Prediciendo el generador cuadratico (in Spanish)

 PrediciendoelGe neradorCuadráti co  DomingoGómez-Pérez,JaimeGutiérrez,ÁlvarIbeasyDavidSevilla    FacultaddeCiencias UniversidaddeCantabria SantanderE-39071,España jaime.gutierrez@unican.es     Abstract. Sean p un primo, a y c enteros módulo  p tales que 0 ≠ a mod p . El generador cuadrático es u na sucesión ( n u ) d e números pseudoaleator ios definidos por la re lación c au u n p n + ≡ + 2 1 . En este trabajodemostramosquesi conocemosunnúmerosufi cientementegrandede losbitsmássignificativosparadosvaloresconsecutivos 1 , + n n u u ,entonces podemos descubrir en t iempo polinomial la semilla 0 u , excepto para un conjuntopequeñode valore sexcepcionales.    1.Introducción  Enel corazón  de gran p artede  los sistemas criptográficos usados actualmente está la  generación de números secretos o aleatorios, q ue no puedan ser adivinados para la seguridad del c riptosistema.  La motivación de la generación de núm eros pseudoaleatorios  es que  en algunos casos necesitamos manipular más bi ts aleatoriosd e los que pueden pr oporcionarnos nuestras fuentes físicas de entropía. En estos casos se recurre a los P RNG, ge neradores de números pseudoalea torios, que constituyen, en definitiva,unaformadeexpandirunospocosbitsrealmentealeatorios.  Un PRNG e s una tr ansformación que toma cierta cantidad aleatoria, llamada semil la, y ge nera una s ecuencia de bits que  pueden usarse como si f uesen números “casi” aleatorios. Un campo mu y activo es, precisamente, estudiar y  analiz ar cuánto de “aleatoriedad”poseelasucesiónobtenida.  Un bien conocido y est udiado PRNG, pero muy  inseguro criptográficamente, es el generador congruente lineal, definido por un polinomio l ineal. Nosotros consideramos ungeneradordefinidoporunpolinomiocuadrático.  Para un primo p , denotamos por p F  el cuerpo de p elementos y, como siempre, asumiremos que está representado por el conjunt o } 1 ,..., 0 { − p . Algunas veces trataremosloselementosde p F comoenteroseneserango.  Fijados * p F a ∈  y  p F c ∈ , consideramos el polinomio [ ] X F c aX X f p ∈ + = 2 ) ( . Definimosel generad or congruente cuadrático ) ( n u  de elementos de p F  por la relación recurrente :  ,... 1 , 0 mod ) ( 1 = ≡ + n p u f u n n ( 1)  donde 0 u es e l valor inici al o semilla. Las constantes a  y  c son denominadas el multiplicadory eldesplazamiento,respe ctivamente,delgenera dor.  Este trabajo analiza algunas propiedades cripto gráfica s de este generador, que inclu ye elcasode multiplicadoruno,quesec orrespondeconelcé lebregeneradordePollard.  En las aplicaciones a la criptografía, la semilla 0 u  y las constantes a  y c  se suponen partedelaclavesecreta.Sequiereusarlasalidadelgeneradorcomouncifradodeflujo. Por supuesto, si varios valores consecutivos son revelados, entonces es muy f ácil descubrir 0 u , a  y c . De esta forma, solamente se envían los bits más significativos de cada n u  con la esperanza de que sea difícil predecir la sucesión. En el reciente trabajo [2] se prueba que no muchos bits pueden darse en cada etapa: desafortunadamente, el  generad or cuadrático es  predecible si se  revelan un número suficientemente grande de los bits más significativos de elementos co nsecutivos, tan g rande como un número menor de claves que son excluidas.  