望舒

构造更高维度的格？

寒芒

相较较简单的“青天”的格构造，我们还需要将未知元素从单个元素提升(lift)为向量乃至矩阵。

有关“青天”的格构造参见格，其中系统介绍了格、部分代数和离散数学中的重要概念，有助于快速入门格密码；本文均假定读者已经具备相关的基础知识并已理解之。

"lift"的核心无外三点：

1. 矩阵的构造（线性组合）必须符合目标环的运算规则；
   
2. 已知量嵌入格矩阵L中，未知但已知是整数 \(k_{i}\) 的量放在左侧，未知且已知是整数 小量 的放在右侧（锚定向量）；
   
3. 对格进行配平，令锚定向量的各维度尽可能近长。

如在NTRU中，由于其元素的运算在卷积多项式环上运行，因此将 \(h\) 应转化为 \(rot(h) = \begin{bmatrix} h_0 & h_1 & \cdots & h_n \\ h_1 & h_2 & \cdots & h_0 \\ \vdots & \vdots && \vdots \\ h_n & h_0 & \cdots & h_n-1 \end{bmatrix}\)，使其在进行乘法时符合该环的运算规则。

配平格的要点在于利用好LLL（或BKZ）的特性之一——模长“标定”。

炽羽

对CVP问题的求解是此类格构造后利用的重点。
CVP问题常见的解法有二：将目标向量“嵌入”原格中，使之提升一个维度；或使用Babai's Nearest Plane Algorithm。

Babai

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

def Babai(A,v):
    '''
    Babai's Nearest Plane Algorithm.  
    Finds the closest vector to `v` that's on the lattice defined by `A`.  

    Parameters:
    - `A`: Lattice-defining matrix
    - `v`: Target vector

    Note that both `A` and `V` has to be defined on Integer Ring.
    '''

    M = A.LLL(delta=0.75)
    G = M.gram_schmidt()[0]

    t = v # vector
    for i in reversed(range(A.nrows())):
        c = ((t * G[i]) / (G[i] * G[i])).round()
        t -= A[i] * c

    return v - t

从上述实现中即可一窥Babai's Algorithm的核心：

• 先对之进行格基规约（注意此方法仅适用于方阵，对于非方阵应使用IntegerLattice，具体原因似乎与 m>n 时规约的“崩塌”有关（此时因为向量间必定线性相关的特性，会让规约的最终向量失去意义）；
  
• 取规约矩阵正交化后的向量基，在每个 两两垂直 的投影方向上均减去这些基的 最近整数倍（因为格运算都在整数上进行，参见.round()）。

Embedding

Babai's Embedding Technique 的核心思想非常简单：
假设存在向量 \(\mathbb{v}^{N}\) 在 \(\mathbb{L}^{M \times N}\) 所定义的格上，不妨构造
\[\mathbb{L}^{' M+1 \times N+1} = \begin{bmatrix} \mathbb{L} \\ \mathbb{v} & -1 \end{bmatrix}\]
则该格上一定存在一个向量 \(\begin{bmatrix} 0^{N} & -1 \end{bmatrix}\)。

上述推论比较显然——因为 \(v\) 就是 \(L\) 的线性组合，其系数取 \(-1\) 通过行变换就可以构造出这个向量。

显然此时对 \(L^{'}\) 进行规约就可以得到这个向量。
更进一步地，假设存在一个偏移a.k.a.误差向量 \(\mathbb{e}^{N}\)，其近似地表征了 \(\mathbb{dist(v,L)}\)（即该向量和格之间的距离）。

令 \(\mathbb{b = v + e}\)，将 \(\mathbb{b}\) 嵌入该格中，则向量 \(\begin{bmatrix} e^{N} & -1 \end{bmatrix}\) 也在格上。
此时若 \(e\) 足够短，同时对格进行配平，通过格基规约同样有很大概率找出该向量。

得到 \(\mathbb{e}\) 后，易得CVP的解即为 \(\mathbb{b - e}\)。

1
2
3
4
5
6
7
8
9
10
11
12

L = #...
b = #...

C = 2**ebits

mt = matrix.block(ZZ,[[L,0],
                      [b,C]])

e = IntegerLattice(mt,lll_reduce = True).reduced_basis[0]

sol = b - e
# ...

月舞

Delightful的“约减”背后，还有些什么若隐若现...

