CC BY
41
Высотой примитивной матрицы A (обозначается h(A)) называется расстояние по Хэммингу между A и ближайшей минимальной примитивной матрицей M Е Pmin(n):
h(a) = min d(A, M).
M ePmin(n)
Величина h(A) является определённой мерой избыточности при построении связей между элементами входа и выхода преобразований информации.
Алгоритм оценивания h(A) (метод координатного спуска):
1) последовательно просматривая элементы матрицы A, находим единицы;
2) заменяем найденный единичный элемент в матрице A нулевым и для полученной матрицы A' выполняем:
— проверяем в A' наличие нулевых строк и столбцов; если таковые есть, возвращаемся к выполнению п. 2 для следующей единицы матрицы A;
— матрицу A' без нулевых строк и столбцов проверяем на примитивность;
— если матрица A; не примитивная, возвращаемся к матрице A, восстанавливаем замененную единицу и выполняем п. 2 для следующей единицы матрицы A;
— примитивную матрицу A; проверяем на минимальность;
— если A' минимальная, то определяем m — число единиц, заменённых нулями;
— если A' не минимальная, то переходим к выполнению п. 1 для матрицы A'.
На выходе алгоритма получим минимальную примитивную матрицу M, где
h(A) ^ d(A, M) = m.
Сложность алгоритма полиномиальная. Пусть ||A|| = k, где n < k ^ n2 для примитивной матрицы A. Тогда вычислительная сложность алгоритма в битовых операциях в худшем случае не превышает величины 0(k2n3 log n). Объём памяти требуется порядка O(n2) битов. Данный метод можно использовать для поиска минимальных матриц, близких к перемешивающим матрицам раундовых подстановок блочных шифров (DES, ГОСТ 28147-89 и др.).
ЛИТЕРАТУРА
1. Фомичев B. M. Методы дискретной математики в криптологии. М.: Диалог-МИФИ, 2010.
2. Когос К. Г., Фомичев В. М. Положительные свойства неотрицательных матриц // Прикладная дискретная математика. 2012. №4(18). С. 5-13.
3. Сачков B. Н., Тараканов B. Е. Комбинаторика неотрицательных матриц. М.: ТВП, 2000.
УДК 519.1:511.2
ЧИСЛА ЭЙЛЕРА НА МНОЖЕСТВАХ ПЕРЕСТАНОВОК И АНАЛОГИ
ТЕОРЕМЫ ВИЛЬСОНА
Л. Н. Бондаренко, М. Л. Шарапова
Определяются числа Эйлера на множествах перестановок и с их помощью доказываются аналоги теоремы Вильсона для чисел стандартных полных отображений и чисел стандартных сильных полных отображений.
Ключевые слова: перестановка, числа Эйлера, полные отображения, теорема Вильсона.
На симметрической группе Sn—1 статистика des^) = |{ІЄ [n— 1] : аі>аі+1, а^0}| при фиксированном n ^ 2 описывает число спусков перестановки а=а1... а^ 1 єSn—1 над алфавитом [n—1]={1,... , n—1}. На множестве перестановок U С Sn—1 определим производящий многочлен Эйлера tdes(a), а его коэффициенты назовём числами Эй-
a€U
лера на U .В частности, этот многочлен на Sn—1 совпадает с многочленом Эйлера
n— 1
An— l(t)= Y, An—l,k tk степени n—1, а An—l,k = |^Sn—l: des(а) = k}| [І]. k=l
Для простого числа p имеем Ap—l (1) = |Sp—1| = (p— 1)! = — 1 (mod p), что отвечает теореме Вильсона [2], а её усилением служит следующее утверждение.
Теорема 1. Ap—l k = 1 (mod p), k = 1,... ,p—1.
Теорему І можно доказать с помощью формул для чисел Эйлера Ap—l,k, но интереснее получить её прямое доказательство на основе свойств перестановок aєSn—1, что позволяет также найти аналоги теоремы Вильсона для чисел, связанных с трудными перечислительными проблемами полных отображений.
Определим биекцию c : Sn—1 ^ Sn—1 с помощью равенств cai=n — а^, іє[п—1], для символов аєSn— 1, а дополнение к а обозначим a=ca.
В криптографии сложение перестановок aєSn—1 часто выполняется посимвольно по mod n, т. е. на аддитивной группе Zn, отождествляемой с {0,1,... , n — 1}, причём это переносится и на умножение aєSn—1 на целое число. Будем также использовать
n— 1
формулу des^)=n—1 (аі+1 —а*), в которой разности берутся по mod n, а а0=а^0.
i=0
Непосредственно из определений следует, что c есть инволюция, а а + а = 0, причём элементарное равенство des^) +des(^) = n влечёт соотношение tnAn—l(t—1) = An—l(t).
Определение 1. Перестановки а, 4 Є Sn—1 назовём сопряжёнными относительно є Є Sn—і, если а + 4 = є, а є Є Sn—1 —единичная перестановка (сопряжённость можно рассматривать относительно любой перестановки т Є Sn—1).
