Application aux fonctions booléennes

5.3 Application aux fonctions booléennes

Soitp≥2un entier. On noteF^pl’anneau(Z/pZ,+, .)introduit dans le cours d’algèbre [4]. Formellement, les éléments deZ/pZsont les parties deZde la formem:=m+pZ, de sorte quem =nsi et seulement sim ≡nmod(p), c’est à dire si et seulement sim−n

5.3. APPLICATION AUX FONCTIONS BOOLÉENNES 51

est divisible parp.On munitZ/pZdes opérations suivantes,metndésignant deux entiers relatifs quelconques.

m+n =m+n, m.n =mn (5.8)

En pratiqueZ/pZ = {0, ..., p−1}, m +n = rm+n, où rm+n, désigne le reste de la division de m+n par p, et m.n = rmn, où rmn, désigne le reste de la division de mn parp.Muni de ces deux opérations,F^p := Z/pZest un anneau, voir le Chapitre 1 de [4].

Notons également que si pest premier, alorsF^p est un corps, ce qui permet de munir F^kp

d’une structure d’espace vectoriel surF^p pourk ≥1.

On va maintenant restreindre l’attention àF².Notons que sim, n ∈Z,et sim−nest divisible par 2, alors(−1)^m = (−1)ⁿ.On peut donc poser(−1)^m =−1^m pourm ∈ Z,et on a(−1)^a+b = (−1)^a(−1)^b poura, b∈F².

Definition 5.3.1. Une fonction booléenne d’ordre k est une application f : F^k2 → F². L’ensemble des fonctions booléennes d’ordrek sera notéBk.Pour f, g ∈ Bk, u ∈ F²,on définituf, f +g etf gpar les formules

(uf)(x) = uf(x), (f +g)(x) = f(x) +g(x), (f g)(x) = f(x)g(x) ∀x∈F^k2. D’autre part on poseXi(x) = xi, pourx = [x0, ..., xk−1] ∈ Fⁿ2, 0 ≤ i ≤ k−1.Les fonctions de la formeXS := Πi∈SXi,oùS ⊂ {0, ..., k−1} sont appelées desmonômes (on pose par conventionX_∅(x) = 1, avec la notation usuelleu(x) =upour toutx∈F^k2 si u∈F²).

Il est clair que, muni des opérations ci-dessus,Bk est un anneau, et queX_i² = Xi pour 0 ≤i≤k−1.. C’est également un espace vectoriel surF2.Notons que le produit de deux monômes est également un monôme.

Proposition 5.3.2. La dimension deB^kest égale à2^k,et l’ensembleM^kdes monômes est une base deB^k.

Démonstration : Il est clair queF^k2 possède2^k éléments, doncBk est isomorphe àF²2^k

et dim(Bk) = 2^k (une base "canonique" de Bk est donnée par la famille {δx}x∈F^k2, où δ_x(x) = 1etδ_x(y) = 0pourx+=y). On considère bien entendu la fonctionX_∅ = 1comme un monôme, de sorte que la familleM^k={XS}^S⊂Fⁿ₂ des monômes possède2^kéléments.

Soit{λS}S⊂F^k2 une famille d’éléments deF²,et supposons qu’il existeS0 ⊂F^k2 tel que λS0 += 0.CommeS0 est fini il existe un sous-ensembleS1 deS0 tel queλS1 += 0et tel que λS = 0 pour tout sous-ensembleS deF^2k strictement inclus dansS1.Posonsu(x) = 1si x∈S1etu(x) = 0six /∈S1(de sorte queu= 0siS1 =∅etu= 1siS1 =F^k2). Il est clair queXS(u) = 0siS n’est pas inclus dansS1,et il résulte du choix deS1 queλS = 0siS est strictement inclus dansS₁.CommeX_S1(u) = 1on a

; $

S⊂F^k2

λ_SX_S

<

(u) = λ_S1 += 0,et

52 CHAPITRE 5. TRANSFORMÉE DE WALSH

$

S⊂F^k2

λSXS += 0.Ceci montre queMkest libre. Comme le nombre d’éléments de Mk est égal à la dimension deB^k,on voit queM^kest une base de deB^k.♣

Definition 5.3.3. (i) On dit que f ∈ Bk est unefonction affine d’ordre k s’il existea = (a0, ..., ak−1)∈F^k2 etb∈F² tels que l’on ait

f(x) =

k−1

!

j=0

ajxj +b ∀x= (x0, ..., xk−1)∈B^k, (5.9) et dans ce cas on posef =fa,b.

(ii) Pourg, h ∈B^k,on pose

d(g, h) = Card*3

x∈F^k2 |g(x)+=h(x)4+

. (iii) Pourg ∈Bk,on pose

d(g,Ak) = min{d(f, g)|f ∈Ak}, oùAkdésigne l’ensemble des fonctions affines d’ordrek.

Les fonctions booléennes jouent un role important en cryptographie, et il est important de pouvoir utiliser dans ce domaine des fonctions booléennes aussi éloignées que possible des fonctions affines. On va établir une formule qui permet d’évaluer la "distance" d’une fonction booléenne aux fonctions affines au moyen de la transformée de Walsh. On va commencer par établir deux résultats techniques concernant la transformée de Walsh.

Lemme 5.3.4. On a, pourf ∈C^2k

2!^k−1 p=0

|W^k(f)(p)|² = 2^k

2!^k−1 p=0

|f(p)|² (5.10)

Démonstration : On verra plus loin qu’il s’agit en fait d’un cas particulier de la formule de Plancherel-Parseval, mais on va donner une démonstration directe. La formule est évi-dente pourk = 0.Supposons qu’elle est vérifiée pourk−1,aveck ≥1,et soitf ∈C^2k. Il résulte de la formule 6.6 que l’on a, en posant g = W^k(f), f0 = π0(f), f1 = π1(f), g0 =π0(g), g1 =π1(g),

2!^k−1 p=0

|Wk(f)(p)|² =

2^k−1!−1 p=0

|g₀(p)|²+

2^k−1!−1 p=0

|g₁(p)|²

=

2^k!⁻¹−1 p=0

|W^k−1(f0)(p) +W^k−1(f1)(p)|²+

2^k!⁻¹−1 p=0

|W^k−1(f0)(p)−W^k−1(f1)(p)|²

5.3. APPLICATION AUX FONCTIONS BOOLÉENNES 53

2

2^k!⁻¹−1 k=0

|W^k−1(f0)(p)|²+ 2

2^k!⁻¹−1 k=0

|W^k−1(f1)(p)|²

= 2^k

2^k−1!−1 k=0

|f0(p)²|+ 2^k

2^k−1!−1 k=0

|f1(p)²|= 2^k

2!^k−1

p=0

|f(p)|², et le résultat est démontré par récurrence.♣

Pourx= (x0, ..., xk−1)∈F^k2, y = (y0, ..., yk−1)∈F^k2,on pose x.y :=

k−1

!

j=0

xjyj (5.11)

Lemme 5.3.5. Pour0≤p≤2^k−1,soitp=^k$⁻¹

j=0

p_j2^j,avecp_j ∈{0,1},la décomposition dyadique de p, et soitp^∗ := (p₀, ..., p_k−1). Soit Wk = (wp,q)0≤p≤k−1

0≤q≤k−1 la matrice de Walsh d’ordrek.On a, pour0≤p, q ≤k−1,

wp,q = (−1)^p∗.q∗ = (−1)^{P0≤j≤k−1pjqj} (5.12) Démonstration : La propriété est vérifiée pourp = 0. Avec les notations ci-dessus po-sons w˜_p,q = (−1)^p∗q∗,W˜_k = ( ˜w_p,q)0≤p≤k−1

0≤q≤k−1. D’autre part pour 0 ≤ p ≤ 2^k−1 −1,0 ≤ q ≤ 2^k−1 − 1, posons p^$ = p+ 2^k−1, q^$ = q + 2^k−1. Dans ce cas p_k−1 = q_k−1 = 0, p^$_j = p_j, q_j^$ = q_j pour 0 ≤ j ≤ k −2, et p^$_k−1 = q^$_k−1 = 1. On déduit de la première équation que l’on a

W˜_k−1 = ( ˜wp,q)0≤p≤2k−1−1 0≤q≤2k−1−1

.

On déduit des autres équations que l’on a, pour0≤p≤2^k−1−1,0≤q≤2^k−1−1,

˜

wp^",q = ˜wp,q^" = ˜wp,q, w˜p^",q^" =−w˜p,q, et on obtient

W˜k =

,W˜k−1 W˜k−1

W˜k−1 −W˜k−1

-. On voit donc par récurrence queWk = ˜Wkpour toutk≥0.♣

Definition 5.3.6. Pourf ∈Bk,0≤p≤2^k−1,on posef^∗(p) = (−1)^f(p∗).Autrement dit sip_j ∈{0,1}pour0≤j ≤2^k−1,on a

54 CHAPITRE 5. TRANSFORMÉE DE WALSH

f^∗





2!^k−1 j=0

pj2^j



= (−1)^{f(p0,...,pk−1)}. (5.13) On peut alors exprimer simplement la distance d’une fonction booléenne à une fonction affine sans terme constant.

Lemme 5.3.7. Soit f ∈ Bk, soit a = (a0, ..., ak−1) ∈ F^k2, avec aj ∈ {0,1}, soit a˜ =

k−1$

j=0

a_j2^j ∈{0, ...,2^k−1}l’entier associé àaet soitf_a:=f_a,0 :x→a.xla fonction affine sans terme constant associée àa. Alors on a

d(f, fa) = 2^k−1− 1

2Wk(f^∗)(˜a). (5.14)

Démonstration : On af^∗(˜a) =f((˜a)^∗) = f(a).On obtient Wk(f^∗)(˜a) =

2!^k−1 q=0

w˜a,qf^∗(q) =

2!^k−1 q=0

(−1)^{a.q∗+f(q∗)}

=

2!^k−1 q=0

(−1)^{fa(q∗)+f(q∗)}= !

x∈F^k2

(−1)^fa(x)+f(x)=

Card({x∈F^k2 |f(x)) =fa(x)})−Card({x∈F^k2 |f(x)+=fa(x))}).

Comme Card({x∈F^k2|f(x) =f_a(x)})+Card({x∈F^k2 |f(x)+=f_a(x)}) =Card(F^k2) = 2^k,et commed(f, f_a) =card({x ∈F^k2} |f(x)+=f_a(x)}),on obtient la formule du lemme.

♣

On peut alors exprimer simplement la distance d’une fonction booléenne aux fonctions affines.

Théorème 5.3.8. (i) Soitf ∈Bkune fonction booléenne. On a d(f,Ak) = 2^k−1− 1

2max_0≤p≤2^k₋₁|Wk(f^∗)(p)|≤2^k−1−2^k2−1, (5.15) et l’inégalité ci-dessus est toujours stricte sikest impair.

(ii) Sikest pair, posonsf_(k)=

k 2$−1 j=0

X2jX2j+1.On a alors dA

f(k), A^kB

= 2^k−1 −2^k2−1.

Démonstration : Le fait que d(f,Ak) = 2^k−1 − ¹₂max0≤p≤2^k−1|Wk(f^∗)(p)| résulte du lemme 6.3.7. D’autre part il résulte de la formule de Plancherel-Parseval (lemme 6.3.4) que l’on a

5.3. APPLICATION AUX FONCTIONS BOOLÉENNES 55

2^kmax0≤p≤2^k−1|W^k(f^∗)(p)|² ≥

2!^k−1 p=0

|W^k(f^∗)|² = 2^k

2!^k−1 p=0

|f^∗(p)|² = 2^2k.

Donc max0≤p≤2^k−1|W^k(f^∗)(p)|≥2^k2.Commef^∗(p)∈ {−1,1}pour0≤p ≤2^k−1, la transformée de Walsh def^∗ est à valeurs entières ainsi que max0≤p≤2^k−1|W^k(f^∗)(p)|, et l’inégalité de (i) est stricte sikest impair.

On va maintenant construire par récurrence surmune fonctionhm ∈C^22m,prenant ses valeurs dans{−1,1},telle queW^2m(hm) = 2^mhm,de sorte que

max0≤p≤2^2m−1|W2m(hm)(p)|= 2^m.

Le polynôme minimal deW2mest égal àx²−2^2m = (x−2^m)(x+2^m).On sait alors d’après le Chapitre 5 duCours d’algèbre linéaire[5] que le sous-espace propre deW2massocié à la valeur propre2^mest engendré par les colonnes deW2m−2^mI2^2m, I2^2mdésignant la matrice unité d’ordre2m.On a

W2−2I4 =





3 1 1 1

1 1 1 −1

1 1 1 −1

1 −1 −1 3



.

On peut donc prendreh1 = [1,1,1,−1].

On définit alors la suite(hm)m≥1 par récurrence en posant, pourm≥2, hm = [hm−1, hm−1, hm−1,−hm−1].

Supposons queW^2(m−1)(hm−1) = 2^m−1hm−1.On a alors, d’après la formule 6.5,

hmW2m = [hm−1, hm−1, hm−1, hm−1]





W2m−2 W2m−2 W2m−2 W2m−2

W2m−2 −W2m−2 W2m−2 −W2m−2

W_2m−2 W_2m−2 −W_2m−2 −W_2m−2 W_2m−2 −W_2m−2 −W_2m−2 W_2m−2





= [ 2hm−1W2m−2,2hm−1W2m−2,2hm−1W2m−2,2hm−1W2m−2]

= [ 2^mh_m−1,2^mh_m−1,2^mh_m−1,2^mh_m−1] = 2^mhm,

de sorte queW2m(h_m) = 2^mh_m.On voit donc par récurrence queW2m(h_m) = 2^mh_m pour toutm≥1.

Posons maintenant Hm = f_(2m)^∗ = ($m−1

j=0 X2jX2j+1)^∗. Soit p = $2m−1

j=0 pj2^j, avec pj ∈{0,1},le développement en base 2 d’un entierp∈{0, ...,2^2m−1}.On a

H_m(p) = (−1)^{Pmj=0−1p2jp2j+1}. (5.16) Posonsp⁽¹⁾ = p, p⁽²⁾ = p+ 2^2m, p⁽³⁾ = p+ 2^2m+1, p⁽⁴⁾ = p+ 2^2m + 2^2m+1. On a p⁽¹⁾_j =p⁽²⁾_j = p⁽³⁾_j =p⁽⁴⁾_j =p_j pour0 ≤j ≤ 2m−1, p⁽¹⁾_2m = p⁽¹⁾_2m+1 =p⁽²⁾_2m+1 =p⁽³⁾_2m = 0,

56 CHAPITRE 5. TRANSFORMÉE DE WALSH

p⁽²⁾_2m = p⁽³⁾_2m+1 =p⁽⁴⁾_2m = p⁽⁴⁾_2m+1 = 1.Il résulte alors de la formule 6.16 appliquée à l’ordre m+ 1que l’on a, pourm ≥1,

Hm+1 = [Hm, Hm, Hm,−Hm].

D’autre part, en appliquant la formule 6.16 à l’ordre 1, on trouve H1(0) = H1(1) = H2(1) = 1, H3(1) =−1,doncH1 = [1,1,1,−1] = h1.Une récurrence immédiate montre alors que hm = Hm = f_(2m)^∗ pour tout m ≥ 1. Comme hm est à valeurs dans {−1,1}, et comme W^2m(hm) = 2^mhm, on a &&W^2m(f(2m)(p))&& = 2^m pour 0 ≤ p ≤ 2^2m −1, et d(f(2m),A^2m) = 2^2m−1−2^m−1.♣

On dit qu’une fonction booléenne f ∈ A^k est une fonction courbe si sa distance aux fonctions affines est maximale. Le théorème précédent montre que la fonctionfk =

k/2−1$

j=0

X2jX2j+1 est une fonction courbe si k est pair. Les fonctions courbes restent mal connues quandkest impair.

5.4 Applications de la transformée de Walsh à la compression de

Dans le document Analyse de Fourier (Page 54-60)