КОМБИНАТОРНЫЕ ПОЛИНОМИАЛЬНО ВЫЧИСЛИМЫЕ ХАРАКТЕРИСТИКИ ПОДСТАНОВОК И ИХ СВОЙСТВА Текст научной статьи по специальности «Математика»

МНОГОМАСШТАБНОЕ МОДЕЛИРОВАНИЕ ДЛЯ УПРАВЛЕНИЯ И ОБРАБОТКИ ИНФОРМАЦИИ MULTISCALE MODELING FOR INFORMATION CONTROL AND PROCESSING

05.13.19 МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ,

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

INFORMATION SECURITY

DOI: 10.33693/2313-223X-2020-7-2-34-41

Комбинаторные полиномиально вычислимые характеристики подстановок и их свойства

В.Г. Никонов1 ©, А.И. Зобов2 ©

1 Российская академия естественных наук, г. Москва, Российская Федерация

2 Фонд содействия развитию безопасных информационных технологий, г. Москва, Российская Федерация

E-mail: zobowai@gmail.com

Аннотация. Построение и выбор подходящего биективного отображения, то есть подстановки, в настоящее время становятся важной прикладной задачей, в том числе и для построения систем блочного шифрования. Во многих статьях предложено использовать различные подходы к определению качества подстановок, но большинство из них обладают высокой вычислительной сложностью. Решение данной задачи позволит существенно расширить круг методов построения и анализа схем в системах защиты информации. Целью исследования был поиск легковычислимых характеристик подстановок, позволяющих оценить их качество, а точнее, меры близости конкретной подстановки к случайной, или удаленности от нее. Для этой цели в работе предложены несколько характеристик - разностная и степенная, найдено их математическое ожидание, а также для разностной характеристики еще и дисперсия. Это позволяет путем сравнения результата подсчета характеристики для конкретной подстановки с вычисленным математическим ожиданием делать вывод о ее качестве. С вычислительной точки зрения положения статьи представляют исключительный интерес благодаря простоте алгоритма количественной оценки качества порождающих биективное отображение подстановок. По своей природе операция подсчета разностной характеристики осуществляет простое суммирование целочисленных слагаемых, принимающих значения в фиксированном и малом диапазоне. Такая операция и в современной, и в перспективной элементной базе заложена в логике широкого круга функциональных элементов, в особенности, при реализации вычислительных действий в оптическом диапазоне, или на иных носителях, относящихся к сфере нанотехнологий.

Ключевые слова: подстановка, S-бокс, Кузнечик, BelT, Hazad, Skipjack

ССЫЛКА НА СТАТЬЮ: Никонов В.Г., Зобов А.И. Комбинаторные полиномиально вычислимые характеристики подстановок и их свойства // Computational nanotechnology. 2020. Т. 7. № 2. С. 34-41. DOI: 10.33693/2313-223X-2020-7-2-34-41

DOI: 10.33693/2313-223X-2020-7-2-34-41

Combinatorial polynomially computable characteristics of substitutions and their properties

V.G. Nikonov1 ©, A.I. Zobov2 ©

1 Russian Academy of Natural Sciences, Moscow, Russian Federation

2 Secure Information Technology Assistance Foundation, Moscow, Russian Federation

E-mail: zobowai@gmail.com

Abstract. The construction and selection of a suitable bijective function, that is, substitution, is now becoming an important applied task, particularly for building block encryption systems. Many articles have suggested using different approaches to determining the quality of substitution, but most of them are highly computationally complex. The solution of this problem will significantly expand the range of methods for constructing and analyzing scheme in information protection systems. The purpose of research is to find easily measurable characteristics of substitutions, allowing to evaluate their quality, and also measures of the proximity of a particular substitutions to a random one, or its distance from it. For this purpose, several characteristics were proposed in this work: difference and polynomial, and their mathematical expectation was found, as well as variance for the difference characteristic. This allows us to make a conclusion about its quality by comparing the result of calculating the characteristic for a particular substitution with the calculated mathematical expectation. From a computational point of view, the thesises of the article are of exceptional interest due to the simplicity of the algorithm for quantifying the quality of bijective function substitutions. By its nature, the operation of calculating the difference characteristic carries out a simple summation of integer terms in a fixed and small range. Such an operation, both in the modern and in the prospective element base, is embedded in the logic of a wide range of functional elements, especially when implementing computational actions in the optical range, or on other carriers related to the field of nanotechnology.

Keywords: substitution, S-box, Kuznechik, BelT, Hazad, Skipjack

f -^

FOR CITATION: Nikonov V.G., Zobov A.I. Combinatorial polynomially computable characteristics of substitutions and their properties. Computational nanotechnology. 2020. Vol. 7. No. 2. Pp. 34-41. (In Russ.) DOI: 10.33693/2313-223X-2020-7-2-34-41

ВВЕДЕНИЕ

В настоящее время наблюдается постоянно растущий интерес к изучению биективных отображений, во многом сопряженный с построением систем блочного шифрования. Различные подходы к анализу таких систем привели исследователей к необходимости изучения целого ряда специальных характеристик подстановок, таких как разностные ([5-7] и др), дифференциальные ([11-14] и др.) и т.п.

