Etude de l'algorithme de Canteaut-Chabaud. - Pages personnelles ...

Etude de l’algorithme de Canteaut-Chabaud.
Matthieu Legeay
Octobre 2009
Résumé
1 Introduction
1.1 Généralités sur les codes
Toute l’étude se fera dans le corps fini à q éléments F q .
Soit F n q l’espace vectoriel des n-uplets sur le corps F q .
Un (n, M) code C sur F q est un sous-ensemble de F n q de taille M. Si C est alors un sous-espace
vectoriel de dimension k de F n q , on appelle dans ce cas C un [n, k] code linéaire sur F q (on a
d’ailleurs k = log q M).
On écrit généralement les vecteurs de F n q comme les mots a 1 a 2 ...a n sur l’alphabet F q et on appelle
les vecteurs de C les mots du code.
Il y a deux outils communs qui permettent de caractériser un [n, k] code linéaire.
Matrice génératrice : Une matrice génératrice pour un [n, k] code linéaire C est une matrice
G de taille k×n dont les lignes forment une base de C. On dit que G est sous forme systématique
si G est de la forme [Id k |A], où Id k est la matrice identité de taille k × k.
En appliquent à G les opérations suivantes :
– permutation de lignes
– addition d’une ligne avec le multiple scalaire d’une autre
– multiplication d’une ligne par un scalaire non nul de F q
on obtient une matrice génératrice du même code C.
En revanche, en appliquant à G les opérations suivantes :
– permutation de colonnes
– multiplication d’une colonne par un scalaire non nul de F q
on obtient une matrice génératrice d’un code équivalent à C.
Par conséquent, pour tout code linéaire C, on peut toujours trouver un code équivalent C ′ dont
la matrice génératrice est sous forme systématique.
L’application linéaire de F k q dans F n q définie par a ↦→ aG est l’opération de codage.
Ainsi si G est sous forme systématique et si on veut coder x ∈ F q , on calcule xG = [x, xA] ;
les k premiers bits sont alors les bits d’information et les n−k suivants sont les bits de redondance.
1

Matrice de parité : Le code dual de C est le [n, n − k] code linéaire C ⊥ défini par
C ⊥ = { v ∈ F n q | u · v = 0, ∀u ∈ C } .
Une [n, n − k] matrice génératrice H de C ⊥ est appelée matrice de parité du code C.
La matrice de parité caractérise bien C car on a la relation C = { x ∈ F n q | Hx ⊤ = 0 } .
Si G = [Id k |A] est la matrice génératrice sous forme systématique du code C, alors H =
[−A ⊤ |Id n−k ] est la matrice de parité de C sous forme systématique.
Un invariant important d’un code est la distance minimale entre les mots du code.
La distance de Hamming d(x, y) entre deux vecteurs de F n q est le nombre de coordonnées où x
et y diffèrent. La distance de Hamming est bien une distance.
La distance minimale d’un code C est la plus petite distance de Hamming entre des mots de
code distincts, clairement d(C) = min {d(x, y) , x, y ∈ C , x ≠ y}.
Le poids de Hamming d’un vecteur x de F n q est le nombre wt(x) de coordonnées non nulles. On
a facilement d(x, y) = wt(x − y) et si C est un code linéaire, alors la distance minimale de C est
le poids minimum parmi les mots du code non nuls, c’est à dire
d(C) = min {wt(x) , x ∈ C , x ≠ 0} = w(C).
Si la distance/le poids minimal d d’un [n, k] code est connu, on dit que c’est un [n, k, d] code.
Le résultat important est qu’un [n, k, d] code détecte d − 1 erreurs et en corrige e = ⌊ ⌋
d−1
2 .
2

2 Cryptanalyse du système de McEliece
Comme pour tout système de chiffrement, l’intérêt porté aux deux cryptosystèmes présentés
précédemment est leur attaque. Celle-ci revient à trouver un algorithme général de décodage efficace
des codes linéaires jusqu’à une distance fixée. Contrairement au problème du décodage complet
d’un code linéaire, il n’a jamais été démontré que ce problème était NP-difficile. Mais l’existence
d’un algorithme polynomial pour le résoudre paraît peu probable. Ainsi toute amélioration
des algorithmes existant est donc digne d’intérêt même si elle aboutit à un algorithme exponentiel.
Je vais donc passer en revue différents algorithmes de décodage et m’attacher sur certains
qui furent un tournant dans la réflexion sur la cryptanalyse des systèmes basés sur les codes
correcteurs.
Dans toute la suite, il s’agira de décoder un [n, k, d] code linéaire C sur F q .
c désignera le mot à décoder, formé de la somme d’un mot du code x et d’un vecteur d’erreur e
de poids t.
On supposera d’ailleurs que e est le seul vecteur de poids ≤ t dans le coset C + c (ce qui est
raisonnable, puisque cette probabilité est très forte pour des codes aléatoires de taille suffisante).
G et H seront les matrices génératrices et de parité de C.
2.1 Algorithmes exhaustifs
Les algorithmes ”basiques” de décodage sont ceux dits exhaustifs qui énumèrent :
– soit tous les mots du code
– soit tous les vecteurs d’erreur
Décodage par recherche exhaustive parmi tous les mots du code
Pour tous les vecteurs m de longueur k,
1. Calculer le mot de code mG où G est la matrice génératrice de C.
2. Calculer wt(c − mG).
La solution est obtenue pour le vecteur m qui minimise wt(c − mG).
Décodage par recherche exhaustive parmi tous les vecteurs d’erreur
Soit s = Hc ⊤ . Tant que s ≠ s ′ faire :
1. Choisir un vecteur x de longueur n − k et de poids inférieur ou égal à t.
2. Calculer son syndrome s ′ = Hx ⊤ .
Ces algorithmes sont bien sûr longs et coûteux car ils nécessitent de passer en revue tous les
vecteurs d’une certaine taille.
En revanche les algorithmes qui vont suivre utilisent des propriétés qui leur permettent de
s’arrêter à n’importe quel moment.
3

2.2 Décodage par ensembles d’information généralisé sur F q
Ce principe est une technique classique, introduite par Prange [7] en 1962 pour les codes
cycliques, généralisée par la suite et encore utilisée aujourd’hui.
Contrairement aux algorithmes exhaustifs précédents, le décodage par ensemble d’information
exploite la redondance du code : il repose sur la constatation qu’il suffit de trouver un
ensemble de k positions d’information ne contenant aucune erreur parmi ses coordonnées pour
décoder c.
Soit N = {1, . . . , n}. Si I est un sous-ensemble de N et J = N\I son ensemble complémentaire,
on note G = (U, V ) I la décomposition de G par rapport à I ; cela signifie que U = (G i ) i∈I et
V = (G j ) j∈J où (G 1 , . . . , G n ) est la décomposition en colonnes de la matrice G.
Définition 2.1. (Ensemble d’information)
∗ Un sous-ensemble I de N de taille k est un ensemble d’information pour C si et seulement si
la restriction de C à ces k positions forme un espace vectoriel de dimension k ; ce qui équivaut
à G = (U, V ) I avec U inversible.
∗ De la même manière, un ensemble de redondance de C est le complémentaire dans N d’un
ensemble d’information.
De tels ensembles d’information existent bien comme peut le montrer le résultat suivant de
la théorie des codes correcteurs :
Proposition 2.2. Tout ensemble de n − d + 1 positions contient un ensemble d’information.
Démonstration. Soit K un ensemble de s positions et G = (A, B) K .
Supposons que K ne contienne aucun ensemble d’information.
Ainsi, le rang de A est strictement inférieur à s.
On peut donc trouver une combinaison linéaire des lignes de A égale à 0, et par conséquent un
mot du code x qui a des 0 sur ces s positions. Puisque wt(x) ≥ d, n − s ≥ d et donc s ≤ n − d.
On obtient le résultat par contraposée.
Ainsi dès lors que l’on trouve un ensemble d’information I ne contenant aucune position
d’erreurs (voir FIGURE 1), il suffit de décomposer c = (c I , c J ) I et G = (U, V ) I pour obtenir le
vecteur erreur. En effet, on a c = x + e, où x = mG, donc mU = x I et x = mG = x I U −1 G.
Or c I = x I , car I ne contient pas de positions d’erreurs.
Par conséquent e = c − x = c − c I U −1 G = (0 · · · 0, c J − c I U −1 V ) I et m = c I U −1 .
Figure 1 – Motifs d’erreurs corrigés par l’algorithme de décodage par ensembles d’information,
avec I un ensemble d’information.
C’est cette propriété qui est à l’origine de l’algorithme dont parlait McEliece dans son article
[2] au sujet de la cryptanalyse de son système.
4

