Gitter und Kryptographie - Goethe-Universität

Vorlesungen von Prof. Dr. C.P. Schnorr:
Gitter und Kryptographie
an der Johann Wolfgang Goethe-Universität Frankfurt/Main
im Sommersemester 2013
β 5 -Version
12. Juli 2013

Inhaltsverzeichnis
1 Gitter in linearen Räumen 5
1.1 Die Geometrie der Gitter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.2 Dualität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.3 Diskretheit, Primitive Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.4 Elementare Reduktionsverfahren zur l 2 -Norm || || . . . . . . . . . . . . . . . . . . . 12
1.5 Hermite Normalform, Untergitter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2 Sukzessive Minima und Minkowski-Sätze 17
2.1 Sukzessive Minima und erster Satz von Minkowski . . . . . . . . . . . . . . . . . . 17
2.2 Packungsdichte, Hermite-Konstante, kritische Gitter . . . . . . . . . . . . . . . . . 19
2.3 Zweiter Satz von Minkowski. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3 Gauß-Reduktion 25
3.1 Reduzierte Basis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.2 Reduktionsverfahren für die Euklidische Norm . . . . . . . . . . . . . . . . . . . . 26
4 LLL-reduzierte Gitterbasen 31
4.1 Definition und Eigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2 Das LLL-Reduktionsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.3 LLL-Reduktion ganzzahliger Erzeugendensysteme . . . . . . . . . . . . . . . . . . . 37
4.4 LLL-Reduktion mit Gleitkomma-Arithmetik . . . . . . . . . . . . . . . . . . . . . . 38
4.5 LLL-Reduktion mit ganzzahliger Gram-Matrix . . . . . . . . . . . . . . . . . . . . 40
4.6 LLL-Basen mit großem Approximationsfaktor . . . . . . . . . . . . . . . . . . . . . 40
5 Lösen von Subsetsum-Problemen durch kurze Gittervektoren 43
5.1 Das Subsetsum-Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
5.2 Die Lagarias-Odlyzko-Gitterbasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.3 Das CJLOSS-Gitter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
5.4 Gitter mit großer Packungsdichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
6 HKZ- und Block-Reduktion von Gitterbasen 49
6.1 HKZ-Basen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3

4 INHALTSVERZEICHNIS
6.2 Semi Block 2k-Reduktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
6.3 Primal-Duale Reduktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6.4 Block-Korkine Zolotareff Reduktion, BKZ . . . . . . . . . . . . . . . . . . . . . . . 57
6.5 BKZ-Algorithmus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
6.6 Kritische k-reduzierte Basen für k = 2, 3 . . . . . . . . . . . . . . . . . . . . . . . . 61
7 N P-vollständige Gitterprobleme 63
7.1 N P-Vollständigkeit von Rucksack. . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
7.2 N P-Vollständigkeit von SVP l∞ , CVP l∞ , CVP l2 . . . . . . . . . . . . . . . . . . . . 64
8 Konstruktion eines kürzesten Gittervektors 67
8.1 Algorithmus mit vollständiger Aufzählung . . . . . . . . . . . . . . . . . . . . . . . 67
8.2 Algorithmus mit geschnittener Aufzählung . . . . . . . . . . . . . . . . . . . . . . . 68
9 Gitterreduktion in beliebiger Norm 71
9.1 Grundbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
9.2 Reduzierte Basen zur Norm ‖·‖ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
9.3 Konstruktion einer HKZ-reduzierten Gitterbasis . . . . . . . . . . . . . . . . . . . 80
9.4 Alternative zur Reduktion in ‖·‖ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
9.5 Konstruktion eines ‖·‖-kürzesten Gittervektors . . . . . . . . . . . . . . . . . . . . 81
10 Anwendungen der Gitterreduktion 85
10.1 Gitterbasis zu 3-SAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
10.2 Angriff auf Dåmgards Hashfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . 87
10.3 Faktorisieren ganzer Zahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
11 Komplexität, N P-Vollständigkeit 95
11.1 N P-Vollständigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
11.2 Schwierige, algorithmische Gitterprobleme . . . . . . . . . . . . . . . . . . . . . . . 96
12 Grundlagen 101
12.1 Notation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Algorithmenverzeichnis 103
Index 103

Kapitel 1
Gitter in linearen Räumen
Gitter als Punktmengen des Vektorraums R m sind Gegenstand der Geometrie der Zahlen, die
Minkowski um 1900 entwickelt hat. Der ganzzahlige Lösungsraum eines linearen, reellen Gleichungssystems
ist ein Gitter, der größere reelle Lösungsraum ist ein linearer Raum. Gitter sind
also ein diskretes Analogon zu linearen Räumen. Probleme der Linearen Algebra werden durch
Gitter diskretisiert. Dabei geht es insbesondere um die Konstruktion kleiner Lösungen, also kurzer
Gittervektoren. Die älteren Arbeiten von Hermite, Gauß und Korkine - Zolotareff behandeln
Gitter in der Sprache der quadratischen Formen.
Ein Gitter ist eine diskrete, additive Untergruppen eines reellen Vektorraums R m . Wir behandeln
Gittterbasen sowie ihre Teilbasen, primitive Systeme, die Gitterdeterminante, das einer Basis
zugehörige Orthogonalsystem, isometrische Transformationen und die QR-Zerlegung von Basen.
Wir definierenen ferner duale Gitter und duale Basen, Hermite-Normalformen, sowie elementare
Algorithmen zur Reduktion von Gitterbasen. Der Leser sollte mit Linearer Algebra vertraut sein.
Gitter-Notation. Es bezeichne R die Menge der reellen Zahlen und Z die der ganzen Zahlen,
fener sei R m der reelle Vektorraum der Dimension m. Es seien b 1 , . . . , b n ∈ R m beliebige Vektoren
und B = [b 1 , ..., b n ] ∈ R m×n die Matrix mit Spaltenvektoren b 1 , . . . , b n . Dann bezeichnet
L(B) = L(b 1 , . . . , b n ) = def {Bz|z ∈ Z n } = ∑ n
i=1 b iZ
die von den Vektoren b 1 , ..., b n erzeugte additive Untergruppe des R n . Sind die Vektoren b 1 , ..., b n
linear unabhängig, so nennen wir L(B) ein Gitter mit Basis b 1 , ..., b n bzw. B und Dimension
oder Rang dim(L) = def rang(B). Der vom Gitter L = L(B) aufgespannte lineare Raum ist
span(L) = def {Bz|z ∈ R n } = ∑ n
i=1 b iR. Alle Basen B von L erzeugen denselben linearen Raum
span(L) und haben damit denselben Rang.
1.1 Die Geometrie der Gitter
Es sei 〈·, ·〉 : R m ×R m → R das Standard-Skalarprodukt, 〈x, y〉 = x t y. Es bezeichne ‖x‖ = √ 〈x, x〉
die Länge des Vektors x. Die multiplikative Gruppe GL n (Z) der ganzzahligen n × n-Matrizen mit
Determinante ±1 nennt man die allgemeine lineare Gruppe über Z. Die Matrizen U ∈ GL n (Z)
heißen unimodular. Die Basen ¯B eines Gitters sind die transformierten einer beliebigen Basis
B ∈ R m×n , transformiert durch unimodulare Matrizen.
Satz 1.1.1
Die Basen des Gitters L(B) mit B ∈ R m×n sind genau die Matrizen B U mit U ∈ GL n (Z).
5

6 KAPITEL 1. GITTER IN LINEAREN RÄUMEN
Beweis. Sei ¯B eine weitere Basis zu L(B). Dann gibt es ein U ∈ Z n×n mit ¯B = B U, denn
jeder Spaltenvektor von ¯B ist ganzzahlige Linearkombination von Spaltenvektoren von B. Wegen
rang( ¯B) = rang(B) gilt det U ≠ 0, und somit ¯B U −1 = B. Wegen L( ¯B) = L(B) ist U −1 ganzzahlig,
und somit | det U| = 1 und U ∈ GL n (Z).
Umgekehrt gilt für U ∈ GL n (Z) offenbar dass L(B U) = L(B), somit ist B U Basis zu L(B).
□
✲
✕
✲
✕
✲
✕
✲
0 ✕
✲
✕
b
♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣
a
♣♣✲♣
♣♣♣♣
✕
✲
♣✕
♣ ♣
♣
♣
♣
♣
♣
♣
✲
✕
✲
✕
✲
Abbildung 1.1.1: Grundmasche des Gitters mit Basis a, b ∈ R 2
Grundmasche, Gram-Matrix, Determinante. Die Grundmasche zur Basis B = [b 1 , . . . , b n ]
ist das Parallelepiped
P = P(B) = { ∑ n
i=1 t ib i | 0 ≤ t 1 , . . . , t n < 1} ⊂ span(L) .
Jeder Punkt x ∈ span(L) hat eine eindeutige Zerlegung x = b + m mit m ∈ P und b ∈ L.
Damit ist der Raum span(L) zerlegt in die verschobenen Maschen b + P(B) mit b ∈ L und es
gilt span(L) = ⋃ b∈L
b + P(B) = P + L. Die Gram-Matrix zur Basis B ist die n × n-Matrix
B t B = [〈b i , b j 〉] 1≤i,j≤n bestehend aus den Skalarprodukten der Basisvektoren.
Die Determinante det L des Gitters L = L(B) ⊂ R m ist das Volumen von P(B) ⊂ span(L),
det L = def vol P(B) = ( det B t B ) 1 2 .
Die Gleichheit vol P(B) = ( det B t B ) 1 2 gilt offenbar für Basen B ∈ R n×n . Sie gilt allgemein weil
sie bei Isometrie erhalten bleibt, siehe Lemma 1.1.3.
Die Determinante det(B t B) ist unabhängig von der Wahl der Basis B von L. Denn seien B, ¯B
Basen des Gitters mit ¯B = B U, U ∈ GL n (Z). Wegen | det U| = 1 und der Multiplikativität der
Determinante gilt det(B t B) 1 2 = det(U t B t BU) 1 2 = det( ¯B t ¯B ) 1 2 .
Theorem 1.1.2
Sei L ⊂ R m Gitter und B n (0, r) ⊂ span(L) die Kugel mit Mittelpunkt 0 und Radius r. Dann gilt
lim r→∞ | L ∩ B n (0, r) |/vol B n (0, r) = 1/det L(B),
d.h. det L(B) ist der Kehrwert der Dichte der Gitterpunkte.
Beweis. Sei L = L(B) Gitter mit Grundmasche P(B), dim(L) = n. Dann ist span(L) die disjunkte
Vereinigung der um Gitterpunkte b verschobenen Grundmasche, span(L) = ⋃ b∈L b + P(B).
Da b + P(B) nur den Gitterpunkt b enthält, gibt es pro det L Volumeneinheiten genau einen
Gitterpunkt. Diejenigen Gitterpunkte b, deren Maschen b + P(B) die Kugel B n (0, r) echt schneiden,
können entweder in L ∩ B n (0, r) oder im Komplement liegen. Dies führt in der Gleichung
| L ∩ B n (0, r) |/vol B n (0, r) = 1/det L(B) + O( n r ) zu einem Fehler O( n r
), der proportional zum
Verhältnis Oberfläche zu Volumen von B n (0, r) ist.
□

1.1. DIE GEOMETRIE DER GITTER 7
Beispiel-Gitter. Wir behandeln Gitter zu dichtesten Kugelpackungen. Das erste sukzessive Minimum
λ 1 ist die Länge des kürzesten Gittervektors ungleich 0. Die (Packungs-) Dichte des Gitters
L mit dim L = n ist △(L) = (λ 1 /2) n V n / det L, dabei ist V n = vol B n (0, 1) das Volumen der n-dim.
Einheitskugel: V n = π n/2 /(n/2)! ≈ ( )
2 e π n/2/ √ πn und (n/2)! = Γ(1 + n/2) für die Gammafunktion
Γ. Das Gitter
hat die Basis
n
A n := { (x 0 , x 1 , . . . , x n ) ∈ Z n+1 ∣ ∣ ∑ n
i=0 x i = 0 }
⎡
⎤
−1 0 0 · · · · · · 0
1 −1 0 0
. 0 .. . .. . .. .
B =
. . .. . .. . .. . .. .
∈ Z (n+1)×n .
.
⎢ . .. . .. −1 0
⎥
⎣ 0 0 1 −1⎦
0 · · · · · · · · · 0 1
Offenbar gilt λ 1 = √ 2, det A n = √ n + 1. Die Dichte ist △(A n ) = V n 2 −n/2 (n + 1) −1/2 .
Das Schachbrettgitter
D n := {(x 1 , . . . , x n ) ∈ Z n | ∑ n
i=1 x i = 0 mod 2}
hat die Basis
⎡
⎤
2 1 0 · · · · · · 0
. 0 1 1 .. .
.
B =
. .. . .. . .. . .. .
∈ Z n×n .
. ⎢.
.. 1 1 0
⎥
⎣0 0 1 1⎦
0 · · · · · · 0 0 1
Offenbar gilt λ 1 = √ 2 und det(D n ) = 2. Die Dichte ist △(D n ) = V n 2 −n/2−1 .
Das folgende Gitter E n ist für n = 0 mod 4 Untergitter von D n :
{
∣ ∑ ∣∣∣ n
E n := (x 1 , . . . , x n ) ∈ Z n i=1 x i = 0 mod 4 und
x j = x j+1 mod 2 für 1 ≤ j < n.
}
Es hat die Basen
⎡
⎤
4 2 0 · · · 0 1
. 0 2 2 .. . .
.
B =
. .. . .. . .. 0 .
,
. ⎢.
.. 2 2 1
⎥
⎣0 0 2 1⎦
0 · · · · · · 0 0 1
⎡
⎤
4 2 2 · · · 2 1
0 2 0 · · · 0 1
. . .. . .. . .. . .
. ∈ Z n×n .
⎢.
.. 2 0 1
⎥
⎣0 0 2 1⎦
0 · · · · · · 0 0 1
Offenbar gilt für n ≥ 8 dass λ 1 = √ 8 und det E n = 2 n , △(E n ) = V n 2 −n/2 .
Die Gitter E 6 , E 7 sind Untergitter von E 8 ,
E 6 := {x ∈ E 8 | x 6 = x 7 = x 8 }, E 7 := {x ∈ E 8 | x 7 = x 8 }.
Isometrie, orthogonale Matrix, Äquivalenz. Eine lineare Abbildung T : V → W mit linearen
Räumen V, W heißt isometrisch, bzw. eine Isometrie (von V ), wenn T das Skalarprodukt erhält,

8 KAPITEL 1. GITTER IN LINEAREN RÄUMEN
d.h. wenn 〈b, b ′ 〉 = 〈T (b), T (b ′ )〉 für alle b, b ′ ∈ V . Eine Matrix Q ∈ R m×n , m ≥ n, heißt
isometrisch, bzw.Isometrie, wenn die Abbildung x ↦→ Qx isometrisch ist. Damit ist Q ∈ R m×n
genau dann isometrisch, wenn Q t Q = I n die Einheitsmatrix I n ∈ R n×n ist. Das Produkt von
isometrischen Matrizen ist isometrisch. Eine isometrische Quadratmatrix Q ∈ R n×n bezeichnet
man als orthogonale Matrix. Q ist orthogonal genau dann, wenn Q −1 = Q t . Mit Q ist auch Q t
orthogonal. Damit ist Q ∈ R m×n genau dann isometrisch, wenn Q durch Hinzunahme von Spalten
zu einer orthogonalen Matrix ergänzbar ist.
Zwei Gitter L, ¯L heißen isometrisch, wenn es eine Isometrie T von span(L) gibt mit T (L) = ¯L.
Zwei Basen B, ¯B heißen isometrisch, wenn es eine Isometrie Q gibt mit ¯B = QB. Offenbar sind
¯B, B genau dann isometrisch, wenn B t B = ¯B t ¯B. Offenbar erzeugen isometrische Basen B, ¯B
isometrische Gitter L(B), L( ¯B). Umgekehrt haben isometrische Gitter stets isometrische Basen.
Zwei Gitter L, ¯L heißen äquivalent oder ähnlich, wenn es ein c > 0 gibt so dass L und c ¯L
isometrisch sind, Bez.: L ∼ = ¯L. Die Gitter L, cL heißen proportional oder bis auf Skalierung gleich.
Z.B. gilt D 3
∼ = A3 . Z.B. sind folgende Basen isometrisch:
⎡ ⎤
[√ √ ]
1 0
[ ]
2 1/ 2
B := √ , ¯B := ⎣1 1⎦ , B t B =
0
¯B t 2 1 ¯B = .
3/2 1 2
0 1
Geometrische Größen sind Größen, die bei isometrischen Abbildungen erhalten bleiben, also Invarianten
von Isometrien. Volumeninhalte, Determinanten, Skalarprodukte und Längen von Vektoren
sind geometrische Größen. Ein Gitter L ⊂ R m heißt vollständig, wenn dim L = m. Vollständige
Gitter reichen für geometrische Betrachtungen aus, weil jedes Gitter nach Lemma 1.1.3(2) isometrisch
zu einem vollständigen Gitter ist. Für kombinatorische und algorithmische Untersuchungen
reichen vollständige Gitter dagegen nicht. Isometrische Abbildungen erhalten nicht die Ganzzahligkeit
von Vektoren.
Orthogonalsystem, orthogonale Projektion. Zur Basis b 1 , ..., b n ∈ R m bezeichne
π i : R m → span(b 1 , . . . , b i−1 ) ⊥ die orthogonale Projektion, derart dass für alle b ∈ R m
π i (b) ∈ span(b 1 , . . . , b i−1 ) ⊥ , b − π i (b) ∈ span(b 1 , . . . , b i−1 ) .
Offenbar sind die Vektoren ̂b i := π i (b i ) für i = 1, ..., n paarweise orthogonal. Man berechnet
̂b 1 , . . . , ̂b n durch das Gram-Schmidt-Verfahren
̂b 1 := b 1 ,
̂bi := π i (b i ) = b i − ∑ i−1
〈b i,̂b j〉
j=1 〈̂b j,̂b j〉
̂b j für i = 2, 3, . . . , n.
Für die Gram-Schmidt-Koeffizienten µ i,j := 〈bi,̂b j〉
gilt insbesondere µ i,i = 1 und µ i,j = 0 für
〈̂b j,̂b j〉
j > i, sowie b i = ̂b i + ∑ i−1
j=1 µ ̂b i,j j für i = 1, ..., n. In Matrizenschreibweise bedeutet dies
[b 1 , . . . , b n ] = [ ̂b 1 , . . . , ̂b n ] [µ i,j ] t 1≤i,j≤n.
QR-Zerlegung und geometrische Normalform (GNF). Die QR-Zerlegung B = QR der Basis
B = [b 1 , ..., b n ] ∈ R m×n ist die eindeutige Zerlegung B = QR, so dass Q ∈ R m×n isometrisch ist
und R ∈ R n×n obere Dreiecksmatrix mit positiven Diagonalelementen. Wir nennen R die geometrische
Normalform (GNF) der Basis, Bez.: R = GNF (B). Es gilt Q := [̂b 1 /‖̂b 1 ‖, ..., ̂b n /‖̂b n ‖] ∈
R m×n und für R = [r i,j ] 1≤i,j≤n gilt r i,i = ‖̂b i ‖, µ j,i = r i,j /r i,i ,
⎡
⎤ ⎡
⎤
‖̂b 1 ‖ 0 · · · · · · 0 1 µ 2,1 µ 3,1 · · · µ n,1
0 ‖̂b 2 ‖ 0 · · · 0
0 1 µ 3,2 µ n,2
.
R :=
. .. . .. . .. .
. . .. . .. . .. .
.
⎢
.
⎣ .
.. ⎥ ⎢
‖̂bn−1 ‖ 0 ⎦ ⎣
. ⎥
. .. 1 µn,n−1 ⎦
0 · · · · · · 0 ‖̂b n ‖ 0 · · · · · · 0 1

1.2. DUALITÄT 9
Lemma 1.1.3
1. Zwei Basen B, ¯B sind genau dann isometrisch, wenn GNF (B) = GNF ( ¯B), dh. wenn
B t B = ¯B t ¯B. Insbesondere ist R = GNF (B) eindeutig bestimmt.
2. L(B) ist isometrisch zum vollständigen Gitter L(R) mit R = GNF (B).
Beweis. 1. Aus B t B = ¯B t ¯B mit QR-Zerlegungen B = QR und ¯B = ¯Q ¯R folgt R t R = ¯R t ¯R.
Weil R, ¯R obere Dreiecksmatrizen mit positiven Diagonalelementen sind, folgt R = ¯R nach einem
elementaren Beweis. Umgekehrt folgt aus GNF (B) = R = GNF ( ¯B), dass B t B = R t R = ¯B t ¯B,
und damit sind B, ¯B isometrisch.
2. Für jede QR-Zerlegung B = QR sind L(B), L(R) isometrisch mit der Isometrie Q. □
Für beliebige Basen B = QR gilt det(B t B) = det(R t R) = ∏ n
i=1 ‖̂b i ‖ 2 . Insbesondere bleibt
det L(B) = (det B t B) 1 2 , bei Isometrie erhalten.
Das orthogonale Gitter. Das zum Vektor a = (a 1 , . . . , a n ) t ∈ Z n \ {0} orthogonale Gitter ist
Wir zeigen det L a = ‖a‖ / ggT(a 1 , . . . , a n ).
L a := span(a) ⊥ ∩ Z n = {z ∈ Z n | 〈a, z〉 = 0} .
Offenbar gilt dim L a = n − 1. Sei b 2 , b 3 , . . . , b n eine Basis von L a . Wegen span(L a ) ∩ Z n =
L a ist diese Basis nach Satz 1.3.2 zu einer Basis von Z n ergänzbar. Es gibt ein b 1 ∈ Z n mit
L(b 1 , . . . , b n ) = Z n . Die Einträge des Vektors b 1 sind teilerfremd, da b 1 ein primitiver Vektor von
Z n ist. Der Anteil von b 1 , der senkrecht auf L a steht, ist
〈b1,a〉 a und hat die Länge
‖a‖ 2 |〈b1,a〉|
‖a‖
. Die
Grundmasche P(B) von Z n hat die Grundfläche det L a und Höhe |〈b1,a〉|
‖a‖
. Die Determinante von
Z n ist vol(Grundmasche) = Fläche × Höhe, 1 = det Z n = (det L a ) |〈b1,a〉|
‖a‖
. Also gilt det L a =
‖a‖/| 〈b 1 , a〉 |.
Nach Konstruktion von b 1 ist |〈b 1 , a〉| die kleinste, positive, ganze Zahl in ∑ n
i=1 Z a i =
Z ggT(a 1 , . . . , a n ). Somit gilt | 〈b 1 , a〉 | = | ggT(a 1 , . . . , a n ) | und die Behauptung.
1.2 Dualität
Duales Gitter. Das duale ( bzw. polare, reziproke) Gitter L ∗ zum Gitter L ist
L ∗ = def {x ∈ span(L) | 〈x, b〉 ∈ Z für alle b ∈ L}.
Aufgrund der Identität (A −1 ) t = (A t ) −1 für A ∈ R n×n , kürzen wir ab
(AB) −1 = B −1 A −1 , (AB) t = B t A t und somit (AB) −t = A −t B −t .
A −t := (A −1 ) t . Es gilt
Satz 1.2.1
1. Für jede Basismatrix mit QR-Zerlegung B = QR ∈ R m×n gilt L(B) ∗ = L(QR −t ),
2. dim L ∗ = dim L, 3. det L ∗ = 1/ det L, 4. (L ∗ ) ∗ = L,
5. Ist B t B Gram-Matrix zu L dann ist (B t B) −1 = B −1 B −t Gram-Matrix zu L ∗ .
Die Basis B ist genau dann invertierbar, wenn L(B) vollständig ist. Für invertierbare B gilt
offenbar L(B) ∗ = L(B −t ).
Beweis. 1. Offenbar gilt für ¯B := Q R −t wegen Q t Q = I n dass
B t ¯B = (QR) t Q R −t = R t Q t Q R −t = I n .
Wegen B t ¯B = In liefern die Vektoren ¯b ∈ L( ¯B) alle ganzzahligen Vektoren (〈b 1 , ¯b〉, ..., 〈b n , ¯b〉)
∈ Z n zu den Basisvektoren b 1 , ..., b n . Damit gilt L ∗ = L( ¯B).

10 KAPITEL 1. GITTER IN LINEAREN RÄUMEN
2. - 5. Aus dim L = rang(R) = rang(R −1 ) folgt dim L ∗ = dim L. Weiter folgt det L ∗ = 1/ det L
aus det L = det R = 1/ det R −t . Mit (R −t ) −t = R gilt somit (L ∗ ) ∗ = L. Schließlich gilt 5. wegen
¯B t ¯B = R −1 R −t = (R t R) −1 = (B t B) −1 .
□
Duale Basis. Zur Basis b 1 , . . . , b n ∈ R m von L ist die duale Basis b ∗ 1, . . . , b ∗ n von L ∗ definiert
durch 〈b i , b ∗ n−j+1 〉 = δ i,j. Die QR-Zerlegung B = QR liefert die duale Basis B ∗ = Q R −t U n . Die
⎡ ⎤
1
Multiplikation mit U n = def
⎣ · ⎦ ∈ R n×n , der Matrix mit Einsen in der Gegendiagonalen,
1
invertiert die Spaltenreihenfolge der Basis Q R −t , so dass R −t U n obere Dreiecksmatrix ist.
Die QR-Zerlegung der dualen Basis B ∗ zu B = QR ist B ∗ = (QU n ) (U n R −t U n ).
Denn zur QR-Zerlegung B = QR ist R −t untere Dreiecksmatrix und U n R −t U n obere Dreiecksmatrix.
Der Übergang von R −t nach U n R −t U n invertiert die Spalten- und die Zeilenreihenfolge in
R −t . Wegen Un t = U n = Un
−1 ist QU n isometrisch.
Korollar 1.2.2
Zur Basis b 1 , . . . , b n mit Orthogonalsystem ̂b 1 , . . . , ̂b n ist ̂bn /‖̂b n ‖ 2 , . . . , ̂b 1 /‖̂b 1 ‖ 2 das Orthogonalsystem
der dualen Basis b ∗ 1, . . . , b ∗ n.
Beweis. Es gilt 〈̂b i , ̂b j 〉 ‖̂b j ‖ 2 = δ i,j für 1 ≤ i, j ≤ n.
□
Satz 1.2.3
Für jedes Gitter L und jede Isometrie T von span(L) gilt T (L ∗ ) = T (L) ∗ .
Beweis. Sei L = L(B) mit QR-Zerlegung B = QR ∈ R m×n und sei T : x ↦→ ¯Qx eine Isometrie.
Weil QR −t Basis von L ∗ ist, gilt nach Satz 1.2.1
L ∗ = L(Q R −t ), T (L ∗ ) = L( ¯QQ R −t ).
Andererseits ist ¯QQ isometrisch und damit ist ( ¯QQ) R die QR-Zerlegung der Basis ¯QQR von
T (L). Es folgt T (L) ∗ = L( ¯QQR) ∗ = L( ¯QQ R −t ) = T (L ∗ ). □
Selbstduale und ganze Gitter. Ein Gitter L heißt selbstdual oder unimodular, wenn L = L ∗ .
Offenbar gilt L = L ∗ gdw die Gram-Matrix B t B unimodular ist, d.h., B t B ist ganzzahlig und
det B t B = 1. Die Gitter Z n und die geschichteten Gitter Λ 8
∼ = E8 , √ 2Λ 24 sind selbstdual.
Ein Gitter L heißt ganz (integral), wenn B t B ganzzahlig ist. Ein Gitter L ist also genau dann
ganz, wenn L ⊂ L ∗ .
1.3 Diskretheit, Primitive Systeme
Diskretheit. Eine Menge S ⊂ R m heißt diskret, wenn S keinen Häufungspunkt in R m hat.
Für jede additive Untergruppe G ⊂ R m sind offenbar folgende Aussagen äquivalent:
1. G ist diskret,
2. 0 ist kein Häufungdpunkt von G,
3. Es gibt einen kürzesten Vektor in G \ {0}.
Jedes Gitter ist diskret. Zum Nachweis der Diskretheit sei ϕ : R n → span(L(B)) ⊂ R m die
lineare Abbildung ϕ : z ↦→ Bz. ϕ ist ein Isomorphismus der Vektorräume R n und span(L) mit
ϕ(Z n ) = L. Weil Z n diskret und ϕ −1 stetig auf span(L), ist auch L diskret.

1.3. DISKRETHEIT, PRIMITIVE SYSTEME 11
Umgekehrt, ist jede diskrete additive Untergruppe von R m ein Gitter. Die Diskretheit charakterisiert
also die Gitter unter den additiven Untergruppen des R m .
Satz 1.3.1
Jede diskrete, additive Untergruppe des R m ist ein Gitter erzeugt von einer Basis.
Beweis. Sei L ⊂ R m eine diskrete, additive Untergruppe und n die Maximalzahl linear unabhängiger
Vektoren in L. Offenbar gilt n ≤ m. Durch Induktion über n zeigen wir die Existenz einer
Basis.
n = 1: Sei b ∈ L ein kürzester Vektor mit b ≠ 0 (ein solcher Vektor existiert, da 0 kein
Häufungspunkt von L ist). Dann gilt L(b) = L.
n > 1: Wähle b 1 ∈ L \ {0} derart dass 1 k b 1 ∉ L für alle k ≥ 2. Offenbar gilt L(b 1 ) =
L∩span(b 1 ). Betrachte die orthogonale Projektion π : R m → span(b 1 ) ⊥ mit π(b) = b− 〈b1,b〉
〈b b 1,b 1〉 1.
Die Induktionsbehauptung ergibt sich aus den beiden Aussagen
1. π(L) ist diskret und ein Gitter vom Rang n − 1,
2. Für jede Basis π(b 2 ), . . . , π(b n ) von π(L) mit b 2 , . . . , b n ∈ L gilt L = L(b 1 , . . . , b n ).
Beweis von 1. Wir zeigen, dass 0 kein Häufungspunkt von π(L) ist. Angenommen, die paarweise
verschiedenen Vektoren π(y (i) ) mit y (i) ∈ L konvergieren gegen 0. Wir konstruieren unendlich viele
kurze Vektoren in L, im Widerspruch zur Diskretheit von L.
Zu den Vektoren π(y (i) ) erhalten wir kurze π-Urbilder ȳ (i) ∈ L nach der Vorschrift ȳ (i) :=
y (i) − ⌈〈 〉
y (i) , b 1 /〈b1 , b 1 〉 ⌋ b 1 . Dabei bezeichnet ⌈r⌋ := ⌈r − 1 2⌋ die nächste ganze Zahl zur reellen
Zahl r. Offenbar gilt ‖ȳ (i) − π(y (i) )‖ ≤ 1 2 ‖b 1‖. Wegen lim ‖π(ȳ (i) )‖ = 0 gibt es unendlich viele
i→∞
Vektoren ȳ (i) ∈ L mit ‖π(ȳ (i) )‖ ≤ ‖b 1 ‖, im Widerspruch zur Diskretheit von L.
Beweis zu 2. Die Maximalzahl der linear unabhängigen Vektoren in π(L) ist n − 1. Nach
Induktionsvoraussetzung ist π(L) ein Gitter vom Rang n − 1. Sei π(b 2 ), . . . , π(b n ) eine Basis
von π(L) mit b 2 , . . . , b n ∈ L. Die Vektoren b 1 , ..., b n sind linear unabhängig. Wir zeigen, dass
L ⊂ L(b 1 , . . . , b n ). Zu beliebigem b ∈ L gilt π(b) ∈ π(L) = L (π(b 2 ), . . . , π(b n )), somit gibt
es ein ¯b ∈ L(b 2 , . . . , b n ) mit π(b) = π( ¯b ). Es gilt b − ¯b ∈ span(b 1 ). Nach Wahl von b 1 gilt
L(b 1 ) = L ∩ span(b 1 ) und somit b − ¯b ∈ L(b 1 ). Es folgt b ∈ L(b 1 , . . . , b n ).
□
Primitive Systeme. Wir charakterisieren Teilbasen b 1 , ..., b k mit k ≤ n von Gitterbasen b 1 , ..., b n .
Offenbar gilt für Teilbasen b 1 , ..., b k dass
1. b 1 , . . . , b k sind linear unabhängig, 2. span(b 1 , . . . , b k ) ∩ L = L(b 1 , . . . , b k ).
Eine Menge von Gittervektoren b 1 , ..., b k nennt man ein primitives System zum Gitter L, wenn
1. und 2. gilt. Ein einzelner Vektor b ∈ L ist primitiv, wenn 1 k
b ∉ L für alle k ∈ Z \ {0}.
Satz 1.3.2
Genau dann können die Gittervektoren b 1 , . . . , b k zu einer Basis von L ergänzt werden, wenn sie
ein primitives System zu L bilden.
Beweis. Teilbasen bilden offenbar primitive Systeme. Sei nun umgekehrt b 1 , . . . , b k ein primitives
System und π : span(L) → span(b 1 , . . . , b k ) ⊥ die orthogonale Projektion. Aus dem Beweis zu
Satz 1.3.1 folgt, dass π(L) ein Gitter der Dimension n − k ist. Das Gitter π(L) habe die Basis
π(b k+1 ), . . . , π(b n ) mit b k+1 , . . . , b n ∈ L.
Wir zeigen, dass b 1 , ..., b n Basis von L ist. Nach Konstruktion sind b 1 , ..., b k linear unabhängig.
Sei b ∈ L. Wegen π(b) ∈ L(π(b k+1 ), . . . , π(b n )) gibt es ein ¯b ∈ L(b k+1 , . . . , b n ) mit π( ¯b ) =

12 KAPITEL 1. GITTER IN LINEAREN RÄUMEN
π(b), also ist b− ¯b ∈ span(b 1 , . . . , b k ). Weil b 1 , . . . , b k nach Voraussetzung ein primitives System
bildet, gilt b − ¯b ∈ L(b 1 , . . . , b k ). Somit gilt b ∈ L(b 1 , . . . , b n ) und b 1 , ..., b n ist Basis von L. □
1.4 Elementare Reduktionsverfahren zur l 2 -Norm || ||
Ziel der Reduktionsverfahren sind Gitterbasen bestehend aus kurzen Gittervektoren.
Definition 1.4.1
Die Basis b 1 , . . . , b n ist längenreduziert, wenn |µ i,j | ≤ 1 2
für 1 ≤ j < i ≤ n.
Für jede längenreduzierte Basis b 1 , . . . , b n gilt wegen b i = ̂b i + ∑ i−1
j=1 µ ̂b i,j j und |µ i,j | ≤ 1 2
‖b i ‖ 2 ≤ ‖̂b i ‖ 2 + 1 ∑ i−1
4 j=1 ‖̂b j ‖ 2 für i = 1, . . . , n.
Algorithmus 1.4.1 zur Längenreduktion
EINGABE : Basis b 1 , . . . , b n ∈ R m
FOR i = 2, . . . , n DO
FOR j = i − 1, . . . , 1 DO b i := b i − ⌈µ i,j ⌋ · b j
AUSGABE :
längenreduzierte Basis b 1 , . . . , b n
Korrektheit.
1. Der Schritt b i := b i − ⌈µ i,j ⌋b j bewirkt, dass µ neu
i,j := µ alt
i,j − ⌈µalt i,j ⌋ µ j,j = µ alt
i,j − ⌈µalt i,j ⌋.
2. Insbesondere gilt ∣ ∣µ neu ∣
i,j ≤ 1 2 , und die µ i,ν bleiben für ν > j unverändert.
Die Orthogonalvektoren bleiben erhalten. Die Längenreduktion ist nur eine schwache Reduktion.
Definition 1.4.2
Die Vektoren b 1 , . . . , b¯n ∈ R n \ {0} nennen wir paarweise reduziert, wenn
1.
| 〈b i,b j〉 |
‖b j‖ 2 ≤ 1 2
für 1 ≤ j < i ≤ ¯n, 2. ‖b 1 ‖ ≤ ‖b 2 ‖ ≤ · · · ≤ ‖b¯n ‖ .
Die Eigenschaft 1. bezieht sich nicht auf den Gram-Schmidt-Koeffizienten µ i,j = 〈bi,̂b j〉
. Sie ist
‖̂b j‖ 2
äquivalent zu ‖b i ‖ ≤ ‖b i ± b j ‖ für 1 ≤ j < i ≤ n, denn wegen
‖b i ± b j ‖ 2 = 〈b i ± b j , b i ± b j 〉 = ‖b i ‖ 2 ± 2 〈b i , b j 〉 + ‖b j ‖ 2 gilt
‖b i ‖ 2 ≤ ‖b i ± b j ‖ 2 ⇐⇒ ± 〈b i , b j 〉 ≤ 1 2 ‖b j‖ 2 ⇐⇒ |〈b i , b j 〉| ≤ 1 2 ‖b j‖ 2 .
Korrektheit. Algorithmus 1.4.2 terminiert und bei Abbruch des Verfahrens sind die Vektoren
paarweise reduziert. Bei jedem Reduktionsschritt wird nämlich der Vektor b i echt kleiner, und die
übrigen Vektoren bleiben unverändert. Somit hat jedes Gitter eine paarweise reduzierte Basis.
Die Laufzeit der paarweisen Reduktion ist nicht polynomial. Aber es gibt höchstens polynomial
viele Schritte b i := b i − ⌈r⌋b j , welche ‖b i ‖ um mindestens ε‖b i ‖ für festes ε > 0 erniedrigen.
Satz 1.4.3
Algorithmus 1.4.2 sichert nach höchstens log 1/(1−ε) ( ∏¯n
i=1 ‖b i‖) Schritten b i := b i − ⌈r⌋b j mit
‖b i ‖ neu ≤ ‖b i ‖(1 − ε) dass ‖b i ‖(1 − ε) ≤ ‖b i ± b j ‖ für 1 ≤ j < i ≤ ¯n.

1.5. HERMITE NORMALFORM, UNTERGITTER 13
Algorithmus 1.4.2 zur paarweise Reduktion
EINGABE :
Vektoren b 1 , . . . , b¯n ∈ Z m (möglicherweise linear abhängig)
1. Ordne b 1 , . . . , b¯n so, dass 1 ≤ ‖b 1 ‖ ≤ · · · ≤ ‖b¯n ‖
2. FOR i = 1, . . . , ¯n DO
FOR j = 1, . . . , i − 1 DO
r := 〈b i , b j 〉 ‖b j ‖ −2
IF |r| > 1 2
THEN [ b i := b i − ⌈r⌋b j
falls b i = 0 entferne b i und erniedrige ¯n, GO TO 1.
AUSGABE : paarweise reduzierte Vektoren b 1 , . . . , b¯n ( ∑¯n
i=1 b iZ bleibt erhalten)
1.5 Hermite Normalform, Untergitter
Ganzzahlige und rationale Matrizen haben eine eindeutig bestimmte Hermite-Normalform (HNF).
Für reelle Matrizen und relle Gitterbasen gilt dies nicht. Aus der HNF einer Transformationsmatrix
T ∈ Z n×n kann man det L(B)/ det L(BT ) = | det T | ablesen.
Definition 1.5.1
Eine Matrix A = [a ij ] ∈ R m×n mit n ≤ m ist in Hermite-Normalform (kurz HNF), wenn
1. a ij = 0 für j > i, d.h. A ist eine untere Dreiecksmatrix.
2. a ii > 0 für i = 1, 2, . . . , m.
3. 0 ≤ a ij < a ii für j < i.
Die Hermite-Normalform ist eine reduzierte Basis, in dem Sinne dass der i-te Basisvektor die
i-te Koordinate minimiert unter der Bedingung, dass seine ersten i−1 Koordinaten Null sind. Für
eine HNF A = [a ij ] = [a 1 , ..., a n ] mit Spaltenvektoren a 1 , ..., a n ist a ii also die absolut kleinste
i-te Koordinate ≠ 0 der Vektoren in L(a i , ..., a n ). Dabei ist L(a i , ..., a n ) das Teilgitter, dessen
Vektoren in den ersten i − 1 Koordinaten Null sind.
In der Definition der HNF kann man statt einer ’unteren’ Dreiecksmatrix ebenso gut eine
’obere’ Dreiecksmatrix verlangen. Der zulässige Bereich der Zahlen a ij in 3. ist ein Intervall der
Länge |a ii |, die Lage dieses Intervals ist willkürlich. In [DKT87] fordern die Autoren
a ij ≤ 0 und |a ij | < a ii für j < i.
A. Paz und C.P. Schnorr [PS87] fordern, dass die Elemente links der Diagonalen betragsmäßig
minimal sind:
|a ij | < 1 2 |a ii| für j < i.
Die verschiedenen Varianten von Hermite-Normalformen sind einfach ineinander überführbar. Ist
z.B. A ∈ R m×n untere Dreiecksmatrix, dann ist U m A U n obere Dreiecksmatrix für die Matrizen
U m , U n mit Einsen auf der Gegendiagonalen.
Nach C. Hermite [He1850] gilt folgender Satz.
Satz 1.5.2 (Hermite 1850)
Zu jeder Matrix A ∈ Q m×n mit Rang(A) = n gibt es genau eine HNF A U mit U ∈ GL n (Z).

