€¦ · Inhaltsverzeichnis 1 Gitter in linearen R¨aumen 5 1.1 Die Geometrie der Gitter . . . . ....

Vorlesungen von Prof. Dr. C.P. Schnorr:

Gitter und Kryptographie

an der Johann Wolfgang Goethe-Universitat Frankfurt/Main

im Sommersemester 2009

β5-Version

2. Marz 2009

Inhaltsverzeichnis

1 Gitter in linearen Raumen 5

1.1 Die Geometrie der Gitter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.2 Dualitat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.3 Diskretheit, Primitive Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.4 Elementare Reduktionsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

1.5 Hermite Normalform, Untergitter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2 Sukzessive Minima und Minkowski-Satze 17

2.1 Sukzessive Minima und erster Satz von Minkowski . . . . . . . . . . . . . . . . . . 17

2.2 Packungsdichte, Hermite-Konstante, kritische Gitter . . . . . . . . . . . . . . . . . 19

2.3 Zweiter Satz von Minkowski. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3 Gauß-Reduktion 25

3.1 Reduzierte Basis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

3.2 Reduktionsverfahren fur die Euklidische Norm . . . . . . . . . . . . . . . . . . . . 26

4 LLL-reduzierte Gitterbasen 31

4.1 Definition und Eigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

4.2 Das LLL-Reduktionsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

4.3 LLL-Reduktion ganzzahliger Erzeugendensysteme . . . . . . . . . . . . . . . . . . . 38

4.4 LLL-Reduktion mit Gleitkomma-Arithmetik . . . . . . . . . . . . . . . . . . . . . . 39

4.5 LLL-Reduktion mit ganzzahliger Gram-Matrix . . . . . . . . . . . . . . . . . . . . 40

5 Losen von Subsetsum-Problemen durch Gitterreduktion 43

5.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

5.2 Lagarias-Odlyzko-Gitterbasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

5.3 CJLOSS-Gitterbasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

6 HKZ- und Block-reduzierte Gitterbasen 51

6.1 HKZ-Basen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

6.2 Block-reduzierte Gitterbasen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

6.3 Kritische β-reduzierte Basen fur β = 2, 3 . . . . . . . . . . . . . . . . . . . . . . . . 56

3

4 INHALTSVERZEICHNIS

6.4 Praktisches Verfahren zur β-Reduktion . . . . . . . . . . . . . . . . . . . . . . . . . 58

7 NP-vollstandige Gitterprobleme 61

7.1 NP-Vollstandigkeit von Rucksack. . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

7.2 NP-Vollstandigkeit von SVP`∞ ,CVP`∞ ,CVP`2 . . . . . . . . . . . . . . . . . . . . 62

7.3 Zufallige Rucksack-Gitter mit grosser Dichte. . . . . . . . . . . . . . . . . . . . . . 64

8 Konstruktion eines kurzesten Gittervektors 67

8.1 Algorithmus mit vollstandiger Aufzahlung . . . . . . . . . . . . . . . . . . . . . . . 67

8.2 Algorithmus mit geschnittener Aufzahlung . . . . . . . . . . . . . . . . . . . . . . . 69

8.3 Bemerkung zur LLL-reduzierten Basis . . . . . . . . . . . . . . . . . . . . . . . . . 73

9 Gitterreduktion in beliebiger Norm 75

9.1 Grundbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

9.2 Reduzierte Basen zur Norm ‖·‖ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

9.3 Konstruktion einer HKZ-reduzierten Gitterbasis . . . . . . . . . . . . . . . . . . . 84

9.4 Alternative zur Reduktion in ‖·‖ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

9.5 Konstruktion eines ‖·‖-kurzesten Gittervektors . . . . . . . . . . . . . . . . . . . . 85

10 Anwendungen der Gitterreduktion 89

10.1 Gitterbasis zu 3-SAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

10.2 Angriff auf Damgards Hashfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . 91

10.3 Faktorisieren ganzer Zahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

11 Komplexitat, NP-Vollstandigkeit 99

11.1 NP-Vollstandigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

11.2 Schwierige, algorithmische Gitterprobleme . . . . . . . . . . . . . . . . . . . . . . . 100

12 Grundlagen 105

12.1 Notation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Algorithmenverzeichnis 107

Index 107

Kapitel 1

Gitter in linearen Raumen

Gitter als Punktmengen des Vektorraums Rm sind Gegenstand der Geometrie der Zahlen, dieMinkowski um 1900 entwickelt hat. Der ganzzahlige Losungsraum eines linearen, reellen Glei-chungssystems ist ein Gitter, der großere reelle Losungsraum ist ein linearer Raum. Gitter sindalso ein diskretes Analogon zu linearen Raumen. Probleme der Linearen Algebra werden durchGitter diskretisiert. Dabei geht es insbesondere um die Konstruktion kleiner Losungen, also kur-zer Gittervektoren. Die alteren Arbeiten von Hermite, Gauß und Korkine - Zolotareff behandelnGitter in der Sprache der quadratischen Formen.

Ein Gitter ist eine diskrete, additive Untergruppen eines reellen Vektorraums Rm. Wir behan-deln Gittterbasen sowie ihre Teilbasen, primitive Systeme, die Gitterdeterminante, das einer Basiszugehorige Orthogonalsystem, isometrische Transformationen und die QR-Zerlegung von Basen.Wir definierenen ferner duale Gitter und duale Basen, Hermite-Normalformen, sowie elementareAlgorithmen zur Reduktion von Gitterbasen. Der Leser sollte mit Linearer Algebra vertraut sein.

Gitter-Notation. Es bezeichne R die Menge der reellen Zahlen und Z die der ganzen Zahlen,fener sei Rm der reelle Vektorraum der Dimension m. Es seien b1, . . . ,bn ∈ Rm beliebige Vektorenund B = [b1, ...,bn] ∈ Rm×n die Matrix mit Spaltenvektoren b1, . . . ,bn. Dann bezeichnet

L(B) = L(b1, . . . ,bn) =def {Bz|z ∈ Zn} =∑n

i=1 biZ

die von den Vektoren b1, ...,bn erzeugte additive Untergruppe des Rn. Sind die Vektoren b1, ...,bn

linear unabhangig, so nennen wir L(B) ein Gitter mit Basis b1, ...,bn bzw. B und Dimensionoder Rang dim(L) =def rang(B). Der vom Gitter L = L(B) aufgespannte lineare Raum istspan(L) =def {Bz|z ∈ Rn} =

∑ni=1 biR. Alle Basen B von L erzeugen denselben linearen Raum

span(L) und haben damit denselben Rang.

1.1 Die Geometrie der Gitter

Es sei 〈·, ·〉 : Rm×Rm → R das Standard-Skalarprodukt, 〈x,y〉 = xty. Es bezeichne ‖x‖ =√〈x,x〉

die Lange des Vektors x. Die multiplikative Gruppe GLn(Z) der ganzzahligen n×n-Matrizen mitDeterminante ±1 nennt man die allgemeine lineare Gruppe uber Z. Die Matrizen U ∈ GLn(Z)heißen unimodular. Die Basen B eines Gitters sind die transformierten einer beliebigen BasisB ∈ Rm×n, transformiert durch unimodulare Matrizen.

Satz 1.1.1Die Basen des Gitters L(B) mit B ∈ Rm×n sind genau die Matrizen B U mit U ∈ GLn(Z).

5

6 KAPITEL 1. GITTER IN LINEAREN RAUMEN

Beweis. Sei B eine weitere Basis zu L(B). Dann gibt es ein U ∈ Zn×n mit B = B U , dennjeder Spaltenvektor von B ist ganzzahlige Linearkombination von Spaltenvektoren von B. Wegenrang(B) = rang(B) gilt det U 6= 0, und somit B U−1 = B. Wegen L(B) = L(B) ist U−1 ganzzahlig,und somit |det U | = 1 und U ∈ GLn(Z).

Umgekehrt gilt fur U ∈ GLn(Z) offenbar dass L(B U) = L(B), somit ist B U Basis zu L(B). �

-

�

- -

� �-

-�

-

-� �

-

-

-

� ��

b

a

p ppp ppppp pppppppp ppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp pppppp pppp pp

0

Abbildung 1.1.1: Grundmasche des Gitters mit Basis a,b ∈ R2

Grundmasche, Gram-Matrix, Determinante. Die Grundmasche zur Basis B = [b1, . . . ,bn]ist das Parallelepiped

P = P(B) = {∑n

i=1 tibi | 0 ≤ t1, . . . , tn < 1} ⊂ span(L) .

Jeder Punkt x ∈ span(L) hat eine eindeutige Zerlegung x = b + m mit m ∈ P und b ∈ L.Damit ist der Raum span(L) zerlegt in die verschobenen Maschen b + P(B) mit b ∈ L und esgilt span(L) =

⋃b∈L b + P(B) = P + L. Die Gram-Matrix zur Basis B ist die n × n-Matrix

BtB = [〈bi,bj〉]1≤i,j≤n bestehend aus den Skalarprodukten der Basisvektoren.

Die Determinante detL des Gitters L = L(B) ⊂ Rm ist das Volumen von P(B) ⊂ span(L),

detL =def volP(B) = ( detBtB )12 .

Die Gleichheit vol P(B) = ( detBtB )12 gilt offenbar fur Basen B ∈ Rn×n. Sie gilt allgemein weil

sie bei Isometrie erhalten bleibt, siehe Lemma 1.1.3.

Die Determinante det(BtB) ist unabhangig von der Wahl der Basis B von L. Denn seien B, BBasen des Gitters mit B = B U , U ∈ GLn(Z). Wegen |det U | = 1 und der Multiplikativitat derDeterminante gilt det(BtB)

12 = det(U tBtBU)

12 = det( BtB )

12 .

Theorem 1.1.2Sei L ⊂ Rm Gitter und Bn(0, r) ⊂ span(L) die Kugel mit Mittelpunkt 0 und Radius r. Dann gilt

limr→∞ | L ∩ Bn(0, r) |/volBn(0, r) = 1/detL(B),d.h. detL(B) ist der Kehrwert der Dichte der Gitterpunkte.

Beweis. Sei L = L(B) Gitter mit Grundmasche P(B), dim(L) = n. Dann ist span(L) die disjunk-te Vereinigung der um Gitterpunkte b verschobenen Grundmasche, span(L) =

⋃b∈L b + P(B).

Da b + P(B) nur den Gitterpunkt b enthalt, gibt es pro detL Volumeneinheiten genau einenGitterpunkt. Diejenigen Gitterpunkte b, deren Maschen b+P(B) die Kugel Bn(0, r) echt schnei-den, konnen entweder in L ∩ Bn(0, r) oder im Komplement liegen. Dies fuhrt in der Gleichung| L ∩ Bn(0, r) |/volBn(0, r) = 1/detL(B) + O(n

r ) zu einem Fehler O(nr ), der proportional zum

Verhaltnis Oberflache zu Volumen von Bn(0, r) ist. �

1.1. DIE GEOMETRIE DER GITTER 7

Beispiel-Gitter. Wir behandeln Gitter zu dichtesten Kugelpackungen. Das erste sukzessive Mini-mum λ1 ist die Lange des kurzesten Gittervektors ungleich 0. Die (Packungs-) Dichte des GittersL mit dim L = n ist 4(L) = (λ1/2)nVn/ detL, dabei ist Vn = volBn(0, 1) das Volumen der n-dim.Einheitskugel, siehe Abschnitt 3.2.. Das Gitter

An :={(x0, x1, . . . , xn) ∈ Zn+1

∣∣ ∑ni=0 xi = 0

}hat die Basis

B =

−1 0 0 · · · · · · 01 −1 0 0

0. . . . . . . . .

......

. . . . . . . . . . . ....

.... . . . . . −1 0

0 0 1 −10 · · · · · · · · · 0 1

∈ Z(n+1)×n.

Offenbar gilt λ1 =√

2, det An =√

n + 1. Die Dichte ist 4(An) = Vn 2−n/2(n + 1)−1/2.

Das Schachbrettgitter

Dn := {(x1, . . . , xn) ∈ Zn |∑n

i=1 xi = 0 mod 2}

hat die Basis

B =

2 1 0 · · · · · · 0

0 1 1. . .

......

. . . . . . . . . . . ....

.... . . 1 1 0

0 0 1 10 · · · · · · 0 0 1

∈ Zn×n.

Offenbar gilt λ1 =√

2 und det(Dn) = 2. Die Dichte ist 4(Dn) = Vn 2−n/2−1.

Das folgende Gitter En ist fur n = 0 mod 4 Untergitter von Dn:

En :={

(x1, . . . , xn) ∈ Zn

∣∣∣∣ ∑ni=1 xi = 0 mod 4 und

xj = xj+1 mod 2 fur 1 ≤ j < n.

}Es hat die Basen

B =

4 2 0 · · · 0 1

0 2 2. . .

......

.... . . . . . . . . 0

......

. . . 2 2 10 0 2 10 · · · · · · 0 0 1

,

4 2 2 · · · 2 10 2 0 · · · 0 1...

. . . . . . . . ....

......

. . . 2 0 10 0 2 10 · · · · · · 0 0 1

∈ Zn×n.

Offenbar gilt fur n ≥ 8 dass λ1 =√

8 und det En = 2n, 4(En) = Vn 2−n/2.

Die Gitter E6, E7 sind Untergitter von E8,

E6 := {x ∈ E8 | x6 = x7 = x8 }, E7 := {x ∈ E8 | x7 = x8 }.

Isometrie, orthogonale Matrix, Aquivalenz. Eine lineare Abbildung T : V → W mit linearenRaumen V,W heißt isometrisch, bzw. eine Isometrie (von V ), wenn T das Skalarprodukt erhalt,


d.h. wenn 〈b,b′〉 = 〈T (b), T (b′)〉 fur alle b,b′ ∈ V . Eine Matrix Q ∈ Rm×n, m ≥ n, heißtisometrisch, bzw.Isometrie, wenn die Abbildung x 7→ Qx isometrisch ist. Damit ist Q ∈ Rm×n

genau dann isometrisch, wenn QtQ = In die Einheitsmatrix In ∈ Rn×n ist. Das Produkt vonisometrischen Matrizen ist isometrisch. Eine isometrische Quadratmatrix Q ∈ Rn×n bezeichnetman als orthogonale Matrix. Q ist orthogonal genau dann, wenn Q−1 = Qt. Mit Q ist auch Qt

orthogonal. Damit ist Q ∈ Rm×n genau dann isometrisch, wenn Q durch Hinzunahme von Spaltenzu einer orthogonalen Matrix erganzbar ist.

Zwei Gitter L, L heißen isometrisch, wenn es eine Isometrie T von span(L) gibt mit T (L) = L.Zwei Basen B, B heißen isometrisch, wenn es eine Isometrie Q gibt mit B = QB. Offenbar sindB, B genau dann isometrisch, wenn BtB = BtB. Offenbar erzeugen isometrische Basen B, Bisometrische Gitter L(B),L(B). Umgekehrt haben isometrische Gitter stets isometrische Basen.

Zwei Gitter L, L heißen aquivalent oder ahnlich, wenn es ein c > 0 gibt so dass L und c Lisometrisch sind, Bez.: L ∼= L. Die Gitter L, cL heißen proportional oder bis auf Skalierung gleich.Z.B. gilt D3

∼= A3. Z.B. sind folgende Basen isometrisch:

B :=[√

2 1/√

20

√3/2

], B :=

1 01 10 1

, BtB = BtB =[2 11 2

].

Geometrische Großen sind Großen, die bei isometrischen Abbildungen erhalten bleiben, also Inva-rianten von Isometrien. Volumeninhalte, Determinanten, Skalarprodukte und Langen von Vektorensind geometrische Großen. Ein Gitter L ⊂ Rm heißt vollstandig, wenn dimL = m. VollstandigeGitter reichen fur geometrische Betrachtungen aus, weil jedes Gitter nach Lemma 1.1.3(2) isome-trisch zu einem vollstandigen Gitter ist. Fur kombinatorische und algorithmische Untersuchungenreichen vollstandige Gitter dagegen nicht. Isometrische Abbildungen erhalten nicht die Ganzzah-ligkeit von Vektoren.

Orthogonalsystem, orthogonale Projektion. Zur Basis b1, ...,bn ∈ Rm bezeichneπi : Rm → span(b1, . . . ,bi−1)

⊥ die orthogonale Projektion, derart dass fur alle b ∈ Rm

πi(b) ∈ span(b1, . . . ,bi−1)⊥

, b− πi(b) ∈ span(b1, . . . ,bi−1) .

Offenbar sind die Vektoren bi := πi(bi) fur i = 1, ..., n paarweise orthogonal. Man berechnetb1, . . . , bn durch das Gram-Schmidt-Verfahren

b1 := b1, bi := πi(bi) = bi −∑i−1

j=1〈bi,bbj〉〈bbj ,bbj〉

bj fur i = 2, 3, . . . , n.

Fur die Gram-Schmidt-Koeffizienten µi,j := 〈bi,bbj〉〈bbj ,bbj〉

gilt insbesondere µi,i = 1 und µi,j = 0 fur

j > i, sowie bi = bi +∑i−1

j=1 µi,jbj fur i = 1, ..., n. In Matrizenschreibweise bedeutet dies

[b1, . . . ,bn] = [ b1, . . . , bn] [µi,j ]t1≤i,j≤n.

QR-Zerlegung und geometrische Normalform (GNF). Die QR-Zerlegung B = QR der Ba-sis B = [b1, ...,bn] ∈ Rm×n ist die eindeutige Zerlegung B = QR, so dass Q ∈ Rm×n isometrisch istund R ∈ Rn×n obere Dreiecksmatrix mit positiven Diagonalelementen. Wir nennen R die geome-trische Normalform (GNF) der Basis, Bez.: R = GNF (B). Es gilt Q := [b1/‖b1‖, ..., bn/‖bn‖] ∈Rm×n und fur R = [ri,j ]1≤i,j≤n gilt ri,i = ‖bi‖, µj,i = ri,j/ri,i,

R :=

‖b1‖ 0 · · · · · · 00 ‖b2‖ 0 · · · 0...

. . . . . . . . ....

.... . . ‖bn−1‖ 0

0 · · · · · · 0 ‖bn‖

1 µ2,1 µ3,1 · · · µn,1

0 1 µ3,2 µn,2

.... . . . . . . . .

......

. . . 1 µn,n−1

0 · · · · · · 0 1

.

1.2. DUALITAT 9

Lemma 1.1.31. Zwei Basen B, B sind genau dann isometrisch, wenn GNF (B) = GNF (B), dh. wenn

BtB = BtB. Insbesondere ist R = GNF (B) eindeutig bestimmt.2. L(B) ist isometrisch zum vollstandigen Gitter L(R) mit R = GNF (B).

Beweis. 1. Aus BtB = BtB mit QR-Zerlegungen B = QR und B = QR folgt RtR = RtR. WeilR, R obere Dreiecksmatrizen mit positiven Diagonalelementen sind, folgt R = R. Umgekehrt folgtaus GNF (B) = R = GNF (B), dass BtB = RtR = BtB, und damit sind B, B isometrisch.3. Fur jede QR-Zerlegung B = QR sind L(B),L(R) isometrisch mit der Isometrie Q. �

Fur beliebige Basen B = QR gilt det(BtB) = det(RtR) =∏n

i=1‖bi‖2. Insbesondere bleibtdetL(B) = (det BtB)

12 , bei Isometrie erhalten.

Das orthogonale Gitter. Das zum Vektor a = (a1, . . . , an)t ∈ Zn \ {0} orthogonale Gitter ist

La := span(a)⊥ ∩ Zn = {z ∈ Zn | 〈a, z〉 = 0} .

Wir zeigen detLa = ‖a‖ / ggT(a1, . . . , an).Offenbar gilt dimLa = n − 1. Sei b2,b3, . . . ,bn eine Basis von La. Wegen span(La) ∩ Zn =La ist diese Basis nach Satz 1.3.3 zu einer Basis von Zn erganzbar. Es gibt ein b1 ∈ Z mitL(b1, . . . ,bn) = Zn. Die Eintrage des Vektors b1 sind teilerfremd, da b1 ein primitiver Vektor vonZn ist. Der Anteil von b1, der senkrecht auf La steht, ist 〈b1,a〉

‖a‖2 a und hat die Lange |〈b1,a〉|‖a‖ . Die

Grundmasche P(B) von Zn hat die Grundflache detLa und Hohe |〈b1,a〉|‖a‖ . Die Determinante von

Zn ist vol(Grundmasche) = Flache × Hohe, 1 = det Zn = (detLa)|〈b1,a〉|‖a‖ . Also gilt detLa =

‖a‖/| 〈b1,a〉 |.Nach Konstruktion von b1 ist |〈b1,a〉| die kleinste, positive, ganze Zahl in

∑ni=1 Z ai =

Z ggT(a1, . . . , an). Somit gilt | 〈b1,a〉 | = | ggT(a1, . . . , an) | und die Behauptung.

1.2 Dualitat

Duales Gitter. Das duale ( bzw. polare, reziproke) Gitter L∗ zum Gitter L istL∗ =def {x ∈ span(L) | 〈x,b〉 ∈ Z fur alle b ∈ L}.

Aufgrund der Identitat (A−1)t = (At)−1 fur A ∈ Rn×n, kurzen wir ab A−t := (A−1)t. Es gilt(AB)−1 = B−1A−1, (AB)t = BtAt und somit (AB)−t = A−tB−t.

Satz 1.2.11. Fur jede Basismatrix mit QR-Zerlegung B = QR ∈ Rm×n gilt L(B)∗ = L(QR−t),2. dimL∗ = dimL, 3. detL∗ = 1/ detL, 4. (L∗)∗ = L,5. Ist BtB Gram-Matrix zu L dann ist (BtB)−1 = B−1B−t Gram-Matrix zu L∗.

Die Basis B ist genau dann invertierbar, wenn L(B) vollstandig ist. Fur invertierbare B giltoffenbar L(B)∗ = L(B−t).

Beweis. 1. Offenbar gilt fur B := QR−t wegen QtQ = In dass

BtB = (QR)tQR−t = RtQtQR−t = In.

Wegen BtB = In liefern die Vektoren b ∈ L(B) alle ganzzahligen Vektoren (〈b1, b〉, ..., 〈bn, b〉)∈ Zn zu den Basisvektoren b1, ...,bn. Damit gilt L∗ = L(B).


2. - 5. Aus dimL = rang(R) = rang(R−1) folgt dimL∗ = dimL. Weiter folgt detL∗ = 1/ detLaus detL = det R = 1/ det R−t. Mit (R−t)−t = R gilt somit (L∗)∗ = L. Schließlich gilt 5. wegenBtB = R−1R−t = (RtR)−1 = (BtB)−1. �

Duale Basis. Zur Basis b1, . . . ,bn ∈ Rm von L ist die duale Basis b∗1, . . . ,b∗n von L∗ definiert

durch 〈bi,b∗n−j+1〉 = δi,j . Die QR-Zerlegung B = QR liefert die duale Basis B∗ = QR−tUn. Die

Multiplikation mit Un =def

1·

1

∈ Rn×n, der Matrix mit Einsen in der Gegendiagonalen,

invertiert die Spaltenreihenfolge der Basis QR−t, so dass R−tUn obere Dreiecksmatrix ist.

Die QR-Zerlegung der dualen Basis B∗ zu B = QR ist B∗ = (QUn) (UnR−tUn).Denn zur QR-Zerlegung B = QR ist R−t untere Dreiecksmatrix und UnR−tUn obere Dreiecks-matrix. Der Ubergang von R−t nach UnR−tUn invertiert die Spalten- und die Zeilenreihenfolge inR−t. Wegen U t

n = Un = U−1n ist QUn isometrisch.

Korollar 1.2.2Zur Basis b1, . . . ,bn mit Orthogonalsystem b1, . . . , bn ist bn/‖bn‖2, . . . , b1/‖b1‖2 das Orthogo-nalsystem der dualen Basis b∗1, . . . ,b

∗n.

Beweis. Es gilt 〈bi, bj〉 ‖bj‖2 = δi,j fur 1 ≤ i, j ≤ n. �

Satz 1.2.3Fur jedes Gitter L und jede Isometrie T von span(L) gilt T (L∗) = T (L)∗.

Beweis. Sei L = L(B) mit QR-Zerlegung B = QR ∈ Rm×n und sei T : x 7→ Qx eine Isometrie.Weil QR−t Basis von L∗ ist, gilt nach Satz 1.2.1

L∗ = L(QR−t), T (L∗) = L(QQR−t).

Andererseits ist QQ isometrisch und damit ist (QQ) R die QR-Zerlegung der Basis QQR vonT (L). Es folgt T (L)∗ = L(QQR)∗ = L(QQR−t) = T (L∗). �

Selbstduale und ganze Gitter. Ein Gitter L heißt selbstdual oder unimodular, wenn L = L∗.Offenbar gilt L = L∗ gdw die Gram-Matrix BtB unimodular ist, d.h., BtB ist ganzzahlig unddet BtB = 1. Die Gitter Zn und die geschichteten Gitter Λ8

∼= E8,√

2Λ24 sind selbstdual.

Ein Gitter L heißt ganz (integral), wenn BtB ganzzahlig ist. Ein Gitter L ist also genau dannganz, wenn L ⊂ L∗.

1.3 Diskretheit, Primitive Systeme

Diskretheit. Eine Menge S ⊂ Rm heißt diskret, wenn S keinen Haufungspunkt in Rm hat.

Fur jede additive Untergruppe G ⊂ Rm sind offenbar folgende Aussagen aquivalent:1. G ist diskret,2. 0 ist kein Haufungdpunkt von G,3. Es gibt einen kurzesten Vektor in G \ {0}.

Jedes Gitter ist diskret. Zum Nachweis der Diskretheit sei ϕ : Rn → span(L(B)) ⊂ Rm dielineare Abbildung ϕ : z 7→ Bz. ϕ ist ein Isomorphismus der Vektorraume Rn und span(L) mitϕ(Zn) = L. Weil Zn diskret und ϕ−1 stetig auf span(L), ist auch L diskret.

1.3. DISKRETHEIT, PRIMITIVE SYSTEME 11

Umgekehrt, ist jede diskrete additive Untergruppe von Rm ein Gitter. Die Diskretheit charak-terisiert also die Gitter unter den additiven Untergruppen des Rm.

Satz 1.3.1Jede diskrete, additive Untergruppe des Rm ist ein Gitter erzeugt von einer Basis.

Beweis. Sei L ⊂ Rm eine diskrete, additive Untergruppe und n die Maximalzahl linear unabhangi-ger Vektoren in L. Offenbar gilt n ≤ m. Durch Induktion uber n zeigen wir die Existenz einerBasis.

n = 1: Sei b ∈ L ein kurzester Vektor mit b 6= 0 (ein solcher Vektor existiert, da 0 keinHaufungspunkt von L ist). Dann gilt L(b) = L.

n > 1: Wahle b1 ∈ L \ {0} derart dass 1k b1 6∈ L fur alle k ≥ 2. Offenbar gilt L(b1) =

L∩span(b1). Betrachte die orthogonale Projektion π : Rm → span(b1)⊥ mit π(b) = b− 〈b1,b〉

〈b1,b1〉 b1.Die Induktionsbehauptung ergibt sich aus den beiden Aussagen

1. π(L) ist diskret und ein Gitter vom Rang n− 1,

2. Fur jede Basis π(b2), . . . , π(bn) von π(L) mit b2, . . . ,bn ∈ L gilt L = L(b1, . . . ,bn).

Beweis von 1. Wir zeigen, dass 0 kein Haufungspunkt von π(L) ist. Angenommen, die paarweiseverschiedenen Vektoren π(y(i)) mit y(i) ∈ L konvergieren gegen 0. Wir konstruieren unendlich vielekurze Vektoren in L, im Widerspruch zur Diskretheit von L.

Zu den Vektoren π(y(i)) erhalten wir kurze π-Urbilder y(i) ∈ L nach der Vorschrift y(i) :=y(i)−

⌈⟨y(i),b1

⟩/〈b1,b1〉

⌋b1. Dabei bezeichnet drc := dr− 1

2c die nachste ganze Zahl zur reellenZahl r. Offenbar gilt ‖y(i) − π(y(i))‖ ≤ 1

2 ‖b1‖. Wegen limi→∞

‖π(y(i))‖ = 0 gibt es unendlich viele

Vektoren y(i) ∈ L mit ‖π(y(i))‖ ≤ ‖b1‖, im Widerspruch zur Diskretheit von L.

Beweis zu 2. Die Maximalzahl der linear unabhangigen Vektoren in π(L) ist n − 1. NachInduktionsvoraussetzung ist π(L) ein Gitter vom Rang n − 1. Sei π(b2), . . . , π(bn) eine Basisvon π(L) mit b2, . . . ,bn ∈ L. Die Vektoren b1, ...,bn sind linear unabhangig. Wir zeigen, dassL ⊂ L(b1, . . . ,bn). Zu beliebigem b ∈ L gilt π(b) ∈ π(L) = L (π(b2), . . . , π(bn)), somit gibtes ein b ∈ L(b2, . . . ,bn) mit π(b) = π( b ). Es gilt b − b ∈ span(b1). Nach Wahl von b1 giltL(b1) = L ∩ span(b1) und somit b− b ∈ L(b1). Es folgt b ∈ L(b1, . . . ,bn). �

Primitive Systeme. Wir charakterisieren Teilbasen b1, ...,bk mit k ≤ n von Gitterbasen b1, ...,bn.Offenbar gilt fur Teilbasen b1, ...,bk dass

1. b1, . . . ,bk sind linear unabhangig, 2. span(b1, . . . ,bk) ∩ L = L(b1, . . . ,bk).

Eine Menge von Gittervektoren b1, ...,bk nennt man ein primitives System zum Gitter L, wenn1. und 2. gilt. Ein einzelner Vektor b ∈ L ist primitiv, wenn 1

kb 6∈ L fur alle k ∈ Z \ {0}.

Satz 1.3.2Genau dann konnen die Gittervektoren b1, . . . ,bk zu einer Basis von L erganzt werden, wenn sieein primitives System zu L bilden.

Beweis. Teilbasen bilden offenbar primitive Systeme. Sei nun umgekehrt b1, . . . ,bk ein primitivesSystem und π : span(L) → span(b1, . . . ,bk)⊥ die orthogonale Projektion. Aus dem Beweis zuSatz 1.3.1 folgt, dass π(L) ein Gitter der Dimension n − k ist. Das Gitter π(L) habe die Basisπ(bk+1), . . . , π(bn) mit bk+1, . . . ,bn ∈ L.

Wir zeigen, dass b1, ...,bn Basis von L ist. Nach Konstruktion sind b1, ...,bk linear unabhangig.Sei b ∈ L. Wegen π(b) ∈ L(π(bk+1), . . . , π(bn)) gibt es ein b ∈ L(bk+1, . . . ,bn) mit π( b ) =


π(b), also ist b− b ∈ span(b1, . . . ,bk). Weil b1, . . . ,bk nach Voraussetzung ein primitives Systembildet, gilt b− b ∈ L(b1, . . . ,bk). Somit gilt b ∈ L(b1, . . . ,bn) und b1, ...,bn ist Basis von L. �

1.4 Elementare Reduktionsverfahren

Ziel der Reduktionsverfahren sind Gitterbasen bestehend aus kurzen Gittervektoren.

Definition 1.4.1Die Basis b1, . . . ,bn ist langenreduziert, wenn |µi,j | ≤ 1

2 fur 1 ≤ j < i ≤ n.

Fur jede langenreduzierte Basis b1, . . . ,bn gilt wegen bi = bi +∑i−1

j=1 µi,jbj und |µi,j | ≤ 12

‖bi‖2 ≤ ‖bi‖2 + 14

∑i−1j=1‖bj‖2 fur i = 1, . . . , n.

Algorithmus 1.4.1 zur Langenreduktion

EINGABE : Basis b1, . . . ,bn ∈ Rm

FOR i = 2, . . . , n DO

FOR j = i− 1, . . . , 1 DO bi := bi − dµi,jc · bj

AUSGABE : langenreduzierte Basis b1, . . . ,bn

Korrektheit.1. Der Schritt bi := bi − dµi,jcbj bewirkt, dass µneu

i,j := µalti,j − dµalt

i,j cµj,j = µalti,j − dµalt

i,j c.2. Insbesondere gilt

∣∣µneui,j

∣∣ ≤ 12 , und die µi,ν bleiben fur ν > j unverandert.

Die Orthogonalvektoren bleiben erhalten. Die Langenreduktion ist nur eine schwache Reduktion.

Definition 1.4.2Die Vektoren b1, . . . ,bn ∈ Rn \ {0} nennen wir paarweise reduziert, wenn

1. | 〈bi,bj〉 |‖bj‖2 ≤ 1

2 fur 1 ≤ j < i ≤ n, 2. ‖b1‖ ≤ ‖b2‖ ≤ · · · ≤ ‖bn‖ .

Die Eigenschaft 1. bezieht sich nicht auf den Gram-Schmidt-Koeffizienten µi,j = 〈bi,bbj〉‖bbj‖2

. Sie ist

aquivalent zu ‖bi‖ ≤ ‖bi ± bj‖ fur 1 ≤ j < i ≤ n, denn wegen

‖bi ± bj‖2 = 〈bi ± bj ,bi ± bj〉 = ‖bi‖2 ± 2 〈bi,bj〉+ ‖bj‖2 gilt

‖bi‖2 ≤ ‖bi ± bj‖2 ⇐⇒ ±〈bi,bj〉 ≤ 12 ‖bj‖2 ⇐⇒ |〈bi,bj〉| ≤ 1

2 ‖bj‖2.

Korrektheit. Algorithmus 1.4.2 terminiert und bei Abbruch des Verfahrens sind die Vektorenpaarweise reduziert. Bei jedem Reduktionsschritt wird namlich der Vektor bi echt kleiner, und dieubrigen Vektoren bleiben unverandert. Somit hat jedes Gitter eine paarweise reduzierte Basis.

Die Laufzeit der paarweisen Reduktion ist nicht polynomial. Aber es gibt hochstens polynomialviele Schritte bi := bi − drcbj , welche ‖bi‖ um mindestens ε‖bi‖ fur festes ε > 0 erniedrigen.

Satz 1.4.3Algorithmus 1.4.2 sichert nach hochstens log1/(1−ε)(

∏ni=1 ‖bi‖) Schritten bi := bi − drcbj mit

‖bi‖neu ≤ ‖bi‖(1− ε) dass ‖bi‖(1− ε) ≤ ‖bi ± bj‖ fur 1 ≤ j < i ≤ n.

1.5. HERMITE NORMALFORM, UNTERGITTER 13

Algorithmus 1.4.2 zur paarweise Reduktion

EINGABE : Vektoren b1, . . . ,bn ∈ Zm (moglicherweise linear abhangig)

1. Ordne b1, . . . ,bn so, dass 1 ≤ ‖b1‖ ≤ · · · ≤ ‖bn‖2. FOR i = 1, . . . , n DO

FOR j = 1, . . . , i− 1 DO

r := 〈bi,bj〉 ‖bj‖−2

IF |r| > 12 THEN [ bi := bi − drcbj

falls bi = 0 entferne bi und erniedrige n, GO TO 1.

AUSGABE : paarweise reduzierte Vektoren b1, . . . ,bn (∑n

i=1 biZ bleibt erhalten)

1.5 Hermite Normalform, Untergitter

Ganzzahlige und rationale Matrizen haben eine eindeutig bestimmte Hermite-Normalform (HNF).Fur reelle Matrizen und relle Gitterbasen gilt dies nicht. Aus der HNF einer TransformationsmatrixT ∈ Zn×n kann man detL(B)/ detL(BT ) = |det T | ablesen.

Definition 1.5.1Eine Matrix A = [aij ] ∈ Rm×n mit n ≤ m ist in Hermite-Normalform (kurz HNF), wenn

1. aij = 0 fur j > i, d.h. A ist eine untere Dreiecksmatrix.

2. aii > 0 fur i = 1, 2, . . . ,m.

3. 0 ≤ aij < aii fur j < i.

Die Hermite-Normalform ist eine reduzierte Basis, in dem Sinne dass der i-te Basisvektor diei-te Koordinate minimiert unter der Bedingung, dass seine ersten i−1 Koordinaten Null sind. Fureine HNF A = [aij ] = [a1, ...,an] mit Spaltenvektoren a1, ...,an ist aii also die absolut kleinstei-te Koordinate 6= 0 der Vektoren in L(ai, ...,an). Dabei ist L(ai, ...,an) das Teilgitter, dessenVektoren in den ersten i− 1 Koordinaten Null sind.

In der Definition der HNF kann man statt einer ’unteren’ Dreiecksmatrix ebenso gut eine’obere’ Dreiecksmatrix verlangen. Der zulassige Bereich der Zahlen aij in 3. ist ein Intervall derLange |aii|, die Lage dieses Intervals ist willkurlich. In [DKT87] fordern die Autoren

aij ≤ 0 und |aij | < aii fur j < i.

A. Paz und C.P. Schnorr [PS87] fordern, dass die Elemente links der Diagonalen betragsmaßigminimal sind:

|aij | < 12 |aii| fur j < i.

Die verschiedenen Varianten von Hermite-Normalformen sind einfach ineinander uberfuhrbar. Istz.B. A ∈ Rm×n untere Dreiecksmatrix, dann ist Um A Un obere Dreiecksmatrix fur die MatrizenUm, Un mit Einsen auf der Gegendiagonalen.

Nach C. Hermite [He1850] gilt folgender Satz.

Satz 1.5.2 (Hermite 1850)Zu jeder Matrix A ∈ Qm×n mit Rang(A) = n gibt es genau eine HNF A U mit U ∈ GLn(Z).


Beweis. Konstruktion der HNF. Sei L(A) ⊂ Rm das Gitter zur Basis A. Konstruiere die Vektorena′1, ....,a

′n ∈ L(A), [a′1, ....,a

′n] = [a′ij ] ∈ Rm×n so dass

a′ii = min{ |ai| | (a1, ..., an)t ∈ L(A), a1 = · · · = ai−1 = 0, ai 6= 0}.

