Частотные характеристики циклов выходных последовательностей комбинирующих генераторов над полем из двух элементов Текст научной статьи по специальности «Математика»

ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА

2015 Теоретические основы прикладной дискретной математики №3(29)

УДК 621.391.1:004.7

ЧАСТОТНЫЕ ХАРАКТЕРИСТИКИ ЦИКЛОВ ВЫХОДНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ КОМБИНИРУЮЩИХ ГЕНЕРАТОРОВ НАД ПОЛЕМ ИЗ ДВУХ ЭЛЕМЕНТОВ

И. Б. Биляк, О. В. Камловский

г. Москва, Россия

Приводятся формулы для подсчёта числа элементов на циклах выходных последовательностей комбинирующих генераторов над полем из двух элементов. Из этих формул выводятся некоторые оценки рассматриваемых частот. Получены формулы для вычисления автокорреляционных функций выходных последовательностей и расстояний Хемминга между отрезками последовательностей.

Ключевые слова: комбинирующий генератор, линейные рекуррентные последовательности, статистические свойства рекуррент, псевдослучайные последовательности.

DOI 10.17223/20710410/29/2

FREQUENCY CHARACTERISTICS OF CYCLES IN OUTPUT SEQUENCES GENERATED BY COMBINING GENERATORS OVER THE FIELD OF TWO ELEMENTS

I.B. Bilyak, O.V. Kamlovskii

Moscow, Russia

E-mail: bil-ib@mail.ru, ov-kam@yandex.ru

Some formulas are given for counting the number of elements in the cycles of output sequences generated by combining generators over the field of two elements. From these formulas, some estimates of the considered frequencies appear. Also, formulas for calculation of the autocorrelation functions and Hamming distances between the line segments of these sequences are obtained.

Keywords: combining generator, linear recurrent sequences, distribution properties of recurrent, a pseudo-random sequence.

Введение

Пусть P = GF(2), F1(x),..., Fk(x) —многочлены над полем P, имеющие степени m1,... ,mk соответственно. Для каждой булевой функции <^(xi,... ,xk) от k переменных комбинирующий генератор (см. [1, с. 272; 2, с. 311; 3, с. 92]) вырабатывает выходную последовательность v, элементы которой имеют вид

v(i) = ip(ui(i),u2(i),...,uk(i)), i ^ 0, (1)

где Uj — ненулевая линейная рекуррентная последовательность (ЛРП) над полем P с характеристическим многочленом Fj(x) для всех j Е {1,2,... , k}.

18

И. Б. Биляк, О. В. Камловский

Наибольший интерес к исследованию комбинирующих генераторов отмечался с 1966 по 1986 г. Подробный обзор зарубежных публикаций за этот период представлен в работе [3, с. 92-93]. Там же приводятся все основные результаты о рангах (линейной сложности) последовательностей v, построенных по правилу (1) и основы корреляционной атаки на начальные отрезки ЛРП, приводящей к необходимости выбора корреляционно-иммунных функций усложнения ip [3, с. 93-141].

Вопрос о частотных характеристиках последовательностей v, построенных по правилу (1), оказался менее изученным. Авторам не известны результаты о распределении элементов в последовательностях v. Исключение составляет работа [2], где

В.М. Фомичев для случая P = GF(2) получил точные формулы для вычисления частот появлений элементов на циклах последовательностей v и привёл оценки рассматриваемых частот.

Данная работа продолжает эти исследования. Предлагается другая формула для вычисления частот появлений элементов на циклах, основанная на знании коэффициентов Уолша — Адамара булевой функции р. С использованием этой формулы приводятся оценки рассматриваемых частот в ситуации, когда р — корреляционно-иммунная булева функция. Кроме того, приводится формула для вычисления автокорреляционной функции последовательности v, что позволяет находить расстояния Хемминга между отрезками выходных последовательностей комбинирующих генераторов, полученных на различных ключах.

1. Периоды и ранги выходных последовательностей

Последовательность v, определённая равенством (1), является периодической. Её минимально возможный период T(v) делит наименьшее общее кратное чисел T(ui),T(u2), • • • , T(uk). В частности, v является ЛРП над полем P [4, утверждение 10,

с. 319]. Приведём результат [1, теорема4, с. 273; 3, corollary 5.15], позволяющий достаточно просто находить ранг последовательности v, который определяется как наименьшая из всех возможных степеней характеристических многочленов последовательности v.

Теорема 1. Пусть P = GF(2), F1(x), • • • , Fk (x) —неприводимые многочлены над полем P попарно взаимно простых степеней m1, • • • ,mk соответственно. Тогда если многочлен Жегалкина функции р имеет вид

<p(xi, • • • ,Xk)

Е Е

s=1 iyii<i2<...<isyk

/1, , , /V» , /V» , /V» ,

L'ili2 ...isX ilX i2 ‘ ‘ * 5

то

k

rankv = E E cili2...ismhmi2 •••mis•

s=1 iyii<i2<...<isyk

В процессе доказательства этой теоремы получено следующее утверждение. Утверждение 1 [3, lemma5.12]. В условиях теоремы 1 для всех чисел i1, i2, • • •, is, таких, что 1 ^ i1 < i2 < • • • < is ^ k, последовательность uilui2 • • •uis с элементами

uilui2 • • • uis (i) uii (i)ui2 (i) • • • uis (i) , i ^ Ф

является ЛРП над полем P с неприводимым характеристическим многочленом степени

mil mi2 ■ ■ ■ mis.

Утверждение 1 позволяет найти период T(v) последовательности v.

