УДК 519.7 !)()! 10.17223/2226308Х/16/6
О СОХРАНЕНИИ СТРУКТУРЫ ПОДПРОСТРАНСТВ ВЕКТОРНЫМИ БУЛЕВЫМИ ФУНКЦИЯМИ1
Н. А. Коломеец
Рассматривается сохранение функцией Е : ЩП ^ Щ™ структуры аффинного подпространства и С ЩП, т.е. случаи, когда Е(и) = (Е(х) : х € и} является аффинным подпространством Щт-- Приводится связь данного свойства с наличием V Е компонентных функций, ограничения которых на рассматриваемое подпространство являются постоянными, а также с оценками нелинейности и порядка дифференциальной равномерности Е. Доказано, что множество размерностей аффинных подпространств, структуру которых сохраняет функция обращения элементов поля Щ2", является наименьшим среди всех взаимно однозначных мо-номиальных функций.
Ключевые слова: аффинные подпространства, инвариантные подпространства, нелинейность, дифференциальная равномерность, АРИ-функции, мономи-альные функции.
Введение
Будем называть подпространством аффинное подпространство и С ЩП, т. е, и = = а ф Ь = (а ф х : х € Ь}, где Ь — линейное подпроетранетво ЩП и а € ЩП. Будем говорить, что векторная булева функция Е : ЩП ^ сохраняет структуру и, если Е (и) = (Е (х) : х € и} — подпростран ство Аналогии но, Е разрушает структуру и, если Е(и) те является подпространством Назовём подпространства ЩПП размерности 0,1 и п тривиальными, посколъку любые подмножества ЩП мощности 1, 2 и 2п являются подпространствами, Обозначим через (Б) минимальное по включению подпространство ЩП, содержащее множество Б С ЩП.
Интерес к сохранению/разрушению структуры подпространства векторной булевой функцией обусловлен связью с инвариантными подпространствами отображений. Зная все подпространства, структуру которых сохраняет взаимно однозначная Е, можно определить все инвариантные подпространства как самой функции, так и всех функций, аффинно эквивалентных ей. Напомним, что множество Б С ЩП называется инвариантным относительно Е, если Е(Б) С Б. В [1] предложена атака, использующая наличие у раундовой функции О некоторой БР-сетп с пк-бнтным блоком линейного подпространства Ь С и а,Ь € таких, что
О(а ф Ь) = Ь ф Ь.
Если О — композиция слоя Б-блоков Б1,..., Бк вида ЩП ^ и линейного преобразования па то необходимым условием существовапия такого а ф Ь является сохранение каждым Б-блоком Бг структуры подпространства
((х1+п(г-1) ... Хп+п(г-1)) : х € а ф Ь}
для всех г € (1,..., к}, Эти подпространства являются проекциями а фЬ па вход соответствующего Б-блока, В этом контексте могут быть интересны Б-блоки, сохраняющие структуру минимального числа подпространств и тем самым упрощающие проверку
афЬ
1 Работа выполнена в рамках госзадания ИМ СО РАН (проект .V» |-'\У.\Т 2022 (КМК).
Информация об инвариантных подпространствах S-блоков также полезна в силу большего удобства работы с ними. Например, вопрос построения L для упомянутой атаки, начиная с инвариантных подпространств S-блоков, рассматривается в [2]. Есть обобщение данной атаки [3], построение инвариантных множеств для которой можно также начинать с S-блоков [4].
Отметим и прямую связь с APN-функциями [5]: F : м F^ является APN-функ-цией, если и только если F разрушает структуру любого подпрострапства F^ размерности 2, Множество открытых вопросов, связанных с этим классом функций, можно найти в [6].
В данной работе продолжаются исследования сохранения структуры подпространств отображениями, начатые в [7, 8]. Приводится связь этого свойства с оценками на нелинейность и порядок дифференциальной равномерности функции, предложены примеры функций, гарантированно разрушающих структуру подпространств больших размерностей, а также показано наличие таких подпространств у взаимно однозначных мономиальных функций,
1. Нелинейность и порядок дифференциальной равномерности
Компонентной функцией для F : F^ м F™ называется функция вида ж м (a, F(ж)) для всех a = 0 из F^, Здесь (a, y) = aiy1 ф ... ф amym при y Е F^.
