О ПОДСТАНОВКАХ, РАЗРУШАЮЩИХ СТРУКТУРУ ПОДПРОСТРАНСТВ ОПРЕДЕЛЁННЫХ РАЗМЕРНОСТЕЙ Текст научной статьи по специальности «Математика»

2024 Теоретические основы прикладной дискретной математики № 65

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ПРИКЛАДНОЙ ДИСКРЕТНОЙ МАТЕМАТИКИ

УДК 519.7 DOI 10.17223/20710410/65/1

О ПОДСТАНОВКАХ, РАЗРУШАЮЩИХ СТРУКТУРУ ПОДПРОСТРАНСТВ ОПРЕДЕЛЁННЫХ РАЗМЕРНОСТЕЙ1

Н. А. Коломеец

Институт математики им. С. Л. Соболева СО РАН, г. Новосибирск, Россия

E-mail: [email protected]

Рассматриваются асимптотические оценки мощности множеств РЩ обратимых функций F : РП ^ Fn, для которых л юбое U С F^ и его об раз F (U) не могут одновременно являться аффинными подпространствами F^ размерности к, где

3 ^ к ^ n — 1. Приведены нижние оценки мощности РЩ и РЩ П • • • П Pn-1 > усиливающие результаты 2007 г. (W. Е. Clark, X. Hou, A. Mihailovs) о непустоте данных множеств. Доказано, что почти все подстановки на Fn принадлежат РПП.. .ПРЩ-1. Для мощности множества РЩ получены асимптотические оценки снизу и сверху с точностью до o(2n!): o(1) ^ |РЩ|/2п! — (1 — р) ^ р2/2 + o(1) где р = 5/224. Данные оценки справедливы и для мощности РЩ П ... П РЩ-1. Схожим образом оценено снизу число функций из РЩ4 П ... ПРЩ-1, которые отображают ровно одно аффинное подпространство Fn размерноети 3 в аффинное подпространство. Приведена связь ограничений компонентных функций F со случаем, когда и U, и F(U) — аффинные подпространства Fn. Предложена характеризация дифференциально

4

Ключевые слова: аффинные подпространства, асимптотические оценки, нелинейность, дифференциальная равномерность, APN-фунщии.

ON PERMUTATIONS THAT BREAK SUBSPACES OF SPECIFIED DIMENSIONS

N. A. Kolomeee Sobolev Institute of Mathematics, Novosibirsk, Russia

We consider the sets РЩ consisting of invertible functions F : Fn ^ Fn such that any U С Fn and its image F(U) are not simultaneously k-dimensional affine subspaces of Fn, where 3 ^ к ^ n—1. We present lower bounds for the cardinalities of all such РЩ and РЩ П... ПРЩ-1 that improve the result of W. E. Clark, X. Hou, and A. Mihailovs, 2007, providing that these sets are not empty. We prove that almost all permutations of Fn belong to РЩ П ... П РЩ-1. Asymptotic lower and upper bounds of |РЩ| up to o(2n!) are obtained: o(1) < |РЩ|/2п! — (1 — р) < р2/2+о(1), where р = 5/224. They are correct for |РЩП... ПРп-1| as well. The number of functions from РЩ П... ПРЩ-1 that map exactly one 3-dimensional affine subspace of Fn to an affine subspace is estimated.

1 Работа выполнена в рамках госзадания ИМ СО РАН (проект .Y" K\Y.\T 2022 0019).

The connection between the restrictions of component functions of F and the case when both U and F(U) are affine subspaces of F^ is obtained. The characterization of differentially 4-uniform permutations in the mentioned terms is provided.

Keywords: affine subspaces, asymptotic bounds, nonlinearity, differential uniformity, APN functions.

Введение

В работе рассматриваются ограничения взаимно однозначных отображений на аффинные подпространства Fn в случае, когда их образ также является аффинным подпространством Fn Обозначая множество всех подетановок па Fn через Pn, будем говорить, что п G Pn сохраняет структуру аффинного подпространства L Ç Fn, если n(L) = {п(х) : x G L} — аффинное подпроетранетво Fn; в противном случае п разру-L

Lk(п) = {L Ç Fn : L и n(L) — аффинные подпространства Fn размерности k} (1)

и множества функций, разрушающих структуру подпространств определённых размерностей:

Pk = {п GPn : Lfc (п) = 0} и Vnk = Pn П Vkn+l П ... ПРГ1. (2)

Основное внимание в работе будем уделять именно этим множествам. Заметим, что P0 P»1 и Pn всегда пусты, так гак все подмножеетва Fn из 1, 2 и 2n элементов являются аффинными подпространствами. Будем называть такие размерности тривиальными.

Впервые данные свойства подстановок были рассмотрены в работе [1]. Сохранение структуры подпространства L Ç Fn функцией п G Pn позволяет использовать п|L : L ^ пЩ так же, как и f |L для б^еюй функции f : Fn ^ F2: зафиксировать некоторые базисы L и п^) и перейти к подетановке вида F^1™L ^ F^1™L, При этом её криптографические свойства (см, [2-6]), инвариантные относительно применения обратимых аффинных преобразований, не зависят от выбора базисов, К таким свойствам, например, относятся алгебраическая степень, нелинейность и порядок дифференциальной равномерности. Одним из подходов к построению функций могут быть их конструкции как подфункций [7]. Для этого использовались и схожие концепции подфункций [8-10], Разрушение структуры подпространств связано с инвариантными подпространствами отображений (см., например, [11]), которые могут быть использованы в атаке с помощью инвариантного подпространства [12] (см, также обобщение атаки [13] и работы о построении таких подпространств, начиная с S-блоков [14, 15]), Одним из важнейших классов криптографических функций является множество APN-

Pn2

Во-первых, в работе рассматривается характеризация множеств L G Lk (п) че-

п G Pn L

ство можно связать и с нелинейностью п. Также через свойства элементов С2(п) охарактеризованы дифференциально 4-равномерные подстановки: мощность переее-

1

ждение 4), Далее мы усиливаем результаты [1] о непустоте P^3, т.е. о существовании функций, разрушающих структуру всех аффинных подпространств Fn размерностей от 3 до n — 1. Для этого используется среднее число pn,k (и an,k) элементе в в Lk (п) (и Lk(п) U ... U £п-1(п)) дая п G Pn (см, утверждения 5, 6 и 7 об их свойствах). Главным образом, результаты касаются их мощности при n ^ œ. Показано, что почти

