CC BY
70
2009 Теоретические основы прикладной дискретной математики №3(5)
УДК 681.03
ПОЧТИ СОВЕРШЕННЫЕ НЕЛИНЕЙНЫЕ ФУНКЦИИ1
М. Э. Тужилин
Российский государственный гуманитарный университет, г. Москва, Россия
E-mail: mtmt@rambler.ru
Сделан обзор публикаций, посвященных почти совершенным нелинейным функциям, их свойствам и построению.
Ключевые слова: почти совершенные нелинейные функции, почти бент-функции, криптография.
1. PN-функции
Появление в открытой криптографии разностного метода (Differential cryptanalysis [1]) вызвало необходимость разработки подходов к построению тех классов S-боксов, которые являются оптимальными для противостояния данному методу. Одной из работ, посвященной данной проблеме и оказавшей существенное влияние на дальнейшие исследования, явилась статья K. Nyberg 1991 г. [2]. В ней было предложено два подхода к построению оптимальных S-боксов, появилось понятие совершенной нелинейной функции (Perfect Nonlinear, или, сокращенно, PN-функции).
Пусть далее натуральные m и п связаны соотношением m ^ п.
Функция F: (Z/q)n ^ (Z/q)m называется совершенной нелинейной, если для любого фиксированного ненулевого а £ (Z/q)n функция F(х + а) — F(х) (ее называют производной по направлению а) принимает каждое значение из (Z/q)m ровно при qn-m значениях x.
В [2, 3] приведен ряд результатов относительно PN-функций, отмечена связь их с бент-функциями, в частности приведена теорема о том, что PN-функция F: (Z/q)n ^ (Z/q) является бент-функцией; обратное верно, если q — простое.
Однако требование к функции быть совершенной нелинейной оказалось слишком жестким, число таких функций очень невелико, а для многих важных для практики значений q и п они просто не существуют. Поэтому большее внимание уделяется введенному в [4] в 1992 г. понятию почти совершенной нелинейной функции (Almost Perfect Nonlinear или, сокращенно, APN-функции).
2. APN-функции
Всюду далее поле GF(pn) отождествляется с векторным пространством GF(p)n.
Функция F: GF(pn) ^ GF(pm) называется APN-функцией, если для любых а = 0 из GF(pn) и b из GF(pm) уравнение F(х + а) — F(х) = b имеет не более двух решений.
Строго говоря, в [4] определение APN-функции дано было для подстановок, заданных на GF(2n), но в последующих работах это определение было расширено.
В [5] изложен подход к характеризации PN- и APN-функций на основе теории полуполей.
1 Результаты работы докладывались на Международной конференции с элементами научной школы для молодёжи, г. Омск, 7-12 сентября 2009 г.
В [3] K. Nyberg ввела и более общее понятие — функции, названной ею differentially 8-uniform, для которой в приведенном выше определении APN-функции вместо двух решений уравнения рассматривается произвольное натуральное число 8. Таким образом, differentially 8-uniform функция F является PN-функцией, если 8 = 1, и APN-функцией, если 8 = 2.
Наибольший интерес исследователей прикован к случаю p =2.
Как показано в [6], отношение числа APN-функций GF(2n) ^ GF(2n) степени d при d = 0, 3 (mod 4) к числу всех функций GF(2n) ^ GF(2n) степени d стремится к нулю с ростом n.
Многие свойства APN-функций, заданных на GF(2n), описаны в обзоре [7]. Основным инструментом исследований свойств функций является их спектр, состоящий из коэффициентов Фурье. Отдельные разделы обзора посвящены квадратичным функциям (то есть функциям, чья алгебраическая степень не превышает числа 2), степенным функциям F: GF(pn) ^ GF(pn) вида F(х) = xd и APN-подстановкам — таким APN-функциям, которые являются подстановками на GF(pn). Приведен список открытых проблем в области исследования APN-функций.
3. APN-подстановки
В [8] представлено три подхода к построению APN-подстановок, действующих на GF(2n). Однако все они относятся к случаю нечетного п. Вопрос о существовании APN-подстановок при четном п до сих пор остается открытой проблемой. В [3] доказано, что среди квадратичных функций таких быть не может. Позднее было доказано, что подстановка F, действующая на GF(2n), не может быть APN-подстановкой, если п = 2 или п = 4.
Обратная к APN-подстановке — тоже APN-подстановка.
