CC BY
8
ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА
№14 ПРИЛОЖЕНИЕ Сентябрь 2021
Секция 7
ВЫЧИСЛИТЕЛЬНЫЕ МЕТОДЫ В ДИСКРЕТНОЙ МАТЕМАТИКЕ
УДК 519.719.2 DOI 10.17223/2226308X/14/42
ОБ ЭВРИСТИЧЕСКОМ ПОДХОДЕ К ПОСТРОЕНИЮ БИЕКТИВНЫХ ВЕКТОРНЫХ БУЛЕВЫХ ФУНКЦИЙ С ЗАДАННЫМИ КРИПТОГРАФИЧЕСКИМИ ХАРАКТЕРИСТИКАМИ
М. А. Коврижных, Д. Б. Фомин
Предложен эвристический алгоритм построения биективных булевых функций с заданными криптографическими свойствами — нелинейностью и дифференциальной ¿-равномерностью — на основе обобщённой конструкции. Производится поиск вспомогательных подстановок меньшей размерности в обобщённой конструкции с использованием идей спектрально-линейного и спектрально-разностного методов. Исследована возможность оптимизации вычисления криптографических характеристик на каждой итерации алгоритма. Экспериментально получены 8-битовые 6-равномерные подстановки с нелинейностью 108.
Ключевые слова: булева функция, подстановка, нелинейность, дифференциальная 5-равномерность.
Биективные векторные булевы функции (подстановки) используются в качестве нелинейных примитивов многих симметричных шифров. Построение подстановок размерности n ^ 8 бит с криптографическими характеристиками, гарантирующими стойкость шифров к разностному и линейному методам криптоанализа, является сложной задачей.
В [1] представлены спектрально-линейный и спектрально-разностный методы генерации подстановок, основанные на итеративном улучшении их криптографических характеристик путём умножения на транспозиции.
В [2, 3] описана обобщённая конструкция векторных булевых (2m, 2т)-функций, использующая мономиальные и произвольные подстановки размерности m. В случае m = 4 экспериментально найдены 768 наборов показателей степеней мономов, перспективных для построения 8-битовых 6-равномерных подстановок, имеющих нелинейность 108 и алгебраическую степень 7 при правильном выборе вспомогательных 4-битовых подстановок.
В настоящей работе предложен эвристический алгоритм поиска таких 4-битовых подстановок в обобщённой конструкции, при этом используются идеи спектрально-линейного и спектрально-разностного методов.
Обозначим: Vn — n-мерное векторное пространство над полем из двух элементов F2; Vri = Vn \ {0}; S(Vn) — симметрическую группу всех подстановок пространства Vn; F2n — конечное поле из 2n элементов. Пусть а Е Vn, b Е Vm. Конкатенацию двух векторов будем обозначать как а\\Ь Е Vn+m. Скалярным произведением двух векторов а,Ь Е Vn называется элемент поля F2, вычисляемый по формуле {a,b) = an-\bn-\ + + ... + a0b0. Транспозиция — это цикл длины 2. Умножение подстановки G на транспо-
зицию справа G о (i i, ) приводит к транспозиции элементов ii и i2 в верхней строке подстановки G [4, с. 51], другими словами, в нижней строке подстановки G меняются местами образы элементов i1 и i2.
Приведём определения некоторых криптографических характеристик подстановок. Подстановка F G S(V,) называется дифференциально SF-равномерной, если
SF = max öF (a,b),
aeVrf ,beVn
где SF(a,b) = |{x G Vn : F(x + a) + F(x) = b}|. Значение SF называется показателем дифференциальной равномерности подстановки F.
Таблицей распределения разностей (Difference Distribution Table — DDT) подстановки F называется такая 2n х 2n таблица DDTF, что DDTF[a, b] = SF(a, b). Для всех элементов S G {0, 2,..., 2n} определим множества DF(S) = {(a, b) G V, х V, : SF(a, b) = S}. Разностным спектром подстановки F называется множество пар Df = {(S, |DF(S)|)}.
Преобразованием Уолша — Адамара WF(a, b) подстановки F G S(V,) называется отображение WF : V, х V, ^ Z, заданное равенством
Wf(a, b) = E (-1)<a,x>+<b,Fдля любых a, b G V,
Линейность £F подстановки F определяется как £F = max |WF(a, b)|. Нелиней-
aevn,bevnx
ность Nf подстановки F вычисляется по формуле NF = 2n-i - -£F.
