Registre à décalage à rétroaction linéaire

Un registre à décalage à rétroaction linéaire, ou LFSR (sigle de l'anglais Modèle:Lang), est un dispositif électronique ou logiciel qui produit une suite de bits qui peut être vue comme une suite récurrente linéaire sur le corps fini F₂ à 2 éléments (0 et 1). La notion a été généralisée à n'importe quel corps fini.

Réalisé électroniquement, dans le cas particulier d'une suite de 0 et de 1, c'est un registre à décalage avec rétroaction linéaire, ce qui signifie que le bit entrant est le résultat d'un OU exclusif (ou XOR) entre plusieurs bits du registre, cette opération étant également l'addition sur le corps fini F₂. Ces dispositifs sont simples, peu coûteux et efficaces.

La suite récurrente produite par un LFSR est nécessairement périodique à partir d'un certain rang. Les LFSR sont utilisés en cryptographie pour engendrer des suites de nombres pseudo-aléatoires. La fonction de rétroaction est alors choisie de façon à obtenir une période la plus grande possible.

L’étendue des applications est très large : chiffrement des communications, contrôle d'erreurs sur la transmission de données, auto-test des composants électroniques…

Un LFSR est un dispositif dérivé du registre à décalage de type SIPO, Serial In - Parallel Out, dans lequel un ou plusieurs « étages » du registre subissent une transformation pour être réinjectés en entrée de celui-ci^[1].

Il est dit de longueur « ${\displaystyle r}$ » lorsqu'il est composé de ${\displaystyle r}$ éléments appelés « étages » ou « cellules », le contenu de l'ensemble de ces éléments à un moment « ${\displaystyle t}$ » est l'état du LFSR à ce moment^[2]. À chaque top d'horloge le contenu d'un étage est transféré au suivant et le premier est rempli par le résultat d'une fonction linéaire qui prend en compte l'état d'un ou de plusieurs étages^[2]. Modèle:Clr

LFSR à 4 bits^[3]

Horloge	État du LFSR	Sortie
0	0 1 1 0
1	1 0 1 1	0
2	0 1 0 1	1
3	0 0 1 0	1
4	0 0 0 1	0
5	1 0 0 0	1
6	1 1 0 0	0
7	0 1 1 0	0

Exemple des états successifs d'un LFSR à 4 bits avec une connexion des premier, second et quatrième étages au niveau de la fonction de retour^[3] :

• à ${\displaystyle t=0}$ l'état initial du LFSR est 0 1 1 0 ;
• à ${\displaystyle t=1}$ le bit d'entrée vaut 1 ${\displaystyle (0\oplus 1\oplus 0)}$, l'état du LFSR est 1 0 1 1 et le bit de sortie vaut 0 ;
• à ${\displaystyle t=2}$ le bit d'entrée vaut 0 ${\displaystyle (1\oplus 0\oplus 1)}$, l'état du LFSR est 0 1 0 1 et le bit de sortie vaut 1 ;
• à ${\displaystyle t=3}$ le bit d'entrée vaut 0 ${\displaystyle (0\oplus 1\oplus 1)}$, l'état du LFSR est 0 0 1 0 et le bit de sortie vaut 1 ;
• à ${\displaystyle t=4}$ le bit d'entrée vaut 0 ${\displaystyle (0\oplus 0\oplus 0)}$, l'état du LFSR est 0 0 0 1 et le bit de sortie vaut 0 ;
• à ${\displaystyle t=5}$ le bit d'entrée vaut 1 ${\displaystyle (0\oplus 0\oplus 1)}$, l'état du LFSR est 1 0 0 0 et le bit de sortie vaut 1 ;
• à ${\displaystyle t=6}$ le bit d'entrée vaut 1 ${\displaystyle (1\oplus 0\oplus 0)}$, l'état du LFSR est 1 1 0 0 et le bit de sortie vaut 0 ;
• à ${\displaystyle t=7}$ le bit d'entrée vaut 0 ${\displaystyle (1\oplus 1\oplus 0)}$, l'état du LFSR est 0 1 1 0 et le bit de sortie vaut 0.

