Об алгебраической иммунности систем кодирования Текст научной статьи по специальности «Математика»

1ОБ АЛГЕБРАИЧЕСКОЙ ИММУННОСТИ СИСТЕМ КОДИРОВАНИЯ

Леонтьев В.К.1, Гордеев Э.Н.2

Булевы функции вообще и булевы полиномы, в частности, - предмет теоретических и прикладных исследований в различных областях информатики. Аннигиляторы булевых функций и алгебраическая иммунность булевых полиномов - важные предметы исследования в системах кодирования. Само определение понятия аннигилятора для булевых полиномов вводится с помощью некоторого преобразования в кольце полиномов, поэтому в работе проблематика, связанная с аннигиляторами булевых полиномов, рассматривается в рамках линейных преобразований над эти кольцом. В частности, изучаемые в работе линейные преобразования пространства булевых полиномов от п переменных позволили получить результаты, касающиеся проблемы нахождения минимальной степени аннигилятора для заданного булева полинома. Именно эта задача является наиболее актуальной в различных аналитических и алгоритмических аспектах кодирования. Цель работы - на фоне обзора важности алгебраической иммунности для конструкции «хороших» систем кодирования привести формулы и алгоритмы ее нахождения в общем случае и для определенных классов булевых полиномов. В работе приведена теорема о минимальной степени аннигилятора булева полинома в общем случае. Даны оценки минимальной степени аннигилятора. Описан класс булевых полиномов, для которых степень аннигилятора не превосходит единицы. Особое внимание уделено аннигиляторам симметрических булевых полиномов. Получены критерии наличия линейного аннигилятора для симметрического булева полинома, а также условия наличия у него квадратичного аннигилятора. Приведен ряд комбинаторных характеристик, связанных со свойствами пространства булевых полиномов. Используются методы комбинаторного анализа, алгебры и теории алгоритмов3.

Ключевые слова: булев полином, симметрический полином, алгебраическая иммунность, аннигилятор, линейное преобразование.

DOI: 10.21681/2311-3456-2019-1-59-68

Введение

Пусть В={0,1}, В" - п-мерный булев куб, |(х) - булева функция: Вп—► В в базисе {1,Л,©}. Как обычно, | |х| |-норма булевого вектора - это его весХэмминга, т.е. число единиц в этом векторе.

Пусть F2={0,1} - поле Галуа и F2[x1,...,xn]-кольцо полиномов над Р„. Если гюосЬактооизовать это колыю по мо-

2 2 2 дулю идеала I = (хг + Хг, Х2 + -¡С2,."> Хп + Хп)

, то получится кольцо булевых полиномов с обычными операция сложения и умножения и равенством X. = х1 ^ = Оно является стандартным объек-

том в теории кодирования, дискретном анализе и криптографии.

Каждый элемент кольца Р*[х] видахш называется мономом, а вес Хэмминга | |\л/| | — называется степенью монома х™.

Упорядочим все мономы по степени, а внутри множества мономов одной степени — лексикографически. Тогда получим следующее подмножество Рп кольца :

Яп Х\, ■■■' Хп, Х±Х2, ■■■, Хп_1Хп, ..., Х1Х2 ■■■ хп\ (1)

Ясно, что Rn — коммутативный моноид относительно умножения и Ш |=2п.

1 п 1

Любой элемент кольца g(x) можно представить в виде:

С...Х

«ее"

(2)

где

{х,, если w, =1 1, если wk = О

Представление (1) называется булевым полиномом, полиномом Жегалкина, алгебраической нормальной формой (АНФ). Здесь конъюнкция х™ будет моно-

п

deg

xw =

w,

мом, а число

- степенью этого

монома. Степенью всего полинома g(x) будет число deg g (х) = max{ deg х "}

c-l ■

Если двоичные векторы ™ полинома g(x) записать в виде матрицы, то получим матрицу М8 - мономов полинома

Леонтьев Владимир Константинович, доктор физико-математических наук, профессор кафедры «Информационная безопасность»

МГТУ им. Н.Э. Баумана, Москва, Россия. E-mail: vkleontiev@yandex.ru.

Гордеев Эдуард Николаевич, доктор физико-математических наук, профессор кафедры Информационная безопасность» МГТУ им. Н.Э. Баумана, Москва, Россия. E-mail: werhorn@yandex.ru. Работа выполнена в рамках Госзадания по теме №0063-2016-0003.

1

2

3

g(x). (Если мономы сначала упорядочены по длине, а мономы одинаковой длины - лексикографически, то получим однозначное отображение множества булевых полиномов в множество матриц мономов.)

д(х) е Р?[х] Определение. Полином называется

аннигилятором для /Qt) Е Р" [х] , если выполняется

условие

f(x)g(x)=0 или g(x)[f(x)+1]=0. (3)

Определение. Алгебраической иммунностью булевой функции /Qt) е Р" [х] называется минимальной степень ее аннигилятора.

Задача поиска аннигиляторов булевых функций долгое время привлекала малое внимание специалистов в области дискретной математики.

В это же время многие свойства булевых функций применялись при конструкции криптосистем и криптоанализе систем защиты информации. Например, булевы функции давно используются в потоковых шифрах в качестве нелинейных фильтров, а также они применяются в блочных шифрах в S-боксах.

Требование устойчивости схем шифрования к разного вида атакам приводит к тому, что в них используются булевы функции с определенными свойствами. Конечно, эти свойства зависят от принципов построения самих криптографических конструкций. В случае с потоковыми шифрами требуемые свойства булевых функции, используемых в качестве нелинейных фильтров, характеризуются ограничениями на алгебраическую иммунность и нелинейность высоких порядков.

