Глава 4

Криптографические свойства нелинейных

отображений

4.1. Алгебраические характеристики нелинейности

Рассматриваемое преобразование

Рассмотрим отображение:

ϕ : P (n) −→ P (m)

P – поле порядка k, при этом ϕ задано системой



 {f1(x1, . . . , xn), . . . , fm(x1, . . . , xn)}



 y1 = f1(x1, . . . , xn)



y = f2(x1, . . . , xn)

 ...



 ym = fm(x1, . . . , xn)

(x1, . . . , xn) и (y1, . . . , ym) элементы поля P .

Перемешивающие свойства отображения ϕ определяются системой

[S(f1), S(f2), . . . , S(fm)]

(4.1)

(4.2)

(4.3)

множество номеров существенных переменных функции fj (x1, . . . , xn), j = 1, 2, . . . , m.

Линейные, аффинные и нелинейные преобразования

Определение. Отображение ϕ называется линейным, если для любых x, y ∈ P (n) и любых a, b ∈ P выполняется:

ϕ(ax + by) = aϕ(x) + bϕ(y)

Определение. Отображение ϕ∗ называется аффинным, если

ϕ∗(x) = ϕ(x) + a ∀x ∈ P (n)

ϕ линейное отображение

a ∈ P (m)

Определение. Преобразование, отличное от аффинного, называется нелинейным.

Совершенные преобразования

M1, . . . , Mn → 1, . . . , n сообщения

(4.4)

(4.5)

E1, . . . , Em → 1, . . . , n криптограммы

Пусть используется n ключей.

Совершенные преобразования, в которых число сообщений равно

числу криптограмм характеризуются следующим:

· каждое M связано с каждым E только одной линией

· все ключи равновероятны

Другая формулировка совершенности:

Говорят, что отображение ϕ совершенное, или ϕ осуществляет полное

M5

M4

M3

M2

M1

E5

E4

E3

E2

E1

перемешивание, если S(fj ) = 1, 2, . . . , n ∀j = 1, 2, . . . , m

Рис. 5. Совершенные преобразования

Строгий лавинный критерий (усиление свойства совершенности)

Определение. Отображение ϕ : X → Y , где X, Y – конечные множества, называется сбалансированным, если

число прообразов элемента y ∈ Y относительно ϕ одинаково для всех y.

Определение. Отображение ϕ удоволетворяет строгому лавинному критерию (СЛК), если каждая координатная

функция отображения ϕ(x) − ϕ(x + ei) является сбалансированной, где ei - единичный вектор. Если P = GF (2), то

для отображения ϕ, удоволетворяющего СЛК ∀i = 1, 2, . . . , n выполнено равенство:







 2







S(fj )

4.1. Алгебраические характеристики нелинейности

(ϕ(x) ⊕ ϕ(x ⊕ ei)) = (2n−1, . . . , 2n−1)

(4.6)

x∈Vn

СЛК порядка r

Определение. Отображение ϕ удоволетворяет СЛК порядка r, если подфункция каждой координатной функции

отображения ϕ, полученная любой фиксацией любых r переменных, 0 ≤ r < n, удоволетворяет СЛК.

Очевидно, чем больше r, тем жестче критерий перемешивающих свойств отображения.

СЛК и нелинейность

Утверждение. Если отображение ϕ удоволетворяет СЛК, то каждая его функция нелинейно зависит от каждой

переменной.

Доказательство.

Не уменьшая общности рассмотрим зависимость координат функции f1(x1, x2, . . . , xn) отображения ϕ от перемен-

ной x1.

Если x1 ∈ S(f1), то выполнено тождество f1(x) − f1(x + e1) ≡ 0 и, следовательно, отображение ϕ не удовлетворяет

СЛК.

Если f1(x1, x2, . . . , xn) зависит от x1 линейно, то есть

f1(x1, x2, . . . , xn) = a · x1 + ψ(x2, . . . , xn)

(4.7)

a ненулевой элемент поля P

ψ : P (n−1) → P

тогда f1(x) − f1(x + e1) ≡ −a и, следовательно, отображение ϕ не удовлетворяет СЛК.

