Linearitätsmaße für Boolesche Abbildungen

Transkript

1 Linearitätsmaße für Boolesche Abbildungen Klaus Pommerening Fachbereich Mathematik der Johannes-Gutenberg-Universität Saarstraße D Mainz 30. Mai 000, letzte Revision 4. Juli 008 In der Kryptologie dienen Boolesche Funktionen und Abbildungen als Grundbausteine für die Konstruktion von Bitblock- und Bitstrom-Chiffren. Ein wichtiges Kriterium dabei ist die Nichtlinearität: Verschlüsselungsfunktionen (z. B. die S-Boxen in Bitblock-Chiffren) und Bit-Generatoren (z. B. Kombinationen von linearen Schieberegistern) sollen möglichst wenig linear sein. Aber was heisst das? Wie können wir Nichtlinearität quantifizieren? In den letzten Jahren wurden dafür verschiedene Maße eingeführt, die sich bei der Aufdeckung versteckter Linearität ergänzen. Ist eine Boolesche Abbildung bezüglich eines solchen Maßes zu nahe an der Linearität, so eröffnen sich Angriffsmöglichkeiten auf die Verschlüsselungssysteme, in denen sie verwendet wird. Die bekanntesten Beispiele dafür sind die lineare und die differenzielle Kryptoanalyse von Bitblock-Chiffren sowie die Korrelationsanalyse von Bitstrom-Chiffren. Das wichtigste mathematische Werkzeug, um Linearitätsmaße elegant und einheitlich behandeln zu können, ist die Walsh- (oder Hadamard-) Transformation, ein Spezialfall der diskreten Fourier-Transformation. Ihre systematische Verwendung ergibt einen gleichmäßigen, eleganten und effizienten Zugang zur Nichtlinearität; obwohl sie konzeptuell sehr einfach ist, ist sie überraschend stark sowohl für theoretische als auch praktische Zwecke. Es wirkt fast wie Magie, wie viele der Beweise aus der Literatur sich dadurch auf wenige Zeilen reduzieren, und die Berechnung der Linearitätsmaße wird sehr effizient möglich. Dieser Text enthält die systematische und geschlossene Darstellung dieser Theorie, die man auch Fourier-Analyse Boolescher Abbildungen nennen könnte, angereichert mit vielen Beispielen.

2 Die algebraische Normalform Boolesche Abbildungen lassen sich durch Polynome beschreiben das ist die algebraische Normalform. Der Grad als Polynom ist ein erstes, naheliegendes, Maß für die Nichtlinearität lineare (allgemeiner: affine) Abbildungen haben den Grad. In diesem Abschnitt wird die Bestimmung der algebraischen Normalform und des Grades aus der Wertetabelle einer Abbildung behandelt sowie die Klassifikation von Booleschen Abbildungen bei kleiner Dimension oder kleinem Grad.. Boolesche Funktionen und Abbildungen Der zweielementige Körper wird mit F bezeichnet. Es wird stets die algebraische Schreibweise verwendet: + bezeichnet die Addition im Körper F und in F -Vektorräumen. Das Zeichen ist für direkte Summen reserviert. In semiformalen Beschreibungen von Algorithmen wird auch die logische Notation XOR verwendet. Eine Boolesche Funktion in n Variablen ist eine Funktion Im Falle einer Abbildung f : F n F. f : F n F q spricht man von einer Booleschen Abbildung (oder vektorwertigen Booleschen Funktion; in der Kryptologie ist auch der Ausdruck S-Box oder Substitutionsbox geläufig). Mit F n soll die Menge aller Booleschen Funktionen auf F n bezeichnet werden; die Menge aller Abbildungen F n Fq ist dann auf natürliche Weise mit Fn q identifizierbar. Eine Boolesche Funktion lässt sich durch ihre Wahrheitstafel beschreiben das ist ihre Wertetabelle. In der Regel ordnet man sie lexikographisch nach x F n ; diese Ordnung ist, anders ausgedrückt, die natürliche Ordnung der Zahlen a = 0,..., n, wenn diese binär als a = x n + + x n + x n dargestellt und mit den Vektoren (x,..., x n ) F n identifiziert werden. Die logische Negation der Funktion f F n ist die Funktion f = f +. Mit L n sei die Menge aller Linearformen, also der Dualraum von F n, bezeichnet. Sei {e,..., e n } die kanonische Basis von F n und das kanonische Skalarprodukt. Die Zuordnung der Linearform x u x zum Vektor u F n ergibt den (Basiswahl-abhängigen) Vektorraum-Isomorphismus F n = L n.

3 Ferner sei A n die Menge der affinen Funktionen F n F. Davon gibt es n+ Stück, nämlich die linearen und deren Negationen, anders ausgedrückt, die f(x) = α(x) + c mit α L n und c F. Sei χ : F C der einzige nichttriviale Gruppenhomomorphismus ( Charakter ), also χ(0) =, χ() =, oder zusammengefasst χ(a) = ( ) a = a, letzteres par abus de notation (indem nämlich 0, F mit 0, R identifiziert werden). Insbesondere ist χ reellwertig. Damit wird zu jeder Booleschen Funktion f : F n F die Charakter-Form als χ f := χ f : F n R C definiert, also χ f (x) = ( ) f(x). Klar, dass χ f+g = χ f χ g. Etwas komplizierter ist die Formel für das Produkt zweier BOOLEscher Funktionen. Aus der Tabelle folgt die Formel a b a + b ab χ(a) χ(b) χ(a + b) χ(ab) χ(a + b) + χ(ab) = + χ(a) + χ(b) für alle a, b F. Also gilt für f, g F n die Produktformel χ fg = + χ f + χ g χ f χ g. Definition Für zwei Boolesche Funktionen f, g : F n F ist die Hamming-Distanz definiert als die Anzahl der Stellen, an denen sie nicht übereinstimmen: d(f, g) := #{x F n f(x) g(x)}; anders ausgedrückt: die Anzahl der Einsen in der Wahrheitstafel von f + g. Das Hamming-Gewicht wt(f) := d(f, 0) gibt die Anzahl der Argumente x F n an, an denen f den Wert annimmt. Bemerkungen. d ist eine Metrik auf F n. Die Transitivität von d folgt dabei für f, g, h F n so: Ist f(x) h(x), so f(x) g(x) oder g(x) h(x); also d(f, g) + d(g, h) = #{x f(x) g(x)} + #{x g(x) h(x)} #{x f(x) h(x)} = d(f, h). 3

4 . Ist ḡ = g + die Negation von g, so ist d(f, ḡ) = n d(f, g), und das ist die Anzahl der Stellen, an denen f und g übereinstimmen. 3. Die Anzahl der Nullstellen von f ist d(f, ) = n wt(f).. Boolesche Linearformen Für u, x F n lässt sich das kanonische Skalarprodukt schreiben als n u x = u i x i = x i = i= u i = i Supp(u) x i mit der Trägermenge von u, Supp(u) = {i =,..., n u i 0} = {i =,..., n u i = }. Das Skalarprodukt mit einem festen Vektor u ist also die Teilsumme über die Koordinaten von x in der Trägermenge I {,..., n} von u oder auch die Parität von x über I. Da jede Linearform auf einem endlich-dimensionalen Vektorraum eine Darstellung als Skalarprodukt mit einem festen Vektor hat, ist gezeigt: Satz Die Linearformen auf F n den Teilmengen I {,..., n}. sind genau die Paritätsfunktionen über Anders ausgedrückt hat jede Linearform die Gestalt α I (x) = i I x i für alle x = (x,..., x n ) F n mit einer Teilmenge I {,..., n}. Dadurch ist eine natürliche bijektive Abbildung zwischen der n -elementigen Menge L n und der Potenzmenge P({,..., n}) hergestellt. Andere übliche Schreibweisen sind für I = {i,..., i r }: α I (x) = x[i] = x[i,..., i r ] = x i + + x ir..3 Funktionen und Polynome Sei T = (T,..., T n ) ein n-tupel von Unbestimmten. Dann definiert jedes Polynom p F [T ] eine Funktion Ψ(p) F n durch Einsetzen: Ψ(p)(x,..., x n ) := p(x,..., x n ). Der Einsetzungshomomorphismus Ψ : F [T ] F n, ist ein Homomorphismus der F -Algebren. 4

