10.7 密码学中的线性代数

一、密码学

密码学（Cryptography）是关于信息编码和解码的科学。 银行一直在实用密码学处理财务信息。现代密码学中包含有很深的数学知识，“椭圆曲线（Elliptic curves）” 是其中的一部分，安德鲁 · 怀尔斯（Andrew Wiles）证明费马大定理（Fermat’s Last Theorem）时都用到了这部分。
这一节只是简单的介绍，但是是第一次接触有限域（finite fields）和有限向量空间（finite vector space）. 域 ${\text{R}}^n$ 包含所有的实数，“模运算” 的域只包含 $p$ 个整数 $0,1,2,\cdots ,p-1$，这是一个 $p$ 元有限域。${\text{R}}^n$ 空间中有无穷多个向量，而现在这个 $p$ 元有限域的信息空间只含有 $p^n$ 个长度为 $n$ 的信息。如字母表 $A$ 到 $Z$ 是有限的（此时 $p=26$）.
本节中的编码方法很容易破解，因为这些对于实际的安全来说太过简单。计算机的强大使得我们需要更加复杂的密码，因为现在计算机的能力可以很快的推测出一个小的编码矩阵。但是矩阵密码（希尔加密法）也可以使得我们用一种新的方式看到线性代数的作用。
我们在编码和解码中的所有计算都是 “mod p”，但是线性代数的一些核心概念如线性无关、基、逆矩阵和行列式在此种变化下仍然适用。我们是在研究 “有限域上的线性代数”。下面是 mod p 的含义：

$$\begin{array}{ll}27\equiv 2(\text{mod}5)& 表示5整除27-2\\ y\equiv x(\text{mod}p)& 表示p整除y-x\end{array}$$

$y$ 除以 $5$ 可能得到的余数 $x=0,1,2,3,4$，而 $5,-5,10,-10,\cdots$ 这些数除以 $5$ 都没有余数，它们与 $0$ 对模 $5$ 同余，记为 $y\equiv 0(\text{mod}5)$. $y=6,-4,11,-9$ 这些数与 $1$ 对模 $5$ 同余，即 $y\equiv 1(\text{mod}5)$.
符号 $\equiv$ 称为同余（congruent），我们称这个是 “模运算”（Modular Arithmetic）。每个整数 $y$ 在求 $\text{mod}p$ 时，均会得到 $x=0,1,2,\cdots ,p-1$ 中的一个值。
当 $p$ 是素数时，这个理论是最佳的。字母 $A$ 到 $Z$ 共有 $26$ 个，很不幸的是，此时 $p=26$ 不是素数。但是密码学可以处理这个问题。

