짧은 정수 솔루션 문제

짧은 정수 솔루션(SIS)과 링-SIS 문제는 격자 기반 암호구축에 사용되는 두 가지 평균 사례 문제다.래티스 기반 암호화는 1996년 SIS 문제를 바탕으로 단방향 기능의 패밀리를 제시한^[1] 아제타이의 정석적인 작품에서 시작되었다. $c>0$ 는 최단 벡터 문제 S $\mathrm {SVP} _{\gamma }$ $\mathrm {SVP} _{\gamma }$ ${\$ {SVP $}$ $\gamma =n^{c}$ $_{\$ $\gamma =n^{c}$ $}}}}{{\$ $displaystyle$ $\gamma =n^{c}$ = $n^{$ $c$ $c>0$ 가 $\gamma =n^{c}$ 최악의 경우라면 안전하다는 것을 보여주었다.

평균적인 사례 문제는 무작위로 선택된 일부 사례에서 해결하기 어려운 문제들이다.암호 애플리케이션의 경우, 최악의 경우 복잡성이 충분하지 않으며, 암호구성이 평균적인 사례 복잡성에 근거하여 단단하다는 것을 보장할 필요가 있다.

선반

전체 ${\mathfrak {L}}\subset \mathbb {R} ^{n}$ 순위 격자 ${\mathfrak {L}}\subset \mathbb {R} ^{n}$ ${\mathfrak {L}}\subset \mathbb {R} ^{n}$ ${\mathfrak {L}}\subset \mathbb {R} ^{n}$ ${\mathfrak {L}}\subset \mathbb {R} ^{n}$ ${\$ L ${\mathfak{L}\subset \mathb{R}^{n}}}$ 은(는) $n$ ${\displaystyle n$ $\{b_{1},\ldots ,b_{n}\}$ 선형 $n$ 독립 벡터 $b_{1}, {\displaystystyle \{b_{n}\}}$ 의 정수 조합 모음입니다 $\{b_{1},\ldots ,b_{n}\}$

{\mathfrak {L}}(b_{1},\ldots ,b_{n})=\left\{\sum _{i=1}^{n}z_{i}b_{i}:z_{i}\in \mathbb {Z} \right\}=\{B{\boldsymbol {z}}:{\boldsymbol {z}}\in \mathbb {Z} ^{n}\}

여기서 $B\in \mathbb {R} ^{n\times n}$ $B\in \mathbb {R} ^{n\times n}$ $B\in \mathbb {R} ^{n\times n}$ $B\in \mathbb {R} ^{n\times n}$ $B\in \mathbb {R} ^{n\times n}$ ${\$ 은 열에 기본 벡터가 있는 행렬이다 $B\in \mathbb {R} ^{n\times n}$ .

Remark: Given $B_{1},B_{2}$ two bases for lattice ${\mathfrak {L}}$ , there exist unimodular matrices $U_{1}$ such that $B_{1}=B_{2$ $U_{1}^{-1},B_{2}=B_{1}$ $U_{1$

이상 격자

정의: $\mathbb {R} ^{n}(n\geq 2)$ $\mathbb {R} ^{n}(n\geq 2)$ ( $\mathbb {R} ^{n}(n\geq 2)$ $\mathbb {R} ^{n}(n\geq 2)$ 2 $\mathbb {R} ^{n}(n\geq 2)$ ) ${\displaystyle \mathb {R} ^{n}(n\geq$ 2)의 회전 시프트 연산자는 $\operatorname {rot}$ ${\displaysty \operatorname {rot}$ 로 표시되며 $\mathbb {R} ^{n}(n\geq 2)$ 다음과 같이 정의된다.

\forall {\boldsymbol {x}}=(x_{1},\ldots ,x_{n-1},x_{n})\in \mathbb {R} ^{n}:\operatorname {rot} (x_{1},\ldots ,x_{n-1},x_{n})=(x_{n},x_{1},\ldots ,x_{n-1})

순환 격자

미첸시오는 그의 작품에서 콤팩트한 배낭 문제를 임의의 링에 일반화하는 순환 격자를 소개했다.^[2]순환 격자란 회전 시프트 조작자 아래에서 닫히는 격자를 말한다.형식적으로 순환 래티스는 다음과 같이 정의된다.