5 Hilfssatz Ψ ist surjektiv. Beweis. (Induktion über n) Der Induktionsanfang n = 0 ist trivial die beiden konstanten Polynome entsprechen den beiden konstanten Funktionen. Sei also jetzt n. Für x = (x,..., x n ) F n wird abgekürzt geschrieben: x = (x,..., x n ) F n. Sei nun eine Funktion f F n gegeben. Für b = 0, ist aufgrund der Induktionsannahme f(x, b) = p b (x ) für alle x F n mit Polynomen p 0, p F [T,..., T n ]; im Fall n = sind das Konstanten. Dann ist f(x, x n ) = ( + x n )p 0 (x ) + x n p (x ) für alle x F n. Also ist f = Ψ(p) mit p = p 0 + (p 0 + p )T n. Anmerkung. Dieser Hilfssatz gilt analog über einem beliebigen endlichen Körper; der Beweis ist im allgemeinen Fall etwas komplizierter und verwendet Interpolation. [Auch diese Verallgemeinerung ist kryptologisch relevant: sie ist über dem endlichen Körper F n der Ausgangspunkt für Interpolations-Angriffe auf Bitblock-Chiffren.] Auch der folgende Satz lässt sich entsprechend verallgemeinern. Was kann man über den Kern des Homomorphismus Ψ sagen? Da b = b für alle b F, liegen die Polynome T T,..., T n T n sicher im Kern, also auch das von ihnen erzeugte Ideal a F [T ]. Der induzierte Homomorphismus auf der Restklassen-Algebra, Ψ : F [T ]/a F n, ist immer noch surjektiv. Jedes Element der Algebra F [T ]/a lässt sich offensichtlich als Linearkombination der Monome schreiben, die in jedem T i den Grad haben. Davon gibt es n Stück, nämlich die Produkte für beliebige Teilmengen T I := T i T ir I = {i,..., i r } {,..., n}. Auf der linken Seite von Ψ steht also ein F -Vektorraum der Dimension n. Seine Dimension muss also = n und Ψ ein Isomorphismus sein. Damit ist gezeigt: 5

6 Satz (Algebraische Normalform, ANF) Jede Boolesche Funktion f : F n F lässt sich eindeutig als Polynom in n Unbestimmten schreiben, das in jeder Unbestimmten einzeln vom Grad ist: f(x,..., x n ) = a I x I, I {,...,n} wobei das Monom x I das Produkt x I = x i i I ist, und a I = 0 oder. Eine alternative Herleitung der algebraischen Normalform, die aber nicht auf andere endliche Körper übertragbar ist, geht über die Normalisierung von Booleschen Ausdrücken mit Hilfe der de Morganschen Regeln. Korollar Jede Boolesche Abbildung f : F n Fq wird durch ein q- Tupel von Polynomen (p,..., p q ) F [T,..., T n ] beschrieben, deren sämtliche partiellen Grade sind. (Mit partiellem Grad ist dabei der Grad in einer einzelnen Unbestimmten T i gemeint.) Korollar Jede Boolesche Abbildung f : F n Fq in der Form f(x,..., x n ) = x I a I mit Koeffizienten a I F q schreiben. I {,...,n} lässt sich eindeutig Übungaufgabe. Zeige, dass sich die Koeffizienten a I Normalform ausdrücken lassen als a I = f(u). Supp(u) I der algebraischen Definition Der Grad einer Booleschen Abbildung als Polynom, Grad f = max{#i a I 0}, wird als algebraischer Grad bezeichnet. Bemerkungen 6

7 . Allgemein ist Grad f n.. f ist affin Gradf. 3. Sind g : F n Fn und h : Fq Fq bijektive affine Abbildungen, so hat h f g den gleichen Grad wie f, d. h., der algebraische Grad ist unter affinen Transformationen in Bild und Urbild invariant. 4. Der Grad einer Booleschen Abildung f ist das Maximum der Grade der Komponenten-Polynome p,..., p q. 5. Ist n =, so Grad f, d. h., alle Abbildungen F F q sind affin. 6. Ein Untervektorraum C F N heißt linearer Code der Länge N und der Dimension r := Dim C; die Elemente von C nennt man in diesem Kontext der Codierungstheorie die Codewörter. Identifiziert man den Raum F n der Booleschen Funktionen über die Wahrheitstafel mit F N, N = n, so bildet der Unterraum F n (d) der Funktionen vom algebraischen Grad d den sogenannten Reed- Muller-Code R(d, n) der Ordnung d. Seine Länge ist n. Übungsaufgabe. Bestimme die Dimension des Reed-Muller-Codes R(d, n). Anmerkung. Reed-Muller-Codes sind nicht optimal bezüglich ihrer fehlerkorrigierenden Eigenschaften, bieten aber sehr effiziente Codierungs- und Decodierungsalgorithmen, und sind daher von praktischer Bedeutung: der Code R(, 5) wurde z. B. um 970 von der Mars-Sonde Mariner 9 zur Bildübertragung verwendet. Der algebraische Grad ist ein erstes Maß für die Nichtlinearität von f. Ein hoher algebraischer Grad erschwert im allgemeinen die Bestimmung der Nullstellen von f bzw. das Lösen von Gleichungen, in denen f vorkommt. Allerdings bedeutet ein hoher algebraischer Grad nicht notwendig eine hohe Komplexität, wie das Beispiel der Funktion f(x) = x x n zeigt; z. B. ist die Bestimmung der Nullstellenmenge F n {(,..., )} dieser Funktion trivial. Die Anzahl der Koeffizienten 0 in der algebraischen Normalform ist übrigens kein gutes Komplexitätsmaß. Sie ist nicht einmal unter affinen Transformationen invariant, und so wird die komplexe Funktion f(x) = x I I {,...,n} mit der Maximalzahl von n Koeffizienten 0 durch die affine Transformation x i x i + also das Umkippen aller Bits zu der einfachen 7

8 Funktion f(x) = x x n ; dabei ist die umgekehrte Richtung leichter zu sehen, denn (x + ) (x n + ) = x I. I {,...,n} Beispiele. Die vier Funktionen F F werden durch die Polynome 0,, T und T + in der einen Unbestimmten T beschrieben. Insbesondere sind sie alle affin.. Die 6 Funktionen F F werden durch die Polynome 0,, T, T, T +T, +T, +T, +T +T, T T, +T T, T +T T, T +T T, T + T + T T, + T + T T, + T + T T und + T + T + T T beschrieben. 3. Es gibt genau 8 = 56 Funktionen F 3 F und allgemein n Funktionen F n F. Die Anzahl #F n wächst also superexponentiell mit n jedes zusätzliche Bit führt zu einer Quadrierung der Anzahl. (Allerdings ist es meist sinnvoll, N = n als Bezugsgröße, also als Größe des Inputs, zu betrachten; dann wächst #F n exponentiell in N.).4 Die Auswertung der algebraischen Normalform Der Vorteil der algebraischen Normalform ist, dass der algebraische Grad direkt ablesbar ist; auch die Struktur einer Booleschen Funktion ist gut zu erkennen, und wir werden in.5 sehen, dass sich mit Hilfe der algebraischen Normalform relativ leicht die Bahnen unter affinen Transformationen bestimmen und reduzierte Normalformen herstellen lassen. Andererseits hat die Wahrheitstafel (also der Graph der Funktion) den Vorteil, dass man das Verhalten der Funktion leicht überblicken kann, z. B. das Hamming-Gewicht leicht ablesen; auch versteckte Linearität wird sich von hier ausgehend leicht bestimmen lassen. Daher ist es wünschenswert, zwischen beiden Darstellungen wechseln zu können. Der Übergang von der algebraischen Normalform zur Wahrheitstafel ist einfach die Reihe der Polynom-Auswertungen an allen Stellen; die Umkehrtransformation ist die Interpolation wie im Beweis von Satz. Hierfür wird noch ein sehr effizienter Algorithmus angegeben. Die naive Auswertung einer Booleschen Funktion f F n, also einer Funktion f : F n F, an allen Stellen x F n bedeutet n Auswertungen f(x) mit je maximal n Summanden à maximal n Multiplikationen. Der Aufwand liegt also in der Größenordnung n n n ; da die Größe des Inputs N = n ist, ist der Aufwand also im wesentlichen quadratisch: N log(n). Wie so oft wird auch hier eine binäre Rekursion, also eine Aufteilung in 8

