Prediciendo el Generador Cuadrático - Universidad de Cantabria
Prediciendo el Generador Cuadrático - Universidad de Cantabria
Prediciendo el Generador Cuadrático - Universidad de Cantabria
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
lineales se correspon<strong>de</strong>n a valores iniciales potencialmente “malos”' d<strong>el</strong> generadorcuadrático (1). Por tanto, si todos los polinomios lineales en esta familia no sonidénticamente cero módulo p entonces tenemos una cota superior para <strong>el</strong> número <strong>de</strong>valores iniciales “malos”'. Por tanto, una parte crucial <strong>de</strong> nuestra aproximación esestudiar la posible anulación <strong>de</strong> polinomios lineales en la familia anterior y mostrar queesto pue<strong>de</strong> ocurrir sólo para muy pocos valores <strong>de</strong> los coeficientes d<strong>el</strong> generador (1).3. <strong>Prediciendo</strong> <strong>el</strong> <strong>Generador</strong> Cuadrático con Multiplicador yDesplazamiento Públicos3.1. Formulación d<strong>el</strong> Resultado Principal y Plan <strong>de</strong> DemostraciónSupongamos que <strong>el</strong> multiplicador a y <strong>el</strong> <strong>de</strong>splazamiento c d<strong>el</strong> generador cuadráticoson conocidos. Mostraremos que po<strong>de</strong>mos recuperar u0para todos sus posibles valores,salvo un conjunto <strong>de</strong> O ( 4 ) <strong>el</strong>ementos, cuando se dan dos -aproximaciones a dosvalores consecutivos u , u n n1producidos por <strong>el</strong> generador cuadrático. Para simplificar lanotación, supondremos que n 0 a partir <strong>de</strong> este punto.Teorema. Sean p un número primo,existe un conjuntopa F , c F*ppy Z con 1 p . Entonces4U ( ; a,c) F con cardinal # U ( ;a,c) O( ) , con la siguientepropiedad: siempre que u U ( ;A,) , dadas aproximaciones wjtales que0cwj uj , j 0,1a dos valores consecutivos u ,u 0 1producidos por <strong>el</strong> generador cuadrático (1), se pue<strong>de</strong>calcular u0en tiempo polinomial <strong>de</strong>terminista.A continuación mostramos <strong>el</strong> esquema d<strong>el</strong> algoritmo correspondiente a la<strong>de</strong>mostración <strong>de</strong> este Teorema. El algoritmo está dividido en seis etapas:Etapa 1: Construimos una cierta retícula L (ver (4) más abajo) <strong>de</strong> dimensión cuatroque <strong>de</strong>pen<strong>de</strong> <strong>de</strong> 0 1a, . Se muestra que un cierto vector e , r<strong>el</strong>acionado coninformación oculta que buscamos sobre 0 1, es un vector “muy” corto en estaretícula. Calculamos un vector no nulo corto f ( f 0,..., f3) en L ; ver [9] para <strong>el</strong>algoritmo correspondiente.Etapa 2: Mostramos que f proporciona información valiosa sobre e para todos losposibles valores iniciales u0excepto aqu<strong>el</strong>los en un cierto conjunto excepcional4V ( ; a,c) <strong>de</strong> cardinal # V ( ;a,c) O( ) , que se <strong>de</strong>fine como <strong>el</strong> conjunto <strong>de</strong>F pceros <strong>de</strong> una cierta familia paramétrica <strong>de</strong> polinomios lineales.Etapa 3: Mostramos que si f 0 entonces recuperar e (y por tanto la información0 oculta u0) es inmediato. Por tanto en ese caso <strong>el</strong> algoritmo termina en esta etapa.
Change language