Частотные характеристики циклов выходных последовательностей

19

Теорема 2. Пусть в условиях теоремы 1 функция ^ существенно зависит от всех своих переменных. Тогда T(v) = T(Ui)T(u2) ■ ■ ■ T(uk).

Доказательство. Последовательность v задается следующим образом:

v

Е Е

s=1 1<ii<i2<...<is

. Ui

s

Согласно утверждению 1, все ненулевые ЛРП, входящие в рассматриваемую сумму, имеют неприводимые характеристические многочлены различных степеней. В работе [4, утверждение 11, с. 321] показано, что для ЛРП оц w2, ..., о, у которых указаны взаимно простые характеристические многочлены, выполнено равенство

T(w + о + ... + ш{) = [T(wi), T(о2),... ,T(ог)].

Поэтому T(v) равен наименьшему общему кратному чисел T(ui1 ui2 ... uis), рассматриваемых для тех наборов i1, i2, ..., is, при которых ci1i2...is = 1.

В работе [5, теорема8.70] показано, что для ненулевых ЛРП и1, w2, ..., о, имеющих попарно взаимно простые периоды, выполнено равенство

T(01U2 ■ ■ ■ о) = T(01 )T(02) ■ ■ ■ T(о).

Числа T(u1),... , T(uk) являются делителями чисел 2m1 — 1,... , 2mk — 1 соответственно. В силу попарной взаимной простоты чисел m1,... , mk для всех i = j, i,j G {1, 2,... , k}, получим равенство (2mi — 1, 2mj — 1) = 1, а значит, (T(ui),T(uj)) = 1. Таким образом,

T(uiiui2 ... uis) = T(uii )T(ui2) ■ ■ ■ T(uis)

и T(v) равен наименьшему общему кратному чисел T(ui1 ),T(ui2),... ,T(uis), рассматриваемых для тех наборов i1, i2,... , is, при которых ci1i2...is = 1. Учитывая, что булева функция ^ существенно зависит от всех своих переменных, получим T(v) = = T(u1 )T(u2) ■ ■ ■ T(uk). ■

Отметим, что ранее теорема 2 была доказана в частном случае, когда все многочлены F1(x), ..., Fk(x) являются примитивными многочленами, т. е. многочленами максимально возможных периодов 2m1 — 1, ..., 2mk — 1 соответственно [2, теорема 18.2].

В условиях теоремы 1 последовательность v является чисто периодической, так как все последовательности u1,... , uk являются чисто периодическими.

Некоторые нижние оценки периода последовательности v (не обязательно двоичной), полученной в результате усложнения последовательностей u1, ..., uk с использованием функции <^, приводятся в работе [6, теорема 1].

2. Формулы В. М. Фомичева

Изучим частотные характеристики последовательности v, определённой равенством (1). Исследуем величину N(z,v), равную количеству появлений элемента z G P среди элементов v(0), v(1),... , v(T(v) — 1). Приведём вспомогательный результат из работы [2], представляющий и самостоятельный интерес. Этот результат формулируется как очевидный (см. [2, доказательство теоремы 18.2]). Для полноты изложения приведём его доказательство.

Утверждение 2. Пусть P = GF(2), F1(x),... , Fk(x) G P[x] —примитивные многочлены попарно взаимно простых степеней m1,... , mk соответственно, Zj G P, uj —

20

И. Б. Биляк, О. В. Камловский

ЛРП максимального периода c характеристическим многочленом Fj (x), j Е {1, 2, ..., k}, T = (2mi — 1) ■ ■ ■ (2mk — 1). Тогда для числа N (z\,... ,zk ,щ,..., uk) решений системы уравнений

{ui(i) = zi,

U2(i) = Z2,

Uk (i) = Zk

относительно неизвестного i Е {0,1,...,T — 1} справедливо равенство

N (zi,...,zk ,ui,...,uk) = (2mi 1 — 1 + zi)(2™2 1 — 1+ z2) ••• (2™fc 1 — 1 + zk).

Доказательство. Рассмотрим упорядоченные наборы

а = (ui(i),... ,ui(i + mi — 1),u2(i),... ,u2(i + m2 — 1),... ,uk(i),... ,uk(i + mk — 1)),

где i Е {0,1,...,T —1}. Заметим, что равенство a = aj влечёт соотношения T (ui) | i—j, ..., T(uk) | i — j, а значит, T(ui) ■ ■ ■ T(uk) = T | i — j. Отсюда следует, что все рассматриваемые векторы ai попарно различны. Тогда

{аг : i = 0,1,..., T — 1} = (Pmi\{0}) x ... x (Pmk\{0})

и число N(zi,... , zk, ui,... , uk) равно количеству наборов из множества (Pmi\{0}) x ... x (Pmk\{0}), имеющих следующий вид:

(zi j *; • у j * j z2 j *; • у j * j . . . j zk j * j • у j *) j mi-i m2 —i mfc —i

где на местах, обозначенных символом *, стоят произвольные элементы поля P. Число таких наборов равно (2mi-i — 1 + zi)(2m2-i — 1 + z2) ■ ■ ■ (2mk-i — 1 + zk). ■

Заметим, что число решений не зависит от выбора ненулевых ЛРП ui,... ,щ. Утверждение 2 описывает строение графа переходов автоматной модели комбинирующего генератора. При выборе произвольного начального состояния ao из множества (Pmi\{0}) x ... x (Pmk\{0}) в моменты времени i = 0,1,... , T — 1 автомат проходит последовательность состояний a0,... , ат — i и все элементы множества (Pmi\{0}) x ... x (Pmk\{0}) расположены на одном цикле длины T.