9 zwei Teilprobleme von halber Inputgröße, zu einem wesentlich effizienteren Algorithmus führen. Zunächst schreiben wir die algebraische Normalform in etwas modifizierter Gestalt: f = α f (u)t (u) mit dem Monom T (u) = T i. u F n i Supp(u) Die Koeffizienten-Darstellung von f ist die Funktion α f F n, repräsentiert durch die n Koeffizienten. Auf der anderen Seite wird die Wahrheitstafel durch die Familie (f(x)) x F n, also einfach durch f F n selbst oder durch die n Werte repräsentiert. Mit dieser Interpretation ist die Auswertung dann die Abbildung Θ n : F n F n, α f f. Die verschiedenen Interpretationen eines binären Vektors u F n und die kanonischen Zuordnungen zwischen ihnen sind in Tabelle exemplarisch wiedergegeben. Denkt man sich zum Beispiel die acht Bits (0000) als algebraische Normalform einer Funktion f F 3, so ist dies zu interpretieren als also als das Polynom α f (000) = 0, α f (00) = 0, α f (00) =, α f (0) = 0, α f (00) =, α f (0) =, α f (0) = 0, α f () =, T 3 + T + 0 T T 3 + T + T T T T + T T T 3. Die zugehörige Wahrheitstafel ist dann f(000) = 0, f(00) = 0, f(00) =, f(0) =, f(00) =, f(0) = 0, f(0) = 0, f() = 0, und das wird wieder kurz geschrieben als die Bitfolge (00000). Die binäre Rekursion startet mit der eindeutigen Zerlegung f = f 0 + T f mit f 0, f F [T,..., T n ], die auch schon beim Beweis von Hilfssatz, wenn auch mit anderer Nummerierung, verwendet wurde. 9

10 k N u F 3 I {,, 3} Monom {3} T 3 00 {} T 3 0 {, 3} T T {} T 5 0 {, 3} T T {, } T T 7 {,, 3} T T T 3 Tabelle : Verschiedene Deutungen eines binären Vektors, Beispiel n = 3 durch Für y F n gilt dann f(0, y) = f 0 (y), f(, y) = f 0 (y) + f (y). Allgemein sei 0 i n, u F n i und f u F [T n i+,..., T n ] definiert f u := v F i α f (u, v)t (v). Dann ist im Fall i = n und u = 0 F 0 f u = α f (v)t (v) = f. v F n Auf der anderen Seite, im Fall i = 0 und u F n, ist f u = α f (u) konstant, und dazwischen, für i n und u F n i, gilt f u = f (u,0) + T n i+ f (u,). Die Auswertung folgt daher für y F i der Rekursionsformel f u (0, y) = f (u,0) (y), f u (, y) = f (u,0) (y) + f (u,) (y). Daraus wird jetzt eine iterative Prozedur gemacht. Dazu wird eine Folge von Vektoren x (i) = (x (i) u ) u F n mit Koeffizienten in F so definiert: Der Startvektor sei x (0) := (α f (u)) u F n, 0

11 und für i =,..., n sei, wenn man den n-bit-index zerlegt in uξv mit n i Bits u, einem Bit ξ und i Bits v, rekursiv definiert Durch Induktion folgt dann: x (i) u0v := x (i ) u0v, x (i) uv := x (i ) u0v + x (i ) uv. Satz 3 Für die wie oben rekursiv definierte Folge (x (i) ) gilt insbesondere ist x (i) (u,y) = f u(y) für alle u F n i, y F i ; die Wahrheitstafel von f. x (n) = (f(u)) u F n Da die Iterationsformel umgekehrt genauso aussieht: x (i ) u0v := x (i) u0v, x (i ) uv := x (i) u0v + x(i) uv, erfolgt die Umkehrabbildung von Θ n, also die Gewinnung der Koeffizienten- Darstellung aus der Wahrheitstafel, nach dem gleichen Algorithmus, ist also mit Θ n identisch: Korollar Die Auswertungsabbildung Θ n ist eine Involution. Insbesondere wird durch die umgekehrte Anwendung von Θ n auch der algebraische Grad einer Booleschen Funktion bestimmt, die durch ihre Wahrheitstafel gegeben ist. Zur konkreten Programmierung der Auswertungsprozedur werden die Indizes noch wie in. und Tabelle als ganze Zahlen k = k n i i in [0... n ] gedeutet. Dann ist in der Iterationsvorschrift uv = u0v + i, und die Gleichungen werden zu x (i+) k = { x (i) k, falls k n i = 0, x (i) k i + x (i) k, falls k n i =, für k = 0,..., n. Das Bit k n i lässt sich aus k nach der Formel k k n i = i mod = (k i) mod extrahieren, wobei k i die Verschiebung um i Bits nach rechts bedeutet. Der gesamte Algorithmus sieht also so aus:

12 Prozedur [REV] (Rekursive Evaluation) Ein- und Ausgabeparameter: Vektor x der Länge n, x[0],..., x[ n ]. lokale Hilfsvariablen: Vektor y der Länge n, y[0],..., y[ n ]. Schleifenzähler i = 0,..., n und k = 0,..., n. Anweisungen: Für i = 0,..., n : Für k = 0,..., n : Falls (((k i) mod ) = ): y[k] := x[k i ] XOR x[k] sonst y[k] := x[k] Für k = 0,..., n : x[k] := y[k] Dabei sind x und y Vektoren über F, also Bitketten, die Addition in F ist daher in die Boolesche Programmiersprachen-Operation XOR übergegangen. Der Aufwand beträgt n n Schleifendurchläufe mit je einer binären Addition, einer Bit-Verschiebung und einer Einzelbit-Komplementierung, also insgesamt 3n n elementare Operationen. Benötigt wird dabei im wesentlichen Speicherplatz für n Bits. Wird der Aufwand als Funktion der Größe N = n der Eingabe ausgedrückt, ist er fast linear: 3N log N. Das entsprechende C-Programm befindet sich als Quelltext im Anhang (Prozedur rev). Eine direkte Herleitung der Laufzeit aus der binären Rekursionsformel f = f 0 + T f mit f 0, f F [T,..., T n ], ist natürlich eleganter und ergibt auch (bis auf technische Details) das gleiche Ergebnis: Die Auswertung von f(x) an allen n Stellen x F n benötigt, sagen wir, A(n) Bit-Operationen. In der Formel f(x) = f 0 (x ) + x f (x ) sind f 0 und f an allen n Stellen x F n auszuwerten, dazu kommen je n Additionen und Multiplikationen. Also erhalten wir für den Rechenaufwand die Rekursionsformel deren Lösung A(n) = A(n ) + n+, A(n) = n n sofort durch vollständige Induktion bewiesen wird: A(0) = 0. A(n) = A(n )+ n+ = (n ) n + n+ = (n ) n + n = n n.

