УДК 519.7 Б01 10.17223/2226308X715/6
О НИЖНЕЙ ОЦЕНКЕ ЧИСЛА БЕНТ-ФУНКЦИЙ НА МИНИМАЛЬНОМ РАССТОЯНИИ ОТ БЕНТ-ФУНКЦИЙ ИЗ КЛАССА МЭЙОРАНА — МАКФАРЛАНДА1
Д. А. Быков
Исследуется построение бент-функций на некотором расстоянии от заданной бент-функции. Для функции / из класса Мэйорана — МакФарланда М2п доказан критерий того, что функция, полученная из / прибавлением индикатора аффинного подпространства размерности п, является бент-функцией. Показано, что для простых п ^ 5 достигается нижняя оценка 22п+1 — 2п числа бент-функций на минимальном расстоянии от бент-функций из класса М2п. Найдены бент-функции, для которых оценка точна. Показано, что эта нижняя оценка не достигается для бент-функций из класса М2п, где перестановка, по которой построена бент-функция, не является АРМ-функцией. Для некоторых расстояний, в частности 22п-1, получены нижние оценки числа бент-функций из класса М2п на этих расстояниях от бент-функций из класса С.
Ключевые слова: бент-функции, булевы функции, минимальное расстояние, класс Мэйорана — МакФарланда, нижние оценки.
Введение
Пусть ЕП — линейное пространство над полем Е2, состоящее из двоичных векторов размерности п. Множество всех булевых функций от п переменных / : ЕП м Е2 обозначим через Тп. Расстоянием ^в^/,д) между двумя булевыми функциями /,д € Тп называется число позиций, в которых векторы значений этих функций различаются. Булева функция от чётного числа переменных 2п, расстояние от которой до множества всех аффинных функций максимально и равно 22п-1 — 2п-1, называется бент-функцией. Везде далее будем рассматривать бент-функции от 2п переменных. Обозначим множество всех бент-функций от 2п переменных через В2п. Класс бент-функций Мэйорана — МакФарланда М2п состоит из функций вида
/(х,У) = (х,п(У)) ф Ч>(y),
где € Тп и п — перестановка на ЕП. Напомним, что функции /,д € Тп называются ЕЛ-эквивалент,ньши, если существуют аффинная функция Н, невырожденная матрица А размера п х п с элементами из Е2 и Ь € ЕП, такие, что /(х) = д(хА ф Ь) ф Н(х) для всех х € ЕП. Через индикатор обозначим характеристическую функцию множества 5 с Ш2?.
Бент-функции введены О. Ротхаусом в [1]. Они интересны как своими экстремальными значениями нелинейности, так и приложениями в криптографии, теории кодирования, теории символьных последовательностей. Однако есть много открытых вопросов об устройстве множества всех бент-функций, о соотнесении различных известных классов бент-функций. Например, классы С и "Р, введённые в [2], лежат вне замыкания класса М2п относительно ЕА-эквивалентности. Но это известно благодаря построенным примерам [2, 3] и непонятно, какая часть бент-функций из С и Р лежит вне замыкания М2п.
Для построения бент-функции на некотором расстоянии от исходной бент-функции / € В2п можно воспользоваться универсальной конструкцией / м- / ф Тпё,. При этом
1 Работа выполнена в рамках госзадания ИМ СО РАН (проект № FWNF-2022-0018).
часто удобно рассматривать не произвольное множество S С F2", а, например, некоторое подпространство U. Так, в работе [2] для случая, когда U — аффинное подпространство F2" размерности n, доказано, что f ф Ind^ — бент-функция.
Для двух различных f, g G известно, что dist(f, g) ^ 2". В [4] показано, что все бент-функции на минимально возможном расстоянии 2" от заданной бент-функции f могут быть выражены как f фIndU, где U — аффинное подпространство F2", dim U = n. Иными словами, в поиске всех бент-функций на расстоянии 2" достаточно ограничиться прибавлением индикатора аффинного подпространства размерности n.
В [5] приведён вид всех бент-функций из M2ra, лежащих на расстоянии 2" от исходной бент-функции из M2". Число таких бент-функций может быть использовано в качестве следующей оценки.
Утверждение 1 (Н. Коломеец, 2017). Число всех бент-функций на минимальном расстоянии от бент-функций из M2" можно оценить снизу как 22"+1 — 2". При этом все бент-функции, учитывающиеся в этой оценке, также лежат в классе M2".
