Квадратичные аппроксимации специального вида для четырехразрядных подстановок в S-блоках Текст научной статьи по специальности «Математика»

ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА

2008 Математические методы криптографии № 1(1)

УДК 003.26 519.7

КВАДРАТИЧНЫЕ АППРОКСИМАЦИИ СПЕЦИАЛЬНОГО ВИДА ДЛЯ ЧЕТЫРЕХРАЗРЯДНЫХ ПОДСТАНОВОК В S-БЛОКАХ1

Н.Н. Токарева

Институт математики им. С.Л. Соболева СО РАН,

Новосибирский государственный университет

E-mail: tokareva@math.nsc.ru

Рассматриваются квадратичные аппроксимации (булевых функций) специального вида и возможность применения их в нелинейном криптоанализе блочных шифров. Для четырехразрядных подстановок, рекомендованных для использования в S-блоках алгоритмов ГОСТ 28147-89, DES, s3DES, показано, что почти во всех случаях существуют более вероятные (по сравнению с линейными) квадратичные соотношения специального вида на входные и выходные биты этих подстановок.

Ключевые слова: квадратичный криптоанализ, S-блок, k-бент-функция.

Метод линейного криптоанализа (для блочного шифра FEAL) был предложен М. Мацуи и А. Ямагиши в 1992 г., для блочного шифра DES - М. Мацуи [1] в 1993 г.; в настоящее время этот метод наряду с методом дифференциального криптоанализа [2] считается одним из наиболее эффективных. Большое число работ посвящено различным обобщениям и улучшениям метода линейного криптоанализа.

Общий подход к использованию в линейном криптоанализе нелинейных аппроксимаций предложили в 1996 г. Л. Кнудсен и М. Робшау [3], но он не получил пока должного развития в силу своей общности. В этом направлении можно отметить исследования Т. Шимоямы и Т. Канеко [4], связанные с поиском квадратичных соотношений для конкретных подстановок, использующихся в S-блоках DES; экспериментальные исследования Дж. Накахары и др. [5]; работу Ж. Тапиадора и др. [6] по применению эвристических алгоритмов для поиска хороших нелинейных аппроксимаций (с примерами для S-блоков шифра MARS). Вопросы нелинейных аппроксимаций булевых функций (с использованием их приведенного представления) рассматривались также А.В. Ивановым [7].

Мы рассматриваем [8] квадратичные аппроксимации (булевых функций) специального вида и возможность применения их в нелинейном криптоанализе блочных шифров. В работе [9] (см. также [10]) для каждого целого k, 1 < k < m/2 (m четно), была определена бинарная операция (•, •)k : Z2T х Z2T ^ Z2 на множестве

Zm ~

2 , которую, исходя из ее свойств, можно считать аналогом скалярного произведения векторов над Z2. Определение было дано в рамках теоретико-кодового подхода; при этом по существу использовалась классификация Zi-линейных кодов типа Адамара, полученная Д.С. Кротовым [11, 12]. Аналитически операцию (•,-)k можно задать следующим образом:

{и, v) k = ^ ® Щи2M 0 u2i )(u2 j-1 0 u2 j )(v2 i-1 0 v2i )(v2 j-1 0 v2 j ) j®( Uv) ,

где (и,v) - обычное скалярное произведение векторов u = (mj,..., um),v = (vj,..., vm) e Z2m над Z2. При фиксированном векторе u е Z2m функция (и, v)k от переменных vi, ..., vm является линейной или квадратичной. На основе операции (•, •) k в работе [9] определяются k-преобразование Уолша - Адамара W/k) (и) = (_]_)(“’v)k®/(v) булевой функции f от m переменных и k-бент-функция как функция, для

VEZ”

которой W(и) = ±2т/2 для каждого j = 1, ..., k и любого и е Z2T . Заметим, что 1-бент-функции и бент-

функции совпадают, а с ростом параметра k «нелинейные» свойства бент-функции усиливаются (см. подробнее [9] и продолжение исследований k-бент-функций в [13]).

1 Исследование выполнено при финансовой поддержке интеграционного проекта СО РАН № 35 «Древовидный каталог математических Интернет-ресурсов www.mathtree.ru», Российского фонда фундаментальных исследований (проекты 07-01-00248, 08-01-00671) и Фонда содействия отечественной науке.

