哈克·贝内特;阿图尔甘菊;普拉·佩塔沙瓦查;史蒂芬·达维多维茨,诺亚 \(\mathbb{Z}^n\)的旋转到底有多难?最简单格的算法和密码学。 (英语) Zbl 1528.94035号 Hazay,Carmit(编辑)等人,《密码学进展–EUROCRYPT 2023》。第42届密码技术理论与应用国际年会,法国里昂,2023年4月23日至27日。诉讼程序。第五部分查姆:施普林格。莱克特。注释计算。科学。14008, 252-281 (2023). 摘要:我们研究了在(mathbb{Z}^n)的旋转中寻找最短非零向量的计算问题,我们称之为(mathbb{Z})SVP。确定\(\mathbb{Z}\)SVP的多项式时间算法是否存在一直是一个悬而未决的问题,现在有一系列漂亮的工作表明如何在某些非常特殊的情况下有效地解决它。然而,尽管进行了所有这些工作,但被证明可以求解(mathbb{Z})SVP的已知最快算法仍然是求解SVP的最快已知算法(即,在任意格中寻找最短非零向量的问题),其运行时间为(2^{n+o(n)}。因此,我们把为(mathbb{Z})SVP寻找有效算法的目标(也许是不可能的)放在一边,而是询问对于这个问题我们还能说些什么。例如,我们能找到比最著名的SVP算法有任何非平凡的加速吗?而且,如果\(\mathbb{Z}\)SVP实际上很难,那么会产生什么后果?我们的结果如下。1我们证明了在某种意义上,(mathbb{Z}\operatorname{SVP})严格地比任意格上的SVP容易。特别地,我们展示了如何在相同维中将(mathbb{Z})SVP约简为SVP的近似版本(实际上,对于任何常量近似因子,甚至可以约简为唯一SVP)。这样的减少似乎不太可能对SVP本身起作用,所以我们将其视为(mathbb{Z})SVP与SVP的定性分离。作为这种约简的结果,我们得到了(mathbb{Z}\operatorname{SVP})的一个时间算法,即在一般格上的第一个非平凡SVP算法的加速比。(事实上,这种简化适用于更一般的格类——具有非大\(\lambda_1\)的半稳定格。)2我们展示了一个简单的公钥加密方案,如果(的适当变体)\(\mathbb{Z}\operatorname{SVP}\)实际上很难,该方案是安全的。具体来说,如果(在最坏的情况下)很难区分(mathbb{Z}^n)的旋转与所有非零向量都长于(sqrt{n/\log n})的格或平滑参数明显小于平滑参数的格,那么我们的方案是安全的。后一个结果与反向Minkowski定理有着有趣的定性联系,在某种意义上说“(mathbb{Z}^n)具有最大的平滑参数”。三我们给出了(mathbb{Z}^n)旋转的基的分布,这样,如果(mathbb{Z}\operatorname{SVP})对于任何输入基都是困难的,那么(mathbb2{Z}\operator name{SVP})在输入上是困难的。这为(mathbb{Z}^n)的硬基抽样问题提供了一个令人满意的理论解决方案T.L.空白和S.D.米勒【Lect.Notes Compute.Sci.12841,319–338(2021;Zbl 1485.94059号)]. 这种从最坏情况到平均情况的减少也在我们的加密方案的分析中得到了重要的应用。(在最近的独立作品中,作为本作品之前的预印本出现,L.Ducas(多卡斯)和W.van Woerden先生[同上,13277、643–673(2022年;Zbl 1502.94033号)]对一般格显示了本质上相同的东西,并且他们也用它来分析公钥加密方案的安全性。类似的想法也出现在[D.现金等人,《密码学杂志》25,第4期,601-639(2012;Zbl 1277.94017号)], [一、哈维和O.雷格夫,摘自:2014年1月5日至7日在美国俄勒冈州波特兰举行的第25届年度ACM-SIAM离散算法研讨会论文集,SODA 2014。宾夕法尼亚州费城:工业和应用数学学会(SIAM);纽约州纽约市:计算机协会(ACM)。391–404 (2014;Zbl 1421.68085号)]在不同的上下文中。)4我们进行了实验,以确定实际的基约简如何在以不同方式生成的\(mathbb{Z}^n)的基上执行,以及启发式筛选算法如何在\(mathbb{Z{^n)上执行。我们的基减少实验是对Blanks和Miller所做实验的补充和补充,因为我们使用了一类更大的算法(即更大的块大小),并研究了上述基的“可证明的硬”分布。我们的筛选实验证实,启发式筛选算法在(mathbb{Z}^n)上的性能与预期一致。关于整个系列,请参见[Zbl 1525.94005号]. 引用于1审查引用于2文件 理学硕士: 94A60 密码学 65年第68季度 算法和问题复杂性分析 2016年11月 数字理论算法;复杂性 68周05 非数值算法 关键词:公开密钥加密方案;\(\mathbb{Z}^n\)的旋转基数 引文:Zbl 1485.94059号;Zbl 1502.94033号;Zbl 1277.94017号;Zbl 1421.68085号 软件:霍克;github;fpLLL公司 PDF格式BibTeX公司 XML格式引用 \textit{H.Bennett}等人,Lect。