Sin embarg o, la mayor parte de los r esultados en [2], requieren excluir una conjunto pequeño de pares ) , ( c a . Si este conjunto p equeño no es excluido, el algoritmo para encontrar la información secreta pue de fallar. En principio, se  puede e sperar que por  una e lección delibera da del pa r ) , ( c a  en este  conjuntoexcluidopueda generarsuce sionescriptográficamentemá sseguras.Elobjetivo de este artículo es demostrar  que esta estrategia no es exitosa.  De hecho, nosotros introducimos algunas modificaciones y añadidos  al método de [ 2] de tal forma que permite atacar los generadores, indep endientemente de donde se elijan los valores a  y c .Mostraremosesteestudioenelcasoenque a y c sonconocidos.Elsupuestodeque a y c sonpúblicos reduce larelevanciadelproblemaen criptografía.Perocreemosque la mejor a de l resulta do es i nteresante  en sí misma. Ade más, tamb ién cr eemos que nuestratéc nicapuedeserextendidacuand o a y c sonambosse cretos.  Asumimos que  la sucesión ) ( n u  no es conocida, pero para alg ún n , son dadas dos aproximaciones 0 w  y  1 w  de dos va lores consecutivos n u  y  1 + n u . Demostraremos que  podemos descubrir en ti empo polinomial los valores n u  y  1 + n u  si las aproximaciones son suficientemente  buenas y si un conjunto pequeño de valores de 0 u  es excluido. (El trabajoen[2] excluye,ademásdel conjuntopara 0 u ,unconjuntopequeño devaloresde ) , ( c a ,enestesen tidonuestroresultadoesmá sfuerte.  Problemas simil ares han sido introducidos p or Knuth [10] para el generador congruente lineal  ,... 1 , 0 mod 1 = + ≡ + n p c ax x n n   ydespuéscon sideradosen[3,4,7,11],vertambiénlostra bajos[ 5,12].  En alguno de estos trabajos se han considerado generadore s no lineales, pero sólo cuando todos los términos se han dado completa mente (ver [ 12]). Ta mbi én se ha estudiadoelprob lemaparaelgeneradorcong ruenteinverso(ver[17]).  ,... 1 , 0 mod 1 1 = + ≡ − + n p c ax x n n   Entodo el trabajo,las palabra st iempopolinomial significa npolinomial en p log .Los resultados involuc ran otro pará metro ∆ , el cual mi de cuanto de aproximados son los valores j w entérminosde j n u + .Este parámetrovaríaindependientementede p sujetoa la de sigualdad p < ∆ , y  no a parece en  la estimación de la complejidad del algoritmo  presentado.   Debemosseñalar que el algoritmo presentado es riguroso yd eterminista (ver[ 2]  para unadiscusiónrig u rosayheurísticadeestetipode  algoritmos).  Comienza el artículo con un breve repaso de los resultados básicos sobre retículas en la Sec ción 2.1 y, polin omios en la Sección 2. 2. En la Sección 3.1  formulamos e l resultado principal y un esquema  de demostración, la cual aparece en l a Sección 3.2. Finalmente, la Sección 4  está dedicada a presentar al gunas comentarios concluyentes y apresentarpr oblem asabiertos.   2.RetículasyPolin omios  2.1.SumariosobreRetículas  Enestasubsecciónrecogemosvariosresultados conocidossobreretículas, queforman losantecede nt esparanuestrosalgor i tmos.  