Gitter und Kryptographie - Goethe-Universität

Weitere Magazine

Empfehlungen

Info

26 KAPITEL 3. GAUSS-REDUKTION ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ a ♣ ♣ ♣ ♣ ✶ +a − b ✕ +a + b 0 ✲ −b b −a − b ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣♣ ♣ ♣ −a + b ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ ♣ Abbildung 3.1.1: Reduzierte Basis a, b 3.2 Reduktionsverfahren für die Euklidische Norm Für die Euklidischen Norm ‖x‖ = √ x t x gilt offenbar mit µ 2,1 = a t b ‖a‖ −2 dass µ 2,1 ≤ 1 2 ⇐⇒ ‖b‖ ≤ ‖a − b‖ , µ 2,1 ≥ 0 ⇐⇒ ‖a − b‖ ≤ ‖a + b‖ . Damit ist die Basis a, b genau dann reduziert, wenn ‖a‖ ≤ ‖b‖ , |µ 2,1 | ≤ 1 2 . Wir betrachten nur reduzierte Basen mit der Zusatzbedingung µ 2,1 ≥ 0. µ 2,1 = 0 ❘ ♣♣♣♣♣♣♣♣♣✗♣ ♣♣♣♣♣♣♣♣♣ ❨ µ2,1 = 1 2 b ✮ ‖a‖ = ‖b‖ a ✲ ♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣♣ - Abbildung 3.2.1: Bereich der reduzierten Basen a, b mit µ 2,1 ≥ 0 Abbildung 3.2.1 zeigt zu festem a den gepunkteten Bereich der Vektoren b der reduzierten Basen a, b mit µ 2,1 ≥ 0. Sei φ = ∠(a, b) der Winkel zwischen den Gittervektoren a, b, cos φ = a t b ‖a‖·‖b‖ . Für reduzierte Basen a, b gilt 60◦ ≤ φ ≤ 90 ◦ . Im Fall µ 2,1 = 1 2 ist mit a, b auch a, a − b reduziert. Im Fall ‖a‖ = ‖b‖ ist mit a, b auch b, a reduziert. In den übrigen Fällen gibt es nur die reduzierten Basen ±a, ±b.
3.2. REDUKTIONSVERFAHREN FÜR DIE EUKLIDISCHE NORM 27 Algorithmus 3.2.1 Gauß-Reduktionsverfahren für die Euklidische Norm EINGABE : Gitterbasis b 1 , b 2 ∈ R n mit ‖b 1 ‖ ≤ ‖b 2 ‖ WHILE |µ 2,1 | > 1 2 DO /∗ µ2,1 = b⊤ 1 b 2‖b 1‖ −2 ∗/ 1. b 2 := b 2 · sign(µ 2,1 ) /∗ wir erreichen µ 2,1 ≥ 0 ∗/ 2. b 2 := b 2 − ⌈µ 2,1 ⌋b 1 3. IF ‖b 1 ‖ > ‖b 2 ‖ THEN vertausche b 1 und b 2 AUSGABE : Reduzierte Basis b 1 , b 2 Eine Runde der Schritte 1. 2. 3. sichert in Schritt 1. durch Vorzeichenwahl von b 2 dass µ 2,1 ≥ 0, reduziert in Schritt 2. gemäß b 2 := b 2 − ⌈µ 2,1 ⌋b 1 und vertauscht in Schritt 3. sofern nicht schon ‖b 1 ‖ ≤ ‖b 2 ‖ gilt. Nach Schritt 1. gilt stets ‖b 1 ‖ ≤ ‖b 2 ‖ und µ 2,1 ≥ 0. Die Schritte 2. 3. lauten bei Vertauschung in Matrizenschreibweise [ ] −⌈µ2,1 ⌋ 1 [b 1 , b 2 ] := [b 1 , b 2 ] . 1 0 In Schritt 3. wird bis auf die letzte Runde notwendigerweise vertauscht. Zu gegebener reduzierten Ausgabebasis b 1 , b 2 und Rundenzahl k der Gauß-Reduktion identifizieren wir eine minimale Eingabebasis, welche in k Runden auf b 1 , b 2 reduziert wird. Die Minimalität der Basis bedeutet, dass ihre Vektoren minimale Länge haben. Eine solche Eingabebasis heißt eine minimale k-te Vorgängerbasis zu b 1 , b 2 . Satz 3.2.1 1. Zur reduzierten Basis b 1 , b 2 und Rundenzahl k ist [b 1 , b 2 ] A k minimale k-te Vorgängerbasis [ ] [ ] k−2 [ ] 0 1 0 1 0 1 mit A k = def . 