CC BY
0
2024 Теоретические основы прикладной дискретной математики № 63
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ПРИКЛАДНОЙ ДИСКРЕТНОЙ МАТЕМАТИКИ
УДК 519.7 DOI 10.17223/20710410/63/1
КОНСТРУКЦИЯ УРАВНОВЕШЕННЫХ ФУНКЦИЙ С ВЫСОКОЙ НЕЛИНЕЙНОСТЬЮ И ДРУГИМИ КРИПТОГРАФИЧЕСКИМИ СВОЙСТВАМИ1
А. С. Шапоренко
Новосибирский государственный университет,, г. Новосибирск, Россия
E-mail: shaporenko.alexandr@gmail.com
Предлагается новая итеративная конструкция, которую можно применить для построения уравновешенных функций с высокой нелинейностью. Показано, как данная конструкция может быть использована для построения уравновешенных функций от чётного числа n ^ 18 переменных без линейных структур с нелинейностью 2n-1 — (2n/2-1 + 2n/2-3 + 2n/2-5 + 2n/2-7). Приведены дополнительные условия, при которых функции, полученные с помощью итеративной конструкции, будут корреляционно-иммунными. Получены результаты, связанные с проблемой разложения булевых функций в сумму двух бент-функций.
Ключевые слова: уравновешенные булевы функции, нелинейные булевы функции, бент-функции.
CONSTRUCTION OF BALANCED FUNCTIONS WITH HIGH NONLINEARITY AND OTHER CRYPTOGRAPHIC PROPERTIES
A. S. Shaporenko
Novosibirsk State University, Novosibirsk, Russia
We present an iterative construction that can be used to construct balanced functions with high nonlinearity. Using this construction, we obtained Boolean functions in an even number n ^ 18 of variables which have no linear structures with nonlinearity 2n-1 — (2n/2-1 +2n/2-3 +2n/2-5 +2n/2-7). Additional conditions are given under which the functions obtained using the construction will be correlation immune. We also present results concerning "bent sum decomposition problem".
Keywords: balanced Boolean functions, nonlinear Boolean functions, bent functions.
Введение
Нелинейность является важным криптографическим свойством булевых функций. Шифры, которые используют функции с высокой нелинейностью в качестве своих
1 Работа выполнена при поддержке Математического центра в Академгородке, соглашение с Министерством науки и высшего образования Российской Федерации №075-15-2022-282.
компонент, являются более стойкими к линейному криптоанализу [1], так как их тяжелее всего приблизить аффинными функциями. Булевы функции от чётного числа переменных называются бент-функциями, если они имеют наибольшее значение нелинейности [2]. Бент-функции использовались в построении блочного шифра CAST [3], поточного шифра Grain [4] и хэш-функции HAVAL [5]. Бент-функции также связаны с некоторыми объектами теории кодирования, алгебры и комбинаторики [6, 7].
Известно, что бент-функции не обладают другим важным криптографическим свойством — они не уравновешены. Данная работа посвящена построению уравновешенных функций с высокой нелинейностью. Мы приводим итеративный способ построения уравновешенных булевых функций, которые при дополнительных условиях могут обладать такими криптографическими свойствами, как высокая нелинейность, отсутствие линейных структур и корреляционная иммунность.
Структура работы следующая: в п, 1 приведены основные определения и вспомогательные факты, которые используются при доказательстве основных результатов. Пункт 2 посвящен итеративной конструкции булевых функций, производная которых по некоторому ненулевому направлению имеет хотя бы одну линейную переменную, В п, 3 рассматривается частный случай — конструкции функций, которые имеют аффинные производные. Приводятся достаточные условия, при которых функции, полученные с помощью итеративной конструкции, обладают такими криптографическими свойствами, как уравновешенность, отсутствие линейных структур и корреляционная иммунность, В п, 4 описан способ получения уравновешенных функций от чётного числа n ^ 18 переменных без линейных структур с нелинейностью 2n-1 — (2n/2-1 + 2n/2-3 + 2n/2-5 + 2ra/2-7), Вп,5 приведены результаты, связанные с проблемой разложения произвольной булевой функции в сумму двух бент-функций,
1. Определения и необходимые утверждения
1,1, Булевы функции Пусть Z2 = {0,1} Векторное пространство двоичных век торов длины n обозначается Zn Пусть © обозначает сложение по модулю 2. Для ж, у G Zn будем использовать следующее произведение:
(ж, у) = Х1У1 © ■ ■ ■ © ХпУп,
где Xj — i-я координата x, i = 1,..., n.
Функция f : Zn ^ Z2 называется булевой функцией от n переменных. Множество всех булевых функций от n переменных обозначим Fn, С каждой булевой функцией f n
supp(f) = {ж G zn : f (x) = 1}.
Весом Хэмминга wt(f) функции f G Fn называется количество ненулевых значений f: |{ж G Zn : f(ж) = 1}|. Функция f G Fn называется уравновешенной, если wt(f) = 2n-1,
Расстояние Хэмминга d(f, g) между двумя булевыми функциями f, g G Fn вычисляется следующим образом:
d(f,g) = |{ж G Zn : f(ж) = g(x)}|.
Каждую булеву функцию f от n переменных можно единственным образом представить в виде алгебраической нормальной формы, (АНФ), или полином,а, Жегалкина:
( П \
f(хъ... , xn) — ( ф ф aii,...,ikxii ■ ... ■ xik ) ф a0,
yfc=1 ii,...,ifc J
где при каждом k индексы i1,..., ik различны и в совокупности пробегают все k-эле-
ментные подмножества {1,..., n}, а коэффициенты ail.....ik, а0 принимают значенпя 0
или 1,
Алгебраической степенью (степенью) deg(f) функции f называется количество переменных в самом длинном слагаемом её АНФ, при котором коэффициент не равен
n
ременных можно представить в виде l — (ж, а) ф b, где а G Zn и b G Z2, Множество всех аффинных функций от n переменных обозначим An.
Булевы функции f, g G Fn аффинно эквивалентны, если существуют невырожденная квадратная двоичная матрица A порядка n х n и вектор b G Zn, такие, что g(x) — f (Ax ф b).
Производной булевой функции f функцпя Dyf (ж) — f (x^f (хфу),
где вектор y G Zn является направлением, по которому берётся производная. Легко убедиться, что Dy f ф g — Dyf ф Dyg
Следующий факт представлен в [8] без доказательства. Для полноты приведём его с доказательством.