Revisamos varios resultados y de finiciones relacionados sobre retículas (l attices), que puedenencontrarse  en[6].Paramásdetallesyreferenciasmásrecientes,recomenda mos consultar[1,7,8,14-16].  Sea s b b ,... 1 unconjuntodevectore slinealmenteindependientesen r R .Elconjunto  { } Z c c b c b c L s s s ∈ + + = ,..., / ... 1 1 1   sellama retícula s -dimensionalcon base { } s b b ,..., 1 .S i r s = ,la retícula L es de rango máximo.  Acadaretícu la L unopuedeasociarde maneranaturalsuvolumen  ( ) s j i j i b b L vol 1 , , det ) ( = =   donde b a ,  denota el producto escalar, que no d epende de la el ección d e la base { } s b b ,..., 1 .  Dadounvector u ,sea u sunormaeuclídea.ElfamosoTeoremadeMinkowski,(ver Teorema 5.3.6enlaSección5.3de[6]),proporciona unacotasuperior  { } { } s L vol s L z z 1 2 1 ) ( 0 \ : mi n ≤ ∈ ( 2)  de un vector no nulo con  norma mínima, en una retícula s -dimensional L  en términos de su volumen. De hecho, 2 1 s  puede ser substituido por la constante de Hermite 2 1 s γ , paralaquetene mos  ∞ → + ≤ ≤ + s s o s e s o s e s ), ( 2 744 . 1 ) ( 2 1 π γ π   Lacota de Minkowski (2) motiva una preguntanatural: ¿ cómo encontrar  un vector no nuloyconnormamínimaenunaretícula? Diremo squeesun vectorcortodelaretícula. El célebr e algoritmo LLL de Lenstra, Lenstr a y Lovász [ 13] proporciona una solución deseable en la práctica, y se sabe que el proble ma es reso luble en tiempo polinomia l determinista (polinomial en el tamaño-bit de la base de L ) suponiendo que la dimensión de L  esté fijada (ver Kannan [9, Section 3], por ejemplo). Las retículas en este artículo tienen dimensión fija (nótese que se conocen varios indicios de que el problemade lvectormáscortoesNP-c ompletocuandoladimensiónc rece).  De hecho, en este artículo sólo consideramos retículas muy  especiale s.  Concretame nte,  retícula s que consisten en soluciones enteras s s Z x x x ∈ = − ) ,..., ( 1 0  del sistemadecongr uen cias  m j q x a s i j i ij ,..., 1 , mod 0 1 0 = ≡ ∑ − =   módulo algunos enteros m q q ,..., 1 . Típicamente (aunque no siempre) el volumen de una de estas retículas es  el producto m q q Q ··· 1 = . Aún más, todos los algoritmos mencionadosanter iormente,cuandoson aplicadosaunadeestasretículas, seconvierten enpolinomialesen Q log .    2.2.Cerosdepolinomios  Nuestra se gunda herra m ienta básica  es esencialmente e l teoremade  La grange qu e afirma qu e un polinomio no nulo de grado N  sobre cualquier cuerpo no tiene más de N cerosenesecuerpo.  Los polinomios que consideramos pe rtenecen a una cierta f amilia de funciones parametr izada por vectores c on norma pequeña en u na c ierta retíc ula, por tanto el tamaño de la f amilia se puede mantener bajo c ontrol. Los ceros d e esos polinomios lineales se corresponden a valores inicial es p otencialmente “malos”' del gen erador cuadrátic o (1 ). Por tanto, si todos  los polinom ios lineales  en e sta familia no son  idénticamente  cero módulo p  entonc es tenemos una cota superior para el número de valores inicia les “malos”'. Por tanto, una parte crucial de nuestra aproximación es estudiarla posible anulación de polinomios linealesen l a familia anterior y mostrar que estopuedeoc u rrirsóloparamuypocosvalore sde loscoeficien tesdelgenerador(1).   