经典McEliece

4.1.符号指南

下表介绍了本规范中使用的符号。本手册仅供参考；对于完成所列术语的定义，请参阅适当的文本。还使用了其他一些符号偶尔地；在适当的地方在正文中介绍它们。¶

• n： 代码长度（CM参数的一部分）¶

• k： 代码维度（CM参数的一部分）¶

• t： 保证的纠错能力（CM参数的一部分）¶

• q： 所用字段的大小（CM参数的一部分）¶

• m： q的以2为底的对数（CM参数的一部分）¶

• u： 非负整数（CM参数的一部分）¶

• v： 非负整数（CM参数的一部分）¶

• Hash：加密哈希函数（symmetric-cryptronic参数）¶

• HashLen：Hash（对称密码参数）输出的长度¶

• Sigma_1：非负整数（对称加密参数）¶

• Sigma_2：非负整数（对称密码参数）¶

• PRG：伪随机比特生成器（对称密码参数）¶

• g： F_q[x]中的多项式（私钥的一部分）¶

• alpha_i：有限字段F_q的元素（私钥的一部分）¶

• Gamma：（g，alpha_0，…，alpha_{n-1}）（私钥的一部分）¶

• s： 长度为n的位字符串（私钥的一部分）¶

• T： F_2（CM公钥）上的mt*k矩阵¶

• e： 长度为n且汉明重量为t的比特串¶

• C： 封装会话密钥的密文¶

4.2.列矢量与行矢量

F_2^n的元素，例如码字和错误向量，始终被视为列向量。本公约避免所有换位。请注意，这与编码理论中的一个常见约定不同，即将码字作为行向量写入，但要换位码字以应用奇偶校验。¶

4.3.0编号与1编号

为了简化与大多数编程语言中的软件的比较，本规范一致使用从0开始编号的索引，包括行索引、列索引和alpha索引。注意中的约定数学文献有时同意这一点，但有时不同意：例如多项式指数通常从0开始编号，而与多项式指数无关的大多数向量是通常从1开始编号。¶

7.1.矩阵缩减

7.2.Goppa码的矩阵生成

7.3.编码子程序

以下算法Encode接受两个输入：权重t列向量e:=F_2^n；和公钥T，即。，F_2上的mt*k矩阵。算法输出Encode（e，T）是向量C:=F_2^{mt}。以下是算法：¶

1. 定义H=（I_{mt}|T）。¶

2. 计算并返回C=He:=F_2^{mt}。¶

7.4.解码子程序

以下算法Decode将C:=F_2^｛mt｝解码为汉明权重为wt（e）=t的单词e，其中C=He如果有这样一个词；否则返回失败。¶

形式上，解码需要两个输入：向量C:=F_2^{mt}；和Gamma'，某些Gamma的MatGen（Gamma）的最后一个组件使得MatGen（伽玛）！=无。为MatGen（Gamma）的第一个组件写入T。根据MatGen的定义，¶

• T是F_2上的mt*k矩阵；¶

• Gamma’的形式为（g，alpha'_0，alpha’_1，…，alpha'{n-1}）；¶

• g是t次F_q[x]中的一元不可约多项式；和¶

• α'_0，α'_1。。。，α{n-1}是F_q的不同元素。¶

解码有两种可能性（C，Gamma'）：¶

• 如果C=编码（e，T），则解码（C，Gamma'）=e。换句话说，如果存在权重-T向量e:=F_2^n，则C=He，H=（I_{mt}|T），则解码（C，Gamma’）=e。¶

• 如果对于任何权重t向量e:=F_2^n，C的形式都不是He，那么解码（C，Gamma'）=NIL。¶

以下是算法：¶

1. 通过追加k个零，将C扩展到v=（C，0，…，0）：=F_2^n。¶

2. 找到唯一的c:=F_2^n，使得（1）Hc=0和（2）c与v的汉明距离<=t。如果没有如c，返回NIL。¶

3. 设置e=v+c。¶

4. 如果wt（e）=t且C=He，则返回e。否则返回NIL。¶

8.1.不可约多项式生成

以下算法“不可约”采用Sigma_1 t的字符串输入位d_0，d_1。。。，d_{西格玛_1t-1}。它输出NIL或一元不可约度t多项式g:=F_q[x]。以下是算法：¶

