격자 문제

컴퓨터 과학에서 격자 문제는 격자라 불리는 수학적 물체와 관련된 최적화 문제의 한 종류다.그러한 문제들의 추측 난해성은 보안 격자 기반 암호 시스템의 구축에 핵심적이다: 격자 문제는 암호화 알고리즘의 보안을 위한 시험 사례를 제공하면서 평균 케이스 하드인 것으로 보여진 NP-하드 문제의 한 예다.또한, 최악의 경우 어려운 일부 격자 문제는 극히 안전한 암호 체계를 위한 기초로 사용될 수 있다.그러한 계획에서 최악의 경도를 사용하는 것은 양자 컴퓨터에도 안전할 가능성이 높은 극소수의 계획들 가운데 하나로 만든다.그러한 암호 시스템에 있는 애플리케이션의 경우 벡터 공간(종종 ${\displaystyle {}^{}}$ ${\$ 또는 무료 모듈(종종 $Z{\displaystyle {\mathbb{}}^{}}$ n ${\$을 통한 격자가 고려된다.

아래의 모든 문제에 대해, 벡터 공간 V와 표준 N에 대한 기초가 주어진다고 가정한다.일반적으로 고려되는 규범은 유클리드 규범 L이다².그러나 다른 규범(L^p 등)도 고려되고 다양한 결과에서 나타난다.^[1]$\lambda {\displaystyle }$( ${\displaystyle L}$) ${\displaystyle \lambda (L)}$은 격자 L에서 가장 짧은 0이 아닌 벡터의 길이, 즉,

${\displaystyle \lambda(L)=\min _{v\in L\smallsetminus \{\mathbf {0}\}\v\ _{N}}}$

최단 벡터 문제(SVP)

SVP에서는 격자 L에 대해 벡터 공간 V와 표준 N(종종 L²)의 기초가 제공되며, N이 측정한 대로 V에서 가장 짧은 0이 아닌 벡터를 L에서 찾아야 한다.즉, 알고리즘은 $N{\displaystyle }$(${\displaystyle v}$)${\displaystyle }$= ${\displaystyle \lambda }$( L${\displaystyle }$) ${\displaystyle N(v)=\lambda (L)}$과 같은 0이 아닌 벡터 v를 출력해야 한다$.$

γ-대략 버전 SVP에서는_γ 주어진${\displaystyle }\gamma {\displaystyle }$ ${\displaystyle 1}$ ${\displaystyle$ $\cdot \lambda$ ($L)}$에 대해$$ 최대 $\gamma {\displaystyle }$ ${\displaystyle \cdot \lambda }$ ( L ){\$displaystyle$ $\gamba \$lambda ($L)}$에서 길이가 0이 아닌 격자 벡터를 찾아야 한다$.$

경도 결과

문제의 정확한 버전은 무작위적인 감소를 위해 NP-hard로 알려져 있다.^[2][3]

이와는 대조적으로, 통일규범에 관한 해당 문제는 NP-hard로 알려져 있다.^[4]

유클리드 규범 알고리즘

유클리드 규범에 따라 SVP의 정확한 버전을 해결하기 위해 몇 가지 다른 접근법을 알 수 있는데, 이 접근법은 초특수 시간(${\displaystyle {2\Omega }^{}}$(${\displaystyle n^{}}$) ${\$과 ${\displaystyle \mathrm{폴리}}$ ${\displaystyle }$($){\displaystystyle \operatorname {poly}(n)$ 메모리가$$ 필요한 알고리즘의 두 종류로 나눌 수 있다.tial 시간과 공간(2 ${\displaystyle {2\mathrm{}}^{}}$ (${\displaystyle n^{}}$ ${\$디스플레이 $스타일$ 2$^{\$격자 치수의 $세타(n$이전의 알고리즘 등급은 격자 열거^[5][6][7] 및 무작위 샘플링 감소를 가장 두드러지게 포함하며,^[8][9] 후자는 격자 체이빙,^[10][11][12] 격자의 보로노이 셀 계산,^[13][14] 이산 가우스 샘플링을 포함한다.^[15]개방적인 문제는 정확한 SVP를 해결하기 위한 알고리즘이 단일 ${\displaystyle {지수}^{}}$ 시간(${\displaystyle {\mathrm{}}^{}}$ O${\displaystyle {}^{}}$( ${\displaystyle n^{}}$) ${\$에서 실행 중이고, 격자 차원에 다항적으로 메모리 스케일링이 필요한지 여부다.^[16]

