Math Pro 數學補給站

標題: 用maxima學密碼學-Lattice Reduction應用1-破解背包加密演算法 [打印本頁]

作者: bugmens 時間: 2017-11-8 22:30 標題: 用maxima學密碼學-Lattice Reduction應用1-破解背包加密演算法

maxima內建LLL指令但執行結果會出現錯誤。

要先載入lll.lisp才能使用latticereduce指令
(%i1)　load("lll.lisp");
(%o1)　C:\maxima-5.41.0\share\maxima\5.41.0\share\contrib\lll.lisp

https://math.pro/db/viewthread.php?tid=1876&page=1#pid10232的範例
執行結果正確
(%i2)　latticereduce([[31,59],[37,70]]);
(%o2)　$ [[1,4],[3,-1]] $

https://math.pro/db/viewthread.php?tid=1876&page=1#pid10232的範例
執行結果正確
(%i3)　latticereduce([[47,9],[26,4]]);
(%o3)　$ [[5,-1],[-1,-9]] $

https://math.pro/db/viewthread.php?tid=1876&page=1#pid10892的範例
執行結果錯誤，應該是$[[0,1,0],[1,0,1],[-1,0,2]]$
(%i4)　latticereduce([[1,1,1],[-1,0,2],[3,5,6]]);
(%o4)　$ [[0,1,0],[1,0,1],[-2,0,1]] $

https://math.pro/db/viewthread.php?tid=1876&page=1#pid10831的範例
執行結果正確
(%i5)　latticereduce([[1,1,7,2],[9,8,4,6],[1,8,5,7],[2,3,1,1]]);
(%o5)　$ [[2,3,1,1],[3,-1,1,3],[-2,2,6,-1],[-4,1,-4,3]] $

https://math.pro/db/viewthread.php?tid=1876&page=1#pid10831的範例
latticereduce只能處理方陣，行數與列數不同會出現錯誤
(%i6)
latticereduce([[4,9,3,-5,-5,-1,7,-1,-5],
               [-2,-8,-7,-1,-3,6,-3,9,8],
               [1,-3,-2,3,9,7,2,7,-2],
               [-5,6,4,-2,-2,-7,-2,-9,1],
               [1,-2,-2,7,7,-3,-9,-5,-4],
               [7,1,-4,3,-2,9,9,7,6]]);
Maxima encountered a Lisp error:
MAKE-ARRAY: (4 9 3 -5 -5 -1 7 -1 -5) is of incorrect length
Automatically continuing.
To enable the Lisp debugger set *debugger-hook* to nil.

放棄使用maxima內建的LLL，改用自己寫的LLL()副程式
請下載LLL.zip，解壓縮後將LLL.mac放到C:\maxima-5.41.0\share\maxima\5.41.0\share目錄下

要先載入LLL.mac才能使用LLL指令
(%i1)　load("LLL.mac");
(%o1)　C:\maxima-5.41.0\share\maxima\5.41.0\LLL.mac

(%i2)
LLL(matrix([31,59],
            [37,70]));
0 errors, 0 warnings
(%o2)　$ \left[ \matrix{3&-1 \cr 1&4}\right] $

(%i3)
LLL(matrix([47,9],
            [26,4]));
(%o3)　$ \left[ \matrix{5&-1 \cr -1&-9}\right] $

(%i4)
LLL(matrix([1,1,1],
            [-1,0,2],
            [3,5,6]));
(%o4)　$ \left[ \matrix{0&1&0 \cr 1&0&1 \cr -1&0&2} \right] $

(%i5)
LLL(matrix([1,1,7,2],
            [9,8,4,6],
            [1,8,5,7],
            [2,3,1,1]));
(%o5)　$ \left[ \matrix{2&3&1&1 \cr 3&-1&1&3 \cr -2&2&6&-1 \cr -4&1&-4&3} \right] $

(%i6)
LLL(matrix([4,9,3,-5,-5,-1,7,-1,-5],
            [-2,-8,-7,-1,-3,6,-3,9,8],
            [1,-3,-2,3,9,7,2,7,-2],
            [-5,6,4,-2,-2,-7,-2,-9,1],
            [1,-2,-2,7,7,-3,-9,-5,-4],
            [7,1,-4,3,-2,9,9,7,6]));
(%o6)　$ \left[ \matrix{-4 & 3 & 2 & 1 & 7 & 0 & 0 & -2 & -1 \cr 3 & -1 & -6 & 1 & -1 & 2 & -5 & 3 & -1 \cr -2 & 4 & -2 & -5 & -1 & 5 & 4 & 6 & 2 \cr 3 & 11 & -1 & -3 & 1 & 1 & 2 & 0 & -7 \cr 2 & -5 & 2 & 1 & 3 & 5 & 7 & 6 & 0 \cr 1 & 9 & -4 & 3 & 2 & 4 & 2 & -1 & 5} \right] $

作者: bugmens 時間: 2019-2-5 22:16

1.破解Merkle–Hellman背包加密

Merkle和Hellman在1978年基於0-1背包問題設計出第一個非對稱的公鑰系統，以下先介紹0-1背包問題。

0-1背包問題：
已知$n$個物品重量分別為$A=\{\; a_1,a_2,\ldots,a_n \}\;$，任選其中若干件物品放入背包內，使其總重量恰好等於預先給定的$s$值。
設所選的結果用$X=\{\; x_1,x_2,\ldots,x_n \}\;$表示，其中$x_i=0$ or $1(i=1,2,\ldots,n)$，分別表示該物品沒有選取或有選取，則$\displaystyle AX=\sum_{i=1}^n a_ix_i=s$。

例子：
已知7個物品重量分別為$A=\{\;1,2,5,8,11,16,21\}\;$，總重量$s=47$
所選的結果為$X=\{\;0,1,1,1,1,0,1 \}\;$，$2+5+8+11+21=47$。

當物品非常多時背包問題就很難解決，Merkle和Hellman利用超遞增(superincreasing)數列讓自己能輕易解決的背包問題。
但隨機選擇一個整數乘上超遞增數列後和另一個數字同餘後，讓別人變成困難的背包問題當公鑰。
完整的Merkle和Hellman加解密流程介紹如下：

產生公鑰	範例
選擇一組數列$w=\{\; w_1,w_2,\ldots,w_n \}\;$	$w=\{\;2,7,11,21,42,89,180,354 \}\;$
驗證是否為超遞增數列 $\displaystyle w_i>\sum_{j=1}^{i-1}w_j $，$i=2,3,\ldots,n$	$7>2$ $11>7+2=9$ $21>11+7+2=20$ $42>21+11+7+2=41$ $89>42+21+11+7+2=83$ $354>89+42+21+11+7+2=172$ $w$的確是超遞增數列
選一個比全部$w$總和還大的數字$q$	$q=881$，$\displaystyle q>\sum_{i=1}^n w_i=706$
選一個和$q$互質的隨機整數$r$	$r=588$，$gcd(588,881)=1$
計算$\beta_i=rw_i \pmod{q}$	$(2 * 588)\pmod{881} = 295$ $(7 * 588)\pmod{881} = 592$ $(11 * 588)\pmod{881} = 301$ $(21 * 588)\pmod{881} = 14$ $(42 * 588)\pmod{881} = 28$ $(89 * 588)\pmod{881} = 353$ $(180 * 588)\pmod{881} = 120$ $(354 * 588)\pmod{881} = 236$
$\beta=\{\;\beta_1,\beta_2,\ldots,\beta_n \}\;$為公鑰 $ (w,q,r) $為密鑰	$\beta=\{\;295, 592, 301, 14, 28, 353, 120, 236\}\;$為公鑰 $(w,881,588)$為密鑰

加密	範例
加密$n$位元長度的訊息 $\alpha=(\alpha_1,\alpha_2,\ldots,\alpha_n)$，$\alpha_i \in \{\;0,1 \}\;$ 其中$\alpha_i$是訊息的第$i$個位元	加密8位元長度的訊息"a" "a"的ASCII碼為97，轉成二進位01100001 $\alpha=\{\;0,1,1,0,0,0,0,1 \}\;$
計算$ \displaystyle c=\sum_{i=1}^{n}\alpha_i \beta_i $ 得到密文$c$	計算$c=$ $0 * 295$ $+ 1 * 592$ $+ 1 * 301$ $+ 0 * 14$ $+ 0 * 28$ $+ 0 * 353$ $+ 0 * 120$ $+ 1 * 236$ $= 1129$ 得到密文$c=1129$

