je v programu Wolfram Mathematica vˇse hotovo. Nastává zde ale problém. Tento algoritmus je dosti pomal´ y. Zab´ yvali jsme se tedy implementac´ı jiného algoritmu a to F4 algoritmu do prostˇred´ı Wolfram Mathematica.

43

4.2. F4 ALGORITMUS

4.2. F4 algoritmus Tento algoritmus se pouˇz´ıvá pro v´ ypoˇcet Gröbnerov´ ych báz´ı stejnˇe jako Buchberger˚ uv algoritmus. Oproti Buchbergerovˇe algoritmu je ale v´ ystupem z F4 algoritmu neredukovaná Gröbnerova báze. T´ım ale nevzniká ˇza´dn´ y problém, protoˇze vytvoˇrit redukovanou Gröbnerovu bázi je jiˇz snadn´ yu ´kol. V´ yhodou tohoto algoritmu je pˇredevˇs´ım jeho rychlost. Ukaˇzme tedy, jak jsme implementovali dan´ y algoritmus do prostˇred´ı Wolfram Mathematica a jeho volán´ı.

4.2.1. Implementace algoritmu Pro v´ ypoˇcet Gröbnerov´ ych báz´ı pomoc´ı F4 algoritmu jsme vytvoˇrili funkˇcn´ı bal´ık v prostˇred´ı Wolfram Mathematica. K pouˇzit´ı toho bal´ıku mus´ıme vytvoˇrit sloˇzku s názvem ”F4algorithm“. Do této sloˇzky zkop´ırujeme bal´ık ”F4algorithm.m“. F4 algoritmus obsahuje dva podalgoritmy, a to redukci a symbolické pˇreprocesován´ı. Pro kaˇzd´ y podalgoritmus sestav´ıme vlastn´ı funkci. Zaˇcnˇeme tedy tˇemito podalgoritmy. Vstupem je zde mnoˇzina zadan´ ych polynom˚ u a dále mnoˇzina dvojic. V´ ystupem bude mnoˇzina polynom˚ u. Pop´ıˇseme si, co se v dan´ ych podalgoritmech poˇc´ıtá • Symbolick´ e pˇ reprocesov´ an´ı V tomto podalgoritmu nejdˇr´ıve roznásob´ıme vˇsechny prvky v L, poté mus´ıme vypsat vˇsechny hlavn´ı monomy dle daného monomického uspoˇra´dán´ı. Dále mus´ıme vypsat také vˇsechny monomy a udˇeláme rozd´ıl tˇechto dvou mnoˇzin. V dalˇs´ım kroku spoˇc´ıtáme vˇsechny hlavn´ı monomy ze zadan´ ych polynom˚ u. Prozkoumáme top ireducibilitu. V´ ysledné polynomy pak pˇridáme k polynom˚ um, které vznikly roznásoben´ım L. • Redukce Pro danou mnoˇzinu polynom˚ u sestav´ıme matici koeficient˚ u. Dále tuto matici pˇrevedeme na ˇra´dkovˇe schodovit´ y tvar a vyp´ıˇseme novˇe vzniklé polynomy. Pokud je nˇekter´ y hlavn´ı monom novˇe vznikl´ ych polynom˚ u jiˇz obsaˇzen v nˇekterém z hlavn´ım monom˚ u polynom˚ u pˇred redukc´ı, pak ho vynecháme, jinak ho do mnoˇziny polynom˚ u pˇridáme. V hlavn´ım algoritmu je vstupem pouze mnoˇzina polynom˚ u. V´ ystupem pak mnoˇzina polynom˚ u a to neredukovaná Gröbnerova báze. V tomto algoritmu nejdˇr´ıve mus´ıme vypsat hlavn´ı monomy dan´ ych polynom˚ u dle daného monomického uspoˇra´dán´ı. Poté spoˇc´ıtáme nejmenˇs´ı spoleˇcné násobky tˇechto monom˚ u a sestav´ıme pˇetice dle definice. Napln´ıme zb´ yvaj´ıc´ı promˇenné a zavoláme funkci Redukce. Poté opˇet mus´ıme urˇcit hlavn´ı monomy mnoˇziny polynom˚ u a porovnat s hlavn´ımi monomy zadan´ ych polynom˚ u. Pokud se nˇejak´ y hlavn´ı monom vyskytuje uˇz mezi hlavn´ımi monomy ze zadan´ ych polynom˚ u, dan´ y polynom nepˇridáváme, jinak ho pˇridáme do v´ ysledné mnoˇziny. Spoˇc´ıtáme také nové pˇetice. Vˇse opakuje do té doby, neˇz je mnoˇzina pˇetic nulová.

4.2.2. Pouˇ zit´ı algoritmu F4 algoritmus jsme implementovali pouze pro poˇc´ıtán´ı nad reáln´ ymi ˇc´ısly a pro lexikografické uspoˇra´dán´ı. Nejdˇr´ıve si mus´ıme nahrát bal´ık F4algorithm.m takto << F4algorithm‘F4algorithm‘ 44

˚ 4. IMPLEMENTACE ALGORITMU Poté zadáme mnoˇzinu polynom˚ u Poly={x^2 y - y, 2 x y + y, -5 + x z} Pro ovˇeˇren´ı správnosti podalgoritm˚ u zadáme jeˇstˇe mnoˇzinu dvojic. Pro náˇs pˇr´ıklad L = {2 (-y + x^2 y), x (y + 2 x y)} Nyn´ı zavoláme jednotlivé podalgoritmy. Nejdˇr´ıve spust´ıme Symbolické pˇreprocesován´ı SymbolicPreprocessing[L, Poly] V´ ystupem bude mnoˇzina polynom˚ u {y + 2 x y, -2 y + 2 x^2 y, x y + 2 x^2 y} Dále spust´ıme funkci Redukce F4Reduction[L, Poly] V´ ystupem bude mnoˇzina polynom˚ u. V naˇsem pˇr´ıpadˇe {y} Zavoláme funkci “F4alg“. Pro náˇs pˇr´ıklad F4alg[Poly] V´ ystupem je opˇet mnoˇzina polynom˚ u a to neredukovaná Gröbnerova báze. {y, y + 2 x y, -y + x^2 y} Z této mnoˇziny vytvoˇr´ıme redukovanou Gröbnerovu bázi snadno, pouze porovnán´ım hlavn´ıch monom˚ u u dan´ ych polynom˚ u. Vid´ıme, ˇze hlavn´ı monom druhého polynomu je x násobkem hlavn´ıho monomu prvn´ıho polynomu a hlavn´ı monom tˇret´ıho polynomu je x2 násobkem hlavn´ıho monomu prvn´ıho polynomu. Tedy v´ ysledná Gröbnerova báze obsahuje pouze jeden polynom a to y.

ˇ 4.3. Cuang-c’˚ uv algoritmus Tento algoritmus pˇrevád´ı mnoˇzinu polynomick´ ych zobrazen´ı o vˇetˇs´ım poˇctu promˇenn´ ych na jednu rovnici o jedné promˇenné. Toho doc´ıl´ıme snadno pomoc´ı Teorému 77. My jsme se vˇsak zab´ yvali, zda se v´ ysledek z Teorému 77 bude shodovat s v´ ysledkem spoˇc´ıtan´ ym pomoc´ı Lagrangeova interpolaˇcn´ıho polynomu. Zab´ yvali jsme se tedy implementac´ı Lagrangeovy interpolace. Pro poˇc´ıtán´ı s rozˇs´ıˇren´ ym polem jsem vyuˇzila program Python, v nˇemˇz je vˇse jednoduˇse interpretovatelné. Nejdˇr´ıve si mus´ıme sestavit tabulky pro sˇc´ıtán´ı a násoben´ı nad dan´ ym rozˇs´ıˇren´ ym polem, v naˇsem pˇr´ıpadˇe pro rozˇs´ıˇrené pole GF (16). Dále mus´ıme sestavit tabulku hodnot pro mnoˇzinu polynomick´ ych zobrazen´ı. Nyn´ı jiˇz pˇrejdˇeme k samotnému programu. 45

ˇ ˚ ALGORITMUS 4.3. CUANG-C’ UV

4.3.1. Popis jednotliv´ ych funkc´ı Cel´ y program se skládá z 8 funkc´ı, které si v této ˇca´sti detailnˇeji pop´ıˇseme. sum int Tato funkce slouˇz´ı k seˇcten´ı dvou ˇc´ısel z dané aditivn´ı tabulky. Napˇr. pro souˇcet ˇc´ısel 2, 3 bude vstup tvaru sum_int(2,3) V´ ystupem je tedy souˇcet tˇechto ˇc´ısel, tedy opˇet pouze ˇc´ıslo, v naˇsem pˇr´ıpadˇe 1 Poznamenejme, ˇze jsou zde zahrnuta vˇsechna pravidla pro souˇcet ˇc´ısel nad dan´ ym rozˇs´ıˇren´ ym koneˇcn´ ym polem, a to a = −a, a + a = 0, a + 0 = a, a + b = b + a. multiply int Tato funkce slouˇz´ı k vynásoben´ı dvou ˇc´ısel z dané multiplikativn´ı tabulky. Napˇr. pro souˇcin ˇc´ısel 4, 8 bude vstup tvaru multiply_int(4,8) V´ ystupem je tedy souˇcin tˇechto ˇc´ısel, tedy opˇet pouze ˇc´ıslo, v naˇsem pˇr´ıpadˇe 9 I u této funkce jsou zahrnuta pravidla pro souˇcin dvou ˇc´ısel nad dan´ ym polem, a to a = −a, a ∗ 0 = 0, a ∗ 1 = a, a ∗ b = b ∗ a. divide int Tato funkce slouˇz´ı k vydˇelen´ı dvou ˇc´ısel z dané multiplikativn´ı tabulky. Tato funkce proj´ıˇzd´ı danou multiplikativn´ı tabulku a hledá, které ˇc´ıslo mus´ı vynásobit s druh´ ym ze zadan´ ych ˇc´ısel, aby dostala prvn´ı ˇc´ıslo. Napˇr. pro pod´ıl ˇc´ısel 4, 8 bude vstup tvaru divide_int(4,8) V´ ystupem je tedy pod´ıl tˇechto ˇc´ısel, tedy opˇet pouze ˇc´ıslo, v naˇsem pˇr´ıpadˇe 3 Zjistili jsme tedy, ˇze pod´ıl dvou ˇc´ısel je roven 3, tedy pokud vynásob´ıme 3∗8, dostaneme ˇc´ıslo 4. multiply poly Tato funkce slouˇz´ı k vynásoben´ı dvou polynom˚ u. Vstupem jsou tedy dva polynomy a v´ ystupem bude jejich souˇcin. Tato funkce je dále vyuˇzita v souˇcinu vˇetˇs´ıho poˇctu polynom˚ u. Ukáˇzeme si ukázkov´ y vstup i v´ ystup. Vezmˇeme si napˇr´ıklad polynomy 1+2x, 3+2x. Polynomy zadáme pomoc´ı koeficient˚ u vzestupnˇe dle mocniny u x, tedy ukázkov´ y vstup je tvaru 46

