Нижняя оценка расстояния между биюнктивной функцией и функцией с заданной алгебраической иммунностью Текст научной статьи по специальности «Математика»

2016 Теоретические основы прикладной дискретной математики №4(34)

УДК 519.1, 519.7

НИЖНЯЯ ОЦЕНКА РАССТОЯНИЯ МЕЖДУ БИЮНКТИВНОЙ ФУНКЦИЕЙ И ФУНКЦИЕЙ С ЗАДАННОЙ АЛГЕБРАИЧЕСКОЙ

ИММУННОСТЬЮ1

А. В. Покровский

Институт проблем информационной безопасности Московского государственного университета им. М. В. Ломоносова, г. Москва, Россия

Получены нижние оценки расстояния Хэмминга (которые могут быть достижимы при выполнении определённых условий) между функцией с заданной алгебраической иммунностью и биюнктивными функциями. Данные оценки позволяют в совокупности оценить устойчивость функции к методу линеаризации, предложенному Н. Куртуа, и возможность её приближения биюнктивными статистическими аналогами.

Ключевые слова: алгебраическая иммунность, биюнктивные функции, нелинейность, аннуляторы, расстояние между функциями.

БСТ 10.17223/20710410/34/3

A LOWER BOUND FOR THE DISTANCE BETWEEN A BIJUNCTIVE FUNCTION AND A FUNCTION WITH THE FIXED ALGEBRAIC

IMMUNITY

A. V. Pokrovskiy

Lomonosov Moscow State University, Moscow, Russia

E-mail: AlexPokrovskiy@yandex.ru

Let f = f (xi,... , xn) be a bijunctive Boolean function, that is, the multiplication of some disjunctions of two variables or their negations, Lf = {i1,..., i|Lf |} c {1,..., n},

and, for y = (y1,...,y|L/1) G f2L/|, the Boolean function fj ' ¡j^f1 obtained by substitution of y1,..., y|Lf | instead of xil,..., £j|L1 respectively into f (x1,..., xn) is not const and is equivalent relatively the Jevons group to the function

(xi V X2) ■ ... ■ (X2dy-1 V X2dy ) ■ X2dy+1 ■ ... ■ X2dy+my, if 1 ^ dy ^ |_n/2j ,

fdy,my(x) — *

1 ^ my ^ n — 2dy;

x1 ■ ... ■ xm, if dy — 0,1 ^ my ^ n;

(xi V X2) ■ ... ■ (X2dy-1 V X2dy), if 1 ^ dy ^ Ln/2j , my — 0.

Let /0 = /o(xi,..., xn) be a Boolean function with the algebraic immunity AI(/o) satisfying the condition 1 < k = AI(/0) - 2|LfC = |{(y1,...,y|L |) G F^ 1 :

1 Работа выполнена при финансовой поддержке Академии криптографии Российской Федерации.

fy ' ' = const}|, and dist(f, f0) is the Hamming distance between / and f0. Then

C E (n-iLf|) + E (El-1 (n-iLf|)+

i=0 y ew^f1-.

yi,..,y\Lf | .....i|Lff| =COnSt

n-|Lf | —2dy —my dy / л

+ E E (2j (dy)(n-|Lf^rt -

p=0 j=2dy+m.y+p-fc+1 У

n-|Lf | —2dy —my fc-1-p / л\

E E Ы (dy)(n-|Lf |-p2dy-my^ < dist (/, /0) . p=o j=0 v 7 у

In cryptography, functions like /0 and / are widely used for solving systems of Boolean equations by respectively linearization and statistical approximation methods.

Keywords: algebraic immunity, bijunctive functions, nonlinearity, annihilator, distance between functions.