Перечень подобных требований, их значение и взаимосвязи можно найти в любом учебнике, например, в [1]. Алгебраическая имунность задается минимальной степенью аннигилятора. Поэтому результаты, которые в дискретном анализе касались значения или оценок минимальной степени аннигилятора, в криптоанализе можно интерпретировать как исследование алгебраической имунности.

Важным прогрессом в области криптоанализа, достигнутым в 2003 году, стало введение Courtois N. и Meier W. алгебраических атак и быстрых алгебраических атак, которые являются очень мощными концепциями анализа и могут применяться практически ко всем криптографическим алгоритмам. Для изучения устойчивости к алгебраическим атакам и было тогда введено понятие алгебраической иммуннности.

В 2003 г. появилась работа Courtois N. и Meier W. [2], в которой была предложена точная нижняя оценка нелинейности (первого порядка) через значение алгебраической иммунности функции. Значение ее в том, что для алгебраической иммунности функции тогда уже было предложено несколько алгоритмов, а для подсчета нелинейности высоких порядков эффективных алгоритмов

не существовало. Это обусловило интерес криптографов к результатам дискретного анализа, а специалисты в последней области обратили внимание на прикладные криптографические аспекты своей деятельности.

С той поры в этой области исследований можно условно выделить три главные направления, которые, опять-таки условно, можно обозначить следующим образом.

1. Математики-дискретчики, ищущие в криптографии, обоснования постановкам задач.

2. Математики, пытающиеся найти связи между разными прикладными областями.

3. Криптографы, ищущие в полученных результатах из области дискретного анализа резервы для своих результатов.

Приведем примеры из этих направлений для того, чтобы была понятна тематика этой нашей работы.

Примером из первого направления может служить работа Didier F. [3], где получена новая верхняя граница вероятности ошибки блока после декодирования по каналу со стиранием. Оценка работает для всех линейных кодов и выражена в терминах обобщенных весов Хэмминга. Это оказывается весьма полезным для кодов Рида-Маллера, для которых известны все обобщенные веса Хемминга, тогда как полное распределение весов известно лишь частично. Для этих кодов вероятность ошибки дана в связи с криптографическим понятием алгебраической иммунности. Далее с использованием этой оценки решается уже другая задача: находится алгебраическая иммунность и ее асимптотика для случайной «сбалансированной» булевой функции.

Feng K., Liao Q., Yang J. [4] обобщают понятие алгебраической иммунности булевых функций несколькими способами на вектор-функции над произвольными конечными полями и получают верхние оценки для такой обобщенной алгебраической иммунности. Доказано, что верхние границы могут быть достигнуты с использованием свойств кодов Рида-Маллера.

Направление исследований Didier F. продолжается, например, в работе Carlet C. Merabet B. [5]. Эта статья расширяет работу Didier F. по алгебраической иммунности случайных сбалансированных булевых функций, на асимптотическую нижнюю границу алгебраической имунности специального класса функций (random balanced Boolean functions).

Примерами результатов во втором направлении служит цикл работ М.С.Лобанова (см. [6], [7], [8]). В работе [6] предложен новый подход к получению для булевой функции как можно более сильных нижних оценок её нелинейности высоких порядков через значение алгебраической иммунности. Проблема сведена к оценке размерности определённых линейных подпространств в пространстве всех булевых функций фиксированного числа перемен-

ных. Приведена универсальная оценка нелинейности r-го порядка через значение алгебраической иммунности функции. Эта оценка является точной в том смысле, что для любых допустимых значений параметров существует функция, достигающая оценки.

Здесь можно отметить и работу В.К.Леонтьева [9], где получены формулы для вычисления степени аннигилятора произвольного булева полинома, а, следовательно и его алгебраической иммунности. Проблема сведена к построению и анализу определённых линейных подпространств над пространством булевых функций фиксированного числа переменных.

Достаточно полную картину (до 2008 г.) деятельности в этой области можно найти в обзорной работе М.Э.Тужилина [10].

В статье Rizomeliotisa P. [11], в определенном смысле, улучшены некоторые известные нижние оценки нелинейности r-го порядка булевой функции с заданной алгебраической имунностью. Это достигается за счет того, что там вводится понятие дополнительной алгебраической имунности, а его значение может быть вычислено как часть вычисления алгебраической имунности без изменения вычислительной сложности.

Mesnager S. в [12] доказывает новую нижнюю границу для профиля нелинейности r-го порядка булевых функций, учитывая их алгебраическую иммунность, которая значительно улучшается для одной из этих нижних оценок для всех порядков и для другой для низких порядков.

Mesnager S., Cohen G. в [13] используют параметр, введенный Лю и соавторами, называемый быстрой алгебраической иммунностью (fast algebraic immunity), в качестве инструмента для измерения устойчивости криптосистемы, построенной на основе булевых полиномов к быстрым алгебраическим атакам. Доказана верхняя оценка значения быстрой алгебраической иммунности. Используя ее установлена слабость обратных функций следа (trace inverse functions) против быстрых алгебраических атак.

Примерами работ в третьем направлении являются статьи, где строятся булевы функции максимально пригодный для «хороших» (обладающих оптимальными криптографическими зхарактеристиками) криптографических конструкций.

Работа [14] Wang Q, Johansson T. изучает понятие нелинейной эквивалентности булевых функций, при которой многие криптографические свойства не являются инвариантными среди функций в пределах одного и того же класса эквивалентности. Обсуждается количество булевых функций в каждом классе эквивалентности и исследуются их криптографические свойства, в том числе алгебраическая иммунность, алгебраическая степень и нелинейность классов эквивалентности и др., Описываются классы эквивалентности с «хорошими» криптографическими характеристиками и методы построения таких классов.

