a 1d L(A) = {m 1 a m d a d : m i Z} a 11 a A = M B, B = N A, k=1

Σχετικά έγγραφα
ΕΙΣΑΓΩΓΗ ΣΤΗΝ ΚΡΥΠΤΟΛΟΓΙΑ ΣΗΜΕΙΩΣΕΙΣ #6 ΘΕΟ ΟΥΛΟΣ ΓΑΡΕΦΑΛΑΚΗΣ

ΓΡΑΜΜΙΚΑ ΣΥΣΤΗΜΑΤΑ ΕΞΙΣΩΣΕΩΝ

Κεφάλαιο 7 Βάσεις και ιάσταση

Κεφάλαιο 4 ιανυσµατικοί Χώροι

Διδάσκων: Καθηγητής Νικόλαος Μαρμαρίδης, Καθηγητής Ιωάννης Μπεληγιάννης

Αριθµητική Γραµµική ΑλγεβραΚεφάλαιο 4. Αριθµητικός Υπολογισµός Ιδιοτιµών 2 Απριλίου και2015 Ιδιοδιανυσµάτων 1 / 50

1 Οι πραγµατικοί αριθµοί

5.1 Ιδιοτιµές και Ιδιοδιανύσµατα

ΘΕΩΡΙΑ ΑΡΙΘΜΩΝ Ασκησεις - Φυλλαδιο 2

Κεφάλαιο 6 Ιδιοτιµές και Ιδιοδιανύσµατα

ΓΡΑΜΜΙΚΗ ΑΛΓΕΒΡΑ Ι (ΑΡΤΙΟΙ) Ασκησεις - Φυλλαδιο 4

Αριθµητική Ανάλυση 1 εκεµβρίου / 43

2 o Καλοκαιρινό σχολείο Μαθηµατικών Νάουσα 2008

Γραµµική Αλγεβρα Ι. Ενότητα: ιανυσµατικοί χώροι. Ευάγγελος Ράπτης. Τµήµα Μαθηµατικών

Ενότητα: Πράξεις επί Συνόλων και Σώµατα Αριθµών

ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ

ΘΕΩΡΙΑ ΑΡΙΘΜΩΝ. Λυσεις Ασκησεων - Φυλλαδιο 2

KΕΦΑΛΑΙΟ 1 ΧΡΗΣΙΜΕΣ ΜΑΘΗΜΑΤΙΚΕΣ ΕΝΝΟΙΕΣ. { 1,2,3,..., n,...

Γραµµική Αλγεβρα Ι. Ενότητα: Εισαγωγικές Εννοιες. Ευάγγελος Ράπτης. Τµήµα Μαθηµατικών

Αλγεβρικες οµες Ι Ασκησεις - Φυλλαδιο 2

Τίτλος Μαθήματος: Γραμμική Άλγεβρα Ι. Ενότητα: Πινάκες και Γραµµικές Απεικονίσεις. Διδάσκων: Καθηγητής Νικόλαος Μαρμαρίδης. Τμήμα: Μαθηματικών

ΓΡΑΜΜΙΚΗ ΑΛΓΕΒΡΑ Ι (ΠΕΡΙΤΤΟΙ) Ασκησεις - Φυλλαδιο 4

Αλγεβρικες οµες Ι Ασκησεις - Φυλλαδιο 2

ΓΡΑΜΜΙΚΗ ΑΛΓΕΒΡΑ ΙΙ (ΠΕΡΙΤΤΟΙ) Ασκησεις - Φυλλαδιο 9 Επαναληπτικες Ασκησεις

Ασκήσεις για το µάθηµα «Ανάλυση Ι και Εφαρµογές» (ε) Κάθε συγκλίνουσα ακολουθία άρρητων αριθµών συγκλίνει σε άρρητο αριθµό.

