Fonctions Bool´eennes Courbes dans les Cas Impossibles : les Dimensions Impaires et Planes

Fonctions Bool ´eennes Courbes dans les Cas Impossibles : les Dimensions Impaires et

Planes

Laurent Poinsot

Universit ´e du Sud Toulon-Var (France)

Journ ´ees C2 2006

Plan

1 Rappels sur les syst `emes de chiffrement et les modifications au sens des actions de groupe

Rappels sur les syst `emes de chiffrement it ´er ´es par blocs Modifications au sens des actions de groupes

2 Rappels sur les fonctions courbes Fonctions parfaitement non lin ´eaires Ensembles `a diff ´erences

3 Approche au sens des actions de groupe Rappels sur les actions de groupe FonctionsG-PN

4 Constructions de fonctions bool ´eennes courbes impossibles Dimension Impaire

Dimension Plane

Plan

1 Rappels sur les syst `emes de chiffrement et les modifications au sens des actions de groupe

Rappels sur les syst `emes de chiffrement it ´er ´es par blocs Modifications au sens des actions de groupes

2 Rappels sur les fonctions courbes Fonctions parfaitement non lin ´eaires Ensembles `a diff ´erences

3 Approche au sens des actions de groupe Rappels sur les actions de groupe FonctionsG-PN

4 Constructions de fonctions bool ´eennes courbes impossibles Dimension Impaire

Dimension Plane

Plan

1 Rappels sur les syst `emes de chiffrement et les modifications au sens des actions de groupe

Rappels sur les syst `emes de chiffrement it ´er ´es par blocs Modifications au sens des actions de groupes

2 Rappels sur les fonctions courbes Fonctions parfaitement non lin ´eaires Ensembles `a diff ´erences

3 Approche au sens des actions de groupe Rappels sur les actions de groupe FonctionsG-PN

4 Constructions de fonctions bool ´eennes courbes impossibles Dimension Impaire

Dimension Plane

Plan

1 Rappels sur les syst `emes de chiffrement et les modifications au sens des actions de groupe

Rappels sur les syst `emes de chiffrement it ´er ´es par blocs Modifications au sens des actions de groupes

2 Rappels sur les fonctions courbes Fonctions parfaitement non lin ´eaires Ensembles `a diff ´erences

3 Approche au sens des actions de groupe Rappels sur les actions de groupe FonctionsG-PN

4 Constructions de fonctions bool ´eennes courbes impossibles Dimension Impaire

Dimension Plane

Plan de la pr ´esentation

1 Rappels sur les syst `emes de chiffrement et les modifications au sens des actions de groupe

Rappels sur les syst `emes de chiffrement it ´er ´es par blocs Modifications au sens des actions de groupes

2 Rappels sur les fonctions courbes Fonctions parfaitement non lin ´eaires Ensembles `a diff ´erences

3 Approche au sens des actions de groupe Rappels sur les actions de groupe FonctionsG-PN

4 Constructions de fonctions bool ´eennes courbes impossibles Dimension Impaire

Dimension Plane

Syst `emes de chiffrement it ´er ´es par blocs

Dans unsyst `eme de chiffrement par blocsles messages clairs et chiffr ´es sont consid ´er ´es comme des blocs de bits de taille identique ;

Dans un syst `eme de chiffrement par blocs `ar toursle bloc chiffr ´ex_r est obtenu `a partir d’un bloc de clairx₀parr it ´erations d’unefonction de tourT

x_i =T(x_i−1,k_i)1≤i ≤r

o `uk<sub>i</sub> est la (sous-)clef du i `eme tour ;

Exemples : Data Encryption Standard (DES), International Data Encryption Algorithm (IDEA) ou l’Advanced

Encryption Standard (AES).

Syst `emes de chiffrement it ´er ´es par blocs

Dans unsyst `eme de chiffrement par blocsles messages clairs et chiffr ´es sont consid ´er ´es comme des blocs de bits de taille identique ;

Dans un syst `eme de chiffrement par blocs `ar toursle bloc chiffr ´ex_r est obtenu `a partir d’un bloc de clairx₀parr it ´erations d’unefonction de tourT

x_i =T(x_i−1,k_i)1≤i ≤r

o `uk<sub>i</sub> est la (sous-)clef du i `eme tour ;

Exemples : Data Encryption Standard (DES), International Data Encryption Algorithm (IDEA) ou l’Advanced

Encryption Standard (AES).

Syst `emes de chiffrement it ´er ´es par blocs

Dans unsyst `eme de chiffrement par blocsles messages clairs et chiffr ´es sont consid ´er ´es comme des blocs de bits de taille identique ;

Dans un syst `eme de chiffrement par blocs `ar toursle bloc chiffr ´ex_r est obtenu `a partir d’un bloc de clairx₀parr it ´erations d’unefonction de tourT

x_i =T(x_i−1,k_i)1≤i ≤r

o `uk<sub>i</sub> est la (sous-)clef du i `eme tour ;

Exemples : Data Encryption Standard (DES), International Data Encryption Algorithm (IDEA) ou l’Advanced

Encryption Standard (AES).

Syst `emes de chiffrement it ´er ´es par blocs

Dans unsyst `eme de chiffrement par blocsles messages clairs et chiffr ´es sont consid ´er ´es comme des blocs de bits de taille identique ;

Dans un syst `eme de chiffrement par blocs `ar toursle bloc chiffr ´ex_r est obtenu `a partir d’un bloc de clairx₀parr it ´erations d’unefonction de tourT

x_i =T(x_i−1,k_i)1≤i ≤r

o `uk<sub>i</sub> est la (sous-)clef du i `eme tour ;

Exemples : Data Encryption Standard (DES), International Data Encryption Algorithm (IDEA) ou l’Advanced

Encryption Standard (AES).

Les boˆıtes-S

Des composantsinternesde la fonction de tour, lesboˆıtes-S, assurent la r ´esistance `a diverses attaques.En particulier, les boˆıtes-S doivent ˆetre(hautement) non lin ´eairesi.e.

Elles doivent ˆetre le plus ´eloign ´e possible des fonctions affines :fonctions courbes;

Elles doivent ˆetre tr `es diff ´erentes des morphismes de groupes :fonctions parfaitement non lin ´eaires.

Les boˆıtes-S

Des composantsinternesde la fonction de tour, lesboˆıtes-S, assurent la r ´esistance `a diverses attaques. En particulier, les boˆıtes-S doivent ˆetre(hautement) non lin ´eairesi.e.