˚ 4. IMPLEMENTACE ALGORITMU _multiply_poly([1,2],[3,2]) Po spuˇstˇen´ı dostaneme v´ ystup tvaru [3, 3, 3] coˇz zastupuje polynom 3 + 3x + 3x2 . multiply poly Tato funkce slouˇz´ı k vynásoben´ı libovolného poˇctu polynom˚ u. Polynomy opˇet zap´ıˇseme pomoc´ı koeficient˚ u u jednotliv´ ych mocnin vzestupnˇe. Chceme-li tedy vynásobit polynomy 1 + 2x, 3 + 2x, 3 + 2x + 2X 2 , mus´ıme zadat následuj´ıc´ı multiply_poly([1,2],[3,2],[3,2,2]) V´ ysledkem pak bude souˇcin tˇechto polynom˚ u, tedy [2, 3, 2, 0, 1] coˇz zastupuje polynom 2 + 3x + 2x2 + x4 . sum poly Tato funkce slouˇz´ı k seˇcten´ı libovolného poˇctu polynom˚ u. Chceme-li seˇc´ıst napˇr. po2 2 2 3 lynomy 1 + 2x + 2x , 3 + 2x + 4x , 4 + 5x + x , zap´ıˇseme sum_poly([1,2,2],[3,2,4],[4,0,5,1]) V´ ystupem pak bude souˇcet dan´ ych polynom˚ u [6, 0, 3, 1] coˇz zastupuje polynom 6 + 3x2 + x3 . print poly Tato funkce slouˇz´ı k u ´pravˇe v´ ystupu. Je- li v´ ystupem polynom, pak jednotliv´ ym koeficient˚ um pˇriˇrad´ı pˇr´ısluˇsnou mocninu x. Nulové ˇcleny se nevypisuj´ı. print_poly([3,0,2,1]) V´ ystup bude tedy tvaru ’3x^0 + 2x^2 + x^3’ calculate lagrange Toto je hlavn´ı funkce celého programu. Mus´ıme zde zadat funkˇcn´ı hodnoty ve vˇsech bodech. V tomto algoritmu jsou vyuˇzity vˇsechny pˇredchoz´ı funkce pro v´ ypoˇcet jednotliv´ ych ls , které vynásob´ı dan´ ymi funkˇcn´ımi hodnotami, coˇz oznaˇc´ıme Ls . Poté se jiˇz jednotlivé Ls seˇctou a vyjde Lagrange˚ uv interpolaˇcn´ı polynom. Ukáˇzeme si ukázkov´ y v´ ystup pro urˇcité funkˇcn´ı hodnoty. Tyto hodnoty zap´ıˇseme následovnˇe 47

ˇ ˚ ALGORITMUS 4.3. CUANG-C’ UV mapping = [9, 11, 11, 11, 13, 4, 10, 1, 13, 1, 4, 10, 13, 10, 1, 4], kde prvn´ı hodnota odpov´ıdá bodu x = 0 a posledn´ı odpov´ıdá bodu x = 16. Poté jiˇz spust´ıme danou funkci calculate_lagrange() a dostaneme v´ ystup tvaru [1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1] = -----------------------------------------------1 [0, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1] l1 = -----------------------------------------------1 [0, 3, 2, 1, 3, 2, 1, 3, 2, 1, 3, 2, 1, 3, 2, 1] l2 = -----------------------------------------------1 [0, 2, 3, 1, 2, 3, 1, 2, 3, 1, 2, 3, 1, 2, 3, 1] l3 = -----------------------------------------------1 [0, 10, 13, 9, 8, 2, 15, 6, 14, 12, 3, 5, 11, 7, 4, 1] l4 = -----------------------------------------------------1 [0, 8, 14, 11, 10, 2, 12, 7, 13, 15, 3, 4, 9, 6, 5, 1] l5 = -----------------------------------------------------1 [0, 14, 10, 12, 13, 3, 9, 5, 8, 11, 2, 7, 15, 4, 6, 1] l6 = -----------------------------------------------------1 [0, 13, 8, 15, 14, 3, 11, 4, 10, 9, 2, 6, 12, 5, 7, 1] l7 = -----------------------------------------------------1 [0, 5, 6, 9, 4, 3, 15, 13, 7, 12, 2, 10, 11, 14, 8, 1] l8 = -----------------------------------------------------1 [0, 11, 12, 15, 9, 1, 11, 12, 15, 9, 1, 11, 12, 15, 9, 1] l9 = --------------------------------------------------------1 [0, 4, 7, 11, 5, 3, 12, 14, 6, 15, 2, 8, 9, 13, 10, 1] l10 = -----------------------------------------------------1 [0, 9, 15, 12, 11, 1, 9, 15, 12, 11, 1, 9, 15, 12, 11, 1] l11 = --------------------------------------------------------1 [0, 15, 11, 9, 12, 1, 15, 11, 9, 12, 1, 15, 11, 9, 12, 1] l12 = --------------------------------------------------------1

l0

48

˚ 4. IMPLEMENTACE ALGORITMU [0, 7, 5, 12, 6, 2, 9, 10, 4, 11, 3, 14, 15, 8, 13, 1] l13 = -----------------------------------------------------1 [0, 6, 4, 15, 7, 2, 11, 8, 5, 9, 3, 13, 12, 10, 14, 1] l14 = -----------------------------------------------------1 [0, 12, 9, 11, 15, 1, 12, 9, 11, 15, 1, 12, 9, 11, 15, 1] l15 = --------------------------------------------------------1 Ls = [[9, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 9], [0, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11, 11], [0, 6, 13, 11, 6, 13, 11, 6, 13, 11, 6, 13, 11, 6, 13, 11], [0, 13, 6, 11, 13, 6, 11, 13, 6, 11, 13, 6, 11, 13, 6, 11], [0, 9, 8, 2, 15, 6, 14, 12, 3, 5, 11, 7, 4, 1, 10, 13], [0, 9, 6, 5, 1, 8, 14, 11, 10, 2, 12, 7, 13, 15, 3, 4], [0, 12, 13, 3, 9, 5, 8, 11, 2, 7, 15, 4, 6, 1, 14, 10], [0, 13, 8, 15, 14, 3, 11, 4, 10, 9, 2, 6, 12, 5, 7, 1], [0, 7, 12, 2, 10, 11, 14, 8, 1, 5, 6, 9, 4, 3, 15, 13], [0, 11, 12, 15, 9, 1, 11, 12, 15, 9, 1, 11, 12, 15, 9, 1], [0, 7, 11, 5, 3, 12, 14, 6, 15, 2, 8, 9, 13, 10, 1, 4], [0, 8, 6, 3, 7, 10, 8, 6, 3, 7, 10, 8, 6, 3, 7, 10], [0, 14, 4, 2, 5, 13, 14, 4, 2, 5, 13, 14, 4, 2, 5, 13], [0, 4, 11, 3, 14, 15, 8, 13, 1, 7, 5, 12, 6, 2, 9, 10], [0, 6, 4, 15, 7, 2, 11, 8, 5, 9, 3, 13, 12, 10, 14, 1], [0, 14, 13, 5, 2, 4, 14, 13, 5, 2, 4, 14, 13, 5, 2, 4]] L = 9x^0 + 8x^6 + 2x^9 + 8x^12 V´ ysledn´ y Lagrange˚ uv polynom je tedy tvaru 8x12 + 2x9 + 8x6 + 9.

49

ˇ ˚ ALGORITMUS 4.3. CUANG-C’ UV

50

´ ER ˇ 5. ZAV

5. Z´ avˇ er C´ılem této diplomové práce bylo sestavit pˇrehled komutativn´ı algebry se zamˇeˇren´ım na Gröbnerovy báze. Dalˇs´ım c´ılem bylo popsat multivariaˇcn´ı kryptosystémy a ataky na nˇe. Posledn´ım c´ılem byla implementace dan´ ych algoritm˚ u. Diplomová práce je ˇclenˇena do tˇr´ı kapitol. V prvn´ı kapitole je sepsán pˇrehled komutativn´ı algebry zamˇeˇren´ y na Gröbnerovy báze. Je zde prostudována také problematika ideál˚ u, monomického uspoˇra´dán´ı a teorie eliminace. Ve druhé kapitole je sestaven pˇrehled multivariaˇcn´ıch kryptosystém˚ u. Dále jsou zde studovány tˇri algoritmy. Buchberger˚ uv algoritmus a F4 algoritmus vyuˇz´ıvaj´ıc´ı Gröbnerovy báze a posledn´ım algoritmem ˇ je Cuang-c’˚ uv algoritmus, kter´ y vyuˇz´ıvá rozˇs´ıˇrená koneˇcná pole a pˇrevod vˇetˇs´ıho poˇctu multivariaˇcn´ıch polynomick´ ych rovnic na jednu polynomickou rovnici o jedné promˇenné. V posledn´ı kapitole jsme se zab´ yvali implementac´ı dan´ ych algoritm˚ u. Buchberger˚ uv algoritmus je v prostˇred´ı Wolfram Mathematica jiˇz implementován, tud´ıˇz jsme se zab´ yvali pouˇzit´ım daného algoritmu. F4 algoritmus jsme implementovali do programu Wolfram Mathematica. Byl vytvoˇren funkˇcn´ı bal´ık ˇreˇs´ıc´ı F4 algoritmus nad reáln´ ymi ˇc´ısly pro lexikografické uspoˇra´dán´ı. U posledn´ıho algoritmu byl vytvoˇren program v jazyce Python poˇc´ıtaj´ıc´ı Lagrange˚ uv interpolaˇcn´ı polynom nad rozˇs´ıˇren´ ym koneˇcn´ ym polem. K diplomové práci jsou pˇriloˇzeny pˇr´ıklady, v kter´ ych jsou procviˇcovány ideály, Gröbnerovy báze, S-polynomy a implicitizace. Dále jsou pˇriloˇzeny kódy a to pro F4 algoritmu a pro v´ ypoˇcet Lagrangeova interpolaˇcn´ıho polynomu.