1. 定义beta_j=SUM^{m-1}_每个j:={0，1，…，t-1}的{i=0}（d_{Sigma_1j+i}z^i）。（在每组Sigma_1输入位中，这仅使用前m位。算法忽略剩余的位。）¶

2. 定义beta=beta_0+beta_1 y+…+β_｛t-1｝y^｛t-1｝：=F_q[y]/F（y）。¶

3. 计算F_q上beta的最小多项式g。（根据定义g是一元且不可约的，g（beta）=0。）¶

4. 如果g的度数为t，则返回g。否则返回NIL。¶

8.2.现场订单生成

以下算法FieldOrdering采用Sigma_2 q输入位字符串。它输出NIL或序列F_q的q个不同元素的（alpha_0，alpha_1，…，alpha_{q-1}）。以下是算法：¶

1. 取第一个Sigma_2输入位b_0，b_1。。。，b_{Sigma_2-1}作为Sigma_2位整数a_0=b_0+2b_1+…+2^{Sigma_2-1}b_{Sigma-2-1}，取下一个Sigma_2位作为Sigma_2-bit整数a_1，以此类推，直到a{q-1}。¶

2. 如果a_0，a_1。。。，a_q-1不明显，返回NIL。¶

3. 按字典顺序对对（a_i，i）进行排序以获得对（a_pi（i），pi（i）），其中pi是{0，1，…，q-1}。¶

4. 定义alpha_i=SUM^｛m-1｝_{j=0}（π（i）_jz^{m-1-j}）¶

5. 其中pi（i）_j表示pi（i）的第j个最低有效位。（回想一下，有限域F_q被构造为F_2[z]/F（z）。）¶

6. 输出（alpha_0、alpha_1、…、alpha_{q-1}）。¶

8.3.密钥生成

以下随机算法KeyGen不接受任何输入（超出参数）。它输出公钥和私钥。以下是使用以下定义的子例程SeededKeyGen的算法：¶

1. 生成统一的随机HashLen-bit字符串Delta。（这叫做种子。）¶

2. 输出种子KeyGen（Delta）。¶

以下算法SeededKeyGen采用HashLen-bit输入Delta。它输出公钥和私钥。这里是算法：¶

1. 计算E=PRG（Delta），即n+Sigma_2 q+Sigma _1 t+HashLen位的字符串。¶

2. 将Delta定义为E的最后一个HashLen位。¶

3. 将s定义为E的前n位。¶

4. 计算alpha_0。。。，通过FieldOrdering算法从E的下一个Sigma_2 q位中提取alpha_{q-1}。如果此操作失败，请设置Delta=Delta’并重新启动算法。¶

5. 用不可约算法从E的下一个Sigma_1 t位计算g。如果此操作失败，请设置Delta=Delta，然后重新启动算法。¶

6. 定义Gamma=（g，alpha_0，alpha_1，…，alpha_{n-1}）。（请注意，alpha_n，…，alpha_{q-1}不用于Gamma。）¶

7. 计算（T，c｛mt-u｝，…，c｛mt-1｝，Gamma’）=MatGen（Gamma）。如果失败，请设置Delta=Delta'并重新启动算法。¶

8. 将Gamma'写成（g，alpha'_0，alpha'_1，…，alpha’_{n-1}）。¶

9. 输出T作为公钥，输出（Delta，c，g，alpha，s）作为私钥，其中c=（c_{mt-u}，…，c_{mt-1}）和alpha=（α'_0，…，α'{n-1}，α_n，……，α{q-1}）。¶

8.4.固定重量矢量生成

以下随机算法FixedWeight不需要输入。它输出权重为t的向量e:=F_2^n该算法使用下面定义的预计算整数tau=>t。以下是算法：¶

1. 生成Sigma_1 tau均匀随机位b_0、b_1。。。，b_｛Sigma_1 tau-1｝。¶

2. 定义d_j=SUM^{m-1}_{i=0}（b_{Sigma_1j+i}2^i）对于每个j:={0，1，…，τ-1}。（在每组Sigma_1随机位中，使用只有前m位。算法忽略剩余的位。）¶