Κεφάλαιο 4. Ευθέα γινόµενα οµάδων. 4.1 Ευθύ εξωτερικό γινόµενο οµάδων. i 1 G 1 G 1 G 2, g 1 (g 1, e 2 ), (4.1.1)

Αρµονική Ανάλυση. Ενότητα: L 2 -σύγκλιση σειρών Fourier. Απόστολος Γιαννόπουλος. Τµήµα Μαθηµατικών

Κ. Ι. ΠΑΠΑΧΡΗΣΤΟΥ. Τοµέας Φυσικών Επιστηµών Σχολή Ναυτικών οκίµων ΟΡΙΖΟΥΣΕΣ. Ιδιότητες & Εφαρµογές

Κεφάλαιο 2. Παραγοντοποίηση σε Ακέραιες Περιοχές

ΓΡΑΜΜΙΚΗ ΑΛΓΕΒΡΑ Ι (ΠΕΡΙΤΤΟΙ) Λυσεις Ασκησεων - Φυλλαδιο 4

τη µέθοδο της µαθηµατικής επαγωγής για να αποδείξουµε τη Ϲητούµενη ισότητα.

Γραµµικη Αλγεβρα Ι Επιλυση Επιλεγµενων Ασκησεων Φυλλαδιου 4

Αλγόριθµοι για την παραγοντοποίηση ακεραίων αριθµών

Ασκήσεις για το µάθηµα «Ανάλυση Ι και Εφαρµογές»

Σηµειώσεις στις συναρτήσεις

ΑΛΓΕΒΡΙΚΕΣ ΟΜΕΣ Ι. Ασκησεις - Φυλλαδιο 2

ΓΡΑΜΜΙΚΗ ΑΛΓΕΒΡΑ Ι (ΑΡΤΙΟΙ) Λυσεις Ασκησεων - Φυλλαδιο 4

< 1 για κάθε k N, τότε η σειρά a k συγκλίνει. +, τότε η η σειρά a k αποκλίνει.

Ακρότατα υπό συνθήκη και οι πολλαπλασιαστές του Lagrange

Η ιδέα της χρήσης διατεταγµένων Ϲευγών πραγµατικών αριθµών για την περιγραφή

[A I 3 ] [I 3 A 1 ].

ΘΕΩΡΙΑ ΑΡΙΘΜΩΝ. Ασκησεις - Φυλλαδιο 5

1 Το ϑεώρηµα του Rademacher

Εισαγωγή στον Προγραµµατισµό. Ανάλυση (ή Επιστηµονικοί8 Υπολογισµοί)

ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ

Κεφάλαιο 9 Ιδιοτιµές και Ιδιοδιανύσµατα

Γραµµική Αλγεβρα. Ενότητα 3 : ιανυσµατικοί Χώροι και Υπόχωροι. Ευστράτιος Γαλλόπουλος Τµήµα Μηχανικών Η/Υ & Πληροφορικής

ΓΡΑΜΜΙΚΗ ΑΛΓΕΒΡΑ ΙΙ (ΠΕΡΙΤΤΟΙ) Ασκησεις - Φυλλαδιο 5

{ } ΠΛΗ 12: ΜΑΘΗΜΑΤΙΚΑ ΓΙΑ ΤΗ ΠΛΗΡΟΦΟΡΙΚΗ Ι 2 η ΓΡΑΠΤΗ ΕΡΓΑΣΙΑ. Απαντήσεις. 1. (15 µονάδες)

Αλγεβρικες οµες Ι Ασκησεις - Φυλλαδιο 1

ΘΕΩΡΙΑ ΑΡΙΘΜΩΝ Ασκησεις - Φυλλαδιο 8

Κεφάλαιο 0. Μεταθετικοί ακτύλιοι, Ιδεώδη

3 Αναδροµή και Επαγωγή

Αρµονική Ανάλυση. Ενότητα: Μέτρο Lebesgue. Απόστολος Γιαννόπουλος. Τµήµα Μαθηµατικών

Διδάσκων: Καθηγητής Νικόλαος Μαρμαρίδης, Καθηγητής Ιωάννης Μπεληγιάννης

Διδάσκων: Καθηγητής Νικόλαος Μαρμαρίδης, Καθηγητής Ιωάννης Μπεληγιάννης

x 2 = b 1 2x 1 + 4x 2 + x 3 = b 2. x 1 + 2x 2 + x 3 = b 3

Κεφάλαιο 3. Ελεύθερα Πρότυπα. στοιχείων του Μ καλείται βάση του e λ παράγει το Μ, και ii) κάθε m M γράφεται κατά µοναδικό

τέτοιες συναρτήσεις «πραγµατικές συναρτήσεις µε µία πραγµατική µεταβλητή». Σε αυτή

