ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА
№11 ПРИЛОЖЕНИЕ Сентябрь 2018
Секция 2
ДИСКРЕТНЫЕ ФУНКЦИИ
УДК 511.32 DOI 10.17223/2226308X/11/10
ПОСТРОЕНИЕ ОДНОГО КЛАССА ФУНКЦИЙ НАД КОНЕЧНЫМИ ПОЛЯМИ С ИСПОЛЬЗОВАНИЕМ ЛИНЕЙНЫХ РЕКУРРЕНТ
НАД КОЛЬЦАМИ ГАЛУА
А. Д. Бугров
Изучается класс функций над полем GF(q), построенных на основе линейных рекуррентных последовательностей (ЛРП) над кольцом GR(qn,pn) c отмеченным характеристическим многочленом. Порядок следования аргументов функций задаётся набором ЛРП над полем, а значения функций — усложнением ЛРП над кольцом. При выполнении некоторых условий, для близости исследуемых функций от m переменных к классу аффинных функций доказана оценка C(f) ^ ^ q(m+n-1)/2(pn-1 — 1 )(q — 1)1/2. Рассматриваются вопросы, связанные с мощностью класса функций и его автоматной реализацией.
Ключевые слова: линейные рекуррентные последовательности, усложнение последовательности, конечные поля, кольцо Галуа, кросс-корреляционная функция, оценка тригонометрической суммы.
Введение
В [1,2] изучались свойства булевых функций, построенных на основе старших разрядных последовательностей отмеченных линейных рекуррент над кольцом R = Z2n. Получены оценки весов функций, вычислена их алгебраическая степень и доказана нижняя оценка нелинейности. В частности, показано, что этот класс функций достаточно удалён от класса аффинных булевых функций. Данная работа посвящена исследованию более широкого класса функций. Кроме того, класс функций рассматривается не только над полем из двух элементов, но и над произвольным конечным полем. Для этого приходится переходить от кольца вычетов по модулю 2n к произвольному кольцу Галуа. Достоинством рассматриваемого класса является возможность его построения с использованием линейного регистра сдвига над кольцом Галуа.
1. Определение класса функций
Пусть p — простое число, q = p, t Е N, P = GF(q) — конечное поле из q элементов, R = GR(qn,pn) — кольцо Галуа из qn элементов характеристики pn. Для кольца R фактор-кольцо R = R/pR является полем из q элементов. Далее для удобства изложения будем считать, что R = P, а операцию сложения в R и R будем обозначать одним символом +. Образ элемента а Е R при действии естественного эпиморфизма колец R ^ R обозначим через а. Естественный эпиморфизм колец R ^ R индуцирует эпиморфизм колец многочленов R[x] ^ R[x]. Образ многочлена A(x) = aiXг Е R[x] при этом эпиморфизме будем обозначать через A(x), где A(x) = J2aixi Е R[x].
Многочлен G(x) Е R[x] назовем унитарным, если его старший коэффициент равен единице, и реверсивным, если его свободный член обратим в R. Реверсивный мно-
гочлен G(x) Е R[x] называется отмеченным, если периоды многочленов G(x) и G(x) равны. Известно, что для каждого реверсивного многочлена F(x) Е P[x], не имеющего кратных корней в своем поле разложения, найдётся единственный отмеченный многочлен G Е R[x], такой, что G(x) = F(x) [3, §4]. Способ построения отмеченного многочлена G(x), соответствующего многочлену F(x), основанный на применении алгоритма Гензеля, весьма сложен, но в случае p =2 существует достаточно простой рекурсивный способ его построения по F(x) [3]. Всюду далее F(x) Е P[x], G(x) Е R[x] — реверсивные многочлены, такие, что F неприводим над P, m = deg F = deg G, G(x) = F(x), T = T(G) = T(F) = qm - 1.
