CC BY
27
2010 Теоретические основы прикладной дискретной математики №2(8)
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ПРИКЛАДНОЙ ДИСКРЕТНОЙ МАТЕМАТИКИ
УДК 519.95
НЕОБХОДИМЫЕ И ДОСТАТОЧНЫЕ УСЛОВИЯ ТРИВИАЛЬНОСТИ ЛИНЕЙНОЙ СТРУКТУРЫ МОНОМИАЛЬНОГО ОТОБРАЖЕНИЯ НАД ПОЛЕМ ИЗ 22t ЭЛЕМЕНТОВ
А. Н. Алексейчук, Р. В. Проскуровский
Институт специальной связи и защиты информации Национального технического
университета Украины «Киевский политехнический институт», г. Киев, Украина
E-mail: alex-crypto@mail.ru, roman-crypto@mail.ru
В терминах двоичного представления натурального числа d получены необходимые и достаточные условия, при которых все ненулевые линейные комбинации координатных функций отображения x ^ xd, x £ GF(22 ), не имеют линейных трансляторов.
Ключевые слова: линейная структура дискретного отображения, конечное поле, мономиальное отображение.
Одним из известных требований к дискретным отображениям, используемым в современных симметричных криптосистемах, является условие отсутствия линейных трансляторов. Напомним (см., например, [1]), что ненулевой вектор а £ {0, 1}n называется линейным транслятором отображения ip : {0, 1}n ^ {0, 1}m, если существует элемент с £ {0, 1}m, такой, что равенство ip(x ф а) ф <^(ж) = с выполняется для всех ж £ {0, 1}n. Как правило, наличие линейных трансляторов (или, как говорят, нетривиальность линейной структуры) отображения ip свидетельствует о его криптографических слабостях.
Исследованию строения множества линейных трансляторов булевых функций и подстановок на множестве {0, 1}n посвящены работы [2-5] и др. В [6] предложено обобщение понятия линейного транслятора для отображений векторных пространств над конечными полями и исследованы распределения ряда числовых характеристик множества линейных трансляторов случайных равновероятных отображений указанного вида. В [7] описаны биективные преобразования конечных модулей над конечным ассоциативным кольцом с единицей, имеющие заданное непустое множество линейных трансляторов.
С криптографической точки зрения более естественным (и более жестким) является требование, состоящее в отсутствии линейных трансляторов не только у данного отображения р : {0, 1}n ^ {0, 1}m, но и у всех ненулевых линейных комбинаций его координатных функций. Формализация этого условия (применительно к более широкому классу отображений одной конечной абелевой группы в другую) приводит к понятию тривиальности линейной структуры дискретного отображения, введенному в работе [8]. Отметим, что это, более общее по сравнению с [6,7], понятие возникает естественным образом при обосновании достаточных условий стойкости блочных шифров относительно алгебраических атак, основанных на гомоморфизмах (см. [8,9]).
Определение [8]. Пусть G1 и G2 — конечные абелевы группы, p : G1 м G2 — произвольное отображение. Будем говорить, что p имеет тривиальную линейную структуру, если не существует элемента а £ G1 \ {0} и комплексного характера ф = 1 группы G2, таких, что функция ф(р(х + а) — p(x)), x £ G1, является константой.
В [10] получены достаточные условия тривиальности линейной структуры преобразований аддитивной группы конечного поля и показано, что при n = 2*, t ^ 2, тривиальную линейную структуру имеет отображение р(х) = x2"-2, x £ GF(2n), используемое при построении узлов замены современных блочных шифров [11, 12].
Полное описание полиномов над конечными полями, задающих отображения с тривиальной линейной структурой, представляет собой непростую задачу. В настоящей работе исследуются мономиальные отображения над полем порядка 22t.
Введем следующие обозначения:
F = GF(2n), n = 2*, t ^ 2;
F* = F \{0};
Tr(x) = x + x2 + ... + x2" — абсолютный след элемента x £ F;
i, j = {l £ Z : i ^ l ^ j}, i, j £ Z.
n—1 ________
Пусть l = ^2 2гli —двоичное представление числа l £ 0, 2n — 1. Обозначим
_______i=0 _______________________________ ___________ ____________
Il = {i £ 0, n — 1 : li = 1}. Для любых M С 0,n — 1, i £ 0, n — 1, l £ 0, 2n — 1 положим
M + i = {(j + i)(mod n) : j £ M}, s(l, i) = 2il(mod(2n — 1)).
