Научная статья на тему 'Линейный спектр квадратичных APN-функций'

Линейный спектр квадратичных APN-функций Текст научной статьи по специальности «Математика»

CC BY
248
28
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
APN-ФУНКЦИЯ / АССОЦИИРОВАННАЯ БУЛЕВА ФУНКЦИЯ / ЛИНЕЙНЫЙ СПЕКТР / ФУНКЦИЯ ГОЛДА / APN FUNCTION / ASSOCIATED BOOLEAN FUNCTION / LINEAR SPECTRUM / GOLD FUNCTION

Аннотация научной статьи по математике, автор научной работы — Городилова Анастасия Александровна

Работа посвящена изучению почти совершенно нелинейных (APN) функций. Введено понятие линейного спектра квадратичной APN-функции; доказана теорема о нулевых значениях линейного спектра при чётном числе переменных; приведены вычислительные данные при малых значениях переменных n = 3, 4, 5, 6. Для известного класса APN-функций Голда F(x) = x2 +1, где (k,n) = 1, доказана теорема о крайнем значении линейного спектра.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

The linear spectrum of quadratic APN functions

Almost perfect nonlinear (APN) functions are studied. We introduce the linear spectrum ЛЕ = (Af,..., Af-1) of a quadratic APN function F, where Af equals the number of linear functions L such that |{a e F^ \ {0} : Ba(F) = Ba(F + L)}| = k and Ba(F) = {F(x) + F(x + a) : x e F^}. We prove that Af = 0 for all even k < 2n-2 and for all k < (2n 1)/3, where F is a quadratic APN function in even number of variables n. Linear spectra for APN functions in small number of variables n = 3, 4, 5, 6 are computed and presented. We consider APN Gold functions F(x) = x2 +1 for (k,n) = 1 and prove that Afn-1 = 2n+n/2 if n = 4t for some t and k = n/2 ± 1, and Af-1 = 2n otherwise.

Текст научной работы на тему «Линейный спектр квадратичных APN-функций»

2016 Теоретические основы прикладной дискретной математики №4(34)

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ПРИКЛАДНОЙ ДИСКРЕТНОЙ МАТЕМАТИКИ

УДК 519.7

ЛИНЕЙНЫЙ СПЕКТР КВАДРАТИЧНЫХ APN-ФУНКЦИЙ1

А. А. Городилова

Институт математики им. С. Л. Соболева СО РАН, г. Новосибирск, Россия

Работа посвящена изучению почти совершенно нелинейных (APN) функций. Введено понятие линейного спектра квадратичной APN-функции; доказана теорема о нулевых значениях линейного спектра при чётном числе переменных; приведены вычислительные данные при малых значениях переменных n = 3, 4, 5, 6. Для известного класса APN-функций Голда F(ж) = ж2 +1, где (k,n) = 1, доказана теорема о крайнем значении линейного спектра.

Ключевые слова: APN-функция, ассоциированная булева функция, линейный спектр, функция Голда.

DOI 10.17223/20710410/34/1

THE LINEAR SPECTRUM OF QUADRATIC APN FUNCTIONS

A. A. Gorodilova Sobolev Institute of Mathematics, Novosibirsk, Russia E-mail: [email protected]

Almost perfect nonlinear (APN) functions are studied. We introduce the linear spectrum ЛЕ = (Af,..., A^i -1) of a quadratic APN function F, where Af equals the number of linear functions L such that |{a e F^ \ {0} : Ba(F) = Ba(F + L)}| = k and Ba(F) = {F(ж) + F(ж + a) : ж e F^}. We prove that Af = 0 for all even k < 2n-2 and for all k < (2n — 1)/3, where F is a quadratic APN function in even number of variables n. Linear spectra for APN functions in small number of variables n = 3, 4, 5,6 are computed and presented. We consider APN Gold functions F(ж) = ж2 +1 for (k,n) = 1 and prove that Afn-1 = 2n+n/2 if n = 4t for some t and k = n/2 ± 1, and Af -1 = 2n otherwise.

Keywords: APN function, associated Boolean function, linear spectrum, Gold function.

Введение

Отображение F : F^ ^ F^ называется почти совершенно нелинейной функцией (APN-функцией), если для любых векторов a,b e F^, a = 0, уравнение F(x)+F(x+a) = = b имеет не более двух решений. APN-функции ввели Л. Р. Кнудсен и К. Ньюберг

1 Работа поддержана грантом РФФИ №15-31-20635 и проектом РАН №0314-2015-0011.

в работе [1], однако известно [2], что первый пример таких функций был указан В. А. Башевым и исследован Б. А. Егоровым в 1968 г. АРК-функции интересны для использования в криптографических приложениях в силу их оптимальной стойкости к дифференциальному методу криптоанализа. Обзорам АРК-функций посвящены работы М. Э. Тужилина [3] и А. Потта [4]. Некоторые открытые вопросы в области АРК-функций представлены в работе К. Карле [5]. Например, открытому вопросу о существовании АРК-подстановок посвящены работы М. М. Глухова [6] и В.Н. Сачкова [7].

Введём понятие линейного спектра квадратичной АРК-функции. Линейным спектром квадратичной АРК-функции Г назовём вектор Лр = (Л^,... , Л|П-1), где Л[ — число линейных функций Ь, таких, что |{а € Щп \ {0} : Ва(Г) = Ва(Г + Ь)}| = к, где Ва(Г) = {Г(х) + Г(х + а) : х € К?}. Исследование линейного спектра представляется интересным в связи с подходом, описанным в [8], для поиска итеративной конструкции квадратичных АРК-функций. Кроме того, отдельным вопросом стоит определение крайнего значения Л|П_ 1 линейного спектра, что является подзадачей открытого вопроса, упомянутого в [5], о связи АРК-функций Г и О, для которых Ва(Г) = Ва(О) для всех а. Настоящая работа посвящена изучению некоторых значений линейного спектра квадратичных АРК-функций. Получены результаты о нулевых значениях линейного спектра, а также найдено крайнее значение линейного спектра для известного класса АРК-функций Голда.

