ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА
№12 ПРИЛОЖЕНИЕ Сентябрь 2019
Секция 7
ВЫЧИСЛИТЕЛЬНЫЕ МЕТОДЫ В ДИСКРЕТНОЙ МАТЕМАТИКЕ
УДК 519.7 Б01 10.17223/2226308Х/12/57
О СВОЙСТВАХ МАКСИМАЛЬНОГО ЭЛЕМЕНТА
МАТРИЦЫ ВЕРОЯТНОСТЕЙ ПЕРЕХОДОВ РАЗНОСТЕЙ БИЕКТИВНОГО ОТОБРАЖЕНИЯ ОТНОСИТЕЛЬНО РАЗЛИЧНЫХ ГРУППОВЫХ ОПЕРАЦИЙ
В. В. Власова, М. А. Пудовкина
Рассматриваются конечные группы (О1, 0), (О2, 0) с бинарными операциями 0 и 0. На практике 01,02 обычно равны аддитивной группе (Ут, ф) т-мерного векторного пространства Ут над полем СЕ(2) или аддитивной группе (Ж^т, Ш) кольца вычетов Z2m. Среди неабелевых групп порядка 2т аддитивной группе ^2т, Ш) кольца вычетов в определённом смысле ближе всего группы, содержащие циклическую подгруппу индекса 2. Такими группами являются группа диэдра (П2(т-1), о) и обобщённая группа кватернионов ((2т, И). В разностном методе и его обобщениях биективному отображению ставится в соответствие матрица вероятностей переходов разностей. В работе для всех 0, 0 е (ф, Ш, И, о} экспериментально исследуется случайная величина равная |01|р(®'°), где — наибольший элемент матрицы вероятностей переходов разностей случайного биективного отображения в : О1 ^ О2.
Ключевые слова: матрица вероятностей переходов разностей, разностно й-равномерные отображения, Б-боксы, обобщённая группа кватернионов, группа диэдра.
Пусть (С1, 0), (С2, 0) — конечные группы с бинарными операциями 0, 0 и нейтральными элементами е1, е2 соответственно, Сгх = Gi \ (в^} для г = 1, 2. В симметричных шифрсистемах группа G1 часто интерпретируется как группа наложения ключа, а на группе G2 задаются отображения, реализующие неформально сформулированные К. Шенноном принципы рассеивания или перемешивания. На практике группы G1, G2 обычно равны аддитивной группе (Ут, ф) т-мерного векторного пространства Ут над полем СЕ(2) или аддитивной группе ^2т, Ш) кольца вычетов Z2m.
Произвольному биективному отображению в : G1 ^ G2 поставим в соответ-
ствие матрицу переходов разностей q(®'0)(s) = д^'0)(в) £ е Gхх, 8 е GX заданы условием
Ч%'0)(в) = |{а е Gl : в(а 0 £) = в(а) 0 8}| .
Посредством матрицы q(®'0) (в) определяется матрица вероятностей переходов разностей р(®'0) (в) = ^^^^'(в) отображения в. Один из этапов разностного метода и его обобщений заключается в оценках элементов матрицы q(®'0)(в). Все элементы матрицы q(®'0)(в) удаётся вычислить только при небольшом порядке группы G1, например 16 или 256. Если группа G1 большого порядка, например е (264, 2128}, то,
элементы которой для всех
204
Прикладная дискретная математика. Приложение
как правило, ищутся нетривиальные нижние или верхние оценки некоторых элементов матрицы q(-®'0)(s). Одной из величин, характеризующей матрицу q(®>0) (з) в целом, является её максимальный элемент. Положим
^'0) (з) = шах {¿5'0) (з) : е € С?, 6 € С2Х } .
Через величину д(®'0)(з) задаются классы криптографических отображений. Так, отображение д : С1 ^ 02 называется разностно в-равномерным, если d = д(®'0)(з) [1]. Если в = 2, то д — АРМ-отображение [2].
Для противодействия разностному методу при синтезе ХБЬ-алгоритмов блочного шифрования в качестве Б-бокса, как правило, выбирается отображение д : С1 ^ 02 с наименьшим значением д(®'0)(д) среди всех отображений (часто биективных) из С1 в С2. В работах [3, 4] приведены примеры биективных отображений, для которых достигаются равенства д(®'ф) (з) = 2 и д(Ш'Ш)(з) = 2 соответственно.
Пусть ^(^1, С2) —множество всех биективных отображений из С1 в С2. Если подстановка з выбирается из множества ^(С1, С2) случайно и равновероятно, то ^(®'0)(з) является случайной величиной, которую будем обозначать через ,д(®>0). Для криптографии представляет интерес нахождение распределения случайной величины д(®>0), а также её различных моментов.
В [5] статистически исследована случайная величина ,д(®>0) для следующих пар групповых операций: (®, ©) € {(ф, ф), (Ш, Ш), (И, □)}, □ — умножение в где
2т + 1 —простое. В [5] при фиксированном т € {4,... , 8} для нескольких тысяч случайным образом сгенерированных т-битных подстановок получена выборка случайной величины д(®>0) и найдено её выборочное среднее. Показано, что выборочное среднее д(®'ф) больше, чем каждое из выборочных средних д(Ш,Ш) и д(И,И).