Заметим, что, согласно теореме 2, в условиях утверждения 2 имеет место равенство T(v) = T(ui) ■ ■ ■ T(uk) = (2mi — 1) ■ ■ ■ (2mk — 1) = T для каждой функции <£, существенно зависящей от всех своих переменных. Таким образом, справедлива

Теорема 3 [2]. Пусть в условиях утверждения 2 функция ^ существенно зависит от всех своих переменных. Тогда

N (z,v)= Е (2mi-i — 1 + zi)(2m2-i — 1 + z2) ••• (2mk-i — 1 + zk).

z=(zi,...,zfc)eP k ,^(z )=z

Таким образом, в наиболее интересном с практической точки зрения случае теорема 3 позволяет найти точное значение частот N(z,v).

Частотные характеристики циклов выходных последовательностей

21

3. Спектральный подход к исследованию частотных характеристик

Предложим альтернативный подход к исследованию частот N(z, v). Пусть функция ... ,xk) имеет коэффициенты Уолша — Адамара [7, с. 76]

Wv( a)

^2 (_ 1)^(xi,...,Xfc )®a1x1®...®akxk

xi,...,xk eP

где a = (ai,... , ak). Тогда

(-1Д

xi,...,xfc )

__ "y ^ ~^W (a)( i)aixi®...®akxk

2 aePk

и из равенства (1) получим

(_1)v(i) = (_1)p(

u1 (i) ,...,uk(i)) = 1 ^2 W (а)(_1)“1“1 (i)®...®“k Uk (i) .

2 aePk

Следующее утверждение сводит исследование частот N(z,v) к исследованию коэффициентов Уолша — Адамара функции ip и некоторой суммы, зависящей только от знаков ЛРП.

Утверждение 3. Для последовательности v, построенной по правилу (1), справедливы равенства

N(0,v)= Т(vW^1 _ М) + -L Е W^(a)a(a,ui,... ,Uk),

V 2 / 2 aePk\{0}

T (v)

N(1,v) =

2k 2k+l ^ P

2 2 aePk\{0}

E Wv(a)a(a,ui,...,Uk),

где ||^|| —вес функции p, а величина a (a, ul,... ,uk) определена равенством

T (v) i

a(a, ul,... ,uk )= E (_1)ai ui(i)®...®“k Uk(i).

i=0

Доказательство. Заметим, что справедливы соотношения

1 T(v)

т(v) 1, . T(v-1

N(z,v) = ^ E (1 + (_1)v(i)®z) = ^ + E_1)z E (_1)v(i)

2 i=0 2 2

Подставляя равенство (2), будем иметь

Т (v) 1 lVzT(^Tl 1

i=0

N(z,v) = + д(_1)^ E ~k E WP(a)(_1)“iUi(i)®...®“kuk(i) =

i=0 2k aePk

T(v)-i

a)

T (v) 1 T(v)-1

Уд:® + __(_1)z ^ WP(a) E (_1)“i“i(i)®...®“kUk(i)

aePk

i=0

T (v) 1 1 T(v)-i

H^ + S+r (_1)z Wy(0)T (v) + —^ (_1)z £ (ВД £ (_1)aiui(i)®...®ak uk(i).

2 2 2 aePk\{0} i=0

Для завершения доказательства остаётся воспользоваться равенством WP(0) = 2k _

_2IM|."

Значения величины a(a, ur,... , uj) в некоторых случаях удаётся точно подсчитать.

22

И. Б. Биляк, О. В. Камловский

Утверждение 4. Пусть P = GF(2), a = (a^...,ak) G Pk, Uj —ЛРП максимального периода 2mj — 1 с примитивным характеристическим многочленом Fj (x), где j G {1, 2,... , k}; T = (2mi — 1) ■ ■ ■ (2mk — 1). Тогда если числа ml,... , mk попарно

взаимно просты, то

( ) =_____________(~1)"a"T___________

a(a’ Ul ’ ' ' ' ’ Uk) (2mi — 1)«i (2m2 — 1)«2 ... (2mk — 1)«fc ’

где ||a|| —вес вектора a.

Доказательство. Если вектор a нулевой, то равенство выполнено. Пусть ||a|| = = s, s G N, и aj1,..., ajs —все ненулевые координаты вектора a, где 1 ^ jl < ... < js ^ ^ k. Тогда

T-l

a(a,ul,... ,uk) = (—1)uji(i).

i=0

Введём обозначение vt = ujt, где t G{1, 2,...,s}. Тогда

T- l

a(a,Ul,...,Uk ) = E (—1)vi(i)... (—1)vs(i). (3)

i=0

Представим каждую ЛРП vt с использованием функции след:

vt(i) = trQt (atat), i ^ 0,

где Qt = GF(2mjt); at — корень многочлена Fjt(x) в поле Qt; at — ненулевой элемент поля Qt. С использованием [5, равенство (5.17)] получим

(—1)vt(i) = (—1)"?'(atat) = Xt(ata't) = --Ц E С(,/н,х,)Ф,М),

2 Jt — 1 ^t

где xt — аддитивный характер поля Qt, определённый равенством xt(x) = (—1)tr?4(x), x G Qt, суммирование осуществляется по всем мультипликативным характерам -t поля Qt; G(ipt, xt) — сумма Гаусса. Тогда из равенства (3) будем иметь

a(a,Ul,... ,Uk)

1

(2mji - 1) ■ ■ ■ (2mjs

s T-l

тг E П G(-^ xt)-t(at)J2 (-l(al) ■ ■ ■ -s(as))i.

