Алгоритм Ленстры — Ленстры — Ловаса

Алгоритм Ленстры — Ленстры — Ловаса (ЛЛЛ-алгоритм, LLL-алгоритм) — алгоритм Шаблон:Iw, разработанный Арьеном Ленстрой, Хендриком Ленстрой и Ласло Ловасом в 1982 году^[1]. За полиномиальное время алгоритм преобразует базис на решётке (подгруппе ${\displaystyle {ℝ}^n}$) в кратчайший почти ортогональный базис на этой же решётке. По состоянию на 2019 год алгоритм Ленстры — Ленстры — Ловаса является одним из самых эффективных для вычисления редуцированного базиса в решётках больших размерностей. Он актуален прежде всего в задачах, сводящихся к поиску кратчайшего вектора решётки.

Алгоритм был разработан голландскими математиками Арьеном Ленстрой и Хендриком Ленстрой совместно с венгерским математиком Ласло Ловасом в 1982 году^[1]Шаблон:Sfn.

Основной предпосылкой для создания ЛЛЛ-алгоритма послужило то, что процесс Грама ― Шмидта работает только с векторами, компоненты которых являются вещественными числами. Для векторного пространства ${\displaystyle {ℝ}^n}$ процесс Грама ― Шмидта позволяет преобразовать произвольный базис в ортонормированный («идеал», к которому стремится ЛЛЛ-алгоритм). Но процесс Грама ― Шмидта не гарантирует того, что на выходе каждый из векторов будет целочисленной линейной комбинацией исходного базиса. Таким образом, полученный в результате набор векторов может и не являться базисом исходной решётки. Это привело к необходимости создания специального алгоритма для работы с решётками^[2].

Изначально алгоритм использовался для факторизации многочленов с целыми коэффициентами, вычисления диофантовых приближений вещественных чисел и для решения задач линейного программирования в пространствах фиксированной размерности, а впоследствии и для криптоанализа^[3][4].

Решётка в евклидовом пространстве — это подгруппа группы ${\displaystyle ({ℝ}^n,+)}$, порожденная ${\displaystyle d}$ линейно независимыми векторами из ${\displaystyle {ℝ}^n}$, называемыми базисом решётки. Любой вектор решётки может быть представлен целочисленной линейной комбинацией базисных векторов^[5]. Базис решётки определяется неоднозначно: на рисункеШаблон:Переход изображены два различных базиса одной и той же решётки.

Редукция базиса заключается в приведении базиса решётки к особому виду, удовлетворяющему некоторым свойствам. Редуцированный базис должен быть, по возможности, наиболее коротким среди всех базисов решётки и близким к ортогональному (что выражается в том, что итоговые коэффициенты Грама — Шмидта должны быть не больше ${\displaystyle 1/2}$)^[2].

Пусть в результате преобразования базиса ${\displaystyle 𝐁=\{{𝐛}_1,{𝐛}_2,\dots ,{𝐛}_d\}}$ с помощью процесса Грама ― Шмидта получен базис ${\displaystyle {𝐁}^{*}=\{{𝐛}_1^{*},{𝐛}_2^{*},\dots ,{𝐛}_d^{*}\}}$, с коэффициентами Грама — Шмидта, определяемыми следующим образом:

${\mu }_{i,j}=\frac{⟨{𝐛}_i,{𝐛}_j^{*}⟩}{⟨{𝐛}_j^{*},{𝐛}_j^{*}⟩}$, для всех ${\displaystyle j,i}$ таких, что ${\displaystyle 1⩽j<i⩽d}$.

Тогда (упорядоченный) базис ${\displaystyle 𝐁}$ называется ${\displaystyle \delta }$-ЛЛЛ-редуцированным базисом (где параметр ${\displaystyle \delta }$ находится в промежутке $(0.25,1]$), если он удовлетворяет следующим свойствам^[2]:

1. Для всех ${\displaystyle i,j}$ таких, что ${\displaystyle 1⩽j<i⩽d:\left|{\mu }_{i,j}\right|⩽0,5}$. (условие уменьшения размера)
2. Для ${\displaystyle k=1,2,\dots ,d}$ имеет место: ${\displaystyle (\delta -{\mu }_{k,k-1}^2)\Vert {𝐛}_{k-1}^{*}{\Vert }^2⩽\Vert {𝐛}_k^{*}{\Vert }^2}$. (условие Ловаса)

Здесь ${\displaystyle \Vert 𝐛\Vert }$ — норма вектора, ${\displaystyle ⟨{𝐛}_i,{𝐛}_j^{*}⟩}$ — cкалярное произведение векторов.

Изначально Ленстра, Ленстра и Ловас в своей статье продемонстрировали работу алгоритма для параметра $\delta =\frac{3}{4}$. Несмотря на то что алгоритм остаётся корректным и для ${\displaystyle \delta =1}$, его работа за полиномиальное время гарантируется только для ${\displaystyle \delta }$ в промежутке ${\displaystyle (0.25,1)}$^[1].