유클리드 규범에 > 1 ${\displaystyle \gamma >1}$에 대한 γ 근사 버전 SVP를_γ 해결하기 위해, 가장 잘 알려진 접근법은 격자 기준 감소를 사용하는 것에 기초한다.큰 $\gamma {\displaystyle }$= ${\displaystyle {2\Omega \mathrm{}}^{}}$(${\displaystyle n^{}}$){\displaystyle $\gamma =2^{\Oomega (n)}}}}$의 경우$,$ Lenstra-Lenstra-Lovász(LLL) 알고리즘은 격자차원에서 시간 다항식의 솔루션을 찾을 수 있다.더 적은 값 γ{\displaystyle \gamma}내용은 블록 Korkine-Zolotarev 알고리즘(BKZ)[17][18][19]일반적으로, 알고리즘(그blocksize β{\displaystyle \beta})에 입력하는 시간 복잡성과 출력 품질는지를 확인합니다. 큰 근사 요인에 대하여{\displaystyle \gamma}, 작은 블록 크기 γ 사용된다. β{\disp$laystyle \property }$이면 충분하며 알고리즘은 빠르게 종료된다.소형 $\gamma {\displaystyle }$ ${\displaystyle \gamma }$의 경우 충분히 짧은 격자 벡터를 찾으려면 더 큰 $\beta {\displaystyle }$ ${\displaystyle \beta }$이$($가) 필요하며$$, 알고리즘이 솔루션을 찾는데 더 오랜 시간이 걸린다.BKZ 알고리즘은 내부적으로 서브루틴으로서 정확한 SVP 알고리즘을 사용하며(최대 $\beta {\displaystyle }$ ${\displaystyle \beta }$에서 치수 래티스로 실행됨)$$ 전체적인 복잡성은 치수 $\beta {\displaystyle }$ ${\displaystyle \beta }$에서 이러한 SVP 호출 비용과 밀접하게 관련되어 있다$.$

갭SVP

GapSVPβ 부사장의에서 가장 작은 벡터의 길이 대부분은 1{1\displaystyle}을 보거나 격자 n{n\displaystyle}의 차원의β{\beta\displaystyle}가 될 수 있어 고정된 기능 β{\beta\displaystyle},보다 크다 인스턴스를 구별하는 것을 구성된 문제이다.톤을 위한 기반 위he 격자, 알고리즘은 $반드시{\displaystyle }$ ${\displaystyle (}$ (${\displaystyle L}$ )${\displaystyle 1}$ 1$${\$displaystyle \lambda (L)\leq$1} ) ${\displaystyle \lambda (L)\beta$}}}의 여부를 결정해야 한다 다른 약속 문제와 마찬가지로 알고리즘도 다른 모든 경우에 오류가 발생할 수 있다.

그러나 그 문제의 또 다른 버전은 GapSVPζ, 일부 기능에 γ,γ{\displaystyle \zeta ,\gamma}. ζ은 알고리즘에 입력 기본이고 B{B\displaystyle}하며, 숫자 d{\displaystyle d}. 그것은 Gram–Schmidt의 직교의 모든 벡터 길이 최소 1이며λ(L(B))≤된다. ζ(${\displaystyle n}$) ${\displaystyle \lambda (L(B)\leq \zeta (n)}$ 및$$ 그 1 $and{\displaystyle \mathrm{}}$ d${\displaystyle d}$ ${\displaystyle (n}$) /${\displaystyle \gamma }$(${\displaystyle n}$) ${\$$displaystyle$ $1\leq d\leq \zeta (n)/\damma (n)}.$ $여기$서 n$}$은 $차원$이다.만약λ(L(B))≤ d{\displaystyle \lambda(L(B))\leq d}이 알고리즘, 그리고 만약λ(L(B))≥γ(n)을 거절하다 d{\displaystyle \lambda(L(B))\geq \gamma(n).d}. 대규모ζ{\zeta\displaystyle}(ζ(n)>;2n/2{\displaystyle \zeta(n)>, 2^{n/2}}), 그 문제 GapSVPγ bec에 해당합니다를 받아들여야 한다.한 ause[20]LLL 알고리즘을 사용하여 사전 처리를 수행하면 두 번째 조건(따라서, $\zeta {\displaystyle }$ ${\displaystyle \zeta }$)이 중복된다.