51

52

LITERATURA

Literatura [1] Cox, D., Little, J., O’Shea, D. Ideals, Varieties, and Algorithms. Springer Science+Business Media, LLC, Third edition, 2007. [2] Faugère, J. Ch. A new efficient algorithm for computing Gröbner bases (F4). LIP6/CNRS Université Paris VI, 1999. [3] Patarin, J. Cryptanalysis of the Matsumoto and Imai Public Key Scheme of Eurocrypt’88. CP8 TRANSAC, 1988. [4] Ding, J., Gower, E. J., Schmidt, S. D. Zhuang-Zi: A New Algorithm for Solving Multivariate Polynomial Equations over a Finite Field. University of Cincinnati. [5] Wang, Z.,Nie, X.,Zheng, S.,Yang, Y.,Zhang, Z. A New Construction of Multivariate Public Key Encryption Scheme through Internally Perturbed Plus. Beijing University of Posts and Telecommunications. [6] Ding, J., Schmidt, D. Multivariable Public–Key Cryptosystems. University of Cincinnati. [7] Wolfram Mathematica Core Language. Wolfram Research, Inc., 2008.

53

LITERATURA

54

ˇ ÍLOHA 6. PR

6. Pˇ r´ıloha 6.1. Pˇ r´ıklady 6.1.1. Ide´ aly Pˇ r´ıklad 1: Mˇejme ideál i = (x4 , y 4 , x2 y 2 , x2 + y 3 ). To znamená, ˇze i je generován mnoˇzinou G = {x4 , y 4 , x2 y 2 , x2 + y 3 }. Kaˇzd´ y prvek i je tvaru P (x, y) x4 + Q (x, y) y 4 + R (x, y) x2 y 2 + S (x, y) (x2 + y 3 ). Do i patˇr´ı: x4 y4 x2 y 2 x2 + y 3 / · y ⇒ x2 y + y 4 ∈ i ⇒ x2 y ∈ i

Tedy do i patˇr´ı: x4 y4 x2 y x2 + y 3

Jelikoˇz x4 i x2 y jsou dˇelitelné x2 , coˇz je hlavn´ı monom u x2 + y 3 , m˚ uˇzeme je vynechat. 4 2 3 Tzn. obecn´ y prvek je tvaru P (x, y) y + Q (x, y) (x + y ). Pro obecn´ y prvek tohoto tvaru zkoumáme jeho hlavn´ı monom (LM ). Zjist´ıme, ˇze kaˇzd´ y prvek m˚ uˇzeme vygenerovat vˇzdy z x2 + y 3 , y 4 . in i je ideál generovan´ y LM libovolného polynomu z i. in i = (x2 , y 4 ). Vezmeme-li LM z prvk˚ u g pˇri lexikografickém uspoˇra´dán´ı, máme {x4 , y 4 , x2 y 2 , x2 }, coˇz nen´ı minimáln´ı mnoˇzina generátor˚ u. LM (G) = {x2 , y 4 }. Tzn. G je Gröbnerova báze.

Pˇ r´ıklad 2: Mˇejme ideál i = (x4 , y 4 , x2 y 2 , x2 + xy 2 ). To znamená, ˇze i je generován mnoˇzinou G = {x4 , y 4 , x2 y 2 , x2 + xy 2 }. Kaˇzd´ y prvek i je tvaru P (x, y) x4 +Q (x, y) y 4 +R (x, y) x2 y 2 + S (x, y) (x2 + xy 2 ). Do i patˇr´ı: x4 y4 x2 y 2 x2 + xy 2 / · x ⇒ x3 + x2 y 2 ∈ i ⇒ x3 ∈ i ⇒ x4 ∈ i, x2 y 2 ∈ i

55

ˇ ÍKLADY 6.1. PR Tedy do i patˇr´ı: y4 x2 + xy 2 Tzn. obecn´ y prvek je tvaru P (x, y) y 4 +Q (x, y) (x2 + xy 2 ). Pro obecn´ y prvek tohoto tvaru zkoumáme jeho hlavn´ı monom (LM ). Zjist´ıme, ˇze kaˇzd´ y prvek m˚ uˇzeme vygenerovat vˇzdy z y 4 , x2 + xy 2 . Z toho plyne tvar poˇcáteˇcn´ıho ideálu in i = (x2 + xy 2 , y 4 ) = (x2 , y 4 ). Vezmeme-li LM z prvk˚ u g pˇri lexikografickém uspoˇra´dán´ı, máme {x4 , y 4 , x2 y 2 , x2 }, coˇz nen´ı minimáln´ı mnoˇzina generátor˚ u. LM (G) = {x2 , y 4 }. Tzn. G je Gröbnerova báze.

Pˇ r´ıklad 3: Mˇejme ideál i = (x4 , y 4 , x2 y 2 , x2 + x2 y). To znamená, ˇze i je generován mnoˇzinou G = {x4 , y 4 , x2 y 2 , x2 + x2 y}. Kaˇzd´ y prvek i je tvaru P (x, y) x4 +Q (x, y) y 4 +R (x, y) x2 y 2 + S (x, y) (x2 + x2 y). Do i patˇr´ı: x4 y4 x2 y 2 x2 + x2 y / · y ⇒ x2 y + x2 y 2 ∈ i ⇒ x2 y ∈ i ⇒ x2 ∈ i, x2 y 2 ∈ i

Tedy do i patˇr´ı: x2 y4 Tzn. obecn´ y prvek je tvaru P (x, y) x2 +Q (x, y) y 4 . Pro obecn´ y prvek tohoto tvaru zkoumáme jeho hlavn´ı monom (LM ). Zjist´ıme, ˇze kaˇzd´ y prvek m˚ uˇzeme vygenerovat vˇzdy z x2 , y 4 . 2 4 Z toho plyne tvar poˇca´teˇcn´ıho ideálu in i = (x , y ). Vezmeme-li LM z prvk˚ u g pˇri lexi4 4 2 2 2 kografickém uspoˇrádán´ı, máme {x , y , x y , x }, coˇz nen´ı minimáln´ı mnoˇzina generátor˚ u. 2 4 LM (G) = {x , y }. Tzn. G je Gröbnerova báze.

Pˇ r´ıklad 4: Mˇejme ideál i = (x4 , y 4 , x2 y 2 , x2 + x3 ). To znamená, ˇze i je generován mnoˇzinou G = {x4 , y 4 , x2 y 2 , x2 + x3 }. Kaˇzd´ y prvek i je tvaru P (x, y) x4 + Q (x, y) y 4 + R (x, y) x2 y 2 + 2 3 S (x, y) (x + x ). Do i patˇr´ı: x4 y4 x2 y 2 x2 + x 3 / · x ⇒ x3 ∈ i ⇒ x2 ∈ i

56

ˇ ÍLOHA 6. PR Tedy do i patˇr´ı: x2 y4

Tzn. obecn´ y prvek je tvaru P (x, y) x2 + Q (x, y) y 4 . Pro obecn´ y prvek tohoto tvaru zkoumáme jeho hlavn´ı monom (LM ). Zjist´ıme, ˇze kaˇzd´ y prvek m˚ uˇzeme vygenerovat vˇzdy z 2 4 2 4 x , y . Z toho plyne tvar poˇca´teˇcn´ıho ideálu in i = (x , y ). Vezmeme-li LM z prvk˚ u g pˇri lexikografickém uspoˇra´dán´ı, máme {x4 , y 4 , x2 y 2 , x3 }, coˇz nen´ı minimáln´ı mnoˇzina generátor˚ u. LM (G) = {x3 , y 4 , x2 y 2 }. Tzn. G nen´ı Gröbnerova báze.

Pˇ r´ıklad 5: Mˇejme ideál i = (x4 , y 4 , x2 y 2 , xy + x3 ). To znamená, ˇze i je generován mnoˇzinou G = {x4 , y 4 , x2 y 2 , xy + x3 }. Kaˇzd´ y prvek i je tvaru P (x, y) x4 + Q (x, y) y 4 + R (x, y) x2 y 2 + S (x, y) (xy + x3 ). Do i patˇr´ı: x4 y4 x2 y 2 xy + x3 / · x ⇒ x2 y ∈ i, / · y ⇒ xy 2 ∈ i

Tedy do i patˇr´ı: xy 2 y4 x2 y x3 + xy

Tzn. obecn´ y prvek je tvaru P (x, y) xy 2 + Q (x, y) y 4 + R (x, y) x2 y + S (x, y) (x3 + xy). Pro obecn´ y prvek tohoto tvaru zkoumáme jeho hlavn´ı monom (LM ). Zjist´ıme, ˇze kaˇzd´ y prvek m˚ uˇzeme vygenerovat vˇzdy z xy 2 , y 4 , x2 y, x3 + xy. Z toho plyne tvar poˇca´teˇcn´ıho ideálu in i = (xy 2 , y 4 , x2 y, x3 + xy) = (x3 , x2 y, xy 2 , y 4 ). Vezmeme-li LM z prvk˚ u g pˇri lexikografickém uspoˇra´dán´ı, máme {x4 , y 4 , x2 y 2 , x3 }, coˇz nen´ı minimáln´ı mnoˇzina generátor˚ u. 3 2 2 4 LM (G) = {x , x y , y }. Tzn. G nen´ı Gröbnerova báze.

