Immunité algébrique restreinte - Immunité algébrique à poids fixé

6.4 Immunité algébrique à poids fixé

6.4.1 Immunit´e alg´ebrique restreinte

Soit S un sous-ensemble arbitraire de Fn

2 et f n’importe quelle fonction définie sur S. On rappelle que dans le cas classique, l’immunité algébrique d’une fonction f est définie comme le plus petit degré algébrique possible pour un annulateur non-nul de f ou de f + 1. Dans ces conditions, nous pouvons généraliser la définition 2.20 du chapitre 2 lorsque l’on considère un sous-ensemble d’entrées. Définition 6.27(Immunité algébrique restreinte). Soit S un sous-ensemble de Fⁿ₂ etf ∈ Bn. Alors l’immunité algébrique restreinte àS de f est définie par

AIS(f ) = min{deg(g)|gf = 0 ou g(f + 1) = 0 et g 6= 0 sur S}

Dans cette section, nous utilisons plusieurs fois une matrice particulière que nous définissons de la manière suivante.

D´efinition 6.28. Soitd un entier et S un sous-ensemble non-vide de Fn 2, alors nous d´efinissons la matrice Md,S, de taille

d X i=0 n i ^! × |S|

dont les lignes sont indexées par les élémentsu de Fn

2 tels quewH(u) ≤ d, et les colonnes sont indexées par les éléments x de S, et où

Md,S[u, x] = x^u= n Y i=1 x^ui i

Exemple 10. Sur F⁴₂, prenons par exemple

S = {0001, 0101, 0111, 1111, 1101, 0100}

et d = 1. Alors en indexant les lignes par les u tels que wH(u) ≤ 1, i.e. {0000, 0001, 0010, 0100, 1000} on a : M1,S=       1 1 1 1 1 1 1 1 1 1 1 0 0 0 1 1 0 0 0 1 1 1 1 1 0 0 0 1 1 0      

Sans faire d’hypothèse particulière sur S, nous pouvons d’abord démontrer la proposition suivante qui généralise le travail de Courtois et Meier.

Proposition 6.29. Soit S un sous-ensemble non-vide de Fn

2 etf une fonction booléenne à n variables. Soit d et e deux entiers positifs. Soit Md,S etMe,S deux matrices définies par la définition 6.28. Si les rangs de ces matrices vérifient

rang(Md,S) + rang(Me,S) > |S| ,

alors il existeg ∈ Bn de degré plus petit quee, dont la restriction àS est non nulle, ainsi qu’une fonction booléenneh àn variables de degré algébrique plus petit que d, telles que la fonction gf co¨ıncide avec h sur S.

Dans le contexte classique (S = Fn

2), l’ensemble des monômes forme une famille libre et génératrice de l’espace vectoriel des fonctions booléennes, donc les matrices sont toujours de rang plein. Ce qui rend notre travail plus ardu ici, c’est la restriction à l’ensemble S, qui implique des dépendances entre les monômes : par exemple, les fonctions symétriques, lorsque S décrit un espace de poids fixe appartiennent au noyau de cette matrice, ce qui implique que les matrices ne sont pas de rang plein, et que la condition sur le rang est celle qui est pertinente, puisqu’il est nécessaire que la fonction g que l’on multiplie à f soit non identiquement nulle sur S.

Démonstration. Soit Fd (respectivement Fe) une famille de monômes de degré plus petit que d (respectivement e), de taille maximale, et libre sur la restriction S. On note ces monômes de la manière standard : xu, avec wH(u) ≤ d. Par définition du rang de la matrice Md,S (respectivement Me,S), on a |Fd| = rang(Md,S) (respectivement |Fe| = rang(Me,S)).