Definition: A lattice ${\mathfrak {L}}\subseteq \mathbb {Z} ^{n}$ is cyclic if $\forall {\boldsymbol {x}}\in {\mathfrak {L}}:\operatorname {rot} ({\boldsymbol {x}})\in {\mathfrak {L}}$ .

예:^[3]

$\mathbb {Z} ^{n}$ $\mathbb {Z} ^{n}$ ${\$ ^{ $n}}$ 그 자체는 $\mathbb {Z} ^{n}$ 순환 격자다.
지수 다항식 링 $R=\mathbb {Z} [x]/(x^{n}-1)$ = Z $R=\mathbb {Z} [x]/(x^{n}-1)$ [ $R=\mathbb {Z} [x]/(x^{n}-1)$ $R=\mathbb {Z} [x]/(x^{n}-1)$ / $R=\mathbb {Z} [x]/(x^{n}-1)$ ( $R=\mathbb {Z} [x]/(x^{n}-1)$ $R=\mathbb {Z} [x]/(x^{n}-1)$ - 1 $R=\mathbb {Z} [x]/(x^{n}-1)$ ) ${\displaystyle R=\mathb {Z}[x]/(x^{n}-1)$ 의 이상에 해당하는 래티스는 다음과 $R=\mathbb {Z} [x]/(x^{n}-1)$ 같이 순환한다.

consider the quotient polynomial ring $R=\mathbb {Z} [x]/(x^{n}-1)$ , and let $p(x)$ be some polynomial in $R$ , i.e. $p(x)=\sum _{i=0}^{n-1}a_{i}x^{i}$ where $a_{i}\in \mathbb {Z}$ $i=0,\ldots ,n-1$ ${\$ $i=0,\ldots ,n-1$ $i}\in$ $i=0,\ldots ,n-1$ $mathb {Z}$ 에서 $a_{i}\in \mathbb {Z}$ i = 0 $i=0,\ldots ,n-1$ $i=0,\ldots ,n-1$ n - 1 {\ $displaystyle i=0,\ldots$

내장 계수 $\mathbb {Z}$ ${\$ -module $\mathbb {Z}$ 이형성 $\rho$ $\rho$ 을(를) 다음과 $\rho$ 같이 정의하십시오.

{\displaystyle {\begin}\quad \rho :R&\rightarrow \mathb {Z}^{n}\\npt]\rho(x)=\sum _{i=0}a_{i^{0}&amp;\mapsto(a_{landots},a_{n-1})\n-1}}}}).

$I\subset R$ I $I\subset R$ { $I\subset R$ R {\ $displaystyle$ I\ $subset$ R $}$ 이(가) 이상적이 $I\subset R$ 되게 하라. ${\mathfrak {L}}_{I}$ ${\mathfrak {L}}_{I}$ $I\subset R$ $\$ R {\ $displaystyle$ I\ $subset R}$ 에 해당하는 격자 $I\subset R$ L I {\ $displaystyle {\mathfrak {L}_{{$ $I}}$ 은 ${\mathfrak {L}}_{I}$ 는) $\mathbb {Z} ^{n}$ $\mathbb {Z} ^{n}$ ${\$ 의 하위 라티스로 $\mathbb {Z} ^{n}$ 로 정의된다.

{\mathfrak{L}_{I:=\rho(I)=\left\{0},\ldots,a_{n-1}\mid \sum _{i=0}^{n-1a_{i}x^}\in I\right\}\}\subset \mathb {Z}^{n}}.

Theorem: ${\mathfrak {L}}\subset \mathbb {Z} ^{n}$ is cyclic if and only if ${\mathfrak {L}}$ corresponds to some ideal $I$ in the quotient polynomial ring $R=\mathbb {Z} [x]/(x^{n}-1)$ .

증거: $\Leftarrow )$ ) $\Leftarrow )$ 우리는 $\Leftarrow )$ 다음을 가지고 있다.