Введение

Решение систем булевых уравнений является одной из актуальных задач дискретной математики. Двумя широко известными подходами к её решению являются метод линеаризации и метод статистических аналогов. При первом подходе система различными путями сводится к линейной системе-следствию. Параметром, характеризующим эффективность одного из вариантов линеаризации, является алгебраическая иммунность булевых функций, задающих левую часть рассматриваемой системы. При втором подходе левая часть каждого уравнения, определяемая некоторой булевой функцией fi, заменяется на более простую функцию Qi. Правая часть уравнения при этом не меняется. При такой замене не все уравнения остаются верными. Функции gi выбираются из следующих соображений. Во-первых, вероятность совпадения gi с fi при случайном равновероятном выборе аргумента должна быть достаточно велика. Во-вторых, полученная система-следствие должна «легко» решаться. В простейшем случае gi могут выбираться из класса аффинных функций. В данной работе устанавливается взаимосвязь между алгебраической иммунностью булевой функции и удаленностью её от множества биюнктивных функций, которые могут быть использованы в качестве статистического аналога.

1. Основные обозначения и определения

Пусть Fn — множество булевых функций от n переменных и An — его подмножество, состоящее из всех аффинных функций. Вес произвольного двоичного вектора x £ Fn обозначим символом wt(x). Под весом булевой функции f £ Fn будем понимать вес её вектора значений и записывать его в виде wt(f). Обозначим Dil,i2 дизъюнкцию двух булевых переменных

Dil ,i2 Xil ^ Xi2 '

С точки зрения метода статистических аналогов одной из основных характеристик булевой функции является её нелинейность. Она определяется через понятие расстояния и характеризует удалённость функции от множества аффинных функций в метрике Хэмминга.

Определение 1. Расстоянием между функциями f,g £ Fn называется

dist(f,g) = wt(f 0 g).

Определение 2. Нелинейностью функции f е Fn называется

nl(/) = min {dist(f,g)}.

g&An

Понятие нелинейности допускает некоторые обобщения. Можно рассматривать минимальное расстояние от функции не только до множества An, но и до других практически значимых множеств, например до множества функций степени не выше r. Такой параметр называется нелинейностью r-го порядка. В данной работе будем рассматривать вопрос об удалённости функции от биюнктивных функций.

Определение 3. Булева функция / из Fn называется биюнктивной, если существует представление / в виде 2-КНФ:

/(xi,...,xn)= Л№ V). (1)

i=i

Множество всех биюнктивных функций обозначим символом Bin. Интерес к биюнк-тивным функциям объясняется тем, что они порождают классы нелинейных булевых систем, решаемых с полиномиальной трудоемкостью [1, 2].

Определение 4. Для параметров d,m из No, одновременно не равных нулю, определим функцию fd,m из множества Bin как

Di,2 ■ ... ■ D2d-i,2d ■ X2d+1 ■ ... ■ X2d+m, если 1 ^ d ^ [n/2] , 1 ^ m ^ n - 2d; fd,m(x) = ^ x1 ■ ... ■ xm, если d = 0, 1 ^ m ^ n;

Di,2 ■ ... ■ D2d-i,2d, если 1 ^ d ^ [n/2] , m = 0.

Важной характеристикой булевых функций является их алгебраическая иммунность. Она определяется через множество аннуляторов.

Определение 5. Множеством аннуляторов или просто аннуляторами функции f е Fn называется множество

Ann(f) = {g е Fn : Vx е Fn (f (x)g(x) = 0)} .

Определение 6. Алгебраической иммунностью функции f из Fn, обозначаемой символом AI(f), называется

AI(f) = min {deg(g) : g е (Ann(f) U Ann (f 0 1)) \ {0}} .

Для булевой функции f определим множество Ann^ (f).

Определение 7. Множеством аннуляторов функции f е Fn степени не выше k, где k е N, называется

Annfc(f) = {g(x) е Ann(f) : deg(g) ^ k} .

Очевидно, что (Ann^(f), ф) является пространством над F2 относительно внешней операции — умножения функции на элемент F2. Для описания множеств Ann^ (f) и Ann(f) удобно использовать матрицы, введённые далее в определении 8. Для их задания используем функции из Fn, полином Жегалкина которых состоит из одного монома. Такие функции в дальнейшем будем обозначать символом mon.

