Mřížkový problém - Lattice problem

v počítačová věda, mřížkové problémy jsou třídou optimalizace problémy související s matematickými objekty zvané mříže. Předpokládaná neřešitelnost takových problémů je ústřední pro konstrukci bezpečných kryptosystémy založené na mřížce: Mřížkové problémy jsou příkladem NP-tvrdé problémy, které se ukázaly jako průměrně těžké, poskytující testovací případ pro bezpečnost kryptografických algoritmů. Kromě toho lze jako základ pro extrémně bezpečná kryptografická schémata použít některé mřížkové problémy, které jsou v nejhorším případě těžké. Použití nejhoršího případu tvrdosti v těchto schématech je řadí mezi velmi málo schémat, která jsou velmi pravděpodobně zabezpečena i proti kvantové počítače. Pro aplikace v takových kryptosystémy mříže vektorový prostor (často ) nebo bezplatné moduly (často ) jsou obecně považovány.

U všech níže uvedených problémů předpokládejme, že jsme dostali (kromě dalších konkrétnějších vstupů) a základ pro vektorový prostor PROTI a a norma N. Normou obvykle považovanou za euklidovskou normu L2. Jiné normy (např Lstr ) jsou také brány v úvahu a projevují se v různých výsledcích.[1] Nechat označit délku nejkratšího nenulového vektoru v mřížce L, to znamená,

Nejkratší vektorový problém (SVP)

Toto je ilustrace nejkratšího vektorového problému (základní vektory v modré barvě, nejkratší vektor v červené barvě).

V SVP, a základ a vektorový prostor PROTI a a norma N (často L2 ) jsou uvedeny pro mřížku L a jeden musí najít nejkratší nenulový vektor v PROTI, měřeno N, v L. Jinými slovy, algoritmus by měl vydávat nenulový vektor proti takhle .

V γ-aproximační verzi SVPy, jeden musí najít nenulový mřížkový vektor délky nanejvýš za dané .

Výsledky tvrdosti

Je známa pouze přesná verze problému NP-tvrdé pro náhodná snížení.[2][3]

Naproti tomu odpovídající problém s ohledem na jednotná norma je známo, že je NP-tvrdé. [4]

Algoritmy pro euklidovskou normu

K vyřešení přesné verze SVP podle euklidovské normy je známo několik různých přístupů, které lze rozdělit do dvou tříd: algoritmy vyžadující nadexponenciální čas () a paměť a algoritmy vyžadující exponenciální čas i prostor () v mřížkové dimenzi. Dřívější třída algoritmů zejména zahrnuje výčet mřížky[5][6][7] a snížení náhodného vzorkování[8][9], zatímco druhý zahrnuje mřížkové prosévání[10][11][12], výpočet Voronoiho buňky mřížky[13][14]a diskrétní Gaussovo vzorkování[15]. Otevřeným problémem je, zda existují algoritmy pro řešení přesných SVP běžící v jediném exponenciálním čase () a vyžadující polynomické škálování paměti v mřížkové dimenzi[16].

Vyřešit γ-aproximační verzi SVPy pro pro euklidovskou normu jsou nejznámější přístupy založeny na použití mřížková redukce základu. Pro velké , Algoritmus Lenstra – Lenstra – Lovász (LLL) může najít řešení v časovém polynomu v mřížkové dimenzi. Pro menší hodnoty , algoritmus Block Korkine-Zolotarev (BKZ)[17][18][19] se běžně používá, kde vstup do algoritmu (velikost bloku ) určuje časovou složitost a kvalitu výstupu: pro velké aproximační faktory , malá velikost bloku postačuje a algoritmus se rychle ukončí. Pro malé , větší jsou potřebné k nalezení dostatečně krátkých mřížkových vektorů a nalezení algoritmu trvá déle. Algoritmus BKZ interně používá přesný algoritmus SVP jako podprogram (běží maximálně v mřížkách dimenze ) a jeho celková složitost úzce souvisí s dimenzemi nákladů na tato volání SVP .

GapSVP

Problém GapSVPβ spočívá v rozlišování mezi instancemi SVP, ve kterých je délka nejkratšího vektoru nejvýše nebo větší než , kde může být pevnou funkcí dimenze mřížky . Vzhledem k základu pro mřížku musí algoritmus rozhodnout, zda nebo . Jako ostatní slibovat problémy, je algoritmus povolen chybovat ve všech ostatních případech.

