CC BY
8
10. Potapov V. N. A lower bound on the number of boolean functions with median correlation immunity // 16th Int. Symp. "Problems of redundancy in information and control systems", Moscow, Russia, 2019. P. 45-46.
11. Панков К. Н. Уточнённые асимптотические оценки для числа (n, m, к)-устойчивых двоичных отображений // Прикладная дискретная математика. Приложение. 2017. №10. С.46-49.
12. Панков К. Н. Уточнённые асимптотические оценки для числа корреляционно-иммунных двоичных функций и отображений // Прикладная дискретная математика. Приложение. 2018. №11. С. 49-52.
13. Панков К. Н. Рекуррентные формулы для числа k-эластичных и корреляционно-иммунных двоичных отображений // Прикладная дискретная математика. Приложение. 2019. №12. С. 62-66.
14. Carlet C. Vectorial Boolean functions for cryptography // Boolean Models and Methods in Mathematics, Computer Science, and Engineering. Encyclopedia of Mathematics and its Applications. V. 134. N.Y.: Cambridge University Press, 2010. P. 398-472.
15. Панков К. Н. Асимптотические оценки для чисел двоичных отображений с заданными криптографическими свойствами // Математические вопросы криптографии. 2014. №4. С. 73-97.
16. Pankov K. N. Improved asymptotic estimates for the numbers of correlation-immune and k-resilient vectorial Boolean functions // Discr. Math. Appl. 2019. No. 3. P. 195-213.
17. Сачков В. Н. Курс комбинаторного анализа. Ижевск: НИЦ «Регулярная и хаотическая динамика», 2013. 336 с.
18. Панков К. Н. Улучшенные асимптотические оценки для числа корреляционно-иммунных и k-эластичных двоичных вектор-функций // Дискретная математика. 2018. №2. С. 73-98.
УДК 519.719.2 Б01 10.17223/2226308Х/14/9
О СПОСОБЕ ПОСТРОЕНИЯ ДИФФЕРЕНЦИАЛЬНО 2£-РАВНОМЕРНЫХ ПОДСТАНОВОК НА Р22т
Д. Б. Фомин
Рассмотрены способы построения дифференциально 2£-равномерных подстановок на ¥22т для случая т ^ 3. Предложенный подход излагается с использованием так называемого Ти-представления функций и обобщает известный способ построения дифференциально 4-равномерных подстановок поля F22 т с применением подстановки обращения ненулевых элементов поля.
Ключевые слова: S-Box, подстановка, дифференциальная равномерность, Ти -представление.
Исследование способов построение нелинейных биективных преобразований с заданными криптографическими характеристиками является актуальной и сложной задачей. Одним из известных подходов, позволяющих строить нелинейные преобразования с достаточно высокими криптографическими характеристиками и допускающие эффективную программную и аппаратную реализацию, является использование подстановок, имеющих декомпозицию.
Пусть Р2 = {0,1} —поле из двух элементов с операциями сложения «+» и умножения «•»; (РП, +) = {(а0,а\,... ,ап-\) : а € F2,г = 0, ...,п — 1} — арифметическое векторное пространство размерности п. Задав специальным образом операцию умножения на множестве РП, можно определить поле Р2п, состоящее из 2п элементов. Везде
далее считаем, что фиксирована биекция между и Щ2п. Произвольную функцию ^: ЩП ^ Щт будем называть (п, т)-функцией. Тогда (п, 1)-функция есть булева функция, биективная (п, п)-функция— подстановка.
Определение 1 [1]. Пусть ^ — (п, т)-функция, 1 ^ £ ^ шт(п,т), Х1,у1 € Щ2>, х2 € Щ?-4, у2 € Щт-4, х = ж1|ж2 € ЩП, у = у1|у2 € Щтт. Тогда если существуют такие функции Т: Щ х Щ?-4 ^ Щ>, и: Щ?-4 х Щ ^ ЩТ-4, что при фиксации х2 произвольным значением Т(х1,х2) есть биекция по переменной х1 и функция ^ представима в виде
^(х) = ^(Х1^Х2) = Т(х1,х2)|и (Х2,Т(Х1,Х2)) , (1)
то такое представление функции ^ в виде (1) будем называть Ти-представлением.
