Научная статья на тему 'О связях между некоторыми параметрами совершенно уравновешенных булевых функций'

О связях между некоторыми параметрами совершенно уравновешенных булевых функций Текст научной статьи по специальности «Математика»

CC BY
181
35
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
СОВЕРШЕННО УРАВНОВЕШЕННЫЕ ФУНКЦИИ / ФУНКЦИИ С БАРЬЕРОМ / КРИПТОГРАФИЯ / PERFECTLY BALANCED FUNCTIONS / FUNCTIONS WITH BARRIERS / CRYPTOGRAPHY

Аннотация научной статьи по математике, автор научной работы — Смышляев Станислав Витальевич

Для класса совершенно уравновешенных булевых функций с барьером доказываются соотношения, связывающие между собой определённые параметры таких функций. В частности, получены общие результаты о свойствах полиномов функций с барьером, позволяющие установить новые оценки числа инверсионных функций для произвольной функции с барьером.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Connections between some parameters of perfectly balanced Boolean functions

For the perfectly balanced Boolean functions with barriers, some relations between their parameters are proved. Particularly, general results are obtained concerning the properties of the polynomials of these functions. They can be used to get new bounds for the number of inverse functions for an arbitrary function with barrier.

Текст научной работы на тему «О связях между некоторыми параметрами совершенно уравновешенных булевых функций»

2013 Теоретические основы прикладной дискретной математики №2(20)

УДК 519.7

О СВЯЗЯХ МЕЖДУ НЕКОТОРЫМИ ПАРАМЕТРАМИ СОВЕРШЕННО УРАВНОВЕШЕННЫХ БУЛЕВЫХ ФУНКЦИЙ1

С. В. Смышляев

Московский государственный университет им. М. В. Ломоносова, г. Москва, Россия

E-mail: [email protected]

Для класса совершенно уравновешенных булевых функций с барьером доказываются соотношения, связывающие между собой определённые параметры таких функций. В частности, получены общие результаты о свойствах полиномов функций с барьером, позволяющие установить новые оценки числа инверсионных функций для произвольной функции с барьером.

Ключевые слова: совершенно уравновешенные функции, функции с барьером, криптография.

Введение

Для обеспечения у используемых в криптографических целях кодирующих устройств, построенных на основе регистра сдвига и булевой функции усложнения [1-3], свойства сохранения равномерного распределения преобразуемой двоичной последовательности функции усложнения выбираются из множества совершенно уравновешенных булевых функций [2, 4, 5]. Среди таких функций особое место занимают функции с барьером [2, 6], обладающие также положительным свойством отсутствия предсказывания [2, 7]. Для функций с барьером в работе [7] введены целочисленные параметры, определённым образом характеризующие отображения, реализуемые кодирующими устройствами с такими функциями при фиксированном начале входной последовательности.

Настоящая работа посвящена вопросам о соотношениях между параметрами функций с барьером. В частности, доказано утверждение об определённых свойствах полиномиальных представлений таких функций — вопрос, результаты по которому ранее отсутствовали, за исключением частных и тривиальных.

Полученные результаты позволяют расширить область применимости утверждения о числе инверсионных функций, полученного в работе [8]. Данное утверждение представляет собой решение открытого вопроса, поставленного в работе Х. Лэя и Дж. Месси [9], и содержит выражение, позволяющее вычислить число инверсионных функций по трём параметрам функции: числу переменных, длине барьера и параметру eR, описанному в [7]. С использованием полученных результатов возможно эффективное (с полиномиальной относительно длины входа сложностью) нахождение по полиномиальному представлению булевой функции нетривиальных оценок на eR и, следовательно, на число инверсионных функций.

1. Определения и предварительные результаты

Будем использовать следующие обозначения. Множество двоичных наборов длины n будем обозначать через Vn = {0,1}n, множество булевых функций n переменных— через Fn.

хРабота поддержана РФФИ (проект № 12-01-00680-a).