13 .5 Gruppenoperationen In vielen Fällen ist es von Interesse zu wissen, ob bestimmte Größen unter bestimmten Transformationen invariant sind; z. B. sollte ein sinnvolles Linearitätsmaß unter affinen Transformationen in Bild und Urbild invariant sein. Weiterhin ist es von Interesse, ob sich Funktionen oder Abbildungen durch geeignete Transformationen auf besonders einfache, d. h., einfach zu berechnende und zu analysierende, reduzierte algebraische Normalformen bringen lassen. Die hier relevanten Transformationsgruppen liegen in G n = Bij(F n ) und G n G q. Wichtige Untergruppen von G n sind die lineare Gruppe GL(F n ) und die Gruppe GA(F n ) der affinen Transformationen. Die Gruppe G n G q operiert auf der Menge Fn q = Abb(F n, Fq ) aller Abbildungen von F n nach Fq durch die Vorschrift ω (g,h) f := h f g für g G n, h G q, f F q n. Bei g steht der Exponent, damit bei der konventionellen Nacheinanderausführung von Abbildungen ω (g,h)(g,h ) = ω (g,h) ω (g,h ) ist. Ist g eine lineare Abbildung mit zugehöriger Matrix A GL n (F ) und wird L n kanonisch mit F n identifiziert, so ist zu beachten, dass g dann als Multiplikation mit der kontragredienten Matrix A = (A t ) operiert: Das Skalarprodukt ist in Matrix-Schreibweise u x = u t x =: α(x), und ω g (α) ist gegeben durch ω g (α)(x) = α(g x) = u t A x = [ (A t ) u ] t x = [A u] x. Im folgenden wird meist, in der Hoffnung, dass die Verwechslung nicht zu Verwirrung führt, die Transformationsgruppe GL(F n ) mit der Matrizengruppe GL n (F ) identifiziert. Achtung: Die Operation von GL n (F ) auf F n ( ist nicht ) homogen bezüglich des Grades: Ist z. B. f(x, x ) = x x und g =, so f g 0 (x, x ) = f(x + x, x ) = x x + x. [Dies ist eine Besonderheit der Charakteristik des Grundkörpers F.] Beispiele. Ist (im Fall q = ) (g, h) G n G q, so ist d(h f g, h f g ) = d(f, f ); d. h., die Hamming-Distanz ist unter allen bijektiven Transformationen in Bild und Urbild invariant. 3

14 . Wie bereits bemerkt, ist der algebraische Grad einer Funktion f unter GA(F n ) GA(Fq ) invariant, d. h., unter allen affinen Transformationen, wie es sich für ein sinnvolles Linearitätsmaß gehört. 3. Im Fall n = q = haben G n und G q jeweils die Ordnung ; das nichttriviale Gruppenelement σ vertauscht 0 und und ist affin: σ(x) = x+. Die vier Abbildungen F F verteilen sich daher unter G n auf die drei Bahnen {0}, {}, {T, T + }, unter G q und somit auch unter G n G q auf die zwei Bahnen {0, }, {T, T + }. 4. Allgemeiner lässt sich jede Abbildung f : F F q, die ja nach Bemerkung 5 in.3 affin ist, mit affinen Transformationen im Urbild, also unter der Gruppe GA(F q ), in die Gestalt 0 falls f konstant ist oder (T, 0,..., 0) falls f nicht konstant ist bringen. 5. Im Fall n =, q =, besteht G q aus (der identischen Abbildung) und σ wie im Beispiel 3. Da #F = 4, ist G n = S 4 und hat 4! = 4 Elemente. Die Gruppe GL = GL (F ) besteht aus den sechs Matrizen ( ) ( ) ( ) ( ) ( ) ( ) ,,,,, Die affinen Permutationen erhält man, indem man jede davon mit den vier möglichen Verschiebungen in F kombiniert, so dass GA = GA(F ) aus 4 Transformationen besteht. Insbesondere ist GA = G n, d. h., alle Permutationen von F sind affin. Da σ auf Funktionen als f f + operiert, verteilen sich die 6 Funktionen in F auf acht G q -Bahnen der Länge 8. Die Operation von G n erhält den Grad und lässt insbesondere die Konstanten 0 und fest. Die Funktionen vom Grad bilden unter GL (F ) die beiden dreielementigen Bahnen {T, T, T + T } und {T +, T +, T + T + }, die unter GA = G n zu einer sechselementigen zusammenfallen. Bei den quadratischen Funktionen verwendet man, dass die lineare Abbildung zur Matrix ( ) a b c d die Funktion T T in T T + bdt + act transformiert. Daher gibt es unter GL je zwei Bahnen der Längen und 3: {T T, T T + T, T T + T }, {T T + T + T }, {T T +, T T + T +, T T + T + }, {T T + T + T + }. Da die Verschiebung um den Vektor ( ) die Transformation T T T T +T +T + bewirkt, fallen diese unter GA = G n zu zwei Bahnen der Länge vier zusammen: {T T, T T + T, T T + T, T T + T + T + }, 4

15 {T T +, T T + T +, T T + T +, T T + T + T }, und unter G n G q gibt es schließlich nur noch eine Bahn der Länge acht. Also sind im Fall n =, q =, alle quadratischen Abbildungen affin ineinander transformierbar. 6. Ähnlich, aber natürlich mit etwas mehr Aufwand, zeigt man, dass die 56 Abbildungen F F unter affinen Transformationen in Bild und Urbild, also unter der vollen Gruppe G n G q, in 5 Bahnen zerfallen, die von den folgenden Abbildungen repräsentiert werden hier durch Polynompaare beschrieben: ( ) ( ) ( ) ( ) ( ) 0 T T T T,,, T T, T Diese Klassifikation wird in.6 in etwas allgemeinerer Form hergeleitet. Eine weitere sinnvolle Gruppenoperation erhalten wir durch Translationen mit affinen Abbildungen r A q n; eine solche wirkt als f f + r. Diese Operation erhält den Grad, sofern er ist; auf den Abbildungen vom Grad, also auf A q n, hat sie offensichtlich genau eine Bahn. Anmerkung. Man kann das leicht zu einer Operation eines geeignet definierten semidirekten Produkts [G n GA q ] A q n zusammensetzen. Wie sich später zeigen wird, ist die darin enthaltene Untergruppe [GA n GA q ] A q n eine sehr natürliche Transformationsgruppe auf F q n, wenn es um die Untersuchung von Nichtlinearität geht. Auch ohne die Definition des semidirekten Produkts explizit hinzuschreiben [Übungsaufgabe], können wir die von GA n GA q und A q n zusammen erzeugte Untergruppe G aller Bijektionen von Fn q betrachten und definieren: Definition 3. Zwei Abbildungen F n Fq heißen äquivalent, wenn sie in derselben Bahn unter G liegen. Beispiele. In F q sind alle Abbildungen zueinander äquivalent. In F und F gibt es jeweils zwei Äquivalenzklassen: die affinen Abbildungen und die (echt) quadratischen. Die Zahl der Äquivalenzklassen sieht in diesen Beispielen beeindruckend klein aus. Eine grobe Überschlagsrechnung zeigt allerdings, dass dieser Effekt nur für kleine Dimensionen wirksam ist: GA n (F ) hat höchstens n + n n+ Elemente, die ganze Gruppe G also höchstens nq+n+q+. Der Raum, auf dem sie operiert, F q n, hat dagegen qn Elemente. Es gibt also mindestens qn nq n q qn Bahnen. Für n = 3 ist diese Unterschranke = 3q 8, für n = 4 schon = 0q 0, also spätestens für q = 5 außerhalb der Reichweite einer vollständigen Aufzählung aller Äquivalenzklassen. Für n = 5 lässt uns die Schranke 5q allerspätestens bei q = 3 resignieren, und für n = 6, q = gibt es mindestens 4 Äquivalenzklassen. 5 T

16 .6 Quadratische Abbildungen Eine Boolesche Abbildung f : F n Fq, vom Grad soll hier als quadratische Abbildung bezeichnet werden; darin sind also auch die affinen eingeschlossen. Eine solche quadratische Abbildung hat in algebraischer Normalform die Gestalt f = n a ii T i + i= mit Koeffizienten a ij, b F q. Bemerkungen i<j n a ij T i T j + b. Ist f : F n Fq quadratische Abbildung und (e,..., e n ) die kanonische Basis von F n, so (i) b = f(0), (ii) a ii = f(e i ) f(0) für i =,... n, (iii) a ij = f(e i + e j ) f(e i ) f(e j ) + f(0) für i < j n. Das folgt direkt durch Einsetzen von e i bzw. e i +e j in die algebraische Normalform.. Die zu f gehörige bilineare Abbildung β f : F n F n F q ist gegeben durch β f (x, y) = f(x + y) f(x) f(y) + f(0) n = a ii [x i + y i x i y i ] = i= + a ij [(x i + y i )(x j + y j ) x i x j y i y j ] i<j n i<j n a ij (x i y j + y i x j ). Es ist offensichtlich (i) β f (x, x) = 0 für alle x F n, (ii) β f (x, y) = β f (y, x) für alle x, y F n, also β f symplektisch. 6