1 1 1 2 1 1 2. Algorithmus 3.2.1 macht zur Eingabe b 1 , b 2 höchstens log √ 1+ 2 (‖b 1 ‖ /λ 2 ) + 2.54 Runden. Wohlgeordnete Basis. Eine Basis b 1 , b 2 heißt wohlgeordnet wenn ‖b 1 ‖ ≤ ‖b 1 − b 2 ‖ < ‖b 2 ‖. Dies ist für die Euklidischen Norm äquivalent zu 0 < µ 2,1 ≤ 1 2 , ‖b 1‖ < ‖b 2 ‖. In Schritt 1. wird also eine wohlgeordnete Basis erzeugt, es sei denn die Basis ist schon reduziert. Offenbar gelten folgende Aussagen. Lemma 3.2.2 Für jede nicht reduzierte Basis mit ‖b 1 ‖ ≤ ‖b 2 ‖ ist genau eine der Basen b 1 , ±b 2 wohlgeordnet. Lemma 3.2.3 Wendet man die Schritte 2. 3. an auf zwei aquivalente Basen b 1 , b 2 und b ′ 1, b ′ 2, so bleibt die Äquivalenz erhalten. Wegen Lemma 3.2.3 gibt es zu gegebener reduzierten Basis eine minimale k-te Vorgängerbasis, bei deren Reduktion das Vorzeichen von b 2 in Schritt 1. nie verändert wird. Dies folgt aus dem Lemma, weil äquivalente Basen in der Länge der Vektoren gleich sind. Die Gauß-Reduktion mit k Runden erzeugt in Schritt 1. eine Folge wohlgeordneter Basen (b k+1 , b k+2 ), (b k , b k+1 ), . . . , (b 2 , b 3 ) und schließlich die reduzierte Basis (b 1 , b 2 ). Bleibt das Vor-
Seite 1: Vorlesungen von Prof. Dr. C.P. Schn
Seite 4 und 5: 4 INHALTSVERZEICHNIS 6.2 Semi Block
Seite 6 und 7: 6 KAPITEL 1. GITTER IN LINEAREN RÄ
Seite 8 und 9: 8 KAPITEL 1. GITTER IN LINEAREN RÄ
Seite 10 und 11: 10 KAPITEL 1. GITTER IN LINEAREN R
Seite 18 und 19: 18 KAPITEL 2. SUKZESSIVE MINIMA UND
Seite 28 und 29: 28 KAPITEL 3. GAUSS-REDUKTION zeich
Seite 30 und 31: 30 KAPITEL 3. GAUSS-REDUKTION
Seite 32 und 33: 32 KAPITEL 4. LLL-REDUZIERTE GITTER
Seite 44 und 45: 44KAPITEL 5. LÖSEN VON SUBSETSUM-P
Seite 50 und 51: 50 KAPITEL 6. HKZ- UND BLOCK-REDUKT
Seite 64 und 65: 64 KAPITEL 7. N P-VOLLSTÄNDIGE GIT
Seite 66 und 67: 66 KAPITEL 7. N P-VOLLSTÄNDIGE GIT
Seite 68 und 69: 68 KAPITEL 8. KONSTRUKTION EINES K
Seite 70 und 71: 70 KAPITEL 8. KONSTRUKTION EINES K
Seite 72 und 73: 72 KAPITEL 9. GITTERREDUKTION IN BE
Seite 74 und 75: 74 KAPITEL 9. GITTERREDUKTION IN BE
Seite 76 und 77:
76 KAPITEL 9. GITTERREDUKTION IN BE
Seite 78 und 79:
Seite 80 und 81:
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
86 KAPITEL 10. ANWENDUNGEN DER GITT
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
96 KAPITEL 11. KOMPLEXITÄT, N P-VO
Seite 98 und 99:
98 KAPITEL 11. KOMPLEXITÄT, N P-VO
Seite 100 und 101:
100 KAPITEL 11. KOMPLEXITÄT, N P-V
Seite 102 und 103:
102 Jedes Skalarprodukt 〈·, ·
Seite 104 und 105:
Index Abstandsfunktion, 71 Algorith
Seite 106 und 107:
106 INDEX Schnorr, C.P., 13, 44, 45
Seite 108 und 109:
108 LITERATURVERZEICHNIS [Bb65] B.
Seite 110 und 111:
110 LITERATURVERZEICHNIS [JoSt94] A
Seite 112 und 113:
112 LITERATURVERZEICHNIS [PS87] A.
Alle anzeigen

Gitter und Kryptographie - Goethe-Universität

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?