Определение 8. Матрица Pd(/) есть матрица над полем F2, где d G N, / G Fn,

d

размера E (™) x 2n • Её строки состоят из коэффициентов при мономах полиномов

¿=0 1

Жегалкина функций mon ■/(x), где mon — ненулевой моном степени не выше d.

Функции mon ■/(x) в дальнейшем будем обозначать gmon, когда ясно, о какой функции / идет речь.

Определение 9. Пусть G — группа преобразований векторов из F^ в F^. Будем называть группу G подходящей, если для любых функций fi, /2 из Fn и произвольного преобразования g G G выполняются равенства

dist(/i(x),/2(x)) = dist(/i(g(x)),/2(g(x))), AI(/i(x)) = AI(/i(g(x))),

т. е. любое преобразование g из группы сохраняет расстояние между функциями и алгебраическая иммунность инвариантна относительно действия этого преобразования. Если в этой группе существует преобразование g, удовлетворяющее условию

/i(g(x)) = /2 (x) ,

то функции /i и /2 будем называть эквивалентными относительно группы G и обозначать эквивалентность как /i g /2.

В качестве примера подходящей группы можно взять полную аффинную группу.

2. Использование размерности пространства Annk(/) для построения нижних оценок нелинейности функции

Для фиксированной функции /d,m введём на множестве мономов следующую маркировку.

Определение 10. Моном mon из Fn относительно фиксированной функции /d,m будем маркировать системой из четырёх множеств

mon = monV/jL,

где

mony,/,j,L = П (x2v-iX2v) П Xi П Xj П Хг.

vev ¿е/ jeJ ¿eL

Первое множество индексов V либо пусто, либо V = {vi,..., является непустым подмножеством множества {1,...,d}. Если V = {vi,...,vu}, то оно задаёт номера дизъюнкций в представлении функции /d,m, у которых обе переменные входят в моном mon. В случае, когда оно пусто, никакая пара переменных, одновременно входящая в одну дизъюнкцию, в моном не входит, либо d = 0.

Второе множество индексов I либо пусто, либо I = {ii,... , it} является непустым подмножеством множества {1,..., 2d} \ {2vi — 1, 2vi,..., 2vu — 1, 2vu} (в случае, когда V = 0) или множества {1,..., 2d} (в случае V = 0). Элементы этого множества задают номера переменных, входящих в дизъюнкцию, отличную от дизъюнкций с номерами из множества V. При этом из рассматриваемой дизъюнкции выбирается лишь одна переменная. Например, во втором множестве не может быть индексов ii = 1, i2 = 2 одновременно, так как переменные xi и x2 вместе входят в первую дизъюнкцию в представлении /d,m. Поэтому во втором множестве возможен либо индекс ii = 1, либо i2 = 2, но не одновременно оба. Как и в предыдущем случае, если второе множество индексов пусто, то никакие из описанных переменных в моном не входят.

Элементы множества J = {ji,..., jr} определяют номера переменных, удовлетворяющие условию 2d +1 ^ ji < ... < jr ^ 2d + m, которые одновременно входят и в /d,m, и в mon. Если таковых нет либо m = 0, то множество J полагаем пустым.

Четвёртое множество L = {/1,... , 1s} определяет номера переменных, удовлетворяющих условию 2d + m +1 ^ 11 < ... < Zs ^ n, которые входят в mon. Если таковых нет либо 2d + m = n, то указанное множество полагаем пустым.

Моном mon0,0,0,0 по определению будем считать равным 1.

Поясним определение 10 на примере.

Пример 1. Рассмотрим моном топ{1,з},{з,7}1{9}){12} и функцию /¿,m = /4,2 при n =12. Функция /4,2 равна

/4,2 = D1,2 ■ D3,4 ■ D5,6 ' D7,8 ' x9 ' x10.

Моном mon{1,3},{3,7},{9},{12} в этом случае равен

mOn{1,3},{3,7},{9},{12} = X1 ■ X2 ■ £5 ■ Хб ■ Х ■ Ж7 ■ Ж9 ■ X12.

