Krátký celočíselný problém řešení - Short integer solution problem

Krátké celé číslo řešení (SIS) a ring-SIS problémy jsou dva průměrný-případové problémy, které se používají v kryptografie založená na mřížce stavby. Kryptografie založená na mřížce začala v roce 1996 ze klíčového díla Ajtai^[1] který představil rodinu jednosměrných funkcí založených na problému SIS. Ukázal, že v průměrném případě je bezpečný, pokud nejkratší vektorový problém ${ displaystyle mathrm {SVP} _ { gamma}}$ (kde ${ displaystyle gamma = n ^ {c}}$ pro nějakou konstantu ${ displaystyle c> 0}$) je v nejhorším případě obtížný.

Průměrné problémy s případy jsou problémy, které je obtížné vyřešit pro některé náhodně vybrané instance. Pro kryptografické aplikace není nejhorší případ složitosti dostatečný a musíme zaručit, že kryptografická konstrukce bude tvrdá na základě průměrné složitosti případu.

Mříže

A plná hodnost mříž ${ displaystyle { mathfrak {L}} podmnožina mathbb {R} ^ {n}}$ je sada celočíselných lineárních kombinací ${ displaystyle n}$ lineárně nezávislé vektory ${ displaystyle {b_ {1}, ldots, b_ {n} }}$, pojmenovaný základ:

${ displaystyle { mathfrak {L}} (b_ {1}, ldots, b_ {n}) = left { sum _ {i = 1} ^ {n} z_ {i} b_ {i}: z_ {i} in mathbb {Z} right } = {B { boldsymbol {z}}: { boldsymbol {z}} in mathbb {Z} ^ {n} }}$

kde ${ displaystyle B in mathbb {R} ^ {n krát n}}$ je matice mající ve svých sloupcích základní vektory.

Poznámka: Dáno ${ displaystyle B_ {1}, B_ {2}}$ dvě základny pro mříž ${ displaystyle { mathfrak {L}}}$existují unimodulární matice ${ displaystyle U_ {1}}$ takhle ${ displaystyle B_ {1} = B_ {2} U_ {1} ^ {- 1}, B_ {2} = B_ {1} U_ {1}}$.

Ideální mříž

Definice: Provozovatel rotačního posunu zapnutý ${ displaystyle mathbb {R} ^ {n} (n geq 2)}$ je označen ${ displaystyle operatorname {rot}}$, a je definována jako:

${ displaystyle forall { boldsymbol {x}} = (x_ {1}, ldots, x_ {n-1}, x_ {n}) in mathbb {R} ^ {n}: operatorname {rot } (x_ {1}, ldots, x_ {n-1}, x_ {n}) = (x_ {n}, x_ {1}, ldots, x_ {n-1})}$

Cyklické mřížky

Micciancio představen cyklické mřížky ve své práci na zobecnění kompaktu batoh problém na libovolné kroužky.^[2] Cyklická mříž je mříž, která je uzavřena pod operátorem rotačního posunu. Formálně jsou cyklické mřížky definovány takto:

Definice: Mříž ${ displaystyle { mathfrak {L}} subseteq mathbb {Z} ^ {n}}$ je cyklický, pokud ${ displaystyle forall { boldsymbol {x}} in { mathfrak {L}}: operatorname {rot} ({ boldsymbol {x}}) in { mathfrak {L}}}$.

Příklady:^[3]

1. ${ displaystyle mathbb {Z} ^ {n}}$ sama o sobě je cyklická mříž.
2. Mřížky odpovídající libovolnému ideálu v kvocientovém polynomiálním kruhu ${ displaystyle R = mathbb {Z} [x] / (x ^ {n} -1)}$ jsou cyklické:

uvažujme kvocient polynomiálního kruhu ${ displaystyle R = mathbb {Z} [x] / (x ^ {n} -1)}$a nechte ${ displaystyle p (x)}$ být nějaký polynom v ${ displaystyle R}$, tj. ${ displaystyle p (x) = součet _ {i = 0} ^ {n-1} a_ {i} x ^ {i}}$ kde ${ displaystyle a_ {i} in mathbb {Z}}$ pro ${ displaystyle i = 0, ldots, n-1}$.

