Тогда из тех же соображений, что и раньше, матожидание Tf (как случайной величины — то есть вычисляемой на случайной решётке) должно быть константой на интеграл f по R^n по мере Лебега.
Ну и эту константу легко найти из тех же соображений, что и раньше — взяв в качестве f индикатор круга большого радиуса R. Но теперь (для большинства решёток) туда попадает не столько вершин, какова его площадь, а в \zeta(2) раз меньше. Ведь " шанс, что два больших случайных числа взаимно просты, равен 1/zeta(2) ".
Математические байки
Photo
Маргулис в этом месте заменяет меру на пространстве решёток, умножая её на \zeta(2), чтобы сохранилось красивое тождество с равенством интегралов — но мне приятнее оставить меру вероятностной и поделить на \zeta(2) интеграл f.
Так вот — благодаря такой замене, новое преобразование T(I_A) уже не убегает на бесконечность даже на решётках с очень короткими векторами. А последние шаги доказательства оказываются очень похожими. Во-первых, если взять диск B площади, равной мере нашего множества A, то случайная величина T(I_B) — тоже почти константа (что мы, собственно, уже видели выше).
А во-вторых, оказывается, что T-образ функции с нулевым средним не увеличивает L_2-норму:
И это и есть то самое место, где применяется теория автоморфных форм и вообще техника.
А дальше — если мы рассмотрим T-образ разницы I_A-I_B, то матожидание его квадрата не больше, чем 2a. И складывая это с оценкой на дисперсию T(I_B) — опять получаем линейную по a оценку на дисперсию
T(I_A)=T(I_A-I_B)+T(I_B).
Значит, T(I_A) опять обращается в 0 с вероятностью, не большей C/a. И значит, с вероятностью не больше C/m(A) случайная решётка не пересекает A.
А дальше — если мы рассмотрим T-образ разницы I_A-I_B, то матожидание его квадрата не больше, чем 2a. И складывая это с оценкой на дисперсию T(I_B) — опять получаем линейную по a оценку на дисперсию
T(I_A)=T(I_A-I_B)+T(I_B).
Значит, T(I_A) опять обращается в 0 с вероятностью, не большей C/a. И значит, с вероятностью не больше C/m(A) случайная решётка не пересекает A.
Вот. Рассказ получился не самым простым — но и работа меньше, чем 15-летней давности!
Добрый день!
Я собираюсь продолжить рассказ про работы Маргулиса и геометрию решёток, но сначала — чтобы немного переключаться между сюжетами — вернёмся ненадолго к криптографии и к задаче факторизации.
Я собираюсь продолжить рассказ про работы Маргулиса и геометрию решёток, но сначала — чтобы немного переключаться между сюжетами — вернёмся ненадолго к криптографии и к задаче факторизации.
Математические байки
Сегодняшняя байка будет о применении эллиптических кривых в криптографии, как для защиты (что более известно), так и для «нападения»-факторизации (что, почему-то, известно заметно меньше, хотя алгоритм именной, называется алгоритмом Ленстры). (На всякий случай:…
Мы уже видели метод Ленстры факторизации с помощью эллиптических кривых — который для больших чисел третий по эффективности. Удивительным образом, второй по эффективности метод, метод квадратичного решета, заметно проще и продвинутую науку не использует.
А основан он на том, что если A^2=B^2 mod n, то либо A=B mod n, либо A=-B mod n, либо и (A+B), и (A-B) имеют нетривиальные общие делители с n. И если первый и второй варианты неинтересны, то последний как раз (алгоритмом Евклида) и приводит к факторизации.
Остаётся такие нетривиальные пары (A,B) найти. Наверное, если бы мы искали B по данному A, то никакого выигрыша без факторизации мы бы не получили — кажется, задача просто равносильна факторизации.
Но можно искать именно пару — не зная, ни какое получится A, ни B.
Но можно искать именно пару — не зная, ни какое получится A, ни B.
Итак, идея. Берём числа, примерно равные корню из n, и посмотрим на их квадраты по модулю n:
Тогда, во-первых, любое a_k по модулю n является квадратом известного нам вычета (m+k).
Но, во-вторых (и это ключевой шаг), можно попробовать найти произведение a_k, которое будет полным квадратом.
А именно — предположим, что у какой-то их части оказались одни и те же простые делители. Тогда, чтобы произведение каких-то a_{k_j} было полным квадратом, достаточно их перемножить так, чтобы все степени простых оказались чётными.
А именно — предположим, что у какой-то их части оказались одни и те же простые делители. Тогда, чтобы произведение каких-то a_{k_j} было полным квадратом, достаточно их перемножить так, чтобы все степени простых оказались чётными.
Понятно, что если мы раскладываем на множители, скажем, 100-значное число n — то a_k будут порядка корня из n, то есть 50-значными. И раскладывать каждое из них на множители это опять та ещё задача.
Но — мы выберем некоторый набор Base "не слишком больших" простых (который называется базой ). Скажем — первую сотню тысяч, или миллион.
И если какое-то a_k не раскладывается в произведение простых из Base — то просто выбросим его. А если раскладывается — запомним (и назовём такое число " гладким ").
Но — мы выберем некоторый набор Base "не слишком больших" простых (который называется базой ). Скажем — первую сотню тысяч, или миллион.
И если какое-то a_k не раскладывается в произведение простых из Base — то просто выбросим его. А если раскладывается — запомним (и назовём такое число " гладким ").
И когда мы, просто увеличивая k, наберём достаточно много гладких чисел (больше, чем простых в базе Base) — то вектора степеней разложения (координаты соответствуют простым из базы) начнут быть зависимыми по модулю 2. И произведение соответствующих a_{k_j} будет полным квадратом, и мы будем знать, чьим.
Вот мы и получили совпадение: построенное произведение a_{k_j} будет и настоящим полным квадратом в обычных целых числах (так что A — обычный корень из этого произведения), и будет по модулю n сравнимо с квадратом произведения (m+k_j) — соответственно, B это произведение (m+k_j).