Определим на множестве мономов отношение эквивалентности, которое будем обозначать «~».

Определение 11. Будем говорить, что два монома mon и mon', промаркированные соответствующими множествами индексов относительно фиксированной /d,m, удовлетворяют отношению «~», и обозначать этот факт monyj, j,l ~ mon'y/ р j/ L/, если выполняются равенства V = V', I = I', L = L'.

В работе [3] установлена связь между нелинейностью булевой функции и её алгебраической иммунностью, а также приведены достижимые нижние оценки нелинейности через алгебраическую иммунность. Эти результаты были получены с помощью утверждения, связывающего величину dist(/,/0) с размерностями пространств Annfc(/) и Annfc(/). Сформулируем его в том виде, в котором оно приведено в [3].

Утверждение 1. Пусть / и /0 из Fn, AI(/0) ^ k. Тогда

dim (Annfc-1(/)) + dim (Ann*-/ ^ dist(/, /0).

Дальнейшее направление исследований — получение точного значения размерности пространств Annfc-1 (/d,m) и Annfc-1(/d m). Эти значения позволяют оценить снизу расстояние между функциями /¿,m и функцией /0 из Fn с алгебраической иммунностью AI(/0) ^ k. Эти оценки остаются справедливыми и для любых / и /0, удовлетворяющих условию / g /d,m и /0 g /0, где G — подходящая группа. Важным преимуществом данного подхода к построению нижних оценок dist(/, /0) является то, что эти оценки при определённых значениях параметров достижимы. Приведём результаты, доказанные в работе [3].

Определение 12. Пусть / G Fn. Обозначим через (/) линейное пространство функций из Fn степени не выше k, которые при умножении на h снова дают функции

степени не выше k, т. е.

Bfc(h) = {g(x) : deg(g) ^ k deg(g ■ /) ^ k} .

Следующее утверждение устанавливает связь между размерностями пространств Annfc(/), Annfc(/) и Bk(/).

Утверждение 2. Верно равенство

dim(Annfc (/)) + dim(Annfc (/)) = dim(Bfc(/)).

Наконец, утверждение 3 даёт ответ на вопрос о достижимости получаемых оценок.

Утверждение 3. Пусть deg(/) ^ |~n/2], k ^ |~n/2], dim(Bfc-i(/)) > 0. Тогда существует функция /о, такая, что AI(/o) = k и dist(/, /о) = dim(Bfc_i(/)).

В качестве функции / из утверждения 3 выберем биюнктивную функцию /d,m, удовлетворяющую условию 2d + m ^ |~n/2], где n ^ 6 и 3 ^ k ^ |~n/2~|. Для такой функции /d,m всегда существует квадратичный аннулятор, поэтому dim(Bk-1(/d,m)) > > 0. Выбранная функция удовлетворяет условиям утверждения и для неё существует /0 с алгебраической иммунностью k, такая, что оценка dist(/d,m, /0) достижима.

Теорема 1. Размерность пространства Annk(/dm), где k G {1,..., [n/2]}, 0 ^ ^ d ^ Ln/2j, m G {0,..., n — 2d}, равна

__ra_2d_m d / \

dim (Ann* (/ d,m)) = E E (2j (d)(n_2pd_mn .

p=0 j=2d+m+p_fc ^ '

Доказательство. В [4] доказано, что любая функция g из Ann(/), где / — произвольная функция из Fn, представима в виде g = / • h для некоторой h из Fn. Следовательно, любая функция из Ann(/dm) представима в виде линейной комбинации функций gmon = /d,m • ШОП.

Рассмотрим сначала случай 0 < d. Промаркируем все мономы относительно функции /d,m согласно определению 10. Из определения 11 следует, что для любых двух эквивалентных мономов шоп и шоп' функции gmon и gmon' равны. В связи с этим в дальнейшем будем рассматривать лишь представителей классов эквивалентности, а не сами классы. В качестве представителей выберем мономы вида шопу,/,0,£.