Для всяких п, I Е М, / € Тп будем через /г обозначать следующее отображение из И+га-1 в у:

/г(Ж1,Ж2,... ,жг+га_1) = (/(жь... ,жга),/(>2,... ,Хп+1),...,/(>г,... ,хг+п_1)).

Отображение /г описывает преобразование, производимое I тактами работы кодирующего устройства, которое построено подсоединением входов реализующей булеву функцию / схемы к ячейкам двоичного регистра сдвига [1, 4].

Для всяких п, / ,р € М, р ^ I + п — 1, / € и любого набора (х1, х2,..., Хр) € Ур будем через /]11р2’'"’Хр^ обозначать следующее отображение из Уг+га-1_р в У:

~ (х1, х2,..., хг+п_1_р) = /г (х1, х2,..., хр, х1, х2,..., хг+п—1 —р), и через /^"сг1ррЕ2,"',Жр) — следующее отображение из Уг+га_1_р в Уг:

/,р_ _ (х1, Х2, . . . , хг+п_1_р) = Уг (х1, х2, . . . , хг+п_ 1_р, х1, х2, . . . , хр).

Отображение /ДХг1р"2 ' Хр) описывает преобразование, производимое I тактами работы кодирующего устройства с функцией усложнения / на двоичных последовательностях с фиксированным началом (Х1, Х2,... , Хр).

Приведём понятия совершенно уравновешенной булевой функции, а также барьера булевой функции.

Определение 1 [6]. Булева функция / Е Тп называется совершенно уравновешенной, если соотношение

\/т’(у)| = 2"_1

выполняется для любого т Е N и любого у Е У^.

Множество совершенно уравновешенных функций из Тп будем обозначать РВп. Определение 2 [6]. Булева функция / Е Тп называется функцией с правым барьером длины Ь, Ь Е М, если система уравнений

/6/ (х1, х2, . . . , хЬ'+п_1) Уб' (^1, ^2, . . . , +п_ 1) ,

х 1 ^1 , . . . , хп_ 1 £п_ 1, хп 0, £п 1

имеет решение при всяком Ь1 Е М, таком, что Ь1 ^ Ь — 1, а система уравнений

Уь(х1, х2, . . . , хЬ+п_1) УЬ (^1, £2, . . . , £Ь+п_1) ,

^ >1 = £1, . . . ,Хп_1 = ^п_1,Хп = 0,^п = 1

решений не имеет.

Булева функция / Е Тп называется функцией с левым барьером длины Ь, если / (х1, х2,... , хп) = / (хп, хп_1,... , х1) является функцией с правым барьером длины Ь.

Булева функция / Е ^п имеет барьер, если она имеет правый или левый барьер, или оба сразу. При этом длиной барьера функции называется соответственно длина правого барьера, левого барьера или меньшая из длин барьеров.

Длины правого и левого барьера булевой функции / будем обозначать через ЬД и Ь^ соответственно.

Наличие правого (левого) барьера длины 1, как нетрудно заметить, означает линейность функции по последнему (первому) аргументу.

Очевидным является тот факт, что для фиксированного с проверка неравенства ЬД ^ с по полиному функции, содержащему N мономов, требует порядка (2Ж + 1)с операций. Для этого требуется лишь перемножить (пользуясь только полиномиальным представлением функций) выражения вида / (х^, ж^+1,... , >г+п_1) ф ®/(2^, £^+1,... , £г+п_1) ф 1 для г = 1, 2,..., с, затем в полученное полиномиальное представление подставить х1 = 21, . . . ,жп_1 = 2п_1, хп = 0, 2п =1, привести подобные и сравнить полученное выражение с нулём — при равенстве, очевидно, функция имеет правый барьер длины не более с.

В работе [7] доказан ряд утверждений о свойствах прообразов выходных наборов относительно отображений /д,!,р и /д,г,р в случае наличия у функции / правого или левого барьера.