{\mathfak{L}={\mathfak{L}_{I:=\rho(I)=\left\{{0},\ldots,a_{n-1}\mid \sum _{i=0}^{n-1a_{i}x^{i}\i\right\}}}}}}}}}}}

Let $(a_{0},\ldots ,a_{n-1})$ be an arbitrary element in ${\mathfrak {L}}$ . Then, define $p(x)=\sum _{i=0}^{n-1}a_{i}x^{i}\in I$ . But since $I$ is an ideal, we have $xp(x)\in I$ $xp(x)\in I$ ) $xp(x)\in I$ $xp(x)\in I$ ${\displaystyle xp(x$ )\ $in$ I $xp(x)\in I$ 그러면 $\rho (xp(x))\in {\mathfrak {L}}_{I}$ ( $\rho (xp(x))\in {\mathfrak {L}}_{I}$ $\rho (xp(x))\in {\mathfrak {L}}_{I}$ ( $\rho (xp(x))\in {\mathfrak {L}}_{I}$ ) L $\rho (xp(x))\in {\mathfrak {L}}_{I}$ ${\$ $\in {\mathfrak{L}_{I$ 그러나 $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ ( $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ p $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ ( x $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ ) $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ = $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ ( $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ n $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ - $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ ) $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ $\rho (xp(x))=\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}_{I}$ ${\$ $=\operatorname {rot}(a_{0},\ldots,a_{n-1})\in {\mathfrak {L}_{I$ 따라서 ${\mathfrak {L}}$ ${\$ 은 ${\mathfrak {L}}$ (는) 주기적이다.

$\Rightarrow )$

${\mathfrak {L}}\subset \mathbb {Z} ^{n}$ ${\mathfrak {L}}\subset \mathbb {Z} ^{n}$ ${\mathfrak {L}}\subset \mathbb {Z} ^{n}$ ${\mathfrak {L}}\subset \mathbb {Z} ^{n}$ ${\$ 을(를) 순환 격자가 되게 한다 ${\mathfrak {L}}\subset \mathbb {Z} ^{n}$ .Hence $\forall (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}:\operatorname {rot} (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}$ .

Define the set of polynomials $I:=\left\{\sum _{i=0}^{n-1}a_{i}x^{i}\mid (a_{0},\ldots ,a_{n-1})\in {\mathfrak {L}}\right\}$ :

${\mathfrak {L}}$ ${\$ 은 ${\mathfrak {L}}$ (는) 격자이고 $\mathbb {Z} ^{n}$ Z n ${\$ 의 가법 부분군이므로 $I\subset R$ ⊂ $I\subset R$ ${\displaystyle$ I $\subset$ $R}$ 의 $가법$ 가법이다 $I\subset R$ $R$
${\mathfrak {L}}$ ${\$ 은(는) $\forall p(x)\in I:xp(x)\in I$ 이므로 ${\mathfrak {L}}$ $\forall p(x)\in I:xp(x)\in I$ p $\forall p(x)\in I:xp(x)\in I$ ( x $\forall p(x)\in I:xp(x)\in I$ ) $\forall p(x)\in I:xp(x)\in I$ $\forall p(x)\in I:xp(x)\in I$ : x $\forall p(x)\in I:xp(x)\in I$ ( x $\forall p(x)\in I:xp(x)\in I$ ) $\forall p(x)\in I:xp(x)\in I$ $\forall p(x)\in I:xp(x)\in I$ ${\displaystyle \forall p(x)\in$ I $:xp(x)\in I$

따라서 $I\subset R$ $I\subset R$ $I\subset R$ $I\subset R$ 이(가) 이상적이며 $I\subset R$ , 그 ${\mathfrak {L}}={\mathfrak {L}}_{I}$ L = ${\mathfrak {L}}={\mathfrak {L}}_{I}$ I ${\mathfrak {L}}={\mathfrak {L}}_{I}$ {\ $displaystyle$ {\ $mathfrak{L}={\mathfrak{L}_{I$ 이(가) 이상적이다.

이상 격자^[4]^[5]

$f(x)\in \mathbb {Z} [x]$ f $f(x)\in \mathbb {Z} [x]$ ( $f(x)\in \mathbb {Z} [x]$ ) $f(x)\in \mathbb {Z} [x]$ Z $f(x)\in \mathbb {Z} [x]$ [ $f(x)\in \mathbb {Z} [x]$ $f(x)\in \mathbb {Z} [x]$ $f(x)\in \mathb {Z}[x]$ 은(는) $n$ $n$ 의 단일 다항식이 되도록 $f(x)\in \mathbb {Z} [x]$ 한다 $n$ 암호 애플리케이션의 경우 $f(x)$ 으로 f $f(x)$ ( $f(x)$ ) ${\displaysty$ f( $x)}$ 은 $f(x)$ (x)가 불가하도록 선택된다. $f(x)$ ( $f(x)$ ) $f(x)$ 에 의해 생성된 이상:

{\displaystyle(f(x)):=f(x)\cdot \mathb {Z}[x]=\{f(x)g(x):\forall g(x)\in \mathb {Z}[x]\}}

