Lattice Cryptography 格密码概述
Date: October 06, 2025
Author:@3cH0_Nu1L
嗯博客运营至今阅读量终于突破了10w,新的方向,新的开始,新的挑战嗯
目录
- Lattice 格的历史发展
- 格的数学基础与理论推导
- 格基与格基约化算法
- 格的基本属性及关键概念
- SVP 最短向量问题深度解析
- CVP 最近向量问题理论与算法
- SIVP 最短独立向量问题研究
- LWE 问题及密码学应用
- 格密码的构造原理与实现
- NIST 后量子密码标准详解
- 全同态加密与高级应用
- 最新研究进展与技术突破
- 产业化应用与实践案例
- 安全性分析与攻击防御
- 结论与未来展望
1. Lattice 格的历史发展
1.1 早期数学基础(1840-1980)
格理论的研究起源可以追溯到 1611 年开普勒提出的堆球猜想,但真正的数学基础建立于 19 世纪。1840 年前后,高斯(Carl Friedrich Gauss)正式引进了格的概念,并证明了在三维空间中堆球的最大密度。
高斯的贡献:
- 证明了在三维空间中,如果所有球心构成格,那么堆积密度的最大值是\(\pi/\sqrt{18} \approx 0.74048\)
- 深入研究了格的几何性质,为后续格理论的发展奠定了基础
闵可夫斯基的工作:
1896 年,闵可夫斯基发表了《数的几何》,系统地发展了格理论:
- 提出了著名的闵可夫斯基定理
- 建立了格的基本理论框架
- 为格在数论中的应用奠定了基础
1.2 算法突破阶段(1982-1996)
1982 年是格理论发展的重要转折点,Lenstra、Lenstra 和 Lovász 提出了著名的LLL 算法(Lenstra-Lenstra-Lovász 算法)。
LLL 算法的主要贡献:
- 提供了第一个多项式时间的格基约化算法
- 能够将任意格基转换为 "好基"(短且接近正交的基)
- 为解决格上的困难问题提供了有效工具
LLL 算法的时间复杂度:\(O(n^6 \log^3 q)\),其中\(n\)是格的维度,\(q\)是最大元素的绝对值。
密码分析应用:
LLL 算法在密码学和计算数论中有着广泛的应用:
- 攻击背包密码系统
- 破解低指数 RSA
- 求解整数规划问题
- 证明了格密码的可证明安全性
1.3 第一代格密码(1996-2005)
1996 年,Miklós Ajtai 发表了开创性论文《Generating Hard Instances of Lattice Problems》,首次将格上的平均情况困难问题与最坏情况困难问题联系起来,奠定了格密码的理论基础。
重要里程碑:
- 1996 年:Ajtai 提出 SIS(Short Integer Solution)问题
- 1997 年:Ajtai-Dwork 密码体制问世,这是第一个基于格的密码体制
- 1999 年:Goldreich、Goldwasser 和 Halevi 提出 GGH 密码体制
- 1998 年:Hoffstein、Pipher 和 Silverman 提出 NTRU 加密方案
Ajtai 的革命性贡献:
Ajtai 首次证明了可以将格上的最坏情况困难问题归约到平均情况困难问题,这为格密码的安全性提供了坚实的理论基础。
1.4 第二代格密码(2005 - 至今)
2005 年,Oded Regev 在 STOC 会议上发表了《On Lattices, Learning with Errors, Random Linear Codes, and Cryptography》,提出了 LWE(Learning With Errors)问题,这标志着格密码进入了快速发展阶段。
关键发展:
- 2005 年:Regev 证明 LWE 问题与格上困难问题相关,并构建了基于 LWE 的公钥密码方案
- 2008 年:Gentry、Peikert、Vaikuntanathan 提出格基陷门函数
- 2009 年:Gentry 提出第一个完全同态加密方案
- 2011 年:Lyubashevsky、Peikert、Regev 提出格基数字签名
- 2013 年:Brakerski、Vaikuntanathan 提出 Ring-LWE 的同态加密方案
- 2016 年:NIST 启动后量子密码标准化项目
- 2022 年:NIST 选定 CRYSTALS-Kyber 和 CRYSTALS-Dilithium 作为标准
- 2024 年:NIST 发布 FIPS 203、204、205 后量子密码标准
1.5 格密码发展时间线
年份研究者重要贡献意义1840高斯引入格的数学概念,研究格堆积问题将格从物理直觉抽象为数学结构1896闵可夫斯基发表《数的几何》,系统发展格理论建立格理论的数学基础1982Lenstra-Lenstra-Lovász提出 LLL 算法首个多项式时间格基约化算法1996Ajtai提出隐藏超平面问题及其归约首次实现平均 - 最坏情况归约1997Ajtai-Dwork提出第一个基于格的密码系统现代格密码学的诞生1998Hoffstein-Pipher-Silverman提出 NTRU 加密方案首个实用的格密码方案2005Regev提出 LWE 问题格密码的重大理论突破2009Gentry提出第一个完全同态加密方案密码学 "圣杯" 的实现2016NIST启动后量子密码标准化项目推动格密码走向标准化2022NIST选定 Kyber 和 Dilithium 作为标准格密码成为国际标准2024NIST发布 FIPS 203/204/205 标准格密码正式进入主流应用2. 格的数学基础与理论推导
2.1 格的严格数学定义
定义 2.1(格):在\(n\)维欧几里得空间\(\mathbb{R}^m\)(\(m \geq n\))中,设\(b_1, b_2, \ldots, b_n\)是一组线性无关的向量,则由这些向量的所有整数线性组合构成的集合称为格:
\(\mathcal{L}(b_1, b_2, \ldots, b_n) = \left\{ \sum_{i=1}^n x_i b_i \mid x_i \in \mathbb{Z} \right\}\)
