Задачи теории решёток — это класс задач оптимизации на решётках (то есть дискретных аддитивных подгруппах, заданных на множестве ${\displaystyle \mathbb {R} ^{n}}$). Гипотетическая плохая разрешимость таких задач является центральным местом для построения стойких криптосистем на решётках. Для приложений в таких криптосистемах обычно рассматриваются решётки на векторных пространствах (часто ${\displaystyle \mathbb {Q} ^{n}}$) или свободных модулях (часто ${\displaystyle \mathbb {Z} ^{n}}$).

Для всех задач ниже допустим, что нам даны (кроме других более конкретных входных данных) базис для векторного пространства V и норма N. Для норм обычно рассматривается L². Однако другие нормы, такие как L^p), также рассматриваются и появляются в различных результатах^[1]. Ниже в статье ${\displaystyle \lambda (L)}$ означает длину самого короткого вектора в решётке L, то есть

${\displaystyle \lambda (L)=\min _{v\in L\setminus \{\mathbf {0} \}}\|v\|_{N}.}$

В ЗКВ (англ. Shortest vector problem, SVP), для решётки L даны базис векторного пространства V и норма N (часто L²) и нужно найти ненулевой вектор минимальной длины в V по норме N в решётке L. Другими словами, выходом алгоритма должен быть ненулевой вектор v, такой, что ${\displaystyle N(v)=\lambda (L)}$.

В ${\displaystyle \gamma }$-приближённой версии ЗКВ_γ нужно найти ненулевой вектор решётки длины, не превосходящий ${\displaystyle \gamma \lambda (L)}$.

Только точная версия задачи, как известно, является NP-трудной для рандомизированного сведе́ния^[2][2].

Для контраста, известно, что эквивалентная задача для равномерных норм, является NP-трудной^[3].

Для решения точной версии ЗКВ для евклидовой нормы известны несколько различных подходов, которые можно разбить на два класса — алгоритмы, требующие суперэкспоненциального времени (${\displaystyle 2^{\omega (n)}}$) и ${\displaystyle \operatorname {poly} (n)}$ памяти, и алгоритмы, требующие экспоненциального времени и памяти (${\displaystyle 2^{\Theta (n)}}$), от размерности решётки. В первом классе алгоритмов наиболее значимы алгоритмы перечисления решётки^[4][5][6] и алгоритмы сокращения случайных выборок^[7][8], в то время как второй класс включает решеточное просеивание^[9][10][11], вычисление ячеек Вороного на решётке^[12][13] и дискретные гауссовы распределения^[14]. Открытой проблемой является, существуют ли алгоритмы, решающие точную ЗКВ за обычное экспоненциальное время (${\displaystyle 2^{O(n)}}$) и требующие память, полиномиально зависящую от размерности решётки^[15].

Для решения ${\displaystyle \gamma }$-приближённой версии ЗКВ_γ для ${\displaystyle \gamma >1}$ для евклидовой нормы лучший известный подход базируется на использовании редукции базиса решётки^[англ.]. Для больших ${\displaystyle \gamma =2^{\Omega (n)}}$ Алгоритм Ленстры — Ленстры — Ловаса редукции базиса решётки может найти решение за полиномиальное время от размерности решётки. Для малых значений ${\displaystyle \gamma }$ обычно используется блочный алгоритм Коркина — Золотарёва (БКЗ, англ. Block Korkine-Zolotarev algorithm, BKZ)^[16][17][18], где вход алгоритма (размер блока ${\displaystyle \beta }$) определяет временну́ю сложность и качество выхода — для больших аппроксимационных коэффициентов ${\displaystyle \gamma }$ достаточен малый размер блока ${\displaystyle \beta }$ и алгоритм завершается быстро. Для малых ${\displaystyle \gamma }$ требуется больший ${\displaystyle \beta }$, чтобы найти достаточно короткие вектора решётки, и алгоритм работает дольше. БКЗ-алгоритм внутри использует алгоритм точного ЗКВ в качестве подпрограммы (работающей на решётке размерности, не превосходящей ${\displaystyle \beta }$), и общая сложность тесно связана со стоимостью этих вызовов ЗКВ в размерности ${\displaystyle \beta }$.

Задача ${\displaystyle GapSVP_{\beta }}$ состоит в различении между вариантами ЗКВ, в которых ответ не превосходит 1 или больше ${\displaystyle \beta }$, где ${\displaystyle \beta }$ может быть фиксированной функцией от размерности решётки ${\displaystyle n}$. Если задан базис решётки, алгоритм должен решить, будет ${\displaystyle \lambda (L)\leqslant 1}$ или ${\displaystyle \lambda (L)>\beta }$. Подобно другим задачам с предусловиями^[англ.], алгоритму разрешены ошибки во всех остальных случаях.

