Shortest Vector Problem - Mathematical Institute

Diplomarbeit
Zur Komplexität des
Shortest Vector Problem“
”
und seine Anwendungen
in der Kryptographie
F RANK VALLENTIN
im August 1999
vorgelegt bei
Prof. Dr. I NGO W EGENER
Lehrstuhl für Komplexitätstheorie und Effiziente Algorithmen
Fachbereich Informatik
Universität Dortmund
Vorwort
An dieser Stelle danke ich allen, die an der Entstehung meiner Diplomarbeit beteiligt waren.
Ich danke Prof. Dr. I NGO W EGENER für die vertrauensvolle Zusammenarbeit und die gezielten
Hilfestellungen. Ich danke den Mitgliedern des Instituts für Algebra und Geometrie des Fachbereichs Mathematik an der Universität Dortmund für die Schaffung einer lehrreichen und motivierenden Atmosphäre. Insbesondere danke ich Prof. Dr. RUDOLF S CHARLAU für die dauerhafte Unterstützung und Förderung. B ORIS H EMKEMEIER danke ich für hilfreiche Gespräche und
Ratschläge. Bei Dr. T OMAS S ANDER bedanke ich mich für den Hinweis, der mich zu dem Thema
meiner Diplomarbeit führte. Schließlich danke ich A NDR É, A NJA, A NNE -K ATRIN, B ERNHARD,
D IRK, L UDGER, M ARK, M ARKUS und R ALF für die zahlreichen Anmerkungen und Korrekturen.
Für die übrigen Fehler und andere Versehen bitte ich die Leserin und den Leser um Nachsicht und
freue mich über konstruktive Kritik.
Inhaltsverzeichnis
1 Einleitung
1
2 Grundlegendes zur Komplexitätstheorie und zu Approximationsalgorithmen 5
2.1 Ein Überblick über einige für die Kryptographie relevanten Komplexitätsklassen
6
2.1.1 Deterministische und nichtdeterministische Komplexitätsklassen . . . . .
6
2.1.2 Probabilistische Komplexitätsklassen . . . . . . . . . . . . . . . . . . .
8
2.1.3 Interaktive Beweissysteme . . . . . . . . . . . . . . . . . . . . . . . . .
9
2.1.4 Zusammenbruch von Hierarchien . . . . . . . . . . . . . . . . . . . . . 10
2.2 Komplexitätstheorie und Approximationsalgorithmen . . . . . . . . . . . . . . . 11
3 Einige Grundbegriffe der modernen Kryptographie
3.1 One-Way-Funktionen . . . . . . . . . . . . . . . . . .
3.2 Beispiele . . . . . . . . . . . . . . . . . . . . . . . .
3.2.1 Das Problem des diskreten Logarithmus . . . .
3.2.2 Faktorisieren von ganzen Zahlen . . . . . . . .
3.3 Public-Key-Kryptosysteme . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
15
16
18
18
18
19
4 Einige Grundbegriffe der diskreten Geometrie
4.1 Elementare Eigenschaften von Gittern . . . . . . . . . . . . . . . . . .
4.1.1 Gitter, Gitterbasen und Gitterprojektionen . . . . . . . . . . . .
4.1.2 Geometrische Invarianten von Gittern . . . . . . . . . . . . . .
4.1.3 Untergitter und Dualität von Gittern . . . . . . . . . . . . . . .
4.2 Sukzessive Minima und Reduktionstheorie von Gittern . . . . . . . . .
4.2.1 Die Gitterpunktsätze von M INKOWSKI . . . . . . . . . . . . .
4.2.2 Gitterbasisreduktion im Sinne von KORKINE und Z OLOTAREV
4.3 Elementare Eigenschaften von konvexen Polytopen . . . . . . . . . . .
4.3.1 Konvexe Polytope allgemein . . . . . . . . . . . . . . . . . . .
4.3.2 Konvexe Parallelotope speziell . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
23
24
24
26
27
27
27
29
30
30
32
.
.
.
.
35
36
39
40
41
-Härte des SVP
6 Über die
6.1 Eine zahlentheoretische Vermutung . . . . . . . . . . . . . . . . . . . . . . . .
6.2 Effiziente Konstruktion eines Gitters . . . . . . . . . . . . . . . . . . . . . . . .
6.3 Eine Reduktion von CVP auf SVP . . . . . . . . . . . . . . . . . . . . . . . . .
43
44
44
50
5 Gitterprobleme
5.1 Das shortest vector problem“ (SVP) . . . . . .
”
5.2 Das closest vector problem“ (CVP) . . . . . . .
”
5.3 Beziehungen zwischen dem SVP und dem CVP .
5.4 Weitere Gitterprobleme . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
vi
Inhaltsverzeichnis
7 Grenzen der
-Härte der Approximierbarkeit von kurzen Gittervektoren
7.1 Ein interaktives Beweissystem für das Komplement von SVP . . . . . . . . . . .
53
54
8 Worst-Case/Average-Case-Äquivalenz
8.1 Abzählen von Gittervektoren in einem Parallelotop . . .
8.2 Berechnung eines Pseudowürfels . . . . . . . . . . . . .
8.3 Zufällige Gitterpunktwahl in einem Parallelotop . . . . .
8.4 Unterteilung des Pseudowürfels . . . . . . . . . . . . .
8.5 Das Theorem der Worst-Case/Average-Case-Äquivalenz
8.6 Konstruktion einer One-Way-Funktion . . . . . . . . . .
59
60
62
65
66
68
74
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kapitel 1
Einleitung
Die zentrale Frage dieser Diplomarbeit lautet:
Ist Kryptographie eine Geheimwissenschaft?
Oder genauer und bescheidener: Wie kann Kryptographie theoretisch fundiert werden?
Was ist Kryptographie? Die Kryptographie“ ist ein Teilgebiet der Wissenschaft der
”
Kryptologie“, die sich mit Geheimschriften beschäftigt. Das besondere Merkmal der Kryp”
tographie ist, daß chiffrierte Nachrichten öffentlich zugänglich sind. In der Kryptographie
werden Verfahren entwickelt und untersucht, die es Unbefugten unmöglich machen sollen,
offene, aber chiffrierte Geheimschriften zu entziffern. Ein zentraler Aspekt der Kryptographie ist die Bewertung der Sicherheit von eingesetzten Verfahren. Ein kryptographisches
Verfahren gilt als sicher, wenn unbefugte Entzifferer die durch dieses Verfahren chiffrierten
Nachrichten mit vertretbarem Aufwand nicht dechiffrieren können.
Militärisch geprägte Kryptographie Bis vor wenigen Jahren wurde Kryptographie
fast ausschließlich für militärische Zwecke genutzt. In diesem Zeitraum war die Kryptographie eine Geheimwissenschaft: Kryptographische Forschung wurde nur von und für
militärische Einrichtungen betrieben, und die Forschenden durften ihre Ergebnisse der
Öffentlichkeit nicht präsentieren. Eine Ausnahme der militärischen Geheimniskrämerei bildet die Begründung der informationstheoretischen Kryptographie von C LAUDE E. S HAN NON ([Sha49]), die als Ergebnis der Forschung im zweiten Weltkrieg anzusehen ist.
In S HANNONs Modell ist die Rechenkraft eines unbefugten Entzifferers nicht beschränkt.
Er definiert unter dieser rigorosen Voraussetzung perfekte Sicherheit als die Unmöglichkeit,
nützliche Informationen aus einer chiffrierten Nachricht zu berechnen, ohne den Schlüssel zu
kennen. S HANNON erkannte, daß perfekte Sicherheit nur dann möglich ist, wenn die Anzahl
der Bits, die Sender und Empfänger über einen öffentlichen Kommunikationskanal austauschen, höchstens so groß ist wie die Anzahl der Bits, die sie vorher über einen geheimen
Kommunikationskanal vereinbart haben.
Kryptographie für die Massen Für sicherheitsrelevante Anwendungen in großen Rechnernetzen, wie z.B. dem Electronic Commerce im Internet, sind kryptographische Methoden
mit perfekter Sicherheit nicht einsetzbar. Das Schlüsselmanagement ist viel zu aufwendig.
Bevor zwei Teilnehmer abhörsicher kommunizieren können, müssen sie einen Schlüssel ausgetauscht haben, dessen Länge die Länge der zu sendenden Nachricht nicht unterschreitet.
Für ein Rechnernetz mit Benutzern werden
geheime Schlüssel benötigt. Die Struktur
des Internet macht es notwendig, daß sich die Benutzer authentifizieren und ihre Nachrichten
signieren. W INFRIED D IFFIE und M ARTIN E. H ELLMAN initiierten 1976 in ihrem Artikel
[DH76] eine neue Form von Kryptographie, die für den Einsatz in großen Rechnernetzen
geeignet ist. Im Unterschied zu S HANNONs Ansatz wird realistischerweise davon ausgegangen, daß die Rechenkraft von unbefugten Entzifferern beschränkt ist.
2
Kapitel 1 Einleitung
Außerdem wird der Begriff der perfekten Sicherheit umgangen: ein kryptographisches Verfahren gilt schon
als sicher, wenn unbefugte Entzifferer in einer vertretbaren Zeit nicht in der Lage sind, nützliche Informationen aus chiffrierten Nachrichten zu gewinnen.
D IFFIE und H ELLMAN führten das Konzept der Public-Key-Kryptosysteme ein, die eine faszinierende Eigenschaft besitzen: Sender und Empfänger können auf einem öffentlichen Kommunikationskanal mit geheimen Nachrichten kommunizieren, ohne sich jemals auf einen gemeinsamen geheimen Schlüssel geeinigt
zu haben. Das erste Public-Key-Kryptosystem wurde von RONALD L. R IVEST, A DI S HAMIR und L EO NARD M. A DLEMAN ([ARS78]) entworfen. Das RSA-Verfahren wird auch noch heute vielfach eingesetzt.
Wer garantiert für die Sicherheit? Die moderne Kryptographie besitzt nicht nur Vorteile. Im Gegensatz zu S HANNONs Ansatz kann heutzutage niemand beweisen, daß ein Public-Key-Kryptosystem sicher
ist: Es ist ein offenes Problem. Am Beispiel des RSA-Verfahrens läßt sich gut verdeutlichen, warum
ausschließlich Experten die Sicherheit auf der Grundlage von empirischen Untersuchungen garantieren
können. Mit einem effizienten Algorithmus zur Faktorisierung von ganzen Zahlen sind Nachrichten, die
mit dem RSA-Verfahren chiffriert wurden, dechiffrierbar. Glücklicherweise kennt heutzutage niemand(?)
einen derartigen Algorithmus. Daraus auf die Sicherheit des RSA-Verfahren zu schließen, wäre naiv. Auf
der einen Seite gibt es evtl. andere Angriffspunkte. Auf der anderen Seite kann es sein, daß es einen effizienten Algorithmus gibt, der nahezu alle Zahlen in ihre Primfaktoren zerlegen kann. Für den Einsatz des
RSA-Verfahrens müssen Zahlen bestimmt werden, die kein bekannter Algorithmus in annehmbarer Zeit
faktorisieren kann. Doch wie sehen diese aus? Man muß sich auf Meinungen von Experten verlassen.
Benutzung von komplexitätstheoretischen Annahmen In der Komplexitätstheorie wird die Schwierigkeit untersucht, Probleme algorithmisch zu lösen. Genauer wird der Frage nachgegangen, wieviel Zeit
und Speicherplatz eine T URING-Maschine zur Lösung eines Problems mindestens benötigt. Das ist für eine
theoretische Formalisierung der modernen Kryptographie von enormer Wichtigkeit: Ein kryptographisches
System soll einem legalen Benutzer nur einen geringen Zeitaufwand abverlangen, einem illegalen Benutzer
dagegen einen ungeheuren Zeitaufwand.
Beschränkung auf grundlegende Funktionen Durch die Beschränkung auf wenige primitive kryptographische Funktionen soll die Anzahl der Angriffsmöglichkeiten gesenkt werden. One-Way-Funktionen
sind die Grundbausteine von vielen kryptographischen Verfahren. Grob gesprochen sind One-Way-Funktionen Funktionen, die immer effizient zu berechnen, aber fast immer schwierig, d.h. mit hohem Aufwand,
zu invertieren sind. Der aktuelle Stand der Komplexitätstheorie kann ihre Existenz nicht nachweisen. Dies
ist auch kein Wunder, denn die Existenz einer One-Way-Funktion würde die Aussage
“ implizie”
ren. Die Existenz von One-Way-Funktionen konnte bislang aber selbst unter der Annahme von
nicht nachgewiesen werden.
Probleme der komplexitätstheoretischen Kryptographie Der komplexitätstheoretischen Kryptographie sind einige Vorbehalte entgegenzubringen.
Zum einen ist die Komplexitätstheorie nur auf Worst-Case-Analysen fixiert. Man interessiert sich nur für die
Instanzen eines Problems, die Rechnern maximale Leistung (Rechenzeit und Speicherplatz) abverlangen.
Geheime Nachrichten sollen für unbefugte Entzifferer nicht im Worst-Case schwierig zu dechiffrieren zu
sein, sondern im Average-Case und besser noch im Most-Case“.
”
Zum anderen werden in der Komplexitätstheorie nur asymptotische Aussagen getroffen. Mit Grenzwertbetrachtungen kann nicht bewiesen werden, daß ein kryptographisches Verfahren bei einer verwendeten
Schlüssellänge von 512 Bit sicher ist.
Ein möglicher Ausweg Kürzlich stellte M IKL ÓS A JTAI in [Ajt96] einen Ansatz vor, mit dem es möglich
ist, auf der Grundlage von etablierten komplexitätstheoretischen Annahmen beweisbar sichere Public-KeyKryptosysteme zu konstruieren. Das IBM Research Magazine beschreibt in der 2. Ausgabe 1997 diesen
Ansatz:
3
A Cryptographic Coup
When M IKL ÓS A JTAI, a computer scientist at IBM’s Almaden Research Center, revealed a major mathematical proof last year, he pointed the way to a significant advance in cryptography. He also set off a race to exploit his work for computer security.
Now, A JTAI and his Almaden colleague C YNTHIA DWORK have emerged as leaders
on the path to creating a practical public key encryption system based on his results.
The new approach is the first cryptographic system that provides a high level of mathematically proven protection for computer data transmitted over networks.
Like conventional public key cryptography, the new system scrambles data sent over
the Internet and other networks by encrypting it with a universally available public key.
Only the recipient can decrypt the data. To do so, he or she uses software that, for each
message, randomly generates a private key, known only to the recipient. To crack such
a system, individuals could theoretically eavesdrop on transmissions electronically,
in hopes of identifying private keys that are relatively easy to crack. Most methods
of generating private keys, such as those based on factoring very large numbers, do
occasionally produce keys that are simple to break. The Almaden researchers set out
to remove that vulnerability.
A JTAI’s advance focused on so-called lattice problems. A JTAI showed that every single randomly generated instance of a specially constructed lattice problem is equally
difficult — and almost impossible — to solve. Then he and DWORK converted that
knowledge into a working method of generating private keys.
According to P RABHAKAR R AGHAVAN, senior manager of computer science at Almaden, the new system has two advantages over current cryptographic techniques.
Every possible private key is as difficult to crack as every other. Listening in on the
processes of private key generation doesn’t help. Eavesdroppers can gain no clues
about how to break the private key, however often they monitor private key transactions. In addition, the approach permits users to adjust the level of security on a sliding
scale, to comply with different governmental regulations.
The present form of the system is impractical. It requires encryption keys far longer
than the messages that they encrypt, and it runs too slowly to be effective. “We’ll need
another reasonably good mathematical breakthrough to reach the point at which it’s
competitive with current cryptographic methods,” says R AGHAVAN. Even when that
occurs, R AGHAVAN warns, non-technical issues such as marketability will determine
the technology’s market appeal. Nevertheless, the second stage of the race to exploit
A JTAI’s advance has started, with Research among the early leaders.
Ziele dieser Diplomarbeit Das Ziel dieser Diplomarbeit ist es, den Ansatz von A JTAI vorzustellen und
!"#%$'&(#*),+ -.
/02143 & 6587
zu bewerten.
A JTAI zeigt, daß die Abbildung
für
,
mit
und
eine One-Way-Funktion ist, wenn es für das sogenannte shortest vector problem“ kei”
nen effizienten Lösungsalgorithmus gibt.
Das Besondere und Neue dieses Resultats ist die Zurückführung der Average-Case-Schwierigkeit (bzw.
Most-Case-Schwierigkeit) der Invertierung“ der One-Way-Funktion auf die Worst-Case-Schwierigkeit des
”
shortest vector problem“.
”
Es ist notwendig, die Komplexitätstheorie des shortest vector problem“ zu studieren, um A JTAIs Ergebnis
”
zu bewerten. Gegeben sei eine Menge
, wobei
linear unabhängige
Vektoren des
sind. Geometrisch ist die Menge ein Gitter. Das shortest vector problem“ besteht darin,
”
zu finden.
einen kürzesten Vektor in der Menge
Genauer beweist A JTAI, daß die Abbildung
eine One-Way-Funktion ist, wenn es keinen
effizienten Algorithmus zur Berechnung einer -Approximation für das shortest vector problem“ gibt.
”
Eine -Approximation ist ein Vektor aus
, der höchstens
mal so lang ist, wie ein kürzester
Vektor aus
. Der beste bekannte effiziente Algorithmus zur Approximation von kurzen Gittervektoren
berechnet nur eine
-Approximation. Falls es
-hart ist, eine -Approximation für das shortest
”
vector problem“ zu berechnen und
gilt, dann ist die moderne Kryptographie mit Hilfe einer
etablierten komplexitätstheoretischen Annahme begründet.
69:45;=<4> &
?
K)
5ZY
@[Q8.(ST3 ]: \ B*_` C) ^
@ #ACBEDFCF2F'DG#HA )JILK )
AMB'CN2N2NOPA )
@
R@ Q8.(ST3
U58VY WX
58Y
@[Q8.(ST3
5ZY
ac b 4
Kapitel 1 Einleitung
d :feUg
DANIELE M ICCIANCIO zeigte in [Mic98a], daß die Berechnung einer
-Approximation für das shor”
-hart ist. O DED G OLDREICH und S HAFI G OLDWASSER bewiesen in [GG98] hintest vector problem“
gegen, daß die Berechnung einer
-Approximation für das shortest vector problem“ unter üblichen
”
-hart sein kann.
komplexitätstheoretischen Voraussetzungen nicht
A JTAIs Theorem ist ein beachtlicher Schritt für die theoretische Fundierung der Kryptographie, da es zeigt,
wie der Worst-Case eines Problems auf den Average-Case eines evtl. anderen Problems zurückgeführt werden kann.
Die Frage Ist Kryptographie eine Geheimwissenschaft?“ bzw. Gibt es eine komplexitätstheoretische Fun”
”
dierung der Kryptographie?“ kann noch nicht endgültig mit NEIN!“ beantwortet werden.
”
Die Leserin und der Leser darf sich darauf freuen, an eine Spitze der kryptographischen Grundlagenforschung geführt zu werden.
h 5 $ ;jik5
l
Grundlagen
l
Zur Komplexität des shortest vector problem“
”
Kryptographische Anwendungen
Der Aufbau dieser Diplomarbeit Die Diplomarbeit ist in drei Hauptteile gegliedert:
l
Im ersten Hauptteil werden die Grundlagen, die für das Verständnis der weiteren Kapitel benötigt werden,
gesammelt. Es werden Grundlagen aus drei Gebieten benötigt: Komplexitätstheorie, Kryptographie und
diskrete Geometrie.
Im zweiten Hauptteil wird auf die Komplexitätstheorie des shortest vector problem“ eingegangen. Es
”
werden zunächst die wichtigsten algorithmischen Probleme der Gittertheorie erläutert und formalisiert. Danach wird das Ergebnis der
-Härte des shortest vector problem“ von M ICCIANCIO vorgestellt und
”
eine Beweislücke der Originalarbeit geschlossen. Anschließend wird das Resultat von G OLDREICH und
G OLDWASSER im Detail behandelt.
Im dritten Hauptteil wird die Konstruktion der One-Way-Funktion auf der Basis des Theorems der WorstCase/Average-Case-Äquivalenz von A JTAI erklärt. Dort wird die Literatur um vollständige Beweise bereichert.
Kapitel 2
Grundlegendes zur
Komplexitätstheorie und zu
Approximationsalgorithmen
In diesem Kapitel diskutieren wir das Rechnermodell, das wir später benutzen werden, sowie
die Komplexitätsklassen, die für unsere kryptographischen Untersuchungen relevant sind.
Die effiziente Approximierbarkeit einer Optimierungsvariante des shortest vector problem“
”
wird eine zentrale Rolle einnehmen, so daß wir an die komplexitätstheoretischen Grundlagen
von Approximationsalgorithmen erinnern.
Wir werden für alle komplexitätstheoretischen Betrachtungen T URING-Maschinenmodelle
benutzen, jedoch zur Beschreibung und Analyse von konkreten Algorithmen ein intuitives
Rechnermodell, um unnötige Formalismen zu vermeiden. Im wesentlichen ist eine T URINGMaschine, die hier nicht näher definiert werden soll, eine mathematische Abstraktion eines
Digitalcomputers.
Nach der wohlbekannten C HURCH -T URING-These stimmt die Klasse der Funktionen, die
wir intuitiv als berechenbar ansehen, mit der Klasse der Funktionen überein, die mit Hilfe von
T URING-Maschinen berechnet werden können. Die starke C HURCH -T URING-These besagt
sogar, daß die Klasse der effizient berechenbaren Funktionen mit der Klasse der Funktionen,
die durch T URING-Maschinen effizient berechnet werden können, übereinstimmt. Wir legen
die starke Hypothese zugrunde, obwohl das Modell der Quantenrechner, mit denen man z.B.
effizient ganze Zahlen in Primfaktoren zerlegen kann (siehe [Sho94]), die starke Hypothese widerlegen könnte. Da vermutlich Quantenrechner in der näheren Zukunft nicht gebaut
werden können, erscheint der Ansatz, die starke Hypothese zugrunde zu legen, realistisch.
Zur verwendeten Literatur: Klassiker der Grundlagen der theoretischen Informatik sind
[HU79] und [GJ79]. Neueres findet sich in [Weg93] und [Weg98]. Die im ersten Abschnitt
definierten Begriffe haben sich etabliert, die im zweiten Abschnitt noch nicht. Sie sind im
wesentlichen [MPS98], [Weg95] und [Aro94] entnommen.
6
Kapitel 2 Grundlegendes zur Komplexitätstheorie und zu Approximationsalgorithmen
2.1
Ein Überblick über einige für die Kryptographie relevanten
Komplexitätsklassen
In der Komplexitätstheorie wird die Schwierigkeit untersucht, Probleme algorithmisch zu lösen.
Genauer wird der Frage nachgegangen, wieviel Zeit und Speicherplatz eine T URING-Maschine
zur Lösung eines Problems mindestens benötigt. Die Frage führt dazu, daß Probleme in Komplexitätsklassen eingeteilt werden. Das ist für eine theoretische Formalisierung der modernen
Kryptographie, wie sie in Kapitel 3 vorgenommen wird, von enormer Wichtigkeit: Ein kryptographisches System soll einem legalen Benutzer nur einen geringen Zeitaufwand abverlangen, einem
illegalen Benutzer dagegen einen ungeheuren Zeitaufwand.
Um Probleme leichter in Klassen einteilen zu können, werden sie in zwei Schritten in eine Normalform gebracht, ohne daß ihre Komplexität dadurch erheblich verändert wird. Im ersten Schritt
wird ein Problem als Entscheidungsproblem — als Entscheidungsfrage — formuliert. Ein Beiund eine natürliche Zahl gegeben. Die Frage Besitzt
eine
spiel: Es seien ein Graph
”
Clique mit Knoten?“ ist das Entscheidungsproblem, das zu dem Suchproblem Finde in eine
”
Clique der Größe .“ gehört. Ein Suchproblem ist nicht leichter als sein zugehöriges Entscheidungsproblem. Oft besitzen beide dieselbe Schwierigkeit, wie im Beispiel des Cliquenproblems.
Im zweiten Schritt wird ein Entscheidungsproblem als ein Spracherkennungsproblem betrachtet.
Von nun an sei ein endliches Alphabet. Die Menge sämtlicher endlicher Buchstabenfolgen
über wird mit
bezeichnet und
bezeichnet die Länge einer Buchstabenfolge
.
. Das Spracherkennungsproblem von beEine Sprache über ist eine Teilmenge von
steht darin, für eine Buchstabenfolge
herauszufinden, ob sie zu gehört oder nicht.
Um ein Entscheidungsproblem als ein Spracherkennungsproblem aufzufassen, müssen die Probleminstanzen als Buchstabenfolgen codiert werden, d.h. es muß eine bijektive Abbildung von
der Menge der Probleminstanzen zu
gefunden werden. Die zu erkennende Sprache ist dann
Die Frage
läßt sich mit Ja.“ beantworten .
”
Eine T URING-Maschine, die ein Problem mit geringem Aufwand lösen kann, heißt effizient. Geringer Aufwand bedeutet, daß die Zeit der Berechnung immer polynomiell von der Länge der
Eingabe, einer kompakten Codierung einer Probleminstanz, abhängt.
n
o
m
n
u
o
oqp
n
r s[r
op
s-tvo p
o
uyx{z,s|t|o pJ}
m
wR~€Z‚s„ƒ
s"t"oqp
u
u
oUp
w
…
†
o
m
mit dem Eingabealphabet heißt polynomiell zeitDefinition 2.1.1. Eine T URING-Maschine
beschränkt, falls es ein Polynom
gibt, so daß die Berechnung von
bei Eingabe von
höchstens
Schritte benötigt.
st|o p
‡ˆtˆ‰UŠ ‹Œ
‡RŽr skrƒ
†
2.1.1 Deterministische und nichtdeterministische Komplexitätsklassen
Wir unterscheiden zwischen zwei T URING-Maschinenmodellen, dem herkömmlichen deterministischen und dem probabilistischen Modell, dem zusätzlich Münzwürfe zur Entscheidungsfindung
erlaubt sind.
u‘’o p
Definition 2.1.2. Die Klasse besteht aus allen Sprachen
, für die es eine determinisgibt, so daß für alle Eingaben
tische polynomiell zeitbeschränkte T URING-Maschine
gilt:
”
stu
” Falls st• u
Falls
ist, akzeptiert
s
die Eingabe .
s“toqp
s nicht.
besteht aus allen Sprachen
Die nächste interessante Komplexitätsklasse ist
. Die Klasse
u , für die es für alle s–t—u ein Zertifikat ˜„‚s€ƒ gibt, mit dessen Hilfe effizient deterministisch
ist, akzeptiert
†
†
†
die Eingabe
2.1 Ein Überblick über einige für die Kryptographie relevanten Komplexitätsklassen
s
u
7
n
m
bestätigt werden kann, daß zur Sprache gehört. So ist z.B. die explizite Angabe einer elementigen Teilmenge von Knoten eines Graphen , die eine Clique bilden, ein Zertifikat dafür,
daß der Graph eine Clique mit Knoten besitzt. Außerdem ist dieses Zertifakt effizient deterministisch überprüfbar. Also ist die Entscheidungsvariante des Cliquenproblems in
enthalten.
m
n
u™šoUp
Definition 2.1.3. Die Klasse
besteht aus allen Sprachen
, für die es eine deterministische polynomiell zeitbeschränkte T URING-Maschine
und ein Polynom
gibt, so daß
für alle
gilt:
sGt|o p
” Falls stu
” Falls st• u
†
‡t‰UŠ ‹Œ
˜›tœo p , r ˜€ržL‡RŽr s[rƒ , und † akzeptiert die Eingabe ‚sEŸ ˜fƒ .
ist, akzeptiert † die Eingabe ‚sEŸ ˜fƒ bei einem beliebigen ˜›t|oUp , r ˜rT¡‡[Žr s[rƒ ,
nicht.
x•
Es
ist
das
Problem
der
theoretischen
Informatik,
die
allgemein
nicht
bezweifelte
Vermutung
zu beweisen. Kürzlich wurde diesem Problem eine ganze Seite in der Wochenzeitung DIE
”
ZEIT“ gewidmet [Beh99].Man hat die schwierigsten Spracherkennungsprobleme aus zu
einer eigenen Klasse, die
-vollständigen Sprachen, zusammengefaßt. Die Klasse der
-vollständige Sprache zu
gehört,
vollständigen
ist so definiert, daß, falls
Sprachen
xeine
sofort x
folgt. Genauso folgt natürlich
• , wenn eine -vollständige Sprache
nicht zu gehört. Im folgenden beschreiben undbenutzen wir das Konzept der polynomiellen
zu definieren.
Reduktionen, um die schwierigsten Sprachen aus
ist, gibt es ein
Definition 2.1.4. Eine polynomielle Reduktion ( many-to-one reduction“) einer Sprache
”
auf eine Sprache
ist eine Funktion
, für die gilt:
u¤£¥™o p
¦ } o pq§ o p
” Die Funktion ¦ ist von einer deterministischen polynomiell zeitbeschränkten T
”
u¢oqp
URING -Ma-
schine berechenbar.
sGtGo p ist s tu
¦k‚s€ƒtu¨£ .
-hart, falls es für jede Sprache aus eine polynoDefinition 2.1.5. Eine Sprache u heißt
-vollständig, falls sie in liegt und
auf u gibt.Eine Sprache u heißt
mielle-hartReduktion
ª© bezeichnet.
ist. Die Klasse der
-vollständigen Sprachen wird mit
um sogenannte -Orakel, führt zur polynomielEine stufenweise Erweiterung der Klasse
Dabei besteht die « -te Stufe aus der Klasse und die ¬ -te Stufe aus der Klasse
len Hierarchie.
. Das Wort Hierarchie“ deutet an, daß vermutlich die n -te Stufe eine echte Teilklasse der
­nW®™¬4ƒ -ten Stufe”ist.
Definition 2.1.6. Es sei ntš¯±°³² . Die n -te Stufe der polynomiellen
Hierarchie oq´ besteht aus
allen Sprachen u , für die es eine Sprache u¤£ aus der Klasse und ein Polynom ‡t‰Š ‹Œ gibt, so
Für alle
genau dann, wenn
daß
uyx{z,s T} µ ˜  ŸZr ˜  rT¡‡RŽr skrƒCŸV¶¥˜¸·8ŸZr ˜¸·0rT¡‡RŽr skrƒCŸ(¹(¹(¹EŸCº»˜¸´0ŸZr ˜¸´Orž¡‡RŽr skrƒ } ‚sEŸ ˜  Ÿ(¹(¹(¹¼Ÿ ˜¸´Mƒtu £ …¸¹
Hierbei ist º{x¶ , falls n gerade und º{x µ , falls n ungerade ist.
»½ besteht aus sämtlichen Stufen der polynomiellen Hierarchie:
Die
Hierarchie
»½ polynomielle
x¾ ´4¿8À„ÁM o%´ .
8
Kapitel 2 Grundlegendes zur Komplexitätstheorie und zu Approximationsalgorithmen
2.1.2 Probabilistische Komplexitätsklassen
Wir nehmen die liberale Sichtweise an, daß effiziente Berechnungen die sind, die probabilistische
polynomiell zeitbeschränkte T URING-Maschinen durchführen können. Vermutlich ist die Klasse
der effizient lösbaren Probleme eine echte Oberklasse von .
Wenn wir den Begriff der polynomiellen Reduktion etwas erweitern, kommen wir (natürlich)
nur“
leichter zu komplexitätstheoretischen Aussagen. Zuweilen können wir für eine Sprache
”
beweisen, daß sich alle Sprachen der Klasse
auf durch eine randomisierte polynomielle
Reduktion zurückführen lassen:
u
u
uÐÄoqp
Definition 2.1.7. Eine randomisierte polynomielle Reduktion einer Sprache
auf eine
Sprache
ist eine zufällige Funktion
, die von einer probabilistischen
polynomiell zeitbeschränkten T URING-Maschine berechnet werden kann und für die gilt:
u¤£ÅÄo p
”
stu
” Falls st• u
Falls
¦ } o py§ o p
ist, beträgt die Wahrscheinlichkeit für das Ereignis
ist, ist auch
¦k‚s€ƒJt• u¨£ .
”
¦k‚s„ƒtu¤£ “ mindestens · .
Bislang haben wir Komplexitätsklassen nur mit Hilfe von deterministischen und nichtdeterministischen T URING-Maschinen definiert. Wir wenden uns nun probabilistischen Komplexitätsklassen
werden adaptiert: Wir ersetzen die deterministischen T U zu. Die Definitionen von und
RING -Maschinen durch probabilistische und die Quantoren durch Wahrscheinlichkeitsaussagen.
Die konkreten Wahrscheinlichkeitswerte in Definition 2.1.8 sind zu einem gewissen Grad willkürlich gewählt. Durch wiederholtes Anwenden einer probabilistischen T URING-Maschinenberechnung und anschließender Majoritätsentscheidung läßt sich die Wahrscheinlichkeit eines Irrtums
senken ( probability amplification“), ohne die jeweilige Komplexitätsklasse zu verändern.
”
Æ u‘o p
besteht aus allen Sprachen
, für die es eine probabiliDefinition 2.1.8. Die Klasse
stische polynomiell zeitbeschränkte T URING-Maschine
gibt, so daß für alle Eingaben
gilt:
”
†
s¡toqp
sctcu ist, beträgt die Wahrscheinlichkeit, daß † die Eingabe s akzeptiert, minde·
” Falls st• u ist, akzeptiert † die Eingabe s nicht.
» besteht aus allen Sprachen u™oUp , für die es eine probabilistische polynomiell
Die Klasse Ç
zeitbeschränkte T
-Maschine † gibt, so daß für alle Eingaben st|oUp gilt:
” Falls sctcu ist, beträgt die Wahrscheinlichkeit, daß † die Eingabe s akzeptiert, mindestens ÉÈ .
” Falls s‘t• u ist, beträgt die Wahrscheinlichkeit, daß † die Eingabe s akzeptiert, höchstens É  .
Die Klasse ÊÌË besteht aus allen Sprachen uc{o p , für die es eine polynomiell zeitbeschränkte
T
-Maschine † und ein Polynom ‡Gt‰Š ‹Œ gibt, so daß für alle st|o p gilt:
” Falls sÍtu ist, gibt es ein ˜t™o p , r ˜r¼™‡RŽr s[rƒ , und die Wahrscheinlichkeit, daß † die
Eingabe ‚s¼Ÿ ˜Oƒ akzeptiert, beträgt mindestens ÉÈ .
” Falls s‘t{
• u ist, beträgt die Wahrscheinlichkeit, daß † die Eingabe ‚s¼Ÿ ˜Oƒ akzeptiert für
jedes ˜Ît|o p , r ˜€rϝ¡‡RŽr s[rƒ , höchstens É  .
Falls
stens .
URING
URING
2.1 Ein Überblick über einige für die Kryptographie relevanten Komplexitätsklassen
9
2.1.3 Interaktive Beweissysteme
ÊÌË
Wir charakterisieren nun die Klasse
mit Hilfe von interaktiven Beweissystemen. Ein interaktives Beweissystem ist ein Spiel zwischen einem in seiner Rechenzeit beschränkten Spieler Vic”
tor“ und einer in ihrer Rechenzeit unbeschränkten Spielerin Peggy“. Ziel des Spieles ist es, daß
”
Peggy Victor von der Richtigkeit einer Aussage (z.B. der Graph besitzt eine Clique der Größe )
überzeugen möchte. Falls die Aussage richtig ist, soll Victor mit einer hohen Wahrscheinlichkeit
überzeugt werden können. Falls sie falsch ist, soll Victor nur mit einer kleinen Wahrscheinlichkeit
überzeugt werden können, ganz gleich, welche Argumente Peggy ihm vorträgt.
m
n
Eingabeband
verwirft
Peggy
Victor
akzeptiert
Kommunikationsband
Arbeitsband
Arbeitsband
Abbildung 2.1: Ein interaktives Beweissystem.
u
u
˜Ðtco p r ˜r¨‡R‚s€ƒ
sGtu
sÑt¢• u
Eine Sprache aus der Klasse
kann mit Hilfe eines interaktiven Beweissystems erkannt
werden. Es sei
ein zu gehörendes Polynom (siehe Definition 2.1.3). Es sei
eine Eingabe. Peggy berechnet
,
, und schickt zu Victor, der die T URINGaus Definition 2.1.3 besitzt. Victor akzeptiert die Eingabe genau dann, wenn
Maschine
die Eingabe
akzeptiert. Falls
ist, kann Peggy ein berechnen, so daß Victor mit Hilfe
das Paar
akzeptiert. Falls
ist, akzeptiert Victor mit Hilfe von
das Paar
von
auf keinen Fall.
†
†
‚sEŸ ˜fƒ
‡yty‰Š ‹Œ
‚s¼Ÿ ˜Oƒ
‚s¼Ÿ ˜Oƒ
˜
˜
Ò
u¢o p
s
†
sÐtÍoqp
†
Definition 2.1.9. Die Klasse
besteht aus allen Sprachen
, die von interaktiven Beweissystemen erkannt werden können, d.h. es gibt eine polynomiell zeitbeschränkte probabilistische
T URING-Maschine und eine in ihrer Rechenzeit unbeschränkten T URING-Maschine , so daß
für alle Eingaben
gilt:
”
”
sÑt‘u
Ó
s|t|o p
ÉÈ
Falls
ist, beträgt die Wahrscheinlichkeit, daß
gemeinsame Eingabe akzeptiert, mindestens .
sÕt• u
s
Ó
Ô
Ó
nach Kommunikation mit
Ô
die
É
Falls
ist, beträgt die Wahrscheinlichkeit, daß
nach Kommunikation mit einer
die gemeinsame Eingabe akzeptiert, höchstens .
beliebigen T URING-Maschine
Ö
Ô£
Ò ‚Ö¼ƒ
s
Es sei eine nicht-negative ganze Zahl. Die Klasse
besteht aus allen Sprachen, die von
interaktiven Beweissystemen erkannt werden können, die mit höchstens Nachrichten zwischen
und bzw. zwischen und auskommen.
Ô
Ó¨Ÿ
Ó
ÔqŸ
Ö
10
Kapitel 2 Grundlegendes zur Komplexitätstheorie und zu Approximationsalgorithmen
Es ist intuitiv einsichtig, daß die Mächtigkeit von interaktiven Beweissystemen von der Anzahl
der erlaubten Kommunikationsrunden abhängt.
Theorem 2.1.10. Es gelten die nachfolgenden Klassenbeziehungen:
Ò × «0ƒx™Ç » .
P¬4ƒqØ .
ii) Ò
­Ù¸ƒx¢ÊÌË .
iii) Ò
ÛÚ̓¨x“Ò iv) Die Klasse Ò
i)
stimmt mit der Klasse der Sprachen überein, die von deterministischen polynomiell platzbeschränkten T URING-Maschinen erkannt werden können.
Die erste Aussage folgt unmittelbar aus den Definitionen. Die zweite Aussage haben wir schon
weiter oben eingesehen. Für den Beweis der dritten Aussage ist es wichtig zu erkennen, daß private
Münzwürfe durch öffentliche Münzwürfe simuliert werden können. Dies haben G OLDWASSER
und S IPSER in [GS86] gezeigt. Die vierte Aussage ist ein nicht minder überraschendes Theorem
von S HAMIR ([Sha92]).
2.1.4 Zusammenbruch von Hierarchien
u co p
© ™
Ç » u } x{o p,Ü u
©
definieren wir die komplementäre Sprache
. Für eine KomFür eine Sprache
plexitätsklasse definieren wir die komplementäre Klasse co- . Sie besteht aus allen Sprachen
, für die es eine Sprache aus gibt. Eine Klasse heißt symmetrisch, wenn
cogilt. So sind z.B. und
symmetrisch.
uš{o p
u
o·
©
Þ
ÞÞ Þ
©
»½
ÝÝ
Ý Ý
co-
© x
o·
co-ÊÌË
ÊÌË Ý
Þ
Ý Ý
Þ
Ý
Þ Þ
» coÇ
ÝÝ
ÞÞ Þ
Ý Ý
Þ
co-Æ
Æ Ý
Ý Ý
ÞÞ
Þ
Ý
Þ
Abbildung 2.2: Inklusionsbeziehungen zwischen den angesprochenen Komplexitätsklassen.
©
2.2 Komplexitätstheorie und Approximationsalgorithmen
11
Zwischen den angesprochenen Komplexitätsklassen gibt es viele Inklusionsbeziehungen, die bekannten sind in Abbildung 2.2 abzulesen. Nach dem heutigen Stand der Komplexitätstheorie ist
es ein offenes Problem, ob zwei der Klassen sich unterscheiden. Es wird angenommen, daß je
zwei der angesprochenen Klassen
unterschiedlich sind, so daß Aussagen der Form
”
“ ein starkes Indiz für die Wahrheit der Aussage liefern. Hierfür ist die polynomielle
Hierarchie ein besonders geeignetes Werkzeug. Sie gibt uns eine unendliche Menge von Arbeitshypothesen.
© Ÿ© ·

