格密码–SIS问题,ISIS问题及nf-ISIS问题

格密码–SIS问题,ISIS问题及nf-ISIS问题

0.数学符号汇总

1.SIS 定义：

1996年SIS问题被Ajtai引入。

SIS（n,m,q,B）:给定随机矩阵$\mathbf{A}{\in }_R{\mathbb{Z}}_q^{n\times m}$（$n$ 行 $m$ 列，元素属于模 $q$ 整数环），目标是找到$\mathbf{z}\in {\mathbb{Z}}^m$使得$$Az=0(modq)。其中\mathbf{z}\ne 0;\mathbf{z}\in [-B,B{]}^m且B<<q/2$$

$$\underset{n\times m\text{ 矩阵 }\mathbf{A}}{\underbrace{\left(\begin{array}{cccc}{a}_{11}& a_{12}& \dots & a_{1m}\\ a_{21}& a_{22}& \dots & a_{2m}\\ ⋮& ⋮& \ddots & ⋮\\ a_{n1}& a_{n2}& \dots & a_{nm}\end{array}\right)}}\underset{m\times 1\text{ 向量 }\mathbf{z}}{\underbrace{\left(\begin{array}{c}{z}_1\\ z_2\\ ⋮\\ z_m\end{array}\right)}}\equiv \underset{n\times 1\text{ 零向量}}{\underbrace{\left(\begin{array}{c}0\\ 0\\ ⋮\\ 0\end{array}\right)}}(\mathrm{mod}q)$$

$\mathbf{A}\mathbf{z}\equiv 0(\mathrm{mod}q)$ 要求 每个分量的点积都模 $q$ 等于 0，因此展开为 $n$ 个线性同余方程,其中有m个变量：

$$\{\begin{array}{l}{a}_{11}{z}_1+a_{12}{z}_2+\cdots +a_{1m}{z}_m\equiv 0(\mathrm{mod}q)\\ a_{21}{z}_1+a_{22}{z}_2+\cdots +a_{2m}{z}_m\equiv 0(\mathrm{mod}q)\\ ⋮\\ a_{n1}{z}_1+a_{n2}{z}_2+\cdots +a_{nm}{z}_m\equiv 0(\mathrm{mod}q)\end{array}$$

2.SIS问题解的存在性：

$\mathbf{A}\mathbf{z}\equiv 0(\mathrm{mod}q)$ 要求 每个分量的点积都模 $q$ 等于 0，因此展开为 $n$ 个线性同余方程,其中有m个变量：

$$\{\begin{array}{l}{a}_{11}{z}_1+a_{12}{z}_2+\cdots +a_{1m}{z}_m\equiv 0(\mathrm{mod}q)\\ a_{21}{z}_1+a_{22}{z}_2+\cdots +a_{2m}{z}_m\equiv 0(\mathrm{mod}q)\\ ⋮\\ a_{n1}{z}_1+a_{n2}{z}_2+\cdots +a_{nm}{z}_m\equiv 0(\mathrm{mod}q)\end{array}$$

1. 当 $\mathbf{n}\ge \mathbf{m}$ 时（方程组个数大于变量数），SIS 无解

SIS 是齐次线性方程 $Az\equiv 0(\mathrm{mod}q)$，解空间维度为 $m-\text{rank}(A)$。

若 $n\ge m$，随机矩阵 $A{\in }_R{\mathbb{Z}}_q^{n\times m}$ 通常满列秩（秩为 $m$），故解空间维度为 $0$，仅存在 零解 $z=0$。

零解不满足 SIS 中“$z\ne 0$” 的要求，因此无有效解。后续分析默认 $n<m$（变量数 $m>$ 方程数 $n$，解空间非零）。

2. 当$n<m$时：由鸽巢原理当 $(\mathbf{B}+1{)}^{\mathbf{m}}>{\mathbf{q}}^{\mathbf{n}}$ 时，解必然存在