все функции разрушают структуру всех аффинных подпространств Fn размерности от 4 до n — 1, т. е, |Pnf4| = 2n! — o(2n!) (см, следствие 5), Получены следующие оценки для |pni; справедливые и для |P^3|: o(1) ^ |РПI/2П! — (1 — р) ^ р2/2 + o(1), где р = 5/224 (см, теорему 2), Оценено также количество функций, сохраняющих структуру ровно одного аффинного подпространства Fn (см, следствие 6),

1. Определения

Пусть Fn — векторное пространство раз мерности n над пол ем F2, состоящем из двух элементов. Сложение в Fn обозначим через ф, Для x = (x^ ..., xn),y = (yi,..., yn) G Fn определим (x, y) = x1y1 ф... ф xnyn, Аффинное подпространство L С Fn определяется как L = а ф L' = {а ф x : x G L'}, где L' — линейное подпроетранство Fn и a G Fn, его размерность dimL равнa log2 |L|, Множества всех линейных и аффинных подпространств Fn размерноети k обозначим через Sn и Sn соответственно, Для L' G Sn существует ортогональное подпространство L'x = {y G Fn : (x,y) = 0 для всех x G L'}, при этом L'± G Sn-fc. Через (S) и (S)a обозначим линейную и аффинную оболочки множества S С Fn, т. е. пересечение всех L G Sn U ... U Sn (L G Sn U ... U S^), содержа-S

Функция вида F : Fn м F^ называется векторной булевой функцией, а если m = 1, то булевой функцией. Её компонентной функцией называется Fa : x м- (a, F(x)),

где а G Fm \ {0}, Любая F может быть единственным образом представлена в виде

()

F(x1, x2,..., xn) = 0 gax«1 x«2 ... xnn, где ga G Fm И 0° = 1.

«eF^

Степенью deg F называется степень её полинома Жегалкина, Функция F называется аффинной, если deg F ^ 1, и квадратичной, если deg F = 2, Вес Хэмминга булевой функции f : Fn м F2 — количество x G Fn, таких, что f (x) = 1; f сбалансирована, если её вес равен 2n-1, Расстояние Хэмминга, между f, g : Fn м F2 —количество x G Fn, на которых f (x) = g(x).

Нелинейностью Nf функции f называется расстояние Хэмминга от f до ближайшей к ней аффинной булевой функции. Нелинейность NF векторной функции F : Fn м Fm определяется как

Nf = min Nf, .

beFm\{°}

Это инвариант относительно аффинной эквивалентности: F, G : Fn м F^ аффиппо эквивалентны, если существуют обратимые аффинные преобразования A : Fn м Fn и B : Fm м Fmm, такие, что G(x) = B(F(A(x))) для всех x G Fn. Нетрудно видеть, что |L(п)|, определённое в (1), также является инвариантом относительно аффинной эквивалентности, а множества Pn и из (2) замкнуты относительно аффинной эквивалентности.

Более подробную информацию о функциях и их криптографических свойствах можно найти в [2-6],

2. Связь с криптографическими свойствами

Приведём связь множеств (п) с компонентными функциями п, её нелинейностью и порядком дифференциальной равномерности. Начнём с тривиального свойства элементов L°(n) U ... U Ln(n),

Утверждение 1. Пусть п б Pn сохраняет структуру аффинных подпространств L, U С F^. Тогда п сохраняет структуру L П U,

Доказательство. Ясно, что для любого x е L П U справедливо x е n(L) П n(U), т.е. n(L П U) С n(L) П n(U), Учитывая существование п-1, получаем n(L П U) = = n(L) П n(U).■ " "

2,1, Компонентные функции и нелинейность Утверждение 2. Пусть F : F^ м F™ и U — подпространство F^. Тогда

(а е Fm : x е U м (а, F(x)) — постоянна} = (F(u) ф (F(U))A)X, где u е U,

т. е, ровно 2m-dim(F(u— 1 компонентных функций F постоянны на U,

Доказательство. Пусть а е Fmp, u е U, v = F(u) и V = F(U) С F£\ Тогда функция Fa : x м (а, F(x)) постоянна на U, если и только если

(a, v ф у) = 0 для всех у е V.

Это эквивалентно тому, что а е (v ф V У бра в а = 0, получим ровно 2m-dim(v®y) — 1 различных компонентных функций. Для завершения доказательства осталось показать, что

(V)a = v ф^ ф V). (3)

Действительно, любое аффинное подпространство V' С Fmp, содержащее V, содержит и v, т, е, v ф V' D v ф V и v ф V' — линейное. Следовательно, v ф V' содержит (v ф V), Значит, (V) a D v ф (v ф V) .Но v ф (v ф V) — это также аффинное подпространство F^, содержащее V, т. е. (3) доказано, ■

Для взаимно однозначных функций справедлив следующий критерий.

Следствие 1. Пусть п е Pn и U — аффинное подпроетр апство F^. Тогд а п сохраняет структуру U, если и только если ровно 2n-dim u — 1 компонентных фу нкций п U

Доказательство. Пусть u е U, V С Fmm, |V| = 2n-dimu, 0 е V и (v^(x)) постоянна на U тогда и только тогда, когда v е V, Ясно, что V — линейное подпространетво Fn, так как множество постоянных функции замкнуто относительно сложения. Следовательно, п^) ф ^U) С Vх, Но тогда dim(п(U))д ^ n — (n — dim U) = dim U, С учётом взаимной однозначности п, ^U) может быть только аффинным подпространством F^. Доказательство в другую сторону напрямую следует из утверждения 2, ■

Отметим, что булевы функции, постоянные на некотором аффинном подпространстве Fn размерности k, называются k-нормальными [17-19], Если dim(F(U))д < m для F : Fn м Fmm (или U е (F) в случае обратимой F и k < ^о F имеет dim U

ций (а значит, и можно оценить сверху как 2n-1 — 2dimU-1 [20, 21], Эту и другие оценки нелинейности можно найти в работе [7], Оценка 2n-1 — 2dimu-1 при U е (F) следует также из [12], Таким образом, функции с высокой нелинейностью разрушают структуру аффинных подпространств Fn больших размерностей.

Интересным является и критерий сохранения структуры гиперплоскостей, доказанный в одну сторону в [7],

Следствие 2. Пусть п е Рга. Тогда £ е £п-1(п) ^^ а ф £ е £п-1(п) для всех а е Fn. При этом

|£га-1(п)| = 2|{Ь е Fn \ {0} : х ^ <Ь,п(х)> - аффинна}|

И^п = 0 ^ £п_1(п) = 0.