Другой версией задачи является ${\displaystyle GapSVP_{\zeta ,\gamma }}$ для некоторых функций ${\displaystyle \zeta ,\gamma }$. Входом алгоритма является базис ${\displaystyle B}$ и число ${\displaystyle d}$. Алгоритм обеспечивает, чтобы все вектора в ортогонализации Грама — Шмидта имели длину, не меньшую 1, чтобы ${\displaystyle \lambda (L(B))\leqslant \zeta (n)}$ и чтобы ${\displaystyle 1\leqslant d\leqslant \zeta (n)/\gamma (n)}$, где ${\displaystyle n}$ — размерность. Алгоритм должен принять, если ${\displaystyle \lambda (L(B))\leqslant d}$ и отвергнуть, если ${\displaystyle \lambda (L(B))\geqslant \gamma (n).d}$. Для больших ${\displaystyle \zeta }$ (${\displaystyle \zeta (n)>2^{n/2}}$) задача эквивалентна ${\displaystyle GapSVP_{\gamma }}$, поскольку^[19] препроцессорный шаг с помощью алгоритма ЛЛЛ делает второе условие (а следовательно, ${\displaystyle \zeta }$) лишним.

В ЗБВ (англ. Closest vector problem, CVP) для решётки L даны бaзис векторного пространства V и метрика M (часто L²), а также вектор v в V, но не обязательно в L. Требуется найти вектор в L, наиболее близкий к v (по мере M). В ${\displaystyle \gamma }$-приближённой версии ЗБВ_γ, нужно найти вектор решётки на расстоянии, не превосходящем ${\displaystyle \gamma }$.

Задача нахождения ближайшего вектора является обобщением задачи нахождения кратчайшего вектора. Легко показать, что если задан предсказатель для ЗБВ_γ (определён ниже), можно решить ЗКВ_γ путём некоторых запросов предсказателю^[20]. Естественный метод поиска кратчайшего вектора путём запросов к предсказателю ЗБВ_γ, чтобы найти ближайший вектор, не работает, поскольку 0 является вектором решётки и алгоритм, потенциально, может вернуть 0.

Сведение от ЗКВ_γ к ЗБВ_γ следующее: Предположим, что входом задачи ЗКВ_γ является базис решётки ${\displaystyle B=[b_{1},b_{2},\ldots ,b_{n}]}$. Рассмотрим базис ${\displaystyle B^{i}=[b_{1},\ldots ,2b_{i},\ldots ,b_{n}]}$ и пусть ${\displaystyle x_{i}}$ будет вектором, который вернул алгоритм ЗБВ${\displaystyle \gamma (B^{i},b_{i})}$. Утверждается, что кратчайший вектор в множестве ${\displaystyle \{x_{i}-b_{i}\}}$ является кратчайшим вектором в данной решётке.

Голдрайх, Миссиансио, Сафра и Seifert показали, что из любой сложности ЗКВ вытекает такая же сложность для ЗБВ^[21]. Используя средства ВПД^[англ.], Арора , Babai, Stern, Sweedyk показали, что ЗБВ трудна для аппроксимации до множителя ${\displaystyle 2^{\log ^{1-\epsilon }(n)}}$, если только не ${\displaystyle \operatorname {NP} \subseteq \operatorname {DTIME} (2^{poly(\log n)})}$^[22]. Динур, Киндлер, Сафра усилили это, указав NP-трудность с ${\displaystyle \epsilon =(\log \log n)^{c}}$ для ${\displaystyle c<1/2}$^[23].

Алгоритм для ЗБВ, особенно вариант Финке и Поста^[5] используется, например, для обнаружения данных в беспроводных системах связи с многоканальным входом/многоканальным выходом (MIMO) (для кодированных и раскодированных сигналов)^[24][12]. В этом контексте он называется сферическим декодированием^[25].

Алгоритм был применён в области целочисленного разрешения неоднозначности фазы несущей GNSS (GPS)^[26]. В этой области это называется LAMBDA-методом.

Эта задача подобна задаче GapSVP. Для ${\displaystyle GapCVP_{\beta }}$, входом является базис решётки и вектор ${\displaystyle v}$, а алгоритм должен ответить, какое из условий выполняется

• существует вектор решётки, такой, что расстояние между ним и ${\displaystyle v}$ не превосходит 1.
• любой вектор решётки находится от ${\displaystyle v}$ на расстоянии, большем ${\displaystyle \beta }$.

Задача тривиально содержится в классе NP для любого коэффициента аппроксимации.

Клаус Шнорр^[англ.] в 1987 показал, что алгоритмы с детерминированным полиномиальным временем могут решить задачу для ${\displaystyle \beta =2^{O(n(\log \log n)^{2}/\log n)}}$^[27]. Айтаи, Кумар, Сивакумар показали, что вероятностные алгоритмы могут получить слегка более лучший аппроксимационный коэффициент ${\displaystyle \beta =2^{O(n\log \log n/\log n)}}$^[9].

В 1993 Банашчик показал, что ${\displaystyle GapCVP_{n}}$ содержится в ${\displaystyle NP\cap coNP}$^[28]. В 2000 Голдрайх и Голдвассер показали, что ${\displaystyle \beta ={\sqrt {n/\log n}}}$ помещает задачу в классы как NP, так и coAM^[29]. В 2005 Ааронов и Реджев показали, что для некоторой константы ${\displaystyle c}$ задача с ${\displaystyle \beta =c{\sqrt {n}}}$ входит в ${\displaystyle NP\cap coNP}$^[30].