3. 定义a_0、a_1、…、。。。，a{t-1}作为d_0，d_1，…，中的第一个t项。。。，d_{tau-1}在{0，1，…，n-1}范围内。如果数量较少然后重新启动算法。¶

4. 如果a_0，a_1。。。，a{t-1}并不完全不同，请重新启动算法。¶

5. 将e=（e_0，e_1，…，e_{n-1}）：=F_2^n定义为权重-t向量，使得每个i的e_{a_i}=1。¶

6. 返回e。¶

如果n=q，则整数tau定义为t；如果q/2<=n<q，则为2t；如果q/4<=n<q/2，则为4t；等所有选定的参数集有q/2<=n<=q，所以tau:={t，2t}。¶

8.5.封装

以下随机化算法Encap将公钥T作为输入。它输出密文C和会话密钥K。下面是非c参数集的算法：¶

1. 使用FixedWeight生成权重为t的向量e:=F_2^n。¶

2. 计算C=编码（e，T）。¶

3. 计算K=散列（1，e，C）；哈希输入编码参见第9.2条。¶

4. 输出密文C和会话密钥K。¶

以下是pc参数集的算法：¶

1. 使用FixedWeight生成权重为t的向量e:=F_2^n。¶

2. 计算C_0=编码（e，T）。¶

3. 计算C_1=散列（2，e）。将C=（C_0，C_1）。¶

4. 计算K=散列（1，e，C）。¶

5. 输出密文C和会话密钥K。¶

8.6.去封装

以下算法Decap以密文C和私钥作为输入，并输出会话密钥K。以下是非pc参数集的算法：¶

1. 设置b=1。¶

2. 从私钥中提取s:=F_2^n和Gamma'=（g，alpha'_0，alpha'_1，…，alpha’_{n-1}）。¶

3. 计算e=解码（C，Gamma'）。如果e=NIL，则设置e=s和b=0。¶

4. 计算K=散列（b，e，C）；哈希输入编码见第9.2条。¶

5. 输出会话密钥K。¶

以下是pc参数集的算法：¶

1. 使用C_0:=F_2^{mt}和C_1:=F_2 ^HashLen将密文C拆分为（C_0，C_1）。¶

2. 设置b=1。¶

3. 从私钥中提取s:=F_2^n和Gamma'=（g，alpha'_0，alpha'_1，…，alpha’_{n-1}）。¶

4. 计算e=解码（C_0，Gamma'）。如果e=NIL，则设置e=s和b=0。¶

5. 计算C'_1=散列（2，e）。¶

6. 如果C'_1！=C_1，设置e=s和b=0。¶

7. 计算K=散列（b，e，C）。¶

8. 输出会话密钥K。¶

9.1.对称密码参数的选择

所有选定的参数集都使用以下对称加密参数：¶

• 整数HashLen是256。¶

• HashLen-bit字符串Hash（x）定义为SHAKE256（x）输出的第一个HashLen位。这里的字节字符串是被视为小型字符串；见第9.2条。字节集被定义为｛0，1，…，255｝。¶

• 整数Sigma_1是16。（所有选定的参数集都有m≤16，因此Sigma_1=>m。）¶

• 整数Sigma_2是32。¶

• （n+Sigma_2 q+Sigma_1 t+HashLen）位字符串PRG（Delta）定义为SHAKE256（64，三角形）。这里的64，Delta是指以字节64开始并以Delta继续的33字节字符串。¶

Classic McEliece中使用的所有Hash输入都以字节0或1开头（对于pc，则以字节2开头）（参见第9.2条），因此没有重叠PRG中使用的SHAKE256输入。¶