14 KAPITEL 1. GITTER IN LINEAREN RÄUMEN
Beweis. Konstruktion der HNF. Sei L(A) ⊂ R m das Gitter zur Basis A. Konstruiere die Vektoren
a ′ 1, ...., a ′ n ∈ L(A), [a ′ 1, ...., a ′ n] = [a ′ ij ] ∈ Rm×n so dass
a ′ ii = min{ |a i | | (a 1 , ..., a n ) t ∈ L(A), a 1 = · · · = a i−1 = 0, a i ≠ 0}.
Weil A rational ist, existiert das Minimum der Absolutwerte |a i |. Wegen der Dreiecksform von
[a ′ 1, ...., a ′ j ] ist a′ 1, ..., a ′ j ein primitives System, und a′ 1, ..., a ′ n ist Basis zu L(A). a ′ := [a ′ 1, ..., a ′ n]
hat die HNF-Eigenschaften 1. und 2. Um die HNF-Eigenschaft 3. zu sichern, transformiert man
a ′ 2, ..., a ′ n gemäß
a ′ i := a ′ i − ⌈a ′ ij/a ′ jj⌉ a ′ j für j = 1, ..., i − 1.
Eindeutigkeit der HNF. Die Diagonalelemente a ′ ii der HNF sind offenbar durch obige Formel
eindeutig bestimmt. Angenommen 0 < a ′ ij < a′′ ij < a′ ii sind verschiedene Elemente zweier HNF’s
mit j < i und i ist minimal gewählt. Dann gilt für j ′ < j dass a ′ ij = ′ a′′ ij und es folgt ′ |a′ ij −a′′ ij | ≥ a′ ii ,
im Widerspruch zu |a ′ ij − a′′ ij | < a′ ii .
□
Reelle Matrizen haben im allgemeinen keine HNF, weil die Koordinaten der Gittervektoren
kein absolutes Minimum annehmen müssen. Die Basis
[ √ ]
1 2
A := ∈ R 2×2 .
3 4
erzeugt ein Gitter L(A) mit absolut beliebig kleinen ersten Koordinaten der Gittervektoren.
Teilgitter, Untergitter. Sind L ′ , L Gitter mit L ′ ⊂ L, so heißt L ′ Teilgitter von L. Haben L ′
und L gleichen Rang, dann heißt L ′ Untergitter von L.
[ ] 2 0
Die Basis A = erzeugt das Untergitter 2 Z
0 2
2 von Z 2 . Die Faktorgruppe Z 2 /L(A) besteht
aus den vier Äquivalenzklassen, [Z n : L(A)] = 4.
(0,6)
(2,6)
(4,6)
(6,6)
(0,4)
(2,4)
(4,4)
(6,4)
(0,2)
(2,2)
(4,2)
(6,2)
(0,0) (2,0) (4,0) (6,0)
Abbildung 1.5.1: Untergitter L(A) von Z 2
Lemma 1.5.3
Sei L = L(B) Gitter und L ′ = L(BT ) Untergitter von L mit T ∈ Z n×n . Dann gilt
det L ′ = det L · |det T |.
Index des Untergitters. Die ganze Zahl |det T | =
det L
aus Lemma 1.5.3 ist die Elementzahl
und ’Ordnung’ der Faktorgruppe L/L ′ , genannt der Index des Untergitters L ′ in L, Bez.: [L : L ′ ].
det L′

1.5. HERMITE NORMALFORM, UNTERGITTER 15
Sei L ′ = L(BT ) Untergitter von L = L(B) und T = [t ij ] ∈ Z n×n eine obere (bzw. untere)
Dreiecksmatrix. Dann gilt
[L : L ′ ] =
det L′
det L = det T = ∏ n
i=1 |t ii| .
Insbesondere gilt L ′ = L genau dann wenn |det T | = 1.
Korollar 1.5.4
Zu a = (a 1 , . . . , a n ) ∈ Z n \ {0}, b ∈ N hat das Gitter L a,b = {x ∈ Z n | x t a = 0 (mod b)}
Determinante det L a,b = b/ ggT(a 1 , . . . , a n , b) .
die
Beweis. L a,b ⊂ Z n ist offenbar Gitter der Dimension n. Sei O.B.d.A. ggT(a 1 , ..., a n , b) = 1, denn
durch Herausdividieren des ggT aus a 1 , ..., a n , b ändert sich L a,b nicht. Die Faktorgruppe Z n / L a,b
besteht den Restklassen
R i := { x ∈ Z n ∣ ∣ x t a = i (mod b) } für i = 0, ..., b − 1.
Offenbar sind diese Restklassen nicht leer. Es folgt [Z n : L a,b ] = b und damit det L a,b = b.
□
Satz 1.5.5
Sei L ′ ein Untergitter von L = L(B). Dann gibt es eine untere (bzw. obere) Dreiecksmatrix T ∈
Z n×n mit L ′ = L(BT ). Umgekehrt gibt es zu jeder Basis B ′ von L ′ eine Basis ¯B von L und eine
untere (bzw. obere) Dreiecksmatrix T ∈ Z n×n mit B ′ = ¯B T .
Beweis. Wir weisen die unteren Dreiecksmatrizen nach, Die oberen Dreiecksmatrizen erhält man
durch Transformation mit Umkehrmatrizen U n , U m . Sei ¯B ′ eine beliebige Basis zu L ′ und ¯B ′ = B T
mit T ∈ Z n×n . Dann gibt es ein S ∈ GL n (Z) so dass T S eine HNF von T ist. Es folgt ¯B ′ S = B(T S)
und T S ist untere Dreiecksmatrix. Also ist die Basis B ′ := ¯B ′ S von L ′ von der gewünschten Form.
Ist umgekehrt B ′ gegeben und B von der Form B ′ = B T , dann wählt man S ∈ GL n (Z) so dass
S T eine untere Dreiecksmatrix ist. Zur Basis B von L ist dann B S −1 eine Basis der gewünschten
Form.
□

16 KAPITEL 1. GITTER IN LINEAREN RÄUMEN

Kapitel 2
Minkowski-Sätze,
Hermite-Konstante
Die sukzessiven Minima λ 1 ≤ ... ≤ λ n eines Gitters der Dimension n sind wichtige geometrische
Invarianten. Eine Gitterbasis b 1 , ..., b n gilt als “stark reduziert“, wenn ‖b i || nicht viel grösser ist
als λ i
√
i. Für Gitter L der Dimension n gilt λ
2
1 ≤ γ n det(L) 2/n , dabei ist γ n die Hermite-Konstante.
2.1 Sukzessive Minima und erster Satz von Minkowski
Sukzessive Minima. Eine allgemeine Norm ‖·‖ : R m → R ≥0 ist durch ihren Eichkörper
K = {x ∈ R m | ‖x‖ ≤ 1} definiert. K ⊂ R m ist eine beliebige kompakte, konvexe, nullsymmetrische
Menge. Es gilt ‖x‖ = min{r ∈ R ≥0 | x ∈ rK}. Der Eichkörper der l 2 -Norm ist die Einheitskugel
B m (0, 1), der Eichkörper der sup-Norm l ∞ ist der Würfel mit Seitenlängen 2.
Die sukzessiven Minima λ 1 , . . . , λ n des Gitters L ⊂ R m der dim L = n zur Norm ‖·‖ sind
{
}
λ i = λ i (L) := inf r > 0
∃ linear unabhängige a 1 , . . . , a i ∈ L
∣
.
mit ‖a 1 ‖, ..., ‖a i ‖ ≤ r.
Offenbar gilt λ 1 ≤ λ 2 ≤ · · · ≤ λ n . Die Definition der sukzessiven Minima geht auf H. Minkowski
zurück. Wenn nicht anders vermerkt bezieht sich λ i stets auf die Euklidische Norm, λ i,∞ (L) bezieht
sich auf die sup-Norm ‖ ‖ ∞ . Die sukzessiven Minima zur Euklidischen Norm sind geometrische
Invarianten, sie bleiben bei isometrischen Transformationen erhalten. Die Größe λ 1,∞ (L) ist keine
geometrische Invariante. Für Gitter L ⊂ R m und x ∈ R m gilt ‖x‖ ∞
≤ ‖x‖ ≤ √ m ‖x‖ ∞
.
Die sukzessiven Minima sind Maßstab für die Reduziertheit einer Gitterbasis. Eine Basis gilt
als ”
reduziert“, wenn die Größen ‖b i ‖ /λ i für i = 1, . . . , n ”
klein“ sind. Für reduzierte Basen sind
deren Vektoren nahezu orthogonal. Im allgemeinen gibt es keine Basis b 1 , . . . , b n mit ‖b i ‖ = λ i
für i = 1, . . . , n. Für das Gitter L := Z n + Z ( 1 2 , . . . , 1 2 )t gilt offenbar λ 1 = λ 2 = · · · = λ n = 1 für
n ≥ 4. Für n ≥ 5 gibt es aber keine Basis bestehend aus Vektoren der Länge 1.
Lemma 2.1.1 (Blichfeldt 1914)
Sei L Gitter und S ⊂ span(L) kompakt mit vol(S) ≥ det L. Dann gibt es ein b ∈ L \ {0} mit
S ∩ (S + b) ≠ ∅, d.h. es existieren x, y ∈ S mit x − y ∈ L \ {0}.
Beweis. Zu i ∈ N sind die Mengen ( 1 + 1 i
)
S + b mit b ∈ L nicht paarweise disjunkt, weil das
Volumen von ( 1 + 1 i
)
S das der Grundmasche übersteigt. Zu jedem i gibt es ein bi ∈ L \ {0}, so
dass der folgende Durchschnitt nicht leer ist und somit ein y i enthält:
17

18 KAPITEL 2. SUKZESSIVE MINIMA UND MINKOWSKI-SÄTZE
y i ∈ ( ) [( ) ]
1 + 1 i S ∩ 1 +
1
i S + bi
Da S kompakt ist, hat die Folge (y i ) i∈N
einen Häufungspunkt y ∈ S. Für jede Teilfolge ( )
y α(i) i∈N
die gegen y konvergiert ist die Folge ( b α(i) ⊂ L beschränkt und hat einen Häufungspunkt
)i∈N
b ∈ L \ {0}. Es folgt: y ∈ S ∩ (S + b).
□
Satz 2.1.2 (Minkowski’s Convex Body Theorem)
Sei L ⊂ R n Gitter der dim L = n und S ⊂ span(L) konvex, kompakt und nullsymmetrisch.
Wenn vol(S) ≥ 2 n det(L) dann gilt |S ∩ L| ≥ 3.
Beweis. Für S ′ := 1 2 S gilt vol(S′ ) = 2 −n vol(S) ≥ det L. Nach Lemma 2.1.1 gibt es x, y ∈ S ′ , x ≠
y so dass x−y ∈ L. Somit gilt 2x, 2y ∈ S und −2x ∈ S weil S nullsymmetrisch ist. Weil S konvex
ist folgt ±(2x − 2y)/2 = ±(x − y) ∈ S.
□
Satz 2.1.3
Sei L ⊂ R n Gitter der dim L = n und K ⊂ R n Eichkörper einer beliebigen Norm ‖ ‖. Dann gilt
λ 1,‖ ‖ (L) ≤ 2 vol(K) −1/n det L 1/n .
Beweis. S := (det L/ vol(K)) 1/n K ist konvex und nullsymmetrisch mit vol(S) = det L. Nach
Lemma 2.1.1 gibt es ein b ∈ L \{0} mit S ∩(S +b) ≠ ∅. Sei y im Durchschnitt, also y, b−y ∈ S.
Die Dreiecksungleichung liefert ‖b‖ ≤ ‖b − y‖ + ‖y‖ ≤ 2 (det L/ vol(K)) 1/n .
□
Es bezeichne B n (b, r) = {x ∈ R n : ‖x − b‖ ≤ r} die n-dimensionale Kugel mit Radius r und
Mittelpunkt b in span(L). Ihr Volumen ist mit e = ∑ ∞
n=0 1/n! :
(2.1)
V n r n
:= r n π n 2 / Γ(1 +
n
2 ) = rn ( 2 eπ
n ) n 2 ( 1
πn )1/2 (1 − Θ( 1 n )).
Dabei gilt Γ ( 1
√
2)
= π, Γ(n + 1) = n!, Γ(x + 1) = x Γ(x) für n ∈ N, x ∈ R. Für x ∈ R>0 gilt
nach Stirling Γ(x + 1) = √ 2πx ( x e )x (1 + 1
12x + Θ( 1 x
)) [Knuth 71, Sektion 1.2.5, 1.2.11.2].
2
Nach Satz 2.1.3 gilt damit für Gitter der Dimension n dass λ 2 1(L) ≤ 2n+o(n)
eπ
(det L) 2/n .
Im Falle der Norm l ∞ mit Eichkörper K ∞ gilt in Satz 2.1.3 dass vol(K ∞ ) = 2 n . Damit liefert
Satz 2.1.3 die scharfe Schranke λ 1,∞ (L) ≤ (det L) 1 n . Es gilt λ 1,∞ (Z n ) = 1 = (det Z n ) 1 n .
Satz 2.1.4 (Dirichlet 1842)
Zu beliebigen reellen Zahlen α 1 , . . . , α n und ɛ ∈ ] 0, 1 2[
gibt es ganze Zahlen p1 , . . . , p n und q mit
0 < q ≤ ɛ −n , so dass | α i − p i /q | ≤ ɛ/q für i = 1, . . . , n.
Beweis. Eine Lösung (p 1 , ..., p n , q) findet man durch Konstruktion eines kürzesten Vektors in der
sup-Norm l ∞ zum Gitter L(B) mit folgender Gitterbasis
⎡
⎤
1 0 · · · 0 α 1
. 0 1 .. . α2
B =
.
⎢.
.. . .. 0 .
∈ R (n+1)2 .
⎥
⎣0 0 1 α n
⎦
0 · · · · · · 0 ɛ n+1
Wegen det B = ɛ n+1 gilt nach Satz 2.1.3 λ 1,∞ (L(B)) ≤ (det B) 1
n+1 = ɛ. Für jeden ‖ ‖∞ -kürzesten
Gittervektor B(p 1 , ..., p n , q) t gilt also |p i − α i q | ≤ ɛ und |qɛ n+1 | ≤ ɛ und somit |q| ≤ ɛ −n . □

2.2. PACKUNGSDICHTE, HERMITE-KONSTANTE, KRITISCHE GITTER 19
Dirichlet bewies Satz 2.1.4 inkonstruktiv mit dem Schubfachprinzip.
Satz 2.1.5
Sei L Gitter der Dimension n und ¯b 1 , ..., ¯b n ∈ L linear unabhängig mit ||¯b i || = λ i für i = 1, ..., n.
Dann gibt es eine Basis b 1 , ..., b n von L so dass für i = 1, ..., n
1. L(b 1 , ..., b i ) = span(¯b 1 , ..., ¯b i ) ∩ L,
(
2. bi = ¯b i oder ||π i (b i )|| ≤ 1 2 λ )
i und ||bi || 2 ≤ max(1, i 4 )λ2 i .
Damit hat jedes Gitter L eine Basis b 1 , ..., b n so dass ||b i || ≤ λ i
√
i/4 für i = 4, .., n. Insbesondere
gilt ||b i || = λ i für i = 1, .., 4 und die Schranke ||b i || ≤ λ i
√
i/4 ist scharf für i > 4.
Beweis durch Induktion nach n. Die Induktionsannahme für n − 1 sei für b 1 , ..., b n−1 ∈ L erfüllt.
Wir konstruieren b n . Im Fall
L ∩ P(b 1 , ..., b n−1 , ¯b n ) = {0}
gilt L(b 1 , ..., b n−1 , ¯b n ) = L und damit gilt die Induktionsbehauptung für b n := ¯b n . Andernfalls
wählt man für b n eine Minimalstelle von
||π n (b)|| ≠ 0 für b ∈ L ∩ P(b 1 , ..., b n−1 , ¯b n ).
Diese Wahl von b n minimiert vol P(b 1 , ..., b n−1 , b n ) sowie det L(b 1 , ..., b n ). Somit sichert sie dass
L(b 1 , ..., b n ) = L, denn für echte Untergitter ¯L ⊂ L gilt det ¯L > det L.
Weil ||π n (b n )|| minimal ist mit ||π n (b n )|| ≠ 0 folgt
||π n (b n )|| ≤ 1 2 ||¯b n || = 1 2 λ n.
Schliesslich reduzieren wir b n mod ¯b i für i = n − 1, ...., 1 so dass ||¯π i (b n )|| ≤ 1 2 ||¯b i || für die
orthogonale Projektion ¯π i : span(¯b 1 , ..., ¯b i ) → span(¯b 1 , ..., ¯b i−1 ) ⊥ . Im Fall b i = ¯b i sichert dies
¯π i+1 (b n ) = π i (¯b n ). Es folgt
||b n || 2 ≤ ∑ n
i=1 ||¯π i(b n ) − ¯π i+1 (b n )|| 2 ≤ 1 4
∑ n
i=1 ||¯b i || 2 = 1 4
∑ n
i=1 λ2 i ≤ n 4 λ2 n.
Dabei ist ¯π i (b n ) − ¯π i+1 (b n ) der Orthogonalanteil von b n in span(¯b 1 , ..., ¯b i ) ∩ span(¯b 1 , ..., ¯b i−1 ) ⊥ .
Im Fall b i = ¯b i ist dieser Anteil 0. Diese Anteile sind für alle i paarweise orthogonal. □
2.2 Packungsdichte, Hermite-Konstante, kritische Gitter
Gitterartige Kugelpackung. Die gitterartige Kugelpackung ⋃ b∈L B n(b, λ 1 /2) zum Gitter L
besteht aus allen Kugeln B n (b, λ 1 /2) mit Radius λ 1 /2 und Mittelpunkten b ∈ L.
Dichte des Gitters. Die (Packungs-)Dichte △(L) des Gitters L ist der Volumenanteil der
Kugelpackung ⋃ b∈L B n(b, λ 1 /2) von span(L) und △ n das Supremum für alle L mit dim L = n:
△(L) = def λ n 1 2 −n V n / det L,
△ n = def sup{△(L) | dim L = n}.
△(L) ist invariant gegen Äquivalenz, bleibt also bei Isometrie und Skalierung von L erhalten. Für
konstante n und det(L) ist die Dichte genau dann maximal, wenn λ 1 maximal ist.
Der analoge Kode zum Gitter L. Nachrichten werden in Gittervektoren b ∈ L kodiert. Die
Kodeworte b ∈ L werden mit reellen Fehlervektoren e ∈ span(L) übertragen. Ein gestörtes
Kodewort b + e ist genau dann eindeutig dekodierbar, wenn ‖e‖ < λ 1 /2. Dann ist b nämlich
nächster Gittervektor zu b + e. Mit der Dichte △(L) von L wächst also das Korrekturpotential
des analogen Kodes.

20 KAPITEL 2. SUKZESSIVE MINIMA UND MINKOWSKI-SÄTZE
Hermite-Konstante. Die Hermite-Konstante γ n der Dimension n ist
γ n = def sup{λ 1 (L) 2 /(det L) 2 n | dim L = n} = 4 (△ n /V n ) 2/n .
Es genügt das Supremum über die vollständigen Gitter L mit λ 1 (L) = 1 (bzw. mit det L = 1) zu
nehmen, denn γ(L) bleibt bei Äquivalenz erhalten. Weil beschränkte Basen dieser Gitter über einen
kompakten Bereich des R n×n variieren, wird das Supremum angenommen, ist also ein Maximum.
Global extreme, kritische Gitter.
kritisch, wenn △(L) = △ n .
Ein Gitter L mit dim(L) = n heißt global extrem oder
Extreme Gitter. Ein Gitter L heißt extrem, wenn △(L) bei infinitesimal kleiner Veränderung
der Basisvektoren nicht zunimmt. Diese Eigenschaft hängt nicht von der Wahl der Basis von L
ab. Jedes kritische Gitter ist extrem, aber die Umkehrung gilt nicht.
Satz 2.2.1
γ n = 4 (△ n /V n ) 2/n < 4 π Γ ( 1 + n 2
) 2
n
< 2n
eπ + 1 4 ln n für n > n 0.
Beweis. Sei L Gitter mit dim(L) = n und γ(L) = γ n , △(L) = △ n sowie det L = 1. Nach
Abbildung 2.2.1 ergeben die 2 n Kugelteile in der Grundmasche des Gitters zusammen gerade eine
Kugel vom Radius λ 1 /2. Es folgt V n (λ 1 /2) n = △ n det L = △ n < 1, somit gilt λ 1 = 2 (△ n /V n ) 1/n
und γ n = λ 2 1 = 4 (△ n /V n ) 2/n < 4 π Γ ( )
1 + n 2
n
2
≤ 4 n/2
π e
+ 2
eπ ln n + O( ln2 n
n
) (nach Stirling). □
λ 1 /2
❪
♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣
♣
♣♣♣♣♣♣♣♣♣♣♣♣♣♣
♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣
♣♣♣♣♣
♣♣♣♣♣♣♣♣♣
♣
♣ ♣ ♣
♣
♣ ♣♣♣♣
♣♣♣♣♣♣♣
Abbildung 2.2.1: Veranschaulichung von V n (λ 1 /2) n < det L
Der Beweis von Satz 2.2.1 benutzt nur △ n ≤ 1. Blichfeldt [Bli14] zeigt △ n ≤ ( √ 2 + o(1)) −n
und damit die bessere Schranke
(2.2)
γ n ≤ 2 π Γ ( )
2 + n 2
n
2
≤ n eπ
+ (3 + o(1)) ln n.
Z.B. gilt γ 10 ≤ 2 π (6!)0,2 ≈ 2, 373. Kabatiansky, Levenshtein [KaLe78] zeigen dass
γ n ≤ 1,744
2eπ n für n ≥ n 0.
Satz 2.2.2 (Minkowski, Hlawka)
△ n ≥ ∑ ∞
k=1 k−n 2 −n+1 > 2 −n+1 und γ n > n
2eπ (4eπ)1/n ≈ n+ln(4eπ)
2eπ
.
Minkowski bewies 1905 inkonstruktiv dass △ n > 2 −n+1 , siehe auch [Hlawka, 44].
Explizite Gitter mit Dichte △(L) ≥ 2 −n+1 sind nur für einige Dimensionen n < 200 bekannt. Aus
△ n > 2 −n+1 folgt mit der Stirling Approximation
γ n = 4(△ n /V n ) 2/n ≥ (2/V n ) 2/n =
n
2eπ (4πn)1/n (1 + Θ(n −2 )).
Umgekehrt zeigt die Gauß’sche Volumen-Heuristik dass γ n Vn −2/n ≈ n
2eπ
. Für Gitter L ⊂ Rn

2.2. PACKUNGSDICHTE, HERMITE-KONSTANTE, KRITISCHE GITTER 21
mit dim L = n, det L = 1 und zufällige t ∈ R n gilt nämlich:
E[|L ∩ B n (t, (2/V n ) 1/n )|] = V n (2/V n ) n/n = 2.
Verhält sich t = 0 wie ein zufälliges t dann gilt λ 1 (L) ≤ (2/V n ) 1/n , also γ n (2/V n ) 2/n ≈
n
2eπ (4eπ)1/n .
Vermutlich gilt also γ n ≈
n
2eπ (4eπ)1/n und somit △ n = 2 −n n O(1) . Vermutlich sind die Hermite-
Konstanten γ n als Funktion in n monoton wachsend. Weder dies noch die Existenz des Grenzwertes
lim n→∞ γ n /n ist bewiesen.
n 2 3 4 5 6 7 8 24
γ n n
4
3
2 4 8 2 6 /3 2 6 2 8 2 48
△ n 0, 907 0, 740 0, 617 0, 465 0, 373 0, 295 0, 254 V 24 ≈ (eπ)11.5
12 12
krit. Gitter A 2 A 3
∼ = D3 D 4 D 5 E 6 E 7 E 8 Leech G. Λ 24
Tabelle 2.2.2
Die bekannten Hermite-Konstanten. Die Hermite-Konstanten γ 3 , γ 4 , γ 5 wurden von Gauß
(γ 3 ) sowie Korkine und Zolotareff (γ 4 , γ 5 ) [KZ1872, KZ1873, KZ1877] bestimmt. Blichfeldt [Bli35]
hat γ 6 , γ 7 , γ 8 ermittelt. Blichfeldts Beweis ist kompliziert und wurde von Watson [W66] und Vetchinkin
[V82] bestätigt. Für Dimension n ≤ 8 sind die kritischen Gitter bis auf Äquivalenz (Isometrie
und Skalierung) eindeutig bestimmt. Dies wurde von Barnes [Bar59] und Vetchinkin [V82]
bewiesen. Cohn [Co05] hat Λ 24 bestimmt und gezeigt, dass das Leech-Gitter Λ 24 kritisch und bis
aud Äquivalenz eindeutig ist. Die Tabelle 2.2.2 zeigt die bewiesenen γ n n, die gerundeten maximalen
Dichten △ n , sowie kritische Gitter.
Einfache GNF’s und Gram-Matrizen der kritischen Gitter. Die kritischen Gitter der
Dimension n = 1, ..., 8, skaliert zu λ 1 = √ 2 haben Basen mit einfacher GNF R n = [r 1 , ..., r n ]:
⎡
1 1
1
2 2
0 0 0 0 0
√
1
0 2 3
1
2 √ 1√
3 3
0 0 0 0
√
√
2
0 0
√1
1 3
3
2·3 2 2
0 0 0
R 8 := √ 0 0 0 √2 1 1
2
2 √ 1√
2 2
0 0
0 0 0 0 √2 1 1
2 √ 1√
2
2
0
√
1 3
0 0 0 0 0 2 2
⎢0 0 0 0 0 0 √3 1 1
2
⎣
√
√1
2
2·3 3
0 0 0 0 0 0 0
1
2
Es gilt R 1 ⊂ R 2 ⊂ · · · ⊂ R 8 , dabei bedeutet ⊂ ‘obere linke’Teilmatrix von’. Für die Gram-Matrizen
R t nR n = [〈r i , r j 〉] 1≤i,j≤n gilt für n = 1, ..., n:
(2.3)
⎧
⎪⎨ 2 für i = j
〈r i , r j 〉 = 1 für 1 ≤ |i − j| ≤ 2 und 1 ≤ i, j ≤ n
⎪⎩
0 sonst
1√
3
⎤
.
⎥
⎦

22 KAPITEL 2. SUKZESSIVE MINIMA UND MINKOWSKI-SÄTZE
⎡
⎤
2 1 1 0 · · · · · · · · · 0
. 1 2 1 .. . .. .
. 1 1 2 .. . .. .
.
R8R t 8 :=
0 .. . .. . .. . .. .
. . .. . .. . .. . ∈ Z 8×8 .
.. 0
. . .. . .. 2 1 1
⎢
⎣
.
.
.. . ⎥
.. 1 2 1 ⎦
0 · · · · · · · · · 0 1 1 2
Nach Lemma 2.2.3 gilt λ 1 (R n ) = √ 2. Man rechnet leicht nach, dass γ n n = λ 2n
1 det(L(R n )) −2 für
die γ n n, n ≤ 8 von Tabelle 2.2.2. Diese Gitter Λ n := L(R n ) realisieren die Hermite-Konstanten γ n .
Sie sind kritisch und äquivalent zu Z, A 2 , A 3
∼ = D3 , D 4 , D 5 , E 6 , E 7 , E 8 .
Die Gram-Matrizen R t nR n kann man so nicht auf n = 9 fortsetzen, denn dann gilt det(R t 9R 9 ) =
0. Das Gitter Λ 8 ist wegen det R 8 = 1 selbstdual, es gilt Λ 8 = Λ ∗ 8. Damit ist jeder Vektor
b ∈ span(Λ 8 ) mit 〈r i , b〉 ∈ Z für i = 1, ..., 8 bereits in Λ 8 . Die nach Def. 2.2.5 geschichteten Gitter
Λ n haben, skaliert zu λ 1 = √ 2, GNF’s R n mit R 8 ⊂ R n und R t nR n ∈ 1 2 Zn×n , siehe [CoSl88,
Figur 4.13]. Man erhält R 9 z.B. mit 〈r 9 , r i 〉 = 1 2 für i = 1, ..., 8 oder mit 〈r 9, r 4 〉 = 〈r 9 , r 6 〉 = 1 ,
1
2 = 〈r 9, r 5 〉 und 〈r 9 , r i 〉 = 0 sonst.
Lemma 2.2.3
Für jede ganze Gram-Matrix B t B ∈ Z n×n mit ‖b 1 ‖ 2 = · · · = ‖b n ‖ 2 = 2 gilt λ 1 (L(B)) = √ 2.
Beweis. Wegen ‖b 1 ‖ = √ 2 gilt λ 1 (L) ≤ √ 2. Offenbar gilt ‖b‖ 2 ∈ 2 Z für alle b ∈ L
‖ ∑ n
i=1 t ib i ‖ 2 = ∑ 1≤i,j≤n t it j 〈b i , b j 〉= ∑ n
i=1 t2 i 〈b i, b i 〉 + 2 ∑ j

2.3. ZWEITER SATZ VON MINKOWSKI. 23
Die Erweiterungen R n−1 ⊂ R n und Λ n−1 ⊂ Λ n kann man so beschreiben, dass Λ n für n ≤
8 geschichtetes Gitter zu Λ n−1 nach Def. 2.2.5 ist. Der Prozess der Schichtung ist in beliebige
Dimension n fortsetzbar. Die Gitter Λ n für n = 1, ..., 8 sind äquivalent zu den geschichteten
Gittern Λ n in [CoSl88] und sind dort zu λ 1 = 2 skaliert. Zu ihrer Konstruktion, wählen wir
b 1 = √ 2(1, 0, . . . , 0) t ∈ R n und b 2 , . . . , b n so dass jeweils b n − ̂b n tiefes Loch von L(b 1 , . . . , b n−1 )
ist und ‖b n ‖ 2 = 2. Offenbar liefert diese Konstruktion geschichtete Gitter Λ n beliebiger Dimension.
Für n = 11, 12, 13 und n > 24 gibt es jedoch mehrere Isometrieklassen geschichteter Gitter, siehe
[CoSl88, Figur 6.1].
2.3 Zweiter Satz von Minkowski.
Satz 2.3.1
Für jedes Gitter L ⊂ R m mit dim L = n gilt für die l 2 -Norm ∏ n
i=1 λ i(L) ≤ γ n/2
n det L.
Satz 2.3.1 verschärft die Ungleichung λ 2 1 ≤ γ n (det L) 2/n . Für kritische Gitter L gilt λ n 1 = γn
n/2 det L
und wegen λ i ≥ λ 1 folgt somit λ 1 = λ 2 = · · · = λ n .
Beweis. Seien a 1 , ..., a n ∈ L linear unabhängige Vektoren, so dass ‖a i ‖ = λ i für i = 1, . . . , n.
L(a 1 , . . . , a n ) ist ein Untergitter von L. Wähle die Basis b 1 , ..., b n von L so dass mit einer oberen
Dreiecksmatrix T ∈ Z n×n nach Satz 1.5.5 gilt [b 1 , . . . , b n ] T = [a 1 , . . . , a n ]. Es gilt dann
(2.4)
b ∈ L(b 1 , . . . , b n ) \ L(b 1 , . . . , b s−1 ) =⇒ ‖b‖ ≥ λ s für s = 2, ..., n,
weil b /∈ span(b 1 , . . . , b s−1 ) = span(a 1 , . . . , a s−1 ).
Wir setzen ¯b i := ∑ i
j=1 µ ̂b
(
i,j j /λ j für 1 ≤ i ≤ n, ¯L := L ¯b1 , . . . , ¯b
)
n und zeigen λ1 ( ¯L ) ≥ 1.
i=1 t i¯b i ∈ ¯L \ {0} ein beliebiger Vektor, t s ≠ 0 und b := ∑ s
Sei ¯b := ∑ s
∥
∥¯b∥ ∥
2
∑ s =
j=1 (∑ s
i=j t iµ i,j ) 2 ‖̂b j ‖ 2 λ −2
j
≥ ∑ s
j=1 (∑ s
i=j t iµ i,j ) 2 ‖̂b j ‖ 2 λ −2
s
i=1 t ib i . Dann gilt
= λ −2
s ‖b‖ 2 ,
so dass wegen (2.4) und t s ≠ 0 die Behauptung ‖¯b‖ 2 ≥ 1 und damit λ 1 ( ¯L ) ≥ 1 folgt.
Aus det ¯L = det L/ ∏ n
i=1 λ i sowie λ 1 ( ¯L ) ≥ 1 und nach Definition von γ n folgt
1 ≤ λ 1 ( ¯L) 2 ≤ γ n (det ¯L) 2/n = γ n (det L) 2/n ( ∏ n
i=1 λ i) −2/n .
Diese Ungleichung potenxiert mit n/2 und multipliziert mit ∏ n
i=1 λ i liefert die Behauptung. □
Lemma 2.3.2
Für jedes Gitter L mit dim L = n gilt für die l 2 -Norm ∏ n
i=1 λ i ≥ det L.
Beweis. Seien a 1 , . . . , a n linear unabhängige Gittervektoren mit ‖a i ‖ = λ i für i = 1, . . . , n. Weil
L(a 1 , . . . , a n ) ein Untergitter von L ist, gilt det L(a 1 , . . . , a n ) ≥ det L. Ferner liefert die Ungleichung
von Hadamard ∏ n
i=1 λ i = ∏ n
i=1 ‖a i‖ ≥ det L(a 1 , . . . , a n ). Es folgt die Behauptung. □
Satz 2.3.3 verallgemeinert Satz 2.3.1 auf eine allgemeine Norm mit Eichkörper K. Der Satz
stammt von Minkowski 1907, siehe Paragraph 9.1, Kapitel 2, [GrLek87].
Satz 2.3.3
Seien λ 1 , . . . , λ n die sukzessiven Minima des Gitters L ⊂ R m mit dim L = n bezüglich einer
beliebigen Norm mit Eichkörper K, dann gilt det L/n! ≤ vol(K ∩ span(L)) 2 −n ∏ n
i=1 λ i ≤ det L.
Im Fall der sup-Norm l ∞ gilt vol(K ∩ L) ≥ 2 n und somit ∏ n
i=1 λ i,∞ ≤ det L. Diese Schranke
ist scharf, denn für L = Z n gilt λ i,∞ = 1 und det L = 1.

24 KAPITEL 2. SUKZESSIVE MINIMA UND MINKOWSKI-SÄTZE

Kapitel 3
Gauß-Reduktion
Ziel ist es, für Gitter der Dimension 2 eine Basis a, b zu finden, bestehend aus einem kürzesten
Vektor a ≠ 0 und einem dazu kürzesten, linear unabhängigen Vektor b. Für beliebige Norm ‖ ‖
sind dies genau die Basen mit ‖a‖ ≤ ‖b‖ ≤ ‖a ± b‖. Wir behandeln Reduktionsverfahren, erst für
die Euklidische Norm dann für eine allgemeine Norm.
3.1 Reduzierte Basis
Reduzierte Basis. Sei ‖ ‖ : R n → R ≥0 eine beliebige Norm. Eine geordnete Gitterbasis
a, b ∈ R n ist reduziert bezüglich der Norm ‖·‖ wenn ‖a‖ ≤ ‖b‖ ≤ ‖a ± b‖ .
Ist die Basis a, b reduziert, so sind auch ±a, ±b reduzierte Basen des Gitters L(a, b). Abgesehen
von Ausnahmegittern gibt es nur diese vier reduzierten Basen. Die Basen ±a, ±b sind in
natürlicher Weise äquivalent. Wir nennen zwei Basen a, b und a ′ , b ′ äquivalent, wenn a = ±a ′ ,
b = ±b ′ . Zwei der reduzierten Basen ±a, ±b erfüllen die Zusatzbedingung ‖a − b‖ ≤ ‖a + b‖.
Der folgende Satz gilt für eine allgemeine Norm ‖ ‖.
Satz 3.1.1
Für jede reduzierte Basis a, b ∈ R n ist a ein kürzester Gittervektor ≠ 0 und b ein dazu linear
unabhängiger kürzester Gittervektor.
Beweis. Zu zeigen ist für allgemeine Norm
‖a‖ ≤ ‖ra + sb‖ for all(r, s) ∈ Z 2 \ {(0, 0)} ,
‖b‖ ≤ ‖ra + sb‖ for all(r, s) ∈ Z 2 \ {(0, 0), (1, 0)} , s ≠ 0.
Abb. 4.1.1 illustriert die Lage einer reduzierten Basis a, b. Betrachte das Parallelepiped P
mit den Eckpunkten ±a ± b. Die Reduktionsbedingungen bedeuten, dass auf jeder der vier dicken
Kanten von P der mittlere Gitterpunkt ±a, ±b minimale Norm gegenüber den beiden Eckpunkten
hat:
‖±a − b‖ ≥ ‖±a‖ ≤ ‖±a + b‖
‖−a ± b‖ ≥ ‖±b‖ ≤ ‖a ± a‖ .
Für eine allgemeine Norm und c > 0 ist der Bereich der Vektoren K c = {x | ‖x‖ ≤ c} konvex.
Wegen dieser Konvexität hat die Norm auf jeder der vier Grenzgeraden von P, den Geraden
±a + tb, ±b + ta für t ∈ R, ihr Minimum jeweils auf der Kante des Randes von P. Damit nimmt
die Norm in jedem der vier gepunkteten Bereiche der Abb. 4.1.1 ihr Minimum im jeweiligen
Eckpunkt ±a ± b an. Daher sind a, b offenbar zwei kleinste, linear unabhängige Gitterpunkte. □
25

26 KAPITEL 3. GAUSS-REDUKTION
♣ ♣ ♣ ♣ ♣ ♣ ♣
♣ ♣ ♣
♣ ♣ ♣ ♣ ♣ ♣ ♣
♣ ♣ ♣
♣ ♣ ♣ ♣ ♣ ♣ ♣
♣ ♣ ♣ ♣
♣ ♣ ♣ ♣ ♣ ♣
♣ ♣ ♣ ♣
♣
♣ ♣ ♣ ♣
♣
a
♣ ♣ ♣ ♣
✶
+a − b
✕
+a + b
0 ✲
−b
b
−a − b
♣ ♣ ♣
♣ ♣
♣ ♣ ♣
♣♣ ♣
♣
−a + b
♣ ♣ ♣ ♣ ♣ ♣ ♣
♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣
♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣
♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣
♣ ♣ ♣ ♣ ♣ ♣ ♣
♣
Abbildung 3.1.1: Reduzierte Basis a, b
3.2 Reduktionsverfahren für die Euklidische Norm
Für die Euklidischen Norm ‖x‖ = √ x t x gilt offenbar mit µ 2,1 = a t b ‖a‖ −2 dass
µ 2,1 ≤ 1 2
⇐⇒ ‖b‖ ≤ ‖a − b‖ ,
µ 2,1 ≥ 0 ⇐⇒ ‖a − b‖ ≤ ‖a + b‖ .
Damit ist die Basis a, b genau dann reduziert, wenn ‖a‖ ≤ ‖b‖ , |µ 2,1 | ≤ 1 2
. Wir betrachten nur
reduzierte Basen mit der Zusatzbedingung µ 2,1 ≥ 0.
µ 2,1 = 0
❘
♣♣♣♣♣♣♣♣♣✗♣
♣♣♣♣♣♣♣♣♣
❨
µ2,1 = 1 2
b
✮
‖a‖ = ‖b‖
a
✲
♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣
-
Abbildung 3.2.1: Bereich der reduzierten Basen a, b mit µ 2,1 ≥ 0
Abbildung 3.2.1 zeigt zu festem a den gepunkteten Bereich der Vektoren b der reduzierten
Basen a, b mit µ 2,1 ≥ 0. Sei φ = ∠(a, b) der Winkel zwischen den Gittervektoren a, b, cos φ =
a t b
‖a‖·‖b‖ . Für reduzierte Basen a, b gilt 60◦ ≤ φ ≤ 90 ◦ .
Im Fall µ 2,1 = 1 2
ist mit a, b auch a, a − b reduziert. Im Fall ‖a‖ = ‖b‖ ist mit a, b auch b, a
reduziert. In den übrigen Fällen gibt es nur die reduzierten Basen ±a, ±b.

3.2. REDUKTIONSVERFAHREN FÜR DIE EUKLIDISCHE NORM 27
Algorithmus 3.2.1 Gauß-Reduktionsverfahren für die Euklidische Norm
EINGABE :
Gitterbasis b 1 , b 2 ∈ R n mit ‖b 1 ‖ ≤ ‖b 2 ‖
WHILE |µ 2,1 | > 1 2 DO /∗ µ2,1 = b⊤ 1 b 2‖b 1‖ −2 ∗/
1. b 2 := b 2 · sign(µ 2,1 ) /∗ wir erreichen µ 2,1 ≥ 0 ∗/
2. b 2 := b 2 − ⌈µ 2,1 ⌋b 1
3. IF ‖b 1 ‖ > ‖b 2 ‖ THEN vertausche b 1 und b 2
AUSGABE : Reduzierte Basis b 1 , b 2
Eine Runde der Schritte 1. 2. 3. sichert in Schritt 1. durch Vorzeichenwahl von b 2 dass
µ 2,1 ≥ 0, reduziert in Schritt 2. gemäß b 2 := b 2 − ⌈µ 2,1 ⌋b 1 und vertauscht in Schritt 3. sofern
nicht schon ‖b 1 ‖ ≤ ‖b 2 ‖ gilt. Nach Schritt 1. gilt stets ‖b 1 ‖ ≤ ‖b 2 ‖ und µ 2,1 ≥ 0. Die Schritte 2.
3. lauten bei Vertauschung in Matrizenschreibweise
[ ]
−⌈µ2,1 ⌋ 1
[b 1 , b 2 ] := [b 1 , b 2 ]
.
1 0
In Schritt 3. wird bis auf die letzte Runde notwendigerweise vertauscht.
Zu gegebener reduzierten Ausgabebasis b 1 , b 2 und Rundenzahl k der Gauß-Reduktion identifizieren
wir eine minimale Eingabebasis, welche in k Runden auf b 1 , b 2 reduziert wird. Die Minimalität
der Basis bedeutet, dass ihre Vektoren minimale Länge haben. Eine solche Eingabebasis
heißt eine minimale k-te Vorgängerbasis zu b 1 , b 2 .
Satz 3.2.1
1. Zur reduzierten Basis b 1 , b 2 und Rundenzahl k ist [b 1 , b 2 ] A k minimale k-te Vorgängerbasis
[ ] [ ] k−2 [ ]
0 1 0 1 0 1
mit A k = def .
1 1 1 2 1 1
2. Algorithmus 3.2.1 macht zur Eingabe b 1 , b 2 höchstens log √
1+ 2
(‖b 1 ‖ /λ 2 ) + 2.54 Runden.
Wohlgeordnete Basis. Eine Basis b 1 , b 2 heißt wohlgeordnet wenn ‖b 1 ‖ ≤ ‖b 1 − b 2 ‖ < ‖b 2 ‖.
Dies ist für die Euklidischen Norm äquivalent zu 0 < µ 2,1 ≤ 1 2 , ‖b 1‖ < ‖b 2 ‖. In Schritt 1. wird
also eine wohlgeordnete Basis erzeugt, es sei denn die Basis ist schon reduziert. Offenbar gelten
folgende Aussagen.
Lemma 3.2.2
Für jede nicht reduzierte Basis mit ‖b 1 ‖ ≤ ‖b 2 ‖ ist genau eine der Basen b 1 , ±b 2 wohlgeordnet.
Lemma 3.2.3
Wendet man die Schritte 2. 3. an auf zwei aquivalente Basen b 1 , b 2 und b ′ 1, b ′ 2, so bleibt die
Äquivalenz erhalten.
Wegen Lemma 3.2.3 gibt es zu gegebener reduzierten Basis eine minimale k-te Vorgängerbasis,
bei deren Reduktion das Vorzeichen von b 2 in Schritt 1. nie verändert wird. Dies folgt aus dem
Lemma, weil äquivalente Basen in der Länge der Vektoren gleich sind.
Die Gauß-Reduktion mit k Runden erzeugt in Schritt 1. eine Folge wohlgeordneter Basen
(b k+1 , b k+2 ), (b k , b k+1 ), . . . , (b 2 , b 3 ) und schließlich die reduzierte Basis (b 1 , b 2 ). Bleibt das Vor-

28 KAPITEL 3. GAUSS-REDUKTION
zeichen von b 2 in Schritt 1. stets unverändert, und wird in der letzten Runde in Schritt 3. getauscht,
dann ist die k-te Vorgängerbasis (b k+1 , b k+2 ) zur reduzierten Basis (b 1 , b 2 ) von der Form
[b k , b k+1 ] = [b 1 , b 2 ]
∏
i=1,...,k
[ ] 0 1
1 µ (i) .
Dabei ist µ (i) = ⌈µ 2,1 ⌋ der ganzzahlige
[
Reduktionskoeffizient
]
der i-ten
[
Runde.
]
Die behauptete
0 1
−µ
(i)
1
Form von (b k+1 , b k+2 ) folgt, weil
1 µ (i) die Inverse zur Matrix
ist, welche die
1 0
Schritte 2. 3. beschreibt. Wegen µ 2,1 > 1 2 gilt µ(i) ≥ 1.
Lemma 3.2.4
Sei b 1 , b 2 ∈ R n wohlgeordnete Basis, welche durch die Schritte 2. 3. in die wohlgeordnete Basis
b ′ 1 = b 2 − ⌈µ 2,1 ⌋b 1 , b ′ 2 = b 1 transformiert wird. Im Fall ∠(b 1 , b ′ 1) < 30 o gilt µ ′ 2,1 > 3 2 .
Im Fall ∠(b 1 , b ′ 1) ≥ 30 o gibt es eine reduzierte Basis bestehend aus den Vektoren b ′ 1, b ′ 2, b ′ 2 −b ′ 1.
Das Lemma zeigt, dass der ganzzahlige Reduktionskoeffizient µ (i) = ⌈µ 2,1 ⌋ stets mindestens 2
ist, ausgenommen die erste und letzte Runde.
Beweis.
ist.
Wir betrachten nur den Fall dass 〈b 1 , b ′ 1〉‖b 1 ‖ −2 = 1 2 , weil dann ‖b′ 1‖/‖b 1 ‖ maximal
Abbildung 3.1: Der Fall ∠(b 1 , b ′ 1) = 30, 〈b 1 , b ′ 1〉‖b 1 ‖ −2 = 1 2
Im Fall ∠(b 1 , b ′ 1) = 30 o gilt 3 4 ‖b′ 1‖ 2 = 1 4 ‖b 1‖ 2 . Daher gilt im Falle ∠(b 1 , b ′ 1) < 30 o offenbar
‖b 1 ‖ 2 < 3 ‖b ′ 1‖ 2 . Es folgt die Behauptung
µ ′ 2,1 = 〈b 1 , b ′ 1〉‖b ′ 1‖ −2 ≥ 3 〈b 1 , b ′ 1〉‖b 1 ‖ −2 > 3 2 .
Im Falle ∠(b 1 , b ′ 1) > 30 o gilt 1 2 < µ′ 2,1 < 3 2 . Sofern die Basis b′ 1, b ′ 2 nicht schon reduziert ist,
wird in der nächsten Runde b ′ 2 − b ′ 1 gebildet und die Reduktion bricht ab.
□
Beweis von Satz 3.2.1. Betrachte nun den Fall dass (b 2 , b 3 ) = (b ′ 1, b ′ 2) direkte Vorgängerbasis
ist zur reduzierten Basis b 1 , b 2 gemäß Lemma 4.2.4. Es sei also b 1 , b 2 eine Auswahl von b ′ 1, b ′ 2, b ′ 2−
b ′ 1. Dann ist
[b k+1 , b k+2 ] = [b 1 , b 2 ]
[ 0 1
1 1
] [ 0 1
1 2
] k−2 [ 0 1
1 1
eine minimale k-te Vorgängerbasis (b k+1 , b k+2 ) zur reduzierten Basis (b 1 , b 2 ). Wegen Lemma
4.2.4 gilt nämlich µ (i) ≥ 2 für die ganzzahligen Reduktionskoeffizienten mit 1 < i < k und
µ (1) = µ (k) = 1. Offenbar wird b k+1 , b k+2 minimal, wenn in der letzten Runde in Schritt 3.
getauscht wird.
[ ] k [ ]
0 1 ak−2 a
Die Koeffizienten a k der Matrix
=
k−1
genügen der Rekursion
1 2 a k−1 a k
a 0 = 0, a 1 = 1, a 2 = 2 und a k = 5 a k−2 + 2 a k−3 für k ≥ 3. Es gilt 2a k−3 + a k−2 ≥ 1.5 (1 + √ 2) k−3 .
Somit gilt
[b k+1 , b k+2 ] [b k+1 , b k+2 ] t = A k [b 1 , b 2 ] t [b 1 , b 2 ]A t k
]
.