지수 다항식 $R=\mathbb {Z} [x]/(f(x))$ R = $R=\mathbb {Z} [x]/(f(x))$ [ $]$ / $R=\mathbb {Z} [x]/(f(x))$ ( $R=\mathbb {Z} [x]/(f(x))$ ) $displaystyle$ R $=\mathb {Z}[x]/(f(x)}$ 파티션 $R=\mathbb {Z} [x]/(f(x))$ $\mathbb {Z} [x]$ [ x $\mathbb {Z} [x]$ ${\style \mathb {Z}[x]$ 을(를 $n-1$ $n-1$ n - 1 ${\displaystystyle n-1}$ 의 동등성 클래스에 포함 $\mathbb {Z} [x]$ $n-1$

R=\mathb {Z}[x]/(f(x))=\\왼쪽\{\sum _{i=0}^{n-1a_{i}x^{i}:a_{i}\in \mathb {Z}\right\}}}}}

여기서 덧셈과 곱셈은 modulo $f(x)$ ( $f(x)$ ) $f(x)$ 을(를) 축소한다 $f(x)$

내장 계수 $\mathbb {Z}$ ${\$ -module $\mathbb {Z}$ 이형성 $\rho$ $\rho$ 을(를) 고려하십시오 $\rho$ 그러면 $R$ $R$ 의 각 이상은 이상적인 $\mathbb{Z } ^{n}$ 래티스라고 $\mathbb {Z} ^{n}$ Z n {\ $displaystystyle \$ mathb{Z} $^{n$ }{n $}$ 의 하위 래티스를 정의한다 $R$ .

$정의$ : ${\mathfrak {L}}_{I}$ ${\mathfrak {L}}_{I}$ ${\$ { $L}_{$ $I$ 이상 $I$ $I$ 에 해당하는 격자를 이상 격자라 한다 $I$ More precisely, consider a quotient polynomial ring $R=\mathbb {Z} [x]/(p(x))$ , where $(p(x))$ is the ideal generated by a degree $n$ polynomial $p(x)\in \mathbb {Z} [x]$ . ${\disp$ $레이스타일 {\mathfrak{L}_{$ $I$ 은(는 $)$ $\mathbb {Z} ^{n}$ n {\displaystyle $\mathb{Z} ^{n$ 의 하위 라티스로, 다음과 같이 정의된다.

{\mathfrak{L}_{I:=\rho(I)=\left\{0},\ldots,a_{n-1}\mid \sum _{i=0}^{n-1a_{i}x^}\in I\right\}\}\subset \mathb {Z}^{n}}.

비고:^[6]

GapSVP ${\text{GapSVP}}_{\gamma }$ ${\$ }이(가) 확인됨 $SVP}_{\gamma }$ 작은 것에도 $\gamma =\operatorname {poly(n)}$ p $\gamma =\operatorname {poly(n)}$ $\gamma =\operatorname {poly(n)}$ $\gamma =\operatorname {poly(n)}$ $\gamma =\operatorname {poly(n)}$ ${\$ 은 ${\text{GapSVP}}_{\gamma }$ (는) 이상적인 격자에서는 일반적으로 $\gamma =\operatorname {poly(n)}$ 쉽다.직관은 대수 대칭이 이상형의 최소 거리를 좁고 쉽게 계산할 수 있는 범위 내에 놓이게 한다는 것이다.
이상적인 격자에서 제공된 대수 대칭을 활용함으로써, 짧은 0이 아닌 벡터를 같은 길이의 ( $거의)$ 선형 $n$ 독립 벡터로 $n$ 할 수 있다 $.$ 따라서 이상적인 선반에서 $\mathrm {SVP} _{\gamma }$ V $\mathrm {SVP} _{\gamma }$ $\mathrm {SVP} _{\gamma }$ ${\$ {SVP} $_{\gamma$ } $\mathrm {SVP} _{\gamma }$ $_$ {\ $displaystyle \$ { $SIVP} _{\gamma }$ 은 $\mathrm {SVP} _{\gamma }$ (는) 소손실과 동등하다 $\mathrm {SIVP} _{\gamma }$ .^[7]더욱이 양자 알고리즘의 경우에도 $\mathrm {SVP} _{\gamma }$ $\mathrm {SVP} _{\gamma }$ $\mathrm {SIVP} _{\gamma }$ $\mathrm {SVP} _{\gamma }$ ${\$ {SVP} $_{\gamma }$ ${\$ 는 $\mathrm {SVP} _{\gamma }$ 최악의 $\mathrm {SIVP} _{\gamma }$ 시나리오에서 매우 어렵다.