考虑向量 ${\mathbf{z}}_1,{\mathbf{z}}_2\in [-B/2,B/2{]}^m$（每个分量范围更小，确保后续差向量 $\mathbf{z}$ 满足 $[-B,B{]}^m$）。

该集合的元素个数为 $(\mathbf{B}+1{)}^{\mathbf{m}}$（每个分量有 $B+1$ 个整数，$m$ 维则是 $(B+1{)}^m$ 种组合）。

$Az$ 的结果属于 ${\mathbb{Z}}_q^n$，最多有 ${\mathbf{q}}^{\mathbf{n}}$ 种不同取值。

若 $(B+1{)}^m>q^n$，则至少存在 两个不同的 $z_1\ne z_2$，使得 $A{z}_1\equiv A{z}_2(\mathrm{mod}q)$。

构造解：令 $z=z_1-z_2$，则：
$$Az=A(z_1-z_2)\equiv A{z}_1-A{z}_2\equiv 0(\mathrm{mod}q),$$
且 $z\ne 0$（因 $z_1\ne z_2$），$z\in [-B,B{]}^m$（分量差的范围为 $[-B,B]$），故 $z$ 是 SIS 的解。

1. 解的非唯一性

若 $z$ 是 SIS 解（$Az\equiv 0(\mathrm{mod}q)$，$z\ne 0$，$z\in [-B,B{]}^m$），则 $-z$ 也是解：
$$A(-z)\equiv -Az\equiv 0(\mathrm{mod}q),$$
且 $-z\ne 0$，$-z\in [-B,B{]}^m$（分量符号反转，范围不变）。
结论：SIS 的解不唯一，存在对称解（如 $z$ 和 $-z$）。

2.SIS解存在所需要参数条件

从 $(B+1{)}^m>q^n$ 两边取对数（对数函数单调递增，不改变不等号方向）：
$$m\cdot \log (B+1)>n\cdot \log q⟹\mathbf{m}>\frac{\mathbf{n}\log \mathbf{q}}{\log (\mathbf{B}+1)}.$$

结论：当 $m$ 满足上述下界时，必然存在 SIS 解（由鸽巢原理保证）。

3.SIS实例

3.基于SIS构造抗碰撞的Hash函数

• 哈希函数的定义：
  随机选取矩阵 $\mathbf{A}{\in }_R{\mathbb{Z}}_q^{n\times m}$，满足 $m>n\log q$（参数关系保证压缩性和碰撞归约）。

  定义
  HA:{0,1}m→Zqn,HA(z)=Az(modq) H_A: \{0,1\}^m \to \mathbb{Z}_q^n, \quad H_A(\boldsymbol{z}) = \boldsymbol{A}\boldsymbol{z} \pmod{q} HA​:{0,1}m→Zqn​,HA​(z)=Az(modq)
  其中，z∈{0,1}m\boldsymbol{z} \in \{0,1\}^mz∈{0,1}m 是二进制输入向量（每个分量 zi∈{0,1}z_i \in \{0,1\}zi​∈{0,1}）。

• 性质

  1. 单向性:
     由SIS问题本身保证

  2. 压缩性：

     输入空间大小：{0,1}m\{0,1\}^m{0,1}m 包含 $2^m$ 个不同输入。

     输出空间大小：${\mathbb{Z}}_q^n$ 包含 $q^n$ 个不同输出。
     由 $m>n\log q$，两边取指数（以2为底，或自然对数，核心是单调性）：
     $$2^m>2^{n\log q}=q^n(\text{因 }{2}^{\log q}=q)$$
     即 输入空间远大于输出空间，因此 $H_A$ 是压缩函数（多对一映射）。

