5 Optimierung der Nichtlinearität

Transkript

1 5 Optimierung der Nichtlinearität 5. Der Hauptsatz über krumme Abbildungen In diesem Abschnitt werden bereits bewiesene Aussagen über krumme Funktionen und Abbildungen zusammengefasst. Hauptsatz Für eine Boolesche Funktion f : F n F sind folgende Aussagen äquivalent: (i) f ist krumm, d. h., ˆχ f = n konstant. (ii) f ist perfekt nichtlinear, d. h., die Differenzenfunktion u f ist für alle u F n {0} balanciert. (iii) Das lineare Potenzial von f hat den kleinstmöglichen Wert Λ f = n. (iv) Die Nichtlinearität von f hat den größtmöglichen Wert σ f = n n. (v) Das differenzielle Potenzial von f hat den kleinstmöglichen Wert Ω f =. (vi) Die Linearitätsdistanz von f hat den größtmöglichen Wert ρ f = n. Korollar Ist das der Fall, so gilt weiter: (i) n ist gerade. (ii) f hat keine linearen Strukturen 0. (iii) f hat genau n ± n Nullstellen und ist nicht balanciert. (iv) f erfüllt das Lawinenkriterium. Hauptsatz Für eine Boolesche Abbildung f : F n Fq Aussagen äquivalent: sind folgende (i) f ist krumm, d. h., für alle Linearformen β 0 auf F q ist β f krumme Boolesche Funktion. (ii) Der Spektralradius ist max (F n F q ) {(0,0)} ˆϑ f = n/. (iii) ˆϑ f ist konstant = n auf F n (Fq {0}). (iv) Das lineare Potenzial hat den kleinstmöglichen Wert Λ f = n. (v) Die Nichtlinearität von f hat den größtmöglichen Wert σ f = n n.

2 (vi) f ist perfekt nichtlinear, d. h., das differenzielle Potential hat den kleinstmöglichen Wert Ω f = q. (vii) Das Differenzenprofil δ f ist konstant = q auf (F n {0}) Fq. Korollar Ist das der Fall, so gilt weiter: (i) n ist gerade und q. (ii) f hat keine linearen Strukturen 0. (iii) f ist nicht balanciert. (iv) Jede Koordinatenfunktion von f erfüllt das Lawinenkriterium. Korollar 3 Eine balancierte Abbildung f : F n Fq ist nicht perfekt nichtlinear, insbesondere ist das differenzielle Potenzial Ω f > q und das lineare Potenzial Λ f > n. Die krummen Abbildungen sind also im Fall n gerade q die optimal nichtlinearen Abbildungen bezüglich der Maße lineares Potenzial und differenzielles Potenzial. Für andere Kombinationen der Dimensionen n und q von Urbild und Bild ist es wesentlich schwerer, die Minima der beiden Potenziale zu bestimmen; im folgenden werden einige Ergebnisse hergeleitet. 5. Die Schranke von Chabaud/Vaudenay In diesem Abschnitt werden für weitere Dimensionen n und q Bedingungen für optimal nichtlineare Abbildungen hergeleitet. Er folgt (mit einigen Vereinfachungen) dem Artikel von Chabaud/Vaudenay, Eurocrypt 9. Nach Bemerkung 6 in. ist für jede Abbildung f : F n Fq stets Ω f n. Definition (Nyberg/Knudsen, Crypto 9) f heißt fast perfekt nichtlinear, wenn Ω f = n. Bemerkungen. Da auch stets Ω f q, kann eine fast perfekt nichtlineare Abbildung höchstens dann existieren, wenn n q, also wenn q n.. Falls f fast perfekt nichtlinear ist, kann δ f (x, y) für x 0 nur die Werte 0 oder annehmen. Die entsprechende Zeile im Differenzenprofil n enhält also n Mal den Wert und q n Mal den Wert 0. n Ist q = n, so ist f dann also auch perfekt nichtlinear. 3