Weil A rational ist, existiert das Minimum der Absolutwerte |ai|. Wegen der Dreiecksform von[a′1, ....,a

′j ] ist a′1, ...,a

′j ein primitives System, und a′1, ...,a

′n ist Basis zu L(A). a′ := [a′1, ...,a

′n]

hat die HNF-Eigenschaften 1. und 2. Um die HNF-Eigenschaft 3. zu sichern, transformiert mana′2, ...,a

′n gemaß

a′i := a′i − da′ij/a′jjea′j fur j = 1, ..., i− 1.

Eindeutigkeit der HNF. Die Diagonalelemente a′ii der HNF sind offenbar durch obige Formeleindeutig bestimmt. Angenommen 0 < a′ij < a′′ij < a′ii sind verschiedene Elemente zweier HNF’smit j < i und i ist minimal gewahlt. Dann gilt fur j′ < j dass a′ij′ = a′′ij′ und es folgt |a′ij−a′′ij | ≥ a′ii,im Widerspruch zu |a′ij − a′′ij | < a′ii. �

Reelle Matrizen haben im allgemeinen keine HNF, weil die Koordinaten der Gittervektorenkein absolutes Minimum annehmen mussen. Die Basis

A :=[1

√2

3 4

]∈ R2×2.

erzeugt ein Gitter L(A) mit absolut beliebig kleinen ersten Koordinaten der Gittervektoren.

Teilgitter, Untergitter. Sind L′,L Gitter mit L′ ⊂ L, so heißt L′ Teilgitter von L. Haben L′und L gleichen Rang, dann heißt L′ Untergitter von L.

Die Basis A =[2 00 2

]erzeugt das Untergitter 2 Z2 von Z2. Die Faktorgruppe Z2/L(A) besteht

aus den vier Aquivalenzklassen, [Zn : L(A)] = 4.

s s s ssss

sss

sss

sss

(0,0) (2,0) (4,0) (6,0)

(0,2)

(0,4)

(0,6)

(2,2)

(2,4)

(2,6)

(4,2)

(4,4)

(4,6)

(6,2)

(6,4)

(6,6)

Abbildung 1.5.1: Untergitter L(A) von Z2

Lemma 1.5.3Sei L = L(B) Gitter und L′ = L(BT ) Untergitter von L mit T ∈ Zn×n. Dann giltdetL′ = detL · |det T |.

Index des Untergitters. Die ganze Zahl |det T | = detL′detL aus Lemma 1.5.3 ist die Elementzahl

und ’Ordnung’ der Faktorgruppe L/L′, genannt der Index des Untergitters L′ in L, Bez.: [L : L′].

1.5. HERMITE NORMALFORM, UNTERGITTER 15

Sei L′ = L(BT ) Untergitter von L = L(B) und T = [tij ] ∈ Zn×n eine obere (bzw. untere)Dreiecksmatrix. Dann gilt

[L : L′] =detL′

detL= detT =

∏ni=1 |tii| .

Insbesondere gilt L′ = L genau dann wenn |det T | = 1.

Korollar 1.5.4Zu a = (a1, . . . , an) ∈ Zn \ {0}, b ∈ N hat das Gitter La,b = {x ∈ Zn | xta = 0 (mod b)} dieDeterminante detLa,b = b/ ggT(a1, . . . , an, b) .

Beweis. La,b ⊂ Zn ist offenbar Gitter der Dimension n. Sei O.B.d.A. ggT(a1, ..., an, b) = 1, denndurch Herausdividieren des ggT aus a1, ..., an, b andert sich La,b nicht. Die Faktorgruppe Zn/La,b

besteht den Restklassen

Ri :={x ∈ Zn

∣∣ xta = i (mod b)}

fur i = 0, ..., b− 1.

Offenbar sind diese Restklassen nicht leer. Es folgt [Zn : La,b] = b und damit detLa,b = b. �

Satz 1.5.5Sei L′ ein Untergitter von L = L(B). Dann gibt es eine untere (bzw. obere) Dreiecksmatrix T ∈Zn×n mit L′ = L(BT ). Umgekehrt gibt es zu jeder Basis B′ von L′ eine Basis B von L und eineuntere (bzw. obere) Dreiecksmatrix T ∈ Zn×n mit B′ = B T .

Beweis. Wir weisen die unteren Dreiecksmatrizen nach, Die oberen Dreiecksmatrizen erhalt mandurch Transfomation mit Umkehrmatrizen Un, Um. Sei B′ eine beliebige Basis zu L′ und B′ = B Tmit T ∈ Zn×n. Dann gibt es ein S ∈ GLn(Z) so dass T S eine HNF von T ist. Es folgt B′S = B(TS)und TS ist untere Dreiecksmatrix. Also ist die Basis B′ := B′ S von L′ von der gewunschten Form.

Ist umgekehrt B′ gegeben und B von der Form B′ = B T , dann wahlt man S ∈ GLn(Z) so dassS T eine untere Dreiecksmatrix ist. Zur Basis B von L ist dann B S−1 eine Basis der gewunschtenForm. �

Kapitel 2

Minkowski-Satze,Hermite-Konstante

Die sukzessiven Minima λ1 ≤ ... ≤ λn eines Gitters der Dimension n sind wichtige geometrischeInvarianten. Eine Gitterbasis gilt als “reduziert“, wenn die Lange des i-ten Vektors proportional zuλi ist. Fur Gitter L der Dimension n gilt λ1 ≤

√γn det(L)1/n, dabei ist γn die Hermite-Konstante.

2.1 Sukzessive Minima und erster Satz von Minkowski

Sukzessive Minima. Eine allgemeine Norm ‖·‖ : Rm → R≥0 istdurch ihren EichkorperK = {x ∈ Rm | ‖x‖ ≤ 1} definiert. K ⊂ Rm ist eine beliebige kompakte, konvexe, nullsymmetrischeMenge. Es gilt ‖x‖ = min{r ∈ R≥0 |x ∈ rK}. Der Eichkorper der `2-Norm ist die EinheitskugelBm(0, 1), der Eichkorper der sup-Norm `∞ ist der Wurfel mit Seitenlangen 2.

Zu einem Gitter L ⊂ Rm mit dimL = n sind die sukzessiven Minima λ1, . . . , λn bezuglich derNorm ‖·‖ definiert durch

λi = λi(L) := inf{

r > 0∣∣∣∣ ∃ linear unabhangige a1, . . . ,ai ∈ L

mit ‖a1‖, ..., ‖ai‖ ≤ r

}Offenbar gilt λ1 ≤ λ2 ≤ · · · ≤ λn. Die Definition der sukzessiven Minima geht auf H. Minkowskizuruck. Wenn nicht anders vermerkt bezieht sich λi stets auf die Euklidische Norm, λi,∞(L) beziehtsich auf die sup-Norm ‖ ‖∞. Die sukzessiven Minima zur Euklidischen Norm sind geometrischeInvarianten, sie bleiben bei isometrischen Transformationen erhalten. Die Große λ1,∞(L) ist keinegeometrische Invariante. Fur Gitter L ⊂ Rm und x ∈ Rm gilt ‖x‖∞ ≤ ‖x‖ ≤

√m ‖x‖∞.

Die sukzessiven Minima sind Maßstab fur die Reduziertheit einer Gitterbasis. Eine Basis giltals ”reduziert“, wenn die Großen ‖bi‖ /λi fur i = 1, . . . , n ”klein“ sind. Fur reduzierte Basen sindderen Vektoren nahezu orthogonal. Im allgemeinen gibt es keine Basis b1, . . . ,bn mit ‖bi‖ = λi

fur i = 1, . . . , n. Betrachte beispielsweise das Gitter L := Zn + Z ( 12 , . . . , 1

2 )t. Fur n ≥ 5 istλ1 = λ2 = · · · = λn = 1, doch die kanonischen Einheitsvektoren bilden keine Basis. Damit gibt eskeine Basis bestehend aus Vektoren der Lange 1.

Lemma 2.1.1 (Blichfeldt 1914)Sei L Gitter und S ⊂ span(L) kompakt mit vol(S) ≥ detL. Dann gibt es ein b ∈ L \ {0} mitS ∩ (S + b) 6= ∅, d.h. es existieren x,y ∈ S mit x− y ∈ L \ {0}.

Beweis. Zu i ∈ N sind die Mengen(1 + 1

i

)S und

(1 + 1

i

)S +bi mit bi ∈ L \ {0} nicht paarweise

disjunkt, weil das Volumen von(1 + 1

i

)S das der Grundmasche ubersteigt. Zu jedem i gibt es ein

17

18 KAPITEL 2. SUKZESSIVE MINIMA UND MINKOWSKI-SATZE

bi ∈ L \ {0}, so dass der folgende Durchschnitt nicht leer ist und somit ein yi enthalt:

yi ∈(1 + 1

i

)S ∩

[(1 + 1

i

)S + bi

]fur i = 1, 2, . . .

Da S kompakt ist, hat die Folge (yi)i∈N einen Haufungspunkt y ∈ S, so dass eine Teilfolge(bα(i)

)i∈N ⊂ L gegen y konvergiert. Die Folge

(bα(i)

)i∈N ⊂ L ist beschrankt und durchlauft nur

endlich viele Gitterpunkte. Mindestens ein Gitterpunkt b ∈ L \{0} wird unendlich oft durchlaufen.Es folgt: y ∈ S ∩ (S + b). �

Satz 2.1.2 (Erster Satz von Minkowski 1893)Sei L ⊂ Rn Gitter mit dimL = n und K ⊂ Rn sei Eichkorper zur Norm ‖ ‖. Dann gilt

λ1,‖ ‖(L) ≤ 2 vol(K)−1/n (detL)1/n.

Beweis. Fur S := (detL/ vol(K))1/nK gilt vol(S) = detL. Nach Lemma 2.1.1 existiert einb ∈ L \{0} mit S∩(S+b) 6= ∅. Sei y im Durchschnitt, also b,b−y ∈ S. Die Dreiecksungleichungliefert ‖b‖ ≤ ‖b− y‖+ ‖y‖ ≤ 2 (detL/ vol(K))1/n. �

Satz 2.1.3Sei L ⊂ Rm Gitter mit dimL = n und K ⊂ Rm Eichkorper zur Norm ‖ ‖. Dann gilt

λ1,‖ ‖(L) ≤ 2 vol(K ∩ span(L))−1/n detL1/n.

Beweis. Sei f : Rn → Rm Vektorraum-Isomorphismus mit det f = 1. Die Norm auf Rn seidurch den Eichkorper K ′ := f−1(K ∩ span(L)) erklart. Dann gilt ‖x‖ = ‖f(x)‖ und vol(K ′) =vol(K ∩ span(L)). Das Gitter L′ := f−1(L) hat detL′ = detL. und nach Satz 2.1.1 gilt

λ1,‖ ‖(L) = λ1,‖ ‖(L′) ≤ 2 vol(K ′)−1/n (detL)1/n = 2 vol(K ∩ L)−1/n (detL)1/n. �

Im Falle der Norm `∞ gilt in Satz 2.1.3 dass vol(K ∩ span(L)) ≥ 2n, denn fur isometrische Q istvol(K ∩ span(QL)) minimal fur span(QL) = Rn, also im Fall m = n. Damit liefert Satz 2.1.3 diescharfe Schranke λ1,∞(L) ≤ (detL)

1n . Es gilt λ1,∞(Zn) = 1 = (det Zn)

1n .

Satz 2.1.4 (Dirichlet 1842)Zu beliebigen reellen Zahlen α1, . . . , αn und ε ∈

]0, 1

2

[gibt es ganze Zahlen p1, . . . , pn und q mit

0 < q ≤ ε−n, so dass |αi − pi/q | ≤ ε/q fur i = 1, . . . , n.

Diesen Satz uber die simultane Approximation reeller Zahlen durch rationale Zahlen bewies Di-richlet inkonstruktiv mit dem Schubfachprinzip.

Beweis. Eine Losung (p1, ..., pn, q) findet man durch Konstruktion eines kurzesten Vektors in dersup-Norm `∞ zum Gitter L(B) mit folgender Gitterbasis

B =

1 0 · · · 0 α1

0 1. . .

... α2

.... . . . . . 0

...0 0 1 αn

0 · · · · · · 0 εn+1

∈ Z(n+1)2 .

Wegen det B = εn+1 gilt nach Satz 2.1.3 λ1,∞(L(B)) ≤ (detB)1

n+1 = ε. Fur jeden ‖ ‖∞-kurzestenGittervektor B(p1, ..., pn, q)t gilt also |pi − αiq | ≤ ε und |qεn+1| ≤ ε und somit |q| ≤ ε−n. �

2.2. PACKUNGSDICHTE, HERMITE-KONSTANTE, KRITISCHE GITTER 19

2.2 Packungsdichte, Hermite-Konstante, kritische Gitter

Es bezeichne Bn(b, r) = {x ∈ Rn : ‖x− b‖ ≤ r} die n-dimensionale Kugel mit Radius r undMittelpunkt b in span(L). Ihr Volumen ist mit e =

∑∞n=0 1/n! :

Vn rn := rnπn2 / Γ(1 + n

2 ) = rn( 2 eπn )

n2 ( 1

πn )1/2(1−Θ( 1n )).(2.1)

Dabei gilt Γ(

12

)=√

π, Γ(n + 1) = n!, Γ(x + 1) = x Γ(x) fur n ∈ N, x ∈ R. Fur x ∈ R>0 giltnach Stirling Γ(x + 1) =

√2πx (x

e )x (1 + 112x + Θ( 1

x2 )) [Knuth 71, Sektion 1.2.5, 1.2.11.2].

Gitterartige Kugelpackung. Die gitterartige Kugelpackung⋃

b∈L Bn(b, λ1/2) zum Gitter Lbesteht aus allen Kugeln Bn(b, λ1/2) mit Radius λ1/2 und Mittelpunkten b ∈ L.

Dichte des Gitters. Die (Packungs-)Dichte4(L) des Gitters L ist der Volumenanteil der Kugelnder gitterartigen Kugelpackung zu L bezogen auf span(L) und 4n ihr Supremum fur dimL = n:

4(L) =def λn12−nVn/ detL, 4n =def sup{4(L) | dimL = n}.

4(L) ist invariant gegen Aquivalenz, bleibt also bei Isometrie und Skalierung von L erhalten. Furkonstante n und det(L) ist die Dichte genau dann maximal, wenn λ1 maximal ist.

Der analoge Kode zum Gitter L. Nachrichten werden in Gittervektoren b ∈ L kodiert. DieKodeworte b ∈ L werden mit reellen Fehlervektoren e ∈ span(L) ubertragen. Ein gestortesKodewort b + e ist genau dann eindeutig dekodierbar, wenn ‖e‖ < λ1/2. Dann ist b namlichnachster Gittervektor zu b + e. Mit der Dichte 4(L) von L wachst also das Korrekturpotentialdes analogen Kodes.

Hermite-Konstante. Die Hermite-Invariante zum Gitter L der Dimension n ist

γ(L) := λ1(L)2/(detL)2n = (4(L)2n/Vn)2/n.

Die Hermite-Konstante γn der Dimension n ist

γn =def sup{γ(L) | dimL = n} = 4 (4n/Vn)2/n.

Es genugt das Supremum uber die vollstandigen Gitter L mit λ1(L) = 1 (bzw. mit detL = 1) zunehmen, denn γ(L) bleibt bei Aquivalenz erhalten. Weil beschrankte Basen dieser Gitter uber einenkompakten Bereich des Rn×n variieren, wird das Supremum angenommen, ist also ein Maximum.

Global extreme, kritische Gitter. Ein Gitter L mit dim(L) = n heißt global extrem oderkritisch, wenn γ(L) = γn, d.h., wenn 4(L) = 4n.

Extreme Gitter. Ein Gitter L heißt extrem, wenn γ(L), bzw. 4(L) bei infinitesimal kleinerVeranderung der Basisvektoren nicht zunimmt. Diese Eigenschaft hangt nicht von der Wahl derBasis von L ab. Jedes kritische Gitter ist extrem, aber die Umkehrung gilt nicht.

Satz 2.2.1γn = 4 (4n/Vn)2/n < 4

π Γ(1 + n

2

) 2n < 2n

eπ + 14 lnn fur n > n0.

Beweis. Sei L Gitter mit dim(L) = n und γ(L) = γn, 4(L) = 4n sowie detL = 1. NachAbbildung 2.2.1 ergeben die 2n Kugelteile in der Grundmasche des Gitters zusammen gerade eineKugel vom Radius λ1/2. Es folgt Vn(λ1/2)n = 4n detL = 4n < 1, somit gilt λ1 = 2 (4n/Vn)1/n

und γn = λ21 = 4 (4n/Vn)2/n < 4

π Γ(1 + n

2

) 2n ≤ 4

πn/2e + 2

eπ lnn + O( ln2 nn ) (nach Stirling). �

Der Beweis von Satz 2.2.1 benutzt nur 4n ≤ 1. Blichfeldt [Bli14] zeigt 4n ≤ (√

2 + o(1))−n

und damit die bessere Schranke

γn ≤ 2π Γ(2 + n

2

) 2n ≤ n

eπ + (3 + o(1)) lnn.(2.2)


q qqq]

λ1/2

p p p p p p p p p p p p p p ppp ppppp ppppppp pppppppppp pppppppppppp ppppppppppppppp

pppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp ppppppppppppp ppppppppppppp pppppppppppp pppppppppppp ppppppppppp pppppppppp ppppppppp pppppppp ppppppp pppp p p p p p p p p p p p p p p p

ppppppppppppp pppppppppppppp pppppppppppppp ppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp pppppppppp pppppppp pppppp ppp ppp pppppp pppppppp ppppppppp pppppppppp ppppppppppp pppppppppppp

Abbildung 2.2.1: Veranschaulichung von Vn(λ1/2)n < detL

Zum Beispiel gilt γ10 ≤ 2π (6!)0,2 ≈ 2, 373. Kabatiansky und Levenshtein [KaLe78] zeigen fur n ≥ n0

γn ≤ 1,7442eπ n.

Satz 2.2.2 (Minkowski, Hlawka)

4n ≥∑∞

k=1 k−n2−n+1 > 2−n+1 und γn > n+ln n2eπ fur n ≥ n0.

Minkowski bewies 1905 4n > 2−n+1 inkonstruktiv, siehe auch [Hlawka, 44]. Explizite Gitter mitDichte 4(L) ≥ 2−n+1 sind nur fur einige Dimensionen n < 200 bekannt. Aus 4n > 2−n+1 folgtmit der Stirling Approximation

γn = 4(4n/Vn)2/n ≥ (2/Vn)2/n = n2eπ (4πn)1/n(1 + Θ(n−2)) > n+ln n

2eπ fur n ≥ n0.

Umgekehrt zeigt die Gauß’sche Volumen-Heuristik dass γn . V−2/nn ≈ n

2eπ . Fur Gitter L ⊂ Rn

mit dimL = n, detL = 1 und zufallige r ∈ Rn gilt namlich:E[|L ∩ Bn(r, (2/Vn)1/n)|] = Vn(2/Vn)n/n = 2.

Verhalt sich r = 0 wie ein zufalliges r dann gilt λ1(L) ≤ (2/Vn)1/n, also γn . (2/Vn)2/n ≈ n+ln n2eπ .

Vermutlich gilt also γn ≈ n+ln n2eπ und somit 4n = 2−nnO(1). Vermutlich sind die Hermite-

Konstanten γn als Funktion in n monoton wachsend. Weder dies noch die Existenz des Grenzwerteslimn→∞ γn/n ist bewiesen.

n 2 3 4 5 6 7 8 24

γnn

43 2 4 8 26/3 26 28 248

4n 0, 907 0, 740 0, 617 0, 465 0, 373 0, 295 0, 254 V24 ≈ (πe12 )12

krit. Gitter A2 A3∼= D3 D4 D5 E6 E7 E8 Leech G. Λ24

Tabelle 2.2.2

Die bekannten Hermite-Konstanten. Die Hermite-Konstanten γ3, γ4, γ5 wurden von Gauß(γ3) sowie Korkine und Zolotareff (γ4, γ5) [KZ1872, KZ1873, KZ1877] bestimmt. Blichfeldt [Bli35]hat γ6, γ7, γ8 ermittelt. Blichfeldts Beweis ist kompliziert und wurde von Watson [W66] und Vet-chinkin [V82] bestatigt. Fur Dimension n ≤ 8 sind die kritischen Gitter bis auf Aquivalenz (Iso-metrie und Skalierung) eindeutig bestimmt. Dies wurde von Barnes [Bar59] und Vetchinkin [V82]bewiesen. Cohn [Co05] hat Λ24 bestimmt und gezeigt, dass das Leech-Gitter Λ24 kritisch und bisaud Aquivalenz eindeutig ist. Die Tabelle 2.2.2 zeigt die bewiesenen γn

n , die gerundeten maximalenDichten 4n, sowie kritische Gitter.

2.2. PACKUNGSDICHTE, HERMITE-KONSTANTE, KRITISCHE GITTER 21

Einfache GNF’s und Gram-Matrizen der kritischen Gitter. Die kritischen Gitter derDimension n = 1, ..., 8, skaliert zu λ1 =

√2 haben Basen mit einfacher GNF Rn = [r1, ..., rn]:

R8 :=√

2

1 12

12 0 0 0 0 0

0 12

√3 1

2√

31√3

0 0 0 0

0 0√

23

1√2·3

12

√32 0 0 0

0 0 0 1√2

12√

21√2

0 0

0 0 0 0 1√2

12√

21√2

0

0 0 0 0 0 12

√32

1√2·3

√23

0 0 0 0 0 0 1√3

12

1√3

0 0 0 0 0 0 0 12

.

Es gilt R1 ⊂ R2 ⊂ · · · ⊂ R8, dabei bedeutet ⊂ ‘obere linke’ Teilmatrix. Fur die Gram-MatrizenRt

nRn = [〈ri, rj〉]1≤i,j≤n gilt

〈ri, rj〉 =

2 fur i = j

1 fur 1 ≤ |i− j| ≤ 2 fur 1 ≤ i, j ≤ n und n = 1, ..., 8.0 sonst

(2.3)

Rt8R8 :=

2 1 1 0 · · · · · · · · · 0

1 2 1. . . . . .

...

1 1 2. . . . . .

...

0. . . . . . . . . . . .

......

. . . . . . . . . . . . 0...

. . . . . . 2 1 1...

. . . . . . 1 2 10 · · · · · · · · · 0 1 1 2

∈ Z8×8.

Nach Lemma 2.2.3 gilt λ1(Rn) =√

2. Man rechnet leicht nach, dass γnn = λ2n

1 det(L(Rn))−2 furdie γn

n , n ≤ 8 von Tabelle 2.2.2. Diese Gitter Λn := L(Rn) realisieren die Hermite-Konstanten γn.Sie sind kritisch und aquivalent sind zu Z, A2, ..., E8.

Die Gram-Matrizen RtnRn kann man so nicht auf n = 9 fortsetzen, denn dann gilt det(Rt

9R9) =0. Das Gitter Λ8 ist wegen det R8 = 1 selbstdual, es gilt Λ8 = Λ∗8. Damit ist jeder Vektorb ∈ span(Λ8) mit 〈ri,b〉 ∈ Z fur i = 1, ..., 8 bereits in Λ8. Die nach Def. 2.2.5 geschichteten GitterΛn haben, skaliert zu λ1 =

√2, GNF’s Rn mit R8 ⊂ Rn und Rt

nRn ∈ 12Zn×n, siehe [CoSl88,

Figur 4.13]. Man erhalt R9 z.B. mit 〈r9, ri〉 = 12 fur i = 1, ..., 8 oder mit 〈r9, r4〉 = 〈r9, r6〉 = 1 ,

12 = 〈r9, r5〉 und 〈r9, ri〉 = 0 sonst.

Lemma 2.2.3Fur jede ganze Gram-Matrix BtB ∈ Zn×n mit ‖b1‖2 = · · · = ‖bn‖2 = 2 gilt λ1(L(B)) =

√2.

Beweis. Wegen ‖b1‖ =√

2 gilt λ1(L) ≤√

2. Offenbar gilt ‖b‖2 ∈ 2 Z fur alle b ∈ L

‖∑n

i=1 tibi‖2 =∑

1≤i,j≤n titj 〈bi,bj〉=∑n

i=1 t2i 〈bi,bi〉+ 2∑

j<i titj 〈bi,bj〉 ∈ 2 Z.


Es folgt ‖∑n

i=1 tibi‖2 ∈ 2Z und somit λ1 =√

2. �

Definition 2.2.4Der Punkt z ∈ span(L) heißt tiefes Loch des Gitters L, wenn

‖z− L‖ = max{‖z′ − L‖ : z′ ∈ span(L)}.

Der Abstand ‖z − L‖ = min{‖z − y‖ : y ∈ L} zum tiefen Loch z ist der Uberdeckungsradius(covering radius) von L.

q qq q

qqq

tiefe Locher

L(b1,b2)q qq

�b2

tiefes LochL(b1)

Abbildung 2.2.2: Tiefe Locher in Λ1 und Λ2

Definition 2.2.5Das Gitter L(b1, . . . ,bn) ist geschichtet (laminated) bezuglich L(b1, . . . ,bn−1), wennbn − bn ∈ span(b1, . . . ,bn−1) tiefes Loch des Gitters L(b1, . . . ,bn−1) ist.

Die Erweiterungen Rn−1 ⊂ Rn und Λn−1 ⊂ Λn kann man so beschreiben, dass Λn fur n ≤8 geschichtetes Gitter zu Λn−1 nach Def. 2.2.5 ist. Der Prozess der Schichtung ist in beliebigeDimension n fortsetzbar. Die Gitter Λn fur n = 1, ..., 8 sind aquivalent zu den geschichtetenGittern Λn in [CoSl88] und sind dort zu λ1 = 2 skaliert. Zu ihrer Konstruktion, wahlen wirb1 =

√2(1, 0, . . . , 0)t ∈ Rn und b2, . . . ,bn so dass jeweils bn− bn tiefes Loch von L(b1, . . . ,bn−1)

ist und ‖bn‖2 = 2. Offenbar liefert diese Konstruktion geschichtete Gitter Λn beliebiger Dimension.Fur n = 11, 12, 13 und n > 24 gibt es jedoch mehrere Isometrieklassen geschichteter Gitter, siehe[CoSl88, Figur 6.1].

2.3 Zweiter Satz von Minkowski.

Satz 2.3.1Fur jedes Gitter L ⊂ Rm mit dimL = n gilt fur die `2-Norm

∏ni=1 λi(L) ≤ γ

n/2n detL.

Satz 2.3.1 verscharft die Ungleichung λ21 ≤ γn(detL)2/n. Fur kritische Gitter L gilt λn

1 = γn/2n detL

und wegen λi ≥ λ1 folgt somit λ1 = λ2 = · · · = λn.

Beweis. Seien a1, ...,an ∈ L linear unabhangige Vektoren, so dass ‖ai‖ = λi fur i = 1, . . . , n.L(a1, . . . ,an) ist ein Untergitter von L. Wahle die Basis b1, ...,bn von L so dass mit einer oberenDreiecksmatrix T ∈ Zn×n nach Satz 1.5.5 gilt [b1, . . . ,bn]T = [a1, . . . ,an]. Es gilt dann

b ∈ L(b1, . . . ,bn) \ L(b1, . . . ,bs−1) =⇒ ‖b‖ ≥ λs fur s = 2, ..., n,(2.4)

weil b /∈ span(b1, . . . ,bs−1) = span(a1, . . . ,as−1).

Wir setzen bi :=∑i

j=1 µi,jbj/λj fur 1 ≤ i ≤ n, L := L(b1, . . . , bn

)und zeigen λ1( L ) ≥ 1.

Sei b :=∑s

i=1 tibi ∈ L \ {0} ein beliebiger Vektor, ts 6= 0 und b :=∑s

i=1 tibi. Dann gilt∥∥b∥∥2 =∑s

j=1(∑s

i=j tiµi,j)2‖bj‖2λ−2j ≥

∑sj=1(

∑si=j tiµi,j)2‖bj‖2λ−2

s = λ−2s ‖b‖2,

2.3. ZWEITER SATZ VON MINKOWSKI. 23

so dass wegen (2.4) und ts 6= 0 die Behauptung ‖b‖2 ≥ 1 und damit λ1( L ) ≥ 1 folgt.

Aus det L = detL/∏n

i=1 λi sowie λ1( L ) ≥ 1 und nach Definition von γn folgt

1 ≤ λ1(L)2 ≤ γn (det L)2/n = γn (detL)2/n(∏n

i=1 λi)−2/n.

Erhebt man diese Ungleichung in die Potenz n/2 und multipliziert mit∏n

i=1 λi, so folgt die Be-hauptung

∏ni=1 λi(L) ≤ γ

n/2n detL. �

Lemma 2.3.2Fur jedes Gitter L mit dim L = n gilt fur die `2-Norm

∏ni=1 λi ≥ detL.

Beweis. Seien a1, . . . , an linear unabhangige Gittervektoren mit ‖ai‖ = λi fur i = 1, . . . , n. WeilL(a1, . . . , an) ein Untergitter von L ist, gilt detL(a1, . . . , an) ≥ detL. Ferner liefert die Unglei-chung von Hadamard

∏ni=1 λi =

∏ni=1 ‖ai‖ ≥ detL(a1, . . . , an).

Somit folgt die Behauptung∏n

i=1 λi ≥ detL. �

Satz 2.3.1 verallgemeinert auf eine allgemeine Norm mit Eichkorper K lautet:

Satz 2.3.3Seien λ1, . . . , λn die sukzessiven Minima des Gitters L ⊂ Rm mit dimL = n bezuglich einerbeliebigen Norm mit Eichkorper K, dann gilt detL/n! ≤ vol(K ∩ span(L)) 2−n

∏ni=1 λi ≤ detL.

Beweis. Der Satz stammt von Minkowski 1907, siehe Paragraph 9.1, Kapitel 2, [GrLek87]. Zuroberen Schranke siehe auch Theorem 16 [?]. �

Im Fall der sup-Norm `∞ gilt vol(K ∩ L) ≥ 2n fur K := {x ∈ Rm : ‖x‖∞ < 1} und dimL =n. Es gilt somit

∏ni=1 λi,∞ ≤ detL. Diese Schranke ist scharf, denn fur L = Zn gilt λi,∞ = 1 und

detL = 1. Die Scharfe der Schranke folgt daraus, dass die dichteste Gitterpackung des Rn mitdem Eichkorper K eine Zerlegung des Rn ist, namlich Rn = ∪b∈2 ZnK + b.

Fur vollstandige Gitter L kann man die Satze 2.1.3, 2.3.3 verbessern durch Berucksichtigungdes Volumenanteils 4n(K) der dichtesten Gitterpackung ∪b∈L′K + b ⊂ Rn fur Gitter L′ ⊂ Rn.Der Beweis von Satz 2.2.1 zeigt namlich fur vollstandige Gitter L ⊂ Rn dass

λn1,‖ ‖(L) ≤ 2n 4n (K) vol(K ∩ span(L)) detL.

Hierzu ersetze man im Beweis von Satz 2.2.1 die Kugel Bn(0, λ1/2) durch (λ1/2)K und Vn(λ1/2)n

durch vol(K) (λ1/2)n. Analog gilt weiter dass

n∏i=1

λni,‖ ‖(L) ≤ 2n 4n (K) vol(K ∩ span(L)) detL.

Kapitel 3

Gauß-Reduktion

Ziel ist es, fur Gitter der Dimension 2 eine Basis a,b zu finden, bestehend aus einem kurzestenVektor a 6= 0 und einem dazu kurzesten, linear unabhangigen Vektor b. Fur beliebige Norm ‖ ‖sind dies genau die Basen mit ‖a‖ ≤ ‖b‖ ≤ ‖a±b‖. Wir behandeln Reduktionsverfahren, erst furdie Euklidische Norm dann fur eine allgemeine Norm.

3.1 Reduzierte Basis

Reduzierte Basis. Sei ‖ ‖ : Rn → R≥0 eine beliebige Norm. Eine geordnete Gitterbasisa,b ∈ Rn ist reduziert bezuglich der Norm ‖·‖ wenn ‖a‖ ≤ ‖b‖ ≤ ‖a± b‖ .

Ist die Basis a,b reduziert, so sind auch ±a,±b reduzierte Basen des Gitters L(a,b). Abge-sehen von Ausnahmegittern gibt es nur diese vier reduzierten Basen. Die Basen ±a,±b sind innaturlicher Weise aquivalent. Wir nennen zwei Basen a,b und a′,b′ aquivalent, wenn a = ±a′,b = ±b′. Zwei der reduzierten Basen ±a,±b erfullen die Zusatzbedingung ‖a − b‖ ≤ ‖a + b‖.Der folgende Satz gilt fur eine allgemeine Norm ‖ ‖.

Satz 3.1.1Fur jede reduzierte Basis a,b ∈ Rn ist a ein kurzester Gittervektor 6= 0 und b ein dazu linearunabhangiger kurzester Gittervektor.

Beweis. Zu zeigen ist fur allgemeine Norm

‖a‖ ≤ ‖ra + sb‖ for all(r, s) ∈ Z2 \ {(0, 0)} ,

‖b‖ ≤ ‖ra + sb‖ for all(r, s) ∈ Z2 \ {(0, 0), (1, 0)} , s 6= 0.

Abb. 4.1.1 illustriert die Lage einer reduzierten Basis a,b. Betrachte das Parallelepiped Pmit den Eckpunkten ±a±b. Die Reduktionsbedingungen bedeuten, dass auf jeder der vier dickenKanten von P der mittlere Gitterpunkt ±a, ±b minimale Norm gegenuber den beiden Eckpunktenhat:

‖±a− b‖ ≥ ‖±a‖ ≤ ‖±a + b‖‖−a± b‖ ≥ ‖±b‖ ≤ ‖a± a‖ .

Fur eine allgemeine Norm und c > 0 ist der Bereich der Vektoren Kc = {x | ‖x‖ ≤ c} konvex.Wegen dieser Konvexitat hat die Norm auf jeder der vier Grenzgeraden von P, den Geraden±a + tb, ±b + ta fur t ∈ R, ihr Minimum jeweils auf der Kante des Randes von P. Damit nimmtdie Norm in jedem der vier gepunkteten Bereiche der Abb. 4.1.1 ihr Minimum im jeweiligenEckpunkt ±a± b an. Daher sind a,b offenbar zwei kleinste, linear unabhangige Gitterpunkte. �

25

26 KAPITEL 3. GAUSS-REDUKTION

rr

rr

r

r r rr r r

r rr r

r rr

r p pp p pp p p pp p p pp pp p p p p p pp p p p p p pp p p p p pp p p p p p

p p p p p p p

p p p p p p p pp p p p p p p pp p p p p p p pp p p p p p pp p p p p p pp pp pp p

p p p

�

-

s

0

a

b

+a + b

−a + b

1

p pp p

p p p−a− b

−b

+a− b

Abbildung 3.1.1: Reduzierte Basis a,b

3.2 Reduktionsverfahren fur die Euklidische Norm

Fur die Euklidischen Norm ‖x‖ =√

xtx gilt offenbar mit µ2,1 = atb ‖a‖−2 dassµ2,1 ≤ 1

2 ⇐⇒ ‖b‖ ≤ ‖a− b‖ ,µ2,1 ≥ 0 ⇐⇒ ‖a− b‖ ≤ ‖a + b‖ .

Damit ist die Basis a,b genau dann reduziert, wenn ‖a‖ ≤ ‖b‖ , |µ2,1| ≤ 12 . Wir betrachten nur

reduzierte Basen mit der Zusatzbedingung µ2,1 ≥ 0.

-

-a

Yµ2,1 = 1

2

)‖a‖ = ‖b‖

R

µ2,1 = 0

�

b

ppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp

ppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp

Abbildung 3.2.1: Bereich der reduzierten Basen a,b mit µ2,1 ≥ 0

Abbildung 3.2.1 zeigt zu festem a den gepunkteten Bereich der Vektoren b der reduziertenBasen a,b mit µ2,1 ≥ 0. Sei φ = ∠(a,b) der Winkel zwischen den Gittervektoren a,b, cos φ =

atb‖a‖·‖b‖ . Fur reduzierte Basen a,b gilt 60◦ ≤ φ ≤ 90◦.

Im Fall µ2,1 = 12 ist mit a,b auch a,a− b reduziert. Im Fall ‖a‖ = ‖b‖ ist mit a,b auch b,a

reduziert. In den ubrigen Fallen gibt es nur die reduzierten Basen ±a,±b.

3.2. REDUKTIONSVERFAHREN FUR DIE EUKLIDISCHE NORM 27

Algorithmus 3.2.1 Gauß-Reduktionsverfahren fur die Euklidische Norm

EINGABE : Gitterbasis b1,b2 ∈ Rn mit ‖b1‖ ≤ ‖b2‖

WHILE |µ2,1| > 12 DO /∗ µ2,1 = b>1 b2‖b1‖−2 ∗/

1. b2 := b2 · sign(µ2,1) /∗ wir erreichen µ2,1 ≥ 0 ∗/2. b2 := b2 − dµ2,1cb1

3. IF ‖b1‖ > ‖b2‖ THEN vertausche b1 und b2

AUSGABE : Reduzierte Basis b1,b2

Eine Runde der Schritte 1. 2. 3. sichert in Schritt 1. durch Vorzeichenwahl von b2 dassµ2,1 ≥ 0, reduziert in Schritt 2. gemaß b2 := b2 − dµ2,1cb1 und vertauscht in Schritt 3. sofernnicht schon ‖b1‖ ≤ ‖b2‖ gilt. Nach Schritt 1. gilt stets ‖b1‖ ≤ ‖b2‖ und µ2,1 ≥ 0. Die Schritte 2.3. lauten bei Vertauschung in Matrizenschreibweise

[b1,b2] := [b1,b2][−dµ2,1c 1

1 0

].

In Schritt 3. wird bis auf die letzte Runde notwendigerweise vertauscht.

