编码理论 第二版 教学课件 作者 田丽华 第12 16章 第14章.ppt

第14章　纠错码与保密编码 14.1　基于纠错码的公钥密码体制 14.1.1　M公钥密码体制　　M公钥密码体制是1978年McEliece利用一般线性码的译码问题是一个难解的数学问题和Goppa码有快速译码算法的特点，最早提出的一个基于纠错码的公钥密码体制，简称为M公钥体制。该体制的公钥是随机产生的一个线性分组码的生成阵，公钥隐藏了线性分组码的快速译码算法，它是一种局部随机的密码体制。下面介绍M公钥密码体制的加解密原理。　　设G是二元（n，k，d)Goppa码的生成矩阵，其中n＝2m，d＝2t＋1，k＝n-mt。随机地选取两个二元矩阵S和P，则公钥G′为 式中：S—kk阶可逆矩阵； G—kn阶Goppa码生成矩阵； P—nn阶置换矩阵。 私钥：S，G，P。 加密过程：  对于任意一个明文m∈GF(2)k，密文加密算法如下： 解密过程： 收方收到一个密文c以后，计算cP－1＝mSGPP－1＋zP－l＝mSG＋z＇，因为P是置换距阵，所以w(z)＝w (z＇)＝t，然后利用Goppa的快速译码算法将其译码成m＇＝mS，密文c对应的明文为m＝m＇S—1。则用户收到密文向量c后，用自己的秘密钥进行解码步骤为：  （1）计算cP-1＝mG＇P -1十zP-1＝(mS)G＋zP-1； （2）对cP-1用有效的Goppa码译码算法进行译码译得mS； （3）计算(mS)S-1得明文m。 McEliece系统的缺点是密钥长度较大，数据扩展率太大，它的优点是对同一公钥，一个明文可以对应许多个密文，从而增加了从密文破译的困难。对McEliece系统的破译一方面是求出秘密钥S-1，P -1，G；另一方面是对具体密文c来求对应的明文m。由现有的系统安全性分析可知，这两种破译方法都未发现有有效的算法。此系统还可纠正密文在传送中发生的错误，这种系统称为既加密又纠错的系统。 14.1.2　N公钥密码体制　　N钥密码体制是1986年Niederreiter提出的另一个基于纠错码的公钥密码体制，该体制是一个背包型公钥密码体制，简称N公钥密码体制。N公钥密码体制的公钥为随机产生的线性分组码的校验阵，与M公钥不同的是N公钥隐藏了具有快速译码算法的线性分组码的校验阵。下面介绍这个公钥密码体制加、解密原理。 　　设C是有q元线性（n，k，2t＋1)Goppa码，取两个q元矩阵M、P，则公钥H′为 14.1.3　M公钥密码体制与N公钥密码体制的关系　　李元兴、王新梅等于1994年在IEEE信息论汇刊上发表论文,证明了M公钥和N公钥密码体制是等价的。　　假定M公钥密码体制和N公钥密码体制采用的是相同的（n，ｋ，2t+1）线性码C，则M密码体制的公钥为 　　N密码体制的公钥为: 　　N密码体制中的加密方程： 14.2　基于纠错码的私钥密码体制 14.2.1　Rao私钥密码体制　　Rao私钥密码体制是1984年由T.R.Rao提出的一个私钥密码体制，其基本思想是将McEliece公钥用于私钥密码体制。　　1)加密　　令Z＝{z|z∈GF(2)n，z的汉明重量为t}，m是k比特的明文，其对应的n比特密文c为 　　2)解密　　计算cPT，通过译码得到mS，计算mSS－1得明文m。 14.2.2　Rao-Nam私钥密码体制　　从密码分析的角度看，当错误向量的汉明重量约等于n／2时，大数表决攻击方法不能成功。在此情况下，码字的每一个坐标被正确猜测的概率为1／2，这是最佳的。因此，Rao-Nam提出使用预先定义取自码C不同的剩余类的汉明重量约等于n／2错误码字。同时他们还提出利用简单的纠错码(汉明重量小于等于6，码长最多为250比特)来获得私钥密码系统。　　设G是(n，k)Goppa码的生成矩阵，z是一个特指的错误图样，它的平均汉明重量大约为n／2。 　　1)加密方法　　令m是k比特的密文，则明文c为 　　2)解密方法　　由加密运算公式（14－12）得： 　　具体解密步骤如下：　　(1)利用公式（14－14）计算c′；　　(2)根据公式（14－15）计算m′；　　(3)通过伴随-错误表，可以找到z，同时可以算出mS；　　(4)根据mSS-1计算明文m。　　由于这个私钥密码体制安全性在很大程度上依靠于z的选取，所以，1989年Rao-Nam给出了下列选取z的方法：　　有限域GF(2)上的n维向量空间GF(2)n关于(n，ｋ)线性码C有2n－ｋ个陪集，每一个陪集对应于惟一一个伴随式，在每一个陪集中选定一个重量大约等于n／2的码字，这样就形成2n-ｋ个重量大约等于n／2的n重矢量。 14.2.3　Li-Wang私钥密码体制　　根据Rao-