Ještě další verzí problému je GapSVPζ, γ pro některé funkce . Vstup do algoritmu je základem a číslo . Je zajištěno, že všechny vektory v Gram – Schmidtova ortogonalizace mají délku alespoň 1, a to a to kde je dimenze. Algoritmus musí přijmout, pokud , a odmítnout, pokud . Pro velké (), problém je ekvivalentní GapSVPy protože[20] předzpracování provedené pomocí Algoritmus LLL dělá druhou podmínku (a tedy ) redundantní.

Problém nejbližšího vektoru (CVP)

Toto je ilustrace nejbližšího vektorového problému (základní vektory v modré barvě, externí vektor v zelené barvě, nejbližší vektor v červené barvě).

V CVP je základem vektorového prostoru PROTI a a metrický M (často L2 ) jsou uvedeny pro mřížku L, stejně jako vektor proti v PROTI ale ne nutně v L. Je žádoucí najít vektor v L nejblíže k proti (měřeno M). V - přibližná verze CVPy, jeden musí najít mřížkový vektor na vzdálenost maximálně .

Vztah k SVP

Nejbližší vektorový problém je zobecněním nejkratšího vektorového problému. Je snadné ukázat, že vzhledem k věštec pro CVPy (definováno níže), lze vyřešit SVPy zadáním několika dotazů do věštce.[21] Naivní metoda k nalezení nejkratšího vektoru voláním CVPy věštec najít nejbližší vektor k 0 nefunguje, protože 0 je sám o sobě mřížkový vektor a algoritmus může potenciálně vydávat 0.

Snížení z SVPy do CVPy je následující: Předpokládejme, že vstup do SVPy problém je základem mřížky . Zvažte základ a nechte být vektorem vráceným CVPy(Bi, bi). Tvrzení je, že nejkratší vektor v sadě je nejkratší vektor v dané mřížce.

Výsledky tvrdosti

Goldreich a kol. ukázalo, že jakákoli tvrdost SVP znamená stejnou tvrdost pro CVP.[22] Použitím PCP nástroje, Arora et al. ukázaly, že CVP je v rámci faktoru těžké odhadnout ledaže .[23] Dinur a kol. posílil to tím, že dal výsledek NP-tvrdosti s pro .[24]

Dekódování koule

Algoritmy pro CVP, zejména varianta Fincke a Pohst,[6] byly použity pro detekci dat ve více vstupech více výstupů (MIMO ) bezdrátové komunikační systémy (pro kódované a nekódované signály).[25][13] V této souvislosti se tomu říká koule dekódování vzhledem k vnitřnímu poloměru mnoha řešení CVP.[26]

Aplikuje se v oblasti celočíselného řešení nejednoznačnosti GNSS (GPS) v nosné fázi.[27] To se nazývá Metoda LAMBDA v tom poli. Ve stejné oblasti se obecný problém CVP označuje jako Celé číslo nejmenších čtverců.

GapCVP

Tento problém je podobný problému GapSVP. Pro GapSVPβ, vstup se skládá z mřížkového základu a vektoru a algoritmus musí odpovědět, zda platí jedna z následujících možností:

  • existuje mřížkový vektor takový, že vzdálenost mezi ním a je maximálně 1.
  • každý mřížový vektor je ve vzdálenosti větší než pryč od .

Opačnou podmínkou je, že nejbližší mřížkový vektor je ve vzdálenosti , odtud název MezeraCVP.

Známé výsledky

Problém je triviálně obsažen v NP pro jakýkoli aproximační faktor.

Schnorr v roce 1987 ukázal, že deterministické polynomiální časové algoritmy mohou problém vyřešit .[28] Ajtai a kol. ukázaly, že pravděpodobnostní algoritmy mohou dosáhnout mírně lepšího aproximačního faktoru .[10]

V roce 1993 Banaszczyk ukázal, že GapCVPn je v .[29] V roce 2000 to ukázali Goldreich a Goldwasser staví problém do NP i coAM.[30] V roce 2005 to Aharonov a Regev ukázali pro některé konstantní , problém s je v .[31]

Pro dolní meze Dinur et al. v roce 1998 ukázal, že problém je NP-těžký .[32]

Nejkratší problém s nezávislými vektory (SIVP)

Vzhledem k mřížce L dimenze n, musí být algoritmus na výstupu n lineárně nezávislé aby kde pravá strana zvažuje všechny základy mřížky.

V - přibližná verze, daná mřížka L s rozměrem n, najít n lineárně nezávislé vektory délky , kde je po sobě jdoucí minimum .

Dekódování ohraničené vzdálenosti

Tento problém je podobný CVP. Daný vektor takový, že jeho vzdálenost od mřížky je nanejvýš , musí mít algoritmus výstup nejbližší mřížkový vektor.

