Endliche Körper und Codierung

Transkript

1 Endliche Körper und Codierung Manfred Madritsch Institut für Mathematik A Technische Universität Graz Version: SS 2010

2 Achtung: Bitte Anregungen und Fehler per an die Adresse senden. Dieses Skriptum wurde von Manfred Madritsch verfasst und basiert auf einer Mitschrift von Florian Lehner und Jan Pöschko.

3 Inhaltsverzeichnis 1 Endliche Körper Einleitung Zwischenkörperstruktur Automorphismenstruktur Basen und andere Darstellungen von Körperelementen Polynome über endlichen Körpern Kreisteilungspolynome und Einheitswurzeln Die Ordnung von Polynomen Irreduzible Polynome Faktorisierung von Polynomen (Berlekamp-Algorithmus) Grundbegrie der Codierungstheorie Einführung Blockcodes, Distanz, Hamminggewicht Lineare Codes Hamming Codes Der Satz von Shannon BCH Codes und andere polynomielle Codes BCH Codes als Subcodes von Hammingcodes Polynomielle Codes Eziente Fehlerkorrektur für BCH-Codes Reed-Solomon-Codes und Burst Error Correction Schranken für Codes Klassische Goppa-Codes Anhang 57 A1 Etwas lineare Algebra

4 4 INHALTSVERZEICHNIS

5 Kapitel 1 Endliche Körper In diesem Skriptum bezeichnet p immer eine Primzahl und q = p n immer eine Primzahlpotenz mit Basis p und Exponent n. 1.1 Einleitung Wir wollen uns zuerst erinnern, was wir unter einem Körper und im speziellen unter einem endlichen Körper verstehen. Dazu benötigen wir zuerst die einfachste algebraische Struktur, nämlich die der Gruppe. Denition. Eine multiplikative Gruppe (G, ) ist eine Menge G auf welcher eine binäre Operation : G G G derart deniert ist, dass a G, b G : a b G (Abgeschlossenheit), a G, b G, c G : (a b) c = a (b c) (Assoziativität), e G, a G : a e = e a = a (dieses e ist eindeutig), a G, b G : a b = b a = e (wir nennen b das Inverse von a und schreiben kurz a 1 ). Gilt darüber hinaus, dass a G, b G : ab = ba, dann nennt man die Gruppe abelsch oder kommutativ. Wir werden uns nicht nur mit Gruppen aufhalten sondern wollen noch eine zweite Operation hinzunehmen und Ringe denieren. Denition. Ein Tripel (R, +, ) heiÿt Ring, wenn (R, +) eine Gruppe ist, a G, b G, c G : (a b) c = a (b c) (Assoziativität), a G, b G, c G : a (b + c) = a b + a c (a + b) c = a c + b c. Gilt darüber hinaus, dass dann nennt man den Ring kommutativ. a R, b R : ab = ba, Wir werden immer mit 0 das neutrale Element der Addition und mit 1 das der Multiplikation bezeichnen. Mit diesen beiden Strukturen im Gepäck können wir ganz leicht einen Körper denieren. 5

6 6 KAPITEL 1. ENDLICHE KÖRPER Denition. Ein Tripel (K, +, ) heiÿt Körper, wenn (R, +, ) ein Ring ist und (R \ {0}, ) eine abelsche Gruppe ist. Zu guter Letzt benötigen wir noch die Denition eines Vektorraumes. Denition. Ein Tripel (V, +, K) heiÿt Vektorraum über K, wenn (V, +) eine Abel'sche Gruppe ist, K ein Körper ist, es eine Skalar-Multiplikation : K V V gibt, sodass a V : 1 a = a, α K, β K, a V : α (β a) = (α β) a, α K, a V, b V : α (a + b) = α a + α b, α K, β K, a V : (α + β) a = α a + β a. Ein endlicher Körper ist nun ein Körper mit endlich vielen Elementen. Wir wissen: Wenn F ein Körper ist, dann ist die Kardinalität von F eine Primzahlpotenz. Zu jeder Primzahlpotenz q = p n gibt es einen Körper mit q Elementen. Je zwei Körper der gleichen endlichen Kardinalität sind isomorph. Wir sprechen damit von dem Körper mit p n Elementen und schreiben dafür F p n. Aufgrund des kleinen Satzes von Fermat gilt für alle β F q \ {0}, dass β Fq\{0} = β q 1 = 1. Multiplikation mit β führt zu β q = β. Diese Aussage gilt auch für β = 0. Also sind alle Elemente von F q Nullstellen von X q X, der Körper F q ist somit genau die Menge der Nullstellen von X q X. F q ist der Zerfällungskörper von X q X über F p. Mit dem Satz von Vieta folgt, dass X q X = β F q (X β). Satz 1.1. Die Abbildung Φ : F p n F p n, x x p (Frobenius) ist ein Automorphismus von F p n, der F p xiert. Beweis. Wir zeigen zuerst, dass Φ ein Homomorphismus ist. Dazu betrachten wir Φ(x + y) = (x + y) p = p k=1 ( ) p x k y p k = x p + y p = Φ(x) + Φ(y), k Φ(x y) = (x y) p = x p y p = Φ(x) Φ(y). Nun betrachten wir den Kern der Abbildung und erhalten: Φ(x) = 0 x p = 0 x = 0. Damit folgt, dass Ker(Φ) = {0} und somit ist Φ injektiv. Die Surjektivität folgt aus dem Vergleich der Kardinalitäten von Urbild und Bild. Damit ist Φ ein Automorphismus. Es bleibt zu zeigen, dass Φ F p xiert. Es folgt aber mit dem kleinen Satz von Fermat, dass Φ(a) = a p = a = id(a) a F p.

7 1.2. ZWISCHENKÖRPERSTRUKTUR 7 Nachdem wir uns ein paar Eigenschaften in Erinnerung gerufen haben, wollen wir nun kanonische Beispiele für Endliche Körper geben. So ist für jede Primzahl p der Restklassenring Z/pZ = F p mit Addition und Multiplikation modulo p ein Körper. Für q = p n ist F q = F p [X]/(f) für ein irreduzibles Polynom f F p [X] vom Grad n. Beispiel (Finde F 9 ). Wir suchen ein irreduzibles Polynom vom Grad 2 über F 3. Man sieht leicht, dass f = X keine Nullstelle in F 3 hat und daher irreduzibel ist (weil es ein Polynom vom Grad 2 ist). Also ist F 9 = { a + bα a, b F 3 α = 0 } Um alle möglichen Polynome zu nden, betrachten wir die Faktorisierung von X 9 X: X 9 X = X(X 8 1) = X(X 4 1)(X 4 + 1) = X(X 2 1)(X 2 + 1)(X 4 + 1) = X(X 1)(X + 1)(X 2 + 1)(X 2 + 2X + 2)(X 2 + X + 2). Damit erhalten wir, dass X 2 +2X +2 und X 2 +X +2 alternative Wahlen für das Minimalpolynom wären. Nun berechnen wir beispielhaft (1 + α)(2 + α) in F 9 als (1 + α)(2 + α) = 2 + 2α + α + α 2 = 1 + (α 2 + 1) = 1. Wir haben nun die Inverse von (1 + α) gefunden. Wie können wir in diesem Körper beliebige Inverse bezüglich der Multiplikation nden? Sei g(α) F q = F p [X]/(f), dann ist g F p [X] ein Polynom mit deg g n. Falls g(α) 0 ist, ist f kein Teiler von g. g f weil f irreduzibel ist. Wir suchen ein multiplikatives Inverses zu g, also ein h F p [X], das g(α)h(α) = 1 erfüllt. Das ist gleichbedeutend mit g(x)h(x) = 1 + f(x)d(x) beziehungsweise g(x)h(x) f(x)d(x) = 1. Das ist lösbar, weil ggt(f, g) = 1 ist. Die Lösung liefert der erweiterte euklidsche Algorithmus. 1.2 Zwischenkörperstruktur Welche Körper gibt es zwischen F p und F p n? Kann es womöglich sein, dass es mehrere Zwischenkörper derselben Kardinalität gibt? Lemma 1.2. Sei q = p n eine Primzahlpotenz und K ein Teilkörper von F q. Dann gibt es ein k N mit K = p k und k n. Beweis. F q wird als K-Vektorraum gesehen. Setze r := dim K F q. Es ist also F q als K-Vektorraum isomorph zu K r. Somit gilt: p n = F q = K r = K r. Aufgrund der eindutigen Primfaktprenzerlegung in Z muss K = p k für ein passendes k sein. Es gilt p n = p kr, also n = kr beziehungsweise k n. Satz 1.3 (Zwischenkörperstruktur). Sei q = p n und k N mit k n. Dann gibt es genau einen Teilkörper von F q der Kardinalität p k. Beweis. Setze r := p k. Alle Elemente eines solchen Teilkörpers sind Nullstellen von X r X. Also denieren wir M := {α F q α r = α}. Zu zeigen sind folgende Aussagen:

8 8 KAPITEL 1. ENDLICHE KÖRPER M ist ein Körper: Seien α, β M, dann gilt M = r: (α + β) r = α r + β r = α + β (laut Algebra-Übung) (αβ) r = α r β r = αβ ( 1) r = 1 ( ) r 1 = 1 α α r = 1 α (für ungerades r klar, bei gerader Charakteristik gibt es keine Vorzeichenfehler) (für α 0) M r: Das Polynom X r X hat höchstens r Nullstellen in F q. M = r: Wir werden zeigen, dass X r X über F q in Linearfaktoren zerfällt. Es gilt n = mk, also ist Weiters gilt nun q 1 = p mk 1 = r m 1 = (r 1)(r m 1 + r m ) =: (r 1)s. X q X = X(X q 1 1) = X ( (X r 1 ) s 1 ) = X(X r 1 1) ( (X r 1 ) s ) = (X r X) ( (X r 1 ) s ). Da X q X über F q in Linearfaktoren zerfällt, muss auch X r X in Linearfaktoren zerfallen. Also hat X r X genau r Nullstellen in F q. M ist der einzige mögliche Teilkörper dieser Kardinalität: Da alle Kandidaten für Körperelemente im Körper enthalten sein müssen, gibt es keine weitere Möglichkeit einen Körper dieser Kardinalität zu nden. Bemerkung. Wir haben F q bisher als Körpererweiterung von F p gesehen. Genau so gut kann F q als Körpererweiterung von F p k gesehen werden (k n, q = p n ). Wir denken daher oft an F q n als Körpererweiterung von F q. 1.3 Automorphismenstruktur Wir denken an Polynome der Form x 2 + px + q über R, der Einfachheit halber mit komplexen Nullstellen. Wenn α = u + vi eine Nullstelle ist, dann ist auch ᾱ = u vi eine Nullstelle. Das ist manchmal praktisch. Wir suchen also alle Analoga zur komplexen Konjugation in endlichen Körpern. Was kann die komplexe Konjugation? Sie ist ein Automorphismus von C. Reelle Zahlen bleiben x. Das heiÿt, wir suchen analog einen Automorphismus von F q m der F q x lässt.

9 1.3. AUTOMORPHISMENSTRUKTUR 9 Lemma 1.4. Sei f ein irreduzibles Polynom in F q [X] vom Grad m und n N. Dann gilt Beweis. f X qn X m n. Nachdem m n folgt mit Satz 1.3, dass F q m ein Teilkörper von F q n ist. Sei nun α eine Nullstelle von f im Zerfällungskörper von f über F q. Dann ist [F q (α) : F q ] = m. Auf Grund der Eindeutigkeit des Teilkörpers (Satz 1.3) ist F q (α) = F q m und somit α F q m F q n. Nachdem X qn X über F q n in Linearfaktoren zerfällt, ist α qn = α eine Nullstelle von X qn X. Wir haben α beliebig gewählt und daher muss f das Polynom X qn X teilen. Sei α eine Nullstelle von f im Zerfällungskörper über F q. Nachdem f das Polynom X qn X teilt, ist α auch eine Nullstelle von X qn X. Daher ist α F q m und es folgt, dass F q (α) ein Teilkörper von F q n ist. Schlieÿlich ist [F q (α) : F q ] = m und [F q n : F q ] = n und mit Lemma 1.2 folgt, dass m n. Lemma 1.5. Sei f F q [X] irreduzibel, deg f = m. α sei Nullstelle von f in Erweiterung von F q. Dann gilt: f = (X α)(x α q )(X α q2 ) (X α qm 1 ). Beweis. Φ q : x x q ist ein Homomorphismus. Die Einschränkung von Φ q auf F q ist die identische Abbildung weil β q = β für alle β F q gilt. Sei nun β eine Nullstelle von f. Es gilt: 0 = Φ q (f(β)) = f (Φ q (β)) = f (β q ), also ist β q eine Nullstelle von f. Wenden wir diese Beziehung wiederholt auf α an, so erhalten wir f(α) = 0 f(α q ) = 0 f(α q2 ) = 0 f(α qm 1 ) = 0. Wir nehmen indirekt an, diese Nullstellen wären nicht paarweise verschieden. Das heiÿt, es gibt 0 j < k < m mit α qj = α qk. Nun setzen wir β := α qj und l := k j. Oensichtlich gilt β = β ql und 0 < l < m. Das Minimalpolynom von β ist f; β ist aber auch Nullstelle von X ql X. Daher teilt f das Polynom X ql X und laut Lemma 1.4 gilt m l. Das ist ein Widerspruch zu 0 < l < m, also müssen die Nullstellen paarweise verschieden sein und wir haben eine Faktorisierung in Linearfaktoren gefunden. Bemerkung. Φ q erfüllt analoge Eigenschaften zur komplexen Konjugation, denn Φ q ist ein Automorphismus für F q m und er lässt F q x. Denition (Automorphismengruppe). Aut Fq (F q m) := { ϕ Aut(F q m) ϕ Fq = id Fq } heiÿt Automorphismengruppe von F q m über F q. Ihre Elemente heiÿen F q -Automorphismen von F q m. Bemerkung. Die Automorphismengruppe ist tatsächlich eine Gruppe bezüglich hintereinanderausführung (Beweis durch Nachrechnen). Bemerkung. Φ q Aut Fq (F q m), also auch (Φ q ) j Aut Fq (F q m) (Beweis durch Induktion). Satz 1.6 (Automorphismenstruktur). Sei q eine Primzahlpotenz, m N. Dann ist Aut Fq (F q m) eine zyklische Gruppe der Ordnung m, die von Φ q : F q m F q m, x x q erzeugt wird, also: Aut Fq (F q m) = { id, Φ q, Φ 2 q,..., Φ m 1 } q.

