Goppovy kódy a jejich aplikace / Goppa codes and their applications

Kotil, Jaroslav

January 2013

Title: Goppa codes and their applications Author: Bc. Jaroslav Kotil Department: Department of algebra Supervisor: prof. RNDr. Aleš Drápal, CSc., DSc. Abstract: In this diploma paper we introduce Goppa codes, describe their para- metres and inclusion in Alternant codes, which are residual Generalized Reed- Solomon codes, and Algebraic-geometry codes. Aftewards we demonstrate deco- ding of Goppa codes and introduce Wild Goppa codes. We also describe post- quantum cryptography member: McEliece cryptosystem for which no effective attacks with quantum computers are known. We outline a usage of this crypto- system with Goppa codes and describe the security of the cryptosystem together with possible attacks of which the most effective ones are based on information- set decoding. Keywords: Goppa codes, Generalized Reed-Solomon codes, Algebraic-geometry codes, Post-quantum cryptography, McEliece cryptosystem 1

On Decoding Interleaved Reed-solomon Codes

Yayla, Oguz

01 September 2011

Probabilistic simultaneous polynomial reconstruction algorithm of Bleichenbacher-Kiayias-Yung is extended to the polynomials whose degrees are allowed to be distinct. Furthermore, it is observed that probability of the algorithm can be increased. Specifically, for a finite field $F$, we present a probabilistic algorithm which can recover polynomials $p_1,ldots, p_r in F[x]$ of degree less than $k_1,k_2,ldots,k_r$, respectively with given field evaluations $p_l(z_i) = y_{i,l}$ for all $i in I$, $|I|=t$ and $l in [r]$ with probability at least $1 - (n - t)/|F|$ and with time complexity at most $O((nr)^3)$. Next, by using this algorithm, we present a probabilistic decoder for interleaved Reed-Solomon codes. It is observed that interleaved Reed-Solomon codes over $F$ with rate $R$ can be decoded up to burst error rate $frac{r}{r+1}(1 - R)$ probabilistically for an interleaving parameter $r$. It is proved that a Reed-Solomon code RS$(n / k)$ can be decoded up to error rate $frac{r}{r+1}(1 - R&#039 / )$ for $R&#039 / = frac{(k-1)(r+1)+2}{2n}$ when probabilistic interleaved Reed-Solomon decoders are applied. Similarly, for a finite field $F_{q^2}$, it is proved that $q$-folded Hermitian codes over $F_{q^{2q}}$ with rate $R$ can be decoded up to error rate $frac{q}{q+1}(1 - R)$ probabilistically. On the other hand, it is observed that interleaved codes whose subcodes would have different minimum distances can be list decodable up to radius of minimum of list decoding radiuses of subcodes. Specifically, we present a list decoding algorithm for $C$, which is interleaving of $C_1,ldots, C_b$ whose minimum distances would be different, decoding up to radius of minimum of list decoding radiuses of $C_1,ldots, C_b$ with list size polynomial in the maximum of list sizes of $C_1,ldots, C_b$ and with time complexity polynomial in list size of $C$ and $b$. Next, by using this list decoding algorithm for interleaved codes, we obtained new list decoding algorithm for $qh$-folded Hermitian codes for $q$ standing for field size the code defined and $h$ is any positive integer. The decoding algorithm list decodes $qh$-folded Hermitian codes for radius that is generally better than radius of Guruswami-Sudan algorithm, with time complexity and list size polynomial in list size of $h$-folded Reed-Solomon codes defined over $F_{q^2}$.

Sécurité des protocoles cryptographiques fondés sur la théorie des codes correcteurs d'erreurs / Security of cryptographic protocols based on coding theory