Основные определения и обозначения приведены в п. 1, где, в частности, для векторной булевой функции Г определяется ассоциированная булева функция 7^. В п. 2 доказана теорема о виде функции 7^ квадратичных АРК-функций от чётного числа переменных. В п. 3 определено понятие линейного спектра Л^ = (Л^,..., Л^п_ 1) квадратичной АРК-функции Г. Доказано, что Л^ =0 для всех чётных 0 ^ к ^ 2п — 2 и для всех 0 ^ к < (2п — 1)/3 для любой квадратичной АРК-функции от чётного числа переменных. Получены значения линейных спектров квадратичных АРК-функций от малого числа переменных п = 3, 4, 5, 6. В п. 4 доказана теорема о крайнем значении линейного спектра Л^п_ 1 для известного класса АРК-функций Голда Г(х) = х2 +1, где (к,п) = 1, а именно: Л|П-1 = 2п+п/2, если п = 4Ь для некоторого Ь и к = п/2 ± 1, и Л|П_ 1 = 2п иначе. Вычислительно показано, что среди всех известных квадратичных АРК-функций вплоть до 8 переменных функции Г, для которых 1 > 2п, исключительны.

1. Определения

Пусть ¥п — множество всех двоичных векторов длины п, 0 — нулевой вектор, Щ2п — конечное поле порядка 2п. Через + будем обозначать как покоординатное сложение векторов из Кп по модулю 2, так и операцию сложения в поле Щ2п (из контекста будет видно, какая операция имеется в виду). Для х,у € Щп будем использовать обозначение (х,у) = х1у1 + ... + хпуп. Булева функция от п переменных — это произвольное отображение / : ^ Щ2. Вес wt(/) булевой функции / равен числу единиц в векторе её значений. Через / |м будем обозначать ограничение функции / на множество М С Векторной булевой функцией Г называется произвольное отображение Г : Щп ^ ЩТ". Векторную функцию можно рассматривать как набор из т координатных булевых функций от п переменных, т.е. Г = (/1,... ,/т). Для Г справедливо однозначное представление в виде алгебраической нормальной фор-

п

мы (АНФ): Г (хь ... ,хп) = ^ ^ аги...,гк хг1 ... хгк + ао, где {¿1,... , 1к} С {1,... , п} и

к=1 гх ,...,%к

аг1,..,гк, а0 € ЩТ". Степенью функции Г (обозначается deg(F)) называется количество

переменных в самом длинном слагаемом её АНФ, при котором стоит ненулевой коэффициент. Функции степени не выше 1 называются аффинными (в случае ao = 0 — линейными), степени 2 — квадратичными.

Спектр Уолша — Адамара булевой функции f от n переменных состоит из коэффициентов Wf (u) = Е (—1)f(x)+<u'x), где u e Fn

^eF"

Говорят, что две векторные функции F, G : F^ ^ F^ EA-эквивалентны, если существуют аффинные взаимно однозначные функции A', A" : Fn ^ Fn и аффинная функция A : ^ F^, такие, что G = A' о F о A'' + A.

Векторную булеву функцию F : F^ ^ F^ можно рассматривать как функцию над конечным полем F2n и однозначно представлять в виде полинома степе-

2n-1

ни не выше 2n—1: F(x) = Е ^xj, где ^ e F2n. При этом степень функции равна

i=0

max{wt(i) : ij = 0}, где wt(i) —двоичный вес числа.

Циклотомическим классом числа t по модулю 2n — 1 называется множество C(t) = = {2jt mod (2n — 1) : 0 ^ j < n}. Функция след, действующая из F2n в F2, определяется следующим образом: tr(x) = х + х2 + х22 + ... + х2" 1.

Определение 1 [1]. Отображение F : F^ ^ F^ называется почти совершенно нелинейной функцией (APN-функцией), если для любых векторов a, b e Fn, a = 0, уравнение F(х) + F(х + a) = b имеет не более двух решений.

Определение 2 [9]. Для векторной функции F : Fn ^ Fn ассоциированной булевой функцией Yf от 2n переменных называется функция, определённая по правилу: Yf (a, b) = 1, a,b e Fn, если a = 0 и уравнение F(x) + F(x + a) = b имеет решение, и YF (a, b) = 0 иначе.

Легко видеть, что F — APN-функция от n переменных тогда и только тогда, когда wt(YF) = 22n-1 — 2n-1.

2. Свойства ассоциированной булевой функции

Пусть F — квадратичная APN-функция от n переменных. Тогда множество B0(F) = {F(х) + F(х + a) : х e Fn} — аффинное подпространство размерности n — 1 для любого a = 0. Следовательно, B0(F) = L0(F) + y0(F), где L0(F) —линейное подпространство; y0(F) —вектор (определяется не однозначно). Множества B0(F) можно представить с помощью функций Ф^ : Fn ^ Fn, : Fn ^ F2 в виде

Ba(F) = {y e Fn : (Ф^(a), y) = ^(a)},

где Ф^(0) = 0, (0) = 1. Отметим, что (a) = 0 тогда и только тогда, когда B0(F) = = L0(F) —линейное (эквивалентно, когда y0(F) e L0(F)).

В обозначениях выше функция yf имеет вид yf(a, b) = (Ф^(a), b) + ^f(a) + 1. Утверждение 1. Пусть F — квадратичная APN-функция от n переменных и Ф,р(a) = Ф,р(b) для некоторых векторов a,b e Fn. Тогда ФF(a) = ФF(a + b).