Лемма 1 (H.H. Токарева [8]). Булева функция f е F является производной некоторой булевой функции g е Fn то ненулевому направлению y G Zn тогда и только тогда, когда f (х) ф f (х ф у) — 0 для всех х G Zn.
Доказательство.
Необходимость. Пусть Dy g(x) — f (х) Можно заметить, что Dy g(x) — g(x) ф ф g(x ф у) — Dyg(x ф у) для всех х G Zn. Значит, f (х) — f (х ф у) для всех х G Zn.
Достаточность. Пусть i — первая ненулевая координата у и g(x) — xif (х) для всех х G Zn. Тогда
Dyg(x) — xif (х) ф (xi ф 1)f (х ф у) — f (х) для всех х G Zn.
Следовательно, f — ^^^говодная g то направлению у. ■
Для каждого у G Zn коэффициентом, Уолта, — Адам,ара, Wf (у) булевой функции f G Fn называется величина, определяемая равенством
Wf(у) — Е (-i)f(x)®<x-y).
Нам также понадобятся следующие хорошо известные факты:
Лемма 2. Булева функция f G Fn является уравновешенной тогда и только тогда, когда Wf (0) — 0.
Лемма 3. Пусть f G Fn, l G А^и l(x) — (а, х) ф b, где а G Zn, b G Z2. Тогда для любого c G Zn ^^^^дли во Wf ф1(с) — (—1)b Wf (а ф c).
1,2, Бент-функции
Нелинейностью Nf булевой функции f е Fn называется расстояние Хэмминга от данной функции до множества всех аффинных функций:
Nf = d(f, An) = min ^ d(f,l0>b),
где la>b(x) = (a, x) ф b.
Лемма 4 (О, Ротхаус [2]), Пусть f е Fn, Тогда
Nf=2n-1 - 2 ms|wf (a)|.
Булева функция от чётного числа переменных n называется бент-функцией, если её нелинейность достигает наибольшего возможного значения 2n-1 — 2n/2-1, Обозначим через Bn множество всех бент-функций от n переменных,
Бент-функции были определены О, Ротхауеом в 60-х годах прошлого века, хотя его работа [2] была опубликована только в 1976 г. Однако известно, что с конца 1950-х годов в Советском Союзе исследовались булевы функции с аналогичными свойствами, которые называли «минимальными функциями», В 1961 г, математики В, А, Елисеев и О, П, Степченков описали класс функций, который является аналогом класса Мэйора-на — МакФарланда, представленного в 1973 г, Бент-функции также связаны с другими математическими объектами. Так, например, Р. Л, МакФарланд [9] и Дж, Диллон [10] исследовали бент-функции в терминах разностных множеств. Нам понадобятся следующие хорошо известные факты: Лемма 5. Пусть f е Bn и n ^ 4. Тогда deg(f) ^ n/2. Лемма 6. Пусть f е Bn Тогда wt(f) = 2n"1±2n/2"1, Следовательно, бент-функции никогда не являются уравновешенными. Лемма 7 (О. Ротхаус [2]). Булева функция f е Fn является бент-функцией тогда и только тогда, когда Wf (y) = ±2n/2 для любо го y е Z^ Лемма 8 (О, Ротхаус [2]), Пусть f е Bn, Тогда:
f
2) функция f ф I является бент-функцией от n переменных для любой аффинной функции I,
Для бент-функции f от n переменных дуальная функция f определяется с помощью равенств Wf(y) = 2n/2(—1)f(y) для всех y е Z^ Отметим, что f также является бент-функцией [7].
Лемма 9 (О. Ротхаус [2]). Булева функция f е Fn является бент-функцией то-
y
Dyf (x) = f (x) ф f (x ф y) является уравновешенной.
Приведём один из самых известных классов бент-функций — класс Мэйора-на — МакФарланда, который был впервые определён в [10] и основан на работах Дж, А, Майорана и Р, Л, МакФарланда 1971-1973 гг.
Лемма 10 (Дж, Диллон [10]), Пусть x,y е Zn, п —взаимно однозначное отображение на Zn, g е Fn — произвольная функция. Тогда функция
f (x,y) = (n(x),y) ф g(x)
2n
1.3, Линейные структуры и корреляционная иммунность
Переменная булевой функции называется линейной, если она входит в АНФ функции линейно. Если переменная не входит в АНФ булевой функции, то эта переменная называется фиктивной. Булева функция f имеет линейную структуру, если существует ненулевое направление y е Zn, такое, что Dyf (x) = const. Следующий факт показывает, что функции, которые имеют линейные структуры, эквивалентны функциям с простым строением.
Лемма 11 (O.A. Логачев и др. [11]). Пусть f е Fn имеет линейную структуру. Тогда существует функция g е Fn, которая аффинно эквивалентна f и имеет линейную или фиктивную переменную.
Булева функция f е Fn называется коррелд^шнно-ш-шунной порядка г, 1 ^ г ^ и, если для любой её подфункции g = полученной из f подстановкой констант
ai,..., ar вместо переменных xi1,..., xir, выполняется wt(g) = wt(f )/2r, Требование корреляционной иммунности функции связано с противостоянием корреляционной атаке [12].
Лемма 12 (Т. Зигенталер [12]), Функция f е Fn является корреляционно-иммунной порядка г, если и только если Wf (a) = 0 для всех векторов a е Zn, таких, что 1 ^ wt(a) ^ г,
1.4, Уравновешенные функции с высокой нелинейностью
Как уже отмечалось, бент-функции не являются уравновешенными, что вызывает
статистическую корреляцию между открытым и зашифрованным текстами.
Максимальная нелинейность уравновешенных функций неизвестна для и > 7, В работе [13] приведена следующая верхняя оценка нелинейности уравновешенных функций от чётного числа переменных.
Утверждение 1 (Дж, Себерри и др. [13]), Пусть и ^ 4 —чётное число и f — уравновешенная булева функция от и переменных. Тогда Nf ^ 2n-i — 2n/2-1 — 2.
Одним из способов построения уравновешенных функций с высокой нелинейностью является преобразование бент-функций с целью получения уравновешенных булевых функций, которые сохраняют высокие значения нелинейности [14, 15]. Уравновешенным функциям с высокой нелинейностью посвящены также работы [13, 16-18].
2. Конструкция булевых функций, производные которых имеют
линейную переменную
Опишем конструкцию булевых функций, производная которых по некоторому ненулевому направлению имеет хотя бы одну линейную переменную. Данная конструкция имеет управляемую производную и позволяет строить все булевы функции, имеющие в качестве своей производной по некоторому ненулевому направлению функ-
и=4
функций, которые можно построить с помощью данной конструкции, содержит уравновешенные функции с высокой нелинейностью.