© · xßÄà
© x•

à
Theorem 2.1.11. (Zusammenbruch der polynomiellen Hierarchie)
Es sei
. Die polynomielle Hierarchie bricht zu
zusammen, d.h. es ist
gilt. Sie bricht zu
zusammen, falls
cogilt.
n tœ¯±°³²
o%´ªxo%´(á 
2.2
o·
Ò ­Ù¸%o ƒ¨´ x
»½ x–o%´ , falls
Komplexitätstheorie und Approximationsalgorithmen
Wir haben im vorhergehenden Abschnitt Komplexitätsklassen für Entscheidungsprobleme behandelt. Die Beschränkung auf Entscheidungsprobleme hatte den Vorteil, daß diese als Spracherkennungsprobleme aufgefaßt werden können. Der Nachteil ist, daß sie in der Praxis weniger relevant
sind als Suchprobleme. Optimierungsprobleme sind spezielle Suchprobleme, deren Lösungen
nicht nur gültig, sondern sogar bestmöglich sein sollen. Bei schwierigen Optimierungsproblemen
muß in der Praxis evtl. auf das Auffinden einer optimalen Lösung verzichtet und mit Approximationen gearbeitet werden.
â
Definition 2.2.1. Ein Optimierungsproblem besteht aus einer Menge von Probleminstanzen,
einer Funktion , die einer Probleminstanz
die Menge der gültigen Lösungen zuordnet,
einer Funktion , die einer gültigen Lösung
eine positive reelle Zahl zuordnet, und einer
Variablen
, die angibt, ob das Optimierungsproblem ein Minimierungs- oder ein
Maximierungsproblem ist.
wird mit
bezeichnet und es
Der Wert der optimalen Lösung einer Probleminstanz
1
. Eine gültige Lösung
mit
heißt
gilt
optimale Lösung.
ã
æ
è|t“z4éëêí섟Žéëî8ïð…
äåtcâ
çWtGãq‚䪃
ñ]òfó4‚仃Wx‘è³z,æð­çMƒ } çt¢ãq‚仃2…
ä"tˆâ
ñ]òfóZ‚仃
çt¢ãq‚䪃 愁­ç8ƒôx‘ñ]òfó4‚䪃
ׁ ⳟCãRŸ 泟Pèσ
è¡x"éëêíì
ävtÍâ
n
çÎt“ãq‚仃 æð­çMƒõ–n èöx™éëî8ï
-hart ist, gibt es unter der Voraussetzung x • Falls ein Optimierungsproblem
In natürlicher Weise kann einem Optimierungsproblem
ein Entscheidungsproblem zugeordnet werden. Falls
ist, wird die Probleminstanz
zusammen mit einer positiven reellen Zahl als Entscheidungsfrage Gibt es
mit
?“ formuliert. Falls
”
ist, wird eine analoge Frage gestellt. Ein Optimierungsproblem heißt
-hart, wenn es
das zugeordnete Entscheidungsproblem ist.
keinen
effizienten deterministischen Optimierungsalgorithmus für dieses Problem. Wir können allenfalls
die Existenz eines effizienten Approximationsalgorithmus erwarten. Ein Approximationsalgorithmus berechnet bei Eingabe
eine gültige Lösung
und der Wert
approximiert
den optimalen Wert
.
ñ]òfó4‚仃
ú t"‰%° 
ä÷tœâ
æð­çMƒ
×ⳟCãRŸ 泟PèOƒ ein Optimierungsproblem,
äùtLâ eine Probleminstanz und
ç™tvãU‚䪃 heißt ú -Approximation für ä , falls die folgenden
û 愁­ç8ƒ ñ]òfó4‚仃 ú
éëî8ï ñ]òfó4‚仃 Ÿ æð­çMƒvü  ¹
Definition 2.2.2. Es seien
. Eine gültige Lösung
Ungleichungen erfüllt sind:
1
çøtLãq‚䪃
bei naturgemäßem Mißbrauch der Notation
12
Kapitel 2 Grundlegendes zur Komplexitätstheorie und zu Approximationsalgorithmen
Die Qualität eines Approximationsalgorithmus wird durch die sogenannte Worst-Case-Güte gemessen.
ýˆþÐÿ
ý
Definition 2.2.3. Es sei
. Eine T URING-Maschine berechnet eine -Approximation
für ein Optimierungsproblem, falls sie bei jeder Eingabe eine -Approximation ausgibt. Die
, so daß eine -Approximation beWorst-Case-Güte von ist das Infimum aller
rechnet.
ý
ý™þ{ÿ
ý
Im weiteren Verlauf betrachten wir ausschließlich Minimierungsprobleme. Die angegebenen Konzepte können ohne Probleme auf Maximierungsprobleme übertragen werden.
ýœþ“ÿ
ý
Für ein Minimierungsproblem und ein
kann es immer noch sehr schwierig sein, -Approximationen zu berechnen. Es sei ein Minimierungsproblem. Wir möchten definieren, daß
die Berechnung einer -Approximation für -hart ist. Die Definition muß gewährleisten, daß
die Existenz eines polynomiellen deterministischen Algorithmus, der eine -Approximation für berechnet, die Aussage impliziert.
ý
ý
Wþ|ÿ
ýþ|ÿ
,
und !#"%$ ein Minimierungsproblem.
Definition 2.2.4. Es seien Wir definieren das Entscheidungsproblem Gap- & '$ - wie folgt: Es sei ( ) eine Instanz von
und es gilt
* (–þ
*
Žý'$ -
(5þ 4 Gap- &Žý'$ -
Gap- &
Žý
÷þ
, wenn +-,./0(1$32 .
'ý
, wenn +-,./0(1$36 .
Žý
ý
Das Entscheidungsproblem Gap- & 7$ - ist ein sogenanntes Promise-Problem. Falls 86:9 ist,
stimmt die Menge der Instanzen von Gap- & '$ - nicht notwendigerweise mit der Menge der
Instanzen von überein. Falls für eine Instanz ( von Gap- & '$ - die Ungleichung +-,./0(1$6
gilt, kann versprochen werden, daß +-,.;0(<$6 gilt. Dies ist bei der Konstruktion von polynomiellen Reduktionen zwischen Promise-Problemen zu beachten. Es dürfen nur Instanzen verwendet
werden, die das Versprechen einhalten.
Žý
'ý
Žý
ý¡þyÿ
þ¢ÿ
Žý
Proposition 2.2.6. Es seien ýÎþÿ und B
C!#"$ ein Minimierungsproblem. Falls die
Berechnung einer ý -Approximation für -hart ist und es eine deterministische polynomiell
zeitbeschränkte T
-Maschine gibt, die eine ý -Approximation für berechnet, dann folgt
Definition 2.2.5. Es seien
und =>!#"?$ ein Minimierungsproblem. Die Be gibt, so daß das Entrechnung einer -Approximation für ist -hart, falls es ein scheidungsproblem Gap- & '$ -@A -vollständig ist.
ý
URING
DA
.
Gþšÿ
Žý
so, daß Gap- ; '$ -B -vollständig ist. Es sei ( eine Eingabe von
Beweis. Es sei Gap- & '$ - . Die T URING-Maschine berechne bei Eingabe von ( die -Approximation E .
1. Fall: Es gilt ?FEG$2 .
Dann ist (
Gap- & 7$ - , denn aus (H4 Gap- ; '$ - folgt +-,.;0(<$<6I und weiter ?FEG$KJ
+-,./0(1$36 .
2. Fall: Es gilt ?FEG$6 .
Dann ist (L4 Gap- & '$ - , denn aus (
Gap- & 7$ - folgt +-,./0(<$M2 und weiter %FE&$N2
O+-,.&0(1$2 .
Die Zugehörigkeit von ( zur Sprache Gap- ; '$ - kann also durch eine deterministische polynomiell zeitbeschränkte T URING-Maschine entschieden werden.
P
Žý
ý
'ý
þ
þ
'ý
'ý
Žý
'ý
Žý
þ
Žý
aþ
Žý
Žý
ý
'ý
2.2 Komplexitätstheorie und Approximationsalgorithmen
13
Ein aktuelles Resultat von H ÅSTAD [Hås97] besagt z.B., daß es für jedes QD6HRSA -hart ist,
UV -Approximationen für die Maximierungsvariante des Cliquenproblems zu berechnen (T
eine T
bezeichnet die Anzahl der Knoten eines Graphen, bei dem eine Clique maximaler Größe gesucht
wird). Der Versuch, effiziente deterministische Algorithmen für das Cliquenproblem zu entwerfen,
ist also unter der Voraussetzung W
4 aussichtslos. Aussagen dieser Art lassen sich mit
Hilfe von approximationserhaltenden Reduktionen (siehe Definition 2.2.7), die in Anlehnung zu
polynomiellen Reduktionen definiert sind, auf die effiziente Nicht-Approximierbarkeit anderer
Optimierungsprobleme übertragen.
Wir benötigen das Konzept der approximationserhaltenden Reduktionen nur zwischen Minimierungsproblemen, so daß wir es auch nur für sie definieren. Das Konzept funktioniert zwischen
Maximierungsproblemen bzw. Mischformen vollkommen analog.
Definition 2.2.7. Es seien X
!#"%$ und ZY?
[YY0\Y!]"$ Minimierungsprobleme.
Eine approximationserhaltende Reduktion (eigentlich besser gap preserving reduction“) zu den
”
Parametern & '$ und ^Y \Y]$ von auf _Y ist eine Abbildung `badce[Y , so daß für alle ( @
gilt:
Žý
*
Žý
Ñþ
falls +-,./0(1$32 ist, so ist +-,./F`f0(<$$2 Y ,
'ý
*
falls +-,./0(1$36
ý
ist, so ist +-,./F`f0(1$$36^Y gY .
Außerdem muß ` durch eine deterministische polynomiell zeitbeschränkte T URING-Maschine
berechnet werden können.
Proposition 2.2.8. Es seien hi#"$ und Y = Y Y Y i#"$ Minimierungsprobleme, wobei es für ein
1 -hart ist eine -Approximation für zu berechnen. Es sei
so gewählt, daß Gap- ; '$ - jA1k . Falls eine approximationserhaltende Reduktion
`)a[Mcl\Y zu den Parametern & '$ und ^Y0 gY#$ von auf _Y existiert, so ist es ebenfalls A -hart,
eine gY -Approximation für _Y zu berechnen.
Wþœÿ
ý™þÿ
ý
Žý
Žý ùþ
Žý
ý
Žý'$ -
Beweis. Die Abbildung ` liefert eine polynomielle Reduktion von der Sprache Gap- ;
die Sprache Gap- ^Y \Y#$ -ZY .
Žý
auf
P
Kapitel 3
Einige Grundbegriffe der
modernen Kryptographie
Die Kryptographie“ ist ein Teilgebiet der Wissenschaft der Kryptologie“, die sich mit Ge”
”
heimschriften beschäftigt. Das besondere Merkmal der Kryptographie ist, daß chiffrierte
Nachrichten öffentlich zugänglich sind, d.h. in der Kryptographie werden Verfahren entwickelt und untersucht, die es Unbefugten unmöglich machen sollen, offene, aber chiffrierte
Geheimschriften zu entziffern.
Ein Szenario, das in der Kryptographie eine wichtige Rolle spielt, ist die Kommunikation
in Rechnernetzwerken: Nachrichten, ob geheim oder nicht, können, wenn sie vom Sender
zum Empfänger geschickt werden, von vielen Teilnehmern des Rechnernetzwerks abgehört
werden.
Ein zentraler Aspekt der Kryptographie ist die Bewertung der Sicherheit von eingesetzten
Verfahren. Ein kryptographisches Verfahren gilt als sicher, wenn unbefugte Entzifferer die
durch dieses Verfahren chiffrierten Nachrichten mit vertretbarem Aufwand nicht dechiffrieren können. Was als vertretbarer Aufwand angesehen wird, ist der Unterschied zwischen der
klassischen, informationstheoretischen und der modernen, komplexitätstheoretischen Kryptographie.
In der klassischen, informationstheoretischen Kryptographie, die S HANNON in [Sha49] begründete, besitzt der unbefugte Entzifferer unbeschränkte Rechenkraft. S HANNON definiert
unter dieser rigorosen Voraussetzung perfekte Sicherheit als die Unmöglichkeit, nützliche
Informationen aus einer chiffrierten Nachricht zu berechnen, ohne den Schlüssel zu kennen.
Es ist eine bedeutende Erkenntnis von S HANNON, daß perfekte Sicherheit nur dann möglich
ist, wenn die Anzahl der Bits, die Sender und Empfänger über einen öffentlichen Kommunikationskanal austauschen, höchstens so groß ist, wie die Anzahl der Bits, die sie vorher über
einen geheimen Kommunikationskanal vereinbart haben.
In der modernen Kryptographie, die D IFFIE und H ELLMAN in ihrem Artikel [DH76] initiierten, wird die Rechenkraft von unbefugten Entzifferern als beschränkt angesehen. Heutzutage
wird realistischerweise davon ausgegangen, daß unbefugte Entzifferer nur eine probabilistische polynomiell zeitbeschränkte T URING-Maschine besitzen. Außerdem wird der Begriff der perfekten Sicherheit nicht behandelt: ein kryptographisches Verfahren gilt schon
als sicher, wenn unbefugte Entzifferer in einer vertretbaren Zeit nicht in der Lage sind,
nützliche Informationen aus chiffrierten Nachrichten zu gewinnen oder sie sogar zu dechiffrieren. Was unter vertretbarer Zeit“ zu verstehen ist, ist vom Stand der Technik und von
”
der Wichtigkeit der zu sendenden geheimen Nachricht, die in der Regel sehr schnell veraltet,
abhängig. So besitzen moderne kryptographische Verfahren oft einen Sicherheitsparameter,
der in Abhängigkeit von der erwarteten Rechenleistung eines unbefugten Entzifferers und
von der Wichtigkeit der geheimen Nachricht, gewählt werden kann.
Eine Einführung in die moderne Kryptographie bieten [GB97], [Gol97] und [Gol95], an
denen sich dieses Kapitel orientiert. Wir gehen hier nur auf die zentralen Begriffe One-Way”
Funktion“ und Public-Key-Kryptosystem“ ein. Eine Standardreferenz für Kryptographie ist
”
das Handbook of applied cryptography“ [MVV97].
”
16
Kapitel 3 Einige Grundbegriffe der modernen Kryptographie
3.1
One-Way-Funktionen
Grob gesprochen sind One-Way-Funktionen Funktionen, die effizient zu berechnen, aber schwierig zu invertieren sind. One-Way-Funktionen sind wichtige Grundbausteine von vielen kryptogra4 “ impliphischen Verfahren. Da die Existenz von One-Way-Funktionen die Aussage m
I
”
ziert, kann man heute mit Hilfe der Komplexitätstheorie die Existenz nicht nachweisen. Bislang
o n
4
A
4 A “
kann man das selbst dann nicht, wenn die Hypothese n
“ bzw. sogar
”
”
angenommen.
Wie schon angedeutet, gehen wir davon aus, daß unbefugte Entzifferer nur eine probabilistische polynomiell zeitbeschränkte (das beschränkende Polynom ist beliebig, aber fest) T URINGMaschine besitzen. Falls unbefugte Entzifferer mit einer positiven Wahrscheinlichkeit nützliche
Informationen über chiffrierte Nachrichten gewinnen können — und das ist immer schon durch
Raten möglich —, können sie die Wahrscheinlichkeit durch polynomiell viele Berechnungsversuche erhöhen. Diese Wahrscheinlichkeit muß bei einer sicheren kryptographischen Funktion
unerheblich sein.
ùþ
þÿ
ÿ
Definition 3.1.1. Eine von T qp abhängige nicht-negative Funktion rqasphc heißt unt schneller gegen 0 konvergiert als der Quotient
erheblich ( negligible“), wenn sie für T:c
9/u'v w0Tx$yv für” jedes Polynom w Zz {}| , d.h. für genügend großes T gilt stets r~0Tx$€9/u'v w0Tx$yv .
Ist die Erfolgswahrscheinlichkeit eines probabilistischen Algorithmus unerheblich, so ist sie nach
polynomiell vielen Wiederholungen des Algorithmus immer noch unerheblich.
Eine einfache Anwendung von One-Way-Funktionen findet sich in der Login-Prozedur für einen
geschützten Systemzugang (z.B. bei Rechnern, die mehreren Personen zugänglich sind, Geld-Automaten, etc.): Alice gibt ihr Paßwort an einem abhörsicheren Terminal ein. Das Paßwort wird mit
Hilfe einer One-Way-Funktion chiffriert. Die Systemzentrale sendet das Paßwörterverzeichnis
über einen öffentlichen Kommunikationskanal an das Terminal. Das Paßwörterverzeichnis enthält
eine Liste der chiffrierten Paßwörter sämtlicher Personen, die Zugang zu dem System erhalten
dürfen. Alice’ chiffrierte Eingabe wird mit dem entsprechenden Eintrag im Paßwörterverzeichnis
verglichen und bei Übereinstimmung erhält sie einen Zugang zum System. Durch dieses Protokoll
wird nur eine sichere Authentifikation von Systemzugängen ermöglicht, andere Sicherheitsprobleme werden aber dadurch nicht gelöst. Es ist z.B. nicht klar, wie Alice’ chiffriertes Paßwort sicher
in das Paßwörterverzeichnis gelangt.
|þ
Definition 3.1.2. Sei ‚ ein endliches Alphabet mit 9 q‚ . Eine Funktion
starke One-Way-Funktion, falls sie die folgenden Bedingungen erfüllt:
`ƒaO‚3„dc
‚…„
heißt
i) (Effizient zu berechnen:) Es gibt eine probabilistische polynomiell zeitbeschränkte T U RING -Maschine, die bei Eingabe von † ‡‚3„ den Funktionswert `f0†%$ berechnet.
|þ
ii) (Schwierig zu invertieren:) Für jede probabilistische polynomiell zeitbeschränkte T URINGMaschine gibt es eine unerhebliche Funktion r-ˆ , so daß für genügend großes T gilt:
‰sŠ z‹`fŒ$s
Žjv;ŽN
ƒ`f0†$
und berechnet bei Eingabe
9’‘?Ž$
Gþ)‚‘
wobei die Wahrscheinlichkeit über die zufällige Wahl von †
von genommen wird.
den Wert Œ[|~2Ar-ˆ0Tx$
und über die Münzwürfe
Ein paar Bemerkungen zur Definition 3.1.2: Es wird nicht verlangt, die Funktion ` zu invertieren, sondern es sollen Urbilder bzgl. ` berechnet werden. Die Eingabe 9 ‘ sichert der T URINGMaschine zu, daß sie genügend Zeit besitzt, um bei Eingabe Ž ein Urbild † abzuspeichern.
3.1 One-Way-Funktionen
œþ
Wenn z.B. für † “‚‘ immer
eller Zeit † nicht berechnen.
17
v `f0†$yvOþ”'•–+-—OTx$
gilt, kann bei Eingabe von
`f0†%$
in polynomi-
Einen anderen Ansatz, One-Way-Funktionen zu definieren, bieten die sogenannten schwachen
One-Way-Funktionen. Wie der Name schon suggeriert, müssen schwache im Gegensatz zu starken One-Way-Funktionen schwächeren Bedingungen genügen. Schwache One-Way-Funktionen
werden betrachtet, weil ihre Existenz möglicherweise leichter als die Existenz von starken OneWay-Funktionen nachweisbar ist.
|þ
Definition 3.1.3. Sei ‚ ein endliches Alphabet mit 9 q‚ . Eine Funktion
schwache One-Way-Funktion, falls sie die folgenden Bedingungen erfüllt:
`ƒaO‚3„dc
‚…„
heißt
i) (Effizient zu berechnen:) Es gibt eine probabilistische polynomiell zeitbeschränkte T U RING -Maschine, die bei Eingabe von † ‡‚ „ den Funktionswert `f0†%$ berechnet.
|þ
ii) (Ein polynomieller Anteil der Eingaben ist schwierig zu invertieren:) Es gibt ein Polynom
w Zz {}| , so daß für jede probabilistische polynomiell zeitbeschränkte T URING-Maschine
bei genügend großem T gilt:
œþGÿ
‰sŠ z‹`fŒg$1

4 Ž˜v;Ž!
ƒ`f0†$
und 9 v w0Tx$yv
9’‘?Ž'$
den Wert Œ[|~J
Gþ)‚‘
und über die Münzwürfe
berechnet bei Eingabe
wobei die Wahrscheinlichkeit über die zufällige Wahl von †
von genommen wird.
Der wesentliche Unterschied zwischen starken und schwachen One-Way-Funktionen ist der, daß
starke One-Way-Funktionen auf allen bis auf einen unerheblichen Anteil der möglichen Eingaben
schwierig zu invertieren sein müssen, dagegen schwache One-Way-Funktionen nur auf einem polynomiellen Anteil der möglichen Eingaben. Obwohl die Anforderungen an schwache One-WayFunktionen weniger rigoros als die Anforderungen an starke One-Way-Funktionen erscheinen,
läßt sich aus jeder schwachen One-Way-Funktion eine starke konstruieren.
Theorem 3.1.4. Aus jeder schwachen One-Way-Funktion läßt sich eine starke One-Way-Funktion konstruieren. Insbesondere existieren genau dann starke One-Way-Funktionen, wenn schwache
One-Way-Funktionen existieren.
Hier wollen wir uns noch nicht anstrengen, deswegen nur ein paar Worte zur Beweisidee (siehe
[Gol95]): Da eine starke One-Way-Funktion auch eine schwache One-Way-Funktion ist, ist eine
der Implikationen sofort klar. Für die andere Implikation wird mit einer schwachen One-WayFunktion ` eine starke One-Way-Funktion ™ durch ™?0†šs›Kœyœyœ\›3† $1a
`f0†~$›<œyœyœ\›_`f0† $ , das
‘
‘
Symbol › steht für die Konkatenation von Buchenstabenfolgen, konstruiert. Dabei sind T und die
Länge von †ž q‚ „ geeignet gewählt, Ÿ ¡9Gy¢y¢y¢xT . Die richtige Wahl dieser Parameter erfordert einigen technischen Aufwand, genau wie der Nachweis, daß ™ schwierig zu invertieren ist.
Dies geschieht durch eine kryptographische Reduktion“: Angenommen es gibt eine probabili”
stische polynomiell zeitbeschränkte T URING-Maschine, die ™ in nicht unerheblich vielen Fällen
invertieren kann, dann läßt sich mit deren Hilfe eine probabilistische polynomiell zeitbeschränkte
T URING-Maschine konstruieren, die ` auf einem größeren als einen polynomiellen Anteil der
möglichen Eingaben invertieren kann.
Im folgenden werden wir die Begriffe starke One-Way-Funktion und schwache One-Way-Funktion unter dem Begriff One-Way-Funktion zusammenfassen, falls die getroffenen Aussagen für
beide Begriffe zutreffen.
õþ
18
Kapitel 3 Einige Grundbegriffe der modernen Kryptographie
3.2
Beispiele
Streng genommen ist die Überschrift dieses Abschnitts nur eine Vermutung: die heutige Komplexitätstheorie ist nicht in der Lage, auch nur ein Beispiel für eine One-Way-Funktion zu liefern.
4 “ konnte die Existenz von
Selbst mit Hilfe der allgemein nicht bezweifelten Vermutung £
D
”
One-Way-Funktionen bislang nicht nachgewiesen werden.
Es wird jedoch vermutet bzw. gehofft, daß das Potenzieren im Restklassenkörper ¤Zu¥w¤ , w eine
Primzahl, und die Multiplikation von zwei ganzen Zahlen One-Way-Funktionen sind. Gleichzeitig sind dies die prominentesten Kandidaten für One-Way-Funktionen und werden in der Praxis in
kryptographischen Verfahren eingesetzt. Daß die beiden Funktionen One-Way-Funktionen sind,
ist wichtig, weil sie dann im Rahmen der hier vorgestellten komplexitätstheoretischen Formalisierung der modernen Kryptographie eingesetzt werden können, um beweisbar sichere kryptographische Funktionen zu realisieren. Die Funktionen werden hier behandelt, damit die in diesem
Kapitel definierten Begriffe nicht blutleer bleiben.
3.2.1 Das Problem des diskreten Logarithmus
Ein weiteres zahlentheoretisches Problem, von dem vermutet wird, daß es zu seiner Lösung keinen
effizienten Algorithmus gibt, ist das Problem des diskreten Logarithmus in Restklassenkörpern.
Das Problem des diskreten Logarithmus besteht darin, bei gegebenem wx™†%$ , w eine Primzahl,
™ b¤Zu¥w¤3$y¦§
¨¤Zu¥w¤3$©\ª/R« ein erzeugendes Element von ¤Zu¥w¤$y¦ und † @¤Zu¥w¤3$y¦ die Zahl
¬ Bª\9G¥­y¢y¢y¢>wj®ƒ9&« mit ™¯8
°† zu finden. Der schnellste bekannte Algorithmus zur Lösung
des Problems ist der Index-Calculus-Algorithmus [Odl85], der bei gegebener Primzahl w eine
erwartete subexponentielle Laufzeit von ±!F²;³ ´‹µg¶´‹µ'´‹µ\¶\$ besitzt. Das Problem des diskreten Logarithmus hat sich nicht nur im Worst-Case als schwierig erwiesen, sondern auch im Average-Case.
Diese Aussage präzisiert die nachfolgende Vermutung (Strong Discrete Logarithm Assumption,
[GB97]).
›þ
|þ
þ
Vermutung 3.2.1. Für jede probabilistische polynomiell zeitbeschränkte T URING-Maschine
Zz {‡| , und für genügend großes T gilt stets
für jedes Polynom ·
Ìþÿ
‰OŠ z berechnet bei der Eingabe
wš™†$
das ¬
þ8ª\9Gy¢y¢y¢xw¸®9&«
mit ™g¯¸
†|š
9 v ·'0Tx$yv
,
œþ
wobei die Wahrscheinlichkeit über alle Primzahlen w mit w¹2qT , alle erzeugenden Elemente ™
¤Zu¥w¤$ ¦ von ¤Zu¥w¤3$ ¦ und die Münzwürfe von genommen wird.
Unter Vermutung 3.2.1, ist das Potenzieren in Restklassenkörpern wš™ ¬ $»ºc¼wš™™¯$ , w prim,
™ ¤Zu¥w¤3$y¦ erzeugt ¤Zu¥w¤3$y¦ und ¬ Bª\9Gy¢y¢y¢wj®ƒ9&« , eine starke One-Way-Funktion. Weiterführendes zum Problem des diskreten Logarithmus findet sich in dem Übersichtsartikel [Odl85]
von O DLYZKO. Ergänzend soll erwähnt werden, daß das Problem des diskreten Logarithmus in jeder endlichen abelschen Gruppe formuliert werden kann. Dort ist es im allgemeinen nicht leichter
zu lösen als das Problem des diskreten Logarithmus in Restklassenkörpern.
þ
þ
3.2.2 Faktorisieren von ganzen Zahlen
In den letzten Jahrzehnten wurde intensiv nach einem effizienten Algorithmus für das Faktorisieren von ganzen Zahlen geforscht. Eine ganze Zahl T )¤ zu faktorisieren bedeutet, die eindeutig
bestimmten paarweise verschiedenen Primzahlen w~yy¢y¢y¢~w½ Ap und die eindeutig bestimmten
Exponenten ²G¾y¢y¢y¢š¥²¾½ p zu finden, so daß die Gleichung ¿»TX
wÀ¥ Á œyœyœFw ½Ààerfüllt ist. Das
œþ
yþ
þ
3.3 Public-Key-Kryptosysteme
19
Zahlkörpersieb“ [Len93] ist zur Zeit der effizienteste bekannte Faktorisierungsalgorithmus. Un”
ter realistischen zahlentheoretischen Annahmen konnte gezeigt
werden, daß das Zahlkörpersieb
Å
Ï Ð&Ñ
eine Zahl T p in einer erwarteten Laufzeit von ±!F²OÄ ´‹µ‘gƝ´‹µ'´‹µ‘GÇÉÈÆËÊÌ%ÍÆ ÇÉÇ $ mit ÎL
Ä
uGÒ
faktorisieren kann. Die Laufzeit ist zwar subexponentiell, aber von polynomiell weit entfernt.
ùþ
Wir wollen eine Funktion definieren, die schwierig zu invertieren“ ist, wenn das Faktorisieren von
”
ganzen Zahlen schwierig ist. Wenn wir die Funktion `¹a¤Ó)¤AcÔ¤ , `f0†šŽ$»a
†Ž betrachten,
ist es klar, daß ` auf mehr als der Hälfte der ganzen Zahlen effizient zu invertieren“ ist. Also ist
”
` keine starke One-Way-Funktion.
Wenn wir zusätzlich annehmen, daß das Faktorisieren eines Produkts von zwei verschiedenen,
etwa gleich großen Primzahlen wš· (die Bitlängen von w und · stimmen überein, d.h. Õ0•–+-—g֍w×S
Õ0•–+-— Ö ·&× ), schwierig ist, dann ist ` eine schwache One-Way-Funktion. Für den Beweis dieser
Aussage wird eine Variante des Primzahlsatzes benötigt.
Theorem 3.2.2. Für TØJ°9/Ù gelten für die Anzahl der Primzahlen kleiner oder gleich
gleichungen ([MVV97], Fact 2.96):
T Ús0Tx$€a
CvÛªw|þjpqa’w
•#"T
eine Primzahl, w‡2ØT«v9G¥­-Ü-ÜGR
T
die Un-
Ð T
•#"_T ¢
Îþjp
Damit läßt sich die Wahrscheinlichkeit abschätzen, daß eine Zahl T8J9/Ù der Bitlänge ­-Ý , Ý
aus zwei Primzahlen wš· der Bitlänge Ý zusammengesetzt ist. Es gilt
Þ
J
J
J
‰OŠ z T‡
bw?· , wx· prim, Õ0•#+-— w×_
äÕ0•–+-— ·&×_
ƒÝg|
Ö
Ö
´‹ßà È ‘/áÃâ Öã
9 ‰sŠ z w prim|œ ‰sŠ z · prim|
Þ
­ Þ ´‹ßà ¶’áÃâ ã
´‹ßà Ö È\å áÃâ ã
È
æ
ã
ã
9 ÚsF­ $x®@ÚsF­ U $
ç
­
­ ã U
Ð
Ö
æ ã
­ ® 9G¥­-Ü-ÜGR œ/­ ã U
9
­ Öã U Ý3Ñ •#"…Ñ ­
FÝM®A9/$•#"Z­ ç
æ
Ö
9 R7Ù-Ù Ò Ý¸®b­
­
ÝFÝN®9/$ ç
9 ¢
­-ݍè
,
Ö
Durch eine genauere Analyse läßt sich eine bessere Schranke der Größenordnung 9/uGÝ angeben,
aber die obige Schranke ist für unsere Zwecke vollkommen ausreichend. Da die Wahrscheinlich‰sŠ z 2 teilt Õ0•#+-— Ö Tג|O
ist, beträgt die Wahrscheinlichkeit, daß die Ausgabe von ` eine
keit
Ö
‘\é&ê
Zahl ist, die Produkt zweier Primzahlen gleicher Bitlänge ist, wenigstens ã’ë . Also ist ` unter
è
der Voraussetzung, daß alle probabilistischen polynomiell zeitbeschränkten T URING-Maschinen
nur mit einer unerheblichen Erfolgswahrscheinlichkeit Zahlen faktorisieren können, die Produkt
zweier Primzahlen gleicher Bitlänge sind, eine schwache One-Way-Funktion.
3.3
Public-Key-Kryptosysteme
Ein Public-Key-Kryptosystem besteht aus drei Komponenten: einem Verfahren zur Erzeugung
von Schlüsselpaaren, einer Chiffrier- und einer DechiffrierFunktion. Public-Key-Kryptosysteme
besitzen eine faszinierende Eigenschaft: Sender und Empfänger können auf einem öffentlichen
20
Kapitel 3 Einige Grundbegriffe der modernen Kryptographie
Kommunikationskanal mit geheimen Nachrichten kommunizieren, ohne sich jemals auf einen gemeinsamen geheimen Schlüssel geeinigt zu haben. Diese Eigenschaft ist in der informationstheoretischen Kryptographie unmöglich, da sie S HANNONs Forderung nach perfekter Sicherheit widerspricht. Aber auch hier gilt wieder, daß die Existenz eines Public-Key-Kryptosystems bislang
nicht nachgewiesen werden konnte.
Definition 3.3.1. Ein Public-Key-Kryptosystem besteht aus drei probabilistischen T URING-Maschinen íìNî!ï˜$ , die die folgenden Eigenschaften besitzen. Gegeben seien ein endliches Alphabet ‚ mit 9 )‚ und ein Sicherheitsparameter T }p .
»þ
¡þ
i) (Schlüsselerzeugung, key generation“:) Die probabilistische polynomiell platzbeschränkte
”
T URING-Maschine ì produziert bei Eingabe von 9 ‘ in erwarteter polynomieller Zeit ein
Schlüsselpaar F²[ð$ ‚ „ Ó!‚ „ , wobei ² der öffentliche und ð der private Schlüssel genannt
werden (Notation: F²-ð$ ‡ì!9’‘$ ).
%þ
qþ
þ
ii) (Chiffrierung, encryption“:) Sei F²-ð7$ ¨ì!9 ‘ $ ein Schlüsselpaar. Die probabilistische
”
T URING-Maschine berechnet bei Eingabe von 9’‘¥²[ñ‡$ , ñ 8‚ „ eine Nachricht, in polynomieller Zeit ein Kryptogramm ‚3„ (Notation: ‡î¸9 ‘ ¥²-ñ‡$ ).
ªþ
ªþ
Jþ
!þ
øþ
iii) (Dechiffrierung, decryption“:) Sei F²-ð7$ ¹ìi9 ‘ $ ein Schlüsselpaar und @9 ‘ ¥²-ñ‡$
”
ein Kryptogramm. Die probabilistische T URING-Maschine ï berechnet bei Eingabe von
9 ‘ ð¾$ in polynomieller Zeit eine Nachricht ñ Y b‚3„ . Dabei gilt für alle Schlüsselpaare
F²-ð7$ :ìi9’‘7$ , für‰OŠ alle Nachrichten ñ ä‚ „ und für jedes :9’‘?¥²-ñ‡$ , daß die
4 ñ Y | unerheblich ist (Notation: ñ Y ‡ï)9 ‘ ð¾$ ).
Wahrscheinlichkeit z ñò

