Mathematik
Refine
Year of publication
Document Type
- Article (112)
- Doctoral Thesis (76)
- Preprint (47)
- diplomthesis (39)
- Book (25)
- Report (22)
- Conference Proceeding (18)
- Bachelor Thesis (8)
- Contribution to a Periodical (8)
- Diploma Thesis (8)
Has Fulltext
- yes (376)
Is part of the Bibliography
- no (376) (remove)
Keywords
- Kongress (6)
- Kryptologie (5)
- Mathematik (5)
- Stochastik (5)
- Doku Mittelstufe (4)
- Doku Oberstufe (4)
- Online-Publikation (4)
- Statistik (4)
- Finanzmathematik (3)
- LLL-reduction (3)
Institute
- Mathematik (376)
- Informatik (55)
- Präsidium (22)
- Physik (6)
- Psychologie (6)
- Geschichtswissenschaften (5)
- Sportwissenschaften (5)
- Biochemie und Chemie (3)
- Biowissenschaften (3)
- Geographie (3)
We introduce algorithms for lattice basis reduction that are improvements of the famous L3-algorithm. If a random L3-reduced lattice basis b1,b2,...,bn is given such that the vector of reduced Gram-Schmidt coefficients ({µi,j} 1<= j< i<= n) is uniformly distributed in [0,1)n(n-1)/2, then the pruned enumeration finds with positive probability a shortest lattice vector. We demonstrate the power of these algorithms by solving random subset sum problems of arbitrary density with 74 and 82 many weights, by breaking the Chor-Rivest cryptoscheme in dimensions 103 and 151 and by breaking Damgard's hash function.
Eine nichtgeometrische Konstruktion der Spektren P(n) und multiplikative Automorphismen von K(n)
(1995)
Ziel dieser Arbeit war es, ein sicheres und trotzdem effizientes Preprocessing zu finden. Nach den zurückliegenden Untersuchungen können wir annehmen, dies erreicht zu haben. Wir haben gezeigt, daß eine minimale Workload von Attacken von 272 mit nur 16 Multiplikationen pro Runde und 13 gespeicherten Paaren (ri, xi) erreicht werden kann. Mit der in Abschnitt 12.3 erklärten Variation - der Wert rº k geht nicht in die Gleichungen mit ein - erreichen wir sogar eine Sicherheit von 274. In diesem Fall können wir die Anzahl der gespeicherten Paare auf 12 verringern. Auch von der in Abschnit 12.5 besprochenen Variation erwarten wir eine Erhöhung der Sicherheit. Ergebnisse dazu werden bald vorliegen. Folgender Preprocessing Algorithmus erscheint z.B. nach unserem derzeitigen Wissensstand geeignet: Setze k = 12, l0 = 7, l1 = 3, d0 = 4, d1 = 5, h = 4, ¯h = 1. Initiation: lade k Paare (r0 0, x00 ) . . . , (r0 k 1, x0 k 1) mit x0i = ®r0 i mod p. º := 1. º ist die Rundennummer 1. Wähle l1 2 verschiedene Zufallszahlen a(3, º), . . . , a(l1, º) 2 {º + 1 mod k, . . . , º 2 mod k} a(1, º) := º mod k, a(2, º) := º 1 mod k W¨ahle l1 2 verschiedene Zufallszahlen f(3, º), . . . , f(l1, º) 2 {0, . . . , d1 1}, f(1, º) zuf¨allig aus {h, . . . , d1 1} und f(2, º) zuf¨allig aus {¯h, . . . , d1 1} rº k := rº ºmodk + l1 Xi=1 2f(i,º)rº 1 a(i,º) mod q xk = xºº modk · l1 Yi=1 (xº 1 a(i,º))2f(i,º) mod p 2. w¨ahle l0 1 verschiedene Zufallszahlen b(2, º), . . . , b(l0, º) 2 {º + 1 mod k, . . . , º 1 mod k} b(1, º) := º mod k W¨ahle l0 verschiedene Zufallszahlen g(1, º), . . . , g(l0, º) 2 {0, . . . , d0 1} rº ºmodk := l0 Xi=1 2g(i,º)rº 1 b(i,º) mod q xºº modk = l0 Yi=1 (xº 1 b(i,º))2g(i,º) mod p 3. verwende (rº k, xº k) f¨ur die º te Signatur (eº, yº) gem¨aß yº = rº k + seº mod q 4. º := º + 1 GOTO 1. f¨ur die n¨achste Signatur Die Zufallszahlen a(3, º), . . . , a(l, º), b(2, º), . . . , b(l, º), f(1, º), . . . , f(l, º) und g(1, º), . . . , g(l, º) werden unabhängig gewählt. Dies ist selbstverständlich nur ein Beispiel. Unsere Untersuchungen sind noch nicht abgeschlossen. Wir glauben aber nicht, daß feste Werte a(i, º) und b(i, º) ein effizientes Preprocessing definieren. Wir haben einige Variationen mit solchen weniger randomisierten Gleichungen studiert und immer effiziente Attacken gefunden.
