50、理想格中HSVP的子域攻击与q - 元格上BKZ行为的测量和模拟

理想格中HSVP的子域攻击与q - 元格上BKZ行为的测量和模拟

理想格中HSVP的子域攻击

在数域理想格的最短向量问题（HSVP）研究中，提出了两种子域攻击方法，即范数法和交集法。下面为大家详细介绍这两种方法的应用及特点。

应用与理论基础

为了便于讨论，这里以典范嵌入为例，并且仅考虑$O_L$的非分歧素理想$P$。设定$p_1 = Norm_{L/K}(P)$，$p_2 = P \cap O_K$，$p$为$P$下方的有理素数，$f$（$f’$）为$P$在$L/Q$（$p_2$在$K/Q$）中的剩余次数。

在定理2中，可通过处理$n$维子格$p_1$中因子为$\gamma$的HSVP，来解决$N$维素理想格$P$中因子为$\gamma_1$的HSVP，其中：
$\gamma_1 = \left(\frac{N}{n}p^{f/n - f/N} \frac{\gamma}{| Norm_{K/Q}(disc(K/Q))|^{1/2N}} \right) < \gamma \cdot p^{f/n - f/N}\left(\frac{N}{n}\right)$

特别地，当$\gamma = \sqrt{n}$时，在$p_1$中找到满足$p_1$的闵可夫斯基界的向量，就能得到$P$中满足因子$\sqrt{N}p^{f/n - f/N}$的向量，该因子大于$P$的闵可夫斯基界。对于固定的子域$K$，因子$\gamma_1$是$f$的增函数。因此，当素理想的剩余次数$f$较小时，算法1会更高效。在伽罗瓦数域中，具有大分解域的素理想容易受到范数法的攻击。

在定理3中，将$N$维素理想格$P$中因子为$\gamm