Short review of lattice basis reduction types and his applications (Russian)
ООБЗОР МЕТОДОВ ПРИВЕДЕНИЯ БАЗИСА РЕШЕТОК И НЕКОТОРЫХ ИХ ПРИЛОЖЕНИЙ
B. C. Усатюк Научный руководитель: д.ф.-м.н., проф. О.В. Кузьмин Братский государственный университет, г. Братск, [email protected]
Широкий класс задач теории оптимизации, кодирования и криптографии решается методами геометрии чисел. Путем сведения их к проблеме приведения базиса решеток, к таковым относятся, в частности: задача комбинаторной оптимизации, входящая в «список Карпа» – поиск суммы подмножества (subset sum problem), криптоанализ системы шифрования Меркле-Хеллмана и ее производных, [1]; задача о совместных диофантовых приближениях, решаемая на одном из этапов синтеза элементов управления, [2,3]; задача оптимальной планировки памяти: решаемая планировщиком ОС, а так же компилятором, на стадии определения размера и стратегии обращения к сегменту данных, буферу в «куче». PE/COFF, ELF, Mach-0 секций исполняемых файлов в ОС семейства Windows, Linux, Mac OS X соответственно, [4]; задача декодирования кодовых групп при передаче информации n-антеннами и приеме m-антеннами (MIMO), в частности применяемая в стандартах WIFI и WIMAX, [5,6]; оценка экстремума (классов) функций многих переменных, для решеток эквивалентных положительным квадратичным формам, [7,8]; задача синтеза и криптоанализа систем шифрования на основе задач теории решеток (Latice based cryptography), [9]. Определение 1:
Решетка - дискретная абелева подгруппа, заданная на множестве m R . Решетку L можно представить как множество целочисленных линейных комбинаций, n линейно-независимых базисных векторов { ,..., } mn b b R в m -мерном евклидовом пространстве: ( ,..., ) = { : ,..., } n nn i i ni L b b x b x x Z , где m и n , размерность и ранг решетки соответственно. Определение 2:
Пусть дан базис решетки = { ,..., } m nn B b b R , фундаментальным параллелепипедом заданым на этом базисе )( BP называется множество: ( ) : [0,1) n i i ii P B x b x . Определение 3:
Пусть дан базис решетки = { ,..., } m nn B b b R . Определитель решетки заданный этим базисом det( ( )) L B будем называть объем n -мерного фундаментального параллелипипеда образованного этим базисом ( ( )) vol P B : det( ( )) ( ( )) L B vol P B . Определение 4:
Решетки L , L , заданные базисами },...,{= n bbB , }',...,'{= n bbB , конгруэнтны(эквивалентны друг другу), )()( BLBL , если определители этих решеток равны )(det=)(det LL , где )(det=det BBL T или BL det=det для полноразмерных(полноранговых) решеток. Множество таких базисов i B может получено в результате умножения приведенного базиса решетки i L на целочисленные унимодулярные матрицы. Например, образованные базисами })0,4(,)1,1{( TT B и })5,9(,)4,8{( TT B , решетки ( ) ( ) L B L B , так как
454 9801 41)det()det( absabsBB . Определение 5:
Пусть имеется радиус сферы заданный нормой p . Под i -м минимумом )( L pi будем понимать наименьший радиус сферы, содержащий i -линейно независимых нетривиальных базисных векторов решетки. Длине кратчайшего вектора в решетке соответствует )( L p . Задача приближенного поиска кратчайшего базиса ( -approximate shortest basis problem, )(S p nBP ): Пусть дана m -мерная решетка L , ранга n , заданная базисом },...,{= n bbB . Найти базис конгруэнтной решетки }...,{= n bbB : ( ),.., ( ) p pn n n b L b L , где i . Определение 6: QR -разложением базиса решетки называют представление матрицы ( , , , ), n B b b b размера nm в виде произведения Q -унитарной и R -верхнетреугольной матриц:
0( , , , ) ( , , , ) .0 0 nnTn n n n r r rr rB b b b Q R q q q r R -разложение вычисляется методами: ортогонализации Грама-Шмидта, поворота Гивенса, отражения Хаусхолдера. Определение 7, [10]:
Базис решетки ( )
L B образованный векторами { ,..., } mn B b b R называют приведенным по длинне (ослабл. Эрмиту), если для коэффициэнтов верхнетреугольной матрицы R , QR -разложения базиса решетки B выполняется: , , i j i i r r i j n . Определение 8, [11]:
Базис решетки ( )
