格密码：离散高斯，亚高斯分布，光滑参数

唠嗑！

已于 2023-12-27 21:43:05 修改

阅读量1.8k

点赞数 34

分类专栏：格密码文章标签：格上高斯分布离散高斯分布光滑参数抗量子密码格密码

于 2023-12-18 01:19:06 首次发布

本文链接：https://blog.csdn.net/forest_LL/article/details/135049554

版权

格密码专栏收录该内容

45 篇文章 68 订阅

订阅专栏

高斯分布我们都很熟悉，但在格密码中会用到一种特殊的高斯分布，将其取名离散高斯分布（discrete Gaussian)，单纯应用的话，可直接看2.2的结论。

一. N维连续高斯分布

1.1 N维

给定一个正整数n，代表维度。一个正实数 $s>0$ ，代表标准差（高斯分布的标准差决定着图像的胖瘦，所以这个参数有的时候也叫“宽度”)。N维连续高斯分布的输入是N维向量，输出是一个正实数，也就是 $\rho_s:R^n\to R^+$ ，高斯函数如下：

$\rho_s(x)=exp(-\pi ||x||^2/s^2)$

可以想到，如果把 $||x||/s$ 看成一个整体的话，新的高斯分布的标准差则为1，如下：

$\rho_s(x)=\rho(x/s)$

1.2 单维度

分成单一维度可得：

$\rho_s(x)=\prod_{i=1}^n\rho_s(x_i)$

这个公式成立的前提是高斯函数不同维度上的标准差要求一样。这也就是所谓的 $\rho_s(x)$ 在 $R^n$ 上抗旋转（ $\rho_s$ is invariant under rotations of $R^n$ ）。

证明： $\rho_s(x)$ 具有旋转不变性。

通过高斯函数表达式可得，当输入的向量x变化时，高斯分布 $\rho_s(x)$ 的值也在变化，观察分子为 $||x||^2$ ，也就是只跟向量的长度有关。当向量旋转时，只改变方向，不改变大小，所以不改变 $||x||^2$ 的值，也就不改变高斯分布的值。

证明完毕。

格密码偶尔会用到一个很有意思的现象：当选择合适的归一化因子时，高斯分布的傅里叶变换是其本身。

二. 离散高斯分布

2.1 概述

先提一句，离散高斯是格密码中才会出现的概率。另外，补充一个重要的高斯函数积分结论，如下：

$\int_{R^n}\rho_s(z)dz=s^n$

先引出一个格密码中用到的连续高斯分布通常写作 $D_s$ ，该分布与原始的 $\rho_s$ 成正比，如下：

$f(x)=\rho_s(x)/\int_{R^n}\rho_s(z)dz=\rho_s(x)/s^n$

格陪集(lattice coset) $c+L\subset R^n$ （其实就是把格L进行平移c），如果将以上f(x）中的x改为格点的话，便得到了对应的离散高斯分布，如下：

$D_{c+L,s}(x)=\left\{ \begin{aligned} \rho_s(x) \quad if \ x\in c+L\\ 0 \quad otherwise\\ \end{aligned} \right .$

这一段话可能有些官方，简单对这个概念谈谈自己的理解。离散高斯分布的输入是一个个孤立的格点，直观上就是把高斯分布的函数图像，抠成一个一个点，但是整体趋势还是高斯分布。

这种离散的点，就可以直接套用格点，带进去所得到的函数值能直观反映取这个点对应的概率大小。

2.2 小结

高斯函数：

$\rho_s(x)=exp(-\pi ||x||^2/s^2)$

连续型高斯分布：

$f(x)=\rho_s(x)/\int_{R^n}\rho_s(z)dz=\rho_s(x)/s^n$

格密码离散型高斯分布：

$D_{c+L,s}(x)=\left\{ \begin{aligned} \rho_s(x) \quad if \ x\in c+L\\ 0 \quad otherwise\\ \end{aligned} \right .$

三. 光滑参数

谈格上高斯分布，不得不说光滑参数（smoothing parameter)。

我们知道，“格”是一个一个孤立的点，重点强调是离散的。那我们在想，能不能同时对这些格点加一个小小的扰动，神奇的化离散为连续呢？更进一步，如果加的扰动是一个高斯分布，那对这个高斯分布要啥要求呢？

