Важнейшей характеристикой КФ является Хэммингово расстояние её строки истинности от всех линейных и аффинных функций
Линейные |
Аффинные |
функции |
функции |
|
|
Криптографические функции
48
Значения линейных и аффинных функций в P2(2)
h0 |
g0 |
h1 |
g1 |
h2 |
g2 |
h3 |
g3 |
|
|
|
|
|
|
|
|
0 |
1 |
0 |
1 |
0 |
1 |
0 |
1 |
|
|
|
|
|
|
|
|
0 |
1 |
1 |
0 |
0 |
1 |
1 |
0 |
|
|
|
|
|
|
|
|
0 |
1 |
0 |
1 |
1 |
0 |
1 |
0 |
|
|
|
|
|
|
|
|
0 |
1 |
1 |
0 |
1 |
0 |
0 |
1 |
|
|
|
|
|
|
|
|
49
3. Геометрический смысл коэффициентов преобразования Уолша
Для любого значения i
dist(hi, gi) = 2n
Получаем, что максимальное расстояние от произвольной функции
f (x) до пары (hi, gi) не превышает 2n-1 Выберем пару, например h0, g0. Коэффициент Уолша wl0, будет равен
wl0 = σ0 - 0 = 3 – 1 = 2
\f (x) |
h0 |
g0 |
1 |
0 |
1 |
0 |
0 |
1 |
0 |
0 |
1 |
0 |
0 |
1 |
|
1 |
- |
σi |
- |
3 |
wli |
- |
2 |
50
3. Геометрический смысл коэффициентов преобразования Уолша
|
h 0 g 0 |
|
h 1 g 1 |
|
h 2 g 2 |
|
|
h 3 g 3 |
|||||||||||||||||
|
0 |
|
1 |
|
0 |
|
|
1 |
|
0 |
|
|
1 |
|
|
0 |
|
|
|
1 |
|
|
|||
|
0 |
|
1 |
|
1 |
|
|
0 |
|
0 |
|
|
1 |
|
|
1 |
|
|
|
0 |
|
|
|||
|
0 |
|
1 |
|
0 |
|
|
1 |
|
1 |
|
|
0 |
|
|
1 |
|
|
|
0 |
|
|
|||
0 |
1 |
1 |
|
|
0 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
1 |
\f (x)0 |
|
h0 |
|
0 |
g0 |
1 |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
1 |
0 |
|
|
1 |
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
0 |
0 |
|
|
1 |
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
0 |
0 |
|
|
1 |
|
|
wl 3(f ) = -2 |
|||||
wl 0(f ) = 2 |
|
|
|
|
|
|
|
|
|
|
|
0 |
0 |
|
|
1 |
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
|
|
- |
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
σi |
- |
|
|
3 |
|
|
|
|||
|
|
|
|
|
|
|
f |
= (1 0 0 |
|
0) wli |
- |
|
|
2 |
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
51
Он показывает значение расстояния Хемминга до максимально возможного, равного в данном случае 2.
А расстояние от f (x) до пары (h0, g0) определяется по формуле
dist(f, (h0, g0) ) = 2n-1- 0,5 wl0.
Наборов (hi, gi) всего 2n , а значит число коэффициентов в спектре Уолша тоже 2n .
52
Из (3.31) видно, что если определяет некоторую ошибку в
исходном векторе x , то вероятность совпадения сопряженных БФ, вычисленных для исходного и искаженного векторов, будет тем более
близка к 12 , чем меньше величина R (значение автокорреляционной
функции).Поэтому можно ожидать, что чем ближе к нулю значения АКФ БФ для всех векторов 0, тем больше будет стойкость шифра, использующего
S-блоки с данными БФ, кразностному криптоанализу.
Можно показать, что устойчивость шифра к линейномукриптоанализу будет тем больше, чем больше нелинейность векторных БФ, описывающих S-блоки, входящие в состав этого шифра.
Для оценки устойчивости к другим статистическим методам криптоанализа оказываются полезными следующие дополнительные свойства БФ.
53
Определение 3.1.10. Булева функция f x называется сбалансированной, если ее таблица истинности содержит равное число 0 и
1 (это число равно |
2n 1 для |
БФ f x |
порядка n ).В терминах ПУА |
|
сбалансированная |
булева |
функция |
определяется |
следующим |
соотношением: U0 ( f ) 2n 1 или U0 ( f ) 0 .
Определение 3.1.11. Булева функция f x порядка n называется
корреляционно нечувствительной (корреляционно иммунной) степени l n , если U ( f ) 0, для всех веса Хэмминга от 1 до l .
Наличие корреляционно нечувствительной степени l означает, что если на вход булевой функции подаются равновероятные и независимые
двоичные символы, то значение БФ Y f x будет статически
независимым от любого набора, состоящего не более чем изl компонент входного аргумента x .
Определенные выше свойства БФ широко использовались в исследованиях по разработке S-блоков, обеспечивающих стойкость шифра к различным методам криптоанализа. Применительно к линейному и разностному криптоанализу были получены результаты, позволяющие достаточно строго оптимизировать построение S-блоков и структуры всего шифра. Однако для того чтобы их изложить, нам потребуется развить некоторый дополнительный математический аппарат («Теорию конечных полей»), который будет также эффективно использован и в других разделах курса («Потоковые шифры» и «Аутентификация сообщений»), а также во второй части книги («Основы криптографии с открытым ключом»).
54