解密	範例
計算$s\equiv r^{-1}\pmod{q}$ 　因為$r$和$q$互質，$ sr\equiv 1\pmod{q} $ 存在整數$k$使得$ sr=kq+1 $，$1=-kq+sr$ 利用輾轉相除法求出符合上式的$s$和$k$	設$q=881$，$r=588$ 輾轉相除法 $881=588\times 1+293$ $293=881-588$ $293=q-r$ 　 $588=293\times 2+2$ $2=588-293\times 2$ $2=r-(q-r)\cdot 2=-2q+3r$ 　 $293=2 \times 146+1$ $1=293-2\times 146=(q-r)-(-2q+3r)\cdot 146=293q-439r$ $1=-kq+sr=293q-439r$ $s \equiv -439 \equiv 442 \pmod{881}$
計算$c' \equiv cs \pmod{q}$ 　 $\displaystyle c'\equiv cs \equiv \sum_{i=1}^n \alpha_i \beta_i s\pmod{q}$ 因為$rs\pmod{q}\equiv 1$和$\beta_i\equiv rw_i\pmod{q}$ 得到$\beta_is \equiv w_i rs\equiv w_i \pmod{q}$ $\displaystyle c'\equiv \sum_{i=1}^n \alpha_i w_i \pmod{q}$	$c'\equiv 1129*442 \equiv 372 \pmod{881}$
從$w$選出最大元素$w_k$ 若$ w_k>c' $則$\alpha_k=0$ 若$ w_k \le c' $則$ \alpha_k=1 $，將$c'$減掉$ w_k \times \alpha_k $ 重複相同步驟直到$c'=0$為止(	$354 \le 372$，$\alpha_8=1$，$c'=372-354=18$ $180>18$，$\alpha_7=0$ $89>18$，$\alpha_6=0$ $42>18$，$\alpha_5=0$ $21>18$，$\alpha_4=0$ $11\le 18$，$\alpha_3=1$，$c'=18-11=7$ $7\le 7$，$\alpha_2=1$，$c'=7-7=0$ $2>0$，$\alpha_1=0$ $\alpha=\{\;0,1,1,0,0,0,0,1 \}\;$，轉成十進位97，ASCII碼為"a"

參考資料
https://en.wikipedia.org/wiki/Me ... apsack_cryptosystem

超遞增數列w
(%i1)　w:[2,7,11,21,42,89,180,354];
(%o1)　$ \left[ 2,7,11,21,42,89,180,354 \right] $

可加密n-bit的訊息
(%i2)　n:length(w);
(%o2)　8

w總和
(%i3)　apply("+",w);
(%o3)　706

選比w總和還大的數字q
(%i4)　q:881;
(%o4)　$881$

選一個隨機整數r
(%i5)　r:588;
(%o5)　$588$

公鑰β
(%i6)　beta:mod(w*r,q);
(%o6)　$ \left[ 295,592,301,14,28,353,120,236 \right] $

明文的ASCII值
(%i7)　ASCII:cint("a");
(%o7)　$97$

要先載入bitwise才能使用bit_and
(%i8)　load("bitwise");
(%o8)　C:\maxima-5.41.0a\share\maxima\5.41.0a_dirty\share\contrib\bitwise\bitwise.lisp

轉成二進位
(%i9)　alpha:create_list(bit_and(ASCII,2^(n-k))/2^(n-k),k,1,n);
(%o9)　$ \left[ 0,1,1,0,0,0,0,1 \right] $

和公鑰β相乘得到密文c
(%i10)　c:alpha.beta;
(%o10)　$1129$

計算cr^(-1)mod q得到c'
(%i11)  cprime:mod(c*inv_mod(r,q),q);
(%o11)　$372$

解密
(%i14)
bits:[]$
for i:n thru 1 step -1 do
  (if cprime>=w[ i ] then
   (cprime:cprime-w[ i ],
   bits:append([1],bits)
   )
else
   (bits:append([0],bits)
   )
  )$
bits;
(%o14)　$ \left[ 0,1,1,0,0,0,0,1 \right] $

轉換成10進位
(%i15)　ASCII:apply("+",create_list(bits[k]*2^(n-k),k,1,n));
(%o15)　$97$

得到明文
(%i16)　ascii(ASCII);
(%o16)　a

作者: bugmens 時間: 2019-2-10 21:54

2.破解Merkle–Hellman背包加密-Shimar方法

Shimar在1984年提出破解背包加密的方案。
詳細內容之後再補上

作者: bugmens 時間: 2019-2-10 21:55

3.解決子集合加總問題－Lagarias和Odlyzko方法

雖然背包加密已經被$Shamir$破解了，但後續有更多學者針對子集合加總問題($subset$ $sum$ $problem$)進行研究。像$Lagarias$和$Odlyzko$在1985年提出基於$LLL$演算法解決子集合加總問題。

子集合加總問題為找出$ x_1,x_2,\ldots,x_n $的值讓$x_1a_1+x_2a_2+\ldots+x_na_n=s$，其中$x_1,x_2,\ldots x_n \in \{\;0,1 \}\;$。

$Lagarias$和$Odlyzko$的解決辦法如下，利用$ a_1,a_2,\ldots,a_n $和$s$(註1)，建構$ (n+1)\times (n+1) $的矩陣$B$
$ B=\left[ \matrix{1&0&0&\ldots&0&-a_1 \cr
0&1&0&\ldots&0&-a_2 \cr
0&0&1&\ldots&0&-a_3 \cr
\vdots&\vdots&\vdots&\vdots&\vdots&\vdots \cr
0&0&0&\ldots&1&-a_n \cr
0&0&0&\ldots&0&s} \right] $
其中$B$矩陣的每一列向量$b_1,b_2,\ldots,b_{n+1}$都是線性獨立，形成$lattice$的基底($basis$)。
註1：
雖然前面wiki文章採用公鑰$\beta$和密文$c$，但一般介紹子集合加總問題卻採用$a_i$和$s$，這裡也用相同符號。

設$b_1,b_2,\ldots,b_{n+1}$的線性組合為
$x_1 b_1+x_2 b_2+\ldots+x_n b_n+1\cdot b_{n+1}=
\matrix{x_1 \left[1,0,0,\ldots,0,-a_1 \right]+ \cr
x_2 \left[0,1,0,\ldots,0,-a_2 \right]+ \cr
\ldots \cr
x_n \left[0,0,0,\ldots,1,-a_n \right]+ \cr
1 \left[0,0,0,\ldots \ldots,0,s \right]}=
\left[x_1,x_2,\ldots,x_n,-x_1a_1-x_2a_2-\ldots-x_na_n+s  \right] $
經$LLL$演算法化簡後，第一行向量是整個$lattice$中長度較短的向量，若最後一元為0，則$-x_1a_1-x_2a_2-\ldots-x_na_n+s=0$，符合子集合加總問題的$x_1a_1+x_2a_2+\ldots+x_na_n=s$，而答案就是前面$x_1,x_2,\ldots,x_n$。

論文中還定義了$a=(a_1,a_2,\ldots,a_n)$的密度$ \displaystyle d(a)=\frac{n}{log_2 max_i(a_i)} $，$d(a)$用來測量明文和密文轉換時的資訊比率(information rate)
$ \displaystyle d(a)\approx \frac{明文的bits數}{密文平均的bits數} $
利用本論文所定義的$lattice$和使用$LLL$演算法化簡可以破解低密度子集合加總問題，在密度$d(a)<0.645$的子集合加總問題幾乎可以(almost all)在多項式時間內解出來。以維基百科為範例計算密度$ \displaystyle d(a)=\frac{8}{log_2 592}=0.869 $，雖然沒符合$d(a)<0.645$，但還是得到解答，代表高密度背包問題不一定解不出來只是成功率會下降。