3.2. REDUKTIONSVERFAHREN FÜR DIE EUKLIDISCHE NORM 29
[
für die Matrix A k =
]
a k−2 a k−2 + a k−3
a k−4 + a k−3 a k−4 + 2a k−3 + a k−2
. Wegen 〈b 1 , b 2 〉 ≥ 0 folgt
‖b k+1 ‖ ≥ (a k−4 + 2a k−3 + a k−2 )‖b 2 ‖ ≥ 1.5 (1 + √ 2) k−3 λ 2 .
Somit gilt k ≤ 2.54 + log 1+
√
2
(‖b k+1 ‖/λ 2 ), weil 2.54 > 3 − log 1.5/ log(1 + √ 2).
□
Algorithmus 3.2.2 Gauß-Reduktionsverfahren für beliebige Norm
EINGABE :
Wohlgeordnete Gitterbasis b 1 , b 2 ∈ R n mit ‖b 1 ‖ ≤ ‖b 2 ‖
WHILE ‖b 2 ‖ > ‖b 1 − b 2 ‖ DO
1. b 2 := b 2 − µb 1 mit µ ∈ Z derart, dass ‖b 2 − µb 1 ‖ minimal ist
2. IF ‖b 1 + b 2 ‖ < ‖b 1 − b 2 ‖ THEN b 2 := −b 2
3. vertausche b 1 und b 2
AUSGABE : Reduzierte Basis b 1 , b 2
Korrektheit. Nach Schritt 1. gilt ‖|b 2 ‖| ≤ ‖b 1 ± b 2 ‖, nach Schritt 2. gilt ‖b 2 ‖ ≤ ‖b 1 − b 2 ‖ ≤
‖b 1 + b 2 ‖ und nach Schritt 3. gilt ‖b 1 ‖ ≤ ‖b 1 − b 2 ‖ ≤ ‖b 1 + b 2 ‖. Falls nach Schritt 3. ‖b 2 ‖ ≤
‖b 1 − b 2 ‖ gilt, dann gilt auch ‖b 1 ‖, ‖b 2 ‖ ≤ ‖b 1 ± b 2 ‖.
Die Rundenzahl für dieses Verfahren ist beschränkt durch log 1+
√
2
(‖b 1 ‖/λ 2,‖ ‖ ) + O(1). Dabei
ist λ 2,‖ ‖ das zweite sukzessive Minimum zur Norm ‖ ‖. Eine ausführliche Analyse findet sich
in [KS96] sowie in [Ka94]. Dort werden effiziente Algorithmen für den Schritt 1. in der l 1 - und
sup-Norm vorgestellt.

30 KAPITEL 3. GAUSS-REDUKTION

Kapitel 4
LLL-reduzierte Gitterbasen
LLL-reduzierte Gitterbasen b 1 , . . . , b n ∈ R m beliebigen Ranges n wurde 1982 von A.K. Lenstra,
H.W. Lenstra und L. Lovász [LLL82] eingeführt. Der LLL-Algorithmus ist das erste Reduktionsverfahren
für ganzzahlige Gitterbasen mit einer polynomiellen Laufzeit und Approximationsfaktor
‖b i ‖ 2 /λ 2 i ≤ 2n . Es iteriert die Gauß-Reduktion in Dimension n = 2.
4.1 Definition und Eigenschaften
Wir führen den Begriff der LLL-reduzierten Basis ein und zeigen, dass die Längen der Basisvektoren
die sukzessiven Minima des Gitters grob approximieren. Sei [b 1 , ..., b n ] = B = QR ∈ R m×n
Gitterbasis mit R = [r i,j ] ∈ R n×n .
Definition 4.1.1 (LLL-reduzierte Basis)
Eine Gitterbasis B = QR ∈ R m×n heißt LLL-reduziert (oder LLL-Basis) mit δ, 1 4
< δ ≤ 1, wenn
1. |r j,i | ≤ 1 2 r j,j für 1 ≤ j < i ≤ n,
2. δ r 2 k−1,k−1 ≤ r2 k−1,k + r2 k,k
für k = 2, . . . , n.
Basen mit 1. sind längenreduziert. Der Parameter δ kontrolliert die Güte der reduzierten Basis:
je kleiner δ um so schwächer ist die Reduktion. A.K. Lenstra, H.W. Lenstra und L. Lovász
[LLL82] studieren die LLL-Reduktion speziell für den Parameter δ = 3 4
. Für δ < 1 hat das
LLL-Reduktionsverfahren polynomielle Laufzeit. Die Eigenschaft ’LLL-Basis’ zu sein bleibt bei
Isometrie erhalten : B = QR ist LLL-Basis gdw R LLL-Basis ist.
Die LLL-Basen mit δ [ = 1 und n = 2 sind ] genau die Gauß-reduzierten Basen. B ist LLL-Basis
rk−1,k−1 r
mit δ gdw die Matrizen
k−1,k
∈ R
0 r 2×2 für k = 2, ..., n LLL-Basen mit δ sind.
k,,k
Lemma 4.1.2
Für jede LLL-Basis B = QR ∈ R m×n mit δ und α = (δ − 1 4 )−1 gilt
r 2 i,i ≤ α j−i r 2 j,j für 1 ≤ i ≤ j ≤ n.
31

32 KAPITEL 4. LLL-REDUZIERTE GITTERBASEN
Für δ = 3 4 , α = 2, i = 1 gilt ‖b 1‖ 2 = r1,1 2 ≤ 2 j−1 rj,j 2 , so dass die ‖̂b j ‖ 2 = rj,j 2 für große j nicht
beliebig klein werden.
Beweis. Die Eigenschaften einer LLL-Basis implizieren
δ rk−1,k−1 2 ≤ rk−1,k 2 + rk,k 2 ≤ 1 4 r2 k−1,k−1 + rk,k
2
und somit
(
δ −
1
4)
r
2
k−1,k−1
≤ r 2 k,k . Durch Induktion über j − i folgt r2 i,i ≤ αj−i r 2 j,j . □
Lemma 4.1.3
Für jede Basis b 1 , . . . , b n des Gitters L gilt λ j (L) ≥ min{r j,j , . . . , r n,n } für j = 1, ..., n.
Beweis. Es seien a 1 , . . . , a n ∈ L linear unabhängig , so dass ‖a j ‖ = λ j (L) für j = 1, . . . , n. Sei
a k = ∑ n
i=1 t i,kb i = ∑ n
i=1 t i,k̂b i für k = 1, . . . , n.
Dabei sind die Koeffizienten t i,k ganzzahlig und die t i,k reell. Sei µ(k) := max {i : t i,k ≠ 0}.
Wegen b i = ∑ i
j=1 µ i,j ̂b j und µ i,i = 1, ist t µ(k),k = t µ(k),k ganzzahlig. Wegen der linearen
Unabhängigkeit der Vektoren a 1 , . . . , a j gibt es zu jedem j ein k ≤ j mit µ(k) ≥ j. Denn aus der
Annahme µ(k) < j für k = 1, . . . , j folgt a 1 , . . . , a j ∈ span(b 1 , . . . , b j−1 ), so dass a 1 , . . . , a j linear
abhängig sind — Widerspruch. Aus k ≤ j, µ(k) ≥ j folgt
λ 2 j ≥ λ 2 k = ‖a‖2 ≥ t 2 µ(k),k r 2 µ(k),µ(k) ≥ r2 µ(k),µ(k) ≥ min{r j,j, ..., r n,n } □
Die untere Schranke zu λ j in Lemma 4.1.3 gilt für beliebige Basen. Für LLL-reduzierten Basen ist
‖b j ‖ grobe Approximation zu λ j , es gilt nämlich
Satz 4.1.4 (Lenstra, Lenstra, Lovász 1982)
Jede LLL-Basis b 1 , ..., b n mit δ des Gitters L erfüllt mit α = (δ − 1 4 )−1
1. α 1−j ≤ r 2 j,j/λ j (L) 2 für j = 1, . . . , n,
2. ‖b j ‖ 2 /λ j (L) 2 ≤ α n−1 für j = 1, . . . , n,
3. ‖b k ‖ 2 ≤ α j−1 r 2 j,j für k ≤ j.
Beweis. Wir zeigen 1. und 3. : Offenbar gibt es ein k ≤ j so dass λ j ≤ ‖b k ‖. Es folgt
λ 2 j ≤ ‖b k ‖ 2 ≤ r 2 k,k + 1 4
≤ r 2 j,j (αj−k + 1 4
= r 2 j,j αj−1 (α 1−k + 1 4
∑ k−1
i=1 r2 i,i
∑ k−1
i=1 αj−i ) (nach Lemma 4.1.2)
∑ k−1
i=1 α1−i ).
Damit gilt 3. für alle k ≤ j mit λ j ≤ ‖b k ‖ und somit auch für die k ′ ≤ j mit ‖b ′ k ‖ ≤ λ j wegen
‖b k ′‖ 2 ≤ ‖b k ‖ 2 ≤ r 2 j,j αj−1 . Es bleibt noch zu zeigen, dass
α 1−k + 1 4
∑ k−1
i=1 α1−i ≤ 1.
Für k = 1 gilt die Ungleichung offenbar. Für k ≥ 2 gilt mit α −1 = δ − 1 4 ≤ 3 4 dass
α 1−k + 1 4
∑ k−1
i=1 α1−i
} {{ }
geom. Reihe
≤ ( 3
4
) k−1
+
1 1−( 3 4) k−1
4
= 1 1− 3 4
4
1
1− 3 4
= 1.

4.2. DAS LLL-REDUKTIONSVERFAHREN 33
Damit sind 1. und 2. gezeigt. Nach Lemma 4.1.3 gibt es ein k ≥ j, so dass λ j ≥ r k,k . Es folgt
λ 2 j ≥ r 2 k,k ≥ α −k+j r 2 j,j (wegen Lemma 4.1.2)
≥ α −k+1 ‖b j ‖ 2 (wegen 3. Aussage des Satzes mit k = j)
≥ α −n+1 ‖b j ‖ 2 (wegen k ≤ n und α ≥ 1 □
Korollar 4.1.5
Jede LLL-Basis b 1 , . . . , b n mit δ erfüllt
1. ‖b 1 ‖ 2 ≤ α n−1
2 (det L) 2 n , 2.
∏ n
i=1 ‖b i‖ 2 ≤ α (n 2) (det L) 2 .
Beweis. Aus ∏ n
i=1 r2 i,i = (det L)2 und ‖b 1 ‖ 2 ≤ ri,i 2 αi−1 ( Lemma 4.1.2 ) folgt
und somit
‖b 1 ‖ 2n ≤ α 1 α 2 · · · α n−1
n ∏
i=1
‖b 1 ‖ 2 ≤ α n−1
2 (det L) 2 n .
r 2 i,i = α (n 2) (det L)
2
Die zweite Aussage folgt aus ∏ n
i=1 r2 i,i = (det L)2 und ‖b i ‖ 2 ≤ ri,i 2 αi−1 , der dritten Aussage
von Satz 4.1.4 für k = j = i.
□
4.2 Das LLL-Reduktionsverfahren
Wir beschreiben ein Verfahren zur LLL-Reduktion von ganzzahligen Gitterbasen mit polynomieller
Laufzeit. Es handelt sich bis auf kleine Verbesserungen um das Verfahren von A.K. Lenstra,
H.W. Lenstra und L. Lovász [LLL82]. Wir zählen die Anzahl der arithmetischen Schritte auf
ganzen Zahlen und beschränken den Absolutwert der im Verfahren auftretenden ganzen Zahlen.
4.2.1 LLL-Verfahren
Algorithmus 4.2.1 transformiert eine ganzzahlige Gitterbasis in eine LLL-Basis mit δ desselben Gitters.
Der Algorithmus reduziert sukzessive einen möglichst großen Anfangsabschnitt b 1 , ..., b k−1
der Basis. Bei Eintritt in Stufe k ist die Teilbasis b 1 , . . . , b k−1 stets LLL-Basis mit δ. Am Ende
ist k = n + 1 und die gesamte Basis b 1 , ..., b n ist LLL-Basis.
Das Verfahren operiert auf Stufe k mit den rationalen Zahlen µ i,j , ri,i 2 für 1 ≤ i, j ≤ k und den
ganzzahligen Vektoren b 1 , ..., b k , siehe Lemma 4.2.2. Die Längenreduktion von b k sichert, dass
die im Verfahren auftretenden ganzen Zahlen polynomielle Bitlänge zur Länge der Eingabe haben.
Dies gilt insbesondere für Zähler und Nenner der rationalen Zahlen µ k,j , rk,k 2 , siehe Satz 4.2.6. Es
bezeichne
M := max( ‖b 1 ‖ 2 , ..., ‖b n ‖ 2 ),
D i := det L(b 1 , ..., b i ) 2 = det [〈b s , b t 〉] 1≤s,t≤i
= ∏ i
j=1 r2 j,j ∈ N,
(4.1)
D := ∏ n−1
i=1 D i, M := max i=1,...,n ( ‖b i ‖ 2 , D i ).
Die Gram-Determinante D i ist die Determinante der Gram-Matrix der Teilbasis b 1 , ..., b i . Die
Größen M, M beziehen sich im Folgenden immer auf die Eingabebasis, während D i und D sich
bei Basistransformationen ändern. D Start ist der Wert von D zur Eingabe.
Korrektheit. Auf Stufe k ist die Teilbasis b 1 , ..., b k−1 stets LLL-Basist. Dies folgt durch Induktion
über die Abfolge der Iterationen. Eine Iteration ist die Abfolge der Schritte der WHILE-Schleife
bis zur Aktualisierung von k.

34 KAPITEL 4. LLL-REDUZIERTE GITTERBASEN
Algorithmus 4.2.1 zur LLL-Reduktion in Z-Arithmetik
EINGABE : Basis B = [b 1 , . . . , b n ] ∈ Z m , δ mit 1 4 < δ < 1
1. k := 2, r 2 1,1 := ‖b 1 ‖ 2 /∗ k ist die Stufe ∗/
2. WHILE k ≤ n DO /∗ b 1, . . . , b k−1 ist stets LLL-reduziert ∗/
berechne µ k,j = r j,k /r j,j für j = 1, . . . , k und rk,k 2 gemäß Lemma 4.2.2
Längenreduziere b k , aktualisiere µ k,1 , . . . , µ k,k−1
IF δ r 2 k−1,k−1 > r2 k−1,k + r2 k,k
THEN vertausche b k−1 und b k /∗ kurz b k−1 ↔ b k ∗/
IF k = 2 THEN aktualisiere r 2 1,1 = ‖b 1 ‖ 2
k := max(k − 1, 2)
ELSE k := k + 1
end while
AUSGABE : LLL-Basis B = [b 1 , ..., b n ].
Lemma 4.2.1
Die LLL-Reduktion führt zu gegebener ganzzahligen Basis b 1 , ..., b n ∈ Z m höchstens
log 1/δ
(
D
Start ) ≤ n log 1/δ M Austausche b k−1 ↔ b k durch.
Beweis. Die Gram-Determinante D i ist ganzzahlig und positiv. Wir zeigen, dass jeder Austausch
b k−1 ↔ b k D um den Faktor δ erniedrigt, D neu ≤ δ D alt . Wegen D Ende ∈ N folgt dann
(4.2)
D Start ≥ D Ende (1/δ) #Austausche ≥ (1/δ) #Austausche .
Die Gitter L(b 1 , . . . , b i ) mit i ≠ k − 1 werden beim Austausch b k−1 ↔ b k nicht verändert. Die
Determinanten D i mit i ≠ k − 1 bleiben erhalten. Im LLL-Verfahren wird nur ausgetauscht wenn
δ r 2 k−1,k−1
> r 2 k−1,k + r 2 k,k.
Wegen D k−1 = ∏ k−1
i=1 r2 i,i bewirkt der Austausch b k−1 ↔ b k , dass
D neu
k−1 ≤ δ D alt
k−1und D neu ≤ δ D alt .
(
Nach (4.2) ist die Anzahl der Austausche höchstens log ) 1/δ D
Start
. Wegen Di
Start ≤ D i ≤ M
folgt D Start = ∏ n−1
i=1 D i ≤ M n−1 und somit #Austausche ≤ (n − 1) log 1/δ M. □
Wieviele arithmetische Schritte führt das LLL-Verfahren pro Austausch durch ? Wieviele
Schritte kostet die Berechnung von µ k,1 , ..., µ k,k und rk,k 2 auf Stufe k ?
Lemma 4.2.2
Die Berechnung von µ k,1 , ..., µ k,k und r 2 k,k , sowie die Längenreduktion von b k auf Stufe k gehen
in O(k m) arithmetischen Schritten.
Beweis. Die µ k,j = r j,k /r j,j für j = 1, ..., k und rk,k 2 werden durch folgende O (k m) Schritte
berechnet
FOR j = 1, . . . , k − 1 DO µ k,j := (〈b k , b j 〉 − ∑ j−1
i=1 µ k,i µ j,i r 2 i,i )/r2 j,j ,
µ k,k := 1, r 2 k,k := 〈b k, b k 〉 − ∑ k−1
j=1 µ2 k,j r2 j,j .

4.2. DAS LLL-REDUKTIONSVERFAHREN 35
Die Längenreduktion von b k geht mit folgenden O(k m) Schritten
FOR j = k − 1, ..., 1 DO b k := b k − ⌈µ k,j ⌋b j , µ k,i := µ k,i − ⌈µ k,j ⌋µ j,i für i = 1, ..., k. □
Aufgrund von Lemma 4.2.1 und 4.2.2 führt das LLL-Verfahren höchstens O(n 2 m log 1/δ M)
arithmetischen Schritte aus, siehe Satz 4.2.6. Wie groß werden aber die während des LLL-Verfahrens
auftretenden ganzen Zahlen ? Wir schätzen in den nächsten drei Lemmata die Absolutwerte der
Zähler und Nenner der rationalen Zahlen µ j,i , ri,i 2 während der LLL-Reduktion ab.
Lemma 4.2.3
Für jede ganzzahlige Eingabebasis b 1 , ..., b n ∈ Z m gilt 1. D i−1 ̂bi ∈ Z m , 2. D j µ i,j ∈ Z.
Beweis.
1. Aus [b 1 , ..., b n ] = [̂b 1 , . . . , ̂b n ] 1≤i,j≤n [µ i,j ] T 1≤i,j≤n folgt für [ν i,j] := [µ i,j ] −1 : dass
[̂b 1 , . . . , ̂b n ] = [b 1 , ..., b n ] [ν i,j ] T 1≤k,j≤n.
Dabei sind [ν i,j ] ⊤ , [µ i,j ] ⊤ ∈ Q n×n obere Dreiecksmatrizen mit Einsen auf der Diagonalen.
Wegen 〈̂b i , b j 〉 = 0 für j = 1, 2, . . . , i − 1 folgt aus ̂b i = b i + ∑ i−1
t=1 ν i,tb t und ν i,i = 1 dass
∑i−1
− 〈b i , b j 〉 = ν i,t 〈b t , b j 〉 für j = 1, 2, . . . , i − 1.
t=1
Diese i − 1 Gleichungen definieren ν i,1 , ν i,2 , . . . , ν i,i−1 . Die Determinante des Gleichungssystems
ist D i−1 = det [〈b j , b k 〉] 1≤j,k≤i−1 ≠ 0. Nach der Cramer’schen Regel gilt
D i−1 ν i,j ∈ Z für j = 1, . . . , i − 1.
Aus ̂b i = b i + ∑ i−1
j=1 ν i,jb j folgt D i−1 ̂bi ∈ Z m .
2. Wegen D j = ∏ j
i=1 r2 i,i gilt
D j µ i,j = D j
〈b i , ̂b j 〉
r 2 j,j
= D j−1 〈b i , ̂b j 〉 = 〈b i , D j−1 ̂bj 〉.
Aus D j−1 ̂bj ∈ Z m folgt somit D j µ i,j ∈ Z.
Lemma 4.2.4
Auf Stufe k des LLL-Verfahrens gilt stets
1. ‖b i ‖ 2 ≤ i+3
4
M für i = 1, . . . , k,
2. |µ i,j | 2 ≤ i+3
4 M αj−1 für 1 ≤ j < i < k.
Beweis.
1. Im LLL-Verfahren bleiben bis auf die Längenreduktion von b k auf Stufe k die Längen der
Basisvektoren unverändert. Nach der Längenreduktion von b k gilt
‖b k ‖ 2 = ∑ k
j=1 µ2 k,j r2 j,j ≤ r 2 k,k + k−1
4
max( r 2 1,1, ..., r 2 k−1,k−1 ) ≤ k+3
4
M.
Denn im LLL-Verfahren gilt stets max i ri,i 2 ≤ M := max( ‖b 1‖ 2 , ..., ‖b n ‖ 2 ). Für jeden
Austausch b k−1 ↔ b k gilt nämlich (rk−1,k−1 neu )2 ≤ δ (rk−1,k−1 alt )2 , (rk,k neu)2
≤ (rk−1,k−1 alt )2 .

36 KAPITEL 4. LLL-REDUZIERTE GITTERBASEN
2. Nach Definition der Gram-Schmidt-Koeffizienten und der Cauchy-Schwarz-Ungleichung gilt
|µ i,j | 2 = |〈b i, ̂b j 〉 2 |
r 4 j,j
≤ ‖b i‖ 2 ‖̂b j ‖ 2
r 4 j,j
= ‖b i‖ 2
rj,j
2 .
Weil b 1 , ..., b k−1 LLL-reduziert ist, gilt
|µ i,j | 2 ≤ i+3
4 M r−2 j,j (wegen ‖b i ‖ 2 ≤ i+3
4 M)
≤ i+3
4 M αj−1 r1,1 −2
(nach Lemma 4.1.2)
≤ i+3
4 M αj−1 (weil ‖b 1 ‖ 2 = r 2 1,1 ∈ Z). □
Lemma 4.2.5
Während der Längenreduktion von b k auf Stufe k gilt |µ k,j | 2 ≤ k+3
4
M ( )
9α k−1
4 für j < k.
Beweis. Der Reduktionsschritt
b k := b k − ⌈µ k,i ⌋ b i
für i < k
der Längenreduktion wird begleitet von
(4.3)
µ k,j := µ k,j − ⌈µ k,i ⌋ µ i,j
}{{}
|µ i,j|≤1/2
für j = 1, 2, ..., k − 1.
Jeder dieser k − 1 Schritte verändert M k := max j

4.3. LLL-REDUKTION GANZZAHLIGER ERZEUGENDENSYSTEME 37
Jede Iteration erfordert O(km) = O(nm) arithmetische Schritte. Damit ist die Schrittzahl höchstens
O(n 3 m log 1/δ M).
Nach Lemma 4.2.3, 4.2.4 und 4.2.5 sind die auftretenden Zahlen wie folgt beschränkt
|µ k,j | 2 ≤ k+3
4
M ( )
9α k−1
4 , ‖bk ‖ 2 ≤ k k+3
4
M ( )
9α k−1,
4
und für i < k:
|µ i,j | 2 ≤ i+3
4 M αj−1 , ‖b i ‖ 2 ≤ i+3
4 M.
Der Nenner von µ i,j ist absolut beschränkt durch D j−1 ≤ M. Damit ist der Zähler von µ i,j
absolut beschränkt durch
√
n+3
4
M 1 2
( 9α
4
) n−1
2
M.
Zähler und Nenner von rj,j 2 = Dj
D j−1
sind durch M beschränkt. Damit sind alle im Verfahren
auftretenden, ganzen Zahlen absolut beschränkt durch
n M 1 2
( 9α
4
) n−1
2
M
und haben somit eine Bitlänge O(n + log 2 M) mit einer O-Konstante nahe 1,5 für δ ≈ 1.
□
Nach dem Austausch b k−1 ↔ b k kann man die Gram-Schmidt-Koeffizienten µ k−1,1 , ..., µ k−1,k−2 ,
sowie rk−1,k−1 2 schnell aktualisieren. Dies erfordert nur O(1) Rechenschritte und O(k) Datentransporte
während die Neuberechnung nach Lemma 4.2.2 O(k m) Rechenschritte erfordert.
Lemma 4.2.7
Der Austausch b k−1 ↔ b k bewirkt mit µ := µ k,k−1 dass
1. µ neu = µ r2 k−1,k−1
(r neu
k−1,k−1 )2
mit (r neu
k−1,k−1 )2 = µ 2 r 2 k−1,k−1 + r2 k,k ,
2. [µ neu
k,i , µneu k−1,i ] = [µ k−1,i , µ k,i ] für i = 1, . . . , k − 2.
Beweis. 1. Es gilt µ neu = 〈bneu neu
k ,̂b k−1 〉
= 〈π k−1(b neu
k−1 ),π k−1(b neu
k )〉
.
‖̂b neu
k−1 ‖2
‖̂b neu
k−1 ‖2
Weil 〈π k−1 (b k−1 ), π k−1 (b k )〉 bei der Vertauschung b k−1 ↔ b k erhalten bleibt, folgt dass µ neu =
µ rk−1,k−1 2 /(rneu k−1,k−1 )2 . 2. ist offensichtlich.
□
4.3 LLL-Reduktion ganzzahliger Erzeugendensysteme
Wir erweitern die LLL-Reduktion auf ganzzahlige Erzeugendensysteme b 1 , ..., b n ∈ Z m \ 0. Es
genügt, die im LLL-Verfahren entstehenden Nullvektoren zu eliminieren. Der Nullvektor kann nur
durch Längenreduktion von b k auf Stufe k entstehen.
Korrektheit. Algorithmus 4.3.1 operiert auf Stufe k mit den rationalen Zahlen µ i,j , ri,i 2 für i, j ≤ k
und den ganzzahligen Basisvektoren. Das Verfahren ist korrekt, weil die Vektoren b 1 , . . . , b k−1 auf
Stufe k stets linear unabhängig und somit LLL-reduziert sind. Sind nämlich nach der Längereduktion
von b k die Vektoren b 1 , . . . , b k erstmals linear abhängig, so gilt b k ∈ L(b 1 , . . . , b k−1 ). Die
Längenreduktion von b k erzeugt den Nullvektor. Dieser wird sofort entfernt.

38 KAPITEL 4. LLL-REDUZIERTE GITTERBASEN
Algorithmus 4.3.1 LLL-Reduktion von ganzzahligen Erzeugendensystemen
EINGABE : Erzeugendensystem b 1 , ..., b n ∈ Z m \ {0}, δ mit 1 4 < δ < 1
/∗ L := ∑ n
i=1
biZ ist ein Gitter ∗/
1. k := 2, r 2 1,1 := ‖b 1 ‖ 2 /∗ k ist die Stufe ∗/
2. WHILE k ≤ n DO
/∗ b 1, . . . , b k−1 ist LLL-reduziert ∗/
berechne µ k,j für j = 1, . . . , k und rk,k 2 gemäß Lemma 4.2.2
Längenreduziere b k , aktualisiere µ k,1 , . . . , µ k,k−1
IF b k = 0 THEN entferne b k aus dem Erzeugendensystem, n := n − 1 RETURN
IF δ r 2 k−1,k−1 > r2 k−1,k + r2 k,k
THEN vertausche b k−1 und b k /∗ kurz b k−1 ↔ b k ∗/
IF k = 2 THEN aktualisiere r 2 1,1
k := max(k − 1, 2)
ELSE k := k + 1
end while
AUSGABE : LLL-Basis b 1 , ..., b n des Gitters L.
Laufzeitanalyse. Zu den Teilgittern L(b 1 , . . . , b i ) = ∑ i
j=1 b jZ und den Gram-Determinanten
D i = (det L(b 1 , . . . , b i )) 2 setzt man wieder
Dann gilt
M := max ‖b i ‖,
i
D := ∏ n−1
i=1 D i ,
M := max(‖b i ‖ 2 , D i ) .
i
#Austausche ≤ log 1/δ D Start ≤ (n − 1) log 1/δ M
#Iterationen ≤ n − 1 + 2 #Austausche ≤ n + 2n log 1/δ M
#arithm. Schritte = O(n 2 m log 1/δ M).
Damit überträgt sich der Beweis von Satz 4.2.6. Insbesondere gelten die Zahlen-Schranken von
Lemma 4.2.3 4.2.4 und 4.2.5 auch für die Werte im Verlauf von Algorithmus 4.3.1. Somit gilt der
Satz 4.3.1
Zu gegebenen ganzzahligen Vektoren b 1 , ..., b n ∈ Z m \ 0 liefert Algorithmus 4.3.1 eine LLLreduzierte
Basis des von b 1 , ..., b n erzeugten Gitters. Mit M := max i (‖b‖ 2 , D i ) macht das LLL-
Verfahren höchstens O(n 2 m log 1/δ M) arithmetische Schritte auf den Koordinaten der b i und den
rationalen Zahlen µ i,j , ri,i 2 . Die Bitlänge der auftretenden ganzen Zahlen, insbesondere der Zähler
und Nenner von µ i,j , ri,i 2 ist höchstens O(n + log 2 M).
4.4 LLL-Reduktion mit Gleitkomma-Arithmetik
Für eine schnelle LLL-Reduktion muß man die Rechnung überwiegend in Gleitkomma-Arithmetik
durchführen. Ein Schritt in Gleitkomma-Arithmetik geht in einem Maschinenzyklus, die Arithmetik
auf langen ganzen Zahlen erfordert dagegen spezielle Software und ist recht langsam. Die
Rechnung auf den Basisvektoren b 1 , . . . , b n wird in exakter Arithmetik durchgeführt. Für die
Rechnung auf den rationalen Zahlen µ i,j , ri,i 2 für i, j ≤ k genügen dagegen gute Näherungen in
Gleitkomma-Arithmetik.

4.4. LLL-REDUKTION MIT GLEITKOMMA-ARITHMETIK 39
Definition 4.4.1 (Relativer Fehler)
Eine Näherung f ′ zu f ∈ R hat relativen Fehler ε > 0, wenn |f − f ′ | ≤ ε min(|f|, |f ′ |). 1
Wir betrachten die LLL-Reduktion nach Algorithmus 4.2.1 für den Fall, dass alle rationalen
Zahlen µ i,j , rj,j 2 mit relativem Fehler ε berechnet werden. Dann führt die Längenreduktion des
Vektors b k nur zu |µ k,j | ≤ 1 2 + ε anstelle von |µ k,j| ≤ 1 2
für j = 1, . . . , k − 1. Wir vernachlässigen
diese geringfügige Abschwächung der Längenreduktion.
Satz 4.4.2
Haben bei der LLL-Reduktion mit δ die rationalen Zahlen ‖π k−1 (b k−1 )‖ 2 , ‖π k−1 (b k )‖ 2 bei der
Entscheidung über den Austausch b k−1 ↔ b k stets relativen Fehler ≤ ε, dann ist die Ausgabebasis
LLL-reduziert mit δ − := δ(1 − ε)/(1 + ε). Die Anzahl der Austausche b k−1 ↔ b k ist höchstens
n log 1/δ+ M mit δ + := δ(1 + ε)/(1 − ε), sofern δ + < 1.
Beweis. Angenommen, bei der LLL-Reduktion mit δ − und exakter Rechnung erfolgt ein Austausch
b k−1 ↔ b k . Dann gilt δ − ‖π k−1 (b k−1 )‖ 2 > ‖π k−1 (b k )‖ 2 . Für die Näherungen mit relativem
Fehler ≤ ε folgt — es bezeichnet stets f ′ eine Näherung zu f:
δ − (1 + ε)‖π k−1 b‖ ′2 > ‖π k−1 (b k )‖ ′2 (1 − ε).
Somit erfolgt der Austausch b k−1 ↔ b k auch mit δ = δ − (1 + ε)/(1 − ε) und Näherungen. Weil
alle Austausche b k−1 ↔ b k der LLL-Reduktion mit δ − und exakter Rechnung korrekt ausgeführt
werden, ist die Ausgabebasis LLL-reduziert mit δ −
Wir zeigen, dass die LLL-Reduktion mit Näherungen abbricht sofern δ + := δ(1+ε)/(1−ε) < 1.
Es folgt nämlich ein Austausch b k−1 ↔ b k mit δ und Näherungen, dann gilt
δ‖π k−1 (b k−1 )‖ ′2 > ‖π k−1 (b k )‖ ′2
und somit δ(1+ε)‖π k−1 (b k−1 )‖ 2 > ‖π k−1 (b k )‖ 2 (1−ε). Dann wird D k−1 beim Austausch b k−1 ↔
b k um den Faktor δ + = δ(1 + ε)/(1 − ε) erniedrigt, sofern δ + < 1. Damit ist die Anzahl der Austausche
höchstens n log 1/δ+ (M).
□
Wegen Satz 4.4.2 gilt es bei der LLL-Reduktion mit Gleitkomma-Zahlen µ i,j , r j,j den relativen
Fehler zu begrenzen. Wichtigste Punkte dabei sind
1. War vor der Längenreduktion von b k auf Stufe k |µ k,j | ≈ 2 m , dann gehen bei der Reduktion
auf |µ k,j | ≤ 1 2 die m + 1 führenden Bits der Gleitkomma-Zahl µ′ k,j
verloren. Man kann den
relativen Fehler von µ ′ k,j wieder klein machen durch Neuberechnung von µ k,j gemäß Lemma
4.2.2.
2. Bei der Neuberechnung von µ k,j gemäß Lemma 4.2.2 rechnet man 〈b ′ k , b′ j 〉 in Gleitkomma.
Im Falle dass |b k , b j 〉| ≈ 2 −m ‖b k ‖‖b j ‖, gehen dabei m Präzisionsbits verloren. Ist m zu
groß, rechnet man besser 〈b k , b j 〉 exakt.
Mit diesen Maßnahmen haben Schnorr, Euchner [SE94] ein LLL-Verfahren implementiert. Dieser
Algorithmus ist stabil, etwa bis zur Dimension 350.
Auf Stufe k sind die µ i,j mit i, j > k im allgemeinen sehr groß. Statt der Schranke von
Lemma 4.2.4 gilt nur |µ i,j | 2 ≤ i+3
4 D j−1. Unsere Variante des LLL-Verfahrens vermeidet die Gram-
Schmidt-Koeffizienten µ i,j mit i, j > k und rechnet auf Stufe k nur mit den Größen µ i,j , rj,j
2 mit
1 ≤ j ≤ i ≤ k nach den Formeln von Lemma 4.2.2. Diese sind geeignet für das Rechnen mit
1 Wir definieren den relativen Fehler ε von f ′ zu f symmetrisch in f und f ′ , üblich ist es nur |f − f ′ | ≤ ε|f| zu
fordern.

40 KAPITEL 4. LLL-REDUZIERTE GITTERBASEN
Gleitkommazahlen µ i,j , r 2 j,j . Weil die Basis b 1, . . . , b k−1 stets LLL-reduziert ist, gilt nach Lemma
4.1.2
r 2 j,j ≥ ‖b 1 ‖ 2 α 1−j für j = 1, . . . , k − 1.
Die Divisoren r 2 j,j bei der Berechnung von µ k,j gemäß Lemma 4.2.2 sind daher nicht beliebig klein.
Dies ist wichtig für die Begrenzung von Gleitkommafehlern.
4.5 LLL-Reduktion mit ganzzahliger Gram-Matrix
Für die LLL-Reduktion einer Basismatrix B ∈ R m×n in ganzzahliger Arithmetik ist es nicht
erforderlich, daß B ganzzahlig ist. Es genügt, die Ganzzahligkeit der Gram-Matrix B ⊤ B. Ist
B ⊤ B ∈ Z n×n gegeben, so kann man mit den Einträgen von B ⊤ B rechnen. Genauer gesagt,
genügen die ( )
n+1
2 Einträge 〈bi , b j 〉 für 1 ≤ i ≤ j ≤ n. Gegebenenfalls führt man auch die Transformationsmatrix
T ∈ Z n×n mit, welche die Startbasis B Start in die aktuelle Basis B überführt,
B = B Start T .
Aktualisierung von B ⊤ B. Beim Schritt b k := b k − µb j der Längenreduktion von b k auf Stufe
k wird B ⊤ B wie folgt aktualisiert:
〈b k , b i 〉 := 〈b k , b i 〉 − µ〈b j , b i 〉 für i = 1, . . . , n, i ≠ k
〈b k , b k 〉 := 〈b k , b k 〉 − 2µ〈b k , b j 〉 + µ 2 〈b j , b j 〉
Die Aktualisierung von B ⊤ B bei der Längenreduktion von b k geht in O(kn) arithmetischen Schritten.
Aktualisierung von T. Die Aktualisierung von T = [t i,j ] 1≤i,j∈n beim Schritt b k := b k − µ b j
geht in O(n) Schritten
t j,i := t j,i + µ t k,i für i = 1, . . . , n.
Dann geht die Aktualisierung von T bei der Längenreduktion von b k in O(kn) arithmetischen
Schritten. Beim Austausch b k−1 ↔ b k werden B ⊤ B und T durch O(n) Datentransporte aktualisiert,
indem O(n) Einträge in B ⊤ B und T getauscht werden. Damit kostet eine Iteration der
LLL-Reduktion O(n 2 ) Schritte und es folgt der
Satz 4.5.1
Zu gegebener ganzzahliger Gram-Matrix B ⊤ B ∈ Z n×n geht die LLL-Reduktion gemäß Alg. 4.2.1
in O(n 3 log 1/δ M) arithmetischen Schritten auf ganzen Zahlen der Bitlänge O(n + log 2 M).
Dabei ist M wie für ganzzahlige Eingabebasen erklärt. Im Falle einer ganzzahligen Basis B ∈ Z m×n
mit m >> n ist es wegen Satz 4.5.1 günstig, vorweg B ⊤ B in O(n 2 m) Schritten zu berechnen. Die
LLL-Reduktion geht so in O(n 2 m + n 3 log 1/δ M) Schritten, gegenüber O(n 2 m log 1/δ M) Schritten
von Algorithmus 4.2.1.
4.6 LLL-Basen mit großem Approximationsfaktor
Wir konstruieren LLL-Basen mit großem Approximationsfaktor ‖b 1 ‖ /λ 1 , vergleiche Satz 4.1.4.
Satz 4.6.1
Jede Gitterbasis b 1 , . . . , b n mit |µ i,j | = |r j,i /r i,i | ≤ 1 2 und |µ i+1,i| 2 ≤ 1 12
für 1 ≤ i < j ≤ n und
(4.5)
r 2 i+1.i+1 = r 2 i,i · (1 − µ 2 i+1,i) für i = 1, . . . , n − 1

4.6. LLL-BASEN MIT GROSSEM APPROXIMATIONSFAKTOR 41
ist eine LLL-Basis mit γ n ‖b 1 ‖ 2 (
≥ λ 2 12
) n−1
2
1 11
.
Beweis. Die Basis ist LLL-reduziert mit δ = 1, weil nach (4.5):
r 2 i+1,i+1 = r 2 + i, i + µ 2 i+1,ir2 i,i = r 2 i,i
Es folgt: λ 2 ∏
1 ≤ γ n (det L) 2 n
n = γ n i=1 r 2 n
i,i = γ n ‖b 1 ‖ 2 ∏ n−1
i=1 (1 − µ2 i+1,i ) n−i
n
und somit für |µ i+1,i | 2 ≥ 1/12
‖b 1 ‖ 2 /λ 2 1 ≥ · ( )
∑ 1 n−1
12 n
11
i=1 i /γ n ≥ · ( 12
11
) 1
n( n−1
2 ) /γn ≥ · ( 12
11
) n−1
2
/γ n .
Beachte, für zufällige µ i+1,i ∈ R [− 1 2 , + 1 2 ] ist der Erwartungswert von µ2 i+1,i gerade 1 12 . Damit
ist der Approximationsfaktor ‖b 1 ‖ /λ 1 für zufällige LLL-Basen im Mittel Θ( 12 n−1
2
11
/n).