其中\(B = [b_1 \mid b_2 \mid \ldots \mid b_n] \in \mathbb{R}^{m \times n}\)称为格的基矩阵。
格的基本性质:
- 离散性:格由离散的点(格点)组成,在任意有界区域内只有有限个格点
- 周期性:格具有平移对称性,格点在各个方向上周期性排列
- 无限性:格包含无限多个格点
- 线性结构:格在向量加法下构成交换群,并且与\(\mathbb{Z}^n\)同构
2.2 格的基表示与变换
基的非唯一性:
同一个格可以有不同的基表示。如果\(B\)和\(B'\)是同一格的两个基,则存在幺模矩阵\(U \in \mathbb{Z}^{n \times n}\)(\(\det(U) = \pm 1\)),使得:
\(B' = B U\)
证明:
设\(B = [b_1, b_2, \ldots, b_n]\)和\(B' = [b_1', b_2', \ldots, b_n']\)是同一格的两个基,则每个\(b_i'\)都可以表示为\(B\)的列向量的整数线性组合:
\(b_i' = \sum_{j=1}^n u_{j,i} b_j\)
其中\(u_{j,i} \in \mathbb{Z}\)。因此\(B' = B U\),其中\(U = (u_{j,i}) \in \mathbb{Z}^{n \times n}\)。
由于\(B\)和\(B'\)都是基,\(U\)必须是可逆的,且其逆矩阵\(U^{-1}\)也必须有整数 entries。这意味着\(\det(U) = \pm 1\),即\(U\)是幺模矩阵。
2.3 格的基本区域
定义 2.2(基本区域):格\(\mathcal{L}\)的基本区域(Fundamental Domain)是指格基在区间\([0,1)\)内的所有实系数线性组合构成的集合:
\(\mathcal{F}(B) = \left\{ \sum_{i=1}^n x_i b_i \mid 0 \leq x_i < 1 \right\}\)
基本区域的性质:
- 体积不变性:基本区域的体积等于格的行列式\(\det(\mathcal{L}) = |\det(B^T B)|^{1/2}\)
- 覆盖性:将基本区域平移到每个格点上,可以覆盖整个空间而不重叠
- 唯一性表示:空间中的任意向量都可以唯一表示为格点加上基本区域中的向量
2.4 格的行列式与体积
定义 2.3(格的行列式):格\(\mathcal{L}\)的行列式(或协体积)是格基向量构成的平行多面体的体积,记为\(\det(\mathcal{L})\)或\(\text{vol}(\mathcal{L})\)。
对于满秩格(\(m = n\)),行列式为:
\(\det(\mathcal{L}) = |\det(B)|\)
对于非满秩格(\(m > n\)),行列式为:
\(\det(\mathcal{L}) = |\det(B^T B)|^{1/2}\)
行列式的几何意义:
行列式表示格点的分布密度。行列式越小,格点分布越密集;行列式越大,格点分布越稀疏。
2.5 闵可夫斯基定理的详细证明
定理 2.1(闵可夫斯基第一定理):任何秩为\(n\)的格\(\mathcal{L}\)都包含一个非零向量\(v\),使得:
\(\|v\| \leq \sqrt{n} \cdot (\det(\mathcal{L}))^{1/n}\)
证明:
第一步:构造辅助集合
设\(R = \sqrt{n} \cdot (\det(\mathcal{L}))^{1/n}\),考虑以原点为中心、半径为\(R\)的闭球\(B(0, R)\)。我们需要证明\(B(0, R)\)中包含非零格点。
第二步:体积比较
球\(B(0, R)\)的体积为:
\(\text{vol}(B(0, R)) = \frac{\pi^{n/2}}{\Gamma(n/2 + 1)} R^n\)
代入\(R\)的值:
\(\text{vol}(B(0, R)) = \frac{\pi^{n/2}}{\Gamma(n/2 + 1)} n^{n/2} \det(\mathcal{L})\)
第三步:应用鸽巢原理
考虑球\(B(0, R/2)\)与格的平移\(v + B(0, R/2)\),其中\(v \in \mathcal{L}\)。
这些平移球的体积为:
\(\text{vol}(v + B(0, R/2)) = \frac{\pi^{n/2}}{\Gamma(n/2 + 1)} (R/2)^n\)
如果这些球互不相交,则它们的总体积不会超过基本区域的体积\(\det(\mathcal{L})\)。但实际上:
\(\frac{\pi^{n/2}}{\Gamma(n/2 + 1)} (R/2)^n = \frac{\pi^{n/2}}{\Gamma(n/2 + 1)} \frac{n^{n/2}}{2^n} \det(\mathcal{L})\)
对于\(n \geq 1\),我们有\(\frac{\pi^{n/2} n^{n/2}}{\Gamma(n/2 + 1) 2^n} > 1\),这意味着至少有两个平移球相交。
第四步:得出结论
设\(u + B(0, R/2)\)和\(v + B(0, R/2)\)相交,则存在\(x, y \in B(0, R/2)\)使得\(u + x = v + y\)。因此\(u - v = y - x\),且:
\(\|u - v\| = \|y - x\| \leq \|y\| + \|x\| < R/2 + R/2 = R\)
由于\(u - v \in \mathcal{L}\)且\(u \neq v\),所以\(u - v\)是\(B(0, R)\)中的非零格点。
闵可夫斯基定理的应用:
- 给出最短向量长度的上界
- 证明格中存在短向量
- 密码学安全性分析
- 格基约化算法的理论指导
2.6 对偶格的理论推导
定义 2.4(对偶格):给定格\(\mathcal{L}(B)\),其对偶格\(\mathcal{L}^*\)定义为:
\(\mathcal{L}^* = \left\{ x \in \text{span}(\mathcal{L}) \mid \langle x, v \rangle \in \mathbb{Z} \text{ for all } v \in \mathcal{L} \right\}\)
