21、密码学中格的两面性

密码学中格的两面性

1. 单变量多项式方程与Coppersmith定理

当参数 (h) 趋于无穷大时，其上界的极限为 (\frac{1}{\sqrt{2N^{1/\delta}}})。通过对 (h) 进行适当选择，可以得到相关定理。这一结果具有实际应用价值，例如在攻击使用非常低的公钥指数的RSA加密时就可以发挥作用。

1.1 定理局限性

如果多项式 (P(x) = x^{\delta} + c)，则相关定理较为简单。并且，对于所有多项式和所有模数 (N)，无法期望改进 (N^{1/\delta}) 这个自然边界。例如，对于多项式 (P(x) = x^{\delta}) 和 (N = p^{\delta})（其中 (p) 为素数），(P \bmod N) 的根是 (p) 的倍数，因此很难找到所有略大于 (N^{1/\delta} = p) 的小根。不过，如果只寻找模 (N) 的最小根，在特定模数（如已知分解且没有太小因子的无平方因子的 (N)）下，使用SVP - oracle可以改进 (N^{1/\delta}) 这个边界，但即使在这种情况下，寻找模根仍然可能很困难，因为模根的数量可能与 (N) 的素因子数量呈指数关系。

2. 多变量模方程

定理可以启发式地扩展到多变量多项式模方程。以寻找 (P(x, y) \equiv 0 \pmod{N}) 的所有小根为例，其中 (P(x, y)) 的总次数为 (\delta)，且至少有一个最高总次数的首一单项式 (x^{\alpha}y^{\delta - \alpha})。

2.1 求解步骤

1. 选择参数和多项式