注释计算。科学。14008252-281(2023年;Zbl 1528.94035) 全文: 内政部 参考文献: [1] Aggarwal,D.,Chen,Y.,Kumar,R.,Li,Z.,Stephens-Davidowitz,N.:不同标准下SVP和CVP之间的保维减少。输入:SODA(2021) [2] Aggarwal,D.,Dadush,D.,Regev,O.,Stephens-Davidowitz,N.:使用离散高斯采样解决时间内的最短向量问题。致:STOC(2015)·Zbl 1321.68426号 [3] 阿加瓦尔,D。;Dubey,CK,针对唯一最短向量问题的改进硬度结果,Inf.Process。莱特。,116, 10, 631-637 (2016) ·Zbl 1362.68094号 ·doi:10.1016/j.ipl.2016年5月16日 [4] 阿尔布雷希特,MR;Göpfert,F。;维迪亚,F。;Wunder,T。;Takagi,T。;Peyrin,T.,《重新审视解决uSVP的预期成本及其在LWE中的应用》,《密码学进展——ASIACRYPT 2017》,297-322(2017),查姆:斯普林格,查姆·Zbl 1420.94034号 ·doi:10.1007/978-3-319-70694-8_11 [5] Aono,Y.,Espitau,T.,Nguyen,P.Q.:随机格:理论与实践。https://espitau.github.io/bin/random_lattice.pdf [6] Bennett,H.,Ganju,A.,Peetathawatchai,P.,Stephens-Davidowitz,N.:关于求解旋转SVP的实验(mathbb{Z}^N(2021))。https://github.com/poonpura/Experiments-on-Solving-SVP-on-Rotations-of-Z-n [7] Bennett,H.,Ganju,A.,Peetathawatchai,P.,Stephens-Davidowitz,N.:旋转(mathbb{Z}^N)有多难?最简单格的算法和密码学(2021)。https://eprint.iacr.org/2021/1548 [8] Bennett,H.,Little,R.:重温BGPS循环密码系统:实现、挑战和攻击。预印本(2023) [9] 空白,TL;米勒,SD;Cheon,JH;Tillich,J-P,生成密码学强随机点阵基和识别(mathbb{Z}^n)的旋转,后量子密码学,319-338(2021),Cham:Springer,Cham·Zbl 1485.94059号 ·doi:10.1007/978-3-030-81293-5_17 [10] Brakerski,Z。、Langlois,A。、Peikert,C。、Regev,O。、Stehlé,D。:错误学习的经典硬度。致:STOC(2013)·Zbl 1293.68159号 [11] Cash,D.,Hofheinz,D.,Kiltz,E.,Peikert,C.:盆景树,或如何委托晶格基。J.加密。25(4),601-639(2012),EUROCRYPT 2010中的初步版本。doi:10.1007/978-3-642-13190-5_27·Zbl 1277.94017号 [12] Chandrasekaran,K。;甘迪科塔,V。;Grigorescu,E.,《判定构造-A格的正交性》,SIAM J.Discret。数学。,31, 2, 1244-1262 (2017) ·Zbl 1430.94102号 ·doi:10.1137/15M1054766 [13] Dachman-Soled,D。;杜卡斯,L。;龚,H。;罗西,M。;Micciancio,D。;Ristenpart,T.,LWE,附带信息:攻击和具体安全评估,密码学进展-密码2020,329-358(2020),查姆:斯普林格,查姆·Zbl 1504.94128号 ·doi:10.1007/978-3-030-56880-1_12 [14] Ducas,L.,Postlethwaite,E.W.,Pulles,Legal,van Woerden,W.:Hawk:LIP模块使格子签名快速、紧凑、简单。收录:Asiacrypt(2023)。doi:10.1007/978-3-031-22972-53·Zbl 1519.94220号 [15] Ducas,L.,van Woerden,W.:关于格同构问题、二次型、显著格和密码学。包含:EUROCRYPT(2022)。doi:10.1007/978-3-031-07082-2-23·Zbl 1502.94033号 [16] FPLLL开发团队:FPLLL,一个晶格约简库,版本:5.4.1。https://github.com/fplll/fplll, [17] Geißler,K.,Smart,N.P.:计算整数矩阵分解。