【格密码】最近平面算法解决CVP问题(1)

已于 2024-01-09 16:37:02 修改
阅读量1.6k 收藏 6
点赞数 3
分类专栏: 格密码 文章标签: 密码学 网络安全
于 2022-05-21 19:37:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forest_LL/article/details/124887974
版权

目录

一. 最近平面算法介绍

二. 简单的取整算法解决CVP问题

三. 最近平面算法

3.1 算法介绍

3.2 矩阵角度理解最近平面算法

四. 最近平面算法的图形理解

一. 最近平面算法介绍

在1986年,L.Babai曾提出最近平面算法(Nearest Plane Algorithm)来解决CVP问题,利用n代表格的秩,该算法的输出近似值如下:

2(\frac{2}{\sqrt{3}})^n

CVP:最近向量问题,全称Closest Vector Problem

解释:最近的格点不一定能找到,但该算法可以找到离最近格点2(\frac{2}{\sqrt{3}})^n倍的格点。这一点也说明,CVP问题在网络安全领域是困难的,很难找到最近的格点,只能是接近。

CVP问题的六种变式,如下:

\gamma=1时,后三种问题就与前三种一样了。这里给出直观的解释:

计算CVP:找离其最近的格点;

优化CVP(optimization CVP):计算出离最近格点的距离;

判定CVP(decision CVP):判断最小距离与某值r的大小关系;

剩下的三个问题只不过加入了近似因子(approximation factor),理解起来是类似的。之所以分成这么多的版本是因为,密码学把困难问题分成了三大类:

  • search问题;
  • optimization问题;
  • decision问题,gap问题;

如果解决了计算CVP_\gamma问题,由于计算、优化和Gap问题三者困难性一样,那么剩下的优化和Gap问题也就可以解决了。这三类问题通过调整参数是可以互相归约的。

最近平面算法可以解决近似的计算CVP问题,且此时近似因子的取值为:

\gamma=2(\frac{2}{\sqrt{3}})^n

为了简化分析的思路,后续仅仅讨论\gamma=2^{\frac{n}{2}}的情况,通过修改算法相关的参数也可以达到想要的近似值。

二. 简单的取整算法解决CVP问题

简单的取整算法就是把给定向量的系数全部直接取整(可以是上取整,也可以是下取整),该算法得到的格点与格基的选择有很大关系。

我们来看一张直观的图形:

蓝色的线是原始的格基。对于任意的向量t而言,如果直接对格基进行取整的话,那么对应格点就跑到了最右端,很明显就太远了。

如果我们把格基转化一下,变成棕色线。现在对格基的系数取整得到的格点就会近很多。

以上讨论说明,格基的正交性会极大影响CVP问题的求解。这个时候也能说明LLL格基约化的重要性,推荐系列文章:

格密码LLL算法:如何解决最短向量SVP问题(1)-CSDN博客

格密码LLL算法:如何解决最短向量SVP问题(2)_lll算法复杂度-CSDN博客

格密码LLL算法:如何解决最短向量SVP问题(3)(完结篇)-CSDN博客

三. 最近平面算法

3.1 算法介绍

该算法主要有两步。

第一步针对输入的格,输出LLL约化基(LLL reduction)。

第二步,将约化后的格基进行整数线性组合,来保证与给定的向量t足够近。这个步骤跟LLL算法的内循环约化操作很类似。

算法步骤如下:

这里给一个简单的分析:

输入m行n列的格基,给定任意的m维空间实数点。需要注意的是格点也肯定是m维的;

第一步希望把格基尽量正交,其中参数选择3/4,具体理解请参看前面LLL格基约化的文章;

第二步:迭代结构,从n维到1维,不断实现降维的过程。其中c_j的计算如下:

这一步是最近平面算法的核心精髓,可以利用投影的思想来解释,然后进行就近取整。

最后一步剩下的b就是实数点和格点之间的向量,所以t-b即为最终的格点。

显然,前面已经证明LLL算法(第一步)与约化步骤的算法(第二步)都属于多项式时间算法,由此可得该最近平面算法与输入的规模n之间也是多项式时间关系。以下的讨论分析将包含满秩格与非满秩格。

3.2 矩阵角度理解最近平面算法

给定单位正交基(orthonormal set),如下:

\frac{\tilde b_1}{||\tilde{b}_1||},\cdots,\frac{\tilde b_n}{||\tilde{b}_n||}

对于满秩的格来讲,这个格基可以直接形成全部整数格点Z^n.其中“~”代表正交化。

对于非满秩格来讲,假定m大于n,那么格基的列向量也要形成m维。换句话,则需要增加m-n行零向量。由此对应的矩阵B与组合形成的t如下:

