CC BY
26
аффинную функцию, если таковая существует, которая в сумме с F даёт APN-пере-становку.
В работе для n = 5 и 6 найдены примеры 2-в-1 APN-функций и соответствующих линейных функций, дающих в сумме взаимно однозначные функции. Ниже представлены 2-в-1 функция F от пяти переменных, которая эквивалентна APN-перестановке, и сответствующая линейная функция A:
F = (0 9 29 19 16 29 4 20 23 16 2 30 18 20 1 2 1 28 0 4 25 19 18 30 14 23 28 14 25 6 9 6);
A = (x2 ф x3 ф Х4, Х4 ф X5, Xi ф Х4, Xi ф X2 Ф X3 ф X4, X3 ф X4).
Интересно, что при n = 5 для всех пяти существующих (с точностью до аффинной эквивалентности) APN-перестановок найдены 2-в-1 APN-функции, которые в сумме с линейными функциями дают эти перестановки.
Ниже представлены 2-в-1 APN-функция F от шести переменных и соответствующая линейная функция A, такие, что F ф A — единственная известная (с точностью до эквивалентности) на данный момент APN-перестановка от чётного числа переменных, полученная в работе [3]:
F = (54 63 48 50 4 38 40 1 63 38 45 11 8 32 42 29 54 11 7 36 14 46 23 8 36 51 4 25 9 25 59 32 16 60 59 8 42 1 41 14 50 31 9 23 60 12 21 29 27 24 21 46 27 41 53 53 40 16 51 7 12 31 45 24); A = (xi ф Х2 ф x6, Xi ф Х2 ф x6, Xi ф Х2 ф Х4 ф Х6, Xi ф Х2 ф Х6, Xi ф Х2 ф Х4 ф Х6, Х4 ф Х6).
ЛИТЕРАТУРА
1. Nyberg K. Differentily uniform mappings for cryptography // Eurocrypt 1993. LNCS. 1994. V. 765. P. 55-64.
2. Глухов М. М. О приближении дискретных функций линейными функциями // Математические вопросы криптографии. 2016. Т. 7. № 4. С. 29-50.
3. McQuistan M. T., Wolfe A. J., Browning K. A., and Dillon J. F. An apn permutation in dimension six // Amer. Math. Soc. 2010. No. 518. P. 33-42.
4. Тужилин М. Э. Почти совершенные нелинейные функции // Прикладная дискретная математика. 2009. № 3(5). С. 14-20.
5. Carlet C. Open questions on nonlinearity and on APN functions // LNCS. 2015. V. 9061. P. 83-107.
6. Виткуп В. А. О специальном подклассе векторных булевых функций и проблеме существования APN-перестановок // Прикладная дискретная математика. Приложение. 2016. № 9. С. 19-21.
7. Pasalic E. and Charpin P. Some results concerning cryptographically significant mappings over GF(2n) // Designs, Codes and Cryptography. 2010. V. 57. P. 257-269.
УДК 519.7 DOI 10.17223/2226308X/10/15
СВОЙСТВА КООРДИНАТНЫХ ФУНКЦИЙ ОДНОГО КЛАССА
ПОДСТАНОВОК НА F^1
Л. А. Карпова, И. А. Панкратова
В классе Тп подстановок на КП, координатные функции которых существенно зависят от всех переменных, рассматривается подкласс Кп, подстановки в котором получены из тождественной подстановки с помощью п независимых транспозиций. Приводятся некоторые свойства координатных функций подстановок из Кп. Экспериментально подсчитана мощность |Кп| для п = 3,..., 6.
1Работа поддержана грантом РФФИ, проект № 17-01-00354.
Дискретные функции
39
Ключевые слова: векторная булева функция, обратимые функции, нелинейность булевой функции, корреляционная иммунность, алгебраическая иммунность.
Для n 6 Z обозначим через Fn класс функций F : F^ ^ Fn, где F = (f ... fn), таких, что координатные функции f : Fn ^ F2, i = 1,..., n, существенно зависят от всех n переменных и функция F — подстановка (т.е. обратима). В [1] предложен алгоритм построения некоторой функции из Fn, который состоит в следующем: стартуя с тождественной подстановки F, на i-м шаге, i = 1,..., n, выбираем пару наборов a, b, отличающихся только в i-й компоненте и не выбранных на предыдущих шагах, и меняем местами значения F(а) и F(b). Обозначим класс подстановок, которые можно получить алгоритмом (при всевозможных способах выбора пар a,b), через Kn. В [1] доказано, что Kn = 0 для всех n > 2 и К2 = F2 = 0. В данной работе приведены результаты исследования функций из Kn.
Для булевой функции f от n переменных обозначим w(f) вес функции f, deg f — её степень, Nf — нелинейность (расстояние до класса аффинных функций A(n)), cor(f) — максимальный порядок корреляционной иммунности, AI(f) — алгебраическую иммунность; пусть d(f, g) — расстояние между функциями f и g.