L B является с-приведенным базисом решетки, если он приведен по длине и для коэффициэнтов , R QR -разложения базиса решетки B :
4, 2 , .3 i i i i r c r i n c
Определение 9, [12]:
Базис решетки ( )
L B приведен по Ловасу, если он приведен по длине и для коэффициэнтов R QR -разложения базиса решетки B выполняется: ,1 , (0.25,1] i i i i i i r r r i n . Определение 10, [10, 13 ] : Базис решетки ( )
L B приведен по (Эрмиту)-Коркину-Золотареву(HKZ, KZ), если он приведен по длинне и для всех квадратных подматриц R , размера ( 1),1 , n i i n полученных из R вычеркиванием i -первых строк и столбцов, первый вектор столбец является кратчайший в решетке ( ) L R , ( )1 1 ( ) i p r L . Определение 11, [14]:
Базис решетки ( )
L B приведен по Минковскому, если длины векторов базиса биективны соотвествующим минимумам в решетке, p, ,..., 1
S ( ) m BP n . На настоящий момент неизвестны полиномиальные алгоритмы приведения базиса по Минковскому, за исключением решеток размерности 2, предложенный Гауссом [15] и 3 предложенный Валле (с кубической сложностью) [16] и улучшенный Семаевым, снизившим сложность до квадратичной [17]. В работе [18] описан алгоритм для приведения базиса по Минковскому до 6 измерений. В работе [19] результат был улучшен до 7 мерных решеток. Для приведения базиса решетки по Ловасу применяется полиномиальный LLL-алгоритм предложенный Ленстра-Ленстра-Ловасом, [ Литература : 1. Lagarias J.C. , Odlyzko A. M. Solving low-density Subset Sum problems, J. Assoc. Comp. Mach, 1985. - №1(32). – pp. 229-246 2. De Weger B.M.M. Solving exponential diophantine equations using attice basis reduction algorithms, J. Num. theory, 1987. - №26. – pp. 325-367. 3. Esmaeili H. Short solutions for a linear Diophantine equation. Lecturas Matematicas, 2006. - №27., pp. 5–16. 4. Darte A., Schreiber R., Villard G. Lattice-based memory allocation Computers, IEEE Transactions, 2005. - № 10(54). - pp. 1242-1257. 5. Zhang W., Qiao S., Wei Y. HKZ and Minkowski Reduction Algorithms for Lattice-Reduction-Aided MIMO Detection EEE TRANSACTIONS ON SIGNAL PROCESSING, 2012. - №11(80). – in publish. 6. Zhang W., Qiao S., Wei Y A Diagonal Lattice Reduction Algorithm for MIMO Detection IEEE Sign. Proc. Letters. 2012. - №5(19). - pp 311-314. 7.Cohen H. A Course in Computational Algebraic Number Theory (Graduate Texts in Mathematics), Springer. – 2010. - 570 p. 8. Анзин М. М. О вариациях положительных квадратичных форм (с приложением к исследованию совершенных форм) // Дискретная геометрия и топология. – М.: Наука, 1991. – 176 с. 9. Мicciancio D., Regev O. Lattice-based Cryptography. In Post Quantum Cryptography - Springer, 2009. - 245 p., перевод - URL: http://goo.gl/v2EVy. 10. Hermite C. Extraits de lettres de M. Hermite M. Jacobi sur di ff erents objets de la theoriedes nombres.Reine Angew Math.1850- №40.- pp. 279–290. 11. Шевченко В.Н. Качественные вопросы целочисленного программирования. М.: Физматлит, 1995. - 146 с. 12. Lenstra A., Lenstra H., Lovász L. Factoring polynomials with rational coefficients. Mathematische Annalen, 1982. - №261(4). – pp. 515–534. 13. Korkine A., Zolotare ff G. Sur les formes quadratiques. Maht. Ann., 6, 1873, pp. 366–389. 14. Minkowski H. Uber die positiven quadratischen Formen und uber kettenbruchahnliche Algorithmen. Journal fur die Reine und Angewandte Mathematik, vol. 107, 1891, pp. 278–297. 15. Gauss, C. F. 1801. Disquisitiones Arithmeticae. Leipzig; Translated into English by A. C. Clarke. New Haven, CT: Yale University Press, 1966. 16. Vallee B. Une Approche Geometrique de la Reduction de Reseaux en Petite Dimension. PhD thesis, Universite de Caen, 1986. 17. Semaev I. A 3-dimensional lattice reduction algorithm. Lecture Notes in Computer Science, Springer-Verlag. - 2001. - №2146. - pp. 181-193. 18. Рышков С. С. К теории приведения положительных квадратичных форм по Эрмиту–Минковскому, Исслед. по теории чисел. 2, Зап. научн. сем. ЛОМИ, 33, Л.: «Наука»., 1973, c. 37–64. 19. A fflffl