Structures ` a somme nulle et leurs propri´ et´ es

Distingueurs ` a somme nulle

3.2 Structures ` a somme nulle et leurs propri´ et´ es

Au cours de cette thèse, nous avons étudié et formalisé la notion de distingueur à somme nulle. Ce travail a été présenté à la conférence SAC 2010 [BC11b], avec Anne Canteaut. Nous avons également montré plusieurs applications de ces distingueurs [BC10,BC11b,BCD11].

Définition 3.1. Soit F une fonction de Fⁿ₂ dans F^m₂ . Une somme nulle de taille k pour F est un sous-ensemble {x₁,. . . , x_k} ⊂Fⁿ₂ d’éléments dont la somme est nulle et dont la somme des images correspondantes par F est également nulle :

i=1

x_i = Xk

i=1

F(x_i) = 0.

3.2.1 Taille minimale d’une somme nulle

La première question que nous pouvons nous poser est, quelle est la plus petite taille des sommes nulles existant pour une fonction vectorielle F? Pour répondre à ceci, nous avons eu recours à la théorie des codes correcteurs d’erreurs. Plus précisément, nous avons montré qu’il est possible d’associer les sommes nulles aux codes correcteurs d’erreurs ainsi qu’aux fonctions APN. Grâce à ces relations, nous avons pu montrer que chaque fonction vectorielle possède au moins une somme nulle de taille au moins 5. De plus, si la fonction F est APN, alors des sommes nulles de taille strictement inférieure à 5 ne peuvent pas exister pour F.

Tout cela est r´esum´e dans la proposition3.2.

Pour présenter ces résultats, nous allons utiliser la notation courante de la théorie algébrique des codes (cf. [MS78]). Un code linéaire binaire C de longueurnet de dimension k, noté par [n, k], est un sous-espace de Fⁿ₂ de dimension k. Un tel code peut être représenté par une matrice binaire G, de taille k×n, appeléematrice génératrice de C :

C={xG, x∈F^k₂}.

Tout code [n, k]-linéaire, C, peut être associé à son code dual, noté par C^⊥ et ayant comme paramètres [n, n−k]. Le code dualC^⊥ est défini de la fa¸con suivante :

C^⊥={x∈Fⁿ₂ : x·c= 0, pour tout c∈ C}={y ∈Fⁿ₂ :Gy= 0}.

Il est possible d’associer à chaque fonction vectorielleF deFⁿ₂ dansF^m₂ un code linéaireCF. Pour cela, nous notons par (x_i, 0 ≤ i < 2ⁿ) l’ensemble de tous les éléments de Fⁿ₂. Nous associonsF au code linéaire CF de longueur 2ⁿ et de dimensionn+m, défini par la matrice génératrice suivante :

G_F =

x₀ x₁ x₂ x₃ · · · x₂ⁿ₋₁ F(x0) F(x1) F(x2) F(x3) · · · F(x2ⁿ−1)

, o`u chaque entr´ee de la matrice est vue comme un vecteur colonne binaire.

Proposition 3.1. Soit F une fonction de Fⁿ₂ dans F^m₂ . L’ensemble {xi1, . . . , xik} ⊂ Fⁿ₂ est une somme nulle pour F si et seulement si le vecteur de poids de Hamming k de support {i₁, . . . , i_k} appartient au code dual CF^⊥.En particulier, si m=n, nous d´eduisons que :

– il existe au moins une somme nulle de taille 5 pourF

– aucune somme nulle de taille inférieure ou égale à 4 n’existe pourF si et seulement si F est une fonction APN.

Démonstration. Par définition du code dual, un vecteur binaire (c₀,. . . , c₂ⁿ₋₁) appartient à C_F^⊥ si et seulement si

2Xⁿ−1

i=0

cixi= 0 et

2Xⁿ−1

i=0

ciF(xi) = 0.

Ceci est équivalent à dire que le support dec, c’est-à-dire l’ensemble {i:c_i = 1}, définit une somme nulle pour F. La taille de cette somme nulle correspond au poids de Hamming du mot du code. Si m = n, le code C_F^⊥ est un code linéaire de longueur 2ⁿ et de dimension 2ⁿ−2n. Il est connu que la distance minimale d’un code linéaire ayant ces paramètres ne peut pas dépasser 5 [DZ84,BT93]. La correspondance entre la propriété APN et le fait queCF^⊥ ait une distance minimale 5, a été établie dans [CCZ98]. Par ailleurs, comme la taille minimale possible pour une somme nulle est 3, F a des sommes nulles de taille 3 ou 4 si et seulement si F n’est pas une fonction APN.

3.2.2 Algorithmes g´en´eriques

Il est facile de voir que siF est une fonction deFⁿ₂ dansF^m₂ choisie aléatoirement, alors un ensemble d’éléments de Fⁿ₂ de taillek est une somme nulle pourF avec probabilité 2⁻^(n+m). Il existe des algorithmes génériques qui trouvent des sommes nulles pour une fonction F.