Обозначим через Lr(G) множество всех ЛРП над кольцом R c характеристическим многочленом G(x) и через Lr(G)* —множество всех ЛРП v Е Lr(G), для которых верно неравенство w = (0), где (0) —нулевая последовательность; v — последовательность, полученная из v действием естественного эпиморфизма R ^ R на каждый её элемент. Последовательность v является ЛРП с характеристическим многочленом F(x) [3]. Пусть ф : R ^ P — произвольное отображение, v Е LR(G)*, последовательности ui,... , um Е Lp(F) максимального периода и линейно независимы над P, то есть равенство м1а1 + ... + umam = (0) выполняется только для нулевого вектора (а1,..., am). Определим последовательность u над Pm как u(i) = (u1(i),..., um(i)), i Е No.
Лемма 1. Последовательности u1,...,um линейно независимы над P тогда и только тогда, когда на цикле последовательности u появляются по одному разу все ненулевые векторы Pm.
Рассмотрим функцию f = fu,v,^ от m переменных, определённую по правилу: f (0, 0,..., 0)) = ф(0) и для всех i = 0,1,...,T - 1
f (u(i))= ф(v(i)). (1)
Из леммы 1 следует, что правило (1) корректно задаёт функцию f. Таблицу функции можно построить с использованием регистров сдвига над кольцом R и m регистров сдвига над полем P. В наиболее интересном с практической точки зрения случае можно выбрать u1 = v, u2 = xv, ... , um = xm-1w, и тогда функция строится с использованием одного линейного регистра сдвига над кольцом R. Введём следующие обозначения для классов функций:
D(F, u, ф) = U f«,v,^, D(F, ф) = U D(F, u, ф),
v u
где объединения берутся по всем возможным v и u, которые указаны в определении функции fu
2. Близость между дискретными функциями
Пусть f, g : Pm ^ P — некоторые отображения. Для любого а Е P через х« будем обозначать аддитивный характер поля P:
tri (ai)
/ \ - _ D
X« (x) = e p , x Е P.
Определим коэффициент кросс-корреляции между функциями f и g равенством
C«(f,g)= Е X«(f (x) - g(x)), а Е P\{0}.
xeP n
Обозначим
С (Л£)= тах 1Са (У, д 1.
авР\{0}
Пусть (а, х) —скалярное произведение векторов, д пробегает множество аффинных функций от п переменных над полем Р, то есть
д(х) = д(х1,..., хт) = (а, х) + Ь = а1 Х1 + + ... + + Ь,
где а1,... , ат, Ь — элементы из Р. Далее будем использовать величину
С(/) = тах С(/,д)=тах тах |Са(/,д)| ,
А 9 авР\{0}
которая характеризует «близость» / к классу всех аффинных функций от т переменных над полем Р.
3. Свойства класса функций 3.1. Близость между функциями Приведём некоторые обозначения и результаты из теории колец Галуа [4, §2,3]. Введём р-адическое множество Г(К) = {а Е К : ад = а}. Каждый элемент х кольца Я может быть единственным образом представлен в виде р-адического разложения
х = 70 (х) + р71(х) + ... + рга-17„_1(х),
где т, : К ^ Г(К), ] Е {0,... , п — 1} — разрядные функции кольца К. Назовём отображение ^ : К ^ Р сбалансированным [5], если при каждом а Е Р уравнение ^(х) = а имеет ровно |К|/|Р| = д"_1 решений относительно неизвестного х Е К.
Теорема 1. Пусть : К ^ Р — сбалансированные функции, последователь-
ность V линейно не выражается через хкV в кольце К. Тогда
С(/п,ь,ф1 , У«,^-и,-ф2) ^ дт/2+"(р" 1 — 1).
Будем говорить, что отображение ^ биективно по старшему разряду, если его ограничение на любом подмножестве элементов кольца К с одинаковыми значениями п — 1 младших разрядов является биекцией. Частным случаем отображения, биективного по старшему разряду, является отображение, линейное по старшему разряду, то есть такое, что для каждого а Е К с р-адическим представлением
а = а0 + ра1 + р2а2 + ... + р"_1ап_1, а0, а1,..., ап-1 Е Г(К),
выполнено равенство
^(а) = аа„_1 + п(а0, а1,..., ага_2), (2)
где а Е Р\{0}; п : Г(К)"_1 ^ Р — произвольное отображение. Отметим, что биективные по старшему разряду отображения являются сбалансированными.