Elles doivent ˆetre le plus ´eloign ´e possible des fonctions affines :fonctions courbes;

Elles doivent ˆetre tr `es diff ´erentes des morphismes de groupes :fonctions parfaitement non lin ´eaires.

Les boˆıtes-S

Des composantsinternesde la fonction de tour, lesboˆıtes-S, assurent la r ´esistance `a diverses attaques. En particulier, les boˆıtes-S doivent ˆetre(hautement) non lin ´eairesi.e.

Elles doivent ˆetre le plus ´eloign ´e possible des fonctions affines :fonctions courbes;

Elles doivent ˆetre tr `es diff ´erentes des morphismes de groupes :fonctions parfaitement non lin ´eaires.

Les boˆıtes-S

Des composantsinternesde la fonction de tour, lesboˆıtes-S, assurent la r ´esistance `a diverses attaques. En particulier, les boˆıtes-S doivent ˆetre(hautement) non lin ´eairesi.e.

Elles doivent ˆetre le plus ´eloign ´e possible des fonctions affines :fonctions courbes;

Elles doivent ˆetre tr `es diff ´erentes des morphismes de groupes :fonctions parfaitement non lin ´eaires.

Th ´eor `eme

Une fonction bool ´eenne est courbe si et seulement si elle est parfaitement non lin ´eaire.

Corollaire

La r ´esistance maximale `a l’attaque lin ´eaire est ´equivalente `a la r ´esistance maximale `a l’attaque diff ´erentielle.

Th ´eor `eme

Une fonction bool ´eenne est courbe si et seulement si elle est parfaitement non lin ´eaire.

Corollaire

La r ´esistance maximale `a l’attaque lin ´eaire est ´equivalente `a la r ´esistance maximale `a l’attaque diff ´erentielle.

Utilisation des boˆıtes-S et cryptanalyse diff ´erentielle

Une boˆıte-Sf est une fonction dembits en entr ´ee pourn bits en sortie ;

Une telle fonctionf intervient dans un tour juste apr `es la combinaison parOU-exclusif(XOR) entre le blocx_i−1et la clefk_i i.e.y =f(k_i⊕xi−1).

Lacryptanalyse diff ´erentielledeBiham & Shamirtire profit de cette combinaison par un XOR : les diff ´erences (au sens du XOR) entre deux sorties d’une boˆıte-S pour des entr ´ees dont la diff ´erence est fix ´ee doivent ˆetre proches de la distribution uniforme. Dans le cas contraire, le biais statistique peut ˆetre exploit ´e par l’attaque

diff ´erentielle afin de d ´ecouvrir la clef utilis ´ee lors du dernier tour.

Utilisation des boˆıtes-S et cryptanalyse diff ´erentielle

Une boˆıte-Sf est une fonction dembits en entr ´ee pourn bits en sortie ;

Une telle fonctionf intervient dans un tour juste apr `es la combinaison parOU-exclusif(XOR) entre le blocx_i−1et la clefk_i i.e.y =f(k_i⊕xi−1).

Lacryptanalyse diff ´erentielledeBiham & Shamirtire profit de cette combinaison par un XOR :les diff ´erences (au sens du XOR) entre deux sorties d’une boˆıte-S pour des entr ´ees dont la diff ´erence est fix ´ee doivent ˆetre proches de la distribution uniforme. Dans le cas contraire, le biais statistique peut ˆetre exploit ´e par l’attaque

diff ´erentielle afin de d ´ecouvrir la clef utilis ´ee lors du dernier tour.

Utilisation des boˆıtes-S et cryptanalyse diff ´erentielle

Une boˆıte-Sf est une fonction dembits en entr ´ee pourn bits en sortie ;

Une telle fonctionf intervient dans un tour juste apr `es la combinaison parOU-exclusif(XOR) entre le blocx_i−1et la clefk_i i.e.y =f(k_i⊕xi−1).

Lacryptanalyse diff ´erentielledeBiham & Shamirtire profit de cette combinaison par un XOR : les diff ´erences (au sens du XOR) entre deux sorties d’une boˆıte-S pour des entr ´ees dont la diff ´erence est fix ´ee doivent ˆetre proches de la distribution uniforme.Dans le cas contraire, le biais statistique peut ˆetre exploit ´e par l’attaque

diff ´erentielle afin de d ´ecouvrir la clef utilis ´ee lors du dernier tour.

Utilisation des boˆıtes-S et cryptanalyse diff ´erentielle

Une boˆıte-Sf est une fonction dembits en entr ´ee pourn bits en sortie ;

Une telle fonctionf intervient dans un tour juste apr `es la combinaison parOU-exclusif(XOR) entre le blocx_i−1et la clefk_i i.e.y =f(k_i⊕xi−1).

Lacryptanalyse diff ´erentielledeBiham & Shamirtire profit de cette combinaison par un XOR :les diff ´erences (au sens du XOR) entre deux sorties d’une boˆıte-S pour des entr ´ees dont la diff ´erence est fix ´ee doivent ˆetre proches de la distribution uniforme. Dans le cas contraire, le biais statistique peut ˆetre exploit ´e par l’attaque

diff ´erentielle afin de d ´ecouvrir la clef utilis ´ee lors du dernier tour.

Utilisation des boˆıtes-S et cryptanalyse diff ´erentielle

Une boˆıte-Sf est une fonction dembits en entr ´ee pourn bits en sortie ;

Une telle fonctionf intervient dans un tour juste apr `es la combinaison parOU-exclusif(XOR) entre le blocx_i−1et la clefk_i i.e.y =f(k_i⊕xi−1).

Lacryptanalyse diff ´erentielledeBiham & Shamirtire profit de cette combinaison par un XOR : les diff ´erences (au sens du XOR) entre deux sorties d’une boˆıte-S pour des entr ´ees dont la diff ´erence est fix ´ee doivent ˆetre proches de la distribution uniforme.Dans le cas contraire, le biais statistique peut ˆetre exploit ´e par l’attaque

diff ´erentielle afin de d ´ecouvrir la clef utilis ´ee lors du dernier tour.

Utilisation des boˆıtes-S et cryptanalyse diff ´erentielle

Une boˆıte-Sf est une fonction dembits en entr ´ee pourn bits en sortie ;

Une telle fonctionf intervient dans un tour juste apr `es la combinaison parOU-exclusif(XOR) entre le blocx_i−1et la clefk_i i.e.y =f(k_i⊕xi−1).