Zu gegebener reduzierten Ausgabebasis b1,b2 und Rundenzahl k der Gauß-Reduktion identi-fizieren wir eine minimale Eingabebasis, welche in k Runden auf b1,b2 reduziert wird. Die Mini-malitat der Basis bedeutet, dass ihre Vektoren minimale Lange haben. Eine solche Eingabebasisheißt eine minimale k-te Vorgangerbasis zu b1,b2.

Satz 3.2.11. Zur reduzierten Basis b1,b2 und Rundenzahl k ist [b1,b2]Ak minimale k-te Vorgangerbasis

mit Ak =def

[0 11 1

] [0 11 2

]k−2 [ 0 11 1

].

2. Algorithmus 3.2.1 macht zur Eingabe b1,b2 hochstens log1+√

2(‖b1‖ /λ2) + 2.54 Runden.

Wohlgeordnete Basis. Eine Basis b1,b2 heißt wohlgeordnet wenn ‖b1‖ ≤ ‖b1−b2‖ < ‖b2‖.Dies ist fur die Euklidischen Norm aquivalent zu 0 < µ2,1 ≤ 1

2 , ‖b1‖ < ‖b2‖. In Schritt 1. wirdalso eine wohlgeordnete Basis erzeugt, es sei denn die Basis ist schon reduziert. Offenbar geltenfolgende Aussagen.

Lemma 3.2.2Fur jede nicht reduzierte Basis mit ‖b1‖ ≤ ‖b2‖ ist genau eine der Basen b1,±b2 wohlgeordnet.

Lemma 3.2.3Wendet man die Schritte 2. 3. an auf zwei aquivalente Basen b1,b2 und b′1,b

′2, so bleibt die

Aquivalenz erhalten.

Wegen Lemma 4.2.3 gibt es zu gegebener reduzierten Basis eine minimale k-te Vorgangerbasis,bei deren Reduktion das Vorzeichen von b2 in Schritt 1. nie verandert wird. Dies folgt aus demLemma, weil aquivalente Basen in der Lange der Vektoren gleich sind.

Die Gauß-Reduktion mit k Runden erzeugt in Schritt 1. eine Folge wohlgeordneter Basen(bk+1,bk+2), (bk,bk+1), . . . , (b2,b3) und schließlich die reduzierte Basis (b1,b2). Bleibt das Vor-


zeichen von b2 in Schritt 1. stets unverandert, und wird in der letzten Runde in Schritt 3. ge-tauscht, dann ist die k-te Vorgangerbasis (bk+1,bk+2) zur reduzierten Basis (b1,b2) von der Form

[bk,bk+1] = [b1,b2]∏

i=1,...,k

[0 11 µ(i)

].

Dabei ist µ(i) = dµ2,1c der ganzzahlige Reduktionskoeffizient der i-ten Runde. Die behauptete

Form von (bk+1,bk+2) folgt, weil[0 11 µ(i)

]die Inverse zur Matrix

[−µ(i) 1

1 0

]ist, welche die

Schritte 2. 3. beschreibt. Wegen µ2,1 > 12 gilt µ(i) ≥ 1.

Lemma 3.2.4Sei b1,b2 ∈ Rn wohlgeordnete Basis, welche durch die Schritte 2. 3. in die wohlgeordnete Basisb′1 = b2 − dµ2,1cb1, b′2 = b1 transformiert wird. Im Fall ∠(b1,b′1) < 30o gilt µ′2,1 > 3

2 .Im Fall ∠(b1,b′1) ≥ 30o gibt es eine reduzierte Basis bestehend aus den Vektoren b′1,b

′2,b

′2−b′1.

Das Lemma zeigt, dass der ganzzahlige Reduktionskoeffizient µ(i) = dµ2,1c stets mindestens 2ist, ausgenommen die erste und letzte Runde.

Beweis. Wir betrachten nur den Fall dass 〈b1,b′1〉‖b1‖−2 = 12 , weil dann ‖b′1‖/‖b1‖ maximal

ist.

Abbildung 3.1: Der Fall ∠(b1,b′1) = 30, 〈b1,b′1〉‖b1‖−2 = 12

Im Fall ∠(b1,b′1) = 30o gilt 34‖b

′1‖2 = 1

4‖b1‖2. Daher gilt im Falle ∠(b1,b′1) < 30o offenbar‖b1‖2 < 3 ‖b′1‖2. Es folgt die Behauptung

µ′2,1 = 〈b1,b′1〉‖b′1‖−2 ≥ 3 〈b1,b′1〉‖b1‖−2 > 32 .

Im Falle ∠(b1,b′1) > 30o gilt 12 < µ′2,1 < 3

2 . Sofern die Basis b′1,b′2 nicht schon reduziert ist,

wird in der nachsten Runde b′2 − b′1 gebildet und die Reduktion bricht ab. �

Beweis von Satz 4.2.1. Betrachte nun den Fall dass (b2,b3) = (b′1,b′2) direkte Vorgangerbasis

ist zur reduzierten Basis b1,b2 gemaß Lemma 4.2.4. Es sei also b1,b2 eine Auswahl von b′1,b′2,b

′2−

b′1. Dann ist

[bk+1,bk+2] = [b1,b2][

0 11 1

] [0 11 2

]k−2 [ 0 11 1

].

eine minimale k-te Vorgangerbasis (bk+1,bk+2) zur reduzierten Basis (b1,b2). Wegen Lemma4.2.4 gilt namlich µ(i) ≥ 2 fur die ganzzahligen Reduktionskoeffizienten mit 1 < i < k undµ(1) = µ(k) = 1. Offenbar wird bk+1,bk+2 minimal, wenn in der letzten Runde in Schritt 3.getauscht wird.

Die Koeffizienten ak der Matrix[

0 11 2

]k

=[

ak−2 ak−1

ak−1 ak

]genugen der Rekursion

a0 = 0, a1 = 1, a2 = 2 und ak = 5 ak−2 +2 ak−3 fur k ≥ 3. Es gilt 2ak−3 +ak−2 ≥ 1.5 (1+√

2)k−3.

Somit gilt[bk+1,bk+2] [bk+1,bk+2]t = Ak [b1,b2]t[b1,b2]At

k

3.2. REDUKTIONSVERFAHREN FUR DIE EUKLIDISCHE NORM 29

fur die Matrix Ak =[

ak−2 ak−2 + ak−3

ak−4 + ak−3 ak−4 + 2ak−3 + ak−2

]. Wegen 〈b1,b2〉 ≥ 0 folgt

‖bk+1‖ ≥ (ak−4 + 2ak−3 + ak−2)‖b2‖ ≥ 1.5 (1 +√

2)k−3 λ2.

Somit gilt k ≤ 2.54 + log1+√

2(‖bk+1‖/λ2), weil 2.54 > 3− log 1.5/ log(1 +√

2). �

Algorithmus 3.2.2 Gauß-Reduktionsverfahren fur beliebige Norm

EINGABE : Wohlgeordnete Gitterbasis b1,b2 ∈ Rn mit ‖b1‖ ≤ ‖b2‖

WHILE ‖b2‖ > ‖b1 − b2‖ DO

1. b2 := b2 − µb1 mit µ ∈ Z derart, dass ‖b2 − µb1‖ minimal ist

2. IF ‖b1 + b2‖ < ‖b1 − b2‖ THEN b2 := −b2

3. vertausche b1 und b2

AUSGABE : Reduzierte Basis b1,b2

Korrektheit. Nach Schritt 1. gilt ‖|b2‖| ≤ ‖b1 ± b2‖, nach Schritt 2. gilt ‖b2‖ ≤ ‖b1 − b2‖ ≤‖b1 + b2‖ und nach Schritt 3. gilt ‖b1‖ ≤ ‖b1 − b2‖ ≤ ‖b1 + b2‖. Falls nach Schritt 3. ‖b2‖ ≤‖b1 − b2‖ gilt, dann gilt auch ‖b1‖, ‖b2‖ ≤ ‖b1 ± b2‖.

Die Rundenzahl fur dieses Verfahren ist beschrankt durch log1+√

2(‖b1‖/λ2,‖ ‖) + O(1). Dabeiist λ2,‖ ‖ das zweite sukzessive Minimum zur Norm ‖ ‖. Eine ausfuhrliche Analyse findet sichin [KS96] sowie in [Ka94]. Dort werden effiziente Algorithmen fur den Schritt 1. in der l1- undsup-Norm vorgestellt.

Kapitel 4

LLL-reduzierte Gitterbasen

LLL-reduzierte Gitterbasen b1, . . . , bn ∈ Rm beliebigen Ranges n wurde 1982 von A.K. Lenstra,H.W. Lenstra und L. Lovasz [LLL82] eingefuhrt. Der LLL-Algorithmus ist das erste Reduktions-verfahren fur ganzzahlige Gitterbasen mit einer polynomiellen Laufzeit und Approximationsfaktor‖bi‖2/λ2

i ≤ 2n. Es basiert auf der Gauß-Reduktion in Dimension n = 2.

4.1 Definition und Eigenschaften

Wir fuhren den Begriff der LLL-reduzierten Basis ein und zeigen, dass die Langen der Basisvektorendie sukzessiven Minima des Gitters grob approximieren. Seien b1, ..., bn das der Basis b1, ..., bn

zugeordnete Orthogonalsystem und µi,j die Gram-Schmidt-Koeffizienten.

Definition 4.1.1 (LLL-reduzierte Basis)Eine Gitterbasis b1, ..., bn ∈ Rm heißt LLL-reduziert (oder LLL-Basis) mit δ, 1

4 < δ ≤ 1, wenn

1. |µi,j | ≤ 12 fur 1 ≤ j < i ≤ n,

2. δ ‖bk−1‖2 ≤ ‖bk‖2 + µ2k,k−1 ‖bk−1‖2 fur k = 2, . . . , n.

Basen mit der Eigenschaft 1. heißen langenreduziert. Der Parameter δ kontrolliert die Gute derreduzierten Basis: je kleiner δ um so schwacher ist die Reduktion. A.K. Lenstra, H.W. Lenstra undL. Lovasz [LLL82] studieren die LLL-Reduktion speziell fur den Parameter δ = 3

4 . Fur δ < 1 hatdas LLL-Reduktionsverfahren polynomielle Laufzeit. Offenbar ist die LLL-reduziertheit einer Ba-sis invariant gegen isomorphe Transformationen: B = QR ist LLL-Basis gdw R eine LLL-Basis ist.

Fur δ = 1 und n = 2 ist eine Basis LLL-reduziert mit δ genau dann wenn sie Gauß-reduziert ist.Mit der orthogonalen Projektion πk : Rm → span(b1, ..., bk−1)

⊥ ist die Bedingung δ ‖bk−1‖2 ≤‖bk‖2+µ2

k,k−1 ‖bk−1‖2 aquivalent zu δ ‖πk−1(bk−1)‖2 ≤ ‖πk−1(bk)‖2. Eine Basis b1, ..., bn ist somitLLL-reduziert mit δ wenn sie langenreduziert ist und wenn die Basen πk−1(bk−1), πk−1(bk) LLL-

reduziert sind mit δ. Letzteres bedeutet dass die Spalten der 2×2-Matrix

[‖bk−1‖ µk,k−1‖bk−1‖

0 ‖bk‖

]LLL-reduziert sind mit δ.

Lemma 4.1.2Fur jede LLL-basis b1, ..., bn mit δ und α = (δ − 1

4 )−1 gilt

‖bi‖2 ≤ αj−i ‖bj‖2 fur 1 ≤ i ≤ j ≤ n.

31

32 KAPITEL 4. LLL-REDUZIERTE GITTERBASEN

Fur δ = 34 , α = 2, i = 1 gilt ‖b1‖2 ≤ 2j−1 ‖bj‖2, so dass die Langenquadrate ‖bj‖2 fur große j

nicht beliebig klein werden.

Beweis. Die Eigenschaften einer LLL-reduzierten Basis implizieren

δ ‖bi‖22≤ ‖bi+1‖2 + µ2

i+1,i ‖bi‖21≤ ‖bi+1‖2 + 1

4 ‖bi‖2,

und somit(δ − 1

4

)‖bi‖2 ≤ ‖bi+1‖2. Durch Induktion uber j − i folgt ‖bi‖2 ≤ αj−i ‖bj‖2. �

Lemma 4.1.3Fur jede Basis b1, . . . , bn des Gitters L gilt λj(L) ≥ mini=j,...,n ‖bi‖ fur j = 1, ..., n.

Beweis. Es gibt linear unabhangige Vektoren a1, . . . , an ∈ L, so dass ‖aj‖ = λj(L) fur j =1, . . . , n. Sei

ak =∑n

i=1 tikbi =∑n

i=1 tik bi fur k = 1, . . . , n.

Dabei sind die Koeffizienten tik ganzzahlig und die tik reell. Sei µ(k) := max {i : tik 6= 0}.

Wegen bi =∑i

j=1 µi,j bj und µi,i = 1, ist tµ(k),k = tµ(k),k ganzzahlig. Wegen der linearenUnabhangigkeit der Vektoren a1, . . . , aj gibt es zu jedem j ein k ≤ j mit µ(k) ≥ j. Denn aus derAnnahme µ(k) < j fur k = 1, . . . , j folgt a1, . . . , aj ∈ span(b1, . . . , bj−1), so dass a1, . . . , aj linearabhangig sind — Widerspruch. Aus k ≤ j, µ(k) ≥ j folgt

λ2j ≥ λ2

k = ‖ak‖2 ≥ t2µ(k),k‖bµ(k)‖2 ≥ ‖bµ(k)‖2 ≥ mini=j,...,n ‖bi‖2. �

Die untere Schranke zu λj in Lemma 4.1.3 gilt fur beliebige Basen. Fur LLL-reduzierten Basen ist‖bj‖ grobe Approximation zu λj , es gilt namlich

Satz 4.1.4 (Lenstra, Lenstra, Lovasz 1982)Jede mit δ LLL-reduzierte Basis b1, ..., bn des Gitters L erfullt mit α = (δ − 1

4 )−1

1. α1−j ≤ ‖bj‖2λj(L)−2 fur j = 1, . . . , n,

2. ‖bj‖2 λj(L)−2 ≤ αn−1 fur j = 1, . . . , n,

3. ‖bk‖2 ≤ αj−1 ‖bj‖2 fur k ≤ j.

Beweis. Wir zeigen zunachst die erste und dritte Aussage. Offenbar gibt es ein k mit 1 ≤ k ≤ jund λj ≤ ‖bk‖. Es folgt

λ2j ≤ ‖bk‖2 ≤ ‖bk‖2 + 1

4

∑k−1i=1 ‖bi‖2

≤ ‖bj‖2(αj−k + 14

∑k−1i=1 αj−i) (nach Lemma 4.1.2)

= ‖bj‖2αj−1(α1−k + 14

∑k−1i=1 α1−i).

Damit gilt die obere Schranke fur ‖bk‖2 fur alle k und j mit k ≤ j. Es bleibt noch zu zeigen, dass

α1−k + 14

∑k−1i=1 α1−i ≤ 1.

Fur k = 1 gilt die Ungleichung offenbar. Fur k ≥ 2 gilt mit α−1 = δ − 14 ≤

34 dass

α1−k + 14

∑k−1i=1 α1−i︸︷︷︸

geom. Reihe

≤(

34

)k−1 + 14

1−( 34 )

k−1

1− 34

= 14

11− 3

4= 1.

4.2. DAS LLL-REDUKTIONSVERFAHREN 33

Damit sind die erste und die dritte Behauptung gezeigt. Nach Lemma 4.1.3 gibt es ein k ≥ j, sodass λj ≥ ‖bk‖. Es folgt

λ2j ≥ ‖bk‖2 ≥ α−k+j ‖bj‖2 (wegen Lemma 4.1.2)

≥ α−k+1 ‖bj‖2 (wegen 3. Aussage des Satzes mit k = j)

≥ α−n+1 ‖bj‖2 (wegen k ≤ n und α ≥ 1)

�

Korollar 4.1.5Jede mit δ LLL-reduzierte Basis b1, . . . , bn erfullt

1. ‖b1‖2 ≤ αn−1

2 (detL)2n ,

2.n∏

i=1

‖bi‖2 ≤ α(n2)(detL)2.

Beweis. Aus∏n

i=1 ‖bi‖2 = (det L)2 und ‖b1‖2 ≤ ‖bi‖2 αi−1 ( Lemma 4.1.2 ) folgt

‖b1‖2n ≤ α1α2 · · · αn−1∏ni=1‖bi‖2 = α(n

2) (detL)2,

und somit‖b1‖2 ≤ α

n−12 (detL)

2n .

Die zweite Aussage folgt aus∏n

i=1 ‖bi‖2 = (det L)2 und ‖bi‖2 ≤ ‖bi‖2αi−1, der dritten Aussagevon Satz 4.1.4 fur k = j = i. �

4.2 Das LLL-Reduktionsverfahren

Wir beschreiben ein Verfahren zur LLL-Reduktion von ganzzahligen Gitterbasen mit polynomiellerLaufzeit. Es handelt sich bis auf kleine Verbesserungen um das Verfahren von A.K. Lenstra,H.W. Lenstra und L. Lovasz [LLL82]. Wir zahlen die Anzahl der arithmetischen Schritte aufganzen Zahlen und beschranken den Absolutwert der im Verfahren auftretenden ganzen Zahlen.

4.2.1 LLL-Verfahren

Algorithmus 4.2.1 transformiert eine ganzzahlige Gitterbasis in eine mit δ LLL-reduzierte Basisdesselben Gitters. Der Algorithmus reduziert sukzessive einen moglichst großen Anfangsabschnittb1, ..., bk−1 der Basis. Bei Eintritt in Stufe k ist die Basis b1, . . . , bk−1 stets LLL-reduziert mit δ.Am Ende ist k = n + 1 und die gesamte Basis b1, . . . , bn ist reduziert.

Das Verfahren ist wohldefiniert, und operiert auf Stufe k mit den rationalen Zahlen µi,j , ‖bi‖2fur 1 ≤ i, j ≤ k und den ganzzahligen Vektoren b1, ..., bk, siehe Lemma 4.2.2. Die Langenreduktionvon bk sichert, dass die im Verfahren auftretenden ganzen Zahlen polynomielle Bitlange zur Langeder Eingabe haben. Dies gilt insbesondere fur Zahler und Nenner der rationalen Zahlen µk,j , ‖bk‖2,siehe Satz 4.2.6. Es bezeichne

M := max( ‖b1‖2, ..., ‖bn‖2 ),

Di := det L(b1, . . . , bi)2 = det [〈bs, bt〉]1≤s,t≤i =∏i

j=1‖bj‖2 ∈ N,(4.1)

D :=∏n−1

i=1 Di, M := maxi=1,...,n( ‖bi‖2, Di ).


Algorithmus 4.2.1 zur LLL-Reduktion

EINGABE : Gitterbasis b1, . . . , bn ∈ Zm, δ mit 14 < δ < 1

1. k := 2, ‖b1‖2 := ‖b1‖2 /∗ k ist die Stufe ∗/2. WHILE k ≤ n DO

/∗ b1, . . . , bk−1 ist stets LLL-reduziert ∗/

berechne µk,j fur j = 1, . . . , k und ‖bk‖2 gemaß Lemma 4.2.2

Langenreduziere bk, aktualisiere µk,1, . . . , µk,k−1

IF δ ‖bk−1‖2 > ‖bk‖2 + µ2k,k−1‖bk−1‖2

THEN vertausche bk−1 und bk /∗ kurz bk−1 ↔ bk ∗/

IF k = 2 THEN aktualisiere ‖b1‖2

k := max(k − 1, 2)

ELSE k := k + 1 end while

AUSGABE : LLL-reduzierte Basis b1, ..., bn.

Die Gram-Determinante Di ist die Determinante der Gram-Matrix der Teilbasis b1, ..., bi. DieGroßen M,M beziehen sich im Folgenden immer auf die Eingabebasis, wahrend Di und D sichbei Basistransformationen andern. DStart ist der Wert von D zur Eingabe.

Korrektheit. Auf Stufe k ist die Teilbasis b1, ..., bk−1 stets LLL-reduziert. Dies folgt durch In-duktion uber die Abfolge der Iterationen. Eine Iteration ist die Abfolge der Schritte der WHILE-Schleife bis zur Aktualisierung von k.

Lemma 4.2.1Die LLL-Reduktion fuhrt zu gegebener ganzzahligen Basis b1, ..., bn ∈ Zm hochstenslog1/δ

(DStart

)≤ n log1/δ M Austausche bk−1 ↔ bk durch.

Beweis. Die Gram-Determinante Di ist ganzzahlig und positiv. Wir zeigen, dass jeder Austauschbk−1 ↔ bk D um den Faktor δ erniedrigt, Dneu ≤ δ Dalt. Wegen DEnde ∈ N folgt dann

DStart ≥ DEnde (1/δ)#Austausche ≥ (1/δ)#Austausche.(4.2)

Die Gitter L(b1, . . . , bi) mit i 6= k − 1 werden beim Austausch bk−1 ↔ bk nicht verandert. Alsobleiben die Determinanten Di mit i 6= k − 1 erhalten. Im LLL-Verfahren wird nur ausgetauschtwenn

δ ‖bk−1‖2 > ‖bk‖2 + µ2k,k−1 ‖bk−1‖2 = ‖bneu

k−1‖2.

Wegen Dk−1 =∏k−1

i=1 ‖bi‖2 bewirkt der Austausch bk−1 ↔ bk, dass

Dneuk−1 ≤ δ Dalt

k−1und Dneu ≤ δ Dalt.

Nach (4.2) ist die Anzahl der Austausche hochstens log1/δ

(DStart

). Wegen DStart

i ≤ Di ≤ M

folgt DStart =∏n−1

i=1 Di ≤ Mn−1

und somit #Austausche ≤ (n− 1) log1/δ M . �

Wieviele arithmetische Schritte fuhrt das LLL-Verfahren pro Austausch durch ? WievieleSchritte kostet die Berechnung von µk,1, ..., µk,k und ‖bk‖2 auf Stufe k ?


Lemma 4.2.2Die Berechnung von µk,1, ..., µk,k und ‖bk‖2, sowie die Langenreduktion von bk auf Stufe k gehenin O(k m) arithmetischen Schritten.

Beweis. Die µk,j fur j = 1, ..., k und ‖bk‖2 werden durch folgende O(k m) Schritte berechnet

FOR j = 1, . . . , k − 1 DO µk,j := (〈bk, bj〉 −∑j−1

i=1 µk,i µj,i ‖bi‖2)/‖bj‖2,

µk,k := 1, ‖bk‖2 := 〈bk, bk〉 −∑k−1

j=1 µ2k,j‖bj‖2.

Die Langenreduktion von bk geht mit folgenden O(k m) Schritten

FOR j = k − 1, ..., 1 DO bk := bk − dµk,jcbj , µk,i := µk,i − dµk,jcµj,i fur i = 1, ..., k. �

Aufgrund von Lemma 4.2.1 und 4.2.2 fuhrt das LLL-Verfahren hochstens O(n2m log1/δ M)arithmetischen Schritte aus, siehe Satz 4.2.6. Wie groß werden aber die wahrend des LLL-Verfahrensauftretenden ganzen Zahlen ? Wir schatzen in den nachsten drei Lemmata die Absolutwerte derZahler und Nenner der rationalen Zahlen µj,i, ‖bi‖2 wahrend der LLL-Reduktion ab.

Lemma 4.2.3Fur jede ganzzahlige Eingabebasis b1, ..., bn ∈ Zm gilt 1. Di−1 bi ∈ Zm, 2. Dj µi,j ∈ Z.

Beweis. 1. Aus [b1, ..., bn] = [b1, . . . , bn] [µi,j ]T folgt fur [νi,j ] := [µi,j ]−1 dass

[b1, . . . , bn] = [b1, ..., bn] [νi,j ]T.

Dabei sind [νi,j ]>, [µi,j ]> ∈ Qn×n obere Dreiecksmatrizen mit Einsen auf der Diagonalen.Wegen 〈bi, bj〉 = 0 fur j = 1, 2, . . . , i− 1 folgt aus bi = bi +

∑i−1t=1 νi,tbt und νi,i = 1 dass

−〈bi, bj〉 =i−1∑t=1

νi,t 〈bt, bj〉 fur j = 1, 2, . . . , i− 1.

Diese i − 1 Gleichungen definieren νi,1, νi,2, . . . , νi,i−1. Die Determinante des Gleichungssy-stems ist Di−1 = det [〈bj , bk〉]1≤j,k≤i−1 6= 0. Nach der Cramer’schen Regel gilt

Di−1 νi,j ∈ Z fur j = 1, . . . , i− 1.

Aus bi = bi +∑i−1

j=1 νi,jbj folgt Di−1 bi ∈ Zm.

2. Wegen Dj =∏j

i=1 ‖bi‖2 gilt

Dj µi,j = Dj〈bi, bj〉‖bj‖2

= Dj−1 〈bi, bj〉 = 〈bi, Dj−1 bj〉.

Aus Dj−1 bj ∈ Zm folgt somit Dj µi,j ∈ Z.

�

Lemma 4.2.4Auf Stufe k des LLL-Verfahrens gilt stets

1. ‖bi‖2 ≤ i+34 M fur i = 1, . . . , k,

2. |µi,j |2 ≤ i+34 M αj−1 fur 1 ≤ j < i < k.


Beweis.

1. Im LLL-Verfahren bleiben bis auf die Langenreduktion von bk auf Stufe k die Langen derBasisvektoren unverandert. Nach der Langenreduktion von bk gilt

‖bk‖2 =∑k

j=1 µ2k,j‖bj‖2 ≤ ‖bk‖2 + k−1

4 max( ‖b1‖, ..., ‖bk−1‖2 ) ≤ k+34 M.

Denn im LLL-Verfahren gilt stets maxi ‖bi‖2 ≤ M := max( ‖b1‖2 , ..., ‖bn‖2 ).Fur jeden Austausch bk−1 ↔ bk gilt namlich ‖bneu

k−1‖2 ≤ δ ‖baltk−1‖2, ‖bneu

k ‖2 ≤ ‖baltk−1‖2.

2. Nach Definition der Gram-Schmidt-Koeffizienten und der Cauchy-Schwarz-Ungleichung gilt

|µi,j |2 =|〈bi, bj〉2|‖bj‖4

≤ ‖bi‖2 ‖bj‖2

‖bj‖4≤ ‖bi‖2

‖bj‖2.

Weil b1, ..., bk−1 LLL-reduziert ist, gilt

|µi,j |2 ≤ i+34 M ‖bj‖−2 (wegen ‖bi‖2 ≤ i+3

4 M)

≤ i+34 M αj−1 ‖b1‖−2 (nach Lemma 4.1.2)

≤ i+34 M αj−1 (weil ‖b1‖2 = ‖b1‖2 ∈ Z).

�

Lemma 4.2.5Wahrend der Langenreduktion von bk auf Stufe k gilt |µk,j |2 ≤ k+3

4 M(

9α4

)k−1 fur j < k.

Beweis. Der Reduktionsschritt

bk := bk − dµk,ic bi fur i < k

der Langenreduktion wird begleitet von

µk,j := µk,j − dµk,ic µi,j︸︷︷︸|µi,j |≤1/2

fur j = 1, 2, ..., k − 1.(4.3)

Jeder dieser k − 1 Schritte verandert Mk := maxj<k |µk,j | wegen dµk,ic ≤ Mk + 12 derart dass

Mneuk ≤ Malt

k + 12

(Malt

k + 12

)≤ 3

2 Maltk + 1

4(4.4)

Nach Lemma 4.2.4 gilt vor der Langenreduktion von bk dass

Mk ≤√

k+34 M αk−1.

Wegen (4.4) erhoht sich die Große Mk wahrend der Langenreduktion von bk hochstens um denFaktor

(32

)k−1 (der Summand 14 kann vernachlassigt werden). Also gilt

|µk,j |2 ≤(

32

)2(k−1) (k+34 M αk−1

)= k+3

4 M(

9α4

)k−1.

�

Satz 4.2.6Zu gegebener ganzzahliger Basis b1, . . . , bn ∈ Zm liefert Algorithmus 4.2.1 eine LLL-reduzierteBasis. Mit M := maxi(‖bi‖2, Di) macht der Algorithmus hochstens O(n2m log1/δ M) arithme-tische Schritte auf den Koordinaten der bi und den rationalen Zahlen µi,j , ‖bi‖2. Die Bitlangeder auftretenden ganzen Zahlen, insbesondere der Zahler und Nenner von µi,j , ‖bi‖2 ist hochstensO(n + log2 M).


Beweis. Nach Lemma 4.2.1 gilt

#Austausche ≤ log1/δ DStart ≤ (n− 1) log1/δ M ≤(n2

)log2 M.

Die LLL-Reduktion beginnt mit Stufe k = 2 und endet mit Stufe k = n + 1. Jeder Austauscherniedrigt die Stufe k gemaß k := min(k − 1, 2). Zu jeder Iteration mit Austausch und Stufener-niedrigung gibt es hochstens eine Iteration mit Stufenerhohung k := k + 1 ohne Austausch. Esfolgt

#Iterationen ≤ n− 1 + 2 #Austausche = n + 2n log1/δ M.

Jede Iteration erfordertO(km) = O(nm) arithmetische Schritte. Damit ist die Schrittzahl hochstensO(n3m log1/δ M).

Nach Lemma 4.2.3, 4.2.4 und 4.2.5 sind die auftretenden Zahlen wie folgt beschrankt

|µk,j |2 ≤ k+34 M

(9α4

)k−1, ‖bk‖2 ≤ k k+3

4 M(

9α4

)k−1,

und fur i < k:

|µi,j |2 ≤ i+34 M αj−1, ‖bi‖2 ≤ i+3

4 M.

Der Nenner von µi,j ist absolut beschrankt durch Dj−1 ≤ M . Damit ist der Zahler von µi,j

absolut beschrankt durch √n+3

4 M12(

9α4

)n−12 M.

Zahler und Nenner von ‖bj‖2 = Dj

Dj−1sind durch M beschrankt. Damit sind alle im Verfahren

auftretenden, ganzen Zahlen absolut beschrankt durch

n M12(

9α4

)n−12 M

und haben somit eine Bitlange O(n + log2 M) mit einer O-Konstante nahe 1,5 fur δ ≈ 1. �

Nach dem Austausch bk−1 ↔ bk kann man die Gram-Schmidt-Koeffizienten µk−1,1, ..., µk−1,k−2,sowie das Langenquadrat ‖bk−1‖2 schnell aktualisieren. Die Aktualisierung erfordert nur O(1) Re-chenschritte und O(k) Datentransporte wahrend die Neuberechnung nach Lemma 4.2.2 O(k m)Rechenschritte erfordert. .

Lemma 4.2.7Der Austausch bk−1 ↔ bk bewirkt mit µ := µk,k−1 dass

1. µneu = µ‖bk−1‖2

‖bneuk−1‖2

mit ‖bneuk ‖2 = µ2‖bk−1‖2 + ‖bk‖2,

2. [µneuk,i , µneu

k−1,i] = [µk−1,i , µk,i] fur i = 1, . . . , k − 2.

Beweis. 1. Es gilt µneu = 〈bneuk ,bbneu

k−1〉‖bbneu

k−1‖2= 〈πk−1(b

neuk−1),πk−1(b

neuk )〉

‖bbneuk−1‖2

.

Weil 〈πk−1(bk−1), πk−1(bk)〉 bei der Vertauschung bk−1 ↔ bk erhalten bleibt, folgt dass µneu =µ ‖bk−1‖2/‖bneu

k−1‖2. 2. ist offensichtlich. �


4.3 LLL-Reduktion ganzzahliger Erzeugendensysteme

Wir erweitern die LLL-Reduktion auf ganzzahlige Erzeugendensysteme b1, . . . , bn ∈ Zm \ 0. Esgenugt, die im LLL-Verfahren entstehenden Nullvektoren zu eliminieren. Der Nullvektor kann nurdurch Langenreduktion von bk auf Stufe k entstehen.

Algorithmus 4.3.1 LLL-Reduktion von ganzzahligen Erzeugendensystemen

EINGABE : Erzeugendensystem b1, . . . , bn ∈ Zm \ {0}, δ mit 14 < δ < 1

/∗ L :=Pn

i=1 biZ ist ein Gitter ∗/

1. k := 2, ‖b1‖2 := ‖b1‖2 /∗ k ist die Stufe ∗/2. WHILE k ≤ n DO

/∗ b1, . . . , bk−1 ist LLL-reduziert ∗/

berechne µk,j fur j = 1, . . . , k und ‖bk‖2 gemaß Lemma 4.2.2

Langenreduziere bk, aktualisiere µk,1, . . . , µk,k−1

IF bk = 0 THEN entferne bk aus dem Erzeugendensystem, n := n− 1 RETURN

IF δ ‖bk−1‖2 > ‖bk‖2 + µ2k,k−1‖bk−1‖2

THEN vertausche bk−1 und bk /∗ kurz bk−1 ↔ bk ∗/

IF k = 2 THEN aktualisiere ‖b1‖2

k := max(k − 1, 2)

ELSE k := k + 1 end while

AUSGABE : LLL-reduzierte Basis b1, ..., bn des Gitters L.

Korrektheit. Algorithmus 4.3.1 ist wohldefiniert und operiert auf Stufe k mit den rationalenZahlen µi,j , ‖bi‖2 fur i, j ≤ k und den ganzzahligen Basisvektoren. Das Verfahren ist korrekt, weildie Vektoren b1, . . . , bk−1 auf Stufe k stets linear unabhangig und somit LLL-reduziert sind. Sindnamlich nach der Langereduktion von bk die Vektoren b1, . . . , bk erstmals linear abhangig, so giltbk ∈ L(b1, . . . , bk−1). Die Langenreduktion von bk erzeugt den Nullvektor. Dieser wird sofort ent-fernt.

Laufzeitanalyse. Zu den Teilgittern L(b1, . . . , bi) =∑i

j=1 bjZ und den Gram-DeterminantenDi = (det L(b1, . . . , bi))2 setzt man wieder

D :=∏n−1

i=1 Di ,

M := maxi‖bi‖, M := max

i(‖bi‖2, Di) .

Dann gilt#Austausche ≤ log1/δ DStart ≤ (n− 1) log1/δ M

#Iterationen ≤ n− 1 + 2 #Austausche ≤ n + 2n log1/δ M

#arithm. Schritte = O(n2m log1/δ M).

Damit ubertragt sich der Beweis von Satz 4.2.6. Insbesondere gelten die Zahlen-Schranken vonLemma 4.2.3 4.2.4 und 4.2.5 auch fur die Werte im Verlauf von Algorithmus 4.3.1. Somit gilt der

4.4. LLL-REDUKTION MIT GLEITKOMMA-ARITHMETIK 39

Satz 4.3.1Zu gegebenen ganzzahligen Vektoren b1, ..., bn ∈ Zm\0 liefert Algorithmus 4.3.1 eine LLL-reduzierteBasis des von b1, ..., bn erzeugten Gitters. Mit M := maxi(‖bi‖2, Di) macht das LLL-Verfahrenhochstens O(n2m log1/δ M) arithmetische Schritte auf den Koordinaten der bi und den rationa-len Zahlen µi,j , ‖bi‖2. Die Bitlange der auftretenden ganzen Zahlen, insbesondere der Zahler undNenner von µi,j , ‖bi‖2 ist hochstens O(n + log2 M).

4.4 LLL-Reduktion mit Gleitkomma-Arithmetik

Fur eine schnelle LLL-Reduktion muß man die Rechnung uberwiegend in Gleitkomma-Arithmetikdurchfuhren. Ein Schritt in Gleitkomma-Arithmetik geht in einem Maschinenzyklus, die Arithme-tik auf langen ganzen Zahlen erfordert dagegen spezielle Software und ist recht langsam. DieRechnung auf den Basisvektoren b1, . . . , bn wird in exakter Arithmetik durchgefuhrt. Fur dieRechnung auf den rationalen Zahlen µi,j , ‖bi‖2 fur i, j ≤ k genugen dagegen gute Naherungenin Gleitkomma-Arithmetik.

Definition 4.4.1 (Relativer Fehler)Eine Naherung f ′ zu f ∈ R hat relativen Fehler ε > 0, wenn |f − f ′| ≤ ε min(|f |, |f ′|). 1

Wir betrachten die LLL-Reduktion nach Algorithmus 4.2.1 fur den Fall, dass alle rationalenZahlen µi,j , ‖bj‖2 mit relativem Fehler ε berechnet werden. Dann fuhrt die Langenreduktion desVektors bk nur zu |µk,j | ≤ 1

2 + ε anstelle von |µk,j | ≤ 12 fur j = 1, . . . , k − 1. Wir vernachlassigen

diese geringfugige Abschwachung der Langenreduktion.

Satz 4.4.2Haben bei der LLL-Reduktion mit δ die rationalen Zahlen ‖πk−1(bk−1)‖2, ‖πk−1(bk)‖2 bei der Ent-scheidung uber den Austausch bk−1 ↔ bk stets relativen Fehler ε, dann ist die Ausgabebasis LLL-reduziert mit δ− := δ(1−ε)/(1+ε). Die Anzahl der Austausche bk−1 ↔ bk ist hochstens n log1/δ+

Mmit δ+ := δ(1 + ε)/(1− ε), sofern δ+ < 1.

Beweis. Angenommen, bei der LLL-Reduktion mit δ− und exakter Rechnung erfolgt ein Aus-tausch bk−1 ↔ bk. Dann gilt δ−‖πk−1(bk−1)‖2 > ‖πk−1(bk)‖2. Fur die Naherungen mit relativemFehler ε folgt — es bezeichnet stets f ′ eine Naherung zu f :

δ−(1 + ε)‖πk−1(bk−1)‖′2 > ‖πk−1(bk)‖′2(1− ε).