10 10 KAPITEL 1. ENDLICHE KÖRPER Beweis. Sei f F q [X] irreduzibel vom Grad m und α F q m eine Nullstelle von f. Sei weiters ϕ Aut Fq (F q m). Dann gilt 0 = ϕ(0) = ϕ (f(α)) = f (ϕ(α)), ϕ(α) ist also eine Nullstelle von f. Laut Lemma 1.5 gibt es somit ein j {0,..., m 1} mit ϕ(α) = α qj = Φ j q(α). Sei nun β F q m beliebig mit β = m 1 k=0 c kα k für passende c k F q. Es gilt: ϕ(β) = ϕ = ( m 1 m 1 k=0 k=0 c k α k ) = m 1 k=0 c k (ϕ(α)) k ( c k Φ j q (α) ) ( m 1 k = Φ j q k=0 c k α k ) = Φ j q(β), das bedeutet, ϕ = Φ j q. Da die Φ j q(α) = α qj laut Lemma 1.5 paarweise verschieden sind, müssen die Φ j q paarweise verschieden sein. Also ist die Ordnung der Automorphismengruppe m. Bemerkung. Φ m q (β) = β qm = β für alle β F q m, also ist Φ m q = id Fq m. 1.4 Basen und andere Darstellungen von Körperelementen Wir wollen uns nun den verschiedenen Darstellungen widmen und ihre Vorzüge und Nachteile beleuten. Polynombasen Für ein irreduzibles Polynom vom Grad m mit einer Nullstelle α ist {1, α, α 2,..., α m 1 } eine F q -Basis von F q m. Wir sprechen von der Polynombasis. Addition ist durch m Additionen im Grundkörper leicht zu realisieren. Multiplikation erfordert im Allgemeinen Reduktionen von α j durch das Minimalpolynom, wobei j {m,... 2m 2}, sowie viele Multiplikationen und Additionen im Grundkörper. Berechnung von Φ q erfordert ebenfalls Reduktionen, denn ( m 1 Φ q k=0 Logarithmische Darstellung c k α k ) = m 1 k=0 c k Φ q ( α k ) = m 1 k=0 c k α qk. Die Einheitengruppe von F q m ist zyklisch, das heiÿt es gibt ein β F q m (ein primitives Element), sodass F q m = {βj 0 j q m 1}. Für γ = β j nenne j den diskreten Logarithmus von γ zur Basis β. Wir speichern nur diesen Logarithmus. Multiplikation durch Addition der Exponenten und Reduktion modulo q m ist billig. Berechnung von Φ q erfolgt durch Multiplikation des Exponenten mit q und Reduktion modulo q m. Für die Addition braucht man eine Tabelle (1 + β j ) oder man muss mühsam rechnen.

11 1.4. BASEN UND ANDERE DARSTELLUNGEN VON KÖRPERELEMENTEN 11 Beispiel. Wir wollen nun den Körper F 9 von oben so darstellen. Dazu suchen wir ein primitives Element. Sei α wie oben eine Nullstelle von X Dann erhalten wir, dass 2α+2, α+2, α+1, 2α+1 die Erzeuger von F 9 sind. Wir setzen nun β = α + 1 und erhalten Normale Basen β 0 β 1 β 2 β 3 β 4 β 5 β 6 β 7 1 α + 1 2α 2α α + 2 α α + 2. Sei β F q m. Wir betrachten {α, Φ q (α), Φ 2 q(α),..., Φ m 1 q (α)}. Falls diese linear unabhängig über F q sind, dann bilden sie eine Basis, die sogenannte normale Basis. Berechnung von Φ q geht schnell, da man nur den Koordinatenvektor rotieren muss. Addition erfolgt komponentenweise. Multiplikation erfordert noch mehr Mühe als bei Polynombasen. Gibt es normale Basen in jedem F q m? Satz 1.7 (Existenz normaler Basen). Sei q eine Primzahlpotenz, m N. Dann gibt es ein β F q m, sodass {β, Φ q (β), Φ 2 q(β),..., Φ m 1 q (β)} eine F q -Basis von F q m ist. Für den Beweis werden Hilfsmittel aus der linearen Algebra benötigt (siehe Anhang A1). Lemma 1.8 (Artin). Sei (G, ) eine abelsche Gruppe, K ein Körper und ϕ 1,..., ϕ m paarweise verschiedene Homomorphismen von G K. Dann gibt es für jedes Tupel (a 1,..., a m ) K m \ (0,..., 0) ein g G mit a 1 ϕ 1 (g) + + a m ϕ m (g) 0. Beweis. Induktion nach m: Für m = 1 ist nichts zu zeigen. Induktionsschritt m 1 m: Annahme: obda: a 1 0 a 1 ϕ 1 (g) + + a m ϕ m (g) = 0. Da ϕ 1 ϕ m gibt es ein h G mit ϕ 1 (h) ϕ m (h). Betrachte a 1 ϕ 1 (hg) + + a m ϕ m (hg). Falls das ungleich 0 ist sind wir fertig, also nehmen wir an: a 1 ϕ 1 (h)ϕ 1 (g) + + a m ϕ m (h)ϕ m (g) = 0. Wir multiplizieren die erste Gleichung mit ϕ m (h) und subtrahieren die eben aufgestellte Gleichung: 0 = a 1 (ϕ m (h) ϕ 1 (h)) ϕ 1 (g) + + a m 1 (ϕ m (h) ϕ m 1 (h)) ϕ m 1 (g) =: b 1 ϕ 1 (g) + + b m 1 ϕ m 1 (g) gilt für alle g. Widerspruch zur Induktionsannahme. Beweis von Satz 1.7. Φ q : F q m F q m ist F q -Automorphismus, also auch eine F q -lineare Abbildung. Weiters sind {id, Φ q,... Φ m 1 q } paarweise verschiedene Homomorphismen F q m F qm. Also gibt es laut Lemma von Artin kein Tupel (a 0,... a m 1 ) K m \ {0,... 0}, sodass m 1 j=0 a j Φ j q 0. Das Minimalpolynom von Φ q hat also Grad m. Das charakteristische Polynom von Φ q hat Grad m. Somit gilt: Minimalpolynom = ±1 charakteristisches Polynom = X m 1 weil Φ m q = id Fq m. Laut SatzA1.4 gibt es also ein α F q m, sodass α, Φ q (α),... Φq m 1 (α) eine Basis von F q m bilden.

12 12 KAPITEL 1. ENDLICHE KÖRPER Beispiel. Wir wollen wieder den Körper F 9 darstellen. Sei dazu α eine Nullstelle von X und β = α + 1. Wir erhalten, dass {β, β 3 } = {α + 1, 2α + 1} eine normale Basis ist. Darstellung durch Matrizen Sei f = m j=0 a jx j F q [X] irreduzibel und normiert. Betrachte die Matrix: 0 a 0. A = a m 1 Bestimme das Minimalpolynom von A: Setze e 1 = (1, 0,..., 0) t. Es gilt Ae 1 = e 2, A 2 e 1 = e 3,..., A m 1 e 1 = e m. Also ist {A j e 1 0 j m 1} eine Basis von F m q und laut Satz A1.4 Minimalpolynom = ( 1) m charakteristisches Polynom = ( 1) m det(a XI). Also X a 0. ( 1) m det(a XI) = det(xi A) = X am 2 1 X + a m 1 X a 1 X. = X ( 1) m+1 a X am 2... X 1 X + a m 1 1 X a 1. = a 0 + X X am 2 1 X + a m 1 = a 0 + a 1 X + + a m 1 X m 1 + X m = f. Damit ist das { Minimalpolynom von A gleich f. m 1 } Rechne in j=0 a ja j a j F q mit den üblichen Rechenregeln für Matrizen. Setze F q m span{i, A, A 2,..., A m 1 }. A verhält sich gleich wie eine abstrakte Nullstelle α von f. Beispiel. Wir wählen wieder f = X und α eine Nullstelle von f. Die Begleitmatrix von f ist ( ) 0 2 A = 1 0 Sei nun I die 2x2 Einheitsmatrix. Dann gibt es folgende Darstellung für F 9 : ( 0 ) ( I ) ( 2I ) ( A ) ( A + I ) ( A + 2I ) ( 2A ) ( 2A + I ) 2A ( + 2I )

13 Kapitel 2 Polynome über endlichen Körpern 2.1 Kreisteilungspolynome und Einheitswurzeln Denition. Sei K ein Körper, n N. Dann heiÿt der Zerfällungskörper von X n 1 über K der n-te Kreisteilungskörper K (n) über K. Die Nullstellen von X n 1 heiÿen n-te Einheitswurzeln über K, sie werden in der Menge E (n) zusammengefasst. Bemerkung. Für K = R ist K (n) = R(exp( 2πi n )) und E(n) = {exp( 2kπi n ) 0 k n 1}. Bemerkung. Wir wissen viel über F (qm 1) q. Laut Denition ist das der Zerfällungskörper von X qm 1 1, also auch der Zerfällungskörper von X qm X und somit genau der F q m. Denition (Primitive n-te Einheitswurzel). Sei ζ E (n) mit n = min{k N ζ k = 1}, dann heiÿt ζ eine primitive n-te Einheitswurzel Satz 2.1 (Struktur der Einheitswurzelgruppe). Sei K ein Körper der Charakteristik p 0 (p prim oder 0) und n N. 1. Falls p n (also insbesondere falls p = 0), so ist E (n) eine zyklische Gruppe der Ordnung n. Für ζ E (n) gilt: E (n) = ζ n = min{k N ζ k = 1}. 2. Falls n = p l m mit p m, so ist K (n) = K (m) und E (n) = E (m). Bemerkung. Der zweite Teil des Satzes sagt aus, dass der Fall p n vollkommen uninteressant ist. Beweis. 1. Zunächst p n. ( E (n), ) ist eine Gruppe: 1 n = 1 1 E (n), also E (n). Seien x, y E (n), dann gilt (xy 1 ) n = x n y n = = 1, das heiÿt xy 1 E (n). Somit ist (E (n), ) eine Untergruppe von (K (n), ). E (n) = n: In K (n) zerfällt X n 1 in Linearfaktoren: X n 1 = (X α 1 ) (X α n ). Somit ist E (n) = {α 1,..., α n }. Die Einheitswurzeln sind paarweise verschieden, weil ggt (X n 1, (X n 1) ) = ggt ( X n 1, nx n 1). Wegen p n gilt, dass nx n 1 0. Ein gemeinsamer Primfaktor u der beiden Polynome würde sowohl X n als auch X n 1 teilen, das heiÿt u wäre eine Einheit. Somit ist der ggt gleich 1. 13

14 14 KAPITEL 2. POLYNOME ÜBER ENDLICHEN KÖRPERN (E (n), ) ist als Untergruppe einer zyklischen Gruppe zyklisch ((K (n), ) ist zyklisch, vergleiche Algebra). ζ = E (n) ζ = n n = min{k N ζ k = 1}. 2. Sei nun n = p l m. Dann gilt X n 1 = (X m ) pl 1 pl = (X m 1) pl (Frobenius), also K (n) = K (m) und E (n) = E (m). Denition. Sei n N, K ein Körper der Charakteristik p 0, k N, dann setze Bemerkung. P (k) hängt auch von n ab. P (k) := {β K (n) β ist primitive k-te Einheitswurzel}. Proposition 2.2. Sei n N, K ein Körper der Charakteristik p 0, p n, dann gilt E (n) = k n P (k). Beweis. Falls β P (k), dann ist β k = 1, also β n = (β k ) n k = 1, also β E (n) Sei β E (n), dann teilt die Ordnung von β die Gruppenordnung E (n) = n. Setze k = β und es folgt β k = 1 und somit β P (k). Proposition 2.3. Sei n N, k n, K ein Körper der Charakteristik p 0, p n. Dann gilt: Beweis. Zunächst für k = n. E (n) = ζ, also P (k) = ϕ(k) (Eulersche ϕ-funktion). P (n) = {ζ a 0 a n 1 mit ζ a = n}. Es gilt ζ a = n ggt(a, n) = 1 (Denn: Es gilt ζ al = 1 n al und falls ggt(a, n) = 1 folgt n l Andererseits impliziert ggt(a, n) > 1 und l n, dass n l). Somit ist und die Ordnung P (n) = ϕ(n). Sei k nun ein Teiler von n, n = mk: P (n) = {ζ a 0 a n 1 ggt(a, n) = 1} X n 1 = X mk 1 m = (X k 1)R(X), also zerfällt X k 1 über K (n) in Linearfaktoren. Somit gilt, dass K (k) K (n) und wir verweisen auf obigen Fall. Korollar 2.4. n = k n ϕ(k). Beweis. Kombiniere die letzten beiden Propositionen. Bemerkung. Das Korollar ist viel billiger erhältlich und steht hier nur zur Abrundung. Denition. Sei n N, K ein Körper der Charakteristik p 0, p n. Deniere das n-te Kreisteilungspolynom G n rekursiv durch: G n (X) := X n 1 G k (X). k n k n Bemerkung. Das leere Produkt ist per Denition 1.

15 2.1. KREISTEILUNGSPOLYNOME UND EINHEITSWURZELN 15 Proposition 2.5. Bezeichnungen wie in der Denition, dann gilt für k n in K (n) : G k (X) = (X β) und G k K[X]. β P (k) Beweis. Induktion nach k: k = 1 Trivial. Induktionsschritt: Die Aussage gelte für alle Teiler von n, die kleiner als k sind. X k 1 = (X β) Wir kürzen und erhalten: β E (n) β k =1 = G k (X) d k d k G k (X) = β E (n),β k =1 d k,d k:β d 1 G d (X) = G k (X) (X β) d k β P (d) d k (X β) = β P (k) (X β). Damit ist klar, dass G k K (n) [X], wir wollen aber G k K[X]. Division mit Rest in K[X]: Lese diese Gleichung in K (n) [X], wo X k 1 = Q(X) d k d k X k 1 = G k (X) d k d k G d (X) + R(X) G d (X) + 0 gilt. Wegen der Eindeutigkeit der Division mit Rest folgt R = 0 und Q = G k (X). Wie sieht die Primfaktordarstellung von Kreisteilungspolynomen aus? Bemerkung. G n ist irreduzibel über Q[X] (hier ohne Beweis). Satz 2.6 (Primfaktorzerlegung von Kreisteilungspolynomen über endlichen Körpern). Sei q eine Primzahlpotenz, n N mit ggt(q, n) = 1. Weiters sei d die Ordnung von (q + nz) in (Z/nZ), also d = min{k N q k 1 mod n}. Dann ist G n (X) das Produkt von ϕ(n) d in F q [X] irreduziblen Polynomen vom Grad d, die paarweise teilerfremd sind. Bemerkung. teilt. ϕ(n) d ist eine positive ganze Zahl, weil d = q + nz die Ordnung der Einheitengruppe Beweis des Satzes. Sei k N und f ein irreduzibler Teiler von G n in F q [X] vom Grad m. Wir behaupten, dass f in F q k genau dann in Linearfaktoren zerfällt, wenn q k 1 mod n ist. f zerfällt über F q k in Linearfaktoren f hat Nullstelle β F q k (Satz 1.6) f hat Nullstelle β, mit β ist primitive n-te Einheitswurzel und β qk = β f hat Nullstelle β mit β ist primitive n-te Einheitswurzel und β qk 1 = 1 f hat Nullstelle β mit n q k 1 q k 1 mod n. d = min{k N q k 1 mod n} = min{k N f zerfällt über F q k in Linearfaktoren. } = m. Also hat jeder irreduzible Faktor von G n Grad d. Da G n ein Teiler von X n 1 ist, sind alle irreduziblen Faktoren paarweise teilerfremd Es gibt also Faktoren. deg Gn d = ϕ(n) d

