La notion de la (v, w)-lin´ earit´ e

Nous commen¸cons par introduire la notion de la (v, w)-lin´earit´e et par pr´esenter quelques propri´et´es g´en´erales des fonctions (v, w)-lin´eaires.

6.1.1 D´efinition et propri´et´es g´en´erales

D´efinition 6.1. Soit S une fonction de Fⁿ₂ dans F^m₂ . Alors, S est dite (v, w)-lin´eaire s’il existe deux sous-espaces V ⊂ Fⁿ₂ et W ⊂F^m₂ avec dimV = v et dimW =w tels que pour tout λ ∈ W, S_λ est de degr´e au plus 1 sur tous les translat´es de V, o`u S_λ est la fonction bool´eennex7→λ·S(x).

Remarque 6.1. Il est facile de voir d’apr`es cette d´efinition qu’une fonctionS qui est(v, w)-lin´eaire est ´egalement (v, i)-lin´eaire pour tout 1 ≤ i < w. De mˆeme, elle est (i, w)-lin´eaire pour tout 1≤i < v.

Cette notion est reli´ee `a la notion de la normalit´e (voir section2.1.2).

Proposition 6.1. Soit S une fonction de Fⁿ₂ dans F^m₂ . Si S est (v, w)-lin´eaire, alors S a w coordonn´eesv-faiblement normales. En particulier, L(S)≥2^v.

D´emonstration. Voir proposition 2.4.

Toutefois, le crit`ere de la (v,1)-lin´earit´e est plus fort que celui de la faible v-normalit´e.

En effet, pour toute fonction (v,1)-lin´eaire, la composante d´efinie par W de dimension 1 est de degr´e au plus 1 sur tous les translat´es de V, tandis que pour une fonction v-faiblement normale cette propri´et´e n’est exig´ee que pour un seul translat´e.

Proposition 6.2. Soit f une fonction bool´eenne `a n variables et soit V un sous-espace de Fⁿ₂. Si f est de degr´e au plus d sur tous les translat´es de V, alors

degf ≤d+n−dimV.

D´emonstration. Nous proc´edons par r´ecurrence sur n−dimV. Pour dimV =n, la propri´et´e est ´evidente. Supposons maintenant que cette propri´et´e est vraie pour tout sous-espaceV avec dimV > v et nous allons prouver qu’elle est ´egalement v´erifi´ee pour tout V de dimension v.

Pour tout sous-ensemble V de dimensionv, il existe un vecteur e_i de nbits et de poids 1 tel queei6∈V. SoitV^′ =V×heii.Alors, la restriction def sur un translat´e quelconque dea+V^′ peut ˆetre ´ecrite comme

f_|a+V^′(x1, . . . , xn) =xif_|V+ei+a(x1, . . . , xn) + (1 +xi)f_|V+a(x1, . . . , xn).

Par hypoth`ese, toutes les restrictions f<sub>|V+c</sub>, c∈F<sup>n</sup><sub>2</sub> sont de degr´e au plus d, impliquant que toutes les restrictionsf<sub>a+V</sub><sup>′</sup> sont de degr´e au plus (d+ 1). Alors, par l’hypoth`ese de r´ecurrence nous avons

degf ≤(d+ 1) +n−(v+ 1) =d+n−v.

Nous en d´eduisons le corollaire suivant.

6.1. LA NOTION DE LA(V, W)-LIN ´EARIT ´E 121 Corollaire 6.1. SoitSune fonction deFⁿ₂ dansF^m₂ . SiSest(v, w)-lin´eaire alors elle poss`ede au moinsw coordonn´ees de degr´e au plus n+ 1−v.