짧은 정수 솔루션 문제

SIS와 Ring-SIS는 격자 기반 암호구축에 사용되는 두 가지 평균 사례문제다.래티스 기반 암호화는 1996년 SIS 문제를 바탕으로 단방향 기능의 패밀리를 제시한^[1] 아제타이의 정석적인 작품에서 시작되었다. $c>0$ 는 $\mathrm {SVP} _{\gamma }$ $\mathrm {SVP} _{\gamma }$ $\mathrm {SVP} _{\gamma }$ $c>0$ $\mathrm {SVP} _{\gamma }$ ${\displaystyle$ $\mathrm$ {SVP} $_$ ${\$ $}}}}($ $\gamma =n^{c}$ 서 $\gamma =n^{c}$ 0 > {\ $displaystyle \$ $gamma$ =n $\gamma =n^{c}$ ^{ $\mathrm {SVP} _{\gamma }$ $c$ 이 최악의 경우라면 안전하다는 것을 보여주었다.

시스_n,m,q,β

Let $A\in \mathbb {Z} _{q}^{n\times m}$ be an $n\times m$ matrix with entries in $\mathbb {Z} _{q}$ that consists of $m$ uniformly random vectors ${\displaystyle {\boldsymbol {a_{i}}}\in \mat$ $hbb {Z} _{q}^{n}}$ : $A=[{\boldsymbol {a_{1}}} \cdots {\boldsymbol {a_{m}}}]$ . Find a nonzero vector ${\boldsymbol {x}}\in \mathbb {Z} ^{m}$ such that:

$\{\symbol {x}\leq \cHB$
$f_{A}({\boldsymbol{x}}):=A{\boldsymbol{x}}={\boldsymbol{0}}\in \mathb {Z} _{q}^{n}}}}}}$

솔루션 길이에 필요한 제약이 없는 SIS에 대한 솔루션( ( $\|{\boldsymbol {x}}\|\leq \beta$ $\|{\boldsymbol {x}}\|\leq \beta$ $\|{\boldsymbol {x}}\|\leq \beta$ $\|{\boldsymbol {x}}\|\leq \beta$ β $\\displaystyle \{\boldsymbol{x}\\leq \beta$ $\|{\boldsymbol {x}}\|\leq \beta$ )은 가우스 제거 기법을 사용하여 계산이 용이하다.또한 $\beta <q$ < $\beta <q$ ${\displaystyle \beta <q$ ${\boldsymbol {x}}=(q,0,\ldots ,0)\in \mathbb {Z} ^{m}$ 않으면 x ${\boldsymbol {x}}=(q,0,\ldots ,0)\in \mathbb {Z} ^{m}$ = ( ${\boldsymbol {x}}=(q,0,\ldots ,0)\in \mathbb {Z} ^{m}$ ${\boldsymbol {x}}=(q,0,\ldots ,0)\in \mathbb {Z} ^{m}$ … ${\boldsymbol {x}}=(q,0,\ldots ,0)\in \mathbb {Z} ^{m}$ , ${\boldsymbol {x}}=(q,0,\ldots ,0)\in \mathbb {Z} ^{m}$ ) ${\boldsymbol {x}}=(q,0,\ldots ,0)\in \mathbb {Z} ^{m}$ ${\boldsymbol {x}}=(q,0,\ldots ,0)\in \mathbb {Z} ^{m}$ ${\$ 는 사소한 해결책이다 ${\boldsymbol {x}}=(q,0,\ldots ,0)\in \mathbb {Z} ^{m}$ .

$f_{A}({\boldsymbol {x}})$ $f_{A}({\boldsymbol {x}})$ $f_{A}({\boldsymbol {x}})$ ) $f_{A}({\boldsymbol {x})$ 이(가) 비독점적이고 짧은 솔루션을 가지고 $f_{A}({\boldsymbol {x}})$ 있음을 보장하려면 다음이 필요하다.