Среди неабелевых групп порядка 2т аддитивной группе (^2т, Ш) кольца вычетов в определённом смысле ближе всего группы, содержащие циклическую подгруппу индекса 2. Такими группами являются обобщённая группа кватернионов (^2т, И) и группа диэдра с двумя образующими и, а и циклической подгруппой (а) индекса 2 [6].
В настоящей работе для каждого т € {4,..., 8} с использованием классического способа [7] сгенерированы 10000 псевдослучайных т-битных подстановок. Для всех ®, © € {ф, Ш, И, о} получена выборка случайной величины д(®>0) и найдено её выборочное среднее. Результаты приведены в табл. 1 для ®, © € {ф, Ш, И}.
Таблица 1
Выборочное среднее выборки случайной величины д(®>0) для псевдослучайных т-битных подстановок
т (ф, ф) (ф, Ш) (ф, И) (Ш, ф) (Ш, Ш) (Ш, И) (И, ф) (И, Ш) (И, И)
4 6,69896 4,74291 4,72011 4,73179 4,42389 4,47999 4,72041 4,4844 4,42092
5 7,94352 5,53062 5,5322 5,53519 5,17748 5,21568 5,5268 5,21399 5,19629
6 9,10926 6,24734 6,24682 6,24594 5,89826 5,91497 6,25189 5,91757 5,911
7 10,31922 6,88711 6,88434 6,88417 6,58556 6,59382 6,88643 6,59206 6,59326
8 11,34672 7,62034 7,62162 7,62201 7,26284 7,27024 7,62459 7,26751 7,26852
В работе использовалась кодировка V : {0,... , 2т — 1} ^ т элементов аддитивной группы кольца вычетов (Ъ2т, Ш) элементами обобщённой группы кватернионов (^2т, И), заданная условием
а -г/2-, если г чётно V : ^ ^ ,Ц/2-
а -' если г нечётно.
Вычислительные методы в дискретной математике
205
Аналогичная кодировка применена для диэдральной группы.
Для 8-битных подстановок S-боксов алгоритмов блочного шифрования Aes, Anubis, Belt, Crypton, Fantomas, iScream, Kalyna, Khazad, Kuznyechik, Picaro, Safer, Scream, Zorro и 4-битных подстановок алгоритмов Gift, Panda, Pride, Prince, Prost, Klein, Noekeon, Piccolo вычислена q(®>0) (s) для всех ®, © G {©, Ш, И, о}. Результаты приведены в табл. 2 для ®, © G {©, Ш, И}.
Таблица 2
q(®>©)(s) для некоторых S-боксов
S-60KCM (Ф, Ф) (Ф, И) (Ф, H) (И, Ф) (И, И) (И, H) (H, Ф) (H, И) (H, H)
Aes 4 6 7 7 7 7 6 7 8
Anubis 8 8 8 8 8 6 8 7 6
Belt 8 6 6 3 7 6 4 7 7
Crypton S0 10 7 7 8 9 7 9 9 8
Crypton S1 10 8 7 8 9 10 9 9 10
Crypton S2 10 8 7 7 9 7 6 9 8
Crypton S3 10 8 7 8 9 8 7 9 8
Fantomas 16 16 16 20 12 13 16 12 13
iScream 16 16 16 16 11 14 16 11 14
Kalyna pi0 8 6 6 6 8 6 7 8 7
Kalyna pi1 8 6 7 7 6 7 6 7 7
Kalyna pi2 8 7 8 7 7 7 6 7 6
Kalyna pi3 8 7 7 7 7 7 7 6 7
Khazad 8 8 8 8 8 8 8 8 7
Kuznyechik 8 7 6 7 7 7 8 8 6
Picaro 4 7 7 7 8 7 6 8 7
Safer 128 10 10 128 2 4 128 4 8
Scream 8 10 12 12 11 12 10 10 12
Zorro 10 8 8 7 6 7 8 8 7
Prost 4 4 4 4 4 4 4 4 5
PRINCE 4 4 4 4 5 4 4 4 4
Pride 4 4 4 4 4 4 4 4 5
Gift 6 4 4 4 3 4 4 3 4
Panda 4 4 4 4 4 3 4 4 3
Klein 4 3 4 3 5 4 3 4 4
Noekeon 4 4 4 4 4 4 4 4 3
Piccolo 4 4 4 4 6 5 4 4 5
ЛИТЕРАТУРА
1. Canteaut A, Duval S., and Leurent G. Construction of lightweight S-boxes using Feistel and Misty structures // SAC'2015. LNSC. 2016. V.9566. P. 373-393.
2. Nyberg K. and Knudsen L. R. Provable security against differential cryptanalysis // CRYPTO'92. LNCS. 1993. V. 740. P. 566-574.
3. Nyberg K. Differential uniform mappings for cryptography // EUROCRYPT'93. LNCS. 1993. V. 765. P. 55-64.
4. Massey J. L. SAFER K-64: A byte-oriented block ciphering algorithm // FSE'93. LNCS. 1994. V. 809. P. 1-16.
5. Hawkes P. and O'Connor L. XOR and Non-XOR differential probabilities // EURO-CRYPT'99. LNCS. 1999. V. 1592. P. 272-285.
6. Холл М. Теория групп. М.: ИЛ, 1962.
7. Knuth D. The Art of Computer Programming. V. 2. Addison-Wesley, 1981.