57

ˇ ÍKLADY 6.1. PR Pˇ r´ıklad 6: Mˇejme ideál i = (x4 , y 4 , x2 y 2 , xy + xy 2 ). To znamená, ˇze i je generován mnoˇzinou G = {x4 , y 4 , x2 y 2 , xy + xy 2 }. Kaˇzd´ y prvek i je tvaru P (x, y) x4 + Q (x, y) y 4 + R (x, y) x2 y 2 + 2 S (x, y) (xy + xy ). Do i patˇr´ı: x4 y4 x2 y 2 xy + xy 2 / · x ⇒ x2 y ∈ i, / · y, / · y 2 ⇒ xy 3 ∈ i ⇒ xy 2 ∈ i ⇒ xy ∈ i

Tedy do i patˇr´ı: x4 xy y4

Tzn. obecn´ y prvek je tvaru P (x, y) x4 + Q (x, y) xy + R (x, y) y 4 . Pro obecn´ y prvek tohoto tvaru zkoumáme jeho hlavn´ı monom (LM ). Zjist´ıme, ˇze kaˇzd´ y prvek m˚ uˇzeme vygenerovat vˇzdy z x4 , xy, y 4 . Z toho plyne tvar poˇcáteˇcn´ıho ideálu in i = (x4 , xy, y 4 ). Vezmeme-li LM z prvk˚ u g pˇri lexikografickém uspoˇra´dán´ı, máme {x4 , y 4 , x2 y 2 , xy 2 }, coˇz nen´ı minimáln´ı mnoˇzina generátor˚ u. LM (G) = {x4 , xy 2 , y 4 }. Tzn. G nen´ı Gröbnerova báze.

Pˇ r´ıklad 7: Mˇejme ideál i = (x4 , y 4 , x2 y 2 , xy + x2 y). To znamená, ˇze i je generován mnoˇzinou G = 4 4 {x , y , x2 y 2 , xy + x2 y}. Kaˇzd´ y prvek i je tvaru P (x, y) x4 + Q (x, y) y 4 + R (x, y) x2 y 2 + S (x, y) (xy + x2 y). Do i patˇr´ı: x4 y4 x2 y 2 xy + x2 y / · y ⇒ xy 2 ∈ i, / · x ⇒ x2 y + x3 y ∈ i ⇒ x2 y ∈ i ⇒ xy ∈ i

Tedy do i patˇr´ı: x4 xy y4

Tzn. obecn´ y prvek je tvaru P (x, y) x4 + Q (x, y) xy + R (x, y) y 4 . Pro obecn´ y prvek tohoto tvaru zkoumáme jeho hlavn´ı monom (LM ). Zjist´ıme, ˇze kaˇzd´ y prvek m˚ uˇzeme 4 4 4 vygenerovat vˇzdy z x , xy, y . Z toho plyne tvar poˇcáteˇcn´ıho ideálu in i = (x , xy, y 4 ). 58

ˇ ÍLOHA 6. PR Vezmeme-li LM z prvk˚ u g pˇri lexikografickém uspoˇrádán´ı, máme {x4 , y 4 , x2 y 2 , x2 y}, coˇz nen´ı minimáln´ı mnoˇzina generátor˚ u. LM (G) = {x4 , x2 y, y 4 }. Tzn. G nen´ı Gröbnerova báze.

Pˇ r´ıklad 8: Mˇejme ideál i = (x4 , y 4 , x2 y 2 , xy + y 3 ). To znamená, ˇze i je generován mnoˇzinou G = {x4 , y 4 , x2 y 2 , xy + y 3 }. Kaˇzd´ y prvek i je tvaru P (x, y) x4 + Q (x, y) y 4 + R (x, y) x2 y 2 + 3 S (x, y) (xy + y ). Do i patˇr´ı: x4 y4 x2 y 2 xy + y 3 / · y ⇒ xy 2 ∈ i Tedy do i patˇr´ı: x4 xy + y 3 y4 Tzn. obecn´ y prvek je tvaru P (x, y) x4 +Q (x, y) (xy+y 3 )+R (x, y) y 4 . Pro obecn´ y prvek tohoto tvaru zkoumáme jeho hlavn´ı monom (LM ). Zjist´ıme, ˇze kaˇzd´ y prvek m˚ uˇzeme vyge4 3 4 4 nerovat vˇzdy z x , xy+y , y . Z toho plyne tvar poˇcáteˇcn´ıho ideálu in i = (x , xy + y 3 , y 4 ) = (x4 , xy, y 4 ). Vezmeme-li LM z prvk˚ u g pˇri lexikografickém uspoˇra´dán´ı, máme {x4 , y 4 , x2 y 2 , xy}, coˇz nen´ı minimáln´ı mnoˇzina generátor˚ u. LM (G) = {x4 , xy, y 4 }. Tzn. G je Gröbnerova báze.

Pˇ r´ıklad 9: Mˇejme ideál i = (x4 , y 4 , x2 y 2 , x3 + y 2 ). To znamená, ˇze i je generován mnoˇzinou G = 4 4 {x , y , x2 y 2 , x3 + y 2 }. Kaˇzd´ y prvek i je tvaru P (x, y) x4 + Q (x, y) y 4 + R (x, y) x2 y 2 + S (x, y) (x3 + y 2 ). Do i patˇr´ı: x4 y4 x2 y 2 x3 + y 2 / · x ⇒ xy 2 ∈ i Tedy do i patˇr´ı: xy 2 x3 + y 2 y4

59

ˇ ÍKLADY 6.1. PR Tzn. obecn´ y prvek je tvaru P (x, y) xy 2 +Q (x, y) (x3 +y 2 )+R (x, y) y 4 . Pro obecn´ y prvek tohoto tvaru zkoumáme jeho hlavn´ı monom (LM ). Zjist´ıme, ˇze kaˇzd´ y prvek m˚ uˇzeme vygenerovat vˇzdy z xy 2 , x3 + y 2 , y 4 . Z toho plyne tvar poˇca´teˇcn´ıho ideálu in i = (xy 2 , x3 + y 2 , y 4 ) = (x3 , xy 2 , y 4 ). Vezmeme-li LM z prvk˚ u g pˇri lexikografickém 4 4 2 2 3 uspoˇra´dán´ı, máme {x , y , x y , x }, coˇz nen´ı minimáln´ı mnoˇzina generátor˚ u. LM (G) = 3 2 2 4 {x , x y , y }. Tzn. G nen´ı Gröbnerova báze.

Pˇ r´ıklad 10: Mˇejme ideál i = (x4 , y 4 , x2 y 2 , xy 2 + y 2 ). To znamená, ˇze i je generován mnoˇzinou G = {x4 , y 4 , x2 y 2 , xy 2 + y 2 }. Kaˇzd´ y prvek i je tvaru P (x, y) x4 +Q (x, y) y 4 +R (x, y) x2 y 2 + 2 2 S (x, y) (xy + y ). Do i patˇr´ı: x4 y4 x2 y 2 xy 2 + y 2 / · x ⇒ xy 2 ∈ i ⇒ y 2 ∈ i Tedy do i patˇr´ı: y2 x4 Tzn. obecn´ y prvek je tvaru P (x, y) y 2 + Q (x, y) x4 . Pro obecn´ y prvek tohoto tvaru zkoumáme jeho hlavn´ı monom (LM ). Zjist´ıme, ˇze kaˇzd´ y prvek m˚ uˇzeme vygenerovat vˇzdy 2 4 2 4 z y , x . Z toho plyne tvar poˇcáteˇcn´ıho ideálu in i = (y , x ). Vezmeme-li LM z prvk˚ u g pˇri lexikografickém uspoˇra´dán´ı, máme {x4 , y 4 , x2 y 2 , xy 2 }, coˇz nen´ı minimáln´ı mnoˇzina generátor˚ u. LM (G) = {x4 , xy 2 , y 4 }. Tzn. G nen´ı Gröbnerova báze.

Pˇ r´ıklad 11: Mˇejme ideál i = (x4 , y 4 , x2 y 2 , x2 y + y 2 ). To znamená, ˇze i je generován mnoˇzinou G = {x4 , y 4 , x2 y 2 , x2 y + y 2 }. Kaˇzd´ y prvek i je tvaru P (x, y) x4 +Q (x, y) y 4 +R (x, y) x2 y 2 + 2 2 S (x, y) (x y + y ). Do i patˇr´ı: x4 y4 x2 y 2 x2 y + y 2 / · y ⇒ y 3 ∈ i Tedy do i patˇr´ı: y3 x4 x2 y + y 2

60

ˇ ÍLOHA 6. PR Tzn. obecn´ y prvek je tvaru P (x, y) y 3 +Q (x, y) x4 +R (x, y) (x2 y +y 2 ). Pro obecn´ y prvek tohoto tvaru zkoumáme jeho hlavn´ı monom (LM ). Zjist´ıme, ˇze kaˇzd´ y prvek m˚ uˇzeme vygenerovat vˇzdy z y 3 , x4 , x2 y + y 2 . Z toho plyne tvar poˇca´teˇcn´ıho ideálu in i = (y 3 , x4 , x2 y +y 2 ) = (x4 , x2 y, y 4 ). Vezmeme-li LM z prvk˚ u g pˇri lexikografickém uspoˇrádán´ı, máme 4 4 2 2 2 {x , y , x y , x y}, coˇz nen´ı minimáln´ı mnoˇzina generátor˚ u. LM (G) = {x4 , x2 y, y 4 }. Tzn. G nen´ı Gröbnerova báze.

Pˇ r´ıklad 12: Mˇejme ideál i = (x4 , y 4 , x2 y 2 , y 3 + y 2 ). To znamená, ˇze i je generován mnoˇzinou G = {x4 , y 4 , x2 y 2 , y 3 + y 2 }. Kaˇzd´ y prvek i je tvaru P (x, y) x4 + Q (x, y) y 4 + R (x, y) x2 y 2 + 3 2 S (x, y) (y + y ). Do i patˇr´ı: x4 y4 x2 y 2 y3 + y2 / · y ⇒ y3 ∈ i ⇒ y2 ∈ i

Tedy do i patˇr´ı: y2 x4 Tzn. obecn´ y prvek je tvaru P (x, y) y 2 + Q (x, y) x4 . Pro obecn´ y prvek tohoto tvaru zkoumáme jeho hlavn´ı monom (LM ). Zjist´ıme, ˇze kaˇzd´ y prvek m˚ uˇzeme vygenerovat vˇzdy z y 2 , x4 . Z toho plyne tvar poˇca´teˇcn´ıho ideálu in i = (y 2 , x4 ). Vezmeme-li LM z prvk˚ u 4 4 2 2 3 g pˇri lexikografickém uspoˇrádán´ı, máme {x , y , x y , y }, coˇz nen´ı minimáln´ı mnoˇzina generátor˚ u. LM (G) = {x4 , x2 y 2 , y 3 }. Tzn. G nen´ı Gröbnerova báze.