3 3. Perfekt nichtlineare Abbildungen können, wie schon gezeigt, nur im Fall n = q existieren. Daher können sowohl perfekt nichtlineare wie auch fast perfekt nichtlineare Abbildungen nur dann existieren, wenn n = und q =. In diesem Fall fallen die beiden Eigenschaften zusammen. Für n 3 scheidet die Möglichkeit q = n für fast perfekt nichtlineare Abbildungen dagegen aus. Satz Im Fall n 3 können fast perfekt nichtlineare Abbildungen höchstens für q n existieren. Bemerkungen. Es ist n δ f (x, y) δ f (x, y) mit Gleichheit genau dann, wenn δ f (x, y) = 0 oder. Die Gleichheit für alle x F n n {0} und y F q tritt also genau dann ein, wenn f fast perfekt nichtlinear ist. Es folgt δ f (x, y) δ f (x, y) = x F n {0} y F q x F n {0} y F q = n n = n, x F n {0} und die Gleichheit tritt genau dann ein, wenn f fast perfekt nichtlinear ist. Als nächstes soll eine alternative untere Schranke für das lineare Potenzial Λ f hergeleitet werden. Wir starten mit der Beobachtung: Sind x,..., x r R, alle x i 0, M = max{x..., x r }, so ist r x i M i= mit Gleichheit genau dann, wenn alle x i = 0 oder M sind. Daraus folgt die Abschätzung v F Λ f q {0} λ f (u, v) v F q {0} λ f (u, v) u F n u F n mit Gleichheit genau dann, wenn alle λ f (u, v) = 0 oder Λ f für v 0. Definition f : F n Fq heißt fast krumm, wenn f fast perfekt nichtlinear ist und für alle (u, v) (0, 0) gilt λ f (u, v) = 0 oder Λ f. r i= Definition 3 Die Chabaud-Vaudenay-Schranke ist CV (n, q) := q+ ( n ) + n ( q n ) n ( q. ) x i

4 Satz Für f : F n Fq gilt Λ f CV (n, q). Die Gleichheit gilt genau dann, wenn f fast krumm ist. Beweis. Im Nenner der obigen Ungleichung ist λ f (u, v) = = q. v F q {0} v F q {0} u F n Im Zähler wird abgeschätzt: λ f (u, v) = λ f (u, v) λ f (u, 0) u F n v F q {0} u F n v F q u F n = q n δ f (x, y) Zusammengenommen folgt: = q n Λ f q x F n y F q x F n {0} y F q q n n n + q n n. [ q n n n + q n ] n, δ f (x, y) + q n und das ist schon die Behauptung. Die Aussage über die Gleichheit folgt aus den Vorbemerkungen. Da nach der Definition fast krumme Abildungen erst recht fast perfekt nichtlinear sind, können die Eigenschaften krumm und fast krumm ebenfalls höchstens für n = und q = gleichzeitig vorkommen. In diesem Fall ist in der Tat die Chabaud-Vaudenay-Schranke =, also fast krumm zu krumm äquivalent. n Korollar Falls eine fast krumme Abbildung f : F n Fq auch krumm ist, ist n =, q =. Korollar Falls eine fast krumme Abbildung f : F n Fq nicht krumm ist, ist q n. existiert, die existiert, die Beispiele 5

5 . Für beliebiges q ist CV (, q) = q+ + ( q ) ( q ) = q+ ( q ) =. Also ist f : F F q genau dann fast krumm, wenn Λ f =. Im Fall n = sind also alle Abbildungen fast krumm und keine krumm.. Im Fall q = n ist CV (n, n) = n+ ( n ) + n 0 n ( n ) = n. Damit ist gezeigt: Korollar 3 Die Abbildung f : F n Fn Λ f =. n ist genau dann fast krumm, wenn Die Existenz solcher Abbildungen wird im folgenden in einigen Fällen durch Beispiele bewiesen. Dabei sei M r = r die r-te Mersenne-Zahl. Beispiele 3. Nach Beispiel in 3.5 gibt es keine fast krummen Abbildungen f : F F. Hilfssatz Für alle n und q gilt Beweis. Es ist CV (n, q) = n [ 3 n MnM n M q CV (n, q) = q+ ( n ) + n ( q n ) n ( q ) = n ( q ) [ q n+ q + n+q n] = n ( q ) [( q )(3 n ) + 3 n n] = [ n 3 n (n )( n ] ) q wie behauptet. ]. Hilfssatz [Lemma von Cassaigne] Für n und q n + ist M q kein Teiler von M n M n. 6