Через Ат обозначим класс всех функций от у = (уь ут) вида (и,п(г))к , где п - любая перестановка на

т элементах уь ..., ут, параметры и, к произвольны. В [8] предлагается аппроксимировать неизвестные буле-

т/2/ т Л

вы функции функциями из Ат. Класс Ат состоит из 2т (т.е. всех) линейных функций и VI 12т-к (2к -1)!!

к=2 12к)

(что не превышает числа 2т (1+ 106 т)) квадратичных функций от т переменных.

Введем простые обозначения, относящиеся к блочным шифрам: т, т^у - четные числа;

Р = (р,..., рт) е 2™ - открытый текст; С = (с1,..., ст) е 2^ - шифртекст; К = (^,..., к ) € 2™Ыу - ключ

шифрования; Г(Р, К) - функция шифрования.

Нами предложены [8] модификации алгоритмов 1 и 2 линейного криптоанализа Мацуи [1]. Основная идея модификаций заключается в использовании (линейных и квадратичных) соотношений вида

{а,Р)). ®(Ь, а(С))] = (а, т(К)}к , (1)

выполняющихся с некоторой вероятностью Рг = (1/2) + е, где параметр е, называемый преобладанием соотношения, отличен от нуля. Здесь векторы а, Ь е 2™ , ^ € 2™Ыу, перестановки п, о, т и целые числа г, у, к выбираются криптоаналитиком с целью максимизировать абсолютное значение преобладания е (задача такого характера является общей для различных методов статистического криптоанализа). Далее при неизвестном К на основе набранной статистики - пар (Р,С), где С = Р(Р, К), - с учетом параметра е принимается решение о том, что соотношение (^, т(К))к = 5 (для некоторого 5 из 22) является верным. С помощью полученного

соотношения проводится дальнейший анализ шифра. В [8] приведены формулы для вычисления абсолютных значений преобладаний е (связанные с вычислением к-коэффициентов Уолша - Адамара) и для расчета надежности алгоритмов. Показано, что использование к-бент-функций в качестве функций шифрования позволяет снижать максимальное абсолютное значение преобладания до его минимального значения, а следовательно, предельно повышать стойкость шифра к рассматриваемым квадратичным аппроксимациям. Приведены свойства аппроксимирующих функций, которые могут быть использованы в квадратичном криптоанализе при согласовании нелинейных раундовых аппроксимаций (см. подробнее [8]).

Известно, что стойкость блочного шифра напрямую зависит от стойкости используемых в нем Б-блоков. Целью данной работы является рассмотрение примеров четырехразрядных подстановок для Б-блоков алгоритмов ГОСТ 28147-89, DES, б^ЕБ и доказательство того факта, что почти во всех случаях существуют более вероятные (по сравнению с линейными) квадратичные соотношения, аналогичные (1), на входные и выходные биты этих подстановок. Результаты получены с помощью компьютера.

Четырехразрядные подстановки

Пример 1. В книге А.Г. Ростовцева и Е.Б. Маховенко [14] приведена серия экстремальных четырехразрядных подстановок Б1, ..., Б10, рекомендованных для Б-блоков стандарта ГОСТ 28147-89. Из каждой подстановки путем умножения ее на аффинные подстановки получается целый класс экстремальных подстановок. Все они были выбраны так, чтобы максимально повысить стойкость шифра к методам линейного и дифференциального криптоанализа.

Найдем наиболее вероятные квадратичные и линейные зависимости между входными и выходными битами произвольной такой подстановки, используя класс аппроксимирующих функций А4.

Число функций в классе А4 равно 28. Из них 16 - линейные функции, 12 - квадратичные, которые можно перечислить следующим образом:

(0101,^у2у3у4)2 , (0110,у1у2у3у4)2 , (1001,^у2у3у4)2 , (1010,у1у2у3у4)2 ,

(0101,^у3у2у4)2 , (0110,^у3у2у4)2 , (1001,^у3у2у4)2 , (1010,^у3у2у4)2 ,

(0101,^у4у2у3)2 , (0110,^у4у2у3)2, (1001,^у4у2у3}2 , (1010,^у4у2у3)2 .

Двоичному вектору х = (х1, х2, х3, х4) сопоставим целое число х = 8х1 + 4х2 + 2х3 + х4 от 0 до 15. Рассмотрим соотношения (а, п(Р)}. ®(Ь, а(С)). = 0, где при г = 1 вектору а соответствуют числа от 0 до 15 и тождественная перестановка п (что отвечает всем линейным комбинациям битов Р); при г = 2 вектору а соответствуют числа 5, 6, 9, 10 и перестановки п = 1ё,(1324),(1342) (что отвечает квадратичным комбинациям битов Р).