Definujte koeficient vložení ${ displaystyle mathbb {Z}}$-izomorfismus modulu ${ displaystyle rho}$ tak jako:

${ displaystyle { begin {zarovnaný} quad rho: R & rightarrow mathbb {Z} ^ {n} [4pt] rho (x) = sum _ {i = 0} ^ {n-1 } a_ {i} x ^ {i} & mapsto (a_ {0}, ldots, a_ {n-1}) end {zarovnáno}}}$

Nechat ${ displaystyle I podmnožina R}$ být ideální. Mřížka odpovídá ideálu ${ displaystyle I podmnožina R}$, označeno ${ displaystyle { mathfrak {L}} _ {I}}$, je sublattice z ${ displaystyle mathbb {Z} ^ {n}}$, a je definován jako

${ displaystyle { mathfrak {L}} _ {I}: = rho (I) = left {(a_ {0}, ldots, a_ {n-1}) mid sum _ {i = 0} ^ {n-1} a_ {i} x ^ {i} v I vpravo } podmnožina mathbb {Z} ^ {n}.}$

Teorém: ${ displaystyle { mathfrak {L}} podmnožina mathbb {Z} ^ {n}}$ je cyklický právě tehdy ${ displaystyle { mathfrak {L}}}$ odpovídá nějakému ideálu ${ displaystyle I}$ v kvocientu polynomiálního kruhu ${ displaystyle R = mathbb {Z} [x] / (x ^ {n} -1)}$.

důkaz:${ displaystyle Leftarrow)}$ My máme:

${ displaystyle { mathfrak {L}} = { mathfrak {L}} _ {I}: = rho (I) = left {(a_ {0}, ldots, a_ {n-1}) mid sum _ {i = 0} ^ {n-1} a_ {i} x ^ {i} in I right }}$

Nechat ${ displaystyle (a_ {0}, ldots, a_ {n-1})}$ být libovolným prvkem v ${ displaystyle { mathfrak {L}}}$. Poté definujte ${ displaystyle p (x) = součet _ {i = 0} ^ {n-1} a_ {i} x ^ {i} v I}$. Ale od ${ displaystyle I}$ je ideální, máme ${ displaystyle xp (x) v I}$. Pak, ${ displaystyle rho (xp (x)) v { mathfrak {L}} _ {I}}$. Ale, ${ displaystyle rho (xp (x)) = operatorname {rot} (a_ {0}, ldots, a_ {n-1}) in { mathfrak {L}} _ {I}}$. Proto, ${ displaystyle { mathfrak {L}}}$ je cyklický.

${ displaystyle Rightarrow)}$

Nechat ${ displaystyle { mathfrak {L}} podmnožina mathbb {Z} ^ {n}}$ být cyklická mříž. Proto ${ displaystyle forall (a_ {0}, ldots, a_ {n-1}) in { mathfrak {L}}: operatorname {rot} (a_ {0}, ldots, a_ {n-1 }) v { mathfrak {L}}}$.

Definujte množinu polynomů ${ displaystyle I: = left { sum _ {i = 0} ^ {n-1} a_ {i} x ^ {i} mid (a_ {0}, ldots, a_ {n-1} ) v { mathfrak {L}} vpravo }}$:

1. Od té doby ${ displaystyle { mathfrak {L}}}$ mříž a tedy aditivní podskupina ${ displaystyle mathbb {Z} ^ {n}}$, ${ displaystyle I podmnožina R}$ je aditivní podskupina ${ displaystyle R}$.
2. Od té doby ${ displaystyle { mathfrak {L}}}$ je cyklický, ${ displaystyle forall p (x) in I: xp (x) in I}$.

Proto, ${ displaystyle I podmnožina R}$ je ideální a následně ${ displaystyle { mathfrak {L}} = { mathfrak {L}} _ {I}}$.

