Оценки экспонентов перемешивающих графов некоторых модификаций аддитивных генераторов Текст научной статьи по специальности «Математика»

Сопоставим каждой ЛРП u G LR(F)* булеву функцию /U к(x\,... , xm) по правилу

/U,к(0,... , 0) = kK-i(0) mod 2,

fU,K(uo(i),Uo(i + 1),... ,Uo(i + m — 1)) = KK-1(u(i)) mod 2,

где u0(i) = u(i) mod 2, 0 ^ i ^ 2m — 1.В силу выбора последовательности u вектор (u0(i),u0(i + 1),... ,u0(i + m — 1)) принимает все возможные значения из множества {0,1}m \ {(0,... , 0)}, поэтому функция определена на всех двоичных наборах {0,1}m. Обозначим Bn"(K,F) множество всех булевых функций /U к , соответствующих всем ЛРП u из множества LR(F)*.

Оказывается, что для функций /U к G B'^(K,F) справедливы такие же оценки степени нелинейности и алгебраической степени, что и для функций из класса

ВП(K, F) [1].

Теорема 1. Для коэффициентов Wf (a) Уолша — Адамара булевой функции / = = /и к при всех n ^ 2 имеет место оценка

+ 1^ (2n-1 — 1)2m/2.

Следствие 1. При n = 2 и каждом чётном m класс ВП (K,F) состоит из бент-функций, а при n = 2 и каждом нечётном m класс Blfl(K, F) состоит из платовидных функций порядка m — 1.

Теорема 2. Пусть F(x) G R[x] —отмеченный многочлен степени m > |R| максимального периода над кольцом R, тогда для любой функции / G B'^(K, F) справедливо соотношение deg / = 2n-1.

ЛИТЕРАТУРА

1. Былков Д. Н., Камловский О. В. Параметры булевых функций, построенных с использованием старших координатных последовательностей линейных рекуррент // Матем. вопр. криптогр. 2012. Т. 3. №4. С.25-53.

2. Kurakin V.L., Kuzmin A. S., Mikhalev A. V., and Nechaev A. A. Linear recurring sequences over rings and modules // J. Math. Sci. (New York). 1995. V. 76. No. 6. P. 2793-2915.

|Wf(a)| ^ (2in(2n-1)

УДК 519.6

ОЦЕНКИ ЭКСПОНЕНТОВ ПЕРЕМЕШИВАЮЩИХ ГРАФОВ НЕКОТОРЫХ МОДИФИКАЦИЙ АД ДИТИВНЫХ ГЕНЕРАТОРОВ

А. М. Дорохова

Для модификации аддитивного генератора с помощью инволютивной перестановки координат векторов исследованы условия полного перемешивания. Доказаны достаточные условия примитивности перемешивающего графа и оценки его экспонента в некоторых случаях. Полученные оценки экспонента показывают, что полное перемешивание знаков состояния генератора может быть достигнуто после числа тактов, которое существенно меньше размера состояний.

Ключевые слова: аддитивный генератор, перемешивающий граф преобразования, экспонент графа.

Введение

Положительным криптографическим свойством генератора гаммы {71,... ,7^,... } является полное перемешивание входных данных, то есть зависимость знаков вырабатываемой гаммы от всех знаков начального состояния. Полное перемешивание достигается для знаков гаммы 7^ как правило, при i ^ ехрГ(^), где ^ — преобразование множества внутренних состояний генератора; Г(^) —перемешивающий граф преобразования ехрГ(^) —экспонент графа Г(^). Если ехрГ(^) = t, то начальный отрезок гаммы {71,... , 7t-1} часто называют «холостым ходом» и обычно не используют в ключевой последовательности. Таким образом, определение экспонентов перемешивающих графов криптографических преобразований является важной задачей анализа и синтеза криптографических систем.

Сделана оценка экспонентов перемешивающих графов преобразований, соответствующих некоторым модификациям аддитивных генераторов (аддитивные генераторы называют также запаздывающими генераторами Фибоначчи). Интерес к модификациям вызван тем, что оригинальные схемы аддитивных генераторов полного перемешивания не достигают и вообще признаны нестойкими. В то же время на основе аддитивных генераторов построен ряд алгоритмов: Fish, Pike, Mush [1].

Обзор результатов по экспонентам графов, полученных до 2012 г., дан в [2]. Для перемешивающих графов биективных регистров сдвига над множеством двоичных векторов, к которым относятся, в частности, аддитивные генераторы и рассматриваемые модификации, общие оценки уточнены в [3,4]. В работе эти оценки получают дальнейшее уточнение за счёт особенностей аддитивных генераторов и их модификаций.