Замечание 1. Известно [2], что в случае т = п функция ^ является подстановкой, если функция и(х2,х1) является подстановкой по х2 при фиксации х1.
Определение 2. Для ^: ЩП ^ и произвольных а € \ {0}, Ь € положим
¿Р'Ь = |{х € : ^(х + а) + ^(х) = Ь}| .
Будем говорить, что ^ является дифференциально ¿р-равномерной функцией, если
г га,Ь
ор = шах ¿р ,
аежп\{0}, р Ьеж™
значение ¿р будем называть показателем дифференциальной равномерности функции ^.
Использование нелинейных преобразований с меньшим показателем дифференциальной ¿-равномерности при синтезе криптографических примитивов позволяет гарантировать стойкость последнего к разностному методу криптографического анализа.
Известно достаточно много примеров подстановок, обладающих высокими криптографическими характеристиками и имеющих Ти-представление:
— подстановка, СС^-эквивалентная подстановке Диллона, —единственная известная в настоящий момент 2-равномерная подстановка на Щ2т [3];
— подстановка, линейно эквивалентная подстановке алгоритмов ГОСТ Р 34.11-2012 и «Кузнечик» (ГОСТ Р 34.12-2018) [2];
— подстановки из работ [4-7]. Для а € ЩП-4 обозначим:
— ¿т,а — показатель дифференциальной ¿-равномерности подстановки, которую задаёт функция Т(х1,х2) при фиксации х2 = а;
т а — количество решений уравнения
Т(х1, а) + Т(х + а1, а + а2) = въ а1,в1 € Щ!Т4,а2 € \ {0}.
Получен следующий критерий дифференциальной ¿-равномерности функции ^, имеющей Ти-представление.
Теорема 1. Пусть у функции ^ имеется Ти-представление (1). Тогда показатель дифференциальной ¿-равномерности функции ^ меньше либо равен значению
24 ■ шах ¿та, шах ДО,1'"2^1
а Т,а
аеЩ, I аь^ежгр4
«26^2\{0}
Доказательство теоремы следует из того факта, что при каждой из 2* фиксаций х2 значением а2 уравнения вида
Т(х1, а2) + Т(х1 + а1, а2 + «2) = в
являются следствием уравнений
^(хь а2) + F(х1 + а1, а2 + а^) = в1
Теорема 1 позволяет строить дифференциально 2$-равномерные преобразования, а замечание 1 гарантирует биективность этого преобразования.
Следствие 1. Пусть в условиях теоремы 1 £ =1 и 8т,а ^ $ для всех а € Р2. Тогда функция ^, имеющая Ти-представление (1), не более чем дифференциально 2$-равномерна тогда и только тогда, когда тах Д^О1^1 ^
Для доказательства следствия необходимо отметить, что Д^д1^1 = для
всех а1,в1 € РП-1. Тогда, согласно следствию 1, задача построения дифференциально 2$-равномерных подстановок сводится к поиску двух подстановок по,п1 € § (РП-1), таких, что количество решений уравнений
по(х) + П1(х + «1) = в (2)
при всевозможных значениях а1, в1 € РП-1 не больше 2. Действительно, если Т(х1, г) = = п(х 1), г € {0,1}, и(х2, х1) — линейная по х2 функция при произвольной фиксации х 1, то с использованием формулы (1) получим подстановку с показателем дифференциальной равномерности 2$. В качестве п0,п1 можно взять произвольную дифференциально 2-равномерную подстановку. В этом случае, с учётом следствия 1 и замечания 1, функция ^ является подстановкой с показателем дифференциальной равномерности большим либо равным 4. При этом если максимальное количество решений (2) равно двум, то подстановка будет дифференциально 4-равномерной, иначе показатель её дифференциальной равномерности будет определяться удвоенным максимальным количеством решений уравнений вида (2).