Следствие 1. Если функции биективны по старшему разряду, то в усло-
виях теоремы 1 верна оценка
С (/„„ф ,/«,^2 ) ^ дт/2+"(р"_1 — 1)(д — 1).
Теорема 2. Пусть deg^ = т, / € ф). Если п = 1 и ф : Д ^ Р — произвольная функция, то верно равенство С(/) = и / — аффинная функция над полем Р. Если п > 1 и функция ф биективна по старшему разряду, то для близости функции / к классу аффинных функций от т переменных верно неравенство
С(/) ^ д(т+п-1)/2(рп-1 - 1)(д - 1)1/2.
Следствие 2. Пусть deg ^ = т, п > 1 и функция ф биективна по старшему разряду. Тогда при т ^ (2п — 2)Д + п в классе ф) нет аффинных функций, в частности не существует начального заполнения рекурренты V, такого, что (г(0),..., г(т — 1)) = (0,..., 0) и ф(г) = (0).
3.2. Мощность класса и вес функций
Утверждение 1. Пусть ф — сбалансированное отображение, deg ^ = т, тогда верна следующая оценка, достижимая сверху и снизу:
9ИП — д(га-1)т ^ |£(*>,ф)| ^ дт — 1.
Рассмотрим случай, когда п = 1, то есть Д = ОИ,(д,р) = СЕ(д) = Р.
Следствие 3. Если deg ^ = т, п = 1 и функция ф сбалансированная, то £(£>,ф) = {(а, х) + ф(0) : а € Рт\(0,..., 0)}.
Теорема 3. Пусть отображение ф биективно по старшему разряду, тогда при т ^ ^ 2(п — 1)Д+2п разным начальным заполнениям рекурренты г соответствуют разные функции класса и, ф) и имеют место равенства
|ВДи,ф)| = (С)*| = — д(га-1)т.
Прообраз элемента г при отображении / будем обозначать как /-1(г).
Утверждение 2. Пусть ф — сбалансированное отображение, deg ^ = т, / € € ф), тогда для любого г € Р верно
||/-1(г)| — ^-1| ^ дт/2+п-1(рп-1 — 1)(5 — 1).
3.3. Случай произвольного разрядного множества
Разрядным множеством кольца Д называется любое его подмножество
К = {ко, кь ..., кд-1},
такое, что все его элементы попарно несравнимы по идеалу рД [6, 7]. Например, множество Г(Д) является разрядным множеством кольца Д [4, лемма 3]. Если К — разрядное множество кольца Д, то каждый элемент а € Д однозначно представим в виде
а = ао + ра1 + ... + рга-1а„_1, (3)
где а^ € К, г € {0,... ,п — 1}. Равенство (3) называется разрядным представлением элемента а в множестве К; элемент а^ — г-м разрядом элемента а в множестве К, ап-1 — старшим разрядом. Для каждого г € {0,... , п — 1} зададим разрядное отображение
(а) = а^. Всюду далее К — произвольное разрядное множество кольца Д.
Обобщим понятие биективной по старшему разряду функции. Будем говорить, что отображение ф биективно по старшему разряду относительно разрядного множества К, если ограничение отображения ф на любом подмножестве элементов кольца Д с одинаковыми значениями п — 1 младших разрядов в множестве К является биекцией.
Утверждение 3. Если функция — биективна по старшему разряду относительно некоторого разрядного множества K, то она биективна по старшему разряду относительно любого разрядного множества кольца R, в том числе относительно r(R).
Следствие 4. Если функция — биективна по старшему разряду относительно произвольного разрядного множества K, то верны следствие 1, теорема 2, следствие 2, теорема 3.
Рассмотрим разрядные множества кольца R = Zpn. Будем говорить, что K образует арифметическую прогрессию, если K = (a, а + d, а + 2d,..., а + (p — 1)d} для некоторых элементов a,d Е R, а = 0 (mod p), (d,p) = 1. В этом случае будем использовать обозначение K = Ka,^. Важным примером разрядного множества, образующего арифметическую прогрессию, является p-ичное разрядное множество K0,i = (0,1,... ,p—1}.
Рассмотрим случаи, когда R — Zpn и в равенстве (2) функция п тождественно равна 0.