ˆþ
þ
þ
þ
þ
Wenn ein Public-Key-Kryptosystem íìMî!ï˜$ gegeben ist, kann es unmittelbar zur abhörsicheren
Kommunikation zwischen Teilnehmern in einem Rechnernetzwerk eingesetzt werden. Zuerst
vereinbaren sämtliche Teilnehmer einen Sicherheitsparameter T Ip . Die Teilnehmerin Alice
benutzt die T URING-Maschine ì mit Eingabe 9’‘ , um ihr Schlüsselpaar F²/óOðgó>$ zu erhalten.
Ihren öffentlichen Schlüssel ² ó veröffentlicht sie in einem für jeden Teilnehmer zugänglichen
Schlüsselverzeichnis und ihren privaten Schlüssel ð ó legt sie so ab, daß er nur für sie zugänglich
ist. Wenn nun Bob die Nachricht ñ zu Alice senden möchte, schaut er im öffentlichen Schlüsselverzeichnis, von dessen Richtigkeit er überzeugt ist, nach Alice’ öffentlichem Schlüssel ² ó . Dann
chiffriert er die Nachricht mit der T URING-Maschine î bei Eingabe von 9’‘?¥²¾óOñ‡$ , erhält
bîd9 ‘ ¥² ó ñ‡$ und sendet das Kryptogramm zu Alice. Nachdem Alice erhalten hat, kann
sie mit der T URING-Maschine ï bei Eingabe von 9’‘ð ó ¾$ mit hoher Wahrscheinlichkeit die
ursprüngliche Nachricht ñ dechiffrieren.
Zur Definition 3.3.1 ist zu bemerken, daß Chiffrierung und Dechiffrierung nicht deterministisch
sein müssen. Außerdem schwächen wir die übliche Anforderung an ein kryptographisches System, daß für alle T }p , F²-ð$ “ì!9’‘7$ und ñ 8‚ „ die Gleichung ï9’‘ð9’‘¥²[ñ‡$$€
qñ
gilt, ab. Es wird nur gefordert, daß sie, bzw. eine analoge Aussage (î und ï realisieren nicht
notwendig Abbildungen), mit hoher Wahrscheinlichkeit gilt. Daß der Chiffrieralgorithmus î deterministisch arbeitet, ist sogar unerwünscht, weil bei deterministischem î eine Eingabe immer
auf dasselbe Kryptogramm abgebildet wird und ein unbefugter Entzifferer damit nützliche Informationen bekommen kann. Insbesondere kann probabilistische Chiffrierung die Anwendung
von chosen plain text attacks“ (ein unbefugter Entzifferer chiffriert selbstgewählte Nachrichten,
”
um daraus Informationen über abgehörte chiffrierte Nachrichten zu gewinnen) erschweren. Da
ì polynomiell platzbeschränkt ist, sind es die Längen von ð und ² auch, d.h. es gibt ein Polynom w
Zz {j| , so daß für alle T Xp und für alle F²-ð$ Cì!9’‘'$ stets vËF²-ð7$yv_2ôw>0Tx$ gilt.
Wir können also für alle komplexitätstheoretischen Betrachtungen den Sicherheitsparameter T als
Eingabelänge zugrunde legen.
"þ
öþ
ˆþ
—þ–ÿ
Uþ
Õþ
þ
Gþ
3.3 Public-Key-Kryptosysteme
21
In Definition 3.3.1 ist noch offen geblieben, was ein sicheres Public-Key-Kryptosystem ist. Bevor wir diese Lücke schließen, stellen wir informale Anforderungen zusammen, die ein sicheres
Public-Key-Kryptosystem erfüllen muß:
*
Aus einem öffentlichen Schlüssel darf der zugehörige private Schlüssel nicht effizient berechenbar sein.
*
Aus einer chiffrierten Nachricht dürfen keine nützlichen Eigenschaften der Nachricht effizient berechenbar sein, wobei der öffentliche Schlüssel, mit dem die Nachricht chiffriert
wurde, als bekannt vorausgesetzt wird.
*
Unabhängig von der Wahrscheinlichkeitsverteilung auf dem Nachrichtenraum dürfen Teile
von chiffrierten Nachrichten nicht effizient dechiffriert werden können.
*
Ein unbefugter Entzifferer darf keine nützliche Information durch das Abhören mehrerer
chiffrierter Nachrichten effizient berechnen können. So soll er z.B. nicht effizient erkennen
können, ob zweimal dieselbe Nachricht gesendet wurde.
Man kann sich die Anforderungen an ein sicheres Public-Key-Kryptosystem mit einem alltäglichen Beispiel verdeutlichen. Ein sicheres Public-Key-Kryptosystem besitzt im wesentlichen die
Eigenschaften eines undurchsichtigen Briefumschlags. Alice schreibt eine Nachricht auf ein Blatt
Papier, steckt es in einen undurchsichtigen Briefumschlag und sendet den kompletten Brief zu
Bob. In diesem Modell kann nur Bob den Brief öffnen und dann die Nachricht lesen. Sichere
Public-Key-Kryptosysteme besitzen also sogar eine weitaus größere Sicherheit als der alltägliche
Briefverkehr.
Definition 3.3.2. Ein Public-Key-Kryptosystem íìNî!ï˜$ heißt sicher, wenn für alle probabilistischen polynomiell zeitbeschränkten T URING-Maschinen õ und und für alle Polynome
w Zz {j| und genügend großes T stets
þÿ
‰OŠ zô
berechnet bei Eingabe 9 ‘ ¥²[ñ¾ñ Ö y$ die Nachricht ñWv
F²[ð$ )ì!9’‘'$ , berechnet bei Eingabe von 9’‘$ die
Nachrichten 0ñ¾ñ Ö $ , ñ 8ª¾ñ¾ñ Ö « , }îd9 ‘ ¥²[ñ‡$)|}
qþ
6þ
ªþ
Ö ö ÷ G¶ Ɲ ‘-Ç ÷
Z
gilt. Dabei wird die Wahrscheinlichkeit über die Münzwürfe von ì , , î und õ , sowie über die
zufällige Wahl von ñ aus ª¾ñ¾ñ Ö « genommen.
Die T URING-Maschine erzeugt Nachrichten ñ¾ñ Ö mit einer nicht vorher festgelegten Wahrscheinlichkeitsverteilung. Diese Nachrichten kann die T URING-Maschine õ , nachdem sie durch
î chiffriert wurden, nicht unterscheiden.
An dieser Stelle muß gewarnt werden! Bislang haben wir uns nur um die Sicherheit eines PublicKey-Kryptosystems gegenüber passives Abhören gekümmert. Das Management der öffentlichen Schlüssel und aktive Angriffe (von physikalischen Angriffen mal abgesehen), wie z.B. das
Abhören und Verändern von Nachrichten, sind natürlich auch zu berücksichtigen, wenn es darum
geht, ein wirklich sicheres Public-Key-Kryptosystem zu entwerfen ¢y¢y¢
Kapitel 4
Einige Grundbegriffe der
diskreten Geometrie
In diesem Kapitel werden grundlegende Definitionen und Aussagen der diskreten und kombinatorischen Geometrie gesammelt, und die Notation wird festgelegt. Es werden die Grundbegriffe der Geometrie der Zahlen und der Theorie der konvexen Polytope vorgestellt.
Damit dieses Kapitel nicht unverhältnismäßig lang wird, sind viele der aufgelisteten Ergebnisse nur zitiert. Für eine ausführliche Darstellung sei auf die Standardwerke der Geometrie
der Zahlen [GL87], [CS88] bzw. den Artikel [Lag95] aus dem Handbook of Combinato”
rics“, sowie auf ein Standardwerk der Theorie der konvexen Polytope [Zie95] verwiesen.
Im folgenden sei ø ein ù -dimensionaler ú -Vektorraum, der ein Skalarprodukt ûíüþý¥ü‹ÿ ø
ø
ú besitzt und durch ü
ûíüþý¥ü‹ÿ normiert ist, d.h. das Paar û]ø<ý^ûíüþý¥ü‹ÿ ÿ ist ein
euklidischer Vektorraum und das Paar û]ø<ý ü ÿ ist ein BANACH-Raum. Modellhaft kann
man sich ø Xú mit dem Skalarprodukt û >ý ?ÿ
vorstellen. Die Gitter, die
wir betrachten, besitzen die nicht genauer spezifizierte Dimension Dù . Manchmal ist es
jedoch notwendig, daß das betrachtete Gitter die volle Dimension ù besitzt.
24
Kapitel 4 Einige Grundbegriffe der diskreten Geometrie
4.1
Elementare Eigenschaften von Gittern
Zunächst wird der Begriff des Gitters definiert, sowie Begriffe, die die wichtigsten geometrischen
Eigenschaften eines Gitters beschreiben. Insbesondere wird festgestellt, daß Gitter nur endlich
viele nicht-triviale kürzeste Vektoren besitzen. Das Problem, kurze Vektoren in einem gegebenen
Gitter zu finden, wird in den nächsten Kapiteln ein zentrales Thema sein.
Anschließend werden die M INKOWSKIschen Gitterpunktsätze angesprochen, die Abschätzungen
für die Länge der kürzesten Vektoren eines Gitters liefern. Das Problem, eine Basis eines Gitters
zu finden, die aus möglichst kurzen Vektoren besteht, ist ein Hauptproblem der Reduktionstheorie
von Gittern. Wir werden die Grundlagen der Reduktionstheorie von KORKINE und Z OLOTAREV
kennenlernen.
4.1.1 Gitter, Gitterbasen und Gitterprojektionen
Definition 4.1.1. Eine Teilmenge !#" î heißt Gitter, falls es
Vektoren $7¾y¢y¢y¢x%$ gibt, so daß sich ! schreiben läßt als
‘
!D
&
Das T -Tupel
.$7¾y¢y¢y¢š%$ ‘ $
R2£TC2£ð
linear unabhängige
'‘ ¬
þ ¤)(@
¤*$-,+Bœyœyœ-+D¤*$ ‘ ¢
ž$ ž a ¬ ž j
žâ heißt Basis von ! . Man sagt: das Gitter ! ist T -dimensional.
–þ
!þ
Die obige Definition bezieht sich auf die Wahl linear unabhängiger Vektoren, die aber alles andere
als eindeutig ist. Es sei T p eine natürliche Zahl. Mit GL ¤Z$Ma
Wª/õ q¤ ‘ ¦ ‘ a0/1y.õH
‘
¿M9&« wird die Gruppe der ganzzahligen unimodularen Transformationen bezeichnet. Es seien
$7¾y¢y¢y¢š%$ ‘ î linear unabhängige Vektoren, !ô
£¤*$-2+œyœyœ3+ƒ¤*$ ‘ das entsprechende Gitter
und
¬ ž54 $¥76 ž98 4 6 ‘
GL ¤Z$ eine ganzzahlige unimodulare Transformation, dann ist
: ‘ sei¬ žõm
‘
4 â 4$4 , ŸO
ô9Gy¢y¢y¢šT , eine weitere Basis von ! . Jede Basis von ! entsteht aus .$ y¢y¢y¢x%$ ‘ $
;
durch eine ganzzahlige unimodulare Transformation.
þ
þ
=
=
† Ö
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
† <
=
=
Abbildung 4.1: Das zweidimensionale hexagonale Gitter >
Ö B¤@? % A +¹¤@? UBB ÖÖ A
³ C
.
Die nachfolgende Proposition zeigt, daß es möglich ist, Gitter ohne Angabe einer Basis zu definieren.
Proposition 4.1.2. Eine Untergruppe D!… ö $ von î! ö $ ist genau dann ein Gitter, wenn sie diskret ist, d.h. wenn ! keinen Häufungspunkt in î besitzt.
Beweis. Siehe [Neu92], Satz 4.2.
P
4.1 Elementare Eigenschaften von Gittern
25
“þ
Notation 4.1.3. Es sei E"Aî ein Untervektorraum von î . Es gilt î
FE +GEIH mit EIHba
IªJ
î:a%DJLKf$f
BR für alle K }îi« , d.h. jedes J 8î läßt sich eindeutig schreiben als J
MJ ö J Ö ,
wobei J NE und J Ö NEIH . Mit ÚOa~îHcPE wird die orthogonale Projektion von î auf E
bezeichnet: Ú O DJO$s
ƒÚ O DJ ö J Ö $s
QJ .
þ
þ
þ
þ
Anders als in der Vektorraumtheorie sind die Bilder von Gittern unter linearen Abbildungen im
Ö
allgemeinen keine Gitter. Als einfachstes pathologisches Beispiel
ist das Bild des Gitters ¤ unÅ
Ö c
­&† Ö zu nennen: `f¤ Ö $ ist nicht
ter der linearen Abbildung `Ca
mit `fDJO$ W†~ ö
diskret. Die Situation sieht deutlich besser aus, wenn orthogonale Projektionen auf orthogonale
Vektorraumkomplemente betrachtet werden, wie Proposition 4.1.4 zeigt.
%ÿ
ÿ
þ
Proposition 4.1.4. Es sei !R":î ein T -dimensionales Gitter und seien $'’y¢y¢y¢x%$
‘-S T! linear
unabhängige Vektoren. Dann ist a
BÚ
D!$ ein 0T˜®@TYË$ -dimensionales Gitter.
ÆUWV Á ÌYX5X5X ÌWUZV%[ S Ç\
Beweis. Es wird gezeigt, daß eine diskrete Untergruppe von î ist. Daß eine Untergruppe von î ist, ist offensichtlich. Angenommen J
î ist eine Häufungspunkt von . BeD] ž $$ ž von paarweise verschiedenen Vektoren von , die
trachte die Folge Ú
þ
é&ê
ÆUWV Á ÌYX5X5X ÌWUWV7[ S Ç\
:
Ú Æ UWV Á ÌYX5X5X ÌWUZV7[ Ç \ D] ž $˜
] ž ® 4‘ â S Æ_^a` 88 VcbÇ $ 4 . Betrachte die FolÆdVb VcbÇ
S
: ‘ S Æ ^-` 8 Vib¥Ç $4 , die aus paarweise
ge edžMa
f]%žf®
verschiedenen Vektoren von ! besteht, da
4 â h g jÆ Vcb 8 Vib¥%Ç k
Ú ÆUWV Á ÌYX5X5X ÌWUWVL[ Ç\ D] ž $f
CÚ Æ UWV Á YÌ X5X5X WÌ UWV7[ Ç \ De ž $ gilt. Für alle Ÿ¨þjp besitzt die Ungleichung l%e ž ®
:
S
so daß die Folge D e ž ®)Ú
Ú ÆUWV Á ÌYX5X5X ÌWUWVL[ S Ç \ D] ž $ l_2 4‘ â S lm$ 4 l Gültigkeit,
Æ UWV Á YÌ X5X5X WÌ UZV%[ Ç \ D ] ž $$ ž é;ê
beschränkt ist.S Nach dem Satz von B OLZANO und W EIERSTRASS besitzt sie eine S konvergente Teilfolge De ž ®ØÚ
b
ÆnUZV Á ÌYX5X5X ÌWUWV7[ Ç \ D ] ž b $$ 4 é;ê . Insbesondere ist die Folge D e ž b $ 4 é;ê konvergent.
gegen
J
konvergiert. Es gilt
S
Dies steht im Widerspruch zur Diskretheit
von ! .
Aus der Dimensionsformel für lineare Abbildungen folgt, daß !
Y
die Dimension T<®!T
¢þ
Y
besitzt.
P
Es stellt sich bei einem Gitter !o"=î und einem Gittervektor p! die Frage, ob zu einer
Basis von ! ergänzt werden kann. Ein Gittervektor ] Q! läßt sich offensichtlich nur dann zu
einer Basis von ! ergänzen, wenn für alle e q! , ¬
mit ]D
¬ e die Bedingung ¬ °¿M9
gilt. Also muß ] in Richtung r] der kürzeste nicht-triviale Vektor von ! sein. Diese Eigenschaft
nennt man Primitivität:
þ
ÿ
Definition 4.1.5. Es sei !N"Aî
¤v] gilt.
þ
þ“ÿ
¡þs!
ein Gitter. Ein Gittervektor ]
Ìÿr]¹
heißt primitiv, wenn !ut
Um bei einem gegebenen Gitter zu testen, ob ein Gittervektor primitiv ist, stellt man ihn als Linearkombination einer Basis des Gitters dar und überprüft, ob der größte gemeinsame Teiler aller
Koeffizienten der Linearkombination Eins ist. Es gilt sogar, daß man einen Gittervektor dann und
nur dann zu einer Basis ergänzen kann, wenn er primitiv ist. Wie man eine Basis finden kann, die
einen vorgegebenen primitiven Vektor enthält, ist Inhalt der nachfolgenden Proposition.
Uþ
Proposition 4.1.6. Es sei !w"î ein ð -dimensionales Gitter und sei $' s! ein primitiver Vektor.
Dann ist die Menge !sY%a
BÚ
ð3®“9/$ -dimensionales Gitter. Wenn für $ Ö y¢y¢y¢x%$yx z!
ÆUWV Á Ç \ D.!${$ x/$eineine
Ö
.
$
$
y
y
¢
y
¢
š
¢
Ú
gilt, daß Ú
Basis von ! Y ist, dann ist $'¾y¢y¢y¢~%$hx eine Basis von
n
Æ
Z
U
V
Ç
Æ
W
U
V
Ç
\
\
Á
Á
! .
»þ
Beweis. Nach Proposition 4.1.4 ist die Menge !OY ein Gitter. Für die zweite Behauptung genügt
es zu zeigen, daß die Vektoren $'¾y¢y¢y¢~%${x das Gitter ! erzeugen. Es sei ] |! . Es gibt ¬ ž @¤ ,
Ÿ>
ƒ­y¢y¢y¢xð mit
Ðþ
'x ¬
'x ¬
Ú ÆnUZV Á Ç\ D]$f
0ž Ú Æ UWV Á Ç\ . $[ží$s
BÚ Æ UWV Á Ç\~}
iž $-žDØ¢
ž Ö
ž Ö
â
â
þ
26
Kapitel 4 Einige Grundbegriffe der diskreten Geometrie
Es folgt aufgrund der Primitivität von $ , daß ]>®
ist, also ] }¤*$[ ö œyœyœ ö ¤*$†x .
œþ
: x ¬ ž.$[žRþz!€t‚ƒ1 Š "3Ú
žâ Ö
ÆUWV Á Ç\ Q!„t[ÿ…$ B¤*$ P 4.1.2 Geometrische Invarianten von Gittern
In diesem Abschnitt studieren wir geometrische Eigenschaften von Gittern, die nicht von einer
speziellen Basiswahl abhängen. Solche Eigenschaften werden als geometrische Invarianten bezeichnet.
Die wichtigste geometrische Invariante eines Gitters !
"nî sind die kürzesten nicht-trivialen
Vektoren von ! , die Minimalvektoren von ! . Wenn ! durch eine Basis gegeben ist, ist es ein
schwieriges Problem, die Minimalvektoren von ! zu finden. Mit diesem Problem werden wir uns
ausgiebig in den nächsten Kapiteln auseinandersetzen.
Proposition 4.1.7. Es sei !‡":î ein ð -dimensionales Gitter und
dann gibt es nur endlich viele Gittervektoren ] s! mit l%]„lZ2Nˆ .
¡þ
ˆ–þ™ÿ
eine reelle Konstante,
“þ
Beweis. Der Beweis ist äußerst einfach: In der Kugel ‰d.Šš7ˆx$O
¨ªK îaðDK€%Š?$32‹ˆ>« können
P
nur endlich viele Gittervektoren liegen, da ansonsten ein Häufungspunkt existiert.
Einen konstruktiven Beweis für die Tatsache, daß ein Gitter nur endlich viele Vektoren unterhalb
einer vorgegebenen Längenschranke besitzt, werden wir im Beweis von Proposition 5.1.2 kennenlernen.
Definition 4.1.8. Es sei !Œ"ôî ein Gitter. Die Norm eines kürzesten Vektors von !©\ª†Š~« heißt
Minimum von ! , i#"v!Øa
Bi#"ªl%]€lZay] z!©\ª†Š«-« . Die Gittervektoren von ! , die das Minimum
von ! realisieren, heißen Minimalvektoren von ! , )#"*!a
Xª] s!AaŽl%]„l
B!#"v!…« .
œþ
¡þ
Neben den Minimalvektoren eines Gitters sind die Gittervektoren interessant, die einerseits möglichst kurz sind und andererseits eine Basis ergeben.
Definition 4.1.9. Es sei !f"nî ein T -dimensionales Gitter. Unter der Basislänge einer Basis
von ! versteht man die Norm des längsten Basisvektors. Unter der minimalen Basislänge von !
versteht man das Minimum der Basislängen aller Basen von ! (Notation: •íD!$ ).
Definition 4.1.10. Es sei !"òî ein ð -dimensionales Gitter. Eine Menge E‘"lî heißt ein
Fundamentalbereich von ! , wenn E meßbar1 ist, î¨
T’
^gé-“ D] ö ES$ und für alle ] z!©\ª†Š~« die
Gleichung ”-+[• DE‹t“D] ö ES$$s
ƒR gilt.
Lþ
: x
þ
Es sei !
X¤*$-‚+ƒœyœyœ•+ؤ*$x–"ƒî ein Gitter, dann ist die Menge EC
Cª
ž â ¬ ž $ ž a ¬ ž z R7¾9^|F«
ein Fundamentalbereich von ! . Alle Fundamentalbereiche von ! besitzen das gleiche Volumen,
das, wenn ! durch eine Basis gegeben ist, effizient berechenbar ist, wie wir im folgenden sehen
werden.
!W
e*¤ $-— +œyœy˜œ +*¤ $†xQ" î ein ð -dimensionales Gitter und es sei
ì dÆ V Á 85™5™5™.8 V7šÇ m¥.$ ž %$ 4 $$ 76 ž98 4 6 x die G RAM-Matrix von ! bzgl. .$’y¢y¢y¢x%${x/$ . Die Determinante
von ! wird definiert als die Determinante einer G RAM-Matrix: /1y.W!a
Q/1y.ì
ÆdV Á 85™5™5™i8 V š Ç .
Definition 4.1.11. Es sei
Da die Determinante eines Gitters von der Basiswahl unabhängig ist (zwei Basen unterscheiden
sich nur durch eine unimodulare, ganzzahlige Transformation), ist sie eine geometrische Invariante
des Gitters. Sie ist das Quadrat des Volumens eines Fundamentalbereichs des Gitters.
1
Eine Menge
›#œG
heißt meßbar, wenn ihre charakteristische Funktion
¦ falls §@¨›
ž7ŸI j¡y¢W£¥¤ ©mž Œ
¦ ª¬«m­hª¯®¯°
L EBESGUE -integrierbar ist. Jedoch genügt uns hier schon ein intuitiver Volumenbegriff.
,
,
§±¨²
,
4.2 Sukzessive Minima und Reduktionstheorie von Gittern
27
4.1.3 Untergitter und Dualität von Gittern
Bei der Untersuchung von algebraischen Strukturen ist es immer interessant, Unterstrukturen zu
finden, z.B. ist es interessant, welche Untergruppen eine Gruppe besitzt. Dieses algebraische
Meta-Konzept beschreiben wir nun für Gitter.
Definition 4.1.12. Es sei !³"î
wenn selbst ein Gitter ist.
ein Gitter. Eine Teilmenge
von
!
heißt Untergitter von
!
,
Wenn zwei Gitter "F!Q"ƒî gegeben sind, ist X ö $ eine Untergruppe von D!… ö $ und es ist
sinnvoll, den Index von in ! , d.h. die Kardinalität der Faktorgruppe !u^ zu betrachten.
"´!"ôî Gitter der gleichen Dimension T . Wenn
Proposition 4.1.13. Es seien die Matrix eines Basiswechsels einer Basis von ! zu einer von ist, dann gilt
õ’þؤ ‘ ¦ ‘
z !Øa\|?
Cv !u^°v[
F/1y.õS¢
Korollar 4.1.14. (Determinanten-Index-Formel)
Es seien XL!w"Aî Gitter der gleichen Dimension und sei ein Untergitter von ! , dann gilt
/1y. ¨z !a\| Ö /Z1y.W!…¢
Eine Operation, die bei vielen mathematischen Objekten im unterschiedlichsten Kontext angewendet werden kann, ist das Dualisieren. Dies ist auch bei Gittern möglich, wobei das Dualisieren mit
Hilfe des Skalarproduktes geschieht.
!I
5¤*$ +œyœyœh+¤*$†xG"ôî ein ð -dimensionales Gitter. Die Menge
!2µa
ªJùþAîna€DJL]$þ}¤ für alle œ
] þz…! « ist ebenfalls ein ð -dimensionales Gitter. Die Vek· 2£ð , bilden eine Basis von !„µ .
toren $ žµ þM!2µ mit der Eigenschaft .$ žµ %$ 4 $N
f¶ ž4 , 982£ŸcA
U
Außerdem gilt /1y.Z! µ ¨D/y1 .
! $ und D! µ $ µ Q! .
Definition 4.1.16. Es sei !w
" î ein ð -dimensionales Gitter. Dann heißt ! µ das zu ! duale Gitter.
Proposition 4.1.15. Es sei
4.2
Sukzessive Minima und Reduktionstheorie von Gittern
Im letzten Abschnitt haben wir das Minimum, die Basislänge und die Determinante eines Gitters definiert. Dort haben wir gesehen, daß diese Begriffe geometrische Invarianten eines Gitters
beschreiben. Darüber hinaus werden wir in diesem Abschnitt zeigen, daß sie in einer engen Beziehung zueinander stehen. Die Aufgabe, bei einem gegebenen Gitter eine möglichst kurze bzw. gute
Basis zu finden, ist eine der Hauptaufgaben der Reduktionstheorie von Gittern. Was eine kurze
bzw. gute Basis ist, ist nicht eindeutig definierbar. Wir begnügen uns hier zunächst mit einem Zitat
von C OHEN [Coh93] Among all the ¤ bases of a lattice ! , some are better than others. The ones
”
whose elements are the shortest are called reduced.“
4.2.1 Die Gitterpunktsätze von M INKOWSKI
Dreh- und Angelpunkt der Reduktionstheorie von Gittern sind die Gitterpunktsätze von H ER MANN M INKOWSKI (1864–1909), dem Begründer der Geometrie der Zahlen. In seiner Gedächtnisrede zu M INKOWSKI wird der Beweis des sogenannten M INKOWSKIschen Gitterpunktsatzes
von H ILBERT besonders gelobt: Dieser Beweis eines tiefliegenden zahlentheoretischen Satzes
”
ohne rechnerische Hilfsmittel wesentlich auf Grund einer geometrischen anschaulichen Betrachtung ist eine Perle M INKOWSKIscher Erfindungskunst ¢y¢y¢ “. Diese Perle wollen wir uns nicht
entgehen lassen.
28
Kapitel 4 Einige Grundbegriffe der diskreten Geometrie
Theorem 4.2.1. (M INKOWSKIscher Gitterpunktsatz, erster Hauptsatz von M INKOWSKI)
Es sei !"¨î ein ð -dimensionales Gitter und es sei ¸¹
î eine konvexe, zentralsymmetrische
x Å "C
(¸H
I®¸ ) Menge. Wenn die Ungleichung ”-+[•¸L6­
/Z1y.W! erfüllt ist, so enthält ¸ wenigstens
zwei Gittervektoren von ! .
œþ
Beweis. Es sei E ein FundamentalbereichÅ von ! . Falls für alle ] z!©\ª†Š« die Mengen ¸ und ] ö
¸ disjunkt sind, folgt ”-+[•†¸m2F”-+[•ºE5
/1y.Z! : Es sei ¸ so in Teilmengen ¸ò
’ ¸ ž zerlegt,
daß für irgendwelche ] ž ~! gilt ] ž ö ¸ ž "E . Nach Voraussetzung sind je zwei verschiedene
Teilmengen disjunkt, so daß sich für das Volumen von ¸ ergibt ”-+[•¸¡
»”-+[• i’q¸iž $f
»”-+[• i’˜D]ž ö
¸ ž $$2N”-+[•E . x Å
Es ist ”-+[•¸Ô6­
, also ”-+[• Ö ¸Ô6M/1y.W! . Somit gibt es ein ] |!©\ª†Š~« mit D] ö Ö ¸“$Yt
Z
/
y
1
Z
.
!
4 ¼ , d.h. es gibt Ö J Ö K
Ö ¸¼
Œ
Ö ¸ mit ]D
Ö DJb®~K$ . Da ¸ zentralsymmetrisch ist, liegt mit
K auch ®K in ¸ . Da sich ] als konvexe Linearkombination von J und ®K schreiben läßt, muß
P
aufgrund der Konvexität von ¸ auch ] in ¸ liegen.
þ
¢þ
Ðþ
Aus dem M INKOWSKIschen Gitterpunktsatz folgt als Korollar eine obere Schranke für das Minimum eines Gitters.
¡þ
Korollar 4.2.2. Es sei
]
Å !NÅ "î einB ðx -dimensionales Gitter. EsÅ gibtÅ einen Gittervektor
Á
der nicht länger als ð? /1y.W!$
ist, d.h. es gilt !#"€!2
ð /1y.Z!$ š .
Å
!©\ª†Š« ,
Å
B x . Wir zeigen, daß die Kugel ‰˜.Š~7½\$
ôªJþœÿ x a,l†rlK2Q½«
x /Å 1y.Z/!1y.Z$ ! besitzt.
Dann folgt die Behauptung mit Theorem 4.2.1. Es gilt
xBÖ
xBÖ
Å
”-+[• ‰ .Š~7½\$f
»½ x -” +[• ‰ .šŠ ¾9/$s
»½ x ¾ Ú x
Bð x B Ö /y1 .Z! ¾ Ú x
¢
Ö»ö 9/$
Ö_ö 9/$
¾ x
Ö
x
x B Ö und weiter
Falls ð gerade ist, gilt Ö ö 9/$s
Ö œ èÖ œyœyœ Ö 2 Ö š¯¿ ð
È
Ö
Ö
x
x
B
B
Ú
Ö
xð B Ö ¾ Ú
x
xBÖ
x
B
x Ö ö 9/$ JAð Ö ð x B Ö ¨F­Gښ$ J­ ¢
š¬¿ È
Å
¾
x
x
x B Ö Å Ú und weiter
Falls ð ungerade ist, gilt ÖZö 9/$O
Ö œ ÖC œyœyœ Ö Ú2 ÖÁÀ š¯Â ¿ ð
ÁÃ È
Ö
Ö
x
x
B
B
ð x B Ö ¾ Úx
Jð x B Ö Ú x B Ö Å ´Ä Ú ­ F­Gښ$ x B Ö JA­ x ¢
Ú
Ö_ö 9/$
ÖÁÀ š¯Â Áà ¿ È ð
Beweis. Setze ½ia
ð%
mindestens das Volumen ­
þ
P
Definition 4.2.3. Es sei !Å"£î ein T -dimensionales Gitter. Für ñ ¨ª\9Gy¢y¢y¢xT>« ist das ñ -te
sukzessive Minimum von ! definiert als der Radius der kleinsten Kugel, die ñ linear unabhängige
Gittervektoren enthält, d.h.
ÆÇ D!$€a
q!#"ªºˆLþÿƒa3È]š¾y¢y¢y¢xL] Ç þz! linear unabhängig mit l%] ž lZ2Nˆ , Ÿf
I9Gy¢y¢y¢šñ«[¢
T -dimensionales Gitter. Obwohl der Gedanke reizvoll ist, gilt die Gleichung
Es sei !É5
Æ D! $i
Ê"  •íî D! ein
$ im allgemeinen nicht.Ì Das in der Dimension minimale Gegenbeispiel für die‘
 ]"ƒË ̵ se Gleichung ist das Gitter Ë Ìµ ¤ ö ¤K Ö Ö Ö Ö Ö $Í , denn es gilt einerseits ‡
Æ
Ì
Ì
ª&¿<²G¾y¢y¢y¢x¿<² « , wobei ² ž der Ÿ -te Einheitsvektor ist, so daß ¬Ë ̵ $M
W9 gilt, andererseits er •í¬Ë ̵ $€6X9 .
zeugen die Minimalvektoren das Gitter nicht, d.h. es ist Eines der Haupttheoreme der Geometrie der Zahlen ist die Abschätzung der sukzessiven Minima
von M INKOWSKI. Dieses Theorem enthält den Gitterpunktsatz als Spezialfall.
4.2 Sukzessive Minima und Reduktionstheorie von Gittern
29
Theorem 4.2.4. (Zweiter Hauptsatz von M INKOWSKI)
Es sei !M"Iî ein ð -dimensionales Gitter mit den sukzessiven Minima
gelten die Ungleichungen
Æ ;D!$y¢y¢y¢x Æ x\D!$ . Dann
­ x Å / 1y.W!2 Æ ¾D!$œyœyœ Æ x\D!$>œÏ”-+[• ‰˜.Š¾9/$2­ x Å / 1y.Z!Z¢
Wð Î
Überdies gibt es einen Zusammenhang zwischen den sukzessiven Minima eines Gitters und denen
des zu diesem Gitter dualen Gitters.
Theorem 4.2.5. (BANASZCZYK [Ban93])
Es sei !‹"î ein ð -dimensionales Gitter. Dann gilt für alle Ÿ
þ8ª\9Gy¢y¢y¢šð«
912 Æ ž D!$ Æ x U ž Ì D! µ $2ð¢
die Ungleichung
4.2.2 Gitterbasisreduktion im Sinne von KORKINE und Z OLOTAREV
Wie wir in Proposition 4.1.4 gesehen haben, sind orthogonale Projektionen von Gittern auf orthogonale Komplemente von Vektorraumerzeugnissen von Untergittern ebenfalls Gitter. Orthogonale
Projektionen beherrscht man am besten, wenn man Orthogonalbasen von den entsprechenden Untervektorräumen kennt. Diese lassen sich effizient mit Hilfe der aus der Linearen Algebra bekannten G RAM -S CHMIDT-Orthogonalisierung berechnen, die hier noch einmal ins Gedächtnis gerufen
wird.
Proposition 4.2.6. (G RAM -S CHMIDT-Orthogonalisierung)
Es seien $yy¢y¢y¢š%$ }î linear unabhängige Vektoren. Definiere induktiv
‘
þ
$ ž„ a
T$ ž ®
Dann bilden $ „
Eigenschaften:
y¢y¢y¢š%$ ‘„
' ž U
4⠈ ž4 $ 4 „
mit
. $ ž %$ „ $
ˆ ž4 a . $ „ %$ 4 „ $ 9<2¥·i؟s2ØTf¢
4 4
eine Orthogonalbasis von
ÿr$š
ö œyœyœ ö ÿr$ ‘
. Sie besitzt die folgenden
¤þ8ª\9Gy¢y¢y¢xT>« gilt ÿr$š ö œyœyœ ö ÿ0$ ž ¢ÿr$ „ ö œyœyœ ö ÿ0$ ž„ ,
þ ª\9Gy¢y¢y¢xT>« gilt Ú ÆUWVmÐÁ ÌYX5X5X ÌWUWV%`jÐ Ñ Á Ç\ .$ ž $f
F$ ž„ ,
ii) für Ÿ¤8
i) Für Ÿ
iii) die Transformationsmatrix der $
iv) es ist /Z1y.;.$
ž
auf die $
ž„
besitzt Determinante Eins,
ž %$ 4 $ 7 6 ž98 4 6 ‘ $f
TÒ ‘ž â . $ ž„ % $ ž„ $ .
Eine Basis eines Gitters, deren Vektoren paarweise möglichst orthogonal zueinander sind, heißt
längenreduziert:
Definition 4.2.7. Es sei !Q"ƒî ein T -dimensionales Gitter. Eine Basis .$'yy¢y¢y¢š%$
‘
längenreduziert, wenn für die zugehörigen G RAM -S CHMIDT-Koeffizienten v ˆ ž54 vx2
ŸO2ØT , gilt.
$ von ! heißt
9 2M·@
Ö,˜
Wie schon in der Einleitung angedeutet wurde, ist nicht klar, wie eine gute“ Gitterbasis aus”
sieht. Dies hat zur Folge, daß es verschiedene Ansätze gibt, Gitterbasen als reduziert anzusehen.
Wir werden den Reduktionsbegriff von KORKINE und Z OLOTAREV benutzen, da er zwei Vorteile
besitzt:
i) Das Auffinden von kürzesten Gittervektoren ist ein Teilproblem der Gitterbasisreduktion.
30
Kapitel 4 Einige Grundbegriffe der diskreten Geometrie
ii) Es gibt einen offensichtlichen Algorithmus (siehe Proposition 4.1.6), der eine beliebige Basis eines gegebenen Gitters ! in eine Basis von ! transformiert, die im Sinne von KORKINE
und Z OLOTAREV reduziert ist.
Ein entscheidender Nachteil ist, daß bislang nur Algorithmen zur Berechnung von KORKINE Z OLOTAREV-reduzierten Gitterbasen bekannt sind, die eine in der Eingabelänge exponentielle
Laufzeit besitzen, was höchstwahrscheinlich (siehe Kapitel 6) nicht verbessert werden kann. Jetzt
aber endlich zur Definition des Reduktionsbegriffs von KORKINE und Z OLOTAREV:
Definition 4.2.8. Es sei !:
H¤*$[€+IœyœyœZ+ƒ¤*$†xÓ"=î ein ð -dimensionales Gitter. Setze ! ž a
Ú ÆUWV Á ÌYX5X5X ÌWUWVL`]Ç\ D!$ . Die geordnete Basis .$yy¢y¢y¢š%$ ‘ $ heißt reduziert im Sinne von KORKINE
und Z OLOTAREV, falls die folgenden Bedingungen erfüllt sind:
¤þ8ª\9Gy¢y¢y¢xð'«
i) Für alle Ÿ
gilt
lm$ ž„ l
Bi#"v! ž .
.$'yy¢y¢y¢x%${x/$ ist längenreduziert.
Es sei !³"°î ein ð -dimensionales Gitter und .$’y¢y¢y¢x%${x/$
ii) Die Basis
eine Basis von ! , die im Sinne von
KORKINE und Z OLOTAREV reduziert ist. Dann sind die Längen der Basisvektoren durch die
entsprechenden sukzessiven Minima sowohl nach oben als auch nach unten beschränkt, wie die
nachfolgende Proposition präzisiert.
Proposition 4.2.9. (L AGARIAS , L ENSTRA , S CHNORR [LLS90])
Es sei !³"°î ein ð -dimensionales Gitter und .$’y¢y¢y¢x%${x/$ eine Basis von
KORKINE und Z OLOTAREV reduziert ist. Dann gilt die Ungleichung
!
, die im Sinne von
Ñ
ö Ñ Ô Æ ž D!$ Ÿ
I9Gy¢y¢y¢xð¢
Ä Ÿ Æ ž D!$2´lm$ ž lZ2Ä Ÿ ~
öNÔ
4.3
Elementare Eigenschaften von konvexen Polytopen
Konvexe Polytope sind Grundobjekte der diskreten und kombinatorischen Geometrie, sie sind
Verallgemeinerungen von zweidimensionalen Polygonen. Wir beschäftigen uns zunächst mit allgemeinen konvexen Polytopen und sammeln die wichtigsten Fakten. Anschließend wenden wir
uns speziell den konvexen Parallelotopen zu, die besonders einfache konvexe Polytope sind.
In diesem Abschnitt werden nur Ergebnisse vorgestellt. Für Beweise, die zwar nicht schwierig,
aber dennoch manchmal langwierig sind, sowie für einen tiefergehenden Einblick in die Theorie
der konvexen Polytope sei auf das schöne Buch von Z IEGLER [Zie95] verwiesen.
4.3.1 Konvexe Polytope allgemein
Ein konvexes Polytop Õ im ð -dimensionalen euklidischen Vektorraum îi/ܖyœ$$ ist die konvexe
Hülle einer endlichen Teilmenge { hªJ3’y¢y¢y¢xLJ « von î , d.h. ein konvexes Polytop ist eine
‘
Menge der Form
ÕX
F֒+["{”3{La
&
'‘ ¬
žJ ž a ¬ ž
žâ þÿ€ ' ‘
žâ ¬ ž I9()¢
Genausogut können konvexe Polytope als beschränkte Lösungsmengen von endlich vielen linearen Ungleichungen beschrieben werden: Einerseits besitzt ein konvexes Polytop ÕP"Wî eine
Darstellung der Form
Ç
Õ
XªJÐþjîaDK ž LJO$2‹$ ž Ÿf
I9Gy¢y¢y¢xñ«[2K y¢y¢y¢šLK Ç }
þ îi2$ëþÿ 4.3 Elementare Eigenschaften von konvexen Polytopen
31
Abbildung 4.2: Der Dodekaeder: ein sehr regelmäßiges Polytop.
andererseits läßt sich jede solche beschränkte Lösungsmenge als konvexe Hülle von endlich vielen
Punkten schreiben.
Das ð -dimensionale Analogon zum zweidimensionalen Quadrat Î Ö a
lz R7¾9^|3ÓAz R7¾9^| bzw. zum
x
dreidimensionalen Würfel Î C a
äz R7¾9^| C ist der ð -dimensionale Würfel ΄xMa
:z R7¾9^| , der hier im
wesentlichen das einzige relevante konvexe Polytop ist.
Als nächstes wollen wir das Konzept der Ecken, Kanten und Wände eines konvexen Polytops, das
im C intuitiv einsichtig ist, in den euklidischen Vektorraum îi/ܖyœ$$ übertragen.
Es: sei õ eine Teilmenge von î :. Die affine Hülle von õ ist definiert als die Menge ×-Øiõea
ª ‘ž â ¬ ž J ž a† ž õ ¬ ž 3 ‘ž â ¬ ž C9GT )p« , sie ist der kleinste affine Unterraum, der
õ enthält. Außerdem wird /#õXa
F/#q×-ظõ definiert.
Eine Ý -dimensionale Seite E eines konvexen Polytops ÕP" î ist eine Teilmenge von Õ der
folgenden Form
ÿ
þ
þGÿ
þ
E
FՋt‡ªJ“þ}îaDJ3L]š$€2‹Ù/«[0]¡þjîi2Ù±þÿ
J þMÕ erfüllt ist, und wobei Ý die
wobei DJL]x$¸2oÙ eine lineare Ungleichung ist, die für alle "
Dimension der affinen Hülle von E ist.
Offensichtlich ist jede Seite von Õ ebenfalls ein konvexes Polytop, insbesondere sind Õ selbst und
die leere Menge, deren Dimension mit ® 9 definiert wird, Seiten von Õ . Eine Seite von Õ , die
weder die leere Menge noch Õ selbst ist, heißt eigentliche Seite von Õ . Die nulldimensionalen
Seiten von Õ werden als Ecken, die eindimensionalen Seiten von Õ werden als Kanten, und die
D/ #~ƒ
Õ ®9/$ -dimensionalen Seiten von Õx werden als x Wände
von Õ bezeichnet.
U
Der ð -dimensionale Würfel ΄x besitzt ­ Ecken, ðSœ/­
Kanten und ­Gð Wände.
Ú DS
Õ $ der Seiten eines konvexen Polytops Õ besitzt
Die durch die Inklusion halbgeordnete Menge }
eine besondere kombinatorische Struktur, die in der nachfolgenden Proposition beschrieben wird.
Proposition 4.3.1. (Der Seitenverband eines konvexen Polytops)
Es sei ÕÛ"î ein konvexes Polytop. Die Halbordnung Ú}DÕS$Ï"»$ besitzt die folgenden Eigenschaften.
i) Jede maximale Kette
/#~Õ .
¼}
ÅEsU@ÜÉExuܳEs±Ü£¢y¢y¢0܌EYÝßÞ5àIá
‡Õ
ii) Sie ist ein Verband, d.h. je zwei Seiten
mum.
E3ì"þÓÚjDÕ§$
iii) Sie besitzt ein kleinstes und ein größtes Element.
besitzt dieselbe Länge
besitzen ein Infimum und ein Supre-
32
Kapitel 4 Einige Grundbegriffe der diskreten Geometrie
iv) Der Verband ist atomar, d.h. jede eigentliche Seite ist Supremum einer geeigneten Menge
von Ecken.
v) Der Verband ist coatomar, d.h. jede eigentliche Seite ist Infimum einer geeigneten Menge
von Wänden.
Zwei konvexe Polytope, deren Seitenverbände bis auf Isomorphie übereinstimmen, d.h. es gibt
eine Bijektion zwischen den Seiten der beiden konvexen Polytope, die die Inklusion respektiert,
heißen kombinatorisch äquivalent. Zwei konvexe Polytope, die durch eine affine Abbildung ineinander überführt werden können, heißen affin äquivalent. Offensichtlich sind zwei konvexe
Polytope, die affin äquivalent sind, auch kombinatorisch äquivalent.
Zwei konvexe Polytope Õ und â , deren Seitenverbände bis auf eine Anti-Isomorphie übereinstimmen, d.h. es gibt eine Bijektion ãôaÚ}DÕS$1c¹Ú}iâ $ mit der Eigenschaft, daß für Seiten E…ì
ÚjDÕ§$ mit Eo"Cì gilt ã<DES$²äãKíì $ , heißen kombinatorisch dual. Zu einem Polytop Õ gibt es
immer ein zu Õ kombinatorisch duales Polytop, z.B. ist das zu Õ polare Polytop ÕIå a
XªK }îa
DJLK>$€29 für alle J zÕM« zu Õ kombinatorisch dual. Der Oktaeder ֒+["h”%ª&¿ƒæ?yy¢y¢y¢š¿ƒæçx-« ist zu
dem Würfel ΄x kombinatorisch dual.
ˆþ
“þ
vþ
4.3.2 Konvexe Parallelotope speziell
Konvexe Parallelotope (Paralleleppipede) sind besonders einfache konvexe Polytope. Ein ð -dimensionales konvexes Parallelotop ist das Bild des ð -dimensionalen Würfels ΄x unter einer bijektiven, affinen Abbildung.
ôþ‡î
Definition 4.3.2. Es seien J¾y¢y¢y¢~LJrx
Menge
Îþî
linear unabhängige Vektoren und $
& x
' ¬
Õi.$WèLJ¾y¢y¢y¢~LJrx/$a
F$ ö
þ z R7¾9^|%(
žJ ž a ¬ ž ¹
, dann ist die
žâ affin äquivalent zu dem ð -dimensionalen Würfel ΄x . Die Menge Õi.$WèLJ¾y¢y¢y¢~LJrx/$ heißt das von
J’y¢y¢y¢xLJrx aufgespannte konvexe Parallelotop, das um den Vektor $ verschoben ist.
Die minimale Breite eines konvexen Parallelotops ÕW
ÛÕi.$WèLJ y¢y¢y¢šLJ…x/$ (Notation: éZê/.LëvÕ )
ist der maximale Durchmesser einer Kugel, die vollständig in Õ enthalten ist. Dies kann auch
so formuliert werden, daß eine effiziente Berechnungsmethode für die Breite eines konvexen Parallelotops direkt ablesbar ist: Die minimale Breite von Õ ist der minimale Abstand von J ž zur
Hyperebene rJ1 ö œyœyœ ö rJ ž U ö rJ ž ö œyœyœ ö …J*x , Ÿf
I9Gy¢y¢y¢šð .
ÿ
ÿ
ÿ
Ì
ÿ
Algorithmus 4.3.3 Berechnung der minimalen Breite eines konvexen Parallelotops
J¾y¢y¢y¢xLJ…x»þjî linear unabhängige Vektoren und $Åþ}î .
Ausgabe: (q
»Z
é /'.Lë€i
Õ .$ZèLJ¾y¢y¢y¢šLJrx/$ .
J „ y¢y¢y¢šLJsx„ $ .
Berechne mit der G RAM -S CHMIDT-Orthogonalisierung Ds
(Fò
ì t .
for Ÿ
I9Gy¢y¢y¢ð do
8
J|ìJž%® : 4 x â 8 4-â í ž ÆÆî î{Ð` 8 î î b Ð Ð Ç Ç J 4 „ .
b b
if (6l%Jl then
(Tìïl%Jðl .
Eingabe:
end if
end for
Eine wichtige Operation für konvexe Parallelotope ist das Skalieren um einen Faktor vom Mittelpunkt des gegebenen konvexen Parallelotops aus, wofür eine Notation eingeführt wird.
4.3 Elementare Eigenschaften von konvexen Polytopen
þœÿ
Definition 4.3.4. Es sei ¬
skaliert werden soll. Schreibe
33
der Faktor, um den das konvexe Parallelotop Õ¸.$ZèLJ
x
y¢y¢y¢xLJ…x/$
x
¬j* Õ¸.$èLJyy¢y¢y¢šLJ…x&$€a
F$ ö 9 ' J ž ö ¬ Õi.ŠñèLJyy¢y¢y¢šLJ…x;$x® 9 ' J ž  ¢
}
­ ž ­ ž â
â
Wenn ein konvexes Parallelotop skaliert wird, ändert sich seine minimale Breite. Die nachfolgende Proposition zeigt, daß der Zusammenhang zwischen dem Skalierungsfaktor und der Breite so
ist, wie man es erwartet. Außerdem werden dort offensichtliche Eigenschaften des Skalierungsoperators gesammelt.
7òþÿ . Dann gilt
i) 9 * Õ¸.$èLJyy¢y¢y¢šLJ…x&$f
QÕi. $WèLJ¾y¢y¢y¢~LJrx/$ .
ii) ¬j* 9ò * Õ¸.$ZèLJ¾y¢y¢y¢~LJ0x/$$s
¨ ¬ ò$ * Õi. $WèLJ¾y¢y¢y¢šLJ…x/$ .
iii) Falls ¬ þÿ : Õ¸.$èLJyy¢y¢y¢šL J…x&2
$ " ¬j* Õi. $ZèLJ3’y¢y¢y¢xL J…x/$ .
iv) éZê/.Lë~ ¬˜* Õ¸.$ZèLJ¾y¢y¢y¢xL J…x/$$s
¬ éZê/'L. ë€Õi. $WèLJ¾y¢y¢y¢šL J…x/$¢
Es sei !w"î ein ð -dimensionales Gitter, das durch die Angabe der Gitterbasis .$'¾y¢y¢y¢~%${x&$ gegeben ist. Jeder Vektor J“þ}î läßt sich so durch einen Gittervektor verschieben, so daß das Translat
J>Y im : Fundamentalbereich Õ¸.Šñè%$'¾y¢y¢y¢š%$yx&$ liegt. Wenn wir die Menge Õ U .Šóè%$’y¢y¢y¢x%${x/$ a
Š öFô žx â ¬ ž $ ž a ¬ ž þbz R7¾9/Ï$ õ betrachten, ist dieser Gittervektor sogar eindeutig.
Diese Operation nennen wir Reduktion von J modulo der Gitterbasis . $'¾y¢y¢y¢š% ${x;$ (Notation:
J>YR
J !3+ /“. $¾y¢y¢y¢~% $hx;$ ). Falls die Vektoren $'¾y¢y¢y¢~% $hx und J durch eine endliche Eingabe
Proposition 4.3.5. Es seien ¬
codiert werden können, ist Algorithmus 4.3.6 ein effizienter deterministischer Algorithmus zur
Berechnung von Reduktionen modulo einer Gitterbasis.
Algorithmus 4.3.6 Reduktion modulo einer Gitterbasis
$yy¢y¢y¢š%$hxªþ}î linear unabhängige Vektoren und JÐþjî .
Ausgabe: >
J Y
QJ !+3“
/ .$ y¢y¢y¢~%$hx;$ .
: x ¬ ž$ ž.
Bestimme die eindeutige Lösung ö des linearen Gleichungssystems J@
žâ :
x
¬
¬
J>YZì
ž ⠞ ® g ž k $¬$ ž .
Im übrigen gelten alle Aussagen, die wir schon für das konvexe: Parallelotop ¸
Õ .$ZèLJ¾y¢y¢y¢xLJ…x/$
x
U
¬
¬
getroffen haben mutas mutandis für Õ .$WèLJ y¢y¢y¢šLJ…/x $s
T$ ö ª
ž ⠞.xJ ž>a ž[þbz R7¾9/$¥« .
Eingabe:
Kapitel 5
Gitterprobleme
Die wichtigsten algorithmischen Probleme der Geometrie der Zahlen sind das shortest vec”
tor problem“ (SVP) und das closest vector problem“ (CVP). Gegeben sei ein Gitter im
”
normierten Vektorraum
. Das SVP besteht darin, einen kürzesten nicht-trivialen Gittervektor von zu finden. Es sei zusätzlich ein Vektor
gegeben. Das CVP besteht
darin, einen Gittervektor von zu finden, der am nächsten liegt. Für beide Probleme sind
keine effizienten Algorithmen bekannt. CVP ist
-hart, und es ist ein offenes Problem, ob
SVP ebenfalls
-hart ist. In Kapitel 6 werden wir die
-Härte von SVP unter Annahme
einer plausiblen zahlentheoretischen Vermutung beweisen.
In den letzten Jahren wurden die Gitterprobleme SVP und CVP wegen ihrer vielfältigen
Anwendungen ausgiebig studiert. So konnten mit Hilfe des effizienten LLL-Algorithmus
([LLL82]), der Gitterbasen reduziert und gleichzeitig eine Approximation für SVP berechnet, mehrere neuartige effiziente Algorithmen gefunden werden. Als Beispiele seien hier nur der Entwurf eines effizienten Algorithmus für ganzzahlige Optimierungsaufgaben mit einer festen Anzahl von Variablen (siehe [GLS88]), der Entwurf eines Algorithmus zur Faktorisierung von Polynomen über algebraischen Zahlkörpern und über endlichen
Körpern (siehe [Coh93]) sowie S HAMIRs erfolgreiche Kryptanalyse ([Sha84]) des PublicKey-Kryptosystems von M ERKLE und H ELLMAN, das auf der algorithmischen Schwierigkeit des Knapsack-Problems beruhen sollte, genannt.
Neben den Anwendungen des effizienten LLL-Algorithmus wurden Einsichten in die Komplexitätstheorie von SVP und CVP gewonnen. So zeigten A RORA, BABAI, S TERN und
S WEEDYK in [ABSS93] unter Anwendung des
-Theorems, daß die Berechnung einer
Approximation für CVP um jeden konstanten Faktor
-hart ist. D INER, K INDLER und
S AFRA verschärften in [DKS98] dieses Ergebnis. Auf die Komplexitätstheorie von SVP
werden wir in den nächsten beiden Kapiteln ausführlich eingehen.
In diesem Kapitel werden die Gitterprobleme SVP und CVP vorgestellt. Wir gehen auf
die komplexitätstheoretische Beziehung zwischen den beiden Problemen ein und zeigen mit
einem einfachen und eleganten Beweis von G OLDREICH, M ICCIANCIO, S AFRA und S EI FERT ([GMSS99]), daß die Existenz eines effizienten Approximationsalgorithmus für CVP
die Existenz eines effizienten Approximationsalgorithmus für SVP mit gleicher Worst-CaseGüte impliziert. SVP ist also nicht schwerer zu approximieren als CVP. Anschließend werden zwei weitere Gitterprobleme definiert. Für deren Lösung sind deterministische Algorithmen mit polynomieller Laufzeit bekannt.
÷
ø‚
÷
÷
úüû
QùÓø,
úüû
ûvýçû
úüû
úüû
36
Kapitel 5 Gitterprobleme
5.1
Das shortest vector problem“ (SVP)
”
Es kann behauptet werden, daß das shortest vector problem“ schon seit zweihundert Jahren die
”
besten Mathematiker und Informatiker beschäftigt. G AUSS1 konnte einen effizienten Algorithmus
für das shortest vector problem“ für Gitter der Dimension 2 angeben. Später wurde das allgemei”
ne shortest vector problem“ von D IRICHLET, H ERMITE, KORKINE und Z OLOTAREV studiert,
”
wobei Abschätzungen der Form von Korollar 4.2.2 im Vordergrund des Interesses standen. M IN KOWSKI stellte das Problem in das Zentrum seiner Theorie der Geometrie der Zahlen.
Der erste Durchbruch zur algorithmischen Lösung
des shortest vector problem“ kam spät. Der
”
effiziente LLL-Algorithmus berechnet eine þhÿ
-Approximation für kürzeste Vektoren in Gittern der Dimension . Es hat sich jedoch empirisch herausgestellt, daß der LLL-Algorithmus für
Gitter geringer Dimension (etwa in den Dimension ) deutlich bessere Approximationen liefert.
Wir definieren das shortest vector problem“ für Gitter, die im Vektorraum liegen. Der wird
”
mit dem euklidischen Standardskalarprodukt versehen, so daß die betrachtete Norm die wohlbekannte 2-Norm ist. Ein analoges Problem läßt sich bei jeder anderen Norm auf definieren. So
hat VAN E MDE B OAS in [vEB81] nachgewiesen, daß das SVP bzgl. der Maximumsnorm -hart
ist, was für das SVP bzgl. der 2-Norm ein offenes Problem ist.
Definition 5.1.1. ( shortest vector problem“ (SVP))
”
Gegeben sind linear unabhängige Vektoren von ihnen erzeugte Gitter.
Variante
1: Gibt es zu einer gegebenen Konstante *
8
8
/
9* ?
Variante 2: Berechne das Minimum von .
Variante 3: Berechne einen Minimalvektor von .
. Es sei !#"$
+,.
&%(''')%
einen Gittervektor
/
"$
10325476
das
mit
Offensichtlich ist Variante 1 eine Abschwächung von Variante 2 und Variante 2 eine Abschwächung von Variante 3. Umgekehrt gilt, daß wenn Variante 1 effizient lösbar ist, dann ist es auch
Variante 2. Binäre Suche ermöglicht eine Reduktion von Variante 2 auf Variante 1. Es ist aber
ein offenes Problem, ob aus der Existenz eines effizienten Algorithmus für Variante 2 die Existenz
eines effizienten Algorithmus für Variante 3 folgt.
Das shortest vector problem“ läßt sich als Minimierungsproblem entsprechend Definition 2.2.1
”
auffassen. Es ist dann SVP ;:=< ?>@BA.DCEFHG mit
LM
<I2J:K
T
>
P
þ
U
Y
:K
/
>
:K
LM
M%('''\%
"$
+ ,.U
linear unabhängig, SR
6
WV3X
G[Z
5NOQP
<
P
T
A
G
G
U
8
U
Z
8
/
"$
03254]6
Im Gegensatz zu vielen Problemen der Klasse ! ist der Beweis dafür, daß die Entscheidungsvariante des SVP in der Klasse ! liegt, nicht völlig trivial.
Proposition 5.1.2. Die Entscheidungsvariante des SVP liegt in der Klasse ! .
Beweis. Wir überzeugen uns zuerst davon, daß SVP überhaupt
berechenbar ist, indem wir zeigen,
8
8
d*
daß für ein /#_^ `ba .c ` `
die Ungleichung /
nur dann gelten kann, wenn jeder
Koeffizient c ` , efg , betragsmäßig durch einen Wert, der ausschließlich von LM 1
Manche Leute bezeichnen ihn als den größten deutschen Informatiker.
5.1 Das shortest vector problem“ (SVP)
”
37
und * abhängt, beschränkt ist. Es sei h die G RAM-Matrix von bzgl. der Basis :K 7 G .
Die G RAM-Matrix von ji bzgl. der Basis :K i M i G ist hI . Für einen Gittervektor /#
8
8
`ba c ` ` von ^
mit / 9* ergibt die Ungleichung von C AUCHY-S CHWARZ
k
k
`
c
k
:=/
k
G
`i
:=/
G
/
:K ` i
G
`i
9l3`nm ` *
@
e@o
(5.1)
wobei l `nm ` das e -te Diagonalelement von hp ist. Das
Verfahren, das sich aus Ungleichung (5.1)
k
k
`
ablesen läßt, besteht darin, sämtliche q
" mit c
, auf die Bedingung
l `nm ` * , ers
k|
k
+
`
M
quthvqgxw
*
}l `nm ` *
e~
6 , die ein
hin zu überprüfen. In der Menge 2zy
{P

