当前位置：首页 > news >正文

中小企业解决方案/生哥seo博客

news 2025/8/6 5:09:30

中小企业解决方案,生哥seo博客,南宁网站建设公司怎么赚钱,wordpress改为邮箱验证注册注：本文章中内容和图片主要来源于 Oded Regev 的课堂讲义。初识 RSA众所周知的公钥密码体制现在被广泛应用于从网络浏览器到智能卡的各种应用中。自年首次发表以来，许多研究人员试图寻找系统中的漏洞。发现了一些巧妙的攻击。然而，已知的…

注：本文章中内容和图片主要来源于 Oded Regev 的课堂讲义。

初识 RSA

众所周知的

$equation?tex=%5Crm+RSA$ 公钥密码体制现在被广泛应用于从网络浏览器到智能卡的各种应用中。自

$equation?tex=1977$ 年首次发表以来，许多研究人员试图寻找系统中的漏洞。发现了一些巧妙的攻击。然而，已知的攻击都不是毁灭性的，

$equation?tex=%5Crm+RSA$ 系统仍然被认为是安全的。

在这次课程中，提出了一个这样的攻击，最初源自 Hastad，然后由 Coppersmith 改良。当

$equation?tex=%5Crm+RSA$ 与低公共指数一起使用时，可以开展此攻击。攻击基于一种寻找低次多项式小解的算法，而这种算法又基于

$equation?tex=%5Crm+LLL$ 算法。这种寻根算法本身很有趣，也用于对

$equation?tex=%5Crm+RSA$ 系统的其他攻击。

由于很多同学对 RSA 算法不是特别熟悉，我下面简单的介绍下 RSA 算法，还有对加解密算法做一个证明，以帮助大家更好的阅读下面的文章。

让我们描述一个简单版本的RSA密码系统。设

$equation?tex=N%3Dp%C2%B7q$ 是两个大小大致相同的大素数的乘积。设

$equation?tex=r%2Cs$ 是满足

$equation?tex=r%C2%B7s%3D1%28%7B%5Crm+mod%7D+%5C+%CF%95%28N%29%29$ 的两个整数，其中

$equation?tex=%CF%95%28N%29%3D%28p%E2%88%921%29%28q-1%29$ 是乘法群

$equation?tex=%5Cmathbb+Z%5E%E2%88%97_N$ 的阶数。我们称

$equation?tex=N$ 为

$equation?tex=%5Crm+RSA$ 的模，

$equation?tex=r$ 为公共指数，

$equation?tex=s$ 为私有指数。

$equation?tex=%28N%2Cr%29$ 是公钥。顾名思义，它是公开的，用于加密消息。

$equation?tex=%28N%2Cs%29$ 称为私钥，只有加密消息的接收方知道。私钥可以解密密文。消息是整数

$equation?tex=M%E2%88%88%5Cmathbb+Z%5E%E2%88%97_N$ 。为了加密

$equation?tex=M$ ，计算

$equation?tex=C%3DM%5Er%28%7B%5Crm+mod%7D++%5C+N%29$ 。为了解密密文，合法接收方计算

$equation?tex=C%5Es%28%7B%5Crm+mod%7D%5C+N%29$ 。事实上，

$equation?tex=C%5Es%3DM%5E%7Br%C2%B7s%7D%3DM%28%7B%5Crm+mod%7D+%5C+N%29$ ，其中最后一个等式遵循欧拉定理。

首先让我们看一下欧拉定理。在数论中，欧拉定理,（也称费马-欧拉定理）是一个关于同余的性质。欧拉定理表明，若
$equation?tex=n%2Ca$ 为正整数，且
$equation?tex=n%2Ca$ 互质，则:
$equation?tex=a%5E%7B%5Cvarphi%28n%29%7D%3D1%28%7B%5Crm+mod%7D+%5C+n%29$ 。

对于密钥的生成和加密阶段，都很好理解，现在我们主要来看下解密过程。

回顾一下，

$equation?tex=%5Clangle+N%2Cr%5Crangle+%2C+%5Clangle+N%2Cs%5Crangle$ 分别为算法中的公钥和私钥，根据算法性质知