Décodage par ensembles d’information généralisé sur F q
Tant qu’un vecteur d’erreurs de poids inférieur ou égal à t n’a pas été trouvé :
1. Choisir aléatoirement un ensemble d’information I.
2. Mettre G sous forme systématique U −1 G = (Id, Z) I , avec Z = U −1 V ,
et décomposer c sous la forme (c I , c J ) I .
3. Calculer wt(c J − c I Z).
Si ce poids est inférieur ou égal à t, alors e = (0 · · · 0, c J − c I Z) I et m = c I U −1 .
Coût de l’algorithme : La probabilité de choisir k zéros dans le vecteur d’erreurs e est Q = (n−t k )
( n k) .
C’est à dire que le cryptanalyste doit faire environ 1 Q
essais avant de réussir, et pour chaque
essai doit inverser la sous-matrice U de G de taille k × k.
En supposant que cette inversion de matrice requiert αk 3 (α est petit quand k > n 2
), le facteur
total de travail attendu, c’est à dire le nombre total d’opérations binaires à effectuer en moyenne
pour que l’algorithme trouve la solution, est W = αk 3 × (n k)
( n−t
k ) .
2.3 Algorithme de Lee-Brickell généralisé sur F q
Un des problèmes qui apparaît dans le dernier algorithme est que k positions choisies
aléatoirement ne forment pas toujours un ensemble d’information, à moins que le code ne soit
un code MDS (Maximum Distance Separable code).
Plutôt que de rechercher à nouveau k positions d’information totalement différente, l’algorithme
de Lee-Brickell [8] tient compte du fait que parmi ces k premiers choix de positions, sans
doute un certain nombre sont à garder.
Dans le décodage par ensembles d’information, l’élimination de Gauss permettant de mettre
la matrice génératrice sous forme systématique est de loin la procédure la plus coûteuse. Afin
de trouver un meilleur compromis entre le nombre d’itérations et le coût de chacune d’elles, il
est donc préférable d’augmenter légèrement le facteur de travail de chaque itération pour permettre
d’en diminuer le nombre à effectuer, en ne modifiant par exemple qu’un petit nombre de
positions.
Dans cette démarche, l’algorithme de Lee-Brickell autorise au plus p positions d’erreurs dans
l’ensemble d’information (p est un paramètre de l’algorithme) : c’est donc un algorithme de
décodage par ensembles d’information avec p effacements (voir FIGURE 2).
Figure 2 – Motifs d’erreurs corrigés par l’algorithme de Lee-Brickell, avec I un ensemble d’information.
5

Algorithme de Lee-Brickell généralisé sur F q (avec paramètre p)
Tant qu’un vecteur d’erreurs de poids inférieur ou égal à t n’a pas été trouvé :
1. Choisir aléatoirement un ensemble d’information I.
2. Mettre G sous forme systématique U −1 G = (Id, Z) I , avec Z = U −1 V , et
décomposer c sous la forme (c I , c J ) I .
3. Pour tous les vecteurs e ′ i de longueur k et de poids i ≤ p, calculer wt(c J −(c I −e ′ i )Z).
Si ce poids est inférieur ou égal à t − i,
alors e = (e ′ i , c J − (c I − e ′ i )Z) I et m = (c I − e ′ i )U −1 .
Explication de l’algorithme : En reprenant les notations précédentes, on a
c = (c I , c J ) I , e = (e I , e J ) I , G = (U, V ) I et c I − e I = mU = x I .
On obtient alors (c I − e I )U −1 G = mUU −1 G = mG.
Si on choisit un vecteur e ′ i de taille k et de poids i ≤ p et que c − (c I − e ′ i )U −1 G est de poids
inférieur ou égal à t,
ce qui équivaut à c J − (c I − e ′ i )U −1 V de poids inférieur ou égal à t − i,
alors e ′ i = e I et m = (c I − e ′ i )U −1 .
Coût de l’algorithme : La probabilité pour qu’un ensemble d’information contienne au plus p
p∑
positions d’erreur est Q p =
( 1 ( n−t t n
k) k−i)(
i)
.
i=0
p∑ (
Soit N p le nombre de vecteurs d’erreur de k bits avec au plus p bits non nuls, alors N p = k
)
i .
Par conséquent, le facteur total de travail de l’algorithme de Lee-Brickell avec paramètre p est
W p = 1
Q p
(αk 3 + N p βk).
On remarque que W 0 = W , ce qui parait logique puisque si p = 0, on ne se soucie pas de
garder certaines positions, on recherche alors à chaque fois k différentes positions et on retrouve
donc le coût de l’algorithme de décodage par ensembles d’information.
On peut de plus calculer que, pour des valeurs raisonnables de α et β, W p diminue puis
augmente quand p augmente. Dans leur article [8], Lee et Brickell ont montré que pour α = β,
la valeur optimale de p qui minimise le facteur total de travail est p = 2.
i=0
2.4 Algorithme de Leon généralisé sur F q
A l’inverse de Lee et Brickell, Leon propose dans son article [9] un algorithme qui augmente
légèrement le nombre d’itérations effectuées mais diminue considérablement le nombre
d’opérations requises par chacune d’elles.
Pour ceci, il considère un ensemble de positions S = I ∪ L de taille supérieure à k, avec I un
ensemble d’information et L un ensemble de l positions de redondance. De cette manière, Leon
utilise une sorte de ”filtre” des erreurs (voir FIGURE 3).
6

