Изогнутая функция

Четыре 2-арные булевы функции с весом Хэмминга 1 изогнуты; т.е. их нелинейность равна 1 (что и показывает эта диаграмма) .

Следующая формула показывает, что двумерная функция искривляется, когда ее нелинейность равна 1:

${\ displaystyle 2 ^ {2-1} -2 ^ {{\ frac {2} {2}} - 1} = 2-1 = 1}$

Логическая функция изогнута; т.е. его нелинейность равна 6 (что и показывает эта диаграмма) .${\ Displaystyle x_ {1} x_ {2} \ oplus x_ {3} x_ {4}}$

Следующая формула показывает, что 4-мерная функция искривляется, когда ее нелинейность равна 6:

${\ displaystyle 2 ^ {4-1} -2 ^ {{\ frac {4} {2}} - 1} = 8-2 = 6}$

В математической области комбинаторики , бент - функция представляет собой особый тип булевой функции ; так называемые, поскольку они максимально отличаются от всех линейных функций и от всех аффинных функций . Это затрудняет аппроксимацию бент-функций. Бент-функции были определены и названы в 1960-х годах Оскаром Ротхаусом в исследовании, которое не публиковалось до 1976 года. ^[1] Они широко изучались для их приложений в криптографии , но также применялись в расширенном спектре , теории кодирования и комбинаторном дизайне.. Определение можно расширить несколькими способами, что приведет к различным классам обобщенных бент-функций, которые разделяют многие полезные свойства оригинала.

Известно, что В.А. Елисеев и О.П. Степченков изучали бент-функции, которые они назвали минимальными функциями , в СССР в 1962 г. ^[2]. Однако их результаты до сих пор не рассекречены.

Преобразование Уолша [ править ]

Бент-функции определяются в терминах преобразования Уолша . Преобразование Уолша булевой функции - это функция, заданная формулой${\ displaystyle f: \ mathbb {Z} _ {2} ^ {n} \ to \ mathbb {Z} _ {2}}$${\ displaystyle {\ hat {f}}: \ mathbb {Z} _ {2} ^ {n} \ to \ mathbb {Z}}$

${\ displaystyle {\ hat {f}} (a) = \ sum _ {\ scriptstyle {x \ in \ mathbb {Z} _ {2} ^ {n}}} (- 1) ^ {f (x) + а \ cdot x}}$

где a · x = a ₁ x ₁ + a ₂ x ₂ +… + a _n x _n (mod 2) - скалярное произведение в Z^п
₂. ^{[3] В} качестве альтернативы, пусть S ₀ ( a ) = { x ∈ Z^п
₂ : f ( x ) = a · x } и S ₁ ( a ) = { x ∈ Z^п
₂ : f ( x ) ≠ a · x } . Тогда | S ₀ ( а ) | + | S ₁ ( а ) | = 2 ⁿ и, следовательно,

${\ Displaystyle {\ шляпа {f}} (а) = \ влево | S_ {0} (а) \ вправо | - \ влево | S_ {1} (а) \ вправо | = 2 \ влево | S_ {0} (a) \ right | -2 ^ {n}.}$

Для любых булевых функций f и a ∈ Z^п
₂ преобразование лежит в диапазоне

${\displaystyle -2^{n}\leq {\hat {f}}(a)\leq 2^{n}.}$

Более того, линейная функция f ₀ ( x ) = a · x и аффинная функция f ₁ ( x ) = a · x + 1 соответствуют двум крайним случаям, поскольку

${\displaystyle {\hat {f}}_{0}(a)=2^{n},~{\hat {f}}_{1}(a)=-2^{n}.}$

Таким образом, для каждого a ∈ Z^п
₂значение характеризует, где функция f ( x ) лежит в диапазоне от f ₀ ( x ) до f ₁ ( x ).${\displaystyle {\hat {f}}(a)}$

Определение и свойства [ править ]

Ротхаус определил бент-функцию как булеву функцию , преобразование Уолша которой имеет постоянное абсолютное значение . Бент-функции в некотором смысле равноудалены от всех аффинных функций, поэтому их одинаково трудно аппроксимировать любой аффинной функцией.${\displaystyle f:\mathbb {Z} _{2}^{n}\to \mathbb {Z} _{2}}$

Простейшими примерами бент-функций, записанных в алгебраической нормальной форме , являются F ( x ₁ , x ₂ ) = x ₁ x ₂ и G ( x ₁ , x ₂ , x ₃ , x ₄ ) = x ₁ x ₂ ⊕ x _3. х ₄ . Этот шаблон продолжается: x ₁ x ₂ ⊕ x ₃ x ₄ ⊕… ⊕ x _n-1 х _п является бентфункциядля каждого четного п , но существует большое разнообразие других изогнутых функций как п возрастает. ^[4] Последовательность значений (−1) ^{f ( x )} , где x ∈ Z${\displaystyle \mathbb {Z} _{2}^{n}\to \mathbb {Z} _{2}}$^п
₂взятые в лексикографическом порядке , называются изогнутой последовательностью ; бент-функции и бент-последовательности обладают эквивалентными свойствами. В этой форме ± 1 преобразование Уолша легко вычисляется как