參考資料
J. C. Lagarias and A. M. Odlyzko. 1985. Solving low-density subset sum problems. J. ACM 32, 1 (January 1985), 229-246.
https://web.stevens.edu/algebrai ... m/p229-lagarias.pdf

請下載LLL.zip，解壓縮後將LLL.mac放到C:\maxima-5.42.2\share\maxima\5.42.2\share目錄下
要先載入LLL.mac才能使用LLL指令
(%i1)　load("LLL.mac");
(%o1)　C:\maxima-5.42.2\share\maxima\5.42.2\share\LLL.mac

物品重量
(%i2)　a:[295,592,301,14,28,353,120,236];
(%o2)　$ \left[295,592,301,14,28,353,120,236 \right] $

總和
(%i3)　s:1129;
(%o4)　$1129$

形成lattice
(%i4)
B:matrix([1,0,0,0,0,0,0,0,-295],
         [0,1,0,0,0,0,0,0,-592],
         [0,0,1,0,0,0,0,0,-301],
         [0,0,0,1,0,0,0,0,-14],
         [0,0,0,0,1,0,0,0,-28],
         [0,0,0,0,0,1,0,0,-353],
         [0,0,0,0,0,0,1,0,-120],
         [0,0,0,0,0,0,0,1,-236],
         [0,0,0,0,0,0,0,0,1129]);
(%o4)　$ \left[ \matrix{1&0&0&0&0&0&0&0&-295\cr
0&1&0&0&0&0&0&0&-592\cr
0&0&1&0&0&0&0&0&-301\cr
0&0&0&1&0&0&0&0&-14\cr
0&0&0&0&1&0&0&0&-28\cr
0&0&0&0&0&1&0&0&-353\cr
0&0&0&0&0&0&1&0&-120\cr
0&0&0&0&0&0&0&1&-236\cr
0&0&0&0&0&0&0&0&1129} \right] $

經LLL化簡
(%i5)　B: LLL(B);
0 errors, 0 warnings
(%o5)　$ \left[ \matrix{0&1&1&0&0&0&0&1&0\cr
0&0&0&-2&1&0&0&0&0\cr
1&-1&0&0&-2&1&0&0&0\cr
-2&1&0&0&0&0&0&0&-2\cr
0&-1&1&0&2&0&0&1&-1\cr
0&-1&0&0&0&0&1&2&0\cr
0&1&0&0&0&-1&-2&0&1\cr
1&1&-1&0&0&-2&1&0&0\cr
0&2&-1&1&0&1&-1&0&-1}\right] $

第1列向量最後一元為0，且$x_i$數字為0或1
(%i6)　B[1];
(%o6)　$ \left[0,1,1,0,0,0,0,1,0 \right] $

去掉最後一元，得到解答
(%i7)　x:rest(B[1],-1);
(%o7)　$ \left[0,1,1,0,0,0,0,1 \right] $

驗證a乘上x是否等於s
(%i8)　is(a.x=s);
(%o8)　$true$

－－－－－－－－－－－
另一個範例取自Lattice Basis Reduction: An Introduction to the LLL Algorithm and Its Applications的第7章範例7.6
https://books.google.com.tw/book ... e&q&f=false
物品重量$a=\left[a_1,a_2,\ldots,a_{15} \right]$
$a_1 = 929737936, a_2 = 970987227, a_3 = 787514290,$
$a_4 = 322163533, a_5 = 926801380, a_6 = 662236970,$
$a_7 = 572718201, a_8 = 499197496, a_9 = 270712809,$
$a_{10} = 142942483, a_{11} = 994479591, a_{12} = 143064843,$
$a_{13} = 724883274, a_{14} = 285884973, a_{15} = 71532418.$
總和$s=4740166124$
試找出$x_1,x_2,\ldots,x_n$，$x_i \in \{\;0,1 \}\;$使得$\displaystyle \sum_{i=1}^n x_i\cdot a_i=s$

要先載入LLL.mac才能使用LLL指令
(%i1)　load(LLL);
(%o1)　C:\maxima-5.42.2\share\maxima\5.42.2\share\LLL.mac

物品重量
(%i2)
a:[929737936,970987227,787514290,322163533,926801380,662236970,572718201,499197496,270712809,142942483,
994479591,143064843,724883274,285884973,71532418];
(%o2)　$[929737936,970987227,787514290,322163533,926801380,662236970,572718201,499197496,270712809,142942483,$
$994479591,143064843,724883274,285884973,71532418 ]$

a個數n
(%i3)　n:length(a);
(%o3)　$15$

總和s
(%i4)　s:4740166124;
(%o4)　$4740166124$

將-a和s放在一起
(%i5)　column:transpose(matrix(append(-a,[s])));
(%o5)　$ \left[ \matrix{-929737936\cr -970987227\cr -787514290\cr -322163533\cr -926801380\cr -662236970\cr -572718201\cr -499197496\cr -270712809\cr -142942483\cr -994479591\cr -143064843\cr -724883274\cr -285884973\cr -71532418\cr 4740166124}\right] $

產生左半邊矩陣
(%i6)　B:genmatrix(lambda([i,j],if i=j then 1 else 0),n+1,n);
(%o6)　$\left[ \matrix{1&0&0&0&0&0&0&0&0&0&0&0&0&0&0\cr
0&1&0&0&0&0&0&0&0&0&0&0&0&0&0\cr
0&0&1&0&0&0&0&0&0&0&0&0&0&0&0\cr
0&0&0&1&0&0&0&0&0&0&0&0&0&0&0\cr
0&0&0&0&1&0&0&0&0&0&0&0&0&0&0\cr
0&0&0&0&0&1&0&0&0&0&0&0&0&0&0\cr
0&0&0&0&0&0&1&0&0&0&0&0&0&0&0\cr
0&0&0&0&0&0&0&1&0&0&0&0&0&0&0\cr
0&0&0&0&0&0&0&0&1&0&0&0&0&0&0\cr
0&0&0&0&0&0&0&0&0&1&0&0&0&0&0\cr
0&0&0&0&0&0&0&0&0&0&1&0&0&0&0\cr
0&0&0&0&0&0&0&0&0&0&0&1&0&0&0\cr
0&0&0&0&0&0&0&0&0&0&0&0&1&0&0\cr
0&0&0&0&0&0&0&0&0&0&0&0&0&1&0\cr
0&0&0&0&0&0&0&0&0&0&0&0&0&0&1\cr
0&0&0&0&0&0&0&0&0&0&0&0&0&0&0}\right] $

將兩個矩陣合併
(%i7)　B:addcol(B,column);
(%o7)　$ \left[ \matrix{1&0&0&0&0&0&0&0&0&0&0&0&0&0&0&-929737936\cr
0&1&0&0&0&0&0&0&0&0&0&0&0&0&0&-970987227\cr
0&0&1&0&0&0&0&0&0&0&0&0&0&0&0&-787514290\cr
0&0&0&1&0&0&0&0&0&0&0&0&0&0&0&-322163533\cr
0&0&0&0&1&0&0&0&0&0&0&0&0&0&0&-926801380\cr
0&0&0&0&0&1&0&0&0&0&0&0&0&0&0&-662236970\cr
0&0&0&0&0&0&1&0&0&0&0&0&0&0&0&-572718201\cr
0&0&0&0&0&0&0&1&0&0&0&0&0&0&0&-499197496\cr
0&0&0&0&0&0&0&0&1&0&0&0&0&0&0&-270712809\cr
0&0&0&0&0&0&0&0&0&1&0&0&0&0&0&-142942483\cr
0&0&0&0&0&0&0&0&0&0&1&0&0&0&0&-994479591\cr
0&0&0&0&0&0&0&0&0&0&0&1&0&0&0&-143064843\cr
0&0&0&0&0&0&0&0&0&0&0&0&1&0&0&-724883274\cr
0&0&0&0&0&0&0&0&0&0&0&0&0&1&0&-285884973\cr
0&0&0&0&0&0&0&0&0&0&0&0&0&0&1&-71532418\cr
0&0&0&0&0&0&0&0&0&0&0&0&0&0&0&4740166124}\right] $