Следствие 5. Пусть deg F = m^, R - Zpn , P = Zp, n ^ 2, разрядное множество Ka,d образует арифметическую прогрессию, — (x) = axn-i (x), а Е P\{0}, f Е D(F, —). Тогда верно неравенство
с(f) ^ (W1) + 43p + 20) (pn-1 — 1)pm/2.
Заметим, что у бент-функции f от m переменных над Zp значение C(f) равно pm/2.
K d
Это позволяет говорить, что при малых n и —(x) = axn-i (x), а Е P\{0} класс функций D(F, —) достаточно удалён от класса аффинных функций от m переменных над Zp.
3.4. Автоматная реализация
Таблицы значений функций исследуемого класса можно вырабатывать с помощью конечного автомата, в основе которого лежит регистр сдвига над кольцом R. Пусть R = Z2n ,u = (v,xv,... ,xm-1v), тогда таблицу функции fu,v^ можно выработать с помощью автомата (рис. 1).
G(x)
Рис. 1
Автомат состоит из регистра сдвига над кольцом Z2n с характеристическим многочленом G(x), элементов «mod 2», которые вычисляют младший бит элемента кольца,
элемента «ф», который вычисляет значение функции ф от элемента кольца, дешифратора (декодера), который записывает значение, полученное сверху, по адресу, полученному справа. Столбец значений функции полностью заполняется за 2т — 1 тактов работы регистра сдвига.
ЛИТЕРАТУРА
1. Былков Д. Н. Об одном классе булевых функций, построенных с использованием старших разрядных последовательностей линейных рекуррент // Прикладная дискретная математика. Приложение. 2014. № 7. С. 59-60.
2. Былков Д. Н., Камловский О. В. Параметры булевых функций, построенных с использованием старших координатных последовательностей линейных рекуррент // Математические вопросы криптографии. 2012. Т. 3. №4. С. 25-53.
3. Нечаев А. А. Цикловые типы линейных подстановок над конечными коммутативными кольцами // Матем. сборник. 1993. Т. 184. №3. С. 21-56.
4. Нечаев А. А. Код Кердока в циклической форме // Дискретная математика. 1989. Т. 1. №4. С. 123-139.
5. Погорелов Б. А, Сачков В. Н. Словарь криптографических терминов. М.: МЦНМО, 2006.
6. Кузьмин А. С., Нечаев А. А. Линейные рекуррентные последовательности над кольцами Галуа // Алгебра и логика. 1995. Т.34. №2. С. 169-189.
7. Камловский О. В. Частотные характеристики разрядных последовательностей линейных рекуррент над кольцами Галуа // Изв. РАН. Сер. матем. 2013. Т. 77. №6. С. 71-96.
УДК 519.7 Б01 10.17223/2226308X711/11
ВЕКТОРНЫЕ 2-В-1 ФУНКЦИИ КАК ПОДФУНКЦИИ ВЗАИМНО ОДНОЗНАЧНЫХ ЛР^ФУНКЦИЙ1
В. А. Идрисова
Работа посвящена проблеме существования взаимно однозначных АРМ-функций от чётного числа переменных. Рассматриваются свойства подфункций взаимно однозначных АРМ-функций. Доказано, что любая (п — 1)-подфункция произвольной взаимно однозначной АРМ-функции может быть получена при помощи специальных символьных последовательностей. Данные результаты позволяют предложить новый алгоритм построения взаимно однозначных АРМ-функций из 2-в-1 функций и соответствующих координатных булевых функций. Получена нижняя оценка на число таких булевых функций.
Ключевые слова: векторная булева функция, APN-функция, взаимно однозначная функция, 2-в-1 функция, перестановка.
Векторной булевой функцией ^ называется произвольное отображение ^ : Е? ^ 1?. Рассмотрим векторную булеву функцию ^ из Е!? в Е?. Для векторов а, Ь € Р?, где а = 0, определим величину
¿(а,Ь) = |{х € К!? : ^(х + а) + ^(х) = Ь}|.
Обозначим за Др следующий параметр:
Др = тах ^(а,Ь).
1 Работа поддержана грантом РФФИ, проект №17-41-543364.