Теорема 1. Пусть и ^ 2 —чётное число, g1 ,g2,h1 е Fn, (y, 1,yn+2) е Zn+2 и h(x,Xn+i,Xn+2) = (Dyhi(x) 0yn+2)Xn+i 0 hi(x) 0Xn+2- Тогда функция f е Fn+2, построенная следующим образом:
f (x,xn+i,xn+2) = ((Dygi(x) 0 1)h(x,xn+i,xn+2) 0 Dyg2(x))xn+i0 0gi(x)h(x,xn+i,xn+2) 0 g2 (x) ,
имеет Н своей производной по направлению (у, 1,у„+2), При этом для вектора (а, ап+1, ап+2) е Zn+2 и с = (а, у) 0 а„+1 0 а„+2у„+2 справедливо
Ж/(а,а„+1,а„+2) = (-1)С^"п+2 ■ 2 ■ Жсй1(х)Фй2(х)ф«п+2^1(х)(а).
Доказательство. Заметим, что Д(У)1)Уп+2)Н(х, х„+ь х„+2) = 0 для любого (х, х„+^ х„+2) е Zn+2, Из леммы 1 следует, что Н является производной булевой функции по направлению (у, 1, у„+2). Для любой функции / е которая имеет Н своей производной по направлению (у, 1,у„+2) справедливо
/ (х,Хп+1,Хп+2) 0 /(х 0 у, Ж„+1 0 1,Хп+2 0 уп+2) = Н(х, х„+1, х„+2). (2)
Поскольку Н(х, х„+1, х„+2) = Н(х 0 у, х„+1 0 1, х„+2 0 у„+2), получаем, что
Н(х,х„+1,х„+2) = 1 ^^ Н(х 0 у,х„+1 0 1,х„+2 0 у„+2) = 1. (3)
Если Н(х, х„+1, х„+2) = 1, то, поскольку Н зависит линейно от переменной х„+2, имеем Н(х, х„+1, х„+2 0 1) = 0, Таким образом, справедливо, что
{х : Зж„+2 е Z2 (Н(х, 0, х„+2) = 1)} = {х : Зх„+2 е Z2 (Н(х, 0, х„+2) = 0)} = Z!^ (4)
Из (2)-(4) следует, что любая булева функция / от (п + 2) переменных, для которой Д(У)1,Уп+2)/(х, х„+1, х„+2) = Н(х, х„+1, х„+2), имеет следующее представление:
'/(х, 0,х„+2) = Л(х), если Н(х, 0,х„+2) = 1,
/(х 0 у, 1,х„+2 0 у„+2) = /1 (х) 0 1, если Н(х 0 у, 1,х„+2 0 у„+2) = 1, ^
/(х, 0,х„+2) = /2(х), если Н(х, 0,х„+2) = 0,
/(х 0 у, 1,х„+2 0 у„+2) = /2(х), если Н(х 0 у, 1,х„+2 0 у„+2) = 0,
где Д и /2 — произвольные фупкции от п переменных. Следовательно, перебирая все возможные Д и /2, мы получим все булевы функции от (п + 2) переменных, которые имеют Н(х,х„+1,х„+2) своими производными по направлению (у, 1,у„+2),
Положим, что = /1 0 /2 и д2 = /2, Тогда формула (1) для функции / следует из представления (5),
Отметим, что для (х, х„+1, х„+2) е Zn+2 выполняется
х„+2 = Н(х,х„+1,х„+2) 0 (ДуН1(х) 0 у„+2)х„+1 0 Н1(х). (6)
/
каждого (а, а„+1, а„+2) е Zn+2, Заметим, что ((х
,х„+1, х„+2),(а, а„+2)) = (а, х) 0 ага+1хга+1 0 ага+2хга+2. Тогда из (2) следует, что
Ш/ (а,а„+1 ,а„+2)= (—1)/(х'Хп+1'Хп+2)ф((х'Х"+1'Х"+2)'(а'ап+1'ап+2)) =
(ж,жп+1,ж„+2 ^п+2 = ^ ((—1)/(Х'0'Хп+2)Ф(а,х)фап+2Хп+2 +
(х,О,Хп+2^П+2
+ (— 1)/(Хфу,1,Хп+2ФУп+2)Ф(а,Х)фап+2Хп+2ф(а,у)фап+1фап+2Уп+^ =
= ^ | (—1)/ (ж,0,жп+2)Ф(а,ж)фап+2Жп+2 +
(х,о,хп+2)ейП+2 Ь.(ж,0,жп+2) = 1
+ (— 1)/ (х,0,жп+2)ф<а,ж)фап+2хп+2ф<а,у)фап+1фап+2уп+2©м +
+ ( (— 1)/(х,0,хп+2)Ф(а,х)фап+2Жп+2 + ( — 1)/(ж,0,Жп+2)ф(а,,ж)фа,п+2Жп+2ф(а,,у)фа,п+1фа,п+2Уп+2 |
(х,о,хп+2)ежП+2 ^ Допустим, что (а, у) Ф ага+1 Ф ага+2уга+2 = 0, Тогда
И/ (а,ага+1,ага+2) = 2 £ (-1)/(х>0>хп+2)ф(«>х)ф«п+2хп+2.
(ж,0,жп+2)ейП+2
^(ж,0,жп+2)=0
Из (4) и (5) следует, что если ага+2 = 0, то
И/(а,ага+1,0) = 2 £ (-1)/2(х)ф<«,ж) = 2 £ (-1)/2(ж)ф<а'ж) = 2И/2(а) = 2ИЙ2(а).
+2 )е^+2 хежп
^(ж,0,ж„+2)=0
Если ага+2 = 1, то из (5) и (6) следует, что
И/(а,а„+1, 1) = 2 Е (-1)/2(х)ф<а,х)фХп+2 = 2 £ (-1)/2(х)ф(а,х)ф^1(х).
(х,0,хп+2)ейП+2 (х,0,хп+2)ейП+2
^(ж,0,жп+2 )=0 ^(ж,0,жп+2 )=0
Тогда, согласно (4), справедливо
И/(а, ага+1,1) = 2 £ (-1)/2(ж)фМж)ф<а,ж) = 2 И/^ (а) = 2 (а).