16 16 KAPITEL 2. POLYNOME ÜBER ENDLICHEN KÖRPERN Korollar 2.7. Sei q eine Primzahlpotenz, n N mit ggt(n, q) = 1. F q enthält genau dann n-te Einheitswurzeln, wenn n (q 1). (Das hat man vorher auch schon gewusst... ) 2.2 Die Ordnung von Polynomen Lemma 2.8. Sei f F q [X] mit f(0) 0 und deg f = m, dann gibt es ein 1 k q m 1 sodass f X k 1. Beweis. F q [X]/(f) hat q m 1 Elemente 0. Betrachte die Folge X l + (f) F q [X]/(f), 0 l q m 1. Diese Folge hat q m Elemente. Es gilt, X l + (f) 0 für alle l, weil sonst X l = g(x)f(x) in F q [X]/(f). Einsetzen von 0 ergibt 0 = g(0)f(0). Nachdem f(0) 0 muss g(0) = 0 und somit gilt X g(x), also X l 1 + (f) = 0. Aber X 0 + (f) = 1 + (f) 0. Somit hat die Folge q m Elemente ungleich Null in F q [X]/(f). Nachdem F q [x]/(f) = q m muss laut Schubfachschluss X r X s mod (f) für passendes 0 r < s q m 1. Also f X s X r = X r (X s r 1). Da X f gilt ggt(x, f) = 1 und folglich f X s r 1. Denition. Sei f F q [X] nicht konstant. ord(f) := min{k N f teilt X k 1} die Ordnung von f über F q. Falls f = X l g mit g(0) 0, so setze ord(f) := ord(g). Proposition 2.9. Sei f F q [X] irreduzibel mit deg f = m und f(0) 0 (also f X). Sei weiters α eine Nullstelle von f in F q m. Dann ist die Ordnung von f gleich der Ordnung von α in F q m. Beweis. Es gilt: f X l 1 α l 1 = 0 α l = 1. Die Ordnung von f ist das minimale l mit f X l 1; die Ordnung von α in F q m das minimale l mit αl = 1. Korollar Sei f F q [X] irreduzibel mit deg f = m und α eine Nullstelle von f in F q m dann ist α genau dann ein primitives Element, wenn die Ordnung ord(f) = q m 1 ist. Beweis. α ist primitives Element α = F q m = qm 1. Bemerkung. Manchmal werden Polynome vom Grad m der Ordnung q m 1 als primitive Polynome bezeichnet. (Achtung: Verwechslungsgefahr mit primitiven Polynomen, das heiÿt Polynomen mit Content 1, über ZPE-Ringen!) Korollar Sei f F q [X] ein irreduzibles Polynom vom Grad m, dann gilt ord(f) q m 1. Beweis. Ordnung von α in der Proposition ist Teiler der Gruppenordnung q m 1. Lemma Sei K ein Körper, m, n N, dann gilt: (X m 1) (X n 1) m n. Beweis. Division mit Rest in N ergibt n = mq + r (q ist hier keine Primzahlpotenz!). Es gilt: X n 1 = X mq+r 1 = X r (X mq 1) + (X r 1) = X r (X m 1)(X m(q 1( + X m(q 2) ) + (X r 1). Falls X m 1 ein Teiler von X n 1 ist, dann muss es auch ein Teiler von X r 1 sein. Das bedeutet entweder m = deg(x m 1) deg(x r 1) = r, was im Widerspruch zur Wahl von r steht, oder r = 0. Also muss r = 0 sein und es gilt m n. Schon oft verwendet: X n 1 = X mt 1 = (X m 1)(X m(t 1) + X m(t 2) ).

17 2.2. DIE ORDNUNG VON POLYNOMEN 17 Korollar ggt(x m 1, X n 1) = X ggt(m,n) 1. Beweis. Wir wissen: (X k 1) ggt(x m 1, X n 1) k ggt(m, n). Es bleibt also nur noch zu zeigen, dass der ggt die Form X k 1 hat. Ohne Beschränkung der Allgemeinheit sei n > m. Induktion über m: m = 1: ggt(x 1, X n 1) = X 1. m 1 m: Für n = mt + r gilt ggt(x m 1, X n 1) = ggt(x m 1, X n tm 1) und wir können die Induktionsvorraussetzung anwenden. (Euklidscher Algorithmus) Proposition Seien f, g F q [X] mit ggt(f, g) = 1, f(0) 0 und g(0) 0, dann gilt: ord(f g) = kgv(ord(f), ord(g)). Beweis. Sei h = fg. Wenn h das Polynom X e 1 teilt, dann auch f und g, also f ggt(x e 1, X ord f 1) beziehungsweise g ggt(x e 1, X ord g 1). Der ggt ist aber bekannt, also gilt f X ggt(e,ord f) 1. Es muss also ggt(e, ord f) = ord f sein. Analog dazu ist ggt(e, ord g) = ord g. Somit sind sowohl ord f als auch ord g Teiler von e, also ist e ein Vielfaches von ord f und ord g. Nachdem ord h das kleinste solche e ist, folgt, dass ord h = kgv(ord f, ord g). Proposition Sei f F p n[x] irreduzibel, f(0) 0 und b N. Sei t minimal mit der Eigenschaft p t b. Dann gilt: ord(f b ) = ord(f)p t. Beweis. Deniere g := f b, k := ord f und l = ord g. Wir wissen, dass f X k 1 und g X l 1, also teilt auch f das Polynom X l 1 und somit gilt k l. Auÿerdem wissen wir, dass f b (X k 1) b, also auch g (X k 1) b (X k 1) pt b, was mittels Frobenius-Homomorphismus zu X kpt 1 vereinfacht werden kann. Damit wissen wir, dass l kp t, also l = kp j für ein 0 j t. Angenommen j < t, also p j < b. Es gilt f b X kpj 1 = (X k 1) pj. Das geht sich nicht aus, wenn f das Polynom X k 1 nur einmal teilt, also gilt f 2 X k 1. Allerdings hat X k 1 keine mehrfachen Nullstellen, weil (X k 1) = kx k 1 0 für Nullstellen von X k 1 ist. Damit haben wir einen Widerspruch hergestellt, also ist j = t. Satz 2.16 (Ordnung von Polynomen). Sei f F q [X], f = f b1 1 f r br mit paarweise verschiedenen irreduziblen f j F q [X]. Sei weiters t N minimal mit p t max 1 j r b j, wobei p = χ(f q ). Dann gilt ord(f) = p t kgv({ord(f j )}) 1 j r}). Beweis. Es gilt ord(f) = kgv({ord(f bj j ) j {1,..., r}}) = kgv({ord(f j )p tj j {1,..., r}}), wobei t j N minimal mit p tj > b j. Wir wissen ord(f j ) q deg fj 1, daher ggt(p, ord(f j )) = 1. Also gilt ord(f) = kgv({ord(f j ) j {1,..., r}) kgv({p tj j {1,..., r}}) = kgv({ord(f j ) j {1,..., r}) p max{tj} = kgv({ord(f j )}} p t. Proposition Sei q eine Primzahlpotenz, m N, e N mit e q m 1. Dann gibt es genau ϕ(e) d irreduzible Polynome f F q [X] vom Grad m der Ordnung e, wobei d = m die Ordnung von q mod e ist. Beweis. f ist irreduzibles Polynom mit deg(f) = m und ord(f) = e Nullstelle von f ist primitive e-te Einheitswurzel in F q m. Daher ist f einer der irreduziblen Teiler von G e.

18 18 KAPITEL 2. POLYNOME ÜBER ENDLICHEN KÖRPERN 2.3 Irreduzible Polynome Denition. Sei µ : N N eine arithmetische Funktion, sodass { ( 1) r falls r 0 und p 1,... p r paarweise verschiedene Primzahlen sind µ(p 1 p r ) = 0 sonst. Dann nennt man µ die Möbiussche µ-funktion. Satz Sei q eine Primzahlpotenz und n N. Dann ist die Anzahl der normierten irreduziblen Polynome in F q [X] vom Grad n gleich 1 ( n ) µ q d. n d d n Beweis. Sei N q (n) die Anzahl der normierten irreduziblen Polynome vom Grad n in F q [X]. Wir betrachten P := f. f F q[x] irreduzibel deg(f) n f normiert Wir wissen: f X qn X deg f n für irreduzibles f. Jeder Faktor im Produkt P teilt also X qn X. Jeder Faktor von X qn X kommt im Produkt P vor. Also haben P und X qn X die gleichen Primfaktoren, aber vielleicht nicht mit denselben Vielfachheiten. In P kommt laut Konstruktion jeder Primfaktor genau einmal vor. X qn X hat ebenfalls keine mehrfachen Primfaktoren, weil ( X qn X ) = q n X qn 1 1 = 1. Da P und X qn X beide normiert sind, folgt Sortiere P nach Graden: X qn X = d n P = X qn X. f F q[x] irreduzibel deg(f)=d f normiert Berechne den Grad auf zwei Arten (inneres Produkt hat N q (d) Faktoren): q n = d n dn q (d). f. Möbiusinversion (Übung): In unserem Fall ist also F (n) = d n f(d) f(n) = d n nn q (n) = d n ( n ) µ q d. d ( n ) µ F (d) d Dividiere durch n. Beispiel. N q (12) = 1 12 d {1,2,3,4,6,12} µ ( ) 12 q d d = 1 ( µ(1)q 12 + µ(2)q 6 + µ(3)q 4 + µ(4)q 3 + µ(6)q 2 + µ(12)q ) 12 = 1 ( q 12 q 6 q 4 + q 2) 12

19 2.4. FAKTORISIERUNG VON POLYNOMEN (BERLEKAMP-ALGORITHMUS) 19 Korollar Für jedes n N existiert ein irreduzibles Polynom vom Grad n in F q [X]. Beweis. N q (n) = 1 n 1 n d n ( n ) µ q d = 1 d n qn + d n ( 1)q d qn + d n d n ( n ) µ d q d 1 n > 1 n ( q n d n d=1 ( q n qn 1 ) n q d = 1 n ) = 0 ( ) q n qn q q 1 Bemerkung. Eigentlich kannten wir das Resultat bereits, weil F q n bekannterweise existiert und einfache algebraische Körpererweiterung von F q ist, muss es ein Minimalpolynom vom Grad n geben. 2.4 Faktorisierung von Polynomen (Berlekamp-Algorithmus) Bevor wir uns der Faktorisierung von Polynomen widmen, wollen wir zuerst überlegen, ob wir das Problem nicht vereinfachen können. Hierzu wollen wir die Bezeichnung quadratfrei einführen. Denition. f F q [X] heiÿt quadratfrei, wenn es kein nicht konstantes g F q [X] mit g 2 f gibt. Die Idee ist nun, zu zeigen, dass wir jede Faktorisierung eines beliebigen Polynoms auf die eines quadratfreien Polynoms reduzieren können. Dies ermöglicht uns das folgende Lemma. Lemma Wenn man das Faktorisierungsproblem für quadratfreie f beherrscht, dann beherrscht man es auch für beliebige f. Beweis. f = n j=0 a jx j sei ein beliebiges Polynom. Betrachte f. 1. f = n j=1 ja jx j 1 = 0. Dann muss ja j = 0 für 0 j n, also a j = 0 oder j = 0, das bedeutet a j = 0 oder p j. Somit gilt: f = für passende b i (siehe Übung). n n p n p a j X j = a ip X ip = b p i (Xi ) p j=0 p j i=0 Somit ist f = g p für g = n p i=0 b ix i. Faktorisiere g und potenziere die erhaltene Faktorisierung mit p. 2. f 0 und d = ggt(f, f ) ist nicht konstant. dann ist d ein Polynom mit Grad 1 < deg d deg f deg f und d f. Schreibe f = d f d und bastle die Faktorisierung von f aus den Faktorisieungen von d und f d, die beide kleineren Grad haben, zusammen. i=0 3. f 0 und ggt(f, f ) = const. Dann ist f quadratfrei und wir müssen wirklich arbeiten.

20 20 KAPITEL 2. POLYNOME ÜBER ENDLICHEN KÖRPERN Damit ist klar, dass wir uns im folgenden auf quadratfreie Polynome konzentrieren können. Die zentrale Idee des Berlekamp-Algorithmus ist folgender Satz. Satz Sei f F q [X] normiert und Q F q [X], sodass Q q Q mod f. Dann f(x) = α F q ggt(f(x), Q(x) α). Beweis. Wir zeigen, dass die rechte Seite die linke teilen muss und umgekehrt. Jeder ggt auf der rechten Seite teilt f(x). Nachdem die Polynome Q(X) α für α F q paarweise relativ prim sind, folgt, dass auch das Produkt der ggt f(x) teilt. Nachdem h q h mod f ist, folgt, dass f(x) Q(X) q Q(X) = α F q (Q(X) α) teilt. Somit teilt f(x) die rechte Seite. Nun ist f normiert und die beiden Seiten teilen einander. Also bleibt ihnen nichts anderes übrig, als gleich zu sein. Mit diesem Satz bekommen wir eine erste Faktorisierung. Diese ist aber nicht vollständig, weil einerseits die Faktoren auf der rechten Seite reduzibel in F q [X] sein können und andererseits Q(X) c mod f(x) sein kann und wir somit eine triviale Faktorisierung erhalten. Das heiÿt unser Ziel wird es sein, Polynome Q(X) zu suchen, die keine triviale Faktorisierung liefern. Sei nun f = f 1 f r die gesuchte Faktorisierung von f in irreduzible Faktoren f i. Dann suchen wir Q F q [X], sodass Q(X) α i mod f i (X) und deg Q < deg f. Diese Polynome erfüllen Somit gilt (1) Q(X) q α q i α i Q(X) mod f i (X) für 1 i r. Q(X) q Q(X) mod f(x) und deg h < deg f. Wir wollen nun zeigen, dass diese Polynome einen Vektorraum über F q bilden. Proposition Sei f F q [X] quadratfrei mit f = f 1 f r für irreduzible Polynome f i. Dann ist V f := {Q F q [X] deg Q < deg f und Q q Q mod f} ein r-dimensionaler F q -Vektorraum. Beweis. gilt: 1. V f ist ein F q -Vektorraum: Seien Q 1, Q 2 V f, α, β F q und Q := αq 1 + βq 2. Es deg Q max(deg Q 1, deg Q 2 ) < deg f Q q = (αq 1 + βq 2 ) q α q Q q 1 + βq Q q 2 αq 1 + βq 2 = Q mod f. 2. V f hat die Dimension r über F q : Sei Z eine unbestimmte über F q. Wir wissen: Z q Z = α F q (Z α). Sei Q V f und setze Z := Q(X). Es gilt f Q(X) q Q(X) = α F q (Q(X) α). Sei j {1,..., r}. Oensichtlich gilt f j α F q (Q(X) α). Also gibt es ein α j F q mit f j Q(X) α j, und damit Q(X) α j mod P j. Dieses α j ist aufgrund der Eindeutigkeit der Division mit Rest eindeutig bestimmt. Wir betrachten nun die Abbildung Φ : V f F r q, Q (α 1,..., α r ) mit Q(X) α j für 1 j r. mod P j

21 2.4. FAKTORISIERUNG VON POLYNOMEN (BERLEKAMP-ALGORITHMUS) 21 Φ ist injektiv: Seien Q 1, Q 2 V f mit Φ(Q 1 ) = Φ(Q 2 ). Dann gilt Q 1 (X) Q 2 (X) mod f i, also f i (Q 1 Q 2 ) für 1 i r. Also muss auch f (Q 1 Q 2 ) gelten. Weil deg(q 1 Q 2 ) < deg f ist Q 1 = Q 2. Φ ist surjektiv: Sei (α 1,..., α r ) F r q, dann gibt es ein Q F q [X] mit Q α i mod P i (chinesischer Restsatz). OBdA gilt deg Q < deg f, sonst Division mit Rest durch f. Q q α q i = α i Q mod f i, also Q q Q mod f und somit Q V f. Daher ist Φ surjektiv. Also hat V f die selbe Kardinalität wie F r q, nämlich q r und somit Dimension r. Nachdem V f ein Vektorraum der Dimension r über F q ist, gibt es q r Lösungen für unsere Gleichung in (1). Wir wollen diese Gleichung nun mit folgendem Lemma auf ein System linearer Gleichungen reduzieren. Lemma Sei f F q [X], deg f = n und X lq q 0,l + q 1,l X + + q n 1,l X n 1 mod f für 0 l < n. Setze Q f := (q k,l ) 0 k,l n 1 F n n q. Seien b (1),..., b (r) ein Basis des Eigenraumes von Q f zum Eigenwert 1, b (i) = (b (i) 0,..., b(i) n 1 )t und V f wie in der vorhergehenden Proposition deniert. Dann ist n 1 j=0 b(i) j Xj, 1 i r eine Basis von V f. Beweis. Sei Q(x) = n 1 j=0 a jx j. V f = {Q(x) deg Q < n, Q q Q mod f}. n 1 Q V f Q q Q mod f a j X j n 1 a j X jq n 1 a j X j mod f j=0 j=0 j=0 a j n 1 q a j X j n 1 q k,j X k a j X j k=0 j=0 mod f n 1 n 1 n 1 n 1 n 1 n 1 q k,j a j X k a k X k mod f q k,j a j X k = a k X k k=0 j=0 n 1 q k,j a j = a k j=0 a 0. a n 1 k=0 ist EV zum EW 1 von Q f. Basis von V f Basis des Eigenraums. Für den Berlekamp Algorithmus siehe Abbildung 2.1. Bemerkung. Ker(Q f I n ) ist Eigenraum zum Eigenwert 1 von Q f. k=0 j=0 a 0 Q k. = 1 a n 1 a 0. a n 1 k=0 mod f Nachdem das Polynom Q(x) = 1 sicher eine Lösung ist (1 q 1 mod f), ist b (1) = (1, 0,..., 0) t sicher im Ker(Q f I n ) B i sind lt. Lemma Basis von V f. F : im aktuellen Schritt noch nicht betrachtete Faktoren von f.