Докажем рекуррентную формулу для вычисления полинома функции gmon:

gmon{»1,...,»u},{i1,...,ii},0,l gmon{v2,...,vu},{2v1-1,i1,...,it},0,L ® У mon{v2 ,...,vu } ,{2v1 ,i1 ,...,it },0,L ® gmon

По определению 10 имеем

mOn{v1,...,Vu},{ii,...,it},0,L — x2vi-1x2vi mon{v2,...,Vu},{ii,...,it},0,L = = (D2v1-1,2v1 Ф x2v1-1 Ф x2v1 ) mOn{v2,...,vu},{i1,...,it},0,L .

Домножая слева и справа последнее равенство на /d,m, получим доказываемую формулу. Применяя её u раз к функции gmon^ v } {il it} 0 L и возникающим слагаемым, получим в результате, что исходная функция выражается в виде линейной комбинации

функЦий вида gmon0 ,{,, ..., , ,i1, ... , it}, 0 ,L .

В случае d — 0 любой моном имеет маркировку mon0 0,j,l. В качестве представителя класса эквивалентности будем рассматривать моном с маркировкой mon0,0,0,L.

Отсюда следует, что в обоих случаях в качестве претендентов на базис пространства Ann(fdm) остаются лишь функции из множества Bas:

Bas — {gmon0 j 0 L : I и L удовлетворяют определению 10} .

Найдём степень функций из Bas, изучим их свойства и вычислим мощность этого множества. Из свойства

Хг ■ Di,j (2)

и определения 10 следует, что deg ($mon0 j 0L) = 2d + m — |I| + |L|.

Второе важное свойство рассматриваемых функций заключается в том, что в полином Жегалкина функции $mon0 j 0 L входит единственный моном степени deg (gmon0 j 0 L) и для разных функций эти мономы разные. Это непосредственно следует из вида функции /d,m и соотношения (2). Отсюда, в частности, получается, что любая нетривиальная линейная комбинация функций gmon0 j 0 L не равна нулю, а значит, указанные функции линейно независимы. ( ) Найдём мощность множества Bas и размерность

Ann (/ dJ. Подсчитаем число мономов вида mon0,/,0,L, удовлетворяющих определению 10. Нетрудно видеть, что их количество равно

ra—2d—m d / \

p—0 j—0 ^ j ' p

Поскольку функции gmon0 j 0 L линейно независимы, то среди них нет одинаковых, т. е. разным мономам mon0,/,0,l соответствуют разные функции, поэтому их число совпадает с числом нужных мономов.

Рассмотрим произвольную нетривиальную линейную комбинацию функций из множества Bas. Покажем, что если в неё входит функция gmon0 j 0 L, удовлетворяющая условию k < deg(gmon0 j 0 L ), то и степень полученной комбинации больше k. Из второго свойства функции gmon0 j 0 L следует, что она содержит единственный моном максимальной степени, большей k. Для того чтобы при сложении он сократился, необходимо, чтобы в линейной комбинации присутствовала функция с таким же мономом. Рассмотрим функции gmon0 j 0 L, входящие в линейную комбинацию и имеющие максимальную степень среди всех слагаемых. Пусть степень таких функций равна q > k. Поскольку полином каждой такой функции содержит единственный моном степени q и у разных функций они различны, то такие мономы друг с другом не сократятся. Следовательно, чтобы степень линейной комбинации функций gmon0 j 0 L была не выше k, необходимо, чтобы степень каждой функции gmon0 j 0 L, входящей в линейную комбинацию, удовлетворяла условию deg(gmon) ^ k. Это требование эквивалентно выполнению неравенства

2d + m — |I| + |L| ^ k.

Отсюда получаем нижнюю границу | I| . Верхняя граница определяется условием |I| ^ d. Резюмируя все вышесказанное, подсчитаем число таких базисных функций. Нетрудно видеть, что оно вычисляется по формуле

n-2d-m d / \

е Е (2j(d)(n-2Pd-m))

p—0 j—2d+m+p-k

где индекс суммирования р соответствует возможным значениям параметра | Ь |, а индекс ] —возможным значениям |11. ■

Перейдём к изучению вопроса о размерности пространства Лпп^ (/^,т). Значение этой величины может быть вычислено с помощью следующей теоремы.

