格
-
以方阵B为基底,格 L ( B ) L(B) L(B): B ∈ R n × n , L ( B ) = { B x ∣ x ∈ Z n } B \in R^{n \times n},\,\,L(B) = \{Bx|x \in Z^{n}\} B∈Rn×n,L(B)={Bx∣x∈Zn}
- 格 L L L是线性空间 R n R^{n} Rn的加法子群 (并非子空间,子空间是连续的)
- 格 L L L是离散的,即 ∀ x ∈ L \forall x \in L ∀x∈L, x x x的邻域 { y ∣ ϵ ≥ ∥ y − x ∥ } ∩ L \{y|\epsilon \ge\Vert y-x \Vert\} \cap L {y∣ϵ≥∥y−x∥}∩L上只有 x x x本身。
-
给定格 L L L的一组基底 B B B,任意的幺模矩阵 U ∈ Z n × n , d e t ( U ) = ± 1 U \in Z^{n \times n},\, det(U) = \pm 1 U∈Zn×n,det(U)=±1, B U BU BU也是 L L L的一组基底。
-
给定格 L L L的一组格基 B B B,定义基本平行体: P ( B ) = ∑ i B i ⋅ [ − 0.5 , 0.5 ) P(B)=\sum_i B_i \cdot [-0.5,0.5) P(B)=∑iBi⋅[−0.5,0.5),以原点为中心。格的行列式 d e t ( L ) : = V o l ( P ( B ) ) = d e t ( B ) det(L):=Vol(P(B))=det(B) det(L):=Vol(P(B))=det(B);更换基底 B U BU BU, d e t ( L ) det(L) det(L)保持不变。
-
n维格 L L L,定义 λ i ( L ) , 1 ≤ i ≤ n \lambda_i(L),\, 1 \le i \le n λi(L),1≤i≤n是第 i i i最短向量的长度。
-
M i n k o w s k i Minkowski Minkowski定理: λ 1 ( L ) ≤ ( ∏ i λ i ( L ) ) 1 n ≤ n ⋅ d e t ( L ) 1 n \lambda_1(L) \le (\prod_i \lambda_i(L))^{\frac{1}{n}} \le \sqrt n \cdot det(L)^{\frac{1}{n}} λ1(L)≤(∏iλi(L))n1≤n⋅det(L)n1
-
给定格 L L L,定义任一点 t t t到最近格点的距离函数为: μ ( t , L ) = min x ∈ L ∥ t − x ∥ \mu(t,L)=\min\limits_{x \in L}\Vert t-x \Vert μ(t,L)=x∈Lmin∥t−x∥,格的覆盖半径: μ ( L ) = max t ∈ s p a n ( L ) μ ( t , L ) \mu(L) = \max\limits_{t \in span(L)} \mu(t,L) μ(L)=t∈span(L)maxμ(t,L)
-
将线性空间 R n R^n Rn模掉格 L L L,得到 R n / L R^n/L Rn/L,其中的元素是格 L L L的陪集 c + L ∈ R n / L , c ∈ P ( B ) c+L \in R^n/L,\, c \in P(B) c+L∈Rn/L,c∈P(B)
高斯分布
- 宽度s的高斯函数 (Gaussian function) ρ s : R n → R + \rho_s: R^n \rightarrow R^+ ρs:Rn→R+
ρ s ( x ) : = e − π ∥ x ∥ 2 s 2 = ρ ( x / s ) = ∏ i = 1 n ρ s ( x i ) \rho_s(x) := e^\frac{-\pi \Vert x \Vert^2}{s^2} = \rho(x/s) \\ =\prod_{i=1}^{n}\rho_s(x_i) ρs(x):=es2−π∥x∥2=ρ(x/s)=i=1∏nρs(xi)
-
高斯函数是初等函数,但没有初等不定积分。其实数轴上积分为:
∫ − ∞ + ∞ e − a x 2 d x = π a \int_{-\infty}^{+\infty} e^{-ax^2} dx = \sqrt \frac{\pi}{a} ∫−∞+∞e−ax2dx=aπ -
连续高斯分布 D s D_s Ds,其概率密度函数为:
f ( x ) = ρ s ( x ) / ∫ R n ρ s ( z ) d z = ρ s ( x ) s n f(x)=\rho_s(x) / \int_{R^n} \rho_s(z) dz = \dfrac{\rho_s(x)}{s^n} f(x)=ρs(x)/∫Rnρs(z)dz=snρs(x)