Somit erfolgt der Austausch bk−1 ↔ bk auch mit δ = δ−(1 + ε)/(1 − ε) und Naherungen. Weilalle Austausche bk−1 ↔ bk der LLL-Reduktion mit δ− und exakter Rechnung korrekt ausgefuhrtwerden, ist die Ausgabebasis LLL-reduziert mit δ−

Wir zeigen noch, dass die LLL-Reduktion mit Naherungen abbricht sofern δ+ < 1. Erfolgtnamlich ein Austausch bk−1 ↔ bk mit δ und Naherungen, dann gilt

δ‖πk−1(bk−1)‖′2 > ‖πk−1(bk)‖′2

und somit δ(1+ε)‖πk−1(bk−1)‖2 > ‖πk−1(bk)‖2(1−ε). Dann wird Dk−1 beim Austausch bk−1 ↔ bk

um den Faktor δ+ = δ(1+ε)/(1−ε) erniedrigt, sofern δ+ < 1. Damit ist die Anzahl der Austauschehochstens n log1/δ+

(M). �

Wegen Satz 4.4.2 gilt es bei der LLL-Reduktion mit Gleitkomma-Zahlen µi,j , ‖bj‖ den relativenFehler zu begrenzen. Wichtigste Punkte dabei sind

1Wir definieren den relativen Fehler ε von f ′ zu f symmetrisch in f und f ′, ublich ist es nur |f − f ′| ≤ ε|f | zufordern.


1. War vor der Langenreduktion von bk auf Stufe k |µk,j | ≈ 2m, dann gehen bei der Reduktionauf |µk,j | ≤ 1

2 die m + 1 fuhrenden Bits der Gleitkomma-Zahl µ′k,j verloren. Man kann denrelativen Fehler von µ′k,j wieder klein machen durch Neuberechnung von µk,j gemaß Lemma4.2.2.

2. Bei der Neuberechnung von µk,j gemaß Lemma 4.2.2 rechnet man 〈b′k, b′j〉 in Gleitkomma.Im Falle dass |〈bk, bj〉| ≈ 2−m‖bk‖‖bj‖, gehen dabei m Prazisionsbits verloren. Ist m zu groß,rechnet man besser 〈bk, bj〉 exakt.

Mit diesen Maßnahmen haben Schnorr, Euchner [SE94] ein LLL-Verfahren implementiert. DieserAlgorithmus ist stabil, etwa bis zur Dimension 350.

Auf Stufe k sind die µi,j mit i, j > k im allgemeinen sehr groß. Statt der Schranke vonLemma 4.2.4 gilt nur |µi,j |2 ≤ i+3

4 Dj−1. Unsere Variante des LLL-Verfahrens vermeidet die Gram-Schmidt-Koeffizienten µi,j mit i, j > k und rechnet auf Stufe k nur mit den Großen µi,j , ‖bj‖2mit 1 ≤ j ≤ i ≤ k nach den Formeln von Lemma 4.2.2. Diese sind geeignet fur das Rechnen mitGleitkommazahlen µi,j , ‖bj‖2. Weil die Basis b1, . . . , bk−1 stets LLL-reduziert ist, gilt nach Lemma4.1.2

‖bj‖2 ≥ ‖b1‖2 α1−j fur j = 1, . . . , k − 1.

Die Divisoren ‖bj‖2 bei der Berechnung von µk,j gemaß Lemma 4.2.2 sind daher nicht beliebigklein. Dies ist wichtig fur die Begrenzung von Gleitkommafehlern.

4.5 LLL-Reduktion mit ganzzahliger Gram-Matrix

Fur die LLL-Reduktion einer Basismatrix B ∈ Rm×n in ganzzahliger Arithmetik ist es nichterforderlich, daß B ganzzahlig ist. Es genugt, die Ganzzahligkeit der Gram-Matrix B>B. IstB>B ∈ Zn×n gegeben, so kann man mit den Eintragen von B>B rechnen. Genauer gesagt, genugendie

(n+1

2

)Eintrage 〈bi, bj〉 fur 1 ≤ i ≤ j ≤ n. Gegebenenfalls fuhrt man auch die Transformations-

matrix T ∈ Zn×n mit, welche die Startbasis BStart in die aktuelle Basis B uberfuhrt, B = BStartT .

Aktualisierung von B>B. Beim Schritt bk := bk − µbj der Langenreduktion von bk auf Stufe kwird B>B wie folgt aktualisiert:

〈bk, bi〉 := 〈bk, bi〉 − µ〈bj , bi〉 fur i = 1, . . . , n, i 6= k

〈bk, bk〉 := 〈bk, bk〉 − 2µ〈bk, bj〉+ µ2〈bj , bj〉

Die Aktualisierung von B>B bei der Langenreduktion von bk geht in O(kn) arithmetischen Schrit-ten.

Aktualisierung von T. Die Aktualisierung von T = [ti,j ]1≤i,j∈n beim Schritt bk := bk − µ bj

geht in O(n) Schrittentj,i := tj,i + µ tk,i fur i = 1, . . . , n.

Dann geht die Aktualisierung von T bei der Langenreduktion von bk in O(kn) arithmetischenSchritten. Beim Austausch bk−1 ↔ bk werden B>B und T durch O(n) Datentransporte aktua-lisiert, indem O(n) Eintrage in B>B und T getauscht werden. Damit kostet eine Iteration derLLL-Reduktion O(n2) Schritte und es folgt der

Satz 4.5.1Zu gegebener ganzzahliger Gram-Matrix B>B ∈ Zn×n geht die LLL-Reduktion gemaß Alg. 4.2.1in O(n3 log1/δ M) arithmetischen Schritten auf ganzen Zahlen der Bitlange O(n + log2 M).

4.5. LLL-REDUKTION MIT GANZZAHLIGER GRAM-MATRIX 41

Dabei ist M wie fur ganzzahlige Eingabebasen erklart. Im Falle einer ganzzahligen Basis B ∈ Zm×n

mit m >> n ist es wegen Satz 4.5.1 gunstig, vorweg B>B in O(n2m) Schritten zu berechnen. DieLLL-Reduktion geht so in O(n2m+n3 log1/δ M) Schritten, gegenuber O(n2m log1/δ M) Schrittenvon Algorithmus 4.2.1.

Kapitel 5

Losen von Subsetsum-Problemendurch Gitterreduktion

In diesem Kapitel lernen wir die erste Anwendung der Gitterreduktion kennen: Wir nehmen an,es gabe ein Gitterorakel, daß uns den kurzesten, nichttrivialen Gittervektor liefert und reduzierendas Subsetsum-Problem auf das Finden eines kurzesten Gittervektors. Wir stellen zunachst dieLagarias-Odlyzko- und anschließend die verbesserte CJLOSS-Gitterbasis vor. Fur kleine Dimen-sionen konnen wir das Gitterorakel durch Reduktionsalgorithmen annahrend ersetzen.

5.1 Einleitung

Wir versuchen, die folgende Aufgabe mit Hilfe eines Gitterorakels bzw. durch Gitterreduktion zulosen:

Definition 5.1.1 (Subsetsum-Problem)Das Subsetsum-Problem lautet:

• Gegeben: n ∈ N, Gewichte a1, . . . , an ∈ N und s ∈ N

• Finde e ∈ {0, 1}n mitn∑

i=1

aiei = s oder zeige, daß kein solcher Vektor existiert.

Das Subsetsum-Problem nennt man in der Literatur auch Knapsack- bzw. Rucksack-Problem.Nach Satz 11.2.5 auf Seite 101 ist das Subsetsum-Problem NP-vollstandig.

Sei A ∈ N eine beliebige Konstante. Wir betrachten Gewichte (a1, . . . , an), welche uber demBereich [1, A]n variieren. Zusatzlich setzen wir voraus, daß stets eine Losung existiert: Sei e =(e1, . . . , en) ∈ {0, 1}n \ {0n} beliebig, aber fest. Setze

s :=n∑

i=1

aiei

Die Wahrscheinlichkeiten und die ”fast alle“-Aussagen in diesem Kapitel beziehen sich auf reinzufallig gewahlte Tupel aus [1, A]n. Zur Subsetsum-Aufgabe formulieren wir das inverse Problem:

Definition 5.1.2 (Inverses Subsetsum-Problem)Die inverse Aufgabe zu einem Subsetsum-Problem lautet:

43

44 KAPITEL 5. LOSEN VON SUBSETSUM-PROBLEMEN DURCH GITTERREDUKTION

• Gegeben: n ∈ N, Gewichte a1, . . . , an ∈ N und s ∈ N

• Finde e ∈ {0, 1}n mitn∑

i=1

aiei =n∑

i=1

ai − s =: s oder zeige, daß kein solcher Vektor existiert.

Sei e eine Losung zum Subsetsum-Problem und e zum Inversen. Dann gilt:

ei := 1− ei i = 1, . . . , n

Aus der Losung zum inversen Problem erhalten wir unmittelbar eine Losung des Ausgangspro-blems. Durch den moglichen Ubergang zum inversen Problem konnen wir stets erreichen, daß dieSumme der Einsen im Losungsvektor e bzw. e maximal n

2 betragt.

Um die Aufgabe zu losen, setzen wir ein Gitterorakel voraus. Das Gitterorakel liefert zu gege-bener, ganzzahliger Basis zum Gitter L einen Vektor x ∈ L mit ‖x‖ = λ1(L) (Euklidische Norm).Wir werden zeigen, daß wir mit dem Gitterorakel die Aufgabe fast immer losen konnen (also dieWahrscheinlichkeit, daß wir es nicht losen konnen, fallt mit n gegen unendlich gegen 0), wenn dieDichte niedrig ist:

Definition 5.1.3 (Dichte eines Subsetsum-Problems)Zu einem Subsetsum-Problem mit Gewichten a1, . . . , an ∈ N definieren wir die Dichte d als:

d :=n

log2

(max

i=1,...,nai

)

Fur Dichte d � 1 gibt es bei zufalliger Wahl der Gewichte a1, . . . , an und der Summe s ”in derRegel“ viele Losungen, als am schwierigsten gelten zufallige Subsetsum-Problem mit Dichte etwa1. Aus gegebener Dichte d und der Anzahl n erhalten wir eine untere Schranke fur die Gewichtea1, . . . , an:

maxi=1,...,n

ai ≥ 2nd(5.1)

In der Praxis versucht man, statt durch Fragen an das Orakels, einen der kurzesten Gitter-vektor mit Hilfe der Gitterbasenreduktion zu finden (siehe u.a. [SH95, SE94, H94]). Dies bietetauch eine Angriffsmoglichkeit auf Kryptographie-Schemata, die auf Subsetsum-Problemen basie-ren. C.P. Schnorr und H.H. Horner [SH95, H94] haben das Chor-Rivest-System [CR88] mittelsGitterreduktion angegriffen.

5.2 Lagarias-Odlyzko-Gitterbasis

J.C. Lagarias und A.M. Odlyzko [LaOd85] haben 1985 eine Gitterbasis vorgestellt, um Subsetsum-Aufgaben mit Hilfe eines Gitterorakels zu losen. Unsere Darstellung orientiert sich an [CJLOSS92].Die Lagarias-Odlyzko-Gitterbasis besteht aus folgenden n + 1 ganzzahligen Zeilenvektoren, wobeiN eine hinreichend große Zahl ist:

b1

b2

...bn

bn+1

:=

1 0 · · · 0 Na1

0 1 0 Na2

.... . .

......

0 0 1 Nan

0 0 · · · 0 Ns

(5.2)

5.2. LAGARIAS-ODLYZKO-GITTERBASIS 45

Im Beweis wahlen wir N >√

12n. Die Motivation: Ein kurzer Gittervektor hat dann in der

letzten Komponente den Wert 0, und wir erhalten aus den ersten n Komponenten eine Losungdes Subsetsum-Problems. Sei

LLO := L(b1, . . . , bn+1)

Der Losung e des Subsetsum-Problems, die nach Voraussetzung existiert, ist der folgende Losungs-vektor zugeordnet:

e :=

(n∑

i=1

eibi

)− bn+1 = (e1, . . . , en, 0)(5.3)

Satz 5.2.1Sei A > 0 beliebig, aber fest. Die Subsetsum-Aufgabe wird fur hinreichend große n fur fast alleganzzahligen Gewichte (a1, . . . , an) ∈R [1, A]n mit Dichte d < 0, 6463 durch zweifache Anwendungdes Gitterorakels auf die Lagarias-Odlyzko-Basis effizient gelost.

Beweis. Wir wenden das Orakel auf das Problem und sein inverses Problem an: Zuvor entfernenwir diejenigen Gewichte, die wir im voraus einer Losung zuordnen konnen.

Sei t :=∑n

i=1 ai. Wir reduzieren das Problem: Solange ein ai mit ai > min(s, t − s) existiert,entferne dieses Gewichte aus der Liste, vermindere n um 1 und aktualisiere s und t. Ein ai mitai > t − s muß Summand in

∑ni=1 eiai sein. Ein ai mit ai > s muß Summand in

∑ni=1(1 − ei)ai

sein.

Jede Losung des reduzierten Problems liefert eine Losung der Aufgabe. Fur die reduzierteAufgabe gilt

(5.4) 1n · t ≤ s ≤ t− 1

n · t,

weil alle kleineren und großeren Gewichte entfernt wurden. Die Ungleichung bleibt bestehen, wennman auf das inverse Problem ubergeht. Die folgende Analyse bezieht sich auf dasjenige Problemmit

∑ni=1 ei ≤ 1

2n.

Es bleibt die Wahrscheinlichkeit abzuschatzen, daß das Orakel einen kurzesten Gittervektorx = (x1, . . . , xn+1) 6= ±e ausgibt, da wir dann aus der Antwort nicht die gesuchte Subsetsum-Losung erhalten. Fur den Vektor x gilt:

‖x‖ ≤ ‖e‖ ≤√

12n

x ∈ LLO = L(b1, . . . , bn+1)(5.5)x /∈ {0,±e}

Fur N >√

12n folgt, daß xn+1 = 0 ist. Setze

x := (x1, . . . , xn)(5.6)

Definiere:

y :=1s

n∑i=1

xiai(5.7)

Dann gilt

|y| ≤ n ·√

12n,(5.8)


da aus der Cauchy-Schwarz-Ungleichung und a ∈ Nn

|y| = |〈x, a〉|s

≤ ‖x‖ · ‖a‖s

≤‖x‖ ‖a‖1

s≤ ‖x‖

s·

n∑i=1

ai

folgt und wir wegen t =∑n

i=1 ai sowie (5.4),(5.5) und xn+1 = 0 erhalten:

|y| ≤ t · ‖x‖s

≤ n ·√

12n

Es bezeichne im weiteren

P (n) := Ws[Es existiert ein x mit (5.5)]

die Wahrscheinlichkeit bezuglich zufalliger, gleichverteilter und unabhangiger (a1, . . . , an) aus[1, A]n. Zu zeigen: Fur Dichte d < 0, 6463 gilt limn→∞ P (n) = 0. Es ist:

P (n) = Ws

∃x ∈ LLO,∃y ∈ Z, so daß:

‖x‖ ≤ ‖e‖, |y| ≤ n ·√

12n, x /∈ {0,±e},

n∑i=1

aixi = ys

≤

Faktor 1︷︸︸︷Ws

[n∑

i=1

aixi = ys, x ∈ Zn und y ∈ Z fest, ‖x‖ ≤ ‖e‖, |y| ≤ n ·√

12n, x /∈ {0,±e}

]

·∣∣∣∣{x ∈ Zn : ‖x‖ ≤

√12n

}∣∣∣∣︸︷︷︸Faktor 2

·∣∣∣∣{y ∈ Z : |y| ≤ n ·

√12n

}∣∣∣∣︸︷︷︸Faktor 3

Wir schatzen die drei Faktoren nach oben ab:

1. Seien x ∈ Zn und y ∈ Z beliebig, aber fest mit den angegebenen Eigenschaften. Mit zi :=xi − yei fur i = 1, . . . , n gilt wegen

∑ni=1 eiai = s:

n∑i=1

aixi = ys ⇐⇒n∑

i=1

aizi = 0

Der Vektor z = (z1, . . . , zn) ist fest. Es gilt z 6= 0, da sonst aus x = ye und x /∈ {0,±e} folgt|y| ≥ 2 und ‖x‖ ≥ 2‖e‖ — Widerspruch zu ‖x‖ ≤ ‖e‖.Sei zj 6= 0 fur ein festes j. Fur fest gewahlte ai mit i 6= j ist die Gleichung

∑ni=1 aizi = 0 fur

hochstens ein aj ∈ [1, A] erfullt. Es folgt:

Faktor 1 ≤ Ws

[n∑

i=1

aizi = 0

]≤ 1

A

2. J.C.Lagarias und A.M. Odlyzko [LaOd85] haben gezeigt, daß fur hinreichend große n gilt:∣∣∣∣{x ∈ Zn : ‖x‖ ≤√

12n

}∣∣∣∣ ≤ 2c0n mit c0 = 1, 54725

3. Es gilt: ∣∣∣∣{y ∈ Z : |y| ≤ n ·√

12n

}∣∣∣∣ ≤ 1 + 2(

n ·√

12n

)

5.3. CJLOSS-GITTERBASIS 47

Damit ergibt sich:

P (n) ≤ 2c0n

A·(

1 + 2n ·√

12n

)Wegen 1

d > 1, 547269 > c0 und der unteren Schranke (5.1) auf Seite 44

A ≥ maxi=1,...,n

ai ≥ 2nd ,

gilt limn→∞

P (n) = 0. �

5.3 CJLOSS-Gitterbasis

1992 haben M.J. Coster, A. Joux, B.A. LaMacchina, A.M. Odlyzko, C.P. Schnorr und und J. Stern[CJLOSS92] durch Modifikation des Vektors bn+1 der Lagarias-Odlyzko-Basis die Grenzdichte auf0, 9408 erhoht. Die CJLOSS-Basis erhalt man aus der Lagarias-Odlyzko-Gitterbasis (5.2), indemder Zeilenvektor bn+1 durch b′n+1 := ( 1

2 , . . . , 12 , Ns) ersetzt wird:

b1

b2

...bn

b′n+1

:=

1 0 · · · 0 Na1

0 1 0 Na2

.... . .

......

0 0 1 Nan12

12 · · · 1

2 Ns

(5.9)

N ist eine hinreichend große Zahl, im Beweis wahlen wir N > 12

√n. Sei

LCJLOSS := L(b1, . . . , bn+1)

Der Losung e des Subsetsum-Problems, die nach Voraussetzung existiert, ist der folgende Losungs-vektor zugeordnet:

e′ :=

(n∑

i=1

eibi

)− b′n+1 =

(e1 − 1

2 , e2 − 12 , . . . , en − 1

2 , 0)

(5.10)

Da ei ∈ {0, 1}, gilt ‖e′‖ = 12

√n. Im Vergleich zum Losungsvektor e der Lagarias-Odlyzko-Basis

(5.3) ist e′ = ei− 12 . Der Vorteil der CJLOSS-Basis liegt darin, daß ihr Losungsvektor bis zu einem

Faktor√

2 kleiner als der Losungsvektor e der Lagarias-Odlyzko-Basis ist.

Satz 5.3.1Sei A > 0 beliebig, aber fest. Die Subsetsum-Aufgabe wird fur hinreichend große n fur fast alleganzzahligen Gewichte (a1, . . . , an) ∈R [1, A]n mit Dichte d < 0, 9408 durch zweifache Anwendungdes Gitterorakels auf die CJLOSS-Basis effizient gelost.

Beweis. Wir schatzen die Wahrscheinlichkeit ab, daß das Orakel einen kurzesten Gittervektorx = (x1, . . . , xn+1) 6= ±e′ liefert. Fur den Vektor x gilt:

‖x‖ ≤ ‖e′‖ ≤ 12

√n

x ∈ LCJLOSS = L(b1, . . . , bn, b′n+1)(5.11)x /∈ {0,±e′}

Seien y1, . . . , yn, y ∈ Z die Koeffizienten der Darstellung von x als Linearkombination der Basis-vektoren:

x =n∑

i=1

yibi + yb′n+1


Betrachten wir die letzte Komponente: Wegen∑n

i=1 yiai +ys ∈ Z gilt fur N > 12

√n, daß xn+1 = 0

ist. Ferner gilt:

xi = yi + 12y fur i = 1, . . . , n(5.12)

xn+1 = N

(n∑

i=1

aiyi + ys

)(5.13)

Wegen xn+1 = 0 folgt aus (5.13):

n∑i=1

aiyi = −ys(5.14)

Wir erhalten mit t :=∑n

i=1 ai:

n∑i=1

xiai =n∑

i=1

ai

(yi + 1

2y)

(wegen (5.12))

=n∑

i=1

yiai + 12y

n∑i=1

ai

= −ys + 12yt (wegen (5.14))

= 12y (t− 2s)

Aus diesem Resultat folgt mit α := maxi=1,...,n ai:

|y(t− 2s)| ≤ 2 ·n∑

i=1

|xiai| (Dreiecksungleichung)(5.15)

≤ 2α · ‖x‖1 (wobei ‖·‖1 die 1-Norm ist)

≤ 2α√

n · ‖x‖2 (wobei ‖·‖2 die Euklidische Norm ist)

≤ αn (wegen (5.11): ‖x‖ ≤ ‖e′‖ = 12

√n)

Um eine geeignete Schranke fur |y| zu erhalten, reduzieren wir die Subsetsum-Aufgabe, so daßdann fur das Problem gilt

|y| ≤ 2n(5.16)

Falls |t− 2s| ≥ 12α, wird nicht reduziert, da wegen (5.15) bereits |y| ≤ αn

|t−2s| ≤ 2n gilt. Falls|t− 2s| < 1

2α, dann entferne ein Gewicht ai mit ai = α aus der Aufgabe. Wir konnen zweiProbleme losen: Eines mit ai in der Teilmenge, die sich zu s summiert, und ein anderes mit ai inder Teilmenge, die sich zu t− s summiert.

Fur das erste Problem gilt mit sneu = s− α und tneu = t− α:

|tneu − 2sneu| = |t− α− 2s + 2α| > 12α

Fur das andere Problem gilt mit sneu = s und tneu = t− α:

|tneu − 2sneu| = |t− α− 2s− 2α| > 12α

Beide reduzierte Probleme erfullen die Ungleichung |t− 2s| ≥ 12α. Aus (5.15) folgt, daß die For-

derung (5.16), also |y| ≤ 2n, erfullt ist.

Wir wenden das Orakel, sofern reduziert wurde, auf beide Probleme an. Es bleibt die Wahr-scheinlichkeit abzuschatzen, daß das Orakel einen kurzesten Gittervektor x mit Eigenschaften(5.11) liefert. Es bezeichne im weiteren

P (n) := Ws[Es existiert ein x mit (5.11)]

5.3. CJLOSS-GITTERBASIS 49

die Wahrscheinlichkeit bezuglich zufalliger und gleichverteilter (a1, . . . , an) aus [1, A]n. Zu zeigen:Fur Dichte d < 0, 94080 gilt limn→∞ P (n) = 0. Aus

P (n) = Ws

∃x ∈ LCJLOSS,∃y ∈ Z, so daß:

‖x‖ ≤ ‖e′‖ , |y| ≤ 2n, x′ /∈ {0,±e′},∑n

i=1 aixi = 12y(t− 2s)

folgt:

P (n) ≤

Faktor 1︷︸︸︷Ws

n∑i=1

aixi = 12y(t− 2s), x ∈ Zn + Z

(12 , . . . , 1

2

), y ∈ Z fest,

‖x‖ ≤ ‖e‖ , |y| ≤ n ·√

2n, x /∈ {0,±e}

·∣∣{x ∈ Zn +

(12 , . . . , 1

2

)Z : ‖x‖ ≤ 1

2

√n} ∣∣︸︷︷︸

Faktor 2

· |{y ∈ Z : |y| ≤ 2n}|︸︷︷︸Faktor 3

Wir schatzen die drei Faktoren nach oben ab:

1. Seien x ∈ Zn+Z(

12 , . . . , 1

2

)und y ∈ Z beliebig, aber fest mit den angegebenen Eigenschaften.

Fur

zi := xi + y(ei − 1

2

)= xi + ye′i fur i = 1, . . . , n

gilt:n∑

i=1

aixi = 12 · y · (t− 2s) ⇐⇒

n∑i=1

aizi = 0

Der Vektor z = (z1, . . . , zn) ist fest. Es gilt z 6= 0, da sonst aus x = ye′ und x /∈ {0,±e′}folgt |y| ≥ 2 und ‖x‖ ≥ 2 |e′| — Widerspruch zu ‖x‖ ≤ ‖e′‖.Sei zj 6= 0 fur ein festes j. Fur fest gewahlte ai mit i 6= j ist die Gleichung

∑ni=1 aizi = 0 fur

hochstens ein aj ∈ [1, A] erfullt. Es folgt:

Faktor 1 ≤ Ws

[n∑

i=1

aizi = 0

]≤ 1

A

2. J.C.Lagraias und A.M. Odlyzko [LaOd85] haben die Anzahl der Gitterpunkte von Zn ineiner Kugel mit Radius

√αn um den Ursprung

N(n, α) :=∣∣∣{x ∈ Zn : ‖x‖2 ≤ α · n

}∣∣∣untersucht. Fur hinreichend große n zeigen sie, daß fur jedes u > 0 gilt

N(n, α) ≤ 2(log2 e)·δ(α,u)·n

mit δ(α, u) = αu + ln θ(e−u) und der Theta-Funktion θ(z) = 1 + 2∑∞

i=1 zi2 . Fur festes αkann man die Minimalstelle u0 von δ(α, u) numerisch annahern. Fur α = 1

4 erhalten wiru0 ≈ 1, 8132. Es folgt:

minu>0

δ(

14 , u)≤ δ

(14 ; 1, 8132

)≈ 0, 7367

Wir konnen daher den zweiten Faktor nach oben abschatzen durch:∣∣{x ∈ Zn +(

12 , . . . , 1

2

)Z : ‖x‖ ≤ 1

2 ·√

n}∣∣ ≤ 2c′0n mit c′0 = 1, 0629


3. Es gilt:

|{y ∈ Z : |y| ≤ 2n}| ≤ 1 + 4n

Damit ergibt sich:

P (n) ≤ (4n + 1) · 2c′0n

A

Wegen 1d > 1, 062925 > c′0 und A ≥ max

i=1,...,nai ≥ 2

nd gilt: lim

n→∞P (n) = 0. �

Kapitel 6

HKZ- und Block-reduzierteGitterbasen

Die LLL-Reduktion in Kapitel 4 liefert in Polynomialzeit LLL-Basen b1, ..., bn mit exponentiel-len Approximationsfaktoren ‖b2

i ‖/λ2i ≤ αn fur i = 1, ..., n. Die HKZ-Reduktion nach Hermite

und Korkine-Zolotareff liefert dagegen in Exponentialzeit HKZ-Basen b1, ..., bn mit polynomialenApproximationsfaktoren ‖bi‖2/λ2

i ≤ i+34 fur i = 1, ..., n. Schnorr [Schnorr 87] entwickelt eine Hier-

archie von Block-Reduktionsverfahren, welche LLL- und HKZ-Reduktion uberbruckt, derart dasshohere Laufzeit die Approximationsfaktoren erniedrigt. Block-Reduktion mit Blockweite β liefertβ-reduzierte Gitterbasen.

6.1 HKZ-Basen

Zur Basis b1, . . . , bn des Gitters L sind die projizierten Gitter Li fur i = 1, . . . , n erklart durch

Li = πi(L) := L (πi(bi), πi(bi+1), . . . , πi(bn)) .

C. Hermite [He1850] sowie unabhangig A. Korkine und G. Zolotareff [KZ1873, KZ1877] definiertenin der Sprache quadratischer Formen:

Definition 6.1.1 (HKZ-Basis)Eine Basis b1, . . . , bn ∈ Rm ist nach Hermite und Korkine-Zolotareff reduziert (ist HKZ- Basis,HKZ-reduziert), wenn

a) |µi,j | ≤ 12 fur 1 ≤ j < i ≤ n,

b) ‖bi‖ = λ1(Li) fur i = 1, . . . , n.

Insbesondere ist ‖b1‖ = λ1(L), d.h. b1 ist kurzester, nichttrivialer Gittervektor. Fur eine HKZ-Basis b1, . . . , bn ist auch πj(bj), πj(bj+1), . . . , πj(bn) fur 1 ≤ j ≤ n eine HKZ-Basis. Wie gutapproximiert eine HKZ-Basis die sukzessiven Minima ?

Satz 6.1.2Fur jede HKZ-Basis b1, . . . , bn von L gilt

4i + 3

≤ ‖bi‖2

λi(L)2≤ i + 3

4fur i = 1, . . . , n.

51

52 KAPITEL 6. HKZ- UND BLOCK-REDUZIERTE GITTERBASEN

Dagegen gilt fur LLL-Basen b1, . . . , bn nach Satz 4.1.4 mit α = 1δ− 1

4

α1−i ≤ ‖bi‖2

λi(L)2≤ ‖bi‖2

λi(L)2≤ αn−1.

Beweis. Obere Schranke ‖bi‖2λi(L)2 ≤

i+34 : Fur das Gitter Li = πi(L) gilt

‖bi‖ = λ1(Li) ≤ λi(L).(6.1)

Denn es gibt i linear unabhangige Gittervektoren a1, . . . , ai ∈ L mit

‖a1‖ ≤ ‖a2‖ ≤ · · · ≤ ‖ai‖ ≤ λi(L),

und es existiert ein j mit j ≤ i und πi(aj) 6= 0, also πi(aj) ∈ Li \ {0} und somit λ1(Li) ≤‖πi(aj)‖ ≤ λi(L). Mit den Eigenschaften einer HKZ-Basis und (6.1) folgt

‖bi‖2 = ‖bi‖2 +i−1∑j=1

(µi,j)2 · ‖bj‖2 ≤ λi(L)2 + 1

4

i−1∑j=1

λj(L)2,

‖bi‖2 ≤ i+34 · λi(L)2.

Untere Schranke 4i+1 ≤

‖bi‖2λi(L)2 : Die Definition einer HKZ-Basis sichert fur j ≤ i:

‖bj‖2 = λ1(Lj)2 ≤ ‖πj(bi)‖2 ≤ ‖bi‖2 ,

‖bj‖2 = ‖bj‖2 +j−1∑t=1

(µj,t)2 ‖bt‖2 ≤ j+3

4 · ‖bi‖2 .

Wir erhalten die Behauptung

λi(L)2 ≤ maxj=1,...,i

‖bj‖2 ≤ maxj=1,...,i

{j + 3

4· ‖bi‖2

}≤ i + 3

4‖bi‖2 . �

Zu HKZ-Basen siehe auch [LLS90] von J.C. Lagarias, H.W. Lenstra und C.P. Schnorr.

6.2 Block-reduzierte Gitterbasen

C.P. Schnorr [S87] [S94] hat HKZ- und LLL-Basen zu Block-reduzierten Basen verallgemeinert.Wahrend die Algorithmen zur HKZ-Reduktion expontielle Laufzeit haben, ist die Blockreduktionfuer kleine Blockweiten ahnlich effizient wie die schwachere LLL-Reduktion. Die Variante der2k-Semi-block-reduktion hat polynomielle Laufzeit [S87]

Definition 6.2.1 (β-reduzierte Basis)Die Basis b1, . . . , bn ∈ Rm heißt mit Blockweite β reduziert ( kurz β-reduziert), wenn

a) |µi,j | ≤ 12 fur 1 ≤ j < i ≤ n

b) πi(bi), πi(bi+1), . . . , πi(bi+β−1) ist HKZ-Basis fur i = 1, . . . , n− β + 1.

Jede β-reduzierte Basis ist auch (β − 1)-reduziert fur β = 1. Die Eigenschaft b) ist leer fur β ≥ 2es sei daher stets β ≥ 2. Nach Eigenschaft b) gilt ‖bi‖ = λ1

(πi

(L(b1, . . . , bmin(i+β−1,n))

)).

Satz 6.2.2Die 2-reduzierten Basen sind genau die LLL-reduzierten Basen mit δ = 1.

6.2. BLOCK-REDUZIERTE GITTERBASEN 53

Beweis. Sei b1, . . . , bn eine 2-reduzierte Basis. Dann gilt fur i = 1, . . . , n− 1:

λ1

(L(πi(bi), πi(bi+1)

)2 = ‖bi‖2 ≤ ‖πi(bi+1)‖2 = ‖bi+1‖2 + µ2i+1,i‖bi‖2.

Fur δ = 1 ist dies die LLL-Eigenschaft

δ · ‖bi‖2 ≤ ‖bi+1‖2 + µ2i+1,i‖bi‖2 fur i = 1, . . . , n− 1(6.2)

Weil jede β-reduzierte Basis langenreduziert ist, ist b1, . . . , bn LLL-Basis.

Umgekehrt zeigen wir, jede mit δ = 1 LLL-reduzierte Basis b1, . . . , bn ist auch 2-reduziert, alsojeder Vektor in L(πi(bi), πi(bi+1)) ungleich dem Nullvektor ist nicht kurzer als πi(bi) = bi. Wegen

‖u · πi(bi) + v · πi(bi+1)‖2 = (u + v · µi+1,i)2 · ‖bi‖2 + v2‖bi+1‖2

ist zu zeigen, daß fur alle (u, v) ∈ Z2 \ {(0, 0)} gilt

(u + vµi+1,i)2 · ‖bi‖2 + v2 · ‖bi+1‖2 ≥ ‖bi‖2.(6.3)

Die Ungleichung (6.3) gilt fur v = 0, weil dann u 6= 0. Wegen 6.2 gilt somit die Ungleichung (6.3)im Fall v = 1. Im Fall |v| ≥ 2 folgt (6.3) aus der LLL-Eigenschaft 3

4‖bi‖2 ≤ ‖bi+1‖2. �

Die Approximationsfaktoren von β-reduzierten Basen sind wie folgt durch die Hermite-Konstanteγβ nach oben und unten beschrankt.

Satz 6.2.3Fur jede β-reduzierte Basis b1, . . . , bn des Gitters L gilt mit der Hermite-Konstanten γβ

a)‖bi‖2

λi(L)2≤ (γβ)2

n−iβ−1 fur i = 1, . . . , n,

b)‖bi‖2

λi(L)2≤ (γβ)2

n−iβ−1

i + 34

fur i = 1, . . . , n.

Wir formulieren die untere Schranke zu ‖bi‖2λi(L)2 , also obere Schranke zu λi(L)2

‖bi‖2.

Satz 6.2.4Fur jede β-reduzierte Basis b1, . . . , bn des Gitters L gilt

λi(L)2

‖bi‖2≤ (γβ)2

i−1β−1

i + 34

fur i = 1, . . . , n.

Fur i ≤ β gelten die starkeren Schranken von Satz 6.1.2 fur die HKZ-Basis b1, ..., bβ . Die Werte(γβ)

2β−1 sind bekannt fur β = 2, 3, . . . , 8:

β 2 3 4 5 6 7 8

(γβ)2

β−1 43 21/3 21/3 23/10 22/5/315 22/7 22/7

≈ 1, 333 1, 260 1, 260 1, 231 1, 226 1, 219 1, 219

Es ist ein offenes Problem, minimale Konstanten Cβ,n zu finden, so daß ‖b1‖2λ1(L)2 ≤ Cβ,n fur alle

β-reduzierten Basen b1, . . . , bn vom Rang n gilt. Die Schranke aus Satz 6.2.3 ist fur n ≥ 3 nicht

scharf. Es gilt dass C2,n =(

43

)n−1 [BaKa84] und C3,n =(√

3/2)n−3

fur ungerade n ≥ 3 [S94].


Lemma 6.2.5Fur jede β-reduzierte Basis b1, . . . , bn ∈ Rm gilt ‖b1‖ ≤ (γβ)

n−1β−1 M mit

M := max{‖bn−β+2‖, . . . , ‖bn‖

}.

Beweis. Wir erweitern die Basis b1, . . . , bn durch β − 2 linear unabhangige Vektoren zu

b−β+3, . . . , b−1, b0, b1, . . . , bn(6.4)

so, dass gilt

‖bi‖ = ‖b1‖ fur i ≤ 0(6.5)〈bi, bj〉 = 0 fur i ≤ 0, i ≤ j und j = −β + 3, . . . , n.(6.6)

Dazu betten wir die Basis in den Rm+β−2 ein: Wir wahlen b−β+3, b−β+4, . . . , b−1, b0 als ‖b1‖-Vielfaches der kanonischen Einheitsvektoren in die zusatzlichen β− 2 Richtungen. Die Gitterbasis(6.4) ist β-reduziert. Fur jedes i mit −β + 3 ≤ i ≤ n− β + 1 bilden die Vektoren

πi(bi), . . . , πi(bi+β−1)

eine HKZ-reduzierte Basis. Nach Definition der Hermite-Konstanten γβ gilt

‖bi‖β ≤ (γβ)β2

β−1∏s=0

‖bi+s‖ fur i = −β + 3, . . . , n− β + 1.

Durch Multiplikation dieser n− 1 Ungleichungen erhalten wir

n−β+1∏i=−β+3

‖bi‖β ≤ (γβ)β(n−1)

2 ‖b−β+3‖1‖b−β+4‖2 · · · ‖b1‖β−1

· ‖b2‖β‖b3‖β · · · ‖bn−β+1‖β ‖bn−β+2‖β−1 · · · ‖bn−1‖2‖bn‖1.

Durch Kurzen folgt

‖b−β+3‖β−1 · · · ‖b0‖2‖b1‖1 ≤ (γβ)β(n−1)

2 ‖bn−β+2‖β−1‖bn−β+2‖β−1 · · · ‖bn−1‖2 · ‖bn‖1.

Nach Konstruktion gilt ‖bi‖ = ‖b1‖ fur i ≤ 0 und es folgt

‖b1‖(β2) ≤ (γβ)

β(n−1)2 ·M(β

2) und somit ‖b1‖ ≤ (γβ)n−1β−1 M. �

Wie gut wird λ1(L vom ersten Vektor einer β-reduzierten Basis approximiert?

Korollar 6.2.6Fur jede β-reduzierte Basis b1, . . . , bn des Gitters L gilt ‖b1‖ ≤ (γβ)

n−1β−1 λ1(L).