Il convient de noter que les deux conditions d´eriv´ees des propositions 6.1 et 6.2,

c’est-`a-dire deg(f) ≤ n+ 1−v et L(f) ≥ 2<sup>v</sup> ne sont pas suffisantes pour garantir que f est (v,1)-lin´eaire. Par exemple, il a ´et´e prouv´e dans [CDDL06] que la fonction bool´eenne `a 14 variablesf(x) = Tr(αx⁵⁷) avecα∈F4\F2 n’est pas 7-faiblement normale. En cons´equence, cette fonction n’est pas (7,1)-lin´eaire. Toutefois, elle est de degr´e 4 et satisfait L(f) = 2⁷. 6.1.2 Lien avec la construction Maiorana-McFarland et les d´eriv´ees du

deuxi`eme ordre

Il est ´evident que toute fonction bool´eenne (v,1)-lin´eairef peut s’´ecrire comme f(u, v) =π(u)·v+h(u), (u, v)∈U×V,

o`u U est un espace suppl´ementaire de V, π est une fonction de U dans F^v₂ et h est une fonction bool´eenne deU dansF₂. Cette construction est une g´en´eralisation bien connue de la construction Maiorana-McFarland des fonctions courbes [McF73]. Cette classe de fonctions a

´et´e g´en´eralis´ee aux fonctions vectorielles [Nyb91] et a ´et´e ´etudi´ee par plusieurs autres auteurs, par exemple dans [CP04]. Il s’ensuit qu’une fonction est (u, w)-lin´eaire si et seulement si 2^w de ses composantes d´efinissent une fonction qui est ´equivalente `a une fonction vectorielle Maiorana-McFarland, dans le sens de la proposition suivante.

Proposition 6.3. SoitS une fonction vectorielle deFⁿ₂ dansF^m₂ . Il existe deux sous-espaces V ⊂ Fⁿ₂ et W ⊂ F^m₂ avec dimV = v et dimW = w tels que, pour tout λ ∈ W, S_λ est de degr´e au plus 1 sur tous les translat´es de V si et seulement si la fonction S_W correspondant

`

a toutes les composantesS_λ, λ∈W peut ˆetre ´ecrite sous la forme S_W(u, v) =M(u)v+G(u),

o`u U ×V = Fⁿ₂, G est une fonction de U dans F^w₂ et M(u) est une matrice w×v binaire dont les coefficients sont des fonctions bool´eennes d´efinies surU.

Il est int´eressant de noter que avec cette repr´esentation on voit directement que le degr´e deS_w est au plus (dimU + 1) =n+ 1−v.

Il est connu que les fonctions bool´eennes qui sont ´equivalentes `a une fonction Maiorana-McFarland peuvent ˆetre caract´eris´ees `a l’aide de leurs d´eriv´ees du deuxi`eme ordre. Ceci est similaire pour les fonctions vectorielles.

Lemme 6.1. Soit S une fonction vectorielle de Fⁿ₂ dans F^m₂ . Alors, S est de degr´e au plus 1 si et seulement si toutes ses d´eriv´ees du deuxi`eme ordreD_αD_βS, α, β∈Fⁿ₂ s’annulent.

D´emonstration. Il est ´evident que les d´eriv´ees du deuxi`eme ordre d’une fonction de degr´e au plus 1 s’annulent. La r´eciproque repose sur le fait que toute fonction de degr´e 2 ou plus poss`ede une d´eriv´ee du deuxi`eme ordre non triviale. En effet, si degS > 1, alors S a une composanteS<sub>λ</sub> :x7→λ·x, dont la forme alg´ebrique normale contient un monˆome de la forme x<sub>i1</sub>x<sub>i2</sub>m(x), o`u m est un monˆome non-nul. Par cons´equent, S_λ peut se d´ecomposer comme suit :

S_λ(x) =xi1xi2g(x) +h(x),

o`ug est une fonction bool´eenne non triviale qui ne d´epend pas desx<sub>i1</sub>,x<sub>i2</sub> ethune fonction bool´eenne qui ne contient aucune monˆome multiple dex<sub>i1</sub>x<sub>i2</sub>. Nous voyons que la d´eriv´ee du deuxi`eme ordre de S_λ par rapport `a e<sub>i1</sub> et e<sub>i2</sub> correspond exactement `a g, qui ne s’annule pas.

Proposition 6.4. SoitS une fonction vectorielle deFⁿ₂ dansF^m₂ . Alors,S est(v, w)-lin´eaire pour un 2 ≤ v ≤ n et un 1 ≤ w ≤ m si et seulement s’il existe un sous-ensemble de w composantes ind´ependantes de S, S_W = (S_i1,. . . , S_iw) et un sous-espace V de dimension v tel que toutes les d´eriv´ees du deuxi`eme ordre deS_W,D_αD_βS_W avec α, β ∈V s’annulent.

D´emonstration. NotonsU un espace suppl´ementaire deV. Si S_W est de degr´e au plus 1 sur tout translat´eu+V, alors pour toutu∈U,

S_W(u+v) =Lu(v) +γ(u),

o`u Lu est une fonction lin´eaire de V dans F^w₂ et γ(u) ∈ F^w₂. En cons´equence, pour tout α, β∈V, nous avons

D_αD_βS_W(u+v) =S_W(u+v) +S_W(u+v+α) +S_W(u+v+β) +S_W(u+v+α+β) = 0 puisque toutes les quatre entr´ees participant `a la somme appartiennent `a u+V.

R´eciproquement, si toutes ses d´eriv´ees du deuxi`eme ordre de S<sub>W</sub>,D<sub>α</sub>D<sub>β</sub>S<sub>W</sub>, s’annulent, alors pour tout u∈U, la fonction Fu de V dansF<sup>w</sup><sub>2</sub> d´efinie par Fu(v) =SW(u+v) est telle que toutes les d´eriv´ees du deuxi`eme ordre s’annulent. Par cons´equent, pour toutu∈U,S_W est de degr´e au plus 1 suru+V.

Par la suite, nous examinons plus en d´etail une classe des fonctions (v, w)-lin´eaires, celle des fonctions (n−1,1)-lin´eaires.

6.1.3 Fonctions (n−1,1)-lin´eaires

Le cas des fonctions (n−1,1)-lin´eaires peut ˆetre enti`erement caract´eris´e.

Proposition 6.5. Soitf une fonction bool´eenne `a nvariables. Alors, f est(n−1,1)-lin´eaire si et seulement sidegf ≤2et L(f)≥2ⁿ⁻¹. En outre, si deg(f) = 2et L(f)≥2ⁿ⁻¹, il existe exactement trois hyperplans distinctsH tels que f est de degr´e au plus 1 sur H et H.

D´emonstration. Soit f une fonction (n−1,1)-lin´eaire. Alors, d’apr`es la proposition6.1nous d´eduisons que sa lin´earit´e est sup´erieure ou ´egale `a 2ⁿ⁻¹. De plus, grˆace `a la proposition6.2 nous avons que degf ≤ 1 +n−(n−1) = 2. Inversement, soit f une fonction bool´eenne quadratique (nous supposons que degf = 2 puisque le r´esultat est trivial pour une fonction constante ou affine). Toute fonction quadratiquef satisfaitL(f) = 2<sup>n+h2</sup> , o`u 0≤h < nest la dimension de l’espace lin´eaire def,LS(f) (voir par exemple l’appendice 1 dans [CCCF01]), o`u

LS(f) ={a∈Fⁿ₂ :D_af :x7→f(x+a) +f(x) est constante}. En outre, l’ensemble

LS⁰(f) ={a∈Fⁿ₂ :D_af = 0},

est un sous-espace deLS(f) de dimension dimLS(f) ou (dimLS(f)−1). On sait queL(f)≥ 2ⁿ⁻¹, qui est la valeur maximale pour une fonction de degr´e exactement 2 (h=n−2). Donc,

6.1. LA NOTION DE LA(V, W)-LIN ´EARIT ´E 123 L(f) = 2ⁿ⁻¹ et d’apr`es la relation de Parseval, il existe exactement 4 valeurs de α telles que

|F(f+ϕ_a)|= 2ⁿ⁻¹. Parmi ces quatre valeurs, trois ont le mˆeme signe, car la somme de tous les coefficientsF(f+ϕ_α) vaut±2ⁿ(voir par exemple [CC03], proposition 1). Ces valeurs sont les ´el´ements β +LS(f)^⊥, o`u β = 0 si dimLS<sup>0</sup>(f) = dimLS(f), et β ∈ LS<sup>0</sup>(f)<sup>⊥</sup>\LS(f)<sup>⊥</sup> sinon. En effet, d’apr`es le lemme V.2 dans [CCCF01] nous avons que

X w)-lin´eaire, alors v≤log₂L(S). `A cause de cette propri´et´e nous pouvons prouver qu’il n’existe aucune permutation deFⁿ₂ de non-lin´earit´e optimale qui soit (n−1,1)-lin´eaire pourn≥5.