9.2.对象表示为字节字符串

定义composeinv（c，pi）：return[y表示x，y按排序（zip（pi，c））]定义控制位（pi）：n=长度（pi）m=1而1<<m<n:m+=1断言1<<m==n如果m==1：返回[pi[0]]p=[pi[x^1]对于范围（n）中的xq=[pi[x]^1，对于范围（n）中的xpiinv=组合inv（范围（n），pi）p、 q=composeinv（p，q），composein（q，p）c=[范围（n）内x的最小值（x，p[x]）]p、 q=composeinv（p，q），composein（q，p）对于范围（1，m-1）中的i：cp，p，q=composeinv（c，q），composein（p，q）c=[范围（n）内x的最小值（c[x]，cp[x]）]f=[c[2*j]%2，对于范围内的j（n//2）]对于范围（n）中的x，F=[x^F[x//2]Fpi=组合inv（F，piinv）l=[Fpi[2*k]%2，对于范围（n//2）中的k对于范围（n）中的y，L=[y^L[y//2]M=组合inv（Fpi，L）subM=[[M[2*j+e]//2（对于范围（n//2）中的j）]（对于范围内的e）]subz=映射（控制位，subM）z=[s表示s0s1在zip（*subz）中表示s在s0s1]返回f+z+l

10.1.参数集mcelice6688128

KEM，m=13，n=6688，t=128。域多项式f（z）=z^13+z^4+z^3+z+1和f（y）=y^128+y^7+y^2+y+1。这是一个非c参数集。¶

10.2.参数集mcelice6688128f

KEM，m=13，n=6688，t=128。域多项式f（z）=z^13+z^4+z^3+z+1和f（y）=y^128+y^7+y^2+y+1。半系统参数（u，v）=（32，64）。这是一个非c参数集。¶

10.3.参数集mcelice6688128pc

KEM，m=13，n=6688，t=128。域多项式f（z）=z^13+z^4+z^3+z+1和f（y）=y^128+y^7+y^2+y+1。这是一个pc参数集。¶

10.4.参数集mcelice6688128pcf

KEM，m=13，n=6688，t=128。域多项式f（z）=z^13+z^4+z^3+z+1和f（y）=y^128+y^7+y^2+y+1。半系统参数（u，v）=（32,64）。这是一个pc参数集。¶

10.5.参数集mcelice6960119

KEM，m=13，n=6960，t=119。域多项式f（z）=z^13+z^4+z^3+z+1和f（y）=y 119+y^8+1。这是一个非c参数集。¶

10.6.参数集mcelice6960119f

KEM，m=13，n=6960，t=119。域多项式f（z）=z^13+z^4+z^3+z+1和f（y）=y 119+y^8+1。半系统参数（u，v）=（32,64）。这是一个非c参数集。¶

10.7.参数集mceliece6960119pc

KEM，m=13，n=6960，t=119。域多项式f（z）=z^13+z^4+z^3+z+1和f（y）=y 119+y^8+1。这是一个pc参数集。¶

10.8.参数集mcelice6960119pcf

KEM，m=13，n=6960，t=119。域多项式f（z）=z^13+z^4+z^3+z+1和f（y）=y 119+y^8+1。半系统参数（u，v）=（32,64）。这是一个电脑参数集。¶

10.9.参数集mcelice8192128

KEM，m=13，n=8192，t=128。域多项式f（z）=z^13+z^4+z^3+z+1和f（y）=y^128+y^7+y^2+y+1。这是一个非c参数集。¶

10.10.参数集mcelice8192128f

KEM，m=13，n=8192，t=128。域多项式f（z）=z^13+z^4+z^3+z+1和f（y）=y^128+y^7+y^2+y+1。半系统参数（u，v）=（32,64）。这是一个非c参数集。¶

10.11.参数集mcelice8192128pc

KEM，m=13，n=8192，t=128。域多项式f（z）=z^13+z^4+z^3+z+1和f（y）=y^128+y^7+y^2+y+1。这是一个pc参数集。¶

10.12.参数集mcelice8192128pcf

KEM，m=13，n=8192，t=128。域多项式f（z）=z^13+z^4+z^3+z+1和f（y）=y^128+y^7+y^2+y+1。半系统参数（u，v）=（32,64）。这是一个pc参数集。¶