Problém pokrytí poloměru

Vzhledem k základu pro mřížku musí algoritmus najít největší vzdálenost (nebo v některých verzích její aproximaci) od libovolného vektoru k mřížce.

Nejkratší základní problém

Mnoho problémů se stává snadnějším, pokud vstupní základ tvoří krátké vektory. Algoritmus, který řeší nejkratší bazální problém (SBP), musí vzhledem k mřížkové bázi , výstup na ekvivalentním základě taková, že délka nejdelšího vektoru v je co nejkratší.

Aproximační verze SBPy problém spočívá v nalezení základny, jejíž nejdelší vektor je nejvýše krát delší než nejdelší vektor v nejkratší bázi.

Použití v kryptografii

Průměrný případ tvrdost problémů tvoří základ pro bezpečnostní důkaz pro většinu kryptografických schémat. Experimentální důkazy však naznačují, že většině NP-tvrdých problémů tato vlastnost chybí: jsou pravděpodobně jen nejhorší. Mnoho problémů s mřížkami bylo vymyšleno nebo se ukázalo jako průměrně těžké, což z nich dělá atraktivní třídu problémů, na nichž lze zakládat kryptografická schémata. Kromě toho byla k vytvoření bezpečných kryptografických schémat použita nejhorší tvrdost některých mřížových problémů. Použití nejhoršího případu tvrdosti v těchto schématech je řadí mezi velmi málo schémat, která jsou velmi pravděpodobně zabezpečena i proti kvantové počítače.

Výše uvedené mřížkové problémy lze snadno vyřešit, pokud je algoritmus vybaven „dobrým“ základem. Mřížová redukce Cílem algoritmů je, vzhledem k základu pro mřížku, vydat nový základ skládající se z relativně krátké, téměř ortogonální vektory. The Lenstra – Lenstra – Lovász algoritmus redukce báze mřížky (LLL) byl časně efektivní algoritmus pro tento problém, který dokázal v polynomiálním čase vydat téměř sníženou mřížkovou bázi.[33] Tento algoritmus a jeho další zdokonalení byly použity k rozbití několika kryptografických schémat, čímž se stanovil jeho status jako velmi důležitého nástroje v dešifrování. Úspěch LLL na experimentálních datech vedl k přesvědčení, že mřížková redukce může být v praxi snadným problémem. Tato víra však byla zpochybněna, když na konci 90. let bylo získáno několik nových výsledků týkajících se tvrdosti mřížových problémů, počínaje výsledkem Ajtai.[2]

Ve svých seminárních pracích Ajtai ukázal, že problém SVP je NP-tvrdý, a objevil určité souvislosti mezi nejhorším případem složitosti a průměrná složitost některých mřížových problémů.[2][3] Na základě těchto výsledků, Ajtai a Dwork vytvořil a kryptosystém veřejného klíče jehož zabezpečení bylo možné prokázat pouze při použití nejhoršího případu určité verze SVP,[34] čímž se stal prvním výsledkem použití nejhoršího případu tvrdosti k vytvoření bezpečných systémů.[35]

