Gitter und Kryptographie - Goethe-Universität

Weitere Magazine

Empfehlungen

Info

98 KAPITEL 11. KOMPLEXITÄT, N P-VOLLSTÄNDIGKEIT 3. {0, 1}-Integer-Programming: {0, 1}-IP := { (m, n, A, b) ∣ A ∈ Z m×n , b ∈ Z m , ∃x ∈ {0, 1} n : Ax ≤ b } 4. Schwache Zerlegung: { (n, a 1 , . . . , a n ) ∈ N n+1 ∣ ∣∣∣∣ ∃ (x 1 , . . . , x n ) ∈ {0, ±1} n \ {0 n } : } n∑ a i x i = 0 Beweis. Für 1,2,3 siehe [GaJo79][SS76], für 4 siehe [EB81]. Den Nachweis, daß es für die Sprache Integer-Programming polynomiell lange Zeugen gibt, also IP ∈ N P, werden wir in Satz 11.2.6 führen. Satz 11.2.6 (von zur Gathen, Sieveking 1978) IP ∈ N P. Beweis. Wir wählen als Zeugen für (m, n, A, b) ∈ IP ein geeignetes x ∈ Z n mit Ax ≤ b. Offenbar existiert x genau dann, wenn (m, n, A, b) ∈ IP. Wir müssen noch zeigen, daß der Zeuge polynomielle Länge hat. Sei A =: (a ij ) ij und b =: (b 1 , . . . , b m ) T . Setze M := max i,j {|a ij | , |b i |}. Nach [GaSi78] gilt: (∃x ∈ Z n : Ax ≤ b) ⇐⇒ ( ∃x ∈ Z n : Ax ≤ b, ‖x‖ ∞ ≤ (n + 1)n n 2 M n ) Die obere Schranke von ‖x‖ ∞ impliziert, daß die Länge des Zeugen x polynomiell in der Länge von A und b beschränkt ist. Wegen l(m, n, A, b) ≥ nm + log 2 M gilt: l(x) = O ( n 2 (log n + log M ) = O ( l(m, n, A, b) 3) Wir definieren die Begriffe, die elementar für die weiteren Kapitel sind: i=1 Definition 11.2.7 (Gitter, Basis, Dimension, Rang) Seien b 1 , . . . , b n ∈ R m linear unabhängige Vektoren. Wir nennen die additive Untergruppe L(b 1 , . . . , b n ) := { n∑ n ∣ } ∑ ∣∣∣∣ b i Z = t i b i t 1 , . . . , t m ∈ Z i=1 des R m ein Gitter mit der Basis b 1 , . . . , b n . Ist die Reihenfolge der Basisvektoren fest, sprechen wir von einer geordneten Basis. Der Rang oder auch die Dimension des Gitters ist Rang(L) := n. i=1 Betrachten wir ein Beispiel: Beispiel 11.2.8 (Gitter) Z m ist ein Gitter vom Rang m, die Einheitsvektoren bilden eine Basis. Zur Matrix A ∈ M m,n (Z) ist {x ∈ Z n | Ax = 0} ein Gitter vom Rang n − Rang(A); nach Satz 11.2.4 können wir in Polynomialzeit eine Basis konstruieren. ⋄ Wir versuchen, durch Gitterreduktion einen kürzesten, nicht-trivialen Gittervektor zu finden. Im Fall der sup-Norm ist dies unter der Annahme P ≠ N P nicht immer effizient möglich:
11.2. SCHWIERIGE, ALGORITHMISCHE GITTERPROBLEME 99 Korollar 11.2.9 Das Problem ‖·‖ ∞ -kürzester Gittervektor ist N P-vollständig. L ∞ -SVP := { (m, n, b 1 , . . . , b n ) ∣ m, n ∈ N, b 1 , . . . , b n ∈ Z m , ∃x ∈ L(b 1 , . . . , b n ) : ‖x‖ ∞ = 1 } Beweis. Das Problem ‖·‖ ∞ -kürzester Gittervektor liegt in N P: Als Zeugen wählt man einen Vektor x ∈ L(b 1 , . . . , b n ) \{0} mit ‖x‖ ∞ = 1. Das N P-vollständige Problem schwache Zerlegung“ ” aus Satz 11.2.5 kann in Polynomialzeit auf ‖·‖ ∞ -kürzester Gittervektor reduziert werden. Beim Problem des kürzesten Gittervektors in der l 2 -Norm soll man zu gegebener Gitterbasis b 1 , . . . , b n und k entscheiden, ob es einen Gittervektor z ∈ L(b 1 , . . . , b n ) gibt mit z ≠ 0 und ‖z‖ 2 ≤ √ k. Definition 11.2.10 (Shortest Vector Problem SVP) Die Sprache zum kürzesten Gittervektorproblem (Shortest Vector Problem) für