Хорошо известно, что булевы функции, используемые в потоковых и блочных шифрах, должны обладать большой алгебраической иммунностью, чтобы противостоять алгебраическим атакам. Поэтому активно изучаются конструкции таких функций. Например, Peng J. и Kan H. Предлагают в [15] несколько конструкций симметричных булевых полиномов с нечетным числом переменных (rotation symmetric Boolean functions) с максимальной алгебраической имунностью. Это направление продолжается в работах Lei Sun и Fang-Wei Fu [16], [17], а также Shaojing FU, Jiao DU, Longjiang QU, Chao LI [18].

В статье Wang Q., Tan Ch.H., Stanica P. [19] строятся модификации известной HWBF функции (hidden weighted bit function) введеной Briant еще в 1991 г. Новые функции сбалансированы, с почти оптимальной алгебраической степенью и удовлетворяют строгому лавинному критерию. Исследуется их алгебраическая имунность, размер BDD и другие актуальные криптографические свойства.

Аннигиляторы симметрических полиномов в связи с алгебраической иммунностью построением «хороших» криптографических конструкций изучаются во многих работах. В качестве примеров можно привести работу Леонтьева В.К. [20] и статью Carlet C., Gao G., Liu W. [21].

Su S., Tang,X в [22] изучаются симметрические булевы полиному с четным и нечетным число неизвестных. Для построения криптографически «хороших» булевых функций используется теоретико-числовая техника. Построены классы полиномов с оптимальными, в коком-то смысле, характеристиками: алгебраической иммунностью, степенью и пр.

Все, сказанное выше объясняет актуальность и тематику данной работы.

С точки зрения приведенной классификации, кроме уже упомянутых результаты авторов, принадлежащие к первым двум направлениям приведены также в работах [23],[24],[25],[26-27].

Хотя данная статья носит преимущественно теоретический характер, явные формулы дают возможность алгоритмической реализации, а полученные на их основе алгоритмы могут быть легко запрограммированы и применены, в частности, в различных областях криптографии.

Большинство теорем приведено здесь без технически громоздких доказательств. Подробные доказательства можно найти в [23] и [26].

Во второй части работы приведена краткая сводка используемых понятий и определений. Третья часть посвящена нахождению минимальной степени аннигилятора (корреляционной иммунности) в общем случае. В четвертой части рассматриваются частные случаи минимальных степеней, а в пятой - комбинаторные параметры, связанные с основной тематикой работы.

2. Необходимые понятия и определения

Исходя из (1) и (2) сопоставим каждому полиному g(x) из двоичное слово длины 2", которое представляет вектор коэффициентов с Таким образом, длина входа, задающего полином g(x), равна 2". Мы рассматриваем 2п-мерное векторное пространство над полем F2 и линейные преобразования этого пространства, задаваемые матрицами размеров 2п*2п, элементы которых мы будем нумеровать мономами из Rn.

Таким образом,задается преобразование

.

Мы рассмотрим специальные виды преобразований из Тп, связанные с задачей поиска для заданного полинома f(x) ненулевого аннигилятора минимальной степени, которую мы обозначим через a(f).

Пусть Zf = fxBB" :f(x) = 0} и Nf = {хВВя :f(x) = ]}- соответственно множества нулей и единиц полинома f(x).

Известно простое соотношение между числом нулей Zf полинома f(x) и его аннигилятором.

Утверждение. Если d - минимальная степень аннигилятора, то

11-1 n-d

Xcn*r-zf*ycn

В работах [24], [25], [27] подробно изучается вопрос нахождения Zf и его оценок.

В общем случае условие (3) можно выразить в виде:

.

(4)

И тогда требуется найти полином минимальной степени, удовлетворяющий условию (4).

Формально пространство Lf может быть описано следующим образом.

Рассмотрим линейное преобразование: Tg=fg.

(5)

Матрицу линейного преобразования мы обозначим через Аг В этом случае Lf является нуль-пространством матрицы Af или, что тоже самое,

.

В силу представления

для матрицы A_f имеем следующее выражение:

(6)

г А Lw п

w

ЛИ> _ /И'1 ди?2 비 -

где'" хг " хп пхк — матрица линейно-

го преобразования Tg=xk g. Тем самым для каждого монома полинома f можно найти соответствующее ему линейное преобразование и, сложив их, получить матрицу Аг

Пример 2.

1). Если п=2, то нужно рассматривать матрицу следующего вида

*хгх2

. 1 Х1

1 1 1 0 0 0 1

х1 1 1 о 0 0 1

1 1 о 0 0 1

ХгХ2 1 о 0 0 1

11.(7)

Пример 1.

1) Так как /(1 + /) с учетом ~J = у.

О, то а < degf. Это следует из (4)

2) Если f(x)=x. F1+x2 F2, где F1,F2 — произвольные полино-

x± x2+x1+x2+1 является

мы из Р£[х], то полином g(x) аннигилятором для f(x), так как f(x)g(x)=0. Отсюда следует неравенство

Чтобы построить матрицу линейного преобразования Ag соответствующего моному g, достаточно посмотреть во что переходят мономы из Af при умножении на g. В частности, если g=x1 х2, то получаем матрицу преобразования А(х± х2 ) .

2). Если п следующего вида: A1+x1x2

=2, f =1+x± x2

то нужно рассматривать матрицу

=A1+Ax1 x2.

о^)<2.

Заметим теперь, что если Ц — множество всех аннигиляторов 1, то Ц — подпространство [х].

Задача о вычислении а(Т) сводится к нахождению в подпространстве Ц ненулевого полинома минимальной степени.

11+Х1Х2

3). Если п=2, f = х±, дующего вида:

1 *2 х^х2

1 II 0 0 0 1

- II 0 0 0 1

*2 II 0 0 0 1

Х^Х2 II 0 0 0 1

1 хг х1х2

1 II 1 0 0 1

% II 0 1 0 1

II 0 0 1 1

хгх2 || 0 0 0 0

Определение. Пусть д(х) £ и

д*{х) = ^ д О)**

г£Вп

Тогда линейное преобразование (*) называется ^преобразованием.

