G´ en´ eralisation aux fonctions ´ equilibr´ ees non-injectives

Dans certaines primitives sym´etriques, les fonctions qui constituent la partie non-lin´eaire ne sont pas des permutations, mais des fonctions ´equilibr´ees F :Fⁿ₂ →F^m₂ , avecm < n. Un exemple suivant cette conception est le premier chiffrement par blocs normalis´e, `a savoir le DES [FIP80]. La fonction de tour de ce chiffrement est compos´ee de l’application en parall`ele de huit boˆıtes-S 6×4 diff´erentes de degr´e alg´ebrique 5.

Il est alors int´eressant, et tr`es utile, de pouvoir pr´edire l’´evolution du degr´e alg´ebrique des chiffrements construits ainsi. Les r´esultats des sections pr´ec´edentes ne s’appliquent ´evidemment pas tels quels sur ces constructions, puisque les boˆıtes-S utilis´ees ne sont pas inversibles.

N´eanmoins, nous allons voir qu’il est possible de d´eduire des r´esultats similaires.

Pour arriver `a cela, nous allons essayer de nous ramener au cas des permutations, pour pouvoir appliquer les r´esultats pr´ec´edents `a une extension de la fonction. Nous introduisons alors la notion d’extension d’une fonction ´equilibr´ee de Fⁿ₂ dans F^m₂ `a une permutation de Fⁿ₂.

5.4. G ´EN ´ERALISATION AUX FONCTIONS ´EQUILIBR ´EES NON-INJECTIVES 107 D´efinition 5.1. Soit F :Fⁿ₂ → F^m₂ , avec m < n, F = (F₁,. . . , F_m) une fonction ´equilibr´ee.

Une permutation P = (P₁, . . . , P_n) de Fⁿ₂ est appel´ee extension de F, si ses m premi`eres coordonn´ees correspondent aux coordonn´ees deF, c’est-`a-dire pour tout i, 1≤i≤m,

Pi(x) =Fi(x), pour tout x∈Fⁿ₂.

En d’autres termes, la fonctionF est ´etendue `a une permutation denvariables de la fa¸con suivante. Comme F est ´equilibr´ee, chacun des 2<sup>m</sup> vecteurs de F<sup>m</sup><sub>2</sub> est pris par F 2<sup>n−m</sup> fois exactement. Nous compl´etons alors tous ces 2<sup>n−m</sup> vecteurs ´egaux en concat´enant `a chacun d’entre eux un ´el´ement diff´erent de Fⁿ₂^−m de fa¸con `a obtenir 2<sup>n−m</sup> vecteurs diff´erents deF<sup>n</sup><sub>2</sub>. Exemple 5.1. Soit(n, m) = (6,4)et supposons quev= (0,1,1,0)est un vecteur dans l’image de F, obtenu pour 4 vecteurs v<sub>1</sub>, v<sub>2</sub>, v<sub>3</sub>, v<sub>4</sub> de F<sup>6</sup><sub>2</sub>, c’est-`a-dire F(v₁) = F(v₂) = F(v₃) = F(v₄) = v. Une extension de F peut alors ˆetre obtenue en associant `a v₁, v₂, v₃ et v₄ les quatre vecteurs diff´erents de F⁶₂, (0,1,1,0,0,0),(0,1,1,0,1,0),(0,1,1,0,0,1),(0,1,1,0,1,1).

Ces 4 images sont la simple concat´enation du vecteur v avec tous les ´el´ements deF²₂. Pour une fonction F :Fⁿ₂ →F^m₂ , il existe (2^n−m!)^2m extensions diff´erentes.

