劉震宇，卓澤朋

（淮北師范大學(xué) 數(shù)學(xué)科學(xué)學(xué)院，安徽 淮北 235000）

0 引言

信噪比（signal-to-noise ratio，SNR）是在2004年CARDIS會(huì)議上由Guilley等［1］提出，他們根據(jù)傳統(tǒng)密碼分析框架對(duì)信息泄露進(jìn)行完整建模，對(duì)于攻擊者來(lái)說(shuō)可以獲取密鑰猜測(cè)值的漢明重量的自相關(guān)值.該模型表明，當(dāng)S盒抵抗線性密碼分析能力增強(qiáng)時(shí)，S盒對(duì)應(yīng)的信噪比值也將隨之增大.側(cè)信道分析（Sidechannel analysis，SCA）是一種針對(duì)分組密碼［2］實(shí)現(xiàn)的強(qiáng)大技術(shù)，其基本原理［3］是計(jì)算中所獲得的物理量與計(jì)算設(shè)備的內(nèi)部狀態(tài)之間存在的相關(guān)性.差分功耗分析（differential power analysis，DPA）［4］是SCA的一種形式，它研究密碼硬件設(shè)備的功耗（它涉及統(tǒng)計(jì)分析和糾錯(cuò)技術(shù)提取與密鑰相關(guān)的信息，包括通過(guò)捕獲與某些密文對(duì)應(yīng)的功率跟蹤和數(shù)據(jù)分析計(jì)算差分跟蹤來(lái)收集數(shù)據(jù)）.但是從S盒抵抗DPA角度來(lái)說(shuō)，信噪比越小抵抗DPA越好.這就表明S盒的信噪比和S盒抵抗線性密碼分析之間存在著制約關(guān)系，兩者不能同時(shí)達(dá)到最好.2020年周宇等［5-6］分別研究布爾函數(shù)和(n,m)函數(shù)信噪比的一些性質(zhì).通過(guò)信噪比模型和定義可以看出，非線性S盒的噪聲對(duì)密碼算法的DPA信號(hào)起著決定性作用.因此，研究S盒的信噪比的界對(duì)密碼分析起著一定的作用.本文通過(guò)信噪比和其他密碼學(xué)指標(biāo)間的關(guān)系的分析對(duì)布爾函數(shù)和(n,m)函數(shù)展開(kāi)進(jìn)一步的探究，得出它們的上下界，并對(duì)上下界進(jìn)行探討，進(jìn)而分析S盒抵抗線性密碼分析和DPA的能力.

1 預(yù)備知識(shí)

設(shè)n,m∈Z+，函數(shù)F=(f1,f2,…,fm)是一個(gè)從到的向量函數(shù)，布爾函數(shù)f1,f2,…,fm稱為F的分量函數(shù).

定 義1［5］設(shè)f(x)∈Bn，f(x)的Walsh-Hadamard變 換 定 義 為,其 中.f(x)的線性度.考慮集合，這個(gè)譜的值稱為推廣的Walsh譜.

設(shè)f(x)∈Bn，f(x)的非線性度為.非線性度反映的是布爾函數(shù)與所有仿射函數(shù)之間的最小距離.

定義2［7］設(shè)f(x)∈Bn，如果對(duì)任意的，均有，那么稱f(x)為bent函數(shù).

Bent函數(shù)具有良好的密碼學(xué)特性，如具有高的非線性度，即bent函數(shù)與所有仿射函數(shù)之間的最小距離達(dá)到最大.從這個(gè)方面來(lái)看，bent函數(shù)是抗擊仿射逼近攻擊的最佳布爾函數(shù).此外bent函數(shù)是抗擊差分功耗分析的最佳布爾函數(shù).可是bent函數(shù)也有相應(yīng)的不足，比如說(shuō)bent函數(shù)不具有平衡性.

定義3［5］設(shè)f(x),g(x)∈Bn，它們互相關(guān)函數(shù)定義為，這里Db(f,g)(x)=f(x)+g(x+b)稱為f(x)和g(x)在方向上的導(dǎo)數(shù).

當(dāng)f(x)=g(x)時(shí)，f(x)的自相關(guān)函數(shù)定義為.

定義4［8-9］若對(duì)于所有的，f(x+b)+f(x)都是平衡的，即f(x)的自相關(guān)函數(shù)F(Db f)滿足F(Db f)=0，則稱布爾函數(shù)f(x)關(guān)于是滿足擴(kuò)散準(zhǔn)則的.

定義5［10-11］設(shè)f(x),g(x)∈Bn，f(x)和g(x)的互相關(guān)的平方和指標(biāo)定義為.

當(dāng)f(x)=g(x)時(shí)，有.

注1：對(duì)于任意f(x),g(x)∈Bn，有.