Lacryptanalyse diff ´erentielledeBiham & Shamirtire profit de cette combinaison par un XOR : les diff ´erences (au sens du XOR) entre deux sorties d’une boˆıte-S pour des entr ´ees dont la diff ´erence est fix ´ee doivent ˆetre proches de la distribution uniforme. Dans le cas contraire, le biais statistique peut ˆetre exploit ´e par l’attaque

diff ´erentielle afin de d ´ecouvrir la clef utilis ´ee lors du dernier tour.

Plan de la pr ´esentation

1 Rappels sur les syst `emes de chiffrement et les modifications au sens des actions de groupe

Rappels sur les syst `emes de chiffrement it ´er ´es par blocs Modifications au sens des actions de groupes

2 Rappels sur les fonctions courbes Fonctions parfaitement non lin ´eaires Ensembles `a diff ´erences

3 Approche au sens des actions de groupe Rappels sur les actions de groupe FonctionsG-PN

4 Constructions de fonctions bool ´eennes courbes impossibles Dimension Impaire

Dimension Plane

Autres lois de groupes

Le syst `eme IDEA deLai & Masseyutilise le XOR mais aussi l’addition dans un groupe cyclique et la multiplication dans un corps fini ;

GOST, l’analogue russe du DES, utilise l’addition dans un groupe cyclique ;

Alexander Pott ´ecrit : ”It seems that in most applications (in particular in cryptography) people use nonlinear functions on finite fields. However, there is no technical reason why you should restrict yourselves to this case.”.

Autres lois de groupes

Le syst `eme IDEA deLai & Masseyutilise le XOR mais aussi l’addition dans un groupe cyclique et la multiplication dans un corps fini ;

GOST, l’analogue russe du DES, utilise l’addition dans un groupe cyclique ;

Alexander Pott ´ecrit : ”It seems that in most applications (in particular in cryptography) people use nonlinear functions on finite fields. However, there is no technical reason why you should restrict yourselves to this case.”.

Autres lois de groupes

Le syst `eme IDEA deLai & Masseyutilise le XOR mais aussi l’addition dans un groupe cyclique et la multiplication dans un corps fini ;

GOST, l’analogue russe du DES, utilise l’addition dans un groupe cyclique ;

Alexander Pott ´ecrit : ”It seems that in most applications (in particular in cryptography) people use nonlinear functions on finite fields. However, there is no technical reason why you should restrict yourselves to this case.”.

Autres lois de groupes

Le syst `eme IDEA deLai & Masseyutilise le XOR mais aussi l’addition dans un groupe cyclique et la multiplication dans un corps fini ;

GOST, l’analogue russe du DES, utilise l’addition dans un groupe cyclique ;

Alexander Pott ´ecrit : ”It seems that in most applications (in particular in cryptography) people use nonlinear functions on finite fields. However, there is no technical reason why you should restrict yourselves to this case.”.

Combinaison par une action de groupe

Supposons que les clefs de tour sont choisies dans un groupe finiGqui agit sur un ensemble fini non videX via un homomorphisme de groupesφdeGdans le groupe sym ´etriqueS(X)deX et soitH un groupe fini ;

Dans ce cas les boˆıtes-S sont utilis ´ees comme suit :

y =f(φ(k_i)(x_i−1))

avecx_i−1∈X,y ∈H,k_i ∈Get o `uφ(k_i)(x_i−1)repr ´esente l’action de la clefk_i sur le messagex_i−1;

Notation : on posek.x =φ(k)(x). Le symbole ”.”

d ´esignant ainsi uneloi de composition externedeGsurX.

Combinaison par une action de groupe

Supposons que les clefs de tour sont choisies dans un groupe finiGqui agit sur un ensemble fini non videX via un homomorphisme de groupesφdeGdans le groupe sym ´etriqueS(X)deX et soitH un groupe fini ;

Dans ce cas les boˆıtes-S sont utilis ´ees comme suit :

y =f(φ(k_i)(x_i−1))

avecx_i−1∈X,y ∈H,k_i ∈Get o `uφ(k_i)(x_i−1)repr ´esente l’action de la clefk_i sur le messagex_i−1;

Notation : on posek.x =φ(k)(x). Le symbole ”.”

d ´esignant ainsi uneloi de composition externedeGsurX.

Combinaison par une action de groupe

Supposons que les clefs de tour sont choisies dans un groupe finiGqui agit sur un ensemble fini non videX via un homomorphisme de groupesφdeGdans le groupe sym ´etriqueS(X)deX et soitH un groupe fini ;

Dans ce cas les boˆıtes-S sont utilis ´ees comme suit :

y =f(φ(k_i)(x_i−1))

avecx_i−1∈X,y ∈H,k_i ∈Get o `uφ(k_i)(x_i−1)repr ´esente l’action de la clefk_i sur le messagex_i−1;

Notation : on posek.x =φ(k)(x). Le symbole ”.”

d ´esignant ainsi uneloi de composition externedeGsurX.

Combinaison par une action de groupe

Supposons que les clefs de tour sont choisies dans un groupe finiGqui agit sur un ensemble fini non videX via un homomorphisme de groupesφdeGdans le groupe sym ´etriqueS(X)deX et soitH un groupe fini ;

Dans ce cas les boˆıtes-S sont utilis ´ees comme suit :

y =f(φ(k_i)(x_i−1))

avecx_i−1∈X,y ∈H,k_i ∈Get o `uφ(k_i)(x_i−1)repr ´esente l’action de la clefk_i sur le messagex_i−1;

Notation : on posek.x =φ(k)(x). Le symbole ”.”

d ´esignant ainsi uneloi de composition externedeGsurX.

Combinaison par une action de groupe

Supposons que les clefs de tour sont choisies dans un groupe finiGqui agit sur un ensemble fini non videX via un homomorphisme de groupesφdeGdans le groupe sym ´etriqueS(X)deX et soitH un groupe fini ;

Dans ce cas les boˆıtes-S sont utilis ´ees comme suit :

y =f(φ(k_i)(x_i−1))

avecx_i−1∈X,y ∈H,k_i ∈Get o `uφ(k_i)(x_i−1)repr ´esente l’action de la clefk_i sur le messagex_i−1;

Notation : on posek.x =φ(k)(x). Le symbole ”.”

d ´esignant ainsi uneloi de composition externedeGsurX.