二、模运算

线性代数是基于向量的线性组合。现在我们的向量 $(x_1,x_2,\cdots ,x_n)$ 限制为 $x=0,1,2,\cdots ,p-1$ 这样的整数，当我们进行 $“\text{mod}p"$ 时，所有的计算都只会得到这些整数，这表明：任何超范围的整数 $y$ 都要除以 $p$ 并取余数 $x$：
$$\boxed{y=qp+xy\equiv x(\text{mod}p)y除以p余x}$$$\text{mod2的加法：}$ $10\equiv 1(\text{mod}3),16\equiv 1(\text{mod 3})$ 且 $10+16\equiv 1+1(\text{mod}3)$：
我们可以先计算 $10+16$，得到 $26$ 后再除以 $3$ 余 $2$.
也可以将余数相加，$1+1$ 也可以得到相同的答案 $2$.
$\text{mod2的加法：}$ $11\equiv 1(\text{mod2}),17\equiv 1(\text{mod2})$ 而 $11+17=28\equiv 0(\text{mod2})$：
余数相加是 $1+1=2$，但是结果并不是 $2$，还要加上最后一步 $2\equiv 0(\text{mod2})$.
$\text{mod}p\text{的加法：}$由上述例子可知，$\text{mod}p$ 的加法是合理的。$\text{mod}p$ 的乘法也是如此，当 $p=3$ 时：
$$\begin{array}{rl}10\equiv 1(\text{mod}3)乘16\equiv 1(\text{mod}3)即1\cdot 1\equiv 1(\text{mod3})& 所以160\equiv 1(\text{mod}3)\\ 5\equiv 2(\text{mod}3)乘8\equiv 2(\text{mod}3)即2\cdot 2\equiv 1(\text{mod3})& 所以40\equiv 1(\text{mod}3)\end{array}$$结论：我们可以很安全的进行 $\text{mod}p$ 的加法和乘法，因此可以进行线性组合。这是线性代数的关键运算。但是 $\text{mod}p$ 可以做除法吗？
在实数域乘法中，$y$ 的逆是 $1/y$（$y\ne 0$），意义是：我们可以找到另一个实数，使得 $yz=1$，非零元可逆是域的一部分。那么 $\text{mod}p$ 的乘法永远可逆吗？ 即对于每个数 $y=1,2,\cdots ,p-1$ 我们是否都能找到另外的一个数 $z=1,2,\cdots ,p-1$ 使得 $yz\equiv 1(\text{mod}p)$ ？
如 $3^{-1}\equiv 4(\text{mod}11),2^{-1}\equiv 6(\text{mod}11),5^{-1}\equiv 9(\text{mod}11)$，这是因为 $3\cdot 4\equiv 1(\text{mod11}),2\cdot 6\equiv 1(\text{mod11}),5\cdot 9\equiv 1(\text{mod}11)$. 同样可以求出 $7z\equiv 1(\text{mod}11)$，求数乘法的逆是求逆矩阵的关键。
下面说明当 $p$ 不是素数时，$\text{mod}p$ 意义下乘法的逆会有问题。例如 $p=26$ 可以分解成 $2\cdot 13$，则 $y=2$ 不可能有 $\text{mod26}$ 意义下的逆 $z$，这会要求 $2z\equiv 1(\text{mod}26)$，而这是不可能的，因为 $2z$ 和 $26$ 都是偶数！
同样地，当 $p=25$ 时，$5$ 也没有 $\text{mod25}$ 意义下的逆 $z$，$5z\equiv 1(\text{mod25})$ 是无解的，$5z-1$ 不可能是 $5$ 的倍数，所以也不可能是 $25$ 的倍数。
$$\boxed{任意的y(0<y<p)当且仅当p为素数时，\text{mod}p意义下有乘法逆}$$要求逆需要 $y,2y,3y,\cdots ,py$ 除以 $p$ 有不同的余数。如果 $my$ 和 $ny(m\ne n,0<m,n<p)$ 有相同的余数 $x$，则 $(m-n)y$ 将会被 $p$ 整除。素数 $p$ 要么整除 $y$，要么整除 $m-n$，这两者都不可能，这是因为 $0<|m-n|<p,0<y<p$. 所以，$y,2y,\cdots ,py$ 除以 $p$ 有不同的余数：其中的一个余数必为 $x=1$.

三、谜式密码机和希尔密码

Lester Hill 在 American Mathematical Monthly(1929) 上发表了他的密码算法（编码和解码系统），这个思想很简单，但是在某种程度上开启了密码学从语言学到数学的转变，在那时之前的编码主要是混合字母和重排信息。德国海军在二战时使用的谜式密码（Enigma code） 是一个巨大的进步，他们当时使用的机器我们现在看起来就像一个原始的计算机。英国人建立了布莱切利园（Bletchley Park）来破解谜式密码，它们聘请了揭秘者和语言学家，然后很幸运的是阿兰·图灵（Alan Turing）也在其中。
如果看过关于图灵的电影：《模仿游戏》（$TheImitationGame$），虽说其中的大部分都不真实（《心灵捕手》（$GoodWillHunting$）和《美丽心灵》（$ABeautifulMind$）也是如此），但是其中破解谜式密码的核心思想是正确的，图灵利用了人类在编码和无线电通信中的弱点，德国海军司令部公开的发送它们的编码序列，如果不是因为这个弱点，那么这个密码就会因为太复杂而无法破解，密码的破解需要英国的电子设备来解开德国的电子设备，而这也需要天才。
阿兰·图灵毫无疑问是一个天才 —— 他是英格兰最杰出的数学家之一，他在1954年去世，有一个悲惨的命运，安德鲁·霍奇斯（Andrew Hodges）写的关于图灵的传记非常好。图灵是在波兰被入侵的第二天抵达的布莱切利园。这要归功于温斯顿·丘吉尔（Winston Churchill），在他需要时给予了快速且全面的支持。
谜式密码机有齿轮和转盘，而希尔密码只需要一个矩阵，希尔密码现在可以用线性代数来解释。后面会看到解码时如何涉及到逆矩阵。加密和解密的所有步骤都使用模运算，$\text{mod}p$ 的乘法和逆。