經LLL化簡
(%i8)　B: LLL(B);
0 errors, 0 warnings
(%o8)　$ \left[ \matrix{2&-1&-2&0&-1&0&1&1&2&0&0&0&0&0&0&0\cr
1&0&0&-1&0&-2&1&0&1&0&-1&1&1&0&0&1\cr
-1&0&-1&0&1&-1&0&2&-1&-1&0&1&1&0&0&-1\cr
0&1&2&1&-2&-1&0&1&0&1&-1&0&0&0&0&2\cr
-2&0&3&-1&-1&-1&0&0&1&1&1&0&0&0&0&2\cr
0&1&1&-1&-1&-2&0&2&2&0&0&0&-1&0&0&0\cr
0&0&1&-1&1&-1&0&-2&-1&0&2&0&-2&0&0&0\cr
1&0&-2&0&0&0&1&-1&0&2&0&0&0&1&0&0\cr
1&0&1&0&0&0&1&-1&0&-1&-1&0&-1&0&1&-1\cr
0&0&1&0&1&1&1&0&0&0&1&0&1&0&1&0\cr
1&0&0&-1&1&-1&1&2&1&1&-2&-1&-1&0&0&1\cr
0&-2&1&0&1&0&-1&1&-1&1&0&1&0&1&0&-1\cr
1&0&1&0&0&1&-2&0&1&0&-1&1&-1&0&1&1\cr
1&0&1&0&0&0&1&-1&0&1&-1&1&-1&-1&-1&-1\cr
-1&1&1&0&-1&0&0&-1&-1&2&0&0&1&-1&2&1\cr
-133&-99&-15&528&272&-278&-63&-129&302&78&0&-78&-17&-122&102&-40} \right] $

第10列向量各個數字為0或1且最後一元為0
(%i9)　B[10];
(%o9)　$ \left[ 0,0,1,0,1,1,1,0,0,0,1,0,1,0,1,0 \right] $

去掉最後一元得到解答
(%i10)　x:rest(B[10],-1);
(%o10)　$ \left[ 0,0,1,0,1,1,1,0,0,0,1,0,1,0,1 \right] $

驗證a乘上x是否等於s
(%i11)　is(a.x=s);
(%o11)　$true$

作者: bugmens 時間: 2019-2-17 12:51

4.Lagarias和Odlyzko無法解決的子集合加總問題

上一篇文章提到"在密度$d(a)<0.645$的子集合加總問題幾乎可以(almost all)在多項式時間內解出來"，這裡舉一個無法解決的例子。

請下載LLL.zip，解壓縮後將LLL.mac放到C:\maxima-5.42.2\share\maxima\5.42.2\share目錄下
要先載入LLL.mac才能使用LLL指令
(%i1)　load("LLL.mac");
(%o1)　C:\maxima-5.42.2\share\maxima\5.42.2\share\LLL.mac

物品重量
(%i2)　a:[48,181,278,361,506,639];
(%o2)　$\left[48,181,278,361,506,639 \right]$

物品個數
(%i3)　n:length(a);
(%o3)　$6$

總和
(%i4)　s:1146;
(%o4)　$1146$

解答48+181+278+639=1146
(%i5)　x:[1,1,1,0,0,1];
(%o5)　$ \left[1,1,1,0,0,1 \right] $

將-a和s放在一起
(%i6)　column:transpose(matrix(append(-a,[s])));
(%o6)　$ \left[ \matrix{-48\cr -181\cr -278\cr -361\cr -506\cr -639\cr 1146} \right] $

產生左半邊矩陣
(%i7)　B:genmatrix(lambda([i,j],if i=j then 1 else 0),n+1,n);
(%o7)　$ \left[\matrix{1&0&0&0&0&0\cr
0&1&0&0&0&0\cr
0&0&1&0&0&0\cr
0&0&0&1&0&0\cr
0&0&0&0&1&0\cr
0&0&0&0&0&1\cr
0&0&0&0&0&0} \right]$

將兩個矩陣合併
(%i8)　B:addcol(B,column);
(%o8)　$ \left[\matrix{1&0&0&0&0&0&-48\cr
0&1&0&0&0&0&-181\cr
0&0&1&0&0&0&-278\cr
0&0&0&1&0&0&-361\cr
0&0&0&0&1&0&-506\cr
0&0&0&0&0&1&-639\cr
0&0&0&0&0&0&1146} \right] $

經LLL化簡後的矩陣B找不到向量[1,1,1,0,0,1,0]
(%i9)　B: LLL(B);
(%o9)　$ \left[ \matrix{-2&-1&1&0&0&0&-1\cr
0&-2&0&1&0&0&1\cr
-1&-1&-1&0&1&0&1\cr
0&0&-1&-1&0&1&0\cr
0&0&0&0&1&1&1\cr
-3&2&-1&4&-3&2&2\cr
0&1&-3&5&2&2&-4} \right] $

a的最大值
(%i10)　MAX:apply('max,a);
(%o10)　$639$

此時密度小於0.645
(%i11)　float(n/(log(MAX)/log(2)));
(%o11)　$0.6437994730001645$

若正面找不到答案，改從反面找答案
(%i12)　sprime:apply("+",a)-s;
(%o12)　$867$

反面解答361+506=867
(%i13)　xprime:[0,0,0,1,1,0];
(%o13)　$ \left[0,0,0,1,1,0\right] $

再還原成正確解答
(%i14)　x:1-xprime;
(%o14)　$ \left[1,1,1,0,0,1 \right] $

利用a和s'構造出矩陣B'
(%i17)
Bprime:B$
Bprime[n+1,n+1]:sprime$
Bprime;
(%o17)　$ \left[ \matrix{1&0&0&0&0&0&-48\cr
0&1&0&0&0&0&-181\cr
0&0&1&0&0&0&-278\cr
0&0&0&1&0&0&-361\cr
0&0&0&0&1&0&-506\cr
0&0&0&0&0&1&-639\cr
0&0&0&0&0&0&867} \right] $

經LLL化簡後的矩陣B'找不到[0,0,0,1,1,0,0]向量
(%i18)　LLL(Bprime);
(%o18)　$ \left[ \matrix{-2&-1&1&0&0&0&-1\cr
0&-2&0&1&0&0&1\cr
-1&-1&-1&0&1&0&1\cr
0&0&-1&-1&0&1&0\cr
1&1&0&0&0&1&-1\cr
-3&2&-1&4&-4&1&1\cr
0&0&-5&2&-3&-2&-4}\right] $

作者: bugmens 時間: 2019-2-24 22:03

5.解決子集合加總問題－Coster等人方法

研究上一篇無法解決的範例，正確答案是$48+181+278+639=1146$，對應的向量為$\left[1,1,1,0,0,1,0\right]$，但其中暗藏$ 506+639=1145 $和1146只相差1，對應的向量為$\left[0,0,0,0,1,1,1 \right]$，向量長度$\sqrt{3}$還比正確答案的向量長度還短，讓$LLL$無法找到正確答案。
改善的方法是將$lattice$中的$a$和$s$同乘上大數字$N$後變成長向量，促使$LLL$再化簡成短向量直到$ N(-x_1a_1-x_2a_2-\ldots-x_na_n+s)=0 $為止。最後一列向量改為$\displaystyle \left[\frac{1}{2},\frac{1}{2},\frac{1}{2},\ldots,\frac{1}{2},Ns \right]$，讓原本大數字$N$從門檻$N>\sqrt{n}$降到$\displaystyle N>\frac{1}{2}\sqrt{n}$，這樣的$lattice$可以在密度$d(a)<0.9408$以多項式時間內解出答案。
$ B=\left[ \matrix{\displaystyle 1&0&0&\ldots&0&-Na_1 \cr
0&1&0&\ldots&0&-Na_2 \cr
0&0&1&\ldots&0&-Na_3 \cr
\vdots&\vdots&\vdots&\vdots&\vdots&\vdots \cr
0&0&0&\ldots&1&-Na_n \cr
\frac{1}{2}&\frac{1}{2}&\frac{1}{2}&\ldots&\frac{1}{2}&Ns} \right] $(註1)