Пусть ${\displaystyle 𝐁=\{{𝐛}_1,{𝐛}_2,\dots ,{𝐛}_d\}}$ — сокращённый алгоритмом ЛЛЛ с параметром ${\displaystyle \delta }$ базис на решётке ${\displaystyle ℒ}$. Из определения такого базиса можно получить несколько свойств ${\displaystyle 𝐁}$. Пусть ${\displaystyle {\lambda }_1(ℒ)}$ — норма кратчайшего вектора решётки, тогда:

1. Первый вектор базиса не может быть значительно длиннее кратчайшего ненулевого вектора:Шаблон:Pb$\Vert {𝐛}_1\Vert ⩽{\left(\frac{2}{\sqrt{4\delta -1}}\right)}^{d-1}\cdot {\lambda }_1(ℒ)$. В частности, для ${\displaystyle \delta =3/4}$ получается ${\displaystyle \Vert {𝐛}_1\Vert ⩽2^{(d-1)/2}\cdot {\lambda }_1(ℒ)}$^[6].
2. Первый вектор базиса ограничен определителем решётки:Шаблон:Pb$\Vert {𝐛}_1\Vert ⩽{\left(\frac{2}{\sqrt{4\delta -1}}\right)}^{(d-1)/2}\cdot \det (ℒ{)}^{1/d}$. В частности, для ${\displaystyle \delta =3/4}$ получается ${\displaystyle \Vert {𝐛}_1\Vert ⩽2^{(d-1)/4}\cdot (\det ℒ{)}^{1/d}}$^[2].
3. Произведение норм векторов не может быть сильно больше определителя решётки:Шаблон:Pb${\prod }_{i=1}^d\Vert {𝐛}_i\Vert ⩽{\left(\frac{2}{\sqrt{4\delta -1}}\right)}^{d(d-1)/2}\cdot \det (ℒ)$. В частности, ${\displaystyle {\displaystyle \prod _{i=1}^d}\Vert {𝐛}_i\Vert ⩽2^{d(d-1)/4}\cdot \det (ℒ)}$ для ${\displaystyle \delta =3/4}$^[2].

Базис, преобразованный методом ЛЛЛ, почти самый короткий из всех возможных, в том смысле, что существуют абсолютные границы ${\displaystyle c_i>1}$ такие, что первый базисный вектор не более чем в ${\displaystyle c_1}$ раз длиннее самого короткого вектора решётки, аналогично, второй вектор базиса не более чем в ${\displaystyle c_2}$ раз превосходит второй кратчайший вектор решётки и так далее (что прямо следует из свойства 1)^[6].

Входные данные^[7]:

базис решётки ${\displaystyle {𝐛}_1,{𝐛}_2,\dots ,{𝐛}_d\in {\displaystyle {ℝ}^3}}$ (состоит из линейно независимых векторов),

параметр ${\displaystyle \delta }$ c $\frac{1}{4}<\delta <1$, чаще всего $\delta =\frac{3}{4}$ (выбор параметра зависит от конкретной задачи).

Последовательность действий^[3]: Шаблон:Ordered list В алгоритме ${\displaystyle \lfloor {\mu }_{k,j}\rceil }$ — округление по правилам математики. Процесс алгоритма, описанный на псевдокоде^[7]:

  Шаблон:Nowrap 
  (выполнить процесс Грама — Шмидта без нормировки);
  Шаблон:Nowrap всегда подразумевая Шаблон:Nowrap
  Шаблон:Nowrap
  Шаблон:Nowrap
    для Шаблон:Mvar Шаблон:Nowrap
       если $|{\mu }_{k,j}|>\frac{1}{2}$, то:
          Шаблон:Nowrap
          Обновить значения ${\displaystyle |{\mu }_{k,j}|}$ для ${\displaystyle j<k}$;
       конец условия;
    конец цикла;
    Шаблон:Nowrap
       Шаблон:Nowrap
    иначе:
       Шаблон:Nowrap
       Обновить значения ${\displaystyle {𝐛}_k^{*},{𝐛}_{k-1}^{*},⟨{𝐛}_k^{*},{𝐛}_k^{*}⟩,⟨{𝐛}_{k-1}^{*},{𝐛}_{k-1}^{*}⟩}$ для ${\displaystyle k>1}$; ${\displaystyle {\mu }_{k-1,j},{\mu }_{k,j}}$ для ${\displaystyle j<k}$;
       ${\displaystyle k=\max (k-1,1)}$;
    конец условия;
  конец цикла.

Выходные данные: редуцированный базис: ${\displaystyle {𝐛}_1,{𝐛}_2,\dots ,{𝐛}_d}$.

На входе имеется базис ${\displaystyle n}$-мерных векторов ${\displaystyle 𝐁=\{{𝐛}_1,{𝐛}_2,\dots ,{𝐛}_d\}}$ с ${\displaystyle d⩽n}$.

