13、格攻击与卷积模格维度约简技术解析

格攻击与卷积模格维度约简技术解析

1. DSA类算法的格攻击

在密码学领域，DSA（数字签名算法）及其相关变体的安全性一直是研究的重点。格攻击作为一种强大的密码分析手段，对DSA类算法的安全性构成了潜在威胁。

1.1 主要理论结果

• DSA签名的预言机定义 ：对于 (i = 1, \cdots, 5) 和整数 (\ell)，定义预言机 (O_{DSA_{i,\ell}})，它针对给定的DSA签名 ((r(k), s_i(k, \mu)))，((k, \mu) \in S_i)，返回 (k) 的 (\ell) 个最低有效位。
• 定理1 ：设 (Q) 是一个足够大的整数。对于所有素数 (p \in [Q, 2Q])，当 (\nu = 1/3) 时；对于除最多 (Q^{5/6 + \epsilon}) 个之外的所有素数 (p \in [Q, 2Q])，当 (\nu = 0) 时。对于 (i = 1, \cdots, 5) 和任意 (\epsilon > 0)，存在 (\gamma > 0)，使得对于乘法阶 (q \geq p^{\nu + \epsilon}) 的元素 (g \in F_p)，以及满足 (W \leq \frac{|M|^2}{q^{1 - \gamma}}) 的任意哈希函数 (h)，给定预言机 (O_{DSA_{i,\ell}})（其中 (\ell = \lfloor \log^{1/2} q \rfloor + \lceil \log \log q \rceil)），存在一个概率多项式时间算法，能够从 (O(\log^{1/2} q)) 个独