Die Schranke von Korollar 6.2.6 ist nicht optimal fur große β ≈ n denn fur β = n gilt ‖b1‖ = λ1.Sie ist aber wegen γβ . β

eπ besser als die in Theorem 2.6 [Schnorr 87] fur den Fall β|n bewieseneSchranke

‖b1‖ ≤ γ1/2β/2 (2β)

n/β−1λ1.

6.2. BLOCK-REDUZIERTE GITTERBASEN 55

Beweis. Induktion uber n:

• Fur n = β ist b1, . . . , bn eine HKZ-Basis mit ‖b1‖ = λ1(L) und somit gilt die Behauptung.

• Sei n > β und v 6= 0 ein kurzester Gittervektoren. O.B.d.A. sei v /∈ L(b1, b2, . . . , bn−1), dennsonst folgt die Behauptung aus der Induktionsannahme fur n−1. Wegen v /∈ L(b1, . . . , bn−1)gilt πi(v) 6= 0 fur i = n−β+1, . . . , n−1. Wir erhalten mit Li = πi(L) fur i = n−β+1, . . . , n:

λ1(L) = ‖v‖ ≥ λ1(Li) = ‖bi‖.

Die Gleichheit λ1(Li) = ‖bi‖ gilt, weil πn−β+1(bi), i = n − β + 1, . . . , n HKZ-Basis ist. Furdas M von Lemma gilt

λ1(L) ≥ max{‖bi‖ : i = n− β + 1, . . . , n

}≥ M.

und somit folgt die Behauptung aus Lemma 6.2:

‖b1‖ ≤ (γβ)n−1β−1 ·M ≤ (γβ)

n−1β−1 · λ1(L). �

Beweis [zu Satz 6.2.3]. Korollar 6.2.6 liefert fur die Gitter Li = πi(L) mit i = 1, . . . , n:

‖bi‖ ≤ (γβ)n−iβ−1 λ1(Li)(6.7)

Ferner ist λ1(Li) ≤ λi(L), denn es gibt i linear unabhangige Gittervektoren v, deren Langehochstens λi(L) ist und von denen ein Vektor πi(v) 6= 0 erfullt. Also:

λ1(Li) ≤ πi(v) ≤ λi(L)

Wir erhalten die erste Behauptung, daß fur i = 1, . . . , n gilt:

‖bi‖2

λi(L)2≤ (γβ)2·

n−iβ−1

Aus (6.7), µ2i,j ≤ 1

4 (die Basis ist langenreduziert) und λ1 ≤ λ2 ≤ · · · ≤ λj folgt:

‖bi‖2 = ‖bi‖2 +i−1∑j=1

(µi,j)2 ‖bj‖2

≤ (γβ)2·n−iβ−1 · λi(L)2 + 1

4

i−1∑j=1

(γβ)2·n−jβ−1 · λj(L)2

≤ (γβ)2·n

β−1 ·

((γβ)2·

−iβ−1 + 1

4

i−1∑j=1

(γβ)2·−j

β−1

)· λi(L)2

Wir schatzen die Summanden durch (γβ)2·−1

β−1 nach oben ab und erhalten:

‖bi‖2 ≤ (γβ)2·n

β−1 · (γβ)2·−1

β−1 ·(

1 +i− 1

4

)· λi(L)2

≤ (γβ)2·n−1β−1 · i + 3

4· λi(L)2

Damit haben wir die zweite Behauptung auch gezeigt. �


Beweis [zu Satz 6.2.4]. Nach Definition der sukzessiven Minima gilt

λ2i ≤ max

j=1,...,i‖bj‖2

Aus ‖bi‖2 = ‖bi‖2+∑i−1

j=1 (µi,j)2 ‖bj‖2 und µ2

i,j ≤ 14 folgt ‖bi‖2 ≤

(1 + (i− 1) · 1

4

)·maxj=1,...,i ‖bj‖2

und somit

λ2i ≤ i+3

4 · maxj=1,...,i

‖bj‖2(6.8)

Lemma 6.2 angewandt auf die β-reduzierte Basis πj(bj), . . . , πj(bi) liefert fur 1 ≤ j ≤ i− β + 1:

‖bj‖ ≤ (γβ)i−jβ−1 max

{‖bi−β+2‖, . . . , ‖bi‖

}.(6.9)

Andererseits gilt fur i− β + 2 ≤ j ≤ i

‖bj‖ ≤ ‖πj(bj)‖ ≤ ‖bi‖(6.10)

Aus (6.9) und (6.10) erhalten wir fur 1 ≤ j ≤ i.

‖bj‖ ≤ (γβ)i−jβ−1 ‖bi‖ .

Diese Ungleichung liefert mit (6.8) die Behauptung, daß fur i = 1, . . . , n gilt:

λi(L)2

‖bi‖2≤ (γβ)2

i−1β−1 · i + 3

4. �

6.3 Kritische β-reduzierte Basen fur β = 2, 3

In diesem Abschnitt konstruieren wir fur β = 2, 3 kritische β-reduzierte Basen.

Definition 6.3.1 (kritische β-reduzierte Basis)Eine β-reduzierte Basis b1, . . . , bn des Gitters L heißt kritisch fur n und β, falls ‖b1‖

λ1(L) maximalfur alle β-reduzierten Basen vom Rang n ist.

Fur β = 2 konstruieren wir die Basismatrix An := [b1, . . . , bn] ∈ Mn,n(R) wie folgt. Sei ρ :=√

34 :

An :=

1 12 0 · · · · · · 0

0 ρ 12ρ

. . . 0...

... 0 ρ2 12ρ2 . . .

......

. . . . . . . . . 0...

. . . ρn−2 12ρn−2

0 · · · · · · · · · 0 ρn−1

(6.11)

Es gilt

A2 :=

1 1

2

0√

34

6.3. KRITISCHE β-REDUZIERTE BASEN FUR β = 2, 3 57

und fur n ≥ 2 die Rekursion:

An :=

1 1

2 0 · · · 00... ρ ·An−1

0

Satz 6.3.2Seien b1, . . . , bn die Spaltenvektoren der Matrix An aus (6.11). Fur ρ =

√34 und das Gitter

L = L(b1, . . . , bn) gilt

a) b1, . . . , bn ist eine kritische, 2-reduzierte Basis,

b)‖b1‖λ1(L)

=1

ρn−2= ρ−n+2,

c) λ1(L) = ρ2(n+2)(

14 + ρ2

)= ρ2(−n+2).

Beweis. Siehe [S94, Theorem 9]. �

Fur β = 3 definieren wir die Basismatrix Bn := [b1, . . . , bn] ∈ Mn,n(R) wie folgt (zur Konstruktionsiehe [S94]):

B4 :=

1 12

12 0

0√

32

−12√

31

2√

3

0 0√

23

12

√23

0 0 0 1√2

(6.12)

Die Matrizen B2, B3 seien die 2× 2- bzw. 3× 3-Matrizen in der linken, oberen Ecke von B4. Furn ≥ 4 definieren wir die Basismatrix Bn rekursiv:

Bn :=

1 12

12 0 0 · · · 0

0√

32

−12√

31

2√

30 · · · 0

0 0...

...√

23 ·Bn−2

0 0

(6.13)

Es gilt:

Satz 6.3.3Seien b1, . . . , b2k+1 die Spaltenvektoren der Basismatrix B2k+1 aus (6.13) bzw. (6.12). Dann istb1, . . . , b2k+1 fur k = 1, 2, . . . eine kritische, 3-reduzierte Basis.



6.4 Praktisches Verfahren zur β-Reduktion

Wir modifizieren die Bedingung fur β-reduziert durch Einfuhrung eines Parameters δ fur die Praxis(siehe [SE94, Ri96]):

Definition 6.4.1 ((β, δ)-reduzierte Basis)Sei b1, . . . , bn ∈ Rm eine Basis, β ∈ {2, 3, . . . , n} und δ mit 1

4 < δ < 1 gegeben. Die Basisb1, . . . , bn ∈ Rm heißt (β, δ)-reduziert, wenn

a) |µi,j | ≤ 12 fur 1 ≤ j < i ≤ n,

b) δ · ‖bj‖2 ≤ λ1 (πj(L(bj , bj+1, . . . , bk))2 fur j = 1, . . . , n.

Der Algorithmus 6.4.1 aus [SE94] transformiert eine gegebene Basis in eine β-reduzierte Basisdes gleichen Gitters. Das Unterprogramm L3FP zur LLL-Reduktion fur Gleitkommazahlen habenwir in Kapitel 4.4 angegeben. Das Unterprogramm ENUM (Algorithmus 8.1.1) bzw. GAUSS-ENUM (zur geschnittenen Aufzahlung) stellen wir im Kapitel 7 vor.

Die Variable j wird zyklisch durch die Zahlen 1, . . . , n− 1 geschoben. Die Variable z zahlt dieZahl der Positionen j, welche die Ungleichung

δ · ‖bj‖2 ≤ λ1

(πj

(L(bj , bj+1, . . . , bk)

))2

(6.14)

erfullen. Falls diese Ungleichung nicht fur j gilt, fugen wir den Vektor bneuj in die Basis ein, rufen

den LLL-Algorithmus auf und setzen z = 0. Den Fall j = n uberspringen wir, da (6.14) danntrivialerweise gilt.

Offenbar ist eine Basis b1, . . . , bn (β, δ)-reduziert, falls sie langenreduziert ist und z = n −1 gilt. Da vor Terminierung der LLL-Algorithmus aufgerufen wird, ist die ausgegebene Basislangenreduziert. Einen Beweis, daß der Algorithmus in polynomieller Zeit arbeitet, gibt es bishernicht. In der Praxis [SE94, LA] hat sich der Algorithmus jedoch bewahrt.

6.4. PRAKTISCHES VERFAHREN ZUR β-REDUKTION 59

Algorithmus 6.4.1 Block-Korkine-Zolotareff-Reduktion (kurz BKZ)

EINGABE : . Gitterbasis b1, . . . , bn ∈ Zn,. δ ∈

]12 ; 1[

. β ∈ {3, 4, . . . , n− 1}

1. L3FP (b1, . . . , bn, δ), z := 0, j := 0

2. WHILE (z < n− 1) DO

2.1. j := j + 1

k := min(j + β − 1, n)

IF j = n THEN j := 1, k := β

/∗ bj , bj+1, . . . , bk ist LLL-reduziert mit δ ∗/2.2. ENUM(j, k)

/∗ Finde Minimalstelle (uj , uj+1, . . . , uk) ∈ Zk−j+1 \ {0} zu:

cj(uj , uj+1, . . . , uk) :=

kXi=j

iXs=j

(uiµi,s)2‖bbs‖2 = ‖πj(

kXi=j

uibi)‖2

und bneuj :=

kPs=j

usbs. Sei cj der Minimalwert. ∗/

2.3. h := min(k + 1, n)

2.4. IF δcj > cj THEN

2.4.1. Erganze b1, . . . , bj−1, bneuj zur Basis von L(b1, . . . , bh)

2.4.2. L3FP(b1, . . . , bj−1, b

neuj , bneu

j+1, . . . , bneuh , δ

)/∗ Stufe j mit F :=true ∗/

2.4.3. z := 0

ELSE

2.4.1. z := z + 1

2.4.2. L3FP (b1, . . . , bh, δ) /∗ auf Stufe h− 1 ∗/

END if

END while

AUSGABE : (β, δ)-reduzierte Basis b1, . . . , bn

Kapitel 7

NP-vollstandige Gitterprobleme

7.1 NP-Vollstandigkeit von Rucksack.

Sei Σ endl. Alphabet, o.B.d.A. Σ = {0, 1}. Es bezeichne P die Klasse der polynomial-Zeit ent-scheidbaren Sprachen L ⊂ Σ∗, d.h.

L ∈ P gdw ∃ Turing Maschine M , welche x 7→ χL(x) in |x|O(1) Turingschrit-ten berechnet. D.h. ∃c > 0, so dass die Schrittzahl der Berechnungx 7→ χL(x) hochstens c|x|c ist. Dabei ist |x| die Lange von x ∈ Σ∗.

Die Klasse NP der nichtdeterministischen polynomial-Zeit Sprachen:

L ∈ NP gdw ∃c > 0 : ∃R ⊂ Σ∗ × Σ∗ polynomial-Zeit entscheidbar so dass

L = {x ∈ Σ∗ | ∃y : |y| ≤ |x|c, (x, y) ∈ R} (y ist Zeuge fur x ∈ L).

Offenbar gilt P ⊂ NP.

Karp-Reduktion. Sei A,B ⊂ Σ∗. A ist Karp-reduzierbar auf B, Bez.: A ≤pol B, wenn∃ polynomial Zeit berechenbares f : Σ∗ → Σ∗, so dass x ∈ A ⇐⇒ f(x) ∈ B fur alle x ∈ Σ∗.

Fakt A ≤pol B, B ∈ P ⇒ A ∈ PA ≤pol B ≤pol C ⇒ A ≤pol C.

Definition 7.1.1L ∈ NP ist NP-vollstandig, wenn A ≤pol L fur alle A ∈ NP.

Fakt Sei A ≤pol B und A L-vollstandig, dann ist B NP-vollstandig.

Satz 7.1.2 (Cook, Levin 1973)Fur jedes NP-vollstandige L gilt L ∈ P gdw P = NP.

Cook’sche Hypothese. P 6= NP.

Begrundung: Schwierige NP-Probleme sind seit Jahrhunderten bekannt, z.B. Entscheide zugegebenen n, s ∈ N : ∃ Primzahl p ≤ s mit p teilt n.

Satz 7.1.3 (Cook, Karp 1973)

Rucksack :={

(a1, . . . , an, b) ∈ Nn+1

∣∣∣∣ ∃x1, . . . , xn ∈ {0, 1} :Σn

i=1aixi = b, n ∈ N

}ist NP-vollstandig.

61

62 KAPITEL 7. NP-VOLLSTANDIGE GITTERPROBLEME

Cook zeigte : SAT ist NP-vollstandig, Karp zeigte: SAT ≤pol Rucksack.

7.2 NP-Vollstandigkeit von SVP`∞, CVP`∞, CVP`2.

Siehe Micciancio, Goldwasser, Complexity of Lattice Problems, KAP 2002 [MG02], Kapitel 3, 4.

Wir formulieren SVP‖ ‖,CVP‖ ‖ als Sprachen

CVP‖ ‖ = {(B,y, t) ∈ Zm×n+m+1 | ∃x ∈ Zn : ‖Bx− y‖ ≤ t}

SVP‖ ‖ = {(B, t) ∈ Zm×n+1 | ∃x ∈ Zn\{0} : ‖Bx‖ ≤ t}.

Satz 7.2.1SVP`∞ ,CVP`∞ sind NP-vollstandig.

Beweis. I. Rucksack ≤pol SVP‖ ‖∞ . Reduziere gemaß f : (a1, . . . , an, b) 7→ (B, 1) mit

B = [b1, . . . ,bn+1] =

2 1

. . . O...

O 2 12a1 · · · 2an 2b0 · · · 0 1

∈ Z(n+2)(n+1).

Beh.: (a1, . . . , an, b) ∈ Rucksack ⇔ λ1,∞(L(B)) = 1.

Bew.: “ ⇐“ (trivial) Sei (x1, . . . , xn) ∈ {0, 1}n Rucksacklosung, Σni=1aixi = b. Dann gilt fur

x := (x1, . . . , xn,−1)t, dass

Bx = Σni=1bixi − bn+1, ‖Bx‖∞ = 1 ,

denn |2xi − 1| = 1 fur xi ∈ {0, 1} und 2(Σni=1aixi − b) = 0.

“ ⇐” Ang. ‖Σn+1i=1 xibi‖∞ = 1. Wir zeigen 1. x1, . . . , xn ∈ {0, 1}, 2. Σn

i=1aixi = b.1. Offenbar gilt |2xi − 1| ≤ 1 fur i = 1, . . . , n. Aus 2xi − 1 = 0 folgt der Widerspruch xi = 1

2 .Somit gilt 2xi − 1 = ±1 und xi ∈ {1, 0} fur i = 1, . . . , n. Offenbar sichert die letzte Zeile von B,dass |xn+1| = 1.2. O.B.d.A. sei xn+1 = −1. Wegen |xn+1| ≤ 1, xn+1 6= 0 liefert die Multiplikation von x mit−sign(xn+1) dass xn+1 = −1. Aus 2 |

∑ni=1 aixi − b| ≤ 1 folgt

∑ni=1 aixi = b.

II. Rucksack ≤pol CVP`∞ : Reduziere gemaß f : (a1, . . . , an, b) 7→ (B′,y, 1) mit

[B′,y] =

2 1

. . . O...

O 2 12a1 · · · 2an 2b

∈ Z(n+1)2 .

Wir zeigen: (a1, ..., an, b) ∈ Rucksack ⇔ (B′,y, 1) ∈ CVP.“⇒” trivial. “⇐” Aus ‖B′x− y‖∞ = 1 folgt (a1, . . . , an, b) ∈ Rucksack nach Teil I des Beweises.

�

Satz 7.2.1 wurde von van Emde Boas [EmBoas 81] bewiesen. Er ist wichtig fur den Fall,dass man Quantencomputer bauen kann. Fur Quantencomputer sind Faktorisieren ganzer Zahlen,Brechen von RSA, Diskreter Logarithmus in pol.-Zeit. Aber P 6= NP, d.h. PQu 6= NPQu giltwohl weiter.

7.2. NP-VOLLSTANDIGKEIT VON SVP`∞ ,CVP`∞ ,CVP`2 . 63

Satz 7.2.2CVP`2 ist NP-vollstandig.

Beweis. Wir zeigen Rucksack≤pol CVP`2 und reduzieren gemaß f : (a1, . . . , an, b) 7→ (B′,y,√

n)mit

[B′,y] =

2 1

. . . O...

O 2 12a1 · · · 2an 2b

∈ Z(n+1)2 .

Zu zeigen: (a1, . . . , an, b) ∈ Rucksack ⇔ (B,y,√

n) ∈ CVP`2 .“⇐” Sei (a1, . . . , an, b) ∈ Rucksack und Σn

i=1aixi = b, xi ∈ {0, 1} Rucksacklosung. Es folgt

‖∑n

i=1 bixi − bn+1‖2 = ‖(±1, . . . ,±1, 0)‖ =√

n.

“⇐” Ang. ‖Σni=1bixi − y‖2 ≤

√n fur x1, . . . , xn ∈ Z. Es folgt ‖Σn

i=1bixi − y‖2 =√

n undxi ∈ {0, 1}, somit Σn

i=1aixi = b. �

Vergleich CVP, SVP fur die `2-Norm. SVP ist nicht schwieriger als CVP, es giltSVP ≤pol,multi CVP, d.h. SVP ≤Cook CVP, siehe [MG02, Sektion 4]. Wir vereinfachen SVP undCVP zu GAP-SVPγ und GAP-SVPγ mit γ ≥ 1.

GAP-SVPγ-Problem. Gesucht ist ein deterministischer Algorithmus, der alle Ja-Instanzen ak-zeptiert und alle Nein-Instanzen ablehnt und beliebig reagiert, falls die Eingabe weder Ja- nochNein-Instanz ist.

Ja-Instanzen sind Paare (B, t) ∈ Zm×n+1, so dass ∃x ∈ Zn\{0} : ‖Bx‖ ≤ t.

Nein-Instanzen sind Paare (B, t) ∈ Zm×n+1, so dass ∀x ∈ Zn\{0} : ‖Bx‖ ≥ γt.

GAP-CVPγ-Problem. Gesucht ist ein deterministischer Algorithmus, der alle Ja-Instanzen ak-zeptiert und alle Nein-Instanzen ablehnt und beliebig reagiert, falls die Eingabe weder Ja- nochNein-Instanz ist.

Ja-Instanzen sind Tripel (B,y, t) ∈ Zm×n+m+1 mit ∃x ∈ Zn : ‖Bx− y‖ ≤ t.

Nein-Instanzen sind Tripel (B,y, t) ∈ Zm×n+m+1 mit ∀x ∈ Zn : ‖Bx− y‖ ≥ γt.

Satz 7.2.3GAP-CVP√

1+4/nist NP-hart.

Beweis. Wir zeigen Rucksack ≤pol GAP-CVP√1+4/n

, es folgt NP ≤pol GAP-CVP√1+4/n

. Wir

reduzieren gemaß f : (a1, . . . , an, b) 7→ (B′,y,√

n) mit

[B|y] :=

2 1

. . . O...

O 2 12a1 · · · 2an 2b

∈ Z(n+1)2 .

Korrektheit der Reduktion.

(a1, . . . , an, b) ∈ Rucksack ⇒ (B′,y,√

n) Ja-Instanz, d.h. ∃x ∈ Zn : ‖B′x−y‖ ≤√

n.(a1, . . . , an, b) 6∈ Rucksack ⇒ (B′,y,

√n) Nein-Instanz.

Wir zeigen: ∀x ∈ Zn : ‖B′x − y‖ ≥√

n + 4. Im Fall (a1, . . . , an, b) 6∈ Rucksack gilt fur x ∈ Zn

entweder ∃i : xi 6∈ {0, 1}, somit |2x − 1| ≥ 3, |2xi − 1|2 ≥ 9 = 1 + 8, oder∑n

i=1 aixi 6= b, somit4(Σn

i=1aixi − b)2 ≥ 4. Wegen |2xi − 1| ≥ 1 fur xi ∈ Z ist (B′,y,√

n) Nein-Instanz. �


Dieser Beweis zeigt, dass GAP-CVP√1+8/n

NP-hart ist. Hierzu multipliziere man die (n+1)-te

Zeile von [B′,y] mit√

2.

Satz 7.2.4 (MG02, Cor. 3.9, 3.11)GAP-CVPγ ist NP-hart fur γ = c log n und γ = (log n)c fur alle c > 0.

Satz 7.2.5 (Ajtai 1998, Micciancio 2001, MG02, Sektion 4)GAP-SVPγ ist fur γ <

√2 NP-hart bzgl. probabilistischen Karp-Reduktionen.

Probabilistische Karp-Reduktionen werden erklart wie ≤pol, aber die pol. Zeit Transformationf = f(x,w) benutzt einen Munzwurf w. Der Satz von Ajtai-Micciancio zeigt

Rucksack, NP ≤pol,prob. SVP`2 .

Die Reduktion Rucksack ≤pol SVP konnte bisher nur fur probabilistische Karp-Reduktionengezeigt werden. Man reduziert Rucksack auf das CVP-Problem eines Gitters L(b1, ...,bn+1) undbenotigt fur die Korrektheit, dass λ1(L(b1, ...,bn)) >

√n. Diese Bedingung kann man nur pro-

babilistisch sichern. Wir geben die Reduktion ohne diese nicht triviale Bedingung zu sichern. Wirreduzieren Rucksack auf SVP durch die Reduktion

f : (a1, . . . , an, b) 7→ (B,√

n) mit

B = [b1, . . . ,bn+1] =

2 1

. . . O...

O 2 1√na1 · · ·

√nan

√nb

∈ R(n+1)2

Satz 7.2.6Rucksack ≤pol SVP falls fur (a1, ..., an, b) ∈ Rucksack und ([b1, ...,bn+1],

√n) := f(a1, ..., an, b)

gilt dass λ1(L(b1, ...,bn)) >√

n und keine ganzzahligen Losungen von∑n

i=1 aixi = xn+1b mit|xn+1| ≥ 2 existieren.

Beweis. (a1, . . . , an, b) ∈ Rucksack impliziert (B,√

n) ∈ SVP, denn fur jede Rucksack-LosungΣn

i=1aixi = b, xi ∈ {0, 1} gilt |2xi − 1| = 1 und

‖Σni=1bixi − bn+1‖ = ‖(±1, . . . ,±1, 0)‖ =

√n.

Umgekehrt sichern die Nebenbedingungen (B,√

n) ∈ SVP ⇒ (a1, . . . , an, b) ∈ Rucksack:Angenommen ‖Σn

i=1bixi + bn+1xn+1‖ ≤√

n. Wegen λ1(L(b1, ...,bn)) >√

n gilt∑n

i=1 aixi +xn+1b = 0 mit xn+1 6= 0, dabei gilt |xn+1| ≤ 1.

Sei O.B.d.A. xn+1 = −1. Es folgt |2xi − 1| = 1 fur i = 1, . . . , n, somit xi ∈ {0, 1}. Also(a1, . . . , an, b) ∈ Rucksack. �

7.3 Zufallige Rucksack-Gitter mit grosser Dichte.

Die Korrektheit der Reduktion f : (a1, . . . , an, b) 7→ ([b1, . . . ,bn+1],√

n) zu Rucksack ≤pol

SVP wird in Satz 7.2.6 unter Bedingungen gezeigt. Diese werden fur zufallige Rucksackprobleme(a1, . . . , an, b) der Dichte d ≤ 0, 9408 durch Satz 5.3.1 gesichert. Aus Satz 5.3.1 folgt unmittelbar

7.3. ZUFALLIGE RUCKSACK-GITTER MIT GROSSER DICHTE. 65

Lemma 7.3.1Sei f : (a1, . . . , an, b) 7→ ([b1, . . . ,bn+1],

√n) die Reduktion von Satz 7.2.6. Fur fast alle a1, . . . , an

∈ [0, 2n/d] mit Dichte d ≤ 0, 9408 liefert der kurzeste Gittervektor in L(b1, . . . ,bn+1)\{0} eineRucksacklosung zu (a1, . . . , an, b) ∈ Rucksack, sofern

∣∣∑ni=1 ai − 2b

∣∣ ≥ max ai.

Die Bedingung∣∣∑n

i=1 ai − 2b∣∣ ≥ max ai wird im Beweis von Satz 5.3.1 durch Reduktion des

Rucksackproblems gesichert. Fur (a1, . . . , an, b) ∈ Rucksack gilt fur den kurzesten Gittervektor∑n+1i=1 bixi ∈ L(b1, . . . ,bn+1) nach (5.15), dass |xn+1| ≤ maxi ai|

∑ni=1 ai − 2b|−1n, und somit

|xn+1| ≤ n falls |∑n

i=1 ai−2b| ≥ max ai. Die Bedingung |xn+1| ≤ n wird im Beweis von Satz 5.3.1benutzt. Zu a1, . . . , an ∈ Z bezeichne La1,...,an ⊂ Rn+1 das Gitter mit Basismatrix

[b1, . . . ,bn] =

2

. . . OO 2√

n a1 · · ·√

n an

∈ R(n+1)n.

Korollar 7.3.2Fur fast alle a1, . . . , an ∈ [0, 2n/d] mit d ≤ 0, 9408 und n ≥ n0, gilt dass λ1(La1,...,an

) >√

n und4(La1,...,an

) ≥ 2−1,0158 n, also 1n log24(La1,...,an) ≥ −1, 0158 n.

Beweis. Nach Lemma 7.3.1 gilt fur fast alle a1, . . . , an ∈ [0, 2n/d], dass λ1(L) >√

n fur L :=La1,...,an . Denn offenbar gibt es ein b, so dass (a1, . . . , an, b) ∈ Rucksack und |

∑ni=1 ai − 2b| ≥

maxi ai. Damit liefert der kurzeste Gittervektor in L(b1, . . . ,bn+1)\{0} nach Lemma 7.3.1 eineRucksacklosung. Der Gittervektor zur Rucksacklosung hat Lange

√n. Somit muß gelten dass

λ1(L) >√

n, denn die Vektoren in L konnen keine Rucksacklosung liefern. Es folgt

γ(L) > n(detL)−2/n

mit det2L = 22n(1 + n4

∑ni=1 a2

i ) = O(22n n4 22n/d).

Somit gilt fur n ≥ n0 und d < 0, 9408

γ(L) > n2−2(n4 )−2/n2−2/d > 0, 05727 n.

Es folgt 4(L) = γ(L)n/2Vn2−n > (0, 05727n eπ2n )n/2 > 0, 4945−n > 2−1,0158 n

wegen (0, 05727 eπ/2)1/2 > 0, 4945. �

Vergleich mit expliziten Konstruktionen dichter Gitter. Die unendlichen Klassenkorperturmevon Gold, Shafarevitch, Martinet, liefern eine unendliche Folge von Gittern mit

1n log24 ≥ −2, 218,

siehe [CoSl88, Kap. 8, Sektion 7.4]. Eine praktische Methode zum Auffinden solcher Gitter istnicht bekannt. Explizite Konstruktionen von Gittern gibt es [CoSl88], so dass

1n log24 ≥ −1, 2454 fur n ≤ 98328,

1n log24 ≥ −2, 0006 fur n ≤ 1051.

Verglichen damit kann man nach Kor. 7.3.2 die wesentlich grossere Dichte1n log24(La1,...,an) ≥ −1, 0158

fur beliebige n und zufallige a1, . . . , an ∈ [0, 2n/d] fur d ≤ 0, 9408 in probabilistischer pol.-Zeiterreichen. Es folgt die Korrektheit der Reduktion Rucksack ≤pol SVP fur fast alle a1, ..., an ∈[0, 2n/d] fur d ≤ 0, 9408.


Korollar 7.3.3Fur die Reduktion f : (a1, . . . , an, b) 7→ ([b1, . . . ,bn+1],

√n) von Satz 7.2.6 gilt fur fast alle

a1, . . . , an ∈ [0, 2n/d] mit d ≤ 0, 9408 dass λ1(L(b1, . . . ,bn)) >√

n und(a1, . . . , an, b) ∈ Rucksack ⇔ λ1(L(b1, . . . ,bn+1)) ≤

√n,

sofern∣∣∑n

i=1 ai − 2b∣∣ ≥ max ai.

Kapitel 8

Konstruktion eines kurzestenGittervektors

Im Kapitel 6.4 haben wir einen Algorithmus zur Block-Reduktion vorgestellt. Als Unterprogrammmußte der kurzeste, nicht-triviale Gittervektor berechnet werden. Wir lernen in diesem Kapiteleinen solchen Algorithmus kennen, der durch vollstandige Aufzahlung einen kurzesten Gittervek-tor findet. Anschließend werden wir durch die Volumen-Heuristik versuchen, die Aufzahlung zubeschranken. Polynomialzeit-Verfahren sind nicht bekannt.

8.1 Algorithmus mit vollstandiger Aufzahlung

Wir mochten zu einer gegebenen Gitterbasis b1, . . . , bn ∈ Rm bezuglich der Euklidischen Normeinen kurzesten Gittervektor konstruieren. Sei b1, . . . , bn ∈ Rm die Basis mit zugehorigem Orthogo-nalsystem b1, . . . , bn und Gram-Schmidt-Koeffizienten µi,j , also bi =

∑ij=1 µi,j bj fur i = 1, . . . , n.

Zur orthogonalen Projektion πi : Rm → span(b1, . . . , bi−1)⊥ bezeichne:

ct(ut, ut+1, . . . , un) := ‖πt

( n∑i=t

uibi

)‖2 =

‖n∑

i=t

i∑j=t

uiµi,j bj‖2 = ‖n∑

i=t

( i∑j=t

uiµi,j

)‖2 · ‖bj‖2

C.P. Schnorr und M. Euchner stellen in [SE94] den ENUM-Algorithmus (Algorithmus 8.1.1)vor. Die Funktion a′ := next(a, r) liefert zu a ∈ Z und r ∈ R die in der Reihenfolge nach abetragsmaßig nachste, ganze Zahl zur reellen Zahl r (siehe Grafik 8.1.1). Es gilt:

• |a− r| ≤ |a′ − r| ≤ |a− r|+ 1

• sign(a′ − r) 6= sign(a− r)

Falls es zu r zwei ganze Zahlen mit Abstand 12 gibt, fordern wir zusatzlich, daß zunachst der

kleinere Wert gewahlt wird, also aus |a− r| = |a′ − r| folgt a < r < a′.

Die Korrektheit des ENUM-Algorithmus’ 8.1.1 folgt aus den folgenden Beobachtungen:

• Stets gilt: ct = ct(ut, ut+1, . . . , un). Beweis durch Induktion uber Anzahl der Iterationen.Durch die Zuweisungen im ersten Schritt gelten die Behauptungen vor der ersten Iteration

67

68 KAPITEL 8. KONSTRUKTION EINES KURZESTEN GITTERVEKTORS

�

3. 1. 2. 4.

rZ-

Abbildung 8.1.1: Reihenfolge der Approximationen bei next( · , r)

Algorithmus 8.1.1 ENUM: kurzester Gittervektor (vollstandige Aufzahlung)

EINGABE : ‖bi‖2, µi,t fur 1 ≤ t ≤ i ≤ n

1. FOR i = 1, . . . , n DO ci := ui := ui := yi := 0

2. u1 := u1 := 1; t := 1;

3. cmin1 := c1 := ‖b1‖2

/∗ stets gilt: ct = ct(ut, ut+1, . . . , un) und cmin1 ist aktuelles Minimum der Funktion c1 ∗/

4. WHILE t ≤ n DO

4.1. ct := ct+1 + (yt + ut)2 · ‖bt‖2

4.2. IF ct < cmin1 THEN

IF t > 1 THEN

t := t− 1

yt :=n∑

i=t+1

uiµi,t

ut := b−yte

ELSE

cmin1 = c1

FOR i = 1, . . . , n DO ui := ui

END if

ELSE

t := t + 1

/∗ tmax bezeichne den bisherigen maximalen Wert von t vor Erhohung ∗/

ut :=

{ut + 1 falls t = tmax

next(ut,−yt) sonst

END if

END while

AUSGABE : Minimalstelle (u1, . . . , un) ∈ Zn \ {0} und Minimalwert cmin1 fur Funktion c1

(Induktionsverankerung). Induktionsschluß:

ct(ut, ut+1, . . . , un) = ct+1(ut+1, ut+2, . . . , un)︸︷︷︸nach Ind.Annahme: = ct+1

+( n∑

i=t

uiµi,t

)2 · ‖bt‖2

= ct+1 + (yt + ut)2 · ‖bt‖2

8.2. ALGORITHMUS MIT GESCHNITTENER AUFZAHLUNG 69

Bei der letzten Umformung nutzen wir, daß yt =n∑

i=t+1

uiµi,t und ut = ut · 1 = ut · µt,t.

• Der Algorithmus zahlt (engl. enumerate) in Depth-First-Order alle Vektoren

(ut, ut+1, . . . , un) ∈ Zn−t+1 \ {0}

fur t = 1, . . . , n auf, fur die gilt (cmin1 ist das aktuelle Minimum der Funktion c1):

ct(ut, ut+1, . . . , un) < cmin1

Alle Vektoren erfullen ui > 0 fur das großte i mit ui 6= 0.

• Fur feste ut+1, ut+2, . . . , un gilt fur die Folge der ut-Werte, erzeugt durch next( · ,−yt),daß ct(ut, ut+1, . . . , un) monoton wachsend ist. Falls die Abfrage ct < cmin

1 negativ fur denaktuellen Vektor (ut, ut+1, . . . , un) ist, kann die Aufzahlung der Vektoren (u, ut+1, . . . , un),wobei u fur die weiteren Werte der next( · ,−yt)-Funktion steht, entfallen. Denn nach denvorherigen Uberlegungen fuhren diese Vektoren nicht zum Minimum der c1-Funktion.

Am Ende des ENUM-Algorithmus gilt cmin1 = λ2

1.

8.2 Algorithmus mit geschnittener Aufzahlung

Um die Laufzeit des Aufzahlungsverfahrens zu verkurzen, fuhren wir eine Heuristik ein, um dieAufzahlung abzubrechen, wenn wir in diesem Teil der Aufzahlung mit hoher Wahrscheinlichkeitkeinen kurzeren Vektoren finden werden (vergleiche [SH95]).

8.2.1 Volumen-Heuristik und Gauß-ENUM

Folgende Heuristik geht auf C.F. Gauß zuruck:

Lemma 8.2.1 (Volumen-Heuristik)Sei S ⊆ span(L) Jordan-meßbar, z ∈ span(L) mod L zufallig, dann gilt:

Ez [ |(z + S) ∩ L|] =vol(S)det L

.

Beweis. Denn: 1det L = Anzahl Gitterpunkte

Volumen Grundmasche = Anzahl GitterpunkteVolumeneinheit . �

Angenommen, wir haben (ut, ut+1, . . . , un) ∈ Zn−t+1 \ {0} fest und suchen

u1, . . . , ut−1 ∈ Z

mit c1(u1, . . . , un) < cmin1 . Setze:

L := L(b1, . . . , bt−1)

Wir mochten zu gegebenem Gittervektor b =∑n

i=t uibi einen Vektor

b =t−1∑i=1

uibi ∈ L


addieren, so daß∥∥b + b

∥∥2< cmin

1 . Wir zerlegen b in orthogonale Anteile:

b =t−1∑j=1

n∑i=1

uiµi,j bj︸︷︷︸−z∈span( L )

+n∑

j=t

n∑i=t

uiµi,j bj︸︷︷︸y∈span( L )⊥

= −z + y(8.1)

rr

O

39

0

y

b ∈ L

b + span(

L)

z

�

~

6

Sphare in span(L)Punkt in b + L

S(√

c1 − ct, y)

mit Radius√

c1

Abbildung 8.2.1: Volumenheuristik bei Gauß-ENUM

Das bedeutet, wir suchen nach einem Gitterpunkt in(b + L

)∩ St−1

(√cmin1 − ct, y

), wobei∣∣(b + L

)∩ St−1

(√cmin1 − ct, y

)∣∣ = ∣∣L ∩ St−1

(√cmin1 − ct, z)

∣∣.Dabei ist Sd(r, c) eine d-dimensionale Sphare mit Radius r und Zentrum c. Die Gleichheit giltwegen z = y − b. Grafik 8.2.1 verdeutlicht die Aufgabe. Wir wenden die Volumen-Heuristik aufdas Gitter L und die Sphare St−1

(√cmin1 − ct, z

)⊆ span

(L)

an und erhalten:

Ez

[ ∣∣{(u1, . . . , ut−1) ∈ Zt−1 : c1(u1, . . . , ut−1) < cmin1

}∣∣] =vol(St−1

(√cmin1 − ct, z

))det L

Wir werden die Anwendung der Volumen-Heuristik anschließend rechtfertigen.

