Les codes Low Rank Parity Check (LRPC)

HAL Id: hal-01571233

https://hal.archives-ouvertes.fr/hal-01571233

Preprint submitted on 8 Aug 2017

HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci- entific research documents, whether they are pub- lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers.

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.

Public Domain

Abdul Karim Yazbek, Jean-Pierre Cances, Vahid Meghdadi

To cite this version:

Abdul Karim Yazbek, Jean-Pierre Cances, Vahid Meghdadi. Les codes Low Rank Parity Check (LRPC). 2017. �hal-01571233�

Les codes Low Rank Parity Check

Yazbek Abdul Karim, Jean-Pierre Cances, Vahid Meghdadi,

Univ. Limoges, CNRS, XLIM, UMR 7252, F-87000 Limoges, Fr, e-mail : abdel-karim.yazbeck@ensil.unilim.fr

Résumé

Dans cet article, nous introduisons une nouvelle famille de codes à métriques de rang : Les codes LRPC.

Nous développons les équations de sa construction algébrique et nous proposons un algorithme de décodage probabiliste efficace. Cette famille de codes peut être considérée comme l’équivalent des codes Low Density Parity Check (LDPC) classiques pour la métrique de rang.

1. LOWRANKPARITYCHECKCODES(LRPC)

L’idée de ces codes est de généraliser l’approche des codes LDPC classiques pour la distance deHamming à la métrique de rang. Il y a une analogie entre matrices de faible densité et de matrices à faible rang.

Dans ce chapitre, le travail se base seulement sur l’article [1] de Philippe Gaborit.

Définition 1. Un code LRPC est un code de rangd, de longueurnet de dimensionk dansFq^m, ce code a commeH(hij)une matrice de parité de taille(n−k)×ntels que le sous espace vectoriel deFq^m généré par ses coefficientshij est de dimension au plusd. Nous appelons cette dimension le poids deH. En notant F le sous-espace vectoriel de Fq^m généré par les coefficients hij de H, on note {F1, F2, . . . , Fd} une de ses bases.

2. ÉCRITURE DES ÉQUATIONS DU SYNDROME DANS LE CORPSFq POUR LES CODESLRPC

La structure particulière des codes LRPC permet d’exprimer formellement les équations du syndrome dans Fq^men équations dans la baseFq, il permet d’obtenir un algorithme de décodage très efficace, que nous allons voir dans la prochaine section. Nous décrivons dans ce qui suit la façon d’obtenir une telle transformation, en particulier, nous introduisons une matriceAHr, qui sera utiliser pour la procédure de décodage.

Supposons que l’erreure(e1, ..., en)de poidsrse situe dans un espace d’erreurEde dimensionrgénéré par une base{E1, E2, . . . , Er}, puis tout les ei(1≤i≤n)peuvent etre ecrits sous la formeei=Pr

j=1eijEj. La matriceH= (hij)est réalisé de telle sorte que hij appartiennent à un espace F de dimensiondgénéré par{F1, F2, . . . , Fd}, alors pour tout1≤i≤n−k,1≤j ≤n,hij =Pd

l=1hijlFl, avechijl ∈Fq. Supposons en outre que la dimension de l’espace< F1E1, F1E2, .., F1Er, F2E1, ..., FdEr>est exactement rd, il est alors possible d’exprimer les équations de syndromeH.e^t=sdansFq^m en équations dans la base

F^q, en exprimant formellement les ei dans la base {E1, E2, . . . , Er} et les coordonnées du syndrome dans le produit des bases< F1E1, F1E2, .., F1Er, F2E1, ..., FdEr>.

Plus formellement, il existe une matriceAHr

de taille (n−k)rd×nr dans Fq tels que les équations du syndromeH.e^t=s dans Fq^m deviennent un système d’équations AHr

.e^0t=s⁰ dans Fq, où s⁰ correspond à un vecteur(n−k)rd dansFq correspondant aux coordonnées du syndrome s,(s1, ..., sn−k), où chaque si est écrit dans la base < F1E1, F1E2, .., F1Er, F2E1, ..., FdEr >du produit de deux espaces < E.F >, et oùe⁰ est un vecteurnrsurFq correspondant aux coordonnées d’erreur (e1, ..., en),où chaqueei est écrit dans la base{E1, E2, . . . , Er}. Si l’on procède de cette façon la matriceAHr

de taille nr×(n−k)rdne dépend que des coordonnéesh_ij écrit dans la base {F1, F₂, . . . , F_d}, et doncA_H^rne dépend pas de l’erreur e, mais de façon unique de son dimension r.Pour des différents erreurs e, on a juste à écrires comme s⁰ dans le produit de deux espaces< E.F > puis résoudre le systèmeA_H^r.e^0t=s⁰.