當(dāng)f(x)=g(x)時(shí)，有

定義6［12］設(shè)，如果對(duì)任意為常數(shù)，那么稱a為f(x)的一個(gè)線性結(jié)構(gòu).若f(x+a)+f(x)=0，則稱a為f(x)的不變線性結(jié)構(gòu).若f(x+a)+f(x)=1，則稱a為f(x)的恒變線性結(jié)構(gòu).記E={全體線性結(jié)構(gòu)}，稱E是的一個(gè)線性子空間，若該子空間的維數(shù)為正，則稱f(x)是一個(gè)線性結(jié)構(gòu)函數(shù).

定義7［5］設(shè)F=(f1,f2,…,fm)是一個(gè)(n,m)函數(shù)，對(duì)于任意1≤i＜j≤m，若fi和fj完全不相關(guān)，則有

Rsn表示信噪比.

定義8［13］設(shè)f(x)∈Bn的平方和指標(biāo)V(f)滿足當(dāng)n為奇數(shù)時(shí)，V(f)≤22n+1；當(dāng)n為偶數(shù)時(shí)，V(f)≤22n+2，則稱f(x)是一個(gè)近似最優(yōu)函數(shù).

2 主要結(jié)果

首先給出有關(guān)布爾函數(shù)的自相關(guān)平方和指標(biāo)與線性度的2個(gè)引理.

引理1［13］設(shè)f(x)∈Bn，則有V(f)≤2nL2(f)，等號(hào)成立當(dāng)且僅當(dāng)f(x)的推廣Walsh譜最多取3個(gè)值，0，L(f)和-L(f).

引理2［13］設(shè)f(x)∈Bn，假設(shè)f(x)有一個(gè)k≥1維的線性空間V，則等號(hào)成立當(dāng)且僅當(dāng)上滿足擴(kuò)散準(zhǔn)則.

通過(guò)以上引理和信噪比的定義可知，當(dāng)fi在Fn2V上滿足擴(kuò)散準(zhǔn)則時(shí)，F(xiàn)=(f1,f2,…,fm)的信噪比下界有如下結(jié)果.

定理1設(shè)F=(f1,f2,…,fm)是一個(gè)(n,m)函數(shù)，若對(duì)于每一個(gè)fi都有一個(gè)k≥1維線性空間V，fi在上滿足擴(kuò)散準(zhǔn)則且對(duì)于任意1≤i＜j≤m，fi和fj完全不相關(guān)，則.

證明由定義7，F(xiàn)=(f1,f2,…,fm)是一個(gè)(n,m)函數(shù)，對(duì)于任意1≤i＜j≤m，fi和fj完全不相關(guān)，則有

由引理1可知,V(f)≤2nL2(f)，則.

由引理2，當(dāng)fi在上滿足擴(kuò)散準(zhǔn)則時(shí)，有，則

通過(guò)上述定理可以發(fā)現(xiàn),(n,m)函數(shù)的信噪比的下界與m成正比，而與維數(shù)成反比關(guān)系，若m較大，線性空間維數(shù)較小時(shí)，則信噪比的下界越大，此時(shí)S盒抵抗線性密碼分析能力較強(qiáng).

下面研究2個(gè)n元布爾函數(shù)，其和函數(shù)的信噪比與它們互相關(guān)平方和指標(biāo)間的關(guān)系.

引理3［14］設(shè)f(x)∈Bn，g(x)∈Bm，則.

通過(guò)引理3和前面的定義可以得到如下定理.

定理2設(shè)f(x),g(x)∈Bn，則.

證明由式（1）有

由定義7，當(dāng)m=1時(shí)，有，因此.

綜上可以看出，如果f(x)和g(x)互相關(guān)的平方和指標(biāo)越大，那么它們和函數(shù)信噪比的上界就越緊，抵抗DPA效果越好.

通過(guò)文獻(xiàn)［6］及定義7可以看出：

②當(dāng)n≥3，V(f)≥22n+2n+3時(shí)，，

③因?yàn)閂(f)≤2nL2(f)，所以.

由文獻(xiàn)［15］，f(x)是近似最優(yōu)的.

當(dāng)n為奇數(shù)時(shí)，；當(dāng)n為偶數(shù)時(shí)，.

由此可知，當(dāng)n為奇數(shù)時(shí)，；當(dāng)n為偶數(shù)時(shí)，.

可以得出如表1.

表1 幾類函數(shù)信噪比上界或下界

3 結(jié)論

本文通過(guò)(n,m)函數(shù)信噪比與平方和指標(biāo)的關(guān)系，研究k維線性空間n個(gè)變量布爾函數(shù)信噪比的一個(gè)下界.根據(jù)f(x)和g(x)間互相關(guān)平方和指標(biāo)與它們各自平方和指標(biāo)間的關(guān)系，以及信噪比與平方和指標(biāo)間的關(guān)系，進(jìn)而得出f(x)與g(x)之和的信噪比和它們互相關(guān)平方和指標(biāo)的關(guān)系.文章的最后總結(jié)各種類型布爾函數(shù)信噪比的上界或下界.