1. Число бент-функций на минимально возможном расстоянии 2"
от бент-функций из M2"
Рассмотрим f G M2" и конструкцию f м- f ф Ind^, где U — аффинное подпространство F2", dim U = n. Сначала построим критерий того, что f ф Ind^ является бент-функцией.
Пусть E — линейное подпространство F" размерности k. Тогда для E существует единственная GJB-матрица M — приведённая ступенчатая матрица полного ранга размера k х n, строки которой составляют базис E. Через (M) обозначим линейную оболочку строк матрицы M.
В следующей теореме приведён критерий для функций f (x,y) = (y,n(x)) ф <^(x), другими словами, f G M2", а h(x,y) = f (y, x) G M2". Такой переход нужен для удобного представления базисов подпространств с помощью GJB-матриц. Критерий для бент-функций из M2" является следствием этой теоремы.
Теорема 1. Пусть f (x,y) = (y, n(x)) ф <^(x), такая, что h(x,y) = f (y,x) G M2" U = (a, b) ф E — аффинное подпространство F2", dim U = n, где a, b G F"; линейное подпространство E имеет GJB-матрицу вида
L T
0 R
где L является GJB-матрицей размера (n — k) х n. Тогда
g(X y) = ^ n(x)) ф <£(x) ф Indu(x y)
является бент-функцией, если и только если выполнены следующие условия:
1) n(a ®(L)) = п(а) 0 (Я)х;
2) (uT ф b,n(uL ф а)) ф ^(uL ф а) — аффинная функция от переменных u = = (ui,...,u„-fc) G Fn-k.
Отметим, что в частном случае U = U1 х U2, где dim U = n, U1,U2 — аффинные подпространства F^, теорему 1 можно переписать в более простом виде. В определении класса D используются бент-функции f (x, y) = (x,n(y)) ф <^(y) G M2n c ^ = 0, к которым прибавляется IndE, где E = E1 х E2; dim E = n; Ei, E2 линейные подпространства F^. Поэтому теорема 1 обобщает определение класса D, так как даёт критерий на бент-функции при произвольной ^ и аффинных подпространствах U1, U2.
Функция F : Fn — F^ называется APN-функцией, если для любых a = 0, b G F^ уравнение F(x) ф F(x ф a) = b имеет не более двух решений. Рассмотрим случай, когда нижняя оценка гарантированно не достигается.
Теорема 2. Пусть f (x,y) = (x,n(y)) ф <^(y) G M2n, где п — перестановка, не являющаяся APN-функцией. Тогда число бент-функций, лежащих на минимальном расстоянии от f, строго больше нижней оценки 22n+1 — 2n.
Таким образом, для функций f (x,y) = (x,n(y)) ф <^(y) G M2n, где п не является APN-перестановкой, существует подпространство U размерности n, такое, что бент-функция f ф Indu G M2n.
Далее будем представлять булевы функции как функции из F2n в F2, зафиксировав в поле F2n некоторый базис над F2. Функция tr : F2 n —у F2, определённая как
tr(x) = x2 + x2 + ... + x2" , называется следом. Любая f G Fn представима в виде /2"-1 \
f = tr ( cfcxk I. Такое представление не единственно, но его можно сделать тако-
V k=0 )
вым [6]. Функции класса M2n в этом представлении записываются как
f (x,y) = tr(xn(y)) +
где ^ : F2n — F2; п : F2n — F2n —взаимно однозначная функция; x, y G F2n. В поле F2n функция обращения элемента F (x) = x2"-2 является взаимно однозначной. Отметим, что при нечётных n это APN-перестановка.
Теорема 3. Пусть n ^ 5 — простое; функция f (x,y) = tr(xy2"-2) + <^(y) G M2n, x, y G F2n, такова, что ^ не является функцией вида
tf (y) = Со + tr(^iy21-1 + в2у22-1 + ... + вп-iy2"-1-1) + C2"-iy2"-1 G Fn,
где y G F2n, c0, c2n-1 G F2, в1, в2,... , вп-1 G F2n. Тогда для f существует ровно 22n+1 — 2n бент-функций, лежащих на минимальном расстоянии от неё, т. е. рассматриваемая оценка является достижимой.
Пример 1. Условию теоремы 3 при любом простом n ^ 5 удовлетворяют, в частности, функции f (x,y) = tr(xy2"-2) + tr(y5) и g(x,y) = tr(xy2"-2) + tr(y11).
