CC BY
33
2013 Теоретические основы прикладной дискретной математики №1(19)
УДК 519.7
О ВЕРХНЕЙ ОЦЕНКЕ НЕЛИНЕЙНОСТИ НЕКОТОРОГО КЛАССА БУЛЕВЫХ ФУНКЦИЙ С МАКСИМАЛЬНОЙ АЛГЕБРАИЧЕСКОЙ ИММУННОСТЬЮ1
Н. А. Коломеец Институт математики СО РАН, г. Новосибирск, Россия E-mail: nkolomeec@gmail.com
Доказывается верхняя оценка нелинейности булевых функций от чётного числа переменных, обладающих максимально возможной алгебраической иммунностью и предложенных D. K. Dalai и др. в 2006 г.
Ключевые слова: булевы функции, нелинейность, алгебраическая иммунность.
Введение
В работе [1] N. Courtois и W. Meier предложили метод криптоанализа шифров, основанных на фильтрующих генераторах. Этот криптоанализ использует следующие слабости фильтрующей функции: наличие у неё аннигиляторов низкой степени и множителей, существенно уменьшающих степень получающейся в результате произведения функции. В работе [2] сформулировано понятие алгебраической иммунности булевой функции, которое объединило эти слабости в одно свойство. Таким образом, булевы функции с низкой алгебраической иммунностью обладают слабостью к алгебраической атаке на поточные шифры.
В данной работе рассматривается верхняя оценка нелинейности булевых функций от чётного числа переменных, предложенных в [3].
Основная часть
Через Zn обозначим n-мерный булев куб. Под расстоянием между двумя булевыми функциями будем понимать расстояние Хэмминга (число векторов, на которых функции различаются). Вес Хэмминга вектора x (wt(x)) —количество его ненулевых координат. Будем называть i-м слоем n-мерного булева куба все векторы веса i.
Степень алгебраической нормальной формы булевой функции называется алгебраической степенью функции (обозначается deg(/)). Булева функция называется аффинной, если ее алгебраическая степень не превосходит 1.
Алгебраической иммунностью булевой функции / (Л1(/)) называют минимальную положительную алгебраическую степень булевой функции, которая аннулирует / или / ф 1, т. е.
Л1(/) = min{deg(g) : f (x)g(x) = 0 или (f (x) ф 1)g(x) = 0}. о
Известно, что для функции / от п переменных Л1(/) ^ [п/2]. Для криптографических приложений наибольший интерес представляют функции с максимально возможной алгебраической иммунностью, т. е. с Л1(/) = [п/2] (это значение достигается для любого п).
1 Исследование выполнено при поддержке РФФИ, проект №12-01-31097.
Рассмотрим нелинейность функций, обладающих максимальной возможной алгебраической иммунностью, а именно функций, построенных с помощью одной из самых простых конструкций для чётного числа переменных, которая предложена в работе [3]:
0, -^(ж) < п/2,
/ (ж) = ^ Ь(ж) е {0,1}, -^ж) = п/2, (1)
1, -^(ж) > п/2.
Все такие функции обладают алгебраической иммунностью п/2.
Напомним, что нелинейностью булевой функции / (обозначается п1(/)) называется расстояние Хэмминга от функции / до класса аффинных функций.
Известна следующая оценка снизу на нелинейность функции от п переменных [4]:
А1(/)-2
п1(/) > 2 Е си
i=0
Для булевых функций с максимально возможной алгебраической иммунностью от чётного числа переменных п эта оценка выглядит следующим образом:
п1(/) > 2“-1- 2СЙ. (2)
Среди функций вида (1) существуют такие, для которых в (2) достигается равенство. Эта оценка доказана также в [3] для функций вида (1), уравновешенных на среднем слое.
Докажем верхнюю оценку нелинейности для данного класса функций. Следует упомянуть, что данная оценка приводится (как тезис) в презентации СЬ. Ы [5].
Теорема 1. Для функций / вида (1) выполняется
п1(/) < 2“-1 - СЙ.
Доказательство. Оценим расстояния от функций вида (1) до линейных функций /;(ж) = жi, г е {1,...,п}, п — количество переменных. Пусть / — функция вида (1) от п переменных. Рассмотрим расстояния на каждом слое булева куба Zn отдельно. Пусть ^ —расстояние до на 2-м слое, т .е.
^ = |{ж е Щ : №^ж) = 2,/(ж) = /Дж)}| ,2 е {0,...,п}.
Тогда = в0 + в1 + ... + ^™. Очевидно, что
Г 0, 2 = 0,
сп-, 0<2<п/2,
в = { с/2, 2 = п/2, (3)
С3п-1, п/2 <2<п
0, 2 = п.
Поэтому
п/2-1 п-1 п/2-2 п-1 .
в = Е С- + Е С -1 + вп/2 = е -1 + Е С-1 + <€/2
7 = 1 э=п/2+1 7=0 п/2+1
п— 1
— пэ _ г*п/2-1 _ сп/2 Л- Аа/2 _________ оп-1 о сп/2 I
= 2^ сп-1 сп- 1 сп- 1 + = 2 2Сп- 1 +
_ _ = _ вп/2
уп-1 сп-1 сп-1 + 2 2Сп-1 + .
Э=о
Далее заметим, что для любого вектора х из среднего слоя ровно половина из /і отличается от f на этом векторе х. Таким образом,
при этом обе оценки достигаются.
Напомним, что максимально возможная нелинейность булевой функции от чётного
1. Courtois N. and Meier W. Algebraic attacks on stream ciphers with liner feedback // LNCS. 2003. V. 2656. P. 345-359.
2. Meier W, Pasalic E., and Carlet C. Algebraic attacks and decomposition of Boolean functions // LNCS. 2004. V.3027. P.474-491.
maximum possible annihilator immunity // Designs, Codes and Cryptography. 2006. V. 40. Iss. І. P. 41-58.
4. Лобанов М. С. Точное соотношение между нелинейностью и алгебраической иммунностью // Дискретная математика. 2006. Вып. 18. №3. С. 152-159.
5. Li Ch. A survey on construction of Boolean function with optimum algebraic immunity (AI) // http://www.frisc.no/wp-content/uploads/2011/10/Li-A-survey-on-construc-tions-of-BFs-with-optimum-AI.pdf
Е dn|2 = n/2 ■ cn|2 = n ■ c;-2.
i=1
Следовательно, существует i;, такой, что
т. е.
Теорема доказана. ■
В работе [3] доказано, что для функции
/(x) =
0, wt(x) ^ n/2,
1, wt(x) > n/2
от n переменных выполняется
Таким образом, оценка из теоремы 1 достигается.
Следствие 1. Для любой функций f вида (1) верно
числа переменных равна 2П 1 — 2п/2 :, т. е. нелинейность рассматриваемых функций весьма далека от максимально возможной.
ЛИТЕРАТУРА
3. Dalai D.K., MaitraS., and Sarkar S. Basic theory in construction of Boolean functions with