ΑΛΓΕΒΡΙΚΕΣ ΟΜΕΣ Ι. Επιλυση Ασκησεων - Φυλλαδιο 1

Επίλυση Γραµµικών Συστηµάτων

Τίτλος Μαθήματος: Γραμμική Άλγεβρα Ι. Ενότητα: Γραµµικές Απεικονίσεις. Διδάσκων: Καθηγητής Νικόλαος Μαρμαρίδης. Τμήμα: Μαθηματικών

ιδασκοντες: x R y x y Q x y Q = x z Q = x z y z Q := x + Q Τετάρτη 10 Οκτωβρίου 2012

Κεφάλαιο 3β. Ελεύθερα Πρότυπα (µέρος β)

Γραµµικη Αλγεβρα Ι Επιλυση Επιλεγµενων Ασκησεων Φυλλαδιου 3

Γραµµικη Αλγεβρα ΙΙ Ασκησεις - Φυλλαδιο 10

Ορια Συναρτησεων - Ορισµοι

Αρµονική Ανάλυση. Ενότητα: Το ϑεώρηµα παρεµβολής του Riesz και η ανισότητα Hausdorff-Young. Απόστολος Γιαννόπουλος.

Τίτλος Μαθήματος: Γραμμική Άλγεβρα Ι. Ενότητα: Διανυσµατικοί Υποχώροι και Κατασκευές. Διδάσκων: Καθηγητής Νικόλαος Μαρμαρίδης. Τμήμα: Μαθηματικών

ΘΕΩΡΙΑ ΑΡΙΘΜΩΝ Ασκησεις - Φυλλαδιο 3

[ ], σχηµατίζουµε το άθροισµα. Το άθροισµα αυτό είναι µια δυαδική πράξη η οποία αντιστοιχεί στις ακολουθίες f [ 1

(CLR, κεφάλαιο 32) Στην ενότητα αυτή θα µελετηθούν τα εξής θέµατα: Παραστάσεις πολυωνύµων Πολυωνυµική Παρεµβολή ιακριτός Μετασχηµατισµός Fourier

Αριθµοί Liouville. Ιωάννης Μπαρµπαγιάννης

Συναρτησιακές Εξαρτήσεις. Βάσεις εδοµένων Ευαγγελία Πιτουρά 1

ΑΛΓΕΒΡΙΚΕΣ ΟΜΕΣ Ι. Ασκησεις - Φυλλαδιο 1

Θεωρία Τελεστών. Ενότητα: Το ϕασµατικό ϑεώρηµα για αυτοσυζυγείς τελεστές. Αριστείδης Κατάβολος. Τµήµα Μαθηµατικών

Αριθµητική Ανάλυση. 27 Οκτωβρίου Αριθµητική Ανάλυση 27 Οκτωβρίου / 72

Υπερβατικοί Αριθµοί και Θεώρηµα του Liouville

Μάθηµα Θεωρίας Αριθµών Ε.Μ.Ε

ΘΕΩΡΙΑ ΑΡΙΘΜΩΝ. Προτεινοµενες Ασκησεις - Φυλλαδιο 9

( ) 10 ( ) εποµ ένως. π π π π ή γενικότερα: π π. π π. π π. Άσκηση 1 (10 µον) Θεωρούµε το µιγαδικό αριθµό z= i.

ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΡΟΓΡΑΜΜΑ ΣΠΟΥ ΩΝ ΣΤΗΝ ΠΛΗΡΟΦΟΡΙΚΗ ΜΑΘΗΜΑΤΙΚΑ Ι (ΘΕ ΠΛΗ 12)

ΠΑΝΕΠΙΣΤΗΜΙΟ ΜΑΚΕ ΟΝΙΑΣ ΟΙΚΟΝΟΜΙΚΩΝ ΚΑΙ ΚΟΙΝΩΝΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΤΜΗΜΑ ΕΦΑΡΜΟΣΜΕΝΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΝΕΥΡΩΝΙΚΑ ΙΚΤΥΑ

1 Οι πραγµατικοί αριθµοί

QR είναι ˆx τότε x ˆx. 10 ρ. Ποιά είναι η τιµή του ρ και γιατί (σύντοµη εξήγηση). P = [X. 0, X,..., X. (n 1), X. n] a(n + 1 : 1 : 1)