Теорема 2. Размерность пространства Annk (/d,m), где k G {1,..., |~n/2]}, 0 ^ d ^ ^ |_n/2j, m G {0,..., n — 2d}, равна

k n— 2d—m k—p / \

dim (Annk (/d,m)) = E 0 — E E (2j (d)(n—2pd—mn .

¿=0 p=0 j=0 v 7

Доказательство. Для описания пространства Annk (/d,m) используем матрицу Pk (/d,m)- Из определения 8 следует, что каждый элемент множества Annk(/d,m) соответствует решению системы

z •Pk(/d,m) = 0.

Каждая строка матрицы Pk(/d,m) построена из коэффициентов функций gmon, полученных с помощью мономов степени не выше k. Следовательно,

k

dim (Annk (/d,m)) = E © — rang (Pk(/d,m)).

¿=0

При доказательстве теоремы 1 получено, что функции из множества Bas, порождаемые мономами mon0,/,0,L, линейно независимы. Условие deg (mon) ^ k эквивалентно неравенству |11 + |L| ^ k, откуда получаем верхнюю границу на параметр |11:

|11 ^ k — |L|.

Найдём число линейно независимых строк матрицы Pk (/d,m), порождённых функциями gmon из Bas и удовлетворяющих условию deg(mon) ^ k. Учитывая ограничения на параметр |11, получим, что количество таких строк равно

n—2d—m k—p /

/d\ in— 2d—m\

2d—m k—p ( )( )

E E (2j (d)(n—2pd—= rang (Pk(Am))

„ p

p=o j=0 v

где индекс суммирования p соответствует возможным значениям параметра | L |, а индекс j —возможным значениям |11. ■

Рассмотрим вопрос о расстоянии между функцией /0 с фиксированной иммунностью и функцией / из множества Bin, у которой сомножители в представлении (1) могут зависеть от пересекающихся множеств переменных или их отрицаний. Обозначим /¿f ' ¡yfc, где k G N, сужение функции / из Fn_k, получающееся фиксацией переменных с номерами i1,... , ik константами y1,... , yk G {0,1} соответственно.

Определение 13. Множество Lf = |г1,..., i|Lf |} С {1,..., n} назовём разделяющим множеством функции / из Bin, если для любого вектора y = (y1,... , y|Lf G F2|Lf 1 функция /¿y f 1 либо константа, либо эквивалентна относительно группы Джевонса

функции /dy ,my. Если мощность разделяющего множества равна n или n — 1, то такое множество будем называть тривиальным. Множество Lf минимально возможной мощности будем называть минимальным.

Заметим, что поскольку группа Джевонса является подгруппой полной аффинной группы, то она удовлетворяет определению 9. У рассмотренных выше функций /d,m множество Lfdm пустое. В качестве примера разделяющего множества Lf можно взять такие номера, что каждая переменная с номером из Lf или её отрицание входит более чем в один сомножитель в представлении (1). Очевидно, что при любой фиксации

переменной с номером из Ь/, входящей в дизъюнкцию, дизъюнкция становится равной либо единице, либо второй входящей в неё переменной, либо её отрицанием.

Сформулируем утверждение [5], устанавливающее связь между весом функции и её алгебраической иммунностью.

Утверждение 4. Если функция /0 € удовлетворяет условию Л1(/о) > к, то

к га—к—1

Е С) ^ ^(/о) ^ Е С).

г=0 г=0

Используя этот результат, продемонстрируем, как могут быть применены теоремы 1 и 2 для оценки расстояния между функциями с заданной алгебраической иммунностью и биюнктивными функциями с непустым разделяющим множеством.