6.1.2. Implicitizace Implicitizace naivn´ım zp˚ usobem, to jest urˇcen´ım stupnˇe v´ ysledného polynomu Q. 2 2 Pˇ r´ıklad 1: x = t + t , y = 2t . Uvaˇzujme, ˇze Q je polynom 2. stupnˇe. Obecnˇe tedy m˚ uˇzeme polynom Q zapsat ve tvaru: Ax2 + Bxy + Cy 2 + Dx + Ey + F = 0. Za x, y dosad´ıme v´ yrazy ze zadán´ı a dostaneme 2 2 2 2 4 2 2 A(t + t ) + B(t + t )2t + 4Ct + D(t + t ) + 2Et + F = 0. Vyˇreˇs´ıme porovnán´ım koeficient˚ u u jednotliv´ ych mocnin: t4 : 2A + 2B + 4C t3 : 2A + 2B 2 t : A + D + 2E t1 : D 0 t : F

= = = = =

0 0 0 0 0

61

ˇ ÍKLADY 6.1. PR Vyˇreˇsen´ım rovnic dostáváme: A = −B, A = −2E, A = 4C, D = 0, F = 0. Zvol´ıme A = 4. Pak v´ ysledn´ y polynom Q je tvaru 4x2 − 4xy + y 2 − 2y = 0. Pˇ r´ıklad 2: x = t + t3 , y = t2 + 1. Uvaˇzujme, ˇze Q je polynom 3. stupnˇe. Obecnˇe tedy m˚ uˇzeme polynom Q zapsat ve tvaru: 3 2 2 3 2 2 Ax + Bx y + Cxy + Dy + Ex + F xy + Gy + Hx + Iy + J = 0. Za x, y dosad´ıme v´ yrazy ze zadán´ı a dostaneme A(t + t3 )3 + B(t + t3 )2 (t2 + 1) + C(t + t3 )(t2 + 1)2 + D(t2 + 1)3 + E(t + t3 )2 + F (t + t3 )(t2 + 1) + G(t2 + 1)2 + H(t + t3 ) + I(t2 + 1) + J = 0. Vyˇreˇs´ıme porovnán´ım koeficient˚ u u jednotliv´ ych mocnin: t9 : A 8 t : B t7 : 3A + C 6 t : 3B + D + E 5 t : 3A + 3C + F 4 t : 3B + 3D + 2E + G 3 t : A + 3C + 2F + H 2 t : B + 3D + E + 2G + I t1 : C +F +H 0 t : D+G+I +J

= = = = = = = = = =

0 0 0 0 0 0 0 0 0 0

Vyˇreˇsen´ım rovnic dostáváme: A = 0, B = 0, C = 0, D = −E, F = 0, G = E, I = 0, F = 0, H = 0, J = 0. Zvol´ıme D = 1. Pak v´ ysledn´ y polynom Q je tvaru y 3 − x2 − y 2 = 0. Pˇ r´ıklad 3: x = 1 + t3 , y = t2 + t. Uvaˇzujme, ˇze Q je polynom 3. stupnˇe. Obecnˇe tedy m˚ uˇzeme polynom Q zapsat ve tvaru: 3 2 2 3 2 2 Ax + Bx y + Cxy + Dy + Ex + F xy + Gy + Hx + Iy + J = 0. Za x, y dosad´ıme v´ yrazy ze zadán´ı a dostaneme A(1 + t3 )3 + B(1 + t3 )2 (t2 + t) + C(1 + t3 )(t2 + t)2 + D(t2 + t)3 + E(1 + t3 )2 + F (1 + t3 )(t2 + t) + G(t2 + t)2 + H(1 + t3 ) + I(t2 + t) + J = 0. Vyˇreˇs´ıme porovnán´ım koeficient˚ u u jednotliv´ ych mocnin: t9 : A 8 t : B 7 t : B+C 6 t : 3A + 2C + D + E 5 t : 2B + C + 3D + F 4 t : 2B + C + 3D + F + G 3 t : 3A + 2C + D + 2E + 2G + H t2 : B+C +F +G+I 1 t : B+F +I 0 t : A+E+H +J

62

= = = = = = = = = =

0 0 0 0 0 0 0 0 0 0

ˇ ÍLOHA 6. PR Vyˇreˇsen´ım rovnic dostáváme: A = 0, B = 0, C = 0, D = −E, 3D = −F, G = 0, E = −H, F = −I, J = 0. Zvol´ıme E = −1. Pak v´ ysledn´ y polynom Q je tvaru y 3 − x2 − 3xy + x + 3y = 0. Pˇ r´ıklad 4: x = t3 − 1, y = t2 + t. Uvaˇzujme, ˇze Q je polynom 3. stupnˇe. Obecnˇe tedy m˚ uˇzeme polynom Q zapsat ve tvaru: Ax3 + Bx2 y + Cxy 2 + Dy 3 + Ex2 + F xy + Gy 2 + Hx + Iy + J = 0. Za x, y dosad´ıme v´ yrazy ze zadán´ı a dostaneme A(t3 − 1)3 + B(t3 − 1)2 (t2 + t) + C(t3 − 1)(t2 + t)2 + D(t2 + t)3 + E(t3 − 1)2 + F (t3 − 1)(t2 + t) + G(t2 + t)2 + H(t3 − 1) + I(t2 + t) + J = 0. Vyˇreˇs´ıme porovnán´ım koeficient˚ u u jednotliv´ ych mocnin: t9 : A 8 t : B t7 : B+C 6 t : −3A + 2C + D + E 5 t : −2B + C + 3D + F t4 : −2B − C + 3D + F + G 3 t : 3A − 2C + D − 2E + 2G + H t2 : B−C −F +G+I 1 t : B−F +I 0 t : −A + E − H + J

= = = = = = = = = =

0 0 0 0 0 0 0 0 0 0

Vyˇreˇsen´ım rovnic dostáváme: A = 0, B = 0, C = 0, D = −E, 3D = −F, 3E = H, G = 0, F = I, J = 2E. Zvol´ıme E = −1. Pak v´ ysledn´ y polynom Q je tvaru y 3 − x2 − 3xy − 3x − 3y − 2 = 0.

6.1.3. S-polynomy Pˇ r´ıklad 1: P = x4 , Q = y 4 , R = x2 y 2 , T = x2 + y 3 . Spoˇc´ıtejte S-polynomy. S(P, Q) = S(P, R) =

x4 y 4 4 x4 y 4 4 x − 4 y =0 x4 y

x4 y 2 4 x4 y 2 2 2 x − 2 2x y = 0 x4 xy

x4 4 x4 2 x − 2 (x + y 3 ) = x2 y 3 = yR x4 x 2 4 x2 y 4 xy S(Q, R) = 4 y 4 − 2 2 x2 y 2 = 0 y xy

S(P, T ) =

S(Q, T ) =

x2 y 4 4 x2 y 4 2 y − 2 (x + y 3 ) = y 7 = y 3 Q y4 x

x2 y 2 2 2 x2 y 2 2 S(R, T ) = 2 2 x y − 2 (x + y 3 ) = y 5 = yQ xy x 63

ˇ ÍKLADY 6.1. PR Nedostali jsme ˇza´dn´ y nov´ y polynom ⇒ G = {x2 + y 3 , y 4 }. Z tohoto pˇr´ıkladu vid´ıme, ˇze jediné nenulové polynomy dostaneme pouze v kombinaci s polynomem T , ˇcehoˇz vyuˇzijeme v následuj´ıc´ıch u ´lohách, kde jiˇz zb´ yvaj´ıc´ı kombinace poˇc´ıtat nebudeme. Pˇ r´ıklad 4: P = x4 , Q = y 4 , R = x2 y 2 , T = x2 + x3 . Spoˇc´ıtejte S-polynomy. S(P, T ) =

x4 4 x4 3 x − 3 (x + x2 ) = x3 = U x4 x

S(Q, T ) =

x3 y 4 4 x3 y 4 3 y − 3 (x + x2 ) = x2 y 4 = y 2 R y4 x

S(R, T ) =

x3 y 2 2 2 x3 y 2 3 x y − 3 (x + x2 ) = x3 y 2 = xR x2 y 2 x

x3 3 x3 3 x − 3 (x + x2 ) = x2 = V x3 x Jeˇstˇe bychom mˇeli vypoˇc´ıtat S(V, T ), ale jak je jiˇz vidˇet, nic nového uˇz nevyjde. V tomto pˇr´ıpadˇe je ⇒ G = {x2 , y 4 }. S(U, T ) =

Pˇ r´ıklad 5: P = x4 , Q = y 4 , R = x2 y 2 , T = xy + x3 . Spoˇc´ıtejte S-polynomy. S(P, T ) = S(Q, T ) =

x4 4 x4 3 x − 3 (x + xy) = x2 y = U x4 x

x3 y 4 4 x3 y 4 3 y − 3 (x + xy) = xy 5 = V = y 2 W = y 3 Z 4 y x

x3 y 2 2 2 x3 y 2 3 S(R, T ) = 2 2 x y − 3 (x + xy) = xy 3 = W = yZ xy x S(U, T ) = S(Z, T ) =

x3 y 3 x3 y 3 xy − 3 (x + xy) = xy 2 = Z xy 3 x

x3 y 2 3 x3 y 2 3 xy − 3 (x + xy) = xy 3 = W xy 3 x

V tomto pˇr´ıpadˇe je ⇒ G = {x3 + xy, xy 2 , x2 y, y 4 }. Pˇ r´ıklad 6: P = x4 , Q = y 4 , R = x2 y 2 , T = xy 2 + xy. Spoˇc´ıtejte S-polynomy. S(P, T ) =

S(Q, T ) =

xy 4 4 xy 4 y − 2 (xy 2 + xy) = xy 3 = U = yW = y 2 Z y4 xy

S(R, T ) = S(U, T ) =

64

x4 y 2 4 x4 y 2 x − (xy 2 + xy) = x4 y = yP 4 2 x xy

x2 y 2 2 2 x2 y 2 xy − (xy 2 + xy) = x2 y = V x2 y 2 xy 2

xy 3 3 xy 3 xy − 2 (xy 2 + xy) = xy 2 = W = yZ 3 xy xy

ˇ ÍLOHA 6. PR S(V, T ) =

x2 y 2 x2 y 2 2 x y − (xy 2 + xy) = x2 y = V x2 y xy 2 xy 2 2 xy 2 xy − 2 (xy 2 + xy) = xy = Z xy 2 xy

