格基约简：BKZ算法

参考文献：

1. Schnorr C P, Euchner M. Lattice basis reduction: Improved practical algorithms and solving subset sum problems[J]. Mathematical programming, 1994, 66(1): 181-199.
2. Chen Y, Nguyen P Q. BKZ 2.0: Better lattice security estimates[C]//International Conference on the Theory and Application of Cryptology and Information Security. Springer, Berlin, Heidelberg, 2011: 1-20.
3. Gama N, Nguyen P Q, Regev O. Lattice enumeration using extreme pruning[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Springer, Berlin, Heidelberg, 2010: 257-278.

欧几里得球（Euclidean ball）

半径$R$的$n$维球，它的体积为：
$$V_n(R)=R^n\cdot \frac{{\pi }^{n/2}}{\Gamma (n/2+1)}=R^n\cdot V_n(1)$$
其中$\Gamma (s)$是$Gamma$函数：
$$\Gamma (s)={\int }_0^{\infty }{t}^{s-1}{e}^{-t}dt$$
利用斯特林公式（ Stirling’s approximation），得到：
$$V_n(1{)}^{-1/n}\approx \sqrt{\frac{n}{2\pi e}}\approx \sqrt{n/17}$$
高斯启发式（Gaussian Heuristic）：对于$n$维格$L$和连续集合$S\subset R^m$，在$S\cap L$中的格点数大约是$vol(S)/vol(L)$

假设$S$是半径$R$的$n$维球，那么其中的格点数约为$V_n(R)/det(L)$

格的高斯启发式：
$${\lambda }_1(L)\approx (\frac{det(L)}{V_n(1)}{)}^{1/n}\approx \sqrt{n/17}\cdot \prod _{i=1}^n\Vert b_i^{\ast }\Vert$$
其中$b_i^{\ast }$​是施密特正交基（Gram-Schmidt orthogonal basis）

简记为：$GH(L)=det(L{)}^{1/n}/V_n(1{)}^{1/n}$

高维球的性质

1. 高维球的体积集中在薄球壳上
2. 高维球的体积集中在任意赤道面上
3. $d$维的正态分布，虽然密度在原点处最高，但原点附近的球体几乎没有体积；随机点集中在半径$\sigma \sqrt{d-1}\pm O(1)$的薄球壳上
4. 高维球体的体积趋近于0，高维立方的体积恒等于1；高维球体可以包裹高维立方的面中心点，但顶点间最远距离为$\sqrt{d}\gg 2$
5. 下面是高维立方的面中心点到顶点的距离渐变过程：

# 假设立方体棱长为2，方便观察
>>> f=lambda d: [np.sqrt(1+(d-1)*x**2) for x in np.arange(0, 1.1, 0.1)]
>>> f(100)
[1.0, 1.4106735979665885, 2.227105745132009, 3.148015247739439, 4.1036569057366385, 5.07444578254611, 6.053098380168623, 7.036334272900913, 8.022468448052633, 9.010549372818508, 10.0]

# 对于单位立方，公式为
>>> f=lambda d: [np.sqrt(0.5**2+(d-1)*x**2) for x in np.arange(0, 0.55, 0.05)]
>>> f(100)
[0.5, 0.7053367989832943, 1.1135528725660044, 1.5740076238697196, 2.0518284528683193, 2.537222891273055, 3.0265491900843116, 3.5181671364504563, 4.011234224026317, 4.505274686409254, 5.0]

# 很明显，0.5 < 1 < 5.0

正交投影（orthogonal projection）

对于$n$维格，格基 { b 1 , b 2 , ⋯   , b n } \{b_1,b_2,\cdots,b_n\} {b1​,b2​,⋯,bn​}（$m$维向量）， i ∈ { 1 , ⋯   , n } i \in\{1,\cdots,n\} i∈{1,⋯,n}，定义映射
$${\pi }_i:R^m\mapsto span(b_1,\cdots ,b_{i-1}{)}^{\perp }$$
易知
$$v-{\pi }_i(v)\in span(b_1,\cdots ,b_{i-1})$$
特别地，${\pi }_1(\cdot )=id$，是恒等映射。

平凡的计算方法：
$${\pi }_i(v)=v-\sum _{i=1}^{i-1}\frac{v\cdot b_i^{\ast }}{b_i^{\ast }\cdot b_i^{\ast }}\cdot b_i^{\ast }$$
但实际上，假设$v=v_1{b}_1+\cdots +v_n{b}_n$，由于
$$b_k=b_k^{\ast }+\sum _{j=1}^{k-1}{\mu }_{k,j}{b}_j^{\ast }$$
那么
$$v=\sum _{j=1}^n(v_j+\sum _{k=j+1}^n{\mu }_{k,j}{v}_k)b_j^{\ast }$$
根据施密特正交基的性质，截断：
$${\pi }_i(v)=\sum _{j=i}^n(v_j+\sum _{k=j+1}^n{\mu }_{k,j}{v}_k)b_j^{\ast }$$
因此计算他们的范数是容易的，不必反复计算内积：
$$\Vert {\pi }_i(v){\Vert }^2=\sum _{j=i}^n(v_j+\sum _{k=j+1}^n{\mu }_{k,j}{v}_k{)}^2\cdot \Vert b_j^{\ast }{\Vert }^2$$
投影子格（projective sublattice）：
$$L_{i,j}:=L({\pi }_i(b_i),{\pi }_i(b_{i+1}),\cdots ,{\pi }_i(b_j))$$
局部块（local block）：
B i : = { π i ( b i ) , π i ( b i + 1 ) , ⋯   , π i ( b j ) } B_i := \{\pi_i(b_i),\pi_i(b_{i+1}),\cdots,\pi_i(b_j)\} Bi​:={πi​(bi​),πi​(bi+1​),⋯,πi​(bj​)}
块长为$\beta =j-i+1$