17 Definition 4 Das Radikal der quadratischen Abbildung f : F n Fq ist der Unterraum Rad f := {u F n β f (u, x) = 0 für alle x F n }. Der Rang von f ist Rang f := n Dim(Rad f ). Die quadratische Abbildung f heißt nichtausgeartet, wenn Rang f = n oder, äquivalent dazu, Rad f = 0. Bemerkungen 3. Genau dann ist u Rad f, wenn f(u + x) + f(0) = f(u) + f(x) für alle x F n. Insbesondere ist f auf Rad f affin. 4. Sind f,..., f q : F n F die Komponenten der quadratischen Abbildung f : F n Fq, so ist Rad f = q Rad fi ; i= insbesondere ist f genau dann nichtausgeartet, wenn mindestens eine Komponente f i nichtausgeartet ist. 5. β f = 0 konstant Rad f = F n f affin. 6. Im Fall der Dimension n = sind alle quadratischen Abbildungen affin. 7. Basiswechsel: Sei h GL n (F ) und v i = he i für i =,..., n. Dann ist auch f := f h eine quadratische Abbildung und Rad f = {u F n f h(x + u) f h(x) f h(u) + f h(0) = 0 für alle x F n } = {u F n f(y + hu) f(y) f(hu) + f(0) = 0 für alle y} = {u F n hu Rad f } = h (Rad f ). 8. Weiter ist bei einem Basiswechsel h: f(ξ v + + ξ n v n ) = f h(ξ e + + ξ n e n ) = f h(ξ,..., ξ n ) n = ã ii ξ i + ã ij ξ i ξ j + b i= i<j n mit ã ij F q für i j n, und zwar ã ii = f(v i ) f(0), ã ij = f(v i + v j ) f(v i ) f(v j ) + f(0) für i j. 7

18 9. Sei (v,..., v r, v r+,..., v n ) eine Basis von F n, so dass v r+,..., v n eine Basis von Rad f bilden. Dann ist ã ij = f(v i +v j ) f(v i ) f(v j )+f(0) = β f (v i, v j ) = 0 für j > r, also f h(ξ,..., ξ n ) = f(ξ v + + ξ n v n ) n = a ii ξ i + a ij ξ i ξ j + b = i= r ã ii ξ i + i= i<j r i<j r ã ij ξ i ξ j + b + n i=r+ a ii ξ i. Der Vektorraum F n zerfällt also in die direkte Summe Fr Fn r von Unterräumen, so dass f h auf dem ersten nichtausgeartet, auf dem zweiten linear ist. Damit ist gezeigt: Satz 4 Sei f : F n Fq eine quadratische Abbildung vom Rang r n. Dann gibt es ein h GL n (F ), eine nichtausgeartete quadratische Abbildung g : F r Fq und eine lineare Abbildung l : Fn r F q, so dass f h(x,..., x n ) = g(x,..., x r ) + l(x r+,..., x n ) für alle x F n, und Rad f h wird von e r+,..., e n aufgespannt. Insbesondere ist r, wenn f nicht affin ist. Bemerkungen 0. Sei a F n und f(x) = f(x + a) (Verschiebung im Urbildraum). Für u Rad f gilt dann f(x + u) f(x) f(u) + f(0) = f(x + a + u) f(x + a) f(u + a) + f(a) = f(u) f(0) f(u) + f(0) = 0. Also ist Rad f Rad f. Da die umgekehrte Inklusion natürlich genauso gilt, folgt Rad f = Rad f.. Bei einer affinen Transformation im Bildraum bleibt das Radikal trivialerweise ungeändert. Zusammengenommen folgt: Satz 5 Der Rang einer quadratischen Abbildung ist unter affinen Transformationen in Bild und Urbild invariant. 8

19 Versuchen wir nun die Klassifikation der Abbildungen F Fq unter affinen Transformationen, also unter GA(F ) GA(Fq ) diese sind ja alle quadratisch. Jede solche Abbildung hat also die Gestalt f(x, x ) = a x x + a x + a x + b mit a, a, a, b F q. Ist f affin, also a = 0, so ist f b linear, also W := f(f n ) b ein Unterraum von F q. Ist Dim W = 0, so f konstant = b. Ist Dim W =, so ist mit GL q (F ), also einer linearen Transformation im Bild, W = F e zu erreichen, ebenso W = F e + F e in Fall Dim W =. Durch Verschiebung im Bildraum erreicht man außerdem b = 0. Im Fall Dim W = 0 ist f also auf die Nullabbildung 0 reduziert. Im Fall Dim W = reduziert man die erste Komponente von f weiter durch eine lineare Transformation im Urbild auf f = T, im Fall Dim W = die ersten beiden auf f = T, f = T. Die Bahnen von affinen Abbildungen werden also durch die Normalformen 0 T T 0 0 T 0, 0, repräsentiert, letztere nur im Fall q. Sei nun f nicht affin, also a 0. Eine lineare Transformation im Bild bildet dann a auf den ersten kanonischen Basisvektor e ab; f hat dann die Form x x 0 f(x, x ) =. + a x + a x + b = 0 ( ) f (x, x ) f (x, x ) mit f : F F vom Grad und f : F Fq affin. Eine Verschiebung im Bildraum F q annulliert b. Im Fall f = 0 lässt sich f mit einer linearen Transformation im Urbild nach Beispiel 5 in.5 auf die Gestalt T T bringen. Ist q und f 0, so bringen wir es auf die Gestalt (zeilenweise geschrieben) (T, 0,..., 0) oder, falls q 3, auch (T, T, 0,..., 0). Im ersten dieser Fälle hat f die Gestalt T T + a T + a T. Ist a = a =, so bewirkt die Addition der ersten beiden Komponenten, also ein lineare Transformation des Bildraums, dass f zu T T + T wird. Die affine Transformation T T + im Urbild macht daraus T T ; der dadurch entstehende konstante Summand in der zweiten Komponente wird 9

20 wieder durch eine Verschiebung im Bild annulliert. Die Kette der eben durchgeführten Transformationen sah also auf den ersten beiden Komponenten so aus: ( ) ( ) ( ) ( ) T T + T + T T T + T T T T T T + T T In dieser Kette sind auch die Fälle a = 0, a = sowie a = a = 0 enthalten, die daher keine neuen Bahnen ergeben. Ist a =, a = 0, also f = T T + T, so landen wir durch die erste Transformation der Kette schon gleich am Endpunkt: also auch keine weitere Bahn. Es bleibt der Fall q 3, f = (T, T, 0,..., 0). Durch Addition, je nach Bedarf, der Zeilen und 3 zur ersten, also durch eine lineare Transformation im Bild, lässt sich dann f auf die Gestalt T T bringen. Insgesamt haben wir also höchstens drei nicht-affine Bahnen, die durch T T T T T T 0 T T 0 0 T 0, 0, repräsentiert werden, wobei die zweite nur bei q, die dritte nur bei q 3 vorkommt. Satz 6 (i) Jede Boolesche Funktion F F ist unter affinen Transformationen äquivalent zu einer der Normalformen 0, T, T T. (ii) Jede Boolesche Funktion F F ist unter affinen Transformationen äquivalent zu einer der Normalformen (Komponenten in Zeilen angeordnet) (0, 0), (T, 0), (T, T ), (T T, 0), (T T, T ). (iii) Jede Boolesche Funktion F Fq mit q 3 ist unter affinen Transformationen äquivalent zu einer der Normalformen (Komponenten in Zeilen angeordnet) (0,..., 0), (T, 0,..., 0), (T, T, 0,..., 0), (T T, 0,..., 0), (T T, T, 0,..., 0), (T T, T, T, 0,..., 0). (iv) Es gibt in F q genau zwei Äquivalenzklassen: die affinen Abbildungen und die (echt) quadratischen. T 0