S(W, T ) =

V tomto pˇr´ıpadˇe je ⇒ G = {x4 , xy, y 4 }. Pˇ r´ıklad 7: P = x4 , Q = y 4 , R = x2 y 2 , T = x2 y + xy. Spoˇc´ıtejte S-polynomy. x4 y 4 x4 y 2 x − 2 (x y + xy) = x3 y = U 4 x xy

S(P, T ) =

x2 y 4 4 x2 y 4 2 S(Q, T ) = 4 y − 2 (x y + xy) = xy 4 = y 2 V y xy S(R, T ) = S(U, T ) =

x2 y 2 2 2 x2 y 2 2 x y − 2 (x y + xy) = xy 2 = V x2 y 2 xy

x3 y 3 x3 y 2 x y − (x y + xy) = x2 y = Z = xW x3 y x2 y

S(V, T ) =

x2 y 2 2 x2 y 2 2 xy − 2 (x y + xy) = xy 2 = V xy 2 xy

S(Z, T ) =

x2 y 2 x2 y 2 x y − (x y + xy) = xy = W x2 y x2 y

V tomto pˇr´ıpadˇe je ⇒ G = {x4 , xy, y 4 }. Pˇ r´ıklad 9: P = x4 , Q = y 4 , R = x2 y 2 , T = x3 + y 2 . Spoˇc´ıtejte S-polynomy. x4 y 4 x4 y 3 x − 3 (x + y 2 ) = xy 2 = U x4 x

S(P, T ) = S(Q, T ) =

x3 y 4 4 x3 y 4 3 y − 3 (x + y 2 ) = y 6 = y 2 Q 4 y x

S(R, T ) =

x3 y 2 2 2 x3 y 2 3 x y − 3 (x + y 2 ) = y 4 = Q x2 y 2 x

S(U, T ) =

x3 y 2 2 x3 y 2 3 xy − 3 (x + y 2 ) = y 4 = Q xy 2 x

V tomto pˇr´ıpadˇe je ⇒ G = {x3 + y 2 , xy 2 , y 4 }. Pˇ r´ıklad 10: P = x4 , Q = y 4 , R = x2 y 2 , T = xy 2 + y 2 . Spoˇc´ıtejte S-polynomy. S(P, T ) =

x4 y 2 4 x4 y 2 x − (xy 2 + y 2 ) = x3 y 2 = xR x4 xy 2

S(Q, T ) =

xy 4 4 xy 4 y − 2 (xy 2 + y 2 ) = y 4 = Q y4 xy

x2 y 2 2 2 x2 y 2 S(R, T ) = 2 2 x y − (xy 2 + y 2 ) = xy 2 = U 2 xy xy 65

´ 6.2. KODY S(U, T ) =

xy 2 2 xy 2 xy − 2 (xy 2 + y 2 ) = y 2 xy 2 xy

V tomto pˇr´ıpadˇe je ⇒ G = {x4 , y 2 }. Pˇ r´ıklad 11: P = x4 , Q = y 4 , R = x2 y 2 , T = x2 y + y 2 . Spoˇc´ıtejte S-polynomy. S(P, T ) =

x4 y 4 x4 y 2 x − 2 (x y + y 2 ) = x2 y 2 = R x4 xy

S(Q, T ) =

x 2 y 4 4 x2 y 4 2 y − 2 (x y + y 2 ) = y 5 = yQ 4 y xy

x 2 y 2 2 2 x2 y 2 2 S(R, T ) = 2 2 x y − 2 (x y + y 2 ) = y 3 = U xy xy S(U, T ) =

x2 y 3 3 x2 y 3 2 y − 2 (x y + y 2 ) = y 4 = Q y3 xy

V tomto pˇr´ıpadˇe je ⇒ G = {x4 , x2 y + y 2 , y 3 }. Pˇ r´ıklad 12: P = x4 , Q = y 4 , R = x2 y 2 , T = y 3 + y 2 . Spoˇc´ıtejte S-polynomy. S(P, T ) =

x4 y 3 4 x4 y 3 3 x − 3 (y + y 2 ) = x4 y 2 = y 2 P 4 x y

S(Q, T ) = S(R, T ) =

y4 4 y4 3 y − 3 (y + y 2 ) = y 3 = U y4 y

x2 y 3 2 2 x2 y 3 3 x y − 3 (y + y 2 ) = x2 y 2 = R x2 y 2 y

S(U, T ) =

y3 3 y3 3 y − 3 (y + y 2 ) = y 2 = V 3 y y

S(V, T ) =

y3 2 y3 3 y − 3 (y + y 2 ) = y 2 = V 2 y y

V tomto pˇr´ıpadˇe je ⇒ G = {x4 , y 2 }.

6.2. K´ ody 6.2.1. F4 algoritmus BeginPackage["F4algorithm‘"] F4alg::usage= "F4 n´ am d´ av´ a ze zadan´ e mnoˇ ziny polynom˚ u Gr¨ obnerovu b´ azi pomoc´ ı F4 algoritmu." F4Reduction::usage="poˇ cı ´t´ a redukci" SymbolicPreprocessing::usage="symbolick´ e pˇ reprocesov´ an´ ı"

66

ˇ ÍLOHA 6. PR Begin["‘Private‘"] Unprotect[SymbolicPreprocessing, F4Reduction, F4alg] SymbolicPreprocessing[LL_List, GG_List] := Module[{F, Done, TF, M, lt, MFFF, MNove, Fkonecne, A, TFF},(*Funkce SymbolicPreprocessing. Vstupem je mnoˇ zina polynom˚ u GG a mnoˇ zina c ˇtveˇ ric LL. V´ ystupem je mnoˇ zina polynom˚ u Fkonecne.*) F = Expand[LL];(*Rozn´ asob´ ı LL*) Done = DeleteDuplicates[ Map[If[#[[0]] === Times , If[NumericQ[#[[1]]], #/#[[1]], #], If[NumericQ[#], 1, #]] &, MonomialList[F][[All, 1]]]]; (*Vyp´ ıˇ se hlavn´ ı monomy z F. Nejdˇ r´ ıve sestav´ ıme MonomialList z F a vybereme prvn´ ı c ˇlen. Pokud je tento c ˇlen typu Times(mus´ ı zde b´ yt tˇ ri rovn´ ıtka, jelikoˇ z porovn´ av´ ame neurˇ cit´ e a ne konkr´ etn´ ı c ˇı ´sla), zkoum´ ame, zda je prvn´ ı c ˇ´ ast tohoto c ˇlene c ˇı ´slo. Pokud ano, tak tento c ˇlen c ˇ´ ıslem podˇ el´ ıme, abychom se tak zbavili koeficientu. Pokud ne, tak vyp´ ıs ˇeme cel´ y c ˇlen. Pokud ˇ clen nen´ ı typu Times, zkoum´ ame, zda je to c ˇı ´slo. Pokud ano, nap´ ıˇ seme 1, pokud ne, nap´ ıˇ seme cel´ y ˇ clen.*) TFF = DeleteDuplicates[Map[(If[#[[0]] === Times , If[NumericQ[#[[1]]], #/#[[1]], #], If[NumericQ[#], 1, #]]) &, Union[Flatten[F /. Plus -> List]]]] /. List -> Plus; TF = MonomialList[TFF]; (*Vyp´ ıˇ se mnoˇ zinu vˇ sech monom˚ u obsaˇ zen´ ych v F. Opˇ et mus´ ıme rozliˇ sit, zda je c ˇlen typu Times. Pokud ano, tak pokud je to prvn´ ı c ˇ´ ast ˇ cı ´slo, tak j´ ım podˇ el´ ıme a odstran´ ıme tak koeficient. Pokud ne, vyp´ ıˇ seme cel´ y ˇ clen. D´ ale pokud ˇ clen nen´ ı typu Times, ale je to c ˇı ´slo, vyp´ ıˇ seme 1, jinak vyp´ ıs ˇeme dan´ y ˇ clen.*) M = Complement[TF, Done];(*Doplnˇ ek TF,Done. T´ ımto z´ ısk´ av´ ame mnoˇ zinu M={m_{i}}*) lt = DeleteDuplicates[ Map[If[#[[0]] === Times , If[NumericQ[#[[1]]], #/#[[1]], #], If[NumericQ[#], 1, #]] &, MonomialList[GG][[All, 1]]]]; (*Vyp´ ıˇ seme hlavn´ ı ˇ cleny ze zadan´ ych polynom˚ u z GG, avˇ sak zase mus´ ıme odstranit koeficienty. Postupujeme obdobnˇ e jako v´ yˇ se.*) MFFF = Array[0 &, {Length[M]}];(*Implementace promˇ enn´ e MFFF, 67

´ 6.2. KODY je to pole sam´ ych nul d´ elky stejn´ e jako M.*) For[i = 1, i <= Length[M], i++, For[j = 1, j <= Length[lt], j++, If[PolynomialLCM[lt[[j]], M[[i]]] === M[[i]], A = M[[i]]/lt[[j]]; MFFF = Union[MFFF, {A*GG[[j]]}]; Break[]]]]; (*Zkoum´ ame, zda existuje takov´ e m’, kde m=m’*lt. Porovn´ av´ ame tedy, zda nejmenˇ sı ´ spoleˇ cn´ y n´ asobek (lt,M)===M. Pokud ano, tak takov´ e m’ existuje a spoˇ c´ ıt´ ame si ho a uloˇ zı ´me do promˇ enn´ e A a \ do MFFF pˇ rid´ ame A*GG. Pokud ne, tak nepˇ rid´ av´ ame nic.*) MNove = Expand[MFFF];(*Rozn´ asoben´ ı MFFF*) Fkonecne = DeleteCases[Union[MNove, F], 0];(*Sjednot´ ıme F,Mnove. Pot´ e vymaˇ zeme nulov´ e pˇ rı ´pady.*) Return[Fkonecne](*Vrac´ ı mnoˇ zinu polynom˚ u v promˇ enn´ e Fkonecne*) \ ]; F4Reduction[LL_List, GG_List] := Module[{FF, monomy, Fmat, Frowred, Fvysl, LTF, Fvyslplus, LTFvysl}, (*Funkce F4Reduction. Vstupem je mnoˇ zina polynom˚ u GG a mnoˇ zina c ˇtveˇ ric LL. V´ ystupem je mnoˇ zina polynom˚ u Fvyslplus.*) FF = SymbolicPreprocessing[LL, GG];(*Zavol´ a algoritmus SymbolicPreprocessing*) monomy = MonomialList[ DeleteDuplicates[Map[(If[#[[0]] === Times , If[NumericQ[#[[1]]], #/#[[1]], #], If[NumericQ[#], 1, #]]) &, DeleteDuplicates[Flatten[FF /. Plus -> List]]]] /. List -> Plus]; (*Vyp´ ıˇ se vˇ sechny monomy vyskytuj´ ıc´ ı se v promˇ enn´ e FF a seˇ rad´ ı je \ lexikograficky. Postup je uveden v´ yˇ se ve funkci SymbolicPreprocessing*) Fmat = Map[ Total[Table[ If[NumericQ[#[[i]]/monomy[[j]]], #[[i]]/monomy[[j]], 0], {i, 1, Length[#]}, {j, 1, Length[monomy]}]] &, Evaluate[MonomialList[FF]]]; (*Plnˇ en´ ı matice koeficienty u dan´ ych polynom˚ u. Sloupce odpov´ ıdaj´ ı jednotliv´ ym monom˚ um, r ˇ´ adky pak jednotliv´ ym polynom˚ um. 68