Wir schneiden die weitere Aufzahlung ab (pruning), falls der Quotient kleiner als 2−p, p festvorgegeben, ist. Je großer p, desto umfangreicher die Aufzahlung. Fur p = ∞ erhalten wir dievollstandige Aufzahlung. Wahle ηt,p als

2−p =vol(St−1

(√ηt,p

))det L

.

Aus der Stirling’schen Approximation erhalten wir:

2−p =vol(St−1

(√ηt,p

))det L

=(π · ηt,p)

t−12

Γ(1 + t−1

2

) · 1∏t−1i=1 ‖bi‖

≈

(2eπt−1 · ηt,p

) t−12√

π(t− 1) ·∏t−1

i=1 ‖bi‖

Es folgt:

ηt,p =1π· Γ(

1 +t− 1

2

) 2t−1

·

(2−p ·

t−1∏i=1

‖bi‖

) 2t−1

≈ t− 12eπ

(√π(t− 1) · 2−p ·

t−1∏i=1

‖bi‖

) 2t−1

Im Algorithmus 8.1.1 (Seite 68) ersetzen wir Schritt 4.2 durch

8.2. ALGORITHMUS MIT GESCHNITTENER AUFZAHLUNG 71

IF ct < cmin1 − ηt,p

Den erhaltenen Algorithmus 8.2.1 nennen wir Gauß-ENUM. Eine Analyse, mit welcher Wahr-scheinlichkeit der kurzeste Gittervektor gefunden wird, erweist sich als schwierig.

Algorithmus 8.2.1 Gauß-ENUM: kurzester Gittervektor (geschnittene Aufzahlung)

EINGABE : ‖bi‖2, µi,t fur 1 ≤ t ≤ i ≤ n


2. u1 := u1 := 1; t := 1;

3. cmin1 := c1 := ‖b1‖2


4. WHILE t ≤ n DO

4.1. ct := ct+1 + (yt + ut)2 · ‖bt‖2

4.2. IF ct < cmin1 − ηt,p THEN

IF t > 1 THEN

t := t− 1

yt :=n∑

i=t+1

uiµi,t

ut := b−yte

ELSE

cmin1 = c1

FOR i = 1, . . . , n DO ui := ui

END if

ELSE

t := t + 1

/∗ tmax bezeichne den bisherigen maximalen Wert von t vor der Erhohung ∗/

ut :=


next(ut,−yt) sonst

END if

END while

AUSGABE : Wahrscheinliche Minimalstelle (u1, . . . , un) ∈ Zn \ {0} und Minimalwert cmin1 fur

die Funktion c1

Wir mussen noch die Anwendung der Volumen-Heuristik rechtfertigen.

Lemma 8.2.2Sei L := L(b1, . . . , bt−1), (ut, ut+1, . . . , un) ∈ Zn−t+1 \ {0} fest und der Punkt z aus (8.1). Dann


gilt, sofern z ∈R span(

L):

Ez

[ ∣∣{(u1, . . . , ut−1) ∈ Zt−1 : c1(u1, . . . , un) ≤ cmin1

}∣∣] =vol(St−1

(√cmin1 − ct, z

))det L

Weiter:

Ez

[ ∣∣{(u1, . . . , ut−1) ∈ Zt−1 : c1(u1, . . . , un) ≤ cmin1

}∣∣] ≥ 2−p ⇐⇒ ct ≤ cmin1 − ηt,p

Beweis. Wir setzen:

S := St−1

(√cmin1 − ηt,p

)und L := L. Es gilt:

|(z + S) ∩ L| =∣∣{(u1, . . . , ut−1) ∈ Zt−1 : c1(u1, . . . , un) ≤ cmin

1

}∣∣Aus Lemma 8.2.1 folgt die Behauptung, da nach Voraussetzung z ∈R span

(L). �

Zu r ∈ R bezeichne {r} ∈ [0, 1[ die Nachkommastellen.

Definition 8.2.3 (gleichverteilt mod L (kurz: u.d. mod L))Fur ein Gitter L mit der Basis b1, . . . , bn heißt eine Wahrscheinlichkeitsverteilung der Punkte∑n

i=1 tibi in span(L) gleichverteilt (uniformly distributed) modulo L (kurz: u.d. mod L), falls derVektor ({t1}, {t2}, . . . , {tn}) gleichverteilt auf [0, 1[n ist.

Bemerkung 8.2.4Diese Eigenschaft bleibt bei Basiswechsel und Ubergang zum Orthogonalsystem erhalten. In denLemmata 8.2.1 und 8.2.2 genugt es, daß z gleichverteilt mod L ist, denn:

z ≡ z (mod L) ⇒ |z + S ∩ L| = |z + S ∩ L|

Wir wenden Lemma 8.2.2 und Bemerkung 8.2.4 auf die Situation in ENUM an mit:

• festen ut, ut+1, . . . , un,

• ct = ct(ut, ut+1, . . . , un),

• cmin1 > ct,

• wir suchen einen Gitterpunkt aus L mit der Sphare(√

cmin1 − ct, z

)und Zentrum:

z = −t−1∑j=1

n∑i=t

uiµi,j bj

Satz 8.2.5Sei ({µi,j} | 1 ≤ j < i ≤ n) gleichverteilt in [0, 1[(

n2). Dann folgt in obiger Situation fur festes

(ut, ut+1, . . . , un) ∈ Zn−t−1:

• z ist uniformly distributed modulo L.

• Ez

[ ∣∣{(u1, . . . , ut−1) ∈ Zt−1 : c1(u1, . . . , un ≤ cmin1

}∣∣] =vol(St−1

(√cmin1 − ct, z

))det L

8.3. BEMERKUNG ZUR LLL-REDUZIERTEN BASIS 73

Beweis. Wir nehmen an, daß un 6= 0, denn sonst konnen wir n vermindern. Die Eigenschaft{µ} ∈R [0, 1[ bleibt bei Multiplikation mit einer ganzen Zahl z ∈ Z \ {0} erhalten, d.h. {z · µ} ∈R

[0, 1[. Die Vektoren

({unµn,j} | j = 1, . . . , t− 1)({∑n

i=tunµi,j

}| j = 1, . . . , t− 1

)

sind unabhangig und gleichverteilt in [0, 1[t−1. Daraus folgt, daß({unµn,j −

∑n

i=tunµi,j

}| j = 1, . . . , t− 1

)

gleichverteilt in [0, 1[t−1 ist. Die Behauptung folgt aus Lemma 8.2.2. �

8.3 Bemerkung zur LLL-reduzierten Basis

Der folgende Satz zeigt, daß es Verteilungen von Gitterbasen gibt, fur die die LLL-Reduktion nursehr schwache Approximationen des kurzesten Gittervektors liefert (vergleiche Satz 4.1.4 auf Seite32):

Satz 8.3.1Sei b1, . . . , bn zufallige Gitterbasis, so daß:

(µi,j | 1 ≤ i < j ≤ n) ∈R [0, 1[(n−1

2 )

Es gibt eine Verteilung D auf [0, 1[(n−1

2 ), so daß die Gitterbasis b1, . . . , bn mit

(µi,j | 1 ≤ i < j ≤ n) ∈D [0, 1[(n−1

2 )

stets LLL-reduziert ist und fur den Erwartungswert gilt:

ED

[λ2

1

‖b1‖2

]≤ γn ·

(1112

)n−12

,

wobei γn die Hermite-Konstante der Dimension n ist.

Beweis. Sei:

(µi,j | 1 ≤ i < j ≤ n) ∈R

[− 1

2 ; + 12

[(n−12 )

Definiere Basis b1, . . . , bn des Gitters L durch das zugehorige Orthogonalsystem: Wahle ‖bi‖2,i = 1, . . . , n, mit:

‖b1‖ = 1

‖bi+1‖2 = ‖bi‖2 · (1− µ2i+1,i) i = 1, . . . , n− 1

Die Basis ist LLL-reduziert mit δ = 1, da nach Konstruktion:

‖πi(bi+1)‖2 = ‖bi+1‖2 + µ2i+1,i‖bi‖ = ‖bi‖2


Aus der Definition der Hermite-Konstanten γn := sup{

λ1(L)2

(det L)2/n

∣∣∣ Rang(L) = n}

folgt:

λ21 ≤ γn · (detL)

2n = γn ·

n∏i=1

‖bi‖2n = γn · ‖b1‖

2n ·

n−1∏i=1

(1− µ2i+1,i)

n−in

Wir erhalten fur x gleichverteilt in[− 1

2 ; + 12

[:

Ex

[λ2

1

‖b1‖2

]≤ γn · E

[n−1∏i=1

(1− µ2i+1,i)

n−in

](fur i 6= j sind µi+1,i und µj+1,j unabhangig)

= γn ·n−1∏i=1

Ex

[1− x2

]n−in

≤ γn ·n−1∏i=1

Ex

[1− x2

]n−in

(es gilt: Ex

[1− x2

]= 1− 1

12 = 1112

)≤ γn ·

(1112

) 1n

Pn−1i=1 i

≤ γn ·(

1112

) 1n (n−1

2 )

≤ γn ·(

1112

)n−32

Im letzten Schritt nutzen wir die folgende Abschatzung (da 1112 < 1, mussen wir fur eine obere

Schranke den Exponenten nach unten abschatzen):

1n·(

n− 12

)=

(n− 1)(n− 2)2n

=n2 − 3n + 2

2n=

n

2− 3

2+

1n

>n− 3

2.

�

Kapitel 9

Gitterreduktion in beliebigerNorm

Bisher haben wir Gitter bezuglich der Euklidischen Norm reduziert. In diesem Kapitel betrachtenwir allgemeine Normen. Besonders die sup-Norm ist von Interesse (siehe Kapitel 10). Bis aufden Gauß-Reduktionsalgorithmus aus Kapitel 3 fur aus zwei Vektoren bestehende Basen ist dieReduktion in beliebiger Norm in der Praxis ”schwierig“.

9.1 Grundbegriffe

Sei ‖·‖ : Rm → R eine beliebige Norm, d.h. es gilt fur alle u, v ∈ Rm und µ ∈ R:

‖µv‖ = |µ| · ‖v‖ (positive Homogenitat)‖u + v‖ ≤ ‖u‖+ ‖v‖ (Dreiecksungleichung)

‖u‖ ≥ 0 fur u 6= 0 (positive Definitheit)

Wir definieren zu einer gegebenen fest geordneten Gitterbasis Abstandsfunktionen:

Definition 9.1.1 (Abstandsfunktion Fi)Sei b1, . . . , bn ∈ Rm eine fest geordnete Gitterbasis. Die i-te Abstandsfunktion (auch Hohen- oderDistanzfunktion) fur 1 ≤ i ≤ n

Fi : span(b1, . . . , bn) → R

ist bezuglich der gegebenen Norm ‖·‖ definiert als:

F1(x) := ‖x‖

Fi(x) := mint1,...,ti−1∈R

∥∥∥∥x−∑i−1

j=1tjbj

∥∥∥∥ = mint∈R

Fi−1 (x− tbi−1) i = 2, 3, . . . , n

Die Hohe Fi eines Vektors ist sein Abstand zu dem von b1, . . . , bi−1 erzeugten Unterraum.Es gilt Fi(x) = 0 genau dann, wenn x ∈ span(b1, . . . , bi−1). Man rechnet leicht nach, daß jedeAbstandsfunktion Fi eine Norm auf span(b1, . . . , bi−1)

⊥ ist. Im Fall der Euklidischen Norm istFi(bi) = ‖bi‖2. Die Determinante des Gitters L = L(b1, . . . , bn) ist:

det L =n∏

i=1

‖bi‖2

75

76 KAPITEL 9. GITTERREDUKTION IN BELIEBIGER NORM

Wie sieht die Gleichung detL =∏

i ‖bi‖ bezuglich F1, . . . , Fn aus? Zu gegebener Norm ‖·‖ defi-nieren wir:

S‖·‖(1) := {x ∈ Rm : ‖x‖ ≤ 1}

Diese Menge ist konvex, nullsymmetrisch und abgeschlossen. Zu gegebener Norm ‖·‖ und Gitter-basis b1, . . . , bn ∈ Rm definiere

Vi := vol {x ∈ span(b1, . . . , bi) : ‖x‖ ≤ 1}︸︷︷︸=span(b1,...,bi)∩S‖·‖(1)

i = 1, . . . , n(9.1)

Man beachte, daß sich Volumen stets auf die Euklidische Metrik bezieht.

Lemma 9.1.2Fur jede Basis b1, . . . , bn ∈ Rm gilt:

2n

n!·

n∏i=1

‖bi‖2Fi(bi)

≤ Vn ≤ 2n ·n∏

i=1

‖bi‖2Fi(bi)

Bevor wir das Lemma beweisen, eine Folgerung: Da Vn unabhangig von der Basis ist, gilt:

Korollar 9.1.3Seien b1, . . . , bn und b′1, b

′2, . . . , b

′n Basen des Gitters L, dann gilt:

m∏i=1

Fi(bi) ≤ n!m∏

i=1

F ′i (b

′i) oder

m∏i=1

F ′i (b

′i) ≤ n!

m∏i=1

Fi(bi)

Beweis (zu Lemma 9.1.2). Wir zeigen durch Induktion uber n:

2n

n!·

n∏i=1

‖bi‖2Fi(bi)

≤ Vn ≤ 2n ·n∏

i=1

‖bi‖2Fi(bi)

� -s0 + b1

F1(b1)− b1

F1(b1)

Abbildung 9.1.1: Induktionsverankerung im Beweis zu Lemma 9.1.2

• Induktionsverankerung n = 1: Es gilt (vergleiche Abbildung 9.1.1):

V1 = 2 ·‖b1‖2‖b1‖

= 2 · ‖b1‖2F1(b1)

• Induktionsschluß von n − 1 auf n: Wir wahlen einen Punkt z = bn −∑n−1

i=1 tibi ∈ Rn mit‖z‖ = Fn(bn) (siehe Abbildung 9.1.2). Man erhalt eine obere Schranke fur Vn durch:

Vn ≤ 2 · Vn−1 ·‖bn‖2Fn(bn)

9.1. GRUNDBEGRIFFE 77

span(b1, . . . , bn−1)Sn−1

Sn

z

6+ bbn

Fn(bn)

− bbn

Fn(bn)?

0s

sppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp

ppppppppppppppppppppppppp

pppppppppppppppppppppppppp

ppppppppppppppppppppppppppp

pppppppppppppppppppppppppppp

pppppppppppppppppppppppppppp

ppppppppppppppppppppppppppppp

pppppppppppppppppppppppppppppp

ppppppppppppppppppppppppppppppp

pppppppppppppppppppppppppppppppp

pppppppppppppppppppppppppppppppp

ppppppppppppppppppppppppppppp

pppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp pppppppp pppppp pppp pp pp ppp pppp ppppp pppppp pppppp pppppppp pppppppp ppppppppp pppppppppp

ppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp p pp p pp ppp p ppp p p p p p p p p pp p

p p p p p p p p p p p p p p p pp p p

p

Abbildung 9.1.2: Induktionsschluß im Beweis zu Lemma 9.1.2

Die konvexe Hulle von Sn−1 und z (gepunktetes Gebiet in Abbildung 9.1.2) ist in Sn ent-

halten. Da es sich um eine Pyramide mit Grundflache Sn−1 und Hohe ‖bbn‖2Fn(bn) handelt, gilt:

Vn−1

n· ‖bn‖2Fn(bn)

= voln (konvexe Hulle von Sn−1 und z) ≤ Vn

2

Es folgt wegen der Symmetrie:

2 · Vn−1

n· ‖bn‖2Fn(bn)

≤ Vn

Aus der Induktionsannahme erhalten wir:

Vn ≥ 2 · Vn−1

n· ‖bn‖Fn(bn)

≥

[2n· ‖bn‖Fn(bn)

]·

[2n−1

(n− 1)!·

n−1∏i=1

‖bi‖2Fi(bi)

]=

2n

n!·

n∏i=1

‖bi‖2Fi(bi)

Fur die obere Schranke betrachten wir den Quader mit Grundflache Sn−1 und Hohe ‖bbn‖Fn(bn) .

Da Sn in zwei dieser Quader enthalten ist (siehe Abbildung 9.1.2), gilt:

Vn ≤ 2 · Vn−1 ·‖bn‖2Fn(bn)

Aus der Induktionsannahme erhalten wir:

Vn ≤ 2 · Vn−1 ·‖bn‖2Fn(bn)

≤ 2 · ‖bn‖2Fn(bn)

· 2n−1 ·n−1∏i=1

‖bi‖2Fi(bi)

= 2n ·n∏

i=1

‖bi‖2Fi(bi)

�

Es gilt fur das erste sukzessive Minimum:

Satz 9.1.4 (Kaib 1994)Fur jede Gitterbasis b1, . . . , bn ∈ Rm gilt:

mini=1,...,n

Fi(bi) ≤ λ1,‖·‖ ≤

(n! ·

n∏i=1

Fi(bi)

) 1n


Zum Vergleich fur die `2-Norm: Wir wissen aus der Minkowski’schen Ungleichung 2.3.1 (Seite 22),daß wegen λ1,‖·‖ ≤ λ2,‖·‖ ≤ · · · ≤ λn,‖·‖ fur das Gitter L = L(b1, . . . , bn) gilt:

mini=1,...,n

‖bi‖ ≤ λi,`2 ≤ (γn)12 · (detL)

1n

Beweis (zu Satz 9.1.4). Betrachten wir beide Abschatzungen:

• Wir zeigen:

mini=1,...,n

Fi(bi) ≤ λi,‖·‖

Sei b =∑n

i=1 tibi ∈ L mit ‖b‖ = λ1,‖·‖. Setze s := max {i | ti 6= 0}. Wegen ts ∈ Z \ {0} gilt:

λ1,‖·‖ = ‖b‖ ≥ Fs(b) = Fs(tsbs) = |ts|︸︷︷︸≥1

·Fs(bs) ≥ Fs(bs)

Die Behauptung folgt aus:

mini=1,...,n

Fi(bi) ≤ Fs(bs) ≤ λi,‖·‖

• Sei L = L(b1, . . . , bn). Aus dem zweiten Satz von Minkowski [Mi1896] folgt wegen λ1,‖·‖ ≤λ2,‖·‖ ≤ · · · ≤ λn,‖·‖:

Vn · λn1,‖·‖ ≤ 2n · det L(9.2)

Aus Lemma 9.1.2 wissen wir:

n!2n

·n∏

i=1

Fi(bi)

‖bi‖2≥ 1

Vn(9.3)

Aus det L =∏n

i=1 ‖bi‖2 erhalten wir:

λn1,‖·‖ ≤ 2n · V −1

n ·n∏

i=1

‖bi‖2 (wegen (9.2))

≤ 2n ·

(n!2n

·n∏

i=1

Fi(bi)

‖bi‖ 2

)·

(n∏

i=1

‖bi‖2

)(wegen (9.3))

= n! ·n∏

i=1

Fi(bi)

�

Es gilt fur das Produkt der sukzessiven Minima:

Satz 9.1.5Fur jede Gitterbasis b1, . . . , bn ∈ Rm gilt:

1n!·

n∏i=1

Fi(bi) ≤n∏

i=1

λi,‖·‖ ≤ n! ·n∏

i=1

Fi(bi)

Zum Vergleich: Die Minkowski’sche Ungleichung fur die `2-Norm, Satz 2.3.1 auf Seite 22, besagt:n∏

i=1

λi,`2 ≤ (γn)n2 · det L

9.2. REDUZIERTE BASEN ZUR NORM ‖·‖ 79

Beweis (zu Satz 9.1.5). Die Behauptung folgt aus dem Beweis zu Satz 9.1.4 durch Anwendendes zweiten Satzes von Minkowski:

det L

n!≤ Vn

2n·

n∏i=1

λi,‖·‖ ≤ det L

�

9.2 Reduzierte Basen zur Norm ‖·‖

Analog zur Euklidischen Norm fuhren wir Reduktionsbegriffe ein und versuchen, Eigenschaftenreduzierter Basen zu beweisen.

9.2.1 Definitionen

Wir ubertragen die Reduktionsbegriffe auf den Fall einer beliebig vorgegebenen Norm:

Definition 9.2.1 (HKZ-reduzierte Basis zu ‖·‖)Eine geordnete Basis b1, . . . , bn ∈ Rm ist eine HKZ-reduzierte Basis zur Norm ‖·‖, wenn:

a) Fj(bi) ≤ Fj(bi ± bj) fur 1 ≤ j < i ≤ n (langenreduziert)

b) Fi(bi) = min {Fi(b) | b ∈ L(bi, bi+1, . . . , bn) \ {0} } fur i = 1, . . . , n

Beim zweiten Kriterium kann b auch aus L(b1, . . . , bn) \ {0} gewahlt werden. Fur die Eigenschaft

”langenreduziert“ gilt mit 1 ≤ j < i ≤ n:

Fj(bi) ≤ Fj(bi ± bj) ⇐⇒ Fj(bi) = mint∈Z

Fj (bi + t · bj)

Diese Aquivalenz nutzt die Konvexitat der Norm Fj . Die ”⇐“-Richtung folgt unmittelbar und furdie ”⇒“-Richtung beachtet man, daß gilt:

Fj(bi) ≤ Fj(bi − bj) und Fj(bi) ≤ Fj(bi + bj)

Definition 9.2.2 (β-reduzierte Basis zu ‖·‖)Sei b1, . . . , bn ∈ Rm eine geordnete Basis und β ∈ {2, 3, . . . , n} gegeben. b1, . . . , bn ∈ Rm heißtβ-reduziert (blockreduziert mit Blockgroße β) zur Norm ‖·‖, wenn:

a) Fj(bi) ≤ Fj(bi ± bj) fur 1 ≤ j < i ≤ n

b) Fi(bi) = min{Fi(b)

∣∣ b ∈ L(bi, bi+1, . . . , bmin(i+β−1,n)) \ {0}}

fur i = 1, . . . , n− 1

Wir betrachten den Spezialfall einer 2-reduzierten Basis zu ‖·‖: Die geordnete Basis b1, . . . , bn ∈Rm ist 2-reduziert zur Norm ‖·‖, wenn:

a) Fj(bi) ≤ Fj(bi ± bj) fur 1 ≤ j < i ≤ n

b) Fi(bi) = min{Fi(sbi + tbi+1)

∣∣ (s, t) ∈ Z2 \ {(0, 0)}}

fur i = 1, . . . , n− 1

Eine 2-reduzierte Basis zur `2-Norm ist eine LLL-reduzierte Basis.


9.2.2 Eigenschaften 2-reduzierter Gitterbasen

Wir untersuchen die Eigenschaften 2-reduzierter Basen und vergleichen die Resultate mit denenim Spezialfall der `2-Norm (LLL-reduziert) aus Kapitel 3.

Satz 9.2.3Sei b1, . . . , bn ∈ Rm eine 2-reduzierte Basis zur Norm ‖·‖. Dann gilt fur i = 1, . . . , n− 1:

Fi+1(bi+1) ≥ 12 · Fi(bi)

Zum Vergleich: Fur die `2-Norm ist mit δ = 34 nach Lemma 4.1.2 auf Seite 31 ‖bi‖22 ≤ 2 · ‖bi+1‖22,

also:

‖bi+1‖2 ≥√

12 · ‖bi‖2

Beweis (zu Satz 9.2.3). Nach Definition gilt

a) Fj(bi) ≤ Fj(bi ± bj) fur 1 ≤ j < i ≤ n und

b) Fi(bi) = min{Fi(sbi + tbi+1)

∣∣ (s, t) ∈ Z2 \ {(0, 0)}}

fur i = 1, . . . , n− 1.

Die Behauptung Fi(bi) ≤ 12 · Fi(bi+1) erhalten wir aus:

Fi(bi) ≤ Fi(bi+1) (wegen Eigenschaft b))≤ min {Fi(bi+1 − tbi) | t ∈ Z} (wegen Eigenschaft a))

≤ Fi(bi+1) + 12 · Fi(bi)

Wir nutzen, daß die Abstandsfunktionen Fi jeweils Normen auf span(b1, . . . , bi−1)⊥ sind:

Fi+1(bi+1) = min {Fi(bi+1 − sbi) | s ∈ R} (Definition)

= min{Fi

(bi+1 − (r + t)bi

) ∣∣ t ∈ Z, r ∈[− 1

2 ,+ 12

] }≤ min {Fi(bi+1 − tbi) | t ∈ Z}+ Fi

(12 · bi

)(Dreiecksungleichung)

≤ min {Fi(bi+1 − tbi) | t ∈ Z}+ 12 · Fi(bi) (Linearitat)

�

Im folgenden Satz untersuchen wir, wie gut im allgemeinen Fall der erste Vektor der 2-reduziertenBasis das erste sukzessive Minimum approximiert.

Satz 9.2.4Sei b1, . . . , bn ∈ Rm eine 2-reduzierte Basis zur Norm ‖·‖. Dann gilt:

‖b1‖ ≤ 2n−1 · λ1,‖·‖

Zum Vergleich: Fur die `2-Norm wissen wir mit δ = 34 aus Satz 4.1.4 auf Seite 32:

‖b1‖2 ≤(

43

)n−12 · λ1,`2


Beweis. Sei b =∑n

i=1 tibi ‖·‖-minimaler Vektor in L = (b1, . . . , bn) \ {0}. O.B.d.A. sei tn ∈Z \ {0}. Es gilt:

‖b‖ ≥ Fn(b)

= mint1,...,tn−1∈R

∥∥∥∥b−∑n−1

j=1tjbj

∥∥∥∥ (Definition)

= Fn(tnbn)= |tn| · Fn(bn) (Linearitat der Norm Fn)≥ Fn(bn) (wegen tn ∈ Z \ {0})≥ 2−n+1 · F1(b1) (induktiv aus Satz 9.2.3)

= ‖b1‖ · 2−n+1 (wegen F1(bi) = ‖bi‖ und b1 = b1)

Wegen λ1,‖·‖ = ‖b‖ folgt die Behauptung. �

9.2.3 Eigenschaften HKZ-reduzierter Basen

Wir untersuchen die Eigenschaften von HKZ-Basen und vergleichen die Resultate, die wir imSpezialfall der `2-Norm in Kapitel 6.1 (Seite 51 und folgende) bewiesen haben. Es gilt fur HKZ-reduzierte Basen zur Norm ‖·‖:

Satz 9.2.5 (Lovasz, Scarf 1992)Sei b1, . . . , bn eine HKZ-reduzierte Basis zu ‖·‖ des Gitters L. Es gilt fur i = 1, . . . , n:

2i + 1

· ‖bi‖ ≤ λi,‖·‖ ≤i + 1

2· Fi(bi) ≤

i + 12

· ‖bi‖

Zum Vergleich: Fur die `2-Norm wissen wir aus Satz 6.1.2 auf Seite 51, daß fur i = 1, . . . , n gilt:

i + 34

· ‖bi‖ ≤ λi,`2 ≤i + 1

4‖bi‖

Beweis (zu Satz 9.2.5). Wir zeigen die untere und obere Schranke:

• Wir zeigen 2i+1 · ‖bi‖ ≤ λi,‖·‖ fur i = 1, . . . , n. Angenommen, h1, . . . , hn ∈ L realisieren die

sukzessiven Minima λ1, . . . , λn, d.h. es ist ‖hi‖ = λi,‖·‖ fur i = 1, . . . , n, und die Vektorenh1, . . . , hn sind linear unabhangig. Es gilt

maxj≤i

Fi(hj) ≥ Fi(bi),(9.4)

weil:

– wegen dim (span(h1, . . . , hi)) = i ist maxj≤i Fi(hj) 6= 0 und

– b1, . . . , bn eine HKZ-reduzierte Basis ist, also

Fi(bi) = min {Fi(b) | b ∈ L(bi, . . . , bn) \ {0} }

gilt.

Wir erhalten aus (9.4) und λ1,‖·‖ ≤ λ2,‖·‖ ≤ · · · ≤ λn,‖·‖:

λi,‖·‖ = ‖hi‖ = maxj≤i

‖hi‖ ≥ Fi(bi)(9.5)


Wir wenden aus Beweis zu Satz 9.2.3 die Ungleichung

minµ∈Z

Fj(x + µ · bj) ≤ Fj+1(x) + 12 · Fj(bj)

rekursiv beginnend mit x := bi und j = i− 1 an:

Fi−1(bi) ≤ Fi−1(bi + µi,i−1 · bi−1) fur alle µi,i−1 ∈ Z≤ Fi(bi) + 1

2 · Fi−1(bi−1) fur Minimalstelle µi,i−1 ∈ Z

Im nachsten Schritt sei x := bi + µi,i−1 · bi−1 mit Minimalstelle µi,i−1 ∈ Z und j := i − 1usw. Nach i− 1 Schritten erhalten wir mit Abschatzung (9.5) die Behauptung:

‖bi‖ = F1(bi) ≤ F1

bi +i−1∑j=1

µi,j · bj

≤ i + 12

· λi,‖·‖(9.6)

• Wir zeigen fur i = 1, . . . , n:

λi,‖·‖ ≤i + 1

2· Fi(bi) ≤

i + 12

· ‖bi‖

Es gilt:

λi,‖·‖ ≤ maxj≤i

F1(bj) (wegen F1(b) = ‖b‖)

≤ maxj≤i

{Fj(bj) + 1

2 ·j−1∑t=1

Ft(bt)

}(wegen (9.6))

≤ maxj≤i

{j+12 · Fj(bj)

}(wegen (9.6))

≤ i+12 · F1(bi) (wegen Ft(bt) ≤ F1(bj) fur t < j)

≤ i+12 · ‖bi‖ (wegen F1(bi) = ‖bi‖ ≤ ‖b‖)

�

9.2.4 Eigenschaften β-reduzierter Gitterbasen

Wir untersuchen die Eigenschaften von HRZ-Basen und vergleichen die Resultate, die wir imSpezialfall der `2-Norm in Kapitel 6.2 (Seite 52 und folgende) bewiesen haben. Wir definieren:

Definition 9.2.6 (αβ)Wir setzen:

αβ := sup{

‖b1‖Fβ(bβ)

∣∣∣∣ b1, . . . , bn HKZ-reduzierteBasis und ‖·‖ Norm

}

Satz 9.2.7Fur jede β-reduzierte Basis b1, . . . , bn zu ‖·‖ gilt:

‖b1‖ ≤ αdn−1

β−1eβ · λ1,‖·‖


Beweis. Sei hi := Fi(bi). Bestimme Index µ mit minimalem hµ. Nach Satz 9.1.4 gilt hµ ≤ λ1,‖·‖.Fur j < β sind die Basen bi, bi+1 . . . , bi+j HKZ-reduzierte Basen zur Norm Fi. Nach Definitionvon αβ und wegen αk ≤ αk+1 gilt:

hi ≤ αβ · hi+j(9.7)

Wir erhalten durch wiederholtes Anwenden von (9.7):

h1 ≤ αβ · h1+1(β−1) ≤ α2β · h1+2(β−1) ≤ α3

β · h1+3(β−1) ≤ . . . ≤ αbµ−1

β−1cβ · h1+bµ−1

β−1c(β−1)

Insgesamt erhalten wir:

h1 ≤ αdµ−1

β−1eβ · hµ ≤ α

dn−1β−1e

β · λ1,‖·‖

�

Fur die `2-Norm zeigt C.P. Schnorr [S87, Korollar 2.5], daß fur

αβ,`2 := sup

{‖b1‖2‖bβ‖

: b1, . . . , bn HKZ-reduzierte Basis

}(9.8)

gilt, wobei αβ,`2 als Quadrat von (9.8) definiert und als Korkine-Zolotareff-Konstante bezeichnetwird):

αβ,`2 ≤ k1+ln k

2

Analog zeigt man fur beliebige Norm:

αk ≤ k(k − 1)ln(k−1)

Satz 9.2.8Jede β-reduzierte Basis b1, . . . , bn erfullt fur i = 1, . . . , n

2i + 1

· γ′β− i−β/2

β−1 ≤ ‖bi‖λi,‖·‖

≤ i + 12

· γ′βn−β/2

β−1

mit γ′β = (β!)2β ≈

(βe

)2

.

Zum Vergleich: In der `2-Norm gilt fur die Hermite-Konstante γβ nach Satz 6.2.3 auf Seite 53:√4

i + 3· γ−

i−1β−1

β ≤ ‖bi‖λi,`2

≤√

i + 34

· γn−1β−1β

Der Beweis zu Satz 9.2.8 ist im wesentlichen analog zum Beweis zur `2-Norm. Wichtiger ”Baustein“ist folgendes Analogon zu Lemma 6.2 auf Seite 55: Fur jede β-reduzierte Basis b1, . . . , bn gilt:

‖b1‖ ≤ γ′βm−β/2

β−1 ·M mit M := maxn−β+2≤i≤n

Fi(bi)


9.3 Konstruktion einer HKZ-reduzierten Gitterbasis

Gegeben sei ein Gitter L vom Rang n. Wir konstruieren eine HKZ-reduzierte Basis in zwei Schrit-ten, wobei die Konstruktion allerdings nicht effizient ist.

1. Wir wahlen fur i = 1, . . . , n ein bi ∈ L mit:

Fi(bi) = min {Fi(b) | b ∈ L,Fi(b) 6= 0}

Beachte, Fi(b) ist definiert, da wir im i-ten Schritt bereits b1, . . . , bi−1 festgelegt haben. Esgilt genau dann Fi(b) 6= 0, wenn b /∈ span(b1, . . . , bi−1). Die Vektoren b1, . . . , bn bilden eineBasis von L: Falls dies nicht der Fall ist, existiert ein minimales i, so daß b1, . . . , bi keinprimitives System ist:

L ∩ span(b1, . . . , bi−1) = L(b1, . . . , bi−1)(9.9)L ∩ span(b1, . . . , bi) ) L(b1, . . . , bi)(9.10)

Wegen 9.10 existiert ein b ∈ L ∩ span(b1, . . . , bi) \ L(b1, . . . , bi) mit:

b =i−1∑j=1

tjbj + tibi mit t1, . . . , ti−1 ∈ Z und ti /∈ Z

Sei k > 1 der Index der additiven Untergruppe L(b1, . . . , bi) in span(b1, . . . , bi) ∩ L. Wegen(9.9) gilt:

ti ∈ 1k + Z

Wahle t′ = ti mod Z, d.h. t′ = 1k ∈]0, 1[. Es folgt der Widerspruch zur Minimalitat:

Fi(t1b1 + t2b2 + · · ·+ t′bi) = Fi(t′bi) = |t′| · Fi(bi) < Fi(bi).

2. Langenreduktion: Fur i = 1, . . . , n, fur j = i− 1, i− 2, . . . , 1 wahle µi,j ∈ Z, so daß:

Fj(bi + µi,i−1bi−1 + µi,i−2bi−2 + · · ·+ µi,jbj)

minimal ist. Setze:

bi := bi +i−1∑j=1

µi,jbj

Die Langenreduktion sichert Fj(bj) ≤ Fj(bi ± bj) fur j < i.

Lemma 9.3.1Obige Konstruktion liefert eine HKZ-reduzierte Basis b1, . . . , bn des Gitters L.

Beweis. Nachrechnen! �

9.4 Alternative zur Reduktion in ‖·‖

Alternativ zur Reduktion in ‖·‖ kann man S‖·‖(1) durch S‖·‖E(1) mit Ellipsoid-Norm ‖·‖E appro-ximieren und die Reduktion in der Ellipsoid-Norm durchfuhren.

‖x‖2E := xTBTBx

9.5. KONSTRUKTION EINES ‖·‖-KURZESTEN GITTERVEKTORS 85

Die Satze fur die `2-Norm ubertragen sich. Nach [J48] gilt: Zu jeder Norm ‖·‖ : Rn → R gibt eseine Ellipsoid-Norm ‖·‖E mit

‖x‖E ≤ ‖x‖ ≤√

n · ‖x‖E

Dann folgt fur die ‖·‖E β-reduzierte Basis nach Satz 6.2.3:

1n ·√

4i+3 · γ

− i−1β−1

β ≤ ‖bi‖λi,‖·‖

≤ n ·√

i+34 · γ

n−1β−1β(9.11)

Dabei geht ein Faktor√

n verloren bei der Approximation von ‖·‖ durch ‖·‖E. Ein weiterer Faktor√n geht verloren durch die Approximation von λi,‖·‖ durch λi,`2 .

Fur kleine Blockweiten β ist die Aussage (9.11) scharfer als Satz 9.2.8, weil γ′β = Θ(γ2

β

). Fur

große Blockweiten β ≈ n ist Satz 9.2.8 scharfer. Fur β = n sind die Schranken fur HKZ-reduzierteBasen zu ‖·‖ um den Faktor

√n besser als die Schranken (9.11).

9.5 Konstruktion eines ‖·‖-kurzesten Gittervektors

Wir ubertragen unseren Algorithmus zur Bestimmung eines kurzesten Gittervektors fur die Eu-klidische Norm aus Kapitel 8.1 auf beliebige Normen. H. Ritters [Ri96] gibt eine Ubersicht uberdie Aufzahlung kurzester Gittervektoren in der sup-Norm.

9.5.1 ENUM-Algorithmus fur beliebige Norm

Wir verallgemeinern Algorithmus 8.1.1 von Seite 68. Es bezeichne:

ct(ut, ut+1, . . . , un) := Ft

(n∑

i=t

uibi

)

Wir bezeichnen zu ut, ut+1, . . . , un mit nextFt(u) die erste, ganzzahlige Minimalstelle u′ von∣∣∣∣∣Ft

(u · bt +

n∑i=t

uibi

)− Ft

(u′ · bt +

n∑i=t

uibi

)∣∣∣∣∣(9.12)

und mit nextFt(ut, u) die nachste, ganzzahlige Nullstelle von (9.12) nach ut. Falls S‖·‖ ein Polytop

ist, z.B. fur die 1- und sup-Norm, kann Ft durch lineare Optimierung bestimmt werden.

