超级会员免费看
密码学中格的两面性
1. 单变量多项式方程与Coppersmith定理
当参数 (h) 趋于无穷大时,其上界的极限为 (\frac{1}{\sqrt{2N^{1/\delta}}})。通过对 (h) 进行适当选择,可以得到相关定理。这一结果具有实际应用价值,例如在攻击使用非常低的公钥指数的RSA加密时就可以发挥作用。
1.1 定理局限性
如果多项式 (P(x) = x^{\delta} + c),则相关定理较为简单。并且,对于所有多项式和所有模数 (N),无法期望改进 (N^{1/\delta}) 这个自然边界。例如,对于多项式 (P(x) = x^{\delta}) 和 (N = p^{\delta})(其中 (p) 为素数),(P \bmod N) 的根是 (p) 的倍数,因此很难找到所有略大于 (N^{1/\delta} = p) 的小根。不过,如果只寻找模 (N) 的最小根,在特定模数(如已知分解且没有太小因子的无平方因子的 (N))下,使用SVP - oracle可以改进 (N^{1/\delta}) 这个边界,但即使在这种情况下,寻找模根仍然可能很困难,因为模根的数量可能与 (N) 的素因子数量呈指数关系。
2. 多变量模方程
定理可以启发式地扩展到多变量多项式模方程。以寻找 (P(x, y) \equiv 0 \pmod{N}) 的所有小根为例,其中 (P(x, y)) 的总次数为 (\delta),且至少有一个最高总次数的首一单项式 (x^{\alpha}y^{\delta - \alpha})。
2.1 求解步骤
- 选择参数和多项式
订阅专栏 解锁全文
扫一扫
2
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