$equation?tex=r%C2%B7s%3D1%28%7B%5Crm+mod%7D+%5C+%CF%95%28N%29%29$ (这里的等号为模等)，下同。

证明：

因
$equation?tex=r%C2%B7s%3D1%28%7B%5Crm+mod%7D+%5C+%CF%95%28N%29%29$ ，所以
$equation?tex=r%5Ccdot+s%3D1+%28%7B%5Crm+mod%7D+%28p-1%29%29$ ，
$equation?tex=r%5Ccdot+s%3D1+%28%7B%5Crm+mod%7D+%28q-1%29%29++$ ;
设
$equation?tex=r%C2%B7s%3D+a%28p-1%29+%2B+1%2Ca+%3E+1$
则解密过程
$equation?tex=C%5Es+%3D+M%5E%7Br%5Ccdot+s%7D+%3D+M%5E%7Ba%28p-1%29%2B1%7D%3DM%5Ccdot+M%5E%7Ba%28p-1%29%7D$
因
$equation?tex=p$ 为素数，根据欧拉定理有
$equation?tex=M%5E%7B%28p+-1%29%7D+%3D+1%5C+%7B%5Crm+mod%7D%5C++p$ ，故
$equation?tex=M%5E%7Ba%28p+-1%29%7D+%3D+1%5C+%7B%5Crm+mod%7D%5C+p$
$equation?tex=M%5Ccdot+M%5E%7Ba%28p-1%29%7D+%3D+M%5C+%7B%5Crm+mod%7D%5C+p%2C+$ 可证
$equation?tex=%5C+C%5Es+%3D+M%5C+%7B%5Crm+mod%7D%5C+p$ 。
同理可证
$equation?tex=%5C+C%5Es+%3D+M%5C+%7B%5Crm+mod%7D%5C+q$
因为
$equation?tex=p%2Cq$ 都为素数，所以
$equation?tex=+C%5Es+%3D+M%5C+%7B%5Crm+mod%7D%5C+p%5Ccdot+q$ , 即
$equation?tex=+C%5Es+%3D+M%5C+%7B%5Crm+mod%7D%5C+N$

证毕

$equation?tex=%5Csquare$

。

RSA是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的

下面介绍下RSA的低公共指数问题。

Low Public Exponent RSA

在许多实际应用中，加密过程是由一些有限的设备来完成的，例如智能卡。在这种情况下，将

$equation?tex=M$ 提高到 high power 可能会在电池电量、时间等方面付出相当大的代价。为了简化加密过程，人们可能会尝试修改

$equation?tex=%5Crm+RSA$ 密码系统，将公有指数固定为一些比较小的数，比如

$equation?tex=r%3D3$ 。所以现在加密过程只需要将一个数字提高到 power

$equation?tex=3$ ，这可以使用两次乘法来完成。

起初，这种修改似乎不会损害系统的安全性。事实上，在不知道

$equation?tex=N$ 的因式分解的情况下，如何逆置函数

$equation?tex=M%5E3+%5C+%7B%5Crm+mod%7D%5C+N$ 并不明显。然而，正如我们将看到的，这种修改允许一些巧妙的攻击。让我们首先回忆一下中国剩余定理 (Chinese Remainder Theorem)。

Lemma 1 (中国剩余定理，CRT) ：给定

$equation?tex=r$ 等值

$equation?tex=x%E2%89%A1a_i%28%7B%5Crm+mod%7D%5C+m_i%29$ ，使得

$equation?tex=m_1%2C...%2Cm_r$ 是之间成对互素，存在一个唯一的

$equation?tex=x%28%7B%5Crm+mod%7D%5C+m_1%C2%B7m_2%C2%B7%C2%B7%C2%B7m_r%29$ 满足这些等值，并且可以有效地找到这个