-
离散高斯分布 D c + L , s D_{c+L,s} Dc+L,s,格陪集 c + L ⊂ R n c+L \sub R^n c+L⊂Rn,其概率密度函数为:
D c + L , s ∝ { ρ s ( x ) i f x ∈ x + L 0 i f x ∉ x + L D_{c+L,s} \propto \left\{ \begin{aligned} \rho_s(x) && if\,\, x \in x+L\\ 0 && if\,\, x \not \in x+L\\ \end{aligned} \right. Dc+L,s∝{ρs(x)0ifx∈x+Lifx∈x+L -
平滑参数 η ϵ ( L ) \eta_\epsilon(L) ηϵ(L),关于误差 ϵ \epsilon ϵ,定义为最小的 s > 0 s > 0 s>0使得: ρ 1 s ( L ∗ ) ≤ 1 + ϵ \rho_{\frac{1}{s}}(L^*) \le 1+\epsilon ρs1(L∗)≤1+ϵ,其中 L ∗ L^* L∗是 L L L的对偶格。
当 s ≥ η ϵ ( L ) s \ge \eta_\epsilon(L) s≥ηϵ(L),每一个陪集 c + L c+L c+L的高斯质量 ρ s ( c + L ) : = ∑ x ∈ c + L ρ s ( x ) \rho_s(c+L):= \sum_{x \in c+L}\rho_s(x) ρs(c+L):=∑x∈c+Lρs(x)都几乎相同。
-
一个随机变量是**亚高斯 ( S u b g a u s s i a n i t y Subgaussianity Subgaussianity) **的,是说它的分布以高斯分布为主。一般的,一个随机变量 X X X是参数为 s s s的亚高斯分布,那么对于任意的 t ≥ 0 t \ge 0 t≥0,都有:
P r [ ∣ X ∣ > t ] ≤ 2 e − π t 2 s 2 Pr[|X|>t] \le 2e^\frac{-\pi t^2}{s^2} Pr[∣X∣>t]≤2es2−πt2
格上困难问题
-
最近向量问题 CVP
给定任意一组格基 B B B,给定搜索距离 d d d,对于连续空间中任意一点 t ∈ R n t \in R^n t∈Rn,在格 L = L ( B ) L=L(B) L=L(B)中寻找格点 B x ∈ L Bx \in L Bx∈L,使得: ∥ B x ∥ ≤ d \Vert Bx \Vert \le d ∥Bx∥≤d
-
BDD问题
令 d ≤ λ 1 ( L ) / 2 d \le \lambda_1(L)/2 d≤λ1(L)/2,CVP问题最多有一个解;若有解 x x x,那么 B x ∈ L Bx \in L Bx∈L是距离点 t t t最近的格点。
-
ADD问题
令 d ≥ μ ( L ) d \ge \mu(L) d≥μ(L),CVP问题至少有一个解 x x x;但 B x ∈ L Bx \in L Bx∈L不一定是距离点 t t t最近的格点。
-
-
最短向量问题 SVP
给定任意一组格基 B B B,在格 L = L ( B ) L=L(B) L=L(B)中寻找非零格点 B x ∈ L Bx \in L Bx∈L,使得: ∥ B x ∥ = λ 1 ( L ) \Vert Bx \Vert = \lambda_1(L) ∥Bx∥=λ1(L)
-
最短线性无关向量问题 SIVP
给定任意一组格基 B B B,在格 L = L ( B ) L=L(B) L=L(B)中寻找n个线性独立的向量 { B x i , 1 ≤ i ≤ n } \{Bx_i,\, 1 \le i \le n\} {Bxi,1≤i≤n},使得: max i ∥ B x i ∥ ≤ λ n ( L ) \max\limits_{i} \Vert Bx_i \Vert \le \lambda_n(L) imax∥Bxi∥≤λn(L)
-
最短整数解问题 SIS
给定m个随机向量 a i ∈ Z q n a_i \in Z_q^n ai∈Zqn,按列组合成矩阵 A ∈ Z q n × m A \in Z_q^{n \times m} A∈Zqn×m;寻找一个非零向量 z ∈ Z m z \in Z^m z∈Zm, ∥ z ∥ ≤ β \Vert z \Vert \le \beta ∥z∥≤β,使得: f A ( z ) : = A z = ∑ i a i z i = 0 ∈ Z q n f_A(z):=Az = \sum_i a_i z_i = 0 \in Z_q^n fA(z):=Az=∑iaizi=0∈Zqn
-