枚举算法

假设${\lambda }_1(L)<R$，为了解决$SVP$，我们搜索向量$v$对应的系数组合$(v_1,v_2,\cdots ,v_n)$，并满足$n$个不等式：
$$\Vert {\pi }_{n+1-k}(v){\Vert }^2\le R^2,1\le k\le n$$
关于格$L$的搜索半径为$R$的枚举树：树的深度为$n$，其深度$k$的节点是$rank-k$的投影格${\pi }_{n+1-k}(L)$中所有的范数不超过$R$的向量。

对于一个深度$k$的节点$u\in {\pi }_{n+1-k}(L)$，它的父节点是深度$k-1$的${\pi }_{n+2-k}(u)$，因此节点$v$的祖先节点的范数不比$\Vert v\Vert$大，这个序列可以用于剪枝。

特别的，根节点是零向量，因为 π n + 1 ( L ) = { 0 } \pi_{n+1}(L)=\{0\} πn+1​(L)={0}；而叶子节点，就是所有满足$\Vert v\Vert \le R$的向量，因为${\pi }_1(v)=v$

不剪枝的枚举算法，对于不等式组，$1\le k\le n$
$$\Vert {\pi }_{n+1-k}(v){\Vert }^2=\sum _{j=n+1-k}^n(v_j+\sum _{i=j+1}^n{\mu }_{i,j}{v}_i{)}^2\cdot \Vert b_j^{\ast }{\Vert }^2\le R^2$$
提出第$n+1-k$项：
$$|v_{n+1-k}+\sum _{i=n+2-k}^n{\mu }_{i,n+1-k}\cdot v_i|\le \frac{\sqrt{R^2-{\sum }_{j=n+2-k}^n(v_j+{\sum }_{i=j+1}^n{\mu }_{i,j}{v}_i{)}^2\cdot \Vert b_j^{\ast }{\Vert }^2}}{\Vert b_{n+1-k}^{\ast }\Vert }$$
于是，对于$k=1$，考虑对称性，有枚举范围$0\le v_n\le R/\Vert b_n^{\ast }\Vert$

假设整系数$v_{n+2-k},\cdots ,v_n$已经确定，那么$v_{n+1-k}$的枚举范围$I_{n+1-k}$也可以确定下来。区间中心为$v_{n+1-k}=\lfloor -{\sum }_{i=n+2-k}^n{\mu }_{i,n+1-k}\cdot v_i\rceil$，然后依次搜索$\pm 1,\pm 2,\cdots$

剪枝枚举算法（Pruned Enumeration），设置更严格的不等式，即
$$\Vert {\pi }_{n+1-k}(v){\Vert }^2\le R_k^2,1\le k\le n$$
其中边界参数（bounding parameters）$R_1\le R_2\le \cdots \le R_n=R$是$n$个实数，由剪枝策略确定。

剪枝，实际上是将“不太可能”是最短向量的枝丫去除，因此剪枝算法的“成功概率”并不是$1$。我们通过反复执行剪枝枚举算法，提高求解$CVP$的成功率。注意，剪枝算法是确定性的，因此我们执行剪枝枚举之前，需要将格基“随机化”。

极限剪枝（Extreme Pruning）：选择某种边界参数，使得算法成功率很小，但却以指数级降低时间复杂度。

BKZ（Block Korkin Zolotarev reduction）

对于格$L$的有序基底 { b 1 , b 2 , ⋯   , b n } \{b_1,b_2,\cdots,b_n\} {b1​,b2​,⋯,bn​}，若它是$size-reduced$，并且满足
$$\Vert b_i^{\ast }\Vert ={\lambda }_1({\pi }_i(L))$$
那么它称为：$Korkin-Zolotarevbasis$

任意的$KZ$基，都满足：
$$\frac{4}{i+3}\le \frac{\Vert b_i{\Vert }^2}{{\lambda }_i^2}\le \frac{i+3}{4},i=1,2,\cdots ,n$$
然而，计算出$KZ$基的时间复杂度是指数级的。

我们退而求其次，使得长度为$\beta$的局部块$B_i$，满足$size-reduced$，并且
$$\delta \cdot \Vert b_i^{\ast }\Vert \le {\lambda }_1({\pi }_i(L(b_i,\cdots ,b_{\min (i+\beta -1,n)})))={\lambda }_1(L_{i,\min (i+\beta -1,n)}),i=1,2,\cdots ,n-1$$
其中$1/4\le \delta \le 1$，这称为$\beta -reducedwith\delta$

BKZ算法：先做格约简（格基越好，枚举树越小），然后对于$i=1,\cdots ,n-1$，在投影子格$L_{i,\min (n,i+\beta -1)}$上执行枚举算法，得到局部块$B_i$上的最短向量$v$，并把它插入原始格基中
$$(b_1,b_2,\cdots ,b_{i-1},v,b_i,\cdots ,b_{\min (n,i+\beta -1)})$$
这使得这些向量线性相关。需要对它做格基约化（例如$LLL$算法），重新得到格基，它满足
$$\Vert b_i^{\ast }\Vert ={\lambda }_1(L_{i,\min (i+\beta -1,n)})$$

然后继续枚举，继续格约简，直到格基不再变化。实际上，在算法的前若干轮，格基的质量会有明显提高；再之后，其格基的质量就很接近$BKZ$算法的约简极限了，可以提前终止。