Figure 3 – Motifs d’erreurs corrigés par l’algorithme de Leon, avec |S| = k + l.
En effet, au lieu de calculer directement, comme le fait l’algorithme de Lee-Brickell, le poids
des mots de taille n − k, il s’assure au préalable que le poids de ces mots restreints à L est
de poids très faible. Leon part donc du principe qu’il est très improbable que le poids total du
mot soit faible, si sa restriction même à l’ensemble L ne l’est pas. Le reste de l’algorithme suit
néanmoins les grands principes de Lee-Brickell.
Explication de l’algorithme : Toujours avec les mêmes notations, on a
(c I − e I )U −1 G = mG, avec U −1 G = (Id k |Z L |Z J\L ) et c = (c I |c L |c J\L ).
En choisissant un vecteur e ′ i de taille k et de poids i ≤ p, on espère que ce vecteur soit proche
de e I et donc que (c I − e ′ i )U −1 soit proche de m.
Pour vérifier cela, on regarde dans un premier temps si le poids t ′ de c L − (c I − e ′ i )Z L est petit,
c’est à dire inférieur ou égal à p − i.
Si oui, alors on regarde maintenant le poids de c J\L − (c I − e ′ i )Z J\L et si celui-ci est à nouveau
petit, c’est à dire inférieur ou égal à t − t ′ − i,
alors on a e ′ i = e I et m = (c I − e ′ i )U −1 .
L’algorithme qui suit est celui extrait de la thèse [5] d’Anne Canteaut, qui a légèrement
modifié l’algorithme original de Leon tout en respectant très fidèlement ses grands principes.
Algorithme de Leon généralisé sur F q (version modifiée avec paramètres p et l)
Tant qu’un vecteur d’erreurs de poids inférieur ou égal à t n’a pas été trouvé :
1. Choisir aléatoirement un ensemble d’information I et un ensemble L de l positions
de redondance.
2. A l’aide d’une élimination de Gauss, mettre G sous la forme suivante U −1 G =
(Id k |Z L |Z J\L ) et décomposer c sous la forme (c I |c L |c J\L ).
3. Pour tous les vecteurs e ′ i de longueur k et de poids i ≤ p,
calculer t ′ = wt(c L − (c I − e ′ i )Z L).
– Si t ′ ≤ p − i, calculer wt(c J\L − (c I − e ′ i )Z J\L).
– Si de plus ce poids est inférieur ou égal à t − t ′ − i,
alors e = (e ′ I |c L − (c I − e ′ i )Z L|c J\L − (c I − e ′ i )Z J\L et m = (c I − e ′ i )U −1 .
Coût de l’algorithme : La probabilité pour que l’ensemble S = I ∪L contienne au plus p positions
p∑
d’erreur est Q L(p,l) = 1 ( n−t t
k+l−i)(
i)
.
( k+l)
n
i=0
Ainsi le facteur de travail de l’algorithme de Leon est W L(p,l) = 1
Q L(p,l )
× F (p, l), où F (p, l) est
une fonction des deux paramètres représentant le nombre d’opérations de chaque itération de
l’algorithme.
7

On retrouve W L(p,0) = W p car si on ne considère pas l’ensemble L, on effectue exactement
l’algorithme de Lee-Brickell.
Les paramètres proposés heuristiquement par Leon sont p = 2 et l = 2.
2.5 Algorithme de Stern généralisé sur F q
L’algorithme que présente Stern dans son article [10] est encore une amélioration des algorithmes
précédents, et est particulièrement proche de celui de Leon.
La différence est que Stern divise à chaque itération l’ensemble d’information I en deux parties
égales I 1 et I 2 et ne corrige que les vecteurs d’erreur dont les restrictions à I 1 et I 2 sont de poids
exactement p et qui s’annulent sur L (voir FIGURE 4).
Figure 4 – Motifs d’erreurs corrigés par l’algorithme de Stern,
avec I = I 1 ∪ I 2 , |I 1 | = ⌊ ⌋
k
2 , |I2 | = ⌈ ⌉
k
2 et |L| = l.
Le choix de ces motifs d’erreurs particuliers est justifié par le fait qu’ils peuvent être détectés
très facilement : le partage de l’ensemble d’information en deux parties égales induit un partage
similaire des lignes de la matrice génératrice. L’algorithme reste, hormis le partage en deux de
I et l’annulation sur L, exactement le même que celui de Leon.
Explication de l’algorithme : On a toujours U −1 G = (Id k |Z L |Z J\L ) et c = (c I |c L |c J\L ).
Si on choisit deux vecteurs e ′ 1 et e′ 2 de longueur respective ⌊ ⌋ ⌈
k
2 et k
⌉
2 et de poids p,
on veut que le vecteur d’erreur s’annule sur L, c’est à dire c L = (c I − (e ′ 1 |e′ 2 ))Z L.
Si ceci se vérifie, il reste à vérifier si c J\L − (c I − (e ′ 1 |e′ 2 ))Z J\L a un poids inférieur ou égal à
t − 2p. Dans ce cas, on a alors (e ′ 1 |e′ 2 ) = e I et m = (c I − (e ′ 1 |e′ 2 ))U −1 .
Coût de l’algorithme :
- La probabilité que I contienne 2p positions d’erreurs est Q S1 = ( 2p)( t
k−2p)
n−t
.
( n k)
- La probabilité que I 1 contienne p positions d’erreurs parmi ces 2p est Q S2 = (2p p )
4p
2p∑ )
(car = 2 2p = 4 p ).
i=0
( 2p
i
- La probabilité que L ne contienne aucune positions d’erreurs est Q S3 = (n−k−t+2p
Ainsi la probabilité que le vecteur d’erreur corresponde au motif est
( t
)( n−t 2p
2p k−2p)(
p
Q S(p,l) = Q S1 × Q S2 × Q S3 = ( n
(
k)
4p
n−k
l
)( n−k−t+2p
l
)
) .
l )
( n−k
l )
.
8

Algorithme de Stern généralisé sur F q (avec paramètres p et l)
Tant qu’un vecteur d’erreurs de poids inférieur ou égal à t n’a pas été trouvé :
1. Choisir aléatoirement un ensemble d’information I et un ensemble L de l positions
de redondance.
2. A l’aide d’une élimination de Gauss, mettre G sous la forme suivante U −1 G =
(Id k |Z L |Z J\L ) et décomposer c sous la forme (c I |c L |c J\L ).
3. Diviser aléatoirement les lignes de la matrice (Z L |Z J\L ) en deux parties de même
taille
4. Pour tous les vecteurs e ′ 1 de longueur ⌊ k
2
⌋
et de poids p, calculer e
′
1 Z 1 L .
5. Pour tous les vecteurs e ′ 2 de longueur ⌈ k
2
⌉
et de poids p, calculer e
′
2 Z 2 L .
6. Pour tout couple (e ′ 1 , e′ 2 ) tel que c L = c I Z L − e ′ 1 Z1 L − e′ 2 Z2 L ,
calculer wt(c J\L − c I Z J\L + e ′ 1 Z1 J\L + e′ 2 Z2 J\L ) = wt(c J\L − (c I − (e ′ 1 |e′ 2 ))Z J\L).
7. Si ce poids est inférieur ou égal à t − 2p,
alors e = (e ′ 1 |e′ 2 |0 · · · 0|c J\L − (c I − (e ′ 1 |e′ 2 ))Z J\L) et m = (c I − (e ′ 1 |e′ 2 ))U −1 .
Le facteur total de travail de l’algorithme de Stern est donc de
W S(p,l) = 1
Q S(p,l)
× G(p, l),
où G(p, l) est une fonction des deux paramètres représentant le nombre d’opérations de chaque
itération de l’algorithme.
Une étude asymptotique de la complexité de l’algorithme de Stern a conduit Florent Chabaud
[11] à proposer les paramètres p = 2 ou 3, selon la mémoire disponible, et l = log 2 k.
9