Remarque 5.2. Dans l’exemple pr´ec´edent, nous avons concat´en´e les ´el´ements de F²₂ `a la fin du vecteur v. Cette possibilit´e n’est ´evidement pas la seule pour ´etendre une fonction F de F<sup>n</sup><sub>2</sub> dans F<sup>m</sup><sub>2</sub> `a une permutation. Pour un vecteur v dans l’image de F nous pou-vons choisir n−m positions quelconques i1, . . . , in−m parmi {1, . . . , n} et ins´erer les 2^n−m vecteurs diff´erents `a ces positions. Dans l’exemple pr´ec´edent, nous avons pris i<sub>1</sub> = 5 et i<sub>2</sub> = 6, mais nous aurons par exemple pu choisir i<sub>1</sub> = 1 et i<sub>2</sub> = 4. Dans ce cas, les quatre vecteurs v<sub>1</sub>, v<sub>2</sub>, v<sub>2</sub> et v<sub>4</sub> de l’exemple pr´ec´edent seraient associ´es aux quatre vecteurs (0,0,1,0,1,0),(0,0,1,1,1,0),(1,0,1,0,1,0),(1,0,1,1,1,0). Cependant, afin de simplifier la notation, nous consid´erons `a partir de maintenant que toutes les concat´enations se font comme

`

a l’exemple5.1. Les r´esultats que nous pr´esenterons par la suite pourront ˆetre g´en´eralis´es de fa¸con triviale `a tous les autres types de concat´enation.

Th´eor`eme 5.3. Soit F une fonction ´equilibr´ee de Fⁿ₂ dans F^m₂ , avec m < n. Soit k et ℓ deux entiers tels que 1 ≤ k < m et 1 ≤ ℓ < n. Alors, les trois propri´et´es suivantes sont

´equivalentes.

(i) Il existe une permutation P_F deFⁿ₂ ´etendant F, telle que dans chaque produit de ℓ coor-donn´ees de P_F⁻¹, tous les monˆomes de degr´e sup´erieur ou ´egal `a (n−k) sont de degr´e strictement inf´erieur `a (n−m) en les (n−m) derni`eres variables.

(ii) Pour toute permutation P_F de Fⁿ₂ ´etendant F, nous avons que dans chaque produit de ℓ coordonn´ees de P_F⁻¹, tous les monˆomes de degr´e sup´erieur ou ´egal `a (n−k) sont de degr´e strictement inf´erieur `a (n−m) en les (n−m) derni`eres variables.

(iii) δk(F)< n−ℓ.

D´emonstration. Soient K⊂ {1, . . . , m} etL⊂ {1, . . . , n}. Nous d´esignons parπ_K le produit des coordonn´ees F_i pour i∈K. Alors, le coefficienta_K,L du monˆomeQ

i∈{1,...,n}\Lx_i dans la forme alg´ebrique normale de F est donn´e par

a_K,L = X

x∈Fⁿ2

xj=0,j∈L

π_K(x)

= #{x∈Fⁿ₂ : x_j = 0, j∈L etF_i(x) = 1, i∈K} mod 2

= #{x∈Fⁿ₂ : xj = 0, j∈L et (P_F)i(x) = 1, i∈K} mod 2,

o`u la derni`ere ´egalit´e est valide pour toute extension P_F de F. Alors, puisque P_F est une permutation, en posant y =P_F(x) nous avons

a_K,L = #{y∈Fⁿ₂ :y_i = 1, i∈K et (P_F⁻¹)_j(y) = 0, j ∈L} mod 2, impliquant que aK,L = 0 si et seulement si la fonction bool´eenne

H_K,L : {x∈Fⁿ₂ :x_i = 1, i∈K} → F₂

x 7→ Q

i∈L(1 + (P_F⁻¹)_i(x)). est de degr´e strictement inf´erieur `an−k.

Nous d´emontrons d’abord que (i) implique (iii). Nous d´eduisons du raisonnement pr´ec´edent que si la condition (i) est satisfaite, alors tout monˆome de degr´e sup´erieur ou ´egal `a (n−k) dans l’ANF de la fonction bool´eenne `a nvariables

x7→Y

Inversement, nous d´emontrons que (iii) implique (ii). Supposons que la condition (ii) ne soit pas satisfaite, c’est-`a-dire qu’il existe une permutation P<sub>F</sub> qui ´etend F et un ensemble L⊂ {1, . . . , m}tel que la fonction bool´eenne `a nvariables au moins (m−k). Nous pouvons supposer que L est le plus petit ensemble de ce type pour l’inclusion (sinon, nous choisissons le plus petit ensembleL^′⊂Lqui satisfait cette propri´et´e).