22 22 KAPITEL 2. POLYNOME ÜBER ENDLICHEN KÖRPERN G: im aktuellen Schritt bereits betrachtete Faktoren von f. Satz Der Berlekamp-Algorithmus terminiert und ist korrekt. Beweis. Nach (r + 1)q(r 1) Durchläufen der while-schleife ist spätestens Schluss. Falls das Return-Statement nicht genutzt wird, so ist Ergebnis undeniert. Immer (vor dem if F G = r) gilt g g = f (leichteste Induktion). g F G : deg g 1. g F (Das wird schon stimmen, sonst stürz ich halt mit einem Bluescreen ab.) Falls wir über Return aussteigen, haben wir Faktorisierung von f in r nicht-konstante Polynome gefunden. Da lt. Vor. f nur r irreduzible Faktoren hat, müssen alle gefundenen Faktoren diese irreduzible Faktoren sein. (Bis jetzt nur Trivialbeobachtungen ohne auf die B s genauer einzugehen.) Zu zeigen bleibt, dass zwei Primfaktoren P i und P j, i j, in irgendeinem Schritt tatsächlich getrennt werden, d.h. f i d und f j g d. g G Behauptung: Es gibt ein 2 s r, ein α i α j F q mit B s α i mod f i, B s α j mod f j. Wir wissen: Es gibt ein Q = r s=1 β sb s V f mit für verschiedene α i α j. Annahme: Q α i mod f i, Q α j mod f j B s γ s mod f i, B s γ s mod f j für 1 s r und passende γ s F q (γ 1 = 1). Also folgt Q β s γ s mod f i, Q β s γ s mod f j. Widerspruch zu α i α j. Falls f i und f j beim Schleifendurchlauf für dieses s und dieses α i noch nicht getrennt sind f i B s α i, aber f i d. f j B s α i (sonst f j B s α j und f j B s α i und somit f j α j α i, eine Konstante 0, Widerspruch). Das heiÿt f j d, also f j g d.

23 2.4. FAKTORISIERUNG VON POLYNOMEN (BERLEKAMP-ALGORITHMUS) 23 Gegeben: f F q [X] quadratfrei. Gesucht: f = f 1 f r mit irreduziblen f i F q [X]. Algorithmus: n = deg f Setze Q f = (q k,l ) 0 k,l, n 1 F n n q, sodass X lq q 0,l + + q n 1,l X n 1 (mod f). Wähle Basis b (1),..., b (r) von ker(q f I n ) (Gauÿ-Elimination), wobei b (1) = (1, 0,..., 0) t. B i = n 1 j=0 b(i) j Xj. G = f. for all 0 s r do end for for all α F q do F = G. G =. while F do Wähle g F. F = F \ {g}. d = ggt(b s α, g). if 1 deg d < deg g then G = G {d, g/d}. else G = G {g}. end if if F G = r then Return F G. end if end while end for Abbildung 2.1: Berlekamp Algorithmus

24 24 KAPITEL 2. POLYNOME ÜBER ENDLICHEN KÖRPERN

25 Kapitel 3 Grundbegrie der Codierungstheorie 3.1 Einführung ISBN10 (International Standard Book Number): 3 }{{} deutsch }{{} Springer Verlag bzw X } {{ }- 5 Buch funktioniert modulo 11 (X=10). ISBN13 (= EAN): }{{} book land 49 }{{} Japan }{{} Prüfzier }{{} Prüfzier Überprüfung von EAN bzw. ISBN13: (1, 3, 1,..., 3, 1, 3, 1) (9, 7, 8, 3, 5, 4, 0, 6, 4, 1, 3, 3, 9) t 0 mod 10. Bei Überprüfung werden einfache Fehler erkannt: Eine Zier falsch: die meisten Ziernstürze. Nicht erkannt: x y mod 10 oder 3x 3y mod 10 x = y. Vertauschen zweier nenbeneinanderliegender Ziern, wenn sie kongruent mod 5 sind: 3x + y x + 3y mod 10 2x 2y mod 10 x y mod 5. Prüfzier ist relativ billig: Informationsrate IBAN (International Bank Account Number): komische Manipulation, dann mod

26 26 KAPITEL 3. GRUNDBEGRIFFE DER CODIERUNGSTHEORIE ÖBB-Lokomotiven: }{{} Reihe }{{} Ordnungsnr }{{} Prüfzier Bis jetzt: Prüfzier gegen menschliche Irrtümer. Aber auch: (1, 1, 1, 6, 0, 7, 7) 1 + PZ 0 mod Festplatten: Jeder 512 Byte Block braucht ca. 540 Bytes. (CRC = cyclic redundancy check) ECC-Memory: 1-Bit-Fehler korrigieren, 2-Bit-Fehler erkennen Funk Beispiel. 3 synthetische Codes als Beispiele: 1. Codewörter: {0, 1} 8 (also 8 Bit). Summe der Bits gerade? (Paritätscheck) Erkenne 1-Bit-Fehler. 7 Bit Nutzdaten, 1 Bit Prüfbit. 2. Codewörter: 3 Bit Länge, alle gleich Bit Nutzdaten, 2 Bit Prüfbits, also kostspielig. Erkenne 2 Bit-Fehler, oder (exklusiv) korrigiere 1 Bit-Fehler (Mehrheitsentscheidung; bei Erhalt von z.b. 101 korrigiere auf 111). 3. Codewörter: 6 Bit Länge, abcxyz. a + b + x 0 mod 2 a + c + y 0 mod 2 b + c + z 0 mod 2 x, y, z sind Prüfbits, a, b, c Nutzdaten. Erkenne 2 Bit-Fehler, oder korrigiere 1 Bit-Fehler (Nachrechnen oder warten). 3.2 Blockcodes, Distanz, Hamminggewicht Denition. Sei A eine endliche Menge (Alphabet) und m, n N mit m n. Eine Teilmenge C von A n der Kardinalität C = A m heiÿt ein (n, m)-blockcode. Eine bijektive Abbildung E : A m C heiÿt Codierer für C (coding scheme), die Umkehrabbildung heiÿt Decodierer (decoding scheme). Beispiel. alle: A = {0, 1}.

27 3.2. BLOCKCODES, DISTANZ, HAMMINGGEWICHT n = 8, m = 7. E :(x 1,..., x 7 ) (x 1, x 2,..., x 7, x 1 + x x 7 mod 2) E 1 :(y 1,..., y 7, y 8 ) (y 1,..., y 7 ) C ={(y 1,..., y 8 ) y y 8 0 mod 2}. 2. n = 3, m = 1. E : (x) (x, x, x). 3. n = 6, m = 3. E : (a, b, c) (a, b, c, a + b mod 2, a + c mod 2, b + c mod 2). Denition. Ein Codierer heiÿt systematisch, falls für passende z m+1,..., z n gilt. E(x 1,..., x m ) = (x 1,..., x m, z m+1,..., z n ) Bemerkung. Alle bisher betrachteten Codierer (bis auf IBAN) sind systematisch. Denition. Sei A eine endliche Menge, x, y A n. 1. Die (Hamming-)Distanz d(x, y) := #{j {1,..., n} x j y j } ist die Anzahl der Stellen, an denen sich x und y unterscheiden. 2. Das Hamming-Gewicht ist deniert als wobei 0 A und 0 = (0,..., 0). wt(x) := d(x, 0), Satz 3.1. Sei A eine endliche Menge und d die Hammingdistanz auf A. Dann ist (A n, d) ein metrischer Raum. Beweis. Oensichtlich gelten d(x, y) 0, d(x, y) = 0 x = y und d(x, y) = d(y, x). Es fehlt noch die Dreiecksungleichung. Hierzu seien jetzt x, y, z A n. Wir setzen Oensichtlich gilt M N =. Weiters Auÿerdem (weil x j z j und x j = y j y j z j ) und M := {j {1,..., n} x j = y j und x j z j }, N := {j {1,..., n} x j y j und x j z j }. d(x, z) = #(M N) = #M + #N. #M d(y, z) #N d(x, y), somit d(x, z) = #M + #N d(x, y) + d(y, z).

28 28 KAPITEL 3. GRUNDBEGRIFFE DER CODIERUNGSTHEORIE Denition. Die Minimaldistanz d(c) eines Blockcodes C ist als deniert. Beispiel. 1. Paritätscheck: d(c) = 2. d(c) := min{d(x, y) x C, y C, x y} d( , ) = 2 d(c) 2. Seien x y C. Wenn x j y j für ein 1 j 8, dann muss es ein k j geben, sodass x k y k (Paritätsbedingung), d.h. d(x, y) 2, also d(c) facher Wiederholungscode: d(111, 000) = 3 d(c) = d(c) = 3 (ohne Beweis). (Codwörter hinschreiben, alle Paare bilden.) Denition. Sei C ein (n, m)-blockcode. ein Fehlerprozessor F ist eine Abbildung sodass Bemerkung. F : A n {wahr, falsch} A n, F (x) = (wahr, y) = y C. z } {{ A m E n Übertragung, Störung, etc. } x C A y Nutzdaten (wahr, x) E 1 E 1 (x) = z Fehler korrigieren y F (falsch,?) Fehler erkennen (wahr, x) E 1 E 1 ( x) z unerwünscht Wir wollen den Fehlerprozessor nun benutzen um Fehler zu erkennen. Dazu müssen wir uns aber zuerst überlegen, was wir unter einem t-bit-fehler verstehen. Wir wollen nun den Begri der Fehlerkorrektur einführen. Denition. Sei t N und C ein (n, m)-blockcode über A. Ein Fehlerprozessor F korrigiert t-bit-fehler, wenn es für jedes y A n höchstens ein c C gibt, sodass d(y, c) t, und F (y) = (wahr, c). Wenn ein Wort c C übertragen wird und dabei t Fehler (t Bits fallen um) auftreten, sodass sich das Wort y ergibt, dann gilt oensichtlich d(y, c) t. Wenn nun C t-bit-fehler erkennt, gibt es höchstens ein c C das y am nächsten liegt (d(c, y) t). Dieses c muss das ursprüngliche c sein. Proposition 3.2. Sei C ein (n, m)-blockcode über A. Dann sind folgende Aussagen äquivalent: 1. Es gibt einen Fehlerprozessor, der Fehler bis zum Gewicht s korrigiert. 2. d(c) 2s + 1 Beweis. Sei B s (x) eine Kugel in F n q mit Radius s und Mittelpunkt x. Dann gilt oensichtlich B s (x) = {y F n q d(x, y) s}. Um nun t Bit-Fehler zu korrigieren dürfen sich die Kugeln vom Radius s um die Codewörter nicht schneiden. Angenommen es gäbe ein u F n q mit u B s (x) B s (y), x y C. Dann d(x, y) d(x, u) + d(y, u) 2s, was ein Widerspruch zur Annahme d C 2s + 1 ist.

29 3.3. LINEARE CODES 29 Denition. Ein Fehlerprozessor F erkennt t-bit-fehler, wenn für alle x C und alle y A n mit d(x, y) = t gilt, dass F (y) = ([x = y],?). Proposition 3.3. Sei C ein (n, m)-blockcode über A und t N. Dann sind folgende Aussagen äquivalent: 1. Es gibt einen Fehlerprozessor F für C, der t-bit-fehler erkennt. 2. d(c) t + 1. Beweis. 1 = 2: Sei F so ein Fehlerprozessor. Angenommen, d(c) t. Dann gibt es c 1, c 2 C mit 0 < d(c 1, c 2 ) t. c 2 könnte eine fehlerbehaftete Übertragung von c 1 sein, aber F (c 2 ) = (wahr,?). 1 = 2: d(c 1, c 2 ) t + 1. F (y) = ([y C], y). Satz 3.4. Sei C ein (n, m)-blockcode über A, s, t N 0. Dann sind folgende Aussagen äquivalent: 1. Es gibt einen Fehlerprozessor, der Fehler mit Gewicht s korrigiert und Fehler von Gewicht {s + 1,..., s + t} erkennt. 2. d(c) 2s + t + 1 Beweisskizze. Für x, y C: B(x, s + t) B(y, s) = d(c) > 2s + t d(c) 2s + t + 1. Denition (Rate). Sei C ein (n, m)-blockcode. Dann heiÿt m n die Rate von C. Beispiel. 1. Paritätscheck: fach-Wiederholung: abcxyz: 3 6 = Lineare Codes Denition. Sei F q ein endlicher Körper, m, n N. Ein Unterraum C von F n q der Dimension m (bezieht sich auf C) heiÿt linearer (n, m)-code über F q. Der Codierer F m q F n q soll eine lineare Abbildung sein. Falls q = 2, spricht man auch von einem binären linearen Code. Die Matrixdarstellung des Codierers bzgl. der Standardbasen von F m q bzw. F n q heiÿt Generatormatrix G. Beispiel. 1. Paritätscheck: = ( I7 1 t )

30 30 KAPITEL 3. GRUNDBEGRIFFE DER CODIERUNGSTHEORIE Bemerkung. C ist systematischer Code Generatormatrix = ( ) Im mit A F (n m) m q. A Proposition 3.5. Sei C ein linearer (n, m)-code. Dann gibt es eine Matrix M, sodass x C Mx = 0. Jede solche Matrix hat mindestens n m Zeilen, wobei es auch eine solche Matrix mit n m Zeilen gibt. Beweis. Wir benötigen eine lineare Abbildung F von F n q nach F n q mit C = Ker F. Sei v 1,..., v m eine Basis von C, die durch v m+1,..., v n zu einer Basis von F n q ergänzt wird. Wähle z.b. F (v j ) = { 0. 0 j m e j m j > m mit 0 ej = 1 j-te Zeile Es gilt Ker F = C. (C Ker F lt. Konstruktion. Im F = Fq n m. Dimensionsformel: dim Ker F + dim } {{ Im F } = n, somit dim Ker F = m C = Ker F.) =n m Eine Matrixdarstellung von F bzgl. Standardbasen ergibt die gewünschte Matrix. Jede solche Matrix hat mindestens n m Zeilen, weil rank M = n Ker M = n m. Denition. Eine Matrix mit den Eigenschaften aus der Proposition heiÿt Prüfmatrix (oder Checkmatrix, engl. parity-check matrix) für C. Beispiel. 1. Paritätscheck: ( 1 1 ) 2. 3-fach-Wiederholung: ( ) oder ( 1 0 ) abcxyz:

31 3.3. LINEARE CODES 31 Proposition 3.6. Sei C ein systematischer linearer (n, m)-code mit Generatormatrix A F (n m) m q. Dann ist ( A I n m ) F (n m) m q eine Prüfmatrix für C. ( Im A ), Beweis. somit rank ( ) A I n m = n m wegen der Einheitsmatrix ( ) Im x C x = y für ein y F m A q, Mx = ( A I n m ) ( I m A ) y = ( AI + IA)y = 0, also C Ker ( ) A I n m. Laut Dimensionsformel muss Gleichheit folgen: C = Ker ( ) A I n m. Proposition 3.7. Sei C ein linearer Code. Dann gilt d(c) = min{wt(c) c C, c 0}. (Statt alle Paare und ihre Dierenz zu betrachten, brauche ich nur die c selbst betrachten.) Beweis. d(x, y) = #{j x j y i } = #{j x j y j 0} = wt(x y). Da C linear ist, ist C ein Unterraum und es gilt für x, y C auch x y C. min d(x, y) = min x y,x,y C (Jedes c C tritt als Dierenz auf, z.b. c 0.) wt(x y) = min x y,x,y C wt(c) c 0,c C Bemerkung. Das drückt die Komplexität einer trivialen Suche nach der Hammingdistanz von C 2 1 auf C 1. Fehlererkennung war leicht (Prüfmatrix). Wie soll man Fehler korrigieren? Damit meinen wir, zu gegebenem x F n q ein c C mit d(c, x) minimal zu nden. Standard-Tafel Die Standard-Tafel ist eine Tabelle bestehend aus q m Spalten und q n m Zeilen. Jeder Eintrag ist ein Wort aus F n q. Die 1. Zeile besteht aus allen Codewörter x 11 = 0 x x 1q m Wähle ein x mit minimalem Gewicht, das noch nicht in der Tafel steht, und notiere x + x 11 x + x x + x 1q m. Iteriere (immer 1. Zeile dazuaddieren). Falls ein Element doppelt vorkommt, x + x 1k = x + x 1l,

32 32 KAPITEL 3. GRUNDBEGRIFFE DER CODIERUNGSTHEORIE so folgt für passendes t (Widerspruch). D.h. in jeder Zeile gilt x = x + (x 1k x 1l ) = x + x 1t wt(x k1 ) wt(x kj ) für alle j. Wir nehmen nun an, dass wir ein x kj empfangen. Dann suchen wir jenes c C mit d(x kj, c) minimal, also wt(x kj c) minimal. Die Elemente x kj c, c C, sind genau die Elemente der k-ten Zeile (aufgrund der Linearität). Suche das Element geringsten Gewichts in der k-ten Zeile. Das erste Element der k-ten Zeile minimiert das. x kj c = x k1, somit c = x kj x k1 = (x k1 + x 1j ) x k1 = x 1j. Das gesuchte Codewort ist das erste Element der jeweiligen Spalte. Die Lösung ist genau dann eindeutig, wenn wt(x k1 ) < wt(x kj ) für alle j > 1. Damit haben wir eine Lösung, die Standardtafel, für das Fehlerkorrekturproblem gefunden. Aber sie löst das Problem sehr inezient. Was ist das wirklich? Die Zeilen der Standardtafel sind die Nebenklassen modulo C. 1. Element der Zeile: Element geringsten Gewichts aus der Nebenklasse (coset leader). Wenn also ein Element empfangen wird, suche die richtige Nebenklasse. x + C = y + C x y C M(x y) = 0 Mx = My. Gegeben: Linearer Code C durch Prüfmatrix M, x F n q. Gesucht: c C mit d(x, c) minimal. Algorithmus: Bestimme für jede Nebenklasse ein Element x j kleinsten Gewichts, setze h j = Mx j (Hash-Wert). Suche j mit Mx = h j. Gib x x j zurück. Abbildung 3.1: Fehlerprozessor Korrektheit: siehe oben. Wie kommt man nun zu den coset leaders? Die coset leaders sind genau die korrigierten Fehler. Beispiel. Betrachte abcxyz. Coset leaders: Zeilen Es gilt dim C = 3, n = 6, dim(f n 2 /C) = 6 3 = 3. 8 Nebenklassen. Schreibe Stelle des 8. coset-leaders aus (2-Bit-Fehler, nicht eindeutig). Code hat noch etwas Luft.

33 3.4. HAMMING CODES 33 Sei C ein binärer linearer (4,2)-Code mit Generatormatrix G und Prüfmatrix M: G = ( ) , M = Wir bekommen folgende Tabelle der cosets: ( ) Nachrichten Code-Wörter Cosets ( 0 0) ( ) 1 ( 0 1 1) ( ) 0 1 Proposition 3.8. Ein linearer Code C hat genau dann Minimaldistanz d+1, wenn je d Spalten der Prüfmatrix M linear unabhängig sind. Beweis. Angenommen es gibt d linear abhängige Spalten in M. Dann gilt Mc = 0 und wt(c) d für ein passendes 0 c C. Damit gilt d C d. Andererseits seien nun je d Spalten linear unabhängig, dann gibt es kein 0 c C mit wt(c) d. Daraus folgt nun d C d + 1. Korollar 3.9. Ein binärer linearer Code korrigiert 1-Bit Fehler genau dann, wenn alle Spalten der Prüfmatrix verschieden sind. Beweis. 1-Bit Fehler d(c) 3 je zwei Spalten linear unabhängig über F 2 je zwei Spalten verschieden. 3.4 Hamming Codes Denition. Sei k N. Deniere den k-ten Hammincode Hamming(k) durch die Prüfmatrix M F k (2k 1) 2 in deren Spalten alle Vektoren aus dem F k 2 \ {(0,..., 0) t } stehen. Beispiel M = rang(m) = 3 (Einheitsmatrix), dim Ker M = 4 Blocklänge 7, 3 Checkbits, 4 Nutzdatenbits und korrigiere 1-Bit Fehler Hamming(3) ist ein linearer (7, 4)-Code, der 1-Bit Fehler korrigiert. Satz Der Hammingcode Hamming(k) ist ein linearer (2 k 1, 2 k k 1)-Code mit Minimaldistanz 3. D.h. 1-Bit Fehler können korrigiert werden. Beweis. Der Rang der Prüfmatrix M ist k, da die Spalten von I k in den Spalten von M enthalten sind. dim C = dim Ker M = 2 k k 1. Die Aussage über 1-Bit Fehler folgt aus dem letzten Korollar. Die Rate eines Hammingcodes ist gleich 2k k 1 2 k k 1. Also haben Hammingcodes eine tolle Rate aber für groÿes k eine lausige Fehlerkorrektur.

34 34 KAPITEL 3. GRUNDBEGRIFFE DER CODIERUNGSTHEORIE Denition. Ein (n, m)-blockcode heiÿt r-perfekt, wenn für jedes w A k genau ein v C existiert, sodass d(v, w) r (r N). Beispiel. abcxyz ist kein 1-perfekter Code, weil wir für w = die beiden Codewörter oder haben. Wir haben somit für r 2 erst recht keine Eindeutigkeit. Proposition Hamming(k) ist 1-perfekt. Beweis. Sei w A n. Mw = 1 b. für passendes b 1,..., b k. b k w C b 1. b k = 0. 0 sonst coset leaders (da alle 1-Bit Fehler korrigiert werden) ,,..., b. kommt aber in M als Spalte vor. D.h. es existiert ein eindeutiges j {1,..., k} mit b k 1 b. = Me j. b k Bemerkung. Es gibt ziemlich wenige perfekte Codes: Hammingcodes gewisse Wiederholungscodes Golay-Codes (2 Stück) 3.5 Der Satz von Shannon Bevor wir den Satz von Shannon beweisen, wollen wir ihn mit dem folgenden Experiment motivieren. Nehmen wir an, wir benden uns in einem Raum, in dem jemand eine Münze t mal in der Minute wirft. Dieser Raum ist mit einem zweiten Raum über ein Kabel verbunden. Über dieses Kabel können wir jeden Ausgang eines Wurfs als 0 oder 1 übertragen. Nachdem Rauschen auf dem Kanal liegt, kommt das Signal mit Wahrscheinlichkeit p falsch an, also wird mit Wahrscheinlichkeit p aus einer 0 eine 1 und umgekehrt. Einen derartigen Kanal nennt man binary symmetric channel, kurz BSC. Wir nehmen weiters an, dass wir 2t Symbole (also 0 und 1) pro Minute übertragen und dass wir den Kanal für die Zeit T, welche auch dieselbe Zeit ist, wie die Münzwürfe dauern, benutzen können. Dann ist oensichtlich, dass am Ende der Übertragung ein Teil p der Übertragungen fehlerhaft ist.

35 3.5. DER SATZ VON SHANNON 35 Wenn wir nun aber die zeitliche Begrenzung T auÿer Acht lassen und annehmen, dass wir beliebig lange übertragen können, dann könnten wir jedes Symbol öfter, sagen wir N mal (für N ungerade) übertragen. Die Decodierung erfolgt durch Mehrheitsentscheid, das heiÿt, wir decodieren das Wort als 0 oder 1 je nachdem welches Symbol öfter vorkommt. Dieser Code entspricht für N = 3 unserem Beispiel 2. Sei nun p = 0.001, dann ist die Wahrscheinlichkeit, dass der Decodierer einen Fehler macht, gleich ( ) N (1 p) k p N k < (0.07) N. k 0 k< N 2 Diese Wahrscheinlichkeit geht gegen 0 für N gegen unendlich. In unserem Fall haben wir aber dennoch eine zeitliche Schranke T, die wir einhalten müssen. Der Satz von Shannon besagt nun, dass wir trotzdem einen beliebig kleinen Übertragungsfehler erreichen können. Satz 3.12 (Shannon 1948). Sei C ein Code mit Blocklänge n und c 1,..., c M seien die Codewörter. Sei P i die Wahrscheinlichkeit, dass eine falsche Entscheidung getroen wird, wenn das Codewort c i übertragen wird. Dann ist die Wahrscheinlichkeit einer falschen Entscheidung für den Code gleich P C := 1 M P i. M i=1 Wenn 0 < R < 1 + p log p + q log q und M n := 2 Rn, dann min P C 0 für n, wobei das Minimum über alle Codes mit Blocklänge n, Fehlerwahrscheinlichkeit p und Kardinalität M n geht. Wenn wir diesen Satz mit unserem Experiment vergleichen erhalten wir, dass wir für n genügend groÿ immer einen Code der Länge n nden, mit einer Rate nahe bei 1 (vorausgesetzt T ist groÿe genug, sodass wir Codewörter der Länge n überhaupt übertragen können). Beweis von Satz Die Anzahl der Fehler in einem empfangenen Wort ist einen Zufallsvariable mit Erwartungswert np und Varianz np(1 p). Wir setzen b gleich np(1 p) b :=. (ε/2) Dann erhalten wir mittels Tschebyschow-Ungleichung, dass (1) P (w > np + b) ε 2. Nachdem p < 1 ist, ist 2 ρ := np + b < 1 2 n für genügend groÿes n. Nun denieren wir zwei Funktionen denieren, die es uns ermöglichen den Satz umzuschreiben. Konkret, seien u, v {0, 1} n, dann ist { 0, if d(u, v) > ρ, f(u, v) = 1, if d(u, v) ρ. Für c i C und r {0, 1} n sei g i (r) := 1 f(r, c i ) + j i f(r, c j ).

36 36 KAPITEL 3. GRUNDBEGRIFFE DER CODIERUNGSTHEORIE Wenn wir nun r empfangen und c i ist das einzige Codewort mit d(r, c i ) ρ, dann ist g i (r) = 0 und sonst ist g i (r) 1. Wir wollen den Code nun wie folgt decodieren. Wenn wir r empfangen und c i ist das einzige Codewort mit d(r, c i ) ρ, dann decodieren wir r mit c i und sonst geben wir einen Fehler zurück beziehungsweise, wenn wir decodieren müssen, geben wir c 1 zurück. Sei nun P i die im Satz denierte Wahrscheinlichkeit, dass wir einen Fehler machen, wenn c i übertragen wird. Dann gilt P i = P (r c i )g i (r) = P (r c i ) (1 f(r, c i ))) + P (r c i )f(r, c j ). r {0,1} n r {0,1} n r {0,1} n j i Der erste Term auf der rechten Seite entspricht der Wahrscheinlichkeit, dass das empfangene Wort r einen Abstand gröÿer ρ von c i hat. Diese ist laut (1) kleiner oder gleich 1 2ε. Damit erhalten wir für die Fehlerwahrscheinlichkeit des Codes P C 1 2 ε + 1 M M P (r c i )f(r, c j ). i=1 r {0,1} n j i Die Hauptidee des Beweises ist es, dass das Minimum über alle Codes sicher kleiner gleich dem Erwartungswert ist. Damit erhalten wir, dass wobei min P C 1 C 2 ε + 1 M 1 2 ε + 1 M M i=1 r {0,1} n j i M i=1 r {0,1} n j i E(P (r c i ))E(f(r, c j )) 1 2 ε + (M 1)2 n B(c j, ρ), E(P (r c i )) B(c j, ρ) 2 n B(x, ρ) := {y {0, 1} n : d(x, y) ρ}. Wir erhalten mit der Stirling'schen Formel als Abschätzung für die Elemente in einer Kugel vom Radius ρ ρ ( ) n B(x, ρ) = < 1 ( ) n k 2 n 12 ρ n n n ρ ρ (n ρ) n ρ. k=0 Davon nehmen wir den Logarithmus und erhalten log B(x, ρ) < 1 + log n + n log n ρ log ρ (n ρ) log(n ρ) = 1 + log n ρ log ρ ( n (n ρ) log 1 ρ ). n Wir setzen ein und dividieren durch n ( 1 n log min P C 1 ) C 2 ε 1n ( log M 1 log n n + ρ n log ρ n + (1 ρ n ) ( log 1 n) ρ ). Nun stürzen wir uns auf die Klammer rechts und schätzen die beiden letzten Terme ab. Wir erhalten ρ n log ρ n = 1 np + b np + b log = p log p + O(n 1 2 ) n n und ( 1 ρ ) ( log 1 ρ ) = (1 p) log(1 p) + O(n 1 2 ). n n

37 3.5. DER SATZ VON SHANNON 37 Eingesetzt ergibt dies ( 1 n log min P C 1 ) C 2 ε 1 n log M (1 + p log p + (1 p) log(1 p)) + O(n 1 2 ). Wir ersetzen M mit M n und erhalten mit den Schranken für R, dass ( 1 n log min P C 1 ) C 2 ε < β < 0 für genügend groÿes n und somit min C P C < 1 2 ε + 2 βn.