Доказательство. Поскольку Ф,р(a) = Ф,р(b), то L0(F) = Lb(F), где L0(F) — линейная часть B0(F): L0(F) = B0(F) + F(0) + F(a). Рассмотрим L0+b(F):

WF) = {F(x + a) + F(x + b) + F(a) + F(b) : x e Fn} = = {F(x) + F(x + a) + F(0) + F(a) + F(x) + F(x + b) + F(0) + F(b) : x e Fn}.

Обозначим co(x) = F(x) + F(x + a) + F(0) + F(a) и cb(x) = F(x) + F(x + b) + F(0) + F(b). Тогда c0(x) e L0(F) и cb(x) e Lb(F) для любого x e Fn и L0+b(F) = {c0(x) + cb(x) : x e Fn} = L0(F), поскольку L0(F) = Lb(F) и |La+b(F)| = 2n-1. ■

Введём следующее обозначение: А^ = {а € Щп : Ф^ (а) = V}, V € Щп. Утверждение 2. Пусть Г — квадратичная АРК-функция от п переменных. Тогда А^ и {0} — линейное подпространство для любого V € Щп, V = 0, и А^ = {0}. Доказательство. Прямое следствие утверждения 1 и того, что Ф^(0) = 0. ■

Утверждение 3. Пусть Г — квадратичная АРК-функция от п переменных. Тогда для любого V € Щп верно: ^ (х)Ц^ = , х)Ц^ для некоторого вектора Оц € Щп.

Доказательство. Пусть А^ непусто. По определению Ф^(а) = V для любого а € А^. Следовательно, Ьа(Г) = Ь для всех а € А^, где Ь = {х € Щп : (х, V) = 0}. Тогда Ва(Г) = Ь + уа(Г) для всех а € А^. Пусть а,Ь € А^, тогда по утверждению 1 а + Ь € А^. Покажем, что ^(а + Ь) = ^(а) + ^(Ь). Действительно, ^(а + Ь) = 0 тогда и только тогда, когда уа+ь(Г) € Ь, что, в свою очередь, эквивалентно тому, что уа(Г)+ уь(Г) € Ь.■

Известно [9], что при нечётном числе переменных Ф^ — взаимно однозначная функция, поэтому все А^, V € Щп,—различные одноэлементные множества. Для чётного числа переменных получена следующая теорема.

Теорема 1. Пусть Г — квадратичная АРК-функция от п переменных, п чётно. Тогда для любого V € Щп размерность А^ и {0} чётна. Доказательство.

Шаг 1. Известно [9], что коэффициенты Уолша — Адамара функций Г и 7^ связаны соотношением (здесь Г = (и,Г) —компонентная функция функции Г)

Ж^ (и^) = 22п£(и,V) — (Ж*, (и))2 + 2п, (1)

где ^(и^) = 1 при (и^) = (0, 0) и ^(и^) = 0 иначе.

Поскольку нетрудно убедиться, что у АРК-функций не может быть аффинных компонентных функций, то у квадратичной АРК-функции Г все компонентные функции квадратичны. Тогда [10] Ж^ € {0, ±2кг)} для любого V = 0 , где к^ — целое число, п/2 ^ к^ ^ п — 1. Рассмотрим, какие значения принимает Ж7^ (и, V), используя равенство (1).

Если V = 0:

— при и = 0 выполнено Ж7^ (и, V) = 22п — 22п + 2п = 2п;

— при и = 0 выполнено Ж7^ (и, V) = 0 — 0 + 2п = 2п. Если V = 0:

— при Ж^, (и) = 0 выполнено Ж^ (и, V) = 0 — 0 + 2п = 2п;

— при Ж^ (и) = ±2кщ выполнено Ж^ (и^) = 0 — 22к^ + 2п = 2п — 22к^.

Шаг 2. С другой стороны, Ж7^(и^) = —2п ЕаеА^(—1)^(а)+<и,а>. Действительно, распишем Ж7^, используя 7^(а, Ь) = (Ь, Ф^(а)) + ^(а) + 1:

Ж (и,1»)= Е (—1)<Ь,Ф^(а)>+^^(а)+1+(«,а>+(^,6> = — ^ (—1)^(а)+(«,а> ^ (—1)<ь,ф^(а)>+(^,6> а^еш^ аеЩ? ьеш™

= ^ (— 1)<^Ь) — ^ (—1)^(а)+(«,а> ^ (— 1)(Ь,Ф^(а)>+(^,6>. ьеш^ аеЩ? ,а=о ьеш^

Если V = 0, то Ж^(и, V) = 2п — 0 = 2п, так как Ф^(а) = 0 при а = 0. Если V = 0, то Ж^(и, V) = 0 — 2п ¿) (—1)^(аЖ«,а>.

абШ^Ф^ (а)=и

Шаг 3. Далее рассмотрим (и, V) = — 2п Е (—1)№(а)+<м>а>. По утверждению 3

^линейна. Следовательно, существует и', такой, что (а)|^ = (м',а)|А^. Тогда (и', V) = — 2га|Л^|. По шагу 1 получаем единственно возможный случай: — 2п|Л^| = = 2п — 22^, что влечёт А| + 1 = 22^-п, или и {0}) = 2^ — п. Так как п по

условию чётно, получаем требуемое. ■

Таким образом, согласно теореме 1, при чётном числе переменных прообраз Ф-1^) каждого ненулевого элемента V Е Fn либо пустое множество, либо образует линейное подпространство чётной размерности без нулевого вектора.

3. Линейный спектр

Пусть ^ — квадратичная АРК-функция от п переменных и Ь : Fn ^ Fn — линейная функция. Тогда + Ь) = ) или + Ь) = Fn \ ) для любого а е Fn.