21 .7 Klassifikation der Booleschen quadratischen Formen Definition 5 Eine Boolesche quadratische Form in n Variablen ist eine Funktion f : F n F vom algebraischen Grad mit f(0) = 0. (Der Zusammenhang mit dem üblichen Begriff einer quadratischen Form über einem beliebigen Körper entsteht dadurch, dass in F stets x = x gilt.) (Anmerkung: Für quadratische Formen in Charakteristik wird die Nichtausgeartetheit oft etwas schwächer als in.6 definiert.) Bemerkungen. Die zu f gehörige symplektische Bilinearform β f : F n F n F ist gegeben durch β f (x, y) = f(x + y) f(x) f(y).. Geht man von der Koeffizientendarstellung in.6 aus und setzt man a ij = 0 für i > j, so bilden die Koeffizienten a ij eine n n-matrix A mit f(x) = x t Ax für alle x F n, und es ist β f (x, y) = f(x + y) f(x) f(y) = (x + y) t A(x + y) x t Ax y t Ay = x t Ay + y t Ax = x t (A + A t )y. 3. Für eine quadratische Form f ist Rad f = Kern(A + A t ): u t (A + A t )x = 0 für alle x F n u t (A + A t ) = 0 Also ist Rang f = Rang(A + A t ). (A + A t )u = Im Fall der Dimension n = sind alle quadratischen Formen linear. 5. Satz 4 lässt sich hier verschärfen: Falls f h nicht sowieso schon 0 ist, lässt sich durch einen weiteren Basiswechsel noch erreichen, dass f h eine Koordinatenprojektion ist, also z. B. ã r+,r+ =, ã ii = 0 für i r +. Damit ist gezeigt:

22 Satz 7 Sei f : F n F eine quadratische Form vom Rang r n. Dann gibt es ein h GL n (F ), ein a F und eine nichtausgeartete quadratische Form g : F r F, so dass f h(x,..., x n ) = g(x,..., x r ) + ax r+ für alle x F n, und Rad f h wird von e r+,..., e n aufgespannt. Definition 6 Sei f : F n F eine quadratische Form. Ein hyperbolisches Paar (u, v) für f ist ein Paar von Vektoren u, v F n mit f(u) = f(v) = 0, f(u + v) = (also β f (u, v) = ). Hilfssatz Sei f : F n F eine quadratische Form und u F n Rad f ein Vektor mit f(u) = 0. Dann gibt es einen Vektor v F n, so dass (u, v) ein hyperbolisches Paar für f ist. Beweis. Es gibt v mit β f (u, v) 0, also =. Falls f(v) = 0, sind wir fertig. Andernfalls sei w := u + v. Dann ist β f (u, w) = β f (u, u + v) = f(v) + f(u) + f(u + v) = β f (u, v) =, f(w) = f(u + v) = β f (u, v) + f(u) + f(v) = = 0, also (u, w) hyperbolisches Paar für f. Welche Booleschen quadratischen Formen gibt es im Fall der Dimension n =? a) Die linearen. b) Ist f nichtlinear, so f(x) = a x + a x + a x x mit a = β f (e, e ) =. Insbesondere ist f nichtausgeartet. Ist f(e ) = 0 oder f(e ) = 0, so findet man ein hyperbolisches Paar für f, also eine Transformation h GL n (F ) mit f h = T T in algebraischer Normalform. Es bleibt der Fall f(e ) = f(e ) =. Dann ist f(e + e ) = β f (e, e ) + f(e ) + f(e ) =, und wir sind im anisotropen Fall f = T + T + T T. Damit ist die Klassifikation unter linearen Transformationen aus Beispiel 5 in.5 auf andere Weise hergeleitet. Sei nun n 3 und f nichtlineare quadratische Form. Der Unterraum U F n sei direktes Komplement zu Rad f, so dass f auf U nichtausgeartet

23 ist, insbesondere Dim U = r. Sei u U {0} beliebig gewählt. Dann ist f(u) = 0 oder. Im zweiten Fall wählen wir im (r )-dimensionalen Unterraum {v U β f (u, v) = 0} ein v 0. Dann ist f(v) = 0 oder f(u + v) = β f (u, v) + f(u) + f(v) = 0 das klappt, außer wenn r =, also nur v = u möglich ist. Also: Hilfssatz 3 Ist n 3 und f : F n F eine nichtlineare quadratische Form vom Rang r 3, so gibt es (i) ein u F n Rad f mit f(u) = 0, (ii) ein hyperbolisches Paar (u, v) für f. Sei nun (u, v) hyperbolisches Paar und U := F u + F v = {0, u, v, u + v} der davon aufgespannte Unterraum, ferner V = {x F n β f (u, x) = β f (v, x) = 0} der zu U bezüglich β f orthogonale Unterraum. Dann ist Dim V n und U V = 0, denn u, v, u + v V. Also ist F n = U V direkte Summe dieser beiden Unterräume. Es gibt also einen Basiswechsel h GL n (F ), so dass f h(x) = x x + g(x 3,..., x n ) mit einer quadratischen Form g : F n F. Durch Induktion folgt: Satz 8 Sei f : F n F eine quadratische Form, die nicht linear ist. Dann gibt es eine lineare Transformation h GL n (F ), so dass f h in algebraischer Normalform eine der folgenden Gestalten hat: (Q I (m)) T T + T m T m mit m n, (Q II (m)) T T + T m T m + T m + T m mit m n, (Q III (m)) T T + T m T m + T m+ mit m n. Insbesondere ist Rang f = m gerade. Unter affinen Transformationen in Bild und Urbild liegen Q I (m) und Q II (m) in derselben Bahn. Die folgenden algebraischen Normalformen repräsentieren also jeweils ein vollständiges Vertretersystem der Bahnen von GL n (F ) auf den Booleschen Funktionen f : F n F vom Grad mit f(0) = 0: Beispiele. n = : T T, T T + T + T.. n = 3: T T, T T + T + T, T T + T n = 4: Die gleichen wie bei n = 3 und zusätzlich T T + T 3 T 4, T T + T 3 T 4 + T 3 + T n = 5: Die gleichen wie bei n = 3 und zusätzlich T T + T 3 T 4 + T 5. Im allgemeinen Fall sind es 3n solcher Bahnen. 3

24 Die Walsh-Transformation Gegenstand der Betrachtung sind jetzt zunächst reellwertige Funktionen ϕ : F n R. Diese Funktionen bilden die R-Algebra C n = R Fn.. Definition der Walsh-Transformation Die folgende Konstruktion ist trotz ihrer Einfachheit das Zaubermittel, das die Theorie der Booleschen Funktionen und Abbildungen einfach und elegant macht. Definition Die Walsh-Transformation (oder Hadamard-Walsh- Transformation) Φ : C n C n, ϕ ˆϕ, ist definiert durch ˆϕ(u) := x F n ϕ(x) ( ) u x. Dabei ist u x das kanonische Skalarprodukt in F n. Bemerkungen. Es ist unmittelbar ersichtlich, dass Φ eine R-lineare Abbildung ist.. Φ ist ein Spezialfall der diskreten Fourier-Transformation. Im allgemeinen Fall würde man statt die komplexe N-te Einheitswurzel ζ = e πi/n verwenden und komplexwertige Funktionen über dem Ring Z/NZ transformieren oder Funktionen auf Z n, die in jeder Variablen die Periode N haben. [Eine weitere Verallgemeinerung sind Charakter- Summen.] 3. Klar ist ˆ0 = 0 für die konstante Funktion 0 C n. Für die konstante Funktion ist ˆ die Punktmasse in 0: ˆ(0) = n, ˆ(u) = 0 sonst. Das ergibt sich aus dem folgenden Hilfssatz: Hilfssatz Für u F n gilt { ( ) u x = n, wenn u = 0, 0 sonst. x F n 4

