格密码学习笔记（七）：密码学中的q相关格、简介SIS问题和LWE问题

$Q$-相关格

密码学中通常使用符合以下2个性质的（随机）格$\Lambda$构造具体方案：

• $\Lambda \subseteq {\mathbb{Z}}^d$是一个整数格；
• $q{\mathbb{Z}}^d\subseteq \Lambda$对小整数$q$取模后呈现周期性。

定义（$q$-相关格，$q$-ary lattice） 如果格$\Lambda$满足$q{\mathbb{Z}}^n\subseteq \Lambda \subseteq {\mathbb{Z}}^n$，则称$\Lambda$是一个$q$-相关格。

注：这里的“-ary”有“与…有关”的意思，如果翻译为“阶”感觉怪怪的，如果是$q$-阶群，感觉群里得有$q$个元素，但定义里又没有体现。

什么是$q$-相关格？举2个例子，对于任意$\mathbf{A}\in {\mathbb{Z}}_q^{n\times d}$，有

• Λ q ( A ) = { x ∣ x m o d q ∈ A ⊤ Z q n } ⊆ Z d \Lambda_q(\bm{A}) = \{ \bm{x} | \bm{x} ~ \mathrm{mod} ~q \in \bm{A}^\top \mathbb{Z}^n_q \} \subseteq \mathbb{Z}^d Λq​(A)={x∣x mod q∈A⊤Zqn​}⊆Zd
• Λ q ⊥ ( A ) = { x ∣ A x = 0 m o d q } ⊆ Z d \Lambda^\perp_q(\bm{A}) = \{ \bm{x} | \bm{Ax} = \bm{0} ~ \mathrm{mod} ~ q \} \subseteq \mathbb{Z}^d Λq⊥​(A)={x∣Ax=0 mod q}⊆Zd

定理 对于任意格$\Lambda$，以下3个$q$-相关格判断条件是等价的：

• $q{\mathbb{Z}}^d\subseteq \Lambda \subseteq {\mathbb{Z}}^d$；
• 存在某些$\mathbf{A}$满足$\Lambda ={\Lambda }_q(\mathbf{A})$
• 存在某些$\mathbf{A}$满足$\Lambda ={\Lambda }_q^{\perp }(\mathbf{A})$

注意： 对于同一个$\mathbf{A}$，格${\Lambda }_q(\mathbf{A})$和格${\Lambda }_q^{\perp }(\mathbf{A})$是不同的。而对于一个$\mathbf{A}\in {\mathbb{Z}}_q^{n\times d}$，存在${\mathbf{A}}^{\prime }\in {\mathbb{Z}}_q^{k\times d}$，使得${\Lambda }_q(\mathbf{A})={\Lambda }_q^{\perp }({\mathbf{A}}^{\prime })$。反过来亦如此。

对于同一个$\mathbf{A}$，${\Lambda }_q$和${\Lambda }_q^{\perp }$存在放缩对偶关系，即

• ${\Lambda }_q(\mathbf{A}{)}^{\vee }=\frac{1}{q}{\Lambda }_q^{\perp }(\mathbf{A})$
• ${\Lambda }_q^{\perp }(\mathbf{A}{)}^{\vee }=\frac{1}{q}{\Lambda }_q(\mathbf{A})$

Ajtai提出的单向函数（SIS）

Ajtai在1996年提出了基于$q$相关随机格的单向函数（One-Way Function，OWF），并给出了安全性证明。这里的SIS是Short Integer Solution的缩写。该OWF构造如下图。
定理 对于$m>n\lg q$，若SIVP问题在最差情况下依旧是困难的，那么$f_{\mathbf{A}}(\mathbf{x})=\mathbf{Ax}\mathrm{mod}q$是单向函数。