Таблицей линейных приближений (Linear Approximation Table —LAT) [5] подстановки F называется такая 2n х 2n таблица LATF, что LATF [a, b] = £F(a, b), где
£f(a, b) = |{x G V, : (a,x) = (b, F(x))}| - 2n-i = 1 Wf(a,b).
Для всех элементов £ G {0, 2,..., 2n-1} определим множества LF(£) = {(a,b) G V, х х V, : |£F(a, b) | = £}. Линейным спектром подстановки F называется множество пар LF = {(£, |LF(£)|)}.
Алгебраической степенью deg(F) подстановки F называется минимальная степень
многочленов Жегалкина для всевозможных линейных комбинаций её координатных
функций (a, F(x)) по всем a G V*: deg(F) = min deg((a, F(x))).
aevnx
Рассмотрим (2m, 2т)-функцию F(x1, x2) = y1 ||y2, где x1, x2, y1, y2 G Vm, задаваемую следующей обобщённой конструкцией [2]:
У1 = G1(x1,x2)H xa' ^ , x2 = 0, У2 = G2(x1,x2)=(i1; x2, x1 = 0, (1)
"1 (x 1), x2 = 0, [TT2(x2), x1 = 0.
В силу существования взаимно-однозначного отображения Vm ^ F2m в (1) и далее операции возведения в степень и умножения производятся в поле F2m.
Параметрами функции (1) являются набор показателей степеней (a,ß,Y,S) мо-номиальных подстановок и значения подстановок 7г1, " G S(Vm). Без ограничения общности будем предполагать, что
"1(0) = 0, "2 (0) = 0. (2)
Вычислительные методы в дискретной математике
183
Отметим, что конструкция (1) основана на структуре типа «бабочка», предложенной в [6] и полученной при изучении декомпозиции APN-подстановки Диллона [7], и допускает TU-представление [8].
Далее исследуем обобщённую конструкцию (1) в случае m = 4 с одним из 768 наборов параметров (а, в, y, $), приведённых в [3]. Поскольку подстановки п1, 7г2 в (1) выбираются независимо от параметров (а, @,j,5), предложим эвристический алгоритм поиска таких 4-битовых подстановок п1,7Г2, чтобы итоговая 8-битовая подстановка (1) обладала заданными криптографическими характеристиками Np = 108, 5p = 6. Вопрос о возможности получения с использованием конструкции (1) подстановок с Np > 108, 5p ^ 6 требует дополнительного исследования.
Идея алгоритма 1 заключается в итеративном умножении начальных случайно сгенерированных 4-битовых подстановок на транспозиции и отбора среди полученных по формулам (1) 8-битовых подстановок, лучших по нелинейности, показателю дифференциальной равномерности и соответствующим значениям в линейном и разностном спектрах.
Алгоритм 1.
Вход: Подстановка F Е S (V), построенная по формулам (1) с использованием одного из 768 наборов параметров (а, @,j,5) [3] и произвольных 4-битовых подстановок 7Г1, 7г2 (2), с криптографическими характеристиками ip > 40 или 5p > 6. Параметры: Num_Trans — количество умножений на транспозиции, Num_Best — количество отбираемых пар (7Г1,7Г2) на каждой итерации алгоритма. 1: Сформировать список Best из одной пары подстановок (7Г1,7Г2). 2: Для всех пар подстановок (7Г1,7Г2) из списка Best: 3: запомнить пару (7Г1,7Г2) как просмотренную; 4: псевдослучайно выбрать номер t Е {1, 2}. 5: Для i = 1,..., Num_Trans
6: псевдослучайно выбрать x,y Е V4X, x = y, получить подстановку 7rt = 7rto(x, y). 7: Если пара (7г1,7г2) ещё не просмотрена, то 8: встроить TTt в F;
9: вычислить набор характеристик подстановки (iF, 5р, \Lp(iF/2)|, \Dp(5р)|);
10: добавить пару (7Г1,7Г2) в список Best.