朝花夕拾

纸上得来终觉浅——实践中分析更复杂的密码系统方为正道。

LWE

简述

LWE(Learning With Errors)是机器学习领域的难题之一。
其数学表示形式为：已知 \(Z_{q}\) 下 \(A^{M \times N} \cdot s^{N \times 1} + e^{M \times 1} = b^{M \times 1}\)，给定 \(A,b\)，还原 \(s\)。
其中 \(e\) 是一个小向量。

更形象地：
已知两个 \(N\) 维向量 \(a_{i},s\)，计算其带一定误差的点积 \(b_{i} \equiv a_{i} \cdot s + e_{i} (\bmod q)\)，重复 \(M\) 次（\(M \geq N\)），还原 \(s\)。

绮链

若不考虑误差，上述问题显然只是普通的解 \(Z_{q}\) 下的线性方程组的问题，可以使用高斯消元法直接求解，或利用线性代数知识，进行行列变换或计算 \(Z_{q}\) 下的 \(b \cdot A^{-1}\) 即可（此处需要截断之为方阵）。

但加入误差后，求解就变得极为困难了——按上述传统思路，必须逐个爆破误差 \(e_{i}\) 后验证解，可行性极为受限。

新的方程组与格

LWE中，格的构造相较以往单元素的方程组更为“精巧”。
由于 \(A \cdot s\) 结果的每个维度对 \(q\) 取模时都可能存在不同的 \(k_{i}\)（参考上述等式： \(b_{i} = a_{i} \cdot s + e_{i} + k_{i}q\)），因此构造时应当取一个 \(qI^{M}\) 的对角阵与之排列。换言之，我们的“理想”向量（在 \(e\) 不存在时）应该在这个格上：

\[\begin{bmatrix} qI^{M} \\ A^{T} \end{bmatrix}\]

其中 \(A\) 因为格矩阵运算（LWE中 \(s\) 是被右乘的操作数，格的线性组合要求左乘系数）而被转置。

由于 \(e\) 是小向量，因此其显然就是一个CVP问题，求解思路同样是Babai/Embedding实际上这个Embedding的常用变种之一就是以Babai命名的。
在使用Babai时，由于原矩阵不是方阵，因此需要使用IntegerLattice并在其构造函数中规约之：

1
2
3
4
5
6

L = IntegerLattice(mt,lll_reduce = True)
B = L.reduced_basis # equivalent to LLL result
G = B.gram_schmidt()[0] 

for i in reversed(range(B.nrows())):
    # ...

Babai's Embedding的构造矩阵形如：

\[\begin{bmatrix} v_{k}^{M} & s^{N} & 1 \end{bmatrix} \cdot \begin{bmatrix} qI^{M}\\ A^{T}\\ b & C_{0} \end{bmatrix} = \begin{bmatrix} e^{M} & C_{0}\end{bmatrix}\]

由目标向量可知配平系数 \(C_{0}\) 应与 \(e\) 的大小接近，取 \(2^{ebits}\) 即可。

NTRU

卷积多项式环

给定 \(N,q \in Z_{+}\)，则模 \(q\) 下的 \(N - 1\) 次卷积多项式环是一个商环(quotient ring)，记作 \(R_{q} = \frac{Z_{q}[x]}{x^{N} - 1}\)。

商环的定义为对环(Ring)上，\(\forall a \neq 0 \in R, \exists a^{-1} \in R\)，即除了加法单位元 \(0\) 外所有元素均存在逆元。

\(R_{q}\) 下的 \(n\) 次卷积多项式表示：

\[z = z_{0}x^{0} + z_{1}x^{1} + \cdots + z_{n-1}x^{n-1} = \sum_{i=0}^{n-1} z_{i}x^{i} \in R^{n}_{q}\]

设 \(f,g,h \in R^{n}_{q}\)，\(f \cdot g = h\)，乘法规则形如

\[ h = \sum_{i=0}^{n-1} h_{i}x^{i} \\ h_{i} \equiv \sum_{a,b}^{a+b \equiv i \bmod N} f_{a}g_{b} \bmod q\]

