第2章 流密码 现代密码学.ppt

为了使密钥流生成器输出的二元序列尽可能复杂，应 保证其 周期尽可能大 、 线性复杂度和不可预测性尽可能高 ， 因此常使用多个 LFSR 来构造二元序列，称每个 LFSR 的输 出序列为驱动序列。 显然，密钥流生成器输出序列的周期不大于各驱动序 列周期的乘积，因此， 提高输出序列的线性复杂度应从极 大化其周期开始 。 二元序列的线性复杂度指 生成该序列的最短 LFSR 的级 数 ， 最短 LFSR 的特征多项式称为二元序列的极小特征多项 式 。 定理 2.3 若序列 {a i } 的特征多项式 p(x) 定义在 GF(2) 上， p 是 p(x) 的周期，则 {a i } 的周期 r|p 。 证明：由 p(x) 周期的定义得 p(x)|(x p -1) ，因此存在 q(x) ，使得 x p -1=p(x)q(x) ， 又由 p(x)A(x)= (x) 可得 p(x)q(x)A(x)= (x)q(x) ，所以 (x p -1)A(x)= (x)q(x) 。 由于 q(x) 的次数为 p-n ， (x) 的次数不超过 n-1 ，所以 (x p -1)A(x) 的次数不超过 (p-n)+(n-1)=p-1 。 则有：对于任意正整数 i, 都有 a i+p =a i 。 设 p=kr+t,0≤t<r ，则 a i+p =a i+kr+t =a i+t =a i ，所以 t=0 ，即 r|p 。 （证毕） ? ? ? ? n 级 LFSR 输出序列的周期 r 不依赖于初始条件，而依赖 于特征多项式 p(x) 。 我们感兴趣的是 LFSR 遍历 2 n -1 个非零状态，这时序列的 周期达到最大 2 n -1 ，这种序列就是 m 序列 。 显然 , 对于特征多项式一样，而仅初始条件不同的两个 输出序列，一个记为 {a (1) i } ，另一个记为 {a (2) i } ，其中一个必 是另一个的移位，即存在一个常数 k ，使得 a (1) i =a (2) k+i , i=1,2, … 下面讨论特征多项式满足什么条件时， LFSR 的 输出序列为 m 序列。 定理 2.4 设 p(x) 是 n 次不可约多项式，周期为 m ，序列 {a i } ∈ G(p(x)) ，则 {a i } 的周期为 m 。 证明：设 {a i } 的周期为 r ，由定理 2.3 有 r|m ，所以 r≤m 。 设 A(x) 为 {ai} 的生成函数， A(x)= (x)/p(x) ，即 p(x)A(x)= (x)≠0 ， (x) 的数不超过 n-1 。而 A(x)=∑a i x i-1 =a 1 +a 2 x+ … +a r x r-1 +x r (a 1 +a 2 x+ … +a r x r-1 ) +(x r ) 2 (a 1 +a 2 x+ … +a r x r-1 )+ … =a 1 +a 2 x+ … +a r x r-1 /(1-x r ) =a 1 +a 2 x+ … +a r x r-1 /(x r-1 ) ? ? ? 于是 A(x)=a 1 +a 2 x+ … +a r x r-1 /(x r -1)= (x)p(x) ，即 p(x)(a 1 +a 2 x+ … +a r x r-1 )= (x)(x r -1) 因 p(x) 是不可约的，所以 gcd(p(x), (x))=1 ， p(x)|(x r -1) ， 因此 m≤r 。 综上 r=m 。（证毕） ? ? ? 定理 2.5 n 级 LFSR 产生的序列有最大周期 2 n -1 的必要条件 是其特征多项式为不可约的。 证明：设 n 级 LFSR 产生的序列周期达到最大 2 n -1 ，除 0 序 列外，每一序列的周期由特征多项式惟一决定，而与初始 状态无关。 设特征多项式为 p(x) ，若 p(x) 可约，可设为 p(x)=g(x)h(x) ， 其中 g(x) 不可约，且次数 k<n 。由于 G(g(x)) G(p(x)) ，而 G(g(x)) 中序列的周期一方面不超过 2 k -1 ，另一方面又等于 2 n -1 ，这是矛盾的，所以 p(x) 不可约。（证毕） 该定理的逆不成立，即 LFSR 的特征多项式为不可约多 项式时，其输出序列不一定是 m 序列。 ? 例 2.4 f(x)=x 4 +x 3 +x 2 +x+1 为 GF(2) 上的不可约多项式，这可由 x,x+1,x 2 +x+1 都不能整除 f(x) 得到。以 f(x) 为特征多项式的 LFSR 的输出序列可由 a k =a k-1 a k-2 a k-3 a k-4 (k≥4) 和给定的