ALGEBRAICZNE ASPEKTY KRYPTOGRAFII LISTA 2: Kodowanie grupowe. Niech A = {a

ALGEBRAICZNE ASPEKTY KRYPTOGRAFII LISTA 2: Kodowanie grupowe.

Niech A = {a₁, ..., a_n} b¸edzie sko´nczonym alfabetem i L_A b¸edzie j¸ezykiem nad A. Niech L_B b¸edzie j¸ezykiem nad alfabetem B. Niech S ⊆ L_A b¸edzie zbiorem komunikat´ow i 1-1-funkcja E : S → L_B b¸edzie kodowaniem zbioru S w j¸ezyku L_B. Funkcja D : L_B → S (je´sli istnieje) jest odpowiednim dekodowaniem, je´sli D(E(¯a)) =

¯

a. Rozpatrzmy nast¸epuj¸acy schemat:

¯

a → E(¯a) → ...kana l...transmisyjny... → ¯b⁰ → D(¯b⁰)

¯b = E(¯a) := kod s lowa ¯a;

T : L_B → L_B:= funkcja b l¸edu;

¯b⁰ = T (E(¯a)) := kod komunikatu wyj´sciowego;

D(¯b⁰) := komunikat wyj´sciowy.

Kody blokowe. Niech A = {0, 1} = B. Niech Zⁿ₂ b¸edzie grup¸a wszystkich ci¸ag´ow (0,1)-warto´sciowych d lugo´sci n wzgl¸edem dodawania w Z₂. (m, n)-Kodowaniem blokowym (r´ownomiernym) (m ≤ n) nazywamy funkcj¸e E : Z^m₂ → Zⁿ₂. Funkcja E ma rozsz- erzenie do funkcji kodowania zbioru wszystkich s l´ow o d lugo´sci postaci m · k w j¸ezyku L{0,1}.

Niech Γ b¸edzie zbiorem funkcji b l¸edu T : Zⁿ₂ → Zⁿ₂. Kodowanie E umo˙zliwia wykrycie b l¸ed´ow zbioru Γ, je´sli dla ka˙zdej funkcji T ∈ Γ, warunek T (E(¯a)) 6= E(¯a) implikuje T (E(¯a)) 6= E(¯b) dla wszystkich ¯b ∈ Z^m₂ .

Kodowanie E umo˙zliwia korygowanie b l¸ed´ow zbioru Γ, je´sli istnieje funkcja D : Zⁿ₂ → Z^m₂ taka, ˙ze dla ka˙zdej T ∈ Γ zachodzi D(T (E(¯a))) = ¯a, gdzie ¯a ∈ Z^m₂ . Okre´sla to funkcj¸e dekodowania na zbiorze wszystkich s l´ow 0-1-ynkowych ¹. Dlatego dalej m´owimy, ˙ze D jest funkcj¸a dekodowania.

Dla ¯a ∈ Zⁿ₂ definiujemy wag¸e w(¯a) jako ilo´s´c jedynek w ¯a. Odleg lo´sci¸a mi¸edzy wektorami d(¯a, ¯b) nazywamy wag¸e w(¯a + ¯b).

Niech Γk b¸edzie zbiorem wszystkich funkcji b l¸edu T : Zⁿ₂ → Zⁿ₂ produkuj¸acych nie wi¸ecej ni˙z k b l¸ed´ow: d(¯a, T (¯a)) ≤ k.

Uwaga 2.1. Kodowanie E umo˙zliwia wykrycie b l¸ed´ow ka˙zdej funkcji T ∈ Γ_k (zbioru Γk) wtedy i tylko wtedy gdy dla dowolnych ¯a, ¯b ∈ Z^m₂ d(E(¯a), E(¯b)) ≥ k + 1.

Funkcja kodowania E umo˙zliwia korygowanie b l¸ed´ow ka˙zdej funkcji T ∈ Γ_k(zbioru Γ_k) wtedy i tylko wtedy gdy dla dowolnych ¯a, ¯b ∈ Z^m₂ , d(E(¯a), E(¯b)) ≥ 2k + 1. 2

1. Niech funkcja (m,m+1)-kodowania jest okre´slona w nast¸epuj¸acy spos´ob: E(a₁...a_m)

= (a₁, ..., a_m, a_m+1) gdzie a_m+1 = 0, je´sli Σ_i=1^m a_i jest parzysta i a_m+1 = 1, je´sli Σ^m_i=1a_i jest nieparzysta. Dla jakich k kodowanie E umo˙zliwia wykrycie b l¸ed´ow funkcji zbioru Γ_k?