第一个代表约化后的格基矩阵;

第二个列向量代表格基的线性组合,因为向量t不一定为格点,所以这种组合可能非整数。

最近平面算法则是寻求对矩阵B列向量的整数组合,为保求出的格点与向量t足够近,其整数组合肯定是需要限定范围的,如下:

[-\frac{1}{2}||\tilde b_i||,\,\frac{1}{2}||\tilde b_i||]

该算法是先从第n列开始,对于这一列向量的整数,则是介于:

[-\frac{1}{2}||\tilde b_n||,\,\frac{1}{2}||\tilde b_n||]

接着计算第n-1列,不断往格基矩阵的左边递推计算。整个迭代过程需要重复n次。

根据线性代数的基础知识,我们知道如果为非满秩格,那么余下的m-n维空间则是与原格的扩展空间是垂直的。

四. 最近平面算法的图形理解

举一个3维的例子,通过最近平面算法降到2维,如下图:

算法的核心思想可以分成四步: 

  1. 考虑非满秩格,首先需要把t投影到格对应的扩展空间span(b_1,\cdots,b_n),形成点s;
  2. 找到对应的数c,使得超平面c\tilde b_n+span(b_1,\cdots,b_{n-1})尽可能接近点s;
  3.  令s'=s-cb_n。迭代去求,找点s'和格\,L(b_1,\cdots,b_{n-1})之间的关系,假定此时求得的答案为x'
  4. 最终返回的答案为x=x'+cb_n

第一步投影过程操作的目的是为了格点到t的最短距离,转化为到s的最短距离,此步的操作在非满秩格时非常有必要。往后的步骤就是每次选择最近的超平面,然后逐个维度去移动。