对偶格的基表示:
如果\(B\)是\(\mathcal{L}\)的基,则对偶格\(\mathcal{L}^*\)的基为:
\(B^* = (B^T B)^{-1} B^T\)
证明:
设\(B = [b_1, b_2, \ldots, b_n]\),\(B^* = [b_1^*, b_2^*, \ldots, b_n^*]\)。我们需要证明\(\langle b_i^*, b_j \rangle = \delta_{i,j}\)(Kronecker 符号)。
计算:
\(\langle b_i^*, b_j \rangle = e_i^T (B^T B)^{-1} B^T b_j = e_i^T (B^T B)^{-1} (B^T B) e_j = e_i^T e_j = \delta_{i,j}\)
因此\(B^*\)确实是对偶格的基。
对偶格的重要性质:
- \((\mathcal{L}^*)^* = \mathcal{L}\)
- \(\det(\mathcal{L}^*) = 1/\det(\mathcal{L})\)
- \(\lambda_k(\mathcal{L}) \lambda_{n-k+1}(\mathcal{L}^*) \geq 1\)(Banaszczyk 不等式)
3. 格基与格基约化算法
3.1 Gram-Schmidt 正交化过程
Gram-Schmidt 算法:
将任意基转换为正交基的过程。
算法 3.1(Gram-Schmidt 正交化):
输入:基\(B = [b_1, b_2, \ldots, b_n]\)
输出:正交基\(B^* = [b_1^*, b_2^*, \ldots, b_n^*]\)和系数矩阵\(\mu\)- for i from 1 to n:
- b_i^* = b_i
- for j from 1 to i-1:
- mu[i,j] = <b_i, b_j^*> / <b_j^*, b_j^*>
- b_i^* = b_i^* - mu[i,j] * b_j^*
\(b_i^* = b_i - \sum_{j=1}^{i-1} \mu_{i,j} b_j^*\)
其中\(\mu_{i,j} = \frac{\langle b_i, b_j^* \rangle}{\langle b_j^*, b_j^* \rangle}\)。
性质:
- \(b_i^*\)与\(b_j^*\)正交(\(i \neq j\))
- \(\det(B) = \prod_{i=1}^n \|b_i^*\|\)
- Gram-Schmidt 正交化不改变格的行列式
3.2 LLL 算法的详细推导
3.2.1 LLL 约化条件
定义 3.1(LLL 约化基):一个格基被称为 LLL 约化的,如果满足以下条件:
- 尺寸缩减条件:\(|\mu_{i,j}| \leq 1/2\) for all \(j < i\)
- Lovász 条件:\(\|b_i^* + \mu_{i,i-1} b_{i-1}^*\|^2 \geq (\delta - \mu_{i,i-1}^2) \|b_{i-1}^*\|^2\)
其中\(\delta \in (1/4, 1)\)是一个参数,通常取\(\delta = 3/4\)。
3.2.2 LLL 算法的完整实现
- import numpy as np
- from numpy.linalg import inv, norm
- def gram_schmidt(B):
- """Gram-Schmidt正交化"""
- n = B.shape[1]
- B_star = B.astype(np.float64).copy()
- mu = np.zeros((n, n), dtype=np.float64)
- for i in range(n):
- for j in range(i):
- mu[i, j] = np.dot(B_star\[:, i], B_star\[:, j]) / np.dot(B_star\[:, j], B_star\[:, j])
- B\_star\[:, i] -= mu\[i, j] \* B\_star\[:, j]
- return B\_star, mu
- def lll\_reduction(B, delta=0.75):
- """完整的LLL格基约化算法"""
- n = B.shape\[1]
- B = B.astype(np.float64).copy()
- B\_star, mu = gram\_schmidt(B)
- i = 1
- while i < n:
- \# 尺寸缩减
- for j in range(i-1, -1, -1):
- if abs(mu\[i, j]) > 0.5:
- t = round(mu\[i, j])
- B\[:, i] -= t \* B\[:, j]
- \# 更新Gram-Schmidt系数
- B\_star, mu = gram\_schmidt(B)
- \# 检查Lovász条件
- current\_norm\_sq = np.dot(B\_star\[:, i], B\_star\[:, i])
- prev\_norm\_sq = np.dot(B\_star\[:, i-1], B\_star\[:, i-1])
- lovasz\_left = current\_norm\_sq + mu\[i, i-1]\*\*2 \* prev\_norm\_sq
- lovasz\_right = delta \* prev\_norm\_sq
- if lovasz\_left < lovasz\_right:
- \# 交换列i和i-1
- B\[:, \[i, i-1]] = B\[:, \[i-1, i]]
- \# 更新Gram-Schmidt系数
- B\_star, mu = gram\_schmidt(B)
- i = max(i-1, 1)
- else:
- i += 1
- return B
- \# 示例
- basis = np.array(\[\[1000, 999], \[999, 998]])
