当前位置：首页 > news >正文

格密码--数学基础--08最近向量问题（CVP）与格陪集

news 2025/7/13 16:45:13

最近向量问题（CVP）与格陪集

CVP定义：
给定格 $Λ=L(B)\boldsymbol{\Lambda} = \mathcal{L}(\boldsymbol{B})$ 和目标向量 $t\boldsymbol{t}$ （不一定属于格 $Λ\Lambda$ 中），求解：
$\boldsymbol{v} \in \boldsymbol{\Lambda} \quad \text{使} \quad \|\boldsymbol{v} - \boldsymbol{t}\| = \min$
$γ\gamma$ -近似解： $∥v−t∥≤γ⋅dist(t,Λ)\|\boldsymbol{v} - \boldsymbol{t}\| \leq \gamma \cdot \text{dist}(\boldsymbol{t}, \boldsymbol{\Lambda})$
格陪集：

定义： $t+Λ={t+v∣v∈Λ}\boldsymbol{t} + \boldsymbol{\Lambda} = \{ \boldsymbol{t} + \boldsymbol{v} \mid \boldsymbol{v} \in \boldsymbol{\Lambda} \}$

陪集不是格（无零元素）

CVP等价形式：
$\min_{\boldsymbol{v} \in \boldsymbol{\Lambda}} \|\boldsymbol{v} - \boldsymbol{t}\| = \min_{\boldsymbol{w} \in \boldsymbol{t} + \boldsymbol{\Lambda}} \|\boldsymbol{w}\|$

格（黑色）与格的陪集（红色)
校验子定理：
设 $D\boldsymbol{D}$ 是 $Λ^\widehat{\boldsymbol{\Lambda}}$ 的基，则：
$\boldsymbol{e} \in \boldsymbol{t} + \boldsymbol{\Lambda} \iff \begin{cases} \boldsymbol{D}^T \boldsymbol{e} \equiv \boldsymbol{D}^T \boldsymbol{t} \pmod{1} \\ \boldsymbol{e} \in \boldsymbol{t} + \text{span}(\boldsymbol{\Lambda}) \end{cases}$
- 校验子： $1∈[0,1)k(\boldsymbol{D}^T \boldsymbol{t}) \mod 1 \in [0,1)^k$ 唯一标识陪集
  
  其中 $t+Λ\boldsymbol{t}+\Lambda$ 表示将原格沿着 $t\boldsymbol{t}$ 方向进行平移
  证明过程需要用到：
  $DTl∈ZnD^T\boldsymbol{l}\in\mathbb{Z}^n$ 对所有的 $l∈Λ\boldsymbol{l}\in\Lambda$ 成立（因为 $bi⋅l∈Z\boldsymbol{b_i}\cdot \boldsymbol{l} \in \mathbb{Z}$ ）

证明：
必要性（ $⇒\Rightarrow$ ）

假设 $e∈t+Λ\boldsymbol{e} \in \boldsymbol{t} + \Lambda$ ，则存在 $l∈Λ\boldsymbol{l} \in \Lambda$ 使得 $e=t+l\boldsymbol{e} = \boldsymbol{t} + \boldsymbol{l}$ 。
计算 $DTe\boldsymbol{D}^T \boldsymbol{e}$ ：
$\boldsymbol{D}^T \boldsymbol{e} = \boldsymbol{D}^T (\boldsymbol{t} + \boldsymbol{l}) = \boldsymbol{D}^T \boldsymbol{t} + \boldsymbol{D}^T \boldsymbol{l}.$
根据对偶格的性质， $DTl∈Zk\boldsymbol{D}^T \boldsymbol{l} \in \mathbb{Z}^k$ （06中有提到这个性质）。因此：
$\boldsymbol{D}^T \boldsymbol{e} \equiv \boldsymbol{D}^T \boldsymbol{t} \pmod{1}.$