Теперь пусть (а, у) Ф ага+1 Ф ага+2уга+2 = 1, Тогда
И/(а, ап+2) = £ (—1)/(ж>хп+ьжп+2)ф(а>ж)фап+1жп+1фап+2жп+2 =
(ж,жп+1,жп+2)ежп+2 = 2 £ (—1)/(ж,0,жп+2)ф(а,ж)фап+2 ж„+2
(ж,0,жп+2)ейП+2 Ь.(ж,0,жп+2)=1
Из (4) и (5) следует, что если ага+2 = 0, то
И/(а, ага+1, 0) = 2 £ (-1)/1(ж)ф<а,ж) = 2 £ (_1)/1(ж)ф<а,ж) = 2 И/1 (а) = 2 (а).
(ж,0,жп+2)ейп+2 ^(ж,0,жп+2 )=1
Если ага+2 = 1, то из (5) и (6) следует, что
И/ (а,а„+1, 1) = 2 £ (-1)/1(ж)ф<а,ж)фж„+2 = 2 ^ (-1)/1(ж)ф^1(ж)ф<а,ж)ф1.
(ж,0,жп+2)ейП+2 (ж,0,жп+2)ейП+2
^(ж,0,жп+2) = 1 ^(ж,0,жп+2) = 1
Тогда, согласно (4), справедливо
И/(а, ага+1,1) = 2 (-1)/1 (ж)фМж)ф<а,ж)ф1 = -2 И/^ (а) = -2 И^ф^ (а).
Теорема 1 доказана, ■
Отметим, что произвольная функция h G Fra+2, которая имеет хотя бы одну линейную переменную, может быть представлена следующим образом: h(x, xn+^ xn+2) = = h2(x)xn+1 ф h1 (x) ф xra+2, где h1,h2 G и x G Тогда по лемме 1 функция h является производной некоторой функции по направлению (y, 1,yn+2) тогда и только тогда, когда D(y)1,yn+2)h(x,xn+1,xn+2) = 0, Отсюда нетрудно получить, что h2(x) = h1(x) ф yn+2- Таким образом, теорема 1 позволяет построить все функции от n переменных, производная которых по некоторому ненулевому направлению имеют хотя бы одну линейную переменную.
Полным перебором проверено, что для n = 4 множество всех функций, производная которых по некоторому ненулевому направлению имеет хотя бы одну линейную переменную, состоит из 28 896 функций. Это множество содержит все 896 бент-функций от четырёх переменных. Кроме того, все 10 920 уравновешенных функций от четырёх
4
шенных функций), имеют производную по некоторому ненулевому направлению хотя бы с одной линейной переменной. Более того, все уравновешенные функции, производная которых по некоторому ненулевому направлению имеет хотя бы одну линейную
4
Булева функция от шести переменных
x3x4x5 ф x2x4x5 ф x3x4x6 ф x3x5x6 ф x4x5x6 ф x2x5x6 ф x1 x2 ф x^3 ф x^4 ф x3x4
24
ноп н для уравновешенных функций от чётного числа переменных (утверждение 1) даёт 26. Её производная по направлению (1, 0,..., 0) является аффинной. Отметим, что оценка 26 нелинейности уравновешенных функций от 6 переменных достижима [13].
Таким образом, для n = 6 существует уравновешенная функция, производная которой по некоторому ненулевому направлению имеет хотя бы одну линейную переменную, с нелинейностью 2"-1 — 2га/2-1 — 4. Более того, доказана следующая
Теорема 2. Пусть f G Fn+2 — уравновешенная функция от чётного n ^ 6 числа переменных, производная которой по некоторому ненулевому направлению имеет хотя бы одну линейную переменную. Тогда Nf ^ 2"+1 — 2га/2 — 4.
Доказательство. Из теоремы 1 известно, что f имеет форму (1), при этом g2
n
верпа следующая оценка: Ng2 ^ 2n-1 — 2га/2-1 — 2. Таким образом, из леммы 4 следует max |Wg21 ^ 2n/2 + 4. Тогда из теоремы 1 заключаем, что Nf = 2"+1 — max |Wg (a)|,
где M = {g2, g1 ф g2, g2 ф h1, g1 ф g2 ф h1} и, следовательно, Nf ^ 2n+1 — 2ra/2 — 4. ■
3. Криптографические свойства булевых функций, которые имеют
аффинные производные
Рассмотрим частный случай конструкции из теоремы 1 — итеративную конструкцию функций, которые имеют аффинные производные, и приведём достаточные условия, при которых функции, полученные с помощью этой конструкции, обладают такими криптографическими свойствами, как уравновешенность, отсутствие линейных структур и корреляционная иммунность.
Утверждение 2. Пусть n ^ 2 —чётное число, g1,g2 G (y, 1,yn+2) G Z^+2 и b G Zn такие, что (b,y) = yn+2, и
h(x,xn+1,xn+2) = (b,x) ф c ф xra+2, где c G Z2.
Тогда f £ Fn+2 го (1) является уравновешенной функцией от n + 2 переменных, если и только если g2 — уравновешенная функция от n переменных. При этом
Nf = 2n+1 - max |W„ (a)|.
Доказательство. Пусть l1(x) = (b,x) ф c, W x £ Zn Можно убедиться, что Dy l1(x) = yn+2 для любо го x £ Zn и
h(x, Xn+1, Xn+2) = (Dyli(x) ф y„+2)x„+i ф li(x) Ф x„+2. Из теоремы 1 и леммы 3 для f £ Fn+2 из (1) следует, что
если (a, y) = an+1 и a„+2 = 0, если (a, y) = an+1 Ф yn+2 и a„+2 = 1, если (a, y) = an+1 Ф 1 и a„+2 = 0, если (a, y) = an+1 Ф yn+2 Ф 1 и a„+2 = 1.
Тогда Wf (0) = Wg2 (0) и первое утверждение следует из леммы 2, Второе утверждение следует из леммы 4, ■
3,1, Функции без линейных структур Приведём достаточные условия того, что функции из утверждения 2 не имеют линейных структур.
Теорема 3. Пусть n ^ 2 —чётное чиело, g1; g2 — булевы функции от n переменных, (y, 1,yn+2) £ Zn+2 и l1 £ A такие, что Dyl1(x) = yn+2 и h(x) = l1(x) фxn+2, Тогда если g2 и g1 ф g2 являются уравновешенной функцией и бент-функцией от n переменных соответственно, то булева функция f £ Fn+2 из (1) является уравновешенной и не имеет линейных структур,
f
(z> zn+1, zn+2)j ВД6 Z £ Zn И zn+b Z„+2 £ Z2-
D(z>Wn+2)f (x,x„+1,x„+2) = ((Dyg1(x) ф 1)(ll(x) ф xn+2) ф Dyg2(x))
Фgl(x)(ll(x) ф xn+2) ф g2(x)Ф ф((Dygl(x ф z) ф 1)(ll(x ф z) ф xn+2 ф Zn+2) ф Dyg2(x ф z))xn+lФ ф((Dygl(x ф z) ф 1)(ll(x ф z) ф xn+2 ф Zn+2) ф Dyg2(x ф z))zn+lФ фgl(x ф z)(ll(x ф z) ф xn+2 ф zn+2) ф g2(x ф z).