$equation?tex=x$ 。

要演示使用低公共指数的危险，请考虑以下场景。

$equation?tex=%5Crm+Alice$ 希望给

$equation?tex=%5Crm+Bob$ 、

$equation?tex=%5Crm+Charlie$ 和

$equation?tex=%5Crm+Dove$ 发同样的信息。她用他们的每个公钥

$equation?tex=N_B%2CN_C%2CN_D$ 加密她的信息。密文是

$equation?tex=c_B+%3D+m_3%5C+%7B%5Crm+mod%7D%5C+N_B%2C+c_C+%3D+m_3%5C+%7B%5Crm+mod%7D%5C+N_C%2C+and+c_D+%3D+m_3+%5C+%7B%5Crm+mod%7D%5C+N_D.%5C%5C$ 我们现在表明，接收

$equation?tex=c_B%2Cc_C%2Cc_D$ 的窃听者可以很容易地恢复

$equation?tex=m$ 。在不失去通用性的情况下，我们可以假设

$equation?tex=N_B%2CN_C%2CN_D$ 是成对的相对素数（否则窃听者会找到一个公钥的 non-trivial 因子，并可以直接解密消息）。通过使用中国剩余定理，窃听者计算一个数

$equation?tex=c$ ，使

$equation?tex=c%3Dm_3%5C+%7B%5Crm+mod%7D%5C+N_bN_CN_D$ 。由于

$equation?tex=m%3CN_bN_CN_D$ ，我们有

$equation?tex=m_3%3CN_bN_CN_D$ ，因此

$equation?tex=c%3Dm_3$ ，这是整数的等式。现在可以通过计算整数上

$equation?tex=c$ 的立方根来轻松地恢复消息

$equation?tex=m$ 。

似乎可以避免这个问题，从来不发送相同的信息给一个以上的人。例如，考虑以下解决方案。每个人，作为他的公钥的一部分，都有一些独特的

$equation?tex=%5Crm+ID$ 。不去加密

$equation?tex=M$ ，而加密

$equation?tex=M%2B2%5Ek%C2%B7%5Crm+ID$ ，其中

$equation?tex=k$ 是消息

$equation?tex=M$ 的长度，以位为单位，

$equation?tex=%5Crm+ID$ 是收件人的身份。这样，我们对每个人发送的消息都将不同。

在下一节中，我们证明了这种修改遭受了类似的攻击。事实上，我们展示了一个更一般的攻击：假设公钥是形式

$equation?tex=%28N%2Cg%29$ ，其中

$equation?tex=g$ 是

$equation?tex=M$ 中的一些多项式。为了加密消息

$equation?tex=M$ ，我们发送

$equation?tex=g%28M%29%5C+%7B%5Crm+mod%7D+%5C+N$ ，其中

$equation?tex=g$ 是接收方的多项式。在上述特殊情况下，我们有

$equation?tex=g%28M%29%3D%28M%2B2%5Ek%7B%5Crm+ID%7D%29%5E3$ 。

在介绍攻击之前，我们声明：低公共指数

$equation?tex=%5Crm+RSA$ 在仔细使用时仍然被认为是安全的。也就是说，目前认为，应该使用一个适度的公共指数，例如

$equation?tex=r%3D2%5E%7B16%7D%2B1$ ，并用一些随机位来填充消息。最后，我们还提到，使用不同的技术，在低私有指数

$equation?tex=s$ 上已知更强的攻击。

The Attack

定理 2. 假设

$equation?tex=N_1%2CN_2%2C...%2CN_k$ 为

$equation?tex=k$ 个互素的整数。设

$equation?tex=N_%7Bmin%7D%3D%7B%5Crm+min%7D_iN_i$ ，

$equation?tex=g_i%5Cin+%5Cmathbb+Z_%7BN_i%7D%5Bx%5D$ 为

$equation?tex=k$ 个最大阶为

$equation?tex=d$ 的多项式，假设存在唯一的

$equation?tex=M%3CN_%7Bmin%7D$ ，使得

$equation?tex=g_i%28M%29%3DC_i%28%7B%5Crm+mod%7D%29%5C+N_i%2Ci%5Cin1%2C2%2C...%2Ck$ 。故，如果