$\beta \geq {\sqrt {n\log q}}$ $\beta \geq {\sqrt {n\log q}}$ $\beta \geq {\sqrt {n\log q}}$ log $\beta \geq {\sqrt {n\log q}}$ q {\ $displaystyle \beta \geq$ {\ $sqrt{n\log q$ }} $\beta \geq {\sqrt {n\log q}}$ 및
$m\geq n\log q$

정리:어떤 m에서는)poly ⁡(n){\displaystyle m=\operatorname{폴리에스테르 섬유}(n)}, 어떤 β>0{\displaystyle \beta>0}, 그리고 충분히 큰 q≥β 소음 한계{\displaystyleq\geq\beta n^{c}}(어떤 상수 c>;0{\displaystyle c>0}), SISn, m, q,β{\displaystyle \operatorname{특수 정보 체계}를 해결하는_{n,m,q,.\beta}}with nonnegligible probability is at least as hard as solving the $\operatorname {GapSVP} _{\gamma }$ and $\operatorname {SIVP} _{\gamma }$ for some $\gamma =\beta \cdot O({\sqrt {n}})$ with a high probability in the worst-case scenario.

링-SIS

SIS 문제의 콤팩트 링 기반 아날로그인 링-SIS 문제가 연구되었다.^[2]^[8]They consider quotient polynomial ring $R=\mathbb {Z} [x]/(f(x))$ with $f(x)=x^{n}-1$ and $x^{2^{k}}+1$ , respectively, and extend the definition of norm on vectors in ${\displaystyle \mathbb {R} ^{$ $n}$ 은(는 $)$ $R^{m}$ 과 같이 $R^{m}$ $Rm$ {\displaystyle $R^{m}$ 의 벡터에 연결한다 $\mathbb {R} ^{n}$ .

Given a vector ${\vec {\boldsymbol {z}}}=(p_{1},\ldots ,p_{m})\in R^{m}$ where $p_{i}(x)$ are some polynomial in $R$ . Consider the embedding coefficient $\mathbb {Z}$ -module isomorphism $\rho$ ${\displaystyle \rho$

{\displaystyle {\begin{aigned}&\rho :R\rightarrow \mathb {Z}^{n}\n3pt]\rho(x)&=\sum _{i=0}a_{i^}\mapsto(a_{0},\ldots,a_{n-1}).

${Z}$ {Z} $^n$ norm ${\vec {\boldsymbol {z}}}$ → ${\vec{\boldsymbol{z}}}}}}$ 을 ${\vec {\boldsymbol {z}}}$ 다음과 같이 정의하십시오.

{\displaystyle \{\vec{\\symbol{z}}\={\sqrt {\sum_{i=1}^{m}\\\\n1}symbol {z_{i}}\{2}}:

또는 표준에 대한 더 나은 개념은 표준 임베딩을 이용하여 달성된다.표준 임베딩은 다음과 같이 정의된다.

{\begin{aigned}\sigma :R=\mathb {Z} /(f(x))&\\rightarrow \mathb {C}^{n}\p(x)&\mapsto(p(\alpha _{1}),\ldots,p(\alpha _{n})\end{aigned}}}}}}

여기서 $\alpha _{i}$ $\alpha _{i}$ ${\$ 는 $\alpha _{i}$ $i=1,\ldots ,n$ = $i=1,\ldots ,n$ , $i=1,\ldots ,n$ ${\displaystyle$ $i$ $=1,\ldots,n}$ 에 $f(x)$ 대한 f $f(x)$ ( $){\displaystyle f(x)}$ 의 $i^{th}$ $i^{th}$ 다 $i=1,\ldots ,n$

R-SIS_m,q,β

$R=\mathbb {Z} [x]/(f(x))$ 다항식 링 $R=\mathbb {Z} [x]/(f(x))$ = $R=\mathbb {Z} [x]/(f(x))$ [ $R=\mathbb {Z} [x]/(f(x))$ $R=\mathbb {Z} [x]/(f(x))$ / $R=\mathbb {Z} [x]/(f(x))$ ( $R=\mathbb {Z} [x]/(f(x))$ ( $R=\mathbb {Z} [x]/(f(x))$ ) ${\displaystyle R=\mathb {Z}[x]/(f(x))},$ 정의

$R_{q}:=R/qR=\mathbb {Z} _{q}[x]/(f(x))$ . Select $m$ independent uniformly random elements $a_{i}\in R_{q}$ . Define vector ${\displaystyle {\vec {\bold$ $symbol {a}}}:=(a_{1},\ldots ,a_{m})\in R_{q}^{m}}$ . Find a nonzero vector ${\vec {\boldsymbol {z}}}:=(p_{1},\ldots ,p_{m})\in R^{m}$ such that:

$\\vec {\\bechsymbol {z}\ \leq \cHB$
$f_{\vec {\bechsymbol {a}}({\vec {\bechsymbol {z}):={\vec {\\bechsymbol {a}^{\,t}.{\vec {\bec{\symbol{z}}=\sum _{i=1}^{m}a_{i}.p_{i}=0\in R_{q}$

SIS 문제에 대한 해결책의 존재를 보장하려면 $m\approx n\log q$ $m\approx n\log q$ $m\약 n\log q$ 이(가) 필요하다는 점을 상기하십시오. 그러나 링-SIS 문제는 Ring-SIS 문제에 대한 해결책의 존재를 보장하려면 $m\approx \log q$ $m\approx \log q$ $m\approx \log q$ ${\stylem m\$ 약 $\log q}$ 이(가)가 더 치밀하고 효과적이다 $m\approx \log q$

정의: $b$ $b$ 의 nega-cirulant 행렬은 다음과 같이 정의된다 $b$ .

{\text{for}\quad b=\sum _{i=0}^{n-1b_{i}x^{i}\in R,\quad \operatorname {rot}(b):={\begin{bmatrix}b_{0}&-b_{n-1}&\ldots &-b_{1}\\[0.3em]b_{1}&b_{0}&\ldots &-b_{2}\\[0.3em]\vdots &\vdots &\ddots &\vdots \\[0.3em]b_{n-1}&b_{n-2}&\ldots &b_{0}\end{bmatrix}}

$n=2^{k}$ = $n=2^{k}$ ${\$ n $=2^{k}$ 에 $R=\mathbb {Z} [x]/(x^{n}+1)$ 대한 지수 다항식 링이 $R=\mathbb {Z} [x]/(x^{n}+1)$ = Z $x]/(x^{n}+1)$ 인 경우 $n=2^{k}$ 링 $a_{i}.p_{i}$ a $a_{i}.p_{i}$ $a_{i}.p_{i}$ . p $a_{i}.p_{i}$ . p $R=\mathbb {Z} [x]/(x^{n}+1)$ ${\$ $p_{i}}$ can be efficiently computed by first forming $\operatorname {rot} (a_{i})$ , the nega-circulant matrix of $a_{i}$ , and then multiplying $\operatorname {rot} (a_{i})$ with ${\displaystyle \rho (p_{i$ $}}(x)\in$ Z $^{n}}},$ $p_{i}$ $p_{i}$ {\ $displaystyle p_{i}}$ 의 내장 계수 벡터 $\rho (p_{i}(x))\in Z^{n}$ $p_{i}$ 또는 $\sigma (p_{i}(x))\in Z^{n}$ ( $\sigma (p_{i}(x))\in Z^{n}$ i $\sigma (p_{i}(x))\in Z^{n}$ ( x $\sigma (p_{i}(x))\in Z^{n}$ n Z $\sigma (p_{i}(x))\in Z^{n}$ ${\$ Z $^{n}).$

더욱이, R-SIS 문제는 SIS 문제의 $A$ $매트릭스$ A{\ $displaystyle A$ }이(가) 음극성 블록으로 제한되는 SIS 문제의 특별한 경우다. $A=[\operatorname {rot} (a_{1})|\cdots |\operatorname {rot} (a_{m})]$ = [ $A=[\operatorname {rot} (a_{1})|\cdots |\operatorname {rot} (a_{m})]$ $A=[\operatorname {rot} (a_{1})|\cdots |\operatorname {rot} (a_{m})]$ ( $A=[\operatorname {rot} (a_{1})|\cdots |\operatorname {rot} (a_{m})]$ ) $A=[\operatorname {rot} (a_{1})|\cdots |\operatorname {rot} (a_{m})]$ $A=[\operatorname {rot} (a_{1})|\cdots |\operatorname {rot} (a_{m})]$ $A=[\operatorname {rot} (a_{1})|\cdots |\operatorname {rot} (a_{m})]$ ( $A=[\operatorname {rot} (a_{1})|\cdots |\operatorname {rot} (a_{m})]$ ) $A=[\operatorname {rot} (a_{1})|\cdots |\operatorname {rot} (a_{m})]$ ${\displaystyle A=[\\operatorname {rot} (a_{1}) \cdots \operatorname {rot} (a_{m$ ^[9]