2.6 Synthèse
J’ai ainsi présenté diverses améliorations chronologiques et généralisations du décodage par
ensembles d’information. Toutes ces méthodes sont reprises et comparées dans la TABLE 1
réalisée par A. Canteaut.
Décodage par ensembles
d’information
Algorithme de
Lee-Brickell
Algorithme de
Leon
Algorithme de
Stern
2 80,7 p = 2
p = 2 et l = 2 p = 2 et l = 9
2 71,2 2 70,7 2 69,9
Table 1 – Facteur de travail des algorithmes présentés précédemment pour cryptanalyser le
système de McEliece correspondant à l’utilisation d’un [1024, 524, 101] code.
Comme le suggère l’équivalence des cryposystèmes de McEliece et Niederreiter, chacun des
algorithmes présentés précédemment peuvent être approchés de façon duale, c’est à dire en utilisant
une matrice de parité plutôt qu’une matrice génératrice.
De même, plutôt que d’utiliser un algorithme de décodage jusqu’à la distance t, on peut
aussi se servir d’un algorithme de recherche ( ) de mots de poids minimal.
G
En effet, la matrice génératrice G ′ = est la matrice du [n, k + 1] code linéaire C
c ′ formé par
la réunion du code C et du coset C+c, a pour unique mot de poids minimal le vecteur recherché e.
Ainsi tout algorithme de recherche de mots de poids minimal est potentiellement un algorithme
de décodage. Il apparaît que tous les algorithmes présentés précédemment peuvent être
appréhendés de ce point de vue. C’était d’ailleurs l’approche originale des algorithmes de Leon
et Stern.
Ces modifications, certes minimes, induisent quelques variations des facteurs de travail.
La prochaine section présentera un algorithme dont le facteur de travail se révèlera meilleur
que ceux présentés jusque là.
10

3 Algorithme de Canteaut-Chabaud généralisé sur F q
Les articles qui m’ont permis de rédiger cette partie, la plus importante et la plus conséquente,
sont ceux réalisés par Anne Canteaut en collaboration avec Hervé Chabanne [12], Florent Chabaud
[13] et Nicolas Sendrier [14], ainsi que de sa thèse personnelle [5].
Les meilleurs algorithmes généraux de décodage et de recherche de mots de poids minimal
dans un code linéaire aléatoire sont tous des variantes de l’algorithme de décodage par ensembles
d’information. Ils ont tous le même but : explorer les ensembles d’information jusqu’à ce que le
mot initial (ou de manière équivalente le vecteur d’erreurs) soit retrouvé. Ils sont par conséquent
tous conçus suivant le même schéma : ils explorent une succession d’ensembles d’information
choisis aléatoirement, effectuant pour chacun d’eux une élimination de Gauss sur la matrice
génératrice du code puis quelques opérations sur sa forme systématique, et finalement tentent
de trouver des mots de poids faible avec quelques propriétés et opérations sur l’ensemble de
redondance.
Les algorithmes introduits par Lee-Brickell, Leon et Stern visaient tous à réduire le coût
relatif de l’élimination de Gauss dans le décodage par ensembles d’information, puisque, initialement,
cette procédure représentait 99, 9% des calculs pour décoder un code aléatoire de
longueur 512 et de dimension 256. Bien que le temps de calcul soit mieux réparti entre les
différentes procédures dans l’algorithme de Stern, la mise sous forme systématique de la matrice
génératrice reste relativement coûteuse (surtout quand le nombre d’effacements p est faible).
Cette constatation a donc amené A. Canteaut à imaginer un nouvel algorithme de décodage
dans lequel les formes systématiques successives de la matrice G pourraient se déduire les unes
des autres sans que l’on ait recours à une élimination de Gauss. Cela impose alors que les
différents ensembles d’information ne soient plus indépendants.
La disparition de l’élimination de Gauss diminue considérablement le nombre d’opérations effectuées
à chaque itération. Toutefois, le nombre moyen d’itérations augmente dès lors que les ensembles
d’information examinés ne sont plus indépendants. Malgré tout, cela permet d’améliorer
les attaques précédentes des cryptosystèmes à mots de poids faible.
3.1 Principe de la méthode itérative généralisée sur F q
Cette méthode consiste à ne plus examiner à chaque nouvelle itération un ensemble d’information
complètement indépendant du précédent (ce qui nécessite une élimination de Gauss
complète pour mettre la matrice génératrice sous forme systématique), mais à en choisir un qui
ne diffère du précédent que par un élément.
Cette idée est formalisée par la notion d’ensembles d’information voisins.
N représente toujours l’ensemble {1, . . . , n}.
Définition 3.1. Deux ensembles d’information I et I ′ sont voisins si |I \ I ′ | = |J \ J ′ | = 2,
c’est à dire si ∃λ ∈ I et µ ∈ J tels que I ′ = (I \ {λ}) ∪ {µ} (avec J = N \ I).
Le résultat suivant motive l’utilisation des ensembles d’information voisins.
11

Proposition 3.2. Soient I et I ′ deux ensembles d’information. Il existe alors une suite finie
d’ensembles d’information voisins reliant I à I ′ .
Démonstration. Il suffit de considérer le graphe dont les sommets sont les ensembles d’information
et dont les arêtes relient deux ensembles d’information si et seulement s’ils sont voisins.
Ce graphe est alors connexe, ce qui traduit bien notre proposition.
Cette suite va pouvoir être utilisée pour générer les ensembles d’information successifs examinés
dans les algorithmes de décodage précédemment étudiés. La proposition suivante explique
comment choisir λ et µ tels que I ′ reste un ensemble d’information.
Proposition 3.3. Soit I un ensemble d’information pour le code C et G = (U, V ) I la matrice
génératrice associée. Soit λ un élément de I et µ un élément de J = N \ I.
Alors l’ensemble I ′ = (I \ {λ}) ∪ {µ} est un ensemble d’information pour C si et seulement si
z λ,µ ≠ 0, où Z = U −1 V = (z i,j ) i∈I, j∈J .
Démonstration.
Z est définie par Z = U −1 V , c’est à dire V = UZ, avec V = (G j ) j∈J et U = (G i ) i∈I .
On obtient alors les relations de dépendance linéaire suivantes sur les colonnes de G
∀j ∈ J, G j = ∑ i∈I
z i,j G i .
Les colonnes d’indice λ et µ sont donc en particulier liées par
G µ = z λ,µ G λ +
∑
z i,µ G i .
i∈I\{λ}
Puisque les colonnes indexées par I sont linéairement indépendantes,
les colonnes G µ et (G i ) i∈I\{λ} le sont aussi si et seulement si z λ,µ est non nul.
Si I est un ensemble d’information, donc de taille k, on peut indexer les lignes de Z par les
indices de I (puisqu’aux colonnes indexées par I, U −1 G est l’identité).
On notera Z i la i-ème ligne de Z.
Puisque tous les algorithmes précédant utilisent la matrice G sous la forme systématique
U −1 G = (Id k , Z) I , correspondant à I, on a juste besoin d’une procedure permettant d’obtenir
la matrice sous forme systématique U ′−1 G = (Id k , Z ′ ) I ′, correspondant à I ′ , à partir de U −1 G.
En d’autres termes, on a besoin de savoir comment passer de Z (qui correspond à I) à Z ′ (qui
correspond à I ′ ).
Cette mise à jour va se faire à l’aide d’une procédure de pivot, et non plus d’une élimination
de Gauss, comme le montre le résultat suivant :
12