Для нижних границ Динур, Киндлер и Сафра показали в 1998, что задача является NP-трудной для ${\displaystyle \beta =n^{o(1/\log {\log {n}})}}$^[31].

Если дана решётка L размерности n, алгоритм должен выдать n линейно независимых векторов ${\displaystyle v_{1},v_{2},\ldots ,v_{n}}$, таких, что ${\displaystyle \max \|v_{i}\|<\max _{B}\|b_{i}\|}$, где правая часть состоит из всех базисов ${\displaystyle B=\{b_{1},\ldots ,b_{n}\}}$ решётки.

В ${\displaystyle \gamma }$-приближённой версии, если дана решётка L размерности n, алгоритм находит n линейно независимых векторов ${\displaystyle v_{1},v_{2},\ldots ,v_{n}}$ длины ${\displaystyle \max ||v_{i}||\leqslant \gamma \lambda _{n}(L)}$, где ${\displaystyle \lambda _{n}(L)}$ является ${\displaystyle n}$-ым последующим минимумом ${\displaystyle L}$.

Эта задача подобна ЗБВ. Если дан вектор, такой, что его расстояние от решётки не превосходит ${\displaystyle \lambda (L)/2}$, алгоритм должен выдать ближайший вектор решётки.

Если дан базис для решётки, алгоритм должен найти самое большое расстояние (или, в некоторых версиях, его аппроксимацию) от любого вектора до решётки.

Многие задачи становятся проще, если входной базис состоит из коротких векторов. Алгоритм, который решает задачу поиска кратчайшего базиса (ПКБ), должен по заданному базису решётки ${\displaystyle B}$ дать эквивалентный базис ${\displaystyle B'}$, такой, что длина самого длинного вектора в ${\displaystyle B'}$ настолько коротка, насколько возможно.

Аппроксимированная версия задачи ПКБ_γ заключается в поиске базиса, самый длинный вектор которого не превосходит по длине в ${\displaystyle \gamma }$ раз самого длинного вектора в кратчайшем базисе.

Трудность среднего случая^[англ.] задач образует базис для доказательства стойкости большинства криптографических схем. Однако экспериментальные данные наталкивают на предположение, что для большинства NP-трудных задач это свойство отсутствует — они трудны лишь в худшем случае. Для многих задач теории решёток было предположено или доказано, что они трудны в среднем, что делает их привлекательными для криптографических схем. Однако трудность в худшем случае некоторых задач теории решёток используется для создания схем стойкой криптографии. Использование трудности в худшем случае в таких схемах помещает их в класс очень немногих схем, которые, с большой долей вероятности, устойчивы даже для квантовых компьютеров.

Вышеприведённые задачи теории решёток легко решаются, если дан «хороший» базис. Цель алгоритмов редукции базиса^[англ.] по данному базису решётки выдать новый базис, состоящий из относительно коротких почти ортогональных векторов. Алгоритм Ленстры — Ленстры — Ловаса редукции базиса решётки (ЛЛЛ, англ. Lenstra–Lenstra–Lovász lattice basis reduction algorithm, LLL) был ранним эффективным алгоритмом для этой задачи, который может выдать редуцированный базис решётки за полиномиальное время^[32]. Этот алгоритм и его дальнейшие улучшения были использованы для взлома некоторых криптографических схем, что сформировало его статус как очень важного средства в криптографии. Успех ЛЛЛ на экспериментальных данных привел к вере, что редукция базиса решётки на практике может быть простой задачей. Однако эта вера была разрушена, когда в конце 1990s-х были получены новые результаты о трудности задач теории решёток, начиная с результатов Айтаи^[33].

В своей основополагающей работе Айтаи показал, что ЗКВ был NP-трудным и обнаружил некоторые связи между сложностью в худшем случае и сложностью в среднем некоторых задач теории решёток^[2]. Основываясь на этих результатах, Айтаи и Дворк создали криптосистему с открытым ключом, секретность которой может быть доказана, используя лишь худший случай трудности определённой версии ЗКВ^[34], что было первым результатом по созданию защищённых систем с использованием трудности в худшем случае^[35].

• Обучение с ошибками

• Agrell E., Eriksson T., Vardy A., Zeger K. Closest Point Search in Lattices // IEEE Trans. Inform. Theory. — 2002. — Т. 48, вып. 8. — doi:10.1109/TIT.2002.800499.
• Daniele Micciancio. The Shortest Vector Problem is {NP}-hard to approximate to within some constant // SIAM Journal on Computing. — 2001. — Т. 30, вып. 6. — С. 2008–2035. — doi:10.1137/S0097539700373039.
• Phong Q. Nguyen, Jacques Stern. Lattice Reduction in Cryptology: An Update // Proceedings of the 4th International Symposium on Algorithmic Number Theory. — Springer-Verlag, 2000. — С. 85–112. — ISBN 3-540-67695-3.

Для улучшения этой статьи желательно: Проверить качество перевода с иностранного языка. Исправить статью согласно стилистическим правилам Википедии. После исправления проблемы исключите её из списка. Удалите шаблон, если устранены все недостатки.