38 38 KAPITEL 3. GRUNDBEGRIFFE DER CODIERUNGSTHEORIE

39 Kapitel 4 BCH Codes und andere polynomielle Codes 4.1 BCH Codes als Subcodes von Hammingcodes Nachdem wir im vorigen gezeigt haben, dass ein Hammingcode perfekt ist, wollen wir diesen nun als Ausgangspunkt für einen Code wählen, der mehr als einen Fehler korrigiert, indem wir zusätzliche Zeilen in die Prüfmatrix schreiben. Damit wir überhaupt etwas erreichen, dürfen neue Zeilen nicht als Linearkombination alter Zeilen entstehen. Trotzdem sollten wir die neuen Zeilen nicht willkürlich wählen, sondern dem Ganzen eine Systematik zu Grunde legen, damit die spätere Analyse leichter wird. Eine erste Idee ist es, die neuen Zeilen als Polynome in den alten Zeilen zu erzeugen. Wir müssen aber bedenken, dass es auch zu trivialen Erweiterungen kommen kann. So sind die Polynomfunktionen über F 2 uninteressant, denn x k = x für alle x F 2 und k N. Beispiel. Wir betrachten den Hamming(3) etwas näher Jede Spalte entspricht eindeutig einem 0 β F 8 F 2 [X]/(X 3 + X 2 + 1), denn b 2 b 1 b 0 Die Prüfmatrix entspricht b 0 + b 1 X + b 2 X 2 F 2 [X]/(X 3 + X 2 + 1). X 6 X 5 X 4 X 3 X 2 X 1 X 12 X 10 X 8 X 6 X 4 X 2 1 X 18 X 15 X 12 X 9 X 6 X 3 1 X 24 X 20 X 16 X 12 X 8 X 4 1 Nachdem die Determinanten aller 4x4-Untermatrizen nicht 0 sind ist die Minimaldistanz gleich 5 und somit sind 2 Fehler korrigierbar. Denition. Sei p eine Primzahl, k, t N und β ein primitives Element von F p k. Sie Ψ die Koordinatenabbildung, d.h. Ψ : F k p F p k (d 0,..., d k 1 ) t d j β j. 39 j=0

40 40 KAPITEL 4. BCH CODES UND ANDERE POLYNOMIELLE CODES Der lineare Code mit Prüfmatrix Ψ 1 (β pk 1 ) Ψ 1 (β) Ψ 1 (1) Ψ 1 (β 2pk 1 ) Ψ 1 (β 2 ) Ψ 1 (1 2 )... Ψ 1 (β 2t(pk 1) ) Ψ 1 (β 2t ) Ψ 1 (1 2t ) heiÿt BCH(k, t)-code über F p. Dieser Code ist nach seinen Erndern R.C. Bose, D.K. Ray-Chaudhuri und A. Hocquenghem benannt. Satz 4.1. Der BCH(k, t) ist ein linearer Code über F p mit Blocklänge n = p k 1 und Minimaldistanz 2t + 1 (d.h. t Fehler können korrigiert werden). Beweis. Nachdem die Prüfmatrix p k 1 Spalten hat, ist die Blocklänge p k 1. Es bleibt zu zeigen, dass die Minimaldistanz 2t + 1 ist. Dies ist genau dann der Fall, wenn je 2t Spalten der Prüfmatrix linear unabhängig über F p sind. Wir wählen also 2t Spalten Ψ 1 (β ji ) Ψ 1 (β 2ji ). für 0 j 1 j 2t p k 2. Ψ 1 (β 2tji ) Diese 2t Spalten sind linear unabhängig über F p = β ji β 2ji. β 2tji β ji β 2ji. β 2tji für 0 j 1 j 2t p k 2 linear unabhängig über F p sind. für 0 j 1 j 2t p k 2 linear unabhängig über F p k sind. β j2t β j1.. eine reguläre Matrix über F p k ist. β 2tj2t β 2tj1 β j2t β j1 det.. β 2tj2t β 2tj1 0. Nun ist aber die Determinate gleich 1 1 β j2t β j1 β j2t β j1 det.. = β j2t β j2t 1 β j1 det.. β 2tj2t β 2tj1 (β j2t ) 2t 1 (β j1 ) 2t 1 = β j2t β j2t 1 β j1 (β ji β jj ) 0. 1 i<j 2t

41 4.1. BCH CODES ALS SUBCODES VON HAMMINGCODES 41 Im Beweis des vorigen Satzes haben wir die exakte Darstellung der Determinante der Vandermonde- Matrix benötigt, die wir nun beweisen wollen. Lemma 4.2. Sei R ein ZPE-Ring und X 1,..., X n Unbestimmte über R. Dann gilt det 1 1 X 1 X n.. X1 n 1 Xn n 1 = 1 i<j n (X j X i ) 0. Beweis. Sie P (X 1,..., X n ) = det( ) das charakteristische Polynom. Dann ist der Totalgrad des Polynoms (n 1)n deg P (n 1) + (n 2) =. 2 Wenn nun X i = X j, dann sind zwei Spalten gleich und somit die Determinante 0. Also (X i X j ) P (X 1,..., X n ) für 1 i < j n. Da alle (X i X j ) mit 1 i < j n relativ prim sind, gilt auch 1 i<j n (X i X j ) P (X 1,..., X n ). Für den Totalgrad des Produktes auf der linken Seite ergibt sich deg 1 i<j n (X i X j ) = ( ) n = 2 n(n 1). 2 Damit sind die Grade gleich und die linke und rechte Seite kann sich nur um eine Konstante unterscheiden. Also P (X 1,..., X n ) = C (X i X j ). 1 i<j n Wir vergleichen den Koezienten bei Xn n 1 Xn 1 n 2 X1 2 X1. 0 Dies ist das Leitmonom bezüglich der Ordnung X n > X n 1 > > X 2 > X 1. Wir erhalten in P (X 1,..., X n ) den Koezient 1, in 1 i<j n (X i X j ) den Koezient 1. Damit muss C = 1 sein und wir sind fertig. Proposition 4.3 (Redundanz in der Prüfmatrix). Jede p-te Zeile, d.h. die Zeilen der Gestalt ( Ψ 1 (β ipj ) j ), können aus der Prüfmatrix eines BCH-Codes weggelassen werden, ohne, dass sich der Code ändert. Beweisskizze. Die Abbildung Φ p : F p k F p k, x x p (Frobenius-Automorphismus) ist eine F p lineare Abbildung. Die ip-te Zeile der Prüfmatrix entsteht also linear aus der i-ten Zeile, ist also überüssig. Im Spezialfall p = 2 ist also nur jede 2-te Zeile interessant.

42 42 KAPITEL 4. BCH CODES UND ANDERE POLYNOMIELLE CODES 4.2 Polynomielle Codes unter besonderer Berücksichtigung von BCH-Codes Die (volle) Prüfmatrix eines BCH-Codes war β pk 1 β 1 β 2pk 1 β β 2t(pk 1) β 2t 1 2t Sei also c = (c n 1,..., c 0 ) F n p, dann ist n 1 c Code c j (β i ) j = 0 für 1 i 2t j=0 n 1 c(β i ) = 0 für c := c j X j für 1 i 2t. Proposition 4.4. Betrachte BCH(k, t)-code mit primitivem Element β F p k. Sei g i das Minimalpolynom von β i F p k über F p. Sei g das Produkt der verschiedenen g i, d.h. 2t g := g i. i=1 j=0 Dann gilt Beweis. n 1 c = (c n 1,..., c 0 ) t BCH(k, t) g c j X j. j=0 Da jedes g i irreduzibel und normiert ist, gilt Also folgt kgv({g i : i = 1,..., 2t}) = g. Beweis von Proposition 4.3. c BCH(k, t) c(β i ) = 0 für 1 i 2t g i c für alle 1 i 2t kgv({g i : i = 1,..., 2t}) c. kgv(g i, g j ) = { g i g i = g j, g i g j g i g j. c(β ip ) = ( c(β i ) p, 0 = 0. Bemerkung. Wir treen folgende Konvention: n 1 (c n 1,..., c 0 ) F n p c j X j F p [X] j=0

43 4.2. POLYNOMIELLE CODES 43 Denition. Sei p eine Primzahl und n N. Ein linearer Code C F n p heiÿt Polynomialer Code, wenn es ein g F p [X] gibt, mit C = {c F n p : g c}. Bemerkung. Obige Proposition zeigt, dass der BCH(k, t) ein Polynomialer Code ist. g heiÿt das Generatorpolynom. Denition. Wir denieren die Linksrotation als rot : F n p F n p, (c n 1,..., c 0 ) (c n 2,..., c 1, c 0, c n 1 ). Satz 4.5 (Charakterisierung von Polynomiellen Codes). Sei C F n p die folgenden Aussagen äquivalent: ein linearer Code. Dann sind 1. C ist polynomieller Code. 2. rot(0, c n 2,..., c 0 ) C, falls (0, c n 2,..., c 0 ) C. Beweis. (1) (2): Sei C = {c F n p : g c} und sei c = (0, c n 2,..., c 0 ) C. Also gibt es ein h F p [X] mit c = g h und deg h n 2 deg g. Es folgt, dass rot(c) = X c + 0 = X c = g(x h). Da nun deg(g(x h)) deg(g) n 2 deg(g) = n 1 und g rot(c), gilt rot(c) = g(x h) C. (2) (1): Wähle g C so, dass g minimalen Grad aller von 0 verschiedenen Codewörter (Codepolynome) hat. Setze d := deg g. Dann ist g = (0,..., 0, g d,..., g 0 ) C. Es folgt, dass gx = rot(g) C und durch Iteration auch gx k = rot k (g) C für 1 k n d 1. Setze C := {c F n p : g c} = span{g, Xg,..., X n d 1 g}. Da c = g h mit deg h n d 1, folgt, dass h span{1, X,..., X n d 1 } und somit dass C C. Sei nun c C \ C. Dann gibt es mittels Division mit Rest Polynome q, r F p [X] mit c = qp + r, wobei deg r < deg g = d. Nun ist aber c C und q g C C, womit r C folgt. Nachdem aber deg r < deg g ist, folgt ein Widerspruch zur Wahl von g. Damit gilt C = C. Proposition 4.6. Sei C ein polynomieller Code, C F n p, mit Generatorpolynom g. Dann gilt E : F n 1 deg g p F n p, h g h ist ein Codierer für C. Insbesondere gilt, dass dim C = n 1 deg g. Bemerkung. Es handelt sich also um einen systematischen Codierer. Beweis der Proposition. Nach dem Beweis von Satz 4.5 gilt und alles folgt. C = {c F n p : deg c n 1, g c} = span{g,..., X n deg g 1 g} Bemerkung. Sei C ein polynomieller Code, mit Generatorpolynom g, also C = {g h : deg h n 1 deg g}, dann kann jedenfalls durch Division durch g mit Rest decodiert werden. Denition. Ein Code C heiÿt zyklisch, wenn c C : rot c C (d.h. zyklische Permutationen führen C in C über).

44 44 KAPITEL 4. BCH CODES UND ANDERE POLYNOMIELLE CODES Laut Satz 4.5 ist jeder zyklische lineare Code ein polynomieller Code. Wie übersetzt sich die Bedingung zyklisch auf das Generatorpolynom? Satz 4.7 (Charakterisierung von zyklischen Codes). Sei C ein linearer Code aus F n q Primzahlpotenz). Dann sind folgende Aussagen äquivalent: 1. C ist ein zyklischer Code. 2. C ist ein polynomieller Code mit Generatorpolynom g, sodass g X n 1. (q eine Beweis. (1) (2): Sei C zyklisch, dann ist C laut Satz 4.5 ein polynomieller Code. Sei g sein Generatorpolynom und g sei obda normiert. Dann gilt oensichtlich X n 1 deg g g C. Wir können g nun schreiben als Damit folgt für g = d g j X j (0,..., 0, 1, g d 1,..., g 0 ). j=0 Für die Linksrotation ergibt sich somit, Schlieÿlich folgt aus X n 1 deg g g (1, g d 1,..., g 0 ). rot(x n 1 deg g g) = X n 1 deg g gx X n + 1 = X n deg g g (X n 1). rot(x n 1 deg g g) C g rot(x n 1 deg g g) = X n deg g g (X n 1) g (X n 1). (2) (1): Sei c C mit c = (c n 1,..., c 0 ). Dann gilt für die Linksrotation rot(c) = X c c n X n + c n = X c c n (X n 1). Da nun g c und g (X n 1) folgt, dass g rot c. Für den BCH-Code können wir damit folgendes beweisen. Satz 4.8. Jeder BCH-Code ist zyklisch. Beweis. Sei g das Produkt verschiedener irreduzibler Polynome g j, wobei g j das Minimalpolynom von β j war mit β F p k. Wir wissen, dass β j(pk 1) = 1. Damit folgt, dass g j X pk 1 1. Nachdem n = p k 1, folgt, dass g j X n 1 = g = kgv(g j ) X n 1. Wir wollen uns nun näher damit beschäftigen, wie man zyklische Codes decodiert. Satz 4.9 (Decodierer von zyklischen Codes). Sei g F q [X] mit g X n 1 und h := Xn 1 g F q [X]. Sei weiters C der polynomieller Code mit Generatorpolynom g, also C = {g f : deg f n 1 deg g}. Schlieÿlich sei c F q [X] mit deg c n 1. Dann gilt c C c h (a n 1,..., a 0, a n 1,..., a 0 ), wobei führende Nullen erlaubt sind. In diesem Fall gilt: c g (a n 1,..., a 0 ).

45 4.3. EFFIZIENTE FEHLERKORREKTUR FÜR BCH-CODES 45 Proof. Sei c = g f + r mit deg r < deg g. Dann folgt c h = g h f + r h = (X n 1)f + r h. Sei nun f (a n 1,..., a 0 ), dann gilt, dass (X n 1)f (a n 1,..., a 0, 0,..., 0) (0,..., 0, a n 1,..., a 0 ) = (a n 1,..., a 0, a n 1,..., a 0 ). Nun sei r h (b n 1,..., b 0 ) und es folgt, dass c h (a n 1,..., a 0, a n 1 + b n 1,..., a 0 + b 0 ). Wir haben noch nicht verwendet, dass c C ist. Also gilt c C r = 0 r h = 0 c h = (a n 1,..., a 0, a n 1,..., a 0 ). Damit ist das Decodieren eines zyklischen Codes durch weitere Multiplikation mit dem richtigen Polynom und anschlieÿendem Vergleich des vorderen und hinteren Anteils zu bewerkstelligen. Wir müssen beachten, dass in Charakteristik 2 die Vorzeichen verschwinden. Systematische Codierung Gegeben: f F q [X], deg f n 1 deg g, f (f m,..., f 0 ). Gesucht: r F q [X] mit r (r deg g 1,..., r 0 ), sodass (f m,..., f 0, r deg g 1,..., r 0 ) C. Algorithmus: Es gilt m = n 1 deg g. Wir suchen also (f m,..., f 0, r deg g 1,..., r 0 ) C. Nachdem C ein polynomieller Code ist, ist das gleichbedeutend mit Bemerkung. X deg g f + r 0 (mod g), X deg g = Q g r, deg r < deg g, berechne ( r) durch Division von f durch g mit Rest. Vorteil: Diese Verfahren ist systematisch und macht das dekodieren somit einfach. Nachteil: Die Polynomdivision ist nicht immer billig, aber über F 2 auch nicht tragisch. 4.3 Eziente Fehlerkorrektur für BCH-Codes Wir betrachten den BCH-Code(k,t) mit der Checkmatrix ( β jr ) 1 j 2t, 0 r q k 2 wobei β ein primitives Element aus dem F q ist. Lemma Sei c ein Codewort, e ein Fehler vom Gewicht s t. Wir setzen d = c + e und s(z) := 2t 1 j=0 d(β j+1 )z j. Dann gibt es genau ein Tripel (l(z), u(z), w(z)) von Polynomen über F q mit folgenden Eigenschaften:

46 46 KAPITEL 4. BCH CODES UND ANDERE POLYNOMIELLE CODES deg l t, l(0) = 1, deg u, deg w < t, ggt(l(z), u(z)) = 1, l(z) s(z) + u(z) z 2t = w(z), nämlich l(z) = (1 β j z), j M u(z) = j M w(z) = j M e j β 2t+1 (1 β i z), i j i M e j β j (1 β i z), i j i M wobei M = {m {0,... q k 2} : e m 0}. Bemerkung. Wenn es gelingt, l(z), w(z) über andere Methoden zu erhalten, muss nur l(z) faktorisiert werden, um jene m zu bestimmen, wo ein Fehler aufgetreten ist. Unter Verwendung von w sind auch die e m erhältlich. Beweis. 1. Es gibt höchstens ein solches Tripel. Andernfalls seien (l 1, u 1, w 1 ) und (l 2, u 2, w 2 ) zwei solche Tripel. Dann gilt } l 1 (z) s(z) + u 1 (z)z 2t = w 1 (z) l 2 l 2 (z) s(z) + u 2 (z)z 2t = w 2 (z) l 1 z 2t (u 1 l 2 l 1 u 2 ) = l 2 w 1 l 1 w 2. Nun ist aber die rechte Seite vom Grad her kleiner als 2 t und somit muss u 1 l 2 = l 1 u 2 l 2 w 1 = l 1 w 2. und Da ggt(u 2, l 2 ) = 1, folgt mit l 2 u 1 l 2 = l 1 u 2, dass l 2 l 1, und analog, dass l 1 l 2. Somit muss l 1 = f l 2 mit f F q. Wegen l 1 (0) = l 2 (0) = 1 muss f = 1 sein und somit l 1 = l 2. Damit folgt aber u 1 = u 2 und w 1 = w Die angegebenen Polynome leisten, was von ihnen erwartet wird. Sei d = c + e und c ein Codewort. Dann folgt, dass d(β k+1 ) = c(β k+1 ) + e(β k+1 ) = e(β k+1 ) = j M e j β (k+1)j. Damit folgt für s(z), dass s(z) = 2t 1 k=0 j M = j M e j β (k+1)j z k = 2t 1 e j β j (βz) k = j M k=0 j M e j β j 1 1 β j z z2t e j β j(2t+1) 1 1 β j z. j M e j β j 1 (βj z) 2t 1 β j z Wenn wir nun mit dem gemeinsamen Nenner l(z) multiplizieren erhalten wir l(z)s(z) = w(z) z 2t u(z).

