刘震宇，卓泽朋

（淮北师范大学 数学科学学院，安徽 淮北 235000）

0 引言

信噪比（signal-to-noise ratio，SNR）是在2004年CARDIS会议上由Guilley等［1］提出，他们根据传统密码分析框架对信息泄露进行完整建模，对于攻击者来说可以获取密钥猜测值的汉明重量的自相关值.该模型表明，当S盒抵抗线性密码分析能力增强时，S盒对应的信噪比值也将随之增大.侧信道分析（Sidechannel analysis，SCA）是一种针对分组密码［2］实现的强大技术，其基本原理［3］是计算中所获得的物理量与计算设备的内部状态之间存在的相关性.差分功耗分析（differential power analysis，DPA）［4］是SCA的一种形式，它研究密码硬件设备的功耗（它涉及统计分析和纠错技术提取与密钥相关的信息，包括通过捕获与某些密文对应的功率跟踪和数据分析计算差分跟踪来收集数据）.但是从S盒抵抗DPA角度来说，信噪比越小抵抗DPA越好.这就表明S盒的信噪比和S盒抵抗线性密码分析之间存在着制约关系，两者不能同时达到最好.2020年周宇等［5-6］分别研究布尔函数和(n,m)函数信噪比的一些性质.通过信噪比模型和定义可以看出，非线性S盒的噪声对密码算法的DPA信号起着决定性作用.因此，研究S盒的信噪比的界对密码分析起着一定的作用.本文通过信噪比和其他密码学指标间的关系的分析对布尔函数和(n,m)函数展开进一步的探究，得出它们的上下界，并对上下界进行探讨，进而分析S盒抵抗线性密码分析和DPA的能力.

1 预备知识

设n,m∈Z+，函数F=(f1,f2,…,fm)是一个从到的向量函数，布尔函数f1,f2,…,fm称为F的分量函数.

定 义1［5］设f(x)∈Bn，f(x)的Walsh-Hadamard变 换 定 义 为,其 中.f(x)的线性度.考虑集合，这个谱的值称为推广的Walsh谱.

设f(x)∈Bn，f(x)的非线性度为.非线性度反映的是布尔函数与所有仿射函数之间的最小距离.

定义2［7］设f(x)∈Bn，如果对任意的，均有，那么称f(x)为bent函数.

Bent函数具有良好的密码学特性，如具有高的非线性度，即bent函数与所有仿射函数之间的最小距离达到最大.从这个方面来看，bent函数是抗击仿射逼近攻击的最佳布尔函数.此外bent函数是抗击差分功耗分析的最佳布尔函数.可是bent函数也有相应的不足，比如说bent函数不具有平衡性.

定义3［5］设f(x),g(x)∈Bn，它们互相关函数定义为，这里Db(f,g)(x)=f(x)+g(x+b)称为f(x)和g(x)在方向上的导数.

当f(x)=g(x)时，f(x)的自相关函数定义为.

定义4［8-9］若对于所有的，f(x+b)+f(x)都是平衡的，即f(x)的自相关函数F(Db f)满足F(Db f)=0，则称布尔函数f(x)关于是满足扩散准则的.

定义5［10-11］设f(x),g(x)∈Bn，f(x)和g(x)的互相关的平方和指标定义为.

当f(x)=g(x)时，有.

注1：对于任意f(x),g(x)∈Bn，有.

当f(x)=g(x)时，有

定义6［12］设，如果对任意为常数，那么称a为f(x)的一个线性结构.若f(x+a)+f(x)=0，则称a为f(x)的不变线性结构.若f(x+a)+f(x)=1，则称a为f(x)的恒变线性结构.记E={全体线性结构}，称E是的一个线性子空间，若该子空间的维数为正，则称f(x)是一个线性结构函数.

定义7［5］设F=(f1,f2,…,fm)是一个(n,m)函数，对于任意1≤i＜j≤m，若fi和fj完全不相关，则有

Rsn表示信噪比.

定义8［13］设f(x)∈Bn的平方和指标V(f)满足当n为奇数时，V(f)≤22n+1；当n为偶数时，V(f)≤22n+2，则称f(x)是一个近似最优函数.

2 主要结果

首先给出有关布尔函数的自相关平方和指标与线性度的2个引理.

引理1［13］设f(x)∈Bn，则有V(f)≤2nL2(f)，等号成立当且仅当f(x)的推广Walsh谱最多取3个值，0，L(f)和-L(f).

引理2［13］设f(x)∈Bn，假设f(x)有一个k≥1维的线性空间V，则等号成立当且仅当上满足扩散准则.

通过以上引理和信噪比的定义可知，当fi在Fn2V上满足扩散准则时，F=(f1,f2,…,fm)的信噪比下界有如下结果.

定理1设F=(f1,f2,…,fm)是一个(n,m)函数，若对于每一个fi都有一个k≥1维线性空间V，fi在上满足扩散准则且对于任意1≤i＜j≤m，fi和fj完全不相关，则.

证明由定义7，F=(f1,f2,…,fm)是一个(n,m)函数，对于任意1≤i＜j≤m，fi和fj完全不相关，则有

由引理1可知,V(f)≤2nL2(f)，则.

由引理2，当fi在上满足扩散准则时，有，则

通过上述定理可以发现,(n,m)函数的信噪比的下界与m成正比，而与维数成反比关系，若m较大，线性空间维数较小时，则信噪比的下界越大，此时S盒抵抗线性密码分析能力较强.

下面研究2个n元布尔函数，其和函数的信噪比与它们互相关平方和指标间的关系.

引理3［14］设f(x)∈Bn，g(x)∈Bm，则.

通过引理3和前面的定义可以得到如下定理.

定理2设f(x),g(x)∈Bn，则.

证明由式（1）有

由定义7，当m=1时，有，因此.

综上可以看出，如果f(x)和g(x)互相关的平方和指标越大，那么它们和函数信噪比的上界就越紧，抵抗DPA效果越好.

通过文献［6］及定义7可以看出：

②当n≥3，V(f)≥22n+2n+3时，，

③因为V(f)≤2nL2(f)，所以.

由文献［15］，f(x)是近似最优的.

当n为奇数时，；当n为偶数时，.

由此可知，当n为奇数时，；当n为偶数时，.

可以得出如表1.

表1 几类函数信噪比上界或下界

3 结论

本文通过(n,m)函数信噪比与平方和指标的关系，研究k维线性空间n个变量布尔函数信噪比的一个下界.根据f(x)和g(x)间互相关平方和指标与它们各自平方和指标间的关系，以及信噪比与平方和指标间的关系，进而得出f(x)与g(x)之和的信噪比和它们互相关平方和指标的关系.文章的最后总结各种类型布尔函数信噪比的上界或下界.