Особенности развиваемых методов анализа привели к выделению специфических характеристик подстановок, поиск которых обладает высокой вычислительной сложностью. Задачей настоящей статьи авторы ставили введение и описание таких свойств подстановок, которые были бы легко вычислимы и позволяли прямо или косвенно судить о внутренней сложностной природе биективного преобразования. Исходя из этих соображений в статье рассмотрены разностные, квадратичные и, в общем случае, степенные характеристики, для которых удалось посчитать математическое ожидание, а для разностной характеристики еще и дисперсию. Значение математического ожидания и дисперсии разностной характеристики позволяет путем ее вычисления судить о мере близости конкретной подстановки к случайной, или о ее удаленности от нее.

Важнейшей отличительной особенностью характеристик, рассматриваемых в статье, является простота их вычисления, имеющая линейную трудоемкость.

1. ПАРАМЕТРЫ БЛИЗОСТИ ПОДСТАНОВОК

Пусть S (0, п - 1) - группа всех подстановок степени п. Каждая подстановка п е S (0, п - 1) исходный символ i, i е 0, п - 1, переводит в образ п (i). Рассмотрим некоторые характеристики подстановок из S(0, п - 1), которые позволят судить о криптографическом качестве этих подстановок, под качеством подразумевается близость подстановки к случайной.

Определение 1. Разностной характеристикой подстановки п е S(0, п - 1) будем называть величину:

(п) =1 Y\ i -п( i) |. (1)

"7=0

Определение 2. Квадратичной характеристикой подстановки п е S (0, п - 1) будем называть величину:

(п) = ^¿(i-п(/))2. (2)

n i=0

Кубической характеристикой подстановки п е S (0, n - 1) будем называть величину:

(п) =11 (i -n(i ))3.

(3)

Для подстановки п е 5 (0, п - 1) степенной характеристикой близости будем называть величину:

^ (п)=1 х d-n(i))m.

(4)

Замечание. Квадратичная и кубическая характеристики являются частным случаем степенной характеристики.

Теорема 1. Выражение п • (п) принимает четные значения в отрезке от 0 до [п2/2], где [х] - целая часть х, то есть

Va «

n 2Z3ne S (0, n -1): (n) = -.

Доказательство Сначала докажем, что

max n E,0 (n) =

ne S(0, n -1)

Доказательство разобьем на два случая. 1. Пусть п = 2к и существует / е {0, ... , к - 1} такой, что п (/) е {0, ... , к - 1}. Тогда очевидно, что существует такой У е {к, ... , 2к- 1}, что п (У) е {к, ... , 2к - 1}.

Нетрудно проверить, что в каждом из четырех случаев:

/ < п (/) < У < п (У);

п (/) < / < У < п (У);

/ < п (/) < п (У) < У;

п (/) < / < п (У) < У

выполняется неравенство

/п (/) -У1 + |п(У) - /| > |п(/) - /| + |п(У) -У|.

В таком случае, разностная характеристика подстановки п':

п' (/) = п (У);

п' (У) = п (/);

п' (5) = п (5);

У5 е {0, ... , 2к - 1}/{/, У}

строго больше разностной характеристики п:

пЕ,0(л0 = X 5-п'(5) + |i— л'(/ )| + |!— л'(1 )) =

5 * /, I

= X |5-П(5^+| I— П(0| + | / — Л (I)) >

5 * /, I

> X |5 — П(5)+| I — п(У)| + | / — П(0| = П'Е0 (л).

5 * /, I

Теперь нетрудно понять, что разностная характеристика может достигать своего максимального значения только на таких перестановках п у которых

п ({0, ... , к - 1}) = {к, ... , 2к - 1};

п ({к, ... , 2к - 1}) = {0, ... , к - 1}.