- print("原始基:")
- print(basis)
- reduced\_basis = lll\_reduction(basis)
- print("\nLLL约化基:")
- print(reduced\_basis)
- print("\n基向量长度:", \[norm(col) for col in reduced\_basis.T])
定理 3.1(LLL 算法的近似保证):
设\(B\)是 LLL 约化基,则对于所有\(1 \leq k \leq n\):
\(\|b_k\| \leq 2^{(n-1)/2} \lambda_k(\mathcal{L})\)
其中\(\lambda_k(\mathcal{L})\)是格的第\(k\)个连续最小长度。
证明概要:
通过归纳法证明。对于\(k=1\),利用 Lovász 条件和尺寸缩减条件,可以得到:
\(\|b_1\|^2 \leq \frac{2}{4\delta - 1} \det(\mathcal{L})^{2/n}\)
结合闵可夫斯基定理,可得\(\|b_1\| \leq 2^{(n-1)/2} \lambda_1(\mathcal{L})\)。
对于一般\(k\),通过考虑子格和应用归纳假设,可以得到相应的界。
3.3 BKZ 算法的原理与实现
3.3.1 BKZ 算法的基本思想
BKZ(Block Korkine-Zolotarev)算法是 LLL 算法的改进版本,通过块约化的方式获得更好的基质量。
算法 3.2(BKZ 算法框架):- function BKZ(B, block\_size):
- n = dimension of B
- while True:
- improved = False
- for i from 0 to n - block\_size:
- \# 提取块
- block = B\[:, i:i+block\_size]
- \# 对块进行局部约化(精确求解SVP)
- reduced\_block = solve\_SVP(block)
- \# 更新原基
- if reduced\_block != block:
- B\[:, i:i+block\_size] = reduced\_block
- improved = True
- \# 重新进行Gram-Schmidt正交化
- recompute Gram-Schmidt coefficients
- if not improved:
- break
- return B
- def bkz\_reduction(B, block\_size=20, max\_iterations=100):
- """简化版BKZ算法"""
- n = B.shape\[1]
- B = B.astype(np.float64).copy()
- for iteration in range(max\_iterations):
- improved = False
- for i in range(n - block\_size + 1):
- \# 提取当前块
- block = B\[:, i:i+block\_size].copy()
- \# 对块进行LLL约化(实际中应该用更精确的算法)
- reduced\_block = lll\_reduction(block)
- \# 检查是否有改进
- original\_norm = sum(norm(col)\*\*2 for col in block.T)
- reduced\_norm = sum(norm(col)\*\*2 for col in reduced\_block.T)
- if reduced\_norm < original\_norm - 1e-9: # 允许小的数值误差
- B\[:, i:i+block\_size] = reduced\_block
- improved = True
- if not improved:
- break
- return B
- \# 示例
- np.random.seed(42)
- basis = np.random.randint(1, 100, size=(5, 5))
- print("原始基:")
- print(basis)
- bkz\_basis = bkz\_reduction(basis, block\_size=3)
- print("\nBKZ约化基:")
- print(bkz\_basis)
- print("\n基向量长度:", \[norm(col) for col in bkz\_basis.T])
4.1 格的核心参数
4.1.1 秩与维度
定义 4.1(秩):格基中向量的个数\(n\)称为格的秩,记为\(\text{rank}(\mathcal{L})\)。
定义 4.2(维度):格所在的欧几里得空间的维度\(m\)称为格的维度。
满秩格与低秩格:
- 当\(n = m\)时,称格为满秩格
- 当\(n < m\)时,称格为低秩格
4.1.2 行列式与密度
定义 4.3(格的密度):格的密度\(\rho(\mathcal{L})\)是格点在空间中的分布密度:
\(\rho(\mathcal{L}) = \frac{1}{\det(\mathcal{L})}\)
物理意义:
密度表示单位体积内的格点数量。密度越高,格点分布越密集。
4.1.3 最小距离
定义 4.4(最小距离):格\(\mathcal{L}\)的最小距离\(d(\mathcal{L})\)是格中两个不同格点之间的最小欧几里得距离:
\(d(\mathcal{L}) = \min_{u, v \in \mathcal{L}, u \neq v} \|u - v\|\)
计算:
最小距离等于格中最短非零向量的长度:
\(d(\mathcal{L}) = \min_{v \in \mathcal{L}, v \neq 0} \|v\| = \lambda_1(\mathcal{L})\)
其中\(\lambda_1(\mathcal{L})\)是格的第一个连续最小长度。
4.2 连续最小长度
定义 4.5(连续最小长度):格\(\mathcal{L}\)的第\(k\)个连续最小长度\(\lambda_k(\mathcal{L})\)是包含\(k\)个线性无关格向量的最小球的半径。
数学表示:
\(\lambda_k(\mathcal{L})\)是满足以下条件的最小实数\(r\):以原点为中心、半径为\(r\)的球体内至少包含\(k\)个线性无关的格向量。
性质:
- \(\lambda_1(\mathcal{L}) \leq \lambda_2(\mathcal{L}) \leq \ldots \leq \lambda_n(\mathcal{L})\)
- \(\lambda_k(\mathcal{L}) \leq \sqrt{k} \cdot (\det(\mathcal{L}))^{1/n}\)(闵可夫斯基定理的推广)
- \(\lambda_k(\mathcal{L}) \lambda_{n-k+1}(\mathcal{L}^*) \geq 1\)(对偶性)
4.3 覆盖半径
定义 4.6(覆盖半径):格\(\mathcal{L}\)的覆盖半径\(\mu(\mathcal{L})\)是从原点到格的最远点的距离:
\(\mu(\mathcal{L}) = \max_{x \in \mathbb{R}^n} \min_{v \in \mathcal{L}} \|x - v\|\)
几何意义:
覆盖半径是能够覆盖整个空间的最小球的半径,使得每个球心都是格点。
与连续最小长度的关系:
对于满秩格,有:
\(\mu(\mathcal{L}) \leq \frac{1}{2} \sum_{i=1}^n \lambda_i(\mathcal{L})\)
4.4 基质量评估指标
4.4.1 Hadamard 比率
定义 4.7(Hadamard 比率):
\(\text{HR}(B) = \frac{|\det(B)|}{\prod_{i=1}^n \|b_i\|}\)
意义:
Hadamard 比率衡量基的正交性。理想正交基的 Hadamard 比率为 1,比率越接近 1,基的正交性越好。
4.4.2 正交缺陷
定义 4.8(正交缺陷):
\(\text{OD}(B) = \frac{\prod_{i=1}^n \|b_i\|}{|\det(B)|} = \frac{1}{\text{HR}(B)}\)
意义:
正交缺陷越小,基的质量越好。对于 LLL 约化基,有\(\text{OD}(B) \leq 2^{n(n-1)/4}\)。
4.5 代码实现:格参数计算
- def compute\_lattice\_parameters(B):
- """计算格的基本参数"""
- n = B.shape\[1]
- \# 计算行列式
- if B.shape\[0] == B.shape\[1]: # 满秩格
- det = abs(np.linalg.det(B))
- else: # 非满秩格
- det = np.sqrt(abs(np.linalg.det(B.T @ B)))
- \# 计算Gram-Schmidt正交化
- B\_star, mu = gram\_schmidt(B)
- \# 计算基向量长度
- lengths = \[np.linalg.norm(col) for col in B.T]
- \# 计算Hadamard比率
- product\_lengths = np.prod(lengths)
- hadamard\_ratio = det / product\_lengths if product\_lengths > 0 else 0
- \# 计算正交缺陷
- ortho\_defect = product\_lengths / det if det > 0 else float('inf')
- \# 计算密度
- density = 1 / det if det > 0 else 0
- return {
- 'dimension': n,
- 'determinant': det,
- 'basis\_lengths': lengths,
- 'hadamard\_ratio': hadamard\_ratio,
- 'orthogonal\_defect': ortho\_defect,
- 'density': density
- }
- \# 示例
- basis1 = np.array(\[\[3, 1], \[1, 2]])
- basis2 = np.array(\[\[1, 0], \[0, 1]]) # 标准正交基
- basis3 = np.array(\[\[10, 9], \[8, 7]]) # 条件数较大的基
- print("标准正交基参数:")
- print(compute\_lattice\_parameters(basis2))
- print("\n一般基参数:")
- print(compute\_lattice\_parameters(basis1))
- print("\n条件数较大的基参数:")
- print(compute\_lattice\_parameters(basis3))
5.1 SVP 问题的严格定义
定义 5.1(最短向量问题 SVP):
给定格\(\mathcal{L}\),寻找格中最短的非零向量\(v \in \mathcal{L}\),即寻找\(v \neq 0\)使得\(\|v\| = \lambda_1(\mathcal{L})\),其中\(\lambda_1(\mathcal{L})\)是格的最小距离。
数学形式:
\(\text{Find } v \in \mathcal{L} \setminus \{0\} \text{ such that } \|v\| = \min_{u \in \mathcal{L} \setminus \{0\}} \|u\|\)
5.2 SVP 问题的变体
5.2.1 近似 SVP
定义 5.2(****- 近似 SVP):
给定格\(\mathcal{L}\)和近似因子\(\gamma \geq 1\),寻找非零向量\(v \in \mathcal{L}\)使得\(\|v\| \leq \gamma \cdot \lambda_1(\mathcal{L})\)。
