Matrix_Branch and MDS

有限域 $(GF(P))(GF(P))$

??为什么要写有限域??

关于离散数学和有限域的概念可参考：另一种世界观——有限域

对以下需要用到的有限域知识作简要介绍，以最常见的对模素数 p 为例：

• $(GF(P))\mathrm{有}\mathrm{限}\mathrm{域}\mathrm{又}\mathrm{叫}\mathrm{做}\mathrm{伽}\mathrm{罗}\mathrm{瓦}\mathrm{域}\mathrm{，}\mathrm{该}\mathrm{域}\mathrm{仅}\mathrm{包}\mathrm{含}\mathrm{有}\mathrm{限}\mathrm{个}\mathrm{元}\mathrm{素}\mathrm{，}\mathrm{其}\mathrm{对}\mathrm{加}\mathrm{减}\mathrm{乘}\mathrm{除}\mathrm{都}\mathrm{有}\mathrm{规}\mathrm{则}\mathrm{性}\mathrm{定}\mathrm{义}\mathrm{（}\mathrm{当}\mathrm{然}\mathrm{不}\mathrm{同}\mathrm{于}\mathrm{我}\mathrm{们}\mathrm{之}\mathrm{前}\mathrm{对}\mathrm{四}\mathrm{则}\mathrm{运}\mathrm{算}\mathrm{的}\mathrm{理}\mathrm{解}\mathrm{）}(GF(P))有限域又叫做伽罗瓦域，该域仅包含有限个元素，其对加减乘除都有规则性定义（当然不同于我们之前对四则运算的理解）$
  
  
• 
  
  
• $\mathrm{由}\mathrm{于}\mathrm{每}\mathrm{次}\mathrm{运}\mathrm{算}\mathrm{都}\mathrm{在}\mathrm{模}p\mathrm{下}\mathrm{进}\mathrm{行}\mathrm{，}\mathrm{所}\mathrm{以}\mathrm{域}\mathrm{中}\mathrm{元}\mathrm{素}\mathrm{限}\mathrm{制}\mathrm{在}0(p-1)\mathrm{内}\mathrm{.}由于每次运算都在\; 模\; p\; 下进行，所以域中元素限制在\; 0~(p-1)\; 内.$
  
  
• $\mathrm{有}\mathrm{限}\mathrm{域}\mathrm{首}\mathrm{先}\mathrm{要}\mathrm{是}\mathrm{域}\mathrm{；}\mathrm{域}\mathrm{要}\mathrm{求}\mathrm{是}\mathrm{成}\mathrm{除}\mathrm{环}\mathrm{和}\mathrm{交}\mathrm{换}\mathrm{环}\mathrm{；}\mathrm{除}\mathrm{环}\mathrm{要}\mathrm{求}\mathrm{幺}\mathrm{半}\mathrm{群}\mathrm{全}\mathrm{体}\mathrm{元}\mathrm{素}\mathrm{带}\mathrm{乘}\mathrm{法}\mathrm{逆}\mathrm{元}\mathrm{，}\mathrm{交}\mathrm{换}\mathrm{环}\mathrm{要}\mathrm{求}\mathrm{乘}\mathrm{法}\mathrm{群}\mathrm{对}\mathrm{乘}\mathrm{法}\mathrm{满}\mathrm{足}\mathrm{交}\mathrm{换}\mathrm{律}\mathrm{；}\mathrm{幺}\mathrm{半}\mathrm{群}\mathrm{在}\mathrm{半}\mathrm{群}\mathrm{的}\mathrm{基}\mathrm{础}\mathrm{上}\mathrm{存}\mathrm{在}\mathrm{单}\mathrm{位}\mathrm{元}\mathrm{（}\mathrm{幺}\mathrm{元}\mathrm{）}\mathrm{，}\mathrm{群}\mathrm{在}\mathrm{幺}\mathrm{半}\mathrm{群}\mathrm{的}\mathrm{基}\mathrm{础}\mathrm{上}\mathrm{又}\mathrm{要}\mathrm{求}\mathrm{每}\mathrm{个}\mathrm{元}\mathrm{素}\mathrm{存}\mathrm{在}\mathrm{逆}\mathrm{元}\mathrm{；}\mathrm{半}\mathrm{群}\mathrm{是}\mathrm{对}\mathrm{元}\mathrm{素}\mathrm{运}\mathrm{算}\mathrm{法}\mathrm{则}\mathrm{满}\mathrm{足}\mathrm{“}\mathrm{封}\mathrm{闭}\mathrm{性}\mathrm{”}\mathrm{和}\mathrm{“}\mathrm{结}\mathrm{合}\mathrm{律}\mathrm{”}\mathrm{的}\mathrm{集}\mathrm{合}\mathrm{。}\mathrm{（}\mathrm{这}\mathrm{里}\mathrm{的}\mathrm{加}\mathrm{法}\mathrm{和}\mathrm{乘}\mathrm{法}\mathrm{不}\mathrm{同}\mathrm{于}\mathrm{四}\mathrm{则}\mathrm{运}\mathrm{算}\mathrm{）}有限域首先要是域；域要求是成除环和交换环；除环要求幺半群全体元素带乘法逆元，交换环要求乘法群对乘法满足交换律；幺半群在半群的基础上存在单位元（幺元），群在幺半群的基础上又要求每个元素存在逆元；半群是对元素运算法则满足“封闭性”和“结合律”的集合。（这里的加法和乘法不同于四则运算）$