G
ƒ
konvexes Parallelotop ist, sind exakt € `ba :.þ7l `nm ` *]‚
Gitterpunkte des Gitters " enthalten, die
auf die obige Bedingung hin zu überprüfen sind, so daß der hier angegebene Algorithmus eine in
der Eingabelänge exponentielle Laufzeit besitzt.
Angenommen es gilt CEbF „;* , d.h. die Eingabe :B:K M G? * G ist eine Ja-Instanz der Entscheidungsvariante des SVP. Aus Ungleichung (5.1) und der Tatsache, daß die Bitlängen der
Einträge der Matrix hp polynomiell in den Bitlängen der Einträge von h beschränkt sind (dies
ist ein Satz von E DMONDS, siehe z.B. [GLS88] für Details), 8 folgt
die Existenz des Zertifakts q
8
10325476 mit
/
…*
für die Tatsache, daß es einen Gittervektor /
gibt, dessen Länge in der
Bitlänge der Eingabe :B:K L7 G? * G polynomiell beschränkt ist. Das Zertifikat ist außerdem
†
effizient verifizierbar.
Der im Beweis angegebene Algorithmus wurde von F INCKE und P OHST in [FP85] so modifiziert,
daß er polynomielle Laufzeit besitzt, wenn die Dimension und die Längenschranke fest gewählt
sind. Der F INCKE-P OHST-Algorithmus ist in Theorie und Praxis der effizienteste bekannte Algorithmus zur Berechnung sämtlicher Gittervektoren eines vorgegebenen -dimensionalen Gitters
+1,. %ˆ'''W%
, die eine vorgegebene Längenschranke *
nicht überschreiten.
‡("$
"$
G
Mit h sei die
G RAM-Matrix von bzgl. der Basis :K
bezeichnet. Die Aufgabe, alle
8
8
/
"
mit / 9* zu bestimmen, ist äquivalent zur Aufgabe, sämtliche q
mit qrth‰q9*
zu bestimmen, da für /Š ^ `ba c ` ` gilt
8 8
/
;:
Ž
A.BA‹G
`
c
Œ
`ba
Ž
` `
c
`ba
Ž
`=
Ž
c
`ba
?a
` c

` :K
 G
‘q
t h‰q
+
Die Menge ’“”2zy
6
ist ein Ellipsoid, das ein deutlich geringeres VoP q t h‰q•_*
lumen als das konvexe Parallelotop aus dem Beweis von Proposition 5.1.2 besitzt. Der F IN CKE-P OHST-Algorithmus ist ein Backtracking-Algorithmus, der sukzessiv sämtliche Vektoren der
Menge "@–—’ bestimmt.
+
Es sei h#‘˜ft=˜ die C HOLESKY-Zerlegung (siehe [GL96]) von h , wobei ˜#;:š™ `› G
WNO eine
rechte obere Dreiecksmatrix ist, d.h. ™ `› ‘ für œQž9eŸ! . Es gilt für q
" die Gleichung
˜‰q(g ^
`¡a
™
` c
` ^
`ba
™
` c
` M
™
t
c
D
L¢
und weiter
q
t h‰q(;:=˜‰q
G
t :=˜‰q
Ž
G
`¡a
Wenn man nacheinander c
`n` c
™
c
`¦
Ž
§aH`b¨
¤£¥
M c
Y
™
D
z©ª
™ `n`
`¡a
£¥
c
`¦
Ž
§aH`b¨
`›
™
™
wählt, ergeben sich obere Schranken für
c
`› c
™
Ž
k
9*Š«¬
c
k
*
®­
™
D
k
z©ª
c
``
c
`
k
38
Kapitel 5 Gitterprobleme
und
™
B¯
u°
c
Y
Y
™
und allgemein für e
k
k
`
c
ƒ
9*
3±
k
c
™
c
«¬
²
Y
k
ƒ
*
B¯
™
c
™
B¯
™
ƒ
D
Y
M
™
Y
Y
B¯
Y
c
6
Ž
ƒ
™ `n`
B¯
`
ƒ´³
*
Y
Y
23
B¯
™
¦
`µ
™
§aH`b¨
™
 c
`n`
`
³
mit
Ž
™ ¶§¶
¶ aH`b¨
c
¶¦
£¥
Ž
§a
™
¶ ¨
™
¶ 
¶§¶
c
 ©ª
Somit erhalten wir den nachfolgenden Algorithmus.
Algorithmus 5.1.3 Abzählen von kurzen Gittervektoren
Eingabe:
M
Ausgabe: alle
º
c `(
O6 .
q
"§03254]6
8
mit
`ba
^
Berechne die G RAM-Matrix h bzgl.
h#(˜ftK˜
von h .
e¼»½ . new bound »
true. finished »
while ¾ finished do
if new bound then
`
³
»
^
¶ aH`b¨
¶ ¶
™ Y
c
Œ
+
linear unabhängig und *
f
¶¦
^
§a
¶ ¨
`
c
`
8
,
®*
M
:K
G
c

,.-
.
;
, œ·
CQ¸W¹
2Le
23
@
‹6
P
. Berechne die C HOLESKY-Zerlgung
false.
c
¿
ÀšÁ
 