1. Аддитивные генераторы

Генераторы построены на основе принципа, использованного в линейных регистрах сдвига, но оперируют с числами в кольце вычетов Z/2r, где r > 1. Обозначим n длину регистра, ячейки регистра сдвига занумеруем числами 0,... ,n — 1. Обозначим X0, X1,... , Xn-1 числа из Z/2r, образующие начальное состояние генератора. При i ^ n знак гаммы Xj образуется по формуле

n

X = X] aXj+i-n mod 2r, (1)

j=0

где a0,...,an-1 G {0,1}. Следовательно, аддитивный генератор есть регистр сдвига

n- 1

длины n с функцией обратной связи /(y0,... ,yn-1) = ajVj mod 2r. Так как a0 = 1

- j=0

(в противном случае длина регистра меньше n), / (y1,... , yn) биективна по переменной V0, то есть регистр реализует подстановку множества состояний [5, теорема5.5]. Для изучения перемешивающих свойств подстановки генератора используем двоичное представление $(Xj) числа Xj, i ^ 0, являющееся r-мерным вектором пространства V (младшим битом является r-й бит), состояние генератора является rn-мерным вектором пространства VTn.

2. Перемешивающие свойства модифицированного генератора.

Критерий полного перемешивания — примитивность перемешивающего орграфа подстановки; необходимым условием является сильная связность орграфа. Заметим, что для регистра сдвига, определяемого законом рекурсии (1), перемешивающий граф не сильносвязный. Для достижения сильной связности модифицируем аддитивный

генератор с помощью инволюции I множества V: I (хі, при і ^ п

, хг) = (хг, ...,х1). Тогда

П— 1

£(Х*) = I Ш Хг-„ + £ а,-Х,+г-„ шса 2Г

Используем обозначения и результаты работ [3,4]. Пусть р — подстановка регистра сдвига. Состояние регистра в текущий момент времени задано двоичной матрицей размера г х п, где к-й столбец матрицы, обозначаемый у+1 =

= (х1+гк,...,хг+г^)т (Т — транспонирование), записан в к-й ячейке регистра сдвига, к = 0,1,... , п — 1. Подстановка р задается системой гп булевых координатных функций |^1(Ж1, . . . , Хгп), . . . , Ргп(Х1, . . . , Хгга)}, где функция р^+гк(Х1, . . . , Хгга) вычисляет •и-й бит Хъ+Гк вектора ук+1, V = 1,..., г, к = 0,1,..., п — 1.

Обозначим Б(ру) множество номеров существенных булевых переменных функции ру (х1, ... , хгп), ] = 1,...,гп. Перемешивающий граф Г(р) подстановки р есть гп-вершинный орграф, в котором есть дуга (г,^), если и только если г € Б(ру), г, € {1,..., гп}.

Обозначим 9 функцию отождествления вершин орграфа Г(р): для V = 1,...,г положим 9(v + гк) = V, к = 0,1,... , п — 1. Функция 9 индуцирует отображение орграфа Г(р) в г-вершинный орграф Г(^), где ^,и) есть дуга орграфа Г(^), если и только если функция ри+г(п-1) зависит существенно хотя бы от одной из переменных множества {х^, х^+г,... , х^+г(га-1)}, V, и € {1,... , г}. Орграф Г(р) сильносвязный, если и только если Г(^) сильносвязный [3, теорема 2].

Определим характеристики перемешивающего графа Г(р) модифицированного генератора. Из (2) следует, что Б(^и) = {г, г — 1,... , г — и + 1}, и = 1,..., г. Сильная связность орграфов Г(р) и Г(^) (она достигается сочетанием инволюции I с суммированием по модулю 2Г) вытекает, в частности, из наличия в Г(^) дуг (г, 1), (г, 2), (г, 3), (г — 1, 2), (г — 1, 3), (г — 2, 3), ..., (г, г), (г — 1, г), ..., (3, г), (2, г), (1, г). Графы Г(^) при г € {3, 4} изображены на рис. 1.

Рис. 1. Графы Г(0) при г = 3 и г = 4

Определим условия примитивности орграфа Г(р) на основе универсального критерия [2, с. 10]. Из (2) следует, что в графе Г(р) имеются простые циклы длины 2п вида

Ви = (и + г(п — 1), и + г(п — 2),..., и + г, и, г — и + 1 + г(п — 1), г — и + 1 + г(п — 2),

...,г — и + 1), и =1,..., |_г/2_|,

Еи = (и + г(п — 1), и + г(п — 2),..., и + г, и, г — г + 1 + г(п — 1), г — г + 1 + г(п — 2), ...,г — г + 1), и = [(г + 1)/2],...,г — 1,г = 1,... ,и — 1,

и простые циклы длины п вида

Ни = (и + г(п — 1), и + г(п — 2),..., и + г, и), и = [(г + 1)/2],..., г.

Остальные циклы графа Г(^) определяются точками съёма с регистра (то есть номерами существенных переменных функции обратной связи).

Теорема 1 (достаточное условие примитивности перемешивающего графа Г(<^)). Пусть обратная связь модифицированного регистра использует множество точек съёма Б = {т — ^о, т — ,..., т — ^}, где 0 = ^0 < ^ < ■ ■ ■ < dk = т < п. Тогда

1) Б(<£и+г(п-1)) = {хи+ть : V = г, г — 1,... , г — и + 1,£ е Б}, и = 1,... , г;

2) граф Г(^) примитивен, если (п, ^1,... , ^) = 1.