${\displaystyle {\hat {f}}(a)=W\left(2^{n}\right)(-1)^{f(a)},}$

где W (2 ⁿ ) - это естественно упорядоченная матрица Уолша, а последовательность рассматривается как вектор-столбец . ^[5]

Ротхаус доказал, что бент-функции существуют только для четных n , а для бент-функции f - для всех a ∈ Z${\displaystyle \left|{\hat {f}}(a)\right|=2^{\frac {n}{2}}}$^п
₂. ^[3] Фактически , где g также изогнута. В этом случае, поэтому f и g считаются двойственными функциями. ^[5]${\displaystyle {\hat {f}}(a)=2^{\frac {n}{2}}(-1)^{g(a)}}$${\displaystyle {\hat {g}}(a)=2^{\frac {n}{2}}(-1)^{f(a)}}$

Каждая согнута функция имеет вес Хэмминга (число раз , он принимает значение 1) 2 ^{н -1} ± 2 ^{п / ₂ -1} , а на самом деле согласуется с любой аффинной функцией на одном из этих двух чисел точек. Таким образом, нелинейность из F (минимальное количество раз , она равна любой аффинная функция) 2 ^{п -1} - 2 ^{л / ₂ -1} , максимально возможной. И наоборот, любая булева функция с нелинейностью 2 ^{п -1} - 2 ^{л / ₂ -1} изогнут.^[3] степени из F в алгебраической нормальной форме (называется нелинейным порядка из F ) не более ^{чем п} / ₂ (для п > 2 ). ^[4]

Хотя бент-функции исчезающе редки среди булевых функций многих переменных, они бывают самых разных видов. Там было детальное исследование в специальные классы бент - функций, таких как однородных из них ^[6] или, вытекающие из одночлена над конечным полем , ^[7] , но до сих пор загнутые функции были нарушены все попытки полного перечисления или классификации .

Конструкции [ править ]

Есть несколько типов конструкций для бент-функций. ^[2]

• Комбинаторные конструкции: итерационные конструкции, конструкция Майорана – МакФарланда, частичные спреды, бент-функции Диллона и Доббертина, бент-функции minterm, бент-итерационные функции.
• Алгебраические конструкции: мономиальные бент-функции с показателями Голда, Диллона, Касами, Канто – Леандра и Канто – Шарпена – Куйрегяна; Бент-функции Niho и т. Д.

Приложения [ править ]

Уже в 1982 году было обнаружено , что максимальные последовательности длины на основе гнутых функций имеют кросс-корреляции и автокорреляции свойств соперничать тех из золотых кодов и кодов Касами для использования в CDMA . ^[8] Эти последовательности имеют несколько применений в методах расширения спектра .

Свойства бент-функций, естественно, представляют интерес для современной цифровой криптографии , которая стремится скрыть отношения между вводом и выводом. К 1988 году Форре признал, что преобразование Уолша функции может использоваться, чтобы показать, что оно удовлетворяет строгому критерию лавины (SAC) и обобщениям более высокого порядка, и рекомендовал этот инструмент для отбора кандидатов в хорошие S-блоки, обеспечивающие почти идеальную диффузию . ^[9] Действительно, функции, удовлетворяющие SAC до наивысшего возможного порядка, всегда изогнуты. ^[10] Кроме того, бент-функции по возможности далеки от того, что называется линейной структурой , ненулевыми векторами a такими, что f( x + a ) + f ( x ) - постоянная величина. На языке дифференциального криптоанализа (введенного после открытия этого свойства) производная бент-функции f в каждой ненулевой точке a (то есть f _a ( x ) = f ( x + a ) + f ( x )) есть сбалансированная логическая функция, принимающая каждое значение ровно в половине случаев. Это свойство называется совершенной нелинейностью . ^[4]

При таких хороших диффузионных свойствах, очевидно совершенном сопротивлении дифференциальному криптоанализу и устойчивости по определению к линейному криптоанализу , бент-функции на первый взгляд могут показаться идеальным выбором для безопасных криптографических функций, таких как S-блоки. Их фатальный недостаток в том, что они не сбалансированы. В частности, обратимый S-блок не может быть построен непосредственно из бент-функций, а поточный шифр, использующий бент-комбинирующую функцию, уязвим для корреляционной атаки . Вместо этого можно начать с изогнутой функции и случайным образом дополнять соответствующие значения до тех пор, пока результат не будет сбалансирован. Модифицированная функция по-прежнему имеет высокую нелинейность, и, поскольку такие функции очень редки, процесс должен быть намного быстрее, чем поиск методом грубой силы. ^[4]Но функции, созданные таким образом, могут потерять другие желаемые свойства, даже не удовлетворяя SAC, поэтому необходимо тщательное тестирование. ^[10] Ряд криптографов работали над методами генерации сбалансированных функций, которые сохраняют как можно больше хороших криптографических качеств бент-функций. ^{[11] [12] [13]}