Пусть l1(x ф z) = l1(x) ф d, гДе d £ Z2, Заметим, что если z = 0, то d = 0, Тогда
D(z,zn+i,zn+2)f (x,xn+1, xn+2) = xn+lxn+2 (DzDygl(x)) ф ФXn+l (il(x)DzDygl(x) ф (zn+2 ф d)Dygl(x ф z) ф DzDyg2(x) ф z«+2 ф d^ ФXn+2(Dzgl(x) ф zn+l(Dygl(x ф z) ф 1)) ф ll(x)Dzgl(x)ф ФZn+l(Dygl(x ф z) ф 1)ll(x) ф zn+1 d(Dygl(x ф z) ф 1)ф фZn+lDyg2(x ф z) ф zn+lzn+2 (Dygl(x Ф z) ф 1) ф (z«+2 Ф d)gl(x Ф z) ф Dzg2 (x).
Докажем, что для любого ненулевого направления (z, zn+1, zn+2) функция D(z,zn+bzn+2)f не является константой. Предположим обратное. Пусть D(z,zn+bzn+2)f = const для (z,zn+l,zn+2) = (0,..., 0).
|Wf (a,an+l,an+2)|
\ 2 |Wfl2(a)|, 2 |Wfl2(a ф b)|, 2 |Wfliefl2 (a)|, 12 |Wfliefl2(a Ф b)|,
Пусть г„+1 = 0 Тогда Д,гд1 (х) = 0, Если 2„+2 = ^02 = 0 и Д^д^/ имеет слагаемое Дгд2(х) = Дг (^1(х) 0д2(х)), которое не является константой, согласно лемме 9, Если 2„+2 = й 0 1 то Д(г,0,^ф1)/ имеет слагаемое ^1(х 0 2) 0 д2(х 0 2) 0 д2(х), которое для любого 2 те является константой, поскольку д2(х) уравновешенная, а ^1(х 0 2) 0 д2(х 0 2) является бент-функцией, согласно лемме 8, Пусть 2„+1 = 1, Тогда
Дг#1 (х) = Ду#1 (х 0 2) 0 1.
у=2
Если 2„+2 = й, то Д(г,1;й) / имеет слагаемое
Ду#2(х 0 2) 0 Дг#2(х) = Ду (^1(х0 2) 0 ^(х 0 2)) 0 Дг (#1^) 0 #2^)) 0 1 =
= Дуфг (#1 (х) 0 #2 (х)) 0 1,
у=2
Если 2„+2 = й 0 1, то Д(г,1,^ф1)/ имеет слагаемое
#1(х 0 у 0 2) 0 Ду#2(х 0 2) 0 Дг#2(х) 0 1 = #1(х 0 у 0 2) 0 ^(х 0 у 0 2) 0 ^(х) 0 1,
которое для любого 2 те является константой, поскольку д2(х) и д2(х) 0 1 являются уравновешенными, а #1(х 0 у 0 2) 0 д2(х 0 у 0 2) — бент-функция, согласно лемме 8, Таким образом, Д(г,гп+1;гп+2)/ ^ со^ для любого (2, 2„+1, 2„+2) = (0,..., 0),
Пусть 11(х) = (Ь, х) 0с, где Ь е Zn и с е Z2, Так как Ду 11(х) = у„+2, то (Ь, у) = у„+2. Из утверждения 2 следует, что / уравновешенная, ■
3,2, Корреляционно-иммунные функции Приведём достаточные условия того, что функции из утверждения 2 являются корреляционно-иммунными.
Утверждение 3. Пусть п ^ 2 —чётное число, #1,#2 е (у, 1,у„+2) е Zn+2 и Ь е Zn такие, что (Ь,у) = у„+2 и Н(х, х„+1, х„+2) = (Ь,х) 0 с 0 х„+2 для с е Z2, Тогда если функции д2 и д10д2 являются корреляционно-иммунными порядка г, то функция
/ е ^„+2 го (1) корреляцнонно-иммунна порядка г. Если при этом д2 уравновешенная, /
Доказательство. Пусть 11(х) = (Ь,х) 0 с, вде х е Z5, Можно убедиться, что Ду 11(х) = у„+2 ДЛЯ любо ГО х е zn и
Н(х,х„+1,х„+2) = (Ду 11 (х) 0 у„+2)х„+1 0 11 (х) 0 х„+2.
Из теоремы 1 и леммы 3 для / е ^„+2 из (1) следует, что
если (а, у) = а„+1 и а„+2 = 0, если (а, у) = а„+1 0 у„+2 и а„+2 = 1, если (а, у) = а„+1 0 1 и а„+2 = 0, если (а, у) = а„+1 0 у„+2 0 1 и а„+2 = 1.
Тогда первое утверждение следует из леммы 12, а второе —из утверждения 2, ■
|Ш/(а, а„+1, а„+2)| =
| 2 Ш(а)|, 2 |ШЙ2(а 0 Ь)|, 2 |Шй1фй2 (а)|, 12 |ШЙ1Ф02(а 0 Ь)|,
4. Построение уравновешенных функций с высокой нелинейностью
Используем итеративную конструкцию из теоремы 3 и уравновешенную функцию от 16 переменных с высокой нелинейностью, представленную в [18], для построения уравновешенных функций от чётного числа переменных п ^ 18 без линейных структур с нелинейностью
2«—1 _ (2™/2-1 + 2™/2-3 + 2™/2-5 + 2™/2-7)
Сравним полученные значения нелинейности уравновешенных функций с верхней оценкой нелинейности из утверждения 1, а также со значениями нелинейности уравновешенных функций, полученных в других работах,
16
пейпостью 32 598, Мы использовали её в качестве уравновешеиной функции д2 из тео-
18
нелинейностью.