可以想到，如果高斯分布的方差越大，那么它就越接近一个均匀分布，这种效果就越好。

将刚才谈到的格陪集 $c+L$ 全部带入高斯分布，可以得到求和（gaussian mass）,如：

$\rho_s(c+L)=\sum_{x\in c+L}\rho_s(x)$

Micciancio和Regev在2004年提出了光滑参数，它其实是定义在对偶格上的，满足下列不等式最小的s即为光滑参数的值：

$\rho_{1/s}(L^*)\leq 1+\epsilon$

可以看到右边有个参数 $\epsilon$ ，所以光滑参数通常记作 $\eta_{\epsilon}(L)$ 。这个 $\epsilon$ 在格密码中通常是很小的值，也就是计算复杂性通常所说的可忽略函数，比如 $n^{-\omega(1)}$ ，其中n可以看成格的维度。

光滑参数在格上，本质就是一个数，那这个数有多大呢？

光滑参数的上限与对偶格最短的向量长度相关，请看一个定理：

定理1

对任意的满秩格 $L\subset R^n$ ，都有 $\eta_{2^{-n}}(L)\leq \sqrt{n}/\lambda_1(L^*)$

可以看到这个定理中的 $\epsilon$ 就是取 $2^{-n}$ ，这个值是很小的。

怎么老谈对偶格，弄得很玄幻。当然，其实也有直接定义在原始格上光滑参数的结论。

对任意格的格基可以进行高斯-斯密斯(Gram-Schmidt)正交化，来让格基更加“漂亮”。格基记为 $B=\lbrace b_i\rbrace$ ，正交化后记为 $\tilde B=\lbrace \tilde b_i\rbrace$ 。格基正交化后的长度满足如下性质：

$min_{\lbrace {basis\ B\ of\ L}\rbrace}||\tilde B|| \leq \lambda_n(L)$

这个式子左边代表把格L最小的格基B来进行正交化得到 $\tilde B$ ，双竖线代表求矩阵 $\tilde B$ 的长度，通常是用 $\tilde B$ 中最长的列向量来代表矩阵的长度。右边代表第n维的连续最小值。

现在来看另一个定理：

定理2

对任意的满秩格 $L\subset R^n$ ，以及 $\epsilon \in (0,1/2)$ ，格的光滑参数有上界结论：

$\eta_\epsilon(L)\leq min ||\tilde B||\cdot \sqrt{log\ O(n/\epsilon)}\leq \lambda_n(L)\cdot \sqrt{log\ O(n/\epsilon)}$

回到主题，也就是光滑参数可以让离散的分布看起来像连续分布。也就是当高斯分布的标准差满足 $s\geq \eta(L)$ 时，离散高斯分布 $D_{c+L,s}$ 就跟连续高斯分布很像。这个很像指的是分布的矩(moments)和尾数(tails)很像（这两个概念是统计学的专有名词）。

另外，统计独立的离散高斯分布的和依旧为离散的高斯分布。

四. 亚高斯分布

这个概念也经常出现在格密码中，尤其是在一些困难问题的规约证明中很常见。

先谈正式的定义。给定一个参数s，以及实数 $t\geq 0$ ，满足如下不等式的变量X就可以称之为亚高斯分布：

$Pr[|X|>t]\leq 2exp(-\pi t^2/s^2)$

这个定义想说，一个变量大于一个数所得到的概率与高斯分布有关，英文一些文献可能会这样表达"a random variable is subgaussian if it is dominated by a Gaussian”。

注意这个地方的x也是一个n维的向量，实际上，对任意的单位向量 $u\in R^n$ ，如果 $\left \langle x,u\right\rangle$ 为亚高斯分布，那么向量x也服从亚高斯分布。简单来讲，亚高斯分布是以范围来定义的，与高斯分布长得像。

根据概率论，亚高斯分布的随机变量取值范围可近似等于 $s/\sqrt{2\pi}$ 。格上离散高斯分布 $D_{L,s}$ ，陪集格上离散的高斯分布 $D_{c+L,s}$ ，当 $s\geq \eta(L)$ 时，准确来讲都服从亚高斯分布。

唠嗑！

关注

34
点赞
踩
33

收藏

觉得还不错? 一键收藏
打赏
0
评论
格密码：离散高斯，亚高斯分布，光滑参数

高斯分布我们都很熟悉，但在格密码中会用到一种特殊的高斯分布，将其取名。
复制链接

扫一扫

专栏目录