Пусть f — полином: f=X с

J лл л

линома f.

хл,и М, — матрица мономов по-

(8)

то нужно рассматривать матрицу сле-

Заметим, что в общем случае комбинаторное строения матрицы описывается следующими свойствами:

• каждая строка матрицы Ах содержит ровно одну единицу;

• в матрице имеется ровно 2п-1 нулевых столбцов и ровно 2п-1 столбцов с двумя единицами;

• если столбцу соответствует моном, содержащий переменную х., то он содержит ровно две единицы.

Определение. Полином называется симметрическим,

если выполняется соотношение .....хп)=|(хад.....хБ(п)),

где Б - произвольная подстановка симметрической группы Б .

п

Кольцо симметрических полиномов является под-кольцом кольца Р™[х] и порождается множеством элементарных симметрических полиномов

Определение. Глубиной 5(М,) матрицы М, будем понимать минимальное натуральное число г такое, что в матрице М, существует г столбцов, образующих подматрицу М,', в которой нет нулевых строк.

Другими словами, это означает следующее: существует г переменных из п таких, что каждый из мономов содержит хотя бы одну из этих переменных.

3. О минимальной степени аннигилятора

В терминах линейных преобразований нахождение числа а(^ - минимальной степени аннигилятора полинома ^х) - выглядит следующим образом.

Если А, -матрица линейного преобразования (5), а множество всех аннигиляторов полинома ^х) - это ее нуль-пространство, то для нахождения минимальной степени полинома в этом нуль-пространстве введем следующее определение.

Определение. а-рангом матрицы А, линейного преобразования, связанного с полиномом ^ называется минимальное число г, такое, что первые г строк матрицы А, линейно зависимы.

Теорема 1. Пусть а-ранг матрицы А, равен d, тогда минимальная степень аннигилятора а(^ определяется следующим образом. Если

В базисе каждый симметрический

полином имеет единственное представление в форме

,

то а(^=г. Если же то а(1)=г+1.

(9)

(10)

Рассмотрим ещё одно линейное преобразование пространства полиномов ■ Здесь мы будем отождествлять 2п-мерное линейное пространство Р£[х] с пространством двоичных векторов длины 2", а линейные преобразования — с квадратными (2пх2п )-матрицами, элементы которых нумеруются мономами из Rn.

Замечание 1. Очевидно, что «обычный» ранг г(А) матрицы А и ее а-ранг га(А) связаны неравенством:

га(А)< г(А).

Замечание 2. Эта теорема носит «двусторонний» характер в том смысле, что из того факта, что а(^=г, то а-ранг матрицы А, определяется соотношениями (9)-(10).

Замечание 3. Если А, -матрица линейного преобразования (5) и ее ранг равен г, то число всех аннигиляторов для полинома f равно 22п-г.

Пример 3.

1). Если Т=х. х„, то матрица была постппеча выше (5).

Ясно, что сх-ран^ равен двум и 1<2<\0/+2 и потому <х(Т)=1. В частности, полином |(х)=х1+1 является аннигилятором для 1

2). Если f=1+x1x2, то матрица А( была построена выше (6).

4; = + /-2Ч+ /24 Ясно, что сх-ранг Аг равен четырем и ч)/ VI/ v2/ и потому о^)=2. В частности, полином g(x)=x1x2 является аннигилятором для f.

4. Линейные и квадратичные аннигиляторы

Рассмотрим сначала некоторые следствия из теоремы 1.

Первое следствие касается полиномов, аннигиляторы которых имеют степень не выше единицы.

Пусть f - полином от п переменных, но существенно зависящий от к переменных, состоящий из т мономов.

Определение. Линейным представлением полинома называется представление множества {1,...,к} в виде объединения s его подмножеств Ц^.-^Ц (мощности которых: к1,.,кз) такое, что выполняется одно из двух условий:

S г'

f XJ ~ ^ F(Xj>"-9 ^ Xj^

р-1

или

S I ' \

f(*i.....Xj = у F(x1.....xj 1+У xJp

i-J \ p^t j

(11)

(12)

Теорема 2. Если существует линейное представление полинома f (xv,„, XfJ, то его аннигилятор имеет степень не более единицы.

Доказательство. Если существует линейное представление полинома f (xlf.„, xj, то соотношения (11) или (12) задают отношения линейной зависимости среди первых n+1 строк матрицы Af линейного преобразования, связанного с f(x). Но это означает, что a(f)=l,TaK как

yi fn)

или d = 1 °vi/, или

а. £)««<&. С).

Теорема доказана.

Пример 4. Пусть f(x)=x3+x1x3+x1x4+x2x3+x2x4+x3x4. Для него существует линейное разбиение f(x)=x1(x3+x4)+x2(x 3+х4)+х3(х3+х4)поэтому степень его аннигилятора, например, g(x)=x1+x2+x3 равна единице. Пусть f(x)=l(x)+q(x)+u(x), где l(x) - линейный, q(x) - квадратичный, u(x) -полином степени выше двух.

Пусть задано подмножество I индексов из {1.....п}, через

х(1) = V х х(1) обозначим полином ^

Можно сформулировать простое необходимое условие существования аннигилятора степени единица.

Теорема 3. Для того чтобы полином ^х) имел аннигилятор степени единица необходимо чтобы существовало

подмножество I индексов из {1.....п} такое что либо ни

один из мономов 1(х) не содержит переменной с индексом из I и 1(х)х(1^(х), либо в 1(х) присутствуют все мономы с индексами из I, а полином х(1^(х)+х(1)1(х) имел степень больше двух.

