格密码7：LLL算法在密码分析中的应用

LLL 算法在密码分析中的应用

Applications of LLL to cryptanalysis

这一节对应教材的 6.13.

LLL 算法在密码分析中有许多应用，从针对背包公钥密码系统的攻击到最近的对格密码系统(如Ajtai-Dwork、GGH和NTRU)的分析。在某些情况下，也存在针对 RSA 的格约化攻击。最后，我们要强调的是，除了在密码学中的应用外，LLL及其推广在纯数学和应用数学中也有广泛的应用。

本节我们将举例说明 LLL 在本章前面描述的四种密码系统(同余、背包、GGH、NTRU)的密码分析中的应用。我们注意到，LLL 在破解本节中的示例时没有遇到任何困难，这是因为我们使用的维度非常小。在实践中，这些密码系统的安全实例需要 500 到 1000 维的格。除了 NTRU，其它的密码系统如此选择会导致不实用的密钥长度。

Congruential cryptosystems

在专栏的第一篇文章中我们已经介绍过同余加密系统了。Alice 选择一个模数 $q$ 和两个小的秘密整数 $f,g$，她的公钥是整数 $h\equiv f^{-1}g(\mathrm{mod}q)$。Eve 知道公开参数 $q$ 和 $h$，她的目的是恢复出私钥 $f$。一种得到私钥的方式是寻找由下面向量生成的格 $L$ 中的短向量：
$$v_1=(1,h)\text{and}{v}_2=(0,q),$$

我们之前说过，向量 $(f,g)$ 在 $L$ 中，且给定 $f$ 和 $g$ 的大小限制，很有可能这个向量就是 $L$ 中的最短非零向量。

我们来破解Congruential cryptosystems中介绍的例子，其中：
$$q=122430513841\text{and}h=39245579300.$$
我们对生成格 $L$ 的向量应用 Gauss 格约化算法：
$$(1,39245579300)\text{and}(0,122430513841).$$
算法执行 11 轮找到短的基底(第一个向量就是最短向量)：
$$(-231231,-195698)\text{and}(-368222,217835).$$
忽略符号的变化，这给出了 Alice 的私钥 $f=231231$ 和$g=195698$。

Applying LLL to knapsacks

在专栏的第一篇文章中我们描述了如何将由 $M=(m_1,\dots ,m_n)$ 和 $S$ 描述的背包(子集和)问题重新表述为一个格问题，使用 $(\ast )$ 矩阵(见专栏第一篇文章)的行给出的基来构建格 $L_{M,S}$。我们在格中最短向量一文的 Gauss 启发式方法一节的最后一个例子中，进一步解释了为什么目标向量 $t\in L_{M,S}$，长度为 $t=\sqrt{n}$，可能大约是 $L_{M,S}$ 中所有其他非零向量大小的一半。

我们将演示如何使用 LLL 算法来解决背包问题。考虑：
$$M=(89,243,212,150,245)\text{and}S=546$$
我们将 LLL 算法应用于由下面矩阵的行生成的格：
$$A_{M,S}=\left(\begin{array}{cccccc}2& 0& 0& 0& 0& 89\\ 0& 2& 0& 0& 0& 243\\ 0& 0& 2& 0& 0& 212\\ 0& 0& 0& 2& 0& 150\\ 0& 0& 0& 0& 2& 245\\ 1& 1& 1& 1& 1& 546\end{array}\right)$$
LLL 执行 21 次交换并返回约化基：
$$\left(\begin{array}{cccccc}-1& 1& -1& 1& -1& 0\\ 1& -1& -1& 1& -1& -1\\ -1& -1& -1& 1& 1& 2\\ 1& -1& -1& -1& -1& 2\\ -2& -2& 4& 0& -2& 0\\ -6& -4& -6& -6& 0& -3\end{array}\right).$$
我们将第一行的短向量 $(-1,1,-1,1,-1,0)$ 写成由矩阵 $A_{M,S}$​ 给出的原始基底的线性组合的形式：
$$(-1,1,-1,1,-1,0)=(-1,0,-1,0,-1,1)A_{M,S}.$$

即求解向量 $(-1,0,-1,0,-1,1)$ 就是求解上面的非齐次线性方程组。利用线性代数的知识可以解决。

向量 $(-1,0,-1,0,-1,1)$ 就给出了背包问题的解：
$$-89-212-245+546=0.$$
Remark. 在使用 LLL 解决子集和问题时，通常将 $m_1,\dots ,m_n,S$ 乘以一个大常数 $C$ 会有所帮助。这样做的效果是将 $(\ast )$ 矩阵的最后一列乘以 $C$，因此行列式被乘以 $C$，Gauss 期望的最短向量被乘以 $C^{1/(n+1)}$。目标向量 $t$ 的长度仍然为 $\sqrt{n}$，所以如果 $C$ 很大，目标向量就会比可能的次短向量小得多。这往往使 LLL 更容易找到 $t$。

Applying LLL to GGH

我们将 LLL 应用到 GGH 节(专栏第4篇文章)中最后一个例子，Alice 的公开格 $L$ 是由矩阵的行向量 $w_1,w_2,w_3$ 生成的：
$$\left(\begin{array}{ccc}-4179163& -1882253& 583183\\ -3184353& -1434201& 444361\\ -5277320& -2376852& 736426\end{array}\right)$$
Bob 被加密后的信息为：
$$e=(-79081427,-35617462,11035473).$$
Eve 想要找到格 $L$ 中最接近 $e$ 的一个向量。她首先对 $L$ 运用 LLL 算法并找到准正交(quasi-orthogonal)的一个基：
$$\left(\begin{array}{ccc}36& -30& -86\\ 61& 11& 67\\ -10& 102& -40\end{array}\right)$$
这组基的 Hadamard 比率为 $\mathcal{H}=0.956083$​，甚至比 Alice 自己的好基还要好。Eve 接下来应用 Babai 算法来找到一个格向量：
$$v=(79081423,35617459,-11035471)$$
这非常接近于 $e$。最后，她用原始格向量来表示 $v$，
$$v=-86w_1+35w_2+32w_3,$$
便得到了 Bob 的明文 $m=(-86,35,32)$。