3. Predi ciendo el Generador Cuadrático con Multip l icador y DesplazamientoPúb li cos  3.1.FormulacióndelResultadoPrincipalyPlandeDemostración  Supongamos que el mult iplicador a  y el desplazamiento c  del generador cu adrático sonconocidos.Mostraremosquepodemosr ecuperar 0 u paratodos susposiblesvalores, salvo un conjunto de ) ( 4 ∆ O  elementos, cuando se dan dos ∆ -aproximaciones a dos valoresconsecu tivos 1 , + n n u u producidosporelgeneradorcuadrá tico.Parasimplificarla notación,supondre mosq ue 0 = n apartirdeeste punto.  Teorema. Se an p un número primo, p p F c F a ∈ ∈ , *  y Z ∈ ∆ con p < ∆ ≤ 1 . Entonces existe un conjunto p F c a U ⊆ ∆ ) , ; (  con cardinal ) ( ) , ; ( # 4 ∆ = ∆ O c a U , con la siguie nte propiedad:siempr equ e ) , ; ( 0 c A U u ∆ ∉ ,dadasapr ox imaciones j w talesque 1 , 0 , = ∆ ≤ − j u w j j  a dos valores consecutivos 1 0 , u u  producidos por el generador cuadrático (1), se puede calcular  0 u entiempopolinomialdete rminista.  A continuación mostramos el esquema  del  algoritmo correspondiente a la  demostraciónde  esteTeorema.Ela lgoritmoestádivididoenseisetapa s:  Etapa 1 : Construimos una cierta retícula L  (ver (4) más abajo) de dimensión cuatro que depende de 1 0 , w w  y c a , . Se muestra que un cierto vector e ,  relacionado  con información oculta que buscamos sobre 1 0 , u u , es  un vector “mu y” co rto en esta retícula. Calculamos un  vector no nulo corto ) ,..., ( 3 0 f f f =  en L ; ver [9] para el algoritmoc o rrespondiente.  Etapa 2 : Mostramos que f  proporciona información valiosa sobre e  para todos los posibles va l ores inicial es 0 u  excepto aquellos en un cierto conjunto excepciona l  p F c a V ⊆ ∆ ) , ; (  de cardinal ) ( ) , ; ( # 4 ∆ = ∆ O c a V , que se define como el conjunto de cerosde unaciertafamiliaparamétrica depolinomioslineales.  Etapa 3 : Mostramos que si 0 0 ≠ f  entonces recuperar e  (y  por tanto la información oculta 0 u )esinmediato.Portantoen esecasoelalgoritmotermina enestaetapa.  Etapa 4 : Mostramosque  si 0 0 = f  entonces el vector f  nos permite calcular ent eros r  y s  tales que p s r b mod ≡  (de hecho estos enteros se pueden calcular independiente mente co n el algor itmo de fracc ion es continuas). Usamos esta información, junto con los enteros 1 0 , w w , para c alcular una segun da retícula ' L  (ver (5)) de dimensión tres. De nuevo hay un vector “mu y”  corto ' e  en ' L  que está estrechamente relacionadoconlainfor ma ciónsecreta 0 u .  Etapa 5 : Mostramosquetodos los vectorescortosen ' L son paralelosa ' e  para todos los valore s posibles de 0 u  salvo los de otro conjunto excepciona l  p F c a V ⊆ ∆ ) , ; ( '  de cardinal ) ( ) , ; ( ' 4 ∆ = ∆ O c a V  (que también se define como el co njunto de ceros de una ciertafamiliapa ramétricadepolinomioslineale s).  Etapa 6 : Enc ontramos un ve ctor no nulo c orto ' f  en ' L  y  mostramos que si  ) , ; ( 0 c a U u ∆ ∉ , donde ) , ; ( ' ) , ; ( ) , ; ( c a V c a V c a U ∆ ∪ ∆ = ∆  es trivial re cuperar ' e  (y por  tantoencontrarla informaciónsecreta)  apartirde f  y ' f .   