42 KAPITEL 4. LLL-REDUZIERTE GITTERBASEN

Kapitel 5
Lösen von Subsetsum-Problemen
durch kurze Gittervektoren
Wir lösen fast alle Subsetsum-Probleme kleiner Dichte d durch Vektoren der Länge λ 1 des Lagarias-
Odlyzko-Gitters und dann des CJLOSS-Gitter. Im CJLOSS-Gitter entsprechen Lösungen des
Subsetsum-Problems besonders kurzen Gittervektoren. Die Lösung gelingt für fast alle Subsetsum-
Probleme der Dichte kleiner 0, 9408 und für Dimension n ≤ 80 in der Praxis sogar effektiv durch
LLL-Reduktion. Fast alle CJLOSS-Gitter für Subsetsum-Probleme der Dichte d < 0, 9408 haben
eine Packungsdichte △ mit
1
n log 2 △ ≥ −1.0158 für hinreichend grosse Dimension n.
5.1 Das Subsetsum-Problem
Definition 5.1.1 (Subsetsum-Problem, oder Knapsack- bzw. Rucksack-Problem.)
• Gegeben: n ∈ N, Gewichte a 1 , . . . , a n ∈ N und s ∈ N
n∑
• Finde e ∈ {0, 1} n mit a i e i = s oder zeige, daß kein solcher Vektor existiert.
i=1
Nach Satz 11.2.5 auf Seite 97 ist das Subsetsum-Entscheidungsproblem N P-vollständig, sogar für
beliebig kleine Dichte d.
Annahmen. Der Gewichtsvektor (a 1 , . . . , a n ) variiere über [1, A] n ⊂ N n für ein beliebiges A ∈ N.
Es wird die Existenz einer Lösung e = (e 1 , . . . , e n ) ∈ {0, 1} n vorausgesetzt.
Die Wahrscheinlichkeiten und die ”
fast alle“-Aussagen in diesem Kapitel beziehen sich auf
zufällig gewählte (a 1 , . . . , a n ) ∈ R [1, A] n .
Definition 5.1.2 (Inverses Subsetsum-Problem)
Im inversen Problem wird s durch s := t − s mit t = ∑ n
i=1 a i ersetzt.
Jede Lösung e des Ausgangsproblems liefert eine Lösung e des inversen Problems und umgekehrt:
e i := 1 − e i
i = 1, . . . , n
Eine der beiden Lösungen e, bzw e hat höchstens n/2 Einsen.
Wir lösen das Subsetsum-Problem durch ein SVP-Orakel welches zur Basis des Gitters L
einen Gittervektor der Länge λ 1 in Euklidischer Norm liefert. Wir zeigen, daß das SVP-Orakel
für fast alle (a 1 , ..., a n ) ∈ [1, A] n entweder das gegebene Subsetsum-Problem oder sein inverses löst.
Die Wahrscheinlichkeit eines Misserfolgs wird für zufällige (a 1 , ..., a n ) ∈ [1, A] n mit wachsendem n
43

44KAPITEL 5. LÖSEN VON SUBSETSUM-PROBLEMEN DURCH KURZE GITTERVEKTOREN
beliebig klein, wenn nur die Dichte d hinreichend klein ist.
Dichte d des Subsetsum-Problems
d :=
n
log 2 ( max
i=1,...,n a i)
und somit
max
i=1,...,n a i = 2 n/d .
Für Dichte d ≫ 1 gibt es bei zufälliger Wahl der Gewichte a 1 , . . . , a n “in der Regel“ viele
Lösungen. Am schwierigsten gelten zufällige Subsetsum-Probleme mit Dichte nahe bei 1.
In kleiner Dimension n findet man einen kürzesten Gittervektor durch Gitterbasenreduktion
siehe [SH95, SE94]. Dies führt zu Angriffen auf Krypto-Schemata, die auf Subsetsum-Problemen
basieren. C.P. Schnorr und H.H. Hörner [SH95] haben das Chor-Rivest-System [CR88] mittels
Gitterreduktion angegriffen.
5.2 Die Lagarias-Odlyzko-Gitterbasis
J.C. Lagarias und A.M. Odlyzko [LaOd85] schlagen die folgende Gitterbasis B vor um das Subsetsum-
Problem durch ein SVP-Orakel zu L(B) zu lösen. Die letzte Zeile von B wird von uns zur Beweisvereinfachung
hinzugefügt. Wir überarbeiten die Darstellung von [CJLOSS92].
(5.1)
⎡
⎤
1 0 · · · 0 0
0 1 0 0
.
B = [b 1 , · · · , b n+1 ] :=
.
.. . .
∈ Z (n+2)×(n+1)
⎢ 0 0 1 0
⎥
⎣Na 1 Na 2 · · · Na n Ns⎦
0 0 · · · 0 1
und L(B) = L LO sei das zugehörige Gitter. Die Lösung e ∈ {0, 1} n von ∑ n
i=1 x ie i = s liefert den
Lösungsvektor
(5.2)
ê := ( ∑ n
i=1 e ib i
)
− bn+1 = (e 1 , . . . , e n , 0, −1) t ∈ L LO .
Entweder e oder e = 1 − e, die Lösung zum inversen Subsetsum-Problem, hat höchstens n/2
Einsen und liefert damit einen Lösungsvektor in L LO der Länge ≤ √ n/2 + 1. Für jeden Vektor
̂x = (x 1 , ..., x n+1 , −y) ∈ L LO mit ‖̂x‖ = λ 1 gilt somit für N ≥ √ n/2: ∑ i≠n+1 |x i| ≥ 2, x n+1 = 0.
Satz 5.2.1
Für n > n 0 und N ≥ √ n/2 werden fast alle lösbare Subsetsum-Probleme zu (a 1 , . . . , a n ) ∈ [1, A] n
der Dichte d < 0, 6463 durch jeden Vektor der Länge λ 1 von L LO für s oder s = t − s gelöst.
Beweis. Sei ‖e‖ 2 ≤ n/2. Das SVP-Orakel liefere den Gittervektor ̂x := ∑ n
i−1 x ib i − yb n+1 der
Länge λ 1 mit y ≥ 0. Löst ̂x das Subsetsum-Problem nicht so gilt
(5.3)
‖̂x‖ = λ 1 ≤ √ n/2 + 1, ̂x ≠ ê.
Wir analysieren die Wahrscheinlichkeit des Misserfolgs
P (n) := Ws[ Es existiert ein ̂x ∈ L CJLOSS mit (5.3)]
bezüglich zufälliger (a 1 , . . . , a n ) ∈ R [1, A] n . Für N ≥ √ n/2 wurde oben gezeigt dass x n+1 = 0
und somit ∑ n
i=1 a ix i = ys. Offenbar gilt 0 ≤ y < λ 1 ≤ √ n/2 + 1. Wir setzen x := (x 1 , ..., x n ).

5.3. DAS CJLOSS-GITTER 45
Dann gilt
[ ∃x ∈ Z n , x /∈ {0, ±e}, ‖x‖ ≤ ‖e‖
P (n) ≤ Ws
∃y ∈ Z : 0 ≤ y < √ ∑ n
n/2 + 1,
i=1 a i(x i − e i y) = 0
]
Faktor 1
{ }} {
∑n
≤ Ws[
i=1 a i(x i − e i y) = 0 für feste e, x, y mit ‖x‖ ≤ ‖e‖, x ≠ e, 0 ≤ y < √ ]
n/2 + 1
{
· ∣ x ∈ Z n : ‖x‖ ≤ √ }∣ { ∣∣
n/2 · ∣ y ∈ Z : 0 ≤ y < √ }∣ ∣∣
n/2 + 1
} {{ } } {{ }
Faktor 2
Faktor 3
Wir schätzen die drei Faktoren nach oben ab:
1. Für feste e 1 , ..., e n , x 1 , ..., x n , y ist die Gleichung ∑ n
i=1 a i(x i − e i y) = 0 höchstens mit
Wahrscheinlichkeit n/A erfüllt, denn falls x i ≠ e i y ist a i durch die a j mit j ≠ i bestimmt.
2. J.C.Lagarias und A.M. Odlyzko [LaOd85] haben gezeigt, daß für hinreichend große n gilt:
{
∣ x ∈ Z n : ‖x‖ ≤ √ }∣ ∣∣
n/2 ≤ 2
c 0n
mit c 0 = 1, 54725
{
3. Es gilt: ∣ y ∈ Z : 0 ≤ y < √ }∣ ∣∣ √
n/2 + 1 ≤ n/2 + 1.
Damit folgt P (n) ≤ 2c 0 n
A n √ n/2 + 1. Wegen 1/d > 1, 547269 > c 0 und max i=1,...,n a i =
2 n/d gilt A ≥ max a i ≥ 2 n/d und somit lim P (n) = 0 für d < 0, 6463.
i=1,...,n n→∞
5.3 Das CJLOSS-Gitter
M.J. Coster, A. Joux, B.A. LaMacchina, A.M. Odlyzko, C.P. Schnorr und J. Stern [CJLOSS92]
ersetzen den Vektor b n+1 der Basis (5.1) durch b ′ n+1 := ( 1 2 , . . . , 1 2 , Ns, 1)t und erhöhen damit die
Grenzdichte von 0, 6463 auf 0, 9408. Die CJLOSS-Basis ist
⎡
1 ⎤
1 0 · · · 0
2
1
0 1 0 2
.
B ′ = [b 1 , · · · , b ′ n+1] :=
.
.. . .
(5.4)
∈ 1 1
0 0 1 2 Z(n+2)×(n+1)
2
⎢
⎥
⎣Na 1 Na 2 · · · Na n Ns⎦
0 0 · · · 0 1
und L CJLOSS = L(B ′ ) sei das zugehörige Gitter. Die letzte Zeile von B ′ dient der Beweisvereinfachung.
Die Lösung e ∈ {0, 1} n des Subsetsum-Problems liefert den Lösungsvektor
(5.5)
ê ′ := ∑ n
i=1 e ib i − b ′ n+1 = (e 1 − 1 2 , e 2 − 1 2 , . . . , e n − 1 2 , 0, −1)t ∈ L CJLOSS
Offenbar gilt ‖ê ′ ‖ = √ n/4 + 1 und damit ist der Lösungsvektor ê ′ der CJLOSS-Basis bis zu einem
Faktor √ 2 kleiner als der Lösungsvektor ê der Lagarias-Odlyzko-Basis.
Satz 5.3.1
Für n > n 0 und N ≥ √ n/4 werden fast alle lösbare Subsetsum-Probleme zu (a 1 , . . . , a n ) t ∈ [1, A] n
der Dichte d < 0, 9408 durch jeden Vektor der Länge λ 1 von L CJLOSS gelöst.
Beweis. Das SVP-Orakel liefere ̂x ′ = ∑ n
i=1 y ib i −yb ′ n+1 = (x 1 , ..., x n+2 ) t ∈ L CJLOSS mit y ≥ 0.
Bei Misserfolg gilt
(5.6)
‖̂x ′ ‖ = λ 1 ≤ ‖ê ′ ‖ = √ n/4 + 1, ̂x ′ ≠ ê ′ , 0 ≤ y < λ 1

46KAPITEL 5. LÖSEN VON SUBSETSUM-PROBLEMEN DURCH KURZE GITTERVEKTOREN
Beh.: x n+1 = N( ∑ n
i=1 a iy i − ys) = 0.
Denn aus x n+1 ≠ 0 und N ≥ √ n/4 und weil offenbar x i ≠ 0 für zwei i ≠ n+1 folgt ‖̂x ′ ‖ 2 > n 4 +1,
ein Widerspruch. Ferner gilt:
(5.7) x i = y i − 1 2 y für i = 1, . . . , n
∑ n
(5.8)
i=1 a i(y i − ye i ) = 0
Es bezeichne P ′ (n) := Ws[ ∃̂x ′ ∈ L CJLOSS mit (5.6), (5.7), (5.8) ] die Wahrscheinlichkeit
des Misserfolgs für zufällige (a 1 , . . . , a n ) t ∈ R [1, A] n , ferner 1/2 := ( 1 2 , ..., 1 2 )t , x :=
(x 1 , ..., x n ) t ∈ Z n − 1/2 · {0, 1}. Offenbar gilt ̂x ′ ≠ ê ′ gdw ∃j : y j ≠ ye j . Zwar hängen x, y von den
a i ab, werden aber in der Ws-Analyse fixiert. Es folgt
P ′ (n) ≤ Ws
Faktor 1
{
[
}} {
für feste e ∈ {0, 1} n , x ∈ Z n − 1/2 · {0, 1}, y ∈ Z, 0 ≤ y < √ ]
n/4 + 1,
∃j : y j ≠ ye j , ‖x‖ ≤ √ n/4, ∑ n
i=1 a i(y i − ye i ) = 0
{
· ∣ x ∈ Z n − 1/2 · {0, 1} : ‖x‖ ≤ √ ∣ { ∣∣
n/4}
· ∣ y ∈ Z : 0 ≤ y < √ ∣∣
n/4 + 1}∣
} {{ } } {{ }
Faktor 2
Faktor 3
Wir schätzen die drei Faktoren nach oben ab:
1. Für festes j mit y j ≠ ye j ist die Gleichung ∑ n
i=1 a i(y i − ye i ) = 0 mit Wahrscheinlichkeit
≤ 1/A erfüllt, denn a j ist durch die a i mit i ≠ j bestimmt. Somit für alle j: Faktor 1 ≤ n/A.
2 J.E. Mazo und A.M. Odlyzko [MaOd90] beweisen für hinreichend grosses n und alle u ≥ 0
{
∣ x ∈ Z n + 1/2 · {0, 1} : ‖x‖ ≤ √ }∣ ∣∣
n/4 ≤ e δ(u)n + 2 n für δ(u) = u/4 + ln θ(e −u ),
θ(z) := 1+2 ∑ ∞
k=1 zk2 . Für u o = 1, 8132 gilt δ ≈ 0, 7367 und e δ(uo)n ≤ 2 c′ o n mit c ′ o = 1.0629 · · · .
3. Offenbar gilt Faktor 3 ≤ 1 + √ n/4 + 1.
Somit gilt P ′ (n) ≤ (1 + √ n/4 + 1) 2 c′ 0 n n/A und wegen 1/d > 1, 0628 · · · > c ′ 0 und
A ≥
max a i ≥ 2 n/d folgt die Behauptung
i=1,...,n
lim P ′ (n) = 0.
n→∞
Towards NP-hardness of SVP. Die Menge der lösbaren Subsetsum-Probleme der Dichte
d < 0.9408 ist NP-vollständig. Satz 5.3.1 liefert eine Polynomialzeit-Transformation von Subsetsumproblemen
mit d < 0, 9408 auf SVP, mit Ausnahme der Misserfolge. Wir eliminieren die
Misserfolge für lösbare Subsetsumprobleme mit höchstens c(a, s) = O(1) linear unabhängigen
Vektoren b = ∑ n
i=1 y ib i − yb ′ n+1 in L = L CJLOSS der Länge ‖b‖ 2 ≤ n 4 + 1 mit b ≠ ±ê′ .
Für c = c(a, s) gibt es 1 ≤ i 1 < · · · < i c ≤ n so dass die Vektoren ∑ c
k=1 y i k
b ik für c solcher b
linear unabhängig von ∑ c
k=1 e i k
b ik sind. Es werden i 1 , ...., i c und e i1 , ..., e ic ∈ {0, 1} erraten. Das
Gitter L wird zu L red und das Subsetsumproblem mit [1, n] red := [1, n] − {i 1 , ..., i c } zu
∑i∈[1,n] red
a i e i = s red , s red := s − ∑ c
k=1 a i k
e ik
einem Subsetsumproblem der Dimension n − c reduziert. In L red ist b ′ n+1 durch b ′red
n+1 mit s red
ersetzt. Das SVP-Orakel liefert zum Gitter L red den Vektor ê ′ red = ∑ i∈[1,n] red
a i e i − b ′red
n+1 der
Länge √ (n − c)/4 + 1. Entscheidend ist, dass die störenden kurzen Vektoren b ≠ ±ê ′ von L durch
die Reduktion stark vergrössert werden, sofern ∑ c
k=1 a i k
(y ik − e ik ) ≠ 0. Dies beweist Teil 1. von
Satz 5.3.2
1. Durch 2 c( n
c)
Aufrufe des SVP-Orakels auf die Gitter Lred zu L = L CJLOSS mit 1 ≤ i 1 < · · · <
i c ≤ n und e i1 , ..., e ic ∈ {0, 1} werden alle Subsetsumprobleme mit c(a, s) ≤ c für alle d gelöst.
2. Der Anteil der Subsetsumprobleme mit c(a, s) > c unter den (a, s) ∈ [1, A] n [1, n 2
A], A ≥ 2·2n/d
ist höchstens P ′ (n) c .

5.4. GITTER MIT GROSSER PACKUNGSDICHTE 47
Beweis. 2. Wir schätzen den Anteil der (a, s) ∈ [1, A] n [1, n 2
A] mit c(a, s) > c ab, analog
zur oberen Schranke von P ′ (n) im Beweis von Satz 5.3.1. Es gibt c(a, s) linear unabhängige
(y 1,j , ..., y n,j , y j ) t ∈ Z n+1 für j = 1, ..., c mit b j = ∑ n
i=1 y i,jb i − y j b ′ n+1 ≠ ±ê ′ und ‖b j ‖ 2 ≤ n 4 + 1.
Für diese c Vektoren b j ∈ L gilt ∑ n
i=1 a iy i,j = y j s und somit
∑ n
(5.8)
i=1 a i(y i,j − y j e i ) = 0 für j = 1, ..., c
Diese Gleichungen bestimmen c der a 1 , ..., a n durch die übrigen n − c der a i . Der Anteil der
(a 1 , ..., a n ) ∈ [1, A] n der Dichte d < 0, 9408, der diese c Gleichungen (5.8) erfüllt, ist dem Beweis
von Satz 5.3.1 folgend kleiner gleich P ′ (n) c mit lim P ′ (n) = 0.
n→∞
Fakt Nach Satz 5.3.2 löst das SVP-Orakel alle Subsetsumprobleme mit konstantem c(a, s) durch
polynomial viele Aufrufe. Damit ist der Anteil der Misserfolge bei der Reduktion von Subsetsum
mit d < 0, 9408 auf SVP vernachlássigbar klein, d.h. kleiner als jeder polynomiale Bruchteil.
Satz 5.3.3
Lösbare Subsetsum-Probleme werden für n ≥ n o und N ≥ 1, 163 n−1√ n/4 + 1 für fast alle
(a 1 , . . . , a n ) t ∈ [1, A] n der Dichte d < 4, 8/n durch den ersten Vektor jeder LLL-Basis zu δ = 0, 99
von L CJLLOSS gelöst, und zwar in Polynomialzeit.
Beweis. (Bezeichnungen wie im Beweis von Satz 5.3.1, B ′ = [b 1 .....b ′ n+1] ist die Basis (5.4) )
Für den ersten Vektor b einer LLL-Basis von L CJLOSS gilt ‖b‖ 2 ≤ λ 2 1/(δ−1/4) n−1 nach Satz 4.1.4
und somit für δ = 0, 99 dass ‖b‖ ≤ 1, 163 n−1 λ 1 ≤ 1, 163 n−1√ n/4 + 1. Sei b = ∑ n
i=1 y ib i − yb ′ n+1
mit y ≥ 0. Aus N ≥ 1, 163 n−1√ n/4 + 1 folgt ∑ n
i=1 a iy i = ys und somit gilt (5.8). Das x von (5.7)
erfüllt ‖x‖ < √ n/4 + 1 · 1, 163 n .
J.C. Lagarias und A.M. Odlyzko [LaOd85] zeigen im Anschluss an Theorem 3.5 für das Gitter
L LO : der Anteil der (a 1 , . . . , a n ) t ∈ [1, A] n der Dichte d < 4, 8/n mit b ≠ ê für den Lösungsvektor
ê ∈ L LO wird für n → ∞ beliebig klein. Damit gilt für fast alle (a 1 , ..., a n ) ∈ [1, A] n dass b = ê.
Die Grenzdichte 4, 8/n erhöht sich weiter durch stärkere Reduktion als LLL.
Für n ≤ 80 gilt Satz 5.3.2 in der Praxis schon für N = 16 und d < 0, 9408 für den Hauptfall
dass ∑ n
i=1 e i = n/2. Hierzu ersetzt man die LLL-Reduktion durch die stärkere BKZ-Reduktion
mit Blockweite 32 und erweitert B ′ durch die (n + 3)-te Zeile (N, ..., N, N 1 2
). Siehe [SS12].
5.4 Gitter mit großer Packungsdichte
Zu a = (a 1 , . . . , a n ) ∈ Z n bezeichne L a = L(B a ) ⊂ R n+1 das Gitter mit Basismatrix
⎡
⎤
1
. .. L a := L(B a ). B a = ⎢
O
⎥
⎣ O 1 ⎦ ∈ ∑
n
R(n+1)n , det B t aB a = 1 + N 2 i=1
Na 1 · · · Na n
Korollar 5.4.1
Für n ≥ n 0 und N ≥ √ n/4 gilt λ 1 (L a ) ≥ √ n/4 für fast alle a ∈ [1, A] n der Dichte d < 0, 9408.
Beweis. B a = [b 1 , ..., b n ] ist die Basis (5.4) ohne die letzte Zeile und letzte Spalte. Ergänze B a zu
einer CJLOSS-Basis (ohne letzte Zeile) mit lösbarem Subsetsum-Problem. Im Fall λ 1 (L a ) < √ n/4
gibt es einen Gittervektor in L CJLOSS der Länge λ 1 , der nicht die vorgegebene Subsetsum-Lösung
e liefert. Dies ist nach Satz 5.3.1 für fast alle a mit Dichte d < 0, 9408 ausgeschlossen. Satz 5.3.1
gilt auch ohne die letzte Zeile der Basismatrix (5.4). Der Beweis in [CJLOSS92] kommt ohne diese
letzte Zeile aus. Dann gilt für den Lösungsvektor ê ′ ∈ L CJLOSS dass ‖ê ′ ‖ 2 = n/4.
a 2 i

48KAPITEL 5. LÖSEN VON SUBSETSUM-PROBLEMEN DURCH KURZE GITTERVEKTOREN
Satz 5.4.2
Für n ≥ n 0 , N 2 = n 4 haben fast alle a ∈ [1, 2 · 2n/0,9408 ] n Dichte d < 0, 9408 und L a hat Packungsdichte
△ mit
1
n log 2 △ ≥ −1, 01583.
Beweis. Für fast alle a ∈ [1, 2 · 2 n/0,9408 ] n gilt d =
n
log 2 ( max
i=1,...,n
λ 2 1 ≥ n/4 für fast alle a ∈ [1, A] n . Wegen 4N 2 n = n 2 sowie n 1/n = 1 + o(1) und
(det L a ) 2 = 2 2n (1 + N 2∑ n
i=1 a2 i ) ≤ 22n (1 + 4N 2 n2 2n/d )
folgt für n ≥ n 0 dass λ 2 1/(det(L a ) 2/n ≥ n 2 −2−2/0,9408 (1 − o(1)) und somit
ai)
< 0, 9408. Nach Kor. 5.4.1 gilt
△ (L a ) = 2 −n λ n 1 V n / det L a > (n 2 −2−2/0,9408 (1 − o(1)) eπ
2n n)n/2 > 0.4945438 n > 2 −1.01583 n .
Vergleich mit expliziten Konstruktionen dichter Gitter. Die unendlichen Klassenkörpertürme
von Gold, Shafarevitch, Martinet, liefern eine unendliche Folge von Gittern mit
1
n log 2 △ ≥ −2, 218,
siehe [CoSl88, Kap. 8, Sektion 7.4]. Eine praktische Methode zum Auffinden solcher Gitter ist
nicht bekannt. Explizite Konstruktionen von Gittern gibt es [CoSl88], so dass
1
n log 2 △ ≥ −1, 2454 für n ≤ 98328,
1
n log 2 △ ≥ −2, 0006 für n ≤ 10 51 .
Verglichen damit kann man nach Satz 5.4.2 die grössere Dichte
1
n log 2 △ ≥ −1, 0158
für beliebige n und fast alle a = (a 1 , . . . , a n ) ∈ [0, A] n der Dichte d < 0, 9408 leicht erreichen. Man
wählt a zufällig und verifiziert dass λ 1 (L a ) = n/4.
Dichteste bekannte Gitterpackung. J.A. Rush [R89] zeigt die Existenz von Gitterpackungen
der Dimension n = p 2 mit p prim und Packungsdichte
1
n log 2(△) ≥ −1 − 2(log 2 e)/e 2π2 ) −1, 000000007719...
Dies gilt für die Konstruktion A von [CoSl88] angewandt auf fehlerkorrigierende [n, k, d, p, H]-
Codes. Das Ergebnis ist nicht konstruktiv aber der Suchraum für geeignete Codes ist erheblich
kleiner als beim Beweis der Minkowski-Schranke 1 n log 2 △ ≥ −1.
Die obere Schranke für P ′ (n) ist scharf und die Grenzdichte d = 0, 9408... maximal.
Angenommen der kürzeste Gittervektor ̂x ′ = ∑ n
i=1 y ib i − yb ′ n+1 = (x 1 , ..., x n+2 ) t von L CJLOSS
löst das Subsetsum-Problem zu a = (a 1 , ..., a n ), s nicht. Dann gilt x n+1 = 0 und der Lösungsvektor
ê ′ := ∑ n
i=1 e ib i − b ′ n+1 ∈ L CJLOSS erfüllt (5.6).
Satz 5.3.1 schätzt die Anzahl der Lösungen (x 1 , ..., x n , y) ∈ 1 2 Zn+1 mit ( √ n/4 + 1)2 c′ 0 n ab.
Ferner ist für x i = y i − y 2 die Wahrscheinlichkeit für ∑ n
∑ i=1 a i(y i − ye i ) = 0 höchstens n/A. Wegen
n
i=1 a i(y i − ye i ) = 0 schränken die Bedingungen
a j = −
n∑
i=1,i≠j
a i
y i − ye i
y j − ye j
∈ [1, A] ∩ N für alle j mit y j ≠ ye j
die Anzahl der (x 1 , ..., x n , y) weiter ein. Für die Varianz V (X) = E[(X − E(X) ) 2 ] von X =
− ∑ n
i=1,i≠j a i yi−yei
y j−ye j
gilt V (X) = O(A 2√ n) . Daraus folgt Ws[ X ∈ [1, A] ] ≥ Θ(1/ √ n). Damit ist
Ws[ X ∈ [1, A] ∩ N ] so groß dass dies c ′ 0 nicht erniedrigt. Somit ist die Grenzdichte d = 0, 9408...
maximal.

Kapitel 6
HKZ- und Block-Reduktion von
Gitterbasen
Die LLL-Reduktion in Kapitel 4 liefert in Polynomialzeit LLL-Basen b 1 , ..., b n mit exponentiellen
Approximationsfaktoren ‖b 2 i ‖/λ2 i ≤ α n für i = 1, ..., n. Die HKZ-Reduktion nach Hermite
und Korkine-Zolotareff liefert dagegen in Exponentialzeit HKZ-Basen b 1 , ..., b n mit polynomialen
Approximationsfaktoren ‖b i ‖ 2 /λ 2 i ≤ i+3
4
für i = 1, ..., n. Schnorr [S87] entwickelt eine Hierarchie
von Block-Reduktionsverfahren, welche LLL- und HKZ-Reduktion überbrückt, derart dass höhere
Laufzeit die Approximationsfaktoren erniedrigt.
6.1 HKZ-Basen
Zur Basis b 1 , . . . , b n des Gitters L sind die projizierten Gitter L i für i = 1, . . . , n erklärt durch
L i = π i (L) ∈ span(b 1 , ..., b i−1 ) ⊥ .
Insbesondere gilt für jede GNF B = R ∈ R n×n dass
π i : (r 1 , ..., r n ) t ↦→ (0, ..., 0, r i , ..., r n ) t ∈ 0 i−1 R n−i+1 .
C. Hermite [He1850] sowie unabhängig A. Korkine und G. Zolotareff [KZ1873, KZ1877] definierten
HKZ-Basen in der Sprache quadratischer Formen.
Definition 6.1.1 (HKZ-Basis)
Eine LLL-Basis B = QR ∈ R m×n ist HKZ-Basis, wenn für R = [r i,j ] ∈ R n×n gilt:
r i,i = λ 1 (L i (B)) für i = 1, . . . , n.
Für jede HKZ-Basis [b 1 , . . . , b n ] = B = QR sind auch π j {b j , . . . , b n } und [r i,l ] j≤k,l≤n für
1 ≤ j ≤ n HKZ-Basen. Es gilt λ 1 (L i (B)) = λ 1 (L i (R)). Jede -Basis approximiert λ 2 i mit Approximationsfaktor
i+3
4
(fast so gut wie der Approximationsfaktor max(1, i/4) von Satz 2.1.5):
Satz 6.1.2
Für jede HKZ-Basis b 1 , . . . , b n von L gilt
4
i+3 ≤ ‖b i‖ 2 /λ i (L) 2 ≤ i+3
4
für i = 1, . . . , n.
Dagegen gilt für LLL-Basen b 1 , . . . , b n nach Satz 4.1.4 mit α = 1
δ−1/4
α 1−i ≤ ‖̂b i ‖ 2 /λ i (L) 2 ≤ ‖b i ‖ 2 /λ i (L) 2 ≤ α n−1 .
49

50 KAPITEL 6. HKZ- UND BLOCK-REDUKTION VON GITTERBASEN
Beweis.
(6.1)
Obere Schranke ‖bi‖2
λ i(L) 2 ≤ i+3
4 : Für das Gitter L i = π i (L) gilt
‖̂b i ‖ = r i,i = λ 1 (L i ) ≤ λ i (L),
denn es gibt linear unabhängige Gittervektoren a 1 , . . . , a i ∈ L mit ‖a 1 ‖ ≤ · · · ≤ ‖a i ‖ ≤ λ i (L).
Daher gilt π i (a j ) ≠ 0 für ein j ≤ i, also π i (a j ) ∈ L i \ {0} und somit λ 1 (L i ) ≤ ‖π i (a j )‖ ≤ λ i (L).
Für die HKZ-Basis R = [r 1 , . . . , r n ] gilt nach (6.1) dass
i∑
∑i−1
‖b i ‖ 2 = ‖r i ‖ 2 = rj,i 2 ≤ ri,i 2 + 1 4
rj,j 2 ≤ i+3
4 λ i(L) 2 .
j=1
Untere Schranke 4
i+1 ≤ ‖bi‖2
λ i(L) 2 : Nach Definition der HKZ-Basis gilt für j ≤ i:
j=1
r 2 j,j = λ 1 (L j ) 2 ≤ ‖π j (b i )‖ 2 ≤ ‖b i ‖ 2 .
Somit
‖b j ‖ 2 = ∑ j
l=1 r2 l,j ≤ r2 j,j + 1 ∑ j−1
4 l=1 r2 l,l ≤ j+3
4 ‖b i‖ 2 .
Es folgt die Behauptung λ i (L) 2 ≤ max j=1,...,i ‖b j ‖ 2 ≤ i+3
4 ‖b i‖ 2 .
Zu HKZ-Basen siehe auch [LLS90] von J.C. Lagarias, H.W. Lenstra und C.P. Schnorr.
6.2 Semi Block 2k-Reduktion
Block-reduzierte Gitterbasen bilden eine Brücke, die HKZ-Basen und LLL-Basen verbindet, siehe
C.P. Schnorr [S87] [S94]. Während die Algorithmen zur HKZ-Reduktion in Dimension n expontielle
Laufzeit in n haben, ist die Block-Reduktion für Blockweite 20 ähnlich effizient wie die schwächere
LLL-Reduktion. Die Variante der Semi-Block-2k-Reduktion hat polynomielle Laufzeit [S87].
Einer GNF R ∈ R n×n mit n = hk ordnen wir die Untermatrizen R l = [r i,j ] lk−k δ k B Dalt l
für l = 1, ..., h − 1.
Die Bedingung 2. impliziert dass δ k B (D l/D l+1 ) 1/k ≤ β k für l = 1, ..., h − 1 für das folgende β k .
Definition 6.2.2
α k := max r 2 1,1/r 2 k,k
maximiert über alle HKZ-GNF R ∈ Rk×k
β k := max ( D 1 /D 2
) 1/k
maximiert über alle HKZ-GNF R ∈ R 2k×2k .
Für das α = 4 3 = 1/(δ L − 1/4) der LLL-Basen mit δ L = 1 gilt offenbar α 2 = β 1 = 4 3
. Ferner gilt
Damit gilt β 1/k
k
→ 0 für k → ∞.
α k ≤ k 1+ln k
[S87]
k/12 ≤ β k ≤ (1 + k/2) 2 ln 2+1/k . [GHKN06]

6.2. SEMI BLOCK 2K-REDUKTION 51
Satz 6.2.3
Für jede Semi Block 2k-Basis B = QR ∈ R m×n , n = hk zu δ B > 0 von L gilt
1. ‖b 1 ‖ 2 ≤ γ k (β k /δ k B ) h−1
2 (det L) 2/n ,
2. ‖b 1 ‖ 2 ≤ γ k α k (β k /δ k B )h−1 λ 2 1.
Im Vergleich gilt für LLL-Basen
‖b 1 ‖ 2 ≤ α n−1
2 (det L) 2/n , ‖b 1 ‖ 2 ≤ α n−1 λ 2 1.
Für Semi Block 2k-Basen wird das α von LLL-Basen ersetzt durch β 1/k
k
/δ B = o(1) für n → ∞.
Beweis. 1. Sei D l := (det R l ) 2 . Für die HKZ-Basis R 1 ∈ R k×k gilt ‖b 1 ‖ 2 ≤ γ k D 1/k
1 .
Nach Definition von β k und Definition 6.2.1, Teil 2 gilt D l ≤ (β k /δ k B )k D l+1 .
Es folgt durch Induktion über l für l = 1, ..., h = n/k
(6.2)
‖b 1 ‖ 2 ≤ γ k D 1/k
1 ≤ γ k (β k /δ k B) l−1 D 1/k
l
.
Wir ziehen aus dem Produkt dieser h Ungleichungen die h-te Wurzel. Dies liefert die Behauptung:
‖b 1 ‖ 2 ≤ γ k (β k /δ k B) (h 2) 1 h (det L)
1
hk
= γk (β k /δ k B) h−1
2 (det L) 2/n .
2. Sei b = ∑¯n
i=1 u ib i ∈ L mit ‖b‖ = λ 1 , u¯n ≠ 0. O.B.d.A. sei ¯n > n − k. Es gilt
‖b 1 ‖ 2 ≤ γ k (β k /δ k B) h−1 D 1/k
h
= γ k (β k /δ k B) h−1 (r 2 n−k+1,n−k+1 · · · r 2 n,n) 1/k ,
Es folgt aus r 2¯n−i,¯n−i /r2¯n,¯n ≤ α i+1 ≤ α k für n − k < ¯n − i wegen α i+1 ≤ α i+2 dass
‖b 1 ‖ 2 ≤ γ k (β k /δ k B ) h−1
2 α k r 2 n,n ≤ γ k (β k /δ k B ) h−1
2 α k λ 2 1 wegen |u¯n | ≥ 1, ¯n > n − k.
Algorithmus 6.2.1, Semi Block 2k-Reduktion
EINGABE LLL-Basis B ∈ Z m×n zu δ, α, n = hk und δ B mit 0 < δ B < 1.
1. HKZ-reduziere B 1 = [b 1 , ..., b k ] und R 1 , l := 1
2. HKZ-reduziere R l+1 zu R l+1 T k mit T k ∈ GL k (Z).
B l+1 := B l+1 T k , erneuere R l,l+1 .
3. HKZ-reduziere R l,l+1 zu R l,l+1 T 2k mit T 2k ∈ GL 2k (Z).
IF D neu
l
≤ δ k2
B D alt
l
THEN [B l
, B l+1 ] := [B l , B l+1 ]T 2k , l := max(l − 1, 1)
ELSE l := l + 1.
IF l < h THEN GO TO 2 ELSE längenreduziere B.
AUSGABE Semi Block 2k-Basis B.
Korrektheit. Nach Schritt 3 ist b 1 , ..., b kl nach Längenreduktion eine Semi Block 2k-Basis.
Satz 6.2.4
1. Alg. 6.2.1 macht höchstens ( 2h2
k
+h) log 1/δ B
M Iterationen für den Wert M := max(‖b 1 ‖ , ..., ‖b n ‖)
der Eingabebasis. Eine Iteration geht in (2k) k/4 (2k) O(1) arithmetischen Schritten.
2. Alg. 6.2.1 macht höchstens h3
12 log 1/δ B
α Iterationen bis D B ≤ 1 erreicht ist.