.
¿ À
À
`
c
»
ÂWÃ
‹Å5Æ
Ä
ƒ
^
?aH`b¨
ÈÆ Æ
¿DÇ
Ë
`
»
Ì\Ã
‹Å5Æ
ÆÉÆ
¿ Ç
end if
`
Ä
Æ
¿
ƒ
¿
^
§aH`b¨
if c
c
»
`
¿
Á
ÆÉÆ
§Ê
c
c
§Í
ƒ
.
.
`¦
Ë
Æ
¿
.
then
if e¼o then
if qΑ4 then
finished » true.
else
output q .
end if
else
ƒ
e&»Ïe
. new bound
end if
else
¦
e¼»½e
.
end if
end while
c
Á
ÆÉÆ
`
»
true.
+
,.-
Proposition 5.1.4. ([FP85]) Es seien und *
fest gewählt. Die Laufzeit von AlgoÐR
rithmus 5.1.3 ist dann polynomiell in der Länge der Eingabe :K L G beschränkt.
Dies soll zunächst genügen. Wir wenden uns nun weniger ausgiebig dem anderen wichtigen Gitterproblem CVP zu.
5.2 Das closest vector problem“ (CVP)
”
5.2
39
Das closest vector problem“ (CVP)
”
Im Gegensatz zum SVP besitzt das closest vector problem“ keine erwähnenswerte mathemati”
sche Geschichte. Dennoch ist es in der Praxis nicht weniger wichtig. Anwendungen finden sich
+
in der Diskretisierung von Objekten im , wie sie in der graphischen oder in der akkustischen
Datenverarabeitung bei Analog/Digital-Umwandlern vorkommen.
Definition 5.2.1. ( closest vector problem“ (CVP))2
”
Das closest vector problem“ läßt sich als Minimierungsproblem auffassen. Es ist dann CVP
”
?>@BAÑDCEbFHG
mit
:=<
M
<Ò2J:B:K
T
>
G
y
WNOQÓS
þ
<
P
U
:B:K
T
A
G?
>
P
M
:B:K
G?
y
G“Z
G?
y
U
%('''W%
U
·R
6
H:=/
8
G
y
"$
-
U
Z
linear unabhängig,
X
"$
+Ô
G
/
V
LM
P 8
ƒ
/
y
Falls y ein Gittervektor von "$ j%'''J% "$ ist, ist ÕÖ×5:B:K M G? y G d , was nach Definition 2.2.1 nicht erlaubt ist. Dies soll uns nicht stören, da es einen effizienten Algorithmus gibt
(siehe Kapitel 5.4), mit dem dieser Fall ausgeschlossen werden kann. Weil die Notation nicht
verkompliziert werden soll, verzichten wir auf eine offensichtliche Umformulierung des CVP.
Wir resümieren aktuelle Ergebnisse der Komplexitätstheorie des CVP, die vor allem im Umfeld
des fØÙ -Theorems entstanden sind.
VAN E MDE B OAS bewies in [vEB81], daß die Entscheidungsvariante des CVP -vollständig
ist. Unter Anwendung des fØÙ -Theorems, das zu diesem Zeitpunkt noch nicht so hieß, zeigten
º
! “ keinen effiA RORA, BABAI, S TERN und S WEEDYK, daß es unter der Voraussetzung Ú
”
zienten deterministischen Approximationsalgorithmus mit konstanter Worst-Case-Güte für CVP
gibt. D INUR, K INDLER und S AFRA
verschärften in [DKS98]
mit verfeinerten, aber ähnlichen Me
Þ
G
c
:=
! -hart ist, eine þhÿÈÛµÜBÝ
-Approximation, ß;:=à¡Õá àbÕá G .â ,
thoden, daß es für ein
für das CVP bei Gittern der Dimension , zu berechnen.Ç
A RORA, BABAI, S TERN und S WEEDYK bemerkten ausdrücklich, daß die Instanzen des CVP,
die in ihrem Beweis vorkommen, eine sehr spezielle Form besitzen. Es ist möglich, die gültigen
Lösungen auf Gittervektoren zu beschränken, die bzgl. der eingegebenen Gitterbasis nur Koeffizienten aus der Menge 2z W6 besitzen. Das entsprechend eingeschränkte Problem heißt 3ãO -CVP.
Man kann sogar noch einen Schritt weiter gehen.
+,.-
Definition 5.2.2. Es seien ä
und å
Gap’- :=ä å G -CVP wie folgt: Es sei æÎ;:B:K
ç
ç
æ
Gap’- :=ä
º
æ
Ñ: ^
Gap’- :=ä
`ba
c
`
` G
å
èy
å
-CVP, wenn es ein q
G
+
2z
-CVP, wenn für alle
äYå gilt.
Gjé
Ô
M
q
. Wir definieren das Entscheidungsproblem
G?
G
y
< eine Instanz von CVP und es gelte:
mit Ñ:
W6z
"
^
`¡a
und alle
è
c
`
` y
G
ä
"u03254.6
gibt.
die Ungleichung
Gap’- :=ä å G -CVP ist ein Promise-Problem. Wenn für alle Gittervektoren, deren Koeffizienten
bzgl. der eingegebenen Gitterbasis nur 0 oder 1 sind, der Abstand von y größer als ä ist, kann
versprochen werden, daß erstens der Abstand sämtlicher Gittervektoren von y größer als äYå ist
und zweitens dies für alle ganzzahligen Vielfachen von y gilt. Ein solches Versprechen kann für
3ãO -CVP nicht gegeben werden.
Aus dem Beweis von A RORA, BABAI, S TERN und S WEEDYK läßt sich das folgende Theorem
ablesen.
2
In der Literatur wird das CVP manchmal auch als nearest vector problem“ (NV) bezeichnet.
”
40
Kapitel 5 Gitterprobleme
Ô
+
,.-
Theorem 5.2.3. Zu jeder Konstanten å
gibt es eine rationale Zahl
G
Promise-Problem Gap’- :=ä å -CVP -vollständig ist.
5.3
ä
so, daß das
Beziehungen zwischen dem SVP und dem CVP
Die Gitterprobleme SVP und CVP sind komplexitätstheoretisch eng miteinander verknüpft. Es
ist natürlich über den Umweg der -Vollständigkeit des CVP möglich, eine polynomielle Reduktion von SVP auf CVP anzugeben. Sie sind aber viel enger verbunden. In diesem Abschnitt
geben wir eine T URING-Reduktion3 von SVP auf CVP an, die außerordentlich simpel und elegant
ist.
Als erster zeigte H ENK in [Hen97] eine T URING-Reduktion von SVP auf CVP auf. G OLDREICH,
M ICCIANCIO, S AFRA und S EIFERT geben in [GMSS99] eine Reduktion mit elementaren Methoden an, bei der die Gitterdimension von Eingabe- und Anfragegittern gleich ist und die Aussagen
über Approximierbarkeit zuläßt.
CVP.
Theorem 5.3.1. SVP ist auf CVP T URING-reduzierbar, es gilt SVP Å
In der im Beweis angegebenen T URING-Reduktion werden für eine Probleminstanz des SVP, die
aus einem Gitter der Dimension besteht, Anfragen an das CVP-Orakel mit Gittern der gleichen
Dimension gestellt, deren Disjunktion das Ergebnis liefert.
Beweis. Algorithmus 5.3.2 gibt die T URING-Reduktion von SVP auf CVP an. Offensichtlich ist
die Laufzeit von Algorithmus 5.3.2 in der Länge der Eingabe polynomiell beschränkt, wobei für
eine Anfrage an das CVP-Orakel konstante Zeit berechnet wird.
Algorithmus 5.3.2 T URING-Reduktion von SVP auf CVP
Eingabe:
M
linear unabhängig,
f
Ausgabe:
8
8
Ja“, falls es ein /
gibt.
10325476 mit
/
9*
”
Nein“, falls es ein solches / nicht gibt.
”
for e@o @ do
Aufruf des CVP-Orakels mit der Eingabe
liefert die Antwort å ` .
end for
ëìë
åÒ»êå
å
.
output å .
P ("$
:B:K
%ˆ'''\%
`
þ
+1,.-
,*
` `b¨
.
7
G?
` *
G
Es sei ` P o"$ ¼%Î'''% "$ ` ¼% "‰:.þ ` G% "$ `b¨ ¼%Î'''% "$ das Gitter der e -ten Anfrage an
das CVP-Orakel. Aus den folgenden zwei Behauptungen folgt die Korrektheit des Algorithmus.
i) Für jeden Minimalvektor /
Falls die Eingabe
ist auch :B:K L
des CVP.
3
M
:B:K
`
L
þ
03254]6
` G?
`b¨
*
G
gibt es ein e
23
6
, so daß /
¦
`
`
ist.
eine Ja-Instanz der Entscheidungsvariante des SVP ist,
` G?
G
*
eine Ja-Instanz der Entscheidungsvariante
Y
Eine T URING-Reduktion einer Sprache í#î®ï7ð auf eine Sprache íñòî®ï7ð ist eine Abbildung, die von einer
polynomiell zeitbeschränkten deterministischen T URING-Maschine realisiert werden kann, die Anfragen an ein í ñ Orakel stellen darf, die jeweils mit konstanter Zeit berechnet werden, und die genau die Wörter von í auf Wörter
von í ñ abbildet. Im Gegensatz zu einer polynomiellen Reduktion sind einer T URING-Reduktion mehrere Anfragen
an ein í ñ -Orakel erlaubt (Notation: í ñOóMô í ).
5.4 Weitere Gitterprobleme
41
Beweis. Es sei /ˆ ^ ?a c  
10325476 ein Minimalvektor von . Es existiert ein e
`
@
c
23
‹6 , so daß
ungerade ist, denn sind alle Koeffizienten von / gerade,
folgt ‡ž
¨ 8 8
8
8
/
im Widerspruch zur Minimalität von / . Somit ist / ¦ ` Ïõ âÆ ÷ö :.þø G ¦
ž
/
`
§a B¯ WH
ùa ` c  
^
.
ii) Für jeden Gittervektor /
Falls die Eingabe
:B:K
LM
G?
*
G
`
:B:K
M
ƒ
Y
þ
` §a
ùa ` c
B¯ WH
`
`
gilt /
10325476
`b¨
M
, e&o
G?
` *
M
G
.
eine Ja-Instanz des CVP ist, ist
eine Ja-Instanz des SVP.
Beweis. Es sei /{
es ist / ƒ ` Î^ §a
`
c
c
.þ
` G
: 

¦
^
10325476


ein Gittervektor von
, wie gewünscht.
`
. Es gilt /
º
o ø
und
†
Der Beweis von Theorem 5.3.1 zeigt, daß ein effizienter Algorithmus zur Approximation des
CVP sich zu einem effizienten Algorithmus zur Approximation des SVP transformieren läßt. Die
Worst-Case-Güte beider Approximationsalgorithmen ist gleich.
Korollar 5.3.3. SVP ist nicht schwerer approximierbar als CVP.
Im nächsten Kapitel geben wir umgekehrt eine approximationserhaltende Reduktion des Gap’
G
:=ä
å
-CVP auf SVP an, wobei wir jedoch an eine zahlentheoretische Vermutung glauben müssen.
5.4
Weitere Gitterprobleme
Die Probleme SVP und CVP sind nicht die einzigen algorithmischen Probleme, die in Verbindung
mit Gittern auftreten. Wir betrachten hier zwei weitere Probleme, für deren Lösung deterministische Algorithmen mit polynomieller Laufzeit bekannt sind. Somit können diese Algorithmen zur
Konstruktion von polynomiellen Reduktionen eingesetzt werden.
Das erste Problem ist das Zugehörigkeitsproblem. Gegeben sei ein Gitter durch eine Gitterbasis
LM
sowie ein Vektor y
ein Gittervektor von )ú
. Es ist zu entscheiden, ob y
ist. Im wesentlichen kann dieses Problem auf das Lösen eines linearen Gleichungssystems mit
zusätzlichen Ganzzahligkeitstests zurückgeführt werden.
und
Das zweite Problem ist das Gitterbasisproblem. Gegeben seien Vektoren / M /Ùû
¦
''' ¦
gesucht ist eine Basis des Gitters "/
"/üû . Dieses Problem kann z.B. mit Hilfe der sogeû
effizient gelöst werden
nannten H ERMITE-Normalform der Matrix ýþþ:=/ M / û G
5N
(siehe [Coh93]).
Kapitel 6
Über die
ÿ
-Härte des SVP
Die Frage, ob das shortest vector problem“
-vollständig ist, ist ein bislang ungelöstes
”
Problem der theoretischen Informatik.
Der Beweis der Aussage SVP
“ ist schon seit langem bekannt und wurde hier in
”
Kapitel 5 vorgestellt. Ein Durchbruch gelang A JTAI in [Ajt98], als er zeigte, daß sich jedes
Problem aus der Klasse
mittels einer randomisierten polynomiellen Reduktion auf SVP
zurückführen läßt. A JTAI reduziert eine
-vollständige Variante des bekannten subset
”
sum problem“ auf SVP. Sein Beweis beruht auf zwei Ideen:
einer konstruktiven, probabilistischen Aussage über Hypergraphen, die S AUER 1972
in einer nicht-konstruktiven Version vorstellte,
einer effizienten Konstruktion eines Gitters, das exponentiell viele Gittervektoren in
einer kleinen Kugel besitzt.
Darüber hinaus beweist A JTAI, daß die Berechnung einer
-Approximation für
SVP für ein
-hart ist. C AI und N ERURKAR verbessern in [CN98] den Faktor
auf
. Wir folgen in diesem Kapitel der Darstellung von M ICCIANCIO ([Mic98a] und
[Mic98b]), der den Faktor auf
anheben konnte. Eine weitere Abweichung von A JTAIs
Originalbeweis ist die Ersetzung der Anwendung der probabilistischen Aussage über Hypergraphen durch die Anwendung einer zahlentheoretischen Vermutung. Wenn sie wahr ist,
ergibt sich sogar eine deterministische polynomielle Reduktion einer
-vollständigen Variante von CVP auf SVP.
!
" Kapitel 6 Über die -Härte des SVP
44
6.1
Eine zahlentheoretische Vermutung
Schon in der Einleitung dieses Kapitels wurde erwähnt, daß wir SVP
nur unter der
fØ
Annahme der Richtigkeit einer zahlentheoretischen Vermutung beweisen können. Wir wenden
uns dieser von M ICCIANCIO aufgestellten Vermutung zu und überlegen, warum sie plausibel ist.
+
,.-
#
'$ &)(
+
,.-
gibt es ein
, so daß für alle genügend großen
Vermutung 6.1.1. Für jedes ß
Zahlen
stets eine Zahl im Intervall ¦
existiert, deren Primfaktoren nur einfach
oR
auftreten und alle kleiner als :=à F G sind. Eine solche Zahl heißt quadratfreie, :=à F G -glatte Zahl.
$
%$ $
$ *
$ *
$ *
M ICCIANCIO merkt in [Mic98b] an, daß einfache Methoden der analytischen Zahlentheorie ausreichen, um die Aussage Die mittlere Anzahl von quadratfreien, :=à F G -glatten Zahlen im Inter”
vall ¦
übertrifft .“ zu zeigen. Wenn quadratfreie Zahlen, die ausschließlich kleine
Primfaktoren besitzen, genügend gleichverteilt auftreten, dann folgt die Vermutung. Es ist aber
durchaus möglich, daß zur Zeit ein Beweis ein nicht angreifbares Ziel ist.
$& *
%$ $ $ & (
6.2
Effiziente Konstruktion eines Gitters
Ziel dieses Abschnitts ist die Angabe eines effizienten deterministischen Algorithmus, der bei
der Eingabe von ein Gitter bestimmt, dessen Minimum nicht zu klein ist und das gleichzeitig
exponentiell viele Gittervektoren in einer kleinen Kugel um einen Punkt, der ebenfalls von dem
Algorithmus berechnet wird, konzentriert. Diese beiden Eigenschaften des zu konstruierenden
Gitters sind für die im nächsten Abschnitt dargestellte Reduktion einer Variante des CVP auf
SVP notwendig.
Nachdem wir das Ziel durch exakte Formeln ausgedrückt haben, beschreiben wir ein parametrisiertes Gitter und einen parametrisierten Punkt und beweisen für sie die oben genannten Eigenschaften. Dies geschieht jeweils in zwei Schritten: zuerst für ein reelles Gitter und anschließend
für eine ganzzahlige Approximation einer Skalierung des reellen Gitters. Danach erhalten wir den
Algorithmus durch geschickte Parameterwahl und durch die Vermutung 6.1.1.
+
%
w
und für jede Zahl å
n
þ G gibt es einen
Proposition 6.2.1. Für genügend großes …R
effizienten
deterministischen
Algorithmus, der bei der Eingabe von Vektoren M ú
¨ ¨ ú
ú
ú
"
, einen Vektor y
"
, eine Matrix
"5N
, sowie eine rationale Zahl ™
berechnet,
so daß folgendes gilt:
,
i) Für das Gitter ii) Für alle
P ("$
2z
W6
¦
''' ¦
gibt es ein q
+
.mit ,
ist CEbF
"$zú
ú
"
é
òqÎ
å3™
.
und H:
^
ú
`ba
.c
`
` y
G
™
.
Das im nächsten Lemma definierte Gitter wurde zuerst von A DLEMAN untersucht, um einen
direkten komplexitätstheoretischen Zusammenhang zwischen SVP und der Faktorisierung von
ganzen Zahlen herzustellen. Wir zeigen, daß das Minimum von nicht zu klein und durch die
Wahl des Parameters steuerbar ist.
/
/
+Ô
0
0
21
Ô
0 4365
87 90 0
"
Lemma 6.2.2. Es sei
und es seien M ú
ganze Zahlen (
in Lemma 6.2.4 benötigt), die paarweise prim zueinander sind, d.h. es gilt áá I:
`
`  G
wird erst
d für
6.2 Effiziente Konstruktion eines Gitters
;:
M
. Die Vektoren 9eŸžœQ
0
F
w
à
<<
<<
<<
..
.
P
<<
<
/ 0
F
@à
Dann ist die Menge "
l
>
P
<<
<<
<<
0
, .
`âÆ @à
CC
C
`
c
`ba
CC
>
P
ú
`¡a
ú
l
º
!l
à
Die Funktion
Dies mit
F
l
|
|
(
/
¦
l
F
F
à
F
°
¦
:
`
c
/
l
/ 0
à
F
@à
3
F
P !l
>
l
/.
F
¼à
¨
l
¨
ú
ú
þ
w
+
ª
ú
ú
0BA A
` âÆ
`ba
F
`
in gilt die Ungleichung
/
`ba
à
F
à
°
¨
l
¨
l
¨
¦
ƒ
6
CEbF
k
2l
H
ƒ
H
l
¨
2l
l
±u±
6
|
G
HG 3
¦
JK
G
¨
k
±u±
6
3
k
ƒ
l
l
F
/ FE :
;G und H % I( gilt
H
G
¦
l
°
°
¦
w
à
. Außerdem ist dann
|
¦
:
¦
G
F
à
±r±
l
¦
:
G?
ergibt
/ E:
¦
G
6 ö
l
l
H
ƒ
:
à
F
|
ist konkav, d.h. für Ò
, o und Q
F
3
l.
2l
l
¨
¨
FCEbF
à
ƒ
l
k
ƒ
l
`š
k
F
2l
0
F
à
k
°
`
c
Œ
ƒ
`š
F
à
ú
Ž
/ 0
`
c
Œ
`ba
FC¸W¹
ú
Ž
¦
¨
õ à
`
¢
l
`
c
0
F
à
/
¦
l
`ba
`¦
k
/
l
ú
0
¦
F
CEbF
G
:
à
w
¥
` .âÆ -
F
F
à
¦
F
¦
|
¦
:
0
<
0
^
à
k
k
°
Uêà
G
..
.
<<
paarweise prim zueinander sind, gilt
l . Damit erhalten wir
6vž
w
Z
à
`
k
`ba
à
0
Ž
à
ist und die¨
und CQEbF 2l
`
c
`ba
à
º
‘4
D
ú
Ž
3
Da
q
¨
@?
C
<<
âÆ
CC
`
P
ein Gitter mit CEbF
"$Lú
l
ú
3ú
Für das Quadrat der Länge des Gittervektors
Ž
<<
ª
F
âÆ
CC
7
©
. Wir führen die folgende Notation ein:
ú
`¡a
<<
£
<
==
==
==
==
=
©
P
%ˆ'''\%
F
à
¥
03254]6
¨
<<
£
P Î"$
ú
0 ===
==
..
==
.
==
/ 0
w
ª
¥
Beweis. Es sei q
==
==
==
==
=
seien definiert als
ú
©
£
45
°
°
¦
±r±
l
w
/ ML K
3
à
F
/
¦
l
:=à
þ
F
G
l
ÿÈÛ Ç und sehen nach Anwendung
Wir betrachten die Funktion l ZU à F l ¦
von elementaren
F
G
analytischen Methoden, daß die Funktion ein absolutes Minimum in : ¼à þ
besitzt. Somit folgt
die Behauptung:
C
CC
CC
CC
CC 3
ú
Ž
c
`¡a
`
`
C
à
F
l
¦
/
:=à
þ
F
l
G
D
3
@/
à
F
@/ þ
: ¼à
F
G
¦
@/ þ 3 þ /
@/ þ
G
: @à
F
G
F
: @à
¼à
F
†
Kapitel 6 Über die -Härte des SVP
46
Das Gitter aus Lemma 6.2.2 kann nicht für komplexitätstheoretische Betrachtungen herangezogen werden, da es im allgemeinen nicht mit Hilfe von rationalen Zahlen darstellbar ist. Dies
ist nicht weiter tragisch, weil es durch ein ganzzahliges Gitter m approximiert“ werden| kann,
+
”
das ähnlich gute
Eigenschaften besitzt, wie im nachfolgenden k | Lemma
belegt
wird. Für
|
| Jk
.
bezeichnet 
die nächstliegende ganze Zahl, d.h. es gilt stets ƒ
2N
0
0
PO QN
21 /
Ô
+Ô
+
¨
ú
PR
+
"
,
, M 3ú
und Lemma 6.2.3. Es seien L7 ú
G
in Lemma 6.2.2. Desweiteren sei
. Die ganzzahligen Vektoren m 7
approximieren die skalierten reellen Vektoren LM )ú komponentenweise:
T
Dann ist die Menge `›m 
`›
¦
CC
CC
¨
ú
`
c
`ba
ƒ
õ
R
°
CEbF
ö
¨
ú
"
CC 3 :
C
S
3m`
:
e@o
"$ mú
CC
ú
3 : U
m
"
''' ¦
Ž
C
Insbesondere gilt CEbF
%
:T N
S
P x
P ("$ m m
S
¦
CC
C
±
CC
CC
ú
Ž
`
c
`ba
C
`
mú
ú
"
wie
¨ ein Gitter und es gilt für alle q
CC
ƒ
:
M
œI;
¨
ú
ú
"
:
.
:
M
"
, e
, ist die Menge m ist eine diskrete Untergruppe von
Beweis.
Da `m
+ ú ¨ ¦
G
und somit laut Proposition 4.1.2¨ ein
Gitter. Zur Vereinfachung der Notation
definieren
:
¨ +
ú
ú
ú
ú
G
G
ú
K
:
)
m
)
m
"
wir die Matrizen P :K 8 L8 8 u
und
.
ÿ $N 8
ÿ N Nach der
m P
ú
8 8
ƒ
ƒ
2. Dreiecksungleichung ( y
) gilt
y
V
CC
CC
C
CC
`
c
`ba
`m
Die 2-Norm auf
,
8
CC V
CC
ú
Ž
C
+
ú
8
durch
P
+ ú
alle y
gilt
im Intervall ƒ %
XW
Ã
8
CSV
¦
Òq
V
:V
S
ƒ
m
CC 3 :
C S V
8
q
¢
(
òy
8
ÿ
+
¨
ú
N
ú
CC +
C V
ƒ
Òq
ist mit der Quadratsummennorm auf
^
,
CC :
CC
m q
V
W
,
:V
S
ƒ
C
ÿ
+
`› G
(die für („:=å
,
¢
CC
q
ú
¨
N
ú
definiert ist) verträglich, d.h. für alle
ÿ N und für
8
8
8
8
8
ú
ü'
(siehe [Heu91], 114). Da die Einträge der Matrix m ƒ
y
ú
liegen, läßt sich die Quadratsummennorm von m ƒ
durch
¨
ú
`ba
CC
CV
^
å
: V CCC
S
ƒ
m
8
,
ú
?a
^V
ú
µ` 
Y
\
Z[[
UV
8
V
\
8
Òq
Z[[
3 \
3
und damit die Behauptung.
;: 3_5
8
0
q
`
D
à
ú
Ž
`ba
8
q
à
:
`ba
:
8
D
ú
Ž
§a
ú
V
UV
UV
:
­
¦
G
±
8
. Da sämtliche Einträge der Hauptdiagonalen der
, e¼; , benötigt), folgt
:
0
` c
0
` c
F
F
þ
ú
9: ] : ;:
ú
Ž
`¡a
8
Z[[
Ž
°
G
abschätzen, es gilt also : m ƒ
q
Matrix größer als 1 sind (dafür wird
V
¨
ú
V
+
¨
` G
¦
Œ
/ 0
@à
`ba
` G
ú
Ž
F
` c
`=
†
6.2 Effiziente Konstruktion eines Gitters
47
Wir haben gefordert, daß es einen Punkt y und eine kleine Kugel um y gibt, die exponentiell
viele Gittervektoren von enthält. Zur Vorbereitung des Beweises dieser Aussage betrachten
wir Gittervektoren mit Koeffizienten aus der Menge 2z W6 , die diese Eigenschaft bei geeigneter
Parameterwahl von und besitzen.
`
/
: 3
Lemma 6.2.4. Es sei
die Bezeichnungen aus Lemma 6.2.2. Es sei
þ . Wir benutzen erneut
+ ú ¨ eine natürliche Zahl. Der Vektor y
ist definiert als y P := @ ¼à F G t . Falls
ÐR
ú
ú
¦
für einen Vektor q
2z
W6
die Bedingung l P € `¡a `âÆ
erfüllt ist, gilt
`
0
Ž
`
c
Œ
`¡a
` 
y
F
F
lQà
`
°
°
/
¦
`
F
(à
±r±
¦
CC
ú
Ž
`
c
Œ
`¡a
` CC
C

y
`
c
`ba
XD
F
+1Ô
/
¦
l
`
¦
`
¦
F
à
F
à
ƒ
`
c
`ba
`
:=à
F
/
`
¦
/
¦
¢
ƒ
/
°
`
F
à
¦
l
/ /
/
¦
`
F
!à
±
/
¦
C
0
F
à
°
CC
y
ú
à
CC
ú
Ž
Ž
/
¦
F
à
Diese verwenden wir zweimal und erhalten
Da
` þ
F
à
¦
à
% ` ` dac ( ist, gilt die Abschätzung
Beweis. Da l
D
ú
/ `
% ` ` bac (
G
ú
Ž
`
c
Œ
`ba
0
F
à
`
ƒ
à
`
F

±
ist, folgt die Behauptung.
†
Auch hier müssen wir uns um eine ganzzahlige Approximation“ kümmern, damit wir Lemma
”
6.2.4 für komplexitätstheoretische Betrachtungen anwenden können.
0
21 /
S %
0
Ô
,
Lemma 6.2.5.
Es seien 7 ú
"
+ ú ¨ und y
wie in Lemma 6.2.4. Es seien
ú ¨
in Lemma 6.2.3. Der| ganzzahlige
Vektor
y m
"
ú | 
" , œpo
komponentenweise:  m P x
U N
Ž
`
c
Œ
`¡a
)m`
yŸm

;: S
°
+
¨
ú
dR
+
ú
¨
`
, , , ú
,
,¨ ¨ R
ú
ú
G
"
, m M )mú
und m ‘"
wie
approximiert den skalierten reellen Vektor y
ú
¦
. Für alle q
"
gilt die Ungleichung
:
ú
Ô
+
R
ú
Ž
¦
±
`
c
Œ
`ba
` y
9
Beweis. Dieser Beweis verläuft nahezu genauso
wie der von Lemma 6.2.3. Auch hier definieren
¨ ¨ +
ú
ú
ú
ú
LM
G
G
wir die Matrizen
und m P
zur
:K
)ú
ÿ
N
:K m mú
"ðÿ
N
P
Vereinfachung der Notation. Anwendung der Dreiecksungleichung liefert
V
ú
Ž
V
c
Œ
`ba
`
m`
y
m

: V
S
8
Òq
ƒ
8
y
¦
CC
C V
m
ƒ
:V
S
¢
q
ƒ
Ly
m
ƒ
:
S
y
¢
C
CC
Kapitel 6 Über die -Härte des SVP
48
º
‘4
Weiter ergibt sich für q
CC
C V
:V
S
ƒ
m
¢
q
ƒ
y
:
ƒ
m
S
y
CC
C
CC
¢
­
:
CC
:
CV S V C
9: ] :
8
V
\
8
ƒ
Òq
Z[[
y
Z[[
3 \
3
à
D
à
:
`ba
ú
Ž
:
`ba
8
D
ú
Ž
8
q
0
` c
0
` c
F
F
` G
¦
:
8
8
¦
V
q
G
8
8
q
CC
C
¦
¦
þ
y
: CCC
S
ƒ
m
y
größer als 1 sind, folgt
ú
Ž
/ 0
@à
Œ
`ba
` G
8
q
Da sämtliche Einträge der Hauptdiagonalen der Matrix
8
ƒ
m
` c
F
`
/ `
ƒ
F
@à

Nun ergibt sich zusammenfassend die Behauptung, wobei der Fall q
ellen Wahl von speziellen Wahl von yo½:= @ ¼à F G t und von
offensichtlich ist.
/ `
|
@
½:=
m
eO / ` N
aufgrund der spezi-
4
¼à
F
G
t
†
Wir haben mit Lemma 6.2.3 und 6.2.5 alle benötigten Aussagen beisammen, um Proposition 6.2.1
zu belegen. Die Einzelaussagen werden durch geschickte Parameterwahl und mit Hilfe der Vermutung 6.1.1 zusammengesetzt.
ghf
Beweis. (von Proposition 6.2.1)
Es seien —ž(ßpž; ƒ žo (damit
UU
(damit
#
Es sei
$
¨
+
é
,.-
hf
Ç
w
ÿ
hf
&
ž;
) und iS
ž
ìž;:
ƒ
w
ÿ
hf
&
G
ãü:
¦
w
ÿ
hf
&
G
ÿ &
entsprechend Vermutung 6.1.1 so gewählt, daß für alle genügend großen Zahlen
w
) fest gewählt.
$ *
%$ $ $ & (
O
` * N
:
j 9:
ML
0
0
0
eine quadratfreie, :=à F G -glatte Zahl im Intervall ¦
existiert. Desweiteren sei ´R
so groß, daß dies für alle é þ gilt.
¦
F
G
Definiere die Zahlen P Tþ
, P
und P
:=à
.
Ç
¦
¨ 7
ú
Es seien
(in dieser
Reihenfolge!)
die ersten
Primzahlen
ú
¦
Gé
é
G
größer 2. Nach dem Primzahlsatz 3.2.2
ist Ÿ:
þ (Ÿ: bezeichnet die Anú
Û Ç
zahl der Primzahlen, die höchstens
sind). Also ist die Bitlänge von ú höchstens þ¼à¡Õá ,
M
demnach polynomiell in beschränkt. Somit können
ú
durch einen effizienten deterministischen Algorithmus bei Eingabe von z.B. mit dem Sieb des Eratosthenes berechnet
werden.
¨ ú
Durch die hier angegebenen
Parameter
seien
die
Vektoren
aus Lemma 6.2.3
m
mú
"
¨ ú
ú
" 5N
aus Lemma 6.2.5 definiert. Desweiteren definiere die Matrix
und der Vektor y m k "
G
durch
, wobei ’ die :=·ÓÐ G -Einheitsmatrix bezeichne, und die Zahl ™ P
4
P _:=’
ú
5NWÿ
.
¦
¦
G w
F
:
à
þ .
Es ist klar, daß es einen deterministischen Algorithmus gibt, der dies alles bei Eingabe von in
polynomieller Zeit berechnen kann. Man muß sich nur vor Augen halten, daß å eine Konstante
und nicht Teil der Eingabe ist.
Nun ist nachzuweisen, daß das so definierte Gitter m P •"$Lm ¦ ''' ¦ "$zmú die gewünschten
Eigenschaften besitzt.
`
0 0
O: U
,
`
0
$
0
& / _` & :
0
j 9:
:
:
:N
O
N
,
+
6.2 Effiziente Konstruktion eines Gitters
i) Nach Lemma 6.2.3 gilt CEbF
: S
°
ƒ
3 : U
ƒ
:
m
þ
w
±
49
/
F
¼à
þ
G w
/
F
¼à
und wir müssen die Ungleichung
+ k+ml: S
é
åO™
°
å
¦
D
±
` þ'n
¦
F
à
bzw.
: S
ƒ
°
:
«¬
S
°r°
D þ
D þ
ƒ
‹:
±
ƒ
ƒ
‹:
±
G
ß
`
F
à
G
ß
+ : S
` + S
é
F
à
°
å
ƒ
°
°
å
¦
¦
D
±
D
±
¦
` þ
¦
¦
F
à
` þ
F
à
é
å
±
±
+
einsehen. Falls für genügend großes stets
S
°
ƒ
D þ
ƒ
‹:
±
G
ß
`
F
à
ƒ
å
+ S
°
¦
D
±
` þ 3
¦
F
à
(6.1)
gilt, folgt die Behauptung unmittelbar. Es ist
D
`
F
à
þ
­
à
þ
F
ß
D
Da þ)ãWßMà F þ é
bestätigt werden:
ƒ
S
°u°
D þ
S
ƒ
S
ƒ
«¬
S
¦
ƒ
D þ
D þ
é
å
S
ƒ
­
ß
G
å
G@ƒ
ß
°
þ
à
po
ergibt sich für IU
G
ß
`
F
°
ƒ
¦
¦
¦
å
‹:
+ S
°
D þ
G
Gé
ß
+
‹:
Nach der Wahl von ß und
U
:
+ S
+ S
å
ƒ
‹:
ƒ
ƒ
G¼ƒ
ß
D þ
±
‹:
±
ƒ
‹:
±
ist, muß nur noch
°
-
S
°u°
+ U
­
±
þ
'
D þ
D
G
`
F
à
¦
±
þ
¦
¦
¦
`
F
‹:
±
þ
¦
)ã@à
F
`
é
zãW
¦
U
'
ƒ
`
F
à
åÙ:
­
þ
¦
à
¦
ƒ
±
­
±
ß
G
ƒ
die Ungleichung (6.1).
rq
O 0 N
0
$ b`
` & `
&
%$ $ $ & (
0
` *
t$ $
$ u$ & v` &
ú
`
vorgegeben und ein entsprechendes q
"
gesucht. Setze c ` P
,
`
M
b
`
a
`
â
Æ
. Weil à¡Õá
epê
, und l
, ist, ergibt sich
þ , eÒ½
P ~€
é
é
l
žpþ
þ
þ
und weiter P ]ãzl fé
.
Nach Vermutung
Ç
Ç
¦
eine quadratfreie, :=à F G -glatte
6.1.1 und der Wahl von existiert im Intervall
ú
¨ 7 c
`ba
¨ `âÆ schreiben, wobei c
ú
2z
W6
Zahl l . Sie läßt sich als l
so
€
F
G
definiert werden sollen (Holzhammermethode: die :=à
-te
Primzahl
ú
ist größer als
¦
F
G
F
G
). Es ist l . Für l P gl l :=à
:=à
m mit einem
m ž
ú
`ba `âÆ gilt
€
ii) Es sei
M
2z
W6z
b`s&
` * 3
0
$ *
l
ƒ
`
·!l
ƒ
l
l
$
‰!l
: l
$ *
0
$ ;` & ` & .` & .` w/
ƒ
G
ž
]ã
Mit Lemma 6.2.5 folgt wie gewünscht
ú
Ž
c
Œ
`ba
`
`m y
m

x: S
°
¦
±
D
à
F
` þ
¦
p9™
†
Kapitel 6 Über die -Härte des SVP
50
6.3
Eine Reduktion von CVP auf SVP
Für den Beweis der ! -Vollständigkeit des SVP geben wir eine approximationserhaltende Reduktion von dem Promise-Problem Gap’- :=ä m å m G -CVP (siehe Definition 5.2.2) auf das PromiseProblem Gap- :=ä å G -SVP an.
Theorem 6.3.1. Unter Annahme der Richtigkeit der Vermutung 6.1.1 ist es für jeden Approxi w
mationfaktor å
n
þ G -hart, eine å -Approximation für das ”shortest vector problem“ zu
berechnen.
%
hf h hf h
3
+
w
:=å
þ G –¤ und å m " mit å m Ã Ç Ç gewählt.
Beweis. Es seien å
,.Ç
, so daß das Ç Promise-Problem
Gap’- :=ä m å m G -CVP
Nach Theorem 5.2.3 gibt es eine Zahl ä m
G
-vollständig ist. Im folgenden geben wir eine polynomielle Reduktion von Gap’- :=ä m å m -CVP
G
ñ ñ å
auf Gap- :
-SVP, bzw. eine approximationserhaltende Reduktion von dem entsprechend zu
modifizierenden Optimierungsproblem CVP auf SVP zu den Parametern :=ä m å m G und : ñ ñ å G an.
Es sei :B:K LM G? y G eine Eingabe für das Promise-Problem Gap’- :=ä m å m G -CVP. Falls zu
klein ist, um Proposition 6.2.1 anzuwenden, muß die Eingabe mit entsprechend konstant vielen
Vektoren künstlich verlängert werden. Nach Proposition¨ 6.2.1 gibt es zu å einen¨ Algorithmus,
ú
ú
"
"
, den Vektor y m
, die Matrix
der bei Eingabe von die Vektoren )m M mú
ú
, sowie die Zahl ™
"WN
, mit den in Proposition 6.2.1 angegebenen Eigenschaften be
5NO als die Matrix, die die Vektoren
rechnet. Zur Vereinfachung der Notation wählen wir
LM
ñ ñ
als Spaltenvektoren
enthält.
Definiere
den
Skalierungsfaktor
und die VektoP
¨
¨ ú
¨ ¿
/Ùú
ren /
ÿ :
zy h h
y hh
+
,
V
`
/
}
V|,~}
S
°
P
`
:
:
e¼o
Ñ m`±
S {y h f h
¨
/Ùú
S
°
P
y
y
±
m
+
ú
wobei ` , e¼o , wie üblich, den e -ten Standardbasisvektor von
bezeichnet. So erhalten
¨ ¦
''' ¦
wir ein Gitter
"/üú
, das wir nach Anwendung einer effizient berechenbaren,
P ‘"/
isometrisch wirkenden linearen Abbildung als Eingabe von SVP auffassen können.
auf


-
 ry h h
1. Behauptung: Falls ein
Gap’- :=ä m å m G -CVP, ist CQEbF
2z
mit H:
W6
ñ
ñ
CC
CC
C
ú

¨
`
Ž
`ba
Es gilt
CC
`
hh
¦
`
/
f
ñ
Ç
CC
CC
C
CC
C
hh
ñ
`ba
`
`
CC
ƒ
CC
C
y
Ç
2. Behauptung: Falls
‚
CC
S CCC
¦
M
:B:K
G?
Beweis. (der 2. Behauptung)
¨ ú
"
0325476 und
Es seien · õ ö
`
`
` G
y
ä m
existiert, d.h. :B:K
G?
G
y
, _-
ú
"
mit òq‘
CC
`
c
`ba
CC
ƒ
m`
S
C
y¼m
ú
`ba
^
`
.c
m`
y
m
G
¦
ä§m
™
gibt.
9™
ú
Ž
und H:
°
‘ä?m
¦
å m
å
+
±
, weil å m gerade so gewählt wurde. Damit ist die 1. Behauptung bewiesen.
Ç
Ç
q
Ž
.
Beweis. (der 1. Behauptung)
Von Proposition 6.2.1 wissen
wir, daß es ein q
¨ ú
ö
Setze P sõ
. Dann gilt
"
€
q
`ba
^
CC
CC
C
ú
¨
Ž
`ba
`
`
/
`
CC
CC
C
CC
C
CC
º
G
y
Gap’- :=ä
- ƒ,
fq
P
Ž
`ba
q
`
`
¦
m
å
m
G
CC
C
CC
¦