$equation?tex=k%5Cgeq+d$ ，可以有效的从

$equation?tex=%28N_i%2Cg_i%2CC_i%29%5Ek_%7Bi%3D1%7D$ 中找到

$equation?tex=M$ 。

证明中的主要工具是以下定理，其证明在下一节中给出。

定理 3. 设

$equation?tex=N$ 是整数，

$equation?tex=f%E2%88%88%5Cmathbb+Z_N%5Bx%5D$ 是

$equation?tex=d$ 阶的一元多项式(即

$equation?tex=x%5Ed$ 的系数为

$equation?tex=1$ )。那么我们可以有效找到所有的

$equation?tex=x%E2%88%88%5Cmathbb+Z$ ，使

$equation?tex=%7Cx%7C%E2%89%A4B$ 和

$equation?tex=f%28X%29%3D0%28%7B%5Crm+mod%7D%5C+N%29$ ，其中

$equation?tex=B%3DN%5E%7B1%2Fd%7D$ 。

Remark 1. 这个定理是相当强大的，并且在

$equation?tex=%5Crm+RSA$ 系统的其他攻击中使用。

Remark 2. 注意

$equation?tex=N$ 的分解是未知的。否则，就更好的寻根算法。

证明：(定理2) 定义

$equation?tex=hi%3Dg_i%E2%88%92C_i%2C1%E2%89%A4i%E2%89%A4k$ 。然后，我们寻找

$equation?tex=M$ ，使

$equation?tex=h_i%28M%29%3D0%28%7B%5Crm+mod%7D%5C+N_i%29%2C+i%5Cin+%5B1%2Ck%5D$ 。我们可以假设所有的

$equation?tex=h_i$ 都是一元的 (否则用它们的leading 系数的逆模

$equation?tex=N_i$ 乘以它们；如果这个系数不是可逆的，那么我们有一个

$equation?tex=N_i$ 的因子，我们就完成了)。我们也可以在不失去一般性的情况下假设所有的

$equation?tex=h_i$ 都是

$equation?tex=d$ 阶的( 对于某些

$equation?tex=j$ ，用

$equation?tex=x_j$ 乘以)。

接下来，我们使用中国剩余定理将多项式

$equation?tex=h_i$ 组合成多项式

$equation?tex=h$ ，即我们定义

$equation?tex=h%28x%29%3D%5Csum%5Ek_%7Bi%3D1%7DT_ih_i%28x%29+%5C+%28%7B%5Crm+mod%7D%5C+N_1%5Ccdot+N_2+%C2%B7+%C2%B7+%C2%B7+N_k%29%5C%5C$

其中

$equation?tex=T_i$ 的选择使用中国剩余定理，以满足对于每个

$equation?tex=i$ ，

$equation?tex=T_i%7B%5Crm+%28mod%7D%5C+N_i%29%3D1$ 和对于每个

$equation?tex=i%5Cneq+j$ ，

$equation?tex=T_i%7B%5Crm+%28mod%7D%5C+N_i%29%3D0$ 。则多项式

$equation?tex=h%28x%29$ 为

阶为
$equation?tex=d$
$equation?tex=d%3D3$
首一的，因为它的
$equation?tex=x%5Ed$ 系数是
$equation?tex=1$ 模任何
$equation?tex=N_i$ ，
$equation?tex=h%28M%29%3D0%5C+%28%7B%5Crm+mod+%7D%5C+N_1%5Ccdot+N_2+%C2%B7+%C2%B7+%C2%B7+N_k%29$

我们现在可以应用 定理3 来求

$equation?tex=M$ ，因为

$equation?tex=M%3CN_%7Bmin%7D%5Cleq+%28N_1%5Ccdot+N_2+%C2%B7+%C2%B7+%C2%B7+N_k%29%5E%7B%5Cfrac+1k%7D%5Cleq+%28N_1%5Ccdot+N_2+%C2%B7+%C2%B7+%C2%B7+N_k%29%5E%7B%5Cfrac+1d%7D$

证毕。

Finding Roots of Low Degree Polynomials

在这一部分中，我们证明了 定理3。我们分几步进行。首先，我们证明了

$equation?tex=B%3D%5CTheta%5Cleft%28N%5E%7B2+%2F%28d%28d%2B1%29%29%7D%5Cright%29$ 的定理，其中