La plus connue des méthodes est l’algorithme de David Wagner pour le problème des anniversaires généralisé [Wag02]. Dans l’article d’origine, ce problème est aussi mentionné comme leproblème de k-sommeset est formulé de la manière suivante.

Définition 3.2. Etant données´ klistesL₁, . . . , L_kd’éléments uniformément et indépendamment distribués dans {0,1}ⁿ, trouver x₁ ∈L₁, . . . , x_k∈L_k tels que

x1⊕ · · · ⊕xk= 0.

L’algorithme que Wagner propose est assez efficace pour des tailles qui sont des puissances de 2. Si k= 2^κ, alors l’algorithme trouve une somme nulle avec complexit´e

2^n+m^κ+1^+κ .

Cette complexit´e correspond aux 2^n+m^κ+1^+κ ´evaluations de la fonction F afin de construire les 2^κ listes initiales de taille 2^n+m^κ+1.

Si la taille de la somme nulle,k, est supérieure àn+m, l’algorithme de Wagner peut être amélioré par l’attaque XHASH, due à Mihir Bellare et Daniele Micciancio [BM97], comme cela a été remarqué dans [AKK⁺10,BDPV10]. La complexité de cet algorithme est de l’ordre k évaluations de F. L’algorithme de Wagner a donc le même comportement seulement pour k≥2^√^n+m.

Un algorithme générique, inspiré par l’attaque XHASH, a été décrit par Bertoni et al.

dans [BDPV10]. Il s’agit de l’algorithme 2. Soit F une fonction de Fⁿ₂ dansF^m₂ . Notons par Xi =

x_i F(x_i)

3.2. STRUCTURES À SOMME NULLE ET LEURS PROPRI ÉT ÉS 55 le vecteur colonne comportant n+m lignes, composé des coordonnées de x_i suivi par les coordonnées deF(x_i). L’algorithme se déroule de la manière suivante.

Algorithme 2: Méthode générique pour la recherche des sommes nulles Résultat: Un ensembleZ ={z₁,. . . , z_k} ⊂Fⁿ₂ tel queP_k

Choisir al´eatoirement tvaleursy_i ∈Fⁿ₂; pour ide 1 `a t faire

Résoudre le système linéaire den+méquations en les n+m+εvariables binaires a_i ((Xi⊕Yi) sont vus comme des coefficients constants) :

L’ensembleZ forme une somme nulle. En effet, en ajoutant les ´equations (3.1) et (3.2) on obtient :

La valeur deεest liée à la probabilité que le système (3.2) ait une solution. Plus la valeur deεest grande, plus la probabilité augmente.

La complexité de l’algorithme correspond principalement aux k+n+m+εévaluations de F, puis à la résolution du système linéaire qui peut être faite en O((n+m)³).

Algorithme de décodage par ensembles d’informations Des algorithmes génériques basés sur les codes correcteurs d’erreurs peuvent également être utilisés pour résoudre ce problème. En particulier, l’algorithme de décodage par ensembles d’informations et ses vari-antes [CC98] ainsi que les techniques proposées récemment [MMT11, BJMM12] peuvent améliorer la complexité des algorithmes précédents pour des sommes nulles de petite taille [FS09]. En revanche, toutes ces méthodes prennent en entrée une matrice génératrice et nécessitent donc une évaluation complète de la fonction F.

Relation avec les codes de Reed-Muller

Les structures à somme nulle sont également liées aux codes correcteurs de Reed-Muller.

Le code de Reed MullerR(n, r), 0≤r≤n, est un code linéaire de longueur 2ⁿet d’ordrer. Un tel code peut être décrit à l’aide des fonctions booléennes. Plus précisément, le code R(n, r) correspond à l’ensemble des fonctions booléennes en n variables dont le degré algébrique est au plus r. Ainsi, le code CF associé à une fonction F à n variables d’entrée est inclus dans le code de Reed-Muller R(n, r). Or, le code dual de R(n, r) est le code R(n, n−r−1). On en déduit donc que R(n, n−degF −1) est inclus dans CF^⊥, ce qui implique que les mots de R(n, n−degF−1) définissent des sommes nulles pourF.

Le th´eor`eme suivant donne les mots de poids minimal des codes de Reed-Muller.

Th´eor`eme 3.1. ([MS78], Chapitre13) Les mots deR(n, r)de poids minimal sont exactement les sous-espaces affines de codimension r.

Ainsi, les sous-espaces affines de dimension (degF+1), qui sont les mots de poids minimal deR(n, n−degF−1) sont des sommes nulles deF. Autrement dit, siV un sous-espace affine de dimension deg(F) + 1, nous avons que :

v∈V

F(v+x) = 0, pour chaquex∈Fⁿ₂.

Ceci correspond ´egalement au r´esultat de la proposition2.6.

Dans le document The DART-Europe E-theses Portal (Page 70-73)