Lenstra-Lenstra-Lovasz 격자 기반 감소 알고리즘

Lenstra-Lenstra-Lovasz(LLL) 격자 기반 감소 알고리즘은 1982년 Arjen Lenstra, Hendrik Lenstra 및 Laszlo Lovasz가 발명한 다항 시간 격자 감소 알고리즘이다.^[1]Given a basis ${\displaystyle \mathbf {B} =\{\mathbf {b} _{1},\mathbf {b} _{2},\dots ,\mathbf {b} _{d}\}}$ with n-dimensional integer coordinates, for a lattice L (a discrete subgroup of Rⁿ) with ${\displaystyle \ d\leq n}$, the LLL algorithm calculates an LLL-reduced (short, nearLy 직교) 격자 기준 시간(시간)

${\d^{5}n\log ^{3}B)\,}$

where ${\displaystyle B}$ is the largest length of ${\displaystyle \mathbf {b} _{i}}$ under the Euclidean norm, that is, ${\displaystyle B=\max \left(\Vert \mathbf {b} _{1}\Vert _{2},\Vert \mathbf {b} _{2}\Vert _{2},...,\Vert \mathbf$${b} _{d}\Vert _{2}\오른쪽)}$^[2][3].

원래 적용은 합리적인 계수를 가진 다항식들을 인수하기 위한 다항식 시간 알고리즘과 실수에 대한 동시적인 합리적 근사치를 찾고 고정된 치수에서의 정수 선형 프로그래밍 문제를 해결하기 위한 것이었다.

LLL감소

LLL-축소된 LLL의 정확한 정의는 다음과 같다.

${\displaystyle \mathbf {B} =\\\mathbf {b} _{1},\mathbf {b} _{2},\dots,\mathbf {b} _{n}},}$

Gram-Schmidt 공정 직교 기준을 정의한다.

${\displaystyle \mathbf {B} ^{*}=\\\mathbf {b} _{1}^{*},\mathbf {b} _{2}^},\dots,\mathbf {b} _{n}^{*}}}}}}},}}$

그램-슈미트 계수

${\displaystyle \mu _{i,j}={\frac {\langle \mathbf {b} _{i},\mathbf {b} _{j}^{*}\rangle }{\langle \mathbf {b} _{j}^{*},\mathbf {b} _{j}^{*}\rangle }}}$, for any ${\displaystyle 1\leq j<i\leq n}$.

그 다음 (0.25,1)에$$ 매개변수 $\Delta {\displaystyle }$ ${\displaystyle \delta }$이(가) 있는 경우 $기본{\displaystyle }$ B ${\displaystyle B}$은(는) LLL-축소되며 다음과$$ 같이 유지된다.

1. (size-size) < i , 0.${\displaystyle 1\\leq j<i\leq n\colon \left \mu _{i,j}\right \leq$ 0.5$}$ . 정의상, 이 속성은 순서 기준의 길이 감소를 보증한다
2. (Lovász condition) For k = 2,3,..,n ${\displaystyle \colon \delta \Vert \mathbf {b} _{k-1}^{*}\Vert ^{2}\leq \Vert \mathbf {b} _{k}^{*}\Vert ^{2}+\mu _{k,k-1}^{2}\Vert \mathbf {b} _{k-1}^{*}\Vert ^{2}}$.

여기서 $\Delta {\displaystyle }$ ${\displaystyle \delta }$ 매개$$ 변수의 값을 추정하면 기준이 얼마나 잘 축소되는지 결론을 내릴 수 있다.$\Delta {\displaystyle }$ ${\displaystyle \delta }$의 값이 클수록 기본값이 더 많이 감소한다$$.처음에는 A.Lenstra, H. Lenstra and L. Lovász demonstrated the LLL-reduction algorithm for ${\displaystyle \delta ={\frac {3}{4}}}$. Note that although LLL-reduction is well-defined for ${\displaystyle \delta =1}$, the polynomial-time complexity is guaranteed only for ${\displaystyle \delta }$ in ${\disp$$레이스타일 (0.$25,$1)}$.