Доказывается непосредственной проверкой. Если выполняется первое условие, то может существовать линейный полином со свободным членом 1, в противном случае такого аннигилятора не будет. Аналогично, во втором случае может существовать линейный полином -аннигилятор без свободного члена. В противном случае его не будет.

Рассмотрим теперь оптимизационную задачу. Задан полином ^х). Вопрос: имеет ли ^х) линейный аннигилятор. Если имеет, то требуется его найти.

С алгоритмической точки зрения мы имеем оптимизационную задачу с размером входа 0(2"). Поэтому поиск минимальной степени аннигилятора формально имеет сложность полиномиальную по длине входа, но не по п.

Прямой переборный подход с проверкой линейной зависимости подмножеств п-элементного множества на линейную зависимость (любым критерием, например, с помощью матрицы Грама) имеет сложность полиномиальную по длине входа и позволяет решить задачу. Однако, эта сложность экспоненциальная по п. Заметим, однако, что для криптографических моделей такая ситуация типична и не выглядит неестественной.

Перейдем теперь к рассмотрению интересного и важного подкласса полиномов: симметрическим полиномам.

Условие того, что симметрический полином имеет аннигилятор степени не выше единицы, следует из результатов работы [7], где доказана формула

сгр(х)о(х) = у

Н\Р,2

р r-q

p>q, x=(xi,...,xn),

А

Здесь

in\

1,

к

\ /

in\

0,

W

Ог(х)

= l(mod2)

= 0(mod2)

По этой формулы непосредственно строится алгоритм поиска аннигиляторов для симметрических полиномов.

В качестве следствия из нее можно получить следующее соотношение:

ор(х)оч(х) =

' р + з^ ' Р >

V г У 2

. (13)

Из (13) с использованием теоремы Куммера при q=1 в [20] получается выражение

ар(х)а1(х) = (р)2ор(х) + (р +1)2ор+1(х). (14)

п

ё(х) = У К°к (*)> К

Теорема 4. Пусть ыо - сим-

метрический полином и п>2. Для того, чтобы линейный полином 1(х)=х. +...+ -был аннигилятором необходимо и достаточно выполнения четырех условий:

1. к>0.

2. 1(х) ^<У,(х).

3. Для всех к таких, что Л=1, если к=0 (mod2), \+=1.

4. А если к=1 (mod2), то Л=1.

п

ек

Теорема 5. Пусть - симметрический полином и п>2. Для того, чтобы 1(х)=1+х. +... + х- - был его аннигилятором необходимо и достаточно выполнения условий:

1. к>0.

2. 1(х)^0,(х)

3. Для всех к таких, что Лк=1 выполняется условие к=1 (mod2).

Рассмотрим теперь квадратичные полиномы вида

,

т.е. все мономы этого полинома имеют вторую степень.

д

Теорема 6. Пусть ^^ " ^^ _ симме-

трический полином и п>2. Для''того, чтобы квадратичный полином = + ... + ■£, был аннигилятором ¿(х) необходимо и достаточно выполнение условий:

1. 1{х)~ХУа(х)

2. Для всех к таких, что Ак=1и к=0 (mod4) выполняется условие: Лк+2=1.

3. Для всех к таких, что Лк=1и к=1 (mod4) выполняется условие: Лк+2=1.

4. Для всех к таких, что Лк=1и к=2 (mod4) выполняется условие: Лк-2=1.

5. Для всех к таких, что Лк=1и к=3 (mod4) выполняется условие: Лк-2=1.

5. Аннигиляторы и связанные с ними комбинаторные характеристики линейных преобразований

5.1. Аннигиляторы и глубина матриц

Если а^) — минимальная степень аннигилятора для ^ то справедливо следующее предложение.

Теорема 5. Имеет место неравенство

«ММ,).

Доказательство. Пусть х1 х2...хг —«протыкающее» множество для полинома ^ то есть г=^(М,).

Рассмотрим полином g(x1...xn )=(1+х1 )(1+х2 )... (1+хг ). Покажем, что g — аннигилятор для ^ то есть f • ¿=0.

Если х=(х1.хп ) — произвольная точка из ВАп, то какая-то из переменных х1,х2,.,хг равна 1 и тогда g(x)=0. Если же х1=х2= ••• =хг=0, то ^х)=0, так как каждый из мономов f содержит переменные из {х1 х2...хг}.

Таким образом, данный полином g(x1...xn )=(1+х1 )(1+х2)... (1+хг ) - имеет степень ^(М,) и является аннигилятором для 1 Отсюда и следует требуемое неравенство.

Теорема доказана.

Пример 5.

1). Пусть п=2 и ^=х1+х2, f2=x1+x1 х2, f3=1+x1+x2. Тогда )=2, )=1, а^ )=1 и g1=x1 х2, g2=x2, g3=x1+x2 — аннигиляторы соответственно для f2 и f3.

5.2. Булевы полиномы и 1-преобразования

Рассмотрим теперь второе из определенных выше линейных преобразований - преобразование(*).

Теорема 6. Преобразование (*) обладает следующими свойствами:

1. Инволютивность: =g.

2. Число единиц g(x) равно числу мономов g*(x). Пример 6.

1). (х„ х„...х )* =х„ х„...х .

уу12 п ' 12 п

2). (х„ V х„ V ... V х )* =х„ V х„ V ... V х

уу12 п ' 12 п

3). Если е =х+х + ••• +х , то

' п 12 п'

прип^0(той2) прип^1(той2)

Пусть а*п — матрица введённого выше линейного преобразования (*). Для описания а*п рассмотрим «стандартный» частичный порядок на множестве мономов — {1,Х1...,ХП,...,Х1Х2...ХП}, положив для мономов V и V

< щ

Л

Теорема 7. Пусть Лп ~

а „

тогда

-Г'

1, еслиг^ < V)

еслиVI > г?/

Теорема 9. Полином 1(х) является 1-инвариантным тогда и только тогда, когда выполняется соотношение:

если множество переменных, входящих в моном V., является подмножеством множества переменных, входящих в моном V..