Утверждение 1. Пусть F = (fi... fn) 6 Kn, n > 2. Тогда для всех i 6 {1,..., n} имеет место:
1) deg fi = n - 1;
2) Nfi = 2;
3) cor(fi) = 0;
4) AI(fi) = 2.
Доказательство.
1) По построению d(fi,xi) = 2, т. е. w(fi ф xi) = 2. По утверждению о связи веса и степени функции [2, лемма 3] w(fi ф xi) ^ 2n-deg(fi®xi). Отсюда получаем deg(fi ф xi) = = n — 1 и, ввиду равенства deg(fi ф xi) = deg fi, свойство 1 доказано.
2) Nfi ^ 2, так как d(fi,xi) = 2 и xi 6 A(n); Nfi = 0, так как degfi = n — 1 > 1; Nf = 1, так как fi и все аффинные функции, кроме констант, уравновешены, а векторы значений уравновешенных функций не могут отличаться ровно на одном наборе.
3) Свойство следует из неравенства Зигенталера [2, лемма 4] для уравновешенных функций: cor(fi) < n — deg fi — 1 = 0.
AI(f)-2 /n — 1\
4) В [3, теорема 1] получена следующая оценка: Nf ^ 2 ^ I . I. С учётом
i=0 V i /
Nfi = 2 отсюда получаем AI(fi) ^ 2. С другой стороны, никакая аффинная функция g = const не может быть аннигилятором fi, так как иначе, ввиду уравновешенности fi и g, получим g = fi, что не так (fi / A(n)). То же верно и для аннигилятора функции fi ф 1. Следовательно, AI(fi) = 2.
Утверждение доказано. ■
Замечание 1. Утверждение 1 остаётся верным и для модификации алгоритма построения подстановок из класса Kn, предложенной в [1] и состоящей в том, что отправной точкой алгоритма является не обязательно тождественная подстановка, а такая, что каждая координатная функция существенно зависит ровно от одной переменной (т. е. fi = Xj или fi = xj).
Приведём некоторые экспериментальные данные. В таблице указаны мощности классов Kn для n = 3,..., 6; для построения всех функций из К 6 понадобилось боль-
ше 1,5ч. Мощность |Кп| быстро растёт с ростом п, тем не менее |Кп| ^ |^П|; например, в результате перебора 8! = 40 320 подстановок на установлено, что |^"3| = 24576.
n |K„|
3 8
4 608
5 250 624
6 390 317 056
Обозначим Kn класс подстановок, которые можно получить с помощью модификации алгоритма (см. замечание 1). Очевидно, что | ^ 2nn!|Kn| (2n способов инвертировать переменные и n! способов переставить их); в частности, для n = 3 эта граница равна 384, для n = 4 — уже 233 472 и т. д. Вопрос о достижимости границы и близости к ней мощности |K | составляет предмет дальнейших исследований.
Экспериментально подсчитаны характеристики координатных функций f подстановок из Fn. Для n = 3 оказалось, что всегда Nfi £ {0,2}, deg f £ {1, 2}. Все подстановки на перебрать не удалось; из 10 000 000 опробованных оказалось, что классу F4 принадлежат 7842 917 и для них Nfi £ {2,4} и deg f £ {2, 3}.
Поскольку отмеченные в утверждении 1 свойства 2-4 координатных функций подстановок из Kn (а в силу замечания 1 — и из KJ свидетельствуют об их криптографической слабости, актуальна задача разработки алгоритма построения любой подстановки класса Fn. Кроме того, для синтеза криптосхем с функциональными ключами [4, 5] интересны обратимые векторные булевы функции, координатные функции которых зависят от заданного числа (не от всех) аргументов. В [1,6] полностью решена задача существования таких функций; остаётся открытым вопрос их построения и исследования криптографических свойств.
ЛИТЕРАТУРА
1. Pankratova I. A. Construction of invertible vectorial Boolean functions with coordinates depending on given number of variables // Материалы Междунар. науч. конгресса по информатике: Информационные системы и технологии. Республика Беларусь, Минск, 24-27 окт. 2016. Минск: БГУ, 2016. С. 519-521.
2. Таранников Ю. В. О корреляционно-иммунных и устойчивых булевых функциях // Ма-тем. вопросы кибернетики. 2002. Вып. 11. С. 91-148.
3. Лобанов М. С. Точное соотношение между нелинейностью и алгебраической иммунностью // Дискретная математика. 2006. Т. 18. Вып. 3. С. 152-159.
4. Агибалов Г. П. SIBCiphers — симметричные итеративные блочные шифры из булевых функций с ключевыми аргументами // Прикладная дискретная математика. Приложение. 2014. № 7. С. 43-48.
5. Агибалов Г. П. Криптоавтоматы с функциональными ключами // Прикладная дискретная математика. 2017. № 36. С. 59-72.
6. Панкратова И. А. Об обратимости векторных булевых функций // Прикладная дискретная математика. Приложение. 2015. № 8. С. 35-37.