25 Beweis. Falls u = 0, sind alle Exponenten 0, alle Summanden, und davon gibt es n Stück. Falls u 0, sei H die Hyperebene {x F n x u = 0}. Dann ist H = {x F n x u = } das Komplement, also Fn = H H, H H =, und #H = # H = n. Für x H ist der Summand, für x H jeweils. Also ist die Summe 0. Definition Für eine Boolesche Funktion f : F n F heißt die transformierte Funktion χˆ f : F n R der Charakter-Form χ f das (Walsh- ) Spektrum von f. Die Größe max ˆχ f heißt Spektralradius von f (Dobbertin FSE 94). Es ist ˆχ f (u) = x F n ( ) f(x)+u x } {{ }, wenn f(x) = u x,, wenn f(x) u x, = #{x f(x) = u x} #{x f(x) u x}. Bezeichnet man die erste dieser Mengen mit so ist gezeigt: L f (u) := {x f(x) = u x} Korollar Für eine Boolesche Funktion f : F n F ist das Spektrum gleich ˆχ f (u) = #L f (u) n. Insbesondere ist ˆχ f (u) stets gerade und n ˆχ f (u) n. Dabei wird die untere Grenze für f(x) = u x +, die obere für f(x) = u x angenommen. Das Spektrum misst also die Übereinstimmung bzw. Abweichung zwischen einer Booleschen Funktion und allen linearen und affinen Funktionen. Korollar Ist α die Linearform α(x) = u x, so ist d(f, α) = n #L f (u) = n ˆχ f (u). Speziell ist ˆχ f (0) = n d(f, 0) = n wt(f). 5

26 Bemerkungen 4. ˆχ f+ = ˆχ f für alle f. 5. Allgemeiner sei g eine affine Funktion, g(x) = v x + c. Dann ist ˆχ f+g (u) = ( ) f(x)+v x+c+u x = ( ) c ˆχ f (u + v). x F n Die Addition einer affinen Funktion bewirkt also bis aufs Vorzeichen eine Permutation des Spektrums. 6. Ist g GL n (F ), so ist ˆχ f g (u) = ( ) f(g(x))+u x = x F n y F n = ˆχ f (g (u)) ( ) f(y)+u g (y) für alle u F n. Insbesondere permutiert g das Spektrum von f. 7. Ist g(x) = f(x + z) mit fester Verschiebung z, so ist ˆχ g (u) = ( ) f(x+z)+u x = ( ) u z x F n y F n = ( ) u z ˆχ f (u); ( ) f(y)+u y Bei Translation im Argumentraum ändern sich die Werte des Spektrums also höchstens um das Vorzeichen. Beispiele. Da χ 0 = konstant, ist ˆχ 0 (u) = { n für u = 0, 0 sonst.. Sei f affin, also f(x) = t x + b mit t F n und b = 0 oder. Dann ist L f (u) = {x F n t x + b = u x} = {x F n (u t) x = b}, und das ist im Fall u t 0 der -codimensionale Unterraum {u t}, falls b = 0, und die dazu parallele Hyperebene, falls b =. Insgesamt gibt es also drei Fälle: n, falls u = t, b = 0, #L f (u) = 0, falls u = t, b =, n, falls u t. 6

27 Daher ist ˆχ f (u) = { ( ) b n, falls u = t, 0, falls u t. 3. Sei f : F F gegeben durch das Polynom T T, also f(x, x ) = x x. Die Wertetabelle von f und den vier Linearformen sieht dann so aus: Daraus ergibt sich die Wertetafel u = x f(x) u #L f (u) ˆχ f (u) Insbesondere ist ˆχ f = χ f, also Eigenwert und χ f Eigenvektor der Walsh-Transformation. 4. Für die anisotrope quadratische Form f = T T + T + T berechnet man genauso die Tabelle u #L f (u) ˆχ f (u) Also ist ˆχ f = χ f, also Eigenwert und χ f Eigenvektor der Walsh-Transformation. Übungsaufgabe. Sei V F n ein Untervektorraum der Dimension r und b F n. Zeige: { ( ) u x r ( ) u b, falls u V, = 0 sonst. x b+v Übungsaufgabe. Sei V F n ein Untervektorraum der Dimension r und ϕ: F n R. Zeige: v V ˆϕ(v) = r u V ϕ(u). 7

28 . Die Umkehrformel Was passiert, wenn man auf eine Walsh-Transformierte ˆϕ noch einmal Φ anwendet? Das ist leicht zu berechnen: ˆϕ(w) = u F n = u F n = x F n ˆϕ(u) ( ) u w ϕ(x) ( ) u x ( ) u w x F n ϕ(x) = n ϕ(w). = ( ) u (x+w) u F n }{{} n, falls x + w = 0, 0 sonst, Damit ist gezeigt, dass Φ Φ(ϕ) = n ϕ für alle ϕ C n, also: Satz (Umkehrformel) Die Walsh-Transformation Φ : C n C n ist bijektiv, und ihre Umkehrung ist gegeben durch Φ = n Φ. Korollar ϕ(0) = n u F n ˆϕ(u). Korollar Für eine Boolesche Funktion f : F n F gilt { n, falls f(0) = 0, ˆχ f (u) = n sonst..3 Die Faltung u F n Definition 3 Für ϕ, ψ : F n R ist die Faltung ϕ ψ : Fn durch ϕ ψ(w) := ϕ(x)ψ(w x). x F n R definiert Dadurch wird eine bilineare Abbildung : C n C n C n beschrieben. 8

29 Anwendung Berechnen wir für die Charakter-Formen zweier Boolescher Funktionen f, g : F n F den Wert der Faltung in 0: denn χ f χ g (0) = x F n χ f (x)χ g (x) = ( ) f(x)+g(x) x F n = n d(f, g), { ( ) f(x)+g(x), falls f(x) = g(x), = sonst; also sind d(f, g) Summanden = und n d(f, g) Summanden =. Damit ist folgende Verallgemeinerung von Korollar in. gezeigt: Satz Die Hamming-Distanz zweier Boolescher Funktionen f, g : F n F ist d(f, g) = n χ f χ g (0). Man kann dieses Ergebnis auch durch die Korrelation κ(f, g) := [#{x f(x) = g(x)} #{x f(x) g(x)}] n = [#{x f(x) = g(x)}] n der Funktionen f und g ausdrücken: Korollar Die Korrelation der Funktionen f und g ist κ(f, g) = n χ f χ g (0). Übungsaufgabe Die Korrelation κ ist ein Skalarprodukt auf dem rellen Funktionenraum C n. Die Menge {χ f f L n } der Charakterformen von Linearformen auf F n bildet eine Orthonormalbasis von C n. Die Walsh-Transformation einer Funktion f C n ist gerade die Basis- Darstellung. Definition 4 Die Autokorrelation einer Booleschen Funktion f : F n F bezüglich der Verschiebung x F n ist κ f (x) := n [#{u Fn f(u + x) = f(u)} #{u F n f(u + x) f(u)}]. 9

30 also Es folgt κ f (x) = n u F n ( ) f(u+x)+f(u) = n Hilfssatz Die Autokorrelation von f ist κ f = n χ f χ f. u F n χ f (u + x)χ f (u), Bestimmen wir nun die Walsh-Transformation einer Faltung: ϕ ψ(u) = (ϕ ψ)(w)( ) u w w F n = ϕ(x)ψ(w + x)( ) u w w F n x F n = x F n = x F n = x F n ϕ(x) ψ(w + x)( ) u w w F n ϕ(x) ψ(v)( ) u (v+x) v F n ϕ(x) ψ(v)( ) u v ( ) u x v F n = x F n = ˆϕ(u) ˆψ(u). ϕ(x)( ) u x ˆψ(u) Satz 3 (Faltungssatz) Für ϕ, ψ : F n R ist ϕ ψ = ˆϕ ˆψ. Korollar C n ist mit der Multiplikation eine R-Algebra C n; insbesondere ist kommutativ und assoziativ, und Φ : C n C n ist ein Homomorphismus der R-Algebren. Da Φ = n Φ, ist Φ bis auf den Faktor n auch Homomorphismus C n C n, d. h.: Korollar Für ϕ, ψ : F n R ist ϕψ = n ˆϕ ˆψ. Korollar 3 Für f, g : F n F gilt χ f+g = χ f χ g = n ˆχ f ˆχ g, χ fg = Φ( + χ f + χ g χ f χ g ) = ˆ + ˆχ f + ˆχ g n ˆχ f ˆχ g. 30