四、矩阵的模运算

加法、减法和乘法是计算 $A\mathbf{x}$（矩阵左乘向量）的全部运算。要计算 $\text{mod}p$ 的乘法，也像之前一样用 $A$ 中的整数乘上 $\mathbf{x}$ 中的整数 —— 然后将 $A\mathbf{x}$ 中的每个元素都替换成 $\text{mod}p$ 运算后的值。
关键问题：什么时候 $A\mathbf{x}\equiv \mathbf{b}(\text{mod}p)$ 有解？这里仍然存在四个子空间 $C(A),N(A),C(A^T),N(A^T)$ 吗？它们仍然成对正交吗？$\text{mod}p$ 运算下的矩阵 $A$ 的行列式非零时，$\text{mod}p$ 运算下的矩阵 $A$ 仍然存在逆矩阵吗？令人欣慰的是后三个问题的答案是肯定的（但是求逆问题要求 $p$ 是一个素数）。
我们可以使用高斯-若尔当消元法求解 $A^{-1}(\text{mod}p)$，即将 $\left[\begin{array}{cc}A& I\end{array}\right]$ 化成 $\left[\begin{array}{cc}I& A^{-1}\end{array}\right]$. 或者我们使用行列式和代数余子式矩阵 $C$ 的公式 $A^{-1}=(\det A{)}^{-1}{C}^T$. 下面以 $\text{mod}3$ 运算的 $2\times 2$ 的矩阵 $A$ 为例：$$\left[\begin{array}{cc}A& I\end{array}\right]=\left[\begin{array}{cccc}2& 0& 1& 0\\ 2& 1& 0& 1\end{array}\right]\to \left[\begin{array}{cccc}2& 0& 1& 0\\ 0& 1& 2& 1\end{array}\right]\underset{2^{-1}\equiv 2}{\overset{行1乘以}{\to }}\left[\begin{array}{cccc}1& 0& 2& 0\\ 0& 1& 2& 1\end{array}\right]=\left[\begin{array}{cc}I& A^{-1}\end{array}\right]$$这个恰好有 $A^{-1}\equiv A!$ 用 $A$ 乘 $A$ 确实会得到 $\text{mod}3$ 运算下的单位矩阵：$$A^2=A{A}^{-1}=\left[\begin{array}{cc}2& 0\\ 2& 1\end{array}\right]\left[\begin{array}{cc}2& 0\\ 2& 1\end{array}\right]=\left[\begin{array}{cc}4& 0\\ 6& 1\end{array}\right]=\left[\begin{array}{cc}1& 0\\ 0& 1\end{array}\right](\text{mod}3)$$$A$ 的行列式为 $2$，通过代数余子式公式也能够得到 $A^{-1}\equiv A:$$${\left[\begin{array}{cc}2& 0\\ 2& 1\end{array}\right]}^{-1}=2^{-1}\left[\begin{array}{cc}1& -0\\ -2& 2\end{array}\right]\equiv 2\left[\begin{array}{cc}1& -0\\ -2& 2\end{array}\right]\equiv \left[\begin{array}{cc}2& 0\\ 2& 1\end{array}\right](\text{mod}3)$$定理： $\text{mod}p$ 运算下，当且仅当 $(\det A{)}^{-1}$ 存在时，$A^{-1}$ 存在。
这个定理要求：$\det A$ 和 $p$ 没有公因数。