Ideální mříž^[4][5]

Nechat ${ displaystyle f (x) v mathbb {Z} [x]}$ být monický polynom stupně ${ displaystyle n}$. Pro kryptografické aplikace ${ displaystyle f (x)}$ je obvykle vybrán jako neredukovatelný. Ideál generovaný ${ displaystyle f (x)}$ je:

${ displaystyle (f (x)): = f (x) cdot mathbb {Z} [x] = {f (x) g (x): forall g (x) in mathbb {Z} [X]}.}$

Kvocient polynomiální kruh ${ displaystyle R = mathbb {Z} [x] / (f (x))}$ oddíly ${ displaystyle mathbb {Z} [x]}$ do tříd ekvivalence polynomů stupně nanejvýš ${ displaystyle n-1}$:

${ displaystyle R = mathbb {Z} [x] / (f (x)) = vlevo { součet _ {i = 0} ^ {n-1} a_ {i} x ^ {i}: a_ {i} in mathbb {Z} vpravo }}$

kde sčítání a násobení jsou redukovány modulo ${ displaystyle f (x)}$.

Zvažte koeficient vložení ${ displaystyle mathbb {Z}}$-izomorfismus modulu ${ displaystyle rho}$. Pak každý ideální ${ displaystyle R}$ definuje sublattice z ${ displaystyle mathbb {Z} ^ {n}}$ volala ideální mříž.

Definice: ${ displaystyle { mathfrak {L}} _ {I}}$, mřížka odpovídá ideálu ${ displaystyle I}$, se nazývá ideální mříž. Přesněji řečeno, zvažte kvocient polynomiálního kruhu ${ displaystyle R = mathbb {Z} [x] / (p (x))}$, kde ${ displaystyle (p (x))}$ je ideál generovaný titulem ${ displaystyle n}$ polynomiální ${ displaystyle p (x) v mathbb {Z} [x]}$. ${ displaystyle { mathfrak {L}} _ {I}}$, je sublattice z ${ displaystyle mathbb {Z} ^ {n}}$, a je definována jako:

${ displaystyle { mathfrak {L}} _ {I}: = rho (I) = left {(a_ {0}, ldots, a_ {n-1}) mid sum _ {i = 0} ^ {n-1} a_ {i} x ^ {i} v I vpravo } podmnožina mathbb {Z} ^ {n}.}$

Poznámka:^[6]

1. Ukázalo se, že ${ displaystyle { text {GapSVP}} _ { gamma}}$ i pro malé ${ displaystyle gamma = operatorname {poly (n)}}$ je obvykle snadné na ideálních mřížích. Intuice spočívá v tom, že algebraické symetrie způsobují, že minimální vzdálenost ideálu leží v úzkém, snadno vypočítatelném rozsahu.
2. Využitím poskytnutých algebraických symetrií v ideálních mřížkách lze převést krátký nenulový vektor na ${ displaystyle n}$ lineárně nezávislé (téměř) stejné délky. Proto na ideálních mřížích ${ displaystyle mathrm {SVP} _ { gamma}}$ a ${ displaystyle mathrm {SIVP} _ { gamma}}$ jsou ekvivalentní s malou ztrátou.^[7] Navíc i pro kvantové algoritmy ${ displaystyle mathrm {SVP} _ { gamma}}$ a ${ displaystyle mathrm {SIVP} _ { gamma}}$ jsou v nejhorším případě velmi těžké.

Krátký celočíselný problém řešení

SIS a Ring-SIS jsou dva průměrný případové problémy, které se používají v kryptografických konstrukcích založených na mřížce. Kryptografie založená na mřížce začala v roce 1996 ze klíčového díla Ajtai^[1] který představil rodinu jednosměrných funkcí založených na problému SIS. Ukázal, že v průměrném případě je bezpečný, pokud ${ displaystyle mathrm {SVP} _ { gamma}}$ (kde ${ displaystyle gamma = n ^ {c}}$ pro nějakou konstantu ${ displaystyle c> 0}$) je v nejhorším případě obtížný.