Рассмотрим произвольную подстановку вида, описанного выше и посчитаем ее разностную характеристику, умноженную на п:

п -1 к -1 2к -1

п^0 (п) = X I' -П(/)| = ! |/ -п(/)| + X |/ - п (/)| = / = 0 / = 0 / = к к -1 2к -1 2к -1 к -1 2к -1 к -1 =Х(п( /)-/)+ X (/ -п(/))== X * -X5 + X5-X*=

( 2k -1 k -1 X s "X

= 2k2 = П- =

0 i= k 2

2. Пусть п = 2к + 1 и, без ограничения общности, пусть п (к) е {к + 1, ... , 2к}. Если п"1 (к) = / е {к + 1, ... , 2к}, то существует ■ е {0, ... , к - 1}, такой, что п (■) е {0, ... , к - 1}. Тогда очевидно, что существует такой У е {к, ... , 2к - 1} и нетрудно проверить, что в каждом из четырех случаев:

■ < п (■) < к < / < У, п (■) < ■ < к < / < У,

■ < п (■) < к < У < /, п (■) < ■ < к < У < /

выполняется неравенство

|У - + |п (■) - /| > |п (■) - + |У- к|+ |к - /|. В таком случае, разностная характеристика подстановки п': п' (■) = У; п' (к) = к; п' (/) = п (■);

п' (5) = п (5); е {0, ... , 2к}/{/, к} строго больше разностной характеристики п:

п^0 (п') = X |5-п'(5) +1/-л'(/)|+к-п'(к)\ + к-п'(í) =

5 Ф /, X, к

= X |5-П(5)+|У - ^ + |/-п(х )|>

5 Ф/, I

> X \5-п(5)+|п(Х )-+| I - к\ +| к - /| = п^0 (п).

5 Ф /, I

Если же п"1 (к) = / е {0, ... , к - 1}, то легко показать, что разностная характеристика подстановки п':

п' (/) = У; п' (к) = к; п' (5) = п (5); У5 е {0, ... , 2к}/{/, к} совпадает с разностной характеристикой п:

(п')= X 5) + Ь-п'(0| + |к-п'(к)\ =

5 * ¡, к

= X и-п'( 5)\ + ( -! )= X |5-П(5) + ( - к) + (к - /) = п^0 (п).

5 * /, к 5* /, к

Теперь нетрудно понять, что разностная характеристика может достигать своего максимального значения только на таких перестановках п у которых

п ({0, ... , к - 1}) = {к + 1, ... , 2к};

п (к) = к, п {к + 1, ... , 2к} = {0, ... , к - 1}.

= 0

2

0

2

Никонов В.Г., Зобов А.И.

Рассмотрим произвольную подстановку вида, описанного выше и посчитаем ее разностную характеристику, умноженную на п:

г

2k

= k +1 k -1 Л

I * "I*

i = 0

= 2k2 (k +1) =

V = к+1

Осталось показать, что для любого

2

a е

0,

2k + Ili -n(

i = k +1

k-1 2k

-I* + I*

i = 0 i -k +1

n2 -1 ' n2'

2 _ 2 _

1): ^o (n) = -

Очевидно, что разностная характеристика тождественной подстановки, обозначим ее - п0, равна 0. Построим последовательность подстановок

где

п„, ..., п,

n -1 n - 2

n -1

для любого к е 0, г; пк (/) = пк _ 1 (/), для любого / = 0, п _ 1 / {/ _ 1, I}, I = (к _ 1 тос) п) и пк(1 _ 1) = пк _ 1 (I), пк (I) = пк _ 1 (I _ 1). Количество подстановок в последовательности

г = (n - l) + (n - 2) + ...+1 = >

Рассмотрим последовательность

0 = (по).....(пг )

Нетрудно показать, что это неубывающая последовательность и разница между последовательными членами либо 0, либо 2. Для этого рассмотрим разность п 50 (пк) _ п 50 (пк _ 1), заметим, что в этой разности не сократится только четыре члена:

п 50 (пк) _ п 50 (пк _ 1) = |пк (I) _ 11 + |пк (I _ 1) _ (I _ 1)| _ _ |Пк_ 1 (I) _ I | _ |Пк_ 1 (I _ 1) _ (I _ 1)|,

учитывая, что, по построению последовательности {пк _ 1 (I)}, Пк_ 1 (I) > Пк_ 1 (I _ 1), рассмотрим три случая.

1) пк_ 1 (I) > пк _ 1 (I _ 1) > I

п 50 (пк) _ п 50 (пк _ 1) = пк _ 1 (1 _ 1) _ 1 + пк _ 1 (1) _ _ (I _ 1) _ Пк _ 1 (I) + I _ Пк _ 1 (I _ 1) + (I _ 1) = 0,

2) Пк _ 1 (I) > I > I _ 1 > Пк _ 1 (I _ 1)

п 50 (пк) _ п 50 (пк _ 1) = _Пк _ 1 (1 _ 1) + 1 + Пк _ 1 (1) _ _ (I _ 1) _ Пк _ 1 (I) + I + Пк _ 1 (I _ 1) _ (I _ 1) = 2,

3) I _ 1 > пк _ 1 (I) > пк _ 1 (I _ 1)

п 50 (пк) _ п 50 (Пк _ 1) = _Пк _ 1 (1 _ 1) + 1 _ Пк _ 1 (1) + + (I _ 1) + пк _ 1 (I) _ I + пк _ 1 (I _ 1) _ (I _ 1) = 0,

Следовательно, последовательность п 50 (п0), ... , п 50 (п.) содержит все четные числа из отрезка [0, [п2 _ 2]].

