Користувач:Anna Chopuk/Чернетка

Задачі теорії решіток — це клас задач оптимізації на ґратах (тобто дискретних адитивних підгрупах, заданих на множині ${\displaystyle \mathbb {R} ^{n}}$) .Гіпотетична погана можливість розв'язання таких задач є центральним місцем для побудови стійких криптосистем на ґратах. Для додатків в таких криптосистемах зазвичай розглядаються решітки на векторних просторах (часто ${\displaystyle \mathbb {Q} ^{n}}$) або вільних модулях (часто ${\displaystyle \mathbb {Z} ^{n}}$).

Для всіх задач нижче припустимо, що нам дано (крім інших більш конкретних вхідних даних) базис для векторного простору V і норма N. Для норм зазвичай розглядається L². Однак інші норми, такі як L^p), також розглядаються і з'являються в різних результатах . Нижче в статті ${\displaystyle \lambda (L)}$ означає довжину найкоротшого вектора в решітці L, тобто : ${\displaystyle \lambda (L)=\min _{v\in L\setminus \{\mathbf {0} \}}\|v\|_{N}.}$

Задачі знаходження найкоротшого вектора (ЗНВ)[ред. | ред. код]

У ЗНВ (англ. Shortest vector problem, SVP), для решітки L дані базис векторного простору V і норма N (часто L²) і потрібно знайти ненульовий вектор мінімальної довжини в V за нормою N в решітці L. Іншими словами, виходом алгоритму повинен бути ненульовий вектор v, такий, що  ${\displaystyle N(v)=\lambda (L)}$.

В ${\displaystyle \gamma }$-наближеній версії ЗНВ_γ потрібно найти ненульовий вектор решітки довжини, що не перевищує ${\displaystyle \gamma \lambda (L)}$.

Труднощі[ред. | ред. код]

Тільки точна версія завдання, як відомо, є NP-важкою для рандомізованого відомості ^{[1] [2]}.

Для контрасту, відомо, що еквівалентна задача для рівномірних норм, є NP-важкою ^[3].

Алгоритми для евклідових норм[ред. | ред. код]

Для вирішення точної версії ЗНВ для евклідової норми відомі кілька різних підходів, які можна розбити на два класи — алгоритми, що вимагають суперекспоненціального часу (${\displaystyle 2^{\omega (n)}}$) і ${\displaystyle \operatorname {poly} (n)}$ пам'яті, і алгоритми, що вимагають експоненціального часу і пам'яті (${\displaystyle 2^{\Theta (n)}}$), від розмірності решітки(${\displaystyle 2^{\Theta (n)}}$). У першому класі алгоритмів найбільш значимі алгоритми перерахування решітки ^{[4] [5] [6]} і алгоритми скорочення випадкових вибірок ^{[7] [8]}, в той час як другий клас включає ґраткову просіювання ^{[9] [10] [11]}, обчислення осередків Вороного на решітці ^{[12] [13]} і дискретні гаусові розподілу ^[14]. Відкритою проблемою є, чи існують алгоритми, вирішальні точну ЗНВ за звичайне експоненціальне час (${\displaystyle 2^{O(n)}}$) і вимагають пам'яті, полІномІально залежить від розмірності решітки ^[15].

Для вирішення ${\displaystyle \gamma }$-наближеною версії ЗНВ_γ для ${\displaystyle \gamma >1}$ для евклідової норми кращий відомий підхід базується на використанні редукції базису решітки. Для великих ${\displaystyle \gamma =2^{\Omega (n)}}$ алгоритм Ленстра — Ленстра — Ловаш редукції базису решітки може знайти рішення за полІномІальний час від розмірності решітки. Для малих значень ${\displaystyle \gamma }$ зазвичай використовується блоковий алгоритм Коркіна — Золотарьова (БКЗ, англ. Block Korkine-Zolotarev algorithm, BKZ)^[16][17][18], де вхід алгоритму (розмір блоку ${\displaystyle \beta }$) визначає часову складність і якість виходу — для великих аппроксимаціонних коефіцієнтам ${\displaystyle \gamma }$ достатній малий розмір блоку ${\displaystyle \beta }$ і алгоритм завершується швидко. Для малих ${\displaystyle \gamma }$ вимагається більший ${\displaystyle \beta }$, щоб знайти досить короткі вектора решітки, і алгоритм працює довше. БКЗ-алгоритм всередині використовує алгоритм точного ЗНВ як підпрограми (працює на решітці розмірності, не перевершує ${\displaystyle \beta }$), і загальна складність тісно пов'язана з вартістю цих викликів ЗНВ в розмірності ${\displaystyle \beta }$.

