Дискретные функции
39
УДК 519.7
DOI 10.17223/2226308X/9/16
ФУНКЦИИ НА РАССТОЯНИИ ОДИН ОТ APN-ФУНКЦИЙ ОТ МАЛОГО ЧИСЛА ПЕРЕМЕННЫХ1
Г. И. Шушуев
Исследуется вопрос существования ЛРК-функций на расстоянии один друг от друга. Доказано, что гипотеза о том, что таких ЛРК-функций нет, выполнена для большинства известных ЛРК-функций от не более чем восьми переменных.
Ключевые слова: векторная булева функция, дифференциально 5-равномерная функция, ЛРМ-функция.
В работе рассматриваются векторные булевы функции Г : К? ^ К?. Каждая такая векторная булева функция единственным образом представляется в виде АНФ:
где P(N) — множество всех подмножеств множества N = {1,..., n}; а/ из F^. Алгебраической степенью функции F называется величина равная max{|11 : а/ = (0,... , 0), I Е Е P(N)}. Функции с алгебраической степенью, не превосходящей 1, называются аффинными. Функция называется дифференциально 5-равномерной [1], если для любого ненулевого вектора а Е F^ и любого вектора b Е F^ уравнение F(x) ф F(x ф а) = b имеет 8 решений, где 8 — целое положительное число. Порядком дифференциальной равномерности функции F называется минимальное возможное 8, такое, что F — дифференциально 8-равномерная функция. Расстоянием между векторными булевыми функциями F и G называется мощность множества {x Е Z^ : F(x) = G(x)}.
Векторные булевы функции также известны как S-блоки — примитивные элементы шифров. Чем меньше порядок дифференциальной равномерности S-блока, тем выше стойкость шифра, в котором он используется, к дифференциальному криптоанализу [2]. Минимальный возможный порядок равен двум. Функция с порядком дифференциальной равномерности 2 называется APN-функцией (Almost Perfect Nonlinear).
В работе [3] поднимается вопрос существования APN-функции на расстоянии один от произвольной APN-функции и доказано, что для тех APN-функций F : F^ ^ F^, для которых выполнено
все функции на расстоянии один являются дифференциально равномерными порядка 4; таким образом, на расстоянии один от них нет АРК-функций. В работе [3] выдвигается также гипотеза о том, что все АРК-функции удовлетворяют этому условию.
Данный вопрос тесно связан с вопросом существования АРК-функций максимальной алгебраической степени, а именно, если найдутся две АРК-функции на расстоянии один, то одна из них обладает максимальной алгебраической степенью. В [4] доказано, что для большинства известных АРК-функций Г : Щ ^ Щ функция ж2"-1 + Г (ж) алгебраической степени п не является АРК-функцией.
F(x)= Е (П xi)= Е а/x1,
/ev(N) ie/ /ev(n)
(1)
1 Работа поддержана грантом РФФИ, проект №15-07-01328.
40
Прикладная дискретная математика. Приложение
В данной работе исследуется вопрос: удовлетворяют ли APN-функции от малого числа переменных условию (1). Функции F и G из F^ в F^ называются EA-эквива-лентными, если G представима в виде G = Ai о F о A2 Ф A, где A, Ai и A2 — аффинные отображения из F^ в FT; Ai и A2 являются перестановками.
Утверждение 1. Если векторные булевы функции F и G EA-эквивалентны и условие (1) выполнено для F, то оно выполнено и для G.
Прямым следствием данного утверждения является то, что если какая-то функция из класса EA-эквивалентности удовлетворяет условию (1), то все функции из этого класса также удовлетворяют этому условию. Таким образом, достаточно проверять только одного представителя класса EA-эквивалентности.
В [5] приведены представители классов EA-эквивалентности векторных булевых функций, которые покрывают все APN-функции от не более чем пяти переменных (10 классов) и все квадратичные APN-функции от шести переменных (13 классов). В [6] приведён список всех известных представителей классов EA-эквивалентности APN-функций от семи (490 классов) и восьми переменных (8180 классов). В данной работе с помощью компьютерных вычислений были проверены представители этих классов и установлено, что они удовлетворяют условию (1).
Утверждение 2. Условию (1) удовлетворяют все APN-функции от не более чем пяти переменных, все квадратичные APN-функции от шести переменных и все известные APN-функции от семи и восьми переменных.
Таким образом, на расстоянии один от любой такой APN-функции все функции являются дифференциально равномерными порядка 4, т. е. на расстоянии один от таких APN-функций нет других APN-функций.
ЛИТЕРАТУРА
1. Nyberg K. Differentially uniform mappings for cryptography // LNCS. 1994. V. 765. P. 55-64.
2. BihamE. and Shamir A. Differential cryptoanalysis of DES-like cryptosystems //J. Cryp-tology. 1991. No. 4. P. 3-72.
3. Шушуев Г. И. Векторные булевы функции на расстоянии один от APN-функций // Прикладная дискретная математика. Приложение. 2014. № 7. С. 36-37.
4. Budagyan L., Carlet C., Helleseth T., and Li N. On the (non-)existence of APN (n,n)-functions of algebraic degree n. ia.cr/2016/143.
5. Brinkmann M. and Leander G. On the classification of APN functions up to dimension five // Des. Codes Cryptogr. 2008. V. 49. P. 273-288.
6. Yu Y., Wang M., and Li Y. A matrix approach for constructing quadratic APN functions // Des. Codes Cryptogr. 2014. V. 73. P. 587-600.