Вступление
Ранее в этом году Клаус Петер Шнорр заявил, что «сломал RSA». Первоначальный документ обсуждался в Показывает ли метод факторинга Шнорра 2021 года, что криптосистема RSA небезопасна?. А пересмотренный вариант его статья была размещена на iacr около недели назад, и, согласно комментарию @fgrieu, кто-то попытался начать дискуссию вокруг нее: Верен ли «быстрый факторинг целых чисел с помощью алгоритмов SVP, исправленный»?.
Я решил попробовать и обнаружил, что совершенно озадачен первым заявлением в газете. Он рассматривает перестановку $f$ из $\{1,\dots,n\}$ и определяет векторы-столбцы $b_1,\dots,b_n,b_{n+1}$ как показано ниже
куда $p_1=2,p_2=3,\точки$ первые $n$ простые и $N'$ не имеет отношения к моей проблеме (я полагаю). Он рассматривает линейную комбинацию с целыми коэффициентами $e_1,\dots,e_n$ из первых $n$ векторы
$${\bf b}=\sum_{i=1}^n e_i{\bf b}_i \in \mathcal{L}(R'_{n,f})$$
наборы
$$u=\prod_{e_i>0} p_i^{e_i}, v=\prod_{e_i<0}p_i^{-e_i}\in {\mathbb{N}}$$
и пишет
$$\шляпа{z}_{{\bf b}}=N'\ln{(u/v)}$$
за $b$последний (т.е. $(n+1)$-й) координата.
Проблема
У меня проблема с оценкой нижней границы для $\|б\|^2$ что следует. Шнорр пишет
На первый взгляд это кажется ложным: утверждается, что
$$\sum_i e_i^2f(i)^2 \geq\sum_i |e_i|\ln(p_i)$$
Но если перестановка $f$ выбирается так, что, скажем, $f(n)=1$ затем выбирая $e_n=1$ и все остальные $e_i=0$ урожаи
$$1\geq\ln(p_n)$$
что, если я что-то не упустил, явно ложно.
Кроме того, если $е$ является нулевым вектором, заявленное неравенство никоим образом не может быть равенством, поскольку после удаления $\шляпа{z}_b^2$ член с обеих сторон, правая сторона $\ln(ув)$ иррационально, будучи натуральным логарифмом целого числа $uv\geq 2$, тогда как левая часть, $\sum_i e_i^2f(i)^2$, является положительным целым числом.
Я что-то пропустил? Может ли кто-нибудь угадать правильное утверждение, которое он пытается доказать?