В [9] изучаются подстановки вида G(x) + аf (х), где f(х) —булева функция, а £ GF(2n), а G^) —подстановка или линейная функция GF(2n) ^ GF(2n).
В силу того, что APN-подстановок при четном п до сих пор найти не удалось, актуально изучение differentially 8-uniform подстановок F с 8 = 4. Отметим, что именно такая подстановка используется в алгоритме AES.
4. AB-функции
Напомним, что с любой функцией F: GF(2n) ^ GF(2n) можно связать п координатных булевых функций и множество их линейных комбинаций, называемых компонентами функции F.
Понятие APN-функции тесно связано с понятием почти бент-функции (Almost Bent, или AB-функции), введенном в [10].
Функция F: GF(2n) ^ GF(2n) называется AB-функцией, если минимальное по Хеммингу расстояние между всеми компонентами функции F и всеми аффинными функциями максимально.
Это минимальное расстояние называется показателем нелинейности функции F, и максимально возможное значение его равно 2n-1 — 2[11]. AB-функции в отличие от APN-функций существуют только при нечетном п и являются наиболее стойкими по отношению к линейному криптоанализу. Кроме того, любая AB-функция является APN-функцией, и при нечетном п любая квадратичная функция является APN-функцией тогда и только тогда, когда она является AB-функцией [12]. Эта работа, появившаяся в 1998 г., стала важной вехой на пути исследований APN-функций. В ней,
в частности, отмечается связь APN-функций с линейными кодами длины 2n — 1, имеющими оптимальное кодовое расстояние.
5. Степенные функции
Относительно степенных функций, заданных на GF(2n), в [12] доказано, что если h делит п и d = k(2h — 1) + 2r при целых k и r, то степенная функция F(х) = xd не может быть APN-функцией. Отметим, что использование степенных функций в качестве S-боксов, с одной стороны, привлекательно для разработчиков криптосхем, так как это упрощает реализацию криптоалгоритмов, но, с другой стороны, может привести к построению криптоаналитических методов, основанных на «простом» виде функции.
6. Преобразования, сохраняющие свойства APN и AB
Для построения новых APN- или AB-функций из имеющихся представляют большой интерес те преобразования функций, при которых сохраняются свойства «быть APN-функцией» или «быть AB-функцией» соответственно.
Пусть F, A, A1, A2 суть функции GF(pn) ^ GF(pn). Если F есть APN-функция, A1, A2 — аффинные подстановки и A — аффинная функция, то F' = A1 о F о A2 + A — тоже APN-функция. В этом случае F и F' называются расширенно аффинно эквивалентными (EA-эквивалентными) и аффинно эквивалентными при A = 0.
До недавнего времени известны были только такие APN-функции, которые EA-эквивалентны степенным функциям F(х) = xd. Только в 2006 г. было доказано [13], что функции вида х3 + ux36, заданные на полях GF(210) и GF(212), при определенных элементах u из этих полей являются APN-функциями, не EA-эквивалентными степенным функциям. В табл. 1 приведены все известные на данный момент серии APN-функций, EA-эквивалентных степенным функциям, заданным на поле GF(pn).
Welch and Niho APN-функции из табл. 1 являются AB-функциями. Для нечетного п AB-функциями являются функции Gold и Kasami.
В [12] было введено понятие Carlet-Charpin-Zinoviev эквивалентности (CCZ-эквивалентности), а именно: отображения F1 и F2 поля GF(pn) на себя называются CCZ-эквивалентными, если графы отображений F1 и F2, то есть множества {(x,F1(x)) | х £ GF(pn)} и {(x,F2(x)) | х £ GF(pn)} являются аффинно эквивалентными.
Из определения следует, что отображения F1 и F2 CCZ-эквивалентны тогда и только тогда, когда существует аффинный автоморфизм L = (L1,L2) декартова произведения GF(pn) х GF(pn), такой, что выполнено
y = F1(x) ^ L2(x,y) = F2(L1(x,y)).
CCZ-эквивалентность является более общей, чем EA-эквивалентность (любой класс EA-эквивалентности содержится в некотором классе CCZ-эквивалентности) и сохраняет свойства «быть APN-функцией» и «быть AB-функцией». Для бент-функций эти эквивалентности совпадают.
В [14] описана связь между EA-эквивалентностью и CCZ-эквивалентностью для функций GF(2n) ^ GF(2m). Показано, что для булевых функций (то есть при m = 1) эти понятия совпадают — две булевы функции CCZ-эквивалентны тогда и только тогда, когда они EA-эквивалентны.