Au septième top d'horloge l'état du registre est identique à son état initial. On dit que le LFSR est de période 7. Modèle:Clr

Un LFSR est défini comme suit sur un corps fini ${\displaystyle {𝔽}_{p^n}}$ où ${\displaystyle p}$ est premier et ${\displaystyle n\ge 1}$^[4] :

• un entier ${\displaystyle r}$ qui est sa taille ;
• un état initial ${\displaystyle S_{r-1}=(a_0,a_1,\dots ,a_{r-1})}$ à éléments sur ${\displaystyle {𝔽}_{p^n}}$ ;
• une fonction linéaire de retour ${\displaystyle f()}$ ;
• on calcule ${\displaystyle a_r=f(a_0,a_1,\dots ,a_{r-1})}$ ;
• on fait entrer ${\displaystyle a_r}$ et fait sortir ${\displaystyle a_0}$ ;
• on obtient une nouvelle séquence de sortie ${\displaystyle S_r=(a_1,a_2,\dots ,a_r)}$.

Un LFSR peut être défini comme un triplet ${\displaystyle L=({𝔽}_q,r,(c_1,c_2,...,c_r))}$, où F_q est le corps fini à q éléments, r est le nombre de cellules du LFSR, les coefficients c₁, …, c_r sont des éléments de F_q^[5].

Suite engendrée

La suite engendrée par ce LFSR est une suite ${\displaystyle (a_n{)}_{n\in \mathbb{N}}}$ vérifiant la relation de récurrence

${\displaystyle a_n={\displaystyle \sum _{i=1}^{i=r}}{c}_i{a}_{n-i}}$, pour ${\displaystyle n\ge r}$^[5]
ou de façon équivalente
${\displaystyle a_{r+n}={\displaystyle \sum _{j=0}^{r-1}}{c}_{r-j}{a}_{n+j}}$^[1].

Taille

La taille du LFSR est r le nombre de cellules.

Coefficients de connexion

les coefficients c₁, …, c_r sont appelés les coefficients de connexion du LFSR^[5].

Fonction de retour ou de rétroaction

La fonction f définie par
${\displaystyle f(x_1,x_2,...,x_{r-1},x_r)=c_1{x}_1+c_2{x}_2+...+c_{r-1}{x}_{r-1}+c_r{x}_r}$
est appelée fonction de retour ou de rétroaction du LFSR^[2]. Quand q=2, F₂ est le corps des booléens et f est une fonction booléenne (linéaire).

Fonction génératrice

La fonction génératrice de la suite engendrée par un LFSR sur le corps F_q est la série formelle de F_q [[X]] définie par^[6]Modèle:,^[7]
${\displaystyle A(X)={\displaystyle \sum _{n=0}^{\mathrm{\infty }}}{a}_n{X}^n}$

Modèle:Section à recycler

Polynôme de rétroaction

Soit un LFSR ${\displaystyle L}$ défini par le triplet ${\displaystyle ({𝔽}_{p^n},r,(c_1,c_2,...,c_r))}$. Son polynôme de rétroaction, appelé aussi polynôme caractéristique, est ${\displaystyle T(X)=1+{\displaystyle \sum _{i=1}^r}{c}_i{X}^i}$^[8].

Exemple : Un LFSR ${\displaystyle L=({𝔽}_2,7,(1,0,1,1,0,0,1))}$ aura comme polynôme de rétroaction ${\displaystyle T(X)=1+X^1+X^3+X^4+X^7}$.

Polynôme de connexion

Pour un LFSR défini par le triplet ${\displaystyle L=({𝔽}_{p^n},r,(c_1,c_2,...,c_r))}$, le polynôme de connexion est ${\displaystyle q(X)={\displaystyle \sum _{i=1}^r}{c}_i{X}^i-1}$ dans ${\displaystyle {𝔽}_{p^n}[[X]]}$^[6]Modèle:,^[7].

Exemple : Un LFSR ${\displaystyle L=({𝔽}_2,7,(1,0,1,1,0,0,1))}$ aura comme polynôme de connexion ${\displaystyle q(X)=X^7+X^4+X^3+X^1-1}$.

Modèle:Section à recycler Puisque la prochaine valeur d'entrée d'un LFSR dépend uniquement des valeurs de certains étages de celui-ci et que l'état « tout à zéro » ne génère jamais de changement sa séquence est de période maximale ${\displaystyle q^r-1}$ sur ${\displaystyle {𝔽}_q}$ où ${\displaystyle r}$ est la taille du registre^[9]Modèle:,^[10].