Теорема 1 [7]. Для каждой функции / Е ^п с правым барьером можно определить величину еД Е {0,1, 2,...,ЬД — 1}, еД ^ п — 1, такую, что для любых р ^ п — 1,

I ^ ЬД + р — п, (>1, >2,..., Хр) Е ур и любого набора (уь у2,..., уг) Е 1т /ДХ1Р 2,''',Хр))

выполняется равенство

/йт......гр)_1(у..у2.....уг)

„Я 2е/.

Теорема 2 [7]. Для каждой функции / Е ^п с левым барьером можно определить величину еД Е {0,1, 2,...,ЬД — 1}, еД ^ п — 1, такую, что для любых р ^ п — 1,

I ^ ЬД + р — п, (х1, х2,..., хр) Е Ур и любого набора (у1, у2,..., уг) Е 1т /ДХг1рХ2,'',Хр))

выполняется равенство

/ЙГ......Х'Г (У1,У2,... , уг)

2е/.

Следствие 1 [7]. Для любой функции / Е ^п, имеющей правый (левый) барьер, любых I ^ ЬД — 1 (/ ^ ЬД — 1) и х Е Уп_1 верно равенство \1т(/Д,г,п_1) \ = 2г_е/

(^(/д,!"^;,)\ = 2г_е/).

Лемма 1 [7]. Если у некоторой / Е ^п есть правый (левый) барьер, то еД = 0 (соответственно, еД = 0) тогда и только тогда, когда ЬД =1 (ЬД = 1).

Лемма 2 [7]. Пусть /(х1,х2,... ,хп) Е ^п имеет правый (левый) барьер. Тогда еД = ЬД — 1 (соответственно, еД = ЬД — 1) тогда и только тогда, когда функция / не зависит существенно от переменных хп_ь/+2,хп_ь/+3,... ,хп и линейна по переменной хп_ьд+1 (не зависит существенно от переменных х1,х2,... , х6ь_ 1 и линейна по переменной х^ь ).

В работе [9] введено понятие инверсионной функции, которое в терминах функций с правым барьером может быть определено следующим образом.

Определение 3. Пусть / Е ^п имеет правый барьер. Тогда булева функция У Е ?Ь/+п_ .1 является инверсионной для функции /, если для всякого набора (х1,х2, ... ,хьд+п_1) Е Уь/+п_1 выполняется равенство

/ (х1, х2, . . . , хп_1, / (х1, х2, . . . , хп) , . . . , / (хЬЯ , хЬЯ+1, . . . , хЬЯ+п_1)) хп.

Исследования понятия инверсионной функции проводились в работах [10, 11]. Тем не менее оставался открытым поставленный в конце работы [9] вопрос о числе инверсионных функций для фиксированной функции с правым барьером. Из доказанных в работах [7, 8] свойств функций без предсказывания вытекает следующая теорема.

Теорема 3 [8]. Если / Е ^п имеет правый барьер, то для / существует в точности

2Ь/+П-1 Л_2-е/ )

2 инверсионных функций.

Несмотря на полученное утверждение о числе инверсионных функций, при вычислении данной величины в случае представления функции полиномом существует серьёзная проблема. В отличие от параметров п и ЬД, для нахождения значения параметра еД (или для проверки неравенства еД ^ с для фиксированного с) по полиномиальному представлению нет известных алгоритмов полиномиальной относительно длины входа сложности. То есть нахождение числа инверсионных функций для булевой функции от п переменных, представленной полиномом длины О(п), требует порядка 2п операций. Таким образом, актуальна задача нахождения соотношений между параметром еД и легко вычислимыми по полиному параметрами функций, которые позволят строить эффективные алгоритмы для получения нетривиальных оценок еД (а значит, и нетривиальных оценок числа инверсионных функций) по полиному функции /.

При дальнейших построениях будет использован известный критерий равенства алгебраической степени булевой функции числу её переменных.

Лемма 3 [2]. Пусть / Е ^п. Функция / имеет алгебраическую степень п тогда и только тогда, когда её вес нечётен.