Пусть а2;1б — булева функция от 16 переменных, которая содержит все квадратич-
«/2
ные слагаемые и только их, и /16 = а2)1б Ф ф ж». Тогда $2 можно задать с помощью её
г=1
носителя: зирр(д2) = шрр(/16) и 5, где
5 = {8256,2080,4112,2049,36912,5264,34840,10264,49169,38400,1632,3075,2570,16800,
16908,1569, 24612,12417, 29504,17825, 37413,18965,41410,16613, 5028, 35122, 21656, 61968, 42122, 8000, 24873, 9546, 21541,10763, 35881, 57372, 45256, 42033, 37524,19529,7237, 16446,17888, 20881, 26817, 49539,14964, 54452,51612, 22981,20723,989, 46868,50830,11884, 1518,5363, 36553, 43729, 39321, 50459, 55401, 37771,52359, 5965,8511,18551,58538,14987,
53799, 44090,10156, 29283, 27057, 58443, 61497,35782,44047,22940,7540,19865,43961, 15221,62179,43927,57240,59741,61867,14190,62511, 44665, 3067,8107, 61937, 51161,42937, 31835,44725,30435,14324,30381,31964,56506,54652,59951, 61206, 43993,14310, 58959, 32494,24443,32381,62451,60915,60381,44990,62845,36351, 32508, 61147, 56309, 32351,
48503,57215,32751,63483, 64510, 65535}
и каждому числу из Б ставится в соответствие вектор его двоичного представления 16
8 8
В качестве Ф д2 мы взяли бент-функцию фж»Жг+8 Ф Л ж», которая, согласно
г=1 г=1
18
лемме 10, принадлежит классу Мэйорана — МакФарланда. Пусть 1(ж) = ф ж» и у =
г=2
= (1, 0,0,...,0).
/ 18
ся с помощью конструкции из теоремы 3, имеет степень 16 нелинейность N = 130 732 и не имеет линейных структур. Стоит отметить, что конструкция из теоремы 3 позво-
18
Доетаточно рассмотреть другие направления у, число которых равно 217 _ 1 [19], Эти направления — ненулевые векторы у, такие, что ((0,1,..., 1),у) = 0, В качестве функции Ф д2 можно взять бент-функцию, полученную с помощью других известных конструкций бент-функций,
В свою очередь, полученную функцию / от 18 переменных можно использо-
20
523 608, так как из леммы 4 следует, что тах Ж/ (а) = 680 = 218/2 + 218/2-2 + 218/2-4 +
+ 218/2-6, Кроме того, если в качестве ф д2 снова взять бент-функцию, например, из класса Мэйорана — МакФарланда, то по теореме 3 полученная функция не будет иметь линейных структур,
3
новешенные функции / от чётного числа переменных п ^ 18 без линейных структур с нелинейностью
N = 2П-1 — (2п/2-1 + 2п/2-3 + 2п/2-5 + 2п/2-7), (7)
поскольку тах (а) = 2(п-2)/2 + 2(п-2)/2-2 + 2(п-2)/2-4 + 2(га-2)/2-6.
В табл. 1 приведены значения нелинейности функций, которые можно получить с помощью теоремы 3, и значения нелинейности уравновешенных функций, полученных в работах К, Ху и др. [16] и К, Карле и др. [17], Отметим, что в [16] рассматриваются значения п ^ 28, а нелинейность (7) имеют уравновешенные функции от чётного числа п ^ 18 переменных.
Таблица 1
п 2П-1 — (2П/2-1 + 2п/2-3 + 2п/2-5 + 2п/2-7) N [16] N [17]
18 130 732 130 504 130 688
20 523 608 523154 Не приводится
22 2 095 792 2094 980 Не приводится
24 8 385 888 8 384490 Не приводится
26 33 548 992 33 545 992 Не приводится
28 134 206 848 134201460 Не приводится
Из табл. 1 видно, что значения нелинейности уравновешенных функций, которые могут быть получены с помощью теоремы 3, превосходят значения из работ [16, 17],
В табл. 2 приводятся значения нелинейности функций, которые можно получить с помощью теоремы 3, и верхние оценки нелинейности уравновешенных функций из утверждения 1 для 18 ^ п ^ 28,
Таблица 2
п 2П-1 — (2п/2-1 + 2п/2-3 + 2п/2-5 + 2п/2-7) 2п-1_2п/2-1_2
18 130 732 130 814
20 523 608 523 774
22 2 095 792 2096126
24 8 385 888 8 386 558
26 33 548 992 33 550 334
28 134 206 848 134 209 534
5. Проблема разложения булевых функций в сумму двух бент-функций
Докажем верхнюю оценку степени функции (/1 ф /2)Н, где Н — булева функция от п переменных, /1 и /2 — бент-функции от п переменных, причём Н ф /1 и Н ф /2 также являются бент-функциями.
Вопрос о разложении булевых функций в сумму двух бент-функций поставлен И, И, Токаревой в работе [20],
Гипотеза 1 (Н.Н. Токарева [20]). Пусть n —чётное число. Тогда любая булева функция от n переменных степени не больше n/2 может быть разложена в сумму двух бент-функций от n переменных.
В [20] гипотеза 1 проверена с помощью полного перебора для n ^ 6. Согласно [20], если гипотеза 1 верна, то справедлива следующая нижняя оценка для числа бент-n
|ВП| ^ 22"-2+(n/2)/4.
В [19] показана связь этой гипотезы со следующей проблемой о производных бент-функций: любая сбалансированная функция f от чётного числа переменных n степени не больше n/2 — 1, такая, ч то f (x) = f (ж ф y) для любо го x Е Zn и некоторого ненулевого y Е Z!?, является производной бент-функции от n переменных. Эта связь также следует из теоремы 1.
Утверждение 4. Пусть n ^ 2 — чётное число, gi, g2, h Е Fn, вектор (y, 1, yn+2) Е Е Zn+2 такой, что
h(x, Xn+i,Xn+2) = (Dyhi(x) ф y2)Xn+i ф hi(x) ф x„+2.
Тогда f Е Fn+2 из (1) имеет функцию h своей производной по направлению (y, 1,yn+2) и является бент-функцией от n + 2 переменных тогда и только тогда, когда g2, gi ф g2, g2 ф hi; gi ф g2 ф hi являются бепт-функциями от n переменных.
Доказательство. Из леммы 4 и теоремы 1 следует, что
= 2n+i — 1 max |Wf (а)| = 2n+i — 2n/2
2 aez/+2
тогда и только тогда, когда для любого Ь € Z« справедливо
(Ь)| = |ЖЙ2 (Ь)| = К^е^ (Ь)| = (Ь)| = 2п/2.
Из леммы 7 следует, что д^ д1 Ф д2, д2 Ф ^^ д1 Ф д2 Ф являются бент-функциями от п переменных. ■
Приведём два вспомогательных утверждения.
