Funkcja D : LB → S (je´sli istnieje) jest odpowiednim dekodowaniem, je´sli D(E(¯a

ALGEBRAICZNE ASPEKTY KRYPTOGRAFII LISTA 8: Kody BCH.

Niech A = {a₁, ..., a_n} b¸edzie sko´nczonym alfabetem i L_A b¸edzie j¸ezykiem nad A. Niech L_B b¸edzie j¸ezykiem nad alfabetem B. Niech S ⊆ L_A b¸edzie zbiorem komunikat´ow i 1-1-funkcja E : S → LB b¸edzie kodowaniem zbioru S w j¸ezyku LB. Funkcja D : L_B → S (je´sli istnieje) jest odpowiednim dekodowaniem, je´sli D(E(¯a)) =

¯

a. Rozpatrzmy nast¸epuj¸acy schemat:

¯

a → E(¯a) → ...kana l...transmisyjny... → ¯b⁰ → D(¯b⁰)

¯b = E(¯a) := kod s lowa ¯a;

T : L_B → L_B:= funkcja b l¸edu;

¯b⁰ = T (E(¯a)) := kod komunikatu wyj´sciowego;

D(¯b⁰) := komunikat wyj´sciowy.

Kody blokowe. Niech A = {0, 1} = B. Niech Zⁿ₂ b¸edzie grup¸a wszystkich ci¸ag´ow (0,1)-warto´sciowych d lugo´sci n wzgl¸edem dodawania w Z₂. (m, n)-Kodowaniem blokowym (r´ownomiernym) (m ≤ n) nazywamy funkcj¸e E : Z^m₂ → Zⁿ₂. Funkcja E ma rozsz- erzenie do funkcji kodowania zbioru wszystkich s l´ow o d lugo´sci postaci m · k w j¸ezyku L_{0,1}.

Dla ¯a ∈ Zⁿ₂ definiujemy wag¸e w(¯a) jako ilo´s´c jedynek w ¯a. Odleg lo´sci¸a mi¸edzy wektorami d(¯a, ¯b) nazywamy wag¸e w(¯a + ¯b).

Funkcja kodowania E jest kodowaniem macierzowym je´sli dla pewnej (m × n)- macierzy C (o wsp´o lczynnikach ze zbioru Z₂) wiersz E(¯a) jest r´owny ¯a · C.

M´owimy, ˙ze kodowania E i E⁰ : Z^m₂ → Zⁿ₂ s¸a r´ownowa˙zne, je´sli istnieje bijekcja E(Z^m₂ ) → E⁰(Z^m₂ ) zachowuj¸aca odleg lo´s´c mi¸edzy s lowami kodowymi.

1. Wykaza´c, ˙ze w wyniku (a) dowolnej permutacji wierszy macierzy koduj¸acej C, (b) permutacji kolumn macierzy C, (c) dodania do pewnego wiersza innego pomno˙zonego przez sta l¸a - otrzymamy now¸a macierz generuj¸aca kodowanie r´ownowa˙zne z kodowaniem macierzy C.

Niech funkcja kodowania E : Z^m₂ → Zⁿ₂ jest okre´slona przez (m × n)-macierz C. Macierz C^∗ wymiaru n × (n − m) nazywa si¸e macierz¸a sprawdzania parzysto´sci (macierz¸a kontroln¸a), je´sli C · C^∗ = 0 i kolumny macierzy C^∗ s¸a liniowo niezale˙zne.