Теорема 3. Пусть / € В1„, Ь/ = {г1,...,г|^/1} = 0 — разделяющее множество функции /, /0 € 1 < к = Л1(/0) — 2|Ь/1. Обозначим через С мощность множества

C

", /Г.:^' = const}

Пусть dy и my, где y = (yb ... ,y|Lf|) e F2|L"—параметры функции /dy.my = const, получаемой после фиксации набора переменных (xi;,... , Xi|L |) координатами вектора y. Тогда

AI(/q)-2|L/ |-1

с E Г" + E (El-1 riL/|)+

i=0 yeF2' L" 1 : V

У1,...,y|Lf |

,... ' i|L" =const

n-|Lf |-2dy-my dy / , lr , )

+ Y^ E |-2dyj _

p=0 j=2dy+my+p-fc+^ j P '

n-|Lf |-2dy-my fc-1-p ,

- E E (2j (dy)(n-|Lf|-p2dy-my^ ^ dist(/,/0).

p=0 j=0 v j p J )

Доказательство. Согласно определению 1, имеет место цепочка равенств

dist (/, /0) =wt(/ © /0)= e wt (/ii:;:;^f| © (/o)yl:^|)

y€F2|Lf |

E diSt (/ii.....i|L " , (/0)ii.....i|L "

где /¿1 | и (/0)^ ^ ' —сужения функций / и /0 соответственно, полученные фиксацией переменных с номерами г1,..., г^ | координатами вектора у = (у1,..., € € F2|¿f1.

Если ,...,г|ь/| = Соп^ то (Д,...,^, (/0)г1,...,г|ь^ ) = ^ (у0)гь...,^^ Ф COпSt Поскольку для любой /0 из по определению 6 выполняется равенство Л1(/0) = Л1(/0), то, согласно утверждению 4,

Ч^п .... —1

'га—

E ст") < w/:" const).

i=0 V | "| /

В работе [6] доказано, что для произвольной функции /0 Е линейного подпро-П и вектора а е

странства L < F" и вектора a G F" выполняется неравенство

AI(/c) ^ AI |Lea (/с) + n — dim (L), (5)

где

AI |L®a (/с) = min{deg(g) : g G Fn : /(x)g(x) = 0 или (/(x) 0 1) g(x) = 0 Vx G L 0 a, supp(g) П L 0 a = 0}.

Здесь supp(g) = {x G F" : g(x) = 1}. В рассматриваемом случае роль аффинного пространства L 0 a выполняет аффинное пространство, состоящее из векторов, у которых координаты с номерами ¿i,..., | зафиксированы значениями y^,... , |. Тогда dim (L) = n — |Lf |. Отсюда и из (5) получаем

AI(/o) — |Lf | ^ AI |L®a (/с). (6)

Оценим сверху величину AI |Ьфа (/с). Пусть AI ((/о)^.. . ) = deg(r), где

т G Ann ((A)*^') и Ann ((/с 0 C:^') С F„_|L,|.

Определим функцию h = (xi1 0 y1 0 1) •... • ^x|| 0 y|Lf | 0 • т. Поскольку функция т от переменных xi1,... , x| | не зависит, то

deg(h) = deg(T) + |L/ | = AI ((/с)*;;:^ ') + |L/|. Из определения AI |Lea (/с) следует, что

AI Ua (/с) ^ AI ((/с)У11;:;^ ') + |Lf |, (7)

поэтому из (6) и (7) получаем неравенство

ai (/с)—| ^ AI ((/с):::^ ').

Используя последнее соотношение в качестве оценки верхнего индекса суммирования в (4), получаем цепочку неравенств

/ У1.....У |Lf | \

AI(/0)-2|Lf|-1 A\(/0)i1 ,...,i | Lf | J"1

e Mf« £ f nf«wt '0 const).

