25、近似最大公约数问题攻击方法详解

近似最大公约数问题攻击方法详解

1. 引言

全同态加密（FHE）有多种类型，包括基于理想格的 FHE、基于学习误差（LWE）问题及其变体的 FHE，以及基于近似最大公约数（AGCD）问题的 FHE。本文将详细介绍针对 AGCD 问题的三种攻击方法：穷举搜索攻击、同时丢番图逼近（SDA）攻击和正交格（OL）攻击。

2. 预备知识

2.1 AGCD 问题

给定三个正整数 (c)、(\eta)、(q)，且 (c > \eta > q)，((c, \eta, q)) - AGCD 问题定义如下：对于一个随机的 (\eta) 位奇数 (p)，给定多项式数量的实例 ({a_i = pq_i + r_i : q_i \in \mathbb{Z} \cap (0, \frac{2^c}{p}), r_i \in \mathbb{Z} \cap (-2^q, 2^q), 1 \leq i \leq n})，输出近似最大公约数 (p)。

2.2 格

(m) 维线性空间中的 (n) 维格 (L) 可以由 (n) 个线性无关的 (m) 维行向量 (b_1, \ldots, b_n) 张成：
[L = \left{\sum_{i = 1}^{n} k_i b_i \mid k_i \in \mathbb{Z}, 1 \leq i \leq n\right}]
其中 ({b_1, \ldots, b_n}) 是格 (L) 的一组基，(B = [b_1^T, \ldots, b_n^T]^T) 是对应的基矩阵。格 (L) 的秩或维数定义为 (\dim L = n)，若 (B) 是方阵，则格 (L) 的行列式