Утверждение 1. Пусть F : F^ м F^ и U — подпрострапство F^, тогда как минимум 2m-dim(F— 1 компонентных функций F постоянны на U,
Более того, для взаимно однозначных функций справедлив следующий критерий:
Утверждение 2. Пусть F : F^ м F^ взаимно однозначпа и U — подпространство Щ. Тогда F сохраняет структуру U, если и только если среди компонентных функций F ровно 2n-dim U — 1 постоянны на U,
Отметим, что булевы функции, постоянные на некотором подпространстве размерности fc, называются fc-нормальными [9],
Порядком дифференциальной равномерности 8(G) функции G : и ф L м и' ф L', где L и L' — линейные подпрострапства F^ и F^ соответственно, и Е F^ и и' Е F^, называется минимальное t, такое, что при любых параметрах a Е L \ {0} и b Е L' уравнение G(x) ф G(x ф a) = b имеет не более t решений относительно ж Е и ф L, Мы рассматриваем подпространства исключительно для корректного использования параметра 8(F|U) для ограничения функции, все его свойства полностью соответствуют свойствам 8(-) для функций вида F^mL м FdimL , Если |L| = |L'| и 8(G) = 2, то G называется APN-функцией,
Утверждение 3. Пусть F : F^ м F^ сохраняет структуру подпространства U С Fn Тогда 8(F) ^ 8(F|и).
В общем случае сохранение структуры подпространств определённых размерностей не ограничивает порядок дифференциальной равномерности функции, примером чего является функция обращения элементов конечного поля (см, следующий пункт). Однако утверждение 3 может сработать, например, в следующем случае.
Пример 1. Пусть F : F^ м F^ сохранят структуру подпроетранетва U С F^ размерности 4, причём dim F(U) = 4. Тогда F не является APN-функцией,
2
функции не могут сохранять структуру также подпространств размерности n — 1,
Утверждение 4. Пусть F : Fn ^ Fn взаимно однозначна и сохраняет структуру некоторого подпространства Fn размерности n— 1. Тогда F не является APN-функцией,
Отметим, что сохранение структуры подпространств размерности n — 1 можно рассматривать в контексте свойств подфункций APN-функции [10].
Используя результаты [11] (см, также [12]), можно оценить и нелинейность функции, которая определяется как расстояние Хэмминга между ближайшими друг к другу её компонентной функцией и аффинной функцией от того же числа переменных.
Утверждение 5. Пусть F : Fn ^ F^ сохраняет структуру подпространства U С Fn Тогдa NF ^ 2n-1 — 2dim U-1.
Таким образом, функции с высокой нелинейностью разрушают структуру подпространств больших размерностей. Например:
n
структуру подпространств F^, размерность которых больше n/2; n
странств, размерность которых больше n/2 + 1,
2. Мономиальные функции
Функция F : F2n ^ F2n, где через F2n обозначено конечное поле, соетоящее из 2n элементов, называется мономиальной, если для всех x Е F2n справедливо
F(x) = axk, где а Е F2n и k Е N.
Напомним, что такие функции можно рассматривать и как функции вида Fn ^ Fn, зафиксировав в поле F2n некоторый базис,
В [7] (см, также [8]) доказано, что функция обращения элементов поля F2n, в моно-
2n — 2 x2 -2
подпространств F2n размерностей k для любого k | n, При нечётном n она является APN-функцией, Таким образом, APN-функции могут сохранять структуру множества подпространств разной размерности, В то же время следующая теорема говорит о том, что функцию обращения элементов конечного поля можно считать одной из «лучших» среди всех мономиальных функций.
Теорема 1. Пусть F : Fn ^ Fn взаимно однозначна и построена по некоторой
k | n F
торого подпространства Fn размерноети k.