Теорема 2. Пусть х1 € Р2п-1, п чётное, п > 6, х2 € Р2, / — произвольная булева функция от п — 1 переменной, с € Р2п-1 \{0,1},
Т: Р2п-1 х Р2 ^ Р2п-1, Т(хьх2) = х-1 ■ сХ2, и: Р2 х Р2П-1 ^ Р2, и(х2,х1) = /(х1) + х2.
Тогда формула (1) задаёт подстановку ^, при этом
1) если ^(с) = ^ (с-1) = 1, то = 4;
2) иначе = 6.
Замечание 2. Результат п. 1 теоремы 2 доказан в [8], однако следствие 1 позволяет проводить доказательство с более общих позиций.
Теорема 3. Пусть х1 € Р2п-1, п чётное, п > 6, х2 € Р2, / — произвольная булева функция от п — 1 переменной, с € Р2п-1 \{0,1},
Т: Р!?-1 х Р2 ^ Р!?-1, Т(х1,х2) = х? ■ сХ2, и : Р2 х Р2П-1 ^ Р2, и(х2,х1) = /(х1) + х2.
Тогда формула (1) задаёт подстановку ^, при этом 6р = 6.
Напомним, что две (n, т)-функции g и f называются расширенно аффинно-эквива-лентными, если существуют аффинные подстановки a и b пространств F^" и F^ соответственно и аффинная (n, т)-функция с, что f (x) = (b о g о a) (x) + c(x) [1]. Расширенно аффинно-эквивалентные функции, очевидно, имеют одинаковый показатель дифференциальной равномерности. В доказательстве теоремы 3 используется тот факт, что уравнение третьей степени не может иметь больше трёх решений. Естественно предположить, что если взять в качестве T(xi, i) = xi + a^xf + b¿xi — функции, расширенно аффинно-эквивалентные 2-равномерной подстановке x3, то можно построить 4-рав-номерные подстановки F с использованием формулы (1). Следующее утверждение показывает, что это не так.
Утверждение 1. Пусть xi G F2n-i, n чётное, n > 6, x2 G F2, f — произвольная булева функция от n — 1 переменной, a, b G F2n-i,
T: FIT1 x F2 ^ F^-1, T(xi, 0) = x3, T(xi, 1) = xf + a ■ x2 + b ■ xi, U: F2 x Fn-i ^ F2, U(x2,xi) = f (xi)+ x2.
Тогда существуют ai, в G F2n-i, такие, что количество решений уравнения T(xi + + ai, 0) + T(xi, 1) = ei равно 2n-i, либо T(xi, 1) не является подстановкой.
Приведём ещё несколько результатов, полученных применением теоремы 1. Утверждение 2. Пусть xi G F2n-i, n чётное, n > 6, x2 G F2, f — произвольная булева функция от n — 1 переменной,
T: F2n-i x F2 ^ F2n-i, T (xi, 0) = xi, T (xi, 1) = x-i, U: Fi x Fn-i ^ F2, U (x2,xi) = f (xi) + x2.
Тогда формула (1) задаёт подстановку F, при этом 6р = 8.
Утверждение 3. Пусть t = 2, xi G F^-4, x2 G F|. Тогда существуют такие cx2, x2 G F22, cx'2 = cx» при x2 = x2, что подстановка F, задаваемая формулой (1), дифференциально 8-равномерна, где
T: Fn-t x F2 ^ Fn-i, T (x^) = x-1 ■ сЖ2,
U: F2 x Fn-t ^ F2, при фиксации произвольного xi функция U (x2,xi) является подстановкой по переменной x2.
ЛИТЕРАТУРА
1. Canteaut A. and Perrin L. On CCZ-Equivalence, Extended-Affine Equivalence, and Function Twisting. Cryptology ePrint Archive: Report 2018/713.