52 KAPITEL 6. HKZ- UND BLOCK-REDUKTION VON GITTERBASEN
Beweis.
1. Jeder Schritt 3 mit l := max(l − 1, 1) erniedrigt die Lovász Invariante zu k
D := D h−1
1 D h−2
2 · · · D 1 h−1
so dass D neu ≤ δ k2
B D alt.
Die Eingabebasis hat den D-Wert D Ein ≤ M n(h−1) und für die Ausgabebasis gilt D Aus ≥ 1.
Damit ist die Anzahl #It − der Schritte 3 mit l := max(l − 1, 1) beschränkt durch
#It − ≤ n(h−1)
k 2 log 1/δB M = h k (h − 1) log 1/δ B
M.
Für die Gesamtzahl #It der Schritte 3 folgt die Behauptung
#It = h − 1 + 2#It − ≤ ( 2h2
k + h) log 1/δ B
M.
Die HKZ-Reduktion von R l,l+1 ∈ R 2k×2k geht in (2k) k/4+o(k) arithmetischen Schritten.
2. Wir ersetzen die Lovász Invariante D durch die folgende Invariante
D B := ∏ h−1
l=1 (D l/D l+1 ) h2 /4−(h/2−l) 2 .
Der Exponent h 2 /4 − (h/2 − l) 2 ist maximal bei l = h/2, er ist null für l = 0 und l = h und ist
symmetrisch zu l = h/2. Für die LLL-Eingabebasis gilt D l ≤ α k2 D l+1 und somit gilt für ihren
D B -Wert DB Ein dass DB Ein
∑
≤ α k2 s h−1
für s = def l=1 h2 /4 − (h/2 − l) 2 .
Die bekannte Summe ¯s := ∑ h−1
l=1 l2 = h(h − 1)(h − 1/2)/3 liefert
∑ h−1
l=1 (h/2 − l)2 = −h 2 (h − 1)/4 + ¯s = h(h − 1)(h − 2)/12
und somit s = (h + 1)h(h − 1)/6 = (h 3 − h)/6.
Es folgt D Ein
B
≤ α k2 (h 3 −h)/6 .Ein aktiver Schritt 3 ändert von D B nur den Faktor
∏
(D t /D t+1 ) t(h−t) = D (l−1)(h−l+1)
l−1
(D l D l+1 ) h−2l−1 Dl 2 .
t=l−1,l,l+1
Ein aktiver Schritt 3 lässt D l−1 und D l D l+1 unverändert und bewirkt somit DB
neu
Für die Anzahl der Iterationen zum Erreichen von D B ≤ 1 folgt
#It ≤ log 1/δ 2k 2
B
≤ δB
2k2D
B alt.
DB Ein ≤ k2 h 3 1
6 2k
log 2 δB
α = h3
12 log δ B
α.
Die Schrittzahl (2k) k/4+O)1) für die HKZ-Reduktion von R l,l+1 ∈ R 2k×2k ist polynomial wenn
(2k) k/4 = n O(1) , also wenn k = O(log n/ log log n).
Alternativer Beweis zu 2. Beh.: #It ≤ h3 (1+o(1))
2
log 1/δB α — auch für DB
Aus ≪ 1. Für die
LLL-Eingabebasis gilt rj,j 2 ≤ αn−1 λ 2 j . Damit gilt für den Startwert D Ein der Lovász Invariante
D der Eingabebasis
D Ein = D1 h−1 D2 h−2 · · · Dh−1
1
≤ (λ 2(h−1
1 · · · λ 2(h−1)
k
) (λ 2(h−2)
k+1
· · · λ 2(h−2)
2k
) · · · · · · (λ 2 kh−2k+1 · · · λ 2 kh−k) α
Andererseits gilt für HKZ-Basen dass r 2 1,1/r 2 j,j ≤ α j < j 1+ln j
[S87] und somit
D ≥ (λ 2(h−1)
1 · · · λ 2(h−1)
k
) (λ 2(h−2)
k+1
· · · λ 2(h−2)
2k
) · · · · · · (λ 2 kh−2k+1 · · · λ 2 kh−k) /n
Der D-Wert der Ausgabebasis ist nicht kleiner als der einer HKZ-Basis, daher folgt
#It ≤ log 1/δB k 2 (D Ein /D Aus )
≤ 1 (n−1)n(h−1)
k 2 2
log 1/δB α + n(h−1)
2k
log 2 1/δB n 1+ln n
h−1
(n−1)n 2 .
(1+ln n)n(h−1)/2

6.3. PRIMAL-DUALE REDUKTION 53
≤ h3 (1+o(1))
2
log 1/δB α sofern log 1/δB n 1+ln n = o(n).
Demgegenüber liefert der Beweis zu Satz 6.2.4, Teil 2 eine obere Schranke für #It, die um den
Faktor 1 6 kleiner ist, aber die Voraussetzung min l D l /D l+1 ≥ 1 gilt mit wenigen Ausnahmen.
Algorithmus 6.2.2, Beschleunigte Semi Block 2k-Reduktion
EINGABE LLL-Basis B = QR ∈ Z m×n zu (δ L , α), n = hk; δ B mit 0 < δ B < 1.
1. Wähle l, 1 ≤ l < n so dass D l /D l+1 maximal ist.
HKZ-reduziere R l zu R l T k mit T k ∈ GL k (Z), B l := B l T k .
2. HKZ-reduziere R l+1 zu R l+1 T k mit T k ∈ GL k (Z),
B l+1 := B l+1 T k , erneuere R l,l+1 .
3. HKZ-reduziere R l,l+1 zu R l,l+1 T 2k mit T 2k ∈ GL 2k (Z).
IF Dl
neu ≤ δB k2D
l alt THEN [B l , B l+1 ] := [B l , B l+1 ]T 2k , GO TO 1
HKZ-reduziere alle R l zu R l T k , B l := B l T k , und längenreduziere B.
AUSGABE Semi Block 2k-Basis B.
Satz 6.2.5 (zu Alg. 6.2.2)
1. Bei der Wahl von l ist B Semi Block 2k-Basis für δ B mit δ k B (D l/D l+1 ) 1/k = β k .
2. Sobald max l (D l /D l+1 ) ≤ α k2 /2 t β k k erreicht ist, erreicht Alg. 6.2.2 mit höchstens h3 /12
Iterationen und δ B = α −1/2t dass D B ≤ 1 und damit dass im Mittel der l : D l /D l+1 ≤ β k k .
Beweis. 2. Wir folgen dem Beweis zu Satz 6.2.4, Teil 2. Wie für die Schranke von DB
Ein gilt
beim Erreichen von max l D l /D l+1 ≤ α k2 /2 t βk k dass D B ≤ (α k2 /2 t βk k)s ≤ (α k2 /2 t βk k /6 . Danach
)h3
führt jeder Schritt 3 mit δ B = α −1/2t zu D neu
B
solchen Iterationen gilt D neu
B
≤ δB
2k2D
alt = α −k2 /2 t D alt . Nach h3
12 log 1/δ B
α
≤ β ks
k ≤ βk h3 /6
k
und somit im Mittel D l /D l+1 ≤ β k k .
Folgerungen. Wenn für die Ausgabebasis von Alg. 6.2.2 mit δ B := α −1/2t gilt dass D l /D l+1 βk
k
für alle l dann folgt #It h3
neu
12
. Offen bleibt, wie sich die Dl
/Dl
alt -Werte der Schritte 3 verteilen,
welche D l /D l+1 weiter zu D l /D l+1 ≪ βk k neu
erniedrigen. Wenn auch hier kleine Werte Dl
/Dl
alt
ähnlich häufig sind, dann macht Alg. 6.2.2 mit wachsendem δ B = α −1/2j für j = 1, ..., t δ B =
α −1/2t → 1 für t → ∞ nur O(h 3 t) Iterationen, während Alg. 6.2.1 nach Satz 6.2.4 bis zu O(h 3 2 t )
Iterationen ausführt. Dies ermöglicht einen exponentiellen Speed-up durch Alg. 6.2.2.
6.3 Primal-Duale Reduktion
Koy’s primal-duale Reduktion [Ko05] erniedrigt D l = (det R l ) 2 wie folgt durch HKZ-Reduktion in
Dimension k: Maximiere r kl,kl über alle GNF von R l T mit T ∈ GL k (Z) zu max r kl,kl durch HKZ-
Reduktion der dualen Basis R ∗ l . Minimiere r kl+1,kl+1 durch HKZ-Reduktion von R l+1 . Danach
LLL-reduziert man R l,l+1 , wenn dies r kl,kl und damit D l erniedrigt.
Für Gitter der Dimension n = hk wird mit polynomial vielen HKZ-Reduktionen der Dimension
k die Approximation ‖b 1 ‖ 2 /λ 2 1 ≤ γ k (αγk 2)h−1 erreicht. Damit wird β k /δk k in Satz 6.2.3 ersetzt
durch αγk 2 . Die primal-duale Reduktion iteriert HKZ-Reduktion in Dimension k, während Semi
Block 2k-Reduktion auf der HKZ-Reduktion in Dimension 2k aufbaut. Primal-duale Reduktion
mit Blockbreite 2k ersetzt β k /δk k in Satz 6.2.3 durch die kleinere Konstante √ αγ k = Θ(k).
T

54 KAPITEL 6. HKZ- UND BLOCK-REDUKTION VON GITTERBASEN
Definition 6.3.1
Eine Basis B = QR ∈ R m×hk ist primal-duale Basis mit Blockweite k wenn
1. R 1 , ..., R h ⊂ R HKZ-Basen sind und B längenreduziert ist,
2. max
T r2 kl,kl ≤ α r 2 kl+1,kl+1 für l = 1, ..., h − 1,
dabei wird r 2 kl,kl maximiert über die GNF von R lT mit T ∈ GL k (Z).
Satz 6.3.2 (Ko05, GHKN06)
Für jede primal-duale Basis B = QR ∈ R m×n , n = hk, des Gitters L gilt:
1. ‖b 1 ‖ 2 ≤ γ k (αγ 2 k ) h−1
2 (det L) 2/n ,
2. ‖b 1 ‖ 2 ≤ γ 2 k (αγ2 k )h−1 λ 2 1.
Beweis. 1. Nach Def. 6.3.1 gilt für [r i,j ] = R dass max
T
r2 kl,kl ≤ α rkl+1,kl+1. 2 Die Hermite
Ungleichung λ 2 1(L(R ∗ l )) ≤ γ kD −1/k
l
für L(R ∗ l ) und die HKZ-Reduktion von R∗ l
sichern dass
D 1/k
l
≤ γ k max
T r2 kl,kl = γ k /λ 2 1(L(R ∗ l )).
Für die HKZ-Basis R l+1 gilt λ 2 1(L(R l+1 )) = r 2 kl+1,kl+1 ≤ γ kD 1/k
l+1 .
Die Kombination dieser beiden Ungleichungen führt zu
(6.3)
D 1/k
l
≤ γ k max
T r2 kl,kl ≤ α rkl+1,kl+1 2 ≤ αγk 2 D 1/k
l+1 .
Mit der HKZ-Basis R 1 folgt durch Induktion über l dass
‖b 1 ‖ 2 ≤ γ k D 1/k
1 ≤ γ k (αγ 2 k) l D 1/k
l+1
für l = 0, ..., h − 1.
Die h-te Wurzel des Produkts dieser h Ungleichungen ergibt die Behauptung.
2. Die Ungleichung (6.3) gilt auch in dualer Form für Dl ∗ = (det R∗ l )2 . Daher gilt auch das duale
1 ∗ zu Satz 6.3.2, Teil 1 :
1 ∗ . max
T
r2 kl,kl ≥ γ −1
k
(αγ2 k) −h+1
2 (det L) 2/n
mit r 2 kl,kl maximiert über die GNF von R lT mit T ∈ GL k (Z)
1 und 1 ∗ ergeben zusammen normb 1 2 ≤ γ 2 k (αγ2 k )l−1 max
T r2 kl,kl. Somit liefert Def. 6.3.1 Teil 2.
‖b 1 ‖ 2 ≤ γk(αγ 2 k) 2 l−1 max
T
r2 kl,kl
≤ (αγ 2 k) l r 2 kl+1,kl+1 für l = 0, ..., h − 1.
Es folgt die Behauptung, denn es gilt für b = ∑¯n
j=1 u jb j ∈ L, u¯n ≠ 0 mit normb 1 = λ 1 O.B.d.A.
dass ¯n > n − k und folglich r n−k+1,n−k+1 ≤ ‖π n−k+1 (b)‖ ≤ λ 1 .
Erläuterungen zu Alg. 6.3.1.
1. Um den letzten Diagonaleintrag r k,k von GNF(R l ) ∈ R k×k über die GNF(R l T) mit T ∈
GL k (Z) zu maximieren HKZ-reduziere R ∗ l = R−t l
= U k R −1
l
U k zu R ∗ l T mit T ∈ GL k(Z). Diese
HKZ-Reduktion minimiert den ersten Diagonaleintrag r 1,1 von GNF(R ∗ l ) und 1/r 1,1 ist der letzte
Diagonaleintrag von GNF((R ∗ l T)∗ U k ) = GNF(R l T −t U k ). Die Diagonalen von GNF(R ∗ l
T) und
GNF(R −t
T ) sind einander invers; U k dreht die Diagonale von GNF(R l T −t ) um.
2. Bei der LLL-Reduktion von R l,l+1 in Schritt 3 sind nur Austausche der Spalten k und k + 1
von R l,l+1 möglich. Denn das letzte Diagonalement r k,k von R l ist maximal und r k−i,k−i ist maximal
bei festen r k−i1,k−i+1, ..., r k,k . Ebenso sind die Diagonalemente von R l+1 nininimal wenn
alle vorangehenden Diagonalelemente von R l+1 festgehalten werden.

6.3. PRIMAL-DUALE REDUKTION 55
Algorithmus 6.3.1, Primal-Duale Reduktion
EINGABE LLL-Basis B = QR ∈ Z m×n , n = hk, zu δ, α.
0. l := 1,
1. HKZ-reduziere R l+1 zu R l+1 T k mit T k ∈ GL k (Z), B l+1 := B l+1 T k .
2. HKZ-reduziere R ∗ l zu R∗ l T ⋆ mit T ⋆ ∈ GL k (Z), B l := B l T −1
⋆ U k ,
erneuere R l,l+1 , LLL-reduziere R l,l+1 mit δ zu R l,l+1 T 2k
3. IF in Schritt 2 erfolgte ein LLL-Austausch der Spalten k und k + 1 von R l,l+1
THEN [B l , B l+1 ] := [B l , B l+1 ]T 2k , l := max(l − 1, 1) ELSE l := l + 1.
4. IF l < h THEN GO TO 1 ELSE längenreduziere B.
AUSGABE primal-duale Basis B
Satz 6.3.3
1. Alg. 6.3.1 macht höchstens 2nh log 1/δ M Iterationen für den Wert M := max(‖b 1 ‖ , ..., ‖b n ‖)
der Eingabebasis. Eine Iteration geht in (2k) k/4 k O(1) arithmetischen Schritten.
2. Alg. 6.3.1 macht höchstens n2 h
12 log 1/δ α Iterationen bis D B ≤ 1 erreicht ist.
Beweis. 1. Jeder Schritt 3 mit l := max(l − 1, 1) erniedrigt D := D1 h−1 D2 h−2 · · · Dh−1 1
D neu ≤ δ D alt für das δ < 1 der LLL-Reduktion und D l = (det R l ) 2 .
so dass
Die Eingabebasis hat den D B -Wert D Ein ≤ M n(h−1) und für die Ausgabebasis gilt D Aus ≥ 1.
Dies beschränkt die Anzahl #It − der Schritte 3 mit l := max(l − 1, 1) zu
#It − ≤ log 1/δ D Ein ≤ n(h − 1) log 1/δ M.
Die Gesamtzahl #It der Schritte 3 ist #It = h − 1 + 2#It − ≤ 2nh log 1/δ M.
2. Wir folgen dem Beweis von Satz 6.2.4, Teil 2. Jede Iteration mit Dl
neu ≤ δ Dl
alt erniedrigt wie
gezeigt D B zu DB
neu ≤ δ2 DB alt.
Für die Anzahl #It der Iterationen bis zum Erreichen von D B ≤ 1
folgt mit s = ∑ h
l=1 (h2 /4 − (h/2 − l) 2 ) = (h 3 − h)/6
#It ≤ 1 2 log 1/δ D Ein
B ≤ 1 2 log 1/δ α k2s ≤ k2 h 3
12 log 1/δ α = n2 h
12 log 1/δ α.
Die Klausel 2. von Def. 6.3.1 wurde von Gama, Nguyen [GN08] verschärft zu
2 + . max
T r2 kl+1,kl+1 ≤ (1 + ε) 2 r 2 kl+1,kl+1 für l = 1, ..., h − 1. ( slide-reduction [GN08] )
Es bezeichne R ′ l := [r i,j] kl−k+2≤i,j≤kl+1 ∈ R k×k das um eine Einheit nach rechts verschobene
Segment R l von R = [r i,j ] ∈ R n×n . Es bezeichnet max
T
r2 kl+1,kl+1 das Maximum über ¯r
kl+1,kl+1
2
von [¯r i,j ] = GNF(R ′ l T) über alle T ∈ GL k(Z). Ferner sei B ′ l = [b kl−k+2, ..., b kl+1 ] der um eine
Einheit nach rechts verschobenen Block B l .
Def. Eine längenred. Basis B = QR ∈ R m×n mit n = hk ist streng primal-dual, wenn R 1 , ..., R h
HKZ-Basen sind und wenn 2 + für l = h−1 und für ein l = l max gilt, welches D l /D l+1 maximiert.
Satz 6.3.4 (GN08b)
Für jede streng primal-duale Basis B = QR ∈ R m×n , n = hk, des Gitters L gilt:
1. ‖b 1 ‖ ≤ ((1 + ε) γ k ) 1 n−1
2 k−1 (det L) 1/n ,
2. ‖b 1 ‖ ≤ ((1 + ε) γ k ) n−k
k−1 λ1 .

56 KAPITEL 6. HKZ- UND BLOCK-REDUKTION VON GITTERBASEN
Für slide-reduced Basen wird in [GN08b] 2 + für l = 1, ..., h − 1 gefordert und es wird Satz
6.3.4 für slide reduzierte Basen gezeigt. Weil die Bedingung 2 + nur für zwei Werte von l gefordert
wird, macht die streng primal-duale Reduktion höchstens 2 HKZ-Reduktionen pro Iteration und
ist damit schneller als die slide Reduktion von [GN08b].
Beweis. Für D ′ l := (det R′ l )2 folgt D ′ l /r2 kl+1,kl+1 ≤ ((1 + ε)γ k) k r 2(k−1)
kl+1,kl+1 für l = l max und
l = h − 1 aus 2 + . Weiter gilt für die HKZ-Basis R l dass
(6.4)
r 2(k−1)
kl−k+1,kl−k+1 ≤ γk k D l /r 2 kl−k+1,kl−k+1.
Kombination der beiden Ungleichungen und D ′ l /r2 kl+1,kl+1 = D l/r 2 kl−k+1,kl−k+1
liefert
(6.5)
r kl−k+1,kl−k+1 ≤ ((1 + ε)γ k ) k
k−1 rkl+1,kl+1 für l = l max und l = h − 1.
Wir zeigen zunächst, dass
(6.6)
D l ≤ ((1 + ε) γ k ) 2k2
k−1 Dl+1 für l = 0, ..., h − 1.
Bew.: Für l = l max wurde oben gezeigt dass
D ′ l ≤ (1 + ε) k γ k kr 2k
kl+1,kl+1 ≤ (1 + ε) k γ 2k
k D l+1 .
Die zweite Ungleichung gilt weil R l+1 HKZ-Basis ist. Aus (6.5) folgt
(6.7)
D l = r 2 kl−k+1,kl−k+1D ′ l/r 2 kl+1,kl+1 ≤ ((1 + ε) γ k ) 2k
k−1 D
′
l .
Die Kombination der beiden vorangehenden Ungleichungen liefert für l = l max
D l < ((1 + ε) γ k ) 2k
k−1 +2k D l+1 = ((1 + ε) γ k ) 2k2
k−1 Dl+1 .
Weil (6.6) für l max gilt, muss (6.6) für alle l = 1, ..., h − 1 gelten.
1. Weil R 1 HKZ-Basis ist, folgt aus (6.6) für l = 1, ..., h dass
Multiplikation dieser h Ungleichungen liefert
Es folgt die Behauptung
‖b 1 ‖ 2 ≤ γ k D 1/k
1 ≤ γ k ((1 + ε) γ k ) 2k(l−1)
k−1 D 1/k
l
.
‖b 1 ‖ 2h ≤ γk h((1 + ε) γ k) kh(h−1)
k−1 (det L) 2/k.
‖b 1 ‖ 2 ≤ γ k ((1 + ε) γ k ) n−k
k−1 (det L) 2/n < ((1 + ε) γ k ) n−1
k−1 (det L) 2/n .
2. Im Beweis zu 1. wurde für l = h − 1 gezeigt
‖b 1 ‖ 2 ≤ γ k ((1 + ε) γ k ) 2k(h−2)
k−1 D 1/k
h−1 .
Aus 2 + für l = h − 1 folgt (6.5) und (6.7) für l = h − 1. Dies und 2 + impliziert dass
‖b 1 ‖ 2 ≤ γ k ((1 + ε) γ k ) 2k(h−2)
k−1 + 2
k−1 (D
′
h−1
) 1/k
≤ γ k ((1 + ε) γ k ) 2kh−4k+2)
k−1 (1 + ε)γ k r 2 n−k+1,n−k+1 .
= ((1 + ε) γ k ) 2 n−k
k−1 r
2
n−k+1,n−k+1
.
O.B.d.A. ist π n−k+1 (b) ≠ 0 für ein b ∈ L mit ‖b‖ = λ 1 , sonst kann man n um k erniedrigen. Somit
gilt r n−k+1,n−k+1 ≤ ‖π n−k+1 (b)‖ ≤ λ 1 . Die letzten beiden Ungleichungen liefern die Behauptung
‖b 1 ‖ ≤ ((1 + ε) γ k ) n−k
k−1 λ1 .

6.4. BLOCK-KORKINE ZOLOTAREFF REDUKTION, BKZ 57
Algorithmus 6.3.2, Beschleunigte, Streng Primal-Duale Reduktion
EINGABE LLL-Basis B = QR ∈ Z m×n , n = hk, ε > 0.
1. Wähle l, 1 ≤ l < n so dass D l /D l+1 maximal ist.
2. HKZ-reduziere R l+1 zu R l+1 T mit T ∈ GL k (Z), B l+1 := B l+1 T, erneuere R l+1 .
HKZ-reduziere (R ′ l )∗ zu (R ′ l )∗ T ⋆ mit T ⋆ ∈ GL k (Z), [r neu
kl+i,kl+j ] 2≤i,j≤1+k := GNF(R ′ l T−1 ⋆ U k ),
3. IF rkl+1,kl+1 neu
alt
> (1 + ε) rkl+1,kl+1
THEN B′ l := B′ l T −1
l
U k , erneuere R l,l+1 , GO TO 1
4. Führe die Schritte 2, 3 für l = h − 1 durch, falls dies für das aktuelle R h−1,h noch aussteht;
längenreduziere B.
AUSGABE streng primal-duale Basis B.
Satz 6.3.5
Alg. 6.3.2 führt höchstens
n 2 h
6 log 1+ε α Iterationen durch bis D B ≤ 1 erreicht ist.
Beweis.
Analog zu Satzc 6.2.4 Teil 2; δ k2
B in Alg. 6.2.1 entspricht (1 + ε)2 .
6.4 Block-Korkine Zolotareff Reduktion, BKZ
Definition 6.4.1 (k-reduzierte Basis)
Eine Basis [b 1 , . . . , b n ] = B = QR ∈ R m×n ist k-reduziert, wenn
1. |r i,j | ≤ 1 2 r i,i für 1 ≤ i < j ≤ n
2. Die Basen [r i,j ] l

58 KAPITEL 6. HKZ- UND BLOCK-REDUKTION VON GITTERBASEN
Verdoppelung der Blockweite k reduziert somit den Approximationsfaktor γ 2 n−i
k−1
k
die Quadratwurzel multiplixiert mit 2 2/k .
Wie für LLL- und HKZ-Basen sind die oberen Schranken zu ‖bi‖2
λ i(L) 2
Satz 6.4.4
Für jede k-reduzierte Basis b 1 , . . . , b n des Gitters L gilt
λ i (L) 2 / ‖b i ‖ 2 ≤ γ 2 i−1
k−1 i+3
k 4
für i = 1, . . . , n.
und λi(L)2
‖b i‖ 2
annähernd auf
fast gleich.
Die Werte γ 2
k−1
k
sind bekannt für k = 2, 3, . . . , 8, 24:
k 2 3 4 5 6 7 8 24
γ 2
k−1
k
4
3
2 1/3 2 1/3 2 3/10 2 2/5 /3 15 2 2/7 2 2/7 2 4/23
≈ 1, 333 1, 260 1, 260 1, 231 1, 226 1, 219 1, 219 1.128
Ajtai [Aj03] zeigt, dass die Schranken von Satz 6.4.3 bis auf einen konstanten Faktor im Exponenten
von γ k optimal sind. Dagegen sind die minimalen oberen Schranken C k,n zum Satz 6.4.3
nicht bekannt Die Schranke aus Satz 6.4.3 ist für n ≥ 3 nicht scharf. Es gilt dass C 2,n = ( )
4 n−1
3
[BaKa84] und C 3,n =
( √3/2 ) n−3
für ungerade n ≥ 3 [S94].
Lemma 6.4.5
Für jede k-reduzierte Basis b 1 , . . . , b n ∈ R m gilt ‖b 1 ‖ ≤ γ n−1
k−1
k
M mit
(
)
M := max ‖̂b n−k+2 ‖, . . . , ‖̂b n ‖ .
Beweis.
(6.8)
Wir erweitern die Basis b 1 , . . . , b n durch k − 2 linear unabhängige Vektoren zu
b −k+3 , . . . , b −1 , b 0 , b 1 , . . . , b n
so, dass gilt
(6.9)
(6.10)
‖b i ‖ = ‖b 1 ‖ für i ≤ 0
〈b i , b j 〉 = 0 für i ≤ 0, i < j und j = −k + 3, . . . , n.
Dazu betten wir die Basis in den R m+k−2 ein: Wir wählen b −k+3 , b −k+4 , . . . , b −1 , b 0 als ‖b 1 ‖-
Vielfaches der kanonischen Einheitsvektoren in die zusätzlichen k − 2 Richtungen. Die Gitterbasis
(6.8) ist k-reduziert. Für jedes i mit −k + 3 ≤ i ≤ n − k + 1 bilden die Vektoren
π i (b i ), . . . , π i (b i+k−1 )
eine HKZ-reduzierte Basis. Nach Definition der Hermite-Konstanten γ k gilt
k−1
∏
‖̂b i ‖ k ≤ γ k 2
k
s=0
‖̂b i+s ‖ für i = −k + 3, . . . , n − k + 1.
Durch Multiplikation dieser n − 1 Ungleichungen erhalten wir
n−k+1
∏
i=−k+3
‖̂b i ‖ k ≤ (γ k ) k(n−1)
2
‖̂b −k+3 ‖ 1 ‖̂b −k+4 ‖ 2 · · · ‖̂b 1 ‖ k−1

6.4. BLOCK-KORKINE ZOLOTAREFF REDUKTION, BKZ 59
Durch Kürzen folgt
· ‖̂b 2 ‖ k ‖̂b 3 ‖ k · · · ‖̂b n−k+1 ‖ k ‖̂b n−k+2 ‖ k−1 · · · ‖̂b n−1 ‖ 2 ‖̂b n ‖ 1 .
‖̂b −k+3 ‖ k−1 · · · ‖̂b 0 ‖ 2 ‖̂b 1 ‖ 1 ≤ (γ k ) k(n−1)
2
‖̂b n−k+2 ‖ k−1 ‖̂b n−k+2 ‖ k−1 · · · ‖̂b n−1 ‖ 2 · ‖̂b n ‖ 1 .
Nach Konstruktion gilt ‖̂b i ‖ = ‖b 1 ‖ für i ≤ 0 und es folgt
‖b 1 ‖ (k 2) ≤ (γk ) k(n−1)
2
· M (k 2) und somit ‖b1 ‖ ≤ γ n−1
k−1
k
M.
Korollar 6.4.6
Für jede k-reduzierte Basis b 1 , . . . , b n des Gitters L gilt
‖b 1 ‖ ≤ γ n−1
k−1
λ 1 (L).
k
Die Schranke von Korollar 6.4.6 ist suboptimal für k ≈ n denn für k = n gilt ‖b 1 ‖ = λ 1 . Sie ist
besser als die in Theorem 2.6 [S87] für den Fall k|n bewiesene Schranke ‖b 1 ‖ ≤ γ 1/2
k/2 (2k) n k −1 λ 1 .
Beweis. Induktion über n: Für n = k ist b 1 , . . . , b n eine HKZ-Basis mit ‖b 1 ‖ = λ 1 (L) und
somit gilt die Behauptung.
Sei n > k und v ≠ 0 ein kürzester Gittervektoren. O.B.d.A. sei v /∈ L(b 1 , b 2 , . . . , b n−1 ), denn
sonst folgt die Behauptung aus der Induktionsannahme für n − 1. Wegen v /∈ L(b 1 , . . . , b n−1 ) gilt
π i (v) ≠ 0 für i = n − k + 1, . . . , n − 1. Wir erhalten mit L i = π i (L) für i = n − k + 1, . . . , n:
λ 1 (L) = ‖v‖ ≥ λ 1 (L i ) = ‖̂b i ‖.
Die Gleichheit λ 1 (L i ) = ‖̂b i ‖ gilt, weil π n−k+1 { (b i ), für i = n − k + 1, . .}
. , n HKZ-Basis ist. Für
das M von Lemma 6.4.5 gilt λ 1 (L) ≥ max ‖̂b i ‖ : i = n − k + 1, . . . , n = M. Somit folgt die
Behauptung aus Lemma 6.4.5:
‖b 1 ‖ ≤ (γ k ) n−1
k−1
· M ≤ (γ k ) n−1
k−1
· λ 1 (L).
Beweis (zu Satz 6.4.3). . Korollar 6.4.6 liefert für die Gitter L i = π i (L) mit i = 1, . . . , n:
(6.11)
‖̂b i ‖ ≤ γ n−i
k−1
k
λ 1 (L i )
Ferner ist λ 1 (L i ) ≤ λ i (L), denn es gibt i linear unabhängige Gittervektoren v, deren Länge
höchstens λ i (L) ist und von denen ein Vektor π i (v) ≠ 0 erfüllt. Also λ 1 (L i ) ≤ π i (v) ≤ λ i (L).
Wir erhalten die erste Behauptung, daß für i = 1, . . . , n gilt:
‖̂b i‖ 2
λ i(L) 2
≤ γ
n−i
2· k−1
k
.
Aus (6.11), µ 2 i,j ≤ 1 4 (die Basis ist längenreduziert) und λ 1 ≤ λ 2 ≤ · · · ≤ λ j folgt:
∑i−1
‖b i ‖ 2 = ‖̂b i ‖ 2 + (µ i,j ) 2 ‖̂b j ‖ 2
j=1
n−i
2·
∑i−1
k−1
≤ γk · λ i (L) 2 + 1 n−j
2· k−1
4
γk · λ j (L) 2
≤ γ 2·
n
k−1
k
·
(
γ
−i
2· k−1
k
+ 1 4
j=1
∑i−1
γ
j=1
−j
2· k−1
k
)
· λ i (L) 2
Wir schätzen die Summanden durch γ
‖b i ‖ 2 ≤ γ 2·
−1
2· k−1
k
n
k−1
k
· γ
nach oben ab und erhalten:
(
1 + i − 1 )
· λ i (L) 2
4
−1
2· k−1
k
·
n−1
2· k−1
≤ γk · i + 3 · λ i (L) 2
4
Damit haben wir die zweite Behauptung auch gezeigt.

60 KAPITEL 6. HKZ- UND BLOCK-REDUKTION VON GITTERBASEN
Beweis (zu Satz 6.4.4). Nach Definition der sukzessiven Minima gilt λ 2 i ≤ max j=1,...,i ‖b j ‖ 2 .
Für B = QR, R = [r i,j ] ∈ R n×n gilt ‖b i ‖ 2 = ∑ i
j=1 r2 j,i ≤ 1 ∑ n
4 j=1 r2 j,j und somit
(6.12)
λ 2 i ≤ i+3
4 · max
j=1,...,i ‖̂b j ‖ 2
Lemma 6.4.5 angewandt auf die k-reduzierte Basis π j (b j ), . . . , π j (b i ) liefert für 1 ≤ j ≤ i − k + 1:
(6.13)
Andererseits gilt für i − k + 2 ≤ j ≤ i
‖̂b j ‖ ≤ γ i−j
k−1
k
max(‖̂b i−k+2 ‖, . . . , ‖̂b i ‖).
(6.14)
‖̂b j ‖ ≤ ‖π j (b j )‖ ≤ ‖b i ‖
Aus (6.13) und (6.14) erhalten wir für 1 ≤ j ≤ i: ‖̂b j ‖ ≤ γ i−j
k−1
k
‖b i ‖. Diese Ungleichung liefert mit
(6.12) die Behauptung, daß für i = 1, . . . , n gilt:
λ i (L) 2 / ‖b i ‖ 2 ≤ γ 2 i−1
k−1
k
6.5 BKZ-Algorithmus
i+3
4 .
Definition 6.5.1 ((k, δ)-reduzierte Basis)
Eine Basis B = QR ∈ R m×n ist (k, δ)-reduziert zu 2 ≤ k ≤ n und 1 4 < δ < 1 wenn
1. |r i,j | ≤ 1 2 r i,i für 1 ≤ i < j ≤ n,
2. δ r 2 j,j ≤ λ 1 ( π j L(b j , . . . , b j+k−1 )) 2 für j = 1, . . . , n − k + 1.
Algorithmus 6.5.1, BKZ-Algorithmus
EINGABE: LLL-Basis [b 1 , . . . , b n ] = B = QR ∈ Z m×n , 2 ≤ k ≤ n,
1
4 < δ < 1.
FOR j = 1, ..., n − 1 DO
¯j := min(j + k − 1, n)
IF some b j
ENUM(j, ¯j) : Find minimal point (u j , . . . , u¯j) ∈ Z k \ {0} of:
c j (u j , . . . , u¯j) := ∑¯j
i=j
b neu
j
∑ i
s=j (u ir s.i ) 2 = ‖π j ( ∑¯j
i=j u ib i )‖ 2 ,
:= ∑¯j
s=j u sb s , c j := c j (u j , . . . , u¯j) .
IF δc j > c j THEN L 3 F P (b 1 , . . . , b j−1 , b neu
j , b j , . . . , b j+k , δ)
ELSE L 3 F P (b 1 , . . . , b j+k , δ)
has been changed THEN repeat with the new basis B ELSE terminate
AUSGABE (k, δ)-reduzierte Basis b 1 , . . . , b n .
Der Algorithmus 6.5.1 aus [SE94] transformiert eine gegebene Basis in eine (k, δ)-reduzierte
Basis des gleichen Gitters. Die Routine L 3 F P aus Kapitel 4.4 macht LLL-Reduktion mit Gleitkommazahlen;
Sie transformiert linear abhängige Eingabevektoren in eine Basis mit vorangehenden
Nullvektoren. Die Routine ENUM(j, ¯j) minimiert c j (u j , . . . , u¯j), siehe Algorithmus 8.1.1 und
GAUSS-ENUM in Kapitel 8.
Offenbar ist eine Ausgabebasis (k, δ)-reduziert. Die Variable j wird zyklisch durch die Zahlen
1, . . . , n − k + 1 geschoben. Durch LLL-Reduktion wird die Ausgabebasis längenreduziert. In der
Praxis [SE94, GN08a] ist der Algorithmus für k ≤ 20 recht schnell. Zu experimentell erreichten
Approximationsfaktoren ‖b 1 ‖/λ 1 und Laufzeiten siehe [GN08a].

6.6. KRITISCHE K-REDUZIERTE BASEN FÜR K = 2, 3 61
6.6 Kritische k-reduzierte Basen für k = 2, 3
In diesem Abschnitt konstruieren wir kritische k-reduzierte Basen für k = 2, 3.
Definition 6.6.1 (kritische k-reduzierte Basis)
Eine k-reduzierte Basis b 1 , . . . , b n des Gitters L heißt kritisch für n und k, falls ‖b1‖
λ maximal
1(L)
für alle k-reduzierten Basen vom Rang n ist.
Für k = 2 konstruieren wir die Basismatrix A n := [b 1 , . . . , b n ] ∈ M n,n (R) wie folgt. Sei ρ :=
(6.15)
Es gilt
⎡ 1
⎤
1
2
0 · · · · · · 0
1
0 ρ
2 ρ . .. 0 .
A n :=
. 0 ρ 2 1 . .. 2 ρ2 .
. . . .. . .. . .. 0
⎢
⎣
. ⎥
.
.. ρ
n−2 1
2 ρn−2 ⎦
0 · · · · · · · · · 0 ρ n−1
⎡
A 2 := ⎢
⎣0
1
1
2
√
3
4
⎤
⎥
⎦
√
3
4 :
und für n ≥ 2 die Rekursion:
⎡
⎤
1
1
2
0 · · · 0
0
A n := ⎢
⎥
⎣. ρ · A n−1
⎦
0
Satz 6.6.2
√
3
Für die Basismatrix A n = [b 1 , . . . , b n ], des Gitters L = L(b 1 , . . . , b n ) und ρ =
4 gilt
1. b 1 , . . . , b n ist eine kritische, 2-reduzierte Basis,
2.
‖b 1 ‖
λ 1 (L) = 1
ρ n−2 = ρ−n+2 ,
3. λ 1 (L) = ρ 2(n+2) ( 1
4 + ρ2) = ρ 2(n+2) .
Beweis. Siehe [S94, Theorem 9].
Für k = 3 definieren wir die Basismatrix B n := [b 1 , . . . , b n ] ∈ M n,n (R) wie folgt (zur Konstruktion
siehe [S94]):
⎡
1 1
⎤
1
2 2
0
√ 0 3 −1
2 2 √ 1
3 2 √ 3
B 4 :=
√ √
(6.16)
2 1 2
0 0
3 2 3
⎢
⎥
⎣
1
0 0 0 √2
⎦

62 KAPITEL 6. HKZ- UND BLOCK-REDUKTION VON GITTERBASEN
Die Matrizen B 2 , B 3 seien die 2 × 2- bzw. 3 × 3-Matrizen in der linken, oberen Ecke von B 4 . Für
n ≥ 4 definieren wir die Basismatrix B n rekursiv:
(6.17)
⎡
1
1
2
0
B n :=
0 0
. .
⎢
⎣
0 0
√
3
2
1
⎤
2
0 0 · · · 0
1
2 √ 0 · · · 0
3
√
2
3 · B n−2
⎥
⎦
−1
2 √ 3
Satz 6.6.3
Die Basismatrix B 2k+1 = [b 1 , . . . , b 2k+1 ] aus (6.17) bzw. (6.16) ist für k = 1, 2, . . . eine kritische,
3-reduzierte Basis.
Beweis. Siehe [S94, Theorem 14].

Kapitel 7
N P-vollständige Gitterprobleme
7.1 N P-Vollständigkeit von Rucksack.
Sei Σ endl. Alphabet, o.B.d.A. Σ = {0, 1}. Es bezeichne P die Klasse der polynomial-Zeit entscheidbaren
Sprachen L ⊂ Σ ∗ , d.h.
L ∈ P gdw ∃ Turing Maschine M, welche x ↦→ χ L (x) in |x| O(1) Turingschritten
berechnet. D.h. ∃c > 0, so dass die Schrittzahl der Berechnung
x ↦→ χ L (x) höchstens c|x| c ist. Dabei ist |x| die Länge von x ∈ Σ ∗ .
Die Klasse N P der nichtdeterministischen polynomial-Zeit Sprachen:
L ∈ N P gdw ∃c > 0 : ∃R ⊂ Σ ∗ × Σ ∗ polynomial-Zeit entscheidbar so dass
L = {x ∈ Σ ∗ | ∃y : |y| ≤ |x| c , (x, y) ∈ R}
Offenbar gilt P ⊂ N P.
(y ist Zeuge für x ∈ L).
Karp-Reduktion. Sei A, B ⊂ Σ ∗ . A ist Karp-reduzierbar auf B, Bez.: A ≤ pol B, wenn
∃ polynomial Zeit berechenbares f : Σ ∗ → Σ ∗ , so dass x ∈ A ⇐⇒ f(x) ∈ B für alle x ∈ Σ ∗ .
Fakt A ≤ pol B,
B ∈ P ⇒ A ∈ P
A ≤ pol B ≤ pol C ⇒ A ≤ pol C.
Definition 7.1.1
L ∈ N P ist N P-vollständig, wenn A ≤ pol L für alle A ∈ N P.
Fakt Sei A ≤ pol B und A L-vollständig, dann ist B N P-vollständig.
Satz 7.1.2 (Cook, Levin 1973)
Für jedes N P-vollständige L gilt L ∈ P gdw P = N P.
Cook’sche Hypothese. P ≠ N P.
Begründung: Schwierige N P-Probleme sind seit Jahrhunderten bekannt, z.B. Entscheide zu
gegebenen n, s ∈ N : ∃ Primzahl p ≤ s mit p teilt n.
Satz 7.1.3 (Cook, Karp 1973)
{
∣ }
∣∣∣
Rucksack := (a 1 , . . . , a n , b) ∈ N n+1 ∃x 1 , . . . , x n ∈ {0, 1} :
Σ n i=1 a ist N P-vollständig.
ix i = b, n ∈ N
63

64 KAPITEL 7. N P-VOLLSTÄNDIGE GITTERPROBLEME
Cook zeigte : SAT ist N P-vollständig, Karp zeigte: SAT ≤ pol Rucksack.
7.2 N P-Vollständigkeit von SVP l∞ , CVP l∞ , CVP l2 .
Siehe Micciancio, Goldwasser, Complexity of Lattice Problems, KAP 2002 [MG02], Kapitel 3, 4.
Wir formulieren SVP ‖ ‖ , CVP ‖ ‖ als Sprachen
CVP ‖ ‖ = {(B, y, t) ∈ Z m×n+m+1 | ∃x ∈ Z n : ‖Bx − y‖ ≤ t}
SVP ‖ ‖ = {(B, t) ∈ Z m×n+1 | ∃x ∈ Z n \{0} : ‖Bx‖ ≤ t}.
Satz 7.2.1
SVP l∞ , CVP l∞
sind N P-vollständig.
Beweis.
I. Rucksack ≤ pol SVP ‖ ‖∞ . Reduziere gemäß f : (a 1 , . . . , a n , b) ↦→ (B, 1) mit
⎡
B = [b 1 , . . . , b n+1 ] =
⎢
⎣
2 1
. .. O .
O 2 1
2a 1 · · · 2a n 2b
0 · · · 0 1
⎤
∈ Z (n+2)(n+1) .
⎥
⎦
Beh.: (a 1 , . . . , a n , b) ∈ Rucksack ⇔ λ 1,∞ (L(B)) = 1.
Bew.: “ ⇒“ (trivial) Sei (x 1 , . . . , x n ) ∈ {0, 1} n Rucksacklösung, Σ n i=1 a ix i = b. Dann gilt für
x := (x 1 , . . . , x n , −1) t , dass
Bx = Σ n i=1b i x i − b n+1 , ‖Bx‖ ∞ = 1 ,
denn |2x i − 1| = 1 für x i ∈ {0, 1} und 2(Σ n i=1 a ix i − b) = 0.
“ ⇐” Ang. ‖Σ n+1
i=1 x ib i ‖ ∞ = 1. Wir zeigen 1. x 1 , . . . , x n ∈ {0, 1}, 2. Σ n i=1 a ix i = b.
1. Offenbar gilt |2x i − 1| ≤ 1 für i = 1, . . . , n. Aus 2x i − 1 = 0 folgt der Widerspruch x i = 1 2 .
Somit gilt 2x i − 1 = ±1 und x i ∈ {1, 0} für i = 1, . . . , n. Offenbar sichert die letzte Zeile von B,
dass |x n+1 | = 1.
2. O.B.d.A. sei x n+1 = −1. Wegen |x n+1 | ≤ 1, x n+1 ≠ 0 liefert die Multiplikation von x mit
−sign(x n+1 ) dass x n+1 = −1. Aus 2 | ∑ n
i=1 a ix i − b| ≤ 1 folgt ∑ n
i=1 a ix i = b.
II. Rucksack ≤ pol CVP l∞ : Reduziere gemäß f : (a 1 , . . . , a n , b) ↦→ (B ′ , y, 1) mit
⎡
⎤
2 1
[B ′ . .. , y] = ⎢
O .
⎥
⎣ O 2 1 ⎦ ∈ Z(n+1)2 .
2a 1 · · · 2a n 2b
Wir zeigen: (a 1 , ..., a n , b) ∈ Rucksack ⇔ (B ′ , y, 1) ∈ CVP.
“⇒” trivial. “⇐” Aus ‖B ′ x − y‖ ∞ = 1 folgt (a 1 , . . . , a n , b) ∈ Rucksack nach Teil I des Beweises.
Satz 7.2.1 wurde von van Emde Boas [EmBoas 81] bewiesen. Er ist wichtig für den Fall,
dass man Quantencomputer bauen kann. Für Quantencomputer sind Faktorisieren ganzer Zahlen,
Brechen von RSA, Diskreter Logarithmus in pol.-Zeit. Aber P ≠ N P, d.h. P Qu ≠ N P Qu gilt
wohl weiter.