Утверждение 5 (Н, Н, Токарева [20]). Пусть /1, /2, /3 — ^^^^^^пкции от п пере/
/(0, 0, ж) = /1(ж), /(0,1,ж) = /2(ж),
/(1, 0, ж) = /з(ж), /(1,1,ж) = /4(ж),
является бент-функцией от п + 2 переменных тогда и только то гда, когда /4 — бент-функция от п переменных и /1 Ф /2 Ф /3 Ф /4 = 1.
Утверждение 5 является упрощённой версией результата из работы А. Канто и П. Шарпин 2003 г. [21]. В [21] доказано также
Утверждение 6 (А. Канто и П. Шарпин [21]). Пусть /1,/2,/3,/4 € и функ-/
/(0, 0, ж) = /1(ж), /(0,1,ж) = /2(ж),
/(1, 0, ж) = /з(ж), /(1,1,ж) = /4(ж),
является бент-функцией от п + 2 переменных. Тогда /1 — бент-функция, если и только если /2, /3, /4 — бепт-функци и от п переменных.
Теорема 4. Пусть n ^ 2 — чётное чиело, h G и /, /2, h ф /, h ф /2 G Bra, Тогда:
1) deg((/i ф /2)h) ^ (n + 2)/2;
2) следующие утверждения эквивалентны:
а) ^i(x) = e/i(x) Ф /2(x))h(x) ф /i(x) G Bra;
б) Ф2 (x) = e/i(x) Ф /2 (x) J h(x) Ф /2(x) G Bra;
в) фз (x) = (/i(x Ф y) Ф /2(x Ф y)) h(x ф y) ф /2(x ф y) ф h(x ф y) G Bra, где y G
г) Ф4(x) = e/i(x Ф y) Ф /2(x Ф y))h(x Ф y) Ф /i(x ф y) ф h(x ф y) G Bra, где y G Zn
д) ф! ф ф2 ф фз ф ф4 = 0.
Доказательство. Пусть y G Z£. Тогдa g G Fra+2, такая, что
g(x,xn+i,xn+2) = (h(x) ф h(x ф y))xra+i ф h(x) ф xra+2,
удовлетворяет условию утверждения 4 для направления (y, 1, 0), Следовательно, булева функция от n + 2 переменных
/(x,xn+i,xn+2) = ((Dygi(x) ф 1)g(x,xn+i,xn+2) Ф Dyg2(x^Xra+lФ Фу! (x)g(x,xra+i,xra+2) Ф g2 (x) ,
где gi = /1 ф /2 и g2 = ^^m-функцией от n + 2 переменных. Из леммы 5
следует, что deg(/) ^ (n + 2)/2 и deg(g1h) = deg((/1 ф /2)h) ^ (n + 2)/2.
Легко убедиться в том, что
/(x, 0, 0) = gl(x)h(x) ф g2(x) = ф2(x), /(x, 0,1) = gi(x)h(x) ф gi(x) ф g2(x) = ф1 (x), /(x, 1, 0) = gi(x ф y)h(x ф y) ф g2(x ф y) ф h(x ф y) = фз(x),
/(x, 1, 1) = gi (x ф y)h(x ф y) ф gi (x ф y) ф g2 (x ф y) ф h(x ф y) ф 1 = ф4(x) Ф 1. Тогда из утверждений 5 и 6 следует второе утверждение теоремы, ■
Следствие 1. Пусть h,g G и deg(hg) > (n + 2)/2 Тогда если /1,/2 G и h = /1 ф то хотя бы одна из функций g ф /1 ми g ф /2 не является бент-функцией.
Следствие 2. Пусть h G и /1, /2, h ф /1, h ф /2 G Тогда если (/1 ф /2)h = 0 или (/i ф /2)h = h, ^рт этом /3(x) = h(x ф y) ф /i(x ф y) и /4(x) = h(x ф y) ф /2(x ф y), где y G Z^, то справедливо, что /1 ф /2 = /3 ф /4,
В обозначениях теоремы 4 приведём пример того, как верхняя оценка степени функции (/1 ф /2)h может быть использована для описания бент-функций Д и /2,
Пусть h(x) = x1x2 — функция от четырёх переменных, x G Z4^ /1,/2 G B4
такие, что h ф /^ h ф /2 ^^^^^^^^^^^^^^^^^оложнм, что АНФ функции /1
содержит моном x3x4, а ^^^Ф функции /2 его те ^^^^жит. Тогда deg((/1 ф /2)h) = = 4 > 3 = (n + 2)/2, Таким образом, либо каждая бент-функция из разложения функции h(x) в сумму двух бент-функций имеет моном x3x4 в своей АНФ, либо каждая из них его не имеет. Пример достижения оценки можно получить для следующих функций от четырёх переменных: h(x) = x3, /1 (x) = x1x2 ф x3x4 и /2(x) = x1x3 ф x2x4.
Заключение
Работа посвящена вопросу построения уравновешенных булевых функций с высокими значениями нелинейности. Приведена итеративная конструкция уравновешенных функций от чётного числа переменных, с помощью которой получена булева функция от 18 переменных со значением нелинейности 130 732, Эта функция может быть
использована для итеративного построения уравновешенных функций от чётного числа n ^ 20 переменных с нелинейностью 2n-i — (2n/2-i + 2n/2-3 + 2n/2-5 + 2n/2-7),
Приведены достаточные условия того, что функции, полученные с помощью конструкции, обладают такими свойствами, как отсутствие линейных структур и корреляционная иммунность. Интерес представляет также изучение дополнительных условий, при которых получаемые функции будут, например, удовлетворять строгому лавинному критерию (SAC) или критерию распространения PC(k) порядка k,
ЛИТЕРАТУРА
1. Matsui М. Linear crypt analysis method for DES cipher // LNCS. 1994. V.765. P. 386-397.
2. Rothaus O. S. On bent functions //J. Comb. Theory. Ser. A. 1976. V. 20. No. 3. P. 300-305.
3. Adams С. M. Constructing symmetric ciphers using the CAST design procedure // Des. Codes Crvptogr. 1997. V. 12. N0.3'. P. 283-316.
4. Hell C., Johansson Т., Maximov A., and Meier W. A stream cipher proposal: Grain-128 // IEEE Intern. Svmp. Inform. Theory. Seattle, WA, USA, 2006. P. 1614-1618.
5. Zheng Y., Pieprzyk J., and Seberry J. Haval — a one-way hashing algorithm with variable length of output (extended abstract) 11 LNCS. 1993. V.718. P. 83-104.