가장 가까운 벡터 문제(CVP)

CVP에서는 격자 L에 대한 벡터 공간 V와 미터법 M(종종 L²)의 기초가 제공되며, V에는 벡터 V가 제공되지만 L에는 반드시 제공되지 않는다.v에 가장 가까운 L에서 벡터를 찾는 것이 바람직하다(M으로 측정).$\gamma {\displaystyle }$ ${\displaystyle \gamma}$ - 근사치$$ 버전 CVP에서는_γ $최대{\displaystyle }$ ${\displaystyle \gamma}$의 거리에서 격자 벡터를 찾아야 한다$.$

SVP와의 관계

가장 가까운 벡터 문제는 최단 벡터 문제의 일반화다.CVP용_γ Oracle(아래 정의)을 지정하면 Oracle에 몇 가지 조회를 함으로써 SVP를_γ 해결할 수 있다는 것을 쉽게 보여줄 수 있다.^[21]0은 그 자체가 격자 벡터이고 알고리즘이 잠재적으로 0을 출력할 수 있기 때문에 CVP_γ 오라클을 호출하여 최단 벡터를 찾는 순진한 방법은 효과가 없다.

SVP에서_γ CVP로의_γ 감소는 다음과 같다.Suppose that the input to the SVP_γ is the basis for lattice ${\displaystyle B=[b_{1},b_{2},\ldots ,b_{n}]}$. Consider the basis ${\displaystyle B^{i}=[b_{1},\ldots ,2b_{i},\ldots ,b_{n}]}$ and let ${\displaystyle x_{i}}$ be the vect또는 CVP_γ(Bⁱ, b_i)에 의해 반환된다.그 주장은${\displaystyle {}_{}}${${\displaystyle {}_{}}$ - ${\displaystyle b_{}}$ i$}$ {\$displaystyle \{x_{i}-b_{$i}\}}}의 최단 벡터가 주어진 격자에서 최단 벡터라는$$ 것이다.

경도 결과

Goldreich 외 연구진은 SVP의 경도는 CVP에 대해 동일한 경도를 내포한다는 것을 보여주었다.^[22]PCP기구를 사용하여, Arora(알. 중심정 맥압과 가까워지려고 인자 2로그 1−ϵ⁡(n){\displaystyle 2^{\log ^{1-\epsilon}(n)내에}은 어렵}{\displaystyle \operatorname{문제 없어}\subseteq\operatorname{DTIME}(2^{\operatorname{폴리에스테르}(\log n)})}.[23]Dinur(알.을 강화하지 않는 한 문제 없어)DTIME ⁡(2폴리 ⁡(통나무⁡ n)⊆을 보여 주었다.교육< / 2 ${\displaystyle c<1/2$^[24]에 대해$$$$=${\displaystyle }$(log $\log$ n$)^{c}}$를 사용하여 NP 경도 결과를 제공함으로써.

구 디코딩

CVP 알고리즘,^[6] 특히 핀케와 포스트 변종은 다중 입력 다중 출력(MIMO) 무선 통신 시스템(코딩되지 않은 신호 및 코드화되지 않은 신호용)에서 데이터 검출에 사용되어 왔다.^[25][13]이러한 맥락에서 그것은 많은 CVP 용액의 내부에서 사용되는 반지름 때문에 구체 디코딩이라고 불린다.^[26]

반송파상 GNSS(Garrier-phase GNSS)의 정수 모호성 분해능 분야에 적용되었다.^[27]그 분야에서는 램다(LAMBDA) 방식이라고 한다.동일한 필드에서 일반적인 CVP 문제를 정수 최소 제곱이라고 한다.