这里简要给出抗碰撞和单向的证明思路，后续公开课Daniele Micciancio教授有给出详细证明。

• $f_{\mathbf{A}}(\mathbf{x})=\mathbf{Ax}\mathrm{mod}q$，这里的$\mathbf{x}$是一个短向量，即一个二进制向量；
• $f_{\mathbf{A}}$的核是$q$相关矩阵${\Lambda }_q^{\perp }(\mathbf{A})$，注意：$\forall \mathbf{v}\in {\Lambda }_q^{\perp }(\mathbf{A})$，有$f_{\mathbf{A}}(\mathbf{v})=0\mathrm{mod}q$；
• 寻找碰撞$((\mathbf{x},\mathbf{y})\text{s.t.}{f}_{\mathbf{A}}(\mathbf{x})=f_{\mathbf{A}}(\mathbf{y}))$等价于寻找一个短向量$(\mathbf{v}=\mathbf{x}-\mathbf{y})\in {\Lambda }_q^{\perp }(\mathbf{A})$，这里相当于求解了${\Lambda }_q^{\perp }(\mathbf{A})$的SVP / SIVP问题；
• 对$f_{\mathbf{A}}(\mathbf{x})$求逆相当于求解伴随译码格式下的CVP问题，CVP问题的输入为${\Lambda }_q^{\perp }(\mathbf{A})$和$\mathbf{t}\in \mathbf{x}+{\Lambda }_q^{\perp }(\mathbf{A})$，伴随译码的定义可以翻阅《格密码学习笔记（六）：格中模运算》。即已知$f_{\mathbf{A}}(\mathbf{x})$，对其求逆得到一个长向量$\mathbf{t}$，$\mathbf{t}$与$\mathbf{x}$在${\Lambda }_q^{\perp }(\mathbf{A})$中对应同一个陪集，找到$\mathbf{x}$，则$\mathbf{t}-\mathbf{x}$即CVP问题的格点解；
• 若$f_{\mathbf{A}}$是一个压缩函数，那么$\mathbf{x}$的长度需要大于$\frac{1}{2}{\lambda }_1({\Lambda }_q^{\perp }(\mathbf{A}))$（这块个人不怎么理解）。

注意，$\mathsf{SIS}\equiv \text{Approximate}\mathsf{ADD}$（绝对距离解码）。

Regev提出的容错学习问题（LWE）

Regev在2005年提出Learning With Errors（LWE）。Learning（学习） 这个词常见于机器学习中，一个完整的机器学习方法包括模型和学习算法两部分，这里的“学习”可以理解成“figure out”，即求解出问题的解（从中学到某种知识）。LWE问题定义如下图。

LWE与SIS看起来有点不一样，但某种程度上这两者之间是对偶关系。在LWE问题中，输入和错误向量$\mathbf{e}$比SIS的向量短得多，得到的函数是单射的，安全性证明难度更大。

定理 若SIVP问题在最坏情况下是困难的，则函数$g_{\mathbf{A}}(\mathbf{s},\mathbf{e})$在多数情况下难以求逆。

• 如果$\mathbf{e}=0$，那么$\mathbf{As}+\mathbf{e}=\mathbf{As}\in \Lambda ({\mathbf{A}}^{\top })$，这里的转置请往上回翻${\Lambda }_q(\mathbf{A})$的定义；
• 若$\mathbf{e}\ne 0$，则相当于求解$q$相关随机格$\Lambda ({\mathbf{A}}^{\top })$和随机向量$\mathbf{t}=\mathbf{As}+\mathbf{e}$的CVP问题（注意这里没有SIS中的伴随译码形式，所以某种程度上与SIS之间存在对偶关系）；
• 一般情况下，$\mathbf{e}$的长度小于$\frac{1}{2}{\lambda }_1(\Lambda ({\mathbf{A}}^{\top }))$，且$\mathbf{e}$是唯一确定的。

注意，$\mathsf{LWE}\equiv \text{Approximate}\mathsf{BDD}$（有界距离解码）。

详细规约证明讲解

推荐看Steven Yue大佬写的知乎文章（收录于稀有气体专栏）。

致谢

• Simons格密码公开课官网
  Mathematics of Lattices - Simons Institute for the Theory of Computing
• 哔哩哔哩中英双语视频（字幕组：重庆大学大数据与软件学院 后量子密码研究小组）
  【中英字幕】Simons格密码讲座第1讲：格的数学定义_哔哩哔哩_bilibili
• 其它格密码讲解课程和博文
  Lattice学习笔记04：SIS与LWE问题
  公开学习资料的无私奉献者