7.2. N P-VOLLSTÄNDIGKEIT VON SVP l∞ , CVP l∞ , CVP l2 . 65
Satz 7.2.2
CVP l2 ist N P-vollständig,( l 2 = ‖ ‖ ).
Beweis. Wir zeigen Rucksack ≤ pol CVP l2 und reduzieren gemäß f : (a 1 , . . . , a n , b) ↦→ (B ′ , y, √ n)
mit
⎡
⎤
2 1
[B ′ . .. , y] = ⎢
O .
⎥
⎣ O 2 1 ⎦ ∈ Z(n+1)2 .
2a 1 · · · 2a n 2b
Zu zeigen: (a 1 , . . . , a n , b) ∈ Rucksack ⇔ (B ′ , y, √ n) ∈ CVP l2 .
“⇒” Sei (a 1 , . . . , a n , b) ∈ Rucksack und Σ n i=1 a ix i = b, x i ∈ {0, 1} Rucksacklösung. Es folgt
‖ ∑ n
i=1 b ix i − b n+1 ‖ = ‖(±1, . . . , ±1, 0)‖ = √ n.
“⇐” Ang. ‖Σ n i=1 b ix i −y‖ 2 ≤ √ n für x 1 , . . . , x n ∈ Z. Es folgt ‖Σ n i=1 b ix i −y‖ = √ n und x i ∈ {0, 1},
somit Σ n i=1 a ix i = b.
Vergleich CVP, SVP für die l 2 -Norm. SVP ist nicht schwieriger als CVP, es gilt
SVP ≤ pol,multi CVP, d.h. SVP ≤ Cook CVP, siehe [MG02, Sektion 4]. Wir vereinfachen SVP und
CVP zu GAP-SVP γ und GAP-SVP γ mit γ ≥ 1.
GAP-SVP γ -Problem. Gesucht ist ein deterministischer Algorithmus, der alle Ja-Instanzen akzeptiert
und alle Nein-Instanzen ablehnt und beliebig reagiert, falls die Eingabe weder Ja- noch
Nein-Instanz ist.
Ja-Instanzen sind Paare (B, t) ∈ Z m×n+1 , so dass ∃x ∈ Z n \{0} : ‖Bx‖ ≤ t.
Nein-Instanzen sind Paare (B, t) ∈ Z m×n+1 , so dass ∀x ∈ Z n \{0} : ‖Bx‖ ≥ γt.
GAP-CVP γ -Problem. Gesucht ist ein deterministischer Algorithmus, der alle Ja-Instanzen akzeptiert
und alle Nein-Instanzen ablehnt und beliebig reagiert, falls die Eingabe weder Ja- noch
Nein-Instanz ist.
Ja-Instanzen sind Tripel (B, y, t) ∈ Z m×n+m+1 mit ∃x ∈ Z n : ‖Bx − y‖ ≤ t.
Nein-Instanzen sind Tripel (B, y, t) ∈ Z m×n+m+1 mit ∀x ∈ Z n : ‖Bx − y‖ ≥ γt.
Satz 7.2.3
GAP-CVP √ ist N P-hart.
1+8/n
Beweis.
Wir zeigen Rucksack ≤ pol GAP-CVP √ 1+8/n , es folgt N P ≤ pol GAP-CVP √ 1+8/n . Wir
reduzieren gemäß f : (a 1 , . . . , a n , b) ↦→ (B ′ , y, √ n) mit
⎡
⎤
2 1
[B ′ . .. |y] := ⎢
O .
⎥
⎣ O 2 1 ⎦ ∈ Z(n+1)2 .
3 a 1 · · · 3 a n 3 b
Korrektheit der Reduktion.
(a 1 , . . . , a n , b) ∈ Rucksack ⇒ (B ′ , y, √ n) Ja-Instanz, d.h. ∃x ∈ {0, 1} n : ‖B ′ x−y‖ ≤ √ n.
(a 1 , . . . , a n , b) ∉ Rucksack ⇒ (B ′ , y, √ n) Nein-Instanz. (wird wie folgt gezeigt)
Im Fall (a 1 , . . . , a n , b) ∉ Rucksack gilt für x ∈ Z n entweder ∃i : x i ∉ {0, 1}, somit |2x − 1| ≥ 3,

66 KAPITEL 7. N P-VOLLSTÄNDIGE GITTERPROBLEME
|2x i − 1| 2 ≥ 9 = 1 + 8, oder ∑ n
i=1 a ix i ≠ b, somit 9(Σ n i=1 a ix i − b) 2 ≥ 9. Wegen |2x i − 1| ≥ 1 für
x i ∈ Z folgt ∀x ∈ Z n : ‖B ′ x − y‖ ≥ √ n + 8. Somit ist (B ′ , y, √ n) Nein-Instanz.
Satz 7.2.4 (MG02, Cor. 3.9, 3.11)
GAP-CVP γ ist N P-hart für γ = c log n und γ = (log n) c für alle c > 0.
Satz 7.2.5 (Ajtai 1998, Micciancio 2001, MG02, Sektion 4)
GAP-SVP γ ist für γ < √ 2 N P-hart bzgl. probabilistischen Karp-Reduktionen.
Satz 7.2.6 (Khot 2005)
GAP-SVP γ ist für beliebige γ > 1 N P-hart bzgl. probabilistischen Karp-Reduktionen.
Die probabilistischen Karp-Reduktionen von Khot erzeugen recht große Zahlen polynomialer
Länge.
Probabilistische Karp-Reduktionen werden erklärt wie ≤ pol , aber die pol. Zeit Transformation
f = f(x, w) benutzt einen Münzwurf w. Der Satz von Ajtai-Micciancio zeigt
Rucksack, N P ≤ pol,prob. SVP l2 .
Die Reduktion Rucksack ≤ pol SVP konnte bisher nur für probabilistische Karp-Reduktionen
gezeigt werden. Man reduziert Rucksack auf das CVP-Problem eines Gitters L(b 1 , ..., b n+1 ) und
benötigt für die Korrektheit, dass λ 1 (L(b 1 , ..., b n )) > √ 2n. Diese Bedingung kann man nur probabilistisch
sichern. Wir geben die Reduktion ohne diese nicht triviale Bedingung zu sichern. Wir
reduzieren Rucksack auf SVP durch die Reduktion
f : (a 1 , . . . , a n , b) ↦→ (B, √ n) mit
B = [b 1 , . . . , b n+1 ] =
⎡
⎢
⎣
2 1
. .. O .
√
O
√
2
√
1
n a1 · · · n an
√ n b
0 · · · 0 n
⎤
∈ R (n+2)×(n+1) .
⎥
⎦
Satz 7.2.7
Rucksack ≤ pol SVP falls für (a 1 , ..., a n , b) ∈ Rucksack und f(a 1 , ..., a n , b) := ([b 1 , ..., b n+1 ] gilt
dass λ 1 (L(b 1 , ..., b n )) > √ 2n.
Beweis. (a 1 , . . . , a n , b) ∈ Rucksack impliziert (B, √ 2n) ∈ SVP, denn für jede Rucksack-Lösung
Σ n i=1 a ix i = b, x i ∈ {0, 1} gilt |2x i − 1| = 1 und
‖Σ n i=1b i x i − b n+1 ‖ = ‖(±1, . . . , ±1, 0, √ n)‖ = √ 2n.
Umgekehrt sichert λ 1 (L(b 1 , ..., b n )) > √ 2n dass (B, √ 2n) ∈ SVP ⇒ (a 1 , . . . , a n , b) ∈ Rucksack:
Angenommen ‖Σ n i=1 b ix i + b n+1 x n+1 ‖ ≤ √ 2n. Wegen λ 1 (L(b 1 , ..., b n )) > √ 2n gilt ∑ n
i=1 a ix i +
x n+1 b = 0 mit x n+1 ≠ 0, dabei gilt |x n+1 | ≤ 1, denn andernfalls wäre ‖Σ n i=1 b ix i + b n+1 x n+1 ‖ ≥
2 √ n > √ 2n.
Sei O.B.d.A. x n+1 = −1. Es folgt |2x i − 1| = 1 für i = 1, . . . , n, somit x i ∈ {0, 1}. Also
(a 1 , . . . , a n , b) ∈ Rucksack.

Kapitel 8
Konstruktion eines kürzesten
Gittervektors
Die Algorithmen zur Blockreduktion benötigen einen kürzesten Gittervektor ungleich 0. Alg. 8.1.1
Enum [SE94, SH95] findet einen kürzesten Gittervektor durch vollständige Aufzählung kurzer
Gittervektoren. Die Laufzeit von Enum ist im worst case exponentiell n n/2+o(n) . New Enum’s
Laufzeit ist unter GSA und der Volumen Heuristik polynomiell für Gitter L kleiner Dichte, so
dass ‖b 1 ‖ eπ √ n ≤ γn 1/2 (det L) 1/n zu gegebenem b 1 [S10]. New Enum führt die Stufen (u t , ..., u n )
geordnet nach aufsteigendem t und zu festem t mit absteigender Erfolgsquote β t durch.
8.1 Algorithmus mit vollständiger Aufzählung
Gegeben sei eine Basis B = [b 1 , . . . , b n ] = QR ∈ R m×n . Wir berechnen ein b ∈ L(B) mit ‖b‖ =
l 2 (b) = λ 1 (L). Sei b 1 , . . . , b n ∈ R m die Basis mit zugehörigem Orthogonalsystem ̂b 1 , . . . , ̂b n und
Gram-Schmidt-Koeffizienten µ i,j , also b i = ∑ i
j=1 µ ̂b i,j j = ∑ i
j=1 r i,j/r i,îbj für i = 1, . . . , n.
Zur orthogonalen Projektion π i : R m → span(b 1 , . . . , b i−1 ) ⊥ bezeichne:
c t (u t , . . . , u n ) := ‖π t ( ∑ n
i=t u ib i )‖ 2 = ∑ n
i=t (∑ i
j=t u ir j,i ) 2 .
Die Funktion u ′ := next(u, r) liefert zu u ∈ Z und r ∈ R die in der Reihenfolge nach u
betragsmäßig nächste, ganze Zahl zur reellen Zahl r (siehe Grafik 8.1.1). Es gilt:
• |u − r| ≤ |u ′ − r| ≤ |u − r| + 1
• sign(u ′ − r) ≠ sign(u − r)
Falls es zu r zwei ganze Zahlen mit Abstand 1 2
gibt, fordern wir zusätzlich, daß zunächst der
kleinere Wert gewählt wird, also aus |u − r| = |u ′ − r| folgt u < r < u ′ .
r
✛
✲
3. 1. 2. 4.
Z
Abbildung 8.1.1: Reihenfolge der Approximationen bei der Iteration u ′ := next(u· , r)
67

68 KAPITEL 8. KONSTRUKTION EINES KÜRZESTEN GITTERVEKTORS
Algorithmus 8.1.1, Enum [SE94],
EINGABE: B = QR ∈ Z m×n , R = [r i,j ] 1≤i,j≤n ∈ R n×n .
1. FOR i = 1, . . . , n DO ˜c i := u i := ũ i := y i := 0.
Finden eines kürzesten Gittervektors
2. t := 1, ũ 1 := u 1 := 1, c min
1 := ˜c 1 := r 2 1,1. /⋆ stets ist ˜c t = c t (ũ t , . . . , ũ n ) und
3. WHILE t ≤ n DO
3.1 ˜c t := ˜c t+1 + (y t + ũ t )rt,t
2
3.2 IF ˜c t < c min
1 THEN
IF t > 1 THEN t := t − 1, y t :=
c min
1 = c 1 (u 1 , ..., u t ) ist aktuelles Minimum von c 1 ⋆/
n ∑
i=t+1
ũ i r t,i /r t,t , ũ t := ⌊−y t ⌉
ELSE c min
1 = ˜c 1 , FOR i = 1, . . . , n DO u i := ũ i
{
ũ t + 1 falls t = t max
ELSE, t := t + 1, ũ t :=
.
next(ũ t , −y t ) sonst
/⋆ t max bezeichne den bisherigen maximalen Wert von t vor der Erhöhung ⋆/
AUSGABE: Minimalstelle (u 1 , . . . , u n ) ∈ Z n \ {0} und Minimalwert c min
1 = λ 2 1 für Funktion c 1
Die Korrektheit von Alg. 8.1.1 folgt aus den folgenden Beobachtungen:
• Stets gilt: ˜c t = c t (ũ t , , . . . , ũ n ). Beweis durch Induktion über Anzahl der Iterationen. Durch
die Zuweisungen im ersten Schritt gelten die Behauptungen vor der ersten Iteration (Induktionsverankerung).
Induktionsschluß: Es gilt für y 1 :=
n ∑
i=t+1
ũ i r t,i dass
c t (ũ t , . . . , ũ n ) = c t+1 (ũ t+1 , . . . , ũ n ) + ( ∑ n
i=t
} {{ } ũir
) 2
t,i = ˜ct+1 + (y t + ũ t ) 2 rt,t.
2
nach Ind.Ann. = ˜c t+1
• Der Algorithmus zählt in Depth-First-Order alle Vektoren (ũ t , . . . , ũ n ) ∈ Z n−t+1 \ {0} für
t = 1, . . . , n auf mit c t (ũ t , . . . , ũ n ) < c min
1 (c min
1 ist das aktuelle Minimum der Funktion c 1 ).
Es werden nur Vektoren aufgezählt so dass ũ i > 0 für das größte i mit ũ i ≠ 0.
• Für feste ũ t+1 , . . . , ũ n liefert die Folge der ũ t -Werte, erzeugt durch next(·ũ t , −y t ) monoton
wachsende Werte |y t + ũ t |, c t (ũ t , . . . , ũ n ). Wenn ˜c t ≥ c min
1 für den aktuellen Vektor
(ũ t , . . . , ũ n ), dann kann die Aufzählung der weiteren ũ t -Werte entfallen.
8.2 Algorithmus mit geschnittener Aufzählung
Wir schneiden die Aufzählung an der Stelle (ũ t , ..., ũ n ) ab, wenn nach der Vol. Heur. ein kürzerer
Vektor ∑ n
i=1 ũib i nur mit Wahrscheinlichkeit < 2 −s zu gegebenem s zu erwarten ist, siehe [SH95].
8.2.1 Volumen-Heuristik und Gauß-ENUM
Folgendes Lemma geht auf C.F. Gauß zurück. Für nicht zufällige z ist es die Volumen-Heuristik.
Lemma 8.2.1 (Volumen-Heuristik)
Sei S ⊆ span(L) Jordan-meßbar, z ∈ R span(L)
mod L zufällig, dann gilt:
E z [ |(z + S) ∩ L|] = vol(S) / det L.

8.2. ALGORITHMUS MIT GESCHNITTENER AUFZÄHLUNG 69
Beweis.
Denn
1
det L =
Anzahl Gitterpunkte
Volumen Grundmasche
Anzahl Gitterpunkte
= .
Volumeneinheit
Angenommen, wir halten (ũ t , . . . , ũ n ) ∈ Z n−t+1 \ {0} fest und suchen ũ 1 , . . . , ũ t−1 ∈ Z mit
c 1 (ũ 1 , . . . , ũ n ) < c min
1 . Setze L t := L(b 1 , . . . , b t−1 )
Wir addieren zum gegebenem Gittervektor b = ∑ n
i=t ũib i einen Vektor b = ∑ t−1
i=1 ũib i ∈ L t so
daß ∥ ∥b + b ∥ 2 < c min
1 . Wir zerlegen b in orthogonale Anteile (es sei Q = [q 1 , ..., q n ] mit B = QR):
(8.1)
b =
∑t−1
n∑
n∑ n∑
ũ i r j,i q j + ũ i r j,i q j = −z + y
j=1 i=1
} {{ }
−z∈span(L t)
j=t i=t
} {{ }
y∈span(L t) ⊥
Wir suchen einen Punkt in (b + L t ) ∩ B t−1 (y, ρ t ) in der Kugel B t−1 (y, ρ t ) der Dimension t − 1
mit Mittelpunkt y und Radius ρ t = √ c min
1 − ˜c t . Es gilt für b = −z + y:
∣ ( b + L t
)
∩ Bt−1
(
y, ρt
)∣ ∣ =
∣ ∣Lt ∩ B t−1 (z, ρ t ) ∣ ∣ .
Die Grafik 8.2.1 verdeutlicht diese Aufgabe, hier ist S( √ c min
1 − ˜c t , y) = B t−1
(
y, ρt
)
, L = Lt .
✻
Punkt in b + L
7
✾
❖
y
0
z
b + span ( L )
✸
b ∈ L
✛
Sphäre in span(L)
S (√ c 1 − ˜c t , y ) mit Radius √ c 1
Abbildung 8.2.1: Volumenheuristik bei Gauß-ENUM
Wir wenden die Volumen-Heuristik an auf das Gitter L t und die Kugel B t−1 (0, ρ t ) und erhalten
für zufällige z ∈ span(L t ) die Erfolgsquote β t :
β t = E z
[ ∣ ∣
{
(ũ1 , . . . , ũ t−1 ) ∈ Z t−1
: c 1 (ũ 1 , . . . , ũ t−1 ) < c min
1
}∣] ∣ = Vt−1 ρ t−1 / det L t
t
Wir schneiden die weitere Aufzählung an der Stelle (ũ 1 , . . . , ũ t−1 ) ab, falls β t < 2 −s . Je größer
s, desto umfangreicher die Aufzählung. Für s = ∞ erhalten wir die vollständige Aufzählung.
Ersetzen von Schritt 3.2 in Alg. 8.1.1 durch
IF β t > 2 −s
THEN
liefert Alg. 8.2.1 genannt Gauß-ENUM [SH95].

70 KAPITEL 8. KONSTRUKTION EINES KÜRZESTEN GITTERVEKTORS
Algorithmus 8.2.1, Kürzester Gittervektor durch geschnittene Aufzählung
EINGABE: Basis B = QR ∈ Z m×n , R = [r i,j ] 1≤i,j≤n ∈ R n×n
1. FOR i = 1, . . . , n DO ˜c i := u i := ũ i := y i := 0.
2. ũ 1 := u 1 := 1, t := 1, c min
1 := ˜c 1 := ‖b 1 ‖ 2 /⋆ stets ist ˜c t = c t (ũ t , . . . , ũ n ) und
c min
1 = c 1 (u 1 , ..., u t ) ist aktuelles Minimum von c 1 ⋆/
3. WHILE t ≤ n DO
3.1 ˜c t := ˜c t+1 + (y t + ũ t ) 2 rt,t
2
3.2 IF β t ≥ 2 −s THEN
IF t > 1 THEN t := t − 1, y t := ∑ n
i=t+1 ũi r t,i /r t,t , ũ t := ⌊−y t ⌉
ELSE c min
1 = ˜c 1 FOR i = 1, . . . , n DO u i := ũ i
{
ũ t + 1 falls t = t max
ELSE t := t + 1, ũ t :=
next(ũ t , −y t ) sonst
/⋆ t max bezeichne den bisherigen maximalen Wert von t vor der Erhöhung ⋆/
AUSGABE: Wahrscheinliche Minimalstelle (u 1 , . . . , u n ) und Minimalwert c min
1 von c 1
Die Volumen Heuristik nimmt an, dass die orthogonale Projektion von b = ∑ n
i=t ũib i in L t =
L(b 1 , ..., b t−1 ) modulo —mathcalL t zufällig ist. Wenn aber (ũ t , ..., ũ n ) mit den Koordinaten eines
kürzesten Gittervektors übereinstimmt, dann ist diese orthogonale Projektion von b nach Längenreduktion
gegen b 1 , ..., b t−1 oft sehr klein und die Volumen Heuristik damit eher inkorrekt.
Aufzählung mit Zurücklegen, New Enum. In der Neufassung New Enum von [S10] wird
(ũ t , ..., ũ n ) im Falle β t < 2 −s nicht verworfen, sondern in eine Liste zur späteren Bearbeitung
zurückgelegt. Nach Ende der Bearbeitung mit dem Wert s wird s erhöht auf s := s + 1 und der
Aufzählungsprozess wird ausgehend von allen zurückgelegten (ũ t , ..., ũ n ) mit dem erhöhten s neu
initiiert und zwar in der Reihenfolge mit aufsteigendem t und bei festem t mit absteigendem β t .
Das Zurücklegen der (ũ t , ..., ũ n ) mit β t < 2 −s erfordert einen Speicherplatz der im allgemeinen
exponentiell in n ist. Diesen grossen Speicherbedarf kann man dadurch reduzieren, dass man das
Abspeichern der (ũ t , ..., ũ n ) unterlässt und nach Erhöhung von s den Algorithmus neu initiert.
Dabei werden die schon behandelten Werte (ũ t , ..., ũ n ) nochmals behandelt. Diese Wiederholung
erhöht die Laufzeit höchstens um den Faktor s des letzten s-Wertes. Dieser grösste s-Wert ist aber
höchstens O(n ln n) so dass die Laufzeit nur um einen polynomiellen Faktor wächst.
Ein einfache Abschneid-Methode (pruning) ersetzt die Bedingung IF β t ≥ 2 −s
Schritt 3.2 durch
IF c t ≤ n−t+1
n
c min
1 THEN
THEN von
Diese Bedingung wurde in [SE94] initiiert und in [NR10] analysiert. Nguyen und Regev zeigen in
[NR10], dass Modifizierung von Schritt 3.2 in
IF c t ≤ n−t+1
n
λ 2 1 THEN
ein kürzester Gittervektor von zufälligen Gittern mit Wahrscheinlichkeit 1/n gefunden wird. Für
dieses Abschneiden muss man entweder λ 1 kennen oder eine hinreichend gute Approximation von
λ 1 erraten.
In [SE94] wird Schritt 3.2 angewandt in der modifizierten Form
IF c t ≤ 1.05 n−t+1
n
c min
1 THEN
Mit diesem pruning wurden Subsetsum Probleme der Dimension ≤ 66 und fast aller Dichten
durch Konstruktion kürzester Vektoren des CJLOSS-Gitters fast immer gelöst [SE94]. Diese hohe
Erfolgswahrscheinlichkeit beim Finden eines kürzesten Gittervektors mit diesem pruning ist beweisbar
unter GSA und der Volumen-Heuristik, die Methode ist effektiv für Dimension n ≤ 250,
nach B. Lange, Februar 2011.

Kapitel 9
Gitterreduktion in beliebiger
Norm
Bisher haben wir Gitter bezüglich der Euklidischen Norm reduziert. In diesem Kapitel betrachten
wir allgemeine Normen. Besonders die sup-Norm ist von Interesse (siehe Kapitel 10). Bis auf
den Gauß-Reduktionsalgorithmus aus Kapitel 3 für aus zwei Vektoren bestehende Basen ist die
Reduktion in beliebiger Norm in der Praxis ”
schwierig“.
9.1 Grundbegriffe
Sei ‖·‖ : R m → R eine beliebige Norm, d.h. es gilt für alle u, v ∈ R m und µ ∈ R:
‖µv‖ = |µ| · ‖v‖
(positive Homogenität)
‖u + v‖ ≤ ‖u‖ + ‖v‖
(Dreiecksungleichung)
‖u‖ ≥ 0 für u ≠ 0 (positive Definitheit)
Wir definieren zu einer gegebenen fest geordneten Gitterbasis Abstandsfunktionen:
Definition 9.1.1 (Abstandsfunktion F i )
Sei b 1 , . . . , b n ∈ R m eine fest geordnete Gitterbasis. Die i-te Abstandsfunktion (auch Höhen- oder
Distanzfunktion) für 1 ≤ i ≤ n
F i : span(b 1 , . . . , b n ) → R
ist bezüglich der gegebenen Norm ‖·‖ definiert als:
F 1 (x) := ‖x‖
F i (x) :=
min
t 1,...,t i−1∈R
∥ x − ∑ ∥
i−1 ∥∥∥ t jb j = min F i−1 (x − tb i−1 )
j=1 t∈R
i = 2, 3, . . . , n
Die Höhe F i eines Vektors ist sein Abstand zu dem von b 1 , . . . , b i−1 erzeugten Unterraum.
Es gilt F i (x) = 0 genau dann, wenn x ∈ span(b 1 , . . . , b i−1 ). Man rechnet leicht nach, daß jede
Abstandsfunktion F i eine Norm auf span(b 1 , . . . , b i−1 ) ⊥ ist. Im Fall der Euklidischen Norm ist
F i (b i ) = ‖̂b i ‖ 2 . Die Determinante des Gitters L = L(b 1 , . . . , b n ) ist:
det L =
n∏
‖̂b i ‖ 2
i=1
71

72 KAPITEL 9. GITTERREDUKTION IN BELIEBIGER NORM
Wie sieht die Gleichung det L = ∏ i ‖̂b i ‖ bezüglich F 1 , . . . , F n aus? Zu gegebener Norm ‖·‖ definieren
wir:
S ‖·‖ (1) := {x ∈ R m : ‖x‖ ≤ 1}
Diese Menge ist konvex, nullsymmetrisch und abgeschlossen. Zu gegebener Norm ‖·‖ und Gitterbasis
b 1 , . . . , b n ∈ R m definiere
(9.1)
V i := vol {x ∈ span(b 1 , . . . , b i ) : ‖x‖ ≤ 1}
} {{ }
=span(b 1,...,b i)∩S ‖·‖ (1)
i = 1, . . . , n
Man beachte, daß sich Volumen stets auf die Euklidische Metrik bezieht.
Lemma 9.1.2
Für jede Basis b 1 , . . . , b n ∈ R m gilt:
2 n
n! ·
n∏
i=1
‖̂b i ‖ 2
F i (b i ) ≤ V n ≤ 2 n ·
n∏
i=1
‖̂b i ‖ 2
F i (b i )
Bevor wir das Lemma beweisen, eine Folgerung: Da V n unabhängig von der Basis ist, gilt:
Korollar 9.1.3
Seien b 1 , . . . , b n und b ′ 1, b ′ 2, . . . , b ′ n Basen des Gitters L, dann gilt:
m∏
m∏
F i (b i ) ≤ n! F i ′ (b ′ i)
i=1
i=1
oder
m∏
m∏
F i ′ (b ′ i) ≤ n! F i (b i )
i=1
i=1
Beweis (zu Lemma 9.1.2). Wir zeigen durch Induktion über n:
2 n
n! ·
n∏
i=1
‖̂b i ‖ 2
F i (b i ) ≤ V n ≤ 2 n ·
n∏
i=1
‖̂b i ‖ 2
F i (b i )
−
✛
b1
F 1(b 1)
✲
0 + b1
F 1(b 1)
Abbildung 9.1.1: Induktionsverankerung im Beweis zu Lemma 9.1.2
• Induktionsverankerung n = 1: Es gilt (vergleiche Abbildung 9.1.1):
V 1 = 2 · ‖b 1‖ 2
‖b 1 ‖ = 2 · ‖̂b 1 ‖ 2
F 1 (b 1 )
• Induktionsschluß von n − 1 auf n: Wir wählen einen Punkt z = b n − ∑ n−1
i=1 t ib i ∈ R n mit
‖z‖ = F n (b n ) (siehe Abbildung 9.1.2). Man erhält eine obere Schranke für V n durch:
V n ≤ 2 · V n−1 ·
‖̂b n ‖ 2
F n (b n )

9.1. GRUNDBEGRIFFE 73
z
♣♣
♣♣♣♣♣
♣
♣♣♣♣
♣♣♣
♣
♣♣♣ ♣♣♣ ♣♣♣♣ ♣♣♣♣
♣♣♣♣♣
♣
♣
♣♣
♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣
♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣
0
S n−1
✻ +
̂b n
F n(b n)
span(b 1 , . . . , b n−1 )
S n
❄−
̂b n
F n(b n)
Abbildung 9.1.2: Induktionsschluß im Beweis zu Lemma 9.1.2
Die konvexe Hülle von S n−1 und z (gepunktetes Gebiet in Abbildung 9.1.2) ist in S n enthalten.
Da es sich um eine Pyramide mit Grundfläche S n−1 und Höhe ‖̂b n‖ 2
F n(b n)
Es folgt wegen der Symmetrie:
V n−1
n · ‖̂b n ‖ 2
F n (b n ) = vol n (konvexe Hülle von S n−1 und z) ≤ V n
2
2 · Vn−1
n · ‖̂b n ‖ 2
F n (b n ) ≤ V n
Aus der Induktionsannahme erhalten wir:
[ ] [
V n ≥ 2 · Vn−1
n · ‖̂b n ‖
F n (b n ) ≥ 2
n · ‖̂b n ‖
·
F n (b n )
2 n−1
(n − 1)! ·
n−1
∏
i=1
‖̂b i ‖ 2
F i (b i )
]
= 2n
n! ·
handelt, gilt:
n∏
i=1
‖̂b i ‖ 2
F i (b i )
Für die obere Schranke betrachten wir den Quader mit Grundfläche S n−1 und Höhe
Da S n in zwei dieser Quader enthalten ist (siehe Abbildung 9.1.2), gilt:
Aus der Induktionsannahme erhalten wir:
V n ≤ 2 · V n−1 ·
Es gilt für das erste sukzessive Minimum:
V n ≤ 2 · V n−1 ·
‖̂b n ‖ 2
F n (b n )
n−1
‖̂b n ‖ 2
F n (b n ) ≤ 2 · ‖̂b n ‖ 2
F n (b n ) · ∏ ‖̂b i ‖ 2
2n−1 ·
F i (b i ) = 2n ·
i=1
n∏
i=1
‖̂b i ‖ 2
F i (b i )
‖̂b n‖
F n(b n) .
Satz 9.1.4 (Kaib 1994)
Für jede Gitterbasis b 1 , . . . , b n ∈ R m gilt:
min F i(b i ) ≤ λ 1,‖·‖ ≤
i=1,...,n
(
n! ·
n∏
F i (b i )
i=1
) 1
n

74 KAPITEL 9. GITTERREDUKTION IN BELIEBIGER NORM
Zum Vergleich für die l 2 -Norm: Wir wissen aus der Minkowski’schen Ungleichung 2.3.1 (Seite 23),
daß wegen λ 1,‖·‖ ≤ λ 2,‖·‖ ≤ · · · ≤ λ n,‖·‖ für das Gitter L = L(b 1 , . . . , b n ) gilt:
min
i=1,...,n ‖̂b i ‖ ≤ λ i,l2 ≤ (γ n ) 12 · (det L) 1 n
Beweis (zu Satz 9.1.4).
Betrachten wir beide Abschätzungen:
• Wir zeigen:
min
i=1,...,n F i(b i ) ≤ λ i,‖·‖
Sei b = ∑ n
i=1 t ib i ∈ L mit ‖b‖ = λ 1,‖·‖ . Setze s := max {i | t i ≠ 0}. Wegen t s ∈ Z \ {0} gilt:
Die Behauptung folgt aus:
λ 1,‖·‖ = ‖b‖ ≥ F s (b) = F s (t s b s ) = |t s | ·F s (b s ) ≥ F s (b s )
}{{}
≥1
min
i=1,...,n F i(b i ) ≤ F s (b s ) ≤ λ i,‖·‖
• Sei L = L(b 1 , . . . , b n ). Aus dem zweiten Satz von Minkowski [Mi1896] folgt wegen λ 1,‖·‖ ≤
λ 2,‖·‖ ≤ · · · ≤ λ n,‖·‖ :
(9.2)
V n · λ n 1,‖·‖ ≤ 2n · det L
Aus Lemma 9.1.2 wissen wir:
(9.3)
Aus det L = ∏ n
i=1 ‖̂b i ‖ 2 erhalten wir:
λ n 1,‖·‖ ≤ 2n · V −1
n ·
≤ 2 n ·
= n! ·
n!
2 n ·
n∏
i=1
F i (b i )
≥ 1
‖̂b i ‖ 2
V n
n∏
‖̂b i ‖ 2 (wegen (9.2))
i=1
(
n!
n∏
2 n ·
i=1
n∏
F i (b i )
i=1
) ( n
)
F i (b i ) ∏
· ‖̂b i ‖ 2
‖̂b i ‖ 2 i=1
(wegen (9.3))
Es gilt für das Produkt der sukzessiven Minima:
Satz 9.1.5
Für jede Gitterbasis b 1 , . . . , b n ∈ R m gilt:
1
n! ·
n∏
F i (b i ) ≤
i=1
n∏
n∏
λ i,‖·‖ ≤ n! · F i (b i )
i=1
Zum Vergleich: Die Minkowski’sche Ungleichung für die l 2 -Norm, Satz 2.3.1 auf Seite 23, besagt:
n∏
λ i,l2 ≤ (γ n ) n2 · det L
i=1
i=1

9.2. REDUZIERTE BASEN ZUR NORM ‖·‖ 75
Beweis (zu Satz 9.1.5). Die Behauptung folgt aus dem Beweis zu Satz 9.1.4 durch Anwenden
des zweiten Satzes von Minkowski:
det L
n!
≤ V n
2 n ·
n∏
λ i,‖·‖ ≤ det L
i=1
9.2 Reduzierte Basen zur Norm ‖·‖
Analog zur Euklidischen Norm führen wir Reduktionsbegriffe ein und versuchen, Eigenschaften
reduzierter Basen zu beweisen.
9.2.1 Definitionen
Wir übertragen die Reduktionsbegriffe auf den Fall einer beliebig vorgegebenen Norm:
Definition 9.2.1 (HKZ-reduzierte Basis zu ‖·‖)
Eine geordnete Basis b 1 , . . . , b n ∈ R m ist eine HKZ-reduzierte Basis zur Norm ‖·‖, wenn:
a) F j (b i ) ≤ F j (b i ± b j ) für 1 ≤ j < i ≤ n (längenreduziert)
b) F i (b i ) = min {F i (b) | b ∈ L(b i , b i+1 , . . . , b n ) \ {0} } für i = 1, . . . , n
Beim zweiten Kriterium kann b auch aus L(b 1 , . . . , b n ) \ {0} gewählt werden. Für die Eigenschaft
längenreduziert“ gilt mit 1 ≤ j < i ≤ n:
”
F j (b i ) ≤ F j (b i ± b j ) ⇐⇒ F j (b i ) = min
t∈Z F j (b i + t · b j )
Diese Äquivalenz nutzt die Konvexität der Norm F j . Die ”
⇐“-Richtung folgt unmittelbar und für
die ”
⇒“-Richtung beachtet man, daß gilt:
F j (b i ) ≤ F j (b i − b j ) und F j (b i ) ≤ F j (b i + b j )
Definition 9.2.2 (β-reduzierte Basis zu ‖·‖)
Sei b 1 , . . . , b n ∈ R m eine geordnete Basis und β ∈ {2, 3, . . . , n} gegeben. b 1 , . . . , b n ∈ R m heißt
β-reduziert (blockreduziert mit Blockgröße β) zur Norm ‖·‖, wenn:
a) F j (b i ) ≤ F j (b i ± b j ) für 1 ≤ j < i ≤ n
b) F i (b i ) = min { F i (b) ∣ ∣ b ∈ L(b i , b i+1 , . . . , b min(i+β−1,n) ) \ {0} } für i = 1, . . . , n − 1
Wir betrachten den Spezialfall einer 2-reduzierten Basis zu ‖·‖: Die geordnete Basis b 1 , . . . , b n ∈
R m ist 2-reduziert zur Norm ‖·‖, wenn:
a) F j (b i ) ≤ F j (b i ± b j ) für 1 ≤ j < i ≤ n
b) F i (b i ) = min { F i (sb i + tb i+1 ) ∣ ∣ (s, t) ∈ Z 2 \ {(0, 0)} } für i = 1, . . . , n − 1
Eine 2-reduzierte Basis zur l 2 -Norm ist eine LLL-reduzierte Basis.

76 KAPITEL 9. GITTERREDUKTION IN BELIEBIGER NORM
9.2.2 Eigenschaften 2-reduzierter Gitterbasen
Wir untersuchen die Eigenschaften 2-reduzierter Basen und vergleichen die Resultate mit denen
im Spezialfall der l 2 -Norm (LLL-reduziert) aus Kapitel 3.
Satz 9.2.3
Sei b 1 , . . . , b n ∈ R m eine 2-reduzierte Basis zur Norm ‖·‖. Dann gilt für i = 1, . . . , n − 1:
F i+1 (b i+1 ) ≥ 1 2 · F i(b i )
Zum Vergleich: Für die l 2 -Norm ist mit δ = 3 4 nach Lemma 4.1.2 auf Seite 31 ‖̂b i ‖ 2 2 ≤ 2 · ‖̂b i+1 ‖ 2 2,
also:
√
1
‖̂b i+1 ‖ 2 ≥
2 · ‖̂b i ‖ 2
Beweis (zu Satz 9.2.3).
Nach Definition gilt
a) F j (b i ) ≤ F j (b i ± b j ) für 1 ≤ j < i ≤ n und
b) F i (b i ) = min { F i (sb i + tb i+1 ) ∣ ∣ (s, t) ∈ Z 2 \ {(0, 0)} } für i = 1, . . . , n − 1.
Die Behauptung F i (b i ) ≤ 1 2 · F i(b i+1 ) erhalten wir aus:
F i (b i ) ≤ F i (b i+1 )
≤ min {F i (b i+1 − tb i ) | t ∈ Z}
≤ F i (b i+1 ) + 1 2 · F i(b i )
(wegen Eigenschaft b))
(wegen Eigenschaft a))
Wir nutzen, daß die Abstandsfunktionen F i jeweils Normen auf span(b 1 , . . . , b i−1 ) ⊥ sind:
F i+1 (b i+1 ) = min {F i (b i+1 − sb i ) | s ∈ R}
= min { ( ) ∣ [
F i bi+1 − (r + t)b i t ∈ Z, r ∈ −
1
2 , + ] }
1
2
(
≤ min {F i (b i+1 − tb i ) | t ∈ Z} + F 1 i 2 · b )
i
≤ min {F i (b i+1 − tb i ) | t ∈ Z} + 1 2 · F i(b i )
(Definition)
(Dreiecksungleichung)
(Linearität)
Im folgenden Satz untersuchen wir, wie gut im allgemeinen Fall der erste Vektor der 2-reduzierten
Basis das erste sukzessive Minimum approximiert.
Satz 9.2.4
Sei b 1 , . . . , b n ∈ R m eine 2-reduzierte Basis zur Norm ‖·‖. Dann gilt:
‖b 1 ‖ ≤ 2 n−1 · λ 1,‖·‖
Zum Vergleich: Für die l 2 -Norm wissen wir mit δ = 3 4
aus Satz 4.1.4 auf Seite 32:
‖b 1 ‖ 2
≤ ( ) n−1
4 2
3
· λ 1,l2

9.2. REDUZIERTE BASEN ZUR NORM ‖·‖ 77
Beweis. Sei b = ∑ n
i=1 t ib i ‖·‖-minimaler Vektor in L = (b 1 , . . . , b n ) \ {0}. O.B.d.A. sei t n ∈
Z \ {0}. Es gilt:
‖b‖ ≥ F n (b)
= min
t 1,...,t n−1∈R
= F n (t n b n )
∥ b − ∑ ∥
n−1 ∥∥∥ t jb j (Definition)
j=1
= |t n | · F n (b n ) (Linearität der Norm F n )
≥ F n (b n ) (wegen t n ∈ Z \ {0})
≥ 2 −n+1 · F 1 (b 1 ) (induktiv aus Satz 9.2.3)
= ‖b 1 ‖ · 2 −n+1 (wegen F 1 (b i ) = ‖b i ‖ und ̂b 1 = b 1 )
Wegen λ 1,‖·‖ = ‖b‖ folgt die Behauptung.
9.2.3 Eigenschaften HKZ-reduzierter Basen
Wir untersuchen die Eigenschaften von HKZ-Basen und vergleichen die Resultate, die wir im
Spezialfall der l 2 -Norm in Kapitel 6.1 (Seite 49 und folgende) bewiesen haben. Es gilt für HKZreduzierte
Basen zur Norm ‖·‖:
Satz 9.2.5 (Lovász, Scarf 1992)
Sei b 1 , . . . , b n eine HKZ-reduzierte Basis zu ‖·‖ des Gitters L. Es gilt für i = 1, . . . , n:
2
i + 1 · ‖b i‖ ≤ λ i,‖·‖ ≤ i + 1 · F i (b i ) ≤ i + 1 · ‖b i ‖
2
2
Zum Vergleich: Für die l 2 -Norm wissen wir aus Satz 6.2.3 auf Seite 51, daß für i = 1, . . . , n gilt:
i + 3
4
· ‖b i ‖ ≤ λ i,l2 ≤ i + 1
4
‖b i ‖
Beweis (zu Satz 9.2.5).
Wir zeigen die untere und obere Schranke:
• Wir zeigen 2
i+1 · ‖b i‖ ≤ λ i,‖·‖ für i = 1, . . . , n. Angenommen, h 1 , . . . , h n ∈ L realisieren die
sukzessiven Minima λ 1 , . . . , λ n , d.h. es ist ‖h i ‖ = λ i,‖·‖ für i = 1, . . . , n, und die Vektoren
h 1 , . . . , h n sind linear unabhängig. Es gilt
(9.4)
max
j≤i F i(h j ) ≥ F i (b i ),
weil:
– wegen dim (span(h 1 , . . . , h i )) = i ist max j≤i F i (h j ) ≠ 0 und
– b 1 , . . . , b n eine HKZ-reduzierte Basis ist, also
F i (b i ) = min {F i (b) | b ∈ L(b i , . . . , b n ) \ {0} }
gilt.
Wir erhalten aus (9.4) und λ 1,‖·‖ ≤ λ 2,‖·‖ ≤ · · · ≤ λ n,‖·‖ :
(9.5)
λ i,‖·‖ = ‖h i ‖ = max
j≤i ‖h i‖ ≥ F i (b i )

78 KAPITEL 9. GITTERREDUKTION IN BELIEBIGER NORM
Wir wenden aus Beweis zu Satz 9.2.3 die Ungleichung
min
µ∈Z F j(x + µ · b j ) ≤ F j+1 (x) + 1 2 · F j(b j )
rekursiv beginnend mit x := b i und j = i − 1 an:
F i−1 (b i ) ≤ F i−1 (b i + µ i,i−1 · b i−1 )
≤ F i (b i ) + 1 2 · F i−1(b i−1 )
für alle µ i,i−1 ∈ Z
für Minimalstelle µ i,i−1 ∈ Z
Im nächsten Schritt sei x := b i + µ i,i−1 · b i−1 mit Minimalstelle µ i,i−1 ∈ Z und j := i − 1
usw. Nach i − 1 Schritten erhalten wir mit Abschätzung (9.5) die Behauptung:
(9.6)
⎛
⎞
∑i−1
‖b i ‖ = F 1 (b i ) ≤ F 1
⎝b i + µ i,j · b j
⎠ ≤ i + 1 · λ i,‖·‖
2
j=1
• Wir zeigen für i = 1, . . . , n:
Es gilt:
≤ max
j≤i
λ i,‖·‖ ≤ i + 1
2
λ i,‖·‖ ≤ max F 1(b j )
j≤i
{
}
j−1
F j (b j ) + 1 2 ·
∑
F t (b t )
≤ max
j≤i
t=1
· F i (b i ) ≤ i + 1
2
· ‖b i ‖
(wegen F 1 (b) = ‖b‖)
(wegen (9.6))
{ j+1
2
· F j (b j ) } (wegen (9.6))
≤ i+1
2 · F 1(b i ) (wegen F t (b t ) ≤ F 1 (b j ) für t < j)
≤ i+1
2 · ‖b i‖ (wegen F 1 (b i ) = ‖̂b i ‖ ≤ ‖b‖)
9.2.4 Eigenschaften β-reduzierter Gitterbasen
Wir untersuchen die Eigenschaften von HRZ-Basen und vergleichen die Resultate, die wir im
Spezialfall der l 2 -Norm in Kapitel 6.4 (Seite 57 und folgende) bewiesen haben. Wir definieren:
Definition 9.2.6 (α β )
Wir setzen:
{ ‖b1 ‖
α β := sup
F β (b β )
∣
b 1 , . . . , b n HKZ-reduzierte
Basis und ‖·‖ Norm
}
Satz 9.2.7
Für jede β-reduzierte Basis b 1 , . . . , b n zu ‖·‖ gilt:
‖b 1 ‖ ≤ α ⌈ n−1
β−1 ⌉
β
· λ 1,‖·‖

9.2. REDUZIERTE BASEN ZUR NORM ‖·‖ 79
Beweis. Sei h i := F i (b i ). Bestimme Index µ mit minimalem h µ . Nach Satz 9.1.4 gilt h µ ≤ λ 1,‖·‖ .
Für j < β sind die Basen b i , b i+1 . . . , b i+j HKZ-reduzierte Basen zur Norm F i . Nach Definition
von α β und wegen α k ≤ α k+1 gilt:
(9.7)
h i ≤ α β · h i+j
Wir erhalten durch wiederholtes Anwenden von (9.7):
h 1 ≤ α β · h 1+1(β−1) ≤ αβ 2 · h 1+2(β−1) ≤ αβ 3 · h 1+3(β−1) ≤ . . . ≤ α ⌊ µ−1
β−1⌋
β
· h 1+⌊
µ−1
β−1⌋(β−1)
Insgesamt erhalten wir:
h 1 ≤ α ⌈ µ−1
β−1⌉
β
· h µ ≤ α ⌈ n−1
β−1 ⌉
β
· λ 1,‖·‖
Für die l 2 -Norm zeigt C.P. Schnorr [S87, Korollar 2.5], daß für
(9.8)
α β,l2
:= sup
{
‖b 1 ‖ 2
‖̂b β ‖
: b 1, . . . , b n HKZ-reduzierte Basis
}
gilt, wobei α β,l2
wird):
als Quadrat von (9.8) definiert und als Korkine-Zolotareff-Konstante bezeichnet
α β,l2
≤ k 1+ln k
2
Analog zeigt man für beliebige Norm:
α k ≤ k(k − 1) ln(k−1)
Satz 9.2.8
Jede β-reduzierte Basis b 1 , . . . , b n erfüllt für i = 1, . . . , n
mit γ ′ β = (β!) 2 β ≈
(
β
e
) 2.
2
i + 1 · γ′ − i−β/2
β−1
β ≤ ‖b i‖
≤ i + 1 · γ ′ n−β/2
β−1
β
λ i,‖·‖ 2
Zum Vergleich: In der l 2 -Norm gilt für die Hermite-Konstante γ β nach Satz 6.4.3 auf Seite 57:
√
4
i + 3
i−1
β−1
· γ−
β
≤ ‖b i‖
λ i,l2
≤
√
i + 3
4
· γ n−1
β−1
β
Der Beweis zu Satz 9.2.8 ist im wesentlichen analog zum Beweis zur l 2 -Norm. Wichtiger ”
Baustein“
ist folgendes Analogon zu Lemma 6.4.5 auf Seite 58: Für jede β-reduzierte Basis b 1 , . . . , b n gilt:
‖b 1 ‖ ≤ γ ′ β
m−β/2
β−1
· M mit M := max
n−β+2≤i≤n F i(b i )

