11、密码学中的函数特性与DES一轮函数群性质研究

密码学中的函数特性与DES一轮函数群性质研究

在密码学的研究领域中，函数的特性以及密码算法中函数所生成的群的性质是至关重要的研究方向。本文将深入探讨函数的线性结构、二次函数的相关性质，以及DES一轮函数所生成的群的特性。

函数的线性结构与二次函数

函数的线性行为可以通过其线性结构的数量来衡量。对于一个函数 (f: F^n \to F)，若向量 (w \in F^n) 使得 (f(x + w) - f(x)) 为常数（即 (f(w) - f(0))），则称 (w) 为 (f) 的线性结构。当 (F) 为素域时，线性结构构成一个线性子空间，函数在该子空间上的限制是线性的，但对于任意有限域，这一性质并不普遍成立。

对于有限域 (F) 上的二次函数，我们可以将其表示为 (f(x) = x’Ax) 的形式，其中 (A = (a_{ij}))。两个二次型 (f(x) = x’Ax) 和 (g(x) = x’Bx) 等价的条件是存在线性置换 (C)，使得 (A = C’BC)，即 (g(Cx) = f(x))。

下面给出几个重要的命题：
- 命题3 ：设 (f(x) = x’Ax) 是 (F) 上 (n) 个不定元的二次型，则 (f) 的线性结构构成一个维数为 (\chi(f) = n - rank(A + A’)) 的线性子空间。证明过程表明，向量 (w) 是 (f) 的线性结构当且仅当 ((A + A’)w = 0)。
- 命题4 ：当 (n) 为奇数且 (q = 2^d) 时，对于 (F^n) 中的二次型 (f(x) = x’Ax)，若 (rank(A + A’) = r)，则 (r) 为偶数，且 (f) 等价于特定形式。

对于二次型 (f(x_1,x_2, \cdots, x_n) = x_1x_2 + x_3x_4 + \cdots + x_{n - 1}x_n)（(n) 为偶数），它是从 (F^n) 到 (F) 的完美非线性函数，即对于任意固定的 (w \in F^n)，(f(x + w) - f(x)) 在 (F) 中取每个值的次数相同。当 (F) 是具有 (q) 个元素的素域时，它也是弯曲函数，且 (f) 到线性函数集的距离达到最大值 (N(f) = (q - 1)(q^{n - 1} - q^{n - 2}))。

二次函数在密码学中有着重要的应用，特别是在设计具有高非线性的置换时。通过组合定理，我们可以构造出具有所需距离的置换。具体步骤如下：
1. 设 (n) 和 (d) 为奇数且 (n \geq 3)，则 (GF(2^{nd})) 是 (F = GF(2^d)) 上的 (n) 维线性空间。选择 (F^n = GF(2^{nd})) 上的一组基 (e_1, e_2, \cdots, e_n)，矩阵 (E(e_1, e_2, \cdots, e_n)) 是 (F) 上的非奇异矩阵。
2. 选取 (a_1,a_2, \cdots, a_n \in GF(2^{nd}))，使得它们的立方 (a_1^3,a_2^3, \cdots, a_n^3) 在 (GF(2^d)) 上线性独立。
3. 定义 (E_k = E(a_ke_1, a_ke_2, \cdots, a_ke_n)) 和 (B_k = E_k^R E_k)，(k = 1,2, \cdots, n)。对于不全为 (0) 的 (c_k \in GF(2^d))，(\sum_{k} c_kB_k = C’RC)，其中 (C = E(ye_1, ye_2, \cdots, ye_n))。
4. 由于 (rank(R + R’)) 等于不定元的奇数个数减 (1)，且 (B_k = E_k^R E_k)（(E_k) 为非奇异矩阵），所以 (rank(B_k + B_k’) = n - 1)，二次型 (f_k(x) = x’B_kx) 是非退化的且平衡。
5. 根据定理3，函数 (f = (f_1, f_2, \cdots, f_n)) 是 (GF(2^{nd}) = GF(2^d)^n) 上的置换，其非线性度为 (N(f) = N(f^{-1}) = N(\prod_{i = 1}^{n} f_i) = q(q - 1)(q^{n - 2} - q^{n - 3}))，其中 (q = 2^d)。

DES一轮函数生成的群

在DES算法的每一轮中，会对64位块进行置换操作。根据相应的密钥块，每一轮有 (2^{48}) 种可能的置换。我们的研究目标是确定这些置换所生成的群。

相关符号定义

• (V(m, n) \in N^2) 表示 (m, n := {m, m + 1, \cdots, n})（(m \leq n)）。
• (V_m := {0, 1}^m) 表示 (m) 维向量空间。
• (U_L) 和 (U_R) 分别表示向量 (U) 的左右部分。
• (\langle \Pi \rangle) 表示由置换集 (\Pi) 生成的置换群。
• (A_{64}) 表示 (V_{64}) 上的交错群。
• (S_{64}) 表示 (V_{64}) 上的对称群。