Следствие. Орграф Г(^) примитивный, если

1) ^ = 1 при некотором г е {1,..., к};

2) (п, т) = 1, в этом случае ехр Г(^) ^ п2 + (2г — 3 — т)п + 2т, если т ^ п — 2;

3) при т = п — 1 выполнена оценка ехрГ(^) ^ 2п — 2.

Пример. Пусть обратная связь модифицированного регистра использует две точки съёма Б = {т, 0} и г = 3. Граф Г(^) изображён на рис. 2, список циклов дан в таблице.

Рис. 2. Граф Г(^) при r = 3

Циклы графа Г(у>) при r = 3

Цикл Длина Количество

u + r(n — 1), ..., u + r, u, r — u + 1 + r(n — 1), .. ., r — u + 1 2n 1 (u =1)

u + r(n — 1), .. ., u + rm, r — u + 1 + r(n — 1), . .., r — u + 1 2n — m 1 (u =1)

u + r(n — 1), . .., u + rm, r — u + 1 + r(n — 1), .. ., r — u + 1 + rm 2 — £ 2 1 (u =1)

u + r(n — 1), ..., u + r, u, r + r(n — 1), .. ., r 2 — £ 2 1 (u = 2)

u + r(n — 1), .. ., u + rm, r + r(n — 1), . .., r 2n — m 1 (u = 2)

u + r(n — 1), . .., u + rm, r + r(n — 1), .. ., r + rm 2 — £ 2 1 (u = 2)

u + r(n — 1), .. ., u + r, u n )3 (u=

u + r(n — 1), . .., u + rm n — m 2 (u = 2, 3)

Данный граф Г(^) примитивный при (n,m) = 1. При r = 3 в зависимости от m получаем оценки в соответствии со следствием теоремы:

1) при di — d0 = 1 (m =1) имеет место exp Г(^) ^ n2 + 2n + 2;

2) при (n, m) = 1, 2 ^ m ^ n — 2 верна оценка exp Г(^) ^ n2 + (3 — m)n + 2m (взяты длины циклов n — m и n);

3) при m = n — 1 выполняется exp Г(^) ^ 2n — 2.

Вывод: выбор параметров модифицированного аддитивного генератора позволяет достичь полного перемешивания за число тактов работы, которое существенно меньше размера (в битах) состояний генератора.

ЛИТЕРАТУРА

1. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: Триумф, 2002.

2. Когос К. Г., Фомичев В. М. Положительные свойства неотрицательных матриц // Прикладная дискретная математика. 2012. №4 (18). С. 5-13.

3. Коренева А. М., Фомичев В. М. Об одном обобщении блочных шифров Фейстеля // Прикладная дискретная математика. 2012. №3 (17). С. 34-40.

4. Дорохова А. М., Фомичев В. М. Уточнённые оценки экспонентов перемешивающих графов биективных регистров сдвига над множеством двоичных векторов // Прикладная дискретная математика. 2014. №1 (23). С. 77-83.

5. Фомичев В. М. Методы дискретной математики в криптологии. М.: Диалог-МИФИ, 2010.

6. Фомичев В. М. Оценки экспонентов примитивных графов // Прикладная дискретная математика. 2011. №2 (12). С. 101-112.

7. Фомичев В. М. Свойства путей в графах и в мультиграфах // Прикладная дискретная математика. 2010. №1 (7). С. 118-124.

УДК 512.62

АЛГОРИТМ ПОСТРОЕНИЯ СИСТЕМЫ ПРЕДСТАВИТЕЛЕЙ ЦИКЛОВ МАКСИМАЛЬНОЙ ДЛИНЫ ПОЛИНОМИАЛЬНЫХ ПОДСТАНОВОК НАД КОЛЬЦОМ ГАЛУА

Д. М. Ермилов

В отличие от полей и колец вычетов, над кольцами Галуа не существует транзитивных полиномов, то есть биективных полиномов, которые реализуют полноцикловую подстановку. Максимальная длина цикла полиномиального преобразования над кольцом Галуа равна q(q — 1)pn-2, где qn — мощность кольца, а pn — его характеристика. Предлагается алгоритм построения системы представителей всех циклов полиномиальных преобразований колец Галуа, имеющих максимальную длину. Сложность построенного алгоритма, выраженная в количестве операций умножения в кольце Галуа, равна O(lqn-i) при n, стремящемся к бесконечности, где l — степень многочлена полиномиального преобразования.

Ключевые слова: кольца Галуа, нелинейные рекуррентные последовательности.

Рассмотрим кольцо Галуа R = GR(qn,pn) мощности qn и характеристики pn, где q = pm. Пусть f (x) Е R[x] — биективный полином над кольцом Галуа R. Граф преобразования, задаваемого полиномом f (x) над кольцом R, обозначим через G/,r. Напомним, что цикловая структура графа — это таблица [l^1,... , ], указывающая,

что граф состоит из ki циклов длины 11, ... , kt циклов длины Zt. В работе [1] показано, что граф Gf,R не может содержать цикл, длина которого больше q(q — 1)pn-2.