GapSVP[ред. | ред. код]

Завдання ${\displaystyle GapSVP_{\beta }}$ полягає в розрізненні між варіантами ЗНВ, в яких відповідь не перевищує 1 або більше ${\displaystyle \beta }$ може бути фіксованою функцією від розмірності решітки ${\displaystyle n}$. Якщо заданий базис решітки, алгоритм повинен вирішити, буде ${\displaystyle \lambda (L)\leqslant 1}$ або ${\displaystyle \lambda (L)>\beta }$. Подібно до інших завданням з передумовою, алгоритму дозволені помилки у всіх інших випадках.

Іншою версією завдання є ${\displaystyle GapSVP_{\zeta ,\gamma }}$ для деяких функцій ${\displaystyle \zeta ,\gamma }$. Входом алгоритму є базис ${\displaystyle B}$ і число ${\displaystyle d}$. Алгоритм забезпечує, щоб всі вектора в ортогоналізації Грама — Шмідта мали довжину, не меншу 1, щоб ${\displaystyle \lambda (L(B))\leqslant \zeta (n)}$ і щоб ${\displaystyle 1\leqslant d\leqslant \zeta (n)/\gamma (n)}$, де ${\displaystyle n}$ — розмірність. Алгоритм повинен прийняти, якщо ${\displaystyle \lambda (L(B))\leqslant d}$ і відкинути, якщо ${\displaystyle \lambda (L(B))\geqslant \gamma (n).d}$. Для великих ${\displaystyle \zeta }$ (${\displaystyle \zeta (n)>2^{n/2}}$) завдання еквівалентна${\displaystyle GapSVP_{\gamma }}$, оскільки ^[19] препроцесорну крок за допомогою алгоритма ЛЛЛ робить друга умова (а отже, ${\displaystyle \zeta }$) зайвим.

Завдання знаходження найближчого вектору (ЗБВ)[ред. | ред. код]

У ЗБВ (англ. Closest vector problem, CVP) для ґрат L дані бaзис векторного простору V і метрика M (часто L²), а також вектор v в V, але не обов'язково в L. Вимагається знайти вектор в L, найбільш близький до v (у міру M). У ${\displaystyle \gamma }$-приближеній версії ЗБВ_γ, треба знайти вектор ґрат на відстані, що не перевершує ${\displaystyle \gamma }$.

Зв'язок із ЗНВ[ред. | ред. код]

Завдання знаходження найближчого вектору є узагальненням завдання знаходження найкоротшого вектору. Легко показати, що якщо заданий провісник для ЗБВ_γ (визначений нижче)можна вирішити ЗНВ_γ шляхом деяких запитів провісникові^[20]. Природний метод пошуку найкоротшого вектору шляхом запитів до провісника ЗБВ_γ, щоб знайти найближчий вектор, не працює, оскільки 0 є вектором ґрат і алгоритм, потенційно, може повернути 0.

Зведення від ЗНВ_γ до ЗБВ_γ наступне: Припустимо, що входом завдання ЗНВ_γ являється базис ґрат ${\displaystyle B=[b_{1},b_{2},\ldots ,b_{n}]}$. Розглянемо базис ${\displaystyle B^{i}=[b_{1},\ldots ,2b_{i},\ldots ,b_{n}]}$ буде вектором, який повернув алгоритм ЗБВ${\displaystyle \gamma (B^{i},b_{i})}$. Стверджується, що найкоротший вектор в множині ${\displaystyle \{x_{i}-b_{i}\}}$ являється найкоротшим вектором в даній решітці.

Труднощі[ред. | ред. код]

Голдрайх, Миссиансио, Сафра і Seifert показали, що з будь-якої складності ЗНВ витікає така ж складність для ЗБВ^[21]. Використовуючи засоби Арора, Babai, що перевіряється, Stern, Sweedyk показали, що ЗБВ важка для апроксимації до множника ${\displaystyle 2^{\log ^{1-\epsilon }(n)}}$, якщо тільки не ${\displaystyle \operatorname {NP} \subseteq \operatorname {DTIME} (2^{poly(\log n)})}$^[22]. Динур, Киндлер, Сафра посилили це, вказавши NP- трудність з ${\displaystyle \epsilon =(\log \log n)^{c}}$ для ${\displaystyle c<1/2}$^[23].