小记：区别生成元和本原元（或本原根，原根）
对模 19 下 7 的阶作考量：$7^1=7mod19,7^2=11mod19,7^3=1mod19,7^4=7mod\mathrm{19...}7^1\; =\; 7\; mod\; 19,7^2\; =\; 11\; mod\; 19,\; 7^3\; =\; 1\; mod\; 19,\; 7^4\; =\; 7\; mod\; 19...$
可以发现没 3 次模幂数运算就进入循环，则模 19 下 7 的阶为 3（这和上面的定义并不冲突）

$\mathrm{给}\mathrm{出}\mathrm{定}\mathrm{义}\mathrm{：}\mathrm{若}\mathrm{模}n\mathrm{下}a\mathrm{的}\mathrm{阶}\mathrm{为}d=\phi (n),\phi (n)\mathrm{是}n\mathrm{的}\mathrm{欧}\mathrm{拉}\mathrm{函}\mathrm{数}::给出定义：若\backslash ,模\; n\; 下\; a\; 的阶为\; d\; =\; \backslash varphi(n),\backslash varphi(n)\; 是\; n\; 的欧拉函数::$

• $a\mathrm{称}\mathrm{作}n\mathrm{的}\mathrm{本}\mathrm{原}\mathrm{元}\mathrm{（}\mathrm{模}n\mathrm{达}\mathrm{到}\mathrm{满}\mathrm{阶}\mathrm{）}a\; 称作\; n\; 的本原元（模\; n\; 达到满阶）$
  
• $\mathrm{同}\mathrm{时}a\mathrm{也}\mathrm{是}{Z}_n^{\ast }\mathrm{的}\mathrm{生}\mathrm{成}\mathrm{元}\mathrm{（}\mathrm{可}\mathrm{由}a\mathrm{构}\mathrm{成}{Z}_n^{\ast }\mathrm{的}\mathrm{全}\mathrm{体}\mathrm{元}\mathrm{素}\mathrm{）}\mathrm{.}同时\; a\; 也是\; Z^*\_n\; 的生成元（可由\; a\; 构成\; Z^*\_n\; 的全体元素）.$

矩阵的分支数$(ThenumberofBranchesofthematrix)(The\backslash ;number\backslash ;of\backslash ;Branches\backslash ;of\backslash ;the\backslash ;matrix)$

在 Rijndael 的定义文章中，给出了其在线形成变换使用矩阵的最大分支数，对 m 阶的矩阵，该分支数达到了最大。

解释：
这里的向量是面向 byte 的，但是可以看作 nonzero = 1；zero = 0

• 其中 a 是 m 维的列向量，W(a)是向量 a 的重量，即向量 a 中非零元素的个数（注意并不是广义上的汉明重量）；
• F 是定义的线性变换，可以看作一个 m * m 的矩阵右乘一个 m * 1 的列向量（即 a 向量）：(Eg)

• 若要求式 $mi{n}_{(}a\mathrm{\ne }0)(W(a)+W(F(a)))min\_(a\; \backslash neq\; 0)(W(a)\; +\; W(F(a)))$ 取到最大值，则 $W(F(a))W(F(a))$要取到最大值，即线性变换要求能够产生最大扩散，而取最小时$W(a)=1W(a)=1$，所以 F 必须对所以可能的 a （这里可以理解为 $a=[a_1,a_2,a_3,a_4{]}^{T}a\; =\; [a\_1,a\_2,a\_3,a\_4]^T$，其中各个元素均为 0 或 1.）都能求出含有 4 个非零元素的列向量。即最大的分支数只能为 $m+1m\; +\; 1$
  
  

而能够达到该要求的矩阵，就称作 $MDSmatrix(MaximumDistanceSeparable)MDS\backslash ;matrix(Maximum\backslash ;Distance\backslash ;Separable)$

当然，MDS 矩阵还有很多性质（或要求）：

1. 要求，可以对任何非全零输入达到最大扩散（即每一byte影响多个byte）；
2. 矩阵本身和其小于其阶数的各阶子矩阵都是非奇异矩阵；
3. 如果它是从域 $K^{n}K^n$ 到 $K^{m}K^m$ 的线性变换$f(x)=Axf(x)=Ax$的变换矩阵，使得没有两个不同的 $(m+n)-(x,f(x))(m+n)-\; (x,f(x))$ 形式的元组在$nn$个或更多分量中重合。(可以理解为，在域上的不同输入不会产生输出碰撞_I Don`t Know）

很多密码，如 $AES\mathrm{、}SHARK\mathrm{、}Square\mathrm{、}Twofish\mathrm{、}Manta\mathrm{、}HierocryptandCamelliaAES、SHARK、Square、Twofish、Manta、Hierocrypt\backslash ;and\backslash ;Camellia$的线形层都使用了 $MDSmatrixMDS\backslash ;matrix$.