Goppa-code

Een binaire goppa-code, doorgaans alleen goppa-code genoemd, is een foutcorrigerende code. De code is genoemd naar de Russische wiskundige Velerii Denisovich Goppa. In McEliece-cryptografie wordt bijvoorbeeld gebruikgemaakt van binaire goppa-codes. Een binaire goppa-code is niet hetzelfde als een algebraïsche goppa-code.

Er zijn verschillende definities te geven voor een goppa-code. Hier wordt toegewerkt naar een polynomiale definitie. Voordat we dat kunnen doen zijn er enkele parameters nodig. De volgende gegevens zijn gebruikelijk voor een goppa-code:

• Kies ${\displaystyle n=2^m}$ met ${\displaystyle m\in \{10,11,12\}}$.
• De code is gedefinieerd over het lichaam ${\displaystyle 𝔾𝔽(n)}$. Noem de rij afzonderlijke elementen uit dat lichaam, ${\displaystyle a_1,a_2,\dots ,a_n}$ lexicografisch geordend.
• Voor het aantal fouten ${\displaystyle t}$ die gecorrigeerd kunnen worden door de code, kiezen we ${\displaystyle 2\le t\le \frac{2^m-1}{m}}$. Voor ${\displaystyle m=11}$ is bijvoorbeeld ${\displaystyle t=32,t=70}$ of ${\displaystyle t=100}$.
• Zoek een irreducibele monische polynoom ${\displaystyle g\in 𝔾𝔽(2^m)[x]}$ van graad ${\displaystyle t}$.
• Laat ${\displaystyle h=\prod _i(x-a_i)\in 𝔾𝔽(n)[x]}$.

In dit geval geldt dat ${\displaystyle h=x^n-x\in 𝔾𝔽(2^m)[x]}$.

Een definitie van de goppa-code ${\displaystyle \mathrm{\Gamma }}$, is nu

${\displaystyle \mathrm{\Gamma }=\mathrm{\Gamma }(a_1,a_2,\dots ,a_n,g)=\{c\in 𝔾𝔽(2^m):\sum _i{c}_i\frac{h}{x-a_i}modg=0\}}$

De polynomen ${\displaystyle \frac{h}{x-a_1}modg,\frac{h}{x-a_2}modg,\dots ,\frac{h}{x-a_n}modg}$, kunnen gezien worden als vectoren over ${\displaystyle 𝔾𝔽(2)}$.

Ze vormen een pariteitscontrole-matrix voor de code ${\displaystyle \mathrm{\Gamma }}$.

In 1975 heeft Patterson een algoritme ontwikkeld om in polynomiale tijd ${\displaystyle t}$ fouten te kunnen corrigeren uit de goppa-code.

Voordat het algoritme weergegeven kan worden, is de definitie nodig van de norm van een polynoom.

Voor een polynoom ${\displaystyle \varphi \in 𝔾𝔽(2^m)[x]}$ geldt dat de norm ${\displaystyle |\varphi |=2^{\mathrm{deg}(\varphi )}}$, met ${\displaystyle \mathrm{deg}(\varphi )}$ de graad van ${\displaystyle \varphi }$.

Bij rationale functies geldt ${\displaystyle |\frac{\varphi }{\psi }|=\frac{|\varphi |}{|\psi |}}$. Bijvoorbeeld ${\displaystyle |\frac{x^3}{x^5-x}|=\frac{|x^3|}{|x^5-x|}=\frac{2^3}{2^5}=2^{-2}}$.

Het doel is om maximaal ${\displaystyle t}$ fouten te verbeteren uit eengoppa-code ${\displaystyle \mathrm{\Gamma }}$. We starten met een woord ${\displaystyle w\in {𝔾𝔽}^n(2)}$, met maximaal ${\displaystyle t}$ fouten. Dat betekent dat er een coodewoord ${\displaystyle c\approx w}$ is zodat er in het codewoord hoogstens ${\displaystyle t}$ maal een 1 met een 0 verwisseld is, of andersom.

• Bereken ${\displaystyle \sum _i\frac{w_i}{x-a_i}}$ over het lichaam ${\displaystyle 𝔾𝔽(2^m)[x]/(g)}$. Als deze som nul is in het lichaam, dan zijn er blijkbaar geen fouten in de code. Het algoritme geeft dan output ${\displaystyle w}$.
• Bereken de wortel van ${\displaystyle \frac{1}{\sum _i\frac{w_i}{x-a_i}}-x}$ over het lichaam ${\displaystyle 𝔾𝔽(2^m)[x]/(g)}$.
• Noem deze berekende wortel ${\displaystyle s}$ en bekijk deze in het lichaam ${\displaystyle s\in 𝔾𝔽(2^m)[x]}$. De graad van ${\displaystyle s}$ is kleiner dan ${\displaystyle t}$.
• De vectoren ${\displaystyle (s,1)}$ en ${\displaystyle (g,0)}$ genereren een rooster ${\displaystyle L\subseteq 𝔾𝔽(2^m)[x{]}^2}$.

De norm ${\displaystyle |(\alpha ,\beta )|}$ van een vector ${\displaystyle (\alpha ,\beta )\in 𝔾𝔽(2^m)[x{]}^2}$ is per definitie gelijk aan de norm van de polynoom ${\displaystyle {\alpha }^2+x{\beta }^2}$.

Zo is de lengte van de vector ${\displaystyle (g,0)}$ gelijk aan ${\displaystyle |(g,0)|=|g^2|=2^{2t}}$.

• Vind met behulp van basisreductie een basis ${\displaystyle ({\alpha }_0,{\beta }_0)}$ van minimale lengte. Deze zal kleiner of gelijk zijn aan ${\displaystyle 2^t}$.
• Bereken ${\displaystyle ϵ={\alpha }_0^2+x{\beta }_0^2}$
• Deel door de coëfficiënt van de hoogste macht van x, zodat ${\displaystyle ϵ}$ monisch wordt.
• Ontbindt ${\displaystyle ϵ}$ in lineaire factoren van de vorm ${\displaystyle (x-a_i)}$. Dit zullen ${\displaystyle t}$ factoren zijn.
• Output ${\displaystyle c}$, is de gecorrigeerd code ${\displaystyle w}$, met een correctie op de plaatsen ${\displaystyle i}$, waar ${\displaystyle ϵ(a_i)=0}$.

Voor een uitgebreid voorbeeld van dit algoritme wordt verwezen naar het artikel van Bernstein.^[1]

Sjabloon:Appendix