Πρόβληµα 2 (15 µονάδες)

ιανύσµατα στον 2-διάστατο και στον 3-διάστατο χώρο

Εισαγωγή. Οπως είδαµε για την εκκίνηση της Simplex χρειαζόµαστε µια Αρχική Βασική Εφικτή Λύση. υϊσµός

ΠΟΛΥΩΝΥΜΙΚΕΣ - ΡΗΤΕΣ ΑΝΙΣΩΣΕΙΣ P x = x+ 2 4 x x 3x x x x 3x

Τίτλος Μαθήματος: Γραμμική Άλγεβρα Ι. Ενότητα: Διανυσµατικοί Χώροι. Διδάσκων: Καθηγητής Νικόλαος Μαρμαρίδης. Τμήμα: Μαθηματικών

ΚΕΦΑΛΑΙΟ 3: Συνθήκες Αλυσίδων

ΘΕΩΡΙΑ ΑΡΙΘΜΩΝ Λυσεις Ασκησεων - Φυλλαδιο 1

ΘΕΩΡΙΑ ΑΡΙΘΜΩΝ Ασκησεις - Φυλλαδιο 7

Μαθηµατικό Παράρτηµα 2 Εξισώσεις Διαφορών

Η εξίσωση του Fermat για τον εκθέτη n=3. Μία στοιχειώδης προσέγγιση

Διδάσκων: Καθηγητής Νικόλαος Μαρμαρίδης, Καθηγητής Ιωάννης Μπεληγιάννης

ΚΕΦΑΛΑΙΟ 3 ΑΡΙΘΜΗΤΙΚΗ ΕΠΙΛΥΣΗ ΓΡΑΜΜΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ. nn n n

ΓΡΑΜΜΙΚΗ ΑΛΓΕΒΡΑ Ι (ΑΡΤΙΟΙ) Ασκησεις - Φυλλαδιο 6

Διδάσκων: Καθηγητής Νικόλαος Μαρμαρίδης, Καθηγητής Ιωάννης Μπεληγιάννης

ΓΡΑΜΜΙΚΗ ΑΛΓΕΒΡΑ Ι (ΠΕΡΙΤΤΟΙ) Λυσεις Ασκησεων - Φυλλαδιο 6

Transcript:

Α44 ΚΡΥΠΤΟΓΡΑΦΙΑ ΣΗΜΕΙΩΣΕΙΣ #12 ΘΕΟ ΟΥΛΟΣ ΓΑΡΕΦΑΛΑΚΗΣ 1 Πλεγµατα Εστω ο διανυσµατικός χώρος R d διάστασης d Ο χώρος R d έρχεται µε ένα εσωτερικό γινόµενο x, y = d i=1 x iy i και τη σχετική νόρµα x = x, x = ( d i=1 x2 i )1/2 Εστω A = {a 1,, a d } R d, d γραµµικώς ανεξάρτητα διανύσµατα Το σύνολο L(A) = {m 1 a 1 + + m d a d : m i Z} ονοµάζεται (πλήρες) πλέγµα διάστασης d Το σύνολο A ονοµάζεται ϐάση του πλέγµατος Οπως ισχύει και για το διανυσµατικό χώρο R d, είναι ϕανερό ότι το L έχει περισσότερες από µία ϐάσεις Επίσεις το σύνολο L είναι οµάδα µε την πρόσθεση του διανυσµατικού χώρου Ενας ϐολικός τρόπος για να περιγράψουµε ένα πλέγµα είναι δίνοντας µια ϐάση του Συχνά αυτό το κάνουµε µε ένα πίνακα του οποίου οι γραµµές είναι τα διανύσµατα ϐάσης Για παράδειγµα, ο πίνακας a 11 a 12 a 1d a 21 a 22 a 2d a d1 a d2 a dd ορίζει το πλέγµα που παράγεται από τα διανύσµατα a i = (a i1, a i2,, a id ), i = 1,, d Θα συµβολίζουµε τον πίνακα της ϐάσης A επίσεις µε A Εστω τώρα B = {b 1,, b d } µία δεύτερη ϐάση του ίδιου πλέγµατος, δηλαδή L(A) = L(B) = L Τότε a i L, i = 1,, d οπότε υπάρχουν ακέραιοι m ik, i, k = 1,, d τέτοιοι ώστε d a i = m ik b k, i = 1,, d k=1 Οι παραπάνω εξισωσεις γράφονται και d a ij = m ik b kj, i = 1,, d, δηλαδή σε γλώσσα πινάκων k=1 A = M B, όπου M = (m ij ) i,j=1,,d είναι d d πίνακας µε στοιχεία ακεραίους Με τον ίδιο ακριβώς συλλογισµό, αντιστρέφοντας τους ϱόλους των a i και b i, παίρνουµε τη σχέση B = N A, 1