五、使用希尔密码算法加密

原始的密码是使用字母 $A$ 到 $Z$，因此 $p=26$. 希尔选择了一个 $n\times n$ 的加密矩阵 $E$，使得 $\det E$ 无法被 $2$ 或 $13$ 整除，因此 $\det E$ 这个数有一个 $\text{mod}26$ 运算的逆，矩阵 $E$ 也存在逆矩阵，$E^{-1}\equiv D(\text{mod}26)$ 将是解码信息的解密矩阵（decrytion matrix）.
现在我们将每个字母的信息都转换成 $0$ 到 $25$ 的一个整数，我们通常选取 $A=0,B=1,\cdots ,Z=25$，这个没什么问题，因为使用矩阵后这个密码将会变得更不易破解。下面是希尔密码算法的大致步骤：

1. 忽略空格并且将信息分成大小为 $n$ 的块 ${\mathbf{v}}_1,{\mathbf{v}}_2,\cdots$；
2. 然后将每个信息块都在 $\text{mod}p$ 意义下左乘矩阵 $E$；
3. 加密后的信息为 $E{\mathbf{v}}_1,E{\mathbf{v}}_2,\cdots$.

下例中 $\det E=583\equiv 11(\text{mod}p)$$$D=E^{-1}={\left[\begin{array}{ccc}2& 3& 15\\ 5& 8& 12\\ 1& 13& 4\end{array}\right]}^{-1}\equiv \left[\begin{array}{ccc}10& 19& 16\\ 4& 23& 7\\ 17& 5& 19\end{array}\right](\text{mod}26)$$当然，密码破解者不会知道矩阵 $E$ 或者 $D$，通常而言，块的大小 $n$ 也是未知的。但是在希尔的想法中 $n$ 不会太大，而现在用计算机是可以快速找到 $E$ 和 $D$ 的。
如何希尔密码使用如下方式处理，不知道会不会变得非常难破解：选择一个非常大的矩阵和一个很大的素数 $p$ 先加密一次，然后使用不同的块大小 $n_2$ 和一个大矩阵 $E_2$ 大素数 $p_2$ 进行二次加密。

六、有限域和有限向量空间

在代数中，域 $\text{F}$ 是一个数集，它里面的数可以相加、相乘和求逆（即除法，只有 $0$ 不能求逆）。我们熟悉实数域 $\text{R}$、复数域 $\text{C}$ 和有理数域 $\text{Q}$（由整数的比值构成 $\frac{p}{q}$，其中 $q\ne 0$）. 我们从域 $\text{F}$ 出发，可以构造向量 $\mathbf{v}=(f_1,f_2,\cdots ,f_n)$，通过向量的线性组合可以构造出向量空间。因此，线性代数是从域 $\text{F}$ 开始的。
学习线性代数过程中，我们应该首先理解的是 ${\text{R}}^n$ 和它的子空间，然后对于其它的域和其向量空间的理解就很自然了，我们只需要考虑当域不为 $\text{R}$ 时有什么新的性质。
下面在上述问题有限域（finite fields） 情形下的回答。可能性会变得非常有限，但是也会很有趣。起点（并不是终点）有限域 ${\text{F}}_p$，它只包含有 $0,1,2,\cdots ,p-1$ 这些数，并且 $p$ 是一个素数。我们首先关注域 ${\text{F}}_2$，这个域例只含有 $2$ 个数 $“0”$ 和 $“1”$，我们可以将 $0$ 看成 “偶数”，将 $1$ 看成奇数，因为它们的加法和乘法的规则与偶数和奇数的规则相同：$偶数+奇数=奇数，偶数\times 奇数=偶数$。$$加法表\begin{array}{ccc}& 0& 1\\ 0& 0& 1\\ 1& 1& 0\end{array}乘法表\begin{array}{ccc}& 0& 1\\ 0& 0& 0\\ 1& 0& 1\end{array}$$这个是 $“\text{mod}2”$ 的加法和乘法运算。
从这个域 ${\text{F}}_2$ 我们可以构造出像 $\mathbf{v}=(0,0,1)$ 和 $\mathbf{w}=(1,0,1)$ 这样的向量，它们各有三个分量，而每个分量可以由两种选择：因此向量空间 $({\text{F}}_2{)}^3$ 中共有 $2^3=8$ 个不同的向量。由子空间的要求可以知道所有的可能性：