6 Beweis. Sei o. B. d. A. q n. Der Ansatz ( q ) n q (3 n n q ) = n 3 n + = ( n )( n ) ergibt dann die Division M n M n = A M q B mit (negativem) Rest, denn A und B sind ganzzahlig; zu zeigen ist noch: 0 < B < M q. Da q n +, ist 0 < n q <, also < 3 n q < 3, also n < n (3 n q ) = B + < 3 n < n+ q, also n B q = M q. Anmerkung. Allgemeiner sagt ein Satz von K. Zsigmondy (Zur Theorie der Potenzreste, Monatshefte Mathematik 3 (9), 65 ), dass jede Mersenne-Zahl M r für r außer M 6 einen Primfaktor hat, der keine Mersenne-Zahl mit kleinerem Index teilt; er wurde unabhängig von E. Artin bewiesen (The orders of the linear groups, Communications on Pure and Applied Mathematics VIII(955), ). Daraus folgt das Lemma von Cassaigne direkt. Satz 3 Sei n, und es gebe eine fast krumme Abbildung f : F n Fq, die nicht krumm ist. Dann ist n ungerade und q = n, und es gilt Λ f = n. Beweis. Nach dem Korollar zu Satz ist q n. Da eine fast krumme Abbildung f existiert, wird Λ f = CV (n, q) angenommen. Da n Λ f stets ganzzahlig und Vielfaches von ist, ist nach Hilfssatz M q M n M n. Nach Hilfssatz muss also sogar q = n sein. Also ist Λ f = CV (n, n) =. n Weiter muss n Λ f = n+ ein Quadrat sein; das geht nur, wenn n ungerade ist. Mit der Konstruktion von fast krummen Abbildungen beschäftigt sich der nächste Abschnitt. 5.3 Potenzabbildungen Sei n. In diesem Abschnitt wird ausgenützt, dass der Vektorraum F n eine Struktur als endlicher Körper K = F n mit n Elementen besitzt. Untersucht werden die Abbildungen f s : K K, f(x) = x s, für s Z, siehe Anhang A.. Insbesondere ist f s für s = k + und k n eine quadratische Abbildung. 7

7 Satz Ist n k +, so gibt es ein r mit 0 r n, so dass f k + das lineare Potenzial Λ f = hat. r Beweis. Das folgt aus Satz 9 in 3.5. Leichter als das lineare Potenzial lässt sich zunächst, zumindest im Fall s = 3, das differenzielle Potenzial bestimmen. Für (o. B. d. A.) u 0 ist D f (u, v) = {x K x 3 + x u + xu + u 3 = x 3 + v} = {x K x + ux + (u v u ) = 0} = {x K g uv (x) = 0} mit dem Polynom g uv = T + ut + (u v u ) K[T ]. Da die Ableitung g uv = u 0 konstant ist, sind alle Nullstellen einfach, d. h., #D f (u, v) = 0 oder, δ f (u, v) = 0 oder, wobei beide Werte für festes u je n -mal n vorkommen müssen. Damit ist gezeigt: Satz 5 Ist K ein endlicher Körper der Charakteristik mit Dim K = n, so hat die dritte Potenz f : K K, f(x) = x 3, das differenzielle Potenzial ist also fast perfekt nichtlinear. Ω f = n, Für die genauere Bestimmung der linearen Potenzials ist ein Ausflug in die Algebra angesagt; die nötigen Ergebnisse stehen im Anhang A. und A.3. Zunächst betrachten wir die Spur der dritten Potenz, g : K F, g(x) = Tr(x 3 ). Dies ist eine quadratische Form, also ist wegen Satz in 3.5 der Rang dieser quadratischen Form oder, äquivalent dazu, die Linearitätsdimension, also die Dimension des Radikals, zu bestimmen. Genau dann liegt u Rad g, wenn Tr((x + u) 3 ) Tr(x 3 ) Tr(u 3 ) = Tr(x u) + Tr(xu ) = 0 für alle x K, also genau dann, wenn Tr(x u) = Tr(xu ) = Tr(x u ) für alle x (da die Spur unter dem Frobenius-Automorphismus x x invariant ist). Da x mit x alle Elemente von K durchläuft, gilt also Rad g = {u K u = u}.