Viz také

Reference

  1. ^ Khot, Subhash (2005). "Tvrdost aproximace nejkratšího vektorového problému v mřížkách". J. ACM. 52 (5): 789–808. doi:10.1145/1089023.1089027.
  2. ^ A b C Ajtai, M. (1996). „Generování tvrdých případů mřížových problémů“. Sborník z dvacátého osmého ročníku ACM symposia o teorii práce s počítačem. Philadelphia, Pensylvánie, Spojené státy: ACM. 99–108.
  3. ^ A b Ajtai, Miklós (1998). "Nejkratší vektorový problém v L2 je NP-hard pro náhodná snížení ". Sborník z třicátého ročníku ACM symposia o teorii práce s počítačem. Dallas, Texas, USA: ACM. s. 10–19.
  4. ^ van Emde Boas, Peter (1981). „Další NP-úplný problém a složitost výpočtu krátkých vektorů v mřížce“. Technická zpráva 8104. University of Amsterdam, Katedra matematiky, Nizozemsko.
  5. ^ Kannan, Ravi (1983). Vylepšené algoritmy pro celočíselné programování a související problémy s mřížemi. Proceedings of the Fifthenth Annual ACM Symposium on Theory of Computing. STOC '83. New York, NY, USA: ACM. 193–206. doi:10.1145/800061.808749. ISBN  978-0897910996.
  6. ^ A b Fincke, U .; Pohst, M. (1985). „Vylepšené metody pro výpočet vektorů krátké délky v mřížce, včetně analýzy složitosti“. Matematika. Comp. 44 (170): 463–471. doi:10.1090 / S0025-5718-1985-0777278-8.
  7. ^ Gama, Nicolas; Nguyen, Phong Q .; Regev, Oded (2010-05-30). Mřížkový výčet pomocí extrémního prořezávání. Pokroky v kryptologii - EUROCRYPT 2010. Přednášky z informatiky. 6110. Springer, Berlín, Heidelberg. 257–278. doi:10.1007/978-3-642-13190-5_13. ISBN  978-3-642-13189-9.
  8. ^ Schnorr, Claus Peter (2003-02-27). Redukce mřížky náhodným vzorkováním a narozeninami. Stacs 2003. Přednášky z informatiky. 2607. Springer, Berlín, Heidelberg. str. 145–156. CiteSeerX  10.1.1.137.4293. doi:10.1007/3-540-36494-3_14. ISBN  978-3540364948.
  9. ^ Aono, Yoshinori; Nguyen, Phong Q. (2017-04-30). Náhodné vzorkování znovu navštíveno: Výčet mřížky s diskrétním prořezáváním (PDF). Pokroky v kryptologii - EUROCRYPT 2017. Přednášky z informatiky. 10211. Springer, Cham. str. 65–102. doi:10.1007/978-3-319-56614-6_3. ISBN  978-3-319-56613-9.
  10. ^ A b Ajtai, Miklós; Kumar, Ravi; Sivakumar, D. (2001). „Algoritmus síta pro nejkratší problém vektoru mřížky“. Sborník z třicátého třetího ročníku sympózia ACM o teorii práce s počítačem. Hersonissos, Řecko: ACM. str. 601–610.
  11. ^ Micciancio, Daniele; Voulgaris, Panagiotis (2010). Rychlejší exponenciální časové algoritmy pro nejkratší vektorový problém. Proceedings of the Twenty-first Annual ACM-SIAM Symposium on Discrete Algorithms. SODA '10. Philadelphia, PA, USA: Společnost pro průmyslovou a aplikovanou matematiku. 1468–1480. ISBN  9780898716986.
  12. ^ Becker, A .; Ducas, L .; Gama, N .; Laarhoven, T. (2015-12-21). Msgstr "Nové směry v hledání nejbližšího souseda pomocí aplikací k mřížkovému prosévání". Sborník z dvacátého sedmého výročního sympozia ACM-SIAM o diskrétních algoritmech. Řízení. Společnost pro průmyslovou a aplikovanou matematiku. s. 10–24. doi:10.1137 / 1.9781611974331.ch2. ISBN  978-1-61197-433-1.
  13. ^ A b Agrell, E .; Eriksson, T .; Vardy, A .; Zeger, K. (2002). „Hledání nejbližšího bodu v mřížích“. IEEE Trans. Inf. Teorie. 48 (8): 2201–2214. doi:10.1109 / TIT.2002.800499.
  14. ^ Micciancio, Daniele; Voulgaris, Panagiotis (2010). Deterministický jednorázový exponenciální časový algoritmus pro většinu mřížkových problémů založený na výpočtech Voronoiových buněk. Proceedings of the Forty-second ACM Symposium on Theory of Computing. STOC '10. New York, NY, USA: ACM. str. 351–358. CiteSeerX  10.1.1.705.3304. doi:10.1145/1806689.1806739. ISBN  9781450300506.
  15. ^ Aggarwal, Divesh; Dadush, Daniel; Regev, Oded; Stephens-Davidowitz, Noah (2015). Řešení nejkratšího vektorového problému v 2N čase pomocí diskrétního Gaussova vzorkování: Rozšířený abstrakt. Sborník ze čtyřicátého sedmého výročního sympozia ACM o teorii práce s počítačem. STOC '15. New York, NY, USA: ACM. str. 733–742. doi:10.1145/2746539.2746606. ISBN  9781450335362.