易知, z = ( q , 0 , . . . , 0 ) ∈ Z m z=(q,0,...,0) \in Z^m z=(q,0,...,0)∈Zm是平凡的解;设置 β < q \beta < q β<q
-
当 β ≥ n l o g q \beta \ge \sqrt{n\,log\,q} β≥nlogq且 m ≥ n l o g q m \ge n\,log\,q m≥nlogq时,SIS问题存在解。
-
非齐次版本 A x = u ∈ Z q n Ax=u \in Z_q^n Ax=u∈Zqn,与齐次版本 A x = 0 Ax=0 Ax=0等价。
-
-
容错学习问题 LWE
-
LWE分布 A s , χ A_{s,\chi} As,χ:选定秘密向量 s ∈ Z q n s \in Z_q^n s∈Zqn,随机均匀地选择 a ∈ Z q n a \in Z_q^n a∈Zqn,从离散高斯分布中选择 e ← χ e \leftarrow \chi e←χ,输出: ( a , b = < s , a > + e m o d q ) ∈ Z q n × Z q (a,b=<s,a>+e\,\,mod\,q) \in Z_q^n \times Z_q (a,b=<s,a>+emodq)∈Zqn×Zq
-
S e a r c h − L W E n , q , χ , m Search-LWE_{n,q,\chi,m} Search−LWEn,q,χ,m
针对均匀随机变量 s ∈ Z q n s \in Z_q^n s∈Zqn,给定m个 A s , χ A_{s,\chi} As,χ的独立采样 ( a i , b i ) (a_i,b_i) (ai,bi),寻找 s s s
-
D e c i s i o n − L W E n , q , χ , m Decision-LWE_{n,q,\chi,m} Decision−LWEn,q,χ,m
给定m个独立采样 ( a i , b i ) ∈ Z q n × Z q (a_i,b_i) \in Z_q^n \times Z_q (ai,bi)∈Zqn×Zq,这些样本都来自如下两个分布之一:
1). LWE分布 A s , χ A_{s,\chi} As,χ,对于固定的均匀随机数 s ∈ Z q n s \in Z_q^n s∈Zqn;
2). Z q n × Z q Z_q^n \times Z_q Zqn×Zq上均匀分布。
区分是哪一种情况。 -
将m个采样按列组合成矩阵: A ∈ Z q n × m , b ∈ Z q m A \in Z_q^{n \times m},\, b \in Z_q^m A∈Zqn×m,b∈Zqm,其中 b t = s t A + e t ( m o d q ) , e ∈ χ m b^t = s^t A+e^t (mod\, q),\, e \in \chi^m bt=stA+et(modq),e∈χm
-
-
Ring-SIS
-
环的嵌入
-
c o e f f i c i e n t e m b e d d i n g σ : R → Z n coefficient\,\,\,embedding\,\,\sigma:R \rightarrow Z^n coefficientembeddingσ:R→Zn:给定环 R = Z [ x ] / ( f ( x ) ) R=Z[x]/(f(x)) R=Z[x]/(f(x)), z ∈ R z \in R z∈R 可表示为 Z [ x ] Z[x] Z[x]中至多n度的整系数多项式,将多项式系数作为n维向量。
这是 n o n − c a n o n i c a l non-canonical non−canonical的,取 a , b ∈ R a,b \in R a,b∈R, σ ( a + b ) , σ ( a b ) \sigma(a+b),\sigma(ab) σ(a+b),σ(ab)与 σ ( a ) , σ ( b ) \sigma(a),\sigma(b) σ(a),σ(b)之间的关系比较松,因为模 f ( x ) f(x) f(x)
-
c a n o n i c a l e m b e d d i n g σ : R → C n canonical\,\,\,embedding\,\,\sigma:R \rightarrow C^n canonicalembeddingσ:R→Cn:将每个元素 z ∈ R z \in R z∈R映射到向量 { z ( α i ) } i ∈ C n \{z(\alpha_i)\}_i \in C^n {z(αi)}i∈Cn,其中 α i ∈ C \alpha_i \in C αi∈C是 f ( x ) f(x) f(x)的n个复数根, z ( ⋅ ) z(\cdot) z(⋅)是多项式求值。