8 Genauer lässt sich das mit einer Normalbasis {a, a,..., a n } [siehe Anhang A.3] von K beschreiben. Ist u = u 0 a + u a + + u n a n, so verschiebt das Quadrieren den Koeffizientenvektor zyklisch um nach rechts, das Potenzieren mit um, also u = u n a + u n a + u 0 a + u n 3 a n. Also ist u = u genau dann, wenn u 0 = u n, u = u n,... ; speziell für ungerades n müssen alle Koeffizienten gleich sein. Damit ist gezeigt: Hilfssatz 3 Für g : K F, g(x) = Tr(x 3 ), gilt (i) Rad g = {u K u = u}. (ii) Ist n gerade, so hat g die Linearitätsdimension, also den Rang n. (iii) Ist n ungerade, so hat g die Linearitätsdimension, also den Rang n, und Rad g wird von dem Vektor u = a + a + + a n aufgespannt. Sei nun β : K F eine beliebige Linearform 0, also β(y) = Tr(by) für alle y K mit einem festen b K. Das Radikal der quadratischen Form g b (x) = Tr(bx 3 ) besteht genau aus den u K mit Tr(bux ) = Tr(bu x) = Tr(b u x ) für alle x K, also mit bu = u. Die 0 liegt natürlich immer in Rad g b. Für u 0 heißt die Bedingung u 3 = b. Ist also b keine dritte Potenz, so ist Rad g b = 0. Ist b = c 3 dagegen eine dritte Potenz, so β f(x) = Tr(bx 3 ) = Tr((cx) 3 ) für alle x K, also Rang g b = Rang g. Genau dann, wenn n ungerade ist, ist jedes b K eine dritte Potenz. Damit ist gezeigt: Hauptsatz 3 Sei K ein endlicher Körper der Charakteristik mit Dim K = n und f : K K, f(x) = x 3, die dritte Potenz. (i) Ist n ungerade, so ist f bijektiv und hat das lineare Potenzial sowie die Nichtlinearität Λ f = n σ f = n n, ist also fast krumm. (ii) Ist n gerade, so hat f das lineare Potenzial sowie die Nichtlinearität Λ f = n σ f = n n. 9

9 5. Die Inversionsabbildung Sei n und K = F n. Für s = ist die Potenzabbildung f = f n die Inversionsabbildung { x für x 0, f : K K, f (x) = 0 für x = 0, siehe Anhang A.. Sie ist involutorisch, also ihre eigene Umkehrabbildung, insbesondere bijektiv. Nach Satz 6 in A. ist (da n ) Grad f = Grad f n = wt( n ) = n, denn n hat die Binärdarstellung n [Im Fall n = ist f die identische Abbildung auf F, also linear, also vom Grad.] Nach Korollar zu Satz in 3. ist n der maximal mögliche Grad einer Bijektion K K. Auch hier ist das differenzielle Potenzial wieder leicht zu bestimmen. Seien (o. B. d. A.) u 0, v 0. Dann ist und für x 0, u gilt 0 D f (u, v) u = v, u D f (u, v) 0 = u + v u = v, x D f (u, v) (x + u) = x + v x = (x + u)( + xv) vx + uvx + u = 0 x Nullstelle von h uv := vt + uvt + u K[T ]. Dieses Polynom hat nur einfache Nullstellen, also ist #D f (u, v) = 0 oder, wenn v u, und δ f (u, v) = 0 oder. n Es bleibt der Spezialfall v = u genauer zu untersuchen. Hier ist h uv = u T + T + u, also h uv (0) = h uv (u) = u 0, also besteht D f (u, u ) aus 0, u und den 0 oder Nullstellen von h uv. Nach Satz im Anhang A.5 kommt es auf Tr(ac/b ) = Tr(/) = Tr() an. Ist n gerade, so Tr() = 0, und h uv hat zwei Nullstellen in K. Ist dagegen n ungerade, so Tr() =, und h uv hat keine Nullstelle in K. Damit folgt für u 0: { #D f (u, u, wenn n ungerade, ) =, wenn n gerade, { δ f (u, u, wenn n ungerade, ) = n, wenn n gerade. n Damit ist gezeigt: 90

