39、RSA、因式分解问题与基于格的密码学

RSA、因式分解问题与基于格的密码学

1. RSA与因式分解问题

在解决多项式方程的小解方面，Coppersmith提出了针对双变量多项式的原始技术。对于一个三元多项式 (f(x,y,z))，会构建一个多项式 (g(x,y,z))，使得 (g) 不在 (\langle f\rangle) 中。之后，利用格罗布纳基（Gröbner Basis）方法和LLL过程的另一次迭代，构建出第三个多项式 (h(x,y,z))，且 (h) 不在 (\langle f,g\rangle) 中。不过，Bauer和Joux的方法仍包含一个启发式假设，但对于特殊形状的三元多项式，该方法可以完全严格化。

1.1 Coppersmith方法的局限性

Coppersmith方法能够输出多项式方程的所有足够小的解。由于该方法在多项式时间内运行，所以只能输出多项式数量的解。这就以构造性的方式证明了在特定区间内根的数量存在限制，对于一元模多项式，这个限制与Konyagin和Steeger给出的界限相匹配。每个多项式方程的根的数量限制了我们能够在多项式时间内搜索的区间大小。

以一元模多项式方程为例，设 (N = p^r)，要解方程 (f(x)=x^r\bmod N)，显然所有 (x_0 = kp)（(k\in N)）都是解。若要求解满足 (|x_0|\leq p^{1+\epsilon}) 的解，就需要输出 (p^{\epsilon}) 个解，这是一个指数数量的解。这就解释了为什么在一般情况下，“如何找到小根：一元情况” 中 (|x_0| = N^{\frac{1}{\delta}}) 的界限不能被改进。

然而，有两个原因表明这个论据并不从根本上排除对当前应用界限进行改进的