Corollaire 6.2. SoitS une permutation deFⁿ₂ de non-lin´earit´e optimale, c’est-`a-direL(S)≤ 2^{⌈n+12 ⌉}. Alors, si n≥5, S n’est pas(n−1,1)-lin´eaire.

D´emonstration. SiS poss`ede une composante (n−1,1)-lin´eaire, alors n−1≤

Classification des permutations de F⁴₂

Les boˆıtes-S les plus utilis´ees dans les primitives sym´etriques sont les boˆıtes-S ´equilibr´ees

`a 4 variables. Nous allons alors nous concentrer sur ces structures particuli`eres.

D’apr`es la proposition pr´ec´edente, une permutationS de F<sup>4</sup><sub>2</sub> est (3,1)-lin´eaire si et seule-ment si elle poss`ede une composante de degr´e inf´erieur ou ´egal `a 2. En effet, toute permutation

S deF⁴₂ v´erifie L(S)≥8, borne qui correspond aux permutations de non-lin´earit´e maximale.

De plus, siS n’a aucune composante constante ou affine, alors le nombre de couples d’espaces (H,{0, λ}) avec dimH = 3 tel que deg(S_λ) ≤ 1 sur H et H est ´egal `a 3Q<sub>S</sub>, o`u Q_S est le nombre de composantes quadratiques de S.

Nous pouvons donc essayer de classifier ces permutations en fonction de leur nombre de composantes quadratiques. Nous commen¸cons par classifier leurs composantes, c’est-`a-dire les fonctions bool´eennes `a 4 variables.

D´efinition 6.2. Soit f et g deux fonctions bool´eennes den variables. Nous disons que f est

´equivalente de fa¸con affine `a g s’il existe une matrice n×n inversible A, a, b∈Fⁿ₂ et c∈F₂ tels que pour chaque x∈Fⁿ₂

g(x) =f(Ax+a) +bx+c.

Il a ´et´e d´emontr´e dans [BW72] que pour cette ´equivalence les 2³² fonctions bool´eennes `a 5 variables peuvent ˆetre r´eduites `a 49 classes d’´equivalence. De ce mˆeme article se d´eduit une classification similaire pour les fonctions bool´eennes `a 4 variables.

En particulier, nous pouvons voir `a la table6.1que chacune des 2<sup>15</sup>fonctions bool´eennes `a 4 variables de degr´e au plus 3 est ´equivalente `a une des cinq fonctions suivantes :x₁x₂x₃, x₁x₂x₃+ x₁x₄, x₁x₂, x₁x₂+x₃x₄ et la fonction nulle.

Ce type de classification pr´eserve le multi-ensemble compos´e de tous les coefficients de Walsh pour une fonction, c’est-`a-dire toutes les fonctions appartenant `a la mˆeme classe d’´equivalence partagent le mˆeme multi-ensemble

{F(f+ϕa), a∈Fⁿ₂} .

Spectre de Walsh

classe repr´esentant ±16 ±12 ±8 ±4 0

I x₁x₂x₃ 1 7 8

II x₁x₂x₃+x₁x₄ 2 8 6

III x1x2 4 12

IV x1x2+x3x4 16 0

V 0 1 15

Table6.1 – Nombre d’apparitions de chaque valeur dans le spectre de Walsh de chacune des cinq classes d’´equivalence pour les fonctions bool´eennes `a 4 variables de degr´e au plus 3.