Attaque diff ´erentielle modifi ´ee

Trouver une paire(α, β)∈G×H telle que la probabilit ´e

Pr(R(α.x)−R(x) =β)

est la plus ´eloign ´ee possible de la distribution uniforme, o `u Rest lechiffrement r ´eduitd ´efini parR=T_kr−1◦. . .◦T_k1 avecT_k :x 7→T(x,k)(suppos ´ee inversible∀k) ;

Tirer au hasard un texte clairx₀et soumettre au

chiffrement `a la foisx₀etα.x₀. On obtient deux couples clair/chiffr ´e :(x₀,x_r)et(α.x₀,x_r⁰);

Trouver toutes les valeurs possibleskˆ_r pour la clef du dernier tour telles que

T_ˆ⁻¹

kr

(x_r⁰)−T_ˆ⁻¹

kr

(x_r) =β .

Attaque diff ´erentielle modifi ´ee

Trouver une paire(α, β)∈G×H telle que la probabilit ´e

Pr(R(α.x)−R(x) =β)

est la plus ´eloign ´ee possible de la distribution uniforme, o `u Rest lechiffrement r ´eduitd ´efini parR=T_kr−1◦. . .◦T_k1 avecT_k :x 7→T(x,k)(suppos ´ee inversible∀k) ;

Tirer au hasard un texte clairx₀et soumettre au

chiffrement `a la foisx₀etα.x₀. On obtient deux couples clair/chiffr ´e :(x₀,x_r)et(α.x₀,x_r⁰);

Trouver toutes les valeurs possibleskˆ_r pour la clef du dernier tour telles que

T_ˆ⁻¹

kr

(x_r⁰)−T_ˆ⁻¹

kr

(x_r) =β .

Attaque diff ´erentielle modifi ´ee

Trouver une paire(α, β)∈G×H telle que la probabilit ´e

Pr(R(α.x)−R(x) =β)

est la plus ´eloign ´ee possible de la distribution uniforme, o `u Rest lechiffrement r ´eduitd ´efini parR=T_kr−1◦. . .◦T_k1 avecT_k :x 7→T(x,k)(suppos ´ee inversible∀k) ;

Tirer au hasard un texte clairx₀et soumettre au

chiffrement `a la foisx₀etα.x₀. On obtient deux couples clair/chiffr ´e :(x₀,x_r)et(α.x₀,x_r⁰);

Trouver toutes les valeurs possibleskˆ_r pour la clef du dernier tour telles que

T_ˆ⁻¹

kr

(x_r⁰)−T_ˆ⁻¹

kr

(x_r) =β .

Attaque diff ´erentielle modifi ´ee

Trouver une paire(α, β)∈G×H telle que la probabilit ´e

Pr(R(α.x)−R(x) =β)

est la plus ´eloign ´ee possible de la distribution uniforme, o `u Rest lechiffrement r ´eduitd ´efini parR=T_kr−1◦. . .◦T_k1 avecT_k :x 7→T(x,k)(suppos ´ee inversible∀k) ;

Tirer au hasard un texte clairx₀et soumettre au

chiffrement `a la foisx₀etα.x₀. On obtient deux couples clair/chiffr ´e :(x₀,x_r)et(α.x₀,x_r⁰);

Trouver toutes les valeurs possibleskˆ_r pour la clef du dernier tour telles que

T_ˆ⁻¹

kr

(x_r⁰)−T_ˆ⁻¹

kr

(x_r) =β .

Objectif

Le but de cette pr ´esentation est de montrer qu’il existe des boˆıtes-S qui assurent une r ´esistance maximale face `a cette attaque diff ´erentielle modifi ´ee.

En particulier il existe de telles fonctions dans des cas o `u l’approche traditionnelle conclut `a la non-existence de tels objets.

Objectif

Le but de cette pr ´esentation est de montrer qu’il existe des boˆıtes-S qui assurent une r ´esistance maximale face `a cette attaque diff ´erentielle modifi ´ee.

En particulier il existe de telles fonctions dans des cas o `u l’approche traditionnelle conclut `a la non-existence de tels objets.

Plan de la pr ´esentation

1 Rappels sur les syst `emes de chiffrement et les modifications au sens des actions de groupe

Rappels sur les syst `emes de chiffrement it ´er ´es par blocs Modifications au sens des actions de groupes

2 Rappels sur les fonctions courbes Fonctions parfaitement non lin ´eaires Ensembles `a diff ´erences

3 Approche au sens des actions de groupe Rappels sur les actions de groupe FonctionsG-PN

4 Constructions de fonctions bool ´eennes courbes impossibles Dimension Impaire

Dimension Plane

Dans cette pr ´esentation,G^∗d ´esigne l’ensemble des ´el ´ements non nuls d’un groupeG(en notation additive).Pourk un entier naturel non nul quelconque,V_k d ´esigne un espace vectoriel de dimensionk sur le corps finiGF(2).

D ´efinition

Une fonction bool ´eennef :Vm→Vnest diteparfaitement non lin ´eaire (PN)si pour chaque(α, β)∈V_m^∗ ×V_n,

|{x ∈V_m|f(α⊕x)⊕f(x) =β}|=2^m−n.

Une fonction bool ´eenne est courbe si et seulement si elle est PN.

Dans cette pr ´esentation,G^∗d ´esigne l’ensemble des ´el ´ements non nuls d’un groupeG(en notation additive). Pourk un entier naturel non nul quelconque,V_k d ´esigne un espace vectoriel de dimensionk sur le corps finiGF(2).

D ´efinition

Une fonction bool ´eennef :Vm→Vnest diteparfaitement non lin ´eaire (PN)si pour chaque(α, β)∈V_m^∗ ×V_n,

|{x ∈V_m|f(α⊕x)⊕f(x) =β}|=2^m−n.

Une fonction bool ´eenne est courbe si et seulement si elle est PN.

Dans cette pr ´esentation,G^∗d ´esigne l’ensemble des ´el ´ements non nuls d’un groupeG(en notation additive). Pourk un entier naturel non nul quelconque,V_k d ´esigne un espace vectoriel de dimensionk sur le corps finiGF(2).

D ´efinition

Une fonction bool ´eennef :Vm→Vnest diteparfaitement non lin ´eaire (PN)si pour chaque(α, β)∈V_m^∗ ×V_n,

|{x ∈V_m|f(α⊕x)⊕f(x) =β}|=2^m−n.

Une fonction bool ´eenne est courbe si et seulement si elle est PN.