Некоторые из этих теоретических исследований были включены в реальные криптографические алгоритмы. Процедура проектирования CAST , используемая Карлайлом Адамсом и Стаффордом Таваресом для построения S-блоков для блочных шифров CAST-128 и CAST-256 , использует бент-функции. ^[13] криптографической хэш - функция HAVAL использует булевы функции , построенные из представителей всех четырех классов эквивалентности бент - функций от шести переменных. ^[14] Потоковый шифр Grain использует NLFSR.полином нелинейной обратной связи которого по замыслу является суммой бент-функции и линейной функции. ^[15]

Обобщения [ править ]

В монографии Токаревой 2015 г. описано более 25 различных обобщений бент-функций. ^[2] Существуют алгебраические обобщения ( q -значные бент-функции, p-арные бент-функции, бент-функции над конечным полем, обобщенные булевы бент-функции Шмидта, бент-функции из конечной абелевой группы в множество комплексных чисел на единичной окружности, бент-функции из конечной абелевой группы в конечную абелеву группу, неабелевы бент-функции, векторные G-бент-функции, многомерные бент-функции на конечной абелевой группе), комбинаторные обобщения (симметричные бент-функции, однородные бент-функции, симметричные вращению бент-функции, нормальные бент-функции, самодуальные и антисамостоятельные дуальные бент-функции, частично определенные бент-функции, плато-функции, Z-бент-функции и квантовые бент-функции) и криптографические обобщения (полубент-функции, сбалансированные бент-функции, частично бент-функции, гипербент-функции, бент-функции более высокого порядка,k -бент-функции).

Наиболее распространенным классом обобщенных бент-функций является тип mod m , такой что${\displaystyle f:\mathbb {Z} _{m}^{n}\to \mathbb {Z} _{m}}$

${\displaystyle {\hat {f}}(a)=\sum _{x\in \mathbb {Z} _{m}^{n}}e^{{\frac {2\pi i}{m}}(f(x)-a\cdot x)}}$

имеет постоянное абсолютное значение m ^{n / 2} . Совершенные нелинейные функции , такие, что для всех ненулевых a , f ( x + a ) - f ( a ) принимает каждое значение m ^{n - 1} раз, обобщенно изогнуты. Если т является простой , верно и обратное. В большинстве случаев рассматриваются только простые числа m . Для нечетного простого числа m существуют обобщенные бент-функции для любого положительного n , четного и нечетного. Они обладают многими из тех же хороших криптографических свойств, что и двоичные бент-функции.${\displaystyle f:\mathbb {Z} _{m}^{n}\to \mathbb {Z} _{m}}$^{[16] [17]}

Полубент-функции - это нечетный аналог бент-функций. Полу-согнуты функция с п нечетно, таким образом, что принимает только значения 0 и т ^{( п + 1) / 2} . Также они обладают хорошими криптографическими характеристиками, причем некоторые из них сбалансированы, одинаково часто принимая все возможные значения. ^[18]${\displaystyle f:\mathbb {Z} _{m}^{n}\to \mathbb {Z} _{m}}$${\displaystyle \left|{\hat {f}}\right|}$

В частично согнуты функции образуют большой класс , определяемый условием на преобразование Уолша и функции автокорреляции. Все аффинные и бент-функции частично изогнуты. Это, в свою очередь, надлежащий подкласс плато функций . ^[19]

Идея гипербент-функций состоит в том, чтобы максимизировать минимальное расстояние до всех булевых функций, происходящих от биективных одночленов на конечном поле GF (2 ⁿ ), а не только от аффинных функций. Для этих функций это расстояние постоянно, что может сделать их устойчивыми к атакам интерполяции .

Другие связанные имена были даны криптографически важным классам функций , таким как почти изогнутые функции и кривые функции . Хотя сами по себе бент-функции не являются (это даже не булевы функции), они тесно связаны с бент-функциями и обладают хорошими свойствами нелинейности.${\displaystyle f:\mathbb {Z} _{2}^{n}\to \mathbb {Z} _{2}^{n}}$

Ссылки [ править ]

Дальнейшее чтение [ править ]

• К. Карлет (май 1993 г.). Два новых класса бент-функций . Еврокрипт '93. С. 77–101.
• Дж. Себери; X. Чжан (март 1994 г.). «Конструкции бент-функций по двум известным бент-функциям». Австралазийский журнал комбинаторики . 9 : 21–35. CiteSeerX  10.1.1.55.531 . ISSN  1034-4942 .
• Т. Нойман (май 2006 г.). «Бент-функции». CiteSeerX  10.1.1.85.8731 . Cite journal requires |journal= (help)
• Колборн, Чарльз Дж .; Диниц, Джеффри Х. (2006). Справочник комбинаторных конструкций (2-е изд.). CRC Press . С.  337–339 . ISBN 978-1-58488-506-1.
• Cusick, TW; Станица, П. (2009). Криптографические логические функции и приложения . Академическая пресса. ISBN 9780123748904.