Gitter und Kryptographie - Goethe-Universität

Weitere Magazine

Empfehlungen

Info

44KAPITEL 5. LÖSEN VON SUBSETSUM-PROBLEMEN DURCH KURZE GITTERVEKTOREN beliebig klein, wenn nur die Dichte d hinreichend klein ist. Dichte d des Subsetsum-Problems d := n log 2 ( max i=1,...,n a i) und somit max i=1,...,n a i = 2 n/d . Für Dichte d ≫ 1 gibt es bei zufälliger Wahl der Gewichte a 1 , . . . , a n “in der Regel“ viele Lösungen. Am schwierigsten gelten zufällige Subsetsum-Probleme mit Dichte nahe bei 1. In kleiner Dimension n findet man einen kürzesten Gittervektor durch Gitterbasenreduktion siehe [SH95, SE94]. Dies führt zu Angriffen auf Krypto-Schemata, die auf Subsetsum-Problemen basieren. C.P. Schnorr und H.H. Hörner [SH95] haben das Chor-Rivest-System [CR88] mittels Gitterreduktion angegriffen. 5.2 Die Lagarias-Odlyzko-Gitterbasis J.C. Lagarias und A.M. Odlyzko [LaOd85] schlagen die folgende Gitterbasis B vor um das Subsetsum- Problem durch ein SVP-Orakel zu L(B) zu lösen. Die letzte Zeile von B wird von uns zur Beweisvereinfachung hinzugefügt. Wir überarbeiten die Darstellung von [CJLOSS92]. (5.1) ⎡ ⎤ 1 0 · · · 0 0 0 1 0 0 . B = [b 1 , · · · , b n+1 ] := . .. . . ∈ Z (n+2)×(n+1) ⎢ 0 0 1 0 ⎥ ⎣Na 1 Na 2 · · · Na n Ns⎦ 0 0 · · · 0 1 und L(B) = L LO sei das zugehörige Gitter. Die Lösung e ∈ {0, 1} n von ∑ n i=1 x ie i = s liefert den Lösungsvektor (5.2) ê := ( ∑ n i=1 e ib i ) − bn+1 = (e 1 , . . . , e n , 0, −1) t ∈ L LO . Entweder e oder e = 1 − e, die Lösung zum inversen Subsetsum-Problem, hat höchstens n/2 Einsen und liefert damit einen Lösungsvektor in L LO der Länge ≤ √ n/2 + 1. Für jeden Vektor ̂x = (x 1 , ..., x n+1 , −y) ∈ L LO mit ‖̂x‖ = λ 1 gilt somit für N ≥ √ n/2: ∑ i≠n+1 |x i| ≥ 2, x n+1 = 0. Satz 5.2.1 Für n > n 0 und N ≥ √ n/2 werden fast alle lösbare Subsetsum-Probleme zu (a 1 , . . . , a n ) ∈ [1, A] n der Dichte d < 0, 6463 durch jeden Vektor der Länge λ 1 von L LO für s oder s = t − s gelöst. Beweis. Sei ‖e‖ 2 ≤ n/2. Das SVP-Orakel liefere den Gittervektor ̂x := ∑ n i−1 x ib i − yb n+1 der Länge λ 1 mit y ≥ 0. Löst ̂x das Subsetsum-Problem nicht so gilt (5.3) ‖̂x‖ = λ 1 ≤ √ n/2 + 1, ̂x ≠ ê. Wir analysieren die Wahrscheinlichkeit des Misserfolgs P (n) := Ws[ Es existiert ein ̂x ∈ L CJLOSS mit (5.3)] bezüglich zufälliger (a 1 , . . . , a n ) ∈ R [1, A] n . Für N ≥ √ n/2 wurde oben gezeigt dass x n+1 = 0 und somit ∑ n i=1 a ix i = ys. Offenbar gilt 0 ≤ y < λ 1 ≤ √ n/2 + 1. Wir setzen x := (x 1 , ..., x n ).
5.3. DAS CJLOSS-GITTER 45 Dann gilt [ ∃x ∈ Z n , x /∈ {0, ±e}, ‖x‖ ≤ ‖e‖ P (n) ≤ Ws ∃y ∈ Z : 0 ≤ y < √ ∑ n n/2 + 1, i=1 a i(x i − e i y) = 0 ] Faktor 1 { }} { ∑n ≤ Ws[ i=1 a i(x i − e i y) = 0 für feste e, x, y mit ‖x‖ ≤ ‖e‖, x ≠ e, 0 ≤ y < √ ] n/2 + 1 { · ∣ x ∈ Z n : ‖x‖ ≤ √ }∣ { ∣∣ n/2 · ∣ y ∈ Z : 0 ≤ y < √ }∣ ∣∣ n/2 + 1 } {{ } } {{ } Faktor 2 Faktor 3 Wir schätzen die drei Faktoren nach oben ab: 1. Für feste e 1 , ..., e n , x 1 , ..., x n , y ist die Gleichung ∑ n i=1 a i(x i − e i y) = 0 höchstens mit Wahrscheinlichkeit n/A erfüllt, denn falls x i ≠ e i y ist a i durch die a j mit j ≠ i bestimmt. 