Сферичне декодування[ред. | ред. код]

Алгоритм для ЗБВ, особливо варіант Фінці і Поста^[24] використовується, наприклад, для виявлення даних у безпровідних системах зв'язку з багатоканальним входом/багатоканальним виходом (MIMO) (для кодованих і розкодованих сигналів) ^[25][26]. У цьому контексті він називається сферичним декодуванням^[27].

Алгоритм був застосований в області цілочисельного дозволу неоднозначності фази такою, що несе GNSS (GPS)^[28]. У цій області це називається LAMBDA- методом.

GapSVP[ред. | ред. код]

Це завдання подібне до завдання GapSVP. Для ${\displaystyle gapcvp_{\beta }}$, входом є базис ґрат і вектор ${\displaystyle v}$, а алгоритм повинен відповісти, яка з умов виконується * існує вектор ґрат, такий, що відстань між ним і ${\displaystyle v}$ не перевершує 1. * будь-який вектор ґрат знаходиться від ${\displaystyle v}$ на відстані, більшому ${\displaystyle \beta }$.

Відомі результати[ред. | ред. код]

Завдання тривіально міститься в класі NP для будь-якого коефіцієнта апроксимації.

Клаус Шнорр^[en] в 1987 показав, що алгоритми з детермінованим поліноміальним часом можуть вирішити завдання ${\displaystyle \beta =2^{O(n(\log \log n)^{2}/\log n)}}$^[29].Айтаі, Кумар, Сивакумар показали, що імовірнісні алгоритми можуть отримати злегка більше кращий коефіцієнт апроксимації ${\displaystyle \beta =2^{O(n\log \log n/\log n)}}$^[30].

У 1993 Банашчик показав, що ${\displaystyle GapCVP_{n}}$ міститься в ${\displaystyle NP\cap coNP}$^[31]. У 2000 Голдрайх і Голдвассер показали, що ${\displaystyle \beta ={\sqrt {n/\log n}}}$ поміщає завдання в класи як NP, так і coAM^[32]. У 2005 Ааронов і Реджев показали, що для деякої константи ${\displaystyle c}$ завдання з ${\displaystyle \beta =c{\sqrt {n}}}$ входить в ${\displaystyle NP\cap coNP}$^[33].

Завдання про найкоротші незалежні вектори[ред. | ред. код]

Якщо дані ґрати L розмірності n, алгоритм повинен видати n лінійно незалежних векторів ${\displaystyle v_{1},v_{2},\ldots ,v_{n}}$, таких, що ${\displaystyle \max \|v_{i}\|<\max _{B}\|b_{i}\|}$, де права частина складається з усіх базисів ${\displaystyle B=\{b_{1},\ldots ,b_{n}\}}$ ґрати.

У ${\displaystyle \gamma }$-приближенній версії, якщо дані ґрати L розмірності n, алгоритм знаходить n лінійно незалежних векторів ${\displaystyle v1,v2,\ldots ,v_{n}}$ довжини ${\displaystyle \max ||v_{i}||\leqslant \gamma \lambda _{n}(L)}$, де ${\displaystyle \lambda _{n}(L)}$ являється ${\displaystyle n}$-м подальшим мінімумом ${\displaystyle L}$.

Декодування з обмеженою відстанню[ред. | ред. код]

Це завдання подібне ЗБВ. Якщо даний вектор, такий, що його відстань від ґрат не перевершує ${\displaystyle \lambda (L)/2}$, алгоритм повинен видати найближчий вектор ґрат.

Завдання покриття ґрат радіусами[ред. | ред. код]

Якщо даний базис для ґрат, алгоритм повинен знайти найбільшу відстань (чи, в деяких версіях, його апроксимацію) від будь-якого вектору до ґрат.

Завдання пошуку найкоротшого базису[ред. | ред. код]

Багато завдань стають простіші, якщо вхідний базис складається з коротких векторів. Алгоритм, який вирішує задачу пошуку найкоротшого базису (ПКБ), повинен по заданому базису ґрат ${\displaystyle B}$ дати еквівалентний базис ${\displaystyle B'}$, такий, що довжина щонайдовшого вектору в ${\displaystyle B'}$ настільки коротка, наскільки можливо.

Апроксимована версія завдання ПКБ_γ полягає в пошуку базису, щонайдовший вектор якого не перевершує по довжині в ${\displaystyle \gamma }$ раз щонайдовшого вектору в найкоротшому базисі.