1) ^i,...,^s t=l i=0

Заметим, что

T-l

E (-l(al) ■ ■ ■ -s(as))i

i=0

(-l(al) ■ ■ ■ -s(as))T - 1

-l(al).. .-s(as) - 1

если -l(al) ■ ■ ■ -s(as) = 1,

T,

если -l(al) ■ ■ ■ -s(as) = 1,

а так как (-l(al) ■ ■ ■ -s(as))T = -l(aT) ■ ■ ■ -s(a^) = -l(e) ■ ■ ■ -s(e) = 1, то

T- l

E(-l(al) ...-s(as))i

i=0

0, если -l(al) ••• -s(as) = 1, T, если -l(al) ••• -s(as) = 1.

В силу того, что -t(at) является корнем степени 2mjt — 1 из единицы для всех t G {1,2, ...,s}, а числа 2mji — 1,..., 2mjs — 1 попарно взаимно просты, соотношение -l(al) ■ ■ ■ -s(as) = 1 выполнено только в случае, когда -l(al) = ... = -s(as) = 1.

Частотные характеристики циклов выходных последовательностей

23

Другими словами, каждый из характеров ф\,... ,ф3 должен быть тривиальным. Значит,

T

a{a,ui,...,uk) = _ (2mjs _ G(^01},X 1) ••• G(^0s),Xs),

где Ф01,...,^0s) — тривиальные мультипликативные характеры полей Q1}... ,Qs соответственно. Согласно [5, равенство (5.14)], для всех j Е {1,2 ,...,k} выполнено G(^0j),x1) = _1. Таким образом, получим

( ) = (_1)sT = (_1)"a"T

a(a,ub ...,Uk) = (2тл _ 1)(2mj2 _ 1)... (2mjs _ 1) = (2mi _ 1)“i(2m2 _ 1)“2 ... (2mk _ 1)“k.

Утверждение доказано. ■

Непосредственно из утверждений 3 и 4 получим основной результат этого пункта.

Теорема 4. Пусть P = GF(2), u1,... ,uk — ЛРП максимального периода над полем P, имеющие периоды 2mi _ 1,... , 2mk _ 1 соответственно, причём числа m1,..., mk попарно взаимно просты, T = (2mi _ 1) ■ ■ ■ (2mk _ 1). Тогда для последовательности v, определённой равенством (1), где функция ^ существенно зависит от всех своих переменных, справедливы следующие соотношения:

N (0, v) = T

T Ml + Т ______________________(_1)ИаИ^(а)____________

2k + 2k+1 aepk\{0} (2mi _ 1)“i (2m2 _ 1)“2 ... (2mk _ 1)“k,

N (1,v)

T Ml ^ T _____________________(_1)"aIW^(a)_____________

2k 2k+1 aepk\{0} (2mi _ 1)“i (2m2 _ 1)“2 ... (2mk _ 1)“k.

Отметим, что по столбцу значений булевой функции ^(ж1,... ,Xk) достаточно просто находится набор W^(a), а Е Pk\{0}, её коэффициентов Уолша — Адамара, а также набор Иф(а) = _W^(а)/2, а Е Pk\{0}, её коэффициентов Фурье. Таким образом, теорема 4 позволяет в наиболее интересном случае вычислить частоты N(z,v).

4. Примеры

Рассмотрим некоторые примеры использования теорем 3 и 4. Во всех примерах функция ^ существенно зависит от всех своих переменных, поэтому, согласно теореме 2, период T(v) последовательности v, построенной по правилу (1), равен T = (2mi _ 1) ■ ■ ■ (2mk _ 1).

Утверждение 5. Пусть ^(x1,... , xk) = x1 ® ... ф xk ® е, где е Е {0,1}. Тогда

T + (-1)k+£ T- (-1)k+£

N (0, v) =--2-----, N (1,v) =----2---, rank v = m1 + ... + mk.

Доказательство. Для булевой функции ^(x1,..., xk) = x1 ф ... ф xk ф е имеем W^(1,..., 1) = (_1)£2k, Ж^(а) = 0 для всех а =(1,..., 1).

Тогда с использованием теоремы 4 получим

N(0, v) = T

N(1,v)

1

+

(_1)k+£ T + (_1)k+£

2k 2 2

T|MI (_1)k+£ T _ (_1)k+£

2k

2

2

24

И. Б. Биляк, О. В. Камловский

Равенство для rank v непосредственно следует из теоремы 1. ■

Отметим, что формулы для частот из утверждения 5 были ранее получены в работе [8, с. 133].

Утверждение 6. Пусть ^(x\,... , xk) = xf1 ■ ■ ■ x^, где a\, ..., ak E {0,1} (счита-

ем, что x0 = xj, x1 = xi} i = 1,... ,k). Тогда

N(0, v) = T - (2m1-1 - 1 + ai) ■■■ (2mk-1 - 1 + ak),

N(1, v) = (2m1-1 - 1 + ai) ■■■ (2mk-1 - 1 + ak), rankv = (m1 + tr1) ■ ■ ■ (mk + ak).

Доказательство. С использованием утверждения 2 получим

N(1, v) = N(a1,..., ak, ub ..., Uk) = (2m1-1 - 1 + a^ ■■■ (2mk-1 - 1 + ak),

N(0, v) = T - N(1, v) = T - (2m1-1 - 1 + a1) ■■■ (2mk-1 - 1 + ak).