• a) 零维子空间只包含一个向量 $0=(0,0,0)$
• b) 一维子空间包含 $0$ 和类似于 $\mathbf{v}$ （只有 $1$ 个 $1$）的向量。注意：$\mathbf{v}+\mathbf{v}=0!$（$\text{mod }2$）
• c) 二维子空间含有如向量 $\mathbf{v}$ 和 $\mathbf{w}$ 构成的一组基，共有 $4$ 个向量：$0,\mathbf{v},\mathbf{w},\mathbf{v}+\mathbf{w}$；
• d) 完整的三维子空间 ${\text{F}}_2^3$ 共有 $8$ 个向量。

$({\text{F}}_2{)}^3$ 可能的基是什么呢？标准基包含 $(1,0,0),(0,1,0)$ 和 $(0,0,1)$，这些向量线性无关，它们可以生成空间 $({\text{F}}_2{)}^3$，它们由组合系数 $0$ 和 $1$ 生成的八种线性组合构成了整个 $({\text{F}}_2{)}^3$.
那么用来左乘这些向量的矩阵是什么样的呢？矩阵可以是 $1\times 3$，$2\times 3$ 或 $3\times 3$ 的，当矩阵是 $3\times 3$ 的情况下，我们可以考虑它们的逆矩阵。它们的行列式只可能是 $0$（奇异矩阵）或 $1$（可逆矩阵）。下面是一些矩阵的例子：$$A=\left[\begin{array}{ccc}1& 0& 0\\ 1& 1& 0\\ 1& 1& 1\end{array}\right]B=\left[\begin{array}{ccc}1& 1& 0\\ 0& 1& 1\\ 1& 0& 1\end{array}\right]C=\left[\begin{array}{ccc}1& 1& 1\\ 0& 0& 1\\ 1& 0& 0\end{array}\right]$$在域 ${\text{F}}_2$ 上总共有 $2^9$ 个这种 $3\times 3$ 的矩阵，其中有 $(2^3-1)(2^3-2)(2^3-4)=7\times 6\times 4=168$ 个可逆矩阵，大部分都是奇异矩阵。
下面提一下 $2^2=4$ 个元素的域，用于结束对域 ${\text{F}}_2$ 的讨论。这种情况下不会使用 $\text{mod 4}$ 的乘法，因为 $4$ 并不是素数，不然的话 $2\times 2$ 会得到 $0$，$2$ 也不可逆，这并不是一个域。单数我们可以从 ${\text{F}}_2$ 中的数 $0$ 和 $1$ 开始，然后再发明两个数 $a$ 和 $1+a$，并为它们制定两个规则：$(a+a=0)$ 和 $(a\times a=1+a)$，那么此时 $a$ 和 $(1+a)$ 互逆，但是这并不明显！$$\begin{array}{ccccc}加法& 0& 1& a& 1+a\\ 0& 0& 1& a& 1+a\\ 1& 1& 0& 1+a& a\\ a& a& 1+a& 0& 1\\ 1+a& 1+a& a& 1& 0\end{array}\begin{array}{ccccc}乘法& 0& 1& a& 1+a\\ 0& 0& 0& 0& 0\\ 1& 0& 1& a& 1+a\\ a& 0& a& 1+a& 1\\ 1+a& 0& 1+a& 1& a\end{array}$$不只是 $p=2$，对于任意的素数 $p$ 都有域 ${\text{F}}_p$，它们都使用 $\text{mod }p$ 的加法和乘法运算，可以用于表示密码算法中的字母。域 ${\text{F}}_p$ 提供了空间 $({\text{F}}_p{)}^n$ 中向量 $\mathbf{v}=(f_1,f_2,\cdots ,f_n)$ 的分量，同时提供了可以左乘这些向量的矩阵中的元素。这些域 ${\text{F}}_p$ 是最常用的有限域。
所有的有限域均有 $p^k$ 个元素（其中 $p$）为素数，上述例子中 $0,1,a,1+a$ 共有 $4$ 个元素。