我们考虑函数集 (F_k: V_{32} \times V_{32} \to V_{32} \times V_{32})，其中 (E: V_{32} \to V_{48})，(P: V_{32} \to V_{32})，(S: V_{48} \to V_{32}) 按照特定规则定义。函数 (F_k) 表示DES算法一轮的置换，即 (F_k(a, b) = (b, a \oplus S(k \oplus EPb)))。

我们主要关注的群 (G = \langle {F_k | k \in V_{48}} \rangle)，同时定义了一些相关的集合和元素：
- (d = (0, \cdots, 0, 1, 0, \cdots, 0) \in V_{64})。
- (d’ = (0, \cdots, 0, 1, 0, \cdots, 0) \in V_{48})。
- (G_0 = {g \in G | g(0) = 0})。
- (G_{0,d} = {g \in G | g(0) = 0 \land g(d) = d})。
- (M = {(k, k’) \in V_{48} | k \neq k’ \land S(k) = S(k’)})。
- (M_{d’} = {(k, k’) \in V_{48} | k \neq k’ \land S(k) = S(k’) \land S(k \oplus d’) = S(k’ \oplus d’)})。

群 (G) 的3 - 传递性证明

为了证明群 (G) 的3 - 传递性，我们需要借助一些引理：
- 引理1 ：
- (G \subseteq A_{64})。
- (G) 在 (V_{64}) 上是传递的。
- 引理2 ：若 (G_{0,d}) 在 (V_{64} \setminus {0, d}) 上是传递的，且 (G_0) 在 (V_{64} \setminus {0}) 上是传递的，则 (G) 在 (V_{64}) 上是3 - 传递的。

为了进一步推导，我们考虑以下线性子空间：
对于 (j \in [1, 8]) 和 (y \in V_{32} \setminus {0})，定义 (U_j(y) := L{S_j((k_j) {j - 5} \oplus y) \oplus S_j((k’_j) {j - 5} \oplus y) | (k, k’) \in M}) 和 (U_{j’}(y) := U{S_j((k_j) {j - 5} \oplus y) \oplus S_j((k’_j) {j - 5} \oplus y) | (k, k’) \in M})，其中 (L) 表示由给定子集张成的 (V_{32}) 的线性子空间，(S_j: V_6 \to V_4) 表示第 (j) 个S - 盒，((k_j) {j - 5}) 表示向量 ((k {6j - 5}, k_{6j - 4}, \cdots, k_{6j}))。

通过计算机程序得到了引理3的命题 (a) - (d)，并基于这些命题证明了以下引理：
- 引理4 ：对于任意的 ((z, z’) \in V_{32})，有 ((e, z) \sim (e, z’))。证明过程利用了引理3的命题 (a) 和 (c)，通过线性组合和置换操作得出结论。
- 引理5 ：对于任意的 (a \in V_{64} \setminus {0, d})，存在 (z \in V_{32})，使得 (a \sim (e, z))。证明过程分为多个步骤，首先找到满足特定条件的 (a’)，然后找到 (a’‘)，最后证明存在 (z) 使得 (a’’ \sim (e, z))，从而得出 (a \sim (e, z))。

基于引理4和引理5，我们得到以下推论：
- 推论1 ：(G_{0,d}) 在 (V_{64} \setminus {0, d}) 上是传递的。
- 推论2 ：(G_0) 在 (V_{64} \setminus {0}) 上是传递的。

由引理2、推论1和推论2，我们可以得出：
- 推论3 ：(G) 在 (V_{64}) 上是3 - 传递的。

主定理证明

• 引理6 ：通过固定特定的 ((k, k’) \in M) 进行相关证明。
• 定理1 ：(G = A_{64})。证明过程采用反证法，假设 (G \neq A_{64})，由于 (G) 是3 - 传递的，根据相关命题可知 (G) 有唯一的最小正规子群，该子群要么是阿贝尔群，要么是单群。
  • 若该正规子群是单群，根据有限单群分类表，会得出 (2^{64}) 具有 (q + 1) 的形式（(q) 为素数或素数的幂），但 (2^{64} - 1) 既不是素数也不是素数的幂，产生矛盾。
  • 若该正规子群是阿贝尔群，则 (G) 与仿射群 (Afl(V_{64})) 的一个子群“相似”，但这也会导致矛盾。

综上所述，我们证明了DES一轮函数所生成的群是交错群 (A_{64})，这一结果对于理解DES算法的安全性具有重要意义。同时，函数的线性结构和二次函数的性质在密码学的置换构造中也有着广泛的应用，为设计更安全的密码算法提供了理论基础。

以下是相关表格：
| (i) | 对应集合 |
| — | — |
| 16或25 | (1,4 \cup 29,32) |
| 7或20 | (1,8) |
| 21或29 | (5,8) |
| 12或28 | (5,12) |
| 1或17 | (9,12) |
| 15或23 | (17,20) |
| 8或24 | (17,24) |
| 14或32 | (21,24) |
| 3或27 | (21,28) |
| 9或19 | (25,28) |
| 13或30 | (25,32) |
| 6或22 | (29,32) |
| 4或11 | - |