Аналогично при у = 1 и 2 выбираем значения для Ь и о. При данных условиях функции (а, л(-)}.,(Ь, с(-))^

в S-блоках

Б1 = (0,13,11,8,3,6,4,1,15,2,5,14,10,12,9,7) Б2 = (0,1,9,14,13,11,7,6,15,2,12,5,10,4,3,8) Б3 = (0,1,11,13,9,14,6,7,12,5,8,3,15,2,4,10) Б4 = (0,1,2,4,3,5,8,10,7,9,6,13,11,14,12,15) Б5 = (0,1,11,2,8,6,15,3,14,10,4,9,13,5,7,12) Бб = (0,1,11,2,8,3,15,6,14,10,4,9,13,5,7,12) Б7 = (0,4,11,2,8,6,10,1,14,15,3,9,13,5,7,12) Б8 = (0,4,11,2,8,3,15,1,14,10,6,9,13,5,7,12) Б9 = (0,11,15,9,1,5,6,8,3,10,4,12,14,13,7,2) Б10= (0,7,10,14,9,1,13,8,12,2,11,15,3,5,4,6)

пробегают все множество функций Д4 без повторений. Для произвольной подстановки 5 рассмотрим таблицу, строки которой занумерованы тройками (г, 5,п), а столбцы - тройками (у,Ь,а), такую, что на пересечении строки и столбца находится преобладание е соответствующего соотношения, умноженное на 16 (или, другими словами, отклонение числа выполнений этого соотношения от половины). И хотя здесь мы приводим способ построения таблицы для четырехразрядной подстановки, он несложно может быть обобщен на случай произвольной г-разрядной подстановки или преобразования Р^С, где Р и С имеют разное число битов.

Параметром неквадратичности подстановки 5 назовем число

Ы<2(Б) = штштшт| \р:(а, п(Р)}. ®(Ь, ст(С)). ^5 }.

г,1 аФ0, 5ег21 1 1 ’ 1

Ъф0 п,а

Другими словами, величина N<2(3) равна разности числа 8 и максимальной из абсолютных величин элементов таблицы (кроме элементов первой строки и первого столбца). Соотношение, отвечающее элементу таблицы с абсолютной величиной 8^<2(Б), выполняется с вероятностью NQ(S)/16 или 1 - NQ(S)/16 (т.е. наименее или наиболее вероятно).

Нелинейностью подстановки 5 называется величина

ЫЬ(Б) = штшт I { Р:(а, п(Р)) 1 ®(Ь, ст(С)) 1 ^8 } I.

аф0,

Ьф0 п,а

Величину N^(3) можно получить как разность числа 8 и максимальной из абсолютных величин элементов той части таблицы, которая соответствует только линейным соотношениям входных и выходных битов, т.е. где I = у = 1 (кроме нулевых комбинаций). Очевидно, что N2(3) < Ж,(5). Согласно [15], справедливо Ж,(5) < 4 для любой четырехразрядной подстановки 5.

Например, для подстановки Б9 имеем Ж(Б9) = 4, N2(S9) = 2 (см. табл. 1). В таблице элементы с абсолютными значениями 4 и 6 выделены полужирным шрифтом и серым цветом соответственно.

Таблица 1

Преобладания для подстановки 89

£* 16 Г1 й Г2 1лЗ Г2 (1324) Г2 (1342)

