Минимум $П(х)$ должен быть примитивным и $f:\{0,1\}^n
\rightarrow \{0,1\}$ должны быть в высшей степени нелинейными и устойчивыми высокого порядка (независимая корреляция высокого порядка плюс сбалансированная) являются необходимыми условиями.
- Нелинейность (минимальное расстояние Хэмминга таблицы истинности булевой функции от аффинных функций) должна быть высокой, чтобы противостоять атакам линейной/аффинной аппроксимации. Это вычисляется с помощью быстрого Преобразование Уолша-Адамара.
Существует более современный класс атак, которым противостоят функции $f$ с высоким алгебраический иммунитет обозначенный $АИ(ф)$. Обозначим отображение обновления состояния, соответствующее полиному $P$ к $L:\{0,1\}^n\стрелка вправо \{0,1\}^n$ и обратите внимание, что выходной бит $s_t$ дается его $т-$сложить композицию, где $x_0$ — начальное состояние LFSR, обычно выбираемое случайным образом с помощью секретного ключа.
$$
s_t = L (L (\ cdots L (x_0))): = L ^ t (x_0).
$$
Ключевой поток $(с_т)$ уязвим для атак, если
отношения низкой степени между битами ключевого потока и битами состояния. Эти отношения могут существовать даже тогда, когда алгебраическая степень $f$ в приоритете.
Такие отношения соответствуют низким кратным степени $f$, т. е.
$$
г (х) е (х) = ч (х)
$$
где мы можем найти многочлен $г(х)$ такой, что $ч(х)$ имеет низкую степень. Оказывается, это эквивалентно существованию аннигилятор низкой степени из $f$ или же $1+f$ и $f$ считается обладающим высоким алгебраическим иммунитетом, если нет аннулятора низкой степени $f$ или же $1+f$ существуют.
Подробности и некоторые ссылки см. в статье Анны Канто. здесь.