31 Korollar 4 Für die Autokorrelation κ f gilt ˆκ f = n ˆχ f. Den Wert einer Faltung an der Stelle 0 kann man auf zwei verschiedene Arten berechnen; erstens: ϕ ψ(0) = x F n ϕ(x)ψ(x). Andererseits nach dem Korollar zur Umkehrformel (Satz ): Damit ist gezeigt: ϕ ψ(0) = n u F n ϕ ψ(u) = n u F n Satz 4 (Parseval-Gleichung) Für ϕ, ψ : F n R gilt ˆϕ(u) ˆψ(u) = n ϕ(x)ψ(x). u F n x F n.4 Krumme Funktionen ˆϕ(u) ˆψ(u). Wendet man die Parseval-Gleichung auf die Charakter-Form einer Booleschen Funktion f : F n F an, so folgt: ˆχ f (u) = n χ f (x) = n, u F n x F n da in der letzten Summe alle Summanden = sind. Insbesondere muss in der ersten Summe mindestens einer der n Summanden ˆχ f (u) n sein. Es folgt: Satz 5 Für eine Boolesche Funktion f : F n F ist der Spektralradius max ˆχ f n/, und die Gleichheit gilt genau dann, wenn ˆχ f = n konstant ist. Solche Funktionen sind in der Kombinatorik schon lange bekannt: Definition 5 (Rothaus, ca. 965, veröffenticht 976) Eine Boolesche Funktion f : F n F heißt krumm (Bent-Funktion), wenn (ˆχ f ) = n konstant ist, d. h., wenn der Spektralradius den minimal möglichen Wert n/ hat. Insbesondere kann das Spektrum ˆχ f für eine krumme Funktion f nur die Werte ± n/ annehmen; diese müssen aber ganzzahlig sein: ˆχ f (u) = x F n χ f (x)( ) u x Z. 3

32 Korollar Wenn eine krumme Funktion f : F n F existiert, muss n gerade sein. Beispiele. Ist f affin, so max ˆχ f = n, also f sicher nicht krumm.. Für f : F F, f(x, x ) = x x, ist (ˆχ f ) = 4 konstant, diese Funktion ist also krumm. Bemerkungen. Die Größen max ˆχ f der Spektralradius und max ˆχ f sowie die Eigenschaft krumm sind unter affinen Transformationen, also unter der gesamten affinen Transformationsgruppe GA(F n ) GA(F ) invariant. Insbesondere ist f genau dann krumm, wenn das Komplement f + krumm ist.. Ist f krumm und g affin, so ist f + g krumm. Der Spektralradius ist nämlich der gleiche. 3. Die Korrelation einer Booleschen Funktion f mit der durch u F n gegebenen Linearform α ist κ(f, α) = n ˆχ f (u). Bei der Konstruktion von Stromchiffren (oder Pseudozufallsgeneratoren) durch Kombination von linearen Schieberegistern möchte man Korrelationen mit linearen Funktionen vermeiden. Da die Quadratsumme über alle solchen Korrelationen aber konstant = ist, erreicht man die Korrelation 0 nur, wenn man höhere Korrelation mit anderen Linearformen in Kauf nimmt. Besser ist es, alle diese Korrelationen gleichmäßig zu minimieren, also den Spektralradius max ˆχ f, und das wird ja gerade von den krummen Funktionen geleistet. 4. Ist f krumm, so n/ ˆχ f (u) = ± = ( ) g(u) = χ g (u) für alle u F n mit einer Funktion g : Fn F. Da umgekehrt ˆχ g = n/ χ f, nimmt auch ˆχ g nur die Werte ± n/ an. Also: Korollar Ist f krumm, so ˆχ f = n/ χ g mit einer krummen Funktion g : F n F. 3

33 Es besteht also eine natürliche Dualität zwischen krummen Funktionen. Krumme Funktionen können keinen allzuhohen algebraischen Grad haben. Dazu zunächst zwei Hilfssätze: Hilfssatz 3 Ist f : F n F durch die algebraische Normalform f = I {,...,n} a I T I gegeben, so ist die Anzahl ν f (0) der Nullstellen von f genau dann gerade, wenn der Leitkoeffizient a...n = 0, d. h. Grad f n ist. Beweis. Es ist f(x) = #{x f(x) = } mod = [ n ν f (0)] mod = ν f (0) mod. x F n Andererseits ist für jede Teilmenge I {,..., n}, da die Koordinaten außerhalb von I nicht ausgewertet werden, x I = n #I }{{} x I mod x F n Supp(x) I 0, wenn Supp(x) I,, wenn Supp(x) = I, { = n #I 0, wenn #I < n, mod =, wenn I = {,..., n}, also f(x) x F n und daraus folgt die Behauptung. Hilfssatz 4 Sei n = r + s, und zu f : F n F sei g : F r F mit gebildet. Dann ist g(x) = f(x, 0) für x F r n r ˆχ g (w) = v F s ˆχ f (w, v) für alle w F r. 33

34 Beweis. Für w F r ist ˆχ g (w) = χ g (x)( ) w x = χ f (x, 0)( ) w x x F r x F r = n ˆχ f (u, v)( ) u x+v 0 ( ) w x x F r u F r v F s = n ˆχ f (u, v) ( ) (u+w) x = wie behauptet. v F s u F r n r v F s ˆχ f (w, v), x F r }{{} r, wenn u = w, 0 sonst, Satz 6 (Rothaus) Ist f : F n F krumm und n 4, dann ist Grad f n. Beweis. Die Zahl der Nullstellen von f ist ν f (0) = #L f (0) = n + ˆχ f (0) = n ± n. Für gerades n 4 ist diese Anzahl gerade, also der Leitkoeffizient a...n = 0 nach Hilfssatz 3. Sei nun r mit n < r < n beliebig und g wie in Hilfssatz 4 gebildet. Dann ist die Anzahl der Nullstellen von g ν g (0) = r + ˆχ g(0) = r + = r + v F n r (± r n ). n r+ v F n r ˆχ f (0, v) Falls r n +, ist das gerade. Falls r = n +, besteht die letzte Summe aus n r = n Summanden ±, ist also auch gerade. Also ist der Leitkoeffizient von g Null: a...r = 0. Durch Umnummerierung der Variablen folgt genauso, dass a I = 0 für #I > n. Also ist Grad f n. 34

35 Satz 7 (Maiorana-McFarland-Konstruktion) Sei n = m gerade. Sei π : F m F m bijektiv und g : F m F beliebig. Dann ist die Funktion krumm. f : F n = F m F m F, f(x, y) = π(x) y + g(x), Beweis. Für beliebige u, v F m ˆχ f (u, v) = x,y F m = gilt ( ) πx y+g(x)+u x+v y ( ) g(x)+u x+(πx+v) y x,y F m = ( ) g(x)+u x x F m y F m ( ) (πx+v) y }{{} 0, wenn πx v, m, wenn πx = v, Also ist f krumm. = m ( ) g(π v)+u π v = ± m. Korollar 3 Ist n gerade und r n, so gibt es auf Fn Funktion vom Grad r. eine krumme.5 Die Berechnung der Walsh-Transformation Sei ϕ : F n R eine Funktion. Für die praktische Berechnung der Walsh-Transformierten ˆϕ nehmen wir an, dass die Funktion ϕ durch ihre Wertetabelle gegeben ist d. h., alle Werte ϕ(x) sind bekannt und suchen die Wertetabelle der Transformierten. In diesem Abschnitt wird ein Algorithmus mittels binärer Rekursion hergeleitet, der dem aus.4 ziemlich ähnlich sieht. Er startet mit folgender Beobachtung: Für v F j, w Fn j und 0 j n gilt Setzt man ϕ (j) (y, w) := ˆϕ(v, w) = y F j z F n j ( ) v y z F n j ( ) w z ϕ(y, z) 35 ( ) w z ϕ(y, z). für y F j und w Fn j