Алгебраические свойства нелинейности

Определение. Степенью нелинейности отображения ϕ (обозначается deg ϕ) называется наибольшая из степеней

нелинейности его координатных функций:

deg ϕ =

max

i∈{1,2,...,m}

{deg fi(x1, x2, . . . , xn)}

(4.8)

Определение. Отображение называется сильно нелинейным, если нелинейными являются все его координатные

функции.

Определение. Отображение ϕ аффинно на множестве X, где X ⊂ P (n), если найдется аффинное отображение

ψ : ϕ(x) = ψ(x) ∀x ∈ X.

Определение. Разбиение множества P (n) с системой блоков (X1, X2, . . . , Xr ) назовем линеаризующим отображе-

ние ϕ, если ϕ аффинно на каждом из множеств. Число r назовем порядком разбиения множества P (n).

Определение. Порядком аффинности отображения ϕ (обозначим его через ard ϕ) назовем наименьший из по-

рядков разбиений множества P (n), линеаризующих отображение ϕ.

Характеристическая функция

Определение. Характеристическая функция множества X, где X ⊂ P (n), назовем функцию fX (x1, . . . , xn), опре-

деленную на множестве P (n) следующим образом:

fX (x1, . . . , xn) =

1, (x1, . . . , xn) ∈ X

0, (x1, . . . , xn) ∈ X

(4.9)

Теорема. Если (X1, X2, . . . , Xr ) – система блоков разбиения множества P (n), линеаризующего отображение ϕ, то

deg ϕ ≤ 1 +

max

i∈{1,2,...,r}

{deg fXi (x1, . . . , xn)}

(4.10)

Оценка степени нелинейности

Теорема. Пусть ϕ – биективное преобразование множества Vn, n > 1. Тогда deg ϕ ≤ n − 1.

Теорема. Если ϕ обратимо и deg ϕ = d, то верны точные оценки:

n − 1

n − d

≤ deg ϕ−1 ≤ n −

n − 1

d

(4.11)

/

/

15

4. Криптографические свойства нелинейных отображений

Линейный синдром при итерациях

Последовательности Φ = ϕ, ϕ2, . . . , ϕi, . . . степеней преобразования множества P (n) соответствует последователь-

ность Dϕ степеней нелинейности Dϕ = deg ϕ, deg ϕ2, . . . , deg ϕi, . . ..

Если ϕ биективно, то последовательность Φ – чисто периодическая с периодом tϕ и Dϕ также чисто периодическая

последовательность с периодом t, где t/tϕ. При этом deg ϕ2 = 1, так как deg ϕt = deg ϕtϕ = deg e, где e – тождественное

преобразование.

Определение. Линейным синдромом биективного нелинейного преобразования ϕ назовем наличие в циклической

группе < ϕ > аффинных преобразований, отличных от тождественного.

Если нелинейное преобразование ϕ имеет линейный синдром, то в последовательности Φ содержатся аффинные

.

преобразования, не считая преобразований ϕi при i.tϕ.

Определение. Показателем аффинности (показателем линейности) преобразования ϕ называется наименьшее

натуральное число r, при котором преобразование ϕr аффинно (линейно). Обозначим эти величины axpϕ и lxpϕ

соответственно.

Теорема. Для любого биективного преобразования ϕ:

1. axpϕ/tϕ, lxpϕ/tϕ, axpϕ/lxpϕ

2. преобразование ϕr аффинно (линейно) тогода и только тогда, когда axpϕ/r(lxpϕ/r).

Следствие. Если период tϕ нелинейного биективного преобразования ϕ простое число, то ϕ не имеет линейного

синдрома.

Приближение нелинейных отображений

Пусть f и g – булевы функции от n переменных.

Определение. Функцию g можно рассматривать как приближение функции f . В качестве меры близости будем

использовать расстояние по Хэммингу между их таблицами.

Определение. Расстоянием от функции f до множества A(n) называется нелинейностью функции f , где A(n)

множество аффинных функций.

16