Таким образом, функция обращения элементов конечного поля разрушает структуру подпространств максимального количества размерностей. Отметим также, что мономиальные функции — одна из самых распространённых конструкций APN-функций, При этом среди них нельзя найти взаимно однозначные функции, которые разрушают
n
ЛИТЕРАТУРА
1. Leander G., Abdelraheem М. A., AlKhzaimi Н., and Zenner Е. A cryptanalysis of PRINTcipher: The invariant subspace attack 11 LNCS. 2011. V. 6841. P. 206-221.
2. Трифонов Д. И., Фомин Д. Б. Об инвариантных подпространствах в XSL-шифрах // Прикладная дискретная математика. 2021. №54. С. 58-76.
3. Todo Y., Leander G., and Sasaki Y. Nonlinear invariant attack: practical attack on full SCREAM, iSCREAM, and Midori64 // LNCS. 2016. V. 10032. P. 3-33.
4. Буров Д. А. О существовании нелинейных инвариантов специального вида для раун-довых преобразований XSL-алгоритмов // Дискретная математика. 2021. Т. 33. №2. С.31-45.
5. Nyberg К. Differentially uniform mappings for cryptography // LNCS. 1994. V. 765. P. 245265.
6. Carlet C. Open questions on nonlinearitv and on APN functions // LNCS. 2015. V. 9061. P. 83-107.
7. Kolomeec N. and Bykov D. On the Image of an Affine Subspace under the Inverse Function within a Finite Field. arXiv preprint arXiv:2206.14980. https://arxiv.org/abs/2206. 14980. 2022.
8. Коломеец H. А., Быков Д. А. Об инвариантных подпространствах функций, аффинно эквивалентных обращению элементов конечного поля // Прикладная дискретная математика. Приложение. 2022. №15. С. 5-8.
9. Charpin P. Normal Boolean functions // J. Complexity. 2004. V. 20. No. 2-3. P. 245-265.
10. Городилова А. А. Характеризация почти совершенно нелинейных функций через подфункции // Дискретная математика. 2015. Т. 27. №3. С. 3-16.
11. CanteautA., Carlet С., Charpin P., and Fontaine С. On cryptographic properties of the cosets of R(l, m) 11 IEEE Trans. Inform. Theory. 2001. Y. 17. P. 1494-1513.
12. Carlet C. and Feukoua S. Three parameters of Boolean functions related to their constancy on affine spaces 11 Adv. Math. Commun. 2020. V. 14. No. 4. P. 651-676.
УДК 519.7 !)()! 10.17223/2226308Х/16/7
МАТРИЦЫ ГРАМА БЕНТ-ФУНКЦИЙ И СВОЙСТВА ПОДФУНКЦИЙ КВАДРАТИЧНЫХ САМОДУАЛЬНЫХ БЕНТ-ФУНКЦИЙ1
А. В. Куценко
Булева фунция от чётного числа переменных п называется бент-функцией, если она имеет спектр Уолша — Адамара, состоящий из чисел ±2п/2. Бент-функция называется самодуальной, если она совпадает со своей дуальной бент-функцией. Ранее автором было сформулировано достаточное условие того, что подфункции от п — 2 переменных самодуальной бент-функции от п переменных, полученные фиксацией первых двух переменных, являются бент-функциями. В настоящей работе доказано, что для квадратичных самодуальных бент-функций данное условие при п ^ 6 не является необходимым. Введено понятие «матрица Грама бент-функции», установлен общий вид матрицы Грама бент-функции и дуальной к ней
п
п— 2
первых двух переменных, являются бент-функциями. Установлено, что в этом случае подфункции дуальной к ней функции также являются бент-функциями.
Ключевые слова: самодуальпая бент-функция, подфункция, матрица Грама, квадратичная, бент-функция, конкатенация, бент-функций.
Через ЩП обозначим линейное пространство всех двоичных векторов длины п над полем Щ2, Булевой функцией от п переменных называется отображение вида ЩП ^ Щ2. Множество всех булевых функций от п переменных обозначается через Тп. Характеристическим вектором (характеристической последовательностью) булевой функ-
1Работа выполнена в рамках госзадания ИМ СО РАН (проект J\P>FWNF-2022-0018).