Proposition 3.4. Soient I et I ′ deux ensembles d’information voisins tels que
I ′ = (I \ {λ}) ∪ {µ}.
Soient U −1 G = (Id k , Z) I et U ′−1 G = (Id k , Z ′ ) I ′ les matrices génératrices sous forme systématique
associées. Alors Z ′ se déduit de Z par :
. ∀i ∈ I \ {λ} = I ′ \ {µ}, ∀j ∈ J \ {µ} = J ′ \ {λ}, z ′ i,j = z i,j − z λ,j×z i,µ
z λ,µ
. ∀j ∈ J \ {µ} = J ′ \ {λ}, z ′ µ,j = z λ,j
z λ,µ
. ∀i ∈ I \ {λ} = I ′ \ {µ}, z ′ i,λ = − z i,µ
z λ,µ
. z ′ µ,λ = 1
z λ,µ
Démonstration.
Dans cette démonstration, nous noterons G = (g i,j ) 1≤i≤k,1≤j≤n , U = (u i,j ) i,j∈I , U −1 = (u −1
i,j ) i,j∈I
et, quitte à changer d’indices, nous supposerons que I = {1, · · · , k} et J = {k + 1, · · · , n − k}.
Le choix d’un λ et d’un µ valables au vu de la proposition précédente implique un échange des
colonnes d’indice λ et µ de G.
⎛ 1 λ−1 λ λ+1 k ⎞
0 · · · 0 g 1,µ − g 1,λ 0 · · · 0
.
En d’autres termes U ′ = U + A, avec A =
. 0 . g i,µ − g i,λ . 0 .
.
⎜
⎟
⎝
.
⎠
0 · · · 0 g k,µ − g k,λ 0 · · · 0
⎛
1 µ−1 µ µ+1 n−k⎞
0 · · · 0 g 1,λ − g 1,µ 0 · · · 0
.
Parallèlement, on a aussi V ′ = V + B, avec B =
. 0 . g i,λ − g i,µ . 0 .
.
⎜
⎟
⎝
.
⎠
0 · · · 0 g k,λ − g k,µ 0 · · · 0
Ainsi
Z ′ = U ′−1 V ′
= (U + A) −1 (V + B)
= [U(Id + U −1 A)] −1 (V + B)
= [Id + U −1 A] −1 (Z + U −1 B).
Le problème ici est de pouvoir inverser la matrice Id+U −1 A sans le faire de manière ”brute”.
En effet, l’idée de l’algorithme de Canteaut-Chabaud dans le cas binaire est d’éviter de refaire
à chaque itération une élimination de Gauss qui coûte cher et donc de faire une mise à jour de
la matrice Z entre deux itérations (qui ne sont plus indépendantes).
On veut reprendre le même principe ici : trouver une expression simple de l’inverse de la
matrice Id + U −1 A et mettre à jour la matrice Z.
13

Regardons plus attentivement U −1 A et (U −1 A) 2
⎛
λ
⎞
0 · · · 0 α 1,λ 0 · · · 0
On a U −1 ⎜
A = (α i,j ) i,j∈I = ⎝
.
. .. . . . . ..
⎟
. ⎠.
0 · · · 0 α k,λ 0 · · · 0
La seule colonne non nulle de cette matrice est donc (U −1 A) λ .
⎛
λ
⎞
0 · · · 0 × 0 · · · 0
De même, (U −1 A) 2 ⎜
est aussi de la forme ⎝
.
. .. . . . . ..
⎟
. ⎠,
0 · · · 0 × 0 · · · 0
de colonne non nulle égale à α λ,λ × (U −1 A) λ .
En d’autres termes : (U −1 A) 2 = α λ,λ × U −1 A .
Calculons ce α λ,λ
∑
On a α λ,λ = k
i=1
. Calculer k ∑
u −1
λ,i (g i,µ − g i,λ ) = k ∑
i=1
i=1
u −1
λ,i × g i,µ − k ∑
i=1
u −1
λ,i × g i,λ.
u −1
λ,i × g i,µ c’est calculer le produit de la ligne d’indice λ de U −1 par la colonne
d’indice µ de G : (U −1 ) λ × G µ = (U −1 ) λ × V µ , car µ ∈ J.
Or U −1 V = Z d’où (U −1 ) λ ∑
× V µ = z λ,µ = k u −1
λ,i × g i,µ.
. Calculer k ∑
i=1
i=1
u −1
λ,i × g i,λ c’est calculer le produit de la ligne d’indice λ de U −1 par la colonne
d’indice λ de G : (U −1 ) λ × G λ = (U −1 ) λ × U λ , car λ ∈ I.
Or U −1 U = Id d’où (U −1 ) λ ∑
× U λ = 1 = k u −1
λ,i × g i,λ.
Par conséquent, on a trouvé α λ,λ = z λ,µ − 1
et plus généralement on peut même étendre α i,λ = z i,µ , ∀i ∈ I \ {λ} .
Petite astuce (en effet, au vu de la proposition précédente, z λ,µ ≠ 0)
On a prouvé (U −1 A) 2 = (z λ,µ − 1) × U −1 A. Ce qui équivaut successivement à :
i=1
(U −1 A) 2 = z λ,µ (1 − 1 ) × U −1 A
z λ,µ
1
(U −1 A) 2 = (1 − 1 ) × U −1 A
z λ,µ z λ,µ
1
(U −1 A) 2 = U −1 A − 1 × U −1 A
z λ,µ z λ,µ
14

Ainsi
U −1 A − 1
z λ,µ
× U −1 A − 1
z λ,µ
(U −1 A) 2 = 0
U −1 A − 1
z λ,µ
× U −1 A(Id + U −1 A) = 0
Id + U −1 A − 1
z λ,µ
× U −1 A(Id + U −1 A) = Id
(Id + U −1 A)(Id − 1
z λ,µ
× U −1 A) = Id
En d’autres termes : [Id + U −1 A] −1 = Id − 1
z λ,µ
× U −1 A.
On a donc réussi à inverser la matrice Id + U −1 A sans calcul direct mais en l’exprimant à l’aide
de matrices simples et déjà connues auparavant.
On peut maintenant remplacer ce résultat dans la formule suivante :
Z ′ = [Id + U −1 A] −1 (Z + U −1 B)
Z ′ = (Id − 1
z λ,µ
× U −1 A)(Z + U −1 B)
Et on obtient finalement Z ′ = Z + U −1 B − 1
z λ,µ
× U −1 AZ − 1
z λ,µ
× U −1 AU −1 B .
Calculons les éléments de cette somme
⎛
µ
⎞
0 · · · 0 β 1,µ 0 · · · 0
* U −1 ⎜
B = (β i,j ) i∈I,j∈J est de la forme ⎝
.
. .. . . . . ..
⎟
. ⎠,
0 · · · 0 β k,µ 0 · · · 0
de colonne non nulle (U −1 B) µ .
Par symétrie de B avec A, on trouve de la même façon que
β λ,µ = 1 − z λ,µ et β i,µ = −z i,µ , ∀i ∈ I \ {λ}
⎛
λ
⎞
0 · · · 0 α 1,λ 0 · · · 0
* U −1 ⎜
AZ = ⎝
.
. .. . . . . ..
⎟
. ⎠ ×Z = (γ i,j ) i∈I,j∈J
0 · · · 0 α k,λ 0 · · · 0
a la propriété que sa colonne d’indice j est égale à z λ,j × (U − A) λ .
Ce qui peut s’écrire γ λ,j = z λ,j (z λ,µ − 1), ∀j ∈ J et γ i,j = z λ,j × z i,µ , ∀i ∈ I \ {λ}, ∀j ∈ J
⎛
λ
⎞ ⎛
µ
⎞
0 · · · 0 α 1,λ 0 · · · 0 0 · · · 0 β 1,µ 0 · · · 0
* U −1 AU −1 ⎜
B = ⎝
.
. .. . . . . ..
⎟ ⎜
. ⎠ × ⎝
.
. .. . . . . ..
⎟
. ⎠= (δ i,j ) i∈I,j∈J
0 · · · 0 α k,λ 0 · · · 0 0 · · · 0 β k,µ 0 · · · 0
et il est aisé de remarquer que sa colonne d’indice µ est égale à β λ,µ × (U − A) λ .
D’où δ λ,µ = (1 − z λ,µ )(z λ,µ − 1) et δ i,µ = (1 − z λ,µ )z i,µ , ∀i ∈ I \ {λ}
15