80 KAPITEL 9. GITTERREDUKTION IN BELIEBIGER NORM
9.3 Konstruktion einer HKZ-reduzierten Gitterbasis
Gegeben sei ein Gitter L vom Rang n. Wir konstruieren eine HKZ-reduzierte Basis in zwei Schritten,
wobei die Konstruktion allerdings nicht effizient ist.
1. Wir wählen für i = 1, . . . , n ein b i ∈ L mit:
F i (b i ) = min {F i (b) | b ∈ L, F i (b) ≠ 0}
Beachte, F i (b) ist definiert, da wir im i-ten Schritt bereits b 1 , . . . , b i−1 festgelegt haben. Es
gilt genau dann F i (b) ≠ 0, wenn b /∈ span(b 1 , . . . , b i−1 ). Die Vektoren b 1 , . . . , b n bilden eine
Basis von L: Falls dies nicht der Fall ist, existiert ein minimales i, so daß b 1 , . . . , b i kein
primitives System ist:
(9.9)
(9.10)
L ∩ span(b 1 , . . . , b i−1 ) = L(b 1 , . . . , b i−1 )
L ∩ span(b 1 , . . . , b i ) L(b 1 , . . . , b i )
Wegen 9.10 existiert ein b ∈ L ∩ span(b 1 , . . . , b i ) \ L(b 1 , . . . , b i ) mit:
∑i−1
b = t j b j + t i b i
j=1
mit t 1 , . . . , t i−1 ∈ Z und t i /∈ Z
Sei k > 1 der Index der additiven Untergruppe L(b 1 , . . . , b i ) in span(b 1 , . . . , b i ) ∩ L. Wegen
(9.9) gilt:
t i ∈ 1 k + Z
Wähle t ′ = t i
mod Z, d.h. t ′ = 1 k
∈]0, 1[. Es folgt der Widerspruch zur Minimalität:
F i (t 1 b 1 + t 2 b 2 + · · · + t ′ b i ) = F i (t ′ b i ) = |t ′ | · F i (b i ) < F i (b i ).
2. Längenreduktion: Für i = 1, . . . , n, für j = i − 1, i − 2, . . . , 1 wähle µ i,j ∈ Z, so daß:
F j (b i + µ i,i−1 b i−1 + µ i,i−2 b i−2 + · · · + µ i,j b j )
minimal ist. Setze:
∑i−1
b i := b i + µ i,j b j
j=1
Die Längenreduktion sichert F j (b j ) ≤ F j (b i ± b j ) für j < i.
Lemma 9.3.1
Obige Konstruktion liefert eine HKZ-reduzierte Basis b 1 , . . . , b n des Gitters L.
Beweis. Nachrechnen!
9.4 Alternative zur Reduktion in ‖·‖
Alternativ zur Reduktion in ‖·‖ kann man S ‖·‖ (1) durch S ‖·‖E (1) mit Ellipsoid-Norm ‖·‖ E
approximieren
und die Reduktion in der Ellipsoid-Norm durchführen.
‖x‖ 2 E := xT B T Bx

9.5. KONSTRUKTION EINES ‖·‖-KÜRZESTEN GITTERVEKTORS 81
Die Sätze für die l 2 -Norm übertragen sich. Nach [J48] gilt: Zu jeder Norm ‖·‖ : R n → R gibt es
eine Ellipsoid-Norm ‖·‖ E
mit
‖x‖ E
≤ ‖x‖ ≤ √ n · ‖x‖ E
Dann folgt für die ‖·‖ E
β-reduzierte Basis nach Satz 6.4.3:
(9.11)
√
1
n ·
4
i+3
i−1
β−1
· γ−
β
≤ ‖b √
i‖
i+3
≤ n ·
λ i,‖·‖
4 · γ n−1
β−1
β
Dabei geht ein Faktor √ √
n verloren bei der Approximation von ‖·‖ durch ‖·‖ E
. Ein weiterer Faktor
n geht verloren durch die Approximation von λi,‖·‖ durch λ i,l2 .
)
Für kleine Blockweiten β ist die Aussage (9.11) schärfer als Satz 9.2.8, weil γ
β
(γ ′ = Θ β
2 . Für
große Blockweiten β ≈ n ist Satz 9.2.8 schärfer. Für β = n sind die Schranken für HKZ-reduzierte
Basen zu ‖·‖ um den Faktor √ n besser als die Schranken (9.11).
9.5 Konstruktion eines ‖·‖-kürzesten Gittervektors
Wir übertragen unseren Algorithmus zur Bestimmung eines kürzesten Gittervektors für die Euklidische
Norm aus Kapitel 8.1 auf beliebige Normen. H. Ritters [Ri96] gibt eine Übersicht über
die Aufzählung kürzester Gittervektoren in der sup-Norm.
9.5.1 ENUM-Algorithmus für beliebige Norm
Wir verallgemeinern Algorithmus ?? von Seite ??. Es bezeichne:
( n
)
∑
c t (u t , u t+1 , . . . , u n ) := F t u i b i
Wir bezeichnen zu ũ t , ũ t+1 , . . . , ũ n mit next Ft (u) die erste, ganzzahlige Minimalstelle u ′ von
(
)
)∣ n∑
n∑ ∣∣∣∣
(9.12)
∣ F t u · b t + ũ i b i − F t
(u ′ · b t + ũ i b i
i=t
und mit next Ft (ũ t , u) die nächste, ganzzahlige Nullstelle von (9.12) nach ũ t . Falls S ‖·‖ ein Polytop
ist, z.B. für die 1- und sup-Norm, kann F t durch lineare Optimierung bestimmt werden.
i=t
i=t
9.5.2 Gauß-ENUM-Algorithmus für beliebige Norm
Betrachten wir Schritt 2 des Algorithmus’ 9.5.1. Gegeben sind b 1 , . . . , b n sowie ũ 1 , . . . , ũ n und c min
1 .
Sei L := L(b 1 , . . . , b t−1 ) und setze:
Dann gilt:
∣ { (ũ 1 , . . . , ũ t−1 ) ∈ Z t−1
z := −
n∑
ũ i b i
i=t
: c 1 (ũ 1 , . . . , ũ t−1 ) ≤ c min
1
}∣ ∣ = ∣ ∣ ( L + w ) ∩ S ‖·‖ ( c min
1 ) ∣ ∣
= ∣ ∣ L ∩
(
S‖·‖ ( c min
1 ) + z )∣ ∣

82 KAPITEL 9. GITTERREDUKTION IN BELIEBIGER NORM
Algorithmus 9.5.1 ‖·‖-ENUM: kürzester Gittervektor (vollständige Aufzählung)
EINGABE :
Gitterbasis b 1 , . . . , b n ∈ R m
1. FOR i = 1, . . . , n DO ˜c i := u i := ũ i := y i := 0
2. ũ 1 := u 1 := 1; t := 1;
3. c min
1 := ˜c 1 := ‖b 1 ‖ 2
/∗ stets gilt: ˜c t = c t(ũ t, ũ t+1, . . . , ũ n) und c min
1 ist aktuelles Minimum der Funktion c 1 ∗/
4. WHILE t ≤ n DO
( n∑
)
4.1. ˜c t := c t (ũ t , ũ t+1 , . . . , ũ n ) = F t ũ i b i
i=t
4.2. IF ˜c t < c min
1 THEN
END while
ELSE
END if
IF t > 1 THEN
ELSE
END if
t := t + 1
t := t − 1
(
u reelle Minimalstelle von F t ub t +
ũ t := next Ft (u)
c min
1 := ˜c 1
FOR i = 1, . . . , n DO u i := ũ i
n ∑
i=t+1
ũ i b i
)
/∗ t max bezeichne den bisherigen maximalen Wert von t vor der Erhöhung ∗/
{
ũ t + 1 falls t = t max
ũ t :=
next Ft (ũ t , u) sonst
AUSGABE :
Minimalstelle (u 1 , . . . , u n ) ∈ Z \ {0} und Minimalwert c min
1 für die Funktion c 1
Nach der Volumenheuristik ist:
∣
∣L ∩ [ S ‖·‖ ( c min
1 ) + z ]∣ ∣ ≈ vol ( ( ) [
t−1 span L ∩ S‖·‖ ( c min
1 ) + z ])
(
det L
)
[w ( )]
vol t−1 + span L ∩ S‖·‖ ( c min
1 )
=
det L

9.5. KONSTRUKTION EINES ‖·‖-KÜRZESTEN GITTERVEKTORS 83
Wann gilt die Volumen-Heuristik streng? Hinreichende Voraussetzung: Bei festem y ist z uniformly
distributed modulo L (vergleiche Definition ?? auf Seite ??):
b =
∑t−1
n∑
n∑ n∑
ũ i µ i,ĵbj + ũ i µ i,ĵbj
j=1 i=1
} {{ }
=−z∈span( L )
j=t i=t
} {{ }
:=y∈span( L ) ⊥
Die Menge ( b + span ( L )) ∩ S ‖·‖ ( c min
1 ) hängt nur von z, aber nicht von y ab. Es folgt aus der
Volumenheuristik Lemma 8.2.1 (Seite 68):
Lemma 9.5.1
Angenommen, z ist uniformly distributed modulo L und unabhängig von y. Dann gilt
( )
[y ( )]
E [ ∣ [ w + L ] ∩ S ‖·‖ ( c min
1 ) ∣ ] vol t−1 + span L ∩ S‖·‖ ( c min
1 )
=
,
det L
wobei y + span ( L ) = b + span ( L ) .
Wir erhalten analog zu Satz ??:
Satz 9.5.2
Angenommen, ({µ i,j } : 1 ≤ j < i ≤ n) ist gleichverteilt in [0, 1[ (n 2) . Dann gilt in Algorithmus 9.5.1
‖·‖-ENUM stets:
• z ist uniformly distributed modulo L und unabhängig von y.
( )
[y ( )]
• E [ ∣ [ w + L ] ∩ S ‖·‖ ( c min
1 ) ∣ ] vol t−1 + span L ∩ S‖·‖ ( c min
1 )
=
det L
Wir erhalten Gauß-‖·‖-ENUM aus Algorithmus’ 9.5.1, indem wir Schritt 2 ersetzen durch:
( )
[y ( )]
vol t−1 + span L ∩ S‖·‖ ( c min
1 )
IF
≥ 2 −p
det L

84 KAPITEL 9. GITTERREDUKTION IN BELIEBIGER NORM

Kapitel 10
Anwendungen der Gitterreduktion
In Kapitel 5 (Seite 43 und folgende) haben wir versucht, Subsetsum-Aufgaben durch Gitterreduktion
zu lösen. In diesem Kapitel werden wir weitere Anwendungen der Gitterreduktion kennenlernen:
Lösen des 3-SAT-Problems, Angriff auf Dåmgards Hashfunktion (finde zwei verschiedene
Vektoren, denen der gleiche Werte zugewiesen wird) und Faktorisieren ganzer Zahlen. Für weitere
Anwendungen der Gitterreduktion in der Kryptographie verweisen wir auf die Arbeit [JoSt94] von
A. Joux und J. Stern.
Für eine effiziente Aufzählung kürzester Gittervektor in der sup-Norm verweisen wir auf H. Ritters
Arbeit [Ri96], in der er mit Hilfe der Gitterreduktion G. Ortons Kryptosystem basierend auf
dem Subsetsum-Problem mit Dichte größer als 1 bricht. Die Methoden können auf beliebige Normen
l p übertragen werden.
10.1 Gitterbasis zu 3-SAT
Wir beschreiben zunächst die konjunktive Normalform. Seien x 1 , . . . , x n Boole’sche Variablen. Wir
schreiben x −1
i := ¬ x i , x 1 i := x i und x 0 i := 0. Die Klauseln der konjunktiven Normalform (KNF)
schreiben wir als:
C j = x aj1
1 ∨ x aj2
2 ∨ · · · ∨ x ajn
n
mit (a j1 , a j2 , . . . , a jn ) ∈ {0, ±1} n . Falls eine Variable x i nicht in der Klausel C j auftritt, setze
a ji := 0. Die KNF γ hat folgenden Aufbau
γ(x 1 , . . . , x n ) :=
m∧
C j (x 1 , . . . , x n )
j=1
Wir betrachten nur konjunktive Normalformen, deren Klauseln aus maximal drei Literalen bestehen,
also ∑ n
i=1 |a ji| ≤ 3 für j = 1, . . . , m. Beim 3-SAT-Problem ist zu entscheiden, ob eine
erfüllende Belegung für die konjunktive Normalform existiert:
Definition 10.1.1 (3-SAT)
Das 3-SAT-Problem lautet:
∧
• Gegeben: KNF γ(x 1 , . . . , x n ) := m C j (x 1 , . . . , x n ) mit max. 3 Literalen pro Klausel
j=1
• Finde (y 1 , . . . , y n ) ∈ {0, 1} n mit γ(y 1 , . . . , y n ) = 1 oder zeige, daß keine erfüllende Belegung
existiert.
85

86 KAPITEL 10. ANWENDUNGEN DER GITTERREDUKTION
Das 3-SAT-Problem ist N P-vollständig [GaJo79]. Wir ordnen dem 3-SAT-Problem eine Gitterbasis
zu und versuchen, durch Gitterreduktion in der sup-Norm eine erfüllende Belegung der
konjunktiven Normalform zu bestimmen.
Wir reduzieren zunächst 3-SAT auf {0, 1}-Integer-Programming, indem wir ein äquivalentes
Ungleichungssystem bilden:
c j := 2 − |{i : a ji = −1}| ≤ 1
für j = 1, . . . , m
Betrachte das folgende Ungleichungssystem in den Unbekannten y 1 , . . . , y n ∈ {0, 1}:
∣ n∑ ∣∣∣∣
(10.1)
a
∣ ji y i − c j ≤ 1 für j = 1, . . . , m
i=1
Beispiel:
x 1 ∨ x 2 ∨ x 3 ↔ |y 1 + y 2 + y 3 − 2| ≤ 1
¬ x 1 ∨ x 2 ∨ x 3 ↔ |−y 1 + y 2 + y 3 − 1| ≤ 1
Wir können jede Restriktion in zwei ≤-Relationen aufspalten. Durch Fallunterscheidung über die
Anzahl negierter/nicht-negierter Literale in der Klausel folgt:
Lemma 10.1.2
Die {0, 1}-IP-Aufgabe (10.1) hat genau dann eine Lösung y ∈ {0, 1} n , wenn γ(y) = 1.
Die Gitterbasis zum 3-SAT-Problem besteht aus den folgenden n + 1 ganzzahligen Zeilenvektoren
b 1 , . . . , b n+1 ∈ Z n+m+1 :
(10.2)
⎡ ⎤ ⎡
⎤
b 1 2 0 · · · 0 a 11 a 21 · · · a m1 0
b 2 0 2 0 a 12 a 22 · · · a m2 0
⎢ .
:=
.
⎥ ⎢ . .. . . . . .
⎥
⎣ b n
⎦ ⎣ 0 0 2 a 1n a 2n · · · a mn 0 ⎦
b n+1 −1 −1 · · · −1 −c 1 −c 2 · · · −c m +1
Sei y = (y 1 , . . . , y n ) eine erfüllende Belegung der KNF. Der zugehörige Lösungsvektor ist:
b(y) =
n∑
y i b i + b n+1
Dieser Vektor liegt wegen (10.1) in {±1} n × {±1, 0} m × {+1}.
i=1
Satz 10.1.3
Sei L das von den Zeilenvektoren b 1 , . . . , b n+1 aus (10.2) erzeugte Gitter. Dann gilt für alle Gittervektoren
z ∈ L:
Es existiert eine erfüllende Belegung
y ∈ {0, 1} n zu γ(y) mit z = ±b(y)
⇐⇒ ‖z‖ ∞
= 1
Beweis.
Wir zeigen beide Richtungen:
” ⇒“ Wegen b(y) ∈ {±1, 0}n+m+1 gilt ‖z‖ ∞
= 1.

10.2. ANGRIFF AUF DÅMGARDS HASHFUNKTION 87
” ⇐“ Gegeben ist ein Vektor z ∈ L mit ‖z‖ ∞
= 1. Der Vektor habe die Darstellung
(10.3)
n+1
∑
z = y ib ′ i
i=1
mit y ′ 1, y ′ 2, . . . , y ′ n+1 ∈ Z. Wegen ‖z‖ ∞
= 1 folgt aus der letzten Komponente der Basisvektoren,
daß y ′ n+1 = ±1 ist. Aus den ersten n Einträgen erhalten wir nach Fallunterscheidung:
1. Aus y n+1 = +1 folgt (y ′ 1, y ′ 2, . . . , y ′ n) ∈ {0, +1} n .
2. Aus y n+1 = −1 folgt (y ′ 1, y ′ 2, . . . , y ′ n) ∈ {0, −1} n .
Setze:
y := y ′ n+1 · (y ′ 1, y ′ 2, . . . , y ′ n)
Es ist y ∈ {0, +1} n und (y, 1) = y n+1 ′ ·y ′ . Wegen ‖z‖ ∞
= 1 und y n+1 ′ ∈ {±1} gilt nach (10.3)
∣ n∑ ∣∣∣∣ a ji y i − c j = ∣ ∣
∣ y
′
∣
n+1 n∑ ∣∣∣∣
·
a ji y i − c j ≤ ‖z‖
∣
∞
≤ 1
i=1
für j = 1, . . . , m. Nach Lemma 10.1.2 ist y eine erfüllende Belegung.
Wir versuchen durch Gitterreduktionen, einen in der sup-Norm kürzesten, nicht-trivalen Gittervektor
zu finden, um eine erfüllende Belegung der konjunktive Normalformen mit höchstens
drei Literalen pro Klausel zu bestimmen. Unter der Cook’schen Hypothese P ≠ N P ist dies in
einigen Fällen schwierig, denn das 3-SAT-Problem ist N P-vollständig.
Wir haben mit Satz 10.1.3 einen alternativen Beweis zu Korollar 11.2.9 von Seite 99 kennengelernt:
Das Problem ‖·‖ ∞
-kürzester Gittervektor ist N P-vollständig.
i=1
10.2 Angriff auf Dåmgards Hashfunktion
I.B. Dåmgard [Då89] hat der EuroCrypt-Konferenz 1989 die folgende kryptographische Hashfunktion
basierend auf dem Subsetsum-Problem vorgestellt. Wähle zufällig und unabhängig
und definiere zu a die Hashfunktion:
a = (a 1 , . . . , a n ) ∈ R [1, 2 m − 1] n
h a : {0, 1} n → N
(x 1 , . . . , x n ) ↦→ ∑ n
i=1 a ix i
Eine Kollision nennen wir x, x ′ ∈ {0, 1} n , x ≠ x ′ , mit h a (x) = h a (x ′ ). Als Pseudo-Kollision
bezeichnen wir x, x ′ ∈ {0, 1} n , x ≠ x ′ , mit h a (x) = h a (x ′ ) (mod 2 m ). Wir werden versuchen,
Pseudo-Kollisionen zu finden.
Weshalb suchen wir nach Kollisionen? Um eine lange Nachricht M durch eine kurze, digitale
Unterschrift zu versehen, wendet man in der Kryptographie die Hashfunktion h auf die Nachricht
an und erhält einen im Vergleich zur Nachricht kleinen Wert. Nur h(M) wird digital unterschrieben.
Der Teilnehmer veröffentlicht M und seine digitale Unterschrift von h(M). Falls wir eine andere
Nachricht M ′ mit h(M) = h(M ′ ) finden, können wir die digitale Unterschrift für M einfach
übernehmen. Wir haben eine Nachricht mit digitaler Unterschrift eines fremden Teilnehmers.

88 KAPITEL 10. ANWENDUNGEN DER GITTERREDUKTION
Jedem Vektor x = (x 1 , . . . , x n ) ∈ {±1, 0} n \ {0} mit
n∑
a i · x i = 0 (mod 2 m )
i=1
entspricht eine Pseudo-Kollision x, x ′ gemäß
{
1 falls x i = 1
x i :=
0 sonst
x ′ i :=
und umgekehrt. Wir wählen als Basis:
⎡ ⎤ ⎡
⎤
b 1 1 0 · · · 0 a 1 n
b 2 0 1 0 a 2 n
⎢ .
:=
.
⎥ ⎢.
.. (10.4)
. .
⎥
⎣ b n
⎦ ⎣0 0 1 a n n⎦
b n+1 0 0 · · · 0 2 m n
{
1 falls x i = −1
0 sonst
Wir bezeichnen:
P-Kollision :=
{
(x 1 , . . . , x n+1 ) ∈ {±1, 0} n+1 ∣ ∣∣∣ x n+1 = 0 und (x 1 , . . . , x n )
entspricht Pseudo-Kollision
}
Es gilt offenbar: P-Kollision ⊆ L(b 1 , . . . , b n+1 ). Wir versuchen durch Gitterreduktion, einen kurzen
Gittervektor in der Euklidischen Norm zu finden. Was ist das Minimum der Menge
{‖x‖ 2
: x ∈ P-Kollision} ,
also die Länge des kürzesten Gittervektors, der einer Pseudo-Kollision entspricht? Wir führen eine
probabilistische Analyse zu a ∈ R [1, 2 m − 1] n und festem x durch. Zu α ∈ [ 0, 2] 1 mit αn ∈ N sei:
{
∣ }
∣∣∣∣ ∑
n
N α := (x 1 , . . . , x n ) ∈ {±1, 0} n |x i | = αn
Für x ∈ N α ist ‖x‖ 2
= √ αn, da x ∈ {±1, 0} n . Es gilt:
( ) n
(10.5)
N α := |N α | = · 2 αn
αn
Denn wir können die αn Einträge ungleich 0 beliebig auf die n Positionen verteilen und als Wert
jeweils +1 oder −1 setzen. Es gilt
i=1
(10.6)
N α ≈ 2 (H(α,1−α)+α)·n ,
wobei H die Shannon’sche Entropie-Funktion ist:
H(α, 1 − α) = −α · log 2 α − (1 − α) · log 2 (1 − α)
Wir möchten bezüglich a ∈ R [1, 2 m − 1] n die Wahrscheinlichkeit berechnen, mit der in N α ein
Vektor aus P-Kollision liegt. Dazu definieren wir zu a und festem x ∈ N α die Zufallsvariable:
⎧
⎨
n∑
1 falls a i x i = 0 (mod 2 m )
ξ x :=
i=1
⎩
0 sonst
Offenbar ist
(10.7)
E a [ ξ x ] = 2 −m

10.2. ANGRIFF AUF DÅMGARDS HASHFUNKTION 89
Wir definieren die Zufallsvariable ξ x := ξ x − 2 −m , so daß:
[ ]
(10.8) E a ξx = 0
[ ] [ ]
E a = E a ξ
2
x − 2 · 2
−m (10.9)
· E a [ ξ x ] + 2 −2m ≤ 2 · 2 −m
ξ 2 x
Beachte, daß für die Indikatorvariable ξ i gilt Ws a [ ξ i = 1] = Ws a
[
ξ
2
i = 1 ] . Wir verwenden aus der
Stochastik (siehe u.a. [Fe68]) für eine Zufallsvariable X:
Var[ X] = E [ X 2] − E[ X] 2
Var[ cX] = c 2 · Var[ X]
Ws[ |X − E[ X]| ≥ ɛ] ≤ 1 · Var[ X]
ɛ2 (Tschebycheff-Ungleichung)
(Definition Varianz)
(c > 0 konstant)
Wir wenden die Tschebycheff-Ungleichung auf
1
N α
· ∑x∈N α
ξ x an und erhalten wegen der Erwartungswerte
(10.8) und (10.9):
Ws a
[ ∣ ∣∣∣∣
1
N α
·
∑
x∈N α
ξ x − 2 −m ∣ ∣∣∣∣
≥ ɛ
]
≤ 1 ɛ 2 · Var [
1
=
ɛ 2 · Nα
2 ·
]
1 ∑
· ξ x
N α
x∈N α
∑ ∑ [ ]
E a ξx · ξ y
y∈N α
x∈N α
Wegen des Erwartungswerts (10.9) ist:
(10.10)
∑
x∈N α
∑ [ ] ∑ [
E a ξx · ξ y = E a
y∈N α x∈N α
ξ 2 x
= ∑ [ ]
E a ξ 2 x
x∈N α
= N α · E a
[
ξ 2 x
]
+ ∑
]
x,y∈N α
x≠y
Aus Abschätzung (10.10) und dem Erwartungswert (10.8) folgt:
[ ∣ ∣ ]
∣∣∣∣
1 ∑ ∣∣∣∣
Ws a · ξ x − 2 −m ≥ ɛ ≤
N α
x∈N α
1
[ ]
ɛ 2 · E a ξ 2 x ≤
· N α
E a
[
ξx
]
· Ea
[
ξy
]
2
ɛ 2 · N α · 2 m
Für ɛ = 2 −m erhalten wir
(10.11)
Ws a
[ ∑
x∈N α
ξ x = 0
]
≤ 2m+1
N α
und für ɛ = 2 −m−l :
(10.12)
[ ∑
Ws a ξ x ≤ N α · (2 −m − 2 −m−l)] ≤ 2m+1+2l
N α
x∈N α
Aus (10.11) folgt unmittelbar:
Satz 10.2.1
Es gilt:

90 KAPITEL 10. ANWENDUNGEN DER GITTERREDUKTION
a) Für m ≤ log 2 N α − 2 ≈ (H(α, 1 − α) + α) · n gibt es bezüglich a ∈ R [1, 2 m − 1] n mit Wahrscheinlichkeit
mindestens 1 2 Pseudo-Kollisionen in N α.
b) Für m ≤ log 2 N α − 4 ≈ (H(α, 1 − α) + α) · n gibt es bezüglich a ∈ R [1, 2 m − 1] n mit Wahrscheinlichkeit
mindestens 1 2 mindestens N α · 2 −m−1 Pseudo-Kollisionen in N α .
Beweis. Die Aussage a) folgt aus (10.11), die Aussage b) folgt aus (10.12) mit l = 1.
Im nächsten Schritt möchten wir N α = |N α | maximieren: Aus dem Ansatz
mit (10.6) erhalten wir:
∂N α
∂α = 0
Dazu äquivalent:
− log 2 2 ≈ ∂ (−α · log 2 α − (1 − α) · log 2 (1 − α))
∂α
Wegen − log 2 2 = −1 und −1 + log 2 α = log 2
1
α
log 2 α + log 2 (1 − α) ≈ − log 2 2
erhalten wir den Anzatz α =
k−1
k
− log 2
k−1
k
+ log 2
1
k = log 2(k − 1) ≈ − log 2 2
und somit k − 1 = 2 bzw. k = 3, also α = 2 3 als ungefähre Maximalsstelle von N α.
Satz 10.2.2
Bezüglich a ∈ R [1, 2 m − 1] n gibt es mit Wahrscheinlichkeit mindestens 1 2
Pseudo-Kollisionen, wenn
N 2/3 ≥ 2 m−1 oder äquivalent n ≥ m−1
log 2 3 ist.
Beweis.
Aus (10.7) wissen wir, daß:
Wegen N 2/3 ≥ 2 m−1 folgt:
Damit N 2/3 ≥ 2 m−1 ist, muß wegen
E a [ Anzahl Pseudo-Kollisionen in N α ] = N α · 2 −m
Ws a
[
Anzahl Pseudo-Kollisionen in N2/3
]
≥
1
2
log 2 N 2/3 = n · [− 2 3 · log 2 2 3 − 1 3 · log 2 1 3 + 2 3 · log 2 2 ]
= n · [− 2 3 · (− log 2 3 + log 2 ) − 1 3 · (− log 2 3) + 2 3
= n · [+ 2 3 · log 2 3 − 2 3 + 1 3 · log ]
2 3 + 2 3
= n · log 2 3
]
gelten n · log 2 3 ≥ m − 1 oder äquivalent n ≥ m−1
log 2 3 .
Betrachten wir die Situation bei den von I.B. Dåmgard vorgeschlagenen Parametern:
• Für m = 120 gibt es Pseudo-Kollisionen, falls n ≥ 77.
• Für m = 120 und n = 100 gibt es im Mittel N 2/3 · 2 −m ≈ 3, 8 · 10 11 Pseudo-Kollisionen.

10.3. FAKTORISIEREN GANZER ZAHLEN 91
Betrachten wir die Anzahl der kurzen Gittervektoren:
{
}∣ ∣ z ∈ L(b 1 , . . . , b n+1 ) : ‖z‖ 2 ∣∣
2 ≤ αn N(0, n, α)
≈
2 m
J.E.Mazo und A.M.Odlyzko haben in [MaOd90] die Funktion
{
N(z, n, α) := ∣ x ∈ Z n : ‖x − z‖ 2 ∣∣
≤ α · n}∣
untersucht. Als Vektoren z kommen nur Vektoren in Frage, deren letzter Eintrag 0 ist. Der Anteil
der Vektoren (x 1 , . . . , x n ) mit ∑ n
i=1 a ix i = 0 (mod 2 m ) ist 2 −m . Es gilt:
}∣ ∣
{z ∈ L(b 1 , . . . , b n+1 ) : ‖z‖ 2 ∣∣
2 ≤ αn (2eπα) n 2
≈
Wir wählen m und α derart, daß in etwa gilt
Also wegen (10.5) und (10.6):
2 m
E a [ Anzahl Pseudo-Kollisionen in N α ] ≈ 1,
m = n · [H(α, 1 − α) + α] bzw. N α =
( ) n
· 2 αn = 2 m
αn
Gibt es zur Länge √ αn kürzere, nicht-triviale Gittervektoren, die keiner Pseudo-Kollision entsprechen?
Wir würden bei der Gitter-Reduktion unter Umständen diese kürzeren Vektoren anstatt der
gewünschten erhalten. Für m = 120 und n = 100 ist (2eπα) n 2
2
≈ 2 0,0039n , d.h. die sog. parasitären,
m
kurzen Gittervektoren sind leicht in der Überzahl.
10.3 Faktorisieren ganzer Zahlen mit Hilfe Diophantischer
Approximationen
Sei N ∈ Z das Produkt mindestens zweier verschiedener Primzahlen und p 1 , p 2 , . . . die Folge der
Primzahlen. C.P. Schnorr [S93] hat das Problem der Faktorisierung von N auf das Finden von
t + 2 Lösungen (e 1 , . . . , e t ) ∈ Z t der Ungleichungen (c > 1 fest)
t∑
e
∣ i ln p i − ln N
∣ ≤ N −c · p o(1)
t
i=1
(10.14)
t∑
|e i ln p i | ≤ (2c − 1) · log 2 N + 2 · ln p t
i=1
reduziert. Wir möchten in diesem Kapitel die Idee und den Algorithmus vorstellen. Für eine
ausführliche Betrachtung verweisen wir auf die Originalarbeit.
Wir assoziieren mit den Primzahlen p 1 , . . . , p t ein Gitter im R t+1 und mit N einen Punkt ⃗ N im
R t+1 . Das Problem der Diophantischen Approximation (10.14) reduzieren wir auf die Bestimmung
eines in der l 1 -Norm hinreichend nahen Gitterpunktes.
Sei p 1 , . . . , p t die Folge der ersten Primzahlen, also 2, 3, 5, . . .. Wir definieren zu N und festem
c > 1 das Gitter L α,c ⊆ R t+1 , welches von den Zeilenvektoren b 1 , . . . , b t , N ⃗ aufgespannt wird:
⎡ ⎤ ⎡
⎤
b 1 ln p 1 0 · · · 0 N c · ln p 1
b 2 0 ln p 2 0 N c · ln p 2
⎢ .
:=
.
⎥ ⎢ .
.. (10.15)
. .
⎥
⎣b t
⎦ ⎣ 0 0 ln p n N c · ln p t
⎦
N ⃗ 0 0 · · · 0 N c · ln N

92 KAPITEL 10. ANWENDUNGEN DER GITTERREDUKTION
Die reellen Vektoren kann man durch rationale Vektoren approximieren. In der Praxis genügen
sogar ganzzahlige Vektoren.
Betrachten wir Algorithmus 10.3.1. Da N das Produkt mindestens zweier verschiedener Primzahlen
ist, hat x 2 mindestens 4 Wurzeln modulo N, wobei sich zwei nur im Vorzeichen unterscheiden.
x 2 − y 2 = (x − y)(x + y) = 0 (mod N)
Im Fall x ≠ ±y (mod N) sind 0 < x − y < N und 0 < x + y < N, also 1 < x ± y < N, wobei x ± y
modulo N reduziert sei. Dann liefert ggT(x ± y, N) nicht-triviale Teiler von N. Falls x und y sich
wie unabhängige Zufallsvariable verhalten, hat Schritt 7 Erfolgswahrscheinlichkeit mindestens 1 2 .
Der Schritt 4 erfordert, daß |u i − v i N| über der Basis P t faktorisiert werden kann. Satz 10.3.2
zeigt, daß für Punkte z ∈ L α,c , die ”
nahe“ bei ⃗ N liegen, diese Voraussetzung mit hoher Wahrscheinlichkeit
erfüllt ist.
Satz 10.3.1
Sei c > 1, β, δ ≥ 0 fest und p t < N. Falls (e 1 , . . . , e t ) ∈ Z t das Ungleichungssystem
t∑
a
∣ i ln p i − ln N
∣ ≤ N −c · p o(1)
t
i=1
t∑
|a i ln p i | ≤ (2c − 1) · log 2 N + 2 · ln p t
i=1
löst, gilt für das in Schritt 3 konstruierte Paar (u i , v i ) mit
(10.16)
u i :=
∏
p aij
j und v i := ∏
daß:
a i,j>0
|u i − v i N| ≤ p β+δ+o(1)
t
a i,j0
p aij
j und |u i − v i N| ≤ p t
Dies ist nur mit vernachlässigbarer Wahrscheinlichkeit nicht der Fall [S93, Theorem 4].
Satz 10.3.2
Sei α > 1, c > 1, δ ≥ 0 und p t = (ln N) α < N. Falls z ∈ L α,c die Ungleichung
‖z − N‖ 1
≤ (2c − 1) · ln N + 2δ · ln p t
erfüllt, gilt für die in Schritt 3 konstruierten Paare (u i , v i ):
|u i − v i N| ≤ p 1 α +β+o(1)
t
Beweis. Siehe [S93, Theorem 2].

10.3. FAKTORISIEREN GANZER ZAHLEN 93
Aus den beiden Sätzen 10.3.1 und 10.3.2 folgt, daß es zum Faktorisieren von N genügt, hinreichend
viele Gittervektoren z ∈ L α,c zu finden, die in der l 1 -Norm nahe bei ⃗ N liegen. Diese Gitterpunkte
findet man in der Praxis durch Anwenden mächtiger Reduktionsalgorithmen auf die Vektoren
b 1 , . . . , b n , ⃗ N in der l 2 -Norm. Die reduzierte Basis enthält im allgemeinen dann Vektoren, die
bezüglich der l 1 -Norm kurz sind. Man kann erreichen, daß diese Vektoren die Form
t∑
e i b i − N ⃗
haben (e 1 , . . . , e n ∈ Z) und wählen z := ∑ t
i=1 e ib i für Satz 10.3.2.
i=1

94 KAPITEL 10. ANWENDUNGEN DER GITTERREDUKTION
Algorithmus 10.3.1 Faktorisieren einer ganzen Zahl
EINGABE : ⊲ N ∈ Z (Produkt mindestens zweier verschiedener Primzahlen)
⊲ α und c ∈ Q mit c ≥ 1
1. Bilde Liste p 1 , . . . , p t der ersten Primzahlen, p t = (ln N) α . Sei P t := {p 1 , . . . , p t }.
2. Reduziere mit geeignetem“ Reduktionsalgorithmus das Gitter L ” α,c ⊆ R t+1 (siehe Basismatrix
(10.15)).
3. Bilde für Vektoren z (i) := ∑ t
j=1 a ∥
i,jb j ∈ L mit kleiner l 1 -Norm ∥z − N ⃗ ∥ mit Hilfe von P t
1
und den ganzzahligen Koeffizienten (a i,1 , a i,2 , . . . , a i,t ) m ≥ t + 2 Tupel (u i , v i ) ∈ N 2 :
4. FOR i = 1, . . . , m DO
u i :=
v i :=
∏
a i,j>0
∏
a i,j

Kapitel 11
Komplexität, N P-Vollständigkeit
Wir fassen mit Hinblick auf die Gittertheorie die Grundbegriffe der Komplexitätstheorie, speziell
die N P-Vollständigkeit, zusammen.
11.1 N P-Vollständigkeit
Wir definieren die Bitlänge endlicher Objekte (das Vorzeichen speichern wir getrennt):
• l(0) := 1
• l(n) := ⌈log 2 (n + 1)⌉ für n ∈ N
( )
• l p
q
:= l(p) + l(q) mit p, q ∈ N und ggT(p, q) = 1
• l(A) = ∑ i,j l(a ij) für A = [a ij ] ∈ Q m×n
Wir setzen die Laufzeit des Algorithmus’ in Beziehung zur Eingabelänge. Wir interessieren uns
für Polynomialzeit-Verfahren:
Definition 11.1.1 (Polynomialzeit)
Ein Algorithmus ist in Polynomialzeit, falls die Schrittzahl (Turing-Maschine oder Anzahl Bit-
Operationen) polynomiell in der Länge der Eingabe beschränkt ist:
Schrittzahl(Eingabe) = poly(l(Eingabe))
In der theoretischen Informatik betrachtet man die Polynomialzeit-Algorithmen als effizient.
Definition 11.1.2 (Charakteristische Funktion)
Zu einer Menge A ⊆ {0, 1} ∗ ist die charakteristische Funktion χ A : {0, 1} ∗ → {0, 1} definiert
durch: χ A (a) = 1 genau dann, wenn a ∈ A ist.
Wir definieren mit charakteristischen Funktionen die Klasse der Polynomialzeit-Sprachen:
Definition 11.1.3 (Klasse P der Polynomialzeit-Sprachen)
Die Klasse P der Polynomialzeit-Sprachen besteht genau aus den Sprachen A ⊆ {0, 1} ∗ , für welche
die charakteristische Funktion χ A in Polynomialzeit berechenbar ist.
95

96 KAPITEL 11. KOMPLEXITÄT, N P-VOLLSTÄNDIGKEIT
Die Klasse N P umfaßt die Sprache, so daß es genau für jedes Wort aus der Sprache einen Bitstring
gibt, anhand dessen wir effizient überpüfen können, daß dieses Wort in der Sprache liegt.
Definition 11.1.4 (Klasse N P)
Die Klasse N P der nichtdeterministischen Polynomialzeit-Sprachen A ⊆ {0, 1} ∗ ist erklärt durch:
A ∈ N P ⇐⇒ ∃B ∈ {0, 1}∗ × {0, 1} ∗ , B ∈ P :
A = { x ∈ {0, 1} ∗ ∣ ∣ ∃y ∈ {0, 1} poly(l(x)) mit (x, y) ∈ B }
Sei (x, y) ∈ B. Dann heißt y Zeuge für x ∈ A.
Die Cook’sche Hypothese ist P ≠ N P, d.h. es gibt Sprachen in der Klasse N P, für die wir nicht
in Polynomialzeit einen Zeugen finden können.
Definition 11.1.5 (Karp-Reduktion)
Seien A, B ⊆ {0, 1} ∗ :
A ≤ pol B ⇐⇒
∃ Polynomialzeit-Abbildung h mit:
∀x ∈ {0, 1} ∗ : x ∈ A ⇔ h(x) ∈ B
Aus A ≤ pol B und B ≤ pol C folgt A ≤ pol C.
Definition 11.1.6 (N P-vollständig)
A ⊆ {0, 1} ∗ heißt N P-vollständig, wenn: 1. A ∈ N P, 2.∀B ∈ N P : B ≤ pol A.
Falls wir einen Polynomialzeit-Algorithmus zu einem N P-vollständigen Problem finden, folgt P =
N P. Dies würde der Cook’schen Hypothese widersprechen. Daher gelten die N P-vollständigen
Probleme als die schwierigsten in N P.
11.2 Schwierige, algorithmische Gitterprobleme
Wir lernen in diesem Abschnitt mit der Gittertheorie verbundene Probleme kennen, die N P-
vollständig sind oder für die bisher keine effizienten Algorithmen bekannt sind. Ein solches Problem
ist die ganzzahlige, lineare Programmierung (Integer Programming):
Definition 11.2.1 (Ganzzahlige, lineare Programmierung)
Das Problem der ganzzahligen, linearen Programmierung lautet:
• Gegeben: m, n ∈ N, A ∈ (Z) m×n und b ∈ Z m
• Finde x ∈ Z n mit Ax ≤ b oder zeige, daß kein solcher Vektor existiert.
Die ganzzahlige, lineare Programmierung ist ”
schwierig“. Wir werden in Satz 11.2.5 sehen, daß
das zugehörige Entscheidungsproblem N P-vollständig ist:
Definition 11.2.2 (Entscheidungsproblem der ganzzahligen, linearen Programmierung)
Das Problem der ganzzahligen, linearen Programmierung lautet:
• Gegeben: m, n ∈ N, A ∈ Z m×n und b ∈ Z m

11.2. SCHWIERIGE, ALGORITHMISCHE GITTERPROBLEME 97
• Entscheide, ob ein x ∈ Z n mit Ax ≤ b existiert.
Falls P ≠ N P, gibt es keinen Lösungsalgorithmus in Polynomialzeit. Dagegen gibt es zum analogen
Problem der rationalen, linearen Programmierung Polynomialzeit-Verfahren:
Definition 11.2.3 (Rationale, lineare Programmierung)
Das Problem der rationalen, linearen Programmierung lautet:
• Gegeben: m, n ∈ N, A ∈ Z m×n und b ∈ Q m
• Finde x ∈ Q n mit Ax ≤ b oder zeige, daß kein solcher Vektor existiert.
Das erste Polynomialzeit-Verfahren für die lineare Programmierung ist die Ellipsoid-Methode
von L.G. Khachiyan [Kh79, Kh80]. Diese Methode ist aber nicht praktikabel. Ein bekannter
Polynomialzeit-Algorithmus stammt von M. Karmarkars [Ka84]. Dieser hat zur Entwicklung der
Interior-Point-Methoden für die lineare Programmierung geführt. Ein bekannter Interior-Point-
Algorithmus stammt von Y. Ye [Ye91]. Ein einfaches, praktisches Verfahren ist der Simplex-
Algorithmus [Da63, Schr86] von G.B. Dantzig, der allerdings im Wortcase exponentielle Laufzeit
haben kann. Weitere Probleme, die man in Polynomialzeit lösen kann, sind:
Satz 11.2.4 (Sieveking 1976)
Folgende Probleme sind zu gegebenen m, n ∈ N, A ∈ Z m×n und b ∈ (Z) in Polynomialzeit lösbar:
a) Löse Ax = b, x ∈ Z n oder weise Unlösbarkeit nach.
b) Finde eine Z-Basis b 1 , . . . , b k von {x ∈ Z n | Ax = 0}, dem Z-Kern. Eine Z-Basis besteht aus
linear unabhängigen Vektoren b 1 , . . . , b k , so daß:
{ k∑
∣ ∣∣∣∣
{x ∈ Z n | Ax = 0} = t i b i t 1 , . . . , t k ∈ Z
i=1
}
Beweis. Modifikation des Gauß-Eliminationsverfahrens (M. Sieveking in [SS76]). Alternativer
Beweis in [KaBa79].
Im folgenden Satz führen wir weitere mit der Gittertheorie verbundene Aufgaben bzw. Entscheidungsprobleme
auf, die N P-vollständig sind.
Satz 11.2.5
Folgende Sprachen sind N P-vollständig:
1. Integer-Programming:
IP :=
{
(m, n, A, b)
∣
A ∈ Z m×n , b ∈ Z m ,
∃x ∈ Z n : Ax ≤ b
}
2. Rucksack (Knapsack) oder Subsetsum:
{
∣ }
∣∣∣∣ n∑
SubsetSum := (n, a 1 , . . . , a n , b) ∈ N n+2 ∃x ∈ {0, 1} n : a i x i = b
i=1