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 5 6 9 10 5 6 9 10 5 6 9 10

0 8 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

1 0 0 -2 2 4 0 2 2 -2 -2 4 0 2 -2 0 0 4 _Т| “1 0 2 0 4 2 0 4 0 0

2 0 -г 0 -2 0 -2 4 2 2 0 -2 4 2 0 2 0 0 -4 0 0 0 -4 4 Т _ т 0

3 0 г Т 0 0 _ -р _ Т 0 4 _ Т Т 0 4 т 0 0 -4 0 0 т 0 4 _ Т 0 Т т -4

4 0 -2 2 0 0 2 2 -4 2 0 4 2 -2 0 0 2 4 0 _ т 0 4 0 0 _ т т

5 0 г 0 -2 0 2 0 -2 0 2 0 -2 4 -2 4 2 0 т 0 4 т 0 _ Т 4 0 т _ Т

6 0 0 Т -1 4 0 Т _ -1 0 0 _ т _ -1 0 4 ■р -2 0 2 0 т 0 0 0 т 0 т

1=1 7 0 0 4 0 0 0 0 4 2 2 2 -2 -2 -2 2 -2 0 0 2 2 0 _ т 0 т 0 _ т 0 т

8 0 с С 4 -2 2 2 2 2 -2 _2 -2 0 С 0 4 2 2 _2 _2 4 с т _ т 4 с т

9 0 0 т -1 Т -1 0 0 0 4 _ Т -1 _ Т -4 0 -2 4 0 0 4 0 0 т 0 4 т

10 0 2 -4 2 2 0 -2 0 4 2 0 2 -2 0 2 0 -2 0 0 2 0 0 т _ т _ т т т

11 0 -2 2 0 2 0 -4 2 -2 0 0 2 0 2 2 4 -2 -2 _2 2 0 0 0 0 _ т _ т т _ Т

12 0 -г 0 4 0 2 0 2 2 0 2 4 а -г г 2 0 4 4 2 0 2 2 0 2 0

13 0 2 0 2 -2 -4 2 0 -2 4 2 0 0 2 0 2 -2 0 6 0 -2 -2 4 0 2 0 2 4

14 0 4 2 2 -2 2 0 0 -2 -2 0 4 0 0 2 -2 2 0 -2 0 0 2 0 2 -2 2 0 0

15 0 4 0 -4 2 2 2 2 0 0 0 0 -2 2 -2 2 2 2 0 0 2 -2 -4 0 2 -2 -4 0

5 0 2 -2 0 2 0 0 -2 2 0 0 -2 0 2 6 0 0 0 0 0 0 0 0 0 0 0 0 0

\=2 6 0 0 4 0 2 2 2 -2 -2 2 -2 -2 4 0 0 0 0 4 0 0 2 4 0 -2 4 2 2 0

М 9 0 0 0 4 4 0 0 0 2 2 -2 2 -2 2 -2 -2 -2 2 0 0 -4 2 0 2 -2 0 2 4

10 0 2 -2 0 0 2 -2 0 2 4 0 2 2 -4 0 2 -2 2 0 4 2 2 0 0 2 -2 4 0

5 0 0 -4 0 0 4 0 0 0 4 0 0 0 0 4 0 0 4 0 4 2 2 -2 2 2 -2 2 2

i=2 6 0 0 _ Т _ т Т 0 0 0 0 т _ Т 6 т 0 0 “3 0 0 “1 6 2 2 -2 4 2 2 -4

(1324) 9 0 0 -2 2 0 0 -2 2 4 0 2 2 0 4 -2 -2 0 -2 0 2 0 0 2 2 -2 0 2 0

10 0 4 0 0 2 -2 -2 -2 4 0 0 0 2 -2 2 2 -2 -2 0 0 0 0 2 -2 0 0 2 -2

5 0 _ Т 0 т т 4 0 _ Т 4 _ т 0 0 Т 0 0 6 0 “1 0 4 -2 2 2 0 2 4

1=2 6 0 0 0 0 0 0 0 0 2 -2 2 -2 2 6 2 -2 2 -2 0 0 2 0 2 0 0 2 0 -2

(1342) 9 0 0 С 0 -2 2 -2 2 2 2 2 2 4 0 -4 0 0 0 0 4 4 2 2 0 2 0 4 -2

10 0 2 4 2 4 -2 0 -2 2 0 -2 0 2 0 -2 0 -2 0 0 -2 _2 2 2 _2 0 2 2 0

Как следует из табл. 1, любые линейные соотношения на входные и выходные биты Б9 выполняются с вероятностью не большей 3/4, тогда как существуют 6 квадратичных соотношений, вероятность которых составляет 7/8. Среди них, например, такие соотношения

(1100, с^сзсд ® (0110, рхрърр4)г = ® с2 ® Р1Р2 ® Р1Р4 ® РгРз ® РзРа ® Р\ ® Ра = 0,

(1110,с1с2с3еЛ)1 ®(0101,р1 р2р3Рл)2 = с\ ® с2 ® сз ® Р\Рз ® Р\Р4 ® Р2Р3 ® Р2Р4 ® Р\ ® Рз = 0,

которые, что интересно, линейны относительно битов шифртекста. Аналогично для Б9 можно выбрать соотношения, линейные относительно битов открытого текста. Этот пример показывает, что использование соотношений вида (а, п(Р)). Ф (Ь, а(С))^ = 0 в составе систем уравнений с неизвестными битами (входными

или выходными) может приводить к более вероятным аппроксимациям неизвестных битов, не усложняя при этом решение системы (система по-прежнему может оставаться линейной относительно неизвестных битов).

Все подстановки Б1, ..., Б10 имеют параметр нелинейности Ж, равный 4, тогда как параметр неквадра-тичности N0 для каждой из них равен 2. В табл. 2 приведены количества наиболее вероятных (квадратичных) соотношений на Р и С для подстановок Б1, ., Б10 и Б11, ., Б18 (для них также Ж = 4, см. далее). Кроме того, в табл. 2 указано, сколько среди них соотношений, линейных по битам шифртекста и по битам открытого текста (очевидно, одновременной линейности быть не может, так как все соотношения квадратичные).

Таблица 2

Число квадратичных соотношений на входные и выходные биты подстановок 81,...,818, выполняющихся с вероятностью 7/8

II 4 Число квадр.соотн. Рг = 7/8 Линейных по битам С Линейных по битам Р

в1 4 2 2

в2 7 2 2

в3 4 2 2

в4 5 0 2

в5 2 1 1

в6 1 0 1

4 1 1

в8 4 1 1

в9 6 3 1

8Ю 6 2 2

в11 5 2 1

812 7 1 4

в13 2 0 0

§н 6 4 0

в15 7 1 4

§16 8 0 0

в17 7 2 4

§18 0 0 0

Пример 2. В книге Б. Шнайера [16] приведены восемь четырехразрядных подстановок, использовавшихся при шифровании методом ГОСТ в приложении для ЦБ РФ, а также в однонаправленной хэш-функции ГОСТ. Все они имеют параметр №, равный 2 (кроме подстановки Б11, для которой ЫЬ=4). Для каждой подстановки имеем N0 = 2, и в среднем добавляется 5 - 6 новых наиболее вероятных квадратичных соотношений специального вида на входные и выходные биты каждой подстановки. Данные о подстановке Б11, вызывающей особый интерес, приведены в табл. 2.

Пример 3. Для всех 32 подстановок на 16 элементах, используемых в Б-блоках алгоритма DEБ (см., например, [16]), параметры № и N0 совпадают и равны 2. Отметим, что для каждой подстановки добавляется от 0 до 11 (в среднем 4 - 5) новых, наиболее вероятных квадратичных соотношений специального вида на входные и выходные биты.

Пример 4. Рассмотрим 32 подстановки (см., например, [16]) в Б-блоках модифицированного алгоритма б^ЕБ [17], [18], которые считаются устойчивыми к методам дифференциального и линейного криптоанализа. Среди них только 7 подстановок (это подстановки Б12, ., Б18) обладают нелинейностью № = 4, для 25 остальных параметр

Б12 = (8,2,11,13,4,1,14,7,5,15,0,3,10,6,9,12) Б13 = (10,5,3,15,12,9,0,6,1,2,8,4,11,14,7,13) Б14 = (5,10,12,6,0,15,3,9,8,13,11,1,7,2,14,4) Б15 = (3,9,15,0,6,10,5,12,14,2,1,7,13,4,8,11) Б16 = (15,0,10,9,3,5,4,14,8,11,1,7,6,12,13,2) Б17 = (12,6,3,9,0,5,10,15,2,13,4,14,7,11,1,8) Б18 = (13,10,0,7,3,9,14,4,2,15,12,1,5,6,11,8)

|| Б11 = (4,10,9,2,13,8,0,14,6,11,1,12,7,15,5,3)11

NL равен 2. Для шести из семи подстановок с нелинейностью NL = 4 выполняется NQ = 2, и в среднем для каждой такой подстановки имеется около 6 квадратичных соотношений с вероятностью 7/8. И лишь для одной подстановки S18 квадратичный криптоанализ не дает новой информации: имеем NL = NQ = 4.

Заключение

Мы рассмотрели несколько примеров четырехразрядных подстановок с предельно высокой нелинейностью NL = 4. Среди 18-ти таких подстановок лишь для одной нельзя построить более вероятные (по сравнению с линейными) квадратичные соотношения специального вида на входные и выходные биты. Для 13-ти из 17-ти остальных подстановок такие соотношения не только существуют, но среди них есть соотношения линейные относительно битов шифртекста, что по существу может использоваться при решении систем линейных уравнений, возникающих при анализе шифров.

Интересным направлением для дальнейшего исследования (и приложения в криптоанализе) является развитие подхода по использованию аналогов линейных свойств у нелинейных операций (•, •}k. Поясним

сказанное. Если при фиксированном k всем функциям (и, v)k ® 8, где u е Z2Т, 8е Z2, сопоставить их векторы значений длины 2m, то получится двоичный код A с параметрами кода Адамара. На этом коде достаточно просто можно определить операцию «сложения» • векторов (отличную от ® и зависящую от k), относительно которой код образует абелеву группу, причем эта операция согласована с метрикой Хэмминга d(y): для любых x, у е A выполняется d(x, у) = d(x*y-1, 0), где у • у-1 = 0. Это обстоятельство и проявляет «линейные свойства» нелинейного скалярного произведения (•, •)k .

ЛИТЕРАТУРА

1. Matsui M. Linear cryptanalysis method for DES cipher // Advances in Cryptology - EUROCRYPT'93. Workshop on the theory and application of cryptographic techniques (Lofthus, Norway. May 23-27, 1993). Proc. Berlin: Springer, 1994. P. 386 - 397 (LNCS V. 765).

2. Biham E., Shamir A. Differential cryptanalysis of DES-like cryptosystems // J. Cryptology. 1991. V. 4. No. 1. P. 3 - 72.

3. Knudsen L.R., Robshaw M.J.B. Non-linear approximation in linear cryptanalysis // Advances in Cryptology -EUROCRYPT'96. Workshop on the theory and application of cryptographic techniques (Saragossa, Spain. May 12-16, 1996). Proc. Springer Verlag, 1996. P. 224 - 236 (LNCS V. 1070).

4. Shimoyama T., Kaneko T. Quadratic relation of S-box and its application to the linear attack of full round DES // Advances in Cryptology - CRYPTO'98, 18th Annual International Cryptology Conference. (Santa Barbara, California. USA. August 23 -27, 1998). Proc. Springer, 1998. P. 200 - 211 (LNCS V. 1462).

5. Nakahara J., Preneel B., Vandewalle J. Experimental Non-Linear Cryptanalysis // COSIC Internal Report. Katholieke Universiteit Leuven. 2003. 17 p.

6. Tapiador J. M. E., Clark J. A., Hernandez-Castro J. C. Non-linear Cryptanalysis Revisited: Heuristic Search for Approximations to S-Boxes // 11th IMA International Conference (Cirencester, UK. December 18 - 20, 2007). Springer, 2007. P. 99 - 117 (LNCS V. 4887).

7. Иванов А.В. Использование приведенного представления булевых функций при построении их нелинейных аппроксимаций // Вестник ТГУ. Приложение. 2007. № 23. С. 31 - 35.

8. Токарева Н.Н. О квадратичных аппроксимациях в блочных шифрах // Пробл. передачи информ. 2008. Т. 44. № 3. С. 105 - 127.

9. Токарева Н.Н. Бент-функции с более сильными свойствами нелинейности: k-бент-функции // Дискр. анализ и исслед. операций. 2007. Сер. 1. Т. 14. № 4. С. 76 - 102.

10. Tokareva N.N. On k-bent functions // Вестник ТГУ. Приложение. 2007. № 23. С. 74 - 76.

11. КротовД.С. Zii-линейные совершенные коды // Дискрет. анализ и исслед. операций. Сер. 1. 2000. Т. 7. № 4. С. 78-90.

12. Krotov D.S. Z4-linear Hadamard and extended perfect codes // Proc. of the Int. Workshop on Coding and Cryptography WCC 2001, Jan. 8 - 12, 2001. Paris, France, 2001. P. 329 - 334.

13. Токарева Н.Н. Описание k-бент-функций от четырех переменных // Дискр. анализ и исслед. операций. 2008. В печати.

14. Ростовцев А.Г., Маховенко Е.Б. Введение в теорию итерированных шифров. СПб.: НПО «Мир и Семья», 2003.

15. Heys H.M., Tavares S.E. Substitution-permutation networks resistant to differential and linear cryptanalysis // J. Cryptology. 1996. V. 9. No. 1. P. 1 - 19.

16. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: Триумф, 2002.

17. Kim K., Park S., Lee S. Reconstruction of s2DES S-Boxes and their Immunity to Differential Cryptanalysis // Korea - Japan Workshop on Information Security and Cryptography. (Seoul, Korea. October 24 - 26, 1993): Proc. P. 282 - 291.

18. Biham E., Biryukov A. How to strengthen DES using existing hardware // Advances in Cryptology - ASIACRYPT '94, 4th International Conference on the Theory and Applications of Cryptology. (Wollongong, Australia. November 28 - December 1, 1994): Proc. Springer, 1995. P. 398 - 412 (LNCS V. 917).