$equation?tex=%5CTheta$ 隐藏了一个只依赖于

$equation?tex=d$ 的常数。然后，我们将其改进为

$equation?tex=%5CTheta%5Cleft%28N%5E%7B%5Cfrac%7B1%7D%7B2+d-1%7D%7D%5Cright%29$ ，并提到如何将其改进为

$equation?tex=B%3DN%5E%7B1%2Fd%7D$ 。为了简单起见，可以认为

$equation?tex=d$ 是一个小常数，例如

$equation?tex=d%3D3$ 。

我们的目标是找到解

$equation?tex=x$ 到

$equation?tex=f%28x%29%3D0%28%5Cbmod+N%29$ ，使

$equation?tex=%7Cx%7C%E2%89%A4B$ ，有

$equation?tex=f%28x%29%3Dx%5E%7Bd%7D%2Ba_%7Bd-1%7D+x%5E%7Bd-1%7D%2B%5Cldots%2Ba_%7B1%7D+x%2Ba_%7B0%7D%5C%5C$ 注意，如果发生这种情况，则多项式

$equation?tex=f$ 的系数满足

$equation?tex=%5Cforall+i%3D0%2C+%5Cldots%2C+d+.%5Cleft%7Ca_%7Bi%7D+B%5E%7Bi%7D%5Cright%7C%3C%5Cfrac%7BN%7D%7Bd%2B1%7D+%5C+%5C+%5C+%5C+%5C+%5C+%5C+%281%29%5C%5C$

因此，

$equation?tex=%7Cf%28x%29%7C+%5Cleq+%5Csum_%7Bi%3D0%7D%5E%7Bd%7D%5Cleft%7Ca_%7Bi%7D+B%5E%7Bi%7D%5Cright%7C%3CN+%5Ctext+%7B+for+%7D%7Cx%7C+%5Cleq+B+.$ 因此，模方程

$equation?tex=f%28x%29%3D0%28%5Cbmod+N%29$ 的

$equation?tex=x%E2%89%A4B$ 的任何小解也是整数上

$equation?tex=f%28x%29%3D0$ 的解。使用标准技术可以有效地找到这些解决方案(例如，我们可以找到所有真正的根，因为它们中最多有

$equation?tex=d$ 个，然后抛出所有非整数的根)。

然而，公式 (1) 没有理由在一般情况下成立。主要的想法是，即使 (1) 对

$equation?tex=f$ 不成立，它也可能对

$equation?tex=f$ 的某个整数倍数减模

$equation?tex=N$ 成立。直观地讲，

$equation?tex=f$ 的每一个倍数都会 "reshufflfles" 系数，由于有大约

$equation?tex=N$ 个可能的倍数可供考虑，我们可能期望其中一个倍数会产生一个 "全部系数都很小" 的多项式。

更正式地说，我们的想法是找到一个多项式

$equation?tex=g$ ，它具有性质 (1) ，并且具有与

$equation?tex=f$ 相同的根。然后，我们可以直接找到

$equation?tex=g$ 的所有根，因此也可以找到

$equation?tex=f$ 的所有小根。为了找到这样的

$equation?tex=g$ ，请考虑以下多项式集合：

$equation?tex=%5Cmathcal%7BZ%7D_%7B1%7D%3D%5Cleft%5C%7BN%2C+N+x%2C+N+x%5E%7B2%7D%2C+%5Cldots%2C+N+x%5E%7Bd-1%7D%2C+f%28x%29%5Cright%5C%7D%5C%5C$ 注意，这些多项式的任何整数组合都有与

$equation?tex=f$ 模

$equation?tex=N$ 相同的根。因此，找到满足性质 (1) 的这些多项式的整数组合就足够了。这自然导致我们考虑格

$equation?tex=%5Cmathcal%7BL%7D_%7B1%7D%3D%5Cleft%28%5Cbegin%7Barray%7D%7Bccccc%7D+N+%26+0+%26+%5Ccdots+%26+0+%26+a_%7B0%7D+%5C%5C+0+%26+B+N+%26+%5Cddots+%26+0+%26+B+a_%7B1%7D+%5C%5C+0+%26+0+%26+%5Cddots+%26+%5Cddots+%26+%5Cvdots+%5C%5C+%5Cvdots+%26+%5Cvdots+%26+%5Cddots+%26+B%5E%7Bd-1%7D+N+%26+B%5E%7Bd-1%7D+a_%7Bd-1%7D+%5C%5C+0+%26+%5Ccdots+%26+%5Ccdots+%26+0+%26+B%5E%7Bd%7D+%5Cend%7Barray%7D%5Cright%29_%7B%28d%2B1%29+%5Ctimes%28d%2B1%29%7D%5C%5C$