10 Satz 6 Ist K ein endlicher Körper der Charakteristik mit Dim K = n (über F ), so hat die Inversionsabbildung f = f das differenzielle Potenzial {, wenn n ungerade, Ω f = n, wenn n gerade. n Insbesondere ist f genau dann fast perfekt nichtlinear, wenn n ungerade ist. (Im oben ausgeschlossenen Fall n = gilt das trivialerweise auch.) In der Differenzentabelle #D f hat die erste Zeile die Gestalt ( n 0 0). Jede andere Zeile enthält je n -mal die 0 und die, wenn n ungerade, -mal die, ( n )-mal die und ( n + )-mal die 0, wenn n gerade. Für die Spalten gilt das gleiche; die Tabelle ist ohnehin symmetrisch, da f Involution ist. Zur Bestimmung des linearen Potenzials der Inversionsabbildung f = f für beliebige Dimension n braucht man etwas tiefer liegende Ergebnisse aus der Theorie der elliptischen Kurven, die im Anhang A.6 zusammengestellt sind. Zunächst wird eine Formel für das Spektrum hergeleitet: Für v K = F n, o. B. d. A. v 0, sei β : K F die zugehörige Linearform β(y) = v y. Dazu gibt es nach Korollar 3 in Anhang A. ein eindeutig bestimmtes b K mit β(y) = Tr(by) für alle y K, und β f(x) = Tr(bx ) = Tr((cx) ) mit c = b für x K. Ebenso ist u x = Tr(ax) für u K mit passendem a K. Damit gilt für v K : ˆϑ f (u, v) = = x K( ) v f(x)+u x = + x K ( ) Tr((cx) +ax) = + = + κ( a c ) = + κ(ab) ( ) Tr(y + a c y) y K mit der Kloosterman-Summe κ, siehe A.6. Daher ist jede Spalte des Spektrums außer der trivialen ersten jeweils bis auf eine Permutation und die Addition der Konstanten die Wertetabelle der Kloosterman-Funktion. Insbesondere ist gezeigt: Satz 7 Jede Spalte des Spektrums ˆϑ f (u, v) (für v 0) der Inversionsabbildung f = f von K = F n enthält genau die durch teilbaren ganzen Zahlen zwischen n/+ + und n/+ +. Für das lineare Potenzial Λ f gilt Λ f = max n + u K κ(u). 9

11 Im Beispiel n = sind die Grenzen 3 und 33, die angenommenen Werte also,, 0,...,,, 3, und Λ f = 6. Falls n gerade ist, ist n/+ durch teilbar, also max + κ(u) = n/+, also Λ f = n+ =. n n Falls n ungerade ist, ist das Ergebnis etwas komplizierter zu formulieren. Hier ist n + = n+ irrational, und mit der ganzen Zahl ν(n) := n + gelten für die Einträge + κ(u) des Spektrums die Grenzen ν(n) + + κ(u) ν(n) +. Je nach der Restklasse mod von ν(n) sind die Grenzen also: ν(n) mod untere Grenze obere Grenze max + κ(u) 0 ν(n) + ν(n) ν(n) ν(n) + ν(n) ν(n) ν(n) + ν(n) ν(n) 3 ν(n) + 3 ν(n) + ν(n) + Den Maximalwert kann man also durch die eindeutig bestimmte ganze Zahl ξ(n) Z mit beschreiben: n + 3 < ξ(n) n + +, ξ(n), Hauptsatz Für die Inversionsabbildung f = f des Körpers K = F n mit n gilt (i) max K {0} ˆϑ f = ξ(n), (ii) σ f = n ξ(n), (iii) Λ f = n ξ(n). Falls n gerade, ist ξ(n) = n/+. Es folgt: Korollar Für die Nichtlinearität der Inversionsabbildung f gilt: { n n/, wenn n gerade, σ f = n [ n/ ], wenn n ungerade, 9