Il est int´eressant de noter que dans une classe d’´equivalence les valeurs absolues des coeffi-cients de Walsh sont les mˆemes pour toutes les fonctions de la classe, mais leurs signes peuvent varier. Les signes sont seulement pr´eserv´es sous une ´equivalence lin´eaire, c’est-`a-dire quand a= 0 etc= 0.

Proposition 6.6. SoitS une permutation deF⁴₂ dont aucune composante n’est constante ou affine. Alors,S poss`edec_I composantes de la classe I,c_II composantes de la classeII et c_III composantes de la classe III, avec

c_I +c_II+c_III = 15.

De plus,c_III est le nombre de composantes quadratiques deS et est de la formec_III = 2^r−1, 0≤r≤4. Enfin, L(S) = 8, si et seulement si c_I = 0.

6.1. LA NOTION DE LA(V, W)-LIN ´EARIT ´E 125 D´emonstration. Comme S est une permutation, toutes ses composantes sont de degr´e au plus 3 et sont ´equivalentes `a une des cinq classes pr´ec´edemment d´ecrites. Par hypoth`ese, comme aucune composante de S n’est constante ou affine, S ne poss`ede aucune composante de la classe V. De mˆeme, comme toutes les composantes non-triviales d’une permutation sont

´equilibr´ees, S ne poss`ede aucune composante de la classe IV. Le nombre de composantes non-triviales de la permutationS est ´egal `a 15. Par cons´equent,c_I+c_II+c_III = 15. Comme la valeur de L(S) correspond `a la plus grande valeur du spectre de Walsh de toutes les composantes, L(S) = 8 si et seulement si c<sub>I</sub> = 0. La classe III correspond `a des fonctions quadratiques. En cons´equence, c_III correspond au nombre de composantes quadratiques Q_S de S. Comme les valeurs deλ telles que degS_λ ≤2 forment un sous-espace vectoriel de F⁴₂, Q_S est de la forme 2^r−1.

Nous prouvons ensuite qu’une permutation et son inverse ont le mˆeme nombre de com-posantes quadratiques.

Proposition 6.7. Soit S une permutation de F⁴₂ avec aucune composante non-triviale de degr´e inf´erieur ou ´egal `a 1. Alors, S et son inverse ont le mˆeme nombre de composantes de degr´e2.

D´emonstration. Notons comme pr´ec´edemment c_I, c_II etc_III le nombre de composantes non-triviales de S dans les trois premi`eres classes d´ecrites dans la table 6.1. Pour 0 ≤ i < 16 notons W_i le nombre d’apparitions deidans l’ensemble

F(S_λ+ϕ_α)

, α, λ∈F⁴₂ . D’apr`es la table 6.1nous avons que

W₁₂ = c_I

W₈ = 2c_II+ 4c_III = 30−2c_I+ 2c_III

en impliquant que le nombre de composantes quadratiques deS est donn´e par c_III =W12+1

2W8−15.

Comme la permutation inverse deS a le mˆeme ensemble (W_i)_0≤i≤16 que S, les deux permu-tations ont le mˆeme nombre de composantes quadratiques.

Il est int´eressant de noter que le r´esultat pr´ec´edent ne s’applique pas dans le cas g´en´eral.

Par exemple, si n est un nombre impair, la fonction x³ sur le corps fini F2ⁿ peut ˆetre vue comme une permutation de Fⁿ₂. Toutes ses composantes sont de degr´e 2. La permutation inverse correspond `a la fonction x^d avec d= ²ⁿ⁺¹₃⁻¹, impliquant que toutes ses composantes sont de degr´e (n+ 1)/2.

Cas des permutations de F⁴₂ avec L(S) = 8

Dans un travail pr´esent´e en 2007 par Gregor Leander et Axel Poschmann [LP07] une analyse des boˆıtes-S 4×4optimales est effectu´e. Les auteurs appellent une fonctionS de F⁴₂ dansF⁴₂ optimalesi les conditions suivantes sont v´erifi´ees :

– S est une permutation

– L(S) = 8.

– δ(S) = 4,

o`uδ(S) = max_a6=0δ(a, b) est l’uniformit´e diff´erentielle deS, avec δ(a, b) = #{x∈Fⁿ₂, S(x) +S(x+a) =b}.