1W spos´ob oczywisty rozszerzamy funkcj¸e D na wektory o d lugo´sci podzielnej przez n. Na pozosta le wektory D mo˙ze by´c rozszerzona w spos´ob trywialny, odwzorowuj¸ac je w wektor zerowy.

1

2. Niech funkcja (1,3)-kodowania jest okre´slona w nast¸epuj¸acy spos´ob: E(0) = (000) i E(1) = (111). Znale´z´c funkcj¸e dekodowania koryguj¸ac¸a wszystkie b l¸edy zbioru Γ₁.

Kodowanie blokowe E nazywamy kodowaniem grupowym, je´sli E(Z^m₂ ), zbi´or s l´ow kodowych, tworzy podgrup¸e grupy Zⁿ₂ wzgl¸edem dodawania w Z₂.

Uwaga 2.2. W kodowaniu grupowym minimalna odleg lo´s´c pomi¸edzy wektorami zbioru E(Z^m₂ ) jest r´owna minimalnej wadze nietrywialnego wektora tego zbioru. 2

3. Udowodni´c, ˙ze w kodowaniu grupowym minimalna odleg lo´s´c pomi¸edzy wek- torami zbioru H = E(Z^m₂ ) jest osi¸agalna dla ka˙zdego wektora tego zbioru:

∀¯b ∈ H∃¯c ∈ H(d(¯b, ¯c) jest minimalna).

Funkcja kodowania E jest kodowaniem macierzowym je´sli dla pewnej (m × n)- macierzy C (o wsp´o lczynnikach ze zbioru Z₂) wiersz E(¯a) jest r´owny ¯a · C.

4. Pokaza´c, ˙ze kodowanie macierzowe jest kodowaniem grupowym.

5. Dla nast¸epuj¸acych macierzy wskaza´c dla jakich k odpowiednie kodowanie umo˙zliwia wykrycie b l¸ed´ow i korygowanie b l¸ed´ow.







1 0 0 1 1 0 0 1 0 0 1 1 0 0 1 1 1 1





,

"

1 0 1 0 1 0 1 1 1 0

#

6. M´owimy, ˙ze kodowania E i E⁰ : Z^m₂ → Zⁿ₂ s¸a r´ownowa˙zne, je´sli istnieje bijekcja E(Z^m₂ ) → E⁰(Z^m₂ ) zachowuj¸aca odleg lo´s´c mi¸edzy s lowami kodowymi. Wykaza´c, ˙ze w wyniku (a) dowolnej permutacji wierszy macierzy koduj¸acej C, (b) permutacji kolumn macierzy C, (c) dodania do pewnego wiersza innego pomno˙zonego przez sta l¸a - otrzymamy now¸a macierz generuj¸aca kodowanie r´ownowa˙zne z kodowaniem macierzy C.

Niech funkcja kodowania E : Z^m₂ → Zⁿ₂ jest okre´slona przez (m × n)-macierz C. Macierz C^∗ wymiaru n × (n − m) nazywa si¸e macierz¸a sprawdzania parzysto´sci (macierz¸a kontroln¸a), je´sli C · C^∗ = 0 i kolumny macierzy C^∗ s¸a liniowo niezale˙zne.

Uwaga 2.3. Dla ka˙zdej macierzy koduj¸acej C istnieje macierz sprawdzania parzysto´sci C^∗. Wtedy dla ka˙zdego s lowa kodowego ¯w zachodzi ¯w · C^∗ = ¯0. Wtedy minimalna waga niezerowego s lowa kodowego jest r´owna najmniejszej liczbie wierszy macierzy C^∗, kt´ore po dodaniu do siebie daj¸a ¯0. 2

7. Znale´z´c macierze sprawdzania parzysto´sci dla macierzy kodowych zadania 5.

Funkcja kodowania E : Z^m₂ → Zⁿ₂ nazywa si¸e kodowaniem wielomianowym, je´sli dla pewnego g(x) ∈ Z₂[x] (nazywanego wielomianem generuj¸acym) je´sli E(¯a) = ¯b, to b_nxⁿ⁻¹+ ... + b₁ = g(x) · (a_mx^m−1+ ... + a₁). (zak ladamy, ˙ze je´sli g(x) = g_kx^k+ ... + g₀, to g₀ 6= 0 6= g_k).