En effet,

H.e=











h1,1 h1,2 · · · h1,n

h2,1 h2,2 · · · h2,n

... ... . .. ... hn−k,1 hn−k,2 · · · hn−k,n











×









 e1

e2

... en











=









 s1

s2

... sn−k











Alors,











h1,1e1 + h1,2e2 + . . . + h1,nen = s1

h2,1e1 + h2,2e2 + . . . + h2,nen = s1

... ...

h_n−k,1e₁ + h_n−k,2e₂ + . . . + h_n−k,ne_n = s₁

Or,

hij.ej =









 hij1

hij2

... h_ijd











. ej1 e_j2 · · · e_jr

=











hij1ej1 hij1ej2 · · · hij1ejr

hij2ej1 hij2ej2 · · · hij2ejr

... ... . .. ... h_ijde_j1 h_ijde_j2 · · · h_ijde_jr











Et,

si =











si11 si12 · · · si1r

si21 si22 · · · si2r

... ... . .. ... sid1 sid2 · · · sidr











Si on remplace dans chaque équation on obtient,

































 Pn

j=1h_1j1e_j1 Pn

j=1h_1j1e_j2 · · · Pn

j=1h_1j1e_jr

... ... . .. ...

Pn

j=1h_1jde_j1 Pn

j=1h_1jde_j2 · · · Pn

j=1h_1jde_jr

... ... . .. ...

... ... . .. ...

Pn

j=1h_(n−k)j1ej1 Pn

j=1h_(n−k)j1ej2 · · · Pn

j=1h_(n−k)j1ejr

... ... . .. ...

Pn

j=1h_(n−k)jdej1 Pn

j=1h_(n−k)jdej2 · · · Pn

j=1h_(n−k)jdejr



































=

































s111 s112 · · · s11r

... ... . .. ...

s_1d1 s_1d2 · · · s_1dr

... ... . .. ... ... ... . .. ... s_(n−k)11 s_(n−k)12 · · · s_(n−k)1r

... ... . .. ... s_(n−k)d1 s_(n−k)d2 · · · s_(n−k)dr

































En transformant l’équation matricielle à un système on trouve,











































































Pn

j=1h_1j1e_j1 = s₁₁₁ ...

Pn

j=1h1j1ejr = s11r

... Pn

j=1h1jdej1 = s1d1

... Pn

j=1h1jdejr = s1dr

... ... Pn

j=1h_(n−k)j1ej1 = s_(n−k)11 ...

Pn

j=1h_(n−k)j1e_jr = s_(n−k)1r ...

Pn

j=1h_(n−k)jde_j1 = s_(n−k)d1 ...

Pn

j=1h_(n−k)jde_jr = s_(n−k)dr

Ce qui donne,







































































h111e11 + 0 + · · · + 0 + · · · · + h1n1en1 + 0 + · · · + 0 = s111

0 + h111e12 + · · · + 0 + · · · · + 0 + h1n1en2 + · · · + 0 = s112

.. .

.. .

0 + 0 + · · · + h₁₁₁e_1r + 0 + · · · · + 0 + · · · + h_1n1e_nr = s_11r

.. .

.. . ..

.

.. .

h_11de₁₁ + 0 + · · · + 0 + · · · · + h_1nde_n1 + 0 + · · · + 0 = s_1d1

0 + h_11de₁₂ + · · · + 0 + · · · · + 0 + h_1nde_n2 + · · · + 0 = s_1d2

.. .

.. .

0 + 0 + · · · + h11de1r + 0 + · · · · + 0 + · · · + h1ndenr = s1d2

.. .

.. . ..

.

.. . ..

.

.. .

Par conséquent,

A^r_H =













































































































h111 0 · · · 0 · · · · · · h1n1 0 · · · 0

0 h111 · · · 0 · · · · · · 0 h1n1 · · · 0

...

0 0 · · · h₁₁₁ · · · · · · 0 0 · · · h_1n1

... ...

h11d 0 · · · 0 · · · · · · h1nd 0 · · · 0

0 h11d · · · 0 · · · · · · 0 h1nd · · · 0

...

0 0 · · · h_11d · · · · · · 0 0 · · · h_1nd

... ... ...

h_(n−k)11 0 · · · 0 · · · · · · h_(n−k)n1 0 · · · 0

0 h_(n−k)11 · · · 0 · · · · · · 0 h_(n−k)n1 · · · 0 ...

0 0 · · · h_(n−k)11 · · · · · · 0 0 · · · h_(n−k)n1

... ...

h_(n−k)1d 0 · · · 0 · · · · · · h_(n−k)nd 0 · · · 0

0 h_(n−k)1d · · · 0 · · · · · · 0 h_(n−k)nd · · · 0 ...

0 0 · · · h_(n−k)1d · · · · · · 0 0 · · · h_(n−k)nd













































































































La construction précédente peut être considérée comme déroulement formelle de la matriceH dans la base de produit de deux espaces< E.F >:

< F1E1, F1E2, .., F1Er, F2E1, ..., FdEr>.