12 wobei die eckigen Klammern die Rundung zur nächsten ganzen Zahl bedeuten. Die Ergebnisse für kleine Dimension n werden durch die folgende Tabelle wiedergegeben: n n ξ(n) σ f Λ f Minimierung der Potenziale bei fester Dimension In diesem Abschnitt wird zusammengesammelt, was aus den vorhergehenden Abschnitten über die Größen Λ(n, q) := min{λ f f : F n F q }, σ(n, q) := max{σ f f : F n F q }, Ω(n, q) := min{ω f f : F n F q } bekannt ist; dazu werden einige Ergänzungen bewiesen. Anmerkung. σ(n, ) ist in der Codierungstheorie als Überdeckungsradius des Reed-Muller-Codes R(, n) bekannt. Hilfssatz Sei g : F n und f : F n Fq. Dann ist (i) Λ g Λ f, (ii) σ g σ f, (iii) Ω g Ω f. Fq+ zerlegt in g = (f 0, f) mit f 0 : F n F Beweis. (i) Für eine Linearform β L q sei β L q+ durch β (y 0, y) := β(y) definiert. Dann ist β g = β f, also Λ f = max Λ β f = β L q {0} max Λ β g β L q {0} max Λ γ g = Λ g. γ L q+ {0} (ii) folgt aus (i) oder durch einen direkten analogen Schluss. (iii) Ist v = (v 0, v), so D g (u, v ) = {x g(x + u) g(x) = v } = {x f 0 (x + u) f 0 (x) = v 0 } {x f(x + u) f(x) = v} D f (u, v), also δ g (u, v ) δ f (u, v), also Ω g Ω f. 93

13 Satz Für alle Dimensionen n und q gilt: (i) Λ(n, q) Λ(n, q + ), d. h., Λ ist bei festem n bezüglich q monoton wachsend. (ii) σ(n, q) σ(n, q + ), d. h., σ ist bei festem n bezüglich q monoton fallend. (iii) Ω(n, q) Ω(n, q + ), d. h., Ω ist bei festem n bezüglich q monoton fallend. (iv) Λ(n, ) Λ(n+, ), d. h., Λ ist bei festem q = bezüglich n monoton fallend. Beweis. (i), (ii) und (iii) folgen direkt aus dem Hilfssatz. Für (iv) wird verwendet, dass Λ f = Λ f für die einfache Erweiterung f einer Booleschen Funktion f nach Bemerkung in 3.6. Wird f mit Λ f = Λ(n, ) gewählt, so ist Λ f Λ(n +, ). Korollar Es gibt keine fast krumme Abbildung f : F F. Beweis. Nach Korollar in 3.6 ist Λ(, ) Λ(, 3) 9 6, also insbesondere >. Korollar Für q n gilt Ω(n, q) = n. Beweis. Ω(n, n) = für alle n nach Satz 5 in 5.3. Wegen der Monotonie n in q ist daher auch Ω(n, q) = für alle q n. n Stellen wir nun zusammen, was über Λ(n, q) bekannt ist. Stets ist Λ(n, q), siehe Bemerkung und Satz 7 in 3.5. Ist n n gerade und q n, so ist Λ(n, q) =, da es krumme Abbildungen n gibt. Λ(, q) = für alle q, denn hier ist jede Abbildung f affin, also Λ f =, siehe Bemerkung in 3.5. Λ(, ) = nach Beispiel in 3.5, also wegen der Monotonie auch Λ(, q) = für alle q. Wenn es eine krumme Abbildung f : F n Fq gibt, ist Λ(n, q) =, n siehe Satz 7 in 3.5. Dass eine solche existiert, wissen wir bisher nur für gerade n und q =. Also Λ(n, ) = für gerades n. n 9