Dans cette pr ´esentation,G^∗d ´esigne l’ensemble des ´el ´ements non nuls d’un groupeG(en notation additive). Pourk un entier naturel non nul quelconque,V_k d ´esigne un espace vectoriel de dimensionk sur le corps finiGF(2).

D ´efinition

Une fonction bool ´eennef :Vm→Vnest diteparfaitement non lin ´eaire (PN)si pour chaque(α, β)∈V_m^∗ ×V_n,

|{x ∈V_m|f(α⊕x)⊕f(x) =β}|=2^m−n.

Une fonction bool ´eenne est courbe si et seulement si elle est PN.

Cas impossibles

Th ´eor `eme

Sif :V_m→V_nest courbe alorsmest pairetm≥2n.

Dimension impaire:mest impair ; Dimension plane:m=n.

Cas impossibles

Th ´eor `eme

Sif :V_m→V_nest courbe alorsmest pairetm≥2n.

Dimension impaire:mest impair ; Dimension plane:m=n.

Cas impossibles

Th ´eor `eme

Sif :V_m→V_nest courbe alorsmest pairetm≥2n.

Dimension impaire:mest impair ; Dimension plane:m=n.

Plan de la pr ´esentation

1 Rappels sur les syst `emes de chiffrement et les modifications au sens des actions de groupe

Rappels sur les syst `emes de chiffrement it ´er ´es par blocs Modifications au sens des actions de groupes

2 Rappels sur les fonctions courbes Fonctions parfaitement non lin ´eaires Ensembles `a diff ´erences

3 Approche au sens des actions de groupe Rappels sur les actions de groupe FonctionsG-PN

4 Constructions de fonctions bool ´eennes courbes impossibles Dimension Impaire

Dimension Plane

D ´efinition

SoitGun groupe fini de cardinalv etDun sous-ensemble de Gde cardinalk.Dest un(v,k, λ)-ensemble `a diff ´erencesdeG si pour chaqueα∈G^∗, l’ ´equationx−y =αadmet exactement λsolutions(x,y)∈D².

Dest unensemble `a diff ´erences de Hadamardsi l’on a (v,k, λ) = (4N²,2N²±N,N²±N) pour un certain entierN.

D ´efinition

SoitGun groupe fini de cardinalv etDun sous-ensemble de Gde cardinalk.Dest un(v,k, λ)-ensemble `a diff ´erencesdeG si pour chaqueα∈G^∗, l’ ´equationx−y =αadmet exactement λsolutions(x,y)∈D².

Dest unensemble `a diff ´erences de Hadamardsi l’on a

(v,k, λ) = (4N²,2N²±N,N²±N)

pour un certain entierN.

Th ´eor `eme

Une fonctionf :V_m→GF(2)est PN si et seulement si son supportS_f :={x ∈V_m|f(x)6=0}est un ensemble `a diff ´erences de Hadamard deVm.

Plan de la pr ´esentation

1 Rappels sur les syst `emes de chiffrement et les modifications au sens des actions de groupe

Rappels sur les syst `emes de chiffrement it ´er ´es par blocs Modifications au sens des actions de groupes

2 Rappels sur les fonctions courbes Fonctions parfaitement non lin ´eaires Ensembles `a diff ´erences

3 Approche au sens des actions de groupe Rappels sur les actions de groupe FonctionsG-PN

4 Constructions de fonctions bool ´eennes courbes impossibles Dimension Impaire

Dimension Plane

SoitGun groupe etX un ensemble non vide.

Uneaction de groupedeGsurX est un homomorphisme de groupeφ:G→S(X);

L’action de groupe est ditefid `elesiφest injectif ; Notation : on poseα.x :=φ(α)(x).

SoitGun groupe etX un ensemble non vide.

Uneaction de groupedeGsurX est un homomorphisme de groupeφ:G→S(X);

L’action de groupe est ditefid `elesiφest injectif ; Notation : on poseα.x :=φ(α)(x).

SoitGun groupe etX un ensemble non vide.

Uneaction de groupedeGsurX est un homomorphisme de groupeφ:G→S(X);

L’action de groupe est ditefid `elesiφest injectif ; Notation : on poseα.x :=φ(α)(x).

SoitGun groupe etX un ensemble non vide.

Uneaction de groupedeGsurX est un homomorphisme de groupeφ:G→S(X);

L’action de groupe est ditefid `elesiφest injectif ; Notation : on poseα.x :=φ(α)(x).

Exemples

Un groupeGagit sur lui-m ˆeme par translation : α.x :=α+x;

SoitW un sous-espace vectoriel deV. AlorsW agit fid `element surV par translation :w.v =w+v;

Le groupe multiplicatifK^∗ agit fid `element sur le corpsK par multiplication :α.x =αx.

Exemples

Un groupeGagit sur lui-m ˆeme par translation : α.x :=α+x;

SoitW un sous-espace vectoriel deV. AlorsW agit fid `element surV par translation :w.v =w+v;

Le groupe multiplicatifK^∗ agit fid `element sur le corpsK par multiplication :α.x =αx.

Exemples

Un groupeGagit sur lui-m ˆeme par translation : α.x :=α+x;

SoitW un sous-espace vectoriel deV. AlorsW agit fid `element surV par translation :w.v =w+v;

Le groupe multiplicatifK^∗ agit fid `element sur le corpsK par multiplication :α.x =αx.

Exemples

Un groupeGagit sur lui-m ˆeme par translation : α.x :=α+x;

SoitW un sous-espace vectoriel deV. AlorsW agit fid `element surV par translation :w.v =w+v;

Le groupe multiplicatifK^∗ agit fid `element sur le corpsK par multiplication :α.x =αx.

Plan de la pr ´esentation

1 Rappels sur les syst `emes de chiffrement et les modifications au sens des actions de groupe

Rappels sur les syst `emes de chiffrement it ´er ´es par blocs Modifications au sens des actions de groupes

2 Rappels sur les fonctions courbes Fonctions parfaitement non lin ´eaires Ensembles `a diff ´erences

3 Approche au sens des actions de groupe Rappels sur les actions de groupe FonctionsG-PN

4 Constructions de fonctions bool ´eennes courbes impossibles Dimension Impaire

Dimension Plane

D ´efinition

SoitGun groupe fini agissant fid `element surVm. La fonction bool ´eennef :V_m→V_nest diteG-parfaitement non lin ´eaire (G-PN)si pour chaque(α, β)∈G^∗×V_n,

|{x ∈V_m|f(α.x)⊕f(x) =β}|=2^m−n.