  3. 抗碰撞性：(规约到SIS问题求解)
     若存在 z1,z2∈{0,1}m\boldsymbol{z}_1, \boldsymbol{z}_2 \in \{0,1\}^mz1​,z2​∈{0,1}m，满足 ${\mathbf{z}}_1\ne {\mathbf{z}}_2$ 但 $H_A({\mathbf{z}}_1)=H_A({\mathbf{z}}_2)$，则称哈希函数存在碰撞。

     若找到碰撞 $({\mathbf{z}}_1,{\mathbf{z}}_2)$，则：
     $$\mathbf{A}{\mathbf{z}}_1\equiv \mathbf{A}{\mathbf{z}}_2(\mathrm{mod}q)⟹\mathbf{A}({\mathbf{z}}_1-{\mathbf{z}}_2)\equiv 0(\mathrm{mod}q)$$
     令 $\mathbf{z}={\mathbf{z}}_1-{\mathbf{z}}_2$，则：

     • $\mathbf{z}\ne 0$（因 ${\mathbf{z}}_1\ne {\mathbf{z}}_2$）；
     • $\mathbf{z}$ 的分量为 {−1,0,1}\{-1, 0, 1\}{−1,0,1}（因 ${\mathbf{z}}_1,{\mathbf{z}}_2$ 是0/1向量，差的可能值为 $1-0=1$、$0-1=-1$、$0-0=0$），即 $\mathbf{z}\in [-1,1{]}^m$（对应SIS问题中 $B=1$）。

     因此，$\mathbf{z}$ 是 SIS$(n,m,q,1)$问题的解。

4.ISIS 定义

给定随机矩阵$\mathbf{A}{\in }_R{\mathbb{Z}}_q^{n\times m}$（$n$ 行 $m$ 列，元素属于模 $q$ 整数环）和随机向量 $\mathbf{b}{\in }_R{\mathbb{Z}}_q^n$（$n$ 维列向量，元素属于 ${\mathbb{Z}}_q$​）， 目标是找到 短向量 $\mathbf{z}\in {\mathbb{Z}}^m$（$m$ 维列向量，整数分量），满足：

$$\mathbf{A}\mathbf{z}\equiv \mathbf{b}(\mathrm{mod}q),\text{且 }\mathbf{z}\in [-B,B{]}^m(B\ll q/2)$$

5.SIS 和 ISIS 等价性

1.SIS$\le$ISIS

证明 SIS 问题可归约到 ISIS 问题（若能解决 ISIS，则能解决 SIS）证明步骤：

1. 输入构造

   给定SIS实例：矩阵$A\in {\mathbb{Z}}_q^{n\times m}$。将$A$拆分为$A=[A^{\prime }\mid -{\mathbf{b}}^{\prime }]$，其中：

   $A^{\prime }\in {\mathbb{Z}}_q^{n\times (m-1)}$（前$m-1$列）；${\mathbf{b}}^{\prime }\in {\mathbb{Z}}_q^n$（最后一列的负值）

2. 转化为对应的ISIS

   该SIS实例对应的ISIS实例为$(A^{\prime },{\mathbf{b}}^{\prime })$，得到解$z^{\prime }\in [-B,B{]}^{m-1}$满足：
   $$A^{\prime }{\mathbf{z}}^{\prime }\equiv {\mathbf{b}}^{\prime }(\mathrm{mod}q)$$

3. 构造SIS解

   令$z=\left[\begin{array}{c}{z}^{\prime }\\ 1\end{array}\right]\in {\mathbb{Z}}^m$ 验证满足SIS条件：
   $$\underset{A}{\underbrace{[A^{\prime }\mid -{\mathbf{b}}^{\prime }]}}\left[\begin{array}{c}{z}^{\prime }\\ 1\end{array}\right]=A^{\prime }{\mathbf{z}}^{\prime }-{\mathbf{b}}^{\prime }\equiv {\mathbf{b}}^{\prime }-{\mathbf{b}}^{\prime }\equiv 0(\mathrm{mod}q)$$
   非零性：$\mathbf{z}\ne 0$（因第$m$位为1）

   范数约束：$\Vert \mathbf{z}{\Vert }_{\infty }\le B$（因$\Vert {\mathbf{z}}^{\prime }{\Vert }_{\infty }\le B$且$|1|\le B$）

结论：
通过ISIS解${\mathbf{z}}^{\prime }$高效构造了SIS解$\mathbf{z}$，故$\text{SIS}\le \text{ISIS}$.