Если вектора базиса состоят из целочисленных компонент, алгоритм приближает кратчайший почти ортогональный базис за полиномиальное время ${\displaystyle O(d^{5}n{\log }^{3}B)}$, где ${\displaystyle B}$ — максимальная длина ${\displaystyle {𝐛}_i}$ по евклидовой норме, то есть ${\displaystyle B=\max (\Vert {𝐛}_1{\Vert }_2,\Vert {𝐛}_2{\Vert }_2,...,\Vert {𝐛}_d{\Vert }_2)}$. Основной цикл алгоритма ЛЛЛ требует ${\displaystyle O(d^2\log B)}$ итераций и работает с числами длины ${\displaystyle O(d\log B)}$. Так как на каждой итерации происходит обработка ${\displaystyle d}$ векторов длины ${\displaystyle n}$, в итоге алгоритм требует ${\displaystyle O(d^{3}n{\log }^{3}B)}$ арифметических операций. Применение наивных алгоритмов сложения и умножения целых чисел даёт в итоге ${\displaystyle O(d^{5}n{\log }^{3}B)}$ битовых операций^[2].

В случае, когда у решётки задан базис с рациональными компонентами, эти рациональные числа сначала необходимо преобразовать в целые путем умножения базисных векторов на знаменатели их компонент (множество знаменателей ограничено некоторым целым числом ${\displaystyle X}$). Но тогда операции будут производиться уже над целыми числами, не превышающими ${\displaystyle X^{nd}}$. В итоге будет максимум ${\displaystyle O(d^8{n}^4{\log }^{3}X)}$ битовых операций. Для случая, когда решётка задана в ${\displaystyle {ℝ}^n}$, сложность алгоритма остается такой же, но увеличивается количество битовых операций. Так как в компьютерном представлении любое вещественное число заменяется рациональным в силу ограниченности битового представления, полученная оценка верна и для вещественных решёток^[2].

В то же время для размерностей меньше чем 4 задача редукции базиса более эффективно решается алгоритмом Лагранжа^[8].

Пример, приводимый Вибом Босмой^[9].

Пусть базис решётки ${\displaystyle {𝐛}_1,{𝐛}_2,{𝐛}_3\in {\displaystyle {\mathbb{Z}}^3}}$ (как подгруппа ${\displaystyle ({ℝ}^n,+)}$), задан столбцами матрицы:

${\displaystyle \left[\begin{array}{ccc}1& -1& 3\\ 1& 0& 5\\ 1& 2& 6\end{array}\right]}$

По ходу алгоритма получается следующее: Шаблон:Ordered list Выходные данные: базис, редуцированный методом Ленстры — Ленстры — Ловаса:

${\displaystyle \left[\begin{array}{ccc}0& 1& -1\\ 1& 0& 0\\ 0& 1& 2\end{array}\right]}$

Алгоритм часто применяется в рамках метода MIMO (пространственное кодирования сигнала) для декодирования сигналов, полученных несколькими антеннами^[10], и в криптосистемах с открытым ключом: Шаблон:Iw, RSA с конкретными настройками, NTRUEncrypt и так далее. Алгоритм может быть использован для нахождения целых решений в разных задачах теории чисел, в частности для поиска корней многочлена в целых числах^[11].

В процессе атак на криптосистемы с открытым ключом (NTRU) алгоритм используется для поиска кратчайшего вектора решётки, так как алгоритм в результате находит целый набор кратчайших векторов^[12].

В криптоанализе Шаблон:Iw задача, так же как в случае с NTRU, сводится к поиску кратчайшего вектора базиса решётки, который находится за полиномиальное (от размерности базиса) время^[13].

В задачах о ранце, в частности, для атаки на криптосистемe Меркла — Хеллмана алгоритм ЛЛЛ ищет редуцированный базис решётки^[14].

Шаблон:Дополнить раздел Использование арифметики на числах с плавающей запятой вместо точного представления рациональных чисел может значительно ускорить работу ЛЛЛ-алгоритма ценой совсем небольших численных ошибокШаблон:Sfn.

Программно алгоритм реализован в следующем программном обеспечении:

• В fpLLL как автономная реализация^[15];
• В GAP как функция LLLReducedBasis ^[16];
• В Шаблон:Iw как функция LLL в библиотеке LLLBases ^[17];
• В Шаблон:Нп5 как функции LLL и LLLGram ^[18];
• В Maple как функция IntegerRelations[LLL] ^[19];
• В Mathematica как функция LatticeReduce ^[20];
• В Number Theory Library (NTL) как модуль LLL ^[21];
• В Шаблон:Iw как функция qflll ^[22];
• В Pymatgen как функция analysis.get_lll_reduced_lattice ^[23];
• В SageMath как метод LLL, реализованный в fpLLL и NTL^[24].

Шаблон:Примечания

• Шаблон:Статья
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Книга
• Шаблон:Статья
• Шаблон:Публикация
• Шаблон:Публикация

Шаблон:Теоретико-числовые алгоритмы