Непосредственно из данных определений вытекает следующее утверждение.
Лемма 1. Для любых i £ 0, n — 1, l £ 0, 2n — 1 справедливо равенство
Is(l,i) = Il + i.
Сформулируем два вспомогательных утверждения, первое из которых является следствием условия n = 2* и теоремы 2.39, приведенной в [13], а второе следует из данного выше определения и известных свойств конечных полей (см. теоремы 5.7 и 2.21 в [13]).
Лемма 2. Для любого x £ F элементы x, x2,..., x2" образуют базис поля F над полем GF(2) тогда и только тогда, когда Tr(x) = 1.
Лемма 3. Отображение р : F м F тогда и только тогда имеет тривиальную линейную структуру, когда для любых а, b £ F* выполняется соотношение
Tr(bp(x + а) + bp(x)) = const. При этом отображения x м p(x) и x м p(x2), x £ F, имеют тривиальную или нетривиальную линейную структуру одновременно.
Сформулируем и докажем теорему, содержающую необходимые и достаточные условия тривиальности линейной структуры мономиального отображения
p(x) = xd, x £ F. (1)
Отметим, что на основании второго утверждения леммы 3 можно ограничиться случаем нечетных значений d.
Теорема. Пусть d £ 3, 2n — 2, d = 1(mod 2). Тогда отображение (1) имеет тривиальную линейную структуру в том и только том случае, когда существует множество M С 0,n — 1, M £ {0, Id}, такое, что
|{i £ 0,n — 1: M + i С Id}| = 1(mod 2). (2)
Доказательство. Пусть а, b £ F*; тогда для любого x £ F
b(p(x + а) + p(x)) = b((x + а)^ + xd) = Ьа^((г + 1)d + zd),
где z = xа—1. Отсюда на основании лемм 2 и 3 вытекает, что p имеет тривиальную линейную структуру в том и только в том случае, когда
3 z £ F* (Tr((z + 1)d + zd) = 1) . (3)
Действительно, согласно лемме 2, при выполнении условия (3) множество {(z + 1)d + zd : z £ F} содержит некоторый базис поля F над полем GF(2), откуда следует, что равенство Tr(b(p(x + а) + p(x))) = const, x £ F, возможно лишь при
условии bad = 0. Наоборот, если Tr((z + 1)d + zd) = 0 для любого z £ F*, то в силу
равенства Tr(1) = n • 1 = 0 справедливо соотношение Tr(p(x + 1) + p(x))) = 0, x £ F, означающее, что отображение p имеет нетривиальную линейную структуру.
Используя определение функции след и равенство Tr(1) = 0, получим
f d— 1 / \ \ d— 1 n— 1 / ч
)d + zd) = Tr Vr) M = V V ^ zJ'2i
/ d— 1 / \ \ d—1 n— 1 / \
Tr((z + 1)d + zd) = tW (j) j = E 5—o (d)
on i —jjb
откуда на основании тождества z2 1 = 1, z G F , вытекает следующее равенство:
2n-2
Tr((z + 1)d + zd) = E Aiz1, z G F*, (4)
i=0
где
'il =
E j ,1 g 0, 2n - 2.
A, = T. (d) , /G 0, 2n- 2. (5)
¿60, n —1,j61, d—1, j-2'i = l mod (2n — 1)
Поскольку полином от £ в правой части равенства (4) имеет степень, меньшую 2П, то условие (3) равносильно следующему условию:
31 е 0, 2П - 2 (Д = 0). (6)
Преобразуем выражение (5). Заметим, что сравнение ^'2г = I шо^2га — 1) равносильно сравнению ] = 2га-г/ mod(2ra — 1); следовательно,
¿60, n —1: s (l, i) 61, d— 1
a = E (,(,%)g °,2n -2. (7)
Далее, по теореме Лукаса [14] ^(f^J = 1(mod 2) тогда и только тогда, когда множество единичных разрядов в двоичном представлении числа s(l, i) содержится во множестве If, то есть Is(i,i) С If. При этом, согласно лемме 1, Is(i,i) = Ii + i, i £ 0, n — 1, l £ 0, 2n — 2. Отсюда на основании формулы (7) вытекает, что Ai = 0, если l = 0 или |Ii | ^ |If |. Таким образом, условие (6) равносильно следующему условию:
31 G 0, 2n - 2 (|1,| < |1d| & A, = 0).
Заметим, наконец, что для любого l £ 1, 2n — 2, такого, что |Ii| < |If|, справедлива импликация
' d '
V i G 0, n — 1
= 1(mod2) ^ s(/, i) G 1, d — 1
s(1, i)
Следовательно, для указанных l
n—1 / \ ________
Al = Е = |{i £ 0, n - 1 : I + i С Id}| (mod 2). (9)
Теперь нетрудно завершить доказательство теоремы. Если отображение (1) имеет тривиальную линейную структуру, то на основании соотношений (8) и (9) множество M = I £ {0,Id} удовлетворяет условию (2).