設$b_1,b_2,\ldots,b_{n+1}$的線性組合為
$ \displaystyle x_1 b_1+x_2 b_2+\ldots+x_n b_n+1\cdot b_{n+1}=
\matrix{x_1 \left[1,0,0,\ldots,0,-Na_1 \right]+ \cr
x_2 \left[0,1,0,\ldots,0,-Na_2 \right]+ \cr
\ldots \cr
x_n \left[0,0,0,\ldots,1,-Na_n \right]+ \cr
1 \left[\frac{1}{2},\frac{1}{2},\frac{1}{2},\ldots \ldots,\frac{1}{2},Ns \right]}=
\left[x_1+\frac{1}{2},x_2+\frac{1}{2},\ldots,x_n+\frac{1}{2},N(-x_1a_1-x_2a_2-\ldots-x_na_n+s) \right] $
化簡後向量還要再減$\displaystyle \frac{1}{2}$才是正確答案。

參考資料
Matthijs J. Coster, Antoine Joux, Brian A. LaMacchia, Andrew M. Odlyzko, Claus-Peter Schnorr, and Jacques Stern. 1992. Improved low-density subset sum algorithms. Comput. Complex. 2, 2 (December 1992), 111-128.
https://d-nb.info/1156214629/34

註1：
論文上用的是$ B=\left[ \matrix{1&0&0&\ldots&0&Na_1 \cr
0&1&0&\ldots&0&Na_2 \cr
0&0&1&\ldots&0&Na_3 \cr
\vdots&\vdots&\vdots&\vdots&\vdots&\vdots \cr
0&0&0&\ldots&1&Na_n \cr
0&0&0&\ldots&0&Ns} \right] $，$N>\sqrt{n}$，但$LLL$化簡後的向量還要加上絕對值才是答案，所以本文章的$lattice$ $B$仍加上負號

B: LLL(matrix([1,0,0,0,0,0,480],
                  [0,1,0,0,0,0,1810],
                  [0,0,1,0,0,0,2780],
                  [0,0,0,1,0,0,3610],
                  [0,0,0,0,1,0,5060],
                  [0,0,0,0,0,1,6390],
                  [0,0,0,0,0,0,11460]));
$\left[ \matrix{0&0&-1&-1&0&1&0 \cr
-1&1&0&0&1&-1&0 \cr
\color{red}{-1}& \color{red}{-1}& \color{red}{-1}& \color{red}{0}& \color{red}{0}& \color{red}{-1}& \color{red}{0} \cr
-2&-1&1&0&1&1&0 \cr
-3&4&-1&3&-4&1&0 \cr
0&0&0&0&-1&-1&10 \cr
-2&0&3&-7&-4&-3&0}\right]$
B[3];
$ \left[\matrix{-1&-1&-1&0&0&-1&0} \right]$

B: LLL(matrix([1,0,0,0,0,0,-480],
                  [0,1,0,0,0,0,-1810],
                  [0,0,1,0,0,0,-2780],
                  [0,0,0,1,0,0,-3610],
                  [0,0,0,0,1,0,-5060],
                  [0,0,0,0,0,1,-6390],
                  [0,0,0,0,0,0,-11460]));
$\left[ \matrix{0&0&-1&-1&0&1&0 \cr
-1&1&0&0&1&-1&0 \cr
\color{red}{1}&\color{red}{1}&\color{red}{1}&\color{red}{0}&\color{red}{0}&\color{red}{1}&\color{red}{0} \cr
-2&-1&1&0&1&1&0 \cr
-3&4&-1&3&-4&1&0 \cr
0&0&0&0&-1&-1&10 \cr
-2&0&3&-7&-4&-3&0}\right]$
B[3];
$ \left[\matrix{1&1&1&0&0&1&0} \right]$

請下載LLL.zip，解壓縮後將LLL.mac放到C:\maxima-5.42.2\share\maxima\5.42.2\share目錄下
要先載入LLL.mac才能使用LLL指令
(%i1)　load("LLL.mac");
(%o1)　C:\maxima-5.42.2\share\maxima\5.42.2\share\LLL.mac

物品重量
(%i2)　a:[48,181,278,361,506,639];
(%o2)　$\left[48,181,278,361,506,639\right]$

物品個數
(%i3)　n:length(a);
(%o3)　$6$

總和
(%i4)　s:1146;
(%o4)　$1146$

大數字N$\displaystyle (N>\frac{1}{2}\sqrt{n})$
(%i5)　N:ceiling(sqrt(n)/2);
(%o5)　$2$

將-N*a和N*s放在一起
(%i6)　column:transpose(matrix(append(-N*a,[N*s])));
(%o6)　$ \left[\matrix{-96\cr
-362\cr
-556\cr
-722\cr
-1012\cr
-1278\cr
2292} \right] $

產生左半邊矩陣
(%i7)　B:genmatrix(lambda([i,j],if i=n+1 then 1/2 else if i=j then 1 else 0),n+1,n);
(%o7)　$\left[ \matrix{\displaystyle 1&0&0&0&0&0\cr
0&1&0&0&0&0\cr
0&0&1&0&0&0\cr
0&0&0&1&0&0\cr
0&0&0&0&1&0\cr
0&0&0&0&0&1\cr
\frac{1}{2}&\frac{1}{2}&\frac{1}{2}&\frac{1}{2}&\frac{1}{2}&\frac{1}{2}} \right]$

將兩個矩陣合併
(%i8)　B:addcol(B,column);
(%o8)　$\left[\matrix{\displaystyle 1&0&0&0&0&0&-96\cr
0&1&0&0&0&0&-362\cr
0&0&1&0&0&0&-556\cr
0&0&0&1&0&0&-722\cr
0&0&0&0&1&0&-1012\cr
0&0&0&0&0&1&-1278\cr
\frac{1}{2}&\frac{1}{2}&\frac{1}{2}&\frac{1}{2}&\frac{1}{2}&\frac{1}{2}&2292} \right]$

經LLL化簡
(%i9)　B: LLL(B);
(%o9)　$ \left[ \matrix{\displaystyle 0&0&-1&-1&0&1&0\cr
-1&1&0&0&1&-1&0\cr
-1&-1&-1&0&1&0&2\cr
-2&-1&1&0&0&0&-2\cr
\frac{3}{2}&\frac{3}{2}&\frac{3}{2}&\frac{1}{2}&\frac{1}{2}&\frac{3}{2}&0\cr
-3&2&-2&3&-4&2&2\cr
-\frac{1}{2}&\frac{3}{2}&\frac{11}{2}&-\frac{13}{2}&-\frac{5}{2}&-\frac{1}{2}&4} \right] $

第5列向量各個數字為1/2或3/2且最後一元為0
(%i10)　B[5];
(%o10)　$\displaystyle \left[ \displaystyle \frac{3}{2},\frac{3}{2},\frac{3}{2},\frac{1}{2},\frac{1}{2},\frac{3}{2},0 \right] $

同減1/2，去掉最後一元得到解答
(%i11)　x:rest(B[5]-1/2,-1);
(%o11)　$ \left[1,1,1,0,0,1 \right] $