LLL 알고리즘은 LLL 감소 베이스를 계산한다.기본 벡터가 4보다 큰 크기의 격자에 대해 가능한 한 짧은 기준을 계산하는 알려진 효율 알고리즘은 없다.^[4]하지만, 한LLL-reduced 기준 거의 가능한 한은 절대적인 범위를 나는 c입니다., 1{\displaystyle c_{나는}> 1}은 짧은 첫번째 토대 벡터은 것으로 c1{\displaystyle c_{1}}배가 더 긴 빠른 벡터의 격자, 두번째 기준 벡터는 또한 내에서 c2. {\di$splaystyle c_{2$}}회$$ 연속 최소값 등

적용들

LLL 알고리즘의 초기 성공적인 적용은 앤드류 오들리즈코와 헤르만 테 리에가 메르텐스의 추측을 반증하는 데 사용한 것이었다.^[5]

LLL 알고리즘은 MIMO 탐지 알고리즘과^[6] 공개 키 암호화 방식의 암호화 분석에서 수많은 다른 응용 프로그램들을 발견했다: 배낭 암호 시스템, 특정 설정을 가진 RSA, NTRUEncrypt 등.이 알고리즘은 많은 문제에 대한 정수 해결책을 찾는 데 사용될 수 있다.^[7]

특히 LLL 알고리즘은 정수 관계 알고리즘 중 하나의 핵심을 형성한다.For example, if it is believed that r=1.618034 is a (slightly rounded) root to an unknown quadratic equation with integer coefficients, one may apply LLL reduction to the lattice in ${\displaystyle \mathbf {Z} ^{4}}$ spanned by ${\displaystyle [1,0,0,10000r^{2}],[0,1,0,$$10000r],}$ 및$$${\displaystyle }$[ ${\displaystyle 0,}$ ${\displaystyle 0,}$ ${\displaystyle 1}$, ${\displaystyle 10000}$ ${\displaystyle ]}$ ${\displaystyle [0,0,1,10000]}$.The first vector in the reduced basis will be an integer linear combination of these three, thus necessarily of the form ${\displaystyle [a,b,c,10000(ar^{2}+br+c)]}$; but such a vector is "short" only if a, b, c are small and ${\displaystyle ar^{2}+br+c}$ is even smaller따라서 이 짧은 벡터의 처음 3개 항목은 r을 루트로 갖는 적분 2차 다항식의 계수일 가능성이 높다.이 예에서 LLL 알고리즘은 최단 벡터를 [1, -1, -1, 0.00025]로 찾으며 실제로 $x{\displaystyle {}^{}}$ ${\displaystyle 2{}^{}}$- x${\displaystyle }$- ${\displaystyle 1}$ ${\displaystyle$ x$^{2}-x-1}$은(는) 황금 비율인 1.6180339887과 동일한 루트를 갖는다.

LLL 축소 기준의 특성

Let ${\displaystyle \mathbf {B} =\{\mathbf {b} _{1},\mathbf {b} _{2},\dots ,\mathbf {b} _{n}\}}$ be a ${\displaystyle \delta }$-LLL-reduced basis of a lattice ${\displaystyle {\mathcal {L}}}$. From the definition of LLL-reduced basis, we can derive several other useful proper$B{\displaystyle \mathbf{}}$ ${\$에 대한 타이$.$

1. The first vector in the basis cannot be much larger than the shortest non-zero vector: ${\displaystyle \Vert \mathbf {b} _{1}\Vert \leq (2/({\sqrt {4\delta -1}}))^{n-1}\cdot \lambda _{1}({\mathcal {L}})}$. In particular, for ${\displaystyle \delta =3/4}$,${\displaystyle }$this b ${\displaystyle {\mathrm{}}_{}}$ ${\displaystyle {}_{}}$ ${\displaystyle \le }$ ${\displaystyle {\mathrm{}}^{}}$ ${\displaystyle {(}^{}n\mathcal{}{}^{}}$- 1${\displaystyle {}^{}}$)${\displaystyle {}^{}}$/ ${\displaystyle {2\mathrm{}}^{}}$ ${\displaystyle {}^{}}$ ${\displaystyle {\lambda \mathrm{}}_{}}$ 1${\displaystyle {}_{}}$( L${\displaystyle }$) ${\displaystyle \vert \mathbf {b} _{1}\revert \leq$ 2$^{(n-1)/2}\cdotlambda _{{\mathcal{L$^[8]
2. The first vector in the basis is also bounded by the determinant of the lattice: ${\displaystyle \Vert \mathbf {b} _{1}\Vert \leq (2/({\sqrt {4\delta -1}}))^{(n-1)/2}\cdot (\det({\mathcal {L}}))^{1/n}}$. In particular, for ${\display$$스타일 \delta =3/4$ 이렇게 ${\displaystyle {\mathbf{}}_{}}$ $\Vert {\displaystyle }$ ${\displaystyle {\mathrm{}}_{}}$ 1${\displaystyle {}_{}}$≤${\displaystyle {\mathrm{}}^{}}$2${\displaystyle {}^{}}$(${\displaystyle n{-}^{}}$1${\displaystyle {}^{}}$) / ${\displaystyle {}^{}}$4 ${\displaystyle det}$ (det${\displaystyle )}$ ${\displaystyle 1^{}}$/ n ${\$}}})/$n})^/$n$\}\}\}\}\}\}\}\}\}\}\}\}\}\}\}\}\}\}\}\}\}\}\}\}$
3. The product of the norms of the vectors in the basis cannot be much larger than the determinant of the lattice: let ${\displaystyle \delta =3/4}$, then ${\displaystyle \prod _{i=1}^{n}\Vert \mathbf {b} _{i}\Vert \leq 2^{n(n-1)/4}\cdot \det({\mathcal {L}}$$)}$.