Наоборот, пусть множество M С 0,n — 1, M £ {0,Id}, удовлетворяет условию (2). Тогда M = I для некоторого l £ 1, 2n — 1 \ {d} и существует i £ 0, n — 1, такое, что I + i С Id. Следовательно, |I;| < |Id|, в частности, l = 2n — 1. Отсюда на основании соотношений (2) и (9) вытекает справедливость условия (8). Таким образом, отображение (1) имеет тривиальную линейную структуру, что и требовалось доказать. ■
Отметим, что полученный критерий тривиальности линейной структуры отображений вида (1) допускает простую практическую проверку.
Следствие 1. Если в условиях теоремы двоичное представление числа d содержит нечетное число единиц, то отображение (1) имеет тривиальную линейную структуру.
Для доказательства достаточно рассмотреть множество M = {0}.
Следствие 2. Пусть в условиях теоремы d = 4k — 2k+1, k = 1(mod 2), k ^ 3. Тогда отображение (1) (известное как функция Касами; см. [1], с. 340) имеет тривиальную линейную структуру.
Для доказательства достаточно положить M = {0,1, 2} и воспользоваться соотношением |{i £ 0, n — 1: M + i С Id}| = k — 2 = 1(mod2).
ЛИТЕРАТУРА
1. Логачев О. А., Сальников А. А., Ященко В. В. Булевы функции в теории кодирования и криптологии. М.: МЦНМО, 2004. 470 с.
2. Evertse J. H. Linear structures in blockciphers // Advances in Cryptology — EUROCRYPT’87. Springer Verlag, 1988. P. 249-266.
3. Lai X. Additive and linear structures of cryptographic functions // Fast Software Encryption — FSE’94. Springer Verlag, 1995. P. 75-86.
4. Ященко В. В. О критерии распространения для булевых функций и о бент-функциях // Проблемы передачи информации. 1997. Т. 33. №1. С. 75-86.
5. Dawson E., Wu Ch. K. On the linear structures of symmetric functions // Australian J. of Combinatorics. Springer Verlag, 1997. V. 16. P. 239-243.
6. Сачков В. Н. Трансляторы и трансляции дискретных функций // Труды по дискретной математике. М.: Гелиос АРВ, 2006. Т. 9. С. 253-268.
7. Пудовкина М. А. Линейные структуры групп подстановок над конечным модулем // Прикладная дискретная математика. 2008. №1. С. 25-28.
8. Алексейчук А. Н. Достаточные условия стойкости рандомизированных блочных систем шифрования относительно метода криптоанализа на основе коммутативных диаграмм // Реестращя, зберпання i обробка даних. 2007. Т. 9. №2. С. 61-68.
9. Алексейчук А. Н. Критерий примитивности группы подстановок, порожденной раундо-выми преобразованиями Rijndael-подобного блочного шифра // Реестращя, зберпання i обробка даних. 2004. Т. 6. №2. С. 11-18.
10. Алексейчук А. Н., Скрынник Е. В. Классы отображений с тривиальной линейной структурой над конечным полем // Реестращя, збертання i обробка даних. 2008. Т. 10. №3. С.80-88.
11. Daemen J., Rijmen D. AES proposal: Rijndael // htpp://csrc.nist.gov/encription/aes/ rijndael/Rijndael.pdf.
12. Aoki A., Ichikawa T., Kanda M., et al. Camellia: a 128-bit block cipher suitable for multiple platforms — Design and Analysis // Selected Areas in Cryptography. Springer Verlag, 2001. P. 39-56.
13. Лидл Р., Нидеррайтер Г. Конечные поля. М.: Мир, 1988. Т. 1, 2. 818 с.
14. Берлекэмп Э. Алгебраическая теория кодирования. М.: Мир, 1971. 477 с.