SIS_n,m,q,β

Nechat ${ displaystyle A in mathbb {Z} _ {q} ^ {n krát m}}$ být ${ displaystyle n krát m}$ matice se záznamy v ${ displaystyle mathbb {Z} _ {q}}$ který se skládá z ${ displaystyle m}$ rovnoměrně náhodné vektory ${ displaystyle { boldsymbol {a_ {i}}} v mathbb {Z} _ {q} ^ {n}}$: ${ displaystyle A = [{ boldsymbol {a_ {1}}} | cdots | { boldsymbol {a_ {m}}}]}}$. Najděte nenulový vektor ${ displaystyle { boldsymbol {x}} v mathbb {Z} ^ {m}}$ takové, že:

• ${ displaystyle | { boldsymbol {x}} | leq beta}$
• ${ displaystyle f_ {A} ({ boldsymbol {x}}): = A { boldsymbol {x}} = { boldsymbol {0}} in mathbb {Z} _ {q} ^ {n}}$

Řešení pro SIS bez požadovaného omezení délky řešení (${ displaystyle | { boldsymbol {x}} | leq beta}$) lze snadno vypočítat pomocí Gaussova eliminace technika. Také požadujeme ${ displaystyle beta$, v opačném případě ${ displaystyle { boldsymbol {x}} = (q, 0, ldots, 0) in mathbb {Z} ^ {m}}$ je triviální řešení.

Aby bylo možné zaručit ${ displaystyle f_ {A} ({ boldsymbol {x}})}$ má netriviální, krátké řešení, požadujeme:

• ${ displaystyle beta geq { sqrt {n log q}}}$, a
• ${ displaystyle m geq n log q}$

Teorém: Pro všechny ${ displaystyle m = operatorname {poly} (n)}$, jakýkoli ${ displaystyle beta> 0}$a jakékoli dostatečně velké ${ displaystyle q geq beta n ^ {c}}$ (pro každou konstantu ${ displaystyle c> 0}$), Řešení ${ displaystyle operatorname {SIS} _ {n, m, q, beta}}$ s nezanedbatelnou pravděpodobností je přinejmenším stejně těžké jako řešení ${ displaystyle operatorname {GapSVP} _ { gamma}}$ a ${ displaystyle operatorname {SIVP} _ { gamma}}$ pro některé ${ displaystyle gamma = beta cdot O ({ sqrt {n}})}$ s vysokou pravděpodobností v nejhorším případě.

Ring-SIS

Problém Ring-SIS, kompaktní analogový problém SIS založený na kruhu, byl studován v roce.^[2][8] Uvažují o kvocientovém polynomiálním kruhu ${ displaystyle R = mathbb {Z} [x] / (f (x))}$ s ${ displaystyle f (x) = x ^ {n} -1}$ a ${ displaystyle x ^ {2 ^ {k}} + 1}$, respektive, a rozšířit definici norma na vektorech v ${ displaystyle mathbb {R} ^ {n}}$ na vektory v ${ displaystyle R ^ {m}}$ jak následuje:

Vzhledem k vektoru ${ displaystyle { vec { boldsymbol {z}}} = (p_ {1}, ldots, p_ {m}) v R ^ {m}}$ kde ${ displaystyle p_ {i} (x)}$ jsou některé polynomy v ${ displaystyle R}$. Zvažte koeficient vložení ${ displaystyle mathbb {Z}}$-izomorfismus modulu ${ displaystyle rho}$:

${ displaystyle { begin {aligned} & rho: R rightarrow mathbb {Z} ^ {n} [3pt] rho (x) & = sum _ {i = 0} ^ {n-1 } a_ {i} x ^ {i} mapsto (a_ {0}, ldots, a_ {n-1}) end {zarovnáno}}}$

Nechat ${ displaystyle { boldsymbol {z_ {i}}} = rho (p_ {i} (x)) v Z ^ {n}}$. Definujte normu ${ displaystyle { vec { boldsymbol {z}}}}$ tak jako:

${ displaystyle | { vec { boldsymbol {z}}} |: = { sqrt { sum _ {i = 1} ^ {m} | { boldsymbol {z_ {i}}} | ^ {2}}}}$

