Gitter und Kryptographie - Goethe-Universität

Weitere Magazine

Empfehlungen

Info

18 KAPITEL 2. SUKZESSIVE MINIMA UND MINKOWSKI-SÄTZE y i ∈ ( ) [( ) ] 1 + 1 i S ∩ 1 + 1 i S + bi Da S kompakt ist, hat die Folge (y i ) i∈N einen Häufungspunkt y ∈ S. Für jede Teilfolge ( ) y α(i) i∈N die gegen y konvergiert ist die Folge ( b α(i) ⊂ L beschränkt und hat einen Häufungspunkt )i∈N b ∈ L \ {0}. Es folgt: y ∈ S ∩ (S + b). □ Satz 2.1.2 (Minkowski’s Convex Body Theorem) Sei L ⊂ R n Gitter der dim L = n und S ⊂ span(L) konvex, kompakt und nullsymmetrisch. Wenn vol(S) ≥ 2 n det(L) dann gilt |S ∩ L| ≥ 3. Beweis. Für S ′ := 1 2 S gilt vol(S′ ) = 2 −n vol(S) ≥ det L. Nach Lemma 2.1.1 gibt es x, y ∈ S ′ , x ≠ y so dass x−y ∈ L. Somit gilt 2x, 2y ∈ S und −2x ∈ S weil S nullsymmetrisch ist. Weil S konvex ist folgt ±(2x − 2y)/2 = ±(x − y) ∈ S. □ Satz 2.1.3 Sei L ⊂ R n Gitter der dim L = n und K ⊂ R n Eichkörper einer beliebigen Norm ‖ ‖. Dann gilt λ 1,‖ ‖ (L) ≤ 2 vol(K) −1/n det L 1/n . Beweis. S := (det L/ vol(K)) 1/n K ist konvex und nullsymmetrisch mit vol(S) = det L. Nach Lemma 2.1.1 gibt es ein b ∈ L \{0} mit S ∩(S +b) ≠ ∅. Sei y im Durchschnitt, also y, b−y ∈ S. Die Dreiecksungleichung liefert ‖b‖ ≤ ‖b − y‖ + ‖y‖ ≤ 2 (det L/ vol(K)) 1/n . □ Es bezeichne B n (b, r) = {x ∈ R n : ‖x − b‖ ≤ r} die n-dimensionale Kugel mit Radius r und Mittelpunkt b in span(L). Ihr Volumen ist mit e = ∑ ∞ n=0 1/n! : (2.1) V n r n := r n π n 2 / Γ(1 + n 2 ) = rn ( 2 eπ n ) n 2 ( 1 πn )1/2 (1 − Θ( 1 n )). Dabei gilt Γ ( 1 √ 2) = π, Γ(n + 1) = n!, Γ(x + 1) = x Γ(x) für n ∈ N, x ∈ R. Für x ∈ R>0 gilt nach Stirling Γ(x + 1) = √ 2πx ( x e )x (1 + 1 12x + Θ( 1 x )) [Knuth 71, Sektion 1.2.5, 1.2.11.2]. 2 Nach Satz 2.1.3 gilt damit für Gitter der Dimension n dass λ 2 1(L) ≤ 2n+o(n) eπ (det L) 2/n . Im Falle der Norm l ∞ mit Eichkörper K ∞ gilt in Satz 2.1.3 dass vol(K ∞ ) = 2 n . Damit liefert Satz 2.1.3 die scharfe Schranke λ 1,∞ (L) ≤ (det L) 1 n . Es gilt λ 1,∞ (Z n ) = 1 = (det Z n ) 1 n . Satz 2.1.4 (Dirichlet 1842) Zu beliebigen reellen Zahlen α 1 , . . . , α n und ɛ ∈ ] 0, 1 2[ gibt es ganze Zahlen p1 , . . . , p n und q mit 0 < q ≤ ɛ −n , so dass | α i − p i /q | ≤ ɛ/q für i = 1, . . . , n. Beweis. Eine Lösung (p 1 , ..., p n , q) findet man durch Konstruktion eines kürzesten Vektors in der sup-Norm l ∞ zum Gitter L(B) mit folgender Gitterbasis ⎡ ⎤ 1 0 · · · 0 α 1 . 0 1 .. . α2 B = . ⎢. .. . .. 0 . ∈ R (n+1)2 . ⎥ ⎣0 0 1 α n ⎦ 0 · · · · · · 0 ɛ n+1 Wegen det B = ɛ n+1 gilt nach Satz 2.1.3 λ 1,∞ (L(B)) ≤ (det B) 1 n+1 = ɛ. Für jeden ‖ ‖∞ -kürzesten Gittervektor B(p 1 , ..., p n , q) t gilt also |p i − α i q | ≤ ɛ und |qɛ n+1 | ≤ ɛ und somit |q| ≤ ɛ −n . □