У5Х

Замечание 5. Важна с прикладной, в частности, криптографической точки зрения проблема нахождения числа нулей булевого полинома. Она подробно рассматривается, в частности, в работах ([24], [25], [27]). Также ей посвящена и следующая теорема.

Теорема 10. Пусть 1(х) является 1-инвариантным полином и т(1 -число его мономов, тогда справедливо соотношение:

.

Доказательство непосредственно следует из определений и утверждений, приведенных выше.

6. Заключение

Пример 7.

. 1 Х2 х1х2

1 1 1 1 1 1 1

х1 I 1 0 1 0 1

1 1 0 0 1 1

х1х2 1 0 0 0 1

Отметим следующие свойства матрицы а*п

1) = аЩ}при*

2) = 1 при г = 1, 2П

3) А*п -треугольная матрица и гапд^А^) = 2",

4) л*2 или К. = К 1,

5) если А* = Нп + Е, то Н* = 0.

Все эти свойства могут быть выведены из приведённой выше теоремы и инволютивности преобразования (*).

Определение. Полином 1(х) называется 1-инвариантным, если выполняется соотношение 1*(х)=1(х).

Теорема 8. Полином 1(х) является 1-инвариантным тогда и только тогда, когда выполняется соотношение: 1Нп=0.

Замечание 4. В терминах функциональных уравнений формулировка этой теоремы выглядит следующим образом.

В работе предложен новый подход к анализу комбинаторных характеристик булевых полином и связанных с ними объектов. Он позволил получить новые формулы, оценки и алгоритмы нахождения такой важной для систем защиты информации характеристики криптосистем, ка их корреляционная иммунность.

Описаны специальные типы линейных преобразований пространства булевых полиномов. С помощью этих преобразований предложены формулы и алгоритмы для нахождения минимальной степени аннигилятора заданного булевы полинома. Приведены формулы и оценки минимальной степени аннигилятора. Теорема 1 позволяет построить алгоритм нахождения минимальной степени аннигилятора произвольно булева полинома. Рассмотрены условия, при которых аннигилятор может быть линейным.

Для симметрических булевых полиномов приведены критерии, при которых аннигилятор может быть линейным. Дано необходимое условие наличия квадратичного аннигилятора специального виде (все мономы второй степени).

Приведена связь задач нахождения минимальной степени аннигилятора и глубины матрицы.

Полученные в работе результаты могут представлять интерес для прикладных разработок в области криптографии и криптоанализа.

Достоверность полученных результатов основывается на доказательствах и рассмотрениях, приведенных в настоящей статье и цитируемых работах авторов, на которой базируется эта работа.

Литература:

1. Панкратова И.А. Булевы функции в криптографии: учебное пособие. Томск.: Томский Университет, 2014. 88 с.

2. Courtois N., Meier W. Algebraic attacks on stream ciphers with linear feedback // Advances in cryptology, EUROCRYPT 2003. Berlin, Heidelberg: Springer Verl., 2003. P. 345-359. (Lect. Notes in Comp. Sci.; V. 2656).

3. Didier F. A new upper bound of the block error probability after decoding over the erasure channel // IEEE Transactions On Information Theory. 2006. V. 52. No. 10. P. 4496 - 4503.

4. Feng K., Liao Q., Yang J. Maximal values of generalized algebraic immunity // Des. Codes Cryptogr. 2009. V. 50. P. 243-252.

5. Carlet C, Merabet B. Asymptotic lower bound on the algebraic immunity of random balanced multi-output Boolean functions // Advances in Mathematics of Communications. 2013, V.7. №2. P. 197-217. DOI: 10.3934/amc.2013.7.197.

6. Лобанов М.С. Точные соотношения между нелинейностью и алгебраической иммунностью // Дискретный анализ и исследование операций. 2008. Том 15, № 6 C. 34-47.

7. Лобанов М.С. Об одном методе получения нижних оценок на нелинейность булевой функции // Матем. Заметки 2013. Т.93. №5. С. 741-745. D0I:10.4213/mzm10233.

8. Лобанов М.С. Точное соотношение между нелинейностью и алгебраической иммунностью // Дискретная математика / 2006. Т. 18. №3. С. 152-159.

9. Леонтьев В.К. Булевы полиномы и линейные преобразования // ДАН. 2009. Т.425. №3. С. 320-322.

10. Тужилин М.Э. Алгебраический Иммунитет булевых функций // Прикладная Дискретная Математика. 2008. № 2(2). C.18-22.

11. Rizomiliotis P., Improving the high order nonlinearity lower bound for Boolean functions with given algebraic immunity // Discrete Appl. Math. 2010. V.158. Is.18 , P. 2049-2055. DOI: 10.1016 / j.dam.2010.08.023.

12. Mesnager S. Improving the lower bound on the higher order nonlinearity of Boolean functions with prescribed algebraic immunity // IEEE Trans. Inf. Theory. 2008. V.54. № 8. P. 3656-3662. Zbl 1247.94028.

13. Mesnager S., Cohen G. Fast algebraic immunity of Boolean functions// Advances in Mathematics of Communications / 2017. V. 11. №2. P. 373-377. DOI: 10.3934/amc.2017031.

14. Wang Q., Johansson T. On Equivalence Classes of Boolean Functions. In Proceedings of "Information Security and Cryptology - Icisc 2010" / Lecture Notes in Computer Science, 6829, eds. Rhee KH., Nyang D., Springer-Verlag Berlin. 2011. P. 311-324.