Définition 2. Avec la notation précédente nous considérons une matrice(n−k)rd×nr A^r_H= (aij). Dans un premier tempsaij = 0et après on écritau+(v−1)r+(i−1)rd,u+(j−1)r=hij pour1≤u≤r,1≤i≤n−k, 1≤j≤net1≤v≤d

Notation. On note par AH lanr×nrsous-matrice inversible deA^r_H, on noteDH=A⁻¹_H une matrice de décodage deH.

La matriceDH permet de récupérer directement les valeurs de eij

3. L’ALGORITHME DE DÉCODAGE DE CODELRPC

A. L’idée générale

L’idée générale de l’algorithme est d’utiliser le fait que le poids de matrice de parité est petit et que l’espace généré par les cordonnés de syndrome< s1, ..., sn_k >permet de récupérer tout l’espace produitP =< F.E >

entre le support de l’erreur et la base de H. En connaissant l’espaceP etF permet de récupérerE, après il sera facile de retrouver l’erreureen résolvant un système linéaire. Cette méthode est similaire à la procédure de décodage des codesBCH.

B. L’algorithme générale de décodage

Considérons un [n, k] LRPC code C de petit poidsd sur Fq^m, avec matrice génératrice G et(n−k)×n matrice H tel que lesh_ij sont engendrés par{F1, F₂, . . . , F_d} et queH est choisis telle que D_H existe.

Supposons qu’on a reçuy=xG+epourxdansF^kq^m etedans Fⁿq^m de rang r tel que{E₁, E₂, . . . , E_r} est une base de< e₁, ..., e_n>.

Nous considérons l’algorithme générale de décodage suivant, cette algorithme a une probabilité d’échec que nous allons présenter dans la prochaine section, on va donner quelque paramètre pour lequel l’algorithme marche.

Algorithme 1:l’algorithme générale de décodage pour

1. Comptage d’espace syndrome

On commence par calculer le syndrome, après on calcule l’espace syndrome <

s1, ..., s_n−k>.

2. Trouver le support E de l’erreur

On définitSi=F_i⁻¹S et on calcule le support d’erreurE=S1∩S2∩...∩Sd. 3. Trouver l’erreur e

On écritei(1≤i≤n)dans la base {E1, E2, . . . , Er} telei=Pr

j=1eijEj. e⁰= (e11, e12, ..., enr).

On écrits_i dans la base P=< E.F >.

On essaye de récupérere⁰ à partir du systèmeA^r_H.e⁰ =s⁰. 4. Trouver le message x

Trouverxdepuis le systemx.G=y−e.

C. L’exactitude de l’algorithme

Nous allons prouver l’exactitude de l’algorithme dans le cas idéal quanddim(< E.F >) =rd,dim(S) =rd etdim(S1∩S2∩...∩Sd) =r, nous allons voir dans la prochaine section que c’est le cas générale.

Étape 1 :La première étape de l’algorithme est évidente.

Étape 2 : Nous allons prouver que E ⊂ S1∩S2∩...∩Sd. Puisque S est le produit des deux espaces E et F, on a Fi.Ej ∈ S, pour 1 ≤ j ≤r, donc Ej ∈Si et E ⊂ Si, d’où E ⊂ S1∩S2∩...∩Sd. Par hypothèsedim(S1∩S2∩...∩Sd) =dim(E)ce qui implique l’égalité deE etS1∩S2∩...∩Sd.

Étape 3 :Après avoir trouverE, on écrit ei dans la base de E, dans cas on a nr inconnus et(n−k)m équations donc il faut quersoit plus petit que ^(n−k)m_n .

D. La probabilité d’échec

Nous considérons les trois différents probabilité d’échec, le cas oùdim(< E.F >) =rdest vérifié avec une probabilité supérieure àr^q_q^rd_m, le cas où E=S₁∩S₂∩...∩S_d est vérifié avec une probabilité supérieure à r^qrd(d+1)/2_qm et le cas oùdim(S) =rdest vérifié avec une probabilité inférieure à q^{(n−k)−rd−1}.

E. La complexité de décodage

L’étape 2) et l’étape 3) sont les plus coûteux dans l’algorithme 1. Pour l’étape 2) la complexité de l’intersection des espaces vectoriels est4r²d²mopérations dans le corps de base. Dans l’étape 3) la complexité estn²r² pour trouvere_ij en utilisant la matriceD_H.

Remarquons queD_H peut être calculer et stocker dans la mémoire du codeur.

Si on résume les différents sections on obtient le théorème suivant

Théorème 1. SoitH une matrice duale de taille (n−k)×nd’un code LRPC de petit rangd≥2surFq^m, l’algorithme 1 décode une erreur aléatoiree de poidsr tel querd≤n−k, avec une probabilité de succès égale à1−q^{−(n−k−rd)}et une complexité r²(4d²m+n²).

RÉFÉRENCES

[1] P. Gaborit, O. Ruatta, G. Murat et G. Zémor.Low Rank Parity Check Codes and their application in cryptography. WCC 2013, 167-179