Равенство для rank v непосредственно следует из теоремы 1 и равносильности формул x<ai = xj ® oii, i =1, 2,..., k. ■

Утверждение 7. Пусть ^(x1,... , xk) = x1 ® x2x3 ■ ■ ■ xk. Тогда

N(0, v) = (2m1-1 - 1)(2m2 - 1) ■ ■ ■ (2mk - 1) + 2m2+...+mfc-k+1,

N(1 v) = 2m1-1(2™2 - 1) ■ ■ ■ (2mfc - 1) - 2™2+...+mfc-k+1 rank v = m1 + m2m3 ■ ■ ■ mk.

Доказательство. Обозначим через v' последовательность u2 ■ ■ ■ uk. С использованием теоремы 3 и утверждения 6 получим

N (1, v) = £ (2m1-1 - 1 + Z1)(2m2-1 - 1 + Z2) ■■■ (2mk-1 - 1 + zk ) =

z=^zl,...,zk)ePk,

v(z)=1

= 2m1-1 £ (2m2-1 - 1 + z2) ■ ■ ■ (2mfc-1 - 1 + zk) + (2m1-1 - 1)2m2+-+mfc-k+1 =

(z2 ,...,zk) = (1,...,1)

= 2^1-1 n(0 v') + (2™1-1 - 1)2™2+—+mk-k+1 =

= 2m1-1 ((2m2 - 1) ■ ■ ■ (2mk - 1) - 2m2+ +mk-k+1) + (2^1-1 - 1)2^2+ +mk-k+1 =

= 2m1-1 (2m2 - 1) ■ ■ ■ (2mk - 1) - 2m2+...+m-k-k+1

N (0, v) = T - N (1, v) = (2m1-1 - 1)(2m2 - 1) ■ ■■ (2mk - 1) + 2m2+...+mk-k+1. Равенство для rank v непосредственно следует из теоремы 1. ■

Отметим, что в утверждении 7 для подсчёта частот можно воспользоваться теоремой 4, если учесть, что справедливы равенства

W,(a)

0, если a = (0, a2, ..., ak), (a2,...,ak) E Pk 1

2k - 4, если a = (1,0,..., 0),

4(-1)l|a|1, если a = (1,a2,..., ak), (a2,... ,ak) = 0.

Утверждение 8. Пусть ^(x1,... ,xk) = x1 ©■ ■ -®xk-2®xk-1 xk. Тогда для каждого z E {0,1}

N (z, v)

T

2

+

(-1)k+z

2

(2

™k-1+mk-1

2mk-1

2mk + 1),

rank v = m1 +-+ mk-2 + mk-1mk.

Частотные характеристики циклов выходных последовательностей

25

Доказательство. Заметим, что справедливы равенства

{0, если (ai,... ,afc-2) = (1,..., 1),

2k-1, если (ai,..., ak-2) = (1,..., 1), (ak-i,ak) = (1,1), — 2k-1, если a = (1,1,..., 1).

Тогда, согласно теореме 4,

N(z, v)

T (-1)k+z

_ + i—j-----((2mk-i — 1)(2mk — 1) — (2mk

T (_i)k+z

=_____, У J (2mk-1+mk-1 _ 2mfc-1 _

2 + 2 (

_ 1) — (2mk-1 2mk + 1).

1) — 1) =

Равенство для rank v непосредственно следует из теоремы 1. ■

5. Оценки частот

Использование формул из теорем 3 и 4 не всегда удобно ввиду большого числа слагаемых в них. Представляет интерес получение оценок частот N(z,v). Приведём оценку, полученную по аналогии с доказательством из работы [2, теорема 18.2].

Теорема 5. Пусть P = GF(2), z G P, u1,... ,uk — ЛРП максимального периода над полем P, имеющие периоды 2mi — 1,..., 2mk — 1 соответственно, причём числа m1,... , mk попарно взаимно просты и m1 < m2 < ... < mk. Тогда для последовательности v, определённой равенством (1) c функцией <^, существенно зависящей от всех своих переменных, справедливы неравенства

2mi+...+mk-k (1 — 22-mi

+ 22-mi-k)|^-1(z)| ^ N(z,v) ^ 2mi+...+mk-k|p-1(z)|,

где ^ 1(z) = {a G Pk : ^(a) = z}.

Доказательство. Верхняя оценка вытекает из теоремы 3 и неравенства

(2mi-1 — 1 + z1)(2m2-1 — 1 + z2) ■ •• (2mk-1 — 1 + zk) ^ 2mi+...+mk-k,

справедливого для всех z1,z2,...,zk G P. Докажем справедливость нижней оценки. Методом математической индукции по параметру k нетрудно показать, что для всех неотрицательных действительных чисел a1,... , ak верно неравенство (1 — a1) ■ ■ -х х (1 — ak) ^ 1 — a1 — ... — ak. Тогда с использованием теоремы 3 получаем

N(z, v

>=ие 2mi+-+mk-k‘(1—44.41—45)*

z€^ i(z)

^ 2mi+...+mk-k i^-1(z)^ 1 — ...( 1

^ 2mi+...+mk-k|^-1(z)^ 1 —

^ 2mi+...+mk-k|^-1(z)^ 1 —

1

1-1 1

2mi-1 11

2mk-1 1

2mk

1

1

2mi-1 2mi ' ' 2mi+k-2

2mi+...+mk-k |^-1(z)|(1 — 22-mi + 22-mi-k).

Теорема доказана. ■

26

И. Б. Биляк, О. В. Камловский

Верхняя оценка из теоремы 5 доказана в [2, теорема 18.2]. В этой же работе приводится нижняя оценка, которая в условиях теоремы 5 имеет следующий вид:

N(1,v) > 2mi+-+mk~k(1 - 21-mi)|^-1(z)|.