Uwaga 8.1. Dla ka˙zdej macierzy koduj¸acej C istnieje macierz sprawdzania parzysto´sci C^∗. Wtedy dla ka˙zdego s lowa kodowego ¯w zachodzi ¯w · C^∗ = ¯0. Wtedy minimalna waga niezerowego s lowa kodowego jest r´owna najmniejszej liczbie wierszy macierzy C^∗, kt´ore po dodaniu do siebie daj¸a ¯0. 2

Funkcja kodowania E : Z^m₂ → Zⁿ₂ nazywa si¸e kodowaniem wielomianowym, je´sli dla pewnego g(x) ∈ Z₂[x] (nazywanego wielomianem generuj¸acym) je´sli E(¯a) = ¯b, to b_nxⁿ⁻¹+ ... + b₁ = g(x) · (a_mx^m−1+ ... + a₁). (zak ladamy, ˙ze je´sli g(x) = g_kx^k+ ... + g₀, to g₀ 6= 0 6= g_k).

1

Uwaga 8.2. Kodowanie wielomianowe jest kodowaniem macierzowym. Je´sli wielomian generuj¸acy ma posta´c g(x) = g_kx^k + ... + g₀, to odpowiednia macierz (m × (m + k)) jest r´owna :











g0 g1 g2 .. .. gk 0 .. .. 0 0 g₀ g₁ .. .. .. g_k 0 .. 0 .. .. .. .. .. .. .. .. .. ..

0 .. .. .. g0 .. .. .. .. gk











2

2. Znale´z´c macierze dla wielomian´ow generuj¸acych: 1 + x i 1 + x + x².

Uwaga 8.3. Minimalny odst¸ep mi¸edzy dwoma s lowami kodowymi jest r´owny minimalnej wadze w(a(x) · g(x)) dla ¯a ∈ Z^m₂ \ {¯0} (przez a(x) oznaczamy wielomian a_mx^m−1+ ... + a₁)). 2

W ka˙zdej warstwie podgrupy H = E(Z^m₂ ) ≤ Zⁿ₂ wybieramy element o najmniejszej wadze ¯c, g l´owny reprezentant warstwy (zak ladamy, ˙ze ¯0 reprezentuje H). Wtedy ka˙zdy wektor ¯z zbioru Zⁿ₂ ma jednoznaczne przedstawienie w postaci ¯c_z+ ¯h, gdzie ¯h ∈ H i

¯

c_z jest reprezentantem g l´ownym warstwy ¯z + H.

Dekodowanie D(¯z) = E⁻¹(¯z − ¯c_z) nazywamy dekodowaniem poprzez g l´ownych reprezentant´ow warstw.

Uwaga 8.4. W dekodowaniu poprzez g l´ownych reprezentant´ow warstw mini- malna odleg lo´s´c od ¯z do elementu zbioru H jest r´owna w(¯c_z). 2

Niech C^∗ b¸edzie macierz¸a sprawdzania parzysto´sci. Iloczyn ¯w · C^∗ nazywa si¸e syndromem s lowa ¯w ∈ Zⁿ₂.

3. (a) Pokaza´c, ˙ze istnieje naturalna bijekcja mi¸edzy zbiorem syndrom´ow a g l´ownymi reprezentantami warstw.

(b) Wykaza´c, ˙ze warstwa, kt´orej syndromem jest ¯v, zawiera wektor o wadze r wtedy i tylko wtedy gdy pewna kombinacja r wierszy macierzy C^∗ jest r´owna ¯v.

————————————————————

Je´sli podzbi´or F ⊂ K cia la K tworzy cia lo wzgl¸edem dzia la´n cia la K (to implikuje 0, 1 ∈ F ), to m´owimy , ˙ze F jest podcia lem cia la K i K jest rozszerzeniem cia la F .

Twierdzenie 8.5. Ka˙zde cia lo K zawiera podcia lo najmniejsze F , kt´ore nie zawiera w la´sciwych podcia l (jest cia lem prostym). Je´sli char(K) = 0, to F jest izomorficzne z Q; je´sli char(K) = p > 0, to F jest izomorficzne z Z_p. 2

Je´sli K jest rozszerzeniem cia la F , to K tworzy przestrze´n liniow¸a nad F . Wymiar tej przestrzeni nazywamy stopniem K nad F i oznaczamy przez [K : F ].