D ´efinition

SoitGun groupe fini agissant fid `element surVm. La fonction bool ´eennef :V_m→V_nest diteG-parfaitement non lin ´eaire (G-PN)si pour chaque(α, β)∈G^∗×V_n,

|{x ∈V_m|f(α.x)⊕f(x) =β}|=2^m−n.

D ´efinition

SoitGun groupe fini agissant fid `element sur un ensemble fini non videX de cardinalv etDun sous-ensemble deX de cardinalk.Dest unG-(v,k, λ)-ensemble `a diff ´erencesdeX si pour chaqueα∈G^∗, l’ ´equationx =α.y admet exactementλ solutions(x,y)∈D².

Th ´eor `eme

SoitGun groupe fini agissant fid `element sur l’espace vectoriel V<sub>m</sub>. Une fonction bool ´eennef :V<sub>m</sub>→GF(2)estG-PN si et seulement si son supportS<sub>f</sub> est unG-ensemble `a diff ´erences deVm dont les param `etres(v,k, λ)satisfont l’ ´egalit ´e

v =4(k −λ).

Th ´eor `eme

SoitGun groupe fini agissant fid `element sur l’espace vectoriel V<sub>m</sub>. Une fonction bool ´eennef :V<sub>m</sub>→GF(2)estG-PN si et seulement si son supportS<sub>f</sub> est unG-ensemble `a diff ´erences deVm dont les param `etres(v,k, λ)satisfont l’ ´egalit ´e

v =4(k −λ).

Plan de la pr ´esentation

1 Rappels sur les syst `emes de chiffrement et les modifications au sens des actions de groupe

Rappels sur les syst `emes de chiffrement it ´er ´es par blocs Modifications au sens des actions de groupes

2 Rappels sur les fonctions courbes Fonctions parfaitement non lin ´eaires Ensembles `a diff ´erences

3 Approche au sens des actions de groupe Rappels sur les actions de groupe FonctionsG-PN

4 Constructions de fonctions bool ´eennes courbes impossibles Dimension Impaire

Dimension Plane

Concat ´enation d’ensembles `a diff ´erences de Hadamard

Une action deGsurX induit une partition deX constitu ´ee d’orbitesO(x) ={α.x|α∈G}=G.x pourx ∈X.

On dit que l’action estlibresi quel que soitx ∈X,|G|=|O(x)|.

Notons qu’une action libre est fid `ele.

Soit doncGun groupe fini agissantlibrementsurVm. On suppose en outre queGcontient des ensembles `a diff ´erences de Hadamard classiques (en particulier|G|=4N²).

Pour chaquex ∈Vm, l’application orbitale dex d ´efinie par

φx : G → O(x)⊂V_m α 7→ α.x

est bijective.

Concat ´enation d’ensembles `a diff ´erences de Hadamard

Une action deGsurX induit une partition deX constitu ´ee d’orbitesO(x) ={α.x|α∈G}=G.x pourx ∈X.

On dit que l’action estlibresi quel que soitx ∈X,|G|=|O(x)|.

Notons qu’une action libre est fid `ele.

Soit doncGun groupe fini agissantlibrementsurVm. On suppose en outre queGcontient des ensembles `a diff ´erences de Hadamard classiques (en particulier|G|=4N²).

Pour chaquex ∈Vm, l’application orbitale dex d ´efinie par

φx : G → O(x)⊂V_m α 7→ α.x

est bijective.

Concat ´enation d’ensembles `a diff ´erences de Hadamard

Une action deGsurX induit une partition deX constitu ´ee d’orbitesO(x) ={α.x|α∈G}=G.x pourx ∈X.

On dit que l’action estlibresi quel que soitx ∈X,|G|=|O(x)|.

Notons qu’une action libre est fid `ele.

Soit doncGun groupe fini agissantlibrementsurVm. On suppose en outre queGcontient des ensembles `a diff ´erences de Hadamard classiques (en particulier|G|=4N²).

Pour chaquex ∈Vm, l’application orbitale dex d ´efinie par

φx : G → O(x)⊂V_m α 7→ α.x

est bijective.

Concat ´enation d’ensembles `a diff ´erences de Hadamard

Une action deGsurX induit une partition deX constitu ´ee d’orbitesO(x) ={α.x|α∈G}=G.x pourx ∈X.

On dit que l’action estlibresi quel que soitx ∈X,|G|=|O(x)|.

Notons qu’une action libre est fid `ele.

Soit doncGun groupe fini agissantlibrementsurVm. On suppose en outre queGcontient des ensembles `a diff ´erences de Hadamard classiques (en particulier|G|=4N²).

Pour chaquex ∈Vm, l’application orbitale dex d ´efinie par

φx : G → O(x)⊂V_m α 7→ α.x

est bijective.

Concat ´enation d’ensembles `a diff ´erences de Hadamard

A chaque orbiteOde la partition deVm, on associe un ´el ´ement x deV_m tel queO(x) =Oet un ensemble `a diff ´erences de HadamardDx deG. De la sorte on constitue un ensemble not ´e Vm/Gderepr ´esentants des orbites.

On peut montrer queφ_x(D_x)est unG-ensemble `a diff ´erences deO(x)dont les param `etres sont les m ˆemes que ceux de l’ensemble `a diff ´erences de HadamardDx.

Si(x,y)∈(V_m/G)²etx 6=y alorsφ_x(D_x)∩φ_y(D_y) =∅.

On d ´efinit alorsD:= [

x∈Vm/G

φx(Dx).

Concat ´enation d’ensembles `a diff ´erences de Hadamard

A chaque orbiteOde la partition deVm, on associe un ´el ´ement x deV_m tel queO(x) =Oet un ensemble `a diff ´erences de HadamardDx deG. De la sorte on constitue un ensemble not ´e Vm/Gderepr ´esentants des orbites.

On peut montrer queφ_x(D_x)est unG-ensemble `a diff ´erences deO(x)dont les param `etres sont les m ˆemes que ceux de l’ensemble `a diff ´erences de HadamardDx.

Si(x,y)∈(V_m/G)²etx 6=y alorsφ_x(D_x)∩φ_y(D_y) =∅.

On d ´efinit alorsD:= [

x∈Vm/G

φx(Dx).

Concat ´enation d’ensembles `a diff ´erences de Hadamard

A chaque orbiteOde la partition deVm, on associe un ´el ´ement x deV_m tel queO(x) =Oet un ensemble `a diff ´erences de HadamardDx deG. De la sorte on constitue un ensemble not ´e Vm/Gderepr ´esentants des orbites.