Доказательство. Если £ е £га-1(п), то \£) = Fn\п(£), где Fn\£ и Fn\п(£) являются аффинными подпространствами Fn размерноетп п — 1 (гиперплоскостями). Следовательно, Fn\£ е £га-1(п), т. е, £га-1(п) разбивается па пары {£, Fn\£}. При этом Fn \ £ = а ф £ для некоторого а е Fn, и в цел ом ^ ф £ для ^ е ^совпадает ли бо с £, либо с Fn \ £,

Далее, по следствию 1: £ е £га-1(п) ^^ ровно одна компонентная функция пь постоянна на £, Ь е Fn \{0}. Но так как п обратима, её компонентная функция пь должна быть сбалансированной [5]. Следовательно, пь постоянна и на Fn \ £, т. е. она является аффинной. Таким образом, пара {£, Fn \ £} С £га-1 (п) соответствует некоторой одной аффинной пь.

В обратную сторону справедливо аналогичное соответствие, так как аффинность некоторой компонентной функции означает, что она постоянна на некоторой гиперплоскости £ е и её сдвиге Fn \ £ [5], т. е. аффинная (и сбалансированная) пь соответствует ровно одной паре {£, Fn \ £} С £га-1(п), Обратим внимание, что компонентные функции пь и пс при различнж Ь, с е Fn, являющиеся аффинными, не могут иметь одно и то же £: тогда их сумма пь ф пс, являющаяся компонентной функцией пЬфс, не будет сбалансированной.

Осталось воспользоваться определением: N = 0 ^^ некоторая из компонентных функций п аффинна, ■

2,2, Дифференциальная равномерность и АРМ-функции

Порядком дифференциальной равномерности $(С) функции С : и ф £ ^ и' ф £', где £ и £' — линейные подпроетранетва Fn и Fmmг соответственно, и е Fn и и' е FmГ', называется минимальное ¿, такое, что при любых параметрах а е £ \ {0} и Ь е £' уравнение С(х) ф С(х ф а) = Ь имеет не более £ решений относительно х е и ф £, Если |£| = |£'| и £(С) = 2, то С называется АРМ-функцией. Обратим внимание, что в литературе также встречается термин порядок разностной равномерности (по аналогии с разностным криптоанализом).

Отметим, что свойства $(С) полностью соответствуют свойетвам 5 (С) для функций С' : Fdlmь ^ Fdlmь ; для п е и £ е (п), выполняется $(п|^) ^ ^(п). Данное свойство активно используется, например, в [7]. Одним из эквивалентных определений АРМ-подстановок является следующее: п е Рга —АРК-функцпя ^^ £2(п) = 0В общем случае сохранение структуры подпространств определённых размерностей не ограничивает порядок дифференциальной равномерности функции, примером чего является функция обращения элементов конечного поля, порядок дифференциальной равномерности которой равен 2 и 4 при нечётном и чётном числе переменных соответственно [16]. Согласно [11], справедливо следующее

Утверждение 3 (Н, А, Коломеец, Д. А, Быков, 2024), Пусть п(х) = х2"-2 для х е F2n и 2 ^ к ^ п. Тогда (п)| = (2П — 1)/(2к — 1) при к | ^^аче (п) = 0,

Однако можно гарантировать пустоту некоторых (п) в случае АРМ-подстановок,

Следствие 3. Пусть п > 2 и п е — АРМ-функция, Тогда £2(п) = £4(п) = = £га-1(п) = 0. Есл и п — квадратичная, то (п) = 0 для всех чёт пых к, 1 ^ к ^ п.

Доказательство. Пусть Ь е (п), Поскольку ¿(п|^) ^ ¿(п), п|^ также должна быть АРМ-подстановкой, Таким образом, £2(п) пусто в силу эквивалентного определения АРМ-подстановок, Множество £4(п) пусто в силу несуществования АРМ-подстановок от 4 переменных; если £п-1(п) непусто, то по следствию 2 пелипейпость п равна 0,

-

квадратичных АРМ-подстановок от чётного числа переменных, ■

Для некоторых небольших п существуют функции, разрушающие структуру всех подпространств К? нетривиальных размерностей. Например, при п е {3, 5, 7} функция инверсии элементов конечного поля принадлежит Р^2. Множество Р^ пусто, а вот Р^2 содержит АРМ-подстановку, найденную в [23]: £2(п), £4(п) и £5(п) для неё пусты по следствию 3 и, согласно экспериментальным данным, £3(п) также пусто,

2,3, Классификация функций с ¿(п) = 4

Нетрудно классифицировать дифференциально 4-равномерные функции, исходя из структуры £2(п).

Утверждение 4. Пусть п е Рп и £2(п) = 0. Тогда ¿(п) = 4 ^^ любые два различных элемента £2(п) пересекаются по не более чем одному элементу.

Доказательство. Условие £2(п) = 0 гарантирует, что ¿(п) ^ 4.

Пусть ¿(п) = 4. От противного: пусть |Ь П и| = 2 для пекоторых Ь, и е £2(п), т. е. в силу взаимной однозначности п справедливо |п(Ь)| = |п(и)| = 4 и |п(Ь) \п(Ь П и)| = = |п(и) \ п(Ь П и)| = 2.

Обозначим Ь П и = {а, а ф V} и п(Ь П и) = {п(а),п(а) ф V)}, где а,г>,г>' е К? и V, V = 0, Но тогда Ь \ (Ь П и) = {6,6 ф V} и и \ (Ь П и) = {с, с ф V} для некоторых 6, с е е К?, вде а, 6, с попарно различны, так гак суммы всех элементов Ь и и должны быть равны пулю. Так как п(Ь) и п(и)—тоже аффинные подпространства К?, аналогично получаем п(Ь) \п(ЬП и) = {п(6), п(6) ф V} и п(и) \п(ЬП и) = {п(с), п(с) фV}, Отсюда уравнение п(х) фп(хфV) = V имеет как минимум шесть решений а, афV, 6, 6фV, с, сфV, что противоречит ¿(п) = 4. Таким образом, любые различные Ь, и е £2(п) либо не пересекаются, либо пересекаются по одному элементу.