2.ISIS$\le$SIS

证明 ISIS 问题可归约到 SIS 问题（若能解决 SIS，则能解决 ISIS）

证明步骤：

1. 输入构造

   给定ISIS实例：矩阵$A\in {\mathbb{Z}}_q^{n\times m}$和目标向量$\mathbf{b}\in {\mathbb{Z}}_q^n$。随机选取：

   • 插入位置j∈R{1,2,…,m+1}j \in_R \{1, 2, \dots, m+1\}j∈R​{1,2,…,m+1}

   • 非零常数c∈R[−B,B]∖{0}c \in_R [-B, B] \setminus \{0\}c∈R​[−B,B]∖{0}

2. 转化为SIS

   生成新矩阵$A^{\prime }\in {\mathbb{Z}}_q^{n\times (m+1)}$：

   • 在$A$的第$j$列插入向量$-c^{-1}\mathbf{b}(\mathrm{mod}q)$
   • A 对SIS实例$A^{\prime }$求解，得到解${\mathbf{z}}^{\prime }\in [-B,B{]}^{m+1}$满足：${\mathbf{A}}^{{}^{\prime }}{\mathbf{z}}^{{}^{\prime }}$=0 ( mod q )

3. 构造ISIS解

   关键条件：若数$z_j^{\prime }=c$（第$j$位等于选取的$c$）概率$\frac{1}{2B}$，则：
   $$A^{\prime }{z}^{\prime }=\underset{A^{\prime }}{\underbrace{[A_{:1:j-1}\mid -c^{-1}\mathbf{b}\mid A_{j:m}]}}\left[\begin{array}{c}{z}_1^{\prime }\\ ⋮\\ z_j^{\prime }\\ ⋮\\ z_{m+1}^{\prime }\end{array}\right]\equiv 0(\mathrm{mod}q)$$
   展开得
   $$\mathbf{A}\left[\begin{array}{c}{z}_1^{\prime }\\ ⋮\\ z_{j-1}^{\prime }\\ z_{j+1}^{\prime }\\ ⋮\\ z_{m+1}^{\prime }\end{array}\right]-\underset{b}{\underbrace{(c^{-1}\mathbf{b})\cdot c}}\equiv Az-\mathbf{b}\equiv 0(\mathrm{mod}q)$$

   删除${\mathbf{z}}^{\prime }$的第$j$位，得到$\mathbf{z}\in [-B,B{]}^m$满足$A\mathbf{z}\equiv \mathbf{b}(\mathrm{mod}q)$.

结论：
通过SIS解${\mathbf{z}}^{\prime }$以==概率$\frac{1}{2B}$==构造ISIS解$\mathbf{z}$，故$\text{ISIS}\le \text{SIS}$.

5. 标准形式ISIS（nf-ISIS）

1.定义：

给定随机矩阵$\mathbf{A}{\in }_R{\mathbb{Z}}_q^{n\times m}$（$n$ 行 $m$ 列，元素属于模 $q$ 整数环）和随机向量 $\mathbf{b}{\in }_R{\mathbb{Z}}_q^n$（$n$ 维列向量，元素属于 ${\mathbb{Z}}_q$），目标是寻找向量 $\mathbf{z}\in {\mathbb{Z}}^{m+n}$ 满足：
$$\left[\begin{array}{ccc}A& |& I_n\end{array}\right]\mathbf{z}\equiv \mathbf{b}(\mathrm{mod}q),\mathbf{z}\in [-B,B{]}^{m+n}.$$