Choisissons K ={1, . . . , m} \I o`u x_m+1. . . x_nQ

i∈Ix_i est le monˆome de plus haut degr´e de cette forme dans l’ANF deπ_L^′ . Par hypoth`ese, la taille deK est au plusket elle est sup´erieure ou ´egale `a 1, puisque π_L^′ est de degr´e au plusn quand|L|< n (corollaire4.1). CommeL est

Il s’ensuit que pour ces choix particuliers de L et K, a_K,L = 1, impliquant qu’il existe un produit d’au plus k coordonn´ees deF de degr´e sup´erieur ou ´egal `a (n−ℓ).

Nous avons alors d´emontr´e que les trois propri´et´es sont ´equivalentes.

Nous pouvons maintenant d´eduire pour le cas des fonctions ´equilibr´ees non-injectives, un corollaire similaire au corollaire 5.2.

5.4. G ´EN ´ERALISATION AUX FONCTIONS ´EQUILIBR ´EES NON-INJECTIVES 109

D´emonstration. Soit F^∗ une permutation qui ´etendF. Dans la preuve du corollaire5.2nous avons montr´e que la borne triviale implique queδ_ℓ(F^∗−1)< n−degGpour toute

ℓ≤jn−1−degG deg(F^∗−1)

k .

Par cons´equent, quandℓsatisfait cette condition, le produit deℓcoordonn´ees quelconques de F^∗−1ne contient aucun monˆome de degr´e (n−degG).Puisque la condition (i) du th´eor`eme5.3 est satisfaite, nous en d´eduisons

deg(G◦F)≤δ_degG(F)< n−jn−1−degG deg(F^∗−1)

k.

Nous avons prouv´e dans le corollaire4.1 que le produit de k coordonn´ees d’une fonction

´equilibr´ee F `a n variables est de degr´e n si et seulement si k = n. En outre, si F est une permutation, nous avons d´emontr´e dans le corollaire5.5que le degr´e deF⁻¹ d´etermine quand le produit de plusieurs coordonn´ees deF est de degr´e (n−1). Nous pr´esentons ici un r´esultat similaire quandF une fonction ´equilibr´ee non-bijective.

Corollaire 5.7. SoitF une fonction ´equilibr´ee deFⁿ₂ dansF^m₂ , avec m < n. Alors,δ_m(F)≤

D´emonstration. D’apr`es le th´eor`eme 5.3 appliqu´e avec k = m et ℓ = 1, nous avons que δ_m(F)≤2 si et seulement s’il existe une permutation P_F ´etendantF, telle que tout monˆome de degr´e au moins (n−m) dans l’ANF de n’importe quelle coordonn´ee de P_F⁻¹ n’est pas un facteur dex_m+1. . . x_n. Comme un monˆome de degr´e strictement inf´erieur `a (n−m) ne peut pas ˆetre un facteur dex_m+1. . . x_n, ceci de la mˆeme fa¸con signifie que n’importe quel monˆome dans l’ANF de n’importe quelle coordonn´ee deP_F⁻¹ n’est pas un facteur de x_m+1. . . x_n. Soit

o`uxy signifie que x_i ≤y_i pour touti. Par cons´equent,

pour toutx∈F^m₂ . Il est int´eressant de constater que cette propri´et´e est similaire `a la propri´et´e utilis´ee aux attaques cubes (th´eor`eme2.2, de la section2.2.3).

Puisque cette propri´et´e tient pour toute coordonn´eef deP_F⁻¹, la condition requise signifie de fa¸con ´equivalente que pour toutx∈F^m₂ ,

X

y∈F^n−m2

P_F⁻¹(x, y) = 0,

o`u la somme est dans F<sup>n</sup><sub>2</sub>. D’apr`es la d´efinition de PF, tous les ´el´ements P_F⁻¹(x, y) quand y ∈ Fⁿ₂^−m correspondent aux images de x par F. Cette condition peut ˆetre ´ecrite sous la

forme X

z:F(z)=x

z= 0.