Доказательство этой оценки ошибочно и сама оценка не верна. Приведём соответствующий пример. Пусть k ^ 2, ^(ж1 , x2,... ,xk) = x1x2 ■ ■ ■ xk. Тогда, согласно утверждению 6,

N(1,v)

(2mi-1 - 1)(2m2-1 - 1) ■■■ (2mk-1 - 1) < (2mi-1

1)2

m2+...+mfc-k+1

>

а рассматриваемая оценка имеет вид

N(1 v) > 2mi+...+mfc-k __ 2m2+...+mfc-k+1

что не верно.

Получение общих оценок с использованием теоремы 4 представляется затруднительным. Применим эти результаты для важного класса функций усложнения <^, называемых корреляционно-иммунными [3, §5.3; 7, гл. 7].

Теорема 6. Пусть, в условиях теоремы 5, T = (2mi - 1) ■ ■ ■ (2mk - 1) и является корреляционно-иммунной порядка d функцией. Тогда

|N(z,v) - 8(z)| ^ (2md+2 - 1) ■■■ (2mk - 1)|M(^)2{0}^2, где M(<^) = {a e Pk : Wv(a) = 0}, а величина 8(z) определена равенствами

T

4(z) = <

2k

T1

2k

если z = 1 ,

если z = 0.

Доказательство. Из теоремы 4 имеем

T

|N(z,v) - Ф)!

2k+1

Е

a eP k\{0}

(-1)1Ищда)

Отсюда получим неравенство

|N(z,v) - ^(z)| ^

T

Е

(2mi - 1)ai ...(2mk -1)ak

|Wv(a)|

2k+1 aepkk\{0} (2mi - 1)ai ■ ■ ■ (2mk - 1)ak'

Согласно [7, теорема7.10], W^(a) = 0 для всех векторов a e Pk веса 1 ^ ||a|| ^ d. Следовательно,

T

|N(z-V) - 4(z)| < 2k+. (2mi - !)... (2'"d+, - 1) aeP?\{0}|W^(a

Частотные характеристики циклов выходных последовательностей

27

Воспользуемся неравенством Коши [4, с. 131] и равенством Парсеваля [7, с. 80] для получения оценки сверху суммы модулей коэффициентов Уолша — Адамара. Тогда

£ |И'ф(а)| = £ |ИДа)| « |M(ф)\{0}|1/2 £ |ИДа)|'2

a EPk\{0} a€M(^)\{0} \aeM(^)\{0}

< M(ф)\{0}|1/2

£ И£(а)|2

a EM (ф)

1/2

|M (^)\{0}|1/22k.

1/2

Подставив полученную оценку в неравенство (4), получим

|N(z,v) - 5(z) ^ (2md+2 - 1) ■ ■ ■ (2mk - 1)|M(^)\{0}^2.

Теорема доказана. ■

Для сбалансированных корреляционно-иммунных порядка d функций (d-устойчивых функций) получаем следующий результат.

Следствие 1. Пусть, в условиях теоремы 5, функция ф является d-устойчивой. Тогда

N(z,v) - T

^ (2md+2 - 1)... (2mk - 1)

|M (ф)\{0}|1/2

Приведём оценку, не зависящую от величины M(ф).

Следствие 2. Пусть, в условиях теоремы 5, ф является корреляционно-иммунной порядка d функцией. Тогда

|N(z,v) - d(z)| ^ (2md+2 - 1) ■ ■ ■ (2mk - 1)

(2k - s(k, d))1/2

где

s'k.d)=( x k)+0+.+ c

Доказательство. Используя равенство W^(a) = 0, справедливое для всех векторов a G Pk веса 1 ^ ||а|| ^ d [7, теорема 7.10], получим

|M(ф)| < 2k - (У

2

Если функция ф не является сбалансированной, то Wv (0) = 0 и 0 G M(ф). Если функция ф является сбалансированной, то W^(0) = 0 и 0 G M(ф). Таким образом,

|m (^)\{0}| <2k - (0)- С)- (2) - • - (d)=2k - s(k.d).

и остаётся воспользоваться оценкой из теоремы 6. ■

Оценки из теоремы 6, следствий 1 и 2 обращаются в равенства для каждой из (k-1)-устойчивых функций ф(Х]_, • • • , xk) = x1 ® ■ ■ ■ ® xk и ф(х1, • • • , xk) = x1 ф ■ ■ ■ ф xk ф 1 (см. утверждение 5).

28

И. Б. Биляк, О. В. Камловский

6. Автокорреляционная функция и расстояние между отрезками

выходных последовательностей

Рассмотрим случай, когда Fi (ж),... , Fk(ж) —примитивные многочлены над полем P = GF(2) попарно взаимно простых степеней mi,... , m^ соответственно, <р — булева функция, существенно зависящая от всех своих переменных, а начальное состояние

ao = (ui(0),ui(l),... ,ui(mi - 1),... ,ufc(0),ufc(1),... ,ufc(mfc - 1))

комбинирующего генератора выбирается из множества (Pmi\{0}) х... х (Pmk\{0}), т. е. все ЛРП u1,... ,Uk являются ненулевыми. Пусть T = (2mi — 1) • • • (2mk — 1). Согласно теореме 2, каждая выходная последовательность v комбинирующего генератора, построенная по правилу (1), имеет период T(v) = T. Как показано в утверждении 2, состояния

ai = (ui(i),ui(i + 1),... ,ui(i + mi — 1),... ,ufc(i),ufc(i + 1),... ,ufc(i + mfc — 1))

комбинирующего генератора в моменты времени i = 0,1,...,T — 1 пробегают все множество (Pmi\{0}) х ... х (Pmk\{0}) и лежат на одном цикле.

