LWE求解算法

问题转换

搜索版本的LWE问题$(A,b=As+e)\leftarrow L_{s,\chi }$，

1. 等价于格 L = { A z m o d    q ∣ z ∈ Z q n } L=\{Az \mod q | z\in Z^n_q\} L={Azmodq∣z∈Zqn​}上的BDD问题。因为模$q$，所以格基是 { A 1 , A 2 , ⋯   , A n , q ⋅ e 1 , q ⋅ e 2 , ⋯   , q ⋅ e n } \{A_1,A_2,\cdots,A_n, q \cdot e_1,q \cdot e_2, \cdots, q \cdot e_n\} {A1​,A2​,⋯,An​,q⋅e1​,q⋅e2​,⋯,q⋅en​}的格基约化结果。

2. 等价于格 L = { v ∣ v A ≡ 0 m o d    q } L=\{v|vA \equiv 0 \mod q\} L={v∣vA≡0modq}上的SIS问题。寻找一个足够短的非零向量$v$，使得$vA\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}q$换句话说，格$L$上的所有格点，都落在法向量是$v$的超平面上，超平面之间的距离是$\frac{q}{\Vert v\Vert }$。$v\cdot b\equiv v\cdot e\mathrm{m}\mathrm{o}\mathrm{d}q$十分接近$0$，所以$b$接近某个$v$的超平面。它的格基，可以随机采样$m$个满足$v_{i}A\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}q$的向量 { v i } \{v_i\} {vi​}，然后对 { v 1 , v 2 , ⋯   , v m , q ⋅ e 1 , q ⋅ e 2 , ⋯   , q ⋅ e m } \{v_1,v_2,\cdots,v_m, q \cdot e_1,q \cdot e_2, \cdots, q \cdot e_m\} {v1​,v2​,⋯,vm​,q⋅e1​,q⋅e2​,⋯,q⋅em​}做格基约化。

其实，上面两个格都是$q$阶随机格：$q{Z}^m\subset L\subset Z^m$

格基约简（SIS策略）

形如 L = { v ∣ v A ≡ 0 m o d    q } L=\{v|vA \equiv 0 \mod q\} L={v∣vA≡0modq}的随机格，它以高概率秩为$m$，且体积为$Vol(L)\approx q^n$

令$ϵ=\exp (-\pi (\Vert v\Vert \cdot \alpha {)}^2)$，解得$\Vert v\Vert =\frac{1}{\alpha }\cdot \sqrt{\frac{\ln (1/ϵ)}{\pi }}$，记做$f_{\alpha }(ϵ)$

对于参数是$n,q,\alpha$的LWE问题实例，格约简算法如果可以达到
$$\log \delta =\frac{{\log }^2(1/f_{\alpha }(ϵ))}{4n\log q}$$
那么区分出$L_{s,\chi }$的概率为$ϵ$

最近平面算法（BDD策略）

Babai算法：

给定格基 B = { b 1 , b 2 , ⋯   , b n } B=\{b_1,b_2,\cdots,b_n\} B={b1​,b2​,⋯,bn​}，计算GS正交基 B ~ = { b 1 ~ , b 2 ~ , ⋯   , b n ~ } \tilde{B} = \{\tilde{b_1},\tilde{b_2},\cdots,\tilde{b_n}\} B~={b1​~​,b2​~​,⋯,bn​~​}

对于任意的点$t\in Span(B)$，返回格点$v\in L(B)$，满足$t\in v+P(\tilde{B})$，即$t,v$属于同一个基本平行体。

具体计算方法：
$$v=\sum _{i=1}^n\lfloor \frac{\widetilde{b_i}\cdot t}{\widetilde{b_i}\cdot \widetilde{b_i}}\rceil \cdot b_i$$
如果格基$B$是满足Lovasz条件的，那么$\Vert v-t\Vert <\Vert \widetilde{b_n}\Vert \cdot 2^{\frac{n}{2}-1}$