Використання в криптографії[ред. | ред. код]

Трудність середнього випадку завдань утворює базис для доказу стійкості більшості криптографічних схем. Проте експериментальні дані наштовхують на припущення, що для більшості NP- важких завдань ця властивість відсутня — вони лише важкі у гіршому разі. Для багатьох завдань теорії ґрат припустило або доведено, що вони важкі в середньому, що робить їх привабливими для криптографічних схем. Проте трудність у гіршому разі деяких завдань теорії ґрат використовується для створення схем стійкої криптографії. Використання трудності у гіршому разі в таких схемах поміщає їх в клас дуже небагатьох схем, які, з великою часткою вірогідності, стійкі навіть для квантових комп'ютерів.

Наведені вище завдання теорії ґрат легко вирішуються, якщо даний «хороший» базис. Мету алгоритмів редукції базису по цьому базису ґрат видати новий базис, що полягає їх відносно коротких майже ортогональних векторів. Алгоритм Ленстри — Ленстри — Ловаша редукції базису ґрат був раннім ефективним алгоритмом для цього завдання, який може видати зредукований базис ґрат за поліноміальний час ^[34] Цей алгоритм і його подальші поліпшення були використані для злому деяких криптографічних схем, що сформувало його статус як дуже важливий засіб в криптографії. Успіх ЛЛЛ на експериментальних даних привів до віри, що редукція базису ґрат на практиці може бути простим завданням. Проте ця віра була зруйнована, коли у кінці 1990s-х були отримані нові результати про трудність завдань теорії ґрат, починаючи з результатівАйтаі^[35]. У своїй засадничій роботіАйтаі показав, що ЗНВ був NP- важким і виявив деякі зв'язки між складністю у гіршому разі і складністю в середньому деяких завдань теорії ґрат^[36]. Грунтуючись на цих результатах, Айтаі і Дворк створили криптосистему з відкритим ключем, секретність якої може бути доведена, використовуючи лише гірший випадок трудності певної версії ЗНВ^[37], що було першим результатом по створенню захищених систем з використанням трудності у гіршому разі^[38].

См також[ред. | ред. код]

• Навчання з помилками

Примітки[ред. | ред. код]

Література[ред. | ред. код]

Література для подальшого читання[ред. | ред. код]

• Agrell E., Eriksson T., Vardy A., Zeger K. Closest Point Search in Lattices // IEEE Trans. Inform. Theory. — 2002. — Т. 48, вип. 8. — DOI:10.1109/TIT.2002.800499.

• Daniele Micciancio. The Shortest Vector Problem is \u007BNP\u007D- hard to approximate to within some constant // SIAM Journal on Computing. — 2001. — Т. 30, вип. 6. — С. 2008-2035. — DOI:10.1137/S0097539700373039.

• Phong Q. Nguyen, Jacques Stern. Lattice Reduction in Cryptology : An Update // Proceedings of the 4th International Symposium on Algorithmic Number Theory. — Springer - Verlag, 2000. — С. 85-112. — ISBN 3-540-67695-3.

• Ravi Kannan. Improved Algorithms for Integer Programming and Related Lattice Problems // Proceedings of the Fifteenth Annual ACM Symposium on Theory of Computing. — New York, NY, USA : ACM, 1983. — (STOC) — ISBN 0897910990. — DOI:10.1145/800061.808749.
• Nicolas Gama, Phong Q. Nguyen, Oded Regev. Lattice Enumeration Using Extreme Pruning // [https ://link.springer.com/chapter/10.1007/978-3-642-13190-5 13 Advances in Cryptology - EUROCRYPT 2010]. — Springer, Berlin, Heidelberg, 2010. — DOI:10.1007/978-3-642-13190-5 13.
• Yoshinori Aono, Phong Q. Nguyen. Random Sampling Revisited : Lattice Enumeration with Discrete Pruning // [https ://link.springer.com/chapter/10.1007/978-3-319-56614-6 3 Advances in Cryptology - EUROCRYPT 2017]. — Springer, Cham, 2017. — DOI:10.1007/978-3-319-56614-6 3.
• Daniele Micciancio, Panagiotis Voulgaris. Faster Exponential Time Algorithms for the Shortest Vector Problem // [http: //dl.acm.org/citation.cfm? Id = 1873601.1873720 {{{Заголовок}}}]. — (SODA '10)
• Daniele Micciancio, Panagiotis Voulgaris. A Deterministic Single Exponential Time Algorithm for Most Lattice Problems Based on Voronoi Cell Computations // [http: //doi.acm.org/10.1145/1806689.1806739 {{{Заголовок}}}].
• Becker A., ​​Ducas L., Gama N., Laarhoven T. [http: //epubs.siam.org/doi/10.1137/1.9781611974331.ch2 {{{Заголовок}}}]. — (Proceedings)