显然其与普通的多项式乘法并无差分，只是对幂数和项数的计算分别放在了 \(Z_{n}\) 和 \(Z_{q}\) 下进行。

写作 \(Z_{q}\) 下 \(n \times n\) 矩阵乘法的形式，形如：

\(\begin{bmatrix} h_0 & h_1 & \cdots & h_{n-2} & h_{n-1} \end{bmatrix} ^ {T} = \begin{bmatrix} f_0 & f_1 & \cdots & f_{n-2} & f_{n-1} \\ f_1 & f_2 & \cdots & f_{n-1} & f_0 \\ \vdots & \vdots && \vdots & \vdots \\ f_{n-1} & f_0 & \cdots & f_{n-3} & f_{n-2} \end{bmatrix} \cdot \begin{bmatrix} g_0 & g_1 & \cdots & g_{n-2} & g_{n-1} \end{bmatrix} ^ {T}\)

称其中表示 \(f\) 的系数矩阵为卷积矩阵(convolution matrix)，常记作 \(rot(f)\)，其第 \(i\) 行由 \(f\) 的系数循环右移 \(i\) 位排列而成。

若 \(q\) 比较大，为提升可读性，部分实现会将 \(f_{i}\) 转化到 \((-\frac{q}{2},\frac{q}{2}]\) 的区间内（\(Z_{q}\) 下等价）。

参数与密钥生成

NTRU的关键参数为 \((N,p,q,d)\)。其中，

• \(N,q\) 越大则格攻击构造格的维度越高，密码系统越安全，但运算效率会大幅下降；一般选择 \(N \in [250,2500]\)。
  
• \(p,d\) 均为整数，要求 \(gcd(p,q) = 1\) 且 \(gcd(q,N) = 1\)，\(q > (6d + 1)p\)。

NIST对NTRU的强度-推荐参数组合如下：

参数 \(d\) 可在满足 \(q > (6d + 1)p\) 下自行决定，一般选择 \(d \approx \frac{N}{3}\) 来达到较好的安全性。

定义函数 \(T(d_{1},d_{2}) (d_{1} + d_{2} < q)\) 表示系数 \(\{1,-1\}\) 计数分别为 \(\{d_{1},d_{2}\}\) 的多项式 \(f\) 的集合。
如，\(f = x^{6} + x^{3} - x^{2} + x - 1 \in T(3,2)\)。

选择两个多项式 \[f = \sum_{i=0}^{N-1} f_{i}x^{i} \in T(d+1,d)，g = \sum_{i=0}^{N-1} g_{i}x^{i} \in T(d,d)\]

再计算 \(h \equiv f^{-1}g (\bmod q)\)，随后将 \(g\) 的记录销毁。
公钥为 \(h\)，私钥为 \(R_{p}\) 和 \(R_{q}\) 下的 \(f^{-1}\)（由于 \(p,q\) 是既定参数，可以认为私钥就是 \(f\)）。

\(g\) 不是公钥或私钥，但知道 \(g\) 就可以攻破NTRU，其地位类似于RSA中 \(N\) 的因数分解，故不应保留之。

加/解密与正确性证明

先将明文编码为一个 \(n\) 次多项式 \(m \in \{-1,0,1\}^{N}\)。

加密时，另随机生成一个多项式 \(r \in \{-1,0,1\}^{N}\)，计算 \(c \equiv ph \cdot r + m (\bmod q)\)，输出密文 \(c\)。

解密时，计算 \(m \equiv f^{-1} \cdot (f \cdot c (\bmod q)) (\bmod p)\)，输出明文 \(m\)。

注意其中涉及到了“换环”，即现在 \(R_{q}\) 下计算 \(f \cdot c\)，将结果转到 \(R_{p}\) 下后再与该环下的 \(f^{-1}\) 相乘。

正确性证明：

先在 \(R_{q}\) 下计算， \(f \cdot c = pr \cdot hf + mf \Rightarrow f \cdot c = prg + mf\)
随后换环到 \(R_{p}\) 上，显然 \(prg \equiv 0 (\bmod p)\)，因此 \(R_{p}\) 下 \((fc \bmod q) \equiv fm\)
进而 \(fm \cdot f^{-1} = m\)
解密正确性得证。

攻击

从公钥推导私钥

作为公钥密码算法，NTRU所依赖的数学难题是格上的SVP问题。
给定公钥 \(h\) ，若维度参数 \(N\) 选择过小，则通过格基规约获得SVP问题的近似解是可行的。