6. Helleseth T. and Kholosha A. Bent functions and their connections to combinatorics / S.R. Blackburn, S. Gerke, and M. Wildon (eds.). Surveys in Combinatorics. London Math. Soc. Lecture Note Ser. 2013. V. 409. Cambridge: Cambridge University Press, 2013. P. 91-126.
7. Tokareva N. Bent Functions: Results and Applications to Cryptography. London: Acad. Press, 2015.
8. Токарева H. H. О множестве производных булевой бент-функцнн // Прикладная дискретная математика. Приложение. 2016. №9. С. 327-350.
9. McFarland R. L. A family of difference sets in non-cvclic groups //J. Combin. Theory. Ser. A. 1973. V. 15. P. 1-10.
10. Dillon J. F. Elementary Hadamard Difference Sets. PhD. Thesis. Univ. of Maryland, 1974.
11. Логачев О. А., Сальников А. А., Смышляев С. В., ЯщенкоВ.В. Булевы функции в теории кодирования и криптологии. М.: МЦНМО, 2012.
12. Siegentaler Т. Correlation-immunity of nonlinear combining functions for cryptographic applications 11 IEEE Trans. Inform. Theory. 1984. V.30. No. 5. P. 776-780.
13. Seberry J., Zhang X-M., and Zheng Y. Nonlinearlv balanced Boolean functions and their propagation characteristics // LNCS. 1994. V. 773. P. 49-60.
14. Dobbertin H. Construction of bent functions and balanced Boolean functions with high nonlinearitv 11 LNCS. 1994. V. 1008. P. 61-74.
15. Dobbertin H. and Leander G. Cryptographer's Toolkit for Construction of 8-bit Bent Functions. Crvptologv ePrint Archive. Report 2005/089. 2005.
16. Ни X., Yang В., and Huang M. A construction of highly nonlinear Boolean functions with optimal algebraic immunity and low hardware implementation cost // Discr. Appl. Math. 2020. V. 285. P. 407-422.
17. Carlet C., Djurasevic M., Jakobovic D., et al. Evolving Constructions for Balanced, Highly Nonlinear Boolean Functions, https://arxiv.org/abs/2202.08743. 2022.
18. Gini A. and MeauxP. Weightwise perfectly balanced functions and nonlinearitv // LNCS. 2023. V. 13874. P. 386-397.
19. Shaporenko A. Derivatives of bent functions in connection with the bent sum decomposition problem 11 Des. Codes Crvptogr. 2023. V.91. P. 1607-1625.
20. Tokareva N.N. On the number of bent functions from iterative constructions: lower bounds and hypotheses 11 Adv. Math. Commun. 2011. V.5. No. 4. P. 609-621.
21. Canteaut A. and Charpin P. Decomposing bent functions // IEEE Trans. Inform. Theory. 2003. V. 49. No. 8. P. 2004-2019.
REFERENCES
1. Matsui M. Linear crvptanalvsis method for DES cipher. LNCS, 1994, vol.765, pp. 386-397.
2. Rothaus O. S. On bent functions. J. Comb. Theory. Ser. A, 1976, vol.20, no. 3, pp. 300-305.
3. Adams C. M. Constructing symmetric ciphers using the CAST design procedure. Des. Codes Crvptogr., 1997, vol.12, no. 3, pp. 283-316.
4. Hell C., Johansson T., Maximov A., and Meier W. A stream cipher proposal: Grain-128. IEEE Intern. Svmp. Inform. Theory, Seattle, WA, USA, 2006, pp. 1614-1618.
5. Zheng Y., Pieprzyk J., and Seberry J. Haval — a one-way hashing algorithm with variable length of output (extended abstract). LNCS, 1993, vol.718, pp.83-104.
6. Helleseth T. and Kholosha A. Bent functions and their connections to combinatorics. S.R. Blackburn, S. Gerke, and M. Wildon (eds.). Surveys in Combinatorics. London Math. Soc. Lecture Note Ser., 2013, vol.409, Cambridge, Cambridge University Press, 2013, pp.91-126.
7. Tokareva N. Bent Functions: Results and Applications to Cryptography. London, Acad. Press, 2015.
8. Tokareva N.N. O mnozhestve proizvodnvkh bulevov bent-funktsii [On the set of derivatives of a Boolean bent function]. Prikladnava diskretnava matematika. Prilozhenie, 2016, no. 9, pp. 327-350. (in Russian)
9. McFarland R. L. A family of difference sets in non-cvclic groups. J. Combin. Theory, Ser. A, 1973, vol. 15, pp. 1-10.
10. Dillon J. F. Elementary Hadamard Difference Sets. PhD. Thesis, Univ. of Maryland, 1974.
11. Logachev O.A., Salnikov A. A., and Yashchenko V. V. Boolean Functions in Coding Theory and Cryptography. AMS, 2012. 334p.
12. Siegentaler T. Correlation-immunity of nonlinear combining functions for cryptographic applications. IEEE Trans. Inform. Theory, 1984, vol.30, no. 5. pp. 776-780.
13. Seberry J., Zhang X-M., and Zheng Y. Nonlinearlv balanced boolean functions and their propagation characteristics. LNCS, 1994, vol.773, pp.49-60.
14. Dobbertin H. Construction of bent functions and balanced Boolean functions with high nonlinearitv. LNCS, 1994, vol.1008, pp. 61-74.
15. Dobbertin H. and Leander G. Cryptographer's Toolkit for Construction of 8-bit Bent Functions. Crvptologv ePrint Archive, report 2005/089, 2005.
16. Hu X., Yang B., and Huang M. A construction of highly nonlinear Boolean functions with optimal algebraic immunity and low hardware implementation cost. Discrete Appl. Math., 2020, vol.285, pp.407-422."
17. Carlet C., Djurasevic M., Jakobovic D., et al. Evolving Constructions for Balanced, Highly Nonlinear Boolean Functions, https://arxiv.org/abs/2202.08743. 2022.
18. Gini A. and Meaux P. Weightwise perfectly balanced functions and nonlinearitv. LNCS, 2023, vol. 13874, pp. 386-397.
19. Shaporenko A. Derivatives of bent functions in connection with the bent sum decomposition problem. Des. Codes Crvptogr., 2023, vol.91, pp. 1607-1625.
20. Tokareva N.N. On the number of bent functions from iterative constructions: lower bounds and hypotheses. Adv. Math. Commun., 2011, vol.5, no. 4, pp. 609-621.
21. Canteaut A. and Charpin P. Decomposing bent functions. IEEE Trans. Inform. Theory, 2003, vol.49, no. 8, pp. 2004-2019.