2. Основные результаты

Обозначим для произвольной функции / Е ^п через £Д наибольшее целое ^, такое, что в полиноме функции / присутствует моном, который содержит все переменные хп, хп_1,... , хп_*/+1, через £Д — наибольшее целое £", такое, что в полиноме функции / присутствует моном, который содержит все переменные х1, х2,... , х*«.

Теорема 4. Пусть функция / Е имеет правый барьер, ЬД ^ 2. Тогда выполняется соотношение еД + £Д ^ ЬД — 1.

Доказательство. Если £Д = 0, то утверждение непосредственно следует из теоремы 1, поэтому далее предполагаем £Д ^ 1. Так как функция / имеет барьер, то она совершенно уравновешена, а следовательно, и уравновешена, откуда по лемме 3 получаем £Д ^ п — 1. Введём обозначение £ = тт{^Д, ЬД — 1} и рассмотрим набор (а*, а2,... , ап_*) Е Уп_*, такой, что функция //(хп_4+1, хп_4+2,..., хп) = = / (а^,а;,...,ап_*,хп _*+1, хп_*+2,... , хп) имеет алгебраическую степень £.

Пусть а* = (0,0,... , 0, а*, а2,... , ап_4). Рассмотрим отображение /Д*Ьд_ 1 1. Оно

представимо в следующем виде: 1

/Д,Ь/_ 1 ,п_ 1 (хп, хп+1, . . . , хЬ/+п_2) =

= ^(1)(хп),^(2)(хп,хп+1), . . . ,^(4)(хп,хп+1, . . . ,хп+*_1), . . . ,^(Ь/_1)(хп,хп+1, . . . , хп+Ь/_2^ .

Заметим, что функция д(4) в точности равна функции //. Введя для функции д(4) фиктивные переменные в количестве ЬД — 1 — £, перейдём к рассмотрению <7(х1 ,х2, . . . ,хьд_1) = ^(4)(х1,х2, . . . ,х4).

С одной стороны, '^(^) = 2Ь/_1_* • wt(g(^)). Так как д(4) = // имеет алгебраическую степень £, то в соответствии с леммой 3 значение wt(g(^)) нечётно, поэтому wt(g) не

с\ЬЧ _Ь

делится на 2 1 .

С другой стороны, как следует из теоремы 1,

^)= |ГЧ1)| =

Е

У1>У2>...>У£-1>

У£+1’...’УЬ^-1Є{0,1}

£Х*

$ Я^ —1,п—1

-1

(У1,У2,...,У*-1, 1,у*+1,...,уьЛ-1)

--О-2е/

где О — некоторое целое положительное число

е/ і

Таким образом, 2е/ не делится на 2Ъ/-Г, откуда получаем еД ^ ЬД — і — 1. Если і = шіп{іД,6д — 1} = ЬД — 1, то получим еД ^ 0, то есть, с учётом леммы 1, ЬД = 1, что противоречит условию. Таким образом, і

іД и еД ^ ЬД — іД — 1, что завершает

доказательство теоремы.

Данное утверждение означает, что при наличии в полиномиальном представлении булевой функции п переменных монома, содержащего одновременно переменные хп, хп_1,... , хп_4+1 (то есть при £Д ^ £), выполнено еД ^ ЬД — 1 — £, что, с учётом теоре-

2Ь/+"-

12

4+1-Ь

Д\ / 1

инверсионных

мы 3, означает, что данная функция имеет не более 2 функций.

Замечание 1. Заметим, что неравенство еД + £Д ^ ЬД — 1 может обращаться, а может и не обращаться в равенство. Например, для функции /(1)(х1,х2,х3,х4) = = х3 фх2х4 фх1 х2х4 верно, что ЬД(1) = 3, еД(1) = 1, £Д(1) = 1, то есть еД(1) + £Д(1) = ЬД(1) — 1; для функции /(2)(х1, х2, х3, х4, х5) = х4 ф х1х5 ф х1х2х3х5 верно, что ЬД(2) = 4, еД(2) = 1, £Д(2) = 1, то есть еД(2) + £Д(2) < ЬД(2) — 1.