Для каждого r Е N0 обозначим через xrv сдвиг последовательности v на r шагов, т. е. последовательность вида xrv = (v(r), v(r + 1),...). Заметим, что множество всех последовательностей над полем P образует модуль над кольцом многочленов P [ж] [4, с. 297], и введённое обозначение согласуется с внешней операцией умножения последовательности на многочлен. Последовательность x*v, t = 0,1,..., T — 1, вырабатывается на начальном состоянии at, и в рассматриваемом случае все выходные последовательности генератора являются сдвигами друг друга. В силу равенства T(v) = T последовательности v, xv,... , жт-iv попарно различны.

Нас интересует вопрос о расстоянии Хэмминга p(v,x*v), t = 0,1,...,T — 1, между векторами (v(0), v(1),... , v(T — 1)) и (v(t), v(t +1),..., v(t + T — 1)), т. е. между циклами последовательностей v и x*v.

Рассмотрим автокорреляционную функцию последовательности v [5; 9, с. 123], определённую равенством

t -i

Cv(t) =Е (—1)v(i)®v(i+t), i = 0,1,...,T — 1. (5)

i=0

Из равенства Cv(t) = T — 2p(v, vt) получим

p(v, x*v) = (T — Cv (t))/2. (6)

Всюду в дальнейшем изучается ситуация, когда для всех j = 1, 2,... , к выполнено

(uj (0),uj (1),...,uj (mj — 1)) = (uj (t),uj(t +1),...,uj(t + mj — (7)

т. е. при выработке v и x*v все соответствующие начальные заполнения регистров сдвига различны.

Лемма 1. Условие (7) равносильно тому, что t не кратно каждому из чисел

2™i — 1 2тк — 1

Доказательство. При каждом j = 1, 2,..., к соотношение

(uj(0),uj(1)^.. ,uj(mj — 1)) = (uj(t),uj(t + ^... ,uj(t + mj — 1))

означает, что uj = x*uj, т. е. (ж* — 1)uj = (0). Это равносильно тому, что T(uj) = 2mj — 1 делит t. ■

Частотные характеристики циклов выходных последовательностей

29

Теорема 7. Пусть P = GF(2), Fi(x),... , Fk(x) —примитивные многочлены над полем P попарно взаимно простых степеней mi,... ,mk соответственно, П\,... ,Uk — ненулевые ЛРП, T = (2m1 — 1) • • • (2mk — 1), функция <p существенно зависит от всех своих переменных. Тогда для всех t, не кратных каждому из чисел 2m1 — 1, ..., 2mk — 1,

CV (t)

T L MV + L r (—1)HaHWy(a)

V 2k-V + 2k-i V 2k-V aePG{0} (2mi — 1)tt1 ... (2mk — 1)“k

T ^ (—1)ll(“lVbb...,“kVbk)llw^(a)W^(b)

+ 2k a=(a^^,ak), (2m1 — 1)“1Vb1 . . . (2mk — 1)“kVbk .

b = (bi,...,bk )ePk\{0}

Доказательство. Из равенств (2) и (5) имеем

CV (t)

t -i

Y ( — 1)v(i) (— 1)v(i+t)

i=0

1 T -i

22k E W,(a)W»(bn: (_1)»1(i)*-*-k(i),

2 a,b€Pk i=0

где для каждого j = 1,2,...,k последовательность Uj определена равенством Uj = = (bjx* + aj)uj. Последовательность Uj является ЛРП с характеристическим многочленом Fj (x), причём она нулевая тогда и только тогда, когда Fj (x) делит bjx* + aj. По выбору числа t это выполнено только при условии aj = bj = 0. Отсюда с использованием утверждения 4 получаем следующее равенство:

T -1

Y ( — 1)“1(i)©-©“k(i) =

i=0

(—1)l(“1Vb1,...,ak Vbk) lT

(2m1 — 1)«1Vb1 . . . (2mk — 1)«kVbk '

Значит,

T (_1)IKa1Vb1,...,ak Vbk)llT

Cv (t) = 22k a 2^ k Wy(a)Wy(b) (2m1 — 1)«1Vb1 . . . (2mk — 1)«k Vbk .

Выделяя отдельно случаи a = b = 0; a = 0, b G Pk\{0}; b = 0, a G Pk\{0} и используя равенство Wy(0) = 2k — 2||^||, получим нужную формулу. ■

Теорема 7 и равенство (6) позволяют найти точные значения для расстояний Хэмминга p(v,x*v). Например, пусть, в условиях теоремы 7, ^(x1,... ,xk) = x1 ® - • -®xk ®е, где е G {0,1}. Тогда (см. утверждение 5)

CV (t)

T (—1)k пум......1)2

22k (2m1 — 1) • • • (2mk — 1)

(—1^ P(v,xtv)

T + (—1)k-i 2

В этом случае рассматриваемые векторы отличаются примерно в половине координат.

Рассмотрим ещё один пример. Пусть, в условиях теоремы 7, ^(xi,... ,xk) = xi ® ® • • • ® xk-2 ® xk-ixk. Тогда (см. утверждение 8)

CV (t)

T ^ (—1)(-i)"(“1Vb1 ,...,“k vbk)" Wy(a)Wy (b)

221 a,be{(i...i00),(i..;i0i),(i...ii0),(i...i)} (2m1 — 1)a1Vb1 ... (2mk — 1)akVbk

Отсюда нетрудно получить равенства

Cv (t) = (—1)k(2mk-1+mk-2 — 2mk-1 — 2mk + 1), p(v,x*v) = (T + (—1)k-i(2mk-1+mk-2 — 2mk-1 — 2mk + 1))/2.

