CC BY
86
ЛИТЕРАТУРА
1. Агибалов Г. П. SIBCiphers — симметричные итеративные блочные шифры из булевых функций с ключевыми аргументами // Прикладная дискретная математика. Приложение. 2014. №7. С. 43-48.
УДК 519.7 DOI 10.17223/2226308X/8/15
ОБ АЛГЕБРАИЧЕСКОЙ ИММУННОСТИ ВЕКТОРНЫХ БУЛЕВЫХ ФУНКЦИЙ1
Д. П. Покрасенко
Исследуется компонентная алгебраическая иммунность векторных булевых функций. Доказана теорема о соответствии между максимальной компонентной алгебраической иммунностью и сбалансированностью функции. Получена связь между максимальной компонентной алгебраической иммунностью и матрицами специального вида. При малом числе переменных построены функции, имеющие максимальную компонентную алгебраическую иммунность.
Ключевые слова: векторная булева функция, компонентная алгебраическая иммунность.
В 2003 г. N. Courtois и W. Meier предложили алгебраический метод криптоанализа шифров [1]. В случае поточных шифров этот метод использует следующие слабости фильтрующей функции: наличие у неё аннигиляторов низкой степени и множителей, уменьшающих степень функции. В настоящее время данный вид криптоанализа является одним из наиболее перспективных и развивающихся; соответственно возникает вопрос о поиске функций, способных ему противостоять.
В 2004 г. W. Meier, E. Pasalic и C. Carlet в работе [2] ввели понятие алгебраической иммунности для булевых функций. Алгебраической иммунностью AI(/) булевой функции / : Fn ^ F2 называется такое минимальное число d, что существует булева функций д степени d, не тождественно равная нулю, для которой /д = 0 или (/ ф 1)д = 0. Для любой булевой функции выполняется Л1(/) ^ [n/2] и существуют функции, имеющие Л1(/) = [n/2]. Высокая алгебраическая иммунность позволяет противостоять алгебраическим атакам.
Понятие алгебраической иммунности различными способами было обобщено на векторный случай. Так, в работе [3] F. Armknecht и M. Krause, а также G. Ars и J.-C. Faugere в [4] рассмотрели алгебраическую иммунность S-блоков и ввели понятия базовой AI(F) и графической AIgr(F) алгебраической иммунности векторных булевых функций. При этом базовая алгебраическая иммунность больше 1 только при малых значениях m, поэтому данный параметр анализируется у S-блоков, которые используются в поточных шифрах. Графическая алгебраическая иммунность используется для изучения сопротивляемости алгебраическим атакам блочных шифров.
Следующее обобщение является одним из наиболее естественных с криптографической точки зрения. Компонентной алгебраической иммунностью AIcomp(F) векторной булевой функции F : Fn ^ F? называется минимальная алгебраическая иммунность компонентных функций b ■ F (b G Fm,b = 0), т.е. AIcomp(F) = min{AI(b ■ F) : b G F?, b = 0}, где b ■ F = bi/i ф ... ф bm/m. Данное определение является наиболее универсальным, наличие высокой компонентной алгебраической иммунности S-блоков
1 Работа поддержана грантом РФФИ, проект №15-31-20635.
38
Прикладная дискретная математика. Приложение
способствует противостоянию алгебраическому криптоанализу поточных и блочных шифров.
В [5] получена оценка А1сотр ^ тт{|~п/2], ^¡п^1}, где ^¡„^ — минимальная степень компонентных функций Ь • ^. При этом остаётся не изученным вопрос о существовании функций, имеющих А1сотр = |~п/2].
В работе получены следующие результаты.
Теорема 1. Для любого нечётного п векторная булева функция ^ : ЩП ^ Щт, имеющая А1сотр = |~п/2], является сбалансированной. В случае п = т функция ^ взаимно однозначна.
Занумеруем через а = (а^..., ап) Е ЩП мономы от п переменных, где а^ соответствует появлению в мономе переменной х, а а = (0,..., 0) соответствует 1. Например, вектор а = (1, 0,1,0,... , 0) соответствует моному ж1ж3. Для каждой векторной булевой функции ^ : ЩП ^ Щт введём две матрицы Ыр, Ы'р, элементами которых являются булевы функции от п переменных. Построим эти матрицы следующим способом: в матрице Ыр ]-му столбцу соответствует умножение компонентной функции Ь • ^, Ь = 0, на мономы степени меньше |~п/2]. Нумерация столбцов идёт по вектору Ь Е , Ь = 0. Соответственно число столбцов 2т — 1. Строки занумерованы с помощью вектора а = (а1,... , ап). Матрица Ыр строится аналогично, только вместо Ь • ^ подставляется Ь • ^ 0 1:
//1 Лх1
Ы,
/2 /2х1
/1Х1Ж2
V
/1 0 /2 < (/1 Ф /2
/т
\
. . 0 Ут)х1 (/1 Ф /2 Ф ... Ф /т)Х1Х2
/
/1 0 1 /2 0 1 (/1 0 1)х1 (/2 0 1)х1
Ы^
(/1 0 1)Х1Х2
V
/1 0 .. (/1 0 .