Uwaga 2.4. Kodowanie wielomianowe jest kodowaniem macierzowym. Je´sli wielomian generuj¸acy ma posta´c g(x) = g_kx^k + ... + g₀, to odpowiednia macierz (m × (m + k)) jest r´owna :

2











g₀ g₁ g₂ .. .. g_k 0 .. .. 0 0 g₀ g₁ .. .. .. g_k 0 .. 0 .. .. .. .. .. .. .. .. .. ..

0 .. .. .. g₀ .. .. .. .. g_k











2

8. Znale´z´c macierze dla wielomian´ow generuj¸acych: 1 + x i 1 + x + x².

Uwaga 2.5. Minimalny odst¸ep mi¸edzy dwoma s lowami kodowymi jest r´owny minimalnej wadze w(a(x) · g(x)) dla ¯a ∈ Z^m₂ \ {¯0} (przez a(x) oznaczamy wielomian a_mx^m−1+ ... + a₁)). 2

Twierdzenie 2.6. Je´sli wielomian g(x) nie jest dzielnikiem ˙zadnego wielomianu postaci x^k− 1, gdzie k < n, to dla (m,n)-kodowania generowanego przez wielomian g(x) minimalny odst¸ep mi¸edzy s lowami kodowymi jest r´owny 3. 2

Wielomian g(x) stopnia k nad Zp nazywamy pierwotnym, je´sli g(x)|(x^m− 1) dla m = p^k−1 i dla ˙zadnego innego mniejszego m. Wtedy p^k−1 nazywamy wyk ladnikiem wielomianu g(x).

9. Pokaza´c, ˙ze x³ + x² + 1 (wielomian generuj¸acy (4,7)-kod Hamminga) jest wielomianem pierwotnym.

Twierdzenie 2.7. Je´sli wielomian g(x) = (1 + x)h(x) nad Z₂ generuje (m,n)- kodowanie E(¯z), i h(x) ma wyk ladnik > n, to dowolna kombinacja dw´och b l¸ed´ow pojedy´nczych lub podw´ojnych (s¸asiaduj¸acych) mo˙ze by´c wykryta. 2

W ka˙zdej warstwie podgrupy H = E(Z^m₂ ) ≤ Zⁿ₂ wybieramy element o najmniejszej wadze ¯c, g l´owny reprezentant warstwy (zak ladamy, ˙ze ¯0 reprezentuje H). Wtedy ka˙zdy wektor ¯z zbioru Zⁿ₂ ma jednoznaczne przedstawienie w postaci ¯c_z+ ¯h, gdzie ¯h ∈ H i

¯

c_z jest reprezentantem g l´ownym warstwy ¯z + H.

Dekodowanie D(¯z) = E⁻¹(¯z − ¯c_z) nazywamy dekodowaniem poprzez g l´ownych reprezentant´ow warstw.

Uwaga 2.8. W dekodowaniu poprzez g l´ownych reprezentant´ow warstw mini- malna odleg lo´s´c od ¯z do elementu zbioru H jest r´owna w(¯c_z). 2

10. Niech C^∗ b¸edzie macierz¸a sprawdzania parzysto´sci. Iloczyn ¯w · C^∗ nazywa si¸e syndromem s lowa ¯w ∈ Zⁿ₂.

(a) Pokaza´c, ˙ze istnieje naturalna bijekcja mi¸edzy zbiorem syndrom´ow a g l´ownymi reprezentantami warstw.

(b) Wykaza´c, ˙ze warstwa, kt´orej syndromem jest ¯v, zawiera wektor o wadze r wtedy i tylko wtedy gdy pewna kombinacja r wierszy macierzy C^∗ jest r´owna ¯v.

(m, n)-Kodowanie E koryguj¸ace b l¸edy o wadze k, nazywa si¸e doskona lym, je´sli istnieje funkcja dekodowania D : Zⁿ₂ → Z^m₂ taka, ˙ze dla ka˙zdego ¯a ∈ Z^m₂ zachodzi

D⁻¹(¯a) = {¯b : d(¯b, E(¯a)) ≤ k}.