Пример 1. Приведем пример последовательности подстановок из доказательства теоремы для 5 (0, 4).

Таблица 1

Пример последовательности

r Вторая строка подстановки n «с К)

0 0 1 2 3 4 0

1 0 1 2 4 3 2

2 0 1 4 2 3 4

3 0 4 1 2 3 6

4 4 0 1 2 3 8

5 4 0 1 3 2 8

6 4 0 3 1 2 10

7 4 3 0 1 2 12

8 4 3 0 2 1 12

9 4 3 2 0 1 12

10 4 3 2 1 0 12

Следствие 1. Разностная характеристика 50 (п) достигает своего максимума [п2/2] на подстановках вида

п ({0, ... , к _ 1}) = {к + 1, ... , 2к}; п (к) = к, п ({к + 1, ... , 2к}) = {0, ... , к_ 1} при п = 2к + 1; п ({0, ... , к _ 1}) = {к,... , 2к_ 1}; п ({к, ... , 2к _ 1}) = {0, ... , к _ 1} при п = 2к.

2. ВЕРОЯТНОСТНЫЕ ПАРАМЕТРЫ ВВЕДЕННЫХ ХАРАКТЕРИСТИК

Пусть на 5 (0, п _ 1) задано равномерное распределение. Тогда для дальнейшего изучения введенных характеристик найдем их математические ожидания.

Теорема 2. Справедливо следующее равенство

M^a (п) =

3n

(5)

Доказательство

Заметим, что если зафиксировать i е (0, п _ 1) и некоторое у, то |/ _ п (/ )| = у. при п (/) = / _ У и п (/) = / + У, если У < / или только при п (/) = / + у если у > /, а также, что при фиксированном / количество подстановок, принимающих некоторое конкретное значение |/ _ п (/ )| будет (п _ 1)! шт. Тогда

M^o (п)= £ (п)= X n

F^—\ П! —\ П!

nES(0,n-l) %eS(0,n-l)

1 ZI i-n(i)\

= 11 Z Z Ii-n(i) = 11 Z Z j(П-l)!+Zj(П-l)!

l l

п! n

eS(0, n-l)

n! n

i = 0 j = 0

l

:2П

l П-1 f(n-i-l)(n-i) i(i +1)

= П2 I-1-+ —

n2 (n -l)-2(n -l)ZZi + 2Zi2

j = 0

n2 -1 3n '

0

1

nr =

2

2

2

n2 -1

-1 n -1 -

Теорема 4. Справедливо следующее равенство

Теорема 3. Для любого se N справедливо следующее равенство

(п) =

i "-1 i * ZI ^ ^

" i = о ^ j = i - n +1

О

Л

при m = 2s, при m = 2s - 1.

(6)

Доказательство

Заметим, что выражение (/ - п (/))т принимает все целые значения от / - (п - 1) до /, а также, что количество подстановок с фиксированными п (/) - (п - 1)! шт. Тогда

М^ Ы = X 1 ^ (П)= £ -1 -ПО))" ^

=X с-*«)" =

П! П, = о ,Е 5(077-1) 1 1п-1^ , ^ 1 "-V i ^

=-1-X X г(п-:)! =1X X у"

пг п, = о у =,-(„-1) п , = о у =,-(„-1)

В случае m = 2s теорема доказана. Осталось рассмотреть случай m = 2s - 1

п -1/

1 п - V ' \

±XI X j2 1|.

0, Г n -1 ]

L 2 J

и i = (n - 1 - t), t e I 0.

X j2s 1 + X j2s 1 = X j2s 1 + X (-k)2

j = t - n + 1 j=-t j = t - n + 1 k = t

- X j2s 1 - X j2

j = t - n +1 j=t - n + 1

= 0.

Для случая нечетного п в сумме (*) нет слагаемых, которые не взаимоуничтожаются и в этом случае _ 1 (п) = 0. Для случая четного п в сумме (*) остается одно слагаемое

п -1 при I =-

2

n -1 2

n -1 2

X j2 -1 = X j2

n-1 j = ——n + 1

n-1 2

а следовательно + 1 (п) = 0 и в этом случае.