以Sage梳理攻击过程：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

#sage
def ntru(h,n,q):
    rot_h = matrix(ZZ,[[(i+j)%n for j in range(n)] for i in range(n)])
    In = matrix.identity(n)

    mt = matrix.block(ZZ,[[In,rot_h],[0,q*In]])
    mt = mt.LLL()

    for row in mt:
        if all(i in (-1,0,1) for i in row):
            rf = vector(ZZ,row[:n])
            # rg = vector(ZZ,row[n:])
            return rf
    
    return None

关键等式为 \(Z_{q}\) 下， \(f \cdot h \equiv g\)；将之抬升(lift)至 \(Z\) 下，则有 \(f \cdot h + q \cdot z = g\)，其中 \(z\) 是 \(Z^{N}\) 下的某个“制衡”向量( carry-on vector )。

矩阵运算如下：

\[\begin{bmatrix} f & z \end{bmatrix} \cdot \begin{bmatrix} I^{N} & rot(h) \\ & qI^{N} \end{bmatrix} = \begin{bmatrix} f & g \end{bmatrix}\]

对构造格进行规约，其预期最短向量就是 \(\begin{bmatrix} f & g \end{bmatrix}\)，注意 \(f\) 和 \(g\) 都是 \(Z^{1 \times N}\) 的向量。
由于 \(f,g\) 每一维度的取值都在 \(\{-1,0,1\}\) 中（等价地，\(p=3\) 时的 \(Z_{p}）\)，其模显然在格中是极短的。

构造矩阵以分块矩阵的方式表述（实际上单个元素可被视为1*1的分块矩阵的“特例”），对矩阵的幺元操作在格中体现为单位矩阵，此时锚定向量实际上也是分块矩阵“拼凑”的结果。

由上述分析，显然规约矩阵的最短向量的前 \(N\)、后 \(N\) 个维度即分别为 \(f^{'}\)、\(g^{'}\)。由于运算时的卷积操作，严格地，此处解出的私钥 \(f^{'}\) 实际应为 \(x^{-i}f (i \in (-N,N))\)，\(g^{'}\) 同理。
欲破译原私钥 \(f\) ，则必须对 \(f,g\) 的卷积系数分别进行爆破。
但若目标只是解密数据，参考上述NTRU的解密过程， \(f\) 的卷积结果 \(f^{'}\) 依然可以对密文进行解密（因为解密用到的 \(f^{'-1} = x^{-i}f^{-1}\) ）。

春滋

方程的潇潇暮雨。

“短格”的精华

先考虑整数环 \(Z\) 下一个较简单的方程：

\[ax + by = c \]

在给定 \(a,b,c\) 时其只是一个平凡的一元二次不定方程；若移去 \(c\)，则一般而言无法得出 \(x,y\) 的解。
但若已知 \(x,y,c\) 都是较小的整数，则可以使用格攻击来获得方程的解：

\[\begin{bmatrix} x & y \end{bmatrix} \cdot \begin{bmatrix} C & a \\ & b \end{bmatrix} = \begin{bmatrix} Cx & c \end{bmatrix}\]

其中若目标向量的模长足够小（已知 \(c << a,b\) 且配平系数 \(C\) 选择得当），则或可通过格基规约得到目标向量。

上述放长还可以推广至多变量的情况传说中的多元Coppersmith青春版，只看一次项：

\[a_1x_1 + a_2x_2 + \cdots + a_nx_n = c\]

\[\begin{bmatrix} x_1 & x_2 & \cdots & x_n \end{bmatrix} \begin{bmatrix} C_1 &&& a_1 \\ &C_2 && a_2 \\ && \ddots & \vdots \\ &&& a_n \end{bmatrix} = \begin{bmatrix} C_1x_1 & C_2x_2 & \cdots & c \end{bmatrix}\]

可以注意到，这个“更一般的”方程在 \(c\) 已知时就是HLCP(Hidden Linear Combination Problem，隐藏线性组合问题)。
实际上HLCP也可以“移进”至上述这个方程的形式，并且可以拓展到和sum含有一定误差的情况，即将 \(c\) 移至等号左侧，右侧以一小量（不一定是0）代替。

珠海端茶倒水一日游(bushi)