참고 항목

참조

^ ^a ^b 아제타이, 미클로즈.[ 격자 문제의 하드 인스턴스 생성]연산 이론에 관한 제28회 연례 ACM 심포지엄의 진행.ACM, 1996년
^ ^a ^b 미첸시오, 다니엘레[최악의 복잡성 가정으로부터 얻은 일반화된 콤팩트 배낭, 순환 래치, 효율적인 단방향 기능]컴퓨터 과학의 기초, 2002.의사 진행.제43회 IEEE 연례 심포지엄에 관한 것이다.IEEE, 2002.
^ 후쿠샨스키, 레니, 쉰 선. [순환 격자의 기하학상.]이산 & 계산 기하학 52.2(2014): 240–259.
^ 크레이그 젠트리.이상적인 격자를 이용한 완전한 동형 암호화.2009년 제41회 ACM 컴퓨팅 이론 심포지엄에서.
^ http://web.cse.ohio-state.edu/~lai/5359-aut13/05.젠트리-FHE-콘크리트-scheme.pdf
^ 페이커트, 크리스[10년 격자암호법.]Cryptology ePrint Archive, Report 2015/939, 2015.
^ 페이커트, 크리스, 앨런 로젠.[순환 격자에 대한 최악의 경우 가정으로 인한 효율적인 충돌 내 해싱]암호학의 이론.2006년 스프링거 베를린 하이델베르크 145-166
^ 류바셰프스키, 바딤 등[SWIFT : FFT 해싱에 대한 겸손한 제안]빠른 소프트웨어 암호화.스프링거 베를린 하이델베르크, 2008.
^ 랑글로스, 아델린, 데미안 스틸레.[모듈 격자의 경우 사례 대 평균 사례 감소]설계, 코드 및 암호화 75.3(2015): 565–599.

[Ajtai,_Miklós_1996-1] 아제타이, 미클로즈.[ 격자 문제의 하드 인스턴스 생성]연산 이론에 관한 제28회 연례 ACM 심포지엄의 진행.ACM, 1996년

[micciancio2002generalized-2] 미첸시오, 다니엘레[최악의 복잡성 가정으로부터 얻은 일반화된 콤팩트 배낭, 순환 래치, 효율적인 단방향 기능]컴퓨터 과학의 기초, 2002.의사 진행.제43회 IEEE 연례 심포지엄에 관한 것이다.IEEE, 2002.

[3] 후쿠샨스키, 레니, 쉰 선. [순환 격자의 기하학상.]이산 & 계산 기하학 52.2(2014): 240–259.

[4] 크레이그 젠트리.이상적인 격자를 이용한 완전한 동형 암호화.2009년 제41회 ACM 컴퓨팅 이론 심포지엄에서.

[5] ttp://web.cse.ohio-state.edu/~lai/5359-aut13/05.젠트리-FHE-콘크리트-scheme.pdf

[6] 페이커트, 크리스[10년 격자암호법.]Cryptology ePrint Archive, Report 2015/939, 2015.

[7] 페이커트, 크리스, 앨런 로젠.[순환 격자에 대한 최악의 경우 가정으로 인한 효율적인 충돌 내 해싱]암호학의 이론.2006년 스프링거 베를린 하이델베르크 145-166

[8] 류바셰프스키, 바딤 등[SWIFT : FFT 해싱에 대한 겸손한 제안]빠른 소프트웨어 암호화.스프링거 베를린 하이델베르크, 2008.

[9] 랑글로스, 아델린, 데미안 스틸레.[모듈 격자의 경우 사례 대 평균 사례 감소]설계, 코드 및 암호화 75.3(2015): 565–599.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

v t 계산 경도 가정
수 이론	정수 인자화 피히딩 RSA 문제 강력한 RSA 이차잔류도 결정합성잔여도 잔존도가 더 높음
집단의 이론	이산 로그 디피-헬먼 결정 디피-헬먼 연산 디피-헬먼
페어링	외부 디피-헬먼 하위 그룹 숨기기 의사 결정 선형
선반	최단 벡터 문제(갭) 가장 가까운 벡터 문제(갭) 오류와 함께 학습 오류가 있는 링 학습 짧은 정수용액
비결정학	지수 시간 가설 유니크 게임 추측 심어진 클라이크 추측

Search

짧은 정수 솔루션 문제

네임스페이스

더

목차

선반