Замечание. Для практического подсчета М^т (п) надо

п

уметь вычислять Sk = , где к е N. Согласно [10] можно

5 = 0

воспользоваться, например, рекуррентной формулой:

(к +(к +(к +, 1 I 1 I ^ +1 2 15к -1 +••• + [ к I + 5о = (п +1) -1

где S0 = n, ^

n (n +1)

Следствие

M^2 (п) =-; (п) = 0; M^4 (п) =

(з - 5n2 + 2n4 )

30

.(n +1}(

2n2 + 7)

45n2

Доказательство

D(0 (п) = M(0 (n))2-(m(0 (n))2

2 I n2 -1

X n(( (n))2 "I 3

1 11П "1

IE S(0, n -1)

( n -1

XI

iE s(0, n -1)) i = о

22 n2 - 1 I 1

n

n2 -1 3n

X vXIi-no: ^ n!{nf-o y

^ X S i-n( i )l2 + 2X1 Ii -n(0|| j-n(j )|

n!n ;= о i= 0 j= i+1

1 1 ( 1 n-1 -N

=1 X ^ X (i-n(i))2

iE S(0, n - 1)n! I n i

п i = 0 ^ j = i - п +1

Рассмотрим сумму слагаемых с номерами при i = t

n-1 n-1

+nb X XX Ii-*WI| j -j

n!n iEs(07^)i=о j=i+1

3n

В последнем равенстве первая сумма равна (1/п) М (п). При подсчете второй суммы необходимо учесть, что (/ - п (/)) пробегает все целые значения от / - (п - 1) до /, а (У - п (У)) - все целые значения от У - (п - 1) до У, причем, так как п - подстановка, то п(/) * п (У), при / * У, а также то, что количество подстановок с фиксированными значениями п (/), п (У) - (п - 2) шт. Тогда

1 X ^ -È(-п(i))2

+^ X X X Ii-«Olj-n(j)-

n\n

e S(0, n - 1) i = 0 j = i + 1

3n

n2 -1 6n

2

n2 -1 v 3n y

XXX X k i-X li-ф- - fl

(n - l)n3 i - 0 j = i + iV k = i-(n -1)1 = j-(n -1)

6n

n-1 n-1

+ X X (i(1 + i)-(1 + 2i) n + n2)(j(1 + j)-(1 + 2 j)n + n2)^

i = 0 j=i+1L

-1 (2 (-1 + i - j)(i - j) (1 + i - j) - (1 + 3 j + i (3 + 6 j))n + 6

+3(1 + i + j)n2 -2n3)]:

7 + 7n + 2n2 + 2n3 (n + 1)(2n2 + 7)

45n2

45n2

Пример 2. Рассмотрим какие значения может принимать (п) если п е 5 (0, 7).

2

n2 -1

2

n2 -1

+

2

2

Таблица 1

Значения

«0 (n) Количество Пример n (i) с характеристикой «0 (п) «0 (п) Количество Пример п (i) с характеристикой «0 (п)

0 1 (0123456 7^ ^0 1234567J 2 3696 (0123456 7^ [01456723^1

0,25 7 (0123456 7^ [0 1234657J 2,25 4852 (0123456 7^ ^0 1567234J

0,5 33 (0123456 7^ [0 1234675J 2,5 5708 (0123456 7^ [0 2567134J

0,75 115 (0123456 7^ [0 1235674J 2,75 5892 (0123456 7 ^0 3567114J

1 327 (0123456 7^ [0 1236745J 3 5452 (0123456 7^ [04567123^1

1,25 765 (0123456 7^ [0 1246735J 3,25 4212 (0123456 7 ^1 4567023J

1,5 1523 (0123456 7^ [0 1256734J 3,5 2844 (0123456 7^ [24567013^1

1,75 2553 (0123456 7 ^0 1356724J 3,75 1764 (0123456 7^ [34567012^1

4 576 (0123456 7^ [4 5 6 7 0 1 2 3^

Тогда

1 82 — 1 (п)= Z 1 (п) = 2,625 =

D^o (п)= Z -1 ( (п)-M^o (п))2 =

= 0,421875:

(8 +1)(.

2 ■ 82 + 7)

45 ■ 82

Пример3. Пусть п е S(0, 255), тогда рассмотрим несколько подстановок из действующих стандартов, подстановки взяты из [13]. Напомним, что в этом случае M (п) = 85, D (п) * 11,42.

1. BelT (см. [1; 2]) — государственный стандарт симметричного шифрования и контроля целостности Республики Беларусь (СТБ 34.101.31-2007). Подстановка представлена на рис. 1. В этом случае (п) = 88,8828185.

2. Skipjack (см. [9]) — блочный шифр, разработанный АНБ США в рамках проекта Capstone. Подстановка представлена на рис. 2. В этом случае (п) = 89,1796875.