LLL 알고리즘 유사 코드

다음 설명은 에라타 수정과 함께 (호프슈타인, 피퍼 앤 실버맨 2008, 정리 6.68)에 근거한다.^[9]

INPUT 격자 기초 b0, b1,…, bn∈ Zm_{0},\mathbf{\displaystyle \mathbf{b}{b}_{1},\ldots ,\mathbf{b}_{n}\in\mathbb{Z}^{m}}매개 변수 δ{\delta\displaystyle}과 14<δ<1{\displaystyle{\tfrac{1}{4}}<>\delta<1}는 가장 일반적으로 δ는 34{.\displaystyl$e \delta ={\tfrac {3}{4}}}$ PROCEDURE ${\displaystyle \mathbf {B^{\ast }} \gets {\rm {GramSchmidt}}(\{\mathbf {b} _{0},\ldots ,\mathbf {b} _{n}\})=\{\mathbf {b} _{0}^{\ast },\ldots ,\mathbf {b} _{n}^{\ast }\};}$ and do not normalize ${\displaystyle \mu _{i,j}\gets {\frac {\langle \mathbf {b} _{i},\mathbf {b} _{j}^{\ast }\rangle }{\langle \mathbf {b} _{j}^{\ast },\mathbf {b} _{j}^{\ast }\rangle }};}$ using the most current values of ${\displaystyle \mathbf {b} _{i}}$그리고 bj∗{\displaystyle \mathbf{b}_{j}^{\ast}}k1;{\displaystyle k\gets 1;}는 동안 k≤ n{k\leq n\displaystyle}j{j\displaystyle}에 k에서 얻는 것 ← − 1{\displaystyle k-1}에 0{0\displaystyle}더라도μ k, j12{\displaystyle \mu_{k,j}>{\tfrac{1}{2}.}} then ${\displaystyle \mathbf {b} _{k}\gets \mathbf {b} _{k}-\lfloor \mu _{k,j}\rceil \mathbf {b} _{j};}$ Update ${\displaystyle \mathbf {B^{\ast }} }$ and the related ${\displaystyle \mu _{i,j}}$'s as needed.(The naive method is to recompute ${\displaystyle \mathbf {B^{\ast }} }$ whenever ${\displaystyle \mathbf {b} _{i}}$ changes: ${\displaystyle \mathbf {B^{\ast }} \gets {\rm {GramSchmidt}}(\{\mathbf$${b} _{0},\ldots ,\mathbf {b} _{n}\})=\{\mathbf {b} _{0}^{\ast },\ldots ,\mathbf {b} _{n}^{\ast }\};}$)             end if end for if ${\displaystyle \langle \mathbf {b} _{k}^{\ast },\mathbf {b} _{k}^{\ast }\rangle \geq \left(\delta -\$$mu _{k,k-1}^{2}\right)\langle \mathbf {b} _{k-1}^{\ast },\mathbf {b} _{k-1}^{\ast }\rangle }$ then ${\displaystyle k\gets k+1;}$ else             Swap ${\displaystyle \mathbf {b} _{k}}$ and  ${\displaystyle \mathbf {b} _{k-1};}$ Update ${\displaystyle \mathbf {B^{\ast }} }$ and 관련 ${\displaystyle {\mu i,}_{}}$ j ${\$ 필요 시 의$$μs.${\displaystyle k\gets \max(k-1,1);}$ end if end while return ${\displaystyle \mathbf {B} }$ the LLL reduced basis of ${\displaystyle \{b_{0},\ldots ,b_{n}\}}$ OUTPUT     the reduced basis ${\displaystyle \mathbf {b} _{0},$$\mathbf {b} _{1},\ldots ,\mathb {b} _{n}\in \mathb {Z}}}}}}$

