Feuille d’exercices 6

(1)

Université Paris 7 – M2 MIC 21-22

Cryptographie symétrique 15 novembre 2021

Feuille d’exercices 6

Résistance aux corrélations des fonctions booléennes

Unefonction booléenneest une fonctionf :Fⁿ₂→F2. Sonsupportest supp(f)={x∈F₂ⁿ/f(x)=1}. Sonpoids de Hamming est wt(f)=|supp(f)|. Une fonction booléennef :Fⁿ₂→F2estéquilibréequand wt(f)=2ⁿ⁻¹.

On munitF2de l’ordre≤vériﬁant 0≤1, et on note¹l’ordre produit surFⁿ₂, déﬁni par (u=(u1, . . . ,un),v=(v1, . . . ,vn)) : u¹v≡ ∀i∈{1, . . . ,n}ui≤vi.

SoientX1, . . . ,Xn des variables aléatoires à valeur dansF2, indépendantes et équilibrées (P(Xi=0)=P(Xi=1)=¹₂). Une fonctionf :Fⁿ₂→F2estrésistante aux corrélations à l’ordre mquand pour tout sous-ensemble de taillek≤mde {1, . . . ,n} , soit M={i1, . . . ,ik}, la variable aléatoireZ = f(X1, . . . ,Xn) est indépendante des Xi, i ∈M. Quand Z est également équilibrée, on dit que la fonctionf est m-résiliente.

Exercice 1. Les fonctionsf :F³₂→F2etg:F⁴₂→F2déﬁnies ci-dessous sont elles équilibrées ? Résistent-elles aux corréla- tions à l’ordre 1 ?

f(x1,x2,x3)=x1x2+x1x3+x2x3; g(x1,x2,x3,x4)=x1x2+x1x3+x2x3+x4.

Exercice 2 (d’après Siegenthaler 84). Pourx=(x1, . . . ,xn),u=(u1, . . . ,un), u∈Fⁿ₂, on convient de noterx^ule monôme x^u=Q_n

i=1x_i^uⁱ (où les éléments 0 et 1 deF2sont identiﬁés aux entiers 0 et 1).

1. Soitf une fonction deFⁿ₂ dansF2. Rappeler pourquoif est une fonction polynomiale (à plusieurs variables), et s’écrit de façon unique comme une somme de monômes où chaque variable est de degré au plus 1, appeléeforme algébrique normale. Le degré def, noté deg(f), est le degré de sa forme algébrique normale. On notera :

f(x)= X

u∈Fⁿ₂

aux^u (notation conservée pour les questions suivantes).

2. La fonctiona:u7→auest une fonction boooléenne à n arguments. Vériﬁer que la transfomation : f 7→a est involutive, plus précisément vériﬁer que :

f(u)=X

v¹u

av et au=X

v¹u

f(v) .

3. On pose supp_u(f)={v¹u/ f(v)=1}, wtu(f)=|supp_u(f)|. On note1le vecteur constant deFⁿ₂ égal à 1,1_≤k le vecteur deFⁿ₂ dont lesk premiers bits sont à 1 et les suivants à 0. Clairement supp₁(f)=supp(f). On note Iu={1≤i≤n/ui=1}. Les variables aléatoiresX1, . . . ,XnetZsont comme ci-dessus.

a. Montrer queau=1 si et seulement si wtu(f) est impair.

b. ExprimerP(Z=1) en fonction de wt(f), et plus généralement,P(Z =1|Xi =0 pouri ∉Iu) en fonction de wtu(f).

c. En déduire que sif résiste aux corrélations à l’ordrem, et sin−m≤|Iu|≤n, alors wt_u(f)=2^|I^u^|−nwt(f)=2^|I^u^|−(n−m)wt₁_≤_n₋_m(f) .

d. En déduire que sif résiste aux corrélations à l’ordrem, alors elle est de degré au plusn−m, et que si de plusf est équilibrée, alors elle est de degré au plusn−m−1 sauf sin=m+1.

Exercice 3 (d’après Siegenthaler 84).

1. On suppose quef1etf2sont deux fonctions distinctes deFⁿ₂→F2résistantes aux corrélations à l’ordreméquili- brées. Montrez que la fonctionf :Fⁿ₂⁺¹→F2est équilibrée et résistante aux corrélations à l’ordrem:

f(x1, . . . ,xn+1)=xn+1f1(x1, . . . ,xn)+(1+xn+1)f2(x1, . . . ,xn) .

2. Montrer que pourn≥2, les fonctionsgk:Fⁿ₂→F2sont équilibrées et résistent aux corrélations à l’ordren−2 : gk(x1, . . . ,xn)=X

i6=k

xi1≤k≤n.

3. Utiliser les résultats des deux questions précédentes et de l’exercice précédent pour montrer que la fonctionhest équilibrée et résiste aux corrélations à l’ordre 2, mais pas à l’ordre 3 :

h(x1,x2,x3,x4,x5)=x1+x2+x4+x3x5+x4x5.

(2)

2

4. Indiquer comment construire une fonction de degré 2 àn+2 variables,n≥3, équilibrée et résistante aux corré- lations à l’ordren−1, une fonction de degrék àn+kvariables équilibrée et resistante aux corrélations à l’ordre n−1.

Pouru,v∈Fⁿ₂, on noteu·vle produit scalaire deuetv:

(u1, . . . ,un)·(v1, . . . ,vn)=u1v1+ ··· +unvn.

Une fonction booléenne linéaire ànarguments s’écritu^∗:x7→u·x(forme linéaire surFⁿ₂).

Sous les mêmes hypothèses sur lesXi qu’en début de feuille, lacorrélationde deux fonctionsf etg deFⁿ₂→F2est par déﬁnition :

C(f,g)=2P¡

f(X1, . . . ,Xn)=g(X1, . . . ,Xn)¢

−1 . On aC(f,g)∈[−1, 1],C(f,g)=1 ssif =g, etC(f,g)= −1 ssif =1−g.

Deux fonctionsf etgseront ditescorréléessiC(f,g)6=0,|C(f,g)|mesure l’amplitude de la corrélation.

À f :Fⁿ₂→F2on associe la fonction ˆf :Fⁿ₂→Rdéﬁnie par ˆf(u)=1 si f(u)=0, et ˆf(u)= −1 si f(u)=1. On note aussi fˆ(u)=(−1)^f^(u).

Étant données deux fonctionsα,β:Fⁿ₂→Ron note〈α,β〉 =P

u∈Fⁿ₂α(u)β(u), en particulier :

〈fˆ, ˆg〉 = X

u∈Fⁿ₂

(−1)^f^(u)(−1)^g^(u) (avec la convention ci-dessus)

Exercice 4. Vériﬁer que (α,β)7→ 〈α,β〉est un produit scalaire sur l’espace vectoriel réelR^Fⁿ² (∼R²ⁿ) (la norme associée est notée usuellement). Montrer que pour toutes fonctions booléennesf etgànarguments :

〈fˆ, ˆf〉 =2ⁿ; C(f,g)=〈fˆ, ˆg〉

2ⁿ = 〈fˆ, ˆg〉

∥fˆ∥∥gˆ∥(=cos( ˆf, ˆg)) . Exercice 5. 1. Montrer que la famille (uc^∗)_u_∈Fⁿ

2 est une base orthogonale deR^Fⁿ², dont tous les vecteurs ont pour norme 2ⁿ².

2. On appelletransformée de Hadamard-Walshd’une fonctionα:Fⁿ₂→R, la fonctionW_α:Fⁿ₂→Rqui àuassocie la coordonnée deαassociée àudans la base (2⁻ⁿuc^∗)_u_∈Fⁿ

2 (W_αdétermine doncα) :

∀x∈Fⁿ2 α(x)= 1 2ⁿ

X

u∈Fⁿ₂

W_α(u)(−1)^u^·^x.

Montrer que :

∀u∈Fⁿ2 W_α(u)= X

x∈Fⁿ₂α(x)(−1)^u^·^x

et que pour toute fonctionf :Fⁿ₂→F2,Wfˆ(u)=2ⁿC(f,u^∗), c’est-à-dire queWfˆ(u) est une mesure de la corrélation entref et la fonction booléenneu^∗.

3. Montrer que pour toute fonctionf :Fⁿ₂→F2(calculer la norme de ˆf de deux façons) : X

u∈Fⁿ₂

C(f,u^∗)²=1 (formule de Parseval)

Cette formule donne une relation entre le nombre de fonctions booléennes linéaires à laquelle f est corrélée et l’amplitude de ces corrélations. Ainsif est forcément corrélée à au moins une forme linéaire. Pour minimiser la corrélation d’une fonction booléenne aux formes linéaires, on peut choisir, quandn est pair, f telle que∀u∈ Fⁿ₂C(f,u^∗)=2⁻ⁿ² (fonction courbe), mais une telle fonction ne peut être équilibrée (exercice).

Exercice 6 (Xiao et Massey 1985). SoitZune variable aléatoire prenant un nombre ﬁni de valeurs réelles. SoientX1, . . . ,Xn

des variables aléatoires à valeur dansF2.

1. Montrer queZest indépendante deX =(X1, . . . ,Xn) si et seulement siZest indépendante de toutes les combi- naisons linéaires (dansF2) desXi (comparer, pourzﬁxé, les transformées de Walsh deα:x7→P(X=x|Z=z) et β:x7→P(X=x)).

2. On suppose de plusX1, . . . ,Xnindépendantes et équilibrées, etZ=f(X) oùf :Fⁿ₂→F2, etu∈Fⁿ₂,u6=0. Montrer queZest indépendante deu·XssiWfˆ(u)=0.

3. En déduire que la fonctionf :Fⁿ₂→F2résiste aux corrélations à l’ordremsi et seulement siWfˆ(u)=0 pour tout udeFⁿ₂dont au moins une et au plusmcomposantes sont non nulles, et quef est équilibrée si et seulement si Wfˆ(0)=0.