每列对应于

$equation?tex=%5Cmathcal%7BZ%7D_%7B1%7D$ 中的一个多项式。第

$equation?tex=i$ 行，

$equation?tex=i%3D0%2C...%2Cd$ ，对应于

$equation?tex=x_i$ 乘以

$equation?tex=B_i$ 的系数。

我们想证明我们可以在这个晶格中找到一个短向量。所以首先，让我们计算

$equation?tex=%5Coperatorname%7Bdet%7D%5Cleft%28%5Cmathcal%7BL%7D_%7B1%7D%5Cright%29$ ，

$equation?tex=%5Coperatorname%7Bdet%7D%5Cleft%28%5Cmathcal%7BL%7D_%7B1%7D%5Cright%29%3DN+%5Ccdot+B+N+%5Ccdot+%5Cldots+%5Ccdot+B%5E%7Bd-1%7D+N+%5Ccdot+B%5E%7Bd%7D%3DN%5E%7Bd%7D+%5Ccdot+B%5E%7B1%2B2%2B%5Cldots%2Bd%7D%3DN%5E%7Bd%7D+%5Ccdot+B%5E%7Bd%28d%2B1%29+%2F+2%7D$

利用

$equation?tex=%5Crm+LLL$ ，我们找到了长度满足的列

$equation?tex=v$ （即格向量）的整数组合

$equation?tex=%5C%7Cv%5C%7C+%5Cleq+O%5Cleft%28%5Clambda_%7B1%7D%5Cleft%28%5Cmathcal%7BL%7D_%7B1%7D%5Cright%29%5Cright%29+%5Cleq+O%5Cleft%28%5Cleft%28%5Coperatorname%7Bdet%7D%5Cleft%28%5Cmathcal%7BL%7D_%7B1%7D%5Cright%29%5Cright%29%5E%7B%5Cfrac%7B1%7D%7Bd%2B1%7D%7D%5Cright%29%3DO%5Cleft%28N+%5Ccdot+%5Cfrac%7BB%5E%7Bd+%2F+2%7D%7D%7BN%5E%7B%5Cfrac%7B1%7D%7Bd%2B1%7D%7D%7D%5Cright%29%5C%5C$ 其中

$equation?tex=O%28%29$ 隐藏了一个只依赖于

$equation?tex=d$ 的常数，第二个不等式来自于 Minkowski 定理。如果我们取

$equation?tex=B+%5Cleq+c_%7B1%7D%28d%29+N%5E%7B%5Cfrac%7B2%7D%7Bd%28d%2B1%29%7D%7D$ 作为一个足够小的

$equation?tex=c_1d$ ，且只依赖于

$equation?tex=d$ ，则小于

$equation?tex=%5Cfrac%7BN%7D%7Bd%2B1%7D$ 。特别是，

$equation?tex=v$ 的每个坐标都小于

$equation?tex=%5Cfrac%7BN%7D%7Bd%2B1%7D$ 。因此，如果我们取

$equation?tex=%5Cmathcal%7BZ%7D_%7B1%7D$ 中多项式的对应组合，我们得到一个多项式

$equation?tex=g%28x%29%3Db_%7Bd%7D+x%5E%7Bd%7D%2Bb_%7Bd-1%7D+x%5E%7Bd-1%7D%2B%5Cldots%2Bb_%7B1%7D+x%2Bb_%7B0%7D%5C%5C$

这样，

$equation?tex=%5Cforall+i%3D0%2C+%5Cldots%2C+d%2C%5Cleft%7Cb_%7Bi%7D+B%5E%7Bi%7D%5Cright%7C%3C%5Cfrac%7BN%7D%7Bd%2B1%7D$ 和