Установим оценку сверху величины Cv (t) для корреляционно-иммунных функций усложнения.

30

И. Б. Биляк, О. В. Камловский

Следствие 3. Пусть, в условиях теоремы 7, т1 < т2 < ... < mk и ip является корреляционно-иммунной порядка d функцией. Тогда

< (2md+2-1) ■ ■ ■ (2mk-1)|M(р)\{0}|1/Ф2 - М + |MЫ\{0}|1/2) .

Доказательство. Из теоремы 7 получим

Cv (t) - T 1 -

2k-1

C (t)

T Л_ M^l2< ^ Л r |Wy(a)|

V 2k-V < 2k-1 V 2k-V aepk\{0} (2mi - 1)tt1... (2mk - 1)“k

+ T T W (a)||Wy (b)|

+ 22k a=(a^^,afc), (2m1 - 1)“1Vfc1 . . . (2mk - 1)°kVbk ‘

b=(bi,...,bk)ePk\{0}

Так как W^(a) = 0 для всех векторов a е Pk веса 1 < ||a|| < d [7, теорема 7.10], то

C (t) - T (1 - 2k-i

< (2md+2 - 1)- (22k-- 1)(2k - 2M> E |W.(a)|+

2 aePk\{0}

(2md+2- 1)...(222k_^/ E W(a)

22k

\ aeP k\{0}

2

2

Для завершения доказательства остаётся воспользоваться неравенством

Е Д»! < |M(P\{0}|1/22k,

a ePk\0

полученным при доказательстве теоремы 6. ■

Следствие 4. Пусть, в условиях теоремы 7, т1 < т2 < ... < mk и р является d-устойчивой булевой функцией. Тогда

|Cv (t)| < (2md+2 - 1) ••• (2mk - 1)|M (p)\{0}| < (2md+2 - 1)... (2mk - 1)(2k - s(k,d)),

T

p(v, xtv) - —

< (2md+2 - 1) ■ ■ ■ (2mk - 1) |MЫ\{0}| < (2md+2 - 1) ... (2mk - 1) 2 S(k’ d)

Доказательство. Достаточно воспользоваться оценкой |M(<^)\{0}| < 2k -- s(k,d), полученной при доказательстве следствия 2, и равенством (6). ■

Оценки из следствий 3 и 4 достижимы для булевой функции ^(x1,... ,Xk) = x1 ® Ф X2 ® ■ ■ ■ ® Xk ® £, где £ е {0,1}.

ЛИТЕРАТУРА

1. Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. М.: Гелиос АРВ, 2001. 480с.

2. Фомичев В. М. Методы дискретной математики в криптологии. М.: Диалог-МИФИ, 2010. 424 с.

3. Rueppel R. A. Analysis and Design of Stream Ciphers. Springer Verlag, 1986. 244 p.

4. Глухов М. М., Елизаров В. П., Нечаев А. А. Алгебра. Т. 2. М.: Гелиос АРВ, 2003. 416с.

5. Лидл Р., Нидеррайтер Г. Конечные поля. М.: Мир, 1988. Т. 1,2. 822 с.

Частотные характеристики циклов выходных последовательностей

31

6. Фомичев В. М. О периодах усложненных последовательностей // Математические вопросы кибернетики. Вып. 13. М.: Физматлит, 2004. С. 37-40.

7. Логачев О. А., Сальников А. А., Смышляев С. В., Ященко В. В. Булевы функции в теории кодирования и криптологии. М.: МЦНМО, 2012. 584с.

8. Niederreiter H. Weights of cyclic codes // Information and Control. 1977. V. 34. P. 130-140.

9. Golomb S. W. and Gong G. Signal Design for Good Correlation. Cambridge, 2005. 438 p.

REFERENCES

1. Alferov A. P., Zubov A. Yu., Kuz’min A. S., Cheremushkin A. V. Osnovy kriptografii [Basics of Cryptography]. Moscow, Gelios ARV Publ., 2001. 480p. (in Russian)

2. Fomichev V. M. Metody diskretnoy matematiki v kriptologii. Moscow, Dialog-MIFI Publ.,

2010. 424p. (in Russian)

3. Rueppel R. A. Analysis and Design of Stream Ciphers. Springer Verlag, 1986. 244 p.

4. Glukhov M. M., Elizarov V. P., Nechaev A. A. Algebra. V. 2. Moscow, Gelios ARV Publ., 2003. 416 p. (in Russian)

5. LidlR., Niderrayter G. Konechnye polya [Finite Fields]. Moscow, Mir Publ., 1988, vol. 1,2. 822 p. (in Russian)

6. Fomichev V. M. O periodakh uslozhnennykh posledovatel’nostey [On periods of complicated sequences]. Matematicheskie Voprosy Kibernetiki, iss. 13. Moscow, Fizmatlit Publ., 2004, pp. 37-40. (in Russian)

7. Logachev O.A., Sal’nikov A. A., Smyshlyaev S. V., Yashchenko V. V. Bulevy funktsii v teorii kodirovaniya i kriptologii [Boolean Functions in Coding Theory and Cryptology]. Moscow, MCCME Publ., 2012. 584p. (in Russian)

8. Niederreiter H. Weights of cyclic codes. Information and Control, 1977, vol. 34, pp. 130-140.

9. Golomb S. W. and Gong G. Signal Design for Good Correlation. Cambridge, 2005. 438 p.