Все а Є Sn—1, сопряжённые относительно є Є Sn—1, задают множество CM(Zn) всех стандартных полных отображений [3], а |CM(Zn)| = |CM(Zn)|, CM(Zn) —множество всех а Є Sn—1 из определения І. Множество всех стандартных сильных полных отображений SCM (Zn) = CM(Zn) П CM(Zn), |CM(Zn)| = 0 при чётном n и |SCM(Zn)| = 0 также и при n, кратном трём, а задачи вычисления чисел |CM(Zn)| и |SCM(Zn)| являются #Р-полными [3] (|CM(Zn)| при нечётном n = 1, 3,... , 25 приведены в [4]).
Свойства чисел Эйлера из теоремы І наследуются числами Эйлера An—l,k на CM(Zn), An—l,k на SCM(Zn) и приводят к аналогам теоремы Вильсона.
Теорема 2. Ap—l,k = 1 (mod p), k = 1,...,p — 2; ^4_p—l,p—l = 0, что влечёт |CM(Zp)| = —2 (mod p).
Теорема 3. Ap—l,l = 0; Ap—l,k = 1 (mod p), k = 2,...,p — 2; Ap—l,p—l = 0, что влечёт |SCM(Zp)| = —3 (mod p).
Доказательство теорем базируется на следующих вспомогательных утверждениях.
Лемма 1. Пусть Rn = {гє : r Є [n—1], (r,n) = 1,є Є Sn— l} отвечает приведённой системе вычетов по modn. Тогда des(rc) = r, а |Rn| = <^(n), где при n = Пpordp(n),
p|n
n > 1, функция Эйлера <^(n) = n\\(1 — p—l).
p|n
Лемма 1 следует из свойств des, а её применение при нечётном n > 1 с определением 1 даёт |(Rn П CM(Zn))| = nП(1 — 2p-1) и |(Rn П SCM(Zn))| = nП(1 — 3p-1).
p|n p|n
Лемма 2. Если а Е CM(Zn), то des(a) + des(4) = n — 1.
Применение формулы вычисления статистики des к перестановкам из определения 1 даёт требуемое. Так как deg An-1(t) = n — 2, то по лемме 2 имеем tn-1 An-1(t-1) = = An-1(t), а также degAn-1(t) = n — 2, ^4n-1,1 = 0 и tnAn-1(t-1) = An-1(t).
Определение 2. т = t1 ... Tn-1 Е Sn-1, т = da назовём смещением a Е Sn-1, если биекция d : Sn-1 ^ Sn-1 задана выражениями т = ai+1 — a (mod n), i = 1,... , n — 2, и Tn-1 = n — a1, а порядком d = d(a) назовём наименьшее k Е Z+, для которого dka = a.
Лемма 3. Если a Е Sn-1, то des(da) = des(a) и d|n.
Равенство des(da) = des(a) получается из свойств des, а делимость d|n следует из определения 2, так как повторное применение d разбивает Sn-1 на классы эквивалентности (так, dre = re, re Е Rn, т.е. d = 1). При n > 4 в словах dka Е Sn-1, k = 0,... , d — 1, имеется n/d — 1 неподвижных символов aj, кратных d, с индексом i, кратным d.
Теоремы 1-3 доказываются с помощью лемм 1, 2 и леммы 3, справедливой также на CM(Zn) и SCM(Zn), причём применяемый метод дополнительно даёт следующие сравнения: |CM(Zn)| = 1 (mod 2) при нечётном n и |SCM(Zn)| = 0 (mod 2) при n > 1.
ЛИТЕРАТУРА
1. Стенли Р. Перечислительная комбинаторика. Т. 1. М.: Мир, 1990.
2. Айерлэнд К., Роузен М. Классическое введение в современную теорию чисел. М.: Мир, 1987.
3. Hsiang J., Hsu D. F., and Shieh Y. P. On the hardness of counting problems of complete mappings // Discr. Math. 2004. V. 277. P. 87-100.
4. http://oeis.org/A003111 — Sloane N.J. A. The on-line encyclopedia of integer sequences.
УДК 519.7
О НЕКОТОРЫХ ОТКРЫТЫХ ВОПРОСАХ В ОБЛАСТИ
APN-ФУНКЦИЙ
В. А. Виткуп
Приведены открытые вопросы в области APN-функций, связанные с их построением. Перечислены некоторые известные результаты в данном направлении. Доказано необходимое и достаточное условие того, что сумма двух APN-функций является APN-функцией.
Ключевые слова: векторная булева функция, APN-функция.
Работа К. Ньюберг [1] положила начало новому направлению в исследовании векторных булевых функций — изучению совершенно и почти совершенно нелинейных векторных булевых функций, обладающих наилучшей стойкостью к дифференциальному криптоанализу.
Векторная булева функция из Fn в Fn называется APN-функцией (Almost Perfect Nonlinear), если уравнение F(x ф а) ф F(x) = b имеет не более двух решений для любых а Е Fn \ {0}, b Е Fn. В настоящее время APN-функции активно изучаются, но
