格密码中的困难问题

于 2024-07-18 19:59:43 发布
阅读量1k 收藏 32
点赞数 12
分类专栏: 格密码 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forest_LL/article/details/140526315
版权

目录

写在前面

一. SVP问题

二. GapSVP问题

三. uSVP问题

四. uSVP与GapSVP问题之间的归约

五. 整数旋转格上的困难问题

5.1 格同构

5.2 y-ZSVP问题

写在前面

本文章主要关注SVP问题的变式,以及它们的关系。其中包含SVP问题,GapSVP问题,uSVP问题。以及旋转格上这些困难问题的理解。

一. SVP问题

一般利用正整数n来代表格的维度,也就是:

n\in Z^+

格困难问题会出现近似因子的概念,该值通常是一个与n相关的公共参数:

\gamma=\gamma(n)\geq 1

首先我们先来看第一个很常用的格困难问题,全称叫y-approximate shortest vector problem,通常会被简称为y-SVP问题。

因为目标是输出一个格向量,所以这是一个search问题。

也就是给定格L的格基B:

尝试寻找一个非零的格向量:

该格向量的长度相对较短,也就是满足:

二. GapSVP问题

介绍的第二个问题的全称叫做decision-y-approximate shortest vector problem。该问题简称为y-GapSVP问题。

因为该问题的输出结果只有YES或者NO,所以这叫做判定性问题(decision版本)。

该问题也是给定一个格L的格基B:

外加一个大于0的常数r>0

来判定该格最短向量长度到底满足哪一种情况。

第一种叫YES instance,也就是:

第二种叫NO instance,也就是:

当然,该问题的前提是要保证最短向量的长度只会出现这两种情况之一,不会出现介于中间的情况(问题无定义)。

从直觉来看,GapSVP要比SVP问题“简单”一丢丢。

三. uSVP问题

y-uSVP问题的全称为unique shortest vector problem with gap y。

因为这个问题的本质也是寻找最短的非零格向量,所以这也是一个search问题。

相比于普通的SVP问题,该问题前提限定了:

也就是第二短的格向量比第一短的格向量的y倍还要长。这个性质其实可以间接反应格的稀疏程度。换句话说,如果这两者相差的越大,那么最后的\lambda_1(L)就越好求。

这个问题的目标也是找到一个格向量:

使其长度刚好最短:

四. uSVP与GapSVP问题之间的归约

在格困难问题的归约中,一般会设定近似因子为多项式范畴,也就是:

论文[LM09]证明:在维持格维度不变的情况下,y-uSVP可以使用Cook归约到y-GapSVP上。

[LM09] Vadim Lyubashevsky and Daniele Micciancio. On Bounded Distance Decoding, Unique Shortest Vectors, and the Minimum Distance Problem. In CRYPTO, 2009. 3, 9, 22

如果这些困难问题的近似因子为常数会发生什么?

比如在y-GapSVP问题中,如果近似因子取常数范围,也就是:

\gamma=1.93+o(1)

那么解决该问题的计算难度其实是指数复杂度:

2^{\frac{n}{2}+o(n))}

对计算复杂性感兴趣的小伙伴可以翻看此论文[ADR15]:

[ADRS15] Divesh Aggarwal, Daniel Dadush, Oded Regev, and Noah Stephens-Davidowitz. Solving the shortest vector problem in 2n time using discrete Gaussian sampling. In STOC, 2015. 1, 2, 5,6, 9, 18, 21

五. 整数旋转格上的困难问题

n维整数格可以直接写为:

Z^n

5.1 格同构

如果有两个格,它们的维度均为n。且存在一种正交变换R:

R\in O_n(R)

使得可以将一个格旋转成另外一个格,也就是:

那么这两个格就是同构的,英文写做isomorphic(注意跟格同态区分开来)。

其中最常见的就是n维整数格的旋转格同构:

5.2 y-ZSVP问题

y-ZSVP问题的全称为y-approximate shortest vector problem on rotations of Z^n

这个问题的本质是在n维整数旋转格上寻找最短的非零格向量,所以其本质也是一个search问题,近似因子的定义与前面类似:

\gamma=\gamma(n)\geq 1

来总结下这个问题的标准定义。

给定格基B:

B\in R^{n\times n}

格L与n维整数格Z^n同构,也就是:

L\cong Z^n

目标是寻找一个格向量:

v\in L

使其长度有上限:

||v||\leq \gamma\cdot \lambda_1(L)

当然,如果近似因子y=1时,那么这个就是最原始的ZSVP问题。之前对于该问题也有过一些解释,可以参看之前的博客:

【格密码基础】详解ZSVP问题-CSDN博客

细心的小伙伴会发现,其实ZSVP问题的本质就是找出格的旋转角度,所以这个其实就是格同构问题:Lattice isomorphism problem LIP问题。

如果LIP问题真的是NP-困难的话,那么直觉上可以设计很多新的格公钥密码方案。比如:

给定一个同构格:

将格L的坏基作为公钥。

根据以上讨论,我们知道找出标准正交基,也就是旋转角度是困难的。所以这个方向是可行的。

从本质上讲,找出n维整数格的同构形式的标准正交基的过程,可以多项式时间归约到ZSVP问题上。

唠嗑!
关注
专栏目录
密码学综述文章】困难问题的复杂度分析.doc
11-02
困难问题的复杂度分析 作为新型的密码系统, 密码因为其巨大的潜在应用价值备受关注. 作为密码的基石, 困 难问题一直是密码研究的重点. 本文通过分析一些常见的问题, 主要包括最短向量问题(SVP), 最近 向量问题(CVP), 小整数解问题(SIS)和误差学习(LWE)等, 对相关问题的复杂度成果进行了总结. 结果 主要包括两个方面, 一方面是 SVP, CVP 等困难问题的复杂度分析, 本文得到了 SVP, CVP 和 SIVP 在不 同参数和不同范数下的依据参数大小排序的复杂度表; 另一方面则是不同问题之间的归约, 其包括最 坏情况之间, 最坏情况和一般情况之间的规约。
密码困难问题(LWE,SIS,SIVP,BDD,GapSVP)
forest_LL的博客
12-25 2318
密码有一个原语叫做multilinear map,常应用于code obfuscation,这个领域出现了非常多新设计的困难问题。但这些困难问题有一个致命的弱点,暂时不能实现最坏情况和一般情况的安全归约,所以不被一些密码学家承认。但这其实是一个常见的发展路径,早些年全同态依赖的困难问题也是特殊设计的,只是后来不断发展后可归约到标准的LWE/RLWE困难问题。所以,本文章尝试梳理密码论文常用的困难问题之间的关系。具体对问题的解释可以看我之前的博客。SIS短整数解问题SVP最短向量问题
SIS与LWE问题
旺旺的碎冰冰~的博客
09-17 1337
的经典两大难题,SIS与LWE。以及基于此设计的ring-sis与ring-lwe
密码基础:详解最短向量问题(SVP)以及攻击算法
forest_LL的博客
03-23 3268
之前讨论过的闵可夫斯基第一定理表明:任何秩为n的一定包含一个非零且长度不超过的向量已给出的证明过程实际上不够全面,并没有给出找到此最短向量的准确算法。当然,这其实是一个公开的问题,目前还没有完全准确的算法找到此最短向量。这也是密码的最底层问题,如果有一天这个问题被解决了,那么密码的大厦将轰然倒塌。今天我们来看下这个问题为何如此重要。为了讨论此类问题的计算复杂度,可以先定义下的一种问题:最短向量问题,简写SVP。找出最短向量叫做计算SVP问题计算出最短向量长度:优化SVP问题
密码LLL算法:如何解决最短向量SVP问题(1)
forest_LL的博客
03-26 6263
前言 在本节,提出一个解决最短向量(SVP)问题算法。在1982年,此算法由A.K.Lenstra,H.W.Lenstra,Jr和L.lovasz提出,通常称之为LLL算法。 在1801年,Gauss曾给出一个解决二维空间的SVP算法。某种意义上,LLL算法可以看成解决多维空间SVP问题算法。在1987年,Schnorr改进过LLL算法,将计算复杂性改进到。 一. LLL算法的应用 1. 在整数和有理数的范畴分解多项式,例如将分解成和。 2. 找到多项式方程足够精确的代数解,例如的输出解
GSW(2)Preliminaries
weixin_58331078的博客
05-27 538
1.LWE问题和GapSVP LWE问题是被Regev[Reg05]所提出。 定义1(LWE) 对于安全参数,令是整数维度,是整数,是在上的分布。问题是去区分下面两个分布:在第一个分布,均匀抽样。在第二个分布,首先均匀取出(均匀选取),之后取样,其(均匀选取),设置。假设是问题是无解的。 有时这是合适的去把向量看作为矩阵的行,重新定义为。然后,要么矩阵是均匀的,要么存在一个第一项系数为1的向量使得,这里的系数来自分布。 对于维度参数为和数,问题是区分是否一个维有一个向量短于或者没有向量短于。
签名困难假设: 最短向量问题SVP
qq_44775134的博客
12-25 3297
1 定义 最短向量问题 (Shortest Vector Problem, SVP). SVP 问题定义为:对于给定的Λ\LambdaΛ ,找到一个非零的向量v\bold vv ,使得对于任意的非零向量u∈Λ\bold u \in \Lambdau∈Λ,∣∣v∣∣≤∣∣u∣∣||\bold v||\le||\bold u||∣∣v∣∣≤∣∣u∣∣。 2 应用 3 证明 平均情况下的SVP难度不比最坏情况下的SVP容易 todo ...
密码基础(2)-计算性困难问题
CCCYYY090的博客