Wir behandeln Kettenbruchentwicklungen in beliebiger Dimension. Wir geben einen Kettenbruchalgorithmus an, der für beliebige Dimension n simultane diophantische Approximationen berechnet, die bis auf den Faktor 2 exp (n+2)/4 optimal sind. Für einen reellen Eingabevektor x := (x1,...,X n-1, 1) berechnet der Algorithmus eine Folge ganzzahliger Vektoren ....., so daß für i =1, ...., n-1 : | q exp (k) xi -pi exp (k)| <= 2 exp (n+2)/4 sqrt (1 + xi exp 2) / q exp (1/n-1). Nach Sätzen von Dirichlet und Borel ist die Schranke optimal in dem Sinne, als daß der Exponent 1/(n-1) im allgemeinen nicht erhöht werden kann. Der Algorithmus konstruiert eine Folge von Gitterbasen des Zn, welche die Gerade x R approximieren. Für gegebenes E > 0 findet der Algorithmus entweder eine Relation zu x, das heißt einen ganzzahligen zu x orthogonalen Vektor (ungleich Null), mit euklidischer Länge kleiner oder gleich E exp -1, oder er schließt Relationen zu x mit euklidischer Länge kleiner als E exp -1 aus. Der Algorithmus führt in der Dimension n und |log E| polynomial viele arithmetische Operationen auf rellen Zahlen in exakter Arithmetik aus. Für rationale Eingaben x := (p1, ....., pn)/pn, E>0 mit p1,.....,pn Teil von Z besitzt der Algorithmus polynomiale Bitkomplexität in O........ Eine Variante dieses Algorithmus konstruiert für Eingabevektoren x einen (von x nicht notwendigerweise verschiedenen) Nahebeipunkt x' zu x und eine kurze Relation zu x'. Im Falle x<>x können wir die Existenz von Relationen kleiner als (2E)exp -1 für Punkte in einer kleinen offenen Umgebung um x' ausschließen. Wir erhalten in diesem Sinne eine stetige untere Schranke für die Länge der kürzesten Relation zu Punkten in dieser Umgebung. Die für x' berechnete Relation ist bis auf einen in der Dimension n exponentiellen Faktor kürzeste Relation für x'. Zur Implementierung des Kettenbruchalgorithmus stellen wir ein numerisch stabiles Verfahren vor und berichten über experimentelle Ergebnisse. Wir geben untere Schranken für die Approximierbarkeit kürzester Relationen in der Maximum-Norm und minimaler diophantischer Approximationen an: Unter der Annahme, daß die Klasse NP nicht in der deterministischen Zeitklasse O(n exp poly log n) enthalten ist, zeigen wir: Es existiert kein Algorithmus, der für rationale Eingabevektoren x polynomial in der Bitlänge bin(x) von x ist und die in der Maximum-Norm kürzeste Relation bis auf einen Faktor 2 exp (log 0.5 - zeta bin(x)) approximiert. Dabei ist zeta eine beliebig kleine positive Konstante. Wir übertragen dieses Resultat auf das Problem, zu gegebenen rationalen Zahlen x1,....,xn-1 und einem rationalen E > 0 gute simultane diophantische Approximationen zu finden, das heißt rationale Zahlen p1/q,...; (p n-1/)q mit möglichst kleinem Hauptnenner q zu konstruieren, so daß max 1 <=i <= n-1 |q xi - pi| <= E. Wir zeigen unter obiger Annahme, daß kein Algorithmus existiert, der für gegebene rationale Zahlen x1,........,x n-1 und natürlicher Zahl N polynomial-Zeit in der Bitlänge bin(x) von x ist und simultane diophantische Approximationen berechnet, so daß max 1 <=i <= n-1 |q xi - pi| für q gehört zu [1, N] bis auf den Faktor 2 exp (log 0.5 - zeta bin(x)) minimal ist. Hierbei ist zeta wieder eine beliebig kleine positive Konstante.