98 KAPITEL 11. KOMPLEXITÄT, N P-VOLLSTÄNDIGKEIT
3. {0, 1}-Integer-Programming:
{0, 1}-IP :=
{
(m, n, A, b)
∣
A ∈ Z m×n , b ∈ Z m ,
∃x ∈ {0, 1} n : Ax ≤ b
}
4. Schwache Zerlegung:
{
(n, a 1 , . . . , a n ) ∈ N n+1 ∣ ∣∣∣∣
∃ (x 1 , . . . , x n ) ∈ {0, ±1} n \ {0 n } :
}
n∑
a i x i = 0
Beweis. Für 1,2,3 siehe [GaJo79][SS76], für 4 siehe [EB81]. Den Nachweis, daß es für die Sprache
Integer-Programming polynomiell lange Zeugen gibt, also IP ∈ N P, werden wir in Satz 11.2.6
führen.
Satz 11.2.6 (von zur Gathen, Sieveking 1978)
IP ∈ N P.
Beweis. Wir wählen als Zeugen für (m, n, A, b) ∈ IP ein geeignetes x ∈ Z n mit Ax ≤ b. Offenbar
existiert x genau dann, wenn (m, n, A, b) ∈ IP. Wir müssen noch zeigen, daß der Zeuge polynomielle
Länge hat.
Sei A =: (a ij ) ij und b =: (b 1 , . . . , b m ) T . Setze M := max i,j {|a ij | , |b i |}. Nach [GaSi78] gilt:
(∃x ∈ Z n : Ax ≤ b) ⇐⇒ ( ∃x ∈ Z n : Ax ≤ b, ‖x‖ ∞
≤ (n + 1)n n 2 M
n )
Die obere Schranke von ‖x‖ ∞
impliziert, daß die Länge des Zeugen x polynomiell in der Länge
von A und b beschränkt ist. Wegen l(m, n, A, b) ≥ nm + log 2 M gilt:
l(x) = O ( n 2 (log n + log M ) = O ( l(m, n, A, b) 3)
Wir definieren die Begriffe, die elementar für die weiteren Kapitel sind:
i=1
Definition 11.2.7 (Gitter, Basis, Dimension, Rang)
Seien b 1 , . . . , b n ∈ R m linear unabhängige Vektoren. Wir nennen die additive Untergruppe
L(b 1 , . . . , b n ) :=
{
n∑
n
∣ }
∑ ∣∣∣∣
b i Z = t i b i t 1 , . . . , t m ∈ Z
i=1
des R m ein Gitter mit der Basis b 1 , . . . , b n . Ist die Reihenfolge der Basisvektoren fest, sprechen
wir von einer geordneten Basis. Der Rang oder auch die Dimension des Gitters ist Rang(L) := n.
i=1
Betrachten wir ein Beispiel:
Beispiel 11.2.8 (Gitter)
Z m ist ein Gitter vom Rang m, die Einheitsvektoren bilden eine Basis. Zur Matrix A ∈ M m,n (Z)
ist {x ∈ Z n | Ax = 0} ein Gitter vom Rang n − Rang(A); nach Satz 11.2.4 können wir in Polynomialzeit
eine Basis konstruieren.
⋄
Wir versuchen, durch Gitterreduktion einen kürzesten, nicht-trivialen Gittervektor zu finden.
Im Fall der sup-Norm ist dies unter der Annahme P ≠ N P nicht immer effizient möglich:

11.2. SCHWIERIGE, ALGORITHMISCHE GITTERPROBLEME 99
Korollar 11.2.9
Das Problem ‖·‖ ∞
-kürzester Gittervektor
ist N P-vollständig.
L ∞ -SVP :=
{
(m, n, b 1 , . . . , b n )
∣
m, n ∈ N, b 1 , . . . , b n ∈ Z m ,
∃x ∈ L(b 1 , . . . , b n ) : ‖x‖ ∞
= 1
}
Beweis. Das Problem ‖·‖ ∞
-kürzester Gittervektor liegt in N P: Als Zeugen wählt man einen
Vektor x ∈ L(b 1 , . . . , b n ) \{0} mit ‖x‖ ∞
= 1. Das N P-vollständige Problem schwache Zerlegung“
”
aus Satz 11.2.5 kann in Polynomialzeit auf ‖·‖ ∞
-kürzester Gittervektor reduziert werden.
Beim Problem des kürzesten Gittervektors in der l 2 -Norm soll man zu gegebener Gitterbasis
b 1 , . . . , b n und k entscheiden, ob es einen Gittervektor z ∈ L(b 1 , . . . , b n ) gibt mit z ≠ 0 und
‖z‖ 2
≤ √ k.
Definition 11.2.10 (Shortest Vector Problem SVP)
Die Sprache zum kürzesten Gittervektorproblem (Shortest Vector Problem) für die l 2 -Norm lautet:
L 2 -SVP :=
{
(k, m, n, b 1 , . . . , b n )
∣
k, m, n, ∈ N, b 1 , . . . , b n ∈ Z m }
,
∃x ∈ L(b 1 , . . . , b n ) \ {0} : ‖x‖ 2 2 ≤ k
Der Status dieses Problems ist offen. Anstrengungen, die Vermutung, daß L 2 -SVP N P-hart ist,
nachzuweisen, sind im Gegensatz zur sup-Norm (siehe Korollar 11.2.9) bislang fehlgeschlagen (vergleiche
[K87]).
Das Problem des kürzesten Gittervektors ist der homogene Spezialfall des Problems nächster
Gittervektor, von dem man aber weiß, daß es (auch) in der l 2 -Norm N P-vollständig ist:
Satz 11.2.11 (Closest Vector Problem CVP)
Das Problem l 2 -nächster Gittervektor
L 2 -CVP :=
ist N P-vollständig.
{
(k, m, n, b 1 , . . . , b n , z)
∣
k, m, n, ∈ N, b 1 , . . . , b n , z ∈ Z m }
,
∃x ∈ L(b 1 , . . . , b n ) : ‖z − x‖ 2 2 ≤ k
Beweis. Siehe Kannan [K87].
Wir fassen zusammen: Zu gegebener Gitterbasis b 1 , . . . , b n ∈ Z m sind folgende Aufgaben nach
heutigem Stand schwierige, algorithmische Gitterprobleme:
• Finde kurze Gittervektoren ungleich dem Nullvektor.
• Finde eine Basis bestehend aus kurzen Gittervektoren.
• Finde zu gegebenem z ∈ span(b 1 , . . . , b n ) einen möglichst nahen Gittervektor.
Dagegen kann man in Polynomialzeit zu einem gegebenen Erzeugendensystem b 1 , . . . , b n ∈ Z m des
Gitters L, n ≥ Rang(L), eine Gitterbasis konstruieren.

100 KAPITEL 11. KOMPLEXITÄT, N P-VOLLSTÄNDIGKEIT
.

Kapitel 12
Grundlagen
12.1 Notation
Mit M m,n (S) bezeichnen wir die Menge aller m × n-Matrizen mit Einträgen aus der Menge S.
Zum Beispiel ist M m,n (Z) die Menge aller ganzzahligen m × n-Matrizen. Zur Matrix B bezeichne
B T die transponierte Matrix. Die Elemente aus Z n , R n , etc. schreiben wir, sofern nicht anders
angegeben, als Spaltenvektoren.
Zur reellen Zahl r bezeichne ⌈r⌋ := ⌈ r − 1 2⌉
die nächste ganze Zahl. Wir schreiben R+ :=
{x ∈ R | x > 0} für die Menge der positiven, reellen Zahlen.
Skalarprodukt
Der Vektorraum R n sei mit einem beliebigen Skalarprodukt 〈·, ·〉 : R n × R n → R ausgestattet
(Euklidischer Vektorraum). Das Skalarprodukt hat die folgenden Eigenschaften: Für alle u, v, w ∈
R n und λ ∈ R gilt:
• 〈·, ·〉 ist bilinear:
• 〈·, ·〉 ist symmetrisch:
〈u + w, v〉 = 〈u, v〉 + 〈w, v〉
〈λu, v〉 = λ 〈u, v〉
〈u, v + w〉 = 〈u, v〉 + 〈u, w〉
〈u, λv〉 = λ 〈u, v〉
〈u, v〉 = 〈v, u〉
• 〈·, ·〉 ist positiv definit:
〈u, u〉 > 0 für u ≠ 0
Die meisten Anwendungen beziehen sich auf das Standard-Skalarprodukt:
〈(u 1 , . . . , u n ) , (v 1 , . . . , v n )〉 :=
101
n∑
u i v i
i=1

102
Jedes Skalarprodukt 〈·, ·〉 : R n × R n → R läßt sich schreiben als:
〈u, v〉 := u T Sv
mit symmetrischer Matrix S ∈ R n×n . Im Fall des Standard-Skalarprodukts ist die Matrix S die
Identität.
Normen
Eine Abbildung ‖·‖ : R n → R heißt Norm, falls für alle u, v ∈ R n und λ ∈ R gilt:
‖λv‖ = |λ| · ‖v‖
‖u + v‖ ≤ ‖u‖ + ‖v‖
(positive Homogenität)
(Dreiecksungleichung)
‖u‖ ≥ 0 für u ≠ 0 (positive Definitheit)
Die reelle Zahl ‖u‖ heißt Norm (oder Länge) des Vektors u = (u 1 , . . . , u n ). Aus einem Skalarprodukt
erhält man die Euklidische Norm durch: ‖u‖ := √ 〈u, u〉.
Die l 1 -Norm oder auch Betragsnorm ist:
Die l 2 -Norm zum Standard-Skalarprodukt ist:
‖ (u 1 , . . . , u n ) ‖ 1 := ∑ n
i=1 |u i|
‖ (u 1 , . . . , u n ) ‖ 2 := √ 〈u, u〉 = ( ∑ n
i=1 u2 i
Die l p -Norm ist: ‖ (u 1 , . . . , u n ) ‖ p := ( ∑ n
i=1 |u i| p) 1 p
.
Die sup-Norm, Maximums-Norm oder auch l ∞ -Norm ist: ‖ (u 1 , . . . , u n ) ‖ ∞ := max i=1,...,n |u i |.
) 1
2
.
Ungleichungen
Für die sup-, Betrags- und 2-Norm eines Vektors u ∈ R n gelten die folgenden Beziehungen:
‖u‖ 2
≤ ‖u‖ 1
≤ √ n · ‖u‖ 2
‖u‖ ∞
≤ ‖u‖ 2
≤ n · ‖u‖ ∞
Für die Beziehung Skalarprodukt und zugehörige Norm ‖u‖ := √ 〈u, u〉 gilt die Cauchy-Schwarz-
Ungleichung (seien u, v ∈ R n ):
|〈u, v〉| ≤ ‖u‖ · ‖v‖
Die Gleichheit gilt genau dann, wenn beide Vektoren linear abhängig sind. Seien b 1 , . . . , b n ∈ R n die
Spaltenvektoren (oder Zeilenvektoren) der Matrix B ∈ M n,n (R). Die Hadamard’sche Ungleichung
besagt:
det B ≤
n∏
‖b i ‖ 2
Sind die Vektoren b 1 , . . . , b n orthogonal, gilt die Gleichheit.
i=1

Algorithmenverzeichnis
1.4.1 zur Längenreduktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.4.2 zur paarweise Reduktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.2.1 Gauß-Reduktionsverfahren für die Euklidische Norm . . . . . . . . . . . . . . . . 27
3.2.2 Gauß-Reduktionsverfahren für beliebige Norm . . . . . . . . . . . . . . . . . . . 29
4.2.1 zur LLL-Reduktion in Z-Arithmetik . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.3.1 LLL-Reduktion von ganzzahligen Erzeugendensystemen . . . . . . . . . . . . . . 38
9.5.1 ‖·‖-ENUM: kürzester Gittervektor (vollständige Aufzählung) . . . . . . . . . . . 82
10.3.1 Faktorisieren einer ganzen Zahl . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
103

Index
Abstandsfunktion, 71
Algorithmus
k-Reduktion (BZK), 60
ENUM, 82
Faktorisieren, 91
Gauß-ENUM, 70, 83
Gauß-Reduktion, 27, 29
kürzester Gittervektor, 70, 82, 83
Lovász-, 33
α β , 78
Barnes, E.S., 21
Basis, 98
k-reduzierte Basis, 57, 60, 61
β-reduzierte Basis zu ‖·‖, 75, 78
Betragsnorm, 102
Bitlänge, 95
Blichfeldt, H.F., 17, 20
Cauchy-Schwarz-Ungleichung, 102
charakteristische Funktion, 95
CJLOSS-Basis, 45
Closest Vector Problem, 99
Cook’sche Hypothese, 96
Cook-Karp-Reduktion, 96
Coster, M.J., 45
CVP, 99
Dåmgard, I.B., 87
Dantzig, G.B., 97
Determinante, 6
Dichte, 19, 44
Dimension, 98
Diophantische Approximationen, 91
Dirichlet, G.L., 18
Distanzfunktion, 71
duales Gitter, 9
Entropie-Funktion, 88
Euklidische Norm, 102
Euklidischer Vektorraum, 101
extremes
Gitter, 20
lokal extremes Gitter, 20
F i , 71
ganzzahlige lineare Programmierung, 96
Gathen, J. von zur, 98
Gauß, C.F., 27, 29, 68, 81
Gauß-reduzierte Gitterbasis, 25
geordnete Basis, 98
Gitter
-Basis, 98
-Determinante, 6
-Dimension, 98
-Grundmasche, 6
-Rang, 98
L a , 9
L a , 15
A n , 7
D n , 7
Definition, 98
Dichte, 19
duales, 9
geordnete -Basis, 98
global extremes, 20
kritisches, 20
laminated, 22
lineare Kongruenz, 15
lokal extremes, 20
selbstduales, 22
Unter-, 14
vollständiges, 8
gitterartige Kugelpackung, 19
Gitterbasis
CJLOSS-, 45
Dåmgard-, 88
3-SAT-, 85
zur Faktorisierung, 91
global extremes Gitter, 20
Gram-Schmidt-Koeffizienten µ i,j , 8
Grundmasche, 6
Hadamard’sche Ungleichung, 102
Hash-Funktion, 87
Hermite, C., 20, 49, 75, 77
Hermite-Konstante γ n , 20
obere Schranke, 20
Hermite-Konstanteγ n
bekannte, 21
Hermite-Normalform, 13
104

INDEX 105
HKZ-Basis, 49
HKZ-reduzierte Basis zu ‖·‖, 75, 77, 80
Hlawka, E., 20
HNF, siehe Hermite-Normalform
Höhenfunktion, 71
Horner, H.H., 44
Index
Untergitter, 14
IP, 97
isometrisch
-es Gitter, 8
Joux, A., 45, 85
Kabatiansky, G.A., 20
Kaib, M., 73
Karmarkar, M., 97
Khachiyan, L.G., 97
Knapsack-Problem, siehe Subsetsum
KNF, siehe konjunktive Normalform
Kollision, 87
konjunktive Normalform (KNF), 85
Korkine, A., 49, 75, 77, 79
Korkine-Zolotareff-Konstante, 79
kritische k-reduzierte Basis, 61
kritisches Gitter, 20
Kryptographie, 44
Kugelpackung, 19
kürzester Gittervektor, 87, 99
Kyptographie, 85
l, 95
Lagarias, J.C., 44, 45, 50
LaMacchina, B.A., 45
laminated Gitter, 22
Länge, 102
längenreduziert, 75
längenreduzierte Basis, 12
Lenstra, A.K., 31–33
Lenstra, H.W., 31–33, 50
Levenshtein, V.I., 20
lineare Programmierung
ganzzahlige, 96
rationale, 97
Lovász, L., 31, 33
LLL-reduziert, 31, 41, 57, 75
LLL-Verfahren, 33
Algorithmus, 33
linear abhangige Erzeugendensysteme, 38
lokal extremes Gitter, 20
Lovász, L., 32, 77
Maximums-Norm, 102
Mazo, J.E., 46, 91
Minkowski
erster Satz, 18
Gitterpunktsatz, 18
Ungleichung von, 23
zweiter Satz, 23
Minkowski, H., 17, 18, 20, 23
nächster Gittervektor, 99
Norm, 71, 102
Betrags-, 102
Euklidische, 102
l 1 -, 102
l 2 -, 102
l p -, 102
Maximums-, 102
sup-, 102
Notation, 101
N P, 96
N P-vollständig, 96
{0, 1} − IP, 98
Odlyzko, A.M., 44–46, 91
orthogonale Projektion, 8
Orthogonalsystem, 8
Orton, G., 85
P, 95
p-Norm, 102
paarweisereduzierte Vektoren, 12
parasitärer Gittervektor, 91
Paz, A., 13
polares Gitter, siehe duales Gitter
Polynomialzeit, 95
primitives System, 11
Pseudo-Kollision, 87
Rang, 98
Reduktion, 96
reduzierte Gitterbasis, 25
2-reduzierte Basis zu ‖·‖, 75
β-, 75, 78
k-, 57, 60
block-, 57, 60, 75, 78
(δ, k)-block-, 60
HKZ-, 49, 50, 75, 77, 80
kritische k-, 61
längen-, 12
LLL-, 31, 41, 57, 75
wohlgeordnete, 27
reziprokes Gitter, siehe duales Gitter
Ritter, H., 81, 85
Rucksack-Problem, siehe Subsetsum
3-SAT, 85
Scarf, H., 77

106 INDEX
Schnorr, C.P., 13, 44, 45, 50, 79, 91
schwache Zerlegung, 98
selbstdual, 22
2k-Reduktion (BZK), 51
Semi Block 2k-Basis, 50
Shannon, C.
Entropie-Funktion, 88
Shortest Vector Problem, 99
Sieveking, M., 97, 98
Simplex-Algorithmus, 97
Skalarprodukt, 101
Standard-Skalarprodukt, 101
Stern, J., 45, 85
Subsetsum-Problem, 43, 85, 97
sukzessive Minima, 17
sup-Norm, 102
SVP, 99
tiefes Loch, 22
Tschebycheff-Ungleichung, 89
Ungleichung
Cauchy-Schwarz-, 102
Hadamard’sche, 102
Minkowski’sche, 23
Tschebycheff, 89
unimodulare Matrix, 5
Untergitter, 14
Vetchinkin, N.M., 21
vollständiges Gitter, 8
Volumen-Heuristik, 68, 81
Watson, G.L., 21
Ye, Y., 97
Z-Kern, 97
Zeuge, 96
Zolotareff, G., 49, 75, 77, 79

Literaturverzeichnis
[Aj98]
[Aj03]
M. Ajtai, The Shortest Vector Problem in L 2 is NP-hard for Randomized Reductions.
Proc. 30th STOC, pp. 10–19, 1998.
M. Ajtai, The Worst-case Behavior of Schnorr’s Algorithm Approximating the Shortest
Nonzero Vector in a Lattice. Proc. 35th STOC, pp. 396–406 2003.
[AKS01] M. Ajtai, R. Kumar, and D. Sivakumar, A Sieve Algorithm for the Shortest Lattice
Vector Problem. Proc. 33th STOC, pp. 601–610, 2001.
[Ak02] A. Akhavi, Random Lattices, Threshold Phenomena and Efficient Reduction Algorithms.
Theoret. Comput. Sci., 287, pp. 359–385, 2002.
[Ba86]
L. Babai , On Lovász’ Lattice Reduction and the nearest Lattice Point Problem, Combinatorica,
Band 6, Seiten 1–13, 1986.
[Bar59] E.S. Barnes , The Contruction of perfect and extreme Forms II, Acta Arithmetica, Band
5, Seiten 205-222, 1959.
[BaKa84] A. Bachem und R. Kannan , Lattices and the Basis Reduction Algorithm, Technischer
Report, Carnegie-Mellon-Universität (USA), (1984).
[BeWe93] Th. Becker und V. Weispfennig, Gröbner Bases — a computational Approach to
commutative Algebra, Graduate Texts in Mathematics, Band 141, Springer-Verlag, Berlin/Heidelberg,
1993.
[Bli14] H.F. Blichfeldt, A new Principle in the Geometry of Numbers with some Applications,
Transaction of the American Mathematical Society, Band 15, Seiten 227–235, 1914.
[Bli29] H.F. Blichfeldt , The Minimum Value of quadratic Forms and the closet Packing of Sphere,
Mathematische Annalen, Band 101, Seiten 366-389, 1929.
[Bli35] H.F. Blichfeldt, The minimum Value of positive Quadratic Forms in six, seven and eight
Variables, Mathematische Zeitschrift, Band 39, Seiten 1–15, 1935.
[Be80]
G. Bergman, Notes on Ferguson and Forcade’s Generalized Euclidean Algorithm. TR.
Dep. of Mathematics, University of Berkeley, CA, 1980.
[BM03] J. Blömer and A. May New Partial Key Exposure Attacks on RSA. Proc. Crypto’2003,
Lecture Notes in Comp.Sci., 2729, Springer, New York, pp. 27 - 43, 2003.
[BS99] J. Blömer and J.P. Seifert, On the Complexity of Computing Short Linearly Independent
Vectors and Short Bases in a Lattice. Proc. 31th STOC, pp. 711–720, 1999.
[Bo00]
D. Boneh, Finding Smooth Integers in Small Intervals Using CRT Decoding. Proc. 32th
STOC, pp. 265-272, 2000.
107

108 LITERATURVERZEICHNIS
[Bb65] B. Buchenberger 1965, Ein Algorithmus zum Auffinden der Basiselemente des Restklassenrings
nach einem nulldimensionalen Polynomideal, Dissertation, Fachbereich Mathematik,
Universität Insbruck (Österreich), 1965.
[Ca00]
[Co97]
[Co01]
[Ca71]
[Co93]
J. Cai, The Complexity of some Lattice Problems. Algorithmic Number Theory, Lecture
Notes in Comput. Sci., 1838, Springer, New York, pp. 1-32, 2000.
D. Coppersmith, Small Solutions to Polynomial Equations, and Low Exponent RSA Vulnerabilities.
J. Cryptology, 10, pp. 233-260, 1997.
D. Coppersmith, Finding Small Solutions to Small Degree Polynomials. Cryptography and
Lattices, Lecture Notes in Comput. Sci., Springer, New York, 2146, pp. 20-31, 2001.
J.W.S. Cassels , An Introduction to the Geometry of Numbers, Springer-Verlag, Berlin/Heidelberg,
1971.
H. Cohen , A Course in Computational Algebraic Number Theory, Graduate Texts in
Mathematics, Band 138, Springer-Verlag, Berlin/Heidelberg, 1993.
[CoSl88] J.H. Conway und N.J. Sloane , Sphere Packings, Lattices and Groups, Springer-Verlag,
New York, 1988.
[CJLOSS92] M.J. Coster, A. Joux, B.A. LaMacchina, A.M. Odlyzko, C.P. Schnorr und J. Stern,
An improved low-density Subset Sum Algorithm, Computational Complexity, Band 2,
Seiten 111–128, 1992.
[CR88] B. Chor und R.L. Rivest, A Knapsack type Public Key Cryptosystem based on Arithmetic
in finite Fields, IEEE Transaction Information Theory, Band IT-34, Seiten 901–909, 1988.
[Då89] I.B. Dåmgard, A Design Principle for Hash Functions, Advances in Cryptology, Proceedings
EuroCrypt ’89, Lecture Notes in Computer Science, Band 435 (1990), Springer-
Verlag, Berlin/Heidelberg, Seiten 416–427, 1989.
[Da63] G.B. Dantzig , Linear Programming and Extensions, Princeton University Press, Princeton,
New Jersey (dt. Übersetzung ”
Lineare Programmierung und Erweiterungen“ 1966 im
Springer-Verlag, Berlin/Heidelberg, erschienen), 1963.
[DV94] H. Daudé and B. Vallée, An Upper Bound on the Average Number of Iterations of the
LLL algorithm, Theoret. Comput. Sci., 123, pp. 395–115, 1994.
[Di1842] G.L. Dirichlet, Verallgemeinerung eines Satzes aus der Lehrere von Kettenbrüchen nebst
einigen Anwendungen auf die Theorie der Zahlen, Bericht über die zur Bekanntmachung
geeigneter Verhandlungen der Königlich Preussischen Akademie der Wissenschaften zu
Berlin, Seiten 93–95, 1842.
[DKT87] P.D. Domich, R. Kannan und L.E. Trotter, Hermite normal Form Computation using
modulo Determinant Arithmetic, Mathematics of Operation Research, Band 12, Nr. 1
(Februar), Seiten 50–59, 1987.
[EB81] P. van Emde Boas, Another N P-complete Partition Problem and the Complexity of Computing
short Vectors in a Lattice, Technischer Report 81-04, Fachbereich Mathematik der
Universität Amsterdam, 1981.
[E91]
[Fe68]
M. Euchner , Praktische Algorithmen zur Gitterreduktion und Faktorisierung, Diplomarbeit,
Fachbereich Informatik der Johann-Wolfgang-Goethe-Universität, Frankfurt/Main,
1991.
W. Feller, An Introduction to Probability Theory and its Application, Band I, 3. Auflage,
John Wiley & Sons, New York, 1968.

LITERATURVERZEICHNIS 109
[Fr86]
A.M. Frieze , On the Lagarias-Odlyzko Algorithm for the Subset Sum Problem, SIAM
Journal on Computing, Band 15, Nr. 2, Seiten 536–539, 1986.
[GaSi78] J. von zur Gathen und M. Sieveking , A Bound on Solution of linear Integer Equations
and Inequations, Proceedings of the American Mathematical Society, Band 72, Seiten
155–158, 1978.
[GaJo79] M.R. Garey, D.S. Johnson, Computer and Intractability: A Guide to the Theory of
N P-Completness, W.H. Freeman and Company, San Francisco, 1979.
[G1801] C.F. Gauß , Disquisitiones Arithmeticae, Gerhard Fleischer, Leipzig. Deutsche Übersetzung
(1889): ”
Untersuchung über höhere Arithmetik“, Springer-Verlag, Berlin/Heidelberg,
1801.
[GrLek87] M. Gruber und C.G. Lekkerkerker, Geometry of Numbers, 2. Auflage, North-Holland,
Amsterdam, 1987.
[GLLS88] M. Grötschel, L. Lovász and A. Schrijver, Geometric Algorithms and combinatorial Optimization,
Algorithms and Combinatorics, Band 2, Springer-Verlag, Berlin/Heidelberg,
1988.
[GHKN06] N. Gama, N. How-Grave-Graham, H. Koy and P. Nguyen, Rankin’s Constant and
Blockwise Lattice Reduction, In Proc. CRYPTO 2006, LNCS 4117, Springer-Verlag, Berlin/Heidelberg,
pp. 112–139, 2006.
[GN08a] N. Gama and P. Nguyen, Predicting Lattice Reduction. In Proc. EUROCRYPT 2008,
LNCS 4965, Springer-Verlag, Berlin/Heidelberg, pp. 31–51, 2008.
[GN08b] N. Gama and P. Nguyen, Finding Short Lattice Vectors within Mordell.s Inequality, In
Proc. of the 2008 ACM Symposium on Theory of Computing, pp. 208–216, 2008.
[GNR10] N. Gama, P.Q. Nguyen and O. Regev, Lattice enumeration using extreme pruning, Proc.
EUROCRYPT 2010, LNCS 6110, Springer-Verlagg, pp. 257–278, 2010, final version to be
published.
[HaMcC91] J. Hafner und K. McCurley , Asymptotic Fast Triangulation of Matrices over Ring,
SIAM Journal on Computing, Band 20, Nr. 6, Seiten 1068–1083, 1991.
[HJLS89] J. Håstad, B. Just, J.C. Lagarias und C.P. Schnorr , Polynomial Time Algorithms for
Finding Integer Relations among real Numbers, SIAM Journal on Computing, Band 18,
Nr. 5, Seiten 859–881, 1989.
[HT98] C. Heckler and L. Thiele Complexity Analysis of a Parallel Lattice Basis Algorithm. Siam
J. Comput. 27(5), pp. 1295–1302, 1998.
[He85]
B. Helfrich 1985, Algorithms to construct Minkowski reduced and Hermite reduced Lattice
Bases, Theoretical Computer Science, Band 41, Seiten 125–139, 1985.
[He1850] C. Hermite , Extraits de lettres de M. Ch. Hermite à M. Jacobi sur differents objets de
la théorie des nombres, Deuxième lettre, Reine Angewandte Mathematik, Band 40, Seiten
279–290, 1850.
[Hl44] E. Hlawka , Zur Geometrie der Zahlen, Mathematische Zeitschrift, Band 49, Seiten 285–
312, 1944.
[J48]
F. John , Extremum Problems with Inequalities as subsidiary Conditions, in K.O. Friedrichs,
O.E. Neugebauer und J.J. Stoker (Ed.): ”
Studies and Essays presented to R. Courant
on his 60th Birthday Januar 8, 1948“, Interscience Publisher, New York, Seiten 187–204,
1948.

110 LITERATURVERZEICHNIS
[JoSt94] A. Joux und J. Stern , Lattice Reduction: A Toolbox for the Cryptanalyst, Technischer
Report, DGA/CELAR, Bruz (Frankreich). Eingereicht bei Journal of Cryptology, 1994.
[KaLe78] G.A. Kabatiansky und V.I. Levenshtein , Bounds for Packings on a Sphere and in Space,
Problems of Information Transmission, Band 14, Seiten 1–17, 1978.
[Ka91] M. Kaib , The Gauß Lattice Basis Reduction succeeds with any Norm, Proceedings of
Fundamentals of Computation Theory (FCT ’91), Springer Lecture Notes in Computer
Science, Band 591, Seiten 275–286, 1991.
[Ka94] M. Kaib , Gitterbasenreduktion für beliebige Normen, Dissertation, Fachbereich Mathematik
der Johann-Wolfgang-Goethe-Universität, Frankfurt/Main, 1994.
[KS96] M. Kaib und C.P. Schnorr, The Generalized Gauss Reduction Algorithm, Journal of
Algorithms, Band 21, Nr. 3 (November), Seiten 565–578, 1996.
[KaBa79] R. Kannan und A. Bachem, Polynomial Algorithm for Computing the Smith and the
Hermite Normal Form of an Integer Matrix, SIAM Journal on Computing, Band 8, Seiten
499–507, 1979.
[K87]
R. Kannan, Minkowski’s Convex Body Theorem and Integer Programming. Math. Oper.
Res., 12, pp. 415–440, 1987.
[Ka01] H. Koy, Notes of a Lecture. Frankfurt 2004., //www.mi.informatik.unifrankfurt.de/index.html#publications
[Ka84] M. Karmarkar, A new Polynomial-Time Algorithm for Linear Programming, Combinatorica,
Band 4, Seiten 373–395, 1984.
[Kh79] L.G. Khachiyan, A Polynomial Algorithm in Linear Programming, Soviet Mathmatics
Doklady, Band 20, Seiten 191–194, 1979.
[Kh80] L.G. Khachiyan, Polynomial Algorithms in Linear Programming, U.S.S.R. Computational
Mathematics and Mathematical Physics, Band 20, Seiten 53–72, 1980
[Kh05] S. Khot, Hardness of Approximating the Shortest Vector Problem in Lattices, Journal of
the ACM, Vol. 52, No. 5, Seiten 789–803, 2005.
[Kh71] D.E. Knuth, The Art of Computer Programming, Fundamental Algorithms, Band I,
Addison-Wesley, Reading, 2001.
[KZ1872] A. Korkine und G. Zolotareff, Sur les formes quadratique positive quaternaires, Mathematische
Annalen, Band 5, Seiten 366-389, 1872.
[KZ1873] A. Korkine und G. Zolotareff, Sur les formes quadratique, Mathematische Annalen,
Band 6, Seiten 366–389, 1873
[KZ1877] A. Korkine und G. Zolotareff, Sur les formes quadratique positive, Mathematische Annalen,
Band 11, Seiten 242–292, 1877.
[KS01a] H. Koy and C.P. Schnorr, Segment LLL-Reduction. Cryptography and Lattices,
Lecture Notes in Comput. Sci., 2146, Springer, New York, pp.67–80, 2001.
//www.mi.informatik.uni-frankfurt.de/research/papers.html
[KS01b] H. Koy and C.P. Schnorr, Segment LLL-Reduction with Floating Point Orthogonalization.
Cryptography and Lattices, Lecture Notes in Comput. Sci., 2146, Springer, New York,
pp. 81–96, 2001. //www.mi.informatik.uni-frankfurt.de/research/papers.html
[KS02] H. Koy and C.P. Schnorr, Segment and Strong Segment LLL-Reduction of
Lattice Bases. TR Universität Franfurt, April 2002, //www.mi.informatik.unifrankfurt.de/research/papers.html

LITERATURVERZEICHNIS 111
[Ko04] H. Koy, Files of a lecture, Frankfurt, May 2004, //www.math.uni-frankfurt.de/ dmst/,
see publications.
[LA]
M. Kaib, R. Mirwald, C. Rössner, H.H. Hörner, H. Ritter (1994): Programmieranleitung
für LARIFARI — Version 13.07.1994, Fachbereiche Mathematik und Informatik der
Johann-Wolfgang-Goethe-Universität, Frankfurt/Main.
[La1773] J.L. Lagrange, Recherches d’arithmétique, Nouveaux Mémoires de l’Académie Royale
des Sciences et Belles-Lettres, Berlin, Seiten 265–312,1773.
[Lang93] S. Lang, Algebra, 3. Auflage, Addison-Wesley, Reading, 1993
[LLS90] J.C. Lagarias, H.W. Lenstra und C.P. Schnorr, Korkin-Zolotarev Bases and successive
Minima of a Lattice and its reciprocal lattice, Combinatorica, Band 10, Seiten 333–348,
1998.
[LaOd85] J.C. Lagarias und A.M. Odlyzko, Solving low-density Subset Sum Problems, Journal of
ACM, Band 32, Nr. 1, Seiten 229–246, 1985.
[LLL82] A.K. Lenstra, H.W. Lenstra und L. Lovász, Factoring Polynomials with Rational Coefficients,
Springer Mathematische Annalen, Band 261, Seiten 515–534, 1982.
[Lenstra83] H.W. Lenstra, Integer Programming in a fixed Number of Variables, Mathematics of
Operation Research, Band 8, Nr. 4 (November), Seiten 538–548, 1983.
[Lováz86] L. Lovász, An algorithmic Theory of Numbers, Graphs and Convexity, CBMS-NSF
Regional Conference Series in Applied Mathematics, Band 50, SIAM Publications, Philadelphia,
1986
[LoSc92] L. Lovász und H. Scarf, The Generalized Basis Reduction Algorithm, Mathematics of
Operation Research, Band 17, Nr. 3 (August), Seiten 751–764, 1992
[MaOd90] J.E. Mazo und A.M. Odlyzko, Lattice Points in high-dimensional Sphere, Monatsheft
Mathematik, Band 110, Seiten 47–61, 1930.
[Ma03] A. May, New RSA Vulnerabilities Using Lattice Reduction Methods. Dissertation Thesis,
University of Paderborn, October 2003.
[ML01] S. Mehrotra and Z. Li, Reduction of Lattice Bases Using Modular Arithmetic. TR. Dept.
of Industrial Engeneering and Management Sciences, Northwestern University, Evanston,
Il. Oct 2001, mehrotra, zhifeng@iems.nwu.edu.
[MH78] R.C. Merkle and M.E. Hellman, Hiding Information and Signatures in Trapdoor
Knapsacks, IEEE Trans. Inform. Theory, vol, IT-30, 594–601, 1984.
[MG02] D. Micciancio and S. Goldwasser, Complexity of Lattice Problems: A Cryptographic
Perspective. Kluwer Academic Publishers, Boston, London, 2002.
[Mi1896] H. Minkowski, Geometrie der Zahlen, erste Auflage, Teubner-Verlag, Leipzig, 1896.
[Mi1911] H. Minkowski, Gesammelte Abhandlungen, Band I und II, Teubner-Verlag, Leipzig, 1911.
[Mis93] B. Mishra, Algorithmic Algebra, Texts and Monographs in Computer Science, Springer-
Verlag, New-York, 1993.
[NS06] P. Nguyen and D. Stehlé, LLL on the average. In Proc. ANTS-VII, LNCS 4076, Springer-
Verlag, Berlin New York, pp. 238–356, 2006.
[O90]
A. M. Odlyzko, The rise and fall of knapsack cryptosystems. In Cryptology and Computational
Number Theory, C. Pomerance ed., Proc. Symp. Appl. Math. 12 Amer. Math,
Soc, Providence, 1990, 75–88,

112 LITERATURVERZEICHNIS
[PS87]
A. Paz and C.P.Schnorr, Approximating integer lattices by lattices with cyclic factor
groups. Proceedings 14th International Colloquium on Automata, Languages and Programming
(ICALP), LNCS 267, Springer-Verlag, Berlin New York, pp. 386–393, 1987.
[R89] J.A. Rush, A lower bound on packing spheres. Invent. math., 98, pp. 499–509, 1989.
[Ri96]
[S87]
[S93]
[S94]
[SE94]
H. Ritter: Breaking Knapsack Cryptosystems by l ∞ -norm enumeration. Proceedings of 1st
International Conference on the Theory and Applications of Cryptography–PragoCrypt
’96, CTU Publishing House, Prag, Seiten 480–492, 1996.
C.P.Schnorr, A Hierarchy of polynomial time lattice basis reduction algorithms. Theoretical
Computer Science, 53, pp. 201–224, 1987.
C.P.Schnorr, Factoring integers and computing discrete logarithms via Diophantine approximation.
In Advances in Computational Complexity, AMS, DIMACS Series in Discrete
Mathematics and Theoretical Computer Science, 13, pp. 171–182, 1993. Preliminary
version in Proc. EUROCRYPT’91, LNCS 547, Springer-Verlag, Berlin New York, pp. 281–
293, 1991. //www.mi.informatik.uni-frankfurt.de.
C.P.Schnorr, Block reduced lattice bases and successive minima. Comb. Prob. and Comp.
3, pp. 507–522, 1994.
C.P. Schnorr and M. Euchner, Lattce basis reduction: Improved practical algorithms
and solving subset sum problems. Mathematical Programming 66, pp. 181–199, 1994.
Preliminary version in Proc. FCT’91, LNCS 591, Springer-Verlag, Berlin New York, pp.
68–85, 1991. //www.mi.informatik.uni-frankfurt.de.
[SH95] C.P. Schnorr and H.H. Hörner, Attacking the Chor–Rivest cryptosystem by improved
lattice reduction. In Proc. EUROCRYPT’95, LNCS 921, Springer-Verlag, Berlin New
York, pp. 1–12, 1995. //www.mi.informatik.uni-frankfurt.de.
[S03]
[S06]
[S07]
[S10]
[Sc84]
C.P. Schnorr, Lattice reduction by sampling and birthday methods. Proc. STACS
2003: 20th Annual Symposium on Theoretical Aspects of Computer Science, LNCS
2007, Springer-Verlag, Berlin New York, pp. 146–156, 2003. //www.mi.informatik.unifrankfurt.de
C.P. Schnorr, Fast LLL-type lattice reduction. Information and Computation, 204, pp.
1–25, 2006. //www.mi.informatik.uni-frankfurt.de
C.P. Schnorr, Progress on LLL and lattice reduction, Proceedings LLL+25, Caen,
France, June 29–July 1, 2007, Final version to appear by Springer-Verlag, 2009.
//www.mi.informatik.uni-frankfurt.de
C.P. Schnorr, Average Time Fast SVP und CVP Algorithms for Low Density Lattices
and the Factorization of Integers. Technical Report, University Frankfurt, Sepember 2010.
//www.mi.informatik.uni-frankfurt.de
i
C.P. Schnorr und T. Shevchenko, Solving Subset Sum Problems of Density
close to 1 by randomized”BKZ-reduction. Cryptology ePrint Archiv: Report
¯bitem[SS12]SS12
2013/620,
A. Schönhage, Factorization of Univariate Integer Polynomials by Diophantine Approximation
and Improved Lattice Basis Reduction Algorithm. Proc. 11-th Coll. Automata,
Languages and Programming, Antwerpen 1984, Lecture Notes in Comput. Sci., 172, Springer,
New York, pp. 436–447, 1984.
[Schr86] A. Schrijver, Theory of Linear and Integer Programming, Wiley-Interscience Series in
discrete Mathematics and Optimization, John Wiley & Son Ltd, 1986.
[Se93]
M. Seysen, Simultaneous Reduction of a Lattice and its reciprocal Basis, Combinatorica,
Band 13, Seiten 363–376, 1993.

LITERATURVERZEICHNIS 113
[Si89]
C.L. Siegel, Lectures on the Geometry of Numbers, Springer-Verlag, Berlin/Heidelberg,
1989.
[Sm1861] H.J.S. Smith, On Systems of linear indeterminate Equations and Congruences, Philosophical
Transaction of the Royal Society of London, Band 151, Seiten 293–326, 1861.
[SS76]
[St96]
[V82]
[W66]
[Ye91]
E. Specker und V. Strassen, Komplexität von Entscheidungsproblemem, Lecture Notes in
Computer Science, Band 43, Springer-Verlag, Berlin/Heidelberg, 1976.
A. Storjohann, Faster Algorithms for Integer Lattice Basis Reduction.
TR 249, Swiss Federal Institute of Technology, ETH-Zurich, Department of Computer
Science, Zurich, Switzerland, July 1996.
//www.inf.ethz.ch/research/publications/html.
N.M. Vetchinkin, Uniqueness of Classes of positive quadratic Forms on which Values of
the Hermite Constants are attained for 6 ≤ n ≤ 8, Proceedings of the Steklov Institute of
Mathematics, Nr. 3, Seiten 37–95, 1982.
G.L. Watson, On the Minimum of a positiv Quadratic Form in n (n ≤ 8) Variables
(Verification of Blichfeldt’s Calculations), Proceeedings of the Cambrigde Philosophical
Society (Mathematical and Physical Science), Band 62, Seite 719, 1966.
Y. Ye, Potential Reduction Algorithm for Linear Programming, Mathematical Programming,
Band 51, Seiten 239–258, 1991.