47 4.3. EFFIZIENTE FEHLERKORREKTUR FÜR BCH-CODES 47 Wir notieren uns, dass w(z) l(z) = e j β j 1 1 β j z j M ist. Damit können wir die Koezienten von e j β j aus der Partialbruchzerlegung von w(z) l(z) ablesen. Wir wissen, dass M = s t gilt. Damit folgt deg l = s t, deg w s 1 < t, deg u s 1 < t und l(0) = j M (1 0) = 1. Damit bleibt noch der ggt(l, u) zu zeigen. Die Primfaktoren (irreduzible Faktoren) von l sind die Polynome 1 β j z. Nun gilt aber für j M ( ) 1 1 β j z u(z) u β j = 0 e j β j(2t+1) ( 1 β i j ) = 0 nie. i j i M Somit folgt, dass der ggt(l, u) = 1 ist. Wir wollen nun den erweiterten Euklidischen Algorithmus anwenden um die Polynome l, u und w zu nden. Um dies zufriedenstellen durchzuführen müssen wir dem Algorithmus zuerst ein paar technische Details entlocken. Lemma 4.11 (Euklidischer Algorithmus revised). Sei R ein euklidischer Bereich, f und g R. Wir betrachten den erweiterten Euklidischen Algorithmus und setzen hierzu Dann gilt ( ) xj y 1. det j = ±1, x j+1 y j+1 ( ) hj x 2. det j = ±g, h j+1 x j+1 ( ) hj y 3. det j = ±f, h j+1 y j+1 4. h j = x j f + y j g. h 0 = f, x 0 = 1, y 0 = 0, h 1 = g, x 1 = 0, y 1 = 1, h j 1 = h j q j + h j+1 (Division mit Rest), ( ) ( ) ( ) hj x j y j 0 1 hj 1 x = j 1 y j 1. h j+1 x j+1 y j+1 1 q j h j x j y j Falls R = K[X] für einen Körper K, dann gelte weiters 5. (deg h j ) j 1 ist streng monoton fallend und 6. (deg x j ) j 2 und (deg y j ) j 1 sind streng monoton wachsend falls deg f > deg g. 7. ggt(x j, y j ) = 1.

48 48 KAPITEL 4. BCH CODES UND ANDERE POLYNOMIELLE CODES Beweis. 1. Nachdem ( ) ( ) ( ) xj y j 0 1 xj 1 y = j 1 x j+1 y j+1 1 q j x j y j folgt, dass det ( ) ( ) ( ) xj y j xj 1 y = det j 1 x0 y = = ± det 0 = ±1. x j+1 y j+1 x j y j x 1 y 1 2. Analog wie 1., denn 3. Analog wie 1., denn ( ) ( ) h0 x det 0 f 1 = det = g. h 1 x 1 g 0 ( ) ( ) h0 y det 0 f 0 = det = f. h 1 y 1 g 1 4. Das ist bekannt (mehrfache Rekursion mit (1, f, g)). 5. Der Grad von h j+1 ist kleiner als jener von h j, weil h j+1 als Rest bei Division mit Rest von h j 1 durch h j auftritt. 6. Da deg h j < deg h j 1 folgt, dass deg q j 1. Es gilt nun, x j+1 = x j 1 q j x j. Damit folgt für die Grade, dass deg x j+1 = deg x j 1 q j x j = deg q j + deg x j > deg x j, weil deg x j 1 < deg x j q j. 7. Da folgt, dass ggt(x j+1, y j+1 ) = 1. ( ) xj y det j = x x j+1 y j y j+1 x j+1 y j = ±1 j+1 Wir können nun einen Algorithmus angeben, der das Tripel (l, u, w) berechnet. Satz Der Algorithmus 4.1 terminiert und ist korrekt. Bemerkung. Der Algorithmus 4.1 ist ziemlich ezient. Beweis. Da (deg h j ) j 0 streng monoton fallend ist (denn deg s 2t 1 < deg z 2t = 2t), terminiert der Algorithmus. Für die Korrektheit reicht es zu zeigen, dass die so berechneten Polynome l, u und w den Bedingungen des Lemmas 4.10 genügen. Angenommen y j (0) 0. Nach Lemma 4.11 wissen wir, dass in jedem Schritt gilt h j (z) = z 2t x j (z) + s(z) = w(z) = z 2t u(z) + s(z)l(z), in jedem Schritt gilt ggt(x j, y j ) = 1 und somit ggt(u, l) = 1, l(0) = 1, deg w < t, Da 2t = deg(z 2t ) = deg(h j 1 y j y j+1 h j ) = deg h j 1 + deg y j und deg h j 1 t, folgt deg l = deg y j = 2t deg h j 1 t. Analog folgt aus 2t 1 deg s = deg(h j 1 x j x j 1 h j ) = deg h j 1 + deg x j, dass deg u 2t 1 t = t 1 und selbiges für w.

49 4.4. REED-SOLOMON-CODES UND BURST ERROR CORRECTION 49 Gegeben: d. Gesucht: Fehler e beziehungsweise Mitteilung, dass ein Fehler von zu hohem Gewicht vorzuliegen scheint. Algorithmus: 1. Führe den erweiterten Euklidischen Algorithmus für f = z 2t und g = s(z) durch und stoppe, falls deg h j < t und deg h j 1 t. 2. Setze l(z) := y j (z)/y j (0), u(z) := x j (z)/y j (0), w(z) := h j (z)/y j (0). Falls w = 0, dann Return FEHLER. Falls deg u deg l oder deg w deg l, dann Return FEHLER. 3. Faktorisiere l(z) = (1 β j z) j M über F q (oder Return FEHLER, wenn l nicht in Linearfaktoren zerfällt). Lese von der Parzialbruchzerlegung von die e j ab. 4. Return e. w(z) l(z) = e j β j 1 1 β j z j M Abbildung 4.1: Algorithmus Sei nun y j (0) = 0. Dann muss der Algorithmus FEHLER zurückgeben. Die Polynome h j, x j und y j erfüllen alle gewünschten Eigenschaften, bis auf l(0) = 1. Im Beweis der Eindeutigkeit des Lemma 4.10 haben wir gezeigt, dass l assoziiert zu y j ist (gleich bis auf eine Konstante). Dazu haben wir l(0) = 1 noch nicht benutzt. Wir haben also, dass l = f y j für ein f F q. Wenn wir 0 einsetzen folgt 1 = l(0) = f y j (0) = 0 ein Widerspruch. 4.4 Reed-Solomon-Codes und Burst Error Correction In manchen Anwendungen ist es sehr wahrscheinlich, dass Fehler gruppiert auftreten (z.b. Kratzer auf einer CD). Diese Fehler nennen sich "BurstErrors. Bei einem Binärcode müssen wir jedes derartig zerstörte Bit als Fehler ansehen; dadurch erreicht man meist relativ rasch die Minimaldistanz eines Codes. Daher wollen wir folgende Variante betrachten. Wir fassen k Bits zu einem Block zusammen und sehen das als Koordinatenvektor eines Elements des F 2 k an. Damit betreffen die Burst-Errors nur mehr relativ wenige Blöcke und ein passender Code über F 2 k kann das korrigieren. Denition. Der Reed-Solomon-Code(k, t) ist der BCH-Code(1, t) über F 2 k; also mit Prüfmatrix β q 2 β 1 β 2(q 2) β , β 2t(q 2) β 2t 1

50 50 KAPITEL 4. BCH CODES UND ANDERE POLYNOMIELLE CODES wobei q = 2 k und β ein primitives Element von F q. Satz 4.13 (Eigenschaften von Reed-Solomon-Codes). Wir betrachten den Reed-Solomon-Code(k, t). 1. Blocklänge: 2 k 1, 2. Generatorpolynom: (X β)(x β 2 ) (X β 2t ), 3. Dimension: 2 k 1 2t, 4. Minimaldistanz: 2t + 1, 5. Burst-errors der Länge k(t 1) + 1 können korrigiert werden. Beweis. 1. Die Blocklänge folgt durch Abzählen der Spalten. 2. Das Minimalpolynom von β j über F q ist (X β j ). Da das Generatorpolynom eines BCH- Codes, das kleinste gemeinsame Vielfache der Minimalpolynome ist, folgt alles. 3. Die Dimension ergibt sich als Dierenz der Blocklänge und des Grades des Generatorpolynomes. 4. Die Minimaldistanz ist 2t + 1, weil es sich um einen BCH-Code handelt. Andererseits ist die Minimaldistanz 2t + 1, weil das Generatorpolynom ein Codewort ist und vom Grad 2t, und damit ein Gewicht 2t k(t 1) + 1 hintereinanderliegende Bits können nur t k-bit-blöcke belegen, weil für die Belegung von t + 1 k-bit-blöcken braucht man mindestens (t 1)k + 2 aufeinanderfolgende Bits. 4.5 Schranken für Codes In diesem Abschnitt wollen wir einige Schranken für die Parameter von Codes bestimmen. Einen ersten Vorgeschmack haben die Hamming-Codes im vorigen Kapitel geliefert. Deren asymptotische Rate war nämlich 1. An dieser Stelle wollen wir allgemeine Abschätzungen liefert. Zunächst benötigen wir ein Lemma für die Abschätzung der Elemente in einer Kugel Lemma Sei x F n q V (q, n, r) := B(x, r) = und r 0. Dann ist ( ) n + 0 ( ) n (q 1) ( ) n (q 1) ( ) n (q 1) r. r Beweis. Für den Abstand k wählen wir k Positionen für Abweichungen ( ( n k) Möglichkeiten). An jeder dieser Position haben wir (q 1) Möglichkeiten, also insgesamt (q 1) k Möglichkeiten. Dies ergibt zusammen r ( ) n (q 1) k. k k=0 Als erste Schranke wollen wir die Anzahl der möglichen Codewörter bei gegebener Minimaldistanz abschätzen. Satz 4.15 (Hamming-Schranke). Sei C ein Blockcode über F q mit Blocklänge n (C F n q ) und Minimaldistanz 2r + 1. Dann gilt q n C V (q, n, r).

51 4.5. SCHRANKEN FÜR CODES 51 Beweis. Wegen der Minimaldistanz können r Fehler korrigiert werden. Jedem Codewort c wird damit eindeutig die Kugel B(c, r) zugewiesen. Diese Kugeln müssen disjunkt sein und daher B(c, r) = C V (q, n, r) q n. c C Beispiel. Sei C ein Hamming-Code. Dann ist r = 1, n = 2 k 1 und m = 2 k 1 k = n k. Die Hamming-Schranke ergibt also C 2 n 1 + (2 k 1) = 2n k. Damit ist für Hamming-Codes diese Schranke scharf. Es gibt noch viele weitere Codes, wo die Hamming-Schranke scharf ist. Als nächstes wollen wir einen Schranke für das Verhältnis Dimension zu Minimaldistanz geben. Satz 4.16 (Singleton-Schranke). Sei C F n q ein linearer Code mit dim C = m und Minimaldistanz d. Dann gilt: m n (d 1). Beweis. Wir denieren die Funktion k : C F n d+1 q (c 1,..., c n ) (c 1,..., c n d+1 ) (die Kill-Funktion). Wir zeigen zuerst, dass k injektiv ist. Angenommen es gilt k(c 1,..., c n ) = (c 1,..., c n d+1 ) = (d 1,..., d n d+1 ) = k(d 1,..., d n ). Damit folgt aber, dass d((c 1,..., c n ), (d 1,..., d n )) d 1, und nachdem die Minimaldistanz d ist, gilt (c 1,..., c n ) = (d 1,..., d n ). Mit der Injektivität der Kill-Funktion folgt unmittelbar, dass C q n d+1. Beispiel. Betrachte Reed-Solomon-Code über F q mit 2t Zeilen, also Minimaldistanz 2t + 1. Dann ist n = q 1 und m = n 2t und die Singleton-Schranke ist scharf. Die folgende Schranke liefert uns eine Konstruktion für einen Code bei gegebenen Blocklänge und Minimaldistanz. Satz 4.17 (Gilbert-Varshamov-Schranke). Seien n und d < n N. Dann gibt es einen Blockcode C F n q mit Minimaldistanz d und C q n V (q, n, d 1). Weiters kann ein linearer Code mit dieser Eigenschaft gefunden werden. Beweis. 1. Ohne Linearität: Für jedes Codewort c C gilt, dass C B(c, d 1) = {c}. Falls es ein c 0 F n q mit c 0 c C B(c, d 1), so könnte c 0 zu C hinzugefügt werden, ohne die Minimaldistanz unter d zu drücken. Wir können so lange Wörter hinzufügen, bis F n q c C B(c, d 1). Also qn = F n q C V (q, n, d 1). Daraus folgt C q n V (q, n, d 1).