5.2.2 判定 SVP
定义 5.3(判定 SVP):
给定格\(\mathcal{L}\)和实数\(d\),判定是否存在非零向量\(v \in \mathcal{L}\)使得\(\|v\| \leq d\)。
5.2.3 GapSVP
定义 5.4(GapSVP):
给定格\(\mathcal{L}\)和两个实数\(d_1 < d_2\),区分以下两种情况:
- \(\lambda_1(\mathcal{L}) \leq d_1\)
- \(\lambda_1(\mathcal{L}) > d_2\)
5.3 计算复杂性分析
5.3.1 精确 SVP 的复杂性
定理 5.1:精确 SVP 问题是 NP 困难的。
证明概要:
通过将 NP 完全问题(如子集和问题)归约到 SVP 问题来证明。
推论:
在 P ≠ NP 的假设下,不存在多项式时间算法能够精确求解 SVP 问题。
5.3.2 近似 SVP 的复杂性
定理 5.2:对于任意常数\(\gamma \geq 1\),\(\gamma\)- 近似 SVP 问题是 NP 困难的。
定理 5.3:对于\(\gamma = 2^{O(n/\log n)}\),存在多项式时间算法求解\(\gamma\)- 近似 SVP 问题。
复杂性总结:
问题变体复杂性已知算法精确 SVPNP 困难枚举算法、筛法常数近似 SVPNP 困难LLL 算法(指数近似)多项式近似 SVPNP 困难BKZ 算法(多项式近似)指数近似 SVPPLLL 算法5.4 SVP 求解算法详解
5.4.1 枚举算法
基本思想:
通过系统性地搜索格中的向量来寻找最短向量。
算法 5.1(枚举算法):- def svp\_enumeration(B, max\_depth=20):
- """基于枚举的SVP求解算法"""
- n = B.shape\[1]
- shortest\_vector = None
- shortest\_norm = float('inf')
- \# 递归枚举函数
- def enumerate\_recursive(current\_sum, depth, coefficients):
- nonlocal shortest\_vector, shortest\_norm
- if depth == n:
- if np.any(current\_sum != 0): # 非零向量
- current\_norm = np.linalg.norm(current\_sum)
- if current\_norm < shortest\_norm:
- shortest\_norm = current\_norm
- shortest\_vector = current\_sum.copy()
- return
- \# 为了控制搜索空间,限制系数范围
- max\_coeff = max\_depth // (n - depth + 1)
- for coeff in range(-max\_coeff, max\_coeff + 1):
- new\_sum = current\_sum + coeff \* B\[:, depth]
- new\_coeffs = coefficients + \[coeff]
- \# 剪枝:如果当前向量已经比已知最短向量长,停止搜索
- current\_norm = np.linalg.norm(new\_sum)
- if current\_norm >= shortest\_norm \* 1.1: # 增加一点余量
- continue
- enumerate\_recursive(new\_sum, depth + 1, new\_coeffs)
- \# 从原点开始枚举
- enumerate\_recursive(np.zeros(B.shape\[0]), 0, \[])
- return shortest\_vector, shortest\_norm
- \# 示例
- basis = np.array(\[\[3, 1], \[1, 2]])
- print("格基:")
- print(basis)
- shortest\_vec, shortest\_length = svp\_enumeration(basis)
- print("\n最短向量:", shortest\_vec)
- print("最短向量长度:", shortest\_length)
- print("理论最短长度:", np.sqrt(2)) # 对于这个基,理论最短向量是(1,-1),长度√2
枚举算法的时间复杂度为\(O((2k)^n)\),其中\(k\)是搜索系数的范围。在实践中,该算法只适用于维度\(n \leq 30\)的格。
5.4.2 筛法
基本思想:
通过迭代地生成和筛选短向量来寻找最短向量。
算法 5.2(基于列表的筛法):- def svp\_sieve(B, max\_vectors=10000):
- """基于筛法的SVP求解算法"""
- n = B.shape\[1]
- vectors = \[]
- \# 生成初始向量集
- for i in range(n):
- vectors.append(B\[:, i].copy())
- vectors.append(-B\[:, i].copy())
- \# 迭代筛法
- improved = True
- while improved and len(vectors) < max\_vectors:
- improved = False
- \# 计算当前最短向量
- vectors.sort(key=lambda v: np.linalg.norm(v))
- current\_shortest = vectors\[0]
- current\_norm = np.linalg.norm(current\_shortest)
- \# 尝试生成更短的向量
- new\_vectors = \[]
- for i in range(len(vectors)):
- for j in range(i+1, len(vectors)):