Korrektur zu: C.P. Schnorr: Security of 2t-Root Identification and Signatures, Proceedings CRYPTO'96, Springer LNCS 1109, (1996), pp. 143-156 page 148, section 3, line 5 of the proof of Theorem 3. Die Korrektur wurde präsentiert als: "Factoring N via proper 2 t-Roots of 1 mod N" at Eurocrypt '97 rump session.
We analyse a continued fraction algorithm (abbreviated CFA) for arbitrary dimension n showing that it produces simultaneous diophantine approximations which are up to the factor 2^((n+2)/4) best possible. Given a real vector x=(x_1,...,x_{n-1},1) in R^n this CFA generates a sequence of vectors (p_1^(k),...,p_{n-1}^(k),q^(k)) in Z^n, k=1,2,... with increasing integers |q^{(k)}| satisfying for i=1,...,n-1 | x_i - p_i^(k)/q^(k) | <= 2^((n+2)/4) sqrt(1+x_i^2) |q^(k)|^(1+1/(n-1)) By a theorem of Dirichlet this bound is best possible in that the exponent 1+1/(n-1) can in general not be increased.
Given x small epsilon, Greek Rn an integer relation for x is a non-trivial vector m small epsilon, Greek Zn with inner product <m,x> = 0. In this paper we prove the following: Unless every NP language is recognizable in deterministic quasi-polynomial time, i.e., in time O(npoly(log n)), the ℓinfinity-shortest integer relation for a given vector x small epsilon, Greek Qn cannot be approximated in polynomial time within a factor of 2log0.5 − small gamma, Greekn, where small gamma, Greek is an arbitrarily small positive constant. This result is quasi-complementary to positive results derived from lattice basis reduction. A variant of the well-known L3-algorithm approximates for a vector x small epsilon, Greek Qn the ℓ2-shortest integer relation within a factor of 2n/2 in polynomial time. Our proof relies on recent advances in the theory of probabilistically checkable proofs, in particular on a reduction from 2-prover 1-round interactive proof-systems. The same inapproximability result is valid for finding the ℓinfinity-shortest integer solution for a homogeneous linear system of equations over Q.
We study the approximability of the following NP-complete (in their feasibility recognition forms) number theoretic optimization problems: 1. Given n numbers a1 ; : : : ; an 2 Z, find a minimum gcd set for a1 ; : : : ; an , i.e., a subset S fa1 ; : : : ; ang with minimum cardinality satisfying gcd(S) = gcd(a1 ; : : : ; an ). 2. Given n numbers a1 ; : : : ; an 2 Z, find a 1-minimum gcd multiplier for a1 ; : : : ; an , i.e., a vector x 2 Z n with minimum max 1in jx i j satisfying P n...
Die zentrale Frage dieser Studie lautet: Wann ist eine stetige Funktion auf einem kompakten Raum, welche Werte in einem lokalkonvexen Raum annimmt, (Pettis-)integrierbar?
Im ersten Kapitel wird definiert, was konvexe Kompaktheit ist. Es wird das Pettis-Integral vorgestellt, und der Zusammenhang zwischen der konvexen Kompaktheitseigenschaft (oder ccp) und dem Pettis-Integral wird erläutert. Außerdem stellt dieses Kapitel dar, inwiefern die ccp aus stärkeren Eigenschaften lokalkonvexer Räume folgt oder schwächere impliziert. Das zweite Kapitel beweist hauptsächlich den Satz von Krein, der einen Zusammenhang zwischen Vollständigkeit unter der Mackey-Topologie und der ccp unter der schwachen Topologie herstellt. Das dritte Kapitel erläutert mit Gegenbeispielen, inwiefern die in Kapitel 1 vorgestellten Vollständigkeitseigenschaften lokalkonvexer Räume notwendig gegeneinander abgegrenzt sind. Das vierte Kapitel stellt zuerst das Bochner-Integral und das starke OperatorIntegral vor, um dann die starke konvexe Kompaktheitseigenschaft oder sccp einzufuhren, eine Eigenschaft, welche der ccp verwandt ist. Es wird fur einen Raum beispielhaft bewiesen, daß er diese Eigenschaft besitzt. Zuletzt wird der Zusammenhang von sccp und ccp ausfuhrlicher dargestellt.