Applying LLL to NTRU

我们将 LLL 应用到 NTRU 公钥密码系统一节中的最后一个例子(专栏第5篇文章)。因此 $N=7,q=41$，且公钥是多项式：
$$h(x)=30+26x+8x^2+38x^3+2x^4+40x^5+20x^6.$$
与之相关联的 NTRU 格是由矩阵的行向量组成的：
$$M_h^{\text{NTRU}}=\left(\begin{array}{cccccccccccccc}1& 0& 0& 0& 0& 0& 0& 30& 26& 8& 38& 2& 40& 20\\ 0& 1& 0& 0& 0& 0& 0& 20& 30& 26& 8& 38& 2& 40\\ 0& 0& 1& 0& 0& 0& 0& 40& 20& 30& 26& 8& 38& 2\\ 0& 0& 0& 1& 0& 0& 0& 2& 40& 20& 30& 26& 8& 38\\ 0& 0& 0& 0& 1& 0& 0& 38& 2& 40& 20& 30& 26& 8\\ 0& 0& 0& 0& 0& 1& 0& 8& 38& 2& 40& 20& 30& 26\\ 0& 0& 0& 0& 0& 0& 1& 26& 8& 38& 2& 40& 20& 30\\ 0& 0& 0& 0& 0& 0& 0& 41& 0& 0& 0& 0& 0& 0\\ 0& 0& 0& 0& 0& 0& 0& 0& 41& 0& 0& 0& 0& 0\\ 0& 0& 0& 0& 0& 0& 0& 0& 0& 41& 0& 0& 0& 0\\ 0& 0& 0& 0& 0& 0& 0& 0& 0& 0& 41& 0& 0& 0\\ 0& 0& 0& 0& 0& 0& 0& 0& 0& 0& 0& 41& 0& 0\\ 0& 0& 0& 0& 0& 0& 0& 0& 0& 0& 0& 0& 41& 0\\ 0& 0& 0& 0& 0& 0& 0& 0& 0& 0& 0& 0& 0& 41\end{array}\right).$$
Eve 对 $M_h^{\text{NTRU}}$ 运用 LLL 算法。算法执行 96 步交换操作后返回 LLL 约化后的矩阵：
$$M_h^{\text{NTRU}}=\left(\begin{array}{cccccccccccccc}1& 0& -1& 1& 0& -1& -1& -1& 0& -1& 0& 1& 1& 0\\ 0& 1& 1& -1& 0& 1& -1& -1& -1& 0& 1& 0& 1& 0\\ -1& 1& 0& -1& -1& 1& 0& -1& 0& 1& 1& 0& -1& 0\\ -1& -1& 1& 0& -1& 1& 0& 1& 0& -1& 0& -1& 0& 1\\ -1& 1& 0& -1& 1& 0& -1& 0& -1& 0& -1& 0& 1& 1\\ -1& -1& -1& -1& -1& -1& -1& 0& 0& 0& 0& 0& 0& 0\\ 0& 1& 0& 1& 0& -1& 1& -1& -1& 0& 0& 2& 0& 0\\ -8& -1& 0& 9& 0& -1& 0& -4& 2& 6& 0& -4& 7& -7\\ 8& 1& 0& 0& -8& -1& 2& 0& -5& 8& -7& -3& 1& 6\\ 0& -9& -2& 1& 9& -1& 0& -6& -3& 2& 5& 0& -5& 7\\ 0& 8& 0& -9& -1& -8& 8& 2& 7& -11& 3& -5& 2& 2\\ 1& 0& 0& 9& 2& -1& -9& 5-7& 6& 3& -2& -5& 0& \\ -2& 1& 9& -1& 0& 0& -9& 2& 5& 0& -5& 7& -6& -3\\ 3& 2& 3& 3& -6& 2& -6& 11& 6& 8& 09& 5& 2& \end{array}\right).$$
我们可以通过计算 Hadamard 比率来比较原始基和约化基的相对准正交性。
$$\mathcal{H}(M_h^{\text{NTRU}})=0.1184\text{and}\mathcal{H}(M_h^{\text{NTRU}})=\mathrm{0.8574.}$$
约化基的最短向量是约化后矩阵的第一个行向量：
$$(1,0,-1,1,0,-1,-1,-1,0,-1,0,1,1,0).$$
将向量分割成两部分得到行列式：
$$f^{{}^{\prime }}(x)=1-x^2+x^3-x^5-x^6\text{and}{g}^{{}^{\prime }}(x)=-1-x^2+x^4+x^5.$$
注意 $f^{{}^{\prime }}(x)$ 和 $g^{{}^{\prime }}(x)$ 虽然与 Alice 的私钥多项式 $f(x),g(x)$ 不同，但是，它们只是 Alice 密钥的简单旋转，
$$f^{{}^{\prime }}(x)=-x^3\star f(x)\text{and}{g}^{{}^{\prime }}(x)=-x^3\star g(x),$$
所以 Eve 能够用 $f^{{}^{\prime }}(x)$ 和 $g^{{}^{\prime }}(x)$ 解密消息。