В табл. 2 приведены серии APN-функций, CCZ-эквивалентных степенным функциям.
Т а б л и ц а І
APN-функции, EA-эквивалентные степенным функциям
Название функции Экспонента d Условия Источник
Kloosterman pn — 2 p = 2 и n нечетно, или p > 2 и p = 2(mod З) [З, 8]
Gold 2і + 1 p = 2, НОД(і,п) = І [15]
Kasami 22i - 2і + 1 p = 2, НОД(і,п) = І [16]
Welch 2* + З p =2, n = 2t + 1 [17]
Niho 2* + 2t/2 — 1, t — четное, * 3t + 1 2* + 2 2 — 1, t — нечетное p =2, n = 2t + 1 [18]
Инверсия 22* — 1 p =2, n = 2t + 1 [З, 8]
Dobbertin 24i + 23i + 22i + 2і — 1 p = 2, n = 5i [19]
Helleseth, Sanberg рп-1 і 2 1 p = З, Т (mod 20), pn > Т, pn = 2Т, n нечетно [20]
Dobbertin, Mills, Muller, Pott, Willems 3(n + 1)/2-1 2 3(n+1) —1 S 3(n+1) —1 + 3n-1 S + 2 p = З, n = З (mod 4) p = З, n = 1 (mod 4) p = З, n = 1 (mod 4) [21]
Felke 3(n+1)/2—1 + 3П — 1 2 + 2 p = З, n = 1 (mod 4) [22]
Helleseth, Rong, Sandberg pn+1 + pn-1 4 + 2 pn+1 4 2pn -1 3 pn — З pn = З (mod S) pn = Т (mod S) pn = 2 (mod S) p = З, n > 1, n нечетно [2З]
Тривиальная З p > З [20]
Т а б л и ц а 2
APN-функции, CCZ-эквивалентные степенным функциям
Функция F(x) Условия Источник
x2i+1 + (x2i + x + 1)tr(x2+1) n ^ 4, n четно, НОД(і,п) = 1 [24]
[x + trn/3(x2(2*+1) + x4(2*+1) + tr(x)trn/3 (x2"+1 + x22i(2"+1))]2 +1 n четно, n = Зk, НОД(і,п) = 1 [24]
В табл. 3 приведены построенные в 2006-2007 гг. с помощью подхода С. Сагіеі серии АРМ-функций, не CCZ-эквивалентных степенным функциям.
Другой подход к построению таких функций предложен в [13]. В [25] показано, как изменить одну координатную функцию АРМ-функции, чтобы получить новую АРМ-функцию. Такой подход к построению новых АРМ-функций оказался весьма эффек-
тивным.
Таблица 3
APN-функции, не CCZ-эквивалентные степенным функциям
Функция F(x) Условия Источник
x2s+1 + wx2ik+2mk+s n = 3k, НОД(к,3)=НОД^,3к)=1, k ^ 4, i = sk (mod 3), m = 3i, ordw=22k + 2k + 1 [26, 27]
x2s+1 + wx2ik+2mk+s n = 4k, НОД(к,2) = НОД^,2к)=1, k ^ 3, i = sk (mod 4), m = 4i, ordw=23k + 22k + 2k + 1 [28]
o9^ (x J-H + CO x n ^ 7, n > 2p для наименьшего p > 1, такого, что p = 3 и НОД(р, n) = 1 [29]
x22i+2i + bx9+1 + cxq(22i+2i) n = 2m, m ^ 3, q = 2m, cq+1 = 1, c / A(2i+1)(q-1),A G GF(2), НОД(^ m) = 1, cbq + b = 0 [30]
x(x2i + xq + cx2iq) + x2i (cqxq + sx2iq) + x(2"+1)q n = 2m, m ^ 3, q = 2m, s £ GF(q), x2"+1 + cx2 + cq x + 1 неприводим над GF(2n) [30]
7. Примеры других семейств АР^функций
В [31] введено в рассмотрение семейство функций вида
рп 1
7-?/ \ Р —1 рП _ 2
Г (х) = их 2 + хр 2
над ОЕ(рга) (п ^ 3 и нечетно), элемент и € ОЕ(рга) удовлетворяет условию
Х(и + 1) = Х(и — 1) = X(u), где X — мультипликативный характер поля ОЕ(рга). Доказано, что такие функции являются АРМ-функциями. В [32] доказано, что это семейство не CCZ-эквивалентно ни одному из известных семейств АРМ-функций.