Diese Arbeit wendet sich an Leser, denen die Grundlagen der Theorie lokalkonvexer Räume schon vertraut sind. Insbesondere ist Vertrautheit mit den Begriffen tonneliert, ultrabornologisch, bornologisch, polare Topologie unterstellt. Man findet eine kurze und einfach verständliche Einfuhrung im Werk [RR]. Alle über diese Grundlagen hinausgehenden Resultate werden in dieser Arbeit mit Beweis ausgefuhrt, oder es wird mit Angabe der Fundstelle auf die Literatur verwiesen.
In der vorliegenden Arbeit untersuchen wir die Verteilung der Nullstellen Dirichletscher L-Reihen auf oder in der Nähe der kritischen Geraden. Diese Funktionen und ihre Nullstellen stehen im Mittelpunkt des Interesses bei einer Vielzahl klassischer zahlentheoretischer Fragestellungen; beispielsweise besagt die Verallgemeinerte Riemannsche Vermutung, daß sämtliche Nullstellen dieser Funktionen auf der kritischen Geraden liegen. Unsere Ergebnisse gehen unter anderem über die besten bislang bekannten Abschätzungen - für den Anteil der Nullstellen der Dirichletschen L-Reihen, die auf der kritischen Geraden liegen, - für den Anteil einfacher beziehungsweise m-facher Nullstellen sowie - über Nullstellen in der Nähe der kritischen Geraden hinaus. Wir setzen hiermit Arbeiten von A. Selberg, N. Levinson, J. B. Conrey und anderen fort und verallgemeinern Ergebnisse, die für die Riemannsche #-Funktion gültig sind, auf alle Dirichletschen LReihen beziehungsweise verbessern bisherige Resultate. Nach einer ausführlicheren Darstellung der Hintergründe zeigen wir einen Satz über Mittelwerte "geglätteter" L-Reihen, d.h. mit einem geeigneten Dirichlet-Polynom multiplizierte L-Reihen. Solche Mittelwertsätze stellen ein wesentliches Hilfsmittel zur Untersuchung der Nullstellenverteilung dar. Die in unserem Hauptsatz gegebene asymptotische Darstellung dieses Mittelwertes können wir dann nutzen, um die genannten Ergebnisse herzuleiten.
In this short note on my talk I want to point out the mathematical difficulties that arise in the study of the relation of Wightman and Euclidean quantum field theory, i.e., the relation between the hierarchies of Wightman and Schwinger functions. The two extreme cases where the reconstructed Wightman functions are either tempered distributions - the well-known Osterwalder-Schrader reconstruction - or modified Fourier hyperfunctions are discussed in some detail. Finally, some perpectives towards a classification of Euclidean reconstruction theorems are outlined and preliminary steps in that direction are presented.
Given a real vector alpha =(alpha1 ; : : : ; alpha d ) and a real number E > 0 a good Diophantine approximation to alpha is a number Q such that IIQ alpha mod Zk1 ", where k \Delta k1 denotes the 1-norm kxk1 := max 1id jx i j for x = (x1 ; : : : ; xd ). Lagarias [12] proved the NP-completeness of the corresponding decision problem, i.e., given a vector ff 2 Q d , a rational number " ? 0 and a number N 2 N+ , decide whether there exists a number Q with 1 Q N and kQff mod Zk1 ". We prove that, unless ...
We address to the problem to factor a large composite number by lattice reduction algorithms. Schnorr has shown that under a reasonable number theoretic assumptions this problem can be reduced to a simultaneous diophantine approximation problem. The latter in turn can be solved by finding sufficiently many l_1--short vectors in a suitably defined lattice. Using lattice basis reduction algorithms Schnorr and Euchner applied Schnorrs reduction technique to 40--bit long integers. Their implementation needed several hours to compute a 5% fraction of the solution, i.e., 6 out of 125 congruences which are necessary to factorize the composite. In this report we describe a more efficient implementation using stronger lattice basis reduction techniques incorporating ideas of Schnorr, Hoerner and Ritter. For 60--bit long integers our algorithm yields a complete factorization in less than 3 hours.