驗證a乘上x是否等於s
(%i12)　is(a.x=s);
(%o12)　$true$

作者: bugmens 時間: 2019-3-3 00:09

6.解決子集合加總問題－Coster等人方法

B: LLL(matrix([1,0,0,0,0,0,-480],
                  [0,1,0,0,0,0,-1810],
                  [0,0,1,0,0,0,-2780],
                  [0,0,0,1,0,0,-3610],
                  [0,0,0,0,1,0,-5060],
                  [0,0,0,0,0,1,-6390],
                  [0,0,0,0,0,0,-11460]));
$\left[ \matrix{0&0&-1&-1&0&1&0 \cr
-1&1&0&0&1&-1&0 \cr
\color{red}{1}&\color{red}{1}&\color{red}{1}&\color{red}{0}&\color{red}{0}&\color{red}{1}&\color{red}{0} \cr
-2&-1&1&0&1&1&0 \cr
-3&4&-1&3&-4&1&0 \cr
0&0&0&0&-1&-1&10 \cr
-2&0&3&-7&-4&-3&0}\right]$
從之前的例子可以發現$-a$和$s$乘上大數字$N$經$LLL$化簡後，除了倒數第2個列向量，其餘列向量最後一元數字皆為0，有效解決$506+639=1145$和$1146$只相差1但不是正確答案的問題。
正確答案$x_i$只能是$0$或$1$，但從第4個列向量開始出現比$2$大或比$-2$小的數字，$x_i$可以乘上稍大的數字($n+1$)變成長向量，讓$LLL$再化簡成短向量，但也不能乘太大的數字($N$)，因為符合的$x_i$只能是0。
第$1,2$個列向量$x_i$還有$-1$，也不是我們想要找的正確答案，可以乘上$-1$倍讓向量數字增加，變成長向量，若$x_i$為$0$或$1$則向量數字維持不變或甚至減少。
$ B=\left[ \matrix{n+1&-1&-1&\ldots&-1&Na_1 \cr
-1&n+1&-1&\ldots&-1&Na_2 \cr
\vdots&\vdots&\vdots&\vdots&\vdots&\vdots \cr
-1&\ldots&-1&n+1&-1&Na_n \cr
-1&\ldots&-1&-1&n+1&-Ns } \right] $，$N\ge n^2$
設$b_1,b_2,\ldots,b_{n+1}$的線性組合為
$ \displaystyle x_1 b_1+x_2 b_2+\ldots+x_n b_n+1\cdot b_{n+1}=
\matrix{ x_1 \left[n+1,-1,-1,\ldots,-1,Na_1 \right]+ \cr
x_2 \left[-1,n+1,-1,\ldots,-1,Na_2 \right]+ \cr
\ldots \cr
x_n \left[-1,\ldots,-1,n+1,-1,Na_n \right]+ \cr
1 \left[-1,\ldots,-1,-1,n+1,-Ns \right] }=$
$\left[ ((n+1)x_1-x_2-\ldots -x_n-1),(-x_1+(n+1)x_2-\ldots -x_n-1),\ldots,(-x_1-x_2-\ldots -x_n+(n+1)),N(x_1a_1+x_2a_2+\ldots +x_na_n-s) \right]$
化簡後向量還要再解聯立方程式才是正確答案
$ \left[ \matrix{n+1&-1&-1&\ldots&-1 \cr
-1&n+1&-1&\ldots&-1 \cr
\vdots&\vdots&\vdots&\vdots&\vdots \cr
-1&\ldots&-1&n+1&-1 \cr
-1&\ldots&-1&-1&n+1 } \right]
\left[ \matrix{x_1 \cr x_2 \cr \vdots \cr x_n \cr 1} \right]=
\left[ \matrix{B[i,1]\cr B[i,2]\cr \vdots \cr B[i,n]\cr B[i,n+1]}\right]$

參考資料
Matthijs J. Coster, Antoine Joux, Brian A. LaMacchia, Andrew M. Odlyzko, Claus-Peter Schnorr, and Jacques Stern. 1992. Improved low-density subset sum algorithms. Comput. Complex. 2, 2 (December 1992), 111-128.
https://d-nb.info/1156214629/34

請下載LLL.zip，解壓縮後將LLL.mac放到C:\maxima-5.42.2\share\maxima\5.42.2\share目錄下
要先載入LLL.mac才能使用LLL指令
(%i1)　load("LLL.mac");
(%o1)　C:\maxima-5.42.2\share\maxima\5.42.2\share\LLL.mac

物品重量
(%i2)　a:[48,181,278,361,506,639];
(%o2)　$\left[48,181,278,361,506,639\right]$

物品個數
(%i3)　n:length(a);
(%o3)　$6$

總和
(%i4)　s:1146;
(%o4)　$1146$

大數字N($N\ge n^2$)
(%i5)　N:n^2;
(%o5)　$36$

將N*a和-N*s放在一起
(%i6)　column:transpose(matrix(append(N*a,[-N*s])));
(%o6)　$ \left[ \matrix{1728\cr 6516\cr 10008\cr 12996\cr 18216\cr 23004\cr -41256} \right] $

產生左半邊矩陣
(%i7)　B:genmatrix(lambda([i,j],if i=j then n+1 else -1),n+1,n+1);
(%o7)　$ \left[ \matrix{7&-1&-1&-1&-1&-1&-1\cr
-1&7&-1&-1&-1&-1&-1\cr
-1&-1&7&-1&-1&-1&-1\cr
-1&-1&-1&7&-1&-1&-1\cr
-1&-1&-1&-1&7&-1&-1\cr
-1&-1&-1&-1&-1&7&-1\cr
-1&-1&-1&-1&-1&-1&7} \right] $

先計算反矩陣，後面解聯立方程式會用到
(%i8)　invertB:invert(B);
(%o8)　$ \left[ \matrix{\displaystyle \frac{1}{4}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}\cr
\frac{1}{8}&\frac{1}{4}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}\cr
\frac{1}{8}&\frac{1}{8}&\frac{1}{4}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}\cr
\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{4}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}\cr
\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{4}&\frac{1}{8}&\frac{1}{8}\cr
\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{4}&\frac{1}{8}\cr
\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{8}&\frac{1}{4}} \right] $

將兩個矩陣合併
(%i9)　B:addcol(B,column);
(%o9)　$ \left[ \matrix{7&-1&-1&-1&-1&-1&-1&1728\cr
-1&7&-1&-1&-1&-1&-1&6516\cr
-1&-1&7&-1&-1&-1&-1&10008\cr
-1&-1&-1&7&-1&-1&-1&12996\cr
-1&-1&-1&-1&7&-1&-1&18216\cr
-1&-1&-1&-1&-1&7&-1&23004\cr
-1&-1&-1&-1&-1&-1&7&-41256} \right] $

經LLL化簡
(%i10)　B: LLL(B);
(%o10)　$ \left[ \matrix{3&3&3&-5&-5&3&3&0\cr
1&1&-7&-7&1&9&1&0\cr
-5&11&3&-5&3&-5&3&0\cr
-17&-9&7&-1&7&7&7&0\cr
1&1&-7&1&1&1&-7&36\cr
-4&-4&20&-20&4&-4&-36&0\cr
-19&21&-11&29&-35&13&-3&0} \right] $

以B第一列向量解聯立方程式，求得x
(%i11)　x:invertB.rest(B[1],-1);
(%o11)　$ \left[ \matrix{1\cr 1\cr 1\cr 0\cr 0\cr 1\cr 1} \right] $

去掉最後一元，將矩陣轉成list，得到解答
(%i12)　x:args(transpose(rest(x,-1)))[1];
(%o12)　$ \left[1,1,1,0,0,1 \right] $

驗證a乘上x是否等於s
(%i13)　is(x.a=s);
(%o13)　$true$

作者: bugmens 時間: 2019-3-10 23:32

7.解決子集合加總問題－Schnorr和Euchner方法

子集合加總問題為$x_1a_1+x_2a_2+\ldots+x_na_n+x_{n+1}s=0$，希望$x_{n+1}$為$-1$，但不同的$a$值可能讓$x_{n+1}$大於1或小於$-1$。故Schnorr和Euchner提出的$lattice$比Coster等人多加一行$ \left[ \matrix{0 \cr 0 \cr \vdots \cr 1} \right] $，讓$x_{n+1}$也列入求向量長度的一元，若$x_{n+1}$大於1或小於$-1$會促使$LLL$化簡$x_{n+1}$為更小的數字以求得更短的向量。
$B=\left[ \matrix{2&0&\ldots&0&na_1&0 \cr
0&2&\ldots&0&na_2&0 \cr
\vdots&\vdots&\vdots&\vdots&\vdots&\vdots \cr
0&0&\ldots&2&na_n&0 \cr
1&1&\ldots&1&ns&1} \right]$
設$b_1,b_2,\ldots,b_{n+1}$的線性組合為
$x_1b_1+x_2b_2+\ldots+x_nb_n+x_{n+1}\cdot b_{n+1}=
\matrix{x_1 \left[2,0,\ldots,0,na_1,0 \right]+ \cr
x_2 \left[0,2,\ldots,0,na_2,0 \right]+ \cr
\ldots \cr
x_n \left[0,0,\ldots,2,na_n,0 \right]+ \cr
x_{n+1} \left[1,1,\ldots,1,ns,1 \right]}=$
$\left[ \matrix{2x_1+x_{n+1}\cr z_1},\matrix{2x_2+x_{n+1}\cr z_2},\ldots,\matrix{2x_n+x_{n+1}\cr z_n},\matrix{n(x_1a_1+x_2a_2+\ldots+x_na_n+x_{n+1}s)\cr z_{n+1}},\matrix{x_{n+1}\cr z_{n+2}} \right]$
化簡後找符合最後一元$|\;z_{n+2}|\;=|\;x_{n+1}|\;=1$，倒數第二元$z_{n+1}=n(x_1a_1+x_2a_2+\ldots+x_na_n+x_{n+1}s)=0$，其餘各元$z_1,z_2,\ldots,z_n \in \lbrace\pm 1\rbrace$的向量，計算$x_i=|\;z_i-z_{n+2}|\;/2$，$i=1,2,\ldots,n$得到正確答案。