由于 $l∈Λ⊆span(Λ)\boldsymbol{l} \in \Lambda \subseteq \text{span}(\Lambda)$ ，显然 $e=t+l∈t+span(Λ)\boldsymbol{e} = \boldsymbol{t} + \boldsymbol{l} \in \boldsymbol{t} + \text{span}(\Lambda)$ 。

充分性（ $⇐\Leftarrow$ ）

假设 $e\boldsymbol{e}$ 满足两个条件：

$DTe≡DTt(mod1)\boldsymbol{D}^T \boldsymbol{e} \equiv \boldsymbol{D}^T \boldsymbol{t} \pmod{1}$
$e∈t+span(Λ)\boldsymbol{e} \in \boldsymbol{t} + \text{span}(\Lambda)$

需证明 $e∈t+Λ\boldsymbol{e} \in \boldsymbol{t} + \Lambda$ 。

由几何条件，存在 $v∈span(Λ)\boldsymbol{v} \in \text{span}(\Lambda)$ 使得 $e=t+v\boldsymbol{e} = \boldsymbol{t} + \boldsymbol{v}$ 。
目标是证明 $v∈Λ\boldsymbol{v} \in \Lambda$ 。
代入 $e=t+v\boldsymbol{e} = \boldsymbol{t} + \boldsymbol{v}$ 到代数条件中：

$\boldsymbol{D}^T \boldsymbol{e} = \boldsymbol{D}^T (\boldsymbol{t} + \boldsymbol{v}) = \boldsymbol{D}^T \boldsymbol{t} + \boldsymbol{D}^T \boldsymbol{v}.$

根据条件， $DTe≡DTt(mod1)\boldsymbol{D}^T \boldsymbol{e} \equiv \boldsymbol{D}^T \boldsymbol{t} \pmod{1}$ ，故：
$\boldsymbol{D}^T \boldsymbol{v} \equiv \boldsymbol{0} \pmod{1}.$
即 $DTv\boldsymbol{D}^T \boldsymbol{v}$ 的每个分量均为整数，记为 $DTv=k∈Zk\boldsymbol{D}^T \boldsymbol{v} = \boldsymbol{k} \in \mathbb{Z}^k$ 。

设 $B\boldsymbol{B}$ 为 $Λ\Lambda$ 的基矩阵，则 $v∈span(Λ)\boldsymbol{v} \in \text{span}(\Lambda)$ 可表示为 $v=Bc\boldsymbol{v} = \boldsymbol{B} \boldsymbol{c}$ ，其中 $c∈Rk\boldsymbol{c} \in \mathbb{R}^k$ 。
根据对偶基的定义， $DTB=Ik\boldsymbol{D}^T \boldsymbol{B} = \boldsymbol{I}_k$ （单位矩阵），因此：

$\boldsymbol{D}^T \boldsymbol{v} = \boldsymbol{D}^T (\boldsymbol{B} \boldsymbol{c}) = (\boldsymbol{D}^T \boldsymbol{B}) \boldsymbol{c} = \boldsymbol{I}_k \boldsymbol{c} = \boldsymbol{c}.$

结合 $DTv=k∈Zk\boldsymbol{D}^T \boldsymbol{v} = \boldsymbol{k} \in \mathbb{Z}^k$ ，得 $c=k∈Zk\boldsymbol{c} = \boldsymbol{k} \in \mathbb{Z}^k$ 。

由于 $c∈Zk\boldsymbol{c} \in \mathbb{Z}^k$ ，向量 $v=Bc\boldsymbol{v} = \boldsymbol{B} \boldsymbol{c}$ 是基矩阵 $B\boldsymbol{B}$ 的整数线性组合，因此 $v∈Λ\boldsymbol{v} \in \Lambda$ 。
从而 $e=t+v∈t+Λ\boldsymbol{e} = \boldsymbol{t} + \boldsymbol{v} \in \boldsymbol{t} + \Lambda$ 。