$equation?tex=g$ 具有与

$equation?tex=f$ 相同的根。现在，我们可以用标准方法在整数上找到

$equation?tex=g$ 的小根。这就完成了对基本思想的描述。

接下来，我们想改进约束

$equation?tex=B$ 。主要思想是，我们可以考虑一个更大的多项式的集合。考虑多项式的集合

$equation?tex=%5Cmathcal%7BZ%7D_%7B2%7D%3D%5Cleft%5C%7BN%2C+N+x%2C+%5Cldots%2C+N+x%5E%7Bd-1%7D%5Cright%5C%7D+%5Cbigcup%5Cleft%5C%7Bf%28x%29%2C+x+f%28x%29%2C+%5Cldots%2C+x%5E%7Bd-1%7D+f%28x%29%5Cright%5C%7D%5C%5C$ 对于这些多项式的任何整数组合

$equation?tex=g$ ，

$equation?tex=g$ 的根包含了

$equation?tex=f$ 的所有根，考虑格

$equation?tex=%5Cmathcal%7BL%7D_%7B2%7D%3D%5Cleft%28%5Cbegin%7Barray%7D%7Bcccccccc%7D+N+%26+0+%26+0+%26+0+%26+a_%7B0%7D+%26+0+%26+%5Cldots+%26+0+%5C%5C+0+%26+B+N+%26+%5Cddots+%26+%5Cvdots+%26+%5Cvdots+%26+B+a_%7B0%7D+%26+%5Cddots+%26+%5Cvdots+%5C%5C+%5Cvdots+%26+0+%26+%5Cddots+%26+0+%26+%5Cvdots+%26+%5Cvdots+%26+%5Cddots+%26+0+%5C%5C+%5Cvdots+%26+%5Cvdots+%26+%5Cddots+%26+B%5E%7Bd-1%7D+N+%26+B%5E%7Bd-1%7D+a_%7Bd-1%7D+%26+%5Cvdots+%26+%5Cvdots+%26+B%5E%7Bd-1%7D+a_%7B0%7D+%5C%5C+%5Cvdots+%26+%5Cvdots+%26+%5Cddots+%26+0+%26+B%5E%7Bd%7D+%26+B%5E%7Bd%7D+a_%7Bd-1%7D+%26+%5Cvdots+%26+%5Cvdots+%5C%5C+%5Cvdots+%26+%5Cvdots+%26+%5Cddots+%26+%5Cddots+%26+%5Cddots+%26+B%5E%7Bd%2B1%7D+%26+%5Cddots+%26+%5Cvdots+%5C%5C+%5Cvdots+%26+%5Cvdots+%26+%5Cddots+%26+%5Cddots+%26+%5Cddots+%26+%5Cddots+%26+%5Cddots+%26+B%5E%7B2+d-2+a_%7Bd-1%7D%7D+%5C%5C+0+%26+0+%26+%5Cldots+%26+%5Cldots+%26+0+%26+0+%26+0+%26+B%5E%7B2+d-1%7D+%5Cend%7Barray%7D%5Cright%29_%7B%282+d%29+%5Ctimes%282+d%29%7D$

与以前一样，使用

$equation?tex=%5Crm+LLL$ ，我们得到了一个向量

$equation?tex=v$ ，其长度满足

$equation?tex=%5C%7Cv%5C%7C+%5Cleq+O%5Cleft%28%5Cleft%28%5Coperatorname%7Bdet%7D%5Cleft%28%5Cmathcal%7BL%7D_%7B2%7D%5Cright%29%5Cright%29%5E%7B%5Cfrac%7B1%7D%7B2+d%7D%7D%5Cright%29%3DO%5Cleft%28%5Cleft%28N%5E%7Bd%7D+%5Ccdot+B%5E%7Bd%282+d-1%29%7D%5Cright%29%5E%7B%5Cfrac%7B1%7D%7B2+d%7D%7D%5Cright%29%3DO%5Cleft%28N+%5Ccdot+%5Cfrac%7BB%5E%7Bd-1+%2F+2%7D%7D%7B%5Csqrt%7BN%7D%7D%5Cright%29$