3.2.Demostracióndelresultadoprincipal  El teorema es trivia l cuando p ≥ ∆ 4 , luego supondremos que p < ∆ 4 . Supondremos  que ) , ; ( 0 c a U u ∆ ∉ , conjunto que definiremos gradualmente a lo l argo de la demostración.  Etapa1:Construcc ióndelaretícula L .  Comenzamos definiendo L , y  mostrand o cómo un vec tor corto “normalmente” permiterecupe rar 0 u .  Sean 1 0 , w w l asdos aproximaciones del as que partimos. Severifica entonces que ha y  dosenteros 1 0 , ε ε con: 1 , 0 , = ∆ ≤ + = i w u i i i i ε ε   Tenemosque:  ( ) { { 0 ) 1 ( 2 ) ( 2 0 1 0 0 1 2 0 2 0 0 1 1 0 1 p p p a aw w c aw c w a w u f u ≡ + − + + − + ⇒ + + ≡ + ⇒ ≡ ε ε ε ε ε 3 2 1 4 43 4 42 1 (3) Porlotanto,si L eslaretículadefinidapo relsiguientesistemadec on gruencias:       ∆ ≡ ∆ ≡ ≡ + ∆ − ∆ + ∆ − + − − − mod 0 , mod 0 mod 0 2 ) ( : 2 1 2 0 3 2 1 1 1 0 0 2 1 2 0 x x x p ax x x aw x w c aw L (4)  setienequeelsiguientevector de 4 Z estáen L :  ) , , , ( 2 0 1 0 2 ε ε ε ∆ ∆ ∆ = e   Este vector satisface 2 4 2 4 ∆ = ∆ ≤ e . Sea  ) , , , ( 3 2 1 0 2 f f f f f ∆ ∆ ∆ =  un vector co rto delaretícula , entonces 2 2 ∆ ≤ ≤ e f y,portanto 2 3 2 1 0 2 , 2 , , 2 ∆ ≤ ∆ ≤ ≤ f f f f .  Obsérveseque el vector f  puede ser computado en tiempo polinomial, apart irde los datosdeentra d a.  Etapa2:Definiciónde lp rimerconjuntoexcepcional ) , ; ( c a V ∆ .  Consideramosunter cervectorde L :  ) , , , 0 ( 3 2 1 0 d d d e f f d ∆ ∆ = − =   Sepuedeesperarque d seaelvectornulo,esdecir,losvectores e y f seanparalelos. Desafortunada mente, esto no es cierto en general, demostraremos que  es cierto si 0 1 ≠ d y 0 v nopertenecea l conjunto ) , ; ( c a V ∆ ,quedefinir emosmásadelante .  Porladefinición de L ,  p ad d d aw mod 0 2 3 2 1 0 ≡ + −   Substituye ndo 0 0 0 ε − = u w enestaecuación,o btenemos:  p E u ad u M mod 2 ) ( 0 1 0 ≡ =   donde p d d d a E mod ) 2 ( 2 3 0 1 + − ≡ ε . Si  el polinomio ) ( 0 u M  es no constante, es decir, p d mod 0 1 ≠ ,entonces,f i jado E hayunúnico 0 u verificandoesa  ecuación.  Definimos aho ra ) , ; ( c a V ∆  como el c onjunto de los ele mentos p F v ∈  para los que existealguna combinación 3 * 0 3 2 1 ) , , , ( Z Z d d d × ∈ ε quesatisface  ∆ ≤ ∆ ≤ ∆ ≤ 0 2 3 2 1 , 4 , 4 , ε d d d  p E v ad mod 2 1 ≡   Como la cantidad de valores que E  puede tomar está en ) ( 3 ∆ O , se sigue que ) , ; ( ) , ; ( # c a O c a V ∆ = ∆ .  Ahora, si ) , ; ( 1 0 c a V u ∆ ∉ , entonces debe ser 0 0 1 0 0 1 = − ⇒ = f f d ε . Además, tenemosque p ad d mod 0 3 2 ≡ + −   Etapa3:Predicc ióndel generadorcuando p f mod 0 0 ≠ .  Podemoscalcu larapartirdelosdatosc onocidos  1 0 1 0 − = f f ε   Portanto,conoc emos 0 0 0 ε + = w u y,aplicandoe l generadorcuadrá t ico, 1 u .  Etapa4:Construcciónde l aretícula ' L .  Sabemosque 2 0 ≤ f .Porlotanto,d ebeser 0 0 = f .Así, ) , , 0 , 0 ( 3 2 f f f d ∆ = =  y severificaque p af f mod 3 2 ≡ .  Computamosentonce slosenteroscoprimossiguientes:  ) , ( : , ) , ( : 3 2 3 3 2 2 f f mcd f s f f mcd f r = =   queverifican 2 2 , 2 , mod ∆ ≤ ∆ ≤ ≡ s r p as r .  