2.nf-ISIS 与 ISIS 的等价性

nf-ISIS(n,m,q,B)与ISIS（n,m+n,q,B）是等价的，可以相互规约

SIS实例的变换：

将 $C$ 与 $A$ 左乘后横向拼接，得到 $n\times (m+n)$ 矩阵：
$$M=\left[\begin{array}{ccc}CA& \mid & C\end{array}\right]$$
（左块 $CA$ 是 $n\times m$ 矩阵，右块 $C$ 是 $n\times n$ 矩阵，拼接后总列数 $m+n$。）

对 $\mathbf{b}$ 左乘 $C$，得到：
$$\mathbf{c}=C\mathbf{b}\in {\mathbb{Z}}_q^n$$

方向1：nf-ISIS的解 → ISIS的解

设 $\mathbf{z}\in [-B,B{]}^{m+n}$ 是 nf-ISIS 的解，即：
$$\left[\begin{array}{ccc}A& \mid & I_n\end{array}\right]\mathbf{z}\equiv \mathbf{b}(\mathrm{mod}q)$$
两边左乘可逆矩阵 $C$（可逆性保证乘法可还原）：
$$C\cdot \left[\begin{array}{ccc}A& \mid & I_n\end{array}\right]\mathbf{z}\equiv C\mathbf{b}(\mathrm{mod}q)$$
根据分块矩阵乘法规则（$C$ 与 $A$ 相乘为 $CA$，$C$ 与 $I_n$ 相乘为 $C$）：
$$\left[\begin{array}{ccc}CA& \mid & C\end{array}\right]\mathbf{z}\equiv C\mathbf{b}(\mathrm{mod}q)$$
这正是 ISIS实例 $(M,\mathbf{c})$ 的方程，故 $\mathbf{z}$ 是 ISIS 的解。

方向2：ISIS的解 → nf-ISIS的解

设 $\mathbf{z}\in [-B,B{]}^{m+n}$ 是 ISIS 的解，即：
$$\left[\begin{array}{ccc}CA& \mid & C\end{array}\right]\mathbf{z}\equiv C\mathbf{b}(\mathrm{mod}q)$$
两边左乘 $C^{-1}$（$C$ 可逆，故 $C^{-1}$ 存在）：
$$C^{-1}\cdot \left[\begin{array}{ccc}CA& \mid & C\end{array}\right]\mathbf{z}\equiv C^{-1}\cdot C\mathbf{b}(\mathrm{mod}q)$$
分块矩阵乘法展开：
$$\left[\begin{array}{ccc}{C}^{-1}CA& \mid & C^{-1}C\end{array}\right]\mathbf{z}\equiv \mathbf{b}(\mathrm{mod}q)⟹\left[\begin{array}{ccc}A& \mid & I_n\end{array}\right]\mathbf{z}\equiv \mathbf{b}(\mathrm{mod}q)$$
这正是 nf-ISIS实例 $(A,\mathbf{b})$ 的方程，故 $\mathbf{z}$ 是 nf-ISIS 的解。

6SIS VS ISIS VS nf-ISIS

SIS：理论基石，最弱假设

ISIS：通用性强，适用多种场景

nf-ISIS：计算高效，硬件友好（结构化矩阵加速运算）

$$\text{SIS}\stackrel{\text{泛化}}{\to }\text{ISIS}\stackrel{\text{结构化}}{\to }\text{nf-ISIS}$$

ISIS 是 SIS 的 非齐次推广（核心方程从 $A\mathbf{z}\equiv 0(\mathrm{mod}q)$ 扩展为 $A\mathbf{z}\equiv \mathbf{b}(\mathrm{mod}q)$）；

nf-ISIS 是 ISIS 的 结构化变体（通过拼接单位矩阵 $I_n$ 标准化矩阵形式，解空间与 ISIS 等价）。

主要参考：

https://cryptography101.ca/