參考資料
C. P. Schnorr and M. Euchner, “Lattice Basis Reduction: Improved Practical Algorithms and Solving Subset Sum Problems,” Mathematical Programming, Vol. 66, No. 1-3, 1994, pp. 181-199.
https://pdfs.semanticscholar.org ... a5330b46635eb5a.pdf

請下載LLL.zip，解壓縮後將LLL.mac放到C:\maxima-5.42.2\share\maxima\5.42.2\share目錄下
要先載入LLL.mac才能使用LLL指令
(%i1)　load("LLL.mac");
(%o1)　C:\maxima-5.42.2\share\maxima\5.42.2\share\LLL.mac

物品重量
(%i2)　a:[48,181,278,361,506,639];
(%o2)　$\left[48,181,278,361,506,639 \right]$

物品個數
(%i3)　n:length(a);
(%o3)　$6$

總和
(%i4)　s:1146;
(%o4)　$1146$

將n*a和n*s放在一起
(%i5)　column1:transpose(matrix(append(n*a,[n*s])));
(%o5)　$ \left[ \matrix{288\cr 1086\cr 1668\cr 2166\cr 3036\cr 3834\cr 6876} \right] $

最後一元為1其餘為0的矩陣
(%i6)　column2:genmatrix(lambda([i,j],if i=n+1 then 1 else 0),n+1,1);
(%o6)　$ \left[\matrix{0\cr 0\cr 0\cr 0\cr 0\cr 0\cr 1}\right] $

產生左半邊矩陣
(%i7)　B:genmatrix(lambda([i,j],if i=j then 2 else if i=n+1 then 1 else 0),n+1,n);
(%o7)　$ \left[\matrix{2&0&0&0&0&0\cr
0&2&0&0&0&0\cr
0&0&2&0&0&0\cr
0&0&0&2&0&0\cr
0&0&0&0&2&0\cr
0&0&0&0&0&2\cr
1&1&1&1&1&1} \right] $

將三個矩陣合併
(%i8)　B:addcol(B,column1,column2);
(%o8)　$ \left[ \matrix{2&0&0&0&0&0&288&0\cr
0&2&0&0&0&0&1086&0\cr
0&0&2&0&0&0&1668&0\cr
0&0&0&2&0&0&2166&0\cr
0&0&0&0&2&0&3036&0\cr
0&0&0&0&0&2&3834&0\cr
1&1&1&1&1&1&6876&1} \right] $

經LLL化簡
(%i9)　B: LLL(B);
(%o9)　$\left[ \matrix{-1&-1&-1&1&1&-1&0&1\cr
0&0&-2&-2&0&2&0&0\cr
-1&3&1&-1&1&-1&0&-1\cr
-4&-2&2&-2&0&2&0&-2\cr
1&1&-1&-1&-1&1&6&1\cr
-5&5&-3&7&-9&3&0&1\cr
-1&-1&5&-7&-1&-1&0&9} \right]$

化簡後第一列向量符合(1)最後一元絕對值為1，(2)倒數第二元為0，(3)其餘的元為$-1$或$+1$
(%i10)　z:B[1];
(%o10)　$ \left[-1,-1,-1,1,1,-1,0,1 \right] $

計算xi=abs(z[ i ]-z[n+2])/2
(%i11)　x:abs(z-z[n+2])/2;
(%o11)　$\left[ \displaystyle 1,1,1,0,0,1,\frac{1}{2},0 \right]$

取前$n$元得到正確答案
(%i12)　x:rest(x,-2);
(%o12)　$ \left[1,1,1,0,0,1 \right] $

驗證a乘上x是否等於s
(%i13)　is(a.x=s);
(%o13)　$true$

作者: bugmens 時間: 2019-3-17 15:56

8.解決子集合加總問題－Schnorr和Shevchenko方法

Schnorr和Shevchenko假設正確答案有偶數個1且1的個數有$\displaystyle \frac{n}{2}$個$\displaystyle \left(\sum_{i=1}^n x_i=\frac{n}{2}\right)$，在$lattice$多加一行$\left[ \matrix{N\cr N \cr \vdots \cr \frac{n}{2}N} \right]$，當$LLL$計算$lattice$向量的線性組合時試圖找出讓$N(x_1+x_2+\ldots+x_n+x_{n+1}\frac{n}{2})=0$的解。
$ B=\left[ \matrix{2&0&\ldots&0&Na_1&0&N \cr
0&2&\ldots&0&Na_2&0&N \cr
\vdots&\vdots&&\vdots&\vdots&\vdots&\vdots\cr
0&0&\ldots&2&Na_n&0&N \cr
1&1&\ldots&1&Ns&1&\frac{n}{2}N} \right] $，$N>\sqrt{n}$
設$b_1,b_2,\ldots,b_{n+1}$的線性組合為
$x_1b_1+x_2b_2+\ldots+x_nb_n+x_{n+1}b_{n+1}=
\matrix{x_1 \left[2,0,\ldots,0,Na_1,0,N \right]+\cr
x_2 \left[0,2,\ldots,0,Na_2,0,N \right]+\cr
\ldots \cr
x_n \left[0,0,\ldots,2,Na_n,0,N \right]+\cr
x_{n+1} \left[1,1,\ldots,1,Ns,1,\frac{n}{2}N \right]} $
$ \left[2x_1+x_{n+1},2x_2+x_{n+1},\ldots,2x_n+x_{n+1},N(x_1a_1+x_2a_2+\ldots+x_na_n+x_{n+1}s),x_{n+1},N(x_1+x_2+\ldots+x_n+x_{n+1}\frac{n}{2}) \right] $
化簡後找符合最後一元為0，倒數第二元絕對值為1，倒數第三元為0，其餘的元為$-1$或$+1$的向量，計算$x_i=|\;z_i−z_{n+2}|\;/2$，$i=1,2,\ldots,n$得到正確答案。

參考資料
C.P.Schnorr and T.Shevchenko,"Solving Subset Sum Problems of Densioty close to 1 by "randomized" BKZ-reduction", IACR Cryptology ePrint Archive 2012: 620 (2012).
https://eprint.iacr.org/2012/620.pdf

請下載LLL.zip，解壓縮後將LLL.mac放到C:\maxima-5.42.2\share\maxima\5.42.2\share目錄下
要先載入LLL.mac才能使用LLL指令
(%i1)　load("LLL.mac");
(%o1)　C:\maxima-5.42.2\share\maxima\5.42.2\share\LLL.mac

物品重量
(%i2)　a:[48,181,278,361,506,639];
(%o2)　$\left[48,181,278,361,506,639\right]$

物品個數
(%i3)　n:length(a);
(%o3)　$6$

大數字N($N>\sqrt{n}$)
(%i4)　N:ceiling(sqrt(n));
(%o4)　$3$

總和改為1193，$48+506+639=1193$，正確答案$x=\left[1,0,0,0,1,1 \right]$有3個1且1的個數有$\frac{6}{2}=3$個
(%i5)　s:1193;
(%o5)　$1193$