Tale kalachi, Herve

05 July 2017

Contrairement aux protocoles cryptographiques fondés sur la théorie des nombres, les systèmes de chiffrement basés sur les codes correcteurs d’erreurs semblent résister à l’émergence des ordinateurs quantiques. Un autre avantage de ces systèmes est que le chiffrement et le déchiffrement sont très rapides, environ cinq fois plus rapide pour le chiffrement, et 10 à 100 fois plus rapide pour le déchiffrement par rapport à RSA. De nos jours, l’intérêt de la communauté scientifique pour la cryptographie basée sur les codes est fortement motivé par la dernière annonce de la “National Institute of Standards and Technology" (NIST), qui a récemment initié le projet intitulé “Post-Quantum cryptography Project". Ce projet vise à définir de nouveaux standards pour les cryptosystèmes résistants aux attaques quantiques et la date limite pour la soumission des cryptosystèmes à clé publique est fixée pour novembre 2017. Une telle annonce motive certainement à proposer de nouveaux protocoles cryptographiques basés sur les codes, mais aussi à étudier profondément la sécurité des protocoles existants afin d’écarter toute surprise en matière de sécurité. Cette thèse suit cet ordre d’idée en étudiant la sécurité de plusieurs protocoles cryptographiques fondés sur la théorie des codes correcteurs d’erreurs. Nous avons commencé par l’étude de la sécurité d’une version modifiée du cryptosystème de Sidelnikov, proposée par Gueye et Mboup [GM13] et basée sur les codes de Reed-Muller. Cette modification consiste à insérer des colonnes aléatoires dans la matrice génératrice (ou de parité) secrète. La cryptanalyse repose sur le calcul de carrés du code public. La nature particulière des codes de Reed-Muller qui sont définis au moyen de polynômes multivariés binaires, permet de prédire les valeurs des dimensions des codes carrés calculés, puis permet de récupérer complètement en temps polynomial les positions secrètes des colonnes aléatoires. Notre travail montre que l’insertion de colonnes aléatoires dans le schéma de Sidelnikov n’apporte aucune amélioration en matière de sécurité. Le résultat suivant est une cryptanalyse améliorée de plusieurs variantes du cryptosystème GPT qui est un schéma de chiffrement en métrique rang utilisant les codes de Gabidulin. Nous montrons qu’en utilisant le Frobenius de façon appropriée sur le code public, il est possible d’en extraire un code de Gabidulin ayant la même dimension que le code de Gabidulin secret mais avec une longueur inférieure. Le code obtenu corrige ainsi moins d’erreurs que le code secret, mais sa capacité de correction d’erreurs dépasse le nombre d’erreurs ajoutées par l’expéditeur et par conséquent, un attaquant est capable de déchiffrer tout texte chiffré, à l’aide de ce code de Gabidulin dégradé. Nos résultats montrent qu’en fin de compte, toutes les techniques existantes visant à cacher la structure algébrique des codes de Gabidulin ont échoué. Enfin, nous avons étudié la sécurité du système de chiffrement de Faure-Loidreau [FL05] qui est également basé sur les codes de Gabidulin. Inspiré par les travaux précédents et, bien que la structure de ce schéma diffère considérablement du cadre classique du cryptosystème GPT, nous avons pu montrer que ce schéma est également vulnérable à une attaque polynomiale qui récupère la clé privée en appliquant l’attaque d’Overbeck sur un code public approprié. Comme exemple, nous arrivons en quelques secondes à casser les paramètres qui ont été proposés comme ayant un niveau de sécurité de 80 bits. / Contrary to the cryptosystems based on number theory, the security of cryptosystems based on error correcting codes appears to be resistant to the emergence of quantum computers. Another advantage of these systems is that the encryption and decryption are very fast, about five times faster for encryption, and 10 to 100 times faster for decryption compared to RSA cryptosystem. Nowadays, the interest of scientific community in code-based cryptography is highly motivated by the latest announcement of the National Institute of Standards and Technology (NIST). They initiated the Post-Quantum cryptography Project which aims to define new standards for quantum resistant cryptography and fixed the deadline for public key cryptographic algorithm submissions for November 2017. This announcement motivates to study the security of existing schemes in order to find out whether they are secure. This thesis thus presents several attacks which dismantle several code-based encryption schemes. We started by a cryptanalysis of a modified version of the Sidelnikov cryptosystem proposed by Gueye and Mboup [GM13] which is based on Reed-Muller codes. This modified scheme consists in inserting random columns in the secret generating matrix or parity check matrix. The cryptanalysis relies on the computation of the square of the public code. The particular nature of Reed-Muller which are defined by means of multivariate binary polynomials, permits to predict the values of the dimensions of the square codes and then to fully recover in polynomial time the secret positions of the random columns. Our work shows that the insertion of random columns in the Sidelnikov scheme does not bring any security improvement. The second result is an improved cryptanalysis of several variants of the GPT cryptosystem which is a rank-metric scheme based on Gabidulin codes. We prove that any variant of the GPT cryptosystem which uses a right column scrambler over the extension field as advocated by the works of Gabidulin et al. [Gab08, GRH09, RGH11] with the goal to resist Overbeck’s structural attack [Ove08], are actually still vulnerable to that attack. We show that by applying the Frobeniusoperator appropriately on the public key, it is possible to build a Gabidulin code having the same dimension as the original secret Gabidulin code, but with a lower length. In particular, the code obtained by this way corrects less errors than thesecret one but its error correction capabilities are beyond the number of errors added by a sender, and consequently an attacker is able to decrypt any ciphertext with this degraded Gabidulin code. We also considered the case where an isometrictransformation is applied in conjunction with a right column scrambler which has its entries in the extension field. We proved that this protection is useless both in terms of performance and security. Consequently, our results show that all the existingtechniques aiming to hide the inherent algebraic structure of Gabidulin codes have failed. To finish, we studied the security of the Faure-Loidreau encryption scheme [FL05] which is also a rank-metric scheme based on Gabidulin codes. Inspired by our precedent work and, although the structure of the scheme differs considerably from the classical setting of the GPT cryptosystem, we show that for a range of parameters, this scheme is also vulnerable to a polynomial-time attack that recovers the private key by applying Overbeck’s attack on an appropriate public code. As an example we break in a few seconds parameters with 80-bit security claim.