Абсолютно аналогично теореме 4 доказывается следующее утверждение.

Теорема 5. Пусть функция / Е ^п имеет левый барьер, ЬД ^ 2. Тогда выполняется соотношение еД + £Д ^ ЬД — 1.

Следствие 2. Пусть функция / Е ^п имеет правый барьер, 2 ^ ЬД ^ п. Тогда в полиноме функции /(х1 ,х2,...,хп) нет мономов, содержащих одновременно переменные хп, хп_1,

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Доказательство. Как следует из теоремы 1 и леммы 1, для функции / верно еД ^ 1. По теореме 4 верно еД+£Д ^ ЬД — 1, откуда £Д ^ ЬД — 2, то есть в полиноме функции /(х1,х2,... ,хп) не может быть мономов, содержащих одновременно переменные

хп хп— 1, . . . , хп_ЬЯ+2. ®

Для произвольной функции / Е ^п с правым барьером длины 3 с помощью следствия 2 можно получить, что в разложении /(х1, х2,... , хп) = /(оо)(х1, х2,... , хп_2) ф

фхп_1 У(01) (х1, х2, . . . , хп_2) ф xn/(10)(x1, x2, . . . , хп_2) ф хп хп_1/(11) (х1, x2, . . . , хп_2) функция /(и) тождественно равна нулю. Таким образом, полученное в работе [6] необходимое условие барьера длины 3 является тривиальным частным следствием полученного общего утверждения.

Следствие 3. Пусть функция / Е ^п имеет левый барьер, 2 ^ ЬД ^ п. Тогда в полиноме функции /(х1, х2,... , хп) нет мономов, содержащих одновременно переменные х1, х2, . . . , хЬь_1.

Теорема 6. Пусть п ^ 2. Если для некоторой функции / Е ^п, отличной от х1 и х1 ф 1, верно ЬД ^ п, то еД ^ ЬД — 3.

Доказательство. Будем доказывать индукцией по п. В случае п ^ 2 утверждение очевидно, так как все функции из ^2 с правым барьером длины 2 — это функции х1 и х1 ф 1, а функций двух переменных с барьером большей длины не существует.

Пусть n ^ 3. Предположим противное: существует функция f G Fn, не равная x1 и x1 ® 1, такая, что bR ^ n, eR ^ bR — 2. При этом, с учётом теоремы 1 и леммы 2,

eR ^ n — 1, eR < bR — 1, поэтому необходимо рассмотреть только такие функции f, что bR = n, eR = bR — 2 = n — 2. Если при этом f не зависит существенно от xn, то для функции f/(x1, x2,... , xn-1) = f (x1, x2,... , xn-1, 0), f/ G , n'! = n — 1, верно

bR/

bR -І

n', e

R

R

f

= п1 — 2 и противоречие следует из предположения индукции. Пусть теперь / существенно зависит от хп. В соответствии с теоремой 4 ^ (ЬД — 1) — (ЬД — 2) = 1. Таким образом:

1) для всякого набора констант (а1, а2,..., ап_2) Е Уп_2 функция /(а1, а2,..., ап_2,

хп_1,хп) либо линейна по хп, либо не зависит существенно от хп;

2) существует набор констант (а^, а2,... , ап_2) Е Уп_2, такой, что функция /(а^, а2, ... , ап_2, хп_1, хп) существенно зависит от хп.