ˇ ÍLOHA 6. PR Pokud Dan´ y ˇ clen z FF podˇ elen´ y pˇ rı ´sluˇ sn´ ym monomem je c ˇ´ ıslo(tzn. z ˇe se dan´ y monom v polynomu vyskytuje), nap´ ıs ˇe tento koeficient, jinak nap´ ıs ˇe nulu.*) Frowred = RowReduce[Fmat];(*ˇ Ra ´dkovˇ e schodovit´ y tvar matice*) Fvysl = DeleteCases[Frowred.monomy, 0];(*Vyp´ ıˇ se polynomy z ˇ ra ´dkovˇ e schodovit´ e matice. Vyn´ asob´ ı danou matici monomy a vyp´ ıs ˇe je bez nulov´ ych c ˇlen˚ u.*) LTF = DeleteDuplicates[ Map[If[#[[0]] === Times , If[NumericQ[#[[1]]], #/#[[1]], #], If[NumericQ[#], 1, #]] &, MonomialList[FF][[All, 1]]]]; (*Vyp´ ıˇ se hlavn´ ı monomy z promˇ enn´ e FF a pokud je nˇ ekter´ y monom shodn´ y \ s jin´ ym, tak ho vyp´ ıs ˇe jen jednou. Postup opˇ et pops´ an v´ yˇ se.*) LTFvysl = DeleteDuplicates[ Map[If[#[[0]] === Times , If[NumericQ[#[[1]]], #/#[[1]], #], If[NumericQ[#], 1, #]] &, MonomialList[Fvysl][[All, 1]]]]; (*Vyp´ ıˇ se hlavn´ ı monomy z promˇ enn´ e Fvysl a pokud je nˇ ekter´ y monom \ shodn´ y s jin´ ym, tak ho vyp´ ıs ˇe jen jednou. Postup opˇ et pops´ an v´ yˇ se.*) Fvyslplus = DeleteCases[ Flatten[Table[ If[Total[ Table[If[LTFvysl[[j]] === LTF[[i]], 1, 0], {i, 1, Length[LTF]}]] == 0, Fvysl[[j]], 0], {j, 1, Length[LTFvysl]}]], 0]; (*Zkoum´ ame, zda LT(Fvysl) je shodn´ e s LT (F). Pokud ano, vyp´ ıˇ se jedniˇ cku, jinak nulu. Pokud je cel´ y r ˇ´ adek nulov´ y, pak se dan´ y c ˇlen v FF nevyskytuje a vyp´ ıˇ seme odpov´ ıdaj´ ıc´ ı polynom z \ Fvysl, jinak vyp´ ıˇ seme nulu. Nulov´ e c ˇleny pot´ e vymaˇ zeme.*) Return[Fvyslplus](*Vyp´ ıs ˇe v´ yslednou mnoˇ zinu polynom˚ u Fvyslplus*) ]; F4alg[Pol_List] := Module[{lt, lcm, t, Par, L, F, d, G, P, Fplus, LTFplus, LTG}, (*F4 algoritmus. Vstupem je mnoˇ zina polynom˚ u a v´ ystupem je Gr¨ obnerova b´ aze.*) lt = Map[MonomialList[#][[1]] &, Pol]; lcm = Array[0 &, {Length[lt], Length[lt]}]; t = Array[0 &, {Length[lt], Length[lt], Length[lt]}]; Par = Array[0 &, {Length[lt], Length[lt]}]; L = Array[0 &, {Length[lt], Length[lt]}];(*Inicializace promˇ enn´ ych*) 69

´ 6.2. KODY

For[i = 1, i <= Length[lt], i++, For[j = 1, j <= Length[lt], j++, If[i < j, lcm[[i, j]] = PolynomialLCM[lt[[i]], lt[[j]]];(*Spoˇ c´ ıt´ a nejmenˇ sı ´ spoleˇ cn´ y n´ asobek dvou polynom˚ u*) t[[i, j, i]] = lcm[[i, j]]/lt[[i]];(*Vypoˇ cı ´t´ a c ˇleny t*) t[[i, j, j]] = lcm[[i, j]]/lt[[j]]; Par[[i, j]] = {lcm[[i, j]], t[[i, j, i]], Pol[[i]], t[[i, j, j]], Pol[[j]]};(*Vytvoˇ r´ ı pˇ etice obsahuj´ ıc´ ı nejmenˇ s´ ı spoleˇ cn´ y \ n´ asobek hl. ˇ clen˚ u dvou polynom˚ u, c ˇlen t, polynom, c ˇlen t, polynom*)

P = DeleteCases[Flatten[Par, 1], 0];(*Vymaˇ ze nulov´ e p´ ary a poskl´ ad´ a pˇ etice za sebe*) Null(*Vˇ se dˇ el´ ame pouze pro i<j, abychom se nedostali k duplicitn´ ım pˇ etic´ ım*) ] ] ]; G = Pol;(*Do promˇ enn´ e G uloˇ zı ´me mnoˇ zinu zadan´ ych polynom˚ u*) While[! (P /. List -> Plus) === 0,(*Ukonˇ cuj´ ıc´ ı podm´ ınka. Pokud P nen´ ı nulov´ e.*) L = P[[All, {2, 3, 4, 5}]];(*Vezme 2.-5. c ˇlen z P*) F = Flatten[ Map[{#[[1]] #[[2]], #[[3]] #[[4]]} &, L]];(*V mnoˇ zinˇ e L vyn´ asob´ ı v kaˇ zd´ e podmnoˇ zinˇ e 2.3. a 4.5. c ˇlen a naskl´ ad´ a je za sebe do jedn´ e mnoˇ ziny*) Fplus = F4Reduction[F, G];(*Zavol´ a algoritmus F4Reduction*) LTFplus = DeleteDuplicates[Map[ If[#[[0]] === Times , If[NumericQ[#[[1]]], #/#[[1]], #], #] &, MonomialList[Fplus][[All, 1]]]]; (*Spoˇ c´ ıt´ a hlavn´ ı monomy z polynom˚ u, kter´ e jsou v´ ystupem F4Reduction*) LTG = DeleteDuplicates[ 70

ˇ ÍLOHA 6. PR Map[If[#[[0]] === Times , If[NumericQ[#[[1]]], #/#[[1]], #], #] &, MonomialList[G][[All, 1]]]]; (*Spoˇ c´ ıt´ a hlavn´ ı monomy ze zadan´ ych polynom˚ u.*) P = Flatten[ Expand[Simplify[ Table[{PolynomialLCM[LTFplus[[i]], LTG[[j]]], PolynomialLCM[LTFplus[[i]], LTG[[j]]]/LTFplus[[i]], Fplus[[i]], PolynomialLCM[LTFplus[[i]], LTG[[j]]]/LTG[[j]], G[[j]]}, {i, 1, Length[LTFplus]}, {j, 1, Length[LTG]}]]], 1]; (*Naplnˇ en´ ı pˇ etic*) G = Union[G, Fplus];(*Do G pˇ rid´ a nov´ e polynomy z FPlus*) ]; Return[G];(*V´ ysledkem je Gr¨ obnerova b´ aze G*) ]; End[]; Protect[SymbolicPreprocessing,F4Reduction,F4alg]; EndPackage[]

6.2.2. Lagrange˚ uv interpolaˇ cn´ı polynom #!/usr/bin/env python # -*- coding: utf8 -*-

def multiply_poly(*args): # Funkce pro n´ asoben´ ı nˇ ekolika polynom˚ u. Vstupem jsou polynomy a v´ ystupem # souˇ cin polynom˚ u.Polynomy zapisujeme pomoc´ ı koeficient˚ u dle jednotliv´ ych # mocnin:[x^0, x^1, x^2, ..., x^n] """ Multiplies n polynomials. @param *args: either single list of polynomials or polynomials as args. @return: args[0] * args[1] * ... * args[n] """ if len(args) == 1: args = args[0] elif not args: return [] res = [1] for number in args: res = _multiply_poly(res, number) return res

71

´ 6.2. KODY def _multiply_poly(poly1, poly2): # Funkce pro n´ asoben´ ı dvou polynom˚ u. Vstupem jsou polynomy a v´ ystupem # souˇ cin polynom˚ u. Polynomy zapisujeme pomoc´ ı koeficient˚ u dle jednotliv´ ych # mocnin:[x^0, x^1, x^2, ..., x^n] """ Multiplies two polynomials. @param poly1: First polynom [x^0, x^1, x^2, ..., x^n] @param poly2: Second polynom [x^0, x^1, x^2, ..., x^n] @return: poly1 * poly2 """ res = [0, ] * (len(poly1) + len(poly2) - 1) for i in xrange(len(poly1)): for j in xrange(len(poly2)): idx = i + j res[idx] = sum_int(res[idx], multiply_int(poly1[i], poly2[j])) return res

def sum_poly(*args): #Funkce pro souˇ cet polynom˚ u. """ Sumarize polynomials. @param *args: either single list of polynomials or polynomials as args. @return: args[0] + arg[1] + ... + arg[n] """ if len(args) == 1: args = args[0] elif len(args) < 2: return args res = [0] * max([len(_) for _ in args]) for number in args: for idx in xrange(len(number)): res[idx] = sum_int(res[idx], number[idx]) return res

def sum_int(num1, num2): # Funkce pro souˇ cet dvou c ˇ´ ısel. Je zde zahrnuto, z ˇe -a=a, a+a=0, 0+a=a # a d´ ale symetrie zobrazen´ ı. Je zde vyps´ ana cel´ a tabulka pro souˇ cet nad # dan´ ym polem. """ Sum two numbers according to the mapping table. @param num1: First integer @param num2: Second integer @return: num1 + num2 """ # - a = a if num1 < 0: 72

