Об инвариантных подпространствах функций, аффинно эквивалентных обращению элементов конечного поля | Прикладная дискретная математика. Приложение. 2022. № 15. DOI: 10.17223/2226308X/15/1

Об инвариантных подпространствах функций, аффинно эквивалентных обращению элементов конечного поля

Рассматриваются аффинные подпространства над F_p конечного поля F_pn, p - простое, образ которых под действием функции x^-1, обращающей элемент x поля (считаем, что 0^-1 = 0), также является аффинным подпространством. Доказано, что образ аффинного подпространства U , |U | > 2, является аффинным подпространством, если и только если U = qF_pk, где q G Fpn и k|n. Другими словами, все такие подпространства выражаются через подполя поля F_pn. В качестве следствия предложено достаточное условие, при котором функция A(x^-1) + b не имеет инвариантных аффинных подпространств U мощности 2 < |U| < pⁿ, где A : F_pn F_pn - обратимое линейное преобразование, b G Fpn. Приведены примеры функции, у которых, исключая само F_pn, отсутствуют инвариантные аффинные подпространства.

Invariant subspaces of functions affine equivalent to the finite field inversion.pdf В работе рассматриваются аффинные подпространства, образ которых под действием функции, обращающей элементы конечного поля, также является аффинным подпространством. Обозначим эту функцию через а, т.е. а : Fpn Fpn, такая, что x-1, если x = 0, а(х) = < 0, если x = 0, где Fpn -конечное поле, состоящее из pn элементов. Здесь и далее p - простое число. Под линейным подпространством L поля Fpn мы подразумеваем его линейное подпространство над Fp, другими словами, аддитивную подгруппу Fpn. Через a+L обозначим аффинное подпространство. Отметим, что для любого множества S С Fpn, элемента a G Fpn и функции f : Fpn Fpn a+S = {a+s : s G S}, aS = {as : s G S} и f(S) = {f(s) : s GS}. Известно, что у Fpn существует подполе Fpk тогда и только тогда, когда k|n. В этом случае будем полагать, что Fpk С Fpn. Рассмотрим аффинные подпространства U С Fpn, такие, что a(U) также является аффинным подпространством. Выделим нетривиальные подпространства, такие, что 2 < |U | < pn , поскольку любое множество мощности 1, 2 (если p = 2) или pn является аффинным подпространством. Интерес к этим подпространствам обусловлен их связью с инвариантными подпространствами отображений. Знание всех таких U позволяет определить все инвариантные аффинные подпространства относительно функций, аффинно эквивалентных а. Напомним, что множество S С Fpn называется инвариантным относительно f, если f (S) С S. Функция а, на базе которой построен S-блок AES [1, 2], а также её инвариантные подпространства интересны в криптографическом контексте. Например, они использовались для исследования групповых свойств раундовых функций у AES-подобных шифров [3 - 5]. В [6] предложена атака, использующая инвариантное подпространство для нескольких раундов шифрования, которая к настоящему времени рассмотрена для многих схем [7]. Известна также более общая атака [8], построение которой можно начинать с S-блоков [9]. Отметим, что все линейные подпространства, являющиеся инвариантными относительно а, описаны в работах [10, 11]. Таким образом, мы обобщаем эти результаты, во-первых, на аффинные подпространства и, во-вторых, на подпространства, являющиеся инвариантными не для а, а для некоторой функции, аффинно эквивалентной а. Если f(U) не является аффинным подпространством для любого аффинного подпространства U С F2n размерности 2, то f принадлежит к классу APN-функций [12], имеющих большую криптографическую значимость. Более того, только APN-функции обладают этим свойством. С ними связано множество открытых вопросов [13]. Сначала покажем, что для функции а достаточно рассматривать только линейные подпространства. Теорема 1. Пусть U и a(U) - аффинные подпространства Fpn, |U| > 2. Тогда U является линейным подпространством Fpn. Следующая теорема описывает все искомые подпространства U. Теорема 2. Пусть U - аффинное подпространство Fpn, |U| > 2. Тогда a(U) является аффинным подпространством Fpn, если и только если U = qFpk, где k|n и q G Fpn. Доказательство теоремы использует тождество Хуа [14] аналогично рассмотренному в [10, 11] случаю линейных подпространств, инвариантных относительно а. Теорема 2 также показывает, что при простых n > 2 существуют APN-функции, такие, что образ нетривиального аффинного подпространства (любой размерности, а не только размерности 2) никогда не является аффинным подпространством. Покажем, что теоремы 1 и 2 позволяют построить с помощью а функции без нетривиальных инвариантных подпространств, имеющие вид аА,ь (x) = A(a(x)) + b, где A : Fpn Fpn -обратимая линейная функция; b G F*n и x G Fpn. Рассматривая линейные отображения, мы, аналогично подпространствам, подразумеваем, что Fpn является векторным пространством над полем Fp. Определим также подмножество поля S(Fpn) = {x G Fpn : x G/ Fpk, где k|n и k < n}. Другими словами, оно содержит все элементы Fpn, не лежащие в его подполях, и всегда является непустым. Теорема 3. Пусть A : Fpn Fpn -обратима и линейна, b G F*n, причём b 1^A,b(b) G S(Fpn). (1) Тогда не существует инвариантных аффинных подпространств U относительно ра,ь, таких, что 2 < |U| < pn. Даже если ^а,ь не удовлетворяет условию (1), можно привести её к нужному виду. Следствие 1. Пусть A : Fpn Fpn -обратима и линейна, b G Fpn. Определим функцию A : Fpn Fpn следующим образом: A'(x) = авА(х), где а G S(Fpn) и в = (b-1A(b-1))-1. Тогда функция ^ах,6 удовлетворяет условию (1). Отметим, что S-блок SAES шифра AES, имеющий вид ида в поле F28, удовлетворяет условию (1) теоремы 3. Тем не менее существует аффинное подпространство размерности 1, инвариантное относительно SAES [1, табл. 7]: SAES(0x73) = 0x8F и SAES(0x8F) = 0x73. Таким образом, утверждения выше не гарантируют отсутствия инвариантных подпространств U, где 1 С |U| С 2. В дополнение к примеру выше, функция вида &а,ь может удовлетворять условию (1), но при этом иметь неподвижные точки (т. е. инвариантные аффинные подпространства размерности 0). Следующая теорема гарантирует существование функций, единственным инвариантным подпространством которых является Fpn. Теорема 4. Пусть aa,b(x) = aa(x) + b, где a, b G Fpn, x G Fpn. Тогда aa,b не имеет инвариантных аффинных подпространств, кроме Fpn, если и только если - ab-2 G M2 при p =2, где M2 = {x G S(F2n) : tr(x) = 1}, tr(x) = x2 + x2 + . . . + x2 - ; (2) - ab-2 + 4-1 G Mp при p =2, где Mp = {x G S(Fpn) : x = y2 для любого y G Fpn}. (3) Множества Mp, определённые в (2) и (3), всегда непустые. Однако функции аа,ь из теоремы 4 имеют очень простую алгебраическую структуру. Заметим также, что при непростых n всегда существует некоторое линейное подпространство L = Fpn, такое, что aa,b(u + L) = v + L для некоторых u, v G Fpn.

Скачать электронную версию публикации

Загружен, раз: 26

Ключевые слова

конечные поля, обратный элемент, аффинные подпространства, инвариантные подпространства, конечные поля, обратный элемент, аффинные подпространства, инвариантные подпространства

Авторы

ФИО	Организация	Дополнительно	E-mail
Коломеец Николай Александрович	Институт математики им. С. Л. Соболева СО РАН	кандидат физико-математических наук, научный сотрудник	kolomeec@math.nsc.ru
Быков Денис Александрович	Институт математики им. С. Л. Соболева СО РАН; Новосибирский государственный университет	лаборант; студент	den.bykov.2000i@gmail.com

Всего: 2

Ссылки

http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf. FIPS Publ. 197. Advanced Encryption Standard. 2001.

Daemen J. and Rijmen V. The Design of Rijndael: AES - the Advanced Encryption Standard. Springer Verlag, 2002.

Caranti A., Volta F., and Sala M. Imprimitive permutations groups generated by the round functions of key-alternating block ciphers and truncated differential cryptanalysis. https: //arxiv.org/abs/math/0606022. 2006.

Caranti A., Volta F., and Sala M. An application of the O'Nan-Scott theorem to the group generated by the round functions of an AES-like cipher // Des. Codes Cryptogr. 2009. V. 52. P.293-301.

Caranti A., Volta F., and Sala M. On some block ciphers and imprimitive groups // Appl. Algebra Eng.Commun.Comput. 2009. V. 20. P. 339-350.

Leander G., Abdelraheem M. A., AlKhzaimi H., and Zenner E. A cryptanalysis of PRINTcipher: The invariant subspace attack // LNCS. 2011. V. 6841. P. 206-221.

Трифонов Д. И., Фомин Д. Б. Об инвариантных подпространствах в XSL-шифрах // Прикладная дискретная математика. 2021. № 54. C 58-76.

Todo Y., Leander G., and Sasaki Y. Nonlinear invariant attack: practical attack on full SCREAM, iSCREAM, and Midori64 // ASIACRYPT 2016. LNCS. 2016. V. 10032. P. 3-33.

Буров Д. А. О существовании нелинейных инвариантов специального вида для раундовых преобразований XSL-алгоритмов // Дискретная математика. 2021. Т. 33. №2. C. 31-45.

Mattarei S. Inverse-closed additive subgroups of fields // Israel J. Math. 2007. V. 159. P. 343-347.

Goldstein D., Guralnick R., Small L., and Zelmanov E. Inversion-invariant additive subgroups of division rings // Pacific J. Math. 2006. V. 227. P. 287-294.

Nyberg K. Differentially uniform mappings for cryptography // LNCS. 1994. V. 765. P. 55-64.

Carlet С. Open questions on nonlinearity and on APN Functions // LNCS. 2015. V. 9061. P. 83-107.

Hua L.-K. Some properties of a sfield // Proc. NAS USA. 1949. V. 35. P. 533-537.