Cia lo K jest rozszerzeniem prostym cia la F , je´sli istnieje c ∈ K \ F taki, ˙ze ka˙zde podcia lo zawieraj¸ace F i c zawiera K (piszemy K = F (c)).

Twierdzenie 8.6. Je´sli K = F (c) jest rozszerzeniem stopnia n, to c jest pier- wiastkiem wielomianu nierozk ladalnego m(x) nad cia lem F stopnia n i K jest izomor- ficzne z F [x]/(m(x)) 2

Twierdzenie 8.7. Niech g(x) b¸edzie nierozk ladalnym wielomianem nad F . W´owczas F [x]/(g(x)) jest prostym rozszerzeniem cia la F o pierwiastek wielomianu g(x). 2

2

4. Ile element´ow ma F = Z₂[x]/(x²+ x + 1) ? Poda´c tabel¸e mno˙zenia i dodawania w F .

Twierdzenie 8.8. Niech K b¸edzie cia lem sko´nczonym i char(K) = p.

(a) Wtedy |K| = pⁿ, gdzie n jest stopniem K nad Z_p. (b) Niech q := |K|. Wtedy x^q− x = Π_a∈K(x − a).

(c) Grupa multyplikatywna wszystkich niezerowych element´ow jest cykliczna (gen- erowana przez jeden element) i jej generator okre´sla K jako rozszerzenie proste cia la Z_p. Odpowiedni wielomian m(x) (patrz 8.6) jest pierwotny. 2

Cia lo o q elementach oznaczamy przez Fq.

Fakt: F₁₆ := Z₂[x]/(x⁴+ x³+ 1) jest cia lem 16-elementowym. Wielomian x¹⁵− 1 rozk lada si¸e na wielomiany minimalne nad F₂ w nast¸epuj¸acy spos´ob:

(x + 1)(x⁴+ x + 1)(x⁴+ x³+ x²+ x + 1)(x²+ x + 1)(x⁴ + x³+ 1).

5. Pokaza´c, ˙ze w powy˙zszym przedstawieniu F₁₆element odpowiadaj¸acy warstwie x + (x⁴+ x³+ 1) generuje grup¸e multyplikatywn¸a.

Kody Bosego, Chaudhuriego, Hocquenghema. Niech d b¸edzie liczb¸a natu- raln¸a, p b¸edzie liczb¸a pierwsz¸a, q = p^s i d + 1 ≤ q^r. Niech c b¸edzie generatorem grupy multyplikatywnej cia la q^r-elementowego F_q^r. Niech m_i(x) b¸edzie wielomianem mini- malnym dla cⁱ nad cia lem F_q, gdzie i < d. Wtedy najmniejsza wsp´olna wielokrotno´s´c g(x) = N W W (m₁(x), ..., m_d−1(x)) generuje kod, w kt´orym s lowa kodowe (nad alfa- betem F_q) maj¸a d lugo´s´c q^r− 1.

Twierdzenie 8.9. Minimalna odleg lo´s´c mi¸edzy s lowami kodowymi kodu BCH generowanego wielomianem g(x) jest co najmniej r´owna d. 2

Przyk lad: Niech q = p = 2, n = 15 i d = 5. Wielomian m(x) = x⁴+ x³+ 1 jest wielomianem pierwotnym dla cia la F₁₆. Wielomian g(x) = m₁(x)m₃(x) = x⁸+ x⁴+ x²+ x + 1 jest odpowiednim wielomianem koduj¸acym (7, 15)-kod BCH.

6. Pokaza´c, ˙ze dla q = p = 2, n = 15 i d = 3 odpowiednie (11, 15)-kodowanie BCH jest r´ownowa˙zne z (11, 15)-kodowaniem Hamminga.

7. Znale´z´c wielomiany generuj¸ace wszystkie kody BCH dla q = p = 2 i n = 63.

3