將N*a和N*s放在一起
(%i6)　column1:transpose(matrix(append(N*a,[N*s])));
(%o6)　$ \left[ \matrix{144\cr 543\cr 834\cr 1083\cr 1518\cr 1917\cr 3579} \right] $

最後一元為1其餘為0的矩陣
(%i7)　column2:genmatrix(lambda([i,j],if i=n+1 then 1 else 0),n+1,1);
(%o7)　$ \left[ \matrix{0\cr 0\cr 0\cr 0\cr 0\cr 0\cr 1} \right] $

最後一元為n/2*N其餘為N的矩陣
(%i8)　column3:genmatrix(lambda([i,j],if i=n+1 then n/2*N else N),n+1,1);
(%o8)　$ \left[ \matrix{3\cr 3\cr 3\cr 3\cr 3\cr 3\cr 9} \right] $

產生左半邊矩陣
(%i9)　B:genmatrix(lambda([i,j],if i=j then 2 else if i=n+1 then 1 else 0),n+1,n);
(%o9)　$\left[ \matrix{2&0&0&0&0&0\cr
0&2&0&0&0&0\cr
0&0&2&0&0&0\cr
0&0&0&2&0&0\cr
0&0&0&0&2&0\cr
0&0&0&0&0&2\cr
1&1&1&1&1&1} \right]$

將四個矩陣合併
(%i10)　B:addcol(B,column1,column2,column3);
(%o10)　$\left[ \matrix{2&0&0&0&0&0&144&0&3\cr
0&2&0&0&0&0&543&0&3\cr
0&0&2&0&0&0&834&0&3\cr
0&0&0&2&0&0&1083&0&3\cr
0&0&0&0&2&0&1518&0&3\cr
0&0&0&0&0&2&1917&0&3\cr
1&1&1&1&1&1&3579&1&9} \right]$

經LLL化簡
(%i11)　B: LLL(B);
0 errors, 0 warnings
(%o11)　$ \left[ \matrix{-1&1&1&1&-1&-1&0&1&0\cr
1&-1&1&1&-3&1&0&1&0\cr
-1&1&-1&-1&-1&1&0&1&-3\cr
0&-4&0&2&0&0&-3&0&-3\cr
-3&-3&3&1&1&-1&3&-1&-3\cr
-3&1&-5&5&-1&3&-3&-5&0\cr
-5&1&9&-7&-1&5&-9&-7&3} \right] $

化簡後第一列向量符合(1)最後一元為0，(2)倒數第二元絕對值為1，(3)倒數第三元為0，(4)其餘的元為-1或+1
(%i12)　z:B[1];
(%o12)　$ \left[-1,1,1,1,-1,-1,0,1,0 \right] $

計算xi=abs(z[ i ]-z[n+2])/2
(%i13)　x:abs(z-z[n+2])/2;
(%o13)　$ \displaystyle \left[1,0,0,0,1,1,\frac{1}{2},0,\frac{1}{2} \right] $

取前n元得到正確答案
(%i14)　x:rest(x,-3);
(%o14)　$ \left[1,0,0,0,1,1 \right] $

驗證a乘上x是否等於s
(%i15)　is(a.x=s);
(%o15)　$true$

歡迎光臨 Math Pro 數學補給站 (https://math.pro/db/)

論壇程式使用 Discuz! 6.1.0

產生公鑰	範例
選擇一組數列\(w=\{\; w_1,w_2,\ldots,w_n \}\;\)	\(w=\{\;2,7,11,21,42,89,180,354 \}\;\)
驗證是否為超遞增數列 \(\displaystyle w_i>\sum_{j=1}^{i-1}w_j \)，\(i=2,3,\ldots,n\)	\(7>2\) \(11>7+2=9\) \(21>11+7+2=20\) \(42>21+11+7+2=41\) \(89>42+21+11+7+2=83\) \(354>89+42+21+11+7+2=172\) \(w\)的確是超遞增數列
選一個比全部\(w\)總和還大的數字\(q\)	\(q=881\)，\(\displaystyle q>\sum_{i=1}^n w_i=706\)
選一個和\(q\)互質的隨機整數\(r\)	\(r=588\)，\(gcd(588,881)=1\)
計算\(\beta_i=rw_i \pmod{q}\)	\((2 * 588)\pmod{881} = 295\) \((7 * 588)\pmod{881} = 592\) \((11 * 588)\pmod{881} = 301\) \((21 * 588)\pmod{881} = 14\) \((42 * 588)\pmod{881} = 28\) \((89 * 588)\pmod{881} = 353\) \((180 * 588)\pmod{881} = 120\) \((354 * 588)\pmod{881} = 236\)
\(\beta=\{\;\beta_1,\beta_2,\ldots,\beta_n \}\;\)為公鑰 \( (w,q,r) \)為密鑰	\(\beta=\{\;295, 592, 301, 14, 28, 353, 120, 236\}\;\)為公鑰 \((w,881,588)\)為密鑰

加密	範例
加密\(n\)位元長度的訊息 \(\alpha=(\alpha_1,\alpha_2,\ldots,\alpha_n)\)，\(\alpha_i \in \{\;0,1 \}\;\) 其中\(\alpha_i\)是訊息的第\(i\)個位元	加密8位元長度的訊息"a" "a"的ASCII碼為97，轉成二進位01100001 \(\alpha=\{\;0,1,1,0,0,0,0,1 \}\;\)
計算\( \displaystyle c=\sum_{i=1}^{n}\alpha_i \beta_i \) 得到密文\(c\)	計算\(c=\) \(0 * 295\) \(+ 1 * 592\) \(+ 1 * 301\) \(+ 0 * 14\) \(+ 0 * 28\) \(+ 0 * 353\) \(+ 0 * 120\) \(+ 1 * 236\) \(= 1129\) 得到密文\(c=1129\)

解密	範例
計算\(s\equiv r^{-1}\pmod{q}\) 　因為\(r\)和\(q\)互質，\( sr\equiv 1\pmod{q} \) 存在整數\(k\)使得\( sr=kq+1 \)，\(1=-kq+sr\) 利用輾轉相除法求出符合上式的\(s\)和\(k\)	設\(q=881\)，\(r=588\) 輾轉相除法 \(881=588\times 1+293\) \(293=881-588\) \(293=q-r\) 　 \(588=293\times 2+2\) \(2=588-293\times 2\) \(2=r-(q-r)\cdot 2=-2q+3r\) 　 \(293=2 \times 146+1\) \(1=293-2\times 146=(q-r)-(-2q+3r)\cdot 146=293q-439r\) \(1=-kq+sr=293q-439r\) \(s \equiv -439 \equiv 442 \pmod{881}\)
計算\(c' \equiv cs \pmod{q}\) 　 \(\displaystyle c'\equiv cs \equiv \sum_{i=1}^n \alpha_i \beta_i s\pmod{q}\) 因為\(rs\pmod{q}\equiv 1\)和\(\beta_i\equiv rw_i\pmod{q}\) 得到\(\beta_is \equiv w_i rs\equiv w_i \pmod{q}\) \(\displaystyle c'\equiv \sum_{i=1}^n \alpha_i w_i \pmod{q}\)	\(c'\equiv 1129*442 \equiv 372 \pmod{881}\)
從\(w\)選出最大元素\(w_k\) 若\( w_k>c' \)則\(\alpha_k=0\) 若\( w_k \le c' \)則\( \alpha_k=1 \)，將\(c'\)減掉\( w_k \times \alpha_k \) 重複相同步驟直到\(c'=0\)為止(	\(354 \le 372\)，\(\alpha_8=1\)，\(c'=372-354=18\) \(180>18\)，\(\alpha_7=0\) \(89>18\)，\(\alpha_6=0\) \(42>18\)，\(\alpha_5=0\) \(21>18\)，\(\alpha_4=0\) \(11\le 18\)，\(\alpha_3=1\)，\(c'=18-11=7\) \(7\le 7\)，\(\alpha_2=1\)，\(c'=7-7=0\) \(2>0\)，\(\alpha_1=0\) \(\alpha=\{\;0,1,1,0,0,0,0,1 \}\;\)，轉成十進位97，ASCII碼為"a"