On peut montrer queφ_x(D_x)est unG-ensemble `a diff ´erences deO(x)dont les param `etres sont les m ˆemes que ceux de l’ensemble `a diff ´erences de HadamardDx.

Si(x,y)∈(V_m/G)²etx 6=y alorsφ_x(D_x)∩φ_y(D_y) =∅.

On d ´efinit alorsD:= [

x∈Vm/G

φx(Dx).

Concat ´enation d’ensembles `a diff ´erences de Hadamard

A chaque orbiteOde la partition deVm, on associe un ´el ´ement x deV_m tel queO(x) =Oet un ensemble `a diff ´erences de HadamardDx deG. De la sorte on constitue un ensemble not ´e Vm/Gderepr ´esentants des orbites.

On peut montrer queφ_x(D_x)est unG-ensemble `a diff ´erences deO(x)dont les param `etres sont les m ˆemes que ceux de l’ensemble `a diff ´erences de HadamardDx.

Si(x,y)∈(V_m/G)²etx 6=y alorsφ_x(D_x)∩φ_y(D_y) =∅.

On d ´efinit alorsD:= [

x∈Vm/G

φx(Dx).

Concat ´enation d’ensembles `a diff ´erences de Hadamard

A chaque orbiteOde la partition deVm, on associe un ´el ´ement x deV_m tel queO(x) =Oet un ensemble `a diff ´erences de HadamardDx deG. De la sorte on constitue un ensemble not ´e Vm/Gderepr ´esentants des orbites.

On peut montrer queφ_x(D_x)est unG-ensemble `a diff ´erences deO(x)dont les param `etres sont les m ˆemes que ceux de l’ensemble `a diff ´erences de HadamardDx.

Si(x,y)∈(V_m/G)²etx 6=y alorsφ_x(D_x)∩φ_y(D_y) =∅.

On d ´efinit alorsD:= [

x∈Vm/G

φx(Dx).

Concat ´enation d’ensembles `a diff ´erences de Hadamard

L’ensembleDainsi d ´efini est unG-

(2^m,(2N²−N)j+(2N²+N)(_4N^2m2−j),(N²−N)j+(N²+N)(_4N^2m2−j))- ensemble `a diff ´erences deVmo `ujest un entier entre 0 et _4N^2m2

d ´esignant le nombre d’ensembles `a diff ´erencesD<sub>x</sub> choisis dont les param `etres sont de la forme(4N²,2N²−N,N²−N).

Les param `etres deDsatisfont en particulier l’ ´equation v =4(k−λ).

Concat ´enation d’ensembles `a diff ´erences de Hadamard

L’ensembleDainsi d ´efini est unG-

(2^m,(2N²−N)j+(2N²+N)(_4N^2m2−j),(N²−N)j+(N²+N)(_4N^2m2−j))- ensemble `a diff ´erences deVmo `ujest un entier entre 0 et _4N^2m2

d ´esignant le nombre d’ensembles `a diff ´erencesD<sub>x</sub> choisis dont les param `etres sont de la forme(4N²,2N²−N,N²−N).

Les param `etres deDsatisfont en particulier l’ ´equation v =4(k−λ).

Concat ´enation d’ensembles `a diff ´erences de Hadamard

L’ensembleDainsi d ´efini est unG-

(2^m,(2N²−N)j+(2N²+N)(_4N^2m2−j),(N²−N)j+(N²+N)(_4N^2m2−j))- ensemble `a diff ´erences deVmo `ujest un entier entre 0 et _4N^2m2

d ´esignant le nombre d’ensembles `a diff ´erencesD<sub>x</sub> choisis dont les param `etres sont de la forme(4N²,2N²−N,N²−N).

Les param `etres deDsatisfont en particulier l’ ´equation v =4(k−λ).

Concat ´enation d’ensembles `a diff ´erences de Hadamard

On peut instancier la construction pr ´ec ´edente de mani `ere `a obtenir des fonctions bool ´eennes ” courbes ” en dimension impaire.

Soitmetk tels quem≥2k. On peut montrer queV_2k agit librement surV_met contient des ensembles `a diff ´erences de Hadamard.

D’apr `es le r ´esultat pr ´ec ´edent, on peut construire une fonction f :V_m→GF(2)qui estV_2k-PN m ˆeme simest un entierimpair, ce qui est ´evidemment impossible pour l’approche classique des fonctions courbes.

Concat ´enation d’ensembles `a diff ´erences de Hadamard

On peut instancier la construction pr ´ec ´edente de mani `ere `a obtenir des fonctions bool ´eennes ” courbes ” en dimension impaire.

Soitmetk tels quem≥2k. On peut montrer queV_2k agit librement surV_met contient des ensembles `a diff ´erences de Hadamard.

D’apr `es le r ´esultat pr ´ec ´edent, on peut construire une fonction f :V_m→GF(2)qui estV_2k-PN m ˆeme simest un entierimpair, ce qui est ´evidemment impossible pour l’approche classique des fonctions courbes.

Concat ´enation d’ensembles `a diff ´erences de Hadamard

On peut instancier la construction pr ´ec ´edente de mani `ere `a obtenir des fonctions bool ´eennes ” courbes ” en dimension impaire.

Soitmetk tels quem≥2k. On peut montrer queV_2k agit librement surV_met contient des ensembles `a diff ´erences de Hadamard.

D’apr `es le r ´esultat pr ´ec ´edent, on peut construire une fonction f :V_m→GF(2)qui estV_2k-PN m ˆeme simest un entierimpair, ce qui est ´evidemment impossible pour l’approche classique des fonctions courbes.

Concat ´enation d’ensembles `a diff ´erences de Hadamard

On peut instancier la construction pr ´ec ´edente de mani `ere `a obtenir des fonctions bool ´eennes ” courbes ” en dimension impaire.

Soitmetk tels quem≥2k. On peut montrer queV_2k agit librement surV_met contient des ensembles `a diff ´erences de Hadamard.

D’apr `es le r ´esultat pr ´ec ´edent, on peut construire une fonction f :V_m→GF(2)qui estV_2k-PN m ˆeme simest un entierimpair, ce qui est ´evidemment impossible pour l’approche classique des fonctions courbes.