2 ΘΕΟ ΟΥΛΟΣ ΓΑΡΕΦΑΛΑΚΗΣ όπου N είναι ένας d d πίνακας µε στοιχεία ακεραίους Ετσι έχουµε και παίρνοντας ορίζουσες έχουµε A = MNA det(a) = det(m) det(n) det(a) Αφού τα a i είναι γραµµικώς ανεξάρτητα, det(a) 0, και έτσι έχουµε det(m) det(n) = 1 Οµως οι πίνακες M, N έχουν στοιχεία ακεραίους, οπότε οι ορίζουσες είναι ακέραιοι Συµπεραίνουµε ότι det(m), det(n) = ±1 Είδαµε ότι δύο οποιεσδήποτε ϐάσεις A, B ενός πλέγµατος συνδέονται µε πίνακες µε στοιχεία ακεραίους και ορίζουσα ±1 και ότι det(a) = det(b) Η ποσότητα det(a), που εξαρτάται µόνο από το πλέγµα και όχι από τη ϐάση, συµβολίζεται µε det(l) ή µε vol(l) 2 Αναγωγη LLL Συχνά, από τις άπειρες ϐάσεις ενός δεδοµένου πλέγµατος, ξεχωρίζουν κάποιες µε «καλές» ιδιότητες Κανείς ορίζει αρχικά µια τέτοια ιδιότητα και στη συνέχεια προσπαθεί να ϐρει µια ϐάση που την ικανοποιεί Η διαδικασία µετάβασης από την αρχική ϐάση στη ϐάση που ικανοποιεί την ιδιότητα ονοµάζεται αναγωγή της ϐάσης Το 1982, οι Lenstra, Lenstra και Lovász όρισαν µια τέτοια ιδιότητα και έδωσαν ένα πολυωνυµικού χρόνου αλγόριθµο για την έβρεση της ανηγµένης ϐάσης Η ιδιότητα, που δε ϑα ορίσουµε αυστηρά εδώ, ονοµάζεται LLL-ιδιότητα και η τελική ϐάση LLL-ανηγµένη Ο αλγόριθµος είναι γνωστός ως LLL Αυτό που είναι σηµαντικό για εµάς είναι ότι ο αλγόριθµος είναι πολυωνυµικός (δηλαδή γρήγορος) και ότι η τελική ϐάση B = {b 1,, b d }, για την οποία έχουµε υποθέσει ότι b 1 b 2 b d ικανοποιεί (αποδείξιµα) τις παρακάτω ιδιότητες : (1) b 1 2 d 1 2 min{ v : v L}, (2) b 1 2 d 1 2 (det(l)) 1 d, (3) b 2 2 d 2 (det(l)) 1 d 1, (4) det(l) d i=1 b i 2 d(d 1) 2 det(l) Ο Schnorr κατάφερε να µετατρέψει τον αλγόριθµο έτσι ώστε να οι σταθερά 2 να µπορεί να αντικατασταθεί µε 1 + ɛ για οποιοδήποτε ɛ > 0 και ο αλγόριθµος να παραµένει πολυωνυµικού χρόνου Φυσικά η πολυπλοκότητα εξαρτάται από το ɛ: όσο µικρότερο το ɛ τόσο περισσότερα ϐήµατα κάνει ο αλγόριθµος