GapCVP

이 문제는 GapSVP 문제와 비슷하다.GapSVP의 경우 입력은 격자 기반과 $벡터{\displaystyle }$ v ${\displaystyle v}$로 구성되며$$ 알고리즘은 다음 중 하나가 고정되는지 여부를 답해야 한다._β

• 격자 벡터와 $v{\displaystyle }$ ${\displaystyle v}$ 사이의 거리가 최대$$ 1인 격자 벡터가 있다.
• 모든 격자 벡터는 $v{\displaystyle }$ ${\displaystyle$ \displaystyle v}에서$\beta {\displaystyle }$ ${\$displaystyle \$disp$ }보다 큰 거리에 있다$.$

반대 조건으로는 가장 가까운 격자 벡터가 1 < ()β ${\displaystyle 1<\lambda (L)\leq \beta$ 에 있으므로 이름이 GapCVP이다.

알려진 결과

문제는 근사 인자에 대해 NP에 사소한 것으로 포함되어 있다.

Schnorr, 1987년, 결정론적 다항 시간 알고리즘)β를 위해서는 2O(n(통나무 ⁡ 로그⁡ n)를 해결할 수 있다는 것을 2/로그⁡ nx{\displaystyle\beta =2^{O(n(\log\log n)^{2}/\log nx}}.[28]Ajtai(알을 보여 주었다.는 확률적 알고리즘 수 있기 약간 더 좋은 근사 요인의 β x2O(n로그 ⁡ lo.g⁡${\displaystyle n^{}}$/ ${\displaystyle {\log }^{}}$ $){\$ n$/\log n$^[10]

In 1993, Banaszczyk showed that GapCVP_n is in ${\displaystyle {\mathsf {NP\cap coNP}}}$.^[29] In 2000, Goldreich and Goldwasser showed that ${\displaystyle \beta ={\sqrt {n/\log n}}}$ puts the problem in both NP and coAM.^[30]2005년에 Aharonov와 Regev는 일부 상수 $c{\displaystyle }$ ${\displaystyle$ c$}$에 대해$$$\beta {\displaystyle }$= ${\displaystyle c\sqrt{}}$ ${\$의 문제가$$ ${\displaystyle \mathsf{N}}$ ${\displaystyle \mathsf{P}}$ ${\displaystyle \mathsf{o}\mathsf{o}}$ N P ${\$에 있다는 것을 보여주었다$.$^[31]

하한에 대해서는 1998년 디누르 외 연구진이${\displaystyle {}^{}}$ = n${\displaystyle o^{}}$(${\displaystyle 1^{}}$ / log${\displaystyle {\log }^{}}$ log${\displaystyle {)n}^{}}$){\$displaystyle \beta$ =n$^{o($1/\$log {\n$^[32]에 대해 NP-hard가 문제라는 것을 보여주었다.

최단 독립 벡터 문제(SIVP)

Given a lattice L of dimension n, the algorithm must output n linearly independent ${\displaystyle v_{1},v_{2},\ldots ,v_{n}}$ so that ${\displaystyle \max \ v_{i}\ \leq \max _{B}\ b_{i}\ }$ where the right hand side considers all bases ${\displaystyle B=\{b_1,\dots ,b_n}$${\displaystyle {}_{}\}\}}$ ${\displaystyle B=\{b_{1},\ldots ,b_$${n}\}}.$

In the ${\displaystyle \gamma }$-approximate version, given a lattice L with dimension n, find n linearly independent vectors ${\displaystyle v_{1},v_{2},\ldots ,v_{n}}$ of length ${\displaystyle \max \ v_{i}\ \leq \gamma \lambda _{n}(L)}$, where ${\displaystyle {\lambda }_n(L)}$${\displaystyle \lambda _{n}(L)$은 $n{\displaystyle }$ ${\displaystyle$ n$}$의$$'$th번째$ 연속 최소 $L{\displaystyle }$ ${\displaystyle L}$이다$.$

경계 거리 디코딩

이 문제는 CVP와 비슷하다.격자로부터의 거리가 최대 $\lambda {\displaystyle }$( ${\displaystyle L}$)${\displaystyle }$/ 2 ${\displaystyle \lambda (L)/2}$인 벡터를 사용할 경우 알고리즘은 가장 가까운 격자 벡터를 출력해야 한다$.$

커버 반지름 문제

격자 기초가 주어진 알고리즘은 어떤 벡터로부터 격자까지의 가장 큰 거리(또는 일부 버전에서는 근사치)를 찾아야 한다.