Wtedy minimalna odleg lo´s´c od ka˙zdego ¯z ∈ Zⁿ₂ do elementu zbioru H jest ≤ k.

3

11. Pokaza´c, ˙ze parametry kodowania doskona lego spe lniaj¸a r´owno´s´c 1 + n + ... + (ⁿ_k) = 2^n−m.

12. W przypadku k = 1 kodowanie jest doskona le wtedy i tylko wtedy gdy g l´owni reprezentanci warstw maj¸a wag¸e 1.

Kod Hamminga (kodowanie doskona le dla k = 1). Niech r b¸edzie dowoln¸a liczb¸a naturaln¸a i niech m := 2^r − 1 − r i n := 2^r − 1. Wtedy zachodzi r´owno´s´c zadania 11: 1 + n = 2^r = 2^n−m.

Dodatni¸a liczb¸e i ≤ n przedstawiamy w systemie dw´ojkowym jako wektor αi1αi2...αir

(zak ladaj¸ac i = α_i1+ α_i22 + ... + α_ir2^r−1). Niech macierz C^∗ (kt´ora b¸edzie pe lni´c rol¸e macierzy sprawdzania parzysto´sci) b¸edzie okre´slona w nast¸epuj¸acy spos´ob:











α₁₁ α₁₂ .. .. .. α_1r α₂₁ α₂₂ .. .. .. α_2r .. .. .. .. .. ..

α_n1 α_nr .. .. .. α_nr











Wycinaj¸ac w C^∗ wszystkie wiersze o numerach 2ⁱ (tzn. zawieraj¸ace dok ladnie jedn¸a jedynk¸e) otrzymujemy macierz pomocnicz¸a M . Niech ν(i) b¸edzie numerem i-go wier- sza macierzy M w macierzy C^∗.

Macierz kodowania C definiujemy w nast¸epuj¸acy spos´ob: jako 2ⁱ⁻¹-t¸a kolumn¸e macierzy C bierzemy i-t¸a kolumn¸e macierzy M . W pozosta lych m (= n − r) kolum- nach macierzy C umieszczamy po kolei m-wektory postaci ¯e_i = (0, ..., 0, 1, 0, ..., 0) (gwarantuje to, ˙ze wiersze macierzy C s¸a liniowo niezale˙zne). Latwo wida´c, ˙ze wektor

¯

e_i b¸edzie znajdowa l si¸e w C na miejscu ν(i).

Dla sprawdzenia r´owno´sci C · C^∗ = 0, rozwa˙zmy iloczyn i-go wiersza ¯c macierzy C i k-ej kolumny ¯c^∗ macierzy C^∗. Poniewa˙z pierwszy niezerowy element w ¯c^∗ znajduje si¸e na miejscu 2^k−1 (tzn. = α₂^k−1_,k) a pozosta le elementy o numerach postaci 2^j s¸a r´owne 0, otrzymujemy

¯

c¯c^∗ = α_ν(i),k · 1 + 1 · α_ν(i),k = 0.

Funkcja dekodowania powy˙zszego kodu jest okre´slona w nast¸epuj¸acy spos´ob. Dla

¯b ∈ Zⁿ₂ obliczamy syndrom ¯b · C^∗, kt´ory b¸ed¸ac ci¸agiem z Z^r₂, jest postaci¸a dw´ojkow¸a pewnej liczby j ∈ {1, 2, ..., n}. Wtedy wektor (b₁, ..., b_j + 1, b_j+1, ..., b_n) ma trywialny syndrom (tzn. jest wektorem kodowym). Ci¸ag wsp´o lrz¸ednych, numery kt´orych nie s¸a pot¸egami dw´ojki, definiuje wektor - wynik dekodowania.

Opisany spos´ob dekodowania pokazuje, ˙ze kodowanie Hamminga jest doskona le.

13. Stosuj¸ac (4,7)-kod Hamminga otrzymali´smy s lowo 0111110. Zak ladaj¸ac wyst¸apienie nie wi¸ecej ni˙z jednego b l¸edu, znale´z´c s lowo transmitowane.

14. Zbudowa´c (11,15)-kod Hamminga.

4