相关集合	对应描述
(1,6,9,14,16,17,19,21,22,25,29,32)	-
7或20	-
12或28	-
15或23	-
8或24	-
3或27	-
13或30	-
4或11	-
(1,32 \setminus (13,16 \cup [J_0]))	-
(1,4 \cup 25,28)	-
(5,8 \cup 21,24)	-
(1,4 \cup 9,12)	-
(17,20 \cup 29,32)	-
(21,24)	-
(17,20 \cup 25,28)	-
(9,12 \cup 29,32)	-

以下是证明 (G) 的3 - 传递性的流程图：

graph TD
    A[开始] --> B[引理1证明G的基本性质]
    B --> C[引理2给出3 - 传递性判定条件]
    C --> D[考虑线性子空间]
    D --> E[计算机程序得出引理3命题]
    E --> F[证明引理4]
    F --> G[证明引理5]
    G --> H[得出推论1和推论2]
    H --> I[根据引理2得出推论3，证明G的3 - 传递性]
    I --> J[结束]

密码学中的函数特性与DES一轮函数群性质研究

函数特性在密码学中的重要性

函数的线性结构和二次函数的性质在密码学中扮演着关键角色。从线性结构的角度来看，它能够衡量函数的线性行为。在密码算法中，我们期望函数具有较低的线性度，这样可以增加密码的安全性。因为如果函数的线性度较高，攻击者可能更容易通过线性分析的方法来破解密码。

例如，在设计密码置换时，我们利用二次函数的性质来构造具有高非线性的置换。通过选择合适的二次型和参数，使得置换函数到线性函数集的距离尽可能大，从而提高密码的抗攻击能力。具体来说，在构造函数 (f = (f_1, f_2, \cdots, f_n)) 时，我们通过一系列的步骤，如选择基、确定矩阵 (B_k) 等，确保二次型 (f_k(x)) 是非退化且平衡的，进而保证函数 (f) 具有较高的非线性度。

DES一轮函数群性质的影响

证明DES一轮函数所生成的群是交错群 (A_{64}) 对于理解DES算法的安全性具有深远的影响。从密码学的角度来看，如果生成的群“太小”，那么算法可能容易受到密码分析攻击。而交错群 (A_{64}) 是一个相对“大”的群，这意味着DES一轮函数具有较强的置换能力，增加了密码的复杂性和安全性。

具体来说，3 - 传递性是一个重要的性质。它表明群 (G) 能够在 (V_{64}) 上进行较为灵活的置换操作，使得不同的状态之间可以通过群中的元素相互转换。这种灵活性增加了攻击者破解密码的难度，因为他们难以预测和控制密码算法的状态变化。

实际应用与展望

在实际的密码学应用中，我们可以利用这些理论成果来设计更加安全的密码算法。例如，在设计新的对称加密算法时，可以借鉴二次函数的构造方法，构造具有高非线性度的置换函数。同时，对于DES算法，我们可以进一步研究其多轮函数所生成的群的性质，以更好地评估其安全性。

以下是一个总结表格，展示了函数特性和DES一轮函数群性质的相关内容：
| 研究内容 | 主要性质 | 应用与影响 |
| — | — | — |
| 函数的线性结构 | 衡量函数线性行为，线性结构构成线性子空间（特定条件下） | 用于构造高非线性置换，提高密码安全性 |
| 二次函数 | 可表示为 (f(x) = x’Ax)，等价二次型有特定条件 | 构造具有所需距离的置换，应用于密码设计 |
| DES一轮函数群 | 生成交错群 (A_{64})，具有3 - 传递性 | 增加DES算法的复杂性和安全性，为密码分析提供理论依据 |

总结

本文深入研究了密码学中函数的线性结构、二次函数的性质以及DES一轮函数所生成的群的特性。通过对函数线性结构的分析，我们了解到如何衡量函数的线性行为，并利用二次函数的性质构造高非线性的置换。同时，证明了DES一轮函数所生成的群是交错群 (A_{64})，这一结果对于理解DES算法的安全性具有重要意义。

在未来的研究中，我们可以进一步拓展这些理论成果。例如，研究更高维度空间中函数的性质和群的结构，探索如何将这些理论应用于量子密码学等新兴领域。此外，还可以对现有的密码算法进行优化，结合函数特性和群性质，设计出更加安全、高效的密码方案。

以下是一个关于未来研究方向的流程图：

graph TD
    A[现有研究成果] --> B[拓展到高维空间研究]
    A --> C[应用于新兴领域（如量子密码学）]
    A --> D[优化现有密码算法]
    B --> E[研究高维函数性质和群结构]
    C --> F[探索量子密码学中的应用]
    D --> G[结合特性设计新方案]
    E --> H[得出新理论成果]
    F --> H
    G --> H
    H --> I[应用于实际密码系统]

通过不断深入研究和探索，我们有望在密码学领域取得更多的突破，为信息安全提供更加坚实的保障。