Une séquence d'un LFSR sur ${\displaystyle {𝔽}_q}$ avec une période ${\displaystyle q^r-1}$ où ${\displaystyle r}$ est la taille du registre est appelé une « m-sequence »^[3]Modèle:,^[9].

Exemple : Un LFSR ${\displaystyle L=({𝔽}_2,7,(1,0,1,1,0,0,1))}$ aura une période maximale de ${\displaystyle 2^7-1=127}$.

Introduit en 1969 par James Massey l'algorithme de Modèle:Lien permet d'obtenir le plus petit LFSR possible pour une séquence de sortie choisie^[11]. Il suffit de capter ${\displaystyle 2r}$ bits consécutifs d'une m-séquence de période ${\displaystyle 2^r-1}$ pour pouvoir reconstruire la séquence entièrement^[12].

Description de l'algorithme^[13] :

En entrée : les ${\displaystyle 2n}$ éléments d'une séquence récurrente de manière linéaire définie sur ${\displaystyle 𝕂}$ avec ${\displaystyle n\in \mathbb{N}}$ donnés par la liste ${\displaystyle (a_0,a_1,\dots ,a_{2n-1})}$. Le polynôme minimal est de degré limite ${\displaystyle n}$.

En sortie : le polynôme ${\displaystyle P(x)}$ caractéristique minimal de la séquence.

Début

Variables locales

${\displaystyle R,R_0,R_1,V,V_0,V_1,Q}$ sont des polynômes de ${\displaystyle x}$.

Initialisation

${\displaystyle R_0:=x^{2n};R_1:={\displaystyle \sum _{i=0}^{2n-1}}{a}_i{x}^i;V_0=0;V_1=1;}$

Boucle, tant que ${\displaystyle n⩽deg(R1)}$ faire :

${\displaystyle Q:=}$ quotient de la division de ${\displaystyle R_0}$ par ${\displaystyle R_1;}$

${\displaystyle R:=}$ reste de la division de ${\displaystyle R_0}$ par ${\displaystyle R_1;}$

${\displaystyle V:=V_0-Q{V}_1}$

${\displaystyle V_0:=V_1}$

${\displaystyle V_1:=V}$

${\displaystyle R_0:=R_1}$

${\displaystyle R_1=R}$

Fin boucle

${\displaystyle d:=max(deg(V_1),1+deg(R_1));P:=x^d{V}_1(1/x);}$

Retour

${\displaystyle P:=P/\text{leadcoeff}(P)}$.

Fin

La représentation employée jusqu'ici pour représenter la connexion entre les différents étages du registre décrit le mode dit de « Fibonacci ». Une autre représentation est possible, utilise le mode dit de « Galois »^[14].

Un registre en mode Fibonacci applique strictement la définition d'un LFSR : les contenus des différents étages sont ajoutés ou non les uns aux autres, le résultat de cette addition est ensuite placé dans l'étage d'entrée du registre et tous les étages subissent un décalage vers la sortie^[15]. Modèle:Clr

Dans le mode dit de Galois le contenu de l'étage de sortie est ajouté ou non au contenu des étages du registre puis tous les étages subissent un décalage vers la sortie et le contenu de l'étage sortant est réinjecté dans l'étage d'entrée^[16].

Au niveau matériel les LFSRs sont souvent mis en œuvre en utilisant ce mode car celui-ci est plus rapide et présente moins de latence que le mode Fibonacci puisque les étages sont mis à jour simultanément^[17]Modèle:,^[18]. Modèle:Clr

Les LFSRs existent sous deux formes: matérielle et logicielle, mais c'est surtout la première configuration qui est utilisée car elle est simple à mettre en œuvre (matériel peu onéreux associé à un algorithme de traitement simple)^[14].

L'usage de cette technologie peut se retrouver dans les domaines suivants^[3] :

• Générateur de nombres pseudo-aléatoires ;
• Algorithmes de chiffrement des données (Cryptographie, Stéganographie) ;
• Détection d'erreurs et correction de données ;
• Auto-contrôle des circuits électroniques ;
• Traitement numérique du signal ;
• Compteurs à base de LFSRs ;
• Autres utilisations des LFSRs (Jeux vidéo, radar…).