Ensuite, nous considérons l’ensemble de fonctions Fef composé des fonctions obtenues par le produit des éléments de Feavec la fonction booléenne f (avec des répétitions possibles). Par hypothèse, |Fd| + |Fef | est strictement supérieur `

a la dimension de l’espace des fonctions booléennes définies uniquement sur la restriction S. Ainsi, il existe nécessairement une combinaison linéaire entre les éléments de Fd et Fef , qui induit une fonction nulle sur S. En séparant d’un côté les éléments venant de Fd et ceux de Fef , on obtient respectivement une

fonction h et une fonction g, telles que f g = h sur S. De plus, les restrictions de g et de h à S sont nécessairement non-nulles, puisque les familles Fd et Fe ont été choisies libres sur S.

En appliquant la proposition 6.29 à e = 0, nécessairement rang(M0,S) = 1, puisque la fonction constante à 1 ne s’annule jamais, on obtient le corollaire qui suit.

Corollaire 6.30. Soit S un sous-ensemble non-vide de Fn

2 et f ∈ Bn. Soit d tel querang(Md,S) ≥ |S|, alors il existe une fonction booléenne àn variables de degré plus petit qued qui co¨ıncide avec f sur S.

Comme nous l’avons vu précédemment, les monômes de degré strictement plus grand que k sont tous nuls lorsque l’on considère une restriction à des mots de poids inférieur à k. Nous verrons dans la suite que ces monômes ne sont pas les seules fonctions qui sont dans le noyau de Md,S lorsque S correspond aux mots de poids fixé. Il est donc nécessaire d’avoir en tête que le degré algébrique peut décroˆıtre en restreignant l’entrée.

Par ailleurs, nous pouvons assurer l’existence d’un annulateur de degr´e plus petit que e en appliquant la proposition 6.29 `a d = 0.

Corollaire 6.31. SoitS un sous-ensemble non-vide de Fn

2 et f une fonction booléenne à n variables, Soit e tel que rang(Me,S) = |S|, alors il existe un annulateur non-nul de f sur S et de degré algébrique au plus e.

Finalement, le cas de l’immunité algébrique, qui considère simultanément les annulateurs de f et ceux de f + 1, revient à choisir e = d (comme dans le contexte classique).

Corollaire 6.32. SoitS un sous-ensemble non-vide de Fn

2 et f une fonction booléenne àn variables, Soit e tel que rang(Me,S) > ^|S|₂ , alors il existeg de degré algébrique au plus e, telle que gf ou g(f + 1) est nulle sur S, et g n’est pas identiquement nulle surS.

Démonstration. En utilisant la même idée que dans [MPC04], nous reprenons les fonctions g et h obtenues dans la proposition 6.29. Ou bien g et h co¨ıncident sur S, et dans ce cas, on a gf + h = g(f + 1) = 0 sur S, ou bien ces deux fonctions ne co¨ıncident pas, et dans ce cas, en multipliant l’égalité h = gf sur S par f , on obtient que hf = gf sur S, et donc (g + h)f = 0. Comme g et h ne co¨ıncident pas sur S et sont toutes deux de degré plus petit que d = e, on obtient bien une fonction annulatrice de f sur S et non-nulle sur S.

Finalement, nous pouvons borner supérieurement la valeur de l’immunité algébrique lorsque l’on restreint nos entrées par le corollaire suivant.

Corollaire 6.33. L’immunité algébrique de n’importe quelle fonction booléenne restreinte àS est bornée supérieurement par

min e; rang(Me,S) > ^|S| 2 .

A priori, sans faire d’hypothèses sur la structure de S, on ne peut pas prévoir quelle sera la valeur de rang(Me,S). Ainsi, les bornes sur l’immunité algébrique ne peuvent être obtenues qu’en investiguant cette matrice, et ce pour tous les sous-ensembles que l’on devra considérer. Comme notre analyse s’axe autour du chiffrement FLIP, nous étudions cette matrice lorsque S = Sn,k.

6.4.2 Immunité algébrique pour des entrées de poids de

Dans le document Mathématiques discrètes appliquées à la cryptographie symétrique (Page 163-166)