Il suffit maintenant de reprendre la formule Z ′ = Z+U −1 B− 1
z λ,µ
U −1 AZ− 1
z λ,µ
U −1 AU −1 B pour
conclure.
. ∀i ∈ I \ {λ} = I ′ \ {µ}, ∀j ∈ J \ {µ} = J ′ \ {λ}, z ′ i,j = z i,j− z λ,j×z i,µ
z λ,µ
. ∀j ∈ J \ {µ} = J ′ \ {λ}, z ′ µ,j = z λ,j− z λ,j(z λ,µ −1)
z λ,µ
= z λ,j
z λ,µ
. ∀i ∈ I \ {λ} = I ′ \ {µ}, z
i,λ ′ = z i,µ−z i,µ − z λ,µ×z i,µ
z λ,µ
− (1−z λ,µ)z i,µ
z λ,µ
. z µ,λ = z λ,µ +1 − z λ,µ − z λ,µ(z λ,µ −1)
z λ,µ
− (1−z λ,µ)(z λ,µ −1)
z λ,µ
= 1
z λ,µ
= −z i,µ
z λ,µ
Ce qui est bien le résultat attendu.
Remarque 3.5. Dans le cas binaire, on retrouve le résultat cité par Anne Canteaut :
(car z λ,µ = 1)
. ∀i ∈ I \ {λ} = I ′ \ {µ}, ∀j ∈ J \ {µ} = J ′ \ {λ}, z ′ i,j = z i,j + z λ,j × z i,µ
. ∀j ∈ J \ {µ} = J ′ \ {λ}, z ′ µ,j = z λ,j
. ∀i ∈ I \ {λ} = I ′ \ {µ}, z ′ i,λ = z i,µ
. z µ,λ = z λ,µ
Remarque 3.6. Dans la pratique, on fera la mise à jour de Z dans cet ordre :
1. z ′ µ,λ ← 1
z λ,µ
2. ∀i ∈ I \ {λ} = I ′ \ {µ}, z ′ i,λ ← −z i,µ × z ′ µ,λ
3. ∀i ∈ I \ {λ} = I ′ \ {µ}, ∀j ∈ J \ {µ} = J ′ \ {λ}, z ′ i,j ← z i,j + z λ,j × z ′ i,λ
4. ∀j ∈ J \ {µ} = J ′ \ {λ}, z ′ µ,j ← z λ,j × z ′ µ,λ
Ce qui représente, en termes de calculs dans le corps F q , en moyenne :
* 1 Inversion
* (k − 1)(n − k − 1)
* (k − 1)(n − k − 1)
(
q−1
q
(
q−1
q
) 2
+ (n − 2)
q−1
) 2
Additions
q
Multiplications
L’emploi de cette procédure itérative considérablement moins coûteuse au vu de cette remarque
(contrairement au αk 3 dans le cas d’une mise sous forme systématique) permet donc
d’améliorer les algorithmes de décodage précédents.
16

3.2 L’algorithme détaillé
L’algorithme de Canteaut-Chabaud n’est rien d’autre que la reprise intégrale du principe de
l’algorithme de Stern (en particulier, on corrige les même motis d’erreurs, voir FIGURE 4) en y
rajoutant tout de même la procédure itérative précédente qui permet de faire le lien entre deux
itérations à un coût bien moindre.
Algorithme de Canteaut-Chabaud généralisé sur F q (avec paramètres p et l)
Initialisation :
Choisir aléatoirement un ensemble d’information I et mettre la matrice G sous forme
systématique U −1 G = (Id k , Z) I à l’aide d’une élimination de Gauss.
Tant qu’un vecteur d’erreurs de poids inférieur ou égal à t n’a pas été trouvé
1. Choisir aléatoirement un ensemble L de l positions de redondance.
Diviser aléatoirement les lignes de la matrice Z = (Z L |Z J\L ) en deux parties de
même taille, Z 1 et Z 2 .
2. Pour tous les vecteurs e ′ 1 de longueur ⌊ k
2
⌋
et de poids p, calculer e
′
1 Z 1 L .
3. Pour tous les vecteurs e ′ 2 de longueur ⌈ k
2
⌉
et de poids p, calculer e
′
2 Z 2 L .
4. Pour tout couple (e ′ 1 , e′ 2 ) tel que c L = c I Z L − e ′ 1 Z1 L − e′ 2 Z2 L ,
calculer wt(c J\L − c I Z J\L + e ′ 1 Z1 J\L + e′ 2 Z2 J\L ) = wt(c J\L − (c I − (e ′ 1 |e′ 2 ))Z J\L).
5. Si ce poids est inférieur ou égal à t − 2p,
alors e = (e ′ 1 |e′ 2 |0 · · · 0|c J\L − (c I − (e ′ 1 |e′ 2 ))Z J\L) et m = (c I − (e ′ 1 |e′ 2 ))U −1 .
6. Sinon on choisit aléatoirement λ dans I et µ dans J.
Si z λ,µ ≠ 0, on met à jour la matrice Z à l’aide de la procédure itérative :
. z µ,λ ← 1
z λ,µ
. z i,λ ← −z i,µ × z µ,λ , ∀i ∈ I \ {λ} = I ′ \ {µ}
. z i,j ← z i,j + z λ,j × z i,λ , ∀i ∈ I \ {λ} = I ′ \ {µ}, ∀j ∈ J \ {µ} = J ′ \ {λ}
. z µ,j ← z λ,j × z µ,λ , ∀j ∈ J \ {µ} = J ′ \ {λ}
et on remplace I par (I \ {λ}) ∪ {µ}. Retour à l’étape 1.
3.3 Temps de calcul théorique de l’algorithme
Cette analyse est primordiale afin de trouver les valeurs de p et l qui minimise le coût de
l’algorithme.
Contrairement aux algorithmes de la partie précédente, les itérations successives de l’algorithme
de Canteaut-Chabaud ne sont pas indépendantes. La méthode utilisée pour calculer le
17