15. Peng J., Kan H. Constructing Rotation Symmetric Boolean Functions with Maximum Algebraic Immunity on an Odd Number of Variables // IEICE Trans. Fundam. Electron. Commun. Comput. Sci. 2012. V. E95A. №6. P.1056-1064. DOI: 10.1587/transfun.E95.A.1056.

16. Lei Sun, Fang-Wei Fu. Constructions of balanced odd-variable rotation symmetric Boolean functions with optimal algebraic immunity and high nonlinearity // Theoretical Computer Science. 2018. Vol.738. P.13-24. DOI: 10.1016/j.tcs.2018.04.040.

17. Lei Sun, Fang-Wei Fu. Constructions of even-variable RSBFs with optimal algebraic immunity and high nonlinearity // Journal of Applied Mathematics and Computing. 2018, Vol.56. №1-2. P.593-610. DOI: 10.1007/s12190-017-1088-1.

18. Shaojing FU, Jiao DU, Longjiang QU, Chao LI. Construction of odd-Variable Rotation Symmetric Boolean Functions with Maximum Algebraic Immunity // IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences. 2016. V. E99.A. №4. P.853-855. DOI: 10.1587/transfun.E99.A.853.

19. Wang Q., Tan Ch.H., Stanica P.Concatenations of the Hidden Weighted BIT Function and their Cryptographic Properties // Adv. Math. Commun. 2014. V.8. №2. P.153-165. DOI: 10.3934/amc.2014.8.153.

20. Леонтьев В.К. Симметрические булевы полиномы // Ж. вычисл. матем. и матем. физ. 2010. Т. 50. № 8. С. 1520-1531.

21. Carlet C., Gao G., Liu W. A secondary construction and a transformation on rotation symmetric functions, and their action on bent and semi-bent functions // J. Comb. Theory A. 2014. V. 127. P. 161-175. DOI: 10.1016/j.jcta.2014.05.00.16.

22. Su S., Tang X. Construction of rotation symmetric Boolean functions with optimal algebraic immunity and high nonlinearity // Des. Codes Cryptogr. 2014. V. 71. P. 1567-1580. DOI: 10.1007/s10623-012-9727-x.

23. Леонтьев В.К. Комбинаторика и информация. Часть 1. Комбинаторный анализ. М.: МФТИ, 2015. 174 с.

24. Леонтьев В.К., Морено О. О нулях булевых полиномов // Ж. вычисл. матем. и матем. физ. 1998. Т. 38. № 9. С. 1608-1615.

25. Леонтьев В.К., Гордеев Э.Н. О числе нулей булевых полиномов // Ж. вычисл. матем. и матем. физ. 2018. Т. 68. №7. С.1235-1245.

26. Леонтьев В.К., Гордеев Э.Н. Об аннигиляторах булевых полиномов // Дискретный анализ и исследование операций. 2019. Т. 26. В печати.

27. Гордеев Э.Н., Леонтьев В.К., Медведев Н.В. О свойствах булевых полиномов, актуальных для криптосистем // Вопросы кибербезопасности, 2017, №3. С. 63-69. DOI: 10.21681/2311-3456-2017-3-63-69

Рецензент: Басараб Михаил Алексеевич, доктор физико-математических наук, профессор и заведующий кафедрой «Информационная безопасность» МГТУ им. Н.Э. Баумана. Е-mail: bmic@mail.ru

ON THE ALGEBRAIC IMMUNITY OF CODING SYSTEMS

Leontiev V. K.4, Gordeev E. N.5

Boolean functions in General and Boolean polynomials in particular are the subject of theoretical and applied research in various fields of computer science. Annihilators of Boolean functions and algebraic immunity of Boolean polynomials are important subjects of research in theoretical cryptography. The very definition of the annihilator concept for Boolean polynomials is introduced by means of some transformation in the ring of Boolean polynomials, so in the paper the problem related to the annihilators of Boolean polynomials is considered within the framework of linear transformations over these ring. In particular, the linear transformations of the space of Boolean polynomials in n variables studied in the

4 Vladimir K. Leontiev, Dr.Sc., Professor, BMSTU, Moscow, Russia. E-mail: vkleontiev@yandex.ru The state assignment topic No. 0063-2016-0003

5 Eduard N. Gordeev, Dr.Sc., Professor, BMSTU, Moscow, Russia. E-mail: werhorn@yandex.ru

paper allowed us to obtain results concerning the problem of finding the minimum annihilator degree for a given Boolean polynomial. This task is the most relevant in various analytical and algorithmic aspects of cryptography. The aim of the work is to give formulas and algorithms for its finding in the General case and for certain classes of Boolean polynomials on the background of the review of the importance of algebraic immunity for the construction of «good» cryptosystems. The paper presents a theorem on the minimum degree of the annihilator of a Boolean polynomial. Estimates of the minimum degree of the annihilator are given. The described class of Boolean polynomials, where the degree of the annihilator does not exceed unity. Special attention is paid to annihilators of symmetric Boolean polynomials. The criteria for the presence of a linear annihilator for a symmetric Boolean polynomial and the conditions for the presence of a quadratic annihilator are obtained. A number of combinatorial characteristics related to the properties of the space of Boolean polynomials are given. Methods of combinatorial analysis, algebra and algorithm theory are used.

Keywords: Boolean polynomial, symmetric polynomial, algebraic immunity, annihilator, linear transformation, cryptosystem.

References:

1. Pankratova I.A. Boolean functions in cryptology. Tomsk: Tomskiy Universitet. 2014. 88 p.

2. Courtois N., Meier W. Algebraic attacks on stream ciphers with linear feedback // Advances in cryptology, EUROCRYPT 2003. Berlin, Heidelberg: Springer Verl., 2003. P. 345-359. (Lect. Notes in Comp. Sci.; V. 2656).