Обозначим = |{а е Fn \ {0} : В= + Ь)}|. Если представить 7^

как (а,Ь) = (Ф^(а),Ь) + ^(а) + 1, то 7^+ь(а,Ь) = 7^(а,Ь + Ь(а)) = (Ф^(а),Ь) + + (Ф^(а), Ь(а)) + ^(а) + 1. Тогда

= 1{а е Fn \{0} : (Ф^(а), Ь(а)) = 0}|. (2)

Определение 3. Линейным спектром квадратичной АРК-функции ^ назовём вектор Л^ = (А^,... , А|П-1), где Л^ — число линейных функций Ь, таких, что к^ = к.

2П —1

Легко видеть, что из определения Е А^ = 2п .

к=0

Понятие линейного спектра естественно возникает при изучении квадратичных АРК-функций ^, их конструкций и соответствующих им ассоциированных функций 7^. Отметим два конкретных направления исследований АРК-функций, для которых представляет интерес линейный спектр. В [8] описан подход для поиска итеративной конструкции АРК-функций. В частности, для построения квадратичной АРК-функции Б от п + 1 переменных с помощью данного метода в качестве двух исходных допустимых [8, определение 4] векторных АРК-функций ^ и О от п переменных необходимо брать квадратичные функции, которые в сумме дают аффинную функцию, а именно: Б(х,Жп+1) = ((жп+1 + 1)^(ж) + Хп+1О(ж), (жп+1 + 1)/(ж) + ж„+1д(ж)), где /, д — некоторые булевы функции от п переменных. Тогда по построению первые п координатных функций жп+1(^(ж) + О(ж)) + ^(ж) определяют квадратичную функцию тогда и только тогда, когда ^ — квадратичная и ^ + О — аффинная, следовательно, О также является квадратичной функцией. Там же доказано утверждение [8, утверждение 7], которое в терминах данной работы формулируется так: пара функций ^ и ^ + Ь не допустима, где ^ — квадратичная АРК-функция и Ь — линейная функция, если > 2п-1. Следовательно, перед тем как проверять условия допустимости, возникает вопрос, а какие значения могут принимать ?

Другое направление связано с понятием дифференциально эквивалентных АРК-функций. Функции ^ и О называются дифференциально эквивалентными [11], если

= 7с. Описание классов дифференциальной эквивалентности является актуальной открытой задачей, которая возникает у многих специалистов [5], поскольку её решение может потенциально привести к новым конструкциям АРК-функций. Тогда крайнее значение линейного спектра А|П_ 1 квадратичной АРК-функции ^ отвечает за то, сколько существует дифференциально эквивалентных ^ функций, отличающихся от ^ на линейную функцию.

Кроме того, по следующему утверждению 4 линейный спектр является ЕА-инва-риантом, следовательно, может быть использован для проверки неэквивалентности относительно ЕА-преобразования.

Утверждение 4. Линейный спектр квадратичной АРК-функции инвариантен относительно ЕА-преобразования.

Доказательство. Пусть С = А' о Г о А"+А, где Г, С — квадратичные АРК-функ-ции от п переменных, А', А'' — взаимно однозначные аффинные функции, А — аффинная функция. Тогда Ва(С) = А'(ВА//(а)+А//(0)(Г)) + А'(0) + А(а) + А(0). Следовательно, для любой линейной функции Ь верно, что к^ = к^/, поскольку Ва(Г) = Ва(Г + Ь) тогда и только тогда, когда Ва(С) = Ва(С + Ь'), где Ь'(х) = А'(Ь(х)) + А'(0). Так как А' — взаимно однозначная функция, Ь' пробегает все возможные линейные функции при переборе всех возможных линейных функций Ь. Таким образом, по определению линейного спектра

Справедливо следующее утверждение о крайнем значении линейного спектра.

Утверждение 5. Пусть Г — квадратичная АРК-функция от п переменных, п > 1. Тогда Л^ ^ 2п.

Доказательство. Рассмотрим Ьс(х) = Г (х) + Г (х + с) + Г (0) + Г (с) для произвольного с € Щп. Функции Ьс линейны в силу квадратичности Г и при этом 7^ = 7^+ьс для любого с € Щп. Кроме того, так как Г — АРК-функция и п > 1, то все 2п функций Ьс, с € Щп, попарно различны. Следовательно, Л|П_ 1 ^ 2п. ■

Получена следующая теорема о нулевых значениях линейного спектра.

Теорема 2. Пусть Г — квадратичная АРК-функция от п переменных, п чётно, п > 1 . Тогда выполнены следующие утверждения:

1) Л£ = 0 для всех чётных к, 0 ^ к ^ 2п — 2;

2) Л£ = 0 для всех к, 0 ^ к < (2п — 1)/3.

Доказательство. Пусть 7^(а, Ь) = (Ф^(а),Ь) + ^(а) + 1. Напомним, что А^ = = {а € Щп : Ф^(а) = V} для любого V € Щ^. По теореме 1 для любого V € Щп размерность А^и{0}) чётна. Следовательно, минимально возможная ненулевая |А^| равна 3. Кроме того, если |А^| > 3, то А^ можно представить как объединение |А^|/3 линейных подпространств А^, размерности 2 без нулевого вектора, г = 1,..., |А^ |/3.

