Gitter und Kryptographie

Prof. C. P. Schnorr Sommersemester 2016

Gitter und Kryptographie

Blatt 5, 13.05.2016, Abgabe 20.05.2016

Aufgabe 1. Sei R₈ (Skript, Seite 23) die GNF des Gitters Λ₈ und y= (0,0,0,1,0,0,0,0)^t. Zeige:min{ky−xk, x∈ L(R₈)}= 1.

Hinweis: [R₈,y]^t[R₈,y] ∈ ¹₂Z^9×9, kyk = 1. Argumentiere wie in Lemma 2.2.3 des Skripts, benutze nicht dass λ²₁ = 2 fürL(R₉).

Aufgabe 2. Zeige für die folgende Basis: 1. kb₁k² =αⁿ⁻¹² det(L)^2/n. 2. Die Basis ist LLL-reduziert für δ und α= (δ− ¹₄)⁻¹ :

[b₁, . . . ,b_n] =





























1 1/2 0 · · · 0 0 ρ ρ/2 · · · ... ... . .. ρ² . .. ... ... . .. ... . .. 0 ... . .. ρⁿ⁻² ρⁿ⁻²/2 0 · · · 0 ρⁿ⁻¹





























∈R^n×n, ρ:= 1/√ α.

(Damit ist die Schranke für kb₁k² von Korollar 4.1.5 (1) scharf.)

Aufgabe 3. (Worst Case Gitterbasis zur Gauss-Reduktionk k=k k₂) Seib₁,b₂ ∈Rⁿreduzierte Basis,µ_2,1 ≥0, [b_k,b_k+1] := [b₁,b₂]



 0 1 1 2





k−1

. Zeige für k = 2,3, . . . : 1. d^hb_hb^k+1,bki

k,bki c= 2, kb_kk ≤ kb_k+1k.

2. Die Basis b_k,b_k+1 ist wohlgeordnet, d.h.kb_kk ≤ kb_k−b_k+1k ≤ kb_k+1k.

und wird in einer Runde der Gauss-Reduktion in b_k−1,b_k transformiert.

Hinweis : Satz 3.2.1 im Skript beweist, dass [b_k,b_k+1], minimale k-te Vor- gängerbasis zu b₁,b₂ ist.

Punktzahl für Aufgabe 1, 2, 3 : 5, 5, 8

Lemma 2.2.3 Sei B = [b₁, ...,b_n] Basis von L, B^tB ∈ k^n×n, k > 0 und b₁²,· · ·,b_n² ∈2kN. Sei ferner be ∈ L, eb ∈ L,/ B^tbe ∈ ^k₂ⁿ und ||eb||² ∈ kN. Dann gilt

1. λ²₁(L(B))∈2kN 2. ||L −b||e ² ≥k.

Beweis. Offenbar gilt für b=Pn

i=1t_ib_i ∈ L, b6=0, t_i ∈ dass

||b||² =bb=P

1≤i,j≤nt_it_jb_ib_j=Pn

i=1t²_i||b_i||²+ 2P

j<it_it_jb_ib_j ∈2k . Somit gilt 1. Zum Beweis von 2. setze b_n+1 :=eb. Dann gilt

||b−eb||² =b−ebb−be=Pn+1

i=1 t²_ikb_ik²+ 2P

1≤i<j≤n+1t_it_jb_ib_j ∈k

und somit ||L −eb||² ≥k.

Fakt.λ²₁ = 2für die Matrix R_n der erstenn ≤8Zeilen und Spalten vonR₈. Beweis. Für R₈ gilt R^t₈R₈ ∈Z^n×n, ||r₁||², ...,||r_n||² = 2. Nach Lemma 0.0.1 , Teil 1 folgt für k= 1 dass λ²₁ = 2 für L(R_n), fürn = 1, ...,8.

Wir erweitern die GNF R₈ wie folgt zu R₁₀. Es bezeichnet nun R_n = [r₁, ...,r_n]die Untermatrix der ersten n Zeilen und Spalten von R₁₀.

R₁₀ :=√ 2





















































1 ¹₂ ¹₂ 0 0 0 0 0 0 0

0 q3

4

√1 12

q1

3 0 0 0 0 0 0

0 0 q2

3

q1 6

q3

8 0 0 0 0 0

0 0 0 ^√1

2

√1 8

√1

2 0 0 0 ^√1

2

0 0 0 0 ^√1

2

√1 8

√1

2 0 ^√1

2 0

0 0 0 0 0

q3 8

√1 6

q2

3 0 0

0 0 0 0 0 0 ^√1

3

√1

12 0 0

0 0 0 0 0 0 0 ¹₂ 0 0

0 0 0 0 0 0 0 0 ^√1

2

√1 8

0 0 0 0 0 0 0 0 0

q3 8





















































, detR₁₀=√ 3/2.

Korollar 2.2.4 Für L(R9) und L(R10) gilt λ²₁ = 2.

Beweis. λ²₁(L(R₉)) = 2: Der Fakt zeigt λ²₁(L(R₈)) = 2. Wegen R^t₉R₉ ∈ ¹₂Z⁹ gilt nach Lemma 0.0.1 Teil 1, mit k= ¹₂ dassλ²₁(L(R₉))∈kN. Â Es ist nur noch zu zeigen, dass für alle r =P9

i=1t_ir_i ∈ L(R₉) mit t₉ 6= 0 gilt dass

||r||² > 1. Für |t₉| ≥ 2 folgt dies aus ||r||² ≥ t²₉||π₉(r₉)||² ≥ 4. Für t₉ = 1 wenden wir Lemma 2.2.3 Teil 1 an auf B =R₈ und eb=er :=r₉ −π₉(r₉) = (0,0,0,0,1,0,0,0)^t ∈ L(R₈). Es gilt R^t₈er ∈ ¹₂⁸, r₆er = ¹₂, ||er||² = 1. Lem- ma 0.0.1, Teil 2 zeigt für k = 1 dass ||L(R₈)−er||² ≥ 1 und somit folgt

||r||² ≥ ||L(R₈)−er||²+||π₉(r₉)||² ≥2.