2. J.C.Lagarias und A.M. Odlyzko [LaOd85] haben gezeigt, daß für hinreichend große n gilt: { ∣ x ∈ Z n : ‖x‖ ≤ √ }∣ ∣∣ n/2 ≤ 2 c 0n mit c 0 = 1, 54725 { 3. Es gilt: ∣ y ∈ Z : 0 ≤ y < √ }∣ ∣∣ √ n/2 + 1 ≤ n/2 + 1. Damit folgt P (n) ≤ 2c 0 n A n √ n/2 + 1. Wegen 1/d > 1, 547269 > c 0 und max i=1,...,n a i = 2 n/d gilt A ≥ max a i ≥ 2 n/d und somit lim P (n) = 0 für d < 0, 6463. i=1,...,n n→∞ 5.3 Das CJLOSS-Gitter M.J. Coster, A. Joux, B.A. LaMacchina, A.M. Odlyzko, C.P. Schnorr und J. Stern [CJLOSS92] ersetzen den Vektor b n+1 der Basis (5.1) durch b ′ n+1 := ( 1 2 , . . . , 1 2 , Ns, 1)t und erhöhen damit die Grenzdichte von 0, 6463 auf 0, 9408. Die CJLOSS-Basis ist ⎡ 1 ⎤ 1 0 · · · 0 2 1 0 1 0 2 . B ′ = [b 1 , · · · , b ′ n+1] := . .. . . (5.4) ∈ 1 1 0 0 1 2 Z(n+2)×(n+1) 2 ⎢ ⎥ ⎣Na 1 Na 2 · · · Na n Ns⎦ 0 0 · · · 0 1 und L CJLOSS = L(B ′ ) sei das zugehörige Gitter. Die letzte Zeile von B ′ dient der Beweisvereinfachung. Die Lösung e ∈ {0, 1} n des Subsetsum-Problems liefert den Lösungsvektor (5.5) ê ′ := ∑ n i=1 e ib i − b ′ n+1 = (e 1 − 1 2 , e 2 − 1 2 , . . . , e n − 1 2 , 0, −1)t ∈ L CJLOSS Offenbar gilt ‖ê ′ ‖ = √ n/4 + 1 und damit ist der Lösungsvektor ê ′ der CJLOSS-Basis bis zu einem Faktor √ 2 kleiner als der Lösungsvektor ê der Lagarias-Odlyzko-Basis. Satz 5.3.1 Für n > n 0 und N ≥ √ n/4 werden fast alle lösbare Subsetsum-Probleme zu (a 1 , . . . , a n ) t ∈ [1, A] n der Dichte d < 0, 9408 durch jeden Vektor der Länge λ 1 von L CJLOSS gelöst. Beweis. Das SVP-Orakel liefere ̂x ′ = ∑ n i=1 y ib i −yb ′ n+1 = (x 1 , ..., x n+2 ) t ∈ L CJLOSS mit y ≥ 0. Bei Misserfolg gilt (5.6) ‖̂x ′ ‖ = λ 1 ≤ ‖ê ′ ‖ = √ n/4 + 1, ̂x ′ ≠ ê ′ , 0 ≤ y < λ 1
Seite 1: Vorlesungen von Prof. Dr. C.P. Schn
Seite 4 und 5: 4 INHALTSVERZEICHNIS 6.2 Semi Block
Seite 6 und 7: 6 KAPITEL 1. GITTER IN LINEAREN RÄ
Seite 8 und 9: 8 KAPITEL 1. GITTER IN LINEAREN RÄ
Seite 10 und 11: 10 KAPITEL 1. GITTER IN LINEAREN R
Seite 18 und 19: 18 KAPITEL 2. SUKZESSIVE MINIMA UND
Seite 26 und 27: 26 KAPITEL 3. GAUSS-REDUKTION ♣
Seite 28 und 29: 28 KAPITEL 3. GAUSS-REDUKTION zeich
Seite 30 und 31: 30 KAPITEL 3. GAUSS-REDUKTION
Seite 32 und 33: 32 KAPITEL 4. LLL-REDUZIERTE GITTER
Seite 46 und 47: 46KAPITEL 5. LÖSEN VON SUBSETSUM-P
Seite 48 und 49: 48KAPITEL 5. LÖSEN VON SUBSETSUM-P
Seite 50 und 51: 50 KAPITEL 6. HKZ- UND BLOCK-REDUKT
Seite 64 und 65: 64 KAPITEL 7. N P-VOLLSTÄNDIGE GIT
Seite 66 und 67: 66 KAPITEL 7. N P-VOLLSTÄNDIGE GIT
Seite 68 und 69: 68 KAPITEL 8. KONSTRUKTION EINES K
Seite 70 und 71: 70 KAPITEL 8. KONSTRUKTION EINES K
Seite 72 und 73: 72 KAPITEL 9. GITTERREDUKTION IN BE
Seite 86 und 87: 86 KAPITEL 10. ANWENDUNGEN DER GITT
Seite 94 und 95:
94 KAPITEL 10. ANWENDUNGEN DER GITT
Seite 96 und 97:
96 KAPITEL 11. KOMPLEXITÄT, N P-VO
Seite 98 und 99:
98 KAPITEL 11. KOMPLEXITÄT, N P-VO
Seite 100 und 101:
100 KAPITEL 11. KOMPLEXITÄT, N P-V
Seite 102 und 103:
102 Jedes Skalarprodukt 〈·, ·
Seite 104 und 105:
Index Abstandsfunktion, 71 Algorith
Seite 106 und 107:
106 INDEX Schnorr, C.P., 13, 44, 45
Seite 108 und 109:
108 LITERATURVERZEICHNIS [Bb65] B.
Seite 110 und 111:
110 LITERATURVERZEICHNIS [JoSt94] A
Seite 112 und 113:
112 LITERATURVERZEICHNIS [PS87] A.
Alle anzeigen

Gitter und Kryptographie - Goethe-Universität

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?