Отсюда следует, что функция /(а^, а2,... , а^2,хп_1,хп) линейна по переменной

xn, а значит, функции f (а1, а2,... , «П-2, 0, xn) и f (а

12

> 2, І, xn) также линейны

по xn. При этом, так как bR = n и eR = n — 2, то, по следствию 1

Tm I f(a 1’“3’...’“Т-2’0) I jR’^ 1/та- 1

Tm I f(a1’a2 ’...’an-2’1) I jR’^ Kn- 1

С учётом линейной зависимости первых компонент значений векторных отображе-

„ (>(a1’a2 ’...’an

ний fRn-1n- 1

n-2’0) (•(a1 ’a2’...’an-2’1)

т -2 и fR,n1 1,n 1т -2 от переменной Xn имеем

Tm I f(a1 ’a2 ’...’an-2’0) Im UR’l’n-1

Tm I f(a1’a2 ’...’an-2’1) Im UR.l’n-1

Из равенств (І) и (2) получаем

Tm / f(a2 ’“з ’...’aT-2’21’d2) ІШ I J R’n-2’П—1

І

(З)

для любых ^1, ^2 Е {0, 1}.

Из (3) следует, что при всяких ^1,^2 Е {0,1} после фиксации начальных п — 1 переменных отображения /п_2 значениями а2, а3,... , ап_2, ^1, ^2 получаем постоянный вектор: /п_2(а2, а3,..., ап_2, ^1, ^2, хь х2,...

. xn-2) = (q21’22.

21,22 q21’2.

qn1’22) Є Vn-2. Следо-

вательно, при произвольной фиксации первых двух переменных d1 и d2 функция f обращается в константную: f (d1, d2, x1, x2,... , xn-2) = qn-22. Следовательно, f зависит существенно только от первых двух переменных, что противоречит существенной зависимости от последней переменной. Полученное противоречие завершает доказательство утверждения. ■

Теорема 7. Пусть n ^ 2. Если для некоторой функции f G , отличной от xn и xn ® 1, верно bR ^ n, то eR ^ bR — 3.

ЛИТЕРАТУРА

1. Preparata F. P. Convolutional transformations of binary sequences: Boolean functions and their resynchronizing properties // IEEE Trans. Electron. Comput. 1966. V. 15. No. 6. P. 898-909.

2. Логачев О. А., Сальников А. А, Смышляев С. В., Ященко В. В. Булевы функции в теории кодирования и криптологии. 2-е изд. М.: МЦНМО, 2012.

3. Colic J. Dj. On the security of nonlinear filter generators // LNCS. 1996. V. 1039. P. 173-188.

2

2

4. Сумароков С. Н. Запреты двоичных функций и обратимость для одного класса кодирующих устройств // Обозрение прикладной и промышленной математики. 1994. Т. 1. Вып. 1. С. 33-55.

5. Smyshlyaev S. V. Perfectly balanced Boolean functions and Golic conjecture // J. Cryptology. 2012. No. 25(3). P. 464-483.

6. Логачев О. А., Смышляев С. В., Ященко В. В. Новые методы изучения совершенно уравновешенных булевых функций // Дискретная математика. 2009. Т. 21. Вып. 2. С. 51-74.

7. Смышляев С. В. Булевы функции без предсказывания // Дискретная математика. 2011. Т. 23. Вып. 1. С. 102-118.

8. Смышляев С. В. О свойствах булевых функций без предсказывания // Материалы Шестой Междунар. науч. конф. по проблемам безопасности и противодействия терроризму (МГУ им. М. В. Ломоносова, Москва, 11-12 ноября 2010). М.: МЦНМО, 2011. С. 47-56.

9. Lai X. and Massey J. Some connections between scramblers and invertible automata // Proc. 1988 Beijing Int. Workshop on Info. Theory. Beijing, China, July 4-8, 1988. P. DI-5.1-DI-5.5.

10. Смышляев С. В. О преобразовании двоичных последовательностей с помощью совершенно уравновешенных булевых функций // Материалы Пятой Междунар. науч. конф. по проблемам безопасности и противодействия терроризму (МГУ им. М. В. Ломоносова, Москва, 29-30 октября 2009). М.: МЦНМО, 2010. С. 31-41.

11. Смышляев С. В. О криптографических слабостях некоторых классов преобразований двоичных последовательностей // Прикладная дискретная математика. 2010. №1(7). С. 5-15.

i Надоели баннеры? Вы всегда можете отключить рекламу.