19、密码学中格的两面性

密码学中格的两面性

1. 格方法解决子集和问题

实验表明，使用格方法解决低密度子集和问题在 n 约为 100 - 200 的范围内是有效的，但对于 n 超过几百的低密度背包问题，理论和实践上能否解决尚未得到证明或证伪。不过，可以确定的是，背包密码学并不实用，因为背包方案的密钥大小通常至少随 n 的平方增长，所以高值的 n 在实际应用中不可行。

格方法解决子集和问题主要是启发式的，而针对背包密码系统的格攻击则更具启发性。因为从背包问题到最短向量问题（SVP）的归约假设权重 ai 是均匀分布的，而密码系统中的背包问题通常不一定满足这一条件。

2. 正交格

Nguyen 和 Stern 提出了一种对背包问题所产生的格的自然推广，即正交格。对于 Zn 中的任意整数格 L，正交格 L⊥ 定义为与 L 正交的整数向量的集合，即对于所有 y ∈ L，满足点积 ⟨x, y⟩ = 0 的 x ∈ Zn 的集合。

正交格 L⊥ 的维度为 n - dim(L)，并且可以从 L 在多项式时间内计算得到。正交格的体积等于格 span(L) ∩ Zn 的体积，因此如果 Zn 中的一个格是低维的，其正交格就是高维的，且体积至多相等，正交格的逐次极小值可能比原格的逐次极小值短得多。

这种正交格的性质导致了对各种密码方案有效的（尽管是启发式的）基于格的攻击。例如，在解决低密度隐藏子集和问题时，先将问题用向量重新表述，通过一系列推理发现，当密度 n / log(M) 非常小且 m 足够大时，启发式条件可能满足，此时可以公开格 ¯Lx，再通过格约简恢复向量 xj，最终从线性模系统中确定系数 αj。

正交格求解隐藏子集和问题步骤如下：