Пусть М и {0} —линейное подпространство размерности 2, совпадающее либо с некоторым А^, либо с А^ , при |А^ | > 3. Заметим, что таких подпространств М в точности (2п — 1)/3. Тогда (Ф^(а), Ь(а))|м = (с, Ь(а))|м — линейная функция, где с — некоторый вектор. Следовательно, (Ф^(а),Ь(а))|м = 0 либо для всех трёх векторов а € М, либо только для одного. Так как число (2п — 1)/3 нечётно, то, согласно (2), с учётом рассуждений выше получаем, что нечётно. Кроме того, поскольку для каждого М хотя бы для одного а € М выполнено (Ф^(а),Ь(а))|м = 0, то Л^ =0 для всех 0 ^ к < (2п — 1)/3. ■

Замечание 1. Строго говоря, оценку п. 2 теоремы 2 можно улучшить. Но для этого необходимо знать, каковы мощности А^ для квадратичной функции Г. Пусть сначала d = (2п — 1)/3, тогда по п. 2 теоремы 2 Л^ =0 для всех 0 ^ к < Просматривая V € Щп, заменяем текущее число d на

1 , как только

|А^ | > 3 для некоторого V € Щ^, поскольку в доказательстве теоремы вместо подпространств А^,, г = 1,..., | А^ | /3, можно по аналогии рассмотреть всё множество А^. Рассмотрев все возможные V, получим итоговую оценку: Л^ =0 для всех 0 ^ к < d.

Замечание 2. Вычислительно найдены линейные спектры всех представителей классов ЕА-эквивалентности квадратичных АРК-функций от п переменных для п = 3, 4, 5, 6 (табл. 1-4). Для этих размерностей классификация всех квадратичных АРК-функций известна полностью [12-14]. Представителей классов ЕА-эквивалентности можно найти в работе [12] (функция №13 в [12, табл.5] не является квадратичной). Вычисления для п = 6 проводились на кластере НКС-30Т ССКЦ СО РАН. Отметим, что для п = 5 спектры различных представителей попарно различны, а при п = 6 существует два класса (№3 и 10), спектры которых совпадают. Кроме того, оценка из п. 2 теоремы 2 с учётом замечания 1 является точной для рассмотренных п. Замечание 1 реализуется лишь для одного класса при п = 6: для функции №11 существует одно множество мощности 15.

Таблица 1 Линейный спектр квадратичных APN-функций от 3 переменных

№ Л*

1 0 56 0 280 0 168 0 8

Таблица 2

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Линейный спектр квадратичных APN-функций от 4 переменных

№ Л*

1 0 0 0 0 0 15552 0 25920 0 17280 0 5760 0 960 0 64

Таблица 3

Линейные спектры квадратичных APN-функций от 5 переменных

№ № [12] Л*

1 1 0 0 0 0 0 5952 0 84320 0 605120 0 2737920 0 6249600 0 9663072 0 8035200 0 4563200 0 1331264 0 252960 0 25792 0 0 0 0 0 32

2 2 0 0 0 0 0 6944 0 74400 0 649760 0 2618880 0 6457920 0 9413088 0 8243520 0 4444160 0 1375904 0 243040 0 26784 0 0 0 0 0 32

4. Крайнее значение линейного спектра АР^функций Голда

Функцией Голда Р : ^ F2n называется мономиальная функция Р(ж) = ж2к+1. Легко видеть, что функции Голда квадратичные. Известно [15], что при (к,п) = 1 функция Голда является АРК-функцией. Получим значение 1 для произвольной АРК-функции Голда. Приведём две вспомогательные леммы.

Лемма 1. Пусть п — натуральное число и Р^ = 2г — 2 к — 1, где г = 0,..., п — 1 и к = 1,... , п — 1, за исключением к = п/2 при чётном п. Тогда выполнены следующие утверждения:

1) Р0 и Р^ принадлежат одному циклотомическому классу по модулю 2П — 1 (скажем, С) при всех к;

2) Р£ и р£ принадлежат различным циклотомическим классам по модулю 2П — 1, отличным от С, при всех г = ] и г, ] = 0, к;

3) если п нечётно, то |С(Р^)| = п для всех г и к;

4) если п чётно, то |С(Р^)| = п для всех г и к, кроме |С(РП/2-^1 = |С(РП/2+1)1 = = п/2.

Таблица 4

Линейные спектры квадратичных APN-функций от 6 переменных

№ № [12] Л*

1 1 00 00 00 00 00 00 00 00 0 0 0 0 0 2565573 0 17869363 0 59537331 0 125825973 0 188763661 0 213866654 0 190026141 0 135740661 0 79238211 0 38171835 0 15254095 0 5076811 0 1405263 0 325493 0 62735 0 10311 0 1500 0 190 0 18 0 4 0 0 0 1

2 2 00 00 00 00 00 00 00 00 0 0 0 0 0 2553543 0 17877699 0 59589621 0 125781705 0 188741889 0 213800958 0 190121337 0 135798669 0 79173675 0 38162187 0 15236991 0 5094747 0 1409499 0 327285 0 59859 0 11151 0 882 0 126 0 0 0 0 0 0 0 1

3 3 00 00 00 00 00 00 00 00 0 0 0 0 0 2542806 0 17905671 0 59586660 0 125776980 0 188633340 0 213945417 0 190123668 0 135775332 0 79089192 0 38209626 0 15282540 0 5048316 0 1425060 0 329238 0 54684 0 11340 0 1890 0 63 00 00 00 01

4 4 00 00 00 00 00 00 00 00 0 0 0 0 0 2554340 0 17874904 0 59587206 0 125810414 0 188677693 0 213867958 0 190098845 0 135772125 0 79211561 0 38138853 0 15249741 0 5086925 0 1411959 0 326341 0 62023 0 9639 0 1151 0 135 0 9 0 1 0 0 0 1

5 5 00 00 00 00 00 00 00 00 0 0 0 0 0 2557241 0 17872451 0 59577007 0 125814360 0 188696571 0 213867180 0 190078715 0 135775295 0 79212625 0 38139345 0 15258109 0 5082923 0 1411065 0 325759 0 61833 0 9853 0 1346 0 128 0 16 0 1 0 0 0 1

6 6 00 00 00 00 00 00 00 00 0 0 0 0 0 2560448 0 17872948 0 59553053 0 125832589 0 188720207 0 213854452 0 190068147 0 135758015 0 79225563 0 38153459 0 15254401 0 5079821 0 1408589 0 325919 0 62817 0 9957 0 1289 0 133 0 14 0 2 0 0 0 1

7 7 00 00 00 00 00 00 00 00 0 0 0 0 0 2554224 0 17872307 0 59600606 0 125785578 0 188702449 0 213850382 0 190100817 0 135791481 0 79195077 0 38133595 0 15258913 0 5085601 0 1412147 0 325797 0 61795 0 9659 0 1255 0 126 0 13 0 1 0 0 0 1

8 8 00 00 00 00 00 00 00 00 0 0 0 0 0 2567716 0 17858235 0 59557665 0 125814883 0 188753869 0 213881510 0 190016913 0 135750653 0 79230265 0 38172707 0 15255327 0 5075247 0 1408231 0 323437 0 63067 0 10415 0 1455 0 206 0 20 0 2 0 0 0 1

9 9 00 00 00 00 00 00 00 00 0 0 0 0 0 2555995 0 17877082 0 59574886 0 125801851 0 188718247 0 213851252 0 190094459 0 135757863 0 79214449 0 38150271 0 15253395 0 5080817 0 1412525 0 325359 0 62017 0 9901 0 1312 0 131 0 11 0 0 0 0 0 1

10 10 00 00 00 00 00 00 00 00 0 0 0 0 0 2542806 0 17905671 0 59586660 0 125776980 0 188633340 0 213945417 0 190123668 0 135775332 0 79089192 0 38209626 0 15282540 0 5048316 0 1425060 0 329238 0 54684 0 11340 0 1890 0 63 00 00 00 01

11 11 00 00 00 00 00 00 00 00 0 0 0 0 0 0 0 10089045 0 53809170 0 134516080 0 209269815 0 227340608 0 184963439 0 119789795 0 66717075 0 34914745 0 17946799 0 8758623 0 3769445 0 1351275 0 395005 0 92041 0 16273 0 2310 0 275 0 5 0 0 0 1

12 12 00 00 00 00 00 00 00 00 0 0 0 0 0 2579442 0 17845114 0 59521616 0 125838552 0 188808200 0 213899042 0 189939792 0 135702744 0 79305436 0 38173660 0 15256304 0 5072200 0 1396584 0 327292 0 62320 0 12040 0 1218 0 266 00 00 00 02

13 14 00 00 00 00 00 00 00 00 0 0 0 0 0 2554106 0 17873083 0 59600915 0 125783545 0 188687890 0 213892662 0 190078149 0 135762125 0 79218325 0 38152995 0 15239255 0 5085771 0 1413065 0 327485 0 61575 0 9519 0 1237 0 110 0 10 0 0 0 1 0 1

Примечание. Все значения в таблице необходимо домножить на 64.

Доказательство.

1) Всюду далее под Р£ будем подразумевать представителя смежного класса числа по модулю 2П — 1, принадлежащего интервалу от 0 до 2П — 2. По определению двоичные веса чисел Р0 = —2/ и Р^ = —1 равны п — 1. Легко видеть, что все целые числа от 0 до 2П — 2 двоичного веса п — 1 принадлежат одному циклотомическому классу по модулю 2П — 1 (скажем, С) мощности п.

2) Рассмотрим все числа и их двоичные представления (табл. 5). Числа Р^, ... , Р^-1 имеют двоичные веса п — к,... , п — 2 соответственно. Следовательно, они принадлежат попарно различным циклотомическим классам по модулю 2П — 1, отличным от С. Аналогично, числа ... , Р/П-1 принадлежат попарно различным циклотомическим классам по модулю 2П — 1, отличным от С, так как их двоичные веса пробегают значения от к до п — 2 соответственно.

Таблица 5

Двоичные представления чисел Р1

г Р * Рк = 2* — 2к — 1 шоё (2 п _ 1) = (Ьп-1, ..,ь к, . ..,Ьо) € ^п wt(pk)

0 1 1 .. 1 1 0 1 1 ... 1 1 1 1 1 п — 1

1 1 1 . . 1 1 1 0 0 . . . 0 0 0 0 0 п — к

2 1 1 . . 1 1 1 0 0 . . . 0 0 0 1 0 п — к + 1

3 1 1 . . 1 1 1 0 0 . . . 0 0 1 1 0 п — к + 2

к — 1 1 1 . . 1 1 1 0 1 . . . 1 1 1 1 0 п — 2

к 1 1 . . 1 1 1 1 1 . . . 1 1 1 1 0 п — 1

к + 1 0 0 . . 0 0 0 1 1 . . . 1 1 1 1 1 к

к + 2 0 0 . . 0 1 0 1 1 . . . 1 1 1 1 1 к + 1

п — 1 0 1 . . 1 1 0 1 1 ... 1 1 1 1 1 п — 2

Векторы двоичного представления чисел содержат по две группы подряд идущих единиц длин п — к и г — 1 при г = 1,... к — 1 и длин к и г —к — 1 при г = к+1,... , п— 1. Необходимым условием принадлежности двух таких чисел одному циклотомическому классу является равенство длин групп подряд идущих единиц. Следовательно, любые два числа в каждой из рассмотренных выше групп (Р^,... , Р^-1 и Р^+1,... , Р/П-1) принадлежат различным циклотомическим классам. Действительно, п — к = к по условию леммы и п — к = г — к — 1 для всех г = к + 1 , . . . , п — 1 .

3,4) Согласно рассуждениям выше о двоичных представлениях чисел Р^, единственный возможный случай, когда |С(Р£)| = п, следующий: если длины групп подряд идущих единиц обе равны п/2 — 1. Если п нечётно, то этот случай реализоваться не может. Если п чётно, возможны следующие случаи: г = п — 1 при к = п/2 — 1 и г = к — 1 при к = п/2 + 1. В обоих случаях Р^ = 2п/2Р^ по модулю 2П — 1, что завершает доказательство. ■

Лемма 2. Пусть £ — целое число, £ > 1. Если £ чётно, то (2£,£ ± 1) = 1; если £ нечётно, то (2£, £ ± 1) = 2.

Доказательство. Пусть (2£, £ ± 1) = Тогда 2£ = и £ ± 1 = у^, где (ж, у) = 1. Выражая £ из второго равенства и подставляя его в первое, получаем 2 = (^ж ± 2у)^. Следовательно, единственно возможные случаи следующие: d =1 или d = 2. Тогда если £ чётное, то £ ± 1 нечётное и d =1; иначе d = 2. ■

Следующая теорема содержит основной результат о АРМ-функциях Голда.

Теорема 3. Пусть F : F2n ^ F2n — APN-функция Голда F(x) = x2'+1, где (k,n) = 1. Тогда выполнены следующие утверждения:

1) А|П-1 = 2n+n/2, если n = 4t для некоторого t и k = n/2 ± 1;

2) Afn-1 = 2n иначе.

Доказательство. Известно [9], что для APN-функции Голда F = x2'+1 функция yf имеет следующий вид: yf(a, b) = tr ((a2 +1 )-1^ +tr(1) + 1 при a = 0 и yf(0, b) = 0 для всех b E F2n. Следовательно, Ф^(a) = (a2'+1 )-1.

Тогда для того, чтобы определить число AFn_ 1, необходимо найти число N линейных функций L, таких, что kF = 2n — 1, или, согласно (2), таких, что

tr ((a2k+1 )-1L(a)) =0 (3)

для всех a E F2n.

n— 1

Пусть L(x) = E ^x2 —линейная функция, где ^ E F2n, i = 0,... ,n — 1. Тогда,

¿=0

подставляя выражение для L в (3), получаем цепочку равенств, выполненных для всех a E F2n:

, /n 1-i \ n—1 .

tr ((a +1)—1L(a)) = tr I E ^(a2'+1) —1 = E tr(ita2i—2k—1) = 0.

\i=0 J ¿=0

Последнее равенство представляет собой полиномиальное уравнение от переменной a степени не выше 2n — 1, которое имеет 2n решений. Следовательно, коэффициенты при всех мономах равны 0. Определим вид коэффициентов при каждом из мономов xd, d = 0,..., 2n — 1. Для этого рассмотрим циклотомические классы всех экспонент P^ = = 2г — 2fc — 1, i = 0,..., n — 1, для данного k. По лемме 1 (свойства 1, 2) существуют только две экспоненты р0 и P^, принадлежащие одному циклотомическому классу по модулю 2n — 1. Следовательно, и ^ связаны соотношением = (^)2 при всех n, так как р0 = 2fcP^ (mod (2n — 1)). Далее рассмотрим несколько случаев.

Случай 1. Если n нечётно, то по лемме 1 (свойства 2 и 3) получаем ^ = 0 при i = = 0, k. Таким образом, N = 2n, поскольку может быть произвольным элементом F2n. Пусть n чётно, n = 2t. Рассмотрим два случая в зависимости от чётности t. Случай 2. Если t нечётно, то (n,n/2 ± 1) = 2 по лемме 2. Следовательно, случай k = n/2 ± 1 не рассматривается по условию теоремы. Тогда ^ = 0 при i = 0, k по лемме 1 (свойство 4). Аналогично случаю 1, N = 2n.

Случай 3. Если t чётно, то по лемме 2 (n, n/2 ± 1) = 1 и

— если k = n/2± 1, то по лемме 1 (свойство 4) имеем ^ = 0 при i = 0, k. Тогда N = 2n;

— если k = n/2 + 1, то по лемме 1 (свойство 4) имеем ^ = 0 при i = 0,k — 1,k и

—1 = (ifc —1)2"/2. Так как число элементов x E F2n, удовлетворяющих уравнению x = x2" 2, равно 2n/2, получаем N = 2n+n/2;

— если k = n/2 — 1, то по лемме 1 (свойство4) имеем ^ = 0 при i = 0,k,n — 1 и $n— 1 = ($n—1)2"/2. Аналогично подслучаю выше, N = 2n+n/2.

Теорема доказана. ■

Замечание 3. Согласно теореме 3, в классе APN-функций Голда существуют функции, для которых AFn_ 1 > 2n. Проведённые вычислительные эксперименты (табл. 6) показывают, что среди всех известных квадратичных APN-функций вплоть до 8 переменных [12-14, 16] такие функции исключительны. Ими являются:

n = 4: APN-функция Голда x3;

n = 6: APN-функция u7x3 + x5 + u3x9 + u4x10 + x17 + u6x18; n = 8: APN-функция Голда x9.

Таблица 6

Крайнее значение i линейного спектра квадратичных APN-функций

n Кол-во EA-классов Значение

2 1 22

3 1 23

4 1 26

5 2 Для обоих классов: 25

6 13 Для одного класса: 27; для остальных 12 классов: 26

7 ^ 487 Для всех известных 487 классов: 27

8 ^ 8179 Для одного класса из известных 8179: 212 Для остальных 8178 классов: 28

ЛИТЕРАТУРА

1. Nyberg K. and Knudsen L. R. Provable security against differential cryptanalysis // CRYPTO'92. LNCS. 1993. V. 740. P. 566-574.

