關於使用隨機數 k 的一部分已知位對 ECDSA 的格子攻擊

我是密碼學領域的新手，我在理解一個關於攻擊 ECDSA 所需的格維數的概念時遇到了一些麻煩，其中使用了多個消息，每個隨機數都有 L 個已知位。在論文“Recovering Secrets from Prefix-Dependant Leakage”中

在第 5 節“ECDSA 的應用”中，作者指出，如果我們有一個大小為 n 的組，並且我們能夠知道每個簽名的隨機數的 k 位，那麼我們需要的消息數（這也是晶格的維數）由下式給出：d = n / (k - c)，其中 c = log2(sqrt(πe/2))。

我不明白他們是從哪裡得到這種關係的，常數 c 也不是從哪裡來的。我讀過很多論文，但無法真正確定出處。

我真的很感謝你的幫助。謝謝！

該常數源自所謂的高斯啟發式，用於預測隨機格的最短向量的預期長度。為了使攻擊起作用，必須確保他正在尋找的特殊向量是最短的，以便可以找到它。因此，我們將要找到的向量的長度與最短格向量的預期長度進行比較。

引用自：https://crypto.stackexchange.com/questions/63053