We introduce the relationship between incremental cryptography and memory checkers. We present an incremental message authentication scheme based on the XOR MACs which supports insertion, deletion and other single block operations. Our scheme takes only a constant number of pseudorandom function evaluations for each update step and produces smaller authentication codes than the tree scheme presented in [BGG95]. Furthermore, it is secure against message substitution attacks, where the adversary is allowed to tamper messages before update steps, making it applicable to virus protection. From this scheme we derive memory checkers for data structures based on lists. Conversely, we use a lower bound for memory checkers to show that so-called message substitution detecting schemes produce signatures or authentication codes with size proportional to the message length.
In der vorliegenden Diplomarbeit beschäftigen wir uns mit kryptographisch sicheren Pseudozufallsgeneratoren. Diese e±zienten Algorithmen erzeugen zu zufälliger Eingabe deterministisch eine längere Bitfolge, die praktisch von einer Folge zufälliger Münzwürfe nicht unterscheidbar ist. Wir geben die Definitionen von A. Yao sowie M. Blum und S. Micali, beweisen die Äquivalenz und charakterisieren den Unterschied zur klassischen Sichtweise von Zufallsgeneratoren. Mit der Blum-Micali-Konstruktion zeigen wir, wie man aus einer Oneway-Permutation und zugehörigem Hardcore-Prädikat einen kryptographisch sicheren Pseudozufallsgenerator konstruiert: Man wendet auf einen zufälligen Startwert iterativ die Oneway-Funktion an und gibt jeweils das Hardcore-Prädikat des Urbilds aus. Wir stellen das allgemeine Hardcore- Prädikat inneres Produkt modulo 2 von L.A. Levin und O. Goldreich vor und beweisen mit Hilfe des XOR-Lemmas von U.V. Vazirani und V.V. Vazirani die Verallgemeinerung zu einer Hardcore-Funktion, die statt eines Prädikats mehrere Bits ausgibt. Man geht davon aus, daß die Verschlüsselungsfunktionen des RSA- und des Rabin-Public- Key-Kryptosystems Oneway-Permutationen sind. Basierend auf dem Rabin-System haben L. Blum, M. Blum und M. Shub den x2-mod-N-Generator aufgebaut, W. Alexi, B. Chor, O. Goldreich und C.P. Schnorr haben den RSA-Generator konstruiert und den Sicherheitsbeweis zum x2-mod-N-Generator verbessert. Diese Generatoren basieren auf der Blum-Micali-Konstruktion mit dem Hardcore-Prädikat des untersten Bits. Durch neue Ideen können wir die beweisbare Sicherheit der Generatoren deutlich erhöhen, so daß in der Praxis kleinere Schlüssellängen genügen. Bisher war zum Beispiel für den x2-mod-N-Generator bekannt, daß man mit einem Algorithmus A, der das unterste Bit der Wurzel modulo einer n-Bit- Blumzahl mit Wahrscheinlichkeit 1 2 + ² in Zeit |A| = ¡n3¢ berechnet, den Modul in Zeit O¡n3² 9|A|¢ mit Wahrscheinlichkeit ²2 64 faktorisieren kann. Wir verbessern die Laufzeit zu O¡n² 4 log2(n² 1)|A|¢ und Wahrscheinlichkeit 1 9 . Diese neuen Resultate wurden auf der Eurocrypt-Konferenz im Mai 1997 in Konstanz vorgestellt, D.E. Knuth hat sie bereits in die neue Auflage seines Standardwerks The Art of Computer Programming aufgenommen.
Der Begriff der editierfreundlichen Kryptographie wurde von Mihir Bellare, Oded Goldreich und Shafi Goldwasser 1994 bzw. 1995 eingeführt. Mit einem editierfreundlicher Verschlüsselungs- oder Unterschriftenverfahren kann man aus einer Verschlüsselung bzw. Unterschrift zu einer Nachricht schnell eine Verschlüsselung oder Unterschrift zu einer ähnlichen Nachricht erstellen. Wir geben eine Übersicht über die bekannten editierfreundlichen Verfahren und entwickeln sowohl ein symmetrisches als auch ein asymmetrisches editierfreundliches Unterschriftenverfahren (IncXMACC und IncHSig). Wir zeigen, wie man mit editierfreundlichen Schemata überprüfen kann, ob die Implementierung einer Datenstruktur korrekt arbeitet. Basierend auf den Ideen der editierfreundlichen Kryptographie entwickeln wir effiziente Verfahren für spezielle Datenstrukturen. Diese Ergebnisse sind in zwei Arbeiten [F97a, F97b] zusammengefaßt worden.