г=с г=с v 1 f 1 7

Поскольку количество слагаемых в сумме (3), у которых сужение функции / обращается в константу, равно C, их общий вклад в эту сумму снизу можно оценить величиной

AI(/0)-2|Lf|-1 ( )

с Е (n-iLf|)

\ г=с

Для оценки вклада слагаемых, удовлетворяющих условию /у 1 = /dy,my = const, воспользуемся нижней оценкой алгебраической иммунности сужения функции, теоремами 1, 2 и утверждением 1. Согласно им, если положить k = AI(/o) — 21Lf |, выполняется цепочка неравенств

n-ILf |-2dy-my dy , s

E E (n-|Lf|-2dy-my) +

p=0 j=2dy+my+p-fc+^ j P '

fc-1 , , n-|Lf |-2dy-my fc-1-p / ч

+ E (ra-iL/|) — E E (2j (dy)(n-|L/|-p2dy-my)) =

i=0 p=0 j=0 V /

i=0 p=0 j=0 dim (AnnAI(/0)-2|Lf |-1 (/dy,my)) + dim (AnnAI(/o)-2|Lf1-1 (jdy.my))

^ dim ( AnnAI((/0)i;::;Lfi)-1 (^J +dim (vAnnAI((/o):;::i;Lfi)-1 (A^)) ^

^ dist (Zdy.my , (/0)УьГ,'^ ')

Ь/ |

*1 Ь/ I

Суммируя полученные нижние оценки, получаем утверждение теоремы.

ЛИТЕРАТУРА

1. Горшков С. П. Применение теории NP-полных задач для оценки сложности решения систем булевых уравнений // Обозрение прикладной и промышленной математики. Сер. Дискретная математика. 1995. Т. 2. Вып.3. С. 325-398.

2. Тарасов А. В. О свойствах функций, представимых в виде 2-КНФ // Дискретная математика. 2001. Т. 13. Вып. 4. С. 99-115.

3. Лобанов М. С. О соотношениях между алгебраической иммунностью и нелинейностью булевых функций: дис. ... канд. физ.-мат. наук. М.: МГУ им. М.В. Ломоносова, 2009. 64 с.

4. Meier W, Pasalic E., and Carlet C. Algebraic attacks and decomposition of Boolean functions // EUR0CRYPT'04. LCNS. 2004. V.3027. P. 474-491.

5. Dalai D. K. On Some Necessary Conditions of Boolean Functions to Resist Algebraic Attacks: PhD Thesis. Kolkata, 2006. 139 p.

6. Буряков М. Л. Алгебраические, комбинаторные и криптографические свойства параметров аффинных ограничений булевых функций: дис. ... канд. физ.-мат. наук. М.: МГУ им. М.В. Ломоносова, 2008. 114с.

REFERENCES

1. Gorshkov S. P. Primenenie teorii NP-polnykh zadach dlya otsenki slozhnosti resheniya sistem bulevykh uravneniy [Application of the NP-complete Problems Theory for Estimating the Complexity of Solving Systems of Boolean Equations]. Obozrenie Prikladnoy i Promyshlennoy Matematiki, Ser. Diskr. Mat., 1995, vol.2, iss.3, pp. 325-398. (in Russian)

2. Tarasov A. V. O svoystvakh funktsiy, predstavimykh v vide 2-KNF [On the properties of functions representable in the form of a 2-CNF ]. Diskr. Mat., 2001, vol. 13, iss.4, pp. 99-115. (in Russian)

3. Lobanov M. S. O sootnosheniyakh mezhdu algebraicheskoy immunnost'yu i nelineynost'yu bulevykh funktsiy [On the Relations between the Nonlinearity and Algebraic Immunity of Boolean Functions]. PhD Thesis, Moscow, MSU Publ., 2009. (in Russian)

4. Meier W, Pasalic E., and Carlet C. Algebraic attacks and decomposition of Boolean functions. EUROCRYPT'04, LCNS, 2004, vol.3027, pp. 474-491.

5. Dalai D. K. On Some Necessary Conditions of Boolean Functions to Resist Algebraic Attacks: PhD Thesis, Kolkata, 2006. 139 p.

6. Buryakov M. L. Algebraicheskie, kombinatornye i kriptograficheskie svoystva parametrov affinnykh ogranicheniy bulevykh funktsiy [Algebraic, Combinatorial, and Cryptographic Properties of Parameters of Boolean functions Affine Restrictions]. PhD Thesis, Moscow, MSU Publ., 2008. (in Russian)