2. Глухов М. М. О совершенно и почти совершенно нелинейных функциях // Математические вопросы криптографии. 2016. (в печати)

3. Тужилин М. Э. Почти совершенные нелинейные функции // Прикладная дискретная математика. 2009. №3. С. 14-20.

4. Pott A. Almost perfect and planar functions // Des. Codes Cryptogr. 2016. V. 78. P. 141-195.

5. Carlet C. Open questions on nonlinearity and on APN functions // LNCS. 2015. V. 9061. P. 83-107.

6. Глухов М. М. О матрицах переходов разностей при использовании некоторых модулярных групп // Математические вопросы криптографии. 2013. Т. 4. №4. С. 27-47.

7. Сачков В. Н. Комбинаторные свойства дифференциально 2-равномерных подстановок // Математические вопросы криптографии. 2015. Т. 6. №1. С. 159-179.

8. Городилова А. А. Характеризация почти совершенно нелинейных функций через подфункции // Дискретная математика. 2015. Т. 27. Вып.3. C.3-16.

9. Carlet C., Charpin P., and Zinoviev V. Codes, bent functions and permutations suitable for DES-like cryptosystems // Des. Codes Cryptogr. 1998. V. 15. P. 125-156.

10. Carlet C. and Prouff E. On plateaued functions and their constructions // LNCS. 2003. V. 2887. P. 54-73.

11. Городилова А. А. О дифференциальной эквивалентности квадратичных APN-функ-ций // Прикладная дискретная математика. Приложение. 2016. №9. C. 21-24.

12. Brinkman M. and Leander G. On the classification of APN functions up to dimension five // Des. Codes Cryptogr. 2008. V. 49. Iss. 1. P. 273-288.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

13. Browning K. A., Dillon J. F., Kibler R. E., and McQuistan M. T. APN polynomials and related codes //J. Combinatorics, Information and System Science. 2009. V. 34. No. 1-4. P. 135-159.

14. Edel Y. Quadratic APN functions as subspaces of alternating bilinear forms // Contact Forum Coding Theory and Cryptography III. Belgium, 2009. P. 11-24.

15. Nyberg K. Differentially uniform mappings for cryptography // Eurocrypt'93. LNCS. 1994. V. 765. P. 55-64.

16

Ä. Ä. ropoflMAOBa

16. Yu Y., Wang M., and Li Y. A Matrix Approach for Constructing Quadratic APN Functions. Cryptology ePrint Archive, Report 2013/007. 2013.

REFERENCES

1. Nyberg K. and KnudsenL.R. Provable security against differential cryptanalysis. CRYPTO'92, LNCS, 1993, vol. 740, pp. 566-574.

2. Glukhov M. M. O sovershenno i pochti sovershenno nelineynykh funktsiyakh [About perfectly and almost perfectly non-linear functions]. Matematicheskie Voprosy Kriptografii, 2016. (to be published) (in Russian)

3. Tuzhilin M. E. Pochti sovershennye nelineynye funktsii [APN-functions]. Prikladnaya Diskretnaya Matematika, 2009, no. 3, pp. 14-20. (in Russian)

4. Pott A. Almost perfect and planar functions. Des. Codes Cryptogr., 2016, vol. 78, pp. 141-195.

5. Carlet C. Open questions on nonlinearity and on APN functions. LNCS, 2015, vol.9061, pp. 83-107.

6. Glukhov M. M. O matritsakh perekhodov raznostey pri ispol'zovanii nekotorykh modulyarnykh grupp [On the matrices of transitions of differences for some modular groups]. Mat. Vopr. Kriptogr., 2013, vol.4, iss.4, pp.27-47. (in Russian)

7. Sachkov V. N. Kombinatornye svoystva differentsial'no 2-ravnomernykh podstanovok [Combinatorial properties of differentially 2-uniform substitutions]. Mat. Vopr. Kriptogr., 2015, vol.6, iss. 1, pp. 159-179. (in Russian)

8. Gorodilova A. A. Kharakterizatsiya pochti sovershenno nelineynykh funktsiy cherez podfunktsii [Characteristics of almost perfectly non-linear functions by subfunctions]. Diskr. Mat., 2015, vol.27, no. 3, pp.3-16. (in Russian)

9. Carlet C., Charpin P., and Zinoviev V. Codes, bent functions and permutations suitable for DES-like cryptosystems. Des. Codes Cryptogr., 1998, vol. 15, pp. 125-156.

10. Carlet C., ProuffE. On plateaued functions and their constructions. LNCS, 2003, vol.2887, pp. 54-73.

11. Gorodilova A. A. O differentsial'noy ekvivalentnosti kvadratichnykh APN-funktsiy [On differential equivalence of quadratic APN functions]. Prikladnaya Diskretnaya Matematika. Prilozhenie, 2016, no. 9, pp. 21-24. (in Russian)

12. Brinkman M. and Leander G. On the classification of APN functions up to dimension five. Des. Codes Cryptogr., 2008, vol.49, iss. 1, pp. 273-288.

13. Browning K. A., Dillon J. F., Kibler R. E., and McQuistan M. T. APN polynomials and related codes. J. Combinatorics, Information and System Science, 2009, vol. 34, no. 1-4, pp. 135-159.

14. Edel Y. Quadratic APN functions as subspaces of alternating bilinear forms. Contact Forum Coding Theory and Cryptography III, Belgium, 2009, pp. 11-24.

15. Nyberg K. Differentially uniform mappings for cryptography. Eurocrypt'93, LNCS, 1994, vol. 765, pp. 55-64.

16. Yu Y., Wang M., and Li Y. A Matrix Approach for Constructing Quadratic APN Functions. Cryptology ePrint Archive, Report 2013/007, 2013.

i Надоели баннеры? Вы всегда можете отключить рекламу.