-CVP, ist CEbF
. Da
"
èy
CC
S CCC
y hh
é
ñ
CC
CC
ú
Ž
c
`¡a
`
m`
¦
èy
m
C
ñ
å(ä m å m
.
†
6.3 Eine Reduktion von CVP auf SVP
51
gilt, genügt es zu zeigen, daß einer der Summanden größer als
º
q
(4
sein. Dann erhalten wir wegen Proposition 6.2.1
CC
S CCC
Falls è
º
(
CC
ú
Ž
c
`ba
`
`m
¦
è.y
m
CC 6S CC
C C
CC
CC
CC 3 S
C
ú
Ž
c
`ba
ist, ist schon nach Voraussetzung
`
`m
8
^
`ba
q
`
CEbF
`.¦
:=ä m å m
8
è.y
ist. Falls
S„+
é
G
é
åO™‰(ä m å
ä m å m
.
m
è‡
ist, muß
†
Kapitel 7
Grenzen der
-Härte der
Approximierbarkeit von kurzen
Gittervektoren
ÿ
…
…
Die schwerfällige Kapitelüberschrift vermittelt bereits, daß wir in diesem Kapitel eine Grenze angeben werden, ab der die Berechnung einer -Approximation für SVP nicht
-hart
sein kann, wenn wir übliche komplexitätstheoretische Annahmen zugrunde legen.
Im vorangehenden Kapitel haben wir bereits gesehen, daß
sein muß, falls die Vermutung 6.1.1 zutrifft. Davor haben wir über den LLL-Algorithmus berichtet, der effizient
eine
-Approximation für SVP berechnet. Also muß
sein. Zwischen
den beiden Schranken klafft eine exponentielle Lücke. Die Grenze der
-Härte der Approximierbarkeit des SVP ist aber im Vergleich zur Worst-Case-Güte von bekannten effizienten
Approximationsalgorithmen sehr niedrig. L AGARIAS, L ENSTRA und S CHNORR zeigen in
co[LLS90] unter Benutzung einer schwächeren Form von Theorem 4.2.5, daß
folgt, falls die Berechnung einer -Approximation für SVP
-hart ist. G OLDREICH und
G OLDWASSER senkten in [GG98] die Grenze auf
.
…‡†;" …•”.wˆŠŒ‹F–‘“’
‰ˆŠŒ‹Ž‘“’
˜ ‰s™Šš›
œ’
6—
Wir schauen uns in diesem Kapitel den Beweis von G OLDREICH und G OLDWASSER an. Wir
zusammenbricht, wenn die Berechnung
beweisen, daß die polynomielle Hierarchie zu
einer
-Approximation für SVP
-hart ist. Dabei arbeiten wir eine technische
Verbesserung von M ICCIANCIO ([Mic99]) ein. Der Beweis besteht im wesentlichen in der
Angabe eines interaktiven Beweissystems für die Tatsache, daß ein gegebenes Gitter nur
lange“ Gittervektoren besitzt.
”
˜ ‰s™Šš›
54
Kapitel 7 Grenzen der ! -Härte der Approximierbarkeit von kurzen Gittervektoren
7.1
Ein interaktives Beweissystem für das Komplement von
SVP
Ÿž
Ein Highlight der theoretischen Informatik ist, daß die polynomielle Hierarchie zu
zusammenbricht, falls das Graph-Isomorphie-Problem
-vollständig ist. (siehe [Weg95]). Das Kom. Unter der Annahme, daß das
plement des Graph-Isomorphie-Problems liegt in der Klasse
Graph-Isomorphie-Problem
-vollständig ist, kann Theorem 2.1.11 angewendet werden. Es
folgt der Zusammenbruch der polynomiellen Hierarchie zu .
Mit einer analogen Idee zeigen wir, daß die polynomielle Hierarchie zu
zusammenbricht, wenn
die Berechnung einer
-Approximation für SVP bei -dimensionalen Gittern
-hart ist.
Da nach Theorem 2.1.10 die Klassen
und
übereinstimmen, müssen wir nur einsehen,
daß es eine Konstante
gibt, so daß Gap-SVP in
liegt.
x¡
¢|£
_¡
Ÿž
¤ž
¥ ¦§©¨«ª¬¦
¦
_¡
­¡¯®@°8± ¢|£
²~³´¤µ2¶
®^²'· ¥ ¦§©¨«ªŸ¦Ž±
­¡¯®@°8±
Theorem 7.1.1. Das Komplement Gap- @® °· ¥ ¦§©¨«ªŸ¦± -SVP liegt in ­¡¯®@°8± . Dabei gibt ¦
die Di-
mension der eingegebenen Gitter an.
Beweis. Zum Beweis geben wir ein konkretes interaktives Beweissystem für das Komplement von
-SVP an, das mit zwei Kommunikationsrunden auskommt.
Gap-
®@°· ¥ ¦§©¨«ª¬¦±
Zuerst geben wir ein interaktives Beweissystem an, das die wichtigsten Ideen verdeutlicht. Wir
analysieren es und erkennen, daß es noch verschiedene technische Schwächen besitzt. So ist
voraus. Diese Schwächen
Victors Irrtumswahrscheinlichkeit zu groß, und die Analyse setzt
können aber durch Standardtechniken ausgemerzt werden.
¦¯¸.¹
º»·¼¼¼„·Xºe½¾³.¿ ½
Es seien
linear unabhängige Vektoren, die die gemeinsame Eingabe für
Peggy und Victor darstellen. Es sei
das zu betrachtende Gitter.
À
Á.¬º‰»©ÃƒÄÄÄ'ÃŬº½
½
Victor: Wählt zufällig Æk³ÈÇÊÉ·Ë'Ì und Í
³ ή@Ïз¥ ¦§©¨«ªŸ¦Ž±)Ñ , berechnet mit Algorithmus
½
4.3.6 den Vektor ÒÓÁÔ®^Í~Õ¾Ö ×«Ø »ŽÙ × º × ±ƒÚÜÛÝÓ®@°‰ºF»z·¼¼¼Þ·X°‰ºß½'± und sendet Ò zu Peggy.
½
½
Peggy: Bestimmt ein àƒ³áÇÊÉ·Ë'Ì , so daß für alle âã³°wÀ der Abstand ¦Q® Ö ×«Ø »Fä × º × ·ÒåÕæℱ
minimal ist und sendet à zu Victor.
Victor: Akzeptiert genau dann, wenn Æ6Á_à ist.
ç Ein Algorithmus, der probabilistischen T -Maschinen die zufällige gleichverteilte Wahl eines Vektors
URING
aus einer Kugel ermöglicht, wird in [Knu69] unter 3.4.1.E beschrieben.
®@ºF»z·¼¼¼Þ·Xºß½Ê±å³ è
®@°· ¥ ¦§©¨«ª¬¦± -SVP ist, d.h. falls گ髪ŸÀ.ꃰ ¥ ¦§©¨«ªŸ¦
1. Behauptung: Falls
Gapist, dann akzeptiert Victor die Eingabe immer.
׫½ Ø
Ö
Ò
ë
ƒ
Á
Í
Õ
ÍæÕ;Ö «×½ Ø 2» Ù × º × âìÁƒÍæÕxÖ ×«½ Ø »ŽÙ × º ×
î½ × ×
¦í ×ïØ Ù º ·ÒìÕÅâÐð
»
Beweis. (der 1. Behauptung)
Victor sendet den Vektor
ƒ
» Ù × º × ÚÜÛÝB®@°‰º » ·¼¼¼„·X°‰º½Ê± zu Peggy. Es sei âá³m°wÀ mit
ÚÜÛÝB®@°‰º2»z·¼¼¼Þ·X°‰ºß½Ê± . Einerseits gilt die Ungleichung
î½ × ×
î½ × ×
Á ññ ×«Ø Ù º Í ×«Ø Ù º ÕÅâ âŸññ
»
»
ññ
ò ¥ñññ ¦§©¨«ªó¦F·
ñ
ƒ
ƒ
ƒ
7.1 Ein interaktives Beweissystem für das Komplement von SVP
55
àƒ³áÇÊÉ·Ë'Ì ½‰ö ÇÆ÷Ì die Ungleichung
î½ × ×
î½ × ×
î½ × ×
¦í ×«Ø ä º ·ÒìÕÅôæð Á ññ ×«Ø ä º Í ×ïØ Ù º ÕÅâ ôÈññ
»
»
ññ ½ »
ññ
ñî × × ×
ñ
¸ ññ ×«Ø ® ä Ù ±º ÕÅâ ô ññ 6ø Í ø
ññ »
ññ
ê ° ñ ¥ ¦§©¨«ªó¦ ¥ ¦§©¨«ª¬¦ ñ
Á ¥ ¦§©¨«ªó¦F¼
½
½ Ø » ® ä × Ù × ±º × Õƒâ ôùÁ{
«
×
è °wÀ ist, folgt
Ö
è Ï . Peggy kann immer das
Da Ö ×«Ø » ® ä ×
Ù × ±º × ³i
½
½
×
×
×
×
«
×
Ø
«
×
Ø
ursprüngliche Æ finden, weil ¦s® Ö
» Ù º ·ÒÕ;ⱟú6¦s® Ö »Žä º ·ÒÕ
ô± für alle ôû³B°wÀ und
½ö
ü
für alle àƒ³áÇÊÉ·Ë'Ì ÇÆ÷Ì gilt.
und andererseits gilt für alle
ôõ³m°wÀ
und für alle
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ýi³6´óþ ÿ mit der Eigenschaft, daß falls ®@ºF»·¼¼¼„·Xºe½±¯³
Ú» 髪ŸÀ ò ° ist, dann akzeptiert Victor die Eingabe mit einer
Ë ½ , ganz gleich, welche Strategie Peggy anwendet. Dabei
2. Behauptung: Es gibt ein Polynom
Gap-SVP ist, d.h. falls
Wahrscheinlichkeit von höchstens ƒ
muß jedoch
sein.
®@°· ¥ ¦§©¨«ª¬¦±
¦¸_¹
«×½ Ø »FÙ × º × ÚÛÝB®@°‰ºF»·¼¼¼·X°‰ºe½Ê±
âûÁ
½
×
×
«
×
Ø
Ò
ÁbÍÕ Ö » Ù º Õ;â ÚÜÛÝë®@°‰ºŽ»·¼¼¼·X°‰ºe½±
Ò Á è Ò
ÁrËw·¼¼¼·¦
Æ
Æ
Beweis. (der 2. Behauptung)
Victor sendet den Vektor
zu Peggy. Es sei
ein Minimalvektor von . Definiere
.
(siehe auch den Beweis von 5.3.1). Es sei
Weil ein Minimalvektor von ist, gilt
mit
,
. Peggy kann mit einer hohen Wahrscheinlichkeit und den zugehörigen Vektoren und
nicht eindeutig zuordnen, ganz gleich welche Strategie sie anwendet. So kann keine T URING-Machine Victor mit hoher Wahrscheinlichkeit
Gap-SVP überzeugen. Es gilt nämlich
von
Ö «×½ Ø »Fä × º ×
â ½
Æ ³ÓÇÊÉ·Ë'Ì
Ù × Á
Ò Ò
®@ºF»·¼¼¼„·Xºß½'± ³è
þ Victor akzeptiert
Ò Á ;
Í Õ Ö
À
À
Ù × Õ ä × ÚÛÝì°
®@°·¥ ¦ §©¨«ª¬¦±
Áò Ë þ Victor verwirft
Ë
þ Peggy
Ò und Ò nicht unterscheiden
kann
Û8¨ Î Ö ×ï½ Ø » Ù × ºI· ½ ½ Î Ö ×«½ Ø » Ù × º„ÕÅâ · ½ ½ Á Ë
° Ä ! Û8¨ Ε®@τ·¥ ¦§©¨«ª¬¦±
Û8¨ ή@ÏзËʱ Î " ½# ½ ·Ë $
Á Ë
° Ä Û8¨ ή@τ·Ëʱ
ƒ
ƒ
ƒ
Zur Abschätzung des Quotienten benötigen wir ein geometrisches Lemma, das mit Abbildung 7.1
illustriert wird.
ÒÔ³.´ ½
Lemma 7.1.2. Es sei
ein Vektor mit
schnittes der -dimensionalen Einheitskugeln
die Ungleichung
¦
ø Ò ø ú{Ë . Dann gilt für das Volumen des DurchÎæ®@Ï·Ëʱ und ή^Ò¤·ËʱåÁ{ÇÊÍi³;´ ½ „¦s®^ҟ·Í©± ò Ë'Ì
Û8¨® ή@τ·Ëʱ Îæ®^ҟ·Ëʱ)± ø ø&%
½() +» * ¦
¸ Ò ¥ Ë& ø Ò ø ž('
Û8¨ ή@Ï·Ëʱ
° , ¼
56
Kapitel 7 Grenzen der
_¡
-Härte der Approximierbarkeit von kurzen Gittervektoren
Abbildung 7.1: Illustration zu Lemma 7.1.2
Îæ®@Ï·Ëʱ ή^Ò¤·Ëʱ
°F¥ Ë& ø Ò ø ž
øÒ ø
durch das Volumen des Zylinders der
Beweis. Wir schätzen das Volumen von
Höhe
und der Breite
, der vollständig in der Schnittmenge
liegt, nach unten hin ab. Das Volumen des Zylinders beträgt
ή@ÏзËʱ æÎ ®^Ò¬·Ëʱ
ø Ò ø Ä Û8¨ Ε®@Ï.-0/132· ¥ Ë ø Ò ø ž 4± Á ø Ò &ø % ¥ Ë& ø Ò ø ž(' (½ ) » 6 , 4½ )½4) » » 5# ž ¼
® ž ƒ
Õ Ëʱ
½() » 6 ½
Û8¨® ή@τ·Ëʱ Ε®^Ò¤·Ëʱ)± ø Ò ø&% ¥ Ë ø Ò ø ž7'
" ,
¸
Ä 6 ® ½4® ) ž » Õ6Õ6ËʱËʱ ¼
Û8¨ Îæ®@Ï·Ëʱ
ž
Eine einfache analytische
die auch für den Beweis der WALLISschen Produktdarstellung
ž 9 Tatsache,
>
ž
@
=
?
A
=
?
?
?
=
9
9
von 8 ž Á 9(¨«:<
é‘Ú ; » = ? B = ??? ž ) » = ? ž benötigt wird (siehe [Heu94], C 94), ist die Ungleichungskette
°~Ä(DŸÄÄÄw®@°EF± Ä " Ë ò * , ò °~Ä(DŸÄÄÄ'®@°EF± Ä " Ë ¼
˟ÄGF ÄÄÄ'®@°EH_Ëʱ °EՃË
° ˤÄF ÄÄÄw®@°EHxËʱ °E
Dann gilt
Wie schon im Beweis von Korollar 4.2.2 unterscheiden wir zwischen zwei Fällen. Anschließend
folgt die Behauptung unmittelbar.
¦
1. Fall: ist gerade.
Dann gilt
6 ® ½ž ՃËʱ
žž Ä Až ÄÄÄ ½ž Ë ° D
¦ Ä"Ë ¸ * ¦ ¼
"
Á
Ä
Á
Ä
Ä
Ä
Ä
6 ® ½4) ž » ƒ
4
½
)
»
B
»
, Ë F <¦ xË ,
°
Õ Ëʱ ž Ä ž ÄÄÄ ž
¦
2. Fall: ist ungerade.
Dann gilt
6 ® ½ž ƒ
» Ä Bž ÄÄÄ ½ž "
* ° " "
"
Õ
Ê
Ë
±
° Ä" ¦ž Ä" B
ž
Á
, Á °Ë Ä DF Ä ÄÄ ¦II¦ ë
,
¸
Ä
¦
Ä
,
ì
Á
°w¦Q¼
6 ® ½() ž » ՃËʱ žž Ä Až ÄÄÄ ½4) ž » Ä ì
xË
,
ü
7.1 Ein interaktives Beweissystem für das Komplement von SVP
!
ò " ž ú Ë . Damit können wir das obige Lemmas anwenden.
ø
Falls ¦¸ ¹ ist, ist " ½ # ½ ø
½# ½
Es liefert
!
Û8¨ Ε®@Ï·Ëʱ ή " ½# ½ ·Ëʱ D›¨«ªŸ¦ /13= 2 * ¦
°
¸ ¥ ¦§©¨«ª¬¦ Ä Ë& ¦ Ä °,
Û8¨ ή@τ·Ëʱ
* D8¦¨«ª¬¦ D›¨«ª¬¦ /13= 2
Á
°,Ц Ë& ¦ ½# ž
* ° ¨«ªŸ¦
›
D
«
¨
¬
ª
¦
¸
, Ë °w¦§w° ¼
ò K die Ungleichung
Nach Proposition B.3 aus [MR95] gilt für alle JI·LKB³´ mit Ká¸bË und M JNM
O(P ¸ ËÕ J RQ ¸ O(P Ë& J ž ¼
K
K
ò ½ž , da ¦‡¸_¹ ) auf die letzte Ungleichung angewendet
½
Dies mit KmÁ ž und J4ÁSm¨«ªŸ¦ (es ist M“¨«ªŸ¦M
ergibt
* ° ¨«ªó¦ ›D ¨«ªŸ¦ ½# ž
* ° ¨«ª¬¦
R
Ë
¸
,
w° ¦§w° ,
* ° ¨«¬ª ¦
Á
,
O ) ½ &Ë ®@° ¨«ª¬¦± ž Ë D›¨‘ª ž ¦ ¦
¦ ¦ž ¼
ým³¾´¬þ ÿT , so daß die Ungleichung
!
Û8¨ Ε®@τ·Ëʱ ή " ½# ½ ·Ëʱ ò Ë
ËR °Ë Ä
Û8¨ Ε®@Ï·Ëʱ
M ý©®^¦±(M
! ¹ gilt. Die Bedingung ¦•¸ƒ¹ ist erforderlich, damit
für alle ¦‡¸6
Voraussetzungen von Lemma
ò ½ž dieerfüllt
ü
7.1.2 ø " ½# ½ ø úbË und Proposition B.3 aus [MR95] M UVK„¦M
sind.
Y@ ½@ ò »
»
'
%
Es gibt ein Polynom W|³ì´óþ ÿT , so daß für alle ¦æ³X die Ungleichung Ë&
½
A gilt.
Es sei ¦ì¸d¹ . Victor sendet nicht nur einen Vektor zu Peggy, sondern M WŽ®^¦±(M viele. Anschließend
akzeptiert er genau dann, wenn Peggy bei allen Anfragen richtig antwortet. Dann beträgt die
»
Wahrscheinlichkeit höchstens A , daß Victor eine Instanz akzeptiert, die zu Gap- ®@°· ¥ ¦§©¨«ª¬¦± SVP gehört, wie es für ein interaktives Beweissystem gefordert ist. Wenn ¦ìúP¹ ist, muß Victor
Demnach gibt es ein Polynom
auf die Hilfe von Peggy verzichten. Dies erfordert nicht zu viel Rechenzeit, denn der Algorithmus
5.1.3 benötigt nach Proposition 5.1.4 für das Abzählen sämtlicher Gittervektoren eines Gitters
fester Dimension unterhalb einer festen Längenschranke nur eine in polynomielle Zeit.
¦
Somit ergibt sich das nachfolgende interaktive Beweissystem für das Komplement von Gap-SVP, das mit zwei Kommunikationsrunden auskommt.
®@°·¥ ¦§©¨‘ª¬¦±
57
58
Kapitel 7 Grenzen der
º»·¼¼¼„·Xºe½¾³.¿ ½
_¡
-Härte der Approximierbarkeit von kurzen Gittervektoren
Es seien
linear unabhängige Vektoren, die die gemeinsame Eingabe für
das zu betrachtende Gitter.
Peggy und Victor darstellen. Es sei
¦úb¹
À
Á.¬º‰»©ÃƒÄÄÄ'ÃŬº½
Victor: Falls
ist, berechnet er mit Hilfe von Algorithmus 5.1.3 sämtliche Gittervektoren, deren Länge nicht überschreitet. Ist dies nur der Nullvektor, dann akzeptiert
er, ansonsten verwirft er.
°
¦ ¸ ¹
Æ × ³ ÇÊÉ·Ë'Ì ½
Í × ³ Ε®@τ· ½ ¥ ¦§©¨«ª¬¦±
Ò × Á Y@®^ Í × Õ Ö ZIØ » Ù ×[Z º Z ±
ÚÜÛÝB®@°‰ºŽ»·¼¼¼Þ·X°‰ºß½Ê± Á Ëw·¼¼¼Þ·M W®^¦±(M
®^Ò »·¼¼¼·Ò ½ ± zu Peggy.
½
Peggy: Bestimmt ein à × ³ ÇÊÉ·Ë'Ì , so daß für alle Vektoren â ³ °wÀ der Abstand
¦Q®–Ö ZŒ½ Ø » ä ×[Z º Z ·Ò × ÕÅℱ minimal ist, ÁõËw·¼¼¼·M WŽ®^¦±(M , und sendet ® à » ·¼¼¼·à Y@ ½@ ±
ist, wählt er zufällig
und
Falls
und berechnet mit Algorithmus 4.3.6 die Vektoren
,
, und sendet
zu Victor.
Victor: Akzeptiert genau dann, wenn für alle
erfüllt ist.
³xÇßËw·¼¼¼Þ·M WŽ®^¦±(M Ì
die Gleichung
Æ ×Á à×
ü
Das im Beweis vorgestellte interaktive Beweissystem besitzt die sogenannte zero-knowledgeEigenschaft. Falls eine Instanz
nicht zu Gap-SVP gehört, lernt Victor
Gap-SVP gilt, und
durch die Kommunikation mit Peggy nur, daß
nicht mehr.
®@ºF»·¼¼¼„·Xºß½'±
@® °· ¥ ¦§©¨«ª¬¦±
®@ºŽ»·¼¼¼Þ·Xºß½Ê±³ è
®@°·¥ ¦§©¨«ª¬¦±
Das Hauptergebnis des Kapitels ist in unmittelbarer Reichweite.
¥ ¦§©¨‘ª¬¦
¦
-Approximation für SVP bei -dimensioKorollar 7.1.3. Wenn die Berechnung einer
-hart ist, dann fällt die polynomielle Hierarchie zu
zusammen.
nalen Gittern
x¡
ž
²|³ë´µ2¶
ž\
x¡
®^²'·¥ ¦§©¨«ª¬¦±
®@°·¥ ¦§©¨‘ª¬¦±
®@°·¥ ¦§©¨‘ª¬¦±
_¡
Das Komplement von Gap- ®@°· ¥ ¦§©¨«ªŸ¦Ž± -SVP liegt in der Klasse ­¡¯®@°8± , also gilt nach Theorem
2.1.10 Gap- ®@°·¥ ¦§©¨«ªŸ¦Ž± -SVP ³ co-¢|£ ¼ Letztendlich folgt mit Theorem 2.1.11 die Behauptung.
ü
Beweis. Angenommen es gibt eine Konstante
, so daß das Entscheidungsproblem Gap-SVP
-vollständig ist. Durch Multiplikation mit dem Faktor können Problem-SVP auf Probleminstanzen von Gap-SVP polyinstanzen von Gapnomiell reduziert werden. Mithin ist auch Gap-SVP
-vollständig.
®^²· ¥ ¦§©¨«ªó¦±
Kapitel 8
Worst-Case/Average-CaseÄquivalenz
In der modernen Kryptographie ist es wichtig, daß das für ein kryptographisches Verfahren herangezogene Problem im Average-Case schwierig ist, um Sicherheit garantieren zu
können. Dabei ist es wünschenswert, eine Klasse von Probleminstanzen zu kennen, deren
Lösung genauso schwierig zu berechnen ist, wie die Lösung einer beliebigen Probleminstanz. Eine solche Klasse von Probleminstanzen gibt das Theorem der Worst-Case/AverageCase-Äquivalenz an, das A JTAI in seinem bahnbrechenden Artikel [Ajt96] vorstellte.
Das Theorem der Worst-Case/Average-Case-Äquivalenz besagt, daß Problem A im AverageCase nicht einfacher zu lösen ist als Problem B im Worst-Case. In diesem Sinne sind der
Average-Case von Problem A und der Worst-Case von Problem B äquivalent schwierig. Proeinen Vektor
blem A ist, bei gegebener Matrix
mit
zu finden. Problem B ist das Entscheidungsproblem Gap-SVP.
e] m{z|y}^~`5b d4f(bhgi
`€sGtLN‚Gƒ„N… `5ƒ †‡rgjd(ˆg
]_^a`cbed(f(bhgjiNkl
mn^porq&sGtjuvtsGw7lrxo4y.w
In diesem Kapitel stellen wir das Theorem der Worst-Case/Average-Case-Äquivalenz vor
und geben einen vollständigen Beweis an. Der Beweis ist technisch sehr anspruchsvoll. Er
ist eine freie Ausführung der Beweisskizze von A JTAI.
Auf dem Theorem aufbauend geben wir eine One-Way-Funktion
‰‹Š.Œ ``cbd(f(bhg iNkl t>o4ut@sNw l xro(y0w(gŽ
`5]tjmhg
Ž
``cbd4f(bhg iNkl t@`cbd4f(b+g i g
`5]tj]‘mhg
an. Sie ist im Average-Case schwierig zu invertieren, wenn es im Worst-Case schwierig ist,
das Minimum eines Gitters bis auf einen Faktor von
zu approximieren.
’“`5ƒr”(g
60
Kapitel 8 Worst-Case/Average-Case-Äquivalenz
8.1
Abzählen von Gittervektoren in einem Parallelotop
À Á ¬º‰»ÃdÄÄÄeÃ.¬º½–•k´ ½
—
Ç Ö ×«½ Ø » Ù × º × Ù × ³ þ É·ËʱXÌ
—
˜
— )
˜ ) ™
Á — ®@ÏhšXº » ·¼¼¼·Xºe½Ê±~Á
—
›
Es seien ein Gitter
und ein Parallelotop gegeben. Wir möchten
die Anzahl der Gitterpunkte in zählen. Der Fundamentalbereich
des Gitters enthält genau einen Gitterpunkt. Der Quotient des Volumens von und des Volumens von gibt dann ungefähr die Anzahl der Gitterpunkte in an.
Diese vage Vorstellung wird in Proposition 8.1.2 durch konkrete Zahlen manifestiert. Doch vorher
benötigen wir ein Lemma. Wesentliches technisches Hilfsmittel ist der Skalierungsoperator , den
wir in Definition 4.3.4 kennengelernt haben.
À Át¬ºw»¤ÃkÄÄÄÃi¬ºÊ½œ•u´ ½ ein Gitter,  ÁûڋžrŸ ×«Ø »L ¡¡¡¢ ½ ø º × ø eine½
˜£
Á¤—¯®@ÏhšXº » ·¼¼¼·Xºß½± ½ein Fundamentalbereich. Ferner seien Ò » ·¼¼¼Þ·Ò4½¾³.´
º¯³¾´ . Für das Parallelotop —¥
Á¦—¯®@º§šÒ »·¼¼¼Þ·Ò›½Ê± gelten die
è ¨ ist, dann gilt â¯Õª˜p•d®ËÕ ¬®ž>­¯@« °V±³½ ² ±h› — .
i) Wenn âã³ìÀ und ®^â¯Õ˜÷± —uÁ©
ž>« ½
ii) Falls die Bedingungen °d¦‡úµ´óé‘Ý.¶>·&— , âã³ìÀ und ®^â ÕT˜ ± ®Ë¸ ¬³­¯7°c±³² ±¹›h—uÁ©
è ¨ erfüllt
sind, gilt â¯Õ˜a•º— .
Lemma 8.1.1. Es seien
Konstante und
linear unabhängige Vektoren und
folgenden Aussagen:
Beweis.
i) Als erstes wird gezeigt, daß für alle
ÒųT— gilt:
ò
½
ø
ø
ή^Ò¤·>P¦±›ÁPÇÊÍÓ³¾´ Ò»ÓÍ d
 ¦F̼• Ë Õ ó´ °é«Ý§P¶>·¦ — › —Ÿ¼
Jedes Íų ή^Ò¤·>d¦± läßt sich schreiben als ÍÓÁdÒmÕ
Ò mit ҄³ Îæ®@Ï·>P¦± . Es gilt nach
der Definition der minimalen Breite von — (der maximale Durchmesser einer Kugel, die
komplett in — enthalten ist) und nach Proposition 4.3.5:
î½ ×
°
P

¦
Ë
ή@Ï·>d¦±• ´óé«Ý§¶>·— ›— í¸ ° ×«Ø Ò šÒ »·¼¼¼·Ò4½ð;·
»
also
Í ³ ‡— ®@º§šÒ » ·¼¼¼Þ·Ò4½Ê±„Õ Ε®@τ·>P¦±
î½ ×
°
P

¦
Ë
• —‡@® º§šÒ » ·¼¼¼Þ·Ò4½Ê±„Õ ´óé«Ý§¶>·— › — í ° ×«Ø Ò šÒ » ·¼¼¼„·Ò›½ ð
»
Á º~Õ¯— ®@ÏhšÒ¤»·¼¼¼·Ò4½±
Ë î ½ Ò × Õ Ë î ½ Ò × Õ °P¦ 헯®@Ï+šÒ »·¼¼¼·Ò4½±¸ Ë î ½ Ò × ð
° ×«Ø »
° ×ïØ »
´óé«Ý§¶>·&—
° ×«Ø »
î½ × î½ ×
Ë
°
P

¦
Ë
Á º~Õ ° ×«Ø Ò Õ ËÕ ´óé‘Ý.¶>· — í½—¯®@ÏhšÒ »·¼¼¼Þ·Ò4½±¸ ° ×«Ø Ò ð
»
»
Á ËÕ ´ó°é‘Ý.P¶>· ¦ — › —‡®@º§šÒ »·¼¼¼·Ò½Ê±Œ¼
Als nächstes wird die Behauptung gezeigt. Nach Voraussetzung gibt es ein ÒųȮ^âÕ¾˜÷± —
½
Dieses Ò läßt sich schreiben als ҃Á âÕ Ö ×«Ø » Ù × º × mit Ù × ³iþ É·Ë7 . Es sei Ò¿³Åâ¾ÕÀ˜
.
,
8.1 Abzählen von Gittervektoren in einem Parallelotop
Ò2Áƒâ›Õ Ö ×«½ Ø » Ù × º × , Ù × ³ëþ É·Ë7 . Wir zeigen, daß ÒQ³ ή^Ò¤·>P¦±•P®ËßÕ ¬³>ž­ ¯7« °c±®½ ² ±(›¹—
wobei
gilt. Es ist nämlich
½
½
ø Ò ÓÒ ø Á ñ î ® Ù × Ù × ±º × ñ ò î M Ù × Ù × M ø º × ø ò d¦2¼
ññ ×«Ø »
ññ ×«Ø »
ññ
ññ
ž>« ½
ž>« ½
ii) Wenn man —Á½
ÁÔ®Ëe ¬®­¯@°V±³² ±®›— setzt, dann folgt aus i) â|Õ˜¥•P®Ë©Õ ¬³­¯7°c±³²½Ã ±³›‘—Á . Da
½
>
ž
«
sich mit Proposition 4.3.5 ´óé«Ý§¶>·&— Ák®Ë& ¬³­¯7°c±®² ±ÞÄN´óé«Ý.¶>· — ergibt, erhalten wir
°
P

¦
°
P

¦
ËÕ ´ é«Ý.¶>·&— › — Á í©ËÕ Ä Ë ¬³ž>­¯7« °c±½ ² Å Ä(´óé«Ý.¶>·&— ð Ë ´ó°é«Ý.P¶>·&¦ — ›—
Á Ë ´ó°é‘Ý.P¶>·&¦ — Õ ´ó°é‘Ý.P¶>· ¦ — › —
Á —Ÿ¼
ü
Falls die minimale Breite des Parallelotops nicht zu klein ist und seine Kantenlänge im Vergleich
zur Basislänge des Gitters (siehe Definition 4.1.9) groß ist, befindet sich in allen Translaten des
Parallelotops in etwa die gleiche Anzahl von Gitterpunkten. Die Anzahl ist ungefähr proportional
zum Volumen des Parallelotops. Außerdem liegen die Gitterpunkte im Parallelotop gleichmäßig
verteilt: Es gibt keine affine Hyperebene, die dort hervorstechend viele Gitterpunkte enthält.
À Á ½ ¬º » ÃiÄÄĉÃx¬º½¾•b´ ½ ein Gitter und  ½ ÁkڋžrŸ ×ïØ »L ¡¡¡¢ ½ ø º × ø
.
Ò »·¼¼¼Þ·Ò4½÷³´ linear unabhängige Vektoren und ºæ³ã´ . Für das Parallelotop
—p
Á©—¯®@º§šÒ¤»·¼¼¼·Ò4½±
°P¦¯úº´óé«Ý.¶>·&— . Desweiteren sei Æ eine affine Hyperebene. Dann
ž>« ½ ½–Ç>È ² ò M À —ÌM ò ®ËÕ ¬³ž>­¯7« °V±³½ ² ± ½ÌÉ Ç>¯7È Ê€ °G² Ë ,
i) ®Ë& ¬®­¯@°V±³² ± É ¯4Ê¢°NË
ž>« ½ ½ Ç>È ² ò M À — ) M ò ®ËÕ ¬³ž>­¯7« °c±®½ ² ± ½ É Ç>¯4È Ê¢ °G² Ë , mit — ) Á͗ ) ®@º§šÒ » ·¼¼¼·Ò4½± ,
ii) ®Ë& ¬®­¯@°V±³² ± É ¯4Ê¢°NË
ò °d¦s®ËeÕ ¬³ž>­¯7« °c±³½ ² ± ½4) » É Ç>È ¯4ÏʢΠ°G² Ë , dabei bezeichnet Û8¨GЮ— das ®^¦+æËʱ -dimensioniii) M Æ — À$M
ale Volumen der Oberfläche von — .
Proposition 8.1.2. Es seien
eine Konstante,
gelte
gelten die Ungleichungen:
Beweis. In diesem Beweis verwenden wir die folgenden Bezeichnungen:
°
P