52 52 KAPITEL 4. BCH CODES UND ANDERE POLYNOMIELLE CODES 2. Um dies für lineare Codes zu machen: Sei C linear (ohne die Schranke zu erfüllen), und es gebe ein c 0 c C B(c, d 1). Dann setzen wir C := span(c {c 0 }) = C + span(c 0 ) = { C a c 0 c C, a F n q }. Nun ist C oensichtlich ein linearer Code, die Blocklänge bleibt unverändert und C C. Es bleibt zu zeigen, dass die Minimaldistanz d ist. Für alle c ac 0, mit c C und a F n q \{0} gilt: d(c ac 0, 0) = d(c, ac 0 ) = d(a 1 c, c 0 ) d. Damit ist alles gezeigt und wir können so weitermachen, wie im 1.Teil. Beispiel. Zum Beispiel der (7, 8)-Paritätscheck-Code, der 3-fach Wiederholungs-Code, der abcxyz-code, erfüllen die Abschätzung. BCH-Codes mit gröÿeren Parametern schaen es meistens nicht; dafür gibt es aber ezientere Fehlerprozessoren. Schlieÿlich wollen wir uns mit der Frage auseinandersetzen, was passiert wenn wir die Blocklänge n gegen unendlich gehen lassen. Dazu müssen wir zuerst V (q, n, r) asymptotisch verstehen, und somit zuerst ( ) n (q 1) r. r In unseren Betrachtungen wollen wir das Verhältnis r n δ konstant bleiben lassen (relative Minimaldistanz). Lemma Sei q fest, r(n) := nδ, 0 < δ < q 1 q. Dann gilt ( ) 1 n lim n n log q (q 1) r(n) = H q (δ), r(n) wobei die Entropie ist. H q (δ) = δ log q (q 1) δ log q (δ) (1 δ) log q (1 δ) Beweis. Für n gilt auch r(n) und n r(n). Für r(n) gilt asymptotisch Mit der Stirling'schen Formel erhalten wir Also 1 n log q ( ) n (q 1) r r r(n) = nδ + O(1). n! ( n ) n 2πn e log q (n!) = log q ( ( 2π) + n + 1 ) log 2 q (n) n log q (e) + O(1). = 1 n log q(q 1) + 1 log q (n) log q (e) r n log q(r) + r n log q(e) n r n log q(n r) + n r n log q(e) + O(1) ( ( r ) ) ( = δ log q (q 1) + log q (n) δ log q + log n q (n) (1 δ) (log q 1 r ) ) + log n q (n) + O(1) = δ log q (q 1) δ log q (δ) (1 δ) log q (1 δ) + O(1).

53 4.5. SCHRANKEN FÜR CODES 53 [ Lemma H q (δ) ist auf Beweis. Für die Ableitungen gilt 0, q 1 q Auÿerdem ist H q (0) = 0 und ( ) q 1 H q = q 1 log q q q (q 1) q 1 q ] streng monoton wachsend und Markov. Es gilt q H q (δ) δ q 1. H q(δ) > 0 und H q (δ) < 0. ( q 1 log q q Damit liegt H q (δ) über der Geraden durch (0, 0) und ) 1 q log q ( q 1 q, 1 ). Lemma Mit den Voraussetzungen von Lemma 4.18 gilt Beweis. Sei δ < 1 1 q. Oensichtlich gilt 1 = (δ + (1 δ)) n = 1 lim n n log q V (q, n, r) = H q (δ). n k=0 ( ) ( ) k n δ (q 1) k (1 δ) n k. k q 1 Wir wollen nun zeigen, dass ( ) k ( ) δn δ δ (1 δ) n k (1 δ) n δn. q 1 q 1 Kürzen auf beiden Seiten ergibt (q 1) δn k (1 δ) δn k δ δn k (q 1)(1 δ) δ q 1 δ 1 δ q q 1 δ δ 1 1 q ( ) ( ) 1 1 = log q q = 1. q 1 δ Oben einsetzen ergibt 1 ( n k=0 Somit folgt mit Lemma 4.18, dass ( ) ) ( ) δn n δ (q 1) k (1 δ) n(1 δ) k q 1 V (q, n, r)q n(δ log q (δ) δ log q (q 1)+(1 δ) log q (1 δ)) = V (q, n, r)q nhq(δ). H q (δ) 1 n log q V (q, n, r) 1 n log q ( ) n (q 1) r = H q (δ) + o(1). r

54 54 KAPITEL 4. BCH CODES UND ANDERE POLYNOMIELLE CODES Damit gilt für den Limes 1 lim n n log q V (q, n, r) = H q (δ). Satz 4.21 (Asymptotische Gilbert-Varshamov-Schranke). Sei q eine Primzahlpotenz und 0 < δ < q 1 q fest. Dann gibt es für jede natürliche Zahl n einen linearen Code C n F n q, mit Minimaldistanz d d n, sodass lim nn n δ, und Beweis. Wähle C n so, dass dim C n lim = 1 H q (δ) > 0. n n C n q n V (q, n, r(n)) mit r(n) = δn. Dieser hat nach der Gilbert-Varshamov-Schranke (Satz 4.17) Minimaldistanz d n = r(n) + 1. Dann gilt d n lim n n = δ. Für die Dimension gilt ( q n ) dim C n log q = n log V (q, n, r(n)) q V (q, n, r(n)) und mit Lemma 4.19 und Lemma 4.20 folgt ( dim C n lim lim 1 log ) q V (q, n, r(n)) = 1 H q (δ) > 0. n n n n Beispiel. Für Reed-Solomon-Codes gilt q = 2 k und n = 2 k 1. Wir wählen ein ε > 0 und t = nε 2. Die relative Minimaldistanz ist Für die Rate gilt 2t + 1 n ɛ > 0. 2 k 1 2t 2 k. 1 Für BCH-Codes gilt n = q k 1. Wir erhalten, dass die Minimaldistanz 2t + 1 und die Dimension n 2tk sind. Für die relative Minimaldistanz folgt asymptotisch 2t + 1 n δ, wobei wir t := nδ 2 setzen. Das ergibt für die Rate aber n 2tk n = 1 2 tk n = 1 2 δ k + O(1). 2 Für eine bessere Asymptotik benötigt man eine untere Abschätzung für die Minimaldistanz und die Dimension. Selbst dann geht die Rate gegen 0, wenn die relative Minimaldistanz gegen δ > 0 nach unten beschränkt bleibt.

55 4.6. KLASSISCHE GOPPA-CODES Klassische Goppa-Codes Bei den BCH-Codes hatten wir zur Decodierung folgende Relation: s(z) w(z) l(z) (mod z 2t ). Die Idee der klassischen Goppa-Codes ist es nun, ein anders Polynom als z 2t zu verwenden. Denition. Sei F q ein endlicher Körper, F q k eine Körpererweiterung von F q. Dann wähle eine Teilmenge P F q k und ein Polynom g F q k[z], sodass β P : g(β) 0. Dann deniere wir den klassischen Goppa-Code GC(P, g) als GC(P, g) := c F P q c β 0 (mod g) Z β Bemerkung. 1. Da g(β) 0, folgt ggt(z β, g) = 1 und damit ist 1 sinnvoll. β P 2. Jeder BCH-Code ist auch ein Goppa-Code mit g = Z 2t, P = F k q \ {0}. Z β (mod g) überhaupt Satz Ein Goppa-Code ist ein linearer Code der Blocklänge P, mit Minimaldistanz (g(z)) + 1 und Dimension P (deg g) k. Beweis. Da ggt(z β), g(z)) = 1 für β P, gibt es ein Polynom h β F q k[z] mit (Z β)h β 1 (mod g). Das heiÿt, c GC(P, g) c β h β 0 (mod g). β P Ohne Beschränkung der Allgemeinheit können wir annehmen, dass deg h β < deg g ist. Dann ist auch deg β P c βh β < deg g und somit folgt c β h β = 0. β P Wir machen Koezientenvergleich in Z und verwenden einen Erzeuger α von F q k über F q um ein lineares Gleichungssystem für c β mit (deg g) k Zeilen zu bekommen. Für die Minimaldistanz sei 0 c GC(P, g) und P (c) := {β P : c β 0}. Dann gilt Daraus folgt, dass und β P (c) c β Z β deg(g) deg β P (c) β P (c) g β P (c) c β c β γ P (c)\{β}(z γ) γ P (c) (Z γ) 0 (mod g). c β γ P (c)\{β} γ P (c)\{β} (Z γ) (Z γ) P (c) 1 = wt(c) 1. Die Fehlerkorrektur passiert auf die selbe Art und Weise wie im Fall von BCH-Codes.

56 56 KAPITEL 4. BCH CODES UND ANDERE POLYNOMIELLE CODES Satz Klassische Goppa-Codes bilden eine asymptotisch gute Familie von Codes; d.h. es gibt eine Folge von Codes C n mit relativer Minimaldistanz δ > 0 und Rate ε > 0. Bemerkung. Das gilt leider nur für die relative Minimaldistanz und nicht für die designte Minimaldistanz; nur kann der Fehlerprozessor mit dieser Minimaldistanz nicht umgehen. Beweisskizze. Wähle d und t so, dass d V (q, q k, d 1) < t N q k(t) ist (wobei N q k(t) die Anzahl der irreduziblen Polynome vom Grad t in F q k ist. Für jedes Tupel c aus der geschlossenen Kugel B(0, d 1) soll das Polynom c β γ P (c)\{β}(z γ) nicht aus dem Code sein. Diese Polynome sind vom Grad d 2 und haben d 2 t irreduzible Faktoren vom Grad t. Damit folgt, dass für B(0, d 1) höchstens V (q, q k, d 1) d 2 t irreduzible Polynome vom Grad t verbraucht. Die Abschätzung < t N q kt sagt uns, dass ein irreduzibles Polynom vom Grad t übrig bleibt. Dieses ist dann das gesuchte Polynom g. Diese Konstruktion können wir asymptotisch weiterführen.

57 Anhang A1 Etwas lineare Algebra In diesem Anhang ist V ein endlichdimensionaler Vektorraum über einem Körper K, F : V V eine lineare Abbildung. Denition. Das Minimalpolynom von F ist das Polynom g kleinsten Grades, das normiert ist und g(f ) = 0 erfüllt. Bemerkung. Laut Satz von Cayley-Hamilton gibt es jedenfalls ein Polynom mit diesen Eigenschaften, nämlich das charakteristische Polynom oder das negative charakteristische Polynom von F. Proposition A1.1. Mit den Bezeichnungen der Denition gilt: Insbesondere ist g dadurch eindeutig deniert. Beweis. Sei Ann(F ) der Annihilator von F, d.h. Das ist ein Ideal von K[X], denn: h K[X] : h(f ) = 0 g h. Ann(F ) := {h K[X] h(f ) = 0}. h 1 (F ) = 0 h 2 (F ) = 0 (h 1 h 2 )(F ) = h 1 (F ) h 2 (F ) = 0 0 = 0. Für h Ann(F ) und g K[X] gilt: hg(f ) = h(f )g(f ) = 0g(F ) = 0. Nachdem K ein Körper ist, ist K[X] ein Hauptidealbereich. Also gibt es ein g K[X] mit Ann(F ) = (g) = {fg f K[x]}. Ohne Beschränkung der Allgemeinheit wählen wir g normiert und haben das Minimalpolynom gefunden. Korollar A1.2. Das Minimalpolynom teilt das charakteristische Polynom. Falls das Minimalpolynom vom Grad dim K V ist, so gilt: Minimalpolynom = ±charakteristisches Polynom. Beweis. Das charakteristische Polynom ist wegen des Satzes von Cayley-Hamilton ein Annihilator von F. Wenn beide Polynome selben Grad haben, so unterscheiden sie sich nur um eine multiplikative Konstante. Das Minimalpolynom ist laut Denition normiert, das charakteristische Polynom hat den Leitkoezienten ±1, also ist die Konstante ±1. Lemma A1.3. Sei r N, λ K und J r ein Jordanblock der Länge r zum Eigenwert λ, d.h. λ J r = λ 57

58 58 KAPITEL 4. BCH CODES UND ANDERE POLYNOMIELLE CODES Dann ist das Minimalpolynom von J r gleich (X λ) r. Beweis. (X λ) r Ann(J r ). Gibt es ein Polynom vom Grad < r, das J r annihiliert, so sind Jr r 1 v,..., J r v, v für jeden Vektor v linear abhängig. Für den r-ten Einheitsvektor ist das ein Widerspruch. (Nachrechnen!) Bemerkung. Auf diese Weise lässt sich das Minimalpolynom einer linearen Abbildung verstehen, sofern das charakteristische Polynom über K in Linearfaktoren zerfällt. Satz A1.4. Sei K ein Körper, V ein n-dimensionaler K-Vektorraum, F : V V linear. Dann sind folgende Aussagen äquivalent: 1. Das Minimalpolynom von F ist gleich dem charakteristischen Polynom von F (bis auf ein Vorzeichen). 2. Es gibt einen Vektor v V, sodass v, F (v),..., F n 1 (v) eine Basis von V ist. Beweis. 1 2: Wir wissen: Minimalpolynom teilt charakteristisches Polynom. Wenn nicht gleich, so ist der Grad des Minimalpolynoms kleiner als der Grad des charakteristischen Polynoms. Damit folgt, dass n 1 Minimalpolynom = a j X j j=0 n 1 n 1 a j F j (v) = a j F j (v) = 0. j=0 Also ist v, F (v),..., F n 1 (v) linear abhängig und somit keine Basis. j=0 1 2: Sei f das Minimalpolynom von F, f = f r1 1 f m rm die Zerlegung in irreduzible Polynome. Das ist möglich, weil K[X] ein faktorieller Ring (ZPE-Ring) ist. Für v V setzen wir Ann(F, v) := {g K[X] g(f )(v) = 0}. 1. Behauptung: v V : Ann(F, v) K[X]. Beweis. 0 Ann(F, v). g 1, g 2 Ann(F, v) : (g 1 g 2 )(F )(v) = g 1 (F )(v) g 2 (F )(v) = 0 0 = 0. H K[X], g Ann(F, v) : (hg)(f )(V ) = h(f )(v)g(f )(v) = h(f )(v)0 = 0. also ist Ann(F, v) ein Ideal (sogar ein Hauptideal). 2. Behauptung: für j {1,... m} gibt es ein v j mit Ann(F, v j ) = (f rj j ). Beweis. Es gilt, dass f f j ein Polynom ist, aber kein Annihilator von F. Das heiÿt: f f j (F ) 0. Es gibt daher ein w j V mit f f j (F )(w j ) 0. Setze v j := f (F )(w j ). Es gilt: f rj j (v j) = f(f )(w j ) = 0, also ist f rj j Ann(F, v j ). f r j j Allerdings: f rj 1 j (v j ) = f f j (F )(w j ) 0 laut Konstruktion von w j. Also f rj 1 j / Ann(F, v j ). Es folgt: Ann(F, v j ) = (g) für ein g mit g f rj j und g f rj 1 j. Nachdem K[X] ein faktorieller Ring (ZPE-Ring) ist, folgt aus der Eindeutigkeit der Primfaktorzerlegung, dass g = f rj j.

59 A1. ETWAS LINEARE ALGEBRA Behauptung: Seien v, w V mit Ann(F, v) = (g) und Ann(F, w) = (h) für teilerfremde Polynome g und h. Dann ist Ann(F, v + w) = (gh). Beweis. (gh)(f )(v + w) = (gh)(f )(v) + (gh)(f )(w) = (hg)(f )(v) + (gh)(f )(w) = (h(f ) g(f )) (v) + (g(f ) h(f )) (w) = h(f ) (g(f )(v)) + g(f ) (h(f )(w)) = 0, also ist gh Ann(F, v + w) = (g 1 h 1 ), wobei g 1 g und h 1 h. Schreibe g = g 1 g 2 und h = h 1 h 2 für passende Polynome. Andererseits: (gh 1 )(F )(v + w) = (g 2 g 1 h 1 )(F )(v + w) = g 2 (F ) ((g 1 h 1 )(F )(v + w)) = 0. (gh 1 )(F )(v + w) = (h 1 g)(f )(v) + (gh 1 )(F )(w) = 0 + (gh 1 )(F )(w), daher gilt gh 1 Ann(F, w) = (h 1 h 2 ). Es gilt h 1 h 2 gh 1, also h 2 g. Laut Konstruktion von h 2 gilt h 2 h. Somit teilt h 2 den gröÿten gemeinsamen Teiler und ist daher konstant. Analoges gilt für g 2. Insgesamt gibt es ein v V mit Ann(F, v) = (f), somit sind v, F (v),..., F n 1 (v) linear unabhängig. Bemerkung. Der Fall in Satz A1.4 entspricht genau dem Fall, wo es pro Eigenwert genau einen Jordanblock gibt, das heiÿt jeder Eigenwert hat geometrische Vielfachheit 1.