пе SI0. 7

IE SI0. 7

0 1 2 3 4 5 6 7 8 9 A B C D E F

0 B1 94 BA C8 OA 08 F5 3B 36 6D 00 8E 58 4A 5D E4

1 85 04 FA 9D 1B B6 C7 AC 25 2E 72 C2 02 FD CE OD

2 5B E3 D6 12 17 B9 61 81 FE 67 86 AD 71 6B 89 OB

3 5C BO CO FF 33 C3 56 B8 35 C4 05 AE D8 EO 7F 99

4 E1 2B DC 1A E2 82 57 EC 70 3F CC FO 95 EE 8D F1

5 C1 AB 76 38 9F E6 78 CA F7 C6 F8 60 D5 BB 9C 4F

6 F3 3C 65 7B 63 7C 30 6A DD 4E A7 79 9E B2 3D 31

7 3E 98 B5 6E 27 D3 BC CF 59 1E 18 1F 4C 5A B7 93

8 E9 DE E7 2C 8F OC OF A6 2D DB 49 F4 6F 73 96 47

9 06 07 53 16 ED 24 7A 37 39 CB A3 83 03 A9 8B F6

A 92 BD 9B 1C E5 D1 41 01 54 45 FB C9 5E 4D OE F2

B 68 20 80 AA 22 7D 64 2F 26 87 F9 34 90 40 55 11

C BE 32 97 13 43 FC 9A 48 AO 2A 88 5F 19 4B 09 A1

D 7E CD A4 DO 15 44 AF 8C A5 84 50 BF 66 D2 E8 8A

E A2 D7 46 52 42 A8 DF B3 69 74 C5 51 EB 23 29 21

F D4 EF D9 B4 3A 62 28 75 91 14 10 EA 77 6C DA 1D

Рис. 1. Подстановка п стандарта BelT

ISSN 2313-223X Print Т. 7. № 2. 2020 Computational nanotechnology 39

ISSN 2587-9693 Online

X0 x1 x2 x3 x4 x5 x6 x7 x8 x9 xA xB xC xD xE xF

0x a3 d7 09 83 f8 48 f6 f4 b3 21 15 78 99 b1 af f9

1x e7 2d 4d 8a ce 4c ca 2e 52 95 d9 1e 4e 38 44 28

2x Oa df 02 aO 17 f1 60 68 12 b7 7a c3 e9 fa 3d 53

3x 96 84 6b ba f2 63 9a 19 7c ae e5 f5 f7 16 6a a2

4x 39 b6 7b Of c1 93 81 1b ee b4 1a ea dO 91 2f b8

5x 55 b9 da 85 3f 41 bf eO 5a 58 80 5f 66 Ob d8 90

6x 35 d5 cO a7 33 06 65 69 45 OO 94 56 6d 98 9b 76

7x 97 fc b2 c2 bO fe db 20 e1 eb d6 e4 dd 47 4a 1d

8x 42 ed 9c 6c 49 3c cd 43 27 d2 07 d4 de c7 67 18

9x 89 cb 30 1f 8d c6 8f aa c8 74 dc c9 5d 5c 31 a4

Ax 70 88 61 2c 9f Od 2b 87 50 82 54 64 26 7d 03 40

Bx 34 4b 1c 73 d1 c4 fd 3b cc fb 7f ab e6 3e 5b a5

Cx ad 04 23 9c 14 51 22 fO 29 79 71 7e ff 8c Oe e2

Dx Oc ef be 72 75 6f 37 a1 ec d3 8e 62 8b 86 10 e8

Ex 08 77 11 be 92 4f 24 c5 32 36 9d cf f3 A6 bb ac

Fx 5e 6c a9 13 57 25 b5 e3 bd a8 3a 01 05 59 2a 46

Рис. 2. Подстановка п шифра Skipjack

3. KHAZAD (см. [3, 4]) — симметричный блочный шифр, представленный на конкурсе NESSIE в 2000 году, где в модифицированной (tweaked) форме стал одним из алгоритмов-финалистов. Подстановка представлена на рис. 3. В этом случае (п) = 92,890625.