В [33] построено новое семейство АРМ-функций
к-1
„2в+1 , 2к+3+2к , ^0к+« , 0з , ^ _ ^+к +24
F(x) = bxr+1 + b2kx2k+s+2k + cx2k+s + 2s + ^:
ТгХ
г=0
где к, 8 — нечетные взаимно простые числа; Ь,с € ОЕ(22к); т € 0Е(2к).
В [34] показано, что функция ОР(р3к) ^ ОЕ(р3к) вида
»8+1 рк:р2к + в
хр +1 — ихр
при выполнении условий п = 3к, НОД(3, к) = 1, НОД(8, п) = Ь, и — примитивный элемент поля ОЕ(р3к), является РМ-функцией, еслир и п/Ь — нечетные, и АРМ-функцией, если р =2.
8. Классификация АР^функций при малых п
В [35] приведены результаты классификации всех АР~№-функттий 0Е(2га) ^ 0Е(2га) для п = 4,5. Вычисления производились с помощью ЭВМ, в основе их лежала
лемма о том, что функция F: GF(2n) ^ GF(2n) является APN-функцией, если и только если для всех попарно различных t,u,v,w, принадлежащих любому аффинному подпространству размерности 2 пространства GF(2n), выполнено неравенство F (t) + F (u) + F (v) + F (w) = 0.
Показано, что при n = 4 существует один класс CCZ-эквивалентности, содержащий два класса EA-эквивалентности, причем только один из них содержит степенную функцию. Для n = 5 существует 3 класса CCZ-эквивалентности и 7 классов EA-эквивалентности, из них два класса не содержат степенные функции, оставшиеся пять классов содержат APN-подстановки. Подстановки из каждого класса EA-эквивалентности аффинно эквивалентны степенной функции F(x) = xd, каждому классу соответствует одно значение d Е {3, 5, 7,11,15}.
В заключение отметим, что в Интернете доступна предварительная версия обзора по APN-функциям, написанная C. Carlet в 2008 г. [36]. В обзоре, в частности, отмечается, что все известные APN-функции обладают не самыми лучшими характеристиками по отношению к другим, отличным от разностного, криптографическим методам. Следовательно, рекомендовать их для использования в качестве S-боксов пока рано. Требуются дальнейшие исследования.
ЛИТЕРАТУРА
1. Biham E., Shamir A. Provable Security Against Differential Cryptography // Crypto 1990, Lecture Notes in Computer Science. 1991. V. 537. P. 2-21.
2. Nyberg K. Perfect nonlinear S-boxes // Eurocrypt 1991, Lecture Notes in Computer Science. 1991. V. 547. P. 378-386.
3. Nyberg K. Differently uniform mappings for cryptography // Eurocrypt 1993, Lecture Notes in Computer Science. 1994. V. 765. P. 55-64.
4. Nyberg K., Knudsen L. R. Provable Security Against Differential Cryptography // Crypto 1992, Lecture Notes in Computer Science. V. 740. P. 566-574.
5. Bierbrauer J. New semifields, PN and APN functions // http://www.math.mtu.edu-/jbierbra/HOMEZEUGS/PNpub06Dez08.pdf, 2008.
6. Voloch J. F. Symmetric Cryptography and Algebraic Curves // Proceedings of Algebraic Geometry and its Applications. 2007. P. 135-141.
7. Berger T., Canteaut A., Charpin P., Laigle-Chapuy Y. On Almost Perfect Nonlinear Functions Over F2n // IEEE Transactions on Information Theory. 2006. V. 52. No. 9. P. 4160-4170.
8. Beth T., Ding C. On almost perfect nonlinear permutations // Eurocrypt 1993, Lecture Notes in Computer Science. 1994. V. 765. P. 65-76.
9. Charpin P., Kyureghyan G. On a class of permutation polynomials over F^n // SETA 2008, Lecture Notes in Computer Science. 2008. V. 5203. P. 368-376.
10. Chabaud F., Vaudenay S. Links between differential and linear cryptanalysis // Eurocrypt 1994, Lecture Notes in Computer Science. 1994. V. 950. P. 356-365.
11. Сидельников В. М. О взаимной корреляции последовательностей // Проблемы кибернетики. 1971. Т. 24. C. 15-42.