예

ℤ의 예

격자 기반 $b{\displaystyle {\mathbf{}}_{}}$ 1,${\displaystyle {}_{}{\mathbf{}}_{}}$ ${\displaystyle {\mathrm{}}_{}}$,${\displaystyle {}_{}}$b ${\displaystyle {\mathrm{}}_{}}$ ${\displaystyle {}_{}}$ ${\displaystyle {\mathbf{}}^{}}$ ${\displaystyle {\mathrm{}}^{}}$ ${\$의 열로 제공하도록 한다$.$

${\displaystyle {\bmatrix}1&#1&3\1&0&5\\1&6\end{bmatrix}}$

그러면 줄어든 근거는

- 2$]$ {\$displaystyle {\bmatrix}0&1$&-1$\\\1&0$\\$0&0\\nd{bmatrix$

크기 감소, 로바스 조건 충족, 따라서 위에서 설명한 것처럼 LLL 감소.W. Bosma를 참조하십시오.^[10]자세한 내용은 다음을 참조하십시오.

ℤ[i]⁴의 예

마찬가지로, 아래 행렬의 열에서 주어진 복잡한 정수에 대한 기초는,

[− 2+2나는 7+3i7+3나는 − 5+4나는 3+3나는 − 2+4나는 6+2나는 − 1+4나는 2+2나는 − 8+0i− 9+1나는 − 7+5나는 8+2나는 − 9+0i6+3나는 − 4+4나는]{\displaystyle{\begin{bmatrix}-2+2i&, 7+3i&, 7+3i&, -5+4i\\3+3i&, -2+4i&, 6+2i&, -1+4i\\2+2i&, -8+0i&, -9+1i&, -7+5i\\8+2i&, -9+0i&am.p/&6+3i&, -4+4i\end{bmatrix}}},

그런 다음 아래 행렬의 열은 LLL 축소 기준을 제공한다.

[− 6+3나는 − 2+2나는 2− 2나는 − 3+6나는 6− 1나는 3+3i5− 5나는 2+1나는 2− 2나는 2+2나는 − 3− 1나는 − 5+3나는 − 2+1나는 8+2나는 7+1나는 − 2− 4나는]{\displaystyle{\begin{bmatrix}-6+3i&, -2+2i&, 2-2i&, -3+6i\\6-1i&, 3+3i&, 5-5i&, 2+1i\\2-2i&, 2+2i&, -3-1i&, -5+3i\\-2+1i&, 8+2i&, 7+1i.&-2-4i\\\end{bmatrix}}}.

구현

LLL 구현 위치:

• 함수로 아라지리lll_reduction_int
• 독립 실행형 구현으로서의 fpLLL
• 함수로서의 PLINTfmpz_lll
• 함수로서의 GAPLLLReducedBasis
• 함수로서의 Macaulay2LLL일괄적으로LLLBases
• 함수로서의 마그마LLL그리고LLLGram(그램 매트릭스 찍기)
• 함수로서의 단풍IntegerRelations[LLL]
• 함수로서의 수학LatticeReduce
• 함수로서의 NTL(숫자 이론 라이브러리)LLL
• 함수의 PARI/GPqflll
• 함수로써 피마트겐analysis.get_lll_reduced_lattice
• 방법으로서의 SageMathLLLfpLLL 및 NTL에 의해 구동
• '공식 교정쇄 보관' 항목에 있는 이사벨/HOLLLL_Basis_Reduction. 이 코드는 효율적으로 실행 가능한 Haskell로 내보낸다.^[11]

참고 항목

• 코퍼스미스법

메모들

참조

• Napias, Huguette (1996). "A generalization of the LLL algorithm over euclidean rings or orders". Journal de Théorie des Nombres de Bordeaux. 8 (2): 387–396. doi:10.5802/jtnb.176.
• Cohen, Henri (2000). A course in computational algebraic number theory. GTM. Vol. 138. Springer. ISBN 3-540-55640-0.
• Borwein, Peter (2002). Computational Excursions in Analysis and Number Theory. ISBN 0-387-95444-9.
• Luk, Franklin T.; Qiao, Sanzheng (2011). "A pivoted LLL algorithm". Linear Algebra and Its Applications. 434 (11): 2296–2307. doi:10.1016/j.laa.2010.04.003.
• Hoffstein, Jeffrey; Pipher, Jill; Silverman, J.H. (2008). An Introduction to Mathematical Cryptography. Springer. ISBN 978-0-387-77993-5.