0 1 2 3 4 5 6 7 8 9 A B C D E F

0 BA 54 2F 74 53 D3 D2 4D 50 AC 8D BF 70 52 9A 4C

1 EA D5 97 D1 33 51 5B A6 DE 48 A8 99 DB 32 B7 FC

2 E3 9E 91 9B E2 BB 41 6E A5 CB 6B 95 A1 F3 B1 02

3 CC C4 1D 14 C3 63 DA 5D 5F DC 7D CD 7F 5A 6C 5C

4 F7 26 FF ED E8 9D 6F 8E 19 AO FO 89 OF 07 AF FB

5 08 15 OD 04 01 64 DF 76 79 DD 3D 16 3F 37 6D 38

6 B9 73 E9 35 55 71 7B 8C 72 88 F6 2A 3E 5E 27 46

7 OC 65 68 61 03 C1 57 D6 D9 58 D8 66 D7 3A C8 3C

8 FA 96 A7 98 EC B8 C7 AE 69 4B AB A9 67 OA 47 F2

9 B5 22 E5 EE BE 2B 81 12 83 1B OE 23 F5 45 21 CE

A 49 2C F9 E6 B6 28 17 82 1A 8B FE 8A 09 C9 87 4E

B E1 2E E4 EO E B 90 A4 11 E 85 60 OO 25 F4 F1 94 OB

C E7 75 EF 34 31 D4 DO 86 7E AD FD 29 30 3B 9F F8

D C6 13 06 05 05 11 77 7C 7A 78 36 1C 39 59 18 56

E B3 BO 24 20 B2 92 A3 CO 44 62 10 B4 84 43 93 C2

F 4A BO 8F 20 BC 9C 6A 40 CF A2 80 4F 1F CA AA 42

Рис. 3. Подстановка п шифра KHAZAD

4. «Кузнечик» (см. [7]) — симметричный алгоритм блочного шифрования, утвержденный в качестве стандарта ГОСТ Р 34.12-2015. Подстановка, используемая в «Кузнечике»:

(252, 238, 221, 17, 207, 110, 49, 22, 251, 196, 250, 218, 35, 197, 4, 77, 233, 119, 240, 219, 147, 46, 153, 186, 23, 54, 241, 187, 20, 205, 95, 193, 249, 24, 101, 90, 226, 92, 239, 33, 129, 28, 60, 66, 139, 1, 142, 79, 5, 132, 2, 174, 227, 106, 143, 160, 6, 11, 237, 152, 127, 212, 211, 31, 235, 52, 44, 81, 234, 200, 72, 171, 242, 42, 104, 162, 253, 58, 206, 204, 181, 112, 14, 86, 8, 12, 118, 18, 191, 114, 19, 71, 156, 183, 93, 135, 21, 161, 150, 41, 16, 123, 154, 199, 243, 145, 120, 111, 157, 158, 178, 177, 50, 117, 25, 61, 255, 53, 138, 126, 109, 84, 198, 128, 195, 189, 13, 87, 223, 245, 36, 169, 62, 168, 67, 201, 215, 121, 214, 246, 124, 34, 185, 3, 224, 15, 236, 222, 122, 148, 176, 188, 220, 232, 40, 80, 78, 51, 10, 74, 167, 151, 96, 115, 30, 0, 98, 68, 26, 184, 56, 130, 100, 159, 38, 65, 173, 69, 70, 146, 39, 94, 85, 47, 140, 163, 165, 125, 105, 213, 149, 59, 7, 88, 179, 64, 134, 172, 29, 247, 48, 55, 107, 228, 136, 217, 231, 137, 225, 27, 131, 73, 76, 63, 248, 254, 141, 83, 170, 144, 202, 216, 133, 97, 32, 113, 103, 164, 45, 43, 9, 91, 203, 155, 37, 208, 190, 229, 108, 82, 89, 166, 116, 210, 230, 244, 180, 192, 209, 102, 175, 194, 57, 75, 99, 182).

В этом случае (п) = 85.

В итоге, во всех рассмотренных выше примерах, подстановки, обладающие хорошими разностными и дифферен-

циальными характеристиками, имеют разностную характеристику, отличающуюся от математического ожидания на величину меньшую, чем дисперсия.

Никонов В.Г., Зобов А.И. Литература

1. Agievich S.V., Afonenko A.A. On the properties of exponential substitutions. Vesti NAN Belarusi. 2005. No. 1. Pp. 106-112. (In Russ.)

2. Agievich S.V., Galinsky B.A., Mikulich N.D., Kharin U.S. Algorithm of block encryption BelT. http://apmi.bsu.by/assets/files/agievich/ BelT.pdf (In Russ.)

3. Barreto P, Rijmen V. The ANUBIS block cipher. NESSIE submission. 2000.

4. Barreto P, Rijmen V. The KHAZAD block cipher. NESSIE submission. 2000.

5. Chabaud F, Vaudenay S. Links between differential and linear cryptanalysis. EUROCRYPT, Lect. Notes Comput. Sci. 1994. No. 950. Pp. 356-365.

6. Daemen J., Rijmen V. Probability distributions of correlations and differentials in block ciphers. J. Math. Crypt. 2007. No. 1. Pp. 221-242.

7. GOST R 34.12-2015. Information technology. Cryptographic protection of information. Block ciphers. Moscow: Standartinform, 2015. (In Russ.)

8. MatsuiM. The first experimental cryptanalysis of the data encryption standart. Advances of Cryptology - CRYPTO'94. Lect. Notes in Comp Sci. Springer. 1995. Vol. 839. Pp. 1-11.

9. Skipjack and KEA Algorithm Specifications, Version 2.0. 1998, http:// csrc.nist.gov/encryption/skipjack-kea/htm

10. Кудрявцев В.А. Суммирование степеней чисел натурального ряда и числа Бернулли. Л.: Объед. науч.-техн. изд-во НКТП СССР, 1936. 37 с.

11. Логачев О.А., Сальников А.А., Смышляев С.В., Ященко В.В. Булевы функции в теории кодирования и криптологии. 2-е изд., до-полн. М.: МЦНМО, 2012. 584 с.