  16. ^ Micciancio, Daniele (01.07.2017). „Lattice Cryptography - Shortest Vector Problem“.
  17. ^ Schnorr, C. P. (01.01.1987). „Hierarchie algoritmů redukce báze polynomiální časové mřížky“. Teoretická informatika. 53 (2): 201–224. doi:10.1016/0304-3975(87)90064-8.
  18. ^ Schnorr, C. P .; Euchner, M. (01.08.1994). „Snížení mřížkové báze: Vylepšené praktické algoritmy a řešení problémů se součtem podmnožiny“ (PDF). Matematické programování. 66 (1–3): 181–199. doi:10.1007 / bf01581144. ISSN  0025-5610.
  19. ^ Chen, Yuanmi; Nguyen, Phong Q. (04.12.2011). BKZ 2.0: Lepší odhady zabezpečení mřížky. Pokroky v kryptologii - ASIACRYPT 2011. Přednášky z informatiky. 7073. Springer, Berlín, Heidelberg. str. 1–20. doi:10.1007/978-3-642-25385-0_1. ISBN  978-3-642-25384-3.
  20. ^ Peikert, Chris (2009). „Kryptosystémy veřejného klíče od nejhoršího nejkratšího vektorového problému: rozšířený abstrakt“. Sborník 41. ročníku sympozia ACM o teorii práce s počítačem. Bethesda, MD, USA: ACM. 333–342.
  21. ^ Micciancio, Daniele; Goldwasser, Shafi (2002). Složitost mřížových problémů. Springer.
  22. ^ Goldreich, O .; et al. (1999). Msgstr "Aproximace nejkratších vektorů mřížky není obtížnější než aproximace nejbližších vektorů mřížky". Inf. Proces. Lett. 71 (2): 55–61. doi:10.1016 / S0020-0190 (99) 00083-6.
  23. ^ Arora, Sanjeev; et al. (1997). Tvrdost přibližných optim v mřížkách, kódech a soustavách lineárních rovnic. J. Comput. Syst. Sci. 54. 317–331. doi:10.1109 / SFCS.1993.366815. ISBN  978-0-8186-4370-5.
  24. ^ Dinur, I .; et al. (2003). „Přibližovat CVP na téměř polynomiální faktory je NP-tvrdé“. Combinatorica. 23 (2): 205–243. doi:10.1007 / s00493-003-0019-r.
  25. ^ Biglieri, E .; Calderbank, R .; Constantinides, Anthony G.; Goldsmith, A .; Paulraj, A .; Chudák, H. V. (2007). Bezdrátová komunikace MIMO. Cambridge: Cambridge U. P.
  26. ^ Wang, Ping; Le-Ngoc, Tho (2011). "Algoritmus dekódování sférické sféry se zlepšenými strategiemi nastavení poloměru". Bezdrátová osobní komunikace. 61 (1): 189–200. doi:10.1007 / s11277-010-0018-4.
  27. ^ Hassibi, A .; Boyd, S. (1998). Msgstr "Odhad parametrů celého čísla v lineárních modelech s aplikacemi pro GPS". IEEE Trans. Sig. Proc. 46 (11): 2938–2952. CiteSeerX  10.1.1.114.7246. doi:10.1109/78.726808.
  28. ^ Schnorr, C. P. „Faktorování celých čísel a výpočet diskrétní logaritmy prostřednictvím aproximace diophantinem ". Pokroky v kryptologii: Sborník z eurokryptu '91.
  29. ^ Banaszczyk, W. (1993). Msgstr "Nové meze v některých větách přenosu v geometrii čísel". Matematika. Ann. 296 (1): 625–635. doi:10.1007 / BF01445125.
  30. ^ Goldreich, Oded; Goldwasser, Shafi (1998). „O mezích nepřibližnosti mřížových problémů“. Sborník z třicátého ročníku ACM symposia o teorii práce s počítačem. Dallas, Texas, USA: ACM. s. 1–9.
  31. ^ Aharonov, Dorit; Oded Regev (2005). "Mřížové problémy v NP coNP ". J. ACM. 52 (5): 749–765. CiteSeerX  10.1.1.205.3730. doi:10.1145/1089023.1089025.
  32. ^ Dinur, I .; Kindler, G .; Safra, S. (1998). „Aproximace CVP na téměř polynomiální faktory je NP-tvrdá“. Sborník 39. výroční sympozia o základech informatiky. IEEE Computer Society. str. 99. ISBN  978-0-8186-9172-0.
  33. ^ Lenstra, A. K .; Lenstra, H. W., Jr.; Lovász, L. (1982). "Faktorování polynomů s racionálními koeficienty" (PDF). Matematika. Ann. 261 (4): 515–534. doi:10.1007 / BF01457454. Archivovány od originál (PDF) dne 17.07.2011.
  34. ^ Ajtai, Miklós; Dwork, Cynthia (1997). „Kryptosystém veřejného klíče s rovnocenností nejhorších / průměrných případů“. Sborník z dvacátého devátého ročníku sympozia ACM o teorii práce s počítačem. El Paso, Texas, USA: ACM. 284–293.
  35. ^ Cai, Jin-Yi (2000). "Složitost některých mřížových problémů". Algoritmická teorie čísel. Přednášky z informatiky. 1838. s. 1–32. doi:10.1007/10722028_1. ISBN  978-3-540-67695-9.

Další čtení