对于LWE问题，$b=As+e$，目标是正确地计算出$v=As$，这对于Babai算法来说，条件是$e\in P(\tilde{B})$

但是根据几何级数假设，$\widetilde{b_k}/\widetilde{b_{k+1}}\approx r>1$，由GS正交基所围成的基本平行体$P(\tilde{B})$的形状将十分狭长。因此$e$很可能不会落在$P(\tilde{B})$内部，这使得$b\notin v+P(\tilde{B})$，因此Babai算法的输出是满足$b\in v^{\prime }+P(\tilde{B})$的另一个格点$v^{\prime }\ne v$

为了求出正确的格点，Lindner和Peikert将基本平行体扩大，使得
$$P^{\prime }(\tilde{B})=\sum _{i=1}^n\widetilde{b_i}\cdot [-\frac{d_i}{2},\frac{d_i}{2})=P(\tilde{B}\cdot diag(d_1,\cdots ,d_n))$$
其中$d_1,\cdots ,d_n\in Z^{+}$是$P(\tilde{B})$沿各个方向扩大的倍数。因此，LP算法复杂度恰好是Babai算法的$D={\prod }_{i=1}^n{d}_i$倍。

由于离散高斯分布是对称的，为了让$e$尽可能落在$P^{\prime }(\tilde{B})$里，因此启发式的可以令$d_i\cdot \Vert \widetilde{b_i}\Vert$都尽可能的一样长。

Liu和Nguyen分析了Babai算法和LP算法，认为它们都是在枚举树的一些高概率枝丫上运行。因此，可以认为这两种算法都是一种剪枝枚举算法。使用极端剪枝技术(GNR)，将LP算法的$d_i$用$\lceil c\cdot d_i\rceil ,c<1$代替，LP算法的效率提升了$c$倍，同时成功概率任大于原始LP算法的$1/c$倍。利用随机化技术，多次调用LP算法，效率比原始版本提升了$2^{32}$倍。

线性化算法（直接求解策略）

Arora-Ge线性化算法。

变量$x_1,x_2,\cdots ,x_n$，非负整数$v_1,v_2,\cdots ,v_n$，令$v=[v_1,v_2,\cdots ,v_n]$，单项${\prod }_{i=1}^n{x}_i^{v_i}$的系数记做$c_v$，则$D$次$n$元多项式写作：
$$p(x_1,\cdots ,x_n)=\sum _{v_1+\cdots +v_n\le D}(c_v\cdot \prod _{i=1}^n{x}_i^{v_i})$$
多项式$p(\cdot )$的线性化定义为
$$L(p)=\sum _{v_1+\cdots +v_n\le D}{c}_v\cdot y_v$$
将每个单项里的${\prod }_{i=1}^n{x}_i^{v_i}$用未知变量$y_v$代替，那么$L(p)$是多元线性多项式。变量的的个数是$N=\left(\genfrac{}{}{0ex}{}{n+D}{n}\right)$，等于横向$n$步纵向$D$步的路径个数。

由于LWE问题的噪声$e\leftarrow D_{Z,\alpha q}$的大小以高概率约束在$3\alpha q$范围内，因此可以写出约束$e$的大小的多项式
$$P(x)=x\prod _{i=1}^d(x+i)(x-i)$$
其中$d=\lceil k\alpha q\rceil$，多项式度数为$D=2d+1$

对于一个离散高斯噪声$e\leftarrow D_{Z,\alpha q}$，它高概率满足$P(e)=0$

将$b=a\cdot s+e$代入多项式，得到$P(e)=P(b-a\cdot s)$，这是关于$n$维向量$s$的多项式。

给定$m$个LWE样本$(a_i,b_i=a_i\cdot s+e_i)$，我们便得到了线性方程组。线性方程组的所有解$y=[y_v]$，有高概率满足$y_{e_i}=s_i$（这有问题），其中$e_i$是第$i$个分量是$1$的单位向量。