12. Логачев О.А., Федоров С.Н., Ященко В.В. Булевы функции как точки на гиперсфере в евклидовом пространстве // Дискретная математика. 2018. № 30:1. Рр. 39-55.

13. Менячихин А.В. Спектрально-линейный и спектрально-дифференциальный методы построения S-ботеов с близкими к оптимальным значениями криптографических параметров // Математические вопросы криптографии. 2017. Т. 8. № 2, С. 97-116.

14. Никонов В.Г. Методы компактной реализации биективных отображений, заданных регулярными системами однотипных булевых функций / В.Г. Никонов, А.В. Саранцев // Вестник Российского ун-та Дружбы Народов. Серия: Прикладная и промышленная математика. 2003. Т. 2. № 1. С. 94-105.

15. Яблонский С.В. Введение в дискретную математику: учеб. пособие для вузов. 2-е изд., перераб. и доп. М.: Наука. Гл. ред. физ.-мат. лит. 384 с.

References

1. Agievich S.V., Afonenko A.A. On the properties of exponential substitutions. Vesti NAN Belarusi. 2005. No. 1. Pp. 106-112. (In Russ.)

2. Agievich S.V., Galinsky B.A., Mikulich N.D., Kharin U.S. Algorithm of block encryption BelT. http://apmi.bsu.by/assets/files/agievich/ BelT.pdf (In Russ.)

3. Barreto P, Rijmen V. The ANUBIS block cipher. NESSIE submission. 2000.

4. Barreto P, Rijmen V. The KHAZAD block cipher. NESSIE submission. 2000.

5. Chabaud F., Vaudenay S. Links between differential and linear cryptanalysis. EUROCRYPT, Lect. Notes Comput. Sci. 1994. No. 950. Pp. 356-365.

6. Daemen J., Rijmen V. Probability distributions of correlations and differentials in block ciphers. J. Math. Crypt. 2007. No. 1. Pp. 221-242.

7. GOST R 34.12-2015. Information technology. Cryptographic protection of information. Block ciphers. Moscow: Standartinform, 2015. (In Russ.)

8. MatsuiM. The first experimental cryptanalysis of the data encryption standart. Advances of Cryptology - CRYPTO'94. Lect. Notes in Comp Sci. Springer. 1995. Vol. 839. Pp. 1-11.

9. Skipjack and KEA Algorithm Specifications, Version 2.0. 1998, http:// csrc.nist.gov/encryption/skipjack-kea/htm

10. Kudryavtsev V.A. Summing up the degrees of the numbers of the natural series and the Bernoulli number. Leningrad: Joint Scientific and Technical Publishing House NKTP of the USSR, 1936, 37 p.

11. Logachev O.A., Salnikov A.A., SmyshlyaevS.V., Yashchenko V.V. Bulev functions in the theory of coding and cryptology. 2nd ed., add. Moscow: MTSNMO, 2012. 584 p.

12. Logachev O.A., Fedorov S.N., Yashchenko V.V. Bulev functions as points on the hypersphere in Euclidean space. Discrete mathematics. 2018. No. 30:1. Pp. 39-55.

13. Menyachihin A.V. Spectral-linear and spectral-differential methods for constructing S-boxes with cryptographic parameters close to optimal values. Mathematical Issues of Cryptography. 2017. Vol. 8. No. 2. Pp. 97-116.

14. Nikonov V.G. Methods of compact implementation of bijective mappings specified by regular systems of the same type of Boolean functions. V.G. Nikonov, A.V. Sarantsev. Bulletin of the Russian University of Friendship of Peoples. Series: Applied and Industrial Mathematics. 2003. Vol. 2. No. 1. Pp. 94-105.

15. Yablonsky S.V. Introduction to discrete mathematics: Textbook for universities. 2nd ed., conv. and add. Moscow: Science. Chapter. Physical edition. a mat. Lit. 384 p.

Статья поступила в редакцию 12.05.2020, принята к публикации 20.06.2020 The article was received on 12.05.2020, accepted for publication 20.06.2020

СВЕДЕНИЯ ОБ АВТОРАХ

Никонов Владимир Глебович, д-р техн. наук, профессор, член Президиума Российской академии естественных наук. Москва, Российская Федерация. AuthorID: 396412

Зобов Антон Игоревич, сотрудник Фонд содействия развитию безопасных информационных технологий. Москва, Российская Федерация. E-mail: zobowai@ gmail.com

ABOUT THE AUTHORS

Vladimir G. Nikonov, Dr. Sci. (Eng.), Full Professor, Member of the Presidium RANS. Moscow, Russian Federation. AuthorID: 396412

Anton I. Zobov, research employee of Secure Information Technology Assistance Foundation. Moscow, Russian Federation. E-mail: zobowai@gmail.com