Delaecuación( 3 )deducimosque  { p r s rw sc sw rw mod 0 2 2 0 1 0 0 1 2 0 ≡ + − + + − ε ε ε 4 4 3 4 4 2 1  Conlosdatosahoracon ocidos,consideramoslasiguienteretícula:       ∆ ≡ ∆ ≡ ≡ + ∆ + ∆ − + − − 2 1 3 0 2 1 2 0 0 3 1 2 0 mod 0 mod 0 mod 0 2 ) ( : ' x x p x x rw x sw sc rw L (5)  Sabemosquecontiene  elvector  ) , , ( ' 1 2 0 0 2 3 ε ε ε s r e − ∆ ∆ =   Además, 3 6 6 6 2 3 16 ' ∆ = ∆ + ∆ + ∆ ≤ e .   Etapa5:Definicióndelse gundoconjuntoexcepcional ) , ; ( ' c a V ∆ .  Demostraremos que todos los vectores cortos de ' L  son paralelos a ' e , a menos que 0 u pertenezcaaunco njunto ) , ; ( ' c a V ∆ quedetalleremos.  Supongamos lo cont rario, luego ex iste un vector ' ' L f ∈  no paralelo al vector ' e  con 3 2 3 ' ' ∆ < ≤ e f ,quetendrála forma ) , , ( ' ' 2 ' 1 2 ' 0 3 f f f f ∆ ∆ =   Podemosacotarsusc omponentesdemaneraparalelaalaetapaa nt erior:  2 ' 2 ' 1 ' 0 ' 0 2 3 , 2 3 , 4 2 3 ∆ < ∆ < ≤ ⇒ < f f f f   Consideramosunterc ervectordeestanuevaretícula: ) , , 0 ( ' ' : ' ' 2 ' 1 2 ' 0 d d e f f d ∆ = − =   Suscomponenteshande satisfacer 3 ' 2 3 3 ' 2 ' 1 ' 1 21 16 2 3 , 9 4 2 3 ∆ < ⇒ ∆ + ∆ < ∆ < ⇒ ∆ + ∆ < d d d d   Porotrolado,porestar  enlaretícula, p d d rw mod 0 2 ' 2 ' 1 0 ≡ + (6)   Utilizando las cotas, tenemos que si p d mod 0 ' 1 ≡ , entonces 0 ' 2 ' 1 = = d d  y  l os vectores ' e  y ' f sonparalelos.Estocontradicelaelecciónde ' f .  Sustituyendo 0 0 0 ε − = u w enlaecuación(6),obtene mos: p E u rd u M mod ' 2 ) ( ' 0 ' 1 0 ≡ =   donde p d d r E mod 2 ' ' 2 ' 1 0 − ≡ ε . Si el polinomio ) ( ' 0 u M  es no constante, es decir, p d mod 0 ' 1 ≠ entonces,fijado ' E hayunúnico 0 u verificandoesaecuación.  Definimos ) , ; ( ' c a V ∆  como el con junto de los elementos p F v ∈  para los que existe algunacombinac ión 3 * 0 ' 2 ' 1 ) , , ( Z Z d d × ∈ ε quesatisface ∆ ≤ ∆ ≤ ∆ ≤ 0 3 ' 2 ' 1 , 21 , 9 ε d d  p E v rd mod 2 ' 1 ≡   Como la cantidad de valores que ' E  puede tomar está en ) ( 3 ∆ O , se sigue que ) ( ) , ; ( ' # 4 ∆ = ∆ O c a V .  Etapa6:Predicciónde l generadorcuando 0 0 p f ≡ .  Utilizamos un algoritmo determinista y  polinomial (ver [9]) para computar un vector corto ' ' L f ∈ , y este  vector debe ser paralelo a ' e . Podemos reconstruir con sencillez ' 0 ' ' f f e = ,loquenosproporciona 0 ε y consecuentemente 0 u .    Finalmente, definiendo ) , ; ( ' ) , ; ( ) , ; ( c a V c a V c a U ∆ ∪ ∆ = ∆ , se concluye la demostración.   4.Conclusione syProblem a sAbiertos  Obviamente, el r esultado presentado es no trivial solamente cuando ) ( 4 1 p O = ∆ . De este modo, aumentando el tamaño pa ra valores ∆  es sumamente important e, incluso considerandolaposibilidaddedisponerd emásde dosaproximacionesconsecutivas.En estesentidopensamosquedando k apr ox imacionesdevaloresconsecutivos,podríamos construir una retícula L  de dim ensión s , de tal forma que el vector asociado e  tenga una norma menor que la raíz k 2 -esima del volumen de la re tí cula k L vol 2 1 ) (  (ver ecuación (3)). Heurísticamente, tendríamos que el vector corto proporciona la solución. Estamos implementado estos métodos en un programa C++ usando la librería NTL, ver [18].  Aparentemente, la  misma técnica s e puede aplicar cuando a  ó c  (o amb os) son desconocidos.  