3. Didier F. A new upper bound of the block error probability after decoding over the erasure channel // IEEE Transactions On Information Theory. 2006. V. 52. No. 10. P. 4496 - 4503.

4. Feng K., Liao Q., Yang J. Maximal values of generalized algebraic immunity // Des. Codes Cryptogr. 2009. V. 50. P. 243-252.

5. Carlet C, Merabet B. Asymptotic lower bound on the algebraic immunity of random balanced multi-output Boolean functions // Advances in Mathematics of Communications. 2013, V.7. №2. P. 197-217. DOI: 10.3934/amc.2013.7.197.

6. Lobanov M.S. Exact relations between nonlinearity and algebraic immunity // Journal of Applied and Industrial Mathematics. 2009. V. 3. № 3. P. 367-376.

7. Lobanov M.S. On a Method of Derivation of Lower Bounds for the Nonlinearity of Boolean Functions // Math. Notes. 2013. V. 93. №5. P. 727-731. DOI: 10.1134/S000143461305009X.

8. Lobanov M.S. Exact relation between nonlinearity and algebraic immunity // Discrete mathematics. 2006. V. 18. No. 3. P. 152-159.

9. Leontiev V. K. Boolean polynomials and linear transformations // DAN. 2009. Vol. 425. № 3. P. 320-322.

10. Tuzhilin M. E. Algebraic Immunity of Boolean functions // Applied Discrete Mathematics. 2008. Is. 2 (2). 18-22.

11. Rizomiliotis P., Improving the high order nonlinearity lower bound for Boolean functions with given algebraic immunity // Discrete Appl. Math. 2010. V.158. Is.18, P. 2049-2055. DOI: 10.1016/j.dam.2010.08.023.

12. Mesnager S. Improving the lower bound on the higher order nonlinearity of Boolean functions with prescribed algebraic immunity // IEEE Trans. Inf. Theory. 2008. V.54. № 8. P. 3656-3662. Zbl 1247.94028.

13. Mesnager S., Cohen G. Fast algebraic immunity of Boolean functions // Advances in Mathematics of Communications / 2017. V. 11. №2. P. 373-377. DOI: 10.3934/amc.2017031.

14. Wang Q., Johansson T. On Equivalence Classes of Boolean Functions. In Proceedings of "Information Security and Cryptology - Icisc 2010" / Lecture Notes in Computer Science, 6829, eds. Rhee KH., Nyang D., Springer-Verlag Berlin. 2011. P. 311-324.

15. Peng J., Kan H. Constructing Rotation Symmetric Boolean Functions with Maximum Algebraic Immunity on an Odd Number of Variables // IEICE Trans. Fundam. Electron. Commun. Comput. Sci. 2012. V. E95A. №6. P.1056-1064. DOI: 10.1587/transfun.E95.A.1056.

16. Lei Sun, Fang-Wei Fu. Constructions of balanced odd-variable rotation symmetric Boolean functions with optimal algebraic immunity and high nonlinearity // Theoretical Computer Science. 2018. Vol.738. P.13-24. DOI: 10.1016/j.tcs.2018.04.040.

17. Lei Sun, Fang-Wei Fu. Constructions of even-variable RSBFs with optimal algebraic immunity and high nonlinearity // Journal of Applied Mathematics and Computing. 2018, Vol.56. №1-2. P.593-610. DOI: 10.1007/s12190-017-1088-1.

18. Shaojing FU, Jiao DU, Longjiang QU, Chao LI. Construction of odd-Variable Rotation Symmetric Boolean Functions with Maximum Algebraic Immunity // IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences. 2016. V. E99.A. №4. P.853-855. DOI: 10.1587/transfun.E99.A.853.

19. Wang Q., Tan Ch.H., Stanica P.Concatenations of the Hidden Weighted BIT Function and their Cryptographic Properties // Adv. Math. Commun. 2014. V.8. №2. P.153-165. DOI: 10.3934/amc.2014.8.153.

20. Leont'ev V. K. Symmetric Boolean polynomials // Zh. Vychisl. matem. and matem. Fiz. 2010. V. 50. № 8. P. 1520-1531.

21. Carlet C., Gao G., Liu W. A secondary construction and a transformation on rotation symmetric functions, and their action on bent and semi-bent functions// J. Comb. Theory A. 2014. V. 127. P. 161-175. DOI: 10.1016/j.jcta.2014.05.00.16.

22. Su S., Tang,X. Construction of rotation symmetric Boolean functions with optimal algebraic immunity and high nonlinearity // Des. Codes Cryptogr. 2014. V. 71. P. 1567-1580. DOI: 10.1007/s10623-012-9727-x.

23. Leont'ev V. K. Combinatorics, and information. Part 1. Combinatorial analysis. Moscow: MIPT, 2015. 174 p.

24. Leont'ev V. K., Moreno O. On the zeros of Boolean polynomials // Zh. Vychisl. matem. and matem. Fiz.. Vol. 38. № 9. P. 1608-1615.

25. Leont'ev V. K., Gordeev E.N. Number of zeroes of Boolean polynomials // Zh. Vychisl. matem. and matem. Fiz. 2018. V.68. № 7. P. 1235-1245.

26. Leont'ev V. K., Gordeev E.N. On the Annigilators of Boolean polynomials // Journal of Applied and Industrial Mathematics. 2019. V. 26. In preparation.

27. Gordeev E. N., Leont'ev V. K., Medvedev N. In. The properties of Boolean polynomials that are relevant to public key cryptosystems // Voprosy kiberbezopasnosti, 2017, № 3. P. 63-69. DOI: 10.21681/2311-3456-2017-3-63-69