die l 2 -Norm lautet: L 2 -SVP := { (k, m, n, b 1 , . . . , b n ) ∣ k, m, n, ∈ N, b 1 , . . . , b n ∈ Z m } , ∃x ∈ L(b 1 , . . . , b n ) \ {0} : ‖x‖ 2 2 ≤ k Der Status dieses Problems ist offen. Anstrengungen, die Vermutung, daß L 2 -SVP N P-hart ist, nachzuweisen, sind im Gegensatz zur sup-Norm (siehe Korollar 11.2.9) bislang fehlgeschlagen (vergleiche [K87]). Das Problem des kürzesten Gittervektors ist der homogene Spezialfall des Problems nächster Gittervektor, von dem man aber weiß, daß es (auch) in der l 2 -Norm N P-vollständig ist: Satz 11.2.11 (Closest Vector Problem CVP) Das Problem l 2 -nächster Gittervektor L 2 -CVP := ist N P-vollständig. { (k, m, n, b 1 , . . . , b n , z) ∣ k, m, n, ∈ N, b 1 , . . . , b n , z ∈ Z m } , ∃x ∈ L(b 1 , . . . , b n ) : ‖z − x‖ 2 2 ≤ k Beweis. Siehe Kannan [K87]. Wir fassen zusammen: Zu gegebener Gitterbasis b 1 , . . . , b n ∈ Z m sind folgende Aufgaben nach heutigem Stand schwierige, algorithmische Gitterprobleme: • Finde kurze Gittervektoren ungleich dem Nullvektor. • Finde eine Basis bestehend aus kurzen Gittervektoren. • Finde zu gegebenem z ∈ span(b 1 , . . . , b n ) einen möglichst nahen Gittervektor. Dagegen kann man in Polynomialzeit zu einem gegebenen Erzeugendensystem b 1 , . . . , b n ∈ Z m des Gitters L, n ≥ Rang(L), eine Gitterbasis konstruieren.
Seite 1:
Vorlesungen von Prof. Dr. C.P. Schn
Seite 4 und 5:
4 INHALTSVERZEICHNIS 6.2 Semi Block
Seite 6 und 7:
6 KAPITEL 1. GITTER IN LINEAREN RÄ
Seite 8 und 9:
8 KAPITEL 1. GITTER IN LINEAREN RÄ
Seite 10 und 11:
10 KAPITEL 1. GITTER IN LINEAREN R
Seite 12 und 13:
Seite 14 und 15:
Seite 16 und 17:
Seite 18 und 19:
18 KAPITEL 2. SUKZESSIVE MINIMA UND
Seite 20 und 21:
Seite 22 und 23:
Seite 24 und 25:
Seite 26 und 27:
26 KAPITEL 3. GAUSS-REDUKTION ♣
Seite 28 und 29:
28 KAPITEL 3. GAUSS-REDUKTION zeich
Seite 30 und 31:
30 KAPITEL 3. GAUSS-REDUKTION
Seite 32 und 33:
32 KAPITEL 4. LLL-REDUZIERTE GITTER
Seite 34 und 35:
Seite 36 und 37:
Seite 38 und 39:
Seite 40 und 41:
Seite 42 und 43:
Seite 44 und 45:
44KAPITEL 5. LÖSEN VON SUBSETSUM-P
Seite 46 und 47:
46KAPITEL 5. LÖSEN VON SUBSETSUM-P
Seite 48 und 49: 48KAPITEL 5. LÖSEN VON SUBSETSUM-P
Seite 50 und 51: 50 KAPITEL 6. HKZ- UND BLOCK-REDUKT
Seite 64 und 65: 64 KAPITEL 7. N P-VOLLSTÄNDIGE GIT
Seite 66 und 67: 66 KAPITEL 7. N P-VOLLSTÄNDIGE GIT
Seite 68 und 69: 68 KAPITEL 8. KONSTRUKTION EINES K
Seite 70 und 71: 70 KAPITEL 8. KONSTRUKTION EINES K
Seite 72 und 73: 72 KAPITEL 9. GITTERREDUKTION IN BE
Seite 86 und 87: 86 KAPITEL 10. ANWENDUNGEN DER GITT
Seite 96 und 97: 96 KAPITEL 11. KOMPLEXITÄT, N P-VO
Seite 100 und 101: 100 KAPITEL 11. KOMPLEXITÄT, N P-V
Seite 102 und 103: 102 Jedes Skalarprodukt 〈·, ·
Seite 104 und 105: Index Abstandsfunktion, 71 Algorith
Seite 106 und 107: 106 INDEX Schnorr, C.P., 13, 44, 45
Seite 108 und 109: 108 LITERATURVERZEICHNIS [Bb65] B.
Seite 110 und 111: 110 LITERATURVERZEICHNIS [JoSt94] A
Seite 112 und 113: 112 LITERATURVERZEICHNIS [PS87] A.
Alle anzeigen

Gitter und Kryptographie - Goethe-Universität

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?