CC BY
29
Заметим, что число бент-функций от 2 k переменных на минимальном расстоянии от заданной бент-функции можно оценить сверху числом 2k +2k (это оценка сверху числа всевозможных аффинных подпространств размерности k), а число бент-функций на минимальном расстоянии от квадратичной бент-функции асимптотически равно C• 2fc(fc+3)/2. Таким образом, число бент-функций на минимальном расстоянии от квадратичной бент-функции больше, чем корень из этой тривиальной верхней оценки.
ЛИТЕРАТУРА
1. Rothaus O. On bent functions // J. Combin. Theory. Ser. A. 1976. No. 20. P. 300-305.
2. Коломеец Н. А., Павлов А. В. Свойства бент-функций, находящихся на минимальном расстоянии друг от друга // Прикладная дискретная математика. 2009. №4. С. 5-21.
УДК 519.7
О СТАТИСТИЧЕСКОЙ НЕЗАВИСИМОСТИ СУПЕРПОЗИЦИИ
_______ «.» Л
БУЛЕВЫХ ФУНКЦИЙ1
О. Л. Колчева, И. А. Панкратова
Интерес к статистической независимости булевой функции от подмножества аргументов возникает в связи с построением статистических аналогов функции [1], которые, в свою очередь, используются в линейном криптоанализе [2, 3].
Будем говорить, что булева функция f статистически не зависит от подмножества U своих аргументов, если для любой её подфункции f', полученной фиксированием значений всех переменных в U, имеет место Pr[f1 = 1] = Pr[f =1]; или, что то же самое, w(f') = w(f)/2|U|, где w(f) —вес функции f. В частности, для статистического аналога ip(x,y, k) = 0 функции шифрования F(x, k), где x, k,y — переменные со значениями в множествах открытых текстов, ключей и шифртекстов соответственно, условие статистической независимости функции (x, k) = <^(x, F(x, k), k) от переменных в x является необходимым для того, чтобы вероятность выполнения уравнения <£>f = 0 сохранялась при подстановке в это уравнение любого значения x при равновероятном выборе k [1].
Требование статистической независимости функции от конкретного подмножества аргументов более слабое, чем условие корреляционной иммунности [4]: функция является корреляционно-иммунной порядка т, если и только если она статистически не зависит от любого m-элементного подмножества своих аргументов.
В [1] сформулирован тест статистической независимости: функция f(x,y), где x,y — переменные со значениями в (Z2)n и (Z2)m соответственно, статистически не зависит от булевых переменных в x, если и только если f(u, 0m) = 0 для любого ненулевого вектора u Е (Z2)n. Здесь f — преобразование Уолша — Адамара функции f; 0m — m-компонентный нулевой вектор.
Сформулируем некоторые простейшие свойства статистической независимости.
1) Если функция имеет s линейных переменных, то она статистически не зависит от любого (s — 1)-элементного подмножества своих аргументов.
2) Если функция статистически не зависит от U, то она статистически не зависит от любого подмножества U.
1 Работа выполнена в рамках реализации ФЦП «Научные и научно-педагогические кадры инновационной России» на 2009-2013 гг. (гос. контракт № П1010).
3) Если функция f статистически не зависит от подмножества и своих аргументов, то 2|и 1 ^(Д).
4) Пусть ^ , ..., У2 компоненты разложения функции f по некоторым т пе-
ременным, и все они статистически не зависят от подмножества и. Тогда и f статистически не зависит от и.
Основным результатом является следующее
Утверждение 1. Пусть х, у, г — переменные со значениями в (^2)га, (^2)т и (^2) соответственно и функция f (х,у) статистически не зависит от переменных в х. Тогда и функция Л(х,у,г) = $ (Д(х,у),г), где $ — любая функция от I + 1 переменных, статистически не зависит от переменных в х.
Доказательство. Воспользуемся тестом статистической независимости. Пусть и — любой ненулевой вектор из Zn; тогда по условию Д (и, 0т) = 0. Вычислим коэффициент Уолша — Адамара функции Л:
Л(М, 0т, 01) = Е(-1)й(/= ^ I ^2 (—1)й(0,г)Ф(«,х) + ^ (-1)5(1,^)ф(и,х)
х у г г \ Х>У> Х>У>
Х ’ У ’ 2 2 \/ (х,у) = 0 / (х,у) = 1
“•V—
A
Для каждого г Е ^2 имеет место один из следующих двух случаев: 1) $(0, г) = $(1, г) = с € {0,1}, тогда А = (—1)с Е(—1)(и х) = 0;
x y
2) g(0, z) = g(1,z) = c G {0,1}, тогда A = (-1)c | £ (-1)(u,x) - £ (-1)(u,x) | =
= (-1)cE(-1)f (x’y)®(u’x) = (-1)7 (u, 0m) = 0.
x,y
Таким образом, h(u, 0m, 01 ) = 0, и утверждение доказано. ■
К сожалению, это утверждение не допускает обобщения на случай нескольких функций /; так, если функции /i(x,y), /2(x,y), ..., /s(x,y) статистически не зависят от переменных в x, то функция g(/1(x, y), /2(x, y),... , /s(x, y), z) не обязательно обладает этим свойством.
ЛИТЕРАТУРА
1. Агибалов Г. П., Панкратова И. А. Элементы теории статистических аналогов дискретных функций с применением в криптоанализе итеративных блочных шифров // Прикладная дискретная математика. 2010. №3(9). С. 51-68.
2. Matsui M. Linear Cryptanalysis Method for DES Cipher // LNCS. 1993. V. 765. P. 386-397.
3. Matsui M. The First Experimental Cryptanalysis of the Data Encryption Standard // LNCS. 1994. V. 839. P. 1-11.
4. Логачев О. А., Сальников А. А., Ященко В. В. Булевы функции в теории кодирования и криптологии. М.: МЦНМО, 2004.