9.5.2 Gauß-ENUM-Algorithmus fur beliebige Norm

Betrachten wir Schritt 2 des Algorithmus’ 9.5.1. Gegeben sind b1, . . . , bn sowie u1, . . . , un und cmin1 .

Sei L := L(b1, . . . , bt−1) und setze:

z := −n∑

i=t

uibi

Dann gilt:∣∣{(u1, . . . , ut−1) ∈ Zt−1 : c1(u1, . . . , ut−1) ≤ cmin1

}∣∣ = ∣∣( L + w)∩ S‖·‖( cmin

1 )∣∣

=∣∣L ∩ (S‖·‖( cmin

1 ) + z)∣∣


Algorithmus 9.5.1 ‖·‖-ENUM: kurzester Gittervektor (vollstandige Aufzahlung)

EINGABE : Gitterbasis b1, . . . , bn ∈ Rm


2. u1 := u1 := 1; t := 1;

3. cmin1 := c1 := ‖b1‖2


4. WHILE t ≤ n DO

4.1. ct := ct(ut, ut+1, . . . , un) = Ft

(n∑

i=t

uibi

)4.2. IF ct < cmin

1 THEN

IF t > 1 THEN

t := t− 1

u reelle Minimalstelle von Ft

(ubt +

n∑i=t+1

uibi

)ut := nextFt(u)

ELSE

cmin1 := c1

FOR i = 1, . . . , n DO ui := ui

END if

ELSE

t := t + 1

/∗ tmax bezeichne den bisherigen maximalen Wert von t vor der Erhohung ∗/

ut :=


nextFt(ut, u) sonst

END if

END while

AUSGABE : Minimalstelle (u1, . . . , un) ∈ Z \ {0} und Minimalwert cmin1 fur die Funktion c1

Nach der Volumenheuristik ist:

∣∣L ∩ [S‖·‖( cmin1 ) + z

]∣∣ ≈ volt−1

(span

(L)∩[S‖·‖( cmin

1 ) + z])

det L

=volt−1

([w + span

(L)]∩ S‖·‖( cmin

1 ))

det L

9.5. KONSTRUKTION EINES ‖·‖-KURZESTEN GITTERVEKTORS 87

Wann gilt die Volumen-Heuristik streng? Hinreichende Voraussetzung: Bei festem y ist z uniformlydistributed modulo L (vergleiche Definition 8.2.3 auf Seite 72):

b =t−1∑j=1

n∑i=1

uiµi,j bj︸︷︷︸=−z∈span( L )

+n∑

j=t

n∑i=t

uiµi,j bj︸︷︷︸:=y∈span( L )⊥

Die Menge(b + span

(L))∩ S‖·‖( cmin

1 ) hangt nur von z, aber nicht von y ab. Es folgt aus derVolumenheuristik Lemma 8.2.1 (Seite 69):

Lemma 9.5.1Angenommen, z ist uniformly distributed modulo L und unabhangig von y. Dann gilt

E[ ∣∣[w + L

]∩ S‖·‖( cmin

1 )∣∣] =

volt−1

([y + span

(L)]∩ S‖·‖( cmin

1 ))

det L,

wobei y + span(

L)

= b + span(

L).

Wir erhalten analog zu Satz 8.2.5:

Satz 9.5.2Angenommen, ({µi,j} : 1 ≤ j < i ≤ n) ist gleichverteilt in [0, 1[(

n2). Dann gilt in Algorithmus 9.5.1

‖·‖-ENUM stets:

• z ist uniformly distributed modulo L und unabhangig von y.

• E[ ∣∣[w + L

]∩ S‖·‖( cmin

1 )∣∣] =

volt−1

([y + span

(L)]∩ S‖·‖( cmin

1 ))

det L

Wir erhalten Gauß-‖·‖-ENUM aus Algorithmus’ 9.5.1, indem wir Schritt 2 ersetzen durch:

IFvolt−1

([y + span

(L)]∩ S‖·‖( cmin

1 ))

det L≥ 2−p

Kapitel 10

Anwendungen der Gitterreduktion

In Kapitel 5 (Seite 43 und folgende) haben wir versucht, Subsetsum-Aufgaben durch Gitterreduk-tion zu losen. In diesem Kapitel werden wir weitere Anwendungen der Gitterreduktion kennen-lernen: Losen des 3-SAT-Problems, Angriff auf Damgards Hashfunktion (finde zwei verschiedeneVektoren, denen der gleiche Werte zugewiesen wird) und Faktorisieren ganzer Zahlen. Fur weitereAnwendungen der Gitterreduktion in der Kryptographie verweisen wir auf die Arbeit [JoSt94] vonA. Joux und J. Stern.

Fur eine effiziente Aufzahlung kurzester Gittervektor in der sup-Norm verweisen wir auf H. Rit-ters Arbeit [Ri96], in der er mit Hilfe der Gitterreduktion G. Ortons Kryptosystem basierend aufdem Subsetsum-Problem mit Dichte großer als 1 bricht. Die Methoden konnen auf beliebige Nor-men `p ubertragen werden.

10.1 Gitterbasis zu 3-SAT

Wir beschreiben zunachst die konjunktive Normalform. Seien x1, . . . , xn Boole’sche Variablen. Wirschreiben x−1

i := ¬ xi, x1i := xi und x0

i := 0. Die Klauseln der konjunktiven Normalform (KNF)schreiben wir als:

Cj = xaj11 ∨ x

aj22 ∨ · · · ∨ xajn

n

mit (aj1, aj2, . . . , ajn) ∈ {0,±1}n. Falls eine Variable xi nicht in der Klausel Cj auftritt, setzeaji := 0. Die KNF γ hat folgenden Aufbau

γ(x1, . . . , xn) :=m∧

j=1

Cj(x1, . . . , xn)

Wir betrachten nur konjunktive Normalformen, deren Klauseln aus maximal drei Literalen be-stehen, also

∑ni=1 |aji| ≤ 3 fur j = 1, . . . ,m. Beim 3-SAT-Problem ist zu entscheiden, ob eine

erfullende Belegung fur die konjunktive Normalform existiert:

Definition 10.1.1 (3-SAT)Das 3-SAT-Problem lautet:

• Gegeben: KNF γ(x1, . . . , xn) :=m∧

j=1

Cj(x1, . . . , xn) mit max. 3 Literalen pro Klausel

• Finde (y1, . . . , yn) ∈ {0, 1}n mit γ(y1, . . . , yn) = 1 oder zeige, daß keine erfullende Belegungexistiert.

89

90 KAPITEL 10. ANWENDUNGEN DER GITTERREDUKTION

Das 3-SAT-Problem ist NP-vollstandig [GaJo79]. Wir ordnen dem 3-SAT-Problem eine Gitter-basis zu und versuchen, durch Gitterreduktion in der sup-Norm eine erfullende Belegung derkonjunktiven Normalform zu bestimmen.

Wir reduzieren zunachst 3-SAT auf {0, 1}-Integer-Programming, indem wir ein aquivalentesUngleichungssystem bilden:

cj := 2− |{i : aji = −1}| ≤ 1 fur j = 1, . . . ,m

Betrachte das folgende Ungleichungssystem in den Unbekannten y1, . . . , yn ∈ {0, 1}:∣∣∣∣∣n∑

i=1

ajiyi − cj

∣∣∣∣∣ ≤ 1 fur j = 1, . . . ,m(10.1)

Beispiel:

x1 ∨ x2 ∨ x3 ↔ |y1 + y2 + y3 − 2| ≤ 1¬ x1 ∨ x2 ∨ x3 ↔ |−y1 + y2 + y3 − 1| ≤ 1

Wir konnen jede Restriktion in zwei ≤-Relationen aufspalten. Durch Fallunterscheidung uber dieAnzahl negierter/nicht-negierter Literale in der Klausel folgt:

Lemma 10.1.2Die {0, 1}-IP-Aufgabe (10.1) hat genau dann eine Losung y ∈ {0, 1}n, wenn γ(y) = 1.

Die Gitterbasis zum 3-SAT-Problem besteht aus den folgenden n + 1 ganzzahligen Zeilenvektorenb1, . . . , bn+1 ∈ Zn+m+1:

b1

b2

...bn

bn+1

:=

2 0 · · · 0 a11 a21 · · · am1 00 2 0 a12 a22 · · · am2 0...

. . ....

......

......

0 0 2 a1n a2n · · · amn 0−1 −1 · · · −1 −c1 −c2 · · · −cm +1

(10.2)

Sei y = (y1, . . . , yn) eine erfullende Belegung der KNF. Der zugehorige Losungsvektor ist:

b(y) =n∑

i=1

yibi + bn+1

Dieser Vektor liegt wegen (10.1) in {±1}n × {±1, 0}m × {+1}.

Satz 10.1.3Sei L das von den Zeilenvektoren b1, . . . , bn+1 aus (10.2) erzeugte Gitter. Dann gilt fur alle Git-tervektoren z ∈ L:

Es existiert eine erfullende Belegungy ∈ {0, 1}n zu γ(y) mit z = ±b(y) ⇐⇒ ‖z‖∞ = 1

Beweis. Wir zeigen beide Richtungen:

”⇒“ Wegen b(y) ∈ {±1, 0}n+m+1 gilt ‖z‖∞ = 1.

10.2. ANGRIFF AUF DAMGARDS HASHFUNKTION 91

”⇐“ Gegeben ist ein Vektor z ∈ L mit ‖z‖∞ = 1. Der Vektor habe die Darstellung

z =n+1∑i=1

y′ibi(10.3)

mit y′1, y′2, . . . , y

′n+1 ∈ Z. Wegen ‖z‖∞ = 1 folgt aus der letzten Komponente der Basisvek-

toren, daß y′n+1 = ±1 ist. Aus den ersten n Eintragen erhalten wir nach Fallunterscheidung:

1. Aus yn+1 = +1 folgt (y′1, y′2, . . . , y

′n) ∈ {0,+1}n.

2. Aus yn+1 = −1 folgt (y′1, y′2, . . . , y

′n) ∈ {0,−1}n.

Setze:

y := y′n+1 · (y′1, y′2, . . . , y′n)

Es ist y ∈ {0,+1}n und (y, 1) = y′n+1 ·y′. Wegen ‖z‖∞ = 1 und y′n+1 ∈ {±1} gilt nach (10.3)∣∣∣∣∣n∑

i=1

ajiyi − cj

∣∣∣∣∣ = ∣∣y′n+1

∣∣ · ∣∣∣∣∣n∑

i=1

ajiyi − cj

∣∣∣∣∣ ≤ ‖z‖∞ ≤ 1

fur j = 1, . . . ,m. Nach Lemma 10.1.2 ist y eine erfullende Belegung.

�

Wir versuchen durch Gitterreduktionen, einen in der sup-Norm kurzesten, nicht-trivalen Git-tervektor zu finden, um eine erfullende Belegung der konjunktive Normalformen mit hochstensdrei Literalen pro Klausel zu bestimmen. Unter der Cook’schen Hypothese P 6= NP ist dies ineinigen Fallen schwierig, denn das 3-SAT-Problem ist NP-vollstandig.

Wir haben mit Satz 10.1.3 einen alternativen Beweis zu Korollar 11.2.9 von Seite 103 kennen-gelernt: Das Problem ‖·‖∞-kurzester Gittervektor ist NP-vollstandig.

10.2 Angriff auf Damgards Hashfunktion

I.B. Damgard [Da89] hat der EuroCrypt-Konferenz 1989 die folgende kryptographische Hash-funktion basierend auf dem Subsetsum-Problem vorgestellt. Wahle zufallig und unabhangig

a = (a1, . . . , an) ∈R [1, 2m − 1]n

und definiere zu a die Hashfunktion:

ha : {0, 1}n → N

(x1, . . . , xn) 7→∑n

i=1 aixi

Eine Kollision nennen wir x, x′ ∈ {0, 1}n, x 6= x′, mit ha(x) = ha(x′). Als Pseudo-Kollisionbezeichnen wir x, x′ ∈ {0, 1}n, x 6= x′, mit ha(x) = ha(x′) (mod 2m). Wir werden versuchen,Pseudo-Kollisionen zu finden.

Weshalb suchen wir nach Kollisionen? Um eine lange Nachricht M durch eine kurze, digitaleUnterschrift zu versehen, wendet man in der Kryptographie die Hashfunktion h auf die Nachrichtan und erhalt einen im Vergleich zur Nachricht kleinen Wert. Nur h(M) wird digital unterschrieben.Der Teilnehmer veroffentlicht M und seine digitale Unterschrift von h(M). Falls wir eine andereNachricht M ′ mit h(M) = h(M ′) finden, konnen wir die digitale Unterschrift fur M einfachubernehmen. Wir haben eine Nachricht mit digitaler Unterschrift eines fremden Teilnehmers.


Jedem Vektor x = (x1, . . . , xn) ∈ {±1, 0}n \ {0} mit

n∑i=1

ai · xi = 0 (mod 2m)

entspricht eine Pseudo-Kollision x, x′ gemaß

xi :=

{1 falls xi = 10 sonst

x′i :=

{1 falls xi = −10 sonst

und umgekehrt. Wir wahlen als Basis:b1

b2

...bn

bn+1

:=

1 0 · · · 0 a1n0 1 0 a2n...

. . ....

...0 0 1 ann0 0 · · · 0 2mn

(10.4)

Wir bezeichnen:

P-Kollision :={

(x1, . . . , xn+1) ∈ {±1, 0}n+1

∣∣∣∣ xn+1 = 0 und (x1, . . . , xn)entspricht Pseudo-Kollision

}Es gilt offenbar: P-Kollision ⊆ L(b1, . . . , bn+1). Wir versuchen durch Gitterreduktion, einen kurzenGittervektor in der Euklidischen Norm zu finden. Was ist das Minimum der Menge

{‖x‖2 : x ∈ P-Kollision} ,

also die Lange des kurzesten Gittervektors, der einer Pseudo-Kollision entspricht? Wir fuhren eineprobabilistische Analyse zu a ∈R [1, 2m − 1]n und festem x durch. Zu α ∈

[0, 1

2

]mit αn ∈ N sei:

Nα :=

{(x1, . . . , xn) ∈ {±1, 0}n

∣∣∣∣∣n∑

i=1

|xi| = αn

}

Fur x ∈ Nα ist ‖x‖2 =√

αn, da x ∈ {±1, 0}n. Es gilt:

Nα := |Nα| =(

n

αn

)· 2αn(10.5)

Denn wir konnen die αn Eintrage ungleich 0 beliebig auf die n Positionen verteilen und als Wertjeweils +1 oder −1 setzen. Es gilt

Nα ≈ 2(H(α,1−α)+α)·n,(10.6)

wobei H die Shannon’sche Entropie-Funktion ist:

H(α, 1− α) = −α · log2 α− (1− α) · log2(1− α)

Wir mochten bezuglich a ∈R [1, 2m − 1]n die Wahrscheinlichkeit berechnen, mit der in Nα einVektor aus P-Kollision liegt. Dazu definieren wir zu a und festem x ∈ Nα die Zufallsvariable:

ξx :=

1 fallsn∑

i=1

aixi = 0 (mod 2m)

0 sonst

Offenbar ist

Ea [ ξx] = 2−m(10.7)

10.2. ANGRIFF AUF DAMGARDS HASHFUNKTION 93

Wir definieren die Zufallsvariable ξx := ξx − 2−m, so daß:

Ea

[ξx

]= 0(10.8)

Ea

[ξ2

x

]= Ea

[ξ2x

]− 2 · 2−m · Ea [ ξx] + 2−2m ≤ 2 · 2−m(10.9)

Beachte, daß fur die Indikatorvariable ξi gilt Wsa [ ξi = 1] = Wsa

[ξ2i = 1

]. Wir verwenden aus der

Stochastik (siehe u.a. [Fe68]) fur eine Zufallsvariable X:

Var[X] = E[X2]− E[X]2 (Definition Varianz)

Var[ cX] = c2 ·Var[X] (c > 0 konstant)

Ws[ |X − E[X]| ≥ ε] ≤ 1ε2·Var[X] (Tschebycheff-Ungleichung)

Wir wenden die Tschebycheff-Ungleichung auf 1Nα

·∑

x∈Nαξx an und erhalten wegen der Erwar-

tungswerte (10.8) und (10.9):

Wsa

[ ∣∣∣∣∣ 1Nα

·∑

x∈Nα

ξx − 2−m

∣∣∣∣∣ ≥ ε

]≤ 1

ε2·Var

[1

Nα·∑

x∈Nα

ξx

]

=1

ε2 ·N2α

·∑

x∈Nα

∑y∈Nα

Ea

[ξx · ξy

]

Wegen des Erwartungswerts (10.9) ist:∑x∈Nα

∑y∈Nα

Ea

[ξx · ξy

]=∑

x∈Nα

Ea

[ξ2

x

]+

∑x,y∈Nα

x6=y

Ea

[ξx

]· Ea

[ξy

]=∑

x∈Nα

Ea

[ξ2

x

]= Nα · Ea

[ξ2

x

](10.10)

Aus Abschatzung (10.10) und dem Erwartungswert (10.8) folgt:

Wsa

[ ∣∣∣∣∣ 1Nα

·∑

x∈Nα

ξx − 2−m

∣∣∣∣∣ ≥ ε

]≤ 1

ε2 ·Nα· Ea

[ξ2

x

]≤ 2

ε2 ·Nα · 2m

Fur ε = 2−m erhalten wir

Wsa

[ ∑x∈Nα

ξx = 0

]≤ 2m+1

Nα(10.11)

und fur ε = 2−m−l:

Wsa

[ ∑x∈Nα

ξx ≤ Nα ·(2−m − 2−m−l

)]≤ 2m+1+2l

Nα(10.12)

Aus (10.11) folgt unmittelbar:

Satz 10.2.1Es gilt:


a) Fur m ≤ log2 Nα − 2 ≈ (H(α, 1− α) + α) · n gibt es bezuglich a ∈R [1, 2m − 1]n mit Wahr-scheinlichkeit mindestens 1

2 Pseudo-Kollisionen in Nα.

b) Fur m ≤ log2 Nα − 4 ≈ (H(α, 1− α) + α) · n gibt es bezuglich a ∈R [1, 2m − 1]n mit Wahr-scheinlichkeit mindestens 1

2 mindestens Nα · 2−m−1 Pseudo-Kollisionen in Nα.

Beweis. Die Aussage a) folgt aus (10.11), die Aussage b) folgt aus (10.12) mit l = 1. �

Im nachsten Schritt mochten wir Nα = |Nα| maximieren: Aus dem Ansatz

∂Nα

∂α= 0

mit (10.6) erhalten wir:

− log2 2 ≈ ∂ (−α · log2 α− (1− α) · log2(1− α))∂α

Dazu aquivalent:

log2 α + log2(1− α) ≈ − log2 2

Wegen − log2 2 = −1 und −1 + log2 α = log21α erhalten wir den Anzatz α = k−1

k

− log2k−1

k + log21k = log2(k − 1) ≈ − log2 2

und somit k − 1 = 2 bzw. k = 3, also α = 23 als ungefahre Maximalsstelle von Nα.

Satz 10.2.2Bezuglich a ∈R [1, 2m − 1]n gibt es mit Wahrscheinlichkeit mindestens 1

2 Pseudo-Kollisionen, wennN2/3 ≥ 2m−1 oder aquivalent n ≥ m−1

log2 3 ist.

Beweis. Aus (10.7) wissen wir, daß:

Ea [Anzahl Pseudo-Kollisionen in Nα] = Nα · 2−m

Wegen N2/3 ≥ 2m−1 folgt:

Wsa

[Anzahl Pseudo-Kollisionen in N2/3

]≥ 1

2

Damit N2/3 ≥ 2m−1 ist, muß wegen

log2 N2/3 = n ·[− 2

3 · log223 −

13 · log2

13 + 2

3 · log2 2]

= n ·[− 2

3 · (− log2 3 + log2)− 13 · (− log2 3) + 2

3

]= n ·

[+ 2

3 · log2 3− 23 + 1

3 · log2 3 + 23

]= n · log2 3

gelten n · log2 3 ≥ m− 1 oder aquivalent n ≥ m−1log2 3 . �

Betrachten wir die Situation bei den von I.B. Damgard vorgeschlagenen Parametern:

• Fur m = 120 gibt es Pseudo-Kollisionen, falls n ≥ 77.

• Fur m = 120 und n = 100 gibt es im Mittel N2/3 · 2−m ≈ 3, 8 · 1011 Pseudo-Kollisionen.

10.3. FAKTORISIEREN GANZER ZAHLEN 95

Betrachten wir die Anzahl der kurzen Gittervektoren:∣∣∣{z ∈ L(b1, . . . , bn+1) : ‖z‖22 ≤ αn}∣∣∣ ≈ N(0, n, α)

2m

J.E.Mazo und A.M.Odlyzko haben in [MaOd90] die Funktion

N(z, n, α) :=∣∣∣{x ∈ Zn : ‖x− z‖2 ≤ α · n

}∣∣∣untersucht. Als Vektoren z kommen nur Vektoren in Frage, deren letzter Eintrag 0 ist. Der Anteilder Vektoren (x1, . . . , xn) mit

∑ni=1 aixi = 0 (mod 2m) ist 2−m. Es gilt:∣∣∣{z ∈ L(b1, . . . , bn+1) : ‖z‖22 ≤ αn

}∣∣∣ ≈ (2eπα)n2

2m

Wir wahlen m und α derart, daß in etwa gilt

Ea [Anzahl Pseudo-Kollisionen in Nα] ≈ 1,

Also wegen (10.5) und (10.6):

m = n · [H(α, 1− α) + α] bzw. Nα =(

n

αn

)· 2αn = 2m

Gibt es zur Lange√

αn kurzere, nicht-triviale Gittervektoren, die keiner Pseudo-Kollision entspre-chen? Wir wurden bei der Gitter-Reduktion unter Umstanden diese kurzeren Vektoren anstatt dergewunschten erhalten. Fur m = 120 und n = 100 ist (2eπα)

n2

2m ≈ 20,0039n, d.h. die sog. parasitaren,kurzen Gittervektoren sind leicht in der Uberzahl.

10.3 Faktorisieren ganzer Zahlen mit Hilfe DiophantischerApproximationen

Sei N ∈ Z das Produkt mindestens zweier verschiedener Primzahlen und p1, p2, . . . die Folge derPrimzahlen. C.P. Schnorr [S93] hat das Problem der Faktorisierung von N auf das Finden vont + 2 Losungen (e1, . . . , et) ∈ Zt der Ungleichungen (c > 1 fest)∣∣∣∣∣

t∑i=1

ei ln pi − lnN

∣∣∣∣∣ ≤ N−c · po(1)t

t∑i=1

|ei ln pi| ≤ (2c− 1) · log2 N + 2 · ln pt

(10.14)

reduziert. Wir mochten in diesem Kapitel die Idee und den Algorithmus vorstellen. Fur eineausfuhrliche Betrachtung verweisen wir auf die Originalarbeit.

Wir assoziieren mit den Primzahlen p1, . . . , pt ein Gitter im Rt+1 und mit N einen Punkt ~N imRt+1. Das Problem der Diophantischen Approximation (10.14) reduzieren wir auf die Bestimmungeines in der `1-Norm hinreichend nahen Gitterpunktes.

Sei p1, . . . , pt die Folge der ersten Primzahlen, also 2, 3, 5, . . .. Wir definieren zu N und festemc > 1 das Gitter Lα,c ⊆ Rt+1, welches von den Zeilenvektoren b1, . . . , bt, ~N aufgespannt wird:

b1

b2

...bt

~N

:=

ln p1 0 · · · 0 N c · ln p1

0 ln p2 0 N c · ln p2

.... . .

......

0 0 ln pn N c · ln pt

0 0 · · · 0 N c · lnN

(10.15)


Die reellen Vektoren kann man durch rationale Vektoren approximieren. In der Praxis genugensogar ganzzahlige Vektoren.

Betrachten wir Algorithmus 10.3.1. Da N das Produkt mindestens zweier verschiedener Prim-zahlen ist, hat x2 mindestens 4 Wurzeln modulo N , wobei sich zwei nur im Vorzeichen unterschei-den.

x2 − y2 = (x− y)(x + y) = 0 (mod N)

Im Fall x 6= ±y (mod N) sind 0 < x−y < N und 0 < x+y < N , also 1 < x±y < N , wobei x±ymodulo N reduziert sei. Dann liefert ggT(x± y, N) nicht-triviale Teiler von N . Falls x und y sichwie unabhangige Zufallsvariable verhalten, hat Schritt 7 Erfolgswahrscheinlichkeit mindestens 1

2 .

Der Schritt 4 erfordert, daß |ui − viN | uber der Basis Pt faktorisiert werden kann. Satz 10.3.2zeigt, daß fur Punkte z ∈ Lα,c, die ”nahe“ bei ~N liegen, diese Voraussetzung mit hoher Wahr-scheinlichkeit erfullt ist.

Satz 10.3.1Sei c > 1, β, δ ≥ 0 fest und pt < N . Falls (e1, . . . , et) ∈ Zt das Ungleichungssystem∣∣∣∣∣

t∑i=1

ai ln pi − lnN

∣∣∣∣∣ ≤ N−c · po(1)t

t∑i=1

|ai ln pi| ≤ (2c− 1) · log2 N + 2 · ln pt

lost, gilt fur das in Schritt 3 konstruierte Paar (ui, vi) mit

ui :=∏

ai,j>0

paij

j und vi :=∏

ai,j<0

p|ai,j |j(10.16)

daß:

|ui − viN | ≤ pβ+δ+o(1)t


Falls (e1, . . . , et) ∈ Zt die Ungleichungen (10.16) erfullt mit β + δ ≤ 1 und N hinreichendgroß ist, erfullt das Paar (ui, vi) mit hoher Wahrscheinlichkeit die zur Faktorisierung in Schritt 4notigen Eigenschaften:

ui =∏

ai,j>0

paij

j und |ui − viN | ≤ pt

Dies ist nur mit vernachlassigbarer Wahrscheinlichkeit nicht der Fall [S93, Theorem 4].

Satz 10.3.2Sei α > 1, c > 1, δ ≥ 0 und pt = (lnN)α

< N . Falls z ∈ Lα,c die Ungleichung

‖z −N‖1 ≤ (2c− 1) · lnN + 2δ · ln pt

erfullt, gilt fur die in Schritt 3 konstruierten Paare (ui, vi):

|ui − viN | ≤ p1α +β+o(1)t


10.3. FAKTORISIEREN GANZER ZAHLEN 97

Aus den beiden Satzen 10.3.1 und 10.3.2 folgt, daß es zum Faktorisieren von N genugt, hinreichendviele Gittervektoren z ∈ Lα,c zu finden, die in der `1-Norm nahe bei ~N liegen. Diese Gitterpunktefindet man in der Praxis durch Anwenden machtiger Reduktionsalgorithmen auf die Vektorenb1, . . . , bn, ~N in der `2-Norm. Die reduzierte Basis enthalt im allgemeinen dann Vektoren, diebezuglich der `1-Norm kurz sind. Man kann erreichen, daß diese Vektoren die Form

t∑i=1

eibi − ~N

haben (e1, . . . , en ∈ Z) und wahlen z :=∑t

i=1 eibi fur Satz 10.3.2.


Algorithmus 10.3.1 Faktorisieren einer ganzen Zahl

EINGABE : . N ∈ Z (Produkt mindestens zweier verschiedener Primzahlen). α und c ∈ Q mit c ≥ 1

1. Bilde Liste p1, . . . , pt der ersten Primzahlen, pt = (lnN)α. Sei Pt := {p1, . . . , pt}.2. Reduziere mit ”geeignetem“ Reduktionsalgorithmus das Gitter Lα,c ⊆ Rt+1 (siehe Basisma-

trix (10.15)).

3. Bilde fur Vektoren z(i) :=∑t

j=1 ai,jbj ∈ L mit kleiner l1-Norm∥∥∥z − ~N

∥∥∥1

mit Hilfe von Pt

und den ganzzahligen Koeffizienten (ai,1, ai,2, . . . , ai,t) m ≥ t + 2 Tupel (ui, vi) ∈ N2:

ui :=∏

ai,j>0

paij

j

vi :=∏

ai,j<0

p|ai,j |j

4. FOR i = 1, . . . ,m DO

Faktorisiere ui − viN uber Pt und p0 := −1:

ui − viN :=t∏

j=0

pbi,j

j

Setze ai,0 := 0. Bezeichne:

ai := (ai,0, ai,1, . . . , ai,t)bi := (bi,0, bi,1, . . . , bi,t)

END for

5. Finde eine {0, 1}-Losung (c1, . . . , cm) 6= 0 zu:

m∑i=1

ci(ai + bi) = 0 (mod 2)(10.13)

6. Bilde (Division durch 2 wegen (10.13) moglich):

x :=t∏

j=0

pPm

i=1 ci(ai,j+bi,j)/2j (mod N)

y :=t∏

j=0

pPm

i=1 cibi,j

j (mod N)

Es gilt x2 = y2 (mod N).

7. IF x = ±y (mod N) THEN GOTO 5 und berechne neue Losung

AUSGABE : Zwei nicht-triviale Faktoren ggT(x + y, N) und ggT(x− y, N)

Kapitel 11

Komplexitat, NP-Vollstandigkeit

Wir fassen mit Hinblick auf die Gittertheorie die Grundbegriffe der Komplexitatstheorie, spezielldie NP-Vollstandigkeit, zusammen.

11.1 NP-Vollstandigkeit

Wir definieren die Bitlange endlicher Objekte (das Vorzeichen speichern wir getrennt):

• `(0) := 1

• `(n) := dlog2(n + 1)e fur n ∈ N

• `(

pq

):= `(p) + `(q) mit p, q ∈ N und ggT(p, q) = 1

• `(A) =∑

i,j `(aij) fur A = [aij ] ∈ Qm×n

Wir setzen die Laufzeit des Algorithmus’ in Beziehung zur Eingabelange. Wir interessieren unsfur Polynomialzeit-Verfahren:

Definition 11.1.1 (Polynomialzeit)Ein Algorithmus ist in Polynomialzeit, falls die Schrittzahl (Turing-Maschine oder Anzahl Bit-Operationen) polynomiell in der Lange der Eingabe beschrankt ist:

Schrittzahl(Eingabe) = poly(`(Eingabe))

In der theoretischen Informatik betrachtet man die Polynomialzeit-Algorithmen als effizient.

Definition 11.1.2 (Charakteristische Funktion)Zu einer Menge A ⊆ {0, 1}∗ ist die charakteristische Funktion χA : {0, 1}∗ → {0, 1} definiertdurch: χA(a) = 1 genau dann, wenn a ∈ A ist.

Wir definieren mit charakteristischen Funktionen die Klasse der Polynomialzeit-Sprachen:

Definition 11.1.3 (Klasse P der Polynomialzeit-Sprachen)Die Klasse P der Polynomialzeit-Sprachen besteht genau aus den Sprachen A ⊆ {0, 1}∗, fur welchedie charakteristische Funktion χA in Polynomialzeit berechenbar ist.

99

100 KAPITEL 11. KOMPLEXITAT, NP-VOLLSTANDIGKEIT

Die Klasse NP umfaßt die Sprache, so daß es genau fur jedes Wort aus der Sprache einen Bitstringgibt, anhand dessen wir effizient uberpufen konnen, daß dieses Wort in der Sprache liegt.

Definition 11.1.4 (Klasse NP)Die Klasse NP der nichtdeterministischen Polynomialzeit-Sprachen A ⊆ {0, 1}∗ ist erklart durch:

A ∈ NP ⇐⇒ ∃B ∈ {0, 1}∗ × {0, 1}∗, B ∈ P :A =

{x ∈ {0, 1}∗

∣∣ ∃y ∈ {0, 1}poly(`(x)) mit (x, y) ∈ B}

Sei (x, y) ∈ B. Dann heißt y Zeuge fur x ∈ A.

Die Cook’sche Hypothese ist P 6= NP, d.h. es gibt Sprachen in der Klasse NP, fur die wir nichtin Polynomialzeit einen Zeugen finden konnen.

Definition 11.1.5 (Karp-Reduktion)Seien A,B ⊆ {0, 1}∗:

A ≤pol B ⇐⇒ ∃ Polynomialzeit-Abbildung h mit:∀x ∈ {0, 1}∗ : x ∈ A ⇔ h(x) ∈ B

Aus A ≤pol B und B ≤pol C folgt A ≤pol C.

Definition 11.1.6 (NP-vollstandig)A ⊆ {0, 1}∗ heißt NP-vollstandig, wenn: 1. A ∈ NP, 2.∀B ∈ NP : B ≤pol A.

Falls wir einen Polynomialzeit-Algorithmus zu einem NP-vollstandigen Problem finden, folgt P =NP. Dies wurde der Cook’schen Hypothese widersprechen. Daher gelten die NP-vollstandigenProbleme als die schwierigsten in NP.

11.2 Schwierige, algorithmische Gitterprobleme

Wir lernen in diesem Abschnitt mit der Gittertheorie verbundene Probleme kennen, die NP-vollstandig sind oder fur die bisher keine effizienten Algorithmen bekannt sind. Ein solches Problemist die ganzzahlige, lineare Programmierung (Integer Programming):

Definition 11.2.1 (Ganzzahlige, lineare Programmierung)Das Problem der ganzzahligen, linearen Programmierung lautet:

• Gegeben: m,n ∈ N, A ∈ (Z)m×n und b ∈ Zm

• Finde x ∈ Zn mit Ax ≤ b oder zeige, daß kein solcher Vektor existiert.

Die ganzzahlige, lineare Programmierung ist ”schwierig“. Wir werden in Satz 11.2.5 sehen, daßdas zugehorige Entscheidungsproblem NP-vollstandig ist:

Definition 11.2.2 (Entscheidungsproblem der ganzzahligen, linearen Programmierung)Das Problem der ganzzahligen, linearen Programmierung lautet:

• Gegeben: m,n ∈ N, A ∈ Zm×n und b ∈ Zm

11.2. SCHWIERIGE, ALGORITHMISCHE GITTERPROBLEME 101

• Entscheide, ob ein x ∈ Zn mit Ax ≤ b existiert.

Falls P 6= NP, gibt es keinen Losungsalgorithmus in Polynomialzeit. Dagegen gibt es zum analogenProblem der rationalen, linearen Programmierung Polynomialzeit-Verfahren:

Definition 11.2.3 (Rationale, lineare Programmierung)Das Problem der rationalen, linearen Programmierung lautet:

• Gegeben: m,n ∈ N, A ∈ Zm×n und b ∈ Qm

• Finde x ∈ Qn mit Ax ≤ b oder zeige, daß kein solcher Vektor existiert.

Das erste Polynomialzeit-Verfahren fur die lineare Programmierung ist die Ellipsoid-Methodevon L.G. Khachiyan [Kh79, Kh80]. Diese Methode ist aber nicht praktikabel. Ein bekannterPolynomialzeit-Algorithmus stammt von M. Karmarkars [Ka84]. Dieser hat zur Entwicklung derInterior-Point-Methoden fur die lineare Programmierung gefuhrt. Ein bekannter Interior-Point-Algorithmus stammt von Y. Ye [Ye91]. Ein einfaches, praktisches Verfahren ist der Simplex-Algorithmus [Da63, Schr86] von G.B. Dantzig, der allerdings im Wortcase exponentielle Laufzeithaben kann. Weitere Probleme, die man in Polynomialzeit losen kann, sind:

Satz 11.2.4 (Sieveking 1976)Folgende Probleme sind zu gegebenen m,n ∈ N, A ∈ Zm×n und b ∈ (Z) in Polynomialzeit losbar:

a) Lose Ax = b, x ∈ Zn oder weise Unlosbarkeit nach.

b) Finde eine Z-Basis b1, . . . , bk von {x ∈ Zn |Ax = 0}, dem Z-Kern. Eine Z-Basis besteht auslinear unabhangigen Vektoren b1, . . . , bk, so daß:

{x ∈ Zn |Ax = 0} =

{k∑

i=1

tibi

∣∣∣∣∣ t1, . . . , tk ∈ Z

}

Beweis. Modifikation des Gauß-Eliminationsverfahrens (M. Sieveking in [SS76]). AlternativerBeweis in [KaBa79]. �

Im folgenden Satz fuhren wir weitere mit der Gittertheorie verbundene Aufgaben bzw. Entschei-dungsprobleme auf, die NP-vollstandig sind.

Satz 11.2.5Folgende Sprachen sind NP-vollstandig:

1. Integer-Programming:

IP :={

(m,n,A, b)∣∣∣∣ A ∈ Zm×n, b ∈ Zm,∃x ∈ Zn : Ax ≤ b

}

2. Rucksack (Knapsack) oder Subsetsum:

SubsetSum :=

{(n, a1, . . . , an, b) ∈ Nn+2

∣∣∣∣∣ ∃x ∈ {0, 1}n :n∑

i=1

aixi = b

}


3. {0, 1}-Integer-Programming:

{0, 1}-IP :={

(m,n,A, b)∣∣∣∣ A ∈ Zm×n, b ∈ Zm,∃x ∈ {0, 1}n : Ax ≤ b

}4. Schwache Zerlegung:{

(n, a1, . . . , an) ∈ Nn+1

∣∣∣∣∣ ∃ (x1, . . . , xn) ∈ {0,±1}n \ {0n} :n∑

i=1

aixi = 0

}

Beweis. Fur 1,2,3 siehe [GaJo79][SS76], fur 4 siehe [EB81]. Den Nachweis, daß es fur die SpracheInteger-Programming polynomiell lange Zeugen gibt, also IP ∈ NP, werden wir in Satz 11.2.6fuhren. �

Satz 11.2.6 (von zur Gathen, Sieveking 1978)IP ∈ NP.

Beweis. Wir wahlen als Zeugen fur (m,n,A, b) ∈ IP ein geeignetes x ∈ Zn mit Ax ≤ b. Offenbarexistiert x genau dann, wenn (m,n,A, b) ∈ IP. Wir mussen noch zeigen, daß der Zeuge polynomielleLange hat.