Не составляет труда посчитать число функций f из теоремы 3.
Следствие 1. Пусть n ^ 5 — простое. Тогда число функций из M2n, для которых достигается нижняя оценка 22n+1 — 2n, не меньше 22" — 2n -n+2.
Известны некоторые бент-функции, для которых точно посчитано количество бент-функций на минимально возможном расстоянии 2n от них:
— это количество равно нулю для неслабонормальных бент-функций. Такие бент-функции рассматривались в работах [7, 8];
— это количество равно 2n(21 + 1)... (2n +1) для квадратичных бент-функций [9]. Это значение является также верхней оценкой числа бент-функций на расстоянии 2n от исходной бент-функции, при этом достигается она только для квадратичных бент-функций [10].
Теорема 3 даёт точное число бент-функций, лежащих на минимальном расстоянии от ещё ряда бент-функций из M2n.
2. Число бент-функций из M2n на некотором расстоянии
от бент-функций из C
Класс C введён в работе [2], он состоит из функций вида
/(x,y) = (x,n(y)) Ф IndL±(ж),
где L — линейное подпространство F^ и п — перестановка на F^, такая, что для любого a G Fn множество п-1(а Ф L) — аффинное подпространство.
Рассмотрим конструкцию / м- / Ф IndS для бент-функций /(ж, у) = (ж, п(у)) Ф (ж) G C и множеств S, не обязательно являющихся подпространствами. В следующей теореме для оценки использованы бент-функции д(ж,у) = (ж, т(у))Ф^(у) G M2n, такие, что т(у) = п(у) Ф c, c G Fn. Отметим, что число таких перестановок т равно 2n и мало по сравнению с числом всех перестановок 2n!.
Теорема 4. Количество бент-функций из класса M2n, лежащих на расстоянии m от бент-функций /(ж, у) = (ж, п(у)) Ф IndL± (ж) G C от 2n переменных, таких, что dim L± = k, не менее
2n
1) I j, если m G {2k (w(2n-k - 2) + 2n) : w = 0,1,..., 2n};
2n
2П j (2n-k - 1), если m G {22n-1 + 2k(2n - 2w) : w = 0,1,..., 2n}, где 0 ^ k < n.
Если рассмотреть расстояние 22n-1 отдельно, то для него можно получить гораздо большую нижнюю оценку, чем даёт предыдущая теорема.
Теорема 5. На расстоянии 22n-1 от бент-функций из класса C от 2n переменных лежит не менее 22" (2n-1)! бент-функций из класса M2n.
ЛИТЕРАТУРА
1. Rothaus O. On bent functions // J. Comb. Theory. Ser. A. 1976. V.20. No.3. P. 300-305.
2. Carlet С. Two new classes of bent functions // LNCS. 1993. V. 765. P. 77-101.
3. Zhang F., Cepak N., Pasalic E., and Wei Y. Further analysis of bent functions from C and D which are provably outside or inside // Discr. Appl. Math. 2020. V. 285. P. 458-472.
4. КоломеецН. А., Павлов А. В. Свойства бент-функций, находящихся на минимальном расстоянии друг от друга // Прикладная дискретная математика. 2009. №4(6). С. 5-20.
5. Kolomeec N. The graph of minimal distances of bent functions and its properties // Des. Codes Cryptogr. 2017. V.85. P. 395-410.
6. Логачев О. А., Сальников А. А., Ященко В. В. Булевы функции в теории кодирования и криптологии. М.: МЦНМО, 2004.
7. Canteaut A., DaumM., Dobbertin H., and Leander G. Finding nonnormal bent functions // Discr. Appl. Math. 2006. V. 154. Iss.2. P. 202-218.
8. Leander G. and McGuire G. Construction of bent functions from near-bent functions // J. Comb. Theory. Ser. A. 2009. V. 116. No. 4. P. 960-970.
9. Коломеец Н. А. Перечисление бент-функций на минимальном расстоянии от квадратичной бент-функции // Дискретн. анализ и исслед. опер. 2012. T. 19. Вып. 1. С. 41-58.
10. Коломеец Н. А. Верхняя оценка числа бент-функций на расстоянии 2k от произвольной бент-функции от 2k переменных // Прикладная дискретная математика. 2014. №3(25). С.28-39.