nombre moyen d’itérations n’est donc plus valable, et il est nécessaire de modéliser cet algorithme
par un processus stochastique à temps discret.
Cette modélisation consiste à associer à chaque itération de l’algorithme de décodage une
variable aléatoire qui décrit la distribution des positions erronées suivant la décomposition
(I 1 , I 2 , L, J \ L).
L’algorithme atteint alors un état de succès lorsque cette décomposition correspond à un
des motifs d’erreurs que l’on souhaite décoder. Dans la plupart des cas, il suffit pour décrire
l’itération de considérer le nombre de positions erronées contenues par l’ensemble d’information.
Toutefois, quand ce nombre correspond à un des effacements autorisés par l’algorithme, il est
nécessaire de distinguer si l’on se trouve dans un état de succès ou un état d’échec.
Ainsi, la i-ème itération peut être représentée par une variable aléatoire X i qui correspond au
nombre de 1 du vecteur e sur l’ensemble d’information I = I 1 ∪ I 2 . Cette variable peut prendre
ses valeurs dans l’ensemble {1, · · · , t}. Cependant, si elle prend la valeur 2p, il faut distinguer
deux cas, suivant que l’on se trouve ou non en possession d’un motif d’erreurs favorable (voir
FIGURE 4).
Dans la définition suivante, supp(e) désigne naturellement le support de e.
Définition 3.7. (Processus stochastique associé à l’algorithme de Canteaut-Chabaud)
Soit (I 1 , I 2 , L, J \ L) la décomposition de N = {1, · · · , n} associée à l’itération i de l’algorithme
de Canteaut-Chabaud et I = I 1 ∪ I 2 .
A cette itération est associée une variable aléatoire X i prenant ses valeurs dans l’espace des états
E = {0, · · · , 2p − 1} ∪ {(2p) F , (2p) S } ∪ {2p + 1, · · · , t}
de la manière suivante :
X i = u ssi |I ∩ supp(e)| = u, ∀u ≠ 2p
X i = (2p) F ssi |I ∩ supp(e)| = 2p et (|I 1 ∩ supp(e)| ≠ p ou |L ∩ supp(e)| ≠ 0)
X i = (2p) S ssi |I ∩ supp(e)| = 2p et |I 1 ∩ supp(e)| = p et |L ∩ supp(e)| = 0
L’ensemble des états de succès est donc : S = {(2p) S }
et celui des états d’échec est : F = {0, · · · , 2p − 1} ∪ {(2p) F } ∪ {2p + 1, · · · , t}
Un petit rappel sur les chaînes de Markov :
Définition 3.8.
∗ Un processus stochastique {X i } i∈N est une chaîne de Markov si la probabilité d’accéder à un
certain état ne dépend seulement que du dernier état occupé.
∗ Une chaîne de Markov {X i } i∈N est homogène si pour tous états u et v, la probabilité conditionnelle
P r[X i = v/X i−1 = u] ne dépend pas de l’itération i.
Cette probabilité est alors dénotée par P u,v et, si l’espace d’états est fini, la matrice
P = (P u,v ) (u,v)∈E 2 est appelée la matrice de transition de la chaîne.
On obtient le résultat important suivant :
Proposition 3.9. Le processus stochastique {X i } i∈N associé à l’algorithme de décodage de
Canteaut-Chabaud est une chaîne de Markov homogène.
Démonstration. Les ensembles I, I 1 , I 2 et L correspondant à l’itération i ne dépendent que de
l’ensemble d’information précédent, puisqu’ils sont choisis aléatoirement à chaque itération.
Ainsi, pour toute itération i et pour tout ensemble d’états (u 0 , u 1 , · · · , u i ) ∈ E i+1 , on a :
P r[X i = u i /X i−1 = u i−1 , X i−2 = u i−2 , · · · , X 0 = u 0 ] = P r[X i = u i /X i−1 = u i−1 ].
18

De plus, cette probabilité ne dépend pas de l’itération i et il existe alors une matrice P telle
que :
∀i ∈ N, ∀(u, v) ∈ E 2 , P r[X i = v/X i−1 = u] = P u,v
La chaîne de Markov {X i } i∈N est donc entièrement déterminée par sa distribution initiale
π 0 = (P r[X 0 = u]) u∈E et sa matrice de transition P . Ces deux quantités peuvent être facilement
déterminées puisque deux ensembles d’information successifs ne varient que d’un élément.
Proposition 3.10. (Matrice de transition du processus stochastique associé à l’algorithme
de Canteaut-Chabaud)
La matrice de transition P à (t + 2) lignes et (t + 2) colonnes de la chaîne de Markov associée
à l’algorithme de Canteaut-Chabaud est donnée par :
P u,u = k − u
k
×
n − k − (t − u)
n − k
+ u k × t − u
n − k , ∀u /∈ {(2p) S, (2p) F } (1)
P u,u−1 = u n − k − (t − u)
× , ∀u ≠ 2p + 1 (2)
k n − k
P u,u+1 = k − u × t − u , ∀u ≠ 2p − 1 (3)
k
[
n − k
]
2p + 1 n − k − (t − (2p + 1))
P 2p+1,(2p)F = (1 − β) × (4)
k
n − k
[ ]
2p + 1 n − k − (t − (2p + 1))
P 2p+1,(2p)S = β × (5)
k
n − k
[ ]
k − (2p − 1) t − (2p − 1)
P 2p−1,(2p)F = (1 − β)
× (6)
k
n − k
[ ]
k − (2p − 1) t − (2p − 1)
P 2p−1,(2p)S = β
× (7)
k
n − k
[ k − 2p n − k − (t − 2p)
P (2p)F ,(2p) F
= (1 − β) × + 2p
k n − k k × t − 2p ]
(8)
n − k
[ k − 2p n − k − (t − 2p)
P (2p)F ,(2p) S
= β × + 2p
k n − k k × t − 2p ]
(9)
n − k
P (2p)S ,(2p) S
= 1 (10)
P u,v = 0, pour tous les autres cas (11)
avec β = P r[X i = (2p) S /|I ∩ supp(e)| = 2p] = (2p p )( k−2p
k
2
−p )
( k k
2
)
× (n−k−(t−2p) l )
( n−k
l )
Proposition 3.11. (Distribution initiale du processus markovien associé à l’algorithme
de Canteaut-Chabaud)
De même que précédemment, la distribution initiale de probabilité π 0 est donnée par :
( t n−t
)
π 0 (u) =
u)(
k−u
( n
, ∀u /∈ {(2p) S , (2p) F } (12)
k)
π 0 ((2p) F ) = (1 − β) × π 0 (2p) (13)
π 0 ((2p) S ) = β × π 0 (2p) (14)
avec β = P r[X i = (2p) S /|I ∩ supp(e)| = 2p] = (2p p )( k−2p
k
2
−p )
( k k
2
)
× (n−k−(t−2p) l )
( n−k
l )
19

La chaîne de Markov associée à l’algorithme est apériodique.
L’état (2p) S est un état absorbant, c’est à dire qu’on ne peut plus sortir de cet état une fois
qu’on y est rentré.
Un état transient est un état non absorbant. Ainsi, F est l’ensemble des états transients.
La chaîne {X i } i∈N est donc une chaîne de Markov absorbante.
Une propriété classique des chaînes absorbantes apériodique ayant un nombre fini d’états est
que, quelque soit l’état initial du processus, la probabilité pour qu’il soit dans un état transient
après n itérations tend vers 0 quand n tend vers l’infini. Cette propriété traduit le théorème
suivant :
Théorème 3.12. L’algorithme itératif de Canteaut-Chabaud pour le décodage est convergent.
La propriété de chaîne absorbante permet également d’expliciter le nombre moyen d’itérations
effectuées par l’algorithme.
On peut dans un premier temps associer à toute chaîne absorbante sa matrice fondamentale,
définie comme suit :
Proposition 3.13. (Matrice fondamentale d’une chaîne de Markov absorbante)
Soit {X i } i∈N une chaîne de Markov absorbante ayant un nombre fini d’états et P sa matrice de
transition.
Soit Q la restriction de P aux états transients de la chaîne, c’est à dire Q = (P u,v ) (u,v)∈F 2.
Alors la matrice (Id − Q) est inversible et son inverse R, appelé matrice fondamentale, est
donnée par :
∞∑
R = (Id − Q) −1 = Q m
Dans un second temps, grâce à cette matrice fondamentale, on va enfin obtenir le nombre
moyen d’itérations effectuées par l’algorithme :
Théorème 3.14. (Nombre moyen d’itérations de l’algorithme)
Soit {X i } i∈N la chaîne de Markov associée à l’algorithme de Canteaut-Chabaud, π 0 sa distribution
initiale de probabilité et R sa matrice fondamentale.
L’espérance du nombre d’itérations N effectuées par cet algorithme est
E(N) = ∑ i∈F
m=0
π 0 (i) ∑ j∈F
R i,j
où F est l’ensemble des états d’échec de la chaîne.
Proposition 3.15. En conclusion, le facteur total de travail de l’algorithme de Canteaut-
Chabaud généralisé sur F q est W p,l = E(N) × Ω p,l , où Ω p,l représente :
* 1 Inversion
* k(n−k)
(n − 2) q−1
* k(n − k)
(
q−1
q
q
(
q−1
q
(k − 1)(n − k − 1)
) 2
+2pl
q−1
q
×
Multiplications
) 2 (
+ (2p − 1)l
q−1
(
q−1
q
( k
)
2
+2p(n−k−l) q−1
p
q
× 1 ×
q l
q
) ( 2 k
)
×
2
+ 2p(n − k − l)
p
) 2
Additions
20
( k
) 2
2
+(k−1)(n−k−1)
p
( ) 2 q−1
q ×
1
×
q l
( k
) 2
2
+
p
( ) 2 q−1
q +