04-11 2782
密码基础(2)-计算性困难问题 ​ 这里写的关于理论的困难问题主要是针对密码学介绍的。上次写到,现代密码学方案大都是基于某个困难问题研究的,最终方案的安全性也被规约到困难问题的安全性上去。 ​ 密码系统的另一个优势就是平均情况下的困难性可以规约到最坏情况下的困难性,在密码系统我们希望的是任何情况下系统都是安全的,所以平均情况下的安全性是我们想要的。[Ajtai96]给出了最坏情况困难性与平均情况困难性的连接,对于这个重要的结论,我个人的理解是“如果最坏情况下问题困难的,
国知网密码论文系列
12-03
密码的核心思想源于数学理论,它将传统密码的离散对数问题和大整数因子分解问题替换为在特定几何结构——的最短向量问题或最接近向量问题。这种方法的优势在于,这些问题在经典计算模型困难的,...
Lattice Cryptography 密码基础入门01、02 阅读材料
03-14
3. **最近向量问题(Shortest Vector Problem, SVP)**:这是密码最核心的问题之一,要求找到长度最短的非零向量。由于这是一个NP难问题,即使对于量子计算机也难以解决,因此被用于构建抗量子攻击的密码...
密码学的问题1
08-03
这两个问题在计算上都是困难的,常被用作密码系统的安全性基础。 **7. Babai算法** Babai算法是一种近似算法,用于解决上的最近点问题(CVP),输入是和一个点,输出是与该点最近的点。其设计思路是通过...
(Lattice)基础(一)
Amire0x的小乐园
09-30 3810
有关的基础概念,和相关的难题
密码LLL算法:如何解决最短向量SVP问题(2)
forest_LL的博客
03-29 2890
一. 约化基 令为约化基,可得。当时,结论可化简为。 证明:
密码基础:最短基与KZ基
最新发布
forest_LL的博客
01-18 1427
KZ基的全称叫Korkine-Zolotarev基,KZ基也被称之为最短的基。接下来我们介绍什么是KZ基?给定任意秩为n的,首先第一步寻找其最短的向量,记作,这个就是KZ基的第一个向量。的扩展空间写做:将此扩展空间垂直投影于向量,形成一个子空间(subspace)。接着将点投影于此子空间形成新的点叫做,将此新的最短的向量叫做。以上过程可直接抽象看成:接着寻找满足如下等式的向量:其的取值如下:由此就可以确定原来的的第二个基。根据以上讨论我们发现。
签名相似概念区分: SVP、SIS、LWE的区分
qq_44775134的博客
08-18 3477
参考. 困难问题: 最短向量问题 (Shortest Vector Problem, SVP). SVP 问题定义为:对于给定的Λ\LambdaΛ ,找到一个非零的向量v\bold vv ,使得对于任意的非零向量u∈Λ\bold u \in \Lambdau∈Λ,∣∣v∣∣≤∣∣u∣∣||\bold v||\le||\bold u||∣∣v∣∣≤∣∣u∣∣。 类似问题有: 近似最短向量问题aSVP(Approximate Shortest Vector Problem) 唯一最短向量问题 (Uni
基于密码算法研究
热门推荐
Mr.Yi的博客
09-12 1万+
Q1:传统公钥密码面临的挑战 (1)安全性挑战:Shor量子分解算法利用量子计算的并行性,对任意大的整数进行快速因子分解,大大降低目前普遍使用的RSA算法的破解时间。随后又出现了针对基于离散对数问题的量子求解算法。这些量子算法的提出意味着只要出现实际的量子计算机,现有的以传统公钥密码为基石建立的安全系统将丧失所有的安全性。 (2)效率挑战:传统公钥密码算法的密钥长度一直在增加,使得传统密码算法码效...
密码LLL算法:如何解决最短向量SVP问题(3)(完结篇)
forest_LL的博客
06-03 1287
目录一. 运算每个正交基过程是多项式时间二. 对原基的操作都为多项式时间三. 算法总运行时间四. 开放性问题在运算正交基对应的系数时,依据克莱姆定理,可得系数的计算公式如下: 此结果表明为有理数,分母为,此结果是用来计算正交基的,如下:由此可说明,如下两个表达式一定是整数形式:显然易得正交基的下限:由此易得正交基计算的上限如下:此部分主要想证明,在进行约化迭代时,原基长度不会发生太大改变。 每一步出现的原基向量都可以利用M相关的多项式比特表示。原因可见如下不等式:上式子第一个等号依据互相垂直可得,第一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

唠嗑!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值