Modèle:Article détaillé

Il y a eu beaucoup de publications à propos de la génération des nombres pseudo-aléatoires par les registres à décalage et à part quelques études sur les Modèle:Lien, la majorité des auteurs utilisent la rétroaction linéaire^[2].

Un problème fondamental en cryptologie est la production de suites de bits « aussi aléatoires que possible ». Un exemple évident étant la génération des clefs de chiffrement (symétrique ou asymétrique)^[19].

Ce problème se décompose en fait en deux parties :

• La génération de bits par des procédés physiques, dans le cas d'un ordinateur des mesures liées à l'activité de la machine (températures interne, déplacement de la souris, etc.)
• L'expansion d'une courte suite aléatoire de bits en une suite éventuellement beaucoup plus grande; Dans ce dernier cas, on parle de suite pseudo-aléatoire.

Modèle:Article détaillé

Les générateurs pseudo-aléatoires à base de LFSR sont utilisés dans les chiffrements de flux que l'on retrouve sous le terme anglais cipher stream^[20], ils constituent avec les chiffrements par bloc les 2 grandes catégories modernes du chiffrement symétrique de la cryptographie.

Les LFSRs sont les composants de base de nombreux générateurs chiffrants^[21].

Les raisons pour lesquelles les LFSRs sont utilisés dans un grand nombre de générateurs de flux sont les suivantes^[21] :

• Les LFSRs sont bien adaptés à une configuration matérielle ;
• Ils peuvent produire des grandes périodes de séquences binaires ;
• Les séquences produites ont des bonnes propriétés statistiques ;
• En raison de leur nature, ils peuvent être facilement analysés en utilisant des modèles mathématiques.

Cependant, l'utilisation des LFSRs dans leur configurations initiales est devenue très vite vulnérable aux attaques mathématiques (démontré par l'algorithme de Berlekamp-Massey).

Un système informatique pour ne pas être vulnérable doit être sécurisé contre les attaques connues et référencées, c'est pourquoi un LFSR ne doit jamais être utilisé par lui-même comme un générateur de flux de clés^[22].

Néanmoins, les LFSRs restent encore utilisés en raison de leurs coûts de mise en œuvre très bas^[22].

Trois méthodes peuvent être employées pour contourner l'effet des propriétés de linéarité des LFSRs^[22] :

• Associer une fonction non linéaire aux sorties de plusieurs LFSRs ;
• Utiliser une fonction de filtrage non linéaire basé sur le contenu d'un seul LFSR ;
• Utiliser plusieurs LFSRs en parallèle ou une horloge externe qui peut provenir d'un autre LFSR^[23].

Les propriétés attendues d'un générateur de flux de chiffrement sont^[22] :

• Une grande période ;
• Grande complexité linéaire ;
• Bonnes propriétés statistiques.

Exemples d'algorithmes cryptographiques utilisant les LFSRs :

• Codage/décodage des transmissions des téléphones cellulaires
  A5/1 : chiffrement des communications GSM^{[note 1]}, il utilise 3 LFSRs de 19, 22 et 23 bits (64 bits au total) ;
• Codage du Bluetooth
  E0 : protocole de codage du Bluetooth utilisant quatre LFSR de longueurs 25, 31, 33, et 39 bits (128 bits au total)^[24].

Modèle:Article détaillé

La stéganographie est la technique qui permet de cacher de l'information, le plus souvent un texte dans des images, une des méthodes est de remplacer le bit de poids faible de chaque pixel formant l'image par un autre bit d'information^[25].

Les séquences pseudo-aléatoires à base de LFSRs sont une des méthodes de chiffrement de l'information^[25].

Embarqués dans des circuits logiques programmables tels que les FPGA^{[note 2]}, ils répondent à un besoin croissant de cacher l'information^[26]. Modèle:Clr

Plusieurs types de CRC selon les applications^[3]

Application	Type	taille LFSR
CRC	CRC-12	12
	CRC-16	16
Réseau ATM[note 3]	CRC-32	32

Ce mécanisme que l'on appelle contrôle de redondance cyclique et que l'on retrouve sous le nom de CRC^{[note 4]} est un dispositif de contrôle d'erreur lors des transmissions de données brutes dans le domaine du réseau, le stockage numérique ou encore dans la compression de donnée^[27].

Les composants hardware LFSR sont un des moyens faciles et bon marché pour générer des suites pseudo-aléatoires utilisées par ces procédés^[27].