- v = vectors\[i] - vectors\[j]
- if np.any(v != 0): # 非零向量
- v\_norm = np.linalg.norm(v)
- if v\_norm < current\_norm \* 0.99: # 找到更短的向量
- new\_vectors.append(v)
- improved = True
- \# 添加新向量并去重
- for v in new\_vectors:
- is\_new = True
- for existing in vectors:
- if np.allclose(v, existing):
- is\_new = False
- break
- if is\_new:
- vectors.append(v)
- \# 限制向量集大小
- if len(vectors) > max\_vectors:
- vectors.sort(key=lambda v: np.linalg.norm(v))
- vectors = vectors\[:max\_vectors]
- \# 返回最短向量
- vectors.sort(key=lambda v: np.linalg.norm(v))
- shortest\_vector = vectors\[0]
- shortest\_norm = np.linalg.norm(shortest\_vector)
- return shortest\_vector, shortest\_norm
- \# 示例
- basis = np.array(\[\[5, 2], \[3, 4]])
- print("格基:")
- print(basis)
- shortest\_vec, shortest\_length = svp\_sieve(basis)
- print("\n最短向量:", shortest\_vec)
- print("最短向量长度:", shortest\_length)
筛法的时间复杂度为\(O(2^{O(n/\log n)})\),比枚举算法更高效,适用于维度\(n \leq 80\)的格。
5.4.3 基于 LLL 的近似算法
算法 5.3(基于 LLL 的 SVP 近似求解):- def svp\_lll\_approx(B):
- """基于LLL算法的SVP近似求解"""
- reduced\_basis = lll\_reduction(B)
- \# 返回约化基中的最短向量
- basis\_vectors = \[reduced\_basis\[:, i] for i in range(reduced\_basis.shape\[1])]
- basis\_vectors.sort(key=lambda v: np.linalg.norm(v))
- return basis\_vectors\[0], np.linalg.norm(basis\_vectors\[0])
- \# 示例
- np.random.seed(42)
- basis = np.random.randint(1, 100, size=(5, 5))
- print("原始基:")
- print(basis)
- lll\_shortest, lll\_length = svp\_lll\_approx(basis)
- print("\nLLL近似最短向量:", lll\_shortest)
- print("LLL近似最短长度:", lll\_length)
5.5.1 突破概述
2025 年,西交利物浦大学丁津泰教授团队成功破解了 200 维 SVP 难题,刷新了全球纪录。
技术突破点:
- 创新的算法设计,结合了筛法和深度学习技术
- 高效的硬件加速,使用了专门的 GPU 集群
- 优化的内存管理,解决了高维数据的存储问题
5.5.2 对格密码的影响
安全参数重新评估:
西浦团队的突破表明,格密码的安全参数需要重新评估。原本认为安全的参数可能需要调整。
新的研究方向:
- 开发更强的格基约化算法
- 设计更安全的格密码方案
- 探索新的格困难问题
6. CVP 最近向量问题理论与算法
6.1 CVP 问题的严格定义
定义 6.1(最近向量问题 CVP):
给定格\(\mathcal{L}\)和目标向量\(t\),寻找格中离\(t\)最近的向量\(v\)。
数学形式:
\(\text{Find } v \in \mathcal{L} \text{ such that } \|v - t\| = \min_{u \in \mathcal{L}} \|u - t\|\)
6.2 CVP 问题的变体
6.2.1 近似 CVP
定义 6.2(****- 近似 CVP):
给定格\(\mathcal{L}\)、目标向量\(t\)和近似因子\(\gamma \geq 1\),寻找向量\(v \in \mathcal{L}\)使得\(\|v - t\| \leq \gamma \cdot \min_{u \in \mathcal{L}} \|u - t\|\)。
6.2.2 判定 CVP
定义 6.3(判定 CVP):
给定格\(\mathcal{L}\)、目标向量\(t\)和实数\(d\),判定是否存在向量\(v \in \mathcal{L}\)使得\(\|v - t\| \leq d\)。
6.2.3 BDD 问题
定义 6.4(有界距离解码 BDD):
给定格\(\mathcal{L}\)、目标向量\(t\)和实数\(\alpha\),假设\(\min_{u \in \mathcal{L}} \|u - t\| \leq \alpha \cdot \lambda_1(\mathcal{L})\),寻找向量\(v \in \mathcal{L}\)使得\(\|v - t\| = \min_{u \in \mathcal{L}} \|u - t\|\)。
6.3 CVP 与格陪集
6.3.1 格陪集的定义
定义 6.5(格陪集):
给定格\(\mathcal{L}\)和向量\(t\),格陪集定义为:
\(\mathcal{L} + t = \{ v + t \mid v \in \mathcal{L} \}\)