Α44 ΚΡΥΠΤΟΓΡΑΦΙΑ ΣΗΜΕΙΩΣΕΙΣ #12 3 3 Υπολογιστικα προβληµατα σε πλεγµατα Κανείς µπορεί να ορίσει διάφορα ενδιαφέροντα υπολογιστικά προβλήµατα πάνω σε πλέγµατα Τα δύο σηµαντικότερα είναι τα Shortest Vector Problem (SVP) και Closest Vector Problem (CVP) Τα ορίζουµε : SVP: εδοµένου ενός πλέγµατος L ϐρες το µη µηδενικό διάνυσµα του πλέγ- µατος µε τη µικρότερη νόρµα CVP: εδοµένων ενός πλέγµατος L και ενός διανύσµατος v R d ϐρες το κοντινότερο, στο v, διάνυσµα του πλέγµατος Είναι ϕανερό ότι το SVP είναι ειδική περίπτωση του CVP Και τα δύο προβλήµατα αποδεικνύεται ότι είναι NP-πλήρη, δηλαδή υπολογιστικά δύσκολα Ετσι ασχολούµαστε µε τα αντίστοιχα προβλήµατα προσέγγισης Κανείς ϐλέπει αµέσως ότι ο αλγόριθµος LLL µας δίνει µια προσεγγιστική λύση για το SVP Ο LLL σε συνδοιασµό µε µια αναγωγή του CVP στο SVP δίνει µια µέθοδο για εύρεση προσεγγιστικής λύσης στο CVP Για παράδειγµα, για το CVP µπορεί να αποδειχτεί το παρακάτω λήµµα Λήµµα 31 Υπάρχει πολυωνυµικου χρόνου αλγόριθµος, ο οποίος δεδοµένου ενός πλέγµατος L διάστασης d και ενός διανύσµατος x R d υπολογίζει ένα διάνυσµα v L τέτοιο ώστε v x 2 d 1 4 min{ w x : w L} Είναι σηµαντικό να προσθέσουµε ότι η εµπειρία έχει δείξει ότι ο αλγόριθµος LLL στην πράξη δίνει καλύτερα αποτέσµατα απ ότι περιγράψαµε παραπάνω Συχνά ο αλγόριθµος ϐρίσκει το µικρότερο µη µηδενικό διάνυσµα του πλέγµατος Παράδειγµα 32 Ας πάρουµε το πλέγµα που παράγεται από τις γραµµές του πίνακα A = 1 2 5 1 3 3 0 2 7 Βλέπουµε για παράδειγµα ότι το διάνυσµα v = 2a 1 + a 2 a 3 = (1, 5, 6) ανήκει στο πλέγµα Η ορίζουσα του πλέγµατος είναι det(l) = det(a) = 11 Ο αλγόριθµος LLL µε είσοδο τη ϐάση του πίνακα A δίνει αποτέλεσµα τη ϐάση που περιγράφεται από τις γραµµές του πίνακα B = 1 1 0 0 1 2 2 3 1 Βλέπουµε ότι το διάνυσµα ( 1, 1, 0) είναι ένα διάνυσµα του πλέγµατος µε πολύ µικρή νόρµα Ελέγξτε αν είναι ένα από τα διανύσµατα που πλέγµτος µε τη µικρότερη νόρµα Ακόµη παρατηρήστε ότι που είναι πολύ κοντά στο det(l) = 11 b 1 b 2 b 3 = 2 5 14 1183,