12. Carlet С., Charpin P., Zinoviev V. Codes, bent functions and permutations suitable for DES-like cryptosystems // Designs, Codes and Cryptography. 1998. V. 15(2). P. 125-156.
13. Edel Y., Kyureghyan G., Pott A. A new APN function which is not equivalent to a power mapping // IEEE Transactions on Information Theory. 2006. V. 52. No. 2. P. 744-747.
14. Budaghyan L., Carlet C. On CCZ-equivalence and its use in secondary constructions of bent functions // Cryptology ePrint Archive 2009/042.
15. Gold R. Maximal recursive sequence with 3-valued recursive cross-correlation functions // IEEE Transactions on Information Theory. 1968. V. 14. No. 1. P. 154-156.
16. Kasami T. The weight enumerators for several classes of subcodes of the second order binary Reed-Muller codes // Information and Control. 1971. V. 18. P. 369-394.
17. Dobbertin H. Almost perfect nonlinear power functions over GF(2n): The Welch case // IEEE Transactions on Information Theory. 1999. V. 45. No. 4. P. 1271-1275.
18. Dobbertin H. Almost perfect nonlinear power functions over GF(2n): The Niho case // International J. of Computer and Information Sciences. 1999. V. 151. P. 57-72.
19. Dobbertin H. Almost perfect nonlinear power functions over GF(2n): A new case for n divisible 5 // Proc. of Finite Fields and Applications Fq5. Springer Verlag, 2001. P. 113-121.
20. Helleseth T., Sandberg D. Some power mappings with low differential uniformity // Applicable Algebra in Engineering, Communication and Computing. 1997. V. 8. P. 363-370.
21. Dobbertin H., Mills D., Muller E., Pott A., Willems W. APN functions in odd characteristic // Discrete Mathematics. 2003. V. 267. P. 95-112.
22. Felke P. Computing the uniformity of power mappings: a systematic approach with the multivariate method over finite fields of odd characteristic // Ph. D. dissertation, University of Bochum, Germany. 2005.
23. Helleseth T., Rong C., Sandberg D. New families of almost perfect nonlinear power mappings // IEEE Transactions on Information Theory. 1999. V. 45. No. 2. P. 475-485.
24. Budaghyan L., Carlet C., Pott A. New Classes of Almost Bent and Almost Perfect Nonlinear Polynomials // Proceedings of the Workshop on Coding and Cryptography. 2005. P. 306-315.
25. Edel Y., Pott A. A new almost perfect nonlinear function which is not quadratic // Cryptology ePrint Archive 2008/313.
26. Budaghyan L., Carlet C., Leander G. A class of quadratic APN binomials inequivalent to power functions // Cryptology ePrint Archive 2006/445.
27. Budaghyan L., Carlet C., Felke P., Leander G. An infinite class of quadratic APN functions which are not equivalent to power mappings // Proceedings of the IEEE International Symposium on Information Theory. 2006.
28. Budaghyan L., Carlet C., , Leander G. Another class of quadratic APN binomials over F^: the case n divisible by 4. // Cryptology ePrint Archive 2006/428.
29. Budaghyan L., Carlet C., Leander G. Constructing new APN functions from known ones // Cryptology ePrint Archive 2007/063.
30. Budaghyan L., Carlet C. Classes of Quadratic APN Trinomials and Hexanomials and Related Structures // Cryptology ePrint Archive 2007/098.
31. Ness G., Helleseth T. A new family of ternary almost perfect nonlinear mappings // IEEE Transactions on Information Theory. 2007. V. 53. No. 7. P. 2581-2586.
32. Zeng X., Hu L., Yang Y., Jiang W. On the inequivalence of Ness-Helleseth APN functions // Cryptology ePrint Archive 2007/379.
33. Bracken C., Byrne E., Markin N., McGuire G. Quadratic Almost Perfect Nonlinear Functions with Many Terms // Cryptology ePrint Archive 2007/115.
34. Zha Z., Kyureghyan G., Wang X. A New Family of Perfect Nonlinear Binomials // Cryptology ePrint Archive 2008/196.
35. Brinkmann M., Leander G. On the Classification of APN Functions up to Dimension Five // Proceedings of the Workshop on Coding and Cryptography. 2007. P. 39-48.
36. Carlet C. Vectorial Boolean Functions for Cryptography // www-roc.inria.fr/secret/Claude.Carlet/chap-vectorial-fcts.pdf. 2008.
