Двоичный код Гоппы

Двоичный код Гоппы определяется как многочлен ${\displaystyle g(x)}$  степени ${\displaystyle t}$  над конечным полем ${\displaystyle GF(2^m)}$  без конечного числа нулей, и последовательность ${\displaystyle L}$  из ${\displaystyle n}$  различных элементов ${\displaystyle GF(2^m)}$ , которые не являются корнями или полиномами.

${\displaystyle \mathrm{\forall <!--\; \forall \; -->}i,j\in <!--\; \in \; -->\{0,\dots <!--\; \dots \; -->,n-<!--\; -\; -->1\}:L_i\in <!--\; \in \; -->GF(2^m)\wedge <!--\; \wedge \; -->(L_i=L_j⟹<!--\; ⟹\; -->i=j)\wedge <!--\; \wedge \; -->g(L_i)\ne <!--\; \ne \; -->0}$ 

Ключи принадлежат ядру функции, формируя подпространство ${\displaystyle \{0,1{\}}^n}$ :

${\displaystyle \mathrm{\Gamma <!--\; \Gamma \; -->}(g,L)=\left\{c\in <!--\; \in \; -->\{0,1{\}}^n|\underset{i=0}{\overset{n-<!--\; -\; -->1}{\sum <!--\; \sum \; -->}}\frac{c_i}{x-<!--\; -\; -->L_i}\equiv <!--\; \equiv \; -->0\mathrm{mod}g(x)\right\}}$ 

Код определён, как пара ${\displaystyle (g,L)}$  с минимальной длиной ${\displaystyle 2t+1}$ , таким образом, он может исправить ${\displaystyle t=\lfloor \frac{(2t+1)-<!--\; -\; -->1}{2}\rfloor }$  ошибок в слове длиной ${\displaystyle n-<!--\; -\; -->mt}$ , используя ключи размером ${\displaystyle n}$ . Он также обладает удобной матрицей контроля чётности^[en] ${\displaystyle H}$  в виде:

 

Эта форма матрицы контроля чётности состоит из определителя Вандермонда ${\displaystyle V}$  и диагональной матрицы ${\displaystyle D}$ , имеет форму, схожую с проверочными матрицами альтернативных кодов^[en]. Таким образом, в этой форме могут использоваться альтернативные декодеры. Они обычно обеспечивают только ограниченную возможность исправления ошибок (чаще всего ${\displaystyle t/2}$ ).

Для практических целей матрица проверки на чётность кода Гоппы обычно преобразуется в более удобную для использования компьютером двоичную форму с помощью конструкции трассировки, которая преобразует ${\displaystyle t}$ -на-${\displaystyle n}$  матрицу над ${\displaystyle GF(2^m)}$  в двоичную матрицу ${\displaystyle mt}$ -на-${\displaystyle n}$ , разделив полиномиальные коэффициенты ${\displaystyle GF(2^m)}$  на ${\displaystyle m}$  последовательных рядов.

Обычно декодирование двоичного кода Гоппы производится алгоритмом Паттерсона, который способен эффективно исправлять ошибки (он исправляет все ${\displaystyle t}$  обнаруженные ошибки^{[уточнить]}), и который также достаточно прост в реализации.

Алгоритм Паттерсона преобразует синдром в вектор ошибок. Предполагается, что синдром двоичного слова ${\displaystyle c=(c_0,\dots <!--\; \dots \; -->,c_{n-<!--\; -\; -->1})}$  примет вид:

${\displaystyle s(x)\equiv <!--\; \equiv \; -->\underset{i=0}{\overset{n-<!--\; -\; -->1}{\sum <!--\; \sum \; -->}}\frac{c_i}{x-<!--\; -\; -->L_i}\mathrm{mod}g(x)}$ 

Альтернативная форма матрицы контроля чётности основана на формуле для ${\displaystyle s(x)}$  и может быть использована для создания такого синдрома с простым произведением матриц.

Далее алгоритм производит расчёт ${\displaystyle v(x)\equiv <!--\; \equiv \; -->\sqrt{s(x{)}^{-<!--\; -\; -->1}-<!--\; -\; -->x}\mathrm{mod}g(x)}$ . Это не удается, когда ${\displaystyle s(x)\equiv <!--\; \equiv \; -->0}$ , но это тот случай, когда входное слово является ключом, поэтому исправление ошибок не требуется.

Использованием расширенного алгоритма Евклида ${\displaystyle v(x)}$  сводится к многочленам ${\displaystyle a(x)}$  и ${\displaystyle b(x)}$ , так, что ${\displaystyle a(x)\equiv <!--\; \equiv \; -->b(x)\cdot <!--\; \cdot \; -->v(x)\mathrm{mod}g(x)}$ , при этом ${\displaystyle \mathrm{deg}<!--\; \; -->(a)⩽<!--\; ⩽\; -->\lfloor <!--\; \lfloor \; -->t/2\rfloor <!--\; \rfloor \; -->}$  и ${\displaystyle \mathrm{deg}<!--\; \; -->(b)⩽<!--\; ⩽\; -->\lfloor <!--\; \lfloor \; -->(t-<!--\; -\; -->1)/2\rfloor <!--\; \rfloor \; -->}$ .

Наконец, многочлен, определяющий расположение ошибок, вычисляется как ${\displaystyle \mathrm{\sigma <!--\; \sigma \; -->}(x)=a(x{)}^2+x\cdot <!--\; \cdot \; -->b(x{)}^2}$ . При этом в двоичном случае для исправления ошибок достаточно их найти, так как существует только одно отличное значение.

Если исходный ключ был декодирован и ${\displaystyle e=(e_0,e_1,\dots <!--\; \dots \; -->,e_{n-<!--\; -\; -->1})}$  — двоичный вектор ошибок, то:

${\displaystyle \mathrm{\sigma <!--\; \sigma \; -->}(x)=\underset{i=0}{\overset{n-<!--\; -\; -->1}{\prod <!--\; \prod \; -->}}{e}_i(x-<!--\; -\; -->L_i)}$ .

Разложение на множители или оценка всех корней ${\displaystyle \mathrm{\sigma <!--\; \sigma \; -->}(x)}$  дает достаточно информации, чтобы восстановить вектор ошибок и исправить их.

Двоичные коды Гоппы обладают специфическим свойством — они исправляют все ${\displaystyle \mathrm{deg}<!--\; \; -->(g)}$  ошибок, в то время как троичные и прочие коды исправляют только ${\displaystyle \mathrm{deg}<!--\; \; -->(g)/2}$ . Асимптотически такая способность к исправлению ошибок соответствует известной границе Гилберта — Варшамова.

Благодаря способности исправления ошибок, с учётом высокой скорости кодирования и сложной формы матрицы проверки на чётность (которую обычно трудно отличить от случайной двоичной матрицы того же ранга) двоичные коды Гоппы используются в нескольких постквантовых криптосистемах, в частности, в криптосистеме McEliece и криптосистеме Нидеррейтера.

• В. Д. Гоппa. Введение в алгебраическую теорию информации. — Физматлит, 1995.
• Daniela Engelbert, Raphael Overbeck, Arthur Schmidt. A summary of McEliece-type cryptosystems and their securi (англ.) // Journal of Mathematical Cryptology. — 2007. — No. 2. — P. 151—199. MR: 2345114 Предыдущая версия
• Daniel J. Bernstein. ist decoding for binary Goppa codes. Technical report (англ.) // Department of Computer Science University of Illinois at Chicago. — 2008.