¦
˜¥
Á͗‡®@ÏhšXºŽ»·¼¼¼„·Xºß½'±Œ· — Á RË ´óé«Ý.¶>· — › —Ÿ· — Á ËÕ ´ó°é«Ý§P¶>·&¦ — ›—Ÿ¼
Ñ
Ñ
i) Definiere
Ñ ÇÊâ‡Õ˜p
Q®^â¯Õª˜÷± — Ñ Á©
ÁPÇÊâ¯Õ˜p
s®^â¯Õ˜÷± —vÁ©
è ¨·âá³ìÀ¬Ì8· ÁP
è ¨·âá³mÀŸÌ8¼
âӳҗ , also ist M M ò M À —ÓM .
Nach Lemma 8.1.1 ii) gilt für âB³À mit â‡Õµ˜g³
Ö½auch
!
¿
×
G
Ø
Ñ
Ù
à ®^â÷Õژ÷± , was zur Ungleichung
Da ˜ ein Fundamentalbereich von À ist, gilt —Á•ÕÔ
Û8¨G— ò Ö !ֽ׿ØÙ Ã Û8¨ ®^â‡Õ˜÷±›Á Ö !ֽ׿ØÙ Ã Û8¨ ®Û˜÷±Á¥M M " Ý.Ü(¶FÀ führt. Dies zusammen
ergibt die erste Ungleichung der Aussage.
Ñ
Ñ
Mit einem analogen Argument bekommt man die zweite Ungleichung der Aussage: Für
â ³kÀ — Ñ gilt insbesondere
âáÕݘ ³ , d.h. M À —ÌM ò M M . Nach Lemma 8.1.1 i)
!
½
Ö
¿
×
Ø
Ù
ist âmÕ¦˜Þ•ß—Á , d.h. Ô
®^âmÕݘ÷±–•à—Á . Damit ist auch die zweite Ungleichung
M À —ÓM ò M M ò Û8¨G—Á «§ " Ý.Ü(¶FÀ bewiesen.
61
62
Kapitel 8 Worst-Case/Average-Case-Äquivalenz
M À — ) M ò M À —ÓM ò ®ËÕ ¬³ž>­¯7« °c±½ ² ± ½ É Ç>¯7È Ê€°(² Ë .
Zur ersten Ungleichung der Aussage: Wir können çaufgrund
eines Stetigkeitarguments ein
á ³ ®^É·Ëʱ so wählen, daß â®ËÓ ¬³­¯7ž>°c±« äãæ½ å ² ± ½ Ç>É È ¯7ãLʀå°G² ËÒ è Á â®Ëé ¬³ž>­¯7« °c±³½ ² ± ½ É Ç>¯4È Ê¢ °G² ˸è und
´óé«Ý§¶>·„® á ›¹—÷±Ÿê_°d¦ gilt (Zwischenwertsatz,á der linke Ausdruck (natürlich ohne die oberen
G AUSS-Klammern) hängt jeweils stetig von ab). Nach i) ist dann
çãLå
çãLå
®Ë& ¬³­¯7ž>°V±« äãæ½ å ² ± ½ Ç>É È ¯4Ê¢°G² Ë òàê ®ËR ¬³­¯7ž>°c±« çãL½ å ² ± ½ Ç>É È ¯4Ê¢°G² ËT ë ò M À ® á ›—÷±(M ¼
) und so M À ® á › — ±(M ò M À — ) M ist, ergibt sich die Behauptung.
Da á ›—a•º—
iii) Die Anzahl der Gitterpunkte in Æ — ist höchstens so groß wie die Kardinalität der Menge
ì Á ÇÊâBÕS˜í
®^âBÕS˜÷± — Æ Á
è ¨·âu³ À¬Ì . Es sei â ³ À ein Gitterpunkt mit
®^âáÕ¦˜÷± — Æ Á£
è ¨ . Dann ist gemäß Lemma 8.1.1 i) âÕݘî•{— . Außerdem ist
âÓÕS˜ inò einem Streifen der Breite d¦ um Æ enthalten (d.h. für ein Ò ³ âBÕS˜ gilt
von zwei Punkten in ˜ immer kleiner als P¦ ist). Das
¦Q®^Ò¬·>Æã± d¦ !, Ö½da׿Øder
ï ®^â¯Abstand
Õª˜÷± ist demnach höchstens
Volumen von Ô
°d¦ Û8¨ ®ÛÆ —Á «± ò °P¦ Û8¨rг—Á ò °P¦Q®Ë ¬³ž>­¯7« °c±³½ ² ± ½4) » Û8¨— .
ì ò ® Û8¨Ô !ֽ׿Ørï ®^â‡Õ𘠱)±)§ " Ý.Ü(¶2À , und Einsetzen liefert die Behauptung.
Also ist M M
ü
ii) Aus der Tatsache
8.2
— ) •À—
folgt unmittelbar
Berechnung eines Pseudowürfels
Der erste Schritt von Algorithmus 8.5.3 besteht darin, ein Parallelotop zu bestimmen, dessen Eckpunkte Gitterpunkte sind und das nahezu ein Würfel, ein sogenannter Pseudowürfel, ist. Dazu
nimmt man sich einen großen Würfel (
, bezeichnet dabei
,
) her und approximiert effizient seine Eckden -ten Standardbasisvektor von
punkte durch Gitterpunkte.
Algorithmus 8.2.1 Berechnung eines Pseudowürfels
ñ½ ~
ñ Á}—¯®@Ïòš¦ B Só »z·¼¼¼Þ·¦ B ôóŽ½Ê± O ×
´ |Á wË ·¼¼¼©·¦
ºF»·¼¼¼·Xºe½~³¾´ ½ linear unabhängig,  ÁƒÚéžrŸ ZIØ »L ¡¡¡¢ ½ ø º Z ø ž .
Ausgabe: â » ·¼¼¼Þ·âн³ë¬º » ÃbÄÄÄßÃx¬ºÊ½ linear unabhängig mit den in Proposition 8.2.2
beschriebenen Eigenschaften.
Îpõ ®@º » ·¼¼) ¼» ·Xºe½Ê± ³ ×[Z GL½ß× ®9Z ´± (Î besitzt º » ·¼¼¼Þ·Xºß½ als Spaltenvektoren).
Ák® ± »Lö ö ½ .
Berechne Î
×â õ Ö ZŒ½ Ø » â9¦ B  ä ä ×[ZN÷ º Z für Á Ëw·¼¼¼Þ·¦ .
Proposition 8.2.2. Die Vektoren â » ·¼¼¼„·â½ , die Algorithmus 8.2.1 bei der Eingabe von linear
½
unabhängigen Vektoren º»·¼¼¼·Xºe½å³´ und von  Á6ڋžrŸ ZIØ »L ¡¡¡V ½ ø º Z ø ž berechnet, definieren
ein ¦ -dimensionales Parallelotop —p
Á©—¯®@Ïhšâ©»·¼¼¼·âнʱ . Falls ¦¯¸Àø ist, gilt:
ò ®^¦ B Õ ž» ¦±Ï für ©ÁÔËw·¼¼¼·¦ ,
i) ø â × ø ž
» B ½ ò Û8¨N— ò FŽ®^¦ B  ± ½ ,
ii) B ®^¦  ±
» B
iii) ´óé«Ý§¶>·&—Ô¸ B ¦  ,
ò øw¦s®^¦ B Ô± ½4) » .
iv) Û8¨Ð®—
½
Wenn das Gitter À©
Ád¬º‰»4ÃÄÄÄ8Ã
¬º½ rational ist, d.h. wenn À͕i¿ gilt, dann ist die Laufzeit
Eingabe:
von Algorithmus 8.2.1 polynomiell in der Eingabelänge beschränkt.
8.2 Berechnung eines Pseudowürfels
ø Ä ø Á ø Ä ø ž , geben wir in diesem Beweis an,
ø Ä øž
ø Ä ø;
)
»
Î|Î
›³BÇßËw·¼¼¼Þ·¦FÌ : ó × Á Ö ZŒ½ Ø »Žä ×[Z º Z und weiter
½
½
ø â × Ó¦ B ôó × ø ž Á ññ î â9¦ B  ä ×ZN÷ º Z î ¦ B  ä ×[Z º Z ññ
ZŒØ »
ññ ZIØ »
ññ ž
ñ
ñ
ò î ñ ½ â9¦ B  ä ×ZN÷ Ó¦ B  ä ×[Z Ä;ZŒØ ڋžrŸ ñ ø º Z ø ž
ZIØ »úù
ùù »L ¡¡¡¢ ½
ù
ò Ë ¦vd¼
(8.1)
°
ò ¦ B  Õ ž» ¦v Á Ä ¦ B Õ ž» ¦ Å  .
B
B
Unmittelbar folgt ø â × ø žóÁ ø â × Ó¦ ôó × Õ
¦ ôó × ø ž
Außerdem läßt sich mit Ungleichung (8.1) erkennen, daß â©»·¼¼¼Þ·âн linear unabhängig sind und
damit — ein ¦ -dimensionales Parallelotop ist: Angenommen â » ·¼¼¼Þ·âн sind linear abhängig
½
und ohne Einschränkung der Allgemeinheit sei â©»ëÁ Ö ×«Ø ž Ù × â × eine Linearkombination der
âО·¼¼¼Þ·âн . Es gilt (man beachte die Ungleichung ø Ä ø ; ò ø Ä ø ž )
î½
Ú×«Ø ‹ž7 žr¡¡Ÿ ¡€ ½ ÇßËw·M Ù × M ̬Äʦ B  Á ññ ×«Ø Ù × ¦ B ôó × Ó¦ B ôóQ»ßññ ;
ññ ž
ñ
ñ î ½ × B × î ½ × ññ×
Á ññ ×«Ø Ù ¦ ôó ×ïØ Ù â ÕÅâ©»Ó¦ B Sós»8ññ ;
ž
ññ ž
ññ
½
ò ññ î Ù × ®^¦ B ôó × Óâ × ±'ñ Õ âÞ»Ó¦ B ôóQ» ñ ž
ññ ×«Ø ž
ññ ž ññ
ññ
ñî ñ ½
ññ
ò
× M ø ¦ B ôó × Óâ × ø žÕ ø â©»Ó¦ B ôós» ø žw¼
M
Ù
×«Ø ž
Beweis. Im Gegensatz zur sonstigen Konvention
welche Norm (
oder
) wir verwenden.
Da
die Einheitsmatrix ist, gilt für alle
Mit (8.1) folgt
î½ × ø B × ×ø ø
B SóQ» ø ž ò ^® ¦IxËʱ©Äë×ïØ Ú‹žrŸ ǹM Ù × M ÌóÄ Ë ¦3 Õ Ë ¦v
M
M
¦
S

ó
Ó
â
ž
Õ
â
ú
»
Ó
¦
Ù
ž7 ¡¡¡¢ ½
°
°
×«Ø ž
ò ×«Ø Ú‹žrŸ ÇßËw·M Ù × M ̬Äʦ ž b·
ž7 ¡¡¡€ ½
was im Widerspruch zu ¦‡¸_° steht.
Mit Hilfe von Ungleichung (8.1) können wir auch beweisen, daß die Eckpunkte von — nahe an
B
B
den entsprechenden Eckpunkten des Würfels ñû
Á®^É0š¦ Só » ·¼¼¼Þ·¦ ôóŽ½Ê± liegen. Es sei
½
½
Ò_ÁkÖ ×«Ø » á × ®^¦ B ôó × ± , üm³xÇÊÉ·Ë'Ì ½ , ein Eckpunkt von ñ und âëÁgÖ ×«Ø » á × â × der entsprechende
Eckpunkt von — . Dann gilt die Ungleichung
½
½
ø â–ëÒ ø žóÁ ñ î á × ®^â × Ó¦ B Só × ±'ñ ò î ø â × Ó¦ B Só × ø ž ò ¦ Ë ¦3 Á Ë ¦ ž d¼
ññ ×ïØ »
ññ ž ×«Ø »
°
°
ññ
ññ
»
»
Ausgehend von ñ definiere die Parallelotope ñ ÁÔ®Ë. ½ ±G›§ñ und ñ ÁÔ®ËÕ ½ ±G›§ñ . Offensicht½
» B ½
» ½ B ½
lich gelten für ñ“ und ñ“ die Gleichungen Û8¨ñÁ2ÁÔ®Ë& ½ ± ®^¦ Ô± , Û8¨rñ“ 2ÁÔ®ËÕ ½ ± ®^¦ Ô±
63
64
Kapitel 8 Worst-Case/Average-Case-Äquivalenz
so
´óé«Ý.¶>·RñÁsÁ ž» ®ËR ½» ±“¦ B 
ñÁh» •©½ —a•Ýñ“» gezeigt,
ò
ò
»
½
¦ã¸pø
B ®Ë$ ½ ± ®Ë¬Õ ½ ± F und
»ž ®Ë& ½» ± ¸ B»
—p•Õñ : Wir zeigen zuerst, daß alle Eckpunkte von ½ — in ñ liegen.ò Es genügt zu zeigen, daß für
»
» ®Ë¤Õ ½» ±“¦ B  gilt, da sich
B
die Eckpunkte â von — die Ungleichung ø âT ž Ö ×«Ø » ¦ ôó × ø ;
ž
ò
½
ñ schreiben läßt als ñ ÁdÇÊÒų¾´ ½ ø Ò» ž» Ö ×«Ø » ¦ B ôó × ø ; ž» ®ËÕ ½» ±“¦ B kÌ .
Es sei â ein Eckpunkt von — und Ò der entsprechende Eckpunkt von ñ . Es gilt die gewünschte
ò ø Ä ø ž ):
Ungleichung ( ø Ä ø ;
î½ B ×
î½ B ×
Ë
Ë
ññ ■° ×«Ø ¦ ôó ññ ; Á ññ â–ÓÒìÕ
Ò» ° ×ïØ ¦ Só ññ ;
»
»
ññ
ññ
ññ
ññ
½
ñ
ñ ò øñ
ñ
î
â–ÓÒ ø žÕÔññ Ò °Ë ×«Ø ¦ B Só × ññ ;
»
ññ
ññ
ò Ë ¦ ž  Õ Ë ¦ Bñ 
ñ
° °
Ë
Ë
Á ° ËÕ ¦ ¦ B d¼
Weil alle Punkte von — eine konvexe Linearkombination der Eckpunkte von — sind und ñÁ konvex
ist, folgt —p•ÕñÁ .
» ±“¦ B ùÁ
ñ B •µ— : ž Die Kantenlänge des Würfels ñ beträgt ¦ B  , die von ñ ist hingegen nur
®
Ë
½
ž
der Kantenlänge ¦  (sogar in einer
¦ _¯¦  . Jeder Eckpunkt Ò von — liegt in einem Würfel
ž
in diesem Würfel liegenden Kugel mit Durchmesser ¦  ), der in einem Eckpunkt außen an den
Würfel ñÁ in dem zu Ò entsprechenden Eckpunkt stößt (siehe Abbildung 8.1). Es liegt somit jeder
Eckpunkt von ñÁ in der konvexen Hülle der Eckpunkte von — . Da sowohl ñ“ als auch — konvex
sind, folgt ñ •º— .
und
. Im folgenden werden die Inklusionen
daß die Aussagen ii) und iii) direkt folgen, da für
stets
,
gilt. Die geometrische Situation ist in Abbildung 8.1 dargestellt.
¦B
¦ž
Abbildung 8.1: Geometrische Lage des in Algorithmus 8.2.1 konstruierten Pseudowürfels.
®^¦HƒËʱ
®^¦Á
Ëʱ
—
Um das
-dimensionale Volumen der Oberfläche von abzuschätzen, schätzen wir zuerst
das
-dimensionale Volumen der
Wände von ab. Jede Wand von besitzt das gleiche
Volumen und genau
Kanten, die alle Kopien der Strecken
,
, sind.
Keine Strecke ist länger als
. Daraus folgt, daß das
-dimensionale Volumen
einer Wand von höchstens
beträgt und damit
—
°Ž®^¦ÌdËʱ B
®^¦ ÕB
®)®^¦
°w¦
ž» ¦» ±Ï ½4) »
Õ ž ¦±Ï ±
—
—
×
þ É·â Ü Á Ëw·¼¼¼·¦
®^¦¾iËʱ
8.3 Zufällige Gitterpunktwahl in einem Parallelotop
Û8¨GЮ— ò °w¦s®)®^¦ B Õ ž» ¦±ÏÔ± ½4) » Á6°w¦s®^¦ B Ô± ½4) » ®ËÕ ž ½» = ± ½4) » ò wø ¦Q®^¦ B Ô± ½4) » .
8.3
65
ü
Zufällige Gitterpunktwahl in einem Parallelotop
Später wird ein Algorithmus benötigt der Gitterpunkte, die im Pseudowürfel liegen, zufällig gemäß
der Gleichverteilung wählen kann. Ein probabilistischer Algorithmus hat nur Zugriff auf eine
zufällige Bitfolge, bzw. auf zufällige ganze Zahlen. Es muß also ein Algorithmus gefunden werden, der die zufällige Bitfolge auf einen zufälligen Gitterpunkt im Pseudowürfel abbildet. Dies
geschieht in Algorithmus 8.3.1, der die Gleichverteilung der nur knapp verfehlt.
Algorithmus 8.3.1 Zufällige Gitterpunktwahl in einem Parallelotop
ºF»·¼¼¼·Xºe½ì³6 ½
â©»·¼¼¼·â„½ì³6ÀgÁõ¬º8» ÃPÄÄÄ캽
Ú×«Ø ‹»L žr¡¡Ÿ ¡¢ ½ Ç ø º × ø · ø â × ø Ì ò ° ½>ý für ein á êxÉ .
)
Es sei —p
Á©— ®@Ïhšâ©»·¼¼¼„·â½Ê± .
‘ þ â½FÁ6⧠²hþ» Ë ò ° )2½ ý ¼
Ausgabe: âã³Ò— À mit ! Ø Ö
à ²hþvË ùù
ùù
á
ù
Wähle ÿ in Abhängigkeit von genügend groß (sieheù Sublemma 8.3.3).
½ iË'Ì unabhängig voneinander, zufällig gemäß der
Wähle Ù »z·¼¼¼Þ· Ù ½³dÇÊÉ·Ëw·¼¼¼Þ·X°
Gleichverteilung.
ônõ Ö ×«½ Ø »ŽÙ × º × .
Wähle ôé ³ìÀ , so daß ô™ÓôÓs³— gilt (siehe Algorithmus 4.3.6).
âTõ ô™Óôé .
Eingabe:
linear unabhängig und
linear unabhängige Gittervektoren mit
º»·¼¼¼„·Xºe½³xø Â × ø ½ ø × ø ò ½ ý
â©»·¼¼¼·âн¾³
â ³gÀ —
À Á ¬º8»¬ÃgÄÄÄ2ÃPº8½ ×«Ø Ú‹»L žr¡¡Ÿ ¡€ ½ Ç º · â Ì °
! Ã Ø Ö ²hþË ù þ ⽎Áƒâ® ²hþ» Ë ù ò ° )2½>ý gilt. Seine Laufzeit ist polynomiell in der Eingabelänge
ùù
ùù
beschränkt.
) ½
½
Beweis. Setze —< Áí— ®^É0šX° ºŽ»·¼¼¼„·X° ºß½± . Offensichtlich ist der Gitterpunkt ô zufällig
½ 2 .
gemäß der Gleichverteilung aus der Menge — À gewählt. Offensichtlich ist M — À$M8Á6°
Definiere
Ñ die Mengen
Ñ
ÁPÇÊâ‡Õð—¥
8â¯Õ—¥•º— ·âã³ìÀŸÌ8· ÁPÇÊâ¯Õ—¥
2®^â¯Õ— ± — Á©
è ¨·âá³ìÀ¬Ì8·
!Ö ² ØÙ ®^âæÕº—÷± “. Unter der Bedingung, daß Ereig
außerdem definiere das Ereignis ô ³ Ô
”
nis eingetreten ist, gilt — aufgrund der Gleichverteilung von ô — daß â in — À gleichverteilt
‘
ist, d.h. für alle â½ ³ — À gilt þ âëÁkâ½M
Á ²hþ» Ë . Damit später der Satz von der totalen
Proposition 8.3.2. Der Algorithmus 8.3.1 ist korrekt: Er berechnet bei der Eingabe von linear
unabhängigen Vektoren
und linear unabhängigen Gittervektoren
mit
einen Gittervektor
, so daß
Wahrscheinlichkeit angewendet werden kann, ist eine obere Schranke für die Wahrscheinlichkeit
þ
Ôù ! Ö ² GØ Ù Ã Ù ®^âæÕð—÷± À ù
Á ùù
ùù
M — À$M
interessant, die das folgende Sublemma liefert.
66
Kapitel 8 Worst-Case/Average-Case-Äquivalenz
Sublemma 8.3.3. Es gilt die Ungleichung
ùù !Ö GØ Ù Ù ®^â‡Õ𗠱 À ùù ò ° ) ž ½ ý 2 ° ½ 2 ¼
ùù ² Ã ùù
ùù
ùù
Beweis. (von Sublemma 8.3.3)
Dieser Beweis kann mit den üblichen Methoden (Anwendung von Lemma 8.1.1, Proposition
8.1.2) und einiger mühseliger Rechnerei geführt werden (siehe [Ajt96], Lemma 8). Es muß
in Abhängigkeit von so groß gewählt werden, daß die Ungleichung richtig ist. Da der einzige
Erkenntnisgewinn die explizite Bestimmung von wäre, und nicht erneut explizit auftritt, verzichten wir hier auf die Details. Aus A JTAIs Beweis läßt sich ablesen, daß polynomiell von
abhängt.
ÿ
á
ÿ
ÿ
á
ÿ
ü
ò ž 1 = / ý 2 ž 2 / 2 Á ° ) ž ½ ý 2 . Die behauptete Ungleichung
ž/
â½ ³— À gilt
þ â Áƒâ§ ‘ þ â Á6âœM ùù ® þ 2Ä þ â ÁƒâœM 9±„Õ6® ‘ùù þ FÄ þ â ÁƒâœM 9±¸ þ â ÁƒâðM ùù ®)® þ ³xËʱ©Ä ‘ þ â ÁƒâœM 9±„Õi® þ 2Ä þ â ÁƒâœM 9±
ùù
ùù þ 2Äß® þ â ÁƒâœM § ‘ þ â ÁƒâœM 9±
ùù
ùù þ –¼
ùù
ò É Ç>¯4È Ê¢ °G² Ë ò Û8¨— ò ×ï½ Ø » ø â × ø ò ° ½ ý 2
ist, ist Ý.Ü(¶FÀ_³TX und es ergibt sich M — À$M
‘ þ
Mit Sublemma 8.3.3 folgt
betrachten wir jetzt summandenweise: für alle
Á
Á
Áò
ÀÀ•x ½
Da
und die Behauptung folgt:
î
î
! Ã Ø ²hþvË M ‘ þ â Á6â³ þ â ÁƒâœM ÏM ò ! Ã Ø ²hþË ° ) ž ½ ý 2 ò ° )2½ ý 2 ò ° )2½ ý ¼
8.4
ü
Unterteilung des Pseudowürfels
W
) ®@Ïhšâ »·¼¼¼·âн±
½
—
W
)
½
Ò ³r®^Âó§rWwŸ± ½
½Â — Ò ³ ®^Âó§rW'Ÿ±
ÇÊÉ·¼¼¼©·>WR
Ë'Ì
Á Ö «×½ Ø » Y â ×
— ) Á©— ) ® š Y» â©»·¼¼¼Þ· Y» âнʱ
Es sei eine natürliche Zahl. Der Pseudowürfel
wird in
gleich große,
, unterteilt. Ein Vektor
paarweise disjunkte Teilpseudowürfel ,
wird im folgenden als Vektor
im
mit Koeffizienten aus der Menge
identifiziert.
ist der Ursprung von . Entsprechend
Der Punkt wird definiert.
—
— ) @® Ïhšâ©½ »·¼¼¼·â½Ê±
®^Âó§rW'Ÿ±
Intuitiv besagt die nachfolgende Proposition: Wenn man Gitterpunkte zufällig gleichverteilt in
wählen kann, dann kann man auch zuerst zufällig gleichverteilt ein aus
und danach zufällig gleichverteilt einen Gitterpunkt in wählen.
— )
Ò
Diese Aussage erfordert einen Beweis, da nicht alle Teilpseudowürfel die gleiche Anzahl von
Gitterpunkten enthalten.
Wx³ X ÀuÁt¬º8»ŸÃkÄÄÄFÃi¬º½œ• ´ ½ ¦
 Á ڋžrŸ «× Ø »L ¡¡¡¢ ½ ø º × ø
â©»·¼¼¼·âн•³;À
Y«
»½
)
—
Þ
Á
—
@
®
+
Ï
š
©
â
»
·
¼
¼
¼
·
Ð
â
½
±
ú
³
¬
­
7
¯
V
°
³
±
²
»
ž
Dd¦3W Û8¨Gг— úÔ® ž» ½ » = ± Û8¨G—Ÿ¼
â
À —
Òųë®^Âó§rWw ± ½
â
Proposition 8.4.1. Es seien
,
ein -dimensionales Gitter,
eine Konstante und
linear unabhängige Gittervektoren.
Für das Parallelotop
gelten die Ungleichungen
und
Falls sich zufällig gemäß der Gleichverteilung aus der Menge
wählen läßt, dann läßt sich
in Abhängigkeit von so wählen, daß gilt:
8.4 Unterteilung des Pseudowürfels
ÍÓ³ë®^Âó§rWw¤± ½ ist þ ÒÓÁ6Íò Á Y » / .
þ âã³T— ) êbË » .
ii)
½=
»
½ iii) Für jede affine Hyperebene Æ£•;´ ist þ ■³TƄú ž .
½
Beweis. Nach Proposition 8.1.2 ii)gilt für jedes ÒųȮ^Âó§rW'Ÿ±
½ Û8¨G— ) ò
½ Û8¨G— )
°
P

¦
°
P

¦
ò
)
Ë& ´óé‘Ý.¶>·&— ) " ݧÜ(¶2À M À — M ËÕ ´óé«Ý§¶>·— ) " Ý.Ü(¶2À ¼
Y« ò »
«
Da ¬®­¯@°V±³² 1 Á ¬³­¯7°c±³²
»ž ½ ist, folgt
½ ò ½ ò O 2
°
P

¦
Ë
/= ·
ËÕ ´óé‘Ý.¶>· — ) ËÕ øw¦ B ò O P mit KmÁ6¦ , J›Á ½» = (siehe [MR95], Proposition B.3)
dabei wurde die Ungleichung ®ËÕ P ±
Õ ± ist konkav):
verwendet. Logarithmieren ergibt (die
Q Q Abbildung ¨«ª„®Ë Ë ž ò ®Ë Ë ž ±¨«ª®Ë4ÕÓÉß±sÕ Ë ž ¨‘ª„®Ë ÕÈ°8± ò ¨‘ª ËՃË8®Ï Ë ž ±ÞÄÊÉóÕ Ë ž ÄÊ° Áƒ¨«ªÐ®Ë›Õ Ë ž ±Œ¼
øw¦
øw¦
øw¦
øw¦
øw¦
Fw¦
ž>« ½ ½ ò ËÕ B ½» = .
Also gilt ®Ë Õ ¬³­¯7°c±®² 1 ±
Y« ò »
«
Da ¬®­¯@°V±³² 1 Á ¬³­¯7°c±³²
»ž ½ ist, folgt
½ O) 2 ½
°
P

¦
Ë
Ë
Ë ´óé«Ý.¶>·&— ) ¸bË& Fw¦ ž ¸ ËR øw¦ B ¸ / = Ë FøwË ¦ ·
=
dabei wurde die Ungleichung ®ËÊÕ P ± ¸ O P ®Ë P ± (siehe [MR95], Proposition B.3) mit KmÁ6¦ und
»
Q sich mit derQ meistunterschätzten Ungleichung der Analysis
J÷O P Á~ ½ = verwendet. Weiter ergibt
Q
¸bËÕJ :
O ) / 2 = Ä ËR B » ½ Å ¸ Ä Ë ½» = Å Ä Ë& B » !½ Å ¸bË B ½» = ¼
ž>« ½ ½
»
Also gilt ®ËR ¬³­¯7°c±®² 1 ± ¸bË& B ½ = .
ê ®ËR B ½» ± Y » / É Ç>¯4È Ê¢ °G² Ë ë Gitterpunkte.
Demnach enthält jeder Teilpseudowürfel wenigstens Ù Á
=
½
)
Für jeden Vektor Ò{³v®^Âó§rWw¤± bestimme irgendeine Teilmenge —Á von — , die aus genau Ù
½
Gitterpunkten Ø besteht. Wähle zufällig gemäß der Gleichverteilung " aus der Menge ®^Âó§rWw¤± .
Falls â_³À$
Ô # % # &Y % / —Á# ist, setze Ò so, daß â_³ª—Á ist. Ansonsten setze Ò6'
Á " . Da die Wahl
½
von " unabhängig von der Wahl von â geschieht und alle — # , ÍB³ë®^Âó§rWwŸ± , dieselbe Kardinalität
i) Für alle
besitzen, folgt die erste Behauptung.
Für den Beweis der zweiten Behauptung stellen wir fest
Ä
Ç>È ² Ã
‘ þ â᳗ ) ¸ ‘ þ âá³T— „¸ Ä Ë B ½» = Å É 4¯ Ê¢²½°G ÃË Á Ë B ½» = ¸dË Ë ¼
¦ž
ËÕ B ½» = Å É Ç>È ¯4Ê¢°G Ë Ë Õ B ½» =
67
68
Kapitel 8 Worst-Case/Average-Case-Äquivalenz
þ ⃳Ú
è —Á ò ½ » = , was für den Beweis der dritten Behauptung
‘ þ â ( ³TÆT Á þ âã³T— FÄ þ â ³ÒÆ Mwâã³Ò— Õ
þ âųTè — FÄ þ â ³ÒÆ MwâųÒè — ò þ âã³T— FÄ þ â ³ÒÆ Mwâã³Ò— Õ ¦ Ë ž ÄßË
ò þ â–(
³TƪM âã³T— Õ ¦ Ë ž
‘
» »
gilt, genügt es, þ âx³) ÕÀÆ M2â_³—< ¤ú ž ½ = einzusehen, um die dritte Behauptung zu
beweisen. Unter der Bedingung âã³T— ist â zufällig gemäß der Gleichverteilung aus — gewählt.
Aus dieser Ungleichung folgt u.a.
hilfreich ist. Da
Dann erhalten wir mit Proposition 8.1.2
‘ þ âã³* Õ Æ M'âã³T— ò
ò
ò
Und nach Voraussetzung ist
8.5
ÏÎ
DP¦vW~Ä >Ç Ç>È È ² ² ú
ò
M ® ð
Õ Æá± —< À“M
M — M
Y ½4) »
°P¦ % ËÕ ¬³ž>­«¯7°c±³½ ² ' Y />» 1¹2
Ä Ë& » Å Y » É Ç>È ²
Ä ËÕ B ½ » = Å / ¯4Ê¢°NË
°P¦vW~Ä Ä Ë& B ½» = Å Ä Û8Û8¨G¨Nг— —
Û8¨Ð³— B ½ =
DP¦vW~Ä Û8¨G— ¼
ž» ½ » = .
É Ç>È ¯7jʀΠ°G² Ë
ü
Das Theorem der Worst-Case/Average-Case-Äquivalenz
¦
KÕ
Á ^â °w¦¨ïÛ ž W è
Im folgenden
sei eine genügend große natürliche Zahl. Desweiteren seien die natürlichen Zahlen
,+
und
in Abhängigkeit von gewählt. Diese spezielle Wahl werden wir
im Anschluß von Lemma 8.5.2 diskutieren.
W
Ár¦
¦
Theorem 8.5.1. (Das Theorem der Worst-Case/Average-Case-Äquivalenz)
Angenommen es gibt eine probabilistische polynomiell zeitbeschränkte T URING-Maschine
und ein Polynom
, so daß die Wahrscheinlichkeit
ým³¾´óþ ÿ
þ  berechnet aus -b³ë®^Âó§rWwŸ± ½/.

Ò Á6Ï0„ê M ý©®^Ë ¦±(M
ë
Q
½/. und über die
ist. Dabei wird die Wahrscheinlichkeit über die zufällige Wahl von - ³
®^Âó§rWw¤±
³ 2¯¡ , Q d.h. dann gibt
Münzwürfe von  genommen. Dann ist Gap- ®Ëw·!0w°w¦1e¥ ®^¦~ÕªF8±)§DŽ± -SVP 3
es einen effizienten Algorithmus, der Gitterminima bis auf einen Faktor von 4®^
¦ 5ʱ approximiert.
ein
ÒųáÇËw·É·Ë'Ì ö Ç Ï„Ì
Q
mit -
Der Beweis dieses Theorems geschieht in drei Schritten. Im ersten Schritt wird eine T URINGMaschine
angegeben, die ein System von linear unabhängigen Gittervektoren in ein anderes
transformiert, so daß die Länge des längsten Gittervektors des Ursprungsystems mindestens halbiert wird. Im zweiten Schritt wird eine T URING-Maschine
angegeben, die ein System von
linear unabhängigen Gittervektoren in eines transformiert, dessen Vektoren nicht viel länger als
die Basislänge des Eingabegitters ist. Im dritten Schritt wird mit Hilfe der Approximation der
Basislänge (siehe Definition 4.1.9, Notation: 6 ) von
eine Approximation des Minimums des
Eingabegitters berechnet.
 »
ëž
2¨
Èž
8.5 Das Theorem der Worst-Case/Average-Case-Äquivalenz
69
ým³¾´¬þ ÿT
Lemma 8.5.2. Angenommen es gibt ein Polynom
und eine probabilistische polynomiell zeitbeschränkte T URING-Maschine , so daß die Wahrscheinlichkeit

Ò Á6Ï0„ê M ý©®^Ë ¦±(M
ë
Q
½/. und über die
ist. Dabei wird die Wahrscheinlichkeit über die zufällige Wahl von - ³
®^Âó§rWw¤±
Q
Münzwürfe von  genommen. Dann gibt es eine probabilistische polynomiell zeitbeschränkte
½
T URING-Maschine x» , die bei der Eingabe von linear unabhängigen Vektoren º»·¼¼¼·Xºe½Ü³È¿
ò
ò
und linear unabhängigen Gittervektoren â©»·¼¼¼·âн|³BÀ©
ÁP¬º8» ÃiÄÄÄwÃx¬ºÊ½ mit ø â » ø
¼¼¼
ø âн ø Á 87 und Føw¦:9;62¨@®^À ± ò 7 einen Gittervektor âÔ³bÀ berechnet, so daß die Wahrscheinò=<ž gilt und daß â©»·¼¼¼·âн4) » ·â linear unabhängig sind, mindestens ž»
lichkeit dafür, daß ø â ø
þ 
b³ë®^Âó§rWwŸ± ½/.
berechnet aus -
ein
ÒųáÇËw·É·Ë'Ì ö Ç Ï„Ì
Q
mit -
beträgt.
Beweis. Im ersten Schritt beschreiben wir einen Algorithmus, der für die Berechnung der T U herangezogen werden kann. Der einzige Haken an diesem Algorithmus ist,
RING -Maschine
daß seine Erfolgswahrscheinlichkeit zu niedrig ist. Durch polynomiell viele Wiederholungen einiger seiner Schritte wird dies später behoben.
Die im Algorithmus 8.5.3 vorkommenden Bezeichnungen sind an die Bezeichnungen von Abeinen Pseuschnitt 8.4 angelehnt. Algorithmus 8.2.1 berechnet aus den Vektoren
BA
dowürfel
. Für >
ist @? der Ursprung des
Teilpseudowürfels ? .
@? Wir gehen im folgenden davon aus, daß Algorithmus 8.3.1 Gittervektoren C ,
, unabhängig voneinander und zufällig gemäß der Gleichverteilung aus dem Pseudowürfel wählt.
Nach Proposition 8.3.2 trifft unsere Annahme mit einer Wahrscheinlichkeit von mindestens
für ein fest gewähltes
mit
zu.
Algorithmus 8.5.3
 »
â©»·¼¼¼„·â„½
ÁiÖ ×ï½ .Ø Z ×[Z ô Z
× óÁõËw·¼¼¼·LK
— )2½ ý
°
ò
ý
½
×
×
ø
ø
ø
ø
‹Ú žrŸsÇ º · â ÁÔËw·¼¼¼·¦ŽÌ °
—p
Á͗ ) @® Ï+) šôì»·¼¼) ¼„·ô•½Ê± » × ³Ó®^»Âó§rWwŸ± ½
— Á͗ ® š Y ôm»z·¼¼¼Þ· Y ô‡½'±
á ³¾´¤µ2¶
unabhängig, â©»·¼¼¼Þ·âн ³ìÀµ
Á6¬º‰»ÞÃ.ÄÄÄÃŬºÊ½ linear
ºF»·¼¼¼·Xø ºe½~³ìø ò¿ ½ linear
â » ¼¼¼ ò ø Ðâ ½ ø Á :7 und Føw¦ 9 62¨–®^À¤± ò 7 .
ò 7„§w° und
Ausgabe: (probabilistisch, mit möglichem Irrtum:) â ³ À mit ø â ø
â » ·¼¼¼„·â„½4) » ·â linear unabhängig.
i) Anwendung von Algorithmus 8.2.1 bei Eingabe von den Vektoren ®^â©»·¼¼¼·â„½Ê±
liefert linear unabhängige ô » ·¼¼¼·ôæ½ ³ Ÿ⠻ Ã{ÄÄÄ ÃvŸ⎽ . Es sei —
Á
— ) ®@Ïhšôì»·¼¼¼Þ·ô‡½± der zugehörige Pseudowürfel.
ii) Ein K -maliges Wiederholen von Algorithmus 8.3.1 bei der Eingabe von den Vekto³
ren ®@ºF»·¼¼¼·Xºe½Ê± und ®^ôì»·¼¼¼Þ·ôæ½Ê± liefert zufällige Gittervektoren CŸ»·¼¼¼„· C
— À.
Q
½
)
iii) Bestimme > × ³P®^Âó§rWwŸ± , so daß C × ³À— ? , Á Ëw·¼¼¼©·LK , durch Lösen des entEingabe:
unabhängig mit
sprechenden linearen Gleichungssystems.
©õ ®D> » ·¼¼¼„·> ± ³ë®^Âó§rWwŸ± ½/. .
Q
Q
ö ÇÏÌ .
v) Anwendung von  mit Eingabe - liefert ÒųáÇ÷Ëw·É·Ë'Ì
Q
vi) âTõ Ö ×ïØ » × C × Ö ×«Ø » × @E .
Q
Q
iv)
-
D 2¨–®^À¤±“¦vW Û8¨GЮ—kúP® ž» ½ » = ± Û8¨G—
Y F ,
¬®­¯@°V±³Ë ² ò »ž » ½ — können
Nun soll Proposition 8.4.1 angewendet werden. Dafür müssen die Ungleichungen
und G6
erfüllt sein. Minimale Breite und Volumen von
70
Kapitel 8 Worst-Case/Average-Case-Äquivalenz
¯¦ ³TX
F øw¦ 9 62¨–®^À¤± ò
mit Hilfe von Proposition 8.2.2 abgeschätzt werden. Wir erhalten für alle
W 62¨@®^À ± ò ¦ » 6Q¨–®^À ± Á wF ¦ B 62¨@®^À ± ò Ë
H
´óé«Ý§¶>·&—
7
Ë °w¦ A@IKJ
B¦B7
und
Ë Ë Ë
ò
ò
4
½
)
B
»
DG6Q¨®^À ±“¦3W Û8¨Gг— GD 62¨®^À¤±“¦vWŽ®¢øw¦Q®^¦ 7›± ± ° ¦ ž F
da für genügend großes ¦ gilt
Ë Ë
ò
4
½
)
B
»
D 62¨–®^À ±“¦3W®¢øw¦s®^¦ 7›± ± ° ¦ ž G
Ë Ë
ò
ž
0w°H62¨–®^À ±“¦ W
° ¦ ž ¦ B 7
IKJ
ò Ë7
0w°H62¨–®^À ±“¦ IKJ
D
ÁI Føw¦ 9 62¨–®^À¤± ò 7©¼
7
B®^¦ 7›± ½ ò Ë Ë ž Û8¨G—Ÿ·
° ¦
Ë B ½
F ®^¦ 7›± Im folgenden betrachten wir die guten Fälle und schätzen nachher die Irrtumswahrscheinlichkeit
von Algorithmus 8.5.3 ab.
Mit Hilfe von Algorithmus 8.3.1 und Proposition 8.4.1 bekommen wir die Möglichkeit, zufällig
zu wählen. Dabei gilt für jedes
gemäß der Gleichverteilung Vektoren aus der Menge
:
. Die Wahrscheinlichkeit, daß für alle
C
? gleichzeitig C
.
? ist, beträgt somit wenigstens
Wir nehmen jetzt an, daß die > unabhängig voneinander, zufällig gemäß der Gleichverteilung aus
gewählt wurden, d.h. für alle
gleichzeitig C
? gilt. Demnach ist die
/.
Matrix - zufällig gemäß der Gleichverteilung aus
gewählt. Anwendung der T URINGMaschine
mit der Eingabe - liefert
, so daß die Wahrscheinlichkeit für
“ mindestens
ist.
das Ereignis ”
Es sei . Dann ist
@? , denn es gilt
½
^
®
ó
Â
r
§
w
W
Ÿ
Â
±
³iÇßËw·¼¼¼©·LK Ì ) þ × À
³
— ) ¸u˓ ½ » =
÷³iÇßËw·¼¼¼Þ·LK Ì
× ³T—
®
& ½ » = ±
Ë
×
Q
½
× ³— )
®^Âó§rW'Ÿ±
³BÇßËw·¼¼¼Þ·¦FÌ ½
®^Âó§rWw¤±