Sei A =: (aij)ij und b =: (b1, . . . , bm)T. Setze M := maxi,j {|aij | , |bi|}. Nach [GaSi78] gilt:

(∃x ∈ Zn : Ax ≤ b) ⇐⇒(∃x ∈ Zn : Ax ≤ b, ‖x‖∞ ≤ (n + 1)n

n2 Mn

)Die obere Schranke von ‖x‖∞ impliziert, daß die Lange des Zeugen x polynomiell in der Langevon A und b beschrankt ist. Wegen `(m,n,A, b) ≥ nm + log2 M gilt:

`(x) = O(n2(log n + log M

)= O

(`(m,n,A, b)3

)�

Wir definieren die Begriffe, die elementar fur die weiteren Kapitel sind:

Definition 11.2.7 (Gitter, Basis, Dimension, Rang)Seien b1, . . . , bn ∈ Rm linear unabhangige Vektoren. Wir nennen die additive Untergruppe

L(b1, . . . , bn) :=n∑

i=1

biZ =

{n∑

i=1

tibi

∣∣∣∣∣ t1, . . . , tm ∈ Z

}

des Rm ein Gitter mit der Basis b1, . . . , bn. Ist die Reihenfolge der Basisvektoren fest, sprechenwir von einer geordneten Basis. Der Rang oder auch die Dimension des Gitters ist Rang(L) := n.

Betrachten wir ein Beispiel:

Beispiel 11.2.8 (Gitter)Zm ist ein Gitter vom Rang m, die Einheitsvektoren bilden eine Basis. Zur Matrix A ∈ Mm,n(Z)ist {x ∈ Zn |Ax = 0} ein Gitter vom Rang n−Rang(A); nach Satz 11.2.4 konnen wir in Polyno-mialzeit eine Basis konstruieren. �

Wir versuchen, durch Gitterreduktion einen kurzesten, nicht-trivialen Gittervektor zu finden.Im Fall der sup-Norm ist dies unter der Annahme P 6= NP nicht immer effizient moglich:

11.2. SCHWIERIGE, ALGORITHMISCHE GITTERPROBLEME 103

Korollar 11.2.9Das Problem ‖·‖∞-kurzester Gittervektor

L∞-SVP :={

(m,n, b1, . . . , bn)∣∣∣∣ m,n ∈ N, b1, . . . , bn ∈ Zm,∃x ∈ L(b1, . . . , bn) : ‖x‖∞ = 1


Beweis. Das Problem ‖·‖∞-kurzester Gittervektor liegt in NP: Als Zeugen wahlt man einenVektor x ∈ L(b1, . . . , bn) \{0} mit ‖x‖∞ = 1. Das NP-vollstandige Problem ”schwache Zerlegung“aus Satz 11.2.5 kann in Polynomialzeit auf ‖·‖∞-kurzester Gittervektor reduziert werden. �

Beim Problem des kurzesten Gittervektors in der `2-Norm soll man zu gegebener Gitterbasisb1, . . . , bn und k entscheiden, ob es einen Gittervektor z ∈ L(b1, . . . , bn) gibt mit z 6= 0 und‖z‖2 ≤

√k.

Definition 11.2.10 (Shortest Vector Problem SVP)Die Sprache zum kurzesten Gittervektorproblem (Shortest Vector Problem) fur die `2-Norm lautet:

L2-SVP :={

(k, m, n, b1, . . . , bn)∣∣∣∣ k, m, n,∈ N, b1, . . . , bn ∈ Zm,

∃x ∈ L(b1, . . . , bn) \ {0} : ‖x‖22 ≤ k

}

Der Status dieses Problems ist offen. Anstrengungen, die Vermutung, daß L2-SVP NP-hart ist,nachzuweisen, sind im Gegensatz zur sup-Norm (siehe Korollar 11.2.9) bislang fehlgeschlagen (ver-gleiche [K87]).

Das Problem des kurzesten Gittervektors ist der homogene Spezialfall des Problems nachsterGittervektor, von dem man aber weiß, daß es (auch) in der `2-Norm NP-vollstandig ist:

Satz 11.2.11 (Closest Vector Problem CVP)Das Problem `2-nachster Gittervektor

L2-CVP :={

(k, m, n, b1, . . . , bn, z)∣∣∣∣ k, m, n,∈ N, b1, . . . , bn, z ∈ Zm,

∃x ∈ L(b1, . . . , bn) : ‖z − x‖22 ≤ k


Beweis. Siehe Kannan [K87]. �

Wir fassen zusammen: Zu gegebener Gitterbasis b1, . . . , bn ∈ Zm sind folgende Aufgaben nachheutigem Stand schwierige, algorithmische Gitterprobleme:

• Finde kurze Gittervektoren ungleich dem Nullvektor.

• Finde eine Basis bestehend aus kurzen Gittervektoren.

• Finde zu gegebenem z ∈ span(b1, . . . , bn) einen moglichst nahen Gittervektor.

Dagegen kann man in Polynomialzeit zu einem gegebenen Erzeugendensystem b1, . . . , bn ∈ Zm desGitters L, n ≥ Rang(L), eine Gitterbasis konstruieren.


.

Kapitel 12

Grundlagen

12.1 Notation

Mit Mm,n(S) bezeichnen wir die Menge aller m × n-Matrizen mit Eintragen aus der Menge S.Zum Beispiel ist Mm,n(Z) die Menge aller ganzzahligen m× n-Matrizen. Zur Matrix B bezeichneBT die transponierte Matrix. Die Elemente aus Zn, Rn, etc. schreiben wir, sofern nicht andersangegeben, als Spaltenvektoren.

Zur reellen Zahl r bezeichne drc :=⌈r − 1

2

⌉die nachste ganze Zahl. Wir schreiben R+ :=

{x ∈ R | x > 0} fur die Menge der positiven, reellen Zahlen.

Skalarprodukt

Der Vektorraum Rn sei mit einem beliebigen Skalarprodukt 〈·, ·〉 : Rn × Rn → R ausgestattet(Euklidischer Vektorraum). Das Skalarprodukt hat die folgenden Eigenschaften: Fur alle u, v, w ∈Rn und λ ∈ R gilt:

• 〈·, ·〉 ist bilinear:

〈u + w, v〉 = 〈u, v〉+ 〈w, v〉〈λu, v〉 = λ 〈u, v〉

〈u, v + w〉 = 〈u, v〉+ 〈u, w〉〈u, λv〉 = λ 〈u, v〉

• 〈·, ·〉 ist symmetrisch:

〈u, v〉 = 〈v, u〉

• 〈·, ·〉 ist positiv definit:

〈u, u〉 > 0 fur u 6= 0

Die meisten Anwendungen beziehen sich auf das Standard-Skalarprodukt :

〈(u1, . . . , un) , (v1, . . . , vn)〉 :=n∑

i=1

uivi

105

106

Jedes Skalarprodukt 〈·, ·〉 : Rn × Rn → R laßt sich schreiben als:

〈u, v〉 := uTSv

mit symmetrischer Matrix S ∈ Rn×n. Im Fall des Standard-Skalarprodukts ist die Matrix S dieIdentitat.

Normen

Eine Abbildung ‖·‖ : Rn → R heißt Norm, falls fur alle u, v ∈ Rn und λ ∈ R gilt:

‖λv‖ = |λ| · ‖v‖ (positive Homogenitat)‖u + v‖ ≤ ‖u‖+ ‖v‖ (Dreiecksungleichung)

‖u‖ ≥ 0 fur u 6= 0 (positive Definitheit)

Die reelle Zahl ‖u‖ heißt Norm (oder Lange) des Vektors u = (u1, . . . , un). Aus einem Skalarpro-dukt erhalt man die Euklidische Norm durch: ‖u‖ :=

√〈u, u〉.

Die `1-Norm oder auch Betragsnorm ist: ‖ (u1, . . . , un) ‖1 :=∑n

i=1 |ui|

Die `2-Norm zum Standard-Skalarprodukt ist: ‖ (u1, . . . , un) ‖2 :=√〈u, u〉 =

(∑ni=1 u2

i

) 12 .

Die `p-Norm ist: ‖ (u1, . . . , un) ‖p :=(∑n

i=1 |ui|p) 1

p .Die sup-Norm, Maximums-Norm oder auch `∞-Norm ist: ‖ (u1, . . . , un) ‖∞ := maxi=1,...,n |ui|.

Ungleichungen

Fur die sup-, Betrags- und 2-Norm eines Vektors u ∈ Rn gelten die folgenden Beziehungen:

‖u‖2 ≤ ‖u‖1 ≤√

n · ‖u‖2‖u‖∞ ≤ ‖u‖2 ≤ n · ‖u‖∞

Fur die Beziehung Skalarprodukt und zugehorige Norm ‖u‖ :=√〈u, u〉 gilt die Cauchy-Schwarz-

Ungleichung (seien u, v ∈ Rn):

|〈u, v〉| ≤ ‖u‖ · ‖v‖

Die Gleichheit gilt genau dann, wenn beide Vektoren linear abhangig sind. Seien b1, . . . , bn ∈ Rn dieSpaltenvektoren (oder Zeilenvektoren) der Matrix B ∈ Mn,n(R). Die Hadamard’sche Ungleichungbesagt:

det B ≤n∏

i=1

‖bi‖2

Sind die Vektoren b1, . . . , bn orthogonal, gilt die Gleichheit.

Algorithmenverzeichnis

1.4.1 zur Langenreduktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

1.4.2 zur paarweise Reduktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

3.2.1 Gauß-Reduktionsverfahren fur die Euklidische Norm . . . . . . . . . . . . . . . . 27

3.2.2 Gauß-Reduktionsverfahren fur beliebige Norm . . . . . . . . . . . . . . . . . . . 29

4.2.1 zur LLL-Reduktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

4.3.1 LLL-Reduktion von ganzzahligen Erzeugendensystemen . . . . . . . . . . . . . . 38

6.4.1 Block-Korkine-Zolotareff-Reduktion (kurz BKZ) . . . . . . . . . . . . . . . . . . 59

8.1.1 ENUM: kurzester Gittervektor (vollstandige Aufzahlung) . . . . . . . . . . . . . 68

8.2.1 Gauß-ENUM: kurzester Gittervektor (geschnittene Aufzahlung) . . . . . . . . . 71

9.5.1 ‖·‖-ENUM: kurzester Gittervektor (vollstandige Aufzahlung) . . . . . . . . . . . 86

10.3.1 Faktorisieren einer ganzen Zahl . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

107

Index

Abstandsfunktion, 75Algorithmus

β-Reduktion (BZK), 58ENUM, 68, 86Faktorisieren, 95Gauß-ENUM, 71, 87Gauß-Reduktion, 27, 29kurzester Gittervektor, 68, 71, 86, 87Lovasz-, 33

αβ , 82

Barnes, E.S., 20Basis, 102β-reduzierte Basis, 52, 56, 58β-reduzierte Basis zu ‖·‖, 79, 82Betragsnorm, 106Bitlange, 99Blichfeldt, H.F., 17, 19

Cauchy-Schwarz-Ungleichung, 106charakteristische Funktion, 99CJLOSS-Basis, 47Closest Vector Problem, 103Cook’sche Hypothese, 100Cook-Karp-Reduktion, 100Coster, M.J., 47CVP, 103

Damgard, I.B., 91Dantzig, G.B., 101Determinante, 6Dichte, 19, 44Dimension, 102Diophantische Approximationen, 95Dirichlet, G.L., 18Distanzfunktion, 75duales Gitter, 9

Entropie-Funktion, 92Euklidische Norm, 106Euklidischer Vektorraum, 105extremes

Gitter, 19lokal extremes Gitter, 19

Fi, 75

ganzzahlige lineare Programmierung, 100Gathen, J. von zur, 102Gauß, C.F., 27, 29, 69, 85Gauß-reduzierte Gitterbasis, 25geordnete Basis, 102Gitter

-Basis, 102-Determinante, 6-Dimension, 102-Grundmasche, 6-Rang, 102La, 15An, 7Dn, 7Definition, 102Dichte, 19duales, 9geordnete -Basis, 102global extremes, 19kritisches, 19laminated, 22lineare Kongruenz, 15lokal extremes, 19selbstduales, 21Unter-, 14vollstandiges, 8

gitterartige Kugelpackung, 19Gitterbasis

CJLOSS-, 47Damgard-, 92Lagarias-Odlyzko-, 443-SAT-, 89zur Faktorisierung, 95

gleichverteilt mod L, 72global extremes Gitter, 19Gram-Schmidt-Koeffizienten µi,j , 8Grundmasche, 6

Hadamard’sche Ungleichung, 106Hash-Funktion, 91Hermite, C., 19, 51, 79, 81Hermite-Konstante γn, 19

obere Schranke, 19Hermite-Konstanteγn

bekannte, 20

108

INDEX 109

Hermite-Normalform, 13HKZ-Basis, 51HKZ-reduzierte Basis zu ‖·‖, 79, 81, 84Hlawka, E., 20HNF, siehe Hermite-NormalformHohenfunktion, 75Horner, H.H., 44

IndexUntergitter, 14

IP, 101isometrisch

-es Gitter, 8

Joux, A., 47, 89

Kabatiansky, G.A., 20Kaib, M., 77Karmarkar, M., 101Khachiyan, L.G., 101Knapsack-Problem, siehe SubsetsumKNF, siehe konjunktive NormalformKollision, 91konjunktive Normalform (KNF), 89Korkine, A., 51, 79, 81, 83Korkine-Zolotareff-Konstante, 83kritische β-reduzierte Basis, 56kritisches Gitter, 19Kryptographie, 44Kugelpackung, 19kurzester Gittervektor, 91, 103Kyptographie, 89

`, 99Lagarias, J.C., 44, 46, 49, 52LaMacchina, B.A., 47laminated Gitter, 22Lange, 106langenreduziert, 79langenreduzierte Basis, 12Lenstra, A.K., 31–33Lenstra, H.W., 31–33, 52Levenshtein, V.I., 20lineare Programmierung

ganzzahlige, 100rationale, 101

Lovasz, L., 31, 33LLL-reduziert, 31, 52, 73, 79LLL-Verfahren, 33

Algorithmus, 33linear abhangige Erzeugendensysteme, 38

lokal extremes Gitter, 19Lovasz, L., 32, 81

Maximums-Norm, 106

Mazo, J.E., 95Minkowski

erster Satz, 18Gitterpunktsatz, 18Ungleichung von, 22zweiter Satz, 23

Minkowski, H., 17, 18, 20, 22, 23

nachster Gittervektor, 103Norm, 75, 106

Betrags-, 106Euklidische, 106`1-, 106`2-, 106`p-, 106Maximums-, 106sup-, 106

Notation, 105NP, 100NP-vollstandig, 100{0, 1} − IP, 102

Odlyzko, A.M., 44, 46, 47, 49, 95orthogonale Projektion, 8Orthogonalsystem, 8Orton, G., 89

P, 99p-Norm, 106paarweisereduzierte Vektoren, 12parasitarer Gittervektor, 95Paz, A., 13polares Gitter, siehe duales GitterPolynomialzeit, 99primitives System, 11Pseudo-Kollision, 91

Rang, 102Reduktion, 100reduzierte Gitterbasis, 25

2-reduzierte Basis zu ‖·‖, 79β-, 52, 58, 79, 82block-, 52, 58, 79, 82(δ, β)-block-, 58HKZ-, 51, 79, 81, 84kritische β-, 56langen-, 12LLL-, 31, 52, 73, 79wohlgeordnete, 27

reziprokes Gitter, siehe duales GitterRitter, H., 85, 89Rucksack-Problem, siehe Subsetsum

3-SAT, 89Scarf, H., 81

110 INDEX

Schnorr, C.P., 13, 44, 47, 52, 67, 83, 95schwache Zerlegung, 102selbstdual, 21Shannon, C.

Entropie-Funktion, 92Shortest Vector Problem, 103Sieveking, M., 101, 102Simplex-Algorithmus, 101Skalarprodukt, 105Standard-Skalarprodukt, 105Stern, J., 47, 89Subsetsum-Problem, 43, 89, 101sukzessive Minima, 17sup-Norm, 106SVP, 103

tiefes Loch, 22Tschebycheff-Ungleichung, 93

u.d. mod L, 72Ungleichung

Cauchy-Schwarz-, 106Hadamard’sche, 106Minkowski’sche, 22Tschebycheff, 93

unimodulare Matrix, 5Untergitter, 14

Vetchinkin, N.M., 20vollstandiges Gitter, 8Volumen-Heuristik, 69, 85

Watson, G.L., 20

Ye, Y., 101

Z-Kern, 101Zeuge, 100Zolotareff, G., 51, 79, 81, 83

Literaturverzeichnis

[Aj98] M. Ajtai, The Shortest Vector Problem in L2 is NP-hard for Randomized Reductions.Proc. 30th STOC, pp. 10–19, 1998.

[Aj03] M. Ajtai, The Worst-case Behavior of Schnorr’s Algorithm Approximating the ShortestNonzero Vector in a Lattice. Proc. 35th STOC, pp. 396–406 2003.

[AKS01] M. Ajtai, R. Kumar, and D. Sivakumar, A Sieve Algorithm for the Shortest LatticeVector Problem. Proc. 33th STOC, pp. 601–610, 2001.

[Ak02] A. Akhavi, Random Lattices, Threshold Phenomena and Efficient Reduction Algorithms.Theoret. Comput. Sci., 287, pp. 359–385, 2002.

[Ba86] L. Babai , On Lovasz’ Lattice Reduction and the nearest Lattice Point Problem, Combi-natorica, Band 6, Seiten 1–13, 1986.

[Bar59] E.S. Barnes , The Contruction of perfect and extreme Forms II, Acta Arithmetica, Band5, Seiten 205-222, 1959.

[BaKa84] A. Bachem und R. Kannan , Lattices and the Basis Reduction Algorithm, TechnischerReport, Carnegie-Mellon-Universitat (USA), (1984).

[BeWe93] Th. Becker und V. Weispfennig, Grobner Bases — a computational Approach tocommutative Algebra, Graduate Texts in Mathematics, Band 141, Springer-Verlag, Ber-lin/Heidelberg, 1993.

[Bli14] H.F. Blichfeldt, A new Principle in the Geometry of Numbers with some Applications,Transaction of the American Mathematical Society, Band 15, Seiten 227–235, 1914.

[Bli29] H.F. Blichfeldt , The Minimum Value of quadratic Forms and the closet Packing of Sphere,Mathematische Annalen, Band 101, Seiten 366-389, 1929.

[Bli35] H.F. Blichfeldt, The minimum Value of positive Quadratic Forms in six, seven and eightVariables, Mathematische Zeitschrift, Band 39, Seiten 1–15, 1935.

[Be80] G. Bergman, Notes on Ferguson and Forcade’s Generalized Euclidean Algorithm. TR.Dep. of Mathematics, University of Berkeley, CA, 1980.

[BM03] J. Blomer and A. May New Partial Key Exposure Attacks on RSA. Proc. Crypto’2003,Lecture Notes in Comp.Sci., 2729, Springer, New York, pp. 27 - 43, 2003.

[BS99] J. Blomer and J.P. Seifert, On the Complexity of Computing Short Linearly IndependentVectors and Short Bases in a Lattice. Proc. 31th STOC, pp. 711–720, 1999.

[Bo00] D. Boneh, Finding Smooth Integers in Small Intervals Using CRT Decoding. Proc. 32thSTOC, pp. 265-272, 2000.

111

112 LITERATURVERZEICHNIS

[Bb65] B. Buchenberger 1965, Ein Algorithmus zum Auffinden der Basiselemente des Restklassen-rings nach einem nulldimensionalen Polynomideal, Dissertation, Fachbereich Mathematik,Universitat Insbruck (Osterreich), 1965.

[Ca00] J. Cai, The Complexity of some Lattice Problems. Algorithmic Number Theory, LectureNotes in Comput. Sci., 1838, Springer, New York, pp. 1-32, 2000.

[Co97] D. Coppersmith, Small Solutions to Polynomial Equations, and Low Exponent RSA Vul-nerabilities. J. Cryptology , 10, pp. 233-260, 1997.

[Co01] D. Coppersmith, Finding Small Solutions to Small Degree Polynomials. Cryptography andLattices, Lecture Notes in Comput. Sci., Springer, New York, 2146, pp. 20-31, 2001.

[Ca71] J.W.S. Cassels , An Introduction to the Geometry of Numbers, Springer-Verlag, Ber-lin/Heidelberg, 1971.

[Co93] H. Cohen , A Course in Computational Algebraic Number Theory, Graduate Texts inMathematics, Band 138, Springer-Verlag, Berlin/Heidelberg, 1993.

[CoSl88] J.H. Conway und N.J. Sloane , Sphere Packings, Lattices and Groups, Springer-Verlag,New York, 1988.

[CJLOSS92] M.J. Coster, A. Joux, B.A. LaMacchina, A.M. Odlyzko, C.P. Schnorr und J. Stern,An improved low-density Subset Sum Algorithm, Computational Complexity, Band 2,Seiten 111–128, 1992.

[CR88] B. Chor und R.L. Rivest, A Knapsack type Public Key Cryptosystem based on Arithmeticin finite Fields, IEEE Transaction Information Theory, Band IT-34, Seiten 901–909, 1988.

[Da89] I.B. Damgard, A Design Principle for Hash Functions, Advances in Cryptology, Procee-dings EuroCrypt ’89, Lecture Notes in Computer Science, Band 435 (1990), Springer-Verlag, Berlin/Heidelberg, Seiten 416–427, 1989.

[Da63] G.B. Dantzig , Linear Programming and Extensions, Princeton University Press, Prince-ton, New Jersey (dt. Ubersetzung ”Lineare Programmierung und Erweiterungen“ 1966 imSpringer-Verlag, Berlin/Heidelberg, erschienen), 1963.

[DV94] H. Daude and B. Vallee, An Upper Bound on the Average Number of Iterations of theLLL algorithm, Theoret. Comput. Sci., 123, pp. 395–115, 1994.

[Di1842] G.L. Dirichlet, Verallgemeinerung eines Satzes aus der Lehrere von Kettenbruchen nebsteinigen Anwendungen auf die Theorie der Zahlen, Bericht uber die zur Bekanntmachunggeeigneter Verhandlungen der Koniglich Preussischen Akademie der Wissenschaften zuBerlin, Seiten 93–95, 1842.

[DKT87] P.D. Domich, R. Kannan und L.E. Trotter, Hermite normal Form Computation usingmodulo Determinant Arithmetic, Mathematics of Operation Research, Band 12, Nr. 1(Februar), Seiten 50–59, 1987.

[EB81] P. van Emde Boas, Another NP-complete Partition Problem and the Complexity of Com-puting short Vectors in a Lattice, Technischer Report 81-04, Fachbereich Mathematik derUniversitat Amsterdam, 1981.

[E91] M. Euchner , Praktische Algorithmen zur Gitterreduktion und Faktorisierung, Diplomar-beit, Fachbereich Informatik der Johann-Wolfgang-Goethe-Universitat, Frankfurt/Main,1991.

[Fe68] W. Feller, An Introduction to Probability Theory and its Application, Band I, 3. Auflage,John Wiley & Sons, New York, 1968.

LITERATURVERZEICHNIS 113

[Fr86] A.M. Frieze , On the Lagarias-Odlyzko Algorithm for the Subset Sum Problem, SIAMJournal on Computing, Band 15, Nr. 2, Seiten 536–539, 1986.

[GaSi78] J. von zur Gathen und M. Sieveking , A Bound on Solution of linear Integer Equationsand Inequations, Proceedings of the American Mathematical Society, Band 72, Seiten155–158, 1978.

[GaJo79] Garey, Johnson, Computer and Intractability: A Guide to the Theory of NP-Completness, W.H. Freeman and Company, San Francisco, 1979.

[G1801] C.F. Gauß , Disquisitiones Arithmeticae, Gerhard Fleischer, Leipzig. Deutsche Uberset-zung (1889): ”Untersuchung uber hohere Arithmetik“, Springer-Verlag, Berlin/Heidelberg,1801.

[GrLek87] M. Gruber und C.G. Lekkerkerker, Geometry of Numbers, 2. Auflage, North-Holland,Amsterdam, 1987.

[GLLS88] M. Grotschel, L. Lovasz und A. Schrijver, Geometric Algorithms and combinatorial Op-timization, Algorithms and Combinatorics, Band 2, Springer-Verlag, Berlin/Heidelberg,1988.

[HaMcC91] J. Hafner und K. McCurley , Asymptotic Fast Triangulation of Matrices over Ring,SIAM Journal on Computing, Band 20, Nr. 6, Seiten 1068–1083, 1991.

[HJLS89] J. Hastad, B. Just, J.C. Lagarias und C.P. Schnorr , Polynomial Time Algorithms forFinding Integer Relations among real Numbers, SIAM Journal on Computing, Band 18,Nr. 5, Seiten 859–881, 1989.

[HT98] C. Heckler and L. Thiele Complexity Analysis of a Parallel Lattice Basis Algorithm. SiamJ. Comput. 27(5), pp. 1295–1302, 1998.

[He85] B. Helfrich 1985, Algorithms to construct Minkowski reduced and Hermite reduced LatticeBases, Theoretical Computer Science, Band 41, Seiten 125–139, 1985.

[He1850] C. Hermite , Extraits de lettres de M. Ch. Hermite a M. Jacobi sur differents objets dela theorie des nombres, Deuxieme lettre, Reine Angewandte Mathematik, Band 40, Seiten279–290, 1850.

[Hl44] E. Hlawka , Zur Geometrie der Zahlen, Mathematische Zeitschrift, Band 49, Seiten 285–312, 1944.

[H94] H.H. Horner, Verbesserte Gitterbasenreduktion; getestet am Chor-Rivest-Kryptosystemund an allgemeinen Rucksackproblemen, Diplomarbeit, Fachbereich Mathematik derJohann-Wolfgang-Goethe-Universitat, Frankfurt/Main, 1994.

[J48] F. John , Extremum Problems with Inequalities as subsidiary Conditions, in K.O. Fried-richs, O.E. Neugebauer und J.J. Stoker (Ed.): ”Studies and Essays presented to R. Couranton his 60th Birthday Januar 8, 1948“, Interscience Publisher, New York, Seiten 187–204,1948.

[JoSt94] A. Joux und J. Stern , Lattice Reduction: A Toolbox for the Cryptanalyst, TechnischerReport, DGA/CELAR, Bruz (Frankreich). Eingereicht bei Journal of Cryptology, 1994.

[KaLe78] G.A. Kabatiansky und V.I. Levenshtein , Bounds for Packings on a Sphere and in Space,Problems of Information Transmission, Band 14, Seiten 1–17, 1978.

[Ka91] M. Kaib , The Gauß Lattice Basis Reduction succeeds with any Norm, Proceedings ofFundamentals of Computation Theory (FCT ’91), Springer Lecture Notes in ComputerScience, Band 591, Seiten 275–286, 1991.


[Ka94] M. Kaib , Gitterbasenreduktion fur beliebige Normen, Dissertation, Fachbereich Mathe-matik der Johann-Wolfgang-Goethe-Universitat, Frankfurt/Main, 1994.

[KS96] M. Kaib und C.P. Schnorr, The Generalized Gauss Reduction Algorithm, Journal ofAlgorithms, Band 21, Nr. 3 (November), Seiten 565–578, 1996.

[KaBa79] R. Kannan und A. Bachem, Polynomial Algorithm for Computing the Smith and theHermite Normal Form of an Integer Matrix, SIAM Journal on Computing, Band 8, Seiten499–507, 1979.

[K87] R. Kannan, Minkowski’s Convex Body Theorem and Integer Programming. Math. Oper.Res., 12, pp. 415–440, 1987.

[Ka01] H. Koy, Notes of a Lecture. Frankfurt 2004., //www.mi.informatik.uni-frankfurt.de/index.html#publications

[Ka84] M. Karmarkar, A new Polynomial-Time Algorithm for Linear Programming, Combinato-rica, Band 4, Seiten 373–395, 1984.

[Kh79] L.G. Khachiyan, A Polynomial Algorithm in Linear Programming, Soviet MathmaticsDoklady, Band 20, Seiten 191–194, 1979.

[Kh80] L.G. Khachiyan, Polynomial Algorithms in Linear Programming, U.S.S.R. ComputationalMathematics and Mathematical Physics, Band 20, Seiten 53–72, 1980

[Kh71] D.E. Knuth, The Art of Computer Programming, Fundamental Algorithms, Band I,Addison-Wesley, Reading, 2001.

[KZ1872] A. Korkine und G. Zolotareff, Sur les formes quadratique positive quaternaires, Mathe-matische Annalen, Band 5, Seiten 366-389, 1872.

[KZ1873] A. Korkine und G. Zolotareff, Sur les formes quadratique, Mathematische Annalen,Band 6, Seiten 366–389, 1873

[KZ1877] A. Korkine und G. Zolotareff, Sur les formes quadratique positive, Mathematische An-nalen, Band 11, Seiten 242–292, 1877.

[KS01a] H. Koy and C.P. Schnorr, Segment LLL-Reduction. Cryptography and Latti-ces, Lecture Notes in Comput. Sci., 2146, Springer, New York, pp.67–80, 2001.//www.mi.informatik.uni-frankfurt.de/research/papers.html

[KS01b] H. Koy and C.P. Schnorr, Segment LLL-Reduction with Floating Point Orthogonalizati-on. Cryptography and Lattices, Lecture Notes in Comput. Sci., 2146, Springer, New York,pp. 81–96, 2001. //www.mi.informatik.uni-frankfurt.de/research/papers.html

[KS02] H. Koy and C.P. Schnorr, Segment and Strong Segment LLL-Reduction ofLattice Bases. TR Universitat Franfurt, April 2002, //www.mi.informatik.uni-frankfurt.de/research/papers.html

[LA] M. Kaib, R. Mirwald, C. Rossner, H.H. Horner, H. Ritter (1994): Programmieranlei-tung fur LARIFARI — Version 13.07.1994, Fachbereiche Mathematik und Informatik derJohann-Wolfgang-Goethe-Universitat, Frankfurt/Main.

[La1773] J.L. Lagrange, Recherches d’arithmetique, Nouveaux Memoires de l’Academie Royaledes Sciences et Belles-Lettres, Berlin, Seiten 265–312,1773.

[Lang93] S. Lang, Algebra, 3. Auflage, Addison-Wesley, Reading, 1993

[LLS90] J.C. Lagarias, H.W. Lenstra und C.P. Schnorr, Korkin-Zolotarev Bases and successiveMinima of a Lattice and its reciprocal lattice, Combinatorica, Band 10, Seiten 333–348,1998.

LITERATURVERZEICHNIS 115

[LaOd85] J.C. Lagarias und A.M. Odlyzko, Solving low-density Subset Sum Problems, Journal ofACM, Band 32, Nr. 1, Seiten 229–246, 1985.

[LLL82] A.K. Lenstra, H.W. Lenstra und L. Lovasz, Factoring Polynomials with Rational Coeffi-cients, Springer Mathematische Annalen, Band 261, Seiten 515–534, 1982.

[Lenstra83] H.W. Lenstra, Integer Programming in a fixed Number of Variables, Mathematics ofOperation Research, Band 8, Nr. 4 (November), Seiten 538–548, 1983.

[Lovaz86] L. Lovasz, An algorithmic Theory of Numbers, Graphs and Convexity, CBMS-NSFRegional Conference Series in Applied Mathematics, Band 50, SIAM Publications, Phil-adelphia, 1986

[LoSc92] L. Lovasz und H. Scarf, The Generalized Basis Reduction Algorithm, Mathematics ofOperation Research, Band 17, Nr. 3 (August), Seiten 751–764, 1992

[MaOd90] J.E. Mazo und A.M. Odlyzko, Lattice Points in high-dimensional Sphere, MonatsheftMathematik, Band 110, Seiten 47–61, 1930.

[Ma03] A. May, New RSA Vulnerabilities Using Lattice Reduction Methods. Dissertation Thesis,University of Paderborn, October 2003.

[ML01] S. Mehrotra and Z. Li, Reduction of Lattice Bases Using Modular Arithmetic. TR. Dept.of Industrial Engeneering and Management Sciences, Northwestern University, Evanston,Il. Oct 2001, mehrotra, [email protected].

[MG02] D. Micciancio and S. Goldwasser, Complexity of Lattice Problems: A CryptographicPerspective. Kluwer Academic Publishers, Boston, London, 2002.

[Mi1896] H. Minkowski, Geometrie der Zahlen, erste Auflage, Teubner-Verlag, Leipzig, 1896.

[Mi1911] H. Minkowski, Gesammelte Abhandlungen, Band I und II, Teubner-Verlag, Leipzig, 1911.

[Mis93] B. Mishra, Algorithmic Algebra, Texts and Monographs in Computer Science, Springer-Verlag, New-York, 1993.

[NS06] P. Nguyen and D. Stehle, LLL on the average. In Proc. ANTS-VII, LNCS 4076, Springer-Verlag, Berlin New York, pp. 238–356, 2006.

[PS87] A. Paz and C.P.Schnorr, Approximating integer lattices by lattices with cyclic factorgroups. Proceedings 14th International Colloquium on Automata, Languages and Pro-gramming (ICALP), LNCS 267, Springer-Verlag, Berlin New York, pp. 386–393, 1987.

[Ri96] H. Ritter: Breaking Knapsack Cryptosystems by `∞-norm enumeration. Proceedings of 1stInternational Conference on the Theory and Applications of Cryptography–PragoCrypt’96, CTU Publishing House, Prag, Seiten 480–492, 1996.

[S87] C.P.Schnorr, A Hierarchy of polynomial time lattice basis reduction algorithms. Theore-tical Computer Science, 53, pp. 201–224, 1987.

[S93] C.P.Schnorr, Factoring integers and computing discrete logarithms via Diophantine ap-proximation. In Advances in Computational Complexity, AMS, DIMACS Series in Dis-crete Mathematics and Theoretical Computer Science, 13, pp. 171–182, 1993. Preliminaryversion in Proc. EUROCRYPT’91, LNCS 547, Springer-Verlag, Berlin New York, pp. 281–293, 1991. //www.mi.informatik.uni-frankfurt.de.

[S94] C.P.Schnorr, Block reduced lattice bases and successive minima. Comb. Prob. and Comp.3, pp. 507–522, 1994.


[SE94] C.P. Schnorr and M. Euchner, Lattce basis reduction: Improved practical algorithmsand solving subset sum problems. Mathematical Programming 66, pp. 181–199, 1994.Preliminary version in Proc. FCT’91, LNCS 591, Springer-Verlag, Berlin New York, pp.68–85, 1991. //www.mi.informatik.uni-frankfurt.de.

[SH95] C.P. Schnorr and H.H. Horner, Attacking the Chor–Rivest cryptosystem by improvedlattice reduction. In Proc. EUROCRYPT’95, LNCS 921, Springer-Verlag, Berlin NewYork, pp. 1–12, 1995. //www.mi.informatik.uni-frankfurt.de.

[S03] C.P. Schnorr, Lattice reduction by sampling and birthday methods. Proc. STACS2003: 20th Annual Symposium on Theoretical Aspects of Computer Science, LNCS2007, Springer-Verlag, Berlin New York, pp. 146–156, 2003. //www.mi.informatik.uni-frankfurt.de

[S06] C.P. Schnorr, Fast LLL-type lattice reduction. Information and Computation, 204, pp.1–25, 2006. //www.mi.informatik.uni-frankfurt.de

[S07] C.P. Schnorr, Progress on LLL and lattice reduction, Proceedings LLL+25, Caen,France, June 29–July 1, 2007, Final version to appear by Springer-Verlag, 2009.//www.mi.informatik.uni-frankfurt.de

[Sc84] A. Schonhage, Factorization of Univariate Integer Polynomials by Diophantine Appro-ximation and Improved Lattice Basis Reduction Algorithm. Proc. 11-th Coll. Automata,Languages and Programming, Antwerpen 1984, Lecture Notes in Comput. Sci., 172, Sprin-ger, New York, pp. 436–447, 1984.

[Schr86] A. Schrijver, Theory of Linear and Integer Programming, Wiley-Interscience Series indiscrete Mathematics and Optimization, John Wiley & Son Ltd, 1986.

[Se93] M. Seysen, Simultaneous Reduction of a Lattice and its reciprocal Basis, Combinatorica,Band 13, Seiten 363–376, 1993.

[Si89] C.L. Siegel, Lectures on the Geometry of Numbers, Springer-Verlag, Berlin/Heidelberg,1989.

[Sm1861] H.J.S. Smith, On Systems of linear indeterminate Equations and Congruences, Philo-sophical Transaction of the Royal Society of London, Band 151, Seiten 293–326, 1861.

[SS76] E. Specker und V. Strassen, Komplexitat von Entscheidungsproblemem, Lecture Notes inComputer Science, Band 43, Springer-Verlag, Berlin/Heidelberg, 1976.

[St96] A. Storjohann, Faster Algorithms for Integer Lattice Basis Reduction.TR 249, Swiss Federal Institute of Technology, ETH-Zurich, Department of ComputerScience, Zurich, Switzerland, July 1996.//www.inf.ethz.ch/research/publications/html.

[V82] N.M. Vetchinkin, Uniqueness of Classes of positive quadratic Forms on which Values ofthe Hermite Constants are attained for 6 ≤ n ≤ 8, Proceedings of the Steklov Institute ofMathematics, Nr. 3, Seiten 37–95, 1982.

[W66] G.L. Watson, On the Minimum of a positiv Quadratic Form in n (n ≤ 8) Variables(Verification of Blichfeldt’s Calculations), Proceeedings of the Cambrigde PhilosophicalSociety (Mathematical and Physical Science), Band 62, Seite 719, 1966.

[Ye91] Y. Ye, Potential Reduction Algorithm for Linear Programming, Mathematical Program-ming, Band 51, Seiten 239–258, 1991.

€¦ · Inhaltsverzeichnis 1 Gitter in linearen R¨aumen 5 1.1 Die Geometrie der Gitter . . . . ....

Documents

Transcript of €¦ · Inhaltsverzeichnis 1 Gitter in linearen R¨aumen 5 1.1 Die Geometrie der Gitter . . . . ....