In:加密与编码(2003)·Zbl 1123.94338号 [18] Gentry,C.,Peikert,C.,Vaikuntanathan,V.:硬格和新密码结构的陷阱门。致:STOC(2008)·Zbl 1231.68124号 [19] Gentry,C。;Szydlo,M。;Knudsen,LR,修订的NTRU签名方案的密码分析,密码学进展-EUROCRYPT 2002,299-320(2002),海德堡:施普林格·Zbl 1055.94015号 ·数字对象标识代码:10.1007/3-540-46035-7_20 [20] Haviv,I.,Regev,O.:关于晶格同构问题。In:SODA(2014)·Zbl 1421.68085号 [21] Hoeffing,W.,有界随机变量和的概率不等式,美国统计协会,58,13-30(1963)·Zbl 0127.10602号 ·doi:10.1080/016214591963.10500830 [22] Hunkenschröder,C.:确定晶格是否具有正交基属于co-NP(2019) [23] 阿拉斯加州伦斯特拉;Lenstra,HW Jr;Lovász,L.,有理系数因式分解多项式,数学。《年鉴》,261,4,515-534(1982)·Zbl 0488.12001号 ·doi:10.1007/BF01457454 [24] 伦斯特拉,HW;Silverberg,A。;JA加雷;Gennaro,R.,《重新审视gentry-Szydlo算法》,《密码学进展-密码学2014》,280-296(2014),海德堡:斯普林格,海德伯格·兹比尔1343.94070 ·doi:10.1007/978-3-662-44371-2_16 [25] 伦斯特拉,HW;Silverberg,A.,《对称晶格》,J.Cryptol。,30, 3, 760-804 (2017) ·Zbl 1377.94060号 ·doi:10.1007/s00145-016-9235-7 [26] Li,J.,Nguyen,P.Q.:从Rankin不等式逼近最密集的子格。LMS J.计算。数学。17(A),92-111(2014)·Zbl 1296.11087号 [27] Li,J.,Nguyen,P.Q.:重新审视计算格基础。In:ISAAC(2019)·Zbl 1467.11125号 [28] 柳巴舍夫斯基,V。;Micciancio,D。;Halevi,S.,《关于有界距离解码、唯一最短向量和最小距离问题》,《密码学进展-密码2009》,577-594(2009),海德堡:斯普林格,海德伯格·Zbl 1252.94084号 ·doi:10.1007/978-3-642-03356-8_34 [29] Micciancio,D。;Regev,O.,基于高斯测度的最坏情况到平均情况缩减,SIAM J.Compute。,37, 1, 267-302 (2007) ·Zbl 1142.68037号 ·doi:10.1137/S0097539705447360 [30] Micciancio,D.,Voulgaris,P.:最短向量问题的更快指数时间算法。In:SODA(2010)·Zbl 1288.94076号 [31] Nguyen,P.Q.,Pujet,L.:格中本原集和生成元的概率(2022) [32] Peikert,C.,《格密码十年》,《基础趋势理论》。计算。科学。,10, 4, 283-424 (2016) ·Zbl 1391.94788号 ·数字对象标识代码:10.1561/0400000074 [33] Regev,O.:LLL算法(2004)。https://cims.nyu.edu/regev/teaching/glattices_fall_2004/ln/lll.pdf [34] Regev,O.,Stephens-Davidowitz,N.:反向Minkowski定理。致:STOC(2017)·兹比尔1370.11073 [35] Stephens-Davidowitz,N.:离散高斯采样减少为CVP和SVP。In:SODA(2016)·Zbl 1410.68175号 [36] Stephens-Davidowitz,N.:近似因子(略)大于1的晶格问题的搜索决策约简。输入:APPROX(2016)·Zbl 1398.68685号 [37] Stephens-Davidowitz,N.:晶格算法(2020)。https://www.youtube.com/watch?v=o4Pl-0Q5-q0,作为西蒙斯学院格子学期的一部分进行演讲·Zbl 1504.94174号 [38] Szydlo,M。;Biham,E.,GGH和NTRU签名的超立方晶格约简和分析,密码学进展-EUROCRYPT 2003,433-448(2003),海德堡:斯普林格,海德伯格·兹比尔1038.94558 ·doi:10.1007/3-540-39200-9_27 此参考列表基于出版商或数字数学图书馆提供的信息。它的项目与zbMATH标识符启发式匹配,并且可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。