性质:
- 格陪集是格的平移
- 不同的陪集要么不相交,要么完全相同
- 所有陪集构成空间的一个划分
6.3.2 CVP 的几何意义
CVP 问题等价于在格陪集中寻找离原点最近的点:
\(\min_{v \in \mathcal{L}} \|v - t\| = \min_{w \in \mathcal{L} + t} \|w\|\)
6.4 CVP 求解算法详解
6.4.1 最近平面算法
算法 6.1(最近平面算法):- def nearest\_plane\_algorithm(B, t):
- """最近平面算法求解CVP问题"""
- n = B.shape\[1]
- B = B.astype(np.float64).copy()
- t = t.astype(np.float64).copy()
- \# Gram-Schmidt正交化
- B\_star, mu = gram\_schmidt(B)
- \# 计算系数
- x = np.zeros(n, dtype=np.int64)
- current\_t = t.copy()
- for i in range(n-1, -1, -1):
- \# 计算投影系数
- c = np.dot(current\_t, B\_star\[:, i]) / np.dot(B\_star\[:, i], B\_star\[:, i])
- x\[i] = round(c)
- \# 更新目标向量
- current\_t -= x\[i] \* B\[:, i]
- \# 计算最近向量
- nearest\_vector = B @ x
- return nearest\_vector, x
- \# 示例
- basis = np.array(\[\[3, 1], \[1, 2]])
- target = np.array(\[4.2, 3.7])
- print("格基:")
- print(basis)
- print("目标向量:", target)
- nearest\_vec, coeffs = nearest\_plane\_algorithm(basis, target)
- print("\n最近格向量:", nearest\_vec)
- print("系数:", coeffs)
- print("距离:", np.linalg.norm(target - nearest\_vec))
最近平面算法是一种贪心算法,时间复杂度为\(O(n^3)\)。该算法不能保证找到精确解,但在实践中表现良好。
6.4.2 球形解码算法
算法 6.2(球形解码算法):
[code]def sphere\_decoding(B, t, radius=None): """球形解码算法求解CVP问题""" n = B.shape\[1] B = B.astype(np.float64).copy() t = t.astype(np.float64).copy() \# 如果没有指定半径,使用最近平面算法的结果作为初始半径 if radius is None: initial\_nearest, \_ = nearest\_plane\_algorithm(B, t) radius = np.linalg.norm(initial\_nearest - t) \* 1.1 # 增加10%的余量 \# Gram-Schmidt正交化 B\_star, mu = gram\_schmidt(B) \# 预计算一些值 inv\_norms\_sq = \[1.0 / np.dot(B\_star\[:, i], B\_star\[:, i]) for i in range(n)] \# 递归搜索函数 best\_vector = None best\_distance\_sq = float('inf') def search(i, current\_sum, current\_distance\_sq): nonlocal best\_vector, best\_distance\_sq if i == 0: \# 找到一个候选向量 if current\_distance\_sq < best\_distance\_sq: best\_distance\_sq = current\_distance\_sq best\_vector = current\_sum.copy() return \# 计算当前层的参数 i -= 1 residual = t - current\_sum \# 计算投影系数 proj = np.dot(residual, B\_star\[:, i]) \* inv\_norms\_sq\ c = round(proj) \# 计算距离贡献 distance\_contribution = (proj - c)\*\*2 \* np.dot(B\_star\[:, i], B\_star\[:, i]) \# 剪枝:如果当前距离已经超过半径,停止搜索 new\_distance\_sq = current\_distance\_sq + distance\_contribution if new\_distance\_sq > radius\*\*2: return \# 尝试当前系数 new\_sum = current\_sum + c \* B\[:, i] search(i, new\_sum, new\_distance\_sq) \# 尝试相邻系数(c-1和c+1) for dc in \[-1, 1]: new\_c = c + dc distance\_contribution = (proj - new\_c)\*\*2 \* np.dot(B\_star\[:, i], B\_star\[:, i]) new\_distance\_sq = current\_distance\_sq + distance\_contribution if new\_distance\_sq |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