Codes correcteurs d'erreurs

Cryptographie quantique

Cryptographie post-quantique

Codes de Reed-Muller

Codes de Reed Solomon

Error-correcting codes

Quantic cryptography

Post-quantic cryptography

Reed-Muller codes

Reed-Solomon codes

005.82

Décodage des codes algébriques et cryptographie

Augot, Daniel

07 June 2007

Je traite du décodage de deux grandes familles de codes algébriques :<br />les codes cycliques binaires et les codes de Reed-Solomon sur un<br />alphabet $q$-aire (ainsi que les codes géométriques). En ce qui<br />concerne les codes cycliques, ceux-ci n'ont pas d'algorithme générique<br />de décodage, mis à part les codes BCH ou assimilés (bornes de<br />Hartman-Tzeng, de Roos). Au premier rang des codes intéressants pour<br />lesquels on ne connaît pas d'algorithme de décodage {\em générique}<br />figurent les {\em codes à résidus quadratiques}, qui ont de bons<br />paramètres. J'étudie une mise en équation du problème du décodage par<br />syndrôme de ces codes, que l'on peut résoudre avec des outils de base<br />de Gröbner. On obtient ainsi des algorithmes de décodage de complexité<br />raisonnable pour ces codes. Ces travaux ont fait l'objet d'une partie<br />de la thèse de Magali Bardet.<br /><br /><br />En ce qui concerne les codes de Reed-Solomon, ceux-ci peuvent être vus<br />comme des {\em codes d'évaluation}, et le problème de décodage associé<br />revient à approcher une fonction par des polynômes de base degré. De<br />grands progrès ont été réalisés par Guruswami et Sudan, qui ont trouvé<br />un algorithme qui décode bien au delà des rayons classiques de<br />décodage, en relaxant l'hypothèse que la solution doit être unique. Je<br />propose d'améliorer certaines étapes de cet algorithme, en le rendant<br />plus rapide et déterministe (notamment en évitant une factorisation de<br />polynôme sur un corps fini), dans le cas des codes Reed-Solomon, et<br />dans le cas des codes géométriques. Ces travaux ont été effectués en<br />encadrant Lancelot Pecquet.<br /><br />Du point de vue théorique, j'ai étudié des généralisations<br />multivariées, qui correspondent à certains codes: les codes produits<br />de Reed-Solomon, et les codes de Reed-Muller. On obtient ainsi un bon<br />rayon de décodage, dans le cas des codes de petit taux. Dans le cas de<br />codes de Reed-Muller sur l'alphabet binaire, Cédric Tavernier, dans sa<br />thèse sous ma direction, a produit et implanté un algorithme efficace,<br />plus que ceux basés sur l'algorithme de Guruswami-Sudan.<br /><br /><br /><br />J'ai étudié les aspects négatifs du problème de décodage par syndrôme<br />des codes linéaires, et du décodage des codes de Reed-Solomon, quand<br />le nombre d'erreurs est élevé, en but d'application en cryptographie.<br />Dans le premier cas, j'ai construit une fonction de hachage<br />cryptographique à réduction de sécurité, c'est-à-dire que trouver une<br />faiblesse dans le fonction de hachage revient à résoudre un problème<br />réputé difficile de codage. J'ai aussi construit une nouvelle<br />primitive de chiffrement à clé publique, reposant sur la difficulté de<br />décoder les codes de Reed-Solomon.<br /><br />Dans un domaine plus appliqué, j'ai proposé avec Raghav Bhaskar un<br />nouvel algorithme d'échange de clé multi-utilisateurs, fondé sur le<br />problème du logarithme discret. Raghav Bhaskar a fourni une preuve de<br />sécurité de ce protocole, pendant sa thèse sous ma direction. Nous<br />avons aussi étudié comment adapter ce protocole aux pertes de<br />messages, car notre protocole est un des seuls qui est robuste à ces<br />pertes.

Codes correcteurs d'erreur

codes de Reed-Solomon

codes géométriques

<br />codes cycliques

décodage en liste

algorithme de Gursuwami-Sudan

<br />bases de Gröbner

cryptosystèmes fondés sur les codes

protocole<br />d'agrément de clé