2025年湾区杯糊出来几道题的Writeup，以及做prng题有感。

Writeup

prng

题目

解析

题目实现了一个LCG变种的PRNG（伪随机数生成器），其状态间的关系如下：

$ s_{i+1} s_{i}^{2}a + b ^{512} $

难点有二：

• 其只给出了PRNG的两个状态，要求逆向出seed；
  
• 对于PRNG的每个状态，其都随机抹去了0.19倍总位数的信息（此处体现为 \(s_{1}\)、\(s_{2}\)、\(a\)、\(b\) 中各97个?。

由于被抹去的位数分布不均，因而很难用传统的代数分析方法攻击之包括第一反应的格攻击。

因此此处需要用到特技“逐怨”处理之——具况见下方exp和解析。
大致思路：逐未知位爆破，利用位运算的截断特性不断校验、排除“缓存”的可能性。

exp

赛时紧张，exp近乎于缝缝补补能跑就行，至于语言规范什么的看个乐呵就好awa

一段（Python）：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98

#python3

from itertools import product
from Crypto.Util.number import isPrime
from Crypto.Cipher import AES


a = "1100001101001?101111100?01110001010011?1???11???01000011100101010100101??011?01?00?0?000110000?01?01010?10101?1101010100010011?101010010000?10110??10100?000?1?11?10???0?1111?1000100100?1110111010?0?01?00?11?0011?0101101?100000?1??0101010?1?101?1001?0011110??0000000?00100?1010011100001111111001?10?001??0110001111?100110000110011011?111101?1??1010101101?01?0000011?1111001?000111??1??00010?10011001?000110000??10?10100000100?10?1101111?101?001??00?01111???01??1?10100??0101?011?1000?011101?110???0110111011?101?1"
b = "1000?11?0111000?1001??11?1100?001?0?0111011011100?0?110?11111?1?0?111100?0111???01?001100?000?001??0110??0?001000000110?0100?01100?001000011?01001000011010100?01110000001??0000111???101101?0100?011??010011?0?100?0?111100?00110000111?10???0?01?100?1100?0111001?11?1110?011?100101101?10?0??00010011?101?111?110001100?0??0?10?11100100111?100100001?0?00000??1101001?010?110000110?0001101000010011001100?010?100000100001?10100101110010000?0111?0001??1?001100000010000?011000??0?10?1001000100???1100111?11?11011010100?"
c1 = "1100101001100???1??101100?00101111?000001011?0??0?0?1??11?0001?1?01111?0?1100011101?01011??110011100001100100???000101?1011010100111110?11?010111101?0?0110?0100001?000?1011?111111111000001?100000001011?0110111?11010010100?10011110000?0101??1?00001111010110?00110001111011001?0010110101100011111?01?0000?0?0011?0?101??1111100?11?11100010???1?0?1?11?1100?1100010?1111111011?100100111?11?11?1101?1?1100111?01?01111?11?0??1111?001000?0000?1?010?100111101?01011?1?1?111?01???01?1111?01?????0?001011000111010010?111101"
c2 = "00000000011?1000110011?001???10011010?0?01?11010011010??10010111?1111?1000?1??11?1111??111?1010001001111?10?0111001??101?10000000101111110111??11111?0?0??10?0101?111001101000101?00010?111?1100111?0?1110?1111?0110?11010110001100000111101?010010??0??101?1001000?010101?01110?01001010001?0?01?00?0110100100??10?00??1010111010010??1?100110?????01001?001110101111?1?00?0?00101?101?0?101?110011?1?00111100??1?1?00?1110?010?110?00?010011010001101?00110101?1??0010?101111000?11011101011?0010010110000000110110101??1?011?"
#For each modulus

a = a[::-1]
b = b[::-1]
c1 = c1[::-1]
c2 = c2[::-1]

als = [0]
bls = [0]
c1ls = [0]
c2ls = [0]

ls = []

for i in range(512):
    tals = []
    tbls = []
    tc1ls = []
    tc2ls = []

    for a_,b_,c1_,c2_ in zip(als,bls,c1ls,c2ls):
        add_base = 2**i
        qmark_idx = []

        a_ += int(a[i])*add_base if a[i] in ('0','1') else 0
        b_ += int(b[i])*add_base if b[i] in ('0','1') else 0
        c1_ += int(c1[i])*add_base if c1[i] in ('0','1') else 0
        c2_ += int(c2[i])*add_base if c2[i] in ('0','1') else 0

        # Process question marks
        if(a[i] == '?'):
            qmark_idx.append(0)
        if(b[i] == '?'):
            qmark_idx.append(1)
        if(c1[i] == '?'):
            qmark_idx.append(2)
        if(c2[i] == '?'):
            qmark_idx.append(3)