Пусть любые различные Ь, и е £2(п) пересекаются по не более чем одному элементу, От противного: пусть ¿(п) > 4. Тогда для некоторых а е \{0} и 6 е К? существуют шесть различных х, х ф а У, У ф а £ ф а х, у, г е К?, таких, что п(х) ф п(х ф а) = = п(у) ф п(у ф а) = п(г) ф п(г ф а) = 6. Но тогда {п(х),п(х ф а),п(у),п(у ф а)} и {п(г),п(г ф а),п(у),п(у ф а)} являются аффинными подпространствами К?, размер-

2п по двум элементам, т, е, мы пришли к противоречию, ■

Результаты работы [24] позволяют оцепить сверху мощность ^(п) при ¿(п) = 4. В ней рассматриваются количества четвёрок х1,х2,х3,х1 ф х2 ф х3 е К?, таких, что F(х1) ф^(х2) ф^(х3) = ^(х1 фх2фх3) для ^ : К? ^ К?. Если ^ взаимно однозначна, то это в точности |£2(^)|. Например, [24, теорема 2.3] позволяет по дифференциальному спектру подсчитать |£2(^)|:

" ^ )1 = 1 Е Е(М[)/2),

3аеК?\{о}ьеи? V 2 /

где ) — количество решений уравпепия ^(х) ф ^(х ф а) = 6. Поскольку

Е ) = 2га, то для дифференциально 4-равномерных функций справедлива сле-

ьеК?

дующая оценка, достигающаяся в точности при е {0, 4}:

Следствие 4. Пусть п е Pn и ¿(п) = 4. Тогда |А(п)| ^ ^2n-2(2n — 1).

n

она гарантированно достигается при n = 2m + 2, Например, для функций Голда вида

F(x) = x22i+1, где x е F22m+2, 1 ^ i ^ m и (i,m + 1) = 1,

выполняется ¿a,b е (0, 2(2i,2m+2)}, и они являются взаимно однозначными [3, 4, 25], Таким образом, для них достигается оценка следствия 4, Данное количество для всех функций Голда (в том числе необратимых) на языке четвёрок подсчитано в [24, теорема 3,4], Достигается ли данная оценка при n = 4m, остаётся открытым вопросом,

3. Подстановки, разрушающие структуру подпространств определённых размерностей

Имея заданную подстановку, непросто доказать, что она разрушает структуру каких-либо аффинных подпространств F^ Однако можно оценить число таких функций, Например, в [1] доказано, что P^3 непусто. Оценим доли |Pn| и |Prfk| к |Pn| ПРИ n м гс, Введём следующие обозначения:

^ /2n\ n-1

pn,k = |Sn|V ( 2W , an,fc = E pn,i.

Напомним также, что

k—1 k—1 П (2n — 2*) П (2n-i — 1)

|snI = k=0-= k=0- и SI = 2n-k|s„k|.

П (2k — 2*) П (2i+1 — 1)

*=о *=0

Из доказательства [1, теорема 2,1] можно заключить, что справедливы следующие оценки:

Теорема 1 (W, Е, Clark, X, Hou, and A, Mihailovs, 2007), Пусть 3 ^ k < n. Тогда |Pnk | ^ (1 — Pn,k )|Pn| И |P^ | ^ (1 — ^n,k )|Pn|.

Заметим, что числа pn,k и an,k имеют и более важное значение: это среднее количество аффинных подпространств Fn размерноети k (размерности от k до n — 1), которое

Pn

Pn,k |Pn| = Е |Lk (п)| = Е |Lk (п)| ^ |Pn \Pnk | = |Pn| — |Pnk | nePn nepn\pn

и аналогично для an,k, что является доказательством теоремы 1, Далее мы детально рассмотрим это и другие свойства pn,k и an,k.

3,1, Среднее количество подпространств, структуру которых сохраняет подстановка

Начнём с утверждения о средней мощности Lk (п).

Утверждение 5. Среднее количество аффинных подпространств Fn размерности k, структуру которых сохраняет подстановка на Fn, равно pn,k, т.е.

1 1 n- 1

Pn,k = ^ Е ^(п)| и an,k = ^ Е Е |^*(п)|. |P n| пег„ |P n| ner„ i=k

Доказательство. Пусть т(п,Ь) = 1, если п(Ь) е ¿^к, и 0 иначе, где п е Рп и Ь е Перепишем сумму из условия следующим образом:

Е (п)| = Е Е т(п, Ь) = Е Е т(п, Ь) = Е |{п еР, : п(Ь) е$к}|. (4)

Выберем любое Ь е и подсчитаем количество различных п е Р„, для которых п(Ь) е <5),, Во-первых, мы можем выбрать любое из в качеетве п(Ь), при этом разные п(Ь) влекут и разлпчпе п, т. е. получаем ^| вариантов п(Ь), Далее, п|ь можно выбрать |п(Ь)| = 2к! способами, так как мы зафиксировали п(Ь), Каждое такое п|ь нужно продолжить па всё Щ,, т. е. вставшиеся 2П — 2к элементов нужно расположить всевозможными (2П — 2к)! способами на К, \ Ь. Итого, учитывая, что начальное Ь из |5>П запишем

Е (п)| = Й| ■ Й2к! (2П — 2к)!.

Поделив всё на |Р,| = 2П!, получим то, что требуется доказать, ■

Для тривиальных аффинных подпространств рга>к также находится тривиально:

Рга,0 = 2"\ Рп,1 = 2"" 1(2" — 1), Рга,га = 1

Приведём в явном виде выражения для Рга>2 и рП;3, Утверждение 6. Справедливо

2п_3(2п — 1)(2П — 2) 22п_3 1 1 Рп,2 =-777^—^-= —^Т" + тг; +

3(2П — 3) 3 12 2П+2 — 12'

_ 2га(2га — 1)(2П — 2)(2П — 4) _ 5

Рга'3 = Р (2" — 3)(2" — 5)(2" — 6)(2" — 7), ВД6 Р = 224.

Для доказательства достаточно воспользоваться общей формулой и выполнить несложные приведения,

3,2, Свойства Рга>к и ага;к пр и к ^ 3 Рассмотрим свойства Рга;к и ага>к при к ^ 3, т. е. когда их значение меньше 1, Сосредоточим внимание на Р„;3, ага>3 и

Лемма 1. Пусть 2 ^ к < п — 1, Тогда

Р«,,к

Рга'к+1 22га_6(2га_к_1 — 1)2к_4 .

Доказательство. Имеет место

П(2га_ — 1)

1 ога_к _ 1 0(,0га_к_1 _ 1 N

| 5к+11 = 2«_к_1 »=0_ = 1 2_11 ?к| < 2(2_1)1 5к|

|0п 1 = 2 к =2 2к+1 _ 1 |0"1 < 2к+1 _ 1 |0"|.

П (2»+1 — 1)

»=о

При этом

2к+1~ 1 2к-1 2™ _ 2к _ V /2™\ , /2^

= По (2" " По^^к^-^Г2к) > " Л

Подставив неравенства в выражение для рп,]+1 из утверждения 5, получим

< 4(2П_]-1 — 1)2Рга,к =_4рпк_

Рга,к+1 (2га_к_1 — 1)2к (2^+1 — 1)2 (2^-^-1 — 1)2к-4(2« — 2га_]_1 — 2к+1 + 1)2 '

Учитывая, что 2П — 2га_]-1 — 2к+1 + 1 > 2га_2, получаем требуемое неравенство, ■

Рассмотрим поведение рп,к при увеличении п. Лемма 2. Пусть 4 ^ к ^ п. Тогда

Рп+1,к < 22к+4 2 рга,к. (5)

Доказательство. Ясно, что

П(2 + — 1) 2«+2 — 2 ^ 2«+2 Ш^1 — 1)

I o~fc I _ г)П+1—fc г=0 _ 2 2 I ^ 2 I _ ofc+2| ckl

|Sn+1| = 2 -¡¿-1 = 2n-fc+^ X |Sn| < 2n=fc = 2 |Sn|.

i=0

/2"+1\ 2k-i 2k-i 2ra+1 _ i /2™\ . /2

В то же время 2fc J = Д (2n+1 - i)/2fc! = П [> 22 2fc

Подставив неравенства в формулу для рп+1,к, получим (5), ■ Докажем основные свойства рп,к и при k ^ 3,

Утверждение 7. Зафиксируем k ^ 3, Тогда последовательности рп,к и n = = k + 1,k + 2,k + 3,... монотонно убывают, при этом

р, k = 3,

lim p„,fc = lim a„,fc = < п^те п^те I о, если k ^ 4.

Доказательство. По утверждению 5

2п(2п - !)(2п - 2)(2п - 4) 2n 2п - х 2п - 4 2п - 4

Рп,з = р (2п - з)(2п - 5)(2n - 6)(2n - 7) = р 2п - 3 2п - 5 2п - 6 2п - 7,

р

Монотонное убывание рп,к при k ^ 4 следует из леммы 2:

2-4 > 22fc+4-2fe > рга+1^ ^

Докажем, что = рк,п + ... + рп-1,п также монотонно убывает. Учитывая убывание рп,к, достаточно показать, что рп,п-1 > рп+1,п-1 + рп+1,^. Так как n ^ 4, то рп+1,п < рп+1,п-1 по лемме 1, Далее достаточно воспользоваться (6),

Найдём пределы рп,к и Очевидно, что рп,3 стремится к р. Для нахождения всех оставшихся пределов достаточно показать, что ап,4 сходится к пулю. Воспользуемся убыванием ап,4 и леммой 1:

_ 1 n - 4

ага,4 = Е рп,к < o2n_6 ■ рп,3, ¡ =4 2 -

т. е, an 4 сходится к нулю, ■

Таким образом, рп,3 = ап,3 = р + о(1) и рга,к = ага,к = о(1) при к ^ 4, Используя монотонное убывание рп,& и можно оценивать сверху их значения при больших п начальными значениями. Например, рп,3 < р5,3 < р4,3 для всех п ™ 6, где

10 _ 124

р4,3 = 143 И р5,3 = 3393 •

В табл. 1 приведены округлённые значения наиболее используемых далее рп,3, ап,3 и ап4 для небольших П5 при этом р ~ 0,0223214285714286, Заметим также, что вероятность события п € Р™3 при случайном выборе п € Рп превышает 93 96 и 97% для п = 4, 5 и п ™ 6 соответственно.

Таблица 1

Округлённые значения рп,3, стп,3 и стп,4 доя 4 ^ п ^ 12

п Рп,3 ^п,3

4 0,0699300699300699 0,0699300699300699 1

5 0,0365458296492779 0,0365522248005155 6,3951512375906990 10- -06

6 0,0281384877529501 0,0281385016330859 1,3880135807123695 10- -08

7 0,0249785705552490 0,0249785706508960 9,5647023517238220 10- -11

8 0,0235940660426061 0,0235940660436301 1,0240104891952223 10- -12

9 0,0229445264556499 0,0229445264556632 1,3335844188797633 10- -14

10 0,0226297620233199 0,0226297620233201 1,9054283870459533 10- -16

И 0,0224748023114524 0,0224748023114524 2,8481291963864860 10- -18

12 0,0223979185358598 0,0223979185358598 4,3530671380777510 10- -20

Далее для построения оценок воспользуемся тем, что рп,& и меньше 1 при к ™ 3

2^™-3 1 1

и не будем рассматривать рп 2, Однако среднее значение рп2 = —---+ — + -гт:

3 12 2п+2 — 12

для |£2(п)| по п € Рп (см. утверждение 6) можно соотнести с верхней оценкой |£2(п)|

22™-2_2™-2

при $(п) = 4 (см. следствие 4), достижимой в случае п = 2т+2: |£2(п)| ^ -,

3

п

случае не является существенным ограничителем на количество элементов в (п),

3,3, Мощность Р™ п р и п ^ то Воспользовавшись свойствами рп,& и оценим асимптотику числа подстановок из РП и Р™ при к ^ 4,

Следствие 5. Почти все п € Рп разрушают структуру всех аффинных подпространств размерности от 4 до п — 1, т. е.

Ит 1Ргг = 1.

Это справедливо и для каждого Рк и Р™ при к ™ 4,

Доказательство очевидно следует из теоремы 1 и утверждения 7, Для получения асимптотики размера Р3 и Р™3 нам потребуется следующая Лемма 3. Пусть и — аффинное подпроетранетво ЕП размерности к. Тогда количество аффинных подпространств ЕП размерности т, пересекающихся с и по аффинному подпространству размерности ¿, равно 2(к-4)(т-4) ■ | ■

Доказательство. Без ограничения общности можно считать, что Е« = х и и = {0} х Подсчитаем только линейные подпространства х для нахождения количества аффинных подпространств домножим полученный результат на 2]_4, Далее достаточно воспользоваться представлением базиса линейного подпространства Е« размерноети т в виде приведённой ступенчатой матрицы (матрицы Гаусса — Жор дана): первая слева единица в каждой её последующей строке находится правее предыдущей (эти единицы называются ведущими), и ведущая единица — единственный ненулевой элемент столбца. Любое линейное подпространство имеет единетвен-

тх п

из четырёх частей:

'ь Т

м-- 0 л

где Ь и Л — матрицы Гаусса — Жор дан а размера (т — £) х (п — к) и £ х к соответственно; Т — матрица раз мера (т — £) х к с единственным ограничением: над ведущими единицами Л (их £ штук) стоят нули. Пересечением и с линейным подпространством Е«, базисом которого являются строки М, будет {0} х Л', где Л' —линейное подпространство базис которого-строки Л, Таким образом, чтобы перебрать все нужные М, требуется выбрать Ь (|£П!__*| способов), выбрать Л | способов) и оставшиеся элементы Т (2](т_4)_4(т_4) способов), ■

Теорема 2. Справедливо

|Р31 Р2

о(1) ^ — (1 — р) ^ РГ + о(1).

Данные неравенства справедливы и для |р^3|.

Доказательство. Оценка снизу напрямую следует из теоремы 1, Для доказательства оценки сверху воспользуемся утверждением 5 и равенством (4):

Рп,]|Р«| = Е (п)| = Е |{п ЕР« : п(Ь) Е<§]}|.

Пусть т = [¿^ и = {Ь1, Ь2,..., Ьт}, т, е. пронумеруем все аффинные подпространства Е« размерности 3, Определим множества Л^, I Е {1,... ,т}, следующим образом:

Лг = {п Ер« : п(Ьг) Е . |Л11 + ... + |Лт| = р«,з|Р«|. (7)

Обозначив через Л^ множество Рп \ Л^, по методу включений — исключений получим

р3 = |ЛГп...ПЛт| = |Р«|— Е |Л»| + Е Лпл,-| +... + (—1)«|Л1 п...пЛт|. (8)

Мы не будем искать все пересечения, воспользуемся только следующей оценкой:

|р| ^ |р«|— Е А + Е |Л П л,|. (9)

Действительно, если какая-то п Е Рп припадлежит к различным Л^, то в выражении |Рп| — |Л1| — ... — |Лт| будет вычтена к раз из |Рп| вместо одного, т.е. лишние (к — 1) раз, Но после добавления пересечений она будет добавлена ещё к(к — 1)/2 раз.

При этом к(к — 1)/2 ^ к — 1 при к ^ 1, При к = 0 функция не будет вычтена, так как принадлежит Р3, Таким образом, в правой части получим не меньше чем |Р3|-Следовательно, (7) и (9) гарантируют

|P 3

|Pn|

nl - (1 - Pn,3) ^ E |Ai П Aj | = Tn. (10)

Вместо точной формулы для Тп далее рассмотрим только её асимптотику по старшему слагаемому. Разделив все пары (г,.;), г <; по мощности пересечения ЬПЬ,, разделим и Тп па соответствующие группы:

гр _ гр0 | | гр2 I

Тп Тп + Тп + Тп + Тп ,

где Т« = Е |Л п Л,|и Т« = Е Л п Л, |.

1, Найдём T;, т. е, Lj П Lj G S>£, где 0 ^ t ^ 2, Зафиксируем некоторое t, Первое Lj можно выбрать |S>3| способами, т.е. произвольным образом. Далее лемма 3 гарантирует, что способов выбрать Lj существует ровно

2(3—*)2 ■ S1 ■ S—3|. (11)

Таким образом, получаем 12(3-t)2 ■ |S>31 ■ |S3-3| ■ |S>3 способов выбрать 1 ^ i < j ^ m,

таких, что dimLj П Lj = t (так как i < j, мы поделили общее количество способов выбора упорядоченной пары (Lj,Lj) па два), Найдём для них |Aj П Aj|, Аналогично предыдущим рассуждениям, образ n(Lj) для п G Aj П Aj можем выбрать способами, т.е. произвольно. Количество способов выбрать образ n(Lj) равно (11), поскольку |n(Lj) П n(Lj)| = |Lj П Lj|.

Значения п на Lj П Lj можно выбр ать 2*! способами, переставляя элементы n(Lj) П П n(Lj); па оставшихся частях подпространств — (23 — 2*)!2 способами; вне Lj U Lj— (2n — (16 — 2*))! способами, т.е. получаем

Т* = l22(3-i)2 ■ |S|12 ■ 3|2 ■ |S?3|2 ■ (2n — (16 — 2*))! ■ 2*! ■ (23 — 2*)!2. Но ТП/2n! = o(1). Действительно,

ТП |sn-3|2 ■Й2 (2n — (16 — 2*))! = |sn-3|2 ■ Й!2

2"! * 2"! *2™ (2™ — 1)... (2™ — 15 + 2*)

где s* те зависит от n, При этом

|S3| = O(24n), |5П-31 = O(2(3—*)n), 2n(2n — 1)... (2n — r + 1) = O(2rn). (12)

£n| = O(24^ Таким образом

т*

= o(2(2(3-i)+2^4-16+24)n) = o(2(2'-2i-2)ra)

n _ о(2(2(3—*)+2 4-£

2n! =

)—2ra^ „ n/0—2«.

Подставляя t G {0,1, 2}, получим O(2 n), O(2 2n) и O(2 2n) соответственно. Это озна-

чает, что Т0 + ТП + ТП можно не учитывать.

dim L^nLj =t

L^nLj = 0

2, Найдём Т0 т. е, ^ П = 0, Здесь ^ можем выбрать |<5>3| способами, —

2 ✓ ^ ч

-з1) — 1 способами, согласно (11), и поделить на 2 в силу

4=0 ^ '

г <

Так как ^ П = 0, то и п(Ь^) П ) = 0, Аналогично подсчёту Т^, получим

Tf = 2Й|2(Й| - £ (2(3-t)2 ■ S| ■ S-3|) - Л ■ 23! ■ 23! (2n - 16)1.

2 t=o v 7

Согласно (12), старший член Tf/2"-! равен

|SS3|4 ■ 8! ■ 8! 26 ■ 72 ■ 62 ■ 52 ■ 42 ■ 62 24n(2n - 1)4(2n - 2)4(2n - 4)4

2 ■ 2n(2n - 1)... (2n - 15) (8 - 1)4(8 - 2)4(8 - 4)4213 2n(2n - 1)... (2n - 15) Таким образом,

T f 52 2 T Р2

ipf = 75211 + o(1) = Т + o(1)" Щ = Т + o(1)' <13>

поскольку Tt/|Pn| = o(1). Неравенство (10) завершает доказательство. Оценки для Pf3 очевидно следуют из доказанного и следствия 5, ■

Можно оценить также количество функций, сохраняющих структуру ровно одного подпространства размерности 3,

Следствие 6. Количество п G Pf4 с |L3(n)| = 1 не менее чем p(1 - p)2n! + o(2n!). Доказательство. Обозначим через Dn количество функций из условия. Воспользуемся обозначениями A1,..., Am из (7) и (8), а также суммой мощностей их пе-T

Dn f |Ai| + ... + |Am|- 2T„.

Действительно, если такая п принадлежит ровно k множествам из A1,..., Am и k = 1, то функция будет учтена ровно один раз в обоих частях. Если k f 2, то до вычи-2T k 2T

данная функция будет вычтена k(k - 1) раз, Поскольку k ^ k(k - 1), то оценка верна. Согласно (7) и (13), получим

Dn f p|Pn|- p2|Pn| + o(|Pn|),

что влечёт оценку в следствии, ■

В табл. 2 приведены значения |Lk(S)|, 2 ^ k ^ 5, Для S-блоков размера 8 х 8 различных шифров. Обратим внимание, что |L6(S)| = |L7(S)| = 0 для всex S из табл. 2, При построении S-блоков используются разные стратегии, поэтому данные значения имеют вариативность: некоторые схожи с таковыми у «случайных» функций, а некоторые — нет, см., например, S-блоки AES, ARIA и др., построенные с помощью инверсии элементов конечного поля (|Lk(S)| для них приведены в утверждении 3), Напомним, что утверждение 6 позволяет подсчитать среднее количество ps,k элементов в (п) среди п G Ps:

ps,2 « 2730,7509881422924991, p8,3 « 0,0235940660426061, ^s,4 = ps,4 + ps,5 + ps,6 + ps,7 ~ 1,0240104891952223 ■ 10-12.

Таблица 2

Значения |Lk (S)| для S-блоков из

S-блок |L2(S )| |Ls(S )| |A(S)| |L5(S)| Ns S(S)

AES/ARIA/Camellia/ SM4/ 85 0 17 0 112 4

CLEFIA Si/SNOW 3G Si /ZUC Si 85 0 17 0 112 4

Fantomas 6444 79 0 0 96 16

FLY 5968 576 16 0 96 16

Fox (8-bit) 4854 225 3 0 96 16

Kuznechik 1953 0 2 0 100 8

Scream 3104 228 6 0 96 10

iScream 5472 466 2 5 96 16

SKINNY Sg 22688 3648 320 24 64 64

SNOW 3G S2 2570 2 1 0 96 8

ZUC So 3360 100 0 0 96 8

Zorro 2691 4 0 0 96 10

Anubis 2590 0 0 0 94 8

BelT 1666 0 0 0 102 8

Enocoro 2767 0 0 0 96 10

Iceberg 2669 0 0 0 96 8

Khazad 2768 0 0 0 96 8

Skipjack 2469 0 0 0 100 12

Turing 2617 0 0 0 94 12

Whirlpool 2579 0 0 0 100 8

ЛИТЕРАТУРА

1. Clark W. Е., Нои X., and Mihailovs A. The affinity of a permutation of a finite vector space // Finite Fields Their Appl. 2007. V. 13. P. 80-112. *

2. Tokareva N. Bent Functions: Results and Applications to Cryptography. N.Y.: Academic Press, 2015.

3. Budaghyan L. Construction and Analysis of Cryptographic Functions. Springer, Cham, 2015.

4. Carlet C. Boolean Functions for Cryptography and Coding Theory. Cambridge: Cambridge University Press, 2021.

5. Логачев О. А., Сальников А. А., Смышляев С. В., ЯщенкоВ.В. Булевы функции в теории кодирования и криптологии. М.: МЦНМО, 2012.

6. Панкратова, И. А. Булевы функции в криптографии: учеб. пособие. Томск: Издательский Дом Томского государственного университета, 2014.

7. Carlet С. and Piccione Е. On vectorial functions mapping strict affine subspaces of their domain into strict affine subspaces of their co-domain, and the strong D-propertv // Adv. Math. Commun. 2024. https://www.aimsciences.org/article/doi/10.3934/amc. 2024025.

8. Городилова, А. А. Характеризация почти совершенно нелинейных функций через подфункции // Дискретная математика. 2015. Т. 27. №3. С. 3-16.

9. Idrisova V. On an algorithm generating 2-to-l APN functions and its applications to "the big APN problem" 11 Crvptogr. Commun. 2019. V. 11. No. 1. P. 21-39.

10. Beierle C., Leander G., and Perrin L. Trims and extensions of quadratic APN functions // Des. Codes Crvptogr. 2022. V. 90. P. 1009-1036.

11. Kolomeec N. and Bykov D. On the image of an affine subspace under the inverse function within a finite field // Des. Codes Crvptogr. 2024. V.92. P. 467-476.

12. Leander G., Abdelraheem M. A., AlKhzaimi H., and Zenner E. A crvptanalvsis of PRINTcipher: The invariant subspace attack 11 LNCS. 2011. V. 6841. P. 206-221.

13. Todo Y., Leander G., and Sasaki Y. Nonlinear invariant attack: practical attack on full SCREAM, iSCREAM, and Midori64 11 LNCS. 2016. V. 10032. P.3 33.

14. Трифонов Д. И., Фомин Д. Б. Об инвариантных подпространствах в XSL-шифрах // Прикладная дискретная математика. 2021. №54. С. 58-76.

15. Буров Д. А. О существовании нелинейных инвариантов специального вида для раун-довых преобразований XSL-алгоритмов // Дискретная математика. 2021. Т. 33. №2. С.31-45.

16. Nyberg К. Differentially uniform mappings for cryptography // LNCS. 1994. V. 765. R245-265.

17. Charpin P. Normal Boolean functions // J. Complexity. 2004. V. 20. No. 2-3. R 245-265.

18. Буряков M. Л., Логачев О. А. Об уровне аффинности булевых функций // Дискретная математика. 2005. Т. 17. №4. С.98-107.

19. Логачев О. А. О значениях уровня аффинности для почти всех булевых функций // Прикладная дискретная математика. 2010. №3(9). С. 17-21.

20. CanteautA., CarletC., Charpin P., and Fontaine С. On cryptographic properties of the cosets of R(1,m) 11 IEEE Trans. Inform. Theory. 2001. V.47. P. 1494-1513.

21. Carlet C. and Feukoua S. Three parameters of Boolean functions related to their constancy on affine spaces 11 Adv. Math. Commun. 2020. V. 14. No. 4. P. 651-676.

22. Berger Т., CanteautA., Charpin P., and Laigle-Chapuy Y. On almost perfect nonlinear functions 11 IEEE Trans. Inform. Theory. 2006. V.52. No. 9. P. 4160-4170.

23. Browning K. A., Dillon J. F., McQuistan M. Т., and Wolfe A. J. An APN permutation in dimension six // Finite Fields: Theory Appl. 2010. Iss.518. P. 33-42.

24. Li S., Meidl W., Polujan A., et al. Vanishing flats: A combinatorial viewpoint on the planaritv of functions and their application // IEEE Trans. Inform. Theory. 2020. V. 66. No. 11. P. 7101-7112.

25. Blondeau C., Canteaut A., and Charpin P. Differential properties of power functions // Int. J. Inform. Coding Theory. 2010. V. 1. No. 2. P. 149-170.

26. Knuth D. E. Subspaces, subsets, and partitions //J. Combinatorial Theory. Ser.A. 1971. V. 10. No. 2. P. 178-180.

REFERENCES

1. Clark W. E., Нои X., and Mihailovs A. The affinity of a permutation of a finite vector space. Finite Fields Their Appl., 2007, vol. 13, pp. 80-112.

2. Tokareva N. Bent Functions: Results and Applications to Cryptography. N.Y., Academic Press, 2015.

3. Budaghyan L. Construction and Analysis of Cryptographic Functions. Springer, Cham, 2015.

4. Carlet C. Boolean Functions for Cryptography and Coding Theory. Cambridge, Cambridge University Press, 2021.

5. Logachev O.A., Salnikov A. A., and Yashchenko V. V. Boolean Functions in Coding Theory and Cryptography. Providence, Rhode Island, AMS, 2012.

6. Pankratova I. A. Bulevv funktsii v kriptografii [Boolean Functions in Cryptography]. Tomsk, TSU Publ., 2014. (in Russian)

7. Carlet C. and Piccione E. On vectorial functions mapping strict afline subspaces of their domain into strict afline subspaces of their co-domain, and the strong D-propertv. Adv. Math. Commun., 2024, https: //www. aimsciences. org/article/doi/10.3934/amc.2024025.

8. Gorodilova A. A. Characterization of almost perfect nonlinear functions in terms of subfunctions. Discrete Math. Appl., 2016, vol.26, no.4, pp. 193-202.

9. Idrisova V. On an algorithm generating 2-to-l APN functions and its applications to "the big APN problem". Crvptogr. Commun., 2019, vol. 11, no. 1, pp. 21-39.

10. Beierle C., Leander G., and Perrin L. Trims and extensions of quadratic APN functions. Des. Codes Crvptogr., 2022, vol.90, pp. 1009-1036.

11. Kolomeec N. and Bykov D. On the image of an affine subspace under the inverse function within a finite field. Des. Codes Crvptogr., 2024, vol.92, pp.467-476.

12. Leander G., Abdelraheem M. A., AlKhzaimi H., and Zenner E. A crvptanalvsis of PRINTcipher: The invariant subspace attack. LNCS, 2011, vol.6841, pp. 206-221.

13. Todo Y., Leander G., and Sasaki Y. Nonlinear invariant attack: practical attack on full SCREAM, iSCREAM, and Midori64. LNCS, 2016, vol.10032, pp. 3-33.

14. Trifonov D. I. and Fomin D. B. Ob invariantnvkh podprostranstvakh v XSL-shifrakh [Invariant subspaces in SPN block cipher]. Prikladnava Diskretnava Matematika, 2021, no. 54, pp. 58-76. (in Russian)

15. Burov D. A. On the existence of special nonlinear invariants for round functions of XSL-ciphers. Discrete Math. Appl., 2023, vol.33, no.2, pp.65-75.

16. Nyberg K. Differentially uniform mappings for cryptography. LNCS, 1994, vol.765, pp.245-265.

17. Charpin P. Normal Boolean functions. J. Complexity, 2004, vol.20, no. 2-3, pp. 245-265.

18. Buryakov M. L. and Logachev O. A. On the affinity level of Boolean functions. Discrete Math. Appl., 2005, vol.15, no. 5, pp. 479-488.

19. Logachev O. A. O znachenivakh urovnva aflinnosti diva pochti vsekh bulevvkh funktsiv [On values of affinity level for almost all Boolean functions]. Prikladnava Diskretnava Matematika, 2010, no. 3(9), pp. 17-21. (in Russian)

20. Canteaut A., CarletC., Charpin P., and Fontaine C. On cryptographic properties of the cosets of R(1, m). IEEE Trans. Inform. Theory, 2001, vol.47, pp. 1494-1513.

21. Carlet C. and Feukoua S. Three parameters of Boolean functions related to their constancy on afline spaces. Adv. Math, of Commun., 2020, vol. 14, no. 4, pp. 651-676.

22. Berger T., Canteaut A., Charpin P., and Laigle-Chapuy Y. On almost perfect nonlinear functions. IEEE Trans. Inform. Theory, 2006, vol.52, no. 9, pp. 4160-4170.

23. Browning K. A., Dillon J. F., McQuistan M. T., and Wolfe A. J. An APN permutation in dimension six. Finite Fields: Theory Appl., 2010, iss. 518, pp. 33-42.

24. Li S., Meidl W., Polujan A., et al. Vanishing flats: A combinatorial viewpoint on the planaritv of functions and their application. IEEE Trans. Inform. Theory, 2020, vol. 66, no. 11, pp.7101-7112.

25. Blondeau C., Canteaut A., and Charpin P. Differential properties of power functions. Int. J. Inform. Coding Theory, 2010, vol. 1, no. 2, pp. 149-170.

26. Knuth D. E. Subspaces, subsets, and partitions. J. Combinatorial Theory, Ser. A, 1971, vol. 10, no. 2, pp.178-180.