Plan de la pr ´esentation

1 Rappels sur les syst `emes de chiffrement et les modifications au sens des actions de groupe

Rappels sur les syst `emes de chiffrement it ´er ´es par blocs Modifications au sens des actions de groupes

2 Rappels sur les fonctions courbes Fonctions parfaitement non lin ´eaires Ensembles `a diff ´erences

3 Approche au sens des actions de groupe Rappels sur les actions de groupe FonctionsG-PN

4 Constructions de fonctions bool ´eennes courbes impossibles Dimension Impaire

Dimension Plane

On a d ´ej `a vu qu’il n’existe pas de fonction courbef :V<sub>m</sub>→V<sub>m</sub>. D `es que l’on a une solutionx₀ `a l’ ´equationf(α⊕x)⊕f(x) =β, on en trouve imm ´ediatement une autreα⊕x₀.

Le mieux que l’on puisse esp ´erer pourf est qu’elle soitpresque parfaitement non lin ´eairei.e.pour chaque(α, β)∈V_m^∗ ×V_m,

|{x ∈Vm|f(α⊕x)⊕f(x) =β}| ∈ {0,2}.

On a d ´ej `a vu qu’il n’existe pas de fonction courbef :V<sub>m</sub>→V<sub>m</sub>. D `es que l’on a une solutionx₀ `a l’ ´equationf(α⊕x)⊕f(x) =β, on en trouve imm ´ediatement une autreα⊕x₀.

Le mieux que l’on puisse esp ´erer pourf est qu’elle soitpresque parfaitement non lin ´eairei.e.pour chaque(α, β)∈V_m^∗ ×V_m,

|{x ∈Vm|f(α⊕x)⊕f(x) =β}| ∈ {0,2}.

On a d ´ej `a vu qu’il n’existe pas de fonction courbef :V<sub>m</sub>→V<sub>m</sub>. D `es que l’on a une solutionx₀ `a l’ ´equationf(α⊕x)⊕f(x) =β, on en trouve imm ´ediatement une autreα⊕x₀.

Le mieux que l’on puisse esp ´erer pourf est qu’elle soitpresque parfaitement non lin ´eairei.e.pour chaque(α, β)∈V_m^∗ ×V_m,

|{x ∈Vm|f(α⊕x)⊕f(x) =β}| ∈ {0,2}.

Conjecture

Il n’existe pas de bijection presque parfaitement non lin ´eaire pourmpair.

Th ´eor `eme

Soitmun entier strictement positif quelconque. Soit

f :GF(2^m)→GF(2^m)un automorphisme additif. Alorsf est unebijectionGF(2^m)^∗-PN.

Preuve

Pour montrer quef estGF(2^m)^∗-PN il suffit de prouver que pour chaque(α, β)∈(GF(2^m)^∗\ {1})×GF(2^m), il existe un et un seulx ∈GF(2^m)tel quef(α.x)⊕f(x) =β.

f(α.x)⊕f(x) = β

⇔ f(αx)⊕f(x) = β

⇔ f(αx⊕x) = β

⇔ f((α⊕1)x) = β

⇔ (α⊕1)x = f⁻¹(β)

⇔ x = f⁻¹(β) α⊕1 .

Preuve

Pour montrer quef estGF(2^m)^∗-PN il suffit de prouver que pour chaque(α, β)∈(GF(2^m)^∗\ {1})×GF(2^m), il existe un et un seulx ∈GF(2^m)tel quef(α.x)⊕f(x) =β.

f(α.x)⊕f(x) = β

⇔ f(αx)⊕f(x) = β

⇔ f(αx⊕x) = β

⇔ f((α⊕1)x) = β

⇔ (α⊕1)x = f⁻¹(β)

⇔ x = f⁻¹(β) α⊕1 .

Preuve

Pour montrer quef estGF(2^m)^∗-PN il suffit de prouver que pour chaque(α, β)∈(GF(2^m)^∗\ {1})×GF(2^m), il existe un et un seulx ∈GF(2^m)tel quef(α.x)⊕f(x) =β.

f(α.x)⊕f(x) = β

⇔ f(αx)⊕f(x) = β

⇔ f(αx⊕x) = β

⇔ f((α⊕1)x) = β

⇔ (α⊕1)x = f⁻¹(β)

⇔ x = f⁻¹(β) α⊕1 .

Preuve

Pour montrer quef estGF(2^m)^∗-PN il suffit de prouver que pour chaque(α, β)∈(GF(2^m)^∗\ {1})×GF(2^m), il existe un et un seulx ∈GF(2^m)tel quef(α.x)⊕f(x) =β.

f(α.x)⊕f(x) = β

⇔ f(αx)⊕f(x) = β

⇔ f(αx⊕x) = β

⇔ f((α⊕1)x) = β

⇔ (α⊕1)x = f⁻¹(β)

⇔ x = f⁻¹(β) α⊕1 .

Preuve

Pour montrer quef estGF(2^m)^∗-PN il suffit de prouver que pour chaque(α, β)∈(GF(2^m)^∗\ {1})×GF(2^m), il existe un et un seulx ∈GF(2^m)tel quef(α.x)⊕f(x) =β.

f(α.x)⊕f(x) = β

⇔ f(αx)⊕f(x) = β

⇔ f(αx⊕x) = β

⇔ f((α⊕1)x) = β

⇔ (α⊕1)x = f⁻¹(β)

⇔ x = f⁻¹(β) α⊕1 .

Preuve

Pour montrer quef estGF(2^m)^∗-PN il suffit de prouver que pour chaque(α, β)∈(GF(2^m)^∗\ {1})×GF(2^m), il existe un et un seulx ∈GF(2^m)tel quef(α.x)⊕f(x) =β.

f(α.x)⊕f(x) = β

⇔ f(αx)⊕f(x) = β

⇔ f(αx⊕x) = β

⇔ f((α⊕1)x) = β

⇔ (α⊕1)x = f⁻¹(β)

⇔ x = f⁻¹(β) α⊕1 .

Preuve

Pour montrer quef estGF(2^m)^∗-PN il suffit de prouver que pour chaque(α, β)∈(GF(2^m)^∗\ {1})×GF(2^m), il existe un et un seulx ∈GF(2^m)tel quef(α.x)⊕f(x) =β.

f(α.x)⊕f(x) = β

⇔ f(αx)⊕f(x) = β

⇔ f(αx⊕x) = β

⇔ f((α⊕1)x) = β

⇔ (α⊕1)x = f⁻¹(β)

⇔ x = f⁻¹(β) α⊕1 .