ˇ ÍLOHA 6. PR num1 = -num1 if num2 < 0: num2 = -num2 # a + a = 0 if num1 == num2: return 0 # symetrie if num1 > num2: tmp = num1 num1 = num2 num2 = tmp # 0 + a = a if num1 == 0: return num2 mapping = {( 1, 2): 3, ( 1, ( 1, 6): 7, ( 1, ( 1, 10): 11, ( 1, ( 1, 14): 15, ( 1, ( 2, 5): 7, ( 2, ( 2, 9): 11, ( 2, ( 2, 13): 15, ( 2, ( 3, 5): 6, ( 3, ( 3, 9): 10, ( 3, ( 3, 13): 14, ( 3, ( 4, 6): 2, ( 4, ( 4, 10): 14, ( 4, ( 4, 14): 10, ( 4, ( 5, 8): 13, ( 5, ( 5, 12): 9, ( 5, ( 6, 7): 1, ( 6, ( 6, 11): 13, ( 6, ( 6, 15): 9, ( 7, ( 7, 11): 12, ( 7, ( 7, 15): 8, ( 8, ( 8, 12): 4, ( 8, ( 9, 10): 3, ( 9, ( 9, 14): 7, ( 9, (10, 13): 7, (10, (11, 13): 6, (11, (12, 14): 2, (12, (14, 15): 1, } return mapping[(num1, num2)]

3): 7): 11): 15): 6): 10): 14): 6): 10): 14): 7): 11): 15): 9): 13): 8): 12): 8): 12): 9): 13): 11): 15): 14): 14): 15):

2, 6, 10, 14, 4, 8, 12, 5, 9, 13, 3, 15, 11, 12, 8, 14, 10, 15, 11, 1, 5, 2, 6, 4, 5, 3,

( 1, ( 1, ( 1, ( 2, ( 2, ( 2, ( 2, ( 3, ( 3, ( 3, ( 4, ( 4, ( 5, ( 5, ( 5, ( 6, ( 6, ( 7, ( 7, ( 8, ( 8, ( 9, (10, (10, (11, (13,

4): 8): 12): 3): 7): 11): 15): 7): 11): 15): 8): 12): 6): 10): 14): 9): 13): 9): 13): 10): 14): 12): 11): 15): 15): 14):

5, 9, 13, 1, 5, 9, 13, 4, 8, 12, 12, 8, 3, 15, 11, 15, 11, 14, 10, 2, 6, 5, 1, 5, 4, 3,

( 1, ( 1, ( 1, ( 2, ( 2, ( 2, ( 3, ( 3, ( 3, ( 4, ( 4, ( 4, ( 5, ( 5, ( 5, ( 6, ( 6, ( 7, ( 7, ( 8, ( 8, ( 9, (10, (11, (12, (13,

5): 9): 13): 4): 8): 12): 4): 8): 12): 5): 9): 13): 7): 11): 15): 10): 14): 10): 14): 11): 15): 13): 12): 12): 13): 15):

4, 8, 12, 6, 10, 14, 7, 11, 15, 1, 13, 9, 2, 14, 10, 12, 8, 13, 9, 3, 7, 4, 6, 7, 1, 2,

def multiply_int(num1, num2): # Funkce pro n´ asoben´ ı dvou ˇ cı ´sel. Opˇ et zahrnuto, z ˇe -a=a, 0*a=0, 1*a=a 73

´ 6.2. KODY # a symetrie. Je zde vyps´ ana tabulka pro n´ asoben´ ı nad dan´ ym polem. """ Multiplies two numbers according to the mapping table. @param num1: First integer @param num2: Second integer @return: num1 * num2 """ # - a = a if num1 < 0: num1 = -num1 if num2 < 0: num2 = -num2 # symetrie if num1 > num2: tmp = num1 num1 = num2 num2 = tmp # 0 * a = 0 if num1 == 0: return 0 # 1 * a = a if num1 == 1: return num2 mapping = {( 2, 2): 3, ( 2, 3): 1, ( 2, 4): 8, ( 2, 5): 10, ( 2, 6): 11, ( 2, 7): 9, ( 2, 8): 12, ( 2, 9): 14, ( 2, 10): 15, ( 2, 11): 13, ( 2, 12): 4, ( 2, 13): 6, ( 2, 14): 7, ( 2, 15): 5, ( 3, 3): 2, ( 3, 4): 12, ( 3, 5): 15, ( 3, 6): 13, ( 3, 7): 14, ( 3, 8): 4, ( 3, 9): 7, ( 3, 10): 5, ( 3, 11): 6, ( 3, 12): 8, ( 3, 13): 11, ( 3, 14): 9, ( 3, 15): 10, ( 4, 4): 7, ( 4, 5): 3, ( 4, 6): 15, ( 4, 7): 11, ( 4, 8): 9, ( 4, 9): 13, ( 4, 10): 1, ( 4, 11): 5, ( 4, 12): 14, ( 4, 13): 10, ( 4, 14): 6, ( 4, 15): 2, ( 5, 5): 6, ( 5, 6): 9, ( 5, 7): 12, ( 5, 8): 1, ( 5, 9): 4, ( 5, 10): 11, ( 5, 11): 14, ( 5, 12): 2, ( 5, 13): 7, ( 5, 14): 8, ( 5, 15): 13, ( 6, 6): 4, ( 6, 7): 2, ( 6, 8): 5, ( 6, 9): 3, ( 6, 10): 14, ( 6, 11): 8, ( 6, 12): 10, ( 6, 13): 12, ( 6, 14): 1, ( 6, 15): 7, ( 7, 7): 5, ( 7, 8): 13, ( 7, 9): 10, ( 7, 10): 4, ( 7, 11): 3, ( 7, 12): 6, ( 7, 13): 1, ( 7, 14): 15, ( 7, 15): 8, ( 8, 8): 14, ( 8, 9): 6, ( 8, 10): 2, ( 8, 11): 10, ( 8, 12): 7, ( 8, 13): 15, ( 8, 14): 11, ( 8, 15): 3, ( 9, 9): 15, ( 9, 10): 8, ( 9, 11): 1, ( 9, 12): 11, ( 9, 13): 2, ( 9, 14): 5, ( 9, 15): 12, (10, 10): 13, (10, 11): 7, (10, 12): 3, (10, 13): 9, (10, 14): 12, (10, 15): 6, (11, 11): 12, (11, 12): 15, (11, 13): 4, (11, 14): 2, (11, 15): 9, (12, 12): 9, 74

ˇ ÍLOHA 6. PR (12, 13): 5, (12, 14): 13, (12, 15): 1, (13, 13): (13, 14): 3, (13, 15): 14, (14, 14): 10, (14, 15): (15, 15): 11, } return mapping[(num1, num2)]

8, 4,

def divide_int(num1, num2): # Funkce pro dˇ elen´ ı dvou ˇ cı ´sel. Zkoum´ a, jak´ e ˇ cı ´slo mus´ ıme vyn´ asobit s num2, # abychom dostali num1. for i in xrange(16): if multiply_int(num2, i) == num1: return i def print_poly(poly): #Funkce pro v´ ypis polynomu pomoc´ ı x^d """ String output """ out = "" for i in xrange(len(poly)): if poly[i] == 0: continue elif poly[i] == 1: out += "x^%d + " % i else: out += "%sx^%d + " % (poly[i], i) if out: out = out[:-3] return out

def calculate_lagrange(): # Hlavn´ ı funkce programu. Slouˇ zı ´ k v´ ypoˇ ctu Lagrangeova interpolaˇ cn´ ıho # polynomu nad dan´ ym polem. """ Calculates lagrange according to the mapping """ mapping = [9, 11, 11, 11, 13, 4, 10, 1, 13, 1, 4, 10, 13, 10, 1, 4] # Funkˇ cn´ ı hodnoty v jednotliv´ ych bodech. length = len(mapping) # Polynom x^3 -2x + 1 pˇ rep´ ıs ˇeme do programu jako [1, -2, 0, 1] ls_u = [] #promˇ enn´ a typu list ls_d = [] for i in xrange(length): # (x-1)(x-2)(x-3)...(x-$posledni) if i!=idx numerator = multiply_poly([[_, 1] for _ in xrange(length) if _ != i]) # (idx-0)(idx-1)...(idx-$posledni) if i!=idx denominator = 1 for _ in (sum_int(i, _) for _ in xrange(length) if _ != i): 75

´ 6.2. KODY denominator = multiply_int(denominator, _) prefix = "l%-2d = " % i # l:vyp´ ıs ˇe l, d:integer, -2: zarovn´ an´ ı doleva na 2 znaky _prefix = " " * len(prefix) # n´ asob´ ı mezeru- pro lepˇ sı ´ v´ ystup print "%s%s" % (_prefix, numerator) print "%s%s" % (prefix, ’-’ * (max(len(str(numerator)), len(str(denominator))))) print "%s%s" % (_prefix, denominator) ls_u.append(numerator) ls_d.append(denominator)

# dan´ y polynom vyn´ asob´ ı pˇ rı ´sluˇ snou funkˇ cn´ ı hodnotou: l$idx * mapping[$idx] Ls = [multiply_poly([divide_int(mapping[i], ls_d[i])], ls_u[i]) for i in xrange(length)] print "Ls = %s" % Ls # souˇ cet vˇ sech Ls. T´ ım z´ ısk´ ame v´ ysledn´ y Lagrange˚ uv polynom L = print_poly(sum_poly(Ls)) print "L = %s" % L

if __name__ == "__main__": calculate_lagrange()

76

GRÖBNEROVY BÁZE, ČUANG-C ŮV ALGORITMUS A ATAKY MULTIVARIAČNÍCH KRYPTOSYSTÉMŮ

Recommend Documents