唠嗑!
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
密码学综述文章】困难问题的复杂度分析.doc
11-02
本文通过分析一些常见的问题, 主要包括最短向量问题(SVP), 最近 向量问题(CVP), 小整数解问题(SIS)和误差学习(LWE)等, 对相关问题的复杂度成果进行了总结. 结果 主要包括两个方面, 一方面是 SVP, CVP困难...
[密码学]密码学(3)-Babai算法以及GGH公钥密码体制介绍
让勤奋成为习惯
12-25 9927
Babai算法和GGH加密体制
密码最近平面算法解决CVP问题(2)(完结篇)
forest_LL的博客
01-10 991
比如我们想要描述一个 m 维的 q-ary , 我们必须构建一个m维的矩阵才能够清楚得把这个 m 维的具体结构表达出来, 这需要非常大的空间, 从而影响了基于的数字签名走向实用化。相似的, 上的数字签名方案的安全性都可以规约到上的困难问题, 目前, 已经证明了上许多困难问题是。给定n个线性独立的向量,把它们转化成n个正交的向量,这个过程就是线性代数中所谓的Gram-Schmidt正交化过程。注意向量正交化已经把基改的面目全非,正交化后的基已经不能形成原来的点,看上面那张图就很清楚了。
密码基础】:详解closest lattice vector problem(CVP)问题
最新发布
forest_LL的博客
02-01 1064
当然,穷搜也太傻了。我们采用刚才谈到的二分搜寻法,也就是借助已有的decisional CVP的oracle,确定最终的距离dist(t,L(B))也就只需要2logR步。基向量的长度是确定的,那么R跟n之间是多项式关系,此算法最多也是多项式形式。也就是给定(lattice),以及一个目标点,该目标点通常不是点,我们的目的是找出离其最近点,该问题计算上是困难的。其实CVP问题有三种变式情况,第一种就是找到离其最近向量,第二种就是找出最近的距离,第三种是判定其距离是否小于某个已知的常数。
最近平面算法(The Nearest Plane Algorithm)
Coppa的博客
04-11 1308
最近平面算法,由 L. Babai 于 1986 年提出,可以解决CVP难题。
理论与密码学(二)
shikaku_的博客
07-23 967
理论与密码学(二)Babai最近向量算法高斯基约简算法LLL基约简算法 Babai最近向量算法 设L⊂RnL\subset\R^nL⊂Rn是一个,v1,v2,...,vnv_1,v_2,...,v_nv1​,v2​,...,vn​是这个的基,w∈Rnw\in\R^nw∈Rn是任意向量。如果基向量的正交性很好,则该算法能够求解CVP。 1.用基向量的线性组合表示www: w=t1v1+t2v2+...+tnvnw=t_1v_1+t_2v_2+...+t_nv_nw=t1​v1​+t2​v2​+...
密码学习笔记(四):上公认难题
感谢一切无私开源共享奉献者!
03-07 2459
上困难问题,包括SVP、CVP、SIVP、ADD和BDD等
Nearest Plane Algorithm —— CVP渐进算法(简记)
weixin_42366782的博客
04-26 184
最近平面算法的介绍与施密特正交几何解释
密码1
08-03
它的安全性基于解决SVP和CVP的困难性,这些问题在高维中的计算复杂度非常高,使得破解变得极其困难。 总的来说,密码学结合了数学的深度和计算的挑战,为构建安全的未来通信提供了坚实的基础。随着技术的发展...
中国知网密码论文系列
12-03
3. **安全性分析**:密码的安全性依赖于最短向量问题(SVP)和最接近向量问题CVP)的难度。在经典计算模型下,这些问题已被证明是NP难的。同时,研究者也关注在量子计算环境下的安全性,因为问题在量子计算机...
理论与密码学
10-12
M=unidrnd(5,v); for i=1:6; A(find(A=0.5))=1; X=diag(A,0); M=triu(M-diag(diag(M))); M=M+X; if(mod(i,2)==0) C=M'*C; else C=M*C; end
节约里程法求解CVP_MATLAB.zip
04-26
使用节约里程法求解有载重约束的CVRP,源码由matlab 语音编写,有注释,可以用来学习和使用节约里程法。源码来源于一个项目,亲测无误,压缩包里面有完整的数据和参考文献,值得新手学习使用,欢迎大家下载评论。
NTRU算法原理与实现.zip
02-21
NTRU算法的安全性基于两个主要的数学难题:找短向量问题(SVP)和近似短向量问题CVP)。在实际应用中,NTRU算法的效率得益于快速傅里叶变换(FFT)在环上的应用,这大大减少了计算量。 在提供的C语言实现中,会...
第三轮后量子密码算法 NTRU
02-05
NTRU算法的安全性主要基于解决“短向量问题”(Shortest Vector Problem, SVP)和“最接近向量问题”(Closest Vector Problem, CVP)的难度,这些问题在理论上尚未被量子计算机有效解决。 在NIST的第三轮评估中,...
密码教程(五):Babai‘s algorithm和求解apprCVP算法
qq_41359358的博客
08-27 1047
一.apprSVP和apprCVP: apprSVP: 设ψ(n)ψ(n)ψ(n)是一个关于nnn的函数。在维数为n的L中,找到一个不超过最短非零向量长度的ψ(n)ψ(n)ψ(n)倍的非零向量。换句话说,如果vvv是LLL中最短的非零向量,则找到一个非零向量v∈Lv∈Lv∈L满足: ∥v∥≤ψ(n)∥vshortest∥\qquad \left \|v\right \| \leq \psi(n)\left \|v_{shortest}\right \|∥v∥≤ψ(n)∥vshortest​∥ 函数ψ(n
平面几何相关算法整理
Akiyama_sou的博客
07-13 944
平面几何相关问题
密码:如何找最近点(CVP问题
forest_LL的博客
01-12 1142
本文章将解释如何利用随机取整算法(randomized rounding)来找最近向量(closest lattice vector),其中最近指的是欧几里得范数(Euclidean norm)最小。将该问题总结如下:给定基,给出任意向量x(不在点上),如何采用启发式算法大概率找到离其最近点?
随笔--(Lattice)学习(更新中)
m0_47659650的博客
05-25 1149
(Lattice )的概念最早在1890年由E.Schroder提出。实际上早在 1854 年,George Boole 在数学逻辑的相关研究中引入了一类代数结构–布尔代数。而布尔代数就是“”的一种特殊类型。后来,R. Dedekind 在关于群的相关工作中,也提出了类似“”的概念并在实际应用中起了非常重要作用。在1930 年,G. Birkhoff 对“”理论做出了重要贡献,“”理论开始了快速发展。
【Babai‘s Closest Vertex Algorithm】
qq_44925830的博客
07-06 139
当我们拥有good basis时,我们可以求解CVP问题
经典攻击对NTRU算法的时间复杂度怎么计算
05-31
经典攻击对NTRU算法的时间复杂度是基于最短向量问题(SVP)和最近向量问题CVP)的,通常使用Lattice Reduction算法解决这些问题。 具体来说,经典攻击对NTRU算法的时间复杂度是O(2^(n/2)),其中n是NTRU密钥的长度。这是因为要解决SVP和CVP问题需要使用Lattice Reduction算法,这些算法的时间复杂度与密钥长度有关。 需要注意的是,这只是经典攻击的时间复杂度,而现代的NTRU变体(如NTRU Prime)使用了更复杂的技术来抵抗攻击,因此其时间复杂度可能更高。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

唠嗑!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值