Como ya  hemos menciona do, varios  resultados sobre la prediciendode genera do res no lineales  han sido obtenidos en e l reciente trabajo [2]. Sin embargo, requieren  excluir un cuerto pequeño conjunto de valores ) , ( c a  excepcionales. Creemos que nuestra idea, pued e ser adaptada para sosla yar esteconjunto. De todas formas, ciertamente, esto requiere un trabajo futu ro. No se sabe como predecir generadores no lineales, en el caso d e que el módulo p sea también secreto. Debemos decir q ue el caso de generador lineal  un método heurístico ha si do propuesto en el el trabajo [7]. Sin embargo, no parece inmediato (incluso he urísticamente)  que pue d e ser a daptado a generadoresnolinea l es.   Referencias   [1]M.Ajtai,R.KumarandD.Sivakuma r,“Asievealgorithmfortheshortestlattice vectorproblem”,Proc.33rdACMSy m p.onTheoryofComput.(STOC2001), AssociationforComputing Machinery,2001,601-610.  [2]S.R.Blackburn,D.Gómez-Pére z,J.Gutiérrez,I.Shparlinski,“Predic t ingnonlinear pseudorandomnumber  generators”,MathematicsofComputation,(e nprensa).  [3]J.Boyar,“Inferringsequencespro ducedbypseudorandomnumbergenerators”,J. ACM,36(1989),129-141.  [4]J.Boyar,“Inferringsequencespro ducesbyalinearcongruentialgeneratormissing low-orderbits”,J.Cry ptolog y  1 (1989)177-184.  [5]E.F.BrickellandA .M.Odlyzko,“Cryptanalysis:Asurvey ofrecentresults”, Contemp.Cryptology , IEEEPress,NY,1992,501-540.  [6]M.Grötschel,L . LovászandA.Schrijver,“Geometricalgorithmsandcombinatorial optimization”,Springer-Verlag , Berlin,1993.  [7]A.JouxandJ.Stern,“La t ticereduction:Atoolboxforthecry ptanal yst”,J. Cryptology, 11 (1998),161-185.  [8]R.Kannan,“Algorithmicge om etr y ofnumbers”,AnnualReview o fComp.Sci., 2  (1987),231-267.  [9]R.Kannan,“Minkowski'scon vexbodytheoremandintegerprogramming ”,M ath. Oper.Res., 12 (1987),415-440.  [10]D.E.Knuth,“Deciphering  alinearcongruentialencry pt ion”,IEEETrans.Inf. Theory 31 (1985),49-52.  [11]H.Krawczyk,“H o wtopredictcongruentialgenerators”,J.Algor ithms, 13 (1992), 527-545.  [12]J.C.Lagar ias,“Pseudorandomnumbergeneratorsincryptographyandnumber theory”,Proc.Symp.InAppl.Math.,Ame r.Mat h.Soc.,Providence,RI, 42 (1990), 115-143.  [13]A.K.Lenstra,H. W. Le nst raandL.Lovász,“Factoringpolyn omialswithrational coefficients”,Mathe m atischeAnnalen, 261 (1982),515-534.  [14]D.MicciancioandS.Goldwasse r,Complexity  oflatticeproblems,KluwerAcad. Publ.,2002.  [15]P.Q.Nguyena ndJ .Stern,“Latticereductionincry ptolog y :Anupdate”,in:W. Bosma(Ed),Proc.AN T S-IV,Lect.NotesinComp.Sci.Vol.1838,Spring er-V erlag, Berlin,2000,85-1 12.  [16]P.Q.Nguyena ndJ .Stern,“Thetwofacesoflatticesincryptology ” ,in:J.H. Silverman(Ed),Cryptographya ndLatticesLect.NotesinComp.Sci.Vol.2146, Springer-Verlag,Ber lin,2001,146-180.  [17]H.Niederreitera nd I.E.Shparlinski,“Recentadvancesinthethe oryofnonlinear pseudorandomnumber  generators”,in:K.-T.Fang,F.J.Hickerne l landH.Niederreiter (Eds),Proc.Conf.onMonteCarloa ndQuasi-MonteCarloMethods,2000,Springer- Verlag,Berlin,2002, 86-102.  [18]V.Shoup,“Numbertheory C ++library(NTL)”,version5.3.1,availableat http://www.shoup.net/ntl. 