        # test equation
        for tp in product([0,1],repeat=len(qmark_idx)):
            temp_a = a_
            temp_b = b_
            temp_c1 = c1_
            temp_c2 = c2_

            mapper = {0:temp_a,1:temp_b,2:temp_c1,3:temp_c2}

            for t in range(len(qmark_idx)):
                ss = add_base * tp[t]

                if qmark_idx[t] == 0:
                    temp_a += ss
                elif qmark_idx[t] == 1:
                    temp_b += ss
                elif qmark_idx[t] == 2:
                    temp_c1 += ss
                else:
                    temp_c2 += ss

                # mapper[qmark_idx[t]] += add_base*tp[t]

            # breakpoint()
            if (temp_c1**2 * temp_a + temp_b - temp_c2) % 2**(i+1) == 0:
                tals.append(temp_a)
                tbls.append(temp_b)
                tc1ls.append(temp_c1)
                tc2ls.append(temp_c2)

    als = tals
    bls = tbls
    c1ls = tc1ls
    c2ls = tc2ls

res = []
for i in range(len(als)): #256
    if isPrime(als[i]) and isPrime(bls[i]):
        res.append((als[i],bls[i],c1ls[i],c2ls[i]))


ssq = []
for _a,_b,_c1,_c2 in res:
    assert (_c2-_b)*pow(_a,-1,2**512) % 2**512 == _c1**2 % 2**512
    ssq.append((_c1-_b)*pow(_a,-1,2**512) % 2**512)

print(ssq)

二段：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

#sage
from Crypto.Cipher import AES
from hashlib import md5
from Crypto.Util.number import *

ls = [23647629859804785244560293652892470724172934807090102727098380892501016027619179662322113914924661220146486108557056592028992097519447371973456440412256195080359251744384181846271425283969058481217011834363510239520880027721434747003304892242351979646514804231247826229510446250261365973495593321908885217092,23647629859804783842807550785248410559147385398160690428443115878862931233560349908609941584951625196188685672556855690842825267539431410518674933270351636038481968317300246435143772977768212518512034769139930128250279198401207154864696876591321300269180310179591686461840167037631726571572294965838719180612, 23647629859804785244560293652894960737838541327372270519613976463801490406983616708628525990102165025836193330627109595096298277075465850886971949679968278179590332381415060678735815957255177524540432453452578280204146818578219638369163804925440068630123439555721020512123587273432848386181743393346039799620]

ff2 = []

for i in ls:
    a = Zmod(2^512)(i)
    ff2.extend(a.nth_root(2,all=True))

enc = b'\xcb\xe0wY\xe3\\\xf7\xc8\x89/\x1c\xdb^P\xc09\xca\xcf\xe7\xa7\xa4\xb5\xaeQ\xc8K\xabg_\x8e\xfa?\xdc\xce9\xd7\x0en"?\xc0\n\xe0hT+\xc0\x81'
nonce = b'n\x13\xd1\xdf\xb6]\xb5\xf7'

for i in ff2:
    key = md5(long_to_bytes(int(i))).digest()
    aes = AES.new(key,AES.MODE_CTR,nonce=nonce)

    print(aes.decrypt(enc))

闲谈“逐怨”

数学基础

狭义上（即部分题目的“实例”），若 \(Z_{2^{p}}\) 下 \(f(x_{1},x_{2},\cdots,x_{n}) = 0\) 成立，则 \(Z_{2^{q}}\) 下 \(f(x^{'}_{1},x^{'}_{2},\cdots,x^{'}_{n}) = 0\) 亦成立，其中 \(q < p\)，\(x^{'}_{1} \equiv x_{1} \bmod 2^{q}\)。

广义上，对阶为 \(p\) 的群 \(G\) 下的元素 \(x_{i} (i \in \[1,n\])\)，考虑将 \(x_{i} \rightarrow x^{'}_{i}\) ，即将之映射至另一个群 \(G^{'}\) 上，且 \(G^{'}\) 的阶 \(p^{'} | p\)，使得 \(ord(x^{'}_{i}) \equiv ord(x_{i}) \bmod p^{'}\)。
假设 \(G\) 和 \(G^{'}\) 对群上运算 \(f\) 是同构的，则存在 \(ord(f(x_{1},x_{2},\cdots,x_{n})) \equiv ord(f(x^{'}_{1},x^{'}_{2},\cdots,x^{'}_{n})) \bmod p^{'}\)。

虽然推广的结论非常不讲人话，但其为这一攻击的拓展运用提供了理论基础。

算法实践

“逐怨”的数学基础各异，但其算法流程上是大同小异的。此处以上述情景为例：