2. Biryukov A., Perrin L., and Udovenko A. Reverse-engineering the S-box of Streebog, Kuznyechik and Stribobrl // LNCS. 2016. V.9665. P. 372-402.
3. Biryukov A., Perrin L., and Udovenko A. Cryptanalysis of a Theorem: Decomposing the Only Known Solution to the Big APN Problem (Full Version). Cryptology ePrint Archive: Report 2016/539.
4. De la Cruz Jiménez R. A. Generation of 8-bit S-Boxes Having Almost Optimal Cryptographic Properties Using Smaller 4-bit S-Boxes and Finite Field Multiplication. 2017. www.cs.haifa. ac.il/orrd/LC17/paper60.pdf.
5. Fomin D. B. New classes of 8-bit permutations based on a butterfly structure // Матем. вопр. криптогр. 2019. Т. 10. №2. С. 169-180.
6. Фомин Д. Б. Построение подстановок пространства V2m с использованием (2m, m)-функций. // Матем. вопр. криптогр. 2020. Т. 11. №3. С. 121-138.
7. Фомин Д. Б. Об алгебраической степени и дифференциальной равномерности подстановок пространства V2m, построенных с использованием (2m, т)-функций. // Матем. вопр. криптогр. 2020. Т. 11. №4. С. 133-149.
8. Carlet C., Tang D., Tang X., and Liao Q. New construction of differentially 4-uniform bijections // LNCS. 2013. V.8567. P. 22-38.
УДК 519.719.325 DOI 10.17223/2226308X/14/10
УСЛОВИЕ ОДНОЗНАЧНОСТИ РАЗЛОЖЕНИЯ В ПРОИЗВЕДЕНИЕ ФУНКЦИЙ p-ЗНАЧНОЙ ЛОГИКИ ПРИ ЛИНЕЙНОЙ ЗАМЕНЕ
ПЕРЕМЕННЫХ
А. В. Черемушкин
Рассматривается множество разложений функции p-значной логики в произведение функций от непересекающихся множеств переменных при различных линейных преобразованиях аргументов. Каждому такому разложению соответствует разложение векторного пространства в прямую сумму подпространств. Приведены условия, при которых разложение определяется однозначно с точностью до перестановки подпространств между собой.
Ключевые слова: двоичные функции, разложение в прямую сумму, линейное преобразование.
Пусть n ^ 1, Vn = Z^ рассматривается как векторное пространство над полем Zp, Fn = {/ : Vn — Zp} — множество функций от n переменных.
Пусть 1 ^ k ^ n. Говорят, что переменные xk+1,...,xn функции /... , xn) являются несущественными, если найдётся функция h(xi,...,x^), такая, что / = h. Нетрудно видеть, что переменная xn является несущественной для функции /, если и только если /(x + en) = /(x) при en = (0,..., 0,1).
Пусть (Hn)f—группа инерции функции / в группе сдвигов Hn, т.е. множество
таких сдвигов ( | Е Hn, что выполнено сравнение /(x + а) = /(x), x Е V^.
\x + а J
Условие тривиальности группы инерции (Hn) f равносильно тому, что у всех функций, полученных из / всевозможными линейными заменами переменных, все переменные будут существенными.
Назовём носителем функции / : Vn —у Zp множество векторов, на которых она принимает ненулевые значения:
/-1 (*) = {а Е К : /(а) = 0}.
Если носитель функции содержится в некотором многообразии размерности k, то это позволяет сводить задачу исследования функции от n переменных к задаче исследования функции от n — k переменных.
Лемма 1. Пусть функция / : V^ — Zp не является константой. Если носитель /-1 (*) функции / содержится в многообразии L + а С Vn, 1 ^ dim L ^ n — 1, то существует линейное преобразование A пространства Vn, функция h : Zn —У Zp и элементы а1..., Е Zp, k = n— dim L, такие, что функцию /(xA) можно представить в виде
/(xA) = J01 (xi)... J„fc(xfc)h(xfc+i,... ,x„),