2.2. PACKUNGSDICHTE, HERMITE-KONSTANTE, KRITISCHE GITTER 19 Dirichlet bewies Satz 2.1.4 inkonstruktiv mit dem Schubfachprinzip. Satz 2.1.5 Sei L Gitter der Dimension n und ¯b 1 , ..., ¯b n ∈ L linear unabhängig mit ||¯b i || = λ i für i = 1, ..., n. Dann gibt es eine Basis b 1 , ..., b n von L so dass für i = 1, ..., n 1. L(b 1 , ..., b i ) = span(¯b 1 , ..., ¯b i ) ∩ L, ( 2. bi = ¯b i oder ||π i (b i )|| ≤ 1 2 λ ) i und ||bi || 2 ≤ max(1, i 4 )λ2 i . Damit hat jedes Gitter L eine Basis b 1 , ..., b n so dass ||b i || ≤ λ i √ i/4 für i = 4, .., n. Insbesondere gilt ||b i || = λ i für i = 1, .., 4 und die Schranke ||b i || ≤ λ i √ i/4 ist scharf für i > 4. Beweis durch Induktion nach n. Die Induktionsannahme für n − 1 sei für b 1 , ..., b n−1 ∈ L erfüllt. Wir konstruieren b n . Im Fall L ∩ P(b 1 , ..., b n−1 , ¯b n ) = {0} gilt L(b 1 , ..., b n−1 , ¯b n ) = L und damit gilt die Induktionsbehauptung für b n := ¯b n . Andernfalls wählt man für b n eine Minimalstelle von ||π n (b)|| ≠ 0 für b ∈ L ∩ P(b 1 , ..., b n−1 , ¯b n ). Diese Wahl von b n minimiert vol P(b 1 , ..., b n−1 , b n ) sowie det L(b 1 , ..., b n ). Somit sichert sie dass L(b 1 , ..., b n ) = L, denn für echte Untergitter ¯L ⊂ L gilt det ¯L > det L. Weil ||π n (b n )|| minimal ist mit ||π n (b n )|| ≠ 0 folgt ||π n (b n )|| ≤ 1 2 ||¯b n || = 1 2 λ n. Schliesslich reduzieren wir b n mod ¯b i für i = n − 1, ...., 1 so dass ||¯π i (b n )|| ≤ 1 2 ||¯b i || für die orthogonale Projektion ¯π i : span(¯b 1 , ..., ¯b i ) → span(¯b 1 , ..., ¯b i−1 ) ⊥ . Im Fall b i = ¯b i sichert dies ¯π i+1 (b n ) = π i (¯b n ). Es folgt ||b n || 2 ≤ ∑ n i=1 ||¯π i(b n ) − ¯π i+1 (b n )|| 2 ≤ 1 4 ∑ n i=1 ||¯b i || 2 = 1 4 ∑ n i=1 λ2 i ≤ n 4 λ2 n. Dabei ist ¯π i (b n ) − ¯π i+1 (b n ) der Orthogonalanteil von b n in span(¯b 1 , ..., ¯b i ) ∩ span(¯b 1 , ..., ¯b i−1 ) ⊥ . Im Fall b i = ¯b i ist dieser Anteil 0. Diese Anteile sind für alle i paarweise orthogonal. □ 2.2 Packungsdichte, Hermite-Konstante, kritische Gitter Gitterartige Kugelpackung. Die gitterartige Kugelpackung ⋃ b∈L B n(b, λ 1 /2) zum Gitter L besteht aus allen Kugeln B n (b, λ 1 /2) mit Radius λ 1 /2 und Mittelpunkten b ∈ L. Dichte des Gitters. Die (Packungs-)Dichte △(L) des Gitters L ist der Volumenanteil der Kugelpackung ⋃ b∈L B n(b, λ 1 /2) von span(L) und △ n das Supremum für alle L mit dim L = n: △(L) = def λ n 1 2 −n V n / det L, △ n = def sup{△(L) | dim L = n}. △(L) ist invariant gegen Äquivalenz, bleibt also bei Isometrie und Skalierung von L erhalten. Für konstante n und det(L) ist die Dichte genau dann maximal, wenn λ 1 maximal ist. Der analoge Kode zum Gitter L. Nachrichten werden in Gittervektoren b ∈ L kodiert. Die Kodeworte b ∈ L werden mit reellen Fehlervektoren e ∈ span(L) übertragen. Ein gestörtes Kodewort b + e ist genau dann eindeutig dekodierbar, wenn ‖e‖ < λ 1 /2. Dann ist b nämlich nächster Gittervektor zu b + e. Mit der Dichte △(L) von L wächst also das Korrekturpotential des analogen Kodes.
Seite 1: Vorlesungen von Prof. Dr. C.P. Schn
Seite 4 und 5: 4 INHALTSVERZEICHNIS 6.2 Semi Block
Seite 6 und 7: 6 KAPITEL 1. GITTER IN LINEAREN RÄ
Seite 8 und 9: 8 KAPITEL 1. GITTER IN LINEAREN RÄ
Seite 10 und 11: 10 KAPITEL 1. GITTER IN LINEAREN R
Seite 20 und 21: 20 KAPITEL 2. SUKZESSIVE MINIMA UND
Seite 26 und 27: 26 KAPITEL 3. GAUSS-REDUKTION ♣
Seite 28 und 29: 28 KAPITEL 3. GAUSS-REDUKTION zeich
Seite 30 und 31: 30 KAPITEL 3. GAUSS-REDUKTION
Seite 32 und 33: 32 KAPITEL 4. LLL-REDUZIERTE GITTER
Seite 44 und 45: 44KAPITEL 5. LÖSEN VON SUBSETSUM-P
Seite 50 und 51: 50 KAPITEL 6. HKZ- UND BLOCK-REDUKT
Seite 64 und 65: 64 KAPITEL 7. N P-VOLLSTÄNDIGE GIT
Seite 66 und 67: 66 KAPITEL 7. N P-VOLLSTÄNDIGE GIT
Seite 68 und 69:
68 KAPITEL 8. KONSTRUKTION EINES K
Seite 70 und 71:
70 KAPITEL 8. KONSTRUKTION EINES K
Seite 72 und 73:
72 KAPITEL 9. GITTERREDUKTION IN BE
Seite 74 und 75:
Seite 76 und 77:
Seite 78 und 79:
Seite 80 und 81:
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
86 KAPITEL 10. ANWENDUNGEN DER GITT
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
96 KAPITEL 11. KOMPLEXITÄT, N P-VO
Seite 98 und 99:
98 KAPITEL 11. KOMPLEXITÄT, N P-VO
Seite 100 und 101:
100 KAPITEL 11. KOMPLEXITÄT, N P-V
Seite 102 und 103:
102 Jedes Skalarprodukt 〈·, ·
Seite 104 und 105:
Index Abstandsfunktion, 71 Algorith
Seite 106 und 107:
106 INDEX Schnorr, C.P., 13, 44, 45
Seite 108 und 109:
108 LITERATURVERZEICHNIS [Bb65] B.
Seite 110 und 111:
110 LITERATURVERZEICHNIS [JoSt94] A
Seite 112 und 113:
112 LITERATURVERZEICHNIS [PS87] A.
Alle anzeigen

Gitter und Kryptographie - Goethe-Universität

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?