14 Für ungerades n gibt es eine Funktion f : F n F mit Λ f =, n siehe Satz in 3.5 oder Korollar 6 in 3.6. Also ist Λ(n, ) für n ungerades n. Wenn es keine krumme Abbildung f : F n Fq gibt und n, ist Λ(n, q) +, siehe Korollar in 3.5, äquivalent dazu ist n n σ(n, q) n n. Insbesondere ist σ(6, q) 7 und Λ(6, q) 5 0 für alle q, σ(, q) 9 und Λ(, q) 63 für alle q 5. Λ(n, n) = für ungerades n, da es dann eine fast krumme Abbildung gibt, siehe Hauptsatz 3 in 5.3. Insbesondere Λ(3, 3) = n, Λ(5, 5) = 6, Λ(7, 7) = 6. Λ(n, n) für gerades n nach 5.. Insbesondere ist Λ(, ) n Λ(3, ) Λ(, ). Allgemein folgt Λ(n, q) für gerades n n und q n. Λ(n, n) > für gerades n nach Satz, Beispiel und Satz 3 in 5., n also σ(n, n) < n n, also σ(n, n) n n. Daraus folgt Λ(n, n) ( n n für gerades n. Das ergibt die Schranken σ(, ) 5, σ(6, 6) 6, σ(, ) 6, Λ(, ) , Λ(6, 6) 56, Λ(, ) 0. Die explizite Analyse der S-Boxen von DES mit bma ergibt für die S- Box S 6 den Wert Λ f = Also ist Λ(6, ) Λ(6, 3) Λ(6, ) 56. Aus der Ganzzahligkeit der Nichtlinearität folgt (siehe 3.6) Λ(3, q) für alle q. Insbesondere Λ(3, ) = und wegen der Monotonie auch Λ(3, ) =. Λ(, q) 9 6 für alle q 3, da es für q = 3 keine krumme Abbildung gibt und wegen der Monotonie. Λ(5, q) 9 56 für alle q. Λ(7, q) 9 0 für alle q. Die Chabaud-Vaudenay-Schranke gibt noch für q = n + interessante Ergebnisse: Es ist Λ(n, n + ) CV (n, n + ), also σ(n, n + ) n ( CV (n, n + ), also σ(n, n + ) n CV (n, n +. Speziell ist σ(3, ), σ(, 5), σ(5, 6), σ(6, 7) 5, σ(7, ) 55, und dazu passend Λ(3, ) 9 6, Λ(, 5), Λ(5, 6) , Λ(6, 7) 0, Λ(7, ) )

15 Diese Aussagen werden in den folgenden Tabellen zusammengefasst, wobei die eckigen Klammern abgeschlossene Intervalle und die drei Punkte den gleichen Eintrag wie in der Zelle links davon bedeuten: Λ(n, q) q = n = 3 [ 9 6, ] [ 9 56, [ 0, 56 6 [ 9 6, ]... [, ] ] [ 5 56, ] [ 5 0, 9 56 ] [ 5 0, 6 ] [ 9 56, 6 ] [ 9 0, ]... 6 ] [ 096, ] [ 63, 6 ] [ 9 0, σ(n, q) q = n = [0, ] [, 5]... [0, ] [, 3] [0, ] [, 7] [, 7] [, 6] [0, 5]... 7 [56, 5] [0, 55] [, 9] [, 6] Über Ω(n, q) ist folgendes bekannt: q Ω(n, q) nach Bemerkung in.. Ist n gerade und q n, so ist Ω(n, q) = q, da es krumme Abbildungen gibt. Ω(n, q) nach Bemerkung 6 in.. Für alle q n ist Ω(n, q) = n nach Korollar n Ω(, q) = für alle q nach Beipiel in.. Ω(n, ) = für alle geraden n, da dann krumme, also perfekt nichtlineare Funktionen existieren. 6 ] Ω(, ) = nach Beispiel 3. Ist n ungerade und q + oder ist n gerade und q + n < q, so ist Ω(n, q) + ; das folgt, weil es für diese Dimensionen keine q n perfekt nichtlinearen Abbildungen gibt und jedes Ω f Vielfaches von sein muss, siehe auch Korollar 3 in.5. Insbesondere folgt: n Ω(3, ) 3, Ω(3, ). Da der Wert vom Volladdierer angenommen wird, siehe Beispiel 5 in.3, ist Ω(3, ) =. 96

16 Ω(, 3). Ω(5, ) , Ω(5, ) 6, Ω(5, 3) 6, Ω(5, ). Ω(6, ) 3 3, Ω(6, 5) 6. Ω(7, ) , Ω(7, ) 6, Ω(7, 6) 3 6 Ω(, 5) 5 3., Ω(, 6) 3 9 5, Ω(7, 3) 6, Ω(7, ) 6, Ω(7, 5), Ω(, 7) 6. Für alle S-Boxen von DES gilt nach direkter Analyse Ω f =. Also ist Ω(6, ) Ω(6, 5). Das ergibt die folgende Tabelle: Ω(n, q) q = n = 3 [ 3, ] 5 [ 9 6, ] [ 5 6 [, ] 6, ] [ 3 7 [ , ] [ 6, ] [ 9 6 6, ] [, ] 6 [ 3 3, ] [ 6, ] 3 6, ] [ 5 6, ] [ 3 6, ] [ , ] 6 6 [ 5, ] [ 3, ] [ 6, ] 97