11: Отобрать (по принципу многоуровневой сортировки по возрастанию) Num_Best лучших (т. е. с меньшими значениями с учётом приоритетов) из всех наборов характеристик подстановок F, порождённых парами (7Г1,7Г2) из текущего списка Best, считая, что в наборе приоритет убывает от ip к \Dp(5p)\. 12: Если в наилучшем наборе значения ip = 40 и 5p = 6, то 13: Вывести подстановки 7т1, 7г2, порождающие подстановку F, 14: иначе
15: Сформировать новый список Best из Num_Best пар подстановок (тг1,тг2), соответствующих лучшим наборам, отобранным на шаге 11. 16: Перейти к шагу 2.
Выход: Подстановка F Е S(V8), отличающаяся от исходной только значениями подстановок 7г1, 7г2, такая, что
ip = 40 (Np = 108), 8p = 6.
(3)
Значения Num_Trans, Num_Best являются параметрами алгоритма. Вычислительные эксперименты показали, что при Num_Best = 10, Num_Trans = 500 на первой итерации и Num_Trans = 100 на последующих за приемлемое число итераций можно получить 8-битовые подстановки с характеристиками (3) и алгебраической степенью 7.
Наиболее трудоёмким этапом алгоритма является вычисление ¿f, Sf , линейного и разностного спектров. С целью оптимизации этих вычислений теория из работы [9] применена для определения ячеек в DDT и LAT, в которых возникают изменения значений при умножении на транспозицию только 4-битовой подстановки 7Ti или 7Г2. Асимптотические оценки трудоёмкости нахождения разностного спектра, дифференциальной равномерности, линейного спектра и линейности совпадают с приведёнными в [9]. Так, алгоритм вычисления разностного спектра и показателя дифференциальной равномерности примерно в 22m раз быстрее по сравнению с алгоритмом их вычисления для произвольной подстановки, а трудоёмкость алгоритма пересчёта линейного спектра и линейности примерно в 2m раз меньше трудоёмкости их нахождения для произвольной подстановки. По сравнению с [9] при вычислении криптографических характеристик можно получить выигрыш по памяти за счёт уменьшения числа хранимых ячеек в DDT и LAT в силу особенностей обобщённой конструкции.
ЛИТЕРАТУРА
1. Menyachikhin A. V. Spectral-linear and spectral-differential methods for generating S-boxes having almost optimal cryptographic parameters // Матем. вопр. криптогр. 2017. Т. 8. Вып. 2. С.97-116.
2. Фомин Д. Б. О подходах к построению низкоресурсных нелинейных преобразований // Обозрение прикладной и промышленной математики. 2018. Т. 25. Вып. 4. С. 379-381.
3. Фомин Д. Б. Об алгебраической степени и дифференциальной равномерности подстановок пространства V2m, построенных с использованием (2m, т)-функций // Матем. вопр. криптогр. 2020. Т. 11. №4. С. 133-149.
4. Кострикин А. И. Введение в алгебру. Ч. I. Основы алгебры: учебник для вузов. 3-е изд. М.: Физматлит, 2004. 272 с.
5. O'Connor L. Properties of linear approximation tables // LNCS. 1995. V. 1008. P. 131-136.
6. Biryukov A., Perrin L., and Udovenko A. Reverse-engineering the s-box of Streebog, Kuznyechik and STRIBOBr1 // LNCS. 2016. V.9665. P. 372-402.
7. Browning K. A., Dillon J. F., McQuistan M. T., and Wolfe A. J. An APN permutation in dimension six // 9th Int. Conf. Finite Fields Appl. 2009. Contemp. Math. 2010. V. 518. P. 33-42.
8. Canteaut A. and Perrin L. On CCZ-Equivalence, Extended-Affine Equivalence, and Function Twisting. Cryptology ePrint Archive, Report 2018/713. https://eprint.iacr.org/2018/713.
9. Menyachikhin A. V. The change in linear and differential characteristics of substitution after the multiplication by transposition // Матем. вопр. криптогр. 2020. Т. 11. №2. С. 111-123.
УДК 519.688 DOI 10.17223/2226308X/14/43
О НЕКОТОРЫХ ПОДГРУППАХ БЕРНСАЙДОВОЙ ГРУППЫ B0(2, 5)
А. А. Кузнецов, А. С. Кузнецова
Пусть B0(2, 5) = (x,y) — наибольшая конечная двупорождённая бернсайдова группа периода 5, порядок которой равен 534. В работе изучена серия подгрупп Hi = (ai,bi) группы Bo(2, 5), где ao = x, bo = y, a = ai-ib— и bi = bi-ia—