这是 c a n o n i c a l canonical canonical的,取 a , b ∈ R a,b \in R a,b∈R,有: σ ( a + b ) = σ ( a ) + σ ( b ) \sigma(a+b)=\sigma(a)+\sigma(b) σ(a+b)=σ(a)+σ(b), σ ( a b ) = σ ( a ) σ ( b ) \sigma(ab) = \sigma(a)\sigma(b) σ(ab)=σ(a)σ(b)
-
-
环 R = Z [ x ] / ( f ( x ) ) , f ( x ) = x n − 1 o r f ( x ) = x 2 k + 1 R=Z[x]/(f(x)),\, f(x)=x^n-1\, or\, f(x)=x^{2^k}+1 R=Z[x]/(f(x)),f(x)=xn−1orf(x)=x2k+1是n度多项式环。对于 z ∈ R z \in R z∈R,根据环的嵌入,定义范 ∥ ⋅ ∥ \Vert \cdot \Vert ∥⋅∥;对于向量 z → ∈ R m \overrightarrow{z} \in R^m z∈Rm,定义 ∥ z ∥ = ( ∑ i ∥ z i ∥ 2 ) 1 / 2 \Vert z \Vert = (\sum_i \Vert z_i \Vert^2)^{1/2} ∥z∥=(∑i∥zi∥2)1/2。定义 R q : = R / q R = Z q [ x ] / ( f ( x ) ) R_q := R/qR = Z_q[x]/(f(x)) Rq:=R/qR=Zq[x]/(f(x))
-
R − S I S q , β , m R-SIS_{q,\beta,m} R−SISq,β,m
给定m个均匀随机元素 a i ∈ R q a_i \in R_q ai∈Rq,组合成向量 a ∈ R q m a \in R_q^m a∈Rqm;寻找非零向量 z ∈ R m z \in R^m z∈Rm,且 ∥ z ∥ ≤ β \Vert z \Vert \le \beta ∥z∥≤β,使得: f a ( z ) : = < a , z > = 0 ∈ R q f_a(z):=<a,z>=0 \in R_q fa(z):=<a,z>=0∈Rq
-
易知, z = ( q ∈ R , 0 ∈ R , . . . , 0 ∈ R ) ∈ R m z=(q \in R,0 \in R,...,0 \in R) \in R^m z=(q∈R,0∈R,...,0∈R)∈Rm是平凡的解;设置 β < q \beta < q β<q
-
当 β ≥ n l o g q \beta \ge \sqrt{n\,log\,q} β≥nlogq且 m ≥ l o g q m \ge log\,q m≥logq时,R-SIS问题存在解。
-
-
Ring-LWE
-
Ring-LWE分布 A s , χ A_{s,\chi} As,χ:选定秘密 s ∈ R q s \in R_q s∈Rq,随机均匀地选择 a ∈ R q a \in R_q a∈Rq,从离散高斯分布中选择 e ← χ e \leftarrow \chi e←χ,输出: ( a , b = s ⋅ a + e m o d q ) ∈ R q × R q (a,b=s \cdot a+e\,\,mod\,q) \in R_q \times R_q (a,b=s⋅a+emodq)∈Rq×Rq
-
S e a r c h − R − L W E q , χ , m Search-R-LWE_{q,\chi,m} Search−R−LWEq,χ,m
针对均匀随机变量 s ∈ Z q n s \in Z_q^n s∈Zqn,给定m个 A s , χ A_{s,\chi} As,χ的独立采样 ( a i , b i ) (a_i,b_i) (ai,bi),寻找 s s s
-
D e c i s i o n − R − L W E q , χ , m Decision-R-LWE_{q,\chi,m} Decision−R−LWEq,χ,m
给定m个独立采样 ( a i , b i ) ∈ R q × R q (a_i,b_i) \in R_q \times R_q (ai,bi)∈Rq×Rq,这些样本都来自如下两个分布之一:
1). R-LWE分布 A s , χ A_{s,\chi} As,χ,对于固定的均匀随机数 s ∈ R q s \in R_q s∈Rq;
2). R q × R q R_q \times R_q Rq×Rq上均匀分布。
区分是哪一种情况。
-
1456
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