Démonstration. Le nombre d’opérations effectuées en moyenne à chaque itération se décompose
de la manière suivante :
1. Le calcul de
(
c J −
)
c I Z nécessite
2
* k(n − k) q−1
q Multiplications
( ) 2
* k(n − k) q−1
q Additions
( k
)
2. Pour chacun des
2
vecteurs e ′ 1
p
, le calcul de e′ 1 Z1 L nécessite
* pl q−1
q
Multiplications
) 2
* (p − 1)l Additions
(
q−1
q
et celui de c L − c I Z L + e ′ 1 Z1 L
ne nécessite plus que
( ) 2
* l q−1
q Additions
( k
)
3. De même, pour chacun des
2
vecteurs e ′ 2
p
, le calcul de e′ 2 Z2 L nécessite
* pl q−1
q
Multiplications
) 2
* (p − 1)l Additions
(
q−1
q
4. Le nombre de collisions, c’est à dire le nombre de couples (e ′ 1 , e′ 2 ) tels que
c L − c I Z L + e ′ 1 Z1 L = −e′ 2 Z2 L , est (
1 k
) 2
q l × 2
p
et pour chacune de ces collisions, le calcul de c J\L − c I Z J\L + e ′ 1 Z1 J\L + e′ 2 Z2 J\L nécessite :
* 2p(n − k − l) q−1
* 2p(n − k − l)
q
(
q−1
q
Multiplications
) 2
Additions
5. Le coût moyen de la mise à jour de Z a été fait dans la remarque 0.4.
On retrouve bien le résultat donné en additionnant chaque partie.
Combien coûte :
→ le test d’égalité de deux vecteurs ? (c L − c I Z L + e ′ 1 Z1 L = −e′ 2 Z2 L )
→ le calcul du poids d’un vecteur ? (wt(c J\L − c I Z J\L + e ′ 1 Z1 J\L + e′ 2 Z2 J\L ))
→ l’allocation dynamique de la mémoire ? (voir page 66 thèse Anne)
21

Table des matières
Résumé 1
1 Introduction 1
1.1 Généralités sur les codes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2 Cryptanalyse du système de McEliece 3
2.1 Algorithmes exhaustifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2 Décodage par ensembles d’information généralisé sur F q . . . . . . . . . . . . . . 4
2.3 Algorithme de Lee-Brickell généralisé sur F q . . . . . . . . . . . . . . . . . . . . . 5
2.4 Algorithme de Leon généralisé sur F q . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.5 Algorithme de Stern généralisé sur F q . . . . . . . . . . . . . . . . . . . . . . . . 8
2.6 Synthèse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3 Algorithme de Canteaut-Chabaud généralisé sur F q 11
3.1 Principe de la méthode itérative généralisée sur F q . . . . . . . . . . . . . . . . . 11
3.2 L’algorithme détaillé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.3 Temps de calcul théorique de l’algorithme . . . . . . . . . . . . . . . . . . . . . . 17
Références 23
22

Références
[1] E.R. Berlekamp, R.J. McEliece and H.C.A. Van Tilborg. ”On the inherent intractability
of certain coding problems”. IEEE Trans. Inform. Theory, vol. IT-24 : pages 384-386, mai
1978.
[2] R.J. McEliece. ”A public-key cryptosystem based on algebraic coding theory”. JPL DSN
Progress Report 42-44, pages 114-116, janvier 1978.
[3] H. Niederreiter. ”Knapsack-type cryptosystems and algebraic coding theory”. Problems of
Control and Information Theory, 15(2) : pages 159-166, 1986.
[4] W. Diffie et M.E. Hellman. ”New directions in Cryptography”. IEEE Trans. Inform. Theory,
vol. IT-22 : pages 644-654, novembre 1976.
[5] A. Canteaut. ”Attaques de cryptosystèmes à mots de poids faible et construction de fonctions
t-résilientes”. Ph.D. dissertation, Univ. Paris 6, octobre 1996.
[6] T.A. Berson. ”Failure of the McEliece public-key cryptosystem under message-resend and
related-message attack”. Lecture Notes in Computer Science, Advances in Cryptology -
CRYPTO ’97, vol. 1294, pages 213-220, août 1997.
[7] E. Prange. ”The use of information sets in decoding cyclic codes”. IEEE Transactions, vol.
IT-8, pages S5-S9, septembre 1962.
[8] P.J. Lee et E.F. Brickell. ”An observation on the security of McEliece’s public-key cryptosystem”.
Lecture Notes in Computer Science, Advances in Cryptology - EUROCRYPT’88,
vol. 330, pages 275-280, Springer-Verlag, mai 1988.
[9] J.S. Leon. ”A probabilistic algorithm for computing minimum weights of large errorcorrecting
codes”. IEEE Trans. Inform. Theory, vol. IT-34(5), pages 1354-1359, septembre
1988.
[10] J. Stern. ”A method for finding codewords of small weight”. Lecture Notes in Computer
Science, Coding Theory and Applications, vol. 388, pages 106-113, Springer-Verlag, 1989.
[11] F. Chabaud. ”Asymptotic analysis of probabilistic algorithms for finding short codewords”.
CISM Courses and Lectures - EUROCODE 92, vol. 339, pages 175-183, 1992.
[12] A. Canteaut et H. Chabanne. ”A further improvement of the work factor in an attempt at
breaking McEliece’s cryptosystem”. EUROCODE 94, P. Charpin, Ed., INRIA, mars 1994.
[13] A.Canteaut et F. Chabaud. ”A new algorithm for finding minimum-weight words in a linear
code : application to McEliece’s cryptosystem and to narrow-sense BCH codes of length
511”. IEEE Trans. Inform. Theory, vol. IT-44 : pages 367-378, janvier 1998.
[14] A. Canteaut et N. Sendrier. ”Cryptanalysis of the Original McEliece Cryptosystem”. Lecture
Notes in Computer Science, Advances in Cryptology ASIACRYPT’98, vol. 1514, pages 187-
199, Springer-Verlag, janvier 1998.
[15] C.M. Adams et H. Meijer. ”Security-related comments regarding McEliece’s public-key
cryptosystem”. Lecture Notes in Computer Science, Advances in Cryptology - CRYPTO
’87, vol. 293, pages 224-228, Springer-Verlag, août 1987.
[16] D.J. Bernstein, T. Lange et C. Peters. ”Attacking and defending the McEliece cryptosystem”.
Lecture Notes in Computer Science, PQCrypto 2008, vol. 5299, pages 31-46, Springer-
Verlag, août 2008.
23