Modèle:Clr

Le test des circuits électroniques a été longtemps problématique car les solutions existantes donnant des temps de réponses corrects étaient souvent très onéreuses. Le coût n'est pas le seul problème, il faut aussi que le dispositif puisse répondre à 2 problématiques^[28] :

• Le temps : Il ne faut pas que le mécanisme consomme trop de temps à générer l'échantillonnage de test au détriment de l'efficacité du composant ;
• Le volume de donnée : La taille de échantillonnage peut devenir tellement grande que le test n'est plus efficace.

La technologie BIST^{[note 5]} est une méthode de test des composants électroniques qui s'appuie sur plusieurs mécanismes^[29] :

• Technique de parité ;
• Technique de comptage ;
• LFSRs.

Les tests aléatoires sur une partie du composant suppose de pouvoir agir sur un échantillonnage des données du composant^[30].

C'est l’étude du traitement du signal numérisé tel que le filtrage ou la compression, elle est assurée par un processeur de signal numérique que l'on retrouve indiqué dans ce domaine par DSP^{[note 6]}. Ces opérations seraient difficilement réalisables directement sur les données binaires en mémoire sans algorithme de compression/décompression.

Les LFSRs sont fréquemment utilisés pour cette tache car ils sont efficaces dans le traitement de grande quantité de données binaires et ils ont un faible cout d’implémentation dans leurs formes matériels ^[31].

Les compteurs binaires sont des composants qui sont utilisés couramment dans des équipements nécessitant un comptage comme, par exemple, les montres digitales ou les chronomètres.

Un LFSR est un type spécial de compteur qui génère une séquence pseudo-aléatoire, il peut être utilisé en remplacement des compteurs binaires traditionnels^[32].

Exemples d'utilisation^[33]:

• Compteurs à incrément ou décrément 'up/down counters' ;
  • Down counters - commence à w/ 111 ;
  • Utilise une porte 'XOR' pour la retroaction ;
  • L'initialisation ne doit pas être que des zéros.
• 'Up counters' commence à w/ 000.

Utilisation du XNOR

Avantages[34]	Inconvénients[34]
Nécessite peu de logique pour être mis en place ; Les compteurs avec des grandes valeurs restent efficaces ; Pas de besoin d'un nombre élevé de portes logiques ; Ils sont très rapides. Les erreurs sont détectables typiquement un timer 2*n.	Besoin d'initialiser le registre pour avoir un état valide ; Certaines applications ont besoin d'une séquence binaire ; Pas de moyen simple de prédire la séquence de comptage.

Modèle:Clr

L'industrie du jeu vidéo a utilisé le LFSR au travers d'un composant qui est le SN76489, on a pu ainsi sonoriser certaines consoles de jeux vidéo grâce à ce circuit électronique^[35].

Modèle:Références

Modèle:Références

• Modèle:Ouvrage Modèle:Plume
• Modèle:Ouvrage
• Modèle:Ouvrage
• Modèle:Ouvrage, en particulier le chapitre 4, « Cyclic Codes, Rings, and Polynomials » Modèle:Plume
• Modèle:Ouvrage
• Modèle:Ouvrage

• Modèle:Article Modèle:Plume
• Modèle:Article Modèle:Plume
• Modèle:Article Modèle:Plume
• Modèle:Article Modèle:Plume
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article Modèle:Plume
• Modèle:Article
• Modèle:Ouvrage
• Modèle:Article
• Modèle:Article
• Modèle:Article Modèle:Plume
• Modèle:Article
• Modèle:Article Modèle:Plume
• Modèle:Ouvrage
• Modèle:Article Modèle:Plume
• Modèle:Article
• Modèle:Article
• Modèle:Article Modèle:Plume
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Lien web
• Modèle:Article

Modèle:Légende plume

• Registres à rétroaction linéaire sur www.apprendre-en-ligne.net
• Modèle:En Simple VHDL coding for Galois and Fibonacci LFSR.
• Les registres à décalages à rétroactions linéaires LFSR sur www.picsi.org
• Les Générateurs Linéaires Congruentiels sur http://rng.free.fr

Modèle:Palette Modèle:Portail

Erreur de référence : Des balises <ref> existent pour un groupe nommé « note », mais aucune balise <references group="note"/> correspondante n’a été trouvée