4 ΘΕΟ ΟΥΛΟΣ ΓΑΡΕΦΑΛΑΚΗΣ 4 Εφαρµογη σε κρυπτοσυστηµατα σακιδιου Ας δουµε τώρα πώς τα παραπάνω µπορουν να χρησιµοποιηθούν για την κρυπτανάλυση του κρυπτοσυστήµατος των Merkle-Hellman Σε ό,τι ακολουθεί ϑα υοθέσουµε ότι η το M που επιλέγει ο κατασκευαστής του συστήµατος είναι γνωστό σε όλους Αυτό δεν είναι πολύ περιοριστική υπόθεση, κάνει όµως την περιγραφή της κρυπτανάλυσης αρκετά καθαρότερη Θυµίζουµε ότι το ιδιωτικό κλειδί του χρήστη αποτελείται από τα s 1,, s n, W και το δηµόσιο κλειδί από τα a 1,, a n Το M είναι παράµετρος γνωστή σε όλους Θα δείξουµε πώς από τα δηµόσια δεδοµένα µπορεί κανείς να υπολογίσει το W, και συνεπώς να ϐρει τα s 1,, s n, δηλαδή να ανακτήσει το ιδιωτικό κλειδί Παρατηρήστε ότι το πλέγµα που γεννάται από τις γραµµές του (n+1) (n+1) πίνακα M 0 0 0 0 M 0 0 A = 0 0 M 0 a 1 a 2 a n 1/M περιλαµβάνει διανύσµατα που γενικά έχουν τη µορφή v P = (P a 1 k 1 M, P a 2 k 2 M,, P a n k n M, P/M) Τα πρώτα n διανύσµατα έχουν νόρµα ίση µε M Το τελευταίο διάνυσµα της ϐάσης έχει νόρµα ίση µε ( n ) 1 a 2 i + 1 2 c nm M 2 i=1 όπου c είναι κάποια σταθερά, αν υποθέσουµε ότι τα a i είναι της τάξης του M Από την κατασκευή του κρυπτοσυστήµατος, ξέρουµε ότι W a i s i (mod M) που σηµαίνει ότι υπάρχουν ακέραιοι k i, i = 1, n τέτοιοι ώστε W a i k i M = s i, i = 1,, n Βλέπουµε τώρα ότι από τα διανύσµατα του πλέγµατος ξεχωρίζει το v W = (W a 1 k 1 M,, W a n k n M, W/M) = (s 1,, s n, W/M), το οποίο έχει αρκετά µικρή νόρµα σε σχέση µε τα αρχικά διανύσµατα : ( n ) 1 v W = s 2 i + W 2 2 M 2 i=1 Από το γεγονός ότι η ακολουθία s i, i = 1,, n είναι υπεραύξουσα και M > n i=1 s i κανείς περιµένει ότι τα s i είναι αρκετά µικρότερα από το M Αυτό είναι ϕανερό ιδιαίτερα για τις αρχικές τιµές της ακολουθίας Ετσι κανείς περιµένει ότι το διάνυσµα v W έχει ιδιαίτερα µικρή νόρµα και µπορεί να ϐρεθεί µε χρήση του LLL Προσέξτε ότι ακόµη και αν οι τελικές τιµές της ακολουθίας s i, ας πούµε για παράδειγµα το s n, είναι πολύ κοντά στο M, πράγµα που ϑα καθιστούσε τη

Α44 ΚΡΥΠΤΟΓΡΑΦΙΑ ΣΗΜΕΙΩΣΕΙΣ #12 5 νόρµα του v W µεγάλη, µπορούµε να ϑεωρήσουµε το πλέγµα διάστασης n που παράγεται από τις γραµµές του πίνακα M 0 0 0 0 M 0 0 0 0 M 0 a 1 a 2 a n 1 1/M και πάλι να ϐρούµε το W και να ανακτήσουµε τα s i Προσέξτε ότι το διάνυσµα (0, 0,, 0, 1) ανοίκει πάντα στο πλέγµα Άρα περιµένουµε ο LLL να το ϐρει και να είναι το µικρότερο διάνυσµα της νέας ϐάσης Το v W περιµένουµε να είναι το δεύτερο µικρότερο διάνυσµα της νέας ϐάσης Παράδειγµα 41 Ας δούµε πώς µπορούµε να ϐρούµε το ιδιωτικό κλειδί του παραδείγµατος 21 του προηγούµενου µαθήµατος Θυµίζουµε ότι το δηµόσιο κλειδί περιλάµβανε τα a 1 = 172, a 2 = 117, a 3 = 69, a 4 = 138, a 5 = 104, a 6 = 153, a 7 = 210 και ϑεωρούµε γνωστή την παράµετρο M = 227 Ορίζουµε το πλέγµα που παράγεται από τον πίνακα A = 227 0 0 0 0 0 0 227 0 0 0 0 0 0 227 0 0 0 0 0 0 227 0 0 0 0 0 0 227 0 172 117 69 138 104 1/227 Η ανηγµένη ϐάση που µας δίνει ο LLL δίνεται από τις γραµµές του πίνακα 0 0 0 0 0 1 1 2 7 14 27 33/227 33 66 4 8 17 46/227 B = 27 54 38 76 48 17/227 100 27 19 38 24 105/227 17 34 108 11 5 107/227 Οπως ϐλέπουµε, το δεύτερο διάνυσµα µας δίνει τα s 1, s 2, s 3, s 4, s 5 και το W που µπορούµε να το χρησιµοποιήσουµε για να ϐρούµε και τις υπόλοιπες τιµές s 6 και s 7

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια