О ПРОДОЛЖЕНИИ ДО БЕНТ-ФУНКЦИЙ И ОЦЕНКЕ СВЕРХУ ИХ ЧИСЛА Текст научной статьи по специальности «Математика»

ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА

№13 ПРИЛОЖЕНИЕ Сентябрь 2020

Секция 2

ДИСКРЕТНЫЕ ФУНКЦИИ

УДК 519.7 Б01 10.17223/2226308Х/13/4

О ПРОДОЛЖЕНИИ ДО БЕНТ-ФУНКЦИЙ И ОЦЕНКЕ СВЕРХУ ИХ ЧИСЛА

С. В. Агиевич

Булева бент-функция / от п переменных является продолжением булевой функции д от к < п переменных, если д является сужением / на фиксированную аффинную плоскость размерности к. Доказывается, что продолжение всегда существует, если к ^ п/2. Получена оценка сверху для числа продолжений. Оценка усиливается для случая к = п — 1, когда д является почти-бент-функцией. В результате мы улучшаем известные оценки сверху для числа бент-функций.

Ключевые слова: бент-функция, число бент-функций, почти-бент-функция, аффинная плоскость.

Булева функция /: ^ F2 от чётного числа переменных п называется бент-функцией, если |/(и)| = 2п/2 для всех и е Щ. Здесь f — спектр Уолша — Адамара функции f:

/ (и)= Е х(/(х)+ X ■ и).

Символ х под знаком суммы — это нетривиальный аддитивный характер Е2: х(а) = = (—1)а, точка обозначает скалярное произведение векторов.

Пусть Вп — множество всех бент-функций от п переменных. Точное значение |Вп| неизвестно уже для п = 10, более того, адекватное оценивание |Вп| как сверху, так и снизу остаётся трудной задачей (см. обсуждение в [1]). В настоящей работе нас интересуют оценки сверху. Обозначим В п) =

и напомним, что булева функция / однозначно представляется многочленом фактор-кольца Е2[х^ ... , хп]/(х2 — х1,... , хП — хп). Пусть deg / — степень многочлена.

Наивная оценка сверху (так она названа в работе [2]) для |Вп| основана на том, что если / е Вп и п ^ 4, то deg / ^ п/2. Оценка имеет следующий вид:

|Вп| ^ В(п/2, п) = 22П-1+(пП/2)/2 « 22П-1+2"^

Оценка может быть немного усилена: следует учесть условие 2 ^ deg / и вычесть из правой части 2п+1 —число аффинных функций.

В [2] К. Карле и А. Клаппер нашли более серьёзное усиление:

|Вп| ^ (1 + £п) + В(п/2 — 1,п), вп = )-2 ,

справедливое для п ^ 6. Эта оценка считается лучшей на сегодняшний день. В [2], кроме ограничения на deg /, учитывается также спектральное строение бент-функций. Мы улучшаем оценку Карле — Клаппера.

Теорема 1. При чётном п ^ 6 справедлива оценка

|Д,| « с„ (В(п/2'п - 21--П/П/2 - 1,П - 1} + В(п/2 - 1, п - 1)) ,

в которой сп = ехр(—1/2 + 23/(18 ■ 2п-2))/^Л, причём сп ^ с6 ~ 0,3706.

Различные оценки сверху для |Вп| при малых п сведены в табл. 1. Точные значения |Вб| = 5425430528 и |В8| = 99270589265934370305785861242880 найдены в работах [3] и [4] соответственно.

Таблица 1

п |Вп| Оценки сверху для |ВП|

Наивная [2] Настоящая работа

2 8

4 896 2032

6 к, 232'3 242 238 236

8 к, 2106'3 2163 2152 2149

10 ? 2638 2612 2608

12 ? 22510 22453 22448

Метод оценивания основан на подсчёте числа продолжений булевой функции д от к < п переменных до бент-функций от п переменных. Функция f Е Вп является продолжением д, если

д(У1 ,...,Ук) = f (0,_.;^0,у1,...,ук).

п-к

Другими словами, f — продолжение д, если д является сужением f на аффинную плоскость Е = {(0,... , 0, у1,... , ук)}. Выбор Е здесь не имеет принципиального значения, можно зафиксировать любую другую плоскость размерности к.

Пусть Вп(д) —множество всех функций f Е Вп, которые являются продолжениями д. При доказательстве теоремы 1 мы рассматривали функции д от п- 1 переменных, для которых Вп(д) = 0. Если д является подходящей, то значения д принадлежат множеству {0, ±2п/2} (и тогда д называется почти-бент-функцией) и, кроме этого, выполняется условие deg д ^ п/2. Для оценки числа подходящих функций д мы применили результаты работы [2].

Для оценки |Вп(д)| использована следующая лемма, доказанная с помощью техники работы [5].

Лемма 1. Пусть N — чётное, Б" — сумма N независимых случайных величин с равномерным распределением на {-1,1}. Для в = 0, ±2,..., ±N справедлива следующая оценка:

^ = в]= Гв^)2-" « ^ехР (-+ Ш)•

Лемма 1 имеет и самостоятельное значение. С её помощью можно оценивать (сверху) биномиальные коэффициенты, контролировать точность аппроксимации в локальной теореме Муавра — Лапласа. В нашем контексте лемма позволяет оценить вероятность того, что спектральный коэффициент случайной булевой функции принимает заданное значение.

20

Прикладная дискретная математика. Приложение

Оценку леммы 1 можно несколько улучшить, это улучшение потребуется в теореме 2. Речь идёт об оценке вида

P[SN = s] ^ 2-aNs2-i3n ,

где а^ и Pn настраиваются так, чтобы величина Yn = + Pn/N была максимальной.

При малых N оптимальные тройки (aN,@n, Yn) можно определить, решая задачи линейного программирования. Решения представлены в табл. 2.

Таблица 2

N aN PN Yn

2 4 8 1/2 1/6 1/12 1 4/3 14/3 - log2 7 3/4 1/2 2/3 - 1 log2 7 « 0,3157 8

В общем случае из леммы 1 следует, что

> log2 e + log2 п + log2 N — 1 23 log2 e Yn > 2N 18N2 '

С точки зрения теории бент-прямоугольников [6] величина |Bn(g)| —это число прямоугольников размерности (n — k) х k, у которых первая строка фиксирована — она заполнена значениями g. Учитывая ограничения на строки и столбцы бент-прямо-угольника (точнее, тождества Парсеваля для них), получаем следующий результат. Теорема 2. Для булевой функции g от k < n переменных справедлива оценка

log2 |Bn(g)| ^ 2n (1 — 72n-k)'

Отметим, что оценка теоремы 2 с k = n — 1 несколько усиливается при доказательстве теоремы 1.

Начиная c k = n/2 + 1, появляются функции g, которые нельзя продолжить до бент-функций. В этом можно убедиться, анализируя ограничения на столбцы бент-прямоугольника. Впрочем, оказывается, что

Теорема 3. При чётном n любая булева функция от k ^ n/2 переменных может быть продолжена до бент-функции от n переменных.

Теорему достаточно доказать для k = n/2. В этом случае с помощью биаффинной конструкции, предложенной в [7], можно построить бент-квадрат размерности k х k, все строки и столбцы которого являются аффинными перестановками значений g. Легко добиться, чтобы первая строка квадрата в точности совпадала с g .

ЛИТЕРАТУРА

1. Tokareva N. Bent Functions: Results and Applications to Cryptography. London, UK; San Diego, CA, USA: Academic Press, 2015.

2. Carlet C. and Klapper A. Upper bounds on the numbers of resilient functions and of bent functions // Proc. 23rd Symp. Inform. Theory. Louvain-La-Neuve, Belgium. 2002. P. 307-314.

3. PreneelB., Van Leekwijck W., Van Linden L., et al. Propagation characteristics of Boolean functions // EUR0CRYPT'90. LNCS. 1991. V.473. P. 161-173.

4. Langevin P. and Leander G. Counting all bent functions in dimension eight 99270589265934370305785861242880 // Des. Codes Cryptogr. 2011. V. 59. P. 193-205.

5. Szabados T. A Simple Wide Range Approximation of Symmetric Binomial Distributions. Preprint arXiv:1612.01112 [math.PR]. 2016.

6. Agievich S. On the representation of bent functions by bent rectangles // Probabilistic Methods in Discrete Mathematics: Fifth Intern. Conf. (Petrozavodsk, Russia, June 1-6, 2000). Utrecht, Boston: VSP, 2002. P. 121-135.

7. Agievich S. Bent rectangles // Proc. NATO Advanced Study Institute on Boolean Functions in Cryptology and Information Security (Moscow, September 8-18, 2007). Amsterdam: IOS Press, 2008. P. 3-22.

УДК 519.7 БО! 10.17223/2226308X713/5

О МЕТРИЧЕСКИХ СВОЙСТВАХ МНОЖЕСТВА САМОДУАЛЬНЫХ БЕНТ-ФУНКЦИЙ1

А. В. Куценко

Приводится обзор известных метрических свойств множества самодуальных бент-функций. Бент-функция называется самодуальной, если она совпадает со своей дуальной бент-функцией, и анти-самодуальной, если совпадает с отрицанием своей дуальной. Приводится полный спектр расстояний Хэмминга между самодуальными бент-функциями из класса Мэйорана — МакФарланда. Даются результаты, касающиеся характеризации булевых функций, находящихся на максимально возможном удалении от множества самодуальных бент-функций. Описаны группы автоморфизмов множеств самодуальных и анти-самодуальных бент-функций от п переменных, автоморфизмы множества булевых функций от п переменных, которые меняют местами множества самодуальных и анти-самодуальных бент-функций, изометричные отображения, сохраняющие неизменным отношение Рэ-лея каждой булевой функции от п переменных. Даётся характеризация всех изо-метричных отображений, сохраняющих максимальную нелинейность и расстояние Хэмминга между каждой бент-функций и дуальной к ней.

Ключевые слова: булева функция, самодуальная бент-функция, расстояние Хэмминга, изометричное отображение, метрическая регулярность, группа автоморфизмов, отношение Рэлея.

Через ¥п обозначим линейное пространство всех двоичных векторов длины п над полем Е2. Булевой функцией от п переменных называется отображение вида Fn ^ F2. Множество всех булевых функций от п переменных обозначается через Для каж-

п

дой пары ж, у € Fn через (ж, у) обозначим скалярное произведение ф жгуг. Весом Хэм-

г=1

минга вектора ж € Fn называется число его ненулевых координат. Расстояние

Хэмминга между булевыми функциями f, д от п переменных — число двоичных векторов длины п, на которых эти функции принимают различные значения, обозначается dist(f, д). Преобразованием Уолша — Адамара булевой функции f от п переменных называется целочисленная функция Wf : Fn ^ Ъ, заданная равенством

Щ(у) = Е (-1)7(х)е{х'у), у € Fn.

1 Работа выполнена в рамках государственного задания ИМ СО РАН (проект №0314-2019-0017) при поддержке РФФИ (проекты № 18-07-01394, 20-31-70043) и Лаборатории криптографии JetBrains Research.

xGFJ