최단기 문제

입력 기준이 짧은 벡터로 구성되면 많은 문제가 쉬워진다.최단 기본 문제(SBP)를 해결하는 알고리즘은 격자 기준 $B{\displaystyle }$ ${\displaystyle B}$을$($를) 주어진 경우 $B{\displaystyle {}^{}}$ ${\displaystyle {\prime }^{}}$ ${\$에서 가장 긴 벡터의 길이가 가능한 짧게 되도록$$$$ 동등한 기준 $B{\displaystyle {}^{}}$ ${\displaystyle {\prime }^{}}$ ${\$ B$'}$을(를) 출력해야 한다.

근사 버전 SBP_γ 문제는 가장 긴 벡터가 최단 기준의 가장 긴 벡터보다 $최대{\displaystyle }$ ${\displaystyle \gamma }$배$$ 긴 기초를 찾는 것으로 구성된다.

암호화에 사용

문제의 평균 사례 경도는 대부분의 암호 체계에서 보안 증명(proof-of-security)의 기초를 형성한다.그러나 실험적인 증거는 대부분의 NP-하드 문제에는 이러한 특성이 결여되어 있다는 것을 시사한다: 그들은 아마도 최악의 경우일 것이다.많은 격자문제는 평균 케이스가 어려운 것으로 추측되거나 입증되어 암호 체계를 기반으로 하는 매력적인 문제 등급이 되었다.더욱이 일부 격자문제의 최악의 경도는 안전한 암호 체계를 만드는 데 사용되었다.그러한 계획에서 최악의 경도를 사용하는 것은 양자 컴퓨터에도 안전할 가능성이 높은 극소수의 계획들 가운데 하나로 만든다.

위의 격자 문제는 알고리즘이 "좋은" 기초를 제공한다면 해결하기가 쉽다.격자 감소 알고리즘은 격자의 기초가 주어진 경우 비교적 짧고 거의 직교 벡터로 구성된 새로운 기준을 출력하는 것을 목표로 한다.Lenstra-Lenstra-Lovasz 격자 기반 감소 알고리즘(LLL)은 다항식 시간에 거의 감소된 격자 기초를 출력할 수 있는 이 문제에 대한 초기 효율적인 알고리즘이었다.^[33]이 알고리즘과 그 추가적 정비는 여러 암호 체계를 깨기 위해 사용되어 암호 분석에서 매우 중요한 도구로서의 지위를 확립했다.실험 데이터에 대한 LLL의 성공은 격자 감소가 실제로 쉬운 문제일 수 있다는 믿음으로 이어졌다.그러나 이러한 믿음은 1990년대 후반 아제타이의 결과를 시작으로 격자 문제의 경도에 관한 몇 가지 새로운 결과를 얻었을 때 도전을 받았다.^[2]

아제이는 그의 논문에서 SVP 문제가 NP-hard임을 보여주었고 최악의 경우 복잡성과 일부 격자 문제의 평균 사례 복잡성 사이의 연관성을 발견했다.^[2][3]이러한 결과를 토대로 아제이와 드워크는 특정 버전의 SVP의 최악의 경도만을 사용하여 보안성을 증명할 수 있는 공개키 암호체계를 만들었고,^[34] 따라서 보안 시스템을 만들기 위해 최악의 경도를 사용한 최초의 결과가 되었다.^[35]

참고 항목

• 오류와 함께 학습
• 짧은 정수 솔루션 문제

참조

추가 읽기

• Agrell, E.; Eriksson, T.; Vardy, A.; Zeger, K. (2002). "Closest Point Search in Lattices". IEEE Trans. Inf. Theory. 48 (8): 2201–2214. doi:10.1109/TIT.2002.800499.
• Micciancio, Daniele (2001). "The Shortest Vector Problem is {NP}-hard to approximate to within some constant". SIAM Journal on Computing. 30 (6): 2008–2035. CiteSeerX 10.1.1.93.6646. doi:10.1137/S0097539700373039.
• Nguyen, Phong Q.; Stern, Jacques (2000). "Lattice Reduction in Cryptology: An Update". Proceedings of the 4th International Symposium on Algorithmic Number Theory. Springer-Verlag. pp. 85–112. ISBN 978-3-540-67695-9.