Alternativně se lepší představy o normě dosáhne využitím kanonické vkládání. Kanonické vložení je definováno jako:

${ displaystyle { begin {zarovnané} sigma: R = mathbb {Z} / (f (x)) & rightarrow mathbb {C} ^ {n} p (x) & mapsto (p ( alpha _ {1}), ldots, p ( alpha _ {n}) end {zarovnáno}}}$

kde ${ displaystyle alpha _ {i}}$ je ${ displaystyle i ^ {th}}$ komplexní kořen ${ displaystyle f (x)}$ pro ${ displaystyle i = 1, ldots, n}$.

R-SIS_m,q,β

Vzhledem k kvocientu polynomiálního kruhu ${ displaystyle R = mathbb {Z} [x] / (f (x))}$, definovat

${ displaystyle R_ {q}: = R / qR = mathbb {Z} _ {q} [x] / (f (x))}$. Vybrat ${ displaystyle m}$ nezávislé rovnoměrně náhodné prvky ${ displaystyle a_ {i} v R_ ​​{q}}$. Definujte vektor ${ displaystyle { vec { boldsymbol {a}}}: = (a_ {1}, ldots, a_ {m}) v R_ ​​{q} ^ {m}}$. Najděte nenulový vektor ${ displaystyle { vec { boldsymbol {z}}}: = (p_ {1}, ldots, p_ {m}) v R ^ {m}}$ takové, že:

• ${ displaystyle | { vec { boldsymbol {z}}} | leq beta}$
• ${ displaystyle f _ { vec { boldsymbol {a}}} ({ vec { boldsymbol {z}}}): = { vec { boldsymbol {a}}} ^ {, t}. { vec { boldsymbol {z}}} = součet _ {i = 1} ^ {m} a_ {i} .p_ {i} = 0 v R_ ​​{q}}$

Připomeňme, že k zajištění existence řešení problému se SIS požadujeme ${ displaystyle m cca n log q}$. Problém Ring-SIS nám však poskytuje větší kompaktnost a účinnost: abychom zaručili existenci řešení problému Ring-SIS, požadujeme ${ displaystyle m cca log q}$.

Definice: The nega-cirkulační matice z ${ displaystyle b}$ je definován jako:

${ displaystyle { text {pro}} quad b = součet _ {i = 0} ^ {n-1} b_ {i} x ^ {i} v R, quad operatorname {rot} (b ): = { begin {bmatrix} b_ {0} & - b_ {n-1} & ldots & -b_ {1} [0.3em] b_ {1} & b_ {0} & ldots & -b_ {2} [0.3em] vdots & vdots & ddots & vdots [0.3em] b_ {n-1} & b_ {n-2} & ldots & b_ {0} end {bmatrix} }}$

Když je kvocient polynomiální kruh ${ displaystyle R = mathbb {Z} / (x ^ {n} +1)}$ pro ${ displaystyle n = 2 ^ {k}}$, množení prstenů ${ displaystyle a_ {i} .p_ {i}}$ lze efektivně vypočítat prvním formováním ${ displaystyle operatorname {rot} (a_ {i})}$, nega-cirkulační matice ${ displaystyle a_ {i}}$a poté se znásobí ${ displaystyle operatorname {rot} (a_ {i})}$ s ${ displaystyle rho (p_ {i} (x)) v Z ^ {n}}$, vektor vkládacího koeficientu ${ displaystyle p_ {i}}$ (nebo alternativně s ${ displaystyle sigma (p_ {i} (x)) v Z ^ {n}}$, vektor kanonického koeficientu).

Navíc problém R-SIS je zvláštním případem problému SIS, kde je matice ${ displaystyle A}$ v SIS je problém omezen na negacirculant bloky: ${ displaystyle A = [ operatorname {rot} (a_ {1}) | cdots | operatorname {rot} (a_ {m})]}$.^[9]

Viz také

• Mřížková kryptografie
• Homomorfní šifrování
• Vyzvánění s výměnou klíčů chyb
• Postkvantová kryptografie
• Mřížkový problém

Reference