Về câu nghi vấn nắm tay của yhe:
tại sao nó phải là tiêu cực?
đọc theo nghĩa đen và với "nó" liên quan đến số lượng $A_i$ và $B_i$.
Bộ phương trình thứ hai thực sự là (hoặc có thể đổi thành) $k_i+{A_i}\,d+B_i\equiv0\pmod n$ ở đâu $A_i=-s_i^{-1}\,r_i\bmod n$ và $B_i=-s_i^{-1}\,H(m)\bmod n$. Các $\bmod n$ được ngụ ý. Vì vậy, trong này $A_i$ và $B_i$ là không âm.
Đó là theo định nghĩa của $\bmod$ nhà điều hành:
- $x\bmod n$ là $z$ trong phạm vi $[0,n)$ với $x\equiv z\pmod n$.
- $x^{-1}\bmod n$ là $z$ trong phạm vi $[0,n)$ với $x\,z\equiv1\pmod n$
- $-x^{-1}\,y\bmod n$ là $z$ trong phạm vi $[0,n)$ với $x\,z\equiv-y\pmod n$
nhớ lại rằng $x\equiv z\pmod n$ được định nghĩa có nghĩa là $x-z$ là bội số của $n$.
Chúng ta có thể viết lại phương trình đầu tiên là $s_i^{-1}\,r_i+s_i^{-1}\,H(m)\equiv k_i\pmod n$. Khái niệm về tấn công mạng vẫn nên giữ nguyên: Nếu vectơ mạng nhỏ, thuật toán giảm cơ sở sẽ tạo ra câu trả lời. Tôi có gì sai?
Tôi mơ hồ phỏng đoán vấn đề là mã giảm mạng được sử dụng muốn có đầu vào ở dạng ma trận. Chúng ta có thể khớp điều này bằng cách viết lại phương trình dưới dạng $s_i^{-1}\,r_i+s_i^{-1}\,H(m)+k'_i\equiv 0\pmod n$ với $k'_i=n-k_i$. Nhưng hãy nhớ lại rằng cuộc tấn công xoay quanh tính khả thi của việc lựa chọn, bằng một cuộc tấn công theo thời điểm, $i$ như vậy mà $k_i$ nhỏ. Phương pháp lựa chọn tương tự sẽ không mang lại lợi nhuận nhỏ $k'_i$; và tôi không chắc thậm chí có thể có một phương pháp phù hợp.