(/1 0 .
/
т0
. 0 /т 0 1)х1 . 0 /т 0 1)Х1Х2
\
/
Функции /1,..., /п являются линейно независимыми, если выражение а1/10 а2/2 0 0 ... 0 ап/п, где а1,а2,... ,ап Е Щ2, тождественно равно нулю только при условии
а1 = а2 = . . . = ап = 0.
Теорема 2. Векторная булева функция ^ : ЩП ^ Щт имеет максимальную компонентную алгебраическую иммунность А1сотр(^) = |~п/2] тогда и только тогда, когда в матрицах Ыр и Ыр элементы любого столбца образуют линейно независимое множество.
Для малого числа переменных найдены векторные булевы функции, которые имеют А1сотр = |~п/2], подсчитано число таких функций. В таблице приведено количество векторных булевых функций с максимальной компонентной алгебраической иммунностью, общее количество векторных булевых функций, действующих из ЩП в Щт, и доля функций с А1сотр = |~п/2] от общего числа векторных булевых функций.
1
(n, m) Функции с AIcomp(F) = [n/2] Все функции из Fn в F™ Доля функций
(2,2) 168 256 0,65625
(3,2) 1344 65536 0,02051
(3,3) 10752 16777216 0,00064
(4,2) « 108 4294967296 « 0,02
ЛИТЕРАТУРА
1. Courtois N. and Meier W. Algebraic attacks on stream ciphers with linear feedback // Eurocrypt'2003. LNCS. 2003. V.2656. P. 345-359.
2. Meier W, Pasalic E., and Carlet C. Algebraic attacks and decomposition of Boolean functions // Eurocrypt'2004. LNCS. 2004. V. 3027. P. 474-491.
3. Armknecht F. and Krause M. Constructing single- and multi-output Boolean functions with maximal immunity // ICALP'2006. LNCS. 2006. V.4052. P. 180-191.
4. Ars G. and Faugere J.-C. Algebraic immunities of functions over finite fields // Proc. Conf. BFCA. 2005. P. 21-38.
5. Carlet C. On the algebraic immunities and higher order nonlinearities of vectorial Boolean functions // Enhancing Cryptographic Primitives with Techniques from Error Correcting Codes. Amsterdam: IOS Press, 2009. P. 104-116.
УДК 519.7 Б01 10.17223/2226308X78/16
СВОЙСТВА р-ИЧНЫХ БЕНТ-ФУНКЦИЙ, НАХОДЯЩИХСЯ НА МИНИМАЛЬНОМ РАССТОЯНИИ ДРУГ ОТ ДРУГА1
В. Н. Потапов
Доказано, что минимальное расстояние Хэмминга между двумя р-ичными бент-функциями от 2п переменных равно рп в случае, когда число р простое. Число р-ичных бент-функций на минимальном расстоянии от квадратичной бент-функ-ции равно рп(рп-1 + 1) ■ ■ ■ (р + 1)(р — 1) при р > 2.
Ключевые слова: бент-функция, расстояние Хэмминга, квадратичная форма.
Введение
Рассмотрим конечную абелеву группу О и векторное пространство V(С), состоящее из функций f : О ^ С, со скалярным произведением
(/,#) = Е /(x)g(x).
xea
Характерами называются гомоморфизмы группы G в мультипликативную группу поля C, т.е. такие ф Е V(G), что ф(х + у) = ф(х)ф(у), для любых x,y Е G. Характеры абелевой группы G образуют ортогональный базис в V(G). Если G = Z^, то для любого z Е Zn характер группы G определяется равенством фг (x) = где £ = e2ni/q и (x,y) = xiyi + ... + xnyn mod q. Характерами прямой суммы двух групп являются всевозможные попарные произведения характеров первой и второй группы. Поскольку любая конечная абелева группа представляется в виде прямой суммы циклических групп, характеры произвольной конечной абелевой группы являются произведениями функций определённого выше вида.
Преобразованием Фурье функции из V(G) называется вектор коэффициентов в разложении по базису характеров. Нам будет удобнее определить преобразование Фурье
1 Работа поддержана грантом РФФИ №13-01-00463.