Ò» d³.ÇËw·É·Ë'Ì ö ÇÏQ Ì
Q
½ ÒÈÁ6Ï
×
Ö ×«Q Ø »
ÒëÁ6Ï
³ìÀ
î × î × î ½ A ×[Z Z î ½ î × A ×[Z Z
×«Ø Q » @? Á ×«Ø Q » ZIØ » W ô Á ZIØ » ×ïØ Q » W ô ·
E N
½
und da - ÒÓÁ6Ïì³ë®^Âó§rWw¤± , ist Ö ×ïØ »ML Y ³ì , O Á Ëw·¼¼¼Þ·¦ . Also ist auch das von Algorithmus
8.5.3 in Schritt vi) berechnete âá³¾Q À .
ò ½Y ڋžrŸ ZIØ »L ¡¡¡Û ½ ø ô Z ø , ›ÁÔËw·¼¼¼Þ·¦ .
)
)
Weil C × ³Ò— ? ist, gilt C × (@? ³ — P , somit ø C × @? ø
ò ®^¦ B Õ ž» ¦± 7 . Dies zusammen mit M × M ò Ë , ÜÁ
Proposition 8.2.2 liefert ڋžrŸ ZŒØ »L ¡¡¡¢ ½ ø ô Z ø
Ëw·¼¼¼·LK , ergibt für genügend großes ¦ stets
B Ë
¦
ò
ò
ò 7 ¼
×
ø â ø Á ñ î Q × D® C × (
ø
ø
@? ± ñ
K
C
(
@? K
¦
Õ
¦
7
ññ ×«Ø »
ññ
W
°
°
ññ
ññ
Es bleibt noch zu zeigen, daß âÞ»·¼¼¼Þ·âн4) » ·â mit genügend hoher Wahrscheinlichkeit linear unabhängig sind. Da ҃Á6
è Ï ist, können wir ohne Einschränkung „» Áƒ
è É annehmen. Dann gilt
î
âá³´›â¤»©ÃƒÄÄÄ'ÃÈ´4⛽4) » IKJ ×«Ø Q × D® C × (
@? ± ³ì´ ⟻©Ã.ÄÄÄ'ÃÈ´›â4½4) »
»
î
» D® C » ? 2 ± ³Ú ×«Ø Q × D® C × (
? ±„ÕÈ´4â » ÃÄÄÄ'ÃÈ´›â›½4) » ¼
IKJ
ž
8.5 Das Theorem der Worst-Case/Average-Case-Äquivalenz
71
Æ ‘ þ » 2 ³TÆTú ž»
»
2 Ö ×«Q Ø ž × ® × » ± Õm´4⤻2ÃëÄÄČÃm´4⛽4) »
ž
Proposition 8.4.1 besagt, daß für jede affine Hyperebene
ist. Dies gilt
C
( ?
auch speziell für die affine Hyperebene
DC
QR?
. Also sind
L
mit einer Wahrscheinlichkeit von wenigstens linear unabhängig.
Wir resümieren, an welchen Stellen der Erfolg von Algorithmus 8.5.3 vom Zufall abhängt, und
berechnen seine Irrtumswahrscheinlichkeit:
â » ·¼¼¼Þ·âн4) » ·â
›
° )2½ ý
›
Abweichung von der Gleichverteilung durch Algorithmus 8.3.1 führt zu einer Irrtumswahrscheinlichkeit von höchstens
.
K Á â^° ï¨ Û ž ¦ è
O P ® ËR P = ± ò ®ËÕ
Q
þ C¬»¬³T— ? ) ·¼¼¼„· C ³Ò— ?,) S „¸ Ë& Ë
2
¦ž
Q
P±
Es gilt
,+
. Für genügend großes
(wieder Anwendung von
)
¦
gilt stets
¦ ž ¸ â^° «¨ Û,+ ž ¦ è .
Damit ist
Q Q ½= O) » Ë
Ë
Ë& ¦ ž ¸ ° Ë O ¼
Q ¸ Ë& ¦ ž ¸
»
Dies führt zu einer Irrtumswahrscheinlichkeit von höchstens Ë& žT .
› Anwendung» der TURING-Maschine  führt zu einer Irrtumswahrscheinlichkeit von höchstens Ë ½ .
› þ â©»z·¼¼¼Þ»·âн4) » ·â linear unabhängig ê ž» , führt zu einer Irrtumswahrscheinlichkeit von
höchstens ž .
D.h. die Irrtumswahrscheinlichkeit von Algorithmus 8.5.3 beträgt bei E -maliger Wiederholung der
Schritte ii) – v) mit anschließendem Erfolgstest (- ÒëÁƒÏ ?) höchstens
9
9
)° 2½ ý Õ Ë& Ë O Õ ËR Ë Õ Ë ¼
°
M ý©®^¦±(M
°
B
Es kann E (polynomiell in ¦ ) so gewählt werden, daß der obige Ausdruck kleiner als A wird.
Wenn wir den gesamten Algorithmus, der die Schritte ii) – v) E -mal ausführt, dreimal mit anò <ž und â©»·¼¼¼„·â„½() » ·â linear unabhängig?) anwenden, erhalten
U
schließendem Erfolgstest ( ø â ø
wir eine Berechnungsvorschrift für die T URING-Maschine x» , die eine Erfolgswahrscheinlichkeit
»
von mindestens ž besitzt.
ü
Im vorhergehenden Beweis ist ersichtlich,
und K;Á â^°w¦¨ï,Û + ž W è gewählt wurden.
•
W
Á
¦
Y,F Ë ò warum
»
Es müssen die Ungleichungen ¬³­¯7°c±³²
»ž ½ und GD 62¨–®^À¤±“¦vW Û8¨rг— ú ® ž» ½ » = ± Û8¨— erfüllt
sein, um Proposition 8.4.1 anwenden zu können. Außerdem muß für die Reduktion des längsten
½ B » ò ž» erfüllt sein. Ein nützlicher Nebeneffekt
Vektors von â©»·¼¼¼Þ·âн die Ungleichung K Y ®^¦ Õ ž ¦±
½/. gegebene Abbildung mit
der Wahl von W und K ist, daß die durch die Matrix - ³ ®^Âó§rW'Ÿ±
ö
Urbildmenge ÇÊÉ·Ë'Ì
ÇÏÌ nicht injektiv ist, da die Zahlö der Urbilder ° Q Ë die Zahl der möglichen
½
Q
ÇÏ„Ì mit - ÒÓÁ6Q Ï .
Bilder W übersteigt. Also gibt es ein Ò
³áÇ÷Ëw·É·Ë'Ì
Q
Die T URING-Maschine x» aus Lemma 8.5.2 ermöglicht die Reduktion eines Gittervektors. Wenn
die T URING-Maschine  » mehrfach angewendet wird, wobei das Ergebnis einer erfolgreichen
Reduktion jeweils die neue Eingabe darstellt, dann entsteht ein System von kurzen, linear unabhängigen Gittervektoren und damit eine Approximation der Basislänge des Gitters.
Zur Bestimmung der Anzahl der benötigten Wiederholungen benutzen wir die Ungleichung von
C HERNOFF.
72
Kapitel 8 Worst-Case/Average-Case-Äquivalenz
‘ þ ÿ × ÁÔË7 Áëý ×
» ý × und É|úÕÿ ò Ë
Theorem 8.5.4. (C HERNOFF-Ungleichung, siehe [MR95], Theorem 4.2)
Es seien
unabhängige Zufallsvariablen aus der Menge
. Es sei
mit
,
. Dann gilt für
,V
die C HERNOFF-Ungleichung
ÿ•»·¼¼¼„·)ÿ
É|úáý × údË 4Á Q wË ·¼¼¼·LK
ÇÊÉ·Ë'Ì
þ ÿÐÁ Ö ×«Q Ø
ÿûÁ Ö ×«Q Ø » ÿ × mÁ
‘ þ ÿ úd®Ë& ÿw&± V½ú O )XW = = ¼
Lemma 8.5.5. Angenommen es gibt ein Polynom ým³¾´¬þ ÿT und eine probabilistische polynomiell zeitbeschränkte T URING-Maschine  , so daß die Wahrscheinlichkeit
þ  berechnet aus -b³ë®^Âó§rWwŸ± /½ . ein ÒųáÇËw·É·Ë'Ì ö ÇÏ„Ì mit - ÒëÁ6Ï0„ê Ë
M ý©®^¦±(M
Q
Q
½ . und über die
/
ist. Dabei wird die Wahrscheinlichkeit über die zufällige Wahl von - ³
®^Âó§rWw¤±
Q
Münzwürfe von  genommen. Dann gibt es eine probabilistische polynomiell zeitbeschränkte
½
T URING-Maschine Èž , die bei Eingabe von linear unabhängigen Vektoren ºŽ»·¼¼¼·Xºe½|³Ó¿ mit
»
einer Wahrscheinlichkeit von wenigstens ž Vektoren â » ·¼¼¼„·â½~³ìÀµ
ÁƒÂ¬º » ÃëÄÄČ캽 berechò 0w°w¦ 9 62¨–®^À ± gilt.
net, so daß ÚéžrŸ ×«Ø »L ¡¡¡€ ½ ø â × ø
Beweis. Zunächst werden die ºŽ»·¼¼¼Þ·Xºß½ mit dem LLL-Algorithmus zu ô¾»·¼¼¼„·ô•½ reduziert.
Danach wird durch mehrfache Anwendung der T URING-Maschine x» aus Lemma 8.5.2 die
Länge des längsten Vektors der jeweiligen Eingabe Schritt für Schritt halbiert. Bei einem erfolgreichen Reduktionsschritt wird die Ausgabe zur Eingabe der nächsten Berechnung (Selbstreduktion). Es sind zur Erreichung des gewünschten Ergebnisses
0 9Y6
weniger als erfolgreiche Reduktionsschritte notwendig, da die vorhergehende Anwendung des
[Z
,
, garantiert. Diese
LLL-Algorithmus schon
6
Ungleichung ist eine Eigenschaft des LLL-Algorithmus, der in [Coh93] ausführlich beschrieben
wird. Die Ungleichung wird hier benötigt, da sie garantiert, daß die Länge von jedem Vektor
höchstens -mal halbiert werden muß, um das gewünschte Ergebnis zu erreichen.
Falls das gewünschte Ergebnis nicht erreicht ist, ist die Wahrscheinlichkeit für einen erfolgreichen
Reduktionsschritt mindestens . Die C HERNOFF-Ungleichung gibt eine obere Schranke dafür an,
wie viele Reduktionsschritte durchgeführt werden müssen, damit die Wahrscheinlichkeit für die
Erreichung des gewünschten Ergebnisses wenigstens ist. Es sei
. Wir wenden
mal die
T URING-Maschine
an. Es bezeichne die Anzahl der erfolgreichen Reduktionsschritte. Wir
gehen idealisierend davon aus, daß in jedem Reduktionsschritt die Bedingungen aus Lemma 8.5.2
ist. Dies führt nur zu einer schlechteren Abschätzung: Wenn
erfüllt sind und daß
die Voraussetzung aus Lemma 8.5.2 nicht erfüllt sind, dann ist das gewünschte Ergebnis bereits
.
erreicht; außerdem gilt
Die C HERNOFF-Ungleichung lautet dann
ڋžrŸ ×«Ø »L ¡¡¡€ ½ ø â × ø ò w°w¦ 2¨–®^À¤±
ø ô × ø ò ° ½4) » c # ž × ^® À¤± ò ° ½() » 5# ž Q¨^®^À¤± 4Á Ëw·¼¼¼·¦
ô ×
¦ž
¦
ž»
x»
þ ÿ Áõ°w¦ ž
þ ÿT¸_°w¦ ž
ÿ
ž»
¦‡¸_°
D8¦ ž
þ ÿ úx¦ ž sÁ þ ÿ úd®Ë&;Ëʧw°8±°w¦ ž ú O ) 2 ½= ò Ë ¼
°
®@º » ·¼¼¼„·Xºe½±
¦
ÀÀ
ÁƒÂ¬º » ÃÄÄÄ'ÃŬº½
ü
Es seien
eine Eingabe und
. Mit Hilfe der T URING-Maschine
kann das -te sukzessive Minimum (siehe Definition 4.2.3) des zu dualen Gitters 8\ approZ
ximiert werden. Nach Theorem 4.2.5, das einen Zusammenhang zwischen
und
Z
Z
8\
8\
herstellt, kann die Approximation von
zur Approximation von
verwendet
werden.
ëž
½ß®^À ±
½8®^À ±
À
À
Ú髪ŸÀ Á » ®^À¤±
Ú髪ŸÀ
Beweis. (von Theorem 8.5.1)
Der nachfolgende Algorithmus kann probabilistisch entscheiden, ob eine Eingabe zur Sprache
Ö
½
Gap- ®Ëw·!0w°w¦ 1 A B ± -SVP gehört.
8.5 Das Theorem der Worst-Case/Average-Case-Äquivalenz
73
Ö
½
Algorithmus 8.5.6 Probabilistischer Entscheidungsalgorithmus für Gap- ®Ëw·!0w°w¦1 A B ± -SVP
½
Eingabe: ºF»·¼¼¼·Xºe½~³ì¿ linear unabhängig, Àµ
ÁƒÂ¬º8»ÞÃ.ÄÄÄwÃŬºÊ½ .
Ausgabe: (probabilistisch, mit möglichem einseitigen
Irrtum:)
Ö
½
B
Ja.“, falls ®@º»·¼¼¼·Xºß½±³ Gap- ®Ëw!· 0w°w¦ 1 A Ö± -SVP.
”
½ A B ± -SVP.
Nein.“, falls ®@º»·¼¼¼Þ·Xº8½± ³ è Gap- ®Ëw!· 0w°w¦ 1 ”
À \ durch Lösung
Berechnung der zu ®@ºŽ»·¼¼¼·Xºß½± dualen Basis ®@º \» ·¼¼¼Þ·Xº ½\ ± des Gitters ]
ò
ò
×
[
×
Z
Z
\
des linearen Gleichungssystems ®@º ·Xº ±›Á©ÿ , Ë
·O ¦ .
Anwendung der probabilistischen T URING-Maschine  ž auf ®@º \» ·¼¼¼·Xº ½\ ± liefert eine
À\.
Basis ®^â \» ·¼¼¼Þ·â ½\ ± von 8
Z
«
×
Ø
ø
ø
×
\
.
õ ڋžrŸ »L ¡¡Ö ¡¢ ½ â
Z
³^
õ 0w°w¦ 1 ½ A BÖ § Z .
½ A B then
Z ò
if 0w°w¦ 1 output Ja.“
”
else
output Nein.“
”
end if
ž»
Die durch die Berechnung der probabilistischen polynomiell zeitbeschränkten T URING-Maschine
Z
gewonnene Zahl ist mit einer Wahrscheinlichkeit von mindestens eine Approximation für
die Basislänge von 8\ . Es gilt
ëž
À
2¨–®^À \ ± ò
ò 0w°w¦ 9 6Q¨–®^À \ ±Œ¼
eine Approximation für das ¦ -te sukzessive Minimum von À
ò Z
6
Z
Z
\ . Einerseits
½ß®^À ¤± ò Ö 2¨–®^À ±
und andererseits ergibt sich mit Proposition 4.2.9 die Ungleichung
ò ½ A B Z ½8®^À8\¤± . Wir erhalten somit
62¨–®^À]\¤±
*
Z
½ß®^À \ ± ò Z ò 0w°w¦ 9 ¦~ÕªD F Z ½ß®^À \ ±Œ¼
ò Z »Ê®^À ± Z ½ß®^]À \¤± ò ¦ . Auf der einen Seite gilt
Theorem 4.2.5 liefert: Ë
*
Z
»Ê®^À¤± ò Z ½8®^¦ À \ ± ò 0w°w¦ 1 ¦ ÕªD F Z Á Z ·
Außerdem ist dann
Z
]\
6
8\
ist
und auf der anderen Seite gilt
Ö
½
B ò 0w°w¦ 1 " ¦ ÕªFD ò
* ¦~ÕªF Z
0w°w¦ 1 A
Z
Á
0w°w¦ 1
Z
Z
ß½ ®^À \ ±
D »Ê®^À ±Œ¼
Falls ®@º»·¼¼¼·Xºß½±¬³ Gap- ®Ëw!· 0w°w¦ 1¥ ®^¦~ÕF8±)§DŽ± -SVP, dann akzeptiert Algorithmus 8.5.6 mit ei»
ner Wahrscheinlichkeit von mindestens ž . Falls ®@º » ·¼¼¼„·Xºe½± ³ è Gap- ®Ëw!· 0w°w¦ 1e¥ ®^¦~ÕªF8±)§DŽ± -SVP,
ü
dann akzeptiert Algorithmus 8.5.6 niemals.
74
Kapitel 8 Worst-Case/Average-Case-Äquivalenz
8.6
Konstruktion einer One-Way-Funktion
G OLDREICH, G OLDWASSER und H ALEVI bemerkten in [GGH96], daß das Theorem der WorstCase/Average-Case-Äquivalenz so umformuliert werden kann, daß es die Konstruktion einer OneWay-Funktion ermöglicht. Eine hinreichende Voraussetzung der Konstruktion ist, daß es keinen
effizienten Approximationsalgorithmus für SVP mit Worst-Case-Güte 5 gibt.
Bislang kann für keine andere Funktion eine derartige Aussage getroffen werden. Alle anderen
potentiellen One-Way-Funktionen basieren auf Hypothesen der Form von Vermutung 3.2.1 über
das Problem des diskreten Logarithmus: Es wird vermutet, daß das Problem des diskreten Logarithmus schon im Average-Case schwierig ist.
¦
¦ W
®Ëw· w°w¦ e¥ ®^¦~ÕªF8±)§DŽ±
³ è ‡¡
½.
/
ö
`
ba ®)D® -÷®^Âó·§rÒWw± ¬± Q ·zÇÊÉ·Ë'Ì Q ÇτÌ'±c
K
Theorem 8.6.1. Es seien die natürlichen Zahlen , und so wie im vorhergehenden Abschnitt.
Falls Gap- !0 1
-SVP _2
ist, dann ist die Abbildung
®)®^Âó§rWwŸ± ½/. ·Ê®^Âó§rWw¬± ½ ±
®D-÷· - Ò± Q
eine (starke) One-Way-Funktion.
`
ýì³¾´óþ ÿÒ
Beweis. Angenommen ist keine starke One-Way-Funktion. Dann gibt es ein Polynom
und eine probabilistische polynomiell zeitbeschränkte T URING-Maschine , die bei Eingabe von
D- ein
berechnet, so daß mit einer Wahrscheinlichkeit von wenigstens
die Gleichung gilt. Dabei wird die Wahrscheinlichkeit über die zufällige Wahl
dvon - , die zufällige Wahl von und die Münzwürfe von
genommen. Wir werden sehen, daß
der nachfolgende Algorithmus die Voraussetzung von Theorem 8.5.1 erfüllt.
® » · Ò±
½ Í ³ ÇÊÉ·Ë'Ì ö ÇÏÐÌ
ÒPQ Á Í

Ò

Algorithmus 8.6.2
P³ë®^Âó§rWwŸ± ½/.
-
Q
Ausgabe: (probabilistisch, mit möglichem Irrtum:) " ³ ÇËw·É·Ë'Ì mit -e"ûÁ Ït³
½
Q
®^Âó§rW'Ÿ± .
ö
Wähle ÒųáÇÊÉ·Ë'Ì
ÇÏÐÌ zufällig gemäß der Gleichverteilung.
Anwendung der TQ URING-Maschine  auf ®D-·- Ò± liefert Í .
"Tõ
Ò»ÓÍ .
»
Es folgt unmittelbar þ -e"ÈÁrÏ0¤¸ ½ . Dabei wird die Wahrscheinlichkeit über die zufällige
Wahl von - und die Münzwürfe von  genommen.
Es verbleibt zu zeigen, daß unter der Bedingung -e"xÁ Ï mit hoher Wahrscheinlichkeit " Á è Ï ,
d.h. ÒrÁk
è Í ist. Dazu betrachten wir den ”schlimmsten“ Fall: alle bis auf einer der Vektoren aus
unter der durch
®^Âó§rW'Ÿ± ½ besitzen
- beschriebenen linearen Abbildung genau ein Urbild aus der
ö
Menge ÇÊÉ·Ë'Ì
ÇÏÌ . Da WåÁƒ¦ und KmÁ¤â^°w¦¨«,Û + ž W è ist, gilt
Q
½
‘ þ ҃Áƒ
è ͍M - Òë
Á - Íò ¸ °Ë Ä ®@° Q _ËÊ° ±¿_;®ÛË W xËʱ
½ Q
Ë
W
Ö
¸ ° ° » Ö
Y Á °Ë ë° ½ Q È f = ) Q » Y
&Y h
Á °Ë ë° ½ È f = M) g ž ½ È f = ) »
¸ °Ë ° ½ Èf Ë = Y ) ž ¼
Eingabe:
.
8.6 Konstruktion einer One-Way-Funktion
Somit gibt es ein Polynom
scheinlichkeit
þ -e"ìÁ6Ï
75
ý » ³ë´ŸþMÿ , so daß die Berechnung von Algorithmus 8.6.2 mit WahrÅÁ6
è Ï0 Á þ -e"ìÁ6Ï02Ä ‘ þ "ÈÁ6
è ÏM -i"ìÁ6Ï.„¸ M ý„»Ë ®^¦±(M
und "
erfolgreich ist. Wenn die Voraussetzung von Theorem 8.6.1 richtig ist, kann dies nach Theorem
8.5.1 nicht sein. Widerspruch!
ü
½4) » 5# ž
Da bislang der LLL-Algorithmus mit °
den besten effizient berechenbaren Approxima-SVP U2
von
tionsfaktor für SVP bietet, ist die Voraussetzung Gap- !0 1
Theorem 8.6.1 nicht abwegig.
®Ëw· w°w¦ ¥ ®^¦ ÕªF8±)§D±
³ è ¯¡
Die Wunschvorstellung ist, daß Gap- ®Ëw·!0w°w¦1e¥ ®^¦~ÕªF8±)§D± -SVP _¡ -vollständig ist. Unter dieser Voraussetzung und unter der Voraussetzung 2‡¡uÁx
è x¡ ist ` eine One-Way-Funktion. Damit
wäre eine theoretische Fundierung der modernen Kryptographie mit Hilfe von üblichen komplexitätstheoretischen Annahmen gelungen.
®@°· ¥ ¦§©¨«ª¬¦±
¡ -vollständig
x
Um dieses Dilemma zu umgehen, kann man versuchen, den Faktor 0w°w¦ 1 ¥ ®^¦ ÕªF8±)§D zu senken.
Ö ã Folge von Artikeln [CN97], [Cai98a] und [Cai98b]
Dies haben auch C AI und N ERURKAR in einer
A
.
erreicht. Der aktuelle Stand ist der Faktor ¦
"
für SVP
In Kapitel 6 haben wir gesehen, daß die Berechnung einer ® °‹ á ± -Approximation
"
x¡ -hart ist, falls eine zahlentheoretische Vermutung zutrifft. Somit ist der Faktor °“ á erstrebenswert. Die Ansätze von A JTAI, C AI und N ERURKAR beruhen alle auf dem Theorem 4.2.5:
Ë ò Z »®^À¤± Z ½e®^]À \¤± ò ¦ . Es ist bekannt, daß die obere Schranke bis auf eine Konstante optimal ist.
Also muß ein anderer Ansatz gefunden werden, um den Faktor unter ¦ zu senken.
-SVP nicht
Wir haben jedoch in Kapitel 7 gesehen, daß schon Gapzusammenfällt.
sein kann, da sonst die polynomielle Hierarchie zu
¤ž
Es verbleibt die theoretische Fundierung der modernen Kryptographie mit Hilfe von üblichen
komplexitätstheoretischen Annahmen als ein offenes Problem.
Literaturverzeichnis
[ABSS93] S ANJEEV A RORA, L ÁSZL Ó BABAI, JACQUES S TERN, E LIZABETH S WEEDYK. The
hardness of approximate optima in lattices, codes, and systems of linear equations.
34th Annual IEEE Symposium on Foundations of Computer Science, 724–733, 1993.
[Ajt96]
M IKL ÓS A JTAI. Generating hard instances of lattice problems (extended abstract).
28th Annual ACM Symposium on the Theory of Computing, 99–108, 1996.
[Ajt98]
M IKL ÓS A JTAI. The shortest vector problem in j]k is lnm -hard for randomized reductions. 30th Annual ACM Symposium on the Theory of Computing, 10–19, 1998.
[Aro94]
S ANJEEV A RORA. Probabilistic checking of proofs and hardness of approximation
problems. PhD thesis, Princeton University, 1994.
[ARS78]
L EONARD M. A DLEMAN, RONALD L. R IVEST, A DI S HAMIR. A method for obtaining digital signature and public-key cryptosystems. Communication of the ACM 21
(1978), 120–126.
[Ban93]
W OJCIECH BANASZCZYK. New bounds in some transference theorems in the geometry of numbers. Mathematische Annalen 296 (1993), 625–635.
[Beh99]
E HRHARD B EHRENDS.
[Cai98a]
J IN -Y I C AI. A new transference theorem and applications to A JTAI’s connection
factor. Electronic Colloquium on Computational Complexity, 1998.
[Cai98b]
J IN -Y I C AI. A relation of primal-dual lattices and the complexity of shortest lattice
vector problem, Preprint, 1998.
[CN97]
J IN -Y I C AI, A JAY P. N ERURKAR. An improved worst-case to average-case connection for lattice problems (extended abstract). 38th Annual IEEE Symposium on Foundations of Computer Science, 468–477, 1997.
[CN98]
J IN -Y I C AI, A JAY P. N ERURKAR. Approximation the SVP to within a factor rts:uwv x,y
is lzm -hard under randomized reductions (extended abstract), Preprint, 1998.
[Coh93]
H ENRI C OHEN. A course in computational algebraic number theory. Graduate Texts
in Mathematics 138. Springer-Verlag, 1993.
[CS88]
J OHN H. C ONWAY, N EIL J.A. S LOANE. Sphere Packing, Lattices and Groups.
Grundlehren der math. Wiss. 290. Springer-Verlag, 1988.
[DH76]
W INFRIED D IFFIE, M ARTIN E. H ELLMAN. New directions in cryptography. IEEE
Transations on Information Theory 22 (1976), 644–654.
mpoqlnm
? DIE ZEIT, 4. März 1999.
½
78
Literaturverzeichnis
[DKS98]
I RIT D INUR, G UY K INDLER, S HMUEL S AFRA. Approximating CVP to within
almost-polynomial factors is lnm -hard. 39th Annual IEEE Symposium on Foundations of Computer Science, 1998.
[FP85]
U LRICH F INCKE, M ICHAEL P OHST. Improved methods for calculating vectors of
short length in a lattice, including a complexity analysis. Mathematics of Computation
44 (1985), 463–471.
[GB97]
S HAFI G OLDWASSER, M IHIR B ELLARE. Lecture notes on cryptography. Erhältlich
unter http://www-cse.ucsd.edu/users/mihir/papers/gb.html, 1997.
[GG98]
O DED G OLDREICH, S HAFI G OLDWASSER. On the limits of non-approximability of
lattice problems. 30th Annual ACM Symposium on Theory of Computing, 1–9, 1998.
[GGH96]
O DED G OLDREICH, S HAFI G OLDWASSER, S HAI H ALEVI. Collision-free hashing
from lattice problems. Electronic Colloquium on Computational Complexity, 1996.
[GJ79]
M ICHAEL R. G AREY, DAVID S. J OHNSON. Computers and intractibility, a guide to
the theory of lzm -completeness. W.H. Freeman and Company, 1979.
[GL87]
P ETER M. G RUBER, C ORNELIS G. L EKKERKERKER. Geometry of numbers. NorthHolland, 1987.
[GL96]
G ENE H. G OLUB, C HARELES F. VAN L OAN. Matrix computations. Johns Hopkins
University Press, 1996.
[GLS88]
M ARTIN G R ÖTSCHEL, L ÁZL Ó L OV ÁSZ, A LEXANDER S CHRIJVER. Geometric algorithms and combinatorial optimization. Springer-Verlag, 1988.
[GMSS99] O DED G OLDREICH, DANIELE M ICCIANCIO, S HMUEL S AFRA, J EAN -P IERRE S EI FERT. Approximating shortest lattice vectors is not harder than approximating closest
lattice vectors. Electronic Colloquium on Computational Complexity, 1999.
[Gol95]
O DED G OLDREICH. Foundations of cryptography, fragments of a book. Erhältlich
unter http://www.wisdom.weizmann.ac.il/oded/, 1995.
[Gol97]
O DED G OLDREICH. On the foundations of modern cryptography. Advances in
Cryptology—CRYPTO ’97, 46–74, 1997.
[GS86]
S HAFI G OLDWASSER, M ICHAEL S IPSER. Private coins versus public coins in interactive proof systems. 18th Annual ACM Symposium on the Theory of Computing,
59-68, 1996.
[Hås97]
J OHANN H ÅSTAD. Clique is hard to approximate within {
on Computational Complexity,1997.
[Hen97]
M ARTIN H ENK. Note on shortest und nearest lattice vectors. Inform. Process. Lett.
61 (1997), 183–188.
[Heu91]
H ARRO H EUSER. Lehrbuch der Analysis, Teil 2, 7. Auflage. Teubner Verlag, 1991.
[Heu94]
H ARRO H EUSER. Lehrbuch der Analysis, Teil 1, 11. Auflage. Teubner Verlag, 1994.
[HU79]
J OHN E. H OPCROFT, J EFFREY D. U LLMAN. Introduction to automata theory, languages and computation. Addison-Wesley, 1979.
v|~}
. Electronic Colloquium
Literaturverzeichnis
79
[Knu69]
D ONALD E. K NUTH. Seminumerical Algorithms. Addison Wesley, 1969.
[Lag95]
J EFFREY C. L AGARIAS. Chapter Point Lattices“. Handbook of Combinatorics.
”
North Holland, 1995.
[Len93]
A ARJEN K. L ENTRA, editor. The development of the number field sieve, Lecture
Notes Mathematics 1554. Springer-Verlag, 1993.
[LLL82]
A ARJEN K. L ENSTRA, H ENDRIK W. L ENSTRA, L AZLO L OV ÁSZ. Factoring polynomials with rational coefficients. Mathematische Annalen 261 (1982), 515–534.
[LLS90]
J EFFREY C. L AGARIAS, H ENDRIK W. L ENSTRA, C LAUS P. S CHNORR. KORKINEZ OLOTAREV bases and successive minima of a lattice and its reciprocal lattice. Combinatorica 10 (1990), 334–348.
[Mic98a]
DANIELE M ICCIANCIO. The shortest vector in a lattice is hard to approximate to
within some constant. 39th Annual IEEE Symposium on Foundations of Computer
Science, 1998.
[Mic98b]
DANIELE M ICCIANCIO. The shortest vector in a lattice is hard to approximate to
within some constant. PhD thesis, MIT, 1998.
[Mic99]
DANIELE M ICCIANCIO. Lattice based cryptography: a global improvement. Theory
of Cryptography Library, 1999.
[MPS98]
E RNST W. M AYR, H ANS J. P R ÖMEL, A NGELIKA S TEGER. Lectures on proof verification and approximation algorithms. Springer-Verlag, 1998.
[MR95]
R AJEEV M OTWANI, P RABHAKAR R AGHAVAN. Randomized algorithms. Cambridge
University Press, 1995.
[MVV97] A LFRED J. M ENEZES, PAUL C. VAN O ORSCHOT, S COTT A. VANSTONE. Handbook
of applied cryptography. CRC Press, 1997.
[Neu92]
J ÜRGEN N EUKIRCH. Algebraische Zahlentheorie. Springer-Verlag, 1992.
[Odl85]
A NDREW M. O DLYZKO. The discrete logarithm problem and its cryptographic significance. Advances in Cryptology: Proceedings of Eurocrypt ’84, 224–314, 1985.
[Sha49]
C LAUDE E. S HANNON. Communication theory of secrecy systems. Bell System
Technical Journal 28 (1949), 656–715.
[Sha84]
A DI S HAMIR. A polynomial time algorithm for breaking the basic M ERKLEH ELLMAN cryptosystem. IEEE Transactions on Information Theory 30 (1984), 699–
704.
[Sha92]
A DI S HAMIR.
[Sho94]
P ETER W. S HOR. Algorithms for quantum computation: discrete logarithms and
factoring. 35th Annual IEEE Symposium on Foundations of Computer Science, 124–
134, 1994.
[vEB81]
P ETER VAN E MDE B OAS. Another lzm -complete partition problem and the complexity of computing short vectors in a lattice. Technical Report, Universität Amsterdam,
1981.
]m
= m -SPACE. Journal of the ACM 39 (1992), 869–977.
80
Literaturverzeichnis
[Weg93]
I NGO W EGENER. Theoretische Informatik. B.G. Teubner, 1993.
[Weg95]
I NGO W EGENER. Skript zur Spezialvorlesung Komplexitätstheorie 2, SS 95. Universität Dortmund, 1995.
[Weg98]
I NGO W EGENER. Skript zur Stammvorlesung Komplexitätstheorie 1, WS 98/99. Universität Dortmund, 1998.
[Zie95]
G ÜNTER M. Z IEGLER. Lectures on Polytopes. Graduate Texts in Mathematics 152.
Springer-Verlag, 1995.
Erklärung
Hiermit erkläre ich, F RANK VALLENTIN, daß ich die Diplomarbeit mit dem Titel: Zur Komple”
xität des Shortest Vector Problem“ und seine Anwendungen in der Kryptographie“ selbständig
”
und nur unter Verwendung der angegebenen Hilfsmittel angefertigt habe.
Dortmund, den 13. August 1999
Einverständniserklärung des Urhebers
Ich, F RANK VALLENTIN, erkläre mich einverstanden, daß meine Diplomarbeit nach € 6 (1) des
URG der Öffentlichkeit durch die Übernahme in die Bereichsbibliothek zugänglich gemacht wird.
Damit können Leser der Bibliothek die Arbeit einsehen und zu persönlichen wissenschaftlichen
Zwecken Kopien aus dieser Arbeit anfertigen. Weiter Urheberrechte werden nicht berührt.
Dortmund, den 13. August 1999