Dans ce travail une recherche exhaustive des boˆıtes-S 4×4 optimales est pr´esent´ee. Ils ont alors prouv´e que dans le sens d’´equivalence que nous avons introduit dans la section pr´ec´edente, il n’existe que 16 classes d’´equivalence diff´erentes pour les boˆıtes-S optimales.

Plus pr´ecis´ement, il existe :

– 4 boˆıtes-S optimales avecQ_S = 3.

– 4 boˆıtes-S optimales avecQS = 1.

– 8 boˆıtes-S optimales avecQ_S = 0.

Par exemple, la boˆıte-S de la fonction de hachage Hamsi que nous allons analyser `a la section suivante, est une boˆıte-S optimale et poss`ede 3 composantes quadratiques.

Nous avons alors effectu´e une recherche exhaustive parmi toutes les permutations de F⁴₂ afin de d´eterminer s’il existe des permutations avec L(S) = 2⁸ et Q_S ∈ {7,15}. Une seule classe de permutations a ´et´e trouv´ee avec 7 composantes quadratiques et 8 composantes cubiques du type II. Nous avons aussi montr´e que toute permutation quadratique de F⁴₂ a une composante non-triviale de degr´e 1. Cette recherche nous a permis par ailleurs de classifier toutes les permutations de F⁴₂ selon les classes de leurs composantes. Nous disons que deux permutations S etS^′ caract´eris´ees par les tuples (c_I, c_II, c_III, c_V) ((c^′_I, c^′_II, c^′_III, c^′_V) respectivement) sont ´equivalentes si et seulement sic_I =c^′_I, c_II =c^′_II, c_III =c^′_III etc_V =c^′_V. Nous avons pu identifi´e 53 classes d’´equivalence diff´erentes. Ces classes, un repr´esentant pour chaque classe, ainsi que la valeur de L(S) correspondant sont illustr´es `a la table 6.2.

Les trois classes identifi´ees dans [LP07] correspondent aux num´eros 41, 42 et 44.

repr´esentant c_I c_{I I} c_{I I I} c_V L(S) 1 {0,1,2,3,4,5,6,7,8,9,10,14,11,12,13,15} 12 2 0 1 16 2 {0,1,2,3,4,5,6,7,8,9,10,11,12,15,13,14} 12 0 0 3 16 3 {0,1,2,3,4,5,6,12,8,7,9,10,11,13,14,15} 10 5 0 0 12 4 {0,1,2,3,4,5,6,7,8,9,10,12,11,15,13,14} 8 6 0 1 16 5 {0,1,2,3,4,5,6,7,8,9,10,15,11,12,13,14} 8 4 2 1 16 6 {0,1,2,3,4,5,6,7,8,9,10,12,11,13,15,14} 8 4 0 3 16 7 {0,1,2,3,4,5,15,14,8,9,6,7,10,11,12,13} 8 0 7 0 12 8 {0,1,2,3,4,5,6,7,8,9,15,14,10,11,12,13} 8 0 6 1 16 9 {0,1,2,3,4,5,6,7,8,9,10,11,15,12,13,14} 8 0 4 3 16 10 {0,1,2,3,4,5,6,7,8,9,10,11,12,13,15,14} 8 0 0 7 16 11 {0,1,2,3,4,5,6,9,8,7,10,14,11,12,13,15} 7 8 0 0 12 12 {0,1,2,3,4,5,6,12,8,7,9,10,11,13,15,14} 7 7 1 0 12 13 {0,1,2,3,4,5,6,9,8,7,15,10,11,12,13,14} 6 9 0 0 12 14 {0,1,2,3,4,5,6,9,8,7,14,10,11,15,12,13} 6 8 1 0 12 15 {0,1,2,3,4,5,6,9,8,7,10,12,11,13,15,14} 6 8 0 1 16 16 {0,1,2,3,